Χρησιμοποιώντας τα εργαλεία με λάθος τρόπο – Σύλληψη φοιτητή στο Harvard για βομβιστικές φάρσες μέσω Tor

Την Τρίτη 17 Δεκέμβρη το FBI άσκησε δίωξη σε δευτεροετή φοιτητή του Harvard ο οποίος πραγματοποίησε ψεύτικες απειλές για τοποθέτηση βόμβας στον χώρο του πανεπιστήμιου με σκοπό την αναβολή των εξετάσεών του. Ο φοιτητής έστειλε την Δευτέρα το πρωί email στις αρχές του Harvard αναφέροντας ότι υπάρχουν βόμβες σε διάφορα σημεία του πανεπιστημίου. Η πανεπιστημιακή αστυνομία κάλεσε το FBI και λοιπές τοπικές αστυνομικές αρχές για να γίνουν οι απαραίτητες έρευνες. Αφότου έγινε αντιληπτό πως οι απειλές ήταν φάρσα, οι αρχές ξεκίνησαν έρευνα για την ανεύρεση του αποστολέα των emails.old-tools

Η έρευνα ξεκίνησε από το πρώτο στοιχειο που διέθεταν, δηλαδή τα emails. Κάθε email, πέρα από το περιεχόμενο καθεαυτό, περιλαμβάνει και κάποιες επικεφαλίδες (headers). Στις επικεφαλίδες των email αναγράφονται διάφορα στοιχεία όπως η email διεύθυνση αποστολέα και παραλήπτη, η ημερομηνία αποστολής, τα στοιχεία (συνήθως διευθύνσεις IP) των διαφόρων mailserver που αναμεταδίδουν το email στο ταξίδι του από την αφετηρία στον προορισμό του και άλλα. Η συντριπτική πλειονότητα των παρόχων email προσθέτει και κάποιο μοναδικό αναγνωριστικό του αποστολέα, όπως το username με το οποίο έκανε login στον αρχικό mailserver ή την πραγματική IP διεύθυνση του  υπολογιστή από τον οποίο έστειλε το email. Οι επικεφαλίδες των email είναι αναγνώσιμες από τον καθένα, και παρόλο που το πρόγραμμα με το οποίο διαβάζετε τα emails σας δεν σας τις δείχνει από προεπιλογή, ψάχνοντας λίγο μπορείτε κι εσείς να τις δείτε (πχ στον Thunderbird έχοντας ανοίξει ένα email πηγαίνουμε στο “Other Actions” > “View Source”). Οι αστυνομικές αρχές είδαν ότι τα email με τις βομβιστικές απειλές είχαν σταλεί από το GuerillaMail, μια υπηρεσία που δημιουργεί προσωρινές -μιας χρήσης- διευθύνσεις. Εξετάζοντας τις επικεφαλίδες των email , είδαν ότι το GuerillaMail στο πεδίο “X-Originating-IP/Received” είχε προσθέσει την IP του αποστολέα, στη συγκεκριμένη περίπτωση την IP του κόμβου εξόδου από το Tor.

Ας δούμε ένα παράδειγμα επικεφαλίδων σε email :

Delivered-To: contact@skytal.es  <– Τελικός παραλήπτης
Received: from spool.mail.gandi.net (mspool5-d.mgt.gandi.net [10.0.21.136])  ένας mail server από τον οποίο πέρασε το email
    by nmboxes13-d.mgt.gandi.net (Postfix) with ESMTP id 327B4185427
    for <contact@skytal.es>; Thu, 19 Dec 2013 00:30:29 +0100 (CET)
Received: from mfilter11-d.gandi.net (mfilter11-d.gandi.net [217.70.178.131])ένας mail server από τον οποίο πέρασε το email
    by spool.mail.gandi.net (Postfix) with ESMTP id 2F8742A8086
    for <contact@skytal.es>; Thu, 19 Dec 2013 00:30:29 +0100 (CET)
X-Virus-Scanned: Debian amavisd-new at mfilter11-d.gandi.net antivirus headers (όχι απαραίτητα αληθή)
Received: from spool.mail.gandi.net ([10.0.21.136]) — ένας mail server από τον οποίο πέρασε το email
    by mfilter11-d.gandi.net (mfilter11-d.gandi.net [10.0.15.180]) (amavisd-new, port 10024)
    with ESMTP id Ak51nV+w6kEv for <contact@skytal.es>;
    Thu, 19 Dec 2013 00:30:27 +0100 (CET)
Received: from mx1.riseup.net (mx1.riseup.net [198.252.153.129]) — ένας mail server από τον οποίο πέρασε το email
    by spool.mail.gandi.net (Postfix) with ESMTPS id 5AAE02A80BF
    for <contact@skytal.es>; Thu, 19 Dec 2013 00:30:24 +0100 (CET)
Received: from fruiteater.riseup.net (fruiteater-pn.riseup.net [10.0.1.74]) — ένας mail server από τον οποίο πέρασε το email
    (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    (Client CN “*.riseup.net”, Issuer “Gandi Standard SSL CA” (not verified))
    by mx1.riseup.net (Postfix) with ESMTPS id 397E55185E
    for <contact@skytal.es>; Wed, 18 Dec 2013 15:30:22 -0800 (PST)
Received: from ppp-2-85-120-257.home.otenet.gr (ppp-2-85-120-257.home.otenet.gr [2.85.120.257])  — ένας mail server/client από τον οποίο πέρασε το email
    (Authenticated sender: someuser@fruiteater.riseup.net) — ο χρήστης που έκανε authentication στον mail server
    with ESMTPSA id 82F61E16
Message-ID: <52B2300B.8010302@riseup.net>
Date: Thu, 19 Dec 2013 01:30:19 +0200 — ημερομηνία αποστολής (όπως την δήλωσε ο αποστολέας)
From: someuser@riseup.net — Αποστολέας (δεν σημαίνει πως είναι απαραίτητα αυτός όμως)
User-Agent: Evolutionzebu/7.5.0 — Email Client
MIME-Version: 1.0
To: contact@skytal.es — Παραλήπτης
Subject: test  <– Θέμα
X-Enigmail-Version: 1.6  — διάφορα plugins
X-Mailer: AT&T/Evolutionzebu — διάφορα plugins
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 7bit
X-Virus-Scanned: clamav-milter 0.97.8 at mx1 — antivirus headers (όχι απαραίτητα αληθή)
X-Virus-Status: Clean — antivirus headers (όχι απαραίτητα αληθή)

Στους παραπάνω headers μπορεί κανείς να δει πως ο χρήστης someuser@fruiteater.riseup.net από την IP 2.85.120.257 έστειλε ένα email προς την διεύθυνση contact@skytal.es το οποίο πέρασε από τους εξής servers: χρήστης (2.85.120.257)-> fruiteater.riseup.net -> mx1.riseup.net -> spool.mail.gandi.net -> mfilter11-d.gandi.net -> spool.mail.gandi.net -> nmboxes13-d.mgt.gandi.net . Ακόμα ο mx1.riseup.net και ο mfilter11-d.gandi.net φαίνεται να πέρασαν το email και από το δικό τους antivirus.

Συνεχίζοντας την ιστορία…

Ο φοιτητής που επιθυμούσε την αναβολή των εξετάσεών του, χρησιμοποιήσε το GuerillaMail μέσα από το δίκτυο του Tor, κρύβοντας την IP του. Αυτό που αγνοούσε ο φοιτητής είναι πως το Tor ναι μεν αποκρύπτει την πραγματική IP διεύθυνσή σου από τον τελικό προορισμό – στην περίπτωσή του από το GurillaMail που χρησιμοποίησε για να στείλει τις απειλές – αλλά το Tor δεν μπορεί να κρύψει το γεγονός ότι κάποιος χρησιμοποποιεί Tor.

Το FBI αφού βρήκε την IP του αποστολέα στις επικεφαλίδες του email, ελέγχοντας τη δημόσια λίστα με τις διευθύνσεις των κόμβων που συμμετέχουν στο δίκτυο του Tor (https://exonerator.torproject.org/), συμπέρανε εύκολα πως ο αποστολέας είχε εξαρχής χρησιμοποιήσει το Tor.

Οι ψεύτικες απειλές για βόμβα – με σκοπό την αναβολή εξετάσεων – δεν είναι καμιά πρωτοτύπια, πράγμα που προφανώς έστρεψε την προσοχή του FBI στο εσωτερικό του Harvard. Υπήρχε σοβαρή πιθανότητα ο φαρσέρ να ήταν ένας από τους φοιτητές του Harvard. Για τον λόγο αυτό, το FBI σε συνεργασία με τις αρχές του πανεπιστημίου ελέγξανε αν και ποιοί χρήστες συνδέθηκαν στο Tor στο χρονικό διάστημα που είχαν αποσταλεί τα απειλητικά email. Με βάση τα αρχεία καταγραφών (logs/flows) για την κίνηση στο δίκτυο του πανεπιστημίου, το FBI ήταν σε θέση να διακρίνει ποιες IP του Harvard συνδέθηκαν στο δίκτυο Tor το πρωί της Δευτέρας. Καθώς η πρόσβαση στο ασύρματο  δίκτυο στο πανεπιστήμιο -όπως και σε άλλα πανεπιστήμια και δημόσιους  χώρους- δίνεται με την εισαγωγή username και password σε μια ειδική  διαμορφωμένη σελίδα, οι αρχές ήταν σε θέση να συνδέσουν τις IP που συνδέθηκαν στο Tor με συγκεκριμένους επώνυμους χρήστες. Επειδή την δεδομένη στιγμή οι χρήστες του Tor ήταν μόνο ένας οι έρευνες στράφηκαν πάνω του.

Ο Kim Oldo προσήχθη την Δευτέρα και κατά την ανάκριση του από το FBI και την πανεπιστημιακή αστυνομία παραδέχτηκε ότι ήταν αυτός που είχε στείλει τα απειλητικά email με σκοπό την αναβολή των εξετάσεων.

Η παραπάνω ιστορία μας επιτρέπει να επισημάνουμε διάφορα ενδιαφέροντα στοιχεία :

  • Το περιστατικό αυτό  είναι άλλη μια περίπτωση που οι αρχές συλλαμβάνουν χρήστη του Tor χωρίς να εκμεταλλεύονται κάποια τρύπα ασφαλείας ή αδυναμία στον κώδικα του Tor. Είναι φανερό πως ακόμα κι όταν ένα εργαλειό λειτουργεί άψογα, ο χρήστης που δεν το χρησιμοποιεί σωστά ή δεν κατανοεί πλήρως τις δυνατότητες και τους περιορισμούς του εργαλείου αυτού, είναι πιθανό να την πατήσει. Πιο συγκεκριμένα, χρησιμοποιώντας το Tor o φοιτητής μπόρεσε να κρύψει την IP του από τον τελικό προορισμό (GuerillaMail) και μπόρεσε να κρύψει από τον πάροχό του (το Harvard) ότι συνδέθηκε σε έναν συγκεκριμένο προορισμό (το GuerillaMail). Αυτό που αγνοούσε ο φοιτητής ήταν ότι δεν μπορούσε να κρύψει από το Harvard, καθεαυτό το γεγονός ότι χρησιμοποιούσε το Tor. Οι χρήστες του Tor οφείλουν να γνωρίζουν και να θυμούνται πως όταν εκκινούν το Tor Browser, ο υπολογιστής τους πραγματοποιεί διάφορες συνδέσεις προς το δίκτυο του Tor, κατεβάζοντας τη λίστα με όλους τους διαθέσιμους κόμβους και χτίζοντας νοητά μονοπάτια (virtual circuits) μέσα από τους κόβμους αυτούς. Η λίστα με τους διαθέσιμους κόμβους Tor (το λεγόμενο consensus) είναι δημόσια, την γνωρίζουν όλοι. Επομένως οι διαχειριστές του δικτύου του παρόχου του χρήστη (είτε είναι πανεπιστήμιο είτε εταιρεία) είναι σε θέση εύκολα και γρήγορα να ελέγξουν αν ένας συγκεκριμένος χρήστης συνδέεται και άρα χρησιμοποιεί Tor. Δεν μπορούν να γνωρίζουν τι κάνει μέσω του Tor αλλά ξέρουν ότι το χρησιμοποιεί.
  • Πρέπει πάντα κανείς να υπολογίζει πως όλοι οι πάροχοι τηλεπικοινωνιακών υπηρεσίων κρατάνε κάποιου είδους log για τις συνδέσεις που περνούν από το δίκτυό τους, στον κόσμο των δικτύων αυτά συνήθως λέγονται flow records (https://en.wikipedia.org/wiki/NetFlow). Δεν είμαστε σε θέση με ακρίβεια να γνωρίζουμε το βάθος, τις λεπτομέρεις και την διάρκεια των αρχείων καταγραφής του κάθε παρόχου. Μπορούμε όμως να εκτιμήσουμε με καλή πιθανότητα ότι για ένα σεβαστό χρονικό διάστημα – που εμπίπτει στο πλαίσιο μιας αστυνομικής έρευνας – καταγράφεται ποιος επώνυμος χρήστης αντιστοιχεί σε μία IP (τις περισσότερες φορές συνδεόμαστε επώνυμα σε ένα δίκτυο), σε ποιούς προορισμούς συνδέθηκε αυτή η IP και σε ποιές χρονικές στιγμές. Αυτά είναι τα ελάχιστα πράγματα που περιείχαν τα logs του Harvard και ήταν αρκετά για να οδηγηθούν οι αρχές σε ένα σχετικά μικρό αριθμό υπόπτων.
  • Το FBI συνδύασε το γεγονός ότι ήταν πολύ πιθανό ο αποστολέας να ήταν μέσα στο Harvard, το ότι το email εστάλη μέσω Tor και το ότι μικρός αιρθμός επώνυμων χρηστών συνδέθηκε στο Tor από το Harvard σε ένα συγκεκριμένο χρονικό διάστημα γύρω από την στιγμή της αποστολής των email.
  • Το Tor είναι ευαίσθητο σε επιθέσεις συσχέτισης χρόνου (timing attacks) κατά τις οποίες κάποιος μπορεί να παρακολουθήσει ταυτόχρονα και το σημείο εισόδου στο Tor και το σημείο εξόδου. Όταν κάποιος μπορεί να δει ένα πακέτο να μπαίνει στο δίκτυο του Tor και έχει την δυνατότητα να παρακολουθήσει και το σημείο από το οποίο εξέρχεται το πακέτο μετά από ένα μικρό σχετικά διάστημα τότε μπορεί να αναγνωρίσει πως πρόκεται για το ίδιο πακέτο. Στην περίπτωση που το πακέτο φεύγει από ένα δίκτυο μπαίνει στο Tor και επιστρέφει πίσω στο ίδιο δίκτυο, τότε ο διαχειριστής του δικτύου μπορεί εύκολα να κάνει τις συσχετίσεις χωρίς να παρακολουθεί την κίνηση των exit nodes του Tor, παρακολουθώντας απλά την κίνηση του δικού του δικτύου. Μιας και ο χρήστης ήταν φοιτητής του Harvard και χρησιμοποιούσε το δίκτυο του Harvard για να συνδεθεί στο Tor και μέσα από αυτό έστειλε κάτι πίσω στο δίκτυο του Harvard (το email) έπεσε ο ίδιος θύμα αυτής της “επίθεσης” κάνοντας λανθασμένη χρήση του εργαλείου. Αν ο χρήστης είχε πάει σε ένα cafe εκτός του Harvard και χρησιμοποιούσε ένα wireless δίκτυο για να στείλει το email προς το Harvard θα είχε αποφύγει την παραπάνω ευπάθεια.
Tagged with: , , ,
Posted in Άρθρα, Ειδήσεις
3 comments on “Χρησιμοποιώντας τα εργαλεία με λάθος τρόπο – Σύλληψη φοιτητή στο Harvard για βομβιστικές φάρσες μέσω Tor
  1. GiaNt says:

    Ένα άλλο σύνηθες λάθος είναι το κατέβασμα του tor ακριβώς πριν τη χρήση του.
    Έχει ενδιαφέρον το κείμενο συλληφθέντων από την αντιτρομοκρατική, που αναφέρονται στο εν λόγω λάθος όταν χρησιμοποιούσαν το Tor.
    https://athens.indymedia.org/front.php3?lang=el&article_id=1497041

    Αντίστοιχα δηλαδή αν ο φοιτητής κατέβαζε το Tor από ένα γειτονικό internet cafe, θα έθετε πάλι σε κίνδυνο την ανωνυμία του. Θα μπορούσα κάλλιστα να γίνει διασταύρωση των στοιχείων του π.χ. αν υπήρχαν κάμερες ασφαλείας ή πρόσβαση με χρήση username στο εν λόγω internet cafe.

    Σχετικά με την Ελλάδα σε ότι αφορά τουλάχιστον την forthnet, ακόμα και οι απλοί υπάλληλοι της τεχνικής υποστήριξης έχουν πρόσβαση στο να δουν σε ποιες σελίδες συνδέεται κάποιος χρήστης.

  2. GiaNt says:

    Μπορούσε*

  3. eff says:

    Για να δει κανείς από τι σε προταστεύει το Tor και από τι όχι υπάρχει το παρακάτω γραφικό από το EFF:

    Tor and HTTPS