Mistanke: Over 100 ondsindede noder spionerer på brugere på Tor

Illustration: leowolfert/Bigstock
Det mørke Tor-net er til for at sikre brugerne anonymitet på nettet, men en ny rapport viser, at minimum 110 ondsindede relæservere spionerer på aktiviteten på Tor.

At bruge det anonyme, mørke net Tor er måske ikke helt så anonymt som whistleblowere, kriminelle og andre lyssky brugere håber.

Relæservere, som dirigerer brugere videre til skjulte ".onion-adresser" og derfor bliver kaldt Tor Hidden Services Directories (HSDirs), kan på grund af et sikkerhedshul spionere på aktiviteten på de skjulte ".onion-adresser".

Gennem et eksperiment fandt forskerne Amirali Sanatinia og Guevara Noubir fra Northwestern University 110 ondsindede HSDirs, skriver Hacker News.

Anonymitet afhænger af, at relæserverer opfører sig korrekt

Årsagen er, at HSDirs kan sættes op af hvem som helst.

»Tor's sikkerhed og anonymitet er baseret på antagelsen om at langt størstedelen af dets relæservere er ærlige og opfører sig korrekt,« siger Guevara Noubir og fortsætter:

»Især beskyttelse af skjulte servere er afhængig af, at Hidden Services Directories opfører sig ærligt.«

De to forskere fandt de bedrageriske HSDirs ved at sætte 1.500 honeypot-servere op, som holdt øje med, hvis et Tor-relæ med HSDir begyndte at spionere på de skjulte sider, den var vært for.

Kan spionere på al ukrypteret trafik

Eksperimentet foregik fra februar til april og resultatet var som sagt 110 ondsindede HSDir. De fleste befandt sig i USA, Tyskland, Frankrig, Storbritannien og Holland, og over 70 pct. af dem stammede fra professionelle cloud-infrastrukturer, hvilket gør det svært at gennemskue, hvem der står bag.

En fjerdedel af de ondsindede HSDirs fungerede også som udgangs-noder i Tor-trafikken, hvilket betyder at de kan spionere på al ukrypteret trafik, skriver Hacker News.

De fleste opsamlede dog kun data om server root paths, men nogle samlede også description.json server filer og Apache server-statusopdateringer. Derudover skriver forskerne i deres afhandling, at de har observeret cross-site scripting og SQL-injection rettet mod information_schema.tables, der indeholder metainformation om en database.

Tor Project arbejder på et nyt design

Tor Project skriver på deres blog, at de har et system til at finde 'dårlige relæer' og 'smider dem ud', men at de er glade for forskernes arbejde, da deres system ikke er 'fejlfrit'. De skriver fortsat:

»Så vidt vi kan se, er det de ondsindede HSDirs mål i denne sammenhæng kun at opspore onion-adresser som de ikke vil kunne finde på anden vis – de er ikke i stand til at identificere hverken værtens eller de besøgendes IP-adresser.«

Desuden arbejder Tor Project på at skabe et nyt design for skjulte services: Mission Montreal.

Det er ikke første gang, at Tor’s anonymitet er blevet udfordret. Eksempelvis lykkedes det sidste år FBI at overvåge børneporno hjemmesiden ‘Playpen’ på Tor – hvordan de gjorde, vides endnu ikke.

Forskernes fulde rapport om de ondsindede HSDirs kan læses her: "Honions: Towards Detection and Identification of Misbehaving Tor HSDirs"

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Christiansen

Det er absolut udbredt at folk spionerer på hvad folk laver,
gennem deres tor-exit nodes da man ikke gider have politiet
på nakken fordi de tror at man er pædofil fordi de har set at
eens ip adresse tilgår ulovligt materiale.

Det er også een af grundende til at tor ikke er specielt hurtigt,
fordi folk ikke tør have en exit node stående.

Det gør heller ikke tor mere udbredt at mange services ikke tillader
at man kommer fra en kendt tor exit node.

Hvor tor er smart, er hvis man har sine services kørende på tor nettet,
så som irc, www, teamspeak etc. så er der heller ikke brug for exitnodes.

  • 3
  • 0
Gert G. Larsen

Jeg kørte engang nogle heftige exit nodes i et par år, og sniffede stort set al trafik, bare for at analysere det.
Dengang var det, rent datatrafikvolumemæssigt, ca 80% bittorrent, 15% arabisk porno og 5% blandet logins og lign.
I de sidste 5% lå vel en blanding af folk der "hackede" andres konti, og folk der ønskede anonymitet af pænere moralske årsager.

Hvis du selv bruger TOR, så husk lige at bruge TLS også - ligesom alle andre steder.

  • 3
  • 0
Poul-Henning Kamp Blogger

Dengang var det, rent datatrafikvolumemæssigt, ca 80% bittorrent, 15% arabisk porno og 5% blandet logins og lign.

Det er sådan set det der er pointen: Det traffik der virkelig har brug for at gemme sig, skal have en masse "normal" trafik at gemme sig i.

At Tor netværket var "Trojaned" er gammelt nyt:

http://sec.cs.ucl.ac.uk/users/smurdoch/papers/ccs06hotornot.pdf

  • 2
  • 1
Henrik Madsen

At bruge det anonyme, mørke net Tor er måske ikke helt så anonymt som whistleblowere, kriminelle og andre lyssky brugere håber.

Ud fra den sætning kan man jo så udlede at journalisten mener at der kun findes 3 slags brugere af Tor.

  1. Whistleblowere
  2. Kriminelle
  3. Andre lyssky brugere.

Ja og den tredje gruppe præsenteres endda på en måde så man må formode at journalisten mener at f.eks whistleblowere også tilhører kategorien "lyssky brugere".

Eller sagt på godt dansk. Tor er kun noget som bruges af kriminelle og folk der er "lyssky".

Den holdning minder i mistænkelig grad om den her med at "Har du noget imod overvågning så må du være kriminel for ellers kan du jo dårligt have noget imod at blive overvåget konstant og konsekvent".

En ting er at den slags kunne findes i pamfletter som ekstra bladet, men at et såkaldt seriøst IT medie åbenbart ikke har journalister som kan finde andre grunde end "Du er en lyssky kriminel" til at beskytte sig mod overvågning er nu alligevel en smule rystende.

  • 12
  • 0
Anne-Marie Krogsbøll

Ja, her gik jeg lovlydige borger og troede, at jeg ved hjælp af de meget hjælpsomme og dygtige ånder i dette forum nu stort set havde unddraget mig lyssky kriminelle (herunder sheriffer og lignede) 's indtrængen i min helt og aldeles ukriminelle, og derfor helt legalt private privatsfære, da jeg overgik til Linux og Tor (har ikke fået helt styr på Tor endnu - er ikke nået så meget længere end til Firefox - men i princippet altså Tor) - Jeg følte mig nærmest som en mønsterborger ved på denne måde at medvirke til at bekæmpe kriminelles hærgen på det øvrige usikre internet.

Men hvis jeg forstår denne artikel rigtigt, så er Tor måske i virkelighden endnu mere usikker end så mange andre browsere, da stort set alle lyssky elementer (herunder PET og sheriffer) vel kan oprette en "knude" og "sniffe" på alt, hvad der går ud og ind, uden at jeg har en mulighed for at ane det?

Er det rigtigt forstået?

I givet fald: Hvorfor er PET og Politiet så ikke vildt begejstrede for TOR? Det forstår jeg ikke!

  • 0
  • 0
Log ind eller Opret konto for at kommentere