TOR и шпионы

(Декабрь 2007)

Наделавшая много шума история о том, как молодой шведский хакер Дан Эгерстад (Dan Egerstad) публично скомпрометировал конфиденциальную переписку множества иностранных посольств, ныне получила содержательное продолжение.

Если кто-то вдруг подзабыл или вообще пропустил этот сюжет двухмесячной давности, то суть там, вкратце, была вот в чем.

Эгерстад, избравший для себя работу в качестве независимого консультанта по вопросам компьютерной безопасности, решил лично убедиться, насколько в реальности надежна та анонимность, что предоставляется известным прокси-сервисом TOR.

Для чего тоже добавил в TOR пять собственных оконечных узлов, объединяющих эту сеть анонимной пересылки с интернетом. Оснастив при этом свои узлы специализированными снифферами пакетов, фильтрующими проходящий через них трафик.

Эти фильтры быстро выявили целую тучу очень любопытной информации, начиная от логинов-паролей к почтовым ящикам и серверам дипломатических миссий нескольких десятков государств, правительственных ведомств и крупных компаний разных стран, до собственно документов этих организаций, порой весьма конфиденциального свойства.

Озадаченный, Эгерстад поначалу пытался предупредить скомпрометированные стороны об опасности. Однако те, с кем удалось связаться, либо не понимали о чем идет речь, либо вообще не желали обсуждать подобные темы неизвестно с кем.

В итоге, чтобы обозначить проблему и привлечь к ней внимание, Эгерстад публично опубликовал в Сети несколько десятков почтовых паролей-логинов посольств разных стран – чем и вызвал немалый переполох.

С технической стороны процесса анонимизации, весь TOR-трафик прогоняется через случайный набор узлов для сокрытия реальных IP-адресов пользователей. Хотя внутри сети TOR большинством узлов трафик шифруется, на ее оконечных узлах, отправляющих пакеты уже непосредственно в пункты назначения интернета, такого шифрования нет.

Но многие пользователи этого сервиса, не использующие SSL или другие формы шифрования, похоже, не понимают, что сами выдают важную информацию совершенно неизвестной третьей стороне, владеющей оконечными узлами. Эгерстад же разом продемонстрировал и то, как много чувствительных к раскрытию данных циркулирует по интернету без защиты, и то, насколько легко злоумышленники могут перехватывать незашифрованный TOR-трафик.

Поначалу хакер предполагал, что организации и ведомства, важную информацию которых он так легко перехватывал, просто неграмотно использовали TOR, не позаботившись о надлежащем шифровании почтовых сервисов. Но теперь он пришел к выводу, что ситуация далеко не так проста.

В недавнем интервью Эгерстад не пожелал вдаваться в технические подробности анализа, лишь подчеркнув, что при более внимательном изучении проблемы оказалось, что скомпрометированные организации вообще не использовали TOR. А вся их информация, которую насобирали фильтры на оконечных TOR-узлах, в действительности пересылалась какими-то хакерами, которые ранее уже взломали серверы и почтовые аккаунты этих организаций, регулярно воруя оттуда документы и используя TOR в качестве удобного средства для заметания следов.

Случайное это совпадение или нет, точно неизвестно, но как только Эгерстад поделился с международной прессой своими новыми выводами, на него тут же серьезно наехали шведские органы полиции и спецслужб. Представители власти не стали скрывать, что занялись делом Эгерстада с подачи некой иностранной державы (или держав), однако назвать недовольную сторону конкретно не пожелали.

Зато в развернутом виде органы продемонстрировали молодому консультанту, что власть лучше не раздражать. Весь его дом подвергли тщательному обыску, в буквальном смысле перевернув все вверх дном, сломав несколько шкафов и конфисковав для изучения все обнаруженные компьютеры, любые цифровые носители информации и прочие заинтересовавшие полицию документы.

Самого же Эгерстада отвезли в полицейский участок, где несколько часов допрашивали на предмет «незаконных проникновений в зарубежные компьютеры». Никаких обвинений, правда, в итоге ему так и не предъявили, отпустив после допроса домой. Сколько времени понадобится на то, чтобы вернуть все конфискованное (и удастся ли это сделать вообще), пока никто сказать не может.

Веб-сайт шведа DErangedSecurity.com по естественным причинам пока прекратил свое существование. Но, по глубокому убеждению Эгерстада, то, что он с такой легкостью сумел проделать, наверняка делают и многие другие – будь то криминальные хакеры или секретные государственные спецслужбы.

Эту гипотезу решили ныне проверить исследователи из сетевого хакерского сообщества TeamFurry. И получили весьма интересные результаты.

Для проверки TeamFurry случайным образом выбирали оконечные узлы сети TOR и анализировали настройку параметров их конфигурации. Оказалось, что многие из этих узлов-шлюзов сконфигурированы так, чтобы пропускать исключительно незашифрованный текстовый трафик электронной почты и срочных сообщений (вроде протоколов IMAP, AIM, VNC, Yahoo IM и MSN Messenger), в то же время отвергая весь остальной трафик, включая шифрованный.

Естественно, такая избирательность еще не является доказательством шпионской природы узла. Однако в условиях сети анонимизации, где шифрование трафика только поощряется, те узлы-шлюзы, что полностью блокируют зашифрованные криптографией пакеты, выглядят чрезвычайно подозрительно.

В расследовании TeamFurry ничего не говорится о том, кому могут принадлежать все те оконечные TOR-узлы, где предпочитают обрабатывать исключительно незашифрованные коммуникации. Но коль скоро число их явно немало, а цель – фильтрация пакетов – достаточно очевидна, можно предполагать что роют здесь все, кому не лень. От мелких хакеров и промышленных шпионов до серьезных разведслужб.

Отсюда понятнее становится и прессинг властей на Эгерстада – не столько за то, что он «тоже нюхает», сколько за склонность к обобщениям и излишнюю говорливость с прессой. И почему-то тут же вспоминается итальянская пословица: «Если спишь с собаками, то проснешься с блохами»…

# # #