De inbraak op Tor van dichtbij
De FBI infiltreerde Tor om de beheerder op te sporen van Freedom Hosting, een bedrijf dat zonder aanziens des persoons materiaal host, of dat nu geheime diplomatieke documenten zijn of kinderpornoplaatjes.
Voor dat laatste type materiaal wilde de Amerikaanse federale politiedienst de beheerder van Freedom Hosting maar wat graag arresteren. Het gebruikte daarvoor geïnjecteerde JavaScript-malware op een specifieke versie van Tor, die is gebundeld met Firefox.
We bekijken van dichtbij hoe de FBI’ers in hun opzet slaagden en vertellen je meteen hoe Tor werkt.
[related_article id=”158578″]
Tor, dat digitaleburgerrechtenorganisaties als EFF aanraden om je ‘anonomiteit te beschermen tijdens het gebruik van internet’, bestaat uit twee delen: software en het Tor-netwerk.
De software was in dit geval de Tor Browser Bundle (TBB), waarvan het voornaamste component een aangepaste versie is van de Mozilla Firefox Extended Support Release (ESR). De bundel is geschikt voor Windows, Mac en Linux.
Het wat en hoe van The Onion Router (Tor)
Het netwerk, dat voluit The Onion Router (Tor) heet, bestaat uit een verzameling internetrouters, beheerd door een wereldwijde groep vrijwilligers die geloven in het recht op online anonimiteit. Deze routers staan ook bekend als relays (of doorgeefpunten):
Bron: Eff. Als je Tor voor het eerst gebruikt, wordt je internetverkeer versleuteld en van de ene naar de andere Tor-relay gestuurd.
Als je Tor begint te gebruiken, zal je internetverkeer niet direct naar de website gaan die je wilt bezoeken. Het wordt in plaats daarvan versleuteld en naar een van deze relays doorgestuurd. Vandaaruit doet je verkeer een aantal Tor-doorgeefpunten aan en verlaat uiteindelijk het netwerk om op het reguliere internet de gewenste website te bezoeken. De opgevraagde informatie zal op de terugweg een soortgelijk pad afleggen.
Bron: Eff: Wanneer je van site verandert, kiest je verkeer een nieuw versleuteld pad door het Tor-netwerk.
Bij het bezoek aan de volgende site wordt hetzelfde proces opgestart. Iedereen die je wil opsporen via het opvragen van je IP-adres raakt je kwijt bij de eerste de beste Tor-relay.
Met encryptie en verschillende anonieme doorgeefpunten is Tor ontworpen om te verhullen waar je naartoe surfte, terwijl het ook onmogelijk wordt om te analyseren wat je nu precies deed tijdens je bezoek.
Verborgen diensten
Sommige Tor-routers dubbelen als servers, die alleen kunnen worden bereikt binnenin Tor. Die servers staan bekend als ‘verborgen diensten.’
Volgens Tor is het met zo’n verborgen dienst “mogelijk voor gebruikers om hun locatie te verbergen terwijl ze allerlei diensten aanbieden, zoals online publiceren of het draaien van een server voor instant messaging.
“Via het gebruik van ‘ontmoetingsplaatsten’ op Tor kunnen andere gebruikers contact maken met deze diensten, zonder dat men elkaars identiteit komt te weten.”
“Deze verborgen servicefunctionaliteit laat Tor-gebruikers bijvoorbeeld een website opzetten waar mensen materiaal publiceren zonder zich zorgen te hoeven maken over censuur. Niemand zou in staat zijn om te bepalen wie de site aanbiedt, en de aanbieder van de site kan niet zien wie er op publiceert”, aldus de beschrijving van de makers.
Zo werkte het in theorie, althans. De praktijk wees anders uit.
Tor beweert dat ‘er geen centraal bestand of register is voor adressen’ van deze verborgen serviceknooppunten. “Het ontwerp van het Tor-netwerk verzekert dat een gebruiker niet kan weten waar de server zich bevindt en de server kan niet achter het IP-adres van de gebruiker komen, behalve door doelbewuste kwaadaardige middelen, zoals verborgen trackingcode, ingebed bij de webpagina’s die worden afgeleverd door de server.”
De inbraak
De FBI, mogelijk met hulp van de NSA en de in security gespecialiseerde onderaannemer SAIC, brak in bij verschillende servers voor verborgen diensten en plantte de JavaScript-malware. Het deed dit onder meer bij de Freedom Hosting-server van Marques. Eenmaal ter plaatse werden alle gebruikers besmet die de servers bezochten via de eerder genoemde Tor Browser Bundle.
Deze exploit gebruikte een bekende en gepatchte kwetsbaarheid in Firefox. Mozilla had het lek gerepareerd in de nieuwste versie van zijn browser (Firefox 21) en Firefox ESR 17.0.7. Niet alle versies van de TBB-uitvoering waren echter gepatcht, zegt hoofd beveiliging bij Mozilla Daniel Veditz.
De malware lijkt enkele weken lang zijn gang hebben kunnen gaan. De exploit had kunnen worden ingezet voor alles en nog wat, inclusief het overnemen van een besmet systeem.
In plaats daarvan hield het zich uitsluitend bezig met het “verzamelen van de hostnaam en media access control (MAC)-adressen van de computer van het slachtoffer en stuurde die naar een verafgelegen webserver over een verbinding buiten Tor. Vervolgens liet de malware zichzelf crashen of verliet het netwerk."
De malware richtte zich specifiek op TBB-gebruikers met een Windows-pc. Roger Dingledine, maker van Tor en tevens projectleider, concludeert daarom dat “het redelijkerwijs is aan te nemen dat de aanvaller een lijst heeft van kwetsbare (Windows-) gebruikers van Tor die deze verborgen diensten hebben bezocht.”
NSA betrokken
De namen van NSA en SAIC doken op toen Baneki Privacy Labs, een actiegroep met techachtergrond en Cryptocloud, een netwerkbeveiligingsspecialist, beweerden dat de JavaScript-exploit zijn buit afleverde bij een IP-adres dat SAIC in opdracht van de NSA beheert.
Omdat de missie van de NSA ‘het volgen van buitenlandse communicatie’ is en Freedom Hosting zich in Ierland bevindt, is het niet meer dan logisch om te concluderen dat de spionnendienst een rol heeft gespeeld.
Voor wie Tor gebruikt: de volgende versies van Tor Browser Bundle bevatten de gepatchte browser: 2.3.25-10, 2.4.15-alpha-1; 2.4.15-beta-1 and 3.0alpha2. Deze gebruikers kunnen bepalen welke versie hun browser heeft door naar Help en Over Firefox te gaan in het optiemenu.
Conclusie
Na dit verhaal is het de vraag of iemand Tor nog zal vertrouwen voor ‘anoniem’ surfen. Als je de Windows-versie van TBB hebt gebruikt en een ‘verborgen dienst’ hebt bezocht, is de kans groot dat je gegevens nu in handen zijn van de FBI. Dat betekent dat het niet lang hoeft te duren voor de Amerikaanse overheidsdienst ook je echte adres in handen heeft.
De inbraak bij Tor stelt ons voor een klassiek dilemma in de privacydiscussie. Enerzijds staat een groep verspreiders van kinderporno een gevangenisstraf te wachten. Anderzijds zijn mensen die de verborgen diensten voor legitieme doeleinden gebruikte (zoals het bijhouden van de schending van mensenrechten in Syrië) ontmaskerd.
Wat de gevolgen zullen zijn van deze affaire is nog onduidelijk, maar een ding is zeker: de reputatie van Tor, de vaandeldrager voor onbespied surfen, is besmeurd.