Tor: kwaadaardig verkeer van paar gebruikers afkomstig
Deze week publiceerde CloudFlare een rapport over Tor, waarin het stelde dat het grootste deel van het Tor-verkeer dat het verwerkt kwaadaardig is, maar volgens het Tor Project is dit verkeer van slechts een paar gebruikers afkomstig en hebben alle Tor-gebruikers onder CloudFlare te lijden.
Dagelijks maken 2,5 miljoen mensen gebruik van het Tor-netwerk, waarmee ze hun ip-adres kunnen verbergen en anoniem websites kunnen bezoeken. CloudFlare is een aanbieder van content delivery netwerken en beschermt websites tegen DDoS-aanvallen, spam en ander ongewenst verkeer. In het geval een Tor-gebruiker een website bezoekt die van CloudFlare gebruikmaakt, moet er eerst een captcha worden opgelost. CloudFlare probeert op deze manier onderscheid tussen bots en mensen te maken.
Volgens het Tor Project, de organisatie achter Tor, voorkomt CloudFlare hiermee dat Tor-gebruikers belangrijke websites kunnen bezoeken. "Het blokkeert websites volledig, terwijl in andere gevallen gebruikers een lange reeks traag ladende captcha's te zien krijgen, waarbij de gebruiker uiteindelijk opgeeft", aldus de reactie van het Tor Project in een nieuw rapport (pdf).
Als dit gebeurt kan een gebruiker besluiten om een onveilige browser te gebruiken dat zijn echte locatie of andere identificeerbare informatie prijsgeeft. Iets wat in het geval van mensenrechtenactivisten of slachtoffers van huiselijk geweld een serieus risico is. "Tor biedt deze groepen levensreddende anonimiteit en verbergt hun locatie", zo stelt het Tor Project. Doordat CloudFlare zoveel websites ontoegankelijk voor Tor-gebruikers maakt, kunnen die uiteindelijk besluiten om helemaal met Tor te stoppen.
Tor-verkeer
In een eigen rapport stelt CloudFlare dat 94% van het Tor-verkeer dat het voor klanten verwerkt kwaadaardig is. Volgens het Tor Project is het misbruik van slechts een handvol van de miljoenen gebruikers afkomstig. Het Tor-netwerk bestaat uit allerlei servers, waarbij het verkeer van gebruikers via verschillende servers loopt. De laatste server in deze keten is de exitnode.
Zodra CloudFlare bijvoorbeeld spam opmerkt dat van een exitnode afkomstig is, wordt de exitnode en al het verkeer er verder van afkomstig is als kwaadaardig bestempeld. Tor Browser, de software die de meeste Tor-gebruikers gebruiken, verandert automatisch van exitnode. Hierdoor kan één aanvaller ervoor zorgen dat alle exitnodes door CloudFlare als kwaadaardig worden bestempeld.
Problematiek
Volgens het Tor Project is CloudFlare al tenminste drie jaar met de problemen bekend en hebben de Tor-ontwikkelaars de laatste anderhalf jaar zowel online als in persoon met de CloudFlare-ontwikkelaars over een oplossing gesproken, maar is het probleem dat Tor-gebruikers worden geblokkeerd nog altijd niet opgelost. "Waardoor onze gebruikers lijden", aldus de Tor-ontwikkelaars. "Hierdoor hindert CloudFlare voor miljoenen mensen het recht op privacy en de vrijheid van meningsuiting", zo stellen ze.
Dat klopt op zich. Probleem daarbij is echter wel dat je door de aard van het netwerk moeilijk onderscheid kan maken tussen malafide en bonafide gebruikers. Waardoor de laatste groep soms geconfronteerd wordt met nadelige effecten, zoals blokkades, door het gebruik van TOR.
Indien ik via TOR ga internetbankieren, dan ga ik ook geen vreemde zaken doen. Toch zou ik het vreemd vinden indien men internetbankieren via TOR toestaat, omdat je je identiteit opzettelijk afschermt, en omdat de kans op hacking/malware activiteit (i.e. banking trojans) aanzienlijk groter is vanaf TOR IP space.
Tobrowser gebruikers zijn heel herkenbaar, namelijk door hun useragentstring
Laatste browserversie
Het lijkt erop dat 99% van het door cloudflare en anderen betitelde foute verkeer eenvoudig is te detecteren omdat 99% van dat zogenaamde foute verkeer een verkeerde (andere) useragent string lijkt te gebruiken!
Daar heb ik onder de forumpost https://www.security.nl/posting/466431/Cloudflare+Excuus+%3A+it%27s+%27You+%26+everyone+we+know%27%21 ook op gewezen maar het lijkt erop dat dat punt niet wordt opgepikt (maar ja als 'men' niet wil lezen kan het ook niet opgepikt worden, dat terzijde).
Dus, verkeer dat vanaf een exitnode komt met een useragentsring als MSIE (Microsoft internet explorer) of Java (!?) dan weet je dat je niet te maken hebt met een standaard (Mozilla-Firefox! based) Torbrowser gebruiker die gewoon aan het anoniem surfen is vanuit een privacy idee.
Er is dus wat anders aan de hand met die Useragentstrings en de goede verstaander en lezer van de gehele forumpost aldaar zal dat wellicht ook hebben opgepikt.
Dat idee zal ik nog eens verder uitwerken en daar plaatsen om het daar weer inhoudelijk ontopic te krijgen.
Toverwoord tot op heden dus de Useragentstring, daar had Cloudflare in positieve zin bij detectie gebruik van kunnen maken en dat heeft het niet gedaan.
Of dat dommigheid, desinteresse of gemakzucht is weten we niet.
Iedereen (met werkelijke interesse) is overigens van harte uitgenodigd om inhoudelijk positief deel te nemen aan het genoemde forumtopic opdat na het geheel lezen van de forum post (voorwaarde) er hopelijk alsnog een interessante inhoudelijke discussie kan ontstaan. Het is het waard namelijk.
De Tor ontwikkelaars en exitnode beheerders moeten gewoon hun verantwoording nemen en zorgen dat dat kwaadaardige verkeer sterk verminderd.
Doe ik al jaren via TOR. Met TOR scherm ik mijn identiteit niet af, maar mijn IP-adres.
Mijn identiteit is gewoon bekend tijdens internetbankieren. Ik log immers in. Maar ik zou werkelijk niet weten waarom een bank mijn IP-adres zou moeten weten voor het verwerken van mijn betalingsverkeer. Doelbinding moet je af en toe een beetje stimuleren. :-)
Tevens is de verklaring van "wij helpen mensen in moeilike gebieden met toegang tot het internet" is onzin. Veel van die landen hebben een landelijk gemonitorde uplink naar het Internet. Denk aan China en Noord-Korea. Die landen lezen gewoon inline mee (dus ook TOR).
Als ik de nummerplaten van mijn auto afhaal (omdat ik graag anoniem wil rijden) wordt ik ook aangehouden. En waarom? Omdat benzinedieven, verzekerings fraudeurs, criminelen etc. ook wel graag anoniem willen rijden......
De beste manier om anoniem op het Internet te zijn is door mee te gaan in de grote massa. Het is onmogelijk om al het verkeer op het Internet te monitoren. En er moeten wel heel veel mensen zijn op deze site die wat te verbergen hebben. Want persoonlijk maak ik me er niet zo druk om (en ik werk in de Netwerk Security). Er is maar 1 absoluut veilige methode: Ga niet het Internet op!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
