Plonem niedawnej akcji FBI przeciwko serwisom działającym w sieci Tor było wyłączenie kilku dużych sklepów oferujących nielegalne produkty. Efektem ubocznym akcji było jednak wyeliminowanie ponad setki fałszywych stron.
Czy FBI wyświadczyło przysługę użytkownikom sieci Tor? Wygląda na to, że taki efekt mimowolnie osiągnęło, przejmując ponad 150 domen stron, które były klonami oryginalnych serwisów lub ich podróbkami. Co więcej, samo FBI nie odróżnia podróbek od oryginałów. Dokładną analizę sytuacji przeprowadził Nik Cubrilovic.
410, 27 czy 276?
Pierwsze komunikaty FBI oraz amerykańskiego Departamentu Sprawiedliwości zawierały dość niejasny przekaz mówiący o ponad 400 przejętych serwisach w sieci Tor. Wkrótce okazało się, że na szczegółowych listach opublikowanych przez te instytucje znajduje się już tylko 27 serwisów wskazanych z nazwy lub adresu. Gdzie zatem podziało się prawie 400 przejętych domen? Na ich poszukiwanie wybrał się badacz Nik Cubrilovic z pomocą innych analityków ciemnej strony sieci. Jego odkrycia są warte lektury.
Zespół badaczy przeskanował około 9000 znanych adresów ukrytych usług w sieci Tor. Wśród nich znalazł 276 stron, które pokazywały informację o przejęciu serwisu przez organy ścigania. Naukowcy przeprowadzili szczegółową analizę tych 276 adresów, a ich odkrycia są dość zaskakujące.
153 z 276 zidentyfikowanych adresów (a zatem ponad połowa) to adresy podszywające się pod oryginalne strony. Większość z nich to efekt działania tzw. Onion Clonera, czyli ataku prowadzonego co najmniej od maja 2014. Autorzy Onion Clonera tworzyli nowe adresy w sieci Tor i uruchamiali na nich odpowiednie skrypty, które serwowały oryginalną, atakowaną witrynę, lecz podmieniały np. formularz logowania lub adres BTC przesyłany przez oryginalny serwis. Całe klonowanie odbywało się w locie – fałszywe strony nie zawierały kopii oryginałów, a jedynie wyświetlały ją pobierając z oryginalnego serwisu. Wyglądały przy tym jak oryginalne, stąd zapewne zmyliły FBI, które przejęło ich domeny.
Przysługa dla społeczności, ignorancja agentów
Ze 153 stron fałszywych 133 było klonami (nie wszystkie należały do Onion Clonera), a 20 było serwisami ukierunkowanymi na kradzież loginu i hasła użytkowników innych serwisów. Blokując te strony FBI wyświadczyło społeczności Tor ogromną przysługę. Warto także zauważyć, że nie ma wątpliwości co do tego, ze FBI nie było do końca świadome, jakie serwisy przejmuje i które z nich są prawdziwe, a które fałszywe. Świadczy o tym fakt, że z listy 32 serwisów opublikowanej przez Departament Sprawiedliwości 3 to phishing a 9 to klony oryginałów, z kolei z 8 adresów opublikowanych przez FBI 3 były fałszywkami. Niektóre z adresów ogłoszonych jako przejęte przez organy ścigania nie były wcześniej nigdzie opublikowane.
Wśród przejętych serwisów znalazły się także fałszywe wersje marketów, które przetrwały atak a także na przykład fałszywa strona zbierająca datki na cele Jihadu, podczas kiedy witryna oryginalna przetrwała atak. To samo dotyczy chociażby serwisu „Fake ID”, który nadal funkcjonuje, podczas kiedy FBI triumfalnie umieściło go na liście przejętych stron. Ogromną listę przejętych domen i wyniki szczegółowej analizy znajdziecie na stronie Nika.
Co wiadomo o ataku
Nik sugeruje także, że większość przejętych stron była umieszczona na maszynach znajdujących się w konkretnych serwerowniach, których nazwy zamierza wkrótce ujawnić. Może to oznaczać, że organom ścigania udało się namówić właścicieli serwerowni do współpracy polegającej na identyfikacji (przez wzorce ruchu lub chociażby zawartość katalogów użytkowników) istniejących w ich zasobach ukrytych usług Tor. To ciekawa teoria.
Komentarze
Ruch z/do węzłów sieci Tor namierzyć można także po specyficznych pakietach TCP/IP. Na zaawansowanych analizatorach sieciowych i snifferach, ruch Tor-owy jest specyficzny, rozpoznawalny
Niezła beka z tym torem ale najlepiej jest robić smród z wi-fi nielubianego sąsiada. Nie ma to jak widok bagiet pukających do jego drzwi o poranku.
no dobra ziomek, ale następnego dnia sąsiada puszczają, później robią triangulację i tak zamiast dostać jakieś ostrzeżenie od sądu za jakiś włam masz zawiasy albo odsiadkę za włamkę do sąsiada wifi i za to, że na niego zrzucałeś swoją robotę.
jaką niby triangulację?
Musisz przyłożyć ekierkę do anteny routera (dłuższym bokiem) i obracać, następnie sprawdzić wszystko dookoła i gotowe.
Triangulację? Moja antena kierunkowa ma realny zasięg 20 km :)
Służby publiczne nie nadążają za technologią nie tylko w Polsce. Trudny temat dla tych instytucji.
Skąd możesz wiedzieć że nie nadążają? Pracujesz tam?
Zauważ że nie będąc „w środku”, wiemy o nich tyle co podają media, lub co najwyżej mamy informacje które służby skąpo same udostępniają na swoich stronach. Albo tam pracujesz i wiesz. Albo zostaje ci wyobraźnia i pytania „co bym zrobił będąc na ich miejscu?”
Poza tym, nie jest tak że nie mają specjalistów, bo mają, może jest ich niedomiar ale mają. Bardzo zdolnego kolegę z uczelni gdzie studiowałem, jedna ze 3-literowych służb sama zauważyło, sami do niego zadzwonili, choć nie składał do nich podania. Myślę że któryś z wykładowców jest współpracownikiem służb i sam dał im cynk o zdolnym absolwencie, to akurat jest bardzo częsta sytuacja.
Morze takich zdolnych „eliminują” ,tak aby została sama ciemna masa, która da się inwigilować ,manipulować, i ogłupiać, według mnie chodzi o miliardy darmowych niewolników, z których żaden nie wyjdzie przed szereg, nic nie osiągnie, będzie robił to co mu karzą, bo nawet nie będzie miał czasu pomyśleć.
Nie chcę być grammar-nazi, ale Szanowny Przedmówco:
1) „morze” – to naturalny zbiornik wodny, część oceanu, mniej lub bardziej wyraźnie oddzielona od pozostałych jego części brzegami kontynentu, wyspami lub wzniesieniem dna.
2) „może” – to partykuła, np. nadająca wypowiedzi charakter przypuszczenia.
.
Tobie na pewno chodziło o te drugie znaczenie ;)