White hacker
ダークウェブでのサイバー攻撃情報交換の実態と匿名化ツールの考察
20161220
はじめに
•
ダークウェブ では多数の違法商品が取り扱われています。
•
関係のないキーワードを検索していても、不適切な画像が表示されることが
あります。
•
例示の再現、もしくは会場のデモ環境を操作される際には 十分 ご留意くださ
い。
©2016 AKAMAI | FASTER FORWARDTM
今日の目標
•
ダークウェブとは
•
使い方、実際の使われ方
•
匿名化ツール
(それを使って うちにアクセスされたら…?)
©2016 AKAMAI | FASTER FORWARDTM
目次
•
Dark web
•
•
•
•
Surface, Deep および Dark web
そこにあるもの
サイバーセキュリティにおける位置付け
匿名化
•
•
•
Tor
Tails - Edward Snowden さんのオススメ
Bitcoin
©2016 AKAMAI | FASTER FORWARDTM
Surface, Deep および Dark web
Deep web
http://topnewreview.com/diving-into-the-deep-web/
©2016 AKAMAI | FASTER FORWARDTM
Deep web
1.
2.
3.
4.
5.
6.
7.
8.
9.
Contextual Web
Dynamic content
Limited access content
Non-HTML/text content
Private Web
Scripted content
Software
Unlinked content
Web archives:
https://en.wikipedia.org/wiki/Deep_web
©2016 AKAMAI | FASTER FORWARDTM
そこにあるもの
Dark web へのアクセス方法
•
Tails OS
Tor
I2P
•
Tor browser
•
中継サービス
Tor2web
.tor2web.org
.torlink.co
.onion.to
.onion.ink
.onion.cab
.onion.nu
.onion.link
.onion.it
WARNING: Tor2web only protects publishers, not readers.
©2016 AKAMAI | FASTER FORWARDTM
Dark web
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Botnets
Bitcoin services
Darknet markets
Hacking groups and services
Fraud services
Hoaxes and unverified content
Phishing and scams
Puzzles
Illegal and ethically disputed pornography
Illegal Animal Trade
Terrorism
https://en.wikipedia.org/wiki/Dark_web
Social Media
©2016 AKAMAI | FASTER FORWARDTM
実際にアクセスしてみる、、Mosaic 時代 ?!
•
•
•
Grams
https://grams7enufi7jmdl.onion.to/
“dark web links”, “inurl:onion” for past year
Hidden Wiki
https://zqktlwi4fecvo6ri.onion.to/wiki/Main_Page
©2016 AKAMAI | FASTER FORWARDTM
主要な商品。。。
• 麻薬
• 武器
• 保護対象の野生動物
• その他 非人道的なものの数々。。
©2016 AKAMAI | FASTER FORWARDTM
ID、クレジットカード、口座、インサイダー情報
©2016 AKAMAI | FASTER FORWARDTM
商品と価格の例 - 1
•
•
•
•
•
•
Credit cards without a balance guarantee (number and CVV) : $8
$2,000 balance guarantee (number and CVV) :
$20
Driver's license scans:
$20
Email addresses and passwords:
$0.70–$2.30
Social Security numbers:
$1 ($1.25 for state selection)
PayPal credentials/access:
$1.50
http://nbr.com/2016/07/25/heres-what-your-personal-data-is-going-for-on-the-dark-web/, 20160725
©2016 AKAMAI | FASTER FORWARDTM
商品と価格の例- 2
•
•
•
•
•
•
•
•
Credit card credentials:
Spotify account:
Hulu account:
Netflix account:
NOAA.gov account (FTP or SFTP access):
USPS.gov account (FTP or SFTP access):
CDC.gov account (FTP or SFTP access):
Western Union account:
$15-$22
$2.75
$2.75
$1–$3
$476
$680
$340
$6.80
http://nbr.com/2016/07/25/heres-what-your-personal-data-is-going-for-on-the-dark-web/, 20160725
©2016 AKAMAI | FASTER FORWARDTM
安心と信頼の日本
http://securityaffairs.co/wordpress/41001/cyber-crime/japanesecybercrime-underground.html 20151013
©2016 AKAMAI | FASTER FORWARDTM
サイバーセキュリティにおける位置付け
マーケットプレイス; Alphabay, Silk road 3.0….
©2016 AKAMAI | FASTER FORWARDTM
ハッキングフォーラム
Hell forum,
KickAss marketplace
else…
©2016 AKAMAI | FASTER FORWARDTM
ハッカーを雇う
©2016 AKAMAI | FASTER FORWARDTM
400K Mirai botnet available for renting - Bestbuy / popopret
(web ではなく)
XMPP/Jabber の
SPAM。。
https://www.bleepingcompu
ter.com/news/security/youcan-now-rent-a-miraibotnet-of-400-000-bots/
©2016 AKAMAI | FASTER FORWARDTM
考察)何処で攻撃者と出会えるか
•
マーケット、フォーラム
Script kiddies / 市場拡大
ハクティビズム (扇動の専門家)
↑↓ Surface にも.…
•
•
金銭目的のプロフェッショナル
APT に代表される単独攻撃
陽動, 物量の積み増し
http://docplayer.net/3886697-Computer-securitywhat-s-all-the-fuss-about-barbara-hewitt-phd.html
エリート / テロリスト / 国家レベルのサイバー攻撃; Stuxnet, IronGate..
個人,,, Darknet に限らず さらに閉じた世界
©2016 AKAMAI | FASTER FORWARDTM
きつね と たぬき、きつね と きつね – 流出した内幕
• Hacking, Trading Forum w0rm.ws hacked; Exploit kits, Database leaked,
20161003
• 2つのハッキング
グループ間の抗争
• 相手のサイトへ侵入
情報を公開の上
サイトを改竄
https://www.hackread.com/hacking
-forum-w0rm-ws-hacked-dataleaked/
https://www.deepdotweb.com/20
16/05/26/dark-web-hackingforum-nulled-io-hacked/
©2016 AKAMAI | FASTER FORWARDTM
サイバー攻撃市場
マルウェア/エクスプロイト開発者
バックオフィス支援: マーケティング
バックオフィス支援: 悪意のあるトレーニング提供者
攻撃者: サイバー犯罪者
マルウェア拡散サービス
防弾ホスティング サービス プロバイダ
Success use-case calls for ecosystem in black market
Asylum Stresser, Lizard Stresser and VDO
https://www.paloaltonetworks.jp/company/in-the-news/2016/160831_unit42-exploring-the-cybercrime-underground-part-2-the-forum-ecosystem.html
TM
©2016
AKAMAI| |FASTER
FASTERFORWARD
FORWARDTM
©2016
AKAMAI
匿名化ツール
ユーザの秘匿性
Tor クライアント 他
Tor; The Onion Router
• 通信元 (Client IP) を隠す技術
• 通信先 (Server IP) も隠せます Dark web
• 言論の自由や通信の秘匿が確保できない環境のジャーナリストなどに
• 当然 攻撃者にも便利
• 警戒の対象として
Twitter
クレジットカード利用
Tor からログインするとアカウント凍結
Twitter locked down Tor by requiring a phone number for sign-up, 20150304
決済拒否
http://securityaffairs.co/wordpress/34421/social-networks/twitter-locked-down-tor.html
Twitter and Tor in talks to allow users to tweet over the anonymous Internet, 20160505
http://www.dailydot.com/layer8/tor-twitter-facebook-privacy/
©2016 AKAMAI | FASTER FORWARDTM
Tor
https://www.torproject.org/about/overview.html.en
©2016 AKAMAI | FASTER FORWARDTM
Tor
https://www.cryptologie.net/article/203/how-does-tor-works/
©2016 AKAMAI | FASTER FORWARDTM
Tails OS
• 秘匿性に特化した Linux
• ダウンロード、DVD もしくは USB メモリに保存、PC で起動
• ほぼ全ての通信に対して Tor が有効
• データを保存しない - amnesic
©2016 AKAMAI | FASTER FORWARDTM
BitCoin
• オンライン通貨
• Blockchain – 分散型台帳技術、BitCoin の中核
• 『ビットコイン、「貨幣」に認定 法規制案を閣議決定』 20160404
• 先進国における身元確認が年々厳しいものに。。
©2016 AKAMAI | FASTER FORWARDTM
Tor に関する統計と考察 - State of the Internet 2015 Q2 pp.60
https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/2015©2016 AKAMAI | FASTER FORWARD
q2-cloud-security-report.pdf
TM
Tor に関する統計と考察 - Risk analysis
• Comparison of Tor and non-Tor Traffic:
• Of legitimate requests, non-Tor IPs accounted for 99.96 percent of requests,
while Tor exit nodes accounted for 0.04 percent
• Of malicious requests, non-Tor IPs accounted for 98.74 percent of requests,
while Tor exit nodes accounted for 1.26 percent
• Tor exit nodes were far more likely to contain malicious requests:
• 1:11,500 non-Tor IPs contained malicious requests
• 1:380 Tor exit nodes contained malicious requests
• However, traffic from Tor exit nodes yielded a conversion rate virtually
equal to non-Tor IPs:
• Conversion rate for non-Tor IPs was 1:834
• Conversion rate for Tor exit nodes was 1:895
3 / [The State of the Internet] / Security (Q2 2015)
DDoS over Tor..?
Cerber, the ransom
©2016 AKAMAI | FASTER FORWARDTM
Web サーバから見ると、、?
• 同じセッションでも IP アドレス(ExitNode)が変化し続けて見える
• IP レイヤでの特定は ほぼ不可能
• ExitNodes に関しては公開リストが存在
https://check.torproject.org/exit-addresses
• Bridge を除いた EntryNodes
https://www.dan.me.uk/tornodes
同種のリスクは他にも
I2P とか VPN とか野良串とか。
まとめて対処するサービスも。
©2016 AKAMAI | FASTER FORWARDTM
Tor サーバ
秘匿サービス ….. Dark web
• Tor クライアントからしかアクセスできない
双方向の匿名性
• Tor クライアントであれば誰でも登録可能
• Hostname は公開鍵のハッシュの一部をエンコードしたもの
Eschalot
https://github.com/ReclaimYourPrivacy/eschalot
©2016 AKAMAI | FASTER FORWARDTM
秘匿サービス
https://www.torprojec
t.org/docs/hiddenservices.html.en
©2016 AKAMAI | FASTER FORWARDTM
秘匿サービス
https://www.torprojec
t.org/docs/hiddenservices.html.en
©2016 AKAMAI | FASTER FORWARDTM
秘匿サービス
https://www.torprojec
t.org/docs/hiddenservices.html.en
©2016 AKAMAI | FASTER FORWARDTM
秘匿サービス
https://www.torprojec
t.org/docs/hiddenservices.html.en
©2016 AKAMAI | FASTER FORWARDTM
秘匿サービス
https://www.torprojec
t.org/docs/hiddenservices.html.en
©2016 AKAMAI | FASTER FORWARDTM
Overlay network -あるネットワークの上に構築された別のネットワーク
• 道路とバス路線網
• MPLS
キャリア網の上に自社専用網
• Akamai Intelligent Platform
インターネットの上に(BGP に依らない)高速・高信頼 網
•Tor
インターネットの上に匿名 網
©2016 AKAMAI | FASTER FORWARDTM
Tor
デモ
デモ – Dark web へのアクセス
• Tor browser の検索窓 (DuckDuckGo は .onion だが検索結果は。。)
• Tails home – “Tor check” - Atlas
• デモ環境の秘匿サーバへのアクセス
©2016 AKAMAI | FASTER FORWARDTM
デモ – Tails OS
•Tor Browser
Tools – Web Developer – Debugger, Network タブ
検索窓から もしくは URL を指定して www.ebay.com などへアクセス。
アイテムをクリックして 詳細を表示。 non SSL のリスク
ExitNodes は MITM になることに注意
• netstat
local の Tor サービスへの折り返し
• Wireshark で『漏れ』がないことを確認 (bridge node を除く)
https://torstatus.blutmagie.de/
©2016 AKAMAI | FASTER FORWARDTM
デモ - Tails OS の中身
•
iptables - L
•
mount -t aufs
•
Persistent モード
•
•
•
Applications ▸ Tails ▸ Configure persistent volume
再起動
Tails Greeter から Persistent volume を有効に
https://tails.boum.org/contribute/design/
https://tails.boum.org/doc/first_steps/persistence/index.en.html
©2016 AKAMAI | FASTER FORWARDTM
デモ – 秘匿サーバのセットアップ
• nginx
• インストール
apt update
apt install nginx-light
• 設定変更 < ポートを 80 以外に変更 - e.g. 8080 >
/etc/nginx/sites-available/default
• Tor
echo "HiddenServiceDir /var/lib/tor/hidden_service/" >> /etc/tor/torrc
echo "HiddenServicePort 80 127.0.0.1:8080" >> /etc/tor/torrc
• 設定の有効化
service tor restart
service nginx restart
• ホスト名の表示
cat /var/lib/tor/hidden_service/hostname
©2016 AKAMAI | FASTER FORWARDTM
設定ファイル
• config
/etc/tor
/etc/tor-browser
• log
/var/log/tor
• stats
/var/lib/tor
©2016 AKAMAI | FASTER FORWARDTM
設定ファイル - /etc/tor/torrc
CircuitBuildTimeout 60
MaxCircuitDirtiness 30
ExcludeExitNodes
StrictNodes 1
ExitNodes {jp},{us}
# 回路構築までの秒数
# 回路の再構築までの秒数
セッション維持に注意
# 出口として使用しないノード
# 1の場合は絶対に接続しない
0の場合は接続する場合がある
デフォルト設定は0
# 出口として使用するノード
IP もしくは国で指定。 Exit policy やサイバー条約など
個々のポリシーに合わせて選択する
https://www.torproject.org/docs/tor-manual.html.en
©2016 AKAMAI | FASTER FORWARDTM
Tor の利用におけるリスク
Tor の秘匿性が破られたケース
Case 1) うっかりさん
フォーラムなどへ個人情報を書き込み
行動の時刻と Time zone、リアルスペースでの行動、CPU skew 系の特定
Case 2) 脆弱性
暗号強度
ExitNodes や対象サーバなど『信頼』の対象を陥落
©2016 AKAMAI | FASTER FORWARDTM
TBB; Tor Browser Bundle におけるリスク
• LE; Legal Entity に依るハッキング
• FBIが児童ポルノサイト運営、スパイウェアを配布, 20160725
https://the01.jp/p0002706/
サーバ攻略後に水飲み場攻撃
• Former Tor Developer Created Malware for FBI to Unmask Tor Users, 20160427
http://thehackernews.com/2016/04
Adobe Flash Player
/tor-unmask-malware.html
• Shadow Brokers reveals list of Servers Hacked by the NSA, 20161031
http://thehackernews.com/2016/10
"Top 3 Targeted Countries - China, Japan, and Korea"
/nsa-shadow-brokers-hacking.html
• Mozilla Patches Firefox Zero Day Used to Unmask Tor Browser Users
https://threatpost.com/mozillaブラウザ自体の脆弱性。 emergency update 6.0.7
patches-firefox-zero-day-used-tounmask-tor-browser-users/122204/
©2016 AKAMAI | FASTER FORWARDTM
Exit node や HSDirにおけるリスク
• Exit node 以降のトラフィックは暗号化されない
sslstrip などの MITM (中間者攻撃)
https://trac.torproject.org/projects/tor/wiki/doc/ReportingBadRelays, 20160810
https://moxie.org/software/sslstrip/, 20110515
• ダークウェブをスパイする「Tor HSDir」が100以上見つかる
https://the01.jp/p0002855/, 20160808
http://securityaffairs.co/wordpress/48971/hacking/bogus-hsdir-nodes.html, 20160703
•
非公開のハニーポットに 600 回のアクセス、16 回はログインに成功
https://nakedsecurity.sophos.com/2015/06/25/can-you-trust-tors-exit-nodes/, 20150625
• Spoiled Onions: Exposing Malicious Tor Exit Relays
http://www.cs.kau.se/philwint/spoiled_onions/pets2014.pdf, 201401
©2016 AKAMAI | FASTER FORWARDTM
まとめ
そもそも論。。
• 一度 手にした利便性を捨てられるか
加速していく複雑さ と 拡大する脆弱性の余地
• 『信頼』するもの、しないもの
目の前の端末、インストール済みのソフトウェア、経路、
サーバ、相手の人間、誰の”秘匿”・”保護”か
SSL を含む 防御性能の限界
“いたちごっこ” の現在地
•攻撃者側、防御側の ROI (時間、お金)
攻撃; < 後述 >
防御; サイト全体の SSL 化、TOTP, トークナイゼーション、etc..
©2016 AKAMAI | FASTER FORWARDTM
攻撃側の ROI
•
1,425% - $84,100/ $5,900
•
0day の価格 - 2015年の調査
iOS
6,000万円
Android
1,200万円
Webアプリ
1,000万円
•
60% の攻撃者は 40 時間を超えると攻撃目標を変える
https://www.trustwave.com/Company/Newsroom/News/New-Trustwave-Report-Reveals-CriminalsReceive-1,425-Percent-Return-on-Investment-from-Malware-Attacks/ 20150609
http://ascii.jp/elem/000/001/106/1106669/index-3.html 20160120
https://securityintelligence.com/media/2016-cost-data-breach-study/ 20160615 ©2016 AKAMAI | FASTER FORWARD
TM
0day - 2016
https://www.zerodium.com/
program.html
©2016 AKAMAI | FASTER FORWARDTM
0day market
• Commodity
• Market place
White, Black および Gray
• Supply
“half-day” exploits
• Demand
取引相手の選択, 品質保証
http://www.rand.org/content/dam/rand/p
ubs/research_reports/RR600/RR610/R
AND_RR610.pdf, 20140324
©2016 AKAMAI | FASTER FORWARDTM
防御側の ROI - 60秒の価値
- Lost revenue
- Cost of specialized remediation and
investigation services
- Regulatory penalties and/or fines
- Emergency PR work because your name
is splattered all over the media
- Customer credits
- Lost productivity
- Lost customers
- Extortion payments
- And on and on…
https://www.arbornetworks.com/blog/insight/can-you-afford-500-per-minute-of-internet-downtime-1000-more/
©2016 AKAMAI | FASTER FORWARDTM
何への対価なのか
•
BCP / DR
事業継続におけるリスクの一つとして
•
SEO - What are the Marketing Costs of a DDoS attack?
http://www.seo-doctor.co.uk/marketing-costs-ddos-attack.html
The Original Denial of Service
©2016 AKAMAI | FASTER FORWARDTM
まとめ
•
Dark web と zero day market
セキュリティ対策の限界
•
匿名化ツール
情報統制下の人々が利用する Tor / I2P, Legal Entity が利用する脆弱性
背後にある善意・悪意の識別
•
ROI と トレードオフ
現実問題として、何を何処まで守るか。
それでも守れない場合の検出・対処 (リスク移転、受容)
経営課題としてのセキュリティ
経済産業省 サイバーセキュリティ経営ガイドライン , 20161208
http://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v1.1.pdf
©2016 AKAMAI | FASTER FORWARDTM
免責事項
当社は 当文書に掲載する情報について、
- 全て正しく全て安全で、全て有用であること
- 特定目的に適合するものであること
- 常に最新のものであること
- コンピュータウィルスやその他の有害性を含まないこと
等に関して何等の保証を行なわず、当文書の利用に関連して生じるいかなる責任(直接的、間
接的、付帯的、派生的または懲罰的損害賠償の責任を含むがこれらに限定されない)も負うも
のではありません。当文書の情報は、予告なしに変更することがあります。あらかじめご了承下
さい。なお、当社は、理由の如何に関わらず、当文書の内容の変更および当文書の運用の中
断または中止によって生じるいかなる損害についても責任を負うものではありません。
©2016 AKAMAI | FASTER FORWARDTM
Appendix
Appendix. Dark web/market や Tor に関する お勧め
• 闇ウェブ (文春新書), セキュリティ集団スプラウト, 20160721
https://the01.jp/
• Tor And The Dark net, Jared Norton, 20161021
• Research Center ブログ, Palo Alto
https://www.paloaltonetworks.jp/company/in-the-news.html
• Security blog, Akamai
https://blogs.akamai.com/security/
©2016 AKAMAI | FASTER FORWARDTM
Appendix – セットアップや利用上の注意
•
Tails OS 2.7 と Virtualbox 5.0.16
•
linux カーネル 4.6 との互換性問題で動作しません。
•
USB メモリにおける上書き禁止が機能するとは限らない
•
ブラウザでアクセスするだけでハッキングされるリスク
•
CPU その他の skew で PC を含む利用環境が特定されるリスク
©2016 AKAMAI | FASTER FORWARDTM
Appendix. Tor の派生および追加機能
• HORNET, the alternative to Tor Network
http://anonhq.com/hornet-alternative-tor-network/
• Secure Anonymous File Sharing – OnionShare
https://offensivesec.blogspot.jp/2016/09/secure-anonymous-file-sharing-onionshare.html
• 実際の利用例
Tails → 野良WiFi → Tor → VPN Gate / VIP72socks, etc..
©2016 AKAMAI | FASTER FORWARDTM
Appendix. ROI; 暗号解読のコスト – 24 時間、DES を想定
https://www.ipa.go.jp/files/000026760.pdf, 20130423
©2016 AKAMAI | FASTER FORWARDTM
Appendix. FBI に依るハッキングのリスク
•
[Rule 41] FBI's New Hacking Powers Take Effect This Week, 20161130
http://fortune.com/2016/11/30/rule-41/
•
•
Tor を含む秘匿サービスに対する権限の拡大
Firefox zero-day: Mozilla, Tor issue critical patches to block active
attacks, 20161201
http://www.zdnet.com/article/firefox-zero-day-mozilla-tor-issue-critical-patches-to-block-activeattacks/
•
Tor Browser における 0day 脆弱性に対する修正
©2016 AKAMAI | FASTER FORWARDTM
Appendix.
• Finger printing, including CPU Skew, Window / Monitor size, etc..
New ways to fingerprint Tor Browser users discovered, 20160330
https://www.helpnetsecurity.com/2016/03/11/fingerprint-tor-browser-users/
• OpenPGP Web of Trust to verify the Key (偽の Tails OS を避ける)
https://tails.boum.org/install/download/openpgp/index.en.html#wot
©2016 AKAMAI | FASTER FORWARDTM
Appendix. SSL, SHA1, etc..
• SSL 対応状況の評価サイト https://www.ssllabs.com/ssltest/
©2016 AKAMAI | FASTER FORWARDTM
Appendix. SSL, SHA1, etc.. (cont.)
• 2016年6月の合意(*1)以降、Chrome を始めとしたブラウザで
SSL の安全性を評価するアイコンを表示(e.g. EV 証明書を含む
安全な接続には緑、など)。
• 先端が進む一方で、Android などではパフォーマンスを重視して十分な検証を
行わないアプリも。 間接的な信頼
• 2017年1月末までに Firefox, IE(Edge) および Chrome は SHA-1 証明書に
対する信頼を停止
©2016 AKAMAI | FASTER FORWARDTM
© Copyright 2024 ExpyDoc
