Der Angriff auf die TOR-Infrastruktur - Kryptowährungen sind das eigentliche Ziel

(Di Carlo Mauceli)
31/05/21

Apropos Anonymität im Netz und im Dark Web surfen Tor wird oft erwähnt. In der allgemeinen Vorstellung wird Tor sowohl als Methode der Internetkommunikation zur Ermöglichung der Online-Anonymität als auch als Werkzeug für den Zugriff auf das "dunkle Netzwerk" angesehen. Es ist daher notwendig, einige der Mythen zu klären.

Der erste wesentliche Unterschied betrifft die Tatsache, dass die Surfen im Dark Web unterscheidet sich grundlegend von der Browsen in inkognito, auch "Privates Surfen" genannt, das in allen Browsern als Option angeboten wird. Dieser Unterschied sollte betont werden, da er zu oft Gegenstand falscher Überzeugungen ist: Inkognito-Browsing hat einfach den Vorteil, dass der Browserverlauf, Cookies, Site-Daten und Informationen, die in den Site-Modulen eingegeben wurden, nicht gespeichert werden, aber es ist weit davon entfernt, dem Surfer eine echte Anonymität zu garantieren

Der Internet Service Provider verfolgt jeweils alle Aktivitäten, kennt die IP-Adresse und kann den Standort des Internetnutzers identifizieren. 

Darüber hinaus erlaubt uns das Inkognito-Browsing in keiner Weise, die Dunkle Web Dies ist eine Welt außerhalb des Webs, die wir alle durchsuchen.

Deep Web e Dunkle Web Sie sind zwei verschiedene Welten

Dunkle Web e Deep Web Sie sind zwei sehr unterschiedliche Welten und kommunizieren in gewissem Sinne nicht miteinander. In der Tat ist es gut zu unterstreichen, wie wir alle routinemäßig in der segeln Deep Web Dies gibt per Definition die Anzahl der Seiten im Web an, die nicht von gängigen Suchmaschinen wie Google, Bing usw. indiziert werden. Neue Websites, Webseiten mit dynamischen Inhalten, Web-Software, private Unternehmensseiten, Netzwerke Peer-to-Peer.

Das Gegenteil von der Deep Web nennt Surface-Web Dies besteht stattdessen aus Seiten, die von Suchmaschinen indiziert werden. Deshalb, Tief e Surface-Web Sie sind die beiden Seiten derselben Medaille mit dem Unterschied, dass die erste nicht indiziert ist und wir sie daher nur erreichen können, wenn wir die URL kennen. Lassen Sie uns überlegen Deep Web die Seite unseres Facebook-Profils, sowie die Webseite unserer Hotmail-Box und die Webseiten von Cloud-Dienstanbieter Hier werden unsere Dateien sowie die vielen Unternehmens-, Regierungs- und Finanzseiten gespeichert, die nur für den internen Gebrauch bestimmt sind und im Web vorhanden, aber nicht indiziert sind. Das Bild, in dem das Web als Eisberg dargestellt wird, veranschaulicht die zum Ausdruck gebrachten Konzepte.

Il Dunkle Web Stattdessen ist es ein sehr kleiner Teil des Webs. Es ist eine separate und unzugängliche Welt, auf die man sich verlässt darknet Dies sind geschlossene Netzwerke für den Zugriff, für die spezielle Konfigurationen erforderlich sind. Die wichtigsten darknet sie sind:

  • Freenet, wenig benutzt;
  • I2P;
  • Tor, The Onion Router, der mittlerweile der bekannteste und am häufigsten verwendete dieser Netzwerke ist.

Es ist wichtig darauf hinzuweisen, dass das Durchsuchen der Dunkle Web es hat nichts mit dem zu tun Browsen in inkognito von Browsern. Herkömmliche Browser erlauben uns in der Tat keinen Zugriff auf die Dunkle Web. Zum eingeben des Dunkle Web wir brauchen entsprechende Werkzeuge. Der bekannteste und am häufigsten verwendete Browser ist "Tor", den wir versuchen zu beschreiben, um ihn besser kennenzulernen und einen falschen Mythos zu zerstreuen: Stöbern Sie in der Dunkle Web Es ist nicht illegal, es sei denn, es wird für illegale Handlungen verwendet.

Tor

La Darknet Tor Es existiert seit 1998, als die US-Marine es mit der "Zwiebel-Routing" -Technologie herstellte, die entwickelt wurde, um Anonymität zu gewährleisten. 2006 wurde es veröffentlicht und im selben Jahr geboren Tor Project Inc., eine gemeinnützige Organisation mit Sitz in den USA. Es ist eine Infrastruktur Hardware engagiert und bestehend aus Server das hostet es. Heute wird Tor von Bruce Schneier geleitet, einem weltbekannten Kryptographen und Sicherheitstechnologen, dessen Blog sich den Themen von widmet Internet-Sicherheit, gehört zu den bekanntesten und beliebtesten der Welt. Die Organisationen, die Tor Project sind unter anderem das US-Außenministerium Büro für Demokratiedas Menschenrechte und Arbeit. Daher würde ich sagen, es ist offensichtlich, wie Tor Project Es handelt sich nicht um eine geheime Vereinigung oder eine Vereinigung gegen Cyberkriminalität. Weit davon entfernt, wie jedoch auf der Website zu lesen ist: „Verteidigen Sie sich gegen Verfolgung und Überwachung. Umgehung der Zensur ".

Aus diesen Gründen ist Tor ein Kommunikationsnetzwerk, das hauptsächlich von Journalisten, politischen Aktivisten und anderen genutzt wird Whistleblower weniger demokratische Länder, in denen es notwendig ist, Zensur und Überwachung zu umgehen, um seine Meinung zu äußern. Die Tatsache, dass es auch von den "Bösen" benutzt wird, hat keinen Einfluss auf seinen Wert. Es ist ohne Zweifel das Netzwerk darknet beliebteste und bekannteste und wird täglich von über 750.000 Internetnutzern weltweit genutzt.

Tor Infrastruktur

Das Tor-Netzwerk besteht aus mehreren Tausend Server auf der ganzen Welt verstreut. Insbesondere handelt es sich um eine Zahl zwischen 6.000 und 8.000 "Relais" und fast 3.000 "Brücken", die fast alle von Freiwilligen verwaltet werden. Das Durchsuchen von Daten fließt nicht direkt vom Client zum Server aber der Transit geht durch i Relais Tor arbeitet von Router, wodurch eine geschichtete verschlüsselte virtuelle Verbindung entsteht, genau wie eine „Zwiebel“, daher der Name Zwiebel.

Aus diesem Grund haben die URLs des Tor-Netzwerks die TLD Top Level Domain, bei der es sich nicht um das klassische .com oder .it, sondern um .onion handelt. Wenn Sie mit dem Surfen beginnen, indem Sie den Tor-Browser öffnen, werden drei Knoten zufällig ausgewählt, um eine Navigationskette zu bilden.

In jedem Schritt wird die Kommunikation verschlüsselt und dies geschieht für jeden Knoten. Darüber hinaus macht es die Tatsache, dass jeder Knoten im Netzwerk nur den vorherigen und den nächsten kennt, schwierig, den Startclient zu verfolgen. Es gibt drei Arten von Relais im Tor-Navigationssystem:

  • Schutz- / Mittelrelais;
  • Relais verlassen;
  • Brücke.

Wie gesagt, aus Sicherheitsgründen durchläuft der Tor-Verkehr mindestens drei Relais bevor sie ihr Ziel erreichen. Der erste ist der Schutzrelais, der zweite ist ein mittleres Relais die den Verkehr aufnimmt und schließlich an die weiterleitetRelais verlassen.

I Relais Intermediate, Guard und Middle sind nur innerhalb des Tor-Netzwerks sichtbar und machen im Gegensatz zum Ausgangsrelais nicht den Besitzer des Relais als Quelle des Verkehrs. Dies bedeutet, dass a Relais Zwischenstufe ist im Allgemeinen sicher. Vielleicht haben wir es auch im Server unseres Hauses und wird so zu einem Knoten der Tor-Infrastruktur. Das Relais exit ist der letzte Knoten, den der Tor-Verkehr durchläuft, bevor er sein Ziel erreicht.

Die Dienste, mit denen Tor-Clients eine Verbindung herstellen, wie die Website, der Chat-Dienst, der E-Mail-Anbieter usw. Sie sehen die IP-Adresse des Egress-Relays anstelle der echten IP-Adresse des Tor-Benutzers. Dies bedeutet, dass die IP-Adresse des Ausgangsrelais als Quelle des Datenverkehrs interpretiert wird.

Die Topographie des Tor-Netzwerks wird mit i vervollständigt Brücke. Es ist wichtig zu wissen, dass die Struktur des Tor-Netzwerks die IP-Adressen des Relais Tor sind öffentlich. Wenn eine Regierung oder ein ISP Netzwerke blockieren wollte, konnten sie dies leicht tun, indem sie die IP-Adressen dieser öffentlichen Tor-Knoten auf die schwarze Liste setzten. Aus diesem Grund gibt es i Brücke Da es sich um Knoten handelt, die nicht als Teil des Tor-Netzwerks in der öffentlichen Liste aufgeführt sind, wird es für Regierungen und ISPs schwieriger, das gesamte Netzwerk zu blockieren. DAS Brücke sind wesentliche Instrumente zur Umgehung der Zensur in Ländern, die regelmäßig die IP-Adressen aller blockieren Relais Tor öffentlich gelistet, wie China, die Türkei und der Iran.

Tatsächlich werden sie anstelle des Eingangsknotens verwendet, der normalerweise als bezeichnet wird Server eines bestimmten Landes, um zu verhindern, dass der ISP weiß, dass Sie Tor verwenden.

So verwenden Sie Tor über i Brücke es ist notwendig, im Voraus die Adresse von mindestens einem zu kennen Brücke. Tor-Projekt verteilt die IP-Adressen der Brücke auf verschiedenen Wegen, einschließlich der Website und E-Mail.

Es ist klar, dass auf diese Weise auch ein Gegner an diese Informationen gelangt und aus diesem Grund über die Schutzmaßnahmen von Tor Project, ist es am besten, in einem anderen Land eine vertrauenswürdige Person oder eine Organisation zu finden, die für diejenigen, die dies wünschen, a Brücke getrübt "privat". In diesem Fall, privat bedeutet, dass die Brücke wird mit der Option konfiguriert PublishServerDescriptor 0. Ohne diese Option kann die Tor Project wird von der Existenz der Brücke und er könnte seine Adresse an andere Personen verteilen, die auf diese Weise riskieren würden, in die Hände eines Gegners zu gelangen.

Sie können die Verwendung von einstellen Brücke aus der Netzwerkkonfiguration des Tor-Browsers.

Wenn das Begrüßungsfenster angezeigt wird, klicken Sie auf "+" und wählen Sie im Dialogfeld unter "Zusätzliche Einstellungen" "Netzwerkkonfiguration" und dann die Option "Eine Tor-Bridge oder einen lokalen Proxy konfigurieren".

I Brücke sie sind weniger stabil und neigen dazu, eine geringere Leistung zu erbringen als andere Einstiegsknoten.

Das Tor-Netzwerk ist auf Freiwillige angewiesen, die ihre Server und Bandbreite anbieten. Jeder kann daher seinen eigenen Computer zur Verfügung stellen, um ein Relay des Tor-Netzwerks zu erstellen. Das derzeitige Tor-Netzwerk wird durch die Anzahl der Benutzer unterfordert, was bedeutet, dass Tor mehr Freiwillige benötigt, um die Anzahl der Relais zu erhöhen. Verwalten von a Relais Tor, wie auf der entsprechenden Seite der Website erläutert Tor Project, können Sie dazu beitragen, das Tor-Netzwerk zu verbessern, indem Sie Folgendes tun:

  • schneller und folglich benutzerfreundlicher;
  • robuster gegen Angriffe;
  • stabiler bei Ausfällen;
  • Für seine Benutzer sicherer, da das Ausspionieren mehrerer Relais schwieriger ist als das Ausspionieren einiger weniger.

Ein letzter Aspekt, der zudem eigentümlich ist und ein nicht zu vernachlässigendes Problem darstellt: Sicherheit geht zu Lasten der Geschwindigkeit. Die „Weltreise“, die der Datenfluss machen muss, wie wir erklärt haben, wird die Navigation verlangsamen. Denken Sie also nicht daran, Tor für Streaming, File-Sharing oder für Aktivitäten zu verwenden, die große Datenströme erfordern.

Wie sicher und anonym ist Tor?

Theoretisch sollte es sicher sein und die Anonymität derjenigen gewährleisten, die es verwenden. In der Praxis gibt es - auch begründete - Zweifel an der tatsächlichen Sicherheit. Auf der gleichen Tor Project-Website auf der Support-Seite wird auf die Frage: „Bin ich völlig anonym, wenn ich Tor verwende?“ Die folgende Antwort gegeben: „Im Allgemeinen ist es selbst mit Tor unmöglich, eine vollständige Anonymität zu erreichen. Es gibt zwar einige Vorgehensweisen, um Ihre Anonymität zu erhöhen, während Sie Tor verwenden, aber auch offline. Tor schützt nicht den gesamten Internetverkehr Ihres Computers, wenn Sie ihn verwenden. Tor schützt nur Anwendungen, die korrekt konfiguriert sind, damit sie ihren Datenverkehr über Tor weiterleiten können. “

Obwohl Tor theoretisch anonym ist, können in der Praxis die "Exit-Nodes", an denen der Verkehr das sichere "Zwiebel"-Protokoll verlässt und entschlüsselt wird, von jedem eingerichtet werden, einschließlich Regierungsbehörden. Jeder, der einen Exit-Knoten verwaltet, kann dann den durch ihn fließenden Verkehr lesen.

Und in der Tat, leider haben wir seit mehr als 16 Monaten die Hinzufügung von gesehen Server an das Tor-Netzwerk, um den Verkehr abzufangen und Angriffe auf auszuführen SSL-Stripping an Benutzer, die auf Websites zugreifen, auf denen Kryptowährungen betrieben werden.

Die Angriffe, die im Januar 2020 begannen, bestanden aus dem Hinzufügen Server zum Tor-Netzwerk und markieren Sie sie als "Ausgangsrelais", die, wie zuvor erläutert, i sind Server über den der Verkehr das Tor-Netzwerk verlässt und nach der Anonymisierung wieder in das öffentliche Internet gelangt.

Diese Server Sie dienten dazu, den Verkehr zu Kryptowährungs-Websites zu identifizieren und eine SSL-StrippingDies ist eine Art von Angriff, mit dem der Datenverkehr von einer verschlüsselten HTTPS-Verbindung auf Klartext-HTTP herabgestuft werden soll.

Die wahrscheinlichste Hypothese ist, dass der Angreifer den Datenverkehr auf HTTP herabgestuft hat, um die IP-Adressen der Server der Kryptowährung mit ihren eigenen und damit Hijack-Transaktionen für den persönlichen Profit.

Die Angriffe sind nicht neu und sie waren es dokumentiert und erstmals im August letzten Jahres von einem Sicherheitsforscher und Tor-Knotenbetreiber namens Nusenu.

Zu diesem Zeitpunkt gab der Forscher an, dass es dem Angreifer dreimal gelungen war, das Tor-Netzwerk mit böswilligen Tor-Ausgaberelais zu überfluten, wodurch der Spitzenwert seiner Angriffsinfrastruktur auf etwa 23% der Ausgabekapazität des gesamten Tor-Netzwerks stieg, bevor er geschlossen wurde schon seit Tor Team.

Aber in einem neue Forschung kürzlich veröffentlicht und geteilt mit Die Record, sagte Nusenu, dass, obwohl ihre Operationen öffentlich aufgedeckt wurden, die Drohungen andauerten und noch andauern.

Laut Nusenu erreichten und übertrafen die Angriffe Anfang 2021 zweimal ein Viertel der gesamten Produktionskapazität des Tor-Netzwerks und erreichten im Februar 27 einen Höchststand von 2021%.

Die zweite Angriffswelle wurde wie die erste erkannt, und die böswilligen Tor-Exit-Relais wurden aus dem Tor-Netzwerk entfernt, jedoch nicht, bevor die Angriffsinfrastruktur aktiv war und den Tor-Verkehr wochen- oder monatelang abfing.

Der Hauptgrund, warum die Angriffe mehr als ein Jahr lang funktionierten, war, dass der bösartige Akteur bösartige Ausgaberelais "in kleinen Dosen" hinzufügte und es so schaffte, sich im Netzwerk zu verstecken und im Laufe der Zeit die bösartige Infrastruktur aufzubauen.

Der jüngste Angriff wurde jedoch schnell erkannt, da die Ausgabekapazität des Tor-Netzwerks von etwa 1.500 Ausgangsrelais pro Tag auf mehr als 2.500 gestiegen war, ein Wert, den niemand ignorieren konnte.

Obwohl mehr als 1.000 entfernt wurden Server, sagte Nusenu auch, dass der Angreifer am 5. Mai 2021 immer noch zwischen 4% und 6% der gesamten Ausgangskapazität des Tor-Netzwerks kontrolliert, mit Angriffen von SSL-Stripping noch in Arbeit.

Im August 2020 wurde die Tor Project gab eine Reihe von Empfehlungen heraus, wie Website-Operationen und Benutzer von Tor Browser sich vor dieser Art von Angriff schützen können. Benutzer, die den Tor-Browser verwenden, um auf Kryptowährung oder andere Finanzseiten zuzugreifen, werden aufgefordert, die auf der Website bereitgestellten Hinweise zu befolgen.

Es ist klar, dass es keine Infrastruktur gibt, die nicht angegriffen werden kann, und dass die Angriffe immer mehr darauf abzielen, Bereiche von wachsendem Interesse zu treffen, wie zum Beispiel, wie im Artikel berichtet, den Kryptowährungsmarkt. 

Kurz gesagt, niemand kann als sicher angesehen werden. Nicht einmal mit dem Browsen in inkognito.