Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Onderzoeksbedrijf verkocht exploit die Tor-gebruikers kon ontmaskeren'

Door , 43 reacties

Het bedrijf Exodus Intelligence, dat zich specialiseert in het vinden van lekken in software en het ontwikkelen van exploits, heeft de recent ontdekte Firefox-exploit verkocht aan een beveiligingsbedrijf. Daarmee konden Tor-gebruikers ontmaskerd worden.

Zowel Forbes als Motherboard schrijven op basis van eigen bronnen dat Exodus de exploit vorig jaar aan het beveiligingsbedrijf Fortinet heeft verkocht. Dat bedrijf maakte destijds in een tweet bekend dat het de signature van de exploit aan zijn beschermingssoftware had toegevoegd. Exodus zegt in een reactie tegen Forbes dat het nog onderzoekt hoe de exploit deze week heeft kunnen uitlekken en hoe deze werd gebruikt. De ceo van het bedrijf legt uit 'dat het niet elke kwetsbaarheid aan softwareontwikkelaars kan melden, zonder zijn onderzoekers voor het hoofd te stoten of de normale manier van zakendoen te verstoren'.

Christopher Soghoian, onderzoeker bij de Amerikaanse burgerrechtenorganisatie ACLU, zegt tegen Forbes dat het onbedoeld uitlekken van kwetsbaarheden aantoont wat voor risico deze voor burgers kunnen vormen. Desondanks zouden de overheid en zijn leveranciers met het gebruik ervan wegkomen, zonder dat hen iets verweten kan worden. Mozilla, dat eerder deze week een patch uitbracht voor de kwetsbaarheid, schreef naar aanleiding van de ontdekking dat 'zogenaamde beperkte hacks door de overheid een groot probleem kunnen worden voor het gehele internet'. Een van de bronnen vertelt aan Motherboard dat ongeveer 95 procent van de klanten van Exodus opsporingsdiensten zijn.

Begin deze week werd bekend dat de FBI een onbekend Firefox-lek had gebruikt om verdachten in een kinderpornozaak op te sporen. Hierdoor kon de opsporingsdienst onder andere het ip-adres van gebruikers van de op Firefox gebaseerde Tor-browser achterhalen. Het is niet duidelijk of het bij het lek om dezelfde kwetsbaarheid gaat waarvoor Mozilla woensdag een patch uitbracht.

In Nederland speelt eveneens een discussie rond het geheimhouden van kwetsbaarheden in software door opsporingsdiensten. In november meldde het kabinet dat de politie in bepaalde gevallen lekken geheim mag houden als dat in het belang van het onderzoek is. Deze bevoegdheid is opgenomen in de zogenaamde 'hackwet', waarover de Tweede Kamer binnenkort stemt. Twee Kamerleden dienden donderdag een amendement in, waarmee zij het gebruik van lekken door de politie uit het wetsvoorstel willen halen.

Reacties (43)

Wijzig sortering
Dit vind ik toch wel grappig:
Exodus zegt in een reactie tegen Forbes dat het nog onderzoekt hoe de exploit deze week heeft kunnen uitlekken en hoe deze werd gebruikt.
:-|
De Nederlander Peter Vreugdenhil is mede-oprichter van Exodus Intelligence en voornaamste onderzoeker daar: https://www.crunchbase.com/organization/exodus#/entity

Zijn bedrijf geeft meer dan Apple geeft voor bugs in iOS: http://www.theverge.com/2...ility-exodus-intelligence

Wellicht laat hij niet na te antwoorden op vragen: http://www.vreugdenhil-on...loit-bonus-microsoft-mee/
Misschien is het net als in voetbal, met doorverkoop percentages van spelers, en onderzoekt Exodus of ze wel genoeg betaald zijn?

In ieder geval is dit een slechte zaak, maar niet verwonderlijk.

[Reactie gewijzigd door Pastafarian op 2 december 2016 20:02]

Is de term 'beveiligingsbedrijf' de legale manier om je eigenlijk bezig te houden met illegale praktijken?
Fortinet lijkt me een gerenommeerd bedrijf. Heel veel bedrijven hebben een Fortigate.
Leuke ad populum reden van je.

Wie is die "heel veel bedrijven"? Wanneer is iets "heel veel"? Sinds wanneer heeft een bedrijf een goede reputatie als "veel mensen" hun product hebben? Is Google en Microsoft dan ook een "gerenommeerd bedrijf" omdat er "veel mensen" Windows en Google Zoeken gebruiken 7(8)7
Fortinet lijkt me een gerenommeerd bedrijf. Heel veel bedrijven hebben een Fortigate.
En laten we hopen dat al die bedrijven dat contract opzeggen. Als een beveiligingsbedrijf een zero day verkoopt aan ander beveiligingsbedrijf zonder het publiek te maken zijn ze mede schuldig aan elk gebruik van dat lek.

Schande. Schande ook aan de mensen die daar begrip voor hebben.
fortinet exploiteert geen zero days maar bouwt en verkoopt beveiligingen daartegen...
Je realiseert je niet dat de wetgever bepaald wat strafbaar is en niet. Zo heeft de overheid zichzelf vrijgesteld van vervolging als zij illegale dingen doen. Men wil de politie laten doen wat voor ons burgers strafbaar is.
Je realiseert je niet dat de wetgever bepaald wat strafbaar is en niet. Zo heeft de overheid zichzelf vrijgesteld van vervolging als zij illegale dingen doen. Men wil de politie laten doen wat voor ons burgers strafbaar is.
Op de lange duur is dat het failliet van onze samenleving. In de 10 geboden zijn geen uitzonderingen opgenomen voor de overheid(-sdienaren).

Wat mag en niet mag moet voor iedereen gelden, anders verliest de overheid het respect van de onderdanen. Wetten worden waarde(n)loos.
Wel een beetje kort door de bocht, de politie heeft niet voor niets het recht indien nodig geweld te gebruiken terwijl jij en ik dan niet hebben. Moeten we ze dan ook maar het pistool, wapenstok, pepperspray handboeien etc. afnemen?
Dat er toezicht moet zijn op het (dark)web mag duidelijk zijn, wat daar voor 99% gebeurd is illegaal en dan is de vervolgvraag welke 'wapens' kan de politie dan gebruiken om te handhaven?
Ja idd, ik vind van wel, want daar lopen nu niet bepaald de slimste mensen rond.
Niet voor niets zegt men wel, als je niks kunt, kun je altijd nog bij de politie!
We geven de politie geen vrijbrief voor onderzoek, wie daar wel achterstaat verdiend zijn vrijheid niet!
De politie en wetgeving hoort in dienst te staan van de samenleving niet andersom.
Let op met je woorden "legaal" en "illegaal". Dat staat namelijk niet gelijk aan "moreel" en "immoreel". Dit soort zaakjes zijn namelijk nog grijs gebied en worden nog wetten voor gemaakt om daar meer duidelijkheid voor te schaffen.
Legaal en illegaal loopt hier zelfs volledig door elkaar. Het gebruiken van een veiligheidslek door een opsporingsdienst zit aan de licht grijze kant, maar wanneer een ander dat doet schuif je naar de donkere kant. Het ligt er maar net aan met welk doeleinde je een lek gebruikt.
Zelde als "Rechtspraak" niets te maken heeft met gerechtigheid.
Waarom is dit niet strafbaar?
De vraag is dus, waarom is dit strafbaar. Niet "Waarom is dit niet strafbaar?".
Een beveiligingsbedrijf koopt een exploit, zodat het deze kan detecteren en zijn gebruikers kan beschermen. Daar is uiteraard niets illegaals aan. Het is alleen niet zo slim van de verkopende partij, want als ze dom genoeg zijn om het aan een beveiligingsbedrijf te verkopen dan zou het net zo goed kunnen voorkomen dat het verkocht wordt aan criminelen.

Je kunt je afvragen of het niet beter is, om die exploit aan mozilla te geven, zodat het gefixt kan worden voor iedereen.
Is het niet zo dat als opsporingsdiensten deze kwetsbaarheden gebruiken om gericht te zoeken naar (internet)criminelen is het dan eigenlijk niet hetzelfde als een telefoon lijn aftappen o.i.d.? Als normale burger maken we ons soms heel druk om onze privacy terwijl wij nooit met dit soort praktijken te maken krijgen, is de het dan niet een fijne gedachte dat de criminelen(dus ook die zielige mensen die kinderporno up&downloaden) op deze wijze aangepakt kunnen worden ten koste van een potentiele schending van de privacy?
Privacy is wat mij betreft heilig. Opsporingsdiensten horen niet alles en iedereen te tappen om een crimineel te kunnen pakken. Dan kun je er net zo goed meteen een dictatuur van maken. Als privacy toch niets waard is.
Mass surveillance is wat mij betreft ook een no-go maar de technieken voor Mass surveillance en het gericht surveilleren zijn grotendeels gelijk. Een bepaalde manier van "tappen"aan banden leggen ligt dan mijns inziens ook iets genuanceerder dan "nee dat mag niet vanwege de privacy)
Opsporing van misdrijven gaat ALTIJD per definitie gepaard met verlies van privacy omdat het vereist dat de opsporingsdienst de gedragingen van verdachten moet nagaan.

Als je privacy heilig vind dan is opsporing van misdrijven effectief al niet meer mogelijk.
En alleen al via of mbv het internet wordt er al voor miljarden aan schade aangericht door criminelen.
Met het verschil dat nu iedereen verdacht is toch, vlgs mij ben jij niet te vertrouwen en moeten we maar eens onderzoek naar jou doen.
Zo werkt dat.
Jij suggereert een massa surveillance inzet van dergelijke exploits maar juist een Tor identificatie exploit kun je vooral gericht inzetten (bijvoorbeeld om bezoekers van een ontdekte kinderporno server te identificeren) en zal daarmee zeker niet iedereen verdacht maken.

Overigens bij traditionele opsporingsmethodes zoals vingerafdrukken, telefoontraces of getuigenverklaringen ook initieel alle mensen verdachten.
Je gebruikt eventuele bewijzen die je kan vinden juist om de initiele grote groep te verkleinen.
Wat let het de opsporingsdiensten om niet gewoon kinderporno op de computer van een oppositiepartij te zetten? Laten we hem Geert noemen.
Hoe kan Geert zich dan verweren?
Op het moment dat je opsporingsdiensten teveel macht geeft, dan zul je dit soort excessen krijgen. Het is in elk geval niet de samenleving waarin ik wil wonen.
Interessante praktijken dit. Wat er met dit soort exploits gedaan wordt gaat toch wel heel snel moreel grijs gebied in, om maar niet te spreken welke effecten dit kan hebben in een democratische rechtstaat.
Ik denk wel dat als zo'n "beveiligingsbedrijf" een kwetsbaarheid vinden kan dat een hacker het ook kan. De lekken open laten is naar mijn mening onwenselijk. Is zo'n bedrijf niet aansprakelijk voor schade die mensen oplopen die gehackt worden via een door hen open gelaten lek?
Als Ritchie bounds-checking had ingebouwd in de C taal was dit allemaal niet mogelijk geweest. :(
In any respectable branch of engineering, failure to observe such elementary precautions would have long been against the law.
Wat je ziet is dat computer talen die wel bounds-checking hebben, bijna geen security problemen hebben. Bij Pascal programma's heb ik ook nooit beveiligingsfouten gezien.

Laat Mozilla nou eens beginnen met het inbouwen van garbage collection in Gecko en een het financieren van een bounds-checking C compiler.

[Reactie gewijzigd door ArtGod op 3 december 2016 00:08]

Laat Mozilla nou eens beginnen met het inbouwen van garbage collection in Gecko en een het financieren van een bounds-checking C compiler.
:: kuch - kuch ::
Dat duurt nog wel enige tijd voordat dit af is. Een browser engine schrijf je niet in een paar maanden. Qua complexiteit is dat vergelijkbaar met een besturingssysteem schrijven.

Je wil nu, of in ieder geval op heel korte termijn, een oplossing voor 90% van alle kwetsbaarheden.
Dat duurt nog wel enige tijd voordat dit af is. Een browser engine schrijf je niet in een paar maanden. Qua complexiteit is dat vergelijkbaar met een besturingssysteem schrijven.

Je wil nu, of in ieder geval op heel korte termijn, een oplossing voor 90% van alle kwetsbaarheden.
Mozilla is al lange tijd bezig met Servo en veel ervan is al gebruiksklaar.
Men gaat nu met het Oxidation project steeds meer onderdelen van Firefox omzetten naar Rust en ook de reeds stabiele onderdelen van Servo proberen over te zetten naar Firefox. (Bijv. bepaalde onderdelen van Servo's CSS handling.)


De resultaten hiervan lopen al langzaam binnen sinds Firefox 48, waar de media parser component (origineel C++) vervangen is door een Rust versie.

[Reactie gewijzigd door R4gnax op 6 december 2016 11:53]

Servo denkt nu geloof ik 10% van de internet standaarden. Er is nog een enorme kluif werk te gaan.

Dat gaat jaren duren kan ik je nu al vertellen. Dan gok ik liever op een virtuele machine voor de browser (zoals bij Edge) of memory management verbeteringen waar ik al op duidde. Dat soort dingen kan je redelijk snel af krijgen.

[Reactie gewijzigd door ArtGod op 6 december 2016 13:07]

Laat Mozilla nou eens beginnen met het inbouwen van garbage collection in Gecko en een het financieren van een bounds-checking C compiler.
Gecko wordt vervangen door een engine geschreven in het door Mozilla ontwikkelde Rust.
dus die inlichtingsdiensten hadden allang (als ze dus zouden willen) al die gastjes op kunnen sporen die geld verdienen met cryptocrap...en de sleutels online kunnen gooien , die gebruiken immers allemaal tor voor hun betalingsdiensten etc..
Nee, als je geen toegang hebt tot de webserver van de site kun je niets met deze explot en vanwege tor is de webserver nogal moeilijk te lokaliseren.
Dat wil nog niet zeggen dat ze ook Firefox gebruiken.
Tor is gebaseerd op firefox.

Tor heeft nu de kwetsbaarheid gepatched omdat Mozilla de patch heeft uitgebracht, anders zat die er ook nog in.

Dus ja, tor kan je net zo goed zien als firefox alleen met wat aanpassingen.
Nee, de tor browser is gebaseerd op Firefox.
En daarnaast gooit een beetje cybercrimineel z'n traffic natuurlijk ook nog over een andere proxy of VPN voordat hij z'n TOR browser start...

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*