The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Использование настроек по умолчанию в Apache способствует раскрытию данных о скрытых сервисах Tor

02.02.2016 12:28

Один из исследователей безопасности обратил внимание на беспечность администраторов скрытых сервисов Tor, использующих для обеспечения работы своих сайтов http-сервер Apache в конфигурации по умолчанию.

Большинство дистрибутивов Linux включает модуль mod_status, который позволяет при открытии служебной страницы /server-status посмотреть статистику обработки запросов. По умолчанию просмотр страницы /server-status разрешён только с локальной машины и доступен для запросов с адреса 127.0.0.1.

Проблема в том, что при организации работы скрытых сервисов, Tor привязывается к интерфейсу localhost и транслирует внешние запросы с адреса 127.0.0.1. Таким образом любое обращение к onion-домену приходит с адреса 127.0.0.1 и даёт возможность посмотреть статистику /server-status, в том числе узнать через неё список обрабатываемых http-сервером IP-адресов и отследить параметры запросов (например, выявить идентификаторы сеанса, передаваемые через URL). Если, вопреки рекомендациям по настройке работы сайта через Tor, сервер кроме localhost привязан ко внешним IP и обрабатывает запросы к ним, его адрес будет раскрыт.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/43800-tor
Ключевые слова: tor, apache
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (38) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, A.Stahl (ok), 13:14, 02/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ну написали бы какой-нибудь скрипт, который проверял бы наличие таких вот  нюансов.
    Тором ведь пользуются не только большие спецы. И для человека в таких вещах не шарящего, указанный момент может быть неочевиден уже потому, что этот человек мог впервые вообще слышать про mod_status.
    А запустить скрипт и почитать ворнинги -- сможет каждый.
     
     
  • 2.5, Я (??), 13:23, 02/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, и апач тоже неспецы себе ставят.
     
     
  • 3.13, Аноним (-), 14:08, 02/02/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Апач неспецы еще как ставят, только, как говорится, в путь.
     
     
  • 4.34, _KUL (ok), 06:50, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А пользователи не достигшие полового возраста nginx не ставят?
     
     
  • 5.37, mammuthus (?), 08:57, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Что такое половой возраст?
     
  • 2.8, Аноним (-), 13:35, 02/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Открыть "/server-status"?
     
     
  • 3.9, A.Stahl (ok), 13:40, 02/02/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну подобных моментов, вероятно, много. И они разные.
     
     
  • 4.23, Аноним (-), 21:59, 02/02/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Может подгузники менять автоматически? На всякий случай, а то вдруг человек штаны одевать не умеет.
     
     
  • 5.35, lor_anon (ok), 10:05, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну нельзя же быть спецом во всём. Вот анон не знает, что по-русски правильно "надеть".
     
  • 2.11, Аноним (-), 14:06, 02/02/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тут проблема не Apache а Tor который выдаёт loaclhost туда от куда его видно быть не должно, а ведь там не только /server-status/ может быть но и какой-нить *sqladmin с дефолтным паролем ;)
     
     
  • 3.24, Аноним (-), 22:02, 02/02/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Тут проблема не Apache а Tor который выдаёт loaclhost туда от куда
    > его видно быть не должно,

    А куда его еще выдавать? В документации честно предупреждают. И наверное желание поднять скрытый сервис все-таки подразумевает минимальное знание работы сетей. Иначе стоит заниматься чем-нибудь попроще. Сельским хозяйством, животноводством...

     
     
  • 4.28, dimqua (ok), 00:32, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > чем-нибудь попроще. Сельским хозяйством, животноводством...

    О, илитка пожаловала.

     
  • 4.32, Аноним (-), 02:23, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    >Иначе стоит заниматься чем-нибудь попроще. Сельским хозяйством, животноводством...

    Посмотрим, сколько ты протянешь на сельском хозяйстве, прежде чем у тебя все звери сдохнут.

     

  • 1.2, Radjah (?), 13:14, 02/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    А нафига держать контент и статистику на одном порту?
     
  • 1.3, Аноним (-), 13:19, 02/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Круто, столько лет этому tor'у, а такой косяк только сейчас выловили. Интересно, сколько onionman о нем знали и эксплуатировали в тихую, а теперь будет универсальный "Скрипт-Закрыватор-Бага-Вася777-Эдишон-Утьтимэйт.{bat,sh}" который покажет им Болт.
     
     
  • 2.25, Аноним (-), 22:04, 02/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Круто, столько лет этому tor'у, а такой косяк только сейчас выловили.

    Тупость админов - давно известный косяк. Но в случае tor он делает использование tor малорезультативным и от этого довольно сложно что-то придумать. Давно известно что дураки находят очень изобретательные способы обхода защит от дурака.

     

  • 1.6, Аноним (-), 13:31, 02/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    От намеренно дырявого тора ожидали чего-то другого?
     
     
  • 2.10, Анонимо (?), 13:40, 02/02/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Толсто.
     
     
  • 3.18, lululu (?), 15:12, 02/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1 Большинство людей скорее-всего пользуются бинарными сборками с сайта и при наличии исходников проверять их никто не будет.
    2 Их количество будет достаточно чтобы получить контроль над сетью. Как сеть ведёт себя они скомпроментированы?
     
     
  • 4.26, Аноним (-), 22:21, 02/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Какая компрометация? Вы о чем? Это позволяет полазить по статистике апача, если админ - лошпед. Это позволяет набрать данных о том что происходит на сервере, что плохо но само по себе даже не деанонимизирует никого. Но позволяет атакующему набрать данных для более прицельных атак.
     
     
  • 5.38, AdVv (ok), 21:39, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Чукча не читатель, чукча писатель ?
    Это позволяет увидеть в этой самой статистике внешний IP скрытого Tor-сервиса, если Апач слушает не только localhost. Что, собственно, полностью его компрометирует.
     
  • 4.29, dimqua (ok), 00:41, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > бинарными сборками ... проверять их никто не будет

    Достаточно всего несколько раз проверить. Вот только не говорите, что никто и никогда этого не делал.

     
  • 2.40, AdVv (ok), 21:42, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > От намеренно дырявого тора ожидали чего-то другого?

    Предложите альтернативу ?

     

  • 1.7, Аноним (-), 13:33, 02/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А на другие порты через тор и локалхост можно выйти?
     
     
  • 2.12, 1 (??), 14:06, 02/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вот поддерживаю.
    Tor-ом можно на любой порт localhosta выйти ?
     
     
  • 3.21, sage (??), 17:36, 02/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, почему вы так думаете? Он же проксирует определенный порт на определенный порт.
     

  • 1.14, Алекс (??), 14:22, 02/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>Проблема в том, что при организации работы скрытых сервисов, Tor привязывается к интерфейсу localhost и транслирует внешние запросы с адреса 127.0.0.1. Таким образом любое обращение к onion-домену приходит с адреса 127.0.0.1 и даёт возможность посмотреть статистику /server-status, в том числе узнать через неё список обрабатываемых http-сервером IP-адресов и отследить параметры запросов (например, выявить идентификаторы сеанса, передаваемые через URL). Если, вопреки рекомендациям по настройке работы сайта через Tor, сервер кроме localhost привязан ко внешним IP и обрабатывает запросы к ним, его адрес будет раскрыт.

    Вот тебе и анонимный браузер! Как ни крути, а IP адрес все равно узнаешь через передаваемые запросы, к которой привязана локальная машина!

     
     
  • 2.20, Нанобот (ok), 17:24, 02/02/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Вот тебе и анонимный браузер!

    где ты там видишь слово "браузер"?

     
  • 2.39, AdVv (ok), 21:40, 04/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>>Проблема в том, что при организации работы скрытых сервисов, Tor привязывается к интерфейсу localhost и транслирует внешние запросы с адреса 127.0.0.1. Таким образом любое обращение к onion-домену приходит с адреса 127.0.0.1 и даёт возможность посмотреть статистику /server-status, в том числе узнать через неё список обрабатываемых http-сервером IP-адресов и отследить параметры запросов (например, выявить идентификаторы сеанса, передаваемые через URL). Если, вопреки рекомендациям по настройке работы сайта через Tor, сервер кроме localhost привязан ко внешним IP и обрабатывает запросы к ним, его адрес будет раскрыт.
    > Вот тебе и анонимный браузер! Как ни крути, а IP адрес все
    > равно узнаешь через передаваемые запросы, к которой привязана локальная машина!

    Уровень подготовленности аудитории opennet растет от года к году. СпасибоШигоринуЗаЭто.

     

  • 1.15, Michael Shigorin (ok), 14:31, 02/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Высокотехнологичненько.
     
  • 1.16, Аноним (-), 14:32, 02/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    и в каком из дистрибутивов этот модуль включен по-умолчанию? а то у меня rm на всех серверах есть, и наверное уже пора писать на опеннет новость
     
     
  • 2.33, angra (ok), 06:02, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Если речь именно про "модуль включен по-умолчанию", то это как минимум в rhel и debian, то есть с учетом производных получаем подавляющее большинство серверов.
     
     
  • 3.36, Аноним (-), 11:51, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    #
    # Allow serverstatus reports generated by mod_status,
    # with the URL of http://servername/server-status
    # Change the ".example.com" to match your domain to enable.
    #
    #<Location /server-status>
    #    SetHandler server-status
    #    Order deny,allow
    #    Deny from all
    #    Allow from .example.com
    #</Location>

    где этот твой минимум, балаболка? среди модулей?

     

  • 1.17, ботовод Стёпа (?), 14:46, 02/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А что тут удивляться, тор специально был создан для таких целей.
     
     
  • 2.27, Аноним (-), 23:07, 02/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А что тут удивляться, тор специально был создан для таких целей.

    Все проще: безопасность не получается нажатием 1 кнопки. А до того как тыкать 500-фунтовых горилл палочкой - проверьте прочность вольера.

     

  • 1.22, EuPhobos (ok), 19:01, 02/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    127.0.0.1/8 их, локалхостов, целых 16 млн.. юзай-нехочу, а все вяжут всё к одному, единственному.. что за .. ох ладно.
     
     
  • 2.30, Аноним (-), 00:43, 03/02/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Есть только один истинный localhost - ::1, остальные - от лукавого
     

  • 1.41, Аноним (-), 16:30, 05/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    tun/tap? Нет, не слышали.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру