Спойлер: Источники используемые в видео:
Tor 0day: Finding Bridges - The Hacker Factor Blog
Tor 0day: Finding IP Addresses - The Hacker Factor Blog
Текстом тезисно:
Что такое TOR домен .onion ( скрытый сервис ). - то особый вид веб-сайта, который работает внутри анонимной сети Tor. Суть этого скрытого сервиса в том, чтоб сохранить анонимность как самого скрытого сервиса (не был раскрыт ip адрес скрытого сервиса) так и сохранения анонимности пользователей, которые посещают скрытый сервис. Что касается анонимности по сравнению с обычным сайтом который открывается через TOR, то к примеру когда вы посещаете просто сайт, а не скрытый сервис у вас 3 звена идет между Вами и сайтом, то посещая ресурс по .onion домену у вас 6 звеньев, что обеспечивает большую анонимность и безопасность.
Для проведения деанонимизации используют 3 уязвимости сети TOR такие как:
- Мониторинг трафика. Как известно любой может создавать свои ноды и мониторить трафик с них, при этом не забываем что хостеры и интернет провайдеры тоже это могут делать и делают, как минимум они видят трафик, который проходит через них.
- Есть способы определения всех существующих узлов и нод сети Tor, включая использование мостов (bridges), включая незарегистрированные и частные мосты. (
Незарегистрированные и частные мосты Tor — это мосты, не входящие в общедоступный список узлов Tor и распространяемые ограниченным образом для повышения анонимности и обхода блокировок. Эти мосты, управляемые частными лицами или группами для личного использования или использования ограниченной группой людей, и не сообщаются в Tor Project, что делает их трудно обнаружимыми для внешних наблюдателей).
- DDOS атака в сети Tor, распределённую атаку типа "отказ в обслуживании" на скрытые сервис внутри этой сети (onion домен). Мы не можем классическим способ смягчить DDOS атаку, такими как например такие как фильтрация трафика или распределение нагрузки.
Итого как происходит деанонимизация, т.е. раскрытие ip адреса скрытого сервиса – происходит DDOS атака на наш TOR сервис, она происходит не с целью блокировки ресурса, т.е. не с целью сделать его недоступным, а с целью «налить трафика», т.е. чтоб на наш сервер шло много много подключений, на протяжении длительного периода времени, чем больше объем тем лучше.
Тут можно подумать что трафик идет через целых 6 нод, т.е. 6 звеньев и может показать что это сложно анализировать, но на самом деле весь трафик фильтруется благодаря тому что мы знаем всех участников сети ТОР, и там где в трафике идет соединения где оба ip адреса являются участниками сети TOR – эти соединения пропускаются, и легко выявляются необходимые поэтому пусть хоть 25 звеньев будет до скрытого сервиса TOR, это не обеспечивает анонимность в данном случае.
Теперь остается дело за анализом, остается выявить ip адрес, на который идет больше всего устойчивого трафика с DDOS. По результату анализа, конечно, будет несколько ip, на которые происходит DDOS, поэтому перед началом DDOS атаки следует провести аналитику, чтоб выявить ip адреса на которые происходит DDOS, чтоб их с конечной аналитике убрать.
Т.е. все что нужно для деанонимизации скрытого сервиса это иметь доступ к какому-то % трафика TOR и иметь возможность создать устойчивый поток трафика на нужный скрытый сервис и в принципи все.
Насколько это дорого и сложно в реализации? На самом деле цена 1 ноды 2$, цена 5000 нод 10.000$, вот мы и имеем 5000 серверов с которые выступят источником трафика для аналитики, и источником большого количества трафика на скрытый сервис TOR.
Дорого ли 10.000$ для деанонимизации одного какого-то наркошопа или магазина с детским порно? А теперь представьте что этот инструмент можно использовать не один раз, а для деанонимизации
десятка скрытых сервисов TOR в день, наркотики, оружие, детское порно, и другие сайты в даркнете. А теперь представьте что бюджет не 10.000$ а 1.000.000$.
Кто-то скажет но можно же сделать сложную защиту в виде генерации куков и тд., поверьте нужно будут посадят 1000-чу Китайцев которые вручную создадут 10.000 куков под нужный скрытый сервис TOR и потом с этих кукисов будут загружать самые тяжелые страницы на сайте и будут по таймингу нажимать F5, понимаете? Это своего рода 0day TOR.