GLF

[Ovid]

Eric Eoin Marques, der Gründer des .onion-Dienstes Freedom Hosting wurde von Die Festnahme soll angeblich durch eine Sicherheitslücke des aktuellen Tor Browser Bundles geglückt sein.

Andersherum. Das FBI hat ihn geschnappt und konnte dann in Seelenruhe eine Javascript-Lücke bei allen Diensten von Freedom-Hosting installieren, weil sie ja dort direkt Zugriff hatten. Diese schickt die echte IP des Besuchers einer FH-Seite zurück an einen FBI-Server in den USA.
Die Lücke scheint wohl alle Firefox ESR Versionen unter 17.0.7 betroffen zu haben [1]. Also die Versionsreihe, die das TOR Browser-Bundle benutzt. Die neuste Version (17.0.7) dagegen scheint nicht angreifbar.

Wie das FBI ihn gekriegt hat, darüber wird noch spekuliert. Allerdings war schon vor der Verhaftung viel über den Geldfluss und die Bankkonten von Eric Eoin Marques bekannt. Das lässt darauf schließen, dass sie ihn eher über Geldfluss gefunden haben, aber sicher ist das nicht.

Nach einem relativ neuen Paper von Biryukov et al. scheint es aber auch ressourcenschonende Varianten zu geben einen Hidden Service zu deanonymiseren [2].
Die Besucher solcher Seiten sind dadurch aber nicht direkt in Gefahr. Nur, wenn eben Sicherheitslücken auf diesen Seiten installiert werden, wie es in diesem Fall geschehen ist.

[1] https://blog.mozilla.org/security/2013/ ... ty-report/

[2] http://www.ieee-security.org/TC/SP2013/ ... 77a080.pdf

Siehe auch:
https://trac.torproject.org/projects/tor/ticket/9387

[Gelöscht_10]

Wie's aussieht, haben die damit auch Zugriff auf Tormail.

Wenn ich das da [1] richtig verstehe:

According to Vlad, the exploit sends the hostname and MAC address of the local system to 65.222.202.54 over HTTP, then crashes.

Dann wird nur der lokale Hostname und die Mac-Adresse verschickt. Ob das nun beim Tor Browser über das Tor-Netz ging, oder über das Clearnet wäre interessant - konnte dazu aber nichts finden.

Edith: Wenn es der Code [2] war, dann wird das Päckchen mit den Daten wohl nicht über den Tor Browser verschickt, sondern über ein Shell-Script. Damit haben die dann auch die IP der betroffenen User (natürlich mit Ausnahmen - z.B. wenn Jemand über einen VPN in's Internet geht oder glücklicher Weise eine shared IP hat).

lg kim

[1] http://caffeinesecurity.blogspot.de/201 ... users.html
[2] https://code.google.com/p/caffsec-malwa ... omHosting/

[Ovid]

Dann wird nur der lokale Hostname und die Mac-Adresse verschickt. Ob das nun beim Tor Browser über das Tor-Netz ging, oder über das Clearnet wäre interessant - konnte dazu aber nichts finden.

Da es sich um eine Heap-Spray-Attacke handelt, die einen nativen Shellcode ausführt, geschieht auch alles außerhalb der JS-Sandbox und viel wichtiger: auch außerhalb der Proxy-Komponente vom Browser.

Im Shellcode wird dann einer frischer Socket erstellt und direkt mit ws2_32!connect() zu 65.222.202.54 verbunden.
Im GET ist zwar nur die MAC und die UUID, die vom Server generiert wurde.
Allerdings kontaktiert man, wenn der TOR-Browser also nicht in einer VM/sandboxed oder sonstwie vom Internet firewalled war, direkt die Verizon- Server in den USA über seine Clearnet-IP .

Siehe dazu auch:
https://blog.torproject.org/blog/hidden ... ment-31981

[Gelöscht_10]

Ja. Ich hatte mir den Code kurz angesehen und das mit dem Shell-Script bemerkt. Trotzdem danke für die Antwort!

Die Sache könnte eine ordentliche HD-Welle nach sich ziehen

lg kim

[Mitleser]

Hmm, empfehlen die Tor-Entwickler nicht, JavaScript, Flash und dergleichen im Browser zu deaktivieren, bzw. ist das im Tor Browser Bundle nicht standardmäßig deaktiviert? Zumindest NoScript ist ja mit enthalten, so dass man die Ausführung von JS unterbinden kann. Wenn das FBI mit diesem Exploit nun tatsächlich IP-Adressen von potentiellen KiPo-Interessenten sammelt, dann könnte das in der Tat so einige HDs nach sich ziehen.

Allerdings schnappt man mit solche Aktionen doch meist nur die "kleinen Fische", die entweder eine veraltete Tor Browser-Installation haben (sofern die neueste Version tatsächlich nicht von dem Exploit betroffen ist) oder JS nicht deaktiviert haben bzw. sonstwie per VPN und Co. im Netz unterwegs waren. Bei den bekannt gewordenen Fällen von KiPo-Funden hat ja offenbar auch niemand sein System sicher verschlüsselt, ansonsten wäre es nicht so einfach, an das gespeicherte Material zu kommen und es dementsprechend auszuwerten...

[Ovid]

Hmm, empfehlen die Tor-Entwickler nicht, JavaScript, Flash und dergleichen im Browser zu deaktivieren, bzw. ist das im Tor Browser Bundle nicht standardmäßig deaktiviert?

Flash ist gar nicht erst enthalten und muss also auch nicht deaktiviert werden.
Bei JS hat man die Entscheidung pro-usability getroffen, weil viele Internetseiten ohne JS nicht zufriedenstellend funktionieren (das GLF zum Beispiel mittlerweile ja gar nicht mehr. lol). Ohne Lücke kann JS im Gegensatz zu Flash nicht die reale IP zurücksenden.
Nun war hier ja eine Lücke mit im Spiel, die allerdings schon Ende Juni behoben wurde. Das FBI hat natürlich darauf spekuliert, dass viele nicht geupdated haben.

Zumindest NoScript ist ja mit enthalten, so dass man die Ausführung von JS unterbinden kann.

Kann man ja auch so. NoScript hat aber praktische Features, wie z.B., dass man es auf manchen Seiten erlauben kann und auf anderen nicht.

Die Sache könnte eine ordentliche HD-Welle nach sich ziehen

Allerdings schnappt man mit solche Aktionen doch meist nur die "kleinen Fische",

Vielleicht kriegt man aber auch ein paar Hersteller. Man kann sich sicher sein, dass das FBI die gesammelten Daten für eine kleine Datenbankabfrage bei der NSA aufbereitet.
So könnte man mehrere Hinweise miteinander korrelieren und vlt. ein paar dickere Fische fangen, die bisher noch nicht ganz ins Netz kamen.

Die werden also sicher erst einmal nach den Größeren gehen und dann schauen wieviel "Lust und Zeit" noch übrig ist, die restliche Liste abzuarbeiten. Der Zeitraum der Attacke war ja allerdings auch nicht wirklich sonderlich groß und betrifft nur Windows User mit einem veralteten TOR Browser-Bundle, die zu dem Zeitpunkt der Attacke die Seiten besucht haben und sonst keinen weiteren Schutz installiert haben.
Interessant wird auch sein, ob die Daten nicht auch vlt. mit ausländischen Ermittungsbehörden geteilt werden.

[Mitleser]

Klar, die "großen Fische" sind natürlich das Primärziel, aber die Behörden und Geheimdienste sind ja immer darauf bedacht, die Vorratsdatenspeicherung so weit wie möglich auszudehnen, und wenn die dann mal "Lust und Zeit" haben, kann einem eine Durchsuchung vielleicht auch nach Jahren noch blühen, oder zumindest gerät er verstärkt ins Visier der Fahnder, genau wie die "potentiellen Touristen", die zufälligerweise nach Schnellkochtöpfen und Rucksäcken*) gegoogelt haben, weil man damit ja offenbar wunderbar Bomben bauen kann.

*) http://www.news.com.au/technology/ameri ... 6690035517

[Gelöscht_10]

Nach der Operation Himmel hier in D wage ich das mit den grossen Fischen mal zu bezweifeln.

Was die Dauer angeht: Die Attacke dauert meiner Recherche nach weiter an. Die Seiten sind immer noch erreichbar und kompromittiert. Aber wie lange läuft das schon?

lg kim

[Ovid]

Der ganze überwachungsstaatliche Krebs um das überhaupt abzuziehen ist natürlich ein offensichtlicher Nachteil.

Was die Dauer angeht: Die Attacke dauert meiner Recherche nach weiter an. Die Seiten sind immer noch erreichbar und kompromittiert. Aber wie lange läuft das schon?
lg kim

Also der Tormail hidden service ist für mich ganzdown. Bei anderen Seiten wird von 503 berichtet.

Siehe auch:
http://uscyberlabs.com/blog/2013/08/05/ ... tangodown/

Sieht für mich nicht so aus als würde da noch etwas laufen?!
Und so lange kann das Deployment nicht her sein. So ein Exploit macht schon viel Wind.
Allerdings kann es sein, dass im Vorfeld Tracking-Cookies ohne Exploit mit only-JS over TOR gesammelt wurden (oder auch im local storage). Dann überwacht man eine Zeit lang deren Verhalten und schlägt dann irgendwann mit richtigem Exploit zu um zu decloaken. So hat man dann nicht nur einen Besuch, den man ja vlt. als Versehen werten könnte, sondern mehrere im Vorfeld gemachte Besuche auf die noch funktionierenden Seiten.

[Gelöscht_10]

Hab jetzt keine Möglichkeit, das zu überprüfen. Aber vor etwa 1 1/2 Stunden konnte ich auf einer bei dem Provider gehosteten Seite den JS-Code finden.

lg kim

[Sascha]

Bei JS hat man die Entscheidung pro-usability getroffen, weil viele Internetseiten ohne JS nicht zufriedenstellend funktionieren (das GLF zum Beispiel mittlerweile ja gar nicht mehr. lol).

Also bei mir schon.

Edit: genauer gesagt,manchmal schon, manchmal nicht.

[Jean Valjean]

tormail ist schon seit ca 3 tagen down.

[Ovid]

Also bei mir schon.

Dem merkwürdigen Phänomen bin ich auch schon auf der Spur. Meine ganzen Erkenntnisse dazu wurden in dem einen Thread [1] ja leider alle gelöscht, weil dieser JS-Layer ja als Schutzmaßnahme für das GLF dient.

Aber hier der Versuchsaufbau:
Man nehme entweder einen Browser ohne Javascript [2] oder man erstellt sich beim Firefox 22 ein leeres Profil, stellt alle Addons aus (auch NoScript) macht Javascript unter Inhalt aus, speichert die Einstellungen und startet den Browser neu.
Dann ruft man ganz normal die "www.girlloverforum.net" auf. Man kann natürlich auch noch tor als socksproxy dazukonfigurieren.

Dann bekommt man eine hübsche Nachricht vom GLF:

Code: Alles auswählen

·ÃÎʱ¾ҳÃ棬ÄúµÄä¯ÀÀÆ÷ÐèҪ֧³ÖJavaScript

Und im Quelltext findet man einen JS-Code, der einen zur richtigen Seite weiterleitet, wenn JS an wäre. (Nur so viel. Ich hoffe das darf als Beitrag bleiben)

Merkwürdigerweise habe ich das Problem mit Noscript nicht und kann normal surfen. Unten zeigt Noscript mir an, wieviele Scripts es geblockt hat. Smileys gehen im Editor auch nicht - alles wie erwartet. Aber warum geht die Weiterleitung?
Das ist mir noch ein Rätsel. Schlimmstenfalls ist das ja ein NoScript Bug, der unter bestimmten Umständen JS durchlässt.

Wer sehen möchte, wie das GLF nicht direkt am Anfang das Portal anzeigt, sondern eben JS Code liefert, der weiterleitet, kann auch mal auf Linux mit "wget www.girlloverforum.net" nachforschen und wird es ebenfalls sehen.


[1] www.girlloverforum.net/forum/viewtopic.php?f=23&t=12684
[2] http://sourceforge.net/projects/dplus-b ... e/download

[Tomlove]

Wenn man mal was positives daran sehen will, dann hat es den Effekt das sich jetzt wohl verstaerkt Leute dranmachen und Tor weiterentwickeln hinsichtlich solchen und aenlichen Angriffen.

[dex]

Es ist ein Trauerspiel: Die aktuelle TBB Version (FF 17.08.8 ) wird schon wieder mit den Einstellungen Javascript on und NoScript off installiert...Honi soit qui mal y pense...

Ich empfehle ganz eindeutig, den TBB in einer (sekundäre) virtuellen Maschine laufen zu lassen, welche durch eine primäre virtuelle Maschine torifiziert wird. Eine ausgezeichnete, deutsche, bebilderte step-by-step Anleitung hierzu findet man unter:

[...] Link ins Dunkelnetz gelöscht. GLF-Moderation