ФБР использовало Metasploit против пользователей Tor

Более десяти лет мощный фреймворк Metasploit исправно служил пентестерам и помогал искать уязвимости и запускать эксплоиты из богатого набора. Этот универсальный инструмент, словно швейцарский нож, использовался для самых разнообразных задач. Им пользовались хакеры всех мастей. Оказывается, не только они.

Как выяснилось, среди пользователей Metasploit было и ФБР. С помощью flash-приложения из параллельного Metasploit-проекта под названием Decloaking Engine им удалось успешно деанонимизировать многих пользователей сети Tor.

Так называемая операция «Торпеда» (Operation Torpedo) имела место в 2012 году и проводилась против пользователей сайтов с детским порно в скрытой сети. В рамках одного из судебных процессов, который продолжается до сих пор, всплыли подробности хакерского софта, применявшегося ФБР. Адвокаты пострадавшего считают, что добытые таким способом улики не соответствуют судебным стандартам и должны быть аннулированы.

Автор Metasploit, известный хакер HD Moore, запустил проект Decloaking Engine в 2006 году как proof-of-concept. Несколько эксплоитов служили для деанонимизации пользователей, допустивших ошибки в настройке системы.

Среди используемых «трюков» была flash-программа из 35 строчек. Она использовала тот факт, что плагин Flash устанавливал прямое соединение в обход Tor и выдавая IP-адрес пользователя. Проблема известна с 2006 года и администрация Tor предупреждает пользователей, чтобы они не устанавливали Flash.

К тому же, уязвимость сводится к нулю для тех, кто устанавливает «защищённый от дурака» клиент Tor Browser Bundle. К 2011 году HD Moore признал, что дальнейшая разработка Decloaking Engine не имеет смысла, потому что все посетители сайта проходили тест на анонимность. Тем не менее, ФБР считало иначе.

Получив контроль над тремя сайтами с детским порно, ФБР установило эту flash-программу и сумело выяснить IP-адреса некоторых посетителей. В частности, было идентифицировано 25 пользователей из США и неназванное количество из-за границы.

Судя по всему, это первый случай, когда ФБР использует подобные программы против всех посетителей сайта, а не против конкретного подозреваемого.

Есть свидетельства, что после 2012 года тактика ФБР по деанонимизации пользователей Tor была значительно усовершенствована. Вместо упомянутой flash-программы применялись более качественные эксплоиты, в том числе использующие свежие уязвимости в браузере Firefox.

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.

Комментарии (6)

  • А для хрома уязвимость через flash плеер тоже актуальна?

    • уязвимость через flash плеер для всех актуальна!!! flash - это вообще сплошная черная дыра уязвимостей!!! Нормальные пацаны давно похоронили этого дырявого flash-сифилитика!!!

  • Автор, вы чего написали-то? "Адвокаты потерпевшего". Какой он потерпевший, если он - подсудимый? И сволочь к тому же.

  • %уита. TOR Browser Bundle поставляется с выключенным флешем.

    • Почему же %уита, цель ведь достигнута. 25 дураков поймано, отчёты написаны, слоны и пряники розданы. А большего и не требуется.

      • Интересней всего сколько непойманных