Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 98 reacties
Submitter: flux_w42

Een beheerder van een cluster van Tor-exitnodes en een groot aantal mirrors heeft de controle over de systemen verloren en zijn account is opgeheven. In ieder geval een deel van de servers staat bij de Nederlandse hostingprovider Snel.

In de nacht van zondag op maandag waarschuwde Thomas White dat hij het beheer over de exitnodes was kwijtgeraakt en dat gebruikers zijn diensten en mirrors niet meer moesten gebruiken. Vlak voor hij de verbinding verloor, was er een usb-apparaat in de systemen gestoken, zo constateerde hij. "Uit ervaring weet ik dat dit soort activiteit vergelijkbaar is met die van de politie als die servers in beslag nemen en doorzoeken", aldus White.

Bij latere updates nuanceerde hij dat beeld door er op te wijzen dat er geen directe aanwijzingen zijn dat de servers in handen zijn van de politie. Verder benadrukt de beheerder dat de systemen inmiddels op de zwarte lijst staan en dat er geen gebruikersgegevens op de betreffende systemen staan. De hostingprovider van de systemen is de in Schiedam gevestigde aanbieder Snel, die diensten aanbiedt onder de naam SnelServer. Het hostingbedrijf ontkent dat er usb-apparaten in de systemen zijn gestoken of dat er systemen in beslag zijn genomen.

Waarom en hoe hij de controle is verloren, weet White niet. Zaterdag waarschuwde Tor-ontwikkelaar Roger Dingledine dat er aanwijzingen zijn dat het Tor-netwerk een aanval te verduren zou krijgen. Daarbij zouden mogelijk directory authorities, belangrijke schakels in het Tor-netwerk, in beslag genomen worden. Verdere details over de mogelijke aanvallen gaf Dingledine niet.

Update, 10.50: De hostingpartij Snel laat aan Tweakers weten dat het blokkeren van het account van de beheerder een gevolg was van het beveiligingsbeleid van het bedrijf. De klant zou een termijn voor verificatie per abuis hebben laten verstrijken en daarna ingelogd hebben met een kvm. "Bepaalde kvm's maken bij het benaderen van de poorten een usb-event aan, dat is wat de klant geconstateerd heeft", aldus Snel. Inmiddels is het account van de man weer vrijgegeven.

Moderatie-faq Wijzig weergave

Reacties (98)

Als zijn hostingaccount gehackt is denk ik dat de machines zijn overgenomen via IPMI. SnelServer lijkt dit standaard aan te bieden bij iedere server.

Een reboot van de IPMI interface levert een paar USB events op in je logs, namelijk het "inpluggen" van het virtuele toetsenbord en muis van de IPMI interface.
Dat lijkt mij ook de meest waarschijnlijke verklaring.

[Reactie gewijzigd door Stewie! op 22 december 2014 11:11]

Beste lezers,

Wij willen graag reageren op het bericht dat is geplaatst, omdat de beweringen niet kloppen. Er wordt beweerd dat er een USB-apparaat is aangesloten in het systeem, deze constatering klopt niet en we kunnen ook met alle zekerheid zeggen dat de servers niet in beslag zijn genomen door de politie.

Het klopt wel dat het account van de klant korte tijd offline is geweest vanwege ons beveiligingsbeleid. De klant is echter direct op de hoogte gesteld en wordt nog steeds gehost op ons netwerk.

Als je inlogt via de KVM dan ziet de server dit als een USB event (IPMI koppelt virtueel toetsenbord/muis/monitor). Toen de klant erachter kwam dat zijn servers offline waren, heeft hij met de KVM ingelogd om achter te halen wat er mogelijk aan de hand zou zijn, tijdens deze inlogactie zijn de events gelogd naar zijn logs.

De klant heeft ook al via zijn Twitter account aangegeven, dat zijn constateringen te serieus zijn genomen https://twitter.com/CthulhuSec/status/546878441724084224

--
Met vriendelijke groet,

SnelServer.com

[Reactie gewijzigd door snelcom op 22 december 2014 11:51]

Uit de laatste link over directory authorities:

Coordination: How do clients know what the relays are, and how do they know that they have the right keys for them? Each relay has a long-term public signing key called the "identity key". Each directory authority additionally has a "directory signing key". The directory authorities provide a signed list of all the known relays, and in that list are a set of certificates from each relay (self-signed by their identity key) specifying their keys, locations, exit policies, and so on. So unless the adversary can control a majority of the directory authorities (as of 2012 there are 8 directory authorities), he can't trick the Tor client into using other Tor relays.

How do clients know what the directory authorities are? The Tor software comes with a built-in list of location and public key for each directory authority. So the only way to trick users into using a fake Tor network is to give them a specially modified version of the software.
The Irony: de review van de betreffende klant (Thomas White) wordt op de homepage gequote door het bedrijf snel server.
İdd, dat is een quote van februari dit jaar. En ja, de klant is nog steeds tevreden omdat wij niks fout hebben gedaan. Het is alleen samenkoming van alle omstandigheden en de berichten die hij en wij lezen in de media over de Tor exit nodes. En zodra hij ze dus niet kon bereiken heeft hij zo geregaeerd om zijn gebruikers veilig te stellen.
Update, 10.50: De hostingpartij Snel laat aan Tweakers weten dat het blokkeren van het account van de beheerder een gevolg was van het beveiligingsbeleid van het bedrijf. De klant zou een termijn voor verificatie per abuis hebben laten verstrijken en daarna ingelogd hebben met een kvm. "Bepaalde kvm's maken bij het benaderen van de poorten een usb-event aan, dat is wat de klant geconstateerd heeft", aldus Snel. Inmiddels is het account van de man weer vrijgegeven.
Hahaha geweldig! Al die conspiracy theories en ondertussen heeft hij het gewoon zelf verprutst :o
Ik denk dat hij bijzonder adequaat heeft gereageerd. Dat hij achteraf gezien, een verkeerde conclusie heeft getrokken maakt niet uit: Eerst de stekker eruit, daarna pas uitzoeken wat er aan de hand is. Niet eerst waardevolle tijd spenderen aan het zoeken, terwijl in de tussentijd de servers al gehackt of in beslaggenomen zijn en het hele systeem gecompromitteerd wordt, dan ben je al te laat...

Ik denk ook dat je te snel White ziet als een prutser, hij heeft correct gehandeld, niet zoals veel bedrijven problemen angstvallig geheim houden. Je zou juist blij moeten zijn met zo'n transparant persoon. Deze situatie bewijst dat White juist een erg betrouwbaar is, hem daarvoor uitlachen slaat nergens op...
Ik denk dat je mij verkeerd begrijpt, misschien had ik met verprutst ook niet helemaal het juiste woord. Ik moet vooral lachen om alle conspiracy theorieen hier, niet om wat hij gedaan heeft.
Het blijft een vaag verhaal. Die knakker heeft zelf ingelogged via kvm maar er staat in het artikel "Vlak voor hij de verbinding verloor, was er een usb-apparaat in de systemen gestoken, zo constateerde hij". Als dat normaliter nooit gebeurd, en je logged normaliter ook niet in via kvm, dan is die link toch snel gelegd? En waarom heeft Snel het account geblokkeerd? Zoals ik het lees is dat niet op verzoek geweest van White. Blijbkaar bied Snel wel standaard kvm toegang, maar als je het gebruikt blokkeren ze je account volgens hun beveiligingsbeleid? Wat mis ik hier?
Ze zeggen dat hij een termijn voor verificatie heeft laten verstrijken, dat zal dus wel een of ander beveiligings protocol waar hij zich aan moet houden en op het moment dat hij dat niet deed triggerde het feit dat hij inlogde het blokkeren van zijn account?
Ik ben echter niet echt bekend in de serverwereld verder, maar dat is zoals ik het lees.
Een USB event?
Bij het plaatsen van een USB device, kun je zien wat voor device dit is.
En of dit een fysieke poort is of niet, de beveilig zou dan wel erg agressief zijn afgesteld.
Er klopt hier iets niet...
Als je via de kvm inlogt op de server wordt dit als event gelogd in de os van je server.

Probeer het maar zelf eens als je kvm hebt. Dan zul je zien dat dit als event wordt gelogd in de logs van je os omdat de virturle muis, toetsenbord en monitor wordt aangeroepen, gechekt.
Het gebruik van de KVM staat los van het beleid en waarschijnlijk zijn de USB-triggers juist *door* het gebruik van de KVM (want, virtueel toetsenbord/muis) afgegaan.
Vaag bericht van die man... welk account is nou suspended? Zijn account bij z'n hostingprovider? Je kunt vrij weinig conclusies trekken uit dit hele bericht.
Misschien leren lezen, er is niks vaags aan zijn bericht (of heb je alleen de onvolledige berichtgeving van Tweakers gelezen en voor het gemak het bronbericht links laten liggen?).

Hij geeft een waarschuwing uit en wat de situatie op dat moment is. Omdat hij fysiek niet op de locatie is kan hij ook niet meer info geven.

- De servers zijn niet meer in zijn beheer; dit kan verschillende oorzaken hebben maar bottom line is hij heeft geen controle meer over de situatie
- Zijn account bij de ISP is suspended; wat betekend dat de provider bewust zijn account is geblokkeerd en hij niet meer in de adminpanel van zijn hostprovider kan komen - wat dus inhoud dat de provider dondersgoed weet wat er aan de hand is.
- 30-60 seconde voor het beŽindigen van zijn connectie met de servers is er een onbekend usb apparaat ingeplugged en is de kast geopend.

Als je een dergelijk serverpark beheert is het geen gekke gedachte dat zo'n iemand constant een monitoring tool heeft draaien om alles in de gaten te houden.
Sorry hoor, maar ik vind het wel een vaag bericht en ik heb wel de bron gelezen (nuttiger dan het nieuwsbericht). Er stond nergens dat het om de account van z'n hostingprovider ging. Dat was vaag dus.

Verder is er dus ťťn exitnode van Tor mogelijk gekaapt/beÔnvloed, en gaat het nu om iemand die blijkbaar continu consoleberichten van al z'n servers binnenkrijgt, anders had hij dat usb-device ook niet ingeplugd zien worden. Waarschijnlijk gebeurt dit vťťl vaker zonder dat we het doorhebben...

Verder vind ik het vaag dat hij door zou blijven gaan met het draaien van z'n nodes als de servers weer up zouden komen; als je hostingprovider je account blokkeert en daarna aan je servers gaat sleutelen, dan vertrouw je dat toch niet meer?

Vandaar dat ik het maar vaag vind allemaal. Hoe groot de nieuwswaarde verder is betwijfel ik ook.

-edit-
Reactie van Weppel hieronder, 22 dec 10:06 lijkt me nog meest plausibel.

[Reactie gewijzigd door Sorcerer8472 op 22 december 2014 11:31]

Is het draaien van een tor-relay/exit node tegen de wet dan? Ik snap dat er niet altijd legale dingen op het NETWERK gebeuren maar er zijn veel meer legitieme gebruikers van het netwerk.
Ik snap dan ook niet dat ze toestemming hebben gekregen om alles in beslag te nemen...
Een exit-nod verwerkt alles naar de buitenwereld. Als men via de exitnode kinderporno download wordt dat gezien als downloaden door de eigenaar van de server (althans als deze zich op een reguliere internet verbinding thuis gebeurt, dan is er niets 'zakelijks' en ontwettends aan)

Dus de node zelf is niet illegaal, de te verwerken content hoogst waarschijnlijk wel

[Reactie gewijzigd door ultimasnake op 22 december 2014 08:21]

Je hebt exitnodes nodig om TOR te kunnen kraken, dat is een van de trucjes, een exitnode beheren. NSA gebruikt dat met redelijk veel succes, in sommige gevallen weten ze tot 90% van alle gebruikers te identificeren, al lukt het zeker nog niet altijd in het wild
http://yro.slashdot.org/s...4/how-the-nsa-targets-tor

Exitnodes zijn zwakke schakel, ook word en malware in de data verstopt via de exitnodes, ook manier gebruikers te vinden.
nieuws: Beveiligingsonderzoeker vindt Tor exit node die malware in binaries stopt

Vergeet niet NSA heeft veel meer data, je laat veel meer sporen achter dan je denkt, domweg TOR gebruiken is niet veilig, zal veel meer maatregelen moeten nemen. Ook door tor netwerk heen word je nog gevolgd als je niet oppast wat je doet. Hoeft maar 1 foutje te maken ooit en ze hebben je!
http://www.cnet.com/news/...le-ads-to-find-tor-users/
Je hebt exitnodes nodig om TOR te kunnen kraken, dat is een van de trucjes, een exitnode beheren. NSA gebruikt dat met redelijk veel succes, in sommige gevallen weten ze tot 90% van alle gebruikers te identificeren, al lukt het zeker nog niet altijd in het wild
http://yro.slashdot.org/s...4/how-the-nsa-targets-tor
Het lukt ze 90% van de gevallen in een LAB omgeving waarbij nagenoeg al het verkeer via 1 exit node loopt en dat paketten via door de NSA beheerde Cisco apparatuur loopt.
Dus zo eenvoudig in het wild is het niet. Daar is de kans nihil dat ze verkeer van IP naar IP kunnen linken. De grootste fout die mensen maken is via TOR inloggen op bijvoorbeeld Facebook of andere sociale site.

Stel je bent illegaal bezig op TOR. Dit wordt opgemerkt en ze kunnen je IP niet terugleiden. Als sluitstuk check je even je gmail of iets dergelijks via die zelfde Tor sessie. Dan ben je gewoon de lul.
Wat kan jij goed een LAB bericht naschrijven zeg... Je eerst alinea slaat helemaal nergens op en is alleen maar bangmakerij.

Daarbij is ook nog dat het niet de NSA was die dat had gedaan maar een Universiteit (Nieuws: Onderzoekers: groot deel van Tor-gebruikers is te identificeren)

Ook je link naar de Google ads werkt gewoon niet omdat Javascript standaard uitgezet is in de TOR-browser.

Je link van Malware klopt dan weer wel, maar inmiddels is deze node alweer 4 maanden op de zwartelijst en heeft hij maar 1,5 week gedraait.
Ook je link naar de Google ads werkt gewoon niet omdat Javascript standaard uitgezet is in de TOR-browser.
Helaas, javascript staat al minstens een jaar standaard aan in de TOR browser, schijnbaar voor gebruiksgemak. Ik vind het zelf een onbegrijpelijke beslissing van de devs.

[Reactie gewijzigd door Bonez0r op 23 december 2014 06:25]

Is dat zo? Bij mij staat no-Script altijd aan. Eigenlijk nog nooit uitgezien (eerste wat ik check)

Als je gelijk heb, dan snap ik die keuze totaal niet. JavaScript is JUIST een van de weinige methodes waarmee je heel makkelijk getraced kan worden.
Ik zie dat je gelijk hebt, noscript staat inderdaad standaard geÔnstalleerd, ik vraag me af hoe lang dat al zo is. Ik had alleen de about:config javascript setting opgezocht en die staat wel aan.
Corrigeer me als ik het verkeerd heb maar volgens mij weten we op dit moment nog niet of er een gerechtigde instantie bij betrokken is. Dat wil niet zeggen dat het criminelen zijn, het zegt enkel dat niets vast staat.

Maar als het bijvoorbeeld politie is ben ik daar ook benieuwd naar. Men mag pas servers in beslag nemen als men zeker is van criminele activiteit.
Het verschil tussen mogen en doen is in de praktijk maar heel klein.

Buiten een kwestie van legaliteit ( inbeslagname ) of kwade opzet ( crimineel die de server hijack'd ) is een fysieke server op locatie altijd kwetsbaar.
"thuis" ben je zelf de beheerder, en bewaker van de integriteit ( zowel data als locatie )
Als je de boel uitbesteedt ( hostingbedrijf ) moet je ervan uitgaan dat het veilig is, en er niet zomaar iedereen bij je kastje kunnen komen.

Ik ben persoonlijk een eigenwijze gebruiker, en vertrouw niemand buiten mijn 'deur'
( ik noteer de kmstand van mijn auto, als hij een beurt krijgt en vraag een verklaring als er meer KM op staat )

Sinds een paar jaar probeer ik een scheiding te maken in mijn online gedrag, wat en hoe deel ik iets, en hoe belangrijk het is.
Anonieme toegang is een utopie, er is altijd wel een schakel zwakker, en (overheidsdiensten) hebben meer geld om te onderzoeken waar die liggen dan de gemiddelde tweaker.
Ja op het internet wel, maar op TOR zit toch grootste deel daar niet voor niks op, denk dat grootste deel er zit omdat ze iets te verbergen hebben, TOR gebruik je alleen als je voor autoriteit iets wilt verbergen niet omdat je porno sites hebt bezocht en je niet wilt dat je vrouw het ziet. Mensen die afweten van TOR en het gebruiken zijn in eerste instantie al geen standaard internet consument, die zijn per definitie al interessant om te volgen, percentage kwaadwillende ligt daar zeer hoog! CIA en NSA bestempeld TOR gebruikers niet voor niks als potentiŽle terroristen en volgt ze, ze vangen daar veel meer vis dan elders.

Dus nee niet alle tor gebruikers zijn kwaadwillende, maar ligt wel vele male hoger dan elders.

Net zoals je kan zeggen dat meeste mensen die jachtgeweer kopen gaan jagen, niet allemaal sommige zullen hem voor sier gebruiken of voor wegjagen van wild, maar meeste gebruiken hem toch waarvoor die gemaakt is. ;)

[Reactie gewijzigd door mad_max234 op 22 december 2014 10:08]

Het chassis openen? Dan vermoed ik dat het een cold boot attack is geweest. Een cold boot attack is een werkwijze voor het verkrijgen van ongeautoriseerde toegang tot encryptiesleutels opgeslagen in het RAM. Zie ook: http://en.wikipedia.org/wiki/Cold_boot_attack
Moet een bij een cold boot attack de fysieke machine ook niet daadwerkelijk flink gekoeld zijn wil je dat die sleutels nog uit het geheugen te lezen zijn?
Nee, dit heeft niks met temperatuur te maken. Het idee is dat bij een reset/cold-boot (een zeer korte stroomonderbreking) de inhoud van het geheugen in tact blijft. Als je vervolgens een heel klein OS boot kun je dat vervolgens gebruiken om het geheugen uit te lezen. (Met uitzondering van het stukje dat het kleine OS in beslag neemt.)
Ik denk dat ze het chassis hebben geopend om het geheugen af te koelen, met bijvoorbeeld gecomprimeerde lucht. Koude geheugenmodules houden langer data vast. Het heeft dus wel degelijk te maken met temperatuur.
Interessant, wist niet eens dat dit zo kon! In dat wikipedia artikel lees ik dat je inderdaad niet heel lang hebt, tenzij je de spullen gaan koelen., er wordt gesproken over 'seconds to minutes'. Aangezien je dit soort dingen voorbereid zullen ze ongetwijfeld spullen hebben meegenomen om die periode zo lang mogelijk te rekken.
Een cold boot heeft te maken met de manier de machine opstart. In het geval van 'cold boot' moet deze met de reset knop opnieuw opgestart worden. Op linux blijkt er een applicatie te zijn genaamd kexec waarmee je andere software kan opstarten als kernel. Dit is ook een cold boot, en lijkt hier gebruikt te zijn.
http://en.m.wikipedia.org/wiki/Reboot_(computing)#Hard
Of er werd een RAM dump gemaakt in een poging om de keys van het draaiende systeem te halen:
http://cryptome.org/0003/RAMisKey.pdf
Een chassis intrusion detection zou dan toch het RAM kunnen legen? Problem solved, voor de volgende keer ;)

[Reactie gewijzigd door TelefoniQ op 22 december 2014 09:13]

Inderdaad, word ook aan gedacht:
"It sounds like if possible, one should very carefully consider if they
want to have USB enabled in their kernel. If possible, remove it or
replace it with a module that logs details on devices - perhaps
triggering a panic?"
http://thread.gmane.org/g...or.user/34619/focus=34626

Overigens zijn de nodes geblacklist:
"I've rejected your relays like so:

# torrrc changes
# thecthulhu reports unknown compromise December 21st, 2014
AuthDirReject 77.95.224.187
AuthDirReject 89.207.128.241
AuthDirReject 5.104.224.15
AuthDirReject 128.204.207.215

# approved-routers changes
# thecthulu reports compromise december 21st, 2014
!reject D78AB0013D95AFA60757333645BAA03A169DF722
!reject 6F545A39D4849C9FE5B08A6D68C8B3478E4B608B
!reject 5E87B10B430BA4D9ADF1E1F01E69D3A137FB63C9
!reject 0824CE7D452B892D12E081D36E7415F85EA9988F
!reject 35961469646A623F9EE03B7B45296527A624AAFD
!reject 1EA968C956FBC00617655A35DA872D319E87C597
!reject E5A21C42B0FDB88E1A744D9A0388EFB2A7A598CF
!reject 5D1CB4B3025F4D2810CF12AB7A8DDDD6FC10F139
!reject 722B4DF4848EC8C15302C7CF75B52C65BAE3843A
!reject 93CD9231C260558D77331162A5DC5A4C692F5344
!reject A3C3D2664F5E92171359F71931AA2C0C74E2E65C
!reject 575B40EF095A0F2B13C83F8485AFC56453817ABF
!reject 27780F5112DEB64EA65F987079999B9DC055F7C0
!reject 54AA16946DB0CF7A8FA45F3B48A7D686FD1A1CEF
!reject 1EB8BDA15D27B3F9D4A2EDDA58357EA656150075
!reject 17A522BC05A0D115FC939B0271B8626AAFB1DDFF
!reject 1324EC51FBFA5FD1A11B94563E8D2A7999CD8F57
"
De aanvaller kan daar eenvoudig rekening mee houden. Als je weet waar de sensor zit zaag je die er eerst uit. Weet je dat niet, dan boor je een gaatje en ga je met een cameraatje verkennen.

Voor iemand met de juiste apparatuur is dit niet meer dan enkele minuten vertraging.
"This server will self-destruct in 5 seconds..."
Interresante Geert..dat zou inderdaad 1 van de mogelijkheden kunnen zijn. Heeft deze beheerder dat zelf ook al geopperd als mogelijke actie/oorzaak?
Wordt nog een hele soap zo.
Is tor dan toch zo kwetsbaar ?
Of wordt het tijd voor tor 2.0?
Als die Directory authorities zo belangrijk en zo kwetsbaar zijn. Waarom worden die dan niet omgevormd tot een soort van blokchain, met een gezamenlijke waarheid is zo'n systeem toch een stuk minder kwetsbaar?
Niet perse. De zwakte zit hem dan in 'de meerderheid'. Als een geheime dienst een groot serverpark in kan schakelen om eventjes meer dan 50% van de berekeningen te doen zijn ze in staat de 'waarheid' te manipuleren.
Zorgwekkend dat er blijkbaar iemand het chassis heeft geopend en een USB stick apparaat in het systeem heeft gestoken, terwijl de ISP beweert daar niets van te weten.

Hoewel zij het misschien ook niet mogen vertellen.

EDIT: Wat Tristan zegt, het kan prima een toetsenbord zijn.

[Reactie gewijzigd door Toettoetdaan op 22 december 2014 08:25]

Chassis openen? Het zijn gewoon servers met een USB port aan de achterkant en ik weet vrij zeker dat het USB apparaat een USB toetsenbord is geweest ipv een USB stick.
Hoe weet je dat zo zeker dan? :)

Ook prima mogelijk dat ze een bootable USB stick erin hebben gestoken en vervolgens op de reset knop hebben gedrukt. Daarna de hdd bekijken als niet-primaire disk. Dan loop je als overnemer niet het risico om tegen beveiligingen van het originele systeem aan te lopen.

Maar uiteindelijk weet niemand de waarheid behalve diegene die het gedaan heeft :). Vind het wel een erg 007 aktie-verhaal verder.
Nee, dit is een hele onverstandige optie. Stel de disk is encrypted, dan kom je niet bij de data. Partijen als de politie die een server mee nemen hangen een UPS aan de server (kan vaak, 2 voedingen) om het ding draaiende te houden en verplaatsen hem naar kantoor. Daar gaan ze dan graven _zonder_ het ding te rebooten.

Edit: spuit11 :-)

[Reactie gewijzigd door m33p op 22 december 2014 09:06]

Wat ze ook kunnen doen is het RAM (diep)bevriezen, dan verliest het zijn inhoud veel langzamer als de stroom er af gaat. Dan kan je gewoon de modules er uit halen en ergens anders in steken om ze uit te lezen. linkje.

Ik denk dat dit zelfs de voorkeur verdient voor opsporingsdiensten, omdat je in dat geval een 'image' kan maken inclusief RAM, dat je daarna in een VM o.i.d. kan draaien. Waardoor je altijd terug kan als je iets fout doet en het systeem zijn encryptie sleutels vernietigt. Dat kan met een live draaiend systeem niet. Bovendien kan je met zo'n image bewijzen dat je er zelf niet aan hebt zitten knoeien.
Je overschat de Politie :-) Misschien dat het inmiddels iets verder is, maar toen ik tot 5 jaar terug in een datacentrum werkte hebben we meerdere malen de politie met een officier van jusitie en een deurwaarder over de vloer gehad omdat ze een server op kwamen halen (ging eigenlijk altijd om kinderporno). Dat ging wat minder geavanceerd dan jij denkt. Men prikte er een UPS tussen als dat kon, en anders maar niet. Daarnaast hebben we ze een introductie moeten geven in wat een datacentrum nou precies deed dus dat geeft je een indicatie van het niveau van die mensen destijds :X En ja, dit was al een speciale unit voor dit soort internet zaken...
Klopt. En ze zijn ook niet te beroerd en peuter een 230V snoer open om bij de aders te komen om daar zodoende rechtstreeks een UPS/Nobreak op aan te sluiten als een PC/server slechts 1 voeding heeft .. hij gaat al draaiende het pand uit hoor, niks geen reboot, dat is wel het domste wat je zou kunnen doen .. al was het maar dat een bootable USB vaak de nodige drivers niet eens heeft om de exotische hardware te kunnen activeren zoals de benodigde RAID controllers. En tegenwoordig zijn (juist zulke!) hardeschijven vaak ook nog versleuteld en ook een Truecrypt-like container neem je liefst online/gemount mee.
dat kan tegenwoordig zelfs als er geen redundante voeding aanwezig is.
Behalve dat wanneer het systeem een geŽncrypte disk heeft, je niets meer kan omdat de disk niet meer gemount is.
Having reviewed the last available information of the
sensors, the chassis of the servers was opened and an unknown USB
device was plugged in only 30-60 seconds before the connection was
broken.
Dat is wel een vreemde melding in je log's, tenzij hij verwijst naar de deur van het server rek. Maar zelfs dan is het erg specifiek.
Das gehaait. Een server zit meestal in een rek. Je zou sensoren kunnen gebruiken om het openen van een chassis te kunnen registreren. Maar ik vraag me af of dat wel nodig is om een usb apparaat aan te sluiten.
Veel belangrijke servers hebben voorop een 'slot' gemonteerd zodat je niet bij de USB poorten kan tenzij je dit onderdeel van de server afhaalt, mocht dit gebeuren dan kan dit veelal automatisch weggeschreven worden in een log.
Aah kijk, dat klinkt plausibel. In dat geval zal het aannemelijk zijn dat daar hier sprake van is. Althans, als de bron de waarheid spreekt.
Er hoeft geen direct verband te zijn. Mogelijk is de chassis niet geopend voor USB toegang maar voor een andere actie die niet door sensoren is geregistreerd.
Bij mijn servers staan de front en backend usb uit. alleen de 2 interne staan aan. dus ja dan moet het chassis open en dan krijg ik inderdaad een melding.
Of hij heeft een server met brakke firmware waar een gat in zit. Dan kan je die sensoren laten denken wat ze willen, en de USB kan geemuleerd zijn of ook gemanipuleerd zijn via de firmware. Als je een TOR exit node wilt kraken weet je vast wel wat je doet.

Al is dit wel wat ruig speculeren natuurlijk.
Er staat letterlijk in zijn verklaring dat de sensoren hebben gelogd dat het chassis is geopend er een USB apparaat is geplaatst en 30~60 seconden later de server offline ging
Of mischien is het ook simpelweg niet waar......

Het woord van een gerenomeerde hoster tegen het woord van een TOR beheerder. Ik kan nou niet zeggen dat ik die laatste dan meteen zoveel betrouwbaarder vindt dan die eerste.
Beide hebben een betrouwbaarheid die je in twijfel kan trekken. 1 ding is zeker, in beide gevallen kan het zijn dat ze het daadwerkelijk niet mogen zeggen.
De reactie van de provider vind ik in ieder geval erg sterk.
Ik lees nergens iets over een chassis openen. Dat heb je niet nodig om usb sticks aan te sluiten want usb poorten zitten gewoon aan de buitenkant ;)
Hij beschrijft dat hier: http://article.gmane.org/gmane.network.tor.user/34619 ;)

Het kan natuurlijk om de deur van het server rek gaan en het kan nog steeds een USB toetsenbord zijn. Maar het is wel een gekke melding...
Plus in een server rack het chassis openen is best lastig.. of er moet boven de 1-2-4U bak ruimte zijn geweest anders moet de server eerst op z'n rails naar voren getrokken worden (en dan hopen dat alle kabeltjes netjes meegaan...) om 'm open te maken en idd, usb aansluiten kan ook zonder chassis openen.. meeste servers hebben netjes aan de voorkant van de rack connectors voor usb / vga out etc.

Al met al een raar verhaal.
Staan standaard uit bij mij, dus zo raar is dat niet. Het enige wat ik nodig heb is mijn lan kabel en stroom als ik me usb aan wil zetten gebruik ik me toetsenbord op me interne usb headers en dan kan ik me front of back usb aanzetten
Misschien heeft ie de poorten die aan de buitenkant zitten onbruikbaar gemaakt? Het gaat hier wel om iemand die extreem goed op zijn security let... Dan moet je wel aan de binnenkant zijn om rechtstreeks op het moederbord aan te sluiten...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True