15.06.2015 | 21:34

Adam Haertle

Niebezpieczny atak ujawnia tożsamość użytkowników sieci Tor lub VPN

Choć w sieci nie brakuje rozwiązań technicznych zapewniających anonimowość użytkowników, to samo ich używanie nie gwarantuje pełnej ochrony. Dobrym tego przykładem jest najnowszy atak prowadzony przeciwko chińskim internautom.

Firma AlienVault opisała bardzo ciekawy atak przeciwko chińskim użytkownikom internetu odwiedzającym witryny związane z ruchami ujgurskimi, islamskimi oraz należące do organizacji pozarządowych. Ataki te trwają od roku 2013 i mogą w niektórych przypadkach prowadzić do ujawnienia tożsamości użytkownika sieci Tor lub serwisu VPN.

Ataki przez JavaScript

Atakowanie użytkowników sieci Tor za pomocą błędów w JavaScripcie nie jest już nowością. Pierwszym opisanym przykładem była próba deanonimizacji użytkowników stron hostowanych przez Freedom Hosting – kiedyś największą usługę hostingową w sieci Tor, w której dominowała pornografia dziecięca. Organy ścigania przejęły serwery Freedom Hosting i przez kilka dni serwowały wszystkim je odwiedzającym eksploita, który zbierał dane o użytkowniku i wysyłał je do serwera w USA. Tamten atak oparty był jednak na błędzie w starszej wersji Firefoksa.

Tym razem atakujący wykorzystują inną, bardzo sprytną metodę identyfikacji internautów bez względu na rodzaj połączenia, z którego ci korzystają. Pierwszym etapem ataku jest przejęcie kontroli nad stroną WWW, która może być odwiedzona przez przyszłe ofiary. W obserwowanej kampanii celami ataków były przede wszystkim serwisy skupiające inicjatywy obywatelskie i niepodległościowe niezgodne z oficjalną linią chińskiego rządu. Atakujący wstrzykują w przejęte serwisy kawałek kodu JavaScript. Ten kod z kolei wykorzystuje znaną podatność JSONP Hijacking. Polega ona na omijaniu ograniczeń same-origin policy i dzięki błędom w innych popularnych serwisach internetowych umożliwia odczytanie zawartych w nich informacji.

Lista podatnych chińskich serwerów

Lista podatnych chińskich serwerów

Dzięki tej technice oraz błędom umożliwiającym wstrzykiwanie JavaScriptu występującym w popularnych chińskich serwisach informacyjnych atakujący mogą próbować identyfikować odwiedzających zainfekowane strony. Wystarczy, że osoba je odwiedzająca ma otwartą w innej zakładce jedną z 15 popularnych chińskich stron (w tym 3 z pierwszej dziesiątki najpopularniejszych witryn świata), a atakujący będą w stanie odczytać np. informacje o zalogowanej sesji w innym serwisie. Jeśli zatem jakiś chiński opozycjonista jednocześnie przegląda strony organizacji pozarządowej i w tym samym czasie jest zalogowany w innym popularnym serwisie, to atakujący mogą poznać jego tożsamość.

Skutki i ofiary ataku

Chińscy opozycjoniści, czy to znajdujący się w Chinach czy też będący na emigracji, często korzystają z takich właśnie rozwiązań jak Tor lub VPN dla zapewnienia prywatności swojego ruchu internetowego a także, w przypadku internetu w Chinach, by móc w ogóle zajrzeć na zablokowane przez chińską cenzurę niedozwolone witryny. Ten atak jest dla nich szczególnie niebezpieczny, ponieważ naraża ich na ujawnienie tożsamości, co w Chinach może wiązać się z konkretnymi represjami.

Oczywiście rozwiązaniem problemu jest załatanie dziur pozwalających na przeprowadzenie ataku typu JSON Hijacking w podatnych serwisach, lecz również użytkownicy mają tutaj pewne pole do popisu. Rozsądnym podejściem jest blokowanie JavaScriptu na każdej witrynie. Dodatkowy poziom bezpieczeństwa można osiągnąć nie logując się nigdy w tej samej przeglądarce naraz do witryn potencjalnie zagrożonych oraz do tych, w których identyfikujemy się w sposób narażający naszą anonimowość.

Powrót

Komentarze

  • 2015.06.15 21:59 józek

    Tak bardzo nic nowego.

    Odpowiedz
    • 2015.06.15 22:02 Adam

      A były wcześniej udokumentowane takie ataki prowadzone w sieci? Nigdy nie trafiłem. Sama metoda teoretycznie znana od lat, ale ciekawy jest fakt implementacji.

      Odpowiedz
      • 2015.06.15 23:27 józek

        No dobra, można do tego tak podejść. Faktycznie, jeżeli wziąć pod uwagę, że „atak” wykorzystuje tylko przeglądarkę i serwisy internetowe do korelacji danych, to tak, coś „innego”. Ale czy zagrożenia te są nieznane i nie dokumentowane? JavaScript to wróg jakiejkolwiek działalności w TORze od samego początku istnienia sieci i wszyscy o tym trąbią na lewo i prawo. Co do korelacji danych, to przecież co chwila wybucha afera o podstawionych nodach i exit nodach, bo takie NSA zamiast miotać się ze stronami, woli kupić 20 własnych serwerów i filtrować wejścia prostymi algorytmami. Logowanie na fejsika i jednocześnie na forum pedo* od niepamiętnych czasów, to szczyt głupoty właśnie przez kontrolę węzłów. Artykuł nie pisze o niczym nowym, tylko o starym dobrym wujku Samie, w trochę innej koncepcji. Wnioski są takie same.

        *przykład nielegalnej działalności

        Odpowiedz
  • 2015.06.15 22:02 Jaclav

    Jakby nie spojrzeć przeglądanie tora z włączonym javascriptem to samobójstwo.

    Odpowiedz
  • 2015.06.15 22:08 OMG

    Kto normalny loguje się na swojego prywatne konta przez TOR w innych zakładkach?

    Odpowiedz
    • 2015.06.16 08:44 xDcracker

      Prosty człowiek, dla którego tor jest jedynym sensownym wyjściem na świat.
      Hacker, zawodowy złodziej czy pedofil raczej ma czas na research i stosowanie zasad bezpieczeństwa.

      Odpowiedz
  • 2015.06.15 23:57 adam

    >pedofilia dziecięca
    widzę co tu zrobiłeś xD

    Odpowiedz
  • 2015.06.16 00:45 Goofy

    A wystarczy zwykły Whonix, przed tym jakiś vpn z firewallem airvpn i mogą nam… no właśnie nic nie mogą :)

    Odpowiedz
  • 2015.06.16 13:41 arekf

    W sumie JSON Hijacking to slabo znana metoda atakowania.
    W tej sytuacji jak rozumiem nie ma metody na zabezpieczenie serwera poza zamknieciem luk XSS oraz usunieciem poufnych danych z uslug dostepnych przez JOSNP ?

    Odpowiedz
  • 2015.06.16 17:35 ToJa

    A wystarczyłoby, żeby przeglądarki w zapytaniach cross-origin nie wysyłały żadnych spersonalizowanych danych (w tym przypadku id sesji w ciastku). Zawsze pozostanie dla mnie tajemnicą, czemu to nie jest zaimplementowane w taki sposób – zamiast tego gimnastykują się z jakimiś sandboksami i innymi SOP.
    A no tak, komentarze z fejsbunia by nie działały, ale tutaj można by było prosto to rozwiązać poprzez CORS.

    Odpowiedz
    • 2015.06.18 15:42 Rozbawiony

      „Zawsze pozostanie dla mnie tajemnicą, czemu to nie jest zaimplementowane w taki sposób ” – wlasnie po to, aby anonimowosc nie istniala.

      Odpowiedz
  • 2015.06.16 18:12 JIO

    To znaczy, że nie omija zabezpieczeń iptables w np Whonix tylko liczy na błąd użytkownika.

    Odpowiedz
  • 2015.06.18 15:41 Rozbawiony

    „Tamten atak oparty był jednak na błędzie w starszej wersji Firefoksa.” – bledzie??? Zwyklym backdoorze. Wszystko co pochodzi z USA ma zerowe bezpieczenstwo. Czy to sprzet, czy oprogramowanie. Gwaranuje na 100%, ze w nowszych wersjach tez cos takiego sie znajdzie.

    Odpowiedz
    • 2015.06.18 15:45 Adam

      A oprogramowanie z jakiego kraju jest godne zaufania? Zimbabwe?

      Odpowiedz
      • 2015.06.18 15:53 Rozbawiony

        To, ktore zostalo „zabite” przez USA. Opera na Presto, Symbian, rozwiazania linuxowe typu Freepto (oczywiscie w rozsadnych granicach – na tym wciaz dziala calkowicie inwigilowany Tor – wiara w jego bezpieczenstwo jest wiara w krasnoludki).

        Odpowiedz

Zostaw odpowiedź do ToJa

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Niebezpieczny atak ujawnia tożsamość użytkowników sieci Tor lub VPN

Komentarze