Rechter: FBI hoeft Firefox-lek niet aan Mozilla prijs te geven

Een Amerikaanse rechter heeft geoordeeld dat de FBI een Firefox-lek niet aan Mozilla bekend hoeft te maken. De onderzoeksdienst gebruikte het lek in de op Firefox gebaseerde Tor-browser om verdachten in een kinderpornozaak op te sporen.

Tor Browser Bundle fpa Een week geleden eiste Mozilla voor de rechter dat de FBI het lek bekend zou maken, omdat het risico bestaat dat het door anderen gebruikt zal worden. De FBI had dit verzoek eerder geweigerd. Reuters schrijft dat de rechter het verzoek heeft afgewezen en dat deze in zijn beslissing heeft bepaald dat Mozilla zijn verzoek aan de Amerikaanse overheid dient te richten. Het Amerikaanse ministerie van Justitie had de rechter vorige week gevraagd het verzoek te weigeren om de nationale veiligheid te waarborgen.

Het staat niet vast dat de kwetsbaarheid daadwerkelijk in Firefox aanwezig is, maar daar gaat Mozilla samen met ACLU-onderzoeker Christopher Soghoian wel van uit. De kwetsbaarheid zou zijn ingezet om verdachten in de 'Playpen'-kinderpornozaak te identificeren, hoewel zij gebruikmaakten van de anonimiteit die de Tor-browser biedt. Tijdens het onderzoek werd de site twee weken lang door de FBI gehost om de 214.898 leden te identificeren.

Mozilla wil de kwetsbaarheid achterhalen, omdat dit volgens het bedrijf de veiligste manier is om deze op te lossen en gebruikers te beschermen.

Reacties (113)

CAPSLOCK2000

Netwerk en systeembeheer
Tor

18 mei 2016 12:22

Schandalig dit, ik snap de FBI wel, ze willen hun handige gereedschap niet kwijt, maar het is een aanslag op de rechtsorde. Door de bug geheim te houden is het bewijs niet te controleren. Mensen worden nu veroordeeld "omdat de computer het zegt". Hoe kun je daar nu een verdediging tegen voeren? Het mogen zien van het bewijs tegen je is belangrijk om het proces eerlijk te houden.
Nu snap ik dat er in praktijk een grens is, je kan niet iedere bit software van iedere switch op internet bij zo'n zaak betrekken (al is het maar omdat het geen Free Sofware is), maar het lek zelf is toch wel het absolute minimum.

afterburn @CAPSLOCK2000 • 18 mei 2016 13:02

Je moet de boel niet omdraaien. Het feit dat de FBI niet wil zeggen welke exploit ze hebben gebruikt wil niet zeggen dat het bewijs niet klopt of dat het bewijs niet aan te vechten is. Door die exploit hebben ze nu unencrypted verkeer, met afkomst, bestemming, tijden en andere logging. Het artikel gaat dan ook niet over de verdediging, maar over Mozilla die graag hun browser wil patchen om te voorkomen dat de hele wereld die Firefox gebruikt door deze exploit in gevaar gebracht kan worden door kwaadwillenden of een grijpgrage overheid.

CAPSLOCK2000

Netwerk en systeembeheer
Tor

@afterburn • 18 mei 2016 13:36

Je moet de boel niet omdraaien. Het feit dat de FBI niet wil zeggen welke exploit ze hebben gebruikt wil niet zeggen dat het bewijs niet klopt of dat het bewijs niet aan te vechten is.

Hoe dan? Hoe ga je bewijzen dat de informatie niet klopt? Misschien heb je het geluk om een alibi te hebben ("ik lag in het zwembad en iedereen heeft het gezien") maar als je dat niet hebt wens ik je veel succes. Als je op dat moment alleen achter je computer zat dan zou ik niet weten hoe je je onschuld nog kan bewijzen.
Het is trouwens de wereld op z'n kop, bewijs moet voor zichzelf spreken. Als het niet evident is dat bewijs betrouwbaar is dan heb je er niks aan. Op deze manier komt de bewijslast omgekeerd te liggen en moet je verdachte bewijzen dat hij onschuldig is.

Door die exploit hebben ze nu unencrypted verkeer, met afkomst, bestemming, tijden en andere logging.

Hoe weet je dat? We weten niet welk gat ze hebben gebruikt en wat ze daar uit hebben gehaald.

TWyk @CAPSLOCK2000 • 18 mei 2016 14:56

Een advocaat van 1 van de aangeklaagden heeft die informatie over de methode die de FBI ook opgevraagd en dat verzoek is door de (dezelfde) rechter eerder al wel toegewezen

OddesE @CAPSLOCK2000 • 18 mei 2016 16:57

Deze oncontroleerbaarheid is natuurlijk sowieso al een feit, met of zonder dat lek. Want laten we wel wezen, log files en http verkeer zijn gewoon tekst bestanden die een beetje expert zo kan bewerken als hij wil.

Maar wat ik zo belachelijk vindt is dat Justitie nu gaat beweren dat de staatsveiligheid afhankelijk is, niet van betrouwbare software, maar juist van lekken in de beveiliging!! En helaas gaat de rechterlijke macht er in mee.

Verwijderd @CAPSLOCK2000 • 18 mei 2016 17:14

Het is niet dat ze right-clicken en een IP pakken, het kost tijd en werk en geld. Maar de-anonymizen is mogelijk.

https://www.youtube.com/watch?v=J1q4Ir2J8P8

Op deze manier komt de bewijslast omgekeerd te liggen en moet je verdachte bewijzen dat hij onschuldig is.

Ze doen niet logs van Tor gebruiken als bewijs, dan lacht de rechter ze de zaal uit. Ze komen achter iemand zijn identiteit met behulp van deze exploit en vervolgens lopen ze zijn huis binnen en vinden ze blote kindjes op zijn pc.

Blote kinderen op zijn PC gaat hij voor de bak in, niet op TOR zitten.

Feit blijft dat ze niet met logs van tor naar de rechter stappen maar met een harde schijf vol kinderporno.

CAPSLOCK2000

Netwerk en systeembeheer
Tor

@Verwijderd • 18 mei 2016 17:20

Ze komen achter iemand zijn identiteit met behulp van deze exploit en vervolgens lopen ze zijn huis binnen en vinden ze blote kindjes op zijn pc.

Als de computer het zegt mogen ze dus zomaar ieder huis binnen lopen?
Stel dat je huis iedere dag wordt binnengevallen door de ME. Iedere keer zeggen ze "Ja meneer, volgens de computer bent u een boef". Dan wil je toch wel even weten waarom de computer dat zegt, maar dat mag niet, het computerprogramma is geheim.

djwice

@CAPSLOCK2000 • 18 mei 2016 22:26

De officier van Justitie oordeelt eerst of er voldoende bewijs is, voordat je door de AT van je bed wordt gelicht. Tijdens de inval wordt geobserveerd wat er gebeurt.
Elke volgende dag zonder aanleiding en resultaat een inval doen op hetzelfde adres, lijkt mij niet lang geaccepteerd worden.

[Reactie gewijzigd door djwice op 22 juli 2024 19:19]

bbob

Netwerk en systeembeheer

@CAPSLOCK2000 • 18 mei 2016 17:24

Eens kijken, tor kinderporno.

Je gebruikt tor om je ip adres te verbergen
FBI komt via een lek toch achter jou ip adres.
Ze vragen toestemming aan een rechter voor een doorzoekingsbevel.
Jou computer wordt in beslag genomen en daarop treft men kinderporno aan cq bewijs van bezoek aan kinderporno websites.

Lijkt me heel duidelijk en rechtmatig voor een veroordeling.

Stel op jou pc treft men geen kinderporno aan, nog bewijs dat je dat soort sites bezocht hebt. Geen bewijs = vrijspraak.

geert1 @CAPSLOCK2000 • 18 mei 2016 12:58

Mee eens, en de veiligheidsdiensten / overheden zien ook het grote plaatje niet. Zij zijn blijkbaar zo naïef dat ze denken dat alleen zij de lekken zullen kunnen gebruiken (en hetzelfde voor backdoors, hacking-software en -hardware) en dat die zaken niet door anderen ook misbruikt worden. Terwijl elke kwetsbaarheid kan worden verkocht door een medewerker met weinig scrupules, of gejat kan worden, of door contra-spionage of chantage bemachtigd kan worden, of door eigen onderzoek gevonden kan worden, enz. Ze houden hun technieken voor zichzelf, zogenaamd voor de nationale veiligheid, maar ze brengen die veiligheid in werkelijkheid juist in gevaar. Ik zie het als arrogantie, naïviteit en roekeloosheid.

De "privacy vs veiligheid"-kwestie heeft geen gemakkelijk antwoord, maar het melden en oplossen van elk lek zou naar mijn mening zeker meer voordeel hebben dan nadeel, op de langere termijn.

[Reactie gewijzigd door geert1 op 22 juli 2024 19:19]

CEx @geert1 • 18 mei 2016 13:09

Onzin. Zij zijn zelf zeer zeker op de hoogte van dergelijke lekken in andere handen.
Je kan onmogelijk een risico analyse maken zonder de exacte details., maar er vanuit gaan dat de FBI die niet doet is pas echt naïef.

geert1 @CEx • 18 mei 2016 13:52

Ze zullen zich inderdaad wel bewust zijn van de risico's tot op zekere hoogte, maar dat ze het huidige beleid (het niet oplossen van lekken om ze zelf te gebruiken) alsnog volhouden geeft aan dat ze deze risico's onderschatten. Veiligheidsdiensten en overheden denken blijkbaar dat zij hackers (van andere overheden, criminele organisaties, corporaties en individuele) allemaal te slim af zullen zijn. Daar zit toch wel wat naïviteit in naar mijn mening, maar sowieso arrogantie, roekeloosheid en zelfoverschatting.

Ook geven ze blijkbaar niet om de potentiële economische gevolgen als ook de Amerikaanse / Westerse data gejat worden door anderen (van blauwdrukken en uitvindingen tot bedrijfs- en persoonsgegevens, gegevens uit de aandelenbeurs, straks data van en controle over zelfrijdende auto's, drones, enz).

[Reactie gewijzigd door geert1 op 22 juli 2024 19:19]

Blackice09 @CAPSLOCK2000 • 18 mei 2016 13:46

Daarnaast is het behoorlijk hypocriet om het verzoek te weigeren "om de nationale veiligheid te waarborgen". Dat is natuurlijk het bekende excuus van de Amerikaanse inlichtingendiensten om de privacy van de burger te kunnen verwaarlozen. Maar met opzet miljoenen Firefox gebruikers met een veiligheidslek laten zitten schaadt de nationale veiligheid niet?
Maar goed hiermee is de kous nog niet af want de rechter zegt wel terecht dat men naar de overheid moet stappen en niet bij de FBI moet aankloppen. Omdat dit een inlichtingen- en opsporingsdienst is kan het hun dus niks schelen of burgers minder veilig zijn, zolang zij hun werk maar kunnen doen.

[Reactie gewijzigd door Blackice09 op 22 juli 2024 19:19]

CivLord

@CAPSLOCK2000 • 18 mei 2016 13:39

Niemand zal veroordeeld worden omdat de computer zegt dat ze schuldig zijn.
De informatie die vergaard is zal gebruikt zijn om huiszoekingsbevelen te krijgen. Alleen op basis van het bewijsmateriaal dat in het huis en/ of op de PC wordt gevonden kan iemand veroordeelt kunnen worden.
Puur alleen het IP-adres is te mager, omdat dat te manipuleren valt en omdat iemand anders ongemerkt mee kan liften op een WiFi-verbinding.

CAPSLOCK2000

Netwerk en systeembeheer
Tor

@CivLord • 18 mei 2016 13:44

Niemand zal veroordeeld worden omdat de computer zegt dat ze schuldig zijn.
De informatie die vergaard is zal gebruikt zijn om huiszoekingsbevelen te krijgen.

Ho, hier gaat het al fout. Je mag niet zomaar iemands huis doorzoeken. Om een huiszoekingsbevel te krijgen moet je bewijs hebben of op z'n minst een sterke aanwijzing dat er iets aan de hand is. Dat bewijs (of die aanwijzing) mag echter niet op illegale wijze verkregen worden.

Een geheim en oncontroleerbaar computerprogramma dat huiszoekingsbevelen afgeeft is ook onwenselijk.

Rob_03 @CAPSLOCK2000 • 18 mei 2016 15:29

"Om een huiszoekingsbevel te krijgen moet je bewijs hebben of op z'n minst een sterke aanwijzing dat er iets aan de hand is."

Hoe komt men dan aan het "bewijs / sterke aanwijzing" als men niet de bezoek gegevens van de in beslag genomen kinderporno website kan gebruiken?

Ik ben het met CivaLord eens. Een OM wat slechts komt met een lijst xxxx keer ingelogd maakt men in zowel de USA als NLD gehakt van. Het bekende "gebrek aan bewijs".

Dat je een "probleem" hebt als huiszoeking ook nog eens een complete dvd collectie oplevert, betalingen worden gedaan aan aantoonbare "site" eigenaren en dergelijke tja dat is wat we in Nederland ook wel kennen onder de noemer "de bewijzen stapelen zich op".

CAPSLOCK2000

Netwerk en systeembeheer
Tor

@Rob_03 • 18 mei 2016 17:05

Hoe komt men dan aan het "bewijs / sterke aanwijzing" als men niet de bezoek gegevens van de in beslag genomen kinderporno website kan gebruiken?

Ten eerste is dat niet waar het om gaat. Ze maken geen gebruik van inbeslag genomen gegevens. Ze verzamelen actief gegevens door gebruikers van die site te hacken en ze weigeren te verklaren hoe ze het hebben gedaan.
Als ze de boeken van een bedrijf in beslag nemen dan moeten ze toch ook kunnen aantonen dat ze die boeken bij de administratie van het bedrijf hebben opgehaald. Als een rechercheur z'n kofferbak opentrekt en daar de boeken uit haalt zonder te verklaren hoe hij er aan komt dan zou niemand dat accepteren.

Ten tweede is dat niet het probleem van de verdachte. De verdachte heeft recht op een eerlijk proces. Het is jammer als dat het werk van de politie moeilijk maakt maar dat doet niks af aan de rechten van de verdachte.

analog_ @CAPSLOCK2000 • 18 mei 2016 19:22

Maar het is toch niet voor de burgers om te weten hoe de recherche zijn werk doet? Zolang de rechter in kwestie daar maar zicht over heeft en de legaliteit ervan aftoetst. Geheime dienst zet toch ook niet het bouwplan van hun taser online?

Wat nog een leuke vraag is, is of degene die de software aftoetst het mag memoriseren en vervolgens met die kennis een patch mag schrijven.

[Reactie gewijzigd door analog_ op 22 juli 2024 19:19]

Rob_03 @CAPSLOCK2000 • 19 mei 2016 11:12

Daar gaat het wel om althans dat is wat je zelf al stelde. Voor een huiszoeking moet er bewijs dan wel een sterke aanwijzing zijn.

Die sterke aanwijzing is het in beslag nemen van een boekhoudkantoor wat de boekhouding doet voor huurmoordenaars. Dat boekhoud kantoor maakt gebruik van "loopjongens" die er voor bedoeld zijn het verzend adres van de klanten geheim te houden. Dat is de core business van die "loopjongens" organisatie en het "kat en muis spel" waar ze zich in begeven.

Tja en dan is het die politie die een weg zoekt en vindt om toch de "klant" te vinden. Dat is hun taak. Het is niet hun taak om vervolgens uit te leggen hoe je kan voorkomen gevonden te worden.

Het zou wat zijn. Je geeft de opdracht aanslagen te voorkomen en de verplichting na het voorkomen van de aanslag iedereen te vertellen hoe je nou kan voorkomen dat de aanslag voorkomen kan worden.

En wat betreft de positie van de verdachte. Wel een simpele access log met 3000 aanmeldingen op die website is echt niet voldoende om veroordeeld te worden.

Daar maakt een advocaat in mum van tijd gehakt van al is het alleen al door te stellen dat als een FBI al in staat is om in het huis in te breken kan ieder ander onbekend individu dat ook.

Maar goed dat is voor alsnog een vervolg vraag die nog beantwoord moet worden.

CAPSLOCK2000

Netwerk en systeembeheer
Tor

@Rob_03 • 19 mei 2016 12:44

Tja en dan is het die politie die een weg zoekt en vindt om toch de "klant" te vinden. Dat is hun taak.

Maar wel binnen de grenzen van de wet en op een nette manier. De politie heeft geen carte-blanche om alles te doen wat ze willen om boeven te pakken. Ze mogen ook niet schieten op winkeldieven.

Het is niet hun taak om vervolgens uit te leggen hoe je kan voorkomen gevonden te worden.

Het is wel hun taak om burgers te beschermen. Als de politie weet dat er een slecht alarmsysteem verkocht worden dan zullen ze dat ook bekend maken in plaats van het geheim te houden voor het geval ze ooit zelf ergens willen binnendringen. De politie is wel eens bij mij thuis geweest om te controleren of mijn huis wel veilig was en tips te geven over preventie. Ik vind voorlichting en preventie dus wel een taak van de politie, digitaal of anderszins.

Rob_03 @CAPSLOCK2000 • 19 mei 2016 18:03

"Maar wel binnen de grenzen van de wet en op een nette manier. De politie heeft geen carte-blanche om alles te doen wat ze willen om boeven te pakken. Ze mogen ook niet schieten op winkeldieven."

Dat ben ik ook geheel met je eens. Er is echter met de uitspraak duidelijk geworden dat men binnen die "lijnen" opereert.

"Het is wel hun taak om burgers te beschermen. Als de politie weet dat er een slecht alarmsysteem verkocht worden dan zullen ze dat ook bekend maken in plaats van het geheim te houden voor het geval ze ooit zelf ergens willen binnendringen. De politie is wel eens bij mij thuis geweest om te controleren of mijn huis wel veilig was en tips te geven over preventie. Ik vind voorlichting en preventie dus wel een taak van de politie, digitaal of anderszins."

Het moet niet. Althans er is geen wetgeving die ongeacht de omstandigheden dat verplicht. Nu is het voorbeeld van het alarm iets wat kort door de bocht. Dan gaat het eerder om de vraag een alarm systeem uitgerust met automatische wapens dat gebruikt wordt door eigenaren van drugs laboratoria.

TWyk @CAPSLOCK2000 • 18 mei 2016 15:00

Een geheim en oncontroleerbaar computerprogramma dat huiszoekingsbevelen afgeeft is ook onwenselijk.

Aan de andere kant is het misschien ook niet wenselijk dat alle methodes die de politie gebruikt om criminelen op te sporen bekend gemaakt moet worden omdat het dan voor criminelen veel makkelijk wordt om zich tegen opsporing te weren.
Opsporingsmethodes kunnen mogelijk ook aan een onafhankelijk controle orgaan voor gelegd worden om te beoordelen of deze voldoen aan wettelijke eisen of zoiets?!

OddesE @TWyk • 18 mei 2016 17:03

Nee. Dus we moeten hier kiezen:

1. Een efficiënt en effectief opsporingsbeleid, waar we helaas geen zicht op hebben en niet kunnen controleren

2. Een minder effectief opsporingsbeleid want transparant, maar wel controleerbaar.

Voor mij is die keuze makkelijk. Transparantie en accountability. Dan maar wat minder boeven gepakt, maar iig een eerlijk proces voor de verdachten en een betrouwbare overheid

TWyk @OddesE • 18 mei 2016 17:06

Ik vind het juist ook prima om de opsporingsmethodes te controleren op hun rechtmatigheid maar dat is want anders dan die informatie over die opsporingsmethodes vrijelijk beschikbaar stellen zodat criminelen hun gedrag daarop aan kunnen passen.

OddesE @TWyk • 19 mei 2016 09:23

True. Mijn 'nee' was op de eerste zin gericht. Onafhankelijk toetsen zou heel goed zijn idd.

Maar goed je verschuift het probleem. Eerst had je geen transparantie / controleerbaarheid van de opsporingsmethode, nu heb je geen transparantie / controleerbaarheid van het controle orgaan.

Uiteindelijk gaan geheimhouding en transparantie gewoon niet samen. Of we moeten 'blind' vertrouwen op bepaalde (groepen) mensen, of we moeten kunnen zien wat ze doen. Hetzelfde zie je bij die geheime rechtbanken die dan geheime warrants afgeven voor afluisteren e.d. Mensen kunnen beweren dat het allemaal helemaal netjes verloopt maar ja.... hoe controleren we dat?

TWyk @CAPSLOCK2000 • 18 mei 2016 14:01

Door de bug geheim te houden is het bewijs niet te controleren. Mensen worden nu veroordeeld "omdat de computer het zegt". Hoe kun je daar nu een verdediging tegen voeren?

Ik denk niet dat je enkel en alleen veroordeeld kan worden op dit bewijs.
Maar ik denk wel dat de FBI dmv van deze tooling genoeg bewijs verzamelen kan om bijvoorbeeld huiszoekingbevelen aan te vragen waarmee ze de PC's van de verdachte pedofielen kan doorzoeken op de aanwezigheid van kinderporno en/of het bezoeken van de betreffende illegale site.
Of hiermee creditcard betalingen kunnen opvragen die gedaan zijn naar de uitbaters van deze site.

Meer dan 200 duizend leden.
Absurd veel zeg. Ziekelijk.
Ik hoop dat ze ook veel van die leden te pakken krijgen.

[Reactie gewijzigd door TWyk op 22 juli 2024 19:19]

postbus51 @CAPSLOCK2000 • 19 mei 2016 00:02

Weleens gedacht dat er een bug in de union-router zou zitten en door een toevalligheid met firefox dit een prachtige mogenlijkheid voor de FBI biedt

Verwijderd @CAPSLOCK2000 • 19 mei 2016 03:25

"Mensen worden nu veroordeeld "omdat de computer het zegt"

Dat zal echt wel niet zo zijn, het bewijs zal echt wel door middel van gebruik te maken van deze bug boven water gehaald zijn, de persoon in kwestie wordt in dat geval terecht veroordeeld.

Wat echter wel schandalig is dat het Amerikaanse ministerie van Justitie feitelijk gewoon liegt dat zij de nationale veiligeid wil waarborgen, immers burgers maken deel uit van die natie waar zij de veilgheid van willen"waarborgen" en kunnen door middel van dit lek geschaad worden, een zogeheten schijnveiligheid naar mijn mening.

Auredium 18 mei 2016 11:58

Feitelijk doet dit de positie van Mozilla Firefox als browser wel ondermijnen en derhalve een belangrijke bron van inkomsten van Mozilla aantasten. Je weet dat er een gat in je dijk zit omdat iemand emmers water aan het vullen is via dat gat maar die persoon hoeft vervolgens niet te je te vertellen waar dat gat zich bevind.

Natuurlijk hebben alle softwarepakketten altijd gaten. Maar dit is gewoon een soort onbekend zero-day exploit die gebruikt wordt en juridisch verborgen wordt gehouden. Erger nog, het is een gat dat ondanks het Tor netwerk toch nog data doet lekken. Veel bedrijven zullen een dergelijke browser intern niet gebruiken. Granted; sommige van die bedrijven zouden dat bij voorbaad als niet gebruiken ivm de risico's.

Het is ook weer diezelfde kromme denkwijze want het lek is nu een soort van halve backdoor. Het is weer gebaseerd op de VS manier van denken waarbij de veiligheid van een burger iets anders is dan de veiligheid van een Amerikaanse overheidsinstelling of bedrijf....waar schijnbaar geen burgers werken...-_-

Beuzelarij @Auredium • 18 mei 2016 12:10

Erger nog, het is een gat dat ondanks het Tor netwerk toch nog data doet lekken. Veel bedrijven zullen een dergelijke browser intern niet gebruiken.

Dat zou dan wel bijzonder kortzichtig zijn. Het heeft namelijk een reden dat juist Firefox voor Tor gebruikt wordt... Als andere browsers beter zouden zijn, zouden die immers wel gebruikt worden.

Als andere browsers bij voorbaat dus al niet voor Tor worden gebruikt, omdat bijvoorbeeld de broncode niet bekend is en/of omdat ze überhaupt al als minder geschikt worden bevonden, dan zullen er daarover logischerwijs geen vergelijkbare berichten verschijnen. Maar dat maakt die browsers daarmee natuurlijk niet veiliger.

i-chat @Beuzelarij • 18 mei 2016 13:36

firefox werd gebruikt a omdat het destijds vrij licht was op meerdere ossen draaide en extentions ondersteunde, en toen het er eenmaal was is men het blijven gebruiken, en dat zal men ook blijven doen zolang er geen dringende reden is ermee te stoppen..

mcDavid @Auredium • 18 mei 2016 12:23

Volgens mij doet dit weinig af aan de positie van Mozilla, maar des te meer aan de positie van de FBI.
Dit is namelijk slechts één voorbeeld, maar je kunt er vanuit gaan dat de FBI veel meer software target en ook daar successen boekt.

De echte WTF van dit bericht, is dat de FBI blijkbaar van mening is dat het verzamelen van data belangrijker is dan het daadwerkelijk beschermen van burgers, waar de dienst volgens mij toch voor opgericht was.

TWyk @mcDavid • 18 mei 2016 14:07

De echte WTF van dit bericht, is dat de FBI blijkbaar van mening is dat het verzamelen van data belangrijker is dan het daadwerkelijk beschermen van burgers, waar de dienst volgens mij toch voor opgericht was.

Ik denk dat de FBI het opsporen van groepen kinderporno uitwisselaars belangrijker vind voor de veiligheid (van bv kinderen) dan het belang van Mozilla om Tor veilig te integreren in hun browser.
Tor kun je zover ik begrepen heb ook gebruiken zonder de Mozilla browser dus Tor gebruikers hebben alternatieve mogelijkheden.

Khrome @Auredium • 18 mei 2016 13:43

"Het Amerikaanse ministerie van Justitie had de rechter vorige week gevraagd het verzoek te weigeren om de nationale veiligheid te waarborgen."

Vooruit met de oogkappen op is dit, de nationale veiligheid kan ook in het geding komen als het lek niet gefixed kan worden waardoor meerdere zaken opeens onbetrouwbaar worden. Ze nemen hier blijkbaar aan dat TOR alleen door criminelen wordt gebruikt.

hsb85 18 mei 2016 12:11

zijn het er 214 leden, 21.400 of 214.000. als het er 214.000 leden zijn dan vind ik dat echt enorm veel voor een Tor site

ah wow zijn er zelfs 214.898.

[Reactie gewijzigd door hsb85 op 22 juli 2024 19:19]

CAPSLOCK2000

Netwerk en systeembeheer
Tor

@hsb85 • 18 mei 2016 13:40

zijn het er 214 leden, 21.400 of 214.000. als het er 214.000 leden zijn dan vind ik dat echt enorm veel voor een Tor site

ah wow zijn er zelfs 214.898.

Het is maar de vraag of dat ook allemaal echte leden zijn, misschien maken de gebruikers wel iedere keer een nieuwe acount aan of bestaat het grootste deel uit ongebruikte gratis spookaccounts. Een andere mogelijkheid is dat niet al die leden voor illegale zaken kwamen. Veel ilegale sites verstoppen zichzelf achter een legitieme site. Misschien kwam het grootste delel van de leden wel voor iets anders (bv andere porno) en had maar een kleine deel toegang tot het verboden materiaal.

Geen idee hoe het echt zit maar meer dan tweehonderduizend leden is wel erg veel.

TWyk @CAPSLOCK2000 • 18 mei 2016 14:13

Om te kunnen onderzoeken of de bezoekers illegaal bezig waren is het waarschijjnlijk essentieel ze eerst te identificeren zodat de FBI bijvoorbeeld een warrant kan aanvragen om hun PC te kunnen doorzoeken of andere opsporingsmiddelen in te zetten.
Het bezoeken van een kinderporno site op het darknet lijkt me wel voldoende verdacht om bijvoorbeeld zo'n doorzoekingsbevel aan te vragen.

CAPSLOCK2000

Netwerk en systeembeheer
Tor

@TWyk • 18 mei 2016 14:38

Het bezoeken van een kinderporno site op het darknet lijkt me wel voldoende verdacht om bijvoorbeeld zo'n doorzoekingsbevel aan te vragen.

Dat ben ik met je eens, maar hoe weten we dat die mensen die site hebben bezocht? Het bewijs daarvoor is geheim.

TWyk @CAPSLOCK2000 • 18 mei 2016 14:48

Niet zo geheim.
Advocaten van één van de aangeklaagde pedofielen heeft wel recht op inzage gekregen van een rechter.
http://motherboard.vice.c...uters-playpen-jay-michaud

Maar Mozilla probeerde daarop mee te liften door zich in deze rechtzaak als belanghebbende in te mengen en is nu door dezelfde rechter naar de Amerikaanse overheid verwezen.
Dus kan mozilla nu nog wel zelf een eigen rechtszaak aanspannen om op basis van het VEP de informatie alsnog te krijgen

[Reactie gewijzigd door TWyk op 22 juli 2024 19:19]

CAPSLOCK2000

Netwerk en systeembeheer
Tor

@TWyk • 18 mei 2016 14:59

Niet zo geheim.
Advocaten van één van de aangeklaagde pedofielen heeft wel recht op inzage gekregen van een rechter.
http://motherboard.vice.c...uters-playpen-jay-michaud

Heeft de verdachte de code ook daadwerkelijk gekregen? Néé, we zijn vier maanden verder maar de FBI werkt nog steeds tegen. Hij heeft een deel gekregen, maar de hack zelf ontbreekt net als de code die gebruikt is om de gebruikers te identificeren.

Dat er een rechtzaak voor moet worden aangespannen laat zien dat ze er niet op zitten te wachten om hun bewijs te delen. Dat zou al reden tot verwondering moeten zijn. Je zou denken dat ze trots zijn op hun werk en iedereen willen laten zien dat hun bewijs onomstotelijk is.

TWyk @CAPSLOCK2000 • 18 mei 2016 15:02

De vraag is of elke methode die opsporingsdiensten gebruiken om criminelen op te sporen bekend gemaakt moet worden aan de criminelen.
Mogelijk kan een onafhankelijke expert de gebruikte methode onderzoeken en beoordelen of deze correct is ingezet.

CAPSLOCK2000

Netwerk en systeembeheer
Tor

@TWyk • 18 mei 2016 16:56

De vraag is of elke methode die opsporingsdiensten gebruiken om criminelen op te sporen bekend gemaakt moet worden aan de criminelen.

Ja, uiteindelijk wel. Natuurlijk zal er altijd een grijs gebied zijn rond de details maar in grote lijnen moet alles bekend worden gemaakt. Dat is de enige manier waarop de bevolking vertrouwen kan hebben in het systeem. Het kan betekenen dat we sommige boeven niet kunnen veroordelen maar dat moet maar. Het alternatief is dat we onschuldige mensen opsluiten. Als samenleving hebben we eerder al besloten dat we liever een paar boeven vrij laten lopen dan onschuldige mensen veroordelen.

Mogelijk kan een onafhankelijke expert de gebruikte methode onderzoeken en beoordelen of deze correct is ingezet.

Dat zou al helpen en is in bepaalde gevallen de beste oplossing. Waarschijnlijk is er wel zo'n beoordeling geweest maar is die beoordeling zelf ook weer geheim.

Als de FBI nu een traditie had van het onthullen van niet essentiele fouten dan zou ik ze misschien geloven dat dit geval speciaal is en extra bescherming geniet. Ik krijg echter het gevoel dat ze helemaal niks vrij willen geven. Waarschijnlijk is dat gevoel onterecht en heeft de FBI goede bedoelingen maar ik kan ze niet op hun blauwe ogen geloven.

TWyk @CAPSLOCK2000 • 18 mei 2016 17:00

maar in grote lijnen moet alles bekend worden gemaakt.

Ofwel:
De FBI heeft een lek in de Mozilla tor browser geexploiteerd via door de FBI gemanipuleerde pagina's die werden opgevraagd van de kinderporno website om daarmee de IP adressen van bezoekers van die website te detecteren en vast te leggen.

[Reactie gewijzigd door TWyk op 22 juli 2024 19:19]

mddd @hsb85 • 18 mei 2016 12:29

Even op het Reuters linkje in het artikel klikken en je leest het antwoord: 214 000.

[Reactie gewijzigd door mddd op 22 juli 2024 19:19]

Jerie

@hsb85 • 18 mei 2016 12:37

Je kunt wellicht ook nepprofielen maken?

Simper01 @hsb85 • 18 mei 2016 12:57

214898 leden

MazeWing

18 mei 2016 11:59

Volledig begrijpelijk! De FBI (en andere opsporingsinstanties) maken gebruik van lekken om hun werk te kunnen doen. Het is een kwestie van tijd voordat een lek gedicht wordt, waarop de FBI weer op zoek moet naar een ander lek.

Het aan de ontwikkelaar kenbaar maken van de exacte lekken is voor de FBI een open deur dichtgooien en het zichzelf alleen maar moeilijker maken.

fantafriday @MazeWing • 18 mei 2016 12:02

Het enige probleem daarbij is dat andere kwaadwillende diezelfde open deur kunnen gebruiken.

SuperDre @fantafriday • 18 mei 2016 13:32

Maarja, aan de andere kant kun je ook stellen dat mozilla zelf maar moet uitzoeken wat het lek is, zij hebben immers de software geschreven.. Mogelijk dat de FBI voor zichzelf het lek al wel heeft gedicht in hun intern gebruikte browsers..

fantafriday @SuperDre • 18 mei 2016 14:15

"Voor zichzelf" daar gaat het dus met de burger veiligheid mis.

CEx @fantafriday • 18 mei 2016 13:09

Vergeet niet dat om dit trucje uit te halen de FBI de servers zelf moest hosten.

fantafriday @CEx • 18 mei 2016 14:15

Klopt maar dan moet je de stream terug nog volgen door ToR heen of via een cookie op de pc (Of iets in die richting)

Aikon @MazeWing • 18 mei 2016 12:15

Maar dat maakt het nog geen geldig argument natuurlijk. Blijkbaar gaat het gemak vd FBI voor op de privacy van elke tor/ff gebruiker?

Tukkertje-RaH @Aikon • 18 mei 2016 12:31

Welnee - de FBI is in deze net als elke andere klant: ben jij verplicht een lek dat je vindt in software te rapporteren bij de maker ervan? Zou je het mogen gebruiken in je eigen voordeel (binnen de grenzen van de wet uiteraard)? En indien niet, hoeveel andere producten/mod-kits zijn dan ineens illegaal?

Aikon @Tukkertje-RaH • 18 mei 2016 12:54

Tja, wettelijk verplicht of moreel verplicht? Dat eerste wellicht niet, dan tweede imo wel.

TWyk @Aikon • 18 mei 2016 14:19

Er is in de VS sinds kort wel degelijk regelgeving om lekken in software bekend te maken aan de softwarebouwers
Dat heet het Vulnerabilities Equities Process.

Dat veplicht overheidsinstanties en dus ook de FBI om significante lekken in software te melden bij de bouwers.

Hoe ze dat dus nu kunnen weigeren is me niet duidelijk

SuperDre @Aikon • 18 mei 2016 13:34

achja, als je het werkelijk over moreel hebt, dan zou je zeggen dat al die privacy muk helemaal niet nodig is, want moreel gezien zou niemand naar jouw data gaan kijken..........
dat is het probleem met moreel, it's in the eye of the beholder.....

Verwijderd @Aikon • 18 mei 2016 13:26

Gemak voor de FBI is gemak voor iedere Amerikaan.

Verwijderd @MazeWing • 18 mei 2016 12:51

Die mannen krijgen genoeg belastinggeld om ook eens iets terug te mogen doen... Uiteindelijk kan die kwetsbaarheid ook weer gebruikt worden door criminelen/schurkenstaten om Amerikanen te bestelen/bespioneren...

Magic @Verwijderd • 18 mei 2016 13:01

Vergeet niet dat het helemaal niet handig is voor de FBI (en vele andere overheidsinstanties) om criminaliteit te verminderen. Minder criminaliteit betekend minder resources, en dat betekend minder geld in de zakken van bestuurders. Ze zijn er dus aan gelegen om criminaliteit zo hoog mogelijk te houden.

Verwijderd @Magic • 18 mei 2016 13:32

Ah de gefaalde 'War on Drugs'...

Verwijderd 18 mei 2016 12:15

Tijdens het onderzoek werd de site twee weken lang door de FBI gehost om de meer dan 214.00 leden te identificeren.

Sorry, hoeveel leden zijn dit? Beetje aparte punt. 214? 21400? of is het een typfout en hoort er 214000 te staan?

Daarnaast is dit natuurlijk een gevaarlijke ontwikkeling die makkelijk misbruikt kan worden door de Amerikaanse overheid.

lenwar

Browsers

@Verwijderd • 18 mei 2016 13:21

http://taaladvies.net/taal/advies/vraag/1

Puntjes worden heel vaak gebruikt bij grote getallen (in Engelse talen wordt dit met komma's gedaan). Dit is om de leesbaarheid te vergroten. Het gaat hier dus om ruim tweehonderdenveertienduizend

Verwijderd @lenwar • 19 mei 2016 00:36

Begrijpelijk, het zal waarschijnlijk liggen aan dat ik op school gewend ben om bij getallen puntjes toe te voegen om de drie cijfers, en dan voornamelijk met nullen maar je hebt inderdaad gelijk.

OddesE @Verwijderd • 19 mei 2016 09:46

Het slaat ook alleen ergens op als je ze om de drie cijfers zet. Dit voorbeeld van Tweakers is gewoon een spelfout.

derkesthai 18 mei 2016 12:32

Aha, dus nu kan de dictator van land X de bug gaan misbruiken om activisten op te sporen die Tor gebruiken om hun zegje te kunnen doen. Nu word het weer een mensenrechten issue. Daar is de FBI dan ook verantwoordelijk voor :-)

TWyk @derkesthai • 18 mei 2016 16:30

ha, dus nu kan de dictator van land X de bug gaan misbruiken om activisten op te sporen die Tor gebruiken om hun zegje te kunnen doen. Nu word het weer een mensenrechten issue. Daar is de FBI dan ook verantwoordelijk voor

Dat lijkt me nogal voorbarig.
De FBI had eerst controle genomen over de kinderporno site en serveeerde vanuit die site gemanipuleerde pagina's om de bezoekers te identificeren
Dat is niet evident.
Een dictator kan niet zo maar even facebook overnemen of een andere site om daar dan te constateren dat daar illegale pagina's van activisten aanwezig zijn en vervolgens ook nog die pagina's manipuleren om daarmee bezoekende activisten op te sporen.

Om het lek te misbruiken moet je dus Tor gebruikers naar een website lokken die je onder controle hebt en daar constateren dat ze iets illegaals doen. Lijkt me vrij lastig

halofreak1990 18 mei 2016 12:33

Het Amerikaanse ministerie van Justitie had de rechter vorige week gevraagd het verzoek te weigeren om de nationale veiligheid te waarborgen.

Ach ja, laten we de nationale veiligheid kaart maar weer spelen. Wat een bullsh*t. Dit heeft daar 0 komma nul mee te maken.

Pietervs 18 mei 2016 13:39

Het Amerikaanse ministerie van Justitie had de rechter vorige week gevraagd het verzoek te weigeren
Trias Politica, iemand?
Het ministerie gaat nog net niet op de stoel van de rechter zitten, maar het feit dat een ministerie dit vraagt is wel link: wat gebeurt er als de rechter besluit om dit verzoek te weigeren?

Zeker in een land waar benoemingen vaak politiek gemotiveerd zijn, in plaats van op basis van kennis/kunde is dit een enorm risico.

Annihlator 18 mei 2016 13:45

" Het Amerikaanse ministerie van Justitie had de rechter vorige week gevraagd het verzoek te weigeren om de nationale veiligheid te waarborgen. "

Dat doe je inderdaad door een middel wat door een groot deel van de nationale bevolking gebruikt wordt niet veilig te houden door geen veiligheidsmeldingen te verrichten... Hypocrisie eersteklas!

eonflux 18 mei 2016 14:14

Dit zijn nogal zorgelijke uitspraken die nu al geruime tijd meer regel zijn dan uitzondering.
Wie of wat dan ook moet zich kunnen verdedigen. Wat we nu steeds vaker zien is dat de FBI bewijs voorlegt wat niet in twijfel getrokken kan worden omdat agenten niet ondervraagd mogen worden, methoden niet overlegd mogen worden en dus niet nagetrokken kan worden. Je creëert dus een samenleving waar een organisatie bewijs kan presenteren wat niet gecontroleerd kan worden en waar ook de echtheid van niet gevalideerd kan worden.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (113)

Sorteer op:

Weergave: