[e-privacy] Security breach on Tor directory server

Marco A. Calamari marcoc1 at dada.it
Wed Jan 27 11:04:54 CET 2010 

Due settimane orsono i core developer di Tor hanno scoperto che due 
 dei server del Progetto Tor erano stati violati da cracker
 rimasti sconosciuti.

Le due macchine agivano sia da directory server (2 su un totale
 di 7) sia da repository dei sorgenti.

Non voglio sostituirmi alla lettura della mail che vi allego,
 in cui Roger Dingledine descrive dettagliatamente cosa e'
 stato accertato e la portata esatta dell'evento.
Per maggiori particolari ne consiglio la lettura, estesa
 magari all'intero thread su or-talk.

Mi sembra comunque utile sottolineare alcuni punti chiave
 dell'intera catena di eventi.

1) appare accertato che la violazione sia stata compiuta
 da cracker "casuali" che cercavano server potenti da usare
 per i loro scopi, ma che in realta' non intendevano in 
 particolare attaccare Tor in quanto applicazione.

2) e' verificato che i sorgenti non sono stati alterati.

3) l'eventuale corruzione delle informazioni fornite in gennaio
 dai due directory server compromessi non avrebbe comunque causato
 nessun danno perche' le informazioni sui dirserver vengono validate
 a maggioranza, che non e' stata ragggiunta (se ne sarebbero dovuti
 compromettere 4 su 7). Il servizio di directory di Tor si e'
 quindi, anche alla prova dei fatti, rivelato molto robusto.

4) l'unica possibilita' realistica, anche se non verificabile, e'
 che siano state fornite ai/dai nodi relay informazioni alterate
 e che cioe' gli utenti dei nodi relay possano stati compromessi.

Si deve notare pero' che:

4a) non c'e' evidenza positiva che questo sia accaduto; e'
 solo una possibilita', che e' durata solo per pochi giorni

4b) i nodi relay funzionanti all'inizio di gennaio erano
 comunque in numero limitato

4c) l'intervallo di vulnerabilita' e' stato ridotto a pochi giorni
 dall'aggiornamento di Tor distribuito prima che la notizia
 fosse resa pubblica.

5) Il gruppo di core developer del progetto Tor ha reagito
 all'intrusione in maniera estrememente efficace professionale
 e soprattutto con completa disclosure, e questa, a mio parere
 e' un'ottima notizia.

Ognouno poi sara' libero di formarsi la propria opinione; va
 considerato che queste cose succedono, come il caso dell'attacco
 mirato e malizioso portato anni orsono (nel 2003) ai sorgenti
 del kernel di Linux, ed agli altri che si sono susseguiti
 almeno fino al 2008, che trovate riassunti in questi due articoli
 di C|net

http://news.cnet.com/2100-7344-5117271.html

http://news.cnet.com/Attempted-attack-on-Linux-kernel-foiled/2100-7355_3-5103670.html

Non per voler a forza guardare solo la bottiglia mezza piena, ma 
 personalmente ritengo che eventi di questo tipo confermano
 la validita' del modello di sviluppo open del software, e
 della full disclosure dei problemi e degli attacchi rilevati.

Cosa succede nel mondo del software closed puo' invece solo essere
 oggetto di cupe congetture, ma se tanto mi da tanto ....

Un saluto. Marco Calamari

P.S. se ancora non fosse chiaro a tutti, sottolineo la necessita' di
 aggiornare subito i vostri nodi per aggiornare le chiavi cablate nei
 sorgenti stessi!


-------- Forwarded Message --------
From: Roger Dingledine <arma at mit.edu>
Reply-To: or-talk at freehaven.net
To: or-talk at freehaven.net
Subject: Tor Project infrastructure updates in response to security
breach
Date: Wed, 20 Jan 2010 16:43:44 -0500

You should upgrade to Tor 0.2.1.22 or 0.2.2.7-alpha:
https://www.torproject.org/download.html.en

In early January we discovered that two of the seven directory
authorities were compromised (moria1 and gabelmoo), along with
metrics.torproject.org, a new server we'd recently set up to serve
metrics data and graphs. The three servers have since been reinstalled
with service migrated to other servers.

We made fresh identity keys for the two directory authorities, which is
why you need to upgrade.

Moria also hosted our git repository and svn repository. We took the
services offline as soon as we learned of the breach. It appears the
attackers didn't realize what they broke into -- just that they had
found some servers with lots of bandwidth. The attackers set up some ssh
keys and proceeded to use the three servers for launching other attacks.
We've done some preliminary comparisons, and it looks like git and svn
were not touched in any way.

We've been very lucky the past few years regarding security. It still
seems this breach is unrelated to Tor itself. To be clear, it doesn't
seem that anyone specifically attacked our servers to get at Tor. It
seems we were attacked for the cpu capacity and bandwidth of the servers,
and the servers just happened to also carry out functions for Tor.

We've tried to address the most common questions below.

* Does this mean someone could have matched users up to their
destinations?

No. By design, Tor requires a majority of directory authorities (four
in this case) to generate a consensus; and like other relays in the
Tor network, directory authorities don't know enough to match a user
and traffic or destination.

* Does this mean somebody could have changed the Tor source?

No, we've checked the source. It does mean you should upgrade so your
client knows about all the currently valid directory authorities.

* Does this mean someone could have learned more about Tor than an
ordinary user?

Since our software and specifications are open, everyone already has
access to almost everything on these machines... except some old bridge
descriptors, which we give out only in small batches as entry points for
blocked clients.

* Can I trust Tor's security?

We've taken steps to fix the weaknesses identified and to harden our
systems further. Tor has a track record of openness and transparency,
with its source code and specifications and also with its operations.
Moreover, we're disclosing breaches such as this so you can monitor our
status. You shouldn't assume those who don't disclose security breaches
never have any!

--Roger

-- 

+--------------- http://www.winstonsmith.info ---------------+
| il Progetto Winston Smith: scolleghiamo il Grande Fratello |
| the Winston Smith Project: unplug the Big Brother          |
| Marco A. Calamari marcoc at marcoc.it  http://www.marcoc.it   |
| DSS/DH:  8F3E 5BAE 906F B416 9242 1C10 8661 24A9 BFCE 822B |
+ PGP RSA: ED84 3839 6C4D 3FFE 389F 209E 3128 5698 ----------+

-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 307 bytes
Desc: This is a digitally signed message part
URL: <http://lists.winstonsmith.org/pipermail/e-privacy/attachments/20100127/4c03e123/attachment.pgp>

More information about the E-privacy mailing list