FBI znowu namierzyło użytkowników Tora i zlokalizowało serwery

dodał 20 stycznia 2015 o 00:08 w kategorii Prywatność  z tagami:
FBI znowu namierzyło użytkowników Tora i zlokalizowało serwery

Obawy o poziom anonimowości gwarantowanej przez sieć Tor znalazły kolejne uzasadnienie – ujawnione właśnie dokumenty wskazują, że FBI skutecznie namierzyło kilkadziesiąt adresów IP sprzedawców narkotyków z bazaru Silk Road 2.

Po atakach na użytkowników Freedom Hosting oraz ciągle tajemniczym zlokalizowaniu serwerów Silk Road a także kilkudziesięciu innych nielegalnych przedsięwzięć w sieci Tor trafiliśmy właśnie na kolejny przypadek, w którym tożsamość użytkowników Tora została ustalona przez organy ścigania.

Kolejny atak deanonimizujący

Niezawodny badacz czarnych rynków Gwern wykopał sądową dokumentację dotyczącą osoby oskarżonej o sprzedaż narkotyków na bazarze Silk Road 2. Wynika z niej, że FBI bez większych problemów ustaliło adresy IP kilkudziesięciu sprzedawców oferujących swoje produkty na SR2. Jak mogło do tego dojść?

Fragment ujawnionego dokumentu

Fragment ujawnionego dokumentu

Ujawniona dokumentacja nie pozostawia wątpliwości. Według niej od stycznia do lipca 2014 źródło FBI (prawdopodobnie chodzi o agenta działającego pod pseudonimem Cirrus) dostarczyło rzetelnych informacji o adresach IP czterech serwerów składających się na infrastrukturę SR2: sklepu, interfejsu dla sprzedawców, forum oraz interfejsu dla obsługi. Biorąc pod uwagę fakt, że Cirrus od samego początku istnienia SR2 znajdował się w ścisłym gronie administracji, jego dostęp do takich danych nie dziwi. Dużo ciekawszy jest kolejny fragment z którego dowiadujemy się, że dostarczył także informacji o 78 adresach IP używanych przez osoby łączące się z interfejsem dla sprzedawców.

Wyodrębnienie interfejsu dla sprzedających pomogło FBI ograniczyć zakres identyfikowanych użytkowników do dilerów. Adres ten znany był tylko zaufanym sprzedawcom (byli tam zapraszani po osiągnięciu pewnego poziomu sprzedaży) a dodatkowo dostęp do niego wymagał odpowiedniego uwierzytelnienia, dzięki czemu można przyjąć, ze każdy jego użytkownik był celem godnym uwagi FBI. Nie wiemy, ilu sprzedawców miało dostęp do tego adresu, jednak biorąc pod uwagę fakt, że SR2 był jednym z największych marketów, to liczba 78 zdecydowanie nie oznacza, że namierzono wszystkich dilerów.

Istnieje duże prawdopodobieństwo, ze atak na dilerów SR2 mógł być podobny do ataku na użytkowników Freedom Hosting. Gdyby FBI dysponowała narzędziem do całkowitej deanonimizacji Tora, to mogła zidentyfikować zapewne co najmniej kilkuset sprzedawców. Tak ograniczony sukces (78 adresów IP to zapewne jeszcze mniej użytkowników, ponieważ jeden sprzedawca mógł łączyć się z wielu adresów) sugeruje, że na atak podatni byli tylko np. użytkownicy starszej wersji przeglądarki. Agent FBI działający jako Cirrus prawdopodobnie dysponował możliwością umieszczenia złośliwego kodu na serwerze dla sprzedawców lub kod ten został tam umieszczony po namierzeniu adresu IP serwera przez bezpośrednią interwencję w serwerowni. Niestety nie znamy szczegółów ataku – być może poznamy je wkrótce.

Ostatnią ciekawą wiadomością wychwyconą z dokumentów sądowych jest informacja, że zlokalizowanie serwerów SR2 doprowadziło do namierzenia serwerów co najmniej 17 innych marketów. Oznacza to, ze słynna Operacja Onymous nie musiała być wynikiem ataku 0day na siec Tor, a mogła być jedynie skutkiem ubocznym faktu, że większość ukrytych usług w sieci Tor działała w serwerowniach kilku sprzyjających Torowi firm hostingowych. Same ukryte usługi mogły być zidentyfikowane niejako przy okazji namierzania serwerów SR2.

Wnioski

Wszystko wskazuje na to, że FBI przeprowadziło skuteczny atak na część użytkowników, prawdopodobnie wykorzystując podatności po stronie klienta. Jeśli zatem sprzedawaliście na SR2 i nie mieliście aktualnego Tor Browsera, pakujcie szczoteczki.