Známe detaily o vedení útoku na síť TOR v rámci „Operation Onymous“, těžký úder na Darknetu potvrzen. Technická analýza operace od člena hnutí Anonymous, exkluzivně na AE News!

Redakce AE News přináší našim čtenářům exkluzivní výpověď od člena hnutí Anonymous, který kontaktoval naší redakci se žádostí o uveřejnění závažných informací ohledně útoku FBI a Europolu na anonymizační síť TOR a její Onion Network, tedy síť skrytých domén používajících ilegální koncovku .onion na internetu. Naše redakce neměla možnost ověřit pravdivost informací v dokumentu uvedených, ovšem závažnost údajů a detailů v dokumentu naznačuje, že informace jsou legitimní a je potřeba je brát opravdu vážně. Redakce AE News nemá žádnou spojitost s touto osobou nebo její činností, poskytujeme zde pouze nezávislý a svobodný informační prostor. Překlad textu z ruštiny zařídil VK.

[GRAFIKA] Edward Snowden odhalil, že NSA se zajímá o zranitelnost TORu již velmi dlouho

Dobrý den. Na našem ruském serveru Inosmi.ru jsem objevil váš profil a protože mám mnoho přátel v Česku, rád bych využil Vaší nezávislou platformu AE News k uveřejnění zásadních informací a skutečností o operaci „Onymous“, kterou provedla americká FBI ve spolupráci s evropskými orgány Europolu a Eurojustu. Jsem členem ruské divize Anonymous a toto jsou některé naše darknetové stránky, kontakty na mne zde, pokud mne budete chtít kontaktovat (pozn. redakce: z bezpečnostních důvodů nic o autorovi zprávy neuveřejňujeme). Média neuvádí pravdu, co stálo za touto operací a jakým způsobem došlo k zabavení více než 400 darknetových domén (pozn. redakce: Darknet je přezdívka pro síť Onion Network využívající servery a domény ukryté v TOR síti za doménami .onion). Obracím se na vás se žádostí, abyste uveřejnili technickou specifikaci útoku, která v důsledku znamená, že síť TOR definitivně ztratila svoji bezpečnost. Informace, které uvádím, jsou potvrzením toho, že síť TOR má chybu v designu, se kterou autoři projektu nepočítali, přestože dlouhá léta byli na tuto chybu upozorňováni.

Tor již není bezpečný!

Jak jste zaznamenali asi i vy z médií v Česku (ano, zaznamenali jsme, např. zde), americká FBI ve spolupráci s evropskými orgány represivních složek provedla zátah na sajtu Silk Road 2.0 a dalších více než 400 domén s nejrůznějším obsahem nabízených služeb. Na serveru Arstechnica vyšel dezinformační článek FBI [1], který má záměrně odvést pozornost od hlavního způsobu odhalení serverů a identit osob. V článku je uvedeno, že pro zadržení operátora Silk Road 2.0 byla použita infiltrace agentem. To je zřejmě pravda. Ale není to pravda pro zbytek zajištěných webů, takový objem domén a serverů nebyl odhalen formou infiltrace, to je lež, ale díky spolupráci FBI a Europolu s ISP operátory. Máme v naší skupině dostatečně ověřenou informaci, jak k útoku došlo ve skutečnosti.

Nyní víme, že FBI a Europol uplatnili soudní příkazy o mlčenlivosti (tzv. „gag orders“) téměř dvěma desítkám největších ISP operátorů v Evropě a v USA. K útoku byla použita metoda TC-attack, tzn. Traffic Confirmation útok. Cílem útoku bylo získání identity klientů a jejich serverových protějšků bez nutnosti nabourávat kryptování nebo vnitřní komunikaci TOR networku. O to se pokoušeli mnohokrát a neúspěšně. Pokusím se vám popsat, jak útok probíhal a může být kdykoliv v budoucnu zopakován, v čemž spočívá největší hrozba pro svobodný internet, pro bitcoinové obchody, utajenou komunikaci a transakce, k nimž nemají z principu mít přístup represivní orgány a dozorové složky.

[GRAFIKA] Onion Network, přezdívaný Darknet, představují servery, které jsou dostupné jen zevnitř sítě TOR

Síť TOR je uvnitř bezpečná. Zranitelná je ale na svém vstupu (Entry Nodes) a výstupech (Exit Nodes). Pro zjištění identity klienta „A“, který komunikuje se stránkou nebo serverem „B“, je zapotřebí monitorovat proudící data. To se před mnoha lety zdálo jako velmi těžké a tudíž autoři TOR sítě tomu nevěnovali pozornost, resp. věděli o problému, ale neočekávali vývoj věcí budoucích, nepočítali s kauzou Snowden a se skutečnými možnostmi, kapacitami a neomezenou mocí tajných služeb. Celá věc je přitom hrozivě jednoduchá a vektor útoku je snadný a lze jej opakovat neustále dokola, kdykoliv. Funguje to následovně.

Vaše identita na TORu je nyní dostupná doslova na požádání

Pro zjištění identity uživatele „A“ přistupujícího skrze TOR síť na server „B“ stačí získat spolupráci obou ISP operátorů, tedy jak ISP, který poskytuje konektivitu klientovi „A“, tak i ISP, u kterého je hostovaný Exit node. Když se podíváte na tabulku níže, vidíte, že majorita tzv. Exit Nodes je hostována ve skutečnosti jen u hrstky společností, francouzský OVH Systems je v Evropě na špici. Ve spolupráci s vládami jednotlivých zemí tak došlo k vydání příkazů operátorům, aby nasadili na své gatewaye analytické sniffery.

[GRAFIKA] Umístění počtu Exit Nodes sítě TOR u jednotlivých ISP operátorů, nejvíce u OVH

Stejné sniffery potom byly příkazem nasazeny u amerických ISP operátorů jako Verizon, Road Runner, Comcast a dalších. Útok spočívá následně v TC-attacku, kdy analytické softwary na vstupu A a výstupu B porovnávají sekvence paketů. Není to nijak náročné, protože útok je veden pouze na pakety TORu, ostatní pakety tyto sniffery propouští. Pro zajištění identity stačí jediný paket, který projde bránou operátora A v jeho síti např. ve Francii a tentýž paket v bodě B, který přijde do Exit Nodu hostovaného v USA. Pokud pakety souhlasí, dojde k potvrzení identity paketu a jeho původu a také cíle, kam směřuje. Zranitelnost spočívá i v tom, že TOR není kryptován end-to-end, takže pokud nepoužíváte HTTPS pro webovky nebo TLS pro váš SMTP server, útočník může sniffovat váš traffic [2] a tím získat cestu k odhalení vaší identity.

Represivní orgány tak ihned zjistí, jaká fyzická osoba kterého ISP se připojovala na ten který darknetový server hostovaný u hostingového operátora za Exit Nodem. K tomu je zapotřebí spolupráce policie více zemí, proto byla operace Onymous tak rozsáhlá. Jakmile znají identitu klienta A, začnou mu sledovat trvalé bydliště, jeho poštu, balíčky, napíchnou mu email. Stejně tak zjistí, který server u hostingového centra hostuje dakrnetový web server. Pokud majitel serveru byl neopatrný a platí za hosting jako fyzická osoba, mají ho. Pokud je to osoba, která platí za server anonymně, mají prostředky, jak identitu zjistit. Pokusí se ho donutit k telefonickému kontaktu s providerem pod nějakou záminkou slevy, nabídky, rozhovoru o možnostech upgradu zdarma v rámci promo akce, řešení technických potíží atd. a zjistí jeho identitu pomocí telefonu. Policie ale ve většině případů nainstaluje na server nejprve malware a z celého darknetového webu se stane „trap box“, takže dokážou identifikovat po určité době stovky a tisíce klientů daného webu.

Mlčení autorů TORu nahání doslova strach

Autoři TORu přiznávají zranitelnost systému, je-li vektor útoku veden jako Confirmation attack, tedy TC-attack [3]. Zapomněli ale na globalizaci. Jde totiž o to, že máte např. ve zmíněné Francii 22 velkých ISP operátorů, kteří pokrývají 96% všech Francouzů, ale majetková provázanost těch společností s investory je taková, že těch 22 operátoru na nějaké úrovni nahoře má jen 4 majitele, většinou investiční skupiny nebo banky. Američané (za spolupráce vlády dané země) proto předají příkaz těmto 4 investičním domům, aby daly příkazy ředitelům ISP, aby umožnili FBI a dalším monitorovat TOR traffic od uživatelů. Pokud by to majitelé ISP odmítli (což se nikdy nestane), čekali by je obrovské sankce na americkém finančním trhu, zablokováni dolarových operací, obviněni z napomáhání terorismu a praní špinavých peněz atd. K tomu ale nikdy nedojde, žádná finanční skupina nikdy nepůjde proti příkazům FBI, Europolu, pokud přijde řeč na to, že sniffery mají za úkol vysledovat distributory drog apod. V důsledku tedy mají orgány možnost provádět TC-attacky v masivním neomezeném měřítku.

FBI a Europol pochopitelně nemohou pokrýt 100% všech ISP operátorů na světě (zatím), ale jelikož síť TOR funguje způsobem, že mění identitu po každém připojení, stačí si jen počkat, až se oběť připojí na Entry nod hostovaný u některého ze spolupracujících ISP. Jak jednoduché, jak účinné. TC-attack tak představuje hrozbu, proti které v této chvíli nemá TOR obranu. Existuje však způsob ochrany na straně klienta.

TC-attack lze do značné míry eliminovat, pokud se nejprve připojíte se svým počítačem do kryptované VPN sítě, která zaručeně nic a nikoho neloguje. Teprve poté se připojíte do sítě TOR pomocí Tor Browseru. Systém komunikace potom probíhá následovně: Váš vlastní ISP operátor nevidí žádnou TOR komunikaci, pouze VPN kryptovanou konektivitu. To je v pořádku. Do sítě TOR tak vaše pakety vstupuji až z VPN serveru. Sniffer ISP/Hosting operátora, který zrovna hostuje Entry Nod, tak na vstupu uvidí komunikaci z VPN hostingu. TC-attack sice zjistí identitu paketů, ale klient A je identifikován pouze jako komunikace přicházející z VPN networku. A pokud VPN provider neloguje komunikaci, je to fajn, jste v bezpečí. Je to ale bezpečí relativní, protože když dojde na lámání chleba, který VPN provider bude bránit vaší identitu, když za ním přijdou z FBI a řeknou mu, že prodáváte drogy a že když vás neumožní logovat, že bude obviněn z napomáhání a konspirace? Takže v konečném důsledku ani VPN vás neochrání.

Náhrada za TOR neexistuje, oprava TORu v nedohlednu!

100% řešení a obrana proti TC-attack na síť TOR zatím neexistuje. Vývojáři TORu mlčí a namísto sebereflexe vydávají trapná prohlášení o tom, že se nic vlastně nestalo. Tohle je natolik zoufalá situace, že jsem se rozhodl uveřejnit tyto informace, abych varoval ostatní lidi, protože buď jsou vývojáři TORu nezodpovědní, anebo nějak dokonce spolupracují s FBI, když nehodlají chybu v designu TORu přiznat a opravit. TOR is flawed by design! To by mělo teď být napsané na jejich webové stránce. Dokud nebude vyřešena zranitelnost TORu skrze vektor TC-attack, do té doby není TOR ani Tor Browser bezpečný pro nikoho! Dokud dokáží identifikovat identitu paketu na vstupu a na výstupu, do té doby nebude TOR představovat bezpečnou anonymizační platformu, ale spíš obrovský honey pot na důvěřivé lidi, kteří si myslí, že komunikují anonymně.

Vektor útoku na Entry nodu je větší problém, než vulnerabilita na Exit nodech. Sniffery jsou nasazené nejen u evropských hlavních ISP operátorů, ale i u velkých hostingových firem, takže oni dokážou confirmovat identitu na straně A buď u vašeho ISP nebo na prvním vstupním Entry nodu TOR sítě. Stejně tak sniffují hostingy s Exit nody a hostingy, kde běží darknetové servery.

[GRAFIKA] Tento obrázek nahradil mnoho darknetových stránek v posledních hodinách

Že se jedná o TC-attack máme potvrzeno díky tomu, že jeden z našich darknetových serverů spolupracuje pouze s klienty naší VPN privátní sítě, a ten nebyl prolomen, nebyl zkonfiskován, funguje dál. Zatímco od kolegů z Dánska máme informace, že jejich hostingy byly identifikovány komplet všechny, včetně uživatelů (nemají VPN). Stejně tak další skupiny s VPN krytím hlásí normální stav, zatímco ty bez VPN krytí buď skončily nebo hlásí infiltraci a odhalení. Nejvíce obětí hlásí OVH Systems klienti, tento operátor zřejmě spolupracuje s FBI nejintenzivněji.

Éra po TORu? Co dělat v této situaci?

Jak se krýt? TOR network lze zatím bezpečně použít z veřejných WIFI hotspotů a za použití VPN privátního serveru, který si sami provozujete někde jako Black Box a platíte hosting, na kterém vám box jede a platíte za hosting přes Bitcoin. Komerční VPN jako HideMyAss nebo iPredator jsou nebezpečné, i když nelogují třeba teď, pokud je kontaktují z FBI, dovolí jim logovat vás potom, o tom nepochybujte. Takové ty kecy o tom, že za žádných okolností nikdy nic nikomu neposkytnou a nebudou logovat, to jsou jenom marketingové povídačky. Když k nim přijde tajná služba, dají jim pokorně i klíče od svého Cadillacu. Podívejte se, jak dopadli bojovníci z The Pirate Bay. Všichni jsou dnes zatčeni. Oni věřili, že můžou bojovat proti systému zbraněmi tohoto systému, před soudama. Naivkové. Soudy ani ve Švédsku nejsou nástrojem spravedlnosti, ale nástrojem prosazování státního práva a zájmů státu, ne občanů. Systém nelze porazit jeho vlastními zbraněmi (soudy, zákony, úřady).

Internet jako mrtvola: Konec VPN poskytovatelů je blízko, Británie začala zatýkat za provoz proxy služeb! Konec soukromí, konec anonymních IP adres!

Jako ve zlém snu se musí teď cítit lidé v Británii, kteří se nemohli včera připojit na své oblíbené (a v Británii zakázané) stránky, jako např. The Pirate Bay, protože oblíbená proxy služba Immunicity zmizela z internetu. Jak totiž oznámila britská policie, Útvar pro stíhání IP kriminality PIPCU (Police Intellectual Property Crime Unit) oznámil zatčení provozovatele několika proxy serverů, které umožňovaly Britům přistupovat na soudem zakázané webové stránky na internetu [1]. Proxy stránky přitom žádný zákon neporušují, protože nic ke stažení nenabízí, pouze propouští traffic jedním směrem a směřují ho dále. Jde o jednoduché javascriptové aplikace (redirektory), které v rámci webového prohlížeče přepisují všechny URL hlavičky tak, aby používaly volání proxy serverů a obešly tak blokaci domén na úrovni bran operátorů.

Jak se ale zdá, tohle někomu lezlo pořádně krkem. A tak PIPCU s velkou radostí oznámila, že ve spolupráci s hollywoodskými studii se podařilo identifikovat provozovatele proxy stránek a zatknout ho. Byl sice záhy propouštěn na kauci, ale proxy servery už se nerozběhnou, neboť strach je oborvský. Teprve před 2 dny došlo k ukončení provozu jednoho z největších privátních torrent trackerů na internetu, Torrentshack dobrovolně skončil [2], protože jeho provozovateli vyhrožovala britská antipirátská organizace FACT (The Federation Against Copyright Theft).

Podle policie je používání prostředků pro obcházení zákazu soudu trestným činem a mařením soudního rozhodnutí. Na tomto základě se tedy otevírá prostor pro dalekosáhlé důsledky. Dnes to začíná kriminalizací provozu proxy stránek. Od toho je jenom a pouze krůček k VPN službám, protože ty pracují na úplně stejném principu, rozdíl je pouze v tom, že VPN běží na nižší vrstvě internetových protokolů než proxy, ale z hlediska britského zákona v tom není rozdíl.

Hollywoodským studiím (ale i NSA) jsou VPN služby trnem v oku už velmi dlouho, hlavně kvůli tomu, že umožňují lidem z „neautorizovaných“ zemí konzumovat jejich mediální obsah v USA, jako např. televizní seriály na službách Hulu, Netflix apod. Díky VPN získá člověk z druhého konce světa americkou IP adresu a může tak „legálně“ sledovat filmy a seriály. Co na tom, že poctivě platí stejné předplatné za sledování jako Američané a nic nekrade. Hollywood to nezajímá a VPN diváky čas od času blokuje a suspenduje. A potom se manažeři studií diví, že lidé stahují filmy a seriály z torrentů. Pokud se tedy otevře v Británii precedens, že Proxy a VPN služby jsou nástroji k obcházení soudních rozhodnutí, je od toho jenom malý krůček k tomu, že se řekne, že tyto služby obchází „zabezpečení“ a technické prostředky ISP a tím pádem porušují zákony o zákazu prolamování ochran. A to je trestný čin i v USA a také v mnoha státech EU.

Celá situace je o to horší, že zmíněné proxy stránky byly provozovány jako hobby projekty, de facto zdarma a bez profitu, což se rozhodně nedá říct o VPN providerech a jejich službách. Tady je určitá souvislost s Torrentshackem. Tato torrentová ratio-free stránka fungovala jen s malým objemem dotací, narozdíl od mamutích torrentových serverů typu IPT a dalších, které doslova postavily svůj business na prodeji „uploadu gigabajtů“ a „free leech“ slotů. Vypadá to, že cílem je nejprve odstavit malé ryby a nahnat je na velké servery doprostřed rybníka a poté udělat jeden velký zátah na velké i malé ryby uprostřed. Opačným způsobem by to nedávalo smysl, pokud by nejdříve padli velcí hráči, vznikly by desítky menších serverů a nových projektů. Takže antipirátské společnosti na to jdou obráceně.

Ořezávání svobod našich západních demokracií je děsivé. Proxy stránky totiž neblokuje ani Čína, a to je co říct. Británie se rozpadá pod nájezdem imigrantů, islamisté jim tam na ulicích podřezávají vojáky, ale jejich jediná starost je ochrana IP práv hollywoodských studií z USA? Proč mají Američané takovou moc nad britskou vládou? Proč Londýn už tak dlouho je v pozici stínového tanečníka Bílého domu? Jsme snad tady svědky nějakého trans-atlantického vazalství? Potřebuje snad Londýn od Američanů jejich ropu? Nebo plyn? Nebo nějaké zboží? Ne, nikoliv. Tak proč tedy ta servilita Londýna? Pro krásné Husseinovo oči?

Odpověď najdeme ve struktuře FEDu. A ve struktuře londýnského CITY. Ano, už to vidíte. Jde totiž o jedny a ty samé majitele bank na obou březích Atlantiku. A když banky mají stejné stínové majitele, mají obě země i společné vůdce, tedy loutkovodiče. A když mají země společné loutkovodiče, pravá ruka ví, co musí udělat levá, chápete? Když mají hollywoodská studia, tedy americký kapitál, problém na druhé straně louže, druhá ruka udělá, co je potřeba. A obráceně. I když ne tak docela. Stejně tak jako u člověka je jedna ruka pravá a šikovnější, tzv. dominantní a druhá méně používaná, nemotorná, levá, tak stejně tak i v tomto loutkovodičském trans-atlantickém souručenství má jedna strana (ta americká) dominantní pozici a druhá strana jen občas pomůže něco přidržet, občas pomůže udělat nějakou tu špinavou práci za pravou ruku, koneckonců, co děláme my, když potrebujeme sáhnout na něco špinavé, jakou ruku použijeme?

A přesně tuto roli má Londýn. Špinavé pokusy s kamerama v ulicích a sledováním lidí popsal už Orwell, když se osvědčily, začaly se z Británie kamery stěhovat na ulice do USA. Cenzura internetu? Začala v Británii už koncem 90. let, blacklisty závadných webů. Nyní se kontrola internetu opět přenáší na základě zkušeností ze špinavého polygonu v Británii do USA, naostro. Zatýkání za provoz proxy serverů? Opět první vlaštovka v Británii. Proč hollywoodská studia nepožádala americkou policii o pozatýkání provozovatelů amerických proxy stránek? Proč v Británii a ne v USA? No, protože Británie je ta levá, méně dominantní ruka, které se dá poručit z Hollywoodu. A když to funguje, je to vzor pro pravou ruku, později ovšem. A když ne, spálí se jenom levá ruka, pravá zůstane v pohodě.

Černý mafián v Bílém domě kouká jako vyvoraná myš, když se dívá na deficit veřejných financí své země. Jak to Rusové dělají, že mají tak malé dluhy? Ale to mu nebrání nalévat miliardy dolarů do Ukrajiny, ani mu to nebrání v tom, aby dodal fosforové pumy MK77 ukrajinské armádě, které v transportním letadle C-130 Hercules přivezl pan Kerry se svým doprovodem při poslední návštěvě Kyjeva, jak zachytila ruská rozvědka FSB a jak uvedl nedávno ředitel 1. kanálu ruské státní televize Oleg Dobrodejev. Samé dobroty jste nám přivezl, určitě pronesl Porošenko a sliny mu stékaly z úst, zatímco jeho soukmenovci shazovali u Kramatorsku na civilisty napalmové barely domácí ukrajinské výroby. Tomu se říká šíření demokracie po bolševicku, eh, pardon, po demokraticku. Možná si k tomu dali kečup Heinz a dívali se v televizi na ta jatka z vysílání televize Lugansk 24.

Jak řekl Colin Powell moderátorovi Billu Maherovi, v určité chvíli krev nerozeznáte od kečupu. Hahaha, zasmáli se všichni. To je k popukání, dokud ten, ze kterého ten kečup/krev (nehodící se škrtněte) teče, není Američan. To je totiž potom průser a hned se mluví o genocidě, o ochraně těch amerických životních hodnot a hned se skramblují stíhačky, bombardují se irácké svatby a afghánští pěstitelé máku a majitelé stád koz a ovcí v daleké zemi, protože představují pro americké impérium to strašlivé ohrožení té svobody nebo tak nějak. Všichni se potom diví, že když někdo unese letadlo, hledá v něm cestující s americkými pasy, aby je mohl podřezat jako první. A všichni se diví, proč ten národ nemá nikdo rád. No, možná proto, že když škodíte lidem, tak vás nebudou mít rádi. A když vás nemají lidé rádi, tak co uděláte? Polepšíte se? Budete se k nim chovat lépe? Přestanete se jim vměšovat do života? Američané ne. Ti místo polepšení vás naopak začnou špehovat a odposlouchávat, začnou se vás bát a všech těch nepřátel, které si za ta dlouhá léta po světě nadělali, a když už jsou u toho, začnou odposlouchávat i tu hrstku přátel, co jim ještě zbyla, co kdyby se z nich taky stali nepřátelé, ne? Sichr je sichr.

Levá ruka ví moc dobře, co dělá pravá v případě Británie. A je pouze otázkou času, kdy pravá ruka společně s levou nás chytnou všechny v Evropě pod krkem tak silně, až to někde vzadu křupne a bude pozdě na oživování. Kdo chce vidět a slyšet, vidí a slyší: tančícího slona uprostřed místnosti, s velkýma očima na vaše sledování, s velkýma ušima na vaše odposlouchávání, za hlavou mu sedí opice a mává vám… ne, vlastně nemává, hrozí vám pěstí a křičí válečný pokřik a ten slon dupe po mapě Evropy. Jenže slepí nevidí a hluší neslyší, protože vidět nesmí a slyšet nechtějí…