Выявлена узлы деанонимизации сети Tor

Выявлены узлы деанонимизации сети Tor

Разработчики анонимной сети Tor опубликовали информацию о выявленной в начале июля атаке по деанонимизации трафика, для проведения которой использовалась группа подконтрольных атакующим ретрансляторов Tor (relay). Атака была направлена на отслеживание обращения к скрытым сервисам Tor. Не связанный со скрытыми сервисами трафик не был подвержен атаке.

Для проведения атаки подтверждения трафика (traffic confirmation attack), использовалась пометка запросов, осуществляемая через внесение изменений в заголовки пакетов протокола Tor, которые остаются неизменными на протяжении всей цепочки анонимизации. Данный вид атак позволяет выявить корреляцию между запросами, обработанными в начальной и конечной точках в цепочке Tor (определить, что запрос пришедший на начальную точку является тем же, что обработан на конечной точке), но для этого начальный и конечный узел Tor должны быть подконтрольны атакующим, сообщает uinc.ru.

В частности, первый узел в цепочке Tor знает IP пользователя, а последний знает IP-адрес запрошенного ресурса, что позволяет деанонимизировать запрос, но вероятность, что один запрос пользователя пройдёт через начальный и конечный узлы атакующего очень мала. Участвующие в атаке ретрансляторы были присоединены к сети Tor 30 января 2014 года и заблокированы 4 июля, в этот промежуток существовал риск раскрытия сведений о пользователях, работающих со скрытыми сервисами.

Пока не ясно какие именно категории скрытых сервисов и пользователей были охвачены атакой, насколько она была успешной и остаются ли ещё подконтрольные атакующим узлы. Известно, что атакующие выявляли пользователей, запрашивающих дескрипторов скрытых сервисов, но скорее всего они использовали данную информацию в общем виде и не могли сопоставить эти запросы с трафиком уровня приложений, т.е. не могли отследить какие именно страницы и скрытые сервисы открывает пользователь, но знали о факте совершения таких действий (например, таких пользователей можно было поставить на контроль для дальнейшего анализа).

В результате атаки также были осуществлены попытки получения информации о том кто публикует дескрипторы скрытых сервисов, что могло быть использовано для выявления их местоположения. Теоретически атака могла быть использована и для выявления связи между пользователем и точкой назначения запроса в условиях нормальной цепочки анонимизации Tor, но не найдено никаких подтверждений о наличии у атакующих контроля над какими-либо выходными узлами, что делает такую атаку маловероятной.

Администраторам ретрансляторов рекомендуется обновить программное обеспечение Tor до версий 0.2.4.23 или 0.2.5.6-alpha, в которых устранена используемая атакующими уязвимость в протоколе. В общем виде проблема подтверждения трафика остаётся открытой, например, могут использоваться такие неточные эвристические методы как сопоставление времени, объёма и других характеристик трафика. В случае описываемой атаки, в качестве индикатора запроса узлы атакующих подставляли через ячейку "relay early" специально сформированную фиктивный список ретрансляторов, через который было закодировано имя скрытого сервиса.

Дополнительно можно отметить публикацию проектом Tor финансового отчёта за 2013 год, показывающего как были получены и потрачены средства проекта. Интересно, что в 2013 году более 1.8 млн долларов было пожертвовано проекту подконтрольными правительству США фондами SRI International, Internews Network и National Science Foundation. В 2012 году этими же фондами было пожертвовано примерно 1.2 млн долларов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Москве будут судить айтишника, вымогавшего крипту у бывшего работодателя

МВД РФ сообщило о завершении предварительного расследования в отношении обвиняемого в вымогательстве с использованием вредоносной программы. Уголовное дело направлено в Гагаринский райсуд Москвы для рассмотрения по существу.

Как удалось установить, ответчик с 2021 года по 2022-й работал в должности ведущего инженера в крупной ИТ-компании, где занимался проектированием, разработкой и настройкой инфраструктуры различных сервисов.

После увольнения москвич, по версии следствия, внедрил вредоноса в сеть бывшего работодателя, что позволило ему получить удаленный доступ к базам данных и зашифровать их.

За разблокировку злоумышленник потребовал выкуп — более 27 млн руб. в криптовалюте. Вымогателю в итоге заплатили, данные восстановили, но потом все же обратились в полицию.

Уголовное дело было возбуждено по признакам преступлений, предусмотренных статьями 163, 272 и 273 УК РФ (вымогательство, с учетом обстоятельств до семи лет лишения свободы; неправомерный доступ к компьютерной информации, до четырех лет; создание и использование вредоносных программ, до пяти лет).

Подозреваемого удалось найти и задержать в минувшем июне. В ходе обыска у него были изъяты сетевые хранилища, системный блок, 37 жестких дисков, банковские карты, средства связи и другие предметы, которые могли содержать улики.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru