News Nawet Tor nie ochroni anonimowości przed Windowsem

Mimo że korzystanie trasowanie cebulowe oferowane przez przeglądarkę Tor Browser można uznać za dobry punkt wyjścia do zapewnienia sobie anonimowości w Sieci, to nie gwarantuje ona jednak całkowitego bezpieczeństwa. Przekonał się o tym człowiek, który upublicznił na prywatnym blogu listę płac zatrudniającej go firmy. Tym, co go zdradziło były… ślady działalności, jakie zapisał system operacyjny Windows.

Jak donosi Zaufana Trzecia Strona, lista pracowników pewnej firmy została opublikowana na łamach bazującego na systemie Wordpress blogu. Rezultatów nie przyniosła informacja o adresie IP publikującego – znajdował się on w sieci Tor.

Podobno najprostszą metodą, aby dowiedzieć się gdzie ktoś znajduje, jest dowiedzieć się gdzie przebywał wcześniej. Śledczy postanowili zatem przeanalizować historię modyfikacji arkusza kalkulacyjnego, który zawierał wyciekłe dane. Na jaw wyszło wówczas, że na krótko przed publikacją był on uruchamiany. Kolejnym krokiem było zatem gruntowne przeszukanie komputera osoby, która otworzyła arkusz. To mogłoby oznaczać początek końca pracownika.

Tak się jednak nie stało – na jego komputerze nie zostały zapisane jakiekolwiek informacje o odwiedzinach na stronach Wordpressa. Wówczas śledczy zdecydowali przeszukać cały dysk pod kątem występowania frazy będącej adresem panelu administracyjnego bloga. Trafiony, zatopiony. Okazało się, że plik stronicowania (pagefiles.sys) zawiera liczne fragmenty danych z RAM-u, które udowadniają, że właściciel odwiedził wiadomy adres. Problem stanowił fakt, że informacje jednoznacznie wskazywały na to, że dokonał tego za pomocą Firefoksa, choć przeglądarka nigdy nie była zainstalowana na komputerze.

Rozwiązanie zagadki znów przyniósł nieszczęsny pagefiles.sys. Zawierał on bowiem ostateczny dowód zbrodni w postaci informacji, że mniej więcej w porze publikacji danych, za pomocą zainstalowanego na komputerze Chrome'a pobrano Tor Browsera. Dzięki analizie Prefetcherów możliwe było nawet określenie, że program został uruchomiony tylko raz.

Można zakładać, że śledczy byli przekonani o winie konkretnego pracownika od momentu poznania danych ostatniej osoby, która modyfikowała arkusz z danymi zatrudnionych – prześledzenie jego działalności służyło zapewne tylko znalezieniu dowodu. To, co zdołał ukryć Tor, zostało jednak zdemaskowane przez mechanizmy działania Windowsa.