L'attaque de l'infrastructure TOR - Les crypto-monnaies la véritable cible

(Pour Carlo Mauceli)
31/05/21

En parlant de anonymat sur le net et navigation sur le Dark Web Tor est souvent mentionné. Dans l'imaginaire commun, Tor est considéré à la fois comme une méthode de communication Internet pour permettre l'anonymat en ligne et comme un outil pour accéder au "réseau sombre". Il est donc nécessaire de clarifier certains mythes.

La première différence substantielle concerne le fait que le naviguer sur le Dark Web est profondément différent du navigation en incognito, également appelée «navigation privée», qui est proposée en option sur tous les navigateurs. Cette différence doit être soulignée car, trop souvent, elle fait l'objet de certaines fausses croyances: La navigation incognito a simplement l'avantage de ne pas enregistrer l'historique de navigation, les cookies, les données du site et les informations saisies dans les modules du site mais est très loin de garantir un réel anonymat à l'internaute

Le fournisseur d'accès Internet suit toutes les activités dans chaque cas, connaît l'adresse IP et peut identifier l'emplacement de l'internaute. 

De plus, la navigation incognito ne nous permet en aucun cas d'entrer dans le Places de marché qui représente un monde en dehors du Web que nous parcourons tous.

Deep Web e Places de marché ce sont deux mondes différents

Places de marché e Deep Web ce sont deux mondes très différents et dans un certain sens ne communiquent pas entre eux. En fait, il est bon de souligner à quel point nous naviguons tous régulièrement dans le Deep Web qui, par définition, désigne l'ensemble des pages du Web qui ne sont pas indexées par les moteurs de recherche courants tels que Google, Bing, etc. Il comprend de nouveaux sites, des pages Web à contenu dynamique, logiciel web, sites privés d'entreprise, réseaux peer-to-peer.

Le contraire du Deep Web est appelé Web de surface qui est plutôt constitué de pages indexées par les moteurs de recherche. Par conséquent, Profond e Web de surface ce sont les deux faces d'une même médaille à la différence que la première n'est pas indexée et, par conséquent, nous ne pouvons l'atteindre que si nous connaissons l'URL. Considérons Deep Web la page de notre profil Facebook, ainsi que la page Web de notre boîte Hotmail et les sites Web de Fournisseur de services cloud où sont stockés nos fichiers ainsi que les nombreuses pages corporatives, gouvernementales, financières à usage interne uniquement, présentes sur le web, mais non indexées. L'image, où le web est représenté comme un iceberg, illustre bien les concepts exprimés.

Il Places de marché au lieu de cela, il s'agit d'une très petite fraction du Web. C'est un monde séparé et inaccessible qui repose sur Darknet qui sont des réseaux fermés d'accès qui nécessitent des configurations spéciales. Les principaux Darknet Ils sont les suivants:

  • Freenet, peu utilisé;
  • I2P ;
  • Tor, The Onion Router, qui est maintenant devenu le plus célèbre et le plus utilisé de ces réseaux.

Il est important de souligner que la navigation sur le Places de marché cela n'a rien à voir avec le navigation en incognito des navigateurs. Les navigateurs traditionnels, en fait, ne nous permettent pas d'accéder aux Places de marché. Pour entrer dans le Places de marché nous avons besoin d'outils appropriés. Le navigateur le plus connu et le plus utilisé est "Tor" que nous essayons de décrire pour mieux le connaître et dissiper un faux mythe: parcourir le Places de marché ce n'est pas illégal, sauf s'il est utilisé pour des actions illégales.

Tor

La Tor des ténèbres il existe depuis 1998, lorsque l'US Navy l'a fabriqué en utilisant une technologie de routage en oignon développée pour garantir l'anonymat. En 2006, il a été rendu public et la même année, il est né Tor Project Inc., une organisation à but non lucratif basée aux États-Unis. C'est une infrastructure matériel dédié et composé de serveur qui l'héberge. Aujourd'hui, Tor est dirigé par Bruce Schneier, cryptographe et technologue en sécurité de renommée mondiale dont le blog, consacré aux sujets de la cybersécurité, est parmi les plus connus et les plus populaires au monde. Les organisations qui constituent Tor Project sont, entre autres, le Département d'État américain Bureau de la démocratie, Le Droits Humains et le Laboratoire. Par conséquent, je dirais qu'il est évident que Tor Project ce n'est pas une association clandestine ou une association visant à la cybercriminalité. Loin de là, comme on peut pourtant le lire sur le site : « Défendez-vous contre le pistage et la surveillance. Contourner la censure".

Pour ces raisons, Tor est un réseau de communication utilisé principalement par les journalistes, les militants politiques et les dénonciateurs des pays moins démocratiques où il faut contourner la censure et la surveillance pour exprimer son opinion. Le fait qu'il soit également utilisé par des "méchants" n'affecte pas sa valeur. C'est, sans aucun doute, le réseau Darknet le plus populaire et le plus connu et est utilisé dans le monde entier par plus de 750.000 XNUMX internautes chaque jour.

Infrastructure Tor

Le réseau Tor se compose de plusieurs milliers serveur dispersés à travers le monde. Concrètement, on parle d'un nombre qui se situe entre 6.000 8.000 et 3.000 XNUMX « relais » et près de XNUMX XNUMX « ponts », presque tous gérés par des bénévoles. Les données de navigation ne circulent pas directement du client vers le serveur mais le transit passe par i relais Tor fonctionnant à partir de toupie, créant ainsi un circuit virtuel crypté en couches, exactement comme un «oignon», d'où le nom L'oignon.

Pour cette raison, les URL du réseau Tor ont le TLD, Top Level Domain, qui n'est pas le classique .com ou .it mais .onion. Lorsque vous commencez à naviguer en ouvrant le navigateur Tor, trois nœuds sont choisis au hasard pour former une chaîne de navigation.

À chaque étape, la communication est cryptée et cela se produit pour chaque nœud. De plus, le fait que chaque nœud du réseau ne connaisse que le précédent et le suivant rend difficile de pouvoir tracer le client de départ. Il existe trois types de relais dans le système de navigation Tor:

  • garde / relais intermédiaire;
  • relais de sortie;
  • pont.

Comme nous l'avons dit, pour des raisons de sécurité, le trafic Tor passe par au moins trois relais avant d'atteindre sa destination. Le premier est le relais de garde, le second est un relais intermédiaire qui reçoit le trafic et le transmet finalement aurelais de sortie.

I relais intermédiaire, garde et milieu, ne sont visibles que dans le réseau Tor et, contrairement au relais de sortie, ne font pas le propriétaire du relais comme source de trafic. Cela signifie qu'un relais intermédiaire est généralement sans danger. Nous pouvons également l'avoir dans le serveur de notre maison, devenant ainsi un nœud de l'infrastructure Tor. le relais exit est le dernier nœud que traverse le trafic Tor avant d'atteindre sa destination.

Les services auxquels les clients Tor se connectent, tels que le site Web, le service de chat, le fournisseur de messagerie, etc. ils verront l'adresse IP du relais de sortie au lieu de la véritable adresse IP de l'utilisateur Tor. Cela signifie que c'est l'adresse IP du relais de sortie qui est interprétée comme la source du trafic.

La topographie du réseau Tor est complétée par i pont. Il est important de savoir que la structure du réseau Tor prévoit que les adresses IP des relais Tor sont publics. Par conséquent, si un gouvernement ou un FAI souhaitait bloquer les réseaux, il pourrait facilement le faire en mettant sur liste noire les adresses IP de ces nœuds Tor publics. Pour cette raison, il y a i pont qui, étant des nœuds qui ne figurent pas sur la liste publique dans le cadre du réseau Tor, rendent plus difficile pour les gouvernements et les FAI de bloquer l'ensemble du réseau. LES pont sont des outils essentiels pour contourner la censure dans les pays qui bloquent régulièrement les adresses IP de tous relais Tor est coté publiquement, comme la Chine, la Turquie et l'Iran.

En fait, ils sont utilisés à la place du nœud d'entrée, normalement appelé serveur d'un pays donné, pour empêcher le FAI de savoir que vous utilisez Tor.

Pour utiliser Tor via i pont il faut connaître à l'avance l'adresse d'au moins un pont. Projet Tor distribue les adresses IP des pont par divers moyens, y compris le site Web et le courrier électronique.

Il est clair que, de cette manière, il est possible qu'un adversaire obtienne également ces informations et c'est pour cette raison qu'au-delà des mesures de protection utilisées par Tor Project, le mieux est de trouver dans un autre pays une personne de confiance ou une organisation qui maintient, pour ceux qui le demandent, un pont assombri "privé". Dans ce cas, privé signifie que le pont est configuré avec l'option Descripteur de serveur de publication 0. Sans cette option, le Tor Project connaîtra l'existence du pont et il pouvait distribuer son adresse à d'autres personnes qui, de cette façon, pourraient se retrouver entre les mains d'un adversaire.

Vous pouvez définir l'utilisation de pont à partir de la configuration réseau du navigateur Tor.

Lorsque la fenêtre de bienvenue apparaît, cliquez sur le bouton "+" et dans la boîte de dialogue, sous «Paramètres supplémentaires», choisissez «Configuration réseau», puis sélectionnez l'option «Configurer un pont Tor ou un proxy local».

I pont ils sont moins stables et ont tendance à avoir des performances inférieures à celles des autres nœuds d'entrée.

Le réseau Tor s'appuie sur des bénévoles qui offrent leurs serveurs et leur bande passante. N'importe qui peut donc mettre son propre ordinateur à disposition pour créer un relais du réseau Tor. Le réseau Tor actuel est sous-alimenté par le nombre de personnes qui l'utilisent, ce qui signifie que Tor a besoin de plus de volontaires pour augmenter le nombre de relais. Gérer un relais Tor, comme expliqué sur la page dédiée du site Tor Project, vous pouvez contribuer à améliorer le réseau Tor en le faisant:

  • plus rapide et, par conséquent, plus utilisable;
  • plus robuste contre les attaques;
  • plus stable en cas de panne;
  • plus sûr pour ses utilisateurs car espionner plusieurs relais est plus difficile que d'espionner quelques-uns.

Il y a un dernier aspect à considérer, qui est d'ailleurs particulier et qui représente un problème non négligeable: la sécurité se fait au détriment de la vitesse. Le «tour du monde» que devra faire le flux de données, comme nous l'avons expliqué, ralentira la navigation. Ne pensez donc pas à utiliser Tor pour le streaming, le partage de fichiers ou pour des activités nécessitant de gros flux de données.

Dans quelle mesure Tor est-il sécurisé et anonyme ?

En théorie, il devrait être sûr et garantir l'anonymat de ceux qui l'utilisent. En pratique, il existe des doutes - même fondés - sur sa réelle innocuité. Sur le même site Tor Project, sur la page support, à la question : « Suis-je complètement anonyme si j'utilise Tor ? », La réponse suivante est donnée : « En général, il est impossible d'avoir un anonymat total, même avec Tor. Bien qu'il y ait quelques pratiques à mettre en place pour augmenter votre anonymat, en utilisant Tor, mais aussi hors ligne. Tor ne protège pas tout le trafic Internet de votre ordinateur lorsque vous l'utilisez. Tor ne protège que les applications correctement configurées, afin qu'elles puissent faire passer leur trafic via Tor ».

Cela dit, alors que Tor est anonyme en théorie, en pratique, les «nœuds de sortie», où le trafic quitte le protocole sécurisé «oignon» et est décrypté, peuvent être établis par n'importe qui, y compris les agences gouvernementales. Quiconque gère un nœud de sortie peut alors lire le trafic qui le traverse.

Et de fait, hélas, depuis plus de 16 mois, on assiste à l'ajout de serveur au réseau Tor afin d'intercepter le trafic et d'effectuer des attaques sur Décapage SSL aux utilisateurs qui accèdent à des sites où sont exploitées des crypto-monnaies.

Les attentats, qui ont débuté en janvier 2020, ont consisté à ajouter serveur au réseau Tor et les marquer comme "relais de sortie", qui, comme expliqué précédemment, sont i serveur par lequel le trafic quitte le réseau Tor et entre à nouveau sur l'Internet public après avoir été anonymisé.

ces serveur ils ont servi à identifier le trafic vers les sites Web de crypto-monnaie et à effectuer un Décapage SSL, qui est un type d'attaque conçu pour rétrograder le trafic d'une connexion HTTPS chiffrée à HTTP en texte brut.

L'hypothèse la plus probable est que l'attaquant a rétrogradé le trafic vers HTTP afin de remplacer les adresses IP du serveur de crypto-monnaie avec leurs propres transactions et ainsi détourner leur profit personnel.

Les attaques ne sont pas nouvelles et elles ont été documenté et exposé pour la première fois l'année dernière, en août, par un chercheur en sécurité et opérateur de nœuds Tor connu sous le nom de Nusenus.

À l'époque, le chercheur avait déclaré que l'attaquant avait réussi à inonder le réseau Tor de relais de sortie Tor malveillants à trois reprises, portant le pic de leur infrastructure d'attaque à environ 23% de la capacité de sortie de l'ensemble du réseau Tor avant d'être fermé. puisque L'équipe de Tor.

Mais dans un nouvelle recherche récemment publié et partagé avec L'enregistrement, Nusenu a déclaré que bien que leurs opérations aient été exposées publiquement, les menaces ont continué et sont toujours en cours.

Selon Nusenu, les attaques ont atteint et dépassé un quart de la capacité de production totale du réseau Tor à deux reprises au début de 2021, avec un pic à 27% en février 2021.

La deuxième vague d'attaques a été détectée, tout comme la première, et les relais de sortie Tor malveillants ont été supprimés du réseau Tor, mais pas avant que l'infrastructure d'attaque ne soit active et ait intercepté le trafic Tor pendant des semaines ou des mois.

La principale raison pour laquelle les attaques ont fonctionné pendant plus d'un an est que l'acteur malveillant a ajouté des relais de sortie malveillants «à petites doses», réussissant ainsi à se cacher dans le réseau et à construire l'infrastructure malveillante au fil du temps.

La dernière attaque a cependant été repérée rapidement en raison du fait que la capacité de sortie du réseau Tor était passée d'environ 1.500 2.500 relais de sortie par jour à plus de XNUMX XNUMX, une valeur que personne ne pouvait ignorer.

Bien que plus de 1.000 XNUMX aient été supprimés serveur, Nusenu a également déclaré qu'à partir du 5 mai 2021, l'attaquant contrôle toujours entre 4% et 6% de la capacité de sortie totale du réseau Tor, avec des attaques de Décapage SSL encore en progrès.

En août 2020, le Tor Project a émis un certain nombre de recommandations sur la façon dont les opérations du site Web et les utilisateurs du navigateur Tor pourraient se protéger contre ce type d'attaque. Les utilisateurs qui utilisent le navigateur Tor pour accéder à la crypto-monnaie ou à d'autres sites financiers sont encouragés à suivre les conseils fournis sur le site.

Il est clair qu'aucune infrastructure ne peut être attaquée et que les attaques visent, de plus en plus, des domaines d'intérêt croissant tels que, comme le rapporte l'article, le marché des crypto-monnaies. 

En bref, personne ne peut être considéré comme sûr. Pas même avec le navigation en incognito.