
<div dir="ltr">Thank you <span style="font-size:13.1999998092651px">Philipp and Damian for your response.</span><div>I will inform you about the outcome of our work.</div><div><br></div><div>Frank<br><br><div class="gmail_quote">On Mon, Mar 9, 2015 at 8:02 PM Philipp Winter <<a href="mailto:phw@nymity.ch">phw@nymity.ch</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Mon, Mar 09, 2015 at 11:15:21PM +0000, Francois Valiquette wrote:<br>

> By reading the documentation of torflow, it is yet not clear to me, exactly<br>

> which tests you are doing. One part of my project is to make a description<br>

> of each possible attack an Exit Node can make and a description of a<br>

> detection/mitigation mechanism for each of the attack but also I would like<br>

> to implement one or more tests that have not been implemented by torflow.<br>

<br>

As Damian mentioned, we are mostly using exitmap [0] these days.<br>

TorFlow is no longer supported and several people had issues getting it<br>

to run because of bit rot.<br>

<br>

> Here is a list of attacks that we think that a malicious Exit Node could<br>

> do. The list is not complete, we will expand it. I would like to know, what<br>

> type of attacks have you not tested and also, feel free to complete this<br>

> list.<br>

><br>

> -SSL  and none SSL Sniffing (Session Hijacking, emails, web URL, IRC<br>

> channel, FTP )<br>

<br>

exitmap has no module to detect sniffing but some folks have written<br>

HoneyConnector [1] for that purpose.  It can detect sniffing for FTP and<br>

IMAP as long as the adversary later tries to log in with the sniffed<br>

credentials.<br>

<br>

> -Virus Injection (Linux, OSX, Windows, Android)<br>

<br>

Something like this is implemented in the patchingCheck module:<br>

<<a href="https://gitweb.torproject.org/user/phw/exitmap.git/tree/src/modules/patchingCheck.py" target="_blank">https://gitweb.torproject.<u></u>org/user/phw/exitmap.git/tree/<u></u>src/modules/patchingCheck.py</a>><br>

<br>

> -DNS Rebinding<br>

<br>

We have a module that checks several domains:<br>

<<a href="https://gitweb.torproject.org/user/phw/exitmap.git/tree/src/modules/dns.py" target="_blank">https://gitweb.torproject.<u></u>org/user/phw/exitmap.git/tree/<u></u>src/modules/dns.py</a>><br>

<br>

> -Misc Injection/Tampering: advertisements, JavaScript, etc<br>

> -SSL MITM with CN<br>

> -SSL MITM (revoked certificate, expired certificate and untrusted<br>

> certificate)<br>

> -SSL Downgrade attacks<br>

> -SSL stripping<br>

<br>

We have modules for these attacks but they aren't available publicly.<br>

If you are interested, please contact me off-list and I can send them to<br>

you.<br>

<br>

> -Pharming Attacks<br>

> -Dropping TLS connections<br>

> -Spurious RST packets<br>

> -Exploiting Bittorrent Tracker to reveal a user’s real IP<br>

<br>

It would be great to see modules for these attacks.  If you are<br>

interested in extending exitmap, I have a suggestion below.<br>

<br>

On a general note, we see two classes of malicious exit relays.  The<br>

opportunistic attacker typically sets up a fresh relay, starts an<br>

off-the-shelf MitM tool, and is curious to see what happens.  These<br>

attacks don't last long and are easy to detect.  It's not that easy with<br>

the second class, that is attackers who target specific web sites.  All<br>

other web sites can remain unaffected, which makes it hard find these<br>

exits.  These attackers make an effort to stay under the radar, e.g.,<br>

MitM only requests coming from Tor Browser.  As a result, these attacks<br>

are trickier to detect and after blacklisting such an exit relay, a new<br>

one often pops up, similar to a game of Whac-A-Mole.<br>

<br>

To do better against these attackers, it would be great to have<br>

"adaptive" scanning modules that are able to pick their own targets.<br>

For example, such a module could be seeded with a set of domains and it<br>

then extracts other domains to visit from the HTML code of the seed set.<br>

<br>

[0] <<a href="https://gitweb.torproject.org/user/phw/exitmap.git/" target="_blank">https://gitweb.torproject.<u></u>org/user/phw/exitmap.git/</a>><br>

[1] <<a href="https://github.com/mmulazzani/HoneyConnector" target="_blank">https://github.com/<u></u>mmulazzani/HoneyConnector</a>><br>

<br>

Cheers,<br>

Philipp<br>

______________________________<u></u>_________________<br>

tor-dev mailing list<br>

<a href="mailto:tor-dev@lists.torproject.org" target="_blank">tor-dev@lists.torproject.org</a><br>

<a href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-dev" target="_blank">https://lists.torproject.org/<u></u>cgi-bin/mailman/listinfo/tor-<u></u>dev</a><br>

</blockquote></div></div></div>