Hlavní navigace

Jak FBI využívá spyware k chytání zločinců na síti Tor?

 Autor: Shutterstock, podle licence: Rights Managed
Daniel Dočekal 15. 7. 2015

To, že policejní složky využívají spyware pro identifikaci lidí na internetu, není žádnou novinkou. Debata o přiměřenosti takových metod je ale stále aktuální.

Letos na jaře zabavila FBI web s dětským pornem, který podle informací v médiích fungoval na „síti navržené pro podporu anonymní komunikace“, tedy velmi pravděpodobně přes Tor.

Na serveru bylo registrováno 214 898 členů a FBI nechala web – na základě soudního povolení – zhruba dva týdny běžet a nasadila na něj kód, který jí umožnil sbírat data o jeho návštěvnících. Použila přitom i „techniky, které by umožnily počítači poskytnout data při každém přihlášení“.

Což v praxi znamená použití nástrojů totožných s těmi, které si kdekdo kupoval od nedávno hacknutého Hacking Teamu: tedy „štěnic“ nasazených do počítačů uživatelů tohoto webu. Ty FBI umožnily uživatele najít, protože přímým vstupem do jejich zařízení obešla „ochranu“, kterou jim poskytovala anonymizace přes Tor (předpokládejme, že to Tor byl).

Zda byl někdo na základě získaných informací obviněn, zatím jasné není, ale v soudních materiálech je citován jeden případ, kdy získané informace přivedly FBI ke konkrétnímu člověku. NDTV nicméně uvádí, že už byli obvinění minimálně dva lidé, včetně bývalého učitele z New Yorku.

NDTV píše i některé další detaily o tom, jakým způsobem uživatelé server využívali. Například výše zmíněný bývalý pedagog na něm měl strávit přes 194 hodin v období od září 2014 do března 2015. Což zahrnovalo například získání přístupu k 400 fotografiím pětileté dívky zapojené do různorodých sexuálních aktivit. 

Jak uvádí Reuters, k zabavení webu policii přivedly předchozí zásahy, kdy zastavila činnost menších serverů s dětskou pornografií (v roce 2012 s 5 600 a 8 100 členy). V těchto případech (policie při nich mimochodem přímo zmiňovala síť Tor) razie vedly k obvinění 28 lidí, včetně Aarona McGratha, provozovatele webů, který v roce 2014 dostal 20 let vězení.

Další podrobnosti o tomto několik let starém případu se můžete dočíst v článku Former Acting HHS Cybersecurity Chief Guilty Of Child Porn. I tady najdete zmínky o síti Tor, která sloužila k „bezpečnému“ přístupu k webu, a o tom, že policie použila software, který po instalaci do počítače sledovaných odesílal informace umožňující jejich identifikaci.

Operace Torpedo a Aaron McGrath

Hromadné instalování spywaru do počítačů všech lidí, kteří určitou službu navštívili, ale také vyvolalo dotazy, zda FBI nepřekročila meze. V Operation Torpedo: Fed Tactics on Trial in Porn Case je více informací o šetření, zda Operace Torpedo (tak se jmenovala výše popsaná aktivita) nepřekročila pravomoci, kterou jí dávalo povolení k domovní prohlídce.

Případ Aaron McGratha je podle všeho také prvním případem, kdy FBI hromadné instalace „štěnic“ použila. Před využíváním tohoto postupu tehdy varovala i ACLU (American Civil Liberties Union). Upozorňovala, že jakkoliv je jeho nasazení v případě dětské pornografie zřejmě nejsnáze ospravedlnitelné (už jen její prohlížení je totiž zločinem, takže je těžké představit si, že na podobné servery přijde někdo s legitimním důvodem), používání v jiných případech už by tak bezproblémové být nemuselo. 

Pokud by totiž policie podobné techniky používala u služeb, které nejsou tak jasně za hranou zákona, dá se očekávat, že spyware skončí i v počítačích lidí, kteří mají o jejich obsah legitimní zájem – ať už jde například o žurnalisty, výzkumníky či právníky.

Jen odhalení adresy

Na Operaci Torpedo je zajímavé i to, že ve skutečnosti začala v roce 2011 v Nizozemí. Tamní kriminalisté se rozhodli napsat robota, který prohledal Tor se zaměřením na weby s dětským pornem. Což posléze vedlo k domovní prohlídce a snaze najít umístění takovýchto webů. Něco takového je v rámci sítě Tor v podstatě běžnými způsoby nemožné, ale tady byla hlavním bodem nepochopitelná chyba správce serveru Pedoboard – nechal přihlašovací údaje správce bez hesla. Policie díky tomu dokázala zjistit reálné IP adresy, vedoucí do USA a ve finále k zadržení Aarona McGratha.

Ten provozoval ještě dva další servery s totožným obsahem, jeden doma, dva tam, kde pracoval. Po zhruba roce sledování a zkoumání FBI nakonec přišla s Operací Torpedo a třemi povoleními k domovní prohlídce (na tři servery McGratha). Součástí povolení byla i výjimka, že vyrozumění sledovaných o prohlídce může být zpožděno až o 30 dní. A právě tento bod pak vyvolal právní spory, protože FBI zatkla některé lidi identifikované pomocí malwaru až za několik měsíců.

Samotný malware použitý v tomto případě sloužil pouze k získání informací o tom, odkud uživatel přistupuje. Žádné pokročilejší funkce v něm zahrnuty nebyly. Jak ale víme z hacku Hacking Teamu, zahrnuty být mohly – ať už zachycování klávesnice, získání obsahu počítače, zachycování provozu na sítích, atd.

Soud nakonec námitky obhájců obviněných za porušení podmínek příkazů k domovní prohlídce smetl ze stolu. Otázky ale zůstávají, včetně toho, nakolik soudci povolující podobné „elektronické“ domovní prohlídky vlastně rozumějí tomu, co se bude dít.

Malware skrývající se na zabavených serverech

Z hlediska bezpečnosti a počítačů je výše uvedená technika klasickým malwarem a také ji tak identifikuje antivirový či bezpečnostní software – tedy za předpokladu, že o něčem takovém ví, nebo že je využit exploit, který je známý.  Něco takového se ostatně stalo v srpnu 2013, kdy se FBI pokusila spyware opět použít, ale tentokrát se kód vložený do serverů na Tor síti prozradil.

Konkrétní Javascript se snažil využít bezpečnostní chybu v prohlížeči, který se v rámci sítě Tor používá, tedy v zásadě v upravené verzi Firefoxu. Umístěn byl do rámce (IFRAME) a právě tak ho někteří uživatelé objevili. Kvůli tomu, že Tor prohlížeč nemá automatické aktualizace, byl ale útok v řadě případů úspěšný, ačkoliv využíval bezpečnostní chybu starou několik měsíců a mezitím dávno opravenou jak ve Firefoxu, tak v aktuální verzi Toru.

Podrobnosti k tomuto útoku najdete například ve Firefox Zero-day exploited against Tor anonymity a vedl nakonec k některým změnám, které posílily bezpečnost v síti Tor. A také k otázkám, zda za tímto útokem byla skutečně jenom FBI, nebo spíše NSA. 

Našli jste v článku chybu?

15. 7. 2015 21:56

To není úplně o krabičce na Tor, je třeba říci, že když používáte počítač na citlivé aktivity i na osobní aktivity, tak je vždy problém. Je potřeba například virtuální mašina s webovým prohlížečem jenom pro účely hlubokého webu, kterou přes snapshot po každém použití vrátíte do původního stavu.

Další věc je, že se dá k TORu připojovat přes nějakou bránu (třeba pronajaté VPS, které není na vaše jméno), je potřeba šifrovat svůj počítač atd...

Jako fungovat na internetu anonymně lze, ale č…

15. 7. 2015 12:00

Mrkev (neregistrovaný)

Tak to vypadá, že buď FBI nemá co lepšího na práci než zase honit pedofily a nebo se vytváří důvod pro další omezování svobody internetu? :(

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem