image

FBI achterhaalde ip-adres van bezoeker Tor-website

dinsdag 17 januari 2023, 16:58 door Redactie, 20 reacties

Het is de FBI gelukt om het ip-adres te achterhalen van iemand die een Tor-website bezocht en de Amerikaanse opsporingsdienst wil niet dat openbaar wordt hoe het dit deed. Dat meldt Vice Magazine. De verdachte in deze zaak werd in mei 2020 aangeklaagd op verdenking van het verlenen van support aan terreurorganisatie IS.

De man zou een IS-gerelateerde website op het Tor-netwerk hebben bezocht. Het Tor-netwerk bestaat uit verschillende servers van vrijwilligers waarover het verkeer loopt. De laatste server in deze keten is de exitnode of exitrelay. Via deze server wordt het verzoek van de Tor-gebruiker naar het internet gestuurd. In het verleden zijn er verschillende incidenten met malafide exitnodes geweest die aanvallen op gebruikers uitvoerden. Tor biedt daarnaast de mogelijkheid voor het hosten van websites, de zogeheten onion-sites, die alleen vanaf het Tor-netwerk toegankelijk zijn.

Er is een verschil tussen het gebruik van Tor Browser om een website op het 'normale' internet te bezoeken en het apart hosten van een onion-site op het Tor-netwerk die via Tor Browser wordt bezocht. In het eerste geval waarbij de 'normale' website via Tor Browser wordt bezocht is er nog altijd het risico van de exitnode. Door een website op het Tor-netwerk zelf te starten wordt dit risico weggenomen, omdat het verkeer op het Tor-netwerk blijft. Het Tor-netwerk is zo opgezet dat het echte ip-adres van gebruikers niet zomaar te achterhalen is.

Toch lukte dit de FBI. De verdachte zou de Tor-website vanaf een ip-adres gekoppeld aan het adres van zijn oma hebben bezocht. De FBI wist ook precies wat de man op de website deed. Advocaten van het ministerie van Justitie willen niet zeggen hoe de opsporingsdienst het adres van de verdachte kon achterhalen en willen ook niet dat dit openbaar wordt. "De overheid weigert informatie over de Tor-operatie te geven", zo laat de advocaat van de verdachte tegenover Vice Magazine weten.

De advocaat meldt verder dat de openbaar aanklager erin is geslaagd om zijn verzoek tot meer informatie als een "zeer gevoelig document" te laten bestempelen. In het verleden heeft de FBI websites nagemaakt en zerodaylekken gebruikt om ip-adressen van verdachten te achterhalen. "Er zijn veel verschillende manieren om Tor-gebruikers te de-anonimiseren", laat beveiligingsexpert Bruce Schneier in een reactie op het nieuws weten. Zo sluit Schneier niet uit dat de NSA verantwoordelijk voor de surveillance was en de informatie doorspeelde aan de FBI.

Image

Reacties (20)
17-01-2023, 17:14 door Anoniem
Gewoon afschrik middel, waarschijnelijk gaat het hier niet om een zero day of iets bijzonders.
Als ze zelf hebben kunnen zien wat de gebruiker deed kan het maar 1 ding zijn; het website zelf was kwetsbaar of het was hun website.

De website was mogelijk kwetsbaar voor DNS Cache Poisoning waardoor ze wellicht hun eigen javascript code hebben weten toe te voegen. (Een oude TOR browser of misconfiguratie in TOR browser zou dan tot de-anonimiseren kunnen leiden)

En anders was het hun eigen website die heel erg leek kwa URL op de originele website en de rest erom heen is gewoon bluf.
17-01-2023, 18:15 door Anoniem
Advocaten van het ministerie van Justitie willen niet zeggen hoe de opsporingsdienst het adres van de verdachte kon achterhalen en willen ook niet dat dit openbaar wordt. "De overheid weigert informatie over de Tor-operatie te geven", zo laat de advocaat van de verdachte tegenover Vice Magazine weten.
Okee maar dat is toch niet zo moeilijk en allang bekend? Justitie heeft vele Tor exit-servers aan het netwerk toegevoegd waar zij dus het beheer over hebben en waar ze alles tracen.
17-01-2023, 18:24 door Anoniem
Er staat dat die ISIS site 'on the dark web' was, in normale taal, het was een tor hidden service, dat betekend dat het verkeer dus niet via een exitnode naar het (normale) internet werd gestuurd, verkeer naar hidden services blijft binnen het tor network.
17-01-2023, 18:56 door Anoniem
Was toch al wel bekend dat Tor onder belangstelling staat van de NSA. Al heel lang. Kwetsbaarheid gevonden of een add-in?
17-01-2023, 18:58 door Joep Lunaar
m2c: het lek was de computer van de gebruiker zelf.
17-01-2023, 20:04 door Anoniem
Door Joep Lunaar: m2c: het lek was de computer van de gebruiker zelf.
Idd: Het meestgebruikte os of de nummer twee by default. Of erger: de telefoon. Alsook de tor browser by default (Javascript staat ingeschakeld). Meer dan genoeg. Terroristjes en viespeukjes gaan meestal voor het gemak.
Dan laat ik de gecompromitteerde tor nodes (20~25%) nog buiten beschouwing. Zelfs het hacken van betreffende dark website is in deze (veel voorkomende) configuratie onnodig.

De NSA/FBI maken het weer eens voor de bühne een stuk spannender, met hun 'highly sensitive document' mbt de actie tegen dit kind.
17-01-2023, 21:17 door Anoniem
Ik heb ook mijn twijfels met tor. Voor 'gewoon' gebruik is het goed, dan vinden overheden het niet belangrijk genoeg om misschien het risico te lopen dat bekend wordt dat dit soort tools niet betrouwbaar zijn.
17-01-2023, 21:24 door Anoniem
17-01-2023, 21:40 door Anoniem
Waarschijnlijk werd er gebruik gemaakt van een kwetsbaar v-2 adres, die een time-stamp vrijgaf. Tor was hiervoor kwetsbaar in oudere versies.

So do not do the crime, of you can't do the time.

Maak gebruik van tor, maar slechts voor zuiver legitiem gebruik, terwijl u uw privacy en anonimiteit tot op zekere hoogte waarborgt naar vermogen.

Onthou en blijf bewust van het volgend feit.
Het internet vergeet niet(s).
Deel dus niet, wat u al niet met de gehele globe wenst te delen.

#obserwator
17-01-2023, 22:38 door Anoniem
Door Anoniem: Waarschijnlijk werd er gebruik gemaakt van een kwetsbaar v-2 adres, die een time-stamp vrijgaf. Tor was hiervoor kwetsbaar in oudere versies.

Dat kan het geval zijn, want de terreurverdachte werd op 27 mei 2020 in de VS aangeklaagd. Versie 2 van het onion protocol was al meer dan een decennium oud, en werd pas op 8 november 2021, met de introductie van Tor 0.4.6.8 en Tor Browser 11, definitief uitgefaseerd. Sindsdien werkt alleen nog de verbeterde v3 onion adressering.

https://www.security.nl/posting/729285/Tor+Project+lanceert+Tor+Browser+11
17-01-2023, 23:28 door Anoniem
Ik denk eerder dat het systeem was gebackdoored. Misschien een doelgerichte malafide update van Windows zelf.
18-01-2023, 03:19 door Anoniem
Als je een crime doet gebruik Tor dan via TailsOS usb stickje in een openbaar internet netwerk ver weg van je eigen locatie vandaan, niemand die je ooit gaat pakken op deze manier. Maar sowieso moet je nooit iets flikken over het internet als je geen basis perceptie hebt wat betreft opsec.
18-01-2023, 04:53 door Anoniem
Iedereen heeft het wel over een lek, maar niet over een verkeerde configuratie.
18-01-2023, 09:40 door _R0N_
Tja of de Amerikaanse overheid heeft toch een achterdeur zoals bij veel software. De kans is best aanwezig aangezien ze nog steeds de grootste sponsor zijn van dit project.
18-01-2023, 13:00 door Anoniem
Door Anoniem: Als je een crime doet gebruik Tor dan via TailsOS usb stickje in een openbaar internet netwerk ver weg van je eigen locatie vandaan, niemand die je ooit gaat pakken op deze manier. Maar sowieso moet je nooit iets flikken over het internet als je geen basis perceptie hebt wat betreft opsec.

Maar dan moet je ook zorgen dat je contant betaald voor die openbare internet netwerk toegang, en dat daar nergens in de buurt camera's hangen etc. etc. Anders gaan ze je nog steeds pakken.

Door _R0N_: Tja of de Amerikaanse overheid heeft toch een achterdeur zoals bij veel software. De kans is best aanwezig aangezien ze nog steeds de grootste sponsor zijn van dit project.

Ik denk niet dat een dergelijk grote (en waarschijnlijk dure) backdoor (als die al bestaat) ingezet zal worden om één persoon te pakken die mogelijk iets met IS te maken heeft. Daar krijgen ze nooit toestemming voor.
18-01-2023, 14:20 door _R0N_
Door Anoniem:

Door _R0N_: Tja of de Amerikaanse overheid heeft toch een achterdeur zoals bij veel software. De kans is best aanwezig aangezien ze nog steeds de grootste sponsor zijn van dit project.

Ik denk niet dat een dergelijk grote (en waarschijnlijk dure) backdoor (als die al bestaat) ingezet zal worden om één persoon te pakken die mogelijk iets met IS te maken heeft. Daar krijgen ze nooit toestemming voor.

Of is dat wat ze willen dat je denkt.
18-01-2023, 19:05 door Anoniem
Een speciale variant van de zgn. "TorMoil" vulnerability wellicht?

Tor gebruiker verbinding laten maken met een interne file via een speciaal geprepareerde link, verraadt het IP buiten dat van de Tor-verbinding. Deze flaw stamt reeds uit 2017,

luntrus
18-01-2023, 19:11 door Anoniem
Door Anoniem: Als je een crime doet gebruik Tor dan via TailsOS usb stickje in een openbaar internet netwerk ver weg van je eigen locatie vandaan, niemand die je ooit gaat pakken op deze manier. Maar sowieso moet je nooit iets flikken over het internet als je geen basis perceptie hebt wat betreft opsec.

Hoeveel netwerken zijn er nog openbaar? Dat kon 15 jaar geleden, maar tegenwoordig eigenlijk niet meer.
18-01-2023, 22:55 door Anoniem
Een zerospam scannetje achterhaalt ook een achterliggend IP-adres bij ingeven van een actief tor-adres. Schrok eigenlijk van de simpele opzet van deze tweetraps actie, alhoewel wel getest op eigen device. Tor is dus een hoop 'make-believe'. Goed om hier bewust van te zijn.
19-01-2023, 12:03 door Anoniem
Door Anoniem:
Door Anoniem: Als je een crime doet gebruik Tor dan via TailsOS usb stickje in een openbaar internet netwerk ver weg van je eigen locatie vandaan, niemand die je ooit gaat pakken op deze manier. Maar sowieso moet je nooit iets flikken over het internet als je geen basis perceptie hebt wat betreft opsec.

Hoeveel netwerken zijn er nog openbaar? Dat kon 15 jaar geleden, maar tegenwoordig eigenlijk niet meer.
In be meeste steden heb je in de binnenstad meerdere openbare wifi netwerken
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.