Алексаня Тюрик
Ч0ткий!
Кто больше всего любит даркнеты? Кто трепетнее всех относится к Tor’у? Конечно же, мы, хакеры. Поэтому мы всегда очень расстраиваемся, когда в наших игровых площадках находятся баги, могущие привести к нашей полной деанонимизации. И ведь нам же, со слезами на глазах, приходится рассказывать о них широкой общественности! А что делать? Плачем, но пишем.
Шаткая дорожка Шелкового Пути
«Идеалист» — так средства массовой информации вежливо называют парня, который нарвался на пожизненное заключение, оказавшись виновным по всем пунктам обвинений. Распространение наркотиков, продажа запрещенных веществ, отмывание денег, взлом компьютерных систем — теперь все это часть биографии Уильяма Росса Ульбрихта, который, по мнению следствия, также известен как Dread Pirate Roberts.
Silk Road (2011–2013) — торговая площадка в даркнете Tor с оборотом более 15 миллионов «мертвых президентов», которая в свое время была оплотом любителей незаконного товара. «Шелковый путь» собрал вокруг себя соответствующую целевую аудиторию, принес Россу более 200 миллионов долларов и стал для него прямой дорогой за решетку.
В 2013 году ФБР удалось закрыть площадку, а Росса, которого считают ее владельцем, и ее модератора Питера Нэша отправили за решетку. Однако технические подробности поимки основателя криминальной торговой площадки все еще вызывают ряд вопросов.
В материалах уголовного дела ФБР выставляет подсудимого новичком, который не соблюдал элементарные правила анонимизации своей деятельности: оставлял адрес своей почты, имя и фамилию в социальных сетях и прикреплял сомнительные описания в своих профилях. Кроме того, парня задержали в кафе, где со своего ноутбука он был залогинен на площадке Silk Road под учетной записью ее администратора. Звучит не очень убедительно для технического специалиста, заинтересованного в подробностях о деанонимизации в даркнете.
В материалах уголовного дела ФБР выставляет подсудимого новичком, который не соблюдал элементарные правила анонимизации своей деятельности: оставлял адрес своей почты, имя и фамилию в социальных сетях и прикреплял сомнительные описания в своих профилях. Кроме того, парня задержали в кафе, где со своего ноутбука он был залогинен на площадке Silk Road под учетной записью ее администратора. Звучит не очень убедительно для технического специалиста, заинтересованного в подробностях о деанонимизации в даркнете.
Другим громким инцидентом, вызывающим еще больше вопросов, стало закрытие более 400 onion-ресурсов с разнообразными запрещенными товарами и услугами, среди которых оказался Silk Road 2.0 — последователь прогремевшей на весь даркнет площадки.
Официальное заявление об операции Onymous
«Результатами операции Onymous, которую совместно осуществили входящий в структуру Европола Европейский центр по борьбе с киберпреступностью (European Cybercrime Centre, EC3), ФБР, иммиграционная и таможенная полиция США (the U. S. Immigration and Customs Enforcement, ICE), следственное подразделение министерства внутренней безопасности США (Homeland Security Investigations, HSI) и Евроюст (Eurojust), стали аресты 17 продавцов и администраторов, участвовавших в управлении подпольными торговыми площадками в интернете, и отключение более 410 скрытых сервисов». Полный текст официального заявления можно найти здесь.
Это событие всколыхнуло не только андеграунд, оно вызвало резонанс и в широкой общественности, ведь под сомнение встала сама концепция луковой сети. Теоретически, когда резидент даркнета посещает onion-ресурс, в силу устройства Tor никто не может определить физическое местонахождение ни самого резидента, ни веб-сервера, на котором крутится данное веб-приложение. И в этом заставили усомниться органы правопорядка, которые без объяснения технических деталей сумели провести ряд громких арестов. Попробуем встать на их место, проанализируем методы и средства, которые могут деанонимизировать пользователя самого популярного даркнета, выделим из них актуальные на текущий момент, а затем проверим эти методы на практике.
Атаки на браузер, атаки на канал… ну-ну
Даркнет Tor знает много теоретических и практических попыток деанонимизации пользователя. Все они условно делятся на два множества: атаки на клиентскую сторону (браузер) и атаки на соединение.
Проблемы, Тор-Мозилла?
Из утекших документов NSA можно также убедиться в том, что спецслужбы не брезгуют и эксплойтами к браузеру Firefox, на базе которого построен Tor Browser. Однако использование средств эксплуатации уязвимостей, как пишут в своей же презентации NSA, не позволяет вести постоянную слежку за обитателями даркнета, так как жизненный цикл эксплойтов очень короткий и версионность браузеров ставит под удар очень узкий круг пользователей.
#Утекшие документы NSA Если у тебя появилось желание ознакомиться с утекшими документами NSA, в которых имеется много уже устаревшей информации о вариантах деанонимизации и фингерпринтинга Tor-пользователей, то рекомендуем пару ссылок: https://www.schneier.com/blog/archives/2013/10/how_the_nsa_att.html http://www.theguardian.com/world/interactive/2013/oct/04/egotistical-giraffe-nsa-tor-document
.
Кроме псевдоофициальных (ты ведь не принимаешь на веру все, что считается утечкой?) документов, комьюнити знает о других, более интересных и хитрых атаках на клиентскую сторону. Так, исследователями было установлено, что Flash создает выделенный канал коммуникации между атакующим и жертвой, что полностью дискредитирует последнюю. Однако разработчики Tor Browser оперативно отреагировали на данную проблему, исключив обработчики Flash-контента из своего детища.
Другой, более свежий пример аналогичного канала утечки — HTML5, который принес с собой целый спектр технологий, позволяющих упростить жизнь обычным пользователям интернета и, как выяснилось, усложнить жизнь пользователям даркнета. Библиотека WebRTC, которая предназначена для организации канала передачи видеопотока между браузерами с поддержкой HTML5, по аналогии с Flash позволяла устроить утечку реального IP-адреса. Так называемые STUN-запросы, которые принесла с собой WebRTC, идут в незашифрованном виде в обход Tor со всеми вытекающими последствиями. Однако и это недоразумение также оперативно исправлено разработчиками Tor Browser.
Канальные шалости
Атаки на канал между Tor-клиентом и сервером внутри или вне даркнета выглядят не так убедительно, как атаки на браузер, потому что большинство их концепций, представленных учеными в лабораторных условиях, пока еще не нашли своего PoC «в полях». Тем не менее они имеют право на существование, ведь ресурсы, которыми обладают «компетентные органы», все-таки позволяют реализовать эти атаки на практике.
Среди множества теоретических изысканий стоит выделить фундаментальную работу, основанную на анализе трафика с использованием протокола NetFlow. Авторы исследования полагают, что у атакующей стороны есть возможность анализировать NetFlow-записи на маршрутизаторах, которые непосредственно являются узлами Tor или находятся недалеко от них. NetFlow-запись содержит следующую информацию и практически деанонимизирует клиента:
Тем не менее подобные исследования, которые основаны на анализе трафика, требуют огромного количества точек присутствия внутри даркнета для того, чтобы у атакующего была возможность деанонимизировать любого Tor-пользователя в любом промежутке времени. Именно по этой причине данные исследования не представляют практической ценности для исследователей-одиночек, не обладающих огромным пулом вычислительных ресурсов. И именно по этой причине мы пойдем другим путем и рассмотрим методы анализа активности Tor-пользователя, интересные с практической точки зрения.
Шаткая дорожка Шелкового Пути
«Идеалист» — так средства массовой информации вежливо называют парня, который нарвался на пожизненное заключение, оказавшись виновным по всем пунктам обвинений. Распространение наркотиков, продажа запрещенных веществ, отмывание денег, взлом компьютерных систем — теперь все это часть биографии Уильяма Росса Ульбрихта, который, по мнению следствия, также известен как Dread Pirate Roberts.
Silk Road (2011–2013) — торговая площадка в даркнете Tor с оборотом более 15 миллионов «мертвых президентов», которая в свое время была оплотом любителей незаконного товара. «Шелковый путь» собрал вокруг себя соответствующую целевую аудиторию, принес Россу более 200 миллионов долларов и стал для него прямой дорогой за решетку.
В 2013 году ФБР удалось закрыть площадку, а Росса, которого считают ее владельцем, и ее модератора Питера Нэша отправили за решетку. Однако технические подробности поимки основателя криминальной торговой площадки все еще вызывают ряд вопросов.
В материалах уголовного дела ФБР выставляет подсудимого новичком, который не соблюдал элементарные правила анонимизации своей деятельности: оставлял адрес своей почты, имя и фамилию в социальных сетях и прикреплял сомнительные описания в своих профилях. Кроме того, парня задержали в кафе, где со своего ноутбука он был залогинен на площадке Silk Road под учетной записью ее администратора. Звучит не очень убедительно для технического специалиста, заинтересованного в подробностях о деанонимизации в даркнете.
В материалах уголовного дела ФБР выставляет подсудимого новичком, который не соблюдал элементарные правила анонимизации своей деятельности: оставлял адрес своей почты, имя и фамилию в социальных сетях и прикреплял сомнительные описания в своих профилях. Кроме того, парня задержали в кафе, где со своего ноутбука он был залогинен на площадке Silk Road под учетной записью ее администратора. Звучит не очень убедительно для технического специалиста, заинтересованного в подробностях о деанонимизации в даркнете.
Другим громким инцидентом, вызывающим еще больше вопросов, стало закрытие более 400 onion-ресурсов с разнообразными запрещенными товарами и услугами, среди которых оказался Silk Road 2.0 — последователь прогремевшей на весь даркнет площадки.
Официальное заявление об операции Onymous
«Результатами операции Onymous, которую совместно осуществили входящий в структуру Европола Европейский центр по борьбе с киберпреступностью (European Cybercrime Centre, EC3), ФБР, иммиграционная и таможенная полиция США (the U. S. Immigration and Customs Enforcement, ICE), следственное подразделение министерства внутренней безопасности США (Homeland Security Investigations, HSI) и Евроюст (Eurojust), стали аресты 17 продавцов и администраторов, участвовавших в управлении подпольными торговыми площадками в интернете, и отключение более 410 скрытых сервисов». Полный текст официального заявления можно найти здесь.
Это событие всколыхнуло не только андеграунд, оно вызвало резонанс и в широкой общественности, ведь под сомнение встала сама концепция луковой сети. Теоретически, когда резидент даркнета посещает onion-ресурс, в силу устройства Tor никто не может определить физическое местонахождение ни самого резидента, ни веб-сервера, на котором крутится данное веб-приложение. И в этом заставили усомниться органы правопорядка, которые без объяснения технических деталей сумели провести ряд громких арестов. Попробуем встать на их место, проанализируем методы и средства, которые могут деанонимизировать пользователя самого популярного даркнета, выделим из них актуальные на текущий момент, а затем проверим эти методы на практике.
Атаки на браузер, атаки на канал… ну-ну
Даркнет Tor знает много теоретических и практических попыток деанонимизации пользователя. Все они условно делятся на два множества: атаки на клиентскую сторону (браузер) и атаки на соединение.
Проблемы, Тор-Мозилла?
Из утекших документов NSA можно также убедиться в том, что спецслужбы не брезгуют и эксплойтами к браузеру Firefox, на базе которого построен Tor Browser. Однако использование средств эксплуатации уязвимостей, как пишут в своей же презентации NSA, не позволяет вести постоянную слежку за обитателями даркнета, так как жизненный цикл эксплойтов очень короткий и версионность браузеров ставит под удар очень узкий круг пользователей.
#Утекшие документы NSA Если у тебя появилось желание ознакомиться с утекшими документами NSA, в которых имеется много уже устаревшей информации о вариантах деанонимизации и фингерпринтинга Tor-пользователей, то рекомендуем пару ссылок: https://www.schneier.com/blog/archives/2013/10/how_the_nsa_att.html http://www.theguardian.com/world/interactive/2013/oct/04/egotistical-giraffe-nsa-tor-document
.
Кроме псевдоофициальных (ты ведь не принимаешь на веру все, что считается утечкой?) документов, комьюнити знает о других, более интересных и хитрых атаках на клиентскую сторону. Так, исследователями было установлено, что Flash создает выделенный канал коммуникации между атакующим и жертвой, что полностью дискредитирует последнюю. Однако разработчики Tor Browser оперативно отреагировали на данную проблему, исключив обработчики Flash-контента из своего детища.
Другой, более свежий пример аналогичного канала утечки — HTML5, который принес с собой целый спектр технологий, позволяющих упростить жизнь обычным пользователям интернета и, как выяснилось, усложнить жизнь пользователям даркнета. Библиотека WebRTC, которая предназначена для организации канала передачи видеопотока между браузерами с поддержкой HTML5, по аналогии с Flash позволяла устроить утечку реального IP-адреса. Так называемые STUN-запросы, которые принесла с собой WebRTC, идут в незашифрованном виде в обход Tor со всеми вытекающими последствиями. Однако и это недоразумение также оперативно исправлено разработчиками Tor Browser.
Канальные шалости
Атаки на канал между Tor-клиентом и сервером внутри или вне даркнета выглядят не так убедительно, как атаки на браузер, потому что большинство их концепций, представленных учеными в лабораторных условиях, пока еще не нашли своего PoC «в полях». Тем не менее они имеют право на существование, ведь ресурсы, которыми обладают «компетентные органы», все-таки позволяют реализовать эти атаки на практике.
Среди множества теоретических изысканий стоит выделить фундаментальную работу, основанную на анализе трафика с использованием протокола NetFlow. Авторы исследования полагают, что у атакующей стороны есть возможность анализировать NetFlow-записи на маршрутизаторах, которые непосредственно являются узлами Tor или находятся недалеко от них. NetFlow-запись содержит следующую информацию и практически деанонимизирует клиента:
- номер версии протокола;
- номер записи;
- входящий и исходящий сетевой интерфейс;
- время начала и конца потока;
- количество байтов и пакетов в потоке;
- адрес источника и назначения;
- порт источника и назначения;
- номер протокола IP;
- значение Type of Service;
- для TCP-соединений — все наблюдаемые в течение соединения флаги;
- адрес шлюза;
- маски подсети источника и назначения.
Тем не менее подобные исследования, которые основаны на анализе трафика, требуют огромного количества точек присутствия внутри даркнета для того, чтобы у атакующего была возможность деанонимизировать любого Tor-пользователя в любом промежутке времени. Именно по этой причине данные исследования не представляют практической ценности для исследователей-одиночек, не обладающих огромным пулом вычислительных ресурсов. И именно по этой причине мы пойдем другим путем и рассмотрим методы анализа активности Tor-пользователя, интересные с практической точки зрения.
Последнее редактирование модератором: