image

FBI gebruikte malware voor identificatie Tor-gebruikers

dinsdag 5 augustus 2014, 13:22 door Redactie, 3 reacties

De FBI heeft drive-by downloads gebruikt om malware onder Tor-gebruikers te verspreiden waardoor hun identiteit achterhaald kon worden, zo blijkt uit gerechtelijke documenten. Een drive-by download is code die op een website wordt toegevoegd en misbruik maakt van lekken in de software van bezoekers.

Vaak gaat het om kwetsbaarheden die bekend zijn en niet door bezoekers zijn gepatcht. Het is al langer bekend dat de FBI malware inzet. De manier waarop het systemen weet te infecteren is echter veranderd. Het gebruik van drive-by downloads, een tactiek die op grote schaal door cybercriminelen wordt toegepast voor het infecteren van computers met malware, zou voor het eerst zijn gebruikt tijdens "Operation Torpedo".

Nederland

Deze operatie begon in Nederland, in augustus 2011. Agenten van de National High Tech Crime Unit schreven een webcrawler om websites op het Tor-netwerk te vinden. Tor laat internetgebruikers hun IP-adressen verbergen om zo hun privacy te beschermen. Ook is het mogelijk om websites te hosten die alleen via het Tor-netwerk toegankelijk zijn. Deze websites eindigen op de extensie .onion.

De webcrawler van de politie verzamelde alle .onion-adressen die het kon vinden. Vervolgens werden alle verzamelde websites door Nederlandse agenten bezocht en kon er zo een lijst worden opgesteld van sites die kinderpornografie bevatten. Met een bevel van de Rotterdamse rechtbank probeerden de agenten vervolgens te achterhalen waar de sites zich bevonden.

Tor beschermt namelijk niet alleen het IP-adres van gebruikers, ook de locatie van .onion-websites wordt afgeschermd. De agenten ontdekten echter een website genaamd "Pedoboard" waarbij de eigenaar het beheerdersaccount had open laten staan, zonder wachtwoord. Hierdoor konden Nederlandse politieagenten inloggen en het echte IP-adres van de server waarop de website draaide achterhalen. Het bleek om een Amerikaans IP-adres te gaan.

Code

De informatie werd aan de FBI overhandigd, die het IP-adres aan een 31-jarige Amerikaan koppelde. De Amerikaan bleek niet één, maar twee kinderpornosites op de server te hosten, alsmede een derde in zijn eigen huis. De FBI wist uiteindelijk een gerechtelijk bevel te krijgen waardoor het de code van de websites kon aanpassen, zodat er een "network investigative technique" (NIT) op de computers van bezoekers kon worden geïnstalleerd. De NIT had als enige functie om het echte IP-adres van de bezoekers door te geven. Dit leverde uiteindelijk 14 arrestaties op.

De FBI moet nu het gebruik van drive-by downloads verdedigen. Volgens advocaten van de verdediging zouden de verdachten niet op tijd over de gebruikte methode zijn ingelicht. Sommigen zouden pas een jaar later te horen hebben gekregen dat er kwaadaardige code op hun computer was geplaatst. Vorige week verwierp een magistraatrechter de motie van de advocaten en stelde dat de Amerikaanse overheid niet in slecht vertrouwen had gehandeld. De zaak zal nu door een districtsrechter worden beslist.

Glijdende schaal

Privacyexpert Christopher Soghoian stelt dat het gebruik van deze techniek tegen kinderporno waarschijnlijk de beste reden is om het toe te passen. Hij is echter bang voor een glijdende schaal. "Je kunt je makkelijk voorstellen dat ze dit op een jihadistisch forum toepassen", zo laat hij tegenover Wired weten. Dit soort fora worden echter niet alleen door jihadisten bezocht, maar ook door journalisten, advocaten en onderzoekers.

Daarnaast zijn er ook zorgen over de gebruikte woordkeuze, waardoor rechters mogelijk niet goed weten waarvoor ze tekenen. Beveiligingsexperts beschouwen de NIT als malware en stellen dat er misbruik van beveiligingslekken wordt gemaakt om op de computer van een verdachte in te breken en malware te plaatsen. De omschrijving laat echter weten dat: "onder de NIT die dit gerechtelijk bevel goedkeurt, wordt de inhoud van de website met aanvullende computerinstructies aangepast." Dit zou een heel ander beeld van de techniek geven.

Freedom Hosting

De tactiek is mogelijk ook door de FBI tijdens een operatie tegen Freedom Hosting ingezet. Hierbij werd een lek in de Firefox-versie van Tor Browser gebruikt om bezoekers van de websites van Freedom Hosting te identificeren. Tor Browser is een combinatie van Firefox en software om verbinding met het Tor-netwerk te maken. Het lek was al bekend en gepatcht in de meest recente Firefox-versie van Tor Browser. Er waren echter nog steeds gebruikers die met een verouderde versie surften en zodoende konden worden aangevallen. Details over de operatie zijn echter nog altijd niet vrijgegeven.

Volgens Wired laten de ontwikkelingen zien dat het Amerikaanse Ministerie van Justitie het gebruik van drive-by downloads wil uitbreiden. Zo is er onlangs gevraagd om de manier aan te passen wanneer en hoe een federale rechter een zoekbevel uitgeeft. De aanpassing vermeldt nadrukkelijk het gebruik van "remote access" om toegang tot elektronische opslagmedia te krijgen en om elektronisch opgeslagen informatie in beslag te nemen of te kopiëren. Soghoian stelt dan ook dat er een publiek debat moet komen over het gebruik van deze technologie en technieken.

"Het is één ding om te zeggen dat we een bepaalde computer gaan doorzoeken, het is een ander om te zeggen dat we elke computer gaan doorzoeken die een bepaalde website bezoekt, zonder te weten hoeveel het er zijn of uit welke stad, staat of landen ze afkomstig zijn."

Reacties (3)
05-08-2014, 13:39 door Anoniem
bauxiet: blijkbaar heeft de FBI het liever dat de Nederlandse politie een probleem heeft dan gewoon toe te geven dat ze rechtstreeks in TOR kunnen.
05-08-2014, 13:53 door Anoniem
Puntje van orde: Top-level domains zijn geen "extensies", ondanks wijdverspreid misbruik van de term. De reden is doodsimpel en voor de hand liggend als je even nadenkt over hoe het domain name system dan wel werkt.

Privacyexpert Christopher Soghoian stelt dat het gebruik van deze techniek tegen kinderporno waarschijnlijk de beste reden is om het toe te passen.
Dit lijkt me in geen velden of wegen een passende vertaling voor wat er in het wired stuk staat:
"If Congress decides this is a technique that’s perfectly appropriate, maybe that’s OK. But let’s have an informed debate about it."

Persoonlijk denk ik dat het zeer bevraaglijk is om zulke technieken toe te passen in een rechtssysteem met zelfs maar de minste pretenties op een morele superioriteit om oordelen op te stoelen. Om het even om welke reden, inclusief kinderporno, terrorisme, auteursrechtenschending, of wat er deze week politiek incorrect is. Maar de waan van de dag zal wel weer een sterkere motivator blijken dan principieele afwegingen.
05-08-2014, 17:40 door Anoniem
Een drive-by download is code die op een website wordt toegevoegd en misbruik maakt van lekken in de software van bezoekers.

Volgens mij is een drive-by download niets anders dan een autodownload scriptje op een webpagina wat ervoor zorgt dat de download van een file op de achtergrond start zodra je die pagina bezoekt.
Dat file kan van alles zijn en hoeft niet per se malware te bevatten.

In dit geval betrof de drive-by download mogelijk een klein scriptje dat een computer na de download slechts even direct en zonder omweg liet 'terug'bellen naar de server van de speurders?
Een soort variatie eigenlijk op een webbug, dat is niet verboden, maar dan net iets anders georganiseerd door een ander programma dan de browser aan te roepen voor het 'terug'belletje.

Klein praktisch verschil voor de speurders maar juridisch lastiger houdbaar?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.