FBI achterhaalt ip-adres Tor-gebruiker via videobestand
De FBI heeft het ip-adres van een Tor-gebruiker via een speciaal geprepareerd videobestand achterhaald, zo blijkt uit gerechtelijke documenten. De techniek werd ingezet in de zaak van een 26-jarige Amerikaan. De man wordt verdacht van het afpersen van kinderen via internet.
Volgens het Amerikaanse ministerie van Justitie communiceerde de man via Facebook met zijn slachtoffers en eiste naaktfoto's. De verdachte maakte echter gebruik van het Tor-netwerk, waardoor zijn ip-adres was afgeschermd. In juni van dit jaar gaf de rechter toestemming voor het gebruik van een Network Investigative Technique (NIT) om de verdachte te achterhalen. Dit is een term die de FBI voor exploits en malware gebruikt. In dit geval werd de NIT ingezet om het werkelijke ip-adres van de verdachte te achterhalen.
Hiervoor voegde de FBI code toe aan een normaal videobestand dat door één van de slachtoffers was gemaakt. Vervolgens plaatste de FBI de geprepareerde video op het Dropbox-account dat alleen bij de verdachte bekend was. Ook vroeg een undercoveragent van de FBI of de man het bestand had ontvangen. Toen de verdachte het bestand opende werd zijn werkelijke ip-adres naar de FBI gestuurd, zo blijkt uit het gerechtelijke document waar Vice Magazine over bericht.
Vervolgens werd met een dagvaarding bij de provider van wie het ip-adres is het fysieke adres van de betreffende gebruiker opgevraagd. Aan de hand van fysieke surveillance die volgde bleek dat verdachte altijd aanwezig was als Tor in de woning werd gebruikt. Ook werd het verkeer van de verdachte getapt, wat meer aanwijzingen opleverde en uiteindelijk tot zijn aanhouding leidde. In mei werd bekend dat de FBI ook Microsoft Word- en Excel-documenten inzet om het ip-adres van verdachten te achterhalen. Het Tor Project waarschuwt gebruikers op de eigen website om geen documenten te openen die via Tor gedownload zijn, omdat daarmee het echte ip-adres kan lekken.
Reacties (28)
FBI constateert dat verdachte fout bezig is maar de verdachte zit achter TOR.
Stap 1. FBI vraagt toestemming van een rechter om speciale bevoegdheden voor dit specifiek geval. De rechter accepteert dit.
Stap 2. FBI zet de bevoegdheid in en bemachtigd de IP adres van verdachte.
Stap 3. FBI haalt met een dagvaarding de adres gegevens van verdachte op bij de provider.
Stap 4. FBI zet meerdere bevoegdheden in om te achter halen of verdachte wel de dader is.
Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.
Naar mijn mening een goed uitgevoerd onderzoek. Dit is de manier hoe onderzoek uitgevoerd dient te worden, niet de huidige pogingen om encryptie te verbieden en hack bevoegdheden te versoepelen.
Stap 1. FBI vraagt toestemming van een rechter om speciale bevoegdheden voor dit specifiek geval. De rechter accepteert dit.
Stap 2. FBI zet de bevoegdheid in en bemachtigd de IP adres van verdachte.
Stap 3. FBI haalt met een dagvaarding de adres gegevens van verdachte op bij de provider.
Stap 4. FBI zet meerdere bevoegdheden in om te achter halen of verdachte wel de dader is.
Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.
Naar mijn mening een goed uitgevoerd onderzoek. Dit is de manier hoe onderzoek uitgevoerd dient te worden, niet de huidige pogingen om encryptie te verbieden en hack bevoegdheden te versoepelen.
Jammer dat Tor wordt gebruikt voor andere dingen dan waarvoor het bedoeld was.
Door Anoniem: FBI constateert dat verdachte fout bezig is maar de verdachte zit achter TOR.
Stap 1. FBI vraagt toestemming van een rechter om speciale bevoegdheden voor dit specifiek geval. De rechter accepteert dit.
Stap 2. FBI zet de bevoegdheid in en bemachtigd de IP adres van verdachte.
Stap 3. FBI haalt met een dagvaarding de adres gegevens van verdachte op bij de provider.
Stap 4. FBI zet meerdere bevoegdheden in om te achter halen of verdachte wel de dader is.
Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.
Naar mijn mening een goed uitgevoerd onderzoek. Dit is de manier hoe onderzoek uitgevoerd dient te worden, niet de huidige pogingen om encryptie te verbieden en hack bevoegdheden te versoepelen.
Stap 1. FBI vraagt toestemming van een rechter om speciale bevoegdheden voor dit specifiek geval. De rechter accepteert dit.
Stap 2. FBI zet de bevoegdheid in en bemachtigd de IP adres van verdachte.
Stap 3. FBI haalt met een dagvaarding de adres gegevens van verdachte op bij de provider.
Stap 4. FBI zet meerdere bevoegdheden in om te achter halen of verdachte wel de dader is.
Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.
Naar mijn mening een goed uitgevoerd onderzoek. Dit is de manier hoe onderzoek uitgevoerd dient te worden, niet de huidige pogingen om encryptie te verbieden en hack bevoegdheden te versoepelen.
Inderdaad helemaal volgens het boekje
Goed speurwerk en intelligent gebruik van de mogelijkheden.
Je laat altijd sporen achter
Je laat altijd sporen achter
Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.
In Nederland in ieder geval niet.Hier maakt de rechtbank uit of je de dader bent. Niet de politie.
08-08-2017, 18:18 door
potshot
Door Anoniem:
Hier maakt de rechtbank uit of je de dader bent. Niet de politie.
ja tuurlijk joh,in de us komt er geen rechter aan te pas heh?Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.
In Nederland in ieder geval niet.Hier maakt de rechtbank uit of je de dader bent. Niet de politie.
slakken en zout..en lekker mekkeren.
08-08-2017, 18:22 door
SPer
Door Anoniem: FBI constateert dat verdachte fout bezig is maar de verdachte zit achter TOR.
Stap 1. FBI vraagt toestemming van een rechter om speciale bevoegdheden voor dit specifiek geval. De rechter accepteert dit.
Stap 2. FBI zet de bevoegdheid in en bemachtigd de IP adres van verdachte.
Stap 3. FBI haalt met een dagvaarding de adres gegevens van verdachte op bij de provider.
Stap 4. FBI zet meerdere bevoegdheden in om te achter halen of verdachte wel de dader is.
Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.
Naar mijn mening een goed uitgevoerd onderzoek. Dit is de manier hoe onderzoek uitgevoerd dient te worden, niet de huidige pogingen om encryptie te verbieden en hack bevoegdheden te versoepelen.
Ja , lijkt de juiste methodeStap 1. FBI vraagt toestemming van een rechter om speciale bevoegdheden voor dit specifiek geval. De rechter accepteert dit.
Stap 2. FBI zet de bevoegdheid in en bemachtigd de IP adres van verdachte.
Stap 3. FBI haalt met een dagvaarding de adres gegevens van verdachte op bij de provider.
Stap 4. FBI zet meerdere bevoegdheden in om te achter halen of verdachte wel de dader is.
Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.
Naar mijn mening een goed uitgevoerd onderzoek. Dit is de manier hoe onderzoek uitgevoerd dient te worden, niet de huidige pogingen om encryptie te verbieden en hack bevoegdheden te versoepelen.
Tor kent dergelijke risico's niet als je binnen het raamwerk van de wet wenst te opereren en het slechts gebruikt om anoniem je privacy te beschermen. Juist gebruik van een NIT is je deel als je overtredingen van de wet pleegt. Hier geen problemen mee.
Afzwakken van de algemene veiligheid van de infrastructuur en tor en tails, vpn en e2ee meegerekend blijft een slechte zaak,
omdat bij proliferatie ook cybercriminelen hier van meeprofiteren.
Overtreders van de wet fouten laten maken waardoor hun identiteit bekend raakt, prima idee. Hier moeten geraffineerde methoden worden uitgedacht, die legitieme gebruikers en legitiem verkeer niet zullen (ver)storen. In zulk opzicht sta ik aan de kant van de gezagshandhavers.
Afzwakken van de algemene veiligheid van de infrastructuur en tor en tails, vpn en e2ee meegerekend blijft een slechte zaak,
omdat bij proliferatie ook cybercriminelen hier van meeprofiteren.
Overtreders van de wet fouten laten maken waardoor hun identiteit bekend raakt, prima idee. Hier moeten geraffineerde methoden worden uitgedacht, die legitieme gebruikers en legitiem verkeer niet zullen (ver)storen. In zulk opzicht sta ik aan de kant van de gezagshandhavers.
08-08-2017, 18:46 door
Briolet
Door Anoniem: Goed speurwerk en intelligent gebruik van de mogelijkheden.
Je laat altijd sporen achter
Je laat altijd sporen achter
Dit is niet zozeer het achterlaten van sporen maar het binnensluizen van een Trojaans paard bij de verdachte.
Jullie lezen er lekker overheen he ;)
De verdachte zat anoniem op Facebook. Facebook weet normaal alles van je dus het is wel apart dat je op Facebook een Nomen Nescio kan blijven door Tor te gebruiken. En natuurlijk moet je idioot voorzichtig zijn door dat ene account enkel voor dat doel te gebruiken en vooral niet naar andere sites te gaan maar toch.
Volgende keer toch maar je materiaal via USB kopieren naar een machine zonder internet en het daar bekijken.
De verdachte zat anoniem op Facebook. Facebook weet normaal alles van je dus het is wel apart dat je op Facebook een Nomen Nescio kan blijven door Tor te gebruiken. En natuurlijk moet je idioot voorzichtig zijn door dat ene account enkel voor dat doel te gebruiken en vooral niet naar andere sites te gaan maar toch.
Volgende keer toch maar je materiaal via USB kopieren naar een machine zonder internet en het daar bekijken.
Uitvoerbare code toevoegen aan een videobestand? Hoe werkt dat nu weer?
Valt hier al onder terug-hacken en dat mag de politie niet ivm privacywetgeving en de verdachte gaat rustig verder :(
En wij maar afvragen waarom er zoveel van die lui vrijuit gaan...
En wij maar afvragen waarom er zoveel van die lui vrijuit gaan...
Door potshot:
slakken en zout..en lekker mekkeren.
Door Anoniem:
Hier maakt de rechtbank uit of je de dader bent. Niet de politie.
ja tuurlijk joh,in de us komt er geen rechter aan te pas heh?Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.
In Nederland in ieder geval niet.Hier maakt de rechtbank uit of je de dader bent. Niet de politie.
slakken en zout..en lekker mekkeren.
Door potshot:
slakken en zout..en lekker mekkeren.
Er wordt bedoeld dat in de VS (en in de UK) de politie je bij grondige verdenking mag arresteren en je schuldig mag verklaren waartegen je dan zelf tegenbewijs moet leveren. Hier in NL moet het OM dat bewijs leveren, hetgeen de verdachte mag aanvechten.Door Anoniem:
Hier maakt de rechtbank uit of je de dader bent. Niet de politie.
ja tuurlijk joh,in de us komt er geen rechter aan te pas heh?Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.
In Nederland in ieder geval niet.Hier maakt de rechtbank uit of je de dader bent. Niet de politie.
slakken en zout..en lekker mekkeren.
Door Anoniem: Uitvoerbare code toevoegen aan een videobestand? Hoe werkt dat nu weer?
Exploit waarschijnlijk. Mogelijk een zero day?
@17:13 door Anoniem
Je laat voor het gemak de stap weg waarbij een anonieme verdachte wordt voorzien van exploit en malware. Dat is controversieel.
@18:18 door potshot
Het Amerikaanse rechtssysteem is inderdaad anders dan de Nederlandse. Daar kan een jury veroordelen, de rechter is niet degene die de beslissing neemt.
Toen de verdachte het bestand opende werd zijn werkelijke ip-adres naar de FBI gestuurd
De sukkel heeft waarschijnlijk windows media player gebruikt en dit soort zaken niet uitgezet, anders gaat dit niet werken. Een wijze les voor anderen.Door Anoniem:
Hier maakt de rechtbank uit of je de dader bent. Niet de politie.
Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.
In Nederland in ieder geval niet.Hier maakt de rechtbank uit of je de dader bent. Niet de politie.
Je hebt gelijk dat ik stap 5 inderdaad te kort door de bocht heb neergezet. Ik ben niet bekent met de wetgeving in Amerika maar de correcte manier voor stap 5 zou zijn: FBI verzameld voldoende bewijs om verdachte aan te merken als de dader en gaat over tot arrestatie.
Vervolg hierop zou inderdaad een verhoring, eventuele schuldbekentenis of deal of rechtszaak zijn :)
Door Anoniem: Valt hier al onder terug-hacken en dat mag de politie niet ivm privacywetgeving en de verdachte gaat rustig verder :(
En wij maar afvragen waarom er zoveel van die lui vrijuit gaan...
En wij maar afvragen waarom er zoveel van die lui vrijuit gaan...
Ik vind dat Team High Tech Crime dit ook moet kunnen uitvoeren in NL. Uiteraard alleen op verzoek van de politie in een lopende zaak en met toestemming van de rechtelijke macht om een NIT bevoegdheid in te zetten.
@17:13 door Anoniem
Je laat voor het gemak de stap weg waarbij een anonieme verdachte wordt voorzien van exploit en malware. Dat is controversieel.
Je laat voor het gemak de stap weg waarbij een anonieme verdachte wordt voorzien van exploit en malware. Dat is controversieel.
Ik ben het met je eens dat het inzetten van exploits en malware controversieel is omdat een overheidsinstantie in dit geval binnendringt bij iemand en zijn privacy schend. Maar in dit geval is er eerst toestemming gevraagd aan een rechter om deze bevoegd in te zetten. De rechter heeft dus de privacy van deze persoon overwogen met de daad dat verricht wordt en besloten dat de FBI in dit geval zijn privacy mag schenden om te achterhalen wie de dader is. Dit vind ik een eerlijke beslissing van de rechter omdat hij hier besloot dat het proportioneel en subsidiair is om deze middel in te zetten.
Waar ik wel benieuwd naar ben is hoe de FBI verder te werk zou gaan als de verdachte in dit geval zelf slachtoffer was doordat iemand anders via zijn netwerk deze daad verrichte. Zou de FBI zijn excuses aanbieden? Zouden ze hem überhaupt vertellen dat ze hem hebben "gehacked"? Zouden ze zijn toestemming vragen om zijn systeem te onderzoeken om de daadwerkelijke dader te traceren?
Het lijkt mij niet dat een rechter in dat geval toestemming zou geven om een exploit of malware in te zetten om de daadwerkelijke dader te vinden gezien dit niet proportioneel en subsidiair is.
Door Anoniem:
Hier maakt de rechtbank uit of je de dader bent. Niet de politie.
Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.
In Nederland in ieder geval niet.Hier maakt de rechtbank uit of je de dader bent. Niet de politie.
Ook in Nederland doet de politie arrestaties, en ook die gaan vooraf aan de beslissing van de rechter of de gearresteerde persoon ook de dader van iets is.
Of zit je alleen op een moeilijke manier te mierenneuken dat er 'vermoedelijke dader' had moeten staan ?
Door Anoniem:
Ik vind dat Team High Tech Crime dit ook moet kunnen uitvoeren in NL. Uiteraard alleen op verzoek van de politie in een lopende zaak en met toestemming van de rechtelijke macht om een NIT bevoegdheid in te zetten.
Door Anoniem: Valt hier al onder terug-hacken en dat mag de politie niet ivm privacywetgeving en de verdachte gaat rustig verder :(
En wij maar afvragen waarom er zoveel van die lui vrijuit gaan...
En wij maar afvragen waarom er zoveel van die lui vrijuit gaan...
Ik vind dat Team High Tech Crime dit ook moet kunnen uitvoeren in NL. Uiteraard alleen op verzoek van de politie in een lopende zaak en met toestemming van de rechtelijke macht om een NIT bevoegdheid in te zetten.
Je beseft je dat THTC onderdeel is van de politie en dus niet op verzoek van de politie werkt?
Hoe dit werkt is in de afgelopen SHA keurig besproken bij de presentatie over deanonimisering van tor gebruikers.
Door Anoniem: Jammer dat Tor wordt gebruikt voor andere dingen dan waarvoor het bedoeld was.
Net als:het internet,
keukenmessen,
kijkend naar het nieuws vandaag in Frankrijk, Auto's,
vliegtuigen (Manhattan),
rugzakken en kookspullen (boston),
En ga zo maar door.
Je beseft je dat THTC onderdeel is van de politie en dus niet op verzoek van de politie werkt?
Daar heb je gelijk in, ik heb het inderdaad niet goed verwoord. Door THTC erbij te betrekken doelde ik eigenlijk op dat zij dit soort verzoeken moeten uitvoeren vanwege de specialisatie die zij hebben op het gebied van cyber crime.
Hoe dit werkt is in de afgelopen SHA keurig besproken bij de presentatie over deanonimisering van tor gebruikers.
Volgens mij bedoel je deze presentatie:
https://media.ccc.de/v/SHA2017-102-tor_de-anonymization_techniques
Bedankt voor de tip, klinkt interessant, zal er zeker naar kijken. :)
Door Anoniem: Valt hier al onder terug-hacken en dat mag de politie niet ivm privacywetgeving en de verdachte gaat rustig verder :(
En wij maar afvragen waarom er zoveel van die lui vrijuit gaan...
En wij maar afvragen waarom er zoveel van die lui vrijuit gaan...
Wat een debiele stelling over iets waar je schijnbaar de ballen verstand van hebt.
Als de Amerikaanse autoriteiten je vinden na criminele activiteiten, gaat alle informatie naar Nederlandse justitie of Interpol.
Maar leuke poging weer.
Door Anoniem: Je laat altijd sporen achter
Nee, in principe niet. Deze verdachte heeft dit in zijn geheel aan zichzelf te danken, want Tor Browser waarschuwt je zelfs nooit gedownloade bestanden moet openen vanaf dezelfde computer als waarmee je op Tor zit. Juist om wille van dit soort aanvallen.
Goed, in dit geval zal ik verder geen traan laten om het lot van deze verdachte, maar goed, het was simpel te voorkomen geweest door die waarschuwing niet te negeren.
Door Anoniem: Facebook weet normaal alles van je dus het is wel apart dat je op Facebook een Nomen Nescio kan blijven door Tor te gebruiken.
Facebook weet alleen van je wat je ze verteld. Als jij dus onder een John Doe registreerd, weet Facebook niet beter. Sterker nog, Facebook heeft een officiële .onion hidden domain, dus als je dat gebruikt hoef je zelfs niet bang te zijn voor diverse aanvallen die er zijn op de exit nodes (zoals timing attacks). (Sowieso zijn timing attacks vrij eenvoudig tegen te gaan als je een vaste bridge gebruikt, eentje in je eigen beheer wel te verstaan).
Door Anoniem: Uitvoerbare code toevoegen aan een videobestand? Hoe werkt dat nu weer?
Dat is volgens mij een 'feature' van de brakke Windows Media Video codec.
Door Anoniem: Valt hier al onder terug-hacken en dat mag de politie niet ivm privacywetgeving en de verdachte gaat rustig verder :(
Nee, dit valt niet onder terug-hacken. Dit is in feite gewoon phishing c.q. social engineering, door de verdachte iets te laten doen waardoor je zicht krijgt op wie die persoon is (of in dit geval z'n IP prijs geeft). Terug-hacken zou zijn als de politie echt daadwerkelijk met exploitcode in de weer gaat om een client aan te vallen, maar daar is dit geval geen sprake van.
En ja, ook de Nederlandse politie kan (en zal) deze technieken toepassen om bij een verdachte te komen. Daar is geen twijfel over mogelijk, want ze hebben soortgelijke methodes al eens eerder gebruikt om verdachten van hun bed te lichten.
Door Anoniem: Jammer dat Tor wordt gebruikt voor andere dingen dan waarvoor het bedoeld was.
Net als o.a. een zaag, hamer en schroevendraaier.
Door Briolet:
Dit is niet zozeer het achterlaten van sporen maar het binnensluizen van een Trojaans paard bij de verdachte.
Ik bedoelde dat je altijd ergens een fout zult maken waardoor je te achterhalen bent. Hetzij door je inde val te lokken of door je eigen zwakheden tegen je te gebruiken.Door Anoniem: Goed speurwerk en intelligent gebruik van de mogelijkheden.
Je laat altijd sporen achter
Je laat altijd sporen achter
Dit is niet zozeer het achterlaten van sporen maar het binnensluizen van een Trojaans paard bij de verdachte.
Door Anoniem:
het internet,
keukenmessen,
kijkend naar het nieuws vandaag in Frankrijk, Auto's,
vliegtuigen (Manhattan),
rugzakken en kookspullen (boston),
En ga zo maar door.
Door Anoniem: Jammer dat Tor wordt gebruikt voor andere dingen dan waarvoor het bedoeld was.
Net als:het internet,
keukenmessen,
kijkend naar het nieuws vandaag in Frankrijk, Auto's,
vliegtuigen (Manhattan),
rugzakken en kookspullen (boston),
En ga zo maar door.
Precies, is allemaal jammer.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
