image

Onderzoeker: aanvaller probeert Tor-gebruikers via malafide servers te ontmaskeren

vrijdag 3 december 2021, 16:58 door Redactie, 7 reacties

Een onbekende aanvaller die KAX17 wordt genoemd probeert gebruikers van het Tor-netwerk al sinds 2017 door middel van malafide Tor-servers te ontmaskeren, zo stelt een beveiligingsonderzoeker met het alias "nusenu" in een nieuw onderzoek. De aanvaller zou hiervoor honderden servers gebruiken.

Dagelijks maken ruim twee miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de middle relay doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt.

KAX17 heeft zowel entry guard-, middle relay- als exit-servers aan het Tor-netwerk toegevoegd, waardoor hij Tor-gebruikers zou kunnen ontmaskeren. Volgens de onderzoeker hebben Tor-gebruikers een kans van 16 procent om met een guard-server van KAX17 verbinding te maken en zelfs een kans van 35 procent om met een middle relay-server te verbinden.

De onderzoeker noemt dit een zorgwekkende ontwikkeling, omdat veel aanvallen zich specifiek op de exit-server richten, aangezien een aanvaller via een malafide exit-server het verkeer dat naar het internet gaat kan zien en mogelijk aanpassen. KAX17 richt zich op de entry guard en middle relay. "Deze plekken zijn nutteloos voor de normale aanvaller die exit-verkeer snift en manipuleert, omdat in deze plekken geen plaintext verkeer zichtbaar is", aldus Nusenu.

Aanvallers die aanvallen op deze locaties uitvoeren zijn volgens de onderzoeker geavanceerder omdat de aanvallen lastiger zijn uit te voeren en een hoger kennisniveau vereisen. Nusenu rapporteerde de servers van KAX17 vorig jaar oktober aan het Tor Project, waarna ze werden verwijderd. Een dag na het verwijderen van deze servers verscheen er een nieuwe groep malafide Tor-servers. De onderzoeker kan deze servers echter niet met zekerheid aan KAX17 toeschrijven.

Image

Reacties (7)
03-12-2021, 17:08 door Anoniem
Dat er sprake is van een Sybil Attack is wel duidelijk. Ik sluit niet uit dat een state actor achter deze aanval zit.
03-12-2021, 17:44 door Anoniem
Daarom altijd een vpn (die te vertrouwen is) tussen je systeem en de guard node. TCP over UDP bemoeilijkt daarbij ook correlatie tussen exit node en je systeem. Gebruik een obfs 4 guard node die je om de paar dagen/week wijzigt.

Om je tegen malicious exit nodes te 'bewapenen' zijn Ublock Origin en ClearUrls aan te raden als extra extensies. En geen login credentials gebruiken die je ook op clearnet gebruikt. Beperk het gebruik van nog meer extensies om fingerprinting te voorkomen.

Last but not least: Schakel javascript ALTIJD uit op het deep web en draai Tor indien mogelijk in een container bij gebruik Windows. (Bijv. Comodo Container)
03-12-2021, 18:02 door Anoniem
defenses: easy; ... ; on tor clients: ensure HTTPS is used properly.

Tor Browser heeft HTTPS als default aan staan.

Klinkt als voldoende maatregel.
04-12-2021, 08:56 door Anoniem
Niet bij SSL-stripping. CSP is vaak slecht geïmplementeerd.
Laten we dat zo?
luntrus
04-12-2021, 13:45 door Anoniem
Installeer om te scannen op kwaadaardige relais exitmap.
04-12-2021, 18:02 door Anoniem
Door Anoniem:
Last but not least: Schakel javascript ALTIJD uit op het deep web en draai Tor indien mogelijk in een container bij gebruik Windows. (Bijv. Comodo Container)

Onafhankelijk van welk host OS: gebruik altijd VM's (Of containers) om internet verkeer onschadelijk voor de host te maken. Zowel VMware Player als Oracle Virtualbox zijn gratis en crossplatform.
04-12-2021, 20:03 door Anoniem
HTTPS beschermt de inhoud van je internetverkeer. TOR beschermt de identiteit van de ontvanger en van de verzender van je internetverkeer.

HTTPS beschermt niet de identiteit van de ontvanger en de verzender van je verkeer.
Het zijn heel verschillende dingen. HTTPS is de enveloppe om je brief. TOR is de afzender die achterop je enveloppe geschreven staat. Encryptie versus Anonimiteit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.