id: Гость   вход   регистрация
текущее время 00:28 29/03/2024
Владелец: okdan (создано 24/09/2013 15:26), редакция от 25/09/2013 09:45 (автор: SATtva) Печать
Категории: софт, анонимность, политика, tor, уязвимости, спецслужбы, firefox
https://www.pgpru.com/Новости/2013/ФБРОфициальноПризналасьВКонтролеНадАнонимнойСетьюTor
создать
просмотр
редакции
ссылки

24.09 // ФБР официально признало взлом хостинга скрытых сервисов Tor


Федеральное бюро расследований (ФБР) подтвердило свою причастность к взлому и управлению серверами, обслуживающих анонимную сеть Tor. Соответствующее заявление в суде сделал специальный агент ФБР Брук Донахью (Brooke Donahue), сообщает Wired.


28-летний Эрик Оуэн Маркес (Eric Eoin Marques), проживающий в Дублине предположительный создатель хостинг-компании Freedom Hosting, обвиняется в распространении детской порнографии через сеть Tor.


По словам защитников Маркеса, агенты ФБР еще до его ареста, без судебных санкций, вторглись в дата-центр, где размещались сервера Freedom Hosting, и установили ПО для перехвата данных.


Газета The Irish Independent утверждает, что Маркес еще несколько месяцев назад пытался внести изменения в настройки серверов Freedom Hosting, но не смог этого сделать, поскольку ФБР сменило их пароли.


Сеть Tor позволяет анонимно размещать в Сети веб-сайты и предоставлять пользователям доступ к ним на условиях анонимности. В числе прочих задач она используется для распространения запрещенного контента, например, детской порнографии.


Стоит заметить, что Freedom Hosting, попавший под контроль ФБР – немаловажный хостинг Tor. Через три дня после очередного ареста Маркеса 4 августа 2013 г. в блоге компании Tor Project была опубликована запись о множественных обращениях пользователей о пропаже из сети большого количества адресов скрытых сервисов. В общей сложности из каталога исчезло около половины сайтов, работающих в псевдодомене .onion (являющихся скрытыми сервисами Tor), в том числе и не связанных с нелегальным контентом.


Эксперты проанализировали код установленного на серверах ПО и пришли к выводу, что оно эксплуатирует уязвимость в браузере Firefox 17 ESR, на основе которого собран пакет Tor Browser Bundle. Этот пакет, свободно размещенный на официальном сайте проекта, предназначен для пользователей, которые желают воспользоваться анонимной сетью.


Обратный инжиниринг позволил выяснить, что целью скрытого кода является разоблачение анонимных пользователей: путем передачи уникального MAC-адреса устройства, с которого выполнен вход в интернет, и имя компьютера жертвы в операционной системе Windows.


Эти данные отправлялись на неизвестный сервер в Северной Виргинии, США, для определения IP-адреса пользователя. Удалось найти два адреса, на которые скрытый код отправлял данные, однако с кем они были связаны, установить не удалось – трассировка обрывалась на одном из серверов американской телекоммуникационной компании Verizon.


Причастность ФБР к созданию этого кода была подтверждена официальным представителем впервые. До этого наблюдатели могли лишь догадываться о том, кто является его автором. Было наиболее очевидно, что к этому причастны именно властные структуры, так как предназначением кода было рассекречивание пользователей, а не установка какого-либо бэкдора.


Выступая в суде, спецагент Донахью пояснил, что код был внедрен для поиска соучастников Маркеса.


Недавно внимание к сети Tor было проявлено по той причине, что, как оказалось, ее финансированием на 60% занимается американское правительство. Стоит отметить, что изначально Tor создавалась как военная разработка, и уже затем этот проект приобрел открытый характер.


Источник: http://www.cnews.ru/top/2013/0.....noy_setyu_tor_543194


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10 След.
Комментарии [скрыть комментарии/форму]
— Гость (17/01/2015 14:09)   <#>
Надерганные цитаты, раскрывающие возможности ФБР (ресурс 18+)
Investigators said they began to suspect the couple after discovering an Internet Protocol address was accessing the Silk Road 2.0 site

they told me they had my IP address accessing SR2 in july of 2014

Прямо там IP адреса и нашли, в логах SR2.
— аноон (26/05/2015 20:40, исправлен 26/05/2015 20:42)   профиль/связь   <#>
комментариев: 12   документов: 0   редакций: 0
т.е. вангуете, что TLZ тоже уже не жилец :(

Не жилец.
Сказ о том, как австралийская полиция закрыла скрытый сервис и арестовала его владельца.

— pgprubot (27/05/2015 01:54, исправлен 27/05/2015 02:12)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

For years, Australian and international police had known a mystery Australian man was running the forum but had been frustratingly unable to identify him.

However the needle-in-a-haystack breakthrough came when Argos victim identification manager Paul Griffiths last year noticed the head administrator habitually used an unusual greeting in online communications.

Scouring the web for other instances of this greeting, Griffiths zeroed in on McCoole, who had been chatting on unrelated, innocuous internet forums. Not only did McCoole use similar language, but the handles he went by were startlingly similar to the one used by the administrator on the abuse site.

police immediately coordinated a raid on McCoole’s home in Adelaide. His computer was logged on to the site with his username visible

Over the next six months, the detectives secretly ran the site from Brisbane’s police HQ while feeding information to international law enforcement colleagues to take down the network’s top echelon.

One of the officers who took over McCoole’s identity said the fraught task stretched police to their limits.

After one key arrest of a co-administrator in the Netherlands, Argos was able to move the computer server hosting the site to Brisbane – giving them full access to every private message and exchange between members.

Это уже четвёртый крупный арест операторов HS, предыдущие три были не менее интересными:


Арест произвели таким образом, что Ульбрихт не успел закрыть крышку, это заблокировало бы компьютер. Так был получен доступ к жёсткому диску компьютера Ужасного Пирата Робертса, на котором среди прочих файлов были логи переписки, личный дневник (зачем вообще вести дневник с описаниями незаконной деятельности?), электронные таблицы и, что наиболее важно, приватные ключи шифрования.

Upon seeing agents, <...> immediately closed the laptop computer, which locked the computer. Agents were able to determine the password and unlock the computer. Among other things, a web browser window was open and connected to "Bulletin Board A". McGrath had been browsing a "Bulletin Board A" page titled <...> while logged in as Administrator. Agents also noticed that the laptop computer was directly connected to the computer server with the IP address <...>.

Marques allegedly dove for his laptop when the police raided him, in an effort to shut it down.

Все четыре случая объединяет охота за живой системой, причём за исключением случая с Ульбрихтом, в трёх остальных непонятно, как добились такого успеха, потому что ордера публично не выкладывались. Либо это результат беспечности арестованных и нарушения ими техники безопасности (судя по косвенным сведениям, это самая вероятная версия), либо перед арестом за их активностью наблюдали с помощью TEMPEST'а и слежки за трафиком, чтобы узнать нужные пароли на компьютер и/или получить информацию, когда админ залогинен на свой сайт. Правда, судя по тому, что было формально предъявлено в качестве обвинений, во всех случаях далеко не ко всему смогли доказать причастность.


Случай с McCoole интересен тем, что якобы (если не было parallel construction) целиком основан на стилометрии и ни на чём больше. Трудно по краткой новостной выжимке восстановить хронологию событий, но вырисовывается примерно такая картина:


Отправная точка, зацепка — специфическое приветствие McCoole, а также его нахождение в Австралии (то ли это выяснили по специфике его английского, то ли он этого и не скрывал). Он использовал это приветствие как на своём, так и на обычных форумах, но на последних он не скрывал или плохо скрывал свою личность. Зная личность, полиция решила проверить, что про него известно IRL. Опросили тех, с кем он имел контакт, и выудили нужные признания потерпевших. Этого было достаточно, чтоб его посадить, но недостаточно, чтоб предъявить обвинение в администрировании HS.

Тут помог арест соадминистратора HS, после чего полиция перенесла HS на собственный сервер и месяцами читала все сообщения на форуме, включая приватные. Сопоставление стиля постов администратора на своём форуме и на других публичных говорило о том, что это один и тот же человек, но для официальных обвинений нужны были прямые, а не косвенные доказательства. Чтобы получить прямые, сделали обыск в его доме, где задокументировали, что он был залогинен на веб-сайт (видимо, тот, где он был админ) под своим аккаунтом. Как был сделан этот последний шаг с no-knock warrant — самое интересное — история умалчивает.
— pgprubot (30/05/2015 10:35, исправлен 30/05/2015 10:37)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Погуглил итоги. На данный момент:


  • Ульбрихт вчера был приговорён к пожизненному:

    On Friday Ulbricht was sentenced to life in prison <...> Judge Katherine Forrest gave Ulbricht the most severe sentence possible, beyond what even the prosecution had explicitly requested. The minimum Ulbricht could have served was 20 years.

  • McGrath получил 20 лет:

    Aaron McGrath, was sentenced to 20 years in prison last year.

  • Marques настаивал на том, чтобы его не экстрадировали и судили в Ирландии. В этом месяце верховный суд Ирландии должен был поставить точку в том, будет он экстрадирован или нет. Однако, как я понял, пока он только признал у Маркеса синдром Аспергера, а сторона обвинения ещё раз заявила, что предъявлять ему обвинения в Ирландии не собираются. По-видимому, экстрадиции в США ему не избежать, а там ему грозит пожизненное, как и Ульбрихту:

    The court heard that if convicted Mr Marques faces spending the remainder of his natural life in prison as the four charges could result in a sentence totalling 100 years.
— аноон (05/07/2015 23:57, исправлен 06/07/2015 00:16)   профиль/связь   <#>
комментариев: 12   документов: 0   редакций: 0

Tor, ФБР, уголовные расследования, деанон малых законспирированных групп скрывающихся за PGP – об этом и другом по ссылкам:


Первая
Вторая
Третья
fileЧетвёртая
fileПятая
Шестая


Survival in an Extremely Adversarial Environment.

— аноон (12/07/2015 01:15)   профиль/связь   <#>
комментариев: 12   документов: 0   редакций: 0
The FBI seized a website's server in February which had about 214,898 members.

the FBI seized the website's North Carolina server on February 20 but allowed it to remain operating for about two weeks while authorities investigated its users. According the search warrant describing the website's activities, it operated on a network designed to facilitate anonymous communication over the Internet that protected users' privacy.

Before shutting down 'Website A,' as court documents call it, on March 4, the FBI obtained a search warrant from a judge in Virginia that authorized it to use a technique that would cause a computer to send it data anytime a user logged on. The FBI cited the data obtained during the probe of Website A in seeking a search warrant in June for a Brooklyn apartment where a man resided with the same IP address as one of the website's users. The Brooklyn man has not been charged. An FBI spokeswoman declined to comment, saying the agency does not discuss 'ongoing investigations.'

Schreiber, a former math teacher at William Cullen Bryant High School, was among the 214,898 members of the website, which is only available to sickos who are aware of its existence and IP address, court papers state.

Schreiber was logged on to the website for 194 hours between September 2014 and March 2015. He was released on $100,000 bail and ordered to stay home with electronic monitoring. “Have a nice day,” Schreiber responded to a reporter outside Brooklyn Federal Court. More arrests are expected in the coming weeks in the next stage of the investigation. A Brooklyn man has also been identified as a user of the secret website and charges against him are pending.

dailymail
reuters
nydailynews

Ходят слухи что речь о скрытом сервисе PlayPen в торе.
Про задержание админа ничего неизвестно.
— аноон (17/07/2015 18:03)   профиль/связь   <#>
комментариев: 12   документов: 0   редакций: 0
Новость:

Mr McGrath said that the computer, the court previously heard was seized, could not be analysed as Mr Marques had refused to give his password to the gardai.

Борьба с экстрадицией продолжается.
— Гость_ (29/07/2015 00:24)   профиль/связь   <#>
комментариев: 450   документов: 10   редакций: 13
that authorized it to use a technique that would cause a computer to send it data anytime a user logged on.

Эксплоит на браузер при авторизации юзера? Метод типа как в тексте новости?

Эксперты проанализировали код установленного на серверах ПО и пришли к выводу, что оно эксплуатирует уязвимость в браузере Firefox 17 ESR, на основе которого собран пакет Tor Browser Bundle.

Обратный инжиниринг позволил выяснить, что целью скрытого кода является разоблачение анонимных пользователей: путем передачи уникального MAC-адреса устройства, с которого выполнен вход в интернет, и имя компьютера жертвы в операционной системе Windows.

Эти данные отправлялись на неизвестный сервер в Северной Виргинии, США, для определения IP-адреса пользователя.

— аноон (30/07/2015 20:19)   профиль/связь   <#>
комментариев: 12   документов: 0   редакций: 0
The hidden service websites posed as new hidden service sites that were in the process of "coming online". There was no direct mention of illegal content but it was strongly hinted that what they sought lie behind the curtain.

Using suggestive site names and promoting a sense of secrecy was all it took to convince users that the content that was locked away behind the authentication system was what they were seeking. Thus, users were encouraged to register in order to see what lie behind the authorization system.

At first, only login data and network packet captures were used to deduce the user's identity. Later, link traps were introduced before finally introducing a "security scanner" as a requirement to gain the highest level of membership. Of course, in order to validate the client's machine was secure, the security scanner took a snapshot of their personal computer system (-1 point for choosing to run the security scanner in the first place).

Admittedly, after introducing the security scanner, traffic patterns changed. Scans on the server dropped and some of the users who opted to run the software appeared to be government or private researchers. Most visitors were reluctant to run the security scanner but for those that did, their anonymity completely dropped. Around 4-7% of the daily registered users chose to run the scanner and thus, stepped outside of the Tor network and revealed their true identity.

The sites required an email address be used as the username. The reason for this requirement was not disclosed to the visitor leaving them to wonder if an email verification link was going to be used to validate their registration. Out of hundreds of registrations, only a single user complained about having to use their email address to register.

Given the sense of trust within the community, and the site's emphasis on "community", "friendship", and high level of security, a surprising number of people freely provided their Clearnet email addresses as their username. The number of legit email addresses was astounding and in many cases, the registered users attempted to communicate with me through these email addresses (despite the fact that one of the conditions that I clearly stated throughout the websites were that I would never communicate with them via email). Note: in order to avoid communication via email, the honeypot sites contained internal messaging systems in order to record a record of all conversations – see details below.

On the other hand, a significant number of people provided anonymous email accounts and some obviously made up an email address just to get through the username validation.

No validation requirements were placed on the password field leaving the user to pretty much enter whatever they wanted. Thus, in many cases the passwords were quite disturbing and often suggestive (see samples at end of article). It was obvious that many used legit passwords, likely the same password they would use on other websites. Still, quite a few seemed to use "throwaway" passwords hinting that the user intended to review the site quickly and then move on or change their password to a more permanent password once they were convinced the site was legit.

During each of the last five days, about 4-7 percent of the daily registered users opted to run the security scan leaking their real name and true external IP address. Had I been the FBI, they would have been caught.

Stepping on the toes of legal authorities or impeding ongoing investigations should always be a concern for honeypot operators. On two different occasions I contacted legal authorities about the project and offered to provide full sets of data that had been collected. The first contact was before the hidden services went online (at which time I reported a few sites that the Dark Web spider had uncovered), the second contact a few days before the hidden services were shut down (at which time I notified them that I was about to take the Dark Web honeypot offline with the intent to hand over the VM and/or data collected during the project if they were interested).

Частные хонейпоты на скрытых сервисах
— lizergin (01/08/2015 00:16)   профиль/связь   <#>
комментариев: 5   документов: 0   редакций: 0
Выдежка из Частные хонейпоты на скрытых сервисах
"For the honeypot machine, I used proxy services placed both before and after the Tor service (in the network chain) in order to provide additional security (for the hidden service website)

перевод
Для приманки машины, я использовал прокси-сервер, размещенные до и после службы Tor (в цепи сети) для того, чтобы обеспечить дополнительную безопасность (для скрытой сайте службы)

Эта возможность существует исключительно абсолютно только для спецслубж. Проболтавшись об этой детали, автор выдал себя с головой как агента ФБР. Никакой он не энтузиаст-доброхот, "вдруг" решивший самовольно выявлять педофилов, а потом, ведомый праведным гневом, сдавший все результаты слежки полиции. Не верьте таким "энтузиастам", если они пытаются втянуть вас в какую либо волонтерскую деятельность (например, ловить педофилов) и разводят вас на раскрытие вашей анонимности – ловить будут вас, а не педофилов в погонах и в палате пэров. Спецслужбы прекрасно знают все обо всех педофилах и сами их покрывают, а некоторым из них еще и служат. Да и не бывает у энтузиастов такого сложного программного обеспечения как описано в статье. Если кто то использует прокси, размещенные до или после службы Tor, помимо встроенных (Privoxy и Polipo) – он агент спецслужб. Tor намеренно так спроектирован, что другие прокси с ним несовместимы, чтобы все пользователи были под одним колпаком.
— pgprubot (01/08/2015 00:30, исправлен 01/08/2015 00:32)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Что мешает пропускать трафик к своей Tor-ноде или скрытому сервису через дополнительный хост (возможно, там была просто дополнительная гостевая ОС в виртуалке)?



Всё это стандартное включая IDS, которые, кстати, здесь иногда обсуждались [1], [2]. Кому интересно — устанавливает, настраивает, ковыряется.



Всегда были совместимы, причём штатно. Если б там было что-то кустарное, SOCKS-клиенты (обычные программы, созданные по стандарту) не смогли бы через Tor работать.



На данный момент уже ни одна из них не является встроенной в TBB.

— lizergin (01/08/2015 21:41, исправлен 01/08/2015 21:48)   профиль/связь   <#>
комментариев: 5   документов: 0   редакций: 0

И как это организовать? Написать свой софт?



Тогда это не прокси с точки зрения внешних узлов, потому что они соединяются с реальной машиной автора, а как там внутри домашней машины обрабатываются пакеты, это важно только для взомщика на другом конце цепочки и для троянов в гостевом софте.


Я говорю про обычные публичные прокси, работающие с клиентами по стандартным протоколам, которых везде как грязи. С такими Tor никогда не работал.
Я не имею ввиду свои прокси, которые ты сам установил на сторонних серверах, с полным доступом к операционке и произвольным запускаемым софтом. Владельцы серверов таких возможностей не предоставляют, тебе придется купить подставную квартиру и поставить там машину, это во-первых. Во-вторых, на машине придется установить прокси умеющий работать с Tor, и не факт что дело ограничится только настройкой конфигурации и тебе не придется писать этот софт самому.



Как тогда понимать вот этот ваш крик отчаяния? Почему за все время работы pgpg.ru никто ни разу не предложил ни одного внятного конфига, позволяющего Тору работать со стандартными прокси?



Представления не имею об SOCKS-стандартах, это сверхсложные, намеренно запутанные и проприетарные вещи, которыми владеют только люди с допуском от спецлужб.
Очевидно, Tor имеет два канала передачи данных:
Первый работает с программами (бразуеры, SOCKS-клиенты) установленными на той же машине по стандартным протоколам, с сетью он не работает.
А второй канал работает с другими узлами Tor по совсем другому протоколу известному только разработчикам Tor, со стандартными прокси этот канал работать отказывается. Кроме приложений Privoxy и Polipo, которые, если я правильно понял, сами определяют какие внешние неТор прокси (из списка заданного разработчиком) использовать для соединения с сетью Tor, либо, если я неправильно понял, они сами и есть такие прокси и прямо на клиентской машине фильтруют/подчищают пакеты данных без использования неТор прокси работающих на сторонних хостах.


Чтобы сделать сторонний прокси работающий с Tor (на входе и выходе), нужен софт, который будет принимать пакеты данных из обычной сети по стандартному прокси-протоколу, и передавать их Tor клиенту на "первый" канал связи тоже по стандартному SOCKS-протоколу. Стандартная конфигурация прокси сервера не предоставляет такой возможности (и тем более не предполагает наличия Tor узла на той же машине), стандартная конфигурация прокси сервера предполагает только подмену IP адреса отправителя. Значит это должен быть прокси-сервер который управляется тобой (чтобы настроить конфигурацию прокси-клиента и установить там же узел Tor), ты должен либо анонимано купить квартиру на подставное имя где будет работать этот сервер, либо удаленно арендовать сервер у постороннего владельца с полным удаленным допуском к машине (но такое хостерами не допускается). Ни один стандартный прокси работать с Tor не может, значит Privoxy и Polipo все-таки их не используют.



Ну так TBB ни с какими прокси не работает и не работал, ни встроенными, ни посторонними.

— pgprubot (02/08/2015 09:30, исправлен 02/08/2015 09:40)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Достаточно настроить существующий. Каждый админ должен уметь делать такие операции.



Зачем автору публичные прокси? Ему нужно было до и перед своим HS поставить прокси для большего контроля трафика и атак — так? Если это HS, ему даже публичный IP не нужен, можно работать на любой машине за NAT'ом. На другой машине или на той же поднимаем дополнительный proxy-сервер, любой, инструктируем Tor выходить в сеть через него — есть куча штатных опций в torrc под эту задачу. В качестве прокси можно взять что угодно: privoxy, polipo, squid, ssh -D. Поставить прокси до Tor'а тоже нет проблем: скрытый сервис (т.е. сам Tor) перенаправляет трафик на заданный HOST:PORT. Ставим на этом HOST:PORT какую-нибудь privoxy, которая будет перенаправлять весь трафик на веб-сервис. Методов решения проблемы множество. По-большому счёту, проксями можно вообще не пользоваться, в все данные выцеплять снифером сразу с сетевых интерфейсов, через которые идут пакеты. tcpdump умеет это делать, остаётся только их анализировать.



Что такого можно сделать дома, чего нельзя сделать на dedicated server'е, покупаемом у хостера? На дедик можно поставить свою ОС и свой софт. При ручной установке можно за дополнительную плату получить доступ ко всему с самого нуля, включая меню BIOS'а. Это ничем не будет отличаться от установки ОС с личным присутствием.



Что такое «прокси, умеющий работать с Tor»? Tor-нода? Встраивание сторонней прокси в середину Tor-цепочки? Последний вариант, конечно, не поддерживается, но таков дизайн сети. Даже если есть возможность расширить список Tor-узлов личными подконтрольными проксями, которые не будут фигурировать в публичной статистике, я не вижу, что это могло бы дать для данной задачи. Незачем так заморачиваться. Трафик клиентов HS пойдёт к HS-серверу согласно протоколу, а клиенты ничего про левые прокси не знают, поэтому перенаправление через свои узлы может быть только принудительным, но это успешно делается без вставки своих нод в реальную Tor-цепочку (я выше объяснил, как).



Так он вообще о другом. Там обсуждается несовместимость текущего Tor Browser'а с проксями, а не самого Tor'а. Когда вы запускаете HS и делаете маршрутизацию для него с проксями, Tor Browser (форк firefox'а) нигде не фигурирует.



С прокси на входе в Tor-сеть или выходе из неё? Или заставить сам Tor ходить в сеть через прокси, что поддерживается штатно (см. torrc)? Удлиннение цепочки на выходе: способ с polipo [1], способ с privoxy [2]. Удлиннить цепочку на входе (поставить прокси между Tor'ом и программой) — ещё проще, подойдут те же polipo и privoxy (то, что это не работает конкретно с Tor Browser'ом — проблемы последнего). Другие программы и стандартный firefox настраиваются на ура.



Стандарты на SOCKS-проктол, как и на сам Tor, полностью открыты и публичны. Вот, например, станарт на SOCKS5, читайте хоть до посинения. Можете по этому стандарту написать свою реализацию как SOCKS5-сервера, так и клиента (или воспользоваться одной из тысяч существующих, написанных другими).



Разработчики Tor'а любезно делятся спекой на протокол со всеми желающими. Что есть такого в Tor-протоколе, что неизвстно публично?



Для начала, privoxy, polipo и Tor разрабатываются разными людьми. Они друг от друга независимы. Эти прокси никак не завязаны на Tor, у них есть масса применений без всяких Tor'ов. Это реализация прокси-серверов и прокси-клиентов в одном флаконе. Они могут быть подняты вами как локально, так и на удалённой машине (вами или кем-то ещё, кто имеет над ней контроль). Если настройки parent proxy не используются (т.е. трафик с прокси идёт дальше напрямую в сеть или разруливается иными средствами), вы задействуете в них только функционал прокси-сервера. Если используются, то ещё и клиента: прокся является сервером для вас, но прокси-клиентом для той прокси, которая указана в её настройках как parent.



Всё это решаемо. Tor здесь вообще не принципиален. По такой схеме делают стандартную защищиту веб-серверов: ставят между сервером и сетью какой-нибудь прокси, который логирует все обращения. Кстати, ставить прокси до Tor-клиента/ноды нет смысла: трафик шифрован, его не проанализировать, все данные закрыты слоем шифрования. Что оттуда можно выцепить? Там разумно поставить какую-нибудь IDS, которая будет анализировать глобальную статистику. А вот между Tor'ом и сервисом, который за ним находится (HS), можно что-то такое поставить и смотреть, какие (уже расшифрованные) данные передаются, к примеру, веб-серверу. Если вам интересно, ещё есть intercepting proxy и transaprent proxy — приложения могут вообще не видеть их наличия. К примеру, вы соединяетесь со своим ISP напрямую и думаете, что так всё и есть, а реально там стоит intercepting proxy какой-нибудь CISCO и логирует весь трафик, хотя настройки прокси вы нигде не прописывали. privoxy тоже может работать в режиме intercepting proxy.



Что понимается под этой фразой (ввиду сказанного мной выше), остаётся только гадать.



До TBB был обычный firefox. Его рекомендумой настройкой было указание privoxy в качестве HTTP-сервера (и остальных прокси-серверов в настройках) с последюущей настройкой privoxy на перенаправление всего трафика в Tor. Потом firefox оброс плагином torbutton, который убирал лишнюю информацию о браузере. Позже вместо privoxy стали рекомендовать polipo как более легковесную и более производительную (возможно, были тонкости в плане безопасности типа pipelining, но не буду вдаваться в подробности). Параллельно с этим разрабатывался Tor Browser — патченный firefox. Сначала он был опциональным и больше, как мне помнится, делался для удобства, чтоб у юзеров был «one click solution». Потом Tor Browser оброс важными патчами, а всё остальное стало нерекомендуемым. Всё решение вместе — Tor Browser + torbutton + Tor + polipo + Vidalia называлось Tor Browser Bundle (TBB) (или Vidalia всегда шла отдельно?). Пропатченный firefox вроде ещё не сразу переименовали в Tor Browser. В TBB, кажется, долгое время оставался polipo, пока апстримеры не пофиксили firefox так, что его стало возможным использовать с Tor напрямую (Добавка SOCKS5? Уже сам забыл, но здесь всё это обсуждалось.). Я не помню все детали истории, да и нет смысла всё это вспоминать, но утверждение, что TBB не работал с иными прокси, очень далеко от истины.

— аноон (02/08/2015 14:23)   профиль/связь   <#>
комментариев: 12   документов: 0   редакций: 0
Эксплоит на браузер при авторизации юзера? Метод типа как в тексте новости?

Ага, по сети уже ордер гуляет.
PW: 8VBCP73iCot2Y3wCHUNtrIhg4w2Ixe
DLkey: 9VrH

22. Pursuant to that authorization, on or about and between February 20, 2015, and March 4, 2015, each time any user or administrator logged into Website A by entering a username and password, the FBI was authorized to deploy the NIT which would send one or more communications to the user's computer. Those communications were designed to cause the receiving computer to deliver to a computer known to or controlled by the government data that would help identify the computer, its location, other information about the computer, and the user of the computer accessing Website A. That data included: the computer's actual IP address, and the date and time that the NIT determined what that IP address was; a unique identifier generated by the NIT (e.g., a series of numbers, letters, and/or special characters) to distinguish the data from that of other computers; the type of operating system running on the computer, including type (e.g., Windows), version (e.g., Windows 7), and architecture (e.g., x86); information about whether the NIT had already been delivered to the computer; the computer's Host Name; the computer's active operating system username; and the computer's MAC address.

27. During the following additional sessions, the user "xxxxxxxxx" also browsed Website A after logging into Website A with a username and password. During these sessions, the user's IP address information was not collected.

Про админа молчок зато сдеанонили пару юзеров из 200 тысяч.
Нет подробностей про NIT, намеренно избегают слов хак и взлом.
NIT – фбровский термин?

The researchers were able to determine that if a TOR browser accessing the FBI controlled website had proper up-to-date controls configured the NIT would not be able to reveal the true IP address of the users. On the other side, if users were using the current version of the TOR browser their true IP would not be revealed. The investigators believe that the NIT provided a repeatable and reliable process of identifying true IP addresses.

Это о том же случае?
— cypherpunks (05/08/2015 07:43)   профиль/связь   <#>
комментариев: 300   документов: 33   редакций: 12
из скрытосети:
I noticed on tee<censored>.onion that police provides fake downloads containing exe's to bust us. I dedided to go ahead and decompile the source code of one exe (http://mrfile.me/uk512op1lgek – WARNING VIRUS) and have uploaded the biggest part of the code here: http://pastebin.com/Xnjgs21W. See for yourself what the police collects from your machine.

I identified the following:
– Records IP Address (outside TOR)
– Takes screenshots
– Records audio/video
– Extracts Firefox/Chrome browser profile information
– Records Windows current username
– Scans through image files (jpg, jpeg, bmp, gif, png)
– Uses GUIDs (Globally Unique Identifiers) (not analyzed for what yet; probably to fingerprint your machine)
– Uses sockets for connection
– Encryption/decryption routines (not analyzed for what yet)
– Identification of OS in use
– User AppData access (not analyzed for what yet)
– Loads external assemblies using Assembly.Load() function
– Dummy AVI file (making up 99% of file size) attached to inflate/fake filesize of trojan to make you think it is video (still to investigate if the AVI file is actually encrypted and does something)
– Malware writes autostart entry to registry (disguised entry "Windows Services Host" under "HKCU\Software\Microsoft\Windows\CurrentVersion\Run"; links to executable c:\users\YOURNAME\Documents\sTemp\scvhost.exe

There is really a lot the trojan collects, so this list might not be complete. I couln't be bothered to look deeper into this as of now. I will update this thread accordingly when required.

На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3