it-swarm.com.de

Wie hat das FBI Tor-Benutzer kompromittiert?

Ich habe in diesem Artikel gelesen, dass das FBI die Anonymität von Tor knacken konnte.

Nach dem, was ich gehört und gelesen habe, macht es das Zwiebel-Routing fast unmöglich, einen Benutzer zu de-anonymisieren.

Das letzte Mal, als ich hörte, dass jemand versuchte, Tor zu knacken, war das NSA und es gelang nicht oder zumindest wurde es nicht öffentlich beworben (Der Artikel war jetzt 2 bis 3 Jahre alt und möglicherweise nicht) das relevant mehr).

Hat jemand irgendwelche Einsichten darüber, wie das FBI es getan haben könnte?

19
Andy K

Der Artikel, den Sie verlinken, besagt, dass das FBI "die MAC-Adresse" für die Benutzercomputer erhalten hat. MAC-Adressen sind für jede Ethernet-Hardware spezifisch und werden nicht über den ersten Hop hinaus übertragen. Dies bedeutet, dass sie für Ihren Heimrouter sichtbar sind, möglicherweise den vom ISP bereitgestellten, jedoch nicht darüber hinaus. Wenn diese bestimmte Information wahr ist, bedeutet dies, dass das FBI tatsächlich eine Malware auf der Website bereitgestellt hat und die Benutzer sie einfach auf ihren Computer übertragen haben.

Immerhin beschlagnahmte das FBI zuerst die beleidigende Website und führte sie aus. Zu diesem Zeitpunkt hatten sie die volle Kontrolle über deren Inhalt. Menschen, die Tor für den Zugriff auf eine Kinderpornografie-Website verwenden, sind nicht unbedingt schlauer als Durchschnittsbürger, und sie würden dieser Website von Natur aus "vertrauen", was die Bereitstellung von Malware möglich und sogar einfach macht.


Die Anonymität von Tor beruht auf der Idee, dass potenzielle Angreifer (in diesem Fall das FBI) ​​nicht genügend Knoten kontrollieren können, um Korrelationen zu ermöglichen. Diese "ausreichend vielen" sind jedoch keine so große Zahl; Wenn eine Ihrer Verbindungen auch nur vorübergehend einen vom Angreifer kontrollierten "Einstiegsknoten" durchläuft und derselbe Angreifer sehen kann, was beim Verlassen passiert (und er kann, wenn er die Zielsite tatsächlich hostet), ist die Korrelation relativ einfach (sowohl durch das Timing der Anforderungen als auch durch die Größe der Pakete, da die Verschlüsselung die Größe nicht verbirgt). Mit der Kontrolle des Zielstandorts wäre es sogar möglich, die Größe einzelner Antwortpakete zu ändern, um die Korrelation zu unterstützen.

Tor unternimmt jedoch nichts gegen feindlichen Code, der an den Benutzer gesendet und vom Benutzer ausgeführt wird, und wenn die MAC-Adresse wiederhergestellt wurde, war dieser Code beteiligt.

42
Thomas Pornin

Der Artikel, den Sie gepostet haben, gibt an, wie sie es gemacht haben. Aber der Autor scheint nicht über das Thema Bescheid zu wissen und es ging im Artikel verloren. Sie haben Tor nicht geknackt und mehr noch einen Weg gefunden, Analysen zu sammeln, die nicht durch Tors Netzwerk gingen.

Zuerst beschlagnahmte das FBI die Server, auf denen der Kinderpornoring auf Tor läuft, der als Laufstall bekannt ist.

Nachdem das FBI im Februar 2015 den Computerserver mit Playpen von einem Webhost in Lenoir, North Carolina, beschlagnahmt hatte, beschloss es, die Website für Kinderpornografie zwischen dem 20. Februar und dem 4. Februar für weitere zwei Wochen von seinen eigenen Servern in Newington, Virginia, aus zu betreiben März dieses Jahres.

Anschließend wurde die Site mit einem auf der Seite eingebetteten Flash ausgeführt. Die Flash-Anwendung wurde nicht über Tor gehostet. Und über herkömmliche Mittel wie HTTP oder Sockets verbunden. Beim Herstellen dieser Verbindungen wird Tor vollständig umgangen. Die Flash-Anwendung sammelte dann die Informationen vom Benutzer. Soweit ich eine MAC-Adresse erhalte, kann ich die Ansprüche nicht überprüfen. Dies könnte entweder das FBI sein, das Rauch bläst, oder sie könnten eine Sicherheitslücke im Flash Player ausnutzen, um dies zu erreichen. Im Gegensatz zu JavaScript ist Flash nicht in einer Sandbox gespeichert und kann möglicherweise mehr Informationen vom Computer sammeln, was zu einigen CVEs geführt hat. Das FBI hat diese Methode in der Vergangenheit auch als NIT (Network Investigative Technication/Toolkit) bezeichnet.

Als Besucher auf die Website zugegriffen haben, wurde, obwohl ihr Datenverkehr möglicherweise verschlüsselt war, heimlich eine Flash-Anwendung auf dem Computer des Benutzers installiert, die wichtige Daten über den Benutzer leise direkt an das FBI sendete, damit sie überhaupt nicht über das Tor-Netzwerk geleitet wurden zum Motherboard Vice.

29
Bacon Brad

Derzeit ist sich niemand sicher, da die Details noch nicht veröffentlicht wurden. Es besteht ein großer Verdacht, dass dies mit Methoden zu tun hat, die Carnage Melon Ende 2014 entwickelt und Mitte 2015 ausgeführt hat.

https://threatpost.com/judge-confirms-dod-funded-research-to-decloak-tor-users/116464/

Mitte 2015 wurden Schwachstellen behoben, aber es gibt einige Schwachstellen, gegen die es sehr schwierig ist, sich zu schützen (z. B. Verkehrsanalyse-Angriffe). Es ist nicht so einfach, den Großteil des Tor-Netzwerks zu kontrollieren, daher ist es nicht einfach zu beantworten: "Was ist die Identität dieses Besuchers?", Aber mit diesen Angriffen war es einfach zu beantworten: "Geben Sie mir eine Liste einiger IPs Kommunikation mit diesem versteckten Dienst ".

http://arstechnica.com/security/2015/08/concerns-new-tor-weakness-is-being-exploited-Prompt-dark-market-shut-down/

"Außerdem muss der Angreifer zuvor eindeutige Netzwerkeigenschaften erfasst haben, die als Fingerabdruck für diesen bestimmten Dienst dienen können."

Nach meinem Verständnis bestand der Fix vom Juli 2015 darin, diese Schwachstellen zu beheben.

Tor ist auf wackeligem Boden, dieses Blackhat-Gespräch Ende 2014 wurde auf mysteriöse Weise geführt ... dann wurde es 2015 verrückt:

https://web.archive.org/web/20140705114447/http://blackhat.com/us-14/briefings.html#you-dont-have-to-be-the-nsa-to- break-tor-deanonymizing-users-on-a-budget

"In unserer Analyse haben wir festgestellt, dass ein hartnäckiger Gegner mit einer Handvoll leistungsstarker Server und ein paar Gigabit-Links innerhalb weniger Monate Hunderttausende Tor-Clients und Tausende versteckter Dienste de-anonymisieren kann."

7:26 vom Dezember 2015 "Zustand der Zwiebel" geht auf einige davon ein:

https://www.youtube.com/watch?v=EXEUE__ap08

5
mgjk