Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 46, views: 31.279 •

De plotselinge, zeer sterke groei van het anonimiteitsnetwerk Tor is waarschijnlijk te wijten aan een botnet dat is overgestapt op communicatie via dat netwerk. Het Nederlandse beveiligingsbedrijf Fox-IT heeft daarvoor bewijs gevonden.

Beveiligingsonderzoekers van Fox-IT hebben in de broncode van de malware die door het botnet wordt gebruikt, code gevonden die erop wijst dat de malware Tor gebruikt. Aanvankelijk zou de malware http gebruikt hebben om te communiceren met de command-and-control-servers van het botnet, maar onlangs werd de overstap naar Tor gemaakt; op hetzelfde moment steeg het Tor-verkeer plotseling zeer snel. Volgens Fox-IT gaat het om malware die door virusscanners Mevade.A of Sefnit, maar door de makers zelf SBC wordt genoemd. Veel malware communiceert met een command-and-control-server om nieuwe instructies te krijgen; geïnfecteerde pc's vormen dan een botnet.

Het verkeer over het Tor-netwerk is sinds begin augustus sterk aan het stijgen, zo berichtte Tweakers eerder. Destijds werd al gedacht dat de plotselinge stijging wellicht het gevolg was van malware die Tor gebruikte. Ook de introductie van de PirateBrowser, een browser die is uitgegeven door The Pirate Bay en die kan worden gebruikt om die site te bezoeken, werd echter als mogelijke verklaring genoemd; die browser is gebaseerd op Tor.

Ondertussen zet de stijging van het aantal Tor-gebruikers zich door. Vorige week steeg het aantal gebruikers dat per dag vanuit Nederland verbinding maakte voor het eerst ooit tot boven de 20.000; inmiddels is de grens van 35.000 dagelijkse gebruikers gepasseerd. Het aantal wereldwijde gebruikers is ondertussen de 2,5 miljoen gepasseerd, waar dat er vorige week nog 1,2 miljoen waren.

Met Tor, voluit The Onion Router, wordt internetverkeer via verschillende tunnels geleid, zodat het zeer moeilijk, maar niet onmogelijk, is om de bron van het internetverkeer te achterhalen. De software wordt onder meer gebruikt door journalisten en activisten in landen waar het internetgebruik wordt gemonitord, omdat Tor een zekere mate van anonimiteit biedt. Ook kan de software worden gebruikt om sites te bereiken die in een bepaald land worden geblokkeerd. De software heeft in sommige kringen echter een slecht imago, omdat Tor ook wordt gebruikt door bijvoorbeeld pedofielen om kinderpornografisch materiaal uit te wisselen.

tor users nederland 2

Reacties (46)

Damn, nu krijgt TOR nog een slechtere naam.

Het is nochtans een mooie techniek, die helaas veel te veel misbruikt wordt.
Ik ben bang dat dit ooit het einde wordt van TOR.

Kan er misschien op het niveau van de relays iets geďmplementeerd worden waardoor misbruik van dit netwerk kan worden voorkomen? Ik verwacht van niet, aangezien alles encrypted is, maar het zou wel zeer handig zijn.

Verder is het ook zorgwekkend hoeveel zombie PCs er blijkbaar zijn in Nederland voor dit botnet, als je ziet hoeveel gebruikers er zijn bijgekomen.
Kan er misschien op het niveau van de relays iets geďmplementeerd worden waardoor misbruik van dit netwerk kan worden voorkomen? Ik verwacht van niet, aangezien alles encrypted is, maar het zou wel zeer handig zijn.
Zou niet weten hoe je zoiets zou moeten implementeren zonder iets als QoS of packet inspection? En dat lijkt me nu juist faliekant tegen het concept van Tor (volledige anonimiteit) in gaan.
Verder is het ook zorgwekkend hoeveel zombie PCs er blijkbaar zijn in Nederland voor dit botnet, als je ziet hoeveel gebruikers er zijn bijgekomen.
Mwah, heel erg verassend vind ik het niet. Kijk eens hoeveel mensen zonder virusscanner draaien op een PC die wel op Internet is aangesloten (dan ben je al vrij snel lid van een botnet tegenwoordig) bijvoorbeeld, of kijk eens hoeveel mensen geen windows updates draaien, en dus zo lek als een mandje zijn. Combineer die twee factoren, en zo verassend lijkt het me niet.
Als mensen zouden begrijpen dat het door de PirateBrowser komt... Dat is ook gewoon tor.
Ik ben het met deze opmerking niet geheel eens. Lees eens dit artikel http://torrentfreak.com/pirate-browser-hits-500000-downloads-130830/

Deze zegt het volgende:
"First of all, the number of daily Tor users increased by more than 800,000, which is far more than the total number of downloads of PirateBrowser thus far. "

Ook is de plotselinge stijging op de 19e niet aan hand van de PirateBrowser te verklaren, aangezien de piratebrowser al een week eerder uitkwam.
Die 800.000 downloads is volgens mij wereldwijd. Misschien zijn er wel 35.000 Nederlanders die de piratebrowser gebruiken
@ fluffy1 :

Misschien is dat precies wat de NSA wil: zorgen dat TOR een slechte naam krijgt zodat mensen er vanaf zien om dit te gebruiken?
Tja, niet linksom (http) dan rechtsom (tor/crypt). Uiteindelijk is de drager niet de bron van het probleem. Er is na 30 jaar ontwikkeling nog steeds geen gebruiksvriendelijke & daarmee ook veilige firewall ontwikkeld.

Als je er vanuit gaat dat bepaalde gebruikers acties, bepaald netwerk verkeer mag opstarten / bevatten, is de hele angel alle malware. En tja, dan ga je idd problemen hebben met diverse services. Maar i.p.v. daar dan een oplossing voor te zoeken, dat is 10x efficienter.

m.a.w. 0,0 traffic wanneer een gebruiker daar niet om vraagt. En als hiervoor een uitzondering noodzakkelijk is, de software slim genoeg laten zijn om die aanvraag automatisch volledig in zandbox te analyseren, voordat een connectie "zomaar" op een client wordt aangegaan.

Think out of the box.. dan kom je veel verder dan door baggeren op oude methodiek die al 20 jaar achterhaald is.

[Reactie gewijzigd door m4ikel op 5 september 2013 19:28]

Nou ga je gang. Het klinkt interessant. Tevens lijkt Linux toch redelijk moeilijk te besmetten te zijn. Zonder een Windows Linux war te starten lijkt het probleem vooral Windows gerelateerd te zijn.
De bron van alle ellende lijkt dus eerder de tekortkomingen van Windows te zijn.
Waarschijnlijker is het beperkte aantal linux gebruikers en het enorme aantal windows gebruikers de oorzaak. Waarbij er mee speelt dat een grote groep gebruikers wel instaat is een complete PC met voorgeinstalleerde windows aan te zetten, maar niet op het idee komt een virus scanner of firewall te installeren.
Buitenom het feit dat er al firewalls zijn die precies doen wat jij voorstelt is dit nog steeds een verre van gebruiksvriendelijke en/of perfect veilige oplossing. Het probleem zit hem meer in het feit dat wat je nu voorstelt, voor een computer totaal onbegrijpelijk is. Daarnaast is en blijft alle soft- en hardware een menselijke creatie en is dus ook onderhevig aan (al dan niet security-gerelateerde) fouten.
m.a.w. 0,0 traffic wanneer een gebruiker daar niet om vraagt.
Definieer '0,0 traffic', waarom zou malware dit niet gewoon kunnen beinvloeden (ongeacht OS)?
En als hiervoor een uitzondering noodzakkelijk is, de software slim genoeg laten zijn om die aanvraag automatisch volledig in zandbox te analyseren
Turtles all the way down.. een 'zandbox' is ook gewoon een stukje software dat evengoed beveiligingsproblemen heeft. Wisselend van het niet kunnen detecteren van malware (niet 'slim' genoeg zijn) tot aan security vulnerabilities in de zandbox zelf.
voordat een connectie "zomaar" op een client wordt aangegaan.
Yet again, definieer 'zomaar'. Af en toe een onregelmatige browserupdate automagisch binnentrekken is ook 'zomaar'.. toch?


Helaas.
Ik vind het een rare conclusie. Wat zou er voor het meeste verkeer zorgen? Browen via de Piratebrowser (en dus ook vanalles downloaden), of botnets die hun C&C zaken regelen via tor? Ik denk toch wel het eerste!?
Het gaat in het artikel dan ook over het aantal clients die het tor netwerk gebruiken, niet over hoeveel data er per client wordt verstookt
Uiteraard weet heeft Fox IT geen verstand van zaken. Als zij op hetzelfde moment een nieuwe malware zien opduiken als de stijging van het TOR verkeer en ook nog eens verwijzingen naar TOR vinden in de broncode van de malware, dan zullen ze dat echt niet uit hun duim zuigen.
Ik weet niet wat jouw ervaringen zijn met Fox IT, maar bij mij staan die mensen in hoog aanzien. Daar werken geen nono's die maar wat roepen - voor zover ik weet hebben ze hun zaakjes daar keurig op orde!

Er is aangegeven dat het TOR netwerk tegen z'n maximale capaciteit aanloopt, en dat hoeft niet te komen door grote aantallen clients, maar meer waarschijnlijk door de hoeveelheid verkeer. Een botnet genereert natuurlijk meer verkeer dan wat C&C messages: dat netwerk *dient* ergens voor... Viagra spam, pr0n spam, malware of andere hosting - je hebt geen 100.000 bots tot je beschikking om er vervolgens niks mee te doen...
Tarilo zegt toch ook dat ze het niet zomaar uit hun duim zullen zuigen? De eerste zin is wellicht wat onhandig geformuleerd... had een smiley bij gekund om het sarcasme uit te drukken.. ;)
Zoveel vertrouwen heb ik anders niet in Fox IT. Als je ziet dat zij, als beveiligingsexperts bijvoorbeeld hun SSL-configuratie niet op orde hebben (ondersteunen bijvoorbeeld geen TLS 1.1 & 1.2). Daarnaast ondersteunen ze geen session resumption, wat bijvoorbeeld bij RC4 (wat zij als voorkeur hebben ingesteld) het aantal handshakes verhoogt en het makkelijker maakt om opgeslagen verkeer later te ontcijferen.
Ik vraag mij trouwens nog steeds af wie er zo gek is om een Tor exit node te runnen. Je laat dan immers andere mensen het internet besurfen onder jouw naam, en dat kan best gevaarlijk zijn lijkt mij.
Dit zal meestal een dedicated server zijn en niet bij iemand thuis.

[Reactie gewijzigd door AiChan op 5 september 2013 20:08]

Dan nog. ;)

Die dedicated server staat toch op iemands naam. Volgens mij zijn er in het verleden ook wel eens mensen opgepakt omdat zij ergens verdacht van werden terwijl ze een Tor-node hadden.
Welke ook op de naam staat van klant X, de vraag blijft hetzelfde.
Je hebt helemaal gelijk. Ik zat laatst op de officiele irc van the tor foundation en zelfs daar werd ik gevraagd of ik wel zeker wist dat ik als exit node wilde fungeren. Nou was ik dat ook niet van plan. Heb toevallig een non-exit node opgezet eergisteren.
Vroeger hadden ze er idd problemen mee. Tegenwoordig is 't beter geregeld doordat de meeste exit-nodes in beheer / op naam staan van torservers.net i.p.v. door 'n persoon.

Een klein voordeel/nadeel hiermee is dat het ook voor beheerders van forums, irc-servers/channels, etc ook gemakkelijker is om mensen die tor gebruiken om bijv. te trollen te bannen, door degenen die 'torservers.net' in hun dns hebben geen toegang te verlenen. Alleen jammer dat de goedwillende mensen wel erdoor geraakt zullen worden.
Er is weinig mis een Tor Exit runnen. Achteraf is perfect te bewijzen op welk moment je Tor Exit Node actief was en naar welke poorten je toegang verleende. Het Torproject is langsgeweest bij de Nederlandse politie om uit te leggen hoe ze dit kunnen uitvinden voordat ze bij iemand op de deur kloppen. Dit bewijs van dat je een Tor exit node bent wordt door meer dan 8 servers van bekende lui (bv. Linus Torvalds) ondertekend gepubliceerd.
Dit sluit vaak al voldoende uit dat jij de kwaadwillende was.

Iemand zou kunnen denken dat je een Tor Exit was om je eigen sporen uit te wissen, maar dat is niet logisch (je zou zelf wel TOR gebruiken) en is bijna altijd te bewijzen (als TOR exit upload je ongeveer net zoveel als je download - als je illigale bestanden download is die balans compleet zoek).

Er zijn inderdaad een in Europa paar invallen bekend waar de computers bij iemand thuis zijn meegenomen, maar dat is te wijten aan slechte technische kennis indertijd bij de politie (of -als je paranoide bent:- scare tactics maar daar moet een mens zich niet door laten leiden).

[Reactie gewijzigd door Cbr op 5 september 2013 19:54]

Uit de tekst kan gehaald worden dat het botnet dan bestaat uit 1.3 miljoen bots?

Opzich zou het dan nog wel handig zijn als de herder in ieder geval een paar van z'n bots openstelt als relay :)
Ook leuk om al je illegale spulletjes te kopen en hitmans te huren ;)
hidden wiki is the shit.
Het verbaasd me eerlijk gezegd dat het zo lang geduurd heeft. Als de malware nu nog even een paar bots als relay of exit node instelt, gaat de snelheid nog vooruit ook :)
Goh, dat zou sommige partijen verrekte goed uitkomen als "TOR" afgesloten of sterk gereguleerd zou worden.

Ben benieuwd door wie die malwaremakers betaalt zijn.
Dit wordt dan wel gedownmod, maar opzich vind ik het geen verkeerde uitspraak. Er zijn genoeg landen in het middenoosten die maar wat graag zien dat de westerse wereld zich tegen TOR keert vanwege malware verspreiding n shit. Voor hun is het ideaal als dit niet meer bestaat. Ook hebben ze de kennis en mensen om dit te bewerkstellen. Desnoods zetten ze er zelf een serverpark voor neer, met miljoenen clients erop.
Dat laatste is wat lastig want de ip adressen zijn toch duidelijk over de gehele wereld verspreidt.
"De software heeft in sommige kringen echter een slecht imago, omdat Tor ook wordt gebruikt door bijvoorbeeld pedofielen om kinderpornografisch materiaal uit te wisselen."

Pure propaganda, als je het mij vraagt. Uiteraard faciliteerd Tor in het uitwisselen van kinderporno (helaas), maar dit is niet het doel van Tor. Wanneer we op die tour gaan vind ik (video)camera's kwalijker dan Tor, want zonder camera's zou er geen kinderporno bestaan. Zonder Tor zal men nog genoeg andere kanalen hebben om kinderporno te verspreiden, ben ik bang.

Het zou me niets verbazen wanneer men binnenkort een verbod gaat onderzoeken, net zoals de Russen doen. Onder het mom van kinderporno, maar met het verliezen van controle en burgerlijke gehoorzaamheid als werkelijke reden.
Ja maar als jouw exit node voor slechte doeleinden wordt gebruikt, dan wordt de apparatuur gewoon in beslag genomen. En dat is toch wel een probleem want jij kan niet bepalen dat er alleen maar mensen met goede bedoelingen van jouw exit node gebruik maken.
Dus ondanks dat het een feit is, is het pure propaganda? Dit was natuurlijk ook slechts één van de voorbeelden, ook drugsdealers bijvoorbeeld gebruiken TOR. Kan je propaganda noemen, maar als je op Silkroad kijkt lijkt het me meer een feit, en dat is nog het mainstream gedeelte van TOR.

TOR is gemaakt zodat je niet getracked kan worden door bijvoorbeeld een overheid. Daarnaast is het ook handig om onder je forumban uit te komen. Maar behalve dissidenten is het ook voor criminelen gewoon een hoge prioriteit om niet door een overheid gevolgd te kunnen worden. Daardoor is automatisch het resultaat dat er gewoon veel criminelen op TOR zitten. Dan kan je heel lang discussieren of de voors of de tegens groter zijn, maar om het feit dat het gewoon veel door allerlei soorten criminelen wordt gebruikt onder de noemer propaganda te plaatsen vind ik een zwaktebod. Dan kan ik de voors ook wegzetten als propaganda.
Het zou voor iedereen prioriteit moeten zijn om niet door de overheid gevolgd te worden.
behalve dissidenten is het ook voor criminelen
Al klopt de strekking van wat je allemaal zegt over propaganda wel, er is weinig verschil tussen die twee. Het verschil lijkt m vooral te zitten in of jij persoonlijk (iig, degene die die labels plakt) iemands gedrag goedkeurt danwel afkeurt, ongeacht of ze wetten overtreden of niet.
Edward Snowden is een crimineel, Bradley (of hoe heet ze tegenwoordig) Manning is een crimineel, en een hoop buitenlandse politiek activisten die strijden voor (bijvoorbeeld) gelijke rechten zijn allemaal criminelen. Want ze overtreden wetten.
Drugdealers lijk je voor jezelf te scharen onder de criminelen, want drugs zijn slecht en en ze gebruiken geweld in hun zaken en geven niks om de gezondheid van hun klanten. Dat is het heersende beeld van drugdealers iig.
Ik zal hier geen manifest ophangen over drugs, maar in elk geval zijn er veel mensen die "drugs" gebruiken op therapeutische basis, en dat kopen van hobbyisten die het maken voor "Het Grotere Goed", wat bij wet is verboden, op grond van voornamelijk angst voor het onbekende in plaats van een heldere kijk op de realiteit. Zie bijvoorbeeld het paddoverbod, adviezen van de Gezondheidsraad genegeerd en allerlei levensvormen verbieden zonder enige aanwijzing van schadelijkheid.
Zo zijn er nog veel meer voorbeelden te noemen, van mensen die strijden voor wat zij een goede zaak achten (en dan dus dissident zijn), maar in de ogen van anderen fout zijn en moeten worden gestopt (en dan dus crimineel zijn).

Nu we het toch hebben over labeltjes; propaganda is ook slechts een labeltje dat je geeft aan informatie. Als je een totaalbeeld geeft van de situatie, zonder agenda en meningen, dan zou ik dat geen propaganda kunnen noemen. Maar als bepaalde informatie bewust achterwege wordt gelaten om iets in een beter danwel slechter daglicht te kunnen stellen, dan gaat dat richting propaganda (als je het mij vraagt).
In dit geval was het mijns inziens niet nodig geweest dit te noemen, het gaat over een botnet, en dan is het wel zo handig aan te stippen dat Tor daarbij gebruikt wordt omdat het ontraceerbaar/oncensureerbaar is. Als je dan objectieve verhelderende informatie over Tor zou willen geven (wat moeilijk is), dan zou je daarnaast wel echt even kunnen melden dat het ook werd gebruikt voor Wikileaks en de Arabische Lente.
Maar dat dit niet vermeld is, wil nog niet zeggen dat dat bewust is gedaan om Tor in een kwaad daglicht te stellen. Want de realiteit is nou eenmaal dat mensen het netwerk voornamelijk zullen kennen van die "negatieve" dingen. Wat ik overigens ook jammer vind, maarja zo is het nou eenmaal.

Communicatie is moeilijk :)

[Reactie gewijzigd door N8w8 op 5 september 2013 19:18]

Het is goed dat er mensen zoals jou bestaan. Blijf kritisch en vooral, blijf nadenken.
Met Tor, voluit The Onion Router, wordt internetverkeer via verschillende tunnels geleid, zodat het zeer moeilijk, maar niet onmogelijk, is om de bron van het internetverkeer te achterhalen.
Hoe moeilijk het is is nog maar de vraag denk ik, zie ook:

Aaron Johnson, Chris Wacek, Rob Jansen, Micah Sherr, Paul Syverson; Users Get Routed: Traffic Correlation on Tor by Realistic Adversaries; CCS’13, November 4–8, 2013, Berlin, Germany.
We present the first analysis of the popular Tor anonymity network that indicates the security of typical users against reasonably realistic adversaries in the Tor network or in the underlying Internet. Our results show that Tor users are far more susceptible to compromise than indicated by prior work. Specific contributions of the paper include (1) a model of various typical kinds of users, (2) an adversary model that includes Tor network relays, autonomous systems (ASes), Internet exchange points (IXPs), and groups of IXPs drawn from empirical study, (3) metrics that indicate how secure users are over a period of time, (4) the most accurate topological model to date of ASes and IXPs as they relate to Tor usage and network configuration, (5) a novel realistic Tor path simulator (TorPS), and (6) analyses of security making use of all the above. To show that our approach is useful to explore alternatives and not just Tor as currently deployed, we also analyze a published alternative path selection algorithm, Congestion-Aware Tor. We create an empirical model of Tor congestion, identify novel attack vectors, and show that it too is more vulnerable than previously indicated.

[Reactie gewijzigd door begintmeta op 5 september 2013 17:13]

Het zal wel zeurderig overkomen, maar kan er nou echt geen bericht over TOR worden geschreven zónder dat de term KP/terrorisme erbij vermeld moet worden? Dat zorgt er sluipenderwijs voor dat de opinie over TOR gemakkelijk aan die twee verwerpelijke zaken wordt gekoppeld.

Als het gaat over zelfrijdende auto's wordt er toch ook niet steeds gesproken over de vele verkeersdoden?
Was ook mijn eerste reactie op dit ondartikel. Mensen die een videocamera kopen maar aftappen dan, je weet tenslotte maar nooit waar ze de camera voor gebruiken.
Helpt ook niet, alles heeft tegenwoordig bijna een camera.
Dan zou je de camera in z'n geheel moeten verbieden.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013