FBI infiziert Rechner mit Malware durch Drive-by-Downloads im Tor-Netzwerk

Im Wired-Magazine wurde gestern darüber berichtet, wie der amerikanische Inlandsgeheimdienst FBI „Drive-by“-Downloads einsetzt, um Rechner beim Besuch einer Webseite mit Malware infiziert. Dabei geht es bei der Operation Torpedo nicht um „normale“ Webseiten, sondern darum, Nutzer des Anonymisierungsnetzwerks Tor zu identifizieren. Klar ist eine Infizierung von Malware durch Staatsbehörden nichts Neues. Wir kennen den Bundestrojaner, der unsere Rechner ausspioniert und auch die NSA hat eine reichhaltige Palette von Schadsoftware zu Zwecken von Kameraüberwachung, Keyloggern bis hin zu Kopien unseres Datenbestandes, die sie in industriellem Maßstab einsetzt. Neu ist jedoch der massenhafte Einsatz bei Hidden Services, die nur aus dem Tor-Netzwerk erreichbar sind und eigentlich Anonymität von Sender und Empfänger eines Inhaltes, etwa einer Webseite, bereitstellen sollen.

Die Überwachungstechnik wird mit dem immerwährenden Kinderporno-Bekämpfung-Argument gerechtfertigt. Augenscheinlich wurde dieses Ziel erreicht und es kam tatsächlich zur Eröffnung von Prozessen. Aber die FBI-Praxis ist nicht auf diesen Einsatzzweck beschränkt und das Risiko, sich mit Malware zu infizieren, weil man kurz auf der falschen Webseite war, ist hoch. Das stellt eine Abschreckung für diejenigen dar, die nichts Unrechtes im Sinn haben und dennoch ihre Anonymität schützen wollen. Journalisten oder Whistleblower beispielsweise. Chris Soghoian von der American Civil Liberties Union, sagte dazu:

You could easily imagine them using this same technology on everyone who visits a jihadi forum, for example […] And there are lots of legitimate reasons for someone to visit a jihadi forum: research, journalism, lawyers defending a case. ACLU attorneys read Inspire Magazine, not because we are particularly interested in the material, but we need to cite stuff in briefs.

7 Ergänzungen

  1. Zitat:
    „… um Rechner beim Besuch einer Webseite mit Malware infiziert.“
    … mit Malware zu infizieren.

  2. Ein ziespältiger Artikel.

    Auf der einen Seite verwenden nun also Behörden die Technik von Straftätern im Netz, um „Gutes“ zu tun. Im Vergleich z.B. zu einem „illegalem Download“ finde ich das schon recht massiv, vergleichbar mit einer illegalen Wohnungsdurchsuchung. Die Begründung, die „Kinderporno“-Bekämpfung ist wenig verhältnismäßig, wenn ein Großteil der wirklich übergrifflich werdenden Pädophilen (<1%!) tatsächlich nicht belangt wird. Das ist unverhältnismäßig, so es es wirklich um den Schutz von Kindern geht. Geht es aber nicht.

    Darüber zu informieren ist richtig und wichtig (liebe NP'ler).

    Auf der anderen Seite verbreitet auch ihr unbegündete Angst vor dem Tor-Netz statt aufzuklären. So ein “Drive-by”-Download ist z.B. ohne Javascript momentan kaum möglich. Intelligentes Verhalten vor dem Keyboard/Maus verhindert Schadsoftware zudem effektiv. Zugegeben, die Defaulteinstellungen und Eigenschaften von IE und Mozilla machen das nicht einfach. Google mit Ajax-"Zwang", youtube, MS und Portale, Werbetreibende, Shops erzwingen unsichere Browser(einstellungen). Das hat nichts mit Tor zu tun.

    Kein einziger bisher bekannter Angriff auf Tor rechtfertigt generelle "Angst" vor "Hackern" (vor Hackern sowieso nicht), Geheimdiensten und deren Listen oder Behörden. Im Gegenteil, Tor schützt effektiv, selbst wenn 60% der Exit-Nodes der NSA gehören würden. Tor dient nicht dazu Kriminelle zu schützen (und Straßen sind nicht für die Bankräuber da). Die Verwendung von Tor ist weder verwerflich noch gefährlicher als "www". Noch einmal: Tor ist definitiv weit sicherer, als "nacktes" WWW. Absolute Sicherheit gibt es jedoch zum Glück nicht.

    Wer einen Exitnode oder Verzeichnisserver betreibt, der weiß, was er tut. Wer das nicht weiß, der sollte einfach die Finger davon lassen und hat das Problem nicht. Für den Rest gilt: RTFM und Hirn einschalten. Besser ist das; im Internet…

  3. „ohne Javascript momentan kaum möglich“-richtig,aber auch nur“kaum“.geht also auch via Flash,PDF,gif,JPG,avi,mp3 usw.. ;)
    „Intelligentes Verhalten vor dem Keyboard/Maus verhindert Schadsoftware zudem effektiv.“-wow.Stehst du schon auf der Liste der Zukuenftigen Nobelpreistraeger?“Tor schützt effektiv“-richtig.Leider sagst du nicht gegen was.Nur eben nicht vor 0-day exploits.Dagegen hilft nur das target nicht installiert zu haben.“Tor ist definitiv weit sicherer, als „nacktes“ WWW.“Bewege ich mich im www bei dieser Aussage-oder nutze nur die hidden services?Wie du an dem Bericht siehst kann deine Aussage so nicht ganz richtig sein.“Wer einen Exitnode oder Verzeichnisserver betreibt, der weiß, was er tut. Wer das nicht weiß, der sollte einfach die Finger davon lassen und hat das Problem nicht.“???Welches Problem meinst du?“Für den Rest gilt: RTFM und Hirn einschalten.“-ymmd :lol:

    1. Es geht höchstens über Plugins – die unter Tor deaktiviet sein sollten , aber vom reinem betrachten einer Bilddatei bekommt niemand einen Virus (es gab unter dem IE mal eine Lücke in WMF, da war es möglich, aber ansonsten enthalten diese keinerlei aktiven Inhalte)

    2. „0-day exploit“ ist zwar ein schönes Schlagwort, heißt aber nicht dass dadurch automatisch jeder Rechner angreifbar ist. Jede Lücke die über das Internet in den Rechner kommt, braucht eine Schnittstelle in das System. D.h. wer diese Schnittstellen deaktiviert braucht sich auch vor einen 0-day exploit nicht zu fürchten. Und ein Drive-by-donwload exploit nutzt normalerweise Java und Javascript, beides Sachen die jemand mit halbwegs Verstand im Netz nur dezent nutzt. Java am besten gar nicht.

    3. Es ging mir darum, NP zu sagen, dass sie auf der einen Seite etwas sehr Gutes getan haben, indem sie wieder einmal einen Missstand veröffentlichen. Auf der anderen Seite aber lassen sie Nutzer im Regen stehen oder lassen wenigstens zu, dass sie Angst vor Tor bekommen. Es ist ein echtes und verständliches Problem, wenn man seriös (objektiv) sein will. Deshalb keine negative Kritik hier von mir! Ich habe auch keine Lösung dafür.

      Robin, Deine Fragen könntest Du selbst beantworten. Aber ich will mal nicht so sein. Muss ja niemand sonst (weiter) lesen:

      – “ohne Javascript momentan kaum möglich”-richtig,aber auch nur”kaum”.geht also auch via Flash,PDF,gif,JPG,avi,mp3 usw.. ;)

      ohne JavaScript kein Flash (in aller Regel). Javascript ist *das* Einfallstor in einen Browser seit es JavaScript gibt. Die Lücken in den Dateiformaten (genauer, in den Programmen, die sie darstellen) sind dem gegenüber relativ selten.

      Mit JavaScript erlaubst Du der Webseite ein Programm auf Deinem Rechner auszuführen. Darf das wirklich jeder Dummbart?

      – “Intelligentes Verhalten vor dem Keyboard/Maus verhindert Schadsoftware zudem effektiv.”-wow.Stehst du schon auf der Liste der Zukuenftigen Nobelpreistraeger?

      Wo Du schon fragst: früher oder später bestimmt (ROFTL). So what? Kleiner Witzbold.

      Ernsthaft: man muss nicht auf jeden Porn-Banner klicken. Man muss nicht immer Cookies oder JavaScript einschalten. Man könnte seine Software aktuell halten oder auch mal nachschauen, was die Warnung des Browsers bedeutet. Man könnte auch krugars Post lesen.

      – ”Tor schützt effektiv”-richtig.Leider sagst du nicht gegen was.
      So zum Beispiel gegen Tracking durch Google oder die Werbeindustrie einfach, weil sich die IP des Exitnodes im Minutentakt ändert. Deine IP erscheint gar nicht. Deine Kommunikation ist auch durch die NSA nicht (nur in seltenen Sonderfällen und dann noch nicht sicher) nachvollziehbar, wenn Du keine dummen Fehler machst.

      – Nur eben nicht vor 0-day exploits.Dagegen hilft nur das target nicht installiert zu haben.”

      Jep. Aber noch einmal, die allermeisten 0-day exploits im Browser betreffen Javascript. So zum Beispiel in dem Fall, um den es hier geht.

      – Tor ist definitiv weit sicherer, als “nacktes” http://WWW.”Bewege ich mich im www bei dieser Aussage-oder nutze nur die hidden services?

      Gemeint war: Internet via Exit-Nodes mit Tor ist weit sicherer, als ohne Tor. Hidden Services sind dagegen praktisch nicht mehr auszuspähen.

      – Wie du an dem Bericht siehst kann deine Aussage so nicht ganz richtig sein.
      Welche von den von Dir nicht verstandenen Aussagen meinst Du denn?

      – ”Wer einen Exitnode oder Verzeichnisserver betreibt, der weiß, was er tut. Wer das nicht weiß, der sollte einfach die Finger davon lassen und hat das Problem nicht.”???Welches Problem meinst du?”Für den Rest gilt: RTFM und Hirn einschalten.”

      „davon“ bezieht sich auf Exitnodes und Verzeichnisserver. RTFM bezieht sich auf die Selbstdarstellung und Empfehlung der Tor-Macher. Die kann ich nur unterschreiben. Es ist zwingende Voraussetzung für die halbwegs sichere Nutzung von Tor, sich die FAQs durchzulesen. Das ist die Bedienungsanleitung.

      -ymmd :lol:
      Freut mich, Dich zum Lachen gebracht zu haben. Möge es Dir nicht so schnell vergehen.

  4. Zwecks solcher Aktionen müssen von staatlicher Seite 0days (gekauft,) geheimgehalten und verwendet werden. Toller Umgang mit Steuergeldern…

    Das Tor Browser Bundle hat NoScript vorinstalliert, bin mir gerade nicht sicher obs auch eingeschaltet ist. Sich mit NoScript vertraut zu machen ist in jedem Fall eine gute Idee. Wer TOR also Proxy ins reguläre WWW verwendet (Ohai Youtube/GEMA!), sollte unbedingt darauf achten, HTTPS zu verwenden und sich mit Certificate Patrol oder ähnlichem gegen Man-In-The-Middle Versuche von modifizierten Exit Nodes absichern. In beiden Fällen verkleinert man durch die zusätzlichen Addons vermutlich sein Anonymity Set (das ist die Anzahl der TOR-Benutzer mit genau gleichem Setup, von denen man serverseitig nicht zu unterscheiden ist), aber das ist imho besser, als sich was einzufangen.
    Oh, und vielleicht nicht via TOR auf Facebook einloggen, die Like-Buttons erkennen Dich sonst eh wieder, egal von welcher IP Du kommst ;)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.