Разоблачение пользователей сети Tor: где заканчивается анонимность в Darknet

1. Проблемы в веб-браузерах
2. Атаки на канал связи
3. Начнем с самого начала
4. Мы узнаем их по шрифту
5. Полевые испытания
6. Возможные практические последствия

В отличие от традиционных веб-технологий, методы луковой маршрутизации, используемые в Darknet, дают пользователям возможность сохранять анонимность. Многие пользователи охотно воспользовались этой возможностью - некоторые сделали это, чтобы защитить себя или из любопытства, в то время как другие предоставили себе иллюзорное чувство безнаказанности и осознали возможность анонимной практики убийственных интересов: торговля запрещенным товаром, распространение незаконного контента и т. Д. Однако события позже, например, арест создателя сайта «Шелковый путь» ясно показал, что такие действия не были такими анонимными, как предполагалось.

Спецслужбы не раскрыли каких-либо технических подробностей о задержании киберпреступников, создавших сайт Tor для распространения нелегальных товаров. Они также не раскрывают, как они идентифицируют киберпреступников, которые действуют анонимно. Это может означать, что реализация Darknet сети Tor содержит несколько уязвимостей и / или ошибок конфигурации, которые позволяют раскрыть информацию каждому из ее пользователей. В этом исследовании мы представим практические примеры, иллюстрирующие, как пользователи Tor могут потерять свою анонимность, и учимся на этих примерах.

История Darknet скрывает множество попыток - как теоретических, так и практических - выявить анонимных пользователей. Все они могут быть разделены на две группы: атаки на стороне клиента (браузер) и атаки на само соединение.

Проблемы в веб-браузерах

Документы, которые утечка из АНБ Предполагают, что спецслужбы не сомневаются в использовании эксплойтов для Firefox, на котором был основан браузер Tor. Однако, как сообщает NSA в своей презентации, использование инструментов для использования уязвимостей не обеспечивает постоянного мониторинга пользователей Darknet. У эксплойтов очень короткий жизненный цикл, поэтому на данный момент существуют разные версии браузера, некоторые из которых содержат определенную уязвимость, а другие - нет. Это позволяет вам контролировать только очень небольшую группу пользователей.

Утечка документов NSA, включая информацию о том, как вы можете раскрыть личность пользователей сети Tor (Источник: www.theguardian.com )

В дополнение к этим псевдо-официальным документам сообщество пользователей Tor также знает о других, более интересных и простых атаках на стороне клиента. Например, исследователи из Массачусетского технологического института установленный тот Flash создает выделенный канал связи со специальным киберпреступным сервером, который фиксирует фактический IP-адрес клиента и полностью дискредитирует жертву. Однако производители браузеров Tor быстро отреагировали на эту проблему, отключив поддержку Flash-контента в своем продукте.

Flash как способ определения фактического IP-адреса жертвы (Источник: http://web.mit.edu )

Еще один новый способ взлома веб-браузера реализован с помощью библиотеки WebRTC. Цель этой библиотеки DLL - создать канал потокового видео, поддерживающий HTML5. Аналогично каналу Flash, описанному выше, он позволил определить фактический IP-адрес жертвы. Так называемый. Запросы STUN WebRTC отправляются в виде простого текста, который обходит сеть Tor и любые возможные последствия. Однако этот «недостаток» также был быстро исправлен разработчиками браузера Tor, который теперь по умолчанию блокирует WebRTC.

Атаки на канал связи

В отличие от атак через браузер, атаки на канал между клиентом Tor и сервером, расположенным внутри или вне сети Darknet, кажутся неубедительными. До сих пор большинство концепций были представлены исследователями в лабораторных условиях, и пока не было представлено никакой проверки «свободной» концепции.

Среди этих теоретических работ заслуживает особого упоминания один основной текст - он основан на анализе трафика с использованием протокола NetFlow. Авторы этого обследование Они считают, что злоумышленник может анализировать записи NetFlow на маршрутизаторах, которые являются прямыми узлами сети Tor или расположены рядом с ними. Запись NetFlow содержит следующую информацию:

• Номер версии протокола;
• Номер входа;
• Входной и выходной сетевой интерфейс;
• Заголовок потока времени и конец потока;
• Количество байтов и пакетов в потоке;
• Адрес отправителя и получателя;
• Порт источника и назначения;
• Номер протокола IP;
• Значение типа услуги;
• Все флаги, наблюдаемые во время TCP-соединений;
• Адрес ворот;
• Маски подсети источника и назначения.

Практически все идентифицирует клиента.

Определение идентичности клиента сети Tor на основе анализа трафика
(Источник: https://mice.cs.columbia.edu )

Этот вид анализа трафика требует большого количества точек в сети Tor, если злоумышленник хочет идентифицировать любого пользователя в любое время. По этой причине такое исследование не заинтересует отдельных исследователей, если у них нет огромного пула компьютерных ресурсов. Поэтому мы примем другую тактику и рассмотрим более практичные методы анализа активности пользователя Tor.

Чтобы узнать больше о пользователе Darknet, нам нужно спровоцировать его на раскрытие некоторых данных об окружающей среде. Другими словами, нам нужна активная система сбора данных.

Эксперт с Левиафаном Security обнаруженный большое количество узлов выхода и представлен наглядный пример активной системы мониторинга. Узлы отличались от других выходных узлов, потому что они вводили вредоносный код в свои двоичные файлы. Когда клиент загрузил файл из Интернета, используя сеть Tor для анонимности, вредоносный выходной узел осуществил атаку MITM и поместил вредоносный код в загруженный двоичный файл.

Этот инцидент хорошо иллюстрирует концепцию активной системы мониторинга; в то же время он отлично показывает свою другую сторону: все действия на выходном узле (например, манипулирование перемещением) быстро и легко идентифицируются автоматическими инструментами, и этот узел немедленно заносится в черный список сетевым сообществом Tor.

Начнем с самого начала

HTML5 предоставил нам не только WebRTC, но и интересный тег «canvas», предназначенный для создания изображений - растровое изображение с помощью JavaScript. Этот тег характерным образом обрабатывает изображения: каждый веб-браузер обрабатывает изображения по-разному в зависимости от таких факторов, как:

• Различные графические драйверы и аппаратные компоненты, установленные на стороне клиента;
• Различные наборы программного обеспечения в операционной системе и различные конфигурации программного обеспечения.

Параметры обработанных изображений могут однозначно идентифицировать веб-браузер и его программное обеспечение, а также аппаратную среду. На основе этой специальной функции вы можете создать цифровой отпечаток. Этот метод не нов - он используется, например, некоторыми интернет-рекламными агентствами для отслеживания интересов пользователей. Однако не все его методы могут быть реализованы в браузере Tor. Например, супер-плагин нельзя использовать в браузере Tor. Flash и Java отключены по умолчанию, а использование ограниченных шрифтов. Некоторые другие методы отображают уведомления, которые могут предупредить пользователя.

Поэтому наши первые попытки создать отпечаток цифрового холста с помощью функции getImageData (), которая извлекает данные изображения, были заблокированы браузером Tor:

Однако некоторые уязвимости по-прежнему не исправлены, поэтому вы можете создавать цифровые показы в сети Tor, не вызывая уведомлений.

Мы узнаем их по шрифту

Браузер Tor можно определить с помощью функции measureText (), которая измеряет ширину текста, обрабатываемого в теге canvas:

Используйте measureText () для измерения размера шрифта, уникального для операционной системы.

Если ширина шрифта имеет уникальное значение (иногда это число с плавающей запятой), то мы можем идентифицировать браузер, включая браузер Tor. Мы допускаем, что в некоторых случаях значения ширины шрифта могут быть одинаковыми для разных пользователей.

Следует отметить, что это не единственная функция, которая принимает уникальные значения. Другая функция - getBoundingClientRect (), которая может принимать высоту и ширину прямоугольного текстового фрейма.

Когда сообщество узнало о проблеме создания цифровых показов пользователей (это также важно для пользователей браузера Tor), был сделан соответствующий запрос. Однако разработчики браузера Tor не спешат устранять эту ошибку в конфигурации, утверждая, что помещение таких функций в черный список неэффективно.

Официальный ответ создателя Tor на проблему обработки шрифтов

Полевые испытания

Этот метод был использован исследователем с псевдонимом «КОЛАНИЧ». Используя обе функции, measureText () и getBoundingClientRect (), он написал скрипт, протестировал его локально в различных браузерах и получил уникальные идентификаторы ,

Используя ту же методологию, мы попытались создать цифровую подпись браузера Tor в различных программных и аппаратных средах.

Чтобы решить эту проблему, мы использовали блог одного из авторов и встроенный JavaScript, который использует функции measureText () и getBoundingClientRect () для измерения шрифтов, обрабатываемых в веб-браузере пользователя, посещающего веб-сайт. Этот скрипт отправляет измеренные значения в запросе POST сетевому серверу, который, в свою очередь, сохраняет этот запрос в журнале.

Фрагмент журнала веб-сервера с видимым цифровым отпечатком движка Tor

За это время мы собрали результаты этого скрипта. По сей день все возвращаемые значения являются уникальными. Мы опубликуем отчет с указанием результатов в назначенное время.

Возможные практические последствия

Как вы можете использовать эту концепцию в режиме реального времени для идентификации пользователей браузера Tor? Описанный выше код JavaScript может быть установлен на несколько объектов, которые участвуют в трафике данных в сети Darknet:

• Выходной узел. Выполняется атака MITM, во время которой код JavaScript внедряется во все веб-сайты, посещаемые пользователем Darknet во Всемирной паутине.
• Внутренние луковые ресурсы и внешние сайты контролируются злоумышленниками. Например, злоумышленник запускает «дверь» или веб-сайт, созданный специально для конкретных пользователей, и создает цифровые показы всех посетителей.
• Внутренние и внешние веб-сайты, которые уязвимы для эксплойтов, использующих межсайтовый скриптинг (XSS).

Объекты, которые могут создать цифровое впечатление от пользователя сети Tor

Последний объект особенно интересен. Мы сканировали около 100 ресурсов лука в поисках уязвимостей (эти ресурсы были в дневниках системы пассивного мониторинга) и отфильтровали «ложные попадания». Мы обнаружили, что около 30% проанализированных ресурсов Darknet подвержены атакам межсайтовых скриптов.

Это означает, что создание фермы выходного узла - не единственный метод, который злоумышленник может использовать для определения личности пользователя. Злоумышленник также может проникнуть на веб-сайты и создать «дверь», разместить там код JavaScript и собрать базу данных уникальных цифровых отпечатков пальцев.

Процесс определения личности пользователя сети Tor

Злоумышленники не ограничиваются внедрением кода JavaScript на законные веб-сайты. Есть больше объектов, которые могут быть внедрены с помощью кода JavaScript, что увеличивает количество возможных точек присутствия, в том числе внутри сети Darknet.

Используя этот подход, злоумышленник может теоретически выяснить, какие страницы содержат интересные темы для пользователя с уникальным цифровым отпечатком «c2c91d5b3c4fecd9109afe0e» и на каких страницах пользователь входит в систему. В результате злоумышленник узнает профиль пользователя в сетевом ресурсе и историю серфинга.

На официальном сайте проекта Tor создатели ответили на вопрос «почему браузер Tor не поддерживает JavaScript?»

Официальный ответ разработчиков браузера Tor на вопрос о JavaScript

Ответ заключается в том, что мы не должны ожидать, что создатели отключат JavaScript в браузере Tor.

Похожие

Комментарии