<![CDATA[Messages posted by "kinggreedy1991"]]> /hvaonline/posts/listByUser/257792.html JForum - http://www.jforum.net Case Study: phân tích hiện trường sau khi bị thâm nhập.

.lht. wrote:
Attacker: Tor thì hại gì chứ ? Me: Phiền bạn ghé qua đây ;) https://check.torproject.org/?lang=vi Me: Vâng, bản thân Tor nó có công cụ nhận dạng xem bạn có đang sử dụng Tor hay không. Vậy mấy bác bên BKAV cũng tạo 1 công cụ kiểm tra các IP truy cập đến đó có thuộc đám "con cháu" của Tor không thì sẽ giới hạn được phạm vi. Me: Vâng, nhưng không mấy ai lại trùng hợp cùng truy cập vào những site của BKAV cả :-" Me: Bạn nghĩ sao khi mà BKAV khi phát hiện bạn dùng Tor, họ sẽ tiến hành theo dõi bạn ? Me: Khi biết bạn dùng Tor, họ sẽ lưu lại cái IP hiện hành vào Cookie của các trang web BKAV mà bạn truy cập . Sau đó những lần truy cập sau, cái cookie đó được lôi ra so sánh và cái IP trong đó được lôi ra để so sánh với những IP tiếp theo ở những lần truy cập tiếp theo ...  

.lht. wrote:
Để đạt kết quả tốt hơn cũng có thể kiểm tra hoặc thu thập thêm các thông tin liên quan trên client có thể rồi tiến hành sàng lọc. Và trong quá trình nghe ngóng tình hình, tâm lý của bạn attacker sẽ có khi quay trở lại. Và ai dám chắc là bạn ý sử dụng Tor mãi ? Javascript có thể sử dụng để tạo custom cookie. Thử nghĩ đơn giản thế này: Tại sao ta không lợi dụng javascript để moi móc thêm thông tin ngay trên client và gửi ngược lại lên server ? - Ví dụ với javascript, ta có thể lấy được thời gian hệ thống của client (từ đó biết được bạn ý đang thuộc "zone" nào)! - Với javascript, ta có thể lấy được user-agent của trình duyệt. Đó là còn chưa kể, ngoài javascript thì còn có flash, java là những loại script chạy phía client !  

mrro wrote:
người ta hoàn toàn có thể "đánh dấu" trình duyệt của attacker, để rồi khi attacker thực hiện tấn công, hoặc quay lại hiện trường để dò la tin tức, người ta có thể nhanh chóng nhận ra anh attacker này là ai trong quá khứ, mặc dù anh ấy đã cố tính đi xuyên qua Tor. nói nôm na là mặc dù đã che đi khuôn mặt, nhưng hình xăm trên tay hoặc giọng nói hoặc cử chỉ vẫn có thể tố cáo thủ phạm.  
Hehe, tôi có tìm hiểu và sử dụng Tor từ lâu và nhưng tôi chưa bao giờ tìm hiểu Tor an toàn tới mức nào. Thật ra bây giờ tôi nhìn vào thứ này mà chú conmale đưa ra thì tôi mới bắt đầu cảm thấy "hãi" vì độ cover track của Tor là quá kinh khủng

conmale wrote:
109.163.233.201 - - [24/Feb/2012:01:56:48 -0600] "GET /hvaonline/posts/list/41282.html HTTP/1.1" 200 13964 "/hvaonline/forums/show/19.html" "Mozilla/5.0 (Windows; U; X11; Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0" 109.163.233.201 - - [24/Feb/2012:02:10:50 -0600] "GET /hvaonline/posts/list/480/41193.html HTTP/1.1" 200 13808 "/hvaonline/forums/list.html" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.20) Gecko/25250202 BTRS35926 Firefox/2.0.0.20 (.NET CLR 3.5.30729)"  
Ở bài viết sau đây, tôi xin mạn phép giới thiệu về khả năng cover-backtrack của Tor tại client,vì tôi thấy có .lht.mrro không tin lắm về sự cẩn thận của tor, và phần này cũng khá thú vị ^_^. Như mọi người đã biết, Tor-client chỉ đơn thuần là một client proxy làm nhiệm vụ kết nối tới Tor-server, nếu bạn nào lên trang download của tor mà down tor về thôi, bật lên thì chắc chắn là vẫn không truy cập được bằng proxy. Vì lý do là cần phải có một công cụ định hướng traffic (hoặc setup tay) từ browser => tor-client. Trong gói cài đặt thì Tor có một công cụ như thế gọi là Tor-button. Và extension này cực kỳ lợi hại, mời mọi người xem qua về document: https://www.torproject.org/torbutton/torbutton-options.html.en. Theo như tài liệu thì tôi thấy Tor-button chỉ ra các "vết" có thể để lại và đã vá như sau. 1. Disable các plugin khác như Flash, Java, QuickTime, SilverLight, ..... 2. Làm nhiễu các đoạn javascript/CSS ẩn với nhiệm vụ reload liên tục, để khi user exit-Tor thì sẽ reveal IP của user ^_^, ngoài ra cũng có CSS popup nữa 3. Hook và mask các Date-object tại client-side, chú ý là timezone tại client side và nó có thể get bằng lệnh đại loại như sau: http://www.w3schools.com/jsref/tryit.asp?filename=tryjsref_gettimezoneoffset 4. Window dimension. Cái này là độ to khi bạn dùng trình duyệt, nếu mà luôn luôn mở dạng full-screen thì khi bị lấy thông tin, ví dụ như tôi dùng màn hình 1024x768, lúc điều tra ra 3 nghi can, 2 nghi can dùng màn hình rộng, có mỗi tôi là 1024x768 thì tôi sẽ bị tình nghi nhiều hơn ^_^. Ở đây Tor-button chuyển toàn bộ dimension về dạng bội số của 50px 5. Block Tor/Non-Tor access vào internet từ những url có dạng file:// 6. Cấm truy cập history 7. Disable DOM Storage 8. Cookie: Store Non-Tor cookies in a protected jar => Non-Tor cookie sẽ được bảo vệ và che giấu 9. Spoof US English Browser. Bạn nào dùng Firefox-Vi thì sau khi activated Tor-button, bạn sẽ trở thành Firefox-En :D 10. Chỉnh sửa User-agent. Ở đây tor-button có nói rằng tất cả tor-user sẽ có một uniform, và đó là: Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0 11. Và một số chuyện rắc rối khác xảy ra từ extension khác, hay là lúc crash firefox,....... Tôi thử bật tor-button và đi vào youtube, thì tôi thấy rằng: https://lh3.googleusercontent.com/-AEVLtW84_zE/T01GrEedRaI/AAAAAAAABOo/tFAPL2yPnGQ/s1280/noyoutube.png
không thể load được youtube :D vì flash đã bị disable Như vậy là ít nhất là Flash đã bị vô hiệu hóa, các evercookie khác như Java, HTML5, .... thì tôi không rành lắm nên không thử được. Bây giờ tôi thử get Time, window dimension và user-agent. Hình sau cho thấy time và các giá trị về dimension cũng đã bị mask
Ngoài ra có một điểm khá thú vị về User-Agent mà tôi vừa tranh cãi là thế này. Liệu Tor-client có giúp chúng ta chỉnh sửa user-agent hay không hay chỉ có Tor-button mới làm việc đó, hay là Tor exit-node quyết định đến User-Agent ? Thì tôi kiểm định bằng cách bật Tor-client, nhưng không dùng tor-button mà tự tay setup proxy thì tôi bị lộ user-agent, mặc dù có thể thấy là IP của tôi không phải là IP VN nữa https://lh4.googleusercontent.com/-cofv0fUv3rk/T01GqZ0xbNI/AAAAAAAABOo/I-MHNVjAmuM/s1280/nontorbutton.png
Còn đây là sau khi bật Tor-button https://lh6.googleusercontent.com/-qVBBlyNJEmY/T01GpwCpWlI/AAAAAAAABOo/C9wwAcuvE38/s1280/torbutton.png
https://lh5.googleusercontent.com/-r8e9rA1b1io/T01Gsd3ikWI/AAAAAAAABOo/Hs7W7YVB8Sg/s1024/ubuntu.png
Và như vậy đúng như trong document đã ghi: "User agent masking is done with the idea of making all Tor users appear uniform" - điều này làm giảm đi sự bất thường khi bạn dùng một distro độc của linux chẳng hạn, sẽ khó mà dò ra bạn là ai một khi bạn đã khoác chiếc áo Tor. Như vậy có thể thấy rằng khá nhiều fingerprint mà chúng ta thường hay không để ý thì Tor-button/Tor-browser đã bít khá nhiều. Tôi không chắc là có còn lỗ hổng nào nữa không, nhưng nếu dùng các side-attack như evercookie, cookie, history, file-url-access, timezone như bạn .lht. đã nêu thì chúng ta có thể hoàn toàn yên tâm là tor đã handle hết vụ này ^_^. Tôi có thấy là weareanon có user-agent ban đầu hơi giống với user-agent uniform của tor-users, chỉ khác ở chỗ bị bôi đỏ ("Mozilla/5.0 (Windows; U; X11; Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0" , nên weareanon có khả năng cao là đang dùng tor-browser rồi. Ngoài ra nếu cài thử Tor-browser thì sẽ thấy Tor-browser sẽ bonus thêm cho ta những gì ? a. Tor-browser có cài Tor-button b. Noscript :D nhưng tôi ko biết nó để làm gì nên bạn nào rành về nó thì phân tích giùm tôi. c. HTTPS everywhere. d. Mỗi khi tắt Tor-browser, toàn bộ dữ liệu sẽ bị xóa sạch. e. Tôi vào tab plugin (thường thì thấy plugin-flash nằm ở đấy) và phát hiện ra là nó trống trơn :D => hoàn toàn không phải lo ngại gì về super-cookie. Sẵn bàn về weareanon, sáng hôm qua tôi có nghĩ đến một hướng khác để tìm ra weareanon. Tôi nghĩ là để download tor thì tôi chỉ việc vào google, gõ "tor", enter, vào trang torpoject.com và download tor. Vậy ở đây điểm yếu của weareanon là xác xuất mà weareanon connect đến torproject.org mà không có sự bảo vệ là rất cao, mà chưa kể là trong vòng mấy tháng qua theo tôi là hầu như ít có ai quan tâm tới tor cho lắm nên việc khoanh vùng dựa vào đây thì sẽ rất dễ. Nhưng tôi nghĩ là xác xuất mà ISP VN ghi hết cái mớ log đó là rất thấp vì không có log nào chứa nổi, chưa kể 50/50 là weareanon không phải đang ở VN vì thông tin về họ rất là mập mờ. Không biết mọi người nghĩ sao về nhận định này ?]]>
/hvaonline/posts/preList/41207/256170.html#256170 /hvaonline/posts/preList/41207/256170.html#256170 GMT