r   e   k   l   a   m   a
r   e   k   l   a   m   a

Skazany za dziecięcą pornografię dowiódł bezpieczeństwa sieci Tor

Strona główna AktualnościBEZPIECZEŃSTWO

Bezpieczeństwo sieci Tor jest kwestionowane właściwie od samego jej debiutu, regularnie przedstawiane są też w świecie akademickim teoretyczne metody ataku, które pozwoliłyby zdemaskować użytkowników, ujawnić ich realny adres IP. Wyrok wydany w sprawie niejakiego Roya Harvendera, pokazuje, że nawet zinstytucjonalizowani przeciwnicy klasy FBI nie są w stanie poradzić sobie z Torem – i jedyne co mogą, to szukać dziur w systemach operacyjnych i przeglądarkach używanych wraz z cebulowym routerem.

Skazany w tym tygodniu na 13 lat więzienia Roy Harvender został uznany za winnego oglądania i udostępniania obrazów i filmów z dziecięcą pornografią. Dał się on złapać w efekcie zakrojonej na międzynarodową skalę operacji przeciwko pedofilom – użytkownikom ukrytego w sieci Tor serwisu Website 19, który działał między 2012 a 2014 rokiem.

Człowiek – najsłabsze ogniwo?

Fizyczna lokalizacja serwisu była skutkiem zwykłej pracy policyjnej. Jak wyjaśniło FBI w trakcie rozprawy sądowej, nieujawniona z nazwy zagraniczna jednostka policyjna aresztowała człowieka, który okazał się być najwyraźniej jednym z administratorów pedofilskiego serwisu. Korzystając z informacji pozyskanych z jego komputera, udało się zlokalizować hosting wykorzystywany przez Website 19, serwer kolokowany był w innym kraju. Tamtejsza policja zajęła go, aresztowała operatora i zmusiła go do współpracy. Od tej pory Website 19 działało jako „garnek miodu”, policyjna pułapka, mająca przywabiać zainteresowanych dziecięcą pornografią.

r   e   k   l   a   m   a

Nic w tym niezwykłego, jednak takie pułapki w sieci Tor same w sobie niczego nie dają. Tak jak użytkownicy nie znają adresów IP i lokalizacji serwerów, z którymi się łączą, tak też administratorzy serwerów nie znają adresów IP i lokalizacji swoich użytkowników. Dlatego też FBI w takich sytuacjach stara się stosować spyware, oficjalnie określane jako NIT (Network Investigative Technique). Są to najczęściej pliki Flasha (SWF), hostowane na przejętej witrynie, które po uruchomieniu przez wtyczkę Adobe nawiązują odrębne połączenie poza siecią Tor, bezpośrednio z serwerem FBI. W ten sposób agencja ta może pozyskać adres IP użytkownika nielegalnej strony.

A raczej mogło, bo już od dobrych kilku lat wartość tej bazującej na Flashu techniki jest praktycznie zerowa. Najpopularniejszym ze sposobów korzystania z Tora jest dziś pakiet Tor Browser Bundle. Łączy on w sobie klienta Tora, graficzny kontroler Vidalia i przeglądarkę Firefox, tak skonfigurowaną, by zminimalizować powierzchnię ataku. Flash Playera tam nie uruchomimy, ataki za pomocą złośliwych plików SWF stają się bezwartościowe.

Lepiej puścić wolno, niż stracić cyberbroń

Dlatego też dla FBI tak cenne stały się exploity w samym Firefoksie, które pozwoliłby przeprowadzić taki atak identyfikacyjny za pomocą złośliwego kodu w JavaScripcie. Taki właśnie atak został wykorzystany przeciwko użytkownikom Tor Browser Bundle w zeszłym roku – obchodził połączenie Tora, wysyłając na kontrolowany przez napastnika serwer adres IP i MAC karty sieciowej używanej przez ofiarę. Exploit co prawda działał tylko na Windowsie, ale podobno pozwolił FBI na namierzenie tysięcy użytkowników nielegalnych serwisów. Mozilla oczywiście już wykorzystaną lukę załatała.

Wartość takich ataków jest na tyle duża, że w tym roku amerykańska prokuratura wolała wycofać wszystkie oskarżenia przeciwko jednemu z podejrzanych o korzystanie z serwisu z dziecięcą pornografią, niż być zmuszoną do ujawnienia przed sądem techniki, która pozwoliła na jego namierzenie – mimo że nakaz ujawnienia został wydany przez federalnego sędziego. Uważa się jednak, że w tej sprawie również chodzi o tkwiącą w Firefoksie lukę 0-day, której władze ujawnić nie zamierzają.

W sprawie Roya Harvendera takich tajemnic chronić nie trzeba było, tym bardziej, że to nie FBI go namierzyło, lecz właśnie zagraniczne organy ścigania, kontrolujące serwer Website 19. Opublikowano na łamach serwisu link do klipu wideo z dziecięcą pornografią, hostowanego na innym serwisie. Kliknięcie przeniosło użytkownika poza sieć Tora, a otworzenie tam pliku pozwoliło na nawiązanie drugiego połączenia sieciowego z serwerem kontrolowanym przez policję.

Jak to osiągnięto – tego nie wiadomo. Być może wystarczyło osadzenie adresu URL w metadanych klipu, z którego coś zostało pobrane podczas odtwarzania, nie jest przecież tak, że formaty wideo projektowano z myślą o bezpieczeństwie sieciowym i szczelności przepływu informacji.

W obronie zawsze silniejsi

Tego typu ataki pokazują, do jakich podstępów muszą uciekać się napastnicy, by zdołać zdemaskować użytkowników Tora – nie ma tu żadnych bezpośrednich ataków na samą sieć anonimizującą. Co więcej, obrona przed takimi atakami nie jest trudna. Wystarczy całkowicie oddzielić od siebie warstwę sieciową z Torem od warstwy aplikacyjnej, i aplikacjom dać dostęp do Internetu wyłącznie przez taką wydzieloną warstwę.

W ten sposób ataki przeciwko komunikującym się przez Tora neutralizuje projekt Whonix – oferuje on dwie maszyny wirtualne z Debianem, jedną skonfigurowaną jako bramę sieciową, drugą jako środowisko klienckie. Konfiguracja hiperwizora (QEMU/KVM albo VirtualBox) zapewnia, że wszystko, co zostanie uruchomione w środowisku klienckim, nawet exploity typu NIT, i tak będą łączyły się przez Tora, ponieważ żadnej innej sieci nie mają. By wyrwać się z takiej izolacji, napastnik musiałby dysponować działającym exploitem wymierzonym w hiperwizora. Nie jest to niemożliwe, ale niewątpliwie daleko trudniejsze niż ataki na dziurawego przecież okrutnie Firefoksa. Takie ataki należą raczej do arsenału cyberbroni NSA czy CIA – i nikt nie będzie marnował je na jakieś zwykłe sprawy kryminalne FBI.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.