Podtikanje virusov pri uporabi Tora!

Omrežje Tor je namenjeno višji varnosti in anonimnosti, saj zaradi preusmerjanja prometa prek več vozlišč po celem svetu in šifriranja komunikacij prisluškovalci vašemu prometu ne morejo ugotoviti, s kom in kaj komunicirate. Toda Tor ima svoje temne plati, ki se v praksi že izrabljajo za podtikanje trojanskih konjev in druge nesnage.

Temeljna predpostavka omrežja Tor (The Onion Router, torej večnivojsko usmerjanje kot v čebulnih slojih) je dobronamernost sodelujočih. Ti prostovoljno dajejo na razpolago svojo pasovno širino, da se promet pretaka prek nje. Kritična točka so izhodna vozlišča (exit node), kjer promet zapusti omrežje Tor in po običajnih povezavah doseže stran, ki jo je želel uporabnik na drugi strani Tora obiskati. Izhodno vozlišče vidi komunikacijo in jo lahko tudi poljubno spreminja.

Sredi oktobra so v Rusiji odkrili izhodno vozlišče, ki je vse izvršilne datoteke za okolje Windows (torej .exe), ki so se prenašale prek njega, spremenilo. Obleklo jih je v posebno ovojnico (wrapper) ter jim dodalo zlonamerno programsko opremo. Postopek se imenuje spreminjanje izvršljivih datotek (binary patching). Ko je uporabnik datoteke prenesel, je ovojnica zagnala pravo vsebino, tako da ni bilo nič sumljivo, v ozadju pa je zagnala pripeto zlonamerno kodo.

Najnovejše raziskave napada, ki so ga preiskovalci poimenovali OnionDuke, kažejo, da je povezan, a ne enak kot MiniDuke. Slednje je povezan z rusko ekipo APT in so ga v preteklosti uporabljali za vdore v EU in NATO. OnionDuke deluje podobno in ima bržkone iste avtorje, saj po namestitvi kontaktira strežnike na domenah, ki jih je registriral isti človek kakor tiste za MiniDuke.

OnionDuke torej uporabniku poleg želenega programa podtakne trojanskega konja, ki takoj stopi v stik s krmilno-nadzornimi strežniki. Njihove naslove ima vgrajene v kodo (hard-coded), obstaja pa tudi modul, ki komunicira prek Twitterja. OnionDuke pa potem na okužen računalnik, ki ga že ima po nadzorom, prenese poljubne dodatne zlonamerne programa, ki jih lahko uporabijo za krajo osebnih podatkov ipd.

Časovni žigi na kodi kažejo, da OnionDuke pred Tora razsaja že vsaj od lanskega oktobra, sam program pa je še starejši.

Kaj storiti? Tor ni varnejši od nezaščitenega brskanja, le bolj anonimen je. Tudi tu je treba biti pozoren, saj nedavne analize kažejo, da je vsaj v principu mogoče deanonimizirati 81 odstotkov uporabnikov Tora! Prenašanje datotek prek Tora ni nikoli priporočljivo, pri brskanju prek Tora pa je zelo priporočljivo uporabljati dodatke (npr. HTTPS Everywhere), ki skrbijo za obisk podprtih strani prek HTTPS in šifriranje podatkov – v tem primeru je promet, ki ga šifrira Tor in dešifrira izhodno vozlišče, pred tem že šifriran in vsem udeležencem nerazumljiv.