Známe detaily o vedení útoku na síť TOR v rámci „Operation Onymous“, těžký úder na Darknetu potvrzen. Technická analýza operace od člena hnutí Anonymous, exkluzivně na AE News!

Redakce AE News přináší našim čtenářům exkluzivní výpověď od člena hnutí Anonymous, který kontaktoval naší redakci se žádostí o uveřejnění závažných informací ohledně útoku FBI a Europolu na anonymizační síť TOR a její Onion Network, tedy síť skrytých domén používajících ilegální koncovku .onion na internetu. Naše redakce neměla možnost ověřit pravdivost informací v dokumentu uvedených, ovšem závažnost údajů a detailů v dokumentu naznačuje, že informace jsou legitimní a je potřeba je brát opravdu vážně. Redakce AE News nemá žádnou spojitost s touto osobou nebo její činností, poskytujeme zde pouze nezávislý a svobodný informační prostor. Překlad textu z ruštiny zařídil VK.

[GRAFIKA] Edward Snowden odhalil, že NSA se zajímá o zranitelnost TORu již velmi dlouho

Dobrý den. Na našem ruském serveru Inosmi.ru jsem objevil váš profil a protože mám mnoho přátel v Česku, rád bych využil Vaší nezávislou platformu AE News k uveřejnění zásadních informací a skutečností o operaci „Onymous“, kterou provedla americká FBI ve spolupráci s evropskými orgány Europolu a Eurojustu. Jsem členem ruské divize Anonymous a toto jsou některé naše darknetové stránky, kontakty na mne zde, pokud mne budete chtít kontaktovat (pozn. redakce: z bezpečnostních důvodů nic o autorovi zprávy neuveřejňujeme). Média neuvádí pravdu, co stálo za touto operací a jakým způsobem došlo k zabavení více než 400 darknetových domén (pozn. redakce: Darknet je přezdívka pro síť Onion Network využívající servery a domény ukryté v TOR síti za doménami .onion). Obracím se na vás se žádostí, abyste uveřejnili technickou specifikaci útoku, která v důsledku znamená, že síť TOR definitivně ztratila svoji bezpečnost. Informace, které uvádím, jsou potvrzením toho, že síť TOR má chybu v designu, se kterou autoři projektu nepočítali, přestože dlouhá léta byli na tuto chybu upozorňováni.

Tor již není bezpečný!

Jak jste zaznamenali asi i vy z médií v Česku (ano, zaznamenali jsme, např. zde), americká FBI ve spolupráci s evropskými orgány represivních složek provedla zátah na sajtu Silk Road 2.0 a dalších více než 400 domén s nejrůznějším obsahem nabízených služeb. Na serveru Arstechnica vyšel dezinformační článek FBI [1], který má záměrně odvést pozornost od hlavního způsobu odhalení serverů a identit osob. V článku je uvedeno, že pro zadržení operátora Silk Road 2.0 byla použita infiltrace agentem. To je zřejmě pravda. Ale není to pravda pro zbytek zajištěných webů, takový objem domén a serverů nebyl odhalen formou infiltrace, to je lež, ale díky spolupráci FBI a Europolu s ISP operátory. Máme v naší skupině dostatečně ověřenou informaci, jak k útoku došlo ve skutečnosti.

Nyní víme, že FBI a Europol uplatnili soudní příkazy o mlčenlivosti (tzv. „gag orders“) téměř dvěma desítkám největších ISP operátorů v Evropě a v USA. K útoku byla použita metoda TC-attack, tzn. Traffic Confirmation útok. Cílem útoku bylo získání identity klientů a jejich serverových protějšků bez nutnosti nabourávat kryptování nebo vnitřní komunikaci TOR networku. O to se pokoušeli mnohokrát a neúspěšně. Pokusím se vám popsat, jak útok probíhal a může být kdykoliv v budoucnu zopakován, v čemž spočívá největší hrozba pro svobodný internet, pro bitcoinové obchody, utajenou komunikaci a transakce, k nimž nemají z principu mít přístup represivní orgány a dozorové složky.

[GRAFIKA] Onion Network, přezdívaný Darknet, představují servery, které jsou dostupné jen zevnitř sítě TOR

Síť TOR je uvnitř bezpečná. Zranitelná je ale na svém vstupu (Entry Nodes) a výstupech (Exit Nodes). Pro zjištění identity klienta „A“, který komunikuje se stránkou nebo serverem „B“, je zapotřebí monitorovat proudící data. To se před mnoha lety zdálo jako velmi těžké a tudíž autoři TOR sítě tomu nevěnovali pozornost, resp. věděli o problému, ale neočekávali vývoj věcí budoucích, nepočítali s kauzou Snowden a se skutečnými možnostmi, kapacitami a neomezenou mocí tajných služeb. Celá věc je přitom hrozivě jednoduchá a vektor útoku je snadný a lze jej opakovat neustále dokola, kdykoliv. Funguje to následovně.

Vaše identita na TORu je nyní dostupná doslova na požádání

Pro zjištění identity uživatele „A“ přistupujícího skrze TOR síť na server „B“ stačí získat spolupráci obou ISP operátorů, tedy jak ISP, který poskytuje konektivitu klientovi „A“, tak i ISP, u kterého je hostovaný Exit node. Když se podíváte na tabulku níže, vidíte, že majorita tzv. Exit Nodes je hostována ve skutečnosti jen u hrstky společností, francouzský OVH Systems je v Evropě na špici. Ve spolupráci s vládami jednotlivých zemí tak došlo k vydání příkazů operátorům, aby nasadili na své gatewaye analytické sniffery.

[GRAFIKA] Umístění počtu Exit Nodes sítě TOR u jednotlivých ISP operátorů, nejvíce u OVH

Stejné sniffery potom byly příkazem nasazeny u amerických ISP operátorů jako Verizon, Road Runner, Comcast a dalších. Útok spočívá následně v TC-attacku, kdy analytické softwary na vstupu A a výstupu B porovnávají sekvence paketů. Není to nijak náročné, protože útok je veden pouze na pakety TORu, ostatní pakety tyto sniffery propouští. Pro zajištění identity stačí jediný paket, který projde bránou operátora A v jeho síti např. ve Francii a tentýž paket v bodě B, který přijde do Exit Nodu hostovaného v USA. Pokud pakety souhlasí, dojde k potvrzení identity paketu a jeho původu a také cíle, kam směřuje. Zranitelnost spočívá i v tom, že TOR není kryptován end-to-end, takže pokud nepoužíváte HTTPS pro webovky nebo TLS pro váš SMTP server, útočník může sniffovat váš traffic [2] a tím získat cestu k odhalení vaší identity.

Represivní orgány tak ihned zjistí, jaká fyzická osoba kterého ISP se připojovala na ten který darknetový server hostovaný u hostingového operátora za Exit Nodem. K tomu je zapotřebí spolupráce policie více zemí, proto byla operace Onymous tak rozsáhlá. Jakmile znají identitu klienta A, začnou mu sledovat trvalé bydliště, jeho poštu, balíčky, napíchnou mu email. Stejně tak zjistí, který server u hostingového centra hostuje dakrnetový web server. Pokud majitel serveru byl neopatrný a platí za hosting jako fyzická osoba, mají ho. Pokud je to osoba, která platí za server anonymně, mají prostředky, jak identitu zjistit. Pokusí se ho donutit k telefonickému kontaktu s providerem pod nějakou záminkou slevy, nabídky, rozhovoru o možnostech upgradu zdarma v rámci promo akce, řešení technických potíží atd. a zjistí jeho identitu pomocí telefonu. Policie ale ve většině případů nainstaluje na server nejprve malware a z celého darknetového webu se stane „trap box“, takže dokážou identifikovat po určité době stovky a tisíce klientů daného webu.

Mlčení autorů TORu nahání doslova strach

Autoři TORu přiznávají zranitelnost systému, je-li vektor útoku veden jako Confirmation attack, tedy TC-attack [3]. Zapomněli ale na globalizaci. Jde totiž o to, že máte např. ve zmíněné Francii 22 velkých ISP operátorů, kteří pokrývají 96% všech Francouzů, ale majetková provázanost těch společností s investory je taková, že těch 22 operátoru na nějaké úrovni nahoře má jen 4 majitele, většinou investiční skupiny nebo banky. Američané (za spolupráce vlády dané země) proto předají příkaz těmto 4 investičním domům, aby daly příkazy ředitelům ISP, aby umožnili FBI a dalším monitorovat TOR traffic od uživatelů. Pokud by to majitelé ISP odmítli (což se nikdy nestane), čekali by je obrovské sankce na americkém finančním trhu, zablokováni dolarových operací, obviněni z napomáhání terorismu a praní špinavých peněz atd. K tomu ale nikdy nedojde, žádná finanční skupina nikdy nepůjde proti příkazům FBI, Europolu, pokud přijde řeč na to, že sniffery mají za úkol vysledovat distributory drog apod. V důsledku tedy mají orgány možnost provádět TC-attacky v masivním neomezeném měřítku.

FBI a Europol pochopitelně nemohou pokrýt 100% všech ISP operátorů na světě (zatím), ale jelikož síť TOR funguje způsobem, že mění identitu po každém připojení, stačí si jen počkat, až se oběť připojí na Entry nod hostovaný u některého ze spolupracujících ISP. Jak jednoduché, jak účinné. TC-attack tak představuje hrozbu, proti které v této chvíli nemá TOR obranu. Existuje však způsob ochrany na straně klienta.

TC-attack lze do značné míry eliminovat, pokud se nejprve připojíte se svým počítačem do kryptované VPN sítě, která zaručeně nic a nikoho neloguje. Teprve poté se připojíte do sítě TOR pomocí Tor Browseru. Systém komunikace potom probíhá následovně: Váš vlastní ISP operátor nevidí žádnou TOR komunikaci, pouze VPN kryptovanou konektivitu. To je v pořádku. Do sítě TOR tak vaše pakety vstupuji až z VPN serveru. Sniffer ISP/Hosting operátora, který zrovna hostuje Entry Nod, tak na vstupu uvidí komunikaci z VPN hostingu. TC-attack sice zjistí identitu paketů, ale klient A je identifikován pouze jako komunikace přicházející z VPN networku. A pokud VPN provider neloguje komunikaci, je to fajn, jste v bezpečí. Je to ale bezpečí relativní, protože když dojde na lámání chleba, který VPN provider bude bránit vaší identitu, když za ním přijdou z FBI a řeknou mu, že prodáváte drogy a že když vás neumožní logovat, že bude obviněn z napomáhání a konspirace? Takže v konečném důsledku ani VPN vás neochrání.

Náhrada za TOR neexistuje, oprava TORu v nedohlednu!

100% řešení a obrana proti TC-attack na síť TOR zatím neexistuje. Vývojáři TORu mlčí a namísto sebereflexe vydávají trapná prohlášení o tom, že se nic vlastně nestalo. Tohle je natolik zoufalá situace, že jsem se rozhodl uveřejnit tyto informace, abych varoval ostatní lidi, protože buď jsou vývojáři TORu nezodpovědní, anebo nějak dokonce spolupracují s FBI, když nehodlají chybu v designu TORu přiznat a opravit. TOR is flawed by design! To by mělo teď být napsané na jejich webové stránce. Dokud nebude vyřešena zranitelnost TORu skrze vektor TC-attack, do té doby není TOR ani Tor Browser bezpečný pro nikoho! Dokud dokáží identifikovat identitu paketu na vstupu a na výstupu, do té doby nebude TOR představovat bezpečnou anonymizační platformu, ale spíš obrovský honey pot na důvěřivé lidi, kteří si myslí, že komunikují anonymně.

Vektor útoku na Entry nodu je větší problém, než vulnerabilita na Exit nodech. Sniffery jsou nasazené nejen u evropských hlavních ISP operátorů, ale i u velkých hostingových firem, takže oni dokážou confirmovat identitu na straně A buď u vašeho ISP nebo na prvním vstupním Entry nodu TOR sítě. Stejně tak sniffují hostingy s Exit nody a hostingy, kde běží darknetové servery.

[GRAFIKA] Tento obrázek nahradil mnoho darknetových stránek v posledních hodinách

Že se jedná o TC-attack máme potvrzeno díky tomu, že jeden z našich darknetových serverů spolupracuje pouze s klienty naší VPN privátní sítě, a ten nebyl prolomen, nebyl zkonfiskován, funguje dál. Zatímco od kolegů z Dánska máme informace, že jejich hostingy byly identifikovány komplet všechny, včetně uživatelů (nemají VPN). Stejně tak další skupiny s VPN krytím hlásí normální stav, zatímco ty bez VPN krytí buď skončily nebo hlásí infiltraci a odhalení. Nejvíce obětí hlásí OVH Systems klienti, tento operátor zřejmě spolupracuje s FBI nejintenzivněji.

Éra po TORu? Co dělat v této situaci?

Jak se krýt? TOR network lze zatím bezpečně použít z veřejných WIFI hotspotů a za použití VPN privátního serveru, který si sami provozujete někde jako Black Box a platíte hosting, na kterém vám box jede a platíte za hosting přes Bitcoin. Komerční VPN jako HideMyAss nebo iPredator jsou nebezpečné, i když nelogují třeba teď, pokud je kontaktují z FBI, dovolí jim logovat vás potom, o tom nepochybujte. Takové ty kecy o tom, že za žádných okolností nikdy nic nikomu neposkytnou a nebudou logovat, to jsou jenom marketingové povídačky. Když k nim přijde tajná služba, dají jim pokorně i klíče od svého Cadillacu. Podívejte se, jak dopadli bojovníci z The Pirate Bay. Všichni jsou dnes zatčeni. Oni věřili, že můžou bojovat proti systému zbraněmi tohoto systému, před soudama. Naivkové. Soudy ani ve Švédsku nejsou nástrojem spravedlnosti, ale nástrojem prosazování státního práva a zájmů státu, ne občanů. Systém nelze porazit jeho vlastními zbraněmi (soudy, zákony, úřady).

Bloomberg: NSA zneužívala Heartbleed bug v OpenSSL pro zpravodajské účely dva roky!

Je to venku a dokonce z oficialnich medii! Bloomberg prave potvrdil [1], ze NSA znala a zneuzivala Heartbleed bug v OpenSSL pluginu hned od samotneho pocatku, kdyz se v kodu OpenSSL chyba poprve objevila, tedy od roku 2012. Nelze uz tedy na netu verit vubec nicemu, zadnemu kryptovani, zadnemu zabezpeceni. Dochazi opet k potvrzeni slov Edwarda Snowdena ze zari lonskeho roku, kdy upozornil, ze NSA umi desifrovat naprosto bez problemu softwarove implementace symetrickych i asymetrickych sifrovani ve vetsine dostupnych komercnich i open source aplikacich na trhu, jak uz tady o tom vcera psal Dylan [2].

Dnes tak de facto jen zacina vyplouvat na povrch to, co jsem tu uz ve svem komentari pred dvema dny „konspiroval“ a spekuloval ja sam, totiz ze tohle je zkratka jenom spicka ledovce a de facto nestastne odhaleni jednoho z velkych NSA „bugu“ v softwarovych implementacich nejruznejsich kryptovacich systemu na trhu [3].

Sifrovaci systemy jsou jako past. Myslite si, ze kdyz sifrujete, jste v bezpeci. Pritom podle slov Edwarda Snowdena jde o presny opak. Na sifrovaci funkce NSA chyta sve obeti, lidi, co se chteji nejen podilet na terorismu, ale treba se jenom chteji vyhnout danim a pres „zabezpecene“ bankovnictvi si spravuji bokem tucny ucet ve Svycarsku nebo nekde v Karibiku. A „klaudove“ sluzby (ja rikam „klaunove“) a zvyk ukladat vsechno do cloudu? Proboha, lidi, mejte rozum a vsechno si stahujte zpatky k sobe, zruste cloudova uloziste a ucty na Dropboxech a vsude jinde, vzdyt si uvedomte, ze oni vam ten prostor nabizeji doslova za ucelem vytvoreni si profilu o vas a zaneseni do databazi a vaseho zaskatulkovani.

Pred casem Kevin Mitnick v rozhovoru pro stanici MSNBC rikal, ze updaty a aktualizace Windows Update jsou jenom zoufalym zaplatovanim letitych chyb, o kterych rozvedka a tajne sluzby vedi dlouhla leta a roky, daleko dele nez jenom dva roky, jako v pripade ted Heartbleed bugu. To je proste sileny! Do kazdeho operacniho systemu se dostanou a uplne nejsnaze do Linuxu. Falesna predstava bezpeci a otevrenost zdrojovych kodu Linuxu umoznuje analytikum NSA najit v kodu stovky bezpecnostnich der, z nichz jenom zlomek se zverejni. A protoze prave Linux je dnes hlavnim operacnim systemem na serverech, jiste si dokazete predstavit, kolik webovych hostingu a stranek, ktere bezi na Apache serverech na Linuxu je dnes zranitelnych ze strany „chlapcu“ z NSA. Dostanou se ke vsemu, nevite o tom, pokud sami nechteji a neprozradi to na sebe tak, jako to prozradil Edward Snowden.

Nema smysl menit hesla! Tohle je uplne jiny level, jina liga takoveho formatu, ze abyste meli opravdu bezpeci a soukromi, museli byste prestat pouzivat elektroniku, pocitace, mobily a zit nekde v jeskyni. To je ten dnesni system, postaveny na „hajzlech a kurvach“, jak trefne i kdyz kapke sproste rekl jisty ukrajinsky boxer a mozna budouci starosta Kyjeva ve vztahu k dnesni dobe a lidech napojenych na moc a politiku. Ve jmenu bezpecnosti vam vlezou i do postele, jestli tam nemate bombu nebo vetsi nez male mnozstvi marjanky.

TrueCrypt skončil kvůli NSA, která vyhrožovala vývojářům!

Snowden projekt TrueCrypt podpořil, čímž mu zpečetil jeho osud!

Internetem v poslednich hodinach otrasa doslova skandal. Jeden z nejuspesnejsich open source projektu na sifrovani dat TrueCrypt totiz na sve webove strance [1][1a] oznamuje konec vyvoje projektu a vyzyva uzivatele k prechodu na konkurencni komercni produkt BitLocker od Microsoftu, ktery pritom Edward Snowden oznacil za prolezly backdoory (zadnimi vratky) uz od samotneho zakladu, coz potvrdil i jeden z vyvojaru BitLockeru, ze na neho byl vyvijen natlak na to, aby agentum FBI a federalnim uradum umoznil vytvorit do systemu pristup [2] a ze rozhodne nebyl sam, kdo byl takto z vyvojaru Microsoftu osloven.

Vsechno se pritom na webove strance zda legitimni, nezda se, ze by slo o hack stranky (tzv. deface), nebot vyzva tam visi uz mnoho hodin a nikdo z administratoru domeny zatim nezasahl, ani se nezda, ze by se o to snazil. TrueCrypt pritom uz dva roky nebyl aktualizovany, presto ovsem patril mezi nejbezpecnejsi nastroje, ktery prosel i auditem [3], a to sotva pred mesicem. Projekt, na kterem se podilelo pres 200 vyvojaru z celeho sveta, jakoby umrel. Jak se nyni ukazuje, Snowdenova podpora projektu TrueCrypt, ktery oznacil za jeden z klicovych nastroju ochrany soukromi, do kterych se NSA nepodarilo „dostat“ a infiltrovat do zdrojovych kodu sve backdoory, tak vedla podle vseho k naprosto bezprecedentnimu utoku na samotnou existenci webu, vyvojarsky tym a projekt jako takovy [4].

Nestacilo jenom klicovym vyvojarum jadra TrueCryptu vyhrozovat „bezpecnostnimi zajmy USA“, Patriot Actem, NDAA a predevsim National Security Letter (NSL) [5], ktery umoznuje federalnim uradum prikazat americkym fyzickym i pravnickym osobam poskytnout plnou soucinnost s cinnosti federalniho uradu, ktery o spolupraci subjekt pozada. Bylo nutne rovnou cely projekt poslat k ledu. Bez rukavicek. Softwarove spolecnosti jsou totiz v USA nuceny na pokyn NSA ci FBI poskytovat logy ze svych serveru anebo primo instalovat do zdrojovych kodu svych programu zadni vratka, coz potvrzuje v diskusi k tematu na Slashdotu i jeden z vyvojaru obeznameny s procedurou ohledne NSL [6]. Vyvojari TrueCryptu toto zrejme odmitli, cast se jich zalekla a prestala na projektu participovat.

Jenze TrueCrypt, ktery nebyl uz plne kompatibilni s novymi Windows 8 a 8.1 (nefungovala podpora secure boot drive kryptovani pod UEFI a Snowden navic oznacil Win 8 za nebezpecne a jeho slova potvrdila i nemecka vlada [9], ze Windows 8 jsou nebezpecna pro pouzivani), uz vyvojari kvuli „sekundarni nebezpecnosti prostredi“ neportovali na nejnovejsi Windows platformu, protoze nemohli garantovat ochranu uzivatelu TrueCryptu nainstalovaneho v prostredi techto novych Windows. Nemuzete poskytovat ochranu soukromi uzivatelum na operacnim systemu, ktery je od zakladu projektovany, aby vas umoznoval sledovat, logovat a odposlouchavat (Snowdenova slova).

Konec TrueCryptu a rozpraseni vyvojarskeho teamu, ktere nema v historii internetu obdoby (zadny jiny takto uspesny projekt nikdy v minulosti neztratil veskere sve klicove vyvojare a nezabouchnul za sebou dvere pred svymi uzivateli tak silenym zpusobem, jaky muzeme nyni sledovat na webove strance TrueCryptu v techto hodinach), znamena, ze v ramci Endgame a nadchazejiciho zasedani skupiny Bilderberg v Kodani uz neni pochyb o tom, ze nikdo na nikoho uz nebude brat ohledy a veskera opozice prosazujici svobody obcana a ochranu jeho soukromi bude znicena a odstranena.

Nebojte se ale TrueCrypt nadale pouzivat (i kdyz na jinych OS nez Windows 8 anebo vyssich), zalohy vsech jeho verzi, ktere kdy byly vydany, jsou k dispozici v online depozitarich na netu, treba zde. Durazne upozornuji, abyste nestahovali verzi 7.2, ktera je nove umistena jako jedina ke stazeni na soucasnem webu TrueCryptu. Ma mnohem mensi velikost nez predchozi verze, je tudiz nejen orezana o funkcnost (umi zrejme data jen dekryptovat), ale buhvi co dalsiho do ni namontovali soucasni „sefove“, kteri drzi momentalne dozor nad webovou sajtou a v roli hrobnika dusledne sleduji, aby vsichni uzivatele TrueCryptu uposlechli dobrotivou vyzvu strycka Sama a presli na uzavreny komercni a backdoory prolezly BitLocker od Microsoftu.

Je zle, maticko, zle. Jeden po druhem budou odstraneni vsichni, kteri se stavi na odpor vizi noveho svetoveho radu, stejne jako byl odstranen Lavabit mail [10][10b], Silent Circle mail [11] a dalsi sluzby zajistujici soukromi uzivatelu, je stejnym zpusobem likvidovan i TrueCrypt.