Интересно Угрозы деанонимизации через сеть

[daddydwarf]

Чтобы научиться защищаться от современных киберугроз, нужно понимать, какие ваши цифровые следы интересуют недоброжелателей. В этом материале поговорим про опасность утечки настоящего IP-адреса, угрозы технологии DNS, небезопасные точки доступа и потенциально возможный анализ зашифрованного трафика Tor.

IP-адрес
IP-адрес предоставляется интернет-провайдером, который обязан хранить записи о том, кому принадлежит тот или иной адрес. Провайдеры, как и интернет-платформы, хранят и передают третьим лицам точную информацию о времени и обстоятельствах онлайн-активности даже спустя годы, поэтому IP – первое, что требует защиты при выходе в сеть.

IP – это богатый источник информации о пользователе. Например, вот список ресурсов, с помощью которых можно:

Узнать IP:

• https://resolve.rs/
• https://myip.com/
• https://www.dnsleaktest.com/ – бонусом проверяет на утечки DNS.

Найти примерную геолокацию IP:

• https://resolve.rs/ip/geolocation.html

Проверить, присутствует ли IP в черных списках:

• https://mxtoolbox.com/blacklists.aspx
• https://www.virustotal.com/gui/home/search

Получить регистрационную информацию об IP-адресе:

• https://whois.domaintools.com/

Проверить IP на наличие уязвимых к проникновению устройств:

• https://www.shodan.io/host/255.255.255.255 – замените числа на IP.

Определить другую информацию об IP:

• https://browserleaks.com/ip
• https://www.whatismyip.com

Если недоброжелатель получит IP-адрес, то определит примерное местоположение, характеристики устройства, а значит, и приблизится к установлению личности. Как избежать этих проблем:

• Не пользоваться связанными с вашей личностью SIM-картами и точками доступа.
• Использовать сеть Tor.
• Использовать анонимно оплаченный (криптовалютой) или самостоятельно настроенный VPN.
• Не переходить без подмены IP по ссылкам, которые вам присылают незнакомцы. Это может быть Canary Token. Подробнее о них в будущих материалах.

Технологии Tor и VPN в связке надежно скрывают IP-адрес и шифруют трафик, используйте их как можно чаще.

DNS
Domain Name System – это технология, которую используют браузеры и другие сетевые приложения, чтобы находить IP-адрес интернет-ресурса. При подключении к сайту браузер посылает запрос в DNS-сервис, а тот в ответ выдает распознаваемый компьютером числовой IP-адрес сервера, на котором располагается сайт. Службу DNS создали для удобства человека, эта технология позволяет людям писать в адресную строку браузера не числовой IP-адрес сайта, а понятный словесный запрос.

DNS часто предоставляется самим интернет-провайдером. Такие DNS-службы сохраняют и по требованию передают властям все запросы пользователей. Частные поставщики DNS, вроде Cloudflare, также передают логи третьим лицам. Владельцы DNS-серверов знают почти обо всем, что пользователи делают в сети.

Контроль над DNS-серверами позволяет также блокировать доступ к запрещенным сайтам. DNS-служба, которую контролирует регулятор, выдает при запросе не нужный адрес, а адрес сайта-заглушки с уведомлением о блокировке, либо вовсе присылает ошибку, что такого сайта в списке адресов нет.

Другая серьезная проблема технологии заключается в том, что до сих пор по умолчанию служба DNS принимает и отправляет запросы в виде простого текста, без шифрования. Даже если зайти в режиме “Инкогнито” на сайт с помощью безопасного протокола HTTPS и использовать приватные DNS-сервисы, высок шанс, что ваш браузер пришлет DNS-серверу незашифрованный поисковый запрос. Если не шифровать DNS-запросы, провайдер или злоумышленник смогут с помощью атаки MITM записывать, какие запросы поступают от вашего IP-адреса.

DNS шифруют с помощью технологий DNS over HTTPS и DNS over TLS. DNS-сервер с поддержкой шифрования настраивают самостоятельно с помощью Pi-hole, берут у сторонних сервисов, вроде www.nextdns.io, либо автоматически получают от поставщика VPN или сети Tor. Учтите, что шифрование DNS само по себе не спасает от других уязвимостей, с помощью которых недоброжелатели прослушивают и блокируют трафик.

Рекомендуем комбинировать технологии Tor, VPN + Pi-hole на приватном сервере и использовать виртуализацию, чтобы создать многоуровневую систему "DNS over VPN over Tor". Эти меры помогут решать проблемы с DNS настолько эффективно, насколько возможно для среднего пользователя.

Небезопасные точки доступа Wi-Fi
Злоумышленник с парой сотен долларов на покупку небольшого специального инструмента способен провести следующую атаку.

Сначала он заставляет устройство принудительно отключиться от текущей точки доступа и одновременно запускает поддельную с таким же названием. Проблемы с доступом в интернет будут продолжаться, пока вы не подключитесь к подменной точке доступа. Как только вы это сделаете, злоумышленник реализует разные варианты атаки MITM. Например, он перенаправит вас на поддельную страницу авторизации, чтобы получить пароль от настоящего Wi-Fi. Продвинутые противники проводят сложные таргетированные фишинговые атаки, чтобы красть реквизиты для входа в криптобиржи и электронные кошельки.

Вредоносная точка доступа сканирует трафик, чтобы определить, подключаетесь ли вы к VPN или Tor. Это выделяет устройство из толпы, так как Tor и VPN пользуются не все (метод работает, когда недоброжелатель знает, что цель находится где-то в толпе, но пока не знает, кто это.). С помощью подменной точки продвинутые недоброжелатели эксплуатируют уязвимости DNS и отслеживают посещаемые пользователем веб-сайты, несмотря на использование HTTPS, DoT, DoH, VPN и Tor по отдельности.

Это не все, что делают с помощью подменной точки доступа. Советуем подключаться к публичным точкам доступа в кафе, аэропортах, библиотеках и метро с осторожностью и использовать VPN и Tor в связке, чтобы защититься от атак MITM. Комбинированный трафик труднее анализировать или подменять.

Анонимный трафик Tor
Однако Tor, особенно "голый" – это не панацея. Кратко рассмотрим три техники деанонимизации зашифрованного Tor-трафика:

Атака сопоставления отпечатков:

• Недоброжелатель снимает цифровые отпечатки вашего зашифрованного Tor-трафика и сопоставляет их с накопленным набором отпечатков известных ресурсов. Отдельные хакеры и местные силовики не способны проводить атаку сопоставления в из-за ограниченных вычислительных мощностей, однако в теории сопоставление отпечатков доступно спецслужбам. На официальном сайте The Tor Project размещена статья, в которой рассказывается о некоторых методах борьбы с атакой сопоставления отпечатков.

Атака сопоставления времени подключения:

• Если противник имеет доступ к логам в сети, то способен сопоставить времеменные отрезки между соединениями и деанонимизировать вас, несмотря на Tor или VPN посередине. На практике такое применялось ФБР еще в 2013 году.

Атака сопоставления размера пакетов:

• Противник сопоставляет размер отправленных в определенный день и час пакетов данных с принятыми данными на контролируемом ресурсе. Со временем атакующий наберет множество совпадений размеров пакетов, что впоследствии используется для деанонимизации. Подробнее об этой атаке написано в блоге агента ЦРУ.

Как этому противостоять:

• Не используйте Tor/VPN для доступа к ресурсам, которые находятся в той же сети, что и вы. Например, не подключайтесь к Tor из университетской сети, чтобы анонимно зайти на университетский сайт. Используйте для этого другую точку доступа.
• Не подключайтесь к Tor из очевидно жестко контролируемых сетей, вроде корпоративных и правительственных.
• Используйте многослойные сети, например, VPN поверх Tor. Недоброжелатель все еще видит, что кто-то подключается конечному сервису через Tor, но не в состоянии определить, кто.

Помните, что это может не помочь против продвинутого противника с широкими возможностями глобальной слежки. Если он захочет деанонимизировать вас, то получит доступ к любым логам, где бы вы ни находились, либо использует т. н. “Атаку Сивиллы”. Противник также может воспользоваться не компьютерными методами деанонимизации, например, поведенческим анализом.

На GitHub есть хорошая подробная статья “Attacks on Tor”, обязательно прочитайте ее, если хотите узнать больше о Tor и его уязвимостях.



Автор: Vergil