[Netzwelt] Tor-Netzwerk nachweislich kompromittiert

Am 4. August 2013 gingen erste Meldungen über eine potentielle Schwachstelle im Tor-Service ein. Offenbar gelang es dem Federal Bureau of Investigation (FBI) Teile der Hidden-Server mit Schadcode zu infiltrieren. Dieses Programm besitzt die Fähigkeit, mit Hilfen einer "Execution of unmapped memory through onreadystatechange event" in JavaScript, weitere Programmteile zu landen und damit ungeschützte Nutzer am Tor-Netzwerk vorbei zu identifizieren. Die als "Magneto" bezeichnete Malware protokollierte das gesamte Surfverhalten des Users und übermittelte die gewonnennen Daten an einen Server des Unternehmens "Science Applications International Corporation". Betroffen sind alle Versionen des Firefox bis Release 17.0.6. ESR. oder 21. Eine vorläufig bereinigte Version 17.0.7 steht bereits seit dem 5. August 2013 bereit. Wie die Tor-Entwickler erklären, eigne sich die Lücke prinzipiell auch dazu, den gesamten Computer des Users komplett zu übernehmen. Vorerst scheinen nur Windows davon direkt betroffen zu sein.

http://www.zeit.de/digital/internet/2013-08/tor-hidden-services-malware-fbi

 

[TBow]

Offenbar gelang es dem Federal Bureau of Investigation (FBI) Teile der Hidden-Server mit Schadcode zu infiltrieren

DAS lasse man sich auf der Zunge zergehen.

Wenn ich mich recht entsinne, dann wurde Freedom Hosting Opfer dieser Attacke, die einen grossen Teil der Onion Server betreut hat. Der Betreiber wurde ebenfalls verhaftet, da man ihn als Serververmieter der Verbreitung von Kinderpornografie bezichtigt.

Edit: Info steht auch im obig verlinkten Artikel.

 

[Darkcloud]

Öh durch Javascript ging das? Damit kommt man doch so oder so am Tor einfach vorbei wenn man es denn möchte.

 

[KidZler]

Nix neues .... Javas halt .

Nur würde ich mir da eher nen Kopf machen das sie es über den Trafic rausbekommen ... Cover Traffic ......

 

[Mr.Underc0ver]

Übel. Ich habe Freedom Hosting schon länger verfolgt und nie gut geheißen, weil es sogut wie keine Alternativen gab. Es war logisch, das früher oder später das so passieren wird, wenn sie dich wirklich kriegen wollen, dann bekommen sie dich auch!

 

[Kugelfisch]

Öh durch Javascript ging das? Damit kommt man doch so oder so am Tor einfach vorbei wenn man es denn möchte.

Nein, du verwechselst wohl Java (und andere Browser-Plugins, wie z.B. Flash) mit JavaScript. Grundsätzlich führt eine aktive JS-Unterstützung im Tor-Browser nicht zu Leaks und ist sogar die Standardkonfiguration: NoScript ist zwar installiert, jedoch ist JS global für alle Websites aktiv. Daher war der Exploit in der Standardkonfiguration des Tor-Browser-Bundles auch möglich. Die Deaktivierung von JavaScript hätte in diesem konkreten Fall jedoch die Ausnutzung der Schwachstelle verhindert.

 

[Novgorod]

es war also letztlich ein "simpler" browser-exploit, was überall im internet gang und gäbe ist, richtig?
was hier nicht ganz klar wird, ist wie der exploit auf die gehosteten websites gelangt ist - könnte das mal jemand erklären? wenn etwas im tor-netzwerk gehostet ist, dann ist es doch dezentral und nicht auf einen bestimmten server zurückzuführen, oder? wieso wurde dann der inhalt von vielen (?) websites auf einmal kompromittiert? müsste man dafür nicht zugriff z.b. auf den rechner des seitenbetreibers haben?

und nur zur klarstellung: durch den exploit kann man nur die IP der webseitenbesucher herausbekommen, aber nicht des erstellers der seite, richtig? die "quelle" will man damit ja nicht lokalisieren, denn das hat man offenbar schon vorher geschafft (wie!?) und diese kompromittiert... - was hat das dann mit der verhaftung des vermeintlichen kinderpornobetreibers zu tun?

 

[TBow]

was hier nicht ganz klar wird, ist wie der exploit auf die gehosteten websites gelangt ist - könnte das mal jemand erklären?

Das aber war nicht alles. Fast gleichzeitig mit dem Bekanntwerden der Verhaftung entdeckten Kunden von Marques, dass auf ihren Angeboten, also ihren Hidden Services, plötzlich ein verdächtiges Programm installiert war. Zusätzlich zu den eigentlich vorhandenen Inhalten lieferten die kompromittierten Angebote nun ein zusätzliches JavaScript aus, das offenbar ein Schadprogramm herunterladen soll – die Datenspur führt ins Netz des US-Providers Verizon, wie wired.com berichtet.

Einziges Ziel der Attacke war es offenbar, Tor-Nutzer zu deanonymisieren:
http://www.zeit.de/digital/internet/2013-08/tor-hidden-services-malware-fbi

Meiner Meinung nach haben Strafverfolgungsbehörden Kriminelle angeheuert Freedom Hosting anzugreifen, oder sie haben dies selbst getan.
Könnte sogar die NSA gewesen sein, da sie nachweislich auch schon für Strafverfolgungsbehörden die Drecksarbeit geleistet haben.

EDIT:

Die Aktivisten der Baneki Privacy Labs aber forschten weiter und kamen zu einem anderen Schluss: Die Daten der Tor-Nutzer wurden demnach an eine IP-Adresse geleitet, die dem Unternehmen Saic (Sciene Applications International Corporation) gehört, einem der größten Dienstleister für das US-Verteidigungsministerium, die Heimatschutzbehörde und die Geheimdienste der USA. Bei genauerem Hinsehen zeigte sich, dass die IP-Adresse zu einem Block gehörte, den Saic der NSA zuweist.

Tja, mit dem Kampf gegen den Terror, scheint das nicht wirklich etwas zu tun zu haben. Wieder einmal wurden die Geheimdienste (wahrscheinlich] bei einer Lüge erwischt.

Besonders erschreckend ist, dass in Deutschland diese illegalen Praktiken KEIN Beweisverwertungsverbot nach sich ziehen.

 

[Malfunctioning Eddie]

Erschreckend finde ich das es nun wirklich nur noch um die Totale Überwachung normaler User geht,
mit Tor wird soviel Mist gebaut gegen den ja ganz offensichtlich überhaupt nicht vorgehangen wird....

 

[Novgorod]

das beantwortet aber meine frage nicht - wie kann man etwas in einen webserver einschleusen, dessen identität man nicht kennt? doch nur durch einen angriff auf einzelpersonen mit administratorrechten, oder? anders ist eine zurückverfolgung im tor-netz doch nicht möglich!?
es bleibt ebenfalls die frage, wozu sie besucher loggen wollen (strafrechtlich hat das wenig bis keine relevanz, dass man auf irgendeinen link geklickt hat), wo sie doch schon zugang zur quelle haben..

 

[Kugelfisch]

wie kann man etwas in einen webserver einschleusen, dessen identität man nicht kennt?

Indem man eine Schwachstelle im Webserver, einer Webanwendung oder einem anderen auf dem Server angebotenen Dienst ausnutzt. Zwar sind weder der Serverstandort noch der Betreiber oder die IP-Adresse bekannt, über das Tor-Netzwerk kann man jedoch bei bekannter Hidden-Service-Adresse durchaus TCP-Verbindungen zum Server aufbauen (andernfalls könnte man schliesslich keine versteckten Dienste anbieten). Denkbar ist auch, dass die Ermittler selbst Webspace auf einem geteilten Server angemietet und dann lokale Privilege-Escalation-Schwachstellen ausgenutzt haben, um das System zu kompromittieren.

 

[Novgorod]

ok, ich gehe also recht in der annahme, dass garnichts darüber bekannt ist, wie die server kompromittiert wurden? das ist doch der wesentlich größere "skandal" als irgendein wald-und-wiesen client-exploit!?

 

[Kugelfisch]

Zumindest mir ist nichts bekannt, und da die Freedom-Hosting-Server inzwischen nicht mehr erreichbar sind und der mutmassliche Betreiber inhaftiert ist, scheint mir auch unwahrscheinlich, dass da in naher Zukunft eine Post-Mortem-Analyse durchgeführt wird. Grundsätzlich scheinen mir zwei Szenarien denkbar:

• Es wurde eine weitere Schwachstelle ausgenutzt, um Freedom-Hosting-Server zu kompromittieren. Darüber wurde sowohl der Schadcode verteilt als auch der Betreiber emittelt.
• Der Betreiber von Freedom Hosting wurde auf klassischem Weg ermittelt, hat dann mit den Behörden kooperiert und den Schadcode selbst eingebaut.

 

[Tron]

Hier auch noch was über Tor-Mail:

It is becoming clear that the US Feds are behind the take down of Freedom Hosting and have access to every record of every site hosted by them. This includes the anonymous email service known as Tor Mail. You must think back through your tormail usage and assume everything you wrote there and didn't encrypt can be read by law enforcement at this point and take action accordingly. I personally did not use the service for anything important, and hopefully neither did any of you.

The best article I have found on the matter is by wired (clearnet warning):
http://www.wired.com/threatlevel/2013/08/freedom-hosting/

Everyone please try to keep each other informed as you are able.

 

[TBow]

Wie wäre es mit folgendem Szenario.
Ein Polizeispitzel, oder ähnliches mietet bei Freedom Hosting einen Server an. Um diesen administrieren zu können, wird er wohl die IP Adresse seines Servers ausgehändigt bekommen. Dann ist es ein leichtes das Rechenzentrum heraus zu finden. Steht das Rechenzentrum in einem kooperationswilligen Staat, dann wird ein Angreifer vor Ort tätig. Ansonsten werden dort alle Rechner abgeklappert, welche "verdächtig" sind, oder man hackt den Betreiber des Rechenzentrums und holt sich die Infos zu den von Freedom Hosting angemieteten Servern.

 

[TRON2]

@TBow

Ich glaube nicht. Da bekommt man keine IP sondern eine verschlüsselte Onien.

Korrektur und Nachtrag des Artikels. Eine korrigierte Version des FF Browsers stand schon seit dem 26.Juni 13 in der 0.2.4.14-alpha packages Version des Tor Browser Bundles vor. Wer diese schon installiert hatte, wurde nicht mit MAC, IP, zugehöriger Seriennummer von Magneto erfasst.

 

[Mareacho]

Der BanekiPrivacyLabs Twitter-Account @Baneki ist seit Sonntag Anlaufstelle von #Torsploit Autoren und Researchern von Arstechnica - Wired - Tor iOS - dynamoo-Blog - Cryptocloud,... gute Update-Quelle
https://twitter.com/baneki

Für Cryptocloud ist die NSA involviert beim Aufspüren der FH-Server, der Übernahme der Services und beim Einplanzen des Js, nicht die FBIer, die kümmern sich um Marques
(Aufspüren mit spoof TCP RST Paketen und dann andere Server flooden, so auf eigene locken - ErrataSec-Theorie)

Ausschnitt des Ccloud-Team-Kommentars, Link dazu unten:

"The past examples that get closer to the line are the aforementioned FBI-run CP site, and the Darkmarket sting (covered nicely by none other than Kevin Poulsen - small world) in which the FBI ran a carder's forum for many months and used their inside access to the forum - including a "VPN service" created from scratch as an FBI honeypot - to take down dozens of big-name carder community stalwarts. But let's be clear - in these cases no clever tech was used. They were more or less social engineering exercises: the FBI shows up, gets someone to flip, uses their admin credentials to take over the infrastructure, and targets people making use of it.

What's different about torsploit? WIth torsploit, you have to mix in the use of offensive intrusion tech - that's what the js is, an injection - and some nontrivial memory jump trickery via an 0day (or something damned close to an 0day, in any case). This isn't rocket science tech - heck, we know a few folks who have told us quite honestly that they could write cleaner js exploit code than what they see here - but it's still offensive tech. That's not typical FBI shit - not at all.

That's not typical any-domestic-U.S.-LEO shit. Not. At. All.

However, we all know that the NSA has such tools - and far more - at their fingertips. Follow the TAO: Alexander the Geeks personal "cyber army," running thousands deep. We know they're involved in domestic stuff far, far more than they were admitting to anyone prior to Snowden's revelations. This js exploit would be less than child's play to them - a throwaway 'splot, as earlier posters suggest it appears from an ex post facto strategic modelling perspective.

We know the NSA tracks Tor - no secret there - and we know domestic U.S. LEOs have a collective stiffie over the idea of hitting Tor hard, and also tossing heavy FUD on it so people use it less... and thus run plaintext more, and are easier to surveil as a direct result. Would they bring in the big guns of the NSA, to run this show?

Would they not? Would the FBI - or even Interpol - want to get into the business of coding (or buying) 0day rootkits... and also installing them, running C&C, etc? This is far outside of their domain expertise. And this wasn't a one-off gig: this took some tech admin skill, to manage the entire Freedom Host hidden services infrastructure - if only for a couple of days, and do it well enough to fool at least some people into visiting and thus being fingerprinted. It's not rocket science, but they don't teach Tor hidden services admin and malware construction in Quantico, do they? Not last we heard."

Der Baneki-Kommentar am Anfang ist auch lesenswert, auch mit Translator

https://www.cryptocloud.org/viewtopic.php?f=14&t=2951&start=30

 

[TBow]

@TBow

Ich glaube nicht. Da bekommt man keine IP sondern eine verschlüsselte Onien.

Wenn ich Rootrechte auf einem Server habe, dann ist es problemlos möglich, den Serverstandort heraus zu finden.
Fugu, bitte helfen.

 

[Moral]

Das wird Silkroad Nutzer und Betreiber nicht sehr erfreuen.

 

[Kugelfisch]

Wenn ich Rootrechte auf einem Server habe, dann ist es problemlos möglich, den Serverstandort heraus zu finden.

Korrekt, allerdings war Freedom Hosting ein Webhoster, kein Anbieter dedizierter Server mit root-Zugriff. Wer einen dedizierten Server mieten will, kann darauf auch selbst eine Tor-Instanz und einen Hidden Service aufsetzen - und muss das auch selbst tun, da die echte IP-Adresse und der Serverstandort mit Vollzugriff auf das System tatsächlich trivial zu ermitteln sind.
Daher auch meine Vermutung, die Ermittler hätten möglicherweise selbst Webspace angemietet und dann eine Privilege-Escalation-Schwachstelle ausgenutzt, um den Server zu übernehmen, Schadcode auf allen darauf gehosteten Websites einzubauen und den Betreiber zu ermitteln. Das ist jedoch spekulativ, Informationen zum genauen Ablauf sind meines Wissens nicht öffentlich bekannt.