Skazany za dziecięcą pornografię dowiódł bezpieczeństwa sieci Tor

Skazany za dziecięcą pornografię dowiódł bezpieczeństwa sieci Tor05.05.2017 13:47

Bezpieczeństwo sieci Tor jest kwestionowane właściwie od samegojej debiutu, regularnie przedstawiane są też w świecie akademickimteoretyczne metody ataku, które pozwoliłyby zdemaskowaćużytkowników, ujawnić ich realny adres IP. Wyrok wydany w sprawieniejakiego Roya Harvendera, pokazuje, że nawet zinstytucjonalizowaniprzeciwnicy klasy FBI nie są w stanie poradzić sobie z Torem – ijedyne co mogą, to szukać dziur w systemach operacyjnych iprzeglądarkach używanych wraz z cebulowym routerem.

Skazany w tym tygodniu na 13 lat więzienia Roy Harvender zostałuznany za winnego oglądania i udostępniania obrazów i filmów zdziecięcą pornografią. Dał się on złapać w efekcie zakrojonejna międzynarodową skalę operacji przeciwko pedofilom –użytkownikom ukrytego w sieci Tor serwisu Website 19, który działałmiędzy 2012 a 2014 rokiem.

Człowiek – najsłabsze ogniwo?

Fizyczna lokalizacja serwisu była skutkiem zwykłej pracypolicyjnej. Jak wyjaśniło FBI w trakcie rozprawy sądowej,nieujawniona z nazwy *zagraniczna jednostka policyjna *aresztowałaczłowieka, który okazał się być najwyraźniej jednym zadministratorów pedofilskiego serwisu. Korzystając z informacjipozyskanych z jego komputera, udało się zlokalizować hostingwykorzystywany przez Website 19, serwer kolokowany był w innymkraju. Tamtejsza policja zajęła go, aresztowała operatora izmusiła go do współpracy. Od tej pory Website 19 działało jako„garnek miodu”, policyjna pułapka, mająca przywabiaćzainteresowanych dziecięcą pornografią.

Nic w tym niezwykłego, jednaktakie pułapki w sieci Tor same w sobie niczego nie dają. Tak jakużytkownicy nie znają adresów IP i lokalizacji serwerów, zktórymi się łączą, tak też administratorzy serwerów nie znająadresów IP i lokalizacji swoich użytkowników. Dlatego też FBI wtakich sytuacjach stara się stosować spyware, oficjalnie określanejako NIT (Network Investigative Technique). Są to najczęściejpliki Flasha (SWF), hostowane na przejętej witrynie, które pouruchomieniu przez wtyczkę Adobe nawiązują odrębne połączeniepoza siecią Tor, bezpośrednio z serwerem FBI. W ten sposób agencjata może pozyskać adres IP użytkownika nielegalnej strony.

A raczej mogło, bo już oddobrych kilku lat wartość tej bazującej na Flashu techniki jestpraktycznie zerowa. Najpopularniejszym ze sposobów korzystania zTora jest dziś pakiet TorBrowser Bundle. Łączy on w sobie klienta Tora, graficznykontroler Vidalia i przeglądarkę Firefox, tak skonfigurowaną, byzminimalizować powierzchnię ataku. Flash Playera tam nieuruchomimy, ataki za pomocą złośliwych plików SWF stają siębezwartościowe.

Lepiej puścić wolno, niż stracić cyberbroń

Dlatego też dla FBI tak cennestały się exploity w samym Firefoksie, które pozwoliłbyprzeprowadzić taki atak identyfikacyjny za pomocą złośliwego koduw JavaScripcie. Taki właśnie atakzostał wykorzystany przeciwko użytkownikom Tor Browser Bundle wzeszłym roku – obchodził połączenie Tora, wysyłając nakontrolowany przez napastnika serwer adres IP i MAC karty sieciowejużywanej przez ofiarę. Exploit co prawda działał tylko naWindowsie, ale podobno pozwolił FBI na namierzenie tysięcyużytkowników nielegalnych serwisów. Mozilla oczywiście jużwykorzystaną lukę załatała.

Wartość takich ataków jest natyle duża, że w tym roku amerykańska prokuratura wolaławycofać wszystkie oskarżenia przeciwko jednemu z podejrzanych okorzystanie z serwisu z dziecięcą pornografią, niż być zmuszonądo ujawnienia przed sądem techniki, która pozwoliła na jegonamierzenie – mimo że nakaz ujawnienia został wydany przezfederalnego sędziego. Uważa się jednak, że w tej sprawie równieżchodzi o tkwiącą w Firefoksie lukę 0-day, której władze ujawnićnie zamierzają.

W sprawie Roya Harvendera takichtajemnic chronić nie trzeba było, tym bardziej, że to nie FBI gonamierzyło, lecz właśnie zagraniczne organy ścigania,kontrolujące serwer Website 19. Opublikowano na łamach serwisu linkdo klipu wideo z dziecięcą pornografią, hostowanego na innymserwisie. Kliknięcie przeniosło użytkownika poza sieć Tora, aotworzenie tam pliku pozwoliło na nawiązanie drugiego połączeniasieciowego z serwerem kontrolowanym przez policję.

Jak to osiągnięto – tego niewiadomo. Być może wystarczyło osadzenie adresu URL w metadanychklipu, z którego coś zostało pobrane podczas odtwarzania, nie jestprzecież tak, że formaty wideo projektowano z myślą obezpieczeństwie sieciowym i szczelności przepływu informacji.

W obronie zawsze silniejsi

Tego typu ataki pokazują, dojakich podstępów muszą uciekać się napastnicy, by zdołaćzdemaskować użytkowników Tora – nie ma tu żadnych bezpośrednichataków na samą sieć anonimizującą. Co więcej, obrona przedtakimi atakami nie jest trudna. Wystarczy całkowicie oddzielić odsiebie warstwę sieciową z Torem od warstwy aplikacyjnej, iaplikacjom dać dostęp do Internetu wyłącznie przez takąwydzieloną warstwę.

W ten sposób ataki przeciwkokomunikującym się przez Tora neutralizuje projekt Whonix –oferuje on dwie maszyny wirtualne z Debianem, jedną skonfigurowanąjako bramę sieciową, drugą jako środowisko klienckie.Konfiguracja hiperwizora (QEMU/KVM albo VirtualBox) zapewnia, żewszystko, co zostanie uruchomione w środowisku klienckim, nawetexploity typu NIT, i tak będą łączyły się przez Tora, ponieważżadnej innej sieci nie mają. By wyrwać się z takiej izolacji,napastnik musiałby dysponować działającym exploitem wymierzonym whiperwizora. Nie jest to niemożliwe,ale niewątpliwie daleko trudniejsze niż ataki na dziurawegoprzecież okrutnie Firefoksa. Takie ataki należą raczej do arsenałucyberbroni NSA czy CIA – i nikt nie będzie marnował je na jakieśzwykłe sprawy kryminalne FBI.

Źródło artykułu:www.dobreprogramy.pl

bezpieczeństwo

Wybrane dla Ciebie

Ponad 10 tysięcy stron w sieci Tor zlikwidowanych jednym hakerskim atakiem

Adam Golański

Microsoft popełnił fatalny błąd. Dał certyfikat bezpieczeństwa złośliwemu oprogramowaniu

Jakub Krawczyński

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt

Szanowna Użytkowniczko! Szanowny Użytkowniku!

×

Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.