Geekly articles weekly

Identificación de direcciones IP reales de usuarios de la red Tor a través de un caché distorsionado

imagen

Este artículo describe un ejemplo de la aplicación práctica del ataque de "distorsión de caché a través del redireccionamiento 301", que puede ser utilizado por el nodo de salida de la red Tor con código malicioso para identificar las direcciones IP reales de los usuarios seleccionados.

Escenario de ataque


El escenario de ataque es el siguiente:


  • Cliente: Chrome Canary (76.0.3796.0)
  • IP del cliente real: 5.60.164.177
  • Parámetro de seguimiento del cliente: 6b48c94a-cf58-452c-bc50-96bace981b27
  • Dirección IP del nodo de salida de la red Tor: 51.38.150.126
  • Proxy inverso transparente: tor.modlishka.io (Modlishka - se actualizará el código actualizado).

Nota: En este escenario, el navegador Chrome se configuró a través del protocolo de red SOCKS5 para usar la red Tor. El canal Tor se ha sintonizado a un nodo de salida de prueba específico: '51 .38.150.126 '. También es una validación del concepto y muchas configuraciones se pueden optimizar en el futuro ...

En el caso de un nodo de salida malicioso de la red Tor, todo el tráfico se redirige a través del servidor proxy Modlishka:

iptables -A OUTPUT -p tcp -m tcp --dport 80 -j DNAT --to-destination ip_address:80 iptables -A FORWARD -j ACCEPT


Descripción del escenario de ataque


Suposiciones

  • Una aplicación de navegador (en este caso, un navegador estándar) que utilizará la conexión de red "Tor" y, finalmente, la conexión pasará por un nodo de salida malicioso.
  • El nodo de salida malicioso de la red Tor, que intercepta y distorsiona la memoria caché de todo el tráfico HTTP (código de respuesta HTTP 301), que no tiene un protocolo criptográfico de seguridad (TLS) de la capa de transporte.



Veamos los siguientes pasos de un escenario de ataque:

  1. El usuario se conecta a Internet a través de la red Tor configurando el navegador para usar el protocolo de red SOCKS5 del sistema Tor, o configurando para que todo el tráfico del sistema operativo se redirija a través de la red Tor.
  2. El usuario comienza su sesión normal de acceso a Internet con su navegador favorito, donde generalmente se envía mucho tráfico HTTP sin el protocolo de seguridad TLS a través del túnel de la red Tor.
  3. El nodo de salida malicioso de la red Tor intercepta las solicitudes y responde reenviando cada una utilizando el código de respuesta HTTP 301. Estas redirecciones serán almacenadas en caché constantemente por el navegador y se enviarán a la URL de seguimiento con el identificador de cliente Tor asignado. La URL de seguimiento se puede crear de la siguiente manera: user-identifier.evil.tld , donde 'evil.tld' recopilará toda la información sobre la dirección IP de origen y redirigirá a los usuarios a los hosts solicitados originalmente ... o, alternativamente, al reverso transparente un servidor proxy que intentará interceptar todo el flujo posterior de tráfico de clientes HTTP. Además, dado que es posible distorsionar automáticamente el caché para la mayoría de los dominios más populares (como se describe en un artículo anterior), p. 100 principales sitios de acuerdo con las estadísticas de la empresa «Alexa», el atacante maximiza sus posibilidades de identificar direcciones IP reales.
  4. Después de salir de la sesión de la red Tor, el usuario cambiará a su red normal.
  5. Tan pronto como el usuario ingresa la dirección de uno de los dominios distorsionados anteriores en la barra de direcciones (por ejemplo, "google.com"), el navegador utiliza el caché para la redirección interna a la URL de seguimiento con el identificador de contexto del nodo de salida.
  6. El host de salida podrá hacer coincidir la solicitud HTTP previamente interceptada con la dirección IP real del usuario utilizando la información recibida de un host externo que utilizó la URL de seguimiento con la ID de usuario. El host evil.tld tendrá información sobre todas las direcciones IP que se utilizaron para acceder a la URL de seguimiento.

Obviamente, este método le permite hacer coincidir eficientemente las solicitudes HTTP seleccionadas con las direcciones IP del cliente utilizando el nodo de salida de la red Tor. Esto sucede porque la URL de seguimiento generada previamente será solicitada por el cliente a través del túnel de red "Tor" y, nuevamente, tan pronto como se realice la conexión a través de la conexión estándar del proveedor de Internet. Todo se debe al código confuso en el caché.

Otro enfoque puede basarse en la introducción de código JavaScript modificado con URL incrustadas para rastrear las respuestas correspondientes que no tienen el protocolo de seguridad TLS, y cambiar los encabezados de caché de control necesarios (por ejemplo, 'Control de caché: max-age = 31536000') . Sin embargo, este enfoque no es muy efectivo.

También es posible rastrear a los usuarios a través de las cookies estándar de varias aplicaciones web, pero es muy difícil obligar al cliente a visitar el dominio que está bajo el control del atacante dos veces: primero, cuando se conecta a través del nodo de salida de la red Tor, y luego nuevamente después de cambiar a la conexión a Internet estándar proveedor

Conclusiones


El hecho es que un atacante tiene la capacidad de lograr ciertos cambios en la memoria caché del navegador al inyectar código mal formado a través de nodos de salida maliciosos y detectar las direcciones IP reales de los usuarios de Tor que envían tráfico HTTP sin el protocolo de seguridad TLS.

Además, la distorsión de un número significativo de nombres de dominio populares aumentará la probabilidad de recibir una respuesta inversa de una solicitud HTTP (con un ID de usuario asignado), lo que determinará la dirección IP real del usuario. Puede intentar interceptar el dominio de algunos clientes del navegador y esperar que el usuario no note un error tipográfico en el nombre de dominio o no se muestre (por ejemplo, la aplicación móvil WebViews).

Formas de reducir el riesgo:

  • Al conectarse a Internet a través de la red Tor, asegúrese de que todo el tráfico que no utiliza el protocolo de seguridad TLS esté desactivado. Un ejemplo de complementos del navegador que se pueden utilizar: para los navegadores Firefox "y" Chrome ".
  • Además, utilice siempre el modo de navegador "privado" cuando se conecte a Internet a través de la red Tor.
  • No redirija el tráfico a todo su sistema operativo a través de la red Tor hasta que esté seguro de que todo el tráfico saliente usa el protocolo de seguridad TLS ...
  • Siempre que sea posible, use la última versión del navegador Tor para navegar por la web.


Las últimas configuraciones de doble procesador de servidores dedicados con procesadores escalables Intel 2019 están disponibles en DEDIC.SH :

  • 2x Xeon Silver 4214: un total de 24 núcleos
  • 2x Xeon Gold 5218 - un total de 32 núcleos
  • 2x Xeon Gold 6240 - configuración con 36 núcleos.

El costo de un servidor con dos Xeon Silver 4214 - desde 15210 rublos / mes
También estamos listos para recopilar cualquier configuración para usted, ¡ escríbanos !

Si no se requieren grandes potencias de un servidor dedicado, ¡ VDS desde 150 rublos / mes es lo que necesita!

Source: https://habr.com/ru/post/456896/

More articles:


All Articles