Známe detaily o vedení útoku na síť TOR v rámci „Operation Onymous“, těžký úder na Darknetu potvrzen. Technická analýza operace od člena hnutí Anonymous, exkluzivně na AE News!

Redakce AE News přináší našim čtenářům exkluzivní výpověď od člena hnutí Anonymous, který kontaktoval naší redakci se žádostí o uveřejnění závažných informací ohledně útoku FBI a Europolu na anonymizační síť TOR a její Onion Network, tedy síť skrytých domén používajících ilegální koncovku .onion na internetu. Naše redakce neměla možnost ověřit pravdivost informací v dokumentu uvedených, ovšem závažnost údajů a detailů v dokumentu naznačuje, že informace jsou legitimní a je potřeba je brát opravdu vážně. Redakce AE News nemá žádnou spojitost s touto osobou nebo její činností, poskytujeme zde pouze nezávislý a svobodný informační prostor. Překlad textu z ruštiny zařídil VK.

[GRAFIKA] Edward Snowden odhalil, že NSA se zajímá o zranitelnost TORu již velmi dlouho

Dobrý den. Na našem ruském serveru Inosmi.ru jsem objevil váš profil a protože mám mnoho přátel v Česku, rád bych využil Vaší nezávislou platformu AE News k uveřejnění zásadních informací a skutečností o operaci „Onymous“, kterou provedla americká FBI ve spolupráci s evropskými orgány Europolu a Eurojustu. Jsem členem ruské divize Anonymous a toto jsou některé naše darknetové stránky, kontakty na mne zde, pokud mne budete chtít kontaktovat (pozn. redakce: z bezpečnostních důvodů nic o autorovi zprávy neuveřejňujeme). Média neuvádí pravdu, co stálo za touto operací a jakým způsobem došlo k zabavení více než 400 darknetových domén (pozn. redakce: Darknet je přezdívka pro síť Onion Network využívající servery a domény ukryté v TOR síti za doménami .onion). Obracím se na vás se žádostí, abyste uveřejnili technickou specifikaci útoku, která v důsledku znamená, že síť TOR definitivně ztratila svoji bezpečnost. Informace, které uvádím, jsou potvrzením toho, že síť TOR má chybu v designu, se kterou autoři projektu nepočítali, přestože dlouhá léta byli na tuto chybu upozorňováni.

Tor již není bezpečný!

Jak jste zaznamenali asi i vy z médií v Česku (ano, zaznamenali jsme, např. zde), americká FBI ve spolupráci s evropskými orgány represivních složek provedla zátah na sajtu Silk Road 2.0 a dalších více než 400 domén s nejrůznějším obsahem nabízených služeb. Na serveru Arstechnica vyšel dezinformační článek FBI [1], který má záměrně odvést pozornost od hlavního způsobu odhalení serverů a identit osob. V článku je uvedeno, že pro zadržení operátora Silk Road 2.0 byla použita infiltrace agentem. To je zřejmě pravda. Ale není to pravda pro zbytek zajištěných webů, takový objem domén a serverů nebyl odhalen formou infiltrace, to je lež, ale díky spolupráci FBI a Europolu s ISP operátory. Máme v naší skupině dostatečně ověřenou informaci, jak k útoku došlo ve skutečnosti.

Nyní víme, že FBI a Europol uplatnili soudní příkazy o mlčenlivosti (tzv. „gag orders“) téměř dvěma desítkám největších ISP operátorů v Evropě a v USA. K útoku byla použita metoda TC-attack, tzn. Traffic Confirmation útok. Cílem útoku bylo získání identity klientů a jejich serverových protějšků bez nutnosti nabourávat kryptování nebo vnitřní komunikaci TOR networku. O to se pokoušeli mnohokrát a neúspěšně. Pokusím se vám popsat, jak útok probíhal a může být kdykoliv v budoucnu zopakován, v čemž spočívá největší hrozba pro svobodný internet, pro bitcoinové obchody, utajenou komunikaci a transakce, k nimž nemají z principu mít přístup represivní orgány a dozorové složky.

[GRAFIKA] Onion Network, přezdívaný Darknet, představují servery, které jsou dostupné jen zevnitř sítě TOR

Síť TOR je uvnitř bezpečná. Zranitelná je ale na svém vstupu (Entry Nodes) a výstupech (Exit Nodes). Pro zjištění identity klienta „A“, který komunikuje se stránkou nebo serverem „B“, je zapotřebí monitorovat proudící data. To se před mnoha lety zdálo jako velmi těžké a tudíž autoři TOR sítě tomu nevěnovali pozornost, resp. věděli o problému, ale neočekávali vývoj věcí budoucích, nepočítali s kauzou Snowden a se skutečnými možnostmi, kapacitami a neomezenou mocí tajných služeb. Celá věc je přitom hrozivě jednoduchá a vektor útoku je snadný a lze jej opakovat neustále dokola, kdykoliv. Funguje to následovně.

Vaše identita na TORu je nyní dostupná doslova na požádání

Pro zjištění identity uživatele „A“ přistupujícího skrze TOR síť na server „B“ stačí získat spolupráci obou ISP operátorů, tedy jak ISP, který poskytuje konektivitu klientovi „A“, tak i ISP, u kterého je hostovaný Exit node. Když se podíváte na tabulku níže, vidíte, že majorita tzv. Exit Nodes je hostována ve skutečnosti jen u hrstky společností, francouzský OVH Systems je v Evropě na špici. Ve spolupráci s vládami jednotlivých zemí tak došlo k vydání příkazů operátorům, aby nasadili na své gatewaye analytické sniffery.

[GRAFIKA] Umístění počtu Exit Nodes sítě TOR u jednotlivých ISP operátorů, nejvíce u OVH

Stejné sniffery potom byly příkazem nasazeny u amerických ISP operátorů jako Verizon, Road Runner, Comcast a dalších. Útok spočívá následně v TC-attacku, kdy analytické softwary na vstupu A a výstupu B porovnávají sekvence paketů. Není to nijak náročné, protože útok je veden pouze na pakety TORu, ostatní pakety tyto sniffery propouští. Pro zajištění identity stačí jediný paket, který projde bránou operátora A v jeho síti např. ve Francii a tentýž paket v bodě B, který přijde do Exit Nodu hostovaného v USA. Pokud pakety souhlasí, dojde k potvrzení identity paketu a jeho původu a také cíle, kam směřuje. Zranitelnost spočívá i v tom, že TOR není kryptován end-to-end, takže pokud nepoužíváte HTTPS pro webovky nebo TLS pro váš SMTP server, útočník může sniffovat váš traffic [2] a tím získat cestu k odhalení vaší identity.

Represivní orgány tak ihned zjistí, jaká fyzická osoba kterého ISP se připojovala na ten který darknetový server hostovaný u hostingového operátora za Exit Nodem. K tomu je zapotřebí spolupráce policie více zemí, proto byla operace Onymous tak rozsáhlá. Jakmile znají identitu klienta A, začnou mu sledovat trvalé bydliště, jeho poštu, balíčky, napíchnou mu email. Stejně tak zjistí, který server u hostingového centra hostuje dakrnetový web server. Pokud majitel serveru byl neopatrný a platí za hosting jako fyzická osoba, mají ho. Pokud je to osoba, která platí za server anonymně, mají prostředky, jak identitu zjistit. Pokusí se ho donutit k telefonickému kontaktu s providerem pod nějakou záminkou slevy, nabídky, rozhovoru o možnostech upgradu zdarma v rámci promo akce, řešení technických potíží atd. a zjistí jeho identitu pomocí telefonu. Policie ale ve většině případů nainstaluje na server nejprve malware a z celého darknetového webu se stane „trap box“, takže dokážou identifikovat po určité době stovky a tisíce klientů daného webu.

Mlčení autorů TORu nahání doslova strach

Autoři TORu přiznávají zranitelnost systému, je-li vektor útoku veden jako Confirmation attack, tedy TC-attack [3]. Zapomněli ale na globalizaci. Jde totiž o to, že máte např. ve zmíněné Francii 22 velkých ISP operátorů, kteří pokrývají 96% všech Francouzů, ale majetková provázanost těch společností s investory je taková, že těch 22 operátoru na nějaké úrovni nahoře má jen 4 majitele, většinou investiční skupiny nebo banky. Američané (za spolupráce vlády dané země) proto předají příkaz těmto 4 investičním domům, aby daly příkazy ředitelům ISP, aby umožnili FBI a dalším monitorovat TOR traffic od uživatelů. Pokud by to majitelé ISP odmítli (což se nikdy nestane), čekali by je obrovské sankce na americkém finančním trhu, zablokováni dolarových operací, obviněni z napomáhání terorismu a praní špinavých peněz atd. K tomu ale nikdy nedojde, žádná finanční skupina nikdy nepůjde proti příkazům FBI, Europolu, pokud přijde řeč na to, že sniffery mají za úkol vysledovat distributory drog apod. V důsledku tedy mají orgány možnost provádět TC-attacky v masivním neomezeném měřítku.

FBI a Europol pochopitelně nemohou pokrýt 100% všech ISP operátorů na světě (zatím), ale jelikož síť TOR funguje způsobem, že mění identitu po každém připojení, stačí si jen počkat, až se oběť připojí na Entry nod hostovaný u některého ze spolupracujících ISP. Jak jednoduché, jak účinné. TC-attack tak představuje hrozbu, proti které v této chvíli nemá TOR obranu. Existuje však způsob ochrany na straně klienta.

TC-attack lze do značné míry eliminovat, pokud se nejprve připojíte se svým počítačem do kryptované VPN sítě, která zaručeně nic a nikoho neloguje. Teprve poté se připojíte do sítě TOR pomocí Tor Browseru. Systém komunikace potom probíhá následovně: Váš vlastní ISP operátor nevidí žádnou TOR komunikaci, pouze VPN kryptovanou konektivitu. To je v pořádku. Do sítě TOR tak vaše pakety vstupuji až z VPN serveru. Sniffer ISP/Hosting operátora, který zrovna hostuje Entry Nod, tak na vstupu uvidí komunikaci z VPN hostingu. TC-attack sice zjistí identitu paketů, ale klient A je identifikován pouze jako komunikace přicházející z VPN networku. A pokud VPN provider neloguje komunikaci, je to fajn, jste v bezpečí. Je to ale bezpečí relativní, protože když dojde na lámání chleba, který VPN provider bude bránit vaší identitu, když za ním přijdou z FBI a řeknou mu, že prodáváte drogy a že když vás neumožní logovat, že bude obviněn z napomáhání a konspirace? Takže v konečném důsledku ani VPN vás neochrání.

Náhrada za TOR neexistuje, oprava TORu v nedohlednu!

100% řešení a obrana proti TC-attack na síť TOR zatím neexistuje. Vývojáři TORu mlčí a namísto sebereflexe vydávají trapná prohlášení o tom, že se nic vlastně nestalo. Tohle je natolik zoufalá situace, že jsem se rozhodl uveřejnit tyto informace, abych varoval ostatní lidi, protože buď jsou vývojáři TORu nezodpovědní, anebo nějak dokonce spolupracují s FBI, když nehodlají chybu v designu TORu přiznat a opravit. TOR is flawed by design! To by mělo teď být napsané na jejich webové stránce. Dokud nebude vyřešena zranitelnost TORu skrze vektor TC-attack, do té doby není TOR ani Tor Browser bezpečný pro nikoho! Dokud dokáží identifikovat identitu paketu na vstupu a na výstupu, do té doby nebude TOR představovat bezpečnou anonymizační platformu, ale spíš obrovský honey pot na důvěřivé lidi, kteří si myslí, že komunikují anonymně.

Vektor útoku na Entry nodu je větší problém, než vulnerabilita na Exit nodech. Sniffery jsou nasazené nejen u evropských hlavních ISP operátorů, ale i u velkých hostingových firem, takže oni dokážou confirmovat identitu na straně A buď u vašeho ISP nebo na prvním vstupním Entry nodu TOR sítě. Stejně tak sniffují hostingy s Exit nody a hostingy, kde běží darknetové servery.

[GRAFIKA] Tento obrázek nahradil mnoho darknetových stránek v posledních hodinách

Že se jedná o TC-attack máme potvrzeno díky tomu, že jeden z našich darknetových serverů spolupracuje pouze s klienty naší VPN privátní sítě, a ten nebyl prolomen, nebyl zkonfiskován, funguje dál. Zatímco od kolegů z Dánska máme informace, že jejich hostingy byly identifikovány komplet všechny, včetně uživatelů (nemají VPN). Stejně tak další skupiny s VPN krytím hlásí normální stav, zatímco ty bez VPN krytí buď skončily nebo hlásí infiltraci a odhalení. Nejvíce obětí hlásí OVH Systems klienti, tento operátor zřejmě spolupracuje s FBI nejintenzivněji.

Éra po TORu? Co dělat v této situaci?

Jak se krýt? TOR network lze zatím bezpečně použít z veřejných WIFI hotspotů a za použití VPN privátního serveru, který si sami provozujete někde jako Black Box a platíte hosting, na kterém vám box jede a platíte za hosting přes Bitcoin. Komerční VPN jako HideMyAss nebo iPredator jsou nebezpečné, i když nelogují třeba teď, pokud je kontaktují z FBI, dovolí jim logovat vás potom, o tom nepochybujte. Takové ty kecy o tom, že za žádných okolností nikdy nic nikomu neposkytnou a nebudou logovat, to jsou jenom marketingové povídačky. Když k nim přijde tajná služba, dají jim pokorně i klíče od svého Cadillacu. Podívejte se, jak dopadli bojovníci z The Pirate Bay. Všichni jsou dnes zatčeni. Oni věřili, že můžou bojovat proti systému zbraněmi tohoto systému, před soudama. Naivkové. Soudy ani ve Švédsku nejsou nástrojem spravedlnosti, ale nástrojem prosazování státního práva a zájmů státu, ne občanů. Systém nelze porazit jeho vlastními zbraněmi (soudy, zákony, úřady).

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *