Alerta para os usuários do Tor

[TryNinja]

Hola!

Você utiliza o Tor para acessar a internet? Sabe, aquele navegador famoso por "permitir" a entrada de nós meros mortais às profundezas da Deep Web, onde você pode comprar seus órgãos novinhos em folha com BTC?

Acontece que foi descoberto um tipo de ataque que está acontecendo, focado nos usuários do Tor, que permite que um terceiro mal-intencionado possa modificar os dados da sua página livremente, assim modificando endereços BTC (ou de outras moedas) e outros dados sensíveis, resultando na perda das suas moedas.

Caso não saiba, o Tor funciona redirecionando seu tráfego por vários servidores, chamados de tor nodes, assim impossibilitando que o ponto final (o site que você está acessando) conheça o inicial (seu PC). Cada node sabe de onde veio e para onde vai, mas quando a corrente é grande, você sabe quem é o seu vizinho mas não quem é o vizinho dele.

Ex:

Sem Tor: Seu PC -> Site Final.
Com Tor: Seu PC -> Alemanha -> Grécia -> México -> Site Final.

O problema é que alguns exit-nodes (nodes finais, que fazem a requisição ao site) estão conseguindo remover o certificado SSL do site, quebrando essa camada de segurança importantíssima, e entregando para o usuário um site modificado por ele (algo que o SSL impossibilita inicialmente).

Isso está ocorrendo, inclusive, com usuários que acessam o ChipMixer com o endereço clear-net (chipmixer.com). Você acessa o site, e caso acabe tendo a sorte de utilizar um exit-node malicioso, ele modifica o endereço de deposito da sua sessão. Você tem 100% de certeza que está no ChipMixer (por que está), mas a resposta do servidor foi modificada, alterando os dados entregues ao navegador do usuário.

Solução: Utilize os endereços .onion dos sites. Então, ao invés de utilizar o ChipMixer.com, você deve utilizar o endereço longo (http://chipmixerwzxtzbw.onion).

Recomendo que leia mais sobre o que está acontecendo nesses links:

https://blog.wasabiwallet.io/wasabi-wallet-tor-ssl-stripping-attack/
https://www.zdnet.com/article/a-mysterious-group-has-hijacked-tor-exit-nodes-to-perform-ssl-stripping-attacks/

Cuidado, e mantenha-se em alerta.

[sonico]

Cara, que aviso importante! E bom para termos cada vez mais cuidados ao fazer transações de forma que dê pra fazer checagem com informações offline... Não sei...

Então nos diga @tryninja a partir dessa questão como você está se protegendo ainda mais? Pergunto isso porque não utilizo o chipmixer ou qualquer outro serviço correlato (ainda), mas, de repente, isso pede servir para usuários de outros serviços .onion que informam endereços crypto como exemplo.

E só não dou merit porque não tenho

[TryNinja]

Então nos diga @tryninja a partir dessa questão como você está se protegendo ainda mais?

Acho que atualmente, a única solução é sempre utilizar os endereços .onions disponíveis, e caso não haja um (o site usa um endereço .com comum), sempre verificar se a sua conexão está utilizando o HTTPS. Esses exit-nodes maliciosos impedem que os sites te redirecionem automaticamente para o HTTPS (quando utilizando HTTP), e são nesses casos que eles conseguem interceptar seu tráfego e modificá-lo.

[sonico]

Valeu! Bom saber que um noob pode navegar com certa segurança ao se ater a esses detalhes.

[rdluffy]

É um golpe bem difícil de se precaver, alguns devem ter caído nisso e nem sabem de onde veio o golpe
Faz um tempo que eu havia lido sobre um problema de segurança do Tor, não era esse exatamente, mas também relacionado aos nodes, e sempre recomendam a mesma coisa que você citou, use somente .onion sites para que tenha "certeza" que está seguro.

Quem precisa mesmo do Tor e usa para fazer transações em BTC, tem que estudar MUITO sobre como fazer, os riscos que envolvem e ficar sempre de olho em notícias como essa, nós nunca estamos 100% seguros

Aqui nunca precisei usar, mas admiro bastante o que o pessoal faz, pois o Tor apesar de ser usado para fins ilícitos, assim como tudo na vida  , tem a parte boa que ajuda muitas pessoas que são perseguidas por governos e conseguem uma alternativa para navegar na internet de modo anônimo

[sabotag3x]

Para um leigo que nunca usou Tor.. Como é feita a segurança dos sites .onion? Não usam SSL/https?

[TryNinja]

Para um leigo que nunca usou Tor.. Como é feita a segurança dos sites .onion? Não usam SSL/https?

Se eu não me engano, as requisições só são totalmente protegidas quando elas navegam pelos nodes intermediários. O exit-node é aquele que fala com o site, pega a requisição, e manda de volta para o usuário através dos nodes. Como ele fala com o site diretamente, não tem como o Tor garantir que um site que está vindo em HTTP deveria vir em HTTPS.

O exit-node então pode retirar o HTTPS, pegar a requisição crua, modificar e mandar ela ao usuário.

Mas também sou meio leigo nesse assunto, então não sei ao certo como tudo funciona.