White hacker ダークウェブでのサイバー攻撃情報交換の実態と匿名化ツールの考察 20161220 はじめに • ダークウェブ では多数の違法商品が取り扱われています。 • 関係のないキーワードを検索していても、不適切な画像が表示されることが あります。 • 例示の再現、もしくは会場のデモ環境を操作される際には 十分 ご留意くださ い。 ©2016 AKAMAI | FASTER FORWARDTM 今日の目標 • ダークウェブとは • 使い方、実際の使われ方 • 匿名化ツール (それを使って うちにアクセスされたら…?) ©2016 AKAMAI | FASTER FORWARDTM 目次 • Dark web • • • • Surface, Deep および Dark web そこにあるもの サイバーセキュリティにおける位置付け 匿名化 • • • Tor Tails - Edward Snowden さんのオススメ Bitcoin ©2016 AKAMAI | FASTER FORWARDTM Surface, Deep および Dark web Deep web http://topnewreview.com/diving-into-the-deep-web/ ©2016 AKAMAI | FASTER FORWARDTM Deep web 1. 2. 3. 4. 5. 6. 7. 8. 9. Contextual Web Dynamic content Limited access content Non-HTML/text content Private Web Scripted content Software Unlinked content Web archives: https://en.wikipedia.org/wiki/Deep_web ©2016 AKAMAI | FASTER FORWARDTM そこにあるもの Dark web へのアクセス方法 • Tails OS Tor I2P • Tor browser • 中継サービス Tor2web .tor2web.org .torlink.co .onion.to .onion.ink .onion.cab .onion.nu .onion.link .onion.it WARNING: Tor2web only protects publishers, not readers. ©2016 AKAMAI | FASTER FORWARDTM Dark web 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. Botnets Bitcoin services Darknet markets Hacking groups and services Fraud services Hoaxes and unverified content Phishing and scams Puzzles Illegal and ethically disputed pornography Illegal Animal Trade Terrorism https://en.wikipedia.org/wiki/Dark_web Social Media ©2016 AKAMAI | FASTER FORWARDTM 実際にアクセスしてみる、、Mosaic 時代 ?! • • • Grams https://grams7enufi7jmdl.onion.to/ “dark web links”, “inurl:onion” for past year Hidden Wiki https://zqktlwi4fecvo6ri.onion.to/wiki/Main_Page ©2016 AKAMAI | FASTER FORWARDTM 主要な商品。。。 • 麻薬 • 武器 • 保護対象の野生動物 • その他 非人道的なものの数々。。 ©2016 AKAMAI | FASTER FORWARDTM ID、クレジットカード、口座、インサイダー情報 ©2016 AKAMAI | FASTER FORWARDTM 商品と価格の例 - 1 • • • • • • Credit cards without a balance guarantee (number and CVV) : $8 $2,000 balance guarantee (number and CVV) : $20 Driver's license scans: $20 Email addresses and passwords: $0.70–$2.30 Social Security numbers: $1 ($1.25 for state selection) PayPal credentials/access: $1.50 http://nbr.com/2016/07/25/heres-what-your-personal-data-is-going-for-on-the-dark-web/, 20160725 ©2016 AKAMAI | FASTER FORWARDTM 商品と価格の例- 2 • • • • • • • • Credit card credentials: Spotify account: Hulu account: Netflix account: NOAA.gov account (FTP or SFTP access): USPS.gov account (FTP or SFTP access): CDC.gov account (FTP or SFTP access): Western Union account: $15-$22 $2.75 $2.75 $1–$3 $476 $680 $340 $6.80 http://nbr.com/2016/07/25/heres-what-your-personal-data-is-going-for-on-the-dark-web/, 20160725 ©2016 AKAMAI | FASTER FORWARDTM 安心と信頼の日本 http://securityaffairs.co/wordpress/41001/cyber-crime/japanesecybercrime-underground.html 20151013 ©2016 AKAMAI | FASTER FORWARDTM サイバーセキュリティにおける位置付け マーケットプレイス; Alphabay, Silk road 3.0…. ©2016 AKAMAI | FASTER FORWARDTM ハッキングフォーラム Hell forum, KickAss marketplace else… ©2016 AKAMAI | FASTER FORWARDTM ハッカーを雇う ©2016 AKAMAI | FASTER FORWARDTM 400K Mirai botnet available for renting - Bestbuy / popopret (web ではなく) XMPP/Jabber の SPAM。。 https://www.bleepingcompu ter.com/news/security/youcan-now-rent-a-miraibotnet-of-400-000-bots/ ©2016 AKAMAI | FASTER FORWARDTM 考察)何処で攻撃者と出会えるか • マーケット、フォーラム Script kiddies / 市場拡大 ハクティビズム (扇動の専門家) ↑↓ Surface にも.… • • 金銭目的のプロフェッショナル APT に代表される単独攻撃 陽動, 物量の積み増し http://docplayer.net/3886697-Computer-securitywhat-s-all-the-fuss-about-barbara-hewitt-phd.html エリート / テロリスト / 国家レベルのサイバー攻撃; Stuxnet, IronGate.. 個人,,, Darknet に限らず さらに閉じた世界 ©2016 AKAMAI | FASTER FORWARDTM きつね と たぬき、きつね と きつね – 流出した内幕 • Hacking, Trading Forum w0rm.ws hacked; Exploit kits, Database leaked, 20161003 • 2つのハッキング グループ間の抗争 • 相手のサイトへ侵入 情報を公開の上 サイトを改竄 https://www.hackread.com/hacking -forum-w0rm-ws-hacked-dataleaked/ https://www.deepdotweb.com/20 16/05/26/dark-web-hackingforum-nulled-io-hacked/ ©2016 AKAMAI | FASTER FORWARDTM サイバー攻撃市場 マルウェア/エクスプロイト開発者 バックオフィス支援: マーケティング バックオフィス支援: 悪意のあるトレーニング提供者 攻撃者: サイバー犯罪者 マルウェア拡散サービス 防弾ホスティング サービス プロバイダ Success use-case calls for ecosystem in black market Asylum Stresser, Lizard Stresser and VDO https://www.paloaltonetworks.jp/company/in-the-news/2016/160831_unit42-exploring-the-cybercrime-underground-part-2-the-forum-ecosystem.html TM ©2016 AKAMAI| |FASTER FASTERFORWARD FORWARDTM ©2016 AKAMAI 匿名化ツール ユーザの秘匿性 Tor クライアント 他 Tor; The Onion Router • 通信元 (Client IP) を隠す技術 • 通信先 (Server IP) も隠せます Dark web • 言論の自由や通信の秘匿が確保できない環境のジャーナリストなどに • 当然 攻撃者にも便利 • 警戒の対象として Twitter クレジットカード利用 Tor からログインするとアカウント凍結 Twitter locked down Tor by requiring a phone number for sign-up, 20150304 決済拒否 http://securityaffairs.co/wordpress/34421/social-networks/twitter-locked-down-tor.html Twitter and Tor in talks to allow users to tweet over the anonymous Internet, 20160505 http://www.dailydot.com/layer8/tor-twitter-facebook-privacy/ ©2016 AKAMAI | FASTER FORWARDTM Tor https://www.torproject.org/about/overview.html.en ©2016 AKAMAI | FASTER FORWARDTM Tor https://www.cryptologie.net/article/203/how-does-tor-works/ ©2016 AKAMAI | FASTER FORWARDTM Tails OS • 秘匿性に特化した Linux • ダウンロード、DVD もしくは USB メモリに保存、PC で起動 • ほぼ全ての通信に対して Tor が有効 • データを保存しない - amnesic ©2016 AKAMAI | FASTER FORWARDTM BitCoin • オンライン通貨 • Blockchain – 分散型台帳技術、BitCoin の中核 • 『ビットコイン、「貨幣」に認定 法規制案を閣議決定』 20160404 • 先進国における身元確認が年々厳しいものに。。 ©2016 AKAMAI | FASTER FORWARDTM Tor に関する統計と考察 - State of the Internet 2015 Q2 pp.60 https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/2015©2016 AKAMAI | FASTER FORWARD q2-cloud-security-report.pdf TM Tor に関する統計と考察 - Risk analysis • Comparison of Tor and non-Tor Traffic: • Of legitimate requests, non-Tor IPs accounted for 99.96 percent of requests, while Tor exit nodes accounted for 0.04 percent • Of malicious requests, non-Tor IPs accounted for 98.74 percent of requests, while Tor exit nodes accounted for 1.26 percent • Tor exit nodes were far more likely to contain malicious requests: • 1:11,500 non-Tor IPs contained malicious requests • 1:380 Tor exit nodes contained malicious requests • However, traffic from Tor exit nodes yielded a conversion rate virtually equal to non-Tor IPs: • Conversion rate for non-Tor IPs was 1:834 • Conversion rate for Tor exit nodes was 1:895 3 / [The State of the Internet] / Security (Q2 2015) DDoS over Tor..? Cerber, the ransom ©2016 AKAMAI | FASTER FORWARDTM Web サーバから見ると、、? • 同じセッションでも IP アドレス(ExitNode)が変化し続けて見える • IP レイヤでの特定は ほぼ不可能 • ExitNodes に関しては公開リストが存在 https://check.torproject.org/exit-addresses • Bridge を除いた EntryNodes https://www.dan.me.uk/tornodes 同種のリスクは他にも I2P とか VPN とか野良串とか。 まとめて対処するサービスも。 ©2016 AKAMAI | FASTER FORWARDTM Tor サーバ 秘匿サービス ….. Dark web • Tor クライアントからしかアクセスできない 双方向の匿名性 • Tor クライアントであれば誰でも登録可能 • Hostname は公開鍵のハッシュの一部をエンコードしたもの Eschalot https://github.com/ReclaimYourPrivacy/eschalot ©2016 AKAMAI | FASTER FORWARDTM 秘匿サービス https://www.torprojec t.org/docs/hiddenservices.html.en ©2016 AKAMAI | FASTER FORWARDTM 秘匿サービス https://www.torprojec t.org/docs/hiddenservices.html.en ©2016 AKAMAI | FASTER FORWARDTM 秘匿サービス https://www.torprojec t.org/docs/hiddenservices.html.en ©2016 AKAMAI | FASTER FORWARDTM 秘匿サービス https://www.torprojec t.org/docs/hiddenservices.html.en ©2016 AKAMAI | FASTER FORWARDTM 秘匿サービス https://www.torprojec t.org/docs/hiddenservices.html.en ©2016 AKAMAI | FASTER FORWARDTM Overlay network -あるネットワークの上に構築された別のネットワーク • 道路とバス路線網 • MPLS キャリア網の上に自社専用網 • Akamai Intelligent Platform インターネットの上に(BGP に依らない)高速・高信頼 網 •Tor インターネットの上に匿名 網 ©2016 AKAMAI | FASTER FORWARDTM Tor デモ デモ – Dark web へのアクセス • Tor browser の検索窓 (DuckDuckGo は .onion だが検索結果は。。) • Tails home – “Tor check” - Atlas • デモ環境の秘匿サーバへのアクセス ©2016 AKAMAI | FASTER FORWARDTM デモ – Tails OS •Tor Browser Tools – Web Developer – Debugger, Network タブ 検索窓から もしくは URL を指定して www.ebay.com などへアクセス。 アイテムをクリックして 詳細を表示。 non SSL のリスク ExitNodes は MITM になることに注意 • netstat local の Tor サービスへの折り返し • Wireshark で『漏れ』がないことを確認 (bridge node を除く) https://torstatus.blutmagie.de/ ©2016 AKAMAI | FASTER FORWARDTM デモ - Tails OS の中身 • iptables - L • mount -t aufs • Persistent モード • • • Applications ▸ Tails ▸ Configure persistent volume 再起動 Tails Greeter から Persistent volume を有効に https://tails.boum.org/contribute/design/ https://tails.boum.org/doc/first_steps/persistence/index.en.html ©2016 AKAMAI | FASTER FORWARDTM デモ – 秘匿サーバのセットアップ • nginx • インストール apt update apt install nginx-light • 設定変更 < ポートを 80 以外に変更 - e.g. 8080 > /etc/nginx/sites-available/default • Tor echo "HiddenServiceDir /var/lib/tor/hidden_service/" >> /etc/tor/torrc echo "HiddenServicePort 80 127.0.0.1:8080" >> /etc/tor/torrc • 設定の有効化 service tor restart service nginx restart • ホスト名の表示 cat /var/lib/tor/hidden_service/hostname ©2016 AKAMAI | FASTER FORWARDTM 設定ファイル • config /etc/tor /etc/tor-browser • log /var/log/tor • stats /var/lib/tor ©2016 AKAMAI | FASTER FORWARDTM 設定ファイル - /etc/tor/torrc CircuitBuildTimeout 60 MaxCircuitDirtiness 30 ExcludeExitNodes StrictNodes 1 ExitNodes {jp},{us} # 回路構築までの秒数 # 回路の再構築までの秒数 セッション維持に注意 # 出口として使用しないノード # 1の場合は絶対に接続しない 0の場合は接続する場合がある デフォルト設定は0 # 出口として使用するノード IP もしくは国で指定。 Exit policy やサイバー条約など 個々のポリシーに合わせて選択する https://www.torproject.org/docs/tor-manual.html.en ©2016 AKAMAI | FASTER FORWARDTM Tor の利用におけるリスク Tor の秘匿性が破られたケース Case 1) うっかりさん フォーラムなどへ個人情報を書き込み 行動の時刻と Time zone、リアルスペースでの行動、CPU skew 系の特定 Case 2) 脆弱性 暗号強度 ExitNodes や対象サーバなど『信頼』の対象を陥落 ©2016 AKAMAI | FASTER FORWARDTM TBB; Tor Browser Bundle におけるリスク • LE; Legal Entity に依るハッキング • FBIが児童ポルノサイト運営、スパイウェアを配布, 20160725 https://the01.jp/p0002706/ サーバ攻略後に水飲み場攻撃 • Former Tor Developer Created Malware for FBI to Unmask Tor Users, 20160427 http://thehackernews.com/2016/04 Adobe Flash Player /tor-unmask-malware.html • Shadow Brokers reveals list of Servers Hacked by the NSA, 20161031 http://thehackernews.com/2016/10 "Top 3 Targeted Countries - China, Japan, and Korea" /nsa-shadow-brokers-hacking.html • Mozilla Patches Firefox Zero Day Used to Unmask Tor Browser Users https://threatpost.com/mozillaブラウザ自体の脆弱性。 emergency update 6.0.7 patches-firefox-zero-day-used-tounmask-tor-browser-users/122204/ ©2016 AKAMAI | FASTER FORWARDTM Exit node や HSDirにおけるリスク • Exit node 以降のトラフィックは暗号化されない sslstrip などの MITM (中間者攻撃) https://trac.torproject.org/projects/tor/wiki/doc/ReportingBadRelays, 20160810 https://moxie.org/software/sslstrip/, 20110515 • ダークウェブをスパイする「Tor HSDir」が100以上見つかる https://the01.jp/p0002855/, 20160808 http://securityaffairs.co/wordpress/48971/hacking/bogus-hsdir-nodes.html, 20160703 • 非公開のハニーポットに 600 回のアクセス、16 回はログインに成功 https://nakedsecurity.sophos.com/2015/06/25/can-you-trust-tors-exit-nodes/, 20150625 • Spoiled Onions: Exposing Malicious Tor Exit Relays http://www.cs.kau.se/philwint/spoiled_onions/pets2014.pdf, 201401 ©2016 AKAMAI | FASTER FORWARDTM まとめ そもそも論。。 • 一度 手にした利便性を捨てられるか 加速していく複雑さ と 拡大する脆弱性の余地 • 『信頼』するもの、しないもの 目の前の端末、インストール済みのソフトウェア、経路、 サーバ、相手の人間、誰の”秘匿”・”保護”か SSL を含む 防御性能の限界 “いたちごっこ” の現在地 •攻撃者側、防御側の ROI (時間、お金) 攻撃; < 後述 > 防御; サイト全体の SSL 化、TOTP, トークナイゼーション、etc.. ©2016 AKAMAI | FASTER FORWARDTM 攻撃側の ROI • 1,425% - $84,100/ $5,900 • 0day の価格 - 2015年の調査 iOS 6,000万円 Android 1,200万円 Webアプリ 1,000万円 • 60% の攻撃者は 40 時間を超えると攻撃目標を変える https://www.trustwave.com/Company/Newsroom/News/New-Trustwave-Report-Reveals-CriminalsReceive-1,425-Percent-Return-on-Investment-from-Malware-Attacks/ 20150609 http://ascii.jp/elem/000/001/106/1106669/index-3.html 20160120 https://securityintelligence.com/media/2016-cost-data-breach-study/ 20160615 ©2016 AKAMAI | FASTER FORWARD TM 0day - 2016 https://www.zerodium.com/ program.html ©2016 AKAMAI | FASTER FORWARDTM 0day market • Commodity • Market place White, Black および Gray • Supply “half-day” exploits • Demand 取引相手の選択, 品質保証 http://www.rand.org/content/dam/rand/p ubs/research_reports/RR600/RR610/R AND_RR610.pdf, 20140324 ©2016 AKAMAI | FASTER FORWARDTM 防御側の ROI - 60秒の価値 - Lost revenue - Cost of specialized remediation and investigation services - Regulatory penalties and/or fines - Emergency PR work because your name is splattered all over the media - Customer credits - Lost productivity - Lost customers - Extortion payments - And on and on… https://www.arbornetworks.com/blog/insight/can-you-afford-500-per-minute-of-internet-downtime-1000-more/ ©2016 AKAMAI | FASTER FORWARDTM 何への対価なのか • BCP / DR 事業継続におけるリスクの一つとして • SEO - What are the Marketing Costs of a DDoS attack? http://www.seo-doctor.co.uk/marketing-costs-ddos-attack.html The Original Denial of Service ©2016 AKAMAI | FASTER FORWARDTM まとめ • Dark web と zero day market セキュリティ対策の限界 • 匿名化ツール 情報統制下の人々が利用する Tor / I2P, Legal Entity が利用する脆弱性 背後にある善意・悪意の識別 • ROI と トレードオフ 現実問題として、何を何処まで守るか。 それでも守れない場合の検出・対処 (リスク移転、受容) 経営課題としてのセキュリティ 経済産業省 サイバーセキュリティ経営ガイドライン , 20161208 http://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v1.1.pdf ©2016 AKAMAI | FASTER FORWARDTM 免責事項 当社は 当文書に掲載する情報について、 - 全て正しく全て安全で、全て有用であること - 特定目的に適合するものであること - 常に最新のものであること - コンピュータウィルスやその他の有害性を含まないこと 等に関して何等の保証を行なわず、当文書の利用に関連して生じるいかなる責任(直接的、間 接的、付帯的、派生的または懲罰的損害賠償の責任を含むがこれらに限定されない)も負うも のではありません。当文書の情報は、予告なしに変更することがあります。あらかじめご了承下 さい。なお、当社は、理由の如何に関わらず、当文書の内容の変更および当文書の運用の中 断または中止によって生じるいかなる損害についても責任を負うものではありません。 ©2016 AKAMAI | FASTER FORWARDTM Appendix Appendix. Dark web/market や Tor に関する お勧め • 闇ウェブ (文春新書), セキュリティ集団スプラウト, 20160721 https://the01.jp/ • Tor And The Dark net, Jared Norton, 20161021 • Research Center ブログ, Palo Alto https://www.paloaltonetworks.jp/company/in-the-news.html • Security blog, Akamai https://blogs.akamai.com/security/ ©2016 AKAMAI | FASTER FORWARDTM Appendix – セットアップや利用上の注意 • Tails OS 2.7 と Virtualbox 5.0.16 • linux カーネル 4.6 との互換性問題で動作しません。 • USB メモリにおける上書き禁止が機能するとは限らない • ブラウザでアクセスするだけでハッキングされるリスク • CPU その他の skew で PC を含む利用環境が特定されるリスク ©2016 AKAMAI | FASTER FORWARDTM Appendix. Tor の派生および追加機能 • HORNET, the alternative to Tor Network http://anonhq.com/hornet-alternative-tor-network/ • Secure Anonymous File Sharing – OnionShare https://offensivesec.blogspot.jp/2016/09/secure-anonymous-file-sharing-onionshare.html • 実際の利用例 Tails → 野良WiFi → Tor → VPN Gate / VIP72socks, etc.. ©2016 AKAMAI | FASTER FORWARDTM Appendix. ROI; 暗号解読のコスト – 24 時間、DES を想定 https://www.ipa.go.jp/files/000026760.pdf, 20130423 ©2016 AKAMAI | FASTER FORWARDTM Appendix. FBI に依るハッキングのリスク • [Rule 41] FBI's New Hacking Powers Take Effect This Week, 20161130 http://fortune.com/2016/11/30/rule-41/ • • Tor を含む秘匿サービスに対する権限の拡大 Firefox zero-day: Mozilla, Tor issue critical patches to block active attacks, 20161201 http://www.zdnet.com/article/firefox-zero-day-mozilla-tor-issue-critical-patches-to-block-activeattacks/ • Tor Browser における 0day 脆弱性に対する修正 ©2016 AKAMAI | FASTER FORWARDTM Appendix. • Finger printing, including CPU Skew, Window / Monitor size, etc.. New ways to fingerprint Tor Browser users discovered, 20160330 https://www.helpnetsecurity.com/2016/03/11/fingerprint-tor-browser-users/ • OpenPGP Web of Trust to verify the Key (偽の Tails OS を避ける) https://tails.boum.org/install/download/openpgp/index.en.html#wot ©2016 AKAMAI | FASTER FORWARDTM Appendix. SSL, SHA1, etc.. • SSL 対応状況の評価サイト https://www.ssllabs.com/ssltest/ ©2016 AKAMAI | FASTER FORWARDTM Appendix. SSL, SHA1, etc.. (cont.) • 2016年6月の合意(*1)以降、Chrome を始めとしたブラウザで SSL の安全性を評価するアイコンを表示(e.g. EV 証明書を含む 安全な接続には緑、など)。 • 先端が進む一方で、Android などではパフォーマンスを重視して十分な検証を 行わないアプリも。 間接的な信頼 • 2017年1月末までに Firefox, IE(Edge) および Chrome は SHA-1 証明書に 対する信頼を停止 ©2016 AKAMAI | FASTER FORWARDTM
© Copyright 2024 ExpyDoc