05.10 // Опубликованы материалы о методах АНБ по получению контроля за пользователями Tor
В новой порции приданых огласке документов, переданных СМИ Эдвардом Сноуденом, раскрыты сведения о попытках проведения Агентством Национальной Безопасности США (АНБ) атак по деанонимизации деятельности пользователей сети Tor. Имея возможность выделять запросы, отправленные пользователями Tor, в общем объёме трафика, АНБ построило сеть из точек внедрения вредоносного ПО, нацеленную на поражение клиентского ПО пользователя Tor, в том числе а именно развиваемого проектом Tor специализированного браузера Tor Browser.
В рамках проекта Quantam, АНБ удалось разместить серию своих серверов контроля трафика в сетях ряда крупных магистральных провайдеров. При выявлении обращения через сеть Tor к сайтам, представляющим интерес для спецслужб, трафик перебрасывается с подконтрольных АНБ транзитных узлов в на специальные серверы FoxAcid, предназначенные для проведения атаки на системы пользователей. Атака осуществляется путём применения эффекта гонки (race condition), через генерацию сервером Quantam фиктивного ответа с редеректом на сервер FoxAcid, который за счёт того, что оборудование АНБ находится ближе к клиенту, приходит раньше реального ответа сервера, к которому обращается пользователь. После успешного переброса на сервер FoxAcid, пользователю от имени сервера FoxAcid отображается страница с вредоносным ПО.
Уязвимости эксплуатируются в том числе и в Tor Browser, основанном на Firefox, что позволяет получить контроль за машиной пользователя Tor. Для пользователей Tor, не использующих Tor Browser, упоминается техника отслеживания активности пользователя через установку и контроль за Cookie, которые при использовании одного и того же браузера при работе через Tor и без Tor не меняются. Сама сеть Tor не была скомпрометирована, контроль за трафиком производился за счёт внедрения троянского ПО на систему клиента.
Более того, в документе указано, что АНБ никогда не обладало возможности деанонимизации всех пользователей сети Tor. Лишь в отдельных случаях ручной труд аналитиков мог раскрыть отдельных пользователей Tor, но деанонимизации на лету добиться не удалось. В качестве целей также отмечается получение контроля за шлюзами Tor, но на момент подготовки документа АНБ имело контроль лишь за несколькими шлюзами из тысяч.
Источник: http://www.opennet.ru/opennews/art.shtml?num=38087
Ваша способность читать вызывает восхищение, но на основании чего вы делает вывод о том, что читал я? :) И к чему этот тон.
Если известен объем и распределение по участникам, можно восстановить картину без расшифровки. Да, полгода назад такая вероятность казалась смешной. Теперь уже меньше.
В ссылке на Би-би-си было, по-английски, указание на то, что речь идет не о "каких-нибудь промышленных CISCO или Juniper с бэкдором от АНБ". Ее вы не прочли и начали ругаться, и остановиться уже, боюсь, не сможете.
Читайте больше, а форум поменьше :).
комментариев: 11558 документов: 1036 редакций: 4118
Плюс клиенты не выбирают для цепочки больше одного узла из /16-подсети, и в АНБ это прекрасно знают:
А у меня больше. Щас я всех как сдеаноню.
А Роджер делает другой вывод: все опубликованные документы свидетельствуют о том, что АНБ — не глобальный наблюдатель. В слайдах АНБ было, что «мы никогда не сможем деанонимизировать всех, всегда, в любой момент времени, и даже по запросу». Говорить, что с тех пор они ушли далеко вперёд, естественно, можно, но про то, что мы не знаем, можно говорить всё, что угодно, т.к. недоказуемо же.
Я вначале думаю, потому пишу. У вас наоборот. Это же касается и вашего последнего: Объём знает совокупность ISP, и что дальше? Если неизвестно, кто какой эксит использует из нескольких миллионов юзеров (500k юзеров + ботнет), это распределение сложно к чему-то пришить, а если известны экситы для всех, то и объём становится не нужен, всё решается проще.
Это 5! C ЧСВ у вас всё "в порядке" :))
Чем менее популярен Tor, тем меньше круг подозреваемых, тем хуже анонимность, чем более популярен Tor, тем он интереснее трёхбуквенным агентсвам, тем меньше анонимность. Куда крестьянину податься...
Чем более популярен блочный шифр, тем он интереснее трёхбуквенным агентсвам, тем меньше его безопасность. Слышали, знаем. :-)
юристаподпольщика.... Жуть, когда модель угрозы – трехбуквенные конторы!Давайте не будем ругаться. Посты редко пишутся как научные работы.
Насчет трафика и его распределения по идентифицируемым единицам. Существует огромное количество разработок, оперирующих большими объемами информации. Есть масса алгоритмов и работающих программ. Началось всё — математики поправят — с работ Винера, сделанных по заказу Пентагона (нужно было отличить сейсмические данные землетрясений от испытаний бомб и т.д.). Сейчас эти системы обрабатывают миллиарды профилей, умеют находить закономерности там, где их нет и прочая.
Анализ, пардон, 200-500k соединений, в которых количество килобайт отправленных с одной стороны цепи, соответствует количеству килобайт, появившихся с другой, в режиме реального времени, даже если нет данных обо всех соединениях, с точки зрения этих систем, не является задачей.
Эти соединения — хуже подписей. Идеальный метод profiling'а. Гугл и фейсбук отдыхают.
Это было известно и ранее, новость в том, как далеко АНБ зашла в способности трафик мониторить. Ну а если мониторинг соединений отдельно взятой страны — не проблема, то мониторинг той или иной сети, в этом контексте, рутинная задача. Ценность этой сети тем выше, чем больше ее пользователей считают себя в безопасности.
Если у них сейчас нет такой программы, она будет. Но уже сейчас задача решабельная.
Слайды не являются скриншотом практик АНБ, скорее рассказывают о методах и отдельных решениях.
Месяца два назад один из участников тутошних дискуссий высказал мнение о том, что туда работать идут те, кого не берут в другие места. Там очень сложная в этом плане ситуация, особенно после 9/11. (Они набрали массу талантливых сноуденов без формального образования.) Но судя по тому, что мы знаем, когда у них есть необходимость сделать какого-нибудь пафосного гиганта типа гугла, они его делают (история с адресными книгами). Короче, не стоит обольщаться, всё еще хуже, чем нам кажется :).
комментариев: 11558 документов: 1036 редакций: 4118
Одновременно с выявлением сервера и снятием снимка. Сначала вычислили всех крупных вендоров и хостера, используя секретные техологии. Потом уже старая добрая оперативная работа, для суда и публики.
комментариев: 11558 документов: 1036 редакций: 4118