anonyme_501d127678b85a749b14fb03e6cb381d
est avec nous depuis le 17 mai 2017 ❤️
Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?
8 commentaires
WannaCrypt : des nœuds Tor saisis par les autorités françaises
Le 17/05/2017Le 17/05/2017 à 17h 18
Le principe reste le même:
une ou plusieurs IP’s qui avant n’existaient pas sur le réseau se mettent à se connecter à des nœuds et elles le font en quantité importante vu le nombre de machines infectés.
Pour reprendre ce que je disais:
Une machine tor fonctionnant depuis 2 ans et qui log les métadonnées, pour détecter les “nouvelles” ip, je décide de supprimer de mes métadonnées toutes les ips connues depuis la possible mise en test du virus, soit disons la date de sortie publique de la faille trouvé par la nsa.
Il me reste donc toutes les ips nouvelles entre la période de publication de la faille et aujourd’hui, il reste ensuite à faire une statistique des ips les plus vu en connexion le semaine d’avant la diffusion du virus, puis de refaire la même chose après la diffusion du virus.
De cette liste va forcément apparaître les ips des serveurs de commandes, et à plus forte raison si les gouvernements ont des dizaines de serveurs tor.
Le 17/05/2017 à 17h 02
Le trafic reste dans tor mais il n’empêche que le nœud de sortie lui se connecte bien à l’hidden service et donc à la machine qui héberge les serveurs de commande.
Simplement le trafic entre le nœud de sortie et le hidden est chiffré via tor, ni plus ni moins.
Le 17/05/2017 à 16h 14
Peut-être que tu as raison mais en tous cas, sur une attaque de cette envergure je ne me baserai sûrement pas sur TOR pour assurer mon anonymat et celui des serveurs de commandes.
Dommage que je n’ai pas le courage de mettre en place un serveur de sortie (Je ne veux pas être ennuyé par les problèmes potentiels que ça pourrait générer) avec conservation des métadonnées pour les passer à la moulinette sur le weekend de terreur afin par exemple, d’éliminer les ip connues du 01/2016 au 12⁄2016 pour ensuite avoir un échantillon d’ip nouvelles et donc possiblement dans ces ips les ips des serveurs de contrôle.
Les méthodes pour remonter à la source sont assez nombreuses pour des attaques de cette taille.
Le 17/05/2017 à 16h 05
Le 17/05/2017 à 15h 56
Nul ne sait vraiment ce qui est écrit dans une machine tant qu’il n’a pas lui-même conçu le programme. C’est un principe de base en sécurité; Rien n’est fiable et sûre.
Après peut-être que je me trompe mais vu l’ampleur, je doute qu’ils saisissent des serveurs sans raisons.
Et je ne parle même pas du fait que les gouvernements peuvent être eux-même propriétaires d’une multitude de serveurs de sortie avec lesquels ils vont pouvoir faire des recoupements encore plus facilement juste en procédent à l’analyse des ip’s de sorties.
Le 17/05/2017 à 15h 47
@soupêtte :
Le 17/05/2017 à 15h 32
Vu le nombre d’infections et donc de connexions a établir, il faudrait un nombre assez important de serveurs pour qu’ils soient difficiles de les remonter par recoupement.
Si on part sur 200 000 infections avec chacune au minimum 20 connexions au(x) serveur(s) de commande alors ça fait plus de 4 000 000 de requêtes de connexions en l’espace de 3 jours… un trafic inhabituel qui se retrace facilement par recoupement des métadonnées.
Le 17/05/2017 à 15h 20
La saisie va permettre se remonter les commanditaires assez simplement… car le virus Wannacrypt téléchargeait le client tor pour pouvoir communiquer avec le serveur de contrôle hébergé en “hidden service”.
Pour remonter la source du serveur de commande, au vu du nombre d’infection, les choses vont aller très vite.
Le principe est le suivant, admettons que certains hébergeurs conservent les métadonnées de connexions ou que ces métadonnées soit obtenues d’une façon ou d’une autre (via par exemple les systèmes de surveillances des télécommunications nationaux) alors ils vont procéder de la sorte par recoupement :
L’utilisation du réseau tor dans ce cas là permet de se cacher un temps mais pas rétroactivement après analyse et donc j’espère pour les commanditaires qu’ils ont pris leurs dispositions au niveau des traces qu’ils auraient pu laisser sur les serveurs de commande. L’histoire nous le dira, mais pensant ne pas être retracé par l’utilisation de tor de leur virus alors ont-ils surement été imprudent dans l’achat/utilisation/configuration de leurs serveurs de commandes.
Wait And See.