Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties
Submitter: player-x

Twee beveiligingsonderzoekers die het anonimiseringsnetwerk Tor bestudeerden hebben ontdekt dat een aantal exitnodes in Rusland verkeer aftapten. Zij zouden met name geïnteresseerd zijn in het volgen van verkeer van en naar Facebook.

Het onderzoek naar exitnodes is verricht door Philipp Winter en Stefan Lindskog van de Karlstad Universiteit uit Zweden. Exitnodes, momenteel circa duizend stuks, dienen als eindpunt van het versleutelde en geanonimiseerde verkeer in het Tor-netwerk en het open onversleutelde internet, en kunnen onversleuteld dataverkeer inzien. Deze exitnodes worden onderhouden door vrijwilligers, maar er zijn verdenkingen dat onder andere geheime diensten ook exitnodes hebben opgezet.

Volgens de Zweedse onderzoekers hebben zij aanwijzingen dat er minimaal 25 exitnodeservers zijn waarmee is gerommeld. Twee stuks zouden verkeer naar pornosites redirecten, mogelijk vanwege wetgeving in dat betreffende land, terwijl een derde server niet goed was geconfigureerd in de OpenDNS-server. De overige onderzochte exitnodes waren echter interessanter omdat hier man-in-the-middle-aanvallen worden uitgevoerd om zo ssl-versleuteld dataverkeer te kunnen onderscheppen. Daarbij werd door de betreffende exitnodes ook met certificaten gerommeld.

Bij nader onderzoek bleken de 22 servers verouderde versies van Tor te draaien en waren al deze machines als virtuele servers in Rusland te vinden, allemaal met hetzelfde vervalste certificaat. Ook zouden een aantal van deze malafide exitnodes zich specifiek hebben gericht op het aftappen van dataverkeer van en naar Facebook. Mogelijk zijn de machines in handen van de Russische geheime dienst, al sluiten de onderzoekers ook niet uit dat een groep hackers experimenteert met Tor.

De onderzoekers leggen nogmaals bloot dat het anonimiseringsnetwerk Tor, dat na de onthullingen van Snowden in populariteit groeide, allesbehalve waterdicht is. Met name de exitnodes, die op vrijwillige basis en veelal anoniem worden opgericht, blijken niet altijd betrouwbaar. De ontwikkelaars van Tor stellen dan ook dat surfers altijd extra maatregelen moeten treffen.

Tor-netwerk

Moderatie-faq Wijzig weergave

Reacties (32)

Mogen we van de heren onderzoekers eerst even een definitie van "malafide exit nodes"? Dat een aantal exit nodes in de ogen van deze onderzoekers mankementen heeft maakt ze naar mijn mening nog niet malafide, lees met opzet geconfigureerd om tegen de gebruiker van de exit node te woden gebruikt. Dat de configuraties de privacy -kan- ondermijnen is voor mij wat anders dan dat ze werkelijk malafide zijn. Zelfs met de SSL-strippers en valse certificaten loop je als eindgebruiker niet meer risico dan wanneer je van een andere publieke proxy diensten gebruik maakt of direct op het internet surft. Valse certificaten accepteren of gevoelige gegevens onversleuteld versturen, een beetje browser geeft je een waarschuwing, naast dat je als gebruiker op moet letten. Tot op heden hebben de onderzoekers niet aangetoond dat het zo professioneel in elkaar kan zitten dat het voor de eindgebruiker een onveilig situatie onherkenbaarder is dan gewoonlijk.

[aanvulling]
Ik plaats het hier maar even voor nog meer Tweakers net het 'verkeerd' opvatten: mag je van een academisch onderzoek niet op zijn minst verwachten dat de onderzoekers niet klakkeloos aannames doen? Het gaat heel ver om bij het zien van bepaalde situatie zonder onderbouwing een conclusie te trekken.
Onderzoeker neemt waar dat de dienstverlener ongevraagd informatie aan de opgevraagde content heeft toegevoegd. Is dat dan een aanval, of is het ongewenst gedrag. Zie mijn voorbeeld van de toegevoegde boekenlegger.
Onderzoeker neemt waar dat de dienstverlener verkeer onversleuteld maakt, is er dan bewijs dat het met opzet is en de dienstverlener er misbruik van maakt? Dus een aanval?
Onderzoeker neemt waar dat...
Voor je mn mening afwaardeerd, sta eerst svp even stil bij waar je mee instemt als waarheid, een goed conclusie of een goed onderzoek. Het is zo lekker makkelijk om niet na te denken en klakkeloos resultaten aan te nemen.

[Reactie gewijzigd door kodak op 22 januari 2014 20:07]

Man-in-the-Middle attack en HTML injection lijken me toch duidelijk malafide exit nodes. Daar heb je echt geen nadere definiëring voor nodig. Sowieso is dat natuurlijk door T.net vertaald ;). Nog wat interessante info op de website met het onderzoek.
These exit relays engaged in various attacks such as SSH and HTTPS MitM, HTML injection, and SSL stripping. We also found exit relays which were unintentionally interfering with network traffic because they were subject to DNS censorship.
We should explain what our findings actually mean for Tor users. While the list below might appear scary, it is important to understand that these are merely 25 out of more than 1,000 relays over four months! In fact, the exact amount of benign relays during that time remains an open question as we didn't determine the churn rate. Either way, it is a very small fraction which means that Tor users are not likely to encounter many such relays “in the wild”. Furthermore, Tor's path selection algorithm prefers faster relays over slower ones. Many of the relays listed below contributed little bandwidth which makes them even less likely to be chosen as exit relay. And even if you, as a user, happen to select a malicious exit relay, it doesn't mean that everything is lost. TorBrowser ships with extensions such as HTTPS-Everywhere which are able to foil some HTTPS-based attacks. Finally, all of the attacks we found are of course not limited to the Tor network. You might very well be more exposed to these attacks on any public WiFi.
bron: http://www.cs.kau.se/philwint/spoiled_onions/
Edit: De oplossing volgens onderzoekers waar T.net niets over zegt. Staat op de website onder het kopje 'Code'.:
To make the Tor network safer, we first developed exitmap; an easily extensible scanner which is able to probe exit relays for a variety of MitM attacks. Furthermore, we developed a set of patches for the Tor Browser Bundle which is capable of fetching self-signed X.509 certificates over different network paths to evaluate their trustworthiness. We believe that by being armed with these two tools, the security of the Tor network can be greatly increased. Finally, all our source code is freely available: http://www.cs.kau.se/philwint/spoiled_onions.
bron: http://www.cs.kau.se/philwint/spoiled_onions/techreport.pdf

[Reactie gewijzigd door ChicaneBT op 22 januari 2014 19:30]

De onderzoekers hebben een berg bevindingen bij elkaar geschraapt en noemen het malafide. Dat we mogelijkheid tot MitM en toepassing van injectie van reclame een aanval kunnen vinden is helder, maar veel andere kriteria om een exit node malafide te bestempelen zijn nmm niet goed onderbouwd met criteria. En dat verwacht ik op zn minst van academici, eerst heel duidelijk begrenzen hoe je ergens naar kijkt en waarom voor je een conclussie gaat trekken.

[Reactie gewijzigd door kodak op 22 januari 2014 19:29]

Wat je op de site leest is natuurlijk een samenvatting zodat het voor iedereen lekker leest. Wil je het wetenschappelijke stuk lezen dan moet je enkel even rondkijken op de gelinkte website. Dat betekent dan ook verder kijken dan dit nieuwsbericht voordat je commentaar gaat leveren. Hier vind je de research paper met alle onderbouwing: http://www.cs.kau.se/philwint/spoiled_onions/techreport.pdf
Maak je niet ongerust, die paper heb ik gelezen. Maar ik vind het niet kunnen dat academici bepaalde zaken als aanval aanmerken zonder dat ze bewijs leveren dat het een aanval is. Een aanval is voor mij een opzet om moedwillig slachtoffers te benadelen en er zelf beter van te worden.

Begrijp met niet verkeerd, het gaat me vooral om het niet onderbouwen - dat je het als onveilig of op zijn minst zeer ongewenst kan zien hoe de exit-nodes van derden werken is voor mij duidelijk. Maar het gaat me om de manier waarop het onderzoek is uitgevoerd en hoe conclusies zijn getrokken. Waarom men graag een waarneming een aanval noemt ipv een objctievere benaming te gebruiken.

Als onderdeel van dienstverlening (ongevraagd) informatie toevoegen noem ik geen aanval. Mijn boekverkoper stopt ook wel ongevraagd een boekenlegger bedrukt met reclame in mijn boeken. Ik heb met hem daarover geen afspraak gemaakt, dus dan kan je het verwachten. Is het toevoegen van informatie (reclame/verwijzing naar een wellicht expliciete afbeelding) in een HTML-content bij gebruik van een proxy-dienst dan een aanval?!

MitM: de onderzoekers tonen niet aan dat het met opzet is geconfigureerd. Ze zien dat verkeer niet meer is versleuteld. Ja zo werken wel meer publieke proxies. Toont het opzet aan? Toont het misbruik aan? Nee. Dan is het voor mij nog geen aanval, maar wel onveilig te noemen.

Bij bepaalde exit nodes krijg je te maken met valse certificaten. Tenminste, certificaten die niet van de bezochte www services zijn. Maar de valse certificaten waren zodanig amateuristisch gemanipuleerd dat browsers onmiddelijk aangeven dat je als gebruiker wel heel naief moet zijn om dan toch van de www service gebruik te maken. is dat dan een aanval te noemen, als je zo omzichtig te werk gaat. Valt er uit op te maken dat het met opzet tegen de gebruiker is geconfigureerd? Nope.

Wat mij betreft zijn de onderzoekers te ver doorgeslagen in hun aannamens en conclusies. De enige juiste conclusie is dat je voorzichtig moet zijn met welke service je vertrouwd. Maar dat is niet anders dan bij het gebruik van welke service dan ook.
Wellicht hebben we het hier niet over hetzelfde rapport. Jij gelooft dat de gemerkte data in tabel 1 allemaal op toeval berusten?

De onderzoekers kunnen de aanvaller niet traceren maar maken het naar mijn idee bijzonder aannemelijk dat er kwade opzet in het spel is en dat er pogingen zijn gedaan om de aanval te verbergen.
Mensen zijn bijzonder goed in het doen van aannames, maar dat is vaak emotioneel gedreven. De een doet het op basis van willekeurige aantallen/verhoudingen, de ander vind landlocaties al voldoende als druppel voor een aannemelijkheid etc. Maar als je iemand beschuldigd, heb je dan geen behoorlijk bewijs nodig en waarom is zo'n aanname dat dan?

Ik ben daarom bijzonder geinteresseerd in je conclusie dat er pogingen zijn gedaan om zogenaamde aanvallen te verbergen.
Wat mij betreft zijn de onderzoekers te ver doorgeslagen in hun aannamens en conclusies. De enige juiste conclusie is dat je voorzichtig moet zijn met welke service je vertrouwd. Maar dat is niet anders dan bij het gebruik van welke service dan ook.
Heb niet het hele rapport gelezen, maar de comments en het T.net artikel geven me het idee dat de onderzoekers aanwijzingen hebben gevonden dat er opzettelijk exit-nodes zijn opgezet door derden om het verkeer te kunnen onderscheppen met wat voor doel dan ook. Vervolgens presenteren ze een paar tools die mogelijke aanvallen (die dus kunnen voorkomen, maar dat nog niet per se hebben plaatsgevonden) moeilijker te maken.

Zie niet helemaal wat het probleem is dus, wat maakt het uit dat ze malafide genoemd worden? Dat ze malafide zouden kunnen zijn is al genoeg om het onderzoek serieus te nemen. Ik zie ook niet wie erop achteruit gaat door het malafide te noemen.
Bij bepaalde exit nodes krijg je te maken met valse certificaten. Tenminste, certificaten die niet van de bezochte www services zijn. Maar de valse certificaten waren zodanig amateuristisch gemanipuleerd dat browsers onmiddelijk aangeven dat je als gebruiker wel heel naief moet zijn om dan toch van de www service gebruik te maken. is dat dan een aanval te noemen, als je zo omzichtig te werk gaat. Valt er uit op te maken dat het met opzet tegen de gebruiker is geconfigureerd? Nope.
1) Vervalste certificaten gebruiken is niet iets wat per ongeluk gebeurt, dat is niet een exit node admin die ergens een verkeerd vinkje heeft gezet.

2) Dat het amateuristisch is wil nog niet zeggen dat er geen kwade opzet achter zit.

3) Je zit nu wel te klagen dat die Zweedse onderzoekers het woord "aanval" niet hadden mogen gebruiken, maar laten we het omdraaien: leg eens uit wat voor jou wel een geldige maatstaf is om dat woord eraan te hangen? Een door de admin ondertekende bekentenis? Sorry als het flauw klinkt, maar als je gerotzooi met certificaten (op een netwerk wat juist bedoeld is voor mensen voor wie privacy, en in het verlengde daarvan, een veilige verbinding, belangrijk is!) al niet genoeg onderbouwing vindt, wat dan wel...?
Net zoals academici dan mogen verwachten dat men hun hele paper leest alvorens inhoudelijk te reageren.
Je doet hier waarschijnlijk een poging om te insinueren dat ik die paper niet gelezen heb, mocht dat zo zijn - je hebt ongelijk. Ik mis bij zowel de academici van de paper als enkel tweakers hier een goede onderbouwing, mis stellen van kaders en merk als gevolg daarvan te snel trekken van conclusies op. Maar dat niveau is kennelijk voor velen voldoende om te roepen of een mening te hebben over wat een aanval is, wat veilig is of wat voor conclusies je over de wereld om je heen zou moeten hebben of klakkeloos kan aannemen. En dat terwijl it beveiliging eigenlijk iets is wat we beter wat serieuzer zouden moeten nemen dan domweg ja te knikken en resultaten over veiligheid klakkeloos te accepteren.

[Reactie gewijzigd door kodak op 22 januari 2014 19:53]

Grappig hoe Tweakers hier dan een compleet andere conclusie uit trekt en het er over heeft dat het "allesbehalve waterdicht" is. In feite zou de conclusie dus eigenlijk moeten zijn dat het grotendeels veilig is, echter dat het wel raadzaam is om maatregelen te nemen, omdat er altijd risico's blijven bestaan.
Tja een systeem om anoniem te browsen wat je verkeer onderschept en mogelijk zelfs manipuleert is nou niet echt geslaagd te noemen :+ dus alles behalve waterdicht is zeker wel een term die goed beschrijft wat dit voor Tor betekent, wat vanaf het begin dus al alles behalve waterdicht was vanwege de opzet met end-nodes...
"De overige onderzochte exitnodes waren echter interessanter omdat hier man-in-the-middle-aanvallen worden uitgevoerd om zo ssl-versleuteld dataverkeer te kunnen onderscheppen. Daarbij werd door de betreffende exitnodes ook met certificaten gerommeld."

lijkt mij redelijk duidelijk...
Er staat nergens bewijs dat de aangepaste of afwezige configuratie misbruikt worden. Met andere woorden: een proxy maakt van versleuteld verkeer onversleuteld verkeer en vice versa of geeft een vals certificaat. Meer bewijs op dat gebied hebben ze niet. Waaruit blijkt dan dat het met opzet is tegen de gebruiker???
Er staat nergens bewijs dat de aangepaste of afwezige configuratie misbruikt worden.
Kom op zeg, als het kan, gebeurt het in de meeste gevallen ook.
Een beetje realistisch wereldbeeld mag wel hoor. Vertrouwen op de goedheid van de mens resulteert over het algemeen in het beter worden van anderen over jouw rug.
Hetgeen de onderzoekers gevonden hebben duid wel degelijk dat bepaalde beheerders van exitnodes er een dubbele agenda op nahouden.
Wat is dat toch de laatste tijd met het aanpassen van je post? Als je wil reageren doe dat dan maar gebruik hier niet de edit functie voor! Zo verloopt de discussie alleen maar rommelig, dit voegt voor niemand iets toe.
Ligt aan de jouw definitie om TOR te willen gebruiken en wat jouw eisen daarbij zijn.

Ik heb nooit begrepen waarom iemand überhaupt TOR zou willen gebruiken, zelfs als je geen enkele technische kennis hebt weet je je dat de kans dat je data onderschept zal worden vele malen groter is dan als je een open proxy gebruikt (of meerdere....).

Aan de andere kant ik begrijp ook niet waarom mensen twitter en facebook gebruiken. Nee, heb geen accounts, mag ik derhalve er geen mening over hebben ?
Twitter is handig als je bedrijven/games of meuk volgt, gezien men hier vaker informatie neerkwakt dan op hun eigen website/blog oid. En je hebt een centrale plek waar een heleboel mensen informatie neerkwakken. Ik post er zelf niets, heb wel een account en volg o.a. tweakers, mojang en nog een aantal.

Facebook omdat het makkelijker is in contact te blijven met mensen dan het jaarlijkse kerst en verjaardags kaartje :P

[Reactie gewijzigd door batjes op 23 januari 2014 14:18]

De bedrijven die ik beroepsmatig nodig heb mailen me hun nieuws/aanbiedingen en zelfs dat is in 9 van de 10 gevallen te vaak. (security notificaties zijn enige handige)

En in contact blijven doe ik toch echt persoonlijk. Mensen die ik fysiek niet periodiek kan zien spreek ik regelmatig via skype, of chat via skype/whatsapp.

Ik zie niet in waarom ik online een database moet bijhouden van mensen die ik ken en voor hen een soort privé wijk krantje moet bijhouden met foto's waarop ik min of meer verplicht bent mijn recente belevenissen te delen. Mensen die mij echt kennen en vice versa, weten dat namelijk al.

Het vreemd vind ik de term "facebook vrienden" terwijl we vroeger de term "vage kennissen" gebruikten. Een vriend hoeft je niet te vragen hoe het met je gaat die ziet/hoort het aan je.
beroepsmatig zul je inderdaad weinig hebben aan twitter tenzij je in de marketing werkt. Maar privé kan het zeker wel handig zijn. Servertje down ergens, er is vrijwel altijd eerder een bericht op twitter dan ergens anders.

Je hoeft op facebook geen hol te delen, ik zet er ook niets op, maak amper wall posts, like af en toe iets van familie die ik weinig spreek/zie (wonen nogal ver weg, en internationaal bellen is schandalig duur, niet iedereen heeft skype... en om nou 20 verschillende clients van chat/voice diensten te draaien, nee dank u :P)

Voor mij is facebook een soort MSN. Voor de gemakzucht en om beetje bij te blijven met familie/vrienden. Die wekelijkse mailbomb van mijn familie vroeger werd ik ook niet erg blij van :P

Ik zie zelf ook weinig in die (anti)social media meuk. Maar zie er wel een aantal voordelen in en zo ver het voor mij nut heeft, gebruik ik het. Vooral dat het wat meer gecentraliseerd is ben ik blij mee. Paar jaar geleden had ik MSN, YIM, ICQ, Skype, IRC en dergelijke draaien om een beetje in contact te blijven met een hoop verschillende mensen.. Nu heb ik alleen IRC nog draaien en Skype (via metro/modern) lekker in de achtergrond. En hoef ik alleen op facebook te kijken als mijn mobiel er een notificatie van geeft :)
Even voor de duidelijkheid: dit geldt enkel voor 'clear net' websites, niet voor de hidden services (sites die eindigen op .onion).
Wat geldt enkel voor de 'clear net' websites?
De exit nodes worden alleen gebruikt als je naar het 'gewone' internet surft. Binnen het Tor netwerk worden alleen relays gebruikt, dus dat verkeer wordt niet onderschept.
Met andere woorden, het bestuderen van gedrag van exit nodes zegt niets over veilig/onveilig zijn van gebruik van hidden services. Echter, hidden services hebben wel degelijk een terminating node (rendevous node). De vraag is alleen of je je daarover uberhaupt net zo druk moet wat betreft de ontdekte werking als bij de exit nodes. Het punt bij de exit nodes is dat je die uit gezond verstand niet hoort te vertrouwen wat betreft doorgeven van de gevraagde communicatie (integriteit exit node) - terwijl je bij het gebruik van de hidden services vooral gaat om het vertouwen dat de beheerder van de hidden service heeft in de bedoelingen van de gebruiker.
Rendevous points zijn geen terminating nodes, er zitten verschillende hops tussen de hidden service, rendevous point en de client. De data die hierover gaat heeft meerdere lagen encryptie (onion) en kan niet makkelijk worden gemanipuleerd or afgeluisterd.

https://www.torproject.org/docs/hidden-services.html.en

Rendevous points zijn meer bruggen om twee Tor circuits aan elkaar te koppelen.

[Reactie gewijzigd door Blackspot op 22 januari 2014 21:16]

Vertrouw jij die relays dan ? Of je eigen tor client?
Die relays kunnen het verkeer niet gewoon lezen, want het is encrypted.
Mijn eigen Tor client vertrouw ik wel ja. Maar dat is buiten de kwestie.
Wat ik me afvraag;

Op hoeveel exit nodes zou wireshark stiekem al het verkeer opslaan?
Dat is een praktijk die al sinds jaar en dag aan de gang is; ook al meerdere nieuws items over geweest.
als men in facebook verkeer geinteresseerd lijkt, dan zou het wellicht kunnen gaan om de identiteit van TOR gebruikers in kaart te brengen.
Ook zouden een aantal van deze malafide exitnodes zich specifiek hebben gericht op het aftappen van dataverkeer van en naar Facebook.
Waarom ga je via tor naar facebook ;)
dan is de anonieme factor al verdwenen ... lijkt mij
Niet iedereen kan bij facebook/wiki/whatever komen op de normale manier. Er zijn helaas landen waar internet niet vrij toegankelijk is om te gebruiken en waar veel sites geblokkeerd zijn.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True