07.08.2013 | 23:52

Adam Haertle

Pogłoski o udziale NSA w ataku na Tora są mocno przesadzone

Nie milkną echa niedawnego ataku na użytkowników sieci Tor. Wczoraj najpierw w sieci pojawiła się informacja, że użyty w ataku adres IP należy do rządowego zleceniobiorcy, a następnie zasugerowano, że jest przypisany do NSA. Prawda okazała się inna.

Analiza opisywanego przez nas ataku na użytkowników sieci Tor i wykorzystanych w nim narzędzi ujawniła, że złośliwy plik JavaScript pobierany był z adresu IP 65.222.202.53, a następnie przesyłał dane użytkownika na adres 65.222.202.54. Wiele osób zaczęło szukać powiązań tych adresów IP z amerykańskimi organami ścigania – i niektórym wydało się, że je znaleźli.

Informacje tak sensacyjne, że aż nieprawdziwe

Pierwszą sensacyjną informację wypuściła nieznana nam wcześniej organizacja Baneki Privacy Labs. Poinformowała ona, że według jej informacji, klasa adresowa, do której należą adresy IP biorące udział w ataku, należy do firmy SAIC, współpracującej z amerykańskimi organami ścigania. Krótko potem forum Cryptocloud zrzuciło kolejną bombę – ich zdaniem adresy te należały do NSA. Wątek został bezkrytycznie szybko podchwycony przez wielu internautów – w końcu wszyscy spodziewali się takiej właśnie odpowiedzi, więc bez żadnej weryfikacji uznali ją za wiarygodną. Na szczęście znalazły się serwisy, które te informacje zweryfikowały. Spójrzmy zatem, jakie błędy w analizie adresów IP doprowadziły do błędnych wniosków.

Skąd się wziął SAIC

Zacznijmy od teorii prowadzącej do zleceniobiorcy amerykańskich organów ścigania, firmy SAIC. Źródłem informacji, które prawdopodobnie sprowadziło Baneki Privacy Labs na manowce, był raport serwisu Domaintools.

Fragment raportu Domaintools

Fragment raportu Domaintools

Widzimy tam jak na dłoni, że adres IP 65.222.202.53 (a nawet klasa 65.222.202.X) należy do Science Applications Int, czyli SAIC. Kiedy jednak sprawdzimy te dane u źródła, czyli w usłudze WHOIS sieci ARIN, zobaczymy inną odpowiedź.

NetRange    65.222.202.0 - 65.222.202.15
CIDR    65.222.202.0/28
Name    UU-65-222-202-D4
Handle    NET-65-222-202-0-1
Customer    SCIENCE APPLICATIONS INT (C01446299)

Okazuje się, że firmie SAIC przydzielono jedynie pierwsze 16 adresów IP z klasy C. Z uwagi na brak informacji o przypisaniu adresów .53 i .54 serwis Domaintools automatycznie przypisał je posiadaczowi pierwszych 16 adresów – co nie znajduje pokrycia w danych źródłowych.

Skąd się wzięło NSA

O ile błąd Baneki można jeszcze jakoś zrozumieć, to przypisanie tych adresów NSA jest bardziej kuriozalne. Tym razem „specjaliści” z forum Cryptocloud zobaczyli dane, publikowane przez serwis Robtex.

Dane z serwisu robtex.com

Dane z serwisu robtex.com

Jeżeli na jednym ekranie zobaczymy nsa.gov (tabelka po lewej) oraz klasę adresową 65.192.0.0/11, obejmującą 2 miliony adresów IP, w tym również 65.222.202.53 i .54 (prawy górny róg), to teorię spiskową mamy gotową. Niestety, w tym wypadku ta klasa adresowa znajduje się w kolumnie „Route” i oznacza, że adresy te obsługiwane są przez firmę Verizon. Jest to jeden z większych amerykańskich dostawców sieci, który dostarcza usługi zarówno NSA, jak i organizacji, stojącej za atakami na użytkowników sieci Tor. Nie oznacza to jednak, że NSA miała z tymi atakami coś wspólnego.

Kto zatem używa 65.222.202.53 i .54

Dostępne publicznie informacje nie zawierają takich danych – adresy te nie zostały przypisane konkretnej organizacji, znajdują się w dyspozycji firmy Verizon. W ich okolicy znajdują się adresy przypisane zleceniobiorcom rządowym i organizacjom rządowym, jednak nie jest to zaskoczeniem, ponieważ większość z nich jest fizycznie zlokalizowana blisko Waszyngtonu.

Wnioski

Forum Cryptocloud przyznało się częściowo do błędu (twierdząc jednak, że dane w systemie Robtex zostały podmienione w ciągu kilku godzin od ukazania się ich artykułu, bo to niemożliwe, żeby popełnili tak podstawowy błąd w interpretacji danych…). Najwyraźniej jednak prawda jest taka, że choć wszyscy chcieli znaleźć dowód popierający powszechne przekonanie, że za atakiem stoi NSA/CIA/FBI, to chyba nie należało się spodziewać, że organizacje te będą takie głupie, by zostawiać tak wyraźne ślady. Prędzej czy później akta sprawy związanej z aresztowaniem założyciela Freedom Hosting zostaną ujawnione, a wtedy poznamy prawdziwy przebieg wydarzeń. Tymczasem polecamy związany z tematem komiks xkcd – najbardziej podejrzany plik wszechświata.

xkcd

Powrót

Komentarze

  • 2013.08.08 07:12 Eri

    XKCD jest na licencji CC, to fakt, ale z nią też zalinkować by wypadało, żeby nie powiedzieć dobitniej.

    Odpowiedz
    • 2013.08.08 11:48 Adam

      Jak można to ująć dobitniej? Atrybucja – jest. Użytek niekomercyjny – jest. To co jest nie tak?

      Odpowiedz
      • 2013.08.08 12:25 Cysioland

        Właśnie lepiej, że nie hotlinkujecie, bo mu transferu przynajmniej nie zjadacie :)

        Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Pogłoski o udziale NSA w ataku na Tora są mocno przesadzone

Komentarze