14.01 // Как я поймал хулигана использующего сеть Tor
Перед Новым Годом ко мне обратились с просьбой поймать злоумышленника, который сначала терроризировал фирму по электронной почте, отправляя письма похабного содержания через веб-интерфейсы бесплатных почтовиков, а потом начал постить хулиганские комменты в корпоративном блоге в ЖЖ.
Одним из самых распространенных вариантов использования tor является связка Tor, Vidalia, Firefox+Torbutton.
Установив Tor, и внимательно посмотрев на вкладку «Параметры соединения» я заметил, что в настройках по умолчанию не прописывается поле «FTP прокси», т.е. запросы по протоколу FTP браузер отправляет напрямую, а не через прокси-сервер, слушающий на порту 8118 и отправляющий запросы через сеть tor! Это обусловлено скорее всего тем, что tor не поддерживает протокол FTP? Это наблюдалось в последних версиях ПО установленного на ОС MS Windows XP, Vista и Debian, Ubuntu.
Возникла идея подсунуть злоумышленнику ссылочку по протоколу FTP на объект, физически размещенный на ftp-сервере, к логам которого у меня имеется доступ. Для этого в один из постов корпоративного блога была вставлена ссылочка на однопиксельное изображение вида <img ="ftp://<url_к_картинке_на_серве.....сть_доступ_к_логам">.
В тот же вечер был засечен реальный (не Tor) IP-адрес злоумышленника, но радоваться было рано, он был из сети выделенной крупному московскому провайдеру. На следующий день мы имели и корпоративный IP-адрес злоумышленника.
Заказчик попросил получить доказательства авторства писем отправленных злоумышленником. Для этого решили послать ему по электронной почте ссылку на видео по явно интересующей его теме. Естественно запись размещалась на моем ftp-сервере. Тут меня постигла неудача. Хулиганство в блоге очень сократилось, посты хулиганского характера делались редко, не через сеть Tor и из Тайланда. Но в первый же рабочий день видеозапись была скачена с уже известного нам корпоративного IP-адреса.
Источник: http://community.livejournal.com/ru_root/1942338.html
P. S. Ждём таки ссылку с википедии сюда.
Настройки по умолчанию.
В поле «FTP прокси» пусто.
Пишу хулиганский пост.
Жду увидеть свой IP в этой ветке.
Кулибины тут есть?
Если увидим – поржём вместе.
В такое совпадение верится с трудом. Точнее вообще не верится.
Как в задачке по физике — результат наконец верный, но решение таки нет :)
P. S. На пгпру новости по содержимому не фильтруются/проверяются?
комментариев: 88 документов: 13 редакций: 3
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Или ради того, чтобы Википедия в очередной раз закольцевала ссылки с сайтом pgpru.
Так у нас уже есть для этого отдельная ветка.
заточи настройки торбуттона как указано у меня на картинке – и будет тебе счастье.