openPGP в России / Новости / 2013 / ФБР официально признало взлом хостинга скрытых сервисов Tor

24.09 // ФБР официально признало взлом хостинга скрытых сервисов Tor

Федеральное бюро расследований (ФБР) подтвердило свою причастность к взлому и управлению серверами, обслуживающих анонимную сеть Tor. Соответствующее заявление в суде сделал специальный агент ФБР Брук Донахью (Brooke Donahue), сообщает Wired.

28-летний Эрик Оуэн Маркес (Eric Eoin Marques), проживающий в Дублине предположительный создатель хостинг-компании Freedom Hosting, обвиняется в распространении детской порнографии через сеть Tor.

По словам защитников Маркеса, агенты ФБР еще до его ареста, без судебных санкций, вторглись в дата-центр, где размещались сервера Freedom Hosting, и установили ПО для перехвата данных.

Газета The Irish Independent утверждает, что Маркес еще несколько месяцев назад пытался внести изменения в настройки серверов Freedom Hosting, но не смог этого сделать, поскольку ФБР сменило их пароли.

Сеть Tor позволяет анонимно размещать в Сети веб-сайты и предоставлять пользователям доступ к ним на условиях анонимности. В числе прочих задач она используется для распространения запрещенного контента, например, детской порнографии.

Стоит заметить, что Freedom Hosting, попавший под контроль ФБР – немаловажный хостинг Tor. Через три дня после очередного ареста Маркеса 4 августа 2013 г. в блоге компании Tor Project была опубликована запись о множественных обращениях пользователей о пропаже из сети большого количества адресов скрытых сервисов. В общей сложности из каталога исчезло около половины сайтов, работающих в псевдодомене .onion (являющихся скрытыми сервисами Tor), в том числе и не связанных с нелегальным контентом.

Эксперты проанализировали код установленного на серверах ПО и пришли к выводу, что оно эксплуатирует уязвимость в браузере Firefox 17 ESR, на основе которого собран пакет Tor Browser Bundle. Этот пакет, свободно размещенный на официальном сайте проекта, предназначен для пользователей, которые желают воспользоваться анонимной сетью.

Обратный инжиниринг позволил выяснить, что целью скрытого кода является разоблачение анонимных пользователей: путем передачи уникального MAC-адреса устройства, с которого выполнен вход в интернет, и имя компьютера жертвы в операционной системе Windows.

Эти данные отправлялись на неизвестный сервер в Северной Виргинии, США, для определения IP-адреса пользователя. Удалось найти два адреса, на которые скрытый код отправлял данные, однако с кем они были связаны, установить не удалось – трассировка обрывалась на одном из серверов американской телекоммуникационной компании Verizon.

Причастность ФБР к созданию этого кода была подтверждена официальным представителем впервые. До этого наблюдатели могли лишь догадываться о том, кто является его автором. Было наиболее очевидно, что к этому причастны именно властные структуры, так как предназначением кода было рассекречивание пользователей, а не установка какого-либо бэкдора.

Выступая в суде, спецагент Донахью пояснил, что код был внедрен для поиска соучастников Маркеса.

Недавно внимание к сети Tor было проявлено по той причине, что, как оказалось, ее финансированием на 60% занимается американское правительство. Стоит отметить, что изначально Tor создавалась как военная разработка, и уже затем этот проект приобрел открытый характер.

Источник: http://www.cnews.ru/top/2013/0.....noy_setyu_tor_543194

На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10 След.

Комментарии [скрыть комментарии/форму]

—	*Гость* (13/02/2014 22:16) <#>

>Это был полицейский хонейпот

Где можно почитать пруфы?

—	*Гость* (13/02/2014 22:51) <#>

>Вы читали текст по ссылке? Он узнал про новость, уничтожил диск и пересел на смартфон. Типа Tor/ПК небезопасны, поэтому он ходил на сайты с ДП со смартфона. При обыске в смартфоне был найден контент, да. Хотел затушить огонь бензином, да мало бензина было.

Но зафиксировали на сервере тогда что? Серфинг с ПК или смартфона?

—	*Гость* (13/02/2014 23:51) <#>

>Серфинг с ПК или смартфона?

Это там непонятно написано. Скорей всего, надо понимать так, что с ПК. Но может быть понятно и так, что с обоих мест или только со смартфона. Технические детали изложены мутно.

—	SATtva (10/09/2014 08:46) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Очередная порция деталей по деанону Silk Road: ФБР: Для обнаружения серверов Silk Road использовались слабые места в CAPTCHA.

—	*Гость* (10/09/2014 12:20) <#>

Не верю.

—	SATtva (10/09/2014 12:35) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Заголовок жёлтой прессы не отражает суть, смотрите исходный file

судебный документ, в частности, стр. 4-5.

Upon examining the individual packets of data being sent back from the website,³ we noticed that the headers of some of the packets reflected a certain IP address not associated with any known Tor node⁴ as the source of the packets. This IP address (the “Subject IP Address”) was the only non – Tor source IP address reflected in the traffic we examined. The Subject IP Address caught our attention because, if a hidden service is properly configured to work on Tor, the source IP address of traffic sent from the hidden service should appear as the IP address of a Tor node, as opposed to the true IP address of the hidden service, which Tor is designed to conceal. When I typed the Subject IP A ddress in to an ordinary (non – Tor) web browser, a part of the Silk Road login screen (the CAPTCHA prompt) appeared. Based on my training and experience, th is indicated that the Subject IP Address was the IP address of the SR Server, and that it was “leaking” from t he SR Server because the computer code underlying the login interface was not properly configured at the time to work on Tor.⁵

⁵ After Ulbricht’s arrest, evidence was discovered on his computer reflecting that IP address leaks were a recurring problem for him. In a file contain ing a log Ulbricht kept of his actions in administering the Silk Road website, there are multiple entries discussing various leaks of IP addresses of servers involved in running the Silk Road website and the steps he took to remedy them. For example, a March 25, 2013 entry states that the server had been “ddosd” – i.e., subjected to a distributed denial of service attack, involving flooding the server with traffic – which, Ulbricht concluded, meant “someone knew the real IP.” The entry further notes that it appeared someone had “discovered the IP via a leak” and that Ulbricht “migrated to a new server” as a result. A May 3, 2013 entry similarly states: “Leaked IP of webserver to public and had to redeploy/shred [the server].” Another entry, from May 26, 2013, states that, as a result of changes he made to the Silk Road discussion forum, he “leaked [the] ip [address of the forum server] twice” and had to change servers.

То есть банальная утечка, существование которых признавал сам Ульбрихт в своей переписке.

—	unknown (10/09/2014 13:11) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Т.е., они использовали не собственную капчу, а с внешнего сервиса? И неаккуратно завернули её в Tor?

—	SATtva (10/09/2014 13:21) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Скорее, капча была своя, но исполнялась отдельным процессом, который не был завёрнут в Tor (т.е. клиенты получали смешанный контент из onion- и не-onion-трафика). Всех деталей нет, но из имеющихся вырисовывается что-то подобное.

—	*Гость* (10/09/2014 13:56) <#>

> Гость (10/09/2014 12:20) <#>

> Не верю.

Nik Cubrilovic тоже не верит.

> "The FBI have good reason to not mention any bugs or forcing the server to do anything, and to pretend that they simply picked up the IP address from the wire, since such actions would raise concerns about how lawful their actions in uncovering the IP address were. What we do know is that their description of 'packet sniffing' for the IP through a 'leak' is impossible," Cubrilovic said.

Полный текст статьи: FBI Lied About How it Obtained Silk Road Server Location Says Security Expert

—	SATtva (10/09/2014 14:13) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Соглашусь с ним в том, что сайт наверняка пытались поломать все, кому не лень, и наличие сифонящего реального IP не могло бы долго оставаться незамеченным. С другой стороны, конфигурацию сервера могли менять и в какой-то [неудачный] момент что-то могло ~~пойти не так~~ сломаться.

Защита наверняка будет оспаривать эти показания. Было б интересно, если бы в суде изучили исходники и конфиги сервера, это бы внесло больше ясности.

—	*Гость* (11/09/2014 00:53) <#>

Гость (10/09/2014 13:56), блджад, цитирование ">" означает, что твоя копипаста упомянута выше по треду или в тексте OP. Цитирование внешних источников идёт через <[текст]>.

> То есть банальная утечка, существование которых признавал сам Ульбрихт в своей переписке.

Ну надо же как у них показания со временем меняются! Для тех, кто всё забыл, напоминаю, что по легенде из ордера его нашли чисто случайно из-за рутинной проверки одной из посылок с поддельными документами, которые он заказал по почте. Т.е. ткнули пальцем в небо и попали. Потом стали за ним следить, вычислили VPN, инет-кафе куда он ходил, а потом и адреса SR-серверов. Ни про какую капчу в ордере не было ни слова.

Я не знаю детали про SR, но, например, Эоин Маркес (FH) заявлял, то все клиентские адреса у него крутятся в виртуалках, поэтому их взлом нестрашен (как крутился сам Tor и другие служебные сервисы FH — не знаю).

—	*Гость* (07/11/2014 14:08) <#>

ФБР арестовало подозреваемого админа Silk Road 2.0 и закрыло сайт.

—	*Гость* (07/11/2014 14:23) <#>

> ФБР арестовало подозреваемого админа Silk Road 2.0 и закрыло сайт.

Подробности parallel construction от ФБР

—	*Гость* (07/11/2014 14:45) <#>

Да что нам до ихнего ФБР. У нас в огороде б такого не было и то хорошо.

—	*Гость* (08/11/2014 12:57) <#>

How Did The FBI Break Tor?. Европол по запросу ФБР отключил 400+ скрытых сервисов.

На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10 След.

Ваша оценка документа [показать результаты]