De Tor-anonimiteitsservice en anti-censuurtool zijn de afgelopen weken onder vuur komen te liggen door twee bedreigingen: de Russische regering heeft de meeste Tor-knooppunten in dat land geblokkeerd en honderden kwaadaardige servers hebben verkeer doorgestuurd.
De Russische Federale Dienst voor Toezicht op Communicatie, Informatietechnologie en Massamedia, bekend als Roskomnadzor, begon Tor in het land blokkeren op dinsdag. De verhuizing verliet Tor-gebruikers in Rusland—zei door Tor-projectleiders om ongeveer 300.000, of ongeveer 15 procent van de Tor-gebruikers te tellen, klauterend om manieren te vinden om sites die al geblokkeerd zijn te bekijken en om hun surfgedrag af te schermen voor overheidsonderzoekers.
“Illegale inhoud”
Tor Projectmanagers op vroege dinsdag zei sommige ISP’s in Rusland begonnen op 1 december Tor-knooppunten te blokkeren en dat Roskomnadzor had gedreigd de belangrijkste Tor-site te blokkeren. Een paar uur later, de Russische overheidsinstantie goed gemaakt op die bedreigingen.
“De gronden waren de verspreiding van informatie op de site om het werk van diensten die toegang bieden tot illegale inhoud te verzekeren,” Roskomnadzor vertelde de AFP-nieuwsdienst op woensdag bij het toelichten van het besluit. “Vandaag is de toegang tot de bron beperkt.” De censuurinstantie heeft eerder de toegang geblokkeerd tot veel VPN’s die in het land actief waren.
Tor-managers hebben gereageerd door een mirror-site dat is nog steeds bereikbaar in Rusland. De managers doen ook een beroep op vrijwilligers om te creëren Tor bruggen, dit zijn privéknooppunten waarmee mensen censuur kunnen omzeilen. De bruggen gebruiken een transportsysteem dat bekend staat als obfs4, dat het verkeer verhult, zodat het niet gerelateerd lijkt aan Tor. Vorige maand waren er ongeveer 900 van dergelijke bruggen.
Veel standaardbruggen in Rusland werken niet meer, zei Tor. “We roepen iedereen op om een Tor-brug op te draaien!” projectleiders schreven. “Als je ooit hebt overwogen een brug te slaan, is dit een uitstekend moment om te beginnen, want je hulp is dringend nodig.”
Sybil aanval
Ondertussen, op dinsdag, veiligheidsnieuwssite The Record gerapporteerd over bevindingen van een beveiligingsonderzoeker en Tor-knooppuntoperator dat een enkele, anonieme entiteit enorme aantallen kwaadaardige Tor-relais had uitgevoerd. Op hun hoogtepunt bereikten de relais 900. Dat kan oplopen tot 10 procent van alle knooppunten.
Tor-anonimiteit werkt door verkeer door drie afzonderlijke knooppunten te leiden. De eerste kent het IP-adres van de gebruiker en de derde weet waar het verkeer naartoe gaat. Het midden werkt als een soort vertrouwde tussenpersoon zodat knooppunten één en drie geen kennis van elkaar hebben. Het runnen van enorme aantallen servers heeft het potentieel om die anonimiteitsgaranties te doorbreken, zegt Matt Green, een encryptie- en privacy-expert aan de Johns Hopkins University.
“Zolang die drie knooppunten niet samenwerken en informatie delen, kan Tor normaal functioneren”, zei hij. “Dit gaat kapot als je een persoon hebt die zich voordoet als een stel knooppunten. Allemaal [the attackers] moet zijn is in de eerste hop of de derde hop.” Hij zei dat wanneer een enkele entiteit het eerste en derde knooppunt bedient, het gemakkelijk is om de informatie af te leiden die verondersteld wordt te worden versluierd met behulp van het middelste knooppunt.
Dergelijke technieken staan vaak bekend als Sybil-aanvallen, genoemd naar het titulaire karakter van a TV-miniserie uit 1970 die leed aan een dissociatieve identiteitsstoornis en 16 verschillende persoonlijkheden had. Sybil-aanvallen zijn een imitatietechniek waarbij een enkele entiteit zich voordoet als een set knooppunten door valse identiteiten te claimen of nieuwe identiteiten te genereren.
Onder verwijzing naar een onderzoeker die bekend staat als Nusenu, zei The Record dat er op een gegeven moment een kans van 16 procent was dat een gebruiker het Tor-netwerk zou betreden via een van de kwaadaardige servers. Ondertussen was er ook een kans van 35 procent om door een van de kwaadaardige middenservers te gaan en een kans van 5 procent om via een van de servers te verlaten.
“Een zeer gouvernementele ding om te doen”
Nusenu zei dat de kwaadaardige relais dateren uit 2017, en door de jaren heen heeft de verantwoordelijke persoon er regelmatig grote aantallen aan toegevoegd. Doorgaans heeft de onbekende persoon op een gegeven moment tot honderden servers gebruikt. De servers worden meestal gehost in datacenters over de hele wereld en zijn meestal geconfigureerd als entry- en middlepoints.
Tor-projectleiders vertelden The Record dat Tor de knooppunten heeft verwijderd zodra het ervan vernam.
De onderzoeker zei dat verschillende factoren erop wijzen dat de knooppunten het werk zijn van een goed uitgeruste aanvaller die wordt ondersteund door een natiestaat. Green was het daarmee eens en zei dat de meest waarschijnlijke boosdoener China of Rusland zou zijn.
“Het klinkt als een zeer regeringszaak om te doen,” zei Green. China en Rusland “zouden er geen moeite mee hebben om actief met Tor te neuken.”
Tor-gebruikers kunnen verschillende dingen doen om de schade als gevolg van malafide nodes te minimaliseren. De eerste is om op TLS gebaseerde codering te gebruiken voor het verzenden van e-mail en het browsen op websites. Het bladeren door anonieme sites die zich binnen het Tor-netwerk voor verborgen services (ook bekend als het Dark Web) bevinden, in tegenstelling tot het gebruik van Tor om verbinding te maken met reguliere internetsites en servers, wordt niet beïnvloed door de dreiging. Helaas is dit vaak geen optie voor mensen die sites willen bereiken die door censuur zijn geblokkeerd.
