Игровой разработчик, защита информации
0,0
рейтинг
17 сентября 2013 в 10:12

Разработка → В Tor Bundle нашли уязвимость, позволяющую деанонимизировать пользователей, которой воспользовались агенты ФБР

В борьбе с «детской порнографией», если верить официальным представителям, агенты ФБР взломали Tor-хостинг Freedom Hosting:
Эксперты проанализировали код установленного на серверах ПО и пришли к выводу, что оно эксплуатирует уязвимость в браузере Firefox 17 ESR, на основе которого собран пакет Tor Browser Bundle. Этот пакет, свободно размещенный на официальном сайте проекта, предназначен для пользователей, которые желают воспользоваться анонимной сетью.
Обратный инжиниринг позволил выяснить, что целью скрытого кода является разоблачение анонимных пользователей: путем передачи уникального MAC-адреса устройства, с которого выполнен вход в интернет, и имя компьютера жертвы в операционной системе Windows.
Эти данные отправлялись на неизвестный сервер в Северной Виргинии, США, для определения IP-адреса пользователя. Удалось найти два адреса, на которые скрытый код отправлял данные, однако с кем они были связаны, установить не удалось — трассировка обрывалась на одном из серверов американской телекоммуникационной компании Verizon.
Причастность ФБР к созданию этого кода была подтверждена официальным представителем впервые. До этого наблюдатели могли лишь догадываться о том, кто является его автором. Было наиболее очевидно, что к этому причастны именно властные структуры, так как предназначением кода было рассекречивание пользователей, а не установка какого-либо зловреда.
Выступая в суде, спецагент Донахью пояснил, что код был внедрен для поиска соучастников Маркеса.


Из статьи не совсем понятно уязвимы ли все пакеты Tor Browser Bundle, или только те, что скачаны с данного хостинга, или те что подключаются к данному хостингу, но перспективы всё равно мрачные. Особенно, если вспомнить про билет 901614, в котором предлагается улучшить безопасность браузера Firefox, внедрив в него анонимайзер Tor в качестве стандартной опции. Таким образом, стоит выйти новой версии с новой дырой и вся анонимность окажется под вопросом.

Так же, недавно стало известно, что 60% спонсорских средств Tor покрывает американское правительство
Проект Tor на 60% финансируется правительством США — это следует из отчета за 2012 г., опубликованного на официальном сайте проекта. Общий объем финансирования за прошлый год составил около $2 млн, из них 40% были предоставлены Министерством обороны США, а остальные 20% — Государственным департаментом США и Национальным научным фондом при правительстве США.

С другой стороны, если для использования этой уязвимости требуется устанавливать специальное ПО на серверах Tor, то видимо для массовой слежки этот инструмент ещё не годится.

P.S. Знаю, что скажут некоторые специалисты, мол, передавались всего лишь «MAC-адреса устройства, с которого выполнен вход в интернет, и имя компьютера жертвы в операционной системе Windows», но в данном случае этих данных оказалось вполне достаточно.
P.P.S Прошу прощения за несколько жёлтый заголовок.

UPDATE На сайты пользующиеся услугами данного хостинга внедрили вредоносный JavaScript-код. Анализ эксплоита, проведенный компанией Mozilla показал, что он использует уязвимость Firefox, устраненную 25 июня 2013 года, что делает подверженными ей только пользователей Windows с устаревшей версией браузера. Таким образом, целью атаки была та же уязвимость в Tor Browser Bundle, с помощью которой стала возможна деанонимизация пользователей. Пользователям Tor Browser было настоятельно рекомендовано немедленно обновить приложение. Один из ключевых разработчиков Tor Роджер Динглдайн рекомендовал пользователям в целях своей безопасности всегда по-умолчанию отключать JavaScript, а также отказаться от использования Windows и перейти на более надежные системы, как TAILS и Whonix. Вскоре появилась информация, что за атакой стоит ФБР, которое намеренно оставило Freedom Hosting в рабочем состоянии, чтобы идентифицировать как можно большее число посетителей сайтов, располагавшихся на данном хостинге. Затем он был отключен, что привело к недоступности ряда скрытых сервисов Tor, так как многие из них работали именно на платформе Freedom Hosting. Вредоносный скрипт получил название torsploit и с учетом версии о причастности ФБР был отнесен к программам отслеживания (policeware) из категории CIPAV. Специалисты компании Cryptocloud провели собственное расследование с целью выяснить, куда стекалась информация с пораженных компьютеров и обнаружили, что torsploit отправляет ее на IP-адрес компании SAIC, которая работает по контракту с АНБ. Но в дальнейшем они признали свой вывод ошибочным. Впоследствии ФБР признало, что именно оно перехватило контроль над Freedom Hosting.
Анатолий Малков @malan
карма
19,0
рейтинг 0,0
Игровой разработчик, защита информации
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (61)

  • +6
    После таких статей начинаешь задумываться: «А кому сейчас вообще можно верить»? Пока сам что-то не напишешь и не будешь уверен в достоверности работы, использование сторонних разработок ложится на простое доверие разработчикам, начиная от ОС заканчивая мелкими приложениями.
    • +16
      Нельзя быть уверенным в отсутствии уязвимостей в собственных разработках. Можно только надеяться, что никому нет до вас дела и никто эти уязвимости искать не будет. Но если до вас никому нет дела, то зачем писать собственные разработки? Круг замкнулся.
    • +2
      Если безопасность вас, ваших близких и вашего дела зависит от доверия к кому-либо — то что-то тут не так
      • +1
        А с какой операционки и с какого браузера Вы сейчас написали это сообщение?
        • +6
          Windows 7, Firefox 23. Антивируса нет, фаерволла нет.
          Если мой рабочий компьютер уйдет к «органам», ничего противоправного на нем не найдут. Неуловимый джо как он есть.
          • +7
            А если «доброжелатель» через дыру зальёт вам компромат и после этого сдаст «органам»?
            • –6
              Боюсь представить, каким нужно быть м… ком, чтобы появились такие доброжелатели. Особенно в плане соотношения трудозатраты/эффективность
              • +10
                Чтоб появились такие «доброжелатели» совсем не нужно быть мудаком. Даже совсем наоборот. Вот чтобы заливать компромат и сдавать органам — вот для этого нужно быть мудаком. Так что нужно не быть мудаком, а быть целью мудака.
                • 0
                  Совершенно верно. Целью мудака стать очень просто. Достаточно только попасться ему на глаза. И если нет возможности создать этому мудаку ощутимые неприятности — то можно остаться его целью и жертвой на всю оставшуюся жизнь.

                  Яркий пример — Корейко. Он стал целью и жертвой Остапа, не сделав ему лично ничего плохого. «Ты виноват уж тем, что хочется мне кушать». Не обязательно быть миллионером, чтобы стать целью. Некоторые мудаки довольствуется и мелкой птичкой, иногда даже не для материальной выгоды, а для морального ощущения собственного превосходства от унижения других.
                  • +2
                    Вот как раз таки мудаком был Корейко, в отличие от товарища Бендера.
                    • 0
                      В наше время Корейко бы был «уважаемым человеком», бюджеты пили бы только так
                      • +1
                        В наше время Кореек нет. Никто не шифруется, аскетизм — не черта наших Кореек. Увы.
                        • +1
                          Аскетизм не врождённая, а вынужденная черта Корейко. Так что Кореек полно, может не таких умных и дисциплинированных, но полно.
                          • 0
                            Корейко, который не прячется — это уже не Корейко. А Матвиенко-младший или Батурина.
    • +1
      Никому, кроме себя. Так всегда было.
      • 0
        И чтобы было проще, нужно стремиться к ru.wikipedia.org/wiki/Хакер (в первом значении):
        Высококвалифицированный ИТ-специалист, человек, который понимает тонкости работы программ ЭВМ.
        и не только в области ЭВМ, а абсолютно везде и ествественно для себя.

        *какой-нибудь бодрый лозунг*!
    • 0
      особенно после подобных случаев: blog.torproject.org/blog/how-to-handle-millions-new-tor-clients
  • +28
    Теперь надо будет заходить в Tor через приватный VPN из-под виртуалки с Linux со случайным MAC-адресом, находящейся в распределенном облаке.
    • +1
      Вот после этого комментария на вам уделят отдельное внимание.
    • +3
      Находясь где то в джунглях Амазонии через случайно выбранный спутник меняющийся каждые 20 минут?
      • 0
        Услуги подключения через спутник вам всё равно придётся оплатить. Ваш вариант имеет смысл только в случае, когда вас уже активно ищут.
    • 0
      И не забыть устранить возможный DNS leak.
  • +1
    Я правильно понял, уязвимость только в браузере, что идет в сборке? ЕМНИП, tor работает как socks-прокси, т.е. можно использовать любой другой браузер, только настроить на использование прокси.
  • +1
    Ежу понятно что раскрученная «бесплатная» сеть ждет недалеких гостей :) верить можно своим ключам и тоннелям :)
    • +1
      Своим ключам тоже верить нельзя. Мало ли что в OpenSSL.
  • +1
    А кто-нибудь может пояснить механизм деанонимизации через данную уязвимость? Получили спецслужбы данные вида «Administrator» и 01:23:45:67:89:ab. Что можно узнать из этой информации? Компьютер может быть подключен через роутер, т.е. даже провайдер не узнает этот mac адрес. Не понятно, с чем сопоставить полученные данные, чтобы найти конкретного человека. Или у них есть база данных, какое устройство, с каким маком, кому и когда было продано?
    • –3
      Или у них есть база данных, какое устройство, с каким маком, кому и когда было продано?


      Скорее у них есть база соответствий MACов и IP адресов
      • 0
        Тогда им нужно получать эти данные со всех провайдеров и надеяться что между искомым компьютером и сетью провайдера не стоит роутер. Не очень надежный способ для поиска преступников.
        • +1
          Облава — это не очень надёжный инструмент для поиска конкретного преступника, но там ведь били по площадям.
          • 0
            А, ну точно… Еще не совсем проснулся, прочитав статью подумал что так взяли самого Маркеса. А, они так сообщников искали, теперь понятно. Но, все же, думаю что процент найденных таким способом будет достаточно низким. Или там есть еще какие-то фишки, о которых мы не знаем.
            • 0
              Досточно вспомнить, что Google собирает mac адреса для позиционирования. Так что база уже есть.
  • +11
    Степень желтизны заголовка перебивает даже ализара. Не в Tor, а в Tor bundle, для криворуких виндузятников, собранный криворукими индусами, без security updates.

    И не бэкдор, а узявимость, которую использовали на захваченном сервере.
    • +2
      Степень желтизны заголовка перебивает даже ализара.

      Так лучше?

      Не в Tor, а в Tor bundle, для криворуких виндузятников, собранный криворукими индусами, без security updates.
      И не бэкдор, а уяpвимость, которую использовали на захваченном сервере.

      Где гарантия, что подобных дыр нет в других версиях? Пока что всё выглядит как будто если бэкдор находят, это объясняется ошибкой.
      • 0
        Ну как вариант, вы можете поднять прокси, работающий через тор, а в браузер запустить в виртуалке, в который есть доступ только к этому прокси без доступа во внешний мир. Тогда все уязвимости должны, по идее, свестись к уязвимостям самого тора. Кстати, прокси тора тоже неплохо бы поднять в виртуалке )
        • +2
          В идеале, ресурсы, к котором я подключаюсь тоже должны находиться на виртуалке на той же машине, а сама машина должна быть отключена от сети :)
          • +3
            По-настоящему безопасной можно считать лишь систему, которая выключена, замурована в бетонный корпус, заперта в помещении со свинцовыми стенами и охраняется вооружённым караулом, но и в этом случае сомнения не оставляют меня.

                                            — Юджин Спаффорд
    • 0
      Да ещё и новости самой больше месяца, и она уже была на Хабре: habrahabr.ru/post/188914/
  • 0
    «всегда по-умолчанию отключать JavaScript, а также отказаться от использования Windows» хорошо сказал, а еще можно вышибить себе мозги, на том свете точно не достанут.
    • +1
      Не представляете свою жизнь без JavaScript и Windows?
  • 0
    А если его запускали на вирт машине, мак же оттуда взялся?
  • 0
    Не понимаю паранойи… Когда меня нет рядом, в ФБР могут меня даже бить:)
  • 0
    Раньше Tor был отдельным прокси а теперь только в Tor Bundle его предлагают скачать. Да и исходники с ходу не нашёл. Это может облегчение обычным юзерам но кто его знает что там ещё скрыто ставится в этом Bundle.
    • +1
      Врятли правительство США финансирует разработку программного обеспечения в котором можно от него скрыться. Ведь наверняка закладочки для них и там найдутся.
    • +1
      Исходники нашёл во «всех скачках» в категории Linux.

      Интересно подмечено. Получается, руководство tor project намеренно снижает защищённость пользователей, что бы «китайцы» по прежнему могли выходить в инет, а «уродов» (по мнению США) — по прежнему можно было ловить.
      • 0
        Прочие сборки (включай «Экспертную» — «Только ТОР и ничего больше») лежат там же, вo «Всех скачках».
  • +2
    I2P. Медленно, но верно.
    • +1
      Медленно, пока сеть маленькая.
      • +2
        Сеть и будет маленькая пока они её под С/С++ не перепишут и для openwrt не спортируют.
        • 0
          Вы считаете, что сеть от роста удерживает то, что 1,5 гика не могут запустить ее роутер на своем домашнем роутер?
          • +1
            Лично я не стану специально для этого держать включённым 24/7 десктоп. А домашние роутеры у всех (примерно 100%) работают именно в таком режиме. C/C++ порт нетрудно интегрировать в ту же openwrt, например. Текущую реализацию на Java — невозможно. Если i2p не так и не дорастёт до понимания этой выгоды (хотя похоже zzz это и сам прекрасно понимает), то я лучше meshbox гиперборейский прикуплю.
            • 0
              Так ведь orion уже пилит, вроде git.repo.i2p/w/i2pcpp.git
              • 0
                Вот его то, родимого, и ждём-с…
        • 0
          Для Вас может быть, а я очень рад что оно на java. Например мой торрент клиент на java умеет I2P, а ваш? Лично я потихоньку изучаю сорцы и использую их API в своих поделках. А в С код не полезу.
  • 0
    И МАК-Адрес и имя компьютера без IP хрень полная.
    Мак-адрес можно изменить как и имя компьютера.
    • 0
      Совсем необязательно смотреть на это все с точки зрения попытки вычислить каких-то там отдельных частных лиц не взятых на карандаш и не находящихся под колпаком и следствием. Сами сайты тоже вычислять небесполезно. Сам факт что какой-то адрес в интернете пытаются открыть через тор это повод для спецслужб присмотреться к этому ресурсу повнимательней. А глядя не число уникальных комбинаций имени компьютера и мак адреса можно судить о его популярности.
  • +1
    Извините, но этой «новости» уже полтора месяца http://habrahabr.ru/company/eset/blog/188974/
    • 0
      К сожалению, не нашёл эту статью в поиске.
      Но, насколько я знаю ФБР призналась в этом недавно, до этого были лишь предположения. К тому же в той статье ни слова о финансировании Тора, а это тоже интересный факт :)
      • 0
        >а это тоже интересный факт
        Хотя и общеизвестный ;-)
        «As of 2012, 80% of the Tor Project's $2M annual budget comes from the United States government, with the Swedish government and other organizations providing the rest» © Wiki ( en.wikipedia.org/wiki/Tor_project#History )
  • 0
    Проект Tor на 60% финансируется правительством США

    Прекрасно!
    Говорят, «если не можешь остановить безобразие — возглавь его»
  • 0
    Надеюсь, в i2p таких дырок нет.
  • 0
    Гы! Сколько криков на хабре о свободном софте и том что там всё так прозрачно. А ведь всё гораздо проще. Хрен ты что там найдешь в этом коде! А если анб не найдет уязвимости на твоем линуксе… или бекдора… или хз чо там еще… так накатят патч… тип экстренный… и вот твоя машинко в сети светит всеми портами! А если вдруг нашли бекдор… так они его устранят и откроют новый!!! Вот вам и демократия! Я думаю в свете того что озвучил Сноуден… пора всем гикам-паладинам уже заткнуться со своими криками о светлом будущем линукса и почаще проверять последствия установки новых патчей! Забавненько выходит.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.