Спасибо. Наконец-то мы узнали, что АНБ может предпринять против Tor, и что нет. В общем, всё предсказуемо: одни атаки на браузеры и ничего более.

An example of one such tag is given in another top-secret training presentation provided by Snowden.

Не смог скачать эту штуку. Закиньте куда-нибудь в нейтральное место, чтобы грузилось без JS.

One of the top-secret documents provided by Snowen demonstrates how FoxAcid can circumvent commercial products that prevent malicious software from making changes to a system that survive a reboot process.

a FoxAcid payload with the codename DireScallop can circumvent commercial products that prevent malicious software from making changes to a system that survive a reboot process.

Подумалось про инфицирование BIOS'а, но тут всё же про коммерческие программы пишут, а не про открытые.

Two basic payloads mentioned in the manual, are designed to collect configuration and location information from the target computer so an analyst can determine how to further infect the computer.

Хотя unknown скептичен по поводу виртуальных машин, как видите, да, всё так и есть, только там не ls -R будет, а полный дамп, утянут всё, что только можно.

By 2008, the NSA was getting so much FoxAcid callback data that they needed to build a special system to manage it all.

А сама информация из основной статьи насколько устарела? Может быть, все эти рассказы — тоже про их возможности 5-летней давности, а сейчас они ещё и не такое умеют?


Деталей подозрительно мало. Как долго работал Atlantis? Что-то ещё известно по поводу мотивов «закрыть бизнес»? Не представляю, чего могут опасаться гиганты, покупающие хостинги анонимно по поддельным документам и работающие с сетью исключительно через VPN+Tor. Единственное реальное объяснение — осознание админом того, что он уже на чём-то спалился, и потому ждать с моря погоды поздно, надо делать ноги.


Во Freenet — элементарно.


Защита серверов должна строиться исходя из того, что любой сервер в любой момент времени может быть вынесен. Есть сервисы, которые живут по этому принципу. Критичный контент должен храниться только в шифрованном виде и расшифровываться на стороне клиента. Публичный контент скрывать смысла нет — он и так всем доступен, вынесшие сервер ничего нового не узнают.


+1. Дома можно держать приватные скрытые сервисы, на которых нет ничего предосудительного. Делать дома публичный сервер с компрометирующим содержимым — самоубийство. Связь HS с реальным его владельцем — последнее звено, которое в критический момент может кому-то спасти жизнь.


Но есть Freenet. Сколько и какие сервера надо вынести из Freenet-сети, чтобы оттуда исчез контент? Непростая задачка для АНБ. :-)


Десятилетия, пока админы живы: /comment49301, /comment61775. Хостинг не совсем обычный, но это интернет, не анонимная сеть какая-то, не Tor, не Freenet. Доступно из любого браузера. Такие сайты были до появиления анонимных сетей и останутся после. Спрос рождает предложение.

An example of one such tag is given in another top-secret training presentation provided by Snowden.

Не смог скачать эту штуку. Закиньте куда-нибудь в нейтральное место, чтобы грузилось без JS.

Нечего закидывать, этот фрагмент сейчас выглядит так:

An example of one such tag [LINK REMOVED] is given in another top-secret training presentation provided by Snowden.

There is no currently registered domain name by that name; it is just an example for internal NSA training purposes.

По мнению Роджера эти слайды не несут никакой информации, важной для дальнейшей разработки Tor. На сайте разработчиков описаны гораздо более мощные сценарии атак, в самом проекте идёт постепенное внедрение защиты от ряда из них.

Помимо мнения Роджера: по этим слайдам АНБ никак не претендует на роль глобального наблюдателя и не раскрывает никаких методов взлома протоколов. Это может быть и частичная обрывочная информация, не отражающая реальных возможностей.

Хотя unknown скептичен по поводу виртуальных машин, как видите, да

не понятный фразеоборот. что вы хотели сказать?

Они мне не нравятся чисто эстетически :)

так больше ДА, чем НЕТ?

По поводу BIOS, на большинстве сайтов-производителей есть образ диска для восстановления. Можно делать профилактическое восстановление.

Выводы из статьи:
Пользоваться разными профилями (например разные копии процессов TorBrowser и Tor) для разных сайтов.
Пользоваться виртуальными машинами.

Лично я не вижу вариантов защиты обычных пользователей от эксплоитов без виртуальной машины. Даже в случае специального LiveCD с Tor есть вероятность, что вирус внесет изменения в систему на диске (если сами диски не зашифрованы).

Даже в случае специального LiveCD с Tor есть вероятность, что вирус внесет изменения в систему на диске (если сами диски не зашифрованы).

1. Tails по определению – амнезия. все потирается и что там может куда записаться – не понятно.
2. Как может шифрование диска противостоять изменениям на нем?

1.

Tails по определению – амнезия. все потирается и что там может куда записаться – не понятно.

Через эксплоит ищем на диске разделы и каталоги с установленной системой, модифицируем/читаем файлы.

2.

Как может шифрование диска противостоять изменениям на нем?

Если системный диск зашифрован и не монтирован (и не расшифрован в Tails), то вирус ничего не сможет понять в мешанине данных раздела и, как максимум, испортить их.

Но вообще, как видно по этой статье, по статье о поимке владельца Silk Road и по статье со взломом хостинга onion, для ФБР очень затратно поймать даже одного человека и пока технология не отработана можно сильно не волноваться.
Во всяком случае они будут ловить только тех кого можно экстрадировать и судить, чтобы в оправдать затраченные деньги и написать красивые отчеты. Полагаю вторгаться они будут и в страны со слабыми правительствами, где можно легко прийти, захватить, убежать или подкупить правительство.

Используя Tails, убираем (отключаем) физически из системы HDD, например.

Оглавление:

• Про новость
• Про суть
• Про FH
• Комменты к комментам

Про новость

Прежде всего, поздравляю с подтеврждением в новости очередной корявой opennet'овской копипасты! Вместо того, чтобы перевести слово в слово статью Guardian или, что лучше, творчески изложить ключевые моменты, мы осваиваем технику Ctrl+C Ctrl+V для пересказа пересказа оригинала, написанного малограмотными людьми.


И не стыдно на pgpru-та, ressa?


Типа в/на Украину?


Первый раз слышу о таком переводе слова «рейс».


Да, смысл именно в этом: некто пользуется Tor Browser'ом, но вычисляют информацию о его Tor-активности тогда, когда он выключает Tor.

Про суть

Что это? Много где встречается, но до расшифровки не могу догадаться.

Вообще, есть какой-то элемент надругательства в том, что с Guardian ничего не скачать и не просмотреть без JS (или и с ним тоже?). Ссылки на слайды в упор не вижу. Спасибо Руне Сандвик из Tor-проекта, она выкладывает все ссылки и pdf'ки. В частности, в новости речь идёт об этих слайдах. Некоторые комментарии:

Стр. 2:

• We will never be able to de-anonymize all Tor users all the time.
• With manual analysis we can de-anonymize a very small fraction of Tor users, however, no success de-anonymizing a user in response to a TOPI request/on demand.

Вся суть новости в двух словах.

Стр. 16:

• Current: Torbutton and TBB prevent CNE success.
Possible success against "vanilla" Tor/Vidalia.

Не пользуйтесь девелоперскими версиями, альфами и бетами, если анонимность критична.

Стр. 17:

• Given CNE access to a target computer can we shape their traffic to "firendly" exit nodes?

У АНБ есть им подконтрольные exit-ноды, как и ожидалось, и выбор их даёт им возможности совершать атаки. Принцип медведя с выпиливанием всех цепочек, проходящих через подконтрольные США страны, прям так и напрашивается в качестве ответа.

• Route users to a separate "private" Tor network?

Unknown научил АНБ на свою голову. :-)

• Instruct target computer to use a service that connects outside Tor and reveal true IP?

Файерволлы. Windows-юзеры, как всегда, в полном пролёте, если только не используют виртуалки, поскольку фильтрации по пользователям в виндовых файерволлах нет.

Стр. 18:

Given CNE access to web server modify the server to enable a "timing/counting" attack similar to timing pattern idea.

• GCHQ has a research paper and demonstrated the technique in the lab.

Ага, тоже обсуждали. Идёте через Tor на сайт, который подконтролен АНБ, и АНБ применяет специфичные атаки против вас конкретно. HS это тоже касается. Тем более, никто не знает какие ресурсы подконтрольны АНБ, а какие нет.

Там ещё речь шла об атаке со своих нод на Tor-протокол: они отсылают левые ответы клиентам по цепочке, а потом смотрят на всплески/нестыковки в трафике на стороне страны/ISP пользователя.

Стр. 19:

Exploitation: Nodes

Can we expoloit nodes?
Probably not. Legal and technical challanges.

Уже радует.

Стр. 22:

Nodes: Tor Node Flooding
Could we setup a lot of really slow Tor nodes (advertised as high bandwidth) to degrade the overall stability of the network?

Это они этим самым недавно занимались? Атака же вроде была на wild, или я что-то путаю? Это точно обсуждали и протокол меняли, чтобы от этого защититься, в Tor-блоге были посты на тему.

Стр. 23:

Tor Stinks... But it Could be Worse

• Critical mass of targets use Tor. Scaring them away from Tor might be counterproductive.
• We can increase our success rate and provide more client IPs for individual Tor users.

Не можешь победить — возглавь. По-моему, они это тоже понимают. Самая практичная атака — наводнение Tor-сети собственными нодами (что невычислимо) вкупе с применением атак, специфических для атакющего с таким ресурсом.

• Will never get 100% but we don't need to provide true IPs for every target every time they use Tor.

Соглашусь с К.О. Действительно, обычно в этом нет крайней необходимости.

Сам документ (стр. 1):

Jun 2012
Dated: 20070108
Declassify on: 20370101

Как это понимать? Документ всё-таки прошлого года или 2007-го? Сморится так, будто они это всё знали в 2007-ом, а планировали рассекретить в 2037-ом.


Из слайдов, IMHO, следует, что АНБ активно рвётся на роль глобального наблюдателя и предпринимает массу шагов, чтобы им стать. На момент создания слайдов и при условии, что эти слайды отражают полную картину, действительно, АНБ не было глобальным наблюдателем. Тем не менее, если эти слайды действительно были сделаны в 2007-ом, то за прошедшие 6 лет АНБ вполне могла добиться небывалых успехов.

P.S. Роджер отжигает:

If you want a conspiracy theory, you can say that Mozilla is conspiring to keep Tor distracted by new application-level privacy bugs, by putting out new versions so often.

But really, that's not entirely Mozilla's fault. Google is conspiring, using its fast Chrome release cycle, to force Mozilla to conspire to ... :)

Про FH

По последней ссылке есть ещё его коммент:

As for parallel reconstruction on the FH case, who the heck knows. They gave us just the facts they wanted to give us. Maybe it'll become clearer over the coming years.

Что такое «parallel reconstruction»? Получение дополнительной информации от 3-их источников/атак, не связанных с основным?

Один из комментариев в блоге даёт ссылку на длинный немного консипрологический текст. Основные утверждения (в квадратных скобках мои собственные комментарии):

• Якобы из документов следует, что в момент, когда владелец FH сменил пароли и отключил ФБРу доступ к серверу, он уже был под арестом. Как это может быть? [или авторы врут, или действительно есть такая нестыковка; в принципе, он мог дать доступ к серверу и каким-то 3-им лицам].
• Самое естественное и едва ли не единственное объяснение способа нахождения местоположения FH — атака на саму сеть Tor. Альтернатива — верить тому, что они догадались до этого, отслеживая банковские переводы и платёжки за сервер. Поскольку никаких деталей не предоставлено, это только подливает аргументов к версии об атаке на сам протокол.
• Даже имея доступ к серверам, в предположении, что их содержимое шифровалось, не так просто получить полный контроль над всем. Для этого надо проводить сложные атаки, физически присутствовать на месте и т.д. Дело осложняет то, что там была виртуальная машина, и им надо было получить доступ ко всем гостевым ОСям, чтобы установить на них свой JS-код. Есть гипотеза, что ничего из перечисленного они не делали, каким-то образом получив пароли владельца FH на дисковое шифрование и коннект к серверу.
• Учитывая много недосказанностей в деле FH, логично предположить, что атака не была сделана юридически чистой. В эту пользу говорит тот факт, что [по мнению авторов текста] юридической значимости логи Verizon'а иметь не будут, и до полноценных уголовных дел против всех этих пользователей дело не дойдёт [да, про аресты ничего не слышно]. Целью атаки было получение базы данных пользователей скрытых сервисов, но не более того. В пользу этого говорит ещё и факт установки JS-сериптов на аболютсно всех скрытых сервисах FH (в т.ч., например, Tormail). Дальше, возможно, за полученными IP будут следить более внимательно и ждать, когда они проколятся, дав возможность предоставить суду более весомые улики против них [возникает естественный вопрос, был ли JS-код различным для разных HS; если да, это бы позволило ФБР различать пользователей разных скрытых сервисов, чтобы привлечь к ответственности одних и не тронуть других].
• Атака не имеет ничего общего с ФБР. От начала и до конца её делало АНБ своими собственными средствами. ФБР только озвучило результаты [утверждается, что борьба с серверами за пределами США вообще в компетенцию ФБР не очень-то входит].

Комменты к комментам

Unknown'у не нравится связываться с виртуалками, но от ряда атак без них не защититься, что он сам же признал. В недавнем обсуждении виртуалок он это подчеркнул ещё раз:

Стоит отметить, что проблема анонимности за счёт профилирования железа при этом не решается.

Естественно, помимо железа пользователь LXC/SELinux всё равно будет иметь доступ к массе системной информации, т.е. нельзя на одной ОС держать одновременно как анонимный, так и неанонимный профиль.


«Правильно» перепрошитый BIOS будет выдерживать все такие перепрошивки. Можно говорить о сложности и целенаправленности создания такой инфекции, но на уровне proof of concept это давно ни для кого не секрет.

Надёжная перепрошивка — только на программаторе. Развинчиваете ноутбук, выпаиваете модуль BIOS'а, подпаиваетесь тонким жалом к его ножкам, перепрограммируете его на программаторе. И так каждый раз? На самом деле, там всё ещё тоньше, но топик сейчас не об этом.

Вывод: можно делать, но гарантии не будет. Кроме того, перепрошивка BIOS'а — рискованное занятие. Всегда есть риск, что после неё ПК превратится в кирпич, и без {программатора / запасного BIOS'а / паяльника} проблему будет не решить.


Нет. Можно делать амнезию для домашних директорий Tor-юзеров, но цеплять их надо всё равно на один Tor-клиент. Множественные Tor-клиенты дают возможность различать тип активности пользователя, поскольку у них будут разные guard'ы. Помимо этого, в слайдах явно говорилось об нацеленности АНБ, например, отличать пользователей скрытых ресурсов от остальных. Лучше воспользоваться этой методикой. Недавно её повторно обсуждали. Что интересно, метод будет работать безопасней, если разные Tor-юзеры будут сидеть на разных IP. Без виртуалок это не решается. Все дороги ведут к виртуалкам.


Надо отделять мух от котлет. Какие эксплоиты вы имеете в виду? Если это эксплоит на браузер, он не получит административные привелении, а, следовательно, за пределами профиля не сможет напартачить. Но профиль может быть закрыт наглухо файерволлом, т.е. проблема решается [сейчас пока говорю только о страховке от утечки пакетов в обход Tor]. Записать на посторонний неподключенный диск без local root тоже никак не получится. Если считаете local root реальностью, то да, помогут только виртуалки. Классификация подстраховок анонимности по типу эксплоитов, которыми обладает атакующий (да, на PGPru об этом думали задолго до сливов АНБ) приведена здесь.

P.S. https://check.torproject.org опять заболел. :-( На мой взгляд, этот чекер — плохая идея, unknown уже писал о том, что Tor Project ищет пути отказаться от него. Во-первых, он даёт возможность различать глобальному атакующему тех, кто только что вошёл в сеть или сбросил личину, от тех, кто уже давно этого не делал. Имеется одна-единственная точка, сидя на которой, можно многое узнавать. Это же и точка, где можно впаривать жертвам эксплоиты (достаточно контролировать её, а не все экситы).

Но по смыслу это означает таки гонку или скачки. Кто первый прибежит тому и приз. Встречается часто при описании ошибок в дизайне системы.

Computer network exploitation, термин из военной сферы.

У АНБ есть им подконтрольные exit-ноды, как и ожидалось, и выбор их даёт им возможности совершать атаки. Принцип медведя с выпиливанием всех цепочек, проходящих через подконтрольные США страны, прям так и напрашивается в качестве ответа.

Поставить сервер через третьих лиц в Иране Нигерии неподконтрольной стране — это, конечно, непосильная задача для спецслужбы.

Самое естественное и едва ли не единственное объяснение способа нахождения местоположения FH — атака на саму сеть Tor. Альтернатива — верить тому, что они догадались до этого, отслеживая банковские переводы и платёжки за сервер.

Самое естественное — это именно отслеживание платежей. Все банковские транзакции через SWIFT для них открыты. Отслеживанием платежей они занимаются десятилетия, накопленный опыт в этой сфере значительно перекрывает все IT.