TOR Network - авторские статьи, посвященные "луковой сети".

Сообщения
1.914
Реакции
1.304
TOR NETWORK

Всем прекрасно известно, что TOR скрывает реальный IP адрес и шифрует трафик. Однако немногие понимают принцип работы "Лукового маршрутизатора". Попробую доступно и понятно рассказать об этом роутере и о важности исключения выходных узлов.

Для справки: То, что многие называют тором на самом деле не тор, а тор браузер. Тор браузер это комплекс для анонимного сёрфинга, который состоит из:

1. Браузера Mozilla Firefox
2. TOR (The Onion Router)
3. Адд-она HTTPS Everywhere
4. Адд-она NoScript
5. Адд-она TOR Button
6. Адд-она UBlock Origin
7. Конфигуратора


Тор сам по себе способен решать такую тактическую задачу как "анонимизация". Ему не нужны никакие свистелки и перделки в виде VPN, SSH и прочей херни. Если вы так не считаете - значит вы тупо не понимаете насколько это сильный инструмент и как следствие - используете его дай бог на 20%. Надеюсь после изучения этого раздела вы подругому посмотрите на рекламную ложь продавцев VPN, удаленных рабочих столов и прочей "коммерческой псевдоанонимности".


Рубрикатор:

1. О важности искючения выходных узлов в TOR.
2. Обфускация Тор трафика или Я твой DPI анализатор шатал!
3. Цикл статей - Стратегия и тактика деанонимизации в даркнет ТОР на основе анализа работы подразделения Task Force Argos. Часть 1.
 
Последнее редактирование:
Сообщения
1.914
Реакции
1.304
О важности исключения выходных узлов в TOR.

Принцип работы TOR.

Без тора пакеты от нашей машины до конечного сайта идит на прямую. То есть конечный сайт видит наш IP адрес:



При запуске TOR генерируются несколько цепочек, каждая из которых состоит из трех случайных злов: входного, среднего и выходного. При том каждый пакет трижды шифруется. После этого пакеты идут от нашей машины на первый узел. Он снимает первый слой шифрования, видит куда направить пакет дальше и передает его на средний узел. Средний узел снимает второй слой шифрования, видит куда направить пакет и шлет его на выходной узел, где с пакета снимается последний слой шифрования, после чего НЕШИФРОВАННЫЙ пакет отправляется на конечный сайт:



Срок жизни цепочки по умолчанию - 10 минут. Через десять минут все три узла поменяются случайным образом и цепочка станет выглядеть например вот так:



Вроде все отлично, однако лишь на первый взгляд. В отличии от i2p где пакеты передаются по нескольким тунелям с "односторонним движением" в TOR все пакеты идут по одной цепочке как от нас к адресату, так и от адресата обратно к нам. А это значит, что если выходной узел захвачен "вероятным противником" или же вовсе создан им (что чаще всего и происходит) то мы можем поиметь неприятности, одна из которых - анализаторы трафика.

В тор браузере для предотващения этого по умолчанию включен адд-он HTTPS Everywhere. А он так же по умолчанию настроен на запуск SSL шифрования ЕСЛИ ЭТО ПОДДЕРЖИВАЕТСЯ сайтом или сервером. Если же нет - то он пропустит нешифрованный HTTP трафик - который может заснифить даже школьник. В результате можно потерять учетные записи и много другой конфиденциальной информации.

Стратегия защиты.

Предотвратить это с помощью двух настроек. Первая - исключению узлов которые могут пренадлежать "вероятному противнику". Вторая - перевод адд она HTTPS Everywhere в режим "Block all unencrypted request".

Для исклчения узлов в TOR нам нужно найти его конфигуратор. Файл конфигурации называется torrc и выглядит как обычный текстовый файл. В низ этого файла необходимо дописать следующую строчку:

Код:
ExcludeExitNodes {ru}, {ua}, {by}
Затем сохраняем файл и перезапускаем TOR или тор браузер. Отслеживать цепочки можно либо в Tor Button (если у вас Windows) либо с помощью Onion Circuits (Если у вас Linux).Продвинутые пользователи Linux могут вместо этого использовать TOR ARM - который не просто показывает цепочки но и позволяет конфигурировать роутер:

TOR ARM:



Android OS.

В настройках Orbot так же можно исключить узлы, но не выходные, а все. Ищем опцию ExcludeNodes и вписываем то же самое (буквы изменятся на заглавные).

Мануал написан эксклюзивно для форума ruTOR.
При написании использовались следующие материалы:

https://www.torproject.org/about/overview.html.en
https://habrahabr.ru/company/xakep/blog/244485/
 
Последнее редактирование:
Сообщения
1.914
Реакции
1.304
Обфускация Тор трафика или Я твой DPI анализатор шатал!

Маскировка тор трафика используется в двух случаях:

1. Из за ошибочного суждения, что Tor трафик это "палево".
2. Из за блокировки Tor трафика провайдером.

Разберем оба случая подробнее:

Tor трафик это "палево".

Так считают многие, чаще всего потому, что слушают весь тот бред, которые сочиняют продавцы подобных сервисов и слепо верят им. Маскировать Tor трафик с помощью VPN не просто не полезно, а чаще всего вообще вредно. Почему? Да все просто. Нужно лишь установить логику и аналитику, делается это командой:

Код:
sudo apt install logika blyad && analinika epta -y
Что такого ужасного в Tor трафике? Ведь им пользуются ВСЕ! (точнее все кто дрочит, но мы то с вами в курсе, что кто "не дрочит" тот первый в столице рукоблуд). Так что для провайдера вы обыный дрочила каких десятки тысяч.

А кто в этой стране пользуется VPN? Единицы. Особенно "крутыми" дорогими сервисами. В основном это или киберпреступники или компании. Однако провайдер видит где абонент - улица Пушкина дом Колотушкина 3 подъезд и примерно 3-4 этаж. А там никакими компаниями не пахнет. И наработу он судя по таймингам сеансов не ходит.

Плюс к этому VPN не только не усиливает анонимность - а наоборот, снижает "обороноспособность" Tor. Во-первых потому, что у вас будет постоянный входной узел - сервер провайдера VPN или пул из таких узлов. Во-вторых потому, что при работе через GSM в отдельный промежуток времени абонентов, подключенных в этой соте к серверам ExpressVPN например, будет не так уж много. А в каких то сеансах вы вообще будете один такой весь "нарядный" - с левой симкой и тунелем до экспресса. При таких раскладах если в соте кто то, пардон, анонимно пёрнет - вы будете первым подозреваемым.

Что такое VPN.

VPN это аббревиатура от Virtual Private Network (Виртуальная Частная или Приватная Сеть). Проектировался этот интрумент в первую очередь для крупного бизнеса - и основная его задача - шифровать трафик для того, чтобы можно было передавать конфеденциальный данные через обычный интернет. На рисунке ниже наглядный пример:



На схеме изображены: главный офис, два региональных филиала и два домашних компьютера работников компании. В главном офисе установлен VPN сервер - и все удаленные машины могут создать шифрованые тунели с ним. Данные которые будут передаваться в таких тунелях прочитать невозможно. Но провайдер будет видеть куда они передаются, кем они передаются, в какие промежутки времени они передаются. А самое главное останется открытым вопрос - зачем кому то платить деньги, а зачастую немалые, чтобы "забронировать" свой трафик? Особенно если в стране не заблокирован бесплатный Tor. Одно дело когда этот трафик идет от корпоративного абонента - там понятно что пересылаются финансовые документы, документы относящиеся к комерческой тайне и прочее. Но физическому то лицу за что платить провайдерам VPN?

После популяризации VPN как инструмента для сокрытия своего реального IP адреса (поскольку пакеты передаются через VPN сервер, все сайты будут пролучать ваши пакеты через него и обратно посылать тоже ему - а значит видеть будут не ваш IP адрес, а адрес этого "передаста") IP серверов известных провайдеров "VPN анонимности" стали вносить в "черные списки". И сам факт их использования уже "палево" - причем палево платное, а значит более страшное чем Tor.

Что такое Tor.


Tor это аббревиатура от The Onion Router (Луковый Маршрутизатор). Погоняло "Луковый" ему приклеили за особенности шифрования пакетов - каждый отправляемый вашей машиной пакет "завернут" в три слоя шифрования. Входной узел снимает верхний слой (как кожуру луковицы) и видит куда нужно отправить пакет дальше. На второй узел пакет приходит уже в 2 слоях шифрования. Он так же снимает один слой и видит адрес выходного узла. Ну а выходной узел в свою очередь снимает последний слой и видит конечного адресата - сайт с порнухой или магазинами по продаже наркоты. После чего посылает ваш УЖЕ НЕ ШИФРОВАННЫЙ пакет туда (верно для схемы вы -> tor network -> clearnet site. в схеме вы -> tor network -> hidden service шифрование идет до конечного .onion сайта):



VPN снижает анонимность сети потому, что делает схему вот такой: вы -> vpn server -> tor network (три рандомных узла каждые 10 минут, причем для каждого сайта свои)-> конечный сайт. И этот дополнительный узел делает вас уязвимее потому, что нажав "New Identity" вы можете сменить три узла Tor, но VPN сервер при этом останется тот же. Так что личность будет изменена уже не на 100 % (3 узла из 3) а на 75% (3 узла из 4).

Tor - очень мощный инструмент анонимизации. И при этом бесплатный, так что используется огромной массой людей. А все что массовое - не привлекает внимание экслюзивностью, а значит остаться там анонимным проще.

Я досконально изучил весь раздел на Uncensored Hidden Wiki - "Пойманные за изготовление/распространение детской порнографии", многие из преступников были администраторами крупнейших тематических ресурсов даркнета - с посещаемостью до полумиллиона в сутки. По каждому случаю подробно описаны оперативно-розыскные мероприятия - конкретные действия следователей и оперативников с целью деанонимизации преступника. Практически ни один не был вычислен по "IP" - а работали их, на минуточку, айнзацгруппы из 3-5 разных стран, включая такие "конторы" как Интерпол и ФБР. Чаще всего успешной операцию делали ошибки подозреваемых, такие как засвет личных данных (например шрам на пальце или форма пожарного), не соблюдение базовых принципов анонимности (использование никнейма с педофорума на других ресурсах) и т.п.

Если бы Tor не был таким мощным инструментов - его не пытались бы блокировать правительства многих стран. Вот и до нас докатилась эта "мода" - с 1 ноября Tor "вне закона" и будет "заблокирован". Об этом я и хотел коротко расказать в данной статье.

Если для кого то моё мнение все ёщё не авторитетно тут можно почитать мнение на счет "анонимности" впн от разработчиков TAILS - линк. Кому лень процитирую ключевую фразу: Similarly, we don't want to support VPNs as a replacement for Tor since that provides terrible anonymity and hence isn't compatible with Tails' goal. (мы не хотим вводить поддержку впн тем более как замену тору - так как впн предоставяет ужасную анонимность и идет вразрез с задачами тэйлс).

Способы блокировки:

Основных способов блокировки трафика два:

1. Примитивная блокировка по черному списку IP адресов входных узлов.
2. Продвинутая блокировка с помощью технологии DPI (Deep Packet Inspection или Глубокий Анализ Пакетов).

Блокировка IP.


У каждого узла в сети Tor, как и в обычном интернете есть IP адрес, а количество узлов, разумеется ограничено. Если запретить отправлять пакеты на большинство известных входных узлов, то со связью начнутся большие проблемы. Даже если не все входные узлы будут в блоке - нагрузка на оставшиеcя ляжет колоссальная и они просто "захлебнуться". Однако в виду того, что входным узлом можно сделать любой роутер (BridgeRelay 1 + конфигурирующие опции такие как ServerTranspotOption, RelayBandwidthRate и прочие) можно сделать для себя "свой входной узел с блекджеком и шлюхами" - так что этот способ малоэффективен.

Блокировка с помощью технологии DPI.


DPI как понятно из названия разрабатывалась как анализатор трафика и используется не только в "карательных" целях. например, "целевая" реклама тоже опирается да данные анализа трафика конкретного абонента. Суть технологии - в накоплении статистических данных, полученых путем глубокого анализа пакетов, а так же и проверки и/или фильтрации. Разумеется такой анализ может выявлять и "шифрованный трафик" с которым началась активная борьба.

Несмотря на тор, что Tor изначально спроектирован "лепить горбатого" что он дескать обычный ssl трафик на обычном для ssl 443 порту - DPI его вычисляет на ход ноги, мол я тоже не пальцем делана. DPI по просту не учитывает при анализе порты - а смотрит именно пакеты, вернее их отличия от обычных SSL пакетов.

Для прохода через люой фильтр, работающий по принципу "свой - чужой" (своих пускаем, чужих нет) есть два способа. Первый способ - выглядеть "своим", он и заложен в тор "из коробки" в виде маскировки под ssl шифрование. Но с DPI он не работает. По этому всем нам предстоить познакомиться со вторым способом "не определятся".

Обфускация.


Фильтр "свой чужой" имеет две задачи. Первая задача это отсев "чужих" - в данном случаей Tor трафик. Но не следует так же забывать, что у такого фильтра есть задача поважнее - "пропускать своих". Если он пропустит "чужого" случайно - не критично. В вот если он перестанет пускать "своих" - это жопа. Как думаете как себя поведет фильтр, если у него не будет однозначного ответа - "свой" ты или "чужой"?

Впишите сюда ваш вариант ответа: _____________________________

Ай хорошо! Нраица! Верно, в ситуации неопределенности он пропустит. Дабы не получить пиздюлей от "своих". На этом принципе и построена так называемая "обфускация" или маскировка трафика - делать пакеты "нечитаемыми".

Вот примеры из педовики википедии:


Пример № 1 (На языке C)

Исходный код до обфускации:

int COUNT = 100;
float TAX_RATE = 0.2;
for (int i=0; i<COUNT; i++)
{
tax = orig_price * TAX_RATE;
price = orig_price + tax;
}


После обфускации:

for (int a=0;a<100;a++){b[a]=c[a]*0.2;d[a]=c[a]+b[a];}

Вот примерно такая херня и творится с пакетами данных, которые маскируются. "Нутыпонел".

Варианты обфускации, их плюсы и минусы.

Вариант первый: обфусцирующие узлы в сети Tor.

Tor давно предусмотрел такие блокировки - если мне не изменяет память изначально они были введены для бедолаг из Ирана, где за Tor чуть ли не лоб зеленкой мазали. Для прорыва через DPI мясорубку трафик дополнительно заворачивается в еще один слой шифрования - который умеет расшифровываться не всеми входными узлами, а лишь "специально обученными" - Bridge Nodes. Эти "мостовые" узлы - по сути аналоги серверов VPN и/или SSH - но заточены именно на рандомизацию данных до полной невозможности анализа - ведь шифрования под обфускацие и так как говна за баней (3 слоя тора + ssl + всякие OTR и прочие PGP).

Как подключить к Tor мосты думаю вы и без меня в курсе. От себя добавлю, что не стоит слепу тыкать себе obfs4 - ведь 1 ноября их заюзает тысяча миллион до неба тор-фанатов - а значит нагрузка на мостовые узлы с транспортом obfs4 ляжет ебаническая.

Я лично себе воткнул obfs3, однако кроме obfs есть еще куча годных вариков - sсramble suite, meek FTE подробнее -тут. Юзать их будут реже, а значит там будет "посвободнее" и tor не будет дико слоупочить.

Плюсы данного способа:
1. Бесплатно.
2. Проверено "в бою" (я лично просил протестировать в Бульбостане - там многие операторы давно поставили тор раком в тупие. мосты работают!)
3. Их будет юзать толпа народу - а значит легче "потеряться" в толпе.
4. Легко замутить свой мост с блекджеком и шлюхами. Если самому не запалить его айпишки - никто и знать про него не будет.

Минусы:
хз. я пока не вижу. если есть мнения - ю а велкам.

Вариант второй: VPN

Несмотря на мою "нелюбовь" к VPN я уже прикупил себе NordVPN - во первых потому, что за них "впрягаются" сами торовцы, во вторых потому, что уних здорово выросло количество обфусцирующих серверов за последний месяц - парни работают, готовятся заранее.

Плюсы данного способа:
1. Удлинение цепочки серверов до 4-5 вместо 3х.
2. Дополнительный слой шифрования, если в "трубе" VPN тор запускать с обфускацией.

Минусы:
1. Стоит шекели. Если брать разово то то тже норд встанет где то в 12-15к в год. Если брать сразу на год то рублей 5.
2. Айпишки серваков будут вносится в блеклисты очень шустро. Поднять себе впн сервак на порядок дороже/сложнее чем обфусцирующий вход.
3. Низкая анонимность - мало кто юзает впн.
4. Оплата деанонимизирует. Биткойн не такой уж анонимный как многие думают.

Способ третий: SSH


В целом Secure Shell похож на VPN. Но! Разница все же есть. Главное отличие в том, что коммерческие VPN сервисы изначально позиционируются как анонимайзеры - а значит имеют к себе пристальное внимание. А вот SSH в первую очередь разрабатывался для безопасной передачи данных - например "закачку" на свое бэкап облачное хранилище финансовых документов так, что бы их по дороге хакеры не спиздили. Анонимность тут вторична, по этому внимания такие сервисы ПОКА привлекают к себе гораздо меньше.

Плюсы такого способа:
1. Дешевле чем VPN, в среднем 5-15 баксов в месяц. Меньше привлекает внимания.

Минусы:
1. Выше требования к техническим знаниям пользователя. Завернуть SSH тунель посложнее чем VPN.
2. Используется еще реже чем VPN - а значит анонимность еще ниже.
3. Оплата деанонимизирует.

Мануал написан эксклюзивно для форума ruTOR.
При написании использовались следующие материалы:
1. https://www.torproject.org/docs/pluggable-transports.html.en
2. https://xakep.ru/2013/04/08/60413/
3. https://tails.boum.org/blueprint/vpn_support/
4. http://www.spy-soft.net/kak-skryt-ip-tor/
5. https://ru.wikipedia.org/wiki/Tor
 
Сообщения
1.914
Реакции
1.304
Цикл статей - Стратегия и тактика деанонимизации в даркнет ТОР на основе анализа работы подразделения Task Force Argos. Часть 1.

От автора.

Аргус - в греческой мифологии всевидящий гигант с сотней глаз. Скрыть от его взора что либо невозможно. Измененное имя именно этого персонажа подразделение Австралийской полиции взяло себе не спроста. Ведь они по большому счету - нихера не умеют. Кроме одного - деанонимизировать педофилов в даркнет Тор. Но делают они это как никто другой в Солнечной системе - им нет равных. На счету этого карательного отряда десятки деанонимизаций, включая громкие блицкриги против крупнейших в истории педофорумов - The Love Zone, Child`s Plsy и самого крупного за всю историю существования интернета - Pedo Empire.

Не буду кривить душой. Работу ребят из Task Force Argos я уважаю, как и их самих. Не потому что я "куморылый", а потому, что я глубоко убежден что снимать на видео как насилуют детей, или отрубают живым кошкам лапы - это не преступления. Это ёбаное блядство, которое творят ёбаные мрази. Издевательство над слабыми и беззащитными - это проступок интернациональный, и спрашивают за такое в любой стране либо жестоко, либо очень жестоко.

Однако цель моей работы - не столько обратить внимание на темные стороны человеческой души, сколько проанализировать ошибки тех, кого (слава богу) поймали. Все случаи реальны - никакого вымысла. Единственные разночтения, которые возможно возникнут с оригиналами связаны с тем, что английский язык я изучал самостоятельно, так что запросто могу перепутать грамматические времена или запутаться в словоформах.

Деанонимизация skee - администратора педофорума The Love Zone.

TLZ довольно быстро из небольшого форума превратился в один из крупнейших тематических ресурсов, на котором в момент закрытия было около 45 000 зарегистрированных аккаунтов. Администратор форума был непросто владельцем, но и "producer" - то есть изготовителем фото и видео материалов. Разумеется как только форум стал "широко известным в узких кругах" его взяли в плотную проработку.

Тем временем Интернациональная айнзацгруппа хлопнула одного из администраторов другого форума, на котором был один из активных "продюсеров" под псевдонимом Surf. В личке с админом он проболтался что он из Австралии, и оперативники решили проработать версию что Surf и skee это одно лицо. Учитывая невозможность деанонимизации програмными средствами сотрудники выбрали атаку через кросспостинг.

Материал из Википедии — свободной энциклопедии

Кросспостинг в Интернете — умышленное автоматическое, полуавтоматическое или ручное помещение одной и той же статьи, ссылки или темы, в форумы, блоги, либо иной формы сайты или публичные переписки, в том числе и в режиме онлайнового общения (например, IRC, CommFort, Skype).


Собрав огромную базу данных состоящую из всех постов Surf на форуме и в л.с. цепные псы Аргоса начали вгрызаться в клирнет - в первую очередь в социальные сети. На facebook довольно быстро нашлось совпадение в нескольких постах - необычно исковерканное приветствие, которое было похоже на то, которое использовал Surf (что то типа "хайас" вместо "хай" или "хай алл"). Аккаунт был без личных данных, однако анализ сообщений позволил выйти группе на следующий ресурс - форум любителей внедорожников.

Стоп машина, кочегар обосрался...

На форуме любителей внедорожников, несколько постов были подписаны как "Shannon", что дало Task Force Argos предположительное имя подозреваемого. Там же было и упоминание о продаже внедорожника. Поиски продолжались, всевидящий и всепомнящий Инфернальный Апофеоз Зла Google Search выдавал все новые и новые данные и в конце концов на глаза карателям из Task Force Argos попал настоящий аккаунт в фейсбук с фото того самого внедорожника . С регистрационными данными. Местные копы пробили тачку - зарегистрирована она была на некоего Shannon MacCoole. Совпадений было слишком много и было принято решение "ехать в адрес".

При обыске был найден зашифрованный внешний диск с бэкапом сайта (разумеется получить пароль у подозреваемого у карателей получилось, остается только гадать - его просто зашугали или еще и пытали при этом). Так же была найдена фотокамера, метадата которой оставалась в фотографиях, которые размещал skee на педоформуме. Плюс к этому на одной из фотографий skee под альтер-эго Surf засветил крошечную "веснушку" на пальце - сам он был "рыжим", что в совокупности привело к посадке уебана на 35 годков.

Анализ ошибок.

Данный случай - ярчайший пример того, как многолетние усилия по скрытию своей личности могут быть похоронены всего ОДНИМ СЛОВОМ неосторожно написанным не там где нужно. Разберем все, чего не стоит делать если вы "на дарксайде":

1. Кросс-постинг.

Пробив по кросс-постам, это не сказки. Эксперту достаточно прочитать по одному абзацу текста (а зачастую достаточно одного слова, как видно из примера выше) чтобы определить пренадлижат ли они одному лицу или разным. Можно возразить, мол что я в разных аккаунтах пишу по разному. Такая техника противодействия имеет место быть - но в долгосрочной перспективе рано или поздно ты все равно допустишь ошибку и напишешь, например 45.000 вместо 45000 или 45 000. А гугл это аккуратненько запомнит и занесет в свои бесконечные датабазы и логи. Самый простой способ избежать такого - не пользоваться интернетом вообще не для рабочих целей. Но современному жителю это тяжко. Тогда задача минимум - не иметь никаких учетных записей, тем более в социальных сетях или каких либо тематических форумах.

2. Размещение идентифицирующей информации.

Социальные сети словно сделали большинство пользователей клирнета ебанутыми - по другому и не скажешь. Выкладывают десятки фото, выставляют на показ письки, жопы и прочие интимные подробности. Хвастаются особыми приметами (татуировки). Вываливают все свои безделушки (от гаджетов до тачек). Да Аргос при таких раскладах может наконец-то бухать пойти - нехера тут высматривать соткой глаз - тут всё сами показывают. Мужик иди бухни хоть разок за тысячи лет-то.

Если в сети нет ваших фотографий равно как и вещей вам пренадлежащих (сейчас или когда либо раньше) это значительно усложняет ваш поиск. Не нужно тешить себя иллюзиями что "реальный я" и рабочая сетевая личность никак не связаны. Недооценка противника - причина многих поражений.

3. Размещение "грязных" в плане метадаты изображений.

Не секрет что есть такая штука как exif или метаданные. Живет это гадость в изображениях формата JPG - в ней может хранится дата и время, данные на фотокамеру, данные о самом изображении и еще куча всего. А если фото было сделано смартфоном со стоковой прошивкой - то гугл попытается туда еще и GPS координаты подмутить. Так что "подумаешь одна фотка там даже лица не видно" - вообще не аргумент.

Для удаления метаданных разработана куча приложений. Под любые операционные системы. Даже под андроид есть такое приложение, не говоря уже про linux (в TAILS в стоке есть Metadata Anonimization Toolkit a.k.a. MAT, например).

В заключении, забегая вперед приоткрою секрет - ни в одном из случаев я не буду описывать деанонимизацию через сам tor - от начала и до конца. А знаете почему? Да все просто. Во-первых, это титанический труд с непонятным результатом. А во-вторых - пока киберпреступники будут совершать такие ошибки - это попросту не нужно.

Материал написан эксклюзивно для форума ruTOR.
Источник:


http://gxamjbnu7uknahng.onion/wiki/index.php/Shannon_McCoole_(skee)
 
Последнее редактирование модератором:
Сообщения
1.914
Реакции
1.304
Цикл статей - Стратегия и тактика деанонимизации в даркнет ТОР на основе анализа работы подразделения Task Force Argos. Часть 1.

От автора.

Аргус - в греческой мифологии всевидящий гигант с сотней глаз. Скрыть от его взора что либо невозможно. Измененное имя именно этого персонажа подразделение Австралийской полиции взяло себе не спроста. Ведь они по большому счету - нихера не умеют. Кроме одного - деанонимизировать педофилов в даркнет Тор. Но делают они это как никто другой в Солнечной системе - им нет равных. На счету этого карательного отряда десятки деанонимизаций, включая громкие блицкриги против крупнейших в истории педофорумов - The Love Zone, Child`s Plsy и самого крупного за всю историю существования интернета - Pedo Empire.

Не буду кривить душой. Работу ребят из Task Force Argos я уважаю, как и их самих. Не потому что я "куморылый", а потому, что я глубоко убежден что снимать на видео как насилуют детей, или отрубают живым кошкам лапы - это не преступления. Это ёбаное блядство, которое творят ёбаные мрази. Издевательство над слабыми и беззащитными - это проступок интернациональный, и спрашивают за такое в любой стране либо жестоко, либо очень жестоко.

Однако цель моей работы - не столько обратить внимание на темные стороны человеческой души, сколько проанализировать ошибки тех, кого (слава богу) поймали. Все случаи реальны - никакого вымысла. Единственные разночтения, которые возможно возникнут с оригиналами связаны с тем, что английский язык я изучал самостоятельно, так что запросто могу перепутать грамматические времена или запутаться в словоформах.

Деанонимизация skee - администратора педофорума The Love Zone.

TLZ довольно быстро из небольшого форума превратился в один из крупнейших тематических ресурсов, на котором в момент закрытия было около 45 000 зарегистрированных аккаунтов. Администратор форума был непросто владельцем, но и "producer" - то есть изготовителем фото и видео материалов. Разумеется как только форум стал "широко известным в узких кругах" его взяли в плотную проработку.

Тем временем Интернациональная айнзацгруппа хлопнула одного из администраторов другого форума, на котором был один из активных "продюсеров" под псевдонимом Surf. В личке с админом он проболтался что он из Австралии, и оперативники решили проработать версию что Surf и skee это одно лицо. Учитывая невозможность деанонимизации програмными средствами сотрудники выбрали атаку через кросспостинг.

Материал из Википедии — свободной энциклопедии

Кросспостинг в Интернете — умышленное автоматическое, полуавтоматическое или ручное помещение одной и той же статьи, ссылки или темы, в форумы, блоги, либо иной формы сайты или публичные переписки, в том числе и в режиме онлайнового общения (например, IRC, CommFort, Skype).


Собрав огромную базу данных состоящую из всех постов Surf на форуме и в л.с. цепные псы Аргоса начали вгрызаться в клирнет - в первую очередь в социальные сети. На facebook довольно быстро нашлось совпадение в нескольких постах - необычно исковерканное приветствие, которое было похоже на то, которое использовал Surf (что то типа "хайас" вместо "хай" или "хай алл"). Аккаунт был без личных данных, однако анализ сообщений позволил выйти группе на следующий ресурс - форум любителей внедорожников.

Стоп машина, кочегар обосрался...

На форуме любителей внедорожников, несколько постов были подписаны как "Shannon", что дало Task Force Argos предположительное имя подозреваемого. Там же было и упоминание о продаже внедорожника. Поиски продолжались, всевидящий и всепомнящий Инфернальный Апофеоз Зла Google Search выдавал все новые и новые данные и в конце концов на глаза карателям из Task Force Argos попал настоящий аккаунт в фейсбук с фото того самого внедорожника . С регистрационными данными. Местные копы пробили тачку - зарегистрирована она была на некоего Shannon MacCoole. Совпадений было слишком много и было принято решение "ехать в адрес".


При обыске был найден зашифрованный внешний диск с бэкапом сайта (разумеется получить пароль у подозреваемого у карателей получилось, остается только гадать - его просто зашугали или еще и пытали при этом). Так же была найдена фотокамера, метадата которой оставалась в фотографиях, которые размещал skee на педоформуме. Плюс к этому на одной из фотографий skee под альтер-эго Surf засветил крошечную "веснушку" на пальце - сам он был "рыжим", что в совокупности привело к посадке уебана на 35 годков.


Анализ ошибок.

Данный случай - ярчайший пример того, как многолетние усилия по скрытию своей личности могут быть похоронены всего ОДНИМ СЛОВОМ неосторожно написанным не там где нужно. Разберем все, чего не стоит делать если вы "на дарксайде":

1. Кросс-постинг.

Пробив по кросс-постам, это не сказки. Эксперту достаточно прочитать по одному абзацу текста (а зачастую достаточно одного слова, как видно из примера выше) чтобы определить пренадлижат ли они одному лицу или разным. Можно возразить, мол что я в разных аккаунтах пишу по разному. Такая техника противодействия имеет место быть - но в долгосрочной перспективе рано или поздно ты все равно допустишь ошибку и напишешь, например 45.000 вместо 45000 или 45 000. А гугл это аккуратненько запомнит и занесет в свои бесконечные датабазы и логи. Самый простой способ избежать такого - не пользоваться интернетом вообще не для рабочих целей. Но современному жителю это тяжко. Тогда задача минимум - не иметь никаких учетных записей, тем более в социальных сетях или каких либо тематических форумах.

2. Размещение идентифицирующей информации.

Социальные сети словно сделали большинство пользователей клирнета ебанутыми - по другому и не скажешь. Выкладывают десятки фото, выставляют на показ письки, жопы и прочие интимные подробности. Хвастаются особыми приметами (татуировки). Вываливают все свои безделушки (от гаджетов до тачек). Да Аргос при таких раскладах может наконец-то бухать пойти - нехера тут высматривать соткой глаз - тут всё сами показывают. Мужик иди бухни хоть разок за тысячи лет-то.

Если в сети нет ваших фотографий равно как и вещей вам пренадлежащих (сейчас или когда либо раньше) это значительно усложняет ваш поиск. Не нужно тешить себя иллюзиями что "реальный я" и рабочая сетевая личность никак не связаны. Недооценка противника - причина многих поражений.

3. Размещение "грязных" в плане метадаты изображений.

Не секрет что есть такая штука как exif или метаданные. Живет это гадость в изображениях формата JPG - в ней может хранится дата и время, данные на фотокамеру, данные о самом изображении и еще куча всего. А если фото было сделано смартфоном со стоковой прошивкой - то гугл попытается туда еще и GPS координаты подмутить. Так что "подумаешь одна фотка там даже лица не видно" - вообще не аргумент.

Для удаления метаданных разработана куча приложений. Под любые операционные системы. Даже под андроид есть такое приложение, не говоря уже про linux (в TAILS в стоке есть Metadata Anonimization Toolkit a.k.a. MAT, например).

В заключении, забегая вперед приоткрою секрет - ни в одном из случаев я не буду описывать деанонимизацию через сам tor - от начала и до конца. А знаете почему? Да все просто. Во-первых, это титанический труд с непонятным результатом. А во-вторых - пока киберпреступники будут совершать такие ошибки - это попросту не нужно.

Материал написан эксклюзивно для форума ruTOR.
Источник:


http://gxamjbnu7uknahng.onion/wiki/index.php/Shannon_McCoole_(skee)
 
Последнее редактирование модератором:
Сообщения
1.914
Реакции
1.304
Настраиваем Orbot "по войне".

В ноябре количество мануалов "как поставить мосты в торбраузер" возросло на столько, что его можно расчитать по формуле:

х=(y-0)*2

где:
x = количество мануалов
y = количество говна за баней
0 = количество годных манулов

Смотрел я на всё это уныние и не вытерпел. Расскажу как нормально Orbot настроить. От сердца прям отрываю секретики.

The power of THOR.


Orbot - это графический интерфейс для самого настоящего Тора - лукового маршрутизатора. И он может АБСОЛЮТНО ВСЁ, что может тор на Linux. Просто конфигурировать его непривычно. Ладно, хватит базару пустому греметь.

Fire in a hole!


Устанавливаем Orbot (нет, не с "гугл играй рынок" - это нуб-стайл и стыдоба. Качаем с f-droid или с сайта производителя https://guardianproject.info/apps).

Запускаем, идем в settings, и начинаем вытворять:



Чекаем чекбокс StrictNodes - что бы тор не нарушал политику исключенных выходных узлов:




Чекаем чекбокс Use Bridges:



Набигаем на сайт bridges.torprogect.org и мутим там от 9 до 30 мостов obfs4, чтобы запилить себе нормальный входной пул. Заносим их в поле для мостов:



Далее идем в Torrc Custom Config (experts only) - ненуачо мы эксперты или барахло?!



Забиваем туда вот такую канитель (можно скопипастить прям отсюда):



Код:
#ParrotSec hacks:
ExcludeExitNodes {RU},{UA},{BY},{??}
ClientOnly 1
AvoidDiskWrites 1
TrackHostExits .facebook.com,.facebook.net,.twitter.com,.fbcdn.com,.fbcdn.net,.akamaihd.com,.google.com,.google.it,.google.fr,.google.de,.google.br,.yandex.ru,.yandex.com,.gmail.com,.googleapis.com,.gstatic.com,.adform.net,.google-analitics.com,.googletagservices.com,.cloudflare.com,.akamaihd.com,.akamai.com,.cloudfront.net,.cloudfront.com,.cloudflare.com,.qiwi.com

Последняя опция подсказывает тору что на эти сайты нужно стараться заходить с одного и того же выходного узла. Гугл и яндекс так и так запалят вас через трекинг куки - не важно сколько раз вы смените ноду. А киви не очень любит разные айпи в кошельке. Так же сюда можно (или даже нужно) добавить "тематические форумы" - legalrc, rutor и прочие - если начнется охота то ловить вас будут именно в публичных местах - мессенджерах и форумах - так что на паблике надо показывать как можно меньше выходных узлов (с мессенджерами проще - по умолчанию пока вы не перезапустите тор то цепочка например джаббера или телеги будет висеть всю сессию - она не меняется каждые 10 минут как многие думают).

Таким образом у вас будет самый настоящий боевой дарксайд тор на адроиде - с блекджеком и шлюхами, ничуть не хуже чем под Linux.

п.с. ах да, чуть не позабыл показать как должны выглядеть "мосты в торе" (52 всего у меня) :troll::

 

beavis321

Пассажир
Сообщения
45
Реакции
4
какое время занимает деанон цепи тор?
 
Сообщения
1.914
Реакции
1.304

beavis321

Пассажир
Сообщения
45
Реакции
4
зависит от того сколько и каких узлов в цепи, и кто этим занимается.
для примера мост и стандартные два узла сверху. обычные мусора
[doublepost=1531471352][/doublepost]с каких стран сложнее логи вытащить?
 
Сообщения
1.914
Реакции
1.304
для примера мост и стандартные два узла сверху. обычные мусора
[doublepost=1531471352][/doublepost]с каких стран сложнее логи вытащить?
Во первых для запроса нужно иметь возможность написать владельцу ноды.
Во вторых нужно грамотно сочинить текст, что бы завербовать владельца ноды в агенты. Способов вербовки около 50 но тут все идет дистанционно - так что все "на тоненького" - как свезет. Запугать вряд ли удастся, так что ставку делают на то что он поможет обезвредить неебацца опасное опг угрожающее всей планете.
Обфс4 ноды не публикуют о себе никаких данных, никто не знает их реальных IP адресов, стран дислокации и вообще хоть что то.

Так что в обычной цепи тора с обфускацией - средний и конечный узел грубо говоря 50 на 50. Мостовой - практически нерешаемая задача.
 

beavis321

Пассажир
Сообщения
45
Реакции
4
Во первых для запроса нужно иметь возможность написать владельцу ноды.
Во вторых нужно грамотно сочинить текст, что бы завербовать владельца ноды в агенты. Способов вербовки около 50 но тут все идет дистанционно - так что все "на тоненького" - как свезет. Запугать вряд ли удастся, так что ставку делают на то что он поможет обезвредить неебацца опасное опг угрожающее всей планете.
Обфс4 ноды не публикуют о себе никаких данных, никто не знает их реальных IP адресов, стран дислокации и вообще хоть что то.

Так что в обычной цепи тора с обфускацией - средний и конечный узел грубо говоря 50 на 50. Мостовой - практически нерешаемая задача.
твои ответы вселяют в меня неебическую уверенност)ь т.к. ты знаешь о чем говоришь. спасибо за время. как же тогда получается все равно время от времени у мусоров закрывать кого то из тора?
 
Сообщения
1.914
Реакции
1.304
твои ответы вселяют в меня неебическую уверенност)ь т.к. ты знаешь о чем говоришь. спасибо за время. как же тогда получается все равно время от времени у мусоров закрывать кого то из тора?
ну полно вариков. кросспостинг например. когда делают дамп всех твоих постов в тор и раскладывают по полочкам - вплоть до количества пробелов и запятых на каждую сотню знаков. потом ищут совпадения через гугл, фейсбук и прочие мусорские педали.
 

Per_Se

Юзер
Сообщения
117
Реакции
8
Спасибо большое за статьи. Очень полезная информация и если честно, я всегда интуитивно доверял Tor-браузеру больше. :)
 

abrakadabra13

Пассажир
Сообщения
49
Реакции
13
Слушай, я перечитаю все, что ты написал. Очень хочу сам научиться анонимности, но не так чтобы знать что куда тыкать, а именно понимать. Некоторые аббревиатуры не понимаю конечно, названия одно, а принципы совсем другое. Благодарю!
 
Сообщения
1.914
Реакции
1.304
Слушай, я перечитаю все, что ты написал. Очень хочу сам научиться анонимности, но не так чтобы знать что куда тыкать, а именно понимать. Некоторые аббревиатуры не понимаю конечно, названия одно, а принципы совсем другое. Благодарю!
Привет. Если что непонятно - задавай вопросы, отвечу.
 

VPNMONSTER

Пассажир
Сообщения
2
Реакции
0
Понятная точка зрения, хотя в технологиях некоторых vpn есть механизмы позволяющие скрывать Fingerprint.
 
Сообщения
1.914
Реакции
1.304
Понятная точка зрения, хотя в технологиях некоторых vpn есть механизмы позволяющие скрывать Fingerprint.
Только VPN не будет скрывать твой IP, если поступит запрос от правоохранителей.
 
Сверху Снизу