Geekly articles weekly

Identification des adresses IP réelles des utilisateurs du réseau Tor via un cache déformé

image

Cet article décrit un exemple de l'application pratique de l'attaque «cache distortion through 301 redirect», qui peut être utilisée par le nœud de sortie du réseau Tor avec un code malveillant pour identifier les adresses IP réelles des utilisateurs sélectionnés.

Scénario d'attaque


Le scénario d'attaque est le suivant:


  • Client: Chrome Canary (76.0.3796.0)
  • IP client réel: 5.60.164.177
  • Paramètre de suivi client: 6b48c94a-cf58-452c-bc50-96bace981b27
  • Adresse IP du nœud de sortie du réseau Tor: 51.38.150.126
  • Transparent Reverse Proxy: tor.modlishka.io (Modlishka - code mis à jour à paraître.)

Remarque: dans ce scénario, le navigateur Chrome a été configuré via le protocole réseau SOCKS5 pour utiliser le réseau Tor. Le canal Tor a été réglé sur un nœud de sortie de test spécifique: '51 .38.150.126 '. C'est aussi une validation du concept et de nombreux réglages pourront être optimisés à l'avenir ...

Dans le cas d'un nœud de sortie malveillant du réseau Tor, tout le trafic est redirigé via le serveur proxy Modlishka:

iptables -A OUTPUT -p tcp -m tcp --dport 80 -j DNAT --to-destination ip_address:80 iptables -A FORWARD -j ACCEPT


Description du scénario d'attaque


Hypothèses:

  • Une application de navigateur (dans ce cas, un navigateur standard) qui utilisera la connexion réseau «Tor» et, enfin, la connexion passera par un nœud de sortie malveillant.
  • Le nœud de sortie malveillant du réseau Tor, qui intercepte et déforme le cache de tout le trafic HTTP (code de réponse "HTTP 301"), qui n'a pas de protocole cryptographique de sécurité de la couche transport ("TLS").



Examinons les étapes suivantes d'un scénario d'attaque:

  1. L'utilisateur se connecte à Internet via le réseau Tor en configurant le navigateur pour utiliser le protocole réseau SOCKS5 du système Tor, ou en configurant de manière à ce que tout le trafic du système d'exploitation soit redirigé via le réseau Tor.
  2. L'utilisateur commence sa session d'accès Internet normale avec son navigateur préféré, où généralement beaucoup de trafic HTTP sans le protocole de sécurité TLS est envoyé via le tunnel du réseau Tor.
  3. Le nœud de sortie malveillant du réseau Tor intercepte les demandes et répond en les transmettant à l'aide du code de réponse HTTP 301. Ces redirections seront constamment mises en cache par le navigateur et seront envoyées à l'URL de suivi avec l'identifiant client Tor attribué. L'URL de suivi peut être créée de la manière suivante: user-identifier.evil.tld , où 'evil.tld' collectera toutes les informations sur l'adresse IP source et redirigera les utilisateurs vers les hôtes demandés à l'origine ... ou, alternativement, vers l'inverse transparent un serveur proxy qui tentera d'intercepter tous les flux ultérieurs de trafic client HTTP. De plus, puisqu'il est possible de déformer automatiquement le cache pour la plupart des domaines les plus populaires (comme décrit dans un article précédent), par ex. Top 100 des sites selon les statistiques de la société «Alexa», l'attaquant maximise ses chances d'identifier de vraies adresses IP.
  4. Après avoir quitté la session réseau Tor, l'utilisateur basculera sur son réseau normal.
  5. Dès que l'utilisateur entre l'adresse de l'un des domaines déformés précédents dans la barre d'adresse (par exemple, "google.com"), le navigateur utilise le cache pour la redirection interne vers l'URL de suivi avec l'identifiant de contexte du nœud de sortie.
  6. L'hôte de sortie pourra faire correspondre la demande HTTP précédemment interceptée avec la véritable adresse IP de l'utilisateur à l'aide des informations reçues d'un hôte externe qui a utilisé l'URL de suivi avec l'ID utilisateur. L'hôte evil.tld aura des informations sur toutes les adresses IP qui ont été utilisées pour accéder à l'URL de suivi.

De toute évidence, cette méthode vous permet de faire correspondre efficacement les demandes HTTP sélectionnées avec les adresses IP des clients en utilisant le nœud de sortie du réseau Tor. Cela se produit car l'URL de suivi précédemment générée sera demandée par le client via le tunnel réseau «Tor», puis à nouveau, dès que la connexion sera établie via la connexion standard du fournisseur Internet. Tout cela à cause du code tronqué dans le cache.

Une autre approche peut être basée sur l'introduction d'un code JavaScript modifié avec des URL intégrées pour le suivi dans les réponses appropriées qui n'ont pas le protocole de sécurité TLS et la modification des en-têtes de cache de contrôle nécessaires (par exemple, 'Cache-Control: max-age = 31536000') . Cependant, cette approche n'est pas très efficace.

Le suivi des utilisateurs via les cookies standard de diverses applications Web est également possible, mais il est très difficile d'amener le client à visiter le domaine sous le contrôle de l'attaquant deux fois: d'abord lors de la connexion via le nœud de sortie du réseau Tor, puis à nouveau après le passage à la connexion Internet standard fournisseur.

Conclusions


Le fait est qu'un attaquant a la possibilité de réaliser certains changements dans le cache du navigateur en injectant du code mal formé via des nœuds de sortie malveillants et en détectant les adresses IP réelles des utilisateurs de Tor qui envoient du trafic HTTP sans le protocole de sécurité TLS.

De plus, la distorsion d'un nombre important de noms de domaine populaires augmentera la probabilité de recevoir une réponse inverse d'une requête HTTP (avec un ID utilisateur attribué), qui déterminera la véritable adresse IP de l'utilisateur. Vous pouvez essayer d'intercepter le domaine de certains clients du navigateur et espérer qu'une faute de frappe dans le nom de domaine ne sera pas remarquée par l'utilisateur ou ne s'affichera pas (par exemple, l'application mobile «WebViews»).

Façons de réduire les risques:

  • Lors de la connexion à Internet via le réseau Tor, assurez-vous que tout le trafic qui n'utilise pas le protocole de sécurité TLS est désactivé. Un exemple de plugins de navigateur utilisables: pour les navigateurs Firefox »et« Chrome ».
  • De plus, utilisez toujours le mode navigateur «privé» lorsque vous vous connectez à Internet via le réseau Tor.
  • Ne redirigez pas le trafic vers l'ensemble de votre système d'exploitation via le réseau Tor tant que vous n'êtes pas sûr que tout le trafic sortant utilise le protocole de sécurité TLS ...
  • Dans la mesure du possible, utilisez la dernière version du navigateur Tor pour naviguer sur le Web.


Les dernières configurations à double processeur de serveurs dédiés avec les processeurs évolutifs Intel 2019 sont disponibles sur DEDIC.SH :

  • 2x Xeon Silver 4214 - un total de 24 cœurs
  • 2x Xeon Gold 5218 - un total de 32 cœurs
  • 2x Xeon Gold 6240 - configuration avec 36 cœurs.

Le coût d'un serveur avec deux Xeon Silver 4214 - à partir de 15210 roubles / mois
Nous sommes également prêts à collecter toute configuration pour vous - écrivez-nous !

Si de grandes puissances d'un serveur dédié ne sont pas nécessaires - VDS à partir de 150 roubles / mois est ce dont vous avez besoin!

Source: https://habr.com/ru/post/fr456896/

More articles:


All Articles