Какой бы банальной и очевидной не казалась вам эта атака, с ее помощью удалось вычислить огромное количество киберпреступников. Особенности данной атаки – простота и эффективность против пользователей Tor браузеров.
Создавать документы, способные деанонимизировать открывшего их, мы будем в рамках нашего курса, для этого не требуются особые навыки. Как создать ссылку для получения IP-адреса собеседника, мы говорили в этой главе.
Tor дает максимальную анонимность среди всех инструментов для сокрытия своего подлинного IP-адреса. Если пользователя VPN или proxy можно вычислить благодаря запросам, сопоставлению соединений, через сторонние сайты и другими методами, то в случае с Tor это все не работает.
Обычно киберпреступник ставит себе Tor браузер и сразу получает высочайший уровень анонимности «в пакете». К его деанонимизации может привести только его глупость, допущенная ошибка, очень сложная в реализации атака (вроде Cross-device tracking) либо уязвимость в Tor сети или Tor браузере.
Уязвимости встречаются нечасто, но исключать их не стоит. Так, благодаря одной из уязвимостей были деанонимизированы и арестованы более 900 посетителей сайта с детской порнографией PlayPen. Все они использовали Tor, но это не спасло педофилов от ФБР и правосудия.
PlayPen, скорее, исключение из правил, и киберпреступники, используя Tor, чувствуют себя в безопасности. Но вот киберпреступник сталкивается с документом Word (или PDF), который ему прислали и который в его интересах открыть.
Он качает его, проверяет на Virustotal и запускает на виртуальной машине. Документ не проявляет никакой вредоносной активности, он только соединяется с сервером и тем самым отправляет на него IP-адрес киберпреступника. Виртуальная машина по умолчанию не блокирует соединения, а анонимность Tor браузера распространяется только на сайты, открываемые в нем.
Даже если киберпреступник использует VPN и настроил его так, что соединения в обход него невозможны, в руках правоохранительных органов окажется IP-адрес коммерческого VPN-сервиса. Остается направить запрос и получить подлинные данные – это не самая сложная задача. Таким образом были вычислены многие известные хакеры, включая Коди Кретсингера из хакерской группировки LulzSec.
Для соединения с сервером необходимо открытие файла-приманки на компьютере жертвы, простое скачивание не приведет к результату. Еще раз обращаю внимание, что с высокой вероятностью всевозможные проверки файла сочтут приманку безопасной, в целом такой она и является: соединение с сервером – это не вредоносный функционал.
Защититься от данного метода деанонимизации можно, открывая подобные документы в виртуальной операционной системе Whonix. Whonix исключает соединения в обход сети Tor. Если файл открывается в песочнице, необходимо убедиться, что песочница предотвращает все внешние соединения открываемых в ней объектов. Либо можно полностью отказаться от открытия у себя на компьютере каких-либо файлов.
