Tor Network: KAX17 voert massale de-anonimiseringsaanvallen uit


Sinds ten minste 2017 heeft een onbekende, goed uitgeruste en schijnbaar door de staat gesponsorde aanvaller duizenden potentieel schadelijke servers uitgevoerd in entry-, middle- en exit-posities van het Tor-netwerk. Een IT-beveiligingsonderzoeker met het pseudoniem Nusenu, die zelf lid is van de community, ziet dit als een poging om gebruikers van de dienst op grote schaal te deanonimiseren.

De dreigende acteur, die Nusenu KAX17 doopte, exploiteerde meer dan 900 servers in het Tor-netwerk met een maximale bandbreedte van 155 GBit/s. Dat is een goede tien procent van de hele fusie, wat meestal één is dagelijks totaal heeft van 9.000 tot 10.000 nodes.

Sommige van deze servers die aan KAX17 zijn toegewezen, fungeren als toegangspunten (watchdogs), andere als tussenliggende relais en weer andere als startpunten. Als exit-knooppunten vertegenwoordigen de laatste de laatste fase in de verduisteringsroute die de verbinding tussen Tor en de rest van internet in stand houdt.

De taak van de nodes is het gezamenlijk versleutelen en anonimiseren van het dataverkeer van de gebruikers. Dit creëert een enorm netwerk van proxyservers die verbindingen naar elkaar doorsturen terwijl de privacy van de gebruikers wordt beschermd.

Servers die aan het Tor-netwerk worden toegevoegd, moeten eigenlijk rudimentaire contactgegevens bevatten. Dit is om de beheerders van de dienst en wetshandhavingsinstanties in staat te stellen contact op te nemen met de operators van de knooppunten in geval van een verkeerde configuratie of om misbruik te melden. Hiervoor is een opgeslagen e-mailadres voldoende.

De naleving van deze regel wordt echter niet strikt gecontroleerd. Vooral wanneer het netwerk niet voldoende actieve nodes heeft om gebruikersdataverkeer te verbergen, knijpen de Tor-operators een oogje dicht en accepteren ze ook servers zonder contactgegevens.

Volgens iemand kreeg Nusenu deze week van hem gepubliceerd artikel identificeerde een patroon op sommige van deze Tor-relais zonder e-mailadressen. Dat merkte de deskundige voor het eerst in 2019. Inmiddels heeft hij het fenomeen getraceerd tot 2017. KAX17 voegt voortdurend in grote aantallen nieuwe servers toe aan het netwerk zonder contactgegevens. Op elk willekeurig moment had de aanvaller honderden knooppunten in bedrijf.

De mysterieuze servers staan ​​meestal in datacenters die over de hele wereld verspreid zijn. KAX17 vertrouwt niet alleen op goedkope hosters, maar ook op de Microsoft cloud. De apparaten zijn voornamelijk geconfigureerd als entry- en centerpunten, maar er zijn ook een klein aantal exit-knooppunten.

Dit is ongebruikelijk omdat de meeste relevante aanvallers de neiging hebben zich te concentreren op het opereren vanaf het punt van herkomst. Dit stelt hen onder meer in staat om het dataverkeer van de gebruiker te wijzigen. De bredere focus van KAX17 suggereert volgens Nusenu dat de “vasthoudende” groep informatie probeert te verzamelen over Tor-leden en hun routes binnen het netwerk vastlegt. Gezien de uitgebreide middelen die worden gebruikt en de inspanning die ermee gemoeid zijn, zijn ze geenszins amateurs.

Nusenu berekent dat er een kans van 16 procent was dat een Tor-gebruiker via een van de KAX17-servers verbinding zou maken met het netwerk. De kans dat hij door een van de middelste estafettes ging was zelfs 35 procent. Met 5 procent was het vrij onwaarschijnlijk dat de groep gepakt zou worden bij het verlaten van Tor.

De grote kans op contact bij het betreden en in het midden van het netwerk kan zeker worden gebruikt om verborgen diensten te identificeren die via Tor worden beheerd, legt onderzoeker Neal Krawetz, gespecialiseerd in anonimiseringstechnologieën, uit aan het online magazine Het record. Deze aanpak “kan ook worden gebruikt om gebruikers te ontmaskeren”. De mogelijkheid om online diensten voor het grote publiek parallel te monitoren en op deze manier gebruikerssporen te volgen heeft een veelbelovend effect.

Vorig jaar Nusenu had aangetoond dat Tor relatief gemakkelijk kan worden geïnfiltreerd. Dienovereenkomstig exploiteerde de hackergroep BTCMITM20 op grote schaal exit-knooppunten. Op piekmomenten was de kans om zo’n server tegen te komen tijdens het browsen op Tor tot 27 procent. De oplichters wilden Bitcoin-overdrachten naar hun eigen rekeningen omleiden met behulp van Tor. De nodes werden ontmaskerd omdat ze ongewoon veel bandbreedte gebruikten en dataverkeer manipuleerden.

Gezien de verschillende profielen van de aanslagen gelooft Nusenu niet in een verband tussen KAX17 en BTCMITM20. Hij ziet het ook niet als een wetenschappelijk project. Zelfs als KAX17 een krachtige speler is, was dit – althans in het begin – al een fout in de operationele beveiliging (OpSec): Hij gaf aanvankelijk een e-mailadres op een aantal van zijn servers.

Dit e-mailadres verscheen later op één Tor project mailinglijst over, vooral tijdens discussies, of servers zonder dergelijke contactgegevens uit voorzorg moeten worden verwijderd. Opvallend is dat de betreffende deelnemer zich uitsprak tegen een dergelijke procedure.

Volgens eigen informatie rapporteert Nusenu sinds vorig jaar KAX17-servers aan het Tor-project. Het beveiligingsteam daar heeft vervolgens in oktober 2020 alle exit-knooppunten van de groep verwijderd. Kort daarna gingen enkele van deze servers echter weer online zonder contactgegevens. Het is aannemelijk dat KAX17 erachter zit. Blijkbaar ontwikkelt zich een konijn-en-egelrace tussen de twee partijen.

Een woordvoerder van het Tor-project bevestigde Het record de nieuwe kennis van Nusenu. Hij legt uit dat in oktober en november van dit jaar ook enkele honderden nodes die aan KAX17 kunnen worden toegeschreven, zijn verwijderd. De aanvaller wordt nog onderzocht en er kan dus geen toerekening worden gedaan. Er zijn nog geen precieze aanwijzingen over wie erachter zou kunnen zitten. De onthullingen van Edward Snowden suggereerden eerder dat in ieder geval de Amerikaanse technische inlichtingendienst, de NSA, over de juiste capaciteiten zou moeten beschikken.

Hoewel Nusenu er tot nu toe tegen was, acht de expert het nu verstandig en soms nodig om onbetrouwbare nodes in het Tor-netwerk uit te sluiten van bepaalde databewegingen. Dit is de enige manier om het risico op de-anonimisering en andere aanvallen te verkleinen. Hiervoor is het noodzakelijk dat Tor-clients het gebruik van “betrouwbare operators” kunnen instellen of deze kunnen leren kennen via “trust anchors”. Meer dan 50 procent van de exit-nodes is al gericht op een dergelijke “zelfverdedigings”-methode.


(bme)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: