Abo
  • Services:
Anzeige
Das Tor-Netzwerk wurde über Monate hinweg kompromittiert.
Das Tor-Netzwerk wurde über Monate hinweg kompromittiert. (Bild: Electronic Frontier Foundation/CC by 3.0)

Anonymisierung: Projekt bestätigt Angriff auf Tors Hidden Services

Ein Angriff auf das Tor-Netzwerk ist fast ein halbes Jahr unentdeckt geblieben und könnte Nutzer der Hidden Services enttarnt haben. Wer dahinter steckt, ist unklar.

Anzeige

Am 4. Juli 2014 hat das Tor-Team mehrere Relay-Server abgeschaltet, denn mit ihnen soll versucht worden sein, die Nutzer der Hidden Services des Tor-Netzwerks zu enttarnen. Sie waren am 30. Januar 2014 dem Netzwerk zugeschaltet worden, liefen also mehrere Monate unbemerkt. Wer sie betrieb, ist unbekannt, es gibt aber einen Verdacht.

Über die Server injizierten die Angreifer Code in Pakete, die durch das Tor-Netzwerk verschickt wurden. Sie nutzten dabei eine Schwachstelle in den Protokoll Headers, die jetzt in Version 0.2.4.23 und 0.2.5.6-alpha behoben wurde. Dabei nahmen die Angreifer vor allem Pakete ins Visier, die mit einem Hidden-Services-Descriptor markiert waren, es war also kein genereller Angriff auf das Tor-Netzwerk.

Präparierte Server im Rotationsprinzip

Die Unbekannten griffen die Hidden Services des Tor-Netzwerks doppelt an: Zunächst meldeten die Angreifer 115 speziell präparierte Server als interne Relays Cells an. Sie übernahmen damit einen Anteil von 6,4 Prozent des Datenverkehrs im Tor-Netzwerk. Durch das automatische Rotationsprinzip im Tor-Netzwerk wurden die präparierten Server im Laufe der Zeit zu sogenannten Exit Relays, die den eintreffenden und ausgehenden Datenverkehr des Netzwerks übernehmen.

Über die präparierten Server hätten die Angreifer anhand der infizierten Pakete beobachten können, wo Traffic in das Netzwerk fließt und wieder austritt. Dadurch hätten sie einzelne Nutzer, die sie an einem Ende über ihre IP-Adresse identifizieren, mit einem angesurften Ziel in Verbindung bringen können. Dadurch, dass die Unbekannten die Header veränderten, funktioniert das Tracking der Pakete in beide Richtungen, also sowohl vom Client bis zum Exit-Relay als auch zurück. Letzteres sei bislang noch nicht beobachtet worden, schreibt das Tor-Team. Mit dem Angriff könnten aber nicht die Inhalte einzelner Pakete eingesehen werden, betont das Team. Am meisten seien die Anbieter der Hidden Services gefährdet gewesen. Nutzer hätten darüber aber ebenfalls enttarnt werden können.

Die Server seien während der Rotation zum Exit-Relay als auffällig beobachtet worden, heißt es in dem Blog-Eintrag. Dafür sorgte der Doctor-Scanner namens DocTor. Das Team habe jedoch entschieden, dass die Zahl der infizierten Server für eine Deanonymisierung zu gering sei. Das sei ein Fehler gewesen, schreiben sie.

Gegenmaßnahmen

Um den Angriff zu unterbinden und weitere Attacken dieser Art zu verhindern, habe das Tor-Team bereits zahlreiche kurzfristige Maßnahmen ergriffen. Zunächst seien die präparierten Server ausgeschaltet worden. Außerdem seien die Server-Software so gepatcht worden, dass es nicht mehr möglich sei, die Relay Cells so auszunutzen. Ferner sei die Anzahl der Entry Guards, die ein Client nutzen kann, von drei auf einen herabgesetzt worden. Damit seien einzelne Clients weniger leicht ausfindig zu machen. Darüber hinaus melde das Tor-Netzwerk in Logfiles, wenn ein solcher Angriff versucht werde.

Langfristig sollen weitere Maßnahmen für mehr Sicherheit sorgen. Fast alle beruhen auf einer genaueren Analyse der statistischen Wahrscheinlichkeit, wie schnell und effektiv solche Angriffe zu einem Erfolg führen. Denn ganz auszuschließen werden sie wohl nicht sein.

Unbekannte Täter

Bleibt die Frage: Wer war es? Sollte es sich um ein Forschungsprojekt gehandelt haben, hätten die Forscher fahrlässig gehandelt, schreibt das Tor-Team. Denn auch wenn sie ihre Ergebnisse nicht selbst veröffentlichen, aus den Manipulationen hätten auch andere Angreifer Vorteile ziehen können. Vor wenigen Tagen hatte ein Forscherteam der Carnegie Mellon Universität überraschend kurzfristig einen Vortrag abgesagt. Dort sollte gezeigt werden, wie Nutzer des Tor-Netzwerks mit nur wenig Geld enttarnt werden können.

Gegenüber der Nachrichtenagentur Reuters sagte eine Pressesprecherin der Black Hat, dass die Absage auf Wunsch der Rechtsanwälte der Carnegie-Mellon-Universität geschehen sei. Die beiden Vortragenden Michael McCord und Alexander Volynkin arbeiten an dieser Universität.

Tor-Nutzer als Forschungsobjekt?

Das Tor-Projekt veröffentlichte daraufhin eine kurze Stellungnahme. Demnach hatten die Tor-Programmierer selbst wohl nichts mit dem Zurückziehen des Vortrages zu tun. Offenbar hatte das Tor-Projekt aber vorab einige Informationen über die Sicherheitsprobleme erhalten, die in dem Vortrag behandelt werden und die später bekanntgemacht werden sollten.

Über Twitter und bei Hacker News sind sie bereits als Schuldige ausgemacht worden. Der Kryptoexperte Matthew Green schreibt beispielsweise, heute sei kein guter Tag für Forscher an der Carnegie Mellon Universität. Christopher Soghoian von der Bürgerrechtsorganisation ACLU hatte zuvor bereits darüber spekuliert: Die ethischen Richtlinien von US-Universitäten verlangen, dass Forschungsexperimente, die Menschen einschließen, nur mit deren Zustimmung geschehen dürfen, sagte er kurz nach der Absage des Vortrags und nahm damit gleichzeitig Bezug auf das Facebook-Experiment, dass wenige Tage zuvor bekannt wurde.

Allerdings kommen auch andere für den Angriff in Betracht: Das FBI ermittelt regelmäßig gegen Nutzer des Tor-Netzwerks, dass auch für illegale Geschäfte wie den Drogenhandel genutzt wird. Außerdem hat die russische Regierung demjenigen eine Belohnung versprochen, der das Anonymisierungsnetzwerk knackt. Es war bekanntgeworden, dass auch US-Geheimdienste offenbar gezielt zentrale Tor-Server auskundschaften.


eye home zur Startseite
Sharkuu 31. Jul 2014

problem ist, das jemand der das kann, sich bei dieser summe zusammenscheißt vor lachen...

narea 31. Jul 2014

Siehe Überschrift - angenommen, man patcht die Serversoftware einfach wieder zurück, bzw...

Anonymer Nutzer 31. Jul 2014

Ok,dann macht deine Aussage für mich noch viel weniger Sinn. Im Prinzip sprichst du von...

gboos 30. Jul 2014

... immer gerne. VG Mike



Anzeige

Stellenmarkt
  1. Helvetia schweizerische Lebensversicherungs-AG, Frankfurt am Main
  2. Continental AG, Regensburg, Hannover, Eschborn
  3. ElringKlinger AG, Dettingen an der Erms
  4. über Ratbacher GmbH, Frankfurt am Main


Anzeige
Spiele-Angebote
  1. 4,99€
  2. 6,99€
  3. 69,99€

Folgen Sie uns
       


  1. DSM 6.1

    Synology bringt Btrfs auf mehr alte NAS-Systeme

  2. Mobilfunk

    Telefónica verspricht Verbesserungen bei der Netzperformance

  3. Neue Version für Smartphones

    Remix OS wird zum Continuum-Konkurrent

  4. Ford

    Automatisiertes Fahren ist einschläfernd

  5. Sony SF-G

    SD-Karte liest und schreibt mit fast 300 MByte/s

  6. Wacoms Intuos Pro Paper im Test

    Weg mit digital, her mit Stift und Papier!

  7. Lieferwagen

    Elektro-Lkw von MAN sollen in Städten fahren

  8. Knirschen und Klemmen

    Macbook Pro 2016 mit Tastaturproblemen

  9. Mobiler Startplatz

    UPS-Lieferwagen liefert mit Drohne Pakete aus

  10. WLAN to Go

    Telekom-Hotspots waren für Fremdsurfer anfällig



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
München: Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
München
Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Kernfusion: Angewandte Science-Fiction
Kernfusion
Angewandte Science-Fiction
  1. Kernfusion Wendelstein 7-X funktioniert nach Plan

MX Board Silent im Praxistest: Der viel zu teure Feldversuch von Cherry
MX Board Silent im Praxistest
Der viel zu teure Feldversuch von Cherry
  1. MX Board Silent Mechanische Tastatur von Cherry bringt Ruhe ins Büro
  2. Smartphone TCL will neues Blackberry mit Tastatur bringen
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

  1. Re: DownloadbääääH

    My1 | 11:30

  2. Re: Habe andere Erfahrungen gemacht

    Zockmock | 11:30

  3. Re: Biete Job für Linux-Profi in Bremen

    bbk | 11:28

  4. Endlich ein Hersteller der das offensichtliche...

    strx | 11:28

  5. Re: Nach Studium Arbeitslos seit 2 Jahren

    Stormking | 11:26


  1. 11:51

  2. 11:44

  3. 11:31

  4. 11:23

  5. 10:45

  6. 09:07

  7. 07:31

  8. 07:22


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel