Luka w algorytmach Tor-a grozi kradzieżą krypto-środków

W ciągu ostatniego półrocza zaobserwować się dało nasilenie działalności hakerów, próbujących przejmować transfery kryptowalutowe w Deep Webie za pomocą ataków typu “man-in-the-middle“, wykorzystujących podstawione, kontrolowane przez siebie węzły wyjściowe Tor-a.

Sieć Tor słynie jako “najgłębsze miejsce internetu”, dokąd nie sięga światło państwowego nadzoru czy opinii publicznej, i w którego mrokach użytkownik może odnaleźć swoją anonimowość.

Początkowo rozpatrywana po prostu jako narzędzie bezpiecznej komunikacji, z czasem rozrosła się i awansowała do roli mechanizmu obsługującego funkcjonowanie odrębnej i olbrzymiej (choć trudnej do precyzyjnego oszacowania) społeczności sieciowej, czasem opisywanego jako “równoległy internet”.

W tymże Deep Webie (jak bywa określana) swoje miejsce znaleźli zarówno zwolennicy prywatności osobistej, outsiderzy polityczni, głosiciele nieortodoksyjnych teorii, jak również, co oczywiste, typy szemrane i przedstawiciele świata przestępczego. Niestety, można odnieść wrażenie, że niekiedy najbardziej z tego grona wyróżniają się ci ostatni.

Niedoskonała perfekcyjność

Nie będzie wielkim zaskoczeniem, iż liczni użytkownicy bitcoina oraz innych kryptowalut, którym zależy na dyskrecji ich operacji krypto-finansowych, z entuzjazmem korzystają z ochrony oferowanej przez sieć Tor.

Zjawisko to tym bardziej narasta w miarę doskonalenia technik tzw. “analizy” (czyt. śledzenia) działań w sieci publicznej, niemożliwych lub znacznie trudniejszych czy kosztowniejszych do wdrożenia w odniesieniu do operacji w Darknecie.

Niestety, żadne urządzenie nie jest skuteczne w 100% – również Tor. Technicznie istnieje możliwość złamania ochrony przezeń zapewnianej, choć wymaga to dysponowania dużym potencjałem infrastrukturalnym i technologicznym.

Szepty w ciemności

Prócz samego ordynarnego złamania zabezpieczeń, istnieją też groźby subtelniejszych, choć nie mniej szkodliwych ingerencji – jak manipulowanie użytkownikiem czy wykorzystywanie jego błędów lub nieostrożności do szeroko pojętych nieprzyjaznych działań.

Również w Deep Webie spotyka się także scamy (w końcu któż mógłby je tam ścigać…?), zarówno te opierające się na oszustwie i socjotechnikach, jak i hakerstwie wykorzystującym narzędzia techniczne.

Przykładem tych ostatnich jest zjawisko opisane przez badacza sieciowego o pseudonimie “nusenu”, który dostrzegł wrogą działalność tajemniczego aktora, od początku roku podejmującego próby kradzieży bitcoina.

Człowiek pośrodku

Sieć Tor działa na zasadzie kierowania ruchu sieciowego z użyciem bardzo licznych, losowych węzłów pośredniczących, przekazujących zaszyfrowane zapytania do dalszych węzłów, nie posiadając wiedzy na temat punktu docelowego. Tę posiada tylko ostatni przekaźnik sieciowy, bezpośrednio łączący użytkownika z żądanym adresem.

Zjawiskiem zaobserwowanym przez “nusenu” jest wysyp olbrzymiej liczby “fałszywych”, utworzonych w charakterze pułapek węzłów wyjściowych sieci Tor. Owe wyjściowe punkty służyły do przeprowadzania ataków hakerskich typu “man-in-the-middle“.

W ramach tychże, wrogi aktor starał się manipulować ruchem przechodzącym przez kontrolowane przez siebie węzły, podejmując próby dyskretnego (tj. bez wywoływania zmiany statusu certyfikatu TLS) modyfikowania obsługującego tenże ruch protokołu z “https” na zwykły, nieszyfrowany “http”, umożliwiający mu odczyt i ingerencję w jego treść.

Skorzystaj z naszych węzłów…

Haker koncentrować miał swoją aktywność na stronach obsługujących operacje kryptowalutowe, w szczególności mikserach bitcoinowych. Dostęp do treści umożliwiałby mu przy tym podmianę adresów docelowych transferów cyberpieniężnych na wskazane przez siebie, przekierowując w ten sposób przelewy na kontrolowane przez siebie portfele.

Nie wiadomo, jaki margines skuteczności osiągnął tajemniczy haker ani czy i ile BTC udało mu się ukraść. Od stycznia tego roku skala jego działalności miała się zwiększać, by osiągnąć swoje apogeum w maju – kiedy to kontrolowane przez niego węzły wyjściowe miały jakoby stanowić aż 23% dostępnych w publicznym zasobie sieci Tor. Obecnie udział ten spaść miał do około 10% (co i tak wydaje się olbrzymią liczbą).

Ciszej nad tym portfelem

Zastosowany mechanizm ataku wykorzystuje znaną słabość sieci Tor. Istnieją narzędzia software’owe, stanowiące na nią antidotum, umożliwiając ochronę szyfrowanego protokołu komunikacji.

Nie jest jednak tajemnicą, iż rzadko kiedy aktualizacje bezpieczeństwa wrażane są od razu przez wszystkie strony, i natychmiastowo po wykryciu problemu i opracowaniu rozwiązania. Wprost przeciwnie, standardem jest raczej pewna bezwładność organizacyjna i techniczna.

Nie wiadomo o ewentualnych poszkodowanych. Należy jednak spodziewać się, że jeśli takowi by faktycznie istnieli (co dość prawdopodobne, biorąc pod uwagę skalę opisanego ataku), to raczej niespecjalnie garnęliby się do tego, by ten fakt ujawnić.

Zarówno platformy obsługujące transfery kryptowalutowe w sieci Tor, jak i korzystający z niej indywidualni posiadacze, prawdopodobnie mieliby swoje powody, by postąpić wprost przeciwnie.