Slutt på anonym surfing på skjult nett

Et nett skapt av US Navy har hittil latt både hackere og politisk forfulgte bruke nettet anonymt, men nå er det kanskje slutt.

Anonymiteten Tor-nettet gir kan på godt og vondt stå for fall. For nå har et dansk konsulentselskap funnet en teknikk som skal gjøre det mulig å finne IP-adressen til både hackere og politisk forfulgte som bruker nettet.

Nyheten kan gjøre det vanskeligere å skjule seg på nettet, både hvis du er hacker, politisk forfulgt eller jobber i det amerikanske etteretningsvesenet. For alle disse gruppene har vært ivrige brukere av Tor-nettet.

I oktober og desember i fjor slo hackere til mot nettsteder til utvalgte danske politikere og danske nettaviser. Datainnbruddene ble brukt til å endre nettstedene, og vakte store oppsikt i dagspressen.

Etterforskningen av innbruddene gikk i stå da det viste seg at det viste seg at hackerne – «Team Gilmore Girls» – hadde brukt Tor, et system for anonym surfing og kommunikasjon over Internett, for å dekke over sine spor. Det utløste et arbeid blant danske eksperter innen IT-sikkerhet for å finne ut hvordan man kan spore opp datakriminelle som prøver å skjule seg i Tor.

Tidligere denne uken publiserte det danske konsulentselskapet FortConsult et 23 siders dokument som viser flere muligheter for å avsløre Tor-brukeres faktiske IP-adresser: Peeling the Onion: Unmasking TOR Users. Dokumentet angir også hvordan man kan verne seg mot forsøk på å misbruke Tor, for eksempel ved konsekvent å tilbakevise alle henvendelser som kommer fra maskiner i Tor-systemet.

Tittelen «Peeling the Onion» henspeiler på at Tor bruker en teknikk kjent som «Onion routing», der man oppnår anonymitet ved å sende informasjon gjennom flere krypterende lag, og som har vært under utvikling siden 1996.

Opprinnelsen til Tor er «onion routing»-prosjektet til den amerikanske marinen, US Navy. Dette prosjektet har fortsatt et eget nettsted – Onion Routing program – og henviser til Tor.

Mot slutten av 2004 ble Tor overgitt til Electronic Frontier Foundation (EFF) og gjort fritt tilgjengelig. I november i fjor sluttet EFF å bevilge penger til Tor-prosjektet, men lar det fortsatt bruke EFFs servere.

Tor består i dag av flere hundre noder og har flere hundre tusen brukere. Nettsted gir anvisninger for bruken, og anmoder samtidig at man stiller sin PC-disposisjon som «onion router» for å bidra til å øke kapasiteten i nettverket.

Den primære hensikten med Tor er å gjøre det mulig å surfe og kommunisere over Internett uten å etterlate seg spor som andre kan plukke opp.

Det finnes mange legitime grunner til å ville være anonym på nettet. Tor-nettstedet oppgir blant annet fora for voldtektsofre, journalister som kommuniserer med kilder de ønsker å beskytte mot å avsløres av andre, hjelpearbeidere som må sende meldinger uten å måtte avsløre hvilket land de befinner seg i, opposisjonelle i diktaturer og så videre. Etterretningstjenesten til den amerikanske marinen bruker Tor når den systematisk saumfarer nettsteder for informasjon.

Tor tilbyr også «skjulte tjenester», det vil si at man kan opprette en server i Tor-systemet og tilby tjenester som ikke skal kunne spores til noen IP-adresse. Det innebærer blant annet at man kan opprette en webserver med assorterte tjenester bak ens egen brannmur.

Men anonymitet kan også gjerne dekke over lyssky virksomhet. En ikke-oppsporbar IP-adresse er ideell for både brukere og tilbydere av pornografi. Bruken av Tor til anonyme angrep mot nettsteder er så typisk at mange allerede har ordninger som konsekvent avviser alle henvendelser gjennom Tor.

Prøver du for eksempel å nå Wikipedia gjennom Tor, vil du bli avvist. Wikipedia har veid hensynet til sitt eget forsvar mot forfalskning over hensynet til for eksempel kinesiske opposisjonelle som kunne lest artiklene deres gjennom Tor, også dem som regimet av en eller annen grunn finner støtende.

Dokumentet fra FortConsult peker på at mange brukere av Tor, deltar fordi de vil overvåke hva som skjer der, med tanke på å forsvare seg mot misbrukerne i nettet. De går gjennom så mange mulige teknikker for å avsløre Tor-brukere, at konklusjonen gir seg selv: Skal du virkelig være trygg på at du surfer anonymt, bør du heller prøve å hacke deg inn i et eller annet trådløst lokalnett, som det fortsatt finnes en overflod av.

FortConsult har prøvd flere av metodene i praksis, og konstatert at de virker. Felles for mange av dem, er at de bruker funksjonalitet fra Javascript, Java, Flash med mer til å avtvinge Tor-klienten en reaksjon som avslører dens egentlige IP-adresse. Trolig vil disse tilbakemeldingene holde i en rettssak, heter det.

Dokumentet inneholder også noen resultater av FortConsults analyser av hva slags trafikk Tor faktisk formidler.

Her er inntrykket delt: Bruken er både legitim og kriminell. Den danske hackergruppen «Team Gilmore Girls» er slett ikke alene.

Et eksempel på illegitim virksomhet som FortConsult peker på, er systematisk skanning etter åpne Cisco-rutere over hele verden.

Hensikten her er trolig å samle opplysninger om hvilke Cisco-rutere som kan brukes i et distribuert tjenestenektangrep, altså et «botnet» av Cisco-rutere. I dag består «botnet» stort sett av hjemme-PC-er. Cisco-rutere vil være langt mer virkningsfulle, mener FortConsult.

I skrivende stund er ikke FortConsults Tor-dokument tilgjengelig fra selskapets nettsted. digi.no får opplyst at så vil skje i løpet av de nærmeste dagene. Se lenken i høyre marg, høyere opp på denne siden.

Disse bildene forklarer nærmere hovedprinsippet for hvordan Tor virker:

Til toppen