Jak hakerzy wykorzystali Tora, by zrabować bitcoiny z Blockchaina

W październiku i listopadzie 2014 roku nie mającym tym razem szczęścia użytkownikom najpopularniejszego portfela bitcoin, Blockchain.info, oraz jednej z lepiej znanych giełd, LocalBitcoins, zostały skradzione po cichu nazwy użytkowników oraz hasła. Okradziono ich ze znacznych sum, prawdopodobnie wartych dziesiątki tysięcy dolarów kryptowalut, być może więcej. Usługi e-mail skupiające się podobno na bezpieczeństwie, Safe-mail i Riseup, także były obiektem ataku tej samej grupy. Zgodnie z wypowiedzią obserwatora zeszłorocznych ataków, dyrektora Digital Assurance Grega Jonesa, wygląda na to, że celem ataków były konta kupujących i sprzedających na darknetowych bazarach.

Atakujący wykorzystali znaną i przetestowaną metodę, ustawiając pewną liczbę złośliwych węzłów wyjściowych w Torze. Prawdziwe węzły wyjściowe działają jako ostatni skok między anonimizującą siecią Tor, która łączy użytkowników przez wiele losowo wybranych serwerów na całym świecie, by chronić ich tożsamość, a clearnetem. Ale pewien nikczemny typ, uruchamiając złośliwy węzeł, może użyć techniki usuwającej szyfrowanie znanej jako SSL stripping, w której połączenia nie są już chronione przez SSL (Secure Sockets Layer), co zazwyczaj ukazywane jest użytkownikom jako część https adresu witryny sieciowej. Stosując tę metodę można ingerować i zmieniać przesyłane dane. Lub można stworzyć własny, fałszywy certyfikat SSL dla strony i sprawić, by połączenie wyglądało na normalne, ale wtedy atakujący musi polegać na naiwnym użytkowniku, który zignoruje ostrzeżenie przeglądarki Tor.

Chociaż Tor Project, non-profitowa organizacja zajmująca się utrzymaniem Tora, oraz użytkownicy sieci są wszyscy świadomi możliwości ataków i cały czas próbują blokować te złe węzły, można z nimi walczyć dopiero, gdy się już pojawią – brak odpowiednich metod prewencji. Dlatego między innymi atakujący mogli przeprowadzać swoją kradzież przez okres dwóch miesięcy.

Jest pewna niezgodność w kwestii tego, czego jak twierdzi Jones dokonali przestępcy, by zoptymalizować swoje ataki. Zgodnie ze słowami Jonesa, ponieważ Blochckain.info i LocalBitcoins polegają głównie na usłudze CloudFlare, jeśli chodzi o blokowanie złych węzłów wejściowych (tzn. wpisywanie ich na „czarne listy”, lub „białe listy” w przypadku dobrych węzłów), hakerzy sprawili, że zostały zablokowane prawidłowe węzły. Dokonali tego zalewając sieć Tora złośliwie wyglądającym przepływem danych i zwiększając przepustowość na swoich własnych serwerach. Ponieważ Tor preferuje najlepiej sprawujące się węzły, a wiele z nich było teraz wyłączonych z ruchu, serwery atakujących otrzymały teraz więcej połączeń, które powinny iść przez prawidłowe węzły do witryn chronionych przez CloudFlare.

Od końca października oraz przez większość listopada było bardzo ciężko, jeśli nie niemożliwe, dostać się na Blockchaina przez Tora, bez wybierania nowej tożsamości (‘New Identity’) w Torze kilkakrotnie. Z około 1000 węzłów wyjściowych, największe 100 prawdopodobnie przekazuje 90% ruchu. Atakującym udało się zablokować większość węzłów z topowej setki. W związku z tym fałszywe węzły wyjściowe mogły się stać głównymi dostępnymi węzłami wyjściowymi, które nie były blokowane.

Zarówno Blockchain, jak i LocalBitcoins, wierzą w taki przebieg zdarzeń. „Zauważyliśmy to niedługo po tym, gdy się zaczęło. Nietrudno było zauważyć związek z Torem, ponieważ użytkownicy, którym zhakowano konta, korzystali z Tora. Raczej prędko zaczęliśmy zniechęcać do używania Tora”, powiedział Nikolaus Kangas, wiceprezes LocalBitcoins.

Inżynier bezpieczeństwa Blockchain oraz założyciel Open Bitcoin Privacy Project, Kristoy Atlas, w wypowiedzi dla Forbes zauważył, że przeprowadzając swoje niezależne badania w zeszłym roku, zauważył wzrost złośliwej działalności w sieci Tor w okresie października i listopada. Zauważył także wzrost w niepoprawnym ruchu danych w węzłach wyjściowych, nie zgadzając się z zarzutami Jonesa o nadużyciu bezpieczeństwa CloudFlare. „Zdaje się, że był okres, gdy ataki SSL strip przeciwko domenie blockchain.info nasilały się. Jako niezależny badacz otrzymałem kilka doniesień od użytkowników Blockchain, którzy mieli stracić w tym okresie pieniądze i, biorąc pod uwagę ich zwyczaje, wydało się prawdopodobne, że nastąpiło to wskutek ataków SSL strip poprzez Tora”, dodał.

Niestety CloudFlare nie było w stanie powiedzieć, co się stało. Firma nie przechowuje logów blokowanych węzłów Tora i nie istnieją dane potwierdzające, że CloudFlare zostało w jakiś sposób zaatakowane, chociaż Jones jest „w 100% pewien”, że tak się stało. Tak czy inaczej, taki rodzaj ataku Denial of Service jest odpowiednim sposobem, by zwiększyć szanse na przechwycenie połączeń Tor. „Z pewnością jest możliwe wykorzystać DDoS (Distributed Denial of Service) w Torze na witryny, które korzystają z ochrony CloudFlare”, dodał Atlas.

Jones był w stanie monitorować co się dzieje dzięki skryptom, które jego zespół utworzył, aby monitorować dostęp do usług bitcoin oraz e-mail, „i tuzina innych związanych stron” często używanych przez operatorów darknetowych marketów, przez wszystkie topowe 250 węzłów wyjściowych (jest tylko ponad 1000 aktualnie działających węzłów wyjściowych, z ponad 6500 węzłów Tora – serwerów używanych do zróżnicowania ruchu użytkowników w celu ukrycia ich oryginalnego adresu IP). „Działaliśmy z tym już od jakiegoś czasu, więc mogliśmy zauważyć dość szybko, gdy pojawiał się zły węzeł, dzięki czemu zauważyliśmy konkretny wzrost w aktywności w październiku i listopadzie. Dowiedzieliśmy się, że większość węzłów wyjściowych była hostowana w krajach Beneluksu i w Rosji, prawdopodobnie operowane były przez tę samą grupę”, powiedział Jones.

Niemożliwe jest dokładnie ustalić, ile ukradli atakujący. Przez okres swej działalności pojawiło się mnóstwo skarg na temat wielkich kradzieży na kontach Blockchain. Jeden post na forum wskazywał, że haker ukradł 106 BTC, o wartości $25,261, w ciągu sześciu dni z jego portfela Blockchain. W listopadzie zgłoszono kradzież 63 BTC. Jeśli mieli rację użytkownicy forum, na temat jednego z adresów bitcoin używanego przez atakującego, zgromadził on co najmniej 210 bitcoinów, około $50,000. Inne doniesienia o kradzieżach na Blockchain wskazywały inny adres, który był aktywny tylko w październiku. Ktokolwiek go posiadał, zgromadził na nim 775 BTC, wartych około $183,000, w jedynie 11 transakcjach w ciągu 4 dni.

106btc

Użytkownik forum zaniepokojony kradzieżą jego bitcoinów.

Nie ma dowodu, że te adresy były używane przez hakerów wykorzystujących Tor do ataków. Mogły należeć do oddzielnych atakujących. Mogły to też być całkowicie poprawne transakcje. Ale czas ich dokonania i posty na forach pasują w detalach do ataków, zaś pewne podejrzanie krótko żyjące adresy bitcoin otrzymały przelewy znacznych środków od niezadowolonych użytkowników Blockchain.

Kangas z LocalBitcoins, wypowiedział się, że liczba dotkniętych użytkowników, którzy doznali strat, wynosiła między 10 a 20 (znowu, brak zapisów danych na temat strat, więc dane te Kangas podaje z pamięci). „Zgaduję, że liczba użytkowników, którym skradziono hasła i identyfikatory, lecz nie ponieśli strat finansowych, może być znacznie większa… Wysokość strat w bitcoinach była dość skromna, ponieważ użytkownicy posiadający większe ilości bitcoinów zazwyczaj używają zalecanych przez nas środków bezpieczeństwa, które mogą zapobiec tego typu atakom”.

Ataki na darknetowych dilerów

Śledząc złe węzły wyjściowe hakerów, Jones twierdzi że odkrył próby kradzieży loginów i haseł do Riseup i Safe-mail, usług e-mail popularnych wśród chcących dbać o swoją prywatność. Członek grupy Riseup (chcących zachować anonimowość) udzielił Forbes informacji, że organizacja nie zauważyła nic szczególnie skandalicznego w okresie października i listopada. Ponadto, ataki na użytkowników Riseup są raczej częste, dodał.

W październiku co najmniej cztery złośliwe węzły zostały wykryte przez Riseup. Dwa z tych złośliwych serwerów próbowały przechwycić ruch przez stripping SSL, jeden wstrzykując kod Javascript przez odwiedziny na witrynach, prawdopodobnie tworząc część innego ataku, oraz jeden zastępujący pliki. Takie ataki są powszechne w sieci Tor, jak powiedział członek Riseup w rozmowie przez Jabber.

Jones wierzy, że grupa hakerów chciała okraść użytkowników darknetowych marketów sprzedających narkotyki, broń i inne rzeczy, które są nielegalne w wielu krajach. Silk Road było najbardziej znane do czasu swego upadku, ale wiele innych marketów wypełniło natychmiast lukę po nim, wśród nich Evolution – najbardziej dochodowy. „Według mnie ich celem byli użytkownicy marketów, kupujący i sprzedający”, dodał Jones.

Safe-mail, który podobno jest główną usługą e-mailową używaną przez darknetowych dilerów, nie odpowiedział na prośbę o komentarz.

Problem ze złym węzłem

Poza zwróceniem uwagi na potencjalny problem z ochroną CloudFlare, atakujący śledzeni przez Jonesa rzucili nieco światła na utrzymujący się problem złośliwych węzłów wyjściowych. Kierownik ds. badań nad bezpieczeństwem CloudFlare, Marc Rogers, powiedział że jego firma widzi wiele ruchu pochodzącego od złośliwych węzłów wyjściowych Tora, podczas gdy Roger Dingledine, jeden z oryginalnych developerów Tora i dyrektor Tor Project, zwrócił uwagę, że flagą „BadExit” oflagowano 24 węzły na początku stycznia, ponieważ przeprowadzały one tak zwane ataki „man-in-the-middle” na użytkowników Blockchain.info. To ewidentnie postępujący problem, jeden bez jednoznacznie nasuwającego się rozwiązania, innego niż blokowanie węzłów tak szybko, jak tylko zostaną zidentyfikowane jako złośliwe. A to gra w kotka i myszkę. Jones powiedział, że liczba złośliwych węzłów często skacze to w górę, to w dół; czasem jest ich ponad 30, a czasem nie ma ich wcale.

Jednym z problemów aktualnej strategii jest to, że utrzymujący Tora mają tendencję, by patrzeć na połączenia do wielkich stron, jak Google czy Facebook, chronionych przez SSL, a nie te kierujące się ku standardowym stronom HTTP. Gdy pozbędzie się szyfrowania, nie ma połączenia SSL, znaczy to że taka kradzież może umknąć niezauważona. „Oczywiście nie były to pierwsze węzły przeprowadzające tego typu ataki. Myślę, że pierwsza lekcja jest taka, że atakujący cały czas korzystają z tego sposobu, a druga jest taka, że choć zaczęliśmy w grudniu sprawdzać wersje HTTP niektórych miejsc przeznaczenia, to jest to dużo bardziej skomplikowana robota”, jak powiedział Forbes’owi Dingledine.

how-tor-works

Jak działa Tor.

Tak czy inaczej, nawiązywanie do architektury Tora może nie być najlepszym sposobem do ochrony swoich użytkowników przed takimi atakami. Blockchain.info i Riseup dodali różne środki bezpieczeństwa, których ich użytkownicy powinni zacząć używać, by lepiej bronić swoich kont. Dwustopniowa weryfikacja (two-factor authentication, czyli tak zwane 2FA) jest jedną z tych oczywistych opcji, ponieważ haker nigdy nie byłby w stanie zgadnąć jednorazowego kodu używanego jako drugie potwierdzenie. Atlas powiedział, że wiele osób, którym skradziono bitcoiny w październiku i listopadzie, nie korzystało z żadnych z tych środków bezpieczeństwa.

Blockchain wprowadził także sporo zmian w celu ochrony przez podobnymi atakami w przyszłości, jedną z nich było uruchomienie witryny .onion na początku grudnia (jest to coś, co zrobił też Facebook). Zminimalizowało to szansę na SSL stripping, ponieważ nie ma tu węzła wyjściowego, nie ma punktu do usunięcia szyfrowania. Atlas zauważył, że atakujący jesienią zwiększali ilość ruchu przez złe węzły Tora aż Blockchain wypuścił swoją stronę .onion. Blockchain.info wprowadził także HSTS, który wymusza połączenia, by przychodziły przez szyfrowany tunel HTTPS, a nie niechronioną linię HTTP.

LocalBitcoins nie zdecydowało się jeszcze na uruchomienie domeny .onion, chociaż tak jak Blockchain rekomenduje swoim klientom używanie podwójnej weryfikacji.

„Strefa wojenna” Tora

Ataki na Blockchain, LocalBitcoins, Riseup i Safe-mail oddają tylko niewielką część niezliczonych ataków, na które narażony jest Tor każdego dnia. Przez ostatnie miesiące i lata Jones mówi o powstającej hakerskiej „strefie wojennej” w obrębie Tora, która zawiera znaczną ilość ukrytych usług, witryn osadzonych w sieci Tor, które mają taką samą ochronę jak połączenia użytkowników.

Wiele dark marketów upadło w rezultacie hack-ataków w ciągu ostatnich dwóch lat. TorMarket, konkurujący z obecnie niefunkcjonującym SilkRoad, został zniszczony dzięki wykorzystaniu luki Ruby w jednym z formularzy witryny, zgodnie z Jonesem. Wykorzystanie tej luki pozwoliło na uzyskanie większości z bazy danych witryny, której fragmenty zostały opublikowane przez DPR2 na forach Silk Road 2. Doprowadziło to do zamknięcia TorMarket.

Inny market nielegalnych dóbr, FloMarket, został prawdopodobnie zdeanonimizowany przez bardzo prosty zabieg, gdy atakujący majstrował z nagłówkami HTTP, które zawierają informacje na żądanie i odpowiadające wiadomości na każdą wizytę na stronie, by adres IP strony oraz tożsamość operatora strony zostały ujawnione.

Sheep, który kiedyś był jednym z głównych konkurentów Silk Road, został podobno zhakowany, a jego adresy IP wyciekły. Raporty wskazują na to, że vendor wykorzystał błąd w kodzie i uciekł z co najmniej 5500 BTC w kieszeni. Inni sugerowali, że właściciele po prostu zamknęli usługę i odeszli z wartymi około $60 milionów kryptowalutami.

Wszystkie te przestępstwa odbyły się bez aresztowań i nie było zbyt wielkiego odzewu ze strony ofiar. Ani Blockchain ani LocalBitcoins nie mają określonych postępowań na temat zwrotu funduszy, chociaż zdarzało im się zadośćuczynić użytkownikom w wyjątkowych przypadkach, kiedy firma przyznawała się do wystąpienia błędu po ich stronie.

Chociaż Tor niesie wiele korzyści dla każdej indywidualnej osoby czy dla biznesu, którzy chcą utrzymać swoją tożsamość w tajemnicy, lub chcą korzystać ze swojego prawa do wolnej wypowiedzi, jego architektura dostarcza żyznej gleby dla przestępczej działalności i żerowania na prawych użytkownikach. Oszuści zarabiają ogromne sumy pieniędzy, a ich uczynki pozostają bezkarne. Być może nadejdzie czas, by odeprzeć atak tych wykorzystujących Tor, stosując na przykład środki jak te, które wprowadził Blockchain.info. Przedstawiciele prawa również mogliby zauważyć rosnącą liczbę ataków zachodzących przez Tora. Na razie ich działania ograniczają się do zamykania darknetowych bazarów, karania ich właścicieli i chwalenia się wygraniem wojny z darknetem.


Cyfrowa Matka

Może Ci się również spodoba

1 Odpowiedź

  1. 26 lutego 2015

    […] W roli głównej Tor. Jak kraść, to z fantazją i pomysłowo. CZYTAJ. […]

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *