Timing-Analyse: как секунды раскрывают анонимов в даркнете

[Rehub]

Немецкие правоохранительные органы начали активно использовать новые методы для деанонимизации пользователей сети Tor. Журналисты ARD-Politikmagazin Panorama и STRG_F (funk/NDR) выяснили, что спецслужбы Германии применяют длительный мониторинг серверов Tor, чтобы раскрыть личности пользователей. Такие меры направлены, прежде всего, на борьбу с преступностью в даркнете.

Исследования показали, что полученные данные обрабатываются специальными статистическими методами, которые позволяют полностью разрушить анонимность Tor. Журналисты смогли ознакомиться с документами, подтверждающими успешное применение подобных способов в четырёх случаях. Это первые зафиксированные случаи использования так называемого временного анализа «Timing-Analyse» в рамках одного уголовного дела. Ранее считалось, что подобные действия практически невозможны.

Tor — крупнейшая в мире сеть для анонимного использования интернета. Пользователи перенаправляют свои подключения через различные серверы, чтобы скрыть свои действия в сети. В мире насчитывается около 8 000 узлов Tor, расположенных в 50 странах. Около 2 млн. человек ежедневно используют эту сеть. Tor особенно популярен среди журналистов, правозащитников и активистов, особенно в странах с цензурой в интернете. Многие медиа, такие как Deutsche Welle, используют Tor, чтобы предоставлять доступ к своим сайтам в странах с ограничениями на свободное распространение информации.

Однако анонимность в сети Tor привлекает не только правозащитников, но и преступников, которые используют сеть для кибератак и ведения незаконной деятельности на даркнет-платформах. Ранее правоохранительные органы сталкивались с серьёзными техническими трудностями при попытках раскрыть личность пользователей. Однако недавние расследования Panorama и STRG_F показали, что стратегия была изменена, и теперь используется долговременное наблюдение за узлами сети.

Суть Timing-Analyse заключается в мониторинге большого количества узлов Tor. Принцип работы метода заключается в сопоставлении временных меток передачи данных через различные узлы сети. Несмотря на многоуровневое шифрование соединений в Tor, анализ позволяет следить за движением данных между узлами и пользователями, выявляя определённые закономерности, которые могут указать на конкретного человека.

Даже если трафик многократно зашифрован, сопоставление времени отправки и получения пакетов данных даёт возможность определить источник соединения. Ключевым элементом техники является необходимость контролировать как можно больше узлов в сети Tor. Это делает возможным анализ корреляций между временем отправки и получением данных, что в конечном итоге приводит к деанонимизации.

Одним из успешных примеров применения данного метода стало дело против даркнет-платформы Boystown. Следователи смогли определить Tor-узлы, которые использовались одним из администраторов платформы для сокрытия своей деятельности. Специалисты также смогли выявить серверы чата, где общались члены преступных сообществ. Это позволило правоохранительным органам идентифицировать и арестовать преступников.

Сотрудничество с правоохранительными органами Нидерландов и США также сыграло ключевую роль в раскрытии преступлений, связанных с сетью Tor. Количество узлов, находящихся под контролем в Германии, значительно возросло за последние годы, что дало возможность шире использовать метод Timing-Analyse.

Эксперты предупреждают, что подобные технологии могут быть использованы не только для борьбы с преступностью, но и для преследования оппозиционеров в странах с репрессивными режимами. Представители Tor Project уже заявили, что принимают меры для повышения уровня анонимности пользователей, чтобы предотвратить подобные атаки в будущем.

Напомним, что недавно немецкие правоохранительные органы провели обыск в доме и офисе, зарегистрированных на адрес организации Artikel 5 e.V., занимающейся поддержкой сети Tor. Это уже второй подобный случай после аналогичного рейда в 2017 году.

tagesschau.de/investigativ/panorama/tor-netzwerk-100.html

 

[bratva]

Не вижу важного куска в переводе выше (оригинальный источник: https://www.tagesschau.de/investigativ/panorama/tor-netzwerk-100.html)

Немецкая полиция использовала чат [messenger] Ricochet как приманку, чтобы идентифицировать администратора Boystown.

Конкретно: "The BKA twice identified Tor nodes that were used to connect platforms operated by the then "Boystown" administrator Andreas G. to the Tor network. One of these was a chat in which leading members of various pedophile forums exchanged information. It also managed to identify so-called "entry servers" from the "Ricochet" chat service that G. used - it was a breakthrough for the BKA. For the final identification, the Frankfurt am Main District Court ordered the provider Telefónica to find out which of all o2 customers connected to one of the identified Tor nodes."

Или: "Полиция дважды идентифицировала Тор-ноды [скорее всего выходные узлы], которые использовались администратором педосайта для подключений к разным платформам. Одна нода являлась чатом, где лидеры педо-форумов обменивались информацией. Полиции также удалось идентифицировать входящие сторожевые узлы, подключенные к чату Ricochet, которые использовались Г. - это был настоящий прорыв для расследователей. Для конечной идентификации суд выписал ордер провайдеру найти всех клиентов о2, которые были подключены к установленным тор-узлам.

Что любопытно - на форуме однажды за Ricochet (https://github.com/ricochet-im/ricochet) топил некто Stanford:
1) https://xss.pro/threads/66741/post-452546
"Сразу не скрывает тебя, а наоборот о тебе инфу собирает, хранит метаданные. Используй Ricochet, чтобы не заморачиваться с прокси, whonix. Анонимный мессенджер должен быть сразу анонимным, а не тем на кого ещё дополнтельно надо вешать прокси, операционую систему, выбирать из кучи клиентов."

2) https://xss.pro/threads/66741/post-452546
"Пошёл бред, запусти Ricochet в Whonix, он даже там лучше чем Tox. Тут не про виртуалки речь, а про Tox который по умолчанию дырявый и приводит прямо к тебе. Повторю вопрос для особо упёртых, зачем нам Tox в Whonix? Если телеграм таким же анонимным станет в Whonix?"

3) https://xss.pro/threads/66741/post-451466
"peacemaker тогда лучше Ricochet, ничего настраивать не надо, уже готовый продукт без включения прокси и без утечки."

Подозрительное рвение

Возможно я заблуждаюсь, но мое подозрение, что Ricochet был инструментальным для немецкой полиции, чтобы они смогли провести «Timing-Analyse»-атаки на тор-ноды для идентификации пользователей. Как они это сделали пока открытый вопрос, скорее всего начали разбирать интересантов с покупного Netflow от Cymru.

Кто пользуется Тор-браузером - необходимо использовать vanguards, читайте официальный комментарий: https://blog.torproject.org/tor-is-still-safe/

P.S. Позже увидел, что Торзираэль высказался по вопросу:

1) Трафик Ricochet чата отличается от браузерного, и пользователей чата можно выделить среди остальных, соответственно из условно 100к пользователей Tor, достаточно просто выделить этих 2к пользователей. И тут становиться вопрос, как именно деанонимизировать нужного, который продает детское порно в этом чате

2) Т.к. это чат, и админ педо-чата продает медиа, которые достаточно объемные, все что нужно для его деанонимизации это налить много-много трафика на этот скрытый сервис (домен .onion). Как это сделать? Открыть с ним чат с многих устройств (50-100), и начать одновременно скачивать самые большие файлы от него. Таким образом с его onion адреса начнется исходить множество соединений с большим количеством трафика.

Допустим представим что они выявили 100 ip адресов, даже в этом случае это не является проблемой, они имеют маску трафика Ricochet, и из 100-ip адресов отберут только тот трафик, который относится к чату, и даже если ip адресов будет 5-10, они могут приостановить загрузку, сделать новый слепок и повторить фильтр.

Не совсем с ним согласен, но пусть будет как интересное мнение.

 

[jaskolka]

Не сразу заметил интересное мнение)) Для тех кому интересна тема деанона скрытых сервисов Tor (.onion доменов):

Tor 0day: Finding Bridges - The Hacker Factor Blog

Tor 0day: Finding IP Addresses - The Hacker Factor Blog

 

[Infernolord]

After analyzing the documents leaked by Edward · Snowden in October 2013, The Guardian reported that the United States National Security Agency had made several attempts to hack Tor but failed to breach its core security, although it had some success in attacking the computers of individual Tor users. The Guardian also published a confidential 2012 NSA slide titled "Tor Stinks", which stated that "we can never always de-anonymize all Tor users", but that "with manual analysis, we can de-anonymize a very large number of Tor users". A small percentage of Tor users" When Tor users are arrested, it's usually due to human error, rather than the core technology being hacked or cracked[.] While the NSA is actively cracking Tor, it shouldn't make much progress. It's still our choice. We hope you all stay safe

 

[bratva]

jaskolka​

Мне кажется, что тут дело не в файлах, а прикол конкретно в этом мессенджере, в его модели - как он работает, что позволяло им 100% идентифицировать его, когда он подключался к контролируемым нодам.

Можешь изучить документацию по протоколу (https://github.com/ricochet-im/ricochet/blob/master/doc/protocol.md), но я вижу уже один жутко стремный момент:
"Each Ricochet instance publishes a hidden service, which serves as its identity and acceptsconnections from contacts. When it first comes online, it attempts to connect to the addresses of known contacts. If a connection is made, it is held open; a contact is considered online when thereis an open connection. Connections are made on port 9878."

И дальше они признаются сами:
"Keeping open connections to unknown peers poses a risk for various attacks, including resource exhaustion. Clients must either authenticate or take other useful action (e.g. delivering a contact request) quickly. The server side of the connection should expire unknown connections.

Но проблем там было больше, например из старого аудита (2016): https://public.opentech.fund/documents/ricochet-ncc-audit-2016-01.pdf
"A Ricochet contact request can contain a nickname/message with HTML sequences, or various obscure unicode characters. Trivially, this can be used to disclose the real IP address of a user if the user accepts the contact request. This could also be used to create a nickname designed to be visually similar to another nickname (a form of homograph attack). Alternatively, it may be possible to trigger operating-system level bugs when attempting to render the message."

По заверению разработчика - уязвимость была исправлена, НО: аудит больше никогда не проводился

Так что мне кажется, что там были серьезные проблемы, очень серьезные.

 

[jaskolka]

Так что мне кажется, что там были серьезные проблемы, очень серьезные.

Децентрализация мессенджера и вызвала большую проблему, т.к. работает по сути peer to peer, только через 6 нод, но эти 6 нод на самом деле только фикция анонимности и введения в заблуждения пользователя.

Повторюсь:

1) Даже исходя из того что ты написал, эти скрытые сервисы слишком выделяются, и не составит проблемы идентифицировать все 100% скрытых сервисов принадлежащих чату, среди других onion адресов;
2) Хоть 6 нод, хоть 66 не играет абсолютно никакой роли, т.к. все промежуточные узлы, включая даже мосты obfs4 и тд. можно очень легко идентифицировать, таким образом отфильтровать, этот способ до сих пор актуален и с 2020 года ничего не изменилось. Объясню проще, те кто имеют свою часть % узлов Tor, они видят трафик, пусть даже в неразборчивом виде, но статистически видят направление и источник, среди всех источников и направлений они могут отфильтровать ВСЕ 100% адресов которые принадлежат промежуточным узлам, с них нет смысла особа анализировать трафик, их просто нужно отсеять с фильтра и все, и анализировать и подсчитывать трафик только с теми адресатами, среди которых есть неизвестные ip, которые не входят в сеть Tor, т.е. не являются нодами или мостами, и если на них идет или с них исходит много трафика, это супер сильно выделяется.
3) Теперь мы понимаем что можем легко нагнать кучу-кучу трафика на этот скрытый сервис, просто путем загрузки файла, можем в любой момент прекратить лить трафик, и повторять так до тех пор пока статистических данных не хватит чтоб на 100% уверено сказать что этот ip адрес является ip адресом скрытого сервиса Tor.
4) Даже если будет 10-50 ip адресов, даже это не проблема, можно стрессером на 2-3 минуты поочерёдно лить трафик на ip, и смотреть что будет. Можно отдельно каждый ip проверять, проверяя что за ним находится. На самом деле каждый ip на котором размещен onion домен является на 99% интересным, и я бы на месте служб по каждому отрабатывал, что-то да будет.

 

[verb0]

If a connection is made, it is held open; a contact is considered online when thereis an open connection.

А разве такой механизм детекта онлайна используется не в каждом п2п мессенджере?
Кроме этого, если "отправка большого количества трафика = ваш ипшник найден", то ту же атаку можно реализовать и на других п2п мессенджерах - отправляя много сообщений, и на сайтах с подконтрольным бэкендом - отвечая большим количеством данных на запросы или просто заливая их в вебсокет.

Объясню проще, те кто имеют свою часть % узлов Tor, они видят трафик, пусть даже в неразборчивом виде

Для анализа метаданных соединений нет необходимости контролировать сами ноды, достаточно контролировать провайдерскую инфраструктуру к ним, т.е. быть global observer.

 

[bratva]

А разве такой механизм детекта онлайна используется не в каждом п2п мессенджере?
Кроме этого, если "отправка большого количества трафика = ваш ипшник найден", то ту же атаку можно реализовать и на других п2п мессенджерах - отправляя много сообщений, и на сайтах с подконтрольным бэкендом - отвечая большим количеством данных на запросы или просто заливая их в вебсокет

В каждом, но здесь ноды будут тора. Моя очень сырая идея, что суть их атаки сводилась к тому, чтобы ими контролируемая нода встала в Рикошет, а дальше было что-то типа: https://petsymposium.org/popets/2022/popets-2022-0026.pdf, потому что сама модель Рикошета - что твой айди (ты) - становишься одним скрытым сервисом, а контакт - другим (да, я понимаю, что в торе все через онионы). Есть два скрытых сервиса, есть контролируемый (наверное) средний узел - есть постоянный коннект (цитируемый абзац про контакт в онлайне), есть провайдерский нетфлоу. Наверняка это все оформлено в виде удобного инструмента для ментов для индентификации узлов за секунды.

Моя идея, что сам Рикошет - это мессенджер, который был внедрен педофилам (посмотри, где сейчас популярен Риборн) - для того, чтобы эффективно их идентифицировать в тор-сети. Первый проект по сути поддерживался одним разработчиком, из США. Второй (Риборн) - по легенде голландец, но если копнуть чуть дальше - оказывается тоже кодером из США (который одновременно является кодером и в Тор проекте). Кодер постарался чуть шифрануться за фальшивые имена - pospeselr / morganava (сначала был Ричард, а сейчас Морган, когда на самом деле Кайл).

Спонсор нового Рикошета, очень интересный фонд: https://www.blueprintforfreespeech.net/en/about-us/team
У фонда связи в Германии и Голландии Совпадение - не думаю. При этом как минимум раз - деньги взяли у голландского фонда на разработку (https://nlnet.nl/project/Rico/). Все это как-то знакомо Но жалко больше тратить своего времени, а педофилов совсем нежалко. Но сам концепт мессенджера через тор-узлы подозреваю, что в корне ошибочный.

 

[Dread Pirate Roberts]

2) Хоть 6 нод, хоть 66 не играет абсолютно никакой роли, т.к. все промежуточные узлы, включая даже мосты obfs4 и тд. можно очень легко идентифицировать, таким образом отфильтровать, этот способ до сих пор актуален и с 2020 года ничего не изменилось. Объясню проще, те кто имеют свою часть % узлов Tor, они видят трафик, пусть даже в неразборчивом виде, но статистически видят направление и источник, среди всех источников и направлений они могут отфильтровать ВСЕ 100% адресов которые принадлежат промежуточным узлам, с них нет смысла особа анализировать трафик, их просто нужно отсеять с фильтра и все, и анализировать и подсчитывать трафик только с теми адресатами, среди которых есть неизвестные ip, которые не входят в сеть Tor, т.е. не являются нодами или мостами, и если на них идет или с них исходит много трафика, это супер сильно выделяется.
3) Теперь мы понимаем что можем легко нагнать кучу-кучу трафика на этот скрытый сервис, просто путем загрузки файла, можем в любой момент прекратить лить трафик, и повторять так до тех пор пока статистических данных не хватит чтоб на 100% уверено сказать что этот ip адрес является ip адресом скрытого сервиса Tor.
4) Даже если будет 10-50 ip адресов, даже это не проблема, можно стрессером на 2-3 минуты по-очедено лить трафик на ip, и смотреть что будет. Можно отдельно каждый ip проверять, проверяя что за ним находится. На самом деле каждый ip на котором размещен onion домен является на 99% интересным, и я бы на месте служб по каждому отрабатывал, что-то да будет.

Для анализа метаданных соединений нет необходимости контролировать сами ноды, достаточно контролировать провайдерскую инфраструктуру к ним, т.е. быть global observer.

всё так, процитирую себя же:

https://xss.pro/threads/83232/page-4#post-577496

https://xss.pro/threads/96722/page-6#post-678548

(ко второму посту надо добавить что, возможно, в логи пишется ещё и объём передаваемого трафика)

"Each Ricochet instance publishes a hidden service, which serves as its identity and acceptsconnections from contacts. When it first comes online, it attempts to connect to the addresses of known contacts. If a connection is made, it is held open; a contact is considered online when thereis an open connection. Connections are made on port 9878."

вот тут интересно. если листенер вешается на 0.0.0.0 вместо 127.0.0.1, то можно просканить весь интернет и за 5 минут найти всех пользователей Рикошета.
а если на 127.0.0.1, то скан через тор займёт чуть дольше, возможно целый час

 

[verb0]

Забавно что атака заливом трафа описывалась Hackerfactor ранее для хидден сервайсов, и вот теперь мы видим что её действительно применяют - для атаки на мессенджер, который использует хидден сервайсы в своей работе, но при этом информации о случаях вскрытия цепочки тем же методом но НЕ до .onion домена а просто между двумя клирнет адресами - пока нет. Ну, может ещё появится. Разница в количестве нод тора между двумя адресами (по дефолту, в сёрките от клирнета до клирнета их будет 3, а от клирнета до хидден сервайса будет 6 хопов), и в том что зная .onion адрес, более понятно как заслать траф.
В свете такой атаки, вспоминается nymtech.net, в котором миксуются не запросы а отдельные пакеты этих запросов, так что данные запроса распределяются по микснету равномерно, усложняя корреляцию по объёму трафика. Правда, хотя такую корреляцию и не выполнить внутри микснода - это не понадобится, если доступны метаданные с Open Requester сервера (в торе это была бы гейт нода) который собирает все эти пакеты обратно в запрос и отправляет уже на IP юзера, т.е. этот траф будет виден в одном месте. С другой стороны, такой сервер может стоять в юрисдикции, где теоретически метадата отправляется только местным спецслужбам, а не западным. С третьей стороны, юзеров не так много как у тора, так что сам факт коннекта до (или с) NYM сети это уже фингерпринт.
NYM спонсируется в том числе Еврокомиссией. Но хотя бы не ЦРУ как Тор, хехе, если уж ранжировать по токсичности финансирования.

 

[jaskolka]

Забавно что атака заливом трафа описывалась Hackerfactor ранее для хидден сервайсов, и вот теперь мы видим что её действительно применяют

Еще в 2020-м году, и ничего вообще не поменялось, не было ничего предпринято самим Tor даже хотя бы в качестве заплатки.

С другой стороны, такой сервер может стоять в юрисдикции, где теоретически метадата отправляется только местным спецслужбам, а не западным.

Так таковой роли это не играет, т.к. Tor децентрализованный, и даже если не иметь узлов в одной стране, будет достаточно их иметь в другой, но и даже эта идея "только местным спецслужбам" легко фикситься, один VPS сервер 3-4$ я думаю не составит проблем любой спецслужбе, западной / не западной запусть 300-400 узлов/мостов и тд, и вне зависимости от желаний местных спец. служб собирать все что им нужно. (3$ за VPS*400 узлов = это всего лишь 1200$ в месяц, можно легко масштабировать в 100 раз...)

 

[bratva]

Даниэль Мосбрукер: Все больше и больше узлов Tor отслеживаются

Даниэль Моссбрукер был частью команды, которая раскрыла, как идентифицируются пользователи сети Tor. В интервью DW он рассказывает подробности, но также предостерегает всех от паники.

DW: Вы сообщили, что обнаружили платформы для педофилов в Германии и выяснили, что органы безопасности отслеживали часть сети Tor, чтобы установить личность главного преступника. Сеть Tor вообще-то считается безопасной, как же удалось провести такое успешное расследование?

Даниэль Моссбрукер: Следователям удалось сделать то, что раньше считалось практически невозможным. Вот что показало наше исследование, которое было подтверждено независимыми техническими экспертами, в том числе Chaos Computer Club. Речь идет о так называемом временном анализе, который позволяет обойти анонимизацию. Даже сильно шифрованные пакеты данных можно отследить по сети.

Это требует интенсивного мониторинга соответствующих частей сети Tor, поэтому анализ временных интервалов может проводиться только государственными структурами. Наше исследование показало, что в Германии в последние годы все больше серверов Tor подвергаются мониторингу в течение длительных периодов времени. Такой метод действий предполагает, что правоохранительные органы продолжат проводить временной анализ - и что разбирательство с педофильской платформой «Boystown», возможно, не было единичным случаем.

Можно ли теперь считать всю сеть Tor скомпрометированной или люди могут продолжать использовать браузер Tor для безопасного и бесцензурного доступа к сайтам таких медиаорганизаций, как BBC или DW?

Как это часто бывает, истина, вероятно, лежит где-то посередине. Маловероятно, что каждый пользователь Tor может быть деанонимизирован властями в мгновение ока. Нет причин для паники, браузер Tor по-прежнему является очень безопасным средством коммуникации. С другой стороны, наше исследование показывает, что даже пользователь луковых сервисов Tor, в просторечии называемых «даркнетом», мог быть деанонимизирован - в той части сети Tor, которая считалась особенно анонимной и безопасной.

Я бы сказал об этом так: Если проект Tor предполагает в своем официальном заявлении, что деанонимизация в единичном случае стала возможной в первую очередь потому, что пострадавший пользователь использовал устаревшее программное обеспечение чат-программы «Рикошет», возникает вопрос, почему в последние годы правоохранительные органы отслеживают все больше и больше серверов Tor таким образом, что полученные данные, по всей видимости, используются для временного анализа. Мы также сообщили, что пострадал не только «Рикошет», но и два обычных луковых сервиса, а также сайты даркнета. Оба они работали на «версии 3.0», которая, насколько нам известно, актуальна и сегодня».

Браузер Tor предлагает в своих настройках так называемые мосты, которые позволяют обойти цензуру в виде блокировки сайтов. Обеспечивают ли такие мосты защиту от описанной вами деанонимизации?

Как журналисты, мы работали с преданными своему делу экспертами по таким конкретным вопросам. Однако, насколько мне известно, «мосты» предназначены не только для защиты от временного анализа. Возможно, они смогут снизить риск воздействия временного анализа в краткосрочной перспективе, поскольку IP-адреса неизвестны, но я не могу об этом судить и никогда не слышал никаких отзывов от экспертов, с которыми мы общаемся.

Сеть Tor играет важную роль в журналистике, когда речь идет о безопасной связи с информаторами. Так называемые почтовые ящики информаторов, такие как SecureDrop, предназначены для обеспечения анонимной доставки конфиденциальной информации с высочайшим уровнем защиты источника через Интернет. Можем ли мы предположить, что благодаря описанному вами временному анализу отправители такой конфиденциальной информации теперь также подвергаются риску разоблачения?

Лично я считаю, что это, пожалуй, самое важное последствие для журналистики. Задокументированные случаи показывают, что временной анализ всегда был возможен, когда, проще говоря, на луковом сервисе «мало что происходило» и было передано всего несколько пакетов данных, которые можно было приписать конкретному пользователю. Это и логично: чем больше пакетов данных параллельно отправляется на onion-сервис разными пользователями Tor, тем сложнее выделить в этом «фоновом шуме» отдельные пакеты данных и проследить их путь по сети. Обычно платформы для разоблачителей не ведут активную деятельность до тех пор, пока источник не решит передать данные. Это сценарий, в котором временной анализ обычно работает лучше, чем в других случаях. Поэтому источникам имеет смысл использовать VPN в дополнение к Tor для подключения к анонимному почтовому ящику. Но даже в этом случае временной анализ не исключается полностью.

Я хотел бы подчеркнуть, что у нас нет никаких доказательств того, что правоохранительные органы Германии используют временной анализ в попытках раскрыть источники журналистов. Разумеется, взломать сеть Tor пытаются не только власти демократических государств, но и секретные службы авторитарных государств. Лично я по-прежнему считаю Secure Drop относительно безопасной технологией, возможно, лучшей из тех, что мы можем предложить источникам, но остаточный риск есть всегда».

Остался ли Tor в прошлом как безопасная сеть? Или уязвимости можно «починить»?

Важно подчеркнуть, что нет ни одной уязвимости, которую можно было бы просто закрыть дополнительным кодом. Мы имеем дело не с классической брешью в системе безопасности. Существуют различные идеи по снижению риска с помощью программного обеспечения, но эксперты также подчеркивают, что сеть Tor должна быть максимально децентрализованной, то есть управляться как можно большим количеством разных людей по всему миру в как можно большем количестве разных дата-центров. Это снижает риск того, что соответствующие части сети могут быть инфильтрованы одним государством или группой государств.

Какие рекомендации вы могли бы дать проекту Tor?

В нашу задачу не входит давать рекомендации проекту Tor. Люди, занимающиеся им, сами решают, реагировать ли им на нашу публикацию и как. Впервые мы связались с компанией Ricochet в июле 2023 года, которая сразу же сообщила проекту Tor, что нам известны случаи успешной деанонимизации пользователей Tor путем раскрытия их так называемых входных узлов. Уже в то время эта схема наводила на мысль о временном анализе. Состоялся повторный письменный обмен мнениями с Tor Project, который мы восприняли как честный и конструктивный. Нас не спрашивали, может ли информация о задокументированных нами случаях временного анализа быть опубликована заранее в смысле «ответственного раскрытия информации» ввиду ее важности для безопасности Tor.

Затем, 14 сентября 2024 года, пресс-секретарь Tor Project неожиданно попросил нас предоставить информацию о людях, которые предположительно являются нашими источниками в Tor Project, на что мы принципиально отказались от комментариев. После исполнительный директор проекта «Тор» Изабела Фернандеш без предупреждения и одобрения процитировала наш запрос и опубликовала основные результаты нашей многолетней работы в Интернете за два дня до нашей публикации. Тем самым она подвергла наши источники риску, которого можно было избежать. Мы не ожидали такого от организации, которая заявляет о своей приверженности защите журналистов и осведомителей».

Даниэль Моссбрукер работает внештатным журналистом, спикером и тренером по безопасности для журналистов. В центре его внимания - слежка, защита данных и регулирование интернета. Он принимал участие в исследовании, которое показало, что правоохранительные органы могут отслеживать интернет-соединения в сети Tor.

Интервью провел Оливер Линоу.

Источник: https://www.dw.com/de/daniel-moßbrucker-immer-mehr-tor-knoten-werden-überwacht/a-70322301

 

[bratva]

Операция Liberty Lane (менты упраляют сторожевыми и средними узлами для деанонимизации пользователей скрытых сервисов)

Операция Liberty Lane (совместная операция ФБР/DHS) - это международная операция правоохранительных органов, в которой участвуют США, Бразилия, Германия и Великобритания, и которая направлена против пользователей незаконных скрытых сервисов. Судя по всему, эта некогда теоретическая атака была реализована на практике и позволила разоблачить тысячи пользователей.

NCA и ФБР совместно разработали программу под названием «Good Listener» («Хороший слушатель»), которое включает в себя запуск ментами как можно большего количества защитных и промежуточных узлов, а затем использование атаки по времени для соотнесения IP на вредоносном защитном узле с временем на незаконных скрытых сервисах. Похоже, что это возможно только после идентификации скрытого сервиса и перехвата трафика до него и ввода его в программу. Ранее было несколько сообщений о случаях, когда пользователи, использующие TAILS и WHONIX, были пойманы, поэтому NIT был исключен, теперь у нас есть ответ как. Следующая часть - это только предположение, но, скорее всего, KAX17 был запущен немецким правительством для поддержки этой операции.

Утечка документа, идентифицирующего название операции:

В настоящее время эта операция классифицируется как СОВЕРШЕННО СЕКРЕТНАЯ, поэтому все судебные документы подаются под защитой, однако вот несколько документов от адвокатов по этим делам, которые зачитываются в программе и вкратце описывают, как она работает.

Хотя это не новая концепция или атака, факт в том, что она была успешно реализована и использована для проведения десятков арестов только в США. Все эти документы находятся в открытом доступе через PACER из-за небрежного и неаккуратного обращения адвокатов, которые согласились должным образом отредактировать их.

+ tzedakah5784:

Вот список подтвержденных случаев в США, связанных с этой операцией. Я опубликую список бразильских случаев позже. Если вы наведете курсор на номера дел, то увидите, что все они снабжены гиперссылками на судебные листы. Правительство утверждает, что от иностранного правоохранительного агентства (FLA) поступили сотни советов, однако у нас есть менее 50 подтвержденных советов из предполагаемых сотен. Оранжевым цветом выделены номера дел, которые отсутствуют. Вы также заметите, что жизнь многих людей перевернулась из-за поисков, но так и не изменилась.

У меня есть список примерно из 20 случаев, которые мы не можем ни подтвердить, ни опровергнуть, были ли они частью этого дела или нет (более поздняя публикация).

Defendent Name	Appeal	FOIA Case Number(s)	Case #	Complaint #	Search #	Search Application Date	Search Date		State or District	Circuit
US v. Vincent Kiejzo			4:20-cr-40036-TSH	4:20-mj-04237-DHH	20-mj-4234			Joan Circle Milford, MA	District of Massachusetts	1
US v. Paul Bateman			1:20-cr-10012	19-MJ-4546	19-mj-4539		12/12/2019	Bridgewater, Massachuetts	District of Massachusetts	1
US v. Bradley Danforth - (D. Me., Sept. 8, 2020)					1:20-MJ-00255	9/8/2020	9/16/2020	Search of Entire property located at Old Brunswick Rd., Gardiner, Maine 04345,	District of Maine	1
US v. Benjamin Shacar			3:21-cr-30028-MGM	3:21-MJ-03063	21-mj-3059-61		3/24/2021	Maple St, Pittsfield, MA 01201-4813	District of Massachusetts	1
US v. Michael Clemence -			1:21-cr-00099-LM	1:21-mj-147	1:21-mj-00148, 1:21-MJ-00146	6/4/2021	6/4/2021	Search of the premises known as Adams Avenue, Rochester, NH, Crow Hill Road, Rochester NH	District of New Hampshire	1
John Daniel Macintyre			1:21-cr-00121	1:21-mj-22-LDA		3/5/2021	3/17/2021	38 Landis Drive, East Greenwich RI 02818	District of Rhode Island	1
US v. Christopher Bates				3:22-mj-01074,	Consented to search	None	11/30/2022	Old Greenwich Connecticut	State of Conneticut	2
US v. David Corwin Case AKA Joe Klein			2:21-CR-00218-JS	2:21-mj-357			3/24/2021		Eastern District of New York	2
US v. John Stuart			1:21-CR-00007	1:20-mj-05252	20-MJ-5209, 20-mj-5207		10/19/2020		Western District of New York	2
US v. William Keve					2:20-mj-00143-kjd	12/04/2020	12/07/2020	Spruce St., Apartment 6, Burlington, VT	District of Vermont	2
US v. Brandon Kidder			1:21-cr-00118	1:20-mj-01010		1/24/2020	1/28/2020	Sandridge Road, Apartment Right, Alden, New York 14004	Western District of New York	2
Jacob Edward Delaney	20-1095-cr		1:20-cr-00335	1:19-mj-843-DJS		12/10/2019	12/12/2021	Main Street Apt. 311, New Paltz New York 12561	Northern District of New York	2
US v. Zachary Sanders	Yes	8:21-cv-01291-SDM-AEP	1:20-cr-00143	1:20-mj-114			2/12/2020	XXXX XXXXXXXX XXXX, Mclean, Viginia 22102	Eastern District of Virginia	4
US v. Raymon Dugan	Yes		2:21-cr-00127			6/8/2020	6/11/2020	Lewis Lawson Branch Road, Logan, West Virginia 25601	Southern District of West Virginia	4
US v. Hunting Lodge					1:20-mj-00243-LPA	8/18/2020	8/20/2020	Hunting Lodge Road, Pleasant Garden, NC 27313	Middle District of North Carolina	4
Brian Moore Jr?					1:20-mj-236	8/13/2020	8/25/2020	Stratford Lakes Drive, Unit 122, Durham, North Carolina 27713	Middle District of North Carolina	4
Anthony Mastriaco					1:20-mj-244	8/18/2020	8/20/2020	St. Thomas Drive, Greensboro, NC 27406	Middle District of North Carolina	4
US v. Daniel Conlin - exhibit A Keizjo					1:20-MJ-00481	11/19/2020	11/23/2020	Search at South Magnolia Avenue, Lansing Michigan 48912	Western District of Michigan	6
US v. Kyle Hobbs			2:22-cr-20243	2:21-mj-30334			10/1/2020	Grafton Street, Lake Orion, Michigan	Eastern District of Michigan	6
US v. Austin Douglas Kidd			3:21-cr-00077	21-MJ-2786	20-mj-2616	11/3/2020	11/17/2020	Hickory Point Rd. in Clarksville, Tennessee	Middle District of Tennessee	6
US v. Edward Leonidas Lewis	Yes		3:21-cr-00021		21-21-GFVT-MAS (state document)	2/25/2021	2/25/2021	Meredith Ave. Frankfort KY 40601	Eastern District of Kentucky	6
Barret Lawrence			1:20-cr-00009	1:20-mj-00045		3/25/2020	3/26/2020?	Clark Street, Apartment B, Franklin Kentucky	Western District of Kentucky	6
Timothy Routon			3:21-cr-00149				7/14/2020		Western District of Kentucky	6
Michael Siats			3-21-cr-00134						Western District of Kentucky	6
Addison Daily			3-21-cr-00118						Western District of Kentucky	6
Brian Nicolas Zervos				2:23-mj-30102			January 30, 2020		Eastern District of Michigan	6
USA v. J W			3:21-CR-155-DJH		3:21-MJ-63		2/17/2021		Western District of Kentucky	6
US v. Zachary M. Stauffer			3:20-cr-30018	20-mj-4005	Consented to search		1/7/2020		Southern District of Illinois	7
US v. Brent Lawson			4:21-cr-00155	N/A	4:20-mj-03301	11/12/2020	11/24/2020	Crimson Lane, Barnhart, Missouri, 63012	Eastern District of Missouri	8
William M Hammons?					4:20-mj-05049	2/14/2020	2/20/2020	Elk Run Dr. Imperial MO 63052	Eastern District of Missouri	8
Frederick Bradley					4:20-mj-07161	5/27/2020	6/8/2020	Saint Louis Avenue, St. Louis, MO 63114-4218	Eastern District of Missouri	8
Richard K Hanson					4:20-mj-08007	9/15/2020	9/27/2020	Green Tree Meadows Drive, Lake Saint Louis, MO 63367	Eastern District of Missouri	8
Jared M. Diehl			4:22-cr-00055	N/A	4:20-mj-08005	9/15/2020	9/16/2020 Executed warrant was not docketed	Gadwall Way, O'Fallon, Missouri 63368	Eastern District of Missouri	8
John W. Burton			4:21-cr-03020	N/A			11/17/2020?		District of Nebraska	8
Washington v. Kenneth Albert Dykes			22-1-00380-04				6/17/2020?		Washinton State	9
US v. Thomas Clark				2:21-mj-00147	20-MJ-124		3/18/2020	244th St. SW, Edmonds, WA 98020-6560	Western District of Washington	9
US v. Christopher Coy Duffy					5:20-mj-00044	5/6/2020	5/7/2020	Search of Fairbanks Drive, Chipley, Florida 32428,	Northern District of Florida	11
Florida Vs. James Margwarth

Источник: _хttps://www.reddit.com/r/TOR/comments/19benkx/operation_liberty_lane_le_running_gaurd_and/

 

[bratva]

Операция Liberty Lane

Операция Liberty Lane - это предполагаемое название совместной операции США, Великобритании, Германии и, возможно, других стран, целью которой является разоблачение пользователей Tor, пользующихся незаконными луковыми сервисами. Эта операция заинтересовала меня в январе 2024 года, после того как кто-то опубликовал скриншоты материалов дела на Reddit.

По словам пользователя Reddit Efficient_Wish_9790, эта некогда теоретическая атака была приведена в действие и разоблачила тысячи пользователей. NCA и ФБР совместно разработали программу под названием «Хороший слушатель», которая заключается в том, что менты раскручивают как можно больше сторожевых и промежуточных узлов, а затем использует атаку по времени, чтобы соотнести IP на контролируемом сторожевом узле с временем на незаконном скрытом сервисе».

Скриншоты ссылаются на электронное письмо, отправленное начальником Федеральной криминальной полиции Германии (Bundeskriminalamt).

Агенты в США обсуждают свою операцию с Германией в обменах электронной почтой от 13 июня, 14 июня, 20 июня, 21 июня и 24 июня 2019 года. (Ответ на запрос FOIA, приложенный в качестве документа Ex. E, стр. 3-11). Например, 24 июня 2019 года начальник Федеральной уголовной полиции Германии отправил отредактированное электронное письмо агенту HSI, написав: «Хорошая работа! Отчет будет полезен для нас». (Там же.) Это не улица с односторонним движением.

Я пытался получить электронное письмо и отчет. Однако Федеральная уголовная полиция не смогла найти запрошенные мной документы.

Другой пользователь составил список американских дел, связанных с этой операцией. Соответствующие документы содержат интересные фрагменты, связанные с Tor. Вот фрагменты из дела 1:21-cr-00007-LJV-JJM Документ 112:
Прежде всего, обвинение по этому делу заявило, что оно не знает, как был получен скрытый IP-адрес. Поэтому правительство не может заверить этот суд, что способ, которым он был раскрыт, не шокирует совесть. До сих пор неизвестно, каким образом IP-адреса были деанонимизированы - способ, которым, похоже, обладают только некоторые национальные государства. На данный момент обвинение говорит лишь о том, что Великобритания предоставила Соединенным Штатам «наводку» на то, что определенные IP-адреса заходили на определенные сайты Tor.

Во-вторых, теперь мы знаем, что правительство Соединенных Штатов было не просто пассивным получателем щедрой наводки [...]>.

Другие электронные письма, опубликованные в этой партии, показывают, что, по крайней мере, еще в 2018 году HSI и ФБР работали вместе над проектами, которые они называли «Хороший слушатель», и пересылали по электронной почте документы об «исследованиях сторожевых узлов». (Id., at p. 24) В мире Tor входной узел часто называют сторожевым узлом; это первый узел, к которому подключается клиент Tor. В одном из электронных писем предполагается показать, как на самом деле работает «Хороший слушатель», с разделами «Предыстория» и «Методология». Этот документ датирован сентябрем 2018 года, задолго до того, как Соединенные Штаты заявили, что получили удачную «наводку».

С января 2024 года операция Liberty Lane обсуждалась на многочисленных встречах операторов рилеев. До недавнего времени никто не мог ни подтвердить, ни опровергнуть подозрения. В последних новостях о том, что правоохранительные органы подрывают анонимизацию Tor, Tor Project утверждает, что это всего лишь спекуляции. Для меня этого достаточно, чтобы усомниться в том, что я должен продолжать рекомендовать использование onion-сервисов журналистам или информаторам. Сначала мне нужно более детально разобраться в том, как осуществляются атаки и могут ли их осуществлять, например, Иран или Китай.

Источник: https://marx.wtf/2024/09/25/operation-liberty-lane/

 

[bratva]

Правоохранительные органы расшатывают веру в Tor

Несколько недель назад немецкий политический журнал Panorama и STRG_F сообщили, что правоохранительные органы проникли в сеть Tor, чтобы разоблачить преступников. Журналисты получили доступ к документам, свидетельствующим о четырех успешных деанонимизациях. Мне была предоставлена возможность ознакомиться с некоторыми документами. В этой заметке я рассказываю о ключевых выводах, которые были публично задокументированы.

Находки​

• 2024-09-12: Telefónica внедряет IP-перехват
  • Франкфуртский окружной суд обязал компанию Telefónica (O2) следить за своими клиентами в течение трех месяцев.
  • Telefónica сообщает обо всех клиентах, подключающихся к определенному входному рилею Tor, названному Федеральным управлением уголовной полиции Германии (Bundeskriminalamt, BKA). Это называется перехватом IP
  • Через несколько дней соглашение было успешно заключено.
  • Данные неподозреваемых якобы немедленно удаляются и не передаются правоохранительным органам. Остается неясным, как это может произойти, если подозреваемый неизвестен
  • Нет никаких юридических оснований для перехвата IP-адресов. Telefónica по-прежнему утверждает, что обязана применять эту меру
• 2024-09-16: Первое заявление проекта Tor
  • Выявление точек входа Tor onion-сервисов для успешной деанонимизации пользователей Tor
  • Временной анализ в сочетании с широким и долгосрочным мониторингом ретранслятора Tor
  • Адреса onion V2 и V3 были затронуты, по крайней мере, между 2019/К3 и 2021/К2
  • nusenu ссылается на KAX17
• 2024-09-18: Журналисты рассказывают об одном случае
  • Упоминается операция Liberty Lane
  • Четыре успешных деанонимизации в одном расследовании
    • 2x идентификации пользователей «Рикошета»
    • 2x последующие идентификации
  • Деанонимизация основана на временном анализе
  • Это не классическая уязвимость программного обеспечения, которая эксплуатируется
  • Tor Project соглашается, что ничто не указывает на то, что эксплуатируется уязвимость в браузере Tor. Проблема: атака работает, даже если программное обеспечение Tor работает правильно
  • Источники говорят о широкомасштабном мониторинге рилеев Tor
  • Количество отслеживаемых Tor-рилеев в Германии резко возросло за последние годы
• 2024-09-18: Второе заявление Tor Project создает впечатление, что атаке подвержен только Ricochet
• 2024-09-25: Интервью с Даниэлем Мосбруккером
  • Все больше и больше ретрансляторов Tor в Германии находятся под наблюдением в течение все более длительных периодов времени, так что, очевидно, данные используются для временного анализа
  • Деанонимизация занимает некоторое время. Власти не деанонимизируют пользователей Tor в мгновение ока.
  • Затронут не только Ricochet, но и дважды обычные луковые сервисы v3.
  • Временной анализ всегда был возможен, когда, проще говоря, на onion-сервисе было «мало трафика» и передавалось всего несколько пакетов, которые затем можно было назначить конкретному пользователю. На платформах для разоблачителей трафик обычно невелик до тех пор, пока источник не решит предоставить данные.
  • Журналисты впервые обратились к Ricochet в июле 2023 года, упомянув о случаях деанонимизации пользователей Tor путем раскрытия их входных рилеев. Ricochet немедленно проинформировал проект Tor

Сообщения СМИ​

• 2024-09-12
  • tagesschau.de: Клиенты o2 временно находятся под наблюдением
• 2024-09-16
  • Список рассылки tor-relays: Обновленная информация о предстоящем сюжете немецкого вещания о Tor
• 2024-09-18
  • tagesschau.de: Прокуроры подрывают анонимность Tor
  • Panorama: Сервис анонимизации Tor уязвим: Эффект Сноудена сходит на нет
  • Panorama: Расследования в так называемом даркнете: правоохранительные органы подрывают анонимность Tor
  • Strg_F: Педокриминальный форум: Вот как действовал Андреас Г.
  • Проект Project: Безопасно ли использовать Tor?
    • Hacker News
    • Форум пользователей проекта Tor
• 2024-09-25
  • Deutsche Welle: Даниэль Моссбрукер: Все больше и больше узлов Tor отслеживаются
  • Deutsche Welle: Вопросы и ответы: Сеть Tor по-прежнему безопасна?
• 2024-09-28
  • Deutsche Welle: Даркнет: Безопасна ли еще сеть Tor?

Источник: https://marx.wtf/2024/10/10/law-enforcement-undermines-tor/

 

[Whisper]

Чеснок полюбому лучше, даже думаю что в и2п не просто так напихали много медленных нод.
А что думаете если для мессенджера использовать систему по типу блокчейна у которого ротация скажем час, сообщение стоит сколько то коинов, коины начисляются по временному интервалу и имеют период жизни, фишка с коинами это защита от спама сети. Тогда никак не понять кому какие данные были адресованы, ведь чейн должны качать все участники.

 

[jaskolka]

Анализ трафика с нод по времени это не какой-то космос, есть даже статьи про реализацию таких атак не на только на клирнет трафик, но и на скрытые сервисы (.onion домены где 6 нод) (подробнее https://xss.pro/threads/109852/), причем особых каких-то рекомендаций на этот счет нет, по защите от таких корреляций.

Сами же разрабы Tor как и разрабы Whonix все больше и больше удивляют (или нет?) своим поведением, тем что не фиксят реально существующие и известные баги, тем что своими постами вводят людей в заблуждение касательно безопасности и анонимности.

Касательно Tor, проблемы с корреляций решаемы (не на 100%), в статье выше (/threads/109852/) даже написаны хоть какие-то рекомендации, то же самое с массовым выявлением и идентификацией Tor мостов, их каптча для их получения не менялась уже с 2018 года и эта проблема была давно описана. Можно ведь было дать официальные рекомендации по использованию VPN/proxy перед Tor, массовым поднятий своих доверенных Tor мостов, и мб реализовать возможность добавление прокси именно ПОСЛЕ Tor, чтоб с выходной ноды он шел дальше на какой-то socks или туннель, ведь реально это нужно как для анонимности (дополнительный хоп), так и для безопасности в случае с туннелем (чтоб трафик не собирали с выходной ноды). Да и история с Рикошет чатом, где разрабы Tor нагло врали и вводили людей в заблуждение касательно того деанона.

Про Whonix разрабов тут не писал, но поделюсь мнением, все сборки Whonix на amd64 процессорах, и сборки под arm64 нет (mac m1/m2 и тд, + новый qualcomm arm64 десктопный проц вышел), т.е. какой-то спрос есть. Сами же разрабы Whonix дали мануал как самому собрать образ под эту архитектуру, но она настолько не актуальная, что собрать по ней сможет разве что другой разраб Whonix)), но даже если вы соберете эту сборку, то дальше вас ждет отсутствие Tor браузера в Workstaion, реально он отсутствует в сборках с их официального репозитория. И дальше интереснее, когда вы захотите вручную установить Tor браузер на Whonix то окажется что там GPG для подписи стоят старые, которые не позволят вам установить с репозитория Tor браузер, причем если взять с сайта Tor, актуальные ключи и импортировать их себе, проблема не решится, и тоже самое произойдет если вы возьмете ключи с Whonix, где родить актуальные ключи я не знаю. Просто скачал архив с Tor бразуера для Whonix и вручную извлек его..

Тут проблема в том, что самое главное и основное - почему сами разрабы Whonix 1 раз не соберут сами 2 образа gateway и workstaion и не оставят их у себя на сайте? Причем это ведь реально задача на 1.5 часа времени, собрать сборку и выложить 2 образа под UTM.
Почему они реально не решают проблему отсутствия Tor браузера и не обновят ключи?

Все это выглядит как минимум странно

 

[ski]

tor community should suspend nodes in germany. Or avoid Germany Servers

 

[Soloo]

Only a fool would be totally dependent on one thing. Security depends on how it's defined? If you are North Korea, Russia, Iran, Cuba. Don't break the law in the region. You don't even need security. Of course your government could sell you out. So it's more important to protect the confidential data that concerns you. At least it slows down the bullets coming your way.