Luca Annunziata

Tor, DRM per svelare l'anonimato

Un nuovo vettore d'attacco sfrutta il protocollo di autorizzazione per la riproduzione di un file multimediale: svelando l'IP del PC nascosto dietro la rete della cipolla

Milano - Non è la prima volta che i creatori del malware sfruttano i sistemi DRM per veicolare codice sui computer vittima, ma quanto scoperto da Hacker House è un inedito: approfittare del meccanismo di gestione dei diritti di riproduzione dei file integrato in Windows Media Player per scavalcare l'anomimizzazione garantita da Tor. Uno strumento che ha almeno due livelli di efficacia, e che potrebbe anche essere sfruttato per cercare di tracciare attivisti politici che usano la rete della cipolla per coprire le proprie tracce in Rete.



Il meccanismo funziona come segue: si induce la vittima a scaricare un file multimediale, magari fornendogli contenuti a cui potrebbe essere interessato secondo i suoi gusti personali, e gli si mette a disposizione un file in formato WMF con incoprorata una protezione DRM. La configurazione di default di Windows prevede che gli oggetti Windows Media File siano aperti da Windows Media Player: quello che fa questo software, nel caso in cui sia necessaria una chiave, è aprire un'istanza Internet Explorer per recuperare l'autorizzazione e consentire quindi la visione dei contenuti. In questo frangente è possibile iniettare un payload malware a bordo della macchina bersaglia.
Secondo Hacker House, con questo meccanismo è possibile anche svelare l'IP di una macchina in teoria nascosta dietro gli strati della rete Tor: lo stratagemma è lo stesso, si sfrutta un file multimediale per costringere la vittima a ospitare suo malgrado del codice indesiderato sul suo PC. Codice che può essere usato per scavalcare le protezioni a garanzia dell'anonimato, a danno di chi necessità della propria privacy in Rete per qualsivoglia ragione.

Ancora secondo il racconto fatto da Hacker House, ci sono due diversi modi di attuare questo attacco: se il file multimediale non è firmato in modo ortodosso con gli strumenti offerti da Microsoft presenta una finestra di dialogo che chiede all'utente di consentire di andare online per ricevere l'autorizzazione - circostanza nella quale i più scafati potrebbero insospettirsi e fermare il processo prima che sia troppo tardi. Ma se si decide di usare la firma ottenibile tramite l'SDK di Microsoft, passaggio che richiede l'investimento di circa 10mila dollari per ottenere gli strumenti necessari, il procedimento può avvenire in modo completamente silente e passare inosservato.

Spendere 10mila dollari per attaccare un utente qualsiasi, soprattutto se l'attaccante è un creatore di malware di basso livello, potrebbe essere una spesa che non vale l'impresa: ma se dietro l'attacco di fosse una intelligence in cerca di indizi sull'identità e la localizzazione di un sospettato, la faccenda potrebbe essere molto differente. Scovare gli attivisti dell'ISIS che seminano propaganda su Internet, o rintracciare dissidenti politici che cercano di mantenere il proprio anonimato per proteggersi da un regime totalitario, pare alla portata di chi sia in grado di sfruttare questo espediente tecnico e mettendo in campo un minimo di ingegneria sociale per carpire i gusti e gli interessi della vittima.

Luca Annunziata
Notizie collegate
  • TecnologiaHORNET, la rete a cipolla più veloce di TorUna nuova rete anonimizzatrice promette di garantire la sicurezza della connessione assieme a una performance di rete molto superiore al solito circuito di Tor. Il Tor "next-gen" mette i bastoni tra le ruote alla sorveglianza
  • TecnologiaTor, la cipolla randomizzata è più sicuraGli sviluppatori lavorano per rafforzare la sicurezza del tool anonimizzatore, un'iniziativa che dovrebbe mettere gli utenti di Tor al riparo di exploit e malware come quelli usati dall'FBI
  • AttualitàTor, una Internet di seconda categoriaUna nuova ricerca evidenzia il pessimo trattamento riservato dai servizi di rete agli utenti di Tor, un network notorio per fare da scudo a cracker e cyber-criminali ma anche a chi non può accedere alla Internet pubblica causa censura
  • SicurezzaTor, anonimato non garantitoLa rete a cipolla offre protezione per la privacy degli utenti, ma detti utenti possono sempre essere identificati se si hanno le opportune motivazioni e capacità. Un nuovo studio riaccende la discussione sull'anonimato che non è anonimo
40 Commenti alla Notizia Tor, DRM per svelare l'anonimato
Ordina
  • e con il browser visualizzi filmati le possibilità le possibilità sono solo due: o sei il coglione sinistro o quello destro ...
    non+autenticato
  • Stiamo parlando di filmati scaricati.
    non+autenticato
  • prova ad arrivare a leggere il sottotitolo, lo troverai illuminante.
    non+autenticato
  • E io ti ripeto che non hai ANCORA capito nulla, dopotutto sei prova123.
    non+autenticato
  • - Scritto da: prostata123
    > E io ti ripeto che non hai ANCORA capito nulla,
    > dopotutto sei
    > prova123.
    Che è semplicemente un altro alias di "..."
    non+autenticato
  • - Scritto da: prova123
    > e con il browser visualizzi filmati le
    > possibilità le possibilità sono solo due: o sei
    > il coglione sinistro o quello destro
    > ...

    Ti quoto nel senso che se scarichi files propietari, usi Win MP... e già qui la maggioranza non lo usa, sai che contiene DRM ecc.. beh... se sommi tutto te lo cerchi alla fine.
    non+autenticato
  • +1. Tra l'altro premesso che i coglioni vanno a due a due, di "prostata123" e "Pirla rosso" l'ultimo dubbio che resta è eventualmente identificare chi sia quello destro e quello sinistro. Rotola dal ridere Rotola dal ridere Rotola dal ridere
    non+autenticato
  • - Scritto da: prova123
    > +1. Tra l'altro premesso che i coglioni vanno a
    > due a due, di "prostata123" e "Pirla rosso"
    > l'ultimo dubbio che resta è eventualmente
    > identificare chi sia quello destro e quello
    > sinistro. Rotola dal ridere Rotola dal ridere
    > Rotola dal ridere
    Ah ... davvero?
    Newbie, inesperto
    io invece pensavo più a un caso alla Colleoni dove i "testicoli" coinvolti nella "contesa" sono per così dire... "ambetre"... non "ambedue".
    Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • https://www.whonix.org/wiki/Main_Page

    Sono due VM, una "workstation" e una gateway, che comunicano tramite TOR.
    La macchina gateway (esposta alla rete) NON conosce l'indirizzo IP della macchina che la ospita.

    E tanti saluti alle agenzie "tanto basta installare un malware per farsi dire l'IP"

    Per chi ha la segretaria cliccatutto consiglio vivamente di provare, tanto ormai anche i PC delle segretarie fanno girare un paio di VM senza problemi.


    Faccio presente che il sistema whonix è integrato nel qubeOS, che consiglio calorosamente a chi vuole fare un ulteriore salto di qualità come sicurezza.
    non+autenticato
  • Mai sentito parlare di incapsulamento?
    Mica lo fanno solo per i denti...
    non+autenticato
  • Eccoci qua, ancora una volta si discute di aria fritta e di haCCkery BABAU.

    Qualsiasi persona sana di mente conosce benissimo questo tipo di rischio perchè il team di sviluppo (Tor) fa le sue raccomandazioni direttamente sulla pagina dei download:

    https://www.torproject.org/download/download


    Don't torrent over Tor

    Don't enable or install browser plugins

    Don't open documents downloaded through Tor while online


    L' ultimo punto viene particolarmente enfatizzato con la seguente frase:

    DO NOT IGNORE THIS WARNING.

    E noi qui a parlare di hCCker (house) bettole, super strumenti "inediti" (inediti un paio di sacchetti) di hacckeraGGio, acronimi di qua, acronimi di là, wmf, wmv, vffnc.

    Aria frittissima, aria afosa.
    non+autenticato
  • Hai ragione nel riportare le istruzioni del tor project ma fallo da un punto di vista critico.

    > Don't torrent over Tor

    E perchè mai?
    Se usi un PC dietro un NAT il client torrent spiffera l'IP della rete locale e danni reali non ne puo' fare. Se il client è fatto bene non ha la necessità di inviare l'IP/hostname/username/altro nel flusso dati o contattando il tracker. I troll del Tor Project dovrebbero almeno specificare QUALI client bittorrent ritengono che sarebbe meglio evitare, invece di dire che è sbagliato usare bittorrent come se fossero la MPAA/RIAA. Non a caso nessuno di I2P ha mai detto che usare torrent sia una cattiva cosa.
    Il DHT e tutte le altre cose sotto protocollo UDP non funzionano con Tor, quindi non possono compromettere in nessun modo la privacy (e se un client bittorrent non permette di disattivarli, basta una regola del firewall per droppare tutto il traffico UDP in uscita, tanto né con Tor né con I2p serve contattare un DNS )

    >
    > Don't enable or install browser plugins
    >


    Giusto. Ma anche senza Tor, è meglio evitare i plugin adobe (flash pdf) e altri.

    > Don't open documents downloaded through Tor
    > while
    > online


    Bah. Che caxata all'americana. Se apro un .txt che rischi corro?
    Corro dei rischi solo se faccio questo:
    # bash file.txt
    Ma dubito che intendano dire quello con "aprire".
    Anche qua c'è molto da specificare.

    Per guanto riguarda i formati video, dopo aver preso visione del container (mkv, avi, mp4...) e che streams contiene, si puo' decidere se aprirli oppure no. Il WMV è da evitare. Il lettore multimediale deve essere, come ogni altro programma, compilato con flags di protezione (canary contro stack overflow, stack noexec, ecc....) E il kernel deve essere linux con grsecurity-pax o i vari BSD corazzati.
    Linus non ha mai avuto molto interesse nella sicurezza del suo kernel, motivo per cui grsecurity non è di serie. Anche Tails è di conseguenza un colabrodo senza le patch di sicurezza aggiuntive. I giocattoli Selinux/apparmor non servono a niente se confrontati con un kernel grsec.
    Se il formato del documento è sicuro (txt, jpg ecc) e il programma è sicuro contro exploit che possono partire del parsing dei file aperti, il rischio non c'è lo vedo.

    >
    > L' ultimo punto viene particolarmente enfatizzato
    > con la seguente
    > frase:
    >
    > DO NOT IGNORE THIS WARNING .

    Si, ma questi di Tor sono dei babbei. Solo un ritardato lascerebbe il javascript attivo di default nel Tor Browser. Cosa che loro fanno dopo tutti gli avvisi e le segnalazioni che hanno ricevuto. Causando quindi un disturbo a ogni utilizzatore che deve sempre ricordarsi di disattivarlo. E' cosa nota che gli exploit contro il Tor Browser arrivino prevalentemente da javascript.
    Fermorestando che Tor è in sé sicuro (come protocollo è riconosciuto essere meno sicuro di I2P ma comunque per me va bene lo stesso) io ho smesso di fidarmi del Tor project, c'è qualcosa che non mi quadra nella loro gestione della "sicurezza". Saranno degli espertoni ma mi puzza questa gestione della sicurezza approssimativa e superficiale ("tutto bittorrent è male; un programma remoto eseguito client side come javascript è ok")
    non+autenticato
  • - Scritto da: ben10

    > Bah. Che caxata all'americana. Se apro un .txt
    > che rischi
    > corro?

    Sono riusciti a mettere un malware in una foto.
    http://mobile.hdblog.it/n441353/ransomware-imagega...

    Senza contare quello che in passato hanno combinato sfruttando la furbata di winsozz di nascondere le estensioni.
    Tu credi di aprire un pippo.txt e invece quello e' un pippo.txt.exe


    > Corro dei rischi solo se faccio questo:
    > # bash file.txt

    Se lo fai con privilegi di utente i rischi sono pochi.

    > Ma dubito che intendano dire quello con "aprire".
    > Anche qua c'è molto da specificare.

    Aprire, in gergo winaro significa doppiocliccare e poi cliccare su OK fino a che non scompaiono quei fastidiosi pop-up che non vale la pena leggere.


    > Si, ma questi di Tor sono dei babbei. Solo un
    > ritardato lascerebbe il javascript attivo di
    > default nel Tor Browser.

    Ma anche nel browser non tor.
  • Ok. Adesso secondo te è più facile far capire all' utente medio, attivista mica sysadmin, la frasetta "Don't open documents downloaded through Tor while online" oppure fargli una capa tanta con mille congetture tutte da verificare?

    Scarica, disconnetti, vedi il video, chiudi il video, riconnetti. Fattibile anche per i comuni mortali.
    non+autenticato
  • - Scritto da: ben10
    >> Don't torrent over Tor

    > E perchè mai?

    Per non intasasre la rete brutto STRNZ.

    https://blog.torproject.org/blog/why-tor-is-slow
    non+autenticato
  • Ma usare blog.torproject.org come fonte di informazioni è come chiedere all'oste se il vino è buono. Il programma Tor non l'hanno nemmeno fatto quelli ma ereditato dal governo americano e pretendono di dirti come usarlo.
    Ma davvero non ci arrivi e hai bisogno che qualcuno ti dica come usare la rete, cosa puoi fare e cosa non puoi fare? Non ho bisogno di essere maleducato come te per dirti che se un allocco.
    Attiva il cervello e pensa con la tua testa. Usa un po' di logica. Per il Tor Project... andrebbe bene se scarichi (es: da wikileaks) via HTTP un file da 48 GB.... ma se scarichi lo stesso file con bittorrent non va più bene. Rifletti sulla differenza tra un protocollo centralizzato e uno decentralizzato, il massimo throughput di download in quale protocollo sarebbe maggiore? E poi la logica che manca totalmente "un file da 100GB via HTTP sarebbe ok, ma altrimenti su torrent è un no". C'è qualcosa che non torna. Rileggi il mio post di prima e fatti qualche domanda. Io non mi fido. Poi gli altri possono fare quello che vogliono, ma che mi dicano a me cosa o come usare Tor (ma fosse anche Libreoffice, firefox, deluge, ecc) proprio lo trovo assurdo. Sono dei ficcanaso questi che proteggono l'anonimato sostengono la diversificazione del traffico nella rete Tor.... ma poi si scopre che sono dei moralizzatori che pretendono di dirti cosa fare. La cosa più assurda è che i nodi di cui parlano non sono loro! Se tu vuoi aprire un nodo Tor e hai piacere che venga usato per il traffico torrent? chi sono loro per dirti a te cosa farne del tuo nodo?? Se tu vuoi aprire un nodo e non vuoi che venga usato per il traffico SSH/FTP/HTTP/XMPP/IRC? come pretendi di imporre al tua idea agli altri perchè non ti piace quel protocollo?? -- non è così che funziona la rete (Tor e ovviamente nemmeno le altre reti). Questi del torproject si sono montati la testa. Se vogliono fare una rete loro e gestirla come gli piace a loro e con le loro regole che vogliono si mettano assieme su un loro vpn privata. Altrimenti GTFO. --- In conclusione "la MPAA ringrazia anticipatamente per ogni sforzo contro il P2P".
    non+autenticato
  • Non far finta di non capire, la GGGente non scarica 48 GB di file da wikileaks, la GGGente scarica videogames, film, telefilm, mp3, pornazzi (soprattutto) ecc... ecc... tutte cose inutili dal punto di vista per il quale è stato messo in piedi il servizio, ossia quello di dare un minimo di anonimato a chi non ha diritto di parola o al perseguitato.

    Adesso immagina un famigerato client torrent winaro "torificato" di default in stile tor browser bundle, dovessero farlo la rete tor collasserebbe in cinque minuti, con il risultato che la prenderesti in qlo pure tu. L' importante è NON massificare, pochi ma buoni.

    Quelli lì (la massa winara) sono tanti e scarriconi, noi siamo pochi, semmai dovessimo torificare i client torrent l' impatto sarebbe comunque minimo.

    Viviamo nel mondo del predica bene e razzola male, fai lo stesso anche tu, di a tutti di non usare bittorrent sulla rete tor e goditi la banda che ti avanza, tanto quei **gl**n* non sono comunque capaci di farlo, ragion per cui è bene che rimangano al loro posto.
    non+autenticato
  • forse questo
    < Posate, pentole e elettrodomestici - WMF
    www.wmf.com/it/ >Sorride

    Il crapware incriminato e' il WMV... o meglio l'ASF contenente WMV (video) o WMA( audio) e il DRM.... robaccia nota alle cronache xche spacciata un tempo da certi vendor (falliti, immagino) e sul sito rai (senza drm che io sappia..)

    Cmq ha detto bene il tizio 'lorenzo' sopra.... ( " quanto al mediaplayer sarebbe opportuno disattivare il reperimento automatico dei codec e delle chiavi drm come anche l'identificatore unico che crea ")
    Gia' dai tempi di XP era obbligatorio disabilitare tutte queste scemenze (better safe than sorry)
    non+autenticato
  • Un attivista usa TOR per guardare i video utilizzando mediaplayer?
    non+autenticato
  • - Scritto da: scumm78
    > Un attivista usa TOR per guardare i video
    > utilizzando
    > mediaplayer?

    Un attivista che usa TOR non e' libero neanche di guardarsi i porno adesso?
  • > Un attivista che usa TOR non e' libero neanche di
    > guardarsi i porno
    > adesso?

    Non con il media player. Ovvove!
    non+autenticato
  • - Scritto da: xx tt
    > > Un attivista che usa TOR non e' libero neanche
    > di
    > > guardarsi i porno
    > > adesso?
    >
    > Non con il media player. Ovvove!
    Ma perché perdi tempo a rispondergli ...
    non+autenticato
  • - Scritto da: panda rossa
    > Un attivista che usa TOR non e' libero neanche di
    > guardarsi i porno
    > adesso?
    ma vatti a guardare Sanremo, vai
    non+autenticato
  • - Scritto da: scumm78
    > Un attivista usa TOR per guardare i video
    > utilizzando
    > mediaplayer?
    non sottovalutare windoze.. o meglio "gli oggetti di windows" (activex, OLE, macro VBA, MSO ecc).. sono + insidiosi di una serpe.
    non+autenticato
  • - Scritto da: bubba

    > sono + insidiosi di una
    > serpe.
    Nahhh la serpe ha una sua utilità (mangia i ratti e altri animaletti fastidiosi)...
    Gli activex invece sono "utili" solo a certa gente... perlopiù "maleintenzionata".
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)