Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Prosta metoda deanonimizacji użytkownika Tor (przez Windows DRM).

03 lutego 2017, 08:13 | W biegu | komentarzy 5

Winowajcą w tym przypadku jest Windowsowy system DRM. Można komuś podrzucić tego typu plik (wystarczy 'zwykłe’ pobranie na jakiejś stronie; na filmie poniżej mamy wmv) i po jego otwarciu na Windowsie, otworzy się IE chcący podłączyć się do URL-a zaszytego w podstawionym pliku.

Jeśli plik nie będzie podpisany to pojawi się dodatkowy alert z prośbą o potwierdzenie odwołania się do zewnętrznego URL-a. Ten z podpisem (koszt ~$10 000) od razu się podłączy bez żadnego potwierdzania.

Oczywiście IE nie może być w tym czasie przepuszczonym przez TOR-a, co zawsze można extra skonfigurować.

Na filmiku przykład działania: a) korzystanie z Tor Browser b) pobranie i otworzenie pliku wmv (z DRM).

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Grzegorz

    Ale ale…. przeciez przy uruchomieniu tora jest disclaimer taki zeby powziąć kroki bezpieczeństwa i nigdy przenigdy nie sciagac i nie uruchamiac niczego z sieci tor. A juz szczegolnie na windowsie.

    Odpowiedz
  2. Lord Darkstorm

    Dlatego też od dawna się mówi, żeby nie otwierać żadnych plików pobranych poprzez Tora w czasie, gdy jest się podłączonym do neta.

    Odpowiedz
  3. Te wszystkie metody bazują jednak na dość naiwnym założeniu, że ktoś korzysta z TOR-a z tego samego komputera, co do innych rzeczy. A tak robią chyba tylko ci, którzy ryzykiem deanonimizacji tak naprawdę wcale nie muszą się przejmować.

    Od dwóch lat uczę ludzi, że jeśli chcą korzystać z TOR-a na poważnie, to muszą to robić na całkowicie odrębnym sprzęcie – nie tylko wirtualce, nie tylko dobrze skonfigurowanym routerze, ale całkowicie odrębnym fizycznym sprzęcie. Z dwóch powodów:

    1. Aby się po fakcie nie okazało, że gdzieś raz zapomnieli o włączeniu czegoś… przypomnę, że tak wpadł np. lider LulzSec, czy wiele innych osób.

    2. Aby w przypadku wizyty policji można było bez obaw udostępnić swój „jawny” komputer do przejrzenia (i aby faktycznie nie było na nim nic podejrzanego) – oraz z drugiej strony, aby nie było problemu z tym, że wskutek jakiegoś naszego błędu i częściowej deanonimizacji, policja zabiera do analizy całą naszą infrastrukturę TOR-ową, a my zostajemy bez „jawnego” komputera do codziennej pracy.

    Odpowiedz
  4. rrrr

    ale tak jest z kazym plikiem, nawet pdf.
    dlatego nikt kto sciaga z tora jakies plikinie otwiera ich w srodowisku z dostepem do internetu. czasem po prostu wywlacza sie internet lub robi kopie (pdf2png lub wideo transkodowanie)

    Odpowiedz
  5. as

    jest jeszcze jeden problem z którego userzy nie zdają sobie sprawy.
    uzywając tora nawet na oddzielnej fizycznej maszynie (nowy laptop z windows 10, bo takie najczesciej teraz sie kupuje) ze wzgledu na sam fakt posiadania win10 jestesmy rozróznialni z tłumu poprzez min. unikalny ID sprzetu przypisany do tej instalacji windowsa (aktywacja przebiega poza torem, bo kazdy odpala kompa po jego kupieniu a dopiero potem mysli), ustawione unikalne identyfikatory reklamowe i tresci licencjonowanych (DRM min.) + ciągła komunikacja win 10 z bazą MS.
    tor nic nie da w takim wypadku. to tak samo jak kiedys inicjacja pierwsza karty prepaid na swoim normalnym telefonie, a potem przelozenie tej karty do telefonu „na przekrety” i ktos mysli ze jest anonimowy… identyczna sytuacja ma miejsce aktualnie z lapkami posiadajacymi w domysle win10.
    chcesz byc anonimowy – zloz blaszaka, postaw distro linuxa jako host, do tego virtualbox z np. Whonix gateway i do tego wirtualka pod lewym windowsem podpieta do wewnetrznej sieci whonixa. i jeszcze caly ruch na hoscie rutujesz przez wlasny VPN.

    Odpowiedz

Odpowiedz