Niebezpieczny atak ujawnia tożsamość użytkowników sieci Tor lub VPN

dodał 15 czerwca 2015 o 21:34 w kategorii Prywatność  z tagami:
Niebezpieczny atak ujawnia tożsamość użytkowników sieci Tor lub VPN

Choć w sieci nie brakuje rozwiązań technicznych zapewniających anonimowość użytkowników, to samo ich używanie nie gwarantuje pełnej ochrony. Dobrym tego przykładem jest najnowszy atak prowadzony przeciwko chińskim internautom.

Firma AlienVault opisała bardzo ciekawy atak przeciwko chińskim użytkownikom internetu odwiedzającym witryny związane z ruchami ujgurskimi, islamskimi oraz należące do organizacji pozarządowych. Ataki te trwają od roku 2013 i mogą w niektórych przypadkach prowadzić do ujawnienia tożsamości użytkownika sieci Tor lub serwisu VPN.

Ataki przez JavaScript

Atakowanie użytkowników sieci Tor za pomocą błędów w JavaScripcie nie jest już nowością. Pierwszym opisanym przykładem była próba deanonimizacji użytkowników stron hostowanych przez Freedom Hosting – kiedyś największą usługę hostingową w sieci Tor, w której dominowała pornografia dziecięca. Organy ścigania przejęły serwery Freedom Hosting i przez kilka dni serwowały wszystkim je odwiedzającym eksploita, który zbierał dane o użytkowniku i wysyłał je do serwera w USA. Tamten atak oparty był jednak na błędzie w starszej wersji Firefoksa.

Tym razem atakujący wykorzystują inną, bardzo sprytną metodę identyfikacji internautów bez względu na rodzaj połączenia, z którego ci korzystają. Pierwszym etapem ataku jest przejęcie kontroli nad stroną WWW, która może być odwiedzona przez przyszłe ofiary. W obserwowanej kampanii celami ataków były przede wszystkim serwisy skupiające inicjatywy obywatelskie i niepodległościowe niezgodne z oficjalną linią chińskiego rządu. Atakujący wstrzykują w przejęte serwisy kawałek kodu JavaScript. Ten kod z kolei wykorzystuje znaną podatność JSONP Hijacking. Polega ona na omijaniu ograniczeń same-origin policy i dzięki błędom w innych popularnych serwisach internetowych umożliwia odczytanie zawartych w nich informacji.

Lista podatnych chińskich serwerów

Lista podatnych chińskich serwerów

Dzięki tej technice oraz błędom umożliwiającym wstrzykiwanie JavaScriptu występującym w popularnych chińskich serwisach informacyjnych atakujący mogą próbować identyfikować odwiedzających zainfekowane strony. Wystarczy, że osoba je odwiedzająca ma otwartą w innej zakładce jedną z 15 popularnych chińskich stron (w tym 3 z pierwszej dziesiątki najpopularniejszych witryn świata), a atakujący będą w stanie odczytać np. informacje o zalogowanej sesji w innym serwisie. Jeśli zatem jakiś chiński opozycjonista jednocześnie przegląda strony organizacji pozarządowej i w tym samym czasie jest zalogowany w innym popularnym serwisie, to atakujący mogą poznać jego tożsamość.

Skutki i ofiary ataku

Chińscy opozycjoniści, czy to znajdujący się w Chinach czy też będący na emigracji, często korzystają z takich właśnie rozwiązań jak Tor lub VPN dla zapewnienia prywatności swojego ruchu internetowego a także, w przypadku internetu w Chinach, by móc w ogóle zajrzeć na zablokowane przez chińską cenzurę niedozwolone witryny. Ten atak jest dla nich szczególnie niebezpieczny, ponieważ naraża ich na ujawnienie tożsamości, co w Chinach może wiązać się z konkretnymi represjami.

Oczywiście rozwiązaniem problemu jest załatanie dziur pozwalających na przeprowadzenie ataku typu JSON Hijacking w podatnych serwisach, lecz również użytkownicy mają tutaj pewne pole do popisu. Rozsądnym podejściem jest blokowanie JavaScriptu na każdej witrynie. Dodatkowy poziom bezpieczeństwa można osiągnąć nie logując się nigdy w tej samej przeglądarce naraz do witryn potencjalnie zagrożonych oraz do tych, w których identyfikujemy się w sposób narażający naszą anonimowość.