- Saat mencari penyebab lambatnya unduhan ISO Linux, ditemukan bahwa beberapa tracker BitTorrent sudah tidak aktif, lalu dilakukan eksperimen untuk melihat berapa banyak klien yang kembali jika domain tracker yang mati didaftarkan ulang
- Targetnya adalah
udp://open.demonii.si:1337/announce; domain.sidibeli di Dynadot, dihubungkan ke VPS, lalu opentracker dijalankan pada port 1337 - Bahkan sebelum tracker dinyalakan, permintaan sudah membanjiri port UDP 1337, dan sekitar 1 jam kemudian teramati sekitar 1,73 juta torrent dan 3,15 juta peer
- Statistik mencakup peers 3.155.701, seeds 1.342.504, completed 244.224, UDP overall 58.843.612, dan lainnya, menunjukkan bahwa URL tracker lama masih tersimpan di konfigurasi banyak klien
- Tidak jelas apakah menjalankan infrastruktur tracker saja, tanpa iklan atau penyediaan file
.torrent, termasuk mendorong pelanggaran hak cipta, tetapi karena khawatir dengan jejak pembayaran kartu kredit, pelaku eksperimen mematikan VPS dan menghapus domain
Eksperimen mendaftarkan domain tracker mati
- Di tab
Trackerspada qBittorrent, ditemukan beberapa tracker berada dalam kondisi host down atau menggunakan domain yang tidak terpakai - Dalam BitTorrent, tracker adalah komponen inti yang memberi tahu peer lain untuk ikut dalam torrent
- Struktur ini menyisakan titik sentralisasi di dalam protokol BitTorrent
- Jika tracker tidak dipelihara atau offline, sulit menemukan peer melalui jalur tersebut
- Ada alternatif berupa Mainline DHT, tetapi metode ini juga memiliki keterbatasan
- Bergantung pada bootstrap node
- Rentan terhadap Sybil attack
- Pada torrent yang diunduh pelaku eksperimen, DHT juga tidak berhasil menemukan peer
Pemulihan open.demonii.si dan hasil pengamatan
- Domain
udp://open.demonii.si:1337/announceyang tidak terpakai didaftarkan- Domain dibeli dari Dynadot
- VPS disiapkan dan domain dipetakan ke VPS
- opentracker digunakan sebagai perangkat lunak tracker
- Pada Ubuntu 24.04,
gcc-14,g++-14,build-essential,zlib1g-devdipasang - libowfat dibangun terlebih dahulu, lalu opentracker dibangun
opentracker -p 1337 -P 1337dijalankan sebagai systemd unit
- Pada Ubuntu 24.04,
- Bahkan sebelum opentracker dimulai, trafik dalam jumlah besar masuk ke port UDP 1337
- Sekitar 1 jam kemudian, statistik di
http://open.demonii.si:1337/stats?mode=everythingmengonfirmasi koneksi berskala besar- torrents:
count_mutex1.735.538,count_iterator1.735.523 - peers: 3.155.701
- seeds: 1.342.504
- completed: 244.224
- TCP accept 21.532, announce 20.219, scrape 263
- UDP overall 58.843.612, connect 18.321.703, announce 33.160.261, scrape 3.211.543, missmatch 4.116.689
- torrents:
Risiko hukum dan akhir eksperimen
- Aspek hukumnya tidak jelas
- Dalam kasus seperti The Pirate Bay, penayangan film populer, penjualan iklan, penyediaan file
.torrent, dan hal serupa diperlakukan sebagai bukti inducement terhadap pelanggaran hak cipta - Apakah tindakan hanya mengoperasikan infrastruktur tracker tanpa beriklan termasuk inducement masih menjadi persoalan yang lebih sulit dibuktikan
- Torrent yang didistribusikan secara bebas maupun torrent berhak cipta sama-sama dapat menggunakan tracker ini
- Dalam kasus seperti The Pirate Bay, penayangan film populer, penjualan iklan, penyediaan file
- Fakta bahwa domain dibayar dengan kartu kredit menjadi beban tersendiri, sehingga pelaku eksperimen menghentikan VPS dan menghapus domain
- Setelah eksperimen, domain
open.demonii.sikembali tersedia untuk didaftarkan
- Setelah eksperimen, domain
1 komentar
Opini Hacker News
Kalau sebenarnya bukan meng-host tracker, melainkan hanya melihat koneksi masuk, saya tidak paham kenapa itu harus ilegal
Bahkan jika menjalankan tracker sekalipun, sulit mengatakan tracker itu sendiri ilegal. Meng-host sesuatu seperti opentrackr mirip dengan meng-host mesin pencari; inti masalahnya ada pada bagaimana menanggapi permintaan penghapusan legal dan niat seperti apa yang ditunjukkan oleh infrastruktur di sekitar tracker. Tracker adalah perangkat lunak server koordinasi yang cukup sederhana, jadi akan aneh jika benda itu sendiri menjadi ilegal
Fakta bahwa perangkat lunak yang berjalan itu “sederhana” bukan pembelaan terhadap tindakan ilegal, misalnya membantu kejahatan orang lain. Di AS ada beberapa klausul safe harbor terkait internet/hak cipta yang mungkin membuatnya bukan kejahatan, tetapi kemungkinan besar tidak, dan saya bukan ahli hukum. Saat mendengar frasa “membantu kejahatan seseorang”, pada dasarnya lebih tepat menganggap “itu sendiri mungkin juga kejahatan”
Mungkin sekarang saatnya melihatnya kembali. Pada akhirnya ini hanya soal bagaimana memaksakan DRM, dan sekarang ada banyak cara untuk membereskan lisensi, jadi industri sepertinya tidak perlu terlalu khawatir
“Lalu saya menyalakan tracker. Sekitar satu jam kemudian, jumlahnya melonjak menjadi 1,7 juta torrent berbeda di antara 3,1 juta peer!”
Jika tidak merespons permintaan penghapusan, mungkin akan lebih dekat ke sisi ilegal; jika merespons permintaan penghapusan dengan memasukkan hash ke blacklist, kemungkinan besar umumnya baik-baik saja. Tentu saja ini bergantung pada yurisdiksi dan apakah tindakan mencocokkan hash dengan IP:PORT diperlakukan sebagai distribusi/pendampingan/atau hal lainnya. Kasus TPB bisa menjadi contoh. Saya kenal seseorang yang mengoperasikan tracker yang cukup besar selama beberapa tahun; ketika ada permintaan penghapusan, ia memasukkan hash terkait ke blacklist, dan sejauh ini tidak ada masalah
Karena klien BitTorrent sangat beragam dan banyak implementasinya ditulis dengan bahasa yang tidak aman, saya penasaran apakah sebagian klien bisa diserang melalui tracker berbahaya
Jika tracker mengirim data dengan format yang salah, tidak mengejutkan jika sebagian klien berperilaku tidak semestinya
Bahkan dengan bahasa yang memory-safe pun sulit membuat klien yang bekerja dengan benar; mengimplementasikannya secara tepat dalam C atau C++ jelas cukup sulit
API terkait announce cukup mudah diimplementasikan, tetapi sulit memastikan bahwa implementasinya dibuat dalam lingkungan uji fuzzing. Misalnya, Transmission memiliki beberapa kerentanan selama bertahun-tahun, dan saya tidak begitu tahu implementasi klien lainnya
Dulu saya pernah menjalankan tracker privat sebentar sekali untuk mengeksplorasi menonton video bersama lewat P2P
Itu hanya sebatas mainan, jadi saya tidak mendalami cara kerja tracker, dan memakai tracker rust Aquatic. Saat diminta, mereka juga dengan baik hati menambahkan dukungan webtorrent https://github.com/greatest-ape/aquatic
Apakah tracker tahu apa yang dilacaknya? Adakah upaya untuk membuat tracker tidak mengetahui konten meski ia mempertemukan peer?
Secara intuisi, orang-orang tampaknya mencari peer berdasarkan suatu hash/magnet, dan magnet itu sendiri sudah cukup serta tidak perlu memuat informasi identitas. Tentu saja saya tahu banyak tautan magnet berisi deskripsi yang bisa dibaca manusia. Tracker mungkin bisa mencoba mengunduh hash ini dari peer untuk mendapatkan informasi torrent, tetapi kalau tidak mengunduhnya secara langsung, sepertinya sulit benar-benar tahu torrent itu apa dan apa isinya
Apakah pemahaman ini benar? Seberapa besar bagian penting dalam tautan magnet untuk mempertemukan peer? Bisakah tracker mengabaikan field yang mudah dibaca manusia atau memblokirnya pada tahap masuk agar menutup matanya?
Mengambil contoh perangkat lunak yang dipilih di tulisan asli, opentracker bisa dijalankan baik dalam mode whitelist maupun blacklist. Yang pertama sudah jelas, sedangkan yang kedua mengizinkan semua hash kecuali hash yang masuk blacklist. Tracker publik seperti torrent.eu atau opentrackr.org selalu beroperasi dengan model blacklist agar siapa pun dapat berkumpul untuk hampir semua konten
Ada daftar master tracker yang diperbarui setiap hari di sini, jadi sepertinya Anda bisa menemukan tracker mati lainnya https://github.com/ngosang/trackerslist
Dengan kata lain, hanya dengan biaya mendaftarkan domain dan menerbitkan record DNS tertentu, seseorang bisa melakukan DDoS ke IP mana pun
Klien BitTorrent yang pernah saya gunakan berperilaku cukup sopan, dan mundur setidaknya sekitar 60 detik untuk tiap tracker yang tidak bisa dihubungi. Kalaupun membeli domain tracker yang sudah mati lalu mengarahkannya ke IP orang lain, jika layanan itu tidak mendengarkan pada port yang ingin dihubungi klien, dan meski port-nya kebetulan cocok tetapi tidak berbicara BitTorrent, sulit membayangkan 1 juta klien BitTorrent yang mencoba terhubung akan menjadi masalah sebesar itu
Mirip saat Cloudflare mengambil alamat IP 1.1.1.1. Begitu diaktifkan, mereka melihat trafik yang sangat besar, karena banyak orang menunjuk ke alamat itu di skrip mereka
Pikiran pertama saya adalah berapa banyak klien BitTorrent yang memiliki kode parsing yang rentan
Bisakah seseorang yang berniat jahat mendaftarkan domain lalu menginfeksi klien?
Secara dasar, strukturnya adalah mengirim panggilan HTTP ke tracker dan menerima respons. Yang cepat terpikir adalah mengembalikan bencode yang salah sehingga menyebabkan kehabisan memori pada klien yang ditulis pemula. Sebagai target serangan, protokol peer dan varian seperti uTP jauh lebih menarik, dan untuk itu tidak perlu meng-host tracker. Cukup dapatkan IP peer dari tracker atau DHT, sambungkan, lalu lakukan serangan yang diinginkan
Sederhana. Daftarkan domain di negara seperti Rusia, Tiongkok, atau Iran, lalu jalankan situs webnya di Alibaba
Suruh mereka mencoba mengirim sampah hukum ke Rusia atau Tiongkok. Pasti akan berjalan lancar
Kita juga harus memberi tahu pihak TOR soal temuan ini. Sekarang darknet bisa ditutup dan semuanya dipindahkan ke Tiongkok
Tidak bisakah diteruskan ke tracker publik lain? Dengan begitu tidak perlu meng-host apa pun, dan kalau mendapat surat hukum, tinggal minta mereka berbicara dengan pihak tracker publik itu
Saya bukan ahli hukum, tetapi sejauh yang saya pahami, mengoperasikan tracker netral konten di AS itu legal
Di yurisdiksi lain jelas bisa saja tidak legal, VPS-nya juga mungkin berada di yurisdiksi lain, dan TLD .si jelas berada di yurisdiksi lain
Mungkin ada lebih banyak. Kasus perdata dari MPAA dan lainnya untuk ganti rugi jelas lebih banyak. Di AS mungkin agak lebih sulit dibuktikan, tetapi jika sebagian besar yang terdaftar adalah konten berhak cipta, saya cukup yakin tracker seperti itu tetap bisa ditutup di AS
Hampir semua orang yang menjalani kehidupan online di Slovenia selama 20 tahun terakhir pasti tahu atau pernah menggunakannya. Dan tracker itu juga bukan hilang karena pemberitahuan hukum