DRM файлы могут деанонимизировать пользователей Tor

Эксперты из Hacker House утверждают, что работа с файлами, защищёнными с помощью средств защиты Windows DRM, могут раскрыть настоящий IP-адрес пользователей Tor.

Атаки на пользователей Windows с помощью DRM файлов начались ещё в 2005 году, но до нынешнего времени они происходили только с целью распространить вирусы.

Фунционировал способ атаки таким образом — жертва должна была открыть защищённый DRM медиафайл. Файл открывался в Windows Media Player, но вместо него пользователь видел уведомление с ссылкой, по которой происходила якобы валидация контента. Даже если пользователь отказывался от валидации, но просто переходил по ссылке, его операционная система всё равно заражалась.

Hacker House утверждает, что если атакующий подпишет файл, с помощью SDK от Microsoft, уведомление появляться не будет, Windows Media Player сразу перейдёт по ссылке в Internet Explorer.

Конечно, подпись только одного файла будет стоить порядка 10 000 $, это слишком крупная сумма для киберпреступников, но для правительственных спецслужб, такая цена будет выглядеть вполне приемлимой.

Например, ФСБ или ФБР создают свой подставной сайт, на котором якобы находится запрещённый контент, и на нём выкладывают медифайл, подписанный за 10 000 $, и как только Вы или другой пользователь попробует его открыть в Windows, он сразу же откроет ссылку в Internet Explorer и спецслужбы моментально получат Ваш IP. Такую тактику легко применить в раскрытии любых не грамотных пользователей дипвеба, от покупателей наркотиков и оружия до желающих стать террористами.