1:29
22/12/2014

Jeden z TOR-owych aktywistów, Thomas White aka @CthulhuSec, wysłał wczoraj w nocy dramatycznego e-maila na listę mailingową projektu. Jego serwery, pełniące funkcję exit nodów w sieci TOR przestały działać chwilę po tym, jak ktoś wpiął do nich nieznane urządzenie USB…

Torrorista, typowy

Torrorista, typowy

Ktoś podpiął jakieś urządzenie do jego serwera…

Thomas nie tylko utrzymywał w serwerowni klaster węzłów wyjściowych TOR-a, ale również mirrorował część z ukrytych usług sieci TOR. Niestety, jak pisze w e-mailu, w niedzielę w nocy ktoś w serwerownii gdzie trzymał serwery otworzył drzwi do szafy rackowej i podpiął do jednego z serwerów nieznane urządzenie USB. Po 60 sekundach serwer przestał odpowiadać.

Thomas sugeruje, że tego typu działanie bardzo pasuje do metod funkcjonariuszy, którzy otrzymali polecenie przeszukania i przejęcia serwerów. A przypomnijmy, że przedwczoraj developerzy Tora ostrzegali o możliwej akcji przeciw sieci Tor (ale ich źródło mówiło o atakach an serwery katalogowe, a nie węzły końcowe).

Thomas niestety nie ma kontaktu z ISP (jego konto zostało zawieszone). W związku z powyższym, przyłączamy się do jego apelu prosimy o niekorzystanie z poniższych URL-i do momentu wyjaśnienia sprawy.

https://globe.thecthulhu.com
https://atlas.thecthulhu.com
https://compass.thecthulhu.com
https://onionoo.thecthulhu.com

http://globe223ezvh6bps.onion
http://atlas777hhh7mcs7.onion
http://compass6vpxj32p3.onion

77.95.229.11
77.95.229.12
77.95.229.14
77.95.229.16
77.95.229.17
77.95.229.18
77.95.229.19
77.95.229.20
77.95.229.21
77.95.229.22
77.95.229.23
77.95.224.187
89.207.128.241
5.104.224.15
128.204.207.215

Bardzo nas ciekawi, co to za urządzenie zostało podpięte i jakie było jego zadanie? Zrzucić pamięć RAM? To, że policja korzysta z “pendrive’ów-gotowców” opisywaliśmy już ponad 4 lata temu.

Wskazówka dla wszystkich hostujących tego typu usługi: wyładować z kernela sterowniki do obsługi USB.

Aktualizacja
Serwery Thomasa wróciły “do życia”, ale ich właściciel nie ma do nich zaufania. Prosi aby je zblacklistować. Oto fingerprinty:

D78AB0013D95AFA60757333645BAA03A169DF722
6F545A39D4849C9FE5B08A6D68C8B3478E4B608B
5E87B10B430BA4D9ADF1E1F01E69D3A137FB63C9
0824CE7D452B892D12E081D36E7415F85EA9988F
35961469646A623F9EE03B7B45296527A624AAFD
1EA968C956FBC00617655A35DA872D319E87C597
E5A21C42B0FDB88E1A744D9A0388EFB2A7A598CF
5D1CB4B3025F4D2810CF12AB7A8DDDD6FC10F139
722B4DF4848EC8C15302C7CF75B52C65BAE3843A
93CD9231C260558D77331162A5DC5A4C692F5344
A3C3D2664F5E92171359F71931AA2C0C74E2E65C
575B40EF095A0F2B13C83F8485AFC56453817ABF
27780F5112DEB64EA65F987079999B9DC055F7C0
54AA16946DB0CF7A8FA45F3B48A7D686FD1A1CEF
1EB8BDA15D27B3F9D4A2EDDA58357EA656150075
17A522BC05A0D115FC939B0271B8626AAFB1DDFF
1324EC51FBFA5FD1A11B94563E8D2A7999CD8F57

Nadal nie wiadomo kto majstrował przy serwerach. Brakuje części logów. Obsługa serwerowni dalej nie udzieliła Thomasowi informacji, czy jego serwery były obiektem przeszukań (nie wiadomo, czy nie wie, czy celowo milczy w tej sprawie) — ujawniono natomiast, że blokada konta była wynikiem “włamania”. Thomas podejrzewa, że być może mylnie wyciągnięto wnioski ze względu na to, że korzysta z TOR-a podczas połączeń z panelem zarządzania.

Będziemy was informowali o dalszych informacjach w tej sprawie.

Przeczytaj także:

35 komentarzy

Dodaj komentarz
  1. Szczerze, to ja nie ufałbym już nawet sprzętowi.

    • Ja już dawno nie ufam sprzętowi.

  2. https://eztv-proxy.net/ też przestało działać ;-(

  3. Swoją drogą, zastanawia mnie zawsze kto i za czyje pieniądze finansuje serwery Tor-a.
    Kto to weryfikuje i na jakiej podstawie.
    I jaką mamy gwarancję że znaczna część sieci Tor, to nie są współpracujące ze sobą agencje rządowe, mające taką część ruchu gotową do analizy, że bez problemu śledzące kto skąd i z kim się łączy?

    • Podstawione serwery, z tego co pamiętam, to rzecz, z którą się służby za bardzo nie ukrywają. Kwestia tego, że podstawione serwery mogą jedynie trochę ułatwiać, a nie deanonimizować użytkownika, ze względu na właściwości sieci Tor. Not a big deal, ale warto dokonywać każdego kroku, żeby było bezpieczniej. Stąd też ten artykuł.

  4. a co z 77.95.229.13? :D

  5. Hmmm ok ale logi zniknęły, a jeszcze zanim zniknęły i kiedy admnistrator nie miał dostępu do serwerów już wiedział, że ktos wpiął coś w usb. Tak z ciekawości… skąd wiedział?

    • Z maila wynika, że z IPMI tudzież odpowiednika (równi producenci to różnie nazywają…)

  6. Skąd wiedział, że podłączono coś do portu USB jego serwera? Gdzie to można sprawdzić pod Linuxem (bez GUI)?

    • Sprawdzić można w logu kernela, new high speed device attached cośtam cośtam. Ale logów nie było, mało jeśli dobrze rozumiem on wiedział, że ktoś wtykał pedrak nie mając wcale dostępu do serwera który był położony/offline/whatever i w tym momencie to jest … no dość zagadkowe.
      Nie niemożliwe pewnie, ale sam jestem ciekaw.

    • Handlerem eventów do hotpluga?

    • Wystarczy, że miał zdalnie ustawione zrzucanie logów na jakąś zewnętrzną maszynę – chociażby z dmesga output szyfrowany i netcatowany gdzieś na zewnętrzny serwer. Po wpięciu urządzenia na USB mógł dostać loga, że coś zostało faktycznie podłączone, a potem nastała cisza…

    • Strasznie kombinujecie. Nikt nie słyszał o remote w rsyslogu?

  7. Z racji, że przyroda nie lubi pustki, przed chwilą, postawiłem 4 nowe węzły Tora (dedykowane serwery, 1Gbps pasma, hardware też całkiem mocny, trzeba zawojowąć top10 http://torstatus.blutmagie.de/ :)

    • Dzięki Tobi pedofile będą moli szybciej ściągać fotki, super…

    • @7c65ad89fa
      dzieki debilom takim jak ty, wlasnie konczy sie wolnosc kazdego czlowieka
      idz juz lepiej od razu zaloz sobie obrozke i kaganiec

    • @7c65ad89fa – bo wszyscy kochamy szufladkowanie! Używasz TOR-a – jesteś pedofilem / przestępcą / złodziejem / hackerem / przemytnikiem, czekaj no bo za kratkami już czeka na Ciebie wielki gruby brzydki spocony napalony dwumetrowy czarny murzyn, który natychmiast gdy tam wylądujesz “spałuje” Cię za Twoje przewinienia ;>

    • @Ivellios: Jaki kolor mają nieczarni murzyni?

    • 7c65ad89fa, dzięki za udowodnienie że w 2014 marny trolling nadal potrafi być skuteczny.

    • To budujące ale nie wiem czy koncentracja usług “przekaźnikowych” jest dobra. Uruchomienie kilku węzłów o dużej przepływności na łączu jednego operatora stwarza chyba zagrożenie analizy ruchu. Szczególnie gdy posiada on exit i entry node’a, jak w przypadku dwu najpojemniejszych polskich węzłów… Nie wiem, może się mylę, ale moim zdaniem w czasach lawinowo rosnących prędkości transferu oferowanych przez dostawców na łączach abonenckich olbrzymią pomocą w utrzymaniu jakości usługi anonimowego korzystania z sieci przez Tor byłby przyrost ilości małych węzłów (kilka — kilkanaście Mb/s) zlokalizowanych w sieciach różnych operatorów.

    • @7c65ad89fa
      A ludzie którzy chcą, żeby dzieci szły wcześniej do szkoły też są pedofilami i chcą mieć większy wybór ;)

      (Tylko nie dyskutować mi, czy to lepiej, żeby chodziły wcześniej, później w ogóle etc. To nie czas i miejsce…)

    • Czemu to jest kilkanaście kolejnych adresów? Przecież uruchomienie kilkunastu węzłów w jednej lokalizacji, na jednym łączu jest bez sensu… Pewnie ten cwaniak na tym zarabiał z jakichś “donacji”…

    • Jakoś nie widzę tych nowych serwerów na blutmagie…

  8. Na serwerach się nie znam ale na desktopie lsusb.

    • lsusb pokaże stan faktycznie podpiętego w tym momencie pendrive’a. Czy coś było wpinane i wyciągane – log/dmesg.

    • @Kacper
      Na upartego też się da to zrobić za pomocą lsusb. Robisz skrypt (nie znam dokładnie skryptów powłoki (za rzadko na tym siedzę), więc będzie symbolicznie):
      if exist(lsusb.log) == false {
      create lsusb
      }
      i=0
      for i==0 {
      echo #1 %data% > lsusb.log //wiem, że w cmd zapisywanie do istniejącego pliku się robiło właśnie przez “>”, a w bashu chyba było podobnie
      echo ——————– > lsusb.log lsusb >
      lsusb.log
      echo ——————– > lsusb.log
      echo ——————– > lsusb.log
      send
      freez 30s
      }

      Tyle, że to raczej sztuka dla sztuki i bardziej jako ciekawostka…

  9. C:\Users\ON>ping 128.204.207.215

    Badanie 128.204.207.215 z 32 bajtami danych:
    Upłynął limit czasu żądania.
    Upłynął limit czasu żądania.
    Upłynął limit czasu żądania.
    Upłynął limit czasu żądania.

    Statystyka badania ping dla 128.204.207.215:
    Pakiety: Wysłane = 4, Odebrane = 0, Utracone = 4
    (100% straty),

    C:\Users\ON>

  10. Prosta sprawa alert po podłączeniu czegokolwiek do USB wysyłany emailem :)

  11. Dlaczego wszyscy założyli, że na tych exit nodach był Linux? Wkładanie pendriva celem “przejęcia” serwera? To jakiś nowy windowsowy żart?

    • 2/10

    • @gosc
      Co do pierwszego zdania to w sumie racja.
      A cd dalszej części to mam rażenie, że BadUSB przespałeś…
      Co do motywów to bardzo dobrym wyjaśnieniem był by artykuł z pewnej strony o technologii… mam nadzieję, że pan @Piotr się na mnie nie obrazi, ale nie wydaje mi się, żeby była to konkurencja (bardziej coś na zasadzie: niebezpiecznik sprzedaje łyżwy i rolki, a DP ogółem buty).
      W skrócie, chcą zasiać w ludziach już po mału się ukazującą paranoję… chcą ludzi straszyć, że zawsze ponad prawem, w każdej chwili, z każdej zachcianki mogą do ciebie przyjść i zrobić wszystko… Krótko mówiąc: NSA to po prostu terroryści z hitlerowsko-nazistowskimi technikami…
      http://www.dobreprogramy.pl/Zersetzung-NSA-wpedza-swiat-IT-w-paranoje,News,51156.html

  12. Jak dodać listę serwerów aby je zablokować w TOR ??

  13. Hmmm… Chyba mamy tutaj literówkę.

    (ale ich źródło mówiło o atakach “an” serwery katalogowe, a nie węzły końcowe).

    Nie powinno być “na” zamiast “an”?

  14. Pachnie mi to na zawalenie serwera eventami z bardzo duża częstotliwością i poprzez przepełnienie bufora mogli wstrzyknąć złośliwy kod. Brak logów wynika stąd, że zajęty niskopoziomowo system nie zajmował się bardziej wysokopoziomowymi sprawami. Blokada konta jednak pachnie wstrzykniętym złośliwym kodem.

  15. Jest możliwość wysłania wiadomości email kiedy zostanie coś podłączone i pewnie tak zrobił.

Odpowiadasz na komentarz CamelWhite

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: