<p dir="ltr">Verklaar je nader wat betreft TOR is veilig. Ik heb laatst een lezing van een uur (defcon of zo) gezien over hoe de anonimiteit van darknetgebruikers ondergraven kan worden. Tientallen manieren en lang niet alleen maar fouten van gebruikers zoals cookies en JavaScript gebruiken in TOR. Welk doel dient TOR precies? Niet kunnen zien waar verkeer vandaan komt of naartoe gaat, zender en ontvanger niet kunnen koppelen en encryptie van data in transit. Toch? In ieder geval de eerste twee kunnen succesvol aangevallen worden.</p>

<div class="gmail_quote">Op 6 aug. 2013 23:56 schreef "coretx" <<a href="mailto:coretx@gmail.com">coretx@gmail.com</a>> het volgende:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Even voor de goede orde;<br>
<br>
---  De "fout" zat /niet/ in TOR.<br>
<br>
De onion sites van het slachtoffer  zijn overgenomen door de FBI. ( Met kinderporno argumenten.)<br>
Vervolgens heeft de FBI twee weken lang een Java scriptje aan al die sites toegevoegd. ( En geen kinderporno offline gehaald. )<br>
<br>
Het scriptje werkt op verschillende versies van Firefox, meer precies - de exploit - , maar het scriptje doet alleen trigger op FF17.<br>
Dit met als doel de bezoekers van de onion sites in kaart te brengen.<br>
Uiteraard was dit *alleen* mogelijk binnen browsers die Javascript aan hebben staan.<br>
<br>
TL;DR De FBI is de "hacker" hier, en TOR gebruikers in zijn algemeenheid het slachtoffer.<br>
Kinderporno is evident slechts als smoes gebruikt om de daad te legitimeren.<br>
Daar bestaat geen twijfel over.<br>
<br>
-- TOR is veilig.<br>
-- Vulnerability zat in Firefox.<br>
-- Exploit is door de FBI op vertrouwde sites geplaatst.<br>
<br>
/Samir<br>
<br>
On Aug 6, 2013, at 11:44 PM, Perpetual Rabbit wrote:<br>
<br>
> Natuurlijk is die Marqués onschuldig tot tegendeel bewezen is.<br>
> The powers that be willen dolgraag TOR neerhalen. Met KP kunnen ze dat<br>
> legitimeren, natuurlijk vinden ze het geen nadeel dat ze onschuldige<br>
> individuen en organisaties als bijvangst hebben. Dissidenten zijn ongewenst<br>
> in de VS en worden bestreden. Zie COINTELPRO om te zien wat ik bedoel. Maw<br>
> ik ben het met je eens Robbie, rustig maar.<br>
><br>
> Verder is het feit dat TOR zo gemakkelijk gecompromitteerd is voldoende om<br>
> te concluderen dat er iets veel beters dan TOR nodig is. Het doet er<br>
> helemaal niet toe dat de Amerikaanse overheid een valse reden opgeeft om<br>
> TOR te bestrijden.<br>
><br>
> Wat er toe doet is dat het lukt (en wat er voor in de plaats moet komen<br>
> vooral).<br>
> Op 6 aug. 2013 22:45 schreef "Robbie E. C. A. Hontele" <<a href="mailto:r.hontele@gmail.com">r.hontele@gmail.com</a>><br>
> het volgende:<br>
><br>
>> -----BEGIN PGP SIGNED MESSAGE-----<br>
>> Hash: SHA1<br>
>><br>
>> Dit is het moment dat je te ver gaat.<br>
>><br>
>> 1. Iemand is onschuldig tot het tegendeel bewezen is.<br>
>> Met jouw beredenering kun je het volgende stellen:<br>
>> "Is er een reden om aan te nemen dat TOR-enthousiasten _niet_ in de<br>
>> kinderporno zitten?<br>
>><br>
>> Sinds wanneer is het 'OK' om de massa te veroordelen op basis van de<br>
>> actie van een kleine groep individuen?<br>
>>        In dit zelfde voorstel kun je namelijk ook stellen dat je maar<br>
>> beter<br>
>> alle Marokkanen* kunt weren uit winkels omdat er geen reden is om aan te<br>
>> nemen dat ze _niet_ komen stelen. Maar heet het ineens discriminatie..<br>
>><br>
>><br>
>> 3. Het compleet lamleggen van TOR is niet noodzakelijk om producenten<br>
>> aan te pakken. Er zijn legio methoden waarbij de exacte locatie van de<br>
>> pc van de producent niet relevant is. Denk bijvoorbeeld aan het matchen<br>
>> van bepaalde items aan een locatie zoals een glas-in-loodraam.<br>
>><br>
>> Ik ben niet van plan om bij elke beweging een cavity-search te ondergaan<br>
>> omdat ik mogelijk een datadrager bij me heb waarop kinderporno staat die<br>
>> ik gebruik om te frauderen en terrorisme te financieren.<br>
>> Jammer dat er mensen zijn die /daar/ anders over denken.<br>
>><br>
>> *Disclaimer: Ik gebruik hier een specifieke minderheidsgroep die tot de<br>
>> verbeelding spreekt. Ik beschuldig uiteraard niemand, dat is de taak van<br>
>> het OM.<br>
>><br>
>> groeten,<br>
>><br>
>> Robbie Hontelé<br>
>> <a href="tel:%2B316%2033%2090%2065%2066" value="+31633906566">+316 33 90 65 66</a><br>
>> <a href="mailto:R.Hontele@gmail.com">R.Hontele@gmail.com</a><br>
>> <a href="http://www.linkedin.com/in/robbiehontele" target="_blank">http://www.linkedin.com/in/robbiehontele</a><br>
>> Public key:<br>
>> <a href="https://keyserver2.pgp.com/vkd/DownloadKey.event?keyid=0x840BDE265A67FDBB" target="_blank">https://keyserver2.pgp.com/vkd/DownloadKey.event?keyid=0x840BDE265A67FDBB</a><br>
>><br>
>> On 06-08-13 22:26, Perpetual Rabbit wrote:<br>
>>> Een paar vragen en opmerkingen:<br>
>>><br>
>>> 1. Vraag: Is er een reden om aan te nemen dat deze Eric Eoin Marques<br>
>>> _niet_ in de kinderporno zit? Want als de FBI puur aan KP bestrijding<br>
>>> doet, zou ik zeggen: more power to them!<br>
>>> 2. Opmerking: Het is al lang bekend dat TOR niet meer veilig is, hoewel<br>
>>> ik nu geen tijd of zin heb om de exacte problemen uit de doeken te doen<br>
>>> (ben op vakantie in de bergen in Spanje). Doe je eigen onderzoek<br>
>>> hiernaar zou ik zeggen. Er zijn andere overlay netwerken in de maak,<br>
>>> zoals bijvoorbeeld Hyperboria. Zie <a href="http://hyperboria.net" target="_blank">hyperboria.net</a><br>
>>> <<a href="http://hyperboria.net" target="_blank">http://hyperboria.net</a>>. Dit is op cjdns gebaseerd. Zie ook<br>
>>> <a href="http://projectmeshnet.org" target="_blank">projectmeshnet.org</a> <<a href="http://projectmeshnet.org" target="_blank">http://projectmeshnet.org</a>>.<br>
>>> 3. Opmerking: KP moet bestreden worden, ook als het zich op TOR begeeft.<br>
>>> Als de FBI dan de TOR intrapt, tsja... Twee conclusies:1. terecht, want<br>
>>> er zit KP op. 2. TOR is dus niet sterk genoeg voor tegen de FBI, en dus<br>
>>> zeker niet tegen criminele, mensrechtenschendende elementen in de VS,<br>
>>> Rusland, China, India, Saudi Arabie, enz. Er is iets veel beters nodig<br>
>>> dan TOR.<br>
>>> 4. Opmerking: Bitcoin kan anoniem worden gemaakt door een overlay op<br>
>>> bitcoin te gebruiken. Dit heet zerocoin. Ik zou iedereen die fan is van<br>
>>> bitcoin aanraden eens naar zerocoin te kijken.<br>
>>> 5. Opmerking: het is een slechte zaak dat KP en Silkroad en dergelijke<br>
>>> sites in bitcoins zaken doen. Het maakt het argument tgen bitcoin<br>
>>> namelijk legitiem. Er is dringend een niet-centraal beheerde munt nodig<br>
>>> in de wereld, en bitcoin is zo'n beetje de enige kandidaat die redelijk<br>
>>> bruikbaar is. Zolang niet een kritische massa van de economie in bitcoin<br>
>>> gebeurd is bitcoin nog afhankelijk van wisseldiensten, en die zijn<br>
>>> centraal en dus kwetsbaar.<br>
>>><br>
>>><br>
>>><br>
>>><br>
>>><br>
>>> On Sun, Aug 4, 2013 at 10:20 PM, Core TX <<a href="mailto:coretx@gmail.com">coretx@gmail.com</a><br>
>>> <mailto:<a href="mailto:coretx@gmail.com">coretx@gmail.com</a>>> wrote:<br>
>>><br>
>>>    BREAKING: HALF OF TOR SITES COMPROMISED, INCLUDING TORMAIL<br>
>>><br>
>>>    The founder of Freedom Hosting has been arrested in Ireland and is<br>
>>>    awaiting extradition to USA.<br>
>>><br>
>>>    In a crackdown that FBI claims to be about hunting down pedophiles,<br>
>>>    half of the onion sites in the TOR network has been compromised,<br>
>>>    including the e-mail counterpart of TOR deep web, TORmail.<br>
>>><br>
>>><br>
>> <a href="http://www.independent.ie/irish-news/courts/fbi-bids-to-extradite-largest-childporn-dealer-on-planet-29469402.html" target="_blank">http://www.independent.ie/irish-news/courts/fbi-bids-to-extradite-largest-childporn-dealer-on-planet-29469402.html</a><br>

>>><br>
>>>    This is undoubtedly a big blow to the TOR community, Crypto<br>
>>>    Anarchists, and more generally, to Internet anonymity. All of this<br>
>>>    happening during DEFCON.<br>
>>><br>
>>>    If you happen to use and account name and or password combinations<br>
>>>    that you have re used in the TOR deep web, change them NOW.<br>
>>><br>
>>>    Eric Eoin Marques who was arrested runs a company called Host Ultra<br>
>>>    Limited.<br>
>>><br>
>>>    <a href="http://www.solocheck.ie/Irish-Company/Host-Ultra-Limited-399806" target="_blank">http://www.solocheck.ie/Irish-Company/Host-Ultra-Limited-399806</a><br>
>>>    <a href="http://www.hostultra.com/" target="_blank">http://www.hostultra.com/</a><br>
>>><br>
>>>    He has an account at WebHosting Talk forums.<br>
>>><br>
>>>    <a href="http://www.webhostingtalk.com/showthread.php?t=157698" target="_blank">http://www.webhostingtalk.com/showthread.php?t=157698</a><br>
>>><br>
>>>    A few days ago there were mass outages of Tor hidden services that<br>
>>>    predominantly effected Freedom Hosting websites.<br>
>>><br>
>>>    <a href="http://postimg.org/image/ltj1j1j6v/" target="_blank">http://postimg.org/image/ltj1j1j6v/</a><br>
>>><br>
>>>    "Down for Maintenance<br>
>>>    Sorry, This server is currently offline for maintenance. Please try<br>
>>>    again in a few hours."<br>
>>><br>
>>>    If you saw this while browsing Tor you went to an onion hosted by<br>
>>>    Freedom Hosting. The javascript exploit was injected into your<br>
>>>    browser if you had javascript enabled.<br>
>>><br>
>>>    What the exploit does:<br>
>>><br>
>>>    The JavaScript zero-day exploit that creates a unique cookie and<br>
>>>    sends a request to a random server that basically fingerprints your<br>
>>>    browser in some way, which is probably then correlated somewhere<br>
>>>    else since the cookie doesn't get deleted. Presumably it reports the<br>
>>>    victim's IP back to the FBI.<br>
>>><br>
>>>    An iframe is injected into FH-hosted sites:<br>
>>><br>
>>>    TOR/FREEDOM HOST COMPORMISED<br>
>>>    By: a guest on Aug 3rd, 2013<br>
>>>    <a href="http://pastebin.com/pmGEj9bV" target="_blank">http://pastebin.com/pmGEj9bV</a><br>
>>><br>
>>>    Which leads to this obfuscated code:<br>
>>><br>
>>>    Javascript Mozilla Pastebin<br>
>>>    Posted by Anonymous on Sun 4th Aug 02:52<br>
>>>    <a href="http://pastebin.mozilla.org/2776374" target="_blank">http://pastebin.mozilla.org/2776374</a><br>
>>><br>
>>>    FH STILL COMPROMISED<br>
>>>    By: a guest on Aug 3rd, 2013<br>
>>>    <a href="http://pastebin.com/K61QZpzb" target="_blank">http://pastebin.com/K61QZpzb</a><br>
>>><br>
>>>    FBI Hidden Service in connection with the JavaScript exploit:<br>
>>>    7ydnpplko5lbgfx5<br>
>>><br>
>>>    Who's affected Time scales:<br>
>>><br>
>>>    Anyone who accessed an FH site in the past two days with JavaScript<br>
>>>    enabled. Eric Eoin Marques was arrested on Sunday so that's the<br>
>>>    earliest possible date.<br>
>>><br>
>>>    "In this paper we expose flaws both in the design and implementation<br>
>>>    of Tor’s hidden services that allow an attacker to measure the<br>
>>>    popularity of arbitrary hidden services, take down hidden services<br>
>>>    and deanonymize hidden services<br>
>>>    Trawling for Tor Hidden Services: Detection, Measurement,<br>
>>>    Deanonymization"<br>
>>><br>
>>>    <a href="http://www.ieee-security.org/TC/SP2013/papers/4977a080.pdf" target="_blank">http://www.ieee-security.org/TC/SP2013/papers/4977a080.pdf</a><br>
>>><br>
>>>    The FBI Ran a Child Porn Site for Two Whole Weeks<br>
>>><br>
>> <a href="http://gizmodo.com/why-the-fbi-ran-a-child-porn-site-for-two-whole-weeks-510247728" target="_blank">http://gizmodo.com/why-the-fbi-ran-a-child-porn-site-for-two-whole-weeks-510247728</a><br>
>>><br>
>>>    <a href="http://postimg.org/image/o4qaep8pz/" target="_blank">http://postimg.org/image/o4qaep8pz/</a><br>
>>><br>
>>>    On any other day one would say these sick perverts got what they<br>
>>>    deserved. Unfortunately the Feds are stepping far beyond just<br>
>>>    pedophiles in this latest issue.<br>
>>><br>
>>>    The js inserted at Freedom Hosting? Nothing really, just an iframe<br>
>>>    inject script with a UUID embedded server-side.<br>
>>><br>
>>>    The iframe then delivers an exploit kit that appears to be a<br>
>>>    JavaScript 0day leading to...something. It only attempts to exploit<br>
>>>    Firefox (17 and up) on Windows NT. There's definitely some heap<br>
>>>    spraying and some possible shell code. The suspect shell code block<br>
>>>    contains some strings that look to formulate an HTTP request, but I<br>
>>>    haven't been able to collect the final payload yet. The shell code<br>
>>>    also contains the UUID with which the exploit was delivered. Any<br>
>>>    UUID will work to get this part of the exploit.<br>
>>><br>
>>>    I'm still pulling this little bundle of malware apart. So far, I've<br>
>>>    got that the attack is split across three separate files, each<br>
>>>    loaded into an iframe. Calls are made between the frames to further<br>
>>>    obfuscate the control flow. The 'content_2.html' and<br>
>>>    'content_3.html' files are only served up if the request "looks<br>
>>>    like" Firefox and has a correct Referer header. The 'content_2.html'<br>
>>>    is loaded from the main exploit iframe and in turn loads<br>
>>>    'content_3.html'.<br>
>>><br>
>>>    Short version. Preliminary analysis: This little thing probably CAN<br>
>>>    reach out without going through Tor. It appears to be exploiting the<br>
>>>    JavaScript runtime in Firefox to download something.<br>
>>><br>
>>>    UPDATE: The exploit only affects Firefox 17 and involves several JS<br>
>>>    heap-sprays. Note that the current Extended Support Release is<br>
>>>    Firefox 17, so this may also affect some large organizations using<br>
>>>    Firefox ESR.<br>
>>><br>
>>>    <a href="http://pastebin.mozilla.org/2777139" target="_blank">http://pastebin.mozilla.org/2777139</a><br>
>>><br>
>>>    The script will only attempt the exploit on Firefox 17, so I'm no<br>
>>>    longer worried about it being some new 0day. Enough of the<br>
>>>    "Critical" MFSAs are for various sorts of memory corruption that I<br>
>>>    don't have the time to find out if this is actually a new exploit or<br>
>>>    something seen before.<br>
>>><br>
>>>    <a href="http://postimg.org/image/mb66vvjsh/" target="_blank">http://postimg.org/image/mb66vvjsh/</a><br>
>>><br>
>>>    Logical outcomes from this?<br>
>>><br>
>>>    1. FBI/NSA just shut down the #1 biggest hosting site and #1 most<br>
>>>    wanted person on Tor<br>
>>><br>
>>>    2. Silkroad is next on their list, being the #2 most wanted (#1 was<br>
>>>    Child Porn, #2 is drugs)<br>
>>><br>
>>>    3. Bitcoin and all crypto currenecies set to absolutely CRASH as a<br>
>>>    result since the feds can not completely control this currency as<br>
>>>    they please.<br>
>>><br>
>>>    I don't always call the Feds agenda transparent, but when i do, I<br>
>>>    say they can be trying harder.<br>
>>><br>
>>>    _______________________________________________<br>
>>>    Algemeen discussielijst | Piratenpartij<br>
>>>    <a href="mailto:Algemeen@lists.piratenpartij.nl">Algemeen@lists.piratenpartij.nl</a> <mailto:<br>
>> <a href="mailto:Algemeen@lists.piratenpartij.nl">Algemeen@lists.piratenpartij.nl</a>><br>
>>>    <a href="https://lists.piratenpartij.nl/mailman/listinfo/algemeen" target="_blank">https://lists.piratenpartij.nl/mailman/listinfo/algemeen</a><br>
>>><br>
>>><br>
>>><br>
>>><br>
>>> _______________________________________________<br>
>>> Algemeen discussielijst | Piratenpartij<br>
>>> <a href="mailto:Algemeen@lists.piratenpartij.nl">Algemeen@lists.piratenpartij.nl</a><br>
>>> <a href="https://lists.piratenpartij.nl/mailman/listinfo/algemeen" target="_blank">https://lists.piratenpartij.nl/mailman/listinfo/algemeen</a><br>
>>><br>
>> -----BEGIN PGP SIGNATURE-----<br>
>> Version: GnuPG/MacGPG2 v2.0.18 (Darwin)<br>
>> Comment: GPGTools - <a href="http://gpgtools.org" target="_blank">http://gpgtools.org</a><br>
>> Comment: Using GnuPG with Thunderbird - <a href="http://www.enigmail.net/" target="_blank">http://www.enigmail.net/</a><br>
>><br>
>> iQEcBAEBAgAGBQJSAWBfAAoJEIQL3iZaZ/279KYIAIyvKgbnHm71tX1HAWbcI2Td<br>
>> vOoBAjql/p05eaCMhmi8hyxlcQ5M0ebWwJEV/W34pfeDIM93AfkdzxhmGY6IjA8h<br>
>> 2CX36Np/x+pRMfaqFdPqzSZH8taEAJhHhEPZZpxf1FzDCYi/FzF088vHFmzW29xv<br>
>> ikuoKSKfJ0V+iTRqSjX0XkOiSIeo+7pscCduOSgzUO859AW0tjrkaUjB2kZj8QpY<br>
>> YWOwqglZdp0Dz3aZdEwA7pMXMXSYGj/BVHOq1hbxS50a6zlzKLs8z2aQ8zy3fGHU<br>
>> oaPfT3FCqCpKoa1/B7mbampikG8z3GAgJ7lJ0gu131gDto/p54mn5470lz4DOjQ=<br>
>> =LJC+<br>
>> -----END PGP SIGNATURE-----<br>
>> _______________________________________________<br>
>> Algemeen discussielijst | Piratenpartij<br>
>> <a href="mailto:Algemeen@lists.piratenpartij.nl">Algemeen@lists.piratenpartij.nl</a><br>
>> <a href="https://lists.piratenpartij.nl/mailman/listinfo/algemeen" target="_blank">https://lists.piratenpartij.nl/mailman/listinfo/algemeen</a><br>
>><br>
> _______________________________________________<br>
> Algemeen discussielijst | Piratenpartij<br>
> <a href="mailto:Algemeen@lists.piratenpartij.nl">Algemeen@lists.piratenpartij.nl</a><br>
> <a href="https://lists.piratenpartij.nl/mailman/listinfo/algemeen" target="_blank">https://lists.piratenpartij.nl/mailman/listinfo/algemeen</a><br>
<br>
_______________________________________________<br>
Algemeen discussielijst | Piratenpartij<br>
<a href="mailto:Algemeen@lists.piratenpartij.nl">Algemeen@lists.piratenpartij.nl</a><br>
<a href="https://lists.piratenpartij.nl/mailman/listinfo/algemeen" target="_blank">https://lists.piratenpartij.nl/mailman/listinfo/algemeen</a><br>
</blockquote></div>