Security: Rätselhafter Anstieg von Tor-Adressen

Ein ungewöhnlicher Anstieg von .onion-Adressen im Tor -Netzwerk gibt zurzeit Rätsel auf. Grund für den Anstieg könnte eine neue Messaging-App sein - oder Malware .

21. Februar 2016 um 11:39 Uhr / Hauke Gierow

22 Kommentare News folgen (öffnet im neuen Fenster)

Die Anzahl der Hidden Services ist sprunghaft angestiegen. (Bild: Tor Projekt) — Die Anzahl der Hidden Services ist sprunghaft angestiegen. Bild: Tor Projekt

In den vergangenen Tagen ist die Anzahl eindeutiger .onion-Adressen im Tor-Netzwerk schlagartig angestiegen, wie der Wissenschaftler Alan Woodward in seinem Blog schreibt(öffnet im neuen Fenster) . Webseiten mit dieser Domain-Endung sind nur über das Tor-Netzwerk erreichbar - sie werden auch als Hidden Services bezeichnet. Die Gründe für den Anstieg sind bislang nicht geklärt.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Mitarbeiter*in IT-Service (m/w/d) Hochschule Hamm-Lippstadt, Hamm,Lippstadt (öffnet im neuen Fenster)

Berliner Landesnetz Standardnetzzugang Koordinator*in IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)

Manager Revenue & Margin Assurance (m/w/d) DNS:NET Internet Service GmbH, Berlin (öffnet im neuen Fenster)

Stabsstellenleitung (gn*) Enterprise Architecture Management Universitätsklinikum Münster, Münster (öffnet im neuen Fenster)

Trainee - Finance Development Program (all genders) (2 Jahre befristet / Vollzeit) AbbVie Deutschland GmbH & Co. KG, Ludwigshafen am Rhein (öffnet im neuen Fenster)

Sachbearbeiter*in Geodatenverarbeitung im Team von Düsseldorf Maps Landeshauptstadt Düsseldorf, Düsseldorf (öffnet im neuen Fenster)

Ausbildung Kaufmann für Digitalisierungsmanagement (m/w/d) Sparkasse Forchheim, Forchheim (öffnet im neuen Fenster)

CAD-Ingenieur (m/w/d) Vollzeit/Teilzeit J.P. Sauer & Sohn Maschinenbau GmbH, Kiel (öffnet im neuen Fenster)

In der vergangenen Woche hat sich die Anzahl von Domains von knapp 40.000 auf über 60.000 erhöht. Gleichzeitig ist der Traffic über die Hidden-Services weitgehend unverändert geblieben. Einen statistischen Fehler in der Berechnung der Anzahl von .onion-Seiten hält Woodward für unwahrscheinlich - die verwendete Methodik sei in der Regel recht genau.

Gründe sind unklar

Doch welche Gründe gibt es für den sprunghaften Anstieg? Hier kann derzeit nur spekuliert werden. Woodward schreibt, dass das Aufkommen des neuen Messengers Ricochet dafür verantwortlich sein könnte. Die App verbindet sich über das Tor-Netzwerk und startet dabei einen eigenen Client. Die App ist zwar schon länger verfügbar, hat aber nach einem positiven Audit an Popularität gewonnen. Die Besonderheit bei Ricochet: Anders als bei anderen verschlüsselten Kommunikationsverfahren sollen keine Metadaten anfallen.

Die Futurezone(öffnet im neuen Fenster) schreibt, dass es Hinweise darauf gebe, dass der Anstieg mit der rasanten Verbreitung der Locky-Ransomware in Verbindung steht, ohne diese Verbindung jedoch zu nennen. Zwar fordert Locky infizierte Nutzer dazu auf, über Tor ein Entschlüsselungsprogramm zu kaufen. Dass dabei jedoch mehrere tausend einzelne versteckte Webseiten zum Einsatz kommen, ist unwahrscheinlich.

Bild 1/2: Die Anzahl der .onion-Domains im Darknet ist stark angestiegen, ... (Bild: Torprojekt)

Bild 2/2: ... während der Traffic der Hidden Services in den vergangenen Tagen recht konstant geblieben ist. (Bild: Torprojekt)

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

ISO/IEC 27001 verstehen und anwenden – mit offizieller Zertifizierung

Der aktuelle Vorfall ist nicht zu vergleichen mit den Deanonymisierungsangriffen auf das Tor-Netzwerk(öffnet im neuen Fenster) durch die Carnegie-Mellon-Universität im Jahr 2014. Zwar ging es dort auch um Hidden-Services, die Universität half dem FBI offenbar bei Ermittlungen . Die Angriffe wurden jedoch mit Hilfe zahlreicher neu erstellter Tor-Relays durchgeführt und nicht über Hidden-Services selbst.