Уязвимость в сети TOR: обнаружен способ деанонимизации скрытых серверов

[DailyNews]

Обнаружен способ деанонимизации скрытых серверов сети TOR, подвергая безопасность пользователей угрозе. Вместо предполагаемой анонимности сервера TOR могут быть прослежены и настоящие IP-адреса выявлены при использовании http-заголовка Etag.

Когда Tor-клиент запрашивает доступ к ресурсу, сервер генерирует уникальный идентификатор, известный как HTTP заголовок Etag. Этот идентификатор используется для определения актуальности версии сайта. Если Etag не меняется, клиент перенаправляется к закэшированной версии, что позволяет сократить использование трафика и ускорить загрузку страницы.

В определенных случаях Etag может быть использован как инструмент для отслеживания. В нем содержатся данные о сервере, включая IP-адрес, время и хэш. Это означает, что при отправке запроса к одному ресурсу с нескольких скрытых Tor-сервисов, находящихся на одном сервере, клиент увидит один и тот же Etag, который может раскрыть IP-адрес сервера.

Недавнее исследование показало, что с использованием инструментов curl и torsocks, а также анализа Etag удалось раскрыть IP-адрес скрытого сервиса Tor, используемого вымогателями из группы "RagnarLocker". Это позволило установить его настоящий адрес и даже местонахождение.

Для определения IP-адреса сайта в Dark Web нужно проверить исходный код, SSL-сертификат, заголовки ответа и прочие параметры. При этом в коде требуется найти уникальные строки и информацию об отпечатках пальцев. После чего нужно воспользоваться сканирующими сервисами например, Shodan, Censys или др, с помощью которых можно найти IP-адрес сайта. В исследовании проверялись именно заголовки ответа. В результате было установлено, что IP-адрес onion-сервера 5.45.65.52. Позднее эта информация всплыла и в отчете ФБР, где говорилось о том, что с адреса публикуются похищенные у Capcom файлы.

Данный метод определения IP-адресов могут использовать и преступники – для раскрытия пользователей и поставщиков анонимных Tor-сервисов, и правоохранители – при борьбе с нелегальной онлайн-активностью. Несмотря на это, защититься от определения IP-адреса ресурса можно, отключив Etag на сервере или используя прокси для его замены при обмене данными с входящими соединениями.

 

[Green Russia]

В определенных случаях Etag может быть использован как инструмент для отслеживания. В нем содержатся данные о сервере, включая IP-адрес, время и хэш. Это означает, что при отправке запроса к одному ресурсу с нескольких скрытых Tor-сервисов, находящихся на одном сервере, клиент увидит один и тот же Etag, который может раскрыть IP-адрес сервера.

Etag содержит только хэш, дату и время последнего изменения. Ни о каких данных о сервере и IP-адресе там не может идти речи (если не рассматривать кастомные реализации).

 

[lavanda1221]

По моему глупо доверять тор браузеру, нужны ещё вспомогательные средства)

 

[Green Russia]

По моему глупо доверять тор браузеру, нужны ещё вспомогательные средства)

При чем тут тор браузер? В новости про деанонимизацию серверов. Но новость так себе.

 

[Green Russia]

Плохая новость для любителей тора

Да плохая новость, но не для любителей тора, а просто плохая новость, не отражающая ничего общего с заголовком.

Если вы, например, разместите координаты в тегах фотографий и выложите её на сайт, то сервер отдаст её в том, виде в котором получил.
Стоит ли считать такую утечку данных серьезной уязвимостью? Причем уязвимостью непосредственно TOR, если вы сами добавляете координаты в теги?

То же самое с Etag. По стандарту тег содержит информацию: время последнем изменении файла и хэш (как правило, CRC32, но бывают MD5 и SHA1).
Если кто-то разместит в тег Etag информацию о IP и прочую информацию - ну этот ебантизм приведет к утечке, но кто это будет делать - не ясно.

и что теперь делать?

ничего

 

[Экономист777]

Да все это пиздеж конкретный , Тор бы уже давно послали куда по дальше если бы так было в действительности

 

[Green Russia]

Да все это пиздеж конкретный , Тор бы уже давно послали куда по дальше если бы так было в действительности

Да вы чё, совсем с ума посходили? Описанная уязвимость не имеет отношения к тору.
В сообщении выше я всё детально описал.

Если вы сохраните координаты в тегах фотографий, которые вы размещаете на сайт в TOR,
и ваше местоположение будет раскрыто, это будет являться уязвимостью TOR или просто рукожопостью?

 

[andreysem]

Даже если это все правда. В РОССИИ менты работать так не будут (ленивые слишком). Им проще по старинке через стукачей и наркоманов, народ ловить.

 

[Green Russia]

Даже если это все правда. В РОССИИ менты работать так не будут (ленивые слишком). Им проще по старинке через стукачей и наркоманов, народ ловить.

А причем тут менты?

 

[Oblako]

Да вы чё, совсем с ума посходили? Описанная уязвимость не имеет отношения к тору.
В сообщении выше я всё детально описал.

Если вы сохраните координаты в тегах фотографий, которые вы размещаете на сайт в TOR,
и ваше местоположение будет раскрыто, это будет являться уязвимостью TOR или просто рукожопост

При чём, есть мнение что они вообще никогда не удаляются окончательно из файлов.
хотя лично я много часов потратил на работу с exel и полагаю, что очистить их полностью можно (ты походу в курсе, если сменить расширение exel на zip например и распаковать).
PDF так вообще уже и мануалы в открытом доступе валяются

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Тут смотрю местные фоточки постят, походу у наших конторских специалистов не хватает по этой теме работать, так бы поперехлопали уже. А вообще ты смотрю подкован в вопросе, красава.

 

[Green Russia]

При чём, есть мнение что они вообще никогда не удаляются окончательно из файлов.
хотя лично я много часов потратил на работу с exel и полагаю, что очистить их полностью можно (ты походу в курсе, если сменить расширение exel на zip например и распаковать).
PDF так вообще уже и мануалы в открытом доступе валяются

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Тут смотрю местные фоточки постят, походу у наших конторских специалистов не хватает по этой теме работать, так бы поперехлопали уже. А вообще ты смотрю подкован в вопросе, красава.

В новости речь идет о заголовке

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

, который не хранится в файлах, а формируется веб-сервером.
Как правило он содержит crc32-хэш и дату последнего изменения файла.
Служит для определения, изменился ли файл с момента последней загрузки с сервера.
Если etag не изменился, то браузер загружает файл из кэша браузера, и напротив, если etag изменился, то загрузит файл с сервера заново.

 

[Green Russia]

Везде можно найти уязвимость

Правильнее будет так:
Всё что угодно можно назвать уязвимостью.

Конечно если плотно взяться то можно найти везде ошибки

Основная ошибка - прокладка между монитором и сидением.

 

[_daem0n_]

Тор же ничего не сохраняет

Не совсем так. Тор-браузер сохраняет некоторые данные в кэш, чтобы быстрее работать, до тех пор, пока не будет создана новая личность или он не будет перезапущен как-то иначе. Как всегда - удобство и безопасность слабо совместимы. Нахождение дыры было лишь вопросом времени.

 

[Elgam]

И тут уезвимость присутствует. Своевременное обновление и перезапуск в помощь.