24.09 // ФБР официально признало взлом хостинга скрытых сервисов Tor
Федеральное бюро расследований (ФБР) подтвердило свою причастность к взлому и управлению серверами, обслуживающих анонимную сеть Tor. Соответствующее заявление в суде сделал специальный агент ФБР Брук Донахью (Brooke Donahue), сообщает Wired.
28-летний Эрик Оуэн Маркес (Eric Eoin Marques), проживающий в Дублине предположительный создатель хостинг-компании Freedom Hosting, обвиняется в распространении детской порнографии через сеть Tor.
По словам защитников Маркеса, агенты ФБР еще до его ареста, без судебных санкций, вторглись в дата-центр, где размещались сервера Freedom Hosting, и установили ПО для перехвата данных.
Газета The Irish Independent утверждает, что Маркес еще несколько месяцев назад пытался внести изменения в настройки серверов Freedom Hosting, но не смог этого сделать, поскольку ФБР сменило их пароли.
Сеть Tor позволяет анонимно размещать в Сети веб-сайты и предоставлять пользователям доступ к ним на условиях анонимности. В числе прочих задач она используется для распространения запрещенного контента, например, детской порнографии.
Стоит заметить, что Freedom Hosting, попавший под контроль ФБР – немаловажный хостинг Tor. Через три дня после очередного ареста Маркеса 4 августа 2013 г. в блоге компании Tor Project была опубликована запись о множественных обращениях пользователей о пропаже из сети большого количества адресов скрытых сервисов. В общей сложности из каталога исчезло около половины сайтов, работающих в псевдодомене .onion (являющихся скрытыми сервисами Tor), в том числе и не связанных с нелегальным контентом.
Эксперты проанализировали код установленного на серверах ПО и пришли к выводу, что оно эксплуатирует уязвимость в браузере Firefox 17 ESR, на основе которого собран пакет Tor Browser Bundle. Этот пакет, свободно размещенный на официальном сайте проекта, предназначен для пользователей, которые желают воспользоваться анонимной сетью.
Обратный инжиниринг позволил выяснить, что целью скрытого кода является разоблачение анонимных пользователей: путем передачи уникального MAC-адреса устройства, с которого выполнен вход в интернет, и имя компьютера жертвы в операционной системе Windows.
Эти данные отправлялись на неизвестный сервер в Северной Виргинии, США, для определения IP-адреса пользователя. Удалось найти два адреса, на которые скрытый код отправлял данные, однако с кем они были связаны, установить не удалось – трассировка обрывалась на одном из серверов американской телекоммуникационной компании Verizon.
Причастность ФБР к созданию этого кода была подтверждена официальным представителем впервые. До этого наблюдатели могли лишь догадываться о том, кто является его автором. Было наиболее очевидно, что к этому причастны именно властные структуры, так как предназначением кода было рассекречивание пользователей, а не установка какого-либо бэкдора.
Выступая в суде, спецагент Донахью пояснил, что код был внедрен для поиска соучастников Маркеса.
Недавно внимание к сети Tor было проявлено по той причине, что, как оказалось, ее финансированием на 60% занимается американское правительство. Стоит отметить, что изначально Tor создавалась как военная разработка, и уже затем этот проект приобрел открытый характер.
Источник: http://www.cnews.ru/top/2013/0.....noy_setyu_tor_543194
Прямо там IP адреса и нашли, в логах SR2.
комментариев: 12 документов: 0 редакций: 0
Не жилец.
Сказ о том, как австралийская полиция закрыла скрытый сервис и арестовала его владельца.
комментариев: 511 документов: 2 редакций: 70
Это уже четвёртый крупный арест операторов HS, предыдущие три были не менее интересными:
Все четыре случая объединяет охота за живой системой, причём за исключением случая с Ульбрихтом, в трёх остальных непонятно, как добились такого успеха, потому что ордера публично не выкладывались. Либо это результат беспечности арестованных и нарушения ими техники безопасности (судя по косвенным сведениям, это самая вероятная версия), либо перед арестом за их активностью наблюдали с помощью TEMPEST'а и слежки за трафиком, чтобы узнать нужные пароли на компьютер и/или получить информацию, когда админ залогинен на свой сайт. Правда, судя по тому, что было формально предъявлено в качестве обвинений, во всех случаях далеко не ко всему смогли доказать причастность.
Случай с McCoole интересен тем, что якобы (если не было parallel construction) целиком основан на стилометрии и ни на чём больше. Трудно по краткой новостной выжимке восстановить хронологию событий, но вырисовывается примерно такая картина:
комментариев: 511 документов: 2 редакций: 70
Погуглил итоги. На данный момент:
комментариев: 12 документов: 0 редакций: 0
Tor, ФБР, уголовные расследования, деанон малых законспирированных групп скрывающихся за PGP – об этом и другом по ссылкам:
Первая
Вторая
Третья
Четвёртая
Пятая
Шестая
Survival in an Extremely Adversarial Environment.
комментариев: 12 документов: 0 редакций: 0
dailymail
reuters
nydailynews
Ходят слухи что речь о скрытом сервисе PlayPen в торе.
Про задержание админа ничего неизвестно.
комментариев: 12 документов: 0 редакций: 0
Борьба с экстрадицией продолжается.
комментариев: 450 документов: 10 редакций: 13
Эксплоит на браузер при авторизации юзера? Метод типа как в тексте новости?
комментариев: 12 документов: 0 редакций: 0
Частные хонейпоты на скрытых сервисах
комментариев: 5 документов: 0 редакций: 0
перевод
Эта возможность существует исключительно абсолютно только для спецслубж. Проболтавшись об этой детали, автор выдал себя с головой как агента ФБР. Никакой он не энтузиаст-доброхот, "вдруг" решивший самовольно выявлять педофилов, а потом, ведомый праведным гневом, сдавший все результаты слежки полиции. Не верьте таким "энтузиастам", если они пытаются втянуть вас в какую либо волонтерскую деятельность (например, ловить педофилов) и разводят вас на раскрытие вашей анонимности – ловить будут вас, а не педофилов в погонах и в палате пэров. Спецслужбы прекрасно знают все обо всех педофилах и сами их покрывают, а некоторым из них еще и служат. Да и не бывает у энтузиастов такого сложного программного обеспечения как описано в статье. Если кто то использует прокси, размещенные до или после службы Tor, помимо встроенных (Privoxy и Polipo) – он агент спецслужб. Tor намеренно так спроектирован, что другие прокси с ним несовместимы, чтобы все пользователи были под одним колпаком.
комментариев: 511 документов: 2 редакций: 70
Что мешает пропускать трафик к своей Tor-ноде или скрытому сервису через дополнительный хост (возможно, там была просто дополнительная гостевая ОС в виртуалке)?
Всё это стандартное включая IDS, которые, кстати, здесь иногда обсуждались [1], [2]. Кому интересно — устанавливает, настраивает, ковыряется.
Всегда были совместимы, причём штатно. Если б там было что-то кустарное, SOCKS-клиенты (обычные программы, созданные по стандарту) не смогли бы через Tor работать.
На данный момент уже ни одна из них не является встроенной в TBB.
комментариев: 5 документов: 0 редакций: 0
И как это организовать? Написать свой софт?
Тогда это не прокси с точки зрения внешних узлов, потому что они соединяются с реальной машиной автора, а как там внутри домашней машины обрабатываются пакеты, это важно только для взомщика на другом конце цепочки и для троянов в гостевом софте.
Я говорю про обычные публичные прокси, работающие с клиентами по стандартным протоколам, которых везде как грязи. С такими Tor никогда не работал.
Я не имею ввиду свои прокси, которые ты сам установил на сторонних серверах, с полным доступом к операционке и произвольным запускаемым софтом. Владельцы серверов таких возможностей не предоставляют, тебе придется купить подставную квартиру и поставить там машину, это во-первых. Во-вторых, на машине придется установить прокси умеющий работать с Tor, и не факт что дело ограничится только настройкой конфигурации и тебе не придется писать этот софт самому.
Как тогда понимать вот этот ваш крик отчаяния? Почему за все время работы pgpg.ru никто ни разу не предложил ни одного внятного конфига, позволяющего Тору работать со стандартными прокси?
Представления не имею об SOCKS-стандартах, это сверхсложные, намеренно запутанные и проприетарные вещи, которыми владеют только люди с допуском от спецлужб.
Очевидно, Tor имеет два канала передачи данных:
Первый работает с программами (бразуеры, SOCKS-клиенты) установленными на той же машине по стандартным протоколам, с сетью он не работает.
А второй канал работает с другими узлами Tor по совсем другому протоколу известному только разработчикам Tor, со стандартными прокси этот канал работать отказывается. Кроме приложений Privoxy и Polipo, которые, если я правильно понял, сами определяют какие внешние неТор прокси (из списка заданного разработчиком) использовать для соединения с сетью Tor, либо, если я неправильно понял, они сами и есть такие прокси и прямо на клиентской машине фильтруют/подчищают пакеты данных без использования неТор прокси работающих на сторонних хостах.
Чтобы сделать сторонний прокси работающий с Tor (на входе и выходе), нужен софт, который будет принимать пакеты данных из обычной сети по стандартному прокси-протоколу, и передавать их Tor клиенту на "первый" канал связи тоже по стандартному SOCKS-протоколу. Стандартная конфигурация прокси сервера не предоставляет такой возможности (и тем более не предполагает наличия Tor узла на той же машине), стандартная конфигурация прокси сервера предполагает только подмену IP адреса отправителя. Значит это должен быть прокси-сервер который управляется тобой (чтобы настроить конфигурацию прокси-клиента и установить там же узел Tor), ты должен либо анонимано купить квартиру на подставное имя где будет работать этот сервер, либо удаленно арендовать сервер у постороннего владельца с полным удаленным допуском к машине (но такое хостерами не допускается). Ни один стандартный прокси работать с Tor не может, значит Privoxy и Polipo все-таки их не используют.
Ну так TBB ни с какими прокси не работает и не работал, ни встроенными, ни посторонними.
комментариев: 511 документов: 2 редакций: 70
Достаточно настроить существующий. Каждый админ должен уметь делать такие операции.
Зачем автору публичные прокси? Ему нужно было до и перед своим HS поставить прокси для большего контроля трафика и атак — так? Если это HS, ему даже публичный IP не нужен, можно работать на любой машине за NAT'ом. На другой машине или на той же поднимаем дополнительный proxy-сервер, любой, инструктируем Tor выходить в сеть через него — есть куча штатных опций в torrc под эту задачу. В качестве прокси можно взять что угодно: privoxy, polipo, squid, ssh -D. Поставить прокси до Tor'а тоже нет проблем: скрытый сервис (т.е. сам Tor) перенаправляет трафик на заданный HOST:PORT. Ставим на этом HOST:PORT какую-нибудь privoxy, которая будет перенаправлять весь трафик на веб-сервис. Методов решения проблемы множество. По-большому счёту, проксями можно вообще не пользоваться, в все данные выцеплять снифером сразу с сетевых интерфейсов, через которые идут пакеты. tcpdump умеет это делать, остаётся только их анализировать.
Что такого можно сделать дома, чего нельзя сделать на dedicated server'е, покупаемом у хостера? На дедик можно поставить свою ОС и свой софт. При ручной установке можно за дополнительную плату получить доступ ко всему с самого нуля, включая меню BIOS'а. Это ничем не будет отличаться от установки ОС с личным присутствием.
Что такое «прокси, умеющий работать с Tor»? Tor-нода? Встраивание сторонней прокси в середину Tor-цепочки? Последний вариант, конечно, не поддерживается, но таков дизайн сети. Даже если есть возможность расширить список Tor-узлов личными подконтрольными проксями, которые не будут фигурировать в публичной статистике, я не вижу, что это могло бы дать для данной задачи. Незачем так заморачиваться. Трафик клиентов HS пойдёт к HS-серверу согласно протоколу, а клиенты ничего про левые прокси не знают, поэтому перенаправление через свои узлы может быть только принудительным, но это успешно делается без вставки своих нод в реальную Tor-цепочку (я выше объяснил, как).
Так он вообще о другом. Там обсуждается несовместимость текущего Tor Browser'а с проксями, а не самого Tor'а. Когда вы запускаете HS и делаете маршрутизацию для него с проксями, Tor Browser (форк firefox'а) нигде не фигурирует.
С прокси на входе в Tor-сеть или выходе из неё? Или заставить сам Tor ходить в сеть через прокси, что поддерживается штатно (см. torrc)? Удлиннение цепочки на выходе: способ с polipo [1], способ с privoxy [2]. Удлиннить цепочку на входе (поставить прокси между Tor'ом и программой) — ещё проще, подойдут те же polipo и privoxy (то, что это не работает конкретно с Tor Browser'ом — проблемы последнего). Другие программы и стандартный firefox настраиваются на ура.
Стандарты на SOCKS-проктол, как и на сам Tor, полностью открыты и публичны. Вот, например, станарт на SOCKS5, читайте хоть до посинения. Можете по этому стандарту написать свою реализацию как SOCKS5-сервера, так и клиента (или воспользоваться одной из тысяч существующих, написанных другими).
Разработчики Tor'а любезно делятся спекой на протокол со всеми желающими. Что есть такого в Tor-протоколе, что неизвстно публично?
Для начала, privoxy, polipo и Tor разрабатываются разными людьми. Они друг от друга независимы. Эти прокси никак не завязаны на Tor, у них есть масса применений без всяких Tor'ов. Это реализация прокси-серверов и прокси-клиентов в одном флаконе. Они могут быть подняты вами как локально, так и на удалённой машине (вами или кем-то ещё, кто имеет над ней контроль). Если настройки parent proxy не используются (т.е. трафик с прокси идёт дальше напрямую в сеть или разруливается иными средствами), вы задействуете в них только функционал прокси-сервера. Если используются, то ещё и клиента: прокся является сервером для вас, но прокси-клиентом для той прокси, которая указана в её настройках как parent.
Всё это решаемо. Tor здесь вообще не принципиален. По такой схеме делают стандартную защищиту веб-серверов: ставят между сервером и сетью какой-нибудь прокси, который логирует все обращения. Кстати, ставить прокси до Tor-клиента/ноды нет смысла: трафик шифрован, его не проанализировать, все данные закрыты слоем шифрования. Что оттуда можно выцепить? Там разумно поставить какую-нибудь IDS, которая будет анализировать глобальную статистику. А вот между Tor'ом и сервисом, который за ним находится (HS), можно что-то такое поставить и смотреть, какие (уже расшифрованные) данные передаются, к примеру, веб-серверу. Если вам интересно, ещё есть intercepting proxy и transaprent proxy — приложения могут вообще не видеть их наличия. К примеру, вы соединяетесь со своим ISP напрямую и думаете, что так всё и есть, а реально там стоит intercepting proxy какой-нибудь CISCO и логирует весь трафик, хотя настройки прокси вы нигде не прописывали. privoxy тоже может работать в режиме intercepting proxy.
Что понимается под этой фразой (ввиду сказанного мной выше), остаётся только гадать.
До TBB был обычный firefox. Его рекомендумой настройкой было указание privoxy в качестве HTTP-сервера (и остальных прокси-серверов в настройках) с последюущей настройкой privoxy на перенаправление всего трафика в Tor. Потом firefox оброс плагином torbutton, который убирал лишнюю информацию о браузере. Позже вместо privoxy стали рекомендовать polipo как более легковесную и более производительную (возможно, были тонкости в плане безопасности типа pipelining, но не буду вдаваться в подробности). Параллельно с этим разрабатывался Tor Browser — патченный firefox. Сначала он был опциональным и больше, как мне помнится, делался для удобства, чтоб у юзеров был «one click solution». Потом Tor Browser оброс важными патчами, а всё остальное стало нерекомендуемым. Всё решение вместе — Tor Browser + torbutton + Tor + polipo + Vidalia называлось Tor Browser Bundle (TBB) (или Vidalia всегда шла отдельно?). Пропатченный firefox вроде ещё не сразу переименовали в Tor Browser. В TBB, кажется, долгое время оставался polipo, пока апстримеры не пофиксили firefox так, что его стало возможным использовать с Tor напрямую (Добавка SOCKS5? Уже сам забыл, но здесь всё это обсуждалось.). Я не помню все детали истории, да и нет смысла всё это вспоминать, но утверждение, что TBB не работал с иными прокси, очень далеко от истины.
комментариев: 12 документов: 0 редакций: 0
Ага, по сети уже ордер гуляет.
PW: 8VBCP73iCot2Y3wCHUNtrIhg4w2Ixe
DLkey: 9VrH
Про админа молчок зато сдеанонили пару юзеров из 200 тысяч.
Нет подробностей про NIT, намеренно избегают слов хак и взлом.
NIT – фбровский термин?
Это о том же случае?
комментариев: 300 документов: 33 редакций: 12