image

Windows DRM-bestand kan ip-adres Tor-gebruikers onthullen

donderdag 2 februari 2017, 14:56 door Redactie, 12 reacties

Tor-gebruikers doen er verstandig aan om geen DRM-bestanden te openen, aangezien dit kan worden gebruikt om hun ip-adres te achterhalen. Daarvoor waarschuwt Hacker House, een team van hackers dat eerder al een kwetsbaarheid in de Noord-Koreaanse Linuxdistro Red Star ontdekte.

Digital Rights Management (DRM) is een licentietechnologie die het illegaal verspreiden van mediabestanden moet tegengaan. De technologie versleutelt de audio- en videostreams met een encryptiesleutel en vraagt bij het openen van het bestand de licentie (decryptiesleutel) aan een netwerkserver. Doordat gebruikers met internet verbonden moeten zijn om de techniek te laten werken, kan die worden gebruikt om de gebruiker zonder dat die het weet een netwerkverzoek te laten versturen. Iets wat een risico voor Tor-gebruikers is, die juist van het Tor-netwerk gebruikmaken om hun ip-adres en privacy te beschermen.

De computer zal bij het openen van het DRM-bestand namelijk het echte ip-adres naar de netwerkserver terugsturen, waardoor de Tor-gebruiker kan worden ontmaskerd. Om een dergelijke aanval te laten slagen moet het doelwit wel Tor Browser op Windows gebruiken. "Bij het openen en downloaden van bestanden waarschuwt Tor Browser dat bestanden van derde partijen je ip-adres kunnen blootstellen en via Tails geopend moeten worden", aldus de hackers. Ze benadrukken dat het hier niet gaat om een aanval tegen Tor, maar dat deze methode wel kan worden gebruikt om mensen te identificeren die verboden media proberen te bekijken. Hieronder een demonstratie van de aanval.

Image

Reacties (12)
02-02-2017, 15:18 door Anoniem
Dat doen Malware en virusscanner ook. Bij het controleren van websites (webprotectie modules) communiceren ze het oorspronkelijk IP adres. Vandaar dat web protectie modules standaard uitgaan wanneer ik via TOR en/of VPN iets wil gaan doen. Wellicht is het ook beter om de updates (tijdelijk) uit te zetten omdat deze waarschijnlijk ook het originele IP meesturen bij het contact met de update server. Bij ESET en bij Malwarebytes heb ik dat eerder al vastgesteld. Ik verdenk Windows update daar ook van maar deze staat bij mij standaard uit waarbij ik deze eens in de week een keer aanzet om te zien of er nog updates zijn. Dan staan VPN en TOR uiteraard uit.
02-02-2017, 15:45 door Anoniem
Deze video lijkt me een geweldig voorbeeld voor een leuke securitykwiz ;)

Wat gaat hier allemaal niet helemaal lekker kijkend naar de Torbrowser?
In hoeverre heeft dit voorbeeld ècht met Torbrowser te maken?
In hoeverre is deze aanpak origineel, andere vergelijkbare voorbeelden bekend?

Wat kan je hier aan doen in Torbrowser?
Wat kan je hier aan doen op je systeem?

Is deze aanvalsmethode bedoeld voor slimmies of voor dummies?

Het valt me nog mee dat er niets verstopt zat in de vimeo mp4.
Dat was een schitterend zelfbevestigend voorbeeld geweest.
Maar nee, geen enkele outbound connectie poging tijdens het afspelen van de video buiten de browser om.

Want, ik wist het 'ook' niet exact en heb het nagezocht, ook mp4 kan nog eventueel drm bevatten *, dat is niet alleen voorbehouden aan flash of wmv format!
Dus dat is wel een dingetje op om te letten want mp4 is standaard tegenwoordig met html5 video, en wmv gebruikt niemand meer (toch?).

Tip: firewall beheer!
Opdat niet elk programma dat je opent zonder jouw toestemming connectie legt met het internet! Want dit heeft namelijk helemaal niets met Torbrowser te maken!
Het is een variatie op de bekende webbug uitgevoerd met een fillempie van hacking willempie.

En als je voortaan het zekere voor het onzekere wil nemen dan ook html5 video materiaal niet direct bekijken maar downloaden en offline of met firewallprotectie bekijken.
Kwestie van even de juiste url uit de html pagina code vissen, kan ook bij vimeo.
Wat ik voor de zekere gelegenheid bij dit nieuwsvoorbeeld maar even had gedaan. ;)


* https://en.wikipedia.org/wiki/FairPlay
02-02-2017, 16:27 door Anoniem
Door Anoniem: [...] Ik verdenk Windows update daar ook van maar deze staat bij mij standaard uit waarbij ik deze eens in de week een keer aanzet om te zien of er nog updates zijn. [...]

Medewerkers van internationaal opererende NGO's, zoals Reporters sans Frontières, wordt sterk aangeraden om Tor vooral niet onder MS Windows en/of Apple MacOS toe te passen. Wil men Tor voor serieuze onderzoeksjournalistiek toepassen, dan is het aan te bevelen om een geharde Linux distributie, of anders OpenBSD, toe te passen.

De interne werking van de gesloten, commerciele systemen is uitermate slecht gedocumenteerd en ze zijn eenvoudigweg niet veilig voor Tor toepassingen. Een Tails CD-ROM laden op een RAM-disc of een geheeld versleuteld Qubes OS op een SSD toepassen, ligt meer voor de hand. Tor onder MS Windows toepassen is vragen om problemen.
02-02-2017, 17:20 door Anoniem
Ach, ik heb toch niks te verbergen..
02-02-2017, 18:30 door Anoniem
Tor waarschuwt al bijna sinds het begin dat je geen bestanden of diensten moet gebruiken om je anoniemiteit te waarborgen.

De zogenaamde ontdekking van Hacker House is niet nieuw en vooral leuk voor tor-gebruikers die geen flauw benul hebben waarom ze bepaalde applicaties en services gebruiken terwijl ze anoniem willen blijven.
02-02-2017, 18:54 door Anoniem
En wat te denken van Tor binnen een vmware machine waarbij de host nog eens vpn connect ?
02-02-2017, 19:47 door Anoniem
Voor DRM heb je toch een plug-in nodig? Dat is een blob (binair bestand met onbekende inhoud). Zoiets gebruik je toch niet op een Tor Browser?
02-02-2017, 20:16 door Anoniem
Ik dacht eerst van "wat heeft dit met Tor te maken?", maar bedacht me toen dat natuurlijk een website die jij met Tor bezoekt jou kan verleiden een bestandje te downloaden waarna jouw echte ip adres naar de beheerder achter de website wordt gestuurd.

Nou niet een hele schokkende hack als je mij vraagt, desondanks dat: altijd oppassen.
02-02-2017, 20:21 door Anoniem
Als je toch gebruikers zover krijgt om een .DRM bestand te openen is er nog iet's VEEL makkelijkers.

Je host op de website die de gebruiker bezoekt een .HTML file die als download wordt aangeboden wanneer deze wordt bezocht met daarin een simpel script om een IP (en wellicht custom gegenereerde data om de user te linken aan de bezochte pagina) te versturen naar een remote server.

User download het bestand, wil deze openen, en als de Tor Browser niet de default browser is, wordt het bestand in een andere niet-tor-browser geopend en wordt de connectie met de remote server gemaakt via het normale IP adres.
03-02-2017, 11:02 door Anoniem
Door Anoniem: En wat te denken van Tor binnen een vmware machine waarbij de host nog eens vpn connect ?

De VM machine voegt niets toe, maar de VPN wel. In dat geval zal het IP adres van de VPN proxy onthuld worden, in plaats van de uiteindelijke Tor exit node.
03-02-2017, 12:12 door Anoniem
Door Anoniem:
Door Anoniem: En wat te denken van Tor binnen een vmware machine waarbij de host nog eens vpn connect ?

De VM machine voegt niets toe, maar de VPN wel. In dat geval zal het IP adres van de VPN proxy onthuld worden, in plaats van de uiteindelijke Tor exit node.

Tuurlijk voegt een VM wat toe. Het is zelfs uiterst belangrijk om een VM of LiveOS te gebruiken icm encrypted storage, het systeem mag nooit zijn eigen of jou identiteit kennen. Als jij TOR gebruikt op een normale windows pc waar al je dagelijkse gegevens op staan en jij inlogt met je eigen naam en als administrator zal het never nooit veilig worden. Tevens wil je dat de VM alleen zijn interne (NAT) IP adres kent en niet direct naar de buitenwereld of de rest van je netwerk kan praten (VLAN OF NAT) De verbinding mag alleen over een VPN tunnel daar buiten kunnen en/of via TOR. Liefst nog met een paar hops er tussen.

Het belangrijkste is dus, dat je er altijd vanuit moet gaan dat je systeem besmet/gehackt/etc kan worden, hoe goed je ook patched of je best doet je houd dat toch niet tegen.. Het systeem mag niks weten over zijn gebruiker, zijn locatie of zijn netwerk of IP adres. Zelfs het MAC adres wil je nog spoofen waarschijnlijk.
03-02-2017, 12:37 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: En wat te denken van Tor binnen een vmware machine waarbij de host nog eens vpn connect ?

De VM machine voegt niets toe, maar de VPN wel. In dat geval zal het IP adres van de VPN proxy onthuld worden, in plaats van de uiteindelijke Tor exit node.

Tuurlijk voegt een VM wat toe. Het is zelfs uiterst belangrijk om een VM of LiveOS te gebruiken icm encrypted storage, het systeem mag nooit zijn eigen of jou identiteit kennen. Als jij TOR gebruikt op een normale windows pc waar al je dagelijkse gegevens op staan en jij inlogt met je eigen naam en als administrator zal het never nooit veilig worden. Tevens wil je dat de VM alleen zijn interne (NAT) IP adres kent en niet direct naar de buitenwereld of de rest van je netwerk kan praten (VLAN OF NAT) De verbinding mag alleen over een VPN tunnel daar buiten kunnen en/of via TOR. Liefst nog met een paar hops er tussen.

Het belangrijkste is dus, dat je er altijd vanuit moet gaan dat je systeem besmet/gehackt/etc kan worden, hoe goed je ook patched of je best doet je houd dat toch niet tegen.. Het systeem mag niks weten over zijn gebruiker, zijn locatie of zijn netwerk of IP adres. Zelfs het MAC adres wil je nog spoofen waarschijnlijk.

Een VM wordt niet gebruikt om 'sec' een IP adres te beschermen. Dat is hier nu wel aan de orde.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.