Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

NSA vs. Tor

2013.10.08. 15:09 | buherator | 5 komment

Snowden legutóbbi szivárogtatása most egy nagyon érdekes témába ad betekintést, nevezetesen, hogy mit is képes kezdeni a világ egyik legnagyobb hatalmú titkosszolgálata a Tor hálózattal (érdemes fejben tartani, hogy hasonló dolgokra lehetnek képesek más nagyhatalmak is)? A válasz tulajdonképpen beleillik abba a tendenciába, ami az elmúlt hírekből is körvonalazódni látszott: Az NSA aktívan használja azokat a módszereket, amiket a nyilvánosság nagyrészt elméleti lehetőségként kezelt, valamint ezeknél egy kicsit tovább is megy, de komoly áttörésről itt sem beszélhetünk. 

A témában a legjobb összefoglalót talán Tom Ritter adja, én itt most csak a főbb megállapításokat emelném ki.

Az NSA képességeiről a legjobban talán az árulkodik, hogy a Tor kicselezésére legalkalmasabbnak látszó módszerek jórészt az emberi hibára épülnek. A nyilvánosságra került diasorokban szignifikáns szerepet tulajdonítanak annak, hogy a szolgáltatás minőségének rontásával egész egyszerűen eltereljék a felhasználókat a Tor használatától, és szintén beszédes, hogy az ügynökségen belül saját kódneve (EPICFAIL :) van annak az esetnek, amikor a felelőtlen felhasználó véletlenül deanonimizálja saját magát. 

A dokumentumok több olyan technikaibb támadást is említenek, melyekhez ugyan közvetlen felhasználói interakció nem szükséges, de a bevált megerősítő védelmek-  mint pl. az SSL tanúsítványok körültekintő ellenőrzése, vagy a NoScript - hatékony védelmet nyújthatnak egy tudatos felhasználónak. A sok helyen emlegetett Quantum rendszer is csak akkor működhet, ha az ember nem figyel oda kellőképpen a kommunikáció anonimitása mellett annak biztonságára (bizalmasságára, integritására) is. 

Mindezen túl természetesen ott vannak az általam is sokat emlegetett CNE, vagyis Computer Network Exploitation, ami a szoftversérülékenységeket kihasználó módszerek összefoglaló neve. Ahogy azt sejteni lehetett, az NSA naprakész exploit gyűjteménnyel rendelkezik, melyeket az ún. FOXACID motor segítségével juttatnak célba. Az exploitok érték szerinti rangsorolással rendelkeznek, és a FOXACID gondoskodik arról, hogy a nagyértékű támadások áldozatai csak nagy jelentőségű felhasználók legyenek. Itt is megjegyzendő, hogy ezek az exploitok jó eséllyel nem fognak elmenni JS/Flash/stb nélkül, illetve hogy egy, a Tor Project által osztogatottól eltérő, akár jól sandboxolt böngésző feltehetően sok fejtörést okozna a CNE csapatnak. Érdekesség, hogy a FOXACID szereverek interneten elérhetőek, így a megfelelő kérés paraméter birtokában elméletileg bárki kaphat egy kis ízelítőt az NSA exploit gyűjteményéből :) 

Végül (és talán utolsó sorban?) az NSA természetesen igen jó pozícióban van ahhoz, hogy szinte a Föld teljes telekommunikációját figyelve ügyes statisztikai módszerekkel próbálja deanonimizálni a célszemélyeket. A paranoid hajlamúak számára megnyugtató lehet, hogy úgy tűnik, az NSA a dokumentumok keletkezésekor nem kontrollálta a Tor csomópontok szignifikáns részét. Részben ennek is köszönhető, hogy a bemutatott támadási lehetőségek a diákon még erősen kísérleti jellegűként kerültek bemutatásra - ahogy Ritter szépen rávilágít: a Tor-t éppen az ilyen típusú támadókra készülve hozták létre.

Összefoglalva tehát a Tor köszöni, jól van, de a felhasználói gondatlanságon nehéz segíteni, és a Tor Projectnek is akad még tennivalója az általuk kiadott szoftverek megerősítése, és legfőképpen a frissítések propagálása terén. 

Címkék: privacy nsa tor edward snowden

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

nevergone 2013.10.12. 23:54:53

Ez egy jó írás, elég sokat segít abban, amin a napokban gondolkodtam.
Eszembe Jutott egy „dolog”, amiről kb. 15 éve hallottam. Olyasmire kell gondolni, mint a konyhakés: Jó célra is használható, de nagy kárt is lehet okozni vele. Abban biztos vagyok, hogy ha csak így rákeresnék, az bejelezne valahol. Ezt nem szeretném, viszont érdekelne, hogy a 15 év alatt milyen kutatások voltak vele kapcsolatban, esetleg milyen új álláspontok jelentek meg.
Jópár tudományos (vagy annak tűnő) cikk elolvasása után úgy gondoltam, hogy megkérlek téged, írj arról valamit: hogyan védekezhet az ember, ha problémás tartalomhoz szeretne hozzáférni? Milyen tippek-trükkök segíthetnek?

Az nekem is lejött, hogy a Tor még jól tartja magát és ha kellően figyelmes az ember, sokat véd. Sajnálom, hogy nincs értelmes alternatívája, illetve hogy még mindig nem álltak át erősebb kulcsok használatára. Böngésző téren gondban vagyok, mert nem tudom, melyik lehet biztonságosabb. Most a Firefoxra szavazok, néhány kiegészítővel bevédve (pl. <a href="http://noscript.net/">NoScript</a>, <a href="https://addons.mozilla.org/en-us/firefox/addon/adblock-edge/">Adblock Edge</a>, <a href="https://addons.mozilla.org/hu/firefox/addon/user-agent-switcher/">User Agent Switcher</a>, a sandboxolást pedig kívülről biztosítva (SELinux, AppArmor? talán PaX/GrSecurity?)

Végül egy kicsit felületes, de szerintem elég jó írás a témában: index.hu/tech/2013/06/29/igy_bujhatunk_el_a_hirszerzok_elol/

Szóval te mit javasolsz? Tudnál egy bejegyzést szentelni ennek?
Köszi!

nevergone 2013.10.12. 23:55:45

(Üdvözlöm a blog.hu-s arcokat, hogy a hozzászólásoknak nincs előnézete.)

buherator · http://buhera.blog.hu 2013.10.14. 16:17:22

@nevergone: Külön bejegyzést erre nem szentelnék, egyrészt mivel ez nem egy privacy blog, másrészt a téma túl összetett ahhoz, hogy egy poszt vagy újságcikk érdemi válaszokat tudjon megfogalmazni. Amit mindenképpen javasolnék, hogy ne csak eszközökben gondolkodj, hanem próbálj elsajátítani olyan OPSEC (ez most nagyon divatos szó, keress rá!) stratégiákat, melyek illeszkednek a céljaidhoz. Egy kellően erős támadónak elég megfelelő mennyiségű igen nehezen anonimizálható metaadat (ld. www.schneier.com/blog/archives/2013/10/fingerprinting_5.html) az azonosításodhoz. Másrészt azt mondom, hogy egy-két sima anonim guglizáshoz általában nem kell túl nagy fantázia, a gond az, hogy egy folyamat elején elkövetett lazaság olyan pillanatban üthet vissza, amire nem is gondoltál, hogy eljön (lásd DPR esete). Követendő Twitteren: twitter.com/thegrugq