Автор |
Сообщение |
SoulEater ®
Модератор Музыки
Реставратор
Стаж: 10 лет 6 мес.
Сообщений: 4854
Ratio: 30.42
Поблагодарили: 29041
100%
|
Специалисты из HackerHouse провели исследование атаки с использованием социальной инженерии через файлы, оснащенные защитой Digital Rights Management (DRM). Суть атаки заключается в получении информации о пользователе через подмену DRM-подписи и использования подставного URL, который будет автоматически открываться при запуске файла через Windows Media Player.
Реализации подобной атаки способствует сам принцип работы DRM-защиты, которая при запуске файла запрашивает на сетевом сервере ключ шифрования для аудио или видеопотока файла. Как следствие, DRM-файл при наличии подключения к сети может создать несанкционированный запрос по указанному ему адресу, чем и пользуются злоумышленники для перенаправления пользователя на подставные ресурсы.
Атаки с использованием DRM были известны еще более десяти лет назад — в 2005 году, а многие специалисты в области информационной безопасности выступали против использования столь своевольной технологии, которая, однако, до сих пор жива.
Если кто-то решит деанонимизировать пользователя сети Tor, ему будет достаточно предоставить жертве (с использованием инструментов социальной инженерии) медиа-файл с измененной DRM-подписью, а точнее с измененным в ней URL авторизации. При запуске файла будет принудительно создан запрос с реального адреса жертвы.
Существует два вида подобной атаки: «дешевый» и «дорогой». При «дешевом» сценарии развития событий, пользователю после запуска опасного DRM-файла Windows Media Player предложит перейти на внешний сайт для авторизации с указанием URL перенаправления:
Появляется подобное оповещение из-за того, что файл был подписан «криво», без использования специализированного ПО по созданию DRM-защиты, то есть бесплатно. Очевидно, если жертва пользуется Tor, то она с большой долей вероятности не будет переходить по странным URL, которые ему предлагает проигрыватель.
Но существует и второй, «дорогой» вариант, когда оповещение появляться не будет. Происходит это в случае, когда DRM-файл подписан ПО Windows Media Encoder или Microsoft Expression Encoder с получением реальной DRM-подписи. Стоимость создания одного такого файла составляет около $10 000.
Подобный ценник работает как «paywall» против подавляющего большинства хакеров, не готовых выложить такую сумму на точечную атаку, которая может и не состояться из-за необходимости использования приемов социальной инженерии (ведь этот файл нужно еще и «скормить» жертве).
Однако, атака подобной стоимости, целью которой является деанонимизация пользователя, может быть проведена структурами, для которых $10 000 — капля в их бюджете. Конечно же, речь идет о спецслужбах, которые давно и активно ведут борьбу против анонимности в сети Интернет. Кроме того, Microsoft активно сотрудничает с рядом спецслужб и правительств и необходимый файл для властных структур может быть создан и бесплатно.
Исследователи из HackerHouse отмечают, что эта атака не направлена против сети Tor или TorBrowser, но позволяет заинтересованным лицам выудить у жертвы ее реальный ip-адрес, то есть деанонимизировать.
Будьте бдительны.Источник: Хабрахабр |
_________________ Не можешь скачать мой релиз? Пиши в ЛС.
|
|
|
ya-inside
Стаж: 12 лет 7 мес.
Сообщений: 361
Ratio: 7.335
100%
|
При запуске файла будет принудительно создан запрос с реального адреса жертвы- как вариант можно запускать медиа-файл предварительно отключив интернет и все |
|
|
|
Ragday
Стаж: 13 лет 8 мес.
Сообщений: 49
Ratio: 5.477
100%
|
Цитата: | при запуске файла через Windows Media Player |
И сколько процентов пользователей используют Windows Media Player? Простите за тавтологию. |
|
|
|
Trimerrr
Стаж: 12 лет 11 мес.
Сообщений: 3480
Ratio: 1.026
Поблагодарили: 22
100%
Откуда: из тайги, воспитан Йетими
|
ya-inside писал(а): | как вариант можно запускать медиа-файл предварительно отключив интернет и все |
Почему не другая ос для серфинга? |
|
|
|
SoulEater ®
Модератор Музыки
Реставратор
Стаж: 10 лет 6 мес.
Сообщений: 4854
Ratio: 30.42
Поблагодарили: 29041
100%
|
RagdayБольше 10% точно, и это только домашние пользователи. Атака направлена на компании, а не на рядовых пользователей, хотя и они могут пострадать. Добавлено спустя 1 минуту 59 секунд: ya-inside писал(а): | предварительно отключив интернет |
Гениальная мысль, а давайте теперь все будем отключать интернет перед просмотром фото или фильмов, и обесточивать дом при прослушивании музыки, мало ли что может случится. vaselisk96 писал(а): | Атака направлена на компании, а не на рядовых пользователей, |
|
_________________ Не можешь скачать мой релиз? Пиши в ЛС.
|
|
|
ya-inside
Стаж: 12 лет 7 мес.
Сообщений: 361
Ratio: 7.335
100%
|
Я смотрю кино на телевизоре с диагональю 1м и на нем нет интернета (не подключен - мне не надо), так что да, кино и музыку смотрю оффлайн, а комп - он для работы и качания контента. А так да - обесточивать дом при прослушивании музыки, конечно можно, если у вас есть свой генератор. |
|
|
|
ZurG-0
Стаж: 13 лет 2 мес.
Сообщений: 309
Ratio: 6.117
3.19%
Откуда: СССР
|
при запуске файла запрашивает на сетевом сервере ключ шифрования ..... интересны адреса серверов , или адреса скачут постоянно? получается и сеть i2p тоже палится. |
|
|
|
avwva
Стаж: 13 лет 8 мес.
Сообщений: 81
Ratio: 12.245
2.21%
|
Я смотрю тут прямо вся тусовка анонимусов и кулхацкеров собралась что опасаются. Спите спокойно. Ваш куратор из ФСБ мне и так уже доложил что без всяких жрм атак знает о Вас всё... ))))) Шифруйте предварительно диск хостовой машинки, ипользуйте по возможности левые общественные вафельки и обязательно линукс десктопы. Шифрованный диск на хотя бы бубунте, букер который используется только для анонимизации и не конектится у вас дома к локалке вашей, на буке виртуалбокс с шифрованной бубунтов и на ней уже тор. И мак адрес левый на адаптере вайфайном. И конектитесь к сетке кафешки из припаркованной машинки. Все. А после того как таким макаром всю антологию Саши Грей "прочитали" то отформатировали диск на букере положили его в ящик и уехали. Тогда Вас реально будет найти сложно. Но тем не менее это не 146% гарантии. А если вы тор используете с домашнего ПК и выходите в сеть ломать сайт пентагона... хи хи то бравые морские котики уже летят к вам на апачах внедрять вам немного демократии... |
|
|
|
ZurG-0
Стаж: 13 лет 2 мес.
Сообщений: 309
Ratio: 6.117
3.19%
Откуда: СССР
|
avwva писал(а): | то используйте не только ТОР, но и виртуальные машинке на железе с которого ни когда в сеть кроме как с тора не выходили. |
этого достаточно , и главное не хранить нечего на этой виртуалке).... а лучше как у меня трафик до Tor идет вначале через VPN))) |
|
|
|
avwva
Стаж: 13 лет 8 мес.
Сообщений: 81
Ratio: 12.245
2.21%
|
ZurG-0 писал(а): | avwva писал(а): | то используйте не только ТОР, но и виртуальные машинке на железе с которого ни когда в сеть кроме как с тора не выходили. |
этого достаточно , и главное не хранить нечего на этой виртуалке).... а лучше как у меня трафик до Tor идет вначале через VPN))) |
Ага только промежуточный сервер к которому автоматом тебя тор кинул может быть в пентагоне и стоит и пишет длинный такой лог. А джава скрипт какой нибудь собирает ИДшники оборудования. Ты уверен что вируалочка все устройства эмулировала и ИДшнички все уже поменены? А если случайно потом без тора выйдешь с хостовой машинки в сеть и тот же сервер сравнит показания логов то тут же засветится реальный ИП и хабл с орбиты будет наводить на тебя летящие томагавки с ядерными боеголовками. В общем.... эээ лучше пароноидально перебдеть ... если ломаешь пинтагон на турбобэйсике )))))))))) Добавлено спустя 2 минуты 51 секунду:и кажется я знаю кто спалился ломая серваки Хилари ... |
|
|
|
ZurG-0
Стаж: 13 лет 2 мес.
Сообщений: 309
Ratio: 6.117
3.19%
Откуда: СССР
|
avwva писал(а): | ZurG-0 писал(а): | avwva писал(а): | то используйте не только ТОР, но и виртуальные машинке на железе с которого ни когда в сеть кроме как с тора не выходили. |
этого достаточно , и главное не хранить нечего на этой виртуалке).... а лучше как у меня трафик до Tor идет вначале через VPN))) |
Ага только промежуточный сервер к которому автоматом тебя тор кинул может быть в пентагоне и стоит и пишет длинный такой лог. А джава скрипт какой нибудь собирает ИДшники оборудования. Ты уверен |
конечно уверен ведь все хосты vpn свои )) единственное что берет сомнения так это маки , походу надо и кучу сетевух для работы использовать) ..... каждая атака новая сетевуха))) |
|
|
|
Mr King
Стаж: 12 лет 7 мес.
Сообщений: 88
Ratio: 105.493
32.79%
Откуда: New York
|
как и откуда появится такое DRM сообщение? |
|
|
|
SoulEater ®
Модератор Музыки
Реставратор
Стаж: 10 лет 6 мес.
Сообщений: 4854
Ratio: 30.42
Поблагодарили: 29041
100%
|
Mr King писал(а): | как и откуда появится такое DRM сообщение? |
Если прочитать статью будет понятно откуда. |
_________________ Не можешь скачать мой релиз? Пиши в ЛС.
|
|
|
Philosoph005
Стаж: 13 лет 3 мес.
Сообщений: 422
Ratio: 355.842
Поблагодарили: 20289
100%
|
avwva Хост - 4G/4G+ (на левое лицо) - Duble VPN - Дедик - Duble VPN - Дедик - Duble VPN - TOR/i2P - Internet - и вас крайне сложно найти.
P.S. не забывайте после использования менять как минимум 4G/4G+ свистки |
|
|
|
FOMKAVAM
Стаж: 8 лет 1 мес.
Сообщений: 327
Ratio: 0.354
100%
|
Круто что тут скажешь, другой вопрос для кого это новость? Рядовой пользователь не будет этим голову забивать и проводить нечто вроде Цитата: | Хост - 4G/4G+ (на левое лицо) - Duble VPN - Дедик - Duble VPN - Дедик - Duble VPN - TOR/i2P - Internet - и вас крайне сложно найти. |
Хацкеры обитают на профильных ресурсах и там черпают информацию, либо паранойят и перестраховываются. Госструктуры, по очевидным причинам, итак знают что да как. |
|
|
|
|
|