FBI fanger Tor-brugere med drive-by-download

Drive-by-download er en kendt term i it-sikkerhedsbranchen, der dækker over, at brugere får installeret malware på deres maskiner, når de surfer forbi en ondsindet webside. Samme teknik har det amerikanske forbundspoliti, FBI, anvendt de seneste to år for at identificere besøgende på sites med børneporno på anonymiseringsnetværket Tor.

Det skriver Wired.

Operationen, kaldet Torpedo, startede i Holland i 2011, hvor det hollandske politi ifølge FBI satte sig for at slå ned på børneporno på nettet. I den forbindelse skrev politiet i Holland en webcrawler, der trawlede onion-adresser igennem på Tor-netværket.

Onion er i dette tilfælde et pseudo-top-level-domæne, der dækker over skjulte services, som er tilgængelige via Tor-nettet.

Det hollandske politi noterede de sites, der havde med børneporno at gøre. Med en retskendelse forsøgte politiet så at finde frem til lokationen af serverne på siderne, hvilket er vanskeligt på det anonyme Tor-net. Men en af siderne viste sig at have en åben admin-konto, og ad den vej fandt det hollandske politi frem til serveren bag sitets rigtige ip-adresse. Den viste sig at stå i den amerikanske delstat Nebraska.

FBI beslaglagde servere

Oplysningerne sendte hollænderne videre til FBI, som fandt frem til den 31-årige Aaron McGrath, som viste sig at drive yderligere to andre sites, ligeledes med børneporno. FBI overvågede McGrath i et år, hvorefter forbundspolitiet skred til handling og beslaglagde serverne bag siderne. Herefter fik FBI tre kendelser - en for hvert site - som blev brugt til at ændre koden på serverne, så besøgende fik installeret det, FBI kalder en NIT, 'Network Investigative Technique'. Det vil her sige malware, der inficerer besøgendes computere.

I den forbindelse havde FBI desuden fået rettens tilladelse til ikke at afsløre over for de besøgende, at der blev installeret malware, før efter 30 dage.

Programmet, som FBI installerede, var designet til at afsløre identiteten på de besøgende. Det vil sige, at der blev indsamlet ip-adresser (de rigtige), MAC-adresser og Windows-hostnavne fra 25 besøgende i løbet af 14 dage.

Når Wired skriver om sagen nu, skyldes det, at der er rejst 14 tiltaler på den baggrund ved en domstol i Omaha, Nebraska, og at FBI derfor har været tvunget til at forsvare sin fremgangsmåde med drive-by-download.

Teknikken har rejst nogen debat, blandt andet har forsvarsadvokater opfordret retten til at droppe NIT-beviserne, fordi FBI har overskredet de 30 dage, forbundspolitiet havde fået lov til ikke at oplyse de overvågede brugere om brugen af drive-by-download-malwaren. I nogle tilfælde gik der et år, før brugerne blev oplyst om situationen. Den begæring er dog blevet afvist af dommer Thomas Thalken.

Chris Soghoian fra den amerikanske borgerrettighedsgruppe American Civil Liberties Union mener, at bekæmpelse af børneporno nok er den bedst tænkelige begrundelse for, at FBI anvender drive-by-downloads. Men han frygter, at operation Torpedo er første skridt på vejen mod en langt bredere brug af teknikken, som kan ende med at ramme og blotlægge uskyldige Tor-brugere.

»Man kan sagtens forestille sig, at de bruger den samme teknologi mod alle, der besøger et jihad-forum eksempelvis,« siger han til Wired og nævner i den forbindelse forsvarsadvokater og journalister, der researcher.

Wired fortæller i samme historie også om et andet forsøg på at afsløre anonyme brugere på Tor-netværket, som involverer upatchede udgaver af Firefox, og som FBI angiveligt også står bag. Dette har forbundspolitiet dog ikke erkendt.