Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties
Submitter: Yssworks

Een student heeft een website ontdekt waarop een vervalste Tor-browser wordt aangeboden. Met de malware kunnen onder andere heimelijk screenshots worden gemaakt. De vermoedelijke makers claimen met de vervalste software pedofielen te willen opsporen.

Op een vervalste website, die sterk lijkt op de officiële site van het Tor Project, werd een Windows-executable aangeboden waarin een vervalste Tor-browserbundel was opgenomen. Op het moment van schrijven is de executable niet meer te downloaden. De vervalste browser lijkt als twee druppels water op de officiële Tor-browser en stelt de gebruiker in staat om 'anoniem' op het Tor-netwerk te surfen, maar de malware bevat ook diverse methoden om de gebruiker te bespioneren, ontdekte informaticastudent Julien Voisin.

De malware is onder andere in staat om bestanden te up- en downloaden, screenshots te maken, systeemcommando's uit te voeren en nieuwe netwerkverbindingen te leggen. De makers hebben de valse Tor-browser ook een updatemechanisme meegegeven. Daarvoor wordt gecommuniceerd met een Tor-server.

Voisin slaagde er naar eigen zeggen in om contact te leggen met de makers van de malware, die wellicht vanuit China opereren. Zij claimen de software en de website te gebruiken om pedofielen te traceren die op het Tor-netwerk actief zijn. Ze zouden de links plaatsen op fora waar pedofielen vertoeven. Voisin hecht echter weinig waarde aan deze claim, mede omdat de link naar het bitcoinadres bij de donatieoptie op de vervalste site is veranderd.

Moderatie-faq Wijzig weergave

Reacties (31)

Zo vang je geen internet misbruikers. Een exitnode kan alles zien wat je er via mee doet, zo kan je dit soort mensen opsporen en hun surfgedrag registreren zonder dat je met eigen trojans hoeft te werken.

De pedo kaart trekken is tegenwoordig te vaak gedaan en heeft zijn effect verloren, is ook niet geloofwaardig, zeker niet vanuit China.

[Reactie gewijzigd door 610862 op 14 augustus 2014 15:54]

Complete onzin. Exitnodes kunnen niets zien van verkeer via .onion sites. Juist daar zijn natuurlijk de meest onfrisse dingen te vinden.
Nou nou nou, "complete onzin" zelfs! Je hoeft me niet te geloven uiteraard. Als jij het niet kan zien, wil dat niet zeggen dat niemand dat kan.
Als je gaat roeptoeteren dat "er vast wel iemand is die de beveiliging/encryptie kan omzeilen" (wat toch wel de implicatie in je post lijkt te zijn), dan heeft het ook geen zin meer om specifiek over exit nodes te gaan praten. Vanuit een beveiligingstechnisch oogpunt kunnen exit nodes niets meelezen van hidden-service-traffic; dat is nu juist het punt.
Jullie praten langs elkaar heen. Jij hebt het duidelijk over hidden services (servers/websites die zich binnen het onion netwerk bevinden (adressen eindigen op .onion) en waarvan verkeer dus niet over een exit node gaat), terwijl HardcoreHacker het heeft over verkeer tussen een Tor browser en een 'clearnet' site (site op het 'gewone' web). Inderdaad zou ik niet weten hoe een node kan zien wat er precies tussen een Tor browser en een hidden service gebeurt, aangezien het verkeer dat over de node gaat encrypted is. Maar goed, een NSA zal vast wel een methode hebben, een zero-day exploit of zo.

[Reactie gewijzigd door Bonez0r op 15 augustus 2014 18:30]

Exitnodes zien alleen verkeer wat weer het open net op gaat. Al het verkeer wat naar onion sites gaat, blijft binnen het netwerk en pingpongt een paar keer tussen relay nodes. Die nodes zien niets omdat het interne verkeer versleuteld is.

Dit soort darknets is een probleem voor opsporingsdiensten omdat opsporing erg moeilijk is. Dat wil niet zeggen dat het onmogelijk is, maar men moet het hebben van bijzaken. Dit kan zijn het volgen van de money trail, de goods trail, het hacken van de server zodat je het werkelijke IP adres krijgt etc.

Kortom, allemaal speldeprikjes om bang te maken. Men stapt even over het feit heen dat een deel van onze nieuwsvoorziening vanuit gecontroleerde gebieden via ToR komt. Het enige waar men aan denkt is de terrorist (wisten jullie dat Bin Laden niet eens een teleefoon had) en de plaatjeskijkende pedo. Het resultaat van al die inbreuken op ieders privacy levert tot nu toe heel weinig resultaat op.
De link in dit artikel is naar een blog van iemand die deze malware gedisassembled heeft en daarmee een aantal dingen aan de weet is gekomen over deze malware. Wat ik bijzonder vind: het is geschreven in .NET en (ben geen expert op dit gebied) wat ik kan vinden is .NET relatief eenvoudig in leesbare code te disassemblen. Voor C++ is dit veel moeilijker. Waarom dan toch in .NET je malware schrijven? Ik kan me voorstellen dat dat misschien gedaan is omdat de oorspronkelijke TOR code ook in .NET was, maar dan nog...
.Net is goed genoeg. Iedereen die de technische capaciteiten heeft om .Net te disassemblen is per definitie al geen doel van dit soort malware. Tor draaien buiten een sandbox? Tsk.
Ik snap dat die persoon niet de target is, maar er hoeft er maar ťťn te zijn die het ontleed en die kan een fix uitbrengen om de malware onklaar te maken. Daarbij: ik weet niet of je de blog gelezen hebt, maar hij heeft dus actief contact weten te krijgen met de makers van de malware, door contact op te nemen met dezelfde server als waarmee de malware contact zoekt. Ik kan me toch niet voorstellen dat een dergelijke traceerbaarheid gewenst is voor een maker van malware...

Daarbij, wat ik begrijp is .NET te disassemblen tot behoorlijk leesbare source code (in C# volgens mij). Zie bijv. https://www.youtube.com/watch?v=tjfr6oHiXgA
Tuurlijk, je oma zal het niet kunnen, maar iedereen met verstand van programmeren wel. Het is niet zo ondoorzichtig als assembly code moeten lezen, wat het geval is bij disassembled C++ code.
"Their server is a stack of outdated crap, proudly powered by cPanel, feel free to root them for more details."

Prachtig artikel om te lezen :)
(link naar de blog in dit tweakers artikel)
Mooie reden, pedofielen opsporen, stiekem stelen ze ook andere persoonlijke gegevens en verkopen het door!
Pedofielen aangeven zullen ze nooit gebeuren aangezien ze zelf strafbaar bezig zijn. Ik denk eerder aan afpersing. Verder zullen ze ook wel bitcoins willen jatten, want veel mensen die op Tor zitten hebben ook bitcoins.
Mochten we alle kennis die voor dergelijke wanpraktijken gebruikt worden bundelen en deze spenderen aan goede, verantwoorde research... het zou wat geven ! :)

Maar goed, we don't live in a perfect world... Just look at the news these days... :(
En daar gaat het hele idee van TOR.
Dat is natuurlijk ook wel weer een geinig aspect van open source software: voor kwaadwillenden is het heel makkelijk om er rommel in te verwerken. Als je eerst een hele browser moet schrijven omdat er alleen maar closed source sw is, is dat ook niet leuk meer.
is er te ontdekken als je een valse tor hebt op een makkelijke manier?
Als je de Tor browser van de officiŽle site hebt dan zit je veilig.
ik dacht eigenlijk gelijk: NSA praktijken!
NSA is veel professioneler dan dit (meestal). Maar wie zou dit dan doen? Misschien toch wel de NSA, niet zozeer om Tor-gebruikers te vinden, maar Tor-gebruikers de indruk te geven dat er soms wel eens iets flink mis is met hun netwerk? Als dat zo is, dan helpt Tweakers lekker me ;)
Je kunt de mogelijkheid toch niet ontkennen?
Heb je de code bekeken? Met zulke dingen houdt de NSA zich niet bezig. Een zielig .Net droppertje waarvan je het password in no-time in handen hebt enzo. De NSA geeft wel geld uit aan personen die er iets van kennen.

Btw, ik snap niet waarom de auteur ervan uitgaat dat deze persoon/personen uit China komen. Niets in de malware wijst daarop?
We beschikken niet over de gehele conversatie en je mag bijna wel aannemen dat er een reden is dat er rekening mee gehouden word dat de groepering/ of persoon vandaan komt.
De auteur houd in ieder geval een slag om de arm.
Ik en de meesten zoals ik weten niet waar zij zich mee bezighouden. Ik ga ervan uit dat niet elke Tor gebruiker de code erop gaat nakijken.
Met zulke dingen houdt de NSA zich niet bezig. Een zielig .Net droppertje waarvan je het password in no-time in handen hebt enzo. De NSA geeft wel geld uit aan personen die er iets van kennen.
De NSA is echt niet immuun tegenover de gebruikelijke office politics die ervoor zorgen dat incompetente medewerkers bij een project betrokken raken. Dat zou toch wel duidelijk moeten zijn uit o.a. het intern misbruiken van NSA-data voor persoonlijke doeleinden.
je bedoelde dan toch zeker de chinese geheime dienst....
Gewoon Chinese criminelen die wachtwoorden, bitcoins en persoonsgegevens willen stelen voor eigen gewin. Pedofielen traceren is gewoon een smoesje om het goed te praten nu ze ontdekt zijn.

Enfin, wanneer je software download (geeft niet welke) van verdachte sites ipv de officiŽle vraag je er zelf om natuurlijk.
Maar hoe weet een gemiddelde gebruiker wat de officiŽle site is?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True