Thursday, June 11, 2015

Lỗi zero-day trên Tor giúp FBI khai thác người dùng, ông chủ của Freedom hosting bị bắt

Tags




Tor chính là phần tối cuả internet hay còn được gọi là dark web, là nơi ẩn náu an toàn  đồng thời là nơi mà ma tuý,  khiêu dâm trẻ em (child pornography), sát thủ Hay các hoạt động bất hợp pháp được trao đổi.


Một đề nghị về khai thác điểm yếu trong FireFox 17 (zero-day vulnerability) đã từng sử dụng nhằm nhận diện các cá nhân đang hoạt động trong mạng lưới TOR (TOR Network). FBI đã không dàn xếp được với mạng lưới này và tình trạng lộn xộn trong này vẫn còn tiếp diễn.  Nhưng thay vào đó họ đã đãt được thỏa thuận với TOR Brower để truy cập (zero-day JavaScript exploit) và cấy 1 cookie để có thể truy ra người dùng thông qua 1 server đặc biệt từ bên ngoài.




Eric Eoin Marques, 28 tuổi, người đàn ông Ireland đc cho là kẻ đằng sau Freedom Hosting, người cung cấp dịch vu. lớn nhất cho các miền đã được mã hóa trong TOR network đang chờ để dẫn độ vì dính lứu tới khiêu dâm trẻ em. FBI đã phải mất vài năm để tìm ra gã này.


 Marqué đã bị bắt tại Maryland vì tội danh phát tán và quảng bá trẻ em trực tuyến. Anh ta phải đối mặt với 4 cáo trạng có liên quan tới tấn công tình duc trẻ em, với mức   án 30 năm tù (theo nhận xét cuả FBI thì đây là vụ án lớn nhất về những kẻ phát tán khiêu dâm trẻ em trên thế giới). Những thiếu hụt Trong vấn đề này đã  nâng cao bởi những sự phát hiện mới thông qua chương trình US và các sáng kiến gián điệp mạng khác.


Marques khai trước toà rằng anh ta sinh ra ở Mỹ nhưng đã chuyển đến sống tại Ireland khi 5 tuổi. Anh ta đã rút 6000 Euro từ thẻ creditcard cuả mình để giúp một người bạn khi anh ta đến Romania vài tuần trước.


Tor Network còn mà một công cụ hiêyj quả cho các nhà báo, kẻ nặc danh, kẻ chống đối hay những kẻ muốn công khai các thông tin mà việc lần ra dấu vết cuả chúng là không hề dễ dàng.  Việc Marques bị bắt là nguyên nhân gây ra sự thiếu hụt, gây ảnh hưởng tới các dịch vụ như TOR MAIL, HACK BB và HIDDEN WIKI vì chúng chạy trên Freedom Hosting. Tồi tệ hơn là có vài cái báo cáo cuả một số dịch vụ ẩn danh đã kiếm được những thỏa thuận để sử dụng Brower exploit ( k rõ về cái này lắm >.<) [Worse, there are reports of many well known TOR hidden services may be compromised using a browser exploit.]








Một vài thông tin gần đây cho biết rằng có ai đó đã lợi dụng lỗ hổng phần mềm đằng sau các Freedom Hosting. Lỗ hổng được sử dụng để định dạng server đồng thời chèn Javascript exploit vào Web nhằm gửi tới người truy cập. Theo đó các mã độc sẽ được tải xuống máy tính cuả người truy cập. Đồng thời các mã độc này sẽ tìm cách khai thác các lỗi trong Fire Fox 17 ESR – nền tảng cuả Tor Brower. Chúng tôi đang truy tìm các lỗi này và sửa chúng nếu có thể. Andrew Lewman, giám đốc điều hành Tor Project phát biểu trên blog.



Mozilla nói rằng nó đã được thông báo tới hệ thống bảo mật FireFox 17 (MFSA 2013-53) nơi mà các phiên bản cuả FireFox được phát hành. Mozilla đã đăng Exploit code E và đông thời TOR cũng gửi Deobfuscated JS lên Google Code.


Những Javacsript độc là một phần nhỏ bé ẩn trong Windows với tên gọi “Magneto” (giống thằng ng điều khiển sắt trong X-Men) nhưng nó không hề tải bất về bất cứ thứ gì. Nó tìm kiếm các Mac Address và Windows  hostname cuả nạn nhân sau đó gửi tới server ở Virginia, bên ngoài Tor để lục lọi địa chỉ IP thật và viết lại giống như dạng HTTP thông thường.







FBI đã mở rộng đường tới Freedom hosting và ngăn chặn các mã độc HTML cái mà dùng để dẫn đường tới người sử dung. Firefox 17. Họ đang tìm kiếm mã nguồn cuả các trang có hệ thống ẩn chứa các mã Javascript cuả công ty viễn thông Verizon, đông Virginia.


Tờ Openwatch báo cáo rằng, sự phá hoại cuả mã độc trong Tor Browser Bundle  có lẽ là khá phổi biến cho người dùng. Trước đó thì công cụ này đã để chế độ tắt mặc định với một số Javascript cho mục đích bảo mật, ngoài ra thì một số thay đổi được tạo ra bởi các nhà phát triển nhằm giúp cho sản phẩm hữu ích hơn với người dùng. Dù vậy thì các ứng dụng này vẫn quá yếu trước các cuộc tấn công.


Lập trình viên, nhà phát triển Vlad Tsyrklevich đã phân tích Khối lượng cuả Javascript và chỉ ra rằng nó kết nối tới server và gửi hostname và Mac address cuả nạn nhân rất nhanh. “Ngắn gọn thì, cái mã này kết nối tới 65.222.202.54:80 và gửi một yêu cầu HTTP bao gồm hostname (thông qua gethostname) và địa chỉ Mac (thông qua calling Send ARP trên gethostbyname  h_addr_list). Sau đó sẽ nhanh chóng phá vỡ hệ thống.

Microsoft từng cung cấp cho chính phủ Mỹ chính sách bảo mật lỗ hổng nhưng hiên tại, hầu như không có thông tin gì về việc Mozilla đang là đối tác chính.


Dĩ nhiên, điều này chỉ ra rằng liệu sự tự mãn có phải là điều xấu? đặc biệt khi nó tớ từ vấn đề bảo mật. Trong những cố gắng để tiêu diệt nạn lạm dung. Trẻ em, nó cũng đồng nghĩa với vấn đề về bảo mật lỗ hổng nhằm ủng hộ những người sử dụng với mục đích tự do ngôn luận.


Luôn nhớ rằng việc sử dung. Tor Browser Bundle có thể giữ bạn an toàn trước sự tấn công. Người dung` Windows nên update Tor Browser Bundle, ver 2.3.25-10 ( phát hành 26/06/2013), 2.4.15-alpha-1 (phát hành 26/06/2013), 2.4.15-beta-1 ( phát hành 08/06/2013), 3.0alpha2 (phát hành 30/06/2013) . Cân nhắc việc tắt JavaScript ( click vào nut’ blue S bên cạnh green Onion và chọn “Forbid Script Globally”). Thao tác này sẽ làm giảm nguy cơ bị tấn công nhưng một số web có thể sẽ không chạy được.


Update:  theo nghiên cứu mới nhất, địa chỉ IP 65.222.202.53 thực tế đang được sở hữu bởi Cu.c Hợp tác khoa học ứng dụng quốc tế (SAIC) mà phần lới các đặc vụ, lập trình viên hay nhà thầu hệ thống đều có liên hệ tới FBI, CIA, DARPA và NSA.


04 Aug 2013

 

Translate by Anh  (thank you)


 

Source by The Hacker News



Lỗi zero-day trên Tor giúp FBI khai thác người dùng, ông chủ của Freedom hosting bị bắt

Copyright © Bí ẩn Internet All Right Reserved