SG.hu

Lecsapott egy Tor felhasználóra a német rendőrség, senki nem tudja hogyan

A Tor projekt fejlesztői ragaszkodnak ahhoz, hogy hálózatuk magánéletet védő képességei továbbra is erősek, annak ellenére, hogy német jelentések szerint a helyi rendőrség fel tudta fedni egy felhasználó anonimitását.

A német Szövetségi Bűnügyi Hivatal (BKA) és a frankfurti főügyészség hálózati megfigyelés után legalább egy Tor-felhasználót azonosítani tudott. A jelentés a Tor-felhasználók azonosításának kulcsaként az „időzítéselemzést” említi. „Az egyes adatcsomagok időzítését megfigyelve az anonimizált kapcsolatok visszavezethetők a Tor-felhasználókhoz, még akkor is, ha a Tor-hálózatban az adatkapcsolatok többszörösen titkosítva vannak” - áll a jelentésben, sajnos a technika működésének részletes magyarázata nélkül.

A Tor fokozott anonimitást biztosít hálózatának felhasználói számára azáltal, hogy forgalmukat saját csomópontjai úgynevezett sötét hálózatán keresztül irányítja, így a kapcsolat valódi eredete leplezve van. A Torra küldött forgalmat titkosítási rétegekbe csomagolják, és először egy „belépő” vagy „őrző” csomóponthoz jut el. Ezután a forgalom legalább három véletlenszerűen kiválasztott szerveren - más néven relén - pattog át, mielőtt egy „kilépő csomóponton” keresztül visszatérne a nyilvános hálózatokba, vagy egy .onion szolgáltatáshoz csatlakozna. Ez a folyamat elrejti a kapcsolat forrását, és megnehezíti annak megfigyelését, hogy egy adott felhasználó mit csinál online.

Az időzítési elemzés a hosszú távú használati trendeket figyeli meg, és ez talán alááshatja a Tor hatékonyságát, mivel a megfigyelőknek támpontokat adhat a hálózatba forgalmat küldő felhasználókról. Lényegében arról van szó, hogy valaki hozzáad csomópontokat a Tor-hálózathoz, és feljegyzi a bejövő és a kimenő csomagok időzítését. Egy idő után ezek az időzítések segíthetnek elárulni, hogy ki csatlakozik egy adott .onion szolgáltatáshoz. Matthias Marx, a híres európai hackerkollektíva, a Chaos Computer Club (CCC) szóvivője szerint működhet a módszer. Véleménye szerint a rendelkezésre álló bizonyítékok - a zsurnaliszták által beszerzett dokumentumok és egyéb információk - „erősen arra utalnak, hogy a bűnüldöző hatóságok több éve ismételten és sikeresen hajtanak végre időzítéselemző támadásokat kiválasztott Tor-felhasználók ellen, hogy deanonimizálják őket”.


A Tor Project, bár elismeri, hogy nem látta az összes érintett dokumentumot, úgy véli, hogy a német rendőrség azért tudott leleplezni egy Tor-felhasználót, mert az illető elavult szoftvert használt, szemben azzal, hogy a rendőrök valamilyen ismeretlen sebezhetőséget vagy hasonlót használtak volna ki. A német jelentés azt állítja, hogy az időzítéselemző támadást egy „Andres G” néven ismert személy ellen folytatott nyomozás során alkalmazták, aki a Boystown nevű, gyermekekkel kapcsolatos szexuális visszaéléseket tartalmazó .onion weboldal feltételezett üzemeltetője. „G” állítólag a Ricochet anonimizáló üzenetküldő alkalmazást használta, amely a Toron keresztül továbbítja az adatokat a küldő és a címzettek között. Pontosabban azt mondják, hogy a csevegőprogram olyan verzióját használta, amely nem tudta a Tor-kapcsolattal kivédeni a rendőrség által használt időzítésen alapuló deanonimizálási módszert.

A jelentés szerint a német hatóságok megszerezték a Telefónica szolgáltató együttműködését, amely adatokat szolgáltatott minden olyan O2-ügyfélről, aki egy ismert Tor-csomóponthoz csatlakozott. Ezen információk összevetése a Tor időzítési információk megfigyeléseivel lehetővé tette a hatóságok számára „G” azonosítását, akit Észak-Rajna-Vesztfáliában letartóztattak, megvádoltak és elítéltek. A Tor azzal érvelt, hogy a módszer ellenére szolgáltatása nem hibás. A szervezet szerint "G" nem biztonságos Ricochet-et használt, ezért a rendőrök képesek voltak kitalálni, hogy milyen belépő- vagy őrcsomópontot használt az adatok küldésére a Tor-hálózaton keresztül. A rendőrség pedig felkérte a Telefónicát, hogy listázza azokat az előfizetőket, akik ehhez a belépőponthoz csatlakoztak, és így következtetni tudott a Tor-felhasználó személyazonosságára.

A Tor szervezet szerint "G” valószínűleg a Ricochet egy régi verzióját használta, amely nem tartalmazott védelmet az ilyen támadások ellen. „Ez a védelem 2022 júniusában kiadott 3.0.12-es verzió óta létezik a Ricochet-Refresh-ben, a régóta nyugdíjazott Ricochet projekt karbantartott forkjában” - áll a Tor írásában. "A forgalom időzített elemzéséhez kompromittálni kell a belépő csomópontot, és mivel ez az első a Tor-hálózatban, ez látja a felhasználó IP-címét” - mondta Bill Budington, az EFF vezető technológusa. Ha a belépőpont nem kompromittálható közvetlenül, akkor a megfigyelés befejezéséhez hálózati időzítéseket lehet szerezni.


A Ricochet egy roppant primitív üzenetküldő, viszont a Tor hálózatot használja

A Tor-felhasználók most attól tartanak, hogy a hálózatot elárasztják a rendőrség által ellenőrzött csomópontok, ami veszélyeztetné az anonimitást. De az ehhez szükséges csomópontok számának óriásinak kellene lennie. A Tor projekt elismerte, hogy a kilépő csomópontok telepítésének növekedését tapasztalta - az utóbbi időben több mint 2000-et -, de a szervezet szeirnt emiatt nem kell aggódni. "Az az állítás, hogy a hálózat nem egészséges, egyszerűen nem igaz” - mondta a Tor PR-igazgatója, Pavel Zoneff. "A Network Health csapat folyamatokat vezetett be, hogy azonosítsa a relék esetleges nagy csoportjait, amelyekről feltételezhető, hogy egyetlen, rossz szándékú szereplő kezeli, és nem engedi őket csatlakozni a hálózathoz. Ennek eredményeképpen számos rossz relét jelöltek meg eltávolításra, amelyeket aztán a címtárkezelők letiltottak. Ezek közül sok valószínűleg nem jelentett valós veszélyt a felhasználókra nézve” - mondta.

Ettől függetlenül a projekt segítséget kért annak megértéséhez, hogy pontosan mit tett a rendőrség. "Több részletre van szükségünk az esetről” - mondta a csapat. „Tények hiányában nehéz számunkra hivatalos útmutatást vagy felelős tájékoztatást adni a Tor közösségnek, a reléüzemeltetőknek és a felhasználóknak”. Egyelőre az üzenet a következő: „Ne essetek pánikba”.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Tetsuo #34
    A világ egyre igazságtalanabb. A kiválókat elnyomják, kiemelik mellőle a selejtet, a leghitványabbak bitorolt hatalommal uralkodnak. A becsületes embernek a jog szerint egyre kevesebb jár, a bűnözőnek egyre több. Évezredes folyamatról, az általános romlásról van szó, ami alapján mindig a jelenlegi kor a legsötétebb, a véghez legközelebbi.
  • Tetsuo #33
    Mondanál konkrétumokat? Mert annyira nem hihető az állításod. Magyarországon egyébként a zsidók a legvédettebb csoport. Az őket érő kritika a legkényesebb a hatalom számára. Szóval a legelső meghurcoltatás, ellehetetlenítés, bebörtönzés az őket kritizálókat fogja érinteni, de még nem tartunk ott, bár afelé haladunk. (Link.) Nyugaton már meg is haladták ezt.
  • CommieSlayer #32
    "Itt simán kicsinálnak ha olyat mondasz amit a kedves vezetőnek nem tetszik."
    Én eddig akármikor felmentem az Orbán facebook oldalára az tele volt k*rvaanyázással.
    Az tény, hogy most 2024-ben Magyarország sokkal demokratikusabb és szabadabb, mint sok nyugati ország. És ez nem azt jelenti, hogy nekünk olyan hűde jó lenne. 20 éve még le voltunk maradva a nyugathoz képest, mostanra meg lezüllött a jogrendszer mindenhol. Sok helyen teljes a cenzúra, van ahol meg elvisz a rendőr, ha kritizálod a bevándorlókat, meg a transzgendereket.
    Utoljára szerkesztette: CommieSlayer, 2024.09.25. 10:34:16
  • bdzsana #31
    Én viszont igen hallottam olyat hogy valakit ezért rúgtak ki, sőt ismerem is. Helyi óvoda igazgatóját facebook komment miatt távolították el a fideszes vezetés.
  • kvp #30
    "ha jól tudom akkor a TOR már a gépen titkosítja a forgalmat. Szóval nincs olyan, hogy a TOR használat esetében a gépről tiszta adatfolyam menne ki. A cél szervert hiába figyelik ui. ott már a titkosított adatfolyam ér célba."

    A TOR titkositja a kimeno forgalmat, de a kliens oldali (bemeno) TOR szerver fele meno forgalom felismerheto. Nem a tartalma, csak a lete (meret, idozites, bemeno szerver cime, stb.) alapjan. Ebbol tudjak, hogy ez TOR forgalom volt. Aztan a cel (nem TOR alapu) szerverre megerkezo forgalmat is nezik, ez mar nem tartalmazza a TOR titkositasat, mert az a szerver oldali (kimeno) TOR szerver leveszi. Tehat itt mar csak sima HTTP/HTTPS megy altalaban. Egy megfelelo DNS redirect-el vagy sima IP alapu man in the middle tamadassal ez elfoghato es ha ervenyes tanusitvany van az elterito szerveren is, akkor a legtobb felhasznalo nem veszi eszre, hogy beleptek a vonalba. (a bongeszo nem jelzi, mert ervenyes a tanusitvany es a felhasznalok meg altalaban nem ellenorzik kezzel a HTTPS cert-ek tartalmat) Innentol latjak a titkositatlan forgalmat a szerver oldalon, latjak a TOR titkositott forgalmat a kliens oldalon es a ketto mar korrelalhato. Igy latjak, hogy melyik adott szerverre meno forgalmat, melyik TOR-t hasznalo gep generalta. A szep ebben az, hogy nem tortek fel a TOR halozatot, csak kinyomoztak, hogy melyik ket TOR bemeneti es kimeneti stream tartozik ossze. Mar jo ket evtizede is letezett ez a trukk, csak meg nem volt eleg hatekony a nyugati orszagokban a lakossagi megfigyelo halozat a hasznalatahoz. Plusz latni kell a celszerver forgalmat is, tehat legalabb annak sajat vagy barati orszagban kell lennie.

    Most az mas kerdes, hogy a publikus TOR kimeneti szerverek jelentos reszet nemzetbiztonsagi ugynoksegek uzemeltetik, hogy konnyebb legyen a korrelacio nem barati orszagokban levo szerverek fele. A maradekot meg hacker csapatok, hogy le tudjak nyulni maguknak is a mas csoportok altal megszerzett infokat. Igy kerult egy nyugati anonymous-os csoport kezebe jopar az USA-bol kinai hacker-ek altal ellopott anyag, egyszeruen amikor athaladt a TOR kimeneti szerverukon lemasoltak maguknak is. Az oroszok kevesbe benak ha adatrejtesrol van szo, oket sokkal nehezebb meglatni.

    "Tőlünk nyugatabbra azért durvább véleményterror van. Ott valóban kicsinálnak egy rossz megjegyzésért."

    Viszont haladunk e fele. Minel nyugatbaratabb lesz az uj magyar kormanyzat, azaz minel globalistabb, annal jobban fogunk alkalmazkodni a nyugati vilag ertekrendjehez. Es ott a gyuloletbeszed az a velemeny amit barmely vedett tulajdonsagu (pozitivan diszkriminalt) csoport gyulol. Ez akar az igazsag is lehet, ha nem tetszik a hatalom birtokosainak, akkor gyulolet buncselekmeny a kimondasa. Magyaran Nyugat-Europaban mar teljes velemenyszabadsag van, mindenki azt gondolhat es mondhat amit szabad.

    ps: Az, hogy itthon joreszt meg szabad beszelni csak egy anomalia, a magyar politikai rendszer hibaja. Manapsag ezt mar tolunk se keletre, se nyugatra nem turik el. Csak a tiltott temak ternek el.
  • Tetsuo #29
    Én ilyenről nem hallottam. Sőt engem sem csináltak ki, pedig hangoztatom, hogy utálom Orbánt és Gyurcsány meg a többi hazaáruló között egy önfenntartó börtönben lenne a helye. Tőlünk nyugatabbra azért durvább véleményterror van. Ott valóban kicsinálnak egy rossz megjegyzésért.
  • Macropus Rufus #28
    "Magyarorszag most meg ilyen kiveteles nem liberalis diktatura, ahol nem viszik el az embereket a velemenyuk leirasaert."
    azért ez gondold át újra... Itt simán kicsinálnak ha olyat mondasz amit a kedves vezetőnek nem tetszik.
  • Macropus Rufus #27
    "Ha a civilizáció része akarsz maradni akkor muszáj vagy olyan rendszereket használnod amibe bizony az adataid felhasználhatják, mert nincs más.."
    erről olvastam anno, hogy az ember milyen kicsinyes dolgokért képes a szabadságáról is lemondani. Jelen esetben azért, mert ingyen van valami... ;)

    "+ te döntöd el mit osztassz meg magadról a neten, minden másra ott vannak jó kis hagyományos családi ebédek.. "
    az meg ugye, hogy mondjuk egy goole szerű cég még a leveleid tartalmát is elemzi. Nem kell neked semmit megosztani senkivel. Egy sima emailt írtál anyukádnak, ő meg válaszolt neked. Minden elemzésre kerül.

    Utoljára szerkesztette: Macropus Rufus, 2024.09.24. 16:30:57
  • Macropus Rufus #26
    ez igaz. Am. ezt Belorusziában megteheted. A következmények a fontosak. Bármit leírhatsz. Ott akkor láttak utoljára az ismerőseid. Itt meg simán egzisztenciálisan tesznek tönkre ha arról van szó, de lehet nem is akkor mikor leírod.
    Elég, ha most leírsz valamit és ez évekkel később már vállalhatatlan és akkor csinálnak ki. Mert az senkit nem fog érdekelni, hogy ezt 2034-ben írtad és most 2030 van. Lásd: azért döntenek szobrokat mert az ábrázolt illető 400 évvel ezelőtt rabszolga kereskedő volt ami akkor egy standart foglalkozás volt.
  • Macropus Rufus #25
    "Arrol van szo, hogy a bemeneti es kimeneti pontok figyelesevel lehetoseg van a kimeneti halozaton lathato tiszta forgalmat osszekotni a bemeneti halozaton latott titkositott forgalommal, majd a bemeneti forgalmat egy adott elofizetesi helyhez rendelni. Ehhez egyreszt latni kell a bemeneti halozat forgalmat (idealis esetben a helyi internetszolgaltatok halozatat figyelve). Masreszt latni kell a kimeno forgalmat (idealis esetben a celszervert figyelve). Igy akkor is kompromittalhato a forgalom, ha a tor szerverek biztonsagos harmadik orszagban vannak es nem a hatosagok iranyitasa alatt."

    ha jól tudom akkor a TOR már a gépen titkosítja a forgalmat. Szóval nincs olyan, hogy a TOR használat esetében a gépről tiszta adatfolyam menne ki. A cél szervert hiába figyelik ui. ott már a titkosított adatfolyam ér célba. Ennél nemileg összetettebb lehet a dolog, de nem tartom kizártnak , hogy simán feltörték a kliens gépét és azt figyelték, ott kapcsolódtak rá az adatfolyamra valahogy úgy mint anno mikor a gms titkosítást törték fel. És ebben az esetben nem is kell a célszervert sem figyelni mert minek. Azt látták, amit a user is látott. TOR rendszer megtörése azért komoly feladat. Könnyebb a kliens gépet célba venni.