Abo
  • Services:
Anzeige
Das Tor-Netzwerk wurde über Monate hinweg kompromittiert.
Das Tor-Netzwerk wurde über Monate hinweg kompromittiert. (Bild: Electronic Frontier Foundation/CC by 3.0)

Anonymisierung: Projekt bestätigt Angriff auf Tors Hidden Services

Ein Angriff auf das Tor-Netzwerk ist fast ein halbes Jahr unentdeckt geblieben und könnte Nutzer der Hidden Services enttarnt haben. Wer dahinter steckt, ist unklar.

Anzeige

Am 4. Juli 2014 hat das Tor-Team mehrere Relay-Server abgeschaltet, denn mit ihnen soll versucht worden sein, die Nutzer der Hidden Services des Tor-Netzwerks zu enttarnen. Sie waren am 30. Januar 2014 dem Netzwerk zugeschaltet worden, liefen also mehrere Monate unbemerkt. Wer sie betrieb, ist unbekannt, es gibt aber einen Verdacht.

Über die Server injizierten die Angreifer Code in Pakete, die durch das Tor-Netzwerk verschickt wurden. Sie nutzten dabei eine Schwachstelle in den Protokoll Headers, die jetzt in Version 0.2.4.23 und 0.2.5.6-alpha behoben wurde. Dabei nahmen die Angreifer vor allem Pakete ins Visier, die mit einem Hidden-Services-Descriptor markiert waren, es war also kein genereller Angriff auf das Tor-Netzwerk.

Präparierte Server im Rotationsprinzip

Die Unbekannten griffen die Hidden Services des Tor-Netzwerks doppelt an: Zunächst meldeten die Angreifer 115 speziell präparierte Server als interne Relays Cells an. Sie übernahmen damit einen Anteil von 6,4 Prozent des Datenverkehrs im Tor-Netzwerk. Durch das automatische Rotationsprinzip im Tor-Netzwerk wurden die präparierten Server im Laufe der Zeit zu sogenannten Exit Relays, die den eintreffenden und ausgehenden Datenverkehr des Netzwerks übernehmen.

Über die präparierten Server hätten die Angreifer anhand der infizierten Pakete beobachten können, wo Traffic in das Netzwerk fließt und wieder austritt. Dadurch hätten sie einzelne Nutzer, die sie an einem Ende über ihre IP-Adresse identifizieren, mit einem angesurften Ziel in Verbindung bringen können. Dadurch, dass die Unbekannten die Header veränderten, funktioniert das Tracking der Pakete in beide Richtungen, also sowohl vom Client bis zum Exit-Relay als auch zurück. Letzteres sei bislang noch nicht beobachtet worden, schreibt das Tor-Team. Mit dem Angriff könnten aber nicht die Inhalte einzelner Pakete eingesehen werden, betont das Team. Am meisten seien die Anbieter der Hidden Services gefährdet gewesen. Nutzer hätten darüber aber ebenfalls enttarnt werden können.

Die Server seien während der Rotation zum Exit-Relay als auffällig beobachtet worden, heißt es in dem Blog-Eintrag. Dafür sorgte der Doctor-Scanner namens DocTor. Das Team habe jedoch entschieden, dass die Zahl der infizierten Server für eine Deanonymisierung zu gering sei. Das sei ein Fehler gewesen, schreiben sie.

Gegenmaßnahmen

Um den Angriff zu unterbinden und weitere Attacken dieser Art zu verhindern, habe das Tor-Team bereits zahlreiche kurzfristige Maßnahmen ergriffen. Zunächst seien die präparierten Server ausgeschaltet worden. Außerdem seien die Server-Software so gepatcht worden, dass es nicht mehr möglich sei, die Relay Cells so auszunutzen. Ferner sei die Anzahl der Entry Guards, die ein Client nutzen kann, von drei auf einen herabgesetzt worden. Damit seien einzelne Clients weniger leicht ausfindig zu machen. Darüber hinaus melde das Tor-Netzwerk in Logfiles, wenn ein solcher Angriff versucht werde.

Langfristig sollen weitere Maßnahmen für mehr Sicherheit sorgen. Fast alle beruhen auf einer genaueren Analyse der statistischen Wahrscheinlichkeit, wie schnell und effektiv solche Angriffe zu einem Erfolg führen. Denn ganz auszuschließen werden sie wohl nicht sein.

Unbekannte Täter

Bleibt die Frage: Wer war es? Sollte es sich um ein Forschungsprojekt gehandelt haben, hätten die Forscher fahrlässig gehandelt, schreibt das Tor-Team. Denn auch wenn sie ihre Ergebnisse nicht selbst veröffentlichen, aus den Manipulationen hätten auch andere Angreifer Vorteile ziehen können. Vor wenigen Tagen hatte ein Forscherteam der Carnegie Mellon Universität überraschend kurzfristig einen Vortrag abgesagt. Dort sollte gezeigt werden, wie Nutzer des Tor-Netzwerks mit nur wenig Geld enttarnt werden können.

Gegenüber der Nachrichtenagentur Reuters sagte eine Pressesprecherin der Black Hat, dass die Absage auf Wunsch der Rechtsanwälte der Carnegie-Mellon-Universität geschehen sei. Die beiden Vortragenden Michael McCord und Alexander Volynkin arbeiten an dieser Universität.

Tor-Nutzer als Forschungsobjekt?

Das Tor-Projekt veröffentlichte daraufhin eine kurze Stellungnahme. Demnach hatten die Tor-Programmierer selbst wohl nichts mit dem Zurückziehen des Vortrages zu tun. Offenbar hatte das Tor-Projekt aber vorab einige Informationen über die Sicherheitsprobleme erhalten, die in dem Vortrag behandelt werden und die später bekanntgemacht werden sollten.

Über Twitter und bei Hacker News sind sie bereits als Schuldige ausgemacht worden. Der Kryptoexperte Matthew Green schreibt beispielsweise, heute sei kein guter Tag für Forscher an der Carnegie Mellon Universität. Christopher Soghoian von der Bürgerrechtsorganisation ACLU hatte zuvor bereits darüber spekuliert: Die ethischen Richtlinien von US-Universitäten verlangen, dass Forschungsexperimente, die Menschen einschließen, nur mit deren Zustimmung geschehen dürfen, sagte er kurz nach der Absage des Vortrags und nahm damit gleichzeitig Bezug auf das Facebook-Experiment, dass wenige Tage zuvor bekannt wurde.

Allerdings kommen auch andere für den Angriff in Betracht: Das FBI ermittelt regelmäßig gegen Nutzer des Tor-Netzwerks, dass auch für illegale Geschäfte wie den Drogenhandel genutzt wird. Außerdem hat die russische Regierung demjenigen eine Belohnung versprochen, der das Anonymisierungsnetzwerk knackt. Es war bekanntgeworden, dass auch US-Geheimdienste offenbar gezielt zentrale Tor-Server auskundschaften.


eye home zur Startseite
Sharkuu 31. Jul 2014

problem ist, das jemand der das kann, sich bei dieser summe zusammenscheißt vor lachen...

narea 31. Jul 2014

Siehe Überschrift - angenommen, man patcht die Serversoftware einfach wieder zurück, bzw...

Anonymer Nutzer 31. Jul 2014

Ok,dann macht deine Aussage für mich noch viel weniger Sinn. Im Prinzip sprichst du von...

gboos 30. Jul 2014

... immer gerne. VG Mike



Anzeige

Stellenmarkt
  1. Engelhorn KGaA, Mannheim
  2. Zurich Gruppe Deutschland, Bonn
  3. T-Systems International GmbH, Bonn
  4. Dürr IT Service GmbH, Bietigheim-Bissingen


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. 49,00€ (zzgl. 4,99€ Versand oder versandkostenfrei bei Abholung im Markt)

Folgen Sie uns
       


  1. HP, Philips, Fujitsu

    Bloatware auf Millionen Notebooks ermöglicht Codeausführung

  2. Mali-C71

    ARM bringt seinen ersten ISP für Automotive

  3. SUNET

    Forschungsnetz erhält 100 GBit/s und ROADM-Technologie

  4. Cisco

    Kontrollzentrum verwaltet Smartphones im Unternehmen

  5. Datenschutz

    Facebook erhält weiterhin keine Whatsapp-Daten

  6. FTTH

    Telekom will mehr Kooperationen für echte Glasfaser

  7. Open Data

    OKFN will deutsche Wetterdaten befreien

  8. Spectrum Next

    Voll kompatible Neuauflage des ZX Spectrum ist finanziert

  9. OmniOS

    Freier Solaris-Nachfolger steht vor dem Ende

  10. Cybercrime

    Computerkriminalität nimmt statistisch gesehen zu



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
OWASP Top 10
Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
  1. Malware Schadsoftware bei 1.200 Holiday-Inn- und Crowne-Plaza-Hotels
  2. Zero Day Exploit Magento-Onlineshops sind wieder gefährdet
  3. Staatstrojaner Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt

Creators Update: Game Mode macht Spiele runder und Windows 10 ruckelig
Creators Update
Game Mode macht Spiele runder und Windows 10 ruckelig
  1. Microsoft Zwei große Updates pro Jahr für Windows 10
  2. Windows 10 Version 17xx-2 Stromsparmodus kommt für die nächste Windows-Version
  3. Windows as a Service Die erste Windows-10-Version hat noch drei Wochen Support

Linux auf dem Switch: Freiheit kann ganz schön kompliziert sein!
Linux auf dem Switch
Freiheit kann ganz schön kompliziert sein!
  1. Digital Ocean Cloud-Hoster löscht versehentlich Primärdatenbank
  2. Google Cloud Platform für weitere Microsoft-Produkte angepasst
  3. Marktforschung Cloud-Geschäft wächst rasant, Amazon dominiert den Markt

  1. Re: Confluence ist ohnehin so ein komisches Produkt

    Apfelbrot | 05:21

  2. Re: Ein Gesetz muss her...

    hyperlord | 05:14

  3. Re: Und da ging die Sache in die Hose

    Sharra | 04:14

  4. Re: Magnonik

    Apfelbrot | 03:39

  5. Re: Wozu?

    Silberfan | 03:02


  1. 19:00

  2. 18:44

  3. 18:14

  4. 17:47

  5. 16:19

  6. 16:02

  7. 15:40

  8. 14:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel