Najnowsze

Opublikowano Sierpień 6, 2013 Przez stophasbara W Samoobrona w infowar

Uwaga na „bezpieczeństwo” TOR

Tor-ProjectBardzo aktualna wiadomość: połowa stron TOR-a zagrożona, w tym poczta TORmail

Założyciel Freedom Hosting został aresztowany w Irlandii i czeka na ekstradycję do USA. W akcji łamania zabezpieczeń, jaka jak twierdzi FBI, miała rzekomo być polowaniem na pedofilów, połowa stron sieci Tora została naruszona i pozbawiona zabezpieczeń, w tym poczta, TORmail.

http://www.independent.ie/irish-news/courts/fbi-bids-to-extradite-largest-childporn-dealer-on-planet-29469402.html

Jest to niewątpliwie wielki cios dla społeczności TOR, krypto-anarchistów oraz bardziej ogólnie, dla anonimowości internetu. Wszystko to dzieje się podczas konferencji dotyczącej zagadnień hakerskich, DEFCON.

Jeśli używasz jakichś loginów oraz kombinacji haseł, których ponownie użyłeś w „głębokiej sieci” TOR-a, to lepiej zmień je natychmiast.

Eric Eoin Marques Eoin, który został aresztowany, prowadzi firmę Host Ultra Limited. Ma konto na forum Talk Webhosting.

http://www.webhostingtalk.com/showthread.php?t=157698

Kilka dni temu doszło do wielu masowych problemów z dostępem do ukrytych usług Tora, jakie głównie dotyczyły stron internetowych z Freedom Hosting.

http://postimg.org/image/ltj1j1j6v/

„Trwają prace konserwacyjne. Ten serwer jest aktualnie wylogowany z powodu konserwacji (offline). Prosimy spróbować ponownie za kilka godzin”.

Jeśli zobaczyłeś taki komunikat podczas przeglądania Tora, to wszedłeś w usług obsługiwaną przez Freedom Hosting. Skrypt – javascript – został wykorzystany do dostania się o twojej przeglądarki, jeśli miałeś włączoną obsługę JavaScript.

Co to robi:

JavaScript zero-day exploit tworzy unikatowy plik cookie i wysyła żądanie do serwera, jaki na zasadzie losowej robi kopię twojej przeglądarki w jakiś sposób, co prawdopodobnie jest potem w innym miejscu porównywane i korelowane ze sobą, gdyż plik cookie nie daje się usunąć. Prawdopodobnie służy do powiadomienia FBI o numerze IP ofiary.

Iframe jest instalowany do stron hostowanych przez Freedom Hosting:

TOR/FREEDOM HOST COMPORMISED (zamieścił gość 03 sierpnia)

http://pastebin.com/pmGEj9bV

Co prowadzi do tego ukrywanego kodu:

Javascript Mozilla Pastebin (zamieścił anonim 04 sierpnia)

http://pastebin.mozilla.org/2776374

FH STILL COMPROMISED (gość, 03 sierpnia)

http://pastebin.com/K61QZpzb

Tajna usługa FBI w związku z wykorzystaniem JavaScript exploit:

7ydnpplko5lbgfx5

Kogo to może dotyczyć, ramy czasowe:

Każdy, kto miał dostęp do stron FH w ciągu ostatnich dwóch dni i ma włączoną obsługą JavaScript. Eric Marques został aresztowany w niedzielę, a więc to najwcześniejszy możliwy termin.

„W tym dokumencie ujawniamy wady samego projektowania i wdrażania usług ukrytych Tora, które pozwalają napastnikowi oceniać popularność dowolnych usług ukrytych, zdjąć zabezpieczenia z tych usług i dokonać de-anonimowości takich usług”

Trawling for Tor Hidden Services: Detection, Measurement, Deanonymization

http://www.ieee-security.org/TC/SP2013/papers/4977a080.pdf

Od dwóch tygodni, FBI prowadzi witrynę z pornografią dziecięcą

http://gizmodo.com/why-the-fbi-ran-a-child-porn-site-for-two-whole-weeks-510247728

http://postimg.org/image/o4qaep8pz/

Rzec można, że ci chorzy zboczeńcy powinni dostać to, na co zasłużyli. Niestety federalni w swej akcji idą daleko dalej, niż łapanie pedofilów.

Js wstawione we Freedom Hosting? To nic takiego, tylko skrypt iframe zainstalowany w UUID wbudowany po stronie serwera.

Potem Iframe dostarcza zestaw exploitów, który wydaje się być JavaScript 0dni, jaki z kolei prowadzi do … czegoś. Stara się tylko wykorzystać przeglądarkę Firefox (17 i w górę) w systemie Windows NT. Zdecydowanie dokonuje tam infekcji shell kodem. Podejrzany shell code block zawiera kilka łańcuchów danych, które wyglądają na formułowanie żądania HTTP, ale nie udało mi się zebrać ostatecznej wersji tej pułapki. Shell code zawiera także UUID, z którym exploit zostaje dostarczony.

Wciąż rozgryzam ten malware na kawałki. Do tej pory dowiedziałem się, że atak jest podzielony między trzy odrębne pliki, przy czym każdy załadowany jest do iframe. Do połączeń dochodzi między ramkami w celu dalszego ukrywania kontroli przepływu. Pliki „content_2.html” i „content_3.html” służą wyłącznie do tego, żeby żądanie dostępu „wyglądało jak” Firefox i miało prawidłowy nagłówek Referer. „Content_2.html” jest ładowany z głównego exploita iframe i potem ładuje „content_3.html”.

Wersja skrócona. Wstępna analiza: To maleństwo prawdopodobnie może rozwijać się bez przechodzenia przez Tora. Wydaje się, iż wykorzystuje JavaScript w czasie pracy w Firefoksie, aby coś ściągnąć do komputera użytkownika.

UPDATE: exploit dotyczy tylko Firefox 17 i obejmuje kilka JS.

http://pastebin.mozilla.org/2777139

Jakie z tego logiczne wnioski?

1. FBI/NSA po prostu zamyka największą witrynę hostingową i najbardziej poszukiwaną osobę związaną z Torem

2. Silkroad jest następny na liście, jako wróg nr 2

3. Bitcoin i wszystkie krypto-waluty są ustawione na to, żeby doznać absolutnej klęski, gdyż federalni nie mogą ich całkowicie kontrolować w dowolny sposób.

źródło: http://www.twitlonger.com/show/n_1rlo0uu

przygotował: stophasbara

Tags : ,

Komentowanie zamknięte.