Anonymiseringsnettverket til Tor Project kan ha vært under angrep i så lenge som fem måneder denne våren. Det skriver Roger Dingledine, direktør og medgründer av prosjektet, i et blogginnlegg.
Angrepet, som ifølge Dingledine gikk ut på å forsøke å av-anonymisere brukere, ble oppdaget den 4. juli. Hvor lenge det har pågått er ukjent, men relemaskinene som ble brukt i angrepet ble tilsluttet nettverket den 30. januar i år. Angrepet gikk blant annet ut på å modifisere headere i Tor-protokollen for å bekrefte trafikk og har trolig vært rettet mot personer som enten drifter eller besøker skjulte tjenester (hidden services) i Tor.
Ifølge Dingledine må personer som på en eller annen måte har brukt disse skjulte tjenestene en gang mellom februar og 4. juli gå ut fra at de har blitt berørt, men han kan ikke fastslå hva «berørt» egentlig inkluderer – det er fortsatt uklart.
– Vi vet at angrepet så etter brukere som innhentet beskrivelser av skjulte tjenester, men angriperne kunne sannsynligvis ikke se noe trafikk på applikasjonsnivå, skriver Dingledine. Med dette mener han hvilke sider som har blitt lastet eller om brukerne faktisk har besøkt de tjenestene som de har slått opp.
– Angrepet forsøkte sannsynligvis også å finne ut hvem som har publisert beskrivelser av skjulte tjenester, noe som ville gi angriperne mulighet til å finne lokaliseringen til den skjulte tjenesten. I teorien kan angrepet også ha blitt brukt til å knytte brukere til deres destinasjoner i vanlige Tor-kretser også, men vi har ikke funnet noe bevis på at angriperne har drevet noen utgangsreleer, noe som gjør dette angrepet mindre sannsynlig.
Dingledine forteller videre at sårbarhetene som ble utnyttet i sårbarheten har blitt fjernet fra nyere utgaver av Tor-programvaren, og at releserverne bør oppgraderes til denne. Også vanlige Tor-brukere anbefales å ta i bruk kommende utgaver av Tor Browser så snart disse er klare.
Black Hat-konferansen?
Det har dukket opp spørsmål om hvorvidt avlysningen av et foredrag om Tor under Black Hat-konferansen i Las Vegas neste uke kan ha noe med dette angrepet å gjøre. Det virker ikke helt usannsynlig.
– Vi brukte flere måneder på å forsøke å få informasjon fra forskerne som skulle hode Black Hat-foredraget, og til slutt fikk vi noen hint fra dem om hvor «relay early»-celler kunne brukes i «traffic confirmation»-angrep, noe som førte til at vi begynte å se etter slike, faktiske angrep, skriver Dingledine.
Han skriver videre at forskerne i det siste ikke har svart på e-posthenvendelsene fra Tor-prosjektet, så koblingen mellom angrepene og det avlyste foredraget er ikke blitt bekreftet, men Dingledine mener at det er sannsynlig.
– Faktisk håper vi at forskerne var de som utførte disse angrepene, siden det ellers må ha vært noen andre.
_logo.svg.png){kind=logo}
Dingledine skriver også at endringene i protokolheaderne også kan ha hjulpet andre angripere med å av-anonymisere brukerne.
– Så dersom dette angrepet var et forskningsprosjekt (altså ikke ondsinnet med hensikt), ble det gjort på en uansvarlig måte fordi det utsetter brukere for risiko for all framtid.
Ifølge BBC News skal foredraget til de to sikkerhetsforskerne, Alexander Volynkin og Michael McCord, ha blitt avlyst på grunn etter fordi advokatene til arbeidsgiveren deres, Carnegie Mellon University, har insistert på dette.
Angrepet kan også ha blitt utført av en rekke andre parter. Tor-nettverket brukes blant annet av regimemotstandere i en rekke land, som har behov for å skjule sin aktivitet på internett fra myndighetene. Men heller ikke vestlige sikkerhets- og etterretningstjenester er uten interesse av å bryte seg inn i Tor, til tross for at tjenesten opprinnelig ble utviklet for den amerikanske marinen og at amerikanske myndigheter fortsatt donerer betydelige beløp til prosjektet.
Les også:
- [29.07.2014] Legger Tor-knekking ut på anbud
