FBI gebruikte Metasploit om Tor-gebruikers te identificeren
De FBI heeft een onderdeel van de populaire hackingtool Metasploit gebruikt om Tor-gebruikers te identificeren. Metasploit is een tool waarmee penetratietesters en beveiligingsexperts de veiligheid van systemen en netwerken testen. Het wordt nu ontwikkeld en beheerd door beveiligingsbedrijf Rapid7.
Wired meldt dat de FBI in 2012 een onderdeel van Metasploit inzette om succesvol verschillende Tor-gebruikers via Adobe Flash Player te identificeren. De Amerikaanse opsporingsdienst maakte daarbij gebruik van een verlaten Metasploit-project genaamd "Decloaking Engine". Het ging om een in 2006 ontwikkeld experimenteel concept waarbij meerdere trucs werden gebruikt om gebruikers van een anonimiseringsdienst zoals Tor via een speciaal opgezette website te achterhalen. In het geval de Tor-gebruiker zijn installatie goed had beveiligd kon hij niet via de website worden geïdentificeerd. Als gebruikers echter een fout maakten werd hun werkelijke IP-adres zichtbaar.
Flash Player
Eén van de trucs was het gebruik van een Flash-applicatie. Adobe Flash Player kan een directe verbinding over het internet opzetten en zo het IP-adres van de gebruiker lekken. Een bekend probleem en het Tor Project adviseert gebruikers dan ook om Flash Player niet te installeren. Uiteindelijk verscheen er in 2011 een versie van Tor Browser, de software om het Tor-netwerk te benaderen, waardoor gebruikers beter beschermd waren en de testwebsite die voor de Decloacking Engine was opgezet bijna geen gebruikers meer identificeerde.
De FBI gebruikte Decloaking Engine echter als basis voor een operatie tegen kinderpornosites op het Tor-netwerk. De opsporingsdienst had toegang tot verschillende van deze sites gekregen en liet ze vervolgens Flash-programma's in de browsers van bezoekers uitvoeren om zo hun echte IP-adres te achterhalen. In totaal werden 25 gebruikers in de Verenigde Staten geïdentificeerd en een onbekend aantal daarbuiten. Volgens Wired is het de eerste keer dat de FBI spyware-achtige software tegen alle bezoekers van een website inzette in plaats van gericht tegen bepaalde individuen te gebruiken.
Identificatie
Het is echter onbekend of de FBI de standaard Decloaking Engine heeft gebruikt of een aangepaste versie. H.D. Moore, de oorspronkelijke ontwikkelaar van Metasploit en de Decloaking Engine, stelt dat zijn versie nauwelijks nog Tor-gebruikers kon identificeren. Alleen verdachten met een zeer oude Tor-versie of die veel moeite hadden gedaan om Flash Player te installeren zouden risico hebben gelopen.
Op deze manier zou de FBI zich alleen op verdachten met de slechtste operationele beveiliging hebben gericht in plaats van de grootste overtreders. Een aantal maanden later had de FBI het weer op Tor-gebruikers voorzien. Toen werd er een exploit voor een bekend Firefox-lek gebruikt om het IP-adres en MAC-adres van Tor-gebruikers te achterhalen. Wederom ging het om gebruikers met een slechte operationele beveiliging, aangezien het aangevallen Firefox-lek in de meest recente versie van Tor Browser al was opgelost.
Spijtig dat er nog steeds geen enkel deftig alternatief is voor Flash-Player of ik kijk ernaast.
Graag advies inzake de flash, afsluiten is een probleem omdat ik utube nieuwsclips filmpjes gebruik.
Wel besef ik intussen dat we in een soort gekkenhuis wonen.
Graag advies inzake de flash, afsluiten is een probleem omdat ik utube nieuwsclips filmpjes gebruik.
Wel besef ik intussen dat we in een soort gekkenhuis wonen.
Je kunt de Youtube HTML5 player gebruiken:
https://www.youtube.com/html5
Simpeler antwoord : de Flashplugin staat standaard geblokkeerd in Torbrowser.
Te zien in het addon menu, tab plugins; 'Never activate'
Voor het bekijken van flash content zul je dat tegenwoordig dan eerst zelf in iets anders moeten veranderen, "Ask to activate", "Always Activate".
De standaard NoScript settings in Torbrowser blokkeren Flash content niet, alsook andere embeddings niet als; 'Java', 'Silverlight' en 'other plugins', en de opties 'AUDIO / VIDEO', 'IFRAME', 'FRAME', '@font face'.
Vanuit security overwegingen is het wat mij betreft sterk aan te raden of te overwegen sommigen block opties wel aan te vinken, in ieder geval de IFRAME en 'Java' optie en de optie "Ask for confirmation before temporarily unblocking an object.
Ga daarna naar de NoScript Tab Appearance en vink aanin de linker kolom de optie "Temporarily allow".
Jamaar dan ben je uniek!
Nee dat valt nog wel mee, wel wat unieker
Test het maar op https://panopticlick.eff.org
Sta voor de test op die pagina wel javascripts toe.
Javascript niet toestaan is in zijn algemeenheid het veiligst omdat verreweg de meeste functionaliteit gebaseerd is op javascripts maar werkt met de test op deze site niet om de uniciteit van je browserprofiel te meten.
In tegenstelling tot wat je nog wel eens hoort, best veel sites werken nog redelijk tot prima zonder toestaan van javascripts.
Sta alleen de scripts toe van het domein zelf en niet de vele anderen als het niet hoeft.
Html5 (ogg?) video kan je zonder activatie van de flashplugin of extra players bekijken in je Torbrowser.
Ligt je interesse bij het bekijken van veel (legale!) video content dan is een VPN verbinding misschien een betere en logischer keuze dan Tor?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
