image

Onderzoek: Tor-exitnodes passen html-pagina's niet aan

donderdag 31 december 2015, 10:46 door Redactie, 5 reacties

Gebruikers van het Tor-netwerk hoeven niet bang te zijn dat de webpagina's die ze via het anonimiteitsnetwerk opvragen worden aangepast, zo stelt de Belgische beveiligingsanalist Koen van Impe aan de hand van eigen onderzoek. Tor is een anonimiseringsnetwerk waarbij gebruikers via verschillende computers verbinding met het internet maken. De laatste computer waardoor het Tor-verkeer gaat voordat het de eindbestemming bereikt is de Tor-exitnode of exitrelay.

De exitnode voert het verzoek van de Tor-gebruiker uit, bijvoorbeeld om een bepaalde website op te vragen. De opgevraagde website wordt vervolgens weer over het Tor-netwerk naar de gebruiker teruggestuurd. De exitnode is in staat om de pagina of download die naar de gebruiker wordt gestuurd, als het geen https-pagina is, aan te passen. Vorig jaar werd er nog een exitnode ontdekt die malware aan downloads toevoegde.

Voor zijn onderzoek maakte Van Impe een testpagina, voorzien van content die het aantrekkelijk voor een aanvaller zou maken om ernaar te kijken. Het ging om metadata en inlogformulier van verschillende banken en sleutelwoorden met betrekking tot porno. Vervolgens maakte hij een hash van het bestand. Als de exitnodes de testpagina zouden aanpassen, zou de hashwaarde niet meer overeenkomen.

In totaal vroeg Van Impe zijn testpagina 1568 keer op en geen enkele keer bleek te inhoud te zijn aangepast. "Bij een standaard html-pagina blijken Tor-exitnodes de teruggestuurde content niet aan te passen." De onderzoeker stelt wel dat dit niet inhoudt dat het niet voorkomt. Ook kan niet worden uitgesloten dat exitnodes Tor-gebruikers afluisteren en zouden pagina's van bijvoorbeeld Facebook of Google andere resultaten kunnen opleveren.

Reacties (5)
31-12-2015, 13:39 door karma4
Titel artikel klopt niet met conclusie, erger lijkt tegenstrijdig te zijn:
"De onderzoeker stelt wel dat dit niet inhoudt dat het niet voorkomt. Ook kan niet worden uitgesloten dat exitnodes Tor-gebruikers afluisteren en zouden pagina's van bijvoorbeeld Facebook of Google andere resultaten kunnen opleveren. "
31-12-2015, 16:38 door Anoniem
Door karma4: Titel artikel klopt niet met conclusie, erger lijkt tegenstrijdig te zijn

Klopt, dit soort "feiten" kun je niet bewijzen met onderzoek. Dat is principieel onmogelijk.

Dit is hetzelfde als dat je met testen niet kunt aantonen dat een product geen fouten bevat.
Met testen kun je alleen aantonen dat er WEL fouten in zitten. Dan kun je het corrigeren en weer testen, en constateren
dat de fouten die je gevonden had nu verdwenen zijn.
Echter dat voorkomt niet dat anderen toch nog fouten vinden.
01-01-2016, 12:03 door Briolet
Door Anoniem:
Door karma4: Titel artikel klopt niet met conclusie, erger lijkt tegenstrijdig te zijn

Klopt, dit soort "feiten" kun je niet bewijzen met onderzoek. Dat is principieel onmogelijk.

Het is eigenlijk erg dat zo'n non-onderzoek hier vermeldt wordt. Hij test een bedroevend klein aantal keren (1568 keer), waarbij slechts 369 exitnodes bekeken zijn. Op grond daarvan doet hij een harde uitspraak over alle exit nodes.

Als dat het niveau is van onze beveiligingsonderzoekers, snap ik wel waarom het zo slecht gesteld is met de IT beveiliging. Zijn stelling is vergelijkbaar met het analyseren van een paar duizend websites en dan te zeggen dat je rustig met verouderde plugins kunt surfen want er bestaan geen besmette websites.
01-01-2016, 14:33 door Anoniem
Het is eigenlijk erg dat zo'n non-onderzoek hier vermeldt wordt. Hij test een bedroevend klein aantal keren (1568 keer), waarbij slechts 369 exitnodes bekeken zijn. Op grond daarvan doet hij een harde uitspraak over alle exit nodes.

Er zijn in totaal een 1000 exitnodes, dat maakt dat er een kleine 4/10 zijn getest. Dat lijkt me vrij representatief.
01-01-2016, 20:52 door Anoniem
Oei!

Een geruststellend berichtje over Tor.
Dat kan natuurlijk niet : eroverheen en ff (blind tegen de wind in) pissen
(was het geen voornemen daar mee op te houden of is het alweer geschaad?).

Dat misbruik kan betekent niet dat het ook gebeurt.
Dat het niet is vastgesteld betekent niet dat het niet voorkomt maar bevestigt ongetwijfeld de indruk van menig Torbrowser gebruiker dat het in ieder geval dan slechts heel sporadisch zal voorkomen.

Die laatste indruk kan je ook onderbouwen met uitkomsten van andere onderzoekjes rondom misbruik van exitnodes door andere onderzoekers.
Er wordt wel gesniffed op exitnodes maar niet heel veel (door criminelen of door overheden?), het is voorgekomen dat een onverpakte download executable van een container met een extraatje werd voorzien (in voorkomende gevallen op een .ru domein node) maar het is in de verste verte geen algemeen voorkomend probleem.

Check je voorkomende downloads zelf maar door ze dubbel binnen te halen en de sha waardes ervan met elkaar te vergelijken.

Het netwerk wordt gemonitord en slechte exitnodes worden geflagged waardoor ze voor de Torbrowser gebruikers geen gevaar meer zijn.
Op de snelheid waarmee dat gebeurt worden wel eens aanmerkingen gemaakt.
Verder wordt er aan de veiligheid van het netwerk en de software voortdurend gewerkt, zoals dat met andere software (als het goed is) ook het geval is.

Tot slot ben je er als gebruiker er in belangrijke mate zelf bij.
Vertrouw je een bepaalde exitnode niet?
Is de verbinding wel heel erg traag?
Dan is het vernieuwen van je verbinding (dus met een nieuwe route) onder Torbutton een hele simpele kleine moeite en heb je een nieuwe situatie die je opnieuw kan beoordelen.

Laat je in ieder geval niet bang maken door mensen die Tor helemaal niet gebruiken en tegen zijn om het tegen zijn om online te kunnen brullen, maar zonder kennis van de feiten en daadwerkelijke ervaring met de techniek en of Torbrowser.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.