Файли для Windows DRM-захистом можна використовувати для деанонімізація користувача Tor

image

Фахівці з HackerHouse провели дослідження атаки з використанням соціальної інженерії через файли, оснащені захистом Digital Rights Management (DRM). Суть атаки полягає в отриманні інформації про користувача через підміну DRM-підписи та використання підставного URL, який буде відкриватися автоматично при запуску файлу через Windows Media Player.

Реалізації подібної атаки сприяє сам принцип роботи DRM-захисту, яка при запуску файлу запитує на мережному сервері ключ шифрування для аудіо або відео файлу. Як наслідок, DRM-файл при наявності підключення до мережі може створити несанкціонований запит за вказаною йому адресою, чим і користуються зловмисники для перенаправлення користувача на підставні ресурси.

Атаки з використанням DRM були відомі ще більше десяти років тому — в 2005 році, а багато фахівців в області інформаційної безпеки виступали проти використання такої свавільної технології, яка, однак, досі жива.

Якщо хтось вирішить деанонимизировать користувача мережі Tor, йому буде достатньо надати жертві (з використанням інструментів соціальної інженерії) медіа-файл зі зміненою DRM-підписом, а точніше зі зміненим в ній URL авторизації. При запуску файлу буде примусово створений запит з реального адреси жертви.

Існує два виду подібної атаки: «дешевий» і «дорогий». При «дешевому» сценарії розвитку подій, користувачеві після запуску небезпечного DRM-файлу Windows Media Player запропонує перейти на сайт для авторизації з вказівкою перенаправлення URL:

image

З'являється таке сповіщення з-за того, що файл був підписаний «криво», без використання спеціалізованого ПО створенню DRM-захисту, тобто безкоштовно. Очевидно, якщо жертва користується Tor, то вона з великою часткою ймовірності не буде переходити за дивним URL, які йому пропонує програвач.

Але існує і другий, «дорогий» варіант, коли оповіщення з'являтися не буде. Відбувається це у випадку, коли DRM-файл підписаний З Windows Media Encoder або Microsoft Expression Encoder з отриманням реальної DRM-підписи. Вартість створення одного такого файлу складає близько $10 000.

image

Подібний цінник працює як «paywall» проти переважної більшості хакерів, які не готові викласти таку суму на точкову атаку, яка може і не відбутися із-за необхідності використання прийомів соціальної інженерії (адже цей файл потрібно ще і «згодувати» жертві).

Однак, атака подібної вартості, метою якої є деанонімізація користувача, може бути проведена структурами, для яких $10 000 — крапля в їх бюджеті. Звичайно ж, мова йде про спецслужбах, які давно і активно ведуть боротьбу проти анонімності в мережі Інтернет. Крім того, Microsoft активно співпрацює з низкою спецслужб і урядів і необхідний файл для владних структур може бути створений і безкоштовно.

Дослідники з HackerHouse відзначають, що ця атака не спрямована проти мережі Tor або TorBrowser, але дозволяє зацікавленим особам вивудити у жертви її реальний ip-адресу, тобто деанонимизировать.

Будьте пильні.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.