August 2nd, 2015

Ющук Евгений Леонидович

Лаборатория Касперского: Деанонимизация TOR: где заканчивается анонимность в даркнете

В отличие от традиционных технологий World Wide Web, технологии «луковой маршрутизации» даркнета Tor дают пользователям реальный шанс остаться анонимными. Этим шансом воспользовались многие, но одни сделали это для самозащиты или из любопытства, тогда как другие ощутили ложное чувство безнаказанности и увидели возможность анонимно вести дела – торговать запрещенными товарами, распространять запрещенный контент и т.д. Однако дальнейшие события, например, арест создателя сайта Silk Road, убедительно доказали, что анонимный бизнес на самом деле не такой уж анонимный.

Тем не менее, операции спецслужб, направленные на поимку преступников, которые создавали в Tor сайты для распространения запрещенных товаров, не содержат технических деталей о деанонимизации преступников. Их отсутствие может означать, что реализация даркнета Tor содержит какие-либо уязвимости и недостатки конфигурации, которые позволяют деанонимизировать любого Tor-пользователя. В своем исследовании мы на практических примерах рассмотрим варианты деанонимизации пользователей Tor и сделаем соответствующие выводы.

Как вычисляют пользователей?

История развития даркнета Tor знает много теоретических способов и практических попыток деанонимизации пользователя. Все они условно делятся на две группы: атаки на клиентскую сторону (браузер) и атаки на соединение.

Проблемы браузеров

Из утекших документов NSA можно узнать, что спецслужбы не брезгуют использовать эксплойты к браузеру Firefox, на базе которого построен Tor Browser. Однако использование средств эксплуатации уязвимостей, как пишут в своей же презентации NSA, не позволяет осуществлять постоянную слежку за пользователями даркнета, так как жизненный цикл эксплойтов очень короткий, и существование разных версий браузера (содержащих конкретную уязвимость и не содержащих ее) ставит под удар очень узкий круг пользователей.


Утекшие материалы NSA с обзором различных вариантов деанонимизации пользователей Tor (Источник: www.theguardian.com)



Кроме псевдоофициальных документов Tor-сообщество знает о других, более интересных и хитрых атаках на клиентскую сторону. Так, например, исследователями из Массачусетского Технологического Института было установлено, что Flash создает выделенный канал коммуникации между специальным сервером злоумышленника, который фиксирует реальный IP-адрес клиента, и жертвой, что полностью ее дискредитирует. Однако разработчики Tor Browser оперативно отреагировали на данную проблему, исключив обработчики Flash-контента из своего детища.

Flash как способ узнать настоящий IP-адрес жертвы (Источник: http://web.mit.edu)


Для реализации другого, более свежего способа компрометации браузера используется библиотека WebRTC. Она предназначена для организации канала передачи видеопотока между браузерами с поддержкой HTML5, и по аналогии с вышеописанным Flash ранее позволяла установить реальный IP-адрес жертвы. Так называемые STUN-запросы WebRTC идут в незашифрованном виде в обход Tor со всеми вытекающими последствиями. Однако и это «недоразумение» также было оперативно исправлено разработчиками Tor Browser, который теперь по умолчанию блокирует WebRTC.

Атаки на канал

В отличие от атак на браузер, атаки на канал между Tor-клиентом и сервером внутри или вне даркнета выглядят не так убедительно – большинство концепций, представленных учеными в лабораторных условиях, пока еще не нашли своего PoC «в полях».

Среди множества теоретических работ стоит выделить фундаментальную работу, основанную на анализе трафика с использованием протокола NetFlow. Авторы исследования полагают, что у атакующей стороны есть возможность анализировать NetFlow-записи на маршрутизаторах, которые непосредственно являются узлами Tor или находятся недалеко от них. NetFlow-запись содержит следующую информацию:

Collapse )
Ющук Евгений Леонидович

Книга Левкина И.М., Микадзе С.Ю. «Добывание и обработка информации в деловой разведке»

Елена Ларина: "Главное в разведке – это ... деятельность по поиску, обработке, анализу и синтезу информационных потоков, обеспечивающих принятие эффективных решений и опережающую адаптацию к динамично меняющимся ситуациям и факторам. С каждым годом, по мере усиления волатильности и неустойчивости внешней и внутренней экономической среды значение разведки будет увеличиваться. В этой связи вполне вероятно, что с учетом российских реалий поря все шире использовать словосочетание «деловая разведка». Одной из весьма полезных, как для начинающих, так и для профессионалов работ в этой сфере является книга  Левкина И.М., Микадзе С.Ю. «Добывание и обработка информации в деловой разведке»."