Abo
  • Services:
Anzeige
Das Tor-Netzwerk wurde über Monate hinweg kompromittiert.
Das Tor-Netzwerk wurde über Monate hinweg kompromittiert. (Bild: Electronic Frontier Foundation/CC by 3.0)

Anonymisierung: Projekt bestätigt Angriff auf Tors Hidden Services

Ein Angriff auf das Tor-Netzwerk ist fast ein halbes Jahr unentdeckt geblieben und könnte Nutzer der Hidden Services enttarnt haben. Wer dahinter steckt, ist unklar.

Anzeige

Am 4. Juli 2014 hat das Tor-Team mehrere Relay-Server abgeschaltet, denn mit ihnen soll versucht worden sein, die Nutzer der Hidden Services des Tor-Netzwerks zu enttarnen. Sie waren am 30. Januar 2014 dem Netzwerk zugeschaltet worden, liefen also mehrere Monate unbemerkt. Wer sie betrieb, ist unbekannt, es gibt aber einen Verdacht.

Über die Server injizierten die Angreifer Code in Pakete, die durch das Tor-Netzwerk verschickt wurden. Sie nutzten dabei eine Schwachstelle in den Protokoll Headers, die jetzt in Version 0.2.4.23 und 0.2.5.6-alpha behoben wurde. Dabei nahmen die Angreifer vor allem Pakete ins Visier, die mit einem Hidden-Services-Descriptor markiert waren, es war also kein genereller Angriff auf das Tor-Netzwerk.

Präparierte Server im Rotationsprinzip

Die Unbekannten griffen die Hidden Services des Tor-Netzwerks doppelt an: Zunächst meldeten die Angreifer 115 speziell präparierte Server als interne Relays Cells an. Sie übernahmen damit einen Anteil von 6,4 Prozent des Datenverkehrs im Tor-Netzwerk. Durch das automatische Rotationsprinzip im Tor-Netzwerk wurden die präparierten Server im Laufe der Zeit zu sogenannten Exit Relays, die den eintreffenden und ausgehenden Datenverkehr des Netzwerks übernehmen.

Über die präparierten Server hätten die Angreifer anhand der infizierten Pakete beobachten können, wo Traffic in das Netzwerk fließt und wieder austritt. Dadurch hätten sie einzelne Nutzer, die sie an einem Ende über ihre IP-Adresse identifizieren, mit einem angesurften Ziel in Verbindung bringen können. Dadurch, dass die Unbekannten die Header veränderten, funktioniert das Tracking der Pakete in beide Richtungen, also sowohl vom Client bis zum Exit-Relay als auch zurück. Letzteres sei bislang noch nicht beobachtet worden, schreibt das Tor-Team. Mit dem Angriff könnten aber nicht die Inhalte einzelner Pakete eingesehen werden, betont das Team. Am meisten seien die Anbieter der Hidden Services gefährdet gewesen. Nutzer hätten darüber aber ebenfalls enttarnt werden können.

Die Server seien während der Rotation zum Exit-Relay als auffällig beobachtet worden, heißt es in dem Blog-Eintrag. Dafür sorgte der Doctor-Scanner namens DocTor. Das Team habe jedoch entschieden, dass die Zahl der infizierten Server für eine Deanonymisierung zu gering sei. Das sei ein Fehler gewesen, schreiben sie.

Gegenmaßnahmen

Um den Angriff zu unterbinden und weitere Attacken dieser Art zu verhindern, habe das Tor-Team bereits zahlreiche kurzfristige Maßnahmen ergriffen. Zunächst seien die präparierten Server ausgeschaltet worden. Außerdem seien die Server-Software so gepatcht worden, dass es nicht mehr möglich sei, die Relay Cells so auszunutzen. Ferner sei die Anzahl der Entry Guards, die ein Client nutzen kann, von drei auf einen herabgesetzt worden. Damit seien einzelne Clients weniger leicht ausfindig zu machen. Darüber hinaus melde das Tor-Netzwerk in Logfiles, wenn ein solcher Angriff versucht werde.

Langfristig sollen weitere Maßnahmen für mehr Sicherheit sorgen. Fast alle beruhen auf einer genaueren Analyse der statistischen Wahrscheinlichkeit, wie schnell und effektiv solche Angriffe zu einem Erfolg führen. Denn ganz auszuschließen werden sie wohl nicht sein.

Unbekannte Täter

Bleibt die Frage: Wer war es? Sollte es sich um ein Forschungsprojekt gehandelt haben, hätten die Forscher fahrlässig gehandelt, schreibt das Tor-Team. Denn auch wenn sie ihre Ergebnisse nicht selbst veröffentlichen, aus den Manipulationen hätten auch andere Angreifer Vorteile ziehen können. Vor wenigen Tagen hatte ein Forscherteam der Carnegie Mellon Universität überraschend kurzfristig einen Vortrag abgesagt. Dort sollte gezeigt werden, wie Nutzer des Tor-Netzwerks mit nur wenig Geld enttarnt werden können.

Gegenüber der Nachrichtenagentur Reuters sagte eine Pressesprecherin der Black Hat, dass die Absage auf Wunsch der Rechtsanwälte der Carnegie-Mellon-Universität geschehen sei. Die beiden Vortragenden Michael McCord und Alexander Volynkin arbeiten an dieser Universität.

Tor-Nutzer als Forschungsobjekt?

Das Tor-Projekt veröffentlichte daraufhin eine kurze Stellungnahme. Demnach hatten die Tor-Programmierer selbst wohl nichts mit dem Zurückziehen des Vortrages zu tun. Offenbar hatte das Tor-Projekt aber vorab einige Informationen über die Sicherheitsprobleme erhalten, die in dem Vortrag behandelt werden und die später bekanntgemacht werden sollten.

Über Twitter und bei Hacker News sind sie bereits als Schuldige ausgemacht worden. Der Kryptoexperte Matthew Green schreibt beispielsweise, heute sei kein guter Tag für Forscher an der Carnegie Mellon Universität. Christopher Soghoian von der Bürgerrechtsorganisation ACLU hatte zuvor bereits darüber spekuliert: Die ethischen Richtlinien von US-Universitäten verlangen, dass Forschungsexperimente, die Menschen einschließen, nur mit deren Zustimmung geschehen dürfen, sagte er kurz nach der Absage des Vortrags und nahm damit gleichzeitig Bezug auf das Facebook-Experiment, dass wenige Tage zuvor bekannt wurde.

Allerdings kommen auch andere für den Angriff in Betracht: Das FBI ermittelt regelmäßig gegen Nutzer des Tor-Netzwerks, dass auch für illegale Geschäfte wie den Drogenhandel genutzt wird. Außerdem hat die russische Regierung demjenigen eine Belohnung versprochen, der das Anonymisierungsnetzwerk knackt. Es war bekanntgeworden, dass auch US-Geheimdienste offenbar gezielt zentrale Tor-Server auskundschaften.


eye home zur Startseite
Sharkuu 31. Jul 2014

problem ist, das jemand der das kann, sich bei dieser summe zusammenscheißt vor lachen...

narea 31. Jul 2014

Siehe Überschrift - angenommen, man patcht die Serversoftware einfach wieder zurück, bzw...

Anonymer Nutzer 31. Jul 2014

Ok,dann macht deine Aussage für mich noch viel weniger Sinn. Im Prinzip sprichst du von...

gboos 30. Jul 2014

... immer gerne. VG Mike



Anzeige

Stellenmarkt
  1. SICK AG, Reute bei Freiburg im Breisgau
  2. FILIADATA GmbH, Karlsruhe
  3. über Hanseatisches Personalkontor Rottweil, Gottmadingen (bei Singen am Htwl.)
  4. BG-Phoenics GmbH, Hannover


Anzeige
Hardware-Angebote
  1. (täglich neue Deals)
  2. 1.029,00€ + 5,99€ Versand
  3. 169,00€

Folgen Sie uns
       


  1. Service

    Telekom verspricht kürzeres Warten auf Techniker

  2. BVG

    Fast alle U-Bahnhöfe mit offenem WLAN

  3. Android-Apps

    Rechtemissbrauch erlaubt unsichtbare Tastaturmitschnitte

  4. Electro Fluidic Technology

    Schnelles E-Paper-Display für Video-Anwendungen

  5. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  6. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  7. FTP-Client

    Filezilla bekommt ein Master Password

  8. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  9. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  10. ZTE

    Chinas großes 5G-Testprojekt läuft weiter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

  1. Re: Was mich grundsätzlich bei WaKü stört...

    Eheran | 17:00

  2. Re: "mangelnde Transparenz"

    plutoniumsulfat | 16:54

  3. Re: Kenne ich

    divStar | 16:53

  4. Re: bitte klär mich jemand nochmal auf...

    divStar | 16:51

  5. Re: Wofür ist das BVG-WiFi gut?

    nomisum | 16:48


  1. 12:31

  2. 12:15

  3. 11:33

  4. 10:35

  5. 12:54

  6. 12:41

  7. 11:44

  8. 11:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel