Взломать дипломатическую почту помог анонимайзер Tor

Недавно стали известны подробности «взлома» электронной почты нескольких посольств, произведенного шведским экспертом по безопасности Даном Эгерстадом. Ранее сообщалось, что, по словам самого взломщика, пароли он обнаружил «в процессе некоторых связанных с безопасностью исследований». Сейчас, по сообщению «Register», Эгерстад рассказал подробности этих «исследований».

Атака оказалась простой, как и все гениальное: он запустил несколько серверов сети Tor («The Onion Router»), и просто принялся мониторить проходящие через них данные. В скором времени в его распоряжении было около тысячи логинов с паролями от чужих почтовых ящиков, включая принадлежащие посольствам Индии, России, Узбекистана, Казахстана, Ирана, и другим.

«Tor» представляет собой проект по созданию силами добровольцев сети анонимайзеров. Установив и запустив клиентскую ее часть, пользователь перенаправляет свой трафик к одному из случайно выбранных серверов сети. На сервере (в терминологии проекта, «точке входа») информация шифруется и передается на другой, промежуточный, сервер. На нем шифрование повторяется, после чего данные передаются на третий сервер, так называемую «точку выхода». На ней данные расшифровываются с использованием открытых ключей, принадлежащих серверам, через которые они прошли, и передаются тому сайту, для которого предназначены. Это – самая распространенная схема работы сети, при которой информацией о местонахождении пользователя и посещаемого им сайта не располагает ни один из серверов цепочки.

Создатели Tor предвидели возможность такой атаки, при которой владелец «точки выхода» может подсмотреть информацию, которую передает, и даже описали ее в FAQ. Собственно, сеть и не предназначена для ее скрытия: сами создатели рекомендуют использовать в тандеме со своей программой какой-нибудь локальный прокси-сервер, предназначенный для удаления из потока данных приватной информации вроде «кук». Но разумеется, логины с паролями никто не удалял...

Узлом сети может стать любой доброволец, установивший программу на сервере, сгенерировавший ключи шифрования и отправивший открытый ключ в специальное хранилище. Что, собственно, и проделал Эгерстад – с известным результатом. На своем сайте он описывает эту атаку, и уверяет, что доступа к чужим почтовым ящикам не получал, сообщив их владельцам о том, что их пароли раскрыты. Опубликовал он только те самые пароли, которые принадлежали посольствам. Кроме этого, Эгерстад утверждает, что проблема вовсе не в самой сети Tor, а в том, что использовали ее не по назначению.

Делится он и результатами своего исследования самой сети, указывая на «подозрительные», по его мнению, серверы. Среди которых – узлы российского Института космических исследований и «нескольких академий, контролируемых правительствами», в том числе – и российским. Впрочем, серверы из Китая тоже попали в этот «список подозреваемых». В заключение Эгерстад благодарит «пользователей из Индии, Ирана и Узбекистана» за поддержку, и весьма нелестно отзывается о тех, кто сообщил о его экспериментах в полицию.

Вообще, трудно сказать, сколько еще «точек выхода» действительно просматривают идущие через них данные. Учитывая то, что для запуска своего сервера требуется всего ничего, такие узлы вполне могут найтись. Вдобавок, в этой сети циркулирует информация, обладатели которой специально озаботились своей анонимностью, а стало быть, она представляет гораздо больший интерес для всякого рода злоумышленников. Дмитрий Леонов, обозреватель сайта «BugTraq.ru» отмечает, дополнительно к этому, «ложное чувство защищенности», которое возникает у пользователя такой сети.

Вдобавок, Tor в последнее время стал объектом еще одной атаки. Неизвестные спамеры, прикрываясь его добрым именем, разослали массе пользователей письма с предложением скачать клиента сети. Разумеется, сайт, на который указывала ссылка из письма, был фальшивым, а вот «троянец», которым была заражена выложенная программа – вполне настоящим.