Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 133 reacties

Gebruikers van Tor, software waarmee anoniem kan worden gesurft, zijn mogelijk het slachtoffer van een beveiligingsprobleem waarbij in Firefox via javascript malware kan worden geïnstalleerd. Daardoor zou het mogelijk worden om Tor-gebruikers te identificeren.

TorHet beveiligingsprobleem, waarover onder meer op Reddit wordt gediscussieerd, kwam aan het licht op het moment dat de vermeende eigenaar van Freedom Hosting, een hostingprovider die zogenoemde hidden sites host, in Ierland is opgepakt op last van de FBI. De verborgen sites zijn alleen toegankelijk via Tor, en worden onder meer gebruikt voor anonieme communicatie, maar ook voor de uitwisseling van minder frisse zaken zoals kinderporno.

Volgens meerdere Tor-gebruikers werd het beveiligingsprobleem misbruikt door sites die bij Freedom Hosting waren gehost, zoals de anonieme berichtenservice Tormail, maar ook op fora waar kinderporno werd uitgewisseld. De theorie van meerdere gebruikers is dat de FBI de malafide code heeft geïnjecteerd op de websites om malware te installeren op pc's van gebruikers, waaronder vermeende pedofielen. Volgens een onderzoeker stuurt de malware de hostname en het mac-adres van de Tor-gebruiker naar een externe server. Inmiddels zijn de sites die bij Freedom Hosting waren ondergebracht offline.

Het misbruikte beveiligingsprobleem was aanwezig in de extended support-release van Firefox 17, die door Tor wordt gebruikt, en lijkt alleen te kunnen worden misbruikt als een gebruiker javascript heeft ingeschakeld. In het verleden had Tor javascript altijd standaard uitgeschakeld staan, maar onlangs werd besloten om die optie toch in te schakelen, om de applicatie gebruikersvriendelijker te maken. Tor zegt het beveiligingsprobleem te onderzoeken.

De opgepakte vermeende eigenaar wordt volgens de Ierse krant The Independent verdacht van het op grote schaal faciliteren van kinderporno. Voor de vier misdrijven waarvan hij wordt verdacht, alle vier gerelateerd aan kinderporno, zou hij een celstraf van 30 jaar kunnen krijgen. De Amerikaanse overheid wil dat Ierland de man, die zowel een Iers als een Amerikaans paspoort heeft, uitlevert.

Moderatie-faq Wijzig weergave

Reacties (133)

De opgepakte vermeende eigenaar wordt volgens de Ierse krant The Independent verdacht van het op grote schaal faciliteren van kinderporno. Voor de vier misdrijven waarvan hij wordt verdacht, alle vier gerelateerd aan kinderporno, zou hij een celstraf van 30 jaar kunnen krijgen. De Amerikaanse overheid wil dat Ierland de man, die zowel een Iers als een Amerikaans paspoort heeft, uitlevert.
Alleen op het internet is de "normale" wereld omgekeerd. Even een simpele analogie. Vrouw is boos op man, vrouw pakt TV, vrouw slaat man met TV op het hoofd, man overlijd aan verwondingen. De TV hier in kwestie, is van Sony. Maar Sony wordt niet aangeklaagd omdat zij het "moordwapen" hebben geleverd. Immers, Sony is niet verantwoordelijk voor hoe eindgebruikers omgaan met de consumptiegoederen.

Ditzelfde geld ook voor auto fabrikanten, zij zullen nooit een proces aan hun broek krijgen, door alle verkeersongevallen op jaarlijke basis (of ze nu in een dood eindigen, of niet). Hetzelfde geldt ook voor een bedrijf dat messen maakt, immers, behalve voor het schillen van aardappelen, kan je ook heel leuk iemand wat extra luchtgaten toebrengen. En zo zijn er nog honderden, zo niet, duizenden voorbeelden te bedenken, waar een bepaald voorwerp ergens voor gebruikt kan worden buiten zijn doel om.

Maar je ziet hier nooit rechtzaken over, om de simpele reden, dat iemand met een gezond beetje verstand weet, dat de fabrikant gewoon niet verantwoordelijk is, voor wat zijn klant ermee doet. Waaromis het dan, dat als iemand iets zoals een Tor netwerk bedenkt, dan wel verantwoordelijk is, voor wat "zijn" eindgebruikers ermee doen? Waarom is het, dat hij verdacht wordt van het faciliteren van KP, maar een Smith & Wesson (wapen fabrikant) niet verdacht wordt, van het faciliteren van moord?

Natuurlijk is het "makkelijk" om de maker hiervan te pakken, maar daarmee pak je het probleem niet bij de bron aan. Alleen op internet bestaat zo'n kromme en tegenstelde vorm van "rechtspraak" en "justitie". Immers, alleen hier kan een maker verantwoordelijk gesteld worden voor wat eindgebruikers kunnen doen met een product.
Maar je ziet hier nooit rechtzaken over, om de simpele reden, dat iemand met een gezond beetje verstand weet, dat de fabrikant gewoon niet verantwoordelijk is, voor wat zijn klant ermee doet.
Het is maar net welk voorbeeld je neemt. Zowel de tabaks- als de wapenindustrie is toch redelijk vaak aangeklaagd of de game-industrie.
Hoewel je daar natuurlijk je bedenkingen bij kunt hebben neemt het niet weg dat ze er zijn.
Natuurlijk is het "makkelijk" om de maker hiervan te pakken, maar daarmee pak je het probleem niet bij de bron aan.
Dat ben ik natuurlijk me je eens. Maar betekent dat dat je het de betreffende personen dan maar makkelijker moet maken?
Begrijp me niet verkeerd, ik ben het helemaal met je eens. Toch zijn er argumenten te bedenken wat het afschaffen van een dergelijk netwerk rechtvaardigt.
Ik ben heel erg voor het behouden en beschermen van privacy en om die reden is eigenlijk het bestaan van het Tor-network een schande.
Mensen, zonder slechte bedoelingen, gebruiken, maken gebruik van het netwerk uit angst voor hun privacy. Ik gebruik bewust geen producten van Google vanuit dezelfde motieven. (Ja ik heb een alu hoed). Je kunt je kont niet keren of je wordt getracked, met of zonder de juiste instellingen.
Mijn punt is, het is een schande dat mensen achten het nodig te hebben.
Van https://bugzilla.mozilla.org/show_bug.cgi?id=901365#c25 :
"
I've been told comment 23 and 24 can be cryptic for those who aren't up on our archive nomenclature. All of these were "nightly" developer/testing builds. The first build in comment 23 is a more-or-less stock ESR 17.0.6 built May 5, 2013 and the second contained only Olli's patches and was built on May 17, 2013. The "pushloghtml" link shows the ESR code changes in that date range.

In comment 24 I was talking about May nightlies of "mozilla-central", which was Firefox 24 at the time. The patch for bug 857883 was also applied to the Fx23 "Aurora" branch and the Fx22 "Beta" branch.

Firefox 22 and Firefox ESR 17.0.7 were released on June 25, 2013 and contained the patch for bug 857883 and are not affected by the exploit samples that we have received related to this issue.
"

Dus de laatste Firefox ESR (17) release is gepatched, volgens: https://twitter.com/runasand/status/364213923639083008
"
@kaiengert @deezthugs @dveditz There is no automatic update for TBB, so some users will still be running older versions.
"

Kortom, heel veel Tor Browser gebruikers gebruiken een oude, onveilige versie.

Nu had ik ook ergens gelezen dat de Tor Browser javascript standaard aan heeft staan tegenwoordig, om het gebruikersvriendelijker te maken (dit week ik niet zeker). Dat volmaakt het recept voor deze actieve exploit.

Moraal van het verhaal: zorg ervoor dat je browser altijd up to date is en zet javascript standaard als je met gevoelige informatie te maken hebt.

Het blijkt nu wel dat ook de FBI dit soort security exploits actief gebruiken.
Inderdaaad.

De exploit werkt enkel op FF17 en is gefixt in de laatste versie van FF17 (17.0.7). Die is nu ongeveer al een maand uit (gereleased 25 juni 2012). Dus een update zou moeten volstaan!

Nu aangezien in Tor de automatische updates blijkbaar uitgezet zijn, zijn er dus nog altijd mensen die op een oudere versie zitten, waar de exploit nog werkt (<= 17.0.6). :(

Als extra: De exploit target alleen FF17 op een windows systeem.
En is het dan ook aanwezig in oudere versies bijvoorbeeld FF16, FF15, FF14, ... ?
Daar is geen Tor browser versie op gebaseerd dus is dat in de context van dit artikel minder interressant
Waarom is daar geen Tor browser versie op gebasseerd? Tor bestaat toch al jaren, althans veel langer dan Firefox 17. Ik begrijp het niet goed.
Firefox heeft ESR's (Extended Support Release) om de 7 versies. Firefox 10 was de eerste, de huidige is Firefox 17 en de volgende zal Firefox 24 zijn. Tor baseert zijn browser bundle altijd op de laatste ESR, dus er is nooit een Tor bundle gebaseerd geweest op Firefox 11, 12... 16.

@biglia: Ja, waarschijnlijk was de bug ook in Firefox 16 en ouder aanwezig. Meer zelfs, hij is pas heel recent (in Firefox 22) gepatcht. Deze patch is enkel naar Firefox 17.0.7 gebackport, omdat dit de enige oude versie is die nog ondersteund wordt. Helaas waren er dus blijkbaar heel wat Torgebruikers die nog 17.0.6 draaiden.

Ik vind de timing wel een beetje raar. De bug in kwestie staat zelfs nog gesloten omdat het zo'n recent beveiligingslek is. Ik vraag me af of het toeval is, of dat er met voorkennis is gehandeld.
Firefox geeft nu elke 7 versies een extended support release die gepatched blijft worden.
FF10 was de eerste.
http://www.mozilla.org/en-US/firefox/organizations/faq/

Tor baseerd de Tor browser op die extended support releases zodat ze niet elke paar weken een nieuwe versie moeten uitbrengen omdat hun onderliggende FF versie niet meer gesupport wordt.

[Reactie gewijzigd door 80466 op 5 augustus 2013 11:47]

Nog even en Amerika geeft iedereen een Amerikaans paspoort zolang je maar blijft in het land waar je woont.

Internet is zijn tijd ver voorbij dat zie je hier wel weer. Deze man heeft in Amerika niks fout gedaan. Natuurlijk moet hij wel worden vervolgt. Maar wanneer al zijn activiteiten zich bevinden in Ierland heeft Amerika er niks mee te maken behalve dat ze Ierland tips kunnen geven en helpen.

Wat overigens erg jammer is is dat een van de beste uitvindingen voor vrijheid (het TOR systeem) zo misbruikt wordt voor verkeerde zaken. Want het idee er achter is vele male groter/beter dan het misbruik waar het nu veelal voor wordt gebruikt.

Maar ach over een jaar of wat zitten we hier allemaal op want anders mag je je mening niet meer geven.
Wat overigens erg jammer is is dat een van de beste uitvindingen voor vrijheid (het TOR systeem) zo misbruikt wordt voor verkeerde zaken. Want het idee er achter is vele male groter/beter dan het misbruik waar het nu veelal voor wordt gebruikt.

Maar ach over een jaar of wat zitten we hier allemaal op want anders mag je je mening niet meer geven.
Wat een onzin zeg, alsof TOR de uitvinding is, je zou gewoon simpel moeten zeggen dan dat internet zo wordt misbruikt voor verkeerde zaken, maarja dat is gewoonweg met alles.. TOR is juist eerder IMHO opgezet VOOR gebruik van verkeerde zaken, want waarom zou je zo afgesloten/anoniem moeten zijn, als internet niet misbruikt zou worden dan zou dat allemaal ook helemaal niet nodig zijn. Als mensen zich gewoon normaal gedragen zou al dat niet nodig zijn.. maarja we blijven mensen dus we blijven ook bezig met verkeerde zaken, iedereen doet het, alleen tja wat jij verkeerde zaken noemt noemt iemand anders weer niet en omgekeerd..
[...]


Wat een onzin zeg, alsof TOR de uitvinding is, je zou gewoon simpel moeten zeggen dan dat internet zo wordt misbruikt voor verkeerde zaken, maarja dat is gewoonweg met alles.. TOR is juist eerder IMHO opgezet VOOR gebruik van verkeerde zaken, want waarom zou je zo afgesloten/anoniem moeten zijn, als internet niet misbruikt zou worden dan zou dat allemaal ook helemaal niet nodig zijn. Als mensen zich gewoon normaal gedragen zou al dat niet nodig zijn.. maarja we blijven mensen dus we blijven ook bezig met verkeerde zaken, iedereen doet het, alleen tja wat jij verkeerde zaken noemt noemt iemand anders weer niet en omgekeerd..
Dit gaat uit van de onjuiste aanname dat je privacy alleen maar belangrijk is als je iets te verbergen hebt. Wat veel belangrijker is, is dat een overheid in principe niets te maken heeft met wat iemand doet, tenzij er een redelijke verdenking is. Het feit dat iets als PRISM kan bestaan is genoeg reden om TOR bestaansrecht te geven. Ik vind het schandalig dat een land als de US waar ik al helemaal geen verantwoording aan schuldig ben, nu een profiel van mij heeft opgebouwd. Overigens gaat het ook heel hard in tegen wat zij zelf in hun Bill of rights hebben staan, namelijk de 4th amendment (http://en.wikipedia.org/w...nited_States_Constitution) waarin ook wordt gesteld dat er een redelijke verdenking moet bestaan.
Als een aanzienelijke hoeveelheid TOR-gebruikers verkeerde doeleinden (uitwisselen van kinderporno) nastreeft met het gebruik van TOR dan vind ik het niet vreemd dat de FBI 'redelijke verdenkingen' zal hebben en TOR op z'n kop zet.

Wat is er in deze situatie belangrijker? Dat je privacy in TOR beschermd is of dat een aantal van die ranzige lui worden opgepakt? Ik zeg het tweede.
Als een aanzienelijke hoeveelheid TOR-gebruikers verkeerde doeleinden (uitwisselen van kinderporno) nastreeft met het gebruik van TOR dan vind ik het niet vreemd dat de FBI 'redelijke verdenkingen' zal hebben en TOR op z'n kop zet.

Wat is er in deze situatie belangrijker? Dat je privacy in TOR beschermd is of dat een aantal van die ranzige lui worden opgepakt? Ik zeg het tweede.
En wat is dan 'een aanzienlijke hoeveelheid'? En bepalen de Verenigde Staten wat die aanzienlijke hoeveelheid is? Is het hele idee van TOR nou juist niet dat je niet kan zien wat men doet, dus hoe kunnen zij hier überhaupt iets over zeggen?

Een flinke hoeveelheid mensen begaat wel eens een overtreding, moet nu iedereen verplicht een camera op z'n hoofd meedragen? Dan heb je de kinderporno-makers ook te pakken namelijk.

Wees jezelf ervan bewust wat je opgeeft als je een overheid overal zomaar toegang toe geeft met het argument dat er misschien wel iets meer misdadigers worden opgepakt. Het 'kinderporno' argument is heel erg vals want als je niet TEGEN zo'n figuur bent dan ben je al snel verdacht of onmenselijk. Maar niet alles in de wereld kan in teken staan van het verminderen van kinderporno. Er zijn afwegingen die je daarbij moet maken en soms weegt wat je verliest meer dan wat je wint.

De beroemde quote is natuurlijk "They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety." van Benjamin Franklin.

Vergeet niet dat de overheid een instituut is dat is opgericht om de burger te dienen en niet om de baas te spelen en te bepalen wat jij wel en niet geheim mag houden. Wetten zijn gemaakt om de burger te beschermen en natuurlijk moet opgetreden worden tegen kinderporno, maar dat kán niet betekenen dat iedereen in principe verdacht is tot het tegendeel is bewezen, dat is het tegenovergestelde van hoe ons rechtssysteem zou moeten werken.
Er zijn afwegingen die je daarbij moet maken en soms weegt wat je verliest meer dan wat je wint.
Precies, ik ben het eigenlijk heel erg met je eens. Alleen vind ik dat het oppakken van malafide kinderporno verspreiders belangrijker dan het beschermen van een dienst als TOR.

Je overtrekt mijn standpunt door te stellen dat iedereen met een camera op z'n hoofd moet rondlopen. Dat vind ik niet. Ik vind wel dat de overheid best in mag breken op zo'n dienst als TOR met als doelstelling kinderporno aan te pakken en niet perse als doel stelt om zoveel mogelijk profielen te maken van gebruikers.
Maar door dat te doen compromitteert de overheid het hele netwerk: nu kunnen andere partijen met andere doeleinden ook misschien gebruik maken van die zwakheid. En wat te denken van andere afdelingen van de FBI dan kinderporno, b.v. copyright? Wat als ze mensen 30 jaar de cel in gooien voor het verkopen van wiet, of een alleenstaande moeder een miljoen dollar boete laten betalen voor het uploaden van een CD?

En wat als er één corrupte ambtenaar tussen al die overheidsdiensten zit die informatie en controle verkoopt aan de mafia, of aan Iran, of aan Al-Qaeda, of aan een ander netwerk van pedofielen? Als je de veiligheid van het systeem aantast, zorg je ervoor dat vele partijen daar mogelijkerwijs misbruik van kunnen maken, niet alleen de "welwillende" afdeling die de eerste was.

Zo'n vaart loopt het misschien niet in dit geval...of toch wel? Mocht zo'n lek al gebeurd zijn, weten wij dat dan? Of gebeurt het misschien regelmatig, zonder dat wij er ooit achterkomen? Dit hele gedoe is gewoon niet goed. De overheid moet zich niet bezighouden met het compromitteren van systemen die voor een substantieel deel door goedwillende mensen gebruikt worden.
Uit het nieuwsbericht:
Voor de vier misdrijven waarvan hij wordt verdacht, alle vier gerelateerd aan kinderporno, zou hij een celstraf van 30 jaar kunnen krijgen.
Ik ben dan ook wel benieuwd wat de FBI nu precies allemaal nog verder gaat doen met de gegevens die ze verzameld hebben. Volgens het bericht pakken ze nu één iemand op die 4 (!) misdrijven heeft gepleegd gerelateerd aan kinderporno. Als ik dit bericht mag geloven gaat het tot nu toe dus alleen maar over het oppakken van viespeuken. Niks mis mee!
[...]


Precies, ik ben het eigenlijk heel erg met je eens. Alleen vind ik dat het oppakken van malafide kinderporno verspreiders belangrijker dan het beschermen van een dienst als TOR.

Je overtrekt mijn standpunt door te stellen dat iedereen met een camera op z'n hoofd moet rondlopen. Dat vind ik niet. Ik vind wel dat de overheid best in mag breken op zo'n dienst als TOR met als doelstelling kinderporno aan te pakken en niet perse als doel stelt om zoveel mogelijk profielen te maken van gebruikers.
Ik zou het met je eens zijn als je zou zeggen dat de overheid best in mag breken op een dienst zoals een hidden service die kinderporno aanbiedt.

Ze lijken servers van Freedom Hosting te hebben geïnfecteerd maar of dat dan alleen servers waren met kinderporno of dat het ging om al hun servers/websites kan ik niet direct vinden. In het eerste geval vind ik dat een mooie gerichte aanval. Het tweede geval kan ik ook nog begrijpen maar dat wordt voor mij al weer dubieus. Op OHM2013 waren genoeg ex-klokkenluiders om mij ervan te overtuigen dat de ethiek binnen overheidsdiensten vaak ver te zoeken is. Wat als Freedom Hosting nu ook een website host met stevige kritiek op de overheid en ze daar ook ip-adressen vandaan hebben geplukt? Als ze dat soort data eenmaal hebben is het moeilijk te zeggen of ze 't dan zullen weggooien.

Daarnaast is het wel belangrijk het verschil te maken tussen een dienst van Freedom Hosting en het concept van TOR of zelfs hidden services binnen TOR. Ik quote de website even: "Other organizations run hidden services to protect dissidents, activists, and protect the anonymity of users trying to find help for suicide prevention, domestic violence, and abuse-recovery. Whistleblowers and journalists use hidden services to exchange information in a secure and anonymous way and publish critical information in a way that is not easily traced back to them. The New Yorker's Strongbox is one public example."

Ik vind het overigens jammer dat je naar -1 wordt gemod, je hebt namelijk de algemeen heersende mening in Nederland die wat minder populair is op een site als Tweakers, maar het is wel gewoon on-topic.
Kinderporno en terrorisme worden eigenlijk alleen nog maar als excuus gebruikt om ergens disproportioneel in te grijpen, men gebruikt dat zodat jan met de pet er niets ergs van denkt.
Overigens gaat het ook heel hard in tegen wat zij zelf in hun Bill of rights hebben staan
Probleempje:
We the People of the United States, in Order to form a more perfect Union, establish Justice, insure domestic Tranquility, provide for the common defence, promote the general Welfare, and secure the Blessings of Liberty to ourselves and our Posterity, do ordain and establish this Constitution for the United States of America.
Die grondwet heeft alleen betrekking op Amerikanen. Dat is ook waarom presentaties over Prism zo sterk de nadruk leggen op "we spioneren niet op Amerikanen" (maar des te harder op niet-Amerikanen natuurlijk), omdat al die mooie rechten natuurlijk niet voor inwoners van andere landen gelden.
Overigens, ook al zouden die rechten in theorie ook voor "ons" gelden, hoe wil je het afdwingen; niet-Amerikanen mogen toch niet stemmen, dus hebben Amerikaanse politici automatisch geen enkele boodschap aan onze mening.
Er zijn ongeveer 120 miljoen Amerikanen die stemmen bij de presidents-verkiezingen; daarvan heb je de helft nodig om te winnen ja ja, in theorie is het veel ingewikkelder, oftewel 1% van de wereldbevolking kiest de "sheriff" van de World Police, hoog tijd voor "Occupy America"...?
[...]

Probleempje:

[...]

Die grondwet heeft alleen betrekking op Amerikanen. Dat is ook waarom presentaties over Prism zo sterk de nadruk leggen op "we spioneren niet op Amerikanen" (maar des te harder op niet-Amerikanen natuurlijk), omdat al die mooie rechten natuurlijk niet voor inwoners van andere landen gelden.
Overigens, ook al zouden die rechten in theorie ook voor "ons" gelden, hoe wil je het afdwingen; niet-Amerikanen mogen toch niet stemmen, dus hebben Amerikaanse politici automatisch geen enkele boodschap aan onze mening.
Er zijn ongeveer 120 miljoen Amerikanen die stemmen bij de presidents-verkiezingen; daarvan heb je de helft nodig om te winnen ja ja, in theorie is het veel ingewikkelder, oftewel 1% van de wereldbevolking kiest de "sheriff" van de World Police, hoog tijd voor "Occupy America"...?
Nouja, op wie dat betrekking heeft, daar valt nog wel over te discussiëren.
De strekking op http://www.lewrockwell.co...the-bill-of-rights-apply/ (van een ex-presidentskandidaat) is bijvoorbeeld dat deze bill of rights betrekking heeft op de regering zelf en wat zij niet mogen, dus niet zozeer over op wie het invloed heeft.
Maarja, helaas is er geen eenduidig antwoord. Ik weet niet wat de oorspronkelijke intentie was, maar wel dat er van het mooie idee in de praktijk nog maar weinig terecht komt.
TOR is juist eerder IMHO opgezet VOOR gebruik van verkeerde zaken, want waarom zou je zo afgesloten/anoniem moeten zijn, als internet niet misbruikt zou worden dan zou dat allemaal ook helemaal niet nodig zijn.
Wat dacht je van dissidenten/reporters in landen met een onderdrukkende overheid? Gebruik van TOR kan dan van levensbelang zijn. Als je echt geïnteresseerd bent, bekijk dan eens op youtube How governments have tried to block Tor [28C3] . Een van de bedenkers van TOR legt samen met een hacker uit hoe overheden proberen TOR te omzeilen en waarom TOR zo belangrijk is. Een van de "anecdotes" die ik me herinner is dat in een bepaald land internet dissidenten werden opgepakt en vermoord. Hun lichaamsdelen werden vervolgens in dozen gestopt en opgestuurd naar familieleden van de dissident. Dus ja, dan ben je blij dat er zoiets bestaat als TOR.

Ik heb die hele video bekeken (erg interessant) en vind het in het licht van wat daar gezegd werd dan ook onbegrijpelijk dat ze besloten hebben om javascript maar standaard aan te zetten omdat het "gebruiksvriendelijk" is. Niet nadat ik die TOR bedenker zo heb zien hameren op veiligheid.

[Reactie gewijzigd door Bonez0r op 6 augustus 2013 00:23]

Het probleem lijkt me eerder de onervarenheid of de desillusie dat alles veilig is wanneer je Tor gebruikt. Zelf ben ik niet een serieuze gebruiker maar ik draai het nog steeds in een VMware box die ik na gebruik keurig weer de oude image terug zet om te voorkomen dat iets blijft steken. Ik ben een amateur, ik vermoed dat er nog meer mensen zijn die er nog lichter mee omgaan. Natuurlijk het gebruik (al dan niet kwalijk) zou niet de reden moeten zijn alles maar zichtbaar te maken, omgekeerd als gebruiker mag je ook een beetje inspannen voor je eigen veiligheid. Een stukje onderzoek, een stukje gezonde paranoya helpt je al een heel eind. Blijbkaar voor veel gebruikers was dit al veel gevraagd.
Overigens, zoals altijd vraag ik me nog altijd hoeveel misbruikers hiermee worden opgepakt. Ik blijf erbij dat partijen die dermate veel geld hebben of zoals in Mexico waarbij cartels engineers gewoon oppakken om voor hun te laten werken, deze houd je niet tegen met de traditionele espionage methodes. Zelfs PRISM (ongeacht te weten hoever het gaat) betwijfel ik of zij kunnen intappen op serieuze misbruikers.
Als mensen zich gewoon normaal gedragen zou al dat niet nodig zijn..
"Ik oordeel niet over mensen, maar dan moeten ze wel normaal doen" - Theo Maassen.
Het idee achter TOR is zeer relevant. Kijk naar de Arabische Lente en/of Prism om te zien dat TOR zijn nut zeker kan bewijzen. Dat er misbruik van gemaakt wordt is een feit, maar dat geldt ook voor FreeNet bijvoorbeeld. Echter doet dat niks af aan het nut. Met een hamer kan ik ook iemand vermoorden, maar dat maakt de hamer nog geen verboden middel.
OT: wat ontzettend suf van zo'n hoster om het hele idee van TOR (decentraal netwerk) weer om te draaien via een centrale server. Elke TOR gebruiker heeft een cache, dus als je .onion site maar genoeg wordt bezocht zal deze up blijven ook al is de originele aanbiedende user down.
Buiten dat een prachtig staaltje van 'exploit-chaining' om deze figuur op te pakken. Zo zie je maar dat Kaspersky gelijk heeft: als je een 'high-value target' bent én je tegenstander heeft de beschikking (lees: geld genoeg) over 0-day exploits, dan zal vrijwel niets je kunnen helpen.
Is dat zo? Dat iedere Tor zijn cache heeft? Ik dacht niet dat het eenzelfde opzet als bittorrent had. Het idee is toch juist dat jij vrij kan interneten en er eind-nodes zijn die bereid zijn de klap voor jouw vrijheid van meningsuiting op te vangen (waar helaas ook misbruik van wordt gemaakt met rare zaken). Als jij de content als nog op je pc krijgt met distributed data ben je nog steeds op te pikken door een FBI/Iranees regime zou je zeggen.

Verder zal hosting toch niet decentraal gebeuren lijkt me.
Is dat zo? Dat iedere Tor zijn cache heeft? Ik dacht niet dat het eenzelfde opzet als bittorrent had. Het idee is toch juist dat jij vrij kan interneten en er eind-nodes zijn die bereid zijn de klap voor jouw vrijheid van meningsuiting op te vangen (waar helaas ook misbruik van wordt gemaakt met rare zaken). Als jij de content als nog op je pc krijgt met distributed data ben je nog steeds op te pikken door een FBI/Iranees regime zou je zeggen.

Verder zal hosting toch niet decentraal gebeuren lijkt me.
Dat is inderdaad niet zo. TOR is een packetschuifelaar. Als de packets niet aankomen bij de bestemming dan krijg je ook geen antwoord terug.

Rick2910 is in de war met FreeNet, wat wel op die manier werkt. Freenet is compleet decentraal-- als je content naar FreeNet uploadt, komt 't op een aantal verschillende plekken te staan en als 't opgevraagd wordt op nog meer, waarna 't daar ook vandaan te halen is. Dus zo lang je content met enige regelmaat opgevraagd wordt (en dat kun je zelf regelen natuurlijk), is 't beschikbaar binnen FreeNet.
Ik doelde specifiek op TOR hidden services, die zich in feite net zo gedragen als FreeNet (op het caching stuk na). De websites die de genoemde webhoster hostte waren namelijk niet via het publieke internet bereikbaar, dus dan moeten het wel hidden services zijn, vandaar.

[Reactie gewijzigd door Rick2910 op 5 augustus 2013 18:37]

Maar Freenet moet toch ergens die data en verborgen diensten of websites opslaan? Dat gebeurt toch gedistribueerd over computers van aangesloten gebruikers, net als bij TOR? Misschien heet het geen caching en werkt het net anders, maar het lijkt er wel op, toch?
Maar Freenet moet toch ergens die data en verborgen diensten of websites opslaan? Dat gebeurt toch gedistribueerd over computers van aangesloten gebruikers, net als bij TOR? Misschien heet het geen caching en werkt het net anders, maar het lijkt er wel op, toch?
FreeNet is gedistribueerd: iedereen die de software heeft draaien, heeft een klein beetje ervan op z'n computer staan (encrypted, zodat je niet weet wat 't is en er dus ook niet voor verantwoordelijk gehouden kan worden.) Als jij data opvraagt komt 't in jouw cache te staan, maar als iemand anders 't opvraagt via jou ook. Dat is om jouw anonymiteit te garanderen-- als 't alleen in jouw cache komt te staan als jij het opvraagt, betekent dat dus andersom ook dat als 't in je cache staat dat jij het hebt opgevraagd. Dat wil je niet.

Tor is slechts een manier om een packet pijp tussen twee nodes op te zetten. In de meeste gevallen is dat een Tor-node en een clearnet-node. Dan ga je van jouw node via twee andere (relay) nodes naar een exit node, en die praat dan tegen de clearnet node. Een hidden service is ook niet meer dan een packet pijp tussen twee nodes, alleen ga je nu in plaats van naar een exit node naar een zogenoemde rendezvous-node. Die praat vervolgens (via nog twee relays) met de hidden service, en vice versa. Je hebt 't hier echt over een situatie die 100% vergelijkbaar is als een gewone webserver, alleen is de manier waarop de packets er komen anders. Maar als je de server die in de hidden service voorziet, uitzet, is de service ook pleite.

[Reactie gewijzigd door CyBeR op 5 augustus 2013 23:52]

Ahh dus een hidden server staat gewoon op één computer, of tenminste achter één IP-adres, alleen kan hij uitsluitend bereikt worden via een (versleutelde en indirecte) Tor-verbinding? Dat is inderdaad wel anders dan Freenet e.a.

Ik vraag me trouwens af of iedereen over tien jaar niet standaard van een darknet gebruik zal maken, als het standaard op iedere computer voorgeïnstalleerd staat en automatisch gebruikt wordt. Lijkt me het beste voor iedereen. Nu ben ik nog te lui om het te proberen en ben ik bang dat de snelheid (nog) lager is dan mijn normale bevinding.
[...]


Wat een onzin zeg, alsof TOR de uitvinding is, je zou gewoon simpel moeten zeggen dan dat internet zo wordt misbruikt voor verkeerde zaken, maarja dat is gewoonweg met alles.. TOR is juist eerder IMHO opgezet VOOR gebruik van verkeerde zaken, want waarom zou je zo afgesloten/anoniem moeten zijn, als internet niet misbruikt zou worden dan zou dat allemaal ook helemaal niet nodig zijn. Als mensen zich gewoon normaal gedragen zou al dat niet nodig zijn.. maarja we blijven mensen dus we blijven ook bezig met verkeerde zaken, iedereen doet het, alleen tja wat jij verkeerde zaken noemt noemt iemand anders weer niet en omgekeerd..
"Ik heb niks te verbergen, maar dat hoeven ze niet te weten." - Loesje

Als alle mensen "normaal" zouden doen waren technologieën als Tor inderdaad niet nodig. Maar niet iedereen is "normaal", dat is juist het probleem. Wat zou de wereld toch geweldig zijn als je niet gemarteld en vermoord zou worden alleen maar omdat je een mening hebt. Maar zo zit onze wereld niet in elkaar, alleen ons hoekje van de wereld.

Het is normaal dat de gene met slechte wil altijd manieren zullen vinden gereedschap voor hun slechte doel te gebruiken. Maar beoordeel niet dat gereedschap op basis van de gebruiker.

Beoordeel het gereedschap op basis waarvoor het gebruikt wordt en kan worden. In dit geval, anonimiteit en (zelf)bescherming.
Het principe van TOR is wel degelijk een uitvinding. Ze verdelen het berichtenverkeer over diverse servers, waarna de sourceadres gegevens worden verwijderd. Hierdoor is niet meer na te gaan waar het bericht vandaan kwam.

Een paar dingen hierover:
- Het is ontwikkeld door de Amerikanen zelf, en net zoals ze de taliban hebben leren oorlog voeren, vindt de FBI / CIA nu ineens de TOR techniek ook heel eng.

- TOR is destijds bedoeld om je anoniem op het internet te kunnen begeven. Er zijn heel wat Nederlanders die zich niet kunnen voorstellen hoe belangrijk dat is. Maar woon je in een niet zo vrij land, dan kun je in elk geval communiceren en je mening geven.

- TOR is nooit ontwikkeld met de bedoeling om kinderporno te verspreiden. Dat dit wel gebeurt is natuurlijk zeer verwerpelijk. Helaas is het nu inmiddels zo, dat wanneer je de TOR tools gebruikt, je meteen verdacht bent.
[...]
Als mensen zich gewoon normaal gedragen zou al dat niet nodig zijn.. maarja we blijven mensen dus we blijven ook bezig met verkeerde zaken, iedereen doet het, alleen tja wat jij verkeerde zaken noemt noemt iemand anders weer niet en omgekeerd..
Ben ik het niet mee eens. Er zijn zat landen waar het internetgebruik zwaar gemonitord/gefiltert wordt. Neem een land als Iran: internet is er eigenlijk niet normaal te gebruiken door alle filtering. Gevolg: iedereen (zelfs veel ouderen/bejaarden) weten nu hoe ze TOR moeten opzetten en gebruiken zodat ze toch gewoon alle internet sites kunnen bekijken en hun mening kunnen geven. (Bron: Iraanse collega)
De motieven waarom een overheid iets blokkeert in Nederland vs de motieven van een land als Iran of China zijn wel heel verschillend. In die landen wordt het gebruikt om de regering aan de macht te houden (of om een andere reden de burgers te onderdrukken).

Met jouw redenatie moeten we alles maar slikken wat een overheid bepaald, terwijl de geschiedenis (recent maar ook 100'en jaren geleden) laat zien dat het juist belangrijk is dat je soms in opstand komt tegen de overheid. Er is dus zat reden om Tor legitiem te gebruiken.
Daar ben ik het (motief van overheden) dus eigenlijk niet helemaal mee eens. In jouw ogen (en vele anderen) is het misschien zo dat de bevolking wordt onderdrukt maar of dat zo is betwijfel ik. Misschien wilt de bevolking onderdrukt worden. Aan de andere kant wordt er altijd een deel van de mensen to een zekere mate onderdrukt omdat ze niet eens zijn met de overheid.

Als ik zo kijk naar Iran dan is minstens 70% (of vul een ander getal in, het is iig een groot percentage) van de bevolking Sjiiet en deze groep mensen willen zoals het nu er aan toe gaat. Helaas voor de andere 30% mensen (wat een zeer groot aantal is), maar zij worden "onderdrukt" door democratie.

Ik heb ook een groot aantal chinezen gesproken en zij vinden dat de overheid niet al te slecht is. Vooral over Foxconn bijvoorbeeld. Ik vroeg onlangs aan een uitwisselingsstudent wat zij ervan vonden en of zij het ook zo slecht vinden. Ze keken mij vervolgens zo raar aan, ze zeiden dat ze heel blij waren omdat anders die kinderen waarschijnlijk veel erger hadden. Nu is het zo dat we natuurlijk allemaal beter willen, maar we moeten begrijpen dat het niet altijd 1,2,3 kan. Ik bedoel als we naar het verleden van de Westen kijken, zien we dat er ook heel veel bomen werden gekapt, vrouwen niet mochten stemmen, kinderen onder slechte omstandigheden moesten werken. Het westen heeft dit met de tijd opgelost, langzamerhand zonder enige tussenkomst van buitenlanders. Wij proberen de revoluties te forceren op andere landen en denk dat het daarom verkeerd gaat.

Zeer off topic, maar wilde mijn gedachtes effe delen :P
De motieven waarom een overheid iets blokkeert in Nederland vs de motieven van een land als Iran of China zijn wel heel verschillend. In die landen wordt het gebruikt om de regering aan de macht te houden (of om een andere reden de burgers te onderdrukken).
Dat geldt mischien voor bepaalde zaken (en die gaan hier overigens net zo hard op), maar echt niet voor zoiets als porno.
Met jouw redenatie moeten we alles maar slikken wat een overheid bepaalt
In tegendeel. Ik heb ook helemaal geen redenatie waar dat uit af te leiden valt. Ik zeg alleen dat de Iraanse en de Nederlandse overheid zo verschillend niet zijn in dit opzicht, alleen staan wij volwassen porno wel toe en zij niet. 't is niet zo lang geleden dat porno met minderjargen in Nederland ook geen probleem was. D'r zijn nog steeds oorden waar dat zo is. Dat Tor voor zoiets gebruikt wordt is imo dus niet vreemder dan bijvoorbeeld dat het gebruikt wordt om drugs mee te verhandelen.
Als 90% van de mensen iets doet is dat vrij normaal te noemen. Dan is het m.i. slecht als de overheid er tegenin gaat en de bevolking criminaliseert.

Een beetje zoals copyright-schendingen in westerse landen.
Helemaal mee eens. Drugs is ook zoiets (misschien geen 90 %, maar toch), en prostitutie, althans in principe (in de praktijk ingewikkelder). Ik zou zeggen dat de overheid dingen die in principe geen individu schaden en die door grote groepen normaal worden gevonden beter niet kan verbieden, ook omdat het gewoon niet werkt.
Je hoeft echt niet helemaal naar Iran om internet censuur te vinden. Neem NL met zijn piratebay filter.

Maar je hebt gelijk, in landen als Iran, China, Noord-Korea, etc wordt internet gewoon ZWAAR gecensureerd en is TOR een oplossing. Dat er zieke mensen op de wereld zijn die het voor andere doelen misbruiken is echt heel erg jammer.
[...]

TOR is juist eerder IMHO opgezet VOOR gebruik van verkeerde zaken, want waarom zou je zo afgesloten/anoniem moeten zijn, als internet niet misbruikt zou worden dan zou dat allemaal ook helemaal niet nodig zijn.
Klopt. Maar het gaat eigenlijk om vrijheid van meningsuiting waarvoor je in sommige landen vervolgd kan worden. De volgende quote komt uit Wikipedia.

In March 2011 the Tor Project was awarded the Free Software Foundation's 2010 Award for Projects of Social Benefit on the following grounds: "Using free software, Tor has enabled roughly 36 million people around the world to experience freedom of access and expression on the Internet while keeping them in control of their privacy and anonymity. Its network has proved pivotal in dissident movements in both Iran and more recently Egypt."


En in oorsprong is TOR zelfs gefinancierd door de U.S. Naval Research Laboratory.
Die dissidentenbewegingen in Iran en Egypte hebben uiteindelijk niks opgeleverd. In Egypte is weer een generaal aan de macht en in Iran zitten de ayathollahs nog steeds in het zadel.

Het positieve effect van TOR wordt nogal overdreven om de nadelen ervan te kunnen negeren. Er zijn voordat TOR bestond ook dissidenten geweest, in 1979 waren cassettebandjes met preken essentieel voor de Iraanse revolutie en in de Sovjet Unie stencilde men samizdat geschriften.
Die dissidentenbewegingen in Iran en Egypte hebben uiteindelijk niks opgeleverd.
Hoezo "uiteindelijk"?
Er zit niet een houdbaarheidsdatum op dissidentenbewegingen, laat staan op wat hen motiveert.

Zo heeft bvb de arbeidersbeweging een paar eeuwen lang 'gewoekerd' voordat het resultaat opleverde.
Dat de dissidenten hun doel niet gehaald hebben is wat anders dan het feit dat velen dankzij TOR waarschijnlijk niet zijn opgepakt en vervolgd.
Het gaar er ook om dat mensen in die landen een vrijer leven hebben ondanks het repressieve regime: ze kunnen nu tenminste politieke discussies hebben, muziek luisteren, informatie uitwisselen, etc. etc.
Nog even en Amerika geeft iedereen een Amerikaans paspoort zolang je maar blijft in het land waar je woont.

Internet is zijn tijd ver voorbij dat zie je hier wel weer. Deze man heeft in Amerika niks fout gedaan. Natuurlijk moet hij wel worden vervolgt. Maar wanneer al zijn activiteiten zich bevinden in Ierland heeft Amerika er niks mee te maken behalve dat ze Ierland tips kunnen geven en helpen.

Wat overigens erg jammer is is dat een van de beste uitvindingen voor vrijheid (het TOR systeem) zo misbruikt wordt voor verkeerde zaken. Want het idee er achter is vele male groter/beter dan het misbruik waar het nu veelal voor wordt gebruikt.

Maar ach over een jaar of wat zitten we hier allemaal op want anders mag je je mening niet meer geven.
Je moet je verantwoorden in het land waar je de daden tegen hebt gericht, als ik een bombrief stuur naar Duitsland vanuit Nederland en dood daar 4 mensen dan moet ik in Duitsland terecht staan voor moord!

Zelfde geldt voor internet daden, als ik via internet Duitse bevolking beroof van hun geld vind ik dat ik daar terecht moet staan, immers was mijn misdaad ook in Duitsland en dus moet ik ook mijn daden daar verantwoorden.

Wat mijn betreft moet je je verantwoorden in land waar je je daden tegen hebt verricht!
Helaas werkt het voor de Amerikanen maar één kant op. Hun kant op uiteraard.
Ja, daar heb je gelijk in, maar wat heeft ie dan specifiek tegen Amerika gedaan? Volgens mij waren z'n praktijken voor de hele wereld bedoeld, niet?
Als ik een site opzet die over de hele wereld legaal is, behalve in het midden oosten, kunnen ze mij dan aanklagen voor het opzetten van een illegale site? Natuurlijk niet, ik heb immers geen band met die landen. Ze kunnen er toevallig bij omdat het internet wereldwijd is, maar dat is mijn pakkie an niet. Als je je moet gaan verdiepen in de wetgeving van alle honderden landen ter wereld kun je helemaal niets meer op internet.
Het wordt een ander verhaal als er op die site dan iets wordt aangeboden dat voor een bepaalde regio bedoeld is, maar ik lees niks over iets specifieks voor Amerika hier.
Voor bepaalde misdaden, zoals kinderporno en pedofilie hebben meerdere landen, waaronder Nederland, specifiek in hun strafrecht opgenomen dat ze hun eigen burgers daar ook voor kunnen vervolgen wanneer ze die misdaden in het buitenland hebben gepleegd.
Iemand die bv. op Schiphol wordt gepakt met foto's waarop hij met minderjarigen bezig is, kan hier in Nederland voor worden berecht.
Dat is deels omdat niet altijd wordt vertrouwd op de mogelijke corrupte rechtsgang in het land waar de misdaden zijn begaan, maar ook omdat niet altijd duidelijk is welk land dat is (bv. wanneer de dader een rondreis door zuidoost Azië heeft gemaakt en weigert te vertellen in welk land een foto is gemaakt).

Om op basis daarvan uitlevering te vragen van iemand die wel Amerikaan is maar niet in de VS woont vind ik overdreven, zolang de mogelijkheid open staat dat hij in Ierland vervolgd kan worden. In dit geval heb ik er echter niet zoveel moeite mee.
Voor bepaalde misdaden, zoals kinderporno en pedofilie hebben meerdere landen, waaronder Nederland, specifiek in hun strafrecht opgenomen dat ze hun eigen burgers daar ook voor kunnen vervolgen wanneer ze die misdaden in het buitenland hebben gepleegd.
Iemand die bv. op Schiphol wordt gepakt met foto's waarop hij met minderjarigen bezig is, kan hier in Nederland voor worden berecht.
Dat kan sowieso omdat het beeldmateriaal hier illegaal is en hij het op dat moment invoert. Je punt staat echter voor bijvoorbeeld sekstoerisme.
In dit geval heb ik er echter niet zoveel moeite mee.
Hoezo? Of is dat zo'n typische "casteren die lui!"-onderbuikreactie omdat je anders "kinderpornogezind" bent?
Hoezo? Of is dat zo'n typische "casteren die lui!"-onderbuikreactie omdat je anders "kinderpornogezind" bent?
Nee, geen onderbuikreactie. Ik heb er weinig moeite mee omdat het om ernstige misdrijven gaat. Bij moord of ernstige geweldpleging zou ik er ook geen problemen mee hebben.
Waar ik wel problemen mee heb is wanneer personen uitgeleverd worden voor minder ernstige misdrijven, zoals computerinbraak, illegale verspreiding van muziek of software en verspreiding van gevoelige informatie waar, naar mijn mening, in de VS onevenredig zware straffen voor gegeven worden.

Castreren zou voor mij sowieso te ver gaan. Wanneer je als beschaafd land zover afglijd dat je je heil zoekt in lijfstraffen of zelfs de doodstraf, dan heb je als samenleving de misdrijven die je daarmee bestraft verdiend.
Wat zijn dan "ernstige misdrijven"? Misdrijven waar lange gevangenisstraffen of de doodstraf op staan?

En wie bepaald dat. Als ik een site voor homo's op zet zijn er landen waar dit duidelijk gezien wordt als "ernstig misdrijf". En dus mag je mij uitleveren in en feite doen wat je wil.

Deze man was in Ierland werkzaam. Amerika kan Ierland helpen zoiemand te vinden, maar hij moet in Ierland vervolgd worden.

Je probleem zit hem in dat bijna alles in ernstig misdrijf is. Zeker op internet want in zo ongeveer elk land is hetgene wat je doet wel illegaal en staat er een zware staf op.

Omdat jij het ernstig vind is het nog niet ernstig. Het is zelfs zo omdat wij het niet ernstig vinden is het nog niet niet ernstig.
Daar ben ik het wel mee eens.

We vergeten soms dat dingen die nu verboden zijn vroeger heel gewoon waren. Homofielen gevoelens was in de tijd van de romeinen erg gewoon.

Het recht om wraak te nemen als iemand van je familie wat was aangedaan.

Zelfs seks met mensen jonger dan 18 was tot redelijk 'recent' nog 'gewoon'...
https://en.wikipedia.org/wiki/Age_of_consent

Zolang een groot deel van de bevolking het doet, lijken we het normaal te vinden.
Voor bepaalde misdaden, zoals kinderporno en pedofilie hebben meerdere landen, waaronder Nederland, specifiek in hun strafrecht opgenomen dat ze hun eigen burgers daar ook voor kunnen vervolgen wanneer ze die misdaden in het buitenland hebben gepleegd.
Wat versta je onder pedofilie dan, want een geaardheid is voor zover ik weet niet strafbaar (nou ja, niet in Nederland, er zijn zoals bekend wel landen waar bijvoorbeeld homofilie een strafbaar feit is) en zou dat ook niet moeten zijn, anders kan een overheid mensen straffen voor de gedachten die ze hebben, dat gaat wel erg ver. Je bedoelt waarschijnlijk kindermisbruik.
Wat mijn betreft moet je je verantwoorden in land waar je je daden tegen hebt verricht!
Dan ga je dus eigenlijk uit van een beschermingsbeginsel die we in Nederland ook kennen, maar niet zo sterk als onze Amerikaanse vrienden.

Dit is juridisch echter bijzonder moeilijk te bewerkstelligen. Immers kan ik niet alle wetten van elk land kennen (ik ken de wetten van mijn eigen land niet eens allemaal, al word ik wel geacht die te kennen).

Wees er wel van bewust dat dit uitermate nadelige gevolgen kan hebben! Jouw redenatie volgende zou Indonesie dus een verzoek tot uitlevering indienen als jij een pornografisch fotootje geupload hebt (bron: NSFW Wikipedia).
Wat overigens erg jammer is is dat een van de beste uitvindingen voor vrijheid (het TOR systeem) zo misbruikt wordt voor verkeerde zaken. Want het idee er achter is vele male groter/beter dan het misbruik waar het nu veelal voor wordt gebruikt.
Dat is en blijft altijd de afweging bij nieuwe technieken voor privacy bescherming: aan de ene kant de mogelijkheid om mensen een stem te geven, om hun mening te uiten ook al is de geldende macht het daar niet mee eens, aan de andere kant zullen kwaadwillenden het willen misbruiken, aangezien men toch anoniem is. Dan is de vraag: hoe ver moet er gegaan worden met betrekking tot het opsporen van overtreders. Je wil niet zo ver gaan dat mensen die niets verkeerd gedaan hebben er hinder van ondervinden, maar aan de andere kant wil je wel dit soort tuig proberen op te sporen en te vervolgen.
Als ik het verdacht simpel scriptje bekijk in de pastebin dan denk ik toch direct dat de "phone home" ook via de tor "endnode" naar buiten gaat. Maar het gaat iets verder

Het javascript zou een bug activeren die verder gaat. En het is precies dat wat er gebeurt hier.
Er wordt nl iets "verkeerds" gedaan dat de browser laat crashen, en op dat moment wordt een klein stukje extra code dat dmv die javascript is gedownload, ook werkelijk mee uitgevoerd.

E.a. draait dan niet (veilig) binnen de TOR browser maar op system niveau !

Volgens de eerste analyses gaat het om een http request dat dus je echte internet IP en misschien als payload ook wat extra info kan doorsturen (bv naam vd computer, MachineID, domain, logon user, etc), maar het kan natuurlijk ook gebruikt worden om nog meer rommel binnen te halen.

Klaarblijkelijk zijn alle freedom-hosting boards op die manier besmet, want ook mensen die op zoek waren naar info over cannabis, schijnen deze exploit te hebben ervaren.

Ik vraag me wel af of ze zomaar "malware" op een buitenlandse server mogen installeren, maar we zien dat zich daar klaarblijkelijk niemand aan stoort.
Wat nu als de server "in beslag" was genomen wegens criminele activiteiten???? In de USA kunnen ze gewoon de server laten staan ondanks dat hij in beslag is genomen zonder dat de wereld dat weet en kunnen de diensten er gewoon mee doen wat ze willen.

Pietje wordt verdacht van criminele activiteiten.
Pietje wordt gearresteerd en zijn apparatuur wordt geconfisceerd als bewijsmateriaal.
Op de apparatuur staat KP.
De overheid trekt een kopie, originele server wordt bewijsmateriaal en veiliggesteld/
Er wordt een nieuwe server opgetuigd met de config/content van de in beslag genomen server.
Op de nieuwe sever, dus de vervangende worden de scripts geplaatst en er is niks illegaals aan.

Zolang er niks uit lekt kan zo een server, zolang er niemand achter komt, zelfs maanden draaien voordat het duidelijk wordt wat er aan de hand is. En tegen die tijd is er weer een netwerk viezerikken opgepakt.

En zolang de verdachtte in bewaring zit, is er geen enkeke communicatie naar buiten toe. Zelfs niet via de advocaat, want die mag niet inhoudelijk praten over de verdachtte en strafzaak. En de verdachtte kan zelfs meewerken vanwege strafvermindering.

Kortom, het lijkt veilig, maar uiteindelijk kan het best zo zijn dat ze mensen maanden in de gaten houden.
Dat er een javascript beveiligingsprobleem in Firefox zit is in interessant, maar er zit wat mij betreft een veel interessanter aspect aan dit verhaal. Dat is dat de FBI blijkbaar in staat was de hidden sites te infecteren.
Ik zou wel eens willen weten hoe ze dat gedaan hebben.

edit: De vraag is niet hoe de hidden site de client infecteert, de vraag is hoe de FBI de hidden site heeft geïnfecteerd. Aangezien alle sites van de zelfde hoster geïnfecteerd schijnen te zijn hebben ze of remote de server gehackt, of ze hebben fysieke toegang tot de servers.

Overigens komen er nog veel meer vragen op.
Hadden ze een specifieke site op het oog ? welke ? en hoe wisten ze dan dat ze bij deze hoster moesten zijn ?
Waarom mogen ze zomaar alle gehoste sites infecteren ? gaan ze er vanuit dat het allemaal criminele sites zijn ?
Is dit een gerichte actie tegen kinderporno of is dit een ongerichte actie tegen alles wat op TOR draait, met de redenering dat TOR alleen door criminelen wordt gebruikt ?

[Reactie gewijzigd door locke960 op 5 augustus 2013 10:38]

De FBI heeft de eigenaar van Freedom Hosting een paar dagen geleden aangehouden, dit terwijl alle hackers van naam zich op DEFCON of OHM2013 ophielden.

Door de aanhouding van de eigenaar van Freedom Hosting hadden ze de mogelijkheid om de servers die daar stonden te infecteren met de javascript exploit. De javascript exploit heeft zo 2 dagen gedraaid vooraleer er een beetje ruchtbaarheid kwam aan het feit dat er middels de exploit, die specifiek op deze versie van Firefox gericht was, 3 verschillende iframes geladen werden op het moment van bezoeken van één van de servers van Freedom Hosting.

Al die tijd heeft de FBI dus lekker ip's, hostnames en mac addresses kunnen harken over het normale net. In de code zie je dat er een connectie wordt gemaakt met 65.222.202.53. De FBI heeft inmiddels de exploit aangepast en verstuurd de gegevens nu gewoon via TOR. De connectie gaat nu naar nl7qbezu7pqsuone.onion.

De bovenstaande links leiden tot deze gebruikte code van de exploit
Analyse en uitleg van de bovenstaande Tor Browser Bundle exploit


Opvallend is dat de server 65.222.202.53 staat geregistreerd op MCI Communications Services, Inc. d/b/a Verizon Business, die gesitueerd zijn op 22001 Loudoun County Pkwy in Ashburn, VA.
Als we googelen op 22001 Loudoun County Pkwy krijgen we dit als 1e hit:
Verizon Secret Spying Facilities 2 - Cryptome
ASHBURN, Va. -- Verizon Business today opened its new Government Network Operations and Security Center (GNOSC), a state-of-the-art facility dedicated to supporting the unique security and operational requirements of its federal government customers. The center, located in Northern Virginia in 30,000 square feet of space built to government security standards, will support the managed network services Verizon Business provides to nearly every federal government agency from the civilian, intelligence and defense communities.

Early next year, the GSA is expected to award the replacement contract to FTS2001 agreement – dubbed Networx. The multimillion-dollar center, constructed under an accelerated build-out schedule, is the first major network facility the company has opened since Verizon and MCI combined in January 2006. In addition to the network monitoring and security center, the area also includes an emergency command center, briefing center, program-management office and support office space.
Luchtfoto

Dus voor de mensen die nog niet denken dat de FBI erachter zit, lijkt mij dit een klein stukje bewijs.

Nog meer uitleg en nieuws over dit verhaal.

[Reactie gewijzigd door SidewalkSuper op 5 augustus 2013 11:57]

Ik ben toch wel benieuwd hoe de ierse wetgeving daar dan mee omgaat, men pleegt zo immers een misdrijf als FBI zijnde wat eventuele bewijslast onbruikbaar maakt (in normale rechtstaten)
Dat er een javascript beveiligingsprobleem in FIrefox zit is in interessant, maar er zit wat mij betreft een veel interessanter aspect aan dit verhaal. Dat is dat de FBI blijkbaar in staat was de hidden sites te infecteren.
Ik zou wel eens willen weten hoe ze dat gedaan hebben.
Een reguliere site kan vrij gemakkelijk mensen infecteren met malware, dat zien we keer op keer weer weer in het nieuws komen (advertentienetwerken die malware serven d.m.v. geinfecteerde javascripts). Het feit dat een site hidden (= alleen beschikbaar via TOR) is doet daar natuurlijk niet zo veel aan af. Bij de FBI hebben ze meer dan voldoende kennis om een stukje malware te schrijven, dat te laten installeren door een javascript en je bent klaar.
Dat is, zo te zien, niet de exploit maar een simpel stukje JS wat "naar huis belt".
Misschien verstandig om niet alleen het artikel te lezen, maar ook de daarin verwerkte links.

Dan zal je zien dat je hier op uit komt:

[–]fhdown 24 points 1 day ago
this the malicious js: http://pastebin.com/pmGEj9bV
fbi sting trap? have dnoe this behaviour before. http://gizmodo.com/why-th...two-whole-weeks-510247728
permalinkparent

Volgens mij geef ik netjes antwoord op de vraag van locke960
Het stuurt de IP en MAC adress naar een server.

http://www.reddit.com/r/R..._a_look_at_the_shellcode/

[Reactie gewijzigd door jerkitout op 5 augustus 2013 09:42]

Gevalletje duivels dilemma. Kinderporno is natuurlijk verschrikkelijk, maar het installeren van malware op computers van verdachten is niet goed te praten.

Het lijkt mij relevant om te weten of Freedom Hosting in Ierland of de VS geregistreerd staat/stond. Heeft de FBI de bevoegdheid om een niet in de VS geregistreerde hoster aan te pakken? (Of wordt dit teniet gedaan omdat de eigenaar een dubbel paspoort heeft?)
maar het installeren van malware op computers van verdachten is niet goed te praten.
Wat is dat anders dan een telefoontap plaatsen, gesprekken afluisteren met richtmicrofoons en andere vormen van surveillance? Het is een middel in het arsenaal van opsporingsdiensten, en indien goed gereguleerd zie ik niet in waarom die niet gebruikt kunnen worden.
Het infecteren met malware is totaal iets anders dan iets passief afluisteren. Je doorbreekt moedwillig de beveiliging van een systeem, installeert vervolgens malafide software op het systeem waarover je geen zeggenschap hebt en dit alles bij een verdachte op basis van een onduidelijke verdenking. Kort gezegd is het verschil het actief inbreken / binnendringen van een systeem tegenover pasief afluisteren van gesprekken / data.
Onduidelijke verdenking? Het bezoeken van een kinderporno website lijkt me toch een redelijk duidelijke verdenking. Dit wordt niet random bij mensen geinstalleerd, maar enkel bij degene die via TOR op een specifieke website waar kinderporno staat komen.

Sowieso lijkt het er dus op dat er helemaal geen malware geinstalleerd wordt, er wordt een javascriptje gedraaid dat IP/MAC adres doorstuurt aan een andere server. Niet dat ik er problemen mee had als er malware werd geinstalleerd, maar dat gebeurd dus niet.
Onduidelijke verdenking? Het bezoeken van een kinderporno website lijkt me toch een redelijk duidelijke verdenking.
En als ik nu een redirect in mijn website bouw, waardoor je op een dergelijke website terechtkomt?
Het zou natuurlijk een behoorlijk domme actie zijn, maar als bezoeker kun je er niets aan doen en opeens belt de FBI bij je aan.
Dan belt de FBI bij je aan, doet een huiszoeking, en het blijkt dat je geen KP hebt op je computer en gaat weer ervandoor. Of ze bellen helemaal niet bij je aan omdat je maar één keer in hun systeem tevoorschijn bent gekomen en niet 5x per dag.

Het gaat er dan ook niet om of diegene schuldig is, maar of er een duidelijke reden is om diegene als verdachte aan te merken, en dat lijkt mij gewoon het geval als je op een KP website bent.
en dat lijkt mij gewoon het geval als je op een KP website bent.
Nogmaals de vraag: waar haal je vandaan dat het hier vast staat dat dit alleen bij kinderporno sites gebeurt?
[quote]
Dan belt de FBI bij je aan, doet een huiszoeking gijzelt je en dan?

Je bent wel erg naief!

(en kom niet met Alu-hoedjes aan, want een aanzienlijk deel van de Amerikaanse bevolking deelt momenteel deze mening)
Dit wordt niet random bij mensen geinstalleerd, maar enkel bij degene die via TOR op een specifieke website waar kinderporno staat komen.
Heb je hier bewijs van? Ik kan nergens vinden dat die puur geent zou zijn op pornografische websites (en ja, er gebeurt meer onder .onion dan alleen kinderporno).
Het plaatsen van afluister-apparatuur in auto's en huizen is ook in Nederland een toegestane bijzondere opsporingsmethode. Actief "inbreken" is dus toegestaan (in bijzondere omstandigheden)
Het verschil daar zit het in de reikwijdte van de maatregel. In het ene geval richt men zich (pas na goedkeuring / "vergunning") op een specifieke auto / huis maar in het geval van een website waar actief malware wordt aangeboden richt men zich op alle bezoekers, ook op mensen waar helemaal geen verdenking tegen is.
Bij plaatsing van afluister apparatuur in een auto of huis luistert men ook elke bezoeker van die auto of dat huis af, in dit geval luistert men elke bezoeker van de website af, daar zit dus niet het probleem.
Wat wel een issue is, is dat men ook andere gebruikers van de pc zou kunnen afluisteren, zonder dat die ooit op de site geweest zijn.
Ja mooi omschreven. Daarnaast: als er via die (volgens velen onderhand) legitieme malware een achterdeurtje open komt te staan waardoor er ook allerlei nog minder frisse partijen binnen kunnen komen... Wie garandeert dat dat nu niet gebeurt?
(Ook gericht @SubSense)
Indien goed gereguleerd
Dat is precies het punt. Ik ben het geheel met SubSense eens in dat een KP gebruiker/kijker keihard moet worden aangepakt. Het probleem ligt echter in de manier hoe je zekerheid verkrijgt over de schuld van zulke mensen. Wat mij betreft zou er naar een bepaalde foutmarge gestreefd moeten worden wat betreft het ratio taps/daadwerkelijke schuldigen. Simpelweg alles tappen om zo het laagste van het laagste aan te pakken is gewoon niet acceptabel.
Klopt, ook mee eens. Maar als door monitoring blijkt dat de betreffende gebruiker actief is op bv. de foute fora dan vind ik het prima. En ik vind ook dat alleen op dit vlak de opsporings- instanties veel mee bevoegdheden moeten krijgen om undercover te kunnen gaan om de gebruikers uit te lokken. Volgens mij mag dit momenteel niet.
In Nederland is dit volgens mij op het moment nog niet toegestaan (Zie: http://nos.nl/audio/52238...tot-strafbare-feiten.html), in de VS is dit echter volop aan de gang. (Zie: http://nos.nl/artikel/512...oor-wouldbeterrorist.html)
Het is de vraag of we met zo'n regeling beter af zouden zijn. Would-be criminelen net dat laatste zetje geven terwijl zij anders niets zouden doen gaat mij persoonlijk te ver.
Het is de vraag of we met zo'n regeling beter af zouden zijn. Would-be criminelen net dat laatste zetje geven terwijl zij anders niets zouden doen gaat mij persoonlijk te ver.
In Nederland mag de politie wel degelijk vallen zetten voor criminelen, maar er mag niet uitgelokt worden. Dus wel: fiets zonder slot/slot open neer zetten (immers, dit gebeurt in het echt ook wel eens, ook als de politie de fiets er niet neer zet), maar niet tegen iemand zeggen "Pssst, daar staat een fiets zonder slot, niemand zou het door hebben als je hem mee nam."
Dit is een heel interessant punt: Er zijn mensen, met een zieke geest (kinderporno, moordenaars en sommige leiders en topmanagers --> psychopaten) maar de uitleg van the_shadow is duidelijk: Moet je iemand arresteren omdat deze in verleiding is gedwongen of gewoon betrappen op een foute daad waarmee hij bezig is?

Veel reacties op fora zijn, dat deze mensen liever via oude tradities in vierengedeeld, voor de leeuwen gegooid etc worden. De barbaarse oplossingen, die onder sommige militairen en degenen, die de macht hebben in sommige landen worden toegepast en waar zoveel verzet tegen bestaat. Erg hypocriet.

Als we iedereen 24/7 monitoren, dan belanden we uiteindelijk allemaal in de gevangenis / betalen we ons blauw aan boetes omdat we een vrijbrief geven aan een overheid, die ons compleet zal controleren voor welke regel, die ook maar bedacht wordt. We gaan in NL al die richting uit en de realiteit, die we verafschuwen in sommige landen is dan heel dichtbij.

[Reactie gewijzigd door edcetera op 5 augustus 2013 22:19]

Dank voor verduidelijken!
En ik vind ook dat alleen op dit vlak de opsporings- instanties veel mee bevoegdheden moeten krijgen om undercover te kunnen gaan om de gebruikers uit te lokken. Volgens mij mag dit momenteel niet.
Dat doet de FBI wel.

Maar afgezien daarvan. Waarom zou je wel mogen uitlokken als 't gaat om kinderporno en niet als 't gaat om bijv. moord? Ik vind het laatste namelijk zelf een stapje erger dan distributie van reeds bestaand materiaal. Het gaat in de anti-kinderporno wetten zelden om de hoofdzaak wat ten alle tijde gewoon het beschermen van kinderen dient te zijn. Het maken van kinderporno vind ik dan ook zwaarder wegen dan het bezit / de distributie. Maar zelfs dat valt in het niets met het echte vergrijp: kindermishandeling.

Ik snap wel dat kinderporno gevoelig ligt, maar de autoriteiten (en burgers) slaan door in de "aanpak" er van. En dat bewijs je zelf ook door een uitzondering te maken op het niet mogen uitlokken van strafbare feiten. Puur en alleen omdat de persoon een zieke geest heeft (wat niet strafbaar is) en een paar megabytes wil / kan / zal downloaden.
Simpelweg alles tappen om zo het laagste van het laagste aan te pakken is gewoon niet acceptabel.
Dat biedt in dit geval ook geen soelaas aangezien alles wat over het TOR netwerk gaat gecrypt is. het probleem waar de wetshandhavers mee worstelen is tweeledig: 1) internet kent geen grenzen (en dus geen jurisdictie) en 2) de techniek is vandaag zo ver gevorderd dat de wetshandhavers volledig buiten spel staan. Met Prism proberen ze nog een stok achter de deur te krijgen maar ook dat lijkt in dit soort gevallen niet te werken. 0-day exploits zoals hier gebruikt zijn ook niet de oplossing: ze zijn hartstikke duur, je kunt ze maar één keer gebruiken en op een gegeven moment ben je door je voorraad heen. Bij dit alles komt dat de gemiddelde gebruiker op internet vrij anarchistisch is ingesteld waardoor wetten er vrijwel geen vat op hebben.
Nigel Williams heeft dit eens mooi verwoord: "Als de machthebbers 20 jaar geleden in hadden gezien welke mogelijkheden het internet zou bieden, dan hadden ze het verboden". We moeten zuinig zijn op het internet, het is het laatste vrije medium wat we nog hebben.
Tsja, dat is inherent als je mensen volledige anonimiteit geeft. Dan komt het donkerste in de ziel van mensheid boven drijven. En ja. Van mij mogen ze de hele machine vol blazen met malware als het om een KP gebruiker/kijker gaat.

[Reactie gewijzigd door SubSense op 5 augustus 2013 09:00]

De vraag is alleen of de gebruiker/kijker al schuldig is bevonden, of dat de malware dat nu juist moet uitwijzen. Achteraf is het makkelijk praten. Maar eigenlijk infecteer je een onschuldig persoon in de "hoop" dat je belastend materiaal vind.
Maarja, dan moet dat ook mogen voor andere zaken, want het mag dan niet alleen voor zaken zijn waarvan JIJ vindt dat het moet mogen, maar ook voor zaken waarvan anderen dat vinden..
Van mij mogen ze de hele machine vol blazen met malware als het om een KP gebruiker/kijker gaat.
FreeNet heeft hier een hele mooie gedachte over: als je tegen bepaald materiaal op Freenet bent, bekijk dat dan dan niet. Bij elk bezoek zal de genoemde pagina in jouw cache komen staan en ga jij mee dit materiaal verspreiden. Als niemand het materiaal bekijkt zal de pagina vanzelf uit het netwerk vallen, of slechts afhankelijk blijven van één node of leaf.
Conclusie: er is blijkbaar behoefte aan, dát is het echte probleem (en niet zozeer het aanbod).
Nogal kort door de bocht, want jij en ik kunnen het niet willen zien, maar juist de groep die het wel wil zien en voor wie anonimiteit daardoor belangrijk is (want ze willen niet gepakt worden) zullen het wel bekijken...
Het is ierland die de man heeft gearresteerd (want de zaken waarvan de man verdacht wordt is ook verboden in ierland). Dat de man een dubbel paspoort heeft zal het uitleveren alleen maar makkelijker maken omdat het hier dus ook om een amerikaanse burger gaat..
TOR is veel minder veilig dan mensen denken.

TOR werkt vanuit het principe dat je via een aantal tussen stations uiteindelijk via een zogenaamde "exit node" verbinding maakt met het internet en/of deepnet.
En daar ligt de zwakke schakel, de exit node kan (met wat moeite) je identiteit toch achterhalen zeker als je steeds de zelfde exit node gebruikt.

En een keer raden wie de snelste exit nodes beheerd? Precies de veiligheidsdiensten van een overheid.
Die hebben de capaciteit om een hoge snelheid exit node welke vaak als favoriete / geprefereerde node wordt gezien door veel gebruikers omdat deze snel zijn in vergelijking met de meeste privé gehoste nodes.

Natuurlijk is het nog steeds beduidend veiliger dan een normale verbinding maar pas er mee op, ze hebben een dikke vinger in de pap.
TOR is veel minder veilig dan mensen denken.

TOR werkt vanuit het principe dat je via een aantal tussen stations uiteindelijk via een zogenaamde "exit node" verbinding maakt met het internet en/of deepnet.
Dat geldt alleen bij het gebruik van clearnet via tor. Een tor hidden service (.onion) gaat 100% via tor relay nodes en die communicatie is end-to-end versleuteld.
En ook dan wanneeer je in staat bent om als overheid rel;ay nodes te plaatsen is het mogelijk als man in the middle er tussen te gaan zitten en gewoon te sniffen.

En is end-2-end secure, wie zegt dan niet dat je op een relay dat kunt spoofen. Zolang het netwerk mogelijikheid biedt dat iedereen een exitnode of relay kan plaatsen kan het verkeer gemonitored worden.
Het is een provider, mensen (gebruikers) kunnen daar data hosten, daarbij is de provider niet verantwoordelijk, tenzij ze op de hoogte worden gebracht van onwettige zaken en dienen ze de data ontoegankelijk te maken.

FBI wil graag TOR weg hebben, het KAN zo zijn, dat op deze manier de anonieme email dienst van deze provider de nek omgedraaid wordt, met als motivatie genoemd in artikel.
"In het verleden had Tor javascript altijd standaard uitgeschakeld staan, maar onlangs werd besloten om die optie toch in te schakelen, om de applicatie gebruikersvriendelijker te maken."

Zo valt Tor in het eigen zwaard. Het laten overlappen van beveiliging/privacy en gebruikersgemak is een moeizame taak. Meer van het één geeft vaak minder van het ander.
Een goede tussenoplossing lijkt me om JavaScript wel in te schakelen, maar standaard NoScript mee te leveren. Zo is de gebruiker standaard veilig en kan hij selectief kiezen op welke sites hij wel JavaScript toelaat. Het lijkt me dat iemand die Tor gebruikt over het algemeen wel kundig genoeg is om te weten wat JavaScript is en hoe het werkt. Het verwondert me eigenlijk om te lezen dat ze dat nog niet doen.
Tor is als een veiligheidsgordel. Je draagt die en mogelijk hindert die je, maar op een keer ben je blij dat je het gebruikt hebt bij het verkondigingen van je ongezouten mening op Tweakers.

Vergelijk het met autootje frontaal <-> regimewissel naar dictatuur.

Voorlopig kan je als Westerse democraat ook de vrijmeningsuiting helpen door je netwerk open te stellen als tor exit node.

Dit kan relatief gemakkelijk door bijv een Excito B3 router (made in Europe :Y) te gebruiken, die heeft TOR reeds ingebouwd)

Mensen in politiek rigide landen zoals (NK, VN, CN, VS, IR, IL etc..) kunnen zich dan naar hartelust uitlaten op blog's over interne kwesties zonder dat hun eigen ip direct traceerbaar is (ze gebruiken dat van jou)

En als iemand valt over je KP-surfgedrag, dan zeg je dat het niet jou schuld is maar dat je TOR exit node speelde op dat moment. }>

[Reactie gewijzigd door Vetsmelter op 5 augustus 2013 10:21]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True