Tor 用户身份暴露,隐私神话破灭
Tor是一种流行的隐私工具和暗网浏览器,通过将用户的互联网流量在全球多个计算机节点(即”中继”)之间反复转发,使得外界难以追踪到流量的来源。 十年前得益于斯诺登的大力推荐,Tor迅速成为活动人士、记者等职业人士青睐的隐私工具。然而,正是这种匿名性也让Tor成为网络犯罪分子青睐的平台,他们通过Tor进行(暗网)非法市场交易并逃避执法部门的追踪。 近日,德国执法部门成功锁定Tor网络用户身份的报道引发了广泛的关注和讨论。 德国执法部门通过时序分析攻击破获“Boystown”案件 根据德国媒体《Panorama》联合混沌计算机俱乐部(Chaos Computer Club,简称CCC)的调查报告披露,德国执法部门通过运行大量Tor节点并运用时序分析攻击技术,成功破获了儿童色情平台“Boystown”的案件。根据法院文件,执法部门多年来通过控制Tor节点,利用流量进入和离开网络的时间差异来确定目标用户的身份,从而成功进行逮捕。 时序攻击,又称计时攻击,是一种通过分析加密算法或敏感操作执行时间差异来推导出机密信息的攻击方式。在密码学中,这种攻击方式尤为有效,因为每个逻辑运算在计算机上执行都需要时间,而根据输入的不同,执行时间也会有所差异。攻击者正是利用这一特点,通过精确测量执行时间来反推出密码或其他敏感数据。 时间分析攻击最大优点是并不依赖软件漏洞,而是通过观察数据流动的时间点来实现去匿名化。如果攻击者控制了部分Tor节点或监视了进入和退出网络的节点,就可以通过比较数据流动的时间来跟踪回某个特定的用户。 Tor的回应与改进措施 面对这一报道,Tor项目团队表示,他们并未获得相关法院文件,无法进一步分析这些安全假设,但仍根据已有的信息向用户发布声明。Tor团队指出,这些攻击发生在2019年至2021年之间,自那时以来,Tor网络规模大幅扩大,时序分析攻击的难度也随之增加。此外,Tor团队还提到,过去几年他们对不良中继进行了广泛清理,进一步减少了网络集中化的问题。 关于报告中提到的匿名即时通讯应用Ricochet,Tor团队指出,攻击所针对的用户使用的是一个已于2022年6月停用的旧版本。新的Ricochet-Refresh版本则增加了针对时间分析和入口节点发现攻击的保护措施。 转自GoUpSec,原文链接:https://mp.weixin.qq.com/s/km2RPBKiv0HX5BAGndO8cQ 封面来源于网络,如有侵权请联系删除
研究人员展示了针对 Tor 加密流量的新指纹攻击
一项针对 Tor 网页浏览器的网站指纹攻击的新分析显示,它的竞争对手可以收集受害者经常访问的网站,但只有在攻击者对用户访问的网站的特定子集感兴趣的情况下才有可能。 研究人员乔瓦尼 · 切鲁宾、罗布 · 詹森和卡梅拉 · 特罗索在最新发表的一篇论文中说: “当监控一小组共五个流行网站时,攻击的准确率可以超过95% ,而对25个和100个网站的不加选择(非定向)攻击的准确率分别不超过80% 和60% 。”。 Tor浏览器通过一个覆盖网络向用户提供“不可链接通信”,该网络由6000多个中继组成,目的是把进行网络监视或流量分析的第三方的原始位置和使用情况匿名处理。在将请求转发到目的IP地址之前,它通过构建一个穿过入口、中间和出口中继的电路来实现这一点。 除此之外,每个中继都会对请求进行一次加密,以进一步阻碍分析并避免信息泄漏。虽然Tor客户端本身对其进入中继不是匿名的,因为流量是加密的,请求通过多个跳跃点跳转,但进入中继无法识别客户端的目的地,就像出口节点由于同样的原因无法识别客户端一样。 针对Tor的网站指纹攻击旨在打破这些匿名保护,使竞争对手能够观察到受害者和Tor网络之间的加密流量模式,从而预测受害者访问的网站。学者们设计的威胁模型假设攻击者运行一个出口节点,以捕捉真实用户产生的流量的多样性,然后用这个模型作为收集 Tor 流量跟踪的源,并在收集到的信息之上设计一个基于机器学习的分类模型来推断用户的网站访问。 对手模型包括一个“在线训练阶段,使用从出口中继(或继电器)收集的真实Tor流量的观察数据,随着时间的推移不断更新分类模型,”研究人员解释道,他们在2020年7月使用定制版本的Tor v0.4.3.5运行了一周的出入口中继,以提取相关的出口信息。 为了减轻这项研究引起的道德和隐私方面的担忧,论文的作者强调了安全防范措施,以防止用户通过Tor浏览器访问的敏感网站泄露。 研究人员总结道:“我们在现实世界的评估结果表明,如果敌人的目标是在一个小范围内识别网站,网站指纹攻击只能在自然环境成功。”“换句话说,旨在监控大范围用户网站访问的行为将会失败,但针对特定客户配置和网站的行为可能会成功。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
备忘录泄露揭示美国安全局重大机密?门罗币所有者或成下一追踪目标
外媒 2 月 5 日报道,一张网上流转的备忘录照片中揭示了美国陆军网络保护团队(CPT)和美国安全局(NSA)的部分敏感信息:其中包括泄露 Tor、I2P、VPN 用户,开展追踪门罗币的联合项目等。 匿名网络对打击审查和确保言论自由至关重要,因此研究人员对这些追踪活动的意图尤为重视。 研究人员发现,该备忘录明确指出了泄露基于 CryptoNote 的加密货币所面临的困难。 CryptoNote 是在若干分散以及面向隐私的数字货币方案中实现的应用层协议,其要求分配额外的资源来跟踪 Monero(XMR)、Anonymous Electronic Online Coin(AEON)、DarkNet Coin(DNC)、Fantomcoin(FCN)和 Bytecoin(BCN)等匿名加密货币。 美国当局指出, Monero 可能将会成为地下罪犯中的主要加密货币。此外,相关安全专家称美国情报部门还利用内部资源针对区块链开展监视活动。 DeepDotWeb 的研究人员向一些相关人士求证后,认为该备忘录信息很可能是真实的。不过 Tor、I2P 和 VPN 似乎还没有被情报机构完全掌握,虽然攻击者已经提出并实施了揭露用户的技术,但是这些技术对于监测行动并不十分有效。 根据爱德华·斯诺登(Edward Snowden)披露的一份文件显示,美国国家安全局可以根据易受攻击的 VPN 协议(如 PPTP )来屏蔽 VPN 解决方案,但依赖于 OpenVPN 的 VPN 可能不会受到影响。目前还不清楚是谁泄露了备忘录,但人们推测很可能是故意发布的。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
Tor 浏览器严重漏洞或泄露用户真实 IP 地址
HackerNews.cc 11 月 4 日消息,网络安全公司 We Are Segment 研究人员 Filippo Cavallarin 近期在 FireFox 浏览器中发现一处关键漏洞 TorMoil,能够导致用户真实 IP 地址在线泄漏。该漏洞最终也将影响 Tor 浏览器,因为 Tor 服务的隐私保护核心允许用户在线匿名使用 FireFox 浏览器访问网页。据称,Linux 和 MacOS 系统的 Tor 浏览器普遍受到影响。不过,目前 Tor Project 已将 Tor 浏览器升级至 7.0.9 版本进行补丁修复。 调查显示,TorMoil 漏洞是用户在 Firefox 浏览器中处理 “file://url” 链接时发现的。据悉,当用户点击以 file://url 为开头的链接后,系统会自动触发 TorMoil 漏洞。一旦受影响用户运行的是 MacOS 或 Linux 系统,它就会重定向至另一恶意网页,从而允许攻击者远程操作用户主机系统。目前,考虑到 Tor 用户的安全与隐私问题,其研究人员并未在线公布漏洞相关细节。 Tor Project 表示,虽然现在并没有证据表明该漏洞未被国家赞助的黑客或技术高超的网络犯罪分子利用,但由于暗网市场对于 Tor 的零日漏洞需求很大,因此 Tor 代理商 Zerodium 极其担心用户遭受网络攻击。另一方面,为了保护用户的隐私问题,Tor Project 近期发布 Tor 0.3.2.1-alpha 版本,集成了最新加密技术,其中还包括对于下一代 Tor 服务的支持。 原作者:Mohit Kumar,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
Tor 项目发布漏洞赏金计划,每篇 PoC 最高悬赏 4000 美元
Tor 项目与美国知名漏洞众测平台 HackerOne 于 7 月 20 日联手推出一项 “ 漏洞赏金 ” 计划,旨在找寻反监控网络漏洞。据悉,研究人员根据漏洞严重程度,每篇 PoC 最高可获 4000 美元赏金。 Tor 网络是一种用于屏蔽在线活动的节点与中继系统、未被普通网络搜索引擎索引的互联网访问区域,作为一款隐私保护工具备受激进分子、隐私维护者及新闻工作者青睐,虽然时而会牵涉暗网不良资产非法交易。 此项计划主要针对 Tor 网络后台驻留程序与 Tor 浏览器安全漏洞,以下领域提交报告将予以优先考虑:远程代码执行漏洞、本地提权漏洞、非授权访问漏洞、导致中继节点或客户端加密信息泄露的攻击方法。Tor 网络并非百分之百安全,必须防微杜渐、积极修复任何薄弱环节。 长久以来,网络犯罪分子与政府机构出于监控目的从未停止过找寻 Tor 系统漏洞。今年年初,FBI 就曾利用 Tor 网络 “ 未公开 ” 漏洞调查儿童色情案件嫌疑人,但因当局拒绝透露具体技术细节而半途中止。 原作者:Charlie Osborne,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
为避免公开 Tor 漏洞利用源代码,FBI 竟再次放弃指控儿童色情嫌疑人
两个月里的第二次,为避免公开利用 Tor 漏洞的恶意程序源代码,FBI 放弃起诉另一名儿童色情嫌疑人。 2015 年,FBI 在扣押了运行在暗网的儿童色情网站 Playpen 服务器后,部署 NIT 恶意程序去发现 Tor 用户的真实身份,这些用户可能遍布全世界。美国司法部随后对一百多名美国公民提起了多项诉讼,指控他们持有儿童色情。但在一名儿童色情嫌疑人的辩护律师向法庭提出要求,寻求查看恶意程序的源代码,以了解 FBI 在识别用户身份时是否超出了其权限后,联邦检方放弃了起诉。 在最新这起案件中,联邦检方称披露源代码不是目前的选项。目前代表 FBI 的司法部仍然在起诉 135 名被指访问儿童色情网站的嫌疑人。 稿源:solidot 奇客;封面源自网络
微软 DRM 版权保护技术暴露 Tor 浏览器用户真实 IP 信息
HackerHouse 的研究人员发现,受 Microsoft DRM 数字版权管理的运行机制影响,在播放受 DRM 保护的媒体内容时,运行匿名浏览器 Tor 的 Windows 用户的隐私匿名性正遭到威胁,将会暴露 Tor 用户的真实 IP 信息。 DRM 是一种数字版权保护技术,技术的核心主要是两项:一是数字加密;二是权限控制。前者阻止了数字内容的非法传播;后者则限制了使用数字内容的方式,如使用期限,可否打印,能否从电脑拷贝到手机上等。从而通过加密视频和音频,防止未经授权的传播或限制使用媒体文件。(百科) 许可证密钥 受 DRM 保护的媒体内容必须从服务器上获取许可证密钥才能打开,因而此过程中需要连接网络。由于运行机制问题,用户在打开媒体文件时,DRM 将在未经用户同意的情况下向网络发出请求数据包,数据包包含 IP 、GUID 标签等等。如果用户没有正确的数字签名,DRM 将在桌面上弹出一个问题对话框。 问题对话框 研究员表示,正是由于这些“签名”的 WMV 媒体格式文件在打开之前,不向用户提供任何警告。很多 Tor 用户误点之后将暴露 IP 等真实信息。该技术可被他人利用来逆向追踪 Tor 用户,研究人员还在 vimeo 网站上传了验证视频。 验证视频截图 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。
黑客组织“匿名者”拿下近 20% 黑市网站:仅用 21 个步骤实现
据外媒报道, 当地时间 2 月 3 日,匿名黑客组织攻击入侵了暗网托管商 Freedom Hosting II(以下简称 FH2 )的服务器窃取了 75GB 文件以及 2.6 GB 的数据库,导致其托管的 1 万多个 Tor 网站下线。据独立安全调查员 Sarah Jamie Lewis 公布的一份报告显示,FH2 总共运行了近 20% 的黑市网站。而没过多久,自称发起该攻击的黑客组织联系媒体并提供了细节信息。 黑客组织称其最先是在 1 月 30 日攻破 FH2,但当时只拥有阅读权限。也就是说,那个时候他们还无法进行任何的文件更改或删除。但后来他们在上面发现了 10 个大型的儿童色情网站,且网站文件占用的空间有 30GB 远超过 FH2 为每个网站提供的 256MB 磁盘配额。正因为如此,黑客才决定对其发起进一步的攻击。 至于是如何拿下 FH2,黑客表示他们仅用了 21 个步骤就得以实现。简而言之,先创建一个新的 FH2 网站或登录已有的一个 FH2 网站,然后对配置文件中的一些设置展开调整,随后对某一目标的密码进行重置、打开 root 访问,最后使用全新的系统权限重新登录即可。 该黑客表示,他们已经公布了大量来自 FH2 的系统文件,但并未涉及用户数据。考虑到 FH2 网站存有大量的儿童色情内容,所以他们并不打算对外公开,但他们倒是愿意将其提供给将会把这些数据提交给执法部门的安全研究员。 据 cnbeta 和 ibtimes 消息整理,封面来源:百度搜索
超声波跟踪技术或可用于识别匿名 Tor 用户
去年研究人员 警告 广告公司正在研发利用人耳听不见的声音实现跨设备跟踪的技术,利用嵌入在广告代码或 JavaScript 中的超声波信号联络附近的平板和手机,这些声音耳朵听不见,但智能设备能探测到。利用这一方法,跟踪代码可以将单一用户与多台设备配对起来,跟踪用户在不同设备上看到的广告。 在上周举行的 33C3 黑客会议上,研究人员认为这项技术可被用于识别使用 Tor 浏览器用户的身份。攻击依赖于诱骗 Tor 浏览器用户访问一个含有产生超声信号的广告网页,或者访问一个隐藏了 JavaScript 代码利用 HTML5 Audio API 强迫浏览器发出超声信号的网页。 稿源:solidot奇客,有改动;封面:百度搜索
Firefox 52 借鉴 Tor 浏览器引入防指纹跟踪功能保护用户隐私
Firefox 52 将引入新的隐私保护功能,防止网站利用系统字体作为指纹跟踪用户。该隐私保护功能借鉴自 Tor 浏览器,基于 Firefox ESR 版的 Tor 浏览器利用类似的机制阻止网站利用设备上安装的字体识别用户。 Firefox 52 的 beta 版本已经激活了该功能,正式版预计将在 3 月释出。Firefox 52 利用白名单响应网站对系统字体的查询,每个操作系统将返回相同的默认字体列表,使得字体指纹跟踪对 Firefox 用户不再有意义。 Mozilla 在去年 7 月启动了 Tor Uplift 项目,利用 Tor 浏览器的隐私保护机制改进 Firefox 的隐私保护功能。 稿源:solidot奇客,有删改,封面来源:百度搜索