Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Mennyire vagy anonim?

2008.12.27. 17:55 | buherator | 7 komment

Magánszféránk illetve altestünk védelme érdekében gyakran szükségünk lehet rá, hogy pl. proxyk mögé bújva rejtsük el IP címünket a kíváncsi szemek elől. Ez a feladat azonban nehezebb, mint aminek látszik!

A Metasploit Project legúabb "terméke" egy Decloaking Engine névre keresztelt, nyilvános API-n keresztül elérhető eszköz, amely megkísérli a lehető legtöbb információt kinyerni a weben közlekedő Anonymusok valódi tartózkodási helyével kapcsolatban. Lássuk milyen módszereket használ a motor mocskos kis titkaink leleplezésére:

  • Az IFRAME-be töltött kémoldal kéréseket intéz egy, a decloak.net tartományába eső speciális subdomainre, amit természetesen a kliens névszerverének fel kell oldani. A decloak.net speciálisan elkésztett névkiszolgáló szoftvere, feljegyzi, hogy honnan érkeztek hozzá DNS kérések a különböző alcímekre, innen pedig következtetni lehet arra, hogy a kedves látogató milyen ISP-nél előfizető, vagy akár arra is, hogy az illető mely cégnél dolgozik.
  • Ha egy Java applet megpróbál feloldani egy hoszt nevet a socket API-n keresztül és a hoszt név nem egyezik meg az appletet kiszolgáló webhelyével egy biztonsági kivétel dobódik. Ennek ellenére a DNS kérés ugyanúgy elküldésre kerül, az eredmény pedig megegyezik az első pontban tárgyaltakkal.
  • Ha egy Java applet UDP üzeneteket küld vissza a kiindulási hosztjára, a csomagok általában nem a beállított proxyn keresztül közlekednek, ez pedig felfedheti a kliens valódi IP-jét. Hasonló módszerről már volt szó itt is.
  • Ha a Java engedélyezve van, a webes kliens IP címe elérhető a socket API-n keresztül, ami a munkaállomás nevének és a számítógép belső hálós IP címének kiszivárgását is eredményezheti. 
  • A Flash plugin lehetővé teszi direkt TCP kapcsolatok nyitását a kezdeményező hoszt felé, melyek kikerülhetik a proxy szervert, felfedve a valódi IP címet.
  • Ha a Microsoft Office automatikusan megnyitja a hozzá rendelt, Internetről letöltött fájlokat, egy neten lévő képet letöltő dokumentum visszaadásával ki lehet kerülni a böngésző proxy beállításait, és kideríthető a kliens által használt DNS szerver címe is.
  • A Quicktime pluginnek megadható olyan paraméter, ami direkt kapcsolatot eröltet a letöltendő médiához a böngésző beállításainak alkalmazása helyett.
  • Az iTunes által regisztrált itms:// protokollkezelő olyan beállítások alkalmazásával  nyitja meg a médialejátszót, amely szintén direkt kapcsolat nyitására készteti azt. 

Végeztem néhány tesztet az igen gyakori Vidalia Boundle+Firefox+Torbutton összeállítással, a tapasztalatok a következők:

  • NoScripttel a legtöbb próbálkozás elvérzik, de a DNS felismerés meglepően hatékonyan működik még így is!
  • Az iTunes egy áruló mocsok, bár ha időben bezárom, nincs ideje beköpni. Az alapértelmezett Privoxy konfiguráció szűri a Flash tartalmakat. Nem véletlenül.
  • Maga a teszt viszonylag sokáig tart, és a küldönböző felpattanó ablakok (pl. Letöltések, iTunes) elég árulkdóak lehetnek. Mindazonáltal az API lehetőséget ad a tesztelési eljárások megválogatására, így ezek a mellékhatások jelentősen csökkenthetők.

Most pedig mars vissza az asztalhoz bejglit zabálni!

 

Címkék: itunes java privacy proxy dns quicktime tor decloak

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

EQ · http://rycon.hu 2008.12.27. 22:16:16

tor/torbutton/privoxy+linux kombó nekem fullosan anonim maradt :)

GHost (törölt) 2008.12.27. 23:08:39

Hát tor/torrbutton + macos csak a dns-t találta meg

kino 2010.01.17. 14:36:01

nekem semmit nem talált, csak a külső ip-met. (google chrome, linux)

buherator · http://buhera.blog.hu 2010.01.17. 14:57:13

@kino: A cél az, hogy meglássa az IP-det.

lolcode · http://isten.aldja.szalaiannamari.at 2010.01.17. 15:15:52

igazabol egy sima firefox + foxyproxy + socks proxy(sshdban levo teljesen jo) mar 100% os biztonsagot nyujt, dns kveriket is kuldjuk at!

kino 2010.01.18. 01:40:14

@buherator: de abban mi az újdonság? újra feltalálták a HTTP header kiolvasását? ha az ip a cél, mi ez a sok mező ott alatta?

buherator · http://buhera.blog.hu 2010.01.18. 09:40:59

@kino: Olvasd el a cikket, nem a HTTP fejlécek kiolvasásáról van szó (egyébként ha jól emlékszem HTTP kérésnél az IP cím az IP rétegben továbbítódik). Vegyünk egy példát: Tor-on keresztül nézel egy weboldalt a böngésződben, és minden faszának tűnik, az oldal kiírja mondjuk hogy "Helló te idegen Kambodzsából". Node, ha a weboldal meghívja a Declocking engine-t, akkor az a különböző gépedre telepített, böngészőbe ágyazódó alkalmazásokon keresztül ki tudja deríteni az eredeti IP-det, mivel pl. az iTunes meg a Word nem fogja használni a böngésződ proxyját. Ez persze lehet, hogy nem akkora újdonság, ez a cucc egy gyűjtemény a lehetőségekből, proof-of-concept jelleggel.

Kapcsolódó cikk: buhera.blog.hu/2009/11/28/facebook_a_mezesbodon

@lolcode: Igazából tökmindegy hogy hogyan proxyzod magad, a lényeg az, hogy globálisan érvényes legyen a proxybeállítás, és ne lehessen azt kikerülve rálátni az internetre. A FoxyProxy neked ezt nem fogja megtenni. Az persze szintén megoldás lehet, ha semmilyen beépülőt nem engedsz meg a böngésződben.