Darknet en TOR: avontuurlijke technieken en oplossingen

Noud van Kruysbergen
0

Inhoudsopgave

Het darknet heeft meer te bieden dan een illegale zwarte markt en anonimiteit. Wie zich niet laat verblinden door de sensatieverhalen over TOR, ontdekt avontuurlijke oplossingen voor problemen die ook in het dagelijks leven voorkomen.

Bijna iedereen denkt bij darknet onmiddellijk aan illegale wapens, drugs en het uitwisselen van kinderporno. En ja, dat is er allemaal op het darknet. Maar dat is niet het het hele verhaal. Darknet heeft immers veel meer te bieden dan illegaliteit. Het is een unieke biotoop met interessante interactievormen en opwindende oplossingen voor problemen die ons ook in ons normale leven bezighouden. Als je goed kijkt, ontdek je benaderingen op het darknet die je ook kunt toepassen in het dagelijks leven en aan de lichte kant van het internet.

Marktplaatsen

Neem bijvoorbeeld marktplaatsen. Als je ooit geprobeerd hebt een tweedehands iPhone via internet te verkopen, ken je het probleem. Gedeelten van de normale internetmarkten worden zo gedomineerd door kleine criminelen, dat je je goederen of geld ook meteen kunt weggooien, dan bespaar je je op zijn minst veel ergernis. De uitgangssituatie op het darknet is nog erger. Daar moet je ervan uitgaan dat iedereen een gewetenloze oplichter is, die elke gelegenheid zal aangrijpen om je zonder pardon een loer te draaien. Zonder dat je de mogelijkheid hebt om hem verantwoordelijk te stellen. Hoe kun je daar dan zaken doen?

darknet TOR markt technologie

Maar juist dat werkt op sommige zwarte markten verrassend goed. De koper krijgt de beloofde spullen en de verkoper krijgt zijn geld. Fraude komt zelden voor. Dat heeft echt helemaal niets te maken met de overigens niet bestaande eer onder dieven. Het is puur gebaseerd op een verfijnd model met een vertrouwenspersoon. Die vertrouwenspersonen zijn in de regel overigens ook boeven.

Maar ook als je minder geïnteresseerd bent in sociaaleconomische experimenten dan in technologie, krijg je waar voor je geld. Vooral op het gebied van beveiliging en privacy blinkt het darknet uit in interessante technologieën en pragmatische oplossingen, die niet beperkt hoeven te blijven tot illegale activiteiten.

De techniek achter zakendoen via vertrouwenspersonen leggen we uit in c't magazine okt/2018

Wat is het darknet?

Voor de meeste mensen is darknet een nogal vage term voor de ‘donkere kanten van het internet’, vooral voor illegale inhoud en aanbiedingen. Sommige mensen koppelen het donkere ook aan het feit dat de inhoud in tegenstelling tot ‘clearnet’ niet wordt gescreend en opgenomen door de bijna alwetende zoekmachines zoals Google. Dat noemen we ook wel het deep web.

Die definitie omvat echter ook alle community’s waartoe je alleen toegang hebt na registratie. Denk bijvoorbeeld aan de zogenaamde carder-forums, waar creditcardoplichters en degenen die het willen worden tips en ervaringen uitwisselen. Maar natuurlijk ook commerciële inhoud, die alleen tegen een vergoeding kan worden geraadpleegd, of de buurtcommunity, die alleen op uitnodiging toegankelijk is.

Meer technisch georiënteerde mensen gebruiken darknet als een koepelbegrip voor overlay-netwerken die het internet alleen gebruiken als een transportmedium en voortbouwen op een eigen infrastructuur die de anonimiteit van de deelnemers moet dienen. Het meest prominente netwerk van dat type is The Onion Router, kortweg TOR. Andere vertegenwoordigers zijn I2P, Freenet, GNUnet en RetroShare. Oorspronkelijk noemden internettechnici darknet de delen van het internet die niet worden gerouteerd. Die definitie is tegenwoordig echter niet meer gebruikelijk.

TOR: poort naar het Darknet

De ontwikkelaars van Tor hebben bijvoorbeeld een browser gemaakt die uitstekend geschikt is als onafhankelijke tweede browser. Dan hoef je je dagelijkse browser niet op te zadelen met ongemakkelijke beperkingen, maar kun je in alle gevallen waarin je op zeker wilt spelen de Tor-browser kiezen. Die stelt veiligheid namelijk compromisloos op de allereerste plaats. Geen Flash, alleen expliciet toegestaan JavaScript en waar mogelijk afgedwongen versleuteling.

Meer over werking en gebruik van de TOR-browser vind je in c't Magazine okt/2018

Wat Tor betreft: dat netwerk in een netwerk vormt de technische basis voor een groot deel van het darknet. Dat komt doordat Tor uitgebreide garanties biedt voor veiligheid en anonimiteit, wat het goed doet bij criminelen. Maar je hoeft geen crimineel te zijn om meer privacy te willen op internet.

Het Tor-netwerk realiseert de beloofde anonimiteit doordat de ‘Tor Onion Routing’ de gegevens verstuurt via verschillende tussenliggende stations, die op een strikte ‘need-to-know’-basis werken. Op het normale internet bevat elk gegevenspakket het ip-adres van de afzender en de ontvanger, en elk station onderweg kan die informatie gewoon lezen. Bij Tor ziet elk netwerkknooppunt alleen de vorige en de volgende hop, maar geen enkele node kent zowel de afzender als de ontvanger.

Pas als de gegevens het Tor-netwerk verlaten, om bijvoorbeeld naar een conventionele internetserver te gaan, ziet de verantwoordelijk Tor-exitnode het echte doeladres. Hij weet dan niet wie de oorspronkelijke afzender was, hij kent alleen de zogenaamde Tor Entry Guard. Maar die kan noch de ontvanger, noch de inhoud van de gegevens zien.

Die anonimiteit kent echter wel grenzen. Die liggen niet alleen bij de bekende technische beperkingen. Ook Tor biedt geen universele garantie voor anonimiteit. Voor je het weet, staat er een arrestatieteam op de stoep. In uitgave 10, 2018 leggen we uit hoe dat kan.

darknet TOR marktplaats politie

Afluistervrije ruimte

Anders ligt het met de beveiliging tegen afluisteren. De encryptie die Tor gebruikt is zo goed, dat politie en zelfs inlichtingendiensten zich daarbij neerleggen en andere manieren zoeken om de gewenste gegevens te achterhalen. Dat kan bijvoorbeeld via spionagetrojans, die ze installeren op de apparaten van verdachten.

De beveiliging van Tor tegen afluisteren gaat zelfs nog een stap verder dan de transportversleuteling van TLS op het gewone internet. Die laat nog altijd zien wie wanneer van welke diensten gebruikmaakt. Als je regelmatig op bijvoorbeeld ct.nl rondkijkt via de standaard versleutelde HTTPS-verbinding, kunnen je internetprovider en de netwerkbeheerder van je werkgever nog steeds zien dat en wanneer je communiceert met de c’t-server. En de politie en inlichtingendiensten, voorzien van de juiste machtigingen, kunnen dat ook.

Dat is een van de redenen waarom we een eigen brievenbus hebben gemaakt op het darknet. Niet alleen zien wij als ontvangers dan niet waar het binnenkomende explosieve materiaal vandaan komt, maar ook luistervinken op het net zien op zijn best dat iemand met Tor werkt. Zelfs als iemand het volledige dataverkeer van een doelpersoon kan lezen en analyseren, vindt hij geen aanwijzingen voor een verband tussen de tipgever en onze brievenbus. Dat is pas bescherming van een informant.

De informatie die openlijk zichtbaar is over wie wanneer welke websites bezoekt, is op dit moment misschien geen groot probleem in Nederland. Maar toen bij de Arabische lente repressieve regimes in de problemen kwamen en de machthebbers met alle middelen terugsloegen, zag dat er ineens heel anders uit. De voornamelijk jeugdige demonstranten organiseerden hun protest namelijk hoofdzakelijk via Facebook. Ineens was het intensieve gebruik van Facebook op het verkeerde moment een verraderlijke aanwijzing, die iemand zelfs in levensgevaar kon brengen.

Een direct gevolg van die incidenten is dat Facebook nu toegang biedt via een zogenaamde hidden service op het darknet. Die gebruikt precies dezelfde technologie als de illegale marktplaatsen en is een van de populairste darknet-diensten. Anonimiteit speelt daarbij echter geen rol. Na de aanmelding weet Facebook immers precies wie zich aan de andere kant bevindt. Het gaat er alleen maar om dat niemand anders kan zien dat iemand Facebook gebruikt.

Doorlezen is gratis, maar eerst even dit:

Dit artikel is met grote zorg samengesteld door de redactie van c’t magazine – het meest toonaangevende computertijdschrift van Nederland en België. Met zeer uitgebreide tests en praktische workshops biedt c’t de diepgang die je nergens online vindt.

Bekijk de abonnementen   Lees eerst verder

Facebook geeft gebruikers via de verborgen service dus een afluistervrije toegang, ook als hun leven ervan afhangt dat ze niet in de gaten gehouden worden. In de praktijk betekent dat natuurlijk dat het gebruik van Tor alleen al verdacht is en vaak zelfs technisch verhinderd wordt. Dan zijn er ook weer trucs om dat te omzeilen, maar dat voert nu even te ver.

Technisch gezien realiseert Tor de afluisterbeveiliging door een meertraps versleuteling, waarbij elk Tor-knooppunt (en alle mogelijke meeluisteraars) de versleutelde tekst niet kan lezen. In feite ziet het alleen willekeurige enen en nullen die het aan een ander Tor-knooppunt doorgeeft. De meervoudige versleutelingen liggen daarbij als schillen om de te beschermen inhoud, wat wordt gesymboliseerd door de ui van het Tor-logo.

Verborgen diensten

De hidden services, de verborgen diensten van Tor, vormen een groot deel van het darknet. Iedereen kan een dergelijke verborgen dienst opzetten en ermee werken (je kunt zo zelfs een digitaal pamflet verspreiden). Gebruikers hoeven alleen de exacte naam te weten om hem te benaderen. Je kunt de service vervolgens gewoon openen en gebruiken in de Tor-browser. Maar achter de schermen gebeuren andere dingen dan op het World Wide Web.

Dat begint bij de naam, die bij een hidden service altijd eindigt op .onion. Dat is een kunstmatig toplevel-domein, dat niet kan worden omgezet door het gewone Domain Name System (DNS). In plaats daarvan moet je een TOR-directoryserver raadplegen, die vervolgens een introduction point levert voor de Tor-verbinding met de verborgen dienst in het Tor-netwerk. Het klinkt ingewikkelder dan het is. In de praktijk doet de Tor-browser dat op de achtergrond, je hoeft alleen zoals gebruikelijk een url in te typen en dat is het.

Het is in tegenstelling tot op het gewone internet wel belangrijk dat de Tor-gebruikers en de verborgen dienst geen direct contact hebben. Dat betekent dat je aan de ene kant van de lijn niet kunt bepalen waar een ander nu echt zit. Door de Tor-routing via verschillende tussenstations en een extra rendezvous-punt in het Tor-netwerk, kun je een fysieke server met een verborgen service niet opsporen via het netwerk.

Daarom werken illegale zwartemarkt-platforms bijvoorbeeld graag als een verborgen dienst, om opsporing te voorkomen. Hoe wapens- en drugsmarkten zoals de beruchte Hansa-markt dan toch te grazen genomen worden, lees je zoals eerder aangegeven in c’t magazine 10, 2018.

Vertrouwen is een kwestie van naam

Terug naar de namen, die zo’n belangrijke functie hebben in het Tor-netwerk. Het deel voor .onion is meestal onlees­bare wartaal. Dat komt doordat de namen worden gevormd uit hash­waarden via een openbare cryptosleutel. Op die manier lost Tor het basisprobleem van versleuteling heel anders op dan het normale web.

Voor gewone HTTPS-pagina’s bevestigt een vermoedelijk vertrouwde certificeringsinstantie (CA) dat een sleutel inderdaad bij bijvoorbeeld ct.nl hoort. Maar DigiNotar en andere certificeringsinstanties zijn al eens gehackt en de Symantec CA is meerdere keren betrapt op het onbevoegd afgeven van certificaten. Als je op die manier een nepcertificaat bemachtigt met de handtekening van een CA, kun je die inhaken in de verbinding tussen de officiële server (ct.nl) en de browser en alles meelezen. Het vertrouwd zijn op internet is dus maar relatief.

Op het Tor-netwerk is er echter maar één sleutel die past bij bijvoorbeeld ‘sq4lecqyx4izcpkl’. En dat kan de sleutel zijn die gedeponeerd is op de server van jouw brievenbus op http://sq4lecqyx4izcpkl.onion/. Zolang je de juiste naam gebruikt en de originele sleutel veilig bewaard wordt, kan niemand zich voordoen alsof hij zelf jouw server is en bijvoorbeeld inhaken in een verbinding met jouw postbus. Geen enkele certificeringsinstantie op de hele wereld kan namelijk een bijpassende sleutel uitgeven voor die server.

Het nadeel is dat de namen over het algemeen heel cryptisch en moeilijk te onthouden zijn. Facebook heeft enorm veel rekentijd verbruikt voor het genereren van miljoenen en miljoenen sleutels, totdat ze de enigszins zinvolle tekenreeks facebookcorewwwi voor elkaar kregen (die ik evengoed elke keer weer moet opzoeken).

Willen potentiële gebruikers een service vinden, dan hebben ze dus de naam nodig, en anders dan op het het gewone internet kan die meestal niet worden afgeleid van de naam van de service. Alles draait op het darknet dus om directory’s met verborgen diensten en hun onion-url’s. Dat doet een beetje denken aan de digitale steentijd, toen websites als Yahoo het internet probeerden te catalogiseren – en zo voelt het in de praktijk ook vaak. Historisch gezien is Hidden Wiki de belangrijkste directory. Fresh Onions zoekt het darknet zelf na op nieuwe diensten en levert actuelere lijsten. Eventueel wat gerichter zoeken kan met de darknet-zoekmachines ‘Not Evil’ en ‘Torch’ (de links vind je hier, alleen bereikbaar via TOR).

Hou er rekening mee dat je eerste eigen contact met het darknet bijna onvermijdelijk tot frustraties en teleurstellingen leidt. Veel links zijn al dood, de beschikbare content is vaak triviaal of een overduidelijke poging tot fraude. Bespaar jezelf dat en lees liever de artikelen in c’t magazine over de Tor-browser, de vertrouwensmodellen en de grenzen van de anonimiteit.

Meer over de Tor-browser, vertrouwensmodellen en grenzen van de anonimiteit in c't Magazine okt/2018

Deel dit artikel

Lees ook

Gegevens verwijderen van computers, op harde schijf en ssd

Gegevens verwijderen betekent niet altijd hetzelfde. We gaan in op de basis van datahygiëne en hoe je correct gegevens verwijderen kunt van harde schi...

UEFI BIOS instellen en Secure Boot: vragen en antwoorden

Moderne pc's en notebooks met processors van AMD, Intel en Qualcomm hebben een UEFI-BIOS. We gaan in op vragen rond het UEFI-BIOS instellen en Secure ...

0 Praat mee

avatar
  Abonneer  
Laat het mij weten wanneer er