![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Как атакует АНБ
Oct. 13th, 2013 07:30 pmУ Шнайера появились некоторые подробности о том, как технически организовано у АНБ проникновение на чужие компьютеры.
Благодаря сговору с ведущими операторами связи, АНБ размещает на бэкбоне секретные сервера под кодовым названием QUANTUM, которые способны выдавать себя за легитимные сайты, например поисковик Google. Благодаря своему выгодному расположению на быстрых каналах, сервера QUANTUM имеют хороший шанс успеть ответить на запрос раньше, чем это сделает настоящий сервер, осуществив нечто вроде "man-in-the-middle" атаки, хотя скорее это атака "man-on-the-side". Когда соединение таким образом перехвачено, сервер QUANTUM направляет его на другие секретные сервера, которые называются FOXACID. Это обычные сервера под 2003 виндой (!) и специальным ПО. Если зайти на такой сервер по http, там даже может быть какой-нибудь безобидный сайт. Но если при обращении к FOXACID серверу указать определенный хитрый URL, полученный, разумеется, при редиректе от сервера QUANTUM (для стороннего взгляда такой URL выглядит безобидно, например ссылка на какой-нибудь /attribs/bins/1/define/forms9952_z1zzz.html), то специальное ПО активизируется и пытается сломать браузер, установить троянов и т.п., причем адаптивно в зависимости от проводимой операции, ценности атакуемой цели, наличия у нее средств защиты и т.п.
Против пользователей Tor, насколько я понял, QUANTUM бессилен, как минимум идентифицировать конкретного пользователя Tor они не в состоянии. Поэтому используется другая технология. Насколько я понял, пользователей Tor вычисляют по характерному для Tor трафику, а потом пытаются затроянить Firefox всем подряд, рассчитывая на известные уязвимости в Tor browser bundle.
Благодаря сговору с ведущими операторами связи, АНБ размещает на бэкбоне секретные сервера под кодовым названием QUANTUM, которые способны выдавать себя за легитимные сайты, например поисковик Google. Благодаря своему выгодному расположению на быстрых каналах, сервера QUANTUM имеют хороший шанс успеть ответить на запрос раньше, чем это сделает настоящий сервер, осуществив нечто вроде "man-in-the-middle" атаки, хотя скорее это атака "man-on-the-side". Когда соединение таким образом перехвачено, сервер QUANTUM направляет его на другие секретные сервера, которые называются FOXACID. Это обычные сервера под 2003 виндой (!) и специальным ПО. Если зайти на такой сервер по http, там даже может быть какой-нибудь безобидный сайт. Но если при обращении к FOXACID серверу указать определенный хитрый URL, полученный, разумеется, при редиректе от сервера QUANTUM (для стороннего взгляда такой URL выглядит безобидно, например ссылка на какой-нибудь /attribs/bins/1/define/forms9952_z1zzz.html), то специальное ПО активизируется и пытается сломать браузер, установить троянов и т.п., причем адаптивно в зависимости от проводимой операции, ценности атакуемой цели, наличия у нее средств защиты и т.п.
Против пользователей Tor, насколько я понял, QUANTUM бессилен, как минимум идентифицировать конкретного пользователя Tor они не в состоянии. Поэтому используется другая технология. Насколько я понял, пользователей Tor вычисляют по характерному для Tor трафику, а потом пытаются затроянить Firefox всем подряд, рассчитывая на известные уязвимости в Tor browser bundle.