Page 1 of 1

Mit Metasploit gegen Tor User

Posted: Thu Dec 18, 2014 20:13
by cane
Das FBI verwendet das Metasploit Toolkit, um Exploits gegen den TorBrowser einzusetzen und User zu deanonymisieren. Metasploit hat ein spezielles Decloacking Modul dafür.

http://www.wired.com/2014/12/fbi-metasploit-tor/

Angefangen hat das FBI 2012 mit Flash-Applets, die den Proxy umgehen sollten. 25 Tor-User wurden deanonymisert. 2013 hast das FBI mit Magneto einen einen Javascript Exploit gegen den TorBrowser genutzt, um einen Trojaner zu installieren, der die aktuelle IP an einen FBI-Server gesendet hat. Der aktuelle Stand ist wahrscheinlich nochmals deutlich besser.
Since Operation Torpedo, though, there’s evidence the FBI’s anti-Tor capabilities have been rapidly advancing.
...
“In the course of nine months they went from off the shelf Flash techniques that simply took advantage of the lack of proxy protection, to custom-built browser exploits,” says Soghoian. “That’s a pretty amazing growth … The arms race is going to get really nasty, really fast.”

Re: Mit Metasploit gegen Tor User

Posted: Thu Dec 18, 2014 20:36
by Ivan Bliminse
naja ist eben der leichteste und leider effektivste Weg die Nutzer zu deanonymisieren.

Deswegen verstehe ich auch nicht, wieso TorProject immer noch als Standard Scripts erlaubt.

Re: Mit Metasploit gegen Tor User

Posted: Thu Dec 18, 2014 23:28
by Al3ph
Nicht nur dass Noscript im TBB standardmäßig scripts erlaubt, zur Sicherheit sind auch noch alle plugins erlaubt sodass das bloße globale verbieten von scripts nicht viel nutzen dürfte. Ein Schelm wer böses dabei denkt.
Ich wundere mich auch dass es nicht mehr direkte Browser-Exploits gegeben hat, sogesehen muss man Mozilla dankbar sein dass sie so oft neue Versionen herausbringen, das erschwert es einem Angreifer zumindest etwas, rasch genug Lücken zu finden.

Der Bericht zeigt aber wieder einmal klar - erwischt werden immer die dümmsten, nicht die kriminellsten user. Soweit ich mich erinnere brauchte es für den FH-Exploit auch eine Kombination von zugelassenem JS und Windows.

Hab mir schon länger überlegt ob der sinnvollste Weg nicht eine externe Firewall wäre die nur traffic über Tor und/oder JonDo erlaubt und alles andere blockiert.
Tails versucht ja allen Datenverkehr über Tor zu routen oder zu blockieren, aber eben lokal.

Dann sollte auch ein Browser exploit weniger Gefahr darstellen da der Versuch den Proxy zu umgehen zumindest in der Theorie scheitern müsste.

Wäre so ein Ansatz für die liveDVD sinnvoll/möglich?
Wie würdet ihr das lokal (im OS) bzw. extern (eigener Firewall Rechner/Router) lösen?
Ich bin an sich sehr begeistert von der JonDo DVD, das einzige was mir nicht gefällt ist, wie einfach es ist eine direkte Internetverbindung aufzubauen.

Re: Mit Metasploit gegen Tor User

Posted: Fri Dec 19, 2014 9:38
by cane
Wäre so ein Ansatz für die liveDVD sinnvoll/möglich?
Eine einfache Umschaltung der Firewall (einfach für den User, nicht für den Entwickler) mit "JonDo-only", "Tor-only" oder "normal" steht auf der ToDo-Liste für die Version 1.0 der Live-DVD. Aber irgenwer muss das mal machen.

Re: Mit Metasploit gegen Tor User

Posted: Fri Dec 19, 2014 21:36
by Ivan Bliminse
Al3ph wrote:Nicht nur dass Noscript im TBB standardmäßig scripts erlaubt, zur Sicherheit sind auch noch alle plugins erlaubt sodass das bloße globale verbieten von scripts nicht viel nutzen dürfte. Ein Schelm wer böses dabei denkt.
Daher sind im TorBrowser auch keine Plugins installiert. Wer dies ändert und sich nicht an die Hinweise der Entwickler hält ist selbst schuld.
Al3ph wrote: Ich wundere mich auch dass es nicht mehr direkte Browser-Exploits gegeben hat, sogesehen muss man Mozilla dankbar sein dass sie so oft neue Versionen herausbringen, das erschwert es einem Angreifer zumindest etwas, rasch genug Lücken zu finden.
Eher nicht, immer mehr neue Funktionen, immer mehr neuer Code, immer mehr potentielle Schwachstellen.
Al3ph wrote: Der Bericht zeigt aber wieder einmal klar - erwischt werden immer die dümmsten, nicht die kriminellsten user. Soweit ich mich erinnere brauchte es für den FH-Exploit auch eine Kombination von zugelassenem JS und Windows.
Eher Unwissenheit.

Re: Mit Metasploit gegen Tor User

Posted: Fri Dec 19, 2014 22:47
by xg27
Ivan Bliminse wrote: Eher nicht, immer mehr neue Funktionen, immer mehr neuer Code, immer mehr potentielle Schwachstellen.
Das Bitte dreimal unterstreichen.


Und noch dazu meist Features die wir eigentlich gar nicht brauchen. Wir haben 100 000 Kommunikationsprotokolle aber fast keine vernuenftigen Inhalte um sie zu kommunizieren. 80% oder mehr im inet ist einfach nur Schrott. Genauso wie im real life eben...