FBI čedalje boljši pri deanonimizaciji uporabnikov Tora

Pred dvema letoma je FBI v operaciji Torpedo zmogel identificirati zgolj najbolj površne uporabnike anonimizacijskega sistema Tor, ki so uporabljali prastare različice programske opreme in ki niso upoštevali niti najosnovnejših varnostnih nasvetov. Danes so njihove sposobnosti toliko naprednejše, da anonimnost na Toru ni več samoumevna. Začeli pa so kar z najbolj znanim in javnosti dostopnim orodjem za preverjanje varnostnih ranljivosti in vdiranje – Metasploit.

Metasploit je zlati standard na področju preverjanja varnosti sistemov, ki je prosto dostopen vsakomur. Omogoča enostavno uporabo, saj preprosto izberemo tarčo, konkretno ranljivost, dodamo zlonamerno izvršljivo programje (payload) in napad se odvije. Zaradi velike razširjenosti vse nove odkrite ranljivosti kmalu dobijo svoj modul za Metasploit, ki njihovo izrabo omogoča vsakomur. Metasploit se razvija že od leta 2003, ko ga je začel razvijati heker na dobri strani zakona (white hat) H. D. Moore.

O Metasploitu in Moorovem delu nasploh je v svetu računalniške varnosti ogromno polemik, javnost pa je razdvojena. Po eni strani je Moore odkril in javno obelodanil kopico ranljivosti, ki jih sicer ne bi nikoli zakrpali, po drugi strani pa njegova orodja omogočajo vdore tudi tistim, ki sami niso sposobni izrabiti ranljivosti. A večinsko mnenje o Mooru je izrazito pozitivno.

Eden izmed stranskih projektov je bil tudi Metasploit Decloacking Engine (MDE), ki ga je Moore pisal leta 2006. Šlo je za prikaz koncepta, kako je mogoče identificirati nekatere uporabnike Tora. Slednji je sicer zasnovan varno, a lahko ranljivosti v spremljajoči programski opremi njegovo namembnost povsem izničijo. Eno vsebujejo tudi starejše različice Flasha, ki je bil eden izmed petih trikov, ki jih je MDE uporabljal za izsleditev uporabnikov Tora.

V operaciji Torpedo, v kateri je FBI leta 2012 zaprl tri spletne strani z otroško pornografijo na temnem delu interneta (strežniki na domeni .onion, ki so dosegljivi le prek omrežja Tor) in izsledil številne uporabnike, so uporabljali prav kodo, ki so jo pobrali iz MDE. To pomeni, da so tedaj polovili predvsem najbolj površne kriminalce, ne pa največjih. Samo v ZDA so jih našli petindvajset. Situacija je precej zanimiva, ker je bila privzeta različica Tora (v obliki Tor Browser Bundle) leta 2012 že odporna na MDE, Flasha pa tako ali tako ni pustila namestiti, če se nismo posebej potrudili. Tudi zaradi tega je Moore že zdavnaj prenehal razvijati MDE, a za FBI je bila koda vseeno zelo uporabna.

Operacija Torpedo je bila sicer pomembna tudi zato, ker so prvikrat nekritično sledili vsem obiskovalcem strani, medtem ko so do tedaj vedno pregledovali dnevniške datoteke in potem sledili le ljudem, ki so bili dejansko česa osumljeni. Razlog je v naravi Tora, saj so tu dnevniške datoteke povsem neuporabne.

FBI-jeve sposobnosti so v tem času skokovito napredovale. Racija Torpedo je potekala novembra 2012. Naslednja večja racija je bila julija 2013 in tedaj je bil FBI že sposoben pridobiti naslove IP in MAC večine uporabnikov, ne zgolj tistih s predpotopno različico Tora.

Ob tem spomnimo na pretekle novice, kako je mogoče Tor izkoristiti za podtikanje virusov in kako nekaterih načinov razkritij identitete uporabnikov Tora še vedno ne znamo pojasniti, organi pregona pa seveda taktike ljubosumno skrivajo. Kaj vse zmorejo obveščevalne agencije, npr. NSA, pa lahko le špekuliramo.

Anonimnosti na internetu, če se resnično ne potrudimo in vanjo investiramo ogromno časa, denarja in znanja, ni.

http://www.wired.com/2014/12/fbi-metasploit-tor/