Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

FBI korzystało z Metasploita do walki z pornografią dziecięcą

29 grudnia 2014, 10:52 | Aktualności | 0 komentarzy

W magazynie Wired można przeczytać artykuł Kevina Poulsena dotyczący wykorzystania przez FBI narzędzia pentesterów – Metasploita – do identyfikacji osób rozpowszechniających dziecięcą pornografię w sieci Tor. Obecnie trwa proces karny, w którym między innymi analizowana jest przez biegłych wiarogodność narzędzia Metasploit.

W ramach prowadzonej w listopadzie 2012 roku Operacji Torpedo udało namierzyć się 25 osób związanych z pedofiliskim podziemiem. W sierpniu 2014 w poprzednim artykule dotyczącym Operacji Torpedo Kevin Poulsen przedstawił informacje o wykorzystywaniu przez FBI technik „drive-by download”, czyli infekcji oprogramowaniem szpiegowskim użytkowników odwiedzających podejrzane strony. Co ciekawe dziś wiemy, że do identyfikacji przestępców agencja wykorzystała moduł „Decloaking Engine” opracowany w 2006 roku przez twórcę Metasploita H.D.Moore’a. W 2011 roku projekt został uznany za przestarzały z uwagi na to, że nowe oprogramowanie klienckie do łączenia się z siecią Tor było odporne na sztuczki wykorzystywane przez „Decloaking Engine”.

Moduł „Deckloaking Engine” wykorzystuje kilka technik do odkrycia prawdziwego numeru IP nieostrożnego użytkownika, m.in.:

  • analiza bezpośrednich zapytań DNS w przypadku, jeśli nie są przesyłane przez serwer proxy
  • wykorzystanie apletu JAVY do rozwiązywania nazw hosta lub wysyłania zwrotnego pakietów UDP, które zwykle nie były przekazywane przez serwer proxy
  • jeśli Flash był zainstalowany w przeglądarce ofiary, to w prosty sposób można było zmusić to oprogramowanie do wykonania bezpośredniego połączenia TCP z ujawnieniem IP hosta
  • innym elementem był Dokument Office z obrazkiem, którego lokalizacja była Internecie. Oprogramowanie Office pobierając obraz mogło ujawnić prawdziwe IP takiego komputera (o ujawnianiu adresu IP poprzez otworzenie dokumentu MS Office można poczytać u nas)
  • pozostałe przykłady to Quicktime i iTunes, ale zasada działania pozostaje ta sama, czyli pominąć ustawienia przeglądarki i wykonać bezpośrednie połączenie.

Wszystkie te techniki wykorzystują oprogramowanie zainstalowane na komputerze atakowanego, zmuszając je do ominięcia połączeń z wykorzystaniem serwerów pośredniczących w sieci Tor i wysłanie pakietów bezpośrednich do kontrolowanych przez siebie serwerów.

FBI posłużyło się właśnie 35 linijkowym kodem Flash’a do przygotowania narzędzia deanonimizującego prawdziwe IP osób korzystających z portalu pedofilskich. Osoby te wykorzystując stare oprogramowanie klienckie Tor wpadły w pułapkę „Decloaking Engine” ponieważ flashowy plug-in łączył się z Internetem bezpośrednio z pominięciem sieci Tor. W tym wypadku łączył się bezpośrednio z serwerami kontrolowanymi przez FBI, ujawniając prawdziwe IP osób próbujących się ukryć.

Przypadek ten ujawnił, że FBI stosuje oprogramowanie eufemistycznie zwane „network investigative technique”, które atakuje wszystkich użytkowników odwiedzających daną stronę www. W Departamencie Sprawiedliwości USA trwa aktualnie rozprawa nad legalnością i wiarygodnością dowodów uzyskiwanych za pomocą rządowego oprogramowania szpiegowskiego (ostatnio też pisaliśmy o moralnych aspektach tego typu operacji).

–j23

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz