Разоблачение пользователей сети Tor: где заканчивается анонимность в Darknet

  1. Проблемы в веб-браузерах
  2. Атаки на канал связи
  3. Начнем с самого начала
  4. Мы узнаем их по шрифту
  5. Полевые испытания
  6. Возможные практические последствия

В отличие от традиционных веб-технологий, методы луковой маршрутизации, используемые в Darknet, дают пользователям возможность сохранять анонимность. Многие пользователи охотно воспользовались этой возможностью - некоторые сделали это, чтобы защитить себя или из любопытства, в то время как другие предоставили себе иллюзорное чувство безнаказанности и осознали возможность анонимной практики убийственных интересов: торговля запрещенным товаром, распространение незаконного контента и т. Д. Однако события позже, например, арест создателя сайта «Шелковый путь» ясно показал, что такие действия не были такими анонимными, как предполагалось.

Спецслужбы не раскрыли каких-либо технических подробностей о задержании киберпреступников, создавших сайт Tor для распространения нелегальных товаров. Они также не раскрывают, как они идентифицируют киберпреступников, которые действуют анонимно. Это может означать, что реализация Darknet сети Tor содержит несколько уязвимостей и / или ошибок конфигурации, которые позволяют раскрыть информацию каждому из ее пользователей. В этом исследовании мы представим практические примеры, иллюстрирующие, как пользователи Tor могут потерять свою анонимность, и учимся на этих примерах.

История Darknet скрывает множество попыток - как теоретических, так и практических - выявить анонимных пользователей. Все они могут быть разделены на две группы: атаки на стороне клиента (браузер) и атаки на само соединение.

Проблемы в веб-браузерах

Документы, которые утечка из АНБ Предполагают, что спецслужбы не сомневаются в использовании эксплойтов для Firefox, на котором был основан браузер Tor. Однако, как сообщает NSA в своей презентации, использование инструментов для использования уязвимостей не обеспечивает постоянного мониторинга пользователей Darknet. У эксплойтов очень короткий жизненный цикл, поэтому на данный момент существуют разные версии браузера, некоторые из которых содержат определенную уязвимость, а другие - нет. Это позволяет вам контролировать только очень небольшую группу пользователей.

Утечка документов NSA, включая информацию о том, как вы можете раскрыть личность пользователей сети Tor (Источник: www.theguardian.com )

В дополнение к этим псевдо-официальным документам сообщество пользователей Tor также знает о других, более интересных и простых атаках на стороне клиента. Например, исследователи из Массачусетского технологического института установленный тот Flash создает выделенный канал связи со специальным киберпреступным сервером, который фиксирует фактический IP-адрес клиента и полностью дискредитирует жертву. Однако производители браузеров Tor быстро отреагировали на эту проблему, отключив поддержку Flash-контента в своем продукте.

Однако производители браузеров Tor быстро отреагировали на эту проблему, отключив поддержку Flash-контента в своем продукте

Flash как способ определения фактического IP-адреса жертвы (Источник: http://web.mit.edu )

Еще один новый способ взлома веб-браузера реализован с помощью библиотеки WebRTC. Цель этой библиотеки DLL - создать канал потокового видео, поддерживающий HTML5. Аналогично каналу Flash, описанному выше, он позволил определить фактический IP-адрес жертвы. Так называемый. Запросы STUN WebRTC отправляются в виде простого текста, который обходит сеть Tor и любые возможные последствия. Однако этот «недостаток» также был быстро исправлен разработчиками браузера Tor, который теперь по умолчанию блокирует WebRTC.

Атаки на канал связи

В отличие от атак через браузер, атаки на канал между клиентом Tor и сервером, расположенным внутри или вне сети Darknet, кажутся неубедительными. До сих пор большинство концепций были представлены исследователями в лабораторных условиях, и пока не было представлено никакой проверки «свободной» концепции.

Среди этих теоретических работ заслуживает особого упоминания один основной текст - он основан на анализе трафика с использованием протокола NetFlow. Авторы этого обследование Они считают, что злоумышленник может анализировать записи NetFlow на маршрутизаторах, которые являются прямыми узлами сети Tor или расположены рядом с ними. Запись NetFlow содержит следующую информацию:

  • Номер версии протокола;
  • Номер входа;
  • Входной и выходной сетевой интерфейс;
  • Заголовок потока времени и конец потока;
  • Количество байтов и пакетов в потоке;
  • Адрес отправителя и получателя;
  • Порт источника и назначения;
  • Номер протокола IP;
  • Значение типа услуги;
  • Все флаги, наблюдаемые во время TCP-соединений;
  • Адрес ворот;
  • Маски подсети источника и назначения.

Практически все идентифицирует клиента.

Определение идентичности клиента сети Tor на основе анализа трафика
(Источник: https://mice.cs.columbia.edu )

Этот вид анализа трафика требует большого количества точек в сети Tor, если злоумышленник хочет идентифицировать любого пользователя в любое время. По этой причине такое исследование не заинтересует отдельных исследователей, если у них нет огромного пула компьютерных ресурсов. Поэтому мы примем другую тактику и рассмотрим более практичные методы анализа активности пользователя Tor.

Чтобы узнать больше о пользователе Darknet, нам нужно спровоцировать его на раскрытие некоторых данных об окружающей среде. Другими словами, нам нужна активная система сбора данных.

Эксперт с Левиафаном Security обнаруженный большое количество узлов выхода и представлен наглядный пример активной системы мониторинга. Узлы отличались от других выходных узлов, потому что они вводили вредоносный код в свои двоичные файлы. Когда клиент загрузил файл из Интернета, используя сеть Tor для анонимности, вредоносный выходной узел осуществил атаку MITM и поместил вредоносный код в загруженный двоичный файл.

Этот инцидент хорошо иллюстрирует концепцию активной системы мониторинга; в то же время он отлично показывает свою другую сторону: все действия на выходном узле (например, манипулирование перемещением) быстро и легко идентифицируются автоматическими инструментами, и этот узел немедленно заносится в черный список сетевым сообществом Tor.

Начнем с самого начала

HTML5 предоставил нам не только WebRTC, но и интересный тег «canvas», предназначенный для создания изображений - растровое изображение с помощью JavaScript. Этот тег характерным образом обрабатывает изображения: каждый веб-браузер обрабатывает изображения по-разному в зависимости от таких факторов, как:

  • Различные графические драйверы и аппаратные компоненты, установленные на стороне клиента;
  • Различные наборы программного обеспечения в операционной системе и различные конфигурации программного обеспечения.

Параметры обработанных изображений могут однозначно идентифицировать веб-браузер и его программное обеспечение, а также аппаратную среду. На основе этой специальной функции вы можете создать цифровой отпечаток. Этот метод не нов - он используется, например, некоторыми интернет-рекламными агентствами для отслеживания интересов пользователей. Однако не все его методы могут быть реализованы в браузере Tor. Например, супер-плагин нельзя использовать в браузере Tor. Flash и Java отключены по умолчанию, а использование ограниченных шрифтов. Некоторые другие методы отображают уведомления, которые могут предупредить пользователя.

Поэтому наши первые попытки создать отпечаток цифрового холста с помощью функции getImageData (), которая извлекает данные изображения, были заблокированы браузером Tor:

Поэтому наши первые попытки создать отпечаток цифрового холста с помощью функции getImageData (), которая извлекает данные изображения, были заблокированы браузером Tor:

Однако некоторые уязвимости по-прежнему не исправлены, поэтому вы можете создавать цифровые показы в сети Tor, не вызывая уведомлений.

Мы узнаем их по шрифту

Браузер Tor можно определить с помощью функции measureText (), которая измеряет ширину текста, обрабатываемого в теге canvas:

Используйте measureText () для измерения размера шрифта, уникального для операционной системы.

Если ширина шрифта имеет уникальное значение (иногда это число с плавающей запятой), то мы можем идентифицировать браузер, включая браузер Tor. Мы допускаем, что в некоторых случаях значения ширины шрифта могут быть одинаковыми для разных пользователей.

Следует отметить, что это не единственная функция, которая принимает уникальные значения. Другая функция - getBoundingClientRect (), которая может принимать высоту и ширину прямоугольного текстового фрейма.

Когда сообщество узнало о проблеме создания цифровых показов пользователей (это также важно для пользователей браузера Tor), был сделан соответствующий запрос. Однако разработчики браузера Tor не спешат устранять эту ошибку в конфигурации, утверждая, что помещение таких функций в черный список неэффективно.

Однако разработчики браузера Tor не спешат устранять эту ошибку в конфигурации, утверждая, что помещение таких функций в черный список неэффективно

Официальный ответ создателя Tor на проблему обработки шрифтов

Полевые испытания

Этот метод был использован исследователем с псевдонимом «КОЛАНИЧ». Используя обе функции, measureText () и getBoundingClientRect (), он написал скрипт, протестировал его локально в различных браузерах и получил уникальные идентификаторы ,

Используя ту же методологию, мы попытались создать цифровую подпись браузера Tor в различных программных и аппаратных средах.

Чтобы решить эту проблему, мы использовали блог одного из авторов и встроенный JavaScript, который использует функции measureText () и getBoundingClientRect () для измерения шрифтов, обрабатываемых в веб-браузере пользователя, посещающего веб-сайт. Этот скрипт отправляет измеренные значения в запросе POST сетевому серверу, который, в свою очередь, сохраняет этот запрос в журнале.

Фрагмент журнала веб-сервера с видимым цифровым отпечатком движка Tor

За это время мы собрали результаты этого скрипта. По сей день все возвращаемые значения являются уникальными. Мы опубликуем отчет с указанием результатов в назначенное время.

Возможные практические последствия

Как вы можете использовать эту концепцию в режиме реального времени для идентификации пользователей браузера Tor? Описанный выше код JavaScript может быть установлен на несколько объектов, которые участвуют в трафике данных в сети Darknet:

  • Выходной узел. Выполняется атака MITM, во время которой код JavaScript внедряется во все веб-сайты, посещаемые пользователем Darknet во Всемирной паутине.
  • Внутренние луковые ресурсы и внешние сайты контролируются злоумышленниками. Например, злоумышленник запускает «дверь» или веб-сайт, созданный специально для конкретных пользователей, и создает цифровые показы всех посетителей.
  • Внутренние и внешние веб-сайты, которые уязвимы для эксплойтов, использующих межсайтовый скриптинг (XSS).

Внутренние и внешние веб-сайты, которые уязвимы для эксплойтов, использующих межсайтовый скриптинг (XSS)

Объекты, которые могут создать цифровое впечатление от пользователя сети Tor

Последний объект особенно интересен. Мы сканировали около 100 ресурсов лука в поисках уязвимостей (эти ресурсы были в дневниках системы пассивного мониторинга) и отфильтровали «ложные попадания». Мы обнаружили, что около 30% проанализированных ресурсов Darknet подвержены атакам межсайтовых скриптов.

Это означает, что создание фермы выходного узла - не единственный метод, который злоумышленник может использовать для определения личности пользователя. Злоумышленник также может проникнуть на веб-сайты и создать «дверь», разместить там код JavaScript и собрать базу данных уникальных цифровых отпечатков пальцев.

Злоумышленник также может проникнуть на веб-сайты и создать «дверь», разместить там код JavaScript и собрать базу данных уникальных цифровых отпечатков пальцев

Процесс определения личности пользователя сети Tor

Злоумышленники не ограничиваются внедрением кода JavaScript на законные веб-сайты. Есть больше объектов, которые могут быть внедрены с помощью кода JavaScript, что увеличивает количество возможных точек присутствия, в том числе внутри сети Darknet.

Используя этот подход, злоумышленник может теоретически выяснить, какие страницы содержат интересные темы для пользователя с уникальным цифровым отпечатком «c2c91d5b3c4fecd9109afe0e» и на каких страницах пользователь входит в систему. В результате злоумышленник узнает профиль пользователя в сетевом ресурсе и историю серфинга.

На официальном сайте проекта Tor создатели ответили на вопрос «почему браузер Tor не поддерживает JavaScript?»

Официальный ответ разработчиков браузера Tor на вопрос о JavaScript

Ответ заключается в том, что мы не должны ожидать, что создатели отключат JavaScript в браузере Tor.

Похожие

Безлимитные звонки на все сети Orange Orange
... ва дает о себе знать после праздничного предложения 3 ГБ интернет-пакета за 3 злотых"> Мобильная сеть Orange снова дает о себе знать после праздничного предложения 3 ГБ интернет-пакета за 3 злотых. Кстати, жаль, что он устарел. На этот раз оператор по предложению Orange Yes подготовил акцию с безлимитными звонками на все сети. Реклама & NBSP & NBSP & NBSP & NBSP & NBSP & NBSP & NBSP & NBSP & NBSP & NBSP
Черная пятничная распродажа: лучшее предложение MacBook Air, которое мы видели!
Продукт Apple со скидкой - действительно редкое зрелище, но вот, мы его нашли! Взломщик раннего Черная пятница Very.co.uk не только сбил 150 фунтов с розничной цены этого MacBook Air, но и предлагает 10-процентный кредит после покупки. Это означает, что прямо сейчас вы можете получить в свои руки этот 13-дюймовый процессор Intel Core i5, 8 ГБ ОЗУ, 128 ГБ SSD MacBook Air за 720 фунтов - это невероятная экономия
Где брать бесплатные фото и картинки для сайта или блога? 10 сервисов
... мы. Но скопировав их себе - Вы, наверное, нарушите чье авторское право. Что делать, если Вы не хотите вступать в конфликт с авторами? Во-первых, можно приобрести изображение на фотобанках и фотостоках, но будьте готовы платить от нескольких центов
5 настроек для изменения на вашем новом роутере
... их, чтобы убедиться, что они активны. Диапазон 2,4 ГГц более насыщенный, потому что это частота, которую часто используют в вашей домашней электронике, от беспроводной телефоны и детские мониторы для открывания дверей гаража и микроволны , Вы можете столкнуться с сетевыми помехами на частоте 2,4 ГГц, но это позволяет старым устройствам подключаться к вашей сети. Диапазон
Арендный калькулятор
Лизинговый калькулятор позволяет оценить сумму рассрочки за финансирование в операционном или финансовом лизинге. Лизинговый калькулятор дает приблизительные взносы и не является предложением по смыслу Гражданского кодекса. Лизинговый калькулятор на нашем сайте работает очень просто. Все, что вам нужно сделать, это заполнить указанные поля, касающиеся того, сколько стоит выбранный товар. Какой платеж мы можем оплатить и сколько рассрочек мы хотим погасить. Наш лизинговый калькулятор
Как импортировать шаблоны Википедии в свой собственный MediaWiki
... вы наткнулись на этот пост, скорее всего, вы только что установили свой собственный MediaWiki и хотите сделать его красивее. Это вполне понятно, так как установка MediaWiki по умолчанию с начальным набором запуска расширения , модули а также шаблоны Не правда ли: вы можете создавать
Google Reader выключен: попробуйте эти альтернативы RSS-канала
Google объявил в среду, что он закроет свой онлайн читатель RSS. По словам поискового гиганта, он переживает второй год весенней уборки, закрывая такие службы, как Google Reader, и прекращает поддержку таких служб, как приложение Google Voice для BlackBerry и API поиска для покупок. «Мы запустили Google Reader в 2005 году, чтобы люди могли легко находить и отслеживать
... мым большим преимуществом является то, что вы можете использовать эти источники света от стандар...
... мым большим преимуществом является то, что вы можете использовать эти источники света от стандартных источников питания, что было практически невозможно сделать для большинства приборов HMI с френелем большой выходной мощности.
5 вещей, которым мы научились за 24 часа с почти безвредным Vivo Nex
... их) смартфонов, выпущенных в 2018 году. Nex - это новейший флагманский телефон от китайской компании Vivo, и пока компания только объявила о доступности для своего внутреннего рынка. Мы очень надеемся, что оно придет на другие территории по всему миру, но пока ничего не подтверждено. Vivo Nex имеет встроенный сканер отпечатков пальцев, всплывающую селфи-камеру, двойную сенсорную камеру с искусственным интеллектом, 256 ГБ памяти, топовый процессор и многое другое в первоклассном
Польские офисы расследуют хакерскую атаку на Facebook
За недавнюю хакерскую атаку на сайт может быть наложен штраф в размере 1,63 млрд долларов США. В деле также участвует национальный орган по защите данных, который будет работать со своим ирландским коллегой. Пресс-секретарь UEDO Агнешка Свистек-Дру сообщил, что «информация, предоставленная Facebook,
Opera только что добавила блокировщик биткойнов в свой браузер
... водство CXO Узнайте, где лидеры бизнеса потратят свои технические бюджеты в 2019 году и каковы их главные приоритеты. Также получите ценные советы по эффективному использованию ИТ-долларов. Прочитайте больше Норвежский производитель браузеров Opera выпустил бета-версию Opera 50, первого популярного браузера, в который встроен встроенный блокировщик криптовалюты. Эта

Комментарии

Но что делать, если мы хотим перенести данные с одного компьютера на другой?
Но что делать, если мы хотим перенести данные с одного компьютера на другой? Например, когда мы меняем ПК или когда мы хотим иметь одинаковые настройки и данные на нескольких устройствах? Для этого есть простой совет - в Thunderbird есть встроенные инструменты для экспорта данных. В этом руководстве мы покажем вам, как их использовать. Когда дело доходит до передачи загруженных электронных писем, лучше всего настроить учетную запись Thunderbird в дополнение к программе, чтобы хранить
На что мы можем повлиять и на что нам просто не хватает, даже если это касается нас?
На что мы можем повлиять и на что нам просто не хватает, даже если это касается нас? Магда недавно почувствовала, что судьба сговорилась против нее. Лучшие друзья начали сталкиваться друг с другом таким образом, что кровь текла, в школе с каждым днем ​​становилось все гуще из-за Джеймса и его оценки по математике. Теперь даже что-то, что в корне изменит взгляд Магдина на ситуацию в целом, и что заставит ее принять решительное решение ... Что произойдет? Что Магда собирается делать? И что происходит
Или, может быть, не ждать их, вполне возможно, в наиболее распространенных случаях, возвращается?
Или, может быть, не ждать их, вполне возможно, в наиболее распространенных случаях, возвращается? Возможно, польские власти должны взять пример, если не из протестантской Скандинавии, из подозрительного западного обычая, из общества, крещенного в католических храмах ирландского народа? Давайте посмотрим на этот северный огонь. Откуда эта знаменитая ирландская энергия? Ирландия - самая динамично развивающаяся ветроэнергетика
Где ты находишь вдохновение для своих фильмов?
Где ты находишь вдохновение для своих фильмов? Существует очень маленький международный круг художников, занимающихся макро кинематографией. Есть, например, австриец Клеменс Вирт, Томас Бланшар из Франции или берлинский видеохудожник Сьюзи Си. [caption id = "attachment_2625" align = "alignright" width = "385"]
Вам нужны вычислительные мощности для запуска нескольких программ редактирования или ваша главная задача - оставаться на связи с социальными сетями?
Вам нужны вычислительные мощности для запуска нескольких программ редактирования или ваша главная задача - оставаться на связи с социальными сетями? Определение именно того, для чего вам нужен ноутбук, поможет вам выбрать, какой из них лучше всего подходит для ваших путешествий. 3. У вас есть требования к размеру? Вы путешествуете с минимальным количеством места в рюкзаке? Вы приносите сумку с определенными требованиями к размеру? Например, некоторые
И для начала посмотрите, что может сделать ваш текущий монитор - дисплей?
И для начала посмотрите, что может сделать ваш текущий монитор - дисплей? Следующий серый тест должен отображаться в виде градиента от белого до черного, 0-100%, без каких-либо полос, оттенков или других изменений. Если дело обстоит так, идите фотографировать вместо того, чтобы сидеть перед компьютером.
На что мы ориентируемся при выборе мобильной техники?
На что мы ориентируемся при выборе мобильной техники? Аккумулятор? Процессор? Камера? Независимо от того, что является нашим приоритетом, дисплей находится где-то вверху списка. В конце концов, мы будем отображать весь контент на нем. Кроме того, во времена смартфонов это экран, который мы используем для большей части взаимодействия с нашим телефоном или планшетом. Поэтому повреждение этого элемента очень заметно. И уничтожить на данный момент не так уж и сложно. Времена телефонов, которые
Как мы можем рассчитать расстояние параллакса как можно точнее?
Как мы можем рассчитать расстояние параллакса как можно точнее? Во второй статье об измерении расстояний с параллаксом мы будем использовать реальный метод, очень похожий на тот, который используется астрономами и который был адаптирован для использования в классе (см. Предыдущую статью Пессель, 2017 ). Вместо того чтобы использовать приборы для измерения угла (как в предыдущей статье, основанные на измерениях с теодолитом) для вычисления расстояния до «звезды», теперь
Так как мы можем это сделать?
Так как мы можем это сделать? Удаление программ Некоторые надстройки, такие как панели инструментов, часто можно найти в списке программ, установленных в системе. Иногда удаление их из списка автоматически удаляет все связанные компоненты и, таким образом, решает всю проблему. Чтобы получить к нему доступ, в Панели управления перейдите в категорию « Программы» и в разделе « Программы и функции », выбрав сначала соответствующее
Где взять Android-плеер?
Где взять Android-плеер? Вам не нужно загружать или устанавливать программное обеспечение для воспроизведения приложений Android на BlackBerry 10 - это стандартный, базовый и несъемный элемент любого выпуска BlackBerry 10. Это не значит, что мы можем «запустить» этот плеер где-то - у него нет ни своей иконки, ни собственного меню, ни своих опций. Однако он автоматически запускается всякий раз, когда мы запускаем любое приложение, переданное самым простым способом
Где должен быть логотип на сайте, чтобы он был виден пользователям?
Где должен быть логотип на сайте, чтобы он был виден пользователям? Ответы ... Читать дальше Научно-популярный блог

На официальном сайте проекта Tor создатели ответили на вопрос «почему браузер Tor не поддерживает JavaScript?
Что делать, если Вы не хотите вступать в конфликт с авторами?
Но что делать, если мы хотим перенести данные с одного компьютера на другой?
Например, когда мы меняем ПК или когда мы хотим иметь одинаковые настройки и данные на нескольких устройствах?
На что мы можем повлиять и на что нам просто не хватает, даже если это касается нас?
Что произойдет?
Что Магда собирается делать?
Или, может быть, не ждать их, вполне возможно, в наиболее распространенных случаях, возвращается?
Возможно, польские власти должны взять пример, если не из протестантской Скандинавии, из подозрительного западного обычая, из общества, крещенного в католических храмах ирландского народа?
Откуда эта знаменитая ирландская энергия?

Новости

Как сбалансировать юзабилити и дизайн при создании сайта — User House
Красота или уродство в веб-дизайне всегда связаны с восприятием конкретного человека. То, что для одного «красиво», может быть «ужасным» для другого и наоборот. Но как же так получается, что многие популярные

Чем лучше юзабилити сайта – тем больше лояльных клиентов


Знакомство с юзабилити-тестированием сайта. // webknowledge.ru
Перевод статьи:   An Introduction To Website Usability Testing. Автор:   Thomas Churm. При создании нового сайта необходимо учитывать множество факторов. Для того чтобы у посетителей возникло

Специалист по web-usability – боец невидимого фронта
Ярослав Перевалов Что такое usability engineering? Часто ли вы, бродя по Сети, обращаете внимание на то, насколько качественно структурирована информация на сайте и насколько удобно устроена навигация?

Гид по UX исследованиям для начинающих
В индустрии, в основе которой лежит использование людьми наших продуктов, услуг и приложений, исследования просто необходимы. Мы задаем вопросы. Мы делаем пометки. Мы стараемся узнать все, что возможно,

25 советов как улучшить юзабилити (usability) вашего сайта. | Блог об интернет деятельности и трудовых буднях Максима Вячеславовича
Доброго времени суток, дорогие друзья! Сегодня мы поговорим с вами о такой важной вещи как U sability (юзабилити) сайта , о том, как улучшить данный фактор, зная его основные принципы и правила.

Что такое юзабилити и зачем оно нужно
Юзабилити включает простоту, удобство в пользовании, тестирование, проведение аудита проекта. Юзабилити сайтов, интернет-магазинов — это неотъемлимая часть выгодного ведения бизнеса. Задача юзабилити

Юзабилити тестирование сайта турагентства
«Когда информации много и она дешева, дорогим становится внимание». James Gleick Представим сайт, владелец которого считает его достаточно хорошим, удобным и привлекательным. Он размещает рекламные объявления

Юзабилити
Юзабилити (от англ. слова «usability» – практичность, простота использования) – это весьма распространенное ныне понятие объединяет максимальное удобство использования сайта и полезность информации, на

5 шагов для успешного юзабилити-тестирования приложения
Представьте: вы придумали и разработали мобильное приложение с приятным, на ваш взгляд, дизайном, удобным функционалом, полезными опциями, выпустили релиз продукта, но… Несмотря на мощную маркетинговую

Карта