Pobieraliście pliki EXE przez Tora? To nie był najlepszy pomysł

dodał 26 października 2014 o 21:49 w kategorii Krypto  z tagami:
Pobieraliście pliki EXE przez Tora? To nie był najlepszy pomysł

Czasem użytkownicy Tora zapominają, że mogą paść ofiarą trywialnych ataków. Właśnie odkryto, ze jeden z rosyjskich węzłów Tora infekował wszystkie pobierane za jego pomocą pliki wykonywalne działające na platformie Windows.

Tor jest powszechnie utożsamiany z bezpieczeństwem, prywatnością i anonimowością. Niestety część użytkowników zapomina, że ze względu na strukturę sieci wszystkie połączenia do internetu odbywające się za jej pośrednictwem mogą paść ofiarą ataków MiTM, prowadzonych przez operatora węzła wyjściowego. Nie jest to tylko zagrożenie teoretyczne, co udowodnił najnowszy eksperyment.

Dowody na ataki MiTM

Trzy miesiące temu opisaliśmy proste narzędzia służące do modyfikowania w locie plików PE oraz ELF poprzez dodanie do nich odpowiedniej tylnej furtki. Choć narzędzia istniały, to do tej pory brak było dowodów na to, że ktoś stosuje je w świecie rzeczywistym. Josh Pitts z firmy Leviathan, autor The Backdoor Factory, postanowił zatem poszukać śladów fałszowania plików EXE w sieci.

Zaczął od sprawdzenia, jaki błąd wygeneruje Windows Update, gdy otrzyma zmodyfikowany plik wykonywalny. error 80200053 pojawia się w wynikach Google kilka tysięcy razy, a jego wyjaśnienie na stronie Microsoftu przeczytane zostało ponad 30 tysięcy razy. Powodem powstania błędu może być zarówno celowa modyfikacja pliku, jak i przypadkowe jego uszkodzenie w trakcie przesyłania z serwera do komputera użytkownika. Nie można zatem użyć tego argumentu jako dowodu na złośliwe modyfikowanie plików. Podobnie sprawa miała się z instalatorem Nullsoftu – również występowało wiele błędów, jednak nie można ich było wprost powiązać ze złośliwą aktywnością.

Złośliwy węzeł w sieci Tor

Josh zdecydował się zatem na ciekawy eksperyment. Korzystając z narzędzia exitmap, służącego do badania węzłów wyjściowych sieci Tor, sprawdził, czy któryś z nich nie modyfikuje pobieranych za jego pomocą plików. Wkrótce program zgłosił podejrzany węzeł w Rosji.

Znaleziony złośliwy węzeł sieci

Znaleziony złośliwy węzeł sieci

Ze wszystkich ponad 1100 przetestowanych węzłów wyjściowych tylko ten jeden modyfikował pliki EXE. Jego dane to:

Węzeł ten modyfikował prawie wszystkie pliki EXE, jakie przez niego przechodziły. Oryginalny plik był pakowany wewnątrz drugiego pliku w podobny sposób, jak opisany w tej pracy naukowej. Złośliwy kod łączył się z kilkoma serwerami, z których pobierał dodatkowe oprogramowanie i dopisywał się do rejestru, by być uruchamianym przy każdym starcie systemu. Udostępniono szczegóły analizy przykładowej próbki.

Autor powiadomił o swoim odkryciu osoby odpowiedzialne za zarządzanie projektem Tor, zatem możemy się spodziewać, że złośliwy węzeł szybko zniknął. Nie oznacza to jednak, że nie pojawi się ponownie. Jest także możliwe, że inne węzły także modyfikują pobierane pliki, jednak robią to bardziej selektywnie.

Jak uniknąć ryzyka

Najprostszą metoda unikania ryzyka infekcji w trakcie pobierania plików wykonywalnych za pośrednictwem Tora jest korzystanie wyłącznie z serwerów, z którymi można połączyć się przez HTTPS (jak np. serwery TorProject). Jako dobrą zasadę można ogólnie przyjąć, że jeśli korzystacie z Tora do przeglądania internetu, musicie założyć, ze każde nieszyfrowane połączenie jest udostępnione publicznie. W takiej sytuacji korzystanie z Tora pod względem bezpieczeństwa nie różni się zbytnio od używania niezaszyfrowanej sieci bezprzewodowej w lokalnej kafejce. Nie zapominajcie o tym.

Inny ciekawy atak, czyli BTC i Tor

W ostatnich dniach ukazała się także ciekawa praca naukowa na temat zagrożeń związanych z korzystaniem z BTC za pomocą sieci Tor. Naukowcy dowodzą w niej, że przy niskich nakładach atakujący może skutecznie wydawać cudze BTC lub powiązać ze sobą anonimowe transakcje tej samej osoby.