TOR לגלישה אנונימית - מה זה , ודרכי התמודדות בסיסיות
עולם הP2P מאפשר לנו היום להנות מעולמות אדירים של חלוקת רוחבי פס ומשאבים בין משתמשי קהילה , הגענו כבר כלכך רחוק עם הטכנולוגיה , שניתן לבצע היום שיחות VOICE על גבי תשתיות אינטרנט על ידי דילוג בין תחנות קצה של משתמשים ברשת . יש גם כמובן כאלה שבחרו לקחת את זה צעד אחד קדימה ולבנות אפליקציות נוספות רשתיות בעלות אופי שנוי במחלוקת - TOR למשל.
לאלו מכם שטרם נתקלו באפליקצית TOR , מדובר בעצם באפליקציה אשר מהווה תוסף איכותי לFIREFOX עם תשתית של Proxifity מתחת. בעצם מה שהאפליקציה עושה ברגע שהמשתמש בוחר להפעיל TOR , היא להגדיר PROXY מקומי ולהכריח את הדפדפן לעבוד מולו , אותו PROXY מתחבר לרשת הPROXY עולמית בHTTPS ( כלומר לא ניתן לגילוי על ידי בדיקות SNIFFER בתוך הPACKET ) וכמובן לאפשר גלישה אנונימית . אך למעשה - הדבר פותח באופן תיאורטי גישה לכל דבר שהFW הארגוני חוסם על פי מדיניות אבטחת המידע הארגונית, ויתרה מכך - להוריד קבצים ללא בדיקות אנטיוירוס, להתחבר לתוכנות מסרים מיידיים ולגלוש לאתרים אשר אמורים להיות חסומים על ידי מנגנון סינון האתרים הארגוני.
המטרה המקורית היא כמובן לשמור על אנונימיות בגלישה . מה שקורה בפועל הוא שמשתמש TOR יכול לגלוש דרך מחשב של משתמש במדינה אחרת שמפנה למשתמש במדינה אחרת וכן הלאה ( TOR מבצע בעצם ENCRYPTED CIRCUIT בין מספר מחשבים אשר אינו ניתן לזיהוי פרט לכתובת הHOST הקודם וכתובת הHOST הבא בשל יכולות הקריאה של הIP HEADER ) , ואז הוא לא ניתן לגילוי - אבל כך גם לגבי זליגת מידע או שימוש זדוני במשאב הWAN הארגוני. מדובר לכן במשאב מדהים עבור האקרים אשר מעוניינים לבצע פעולות אנונימיות ובמהירות וזמינות, מבלי לאפשר גילוי עקבות.
הרשת עובדת בצורה כזו שהמשתמשים עצמם תורמים את רוחב הפס שלהם ומקימים שרתים מקומיים ועל ידי כך מאפשרים שימוש ( לא חייבים להפעיל ) ברגע שמשתמש מתחבר לTOR , מספיקה לו גישה לאחד השרתים ( שנמצאים על המחשבים האישיים של המשתשים אשר הסכימו להיות שרתים ) והוא כבר מתעדכן ברשימת כתובות הIP של השרתים הפעילים באותו רגע , נכון לזמן כתיבת המאמר - ישנם כ1500 שרתים כאלו פעילים בכל רגע נתון אשר זמינים לכל משתמש . ישנה אקספוננטה מסויימת , כי לא כל משתמש רואה את כל השרתים - וזאת על מנת למנוע מיפוי של הרשת הזו , לכן לדעתי מדובר על רשת גדולה בעשרות או מאות ומגיעה לדעתי לכ100,000 שרתים בקלות בכל זמן נתון ( כלומר , בהצלחה בחסימה בFW ).
טכנולוגית , המושג המאפיין רשת כזו נקרא Onion Routing כלומר ניתוב בשכבות , לצורך ביצוע פעולה שכזו דרושים לפחות 3 HOSTS בדרך, כאשר הNODE שממנו יוצאת הבקשה לתעבורה מצפין , המידע עובר מוצפן בכל המסלול , ומפוענח רק על ידי הEXIT NODE. כאשר כל HOST אשר משמש למשלוח יודע רק את המקור והיעד אבל לא יודע מה המידע אשר מועבר דרכו. יש לציין גם שטכנולוגיה זו הומצאה על ידי הצי האמריקאי - המטרה המקורית הייתה כמובן למנוע לחלוטין את התקפות ניתוח המידע והSNIFFING ברשת הצבאית, אבל כמו כל דבר טוב - תמיד קמים שימושים רעים לכל דבר.
SPAM NEXT-GENERATION - תזה קצרה :
לדעתי מדובר בתקופה קצרה ביותר , עד שתוקם רשת מקבילה , או שירכיבו על גבי רשת הTOR יכולות מובנות של SMTP , וכן - מאותו רגע כל עולם הRBL יהפוך להיות שולי , חסימות ברמת זיהוי כתובת שרת שולח יהפכו לנושא לא רלוונטי - ולפי כך - כל חברות הANTISPAM ייאלצו לעבור לתצורת HEURISTICS - מה שיהפוך את הפתרונות הקיימים לנחותים מבחינה חומרתית ( מנועים כאלו זוללים משאבי מערכת בשל תצורת הבדיקה המעמיקה ). הרי שמאוו רגע כל משתמש ברשת הבצל - יכול להיות מקור לספאם , והאם נכון לחסום את כל כתובות הIP הפרטיות ? האם הדבר יהפוך את פתרון הSenderBase המעולה של IRONPORT ללא יעיל ? שוב , ייתכן ואני טועה לגבי הניתוח שלי לטכנולוגיה זו - אבל ימים יגידו.
להלן מספר דרכים להתמודד עם התופעה ברמה ארגונית :
1. הקמתו של PROXY עבור כל תעבורה שהיא HTTPS בארגון , ניתן לבצע עם פתרונות קנייניים או עם פתרונות כגון SQUID על שכבת לינוקס. במקביל , יש לחסום את כל תעבורת הHTTPS אשר לא יוצאת מתוך הPROXY כלפי האינטרנט. אגב - זהו פתרון מקובל לכל בעייה שקשורה לאפליקציות מסוג זה , מכיוון שמספיק שאני מעביר את התעבורה המוצפנת לגורם שמבצע PROTOCOL MIDDELING וחותך את התעבורה באמצע - אני יכול לחסום כל דבר ( דוגמת LOGMEIN ) ברמה רשתית.
אגב , המלצה כללית שלי , היא לא לאפשר שום תעבורה מוצפנת מתחנות שאינן מורשות לכך באופן ספציפי , ואם ניתן - להעביר תמיד תעבורה מסוג זה דרך PROXY כלשהו.
2. במידה וקיים בארגון פתרון כגון HOST IPS ניתן לחסום את האפליקציה עצמה של TOR ושל Vidalia אשר הינה חבילה אשר מכילה את כל הפרטים וההגדרות פעולה וזאת על ידי חסימה ברמת האפליקציה. אפשר לאכוף בקלות באמצעות ISS של IBM או INTEGRITY של צ'קפוינט. אם יש SOFTWARE MANAGMENT בארגון , כגון BIGFIX או PATCHLINK , ניתן להגדיר JOB להסרה קבועה ברגע הגילוי - אבל שוב - אלו מצריכים CLIENT ולכן בעייתי .
3. לארגונים אשר בחרו ליישם NAC ( ברמה רשתית ) ניתן לבדוק הימצאות התוכנה ולנעול את השכבה השניה במידה והתגלה , ולדרוש הסרה. ניתן לשלב עם פתרון הCLIENT מסעיף 2.
קישורים :
- הקישור לTOR ולמידע טכני אודות האפליקציה - בקישור הבא
- מאמר שמתאר זליגת מידע בעקבות שימוש ברשת TOR - בקישור הבא
Labels: hacking, technology, thesis
מעניין.
זה אומר שאפשר לעקוף גם כל מיני שרותי סינון אינטרנט בסגנון "מורשת" ו"אינטרנט רימון" ודומיו שמיועדים לחסום בעיקר פורנוגרפיה ובפועל חוסמים עוד הרבה דברים (בעיקר הראשון).
ושם אין אפשרות של חסימה בצד לקוח בעזרת כלים מהסוג שתיארת.
משה.
Posted by Anonymous | 4:19 PM
טור אמנם שירות מעניין ביותר ללא ספק. עם זאת, כל מי שחושב ששירותי האנונימיות ברשת שווים משהו אם מישהו ברמה ממלכתית מבקש לעקוב אחריהם, הוא די אופטימי לדעתי.
מזכיר לי את גשש בלש שיושב עם העיתון והחורים לעיניים...
Posted by Anonymous | 7:47 AM
זה נכון , יש כאן ללא ספק בעיה מסויימת מבחינת איכות השירות והאמינת של תצורת השמירה על אנונימית שמוצגת דרכו, אך עם זאת שיטת הOnion Routing מוכיחה את עצמה גם אם בגלגול הקודם שלה , שבו היינו מתחברים לSHELL לתוך SHELL לתוך SHELL בכדי לכסות עקבות פעילות ...
בכל מקרה צריך לקחת בחשבון שאפליקציה כזו יכולה לחסוך הרבה כאב ראש למשתמשים.
למשל - כל שירתי הTORRENT למיניהם לדוגמא , אשר אתרי LISTING רבים חוסמים את טווחי כתובות הIP הישראליים ולא מאפשרים לקבל גישה ל TRACKER , ובכן- TOR פותר את זה.
לא , לא הייתי משתמש בזה לצורך ביצוע פעילויות חדירה וכדומה . לא ברמת הבשלות של המערכת כיום.
אגב , במידה וחוק סינון האתרים היה יוצא לפועל - TOR בהחלט היה נותן מענה לגולשים הצמאים לתועבה.
Posted by barry | 10:51 AM
בארי אם אתה רוצה זיהוי בלי קלינט בתחנה אני מניח שPROMISEC מתאים.
אפשר לראות כאן - www.promisec.com
Posted by Anonymous | 4:17 PM
אתם מוזמנים אגב לקרוא על מעצר של מחזיק שרת TOR בגרמניה
http://www.cnet.com/surveillance-state/8301-13739_1-9779225-46.html
Posted by barry | 10:35 PM
היי בארי
יופי של בלוג אני לומד ממנו המון והוא גורם לי לחשוב קצת אחרת.
יש לי שאלה ברשותך-לא הצלחתי להבין איך ניתוב תעבורת SSL לשרת PROXY ייעודי
תעזור לי בנושא מלבד הסוגיה של ניטור התקשורת?
מה יקרה אם התוקף יגדיר את אותו PROXY בקליינט של התוכנות שרוכבות על פורט 443 או 8080 ?אילו חוקים היית מקנפג בפרוקסי הזה?
אני אודה לך מאוד על תשובה.
Posted by Ronen | 6:09 PM