Nieuws
image

Onderzoeker: Tor-gebruikers nog altijd doelwit van mitm-aanvallen

maandag 10 mei 2021, 10:58 door Redactie, 13 reacties

Gebruikers van het Tor-netwerk zijn nog altijd het doelwit van man-in-the-middle (mitm)-aanvallen die via malafide exit-servers worden uitgevoerd, waarbij begin dit jaar 27 procent van de exitnode-capaciteit van het Tor-netwerk in handen van de aanvaller was. Dat stelt een beveiligingsonderzoeker met het alias "nusenu" in een nieuw onderzoek.

Vorig jaar publiceerde de onderzoeker al onderzoek over mitm-aanvallen tegen Tor-gebruikers. Dagelijks maken zo'n twee miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt.

De eigenaar van de exitnode kan het verkeer van de Tor-gebruiker zien, maar weet niet van wie het afkomstig is. In het geval van http-verkeer kan de exitnode-beheerder het verkeer ook aanpassen. De aanvaller waarover beveiligingsonderzoeker "Nusenu" bericht maakt hiervan misbruik. De aanvaller verwijdert http-to-https redirects om toegang tot het onversleutelde http-verkeer te krijgen, zonder dat de gebruiker een certificaatwaarschuwing in Tor Browser te zien krijgt.

De meeste websites maken inmiddels gebruik van https. Wanneer de gebruiker in de adresbalk alleen de domeinnaam intikt zal de website via een http-to-https redirect de https-versie van de website laden. Bij de nu waargenomen aanval onderschept de aanvaller deze redirect en plaatst zichzelf tussen de gebruiker en opgevraagde website. De aanvaller zet tussen hemzelf en de website een beveiligde verbinding op, maar stuurt de informatie via het onversleutelde http naar de gebruiker. De gebruiker kan de aanval opmerken doordat er http en geen https in de adresbalk staat.

Om niet al teveel op te vallen wordt de aanval alleen bij bepaalde websites toegepast. Het gaat dan met name om crypto-gerelateerde websites, waaronder bitcoin-mixerdiensten. De aanvaller vervangt het bitcoinadres dat de gebruiker heeft opgegeven door zijn eigen bitcoinwallet. De aanvallen waar Nusenu vorig jaar augustus over berichtte vinden nog altijd plaats. Op 2 februari van dit jaar was volgens de onderzoeker 27 procent van de exitnode-capaciteit van het Tor-netwerk in handen van de aanvaller.

Malafide Tor-exitnodes worden wel verwijderd, maar de aanvaller voegt die ook weer toe aan het netwerk. Veel van deze servers blijken niet over contactgegevens te beschikken. Het Tor-netwerk bestaat meestal uit minder dan vijftienhonderd Tor-exitnodes. Begin deze maand werden er meer dan duizend nieuwe Tor-exitnodes binnen 24 uur toegevoegd. De onderzoeker merkt op dat dit indrukwekkend klinkt, maar de meeste van deze servers nagenoeg meteen worden verwijderd voordat veel mensen er gebruik van maken. Daardoor was het risico voor gebruikers dan ook klein.

Nusenu stelt dat de werkwijze van de aanvaller deels bekend is, zoals het aanpassen van de bitcoin-adressen. Andere aanvallen kunnen echter niet worden uitgesloten. "Stel eens voor dat een aanvaller 27 procent van de exitnode-capaciteit van het Tor-netwerk in handen heeft en een Firefox-exploit voor Tor Browser wordt gepubliceerd voordat alle gebruikers hun updates ontvangen", waarschuwt de onderzoeker.

Een goede bescherming is de HTTPS-Only mode van Firefox die standaard alleen https-sites laadt. Het is nog de vraag wanneer en hoe dit binnen Tor Browser zal worden verwerkt. Er zijn zorgen bij het Tor-ontwikkelteam dat met name regionale websites https niet ondersteunen en hoe Tor Browser hiermee moet omgaan.

Reacties (13)
10-05-2021, 11:48 door Anoniem
Ik hoop dat de Tor browser HTTPS forceerd. Ik dacht dat iets soortgelijk eigenlijk zelfs al in de Tor protocol zat.
10-05-2021, 12:40 door Anoniem
Ik hoop dat de mitm mijn smaak van muziek en films kan waarderen. Anders wordt het wel erg triest om mijn data te onderscheppen.
10-05-2021, 13:09 door Anoniem
Dat bitcoin-mixerdiensten het doelwit zijn dat vind ik dan wel weer mooi...
10-05-2021, 13:32 door Anoniem
L.S.

Er waren ook al andere eerdere lekken via o.a. ad-tracking:
https://github.com/brave/brave-browser/labels/feature%2Ftor%2Fleakproofing

En de exit-nodes vormen steeds weer het gevaar bij MIM aanvallen, lees:
https://security.stackexchange.com/questions/34804/how-safe-is-tor-from-mitm-snooping-attacks

En dan het SSL-stripping-gevaar: https://blog.wasabiwallet.io/wasabi-wallet-tor-ssl-stripping-attack/

Er bestaat geen heilige graal op Interwebz en tor.
Die zal er ook nooit komen.
We leven nu eenmaal in een gevaarlijke wereld.

luntrus
10-05-2021, 14:37 door Anoniem
Ik had ooit eens iets meegemaakt met de torbrowser, gelukkig zat ik in tails. Dus mensen, een verwittigd man is er 2 waard.
10-05-2021, 14:51 door Anoniem
Door Anoniem: Ik hoop dat de Tor browser HTTPS forceerd. Ik dacht dat iets soortgelijk eigenlijk zelfs al in de Tor protocol zat.

Dat afdwingen van HTTPS-only moet men onder Tor Browser zelf inschakelen. Dat zit niet in het Tor netwerk ingebouwd.

Tor Browser heeft wel een HTTPS-only modus, maar die optie onder moet men onder de 'HTTPS Everywhere' add-on zelf apart inschakelen, anders loopt men het risico dat er in de achtergrond toch nog onveilige HTTP-connecties kunnen worden gelegd. Het belang van die HTTPS-only optie is in de Tor Browser documentatie ondergesneeuwd geraakt.

https://support.torproject.org/glossary/https-everywhere/


Mozilla heeft vanaf Firefox 83 eigenhandig een 'HTTPS-Only Mode' als nieuwe optie geïntroduceerd. De thans gebruikte 'HTTPS Everywhere' add-on zou dan niet meer nodig zijn, maar het is nog de vraag hoe, uitgaand van Firefox ESR, die nieuwe optie onder de Tor Browser door de ontwikkelaars op een even betrouwbare wijze kan worden ingevoerd.

https://blog.mozilla.org/security/2020/11/17/firefox-83-introduces-https-only-mode/
10-05-2021, 16:50 door Anoniem
Het gaat hier niet over Man-in-the-middle aanvallen, maar over HTTPS-stripping aanvallen. Over een downgrade attack dus.

Bij een MITM aanval zou het hangslotje bij de client intact blijven. Alleen was de encryptie dan naar een certificaat van de exit node en niet van de bezochte website.

Omdat, volgens een snelle google search, de exit node de DNS aanvraag afhandelt, heeft de exit node wel een hoop macht over het resultaat van de DNS aanvraag. Het zou de client even makkelijk (afhankelijk van andere kenmerken van de client, zoals eerder bezochte websites over hetzelfde circuit), naar een site met malware toe kunnen sturen.

Standaard DNS gebruikt geen encryptie. En een Tor exit kan in theorie alle 65536 mogelijke poorten afhandelen met de tor exit node. Hoewel dat ook veel abuse op zal leveren.

Dit even ter verduidelijking ;-)
10-05-2021, 20:33 door Anoniem
Door Anoniem:
Door Anoniem: Ik hoop dat de Tor browser HTTPS forceerd. Ik dacht dat iets soortgelijk eigenlijk zelfs al in de Tor protocol zat.

Dat afdwingen van HTTPS-only moet men onder Tor Browser zelf inschakelen.
...

Tor Browser heeft HTTPS-everywhere by default aan staan.
10-05-2021, 23:28 door Anoniem
Door Anoniem: Ik hoop dat de Tor browser HTTPS forceerd. Ik dacht dat iets soortgelijk eigenlijk zelfs al in de Tor protocol zat.
Het kan wel hoor. Dit moet je alleen zelf instellen.
Ga naar about:config
Zet JavaScript op false
En enable https_only_mode (dom.security.https_only_mode)

Allemaal niet zo lastig je moet het alleen net maar weten..
JavaScript staat standaard altijd uit bij mij.
10-05-2021, 23:38 door Anoniem
Niet elke versie van Firefox heeft op dit moment HTTPS-only mode. Je kunt natuurlijk HTTPS-everywhere nemen, maar ook onder de motorkap HTTPS-only mode aanzetten. Daarvoor typ je in de adresbalk about:config en accepteer je de voorwaarden.

Daarna zoek je op:

dom.security.https_only_mode.

Standaard staat die op FALSE. Maar door te dubbelklikken zet je die op TRUE. Daarna sluit je het tabblad af.

Meer info over HTTPS-only mode vindt men hier:
https://www.security.nl/posting/678208/Firefox+krijgt+HTTPS-Only+Mode+die+standaard+alleen+https-sites+laadt
11-05-2021, 11:20 door Anoniem
Door Anoniem: Tor Browser heeft HTTPS-everywhere by default aan staan.

Dat is correct, maar de EASE modus van HTTPS Everywhere staat niet standaard ingeschakeld. De EASE modus moet worden aangezet wil men HTTPS-only afdwingen om mogelijke downgrade attacks te blokkeren. Daar kleven echter ook nadelen aan, zoals het opbreken van sommige (oude) websites en/of het ontstaan van een afwijkende vingerafdruk.

https://gitlab.torproject.org/tpo/applications/tor-browser/-/issues/40379


Het Tor Project onderzoekt momenteel de nieuwe HTTPS-only modus van Firefox ESR als een mogelijk beter alternatief.
12-05-2021, 12:24 door Anoniem
In Firefox 76, Mozilla added an experimental HTTPS-Only Mode that could replace add-ons like HTTPS Everywhere. You can go to about:config and set “dom.security.https_only_mode” to True. If you try to open an HTTP-only website, Firefox shows a warning message that no HTTPS is available.

https://infosec-handbook.eu/news/2020-08-26-firefox80-https-only/
25-05-2021, 08:01 door Anoniem
Door Anoniem: Ik hoop dat de Tor browser HTTPS forceerd. Ik dacht dat iets soortgelijk eigenlijk zelfs al in de Tor protocol zat.
TOR is een netwerk, geen protocol
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search