In che modo l'FBI ha compromesso gli utenti di Tor? [chiuso]

19

Ho letto questo articolo che l'FBI è stato in grado di rompere l'anonimato di Tor.

Da quanto ho sentito e letto, il routing della cipolla rende quasi impossibile la de-anonimizzazione di un utente.

L'ultima volta che ho sentito qualcuno tentare di distruggere Tor era l'NSA e non ci è riuscito, o almeno non l'hanno pubblicizzato pubblicamente (l'articolo aveva 2 o 3 anni e potrebbe non essere più così rilevante).

Qualcuno ha qualche idea su come l'FBI avrebbe potuto farlo?

    
posta Andy K 31.03.2016 - 21:35
fonte

3 risposte

41

L'articolo che colleghi dice che l'FBI ha ottenuto "l'indirizzo MAC" per i computer degli utenti. Gli indirizzi MAC sono specifici per ogni hardware ethernet e non viaggiano oltre il primo hop, il che significa che sono visibili al router di casa, possibilmente quello fornito dall'ISP, ma non oltre. Se quella specifica informazione è vera, allora questo significa che l'FBI ha effettivamente installato un pezzo di malware sul sito e gli utenti l'hanno semplicemente scaricato sul proprio computer.

Dopotutto, l'FBI prima ha sequestrato il sito incriminato e l'ha eseguito, a quel punto avevano il pieno controllo del suo contenuto. Le persone che utilizzano Tor per accedere a un sito di pornografia infantile non sono necessariamente più intelligenti delle persone comuni e intrinsecamente "si fidano" di quel sito, rendendo possibile la diffusione del malware, anche facile.

L'anonimato di Tor si basa sull'idea che i potenziali attaccanti (l'FBI in quel caso) non possono controllare un numero sufficiente di nodi per rendere possibili le correlazioni. Tuttavia, "sufficientemente numerosi" non è un numero così grande; se una delle tue connessioni, anche temporaneamente, passa attraverso un "nodo di entrata" controllato dall'attaccante, e lo stesso attaccante può vedere cosa succede all'uscita (e può, se ospita effettivamente il sito di destinazione), quindi la correlazione è relativamente facile (attraverso la tempistica delle richieste e la dimensione dei pacchetti, perché la crittografia non nasconde le dimensioni). Con il controllo del sito di destinazione, sarebbe addirittura possibile modificare le dimensioni dei singoli pacchetti di risposta per aiutare la correlazione.

Tuttavia, Tor non fa nulla contro il codice ostile inviato all'utente ed eseguito dall'utente, e se l'indirizzo MAC è stato ripristinato, allora tale codice era coinvolto.

    
risposta data 31.03.2016 - 22:02
fonte
29

L'articolo che hai pubblicato afferma come l'hanno fatto. Ma l'autore non sembra essere ben informato sull'argomento e si è perso nell'articolo. Non hanno incrinato Tor e così tanto hanno trovato un modo per raccogliere analisi che non sono passate attraverso la rete di Tor.

Prima l'FBI ha confiscato i server che gestivano l'anello di pornografia infantile su Tor noto come Playpen.

After seizing the computer server running Playpen from a web host in Lenoir, North Carolina, in February 2015, the FBI decided to run the child pornography web site from its own servers in Newington, Virginia, for an additional two weeks between 20 February and 4 March of that year.

Hanno quindi eseguito il sito con un Flash incorporato nella pagina. L'applicazione Flash non è stata ospitata tramite Tor. E collegato tramite mezzi tradizionali come HTTP o socket. Quando stabilisce queste connessioni, bypassa completamente Tor. L'applicazione Flash ha quindi raccolto le informazioni dall'utente. Per quanto riguarda l'ottenimento di un indirizzo MAC, non riesco a verificare le affermazioni. Questo potrebbe essere l'FBI che soffia il fumo o potrebbero sfruttare una vulnerabilità in Flash Player per raggiungere questo obiettivo. A differenza di JavaScript, Flash non è in modalità sandbox e ha il potenziale per raccogliere più informazioni dalla macchina che ha prodotto un numero di CVE piuttosto elevato. L'FBI ha anche utilizzato questo metodo noto come NIT (network investigative technique / toolkit) in passato.

When visitors accessed the website, although their traffic might have been encrypted, a Flash application was secretly installed on the user's computer that quietly sent important data about the user straight to the FBI so that it did not pass through the Tor network at all, according to Motherboard Vice.

    
risposta data 31.03.2016 - 22:35
fonte
5

Nessuno è sicuro a questo punto perché i dettagli non sono stati rilasciati. C'è molto sospetto che questo abbia a che fare con i metodi sviluppati da Carnage Melon alla fine del 2014 e eseguiti a metà 2015.

link

A metà 2015 erano state riscontrate carenze, ma vi sono alcuni punti deboli che sono molto difficili da proteggere (ad esempio, attacchi di analisi del traffico). Non è così facile controllare la maggior parte della rete Tor, quindi non è facile rispondere "qual è l'identità di questo visitatore?", Ma usando questi attacchi è stato facile rispondere "dammi una lista di alcuni degli IP comunicare con questo servizio nascosto ".

link

"It also requires the attacker to have previously collected unique network characteristics that can serve as a fingerprint for that particular service."

La mia comprensione è che la soluzione di luglio 2015 è stata quella di affrontare tali punti deboli.

Tuttavia, Tor è su un terreno instabile, questo talk su Blackhat alla fine del 2014 è stato tirato misteriosamente ... poi le cose sono andate male nel 2015:

"In our analysis, we've discovered that a persistent adversary with a handful of powerful servers and a couple gigabit links can de-anonymize hundreds of thousands Tor clients and thousands of hidden services within a couple of months."

7:26 del dic 2015 "lo stato della cipolla" va in questo:

link

    
risposta data 31.03.2016 - 22:20
fonte

Leggi altre domande sui tag