Skazany za dziecięcą pornografię dowiódł bezpieczeństwa sieci Tor

Bezpieczeństwo sieci Tor jest kwestionowane właściwie od samegojej debiutu, regularnie przedstawiane są też w świecie akademickimteoretyczne metody ataku, które pozwoliłyby zdemaskowaćużytkowników, ujawnić ich realny adres IP. Wyrok wydany w sprawieniejakiego Roya Harvendera, pokazuje, że nawet zinstytucjonalizowaniprzeciwnicy klasy FBI nie są w stanie poradzić sobie z Torem – ijedyne co mogą, to szukać dziur w systemach operacyjnych iprzeglądarkach używanych wraz z cebulowym routerem.

Skazany za dziecięcą pornografię dowiódł bezpieczeństwa sieci Tor

05.05.2017 13:47

Skazany w tym tygodniu na 13 lat więzienia Roy Harvender zostałuznany za winnego oglądania i udostępniania obrazów i filmów zdziecięcą pornografią. Dał się on złapać w efekcie zakrojonejna międzynarodową skalę operacji przeciwko pedofilom –użytkownikom ukrytego w sieci Tor serwisu Website 19, który działałmiędzy 2012 a 2014 rokiem.

Człowiek – najsłabsze ogniwo?

Fizyczna lokalizacja serwisu była skutkiem zwykłej pracypolicyjnej. Jak wyjaśniło FBI w trakcie rozprawy sądowej,nieujawniona z nazwy *zagraniczna jednostka policyjna *aresztowałaczłowieka, który okazał się być najwyraźniej jednym zadministratorów pedofilskiego serwisu. Korzystając z informacjipozyskanych z jego komputera, udało się zlokalizować hostingwykorzystywany przez Website 19, serwer kolokowany był w innymkraju. Tamtejsza policja zajęła go, aresztowała operatora izmusiła go do współpracy. Od tej pory Website 19 działało jako„garnek miodu”, policyjna pułapka, mająca przywabiaćzainteresowanych dziecięcą pornografią.

Nic w tym niezwykłego, jednaktakie pułapki w sieci Tor same w sobie niczego nie dają. Tak jakużytkownicy nie znają adresów IP i lokalizacji serwerów, zktórymi się łączą, tak też administratorzy serwerów nie znająadresów IP i lokalizacji swoich użytkowników. Dlatego też FBI wtakich sytuacjach stara się stosować spyware, oficjalnie określanejako NIT (Network Investigative Technique). Są to najczęściejpliki Flasha (SWF), hostowane na przejętej witrynie, które pouruchomieniu przez wtyczkę Adobe nawiązują odrębne połączeniepoza siecią Tor, bezpośrednio z serwerem FBI. W ten sposób agencjata może pozyskać adres IP użytkownika nielegalnej strony.

A raczej mogło, bo już oddobrych kilku lat wartość tej bazującej na Flashu techniki jestpraktycznie zerowa. Najpopularniejszym ze sposobów korzystania zTora jest dziś pakiet TorBrowser Bundle. Łączy on w sobie klienta Tora, graficznykontroler Vidalia i przeglądarkę Firefox, tak skonfigurowaną, byzminimalizować powierzchnię ataku. Flash Playera tam nieuruchomimy, ataki za pomocą złośliwych plików SWF stają siębezwartościowe.

Lepiej puścić wolno, niż stracić cyberbroń

Dlatego też dla FBI tak cennestały się exploity w samym Firefoksie, które pozwoliłbyprzeprowadzić taki atak identyfikacyjny za pomocą złośliwego koduw JavaScripcie. Taki właśnie atakzostał wykorzystany przeciwko użytkownikom Tor Browser Bundle wzeszłym roku – obchodził połączenie Tora, wysyłając nakontrolowany przez napastnika serwer adres IP i MAC karty sieciowejużywanej przez ofiarę. Exploit co prawda działał tylko naWindowsie, ale podobno pozwolił FBI na namierzenie tysięcyużytkowników nielegalnych serwisów. Mozilla oczywiście jużwykorzystaną lukę załatała.

Wartość takich ataków jest natyle duża, że w tym roku amerykańska prokuratura wolaławycofać wszystkie oskarżenia przeciwko jednemu z podejrzanych okorzystanie z serwisu z dziecięcą pornografią, niż być zmuszonądo ujawnienia przed sądem techniki, która pozwoliła na jegonamierzenie – mimo że nakaz ujawnienia został wydany przezfederalnego sędziego. Uważa się jednak, że w tej sprawie równieżchodzi o tkwiącą w Firefoksie lukę 0-day, której władze ujawnićnie zamierzają.

W sprawie Roya Harvendera takichtajemnic chronić nie trzeba było, tym bardziej, że to nie FBI gonamierzyło, lecz właśnie zagraniczne organy ścigania,kontrolujące serwer Website 19. Opublikowano na łamach serwisu linkdo klipu wideo z dziecięcą pornografią, hostowanego na innymserwisie. Kliknięcie przeniosło użytkownika poza sieć Tora, aotworzenie tam pliku pozwoliło na nawiązanie drugiego połączeniasieciowego z serwerem kontrolowanym przez policję.

Jak to osiągnięto – tego niewiadomo. Być może wystarczyło osadzenie adresu URL w metadanychklipu, z którego coś zostało pobrane podczas odtwarzania, nie jestprzecież tak, że formaty wideo projektowano z myślą obezpieczeństwie sieciowym i szczelności przepływu informacji.

W obronie zawsze silniejsi

Tego typu ataki pokazują, dojakich podstępów muszą uciekać się napastnicy, by zdołaćzdemaskować użytkowników Tora – nie ma tu żadnych bezpośrednichataków na samą sieć anonimizującą. Co więcej, obrona przedtakimi atakami nie jest trudna. Wystarczy całkowicie oddzielić odsiebie warstwę sieciową z Torem od warstwy aplikacyjnej, iaplikacjom dać dostęp do Internetu wyłącznie przez takąwydzieloną warstwę.

Obraz

W ten sposób ataki przeciwkokomunikującym się przez Tora neutralizuje projekt Whonix –oferuje on dwie maszyny wirtualne z Debianem, jedną skonfigurowanąjako bramę sieciową, drugą jako środowisko klienckie.Konfiguracja hiperwizora (QEMU/KVM albo VirtualBox) zapewnia, żewszystko, co zostanie uruchomione w środowisku klienckim, nawetexploity typu NIT, i tak będą łączyły się przez Tora, ponieważżadnej innej sieci nie mają. By wyrwać się z takiej izolacji,napastnik musiałby dysponować działającym exploitem wymierzonym whiperwizora. Nie jest to niemożliwe,ale niewątpliwie daleko trudniejsze niż ataki na dziurawegoprzecież okrutnie Firefoksa. Takie ataki należą raczej do arsenałucyberbroni NSA czy CIA – i nikt nie będzie marnował je na jakieśzwykłe sprawy kryminalne FBI.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (85)