Interessante articolo su una vulnerabilità trovata in Tor

2

Questo articolo descrive come i ricercatori francesi hanno compromesso gli utenti che utilizzano Tor. Non sono sicuro di averlo capito o d'essere pienamente d'accordo. Non vedo cosa Bit Torrent ha a che fare con qualcosa? Voglio dire che iniziano con un "malizioso nodo di uscita Tor" quindi c'è molto che puoi fare a quel punto. Non è come dire "quando il firewall è spento, il tuo sistema è vulnerabile".

Una cosa che non capisco è

BitTorrent's DHT uses the less-common UDP protocol, forcing some of the traffic to be sent in the clear.

Come mai i dati inviati tramite UDP non possono essere crittografati?

    
posta Celeritas 10.07.2012 - 21:44
fonte

2 risposte

4

Parla di client bittorrent che non si proteggono correttamente. Anche l'articolo ha sbagliato questo la vulnerabilità non è in sé ma il client che lo utilizza.

Questa citazione è troppo vaga

The user's BitTorrent client then attempts to make a data connection directly to the honeypot without using Tor, thus revealing the user's IP address to the honeypot.

Ma la parte DHT è qualcosa fatta su UDP che non è ancora protetto ma il client tenta ancora di stabilire una connessione con esso. Ho sfogliato il foglio dell'articolo collegato. Menziona i client che si connettono direttamente ai peer, il che suona come una sciocchezza o che i client ignorano completamente le impostazioni del proxy. Quindi parla dell'analisi del traffico attraverso tor quindi credo che i clienti ne facciano giustamente.

Un nodo di uscita da un errore non equivale a spegnere un firewall. È più come visitare un sito che tenta di utilizzare un exploit nel tuo browser o di phishing. Il nodo di uscita aggiunge altri peer alla tua connessione e quei peer stanno cercando di capire chi sei. Non ho letto tutto, quindi non posso romperlo, ma questo è il senso. Aggiunta di peer extra, sperando che il client non sia implementato correttamente e sembra che i client possano perdere informazioni su altri utenti / peer. Il documento menziona anche che non è così facile quando i client crittografano i loro dati.

    
risposta data 10.07.2012 - 23:55
fonte
3

Tor funge da proxy SOCKS 5 ei proxy SOCKS 5 possono solo proxy dati TCP. Ora il DNS ha problemi simili, quindi ha un incapsulamento TCP incorporato per i dati DNS, tuttavia tale incapsulamento dipende dal funzionamento del protocollo.

Ora, è possibile farlo con il protocollo DHT (quale? ci sono due diversi). È un sacco di lavoro e non è stato fatto per DHT.

Ora l'attacco funziona in questo modo:

  1. Il nodo di uscita visualizza il traffico BitTorrent per torrent con hash particolari.
  2. Il nodo di uscita cerca DHT per un determinato hash e crea un elenco di indirizzi IP al di fuori della rete Tor utilizzando quel torrent che include i dati trapelati dal client di destinazione.
  3. Il nodo di uscita si connette a ciascun client DHT e ottiene i dati completi sui blocchi che ciascuno sta scaricando e lo correla con il traffico BitTorrent originale che ha visto per identificare l'host in particolare.

Questo è il problema con qualsiasi protocollo che ha una perdita di informazioni da qualche parte, e un problema noto non può fare nulla. Si può fermare questo con BitTorrent disattivando DHT, tuttavia non si dovrebbe mai essere torrenting sulla rete tor: link .

    
risposta data 11.07.2012 - 00:25
fonte

Leggi altre domande sui tag