FBI przejęło podróbki i klony stron w sieci Tor zamiast ich oryginalnych wersji

dodał 17 listopada 2014 o 20:39 w kategorii Krypto, Prywatność, Wpadki  z tagami:
FBI przejęło podróbki i klony stron w sieci Tor zamiast ich oryginalnych wersji

Plonem niedawnej akcji FBI przeciwko serwisom działającym w sieci Tor było wyłączenie kilku dużych sklepów oferujących nielegalne produkty. Efektem ubocznym akcji było jednak wyeliminowanie ponad setki fałszywych stron.

Czy FBI wyświadczyło przysługę użytkownikom sieci Tor? Wygląda na to, że taki efekt mimowolnie osiągnęło, przejmując ponad 150 domen stron, które były klonami oryginalnych serwisów lub ich podróbkami. Co więcej, samo FBI nie odróżnia podróbek od oryginałów. Dokładną analizę sytuacji przeprowadził Nik Cubrilovic.

410, 27 czy 276?

Pierwsze komunikaty FBI oraz amerykańskiego Departamentu Sprawiedliwości zawierały dość niejasny przekaz mówiący o ponad 400 przejętych serwisach w sieci Tor. Wkrótce okazało się, że na szczegółowych listach opublikowanych przez te instytucje znajduje się już tylko 27 serwisów wskazanych z nazwy lub adresu. Gdzie zatem podziało się prawie 400 przejętych domen? Na ich poszukiwanie wybrał się badacz Nik Cubrilovic z pomocą innych analityków ciemnej strony sieci. Jego odkrycia są warte lektury.

Zespół badaczy przeskanował około 9000 znanych adresów ukrytych usług w sieci Tor. Wśród nich znalazł 276 stron, które pokazywały informację o przejęciu serwisu przez organy ścigania. Naukowcy przeprowadzili szczegółową analizę tych 276 adresów, a ich odkrycia są dość zaskakujące.

153 z 276 zidentyfikowanych adresów (a zatem ponad połowa) to adresy podszywające się pod oryginalne strony. Większość z nich to efekt działania tzw. Onion Clonera, czyli ataku prowadzonego co najmniej od maja 2014. Autorzy Onion Clonera tworzyli nowe adresy w sieci Tor i uruchamiali na nich odpowiednie skrypty, które serwowały oryginalną, atakowaną witrynę, lecz podmieniały np. formularz logowania lub adres BTC przesyłany przez oryginalny serwis. Całe klonowanie odbywało się w locie – fałszywe strony nie zawierały kopii oryginałów, a jedynie wyświetlały ją pobierając z oryginalnego serwisu. Wyglądały przy tym jak oryginalne, stąd zapewne zmyliły FBI, które przejęło ich domeny.

Przysługa dla społeczności, ignorancja agentów

Ze 153 stron fałszywych 133 było klonami (nie wszystkie należały do Onion Clonera), a 20 było serwisami ukierunkowanymi na kradzież loginu i hasła użytkowników innych serwisów. Blokując te strony FBI wyświadczyło społeczności Tor ogromną przysługę. Warto także zauważyć, że nie ma wątpliwości co do tego, ze FBI nie było do końca świadome, jakie serwisy przejmuje i które z nich są prawdziwe, a które fałszywe. Świadczy o tym fakt, że z listy 32 serwisów opublikowanej przez Departament Sprawiedliwości 3 to phishing a 9 to klony oryginałów, z kolei z 8 adresów opublikowanych przez FBI 3 były fałszywkami. Niektóre z adresów ogłoszonych jako przejęte przez organy ścigania nie były wcześniej nigdzie opublikowane.

Wśród przejętych serwisów znalazły się także fałszywe wersje marketów, które przetrwały atak a także na przykład fałszywa strona zbierająca datki na cele Jihadu, podczas kiedy witryna oryginalna przetrwała atak. To samo dotyczy chociażby serwisu „Fake ID”, który nadal funkcjonuje, podczas kiedy FBI triumfalnie umieściło go na liście przejętych stron. Ogromną listę przejętych domen i wyniki szczegółowej analizy znajdziecie na stronie Nika.

Strona, której klona przejęło FBI

Strona, której klona przejęło FBI

Co wiadomo o ataku

Nik sugeruje także, że większość przejętych stron była umieszczona na maszynach znajdujących się w konkretnych serwerowniach, których nazwy zamierza wkrótce ujawnić. Może to oznaczać, że organom ścigania udało się namówić właścicieli serwerowni do współpracy polegającej na identyfikacji (przez wzorce ruchu lub chociażby zawartość katalogów użytkowników) istniejących w ich zasobach ukrytych usług Tor. To ciekawa teoria.