Tor je synonymem šifrované anonymní sítě uvnitř internetu. V Toru nikdo neuvidí vaši IP adresu, nikdo vás nemůže vystopovat. Jenže to je jen teorie. I zde jsou záškodníci.
Když loni na podzim unikl další tajný dokument, který popisoval letité snahy NSA prolomit anonymitu sítě Tor, mnozí nezasvěcení uživatelé se možná zhrozili, že přijdou o poslední kus svobody na internetu.
Faktem ale zůstává, že anonymita Toru byla před tím prolomena už mnohokrát a Tor není automaticky jakýsi zázračný systém, který zaručeně skryje vaší identitu. Naopak se v něm skrývají záškodníci, kteří vás mohou odposlouchávat a infikovat snad ještě jednodušším způsobem než na běžném veřejném webu.
FBI v mezinárodní spolupráci čas od času odhalí nějakého toho pedofila a překupníka drog a jsou tu i záškodníci, kteří vás chtějí obelhat. Právě jim se věnuje čerstvá studie (PDF) výzkumníků ze švédské univerzity v Karlstadu.
Než se společně podíváme, na co vlastně analytici přišli, ve zkratce zrekapituluji, jak Tor funguje a kde se skrývá jeho největší slabina.
Internet
V běžném internetu letí datový paket z vašeho počítače k cíli skrze hromadu směrovacích serverů. Paket v sobě obsahuje informaci o odesílateli, příjemci, popis svého obsahu a samotná data. Jakmile dorazí na některý uzel sítě, server se podívá, kam má paket namířeno, a přepošle jej dál správným směrem.
Všechny počítače na cestě tedy vědí, komu patří daný paket, a pokud se nejedná o šifrované spojení, mohou se jejich majitelé podívat, co tyto pakety obsahují. Když se tedy přihlásíte k webové službě, která nepodporuje HTTPS, vyplněný formulář s loginem a heslem může po cestě teoreticky odposlouchávat třeba i dvacet počítačů. Jedním z nich nakonec může být i nějaký hypotetický router patřící NSA.
Méně exponované weby dodnes nepoužívají šifrované spojení pro přihlášení, login a heslo se tedy internetem šíří skrze hromadu uzlů. V tomto případě jde o diskuzní Okoun, který je hostovaný u Amazonu, na cestě je tedy hromada prostředníků.
Tor
Tor řeší otázku identity pomocí své abstraktní sítě. Komunikace se přímo na vašem počítači několikanásobně zašifruje, sestaví se seznam speciálních mašin (releays), které poskytli dobrovolníci, a vytvoří se cesta. Data z vašeho počítače tedy zamíří na první torový server, pak na další a konečně na poslední, který data dešifruje a spojí se s cílovým webovým serverem. Kdyby to byl náš web Živě.cz, bude to vypadat tak, že nekomunikuje s vámi, ale s právě s posledním článkem torové cesty.
Schéma internetové komunikace v abstraktní síti Tor (Zdroj: studie, redakčně upraveno)
Vaše identita je tedy několikanásobně schovaná a data až do posledního uzlu torové sítě šifrovaná. Chytří už tuší, že takový systém může spolehlivě fungovat pouze v případě, že je spolehlivý i onen poslední článek řetězce. Těmto výstupním branám z Toru se říká exit relay a dnes jich je v celém systému okolo tisícovky. Všech mezičlánků, ze kterých se sestavuje cesta, je pak zhruba pět tisíc.
Exit relay může být trojským koněm celého Toru
Jelikož exit relay nekontroluje žádná internetová autorita, ale vlastně jen nějaký anonymní dobrovolník, který si na počítači spustil torový server, jeho důvěryhodnost je přinejmenším diskutabilní. Kdo to vlastně je a proč to dělá? Nabídl svůj počítač a konektivitu pro dobro věci, nebo je to naopak počítač oné démonizované NSA, hacker z Ruska nebo prostě někdo, kdo nám chce zavirovat počítač?
Právě jsem ze svého PC udělal atraktivní exit relay se stomegabitovou konektivitou a přebírám tedy fakticky odpovědnost za veškerou komunikaci ostatních skrze můj počítač ven do veřejného internetu. Riskuji třeba to, že má pevná IP adresa skončí na některém z blacklistů a mohl bych se také stát lákavou kořistí nějakého toho malwaru napsaného specialisty z NSA.
Tor byl skrze exitové routery už mnohokrát kompromitovaný, takže systém na podobné záškodníky tak trošku pamatuje. Pokud dojde k jeho odhalení, vadný exit relay se dostane na černou listinu a správci Toru jej mohou navždy zablokovat, nebo mu přidělí parametr BadExit. To v praxi znamená, že takový relay se může použít pro začátek cesty, nebo uprostřed, nikdy však na konci, kde musí být pouze spolehlivý počítač.
Během tří let se na černou listinu dostalo okolo čtyřicítky vadných výstupních počítačů. Vzhledem k celkovému počtu exit relayů to zase není tak malé číslo a zůstává otázkou, kolik jich funguje dál, aniž by je ještě někdo odhalil.
Záškodnické praktiky exit relayů
Tolik tedy k základům Toru a teď rychle zpět do Karlstadu. Tamní výzkumníci Philipp Winter a Stefan Lindskog začali loni zkraje podzimu měřit všechny exit relaye v Toru a pomocí návnady testovali, jestli se náhodou nepokoušejí o některou z forem phishingu.
Podobný výstupní bod Toru lze testovat různými způsoby. Tím nejstarším je program SoaT – Snakes on a Tor, který pochází dokonce už z roku 2006. SoaT se spojí s návnadou nejprve skrze Tor a následně skrze běžný veřejný internet a zjišťuje, jestli se komunikace nijak neliší. Záškodnický exit relay přitom může dělat téměř cokoliv. Pokud se jedná o běžné nešifrované spojení, může odposlouchávat komunikaci a ukládat vyplněné webové formuláře. Pokud se naopak pokoušíte otevřít šifrované HTTPS spojení, může se vám pokusit předložit falešný certifikát, případně se vás pokusí přesměrovat na phishingovou stránku Facebooku. Těmto útokům se souhrnně říká MITM – man in the middle – a jde opravdu o prostředníka, který může sledovat, nebo pozměnit data mezi vámi a cílovým webovým serverem.
Jednou ze záškodnických technik je také SSL stripping, kdy počítač zachytí HTML kód a vymění v něm veškeré textové řetězce „https://“ za „http://“. Tato technika je velmi efektivní zvláště u webů, u kterých je stránka s přihlašovacím formulářem ještě nešifrovaná a HTTPS spojení se otevírá až po klepnutí na tlačítko a odeslání formuláře. Pokud ale záškodník takto elegantně promění adresy přímo v kódu stránky, prohlížeč odešle přihlašovací data nešifrované a zákeřný exit relay vše zachytí.
Švédové objevili desítky záškodníků
Výzkumníci z Karlstadu narazili na první zákeřné exit brány loni v létě a rozhodli se, že si napíšou vlastní a oproti SoaTu mnohem pokročilejší monitorovací software Exitmap. Postupně jej vylepšovali a nakonec uvolnili široké komunitě pod svobodnou licencí. Zájemci jej najdou na stránkách studie.
Permanentní monitoring výstupních routeru spustili v září a v následujících měsících odhalovali i několik vadných exit relayů každý týden až do konce roku. V některých případech to byly jen chybně nakonfigurované počítače, které blokovaly některé DNS dotazy, většina zachycených záškodníků se ale pokoušela o naprosto regulérní hacking a pokoušela se prolomit HTTPS a SSH spojení odesíláním podvrhnutých certifikátů. V několika případech se švédským analytikům podařilo zachytit i mašiny, které prováděly HTML injection (třeba vložení nějakého vlastního javascriptu do stránky) a výše zmíněný SSL stripping.
Celkem se z tisícovky výstupních bran podařilo odhalit několik desítek aktivních útočníků. Jistě, je to jen několik procent, ale nikdo netuší, kolik exit relayů jen pasivně poslouchá a monitoruje nešifrovanou komunikaci. Takové záškodníky lze odhalit jen velmi těžko – spíše to zjistí přímo oběti, až jim kdosi ovládne třeba poštovní schránku.
Výčet několika zjištěných záškodnických exit relayů ve švédské studii. Převažují počítače z Ruska, které se snaží podvrhnout HTTPS komunikaci. Zajímavý je sloupec sampling rate, který určuje frekvenci útoků na počet jednotlivých spojení. Některé exit relaye se snažily kompromitovat data v 80 % případech, některé naopak útočily třeba jen u každého pátého spojení. Důvod může být třeba ten, aby je jen tak někdo neodhalil.
Koncové body torové sítě zároveň mohou aktivně útočit třeba jen na vybrané weby, které tato studie vůbec nezkoumala. Takový exit relay tedy možná čeká jen na případ, kdy se skrze Tor bude chtít někdo spojit s přihlašovacím formulářem na Živě.cz a pokusí se odposlechnout login a heslo.
Suma sumárum, první takto rozsáhlá studie svého druhu ukazuje, že Tor nemusí být vůbec tak anonymní a bezpečný, jak se mnozí domnívají, a že surfování bez HTTPS je potenciálně nebezpečné, poněvadž zákeřný exit relay si může spustit opravdu každý z vás, a pokud budete jen pasivně poslouchat, co přes vás všechno teče, nikdo se o tom nikdy nedozví a nikdy nedostanete ban.
