image

Beheerder verliest controle over Tor-servers

maandag 22 december 2014, 10:37 door Redactie, 14 reacties
Laatst bijgewerkt: 22-12-2014, 17:18

De beheerder van een groot aantal Tor-servers heeft gisterenavond een waarschuwing afgegeven nadat hij de controle over de servers had verloren. Volgens Thomas White blijkt uit informatie van de kastsensoren dat er een usb-apparaat voor zo'n 60 seconden in de servers is geplaatst. Het was de laatste informatie over de servers die de beheerder doorkreeg. Ook werd het account van White bij de Schiedamse hostingprovider SnelServer bevroren.

White, die zich eerder dit jaar nog lovend over SnelServer uitliet, heeft nog niet van de provider gehoord of het om een politie-actie gaat, maar zou al wel hebben vernomen dat iemand ongeautoriseerde toegang tot zijn account heeft gekregen. Dat verklaart echter niet het fysieke gebruik van het usb-apparaat bij de servers. Verder blijkt dat een groot deel van de logs is verdwenen.

In eerste instantie suggereerde de beheerder dat de actie waarschijnlijk het werk van een opsporingsdienst was, hoewel hij daar later op terugkwam. "Mensen nemen mij verdenkingen veel te serieus. Ik heb nog geen enkele opsporingsdienst genoemd en de theorieën gaan al rond", zo laat hij via Twitter weten. Inmiddels zijn de servers van White op een blacklist geplaatst en vormen geen gevaar meer voor Tor-gebruikers.

De grote vraag blijft wie er voor de actie verantwoordelijk is. "De kans dat dit het werk van een opsporingsdienst is, is kleiner dan verwacht. Dit is voor meerdere redenen goed, maar levert meer vragen dan antwoorden op", aldus White. Hij sluit de mogelijkheid van optreden door een opsporingsdienst niet uit, aangezien er niet voldoende informatie voorhanden is. Dit weekend waarschuwde Tor-ontwikkelaar Roger Dingledine nog voor een mogelijke aanval op het Tor-netwerk, waarbij zou worden geprobeerd om het netwerk offline te halen.

Update

Snel laat in een reactie op Security.NL weten: "Er wordt beweerd dat er een USB-apparaat is aangesloten in het systeem, deze constatering klopt niet en we kunnen ook met alle zekerheid zeggen dat de servers niet in beslag zijn genomen door de politie.

Het klopt wel dat het account van de klant korte tijd offline is geweest vanwege ons beveiligingsbeleid. De klant is echter direct op de hoogte gesteld en wordt nog steeds gehost op ons netwerk.

Als je inlogt via de KVM (Kernel-based Virtual Machine) dan ziet de server dit als een USB event (IPMI koppelt virtueel toetsenbord/muis/monitor). Toen de klant erachter kwam dat zijn servers offline waren, heeft hij met de KVM ingelogd om te achterhalen wat er mogelijk aan de hand zou zijn, tijdens deze inlogactie zijn de events gelogd naar zijn logs."

Reacties (14)
22-12-2014, 11:15 door Anoniem
Inmiddels zijn de servers van White op een blacklist geplaatst en vormen geen gevaar meer voor Tor-gebruikers.

Volgens mij moeten degenen die individuele servers op een blacklist plaatsen nog eens goed bij zichzelf te rade gaan of ze geen vals gevoel van veiligheid creeeren voor Tor-gebruikers.

Immers zijn talloze tor exit nodes opgezet met bijbedoelingen, bijvoorbeeld door inlichtingendiensten. Wat dat betreft is Tor gebruik hoe dan ook ''gevaarlijk'', omdat je de kans loopt dat er mensen ''meekijken''.
22-12-2014, 12:12 door Snel.com
Beste lezers,

Wij willen graag reageren op het bericht dat is geplaatst, omdat de beweringen niet kloppen. Er wordt beweerd dat er een USB-apparaat is aangesloten in het systeem, deze constatering klopt niet en we kunnen ook met alle zekerheid zeggen dat de servers niet in beslag zijn genomen door de politie.

Het klopt wel dat het account van de klant korte tijd offline is geweest vanwege ons beveiligingsbeleid. De klant is echter direct op de hoogte gesteld en wordt nog steeds gehost op ons netwerk.

Als je inlogt via de KVM dan ziet de server dit als een USB event (IPMI koppelt virtueel toetsenbord/muis/monitor). Toen de klant erachter kwam dat zijn servers offline waren, heeft hij met de KVM ingelogd om achter te halen wat er mogelijk aan de hand zou zijn, tijdens deze inlogactie zijn de events gelogd naar zijn logs.

De klant heeft ook al via zijn Twitter account aangegeven, dat zijn constateringen te serieus zijn genomen https://twitter.com/CthulhuSec/status/546878441724084224

--
Met vriendelijke groet,

SnelServer.com
22-12-2014, 13:03 door Anoniem
Zie ook de discussie op de tor mailinglist:
https://lists.torproject.org/pipermail/tor-talk/2014-December/036067.html
22-12-2014, 13:31 door Anoniem
Tor is mooi, maar als de NSA meekijkt op mijn verzendende netwerk, en ook op het ontvangende netwerk (en ze zitten echt overal) dan kan ik via Tor in het ritme van de 7e van beethoven gaan klikken op een tor-weblink, waarna de NSA alleen maar hoeft te kijken welke server aan een overkant op dat ritme antwoord geeft. Een server zit denk ik niet IN tor, maar erachter.
kwestie van knopje-lampje. Een beetje goeie geheime server staat daarom in een netwerk met een tor-exitnode waar de NSA niet in het netwerk zit. maar waar vind je die?
22-12-2014, 13:52 door Mysterio
Thomas moet even z'n mail lezen voordat hij gaat roepen dat z'n servers onbetrouwbaar zijn.
22-12-2014, 14:18 door Anoniem
Door Anoniem: Volgens mij moeten degenen die individuele servers op een blacklist plaatsen nog eens goed bij zichzelf te rade gaan of ze geen vals gevoel van veiligheid creeeren voor Tor-gebruikers.
Nee. Dat op die zwarte lijst zetten bij duidelijke indicaties dat er iets mis is, is niet meer dan noodzakelijk. Daar doen andere servers die mischien nog meer gecompromitteerd zijn terwijl we dat niet weten, niets aan af.

Dit blijft de correcte actie ook als later blijkt dat die indicaties verkeerd geintepreteerd zijn (wat zo mag lijken te zijn maar nog niet gebleken is).

Immers zijn talloze tor exit nodes opgezet met bijbedoelingen, bijvoorbeeld door inlichtingendiensten.
Dit is waar. Maar volgens jouw redenering kunnen we maar beter de zwarte lijst afschaffen want die bijhouden wekt toch alleen maar een vals gevoel van veiligheid. Die redenering klopt niet.

Wat dat betreft is Tor gebruik hoe dan ook ''gevaarlijk'', omdat je de kans loopt dat er mensen ''meekijken''.
Het is nooit anders geweest dan dat je dit hoort te weten als je tor wil gebruiken.
22-12-2014, 18:02 door Anoniem
@ Snel.com

Wat mij eerder verontrust is het grote mysterieuze cluster van Chandler 1 t/m 27 (+ de a varianten)aan exitnodes die worden gehost door Snel.com .

Zijn dat allemaal kleintjes of is dat voornamelijk toevallig van een grote (...) klant?
Bij een dergelijk groot cluster van een aanbieder kan het voorkomen dat je van de ene Chandler naar de andere Chandler exitnode hopt.

Geconstateerd 'estafette record' is iets van 6 a 7 keer.
Dat is 60 a 70 minuten Tor verkeer bij slechts een exitnode verkeer aanbieder.
Wie zou een dergelijke periode aan exitnode verkeer erg interessant vinden om te monitoren?

Snel.com doet vast geen uitspraken over haar klanten.
Interessant om te weten is het wel.

@ Torgebruikers
Discussiepunt buiten Snel services ; eigenlijk zouden dergelijke grote clusters binnen het tor netwerk niet moeten worden toegestaan om risico's van exitnodes beheersbaar te houden.
22-12-2014, 19:16 door Anoniem
"Er wordt beweerd dat er een USB-apparaat is aangesloten in het systeem, deze constatering klopt niet"
Ze bedoelen:
We zijn net naar de Cage gelopen en hebben geconstateerd dat er NU niets _meer_ aan de USB poort hangt
"En we kunnen ook met alle zekerheid zeggen dat de servers niet in beslag zijn genomen door de politie:
Ze bedoelen:
We zijn net naar de Cage gelopen en hebben geconstateerd dat de server er NU _weer_ hangt

Kortom, gewoon niet reageren is het advies (best practice van "Jack het Lek"), of je nu terrecht of onterrecht negatief in de publiciteit komt, soms gewoon pech.

PS. De slagroomtaart die we eerder vandaag van een anonieme tevreden klant otvangen hebben was heerlijk, dus daar zijn we voornamelijk deze ochtend mee bezig geweest. Kan zijn dat de politie via de achterdeur gekomen is tijdens deze taart-actie
22-12-2014, 20:44 door [Account Verwijderd] - Bijgewerkt: 22-12-2014, 20:45
[Verwijderd]
23-12-2014, 09:44 door snelcom
1- Nee, er heeft nooit een USB stick/apparaat aangesloten geweest op zijn servers.
2- Nee, de servers zijn nooit in beslag genomen geweest.
3- Ik snap niet wat u probeert te bereiken met zulke speculaties maar ik denk dat we heel duidelijk zijn geweest met ons uitleg!

Door Anoniem:
"Er wordt beweerd dat er een USB-apparaat is aangesloten in het systeem, deze constatering klopt niet"
Ze bedoelen:
We zijn net naar de Cage gelopen en hebben geconstateerd dat er NU niets _meer_ aan de USB poort hangt
"En we kunnen ook met alle zekerheid zeggen dat de servers niet in beslag zijn genomen door de politie:
Ze bedoelen:
We zijn net naar de Cage gelopen en hebben geconstateerd dat de server er NU _weer_ hangt

Kortom, gewoon niet reageren is het advies (best practice van "Jack het Lek"), of je nu terrecht of onterrecht negatief in de publiciteit komt, soms gewoon pech.

PS. De slagroomtaart die we eerder vandaag van een anonieme tevreden klant otvangen hebben was heerlijk, dus daar zijn we voornamelijk deze ochtend mee bezig geweest. Kan zijn dat de politie via de achterdeur gekomen is tijdens deze taart-actie
23-12-2014, 14:16 door Anoniem
Door snelcom: 1- Nee, er heeft nooit een USB stick/apparaat aangesloten geweest op zijn servers.
2- Nee, de servers zijn nooit in beslag genomen geweest.
3- Ik snap niet wat u probeert te bereiken met zulke speculaties maar ik denk dat we heel duidelijk zijn geweest met ons uitleg!

Door Anoniem:
"Er wordt beweerd dat er een USB-apparaat is aangesloten in het systeem, deze constatering klopt niet"
Ze bedoelen:
We zijn net naar de Cage gelopen en hebben geconstateerd dat er NU niets _meer_ aan de USB poort hangt
"En we kunnen ook met alle zekerheid zeggen dat de servers niet in beslag zijn genomen door de politie:
Ze bedoelen:
We zijn net naar de Cage gelopen en hebben geconstateerd dat de server er NU _weer_ hangt

Kortom, gewoon niet reageren is het advies (best practice van "Jack het Lek"), of je nu terrecht of onterrecht negatief in de publiciteit komt, soms gewoon pech.

PS. De slagroomtaart die we eerder vandaag van een anonieme tevreden klant otvangen hebben was heerlijk, dus daar zijn we voornamelijk deze ochtend mee bezig geweest. Kan zijn dat de politie via de achterdeur gekomen is tijdens deze taart-actie
Ik denk dat genoemde anoniem meer op zoek is naar bevestiging dan naar objectieve beeldvorming.

Wel is het zo, dat het ronduit bevreemdend is, dat u hier zo fanatiek komt reageren, zonder uitsluitsel te (willen?) geven over wat er nu daadwerkelijk wél heeft plaatsgevonden, voor zover het nog mogelijk is om dat te beoordelen.

Tevens vind ik het bevreemdend dat u zich, in uw reacties, geenszins zorgen lijkt te maken over de veiligheid van een netwerk dat mede via uw servers gehost wordt. Ik ga dan als vanzelf vragen stellen, waarbij ik me ook kan voorstellen dat er genoeg mensen zijn, die daar direct (negatieve) conclusies aan verbinden.
Zeker als het gaat om Tor, zou een kritische blik nooit afgewimpeld mogen worden, naar mijn mening.

Ik snap dat u geen behoefte heeft om hier alle ins- en outs te delen, maar een ontkennende boodschap zonder informatieve inhoud wordt nu eenmaal niet vaak positief ontvangen.
Ik kan me dan ook vinden in het eerder gegeven advies om niet (ontkennend) te reageren op kritische geluiden, dit bevestig louter vermoedens ipv die te ontkrachten.

Kortom, wat is er dan wel voorgevallen volgens u???
24-12-2014, 20:05 door KwukDuck
Een van de vele zwaktes van Tor en het verbaasd me zeer dat dit nog niet eerder gebeurd is.
I2P heeft hier gelukkig geen last van.
27-12-2014, 02:33 door Anoniem
Door KwukDuck: Een van de vele zwaktes van Tor en het verbaasd me zeer dat dit nog niet eerder gebeurd is.
I2P heeft hier gelukkig geen last van.

Hit

https://www.security.nl/posting/366853#posting366881
5 posters die vroegen om je stokpaard statement met verifieerbare informatie te onderbouwen.
Stilte.

and run
29-12-2014, 23:23 door Anoniem
"Verder blijkt dat een groot deel van de logs is verdwenen." En ik maar denken dat er niets wordt gelogd vanwege privacy-bescherming.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.