27.11.2014 | 20:49

Adam Haertle

Ponad 300 BTC skradzione w ataku MiTM na węzły wyjściowe sieci Tor

W ciągu ostatnich kilku dni tajemniczy złodziej przywłaszczył sobie ponad 320 bitcoinów należących do użytkowników portfela Blockchain.info. Wszystkie ofiary łączy jedno – ze swoim portfelem online łączyły się przez sieć Tor. To był zły pomysł.

Jedną z największych, a zarazem stosunkowo mało znanych wad sieci Tor jest narażenie jej użytkowników na ataki typu Man in The Middle prowadzone przez złośliwych operatorów węzłów wyjściowych. Taki węzeł może na przykład doklejać konie trojańskie do pobieranych plików wykonywalnych, ale może także przechwytywać hasła do portfeli BTC prowadzonych w sieci.

Przypadkowe ofiary

Pierwsze zgłoszenie poszkodowanej osoby, które znaleźliśmy, pochodzi sprzed 2 dni. Na Reddicie użytkownik Blockchain.info poskarżył się, że z jego konta zniknęło nieco ponad 1 BTC. Podał także adres portfela, na które powędrowały jego bitcoiny. Dzisiaj z kolei odezwał się inny poszkodowany, który z kolei stracił 2,5 BTC a twierdził, że dba o bezpieczeństwo, jego hasło ma ponad 80 znaków a korzysta z platformy linuksowej. Analiza użytkowników Reddita pozwoliła na ustalenie przyczyny kradzieży – obie ofiary korzystały z sieci Tor i portfela Blockchain.info.

Jak najprawdopodobniej doszło do ataku? Ofiary złodziei łączyły się za pośrednictwem sieci Tor ze stroną WWW. Miały pecha, ponieważ ich połączenie wychodziło do internetu przez węzeł sieci, którego operatorem był złodziej. Złodziej, aby podsłuchać ich loginy i hasła, musiał najpierw poradzić sobie z protokołem HTTPS. Podrobienie certyfikatu strony jest praktycznie niemożliwe, lecz atak nie był  trudnym zadaniem – są gotowe narzędzia, które widząc żądanie HTTPS automatycznie zamieniają je na HTTP. Użytkownicy najwyraźniej nie zwrócili uwagi na to, że strona, którą otwierali, nie zapewniała już szyfrowania transmisji. Istnieją także narzędzia, które zamieniają ikonkę strony (favicon) na taką, która przypomina charakterystyczną kłódkę HTTPS, by optycznie oszukać użytkowników. Po przechwyceniu loginu i hasła atakujący mógł wypłacić środki, ponieważ poszkodowani nie korzystali z dwuskładnikowego uwierzytelnienia.

Niemałe straty

Choć osoby, które opisały na Reddicie swoje przygody, straciły relatywnie niewielkie sumy, to analiza rachunku złodzieja pokazuje, że jego łączne przychody wyniosły 321 BTC a jedna z ofiar straciła aż 254 BTC. Obroty na rachunku pokazują także, że do kradzieży dochodziło od 21 listopada tego roku a ostatnia transakcja miała miejsce wczoraj. Co ciekawe, już 4 dni temu Blockchain.info wprowadził filtr blokujący połączenia z sieci Tor więc najwyraźniej jego administratorzy zdają już sobie sprawę z zagrożenia.

Rachunek złodzieja

Rachunek złodzieja

Warto przy tej okazji po raz kolejny przypomnieć, że Tor nie jest uniwersalnym narzędziem, zapewniającym użytkownikom magiczną odporność na wszystkie ataki. Między innymi z tego powodu warto oprócz Tora korzystać z połączenia VPN lub bardzo pilnie weryfikować, czy strona, którą otwieramy, zawsze oferuje połączenie szyfrowane.

Powrót

Komentarze

  • 2014.11.27 21:01 schutzen88

    Brawo! Zawszę się cieszę, gdy okradają bitcozjebów ;-) Pozdrowienia dla sprawcy i życzę dalszych powodzeń.

    Odpowiedz
    • 2014.11.27 21:08 Trol

      Zgadza się! Ja się dodatkowo cieszę jak biją murzynów a sąsiada drogówka łapie. Nic nie cieszy bardziej niż to, że kogoś okradają. To takie polskie przecież.

      Odpowiedz
      • 2014.11.27 21:19 Duży Pies

        100/100 !

        Odpowiedz
        • 2014.11.28 13:34 Wpisójcie miasta

          14/88!

          Odpowiedz
          • 2014.12.03 15:37 T6R

            Łuć XD

    • 2014.11.28 09:30 Janusz

      Ej, czy ty też wyrównujesz do dołu? Za mądry dla ciebie, kto mądrzejszy od ogółu matołów? Za bogaty ten, kto bogatszy niż ty? Ludzie zachowują się jak ogrodnika psy. Ej, czy równasz w dół? Skoro tobie brak, to niech też braknie mu? Brak mi słów na takie podejście -zawiść, zazdrość, zamiast starać się mieć więcej, tylko myślisz żeby inni mieli mniej… Ej, śmiej się, śmiej, zobaczysz jednak, twój śmiech urwie się jak hejnał. Niech myśl jedna ogarnie tu wszystkie umysły…

      Słowa Wojtka Sokoła nadal aktualne.

      Odpowiedz
    • 2014.12.07 09:31 Pan Jan

      schutzen88, ile utopiłeś nieumiejętnie w nie inwestując? Podejrzanie mocno boli cię dupka ;-)

      Odpowiedz
  • 2014.11.27 21:03 koder

    No niektórzy już sobie niezły biznes z TORa zaczynają robić… Coraz gorzej, czas chyba na TORv2, bo ostatnio wychodzi wada za wadą.

    Odpowiedz
    • 2014.11.28 21:48 qj0n

      W sumie wiele z tych wad jest znanych od dawna ;)

      Odpowiedz
  • 2014.11.27 21:13 Duży Pies

    Bitcoin i inne kryptowaluty, „z natury” zapewniają anonimowość. Na razie operacje Bitcoinowe nie są zakazane, choć prawdopodobnie są monitorowane. Co miało dać poszkodowanemu użycie Tora? Równie dobrze mógł to zrobić jakimś VPNem, nawet enkapsulując go kolejnym VPNem, skoro tak bardzo chciał ukryć operację kryptowalutą.
    .
    O Torze zrobiło się już głośno za sprawą spektakularnych włamów i operacji policyjnych, i widzę że ludzie bezkrytycznie wierzą w jego „siłę”.

    Odpowiedz
    • 2014.11.27 21:39 koder

      Monitorowane w jaki sposób? Możliwy jest tylko backdoor w portfelach lub tak jak tutaj, atak MIDM.

      Odpowiedz
      • 2014.11.27 21:53 Duży Pies

        Miałem na myśli portale oferujące operacje kryptowalutami, użytkowników je odwiedzających i logujących się. O ile samej kryptowaluty nie da się „monitorować”, to można obserwować jak się te transakcje rozwijają. Rządowe fiskalizmy nie będą przyglądać się rozwojowi Bitcoina bezczynnie.

        Odpowiedz
    • 2014.11.27 23:04 kgsz

      Bitcoin absolutnie nie jest anonimowy. Pełna historia operacji, portfele, powiązania – wszystko jest publicznie dostępne.
      http://www.theregister.co.uk/2014/11/27/bitcoin_laid_bare_boffins_beat_anonymity/
      http://www.coindesk.com/researcher-tracks-bitcoin-movements-anonymity/
      i przede wszystkim to: http://arxiv.org/abs/1107.4524
      itd.

      ATSD „Co ciekawe, już 4 dni temu Blockchain.info wprowadził filtr blokujący połączenia z sieci Tor więc najwyraźniej jego administratorzy zdają już sobie sprawę z zagrożenia.” to takie trochę wylewanie dziecięcia z kąpielą :/

      Odpowiedz
      • 2014.11.28 00:00 Duży Pies

        No no. Zawsze myślałem że BTC zapewnia anonimowość. Ale jak widać to trochę bardziej skomplikowane.

        Odpowiedz
        • 2014.11.28 00:38 eimi

          Bitcoin zapewnia pseudonimowość. Anonimowość powinien zapewnić Zerocoin, dodatkowy protokół działający na Bitcoinie.

          Ale też nie przejmowałbym się specjalnie jednym artykułem z arXiv. Nie chce mi się powtarzać historii z /., więc tylko zarzucę linkiem dotyczącym innej „deanonimizacji” – poczytajcie sobie całą dyskusję.

          http://yro.slashdot.org/story/14/11/26/2121214/bitcoin-is-not-anonymous-after-all

          Odpowiedz
        • 2014.11.28 21:53 qj0n

          Ja dodam jeszcze, że na samym Blockchain (tak, ten serwis, co o nim jest w artykule). Można sobie na żywo oglądać transakcje BTC:
          https://blockchain.info/pl

          Odpowiedz
  • 2014.11.28 13:29 szu

    zastanawiam się tylko ile czasu zajmuje wpisywanie hasła składającego się z 80 znaków…

    Odpowiedz
    • 2014.11.28 13:52 ta

      Pewnie ctrl+c ctrl+v z pliku tekstowego :P

      Odpowiedz
  • 2014.11.28 14:05 JOHNY

    Na początku przeczytałem MIT :D Studenci vs Bitcoinowcy xD Dziwne, że wcześniej nie pomyśleli o tym filtrze na tora :v

    Odpowiedz
    • 2014.11.28 21:52 qj0n

      Teoretycznie TOR zapewnia dodatkową prywatność – o ile ktoś umie na tyle go używać, by nie połączyć się przez http…

      Odpowiedz
  • 2014.11.29 01:45 drawer

    Bo btc trzyma sie na portfelu na pececie najlepiej a nie w wirtualnych portfelach. Kopiujesz regularnie plik wallet.dat i tyle jezeli chodzi o zabezpieczenia.

    Odpowiedz
  • 2014.11.29 15:20 StopCensorship

    „Jedną z największych, a zarazem stosunkowo mało znanych wad sieci Tor jest narażenie jej użytkowników na ataki typu Man in The Middle prowadzone przez złośliwych operatorów węzłów wyjściowych.”

    Mam nadzieję że twórcom TORa się to uda naprawić

    Odpowiedz
  • 2014.11.29 19:00 OpekHopek

    Z tego co się orientuję to ten portfel jest oparty w pełni na javascript, z serwera otrzymuje się jedynie zaszyfrowany portfel, a wszystkie operacje są wykonywane na poziomie przeglądraki (w tym odszyfrowanie portfela). Atakujący więc nie podsłuchał a dokleił swoje złośliwe coś, by otrzymać hasło.

    Odpowiedz
  • 2014.11.29 21:28 Pan1234

    Na biednego nie trafiło

    Odpowiedz
  • 2014.12.03 15:42 T6R

    I po co komu był ten bitcoin?

    Odpowiedz
  • 2014.12.27 23:45 Mariusz

    Jak ktos korzysta z Tora laczac sie z platformami Bitcoin i nie weryfikuje czy ma HTTPS czy nie to sorry ale czegos tu nie rozumiem , przeciez to sa podstawy!!!Tak to jest jak ludzie uzywaja narzedzi o ktorych nie maja pojecia.

    Odpowiedz
  • 2014.12.27 23:46 Mariusz

    HTTPS to podstawa jesli chodzi o Tor przeciez wiadomo ze ostatni wezel to slaby punkt,dodatek do przegladarki HTTPS everywhere sie klania.

    Odpowiedz

Zostaw odpowiedź do Duży Pies

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Ponad 300 BTC skradzione w ataku MiTM na węzły wyjściowe sieci Tor

Komentarze