image

Tor tast in duister over operatie tegen illegale Tor-sites

maandag 10 november 2014, 10:40 door Redactie, 17 reacties

Vorige week werd bekend dat de FBI en Europol meer dan 400 illegale Tor-sites uit de lucht hebben gehaald, maar het Tor Project dat het Tor-netwerk onderhoudt tast nog steeds in het duister hoe de opsporingsdiensten te werk zijn gegaan. De uit de lucht gehaalde Tor-sites boden drugs en wapens aan.

De websites waren alleen benaderbaar via het Tor-netwerk. Door de websites op het Tor-netwerk te hosten zou ook de locatie van de webserver zijn afgeschermd. Toch slaagden de FBI en Europol erin om de websites uit de lucht te halen. Volgens sommige berichten zouden er verschillende servers van Torservers.net uit de lucht zijn gehaald. Ook zou er een huiszoeking bij de beheerder van een Tor-relay hebben plaatsgevonden.

De grote vraag, ook voor het Tor Project, blijft hoe de websites werden opgespoord. Daarbij wordt voor details vooral naar de komende rechtszaken gekeken. In totaal werden 17 mensen tijdens de operatie aangehouden. Tor-directeur Andrew Lewman stelt dat de openbare aanklager uiteindelijk aan de rechter moet uitleggen hoe de verdachten als verdachten konden worden aangemerkt. Op deze manier zou het Tor Project te weten kunnen komen of er lekken in Tor aanwezig zijn.

Operationele veiligheid

In afwachting van concrete details speculeert Lewman dat de meest voor de hand liggende verklaring is dat de beheerders van de illegale Tor-sites fouten in hun operationele veiligheid hebben gemaakt. De FBI verklaarde bijvoorbeeld dat ze de illegale marktplaats Silk Road 2.0 via undercoveragenten wisten te infiltreren. Een andere verklaring is dat de illegale Tor-sites met kwetsbaarheden te maken hadden, zoals SQL Injection. Veel van de illegale Tor-sites waren webshops die snel in elkaar waren gezet en daardoor mogelijk lek waren.

Ook wordt niet uitgesloten dat de opsporingsdiensten een aanval op het Tor-netwerk hebben uitgevoerd om de locaties te achterhalen. Er zouden op dit moment echter geen aanwijzingen zijn dat er bijvoorbeeld zero day-exploits tegen het Tor-netwerk zijn ingezet. Hoewel de code van Tor regelmatig wordt bekeken, hoopt Lewman dat meer mensen de code en ontwerpen van het Tor Project gaan auditen, om zo de veiligheid van Tor en Tor-sites in het algemeen te versterken.

Reacties (17)
10-11-2014, 11:19 door Anoniem
Uit de stukken van de rechtzaak zou moeten blijken hoe ze de sites hebben gevonden en geconfisqeerd hebben.

Kennelijk heeft met vertrouwen in LEA, terwijl die zich bezig houden met parallel construction. Iemand pakken op feit X, terwijl ze liever niet willen dat iedereen weet hoe ze het deden. Dan gaan ze op zoek naar een ander strafbaar feit waarbij ze ineens een Tor Server vonden.
10-11-2014, 11:56 door Anoniem
Goede kans dat de websites zichzelf hebben verraden doordat ze hun werkelijke IP-adres in een foutmelding of response header lieten zien. Je website aan Tor hangen is niet moeilijk, maar dan ben je nog niet anoniem. En laat dat nu al een paar jaar eerder zo gegaan zijn met clients. Daar dacht men eerst ook dat als je het Tor-net op kon dat voldoende was om anoniem te surfen.
10-11-2014, 11:59 door Anoniem
https://blog.torservers.net/20141109/three-servers-offline-likely-seized.html

4 nederlandse exitnode servers in beslag genomen

abbie
AB217D85D0AC461E98E1270F5AE404E5FD8238C8
AS Name NFOrce Entertainment BV

yahyaoui
4024B658462568C7E21A486006BEC60B244E86D8
AS Name NFOrce Entertainment BV

rainbowwarrior
8E52195B040ADD42B9E02693CF03DAFEAD1B2C04
AS Name NFOrce Entertainment BV

chomsky
C37C070A2895414DBCEB26A911A87166420D9D51
AS Name NFOrce Entertainment BV

"At the moment all of these exit nodes are down and we advise you to not use them in case they come back. "

Tijd dat er een functie optie in Tor wordt ingebouwd om hele landen domeinen te gaan uitsluiten. Dat zal dan niet alleen over de heel vergelegen domeinen meer gaan.

Wellicht beter nederlandse exitnodes helemaal maar te gaan mijden, voor zover je dat misschien niet al deed.
Dat scheelt kleine verveelde en vooral de grote excessieve meegluurders.
10-11-2014, 12:01 door Anoniem
Kennelijk heeft met vertrouwen in LEA, terwijl die zich bezig houden met parallel construction.

LEA zal in ieder geval met een dossier moeten komen dat de verdenkingen onderbouwt, anders is het zo lastig om tot een veroordeling te komen.

Iemand pakken op feit X, terwijl ze liever niet willen dat iedereen weet hoe ze het deden. Dan gaan ze op zoek naar een ander strafbaar feit waarbij ze ineens een Tor Server vonden.

Tja, dat kan wel. Maar dat is duidelijk niet wat hier aan de hand is. Immers is dit een onderzoek naar illegale TOR sites en hun gebruikers, en niet een onderzoek naar een specifiek persoon, die ze toevalligerwijze hebben kunnen oppakken t.g.v. een TOR server.
10-11-2014, 12:03 door RickDeckardt
De nieuwere versie van de Tor browser staat niet meer toe om als relay/exit node te functioneren. Het is alleen nog maar een client.

Dit introduceert de zwakheid waarmee een met aan zekerheid grenzende waarschijnlijkheid een client zijn bandwidth kan worden geprofiled.

Via bandwidth profiling (what comes in must come out) is het mogelijk de beide kanten van een versleuteld kanaal te identificeren en zo een tor-pad te volgen. Crypto of niet, alleen of er 'signaal' is is genoeg.

Om dit te doen moet je wel toegang hebben tot network counters per tcp verbinding. Core routers kunnen dit tegenwoordig prima doen. En internet providers houden dit zelfs bij (dataretentie).

Als je met je tor-client verbinding maakt met een silkroad2 oid, kan je met de juiste toegang hop-voor-hop kijken waar de verbinding hoogstwaarschijnlijk naartoe gaat. Zeker als die verbinding over niet al teveel landsgrenzen gaat (binnen de EU blijft bijvoorbeeld) is dit juridisch relatief makkelijk te doen. Een hopje op en neer naar de US kan ook nog.

Tor is niet zo veilig als gedacht wordt. De crypto mag dan wel snor zitten, maar er is nog steeds sprake van een verbinding die opgebouwd wordt.
10-11-2014, 13:47 door Anoniem
Dit soort spoofing services zouden ze van mij mogen verbieden. Het leent zich te goed voor criminele activiteiten en andere duistere praktijken.
.
10-11-2014, 14:43 door Anoniem
Door Anoniem: Dit soort spoofing services zouden ze van mij mogen verbieden. Het leent zich te goed voor criminele activiteiten en andere duistere praktijken.
.

Sorry, dit is mij iets te kort door de bocht. Criminele gebruiken techniek wat voor hen voorhanden is. Ja Tor kan voor illegale activiteiten gebruikt worden, net als een vliegtuig kan worden gebruikt om een toren klein te krijgen. Als er geen Tor is gebruiken ze gewoon iets anders. Duitste zaken, zoals het verkopen van drugs zoals gegeven in dit voorbeeld, zal ALTIJD blijven gebeuren zolang er vraag is. Is het niet via Tor, dan gebeurt het wel op een andere manier.
10-11-2014, 15:15 door Anoniem
Door RickDeckardt:Om dit te doen moet je wel toegang hebben tot network counters per tcp verbinding. Core routers kunnen dit tegenwoordig prima doen. En internet providers houden dit zelfs bij (dataretentie).

Ik weet niet welke providers jij hebt gesproken, maar ik ken geen (Nederlandse) providers die dit bijhouden. En al helemaal niet in het kader van data retentie. Ik geloof zelfs niet dat deze gegevens genoemd wordenin de wet.

Peter
10-11-2014, 15:32 door Anoniem
weet niet waar ik het had gelezen maar het was toch inmiddels bekend dat Tor door de Military ontwikkeld was en dat ze alles kunnen zien?
10-11-2014, 15:44 door Anoniem
Om dit te doen moet je wel toegang hebben tot network counters per tcp verbinding. Core routers kunnen dit tegenwoordig prima doen. En internet providers houden dit zelfs bij (dataretentie).

Onzin, want deze informatie wordt niet bijgehouden in het kader van data retention.
10-11-2014, 16:04 door Briolet
Door Anoniem: Dit soort spoofing services zouden ze van mij mogen verbieden. Het leent zich te goed voor criminele activiteiten en andere duistere praktijken.
.

+1
Als er via de beheerders van het Tor netwerk geen moeite gedaan wordt om criminele activiteiten via hun netwerk te ontmoedigen, dan is het beter om dat hele netwerk te verbieden en de beheerders van exit nodes financieel aansprakelijk te stellen voor het criminele verkeer wat via hun IP loopt.
10-11-2014, 16:37 door Anoniem
Door Briolet:
Door Anoniem: Dit soort spoofing services zouden ze van mij mogen verbieden. Het leent zich te goed voor criminele activiteiten en andere duistere praktijken.
.

+1
Als er via de beheerders van het Tor netwerk geen moeite gedaan wordt om criminele activiteiten via hun netwerk te ontmoedigen, dan is het beter om dat hele netwerk te verbieden en de beheerders van exit nodes financieel aansprakelijk te stellen voor het criminele verkeer wat via hun IP loopt.

Misschien moeten ze in hun disclaimer zetten dat hun services niet voor criminele doeleinden gebruikt mag worden, alleen maar voor vrijheidsstrijders, journalisten en mensen die niets voor de overheid te verbergen hebben. Zo, opgelost....of toch niet..werkelijk waar, jullie maken me aan het lachen, mijn dag is weer goed.
Misschien nooit in je opgekomen, dat Tor-ontwikkelaars zelf ook niet weten welke services waar zitten...misschien is dat wel het hele systeemontwerp achter TOR?
10-11-2014, 17:21 door drijfsandbox
Door RickDeckardt: De nieuwere versie van de Tor browser staat niet meer toe om als relay/exit node te functioneren. Het is alleen nog maar een client.

Dit introduceert de zwakheid waarmee een met aan zekerheid grenzende waarschijnlijkheid een client zijn bandwidth kan worden geprofiled.

Via bandwidth profiling (what comes in must come out) is het mogelijk de beide kanten van een versleuteld kanaal te identificeren en zo een tor-pad te volgen. Crypto of niet, alleen of er 'signaal' is is genoeg.
Dan zorg je toch ook voor wat "random" Tor verkeer?

Daarnaast vertragen langzame en onstabiele relays het netwerk.
Relays in the top 10% of the network are 164 times faster than
relays in the 50-60% range, 1400 times faster than relays in the
70-80% range, and 35000 times faster than relays in the 90-100% range.

In fact, many relays are so slow that they provide less bytes to the
network than it costs to tell all of our users about them. There
should be a sweet spot where we can set this cutoff such that the
overhead from directory activity balances the loss of capacity from
these relays, as a function of userbase size.
https://lists.torproject.org/pipermail/tor-dev/2014-September/007538.html
10-11-2014, 17:26 door drijfsandbox
Het schijnt dat de meeste services niet op een dedicated server draaiden:

"Common factor of many #Tor HS stolen in the last few days seems to be shared hosting companies. Are we seeing results from special search?" - https://twitter.com/ioerror/status/531590749587275779
10-11-2014, 18:01 door Anoniem
Door Briolet:
Door Anoniem: Dit soort spoofing services zouden ze van mij mogen verbieden. Het leent zich te goed voor criminele activiteiten en andere duistere praktijken.
.

+1
Als er via de beheerders van het Tor netwerk geen moeite gedaan wordt om criminele activiteiten via hun netwerk te ontmoedigen, dan is het beter om dat hele netwerk te verbieden en de beheerders van exit nodes financieel aansprakelijk te stellen voor het criminele verkeer wat via hun IP loopt.

Vertaald :

-3
Als er door reageerders van security.nl geen moeite gedaan wordt om zich inhoudelijk in het onderwerp te verdiepen, dan is het beter om dat soort overvoorspelbare reactionaire reacties te ontmoedigen en de posters van dit soort uitlokkerij inhoudelijk aan te spreken op het meestens overbodige borrelpraat verkeer dat helaas te vaak via deze reageerkolommen loopt.

Samengevat, terugkerend hit and run gedrag, het regelmatig poneren van reactionare stellingen om vervolgens niet meer te reageren op de reacties die het heeft losmaakt.
Komt behoorlijk in de buurt van trolling.
Vermoedelijk weinigen zitten op dit soort verveling te wachten.
10-11-2014, 19:26 door Anoniem
Door Briolet:
Door Anoniem: Dit soort spoofing services zouden ze van mij mogen verbieden. Het leent zich te goed voor criminele activiteiten en andere duistere praktijken.
.

+1
Als er via de beheerders van het Tor netwerk geen moeite gedaan wordt om criminele activiteiten via hun netwerk te ontmoedigen, dan is het beter om dat hele netwerk te verbieden en de beheerders van exit nodes financieel aansprakelijk te stellen voor het criminele verkeer wat via hun IP loopt.
Menen jullie dat nu echt serieus? Trek diezelfde gedachtegang eens door, dan kun je werkelijk alles wel gaan verbieden.

Daarbij zijn een hoop van die mafkezen nu van het clearweb af, laat maar lekker traag-zaad-surfen via Tor hoor!
19-11-2014, 10:59 door Anoniem
Door Anoniem:
Door Briolet:
Door Anoniem: Dit soort spoofing services zouden ze van mij mogen verbieden. Het leent zich te goed voor criminele activiteiten en andere duistere praktijken.
.

+1
Als er via de beheerders van het Tor netwerk geen moeite gedaan wordt om criminele activiteiten via hun netwerk te ontmoedigen, dan is het beter om dat hele netwerk te verbieden en de beheerders van exit nodes financieel aansprakelijk te stellen voor het criminele verkeer wat via hun IP loopt.

Misschien moeten ze in hun disclaimer zetten dat hun services niet voor criminele doeleinden gebruikt mag worden, alleen maar voor vrijheidsstrijders, journalisten en mensen die niets voor de overheid te verbergen hebben. Zo, opgelost....of toch niet..werkelijk waar, jullie maken me aan het lachen, mijn dag is weer goed.
Misschien nooit in je opgekomen, dat Tor-ontwikkelaars zelf ook niet weten welke services waar zitten...misschien is dat wel het hele systeemontwerp achter TOR?

En wie bepaalt dan wat de omschrijving is van "criminele activiteiten"? Ik kan me bv. goed voorstellen dat het lezen van deze site in China als een criminele activiteit beschouwd wordt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.