GLF

[Nabokov]

30. März 2016

Das US-Justizministerium beantragt, Details geheim zu halten, wie die Polizeibehörde FBI Nutzer des auf Firefox basierenden Tor-Browsers ausspioniert hat. In dem Fall geht es um Besucher einer Darknet-Site für Kinderpornografie. Richter Robert J. Bryant hatte es eine „berechtigte Frage“ der Verteidigung genannt, wie die Polizei denn bitte die anonymen Besucher identifiziert habe.

Das Justizministerium möchte diese Zugriffsmöglichkeit lieber geheim halten... Es schlägt vor, die verwendete Technik unter Ausschluss der Öffentlichkeit und der Verteidigung dem Richter zu erklären.

Die Verteidigung [hält] es für denkbar, dass die Ermittlungen nicht durch eine Genehmigung eines Richters gedeckt war. Um dies zu überprüfen, müsste aber das genaue Angriffsverfahren bekannt sein...

In dem konkreten Fall geht es um eine vom FBI im Februar 2015 beschlagnahmte Darknet-Site, die Kinderpornografie anbot. 13 Tage lang betrieb die Polizei sie mit eigenen Servern weiter, um an die Nutzer zu kommen. Dazu setzte sie ein ... Hackerwerkzeug ein, das ihr ermöglichte, trotz Anonymisierung die IP-Adressen der Besucher zu ermitteln.

[...]

... zeigt, dass der vom FBI manipulierte Browser über ein Flash-Applet eine direkte Verbindung herstellte, statt wie vorgesehen ein Routing über Tor-Knoten zu initiieren...

30.3.16

http://www.zdnet.de/88264670/us-justiz- ... r-exploit/

[gekürzt]

[Jean Valjean]

Klingt doch sehr interessant. Da ich von dieser Sache persönlich betroffen bin, wäre ich sehr dankbar für weitere infos.

Ich werd den Thread meinem Anwalt spicken, dann kann er sich die Infos gleich hier abholen.

PS: Es geht mir den Umständen entsprechend gut.

[cortejador]

Es freut mich sehr, daß es dir soweit gut geht!
Dein corte

[kEsel]

zeigt, dass der vom FBI manipulierte Browser über ein Flash-Applet eine direkte Verbindung herstellte, statt wie vorgesehen ein Routing über Tor-Knoten zu initiieren...

Aha. Also waren nur die Nutzer betroffen, die Flash in ihrem TB erlaubt haben. (Und damit haben die welche gekriegt o.O?)

[mrutik]

Und damit haben die welche gekriegt o.O?

Wieso "o.O"? Wenn man mit dem Torbrowser-Flashexploit Zugriff auf den TCP/IP-Stack des Nutzers homöopathischer Websites hat, hamse den doch an de Eier, denke ich mal.

[kEsel]

Naja, aber dazu bedarf es doch Flash im TORBrowser zu aktivieren? Hab mir das jetzt nicht genauer angeguckt, deswegen frag ich ja

[Mitleser]

Ein paar Ahnungslose/Unvorsichtige/Dumme wird es wohl immer treffen, das passt dann auch auch immer so schön zu den Meldungen, dass solche Seiten "hunderttausende" von Usern hatten, man letztendlich aber nur ein paar Dutzend tatsächlich dingfest gemacht hat. Ich stelle es mir halt mal ganz naiv so vor, dass sich jemand den Torbrowser heruntergeladen hat, weil in der Computerbild mal stand, dass man damit anonym surfen kann, und dem Anschein nach geht das ja auch alles wunderbar.

Aber halt nur solange, bis eine Seite mal ohne Flash nicht geht, und - man weiß sich ja zu helfen - so installiert man das halt nach. Monate später, der Betreffende ist vielleicht gerade frustriert, weil die Freundin mit nem anderen durchgebrannt ist, macht der ahnungslose/unvorsichtige/dumme User einen Ausflug ins "Darknet", ist ja völlig ungefährlich dank Torbrowser, klar, und gerät dann irgendwie auf die vom FBI kompromittierte Seite.

Tja, Pech für ihn, dummerweise verrät der Exploit seine IP-Adresse und sie wird in den Logs der Behörden gelistet. Nach einigen Wochen wird die Liste ausgewertet, man bemüht die Staatsanwaltschaft, um Durchsuchungsbefehle zu erwirken, und nach ein paar Monaten treten die Cops die Tür ein. Der Rechner ist natürlich nicht verschlüsselt, warum auch, man war ja anonym unterwegs - aber dummerweise hat der User halt doch ein paar mnderjährige nackte Schönheiten (vielleicht 15 oder 16 Jahre alt) im Ordner "geheim" abgespeichert.

Natürlich ist die Platte voll mit "tausenden Missbrauchs-Bildern und Videos", auch wenn nur eine Handvoll tatsächlich strafbewehrt sind, aber das weiß die Presse natürlich nicht. Aber egal, Kollateralschäden nimmt man gerne in Kauf, Hauptsache, die Kriminalstatistik stimmt wieder. Alles "unter 18" ist in diversen Ländern ja schon illegal, und auch hierzulande reichen mittlerweile bekanntermaßen reine Nacktaufnahmen von Kindern aus, sofern sie "zu kommerziellen Zwecken" erstellt wurden.

Ich will damit keineswegs die Gefahren herunterspielen, auch vorsichtige User kann es natürlich jederzeit treffen, aber trotzdem glaube ich, dass es eben schlichtweg leichter ist, solche Zufallsfunde abzugrasen, was die wirklich kriminellen Fälle aber kaum jemals tangiert, und mit großer Wahrscheinlichkeit wird es auch den tatsächlich betroffenen Kindern kaum helfen. Aber zumindest zeigt der Fall wohl, dass auch das FBI letztendlich nur mit Wasser kocht und halt auf bekannte oder geheimgehaltene Sicherheitslücken bauen muss, sofern die Ermittelungen über sonstige Kanäle keine Ergebnisse bringen.

[kEsel]

Danke Mitleser.

An dieses Szenario hab ich gar nicht gedacht. Da wäre es tatsächlich mal interessant, wie sich soetwas in Zahlen ausdrückt, also wieviele solcher Fälle gegen tatsächlich vorsätzlicher Kipo Konsumenten steht (Bei den "aufgeklärten" Fällen) .

[Nabokov]

Aber zumindest zeigt der Fall wohl, dass auch das FBI letztendlich nur mit Wasser kocht und halt auf bekannte oder geheimgehaltene Sicherheitslücken bauen muss, sofern die Ermittelungen über sonstige Kanäle keine Ergebnisse bringen.

Das FBI hat auch einen Tor-Server besetzt. Seither sind Statistiken im Umlauf, wie gross der Anteil an Kipo im Tor-Verkehr angeblich ist, womit Tor def. in Verruf geraten ist.

[Ovid]

Das FBI hat auch einen Tor-Server besetzt. Seither sind Statistiken im Umlauf, wie gross der Anteil an Kipo im Tor-Verkehr angeblich ist, womit Tor def. in Verruf geraten ist.

Nö.

1. Es gibt einen Unterschied zwischen Tor-Verkehr ins normale WWW und Tor-Verkehr zu Hidden-Services. Worauf du vlt. anspielst ist der Verkehr zu Hidden-Services, weil darauf einige Schätzungen bezüglich Kipo-Traffic basieren. Natürlich gibt es auch im normalen WWW Kipo - aber darüber kenne ich keine Schätzungen oder Messungen, ist auch kaum möglich.
Der Tor-Verkehr ins normale WWW überwiegt bei Weitem. Habe gerade keine Zahlen im Kopf, aber sicher sind das locker über 80%.

2. Statistiken über diesen Anteil kommen nicht vom FBI sondern von einigen IT-Forschern. Zum Beispiel von Gareth Owen. (https://www.youtube.com/watch?v=-oTEoLB-ses)

3. Es ist wohl kaum verwunderlich, dass Pornographie einen sehr großen Anteil von Verbindungsverkehr darstellt - egal wo man sich befindet, im WWW oder sonstwo.
Was natürlich auch heißt, dass in anonymen Netzen sich Pornographie dann auch mit viel verbotener Pornographie mischen kann. So eine Statistik wird dann immer schwierig. Wenn ein Angebot einen kleinen Teil an illegaler Pornographie hat - zählt man dann das ganze Angebot gleich als illegal? Wenn ja, dann wird die Statistik natürlich horrend.

----

Bezüglich der benutzten "Lücke": Es wird vor allem eine Lücke ausgenutzt: Der Mensch und seine Fehler.
Von dem was wir wissen hat ein vorsichtiger und umsichtiger Tor-Benutzer, der sich ein bisschen auskennt, sehr gute Chancen unentdeckt zu bleiben.

[Nabokov]

hm. Der Tor-Verkehr zu hiddenservices kann, wie der andere Tor-Verkehr auch, über irgednwelche Tor-Server laufen. Besetzt man einen solchen, kann man den Anteile des Verkehrs bestimmen, der zu diesen, bzw. zu jenen Servern geht. Wobei im Prinzip natürlich ein einziger Tor-Server auch kein repräsentatives Ergebnis bringen kann. Aber um Tor in Verruf geraten zu lassen, kann das genügen.