Ga naar inhoud

Tor-gebruikers nog altijd doelwit van mitm-aanvallen


Aanbevolen berichten

Gebruikers van het Tor-netwerk zijn nog altijd het doelwit van man-in-the-middle (mitm)-aanvallen die via malafide exit-servers worden uitgevoerd, waarbij begin dit jaar 27 procent van de exitnode-capaciteit van het Tor-netwerk in handen van de aanvaller was. Dat stelt een beveiligingsonderzoeker met het alias "nusenu" in een nieuw onderzoek.

Vorig jaar publiceerde de onderzoeker al onderzoek over mitm-aanvallen tegen Tor-gebruikers. Dagelijks maken zo'n twee miljoen mensen gebruik van het Tor-netwerk om hun privacy te beschermen. Het Tor-netwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor-gebruikers verwerken. Zo is de eerste server de entry guard, die het verzoek van de Tor-gebruiker naar de relay-node doorstuurt. Vervolgens gaat het van deze server naar de exitnode, die het verzoek naar het internet stuurt.

De eigenaar van de exitnode kan het verkeer van de Tor-gebruiker zien, maar weet niet van wie het afkomstig is. In het geval van http-verkeer kan de exitnode-beheerder het verkeer ook aanpassen. De aanvaller waarover beveiligingsonderzoeker "Nusenu" bericht maakt hiervan misbruik. De aanvaller verwijdert http-to-https redirects om toegang tot het onversleutelde http-verkeer te krijgen, zonder dat de gebruiker een certificaatwaarschuwing in Tor Browser te zien krijgt.

De meeste websites maken inmiddels gebruik van https. Wanneer de gebruiker in de adresbalk alleen de domeinnaam intikt zal de website via een http-to-https redirect de https-versie van de website laden. Bij de nu waargenomen aanval onderschept de aanvaller deze redirect en plaatst zichzelf tussen de gebruiker en opgevraagde website. De aanvaller zet tussen hemzelf en de website een beveiligde verbinding op, maar stuurt de informatie via het onversleutelde http naar de gebruiker. De gebruiker kan de aanval opmerken doordat er http en geen https in de adresbalk staat.

Om niet al teveel op te vallen wordt de aanval alleen bij bepaalde websites toegepast. Het gaat dan met name om crypto-gerelateerde websites, waaronder bitcoin-mixerdiensten. De aanvaller vervangt het bitcoinadres dat de gebruiker heeft opgegeven door zijn eigen bitcoinwallet. De aanvallen waar Nusenu vorig jaar augustus over berichtte vinden nog altijd plaats. Op 2 februari van dit jaar was volgens de onderzoeker 27 procent van de exitnode-capaciteit van het Tor-netwerk in handen van de aanvaller.

Malafide Tor-exitnodes worden wel verwijderd, maar de aanvaller voegt die ook weer toe aan het netwerk. Veel van deze servers blijken niet over contactgegevens te beschikken. Het Tor-netwerk bestaat meestal uit minder dan vijftienhonderd Tor-exitnodes. Begin deze maand werden er meer dan duizend nieuwe Tor-exitnodes binnen 24 uur toegevoegd. De onderzoeker merkt op dat dit indrukwekkend klinkt, maar de meeste van deze servers nagenoeg meteen worden verwijderd voordat veel mensen er gebruik van maken. Daardoor was het risico voor gebruikers dan ook klein.

Nusenu stelt dat de werkwijze van de aanvaller deels bekend is, zoals het aanpassen van de bitcoin-adressen. Andere aanvallen kunnen echter niet worden uitgesloten. "Stel eens voor dat een aanvaller 27 procent van de exitnode-capaciteit van het Tor-netwerk in handen heeft en een Firefox-exploit voor Tor Browser wordt gepubliceerd voordat alle gebruikers hun updates ontvangen", waarschuwt de onderzoeker.

Een goede bescherming is de HTTPS-Only mode van Firefox die standaard alleen https-sites laadt. Het is nog de vraag wanneer en hoe dit binnen Tor Browser zal worden verwerkt. Er zijn zorgen bij het Tor-ontwikkelteam dat met name regionale websites https niet ondersteunen en hoe Tor Browser hiermee moet omgaan.

Link naar reactie
Delen op andere sites


Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

 Delen

×
×
  • Nieuwe aanmaken...