¿Cómo rastrean los investigadores el origen de un ciberataque que utiliza el enrutamiento de cebolla?

No puedo comentar cómo los investigadores rastrean comúnmente tales ataques, ya que no estoy involucrado con la aplicación de la ley o el proceso legal. Sin embargo, al investigar e implementar TOR (la solución de enrutamiento de cebolla más común), sé que hay muchas formas en que alguien puede revelar información identificable a través o fuera de un túnel enrutado con cebolla.

Si alguna parte del tráfico de red de un atacante no se representa a través del túnel, ese tráfico puede revelar la ubicación del atacante. (Estoy usando “ubicación” en todo momento, como una simplificación para identificar información como la dirección IP, la ubicación o el nombre). Un ejemplo clásico es la información de consulta DNS. Si el software del cliente del atacante (como un navegador web) no está configurado para reenviar consultas DNS a través del proxy, la sincronización de consultas DNS específicas podría revelar la dirección IP pública real del atacante. Otro error común sería realizar un reconocimiento desde una dirección no oculta, luego usar el proxy para el ataque real. A menudo no es difícil correlacionar la actividad de esta manera.

También es posible revelar información a través del túnel mismo. El proyecto Panopticlick del EFF (https://panopticlick.eff.org/) ha demostrado que los navegadores web a menudo pueden identificarse de manera única por cosas como complementos, User-Agent y Aceptar encabezados, etc. Además, un atacante puede dejar pistas como una puerta trasera particular software, mensajes de desfiguración o patrones de comportamiento que pueden conducir a la atribución adecuada del ataque.

Cómo ejecutar una sesión de Metasploit sobre Tor

¿Por qué Tor no prohíbe las URL que terminan o contienen ".onion"?

Cómo buscar web profunda en el navegador tor

¿Por qué Facebook tiene una URL .onion?

¿Qué tipo de software utilizan los profesionales de las fuerzas del orden para investigar un delito? ¿Qué tan cierto es lo que se ve en la televisión y las películas?

¿Qué información de tráfico e información se podría obtener al ejecutar los relés Tor?

Hay varias formas que son bastante fáciles.

El Método Técnico 1: requiere muchos recursos.
Como sabe, no importa cómo se conecte a un sitio, siempre hay una conexión lógica desde su computadora al sitio al que se está conectando. Con el enrutamiento de cebolla estás conectado a través de otros dos dispositivos. El dispositivo no sabe si usted es el creador de la conexión o simplemente otra conexión que transmite el mensaje de otra persona.

Bueno, esa es la teoría, pero en la práctica podemos determinar si usted es el creador o no. Imagine que tengo dos puntos de enrutamiento y usted se conecta a uno, le paso el mensaje a mi próximo centro y pasa el mensaje a su destino. Sé que originó el mensaje y sé a dónde se conectó. Las agencias como el FBI, la CIA, la NSA, el GCHQ y muchas otras ejecutan centros de enrutamiento en Tor y otros servicios basados en cebolla; de hecho, la mayoría de los servidores que transmiten sus mensajes probablemente pertenecen a alguna agencia gubernamental. (Eso también es cierto para los proxys anónimos). Cada gobierno comparte información después de un tiempo: tenemos una lista de personas, dónde están y qué están haciendo. Todo es muy simple realmente.

El método técnico 2: requiere cooperación
Colocamos como cuadro en el intercambio del servidor de su ISP y antes de cualquier cifrado, retransmisión o cualquier otro método de ofuscación, vemos todo lo que hace. Necesitamos la cooperación de su ISP; normalmente dado libremente; o la cooperación de los tribunales; siempre dado

El método social: requiere un poco de suerte.
La gente es estúpida. Usamos contraseñas simples, repetidamente usamos la misma contraseña y creemos que nuestras habilidades son desviadas e invisibles en Internet son excelentes. No somos tan listos. La Ruta de la Seda 2 se rompió tan rápidamente porque las agencias gubernamentales tenían personas en la planta baja; estaban ayudando a administrar el sitio! Entonces sabían tus detalles desde el principio.

Existen otros métodos, pero estos son los tres principales.

Dave Gordon

Las respuestas de Kim Guldberg y Daniel Miller son precisas. Una nueva forma de explotar y detectar el enrutamiento de cebolla es utilizar la tecnología de aprendizaje automático para supervisar la información de paquetes y carga útil.

Por ejemplo, Tor podría enmascarar con éxito patrones de bytes de contramedidas algorítmicas y / o heurísticas, pero aún dejará un rastro al contener código malicioso o el paquete se comportará de forma anónima.

La ventaja en este escenario es que el primer motor utiliza una tecnología de aprendizaje automático que tiene capacidades de detección autónomas. El atacante puede usar ML para aislar vulnerabilidades para un ataque de día cero (o una inserción incremental de malware) mientras que el defensor puede detectar firmas, comportamientos y / o cargas de paquetes aberrantes.

ML permite una rápida evolución tanto de la amenaza como de la detección, por lo que usar un enfoque como Tor (enrutamiento de cebolla) es en realidad un error, ya que le permite al defensor tomar medidas de contraataque sin que el atacante lo sepa.

Para una discusión más detallada con ejemplos de casos, consulte: http://www.slideshare.net/ai-one …

Dave Gordon

More Interesting

¿Los hackers usan Tor para mantener su anonimato?

Cómo usar Sci Hub correctamente a través de TOR y qué tan seguro es

¿Es el uso anónimo de Internet un mito en realidad, incluso si instala Tor Browser y navega? ¿Hay alguna manera de mantener el uso anónimo?

Cómo explorar Tor

¿Cómo se asegura el remitente en una red Tor de que un nodo solo pueda ser descifrado por un relé?

¿Por qué alguien querría ejecutar un nodo de salida Tor?

¿Cuál es la diferencia entre Tails y el navegador Tor?

¿Cómo logró Facebook crear la página URL personalizada en facebookcorewwwi.onion?

¿Por qué el gobierno de los Estados Unidos creó y continuó financiando Tor?