Скомпрометирована половина сайтов на базе скрытых сервиcов Tor

5 августа 2013 года

Вчера пользователи анонимной сети Tor обратили внимание на пропажу из каталога около половины onion-сайтов, работающих в виде скрытых сервисов Tor. Указанный эффект оказался следствием закрытия хостинг-компании Freedom Hosting, в рамках которой был организован крупнейший хостинг анонимных сайтов. Создатель Freedom Hosting арестован ирландскими властями после запроса ФБР о его депортации в США по обвинению в распространении детской порнографии, для организации доступа к которой использовалась технология скрытых сервисов Tor.

Более того, стало известно о внедрении в сервисы, работающие на мощностях Freedom Hosting, троянского JavaScript-кода, поражающего Windows-сборки браузера Firefox 17 и позволяющего отслеживать активность пользователей анонимных сервисов (на внешний сервер отправлялся идентификатор клиента, позволяющий деанонимизировать пользователя и сопоставить анонимный вход с другой активностью в сети). Вредоносное ПО эксплуатировало неисправленную уязвимость в ветке Firefox с длительным сроком поддержки, используемой в качестве основы продукта "Tor Browser". В итоге, удалось зафиксировать анонимную активность пользователей уязвимого браузера в сети Tor, пользуясь тем, что для анонимной и неаноимной работы в Сети часто используется одна система, а также то, что поддержка JavaScript в Tor Browser с некоторых пор по умолчанию включена.

В число поражённых onion-сайтов попали не только страницы связанные с распространением порнографии, но и такие крупные сервисы, как анонимный почтовый ресурс TORmail. Все пользователи обращавшиеся со 2 по 4 августа к сервисам, размещённым с использованием Freedom Hosting, потенциально могли стать жертвами атаки (выводилась страница о временных технических работах на сервере, в которую был встроен вредоносный код).

Отдельно стоит отметить, что проект Freedom Hosting развивался людьми никак не связанными с организацией Tor Project, курирующей развитие технологий Tor. Проведённая атака также не является свидетельством обнаружения уязвимостей в технологиях Tor - атака была проведена на стороне сервера, обслуживающего работу конечных сайтов (на сайты был внедрён iframe с вредоносным кодом). Соответственно сами анонимные сайты были источником распространения вредоносного ПО. Указанная атака является одной из крупнейших демонстраций того, что все усилия по обеспечению анонимного доступа и защиты от прослушивания трафика могут быть сведены на нет получением контроля над конечной реализацией сервиса, обслуживающего запросы пользователей.

Напомним, что технология скрытых сервисов Tor ( Hidden Services) позволяет создавать анонимные серверные приложения, принимающие соединения по TCP, но не имеющие конкретного адреса и месторасположения (изначальный адрес сервера скрывается по аналогии с тем, как скрываются IP-адреса пользвоателей сети Tor). Подобные сайты адресуются через специальный анонимный домен ".onion", например "http://idnxcnkne4qt76tg.onion/". Одной из областей применения таких сервисов является анонимная публикация контента в Web без раскрытия источника его распространения.

Дополнение: Проект Mozilla опубликовал результат анализа эксплуатированной уязвимости. По данным Mozilla проблема связана с уязвимостью MFSA 2013-53, которая была устранена 25 июня в выпусках Firefox 17.0.7 и 22. Таким образом, в атаке была задействована не 0-day уязвимость, а уже известная и исправленная проблема, которая представляет опасность только для необновлённых версий Tor Browser и Firefox.