Een, naar ze denken, Russische ‘luistervink’ was geïnteresseerd in het Facebookgedrag van gebruikers van het anonieme Tor-netwerk, zo concludeerden Philipp Winter en Stefan Lindskog van de Zweedse Karlstad-universiteit. Ze analyseerden vier maanden lang de rond 1000 uitgangen van uiennetwerk en vonden dat 25 daarvan waren besmet of verkeerd geconfigureerd. 19 daarvan waren voorzien van een nepcertificaat om een middelmanaanvallen te kunnen uitvoeren. Het leek er op of de Rus (of groep Russen) vooral geïnteresseerd was in het Facebookgedrag van de aangevallenen, maar dat zou ook bewust kunnen zijn gedaan om ontdekking te voorkomen. Overigens waren alle 25 uitgangen door Tor-beheerders aangeduid als ‘slechte’ (want gecompromitteerde) uitgangen. Winter: “Deze 25 vonden we, maar er kunnen er meer zijn die we niet gevonden hebben.”
Het Tor-netwerk is bedoeld voor het anonimiseren van gebruikers. Dat trekt onverlaten, maar ook idealisten zoals die van Pirate Bay (al zal niet iedereen de betrokkenen als idealisten zien). Het verkeer wordt versleuteld en via een reeks computers geleid. De verbinding met de rest van internet verloopt via zo’n 1000 uitgangen. Daar is het verkeer kwetsbaar, zoiets als de tekst op een briefkaart. Het netwerk wordt beheerd door vrijwilligers, de helft anoniem, en daar kan wel eens wat fout gaan. Zo heeft Wikileaks zijn eerste resultaten behaald door het afluisteren van een door Chinese e-krakers bewerkte uitgangsserver.
Deze studie laat zien dat het niet meer om passief afluisteren van onversleuteld webverkeer gaat, maar dat er pogingen zijn gedaan via het beveiligingsprotocol SSL versleuteld verkeer te onderscheppen. De onderzoekers vonden, door de veiligheidscertificaten te vergelijken, duidelijke aanwijzingen voor middelmanaanvallen. De Russische uitgangen versleutelden het verkeer weer met hun zelfontworpen certificaten die waren uitgegeven door een onbestaande certificatie-instantie.
Als een uitgang op de zwartelijst terecht kwam en niet meer gebruikt werd, doken elders besmette uitgangen op. Alles bij elkaar ontdekten de Zweden 19 uitgangen met dat non-certificaat in de vier maanden dat ze de boel in de gaten hielden: 18 in Rusland en een in de VS.
Wie er achter zit is niet duidelijk, maar de onderzoekers denken eerder aan een soort gluurder dan aan een overheidsdienst. Het was allemaal niet bijster slim opgezet. De nepcertificaten lopen bij oplettende surfprogramma’s in de gaten en gebruikers krijgen een waarschuwing. Waarschijnlijk speculeerde de Rus(sen) op de achteloosheid van de gebruikers. “Het was allemaal tamelijk stom gedaan”, zei Winter, maar het geval illustreert maar weer eens dat de FBI en NSA niet de enigen zijn die het wereldwijde web afspeuren…
Tors anonimiteit zou niet in het geding zijn geweest door de besmette uitgangen. “Dit is een goed artikel en het is goed dat iemand dat onderzoekt”, zegt Andrew Lewman van Tor-project. “Gewone tekst over Tor blijft gewone tekst. Dat roepen we al sedert 2010.” Met andere woorden: als het mis gaat is het eigen schuld dikke bult. Je zou er licht paranoïde van worden.
Bron: Wired