id: Гость   вход   регистрация
текущее время 14:05 29/03/2024
Владелец: Paran0ik (создано 14/01/2010 20:22), редакция от 14/01/2010 20:22 (автор: Paran0ik) Печать
Категории: софт, анонимность, инфобезопасность, tor, атаки, модель угрозы
http://www.pgpru.com/Новости/2010/КакЯПоймалХулиганаИспользующегоСетьTor
создать
просмотр
редакции
ссылки

14.01 // Как я поймал хулигана использующего сеть Tor

Перед Новым Годом ко мне обратились с просьбой поймать злоумышленника, который сначала терроризировал фирму по электронной почте, отправляя письма похабного содержания через веб-интерфейсы бесплатных почтовиков, а потом начал постить хулиганские комменты в корпоративном блоге в ЖЖ.


Одним из самых распространенных вариантов использования tor является связка Tor, Vidalia, Firefox+Torbutton.


Установив Tor, и внимательно посмотрев на вкладку «Параметры соединения» я заметил, что в настройках по умолчанию не прописывается поле «FTP прокси», т.е. запросы по протоколу FTP браузер отправляет напрямую, а не через прокси-сервер, слушающий на порту 8118 и отправляющий запросы через сеть tor! Это обусловлено скорее всего тем, что tor не поддерживает протокол FTP? Это наблюдалось в последних версиях ПО установленного на ОС MS Windows XP, Vista и Debian, Ubuntu.


Возникла идея подсунуть злоумышленнику ссылочку по протоколу FTP на объект, физически размещенный на ftp-сервере, к логам которого у меня имеется доступ. Для этого в один из постов корпоративного блога была вставлена ссылочка на однопиксельное изображение вида <img ="ftp://<url_к_картинке_на_серве.....сть_доступ_к_логам">.


В тот же вечер был засечен реальный (не Tor) IP-адрес злоумышленника, но радоваться было рано, он был из сети выделенной крупному московскому провайдеру. На следующий день мы имели и корпоративный IP-адрес злоумышленника.


Заказчик попросил получить доказательства авторства писем отправленных злоумышленником. Для этого решили послать ему по электронной почте ссылку на видео по явно интересующей его теме. Естественно запись размещалась на моем ftp-сервере. Тут меня постигла неудача. Хулиганство в блоге очень сократилось, посты хулиганского характера делались редко, не через сеть Tor и из Тайланда. Но в первый же рабочий день видеозапись была скачена с уже известного нам корпоративного IP-адреса.


Источник: http://community.livejournal.com/ru_root/1942338.html


 
Много комментариев (54) [показать комментарии/форму]
Общая оценка документа [показать форму]
средний балл: +1.5респондентов: 6