web-dev-qa-db-ja.com

FBIはTorユーザーをどのように侵害しましたか?

私は この記事 を読んで、FBIがTorの匿名性を解読することができたと述べました。

私が聞いて読んだことによると、オニオンルーティングでは、ユーザーの匿名化を解除することはほとんど不可能です。

Torをクラックしようとしている人が最後に聞いたのはNSAであり、成功しなかったか、少なくとも公に宣伝しませんでした(記事は現在2〜3年前のものであり、もう関係ありません)。

FBIがどのようにそれを行ったのかについて誰か洞察はありますか?

toranonymity
19
Andy K

リンクした記事は、FBIがユーザーのコンピューターの「MACアドレス」を取得したことを示しています。 MACアドレス は各イーサネットハードウェアに固有であり、最初のホップを超えて移動することはありません。つまり、それらはホームルーター(おそらくISPによって提供されているもの)からは見えますが、それ以降は見えません。その特定の情報が真実である場合、これはFBIが実際にマルウェアをサイトに展開し、ユーザーがコンピューターにそれを入手したことを意味します。

結局のところ、FBIは最初に問題のサイトを押収して実行し、その時点で彼らはそのコンテンツを完全に制御できました。 Torを使用して児童ポルノサイトにアクセスする人々は、平均的な人々よりも賢いとは限りません。また、本質的にそのサイトを「信頼」し、マルウェアの導入をさらに簡単にします。

Torの匿名性は、潜在的な攻撃者(その場合はFBI)が、相関を可能にするのに十分な数のノードを制御できないという考えに依存しています。ただし、「十分に多い」というのはそれほど大きな数ではありません。接続の1つが一時的であっても、攻撃者によって制御される「エントリノード」を通過し、同じ攻撃者が出口で何が起こるかを確認できる場合(実際にターゲットサイトをホストしている場合は可能)、相関は比較的簡単(要求のタイミングとパケットのサイズの両方を通じて、暗号化はサイズを隠さないため)ターゲットサイトを制御することで、個々の応答パケットのサイズを変更して、関連付けを支援することもできます。

ただし、Torはユーザーに送信され、ユーザーによって実行される悪意のあるコードに対しては何もしません。MACアドレスが回復した場合、そのようなコードが関与していました。

42
Thomas Pornin

あなたが投稿した記事は彼らがそれをどのようにしたかを述べています。しかし、作者はこの問題について知識がなく、記事で迷子になりました。彼らはTorをクラックせず、Torのネットワークを経由しない分析を収集する方法を見つけました。

最初にFBIは、Playpenとして知られるTorで児童ポルノリングを実行しているサーバーを押収しました。

2015年2月、ノースカロライナ州レノアのWebホストからPlaypenを実行しているコンピューターサーバーを奪取した後、FBIはバージニア州ニューイントンの自社サーバーから児童ポルノWebサイトを実行することを決定しました。その年の3月。

次に、ページにFlashを埋め込んでサイトを実行しました。 FlashアプリケーションはTor経由でホストされていませんでした。そして、HTTPやソケットなどの従来の手段を介して接続されます。これらの接続を確立すると、Torを完全にバイパスします。次に、Flashアプリケーションはユーザーから情報を収集しました。 MACアドレスを取得する限り、申し立てを確認できません。これは、FBIが煙を吹いているか、Flashプレーヤーの脆弱性を悪用してこれを実現する可能性があります。 JavaScriptとは異なり、Flashはサンドボックス化されておらず、かなりの数のCVEをもたらしたマシンからより多くの情報を収集する可能性があります。 FBIはまた、過去にNIT(ネットワーク調査手法/ツールキット)として知られるこの方法を利用しました。

訪問者がWebサイトにアクセスすると、トラフィックは暗号化されている可能性がありますが、Flashアプリケーションがユーザーのコンピューターに密かにインストールされており、ユーザーに関する重要なデータをFBIに直接静かに送信して、Torネットワークをまったく通過させていませんでした。マザーボード副に。

29
Bacon Brad

詳細は公開されていないため、現時点では誰も確信が持てない。これは、Carnage Melonが2014年後半に開発し、2015年半ばに実行した方法に関係しているという疑いがたくさんあります。

https://threatpost.com/judge-confirms-dod-funded-research-to-decloak-tor-users/116464/

2015年半ばに修正された弱点がありましたが、保護するのが非常に難しいいくつかの弱点があります(トラフィック分析攻撃など)。 Torネットワークの大部分を制御するのはそれほど簡単ではないので、「このビジターのIDは何か」に答えるのは簡単ではありませんが、これらの攻撃を使用すると、「いくつかのIPのリストを取得してください」と答えるのは簡単でしたこの隠されたサービスと通信する」。

http://arstechnica.com/security/2015/08/concerns-new-tor-weakness-is-being-exploited-Prompt-dark-market-shut-down/

「また、攻撃者は、特定のサービスのフィンガープリントとして機能する固有のネットワーク特性を以前に収集している必要があります。」

私の理解では、2015年7月の修正はこれらの弱点に対処することでした。

Torは不安定な状況にありますが、2014年後半のこのブラックハットの講演は不思議なことに引き寄せられました...その後、2015年に事態は一変しました。

https://web.archive.org/web/20140705114447/http://blackhat.com/us-14/briefings.html#you-dont-have-to-be-the-nsa-to- break-tor-deanonymizing-users-on-a-budget

「私たちの分析では、少数の強力なサーバーと2つのギガビットリンクを持つ永続的な敵が、数か月以内に数十万のTorクライアントと数千の隠しサービスを匿名化できないことを発見しました。」

2015年12月7日26日の「タマネギの状態」はこれのいくつかに入ります:

https://www.youtube.com/watch?v=EXEUE__ap08

5
mgjk