Пользователь
46,5
рейтинг
24 июля 2014 в 15:30

Разработка → Немного Tor/I2P/Tails/СОРМ-3

Так. Слишком много за последние полторы недели произошло, поэтому будет в один пост.

Tor


Выступление на BlackHat отменили

Каждый сможет взломать Tor за 3000$ (@MagisterLudi) — говорили ребята, которым запретили выступать на BlackHat. Они хотели выступать от имени организации Carnegie Mellon’s Software Engineering Institute, в которой и проводились исследования, но им не дали права на публичное распространения этого материала. Подробности особо неизвестны: исследователи сообщили о баге только Tor Core Developers, но, вроде как, все друг друга поняли, и работы по устранению бага уже ведутся.

Сообщение в рассылке Torproject;
Немного информации в PCWold;
На xaker.ru;
Более ранняя заметка на arstechnica.com.

Sniper attack

image

Наконец-то выложили подробности атаки, о которой сообщалось в блоге Torproject в конце января. Эта атака позволяла, во-первых, жрать память на exit-node до ее неработоспособности при очень низком использовании ресурсов на стороне атакующего, во-вторых, позволяла анонимно деанонимизировать hidden service при атаке от 4 до 278 часов на него. Проблема была в некорректной работе с TCP Window Size/Flow Control и команде SENDME. Решили добавлением некой аутентификации на SENDME (на самом деле, просто небольшая проверка). Баг устранен в версии 0.2.4.14-alpha.

Заметка на Torproject

Tails и I2P


Вышел Tails 1.1, вроде как с уязвимостью


Ребята из Exodus Intel сообщили разработчикам дистрибутива Tails, что он уязвим, прямо накануне выхода версии Tails 1.1. Сначала никакой информации об уязвимости они не разглашали, однако сейчас сделали видео:



Что происходит на видео?
0:00:00,000 –> 0:00:10,400: Demonstrating IP on listening server, Turning on listening server
0:00:19,000 –> 0:00:25,400: Tails user visiting website icanhazip.com which shows the anonymized IP address
0:00:36,000 –> 0:00:49,400: Showing that we’re indeed using the latest Tails build 1.1
0:00:50,000 –> 0:01:03,400: I2P address being resolved, proof of concept malicious payload being delivered
0:01:30,000 –> 0:01:40,400: Listening server retrieves the Tails user’s de-anonymized IP address (Austin RoadRunner ISP)

Непонятно, уязвимость ли это в самом роутере I2P, его веб-интерфейсе, или же в Tails. Рано судить, но, судя по видео, это что-то вроде XSS, хотя парни говорят о payload. Выглядит как чушь, но Exodus достаточно серьезные люди, чтобы так шутить (например, продают свои эксплоиты DARPA). Ждем подробностей.

Запись в блоге Exodus Intel, запись на Thehackernews, еще одна.

Tor и СОРМ-3


Как вы уже, возможно, знаете, МВД РФ объявило конкурс, целью которого является «взлом» TOR (@Gordon01). Сомневаюсь, что этот конкурс составляли компетентные люди (звонок), но лично я считаю, что выборочная деанонимизация пользователей Tor в РФ вполне возможна, если учитывать, что СОРМ-3 работает именно так, как его описывали в пресс-релизах.

Все довольно просто: СОРМ-3 логгирует действия абонентов, и сайты логгируют действия пользователей. Предположим, мы хотим деанонимизировать пользователя, написавшего комментарий на новостном ресурсе. В силу известности всех IP exit-node в конкретный момент, люди, у которых есть логи и веб-сайта, пользователя которого хотят деанонимизировать, и СОРМ-3, и список exit-node в конкретный момент времени, могут сопоставить время появления комментария и время отправки пакета данных от абонента. Чем меньше пользователей Tor в РФ, тем более эффективен такой способ. Такие дела.
Влад @ValdikSS
карма
622,0
рейтинг 46,5
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (51)

  • +2
    При этом предполагается, что абонент шлёт данные в tor-сеть только когда «постит комменты». А вообще говоря, нет, он передаёт трафик постоянно, выступая в качестве релея.
    • 0
      Большинство пользуются Tor Browser Bundle, я не уверен, что там включен relay по умолчанию. По крайней мере, при установке только сервера он не включен по умолчанию. Сейчас проверю, но в любом случае, связка из СОРМ-3 и логов веб-сайта может, как минимум, резко снизить круг поиска.
      • +1
        По этому давно считаю, что tor/i2p-software должно работать на отдельной vds'ке, а лучше dedicated в другой стране. А вот к ней уже можно подключаться любым удобным методом.
        • +3
          Проверил, Tor Browser Bundle не включает relay.

          Держать tor-ноду на vds тоже нужно только в том случае, если знаешь, что делаешь. В некоторых случаях, это может быть менее безопасно, нежели локальная инсталляция.
          • +4
            Я с трудом себе представляю как можно хотя бы пытаться сохранить анонимость, не зная, что делаешь.
        • 0
          Удобным и безопасным методом, я бы поправил.
        • 0
          И как вы собираетесь оплачивать анонимную vds-ку?
          Собственноручно намайненными биткоинами?
          • 0
            Можно продать за них что-нибудь, нафрилансить, насобирать донатов, например… :)
          • 0
            Можно по-другому: из под Tor открыть Яндекс.Кошелек (Webmoney на фейковые данные), пополнить его на 1000 рублей (вроде бы 1000 можно хранить\переводить без идентификации), через Tor купить с него виртуальную карту на plati.ru или другом ресурсе, а потом ей оплатить VPS. В мультикассах камер нет, насколько я понимаю.
            • 0
              Яндекс.Деньги забанили торовские ноды. Даже если камер нет в салоне, они есть рядом. Надёжнее использовать децентрализованные способы (локалкоинс).
              • 0
                Если речь про РФ, то на локалкоинс можно натолкнуться на оперативника, который тут же Вас примет. Ну или можно будет, я, к сожалению, не помню то ли они уже приняли закон об уголовной ответственности за коины, то ли только собираются. Плюс для этого метода нужно что бы человек, продающий коины был в Вашем городе, в моем вот ни одного нет. Варианты с онлайн обменом исключаю, т.к. платеж можно проследить (надавить на администраторов площадки, что бы они выдали данные, посмотреть с какого кошелька пришла оплата, получить данные о владельце кошелька), это не очень анонимный метод.

                Но про камеры в салоне я как-то забыл. Хотя во всяких деревнях наверняка есть мультикассы рядом с которыми нет ни единой камеры.

                Я, к сожалению, не знаю как устроен локалкоинс, поэтому у меня возник вопрос: допустим кто-то покупает за наличку коины на этой площадке у какого-то человека на новосозданный кошелек. Кто-то потом заинтересуется владельцем кошелька и увидит откуда на него поступила первая сумма. Можно ли вычислить человека который эту сумму перевел (через локалбиткоинс или как-то еще)?
                • 0
                  Уголовки за владение биткоинами нет и не предвидится. Сомневаюсь, что оперативники станут притворяться продавцами биткоинов. У нас в городе возле каждой станции метро на полу нанесены предложения купить вещества с телефонами. Казалось бы: оперативник позвонил и арестовал продавца, однако таких объявлений из года в год всё больше. Раз они с такими вещами не в силах разобраться, то и биткоинами вряд ли станут заниматься.

                  Можно обменивать понемногу (по крайней мере сначала), взаимодействовать только со старыми агентами (появившимися на локалкоинс до того, как власти узнали о биткоинах).

                  Касательно отслеживания платежей. Безопасный способ покупки выглядит так:
                  Для покупателя процесс выглядит так:
                  1. Сделайте предложение, ответив на одно из объявлений купить биткоины наличными, или создайте свое собственное объявление продать биткоины за наличные.
                  2. Попросите продавца отправить нужную сумму биткоинов на временный адрес биткоин. Трейдеры с опытом делают это автоматически.
                  3. Вы получите секретный код подтверждения транзакции. Запишите его и никому его не сообщайте.
                  4. Встретьтесь с продавцом.
                  5. Продавец должен показать вам код подтверждения транзакции — увидев его, вы можете быть уверены, что транзакция завершена, так как продавец не получает код, пока не отправит биткоины в ваш кошелек.


                  Для продавца:
                  1. Получите предложение, если вы разместили объявление / сделайте предложение, если вы отвечаете на объявление.
                  2. Обеспечьте транзакцию нужной суммой биткоинов, получите код отправки биткоинов и номер, запишите их в телефон.
                  3. Встретьтесь с покупателем и получите наличные.
                  4. Отправьте SMS для перечисления биткоинов или запустите транзакцию онлайн с помощью ноутбука.
                  5. Обе стороны получат подтверждение по SMS (если они указали номера телефонов).
                  6. Покупатель получит биткоины.
                  (источник)

                  Вывод: в localcoins будет храниться информация, кто кому и через какие кошельки платил.

                  Если важна анонимность биткоинов, надо воспользоваться сервисами чистки биткоинов уже после покупки.

                  Есть ещё универсальный способ: в оффлайне попросить незнакомого человека заплатить за вас за определенную плату. Требуется продвинутый навык общения с незнакомыми людьми (в частности найти такого, кто действительно положит деньги на счёт, а не просто заберет их себе) и базовое умение маскировать внешность (на случай, если этого человека отловят и попросят вас описать). Этот способ можно совмещать с другими (пополнение в салонах, банковские переводы, локалкоинс).
          • +4
            Не имеет смысл прятать свою vds'ку, потому что коннекты к ней будут идти через чистонет. Платить можно чем угодно (визой, например), важно, чтобы получатель находился не в той юрисдикции, что атакующий. Или, хотя бы, был с ним в натянутых отношениях. РФ-Европа/США хороший пример, США-Эквадор — хороший пример.

            На самой vds'е поднимается tor/i2p и используется для дальнейших коннектов. Если нужно совсем анонимный сервер — paysafecard/ucash, дать отлежаться, чтобы видео в магазине протухло, потом через тот же tor заказывать. Проблема в том, что tor'овые ip'шники хостеры не любят и заказывать сервера не позволяют.
            • 0
              Яндекс.Деньги забанили торовские ноды. Мне кажется, надёжнее всего такая схема локалкоинс — биткоин — либерально настроенный провайдер, разрешающий тор и принимающий биткоин.
  • +1
    Кстати, тут есть кто-нибудь, кто работает в CSI? Мне бы zoom & enhance I2P-адрес из видео, чтобы его можно было разобрать.
    Скриншот: i.imgur.com/wKJhiDX.png
    • 0
      127.0.0.1
    • 0
      Его и так можно разобрать. 24.227.173.108 (насчёт восьмёрки не уверен, возможен нуль). Или нужен не из консоли, а из браузера?
      • 0
        Да, нужен URL из браузера, а не IP-адрес.
        • 0
          Домен, по-моему, тот же, что и в админке справа: exodusintel2.i2p. А полный URL наверное можно получить, зайдя на сайт и поискав там эту страницу по ссылкам.
          • +1
            Нет такого «сайта». В I2P нет глобального DNS. На скриншоте открывают длинный b32-адрес, вот он и нужен.
  • +10
    Сомневаюсь, что этот конкурс составляли компетентные люди (звонок)


    Я знаю как работают в МВД и могу абсолютно уверенно сообщить, что на звонки отвечает не тот человек, который составлял конкурс.
    Кстати, в представленной записи звонка дяденька предложил написать «бумагу/запрос», что и нужно было сделать звонившему (если его действительно интересовал ответ). По телефону вам никто ни на что не ответит. Максимум что получится сделать — записаться на приём.
    • 0
      В закрытых конкурсах не скажут, а на обычной закупке можно много информации узнать. Обычно проще прямо спросить клиента готовы ли они работать по удаленке, чем тратить время на подготовку документации (хотя объективно на обычную закупку подготовить документы полчаса уходит).
  • –3
    ошибся…
  • –3
    ошибся…
  • 0
    Скриншот Snipe Attack — это же из великолепной стратегии Advance Wars!
    • 0
      А ТО! Я полчаса в гугле картинку искал, плюнул, нашел видео на ютубе и снял скриншот.
      • 0
        nectaris напомнило
  • 0
    del
  • 0
    Насколько я понимаю, если трафик Tor завернуть в VPN рассмотренная атака (кстати, она несколько лет назад была описана в зарубежных источниках) не сработает?
    • 0
      Верно.
  • +4
    Немного добавлю: СОРМ 2/3 не легирует P2P трафик, (точнее говоря он не логирует торрент трафик) но не всегда корректно можно определить что и где в потоке информации.
    Что бы себя обезопасить — стоит поднимать VPN до нормальной страны и поверх можно пускать ТОР

    Хотя, даже VPN будет достаточно, особенно если вы цепляетесь на свой хостинг который оформлен на вас, тк хостинг провайдер не имеет никакого права выдавать вас на основе филькиных удостоверений. А в свете последних событий, сомневаюсь что если даже будет отправлено постановление суда — страна что-то сделает. Скорее всего будут посылать.

    PS Как-то давно узнавал у DigitalOcean — они заявили, что работают исключительно по законам USA и не будут отвечать на требования / законы которые отсутствуют в USA
    • +1
      В опечатке «легирование трафика» звучит что-то большее, чем опечатка. Привносимые присадки, изменяющие свойства трафика…
      • 0
        Нет, тут именно опечатка =)
        • +1
          Однако получилось всё же очень тонко :) SSL тоннель это по сути и есть легирование трафика :)
    • 0
      они заявили, что работают исключительно по законам USA и не будут отвечать на требования / законы которые отсутствуют в USA

      А что насчёт их серверов, которые расположены не на территории США?
  • +3
    Агитация: используйте VPN и ставьте tor relay!
    • +1
      Тут есть одна загвоздочка, а что, если кто-то будет делать что-то незаконное через твою exit node, а потом придут к тебе и доказывай, что не верблюд?
      • +2
        Казалось бы, причем тут exit node, когда речь о relay.
        • 0
          Пардоньте, туплю. Но все-таки, что делать тем, кто выступает в роли exit node? Не размещать exit node в этой стране?
          • 0
            Да почему, пусть размещают. Хотя, тут недавно одному австралийцу дали условный срок за то, что он держал у себя exit node. Обвинение строилось на том, что он знал, что от его IP могут совершать нехорошие вещи, поэтому расценивали как соучастие.
            • 0
              Согласитесь, какой странный аргумент. Его машину могли угнать и на ней задавить полицейского, значит он, когда её на улице оставлял, являлся соучастником.
              • 0
                Соучастником он стал, когда оставил ключи в замке машины, открыл дверь, постелил ковровую дорожку и поставил табличку «Welcome!».
                • +1
                  я бы побоялся в такую влазить…
      • –1
        Не предлагаю размещать exit node.
        Хотя, если у вас есть доступ куда-то, допустим по работе — почему бы и нет.
  • +5
    Звонок по ссылке бредовый, ответивший сказал всё правильно.
    Представьте, что вы потеряли ключ от квартиры и собираетесь сменить замок, для чего запрашиваете цены у пары известных городских фирм. После этого вам звонит мутный тип и спрашивает, зачем вы ищете мастера по замкам.
    Вы бы стали отвечать?
  • 0
    Наконец-то выложили подробности атаки...

    Меня это всегда пугало. Информация о уязвимостях на порталах о безопасности появляется не сразу после нахождения уязвимости. Так же как эксплойты опубликовываются спустя некоторое время, в течение которого автор эксплойта успел им попользоваться. То есть если ты узнал о бреши в используемой системе — будь готов к тому, что ещё раньше о ней узнали авторы системы, а ещё раньше — те, кто эту брешь обнаружил и как следует заюзал.
    Сожгу компьютер :)
    • 0
      Разработчикам, как правило, сообщают сразу, а всем остальным — что бы не помогать плохим взломщикам — говорят только через некоторое время (как правило после исправления)
      • 0
        Так делают в основном сферические кони в вакууме.
        • 0
          Ну во всех новостях я вижу «Мы сообщили разработчикам 10 лет назад, но они забили болт и потому мы говорим Вам», ну или что-то в этом роде.
          • 0
            В новостях — да. Не все пишут новости, не так ли?
  • 0
    В теории — да. На практике сопоставить это достаточно сложно ввиду некоторых особенностей.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.