onion onion

Nezaradené položky

Sekcia obsahuje krátke návody a rôzne informácie súvisiace aj (viac či menej) s ostatnými položkami na tomto webe. Netvoria ale jeden celok a slúžia skôr ako motivácia a tipy pre ďalšie vzdelávanie o online anonymite a súkromí.

Obsah:
  1. Bezpečné mazanie súborov
  2. Metadáta - dáta o dátach
  3. Skryté oddiely na disku
  4. Alternatívne dátové prúdy (NTFS)
  5. Steganografia
  6. Tribler - anonymný torrent
  7. Bezpečné emaily
  8. Cold boot útok
  9. Usbkill
  10. Spoofing (falšovanie) MAC adresy
  11. Wifi probe requests
  12. Odporúčaná literatúra a odkazy

Bezpečné mazanie súborov

Klasickým mazaním v operačnom systéme, napríklad v grafickom prehliadači súborov s voľbou odstrániť/premiestniť do koša, alebo príkazom rm súbor z média (disk, pamäťová karta…) v skutočnosti nezmizne, vymaže sa iba jeho referencia - záznam (záleží od daného file systému) a systém potom počíta s jeho miestom ako voľným a použiteľným pre ďalší zápis. Jeho obsah tam zotrvá dokým sa neminie všetok voľný priestor na médiu, až potom sa začne prepisovať miesto po vymazaných súboroch. Dovtedy stále možno získať jeho obsah forenznými nástrojmi.
Aby citlivé dáta nebolo možné obnoviť, je nutné ich obsah prepísať, buď náhodnými bajtmi alebo nulami, a ak nový súbor na mieste pôvodného má menšiu veľkosť stále je možné obnoviť časť starého. Príklad - jeden sektor na disku má veľkosť 512 bajtov a vybraný súbor 1 KB, takže ich zaberá presne dva. Potom je súbor prepísaný menším s cca veľkosťou 768 B, ktorý už dva celé sektory nevyplní takže stále sa dá obnoviť aspoň časť pôvodného súboru, tento zvyšný priestor sektoru sa nazýva slack space.

Nástroje na bezpečné mazanie:

Secure Delete - balíček niekoľkých konzolových nástrojov (Linux):

srm – bezpečne maže súbory, použitie ako klasický príkaz rm
sdmem – čistí obsah RAM
sswap – čistenie swap priestoru (stránkovacia pamäť), pred použitím ho odpojte (!)
sfill – bezpečné vyčistenie voľného priestoru

nautilus-wipe – doplnok pre Nautilus (prehliadač súborov v GNOME), pridanie voľby pre bezpečne vymazanie ako v Tails.

Sdelete - obdoba secure-delete pre Windows, je súčasťou Sysinternals Suite (nájdete na stránke Microsoft).
Nástroje s GUI (grafické prostredie) – BleachBit, CCleaner...

Metadáta – dáta o dátach

Metadáta nesú informácie o súboroch, preto môžu predstavovať vážny problém, najmä ak obsahujú citlivé informácie, napríklad fotografia (vo formáte JPEG) z kamery smartphonu často obsahuje jej názov a GPS súradnice miesta kde bola vyhotovená. Problém sa týka aj iných súborov - dokumenty (pdf, office...), video súbory, audio nahrávky, archívy atď. Pri zverejňovaní alebo zdieľaní je preto potrebné metadáta skontrolovať, alebo úplne odstrániť.

MAT (Metadata Anonymisation Toolkit) - dostupný pre Windows, Mac a Linux, má konzolové (CLI) aj intuitívne grafické rozhranie (GUI), je súčasťou Tails a Whonix. 
mat --list	#zobrazenie podporovaných súborov

mat --check badimage.jpg	# overenie či je súbor čistý
[+] badimage.jpg is not clean

mat --display badimage.jpg 	#zobrazenie metadáta
mat badimage.jpg		#čistenie súboru

mat-gui 			#spustenie GUI

Skryté oddiely na disku – HPA a DCO

Tieto oddiely sú skryté pred bežnými aplikáciami a operačným systémom, zvyknú byť nastavené výrobcami. Na takom oddieli sa môžu nachádzať rôzne utility a diagnostické nástroje, citlivé údaje ale aj sofistikovaný malware. Pri formátovaní disku ich obsah ostane nezmenený, a nemožno z nich vytvoriť obraz klasickým postupom (napr. príkaz dd), čo predstavuje problém z forenzného hľadiska.

HPA (Host/Hidden protected area) – nachádza sa na konci disku, obyčajne ma veľkosť niekoľko GB. Prítomnosť HPA môžeme zistiť porovnaním skutočným počtom sektorov a počtom viditeľných pre užívateľa. V Linuxe príkazom:
hdparm -N  #oznámi či je HPA aktívna alebo nie
DCO (Device configuration overlay) – používa sa zmenšenie kapacity HDD výrobcami, identifikácia (Linux): 
hdparm --dco-identify

ADS – alternate data streams (alternatívne dátové prúdy/toky)

Súčasť NTFS file systému (Microsoft Windows), možno nazvať aj ,,skryté" prúdy, boli vytvorené pre kompatibilitu s HFS (Macintosh) file systémom. Vďaka nim môže byť k jednému súboru pripojených niekoľko ďalších, ktoré potom nie sú viditeľné bežnými aplikáciami ako prehliadače súborov, príkaz dir atď. ADS môžu byť zneužité aj pre ukrytie škodlivého kódu.
Vytvorenie s príkazovým riadkom: 

#ukrytie app.exe do textového súboru
type app.exe > file1.txt:app.exe

#spustenie app.exe
start file1.txt:app.exe

#vytvorenie textového súboru s notepadom
notepad file1.txt:secret.txt

Pre detekciu je možné použiť príkaz dir /R (Vista a vyššie verzie), existuje aj niekoľko nástrojov s GUI na detekciu ADS, napr. ADSpy.


Steganografia

Steganografia je umenie ukrývať tajné správy (súbory) do iných, navonok nevinných súborov a jej prítomnosť ide dokázať veľmi ťažko. Tajný súbor sa nazýva vnoreným a súbor v ktorom je ukrytý nosným, napríklad textový súbor ukrytý v obrázku (obrázok – nosný súbor). Táto metóda je užitočná hlavne v situáciach kedy je šifrovanie buď zakázané alebo nechcete jeho používaním pútať pozornosť. Niektoré nástroje:

Stegosuite (Win/Linux) – ukrýva text a súbory do obrázkov (taktiež extrahuje), s možnosťou nastaviť heslo (podpora AES), vyhýba sa použitiu homogénnych oblastí, čím sťažuje detekciu, podporované formáty – jpg, png, gif, bmp. Pre spustenie je potrebná Java.

Vloženie textu a súboru
1. Otvorte obrázok (File -> Open)
2. Vložte text do horného políčka alebo vyberte súbory (na políčku ,,Embedded files" pravé tlačidlo - > Add file)
3. Nastavte heslo (voliteľné) a vložte súbory - > Embed, priebeh operácie a nový názov súboru sa zobrazí dole

Extrahovanie súborov (textu)

1. Otvorte nový nosný súbor
2. Zadajte správne heslo a extrahujte - > Extract
3. Tajný text a zoznam súborov sa objaví v políčkach

DeepSound (Windows, potrebuje .NET) – ukrýva súbory do audio súborov, dostupná aj slovenská lokalizácia, pri tajných súboroch je možnosť použiť AES šifrovanie.

Tribler - anonymný torrent

Tribler je open-source BitTorrent klient pre Windows/Mac/Linux vyvíjaný výskumníkmi Delft univerzity. Používa vlastnú sieť založenú na cibuľovom smerovaní (nie Tor!), torrenty sa môžu sťahovať buď priamo alebo anonymne vďaka šifrovaniu a proxy (1-3), taktiež podporuje aj hidden seeding - rovnaká anonymita aj pre seederov, čím vytvorí vlastný darknet. Pekné a jasné vizualizácie sa nachádzajú na oficiálnej stránke. Okrem toho obsahuje aj veľa bežných a užitočných funkcií ako podpora magnetických odkazov, vyhľadávanie, kanály, vlastný audio a video prehrávač a stream.
Treba mať však na vedomí, že tento projekt stále potrebuje veľa vylepšení a neochráni vás pred sledovaním vládnymi agentúrami.


Bezpečné emaily

Použiť osobitne zakaždým PGP nemusí byť práve pohodlné, hlavne ak sa na zariadení nenachádzajú potrebné prostriedky (gpg, enigmail...). Existuje aj niekoľko bezpečných emailov podporujúcich šifrovanie, krátky zoznam:

Protonmail - švajčiarský email vyvynutý výskumníkmi z CERNu, buď zadarmo alebo platený, servery sa nachádzajú na území Švajčiarska mimo americkej a európskej jurisdikcie, podpora PGP iba pre ostatných užívateľov protonmailu.
Tutanota - nemecký open-source email používajúci kombináciu AES (symetrické) a RSA (asymetrické) šifrovania
Hushmail - platený email, možnosť OpenPGP
Cicada mail - symetrické šifrovanie, skôr experimentálna služba.
Counter mail - platený, možnosť importovať vlastné PGP kľúče.


Cold boot útok

Medzi verejnosťou je zaužívané, že dáta v pamäti RAM (DRAM) sa po prerušení dodávky energie (vypnutí počítača) automaticky vymažú, čo však nie je celkom pravda, a ako preukázali štúdie, dáta v skutočnosti miznú postupne a pri izbovej teplote môžu zotrvať kompletné niekoľko sekúnd až minút. Útočník to môže využiť a nabootovať z USB program na získanie obsahu pamäte, prípadne vybrať modul a namontovať do svojho zariadenia. Trvanlivosť dát sa ale môže predĺžiť až na hodinu ak je modul RAM rýchlo schladený, napríklad tekutým dusíkom čo je dostatočná doba na to aby útočníci/vymáhači zákona stihli získať takmer plný obraz RAM a následne z neho extrahovať napr. kľúč šifrovaného disku. Riziko, že tieto útoky uspejú je vyššie pri starších typoch pamäte - DDR1/DDR2, a keď je prísun energie náhle prerušený.

Protiopatrenia:
Dbať na PHYSEC (fyzickú bezpečnosť), neukladať citlivé údaje na systémový disk, prípadne použiť ďalšiu formu šifrovania ako PGP, nechať PC normálne vypnúť, pretože pri normálnom vypínacom cykle sa šifrované disky odpoja a kľúče z pamäte zvyčajne vymažú.
Pre Linux existujú projekty, ktoré uchovávajú kľúč (master key) nie v pamäti, ale v registroch procesora - Tresor (kernel patch) a Amnesia-loop (LKM), takéto riešenie síce ochráni pred cold boot ale nie pred DMA (direct memory access) útokom.


Usbkill (Linux, Mac, BSD)

Anti-forenzný python skript, ktorý sleduje stav USB portov, ak je pripojené nové zariadenie a nenachádza sa vo whiteliste, (napr. usb mouse jiggler zabraňujúci zobrazeniu zamykacej obrazovky) počítač sa okamžite vypne (možnosť nastaviť aj ochranu voči cold boot útoku). Treba mať na vedomí, že tento skript je neúčinný bez šifrovania disku (Luks, FileVault, čistý dm-crypt). Iný, podobný projekt tomuto má názov SilkGuard a implementovaný je ako LKM (Loadable kernel module).

Dôvod jeho vzniku súvisí práve s incidentom pri ktorom bol zatknutý administrátor marketu Silk Road – Ross William Ulbricht a.k.a. DPR (Dread Pirate Roberts). Ulbricht sa s notebookom pripájal vo verejnej knižnici, kde si na neho počkali agenti. Šifrovanie disku síce používal, lenže keď ho agent oddelil od notebooku, už nemohol nič spraviť – jasný príklad zlyhania PHYSEC (fyzickej bezpečnosti), a následného zlyhania aj INFOSEC (informačnej bezpečnosti).

Príklad použitia - Kali Linux so šifrovaním celého disku (Luks):

#požiadavka pre vyčistenie RAM , swap priestoru a súborov
sudo apt-get install secure-delete

git clone https://github.com/hephaest0s/usbkill.git
cd usbkill
sudo ./setup.py install
sudo usbkill

#po zastrčení usb sa počítač vypne v priebehu nastavenej doby

Prispôsobenie: 
sudo nano /etc /usbkill.ini	#konfiguračný súbor

whitelist = [""]	#pridanie usb do whitelistu, ID zistíme príkazom lsusb
sleep = 0.25			#doba medzi sledovaním v sekundách

do_wipe_ram = True		#vyčistenie RAM pred vypnutím príkazom sdmem
Ďalej je tu možnosť napr. vymazať konkrétne priečinky a súbory so srm: 
files_to_remove = [""]
folders_to_remove = [""]
Alebo pridať vlastné príkazy, kt. môžu byť aj v bash skripte, v tomto prípade chceme aby bolo Luks záhlavie (ZÁLOHOVANÉ!) pred vypnutím prepísané náhodnými bajtmi, čím znemožníme útoky hrubou silou na prístupovú frázu a následné dešifrovanie hlavného kľúča:

#count=4096 - offset záhlavia, zistíme príkazom cryptsetup luksDump [zariadenie] | grep "Payload offset" 
kill_commands = ["dd if=/dev/urandom of=/dev/sda5 bs=512 count=4096"]

MAC Spoofing

Každé sieťové zariadenie (wifi, ethernet) má svoju 48-bitovú adresu (6 bajtov) – adresu MAC (Media access control - podvrstva linkovej vrstvy) v tvare: 

00:30:65:97:AC:F3
Prvé 3 bajty – 00 30 65 identifikujú výrobcu, v tomto prípade sa jedná o kartu Apple Airport.
Zvyšné bajty – 97 AC F3 sú unikátne pre každé zariadenie. Ak sa pripájate k verejných sieťam, v smerovači (podľa jeho nastavení) ostane potom záznam o pripojených zariadeniach, zahŕňajúci aj citlivé informácie ako MAC adresy. Táto adresa sa nedá zmeniť natrvalo, iba dočasne spoofovať (sfalšovať), falšovanie je užitočné aj keď napr. sieť používa MAC filter (iba povolené zariadenia sa môžu pripojiť). Postup:

Linux (Debian s GNOME) – klasický spôsob:
Predtým než sa pripojíme k sieti (wifi), spustíme nm-connection-editor a vytvoríme nové wifi pripojenie:
Mód – klient, vyplníme údaje o sieti a o zabezpečení – zistíme príkazom iwlist scan, potom zadáme rozhranie (wlanX) s ktorým sa pripojíme, falošnú MAC nastavíme v položke Cloned MAC address.

Macchanger – MAC spoofing utilita pre Linux, zmena wifi adresy je problémová kvôli konfliktom s NetworkManager, použitie: 

eth0 - ethernet rozhranie

macchnager -l				#zoznam výrobcov
macchnager -r eth0			#plne náhodná adresa
macchanger eth0 -m 00:30:65:97:AC:F3 	#nová adresa pre eth0
Windows

Ovládací panel -> manažér zariadení -> network adapters (sieťové adaptéry) - > pravým na vybraný adaptér -> properties (vlastnosti) -> advanced (upresniť) -> nájdite položku   Network Address, zapíšte novú hodnotu a reštartujte PC, zmenu potom overíme príkazom  ipconfig /all.

Wifi Probe Requests

Aktívne wifi adaptéry v hociktorých zariadeniach vysielajú zisťovacie signály – probe requests, v ktorých sa zvyčajne nachádzajú názvy všetkých sietí, ku ktorým bolo zariadenie v minulosti pripojené, takto možno zistiť jeho prítomnosť alebo návyky majiteľa s pomocou wardriving/warwalking mapy wigle.net.

Detaily: protokol 802.11 obsahuje tri základné typy rámcov (frames) – control (0), data (1) a management/spravované (2), do tretej skupiny patria napríklad beacony (majákové signály – vďaka nim vedia zariadenia o blízkej wifi sieti), auth a deauth rámce atď., ale aj probe request aj probe response. V skutočnosti sa v nich nemusia nachádzať názvy uložených sietí, to závisí od danej platformy, niektoré zariadenia v nich majú parameter SSID ako broadcast napríklad Iphone.

Ukážky:
Probe requests zachytené s nástrojom Airodump-ng a so skriptom Probemon, cieľové zariadenie sa v minulosti pripojilo na sieť FreeWifi:

Airdodump/Probemon

Wireshark s filtrom wlan.fc_type.subtype == 4:

Wireshark

Protiopatrenia: vypnúť wifi v čase nepoužívania, prípadne zmazať zoznam uložených sietí.

Odporúčaná literatúra a odkazy

Knihy aj odkazy sú výlučne v anglickom jazyku (absencia článkov a literatúry o sieti Tor v slovenskom al. českom jazyku) a voľne dostupné vo formáte .epub na .onion knižnici Imperial Library of Trantor.

Tor Project blog
Pravidelná návšteva je nevyhnutnosť ak chceme byť v obraze.

Stem dokumentácia
Dokumentácia knižnice stem pre vývojárov.

Whonix Advanced Security Guide
Pokročilá bezpečnostná príručka Whonixu.

Tor: The second-generation onion router
Originálny dokument o dizajne siete Tor (R. Digledine, N. Mathewson, P. Syverson)

Bibliografia Freehaven
Chronologicky zoradené vybrané práce o anonymite, tie novšie sú aj o Tore a deanonymizačných útokoch naň.

DeepDotWeb.com
Správy zo sveta darknetov a Toru + zoznam marketov a návody pre začiatočníkov.

direclown.wordpress.com
Zaujímavý blog o darkwebe, venuje sa aj búraniu mýtov.

Basics Of Digital Forensics - Základy digitálnej forenziky (John Sammons) - .onion doména TPB
Kniha oboznámi čitateľa s úplnými základmi, kde všade digitálne stopy ostávajú, o postupe ich získavania a analýze. Obsahuje aj kapitolu o anti-forenzných riešeniach. Vhodná je pre všetkých, ktorým ochrana dát a zametanie digitálnych stôp nie sú ľahostajné.

Tor Browser Handbook (S.K Masterson)
Príručka o online anonymite a súkromiu, Tore a Tor prehliadači pre úplných začiatočníkov.

The Dark Web: Exploration Of The Deep Web - Prieskum deep webu (Kash Laden)
Krátka príručka o surfovaní na deep/dark webe.

Tor And The Dark Net (James Smith)
Neobsahuje kapitoly výlučne iba o Tore a darkwebe ale aj o ďalších prostriedkov, podobne ako tento web. Jednotlivé kapitoly sa nachádzajú aj ako články na stránke deepdotweb.com

Tor And The Dark Art of Anonymity - How to Be Invisible from NSA Spying (Lance Henderson )
Tor a temné umenie anonymity - ako byť neviditeľný pred špehovaním NSA. Ďalšia krátka príručka o Tore/darkwebe a súkromí, trochu horšie napísaná. Obsahuje aj veľmi skromnú kapitolku o OPSEC (operational security) skrytých služieb.

The Dark Net (Jamie Bartlett)
Kniha sa prevažne zaoberá online kriminalitou.

Silk Road (Eileen Ormsby)
Príbeh najznámejšieho čierneho online marketu všetkých čias.

Deep Web For Journalist - Deep web pre novinárov
Kniha upozorňuje na dôležitosť online súkromia pri práci novinára.