Comment le FBI a-t-il compromis les utilisateurs de Tor?
J'ai lu dans cet article que le FBI a réussi à casser l'anonymat de Tor.
D'après ce que j'ai entendu et lu, le routage des oignons rend presque impossible de anonymiser un utilisateur.
La dernière fois que j'ai entendu quelqu'un essayer de casser Tor, c'était le NSA et cela n'a pas réussi ou du moins ils ne l'ont pas annoncé publiquement (l'article était âgé de 2 à 3 ans maintenant et peut ne pas être plus pertinent).
Quelqu'un a-t-il une idée de la façon dont le FBI aurait pu le faire?
L'article que vous liez dit que le FBI a obtenu "l'adresse MAC" pour les ordinateurs des utilisateurs. les adresses MAC sont spécifiques à chaque matériel Ethernet, et elles ne voyagent pas au-delà du premier saut - ce qui signifie qu'elles sont visibles par votre routeur domestique, peut-être celui fourni par le FAI, mais pas au-delà. Si cette information spécifique est vraie, cela signifie que le FBI a réellement déployé un logiciel malveillant sur le site et que les utilisateurs l'ont simplement obtenu sur leur ordinateur.
Après tout, le FBI a d'abord saisi le site incriminé et l'a dirigé, à quel point ils ont eu le plein contrôle sur son contenu. Les personnes qui utilisent Tor pour accéder à un site de pornographie juvénile ne sont pas nécessairement plus intelligentes que les gens moyens, et elles feraient intrinsèquement "confiance" à ce site, ce qui rendrait le déploiement de logiciels malveillants possible, voire facile.
L'anonymat de Tor repose sur l'idée que les attaquants potentiels (le FBI dans ce cas) ne peuvent pas contrôler suffisamment de nœuds pour permettre des corrélations. Cependant, ce "nombre suffisant" n'est pas un chiffre aussi élevé; si l'une de vos connexions, même temporairement, passe par un "nœud d'entrée" contrôlé par l'attaquant, et que le même attaquant peut voir ce qui se passe à la sortie (et il peut, s'il héberge réellement le site cible), alors la corrélation est relativement facile (à la fois par le calendrier des demandes et la taille des paquets, car le chiffrement ne cache pas la taille). Avec le contrôle du site cible, il serait même possible de modifier la taille des paquets de réponse individuels pour faciliter la corrélation.
Cependant, Tor ne fait rien contre le code hostile envoyé à l'utilisateur et exécuté par l'utilisateur, et si l'adresse MAC a été récupérée, ce code était impliqué.
L'article que vous avez publié indique comment ils l'ont fait. Mais l'auteur ne semble pas bien renseigné sur le sujet et cela s'est perdu dans l'article. Ils n'ont pas craqué Tor et ont trouvé un moyen de collecter des analyses qui ne passaient pas par le réseau de Tor.
Tout d'abord, le FBI a confisqué les serveurs exécutant l'anneau de pornographie enfantine sur Tor connu sous le nom de Playpen.
Après avoir saisi le serveur informatique exécutant Playpen auprès d'un hébergeur à Lenoir, en Caroline du Nord, en février 2015, le FBI a décidé de gérer le site Web de pornographie juvénile à partir de ses propres serveurs à Newington, en Virginie, pendant deux semaines supplémentaires entre le 20 février et le 4 février. Mars de cette année.
Ils ont ensuite géré le site avec une intégration Flash sur la page. L'application Flash n'a pas été hébergée via Tor. Et connecté via des moyens traditionnels tels que HTTP ou des sockets. Lors de l'établissement de ces connexions, il contourne complètement Tor. L'application Flash a ensuite collecté les informations auprès de l'utilisateur. En ce qui concerne l'obtention d'une adresse MAC, je ne peux pas vérifier les réclamations. Cela pourrait être le FBI qui souffle de la fumée ou ils pourraient exploiter une vulnérabilité dans Flash Player pour y parvenir. Contrairement à JavaScript, Flash n'est pas en bac à sable et a le potentiel de collecter plus d'informations sur la machine, ce qui a entraîné un certain nombre de CVE. Le FBI a également utilisé cette méthode connue sous le nom de NIT (Network Investigation Technique/Toolkit) dans le passé.
Lorsque les visiteurs ont accédé au site Web, bien que leur trafic ait pu être chiffré, une application Flash a été secrètement installée sur l'ordinateur de l'utilisateur qui envoyait discrètement des données importantes sur l'utilisateur directement au FBI afin qu'elles ne transitent pas du tout par le réseau Tor, selon à Vice carte mère.
Personne n'est sûr à ce stade car les détails n'ont pas été dévoilés. On soupçonne beaucoup que cela a à voir avec les méthodes développées par Carnage Melon fin 2014 et exécutées mi-2015.
https://threatpost.com/judge-confirms-dod-funded-research-to-decloak-tor-users/116464/
Des faiblesses ont été corrigées à la mi-2015, mais certaines faiblesses sont très difficiles à protéger (par exemple, les attaques d'analyse de trafic). Ce n'est pas si facile de contrôler la majorité du réseau Tor, donc ce n'est pas facile de répondre "quelle est l'identité de ce visiteur?", Mais en utilisant ces attaques, il était facile de répondre "donnez-moi une liste de certaines adresses IP communiquer avec ce service caché ".
"Il exige également que l'attaquant ait déjà collecté des caractéristiques de réseau uniques qui peuvent servir d'empreinte digitale pour ce service particulier."
D'après ce que je comprends, le correctif de juillet 2015 devait remédier à ces faiblesses.
Tor est sur un terrain fragile cependant, ce discours sur Blackhat fin 2014 a été mystérieusement retiré ... puis les choses sont devenues dingues en 2015:
"Dans notre analyse, nous avons découvert qu'un adversaire persistant avec une poignée de serveurs puissants et quelques liens gigabit peut anonymiser des centaines de milliers de clients Tor et des milliers de services cachés en quelques mois."
7:26 de décembre 2015 "l'état de l'oignon" entre dans certains de ceci: