Предупреждение о возможной атаке по выводу из строя Tor

Предупреждение о возможной атаке по выводу из строя анонимной сети Tor

Разработчики анонимной сети Tor получили информацию о готовящейся крупной атаке, в результате которой сеть может оказаться неработоспособной. Атака нацелена на вывод из строя заранее определённых в конфигурации (блок authorities) серверов директорий Tor, которые являются точками подключения к сети, отвечают за аутентификацию и передачу пользователю списка шлюзов, обрабатывающих трафик.

В настоящее время насчитывается 10 серверов директорий (Directory Authority - DA), которые размещены в разных странах (4 в США, 2 в Германии, 2 в Голландии, 1 в Австрии, 1 в Швеции). Теоретически, их можно вывести из строя массированной DDoS-атакой или физическим отключением серверов по инициативе спецслужб, что приведёт к невозможности пользователю подключиться к Tor, даже при работоспособности узлов сети, непосредственно отвечающих за передачу трафика. Более опасным сценарием является подмена серверов директорий с последующей симуляцией фальшивой сети Tor.

Когда начнётся атака неизвестно, наиболее вероятно она произойдёт в ближайшие несколько дней. Сообщается, что администраторы сети Tor подготовились к худшему развитию событий и гарантируют безопасность - анонимность пользователей будет сохранена, даже если сеть будет атакована. Среди стран, в которых предоставляемая Tor анонимность особенно востребована активистами за права человека, кроме Ирана и Сирии, упомянута и Россия.

Потерян контроль над кластером из 15 выходных узлов Tor

Томас Уайт (Thomas White), управляющий кластером из 15 выходных узлов сети Tor, предупредил сообщество о потере контроля над своей серверной инфраструктурой и блокировке учётной записи хостинг-провайдером. В один прекрасный момент все его серверы, размещённые у одного провайдера, перестали отвечать на запросы. Позднее некоторые из серверов были включены, но оказались недоступны по сети. В настоящее время все обслуживаемые кластером выходящие узлы выведены из сети Tor и до окончания разбирательства помещены в черный список. На серверах также размещались зеркала некоторых скрытых сервисов Tor, которые были запущены в отдельных виртуальных машинах.

Судя по имеющимся логам, непосредственно перед выключением было зафиксировано подключение к серверам неизвестного USB-устройства и открытие корпуса серверов. Вначале у владельца кластера превалировало предположения, что его серверы отключены провайдером по требованию правоохранительных органов, но позднее данная гипотеза была признана не такой вероятной, как казалось на первый взгляд.

Служба поддержки провайдера пока никак не прокомментировала возможность отключения по требованию правоохранительных органов, но подтвердила, что учётная запись была заблокирована после выявления факта неавторизированного доступа. Владелец кластера утверждает, что пользовался только защищённым каналом связи для управления серверами через KVM-консоль. Кроме того, это не объясняет причин, по которым было зафиксировано открытие корпуса сервера.

Сообщается также, что зафиксирована очистка большой порции логов. После возобновления доступа к накопителям будет проведен детальный аудит системы на предмет возможного внесения закладок. Утверждается, что серверы были сконфигурированы с учётом всех рекомендаций по обеспечению безопасности узлов Tor, т.е. на серверах не хранились какие-либо привязанные к пользователям данные и опасности для компрометации пользователей сети Tor нет. Прекращение работы 15 выходных узлов никак не скажется на производительности сети Tor, так как всего в Tor более тысячи выходных узлов.

Хакерская группа Lizard Squad получила контроль почти за половиной релеев Tor


Хакерская группа Lizard Squad, на днях успешно атаковавшая сервисы Sony PlayStation и Xbox Live, заявила о начале массовой атаки на анонимную сеть Tor, в результате которой по неподтверждённым сведениям применяется неизвестная до этого 0-day уязвимость. По заявлению группы ими уже получен контроль над примерно половиной релеев Tor. Данное заявление подтверждается появлением в Tor-статистике огромного числа подставных хостов, соответствующих маске "*.bc.googleusercontent.com" и размещённых под именами "LizardNSA*".

Целью атаки является добавление в сеть доминирующего числа подконтрольных релеев, которые можно использовать для деанонимизации пользователей, трафик которых будет проходить через данные подставные шлюзы. В настояшее время в сеть Tor добавлено более 3300 подставных релеев, что составляет почти половину от общего числа активных релеев. По сути имеет место глобальная атака по непрерывному наводнению сети Tor новыми релеями. В списке рассылки пользователей Tor к обсуждению подключился участник Lizard Squad, по словам которого благодаря их узлам выходная пропускная способность сети Tor увеличилась на 360Gbit/s.

Роджер Дингледин, один из основателей и разработчиков Tor, написал, что кто-то стремится «вывести из строя нашу сеть в ближайшие несколько дней через захват специализированных серверов». Однако он указал, что анонимная сеть «предпринимает шаги, чтобы обеспечить безопасность наших пользователей. Наша система уже построена, чтобы быть избыточной, так что пользователи сохранят анонимность, даже если сеть подвергнется нападению».

Вполне возможно, что устройство USB, обнаруженное в логах было подключением к KVM — Уайт получил противоречивую информацию от своего непосредственного провайдера и компании, в которой размещен центр обработки данных.