01.04.2015 | 20:57

Adam Haertle

Seria tajemniczych ataków na ukryte usługi w sieci Tor, w tym ToRepublic

Od 7 dni trwa fala poważnych ataków na ukryte usługi w sieci Tor. Ich skutkiem jest między innymi mocno ograniczona dostępność narkotykowych bazarów, a przy okazji oberwało się także polskiemu forum ToRepublic.

Ze względu na specyfikę architektury w sieci Tor trudniej prowadzić ataki DDoS – ale także trudniej się przed nimi bronić. Najbardziej uciążliwe mogą być ataki wykorzystujące słabości protokołu, szczególnie takie, które trudno szybko naprawić. Wygląda na to, że własnie z takim rodzajem ataku mamy obecnie do czynienia.

Ktoś walczy z ukrytymi usługami

Tydzień temu w serwisie TorProject pojawił się opis niecodziennej sytuacji – użytkownik zgłaszał w nim, że obciążenie procesora jego serwera, na którym utrzymuje ukryte usługi, znienacka rośnie do 100%. Jeśli jedna z usług zostaje wyłączona, sytuacja wraca do normy, pozostałe usługi działają prawidłowo. Kiedy jednak ten jeden krytyczny adres zostaje ponownie włączony, procesor znowu wariuje i serwer przestaje obsługiwać zapytania. Mimo zaangażowania wielu osób, analizowania szczegółowych logów ataku i wspólnego wysiłku całej społeczności problem do tej pory nie znalazł skutecznego rozwiązania. Co więcej, wygląda na to, że ofiarą podobnych ataków padają popularne serwisy w sieci Tor.

Identyczny problem, z takimi samymi objawami, zgłaszano już w grudniu zeszłego roku. Interesujące jest to, że serwer nie widzi nagłego przypływu ruchu, obciążenie łącza pozostaje podobne, nie widać również śladów ataku w logach serwera WWW. Problem wygląda na związany z niedoskonałą obsługą wielu prób tworzenia obwodów w sieci Tor w momencie, gdy prosi o nie klient. Do tej pory powstało już 7 innych zgłoszeń sugerujących różne metody rozwiązania problemu. Nie pomagają one jednak serwerom borykającym się z atakami.

Administrator bazaru Middle Earth poinformował na Reddicie, że ataki są bardzo uciążliwe i uniemożliwiają prowadzenie interesów. W atakach ucierpiał także największy obecnie (po zamknięciu Evolution) bazar – Agora oraz forum AlphaBay. Podobno to właśnie właściciel Middle Earth jako pierwszy powiadomił programistów TorProject o wystąpieniu ataku i jego możliwych przyczynach. Na naszym podwórku ucierpiał także ToRepublic, który przez ostatni tydzień był częściej nieobecny niż dostępny. Najwyraźniej jednak albo ataki obecnie zelżały, albo administratorom udało się wdrożyć jakieś własnoręczne poprawki, ponieważ usługi są ponownie dostępne.

Problemy ToRepublic

Problemy ToRepublic

Czy należy się bać?

Na razie z opisu ataku nie wynika, by mógł on w jakikolwiek sposób umożliwić identyfikację użytkowników sieci. Również identyfikacja lokalizacji serwerów ukrytych usług raczej nie powinna być możliwa, chyba że w oparciu o analizę ruchu sieciowego w dużych serwerowniach i jego korelację z różnymi fazami ataków. Wygląda także na to, że TorProject bardzo aktywnie stara się zapobiec podobnym atakom w przyszłości – m. in. własnie wyszła nowa paczka oprogramowania, usuwająca część zidentyfikowanych problemów oraz po raz kolejny podnosząca poziom bezpieczeństwa domyślnej przeglądarki.

Choć atak był jednym z najpoważniejszych w historii sieci Tor, to jego skutki zostały relatywnie szybko zneutralizowane. Jednocześnie warto wspomnieć, że TorProject właśnie rozpoczął kampanię mającą zapewnić finansowanie rozwoju ukrytych usług, zatem przyszłość sieci rysuje się raczej w jasnych barwach.

Powrót

Komentarze

  • 2015.04.01 23:49 Viktor

    Myślę że to ten wirus MONu zlokalizowany przez speców z niebezpiecznika. Piszą w artykule że przez TORa także można go złapać, a imię jego Projekt 29 lub ID29.

    Odpowiedz
    • 2015.04.02 00:08 mpan

      A na kalendarz waćpan spojrzał? Na wypadek, gdyby nie wystarczyła sama niezbyt realistyczna seria wpisów w niebezpiecznikowym newsie? ;)

      Odpowiedz
      • 2015.04.02 08:07 scanner

        Witaj Kapitanie :)

        Odpowiedz
      • 2015.04.02 08:11 Planck

        Waćpan w słownik zajrzał? Słowie „ironia” lekturę radzę poświęcić.

        Odpowiedz
    • 2015.04.03 01:17 Adam

      @Viktor
      Ze względu na jawne oszustwo z datą (31.03) celem sztucznego zwiększenia liczby „paranoików” (oryginalna pisownia z ich prześmiewczego komentarza) oraz pewne szkodliwe porady powodujące bezpowrotną utratę dokumentów i dodatkowe koszty tamten serwis jest dla mnie od dzisiaj TROLLecznikiem.
      Żaden z ostatnich artów nie był tak dopieszczony, jak te dwa gównoarty dla trolli.

      Żebyście się nie cieszyli za mocno – mnie dane się ostały i byłem świadomy, że to 1 kwietnia, ale temat był mocno dwuznaczny, a osoby nietechniczne mogły sobie narobić niezłych problemów. No i oczywiście community robi z nie/ufających ludzi frajerów lub paranoików, ale za chwilę będą ładować kartę typu paywave do metalowego bunkra i będzie im to pasować… Dlatego nazwa TROLLecznik pasuje idealnie…

      Odpowiedz
      • 2015.04.03 08:07 misiou

        absolutna i pełna zgoda!

        Odpowiedz
      • 2015.04.03 17:27 Adam

        …jeszcze jedno… nie wszystkie komentarze z żalami przechodzą tam moderację… ;/

        Odpowiedz
        • 2015.04.04 08:01 MSM

          Nie przejmuj się, komentarze merytoryczne też nie zawsze przechodzą ;)

          Odpowiedz
          • 2015.04.04 11:55 Adam

            Oni są naprawdę przeżałośni. Wysyłałem dwa razy krytyczny komentarz, w którym poruszyłem kilka razy OBIEKTYWNE wady ich żartu/oszustwa. Nie mieli argumentów, więc oczywiście po 24h ani widu, ani słychu komentarza… O język wypowiedzi zapewne nie chodziło, bo komentarz „TNIJ K### TNIJ!” już im się podobał… Pełno wpisów robiących sobie jaja z ostrożnych i z nieostrożnych zresztą też. Moderację tam oczywiście przeszły również szczeniackie odzywki pisane przez „trolli wszystkowiedzących”… Ale merytoryczna krytyka JUŻ NIE… Oto cały obiektywizm Trollecznika… :D Wyszło szydło z wora, a takich hardych udawali…

            Kolejny ich artykuł to oczywiście jakaś dziwna sponsorowana reklama… Tam ktoś dobrze napisał. Trollecznik to otoczka z poziomem Sfory, reklamująca szkolenia… Jako specjaliści to oni mi się od teraz kojarzą z tymi od „O panie, a kto panu to tak sp####ł… ” :D

            A ten z TORa, co wykradał dane i szantażował ujawnieniem, gdy z firmy nie dadzą mu okupu, to gdzie się zwrócił po nagłośnienie sprawy ujawnienia? Do Trollecznika i to dwukrotnie… :D

            Oni są tak samo poważni, jak dzieci, tylko że dzieci są mniej niebezpieczne…

  • 2015.04.02 11:44 Dev0

    Czyżby strategia typu: problem z inwigilacją? Pozbądźmy się źródła problemu!
    Zastanówmy się, kto może mieć interes w tym, by rozwalić Darknet. NSA, na pewno nie, oni sobie radzą z TORem w inny sposób. Kacapy? Możliwe. Zemsta szalonego geniusza? Mało prawdopodobne.

    Warto śledzić temat, bardzom ciekaw kto i dlaczego.

    Odpowiedz
    • 2015.04.03 02:45 Adam

      „kto może mieć interes w tym, by rozwalić Darknet”
      Ja. Zapraszam do zadawania pytań… ;>

      Odpowiedz
      • 2015.04.08 12:49 Ninja

        Osobisty? Twórca TOR ci córkę zgwałcił?

        Odpowiedz
  • 2015.04.03 14:46 miro

    Pytanie do expertów.
    Czy w sieci Tor są możliwe ataki typu wariacje ataku sockstress?

    Odpowiedz
  • 2015.04.26 22:19 Adam

    hahaha

    Odpowiedz
  • 2015.06.25 17:35 likor

    niebezpiecznik skasowal post z ktorego wynikalo, ze ich strona stosuje invisible canvas .

    Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Seria tajemniczych ataków na ukryte usługi w sieci Tor, w tym ToRepublic

Komentarze