Nieuws
image

Onderzoeker: Tor-gebruikers doelwit van grootschalige mitm-aanval

dinsdag 11 augustus 2020, 10:52 door Redactie, 23 reacties

Gebruikers van het Tor-netwerk waren de afgelopen maanden het doelwit van een grootschalige man-in-the-middle (mitm)-aanval en de verantwoordelijke aanvaller is nog steeds actief, zo stelt een beveiligingsonderzoeker in een nieuw rapport. De aanvaller zou op het hoogtepunt bijna 24 procent van alle Exitnode-capaciteit van het Tor-netwerk in handen hebben gehad en gebruikte deze toegang voor het onderscheppen van http-verkeer naar bepaalde websites.

Dagelijks maken zo'n 2,5 miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt.

De eigenaar van de exitnode kan het verkeer van de Tor-gebruiker zien, maar weet niet van wie het afkomstig is. In het geval van http-verkeer kan de exitnode-beheerder het verkeer ook aanpassen. De aanvaller waarover beveiligingsonderzoeker "Nusenu" bericht maakt hiervan misbruik. De aanvaller verwijdert http-to-https redirects om toegang tot het onversleutelde http-verkeer te krijgen, zonder dat de gebruiker een certificaatwaarschuwing in Tor Browser te zien krijgt.

De meeste websites maken inmiddels gebruik van https. Wanneer de gebruiker in de adresbalk alleen de domeinnaam intikt zal de website via een http-to-https redirect de https-versie van de website laden. Bij de nu waargenomen aanval onderschept de aanvaller deze redirect en plaatst zichzelf tussen de gebruiker en opgevraagde website. De aanvaller zet tussen hemzelf en de website een beveiligde verbinding op, maar stuurt de informatie via het onversleutelde http naar de gebruiker. De gebruiker kan de aanval opmerken doordat er http en geen https in de adresbalk staat.

Om niet al teveel op te vallen heeft de aanvaller het op bepaalde websites voorzien. Het gaat dan met name om crypto-gerelateerde websites, waaronder bitcoin-mixerdiensten. De aanvaller vervangt het bitcoinadres dat de gebruiker heeft opgegeven door zijn eigen bitcoinwallet. "Het aanpassen van bitcoin-adressen is niet nieuw, maar de schaal van deze operatie is dat wel", aldus de onderzoeker, die toevoegt dat het niet mogelijk is om vast te stellen of de aanvaller zich ook met andere aanvallen bezighoudt.

Meerdere exitnode-servers van de aanvaller zijn inmiddels verwijderd, maar de onderzoeker stelt dat hij nog steeds meer dan tien procent van de exitnode-capaciteit in handen heeft. Gebruikers kunnen zich beschermen door het volledige adres in te tikken, te beginnen met https:// gevolgd door de domeinnaam. Websites kunnen hun gebruikers beschermen door gebruik te maken van HTTP Strict Transport Security (HSTS). HSTS zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er door de gebruiker http in de adresbalk ingevoerd.

Om ervoor te zorgen dat websites ook bij het allereerste bezoek alleen via https worden bezocht maken browsers gebruik van een HSTS-preloadlist. Deze lijst bevat hostnames waarvoor de browser automatisch een https-verbinding afdwingt. Domeineigenaren kunnen hun domeinen via hstspreload.org voor deze lijst aanmelden. Tenminste één van de bitcoin-websites die het doelwit van de aanval was heeft deze maatregel genomen.

Daarnaast heeft de onderzoeker ook nog een boodschap voor het Tor Project, de organisatie die het Tor-netwerk beheert. Het feit dat er herhaaldelijk op grote schaal kwaadaardige exitnode-servers worden ingezet maken volgens de onderzoeker duidelijk dat de huidige controles en aanpak voor het detecteren van dergelijke servers tekortschiet en dat het dreigingslandschap voor Tor-gebruikers is veranderd. Wel zijn er verschillende maatregelen voorgesteld die het Tor Project kan nemen.

Reacties (23)
11-08-2020, 11:32 door Anoniem
Ik dacht dat https-everywhere er voor moest zorgen dat er altijd een https verbinding wordt gemaakt?
11-08-2020, 11:51 door Anoniem
TOR noemt men wel privacy, maar ik denk dat er voornamelijk veel crimminele activiteiten via plaatsvinden. Met name in het bitcoin gebeuren.
Wellicht is dit een boef die collega boeven probeert op te lichten. Meestal zullen zijn collega boeven dat niet over hun kant laten gaan (zeg maar hij speelt met zijn leven).
11-08-2020, 12:53 door Anoniem
Door Anoniem: Ik dacht dat https-everywhere er voor moest zorgen dat er altijd een https verbinding wordt gemaakt?
Voor zover ik het begrijp moet de site hiervoor in een ruleset staan. M.a.w. van de site moet al bekend zijn dat 'ie https draait. Ook voor de HSTS-preloadlist moet dit al bekend zijn.

Een oplossing die je zelf, als site-eigenaar, kunt treffen is door vanaf de http versie consequent een 301 of 302 te geven naar de https versie. En daar zet je dan een HTST header.
Of dit ook helpt tegen de in het artikel beschreven methode is de vraag... hier zet de aanvaller zelf een beveiligde verbinding op en stuurt die dan onbeveiligd door. En als de betreffende site dan tevoren geen HTST header heeft gezet en/of niet op de https-everywhere of HSTS-preloadlist staat is het bingo voor de aanvaller.
11-08-2020, 13:19 door Anoniem
Als je via TOR je bitcoins moet kopen en verkopen, dan probeer je ook gewoon om problemen te vragen.
Banken zijn niet voor niets gebonden aan het exact weten van wie welk geld is: dat is ook voor jouw veiligheid.
11-08-2020, 13:41 door Anoniem
Door Anoniem: TOR noemt men wel privacy, maar ik denk dat er voornamelijk veel criminele activiteiten via plaatsvinden.
Gebruik TOR dagelijks, niet beters te weten, kan het mis hebben natuurlijk, ben ik geen crimineel. Stop toch eens met het demoniseren van TOR.
11-08-2020, 14:43 door Anoniem
TOR beschermt je identiteit tegen de exit node. Niet de data die over de exit node gaat.
Zolang je niet een login gebruikt op je bitcoin site, die je eerder zonder TOR bezocht, is er niets aan de hand. Tenminste, dan ben je nog steeds anoniem wat TOR betreft.

Waarom wil je sowieso je bitcoin site bezoeken via TOR? Je bank bezoek je toch ook niet via TOR?! Dat is inderdaad vragen om problemen.
11-08-2020, 15:20 door Anoniem
Door Anoniem: TOR beschermt je identiteit tegen de exit node. Niet de data die over de exit node gaat.
Zolang je niet een login gebruikt op je bitcoin site, die je eerder zonder TOR bezocht, is er niets aan de hand. Tenminste, dan ben je nog steeds anoniem wat TOR betreft.

Waarom wil je sowieso je bitcoin site bezoeken via TOR? Je bank bezoek je toch ook niet via TOR?! Dat is inderdaad vragen om problemen.

Misschien om fiscale redenen?
11-08-2020, 15:55 door Anoniem
De TOR Pickle uitbreiding die een paar maand terug is voorgesteld zou hier een goede oplossing voor zijn. Hopelijk wordt dit voorstel aangenomen.
11-08-2020, 16:12 door Anoniem
Door Anoniem: De TOR Pickle uitbreiding die een paar maand terug is voorgesteld zou hier een goede oplossing voor zijn. Hopelijk wordt dit voorstel aangenomen.

Inderdaad. Deze aanvulling had al in het originele TOR ontwerp aanwezig moeten zijn. Volgens sommigen stond het ook in de originele specificaties maar werd het door bepaalde partijen als ongewenst gezien.
11-08-2020, 16:29 door Briolet
Door Anoniem:
Door Anoniem: TOR noemt men wel privacy, maar ik denk dat er voornamelijk veel criminele activiteiten via plaatsvinden.
Gebruik TOR dagelijks, niet beters te weten, kan het mis hebben natuurlijk, ben ik geen crimineel. Stop toch eens met het demoniseren van TOR.

Toch is het een feit dat het percentage criminelen dat via tor werkt veel hoger is dan bij het gewone internet. Ik zie het ook aan de log gegevens van onze server. Het aantal IP adressen dat wegens foute inlogpogingen geblokkeerd worden bevat relatief veel tor exit nodes. Heel veel meer dan je op het totale aantal IP adressen kunt verwachten als tor gebruikers net zo eerlijk zouden zijn als gewone internetters.
11-08-2020, 16:33 door Anoniem
Tis gewoon ronduit belachelijk dat zo'n beetje elke browser zeikt over certificaatje zus, certificaatje zo (waarbij de gemiddelde beheerder/thuis-hobbyist/hacker (als in tweaker) er in 99% van de tijd alleen maar last van heeft...

Maar zoiets poepsimpels als beginnen op 443 met HTTPS en fallback naar HTTP op 80, nee, daar kunnen firefox, google en de rest geen geld mee verdienen, met certificaatjes die speciaal zijn en steeds kortere levensduur hebben wel...

Al met al een complete farce en ik doe er niet meer aan mee.
11-08-2020, 19:52 door Anoniem
Interessant verhaal. Goed opgepikt redactie.
11-08-2020, 19:55 door Anoniem
Lees dit eens https://trac.torproject.org/projects/tor/ticket/10424
Het domein staat in de HSTS lijst, maar domein voorafgegaan door www. echter niet.
Waarom dus niet allebei?

En daar kan misbruik van worden gemaakt.

luntrus
11-08-2020, 23:49 door Anoniem
Ik plijt er al jaren voor. VERBIED DEZE CRIMINELE MIDDELEN ZOALS TOR EN BITCOINS!
Deze zorgen ervoor dat wij normale burgers overal gevolgd moeten worden en onze vrijheden kwijt raken. Maar het probleeem aanpakken ho maar.
12-08-2020, 00:14 door Anoniem
Door Anoniem: TOR noemt men wel privacy, maar ik denk dat er voornamelijk veel crimminele activiteiten via plaatsvinden. Met name in het bitcoin gebeuren.
Wellicht is dit een boef die collega boeven probeert op te lichten. Meestal zullen zijn collega boeven dat niet over hun kant laten gaan (zeg maar hij speelt met zijn leven).
Vaak met techniek. Je kan het voor goede doeleinden inzetten en voor foute doeleinden. Neem biologische technologie. Je kan fantastische dingen doen om mensen te genezen, maar je kan met een biologisch wapen mensen ook ziek of dood maken.

Ik ken de ontwikkelaars achter TOR niet en ik kan niet in hun hoofden kijken. Wellicht is het ooit begonnen met oprecht goede intenties. Maar de criminele wereld heeft de mogelijkheden van TOR ook ontdekt en dat zijn minder fijne toepassingen van TOR.
12-08-2020, 09:38 door Anoniem
Door Anoniem: Ik plijt er al jaren voor. VERBIED DEZE CRIMINELE MIDDELEN ZOALS TOR EN BITCOINS!
Deze zorgen ervoor dat wij normale burgers overal gevolgd moeten worden en onze vrijheden kwijt raken. Maar het probleeem aanpakken ho maar.

Wat een onzin. Dan moet je bijvoorbeeld auto's ook gaan verbieden, omdat er gekken zijn die met opzet er mensen mee gaan doodrijden? Of daarmee de mogelijkheid toe geeft?
12-08-2020, 10:53 door Anoniem
Dan moet er toch goede beveiliging komen tegen SSL strippen.
Voor het eerst aangekaart door onderzoeker Moxie Marlinspike, weten we nog?

De aanval kan via gebruikmaken van een proxy server, ARP spoofing en een hotspot.

HTTPS op alle pagina's van een website instellen en HSTS policy implementeren,
dan zal een (tor) browser geen site openen mits deze HTTPS draait. Goede tegenactie

Tor en Bitcoins verbieden en encryptie en VPN helpt niet tegen cybercrime.
Daar zijn we hier op security.nl al wel een tijdje achter, hoop ik.

Dus niet bezuinigen op security, beste CEO en brave manager. Dat helpt zeker.

Maar die beslissen hebben er geen oog voor en die er oog voor hebben nemen de beslissingen doorgaans niet.
En zo blijft het "a never ending story".

luntrus
12-08-2020, 11:58 door Anoniem
Weinig nieuws onder de zon, want dit MitM risico is eigen aan het gebruik van een Tor exit. Dit risico, en wat er tegen te doen valt, staat beschreven in de Tor documentatie. Het enige wat nieuw is, is de schaalgrootte van deze poging tot een MitM aanval. Dit probleem speelt niet als je binnen het Tor netwerk blijft en geen exit gebruikt. Moet je wel een exit gebruiken, dan kun je je daar tegen wapenen.

De les die we hieruit kunnen leren:

1. Maak alleen en uitsluitend gebruik van HTTPS-over-Tor tunnels

o houdt de twee schakelaars van HTTPS Everywhere altijd op 'AAN' en 'AAN'

2. Gebruik nooit afgekorte web adressen, want dat is te gevaarlijk

o pas dus alleen fully qualified domain names toe

3. Geeft altijd de https:// protocol identifyer op voor het adres

o gebruik bladwijzers tegen het maken van fatale tikfouten

4. Gebruik ook onder het .onion domein liefst alleen HTTPS-over-Tor

o verifieer de fingerprint van het HTTPS certificaat

o lees de gebruikershandleiding en gedraag je braaf :-)

Real-World Onion Sites (voor de voorzichtige beginner)

https://github.com/alecmuffett/real-world-onion-sites
12-08-2020, 13:15 door Anoniem
Door Anoniem: Ik plijt er al jaren voor. VERBIED DEZE CRIMINELE MIDDELEN ZOALS TOR EN BITCOINS!
Deze zorgen ervoor dat wij normale burgers overal gevolgd moeten worden en onze vrijheden kwijt raken. Maar het probleeem aanpakken ho maar.

Helemaal met je eens. Het probleem aanpakken ho maar.
De vraag is nu: Wat is het probleem?

Waarom gebruiken mensen TOR?
De antwoorden op deze vraag zijn de problemen die opgelost moeten worden.

Verbieden van TOR is zoals veel vaker te zien, symptoom bestrijding.
12-08-2020, 13:58 door Anoniem
Door Briolet:Toch is het een feit dat het percentage criminelen dat via tor werkt veel hoger is dan bij het gewone internet. Ik zie het ook aan de log gegevens van onze server. Het aantal IP adressen dat wegens foute inlogpogingen geblokkeerd worden bevat relatief veel tor exit nodes. Heel veel meer dan je op het totale aantal IP adressen kunt verwachten als tor gebruikers net zo eerlijk zouden zijn als gewone internetters.
Om n=1 in n=2 te veranderen: herken ik dit juist niet totaal niet. De laatste paar maanden komt er slechts 1 specifieke aanval vanaf meerdere tor exits, ik ben het eerder niet tegen gekomen. Zelf vind ik het ook niet logisch dat iemand gebruik maakt van tor voor het uitvoeren van geautomatiseerde aanvallen. Een VPN of VPS met dikke internetverbinding is een stuk sneller in het uitvoeren van internet brede scans (denk aan latency). Bovendien mis je bij tor alle UDP poorten die kunnen openstaan. Maar wellicht dat mijn site wat kleiner en onbeduidender is dan die van anderen.
12-08-2020, 14:43 door Anoniem
Door Anoniem:
Door Anoniem: Ik plijt er al jaren voor. VERBIED DEZE CRIMINELE MIDDELEN ZOALS TOR EN BITCOINS!
Deze zorgen ervoor dat wij normale burgers overal gevolgd moeten worden en onze vrijheden kwijt raken. Maar het probleeem aanpakken ho maar.

Helemaal met je eens. Het probleem aanpakken ho maar.
De vraag is nu: Wat is het probleem?

Waarom gebruiken mensen TOR?
De antwoorden op deze vraag zijn de problemen die opgelost moeten worden.

Verbieden van TOR is zoals veel vaker te zien, symptoom bestrijding.

Nou voor mij is een belangrijke reden om TOR te gebruiken juist omdat we zoveel gevolgd worden.
Zeker bij zaken als opzoeken van medische informatie of verkiezingsprogramma's van politieke partijen ben ik
er niet van gediend dat ik getrackt wordt. Dat zijn onderwerpen die NIEMAND iets aangaan.

Maar omdat al dat getrack maar "normaal" gevonden moet worden, zoek ik zelf de nodige bescherming.
En TOR voldoet hier prima aan.

Overigens: ook journalisten en activisten in niet-zo-democratische oorden hebben veel baat bij TOR.
14-08-2020, 11:11 door Anoniem
Door Anoniem: Nou voor mij is een belangrijke reden om TOR te gebruiken juist omdat we zoveel gevolgd worden.
Zeker bij zaken als opzoeken van medische informatie of verkiezingsprogramma's van politieke partijen ben ik
er niet van gediend dat ik getrackt wordt. Dat zijn onderwerpen die NIEMAND iets aangaan.

Gelijk heb je, want zonder gebruik te maken van de Tor Browser, met de NoScript add-on aan, ligt anders zo'n beetje je hele hebben en houden, je interesses en je privéleven continu op straat.

Elke keer dat iemand een website bezoekt en een gerichte advertentie te zien krijgt, worden gegevens over wat hij of zij leest of bekijkt naar bedrijven gestuurd. Dit worden ook "bid requests" genoemd. [...]

Een voorbeeld: BNR.nl

bnr.nl [NoScript]
…aspnetcdn.com
…chartbeat.com
…consensu.org
…convertexperiments.com
…doubleclick.net
…faktor.io
…google-analytics.com
…google.com
…google.nl
…googletagmanager.com
…googletagservices.com
…scorecardresearch.com

"Het zijn partijen die op grote schaal persoonsgegevens verzamelen en ze bouwen daar schaduwprofielen van en die verhandelen ze. Het profiel heeft enorme invloed op jouw gedrag op het internet", zegt Christiaan Alberdingk Thijm, advocaat van de The Privacy Collective, tegenover BNR.

https://www.security.nl/posting/667709/

Je gegevens worden in een fractie van een seconde verhandeld aan de hoogste anonieme bieders, waarna reclames en verwijzingen worden getoond die mikken op je overtuigingen en je grootste zwakheden.


Meer weten? Lees Behind the One-Way Mirror

https://www.eff.org/wp/behind-the-one-way-mirror

De gewone versie van Mozilla Firefox gaat daar niets tegen uitrichten, ook niet als je die uitrust met NoScript en je de about:config settings minutieus aanpast. Vandaar de noodzaak van Tor Browser, als je je zaken privé wenst te houden.
14-08-2020, 11:25 door Anoniem
Tor wordt ook veel gebruikt door security onderzoekers. Een redirect van HTTP naar HTTPS en een HSTS header heeft tegenwoordig elk serieuze website, inclusief goed certificaat, CSP header, FP header, TLS1.2 of hoger, ... Onversleuteld verkeer is onnodig en onbetrouwbaar. Zie je een http:// url, niet doen. Check via https://internet.nl/ van onze overheid, https://securityheaders.io/, ... kleine moeite.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search