image

FBI achterhaalt ip-adres Tor-gebruiker via videobestand

dinsdag 8 augustus 2017, 16:17 door Redactie, 28 reacties

De FBI heeft het ip-adres van een Tor-gebruiker via een speciaal geprepareerd videobestand achterhaald, zo blijkt uit gerechtelijke documenten. De techniek werd ingezet in de zaak van een 26-jarige Amerikaan. De man wordt verdacht van het afpersen van kinderen via internet.

Volgens het Amerikaanse ministerie van Justitie communiceerde de man via Facebook met zijn slachtoffers en eiste naaktfoto's. De verdachte maakte echter gebruik van het Tor-netwerk, waardoor zijn ip-adres was afgeschermd. In juni van dit jaar gaf de rechter toestemming voor het gebruik van een Network Investigative Technique (NIT) om de verdachte te achterhalen. Dit is een term die de FBI voor exploits en malware gebruikt. In dit geval werd de NIT ingezet om het werkelijke ip-adres van de verdachte te achterhalen.

Hiervoor voegde de FBI code toe aan een normaal videobestand dat door één van de slachtoffers was gemaakt. Vervolgens plaatste de FBI de geprepareerde video op het Dropbox-account dat alleen bij de verdachte bekend was. Ook vroeg een undercoveragent van de FBI of de man het bestand had ontvangen. Toen de verdachte het bestand opende werd zijn werkelijke ip-adres naar de FBI gestuurd, zo blijkt uit het gerechtelijke document waar Vice Magazine over bericht.

Vervolgens werd met een dagvaarding bij de provider van wie het ip-adres is het fysieke adres van de betreffende gebruiker opgevraagd. Aan de hand van fysieke surveillance die volgde bleek dat verdachte altijd aanwezig was als Tor in de woning werd gebruikt. Ook werd het verkeer van de verdachte getapt, wat meer aanwijzingen opleverde en uiteindelijk tot zijn aanhouding leidde. In mei werd bekend dat de FBI ook Microsoft Word- en Excel-documenten inzet om het ip-adres van verdachten te achterhalen. Het Tor Project waarschuwt gebruikers op de eigen website om geen documenten te openen die via Tor gedownload zijn, omdat daarmee het echte ip-adres kan lekken.

Reacties (28)
08-08-2017, 17:13 door Anoniem
FBI constateert dat verdachte fout bezig is maar de verdachte zit achter TOR.

Stap 1. FBI vraagt toestemming van een rechter om speciale bevoegdheden voor dit specifiek geval. De rechter accepteert dit.
Stap 2. FBI zet de bevoegdheid in en bemachtigd de IP adres van verdachte.
Stap 3. FBI haalt met een dagvaarding de adres gegevens van verdachte op bij de provider.
Stap 4. FBI zet meerdere bevoegdheden in om te achter halen of verdachte wel de dader is.
Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.

Naar mijn mening een goed uitgevoerd onderzoek. Dit is de manier hoe onderzoek uitgevoerd dient te worden, niet de huidige pogingen om encryptie te verbieden en hack bevoegdheden te versoepelen.
08-08-2017, 17:18 door Anoniem
Jammer dat Tor wordt gebruikt voor andere dingen dan waarvoor het bedoeld was.
08-08-2017, 17:20 door Anoniem
Door Anoniem: FBI constateert dat verdachte fout bezig is maar de verdachte zit achter TOR.

Stap 1. FBI vraagt toestemming van een rechter om speciale bevoegdheden voor dit specifiek geval. De rechter accepteert dit.
Stap 2. FBI zet de bevoegdheid in en bemachtigd de IP adres van verdachte.
Stap 3. FBI haalt met een dagvaarding de adres gegevens van verdachte op bij de provider.
Stap 4. FBI zet meerdere bevoegdheden in om te achter halen of verdachte wel de dader is.
Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.

Naar mijn mening een goed uitgevoerd onderzoek. Dit is de manier hoe onderzoek uitgevoerd dient te worden, niet de huidige pogingen om encryptie te verbieden en hack bevoegdheden te versoepelen.

Inderdaad helemaal volgens het boekje
08-08-2017, 17:23 door Anoniem
Goed speurwerk en intelligent gebruik van de mogelijkheden.

Je laat altijd sporen achter
08-08-2017, 17:34 door Anoniem
Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.
In Nederland in ieder geval niet.
Hier maakt de rechtbank uit of je de dader bent. Niet de politie.
08-08-2017, 18:18 door potshot
Door Anoniem:
Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.
In Nederland in ieder geval niet.
Hier maakt de rechtbank uit of je de dader bent. Niet de politie.
ja tuurlijk joh,in de us komt er geen rechter aan te pas heh?
slakken en zout..en lekker mekkeren.
08-08-2017, 18:22 door SPer
Door Anoniem: FBI constateert dat verdachte fout bezig is maar de verdachte zit achter TOR.

Stap 1. FBI vraagt toestemming van een rechter om speciale bevoegdheden voor dit specifiek geval. De rechter accepteert dit.
Stap 2. FBI zet de bevoegdheid in en bemachtigd de IP adres van verdachte.
Stap 3. FBI haalt met een dagvaarding de adres gegevens van verdachte op bij de provider.
Stap 4. FBI zet meerdere bevoegdheden in om te achter halen of verdachte wel de dader is.
Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.

Naar mijn mening een goed uitgevoerd onderzoek. Dit is de manier hoe onderzoek uitgevoerd dient te worden, niet de huidige pogingen om encryptie te verbieden en hack bevoegdheden te versoepelen.
Ja , lijkt de juiste methode
08-08-2017, 18:32 door Anoniem
Tor kent dergelijke risico's niet als je binnen het raamwerk van de wet wenst te opereren en het slechts gebruikt om anoniem je privacy te beschermen. Juist gebruik van een NIT is je deel als je overtredingen van de wet pleegt. Hier geen problemen mee.

Afzwakken van de algemene veiligheid van de infrastructuur en tor en tails, vpn en e2ee meegerekend blijft een slechte zaak,
omdat bij proliferatie ook cybercriminelen hier van meeprofiteren.

Overtreders van de wet fouten laten maken waardoor hun identiteit bekend raakt, prima idee. Hier moeten geraffineerde methoden worden uitgedacht, die legitieme gebruikers en legitiem verkeer niet zullen (ver)storen. In zulk opzicht sta ik aan de kant van de gezagshandhavers.
08-08-2017, 18:46 door Briolet
Door Anoniem: Goed speurwerk en intelligent gebruik van de mogelijkheden.

Je laat altijd sporen achter

Dit is niet zozeer het achterlaten van sporen maar het binnensluizen van een Trojaans paard bij de verdachte.
08-08-2017, 19:35 door Anoniem
Jullie lezen er lekker overheen he ;)

De verdachte zat anoniem op Facebook. Facebook weet normaal alles van je dus het is wel apart dat je op Facebook een Nomen Nescio kan blijven door Tor te gebruiken. En natuurlijk moet je idioot voorzichtig zijn door dat ene account enkel voor dat doel te gebruiken en vooral niet naar andere sites te gaan maar toch.

Volgende keer toch maar je materiaal via USB kopieren naar een machine zonder internet en het daar bekijken.
08-08-2017, 21:38 door Anoniem
Uitvoerbare code toevoegen aan een videobestand? Hoe werkt dat nu weer?
09-08-2017, 01:41 door Anoniem
Valt hier al onder terug-hacken en dat mag de politie niet ivm privacywetgeving en de verdachte gaat rustig verder :(
En wij maar afvragen waarom er zoveel van die lui vrijuit gaan...
09-08-2017, 01:58 door Anoniem
Door potshot:
Door Anoniem:
Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.
In Nederland in ieder geval niet.
Hier maakt de rechtbank uit of je de dader bent. Niet de politie.
ja tuurlijk joh,in de us komt er geen rechter aan te pas heh?
slakken en zout..en lekker mekkeren.
Door potshot:
Door Anoniem:
Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.
In Nederland in ieder geval niet.
Hier maakt de rechtbank uit of je de dader bent. Niet de politie.
ja tuurlijk joh,in de us komt er geen rechter aan te pas heh?
slakken en zout..en lekker mekkeren.
Er wordt bedoeld dat in de VS (en in de UK) de politie je bij grondige verdenking mag arresteren en je schuldig mag verklaren waartegen je dan zelf tegenbewijs moet leveren. Hier in NL moet het OM dat bewijs leveren, hetgeen de verdachte mag aanvechten.
09-08-2017, 08:07 door Anoniem
Door Anoniem: Uitvoerbare code toevoegen aan een videobestand? Hoe werkt dat nu weer?

Exploit waarschijnlijk. Mogelijk een zero day?

@17:13 door Anoniem

Je laat voor het gemak de stap weg waarbij een anonieme verdachte wordt voorzien van exploit en malware. Dat is controversieel.

@18:18 door potshot

Het Amerikaanse rechtssysteem is inderdaad anders dan de Nederlandse. Daar kan een jury veroordelen, de rechter is niet degene die de beslissing neemt.
09-08-2017, 09:17 door Anoniem
Toen de verdachte het bestand opende werd zijn werkelijke ip-adres naar de FBI gestuurd
De sukkel heeft waarschijnlijk windows media player gebruikt en dit soort zaken niet uitgezet, anders gaat dit niet werken. Een wijze les voor anderen.
09-08-2017, 09:44 door Anoniem
Door Anoniem:
Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.
In Nederland in ieder geval niet.
Hier maakt de rechtbank uit of je de dader bent. Niet de politie.

Je hebt gelijk dat ik stap 5 inderdaad te kort door de bocht heb neergezet. Ik ben niet bekent met de wetgeving in Amerika maar de correcte manier voor stap 5 zou zijn: FBI verzameld voldoende bewijs om verdachte aan te merken als de dader en gaat over tot arrestatie.

Vervolg hierop zou inderdaad een verhoring, eventuele schuldbekentenis of deal of rechtszaak zijn :)
09-08-2017, 09:54 door Anoniem
Door Anoniem: Valt hier al onder terug-hacken en dat mag de politie niet ivm privacywetgeving en de verdachte gaat rustig verder :(
En wij maar afvragen waarom er zoveel van die lui vrijuit gaan...

Ik vind dat Team High Tech Crime dit ook moet kunnen uitvoeren in NL. Uiteraard alleen op verzoek van de politie in een lopende zaak en met toestemming van de rechtelijke macht om een NIT bevoegdheid in te zetten.
09-08-2017, 10:14 door Anoniem
@17:13 door Anoniem

Je laat voor het gemak de stap weg waarbij een anonieme verdachte wordt voorzien van exploit en malware. Dat is controversieel.

Ik ben het met je eens dat het inzetten van exploits en malware controversieel is omdat een overheidsinstantie in dit geval binnendringt bij iemand en zijn privacy schend. Maar in dit geval is er eerst toestemming gevraagd aan een rechter om deze bevoegd in te zetten. De rechter heeft dus de privacy van deze persoon overwogen met de daad dat verricht wordt en besloten dat de FBI in dit geval zijn privacy mag schenden om te achterhalen wie de dader is. Dit vind ik een eerlijke beslissing van de rechter omdat hij hier besloot dat het proportioneel en subsidiair is om deze middel in te zetten.

Waar ik wel benieuwd naar ben is hoe de FBI verder te werk zou gaan als de verdachte in dit geval zelf slachtoffer was doordat iemand anders via zijn netwerk deze daad verrichte. Zou de FBI zijn excuses aanbieden? Zouden ze hem überhaupt vertellen dat ze hem hebben "gehacked"? Zouden ze zijn toestemming vragen om zijn systeem te onderzoeken om de daadwerkelijke dader te traceren?

Het lijkt mij niet dat een rechter in dat geval toestemming zou geven om een exploit of malware in te zetten om de daadwerkelijke dader te vinden gezien dit niet proportioneel en subsidiair is.
09-08-2017, 12:40 door Anoniem
Door Anoniem:
Stap 5. FBI constateert dat de verdachte de dader is en gaat over tot arrestatie.
In Nederland in ieder geval niet.
Hier maakt de rechtbank uit of je de dader bent. Niet de politie.

Ook in Nederland doet de politie arrestaties, en ook die gaan vooraf aan de beslissing van de rechter of de gearresteerde persoon ook de dader van iets is.

Of zit je alleen op een moeilijke manier te mierenneuken dat er 'vermoedelijke dader' had moeten staan ?
09-08-2017, 13:07 door Anoniem
Door Anoniem:
Door Anoniem: Valt hier al onder terug-hacken en dat mag de politie niet ivm privacywetgeving en de verdachte gaat rustig verder :(
En wij maar afvragen waarom er zoveel van die lui vrijuit gaan...

Ik vind dat Team High Tech Crime dit ook moet kunnen uitvoeren in NL. Uiteraard alleen op verzoek van de politie in een lopende zaak en met toestemming van de rechtelijke macht om een NIT bevoegdheid in te zetten.

Je beseft je dat THTC onderdeel is van de politie en dus niet op verzoek van de politie werkt?
Hoe dit werkt is in de afgelopen SHA keurig besproken bij de presentatie over deanonimisering van tor gebruikers.
09-08-2017, 13:24 door Anoniem
Door Anoniem: Jammer dat Tor wordt gebruikt voor andere dingen dan waarvoor het bedoeld was.
Net als:
het internet,
keukenmessen,
kijkend naar het nieuws vandaag in Frankrijk, Auto's,
vliegtuigen (Manhattan),
rugzakken en kookspullen (boston),
En ga zo maar door.
09-08-2017, 14:20 door Anoniem
Je beseft je dat THTC onderdeel is van de politie en dus niet op verzoek van de politie werkt?

Daar heb je gelijk in, ik heb het inderdaad niet goed verwoord. Door THTC erbij te betrekken doelde ik eigenlijk op dat zij dit soort verzoeken moeten uitvoeren vanwege de specialisatie die zij hebben op het gebied van cyber crime.

Hoe dit werkt is in de afgelopen SHA keurig besproken bij de presentatie over deanonimisering van tor gebruikers.

Volgens mij bedoel je deze presentatie:
https://media.ccc.de/v/SHA2017-102-tor_de-anonymization_techniques

Bedankt voor de tip, klinkt interessant, zal er zeker naar kijken. :)
09-08-2017, 16:53 door Anoniem
Flash! AHA!
09-08-2017, 17:43 door Anoniem
Door Anoniem: Valt hier al onder terug-hacken en dat mag de politie niet ivm privacywetgeving en de verdachte gaat rustig verder :(
En wij maar afvragen waarom er zoveel van die lui vrijuit gaan...

Wat een debiele stelling over iets waar je schijnbaar de ballen verstand van hebt.
Als de Amerikaanse autoriteiten je vinden na criminele activiteiten, gaat alle informatie naar Nederlandse justitie of Interpol.

Maar leuke poging weer.
09-08-2017, 20:36 door Anoniem
Door Anoniem: Je laat altijd sporen achter

Nee, in principe niet. Deze verdachte heeft dit in zijn geheel aan zichzelf te danken, want Tor Browser waarschuwt je zelfs nooit gedownloade bestanden moet openen vanaf dezelfde computer als waarmee je op Tor zit. Juist om wille van dit soort aanvallen.

Goed, in dit geval zal ik verder geen traan laten om het lot van deze verdachte, maar goed, het was simpel te voorkomen geweest door die waarschuwing niet te negeren.

Door Anoniem: Facebook weet normaal alles van je dus het is wel apart dat je op Facebook een Nomen Nescio kan blijven door Tor te gebruiken.

Facebook weet alleen van je wat je ze verteld. Als jij dus onder een John Doe registreerd, weet Facebook niet beter. Sterker nog, Facebook heeft een officiële .onion hidden domain, dus als je dat gebruikt hoef je zelfs niet bang te zijn voor diverse aanvallen die er zijn op de exit nodes (zoals timing attacks). (Sowieso zijn timing attacks vrij eenvoudig tegen te gaan als je een vaste bridge gebruikt, eentje in je eigen beheer wel te verstaan).

Door Anoniem: Uitvoerbare code toevoegen aan een videobestand? Hoe werkt dat nu weer?

Dat is volgens mij een 'feature' van de brakke Windows Media Video codec.

Door Anoniem: Valt hier al onder terug-hacken en dat mag de politie niet ivm privacywetgeving en de verdachte gaat rustig verder :(

Nee, dit valt niet onder terug-hacken. Dit is in feite gewoon phishing c.q. social engineering, door de verdachte iets te laten doen waardoor je zicht krijgt op wie die persoon is (of in dit geval z'n IP prijs geeft). Terug-hacken zou zijn als de politie echt daadwerkelijk met exploitcode in de weer gaat om een client aan te vallen, maar daar is dit geval geen sprake van.

En ja, ook de Nederlandse politie kan (en zal) deze technieken toepassen om bij een verdachte te komen. Daar is geen twijfel over mogelijk, want ze hebben soortgelijke methodes al eens eerder gebruikt om verdachten van hun bed te lichten.
11-08-2017, 13:28 door Anoniem
Door Anoniem: Jammer dat Tor wordt gebruikt voor andere dingen dan waarvoor het bedoeld was.

Net als o.a. een zaag, hamer en schroevendraaier.
14-08-2017, 07:23 door Anoniem
Door Briolet:
Door Anoniem: Goed speurwerk en intelligent gebruik van de mogelijkheden.

Je laat altijd sporen achter

Dit is niet zozeer het achterlaten van sporen maar het binnensluizen van een Trojaans paard bij de verdachte.
Ik bedoelde dat je altijd ergens een fout zult maken waardoor je te achterhalen bent. Hetzij door je inde val te lokken of door je eigen zwakheden tegen je te gebruiken.
21-08-2017, 15:02 door Anoniem
Door Anoniem:
Door Anoniem: Jammer dat Tor wordt gebruikt voor andere dingen dan waarvoor het bedoeld was.
Net als:
het internet,
keukenmessen,
kijkend naar het nieuws vandaag in Frankrijk, Auto's,
vliegtuigen (Manhattan),
rugzakken en kookspullen (boston),
En ga zo maar door.

Precies, is allemaal jammer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.