[su_heading size=”18″ margin=”40″]110 ύποπτοι servers ανακαλύφθηκαν στο δίκτυο Tor κατά τη διάρκεια ενός 72-ήμερου πειράματος που διεξάχθηκε από ερευνητές ασφάλειας του Northeastern University. Ένας στους τέσσερεις διακομιστές επιχειρούσαν την πραγματοποίηση SQL injection και XSS επιθέσεων έναντι των υπολοίπων Tor relays.[/su_heading]
Δύο επιστήμονες του Πανεπιστημίου Northeastern διεξήγαγαν ένα πείραμα σχετικά με την ασφάλεια του δικτύου Tor, εισάγοντας ως “δόλωμα” 1.500 ειδικά διαμορφωμένους honeypot servers στο δίκτυο. Οι servers αυτοί αποκάλυψαν τουλάχιστον 110 Τοr HSDirs (Hidden Services Directories) που κατασκόπευαν δυνητικά τους υπόλοιπους κόμβους Tor και προσπαθούσαν να εκμεταλλευτούν αδυναμίες ασφάλειας.
Το πείραμα, το οποίο πραγματοποιήθηκε μεταξύ 12 Φεβρουαρίου και 24 Απριλίου του 2016, ξεκίνησε με τον έλεγχο του επίπεδου εμπιστευτικότητας και ασφάλειας των διακομιστών Tοr, και ειδικότερα των HSDirs, οι οποίοι αποτελούν ένα περιπλοκότερο είδος Tor server που χρησιμοποιείται για τη φιλοξενία .onion ιστοσελίδων του Dark Web.
Οι ερευνητές εισήγαγαν στο δίκτυο honeypots, τα επονομαζόμενα ΗΟnions, τα οποία λειτουργούσαν ως πραγματικοί διακομιστές Tοr, και είχαν ως σκοπό την ανίχνευση μη ομαλής συμπεριφοράς και ασυνήθιστης κίνησης (traffic) στο δίκτυο.
Οι διακομιστές εισήχθησαν σταδιακά, προκειμένου να καλύψoυν το μεγαλύτερο δυνατό μέρος του Tοr Traffic που ανταλλάσσεται μέσω του δικτύου.
Μετά από 72 ημέρες, οι ερευνητές συγκέντρωσαν και ανέλυσαν το σύνολο των δεδομένων που είχαν συλλεχθεί, παρουσιάζοντας τα ευρήματά τους στο συνέδριο ασφάλειας Privacy Enhancing Technologies Symposium.
Οι δύο ερευνητές αποκάλυψαν ότι είχαν εντοπίσει τουλάχιστον 110 HSDirs με ασυνήθιστη συμπεριφορά. Ορισμένοι από τους διακομιστές αυτούς επιχειρούσαν την εκμετάλλευση ευπαθειών SQL Injection και XSS.
[su_note note_color=”#d7dfe0″ radius=”7″]”Εντοπίσαμε και άλλους τύπους επίθεσης, όπως SQL injection, στοχοποίηση information_schema.tables, cross-site scripting (XSS), path traversal (αναζήτηση boot.ini και /etc/passwd), στοχοποίηση Ruby on Rails frameworks (rails/info/properties), και PHP Easter Eggs (?=PHP*-*-*-*-*), ανέφεραν οι ερευνητές.”[/su_note]
Πάνω από το 70 τοις εκατό των 110 ύποπτων HSDirs έτρεχαν σε επαγγελματικές υποδομές cloud, που υποδεικνύουν την ύπαρξη κάποιου ισχυρού παράγοντα πίσω από τους κόμβους αυτούς. Επιπλέον, το 25 τοις εκατό των 110 HSDirs λειτουργούσαν επίσης ως κόμβοι εξόδου (Εxit Νodes), κρούωντας ακόμη δυνατότερα τον κώδωνα του κινδύνου, ότι πιθανόν πραγματοποιούν επιθέσεις MITM, και υποκλέπτουν το Tοr traffic.
Παρακάτω είναι ένας χάρτης των κακόβουλων Tοr HSDirs που ανακαλύφθηκαν κατά τη διάρκεια της έρευνας. Η πλήρης μελέτη είναι διαθέσιμη στον ακόλουθο σύνδεσμο: securityweek2016.tu-darmstadt.de
