Duyệt liệu Tor Browser (Tor Browser Bundle) do một nhóm "Chuyên Gia Đối Kháng Mạng" viết ra tặng không cho những ai muốn du hành mạng an toàn, gần đây đang bị FBI và các cơ quan an ninh chính phủ đột kích thả "hoại tín" để truy tìm IP.
Việc này đã được các chuyên gia đối kháng mạng phát hiện, truy nguyên và tìm ra phương pháp ngăn chặn!
Như Nhân Chủ đã phân tích, trong cuộc chiến thông tin tự do và quyền riêng tư với nền truyền thông cao cấp hiện nay, vấn đề là khoa học kỹ thuật rộng mở. Quyền lực nhà nước và lòng tham tư bản đã làm cho kỹ thuật cao cấp hữu ích này thành tác hại mà thôi. Và như vậy việc tự trách nhiệm trau dồi kiến thức và kỹ thuật thông tin để tự vệ đối kháng và cân bằng đối lực trong khi chưa tước được sự độc quyền thao túng lạm dụng của Nhà nước và các tập đoàn!
Khi không còn độc quyền thì những trộm cắp gian manh sẽ bị bảo hòa vô tác dụng!
Hãy lấy thí dụ "kiến thức" làm điển hình! Ngày xưa, khi thông tin chưa "tự do" mở rộng, còn độc quyền nằm trong thư viện thư khố và trong túi sổ tay của các nhà "khoa bảng", quần chúng ít khả năng chất vấn với những "bốc phét" của các "chuyên gia"! Ngày nay, chỉ cần chút chịu khó mò mẫm trên bàn phím máy điện toán, một người tring bình đã có đủ căn bản để chất vấn chặn đứng những trò bịp của các "ông bà" khoa bảng, khiến họ phải cẩn trọng hơn!
Hay trên lãnh vực tài chính, khi các đồng tiền như GoldRhine, Bitcoin được tạo ra để tản quyền và cắt giảm sự độc quyền của nhà nước, đã khiến bọn tài chính và nhà nước bớt thao túng gian lận và e dè hơn.
Hay "nhỏ hơn", hãy nhìn quyền lực chính trị ở Thụy Sĩ, khi quyền chính trị được tản ra mở rộng, dù ở mức tương đối chưa được toàn diện, cũng đã bảo hòa tính lạm dụng và ngăn chặn lạm dụng quyền lực ở mức hữu hiệu mà quần chúng chủ động. Nhà nước chính phủ ít quyền hơn, ít lạm dụng hơn, và người dân tự trách nhiệm những luật lệ do chính họ đồng thuận ban ra!
Nhắc lại sự kiện nho nhỏ tại Đức và Hà Lan, khi người ta bỏ các bảng hiệu giao thông do "nhà nước" hay đúng ra la do môt số cá nhân nhân danh tập thể đặt ra, để tụ trách nhiệm khi giao thông. Kết quả tai nạn giảm và trong suốt thời gian qua chưa thấy xảy ra! Vì người lưu thông không ỉ lại mặc nhiên gán cho những bảng hiệu vô tri cái quyền năng điều khiển ra lệnh cho họ mà thật ra nó không có, khiến tai nạn cứ xảy ra! Khi được tháo gỡ, người lưu thông tự lưu tâm trách nhiệm an toàn cho mình, và cẩn thận hơn, biết nhường nhịn tôn trọng người khác cho an toàn của mình hơn! Giải pháp là ở chính nhận thức mỗi cá nhân với nhau! Không còn giao khoán cho vật vô tri giác và một đám nhỏ quyết định nữa!
nkptc
Feds Are Suspects in New Malware That Attacks Tor Anonymity
- 08.05.13
- 3:57 AM
The malware showed up Sunday morning on multiple websites hosted by the anonymous hosting company Freedom Hosting. That would normally be considered a blatantly criminal “drive-by” hack attack, but nobody’s calling in the FBI this time. The FBI is the prime suspect.
“It just sends identifying information to some IP in Reston, Virginia,” says reverse-engineer Vlad Tsyrklevich. “It’s pretty clear that it’s FBI or it’s some other law enforcement agency that’s U.S.-based.”
If Tsrklevich and other researchers are right, the code is likely the first sample captured in the wild of the FBI’s “computer and internet protocol address verifier,” or CIPAV, the law enforcement spyware first reported by WIRED in 2007.
Court documents and FBI files released under the FOIA have described the CIPAV as software the FBI can deliver through a browser exploit to gather information from the target’s machine and send it to an FBI server in Virginia. The FBI has been using the CIPAV since 2002 against hackers, online sexual predators, extortionists, and others, primarily to identify suspects who are disguising their location using proxy servers or anonymity services, like Tor.
The code has been used sparingly in the past, which kept it from leaking out and being analyzed or added to anti-virus databases.
The broad Freedom Hosting deployment of the malware coincides with the arrest of Eric Eoin Marques in Ireland on Thursday on an U.S. extradition request. The Irish Independent reports that Marques is wanted for distributing child pornography in a federal case filed in Maryland, and quotes an FBI special agent describing Marques as “the largest facilitator of child porn on the planet.”
Freedom Hosting has long been notorious for allowing child porn to live on its servers. In 2011, the hactivist collective Anonymous singled out Freedom Hosting for denial-of-service attacks after allegedly finding the firm hosted 95 percent of the child porn hidden services on the Tor network.
Freedom Hosting is a provider of turnkey “Tor hidden service” sites — special sites, with addresses ending in .onion — that hide their geographic location behind layers of routing, and can be reached only over the Tor anonymity network.
Tor hidden services are ideal for websites that need to evade surveillance or protect users’ privacy to an extraordinary degree – which can include human rights groups and journalists. But it also naturally appeals to serious criminal elements.
Shortly after Marques’ arrest last week, all of the hidden service sites hosted by Freedom Hosting began displaying a “Down for Maintenance” message. That included websites that had nothing to do with child pornography, such as the secure email provider TorMail.
Some visitors looking at the source code of the maintenance page realized that it included a hidden
iframe
tag that loaded a mysterious clump of Javascript code from a Verizon Business internet address located in Virginia.By midday Sunday, the code was being circulated and dissected all over the net. Mozilla confirmed the code exploits a critical memory management vulnerability in Firefox that was publicly reported on June 25, and is fixed in the latest version of the browser.
Though many older revisions of Firefox are vulnerable to that bug, the malware only targets Firefox 17 ESR, the version of Firefox that forms the basis of the Tor Browser Bundle – the easiest, most user-friendly package for using the Tor anonymity network.
“The malware payload could be trying to exploit potential bugs in Firefox 17 ESR, on which our Tor Browser is based,” the non-profit Tor Project wrote in a blog post Sunday. “We’re investigating these bugs and will fix them if we can.”
The inevitable conclusion is that the malware is designed specifically to attack the Tor browser. The strongest clue that the culprit is the FBI, beyond the circumstantial timing of Marques’ arrest, is that the malware does nothing but identify the target.
The heart of the malicious Javascript is a tiny Windows executable hidden in a variable named “Magneto.” A traditional virus would use that executable to download and install a full-featured backdoor, so the hacker could come in later and steal passwords, enlist the computer in a DDoS botnet, and generally do all the other nasty things that happen to a hacked Windows box.
But the Magneto code doesn’t download anything. It looks up the victim’s MAC address — a unique hardware identifier for the computer’s network or Wi-Fi card — and the victim’s Windows hostname. Then it sends it to the Virginia server, outside of Tor, to expose the user’s real IP address, and coded as a standard HTTP web request.
“The attackers spent a reasonable amount of time writing a reliable exploit, and a fairly customized payload, and it doesn’t allow them to download a backdoor or conduct any secondary activity,” says Tsyrklevich, who reverse-engineered the Magneto code.
The malware also sends, at the same time, a serial number that likely ties the target to his or her visit to the hacked Freedom Hosting-hosted website.
In short, Magneto reads like the x86 machine code embodiment of a carefully crafted court order authorizing an agency to blindly trespass into the personal computers of a large number of people, but for the limited purpose of identifying them.
But plenty of questions remain. For one, now that there’s a sample of the code, will anti-virus companies start detecting it?
Update 8.5.13 12:50: According to Domaintools, the malware’s command-and-control IP address in Virginia is allocated to Science Applications International Corporation. Based in McLean, Virginia, SAIC is a major technology contractor for defense and intelligence agencies, including the FBI. I have a call in to the firm.
13:50 Tor Browser Bundle users who installed or manually updated after June 26 are safe from the exploit, according to the Tor Project’s new security advisory on the hack.
14:30: SAIC has no comment.
15:10: There are incorrect press reports circulating that the command-and-control IP address belongs to the NSA. Those reports are based on a misreading of domain name resolution records. The NSA’s public website, NSA.gov, is served by the same upstream Verizon network as the Tor malware command-and-control server, but that network handles tons of government agencies and contractors in the Washington DC area.
8.6.13 17:10: SAIC’s link to the IP addresses may be an error in Domaintools’ records. The official IP allocation records maintained by the American Registry for Internet Numbers show the two Magneto-related addresses are not part of SAIC’s publicly-listed allocation. They’re part of a ghost block of eight IP addresses that have no organization listed. Those addresses trace no further than the Verizon Business data center in Ashburn, Virginia, 20 miles northwest of the Capital Beltway. (Hat tip: Michael Tigas)
No comments:
Post a Comment