web-dev-qa-db-fra.com

Meilleures pratiques pour l'utilisation de Tor, à la lumière des diapositives NSA slides

Il a été conn dans la communauté de la sécurité qu'un outil aussi polyvalent que Tor est probablement la cible d'un intérêt intense de la part des agences de renseignement. Alors que le FBI a reconnu sa responsabilité dans une attaque de malware Tor, l'implication des organisations SIGINT n'a pas été confirmée.

Tout doute a été levé début octobre 2013 avec The Guardian's sortie de " Tor Stinks ," an NSA presentation (millésime juin) 2012) décrivant les stratégies actuelles et proposées pour l'exploitation du réseau.

Quelques points saillants:

  • Fondamentalement, Tor est sécurisé
  • ... cependant, l'anonymisation est possible dans certaines circonstances
  • Les "utilisateurs muets" seront toujours vulnérables (désignés en interne par "EPICFAIL")
  • NSA/GCHQ exploitent des nœuds Tor
  • L'analyse du trafic, sous diverses formes, semble être l'outil de choix

Après avoir examiné la documentation, quels changements les utilisateurs de Tor devraient-ils mettre en œuvre pour assurer - dans la mesure du possible techniquement - leur sécurité continue?

79
nitrl

En tant qu'utilisateur de très longue date de Tor, la partie la plus surprenante des NSA documents pour moi était le peu de progrès qu'ils ont fait contre Tor Malgré ses faiblesses connues, c'est toujours la meilleure chose que nous ayons, à condition qu'il soit utilisé correctement et que vous ne fassiez aucune erreur.

Puisque vous voulez une sécurité "du plus haut degré techniquement possible", je vais supposer que votre menace est un gouvernement bien financé avec une visibilité ou un contrôle significatif d'Internet, comme c'est le cas pour de nombreux utilisateurs de Tor (malgré les avertissements qui = Tor seul ne suffit pas pour vous protéger d'un tel acteur ).

Demandez-vous si vous avez vraiment besoin de ce niveau de protection. Si la découverte de votre activité ne met pas votre vie ou votre liberté en danger, vous n'avez probablement pas besoin de vous attaquer à tous ces problèmes. Mais si c'est le cas, alors vous devez absolument être vigilant si vous souhaitez rester en vie et libre.

Je ne répéterai pas les propres avertissements du projet Tor ici, mais je noterai qu'ils ne sont qu'un début et ne sont pas suffisants pour vous protéger contre de telles menaces. En ce qui concerne les menaces avancées persistantes telles que les acteurs étatiques, vous n'êtes presque certainement pas pas assez paranoïaque .


Ton ordinateur

À ce jour, les principales attaques de la NSA et du FBI contre Tor ont été les attaques MITM (NSA) et les compromis de serveur Web de service caché et la livraison de logiciels malveillants (FBI) qui ont envoyé des données de suivi depuis l'ordinateur de l'utilisateur de Tor, les ont compromises, ou les deux. Ainsi, vous avez besoin d'un système raisonnablement sécurisé à partir duquel vous pouvez utiliser Tor et réduire votre risque d'être suivi ou compromis.

  1. N'utilisez pas Windows. Mais ne le fais pas. Cela signifie également que vous n'utilisez pas le Tor Browser Bundle sous Windows. Les vulnérabilités du logiciel dans TBB occupent une place importante dans les diapositives NSA et la récente suppression par le FBI de Freedom Hosting. Il a également été démontré que les nœuds de sortie Tor malveillants corrigent en binaire les packages Windows non signés pour diffuser des malwares. Quel que soit le système d'exploitation que vous utilisez, installez uniquement les packages signés obtenus via une connexion sécurisée.

  2. Si vous ne pouvez pas construire votre propre poste de travail capable d'exécuter Linux et soigneusement configuré pour exécuter les dernières versions disponibles de Tor, un proxy tel que Privoxy et le navigateur Tor, avec tous les accès clearnet sortants protégés par un pare-feu , pensez à utiliser Tails ou Whonix à la place, où la plupart de ce travail est fait pour vous. Il est absolument essentiel que l'accès sortant soit protégé par un pare-feu afin que les applications tierces ou les logiciels malveillants ne puissent pas divulguer accidentellement ou intentionnellement des données sur votre emplacement. Si vous devez utiliser autre chose que Tails ou Whonix, alors seulement utilisez le navigateur Tor (et seulement aussi longtemps que nécessaire pour télécharger l'un des éléments ci-dessus) ). D'autres navigateurs peuvent divulguer votre adresse IP réelle même lorsque vous utilisez Tor, grâce à diverses méthodes que le navigateur Tor désactive.

  3. Si vous utilisez un stockage persistant de quelque nature que ce soit, assurez-vous qu'il est chiffré. Les versions actuelles de LUKS sont raisonnablement sûres et les principales distributions Linux vous proposeront de le configurer lors de leur installation. TrueCrypt n'est pas actuellement connu pour être sûr. BitLocker pourrait être sûr, bien que vous ne devriez toujours pas exécuter Windows. Même si vous êtes dans un pays où tuyau en caoutchouc est légal, comme au Royaume-Uni, le cryptage de vos données vous protège contre une variété d'autres menaces.

  4. N'oubliez pas que votre ordinateur doit être tenu à jour. Que vous utilisiez Tails ou que vous construisiez votre propre poste de travail à partir de zéro ou avec Whonix, mettez à jour fréquemment pour vous assurer que vous êtes protégé contre les dernières vulnérabilités de sécurité. Idéalement, vous devez mettre à jour chaque fois que vous commencez une session, ou au moins quotidiennement. Tails vous avertira au démarrage si une mise à jour est disponible.

  5. Soyez très réticent à faire des compromis sur JavaScript, Flash et Java. Désactivez-les tous par défaut. Le FBI a utilisé des outils qui exploitent les trois afin d'identifier les utilisateurs de Tor. Si un site nécessite l'un de ces éléments, visitez un autre site. N'activez les scripts qu'en dernier recours, uniquement temporairement et uniquement dans la mesure minimale nécessaire pour obtenir les fonctionnalités d'un site Web pour lesquelles vous n'avez pas d'autre alternative.

  6. Supprimez vicieusement les cookies et les données locales que les sites vous envoient. Ni TBB ni Tails ne le font assez bien à mon goût; pensez à utiliser un addon tel que Cookies auto-destructeurs pour garder vos cookies au minimum. De zéro.

  7. Votre poste de travail doit être un ordinateur portable; il doit être suffisamment portable pour être emporté avec vous et rapidement éliminé ou détruit.

  8. N'utilisez pas Google pour rechercher sur Internet. Une alternative bien est page d'accueil ; c'est le moteur de recherche par défaut pour TBB, Tails et Whonix. Une autre bonne option est DuckDuckGo .


Votre environnement

Tor contient faiblesses qui ne peut être atténué que par des actions dans le monde physique. Un attaquant qui peut afficher à la fois votre connexion Internet locale et la connexion au site que vous visitez peut utiliser une analyse statistique pour les corréler.

  1. N'utilisez jamais Tor de chez vous ou près de chez vous. Ne travaillez jamais sur quelque chose d'assez sensible pour nécessiter Tor de chez vous, même si vous restez hors ligne. Les ordinateurs ont une drôle d'habitude de vouloir être connectés ... Cela vaut également pour n'importe où vous séjournez temporairement, comme un hôtel. Ne jamais effectuer ces activités à la maison permet de s'assurer qu'elles ne peuvent pas être liées à ces emplacements. (Notez que cela s'applique aux personnes confrontées à des menaces persistantes avancées. Exécuter Tor à partir de la maison est raisonnable et utile pour les autres, en particulier les personnes qui ne font rien elles-mêmes mais souhaitent aider en exécutant un nœud de sortie , relais ou pont .)

  2. Limitez le temps que vous passez à utiliser Tor à n'importe quel endroit. Bien que ces attaques de corrélation prennent un certain temps, elles peuvent en théorie être achevées en aussi peu qu'une journée. (Et si vous êtes déjà sous surveillance, cela peut être fait instantanément; cela est fait pour confirmer ou réfuter qu'une personne soupçonnée est la bonne personne.) Bien que les bottines soient peu susceptibles de se présenter le même jour que vous tirez Tor sur Starbucks, ils pourraient apparaître le lendemain. Je recommande aux personnes vraiment concernées de ne jamais utiliser Tor plus de 24 heures sur un seul site physique; après cela, considérez-le brûlé et allez ailleurs. Cela vous aidera même si les bottines apparaissent six mois plus tard; il est beaucoup plus facile de se souvenir d'un client régulier que de quelqu'un qui s'est présenté un jour et n'est jamais revenu. Cela signifie que vous devrez voyager plus loin, surtout si vous ne vivez pas dans une grande ville, mais cela contribuera à préserver votre capacité à voyagez librement.

  3. Évitez d'être suivi électroniquement. Payez en espèces le carburant pour votre voiture ou pour les transports en commun. Par exemple, dans le métro de Londres, utilisez une Travelcard distincte achetée en espèces au lieu de votre carte Oyster ou de votre paiement sans contact. Payez en espèces pour tout le reste aussi; évitez d'utiliser vos cartes de crédit et de débit normales, même aux distributeurs automatiques de billets. Si vous avez besoin d'argent pour sortir, utilisez un guichet automatique proche de chez vous que vous utilisez déjà fréquemment. Si vous conduisez, essayez d'éviter lecteurs de plaques d'immatriculation en évitant les ponts, tunnels, autoroutes, routes à péage et artères principales et en empruntant les routes secondaires. Si les informations sont accessibles au public, découvrez où ces lecteurs sont installés dans votre région.

  4. Lorsque vous sortez pour effectuer ces activités, laissez votre téléphone portable allumé et à la maison. Si vous devez passer et recevoir des appels téléphoniques, achetez un téléphone prépayé anonyme à cet effet. C'est difficile dans certains pays, mais cela peut être fait si vous êtes assez créatif. Payer en argent comptant; n'utilisez jamais de carte de débit ou de crédit pour acheter le téléphone ou les recharges. N'insérez jamais sa batterie et ne l'allumez pas si vous êtes à moins de 16 km de votre domicile, et n'utilisez pas de téléphone dont la batterie ne peut pas être retirée. Ne placez jamais une carte SIM précédemment utilisée dans un téléphone dans un autre téléphone, car cela reliera irrévocablement les téléphones. Ne donnez jamais son numéro ni même admettez son existence à quiconque vous connaît par votre véritable identité. Il peut être nécessaire d'inclure les membres de votre famille.


Votre état d'esprit

De nombreux utilisateurs de Tor se font prendre parce qu'ils ont fait une erreur, par exemple en utilisant leur véritable adresse e-mail en association avec leurs activités, ou en permettant à un adversaire hostile d'atteindre un haut niveau de confiance. Vous devez éviter cela autant que possible, et la seule façon de le faire est de faire preuve d'une discipline mentale prudente.

  1. Considérez votre activité Tor comme pseudonyme , et créez dans votre esprit une identité virtuelle pour correspondre à l'activité. Cette personne virtuelle ne vous connaît pas et ne vous rencontrera jamais, et ne vous aimerait même pas si elle vous connaissait. Il doit être strictement séparé mentalement. Pensez à utiliser plusieurs pseudonymes, mais si vous le faites, vous devez être extrêmement vigilant pour vous assurer de ne pas révéler des détails qui pourraient les corréler .

  2. Si vous devez utiliser des services Internet publics, créez des comptes complètement nouveaux pour ce pseudonyme. Ne les mélangez jamais; par exemple, ne parcourez pas Facebook avec votre adresse e-mail réelle après avoir utilisé Twitter avec l'e-mail de votre pseudonyme sur le même ordinateur. Attendez de rentrer.

  3. De même, n'effectuez jamais d'actions liées à votre activité pseudonyme sans utiliser Tor, sauf si vous n'avez pas d'autre choix (par exemple, vous inscrire à un service qui bloque l'inscription via Tor). Prenez des précautions supplémentaires concernant votre identité et votre emplacement si vous devez le faire.


Services cachés

Celles-ci ont été importantes dans l'actualité, avec la suppression de services cachés de haut niveau tels que Silk Road et Freedom Hosting en 2013, et Silk Road 2.0 et des dizaines d'autres services en 2014.

La mauvaise nouvelle est que les services cachés sont beaucoup plus faibles qu'ils ne pourraient ou ne devraient l'être . Le projet Tor n'a pas pu consacrer beaucoup de développement aux services cachés en raison du manque de financement et de l'intérêt des développeurs (si vous êtes en mesure de le faire, envisagez de contribuer de l'une de ces manières).

De plus, il est soupçonné que le FBI utilise des attaques de confirmation du trafic pour localiser les services cachés en masse , et une attaque début 2014 contre le Tor réseau était en fait une opération du FBI .

La bonne nouvelle est que les NSA ne semblent pas avoir beaucoup fait avec eux (bien que les diapositives NSA mentionnent un programme GCHQ nommé ONIONBREATH qui se concentre sur services, rien n’est encore connu à ce sujet).

Étant donné que les services cachés doivent souvent s'exécuter sous le contrôle physique de quelqu'un d'autre, ils sont susceptibles d'être compromis via cette autre partie. Il est donc encore plus important de protéger l'anonymat du service, car une fois qu'il est compromis de cette manière, le jeu est à peu près terminé.

Les conseils donnés ci-dessus sont suffisants si vous visitez simplement un service caché. Si vous devez exécuter un service masqué, effectuez toutes les opérations ci-dessus et, en outre, procédez comme suit. Notez que ces tâches nécessitent un administrateur système expérimenté qui est également expérimenté avec Tor; les exécuter sans l'expérience pertinente sera difficile ou impossible, ou peut entraîner votre arrestation. L'exploitant de la route de la soie originale et de la route de la soie 2.0 étaient des développeurs qui, comme la plupart des développeurs, n'avaient aucune expérience des opérations informatiques.

  1. N'exécutez pas de service masqué sur une machine virtuelle à moins de contrôler également l'hôte physique. Les conceptions dans lesquelles Tor et un service s'exécutent sur des machines virtuelles pare-feu sur un hôte physique pare-feu sont OK, à condition que ce soit l'hôte physique que vous contrôlez et que vous ne louiez pas simplement de l'espace cloud. Il est trivial pour un fournisseur de cloud de prendre une image de la RAM de votre machine virtuelle, qui contient toutes vos clés de chiffrement et de nombreux autres secrets. Cette attaque est beaucoup plus difficile sur une machine physique.

  2. Une autre conception d'un service caché Tor se compose de deux hôtes physiques, loués auprès de deux fournisseurs différents, bien qu'ils puissent se trouver dans le même centre de données. Sur le premier hôte physique, une seule machine virtuelle fonctionne avec Tor. L'hôte et VM sont pare-feu pour empêcher le trafic sortant autre que le trafic Tor et le trafic vers le deuxième hôte physique. Le deuxième hôte physique contiendra alors un VM avec le service caché réel. Encore une fois, ceux-ci seront pare-feu dans les deux sens. La connexion entre eux doit être sécurisée avec un VPN qui n'est pas connu pour être non sécurisé, comme OpenVPN. Si l'on soupçonne que l'un des deux hôtes peut être compromis, le service peut être déplacé immédiatement (en copiant les images de la machine virtuelle) et les deux serveurs mis hors service.

    Ces deux conceptions peuvent être implémentées assez facilement avec Whonix .

  3. Les hôtes loués à des tiers sont pratiques mais particulièrement vulnérables aux attaques où le fournisseur de services prend une copie des disques durs. Si le serveur est virtuel ou qu'il est physique mais utilise un stockage RAID, cela peut être fait sans mettre le serveur hors ligne. Encore une fois, ne louez pas d'espace cloud et surveillez attentivement le matériel de l'hôte physique. Si la matrice RAID apparaît comme dégradée, ou si le serveur est inexplicablement arrêté pendant plus de quelques instants, le serveur doit être considéré comme compromis, car il n'y a aucun moyen de distinguer entre une simple panne matérielle et un compromis de cette nature.

  4. Assurez-vous que votre hébergeur offre un accès 24h/24 et 7j/7 à une console distante (dans le secteur de l'hébergement, cela est souvent appelé [~ # ~] kvm [~ # ~] bien qu'il soit généralement implémenté via [~ # ~] ipmi [~ # ~] ) qui peut également installer le système d'exploitation. Utilisez des mots de passe/phrases de passe temporaires lors de l'installation et modifiez-les tous après avoir installé Tor (voir ci-dessous). Utilisez uniquement un tel outil accessible via une connexion sécurisée (https), comme Dell iDRAC ou HP iLO. Si possible, remplacez le certificat SSL sur l'iDRAC/iLO par celui que vous générez vous-même, car les certificats par défaut et les clés privées sont bien connus.

    La console distante vous permet également d'exécuter un hôte physique entièrement chiffré, ce qui réduit le risque de perte de données par compromis physique; cependant, dans ce cas, la phrase secrète doit être modifiée à chaque redémarrage du système (même cela n'atténue pas toutes les attaques possibles, mais cela vous fait gagner du temps).

    Si le système a été redémarré à votre insu ou sans intention explicite, considérez-le comme compromis et n'essayez pas de le décrypter de cette manière. Silk Road 2.0 n'a apparemment pas chiffré ses disques durs et n'a pas non plus déplacé le service lors de sa fermeture en mai 2014, lorsqu'il a été mis hors ligne par les forces de l'ordre pour être copié.

  5. Votre configuration initiale des hôtes qui exécuteront le service doit être en partie sur clearnet (via un nœud de sortie Tor), mais via ssh et https; cependant, pour réitérer, elles ne doivent pas être effectuées à domicile ou à partir d'un endroit que vous avez déjà visité auparavant. Comme nous l'avons vu, il ne suffit pas d'utiliser simplement un VPN. Cela peut vous poser des problèmes avec l'inscription au service en raison de la protection contre la fraude que ces fournisseurs peuvent utiliser. Cependant, la manière de traiter cela dépasse le cadre de cette réponse.

  6. Une fois que vous avez Tor opérationnel, ne vous connectez plus à aucun des serveurs ou des machines virtuelles via clearnet. Configurez des services cachés qui se connectent via ssh à chaque hôte et à chacune des machines virtuelles, et utilisez-les toujours. Si vous exécutez plusieurs serveurs, ne leur permettez pas de se parler sur le clearnet; faites-les accéder les uns aux autres via des services cachés Tor uniques. Si vous devez vous connecter via clearnet pour résoudre un problème, faites-le à nouveau à partir d'un emplacement que vous ne visiterez plus jamais. À peu près n'importe quelle situation qui nécessiterait que vous vous connectiez via clearnet indique un compromis possible; envisagez de l'abandonner et de déplacer le service à la place.

  7. Les services cachés doivent être déplacés occasionnellement, même si aucun compromis n'est suspecté. Un article de 2013 décrivait une attaque qui peut localiser un service caché en seulement quelques mois pour environ 10 000 $ en frais de calcul dans le cloud, ce qui est bien dans le budget de certaines personnes. Comme indiqué précédemment, une attaque similaire a eu lieu au début de 2014 et pourrait avoir été impliquée dans le compromis de novembre 2014 de dizaines de services cachés. La fréquence à laquelle il est préférable de déplacer physiquement le service caché est une question ouverte; cela peut aller de quelques jours à quelques semaines. Ma meilleure supposition en ce moment est que le point idéal se situera entre 30 et 60 jours. Bien que ce délai soit extrêmement gênant, il est beaucoup moins gênant qu'une cellule de prison. Notez qu'il faudra environ une heure pour que le réseau Tor reconnaisse le nouvel emplacement d'un service caché déplacé.


Conclusion

L'anonymat est difficile . La technologie seule, aussi bonne soit-elle, ne sera jamais suffisante. Cela nécessite un esprit clair et une attention particulière aux détails, ainsi que des actions réelles pour atténuer les faiblesses qui ne peuvent pas être corrigées uniquement par la technologie. Comme cela a été si souvent mentionné, les attaquants peuvent être des imbéciles maladroits qui n'ont de chance que de compter, mais vous n'avez qu'à faire une erreur pour être ruiné.

Les directives que j'ai données ci-dessus visent à rendre plus difficile, plus long et plus cher pour les attaquants de vous localiser ou de localiser votre service, et chaque fois que possible de vous avertir que vous ou votre service pouvez être attaqué.

Nous les appelons "menaces persistantes avancées" car, en partie, elles sont persistantes . Comme l'a déclaré l'avocat américain Preet Bharara en annonçant le raid Silk Road 2.0, "nous ne nous lassons pas". Ils n'abandonneront pas, et vous ne devez pas.


Lectures complémentaires

  • Discuter en secret pendant que nous sommes tous surveillés Généralement de bons conseils de l'un des journalistes qui ont communiqué avec Edward Snowden. La seule partie avec laquelle je ne suis vraiment pas d'accord est la possibilité d'utiliser votre système d'exploitation ou votre smartphone existant pour la communication. Comme nous l'avons déjà vu, cela ne peut pas être fait en toute sécurité, et vous devez préparer un ordinateur avec quelque chose comme Whonix ou Tails.
  • Articles sélectionnés dans l'anonymat Une vaste collection de recherches liées à l'anonymat, dont certaines ont été présentées ici. Passez par là pour comprendre à quel point il est difficile de rester anonyme.
106
Michael Hampton

Je pense qu'il est important ici de ne pas surestimer les capacités des différentes agences à trois lettres en ce qui concerne l'identification des utilisateurs de Tor. La toute première diapositive indique qu'ils "... ne pourront jamais anonymiser tous les utilisateurs de Tor tout le temps". Cela signifie que les principes fondamentaux de Tor sont solides.

La diapositive poursuit ensuite en notant que "... avec une analyse manuelle, nous pouvons anonymiser une très petite fraction des utilisateurs de Tor ..." ( mettre l'accent sur les leurs), suivie d'une liste de méthodes.

Un rapide coup d'œil à la "liste de lessive" telle qu'elle est appelée n'indique rien de nouveau. Aucune vulnérabilité dans le protocole, aucune attaque contre TLS. Toutes les attaques mentionnées sont bien connues. À mon avis, ce sont les principaux:

1) EPICFAIL (alias erreurs commises par l'utilisateur). Il s'agit notamment de choses comme affichage de votre adresse e-mail réelle sur un babillard lors de l'utilisation de Tor (c'est l'une des erreurs citées dans le démontage du site Silk Road). Solution: nécessite une vigilance constante de la part de l'utilisateur!

2) Attaques de synchronisation, analyse du trafic, nœuds de sortie malveillants. Solution: pas grand chose qu'un utilisateur individuel puisse faire. La communauté dans son ensemble peut aider en contribuant au réseau Tor - en utilisant Tor, en exécutant des relais, des sorties et en faisant un don. Plus d'utilisateurs de Tor rendent difficile l'identification des utilisateurs individuels. L'exécution de relais et de sorties "authentiques" signifie que les attaquants ont besoin de plus de nœuds malveillants pour être efficaces.

3) Attaques par canaux résiduels/latéraux. Cela inclut des choses comme des applications malveillantes Java, des cookies qui existent après l'utilisation de Tor et d'autres attaques qui exploitent le comportement standard du navigateur (ou des exploits du navigateur) pour laisser ou détecter des traces de ce qu'un utilisateur a fait lors de l'utilisation Tor. Solution: Désactivez Java et Javascript (et peut-être d'autres plugins de navigateur comme Flash), et n'utilisez jamais votre ordinateur habituel sur Tor. Utilisez quelque chose comme Tails , et/ou effacer toutes les traces du système Tor après chaque utilisation (par exemple DBAN).

Oui, c'est beaucoup d'efforts , et cela implique de renoncer à d'énormes quantités de commodité au profit de la sécurité. Les utilisateurs de Tor d'intérêt se défendent contre des adversaires très bien dotés. Les défenseurs doivent réussir à bloquer chaque attaque. Les attaquants n'ont besoin d'avoir de la chance qu'une seule fois. Les attaquants disposant de ressources suffisantes peuvent se permettre d'essayer différents types d'attaques sur une longue période.

La seule défense est une vigilance constante et coûteuse.

20
scuzzy-delta