Diagrammet til venstre viser at svært mange av de åpne portene til skjulte tjenester i Tor-nettverket, hører til et Botnett. Diagrammet til høyre viser andelen til de skjulte, engelskspråklige, webbaserte tjenestene, fordelt på 18 ulike kategorier. (Bilde: Alex Biryukov, Ivan Pustogarov og Ralf-Philipp Weinmann)

Avslører hva Tor faktisk brukes til

Forskere snek seg inn.

Nettverkstjenesten Tor har blitt hyllet av mange fordi det gir brukerne mulighet til blant annet å besøke nettsteder og komme med ytringer, uten at noen kan avsløre hvem de er. Dette er spesielt viktig for innbyggerne i regimer hvor makten forfølger politiske motstandere, men også for andre som ønsker å unngå overvåkning. I hvor stor grad Tor faktisk oppfyller dette, kan diskuteres.

I tillegg til å skjule sporene til brukerne av vanlige Internett-tjenester, er det innenfor Tor-nettverket også mulig å tilby tjenester, for eksempel for publisering av innhold eller til meldingsutveksling. Disse tjenestene kalles samlet sett for «hidden services». En del av disse tjenestene er enkle å finne gjennom en form for oppslagstavler internt i Tor-nettverket. Mange andre tjenester finnes det ikke lenker til eller noe oversikt over.

Tre forskere ved Université du Luxembourg, Alex Biryukov, Ivan Pustogarov og Ralf-Philipp Weinmann, har hatt mulighet til å studere et stort utvalg av de skjulte tjenestene ved hjelp av en sårbarhet de fant i Tor-nettverket tidligere i år. Tor Project ble varslet, men før en sikkerhetsfiks var klar, benyttet forskerne muligheten til å samle nesten 40 000 unike adresser. Sårbarheten ble fjernet med versjon 0.2.4.10-alpha av Tor.

Forskerne skannet disse tjenestene etter åpne porter, estimerte hvor populære de enkelte av tjenestene var, samt klassifiserte deres innhold.

Forskernes skannet ikke alle mulig porter for alle de ulike adressene, men endte opp med et utvalg på 22 007 åpne porter. 13 854 av disse var port 55080. Disse portene framstod egentlig ikke som åpne, med ved skanningen av dem, returnerte de en noe annen feilmelding enn det som var vanlig. Det var fra tidligere kjent at port 55080 benyttes av skjulte tjenester som er opprettet av datamaskiner infisert av botnett-skadevaren Skynet. Den uvanlige feilmeldingen skyldtes at tjenesten umiddelbart stenger forbindelser til denne porten, dersom forbindelsene ikke har blitt etablert på en spesiell måte.

Altså var mer enn halvparten av de skjulte tjenestene noder i et botnett.

På andre og tredjeplass kom «vanlige» nettsteder, henholdsvis HTTP (port 80) og HTTPS (port 443), med til sammen 5393 åpne porter.

Innholdsanalysen ble gjort et par måneder senere enn portskanningen. Da klarte forskerne å opprette forbindelser til 6579 ulike tjenester via HTTP eller HTTPS.

84 prosent av disse tjenestene var på engelsk. En rekke andre språk var også representert, men ingen med en andel på mer enn 3 prosent.

Forskerne tok utgangspunkt i de engelskspråklige tjenestene og filtrerte vekk de som bare viste standardsiden til Torhost.onion, en gratis hostingtjeneste for anonyme nettsteder. Da satt man igjen med 1813 ulike adresser. Disse ble ved hjelp av verktøyet uClassify fordelt på 18 ulike kategorier.

44 prosent av adressene pekte til tjenester som handler om narkotika, porno, våpen, samt omsetning av forfalskninger, stjålne kredittkort, kontoinformasjon og mye annet, alt samlet i kategorien «Counterfeit».

Blant de øvrige kategoriene var «Politics» og «Anonymity» de største, med henholdsvis 9 og 8 prosent. Blant disse finner man tjenester hvor det diskuteres eller rapporteres om temaer som korrupsjon, undertrykking, ytringsfrihet og anonymitetstjenester.

I kategorien «Services» er det inkludert nettsteder hvor det tilbys alt fra vasking av penger, deponeringstjenester, samt leie av mordere og tyver.

Adressene til de skjulte tjenestene avsluttes med «.onion» og kalles derfor onion-adresser. 15 av adressene som forskerne kom over, hadde «silkroa» som prefiks. Blant disse var det «offisielle» adresser til undergrunns-markedsplassen Silk Road og til Silk Road-forumet. Men i alle fall adressen til markedsplassen er velkjent fra før.

Popularitet

Metoden som ble benyttet til å samle onion-adressene gjorde det også mulig for forskerne å se hvor mange klienter som koblet seg til hver av tjenestene. Dette ble gjort over en periode på to timer.

Den seks av de sju mest benyttede tjenestene antas å være sentrale i et botnett som blir kalt for «Goldnet» av forskerne. En server for Bitcoin-utvinning finnes på niende plass. Deretter følger en del tjenester knyttet til Skynet, ispedd noen pornotjenester. På 18. plass finner man nevnte Silk Road.

Forskerne konkluderer med at det på Tor-nettet er ganske jevnt fordelt mellom det man kan kalle lyssky tjenester og tjenester som omfavner temaer som ytringsfrihet, menneskerettigheter, anonymitet og sikkerhet – i alle fall når man ser bort fra tjenestene knyttet til port 55080.

Forskerne mener bildet ser mer bedrøvelig ut nå man inkluderer tallene for hvilke tjenester som er mest brukt. Listen toppes av tjenester som brukes til styring av botnett eller til spredning av pornografisk innhold, sannsynligvis også barneporno.

Hele rapporten til forskerne er tilgjengelig her.

    Les også:

Til toppen