|Astoria|
🤙Шизо на связи!
🕔Пока разбираю hertzbleed на практике, напишу ретроспективу на позабытый проект клиента Tor с поддержкой AS.
Собственно Astoria вышел для борьбы с атаками на анонимность от АНБ в основном используя
"Timing Attacks"(пост на канале) для деанонимизации пользователей Tor. Собственно, кто забыл атака трудно реализуемая, но имея доступ входным/выходным ретрансляторам можно её осуществить за короткий срок. Да, на территории России такое трудно осуществимо, однако у АНБ есть в этом преимущество в лице огромного количества Tor-нод, подконтрольными им.
Для большей наглядности, можно посмотреть инструменты/ресурсы, которые публиковал на канале(Tor-IP-Addresses, exitmap, onionite, OrNetRadar). Можно даже самому убедиться, какая геолокация у большого количества цепей Tor - США и Европа(страны, находящиеся под влиянием/в сотрудничестве с США). Ещё можно поискать в сети исследования/статьи на тему количества уязвимых цепей/нод Tor в Иране и Китае, в которых сообщается о очень печальных цифрах(более 90% ).
Если говорить про общие цифры, то можно уверенно заявить, что количество уязвимых цепей Tor к "корреляционным атакам" в общем по миру приближается к 50%(на уровне AS), как практика показывает, уже перевалило давно, но это не означает, что с вероятностью 50% можно с помощью такого вектора атак сдеанонимизировать(теория вероятностей).
Собственно Astoria в 2015 году пришёл, как решение проблемы со слежкой пользователей Tor(понятное дело, что неподкованному анониму и это не поможет).
Помимо очевидного момента с борьбой атак на AS и state уровне, есть ещё не плохое преимущество в виде построения цепочек в небезопасной среде, когда не получается воспользоваться безопасными Tor-ретрансляторами. Также, помимо "Timing Attacks", есть ещё при должном количестве навыков и знаний - возможность защиты от систем, которые в реальном времени могут захватывать(hijack) и перехватывать трафик(эти системы используется при реализации RAPTOR атак, про которые в дальнейшем расскажу на канале).
Упростив все тонкости тулзы - там реализован алгоритм, который упомянул выше, для прогнозирования атак и дальнейшего выбора ретранслятора для уменьшения успеха атакующим провести "Timing attack" до ~6%(чтобы добиться ещё лучшего результата, можно прибегнуть к описанным мною инструментам: sdwate и tirdad).
Объясню вкратце и просто, про вектор атак RAPTOR(до сих пор применяется и при её видоизменении можно добиться очень не плохого результата по сопоставлению цифровой с реальной личностью).
Вот у нас есть динамическая маршрутизация в интернете, а также атакующий на уровне AS и благодаря тому, что можно проэкслуатировать её, то на основе ассиметричной маршрутизации или оттоке маршрутизации можно сдеанонимизировать пользователя Tor. Если чутка добавить конкретики, то стоит отметить, происходит именно не что иное, как корреляция ассиметричного трафика в сети Tor, а также анализ трафика с помощью BGP hijack в Tor. Как контрмеры - приложу последним скрином "таксономию контрмер Raptor".
Подводя итоге, хочется сказать, что исследовательский проект Astoria можно считать очень даже не плохим и подающим надежду на довольно неплохой инструмент противодействия атакам со стороны государственных служб или против злоумышленников, обладающих требуемыми техническими ресурсами и навыками. При сильно желании, можно допилить Astoria, чтобы корректно работал в нынешних реалиях.
Как уже многие заметили, читая Шизо, что защититься от атак в сети Tor становится крайне сложно, ведь когда мне приходилось в исследовательских целях проводить атаки на Tor-пользователей(преступников), то на удивление оказалось намного проще, подробнее будет разобрано на канале, этим летом-осенью.
👇Исследование прикладываю ниже.👇
#tor #anonymity #shizo #NSA #TimingAttack
🤙Шизо на связи!
🕔Пока разбираю hertzbleed на практике, напишу ретроспективу на позабытый проект клиента Tor с поддержкой AS.
Собственно Astoria вышел для борьбы с атаками на анонимность от АНБ в основном используя
"Timing Attacks"(пост на канале) для деанонимизации пользователей Tor. Собственно, кто забыл атака трудно реализуемая, но имея доступ входным/выходным ретрансляторам можно её осуществить за короткий срок. Да, на территории России такое трудно осуществимо, однако у АНБ есть в этом преимущество в лице огромного количества Tor-нод, подконтрольными им.
Для большей наглядности, можно посмотреть инструменты/ресурсы, которые публиковал на канале(Tor-IP-Addresses, exitmap, onionite, OrNetRadar). Можно даже самому убедиться, какая геолокация у большого количества цепей Tor - США и Европа(страны, находящиеся под влиянием/в сотрудничестве с США). Ещё можно поискать в сети исследования/статьи на тему количества уязвимых цепей/нод Tor в Иране и Китае, в которых сообщается о очень печальных цифрах(более 90% ).
Если говорить про общие цифры, то можно уверенно заявить, что количество уязвимых цепей Tor к "корреляционным атакам" в общем по миру приближается к 50%(на уровне AS), как практика показывает, уже перевалило давно, но это не означает, что с вероятностью 50% можно с помощью такого вектора атак сдеанонимизировать(теория вероятностей).
Собственно Astoria в 2015 году пришёл, как решение проблемы со слежкой пользователей Tor(понятное дело, что неподкованному анониму и это не поможет).
Помимо очевидного момента с борьбой атак на AS и state уровне, есть ещё не плохое преимущество в виде построения цепочек в небезопасной среде, когда не получается воспользоваться безопасными Tor-ретрансляторами. Также, помимо "Timing Attacks", есть ещё при должном количестве навыков и знаний - возможность защиты от систем, которые в реальном времени могут захватывать(hijack) и перехватывать трафик(эти системы используется при реализации RAPTOR атак, про которые в дальнейшем расскажу на канале).
Упростив все тонкости тулзы - там реализован алгоритм, который упомянул выше, для прогнозирования атак и дальнейшего выбора ретранслятора для уменьшения успеха атакующим провести "Timing attack" до ~6%(чтобы добиться ещё лучшего результата, можно прибегнуть к описанным мною инструментам: sdwate и tirdad).
Объясню вкратце и просто, про вектор атак RAPTOR(до сих пор применяется и при её видоизменении можно добиться очень не плохого результата по сопоставлению цифровой с реальной личностью).
Вот у нас есть динамическая маршрутизация в интернете, а также атакующий на уровне AS и благодаря тому, что можно проэкслуатировать её, то на основе ассиметричной маршрутизации или оттоке маршрутизации можно сдеанонимизировать пользователя Tor. Если чутка добавить конкретики, то стоит отметить, происходит именно не что иное, как корреляция ассиметричного трафика в сети Tor, а также анализ трафика с помощью BGP hijack в Tor. Как контрмеры - приложу последним скрином "таксономию контрмер Raptor".
Подводя итоге, хочется сказать, что исследовательский проект Astoria можно считать очень даже не плохим и подающим надежду на довольно неплохой инструмент противодействия атакам со стороны государственных служб или против злоумышленников, обладающих требуемыми техническими ресурсами и навыками. При сильно желании, можно допилить Astoria, чтобы корректно работал в нынешних реалиях.
Как уже многие заметили, читая Шизо, что защититься от атак в сети Tor становится крайне сложно, ведь когда мне приходилось в исследовательских целях проводить атаки на Tor-пользователей(преступников), то на удивление оказалось намного проще, подробнее будет разобрано на канале, этим летом-осенью.
👇Исследование прикладываю ниже.👇
#tor #anonymity #shizo #NSA #TimingAttack
👍6
|Astoria|
🤙 The Shizo is in touch!
🕔While I 'm sorting out hertzbleed in practice, I will write a retrospective on a forgotten Tor client project with AS support.
Actually Astoria came out to combat attacks on anonymity from the NSA mainly using
"Timing Attacks"(post on the channel - link1, link2) to deanonymize Tor users. Actually, who forgot, the attack is difficult to implement, but having access to input/output repeaters, it can be carried out in a short time. Yes, this is difficult to do on the territory of Russia, but the NSA has an advantage in this in the face of a huge number of Tor nodes controlled by them.
For more clarity, you can see the tools/resources that were published on the channel (Tor-IP-Addresses, exitmap, onionite, OrNetRadar). You can even see for yourself what kind of geolocation a large number of Tor chains have - the USA and Europe (countries under the influence / in cooperation with the USA). You can also search the web for studies/ articles on the number of vulnerable Tor chains/nodes in Iran and China, which report very sad figures (more than 90%).
If we talk about the general figures, then we can confidently say that the number of vulnerable Tor chains to "correlation attacks" in general around the world is approaching 50% (at the AS level), as practice shows, has already passed for a long time, but this does not mean that with a probability of 50% it is possible to use such an attack vector to anonymize(probability theory).
Actually, Astoria came in 2015 as a solution to the problem with the surveillance of Tor users (it is clear that this will not help an unshod anonymous person).
In addition to the obvious point with the fight against attacks at the AS and state level, there is still a good advantage in the form of building chains in an insecure environment when it is not possible to use secure Tor relays. Also, in addition to "Timing Attacks", there is also, with the proper amount of skills and knowledge, the ability to protect against systems that can hijack and intercept traffic in real time (these systems are used in the implementation of RAPTOR attacks, which I will tell you about later on the channel).
Simplifying all the subtleties of tulsa, the algorithm mentioned above is implemented there to predict attacks and further select a repeater to reduce the success of an attacker to conduct a "Timing attack" to ~ 6% (to achieve an even better result, you can resort to the tools I described: sdwate and tirdad).
I will explain briefly and simply about the RAPTOR attack vector (it is still used and with its modification it is possible to achieve a very good result by comparing the digital with the real person).
Here we have dynamic routing on the Internet, as well as an attacker at the AS level, and due to the fact that it can be interpreted, then on the basis of asymmetric routing or routing outflow, it is possible to deanonymize the Tor user. If you add a little specifics, it is worth noting that there is nothing more than the correlation of asymmetric traffic in the Tor network, as well as traffic analysis using BGP hijack in Tor. As countermeasures, I will attach the last screenshot of the "taxonomy of Raptor countermeasures".
Summing up, I would like to say that the Astoria research project can be considered very good and promising for a pretty good tool to counter attacks from government services or against intruders with the required technical resources and skills. If you really want, you can finish the Astoria to work correctly in the current realities.
As many have already noticed, reading the Shizo, it becomes extremely difficult to defend against attacks on the Tor network, because when I had to carry out attacks on Tor users (criminals) for research purposes, it surprisingly turned out to be much easier, more details will be analyzed on the channel, this summer-autumn.
👇 The research is attached below. 👇
#tor #anonymity #shizo #NSA #TimingAttack
🤙 The Shizo is in touch!
🕔While I 'm sorting out hertzbleed in practice, I will write a retrospective on a forgotten Tor client project with AS support.
Actually Astoria came out to combat attacks on anonymity from the NSA mainly using
"Timing Attacks"(post on the channel - link1, link2) to deanonymize Tor users. Actually, who forgot, the attack is difficult to implement, but having access to input/output repeaters, it can be carried out in a short time. Yes, this is difficult to do on the territory of Russia, but the NSA has an advantage in this in the face of a huge number of Tor nodes controlled by them.
For more clarity, you can see the tools/resources that were published on the channel (Tor-IP-Addresses, exitmap, onionite, OrNetRadar). You can even see for yourself what kind of geolocation a large number of Tor chains have - the USA and Europe (countries under the influence / in cooperation with the USA). You can also search the web for studies/ articles on the number of vulnerable Tor chains/nodes in Iran and China, which report very sad figures (more than 90%).
If we talk about the general figures, then we can confidently say that the number of vulnerable Tor chains to "correlation attacks" in general around the world is approaching 50% (at the AS level), as practice shows, has already passed for a long time, but this does not mean that with a probability of 50% it is possible to use such an attack vector to anonymize(probability theory).
Actually, Astoria came in 2015 as a solution to the problem with the surveillance of Tor users (it is clear that this will not help an unshod anonymous person).
In addition to the obvious point with the fight against attacks at the AS and state level, there is still a good advantage in the form of building chains in an insecure environment when it is not possible to use secure Tor relays. Also, in addition to "Timing Attacks", there is also, with the proper amount of skills and knowledge, the ability to protect against systems that can hijack and intercept traffic in real time (these systems are used in the implementation of RAPTOR attacks, which I will tell you about later on the channel).
Simplifying all the subtleties of tulsa, the algorithm mentioned above is implemented there to predict attacks and further select a repeater to reduce the success of an attacker to conduct a "Timing attack" to ~ 6% (to achieve an even better result, you can resort to the tools I described: sdwate and tirdad).
I will explain briefly and simply about the RAPTOR attack vector (it is still used and with its modification it is possible to achieve a very good result by comparing the digital with the real person).
Here we have dynamic routing on the Internet, as well as an attacker at the AS level, and due to the fact that it can be interpreted, then on the basis of asymmetric routing or routing outflow, it is possible to deanonymize the Tor user. If you add a little specifics, it is worth noting that there is nothing more than the correlation of asymmetric traffic in the Tor network, as well as traffic analysis using BGP hijack in Tor. As countermeasures, I will attach the last screenshot of the "taxonomy of Raptor countermeasures".
Summing up, I would like to say that the Astoria research project can be considered very good and promising for a pretty good tool to counter attacks from government services or against intruders with the required technical resources and skills. If you really want, you can finish the Astoria to work correctly in the current realities.
As many have already noticed, reading the Shizo, it becomes extremely difficult to defend against attacks on the Tor network, because when I had to carry out attacks on Tor users (criminals) for research purposes, it surprisingly turned out to be much easier, more details will be analyzed on the channel, this summer-autumn.
👇 The research is attached below. 👇
#tor #anonymity #shizo #NSA #TimingAttack
|Network Infrastructure Security Guide|
🌐Тут вышло обновление(версия 1.1) руководства от АНБ по безопасности в сетевой инфраструктуре(первая версия есть на канале). Пробежался по документу и не заметил сильных изменений по сравнению с первой версией, только небольшие правки + добавлено 20 ссылок в конце.
По своей сути крайне толковое руководство, для начинающих сетевиков, сисадминов, да кому приходится сталкивать непосредственно построением/конфигурированием сетевой инфраструктурой - горячо рекомендую.
💥версия1.1💥
🌐There was an update (version 1.1) of the NSA manual on security in the network infrastructure (the first version is on the channel). I ran through the document and didn't notice any major changes compared to the first version, only minor edits + 20 links added at the end.
At its core, an extremely sensible guide, for novice networkers, sysadmins, and those who have to deal directly with the construction / configuration of the network infrastructure - I warmly recommend it.
💥version 1.1💥
#NSA #security #network
🌐Тут вышло обновление(версия 1.1) руководства от АНБ по безопасности в сетевой инфраструктуре(первая версия есть на канале). Пробежался по документу и не заметил сильных изменений по сравнению с первой версией, только небольшие правки + добавлено 20 ссылок в конце.
По своей сути крайне толковое руководство, для начинающих сетевиков, сисадминов, да кому приходится сталкивать непосредственно построением/конфигурированием сетевой инфраструктурой - горячо рекомендую.
💥версия1.1💥
🌐There was an update (version 1.1) of the NSA manual on security in the network infrastructure (the first version is on the channel). I ran through the document and didn't notice any major changes compared to the first version, only minor edits + 20 links added at the end.
At its core, an extremely sensible guide, for novice networkers, sysadmins, and those who have to deal directly with the construction / configuration of the network infrastructure - I warmly recommend it.
💥version 1.1💥
#NSA #security #network
Telegram
0% Privacy
Руководство по безопасности сетевой инфраструктуры от АНБ.
NSA Network Infrastructure Security Guide.
#networks
NSA Network Infrastructure Security Guide.
#networks
👍6
This media is not supported in your browser
VIEW IN TELEGRAM
🤙Шизо передаёт привет и желает, чтобы у тебя прошли отлично выходные и всё плохое осталось в прошлом.
❤️Вы у меня самые-самые.
🤙The Shizo sends greetings and wishes you a great weekend and all the bad things are in the past.
❤️You are the most-the most.
❤️Вы у меня самые-самые.
🤙The Shizo sends greetings and wishes you a great weekend and all the bad things are in the past.
❤️You are the most-the most.
❤21
🎂1500 подписчиков, всем огромное спасибо, что читаете Шизо.
Всё-равно как-то не верится, что Вас столько уже, пожелаю всем, дорогим и лучшим сабам всего наилучшего и надеюсь, что не разочарую с контентом.
🎂 1500 subscribers, thank you all so much for reading the Shizo.
Anyway, somehow I can't believe that there are so many of you already, I wish all the best to all, dear and best subs, and I hope that I won't disappoint with the content.
Всё-равно как-то не верится, что Вас столько уже, пожелаю всем, дорогим и лучшим сабам всего наилучшего и надеюсь, что не разочарую с контентом.
🎂 1500 subscribers, thank you all so much for reading the Shizo.
Anyway, somehow I can't believe that there are so many of you already, I wish all the best to all, dear and best subs, and I hope that I won't disappoint with the content.
🥰20👍6🎉5👏1
Forwarded from Investigation & Forensic TOOLS
DFL_DroneIncident_Final_EN.pdf
6.7 MB
Отличное описание методологий форензик-исследований дронов от Интерпола. На английском, но читается легко и понятно.
👍3👎1
|RSAconference2022USA|
🤙Шизо на связи!
Это год не стал исключением и прошла конференция "RSAconference" в Сан-Франциско(6-9 июня).
Дабы не писать уйму постов, Шизо прикрепит ниже доклады.
Да-да там в числе выступающих есть и сотрудники АНБ, в 2019 году на этой же конференции была представлена Ghidra, широко известная в кругах реверс-инженеров. Спецы из АНБ(с главным докладом от Роб Джойса, занимающим должность "директор по кибербезопасноти", включая Роба было 4 спикера) и в этом году поехали, заняв стенд №1843, где можно было пообщаться с ними.
Не обошлось и без присутствия HR от АНБ, о чём они публично заявляют. Можете такое представить в России? Я тоже нет(да, есть PHDays, ZeroNights,Offzone, конференции от DC, либо чисто по криптографии и много разных, но там нет такого взаимодействия сторон, как на RSAconference), конечно, общее представление получил от знакомого за океаном, который был на конференции и его субъективное мнение может различаться с реальностью.
Темой конференции в этом году стало "Преобразование"(Transform).
Пока что видеозаписей с конференции - нет, как попадутся на глаза, то добавлю.
Хотя, многие презентации и видео с докладов доступны только для купивших "пропуска" на данный момент, но в скором времени или не очень они утекут в сеть.
🤙The Shizo is in touch!
This year was no exception and the RSAconference conference was held in San Francisco (June 6-9).
In order not to write a lot of posts, the Shizo will attach reports below.
Yes, there are NSA employees among the speakers there, in 2019, Ghidra, widely known in reverse engineering circles, was presented at the same conference. Specialists from the NSA (with the main report from Rob Joyce, who holds the position of "director of cybersecurity", including Rob, there were 4 speakers) and this year they went, taking booth No. 1843, where you could talk with them.
There was also the presence of HR from the NSA, which they publicly declare. Can you imagine this in Russia? I'm not either (yes, there are PHDays, ZeroNights, Offzone, conferences from DC, or purely on cryptography and many different ones, but there is no such interaction of the parties as at RSAconference), of course, I got a general idea from an acquaintance overseas who was at the conference and his subjective opinion may differ from reality.
The theme of this year's conference was "Transform".
So far, there are no videos from the conference, as soon as they catch my eye, I will add.
Although, many presentations and videos from the reports are available only for those who have bought "passes" at the moment, but soon or not they will leak into the network.
#RSAConference2022
🤙Шизо на связи!
Это год не стал исключением и прошла конференция "RSAconference" в Сан-Франциско(6-9 июня).
Дабы не писать уйму постов, Шизо прикрепит ниже доклады.
Да-да там в числе выступающих есть и сотрудники АНБ, в 2019 году на этой же конференции была представлена Ghidra, широко известная в кругах реверс-инженеров. Спецы из АНБ(с главным докладом от Роб Джойса, занимающим должность "директор по кибербезопасноти", включая Роба было 4 спикера) и в этом году поехали, заняв стенд №1843, где можно было пообщаться с ними.
Не обошлось и без присутствия HR от АНБ, о чём они публично заявляют. Можете такое представить в России? Я тоже нет(да, есть PHDays, ZeroNights,Offzone, конференции от DC, либо чисто по криптографии и много разных, но там нет такого взаимодействия сторон, как на RSAconference), конечно, общее представление получил от знакомого за океаном, который был на конференции и его субъективное мнение может различаться с реальностью.
Темой конференции в этом году стало "Преобразование"(Transform).
Пока что видеозаписей с конференции - нет, как попадутся на глаза, то добавлю.
Хотя, многие презентации и видео с докладов доступны только для купивших "пропуска" на данный момент, но в скором времени или не очень они утекут в сеть.
🤙The Shizo is in touch!
This year was no exception and the RSAconference conference was held in San Francisco (June 6-9).
In order not to write a lot of posts, the Shizo will attach reports below.
Yes, there are NSA employees among the speakers there, in 2019, Ghidra, widely known in reverse engineering circles, was presented at the same conference. Specialists from the NSA (with the main report from Rob Joyce, who holds the position of "director of cybersecurity", including Rob, there were 4 speakers) and this year they went, taking booth No. 1843, where you could talk with them.
There was also the presence of HR from the NSA, which they publicly declare. Can you imagine this in Russia? I'm not either (yes, there are PHDays, ZeroNights, Offzone, conferences from DC, or purely on cryptography and many different ones, but there is no such interaction of the parties as at RSAconference), of course, I got a general idea from an acquaintance overseas who was at the conference and his subjective opinion may differ from reality.
The theme of this year's conference was "Transform".
So far, there are no videos from the conference, as soon as they catch my eye, I will add.
Although, many presentations and videos from the reports are available only for those who have bought "passes" at the moment, but soon or not they will leak into the network.
#RSAConference2022
👍3