Grootschalige mitm-aanval heeft Tor-gebruikers als doelwit
Afgelopen maanden waren gebruikers van het Tor-netwerk doelwit van een grootschalige man-in-the-middle, oftewel mitm-aanval. De aanvaller die hiervoor verantwoordelijke is, is nog steeds actief, zo staat in een nieuw rapport van een beveiligingsonderzoeker. Op het hoogtepunt zou de aanvaller bijna 24 procent van alle Exitnode-capaciteit van het Tor-netwerk hebben overgenomen. Daarnaast zou de hacker de toegang hebben gebruikt voor het onderscheppen van het http-verkeer naar bepaalde websites.
Werking
Zo’n 2,5 miljoen mensen maken dagelijks gebruik van het Tor-netwerk om zo hun privacy te beschermen. Het netwerk bestaat uit verschillende servers van vrijwilligers die het webverkeer van Tor-gebruikers verwerken. De eerste server is de entry guard. Deze stuurt het verzoek van de Tor-gebruiker door naar de relay-node. Hierna gaat het van deze server naar de exitnode, die het verzoek vervolgens naar het internet stuurt.
Het verkeer van de Tor-gebruikers is door de eigenaar van de exitnode wel te zien, maar er staat niet bij van wie het afkomstig is. De exitnode-beheerder kan in het geval van http-verkeer ook het verkeer aanpassen. Volgens de beveiligingsonderzoeker ‘Nusenu’ maakt de aanvaller hier misbruik van. Zo verwijdert de hacker http-to-https redirects om toegang te krijgen tot het onversleutelde http-verkeer zonder dat de Tor-gebruiker een certificatiewaarschuwing te zien krijgt in Tor Browser.
Vaak maken websites inmiddels gebruik van https in plaats van http. Wanneer een gebruiker enkel de domeinnaam intikt in de adresbalk zal de website via http-to-https redirect de website laden in de https-versie. Bij de aanval die nu is waargenomen wordt deze redirect door de aanvaller onderschept en plaatst hij zichzelf tussen de opgevraagde website en de gebruiker. Tussen hemzelf en de website, zet de hacker een beveiligde verbinding op, maar stuurt via onversleutelde http de informatie naar de gebruiker. De gebruiker kan in dit geval de aanval opmerken doordat er geen https, maar http in de adresbalk staat.
De hacker heeft om niet te veel op te vallen het voorzien op bepaalde websites. Het gaat het om crypto-gerelateerde websites, waaronder bijvoorbeeld bitcoin-mixerdiensten. “Bitcoin-adressen aanpassen is niet nieuw, maar de schaal van deze aanval is dat wel”, aldus de beveiligingsonderzoeker. Het is volgens hem niet mogelijk om vast te stellen of de hacker zich ook bezighoudt met andere aanvallen.
Bescherming
Er zijn verschillende exitnode-servers van de aanvaller verwijderd, maar de onderzoeker vermoedt dat hij nog steeds meer dan tien procent van de capaciteit in bezit heeft. De gebruikers van Tor kunnen zich beschermen door volledige webadressen in te vullen en deze te beginnen met https://. Daarnaast kunnen website hun gebruikers beschermen door HTTP Strict Transport Security (HSTS) te gebruiken. Dit zorgt ervoor dat https-websites ook alleen via https kunnen worden bezocht, ook als er door de gebruiker enkel http wordt ingetypt in de adresbalk.
Door gebruik te maken van een HSTS-preloadlist kan ervoor worden gezorgd dat websites ook bij het allereerste bezoek enkel via https kunnen worden bezocht. Deze lijst bevat namelijk hostnames waarvoor een browser automatisch een https-verbinding afdwingt. Eigenaren van een domein kunnen zich via a href="https://hstspreload.org/">hstspreload.org aanmelden voor deze lijst. Tenminste één van de doelwitten van de aanval heeft deze maatregel al genomen.
Ook heeft de onderzoeker een boodschap voor Tor Project, de beheerder van het Tor-netwerk. Dat er herhaaldelijk en op grote schaal kwaadaardige exitnode-servers worden ingezet, duidt volgens de onderzoeker op het tekortschieten van controles en aanpak. Hiermee is het dreigingslandschap voor Tor-gebruikers veranderd. Er zijn wel verschillende maateregelen voorgesteld die het Tor Project zou kunnen nemen.
Bron: Security.nl