Dat doen Malware en virusscanner ook. Bij het controleren van websites (webprotectie modules) communiceren ze het oorspronkelijk IP adres. Vandaar dat web protectie modules standaard uitgaan wanneer ik via TOR en/of VPN iets wil gaan doen. Wellicht is het ook beter om de updates (tijdelijk) uit te zetten omdat deze waarschijnlijk ook het originele IP meesturen bij het contact met de update server. Bij ESET en bij Malwarebytes heb ik dat eerder al vastgesteld. Ik verdenk Windows update daar ook van maar deze staat bij mij standaard uit waarbij ik deze eens in de week een keer aanzet om te zien of er nog updates zijn. Dan staan VPN en TOR uiteraard uit.

Deze video lijkt me een geweldig voorbeeld voor een leuke securitykwiz ;)

Wat gaat hier allemaal niet helemaal lekker kijkend naar de Torbrowser?
In hoeverre heeft dit voorbeeld ècht met Torbrowser te maken?
In hoeverre is deze aanpak origineel, andere vergelijkbare voorbeelden bekend?

Wat kan je hier aan doen in Torbrowser?
Wat kan je hier aan doen op je systeem?

Is deze aanvalsmethode bedoeld voor slimmies of voor dummies?

Het valt me nog mee dat er niets verstopt zat in de vimeo mp4.
Dat was een schitterend zelfbevestigend voorbeeld geweest.
Maar nee, geen enkele outbound connectie poging tijdens het afspelen van de video buiten de browser om.

Want, ik wist het 'ook' niet exact en heb het nagezocht, ook mp4 kan nog eventueel drm bevatten *, dat is niet alleen voorbehouden aan flash of wmv format!
Dus dat is wel een dingetje op om te letten want mp4 is standaard tegenwoordig met html5 video, en wmv gebruikt niemand meer (toch?).

Tip: firewall beheer!
Opdat niet elk programma dat je opent zonder jouw toestemming connectie legt met het internet! Want dit heeft namelijk helemaal niets met Torbrowser te maken!
Het is een variatie op de bekende webbug uitgevoerd met een fillempie van hacking willempie.

En als je voortaan het zekere voor het onzekere wil nemen dan ook html5 video materiaal niet direct bekijken maar downloaden en offline of met firewallprotectie bekijken.
Kwestie van even de juiste url uit de html pagina code vissen, kan ook bij vimeo.
Wat ik voor de zekere gelegenheid bij dit nieuwsvoorbeeld maar even had gedaan. ;)


* https://en.wikipedia.org/wiki/FairPlay

Medewerkers van internationaal opererende NGO's, zoals Reporters sans Frontières, wordt sterk aangeraden om Tor vooral niet onder MS Windows en/of Apple MacOS toe te passen. Wil men Tor voor serieuze onderzoeksjournalistiek toepassen, dan is het aan te bevelen om een geharde Linux distributie, of anders OpenBSD, toe te passen.

De interne werking van de gesloten, commerciele systemen is uitermate slecht gedocumenteerd en ze zijn eenvoudigweg niet veilig voor Tor toepassingen. Een Tails CD-ROM laden op een RAM-disc of een geheeld versleuteld Qubes OS op een SSD toepassen, ligt meer voor de hand. Tor onder MS Windows toepassen is vragen om problemen.

Ach, ik heb toch niks te verbergen..

Tor waarschuwt al bijna sinds het begin dat je geen bestanden of diensten moet gebruiken om je anoniemiteit te waarborgen.

De zogenaamde ontdekking van Hacker House is niet nieuw en vooral leuk voor tor-gebruikers die geen flauw benul hebben waarom ze bepaalde applicaties en services gebruiken terwijl ze anoniem willen blijven.

En wat te denken van Tor binnen een vmware machine waarbij de host nog eens vpn connect ?

Voor DRM heb je toch een plug-in nodig? Dat is een blob (binair bestand met onbekende inhoud). Zoiets gebruik je toch niet op een Tor Browser?

Ik dacht eerst van "wat heeft dit met Tor te maken?", maar bedacht me toen dat natuurlijk een website die jij met Tor bezoekt jou kan verleiden een bestandje te downloaden waarna jouw echte ip adres naar de beheerder achter de website wordt gestuurd.

Nou niet een hele schokkende hack als je mij vraagt, desondanks dat: altijd oppassen.

Als je toch gebruikers zover krijgt om een .DRM bestand te openen is er nog iet's VEEL makkelijkers.

Je host op de website die de gebruiker bezoekt een .HTML file die als download wordt aangeboden wanneer deze wordt bezocht met daarin een simpel script om een IP (en wellicht custom gegenereerde data om de user te linken aan de bezochte pagina) te versturen naar een remote server.

User download het bestand, wil deze openen, en als de Tor Browser niet de default browser is, wordt het bestand in een andere niet-tor-browser geopend en wordt de connectie met de remote server gemaakt via het normale IP adres.

De VM machine voegt niets toe, maar de VPN wel. In dat geval zal het IP adres van de VPN proxy onthuld worden, in plaats van de uiteindelijke Tor exit node.

Tuurlijk voegt een VM wat toe. Het is zelfs uiterst belangrijk om een VM of LiveOS te gebruiken icm encrypted storage, het systeem mag nooit zijn eigen of jou identiteit kennen. Als jij TOR gebruikt op een normale windows pc waar al je dagelijkse gegevens op staan en jij inlogt met je eigen naam en als administrator zal het never nooit veilig worden. Tevens wil je dat de VM alleen zijn interne (NAT) IP adres kent en niet direct naar de buitenwereld of de rest van je netwerk kan praten (VLAN OF NAT) De verbinding mag alleen over een VPN tunnel daar buiten kunnen en/of via TOR. Liefst nog met een paar hops er tussen.

Het belangrijkste is dus, dat je er altijd vanuit moet gaan dat je systeem besmet/gehackt/etc kan worden, hoe goed je ook patched of je best doet je houd dat toch niet tegen.. Het systeem mag niks weten over zijn gebruiker, zijn locatie of zijn netwerk of IP adres. Zelfs het MAC adres wil je nog spoofen waarschijnlijk.

Een VM wordt niet gebruikt om 'sec' een IP adres te beschermen. Dat is hier nu wel aan de orde.