Transcription

Cześć! Źle się dzieje w cebulowym świecie. I wcale nie mam na myśli naszej pięknej polskiej krainy, Aptora. Okazuje się, że niemieckie służby są w stanie de-anonimizować użytkowników cebulowej sieci bez większego problemu tak jakoś od 2022 roku, a prawdopodobnie nawet nieco dłużej. Wiemy o tym z informacji, które trafiły do sieci w związku ze sprawami toczącymi się po sądach, w tym, w szczególności, z jednej bardzo konkretnej. Tylko jak oni to właściwie zrobili? O tym właśnie dziś Wam opowiem. Zapraszam. Aby łatwiej zrozumieć, w jaki sposób służbom udało się namierzyć ludzi w miejscu, w którym mieli być całkowicie anonimowi, warto wiedzieć odrobinę o tym, jak w ogóle działa TOR. Opowiadałem o tym już dawno, dawno temu, w śmiesznym przebraniu na szczycie jednej z katowickich chałt, więc jak ktoś jeszcze nie widział, to zapraszam do nadrobienia. W telegraficznym skrócie, korzystając z TOR-a, łączymy się do sieci, wykorzystując do tego po drodze kilka serwerów przekaźników, tzw. węzły sieci. W dodatku wielokrotnie, na cebulkę, szyfrując wysyłane przez siebie dane. Dzięki temu znacznie ograniczamy ilość informacji możliwych do zebrania o nas, a tym samym jesteśmy relatywnie anonimowi. Sprawia to, że z sieci tej korzystają nie tylko osoby uciekające cenzurze totalitarnych reżimów, ale niestety też przestępcy, tak cyber, jak i tacy bardziej pospolici. Anonimowość, korzystając z TOR-a, jest, jak się okazuje, jednak taka nie w pełni anonimowa. Dlaczego? No bo to w sumie żadna wielka tajemnica, że część węzłów sieci jest monitorowana, a nawet utrzymywana przez służby różnych krajów. Po co? Aby podglądać, co przez nie przechodzi. Do tej pory jednak to wcale nie spędzało snu spowiek korzystającym z niej. Sieć w swoich założeniach miała być odporna na takie zakusy władzy. No bo w odosobnieniu rzeczywiście nie jest to jakieś straszne zagrożenie. Szczególnie biorąc pod uwagę, że takich węzłów sieci jest stale online średnio jakieś 8 tysięcy. Ale wiele z nich zlokalizowanych jest w Niemczech i to właśnie istotny element całej tej układanki. Celem szerokiej akcji przeprowadzonej przez niemieckie służby było forum BoyzTown. Największa schowana w darknecie społeczność skierowana do osób gustujących w zdjęciach i filmach z nieletnimi chłopcami, mówiąc delikatnie. A liczby w tej kwestii są dość zatrważające. W chwili zamknięcia miało ono około 400 tysięcy zarejestrowanych użytkowników z całego świata. Jednym z jego głównych administratorów był, jak już wiemy, Andreas G., mieszkający gdzieś w okolicach niemieckiej kolonii. Jak właściwie udało się go złapać? Andreas był naprawdę bardzo uważny i dbał o swoją cyfrową higienę. Z tego, co wiemy, nigdy nie popełnił żadnego wielkiego obstekowego błędu, np. zdradzając gdzieś swoją tożsamość czy ujawniając jakieś szczegóły umożliwiające jej odkrycie. A więc jak do tego doszło? Niemieckie służby poszły naprawdę grubo, bo okazało się, że były w stanie kontrolować lub przynajmniej analizować ruch przechodzący przez naprawdę sporą część węzłów sieci TOR. I to całymi latami. Co ciekawe, ułatwiła im to poniekąd wysoka dostępność i niska cena usług hostingowych na lokalnym rynku. Przez to wiele węzłów TOR-a utrzymywanych przez społeczność było i nadal jest fizycznie zlokalizowanych właśnie w Niemczech, bo tak po prostu jest taniej i wygodniej. To umożliwiało służbom analizowanie ruchu przechodzącego przez nie na poziomie operatorów telekomunikacyjnych. Na tak niebotycznie wielkiej ilości zebranych danych zdecydowanie łatwiej jest dostrzec różne wzorce. Pozwalało to sprawdzać, oczywiście jedynie częściowo, co do sieci TOR wchodzi i co z niej wychodzi przez kontrolowane punkty. I nie, nie chodzi wcale o konkretne przesyłane treści, jak wiadomości, zdjęcia czy inne materiały wideo. To nadal niemożliwe, ale też wcale nie jest konieczne. Można choćby sprawdzać, kto ile danych wysyła, odbiera i jak często to robi. Na przykład, kiedy rozmawia się przez jakiś komunikator, wysyłając przy tym dodatkowo media w postaci zdjęć czy filmów. Albo próbować dopasować do siebie nadawcę wiadomości i jej odbiorcę, porównując jej objętość, gdy odbiór następuje chwilę po wysyłce. Sprawę znacznie ułatwia, kiedy wymiany takie są częste i przebiegają w obie strony. Na przykład, kiedy dodatkowo odbiorca potwierdza za każdym razem nadawcy, że wiadomość otrzymał. Takie komunikaty latają w tę i we w tę, co sprawia, że zdecydowanie łatwiej jest dostrzec powtarzalne schematy. Te wszystkie informacje są właśnie metadanymi, dzięki którym można naprawdę wiele się dowiedzieć. I to właśnie pewien komunikator odegrał wielką rolę w aresztowaniu podejrzanych. Wystarczyło być po prostu cierpliwym. Najistotniejszym elementem całej tej wielkiej układanki okazał się komunikator o nazwie Ricochet. Jest to narzędzie wykorzystujące sieć TOR do zapewnienia anonimowej komunikacji, bez konieczności wiązania jej w jakikolwiek sposób z prawdziwą tożsamością. Jednak analizując latami jej wzorce, służbom udało się namierzyć, którędy podejrzany rozmówca wchodzi do sieci TOR, którym węzłem wyjściowym w sensie. Jak? Tego niestety nie zdradzono, co jakoś wybitnie mnie nie dziwi. Gdybając jednak nieco, najprostszym sposobem na to byłoby, inwigilując wspomniane forum po prostu, kilkukrotnie odezwać się do jego administratora. Choćby pod pretekstem zgłoszenia treści wymagających moderacji, bo o dziwo nawet w takim miejscu jest jakaś moderacja, ale proszę, nie sprawdzajcie jaka. Na podstawie ustalonych wcześniej wzorców obserwuje się następnie, na którym wyjściu z sieci taka wiadomość wypłynie. Dalej robi się już zdecydowanie prościej, bo wystarczy ustalić na podstawie adresu IPS usługi, którego operatora telekomunikacyjnego ten ktoś korzysta i zwrócić się do operatora z bardzo konkretnym pytaniem. Kto w danym czasie łączył się do internetu z tego adresu? Zresztą liczba osób korzystających z ricocheta zapewne nie była jakoś wybitnie zatrważająca i znacznie zawęziło to grono ewentualnych podejrzanych. Zostało ich już po prostu poobserwować, a następnie odwiedzić. Najlepiej nakrywając na gorącym uczynku, bo to wszystko dość silne poszlaki, ale wciąż poszlaki, na podstawie których sąd mógłby nie być skory do wydania skazującego wyroku. Niemiecka policja zapukała więc w końcu do drzwi Andreasa G., a ten zdziwiony nie zdążył zablokować dostępu do swojego komputera. Postawiony pod ścianą, mając perspektywę wielu lat spędzonych za kratami, zaczął kolejno zsypać swoich kolegów i lawina ruszyła. Aresztowano również trzech innych administratorów Boys Town, nie tylko w Niemczech, ale również w Paragwaju. Wszyscy usłyszeli już wyroki skazujące, a Andreas G. może posiedzieć w więzieniu nawet do końca swojego życia. Ta historia to doskonały przykład, jak skuteczna jest szeroka analiza metadanych. Kontrolując w przypadku tora pewną część punktów wejścia oraz wyjścia z sieci, można próbować dopasować do siebie przesyłany przez nie ruch, a tym samym ustalić tożsamość kogoś, kto naprawdę bardzo chciał pozostać anonimowy. Ale takich rzeczy nie ogarnia się w tydzień, bo to wcale nie jest takie proste. Śledztwo trwało latami. I jest to też pierwszy potwierdzony przypadek, kiedy takie analizy zakończyły się sukcesem. Co wywołało nielada trzęsienie ziemi w społeczności osób walczących o prawo do prywatności. Bo skoro udało się to w przypadku Andreasa, otwiera również furtkę przeciwko opozycjonistom wobec totalitarnych reżimów. Tylko czy mamy w ogóle prawo być zaskoczeni? Czy to aż taka łamiąca wiadomość? Na pewno dla wielu tak. Szczególnie tych zamkniętych zakratami. Ale to też wcale nie jest jakiś grom z jasnego nieba. Bo o możliwości przeprowadzenia ataku tej kategorii badacze teoretyzowali od dawien dawna. Po prostu środki, które trzeba zaangażować do jego przeprowadzenia, wydawały się być poza zasięgiem nawet narodowych agencji wywiadowczych. To, jak widać, zaczęło się zmieniać. I to całkiem dawno temu, bo o ile my dowiadujemy się o niektórych szczegółach dopiero teraz, cała akcja miała miejsce w okolicach roku 2020. Niemcy nie byli w niej osamotnieni. Obława została skoordynowana na poziomie międzynarodowym we współpracy w ramach Europolu. Dzięki temu możliwe było obserwowanie większego obszaru sieci oraz szeroka wymiana danymi na bieżąco, co mogło znacznie pomóc. No, a przynajmniej nie zaszkodziło. Ale społeczność również czuła pismo nosem. Ostatnimi laty można było zaobserwować, że sukcesywnie rosła w Niemczech liczba kontrolowanych przez służby węzłów TOR-a, co nie umknęło uwadze użytkowników cebulowej sieci. Pojawiały się słuchy, że ktoś, nie wiadomo co prawda, ktoś coś przy niej majstruje. Wiele wskazywało, że ma nie tylko spore umiejętności, ale przede wszystkim dysponuje technicznymi możliwościami i zasobami. Kontrolował ponad 900 węzłów o łącznej przepustowości idącej w grube gigabajty, co oznaczało, że trafienie na taki kontrolowany węzeł w trakcie zestawiania swojego połączenia było naprawdę spore. Określano tego tajemniczego aktora mianem CACS-17. Okej, jedno połączenie może i wiosny nie czyni. Ale kiedy ktoś korzysta z TOR-a regularnie, codziennie albo nawet kilkukrotnie w ciągu dnia, to szansa połączenia się przez taki podstawiony węzeł wynosi nawet jakieś 30%. Gdy tylko stojący za całą operacją zacznie zbierać statystyczne dane o użytkownikach, to wraz z upływem dni, miesięcy czy nawet lat na pewno trafi na pewne konkretne wzorce zachowań, które potem można próbować dopasować do konkretnych osób. Czy za CACS-17 stoją niemieckie służby? Cóż, nie wiadomo i być może nigdy się tego nie dowiemy, ale podobieństw widać sporo. Z początkiem roku pojawiły się też podobne sygnały na reddicie, gdzie wskazywano, że ataki na użytkowników TOR-a, wcześniej uznawane za możliwe jedynie w teorii, prawdopodobnie stały się realne. Wnioski te płynęły z sądowych dokumentów, które ktoś niechlujnie zredagował, wyciekając pewnie więcej niż by chciał. Za wszystkim miało stać FBI w ramach operacji pod kryptonimem Good Listener, a CACS-17 miał być jedynie wycinkiem możliwości połączonych sił służb całego świata. Wtedy jednak wielu uznawało to za sianie paniki bez żadnego potwierdzenia w rzeczywistości. Czy to przypadek właściwy jedynie TOR-owi? No nie. Warto mieć świadomość, że każda zdecentralizowana sieć zagrożona jest tym, że ktoś siłowo przejmie kontrolę nad jej większością, a wtedy traci ona poniekąd rację bytu. To, co miało być w założeniach zdecentralizowane, wpada pod kontrolę jednostki. Podobnie zresztą jest z różnymi blockchainami. Dlatego jeżeli zależy ci na jakimś projekcie, dobrym pomysłem jest zostanie jego częścią w aktywny sposób. Ale uwaga, najlepiej z głową, bo jeżeli broiłeś w darknecie, jak widać, wcale nie jesteś bezpieczny. Jak na wszystkie te rewelacje zareagowali wywołani do tablicy? Przede wszystkim bardzo szybko, za co należy im się pochwała. Choć uczciwie przyznać trzeba, że początkowo projekt TOR bagatelizował te rewelacje. Szybko jednak można było zauważyć, że wywołały one solidne trzęsienie ziemi. TOR podkreśla, że sami wciąż mają więcej pytań niż odpowiedzi w tej sprawie, bo służby niezbyt chcą się podzielić publicznie swoimi odkryciami. Mają jednak trochę podejrzeń. Atak ten rzekomo powiódł się tylko dzięki temu, że Andreas z kolegami korzystał z przestarzałej wersji komunikatora Ricochet. Nowsza, o nazwie Ricochet Refresh, jest podobno odporna na takie zagrożenia i nie pozwoliłaby na deanonimizację jego użytkowników. Zwracają też uwagę na zachowanie niezgodne z zasadami responsible disclosure przez służby w tym temacie. Nikt o ewentualnej luce ich nie poinformował, aby mogli ją załatać. Co może i nawet nie zdziwiłoby nikogo, gdyby nie fakt, że udostępniono sporo więcej szczegółów o ataku organizacji Chaos Computer Club. Projekt Thor, czyli osoby najbardziej zainteresowane sprawą, zostały w tym wszystkim pominięte. Stąd zostają im domysły, a nie fakty i technikalia. Wielu krytyków podkreśla jednak, że sieć ta nie jest zbyt zdrowa. Co to znaczy? Przy aktualnej liczbie węzłów poniżej 10 tysięcy tak naprawdę uruchomienie wystarczającej liczby swoich, aby stanowiły większość, nie stanowi jakiegoś ogromnego wyzwania dla połączonych sił służb różnych krajów. Obecna liczba organicznych serwerów utrzymywanych przez społeczność jest po prostu zbyt mała. Często zresztą kolokowane są one w miejscach obsługiwanych przez wąską grupę tych samych operatorów telekomunikacyjnych, co jeszcze bardziej ułatwia ich monitorowanie. W sprawie wypowiedzieli się też twórcy Ricocheta, komunikatora będącego Nemesis Andreasa. Twierdzą, że nic nie wiedzą na temat tego, aby jego użytkownicy byli deanonimizowani. Co zresztą oficjalnie nigdzie nie pada w opublikowanych dokumentach, warto to podkreślić. Tym trudniej jest im odnieść się do zarzutów, skoro nawet nie wiedzą, co im się zarzuca. To zrozumiałe. Wskazują też, że od 2019 do 2021 roku, kiedy to cała akcja miała miejsce, wprowadzili szereg nowych zabezpieczeń w swoich protokołach. A te powinny, przynajmniej częściowo, przeciwdziałać atakom statystycznym. Zresztą aresztowani mieli korzystać z dawno niewspieranej wersji komunikatora, który nazywał się wtedy jeszcze po prostu Ricochet, bez refresh, i to właśnie miał być gwóźdź do ich trumny. Twórcy aplikacji podkreślają, że ataki tej kategorii są możliwe jedynie wykorzystując ogromne zasoby, którymi dysponują praktycznie jedynie różnorakie krajowe służby, i nadal bezpieczniej komunikować się, korzystając z takich rozwiązań, niż bez nich. Tak samo jest zresztą z TOR-em. Bezpieczniej go używać niż nie, z czym ciężko się kłócić. Co robić i jak żyć? Walka z zagrożeniami tej kategorii jest naprawdę trudna. Dlaczego? Bo przeprowadzenie takiego ataku jest całkowicie niezależne od Twoich działań. Nie musisz popełnić żadnego błędu, nie trzeba też wykorzystywać przeciwko Tobie jakiejś luki. Każdy jest potencjalnie podatny na taki atak. Czy da się temu jakoś zapobiec? Cóż, jasne, zawsze się jakoś da. Na przykład możesz dołożyć kolejne warstwy do cebuli, ale to już we własnym zakresie, choćby łącząc się do TOR-a po VPN-ie. Otwiera Cię to oczywiście na kolejne inne ataki, jeżeli taki VPN okaże się wykorzystywać zebrane o Tobie dane, więc nie jest to rozwiązanie problemu, a jedynie przełożenie jajek do innego koszyka. W dodatku ucierpi na tym wydajność, bo wraz z każdą dołożoną warstwą takie połączenie będzie zawsze trochę wolniejsze. Możesz też blokować po swojej stronie znane adresy węzłów sieci służące inwigilacji, ale to trochę jak walka z wiatrakami. Ich lista pęcznieje szybciej, niż jesteś w stanie nadążyć. A co zrobić, żeby właśnie nadążać? Mam pewną propozycję. Nie uchronię Cię raczej przed połączynymi siłami Europolu, bo nikt Ci tego nie zagwarantuje, ale pomogę podnieść prywatność Twoich rozmów oraz danych wymienianych z bliskimi czy współpracownikami. Stworzyłem narzędzie, dzięki któremu dostaniesz konkretną dawkę wiedzy w tym zakresie i zadbam o to, abyś był na bieżąco w momentach, w których Twoja prywatność będzie zagrożona. Pomogę Ci po prostu spać spokojniej. Zaciekawiony? Zajrzyj na ucznie.pl, gdzie znajdziesz więcej konkretów. A teraz wróćmy do dzisiejszego tematu. Po stronie teoretycznych rozwiązań problemu deanonimizacji stoją też metody na utrudnienie lub wręcz uniemożliwienie analizy statystycznej. Ale zabezpieczenie się przed takimi taktykami na poziomie protokołów jest naprawdę trudne. Można np. łączyć pewne dane razem, zmieniać ich kolejność, randomizować czas wysyłania poszczególnych pakietów, kompresować je, dodawać do nich szum, ale to wszystko wpływa negatywnie na wydajność sieci, która sama w sobie do demonów prędkości nie należy. Zawsze niestety jest coś za coś. Atak ten pokazuje też, że niebezpieczeństwo bycia zdeanonimizowanym rośnie, kiedy korzystasz z narzędzi działających w czasie rzeczywistym. Np. rozmów, tele czy wideokonferencji, przesyłania plików. Ryzyko pogłębia się też, kiedy skorzystasz nieświadomie z usługi kontrolowanej przez kogoś, kto chce ci zaszkodzić. Może on przesyłać dane w bardzo konkretny sposób, co umożliwi przeprowadzenie takiego ataku nie na przestrzeni miesięcy, ale godzin. Czy to wszystko czyni Thora niebezpiecznym? Trochę tak, ale jednak nie do końca. Ktoś korzystający z niego nawet w miarę regularnie do przeglądania treści niedostępnej w jego kraju czy raz na jakiś czas wysyłający maile opozycyjnym dziennikarzom na pewno nie będzie tak łatwy w identyfikacji, jak ktoś spędzający całe dnie na jakimś szemranym forum i używający w dodatku jakiegoś komunikatora w czasie rzeczywistym. Projekt Thor podkreśla też, aby korzystać zawsze z najbardziej aktualnych wersji oprogramowania i nie pozostawać zbyt daleko w tyle za tymi, którzy chcą nam zaszkodzić. Warto jednak mieć świadomość, że skoro udało się Niemcom, to inni też mogą mieć takie możliwości. I to nie tylko w celu ścigania przestępców, a na przykład opozycjonistów czy dziennikarzy. I to już wszystko na dziś. Tymczasem dziękuję za Waszą uwagę i do zobaczenia!