Если спишь с собаками…
Автор: Киви Берд
Наделавшая много шума история о том, как молодой шведский хакер Дан Эгерстад (Dan Egerstad) выставил на всеобщее обозрение конфиденциальную переписку множества иностранных посольств, получила продолжение. Тем, кто-то подзабыл или пропустил этот сюжет двухмесячной давности, напомним его суть.
Эгерстад, работавший независимым консультантом по компьютерной безопасности, решил убедиться, насколько надежна анонимность, предоставляемая известным прокси-сервисом TOR. Для этого он добавил в TOR пять оконечных узлов, объединяющих сеть анонимной пересылки с Интернетом, и оснастил узлы специализированными снифферами пакетов, фильтрующими проходящий через них трафик. Фильтры быстро выловили тучу любопытной информации, начиная от логинов-паролей к почтовым ящикам и серверам дипмиссий нескольких десятков государств, правительственных ведомств и крупных компаний разных стран до собственно документов этих организаций, порой весьма конфиденциального свойства. Озадаченный Эгерстад поначалу пытался предупредить скомпрометированные стороны об опасности. Однако те, с кем удалось связаться, либо не понимали, о чем идет речь, либо не желали обсуждать подобные вопросы неизвестно с кем. В итоге, чтобы привлечь внимание к проблеме, Эгерстад опубликовал в Сети несколько десятков почтовых паролей-логинов посольств разных стран, чем вызвал немалый переполох.
Для сокрытия реальных IP-адресов пользователей весь TOR-трафик прогоняется через случайный набор узлов. Хотя внутри сети TOR большинством узлов трафик шифруется, на оконечных узлах, отправляющих пакеты непосредственно в пункты назначения Интернета, шифрования нет. Но многие пользователи сервиса, не прибегающие к SSL или другим видам шифрования, похоже, не понимают, что сами выдают важную информацию третьей стороне, владеющей оконечными узлами. Эгерстад же разом продемонстрировал и то, как много чувствительных к раскрытию данных циркулируют по Интернету, и то, как легко злоумышленники могут перехватывать незашифрованный TOR-трафик.
Поначалу Эгерстад предполагал, что организации и ведомства, чью важную информацию он так легко перехватывал, просто неграмотно использовали TOR, не позаботившись о надлежащем шифровании почтовых сервисов. Но теперь он пришел к выводу, что ситуация далеко не так проста. В недавнем интервью Эгерстад, не желая вдаваться в технические тонкости, лишь подчеркнул, что более внимательное изучение проблемы показало: опростоволосившиеся организации вообще не использовали TOR. А вся их информация, которую насобирали фильтры на оконечных TOR-узлах, в действительности пересылалась какими-то хакерами, которые ранее уже взломали серверы и почтовые аккаунты этих организаций, регулярно воруя оттуда документы и используя TOR в качестве удобного средства для заметания следов.
Случайное это совпадение или нет, неизвестно, но как только Эгерстад поделился с международной прессой своими новыми выводами, на него тут же наехала шведская полиция и спецслужбы. Представители органов власти не стали скрывать, что занялись делом Эгерстада с подачи некой иностранной державы (или держав), однако назвать недовольную сторону не пожелали. Зато недвусмысленно продемонстрировали молодому консультанту, что власть лучше не раздражать. Его дом подвергли тщательному обыску, буквально перевернув все вверх дном, сломав несколько шкафов и конфисковав для изучения все обнаруженные компьютеры, любые цифровые носители информации, а также заинтересовавшие полицию документы. Самого же Эгерстада отвезли в полицейский участок, где несколько часов допрашивали на предмет "незаконных проникновений в зарубежные компьютеры". Никаких обвинений, правда, ему так и не предъявили, отпустив после допроса домой. Сколько времени понадобится на то, чтобы вернуть конфискованное имущество (и удастся ли это сделать вообще), никто сказать не может.
По глубокому убеждению Эгерстада, то, что так легко проделал он, наверняка делают и многие другие - будь то криминальные структуры или государственные спецслужбы. Эту гипотезу решили проверить исследователи из сетевого хакерского сообщества TeamFurry. И получили весьма интересные результаты. Члены TeamFurry случайным образом выбирали оконечные узлы сети TOR и анализировали их параметры и конфигурацию. Оказалось, что многие из этих узлов-шлюзов сконфигурированы так, чтобы пропускать только незашифрованные электронные письма и срочные сообщения (вроде протоколов IMAP, AIM, VNC, Yahoo IM и MSN Messenger), отвергая весь остальной трафик, включая шифрованный. Естественно, такая избирательность еще не является доказательством шпионской природы узла. Однако в условиях сети анонимизации, где шифрование трафика лишь поощряется, те узлы-шлюзы, что полностью блокируют зашифрованные криптографией пакеты, выглядят чрезвычайно подозрительно.