Rusya’daki Tor exit node download edilen dosyaları modifiye ediyor

Rusya exit node üzerinden download edilen dosyalar modifiye ediliyor

Tor anonim network’ünde yer alan çıkış noktalarından (exit node) birinin, üzerinden çıkan dosyalarda değişiklik yaptığı, bir güvenlik araştırmacısı tarafından tespit edildi.

Leviathan Güvenlik Grubundan Josh Pitts bir süredir, download esnasında binary dosyaları modifiye etmenin yollarını araştırmaktaydı. Bunun için MitM (man-in-the-middle) saldırı tekniğinden faydalandı.

Bu sene DerbyCon güvenlik konferansında yaptığı sunuda, siber suçluların kendi bulduğu tekniğe benzer bir metodu kullanmış olabileceklerini söyledi.

Teorisini test etmek için, Pitts Python tabanlı Exitmap adlı bir modül geliştirdi. Exitmap aracı sayesinde Tor çıkış noktalarındaki trafik modifikasyonları kontrol edilebiliyor. Güvenlik araştırmacısı, aracı çalıştırdıktan 1 saat sonra, oldukça aktif çalışan bir Rus çıkış noktasının çalıştırılabilir (binary) dosyaları, kötü niyetli yazılım ile sarmaladığını ortaya çıkardı.

Pitts blog yazısında konuyu açıklıyor;

“1110 adet Tor çıkış noktasından, sadece bu noktanın, çalıştırılabiir dosyaları değiştirdiğini, ve test ettiğim tüm dosyaları modifiye etme girişiminde bulunduğunu belirledim… Bu çıkış noktası sadece sıkıştırılmamış PE dosyalarını (windows portable Executable) modifiye ediyor. Bu demek değil ki Tor ağındaki diğer çıkış noktaları dosyaları modifiye etmiyor; onları ben yakalayamamış olabilirim, belki de küçük bir bölüm çalıştırılabilir dosyalar için beklemede olabilir”

Rusya merkezli ‘exit node’ (çıkış noktası), Tor Projesine bildirildi.

“Çalıştırılabilir dosyalar ister imzalanmış olsun ister olmasın, gene de dosyaların host edildiği sunucular SSL/TLS ile korunması konusunda şirketlerin ve uygulama geliştiricilerin bilinçli bir karara varmaları gerek.
Tüm herkes, özellikle İnternet Özgürlüğü konusunda sınıfta kalan ülkelerde yaşayan insanlar çalıştırılabilir dosyaları donwload ederken çok dikkatli olmalılar, aynı zamanda kullanıcılar download ettikleri dosyaların hash ve imza bilgilerini dosyaları çalıştırmadan önce kontrol etmenin bir yolunu bulmalılar” diye ekliyor Pitts.

Tor Projesinin lideri Roger Dingledine kulanıcıları korumak için bahsi geçen relay noktasına “BadExit” (KötüÇıkış) flag ‘ini eklediklerini belirtti.
DerbyCon konferansında araya girerek download sırasında, çalıştırılabilir dosyaları yamalama islemini yaptığı uygulama BDFProxy. Backdoor Factory Framework (BDF), sayesinde download sırasında çalıştırılabilir dosyalar shellcode ile yamalanabiliyor.

Ne yazık ki bu saldırı internetteki herkes tarafından uygulanabilir. Sadece Tor çıkış noktasına değil, man-in-the-middle saldırısı yapılabilen her ortamda, herhangi bir yerden download edilen dosyaların içerikleri değiştirilerek kötü niyetli kod yerleştirilebilir. Dosyayı download eden kullanıcı ise hiçbirşeyin farkında olmaz.

En problematik durum ise PC’den yapılan uygulama güncellemelerinde. Güncelleme kanalı ile kullanıcılar arasına giren bir saldırgan binlerce kişiye malware kod bulaştırabilir.