hidden service – Skytales Blog https://skytal.es/blog Ειδήσεις, Αναλύσεις και άλλα από τον Ψηφιακό Κόσμο Sun, 29 Sep 2013 12:49:16 +0000 en-US hourly 1 https://wordpress.org/?v=6.1.1 Το Tor, το FBI και τα hidden services : Στοιχεία και συμπεράσματα https://skytal.es/blog/articles/tor-fbi-hidden-services/ Thu, 26 Sep 2013 15:52:48 +0000 https://skytal.es/blog/?p=361 ]]> Τα hidden services του Tor, ή αλλιώς κρυμμένες υπηρεσίες, είναι η δυνατότητα που έχει κάποιος να προσφέρει μια υπηρεσία (service), για παράδειγμα ένα website, και ταυτόχρονα να κρατάει την IP του site, άρα και την ταυτότητά του, κρυφή. Τα sites αυτά, έχουν κατάληξη .onion και είναι προσβάσιμα μόνο μέσω του δικτύου Tor. Αυτή η λειτουργία του Tor επιτρέπει όχι μόνο την ανώνυμη πλοήγηση στο διαδίκτυο αλλά και την ανώνυμη δημοσίευση περιεχομένου.

Στις 4 Αυγούστου 2013 αρκετά websites που λειτουργούσαν ως hidden service στο δίκτυο του Tor, εμφάνισαν ένα ίδιο μήνυμα σφάλματος. Μέσα σε λίγες ώρες, ερευνητές ασφαλείας και hackers ανακάλυψαν ότι τα sites αυτά ήταν μολυσμένα και σερβίραν ένα κακόβουλο κομμάτι κώδικα που στόχευε στην αποκάλυψη της ταυτότητας του επισκέπτη χρήστη. Το κομμάτι αυτό του κώδικα φυτεύτηκε στα sites εν αγνοία των διαχειριστών τους και εκμεταλλευόταν μια ευπάθεια στην έκδοση για Windows του Mozilla Firefox, που ως γνωστόν χρησιμοποιεί και το Tor Project στον Tor Browser, τον browser για πλοήγηση στο Tor. Η ευπάθεια στον Firefox είχε γνωστοποιηθεί δύο μήνες πριν και είχε διορθωθεί. Έτσι, εκτεθειμένοι ήταν οι χρήστες που χρησιμοποιούσαν παλιά και όχι τελευταία έκδοση του Tor Browser.

Σχεδόν αμέσως ανακαλύφθηκε ότι τα hidden sites που ήταν μολυσμένα φιλοξενούνταν όλα από την Freedom Hosting, μια οντότητα που πρόσφερε hidden sites στο δίκτυο του Tor. Πολλά από τα μολυσμένα sites που φιλοξενούσε η Freedom Hosting ήταν sites με παιδική πορνογραφία. Μετά και το μήνυμα σφάλματος, τα sites αυτά έσβησαν, ενώ ταυτόχρονα υπήρξαν δημοσιεύματα για σύλληψη ενός ιρλανδού πολίτη, που θεωρήθηκε ως ο ιδιοκτήτης και διαχειριστής της Freedom Hosting.

Η ανάλυση του malware (κακόβουλου κώδικα) έδειξε ότι το πρόγραμμα προσπαθούσε να βρει και να καταγράψει την MAC address του υπολογιστή του χρήστη, το όνομα του υπολογιστή, ένα αναγνωριστικό των hidden site που επισκέφθηκε και στη συνέχεια, παρακάμπτοντας το Tor, άρα με την αληθινή IP του χρήστη, να δώσει αναφορά σε κάποιους servers στη Virginia των ΗΠΑ.

Ο συνδυασμός των παραπάνω στοιχείων έστρεψε τις υποψίες στο FBI, ως προσπάθεια αναγνώρισης και σύλληψης χρηστών από sites παιδικής πορνογραφίας. Αρχικά το FBI δεν έκανε καμία δημόσια δήλωση επί του θέματος. Σύμφωνα με δημοσίευμα του περιοδικού wired (http://www.wired.com/threatlevel/2013/09/freedom-hosting-fbi/) κατά τη διάρκεια της ακροαματικής διαδικασίας του κατηγορούμενου για φιλοξενία και διακίνηση παιδικής πορνογραφίας ιρλανδού, προέκυψαν νέα στοιχεία για την εμπλοκή του FBI στην υπόθεση. Σύμφωνα με το wired λοιπόν, το FBI είχε καταφέρει να αποκτήσει πρόσβαση στους servers της Freedom Hosting ήδη από τον Ιούλιο του 2013, εν αγνοία του διαχειριστή. Έν συνεχεία φύτεψε τον κακόβουλο javascript κώδικα σε συγκεκριμένες σελίδες με σκοπό να παγιδεύσει χρήστες που επισκέπτονταν μέσω Tor περιεχόμενο παιδικής πορνογραφίας.

Χρήσιμα στοιχεία και επισημάνσεις :

  • Μετά τη δημοσιοποίηση των παραπάνω γεγονότων υπήρξε μια ευρεία σύγχυση που αποτυπωνόταν σε φράσεις όπως “το FBI έσπασε/χάκαρε το Tor”. Στην πραγματικότητα δεν προκύπτει κανένα στοιχείο για ευπάθεια στο λογισμικό του Tor καθεαυτό. Η ευπάθεια που μπόρεσε να εκμεταλλευτεί το FBI ήταν σε συγκεκριμένη έκδοση του Mozilla Firefox ( στον οποίο βέβαια βασίζεσαι ο Tor Browser). O Firefox και το Tor είναι εντελώς διαφορετικά λογισμικά. Ο Tor Browser είναι ένας τροποποιημένος Firefox ρυθμισμένος για να χρησιμοποιεί το λογισμικό και άρα το δίκτυo του Tor. Με άλλα λόγια ο Tor Browser εξαρτάται από το Mozilla Foundation για ανακάλυψη και διόρθωση λαθών ασφαλείας.

    Οι χρήστες, ιδιαίτερα εκείνοι που λαμβάνουν σοβαρά υπόψιν τις παραμέτρους ιδιωτικότητας και ασφάλειας, είναι καλό να γνωρίζουν έστω και σε αδρές γραμμές πώς δουλεύουν τα πράγματα. Είναι καλό να αντιλαμβάνονται τα όρια λειτουργίας του κάθε λογισμικού/εργαλείου που χρησιμοποιούν. Στην περίπτωσή μας, το Tor εστιάζει στο επίπεδο δικτύου και στο πως μια οντότητα θα επικοινωνήσει με μια άλλη απομακρυσμένη οντότητα κρύβοντας την διεύθυνση IP. Ο Tor Browser εστιάζει στην εμφάνιση ιστοσελίδων κάνοντας χρήση του δικτύου Tor. Συνδυάζοντας τις δύο αυτές διαφορετικές εφαρμογές, ο Tor Browser προσφέρει ένα καλό επίπεδο ανωνυμίας στο browsing.

    Από την άλλη, πρέπει να γίνει κατανοητό ότι τo Tor δε μπορεί να κάνει τίποτα στη περίπτωση που σε μια επικοινωνία client-server, ένα ή και τα δύο μέρη έχουν ευπάθειες σε κάποια εφαρμογή. Ακόμα, το Tor δε μπορεί να αποτρέψει ή να προβλέψει λάθη του ίδιου του χρήστη ο οποίος για παράδειγμα λόγω αμέλειας έχει μολυσμένο υπολογιστή ή επισκέπτεται μια “περιέργη” ιστοσελίδα ή μια υπηρεσία μολυσμένη.

  • Αντίστοιχα για την πλευρά του hidden service το Tor χρησιμοποιείται για να κρύψει την IP του server αλλά αυτό δεν λύνει όλα τα πιθανά προβλήματα, τις ευπάθειες ή δεν αποτρέπει όλες τις πιθανές επιθέσεις. Ακόμα κι αν ένα blog είναι προσβάσιμο μόνο ως hidden service, εάν το λογισμικό που χρησιμοποιεί ο server έχει κάποια αδυναμία ασφαλείας και κάποιος αντίπαλος την εκμεταλλευτεί, τότε τα πράγματα είναι σκούρα. Αυτό έγινε και στην περίπτωση της Freedom Hosting. Το FBI μπόρεσε να εκμεταλλευτεί κάποια ευπάθεια στους servers της Freedom Hosting, να πάρει τον έλεγχο των server εν αγνοία του διαχειριστή, να εγκαταστήσει κακόβουλο κώδικα τον οποίο σέρβιρε στους χρήστες για να αποκαλύψει την ταυτότητά τους.
  • Ο κακόβουλος κώδικας “χτυπούσε” όσους χρήστες είχαν αμελήσει να ενημερώσουν τον Tor Browser. Αυτό δείχνει -για πολλοστή φορά – ότι ο χρήστης έχει μεγάλο μερίδιο ευθύνης στο να είναι συνεπής, με σωστές πρακτικές στη χρήση των διαφόρων εργαλείων. Ο χρήστης οφείλει να έχει το πλέον ενημερωμένο λογισμικό, για να καλύψει τις τρύπες ασφαλείας που συνεχώς ανακαλύπτονται σε *όλα* τα λογισμικά. Από την άλλη προφανώς υπάρχουν χρονικά διαστήματα κατά τα οποία το X λογισμικό έχει ευπάθειες για τις οποίες δεν υπάρχουν ακόμα ενημερώσεις. Άρα το να έχει ο χρήστης ενημερωμένο λογισμικό δεν τον καλύπτει σίγουρα και πάντα, αλλά το να έχει παλιά έκδοση λογισμικού τον αφήνει σίγουρα εκτεθειμένο.
  • Ας σημειωθεί ακόμα ότι ο κακόβουλος κώδικας αφορούσε την έκδοση του Firefox για Windows. Τα Windows είναι ένα λειτουργικό σύστημα κλειστού κώδικα. Αυτό σημαίνει ότι οι χρήστες δεν μπορούν να γνωρίζουν πώς εκτελούνται οι λειτουργίες “κάτω από το καπώ”. Οι εφαρμογές κλειστού κώδικα, είναι ένα πολύ καλό μέρος να φυτευτεί κακόβουλος κώδικας καθώς κανείς πέραν της εταιρείας δεν ξέρει τον πηγαίο κώδικα της εφαρμογής. Όπως έδειξαν και οι πρόσφατες διαρροές του Edward Snowden για τις δυνατότητες της NSA, η ύπαρξη backdoors σε εφαρμογές κλειστού κώδικα δεν μπορεί πλέον να μένει στη σφαίρα των υποθέσεων. Οι χρήστες που νοιάζονται για την ασφάλεια, την ιδιωτικότητα και την ανωνυμία τους οφείλουν να χρησιμοποιούν ανοιχτά πρότυπα και λογισμικά ανοικτού κώδικα που έχουν ελεγχθεί και δοκιμαστεί. Σήμερα o χρήστης μπορεί να επιλέξει από μια μεγάλη γκάμα Linux διανομών που δεν έχουν τίποτα να ζηλέψουν σε ευχρηστία και λειτουργικότητα από τα κλειστά και προβληματικά Windows. Προσοχή, ο ανοικτός κώδικας δεν σημαίνει ότι είναι κώδικας χωρίς ευπάθειες. Ο ανοικτός κώδικας όμως είναι περισσότερο ανθεκτικός σε κακόβουλα “φυτέματα” και είναι πιο γρήγορα διορθώσιμος χάρη στον δημόσιο τρόπο ανάπτυξής του.
  • Tο περιστατικό με το FBI και την Freedom Hosting, μας δείχνει ότι οι κρατικοί μηχανισμοί συλλογής πληροφοριών δεν περιορίζονται σε μια παθητική παρακολούθηση. Η καταγραφή των κλήσεων για παράδειγμα είναι περίπτωση παθητικής παρακολούθησης. Όταν η παθητική παρακολούθηση δεν αρκεί για την συλλογή των ζητούμενων πληροφοριών, βλέπουμε ότι ορισμένες υπηρεσίες έχουν τους πόρους για να προχωρήσουν σε ενεργητική παρακολούθηση. Στην περίπτωση της Freedom Hosting, αν δεχτούμε ότι στόχος του FBI ήταν να ανακαλύψει χρήστες που επισκέπτονταν σελίδες παιδικής πορνογραφίας, η παθητική παρακολούθηση των γραμμών του Internet δεν θα είχε ακριβές ή καθόλου αποτέλεσμα. Κι αυτό διότι οι συγκεκριμένες ιστοσελίδες ήταν hidden service στο Tor, έχοντας πολλαπλά επίπεδα κρυπτογράφησης στην επικοινωνία. Έτσι η στρατηγική που ακολούθησαν ήταν να εκμεταλλευτούν ενεργητικά μια αδυναμία του server της Freedom Hosting, να πάρουν τον έλεγχο των server, να φυτέψουν κακόβουλο κώδικα στις σελίδες, να αναγκάσουν τους χρήστες να εκτελέσουν τον κώδικα αυτόν και να τους παγιδέψουν. Μπορούμε να φανταστούμε και άλλες περιπτώσεις όπου οι κρατικές υπηρεσίες δεν θα περιοριστούν σε παθητικό ρόλο…
  • Αν και η υπόθεση αφορούσε την πάταξη/αντιμετώπιση ιστοτόπων παιδικής πορνογραφίας, δεν υπάρχει κανένα εχέγγυο ότι το FBI και το κάθε FBI δε θα χρησιμοποιήσει ίδιες τακτικές για ιστοτόπους άλλου είδους όπως για παράδειγμα έναν ιστότοπο ακτιβιστών. Η παιδική πορνογραφία είναι ο δούρειος ίππος για την εισαγωγή μιας κουλτούρας παρακολούθησης και καταστολής στο Διαδίκτυο. Είναι το ψηφιακό ανάλογο της τρομοκρατίας που στις μέρες μας χρησιμοποιείται κατά κόρον για την περιστολή των ελευθεριών στις δυτικές κοινωνίες ή ως πρόφαση για την εισβολή και τον “εκδημοκρατισμό” των “οπισθοδρομικών” αραβικών κρατών.
]]>