Seria tajemniczych ataków na ukryte usługi w sieci Tor, w tym ToRepublic

dodał 1 kwietnia 2015 o 20:57 w kategorii Prywatność  z tagami:
Seria tajemniczych ataków na ukryte usługi w sieci Tor, w tym ToRepublic

Od 7 dni trwa fala poważnych ataków na ukryte usługi w sieci Tor. Ich skutkiem jest między innymi mocno ograniczona dostępność narkotykowych bazarów, a przy okazji oberwało się także polskiemu forum ToRepublic.

Ze względu na specyfikę architektury w sieci Tor trudniej prowadzić ataki DDoS – ale także trudniej się przed nimi bronić. Najbardziej uciążliwe mogą być ataki wykorzystujące słabości protokołu, szczególnie takie, które trudno szybko naprawić. Wygląda na to, że własnie z takim rodzajem ataku mamy obecnie do czynienia.

Ktoś walczy z ukrytymi usługami

Tydzień temu w serwisie TorProject pojawił się opis niecodziennej sytuacji – użytkownik zgłaszał w nim, że obciążenie procesora jego serwera, na którym utrzymuje ukryte usługi, znienacka rośnie do 100%. Jeśli jedna z usług zostaje wyłączona, sytuacja wraca do normy, pozostałe usługi działają prawidłowo. Kiedy jednak ten jeden krytyczny adres zostaje ponownie włączony, procesor znowu wariuje i serwer przestaje obsługiwać zapytania. Mimo zaangażowania wielu osób, analizowania szczegółowych logów ataku i wspólnego wysiłku całej społeczności problem do tej pory nie znalazł skutecznego rozwiązania. Co więcej, wygląda na to, że ofiarą podobnych ataków padają popularne serwisy w sieci Tor.

Identyczny problem, z takimi samymi objawami, zgłaszano już w grudniu zeszłego roku. Interesujące jest to, że serwer nie widzi nagłego przypływu ruchu, obciążenie łącza pozostaje podobne, nie widać również śladów ataku w logach serwera WWW. Problem wygląda na związany z niedoskonałą obsługą wielu prób tworzenia obwodów w sieci Tor w momencie, gdy prosi o nie klient. Do tej pory powstało już 7 innych zgłoszeń sugerujących różne metody rozwiązania problemu. Nie pomagają one jednak serwerom borykającym się z atakami.

Administrator bazaru Middle Earth poinformował na Reddicie, że ataki są bardzo uciążliwe i uniemożliwiają prowadzenie interesów. W atakach ucierpiał także największy obecnie (po zamknięciu Evolution) bazar – Agora oraz forum AlphaBay. Podobno to właśnie właściciel Middle Earth jako pierwszy powiadomił programistów TorProject o wystąpieniu ataku i jego możliwych przyczynach. Na naszym podwórku ucierpiał także ToRepublic, który przez ostatni tydzień był częściej nieobecny niż dostępny. Najwyraźniej jednak albo ataki obecnie zelżały, albo administratorom udało się wdrożyć jakieś własnoręczne poprawki, ponieważ usługi są ponownie dostępne.

Problemy ToRepublic

Problemy ToRepublic

Czy należy się bać?

Na razie z opisu ataku nie wynika, by mógł on w jakikolwiek sposób umożliwić identyfikację użytkowników sieci. Również identyfikacja lokalizacji serwerów ukrytych usług raczej nie powinna być możliwa, chyba że w oparciu o analizę ruchu sieciowego w dużych serwerowniach i jego korelację z różnymi fazami ataków. Wygląda także na to, że TorProject bardzo aktywnie stara się zapobiec podobnym atakom w przyszłości – m. in. własnie wyszła nowa paczka oprogramowania, usuwająca część zidentyfikowanych problemów oraz po raz kolejny podnosząca poziom bezpieczeństwa domyślnej przeglądarki.

Choć atak był jednym z najpoważniejszych w historii sieci Tor, to jego skutki zostały relatywnie szybko zneutralizowane. Jednocześnie warto wspomnieć, że TorProject właśnie rozpoczął kampanię mającą zapewnić finansowanie rozwoju ukrytych usług, zatem przyszłość sieci rysuje się raczej w jasnych barwach.