Lässt Tor sich austricksen?

D

dizz

0
Ich hab vor einiger Zeit mal einen Artikel gelesen das ein amerikanischer Geheimdienst (ich weiß nicht mehr ob es wirklich die NSA war :P) den Betreiber einer Webseite gezwungen bzw. eventuell sogar die Seite beschlagnahmt hat, um einen Javascript Code einzubauen der es möglich macht bestimmte Nutzer trotz Tor Browser zu identifizieren. Das Script hat auf die Flash Software zugegriffen und da diese anscheinend trotz Tor immer direkt auf das Internet zugeift, konnte auf die Weise die richtige IP des Nutzers abgegriffen werden.

Ziemlich erschreckend dass das so simpel hinzukriegen ist 8o

Ist das mit der aktuellen Version von Tor mit den Standardeinstellungen immer noch möglich (3.5)?
 
dizz hat gesagt.:
Ich hab vor einiger Zeit mal einen Artikel gelesen das ein amerikanischer Geheimdienst (ich weiß nicht mehr ob es wirklich die NSA war :P) den Betreiber einer Webseite gezwungen bzw. eventuell sogar die Seite beschlagnahmt hat, um einen Javascript Code einzubauen
Zum Vergrößern anklicken....

Es handelte sich wohl um das FBI. Die sind durch Ermittlungen in Sachen Kinderpornographie auf einen Tor-Hoster (Freedomhosting) gestoßen, der auch viel kinderpornographische Seiten im Tor-Netz gehostet hat.
Allerdings weist einiges darauf hin, dass der Server nicht über Tor deanonymisiert wurde, sondern, dass die vor Ort auf diesen Server gestoßen sind (ich glaube das war durch Zurückverfolgungen von Geldtransfer).

Die haben dann auf diesem Server einen JavaScript-Exploit aufgesetzt (also eine Sicherheitslücke ausgenutzt), die Besucher mit wohlgemerkt alten Tor-Browsern (3 Monate alt [vor der Attacke], Lücke war längst geschlossen) durch einen Shellcode, der über das Clearnet antwortet, deanonymisiert.

Noch einmal das Wichtigste:
- Es war nicht einfach nur JavaScript, sondern eine alte und längst gefixte Lücke in JavaScript
- Die Technik von Tor selbst wurde in keiner Weise in Mitleidenschaft gezogen. Das Exploit attackiert einen alten Browser; damit hätte man über sonstwelche Anonymisierungsdienste surfen können. Das hat damit nichts zu tun.
Hätte man ein bisschen in Sandboxing oder Exploit-Mitigation investiert, wären auch User mit dem alten Browser-Bundle davongekommen. In diesem Fall hätte man sogar einfach nur irgendein Unix benutzen können, denn das implementierte Exploit hat nur Windows-User angegriffen.

dizz hat gesagt.:
Ziemlich erschreckend dass das so simpel hinzukriegen ist 8o
Zum Vergrößern anklicken....

Also eben nicht simpel.

dizz hat gesagt.:
Ist das mit der aktuellen Version von Tor mit den Standardeinstellungen immer noch möglich (3.5)?
Zum Vergrößern anklicken....

Nein. War es ja damals noch nicht einmal.
Das geht nur, wenn man eine wirklich aktuelle Lücke für den Browser hat, oder tatsächlich eine Möglichkeit Tor User direkt zu deanonymisieren.
 
Das ganze zeigt aber einmal mehr warum nur TorBrowser und Co. nicht sinnvoll sind.

Eine VM die als tor-router fungiert und eine VM zum surfen und CO. die nur über den Tor router ins netz kommt, ist erheblich sinvoller IMO.
Ich nutze eine selbsgebastelte Lösung, aber für alle die dafür zu faul sind gibt es
Whonix.

Ich nutze zusätzlich auch noch RequestPolicy+NoScript o.Ä. um das tracking der aktuellen Session zu erschweren.
Allerdings wird auf torproject davon abgeraten, da dies Fingerprinting einfacher macht.
Whonix empfiehlt auch den TorBrowser innerhalb der Whonix Workstation zu verwenden.
 
Zuletzt bearbeitet:
Sleepprogger hat gesagt.:
Das ganze zeigt aber einmal mehr warum nur TorBrowser und Co. nicht sinnvoll sind.

Eine VM die als tor-router fungiert und eine VM zum surfen und CO. die nur über den Tor router ins netz kommt, ist erheblich sinvoller IMO.
Ich nutze eine selbsgebastelte Lösung, aber für alle die dafür zu faul sind gibt es
Whonix.

Ich nutze zusätzlich auch noch RequestPolicy+NoScript o.Ä. um das tracking der aktuellen Session zu erschweren.
Allerdings wird auf torproject davon abgeraten, da dies Fingerprinting einfacher macht.
Whonix empfiehlt auch den TorBrowser innerhalb der Whonix Workstation zu verwenden.
Zum Vergrößern anklicken....


Das heisst also, du nutzt auf deinem System 2 VMs von denen einige aussschliesslich als TOR Router fungiert und hast dann noch eine VM fuer Arbeit im Internet, welche die TOR Router VM als Router nutzt?
Welche Betriebssysteme laesst du in den VMs laufen? Und hast du diese besonders angepasst oder lediglich Systeminstallation + TOR und go?
Wie genau hast du den TOR Server/Router erstellt?
Und in der "Surf VM" einfach den Tor Router als Proxy angeben (im TOR Frontend)?

Finde das ueberaus interessant!
 
Zuletzt bearbeitet:
Das heisst also, du nutzt auf deinem System 2 VMs von denen einige aussschliesslich als TOR Router fungiert und hast dann noch eine VM fuer Arbeit im Internet, welche die TOR Router VM als Router nutzt?
Zum Vergrößern anklicken....
Genau.

Welche Betriebssysteme laesst du in den VMs laufen?
Zum Vergrößern anklicken....
Der Router ist im Prinzip ein selbscompilierter (durch Script eines Bekannten) Linux Kernel + busybox + tor. Der Router hat (logischerweise) zwei (virtuelle) Netzwerkkarten. Eine für das interne Netz, eine für das externe.
Alles vom internen wird über tor geleitet.

Die Workstation ist eigentlich beliebig. In meinem Fall Debian.
Der Gateway der Workstation ist die Adresse des Routers im internen Netz.


Wie gesagt:
Whonix macht im Prinzip das selbe, nur mit ein wenig mehr zusätzlichem Schnickschnack
 
Oder man steckt einfach sowas dazwischen:

hardwaretor.jpg


Tor hardware privacy adapter

xD

oder das:
http://hackaday.com/2013/06/15/raspberry-pi-tor-proxy-lets-you-take-anonymity-with-you/
 
Sleepprogger hat gesagt.:
Genau.


Der Router ist im Prinzip ein selbscompilierter (durch Script eines Bekannten) Linux Kernel + busybox + tor. Der Router hat (logischerweise) zwei (virtuelle) Netzwerkkarten. Eine für das interne Netz, eine für das externe.
Alles vom internen wird über tor geleitet.

Die Workstation ist eigentlich beliebig. In meinem Fall Debian.
Der Gateway der Workstation ist die Adresse des Routers im internen Netz.


Wie gesagt:
Whonix macht im Prinzip das selbe, nur mit ein wenig mehr zusätzlichem Schnickschnack
Zum Vergrößern anklicken....

also ist quasi das Host System für die VMs obsolet?
So wie ich das verstehe, nutzt man ja quasi ohnehin nur noch die Whonix Workstation, der Host dient ausschließlich zum hosten.

edit//
sieht aus, als hätte ich mich von dem Begriff OS irreführen lassen. Also nutzt man die Router-Workstation Kombination quasi für alle Online Tasks und das Host OS für alles was Offline stattfindet? Weil ich sehe, die Workstation kommt standardmäßig mit 768 MB RAM. Das bieten sich ja sicher nicht für alle Applikationen an und es wird suggestiert, diese Einstellung nicht zu ändern.
 
Zuletzt bearbeitet:
Ja, zumindest ich, nutze die "Tor-Workstation-VM" nur bei Bedarf.
D. h. beispielsweise zu Warchall boxes verbinde ich mich über diese.
Zum normalen Surfen hingegen nutze ich mein Host System.

Wenn du alles von deinem Hostsystem über TOR leiten möchtest siehe +++ATH0's Post, bzw. nutze irgendeinen Rechner mit 2 Netzwerkarten anstatt.
Ist im Prinzip das selbe verfahren nur ohne Virtualisierung.

Ich habe Whonix noch nie benutzt, kann daher darüber nicht all zu viel sagen.
Warum empfohlen wird den RAM nicht zu ändern erschliesst sich mir nicht ganz. Vlt. um Fingerprinting zu verhindern, falls es Schadcode auf das System geschafft hat.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben