Бывший разработчик TOR помогает ФБР шпионить за пользователями сети TOR

Бывший разработчик TOR помогает ФБР шпионить за пользователями сети TOR

Бывший разработчик TOR помогает ФБР шпионить за пользователями сети TOR

Один из бывших сотрудников Tor Project, некоммерческой организации, которая разрабатывает и поддерживает анонимную сеть TOR, сделал карьеру на сотрудничестве со спецслужбами. Он разработал софт, позволивший арестовать десятки пользователей TOR, и помог выследить создателя магазина наркотиков Silk Road.

Издание Daily Dot рассказывает, что специалист по информационной безопасности Мэтт Эдман устроился в TOR Project в 2008 году. В течение года он работал над Vidalia, кроссплатформенным пользовательским интерфейсом сети TOR. В 2009 году Эдман покинул организацию.

Спустя несколько лет Эдман стал сотрудником другой некоммерческой организации — Mitre Corporation. Mitre является подрядчиком американского военного ведомства, министерства внутренней безопасности и некоторых других правительственных органов США.

В 2012 году Эдману поручили исполнение заказа отдела удалённых операций ФБР. Его задачей стала разработка специализированного шпионского софта и эксплойтов для сбора информации о пользователях TOR, заинтересовавших правоохранительные органы, передает xakep.ru.

Именно Эдман разработал вредоносную программу, известную под названиями Cornhusker и Torsploit. Она представляет собой флэш-приложение, внедряемое в сайты анонимной сети TOR и вынуждающее компьютер жертвы обратиться к серверу ФБР через незащищённый интернет, тем самым выдав свой адрес IP.

Известно, что Эдман принимал участие в проводимой ФБР операции Torpedo, направленной против сайтов с детской порнографией в сети TOR, и помог установить личности 25 пользователей TOR. Девятнадцать человек, арестованных в ходе операции, уже отбывают наказание, и это число может вырасти.

Кроме того, Эдман сыграл ключевую роль в расследовании деятельности магазина наркотиков Silk Road. Он проследил переводы 13,4 миллионов долларов в биткоинах с адресов Silk Road на ноутбук владельца магазина.

Методы Эдмана эксплуатируют не уязвимости в TOR, а глупость и ошибки её пользователей. Например, Cornhusker требует для работы Flash — плагин, об опасности которого TOR Project много лет предупреждал своих пользователей. Люди, которых поймало ФБР, игнорировали предупреждения и поплатились за это.

В TOR Project утверждают, что Vidalia была единственным проектом, к которому имел отношение Мэтт Эдман. Он не вносил изменения ни в TOR Browser, ни в другое программное обеспечение, которое разрабатывает организация. Что касается самой Vidalia, то она уже неактуальна. Её поддержку свернули в 2013 году.

Работа в TOR Project помогла Эдману иначе: она дала ему полезную строчку в резюме. Спустя несколько лет эта строчка привлекла внимание работодателей, связанных со спецслужбами. Остальное он сделал сам.

DROIDBREAKER обходит ML-детекторы Android-вредоносов без поломки APK

Машинное обучение в антивирусах снова получило неприятный привет. Исследователи представили DROIDBREAKER — фреймворк для создания модифицированных Android-приложений, которые могут обходить ML-детекторы вредоносных приложений и при этом сохранять работоспособность.

Авторы работы отмечают, что многие прежние атаки на Android-детекторы выглядели красиво в статьях, но плохо жили в реальности.

Одни методы добавляли в APK целые доброкачественные модули, из-за чего приложение обрастало лишними признаками и часто ломалось еще на этапе сборки. Другие меняли байт-код слишком грубо: формально APK получался валидным, но нормально работать уже не мог.

Отдельная претензия исследователей была к проверке успешности таких атак. По их словам, в прошлых работах часто ограничивались тестами: приложение установилось, запустилось — значит, всё хорошо. Но это не доказывает, что после модификаций оно сохранило исходную функциональность.

 

DROIDBREAKER пытается решить именно эту проблему. Фреймворк меняет только те компоненты APK, которые сильнее всего влияют на решение целевой ML-модели. Для этого используются более точечные и безопасные манипуляции: изменение API-вызовов, модулей приложения, разрешений, URL и элементов обфускации.

Главная фишка — проверка сохранения поведения. DROIDBREAKER сравнивает журналы выполнения и API-трейсы исходного и измененного приложения, чтобы убедиться: APK не просто собрался и запустился, а действительно продолжает делать то, что должен.

В экспериментах на свежем наборе Android-приложений фреймворк показал высокую эффективность обхода как в сценариях white-box, так и в black-box. При этом ему требовалось относительно мало запросов к модели, а побочных изменений в приложении было меньше, чем у прежних подходов.

Более того, модифицированные APK заметно реже детектировались коммерческими сканерами, представленными на VirusTotal.

RSS: Новости на портале Anti-Malware.ru