DEFCON会议22. Adrian Crenshaw。 TOR用户可以“烧”什么

您好，我叫Adrian Cranshaw。 我是Irongeek.com的创始人Derbycon的联合创始人，我对信息安全感兴趣，并在Trusted Sec担任高级安全顾问。 我将告诉您人们是如何在Darknet上发布原始文档的，以及因此如何使它们易于捕获。

这些是有关使用TOR或其他匿名器的人的著名故事，这些故事主要是由于忽略OPSEC规则而被抓住的。

我给编号分配的故事是0，就是炸弹，就像去年在哈佛大学种植的一样。 一个人给大学领导的各个部门发送了电子邮件，其中包括安全部门和学生报纸，指出了炸弹的位置：科学中心，Sever Hall，Emerson Hall和Thayler Hall。 他写道，它们迅速采取行动，因为炸弹很快就会爆炸。 有关此消息，已于2013年12月16日在媒体上发布。

那这个家伙是谁？ 他使用“游击队”邮件服务发送了一封游击邮件，并通过TOR发送了他的信。



但是他没有考虑到游击队邮件将发件人的原始IP地址放在邮件的标题中。 例如，如果您从家里发送一封信，它将指示您的家用计算机的IP地址。 幻灯片显示了一个示例，其中我使用了irongeek.com上的邮箱来显示其工作原理。 这个人考虑了匿名性并使用了TOR，因此在他的信中指出了TOR服务器的IP地址。 但是，他没有考虑到所有TOR节点（“网桥”除外）都是已知的并且在公共领域内-例如，在此站点torstatus.blutmagie.de上列出了它们，并且很容易确定特定计算机是否属于TOR网络或不行 如果您不使用“桥接器”，则在发送威胁消息时，很容易跟踪谁和在何处加入了哈佛局域网并使用了TOR。

如果这个人使用“桥梁”或从咖啡馆或其他公共场所发送他的信，将很难跟踪。 但是他使用了大学网络，从学生宿舍连接到该网络。 因此，他们找到了这个名叫Eldo Kim的20岁男孩，事实证明，他想以这种方式取消考试。

同时，有10名学生同时使用TOR网络，当联邦调查局开始对他们进行讯问时，他发现了反对金的足够证据，他不得不承认自己做了什么。



从这种情况下可以学到以下教训：

• 在给定的时间，不要成为在受控网络中唯一使用TOR的人；
• 使用“桥梁”；
• 不承认任何东西；
• 相关攻击已成定局。

一会儿，我将进一步讨论相关性攻击。 首先，考虑将端点与流量出口点进行比较的相关性。 这种攻击的目的是监视流量并查看网络上发生了什么。 当然，这里所有内容都是加密的，但是如果您查看从客户端计算机发送到服务器的5 MB请求，您会发现有趣的事情。 这台服务器下方显示紫色屏幕的计算机是“嗅探”网络流量的观察者。



他看到一个5 MB的请求到达服务器，并且已经返回了8 MB的响应，因为由于加密密钥，该请求已变得越来越粗壮。 然后，您可以比较发送请求和接收响应的时间，并确定发送请求的计算机。

您可以使用时序相关性来跟踪网络上计算机之间的通信路径。 在这种情况下，将使用DDoS攻击来更改流量路径上的负载，这使您可以跟踪网络上计算机之间的路径。



您还可以生成自己的流量，以创建自己的流量“模式”，从而“环回”流量所经过的网络计算机。 因此，您可以找出谁在与谁对话以及通过哪台服务器进行对话-首先，通过DDoS攻击，我们“关闭”一台服务器，查看哪些计算机从网络飞出，然后“关闭”另一台计算机，依此类推。 NSA使用了一个名为Maloney的项目，该项目使用了该TOR网络监视技术。

您还可以监视DNS服务器的活动并注意泄漏。 如果我不使用DNS代理，默认情况下使用代理，则可以向DNS服务器发送请求。 他无法看到我的流量来自何处，但是可以看到我访问哪些站点并确定TOR节点的IP地址。



接下来，考虑第1个案例-LulzSec，这是匿名黑客组织的分支，是Hector Xavier Monsegyur或Sabu的案例。 他通常使用TOR连接到IRC聊天，但是由于懒惰而无法一次启动TOR，使用开放网络陷入了联邦，此后他被迫与他们合作9个月。 赫克托（Hector）使用IRC与杰里米·哈蒙德（Jeremy Hammond）进行了交流，这一事实曾在2012年被捕。

如果您使用此聊天，请始终使用匿名方式，因为拥有IRC服务器的人可以轻松获取您的IP地址并找出您的身份。 拥有这样一台服务器的英国匿名运动的成员之一对他的朋友发了怒，并开始将其IP地址“转储”到公共领域。

Hammond使用昵称sub-g，使用了TOR，因此无法解密他的消息。 但是他的计算机的MAC地址记录在此网络上，FBI关联了他在IRC上与Sabu对话的时间。 他们发现sub-g和Hammond在杰里米当时在家的同时在线，并且他的计算机已连接到该网络。 他们收集了足够的证据证明Hammond可以从何处访问，他们还收到了Sab发送的IRC聊天消息，依此类推。 您可以在此链接上找到更多详细信息。

从这种情况下，我们可以得出以下结论：

• 经常使用TOR网络，而不是不时使用。 事实是您的浏览器存储cookie，并且如果您在某个站点上然后不使用TOR便直接返回到该站点，则浏览器将再次向其发送cookie。 这样就可以很容易地将它们拦截并找出您的身份。 TOR还适用于不存储cookie并在关闭时清除整个故事。
• 不要向任何人提供个人信息，因为如果您与可能会被捕的人共享一堆数据，他们也可能会逮捕您；
• 如我所说，请记住关联攻击是前缀。

接下来，考虑案例2-自由托管为TOR网络内的客户提供了邮件服务，也就是说，允许他们在匿名网络内创建自己的邮箱。 尽管它们主要用于简单地在用户之间交换信件，但它们尤其用于分发儿童色情内容。 正是由于儿童色情，这家2011年的主机在“清理” Darknet的行动中遭到匿名攻击。

特别是，托管在Freedom Hosting上的Lolita City网站受到了DDoS攻击，其结果是匿名黑客能够发布其用户的公共列表。 2013年7月，FBI破坏了几个Freedom Hosting邮箱，并在其中注入了恶意JavaScript代码，这些代码利用了ESR浏览器版本17的Firefox漏洞CVE-2013-1690。 如您所知，TOR软件包基于Firefox。 它的开发人员发布了一个修补程序，消除了该漏洞，但是，像往常一样，许多Tor用户没有及时更新洋葱浏览器的实时版本。



该漏洞使FBI可以通过部署名为Magneto的漏洞来控制Freedom Hosting邮件。 这是一个很小的Windows可执行文件。 Magneto会寻找受害者的Windows主机名和计算机的MAC地址，然后将信息发送回弗吉尼亚州的FBI服务器，以暴露受害者的真实IP地址。 该脚本通过TOR网络外部的标准HTTP请求返回数据。 可以在链接上阅读详细信息。

该项目类似于名为Egotistical Giraffe的项目，该工具是FBI通过其计算机上易受攻击的软件针对TOR用户使用的工具。 联邦政府使用的Magic垃圾邮件软件还包括Magic Lantern，FOXACID和CIPAV（Internet协议和计算机地址的验证者）。
结果，联邦调查局逮捕了28岁的爱尔兰和美国公民埃里克·沃恩·马克斯（Eric Wohen Marquez），以散布儿童色情制品，从而成功摧毁了Freedom Hosting。 由于付款文件，他能够连接到Freedom Hosting服务器。 他买了东西，有关其真实IP地址的购买信息仍保留在他的Freedom Hosting邮箱中。 当他被特殊服务人员逮捕时，他急于关闭笔记本电脑，以便在重新加载硬盘上的加密系统时被激活，但他没有成功。

从这种情况下可以学到以下教训：

• 切勿联系与Capard Picard或Julian Bashir相关的主机。 如果您熟悉4chan文化，那么您就会知道这两个昵称的含义是-第一个缩写CP，或“ child porno”（儿童色情），第二个-JB，或“ seductress”（jailbait），
  更新，更新并再次更新。 如果所有这些人都及时安装了带有Firefox漏洞的“补丁”的补丁，那么FBI将无法在TOR中实施Magneto攻击。 现在，如果您使用的是过时的Thor版本，则会在顶部显示一行，提示您进行更新。
• 禁止通过“付款”追踪自己，请勿使用邮件存储包含您的个人信息的付款文件；
• 不使用笔记本电脑时，请使其保持加密状态。

让隐藏的服务器与您联系以确定其真实IP地址，并确定它是否容易受到各种攻击（例如，缓冲区溢出等）的任何漏洞的攻击。



为了避免通过联系TOR网络中的此类服务器而搞砸并且不受联邦政府的监督，这是必要的。

第三号案件涉及著名的丝绸之路或丝绸之路。 这个暗网市场是由一个叫化名Dread Pirate Roberts或The Horrible Pirate Roberts的人经营的。 这是供买卖双方使用的电子平台，可以说交易的不是合法商品。 截至2013年9月23日的丝路诉讼文件显示，在TOR网络上发现了与大麻，摇头丸，麻醉剂和阿片类药物等查询相关的网站上约13,000的商品清单。麻醉品的“，”前体”，“迷幻”等。 简而言之，这是查理辛的梦想。

同样在TOR网站上，发现了159个站点，这些站点应客户的请求提供了各种网络帐户的黑客服务，包括Facebook和Twitter，从而使客户有机会自由管理和更改帐户所有者的个人信息。 另外还有22份关于黑客攻击自动取款机的培训手册，以及非法服务供应商的联系方式，例如“匿名银行帐户”，“假货币帐户CAD / GBP / EUR / USD”，“枪支弹药销售”，“被盗”银行卡和PayPal帐户信息，甚至“在10多个国家/地区雇用了杀手”。 唯一不提供出售或在网络上找不到的东西是假文凭，证明，医疗处方和假钱。 显然，网站所有者对此有疑问。

在交易额达到12亿美元之后，FBI对丝绸之路产生了兴趣。 首先，他们开始使用Google搜索引擎中的查询，检查更改公共时间间隔的第一个公共互联网上的丝路链接。 他们在一个小的Shroomery瘾君子网站上找到了与此资源的最早链接，在那里，一个昵称为altoid的人在TOR网络上发布了指向Silk Road页面的链接。



本质上，他在这个网站上做广告，说在丝绸之路网站上，您可以匿名购买任何东西。 此帖发布于2011年1月27日。

然后，有人在bitcointalk.org上打开了一个“海洛因商店”主题，一个昵称ShadowOfHarbringer的用户写道，丝绸之路可能不会出售海洛因，但这是第一个可以匿名购买所有其他比特币毒品的市场。 听起来也像是此资源的广告，该用户在帖子的结尾处写着：“伙计们，让我知道您对此有何想法！”，在反馈中提示。

因此，美联储确定丝绸之路确实存在并起作用。 随后，在同年10月，在Shroomery网站上一个昵称为altoid的人物出现在同一网站bitcointalk.org上，他打开了主题“我正在寻找专业的IT专家来开设比特币创业公司”，他在信中写道，有意者可以与他联系。在指定的电子邮件地址。 而且你知道他做了什么吗？ 他写了自己的邮箱地址，以真实姓名注册-Ross Ulbricht，rossulbricht @ gmail.com。 这被称为OPSEC原理的完全失败。



因此，联邦调查局在首次提到“丝绸之路”的altoid和比特币之间建立联系并不困难。 替代电子邮件与Ross相同。 乌布利希特（Ulbricht）的Google+个人资料显示，他对路德维希·冯·米塞斯（Ludwig von Mises）自由主义者学院（“奥地利经济学院的世界中心”）感兴趣。

他们进一步发现，在“丝绸之路”论坛上恐怖海盗罗伯茨的签名包含与摩西研究所的联系，并且奥地利经济学对丝绸之路的哲学产生了重大影响。 此外，Ross Ulbricht帐户在StackOverflow上进行了录制，并要求他帮助他编写PHP代码以与TOR隐藏服务进行通信。

没错，此帐户很快被“ frosty”所取代，但第一个用户名对应于他的真实姓名。 这些证据的结合使联邦调查局获得了逮捕乌布里希特的逮捕令，毫无疑问，罗斯·威廉·乌布里希特和恐怖海盗罗伯茨是同一个人。

如果我赚了12亿美元，我可能不会掩盖我的真实面目。 联邦调查局还发现有人正在从罗斯位于旧金山的公寓旁边的网吧连接到丝路主机服务器。 给海盗罗伯茨的信表明，他住在太平洋时区。

丝绸之路服务器的IP地址通过位于旧金山拉古纳街上网吧的IP地址连接到VPN网络，从那时起，2013年6月3日，罗斯进入了Gmail收件箱。



在发给Pirate Robots的私人消息中，其中一位用户写道，他通过属于VPN的外部IP地址发现了该站点的信息泄漏。 然后，FBI以某种方式设法捕获并复制了丝路服务器之一的硬盘驱动器映像。 据称，他们向黑客尼古拉斯·韦弗（Nicholas Weaver）支付了黑客入侵丝绸之路并将其连接到外部服务器的能力，而Tor并没有使用该外部服务器来查找丝绸之路服务器的真实IP地址。

2013年7月10日，美国海关截获了9张不同名称的身份证，但所有这些文件都贴有罗斯·乌尔布里希特（Ross Ulbricht）的照片。 安全部门审问了罗斯，但是，他否认他下令出示这些证书，并且拒绝对此事发表任何评论。 他很合理。 但是随后他做了一些愚蠢的事情，他说，假设任何人都可以去丝绸之路或TOR站点，在那里购买毒品或伪造文件。 为什么他需要谈论这个问题，如果作为一个受人尊敬的公民，他不应该对此有所了解？

但是，私人信件显示，恐怖海盗罗伯茨（Dread Pirate Roberts）有兴趣购买假身份证。

接下来，其中一台Silk Road服务器使用SSH和私钥，其中包含frosty @ frosty条目。 该服务器使用的代码与以前托管在StackOverflow上的代码相同。 最后，在他将密码输入笔记本电脑后，联邦调查局于10月1日在公共图书馆逮捕了乌布利希特。 在笔记本电脑中发现了许多令人信服的证据。

, . ( ).

:

• , , ,
  , , . , «», ;
• ;
• : « Silk Road».

, , , TOR , .

. - TOR, Word track.docx, .



TOR, , , -. , TOR , track.docx.



. TOR . , .



irongeek.com, IP- , , .



? credit_card.zip, . , , honeydocx.com/hive/sting/4254/buzz , IP-.



buzz, , honeydocx.com. – IP- , credit_card.zip.



, , TOR, - .

, , , .
, , , . OWASP Mutillidae II – , . , , , , SQL. IP0- , , IP-.

. TOR , , , . , , , . , IP- VPN, , .

, .

!


感谢您与我们在一起。 你喜欢我们的文章吗？ 想看更多有趣的资料吗？ 通过下订单或将其推荐给您的朋友来支持我们， 为我们为您发明的入门级服务器的独特模拟，为Habr用户提供30％的折扣： 关于VPS（KVM）E5-2650 v4（6核）的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器？ （RAID1和RAID10提供选件，最多24个内核和最大40GB DDR4）。

VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps , .

戴尔R730xd便宜2倍？ 仅在荷兰和美国，我们有2台Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100电视（249美元起） ！ 阅读有关如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程？