Abo
  • Services:
Anzeige
Das Tor-Netzwerk wurde über Monate hinweg kompromittiert.
Das Tor-Netzwerk wurde über Monate hinweg kompromittiert. (Bild: Electronic Frontier Foundation/CC by 3.0)

Anonymisierung: Projekt bestätigt Angriff auf Tors Hidden Services

Ein Angriff auf das Tor-Netzwerk ist fast ein halbes Jahr unentdeckt geblieben und könnte Nutzer der Hidden Services enttarnt haben. Wer dahinter steckt, ist unklar.

Anzeige

Am 4. Juli 2014 hat das Tor-Team mehrere Relay-Server abgeschaltet, denn mit ihnen soll versucht worden sein, die Nutzer der Hidden Services des Tor-Netzwerks zu enttarnen. Sie waren am 30. Januar 2014 dem Netzwerk zugeschaltet worden, liefen also mehrere Monate unbemerkt. Wer sie betrieb, ist unbekannt, es gibt aber einen Verdacht.

Über die Server injizierten die Angreifer Code in Pakete, die durch das Tor-Netzwerk verschickt wurden. Sie nutzten dabei eine Schwachstelle in den Protokoll Headers, die jetzt in Version 0.2.4.23 und 0.2.5.6-alpha behoben wurde. Dabei nahmen die Angreifer vor allem Pakete ins Visier, die mit einem Hidden-Services-Descriptor markiert waren, es war also kein genereller Angriff auf das Tor-Netzwerk.

Präparierte Server im Rotationsprinzip

Die Unbekannten griffen die Hidden Services des Tor-Netzwerks doppelt an: Zunächst meldeten die Angreifer 115 speziell präparierte Server als interne Relays Cells an. Sie übernahmen damit einen Anteil von 6,4 Prozent des Datenverkehrs im Tor-Netzwerk. Durch das automatische Rotationsprinzip im Tor-Netzwerk wurden die präparierten Server im Laufe der Zeit zu sogenannten Exit Relays, die den eintreffenden und ausgehenden Datenverkehr des Netzwerks übernehmen.

Über die präparierten Server hätten die Angreifer anhand der infizierten Pakete beobachten können, wo Traffic in das Netzwerk fließt und wieder austritt. Dadurch hätten sie einzelne Nutzer, die sie an einem Ende über ihre IP-Adresse identifizieren, mit einem angesurften Ziel in Verbindung bringen können. Dadurch, dass die Unbekannten die Header veränderten, funktioniert das Tracking der Pakete in beide Richtungen, also sowohl vom Client bis zum Exit-Relay als auch zurück. Letzteres sei bislang noch nicht beobachtet worden, schreibt das Tor-Team. Mit dem Angriff könnten aber nicht die Inhalte einzelner Pakete eingesehen werden, betont das Team. Am meisten seien die Anbieter der Hidden Services gefährdet gewesen. Nutzer hätten darüber aber ebenfalls enttarnt werden können.

Die Server seien während der Rotation zum Exit-Relay als auffällig beobachtet worden, heißt es in dem Blog-Eintrag. Dafür sorgte der Doctor-Scanner namens DocTor. Das Team habe jedoch entschieden, dass die Zahl der infizierten Server für eine Deanonymisierung zu gering sei. Das sei ein Fehler gewesen, schreiben sie.

Gegenmaßnahmen

Um den Angriff zu unterbinden und weitere Attacken dieser Art zu verhindern, habe das Tor-Team bereits zahlreiche kurzfristige Maßnahmen ergriffen. Zunächst seien die präparierten Server ausgeschaltet worden. Außerdem seien die Server-Software so gepatcht worden, dass es nicht mehr möglich sei, die Relay Cells so auszunutzen. Ferner sei die Anzahl der Entry Guards, die ein Client nutzen kann, von drei auf einen herabgesetzt worden. Damit seien einzelne Clients weniger leicht ausfindig zu machen. Darüber hinaus melde das Tor-Netzwerk in Logfiles, wenn ein solcher Angriff versucht werde.

Langfristig sollen weitere Maßnahmen für mehr Sicherheit sorgen. Fast alle beruhen auf einer genaueren Analyse der statistischen Wahrscheinlichkeit, wie schnell und effektiv solche Angriffe zu einem Erfolg führen. Denn ganz auszuschließen werden sie wohl nicht sein.

Unbekannte Täter

Bleibt die Frage: Wer war es? Sollte es sich um ein Forschungsprojekt gehandelt haben, hätten die Forscher fahrlässig gehandelt, schreibt das Tor-Team. Denn auch wenn sie ihre Ergebnisse nicht selbst veröffentlichen, aus den Manipulationen hätten auch andere Angreifer Vorteile ziehen können. Vor wenigen Tagen hatte ein Forscherteam der Carnegie Mellon Universität überraschend kurzfristig einen Vortrag abgesagt. Dort sollte gezeigt werden, wie Nutzer des Tor-Netzwerks mit nur wenig Geld enttarnt werden können.

Gegenüber der Nachrichtenagentur Reuters sagte eine Pressesprecherin der Black Hat, dass die Absage auf Wunsch der Rechtsanwälte der Carnegie-Mellon-Universität geschehen sei. Die beiden Vortragenden Michael McCord und Alexander Volynkin arbeiten an dieser Universität.

Tor-Nutzer als Forschungsobjekt?

Das Tor-Projekt veröffentlichte daraufhin eine kurze Stellungnahme. Demnach hatten die Tor-Programmierer selbst wohl nichts mit dem Zurückziehen des Vortrages zu tun. Offenbar hatte das Tor-Projekt aber vorab einige Informationen über die Sicherheitsprobleme erhalten, die in dem Vortrag behandelt werden und die später bekanntgemacht werden sollten.

Über Twitter und bei Hacker News sind sie bereits als Schuldige ausgemacht worden. Der Kryptoexperte Matthew Green schreibt beispielsweise, heute sei kein guter Tag für Forscher an der Carnegie Mellon Universität. Christopher Soghoian von der Bürgerrechtsorganisation ACLU hatte zuvor bereits darüber spekuliert: Die ethischen Richtlinien von US-Universitäten verlangen, dass Forschungsexperimente, die Menschen einschließen, nur mit deren Zustimmung geschehen dürfen, sagte er kurz nach der Absage des Vortrags und nahm damit gleichzeitig Bezug auf das Facebook-Experiment, dass wenige Tage zuvor bekannt wurde.

Allerdings kommen auch andere für den Angriff in Betracht: Das FBI ermittelt regelmäßig gegen Nutzer des Tor-Netzwerks, dass auch für illegale Geschäfte wie den Drogenhandel genutzt wird. Außerdem hat die russische Regierung demjenigen eine Belohnung versprochen, der das Anonymisierungsnetzwerk knackt. Es war bekanntgeworden, dass auch US-Geheimdienste offenbar gezielt zentrale Tor-Server auskundschaften.


eye home zur Startseite
Sharkuu 31. Jul 2014

problem ist, das jemand der das kann, sich bei dieser summe zusammenscheißt vor lachen...

narea 31. Jul 2014

Siehe Überschrift - angenommen, man patcht die Serversoftware einfach wieder zurück, bzw...

Anonymer Nutzer 31. Jul 2014

Ok,dann macht deine Aussage für mich noch viel weniger Sinn. Im Prinzip sprichst du von...

gboos 30. Jul 2014

... immer gerne. VG Mike



Anzeige

Stellenmarkt
  1. Schwarz IT Infrastructure & Operations Services GmbH & Co. KG, Neckarsulm
  2. Elektronische Fahrwerksysteme GmbH, Ingolstadt
  3. eins energie in sachsen GmbH & Co. KG, Chemnitz
  4. Rundfunk Berlin-Brandenburg (rbb), Berlin


Anzeige
Top-Angebote
  1. (heute: Bang & Olufsen BeoPlay A1 für 179,00€)
  2. (u. a. Xbox One S + 2. Controller + 4 Spiele für 319,00€, SanDisk 32-GB-USB3.0-Stick 9,00€ u...

Folgen Sie uns
       


  1. Apple

    Aktivierungssperre des iPads lässt sich umgehen

  2. Amazon

    Downloader-App aus dem Fire-TV-Store entfernt

  3. Autonomes Fahren

    Apple zeigt Interesse an selbstfahrenden Autos

  4. Sicherheit

    Geheimdienst warnt vor Cyberattacke auf russische Banken

  5. Super Mario Bros. (1985)

    Fahrt ab auf den Bruder!

  6. Canon EOS 5D Mark IV im Test

    Grundsolides Arbeitstier mit einer Portion Extravaganz

  7. PSX 2016

    Sony hat The Last of Us 2 angekündigt

  8. Raspberry Pi

    Schutz gegen Übernahme durch Hacker und Botnetze verbessert

  9. UHD-Blu-ray

    PowerDVD spielt 4K-Discs

  10. Raumfahrt

    Europa bleibt im All



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

Quake (1996): Urknall für Mouselook, Mods und moderne 3D-Grafik
Quake (1996)
Urknall für Mouselook, Mods und moderne 3D-Grafik
  1. Künstliche Intelligenz Doom geht in Deckung

Final Fantasy 15 im Test: Weltenrettung mit der Boyband des Wahnsinns
Final Fantasy 15 im Test
Weltenrettung mit der Boyband des Wahnsinns
  1. Square Enix Koop-Modus von Final Fantasy 15 folgt kostenpflichtig

  1. Re: total spannend

    motzerator | 20:57

  2. Re: [OT] Golem pur Banner

    It's me, Mario | 20:52

  3. Re: Mehhh....

    User_x | 20:50

  4. Re: Es sind immer die Ausländer

    User_x | 20:42

  5. Re: Bulls....

    nicoledos | 20:27


  1. 12:54

  2. 11:56

  3. 10:54

  4. 10:07

  5. 08:59

  6. 08:00

  7. 00:03

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel