id: Гость   вход   регистрация
текущее время 18:04 03/08/2020
Владелец: Paran0ik (создано 14/01/2010 20:22), редакция от 14/01/2010 20:22 (автор: Paran0ik) Печать
Категории: софт, анонимность, инфобезопасность, tor, атаки, модель угрозы
https://www.pgpru.com/Новости/2010/КакЯПоймалХулиганаИспользующегоСетьTor
создать
просмотр
редакции
ссылки

14.01 // Как я поймал хулигана использующего сеть Tor

Перед Новым Годом ко мне обратились с просьбой поймать злоумышленника, который сначала терроризировал фирму по электронной почте, отправляя письма похабного содержания через веб-интерфейсы бесплатных почтовиков, а потом начал постить хулиганские комменты в корпоративном блоге в ЖЖ.


Одним из самых распространенных вариантов использования tor является связка Tor, Vidalia, Firefox+Torbutton.


Установив Tor, и внимательно посмотрев на вкладку «Параметры соединения» я заметил, что в настройках по умолчанию не прописывается поле «FTP прокси», т.е. запросы по протоколу FTP браузер отправляет напрямую, а не через прокси-сервер, слушающий на порту 8118 и отправляющий запросы через сеть tor! Это обусловлено скорее всего тем, что tor не поддерживает протокол FTP? Это наблюдалось в последних версиях ПО установленного на ОС MS Windows XP, Vista и Debian, Ubuntu.


Возникла идея подсунуть злоумышленнику ссылочку по протоколу FTP на объект, физически размещенный на ftp-сервере, к логам которого у меня имеется доступ. Для этого в один из постов корпоративного блога была вставлена ссылочка на однопиксельное изображение вида <img ="ftp://<url_к_картинке_на_серве.....сть_доступ_к_логам">.


В тот же вечер был засечен реальный (не Tor) IP-адрес злоумышленника, но радоваться было рано, он был из сети выделенной крупному московскому провайдеру. На следующий день мы имели и корпоративный IP-адрес злоумышленника.


Заказчик попросил получить доказательства авторства писем отправленных злоумышленником. Для этого решили послать ему по электронной почте ссылку на видео по явно интересующей его теме. Естественно запись размещалась на моем ftp-сервере. Тут меня постигла неудача. Хулиганство в блоге очень сократилось, посты хулиганского характера делались редко, не через сеть Tor и из Тайланда. Но в первый же рабочий день видеозапись была скачена с уже известного нам корпоративного IP-адреса.


Источник: http://community.livejournal.com/ru_root/1942338.html


 
На страницу: 1, 2, 3, 4 След.
Комментарии [скрыть комментарии/форму]
— Гость (14/01/2010 21:26)   <#>
Ну всё теперь крыть нечем, работает Луковая метода точно-точно :D
P. S. Ждём таки ссылку с википедии сюда.
— Гость (15/01/2010 00:50)   <#>
Tor-Vidalia-Polipo-Firefox-Torbutton.
Настройки по умолчанию.
В поле «FTP прокси» пусто.
Пишу хулиганский пост.
Жду увидеть свой IP в этой ветке.
Кулибины тут есть?
Если увидим – поржём вместе.
— Жора (15/01/2010 01:30)   <#>
хз помоему лабуда. способов анонимной отправки почты немерено. Столько же способов анонимного заполнения форм.
В такое совпадение верится с трудом. Точнее вообще не верится.
— Гость (15/01/2010 09:11)   <#>
Продолжаем плавать с Лукой:
Как в задачке по физике — результат наконец верный, но решение таки нет :)

P. S. На пгпру новости по содержимому не фильтруются/проверяются?
— Гость (15/01/2010 10:58)   <#>
Проверяется и фильтруется их попадение на главную. Раз попала, значит кто-то этот бред подтвердил.
— Paran0ik (15/01/2010 11:44)   профиль/связь   <#>
комментариев: 88   документов: 13   редакций: 3
Tor давно не юзал, даже связка Firefox+Torbutton щас не стоит, новость выложил как раз ради адекватных комментариев, так что не вижу ничего странного, если новость подтвердили на главную, хоть и бред..
— jackwssp_not_authorized (15/01/2010 11:58)   <#>
Надо разработчикам багрепорт отправить, кто составит?
— SATtva (15/01/2010 12:06)   профиль/связь   <#>
комментариев: 11548   документов: 1036   редакций: 4094
Была подтсверждена на главную именно ради разноса в коментариях.
— unknown (15/01/2010 13:38, исправлен 15/01/2010 13:38)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Или ради того, чтобы Википедия в очередной раз закольцевала ссылки с сайтом pgpru.

— Гость (15/01/2010 13:54)   <#>
Автор сам признёт (по ссылке выше) ограниченность своей методики:
При использовании Torbutton она НЕ ДЕЙСТВУЕТ
— Гость (15/01/2010 13:56)   <#>
новость выложил как раз ради адекватных комментариев

Так у нас уже есть для этого отдельная ветка.
— Гость (16/01/2010 10:22)   <#>
то есть вы хотите сказать что размещение картинки на фтп злонамеренного сайта позволяет ему (сайту) вести мониторинг реальных ip посетителей? Прошу ответить серьезно так как нет возможности самому проверить данную уловку, а анонимность по отношению к злонамеренным сайтам при работе через тор необходима как воздух
— jackwssp_not_authorized (16/01/2010 17:09)   <#>
https://wiki.torproject.org/no.....uter/TorifyHOWTO/FTP
— Гость (16/01/2010 17:55)   <#>
Прошу ответить серьезно
Из анабиоза выходим, уважаемый!, и читаем тред.
— Гость (16/01/2010 18:57, исправлен 16/01/2010 19:01)   <#>

заточи настройки торбуттона как указано у меня на картинке – и будет тебе счастье.

На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3