id: Гость   вход   регистрация
текущее время 11:56 29/03/2024
Владелец: Paran0ik (создано 14/01/2010 20:22), редакция от 14/01/2010 20:22 (автор: Paran0ik) Печать
Категории: софт, анонимность, инфобезопасность, tor, атаки, модель угрозы
https://www.pgpru.com/Новости/2010/КакЯПоймалХулиганаИспользующегоСетьTor
создать
просмотр
редакции
ссылки

14.01 // Как я поймал хулигана использующего сеть Tor

Перед Новым Годом ко мне обратились с просьбой поймать злоумышленника, который сначала терроризировал фирму по электронной почте, отправляя письма похабного содержания через веб-интерфейсы бесплатных почтовиков, а потом начал постить хулиганские комменты в корпоративном блоге в ЖЖ.


Одним из самых распространенных вариантов использования tor является связка Tor, Vidalia, Firefox+Torbutton.


Установив Tor, и внимательно посмотрев на вкладку «Параметры соединения» я заметил, что в настройках по умолчанию не прописывается поле «FTP прокси», т.е. запросы по протоколу FTP браузер отправляет напрямую, а не через прокси-сервер, слушающий на порту 8118 и отправляющий запросы через сеть tor! Это обусловлено скорее всего тем, что tor не поддерживает протокол FTP? Это наблюдалось в последних версиях ПО установленного на ОС MS Windows XP, Vista и Debian, Ubuntu.


Возникла идея подсунуть злоумышленнику ссылочку по протоколу FTP на объект, физически размещенный на ftp-сервере, к логам которого у меня имеется доступ. Для этого в один из постов корпоративного блога была вставлена ссылочка на однопиксельное изображение вида <img ="ftp://<url_к_картинке_на_серве.....сть_доступ_к_логам">.


В тот же вечер был засечен реальный (не Tor) IP-адрес злоумышленника, но радоваться было рано, он был из сети выделенной крупному московскому провайдеру. На следующий день мы имели и корпоративный IP-адрес злоумышленника.


Заказчик попросил получить доказательства авторства писем отправленных злоумышленником. Для этого решили послать ему по электронной почте ссылку на видео по явно интересующей его теме. Естественно запись размещалась на моем ftp-сервере. Тут меня постигла неудача. Хулиганство в блоге очень сократилось, посты хулиганского характера делались редко, не через сеть Tor и из Тайланда. Но в первый же рабочий день видеозапись была скачена с уже известного нам корпоративного IP-адреса.


Источник: http://community.livejournal.com/ru_root/1942338.html


 
На страницу: 1, 2, 3, 4 След.
Комментарии [скрыть комментарии/форму]
— Гость (16/01/2010 21:03)   <#>
забил настройки как показано на картинке – при пустом поле Ftp начинал соединяться с Ftp сервером, а вот после вбития настроек для Ftp-proxy стал выдавать при попытке нажать на тестовую ссылку следущее – 400 Couldn't parse URL The following error occurred while trying to access ftp://93.126.64.150/DesktopPac......10.1_Ubuntu_x86.iso: 400 Couldn't parse URL с одной стороны, уже Ftp -ссылки гасит, а с другой не проходят ваши настройки.
— unknown (16/01/2010 21:41, исправлен 16/01/2010 21:47)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

В скриншоте найден ужасный баг русифицированного торбатона — критическая опечатка в слове "предотвращение"!

— SATtva (16/01/2010 21:45)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Опенсорс во всей красе. хDDD
— sentaus (16/01/2010 21:56)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
[offtop]
И KDE как жил 5 лет назад по "Грегорианскому" календарю, так и живёт :)
[/offtop]
— Гость (16/01/2010 21:59)   <#>
Действительно проще заточиться на картинку чем доказывать, что все явно непроксированные протокола пойдут через указанный сокс:

1. Внятных документов, что это именно так, на сайтах мазиллы вроде как нет (иначе бы это разрешило все споры).

2. Возможно, проще зарубить такой запрос местной проксей (без поддержки фтп протокола), чем смотреть на малоуспешную попытку что-то скачать (если ссылаться через фтп не только на изображения, то это значительно повлияет на время рендеринга и его результат). Впрочем с технической стороны никакой таинственности или блокировки (к примеру торбаттоном), на самом деле не произойдет. Лиса будет пытаться скачать с фтпшного линка через сокс (тор). Но гремучая смесь из сокс протокола в исполнении мазилловцев + пассивный режим фтп с двумя коннектами по разным портам + эксит полиси торовских узлов, и шансы на успех зависят от положения звезд, фазы луны, а также прежних запросов пользователя.


Притом, здесь при обсуждении схожих вопросов, результат сводился к тому, что лучше заполнять ВСЁ. Поэтому следует быть последовательными до конца и вспомнить про обычное для настроек отсуствие прокси для Gopher.
По мере заполнения всего, дополнительно настроить правила межсетевогоэкрана, всё это запихнуть в виртуалку, подключив всё для надежности через маршрутизатор с прозрачной торификацией, где так-же изолировать процесс тора от информационных протечек всеми доступными средствами. Не забыть про побочные излучения, включая видимый спектр монитора, и мозговые волны. Это идеал к которому следует стремиться.
— Гость (16/01/2010 22:33)   <#>
"мозговые волны" они не волны. Техническими средствами не экранируются, только "мозговыми".
— Гость (17/01/2010 12:03)   <#>
вот когда торбуттона небыло, то при настройке в браузере явно указывалось, что в целях безопасности лучше зарезать ftp соединения на корню указав в браузере левый порт и localhost. Тогда просто соединения не будет и всё.
— Greignar (19/01/2010 02:45)   <#>
Заголовок сильно отдает желтизной.

Там все понятно – "злоумышленнику" послали письмо с ftp ссылкой, он по ней кликнул и ip был зафиксирован. Такого рода трюки еще использовались в то время, когда ТОРа и в помине не было.
— unknown (20/01/2010 10:33, исправлен 20/01/2010 10:48)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Разработчики Torbutton предусмотрели защиту от огромного числа способов, которые могут пробивать анонимность, ознакомиться с ними всеми можно здесь.


Например, браузер может отдавать в сеть значение текущего размера окна, разрешение экрана десктопа, размер шрифта, какие включены элементы оформления и др., что по подсчётам разработчика даёт примерно 29-битовый идентификатор пользователя только на основе текущего разрешения и оформления — это не пробивая айпишник сам по себе, не задействуя никаких плагинов и куки. Расписаны и прочие ужасы зияющих дыр анонимности (в плане профилирования пользователя) — такие как доступ JS к таймерам и событиям, "crazy combinations of iframes, nested iframes, iframes in frames, frames in iframes" и т.д.


Без использование torbutton браузер фактически неанонимен (а с его использованием появляется робкая надежда на анонимность) в сети Tor (и вообще в сети), более того дырки в анонимности браузера не считаются дырками в безопасности (а то и наоборот — продвинутыми фичами), поэтому никто из разработчиков самого браузера их фиксить не будет.


Так что случаи целенаправленной поимки (пусть и не такими устаревшими и примитивными методами) возможны.

— Гость (28/01/2010 15:38)   <#>

Например, браузер может отдавать в сеть значение текущего размера окна, разрешение экрана десктопа, размер шрифта, какие включены элементы оформления и др., что по подсчётам разработчика даёт примерно 29-битовый идентификатор пользователя только на основе текущего разрешения и оформления — это не пробивая айпишник сам по себе, не задействуя никаких плагинов и куки.


Демонстрация от EFF на эту тему. Объясняют математически, получаемый результат (общий смысл тот-же что в документации к торбаттону). Далее и по ссылкам ещё много разной и интересной информации.
— Гость (28/01/2010 18:36)   <#>
wwwДемонстрация от EFF
Если у кого-нибудь в FireFox при этом получается неуникальное разрешение экрана, напишите пожалуйста, какое (и как).
— Гость (29/01/2010 01:29)   <#>
Если у кого-нибудь в FireFox при этом получается неуникальное разрешение экрана

Оно у всех будет уникальное, по теории вероятности. Неуникальным оно может быть только в одном случае – если совпадает у всех людей на планете, в противном случае хоть чуть информации о, да добавит к общей базе.

Your browser fingerprint appears to be unique among the 152,411 tested so far.
Currently, we estimate that your browser has a fingerprint that conveys at least 17.2 bits of identifying information.

У кого больше? Мне кажется, что это число – общее число кликов за нужный период. Если перепроверяюсь через несколько секунд, число (152,411) увеличивается. Значит база ещё не насыщена юзер-агентами. Спасибо за ссылку, очень интересно.
— Гость (29/01/2010 11:17)   <#>

Оно у всех будет уникальное, по теории вероятности. Неуникальным оно может быть только в одном случае – если совпадает у всех людей на планете, в противном случае хоть чуть информации о, да добавит к общей базе.


Это верно. У тех кто не использует торбаттон, вообще никаких шансов при снятии в отпечатки размера экрана, кроме выключенных скриптов.

Торбаттон уменьшает число возможных вариантов до 144 (путем округления показателей высоты и ширины до числа кратного 50). Хотя полученные варианты не будут распределены равномерно на всех, но при условии что большая часть пользователей тора вероятно использует торбаттон, это очень хороший вариант. Идеальным было бы "врать" какое-то общее разрешение, но тогда возникнут проблемы с отображением (если сайт реально использует эти данные, а не снимает отпечатки с посетитетелей), и в целом с позиции расширения в котором находится торбаттон может не сработать.

В демонстрационной базе пока не так много отпечатков, что-бы все 144 варианта размеров окон(до которых уменьшает торбаттон) были бы там запомнены. Поэтому на общем фоне посетителей из интернетов, округленный размер окна может быть распознан как unique.
— Гость (30/01/2010 03:36)   <#>
Вот я запускаю TorBrowser "из коробки", почему у меня разрешение экрана уникальное? Монитор стандартный, 1280х1024. Есть ли тут кто, у кого получается не уникальное разрешение?
— Гость (30/01/2010 06:21)   <#>
Вот я запускаю TorBrowser "из коробки", почему у меня разрешение экрана уникальное? Монитор стандартный, 1280х1024

Есть ещё ноутбуки и прочие (менее стандартные) мониторы. Даже факт того, что вы используете стандартный монитор, отличает вас на среднем фоне, т.к. не у всех он таков (но лучше совпадать с большинством, чем с меньшинством по этому параметру, естественно).
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3