Odpowiedz 
 
Ocena wątku:
  • 0 Głosów - 0 Średnio
  • 1
  • 2
  • 3
  • 4
  • 5
Bezpieczeństwo sieci TOR
22.05.2014, 8:48 (Ten post był ostatnio modyfikowany: 22.05.2014 8:55 przez kr2y510.)
Post: #51
RE: Bezpieczeństwo sieci TOR
(21.05.2014 15:33)zielony_lud napisał(a):  Czy jest możliwe podsłuchanie treści co ktoś ktoś robi na torze, podsłuchując jego łącze?

Wyobraź sobie węża, który zeżarł chomika. Można potem zaobserwować jak trup chomika wędruje wzdłuż węża. W przypadku sieci Tor sytuacja jest podobna, tylko dane z odwiedzanej strony, wchłonięte w tunele Tor nie ulegają rozkładowi, a docierają do celu. Problemem w analizie są zbyt duże i różne opóźnienia, które utrudniają analizę zachowania stosu TCP i algorytmu przeglądarki odpowiedzialnego za pobieranie zawartości strony.

Takie ataki, choć dziś należy je traktować jako akademickie, są możliwe!
Wyobraź sobie kilkaset węży i mnóstwo chomików. Wszystkie pożerają różne chomiki. Ale my preparujemy jeden zestaw pułapkę, złożoną z trzech chomików. Zestaw składa się z trzech chomików umocowanych na elastycznym pręcie. Wąż po wchłonięciu jednego, nie ma wyjścia i musi wchłaniać kolejne. Jeśli pamiętamy odległości pomiędzy chomikami, to możemy wypatrzeć podejrzanego, który połknął pułapkę. Tylko nie będziemy mieć 100% pewności, bo to jakiś inny mógł żreć chomiki w podobnym tempie. Do tego wąż, który się załapał na pułapkę, może zostać wykluczony z kręgu podejrzanych, bo przed zjedzeniem pułapki, wchłonął innego chomika, co zakłóciło pomiar.
W przypadku sieci Tor sprawa jest prostsza, bo możemy zakłócać połączenie (http, przesyłanie plików przez TorChat itp.) w bardziej wyrafinowany sposób. Jednak koszt tego przedsięwzięcia jest duży.

Przed takim atakiem możemy się bronić. Możemy stosować po drodze buforujące proxy (typu squid czy polipo), co utrudnia atak przez protokół http, ponieważ proxy pobierają na raz więcej elementów niż przeglądarka, przez co analiza połączenia jest trudniejsza. Możemy odpalić nie tylko przeglądarkę, ale dodatkowo klienta TorChat, Jabbera/XMPP i klienta poczty, które dadzą tzw. cover traffic. Możemy jeszcze odpalić klienta Tor w trybie węzła pośredniczącego lub mostka.

Pełne uniknięcie tego typu ataków w sieci Tor nie jest możliwe. By uniemożliwić tego typu ataki, połączenia musiałyby mieć stałą szybkość, taką samą dla ruchu przychodzącego jak i wychodzącego. Czyli niezależnie od tego, czy korzystamy z sieci czy nie, połączenie do i od nas ma stałą szybkość. Jest to ogromne marnowanie pasma.

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
23.05.2014, 23:29 (Ten post był ostatnio modyfikowany: 23.05.2014 23:36 przez elozioomek.)
Post: #52
RE: Bezpieczeństwo sieci TOR
Pytanie za 100 punktów. Nakreślę wpierw swój wątek:
Powiedzmy że znam kolege który zna kolege i który ma zainstalowany system podstawkę (linux), oraz emuluje whonix-gateway i debiana (workstation). Jak instalował te systemy to korzystał ze swojego łącza żeby zrobić aktualizacje i zainstalować programy które ważą dosyć sporo. I tu moje pytanie czy jeżeli kolega kolegi korzysta teraz anonimowo z innego neta to czy jest jakaś szansa że smutni panowie coś o nim będą mogli wiedzieć ?
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
24.05.2014, 2:18
Post: #53
RE: Bezpieczeństwo sieci TOR
(23.05.2014 23:29)elozioomek napisał(a):  I tu moje pytanie czy jeżeli kolega kolegi korzysta teraz anonimowo z innego neta to czy jest jakaś szansa że smutni panowie coś o nim będą mogli wiedzieć ?
Będą wiedzieli jedynie, że to jeden z wielu co korzysta z sieci Tor. Oczywiście o ile nie zostawił innych śladów.

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
27.05.2014, 12:40
Post: #54
Question RE: Bezpieczeństwo sieci TOR
Z tego co się dowiedziałem od ojca koleżanki (jest ponoć informatykiem w jakiś służbach wojskowych) to Oni podobno w jakiś sposób kontrolują sieć TOR i i obserwują polskich użytkowników. Powiedział również, że jeśli wejdziesz na nieodpowiednią stronę w tejże sieci to zdobywają Twoje IP i lądujesz na ich liście. Jest to możliwe?
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
27.05.2014, 12:47
Post: #55
RE: Bezpieczeństwo sieci TOR
Jak na moje to timing attack. Chociaż wszystkiego nie wiem.
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
28.05.2014, 12:17 (Ten post był ostatnio modyfikowany: 28.05.2014 12:24 przez kr2y510.)
Post: #56
RE: Bezpieczeństwo sieci TOR
(27.05.2014 12:40)q8a napisał(a):  Powiedział również, że jeśli wejdziesz na nieodpowiednią stronę w tejże sieci to zdobywają Twoje IP i lądujesz na ich liście. Jest to możliwe?

Zależy od użytkownika. Z technicznego puntu widzenia są w stanie:
  1. analizować stos TCP/IP (wszystkie elementy w tym te nie występujące w samych pakietach jak np. jitter) i porównywać jego odcisk
  2. analizować przeglądarkę i porównywać jej odcisk
  3. spreparować stronę tak, by korzystała z ramek, stylów lub innych elementów, które odwołują się do zasobów komputera, sieci lokalnej lub zewnętrznych
  4. użyć JavaScriptu lub Flash, które mogą również ułatwić odkrycie tożsamości
  5. wykorzystać luki 0-day
  6. wcześniej wspomniane ataki czasowe - czyli np. łączenie się ze stroną zaraz po połączeniu się z siecią Tor
  7. robić pomiary stylometryczne
  8. szukać wycieków w metadanych i innych informacji w obrazach, pdf-ach i innych plikach
  9. robić prowokacje, ataki z wykorzystaniem psychologii, śledzenie/obserwowanie ludzi którzy korzystają z sieci Tor

Wprawdzie kilka lat temu, ich techniką operacyjną było odcinanie po kolei wybranych użytkowników forum libertarian od internetu na kilka dni (tak jakby sąsiedzi nie mieli WiFi, a mobilny internet by nie istniał), ale od tamtego czasu poczynili postępy. Jednak nie oznacza to, że korzystają ze wszystkich dostępnych środków.

Na tym forum jest wiele wątków o tym jak uniknąć tych i podobnych ataków. Ktoś kto czytał, pomyślał lub się popytał, a na koniec się do tego zastosował, jest teoretycznie i praktycznie (to wymaga tylko i aż samodyscypliny) nie do namierzenia. Generalnie jeśli wzrośnie popularność sieci Tor (np. jakiś komunikator lub ciekawe treści) to ich skuteczność spadnie. Pół miliona użytkowników jakiegoś ulepszonego TorChat/Torsion i służby wojskowe leżą.

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
07.06.2014, 18:00
Post: #57
RE: Bezpieczeństwo sieci TOR
Jakie informacje można uzyskać dzięki analizie stosu TCP/IP ?
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
09.06.2014, 14:33
Post: #58
RE: Bezpieczeństwo sieci TOR
(07.06.2014 18:00)zielony_lud napisał(a):  Jakie informacje można uzyskać dzięki analizie stosu TCP/IP ?
No ale to zbiór informacji że nie wieści się w ramach tego wątku.

Załóż nowy.
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
09.06.2014, 19:34
Post: #59
RE: Bezpieczeństwo sieci TOR
(07.06.2014 18:00)zielony_lud napisał(a):  Jakie informacje można uzyskać dzięki analizie stosu TCP/IP ?
Rodzaj systemu operacyjnego. Typ połączenia z internetem, po maksymalnej długości pakietu, bo inny jest dla PPPoE, inny dla PPPoA, inny dla połączeń przez modem LTE/GSM.. itd. Pisałem o tym wiele razy. To nie są rzeczy nowe. Już 8 lat temu robiono eksperymenty i skutecznie rozpoznawano komputery po jitterze zegara systemowego. Tor i VPN nie pomagały.
Najważniejsze jest to, że można uzyskać odcisk stosu do porównań. Wtedy łatwo można zidentyfikować maszynę.

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
10.06.2014, 0:15
Post: #60
RE: Bezpieczeństwo sieci TOR
A można oznaczyć OS co do egzemplarza (w przyp. linuxa)? Albo czy można skorelować połączenia do clearnetu bezpośrednio z połączeniami za pośrednictwem tora z 2 różnych przeglądarek?
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
Odpowiedz 


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości