עליה חדה בשימוש ברשת Tor
הקפיצה בכמות המשתמשים בשירות הגלישה האנונימית Tor בחודש אוגוסט האחרון, מיוחסת לרשת בוטנט זדונית העושה שימוש בשירות להעברת פקודות בין שרתי הבקרה לתוכנות הזדוניות
עמי רוחקס דומבה
| 19/05/2011
Botnet, pro & cons of using Tor Networks - via securityaffairs.co
מספר המשתמשים המחוברים ליום לשירות TOR המספקת גלישה אנונימית ברשת האינטרנט עלה במחצית חודש אוגוסט האחרון מ-550,000 (אשתקד) ל1,200,000 בממוצע. בישראל לעומת זאת, הגולשים לא הראו תנודות מיוחדות באותו פרק זמן ומספר המשתמשים בשירות היה יציב בין 6000 ל-7000 משתמשים ביום.
קיימות ספקולציות רבות באשר לסיבת הגידול. ההשערות המובילות הן חשיפת תכנית המעקב של סוכנות ה-NSA אחרי גולשים בעולם, רשת בוטים (Botnet) המשמשת בשירות לצורך העברת מסרים או ניסוי מחקרי.
בינתיים נדמה כי אין כל סימן להיחלשות המגמה. בדו"ח החדשות השבועי של Tor נטען כי "כניסת מסת לקוחות חדשים שהחלה באמצע חודש אוגוסט מותחת את גבולות הרשת".
השיא הקודם של מספר הכניסות לשירות נרשם בחודש ינואר 2012, כאשר הוא עמד סביב 975,000 משתמשים מדי יום, כך על פי דיווח באתר של חברת אבטחת המידע Sophos.
עם חששות גוברים בנושאי פרטיות בארה"ב ובבריטניה, דוחות השירות מראים כי בתחילת חודש אוגוסט כ-90,000 אמריקאים ו-16,000 בריטים התחברו מדי יום לשירות TOR. אבל בסוף החודש נרשם גידול לכ-150,000 משתמשים מדי יום בארה"ב ו-35,000 בבריטניה.
הודו גם ראתה עלייה גדולה בשימוש ב-Tor עם מספר ממוצע של משתמשים יומיים אשר זינק מ-7,500 ל-32,000 וסין רשמה כ -400 משתמשים בשירות – מספר משמעותי בהתחשב בעובדה שהאינטרנט במדינה נשלט על ידי המדינה.
אין ספק כי הגילויים אחרונים מאדוארד סנאודן בנוגע לתכנית PRISM של ה-NSA למעקב אחר פעילות האינטרנט העולמית הם נקודת התחלה ברורה, כאשר מחפשים סיבות לגידול בשימוש ב-TOR.
אירועים משמעותיים אחרים שייתכן שהביאו לעלייה בשימוש ב-Tor במהלך חודש אוגוסט כוללים את הסגירה הפתאומית של Lavabit, ספק דואר אלקטרוני מאובטח על ידי ה-NSA. מדובר על שירות ששימש את סנודן.
לאחר מכן, ב -10 באוגוסט, אתר שיתוף הקבצים Pirate Bay שחרר את דפדפן הפיראטים - דפדפן אינטרנט המשתמש ב-Tor כדי לסייע למשתמשים בעקיפת צנזורה ממשלתית. בהמשך חודש השותף של גלן גרינוולד, העיתונאי שחשף את סדרת הסיפורים על אדוארד סנודן, נעצר לתשע שעות בשדה התעופה הית'רו. בעקבות המעצר נרשמה עלייה בשימוש ב-Tor . למרות אירועים אלו, יש משהו קצת מוזר בכל הקשור לעלייה המאסיבית בשימוש ברשת האנונימית.
חברת Fox-IT מציעה הסבר: העלייה היא עקב השימוש המוגבר של רשתות בוטנט (botnets) ברשת Tor. ההסבר מבוסס על הקביעה כי הגידול שנראה מורכב ממשתמשים חדשים בעיקר, שככל הנראה לא עושים הרבה. זאת, בהתחשב בהשפעה המוגבלת של העלייה במשתמשים על ביצועי Tor.
"בימים האחרונים, אכן נמצאו ראיות המצביעות על כך ש-botnet ספציפי ולא ידוע מי או מה אחראי על רוב העלייה הפתאומית ב-Tor", נכתב בבלוג החברה. על פי התחקיר שהיא ביצעה, השם של הבוטנט שהתגלה הוא "Mevade.A", אבל הפניות ישנות יותר מקשרות את הממצאים ל-"Sefnit", בוטנט שתחילתה לפחות ב-2009 והוא כלל גם קישוריות Tor. "מצאנו התייחסויות שונות המראות כי התוכנה הזדונית ידועה למפעיליה תחת השם SBC", הוסיפו בבלוג.
בעבר, הבוטנטים תקשרו בעיקר באמצעות פרוטוקול HTTP, כמו גם שיטות תקשורת חלופיות. לאחרונה ובד בבד עם את העלייה במשתמשי Tor, עברו מפעילי הבוטנטים גם הם לרשת האנונימית כשיטת תקשורת להעברת פקודות בין הבוטנטים לשרתי הבקרה.
בדרך כלל, זה די ברור מהי המטרה של תוכנות זדוניות - בנקאות, clickfraud, ransomware או תוכנות זדוניות המתחזות לאנטי וירוס מזויפים. אולם במקרה הזה זה קצת יותר קשה לזהות את היעד. ייתכן כי המטרה של רשת תוכנה זדונית הזו היא לטעון תוכנה זדונית נוספת על המערכת לצורך מכירה עתידית של המערכות הנגועות.
"עם זאת, אין שום ראיה שזה נכון, ולכן הנחה זו מתבססת רק על שילוב של רמזים קטנים. אנחנו גם יודעים כי מקור הבוטנטים הללו באזור דובר רוסית, והוא כנראה מונע על ידי ארגוני פשיעה פיננסית בצורה ישירה או עקיפה", סיכמו בבלוג.
מספר המשתמשים המחוברים ליום לשירות TOR המספקת גלישה אנונימית ברשת האינטרנט עלה במחצית חודש אוגוסט האחרון מ-550,000 (אשתקד) ל1,200,000 בממוצע. בישראל לעומת זאת, הגולשים לא הראו תנודות מיוחדות באותו פרק זמן ומספר המשתמשים בשירות היה יציב בין 6000 ל-7000 משתמשים ביום.
קיימות ספקולציות רבות באשר לסיבת הגידול. ההשערות המובילות הן חשיפת תכנית המעקב של סוכנות ה-NSA אחרי גולשים בעולם, רשת בוטים (Botnet) המשמשת בשירות לצורך העברת מסרים או ניסוי מחקרי.
בינתיים נדמה כי אין כל סימן להיחלשות המגמה. בדו"ח החדשות השבועי של Tor נטען כי "כניסת מסת לקוחות חדשים שהחלה באמצע חודש אוגוסט מותחת את גבולות הרשת".
השיא הקודם של מספר הכניסות לשירות נרשם בחודש ינואר 2012, כאשר הוא עמד סביב 975,000 משתמשים מדי יום, כך על פי דיווח באתר של חברת אבטחת המידע Sophos.
עם חששות גוברים בנושאי פרטיות בארה"ב ובבריטניה, דוחות השירות מראים כי בתחילת חודש אוגוסט כ-90,000 אמריקאים ו-16,000 בריטים התחברו מדי יום לשירות TOR. אבל בסוף החודש נרשם גידול לכ-150,000 משתמשים מדי יום בארה"ב ו-35,000 בבריטניה.
הודו גם ראתה עלייה גדולה בשימוש ב-Tor עם מספר ממוצע של משתמשים יומיים אשר זינק מ-7,500 ל-32,000 וסין רשמה כ -400 משתמשים בשירות – מספר משמעותי בהתחשב בעובדה שהאינטרנט במדינה נשלט על ידי המדינה.
אין ספק כי הגילויים אחרונים מאדוארד סנאודן בנוגע לתכנית PRISM של ה-NSA למעקב אחר פעילות האינטרנט העולמית הם נקודת התחלה ברורה, כאשר מחפשים סיבות לגידול בשימוש ב-TOR.
אירועים משמעותיים אחרים שייתכן שהביאו לעלייה בשימוש ב-Tor במהלך חודש אוגוסט כוללים את הסגירה הפתאומית של Lavabit, ספק דואר אלקטרוני מאובטח על ידי ה-NSA. מדובר על שירות ששימש את סנודן.
לאחר מכן, ב -10 באוגוסט, אתר שיתוף הקבצים Pirate Bay שחרר את דפדפן הפיראטים - דפדפן אינטרנט המשתמש ב-Tor כדי לסייע למשתמשים בעקיפת צנזורה ממשלתית. בהמשך חודש השותף של גלן גרינוולד, העיתונאי שחשף את סדרת הסיפורים על אדוארד סנודן, נעצר לתשע שעות בשדה התעופה הית'רו. בעקבות המעצר נרשמה עלייה בשימוש ב-Tor . למרות אירועים אלו, יש משהו קצת מוזר בכל הקשור לעלייה המאסיבית בשימוש ברשת האנונימית.
חברת Fox-IT מציעה הסבר: העלייה היא עקב השימוש המוגבר של רשתות בוטנט (botnets) ברשת Tor. ההסבר מבוסס על הקביעה כי הגידול שנראה מורכב ממשתמשים חדשים בעיקר, שככל הנראה לא עושים הרבה. זאת, בהתחשב בהשפעה המוגבלת של העלייה במשתמשים על ביצועי Tor.
"בימים האחרונים, אכן נמצאו ראיות המצביעות על כך ש-botnet ספציפי ולא ידוע מי או מה אחראי על רוב העלייה הפתאומית ב-Tor", נכתב בבלוג החברה. על פי התחקיר שהיא ביצעה, השם של הבוטנט שהתגלה הוא "Mevade.A", אבל הפניות ישנות יותר מקשרות את הממצאים ל-"Sefnit", בוטנט שתחילתה לפחות ב-2009 והוא כלל גם קישוריות Tor. "מצאנו התייחסויות שונות המראות כי התוכנה הזדונית ידועה למפעיליה תחת השם SBC", הוסיפו בבלוג.
בעבר, הבוטנטים תקשרו בעיקר באמצעות פרוטוקול HTTP, כמו גם שיטות תקשורת חלופיות. לאחרונה ובד בבד עם את העלייה במשתמשי Tor, עברו מפעילי הבוטנטים גם הם לרשת האנונימית כשיטת תקשורת להעברת פקודות בין הבוטנטים לשרתי הבקרה.
בדרך כלל, זה די ברור מהי המטרה של תוכנות זדוניות - בנקאות, clickfraud, ransomware או תוכנות זדוניות המתחזות לאנטי וירוס מזויפים. אולם במקרה הזה זה קצת יותר קשה לזהות את היעד. ייתכן כי המטרה של רשת תוכנה זדונית הזו היא לטעון תוכנה זדונית נוספת על המערכת לצורך מכירה עתידית של המערכות הנגועות.
"עם זאת, אין שום ראיה שזה נכון, ולכן הנחה זו מתבססת רק על שילוב של רמזים קטנים. אנחנו גם יודעים כי מקור הבוטנטים הללו באזור דובר רוסית, והוא כנראה מונע על ידי ארגוני פשיעה פיננסית בצורה ישירה או עקיפה", סיכמו בבלוג.
