ФБР использовало Metasploit против пользователей Tor

Более 10 лет мощный фреймворк Metasploit исправно служил пентестерам и помогал искать уязвимости и запускать эксплоиты из богатого набора. Как выяснилось, среди пользователей Metasploit было и ФБР. С помощью flash-приложения из параллельного Metasploit-проекта под названием Decloaking Engine им удалось успешно деанонимизировать многих пользователей сети Tor.

Так называемая операция «Торпеда» (Operation Torpedo) имела место в 2012 году и проводилась против пользователей сайтов с детским порно в скрытой сети. В рамках одного из судебных процессов, который продолжается до сих пор, всплыли подробности хакерского софта, применявшегося ФБР. Адвокаты пострадавшего считают, что добытые таким способом улики не соответствуют судебным стандартам и должны быть аннулированы.

Автор Metasploit, известный хакер HD Moore, запустил проект Decloaking Engine в 2006 году как proof-of-concept. Несколько эксплоитов служили для деанонимизации пользователей, допустивших ошибки в настройке системы.

Среди используемых «трюков» была flash-программа из 35 строчек. Она использовала тот факт, что плагин Flash устанавливал прямое соединение в обход Tor и выдавая IP-адрес пользователя. Проблема известна с 2006 года и администрация Tor предупреждает пользователей, чтобы они не устанавливали Flash.

К тому же, уязвимость сводится к нулю для тех, кто устанавливает «защищённый от дурака» клиент Tor Browser Bundle. К 2011 году HD Moore признал, что дальнейшая разработка Decloaking Engine не имеет смысла, потому что все посетители сайта проходили тест на анонимность. Тем не менее, ФБР считало иначе.

Получив контроль над тремя сайтами с детским порно, ФБР установило эту flash-программу и сумело выяснить IP-адреса некоторых посетителей. В частности, было идентифицировано 25 пользователей из США и неназванное количество из-за границы. Судя по всему, это первый случай, когда ФБР использует подобные программы против всех посетителей сайта, а не против конкретного подозреваемого.

Есть свидетельства, что после 2012 года тактика ФБР по деанонимизации пользователей Tor была значительно усовершенствована. Вместо упомянутой flash-программы применялись более качественные эксплоиты, в том числе использующие свежие уязвимости в браузере Firefox.