Где-то в России любопытные уши устанавливают прослушку на периферии сети Tor, задача которой заключается в обеспечении анонимности передаваемой по сети информации. В первую очередь эти уши интересует то, что происходит в Facebook. К такому выводу пришли двое специалистов после четырехмесячного исследования, результаты которого были опубликованы в понедельник на сайте Wired.
Филипп Уинтер (Philipp Winter) и Стефан Линдског (Stefan Lindskog) из Карлстадского университета выявили 25 узлов Tor, которые способны менять веб-трафик, вводить цензуру против сайтов или даже выдавать поддельные сертификаты безопасности (служат гарантами шифрования интернет-коммуникаций). Странное поведение некоторых узлов, вероятно, связано с ошибками в конфигурации или проблемами провайдеров. Тем не менее, 19 из них были преднамеренно созданы, чтобы шпионить за пользователями.
В некоторых случаях узлы программировались так, чтобы перехватывать лишь трафик в направлении отдельных сайтов вроде Facebook (возможно, это объясняется стремлением сделать их незаметнее). «Нам удалось обнаружить эти узлы, но в действительности их вполне может быть и больше», — рассказывает Филипп Уинтер.
Tor представляет собой децентрализованную сеть, которая пропускает трафик пользователей через серверы (их предоставляют добровольцы по всему миру), чтобы сделать его анонимным. «Всего существует около 3 400 известных и зарегистрированных узлов Tor», — объясняет le Monde один из добровольцев. Кроме того, существует около 1 000 неофициальных узлов, адреса которых держатся в тайне.
Проблема в том, что выходной узел — это единственное звено в цепи, у которого есть на руках все карты для считывания данных пользователя. И это делает систему уязвимой для шпионажа. И раз узлами Tor занимаются нередко анонимные добровольцы, сетевой трафик может оказаться в руках недобросовестных людей.
Филипп Уинтер и Стефан Линдског обнаружили в России несколько выходных узлов с «атакой посредника» (man-in-the-middle attack), которая позволяет присвоить себе необходимый для шифрования связи сертификат безопасности.
Цифровая подпись российских узлов выглядела следующим образом: Main Authority. Кроме того, в отличие от других аномальных узлов те из них, что содержат подпись «Main Authority» и оказались в черном списке Tor, систематически вновь появлялись лишь некоторое время спустя. Всего за четыре месяца Филипп Уинтер и Стефан Линдског обнаружили 19 узлов с подписью «Main Authority». 18 находились в России, а один — в США.
Специалисты не могут точно сказать, что скрывается за этой самой «Main Authority». По их мнению, речь скорее идет о хакере с манией шпионить за другими людьми, а не какой-либо правительственной организации.