Abo
  • IT-Karriere:

Tor: Hidden Services leichter zu deanonymisieren

Das Tor-Protokoll erlaubt es Angreifern relativ einfach, die Kontrolle über die Verzeichnisserver sogenannter Hidden Services zu erlangen. Dadurch ist die Deanonymisierung von Traffic deutlich einfacher als beim Zugriff auf normale Webseiten.

Artikel veröffentlicht am , Hanno Böck
Hidden Services im Tor-Netzwerk lassen sich relativ leicht deanonymisieren.
Hidden Services im Tor-Netzwerk lassen sich relativ leicht deanonymisieren. (Bild: Tor)

Hidden Services im Tor-Netzwerk bieten weniger Anonymität, als man erwarten würde. Ein relativ simpler Angriff ermöglicht es, die Zugriffe darauf zu beobachten. Filippo Valsorda und George Tankersley zeigten auf der Hack-in-the-Box-Konferenz in Amsterdam, wie es ihnen gelang, die Kontrolle über alle Verzeichnisserver für die Tor-Seite von Facebook zu erlangen.

Hidden Service für Facebook

Stellenmarkt
  1. Stromnetz Hamburg GmbH, Hamburg
  2. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf

Hidden Services sind Server, die nur über das Tor-Netzwerk erreichbar sind. Sie sind an URLs mit der Endung .onion erkennbar. Zu den bekanntesten Nutzern dieser Services gehörte der inzwischen abgeschaltete Drogenhandelsplatz Silk Road. Im vergangenen Jahr startete Facebook eine .onion-Variante seiner Webseite. Doch genau das ist laut Valsorda und Tankersley keine gute Idee: Der Zugriff auf öffentlich zugängliche Webseiten als Hidden Service bietet weniger Sicherheit als der Zugriff auf die normale HTTPS-Variante über Tor.

Um einen Hidden Service im Tor-Netz zu finden, muss ein Nutzer einen Verzeichnisserver anfragen, ein sogenanntes Hidden Service Directory (HSDir). Welcher Verzeichnisserver für eine bestimmte Hidden-URL zuständig ist, lässt sich mittels einer relativ einfachen Hash-Berechnung herausfinden. Die Hash-Berechnung enthält dabei das aktuelle Datum. Für die Verzeichnisserver wird ebenfalls ein Hash berechnet; die drei Server, deren Hashes auf den Hash des Hidden Service folgen, sind für ihn zuständig. Es gibt zwei Wege zur Berechnung des Hashes, damit sind für jeden Hidden Service pro Tag jeweils sechs Server zuständig, der Client wählt davon einen zufälligen aus.

Gezielt Verzeichnisserver für Hidden Service bereitstellen

Um einen Verzeichnisserver bereitzustellen, muss lediglich gewährleistet sein, dass der Server für vier Tage im Tor-Netzwerk erreichbar ist. Anschließend erhält der Server ein Flag, das es ihm erlaubt, diesen Dienst bereitzustellen. Da alle Werte für die Hash-Berechnung vorab bekannt sind, ist es möglich, mittels eines Brute-Force-Angriffs gezielt für einen bestimmten Hidden Service mit hoher Wahrscheinlichkeit den Verzeichnisserver bereitzustellen.

Am Tag ihrer Präsentation kontrollierten Valsorda und Tankersley vier von sechs Verzeichnisservern von Facebook. Bei einem der anderen Server handelte es sich um eine russische IP, die Teil eines Botnetzes ist. Ob es sich dabei um einen Zufall handelt oder ob hier jemand parallel denselben Angriff durchzuführen versuchte, ist unklar.

Grundsätzlich ist es immer denkbar, dass ein Angreifer einen Nutzer im Tor-Netzwerk deanonymisiert. Denn es ist immer möglich, den Datenverkehr am Eingangspunkt zum Tor-Netzwerk und am entsprechenden Endpunkt zu beobachten und zu vergleichen. Doch für einen derartigen Angriff müsste ein Angreifer die Kontrolle über eine große Zahl von Exit-Nodes haben oder zumindest deren Traffic überwachen können. Ein Angriff auf Hidden Services über die Verzeichnisservices ist deutlich einfacher durchzuführen.

Next Generation Hidden Services würden Problem lösen

Als Nutzer kann man gegen derartige Angriffe wenig unternehmen. Lösen ließe sich das Problem durch eine Änderung des Tor-Protokolls. Es existiert bereits ein Entwurf für eine verbesserte Variante der Hidden Services, der dieses und weitere Probleme beheben würde, doch von einer Implementierung ist dieser noch weit entfernt. Generell sollten Nutzer bei Webseiten wie Facebook, die auch im öffentlichen Internet verfügbar sind, den Hidden Service nicht nutzen, sondern stattdessen die normale URL über Tor ansurfen.

Betreiber eines Hidden Services könnten diesen Angriff verhindern oder zumindest erschweren, indem sie selbst versuchen, ihre eigenen Verzeichnisserver zu kontrollieren. Das würde zudem dazu führen, dass der Betreiber erkennen könnte, wenn jemand anderes einen derartigen Angriff durchzuführen versucht. Wenn mehrere Personen versuchen, einen derartigen Angriff durchzuführen, "gewinnt" derjenige, der mehr Rechenpower für den Brute-Force-Angriff auf den passenden Hash aufwendet. Je näher der Hash am Hash des jeweiligen Hidden Service liegt, desto höher ist die Chance, dass kein anderer Server einen näheren Hash erhält.

Auch durch reine Beobachtung der Verzeichnisserver könnte man so einen Angriff möglicherweise bemerken. Befindet sich der Hash eines Servers auffällig nahe am Hash eines Hidden Service, so ist dies möglicherweise ein Zufall. Verdächtig wäre es jedoch, wenn dieser Server erst wenige Tage online ist und auch kurz danach wieder abgestellt wird.

Valsorda und Tankersley haben den Code, den sie für ihren Angriff nutzten, auf Github veröffentlicht. Auch ein Skript, das auffällige Verzeichnisserver aufspüren soll, ist dort einsehbar.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 529,00€
  3. 274,00€

Wary 07. Jun 2015

Das ist darauf optimiert hidden services sicher anzubieten. Außerdem im Unterschied zu...

androidfanboy1882 31. Mai 2015

+1

Mingfu 29. Mai 2015

1. Trivialerweise betrifft es nur den Hidden-Services-Part. Der ist aber ohnehin für die...


Folgen Sie uns
       


Qualcomm Snapdragon 8cx ausprobiert

Der Snapdragon 8cx ist Qualcomms nächster Chip für Notebooks mit Windows 10 von ARM. Die ersten Performance-Messungen sehen das SoC auf dem Niveau eines aktuellen Quadcore-Ultrabook-Prozessors von Intel.

Qualcomm Snapdragon 8cx ausprobiert Video aufrufen
Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

Dr. Mario World im Test: Spielspaß für Privatpatienten
Dr. Mario World im Test
Spielspaß für Privatpatienten

Schlimm süchtig machendes Gameplay, zuckersüße Grafik im typischen Nintendo-Stil und wunderbare Dudelmusik: Der Kampf von Dr. Mario World gegen böse Viren ist ein Mobile Game vom Feinsten - allerdings nur für Spieler mit gesunden Nerven oder tiefen Taschen.
Von Peter Steinlechner

  1. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  2. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor
  3. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung

    •  /