14.01 // Как я поймал хулигана использующего сеть Tor
Перед Новым Годом ко мне обратились с просьбой поймать злоумышленника, который сначала терроризировал фирму по электронной почте, отправляя письма похабного содержания через веб-интерфейсы бесплатных почтовиков, а потом начал постить хулиганские комменты в корпоративном блоге в ЖЖ.
Одним из самых распространенных вариантов использования tor является связка Tor, Vidalia, Firefox+Torbutton.
Установив Tor, и внимательно посмотрев на вкладку «Параметры соединения» я заметил, что в настройках по умолчанию не прописывается поле «FTP прокси», т.е. запросы по протоколу FTP браузер отправляет напрямую, а не через прокси-сервер, слушающий на порту 8118 и отправляющий запросы через сеть tor! Это обусловлено скорее всего тем, что tor не поддерживает протокол FTP? Это наблюдалось в последних версиях ПО установленного на ОС MS Windows XP, Vista и Debian, Ubuntu.
Возникла идея подсунуть злоумышленнику ссылочку по протоколу FTP на объект, физически размещенный на ftp-сервере, к логам которого у меня имеется доступ. Для этого в один из постов корпоративного блога была вставлена ссылочка на однопиксельное изображение вида <img ="ftp://<url_к_картинке_на_серве.....сть_доступ_к_логам">.
В тот же вечер был засечен реальный (не Tor) IP-адрес злоумышленника, но радоваться было рано, он был из сети выделенной крупному московскому провайдеру. На следующий день мы имели и корпоративный IP-адрес злоумышленника.
Заказчик попросил получить доказательства авторства писем отправленных злоумышленником. Для этого решили послать ему по электронной почте ссылку на видео по явно интересующей его теме. Естественно запись размещалась на моем ftp-сервере. Тут меня постигла неудача. Хулиганство в блоге очень сократилось, посты хулиганского характера делались редко, не через сеть Tor и из Тайланда. Но в первый же рабочий день видеозапись была скачена с уже известного нам корпоративного IP-адреса.
Источник: http://community.livejournal.com/ru_root/1942338.html
Угу общий размер, такой общий. И почему-то забыты ещё два дополнительных бита утекшей информации, содержащей глубину цвета (варианты 8, 16, 24, 32 и это только ширпотребные).
В рассылке по вопросу паноптикликов вообще цирк был, ЧСВ у разрабов зашкаливает.
Закапывайте.
лолшто?
И тебя вылечат, если попросишь. И может тогда поймешь.
Надо бы указать на то, что это единственный адекватный метод исправления проблемы, и сделать его реалистично, однако ж разрабы не хотят заморачиваться, как я понимаю. Кто-то пытался
посратьсяобсудить с ними в рассылке это предложение из их же FAQ?Что же касается ответа по поводу паноптика – "слышали звон – не знают где он". Речь об уникальной идентификации Tor-юзеров внутри Tor-же сети, а они развели полнейшую лабуду по поводу сравнения их с "rest of the web". Я то думал, что tb профессионалы пишут, а оказалось, что, как всегда, очередные красноглазые.
комментариев: 9796 документов: 488 редакций: 5664
Они ответили в смысле того, что результаты паноптика дают хорошую идентификацию, потому что к ним ходят большинство юзеров не через Tor. И когда заходят из Tor, то видят, что им поставлен завышенный индекс профилирования — так как сравнивают то со всеми.
Вот если бы тем кто заходит через Tor показывать статистику по сравнению с теми, кто заходил тоже только через Tor, то результат был бы намного лучше в плане неразличимости пользователей, из-за того, что большинство тор-юзеров использует Tb.
Угу, получается туда вообще никто с торбаттоном не заходил, кроме местных. И потому удачно настроившие внешний вид браузер под себя, оказались неповторимо индивидуальными, и все неповторимые цветом и окнами.