En russisk utgangsnode i Tor-nettverket infiserer tilsynelatende alle binærfiler som sendes gjennom den. (Foto: Wikipedia og PantherMedia / Igor Lubnevskiy)

Exe-filer blir infisert av Tor-node

Legitim programvare gjøres til skadevare.

Tor er navnet på programvare og infrastruktur som benyttes av mange for å oppnå anonymitet og å omgå sensur på internett. Det brukes av mange ulike grupper, inkludert journalist og deres kilder.

I midten av forrige uke kunne sikkerhetsforskeren Josh Pitts i Leviathan Security fortelle at han ved hjelp av oppdatert skannerprogramvare, exitmap, oppdaget at binærfiler som ble lastet ned via en russisk utgangsnode i Tor-nettverket var blitt endret. Nærmere granskning viste at filene var blitt infisert med skadevare.

Signering

Mye programvare er signert og vil ikke la seg installere dersom filens hashverdi eller kontrollsum har blitt endret, noe den vil bli dersom selve filen endres. Men det er langt fra all programvare som er sikret på denne måten. Dermed kan ellers legitim programvare være ondsinnet når brukerne laster den ned.

Blant programvaren Pitts testet med, var Windows Preinstallation Environment-filer for Windows Update. Men disse endringene ble oppdaget og oppdateringene ble ikke installert. Men kreative brukere som ikke forstår hvorfor feilen oppstår, vil kunne finne på å laste ned en Fix it-basert løsning som er laget for rette visse problemer med Windows Update som gir samme feilmelding som den over. Også disse filene kan bli patchet under et MITM-angrep (Man In The Middle) i Tor.

Ifølge Pitts blir ikke Fit it-filene verifisert før de kjøres, og krever administrative rettigheter for å kunne kjøres.

Bakgrunnen for Pitts' undersøkelse er at han selv har laget et rammeverk som kan gjøre slike endringer. En presentasjon av rammeverket er tilgjengelig her. Nå ønsket han å sjekke om noen for øyeblikket faktisk utførte denne typen angrep på internett.

Bare én?

Pitts skal ha testet mer enn tusen utgangsnoder i Tor, men fant bare denne ene. Det betyr ikke at ikke andre noder også gjør slik patching av utvalgte filer. Leviathan har varslet Tor-prosjektet om dette problemet.

På bakgrunn av dette kommer Pitts med noen råd.

– Selskaper og utviklere er nødt til å ta en bevisst beslutning om å tilby binærfiler via SSL/TRLS, uavhengig av om binærfilene er signerte eller ikke. Alle mennesker, men spesielt de i land som er fiendtlig innstilt til «Internet freedom», i tillegg til de som bruker Tor overalt, bør være forsiktige med å laste ned binærfiler som tilbys åpent. Og alle brukere bør bli tilbudt en måte å sjekke hasher og signaturer på før binærfilene kjøres.

Til toppen