Отправить статью

Как одолеть ТОРа (глазами бизнес-разведчика)

Эксперт по деловой разведке, CEO в CABIS — деловая разведка и безопасность
Сразу следует отметить, что в настоящее время сам факт подключения к ТОР вычесляем уже на уровне анализа трафика провайдера, а значит возможно и выявить самого пользователя. Помимо этого, было бы наивно предполагать, что некоммерческая организация TOR project, на 40% финансируемая Министерством Обороны США (читай АНБ), не оставит неких черных ходов в системе для своих "хозяев". Более того, массовая истерия насчет защиты персональных данных и информации в интернете, и была инспирирована американскими спецслужбами. Затем, что уже совсем не удивительно, появляется продукт, способный "защитить" от всевидящего ока Большого брата.

Однако, США далеко. Как же возможно деанонимизировать пользователя ТОР в странах, не являющихся "друзьями и партнерами" самой демократичной страны в мире, которая зачем то решила последить за всем миром, а также за своими собственными гражданами? Анонимному браузеру ТОР мы можем легко противопроставить следующие возможности:
Во-первых, стандартные полицейские методы работы. Их особенностью является то, что спецслужбы любой страны могут запросить данные провайдеров и проанализировать трафик интернет соединений. Как известно, трафик пользователей ТОР отличается от трафика остальных пользователей интернета. В результате анализа трафика выявятся все пользователи ТОР, дальнейшую работу можно проводить с данной группой, вычисляя конкретного злоумышленника (по месту, времени, возможностям, умыслу и пр.). Другими словами, даже в самой в мощной криптографической защите имеется слабое место — это сам человек. Если не можешь сломать код, то всегда можно сломать человека.

Во-вторых, методы спецслужб. К примеру, как это делает и АНБ, можно закупить специализированное ПО (рекламные блоки, лайки в соцсетях и пр.) которое будет оставлять в компьютере каждого пользователя файлы куки. При следующем использовании такой компьютер будет определенно оставлять те же следы, что и пользователь, не использующий ТОР. В качестве альтернативы тут может использоваться и спам-рассылка и иные способы распространения подобного "вредоносного" программного обеспечения.

Наконец, в-третьих, методы основанные на социальной инженерии. Разберемся с последними подробнее, т.к. они уже являются доступными для уровня рядового пользователя.

Первым способом деанонимизировать пользователя ТОР, который приходит на ум, вариант косвенный - менее надежный, но зато простой - пытаться подсовывать ему ссылки которые он вынужден будет просмотреть без применения ТОР. Следует начать вести переписку с пользователем ТОР, усыпить его бдительность, затем подсунуть ссылку или картинку, одну, вторую, третью. Затем, уже совершенно спокойному пользователю, посылаем ссылку на картинку с сайта, на котором мы можем просмотреть логи. Больше эту ссылку никому не даем. Следовательно, кто перешел по этой ссылке, тот и есть наш клиент.

Тут важно сказать следующее, при использовании ТОР вырубается флеш-анимация, иначе никакой анонимности не будет. Следовательно, если пользователь, перешедший по нашей ссылке сидит на ТОР - то мы ничего не выявим, но ТОР может и проколоться. Или техника подведет, или что-то еще. Значит, надо попробовать подсовывать размякшему пользователю ТОР страницы именно с флеш-анимацией, чтобы он отключил защиту. Или подсовывать файлы большого объема, т.к. еще один недостаток ТОР - его медлительность в работе.

Есть и еще один вариант выявления пользователя ТОР, менее связанные с информационными технологиями, но не менее эффективный от этого. Заключается он в "факторе дурака". Другими словами, тот же пользователь ТОР может оставлять ключи-подсказки о себе. Часть из них, несомненно, окажется "левыми", однако вкупе смогут, в результате анализа, навести на конкретного человека. Попробуем привести примеры. Пользователь сидит с домашнего компьютера под ТОР, однако его супруга выходит с того же домашнего Wi-Fi в интернет со своего IPhone и любит переходить по ссылкам от своих подруг. Анализ передаваемых данных (фото, видео, заметки) могут содержать метаданные, указывающие на пользователя, либо могут указать на него в результате анализа самих документов (назначеные встречи, контакты, реквизиты). Вообще абсолютно любой идентификатор который вы смогли найти в результате изучения пользователя надо пробивать. Очень часто он приводит к новым данным или к расшифровке пользователя ТОР.

С уважением, команда CABIS

Бедеров Игорь Сергеевич

Мустаев Сергей Викторович
Если вы заметили опечатку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Деловой мир в
и
Деловой мир в
и
0 комментариев
Отправить
Чтобы оставить комментарий, авторизируйтесь или зарегистрируйтесь