Подозрения о возможной атаке на сеть анонимайзеров Tor, судя по всему, подтверждаются. Ещё в пятницу на официальном сайте было опубликовано предупреждение, что в ближайшее время ожидаются попытки вывести сеть из строя с помощью конфискации специализированных серверов, которые работают как каталоги со списком рилеев. Судя по намерениям злоумышленника конфисковать серверы, в его роли может выступать некая спецслужба или кто-то, связанный с правоохранительными органами.
Разработчики пообещали приложить все усилия, чтобы обеспечить защиту сети и гарантировать анонимность пользователей даже в случае атаки. Если же сеть будет скомпрометирована, то об этом немедленно сообщат в официальном блоге и твиттере.
Один из руководителей проекта Роджер Дингледайн (Roger Dingledine) позже пояснил, что если злоумышленнику удастся извлечь пять ключей подписи с неистёкшим сроком действия, то он может добиться консенсуса и направить пользователей на собственные рилеи. «Это будет действительно плохо», — добавил Дингледайн.
К сожалению, с пятницы ситуация ухудшилась. В воскресенье Томас Уайт (Thomas White), оператор большого кластера выходных узлов Tor и нескольких зеркал, сообщил о потере контроля над серверами, вероятно, в результате взлома. Анализ логов показал, что перед инцидентом был вскрыт корпус серверов, и к машине на 30-60 секунд подключили неизвестное USB-устройство. После этого связь админа с серверами прервалась.
Томас Уайт предупреждает, чтобы никто не использовал его серверы и зеркала для маршрутизации трафика, пока он не разобрался в ситуации.
Порт USB — одна из главных уязвимостей в ПК. Компьютер слепо доверяет любому USB-устройству, открывая двери для широкого спектра атак. Выдавая себя за клавиатуру, хакерский USB-гаджет способен в течение нескольких секунд изменить множество системных настроек.
В последнее время на рынке появляются гаджеты, изначально «заточенные» на автоматический взлом по USB, так что не нужно самостоятельно заменять прошивку и мучиться с настройками. Всё работает, как говорится, из коробки.
Два из недавних примеров таких устройств — USBdriveby и Teensyterpreter. Что характерно, оба прибора сделаны на крошечной dev-плате Teensy. При подключении к компьютеру они выдают себя за Human Interface Device, эмулируя клавиатуру и мышь.
USBdriveby спроектирован специально для атаки на OS X. После подключения он меняет настройки DNS-сервера на произвольный IP-адрес (для дальнейшего DNS-спуфинга). Такое возможно под OS X без ввода пароля, только с помощью эмуляции устройств ввода. Утилита AppleScript устанавливает окно системных настроек в нужные координаты на экране, а потом USBdriveby нажимает на кнопочки в нужных местах.
Когда DNS-сервер изменился, открывается обратная оболочка через netcat для удалённого исполнения кода.
Teensyterpreter открывает обратную оболочку под Windows (через Powershell). Процесс занимает не более минуты.
