O TOR está quebrando o TLS para criptografia de transporte de e-mail para coletar credenciais do usuário (falha de segurança)?

0

A resposta EHLO do servidor de e-mail para iniciar o protocolo TLS criptografado ao se conectar ao SMTP para enviar e-mails aparece modificada de STARTTLS para AUTH PLAIN quando enviada por meio do tor em vez de TCP simples.

Consequentemente, as credenciais da conta de e-mail só podem ser enviadas em texto simples facilmente interceptável quando o tor é usado.

Problema básico: o Thunderbird repentinamente (por volta de 08.2015) não pode se conectar ao postfix / smtp por STARTTLS mais por tor, reclamando que STARTTLS não seria anunciado.

Outro MUA pode se conectar ao postfix / smtp por STARTTLS em TCP simples sem problemas.

o postfix está configurado para anunciar o STARTTLS.

Então eu telnetted postfix / smtp duas vezes,

  • diretamente do localhost ou de outro ip remoto,
  • através do tor por proxychains.

telnet diretamente do localhost ou do ip remoto:

> telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 x.y.com ESMTP
EHLO a.b.com
250-x.y.com
250-PIPELINING
250-SIZE 10485760
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
QUIT
221 2.0.0 Bye
Connection closed by foreign host.

No TCP simples, o STARTTLS é anunciado como OK, tanto para conexões do host local quanto do remoto.

Consequência: O MUA (agente de usuário de e-mail) inicia uma sessão TLS para enviar credenciais e e-mails criptografados para o servidor, o homem no meio (nó de saída rsp. tor) vê apenas um fluxo criptografado.

telnet através do tor por proxychains:

> proxychains telnet x.y.com 25

ProxyChains-3.1 (http://proxychains.sf.net)                                                                                                                   
|DNS-response|:     
....                                                                   
|S-chain|-<>-127.0.0.1:9050-<><>-X.X.X.X.-<><>-OK
|DNS-response| x.y.com is XX.XX.XX.XX
Trying XX.XX.XX.XX....
|S-chain|-<>-127.0.0.1:9050-<><>-XX.XX.XX.XX:25-<><>-OK
Connected to x.y.com.
Escape character is '^]'.
EHLO a.b.com
220 csds.local ESMTP
250-csds.local
250-8BITMIME
250-AUTH PLAIN LOGIN
250-XCLIENT NAME HELO
250-XFORWARD NAME ADDR PROTO HELO
250-ENHANCEDSTATUSCODES
250 
quit
221 Bye
Connection closed by foreign host.

Eu recebo uma resposta diferente através do tor, e o anúncio STARTTLS está faltando. Em vez disso, aparece 250-AUTH LOGIN PLAIN.

Consequência: O MUA reclama que o TLS não é possível e obriga o usuário a retornar a credenciais de texto simples ou a autenticação de texto simples e transmissão automaticamente, no último caso, eventualmente, sem notificar o usuário, vazando as credenciais dos usuários .

Em ambos os casos, conteúdo de e-mail e CREDENCIAIS DE USUÁRIO seriam revelados em texto simples para um homem no meio (rsp. o nó de saída tor).

Eu tentei isso com diferentes identidades de tor.

Para certificar-se de que esse comportamento é de fato uma função da rede tor, é necessário excluir qualquer outra fonte. Estes são predominantemente postfix, proxychains e qualquer software executado no meu servidor.

Se for tor, o culpado provavelmente é o servidor de saída. Então: o servidor de saída tor usado pelos proxychains muda com uma mudança de identidade?

Mas eu suspeito de um mau comportamento do postfix em primeiro lugar.

Como posso determinar se esse comportamento depende da configuração do postfix ou de uma função do tor, filtrando STARTTLS?

Ou algo mais?

Se for postfix, como posso corrigi-lo?

    
por mailman 02.10.2015 / 14:21

1 resposta

0

O próprio Tor bloqueia o SMTP , o que você está recebendo é um falso servidor SMTP (observe o csds.local em vez do nome do host real / FQDN) que provavelmente foi executado pelo nó de saída para bloquear o correio.

    
por Anonymous 07.10.2015 / 00:43