id: Гость   вход   регистрация
текущее время 16:35 28/03/2024
Владелец: Paran0ik (создано 14/01/2010 20:22), редакция от 14/01/2010 20:22 (автор: Paran0ik) Печать
Категории: софт, анонимность, инфобезопасность, tor, атаки, модель угрозы
https://www.pgpru.com/Новости/2010/КакЯПоймалХулиганаИспользующегоСетьTor
создать
просмотр
редакции
ссылки

14.01 // Как я поймал хулигана использующего сеть Tor

Перед Новым Годом ко мне обратились с просьбой поймать злоумышленника, который сначала терроризировал фирму по электронной почте, отправляя письма похабного содержания через веб-интерфейсы бесплатных почтовиков, а потом начал постить хулиганские комменты в корпоративном блоге в ЖЖ.


Одним из самых распространенных вариантов использования tor является связка Tor, Vidalia, Firefox+Torbutton.


Установив Tor, и внимательно посмотрев на вкладку «Параметры соединения» я заметил, что в настройках по умолчанию не прописывается поле «FTP прокси», т.е. запросы по протоколу FTP браузер отправляет напрямую, а не через прокси-сервер, слушающий на порту 8118 и отправляющий запросы через сеть tor! Это обусловлено скорее всего тем, что tor не поддерживает протокол FTP? Это наблюдалось в последних версиях ПО установленного на ОС MS Windows XP, Vista и Debian, Ubuntu.


Возникла идея подсунуть злоумышленнику ссылочку по протоколу FTP на объект, физически размещенный на ftp-сервере, к логам которого у меня имеется доступ. Для этого в один из постов корпоративного блога была вставлена ссылочка на однопиксельное изображение вида <img ="ftp://<url_к_картинке_на_серве.....сть_доступ_к_логам">.


В тот же вечер был засечен реальный (не Tor) IP-адрес злоумышленника, но радоваться было рано, он был из сети выделенной крупному московскому провайдеру. На следующий день мы имели и корпоративный IP-адрес злоумышленника.


Заказчик попросил получить доказательства авторства писем отправленных злоумышленником. Для этого решили послать ему по электронной почте ссылку на видео по явно интересующей его теме. Естественно запись размещалась на моем ftp-сервере. Тут меня постигла неудача. Хулиганство в блоге очень сократилось, посты хулиганского характера делались редко, не через сеть Tor и из Тайланда. Но в первый же рабочий день видеозапись была скачена с уже известного нам корпоративного IP-адреса.


Источник: http://community.livejournal.com/ru_root/1942338.html


 
На страницу: 1, 2, 3, 4 След.
Комментарии [скрыть комментарии/форму]
— Гость (30/01/2010 06:49)   <#>
число (152,411) увеличивается
Здесь нечему удивляться: согласно спайлогу (считал в марте 2009го), Linux стоит в среднем на одной из 130 машин, FreeBSD – на одной из 7500 машин, OpenBSD – одна из 170 тысяч, NetBSD – одна из 780 тысяч. Вот такой неанонимный наш оупенсурц :)
— Гость (30/01/2010 08:29)   <#>
Хм, из этой статистики следует, что если взять для оценки общее число компьютеров, подключённых к интернету, около 3х миллиардов, то получается: около 4х тысяч компьютеров в мире с NetBSD (средяя деревушка, где у каждого есть компьютер, если всех собрать вместе), около 18ти тысяч – с OpenBSD (городок небольшой типа райцентра), 400 тысяч – с FreeBSD (крупный город – почти областной центр), и 23 миллиона – с Linux (крупный конгломерат, ну или мск+пригород+мигранты).
— SATtva (30/01/2010 15:54)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Your browser fingerprint appears to be unique among the 152,411 tested so far.

У кого больше?

Втрое меньше даже на Линуксе с выключенным Torbutton.
— Гость (30/01/2010 16:31)   <#>
лучше совпадать с большинством, чем с меньшинством по этому параметру, естественно

Вот именно это я и хочу. Проблема в том, что по мнению https://panopticlick.eff.org моё разрешение экрана в TorВrowser – уникально, то есть я совпадаю даже не с меньшинством, а только с самим собой! И мне хочется понять, этому я причина, или у них глюк?

Пожалуйста, отпишитесь те, у кого TorBrowser и получается неуникальное разрешение (то есть число в таблице на пересечении строки Screen Size and Color Depth и столбца one in x browsers have this value меньше (в разы) общего числа протестировавшихся, которое можно узнать, взглянув на строчку Your browser fingerprint appears to be unique among the nnn,nnn tested so far вверху страницы)
— Гость (30/01/2010 16:34)   <#>
у кого TorBrowser
Ну или хоть какой-нибудь :)
— Гость (30/01/2010 16:58)   <#>
Предлагаю значения параметров из колонки value кодировать цветом и публиковать рядом с ником Гость! ;)
— Гость (31/01/2010 07:45)   <#>
то есть я совпадаю даже не с меньшинством, а только с самим собой! И мне хочется понять, этому я причина, или у них глюк?
Пожалуй, Вы правы... что-то здесь явно не так. Я сделал два скриншота браузера под tb: этот с включённым js, и вот этот – с выключенным. Почему вдруг он выставляет такое странное разрешение – сам объяснить не могу.

Техническая инфа: tb-1.2.4, 2ой ff, глубина цвета 16, разрешение:


Когда появится на днях возможность, отпишусь касаемо теста под ff 3.5 (сейчас его нет под рукой).
— Гость (31/01/2010 13:47)   <#>

Я сделал два скриншота браузера под tb: этот с включённым js, и вот этот – с выключенным.


Зачем было делать без скриптов?


Почему вдруг он выставляет такое странное разрешение – сам объяснить не могу.


Касаемо разрешения экрана, задумка была: все переменные о размерах сравнять, будь то внутренний (пространство доступное целиком для отображения), внешний (с учетом тулбаров скролбаров и что там еще бывает), разрешение всего экрана (техническая информация, однако. странно, что это вообще понадобилось вносить в стандарты, как будто от экрана на 1280 или 1920 что-то зависит при отображении с окном браузера 100x100. сайту оно вроде как и не зачем).

Такая уравниловка конечно вносит свои особенности, когда вместо размера экрана выдает внутренние размеры окна это выглядит просто чудесно, но если размеры экрана не трогать может быть ещё чудеснее (хотя тут надо еще поразмышлять как много бы в таком состоянии утекло бит информации).

После это решают что полученный единый размер, надо бы округлять (x50) и используя полученное значение, менять размеры браузерного окошка (читать доки на тобаттон, почему это важно и почему единый размер — внутренний). Округлили, но распахнутое на максимум окно решили не округлять, потому что в теории (чей?) оно должно быть одинаковое у всех кто распахнул (при одинаковых технических характеристиках экрана), и главное, а где смысл менять размер если пользователь выбрал максимум.

И в этом месте подкрался как всегда неожиданный и запоздалый лис, но не рыжий, а белый и северный. Внутренние размеры окна на самом деле оказывают очень разными (это видно на демо ссылке, высота будет чутка "гулять" у разных пользователей), потому что внутреннее расположение и отображение тулбаров немного, но расстраиваемо (взять хотя-бы скины).

P. S. Вроде как суть событий выразил (IMHO). Но реальность чуть хуже если даже поправить "странное разрешение" с окном на максимуме, но это уже другая тема.
P. P. S Труъ анонимность, нам только снится...

Поэтому вопрос:

Зачем было делать без скриптов?


Риторический. Только без них и работать.
— Гость (31/01/2010 14:17)   <#>
Гость (31/01/2010 13:47), у вас так хорошо объяснять получается, что может быть вы тогда и багрепорт разработчикам напишете?
— unknown (31/01/2010 19:45)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Было бы интересно, если бы они ввели такой же тест со статистикой специально только для тех, кто заходит только через Tor: у них по идее параметры должны быть усреднены больше, вариантов меньше и соответственно количество извлекаемых бит будет меньше, но вот насколько?
— Гость (31/01/2010 23:10)   <#>
у них по идее параметры должны быть усреднены больше

Ну кто нибудь! Ну зайдите туда через TorBrowser и если у вас при этом будет разрешение экрана неуникальное, напишите его тут (всё равно его Sattva знает), я себе буду такое-же хотеть. :)
— SATtva (31/01/2010 23:15)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ничего я не знаю! Что за грязные инсинуации? :)
— Гость (01/02/2010 11:07)   <#>
отпишусь касаемо теста под ff 3.5
Проверил. Результаты те же. Без js профиль 1:1800, а при включённом уникален. Пишите багрепорт...
— skisn (10/02/2010 14:57)   профиль/связь   <#>
комментариев: 1   документов: 0   редакций: 0
Злоумышленник попался не на технологических изысках автора, а на социальной инженерии. В любом случае работа достойна похвалы.
— unknown (10/02/2010 15:32)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Кстати, разработчики отвечали по поводу
защиты Торбатоном от паноптикликовских методик.
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3