web-dev-qa-db-ja.com

Appleハッカーはどのように捕まえられましたか?チェーンVPNを介してユーザーを識別するためにメタデータをどのように使用できますか?

オンラインプライバシーは、今日多くの人々にとって大きな問題です。
匿名を維持する手段として、VPNの使用が通常の提案です。多くの場合、誰かが「複数のVPNをつなぐだけで安全である」というポイントを思いつきます。
しかし、私の直感では、メタデータを隠すことはできず、オンラインプライバシーを破るために使用できる多くの有用な情報が含まれているとしています。

特にメタデータを念頭に置いて、VPNをチェーン化するこの戦術が実際に効果的であるか、それとも明示的に有効であるかを知りたいです。

メタデータを使用してユーザーを識別し、チェーンVPNでプライバシーを積極的に守ろうとしているユーザーをアクティビティに関連付けることはできますか?その場合、その方法は?

15
SEJPM

非常に良い質問です。 メタデータはめちゃくちゃ強力で、ほとんどの人はそれがどれほど強力であるかを理解していません。幸いなことに、テクノロジーとインターネットの仕組みを少し掘り下げれば、それほど難しいことではありません。

オンラインで非表示にするのは簡単ではないと私は思います。ほとんどの場合、あなたが小さな稚魚の場合、怪しげなことが何も起こらなければ、誰もあなたの活動を最初に調査してからずっとあなたに注意を払うつもりはありません。


国家安全保障の手紙と召喚状

National Security Letters のおかげで、NSA、FBI、DEA、CIA、および他のアルファベット機関が協力して、米国企業に大量のデータを要求できます。米国の土壌での作業を希望する場合は、米国の法律および規制の対象となります。

Stored Communications Act のため、企業はユーザーに関する情報を保存する必要はありませんが、areは、彼らは保存しました。

some抑圧国では、警察が現れて、あなたに彼らがやりたいことを何でもするように強制する必要があるだけであり、あなたが生きたいのなら、あなたには選択肢がありません。さらに悪いことに、政府はこれらのインターネットサービスプロバイダーをown/する可能性があります。


デバイスIDとは何ですか?

この投稿で「デバイスID」について話すときは、マシンを一意に識別できるanythingを参照します。オペレーティングシステムキー、ハードウェアデバイスID列挙、ブラウザフィンガープリント、ログインしているアカウント、他あなたを一意に識別する情報であると想定してください。


デバイスIDの相関

多くのVPNユーザーは、1台のマシンで複数のVPNを連鎖させることができ、「安全」だと考えています。彼らは通常、異なるIPアドレスで複数のサービスに再接続していますが、Device ID 同じまま。

サービスアカウント(Skype、Steam、Battle.netなど)をシャットダウンしたとしても、Microsoft、Appleなどへの情報漏えいは一般的です。 Microsoftに定期的に更新を要求しています。また、Microsoftサーバーに時々パケットを送信することもよくあります。

また、不正なアクションを実行する前にサービスアカウントをシャットダウンした場合、それは自分を隠そうとする明確なパターンを示しており、解放するのに役立ちます。多くの場合、あなたがするならののしり、そうしなければののしりです。

Linuxを使用している場合でも、通常は定期的に更新サーバーに情報を要求します。たとえば、Ubuntuは頻繁に家に電話して情報を入手します。 Ubuntuは、そのとき使用しているIPアドレスを使用します。

ほとんどの主要なサービスプロバイダーは、これらのサーバーへの接続に使用したすべての単一のIPアドレスを記録します。あなた、またはあなたのアカウントを使用している他の誰か。 WindowsまたはOSXを使用すると、コンピューターに関する情報がサーバーに送信されます。そのデバイスIDに関連付けられているすべてのIPアドレスは、調査員があなたを見つけるのに役立ちます。

Device ID Correlation owns your face

これらの画像のほとんどのIPアドレスはローカルIPアドレスであるため、誰かのアドレスを投稿して不快にさせることはありません。

これらの調査方法は、善良な人と悪者によって使用されます。一部の国では、間違った信念を持っている、間違った人種である、または間違った人々に反対することが、通常あなたの死につながります。


成功したデバイスID相関の実際の例

最近の Apple Hack攻撃者は自分のIDをプロキシの背後に隠そうとしました だが、Apple SSH経由でサーバーに接続しているようです、接続プロセス中に何らかの形で実際のMacシリアル番号を明らかにしました。

「2つのAppleラップトップが押収され、シリアル番号は内部システムにアクセスしたデバイスのシリアル番号と一致しました。」


IPアドレスの相関

通常は常にデバイスID分析を支援する別の方法は、IPアドレス相関です。写真では攻撃と呼んでいましたが、実は調査方法です。そして、それで気の利いたもの。

使用されるのはIPアドレスだけではありません。そのようなIPアドレスが使用されるのは時間範囲です。

これは、IPアドレス自体以外の追加情報を漏らすことなく、複数のプロキシの背後に隠れるほど賢い人を検出するために使用できます。

Another helpful method, IP Address Correlation


量子挿入

これは、HTTPS以外のWebサイト、または不適切な構成のHTTPS Webサイトへの典型的な中間者攻撃(MITM)攻撃である可能性が高く、見かけ上の名前が付けられています。これ以上何もない。

これは、価値の高いターゲットにのみ予約されるか、無謀な放棄で悪用される可能性があります。セキュリティ研究者に対するこの攻撃を使用することは、実際に行うには痛々しいほど愚かなことです。ターゲットが完全に認識されていない場合に最適です。スノーデンリークが発生すると、「悪者」も同じように攻撃するので、その価値のある研究者なら誰でもこの種の攻撃について読むことになります。

Quantum Insertion は単にMITM攻撃であり、脅威の攻撃者がWebサイトまたは偽のWebサイトからファイルを取得するリクエストを傍受し、それを別のWebサイトに完全に置き換える可能性があります。たとえば、既知のハッキングツールをダウンロードしている場合、中間者攻撃が成功すると、ダウンロードがリダイレクトされ、同じファイルの感染した亜種に置き換えられます。

また、攻撃者が感染したFlashまたはJavaScriptファイルをページに挿入し、脆弱性を悪用する場合もあります。

MITM攻撃が成功すると、攻撃者はあなたがいるマシンにアクセスでき、ソースからVPNチェーンを解明することで、あなたが実際に誰であるかを簡単に見つけることができます。少なくとも、プロキシチェーン内のIPアドレスの最初のエントリポイントを取得できます。

また、暗号化されていないまたは傍受された接続を介してパスワードを盗む可能性もあります。 パスワードの再利用はあなたの身元を明らかにするのにも役立ちます (ドキュメントの57ページを参照してください。「ページに移動」を使用している場合は59)。


量子挿入/ MITM攻撃に対して脆弱なものの例

一般的なターゲットは、高トラフィックのダウンロードまたは暗号化されていないWebサイトである傾向があります。これには、ファイルをダウンロードするための安全でない方法のみを提供するWebサイトが含まれる可能性があります。

たとえば、NvidiaドライバーはデフォルトでHTTPS以外のダウンロードに設定されており、検証可能なハッシュや署名がHTTPSサイトで利用できません。また、多くのLinuxディストリビューションは、暗号化されていない接続を介してISOも提供します。検証可能なハッシュを提供できないものもあります。さらに、Nvidiaのドライバーは頻繁にデバイスIDを使って電話をかけます。

Burp Suiteなどの一般的なセキュリティ製品では、モジュールを実行するために Jython が必要です。 JythonのWebサイトにはhttps証明書がなく、ソフトウェアの最新バージョンのハッシュを提供せず、SHA1およびMD5古いバージョンのハッシュ。 Jythonには実際のhttps証明書がないため、これらのハッシュを簡単に変更して、誤った安心感を与えることができます。ソフトウェアの古いバージョンは古くなっていることが多く、システムが侵害されるか、特権の昇格によってさらに侵害される可能性があります。


XKeyscoreとPRISM

XKeyscoreとPrismには、ここで説明したなどの機能がすべて備わっています。 NSAおよび一般的に効果のないドラッグネット監視について、あなたが何を望んでいるかを言ってください:それらはいまいましい事後。これは、長期的に犯罪を犯して逃げるのを防ぐのに役立ちます。また、悪者を正義に導くのにも役立ちます...その情報で欲しい。


このようにあなたを追跡できるのは政府だけですか?

残念だけど違う。抑圧的な体制、企業、広告主などは、Web上のユーザーを追跡するために、このようなデータベースを作成および維持できます。

また、多くの企業が第三者とデータを共有しています。 EULAにもあります。次回はEULAを読んでください。ここで私が言及したことの多くへの関連が明らかになります。freeの場合、youが製品であることを忘れないでください。そして多くの場合、それが無料でなくても(Windowsなど)、あなたはstill製品です。

そして抑圧的な体制では、Apple=やMicrosoftなどの企業がビジネスを望んでいる場合、requiredがその法律を遵守する国。これは、抑圧的な体制がYahoo、Hotmail、Google、およびその他のアカウントの背後にいる個人を追跡できる多くの方法の1つです。そして、これらの企業が情報の提供を拒否した場合、罰金、追放、またはさらに悪い

20
Mark Buffalo