Статья Интересно Деанонимизация пользователей Tor через файлы-приманки.

[Emilio_Gaviriya]

Деанонимизация пользователей Tor через файлы-приманки.​

Какой бы банальной и очевидной не казалась вам эта атака, с ее помощью удалось вычислить огромное количество киберпреступников. ​

Особенности данной атаки – простота и эффективность против пользователей Tor браузеров.
Tor дает максимальную анонимность среди всех инструментов для сокрытия своего подлинного IP-адреса. Если пользователя VPN или proxy можно вычислить благодаря запросам, сопоставлению соединений, через сторонние сайты и другими методами, то в случае с Tor это все не работает.

Обычно киберпреступник ставит себе Tor браузер и сразу получает высочайший уровень анонимности «в пакете».​

К его деанонимизации может привести только его глупость, допущенная ошибка, очень сложная в реализации атака (вроде Cross-device tracking) либо уязвимость в Tor сети или Tor браузере.
Уязвимости встречаются нечасто, но исключать их не стоит. Так, благодаря одной из уязвимостей были деанонимизированы и арестованы более 900 посетителей сайта с детской порнографией PlayPen. Все они использовали Tor, но это не спасло педофилов от ФБР и правосудия.
PlayPen, скорее, исключение из правил, и киберпреступники, используя Tor, чувствуют себя в безопасности. Но вот киберпреступник сталкивается с документом Word (или PDF), который ему прислали и который в его интересах открыть.
Он качает его, проверяет на Virustotal и запускает на виртуальной машине. Документ не проявляет никакой вредоносной активности, он только соединяется с сервером и тем самым отправляет на него IP-адрес киберпреступника. Виртуальная машина по умолчанию не блокирует соединения, а анонимность Tor браузера распространяется только на сайты, открываемые в нем.

Даже если киберпреступник использует VPN и настроил его так, что соединения в обход него невозможны, в руках правоохранительных органов окажется IP-адрес коммерческого VPN-сервиса.​

Остается направить запрос и получить подлинные данные – это не самая сложная задача. Таким образом были вычислены многие известные хакеры, включая Коди Кретсингера из хакерской группировки LulzSec.
Для соединения с сервером необходимо открытие файла-приманки на компьютере жертвы, простое скачивание не приведет к результату. Еще раз обращаю внимание, что с высокой вероятностью всевозможные проверки файла сочтут приманку безопасной, в целом такой она и является: соединение с сервером – это не вредоносный функционал.

Защититься от данного метода деанонимизации можно.​

Открывая подобные документы в виртуальной операционной системе Whonix. Whonix исключает соединения в обход сети Tor. Если файл открывается в песочнице, необходимо убедиться, что песочница предотвращает все внешние соединения открываемых в ней объектов. Либо можно полностью отказаться от открытия у себя на компьютере каких-либо файлов.

 

[Сенсей]

Деанонимизация пользователей Tor через файлы-приманки.​

Посмотреть вложение 7779

Какой бы банальной и очевидной не казалась вам эта атака, с ее помощью удалось вычислить огромное количество киберпреступников. ​

Особенности данной атаки – простота и эффективность против пользователей Tor браузеров.
Tor дает максимальную анонимность среди всех инструментов для сокрытия своего подлинного IP-адреса. Если пользователя VPN или proxy можно вычислить благодаря запросам, сопоставлению соединений, через сторонние сайты и другими методами, то в случае с Tor это все не работает.

Обычно киберпреступник ставит себе Tor браузер и сразу получает высочайший уровень анонимности «в пакете».​

К его деанонимизации может привести только его глупость, допущенная ошибка, очень сложная в реализации атака (вроде Cross-device tracking) либо уязвимость в Tor сети или Tor браузере.
Уязвимости встречаются нечасто, но исключать их не стоит. Так, благодаря одной из уязвимостей были деанонимизированы и арестованы более 900 посетителей сайта с детской порнографией PlayPen. Все они использовали Tor, но это не спасло педофилов от ФБР и правосудия.
PlayPen, скорее, исключение из правил, и киберпреступники, используя Tor, чувствуют себя в безопасности. Но вот киберпреступник сталкивается с документом Word (или PDF), который ему прислали и который в его интересах открыть.
Он качает его, проверяет на Virustotal и запускает на виртуальной машине. Документ не проявляет никакой вредоносной активности, он только соединяется с сервером и тем самым отправляет на него IP-адрес киберпреступника. Виртуальная машина по умолчанию не блокирует соединения, а анонимность Tor браузера распространяется только на сайты, открываемые в нем.

Даже если киберпреступник использует VPN и настроил его так, что соединения в обход него невозможны, в руках правоохранительных органов окажется IP-адрес коммерческого VPN-сервиса.​

Остается направить запрос и получить подлинные данные – это не самая сложная задача. Таким образом были вычислены многие известные хакеры, включая Коди Кретсингера из хакерской группировки LulzSec.
Для соединения с сервером необходимо открытие файла-приманки на компьютере жертвы, простое скачивание не приведет к результату. Еще раз обращаю внимание, что с высокой вероятностью всевозможные проверки файла сочтут приманку безопасной, в целом такой она и является: соединение с сервером – это не вредоносный функционал.

Защититься от данного метода деанонимизации можно.​

Открывая подобные документы в виртуальной операционной системе Whonix. Whonix исключает соединения в обход сети Tor. Если файл открывается в песочнице, необходимо убедиться, что песочница предотвращает все внешние соединения открываемых в ней объектов. Либо можно полностью отказаться от открытия у себя на компьютере каких-либо файлов.

Хорошая статья, но whonix должен быть правильно настроен и разнесены серверная часть и клиентская на разные устройства, песочница тоже не панацея т.к давно есть уязвимрсть выход из песочницы. Если на сегодняшний день мы не знаем о какой-то уязвимости или средстве деанона , то это не означает что его нет, просто скорее всего мы о нем еще не узнали.