id: Гость   вход   регистрация
текущее время 11:30 29/03/2024
Владелец: ressa (создано 05/10/2013 14:31), редакция от 05/10/2013 14:50 (автор: SATtva) Печать
Категории: софт, tor
http://www.pgpru.com/Новости/2013/ОпубликованыМатериалыОМетодахАНБПоПолучениюКонтроляЗаПользователямиTor
создать
просмотр
редакции
ссылки

05.10 // Опубликованы материалы о методах АНБ по получению контроля за пользователями Tor


В новой порции приданых огласке документов, переданных СМИ Эдвардом Сноуденом, раскрыты сведения о попытках проведения Агентством Национальной Безопасности США (АНБ) атак по деанонимизации деятельности пользователей сети Tor. Имея возможность выделять запросы, отправленные пользователями Tor, в общем объёме трафика, АНБ построило сеть из точек внедрения вредоносного ПО, нацеленную на поражение клиентского ПО пользователя Tor, в том числе а именно развиваемого проектом Tor специализированного браузера Tor Browser.


В рамках проекта Quantam, АНБ удалось разместить серию своих серверов контроля трафика в сетях ряда крупных магистральных провайдеров. При выявлении обращения через сеть Tor к сайтам, представляющим интерес для спецслужб, трафик перебрасывается с подконтрольных АНБ транзитных узлов в на специальные серверы FoxAcid, предназначенные для проведения атаки на системы пользователей. Атака осуществляется путём применения эффекта гонки (race condition), через генерацию сервером Quantam фиктивного ответа с редеректом на сервер FoxAcid, который за счёт того, что оборудование АНБ находится ближе к клиенту, приходит раньше реального ответа сервера, к которому обращается пользователь. После успешного переброса на сервер FoxAcid, пользователю от имени сервера FoxAcid отображается страница с вредоносным ПО.


Уязвимости эксплуатируются в том числе и в Tor Browser, основанном на Firefox, что позволяет получить контроль за машиной пользователя Tor. Для пользователей Tor, не использующих Tor Browser, упоминается техника отслеживания активности пользователя через установку и контроль за Cookie, которые при использовании одного и того же браузера при работе через Tor и без Tor не меняются. Сама сеть Tor не была скомпрометирована, контроль за трафиком производился за счёт внедрения троянского ПО на систему клиента.


Более того, в документе указано, что АНБ никогда не обладало возможности деанонимизации всех пользователей сети Tor. Лишь в отдельных случаях ручной труд аналитиков мог раскрыть отдельных пользователей Tor, но деанонимизации на лету добиться не удалось. В качестве целей также отмечается получение контроля за шлюзами Tor, но на момент подготовки документа АНБ имело контроль лишь за несколькими шлюзами из тысяч.


Источник: http://www.opennet.ru/opennews/art.shtml?num=38087


 
На страницу: 1, 2, 3, 4, 5, 6, 7 След.
Комментарии [скрыть комментарии/форму]
— Гость (06/10/2013 10:34)   <#>

В курсе я. Даже когда ищешь билеты на самолёт «найти рейсы», это вызывает стойкие ассоциации именно с «найти ошибки типа race condition в программе». На жаргоне их зовут «рейсами», а формального устоявшегося перевода не знал.


На стр. 17 fileэтой pdf'ки:
Also, keep in mind that the people running these hidden services are generally very careful, and all of these requests and nmaps are detectable by a canny system administrator. We can hide ourselves by using Tor to route our requests, even if we don't try to access the hidden service the Tor way, but the attempt may well be detected. This, combined with the shot-in-the-dark nature of the whole enterprise, limits its usefulness.

Весело. Интересно, не тех ли самых студентов это отчёт? Или то были немецкие студенты?

Стр. 20 fileэтих слайдов:
24 targets successfully implanted with Dalidator during first weekend of release
  • Finally exploited after eight months.

Даже АНБ целых 8 месяцев понадобилось.

На всех pdf дата — 2007-ой год. Студенческий отчёт — 2006. Неужели Сноуден ничего свежее не нашёл? 6 лет для IT — огромный срок, за это всё всё могло переиначиться.
$ pdfinfo tor-stinks.pdf 
Creator:        pdftk 1.44 - www.pdftk.com
Producer:       itext-paulo-155 (itextpdf.sf.net-lowagie.com)
CreationDate:   Fri Oct  4 15:30:13 2013
ModDate:        Fri Oct  4 15:30:13 2013
pdftk? Зачем? Нас обманывают? Они вырезали часть слайдов и/или полей оттуда?
$ pdfinfo advanced-os-multi-hop.pdf 
Title:          doc3
Subject:        
Keywords:       
Author:         
Creator:        Preview
Producer:       Mac OS X 10.8.5 Quartz PDFContext
CreationDate:   Thu Oct  3 20:16:01 2013
ModDate:        Thu Oct  3 20:16:01 2013
А АНБ такое гламурное... Или это творческие осмыслители типа Гленна?


Речь идёт не столько просто о сервере, сколько о контроле над каналами связи. С последним у них может быть тяжелее, хотя подкупить правительство банановой республики может быть ещё проще, чем даже какое-то европейское. Грубо говоря, сервер купить легко, а вот поставить свой софт на IX нужной страны уже проблематично.


Да, но про Маркеса писали, что он платил анонимно, используя чужие ID. Некоторые могут платить за хостинг деньгами, которые заработаны полностью анонимным образом. Т.е. реал там не светится ни в каком виде. В какой-то момент админ FH писал на официальной странице проекта, что удалит нелегальные сайты с хостинга, т.к., дословно, «я не собираюсь из-за вас идти в тюрьму». После первых взломов, года 2 назад, им были введены инвайты. Хоть и мог подозревать, вряд ли он считал, что именно он станет целью козлом отпущения за всё, что у него хостится. Даже ордер не приписывает ему владение всеми скрытыми ресурсами на FH.
— Гость (06/10/2013 12:02)   <#>
Первый раз слышу о таком переводе слова «рейс».

В курсах "Операционные системы" это переводится именно так.

«Правильно» перепрошитый BIOS будет выдерживать все такие перепрошивки. Можно говорить о сложности и целенаправленности создания такой инфекции, но на уровне proof of concept это давно ни для кого не секрет.

Странно-бескомпромиссное заявление. Насколько я понимаю в современных BIOS упор делается именно на невозможность сделать такие угрозы не перезаписываемыми. Что-то мне подсказывает, что схемы отвечающие за восстановление BIOS специально сделали не перезаписываемыми.

И если уж переходить на личности. Ваш комментарий содержит множество безапелляционных неграмотных заявлений, что ставит и содержащиеся там умные мысли под очень большое сомнение.
— Гость (06/10/2013 12:55)   <#>
Во Freenet — элементарно.
Но есть Freenet. Сколько и какие сервера надо вынести из Freenet-сети, чтобы оттуда исчез контент? Непростая задачка для АНБ. :-)
Знаток Freenet детектед. И какой же "контент" уважаемый знаток предпочитает зрить на фрисайтах? Наверное только зеркало Викиликс. Freenet еще при установке предупредил: либо соединяйся только с теми, кому всецело доверяешь (не менее пяти! лиц), а в идеале лично с ними знаком, либо Непростая задачка для АНБ. :-))))))) Мне этой цитаты хватило, чтобы снести Freenet тем же днем после удовлетворения первого любопытства к нему. После такого предупреждения какой здравомыслящий анон доверит часть своего дискового пространства для незнакомцев? И каким же образом оставшиеся не у дел завсегдатаи тех же SR или OPVA могут лично перезнакомиться для переезда в безопасный и неубиваемый Freenet?
— Гость (06/10/2013 13:08)   <#>

Это режим такой специальный Friend-to-friend. Дисковое пространство вы всё равно расшариваете для незнакомцев даже если сетевые соединения у вас только с вашими друзьями. Это похоже на шифропанковский подход, и врядли само по себе усложнит вычисление перемещение контента такому противнику как АНБ.
— Гость (06/10/2013 13:45)   <#>

Это тоже ваш комментарий? Я вам кляп-ордер не выдавал. Если есть что сказать по существу, говорите.


Это мнение ntldr. При желании можно найти старые обсуждения в районе 2008-го и показать конкретные посты. Первое, что гуглится — это, но были более детальные и обстоятельные обсуждения (возможно, в теме «жук в ноутбуках»).

Насколько я помню, общий смысл таков:
  1. Без программатора BIOS гарантированно не перепрошить. Вы даже не будете знать, перепрошился он или только делает вид.
  2. На программаторе вы либо перепрошьёте его полностью, либо увидите наличие проблемы, сравнивая то, что читается с прошивки, с тем, что в неё записывали.
— Гость (06/10/2013 13:47)   <#>

Извиняюсь, имелся в виду /comment71111.
— Гость (06/10/2013 13:55)   <#>

Вообще-то, тем, с кем вы соединяетесь, хоть и проще, но всё же достаточно трудно выяснить, что они хранят, что храните вы и что вы запрашиваете в сети (думаю, ничуть не проще, чем Tor-нодам в Tor).


Чем популярнее материал, тем на большем числе узлов он отзеркалирован и быстрее ищется. Убить популярный сайт во Freenet практически равнозначно изъятию всех машин, подключенных к Freenet-сети (а она распределённая, и полного списка ни у кого нет, там клиент и сервер совмещены).


Решается только популярнстью сети. Если она достаточно популярна, среди ваших нейтральных знакомых найдутся те, кто её тоже использует. Даже если гипотетически вообразить, что принадлежащие одной анонимной группе юзеры станут друг для друга пирами, это будет очень плохо, т.к. противник будет знать, что все пиры, к примеру, клиента SR, тоже клиенты SR и никто больше.
— кубы_пирамиды (06/10/2013 16:06)   <#>
О перепрошивке биоса: а разве джамер, разрешающий запись, не является барьером от внешней программной прописки?
— Гость (06/10/2013 16:45)   <#>
1) А разве этот джампер еще ставят? Винчих давно забыт, мода на джампер прошла.
2) BIOS руткит может быть изначально установлен заботливым производителем и его партнерами из АНБ.
— unknown (06/10/2013 17:01, исправлен 06/10/2013 17:12)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Одни и те же слайды, опубликованные в разных газетах подозрительно отличаются. Как если бы это были совсем разные версии документов.


Роджер Динглдайн в 2007 году был якобы приглашён для выступления в АНБ. Впрочем, это обычная практика. Кто-то из проекта Bitcoin там тоже выступал. Так же как и представители АНБ участвуют в конференциях разработчиков, в т.ч. и качестве докладчиков.


Подборка документов по теме с обсуждениями и разоблачениями.

— Гость (06/10/2013 18:01)   <#>

Просто вспомнилось о таких джамперах. Но если их сейчас не ставят, то ведь при особом желании можно добраться до соотв. ножки ПЗУ и подать на нее нолик? (единицу)


2) BIOS руткит может быть изначально установлен заботливым производителем и его партнерами из АНБ.
Это да. Тут просто надо подымать лапки кверху. Одна надежда на старые компьютеры, до которых не успело добраться АНБ, с одним из которых поэтому не расстаюсь до сих пор :)

А вообще-то все мы давно под колпаком – как программным, так и аппаратным, и знаем ничтожно мало о закладках в компьютерах.
— Гость (06/10/2013 18:35)   <#>
Но если их сейчас не ставят, то ведь при особом желании можно добраться до соотв. ножки ПЗУ и подать на нее нолик? (единицу)
Если стоит LPC Flash (квадратный корпус PLCC-32, его еще часто ставят в панельку), то нужно подать ноль на ножки TBL# и WP#. На новых платах почти везде SPI flash (8 ногий корпус SOIC или WSON), там ножка WP# блокирует не запись данных, а изменение битов в внутреннем управляющем регистре, а эти самые биты нужно устанавливать в правильное значение программно и только после этого подавать сигнал WP#. Самый простой выход – впаять вместо флеш чипа прокси-плату на основе МК которая будет фильтровать протокол. Возможно я скоро опубликую схему такой модификации.
— Гость (06/10/2013 18:55)   <#>
Раз вы такой специалист по этой элементной базе, тогда подскажите, пожалуйста, какие флекшки используются в материнках:
– Intel D945GNT http://www.intel.com/support/r.....gnt/sb/CS-020710.htm
– Intel D510MO http://www.intel.ru/content/ww.....desktop+board+d510mo

Ножку во флешке отогнуть в домашних условиях еще бы рискнул, а вот новшество "SPI flash" – какая козлина его придумала и зачем???
Не иначе, как развязать руки АНБ для дистанционной перепрошивки.
Впаивать целую плату с алгоритмом ради запрета записи – бр!!! Это не всякому человеку под силу.
Неужели нет еще более простого решения?
— Гость (06/10/2013 23:08)   <#>
пожалуйста, какие флекшки используются в материнках
Без понятия, у меня их нет в наличии. Сделал фотки для примера:
LPC Flash: http://s1.ipicture.ru/uploads/20131006/dh7rDRFT.jpg
SPI Flash: http://s1.ipicture.ru/uploads/20131006/ALR7ztzf.jpg
У микросхемы на последней картинке стерта маркировка, но там обычно чипы серии SST25VFxxx, на некоторых мамках их ставят по две.

а вот новшество "SPI flash" – какая козлина его придумала и зачем???
Как вы выдите, SPI флешка компактнее и имеет меньше ножек, проще разводка платы. А придумали его не потому что это какой-то злой умысел, просто вся электроника постепенно усложняется, там где раньше можно было влезть ржавыми пассатижами, молотком и советским паяльником, теперь нужны паяльные станции, логические анализаторы и программаторы.

Впаивать целую плату с алгоритмом ради запрета записи – бр!!! Это не всякому человеку под силу.
Неужели нет еще более простого решения?
Можно отогнуть вывод WP# и запаять прямо поверх чипа флешки 8 ногий микроконтроллер который будет при старте посылать во флешку последовательность сигналов для блокировки записи. Но лучше сделать по нормальному, с маленькой платой, куда можно воткнуть джампер разрешения записи и светодиод индикатор наличия попыток записи.
— Гость (07/10/2013 00:01)   <#>
Мда... не ожидал, что стало все так хреново :( Полезу сам в материнки, любопытно, что там окажется.
Вам огромное спасибо за столь ценную информацию.
На страницу: 1, 2, 3, 4, 5, 6, 7 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3