FBI står trolig bak en type spionvare som trolig kan identifisere brukere som benytter anonymiseringstjenester som The Tor Network. Koden til denne spionvaren skal nå ha blitt offentlig kjent. Det har ført til at Tor-brukere må være mer nøye med hvilken programvare de bruker for å kommunisere via Tor-nettverket. (Bilde: Harald Brombach / The Tor Network)

Spionvare kan identifisere Tor-brukere

FBI er hovedmistenkt.

Skadevare som utnytter en sårbarhet i Firefox for å avsløre brukere av anonymiseringsnettverket Tor, skal nå være i spredning. Sårbarheten ble fjernet av Mozilla allerede i juni i år. Skadevaren skal være spesielt rettet mot Firefox-utgaven som følger med Tor Browser Bundle for Windows, Firefox ESR-17. Men også denne skal raskt ha blitt oppdatert med sikkerhetsfiksen.

Sårbarheter og skadevare kommer og går hver dag, men denne skadevaren knyttes nå til tre begivenheter som noen tror kan være relaterte.

Fredag i forrige uke ble Eric Eoin Marques, som er bosatt i Dublin, Irland, arrestert som følge av en amerikansk begjæring om utlevering, som FBI angivelig står bak. Marques anklages for å være en svært sentral tilrettelegger for distribusjon av barneporno.

Marques antas nemlig å være grunnlegger av Freedom Hosting, et uavhengig vertsselskap for Hidden Services i Tor Network. I praksis er en «Hidden Service» bare én eller flere servere som kun er tilgjengelig gjennom Tor-nettverket.

Kort tid etter arrestasjonen av Marques, skal en rekke av slike hidden service-adresser har forsvunnet fra Tor-nettverket. Adressene til slike tjenester har et spesielt format (eksempelvis http://idnxcnkne4qt76tg.onion) og er knyttet til .onion-domenet.

Omtrent på samme tid skal også de første tilfellene av den nevnte skadevaren ha blitt funnet via websider som leveres fra serveren som Freedom Hosting er vert for. På sidene skal det være lagt inn JavaScript-kode som overfører skadevaren til brukernes maskin.

Sikkerhetsforskeren Vlad Tsrklevich har analysert skadevaren. Han forteller at den tilsynelatende bare sender vertsnavnet og den lokale vertens MAC-adresse til en gitt IP-adresse (65.222.202.54) som angivelig hører hjemme i Virginia. Et oppslag i Whois-tjenetsen til ARIN viser at IP-adressen i alle fall administreres av teleselskapet Verizon. Men fordi den verken laster ned noen bakdør eller utfører andre kommandoer, er Tsrklevich sikker på at dette dreier seg om noe som justismyndigheter står bak.

Ifølge Ars Technica virker skadevaren profesjonelt laget fordi den tar i bruk flere avanserte teknikker, inkludert «heap spraying» for å omgå sikkerhetstiltak i Windows.

Ifølge Wired dreier det hele seg antagelig om FBIs CIPAV (computer and internet protocol address verifier), en form for spionvare som avisen omtalte allerede i 2007, men som skal ha blitt brukt siden 2002 for å identifisere personer som mistenkes for kriminalitet, men som skjuler seg bak proxyservere og anonymitetstjenester som Tor.

Ifølge Wired er dette første gang av CIPAV har blitt oppdaget i det fri. Verre er det at koden nå er offentlig kjent og sirkuleres på nettet. Tor-nettverket brukes av blant annet journalister for å skjule kilder, politiske dissidenter og andre som har behov for beskyttelse mot for eksempel sitt eget lands myndigheter, og finnes mer skremmende brukere enn FBI.

Ifølge en nyere sak i Ars Technica er det for eksempel enkelte som ser en sammenheng mellom IP-adressen nevn over og NSA.

Inntil videre holder det å sørge for å bruke oppdatert programvare, men Tor-brukere anbefales blant annet å deaktivere JavaScript i nettleseren, noe som kan bidra til å hindre framtidige angrepsforsøk.

06.08.2013, kl. 12.17: Saken oppdatert med et avsnitt om spekulasjoner rundt en kobling til NSA.

    Les også:

Til toppen