Digital

Nur noch vermeintlich mit verschleierter Identität: Das Tor-Netzwerk wird transparent.

Vier Fünftel der User aufgedeckt

Schluss mit anonymem Surfen: Forschern gelingt Enttarnung vieler Tor-Nutzer

Das Tor-Netzwerk zum anonymen Internetgebrauch wird von Kriminellen genutzt, aber ebenso von Journalisten oder Dissidenten. In einem Versuch wollen Forscher nun gezeigt haben, wie sie mehr als 80 Prozent aller Tor-Nutzer enttarnen könnten.

17.11.14, 17:02

Felix knoke

Ein Artikel von

Dass die Anonymisierungsfunktion des Tor-Netzwerks prinzipielle Schwächen hat, war schon seit Jahren bekannt. Doch bislang glaubte man, dass nur ein Staatenverbund das Netzwerk als Ganzes überwachen und so einzelne Nutzer enttarnen könnte. Doch eine Studie italienischer und amerikanischer Sicherheitsforscher kommt nun zu einem anderen Ergebnis: Die Forscher enttarnten bei einem Feldtest vier Fünftel aller Tor-Nutzer, im Laborversuch sogar alle – und das quasi mit Bordmitteln der Internetinfrastruktur.

Diese Studienergebnisse stellten die Forscher um Sambuddho Chakravarty zum ersten Mal im März auf der Netzwerk-Analyse-Konferenz PAM in Los Angeles vor. Nun veröffentlichten sie ihre Studie.

Die Idee von Tor ist nicht die Verschlüsselung von Daten (ein Angreifer kann sie nicht lesen), sondern die Verschleierung des Absenders beziehungsweise Empfängers eines Datenpakets (ein Angreifer weiss nicht, wer die Daten von einem Server abgerufen hat). Tor ermöglicht die anonyme Nutzung des Internets und setzt dabei auf ein Labyrinth von Servern, die zwischen den jeweiligen Nutzer und und seine Datenquellen oder -ziele geschaltet werden.

Welcher Nutzer ist mit welchem Server verbunden?

Die Forscher setzten nun auf eine Schwachstelle des Tor-Netzwerks: dass es schnell sein will. Im Idealfall bemerkt man als Tor-Nutzer die Verschleierung zwischen Datenanfrage und Datenauslieferung nicht. Aus technischer Sicht bedeutet das aber auch, dass es einen Zusammenhang zwischen dem Muster der Dateneingabe auf Nutzerseite und dem Dateneingang auf Seite des Servers gibt, da das Signal zwischen Nutzer und Server kaum durch Verzögerungen gestört wird.

Das nutzten die Forscher für ihren Angriff aus. Sie manipulierten das Signal bei der Eingabe und suchten gleichzeitig auf von ihnen überwachten Servern nach diesen manipulierten Daten, nach «Fingerabdrücken», wie es die Forscher nennen.

Man kann sich das vorstellen wie das Jahrmarktspiel Fadenziehen (viele Schnüre, wenige Preise): Dort ist für den naiven Beobachter ein Fadenende (der Server) nicht mit dem Fadenanfang (der Nutzer) verbunden. Aber ruckelt man ein wenig an einem Faden, sieht man im Fadengewirr auch ein Fadenende sich leicht bewegen. Damit kann man ermitteln, an welchem Faden man ziehen muss, um einen Preis zu gewinnen. In der Analogie: Damit weiss ein Beobachter, welcher Nutzer mit welchem Server verbunden ist, egal, wie verschlungen diese Verbindung ist.

Diese Angriffsmethode der gemessenen Störungen ist nicht neu und wurde auch schon zur Enttarnung von Tor-Nutzern vorgeschlagen. Aber bisherige Angriffskonzepte setzten auf einen schwer zu bewältigenden Überwachungsgrad des Netzes. Die nun vorgeschlagene Methode vereint neue Studienergebnisse mit einem Dreh und senkt den Aufwand beträchtlich.

Keine massenhafte Enttarnung

Offenbar muss nämlich nicht das ganze Tor-Netzwerk überwacht werden, sondern es reicht schon aus, einen kleinen Teil davon zu kontrollieren – in dem man etwa einen Internetknoten überwacht. Und anstatt dieses System mit eigener Hard- und Software zu infiltrieren, um alle Datenpakete zu analysieren, kann man auch einfach dessen eingebaute Analyse-Werkzeuge verwenden. Die sind zwar nicht so akkurat, weil sie nur zusammengefasste Daten liefern, aber das scheint in der Praxis keine Rolle zu spielen.

Vor einer massenhaften Enttarnung durch Hacker müssen sich Tor-Nutzer wohl nicht fürchten: Die Kontrolle selbst kleiner Teilsysteme ist laut den Studienautoren immer noch nur «mächtigen Gegnern» möglich.

Die Tor-Betreiber erklärten, die Methode funktioniere wohl theoretisch, produziere aber auch viele falsche, vermeintliche Treffer. Weil das Tor-Netzwerk grösser wird, steige auch die Zahl dieser falschen Treffer. Es gebe derzeit keine Hinweise darauf, dass tatsächlich jemand mit so einem Angriff derzeit Tor-Nutzer enttarne.

Die letzten Monate waren nicht einfach für Verfechter des Anonymisierungsverfahrens Tor, sogar die Tor-Betreiber warnten vor ihrer eigenen Software. Zuletzt führte die behördliche Schliessung von zwei Dutzend im Netzwerk versteckter Websites zu grosser Verunsicherung der Szene: Ermittler in Europa und den USA konnten offenbar Server und einige Betreiber der vermutlich illegalen Angebote ausfindig machen, obwohl die Seiten im Tor-Netzwerk verborgen waren.

Lesen Sie hierzu auch:

Ecstasy, Spanner-Mütze und zollfreie Zigis: Der «Darknet Shopper» im Einsatz >>

Die frechsten Drogenhändler der Schweiz verkaufen nicht nur im Darknet, sondern völlig offen im Web >>

Operation Onymous hatte Auswirkungen bis in die Schweiz: So verliefen die Einsätze in Zürich und Waadt >>

Hol dir die App!

Charly Otherman, 5.5.2017
Watson kann nicht nur lustig! Auch für Deutsche (wie mich) ein Muss, obwohl ich das schweizerische nicht immer verstehe.
Abonniere unseren NewsletterNewsletter-Abo
2
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
2Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • smoe 17.11.2014 19:34
    Highlight Einer der Autoren der Studie hat sich zur Medienberichterstattung und Betitelungen wie auf dieser Seite geäussert:

    «If at all you see an attack paper, its intention is like several other attacks papers: exploring possible vulerabilities merely as through academic exercise. Truly people misrinterpret the results by giving a cursory glance to the paper and start to spread fear which is absolutely unnaceptable»

    Vielleicht solltet ihr euren Titelsetzern auch mal einer dieser #NewsUnfucked Sticker in die Hände drücken …
    19 0 Melden
    • Zuagroasta 17.11.2014 23:37
      Highlight Dazu fallen mir zwei Zitate ein.

      "if they hype up the fear about this, there is more money to be spend." - David E. Sanger

      "Sometimes when industry leaders make alarmous statements they may have a product to sell." - Thomas Rid

      Das 2te ist passt zwar nicht zu 100%, aber wenn man Nachrichten etwas durchwühlt, finden sich immer Artikel, die einen mißtrauisch machen sollte. ;)
      3 1 Melden

Lohnt sich der Umstieg auf den neuen Firefox Quantum? Dieser Speed-Vergleich zeigt es

Schöner, schlanker, schneller: Mit Firefox Quantum hat Mozilla einen verbesserten Browser veröffentlicht. Doch im Duell mit den härtesten Konkurrenten Google Chrome, Mircrosoft Edge und Opera zeigen sich Schwächen – vor allem für Smartphone-Nutzer.

Mozilla gibt sich im Produktkampf mit Google nicht geschlagen: Mit der neuen Firefox-Version 57 namens Quantum haben die Entwickler den Browser deutlich überarbeitet. Websites bauen sich spürbar schneller auf als beim Vorgänger, Bilder und Videos laden flinker. Das Design ist schlank, die Oberfläche leicht zu bedienen. Beim Surfen merkt man kaum mehr einen Unterschied zum direkten Konkurrenten Google Chrome.

Schon seit längerem ringen die beiden Browser um die Nutzergunst, Google lag dabei …

Artikel lesen