A Tor hálózat biztonsága

 ( wowbagger | 2007. november 21., szerda - 20:02 )

A finn F-Secure biztonságtechnikai cég a közelmúltban vizsgálta az Electronic Frontier Foundation-től eredő TOR (The Onion Router) hálózat biztonságát.

Az analízis során arra jutottak, hogy vannak olyan rosszindulatú személyek, akik a számítógépükre feltelepítik a kilépő Tor proxyt, majd a tunnelből kilépő kapcsolatok egy részén közbeékelődéses támadást indítanak a felhasználó ellen, amikor az például banki ügyeit kívánja intézni.

Az analízist úgy végezték, hogy a kapcsolódást végrehajtották a Tor hálózaton egy adott kilépő proxyn keresztül, illetve Tor nélkül, és a kapott certificate-eket összevetették. Ahol a két certificate különbözött, ott a kilépési pont megpróbált közbeékelődni.

Az EFF is felhívja a figyelmet arra a Tor szoftver oldalán, hogy a hálózat használata sem garantálja a magánszféra védelmét.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Közbeékelődés... Én is arra használom. :)

"közbeékelődéses támadás"

Ez a MITM?

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Szerintem az akart lenni.

--
trey @ gépház

Igen. A probléma ráadásul súlyosabb mint elsőre tűnik, mert certificate (azaz pl. https) különbözőség esetén még fel is tűnhet, ha valaki a cél szervernek adja ki magát, de sima plain-text protokolloknál ez ki sem derül, hisz nem kell mást csinálnia a támadónak, csak sniffelni a forgalmat...

Lényegében arról van szó, hogy a Tor akár veszélyesebb is tud lenni, mint egy sima internet kapcsolat, mert *bárki* csinálhat egy Tor szervert, ahol beállíthatja, hogy kifele is enged kapcsolatokat (sokan reject *:* beállítást használnak, így a láncban csak középen helyezkednek el, tehát kizárólag egyfajta átjátszóként funkciónálnak a Tor szerverek között és csak titkosított adatokat látnak). Ha viszont valaki kifele is enged kapcsolatokat, akkor ő lehet _kilépő_ szerver is (ahonnan kapcsolat a cél szerver fele már ugyanabban a formában halad, ahogy a kliens programot (pl. böngészőt vagy levelező klienst) elhagyta, tehát plain-text protokoll esetén titkosítatlanul) és bármit láthat és módosíthat.

Mi is csináltuk kiváncsiságból hónapokkal ezelőtt ilyet és tényleg hihetetlen, hogy rengeteg ember "biztonságos Tor" felkiáltással lekéri pop3-on a leveleit, majd belép a http-n a féltve örzött jelszavával a kedvenc weboldalára... :)

A leírásban meg az szerepel, hogy nyilván ezt sokan tovább fokozzák és egyfajta https tunnelt is képeznek (szerintem ssh-val is megteszik ezt ;) és aki nem figyel arra, hogy a cél szerver tanúsítványa (digitális aláírása) megegyezik a valódival, annak a titkosítottnak hitt csatornájába ugyanúgy belelátnak vagy akár bele is módosíthatnak, hisz nem a valódi cél szerverrel kommunikál, csak ezzel a kilépő szerverrel, amelyik kititkosítva látja a kapcsolatot, majd ő egy másik titkosított kapcsolatot hoz létre a célszerverrel amely fele továbbjátsza (az esetleg már módosított) kommunikációt.

A TOR célja az anonimitás, nem a biztonság. Bármelyik elhagyásával a másik tökéletesre csinálható.

Remélem nem engem akartál ezzel felvilágosítani... :)
A hozzászólásom pont arról szólt, hogy az emberek hajlamosak rosszul, téves céllal, hamis biztonságérzettel használni ezt az eszközt.

nem a "bűnözők" ellen véd, hanem a "rend őrei" ellen ... vagyis nem véd, elrejt.

ezt csak szubjektíven lehet értékelni ... ki ki mérlegelje hogy kinek a kezébe adná szívesebben hétvégi berugásáról szóló körleveleit... bankolni fölösleges, iwiwet nézegetni nem, üzletre ilyet nem használ senki, magánszférámba meg ne túrjanak olyanok akiknek ez a munkájuk, nem csak egyszerűen perverz beteg állatok

viszont, szerencsére ténylegesen fontos dolgokat azért valamennyire vagy teljesen titkosítva küldözgetik ... pl mit kezdenek egy sha1-es plain text jelszóval? vagy md5-össel 7 forráskarakterrel?

Attól függ, hogy azaz sha1 vagy md5 hash milyen környezetben van használva és hogyan történik vele az authentikáció. :)

Aki meg iwiw tag, annak már úgyis mind1, felesleges Tor-ral lassítania magát... ;P

Igen az. Szerintem jó fordítása az angol kifejezésnek.
__________________________________________________________
Az életben csak egy dolog a szép, de az épp nem jut eszembe.

szerintem korrekt, de neha celravezeto, ha az egyertlmuseg erdekeben zarojelben melleirjuk az eredeti kifejezest

de ez csak uff :)

szep forditas, grat

--
Bow down and admit defeat. | Old, weak and obsolete.

De ez így van magyarul, legalábbis mindenhol így olvastam eddig, nem értem mi a meglepődés oka. Olyan mintha meglepődnénk azon a szón hogy "merevlemez".

oks, legközelebb megfogadom a tanácsodat.
__________________________________________________________
Az életben csak egy dolog a szép, de az épp nem jut eszembe.

Tor nélkül nem lehet így közbeékelődni?
Vagyis mi van ha a szolgáltatómnál ékelődnek közbe?

Az szolgáltatód már alapból közbe van ékelődve:))) Tehát bármikor bele nézhetne a forgalomba, de nyugodt lehetsz, hogy nem a te titkosítatlan jelszavaidat figyelik éjjel-nappal.

csak botnet-be szervezik a géped :)

+1 :D

na arra leszek kíváncsi, bár kétségkívül rossz jel ha a szolgáltatótól egy csomó X-P-s gép akar megosztáskat keresni a gépemen xD