Более десяти лет мощный фреймворк Metasploit исправно служил пентестерам и помогал искать уязвимости и запускать эксплоиты из богатого набора. Этот универсальный инструмент, словно швейцарский нож, использовался для самых разнообразных задач. Им пользовались хакеры всех мастей. Оказывается, не только они.

Как выяснилось, среди пользователей Metasploit было и ФБР. С помощью flash-приложения из параллельного Metasploit-проекта под названием Decloaking Engine им удалось успешно деанонимизировать многих пользователей сети Tor.

Так называемая операция «Торпеда» (Operation Torpedo) имела место в 2012 году и проводилась против пользователей сайтов с детским порно в скрытой сети. В рамках одного из судебных процессов, который продолжается до сих пор, всплыли подробности хакерского софта, применявшегося ФБР. Адвокаты пострадавшего считают, что добытые таким способом улики не соответствуют судебным стандартам и должны быть аннулированы.

Автор Metasploit, известный хакер HD Moore, запустил проект Decloaking Engine в 2006 году как proof-of-concept. Несколько эксплоитов служили для деанонимизации пользователей, допустивших ошибки в настройке системы.

Среди используемых «трюков» была flash-программа из 35 строчек. Она использовала тот факт, что плагин Flash устанавливал прямое соединение в обход Tor и выдавая IP-адрес пользователя. Проблема известна с 2006 года и администрация Tor предупреждает пользователей, чтобы они не устанавливали Flash.

К тому же, уязвимость сводится к нулю для тех, кто устанавливает «защищённый от дурака» клиент Tor Browser Bundle. К 2011 году HD Moore признал, что дальнейшая разработка Decloaking Engine не имеет смысла, потому что все посетители сайта проходили тест на анонимность. Тем не менее, ФБР считало иначе.

Получив контроль над тремя сайтами с детским порно, ФБР установило эту flash-программу и сумело выяснить IP-адреса некоторых посетителей. В частности, было идентифицировано 25 пользователей из США и неназванное количество из-за границы.

Судя по всему, это первый случай, когда ФБР использует подобные программы против всех посетителей сайта, а не против конкретного подозреваемого.

Есть свидетельства, что после 2012 года тактика ФБР по деанонимизации пользователей Tor была значительно усовершенствована. Вместо упомянутой flash-программы применялись более качественные эксплоиты, в том числе использующие свежие уязвимости в браузере Firefox.



6 комментариев

  1. 17.12.2014 at 00:48

    %уита. TOR Browser Bundle поставляется с выключенным флешем.

  2. 17.12.2014 at 11:16

    Автор, вы чего написали-то? «Адвокаты потерпевшего». Какой он потерпевший, если он — подсудимый? И сволочь к тому же.

  3. 17.12.2014 at 16:28

    А для хрома уязвимость через flash плеер тоже актуальна?

    • 17.12.2014 at 17:14

      уязвимость через flash плеер для всех актуальна!!! flash — это вообще сплошная черная дыра уязвимостей!!! Нормальные пацаны давно похоронили этого дырявого flash-сифилитика!!!

Оставить мнение