Para quem assistiu a série MR. ROBOT vai se lembrar do surpreendente ataque que Elliot fez para catar o Pedófilo do Primeiro episódio da série.
Segundo o Elliot ele catou o tráfego da Rede e fez um relatório detalhado sobre o que o site movimentava, para no fim mostrar a ele e mandar para policia como ele fez.
Mas a pergunta é, como ele fez isso?
Primeiramente vamos entender como a Rede TOR funciona?
SEGUNDO A WIKIPÉDIA:
O Tor implementa o roteamento cebola ou por camadas, isto é, usando a rede voluntária de servidores do projeto ao redor do mundo, o programa cria circuitos para trafegar os dados dos usuários. Todo o tráfego da rede Tor é criptografado e mesmo um participante voluntário da rede não consegue observar o tráfego que passa pelo seu servidor, uma vez que tudo é criptografado. Cada circuito no Tor é formado por pelo menos três servidores: servidor de Guarda (guard node), servidor do meio (middle relay) e o servidor de saída (exit node). O número de três conexões é um balanço entre performance e segurança. O número de três conexões é um balanço entre performance e segurança.
Os circuitos de conexão Tor tem tempo de duração e são selecionados a partir de um algoritmo que, entre outras coisas, evita que todo o seu circuito seja criado num mesmo país ou por um mesmo participante da rede. Nesse circuito, em cada nó, o Tor criptografa todos os dados e repassa para o próximo nó da rede. Para evitar análise de tráfego de rede, nessa conexão cada nó sabe apenas um trecho do circuito.
Há um pseudo domínio com terminação .onion, acessível apenas pelo Tor.
Vamos entender agora como TOR e o HTTPS trabalham junto:
- Clique no botão "Tor" para ver quais dados estão visíveis para os bisbilhoteiros quando estiver usando o Tor. O botão ficará verde para indicar que o Tor está ligado.
- Clique no botão "HTTPS" para ver quais dados estão visíveis para os bisbilhoteiros quando você estiver usando HTTPS. O botão ficará verde para indicar que o HTTPS está ativado.
- Quando os dois botões estão verdes, você vê os dados visíveis para os bisbilhoteiros quando você está usando as duas ferramentas.
- Quando os dois botões estão cinza, você vê os dados visíveis para os bisbilhoteiros quando não usa nenhuma das ferramentas.
- Os dados potencialmente visíveis incluem: o site que você está visitando (SITE.COM), seu nome de usuário e senha (USER / PW), os dados que você está transmitindo (DATA), seu endereço IP (LOCATION) e se você está ou não usando (TOR).
FONTE: https://www.eff.org/pages/tor-and-https
Mas espere ai, significa que o TOR é imune a ataque de Man-in-the-middle?
Sim o TOR é imune atualmente a ataques de Sequestro de trafego ou Man-in-the-Middle, como o TOR é uma comunidade ativa a cada erro encontrado é relatado para que possa melhorar e deixar mais seguro ainda a sua navegação.
Mas vamos a prática para você conhecer como foi o ataque que o Elliot fez.
Como sabemos o MAN-IN-THE-MIDDLE é geralmente feito no meio da conexão como é exemplificado abaixo:
Esses são ataques a Redes comuns então geralmente é só 2 nós que são, Request e Response aonde o usuário ele manda a requisição pro servidor e o servidor da a resposta do "SIM" ou "NÃO" e o atacante fica em intermediário capturando a requisição e a resposta, sempre deixando o tráfego passar após a captura.
Uma observação importante: o usuário deve ter cuidado se for usar a rede Tor para tráfegos não-criptografados, pois a segurança em nível de transporte que o Tor implementa é só até o nó Tor de saída (exit node). Desse ponto até o destino da rede "convencional", o tráfego é encaminhado da maneira original como foi entregue ao Tor na máquina local. Então, se o usuário configurar o seu Tor para operar como servidor de relay, terá a possibilidade de logar o tráfego original de todas as pessoas que estiverem passando por túneis cujo nó de saída seja o seu nó Tor,[5] é um pacote de ferramentas para organizações e pessoas que desejam mais segurança na Internet.
Então como vimos acima se o (exit node) for mal configurado a captura pode ocorrer SIM!
Retirei um trecho da falha que o Elliot explorou no site da própria TOR:
Uma saída ruim é aquela que quebra as coisas, maliciosamente ou por meio de erros de configuração.
Suspeitas de “saídas ruins” devem ser relatadas aos assistentes-tor @ tpo.
A má configuração mais comum que tenho visto é usando OpenDNS como servidor de nomes de um anfitrião com o que eu acho que é a configuração padrão OpenDNS. Serviços como o OpenDNS mentem para você, sob o nome de proteger você. O resultado é, por exemplo, sendo redirecionado para sua página quando você quiser visitar sites mal como https://www.torproject.org/ .
Um exemplo de configuração incorreta ou de comportamento mal-intencionado real pretendido são os nós de saída que atacam as conexões https de saída, fazem o stripping de SSL (ou seja, substituem links https: // por links http: //) ou fazem man in the middle ataques em outros protocolos como o ssh.
Sempre que os operadores do Directory Authority encontram esses nós, ou alguém os aponta para um operador, eles recebem o rótulo BadExit. Isso fará com que os clientes Tor os evitem para conexões de saída. Eles ainda são úteis e serão usados para outras posições em um circuito.
Os operadores de autoridade de diretório tor que votam na bandeira 'BadExit' têm a última palavra sobre o que constitui ser uma saída ruim. Em geral, sinalizaremos o seguinte ...
- Adulterando o tráfego de saída de alguma forma. Isso geralmente é acidental (por exemplo, filtragem por antivírus).
- Permitindo apenas tráfego de texto sem formatação, por exemplo, apenas permitindo o tráfego pelas portas 80 e 143. Isso ocorre porque esses relés são altamente suspeitos de estar farejando tráfego. Para a discussão sobre este ver esta discussão .
- Várias saídas que coletivamente fornecem uma grande quantidade de largura de banda, mas são obviamente relacionadas sem definir a entrada MyFamily.
Então sim é possível capturar o tráfego das Redes TOR em texto simples e visualizar tudo o que vai para o nó de saida como um MITM tradicional, isso sendo também um erro no servidor Relay que também é mostrado no Link que deixei, e tudo isso por um erro de configuração ao qual foi batizado de (BAD EXIT), e pode ser que diversos sites na Rede TOR na época tinha essa vulnerabilidade, mas não sei bem se foi corrigida ou não.
Uma outra coisa que a série pode ter deixado em aberto que foi as fotos e videos que Elliot pegou, na minha opinião ele comprometeu Servidor FTP do site ou feito a invasão via SSH, basta usarmos nossa imaginação e conhecimento.
Mas a questão é que a Série MR. ROBOT surpreende muito os profissionais de Segurança e a Comunidade Hacking em geral, por mostrar ataques funcionais.
ESCRITO POR JOAS ANTONIO DOS SANTOS
Comentários
Postar um comentário