Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Beheerder verliest controle over cluster Tor-exitnodes - update

Een beheerder van een cluster van Tor-exitnodes en een groot aantal mirrors heeft de controle over de systemen verloren en zijn account is opgeheven. In ieder geval een deel van de servers staat bij de Nederlandse hostingprovider Snel.

In de nacht van zondag op maandag waarschuwde Thomas White dat hij het beheer over de exitnodes was kwijtgeraakt en dat gebruikers zijn diensten en mirrors niet meer moesten gebruiken. Vlak voor hij de verbinding verloor, was er een usb-apparaat in de systemen gestoken, zo constateerde hij. "Uit ervaring weet ik dat dit soort activiteit vergelijkbaar is met die van de politie als die servers in beslag nemen en doorzoeken", aldus White.

Bij latere updates nuanceerde hij dat beeld door er op te wijzen dat er geen directe aanwijzingen zijn dat de servers in handen zijn van de politie. Verder benadrukt de beheerder dat de systemen inmiddels op de zwarte lijst staan en dat er geen gebruikersgegevens op de betreffende systemen staan. De hostingprovider van de systemen is de in Schiedam gevestigde aanbieder Snel, die diensten aanbiedt onder de naam SnelServer. Het hostingbedrijf ontkent dat er usb-apparaten in de systemen zijn gestoken of dat er systemen in beslag zijn genomen.

Waarom en hoe hij de controle is verloren, weet White niet. Zaterdag waarschuwde Tor-ontwikkelaar Roger Dingledine dat er aanwijzingen zijn dat het Tor-netwerk een aanval te verduren zou krijgen. Daarbij zouden mogelijk directory authorities, belangrijke schakels in het Tor-netwerk, in beslag genomen worden. Verdere details over de mogelijke aanvallen gaf Dingledine niet.

Update, 10.50: De hostingpartij Snel laat aan Tweakers weten dat het blokkeren van het account van de beheerder een gevolg was van het beveiligingsbeleid van het bedrijf. De klant zou een termijn voor verificatie per abuis hebben laten verstrijken en daarna ingelogd hebben met een kvm. "Bepaalde kvm's maken bij het benaderen van de poorten een usb-event aan, dat is wat de klant geconstateerd heeft", aldus Snel. Inmiddels is het account van de man weer vrijgegeven.

Door Olaf van Miltenburg

Nieuwscoördinator

22-12-2014 • 08:00

98 Linkedin Google+

Submitter: flux_w42

Reacties (98)

Wijzig sortering
Als zijn hostingaccount gehackt is denk ik dat de machines zijn overgenomen via IPMI. SnelServer lijkt dit standaard aan te bieden bij iedere server.

Een reboot van de IPMI interface levert een paar USB events op in je logs, namelijk het "inpluggen" van het virtuele toetsenbord en muis van de IPMI interface.
Beste lezers,

Wij willen graag reageren op het bericht dat is geplaatst, omdat de beweringen niet kloppen. Er wordt beweerd dat er een USB-apparaat is aangesloten in het systeem, deze constatering klopt niet en we kunnen ook met alle zekerheid zeggen dat de servers niet in beslag zijn genomen door de politie.

Het klopt wel dat het account van de klant korte tijd offline is geweest vanwege ons beveiligingsbeleid. De klant is echter direct op de hoogte gesteld en wordt nog steeds gehost op ons netwerk.

Als je inlogt via de KVM dan ziet de server dit als een USB event (IPMI koppelt virtueel toetsenbord/muis/monitor). Toen de klant erachter kwam dat zijn servers offline waren, heeft hij met de KVM ingelogd om achter te halen wat er mogelijk aan de hand zou zijn, tijdens deze inlogactie zijn de events gelogd naar zijn logs.

De klant heeft ook al via zijn Twitter account aangegeven, dat zijn constateringen te serieus zijn genomen https://twitter.com/CthulhuSec/status/546878441724084224

--
Met vriendelijke groet,

SnelServer.com

[Reactie gewijzigd door snelcom op 22 december 2014 11:51]

Uit de laatste link over directory authorities:

Coordination: How do clients know what the relays are, and how do they know that they have the right keys for them? Each relay has a long-term public signing key called the "identity key". Each directory authority additionally has a "directory signing key". The directory authorities provide a signed list of all the known relays, and in that list are a set of certificates from each relay (self-signed by their identity key) specifying their keys, locations, exit policies, and so on. So unless the adversary can control a majority of the directory authorities (as of 2012 there are 8 directory authorities), he can't trick the Tor client into using other Tor relays.

How do clients know what the directory authorities are? The Tor software comes with a built-in list of location and public key for each directory authority. So the only way to trick users into using a fake Tor network is to give them a specially modified version of the software.
The Irony: de review van de betreffende klant (Thomas White) wordt op de homepage gequote door het bedrijf snel server.
Ik denk dat hij bijzonder adequaat heeft gereageerd. Dat hij achteraf gezien, een verkeerde conclusie heeft getrokken maakt niet uit: Eerst de stekker eruit, daarna pas uitzoeken wat er aan de hand is. Niet eerst waardevolle tijd spenderen aan het zoeken, terwijl in de tussentijd de servers al gehackt of in beslaggenomen zijn en het hele systeem gecompromitteerd wordt, dan ben je al te laat...

Ik denk ook dat je te snel White ziet als een prutser, hij heeft correct gehandeld, niet zoals veel bedrijven problemen angstvallig geheim houden. Je zou juist blij moeten zijn met zo'n transparant persoon. Deze situatie bewijst dat White juist een erg betrouwbaar is, hem daarvoor uitlachen slaat nergens op...
Misschien leren lezen, er is niks vaags aan zijn bericht (of heb je alleen de onvolledige berichtgeving van Tweakers gelezen en voor het gemak het bronbericht links laten liggen?).

Hij geeft een waarschuwing uit en wat de situatie op dat moment is. Omdat hij fysiek niet op de locatie is kan hij ook niet meer info geven.

- De servers zijn niet meer in zijn beheer; dit kan verschillende oorzaken hebben maar bottom line is hij heeft geen controle meer over de situatie
- Zijn account bij de ISP is suspended; wat betekend dat de provider bewust zijn account is geblokkeerd en hij niet meer in de adminpanel van zijn hostprovider kan komen - wat dus inhoud dat de provider dondersgoed weet wat er aan de hand is.
- 30-60 seconde voor het beëindigen van zijn connectie met de servers is er een onbekend usb apparaat ingeplugged en is de kast geopend.

Als je een dergelijk serverpark beheert is het geen gekke gedachte dat zo'n iemand constant een monitoring tool heeft draaien om alles in de gaten te houden.
Je hebt exitnodes nodig om TOR te kunnen kraken, dat is een van de trucjes, een exitnode beheren. NSA gebruikt dat met redelijk veel succes, in sommige gevallen weten ze tot 90% van alle gebruikers te identificeren, al lukt het zeker nog niet altijd in het wild
http://yro.slashdot.org/s...4/how-the-nsa-targets-tor

Exitnodes zijn zwakke schakel, ook word en malware in de data verstopt via de exitnodes, ook manier gebruikers te vinden.
nieuws: Beveiligingsonderzoeker vindt Tor exit node die malware in binaries stopt

Vergeet niet NSA heeft veel meer data, je laat veel meer sporen achter dan je denkt, domweg TOR gebruiken is niet veilig, zal veel meer maatregelen moeten nemen. Ook door tor netwerk heen word je nog gevolgd als je niet oppast wat je doet. Hoeft maar 1 foutje te maken ooit en ze hebben je!
http://www.cnet.com/news/...le-ads-to-find-tor-users/
Je hebt exitnodes nodig om TOR te kunnen kraken, dat is een van de trucjes, een exitnode beheren. NSA gebruikt dat met redelijk veel succes, in sommige gevallen weten ze tot 90% van alle gebruikers te identificeren, al lukt het zeker nog niet altijd in het wild
http://yro.slashdot.org/s...4/how-the-nsa-targets-tor
Het lukt ze 90% van de gevallen in een LAB omgeving waarbij nagenoeg al het verkeer via 1 exit node loopt en dat paketten via door de NSA beheerde Cisco apparatuur loopt.
Dus zo eenvoudig in het wild is het niet. Daar is de kans nihil dat ze verkeer van IP naar IP kunnen linken. De grootste fout die mensen maken is via TOR inloggen op bijvoorbeeld Facebook of andere sociale site.

Stel je bent illegaal bezig op TOR. Dit wordt opgemerkt en ze kunnen je IP niet terugleiden. Als sluitstuk check je even je gmail of iets dergelijks via die zelfde Tor sessie. Dan ben je gewoon de lul.
Wat kan jij goed een LAB bericht naschrijven zeg... Je eerst alinea slaat helemaal nergens op en is alleen maar bangmakerij.

Daarbij is ook nog dat het niet de NSA was die dat had gedaan maar een Universiteit (Nieuws: Onderzoekers: groot deel van Tor-gebruikers is te identificeren)

Ook je link naar de Google ads werkt gewoon niet omdat Javascript standaard uitgezet is in de TOR-browser.

Je link van Malware klopt dan weer wel, maar inmiddels is deze node alweer 4 maanden op de zwartelijst en heeft hij maar 1,5 week gedraait.
Ik denk dat ze het chassis hebben geopend om het geheugen af te koelen, met bijvoorbeeld gecomprimeerde lucht. Koude geheugenmodules houden langer data vast. Het heeft dus wel degelijk te maken met temperatuur.
Inderdaad, word ook aan gedacht:
"It sounds like if possible, one should very carefully consider if they
want to have USB enabled in their kernel. If possible, remove it or
replace it with a module that logs details on devices - perhaps
triggering a panic?"
http://thread.gmane.org/g...or.user/34619/focus=34626

Overigens zijn de nodes geblacklist:
"I've rejected your relays like so:

# torrrc changes
# thecthulhu reports unknown compromise December 21st, 2014
AuthDirReject 77.95.224.187
AuthDirReject 89.207.128.241
AuthDirReject 5.104.224.15
AuthDirReject 128.204.207.215

# approved-routers changes
# thecthulu reports compromise december 21st, 2014
!reject D78AB0013D95AFA60757333645BAA03A169DF722
!reject 6F545A39D4849C9FE5B08A6D68C8B3478E4B608B
!reject 5E87B10B430BA4D9ADF1E1F01E69D3A137FB63C9
!reject 0824CE7D452B892D12E081D36E7415F85EA9988F
!reject 35961469646A623F9EE03B7B45296527A624AAFD
!reject 1EA968C956FBC00617655A35DA872D319E87C597
!reject E5A21C42B0FDB88E1A744D9A0388EFB2A7A598CF
!reject 5D1CB4B3025F4D2810CF12AB7A8DDDD6FC10F139
!reject 722B4DF4848EC8C15302C7CF75B52C65BAE3843A
!reject 93CD9231C260558D77331162A5DC5A4C692F5344
!reject A3C3D2664F5E92171359F71931AA2C0C74E2E65C
!reject 575B40EF095A0F2B13C83F8485AFC56453817ABF
!reject 27780F5112DEB64EA65F987079999B9DC055F7C0
!reject 54AA16946DB0CF7A8FA45F3B48A7D686FD1A1CEF
!reject 1EB8BDA15D27B3F9D4A2EDDA58357EA656150075
!reject 17A522BC05A0D115FC939B0271B8626AAFB1DDFF
!reject 1324EC51FBFA5FD1A11B94563E8D2A7999CD8F57
"
Niet perse. De zwakte zit hem dan in 'de meerderheid'. Als een geheime dienst een groot serverpark in kan schakelen om eventjes meer dan 50% van de berekeningen te doen zijn ze in staat de 'waarheid' te manipuleren.
Nee, dit is een hele onverstandige optie. Stel de disk is encrypted, dan kom je niet bij de data. Partijen als de politie die een server mee nemen hangen een UPS aan de server (kan vaak, 2 voedingen) om het ding draaiende te houden en verplaatsen hem naar kantoor. Daar gaan ze dan graven _zonder_ het ding te rebooten.

Edit: spuit11 :-)

[Reactie gewijzigd door m33p op 22 december 2014 09:06]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrische voertuigen

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True