une ou plusieurs IP’s qui avant n’existaient pas sur le réseau se mettent à se connecter à des nœuds et elles le font en quantité importante vu le nombre de machines infectés.
Pour reprendre ce que je disais:
Une machine tor fonctionnant depuis 2 ans et qui log les métadonnées, pour détecter les “nouvelles” ip, je décide de supprimer de mes métadonnées toutes les ips connues depuis la possible mise en test du virus, soit disons la date de sortie publique de la faille trouvé par la nsa.
Il me reste donc toutes les ips nouvelles entre la période de publication de la faille et aujourd’hui, il reste ensuite à faire une statistique des ips les plus vu en connexion le semaine d’avant la diffusion du virus, puis de refaire la même chose après la diffusion du virus.
De cette liste va forcément apparaître les ips des serveurs de commandes, et à plus forte raison si les gouvernements ont des dizaines de serveurs tor.
Le
17/05/2017 à
17h
02
Le trafic reste dans tor mais il n’empêche que le nœud de sortie lui se connecte bien à l’hidden service et donc à la machine qui héberge les serveurs de commande.
Simplement le trafic entre le nœud de sortie et le hidden est chiffré via tor, ni plus ni moins.
Le
17/05/2017 à
16h
14
Peut-être que tu as raison mais en tous cas, sur une attaque de cette envergure je ne me baserai sûrement pas sur TOR pour assurer mon anonymat et celui des serveurs de commandes.
Dommage que je n’ai pas le courage de mettre en place un serveur de sortie (Je ne veux pas être ennuyé par les problèmes potentiels que ça pourrait générer) avec conservation des métadonnées pour les passer à la moulinette sur le weekend de terreur afin par exemple, d’éliminer les ip connues du 01/2016 au 12⁄2016 pour ensuite avoir un échantillon d’ip nouvelles et donc possiblement dans ces ips les ips des serveurs de contrôle.
Les méthodes pour remonter à la source sont assez nombreuses pour des attaques de cette taille.
Le
17/05/2017 à
16h
05
aeris22 a écrit :
Sauf que les nœuds Tor sont conçus pour que même une correllation de traffic soit assez difficile à réaliser, sauf à avoir VRAIMENT de très gros moyens à disposition.
Mon nœud générait 1To de données par semaine, et avaient des milliers de connexion Tor ouvertes en permanance. Bon courage pour la corrélation.
Bon courage aussi pour la coordination internationale, la sélection des nœuds utilisés pour un circuit Tor impose le passage par 3 pays différents !
Et sachant qu’il n’y a aucun log sur ces machines, leur saisie était de toute façon totalement inutile !
1TO de données, c’est une quantité de volume, ça n’a pas signification particulière si ce que pour être grossier dans l’explication, un internaute a téléchargé un fichier de 1TO et que ton serveur s’est trouvé être l’un des points du réseau tor pour son téléchargement.
Le
17/05/2017 à
15h
56
Nul ne sait vraiment ce qui est écrit dans une machine tant qu’il n’a pas lui-même conçu le programme. C’est un principe de base en sécurité; Rien n’est fiable et sûre.
Après peut-être que je me trompe mais vu l’ampleur, je doute qu’ils saisissent des serveurs sans raisons.
Et je ne parle même pas du fait que les gouvernements peuvent être eux-même propriétaires d’une multitude de serveurs de sortie avec lesquels ils vont pouvoir faire des recoupements encore plus facilement juste en procédent à l’analyse des ip’s de sorties.
Le
17/05/2017 à
15h
47
@soupêtte :
C'est ce qu'ils vont faire sur un nombre suffisant de serveurs de façon à pouvoir faire les recoupements.
Les métédonnées vont le permettre car elles contiennent :
- IP's qui se connectent (système infectés) au premier serveur de la chaîne TOR
- IP en sortie vers les middle serveurs
Ils vont faire ça pour chaque étapes : entrée - middle - sortie
Ils vont faire ça en chaîne jusqu'à remonter la source des serveurs de commande avec ensuite une analyse par recoupement au niveau des serveurs possiblement identifiés comme serveurs de commandes cette-fois ci au niveau des datacenters qui les hébergent en analysant les flux sur les dits serveurs.
Le
17/05/2017 à
15h
32
Vu le nombre d’infections et donc de connexions a établir, il faudrait un nombre assez important de serveurs pour qu’ils soient difficiles de les remonter par recoupement.
Si on part sur 200 000 infections avec chacune au minimum 20 connexions au(x) serveur(s) de commande alors ça fait plus de 4 000 000 de requêtes de connexions en l’espace de 3 jours… un trafic inhabituel qui se retrace facilement par recoupement des métadonnées.
Le
17/05/2017 à
15h
20
La saisie va permettre se remonter les commanditaires assez simplement… car le virus Wannacrypt téléchargeait le client tor pour pouvoir communiquer avec le serveur de contrôle hébergé en “hidden service”.
Pour remonter la source du serveur de commande, au vu du nombre d’infection, les choses vont aller très vite.
Le principe est le suivant, admettons que certains hébergeurs conservent les métadonnées de connexions ou que ces métadonnées soit obtenues d’une façon ou d’une autre (via par exemple les systèmes de surveillances des télécommunications nationaux) alors ils vont procéder de la sorte par recoupement :
Récupération des connexions massives aux nœuds d’entrées via les métadonnées et récupérations des métadonnées de sorties de ces serveurs
Récupération des serveurs “middle” ayant reçus massivement les connexions des premiers serveurs saisis, toujours via les métadonnées; Analyses de celles-ci pour remonter au nœud de sortie.
Il ne reste plus qu’à mutualiser toutes les informations récupérées des différents pays et par recoupement de trouver le serveur de commande vers lequel un nombre de connexion très important ont été acheminées.
L’utilisation du réseau tor dans ce cas là permet de se cacher un temps mais pas rétroactivement après analyse et donc j’espère pour les commanditaires qu’ils ont pris leurs dispositions au niveau des traces qu’ils auraient pu laisser sur les serveurs de commande. L’histoire nous le dira, mais pensant ne pas être retracé par l’utilisation de tor de leur virus alors ont-ils surement été imprudent dans l’achat/utilisation/configuration de leurs serveurs de commandes.
8 commentaires
WannaCrypt : des nœuds Tor saisis par les autorités françaises
17/05/2017
Le 17/05/2017 à 17h 18
Le principe reste le même:
une ou plusieurs IP’s qui avant n’existaient pas sur le réseau se mettent à se connecter à des nœuds et elles le font en quantité importante vu le nombre de machines infectés.
Pour reprendre ce que je disais:
Une machine tor fonctionnant depuis 2 ans et qui log les métadonnées, pour détecter les “nouvelles” ip, je décide de supprimer de mes métadonnées toutes les ips connues depuis la possible mise en test du virus, soit disons la date de sortie publique de la faille trouvé par la nsa.
Il me reste donc toutes les ips nouvelles entre la période de publication de la faille et aujourd’hui, il reste ensuite à faire une statistique des ips les plus vu en connexion le semaine d’avant la diffusion du virus, puis de refaire la même chose après la diffusion du virus.
De cette liste va forcément apparaître les ips des serveurs de commandes, et à plus forte raison si les gouvernements ont des dizaines de serveurs tor.
Le 17/05/2017 à 17h 02
Le trafic reste dans tor mais il n’empêche que le nœud de sortie lui se connecte bien à l’hidden service et donc à la machine qui héberge les serveurs de commande.
Simplement le trafic entre le nœud de sortie et le hidden est chiffré via tor, ni plus ni moins.
Le 17/05/2017 à 16h 14
Peut-être que tu as raison mais en tous cas, sur une attaque de cette envergure je ne me baserai sûrement pas sur TOR pour assurer mon anonymat et celui des serveurs de commandes.
Dommage que je n’ai pas le courage de mettre en place un serveur de sortie (Je ne veux pas être ennuyé par les problèmes potentiels que ça pourrait générer) avec conservation des métadonnées pour les passer à la moulinette sur le weekend de terreur afin par exemple, d’éliminer les ip connues du 01/2016 au 12⁄2016 pour ensuite avoir un échantillon d’ip nouvelles et donc possiblement dans ces ips les ips des serveurs de contrôle.
Les méthodes pour remonter à la source sont assez nombreuses pour des attaques de cette taille.
Le 17/05/2017 à 16h 05
Le 17/05/2017 à 15h 56
Nul ne sait vraiment ce qui est écrit dans une machine tant qu’il n’a pas lui-même conçu le programme. C’est un principe de base en sécurité; Rien n’est fiable et sûre.
Après peut-être que je me trompe mais vu l’ampleur, je doute qu’ils saisissent des serveurs sans raisons.
Et je ne parle même pas du fait que les gouvernements peuvent être eux-même propriétaires d’une multitude de serveurs de sortie avec lesquels ils vont pouvoir faire des recoupements encore plus facilement juste en procédent à l’analyse des ip’s de sorties.
Le 17/05/2017 à 15h 47
@soupêtte :
Le 17/05/2017 à 15h 32
Vu le nombre d’infections et donc de connexions a établir, il faudrait un nombre assez important de serveurs pour qu’ils soient difficiles de les remonter par recoupement.
Si on part sur 200 000 infections avec chacune au minimum 20 connexions au(x) serveur(s) de commande alors ça fait plus de 4 000 000 de requêtes de connexions en l’espace de 3 jours… un trafic inhabituel qui se retrace facilement par recoupement des métadonnées.
Le 17/05/2017 à 15h 20
La saisie va permettre se remonter les commanditaires assez simplement… car le virus Wannacrypt téléchargeait le client tor pour pouvoir communiquer avec le serveur de contrôle hébergé en “hidden service”.
Pour remonter la source du serveur de commande, au vu du nombre d’infection, les choses vont aller très vite.
Le principe est le suivant, admettons que certains hébergeurs conservent les métadonnées de connexions ou que ces métadonnées soit obtenues d’une façon ou d’une autre (via par exemple les systèmes de surveillances des télécommunications nationaux) alors ils vont procéder de la sorte par recoupement :
L’utilisation du réseau tor dans ce cas là permet de se cacher un temps mais pas rétroactivement après analyse et donc j’espère pour les commanditaires qu’ils ont pris leurs dispositions au niveau des traces qu’ils auraient pu laisser sur les serveurs de commande. L’histoire nous le dira, mais pensant ne pas être retracé par l’utilisation de tor de leur virus alors ont-ils surement été imprudent dans l’achat/utilisation/configuration de leurs serveurs de commandes.
Wait And See.