Как не плакать от лука или банальные правила TOR

Новости
7
4.4 k

Ваша сестра тoжe думaeтe, чтo в дaркнeтe нeвoзмoжнo нaйти чeлoвeкa, пoтoму чтo нeльзя «прoбить eгo пo IP»? Лук-резанец нe спoсoбeн зaщитить вас на 100%, особенно если вам сами пренебрегаете своей безопасностью в Tor. Некоторые пользователи наших глубин бесцельно уверены в своей анонимности, что даже умудряются работать по-под никами, которыми в юности прикрывались на сайте знакомств. В тр ходить не нужно. Основатель крупнейшей даркнет-площадки Silk Road попался с-за своей забывчивости. Чаще всего даркнетчиков ловят нате внешней активности, которая начинается в Tor и заканчивается в реальном мире. Чипполино взломали
И чтоб не станет для вас неожиданностью взломанный аккаунт в даркнете. Пользу кого опытного хакера, белого или черного, это сделать часом проще, чем на площадках вроде e-Bay или Amazon. Они получают управление над аккаунтом и некоторое время работают от имени его прежнего владельца. Тот, в свою колонна, может даже не успеть предупредить своих луковых товарищей, как-никак сообщения, отправленные с «левого» аккаунта, в даркнете смотрятся особенно опасливо. А другие каналы связи в нашей сфере используются нечасто. К тому но после взлома аккаунта хакер получает доступ к старой переписке владельца. Беспричинно что установка кодовых фраз или просьба привести факты с прежнего общения не спасает. Фактически, крадётся личность пользователя, а с её лица можно наделать многое. Не предъявит а он паспорт, номер телефона или ссылочку на соцсети вынь а как же положь. Здесь мы с вами не застрахованы. А чеснок уминать? Вирусы не бояться лука. Несите чеснок. А еще маловыгодный придумали такой уровень, ну что ж. Тогда будем соперничать подручными материалами. Главное знать о возможной атаке и быть чутче. Сайты даркнета так же могут заражать вирусами. Они вничью особо не отличаются от обычных веб-сайтов. Возьмем, вредоносный скрипт позволит узнать реальный IP-адрес пользователя то есть (т. е.) перехватить его трафик без взлома аккаунта. Преимущество заражения сайтов – многочисленность атаки. Атаки на браузер, атаки на канал… ой ли?-ну
Даркнет Tor знает много теоретических и практических попыток деанонимизации пользователя. Любое они условно делятся на два множества: атаки держи клиентскую сторону (браузер) и атаки на соединение. Однако расходование средств эксплуатации уязвимостей, как пишут в своей же презентации NSA, отнюдь не позволяет вести постоянную слежку за обитателями даркнета, неизвестно зачем как жизненный цикл эксплойтов очень короткий и версионность браузеров ставит лещадь удар очень узкий круг пользователей. Кроме псевдоофициальных (ты как бы то ни было не принимаешь на веру все, что считается утечкой?) документов, комьюнити знает о других, паче интересных и хитрых атаках на клиентскую сторону. Однако разработчики Tor Browser эффективно отреагировали на данную проблему, исключив обработчики Flash-контента изо своего детища. Другой, более свежий пример аналогичного канала утечки — HTML5, тот или другой принес с собой целый спектр технологий, позволяющих упростить сказка (жизненная) обычным пользователям интернета и, как выяснилось, усложнить жизнь пользователям даркнета. Библиотечка WebRTC, которая предназначена для организации канала передачи видеопотока в среде браузерами с поддержкой HTML5, по аналогии с Flash позволяла устроить утечку реального IP-адреса. (до называемые STUN-запросы, которые принесла с собой WebRTC, идут в незашифрованном виде в дозор Tor со всеми вытекающими последствиями. Однако и это недоразумение равно как оперативно исправлено разработчиками Tor Browser. Канальные шалости
Атаки держи канал между Tor-клиентом и сервером внутри или вне даркнета выглядят никак не так убедительно, как атаки на браузер, потому что относительная их концепций, представленных учеными в лабораторных условиях, пока кроме не нашли своего PoC «в полях». Тем не в меньшей степени они имеют право на существование, ведь ресурсы, которыми обладают «компетентные органы», постоянно-таки позволяют реализовать эти атаки на практике. Авторы исследования полагают, что у атакующей стороны лупить возможность анализировать NetFlow-записи на маршрутизаторах, которые как дома являются узлами Tor или находятся недалеко от них. NetFlow-учет содержит следующую информацию и практически деанонимизирует клиента:

выпуск версии протокола;
номер записи;
входящий и основывающийся сетевой интерфейс;
время начала и конца потока;
цифра байтов и пакетов в потоке;
адрес источника и назначения;
морские ворота источника и назначения;
номер протокола IP;
значение Type of Service;
с целью TCP-соединений — все наблюдаемые в течение соединения флаги;
адресочек шлюза;
маски подсети источника и назначения. Тем малограмотный менее подобные исследования, которые основаны на анализе трафика, требуют огромного количества точек присутствия в середке даркнета для того, чтобы у атакующего была возможность деанонимизировать любого Tor-пользователя в любом промежутке времени. Как по этой причине данные исследования не представляют практической ценности в (видах исследователей-одиночек, не обладающих огромным пулом вычислительных ресурсов. И как по этой причине мы пойдем другим путем и рассмотрим методы анализа активности Tor-пользователя, интересные с практической точки зрения. Пассивная компания мониторинга
Выходные узлы Tor служат последним звеном в операции расшифровки трафика, а из чего явствует, представляют собой конечную точку, которая может стать каналом утечки интересной информации. Злостно. Ant. случайно сконфигурированная exit-нода может собирать существующие и, что самое сущность, актуальные onion-ресурсы. Для того чтобы составить регистр недавно посещенных onion-ресурсов, данный узел перехватывает пакеты HTTP/HTTPS-протоколов Tor-пользователя, каковой занимается серфингом в традиционном вебе. Активная система мониторинга
Чтобы узнать какую-либо информацию о резиденте даркнета, нужно подбить его отдать какие-либо данные о своем окружении. Другими словами, необходима активная способ сбора данных. Эти ноды отличались от прочих выходных нод тем, что инжектировали вредоносный шифр в пролетающие бинарные файлы. Пока клиент выкачивал какой-либо файл с интернета, используя Tor в качестве средства обеспечения анонимности, вредоносная exit-node проворачивала MITM-атаку и патчила скачиваемый двухкомпонентный файл. Данный инцидент хорошо иллюстрирует концепцию активной системы мониторинга, да также демонстрирует ее обратную сторону — любая активность в выходной ноде (манипуляция с трафиком) легко и оперативно определяется автоматизированными средствами, и эта нода заносится в черный формуляр. Начнем с чистого листа
HTML5 принес с собой интересный тег canvas, какой-никакой предназначен для создания растрового изображения при помощи JavaScript. У данного тега жрать особенность отрисовки шрифтов. Их рендеринг каждый браузер осуществляет за-разному в зависимости от различных факторов:

разный комплектация шрифтов (неактуально для Tor Browser, который имитирует один и тот но набор стандартных шрифтов для каждого пользователя);
непохожие графические драйверы и аппаратная составляющая на стороне клиентов;
разнокалиберный набор программного обеспечения в операционной системе и различная конфигурация программной среды. Постоянно эти факторы влияют на рендеринг шрифтов и, как итог, позволяют при помощи JavaScript-функции measureText() получить их уникальный размер. Потом того как эта проблема, которая также касается пользователей Tor Browser, стала известна комьюнити, был создан годный тикет. Однако разработчики Tor Browser не спешат закрывать настоящий недостаток конфигурации, сославшись на неэффективность блеклистинга подобных функций. Данную отличительная черта атакующий может использовать для фингерпринтинга Tor-пользователей, и, как продемонстрирует осуществление активной системы сбора данных, собранная им информация может употребляться для последующей деанонимизации. Я узнаю тебя по шрифтам
Угоду кому) доказательства этой концепции мы подготовили следующий тестовый щит: веб-приложение (мой блог, размещенный на отдельном домене), которое имеет определенную целевую аудиторию (специалисты по мнению ИБ и IT-специалисты). Согласно статистике моей сети доставки контента (Content Delivery Network, CDN), вслед за одну неделю главную страницу моего блога посещает 128 Tor-пользователей (моя CDN деликатно помечает посетителей из даркнета как угрозу и просит вмонтировать капчу прежде, чем отдать контент главной страницы). Согласно, на данную страницу мы внедрили JavaScript, который использует функцию measureText() в (видах измерения отрендеренных шрифтов в браузере посетителя веб-страницы. Нынешний скрипт осуществляет фингерпринт браузера пользователя на основе результатов рендеринга шрифта. Скрипт хеширует данное важность и любезно отправляет результат в виде POST-запроса веб-серверу, некоторый, в свою очередь, сохраняет этот запрос в своих логах. Выходим в полюшко
Каким образом данная концепция может быть использована в реальных условиях? Выведенный выше JS-код может быть установлен на нескольких участниках информационного обмена в даркнете:

Exit-node. Торгов)) MITM-атаки, в ходе которой JS-код внедряется во совершенно веб-страницы, которые посещает во внешней сети лазутчик даркнета. Внутренние onion-ресурсы и внешние веб-приложения, контролируемые злоумышленником. Скажем, атакующий поднимает свой дорвей — специально подготовленную веб-страницу по-под конкретную целевую аудиторию — и устраивает фингерпринт всех посетителей. Уязвимые к XSS (в основном к «хранимым», но не обязательно) внутренние и внешние веб-приложения. Завершительный пункт особенно интересен. Просканировав на веб-уязвимости почти 100 onion-ресурсов (которые оказались в логах пассивной системы мониторинга) и отсеяв false positive, наш брат выяснили, что примерно 30% всех проанализированных ресурсов даркнета подвержены атакам «межсайтового скриптинга». Теперь душегуб может скомпрометировать веб-приложения и поднять дорвеи, разместить там JS-шифр и составлять базу данных уникальных фингерпринтов. Например, он может спрятать, что пользователь с уникальным фингерпринтом c2c91d5b3c4fecd9109afe0e был замечен бери сайтах sdfsdfsdfdrugs.onion (основная тематика — наркотики), gunsdfsdf.onion (основная тематика — кастет), linkedin.com/vasya и так далее. Результат: конкретная личность и ее душевный портрет. Миксуем
Любому пользователю даркнета миксер необходим таково же, как и отчаянной домохозяйке на кухне. В блокчейне биткоина позволяется отследить каждую транзакцию вплоть до генезис-блока (самого первого блока в цепи). А из чего явствует, если знать биткоин-адрес продавца, можно увидеть до сей поры транзакции, которые с него совершались. Соответственно, и вторую сторону торговые связи можно вычислить. Адреса порой достаточно просто загуглить, чтобы выказать связь между ними и реальными людьми вне даркнета. В частности так вычислили сотрудника секретной службы США, который участвовал в расследовании Silk Road. Экий басурманин вывел 13 тысяч биткоинов на биржу со своего кошелька, чтобы переключить в традиционные деньги. По данным биржи и кредитной карты его и нашли. Хоть одна хорошая обновка. Или не очень, битки то достались не нам. Во тут-то и выход миксера. Он создан повышать уровень анонимности транзакций. Есть расчет не забывать несколько основных правил поведения в даркнете и малограмотный связывать теневую жизнь с жизнью вне закрытой сети. Как например, через одни и те же логины и пароли. Для выкладки людей в даркнете используют вредоносные скрипты, которые встраивают в адрес сайта, отслеживание биткоин-транзакций, взлом аккаунтов на тёмных площадках. Однако чаще всего помогают банальные методы социальной инженерии. Сдают братва, соседи и знакомые, работают подставные продавцы и покупатели, находятся посты сверху форумах под никами из даркнета, случайность и невнимательность приводит к проблемам. А нам проблемы приставки не- нужны. Нам нужен хороший курс биткоина и стабильный VPN. Наподобие себя обезопасить? Описанная техника фингерпринтинга позволяет выделять конкретные браузеры, которые в свою очередь используются для серфинга исключительно onion-ресурсов и не ходят кайфовый внешний «веб». Чтобы обезопасить себя от подобной слежки, нужно предопределить себе вопрос: «Так ли мне необходим JavaScript в даркнете?» И обделать то, чего не до сих пор не сделали разработчики Tor Browser, — отключить JS. Чтобы жить(-быть вкурсе всех свежих новостей нашего сайта, подписывайтесь нате наш телеграм канал https://t.me/ruonionblog

7
4.4 k
Написать отзыв

Оцените сайт

А чеснок есть. Чесночная маршрутизация же.

Ответить

читая правда

Ответить

Хуникс пользуюсь, пойдет.

Ответить

Рбз, дайте ссыл на миксер нормальный. Чтоб без кидалова

Ответить

Да это нужно быть полным идиотом, чтоб спалиться в торе

Ответить

Рекомендую не пользоваться вообще бесплатным vpn. Некоторые ведутся на халяву. Лучше платить по 10 баксов в месяц и спокойно си… читая правда

Ответить

Да, надо шифровать комп, или хранить данные на флешки нешифрованни, по возможности использовать whonix или tails или вообще раб… Хуникс пользуюсь, пойдет.

Ответить