1 poin oleh GN⁺ 2025-06-18 | 1 komentar | Bagikan ke WhatsApp
  • Saat mencari penyebab lambatnya unduhan ISO Linux, ditemukan bahwa beberapa tracker BitTorrent sudah tidak aktif, lalu dilakukan eksperimen untuk melihat berapa banyak klien yang kembali jika domain tracker yang mati didaftarkan ulang
  • Targetnya adalah udp://open.demonii.si:1337/announce; domain .si dibeli di Dynadot, dihubungkan ke VPS, lalu opentracker dijalankan pada port 1337
  • Bahkan sebelum tracker dinyalakan, permintaan sudah membanjiri port UDP 1337, dan sekitar 1 jam kemudian teramati sekitar 1,73 juta torrent dan 3,15 juta peer
  • Statistik mencakup peers 3.155.701, seeds 1.342.504, completed 244.224, UDP overall 58.843.612, dan lainnya, menunjukkan bahwa URL tracker lama masih tersimpan di konfigurasi banyak klien
  • Tidak jelas apakah menjalankan infrastruktur tracker saja, tanpa iklan atau penyediaan file .torrent, termasuk mendorong pelanggaran hak cipta, tetapi karena khawatir dengan jejak pembayaran kartu kredit, pelaku eksperimen mematikan VPS dan menghapus domain

Eksperimen mendaftarkan domain tracker mati

  • Di tab Trackers pada qBittorrent, ditemukan beberapa tracker berada dalam kondisi host down atau menggunakan domain yang tidak terpakai
  • Dalam BitTorrent, tracker adalah komponen inti yang memberi tahu peer lain untuk ikut dalam torrent
  • Struktur ini menyisakan titik sentralisasi di dalam protokol BitTorrent
    • Jika tracker tidak dipelihara atau offline, sulit menemukan peer melalui jalur tersebut
  • Ada alternatif berupa Mainline DHT, tetapi metode ini juga memiliki keterbatasan
    • Bergantung pada bootstrap node
    • Rentan terhadap Sybil attack
    • Pada torrent yang diunduh pelaku eksperimen, DHT juga tidak berhasil menemukan peer

Pemulihan open.demonii.si dan hasil pengamatan

  • Domain udp://open.demonii.si:1337/announce yang tidak terpakai didaftarkan
    • Domain dibeli dari Dynadot
    • VPS disiapkan dan domain dipetakan ke VPS
  • opentracker digunakan sebagai perangkat lunak tracker
    • Pada Ubuntu 24.04, gcc-14, g++-14, build-essential, zlib1g-dev dipasang
    • libowfat dibangun terlebih dahulu, lalu opentracker dibangun
    • opentracker -p 1337 -P 1337 dijalankan sebagai systemd unit
  • Bahkan sebelum opentracker dimulai, trafik dalam jumlah besar masuk ke port UDP 1337
  • Sekitar 1 jam kemudian, statistik di http://open.demonii.si:1337/stats?mode=everything mengonfirmasi koneksi berskala besar
    • torrents: count_mutex 1.735.538, count_iterator 1.735.523
    • peers: 3.155.701
    • seeds: 1.342.504
    • completed: 244.224
    • TCP accept 21.532, announce 20.219, scrape 263
    • UDP overall 58.843.612, connect 18.321.703, announce 33.160.261, scrape 3.211.543, missmatch 4.116.689

Risiko hukum dan akhir eksperimen

  • Aspek hukumnya tidak jelas
    • Dalam kasus seperti The Pirate Bay, penayangan film populer, penjualan iklan, penyediaan file .torrent, dan hal serupa diperlakukan sebagai bukti inducement terhadap pelanggaran hak cipta
    • Apakah tindakan hanya mengoperasikan infrastruktur tracker tanpa beriklan termasuk inducement masih menjadi persoalan yang lebih sulit dibuktikan
    • Torrent yang didistribusikan secara bebas maupun torrent berhak cipta sama-sama dapat menggunakan tracker ini
  • Fakta bahwa domain dibayar dengan kartu kredit menjadi beban tersendiri, sehingga pelaku eksperimen menghentikan VPS dan menghapus domain
    • Setelah eksperimen, domain open.demonii.si kembali tersedia untuk didaftarkan

1 komentar

 
GN⁺ 2025-06-18
Opini Hacker News
  • Kalau sebenarnya bukan meng-host tracker, melainkan hanya melihat koneksi masuk, saya tidak paham kenapa itu harus ilegal
    Bahkan jika menjalankan tracker sekalipun, sulit mengatakan tracker itu sendiri ilegal. Meng-host sesuatu seperti opentrackr mirip dengan meng-host mesin pencari; inti masalahnya ada pada bagaimana menanggapi permintaan penghapusan legal dan niat seperti apa yang ditunjukkan oleh infrastruktur di sekitar tracker. Tracker adalah perangkat lunak server koordinasi yang cukup sederhana, jadi akan aneh jika benda itu sendiri menjadi ilegal

    • “Apakah legal?” bukan pertanyaan yang terlalu berguna. Pertanyaan yang lebih baik adalah seberapa besar kemungkinan digugat. Dalam gugatan perdata, terlepas dari apakah sesuatu benar-benar legal atau tidak, kalau terlihat mencolok Anda bisa diganggu oleh pengacara
    • Kalau Anda membantu orang lain melakukan kejahatan sambil mengetahui hal itu, biasanya diperlakukan mirip dengan melakukan kejahatan itu sendiri secara langsung. Dalam hukum federal AS ada ketentuan seperti 18 USC 2a https://www.law.cornell.edu/uscode/text/18/2
      Fakta bahwa perangkat lunak yang berjalan itu “sederhana” bukan pembelaan terhadap tindakan ilegal, misalnya membantu kejahatan orang lain. Di AS ada beberapa klausul safe harbor terkait internet/hak cipta yang mungkin membuatnya bukan kejahatan, tetapi kemungkinan besar tidak, dan saya bukan ahli hukum. Saat mendengar frasa “membantu kejahatan seseorang”, pada dasarnya lebih tepat menganggap “itu sendiri mungkin juga kejahatan”
    • Mungkin karena industri musik dan film membenci P2P secara keseluruhan? Pada tahun 2000-an, arus P2P yang hendak menjadi web terdistribusi generasi berikutnya praktis mati
      Mungkin sekarang saatnya melihatnya kembali. Pada akhirnya ini hanya soal bagaimana memaksakan DRM, dan sekarang ada banyak cara untuk membereskan lisensi, jadi industri sepertinya tidak perlu terlalu khawatir
    • Penulis asli benar-benar meng-host tracker
      “Lalu saya menyalakan tracker. Sekitar satu jam kemudian, jumlahnya melonjak menjadi 1,7 juta torrent berbeda di antara 3,1 juta peer!”
    • Ini bukan nasihat hukum, tetapi bisa saja legal dan bisa juga ilegal
      Jika tidak merespons permintaan penghapusan, mungkin akan lebih dekat ke sisi ilegal; jika merespons permintaan penghapusan dengan memasukkan hash ke blacklist, kemungkinan besar umumnya baik-baik saja. Tentu saja ini bergantung pada yurisdiksi dan apakah tindakan mencocokkan hash dengan IP:PORT diperlakukan sebagai distribusi/pendampingan/atau hal lainnya. Kasus TPB bisa menjadi contoh. Saya kenal seseorang yang mengoperasikan tracker yang cukup besar selama beberapa tahun; ketika ada permintaan penghapusan, ia memasukkan hash terkait ke blacklist, dan sejauh ini tidak ada masalah
  • Karena klien BitTorrent sangat beragam dan banyak implementasinya ditulis dengan bahasa yang tidak aman, saya penasaran apakah sebagian klien bisa diserang melalui tracker berbahaya
    Jika tracker mengirim data dengan format yang salah, tidak mengejutkan jika sebagian klien berperilaku tidak semestinya

    • Sebagian besar klien torrent yang dipakai orang, meski tidak semuanya, pada dasarnya adalah pembungkus libtorrent, dan libtorrent telah teruji dengan baik serta pernah diaudit
    • Saya pernah menulis klien tingkat hobi, dan menurut saya jawabannya: bisa. Karena menerima input dari server yang tidak kita kendalikan, dan juga cukup banyak berinteraksi dengan sistem berkas
      Bahkan dengan bahasa yang memory-safe pun sulit membuat klien yang bekerja dengan benar; mengimplementasikannya secara tepat dalam C atau C++ jelas cukup sulit
    • Transmission pernah memiliki kerentanan eksekusi kode jarak jauh (CVE-2018-5702) yang memungkinkan penyerang menjalankan perintah arbitrer melalui DNS rebinding. Penyalahgunaan tracker jelas bisa menjadi vektor serangan nyata
    • Datanya dienkode dengan bencode, jadi formatnya berbasis byte. Tracker berbahaya yang diketahui biasanya menyuntikkan sesuatu, misalnya menambahkan payload yang menargetkan OS klien ke semua berkas PDF yang diketahui
      API terkait announce cukup mudah diimplementasikan, tetapi sulit memastikan bahwa implementasinya dibuat dalam lingkungan uji fuzzing. Misalnya, Transmission memiliki beberapa kerentanan selama bertahun-tahun, dan saya tidak begitu tahu implementasi klien lainnya
    • Bisa saja, tetapi kemungkinannya tidak tinggi. Protokolnya relatif sederhana, dan klien-klien yang sudah ada selama ini telah terpapar input tidak tepercaya dalam jumlah sangat besar
  • Dulu saya pernah menjalankan tracker privat sebentar sekali untuk mengeksplorasi menonton video bersama lewat P2P
    Itu hanya sebatas mainan, jadi saya tidak mendalami cara kerja tracker, dan memakai tracker rust Aquatic. Saat diminta, mereka juga dengan baik hati menambahkan dukungan webtorrent https://github.com/greatest-ape/aquatic
    Apakah tracker tahu apa yang dilacaknya? Adakah upaya untuk membuat tracker tidak mengetahui konten meski ia mempertemukan peer?
    Secara intuisi, orang-orang tampaknya mencari peer berdasarkan suatu hash/magnet, dan magnet itu sendiri sudah cukup serta tidak perlu memuat informasi identitas. Tentu saja saya tahu banyak tautan magnet berisi deskripsi yang bisa dibaca manusia. Tracker mungkin bisa mencoba mengunduh hash ini dari peer untuk mendapatkan informasi torrent, tetapi kalau tidak mengunduhnya secara langsung, sepertinya sulit benar-benar tahu torrent itu apa dan apa isinya
    Apakah pemahaman ini benar? Seberapa besar bagian penting dalam tautan magnet untuk mempertemukan peer? Bisakah tracker mengabaikan field yang mudah dibaca manusia atau memblokirnya pada tahap masuk agar menutup matanya?

    • Tracker hanya menangani info hash torrent. Tidak ada nama, deskripsi, daftar konten, apa pun
      Mengambil contoh perangkat lunak yang dipilih di tulisan asli, opentracker bisa dijalankan baik dalam mode whitelist maupun blacklist. Yang pertama sudah jelas, sedangkan yang kedua mengizinkan semua hash kecuali hash yang masuk blacklist. Tracker publik seperti torrent.eu atau opentrackr.org selalu beroperasi dengan model blacklist agar siapa pun dapat berkumpul untuk hampir semua konten
    • Tracker tahu apa yang dilacaknya. Dulu saya menjalankan tracker acara TV, dan melacak rasio unggah/unduh semua pengguna
  • Ada daftar master tracker yang diperbarui setiap hari di sini, jadi sepertinya Anda bisa menemukan tracker mati lainnya https://github.com/ngosang/trackerslist

  • Dengan kata lain, hanya dengan biaya mendaftarkan domain dan menerbitkan record DNS tertentu, seseorang bisa melakukan DDoS ke IP mana pun

    • Apakah memang separah itu?
      Klien BitTorrent yang pernah saya gunakan berperilaku cukup sopan, dan mundur setidaknya sekitar 60 detik untuk tiap tracker yang tidak bisa dihubungi. Kalaupun membeli domain tracker yang sudah mati lalu mengarahkannya ke IP orang lain, jika layanan itu tidak mendengarkan pada port yang ingin dihubungi klien, dan meski port-nya kebetulan cocok tetapi tidak berbicara BitTorrent, sulit membayangkan 1 juta klien BitTorrent yang mencoba terhubung akan menjadi masalah sebesar itu
    • Interval announce pada klien umum cukup panjang. Biasanya sekitar 30 menit. Meski begitu, dengan 3 juta peer, tetap akan ada volume trafik
    • Yang lebih berbahaya adalah semua laporan DMCA dari pemegang hak kekayaan intelektual yang agresif bisa dialihkan ke alamat IP rumahan. Tak peduli seberapa legal operasi tracker itu, ISP kemungkinan akan langsung memutus akun tersebut
    • Maksudnya penulis secara teoretis bisa mengalihkan semua trafik ke IP mana pun yang ingin di-DDoS? Saya belum pernah memikirkannya, tetapi 3 juta peer jelas menakutkan
  • Mirip saat Cloudflare mengambil alamat IP 1.1.1.1. Begitu diaktifkan, mereka melihat trafik yang sangat besar, karena banyak orang menunjuk ke alamat itu di skrip mereka

    • Bagaimana mereka mendapatkan alamat itu?
  • Pikiran pertama saya adalah berapa banyak klien BitTorrent yang memiliki kode parsing yang rentan
    Bisakah seseorang yang berniat jahat mendaftarkan domain lalu menginfeksi klien?

    • Saya teringat novel Jon Evans “Invisible Armies”, serta “bug”/backdoor di dalam perangkat lunak P2P. Penulisnya memanfaatkannya untuk mengambil alih mesin-mesin
    • Sepertinya tidak terlalu begitu. Tracker hanyalah bagian yang sangat kecil dari keseluruhan susunan Bittorrent, dan pada dasarnya hanya dipakai klien untuk mendapatkan daftar peer
      Secara dasar, strukturnya adalah mengirim panggilan HTTP ke tracker dan menerima respons. Yang cepat terpikir adalah mengembalikan bencode yang salah sehingga menyebabkan kehabisan memori pada klien yang ditulis pemula. Sebagai target serangan, protokol peer dan varian seperti uTP jauh lebih menarik, dan untuk itu tidak perlu meng-host tracker. Cukup dapatkan IP peer dari tracker atau DHT, sambungkan, lalu lakukan serangan yang diinginkan
    • utorrent v2.1 masih dipakai terlalu banyak orang, dan jelas bisa dieksploitasi
  • Sederhana. Daftarkan domain di negara seperti Rusia, Tiongkok, atau Iran, lalu jalankan situs webnya di Alibaba
    Suruh mereka mencoba mengirim sampah hukum ke Rusia atau Tiongkok. Pasti akan berjalan lancar

    • Benar. Solusi untuk menjalankan aktivitas ilegal di internet hanyalah mendaftarkan domain di “Rusia, Tiongkok, Iran, atau negara serupa”
      Kita juga harus memberi tahu pihak TOR soal temuan ini. Sekarang darknet bisa ditutup dan semuanya dipindahkan ke Tiongkok
  • Tidak bisakah diteruskan ke tracker publik lain? Dengan begitu tidak perlu meng-host apa pun, dan kalau mendapat surat hukum, tinggal minta mereka berbicara dengan pihak tracker publik itu

    • Dari luar tidak bisa dibedakan, dan pada akhirnya tetap akan digugat
  • Saya bukan ahli hukum, tetapi sejauh yang saya pahami, mengoperasikan tracker netral konten di AS itu legal
    Di yurisdiksi lain jelas bisa saja tidak legal, VPS-nya juga mungkin berada di yurisdiksi lain, dan TLD .si jelas berada di yurisdiksi lain

    • Setelah mencari, setidaknya ada satu tracker yang ditutup oleh aparat penegak hukum AS. EliteTorrents [2005] https://www.latimes.com/archives/la-xpm-2005-may-26-fi-torre...
      Mungkin ada lebih banyak. Kasus perdata dari MPAA dan lainnya untuk ganti rugi jelas lebih banyak. Di AS mungkin agak lebih sulit dibuktikan, tetapi jika sebagian besar yang terdaftar adalah konten berhak cipta, saya cukup yakin tracker seperti itu tetap bisa ditutup di AS
    • VPS yang disebut di tulisan adalah dari https://cockbox.org/, yang dinyatakan berbasis di Moldova
    • Dulu ada tracker publik besar yang berjalan di .si, dan banyak dipakai di Slovenia, negara asal .si
      Hampir semua orang yang menjalani kehidupan online di Slovenia selama 20 tahun terakhir pasti tahu atau pernah menggunakannya. Dan tracker itu juga bukan hilang karena pemberitahuan hukum