Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Wat kan je doen als je botst op een TOR IP adres?

03-01-2015, 11:19 door Vin Louisel, 11 reacties
Laatst bijgewerkt: 03-01-2015, 11:20
Hallo allemaal

Ik ben al jaren een stille kijker op dit forum en probeer zo veel mogelijk bij te leren.
Onlangs kwam het voor dat de FB pagina van een kennis van mij "gehackt" is.
Naar aanleiding van deze gebeurtenis heb ik zelf wat speurwerk gedaan:

Het ip adres dat inlogde op de account was:
IP-adres: 5.79.68.161
Browser Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0
Cookie: ...vtPr

Als ik dit IP adres verder onderzocht eindigde mijn zoektocht hier:

IP: 5.79.68.161
Decimal: 89080993
Hostname: tor-exit.server6.tvdw.eu
ISP: LeaseWeb B.V.
Organization: LeaseWeb B.V.
Services: Confirmed proxy server
Recently reported forum spam source. (136)
Assignment:Static IP
Geolocation Information Country: Anonymous Proxy

Als ik dan kijk bij accountactiviteit zie ik het volgende:
IP-adres: 37.220.35.61
Browser Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0
Cookie: ...3ezF

Opnieuw het IP-adres: 37.220.35.61 is een anonieme proxy server.

Nu heb ik hier enkele vragen over:
Het blijkt dat de persoon die zich toegang verschafte tot de account het TOR netwerk gebruikte.
Wat zijn de kansen dat we de persoon kunnen identificeren? ( Volgens mij heel klein aangezien het om TOR gaat)
Wat kan de politie doen?
En welke preventieve maatregelen nemen we best zodanig dat dit niet weer gebeurt?

Indien de verschafte informatie niet voldoende is vul ik deze graag aan.
(bijt mij niet de neus af indien ik foute dingen zeg, want uit mijn fouten kan ik leren ;) )

Groeten

Vin Louisel
Student
Reacties (11)
03-01-2015, 12:15 door Anoniem
Wat zijn de kansen dat we de persoon kunnen identificeren?
50% kans, of het lukt wel of het lukt niet.


Wat kan de politie doen?
Verkeersboetes uitdelen.


En welke preventieve maatregelen nemen we best zodanig dat dit niet weer gebeurt?

Facebook zal niet gehackt zijn, maar het wachtwoord was of te makkelijk of je PC
waar je mee facebooked heeft malware. De malware heeft het wachtwoord opgepikt en doorgestuurd.
Of het is een bekende die het wachtwoord weet.

Dus wat doe je er aan :
PC scannen op malware met antivirus rescue CD.
Slachtoffer moet wat kennis opdoen.
Sterk wachtwoord nemen.
Wachtwoord niet opslaan via browser, niet automatisch laten vullen.
03-01-2015, 13:00 door Anoniem
Hallo en welkom bij de klantenservice van Fakeboek! Oh wacht.., volgens mij ben je aan het verkeerde (IP)adres.

Door Vin Louisel: Wat zijn de kansen dat we de persoon kunnen identificeren? ( Volgens mij heel klein aangezien het om TOR gaat)
Wat kan de politie doen?
En welke preventieve maatregelen nemen we best zodanig dat dit niet weer gebeurt?
De kans dat je die persoon kunt identificeren op basis van een IP is 0.0%, een IP is namelijk geen persoonsgegeven.

De politie gaat je waarschijnlijk vierkant in je gezicht uitlachen, en FB zou het account in principe kunnen 'straffen' omdat het wachtwoord klaarblijkelijk met anderen gedeeld is.


Maatregelen die je kunt treffen:
- Systemen beter beveiligen, en
- geen publieke AP's gebruiken om in te loggen, en
- wachtwoorden wijzigen + NIET meer delen met anderen, en
- voor ieder account een ander wachtwoord gebruiken, en
- zorgen dat het account een minder interessant doelwit vormt, of
- heel die fakeboek-zooi opheffen natuurlijk.


NB: Wel typisch dat iemand die zich associeert met LOIC, juist zo'n topic moet starten.
03-01-2015, 13:51 door Anoniem
Beste Vin,
Je kunt hier inderdaad niet zoveel mee. Maar zelfs als er geen proxy/TOR werd gebruikt, wil dat nog niet zeggen dat je de dader zou hebben gevonden als je alleen al naar de hoeveelheid zombie PC's kijkt. Het is tamelijk eenvoudig om de PC van iemand anders te 'gebruiken' zonder diens medeweten. En dan hebben we het nog niet over het aantal 'open' WiFi punten.

Vandaar dat er geluiden op gaan om bijvoorbeeld TOR te verbieden of zelfs encryptie niet toe te staan. Het fundament van iedere communicatie is vertrouwen. Een verschil tussen 'Good guys' en 'bad guys' bestaat niet om dat good-guys bad-guys kunnen worden (of al zijn;-). De basis van de maatregelen zou hierop gebaseerd moeten zijn; vertrouw niemand, ook jezelf niet! Dat wil niet zeggen dat niemand te vertrouwen is maar je voorkomt (latere) problemen.

In beveiligingsland wordt teveel het vertrouwen omgedraaid; "de overheid/opsporing instanties mogen alles van me weten, ik heb toch niets te verbergen...". Maar wie is die overheid? 'Good-guys'? of die politie agent met opsporingbevoegdheden die zijn buurmeisje om het leven had gebracht?

Vertrouwen is dynamisch; het veranderd van moment tot moment. Beveiliging moet daarop ingesteld worden.
03-01-2015, 16:48 door Eric-Jan H te D
De 5.x.x.x serie van IP-adressen was tot voor kort niet direct te linken aan een eigenaar. Ze werden onder meer gebruikt door Hamachi (een vpn achtige service).
03-01-2015, 17:59 door Anoniem
Hack? Hacking? Gehackt?

'Spannend' ...
Echter, wat slechts vaststaat is dat er is ingelogd door iemand anders op een FB account.
Hoe die persoon aan het password is gekomen is nog geenszins duidelijk.
In een 'studenten' omgeving acht ik de kans zomaar groot dat het om social engineering of gemakkelijke trucs gaat van mannetjes in competitie om de hoogste bedscore.

Vin Louisel?
Opmerkelijke naam.
Hoe kom je erop, Louise L. misschien? Wat moet te doen dan met 'Vin'?
Wijnliefhebber en goede kennis Louise L. slachtoffer van een hack?

What's in a name?
Search: "Vin" "Louisel"
Eerste resultaat : File:Print creens low orbit ion cannon.JPG - Wikimedia Commons
https://commons.wikimedia.org/wiki/File:Print_creens_low_orbit_ion_cannon.JPG

Kon de opmerking van 13:00 al niet plaatsen, nu al beter.

Low Orbit Ion Cannon (LOIC)
https://nl.wikipedia.org/wiki/Low_Orbit_Ion_Cannon
Low Orbit Ion Cannon (LOIC) is een opensource-computerprogramma dat de gebruiker in staat stelt een (D)Dos-aanval uit te voeren.[1] Het programma is geschreven in C#. Met LOIC kan de gebruiker zich vrijwillig aansluiten aan een botnet/DDOS. De gebruiker kan er twee soorten aanvallen mee uitvoeren, namelijk TCP-packages en UDP-packages. Het is een zeer makkelijk te bemachtigen programma en het is beschikbaar voor Windows, Linux en Mac OS X. Een variant op LOIC is HOIC.

Nobel, vriendinnen helpen met kennis.
Toch?

Het lijkt me dat iemand die zich verdiept in dit soort software met gemak de werking van Tor zelf kan uitpluizen en het Tor Faq technisch kan doorgronden.
Daar ben je immers ook student voor niet?

In je Forumvraag komt misbruik van Tor nogal aan de orde.
Misbruik van Tor is jammer maar komt inderdaad ook voor.
Tor kan en wordt over het algemeen voor goede doeleinden gebruikt, wat wereldwijd verhoudingsgewijs ook zeker het geval is / lijkt te zijn.
Alleen al Nederland kent 40.000 Torbrowser gebruikers, allemaal criminelen?
Nee natuurlijk niet, als je het privacy nieuws een beetje bij houdt snap je dat er steeds dringender redenen zijn op deze manier jezelf te beschermen tegen ... .

Privacy : Bits of Freedom
https://www.bof.nl

TOR, lees er van alles over op Torproject zelf
https://www.torproject.org .

Echter, de (DDOS) software waar jij je (toevallig?) mee lijkt te associëren, ik kan er geen positieve kanten aan ontdekken.
Wil je het werkelijke ip adres achterhalen van de boosdoener (FB inlogger) om die geheel volgens het model 'eigenrichting' een koekje van eigen deeg te geven en te gaan DDOS-en?
Ik vraag me sterk af of dat nog onder het demonstratierecht valt,.. .
Misschien een 'iets te persoonlijk gericht protest' om een rechter te overtuigen van de goede noodzaak langs de kaders van de wet.

Of gaat het eigenlijk helemaal niet om een FB slachtoffer en wil je gewoon zeker weten of je met gebruik van Tor te achterhalen bent.
Omdat je misschien de mogelijkheid ook wil onderzoeken zelf misbruik van Tor te maken in een misbruik combinatie van DDOS en TOR.
Voor welke doeleinden nog meer?

Als dat zo is.
Ik heb er geen verstand van maar deze info weet ik voor je te vinden.
DDOS en TOR, van die (studenten)fiets houdt het Tor project ook niet!

Tor FAQ Abuse
https://www.torproject.org/docs/faq-abuse.html.en

DDOS & TOR
https://www.torproject.org/docs/faq-abuse.html.en#DDoS
What about distributed denial of service attacks?

Distributed denial of service (DDoS) attacks typically rely on having a group of thousands of computers all sending floods of traffic to a victim. Since the goal is to overpower the bandwidth of the victim, they typically send UDP packets since those don't require handshakes or coordination.

But because Tor only transports correctly formed TCP streams, not all IP packets, you cannot send UDP packets over Tor. (You can't do specialized forms of this attack like SYN flooding either.) So ordinary DDoS attacks are not possible over Tor. Tor also doesn't allow bandwidth amplification attacks against external sites: you need to send in a byte for every byte that the Tor network will send to your destination. So in general, attackers who control enough bandwidth to launch an effective DDoS attack can do it just fine without Tor.

Al met al roept je verhaal vragen op (alleen bij mij en 13:00 ?).
- Hoe zit dat?
- Wat is nou je werkelijke verhaal en je plan van aanpak met de kennis waar je hier om vraagt?

Hou het maar positief, dat scheelt een hoop ellende en gedonder!

Focus inderdaad maar op het voorkomen van misbruik in plaats je te verdiepen in gebruik van DDOS.
Wanneer je forumpost louter goed bedoeld was, sluit ik mij wederom aan bij de tips die 13:00 geeft met een kleine aanvulling :
- Verander het FB wachtwoord op een ander computer systeem dat je kan vertrouwen en scan de apparaten van de FB eigenaar op virussen, malware, spyware.


P.s.

Reverse zoektocht
Vergeet dat ip adres verhaal maar, voor het verbergen van het originele ip adres, daar is Tor nou juist voor ontworpen en de kans is buitengewoon klein dat jij met het proberen de reverse route uit te pluizen er zelf op deze manier achter gaat komen.

Welke eventuele mogelijkheden er 'buiten Tor' wel zijn, ga ik je niet vertellen, maar er zijn zoals helaas hier elke keer weer blijkt helaas altijd wel ('Handy') reageerders hier die zich graag laten lenen die technieken vooral wel uit de doeken te doen (om het 'mannetje uit te hangen').
Het is niet ethisch, grenst aan eigenrichting, sluit nieuw misbruik door anderen zeker niet uit, en .. 'Terughacken' is alleen voorbehouden aan .. 'professionals' van een zekere statuur met 'terug hacklicentie'.
03-01-2015, 21:21 door Vin Louisel
Door Anoniem: Hack? Hacking? Gehackt? [/i]
Vandaar mijn aanhalingstekens in mijn tekst. Ik vind het zelf ook nogal een raar woord.

"What's in a name?
Search: "Vin" "Louisel"
Eerste resultaat : File:Print creens low orbit ion cannon.JPG - Wikimedia Commons
https://commons.wikimedia.org/wiki/File:Print_creens_low_orbit_ion_cannon.JPG

Kon de opmerking van 13:00 al niet plaatsen, nu al beter

Ik moest lachen en ik had niet minder verwacht van dit forum. Vandaar dat ik ook niet verwonderd ben over jullie argwanend gedrag. Ik schreef de pagina over LOIC omwille van een schoolopdracht niet meer of niet minder.


]Het lijkt me dat iemand die zich verdiept in dit soort software met gemak de werking van Tor zelf kan uitpluizen en het Tor Faq technisch kan doorgronden.
Daar ben je immers ook student voor niet?
Daar heeft u een punt.


Echter, de (DDOS) software waar jij je (toevallig?) mee lijkt te associëren, ik kan er geen positieve kanten aan ontdekken.
Wil je het werkelijke ip adres achterhalen van de boosdoener (FB inlogger) om die geheel volgens het model 'eigenrichting' een koekje van eigen deeg te geven en te gaan DDOS-en?
Ik vraag me sterk af of dat nog onder het demonstratierecht valt,.. .
Misschien een 'iets te persoonlijk gericht protest' om een rechter te overtuigen van de goede noodzaak langs de kaders van de wet.

Of gaat het eigenlijk helemaal niet om een FB slachtoffer en wil je gewoon zeker weten of je met gebruik van Tor te achterhalen bent.
Omdat je misschien de mogelijkheid ook wil onderzoeken zelf misbruik van Tor te maken in een misbruik combinatie van DDOS en TOR.
Voor welke doeleinden nog meer?

Een DDOS uitvoeren op de dader zou ons geen stap verder helpen (in mijn ogen toch). LOIC in combinatie met TOR : ik wist zelf niet dat het kon. Weer iets bijgeleerd.
Ik associeer me ook niet met LOIC. Want dan zouden de auteurs waar ik mij op gebaseerd heb voor het schrijven van de wiki ook geassocieerd worden met DDOS terwijl ik net als hun gewoon de werking vertel.
(Uitleggen hoe een atoombom werkt wil ook niet zeggen dat de persoon in kwestie een atoombom zal bouwen en gebruiken)


Al met al roept je verhaal vragen op (alleen bij mij en 13:00 ?).
- Hoe zit dat?
- Wat is nou je werkelijke verhaal en je plan van aanpak met de kennis waar je hier om vraagt?

Hou het maar positief, dat scheelt een hoop ellende en gedonder!

Mijn schoolopdracht staat los van de vraag die ik nu stel. Maar ik snap de verwarring.Ik koos tevens wel bewust voor de naam Vin Louisel. Ik zou een dommerik zijn om indien ik 'slechte' plannen heb om de link met LOIC zo duidelijk te maken.

Reverse zoektocht
Vergeet dat ip adres verhaal maar, voor het verbergen van het originele ip adres, daar is Tor nou juist voor ontworpen en de kans is buitengewoon klein dat jij met het proberen de reverse route uit te pluizen er zelf op deze manier achter gaat komen.

Welke eventuele mogelijkheden er 'buiten Tor' wel zijn, ga ik je niet vertellen, maar er zijn zoals helaas hier elke keer weer blijkt helaas altijd wel ('Handy') reageerders hier die zich graag laten lenen die technieken vooral wel uit de doeken te doen (om het 'mannetje uit te hangen').
Het is niet ethisch, grenst aan eigenrichting, sluit nieuw misbruik door anderen zeker niet uit, en .. 'Terughacken' is alleen voorbehouden aan .. 'professionals' van een zekere statuur met 'terug hacklicentie'.

In het woord "Terughacken" geloof ik niet echt. Maar idd ik wou wel opzoek gaan in hoeverre ik kon terug gaan naar het oorspronkelijke IP Adress. Ik ben verre van een kenner/expert noch hacker.

Ik bedank u om de tijd te nemen om deze uitgebreide tekst te schrijven. Mijn achtergrond is misschien verwarrend maar mijn intenties zijn goed.


Groeten

Vin Louisel
03-01-2015, 21:23 door Vin Louisel
Dank aan allen die al reeds reageerden.
04-01-2015, 00:06 door Anoniem
Door Vin Louisel: Ik moest lachen en ik had niet minder verwacht van dit forum. Vandaar dat ik ook niet verwonderd ben over jullie argwanend gedrag ....
In het woord "Terughacken" geloof ik niet echt. Maar idd ik wou wel opzoek gaan in hoeverre ik kon terug gaan naar het oorspronkelijke IP Adress. Ik ben verre van een kenner/expert noch hacker.
+
Dank aan allen die al reeds reageerden.
Graag gedaan.

Kleine nuance, argwanend of behulpzaam gedrag?
Daarbij maak ik me geen zorgen om LOIC, maar meer over het feit dat je het interessant vindt om te weten of, en hoe onbevoegd gebruik van een account op te sporen is. Er zijn mogelijkheden. zeker als het misbruik voort duurt, maar dáár ga ik niet bij helpen.
Als je mijn tips een beetje op laat volgen, voorkom je wellicht erger in de toekomst.

gr anon 13:00
04-01-2015, 08:58 door Anoniem
Door Eric-Jan H te A: De 5.x.x.x serie van IP-adressen was tot voor kort niet direct te linken aan een eigenaar. Ze werden onder meer gebruikt door Hamachi (een vpn achtige service).
Huh? Dit zijn 16 miljoen adresssen die aan allerlei verschillende bedrijven zijn toegekend en die nauwelijks iets
gemeenschappelijk hebben....
04-01-2015, 17:33 door Eric-Jan H te D - Bijgewerkt: 05-01-2015, 03:55
Door Anoniem:
Door Eric-Jan H te A: De 5.x.x.x serie van IP-adressen was tot voor kort niet direct te linken aan een eigenaar. Ze werden onder meer gebruikt door Hamachi (een vpn achtige service).
Huh? Dit zijn 16 miljoen adresssen die aan allerlei verschillende bedrijven zijn toegekend en die nauwelijks iets
gemeenschappelijk hebben....

Ik moet eerlijk zijn dat ik niet op de hoogte ben van de huidige situatie. Hamachi gebruikt inmiddels de 25.x.x.x serie omdat de 5.x.x.x serie op het punt stond om toegewezen te worden. Dit soort adressen wordt door een dienst als Hamachi ook alleen gebruikt voor gebruik in het lokale virtuele netwerk. Dus ik neem aan dat Hamachi botsingen met daadwerkelijk toegekende fysieke adressen probeert te voorkomen.
04-01-2015, 20:01 door Anoniem
https://atlas.torproject.org/#details/B7EC0C02D7D9F1E31B0C251A6B058880778A0CD1
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.