Dass die Anonymisierungsfunktion des Tor-Netzwerks prinzipielle Schwächen hat, war schon seit Jahren bekannt. Doch bislang glaubte man, dass nur ein Staatenverbund das Netzwerk als Ganzes überwachen und so einzelne Nutzer enttarnen könnte. Doch eine Studie italienischer und amerikanischer Sicherheitsforscher kommt nun zu einem anderen Ergebnis: Die Forscher enttarnten bei einem Feldtest vier Fünftel aller Tor-Nutzer, im Laborversuch sogar alle – und das quasi mit Bordmitteln der Internetinfrastruktur.
Diese Studienergebnisse stellten die Forscher um Sambuddho Chakravarty zum ersten Mal im März auf der Netzwerk-Analyse-Konferenz PAM in Los Angeles vor. Nun veröffentlichten sie ihre Studie.
Die Idee von Tor ist nicht die Verschlüsselung von Daten (ein Angreifer kann sie nicht lesen), sondern die Verschleierung des Absenders beziehungsweise Empfängers eines Datenpakets (ein Angreifer weiss nicht, wer die Daten von einem Server abgerufen hat). Tor ermöglicht die anonyme Nutzung des Internets und setzt dabei auf ein Labyrinth von Servern, die zwischen den jeweiligen Nutzer und und seine Datenquellen oder -ziele geschaltet werden.
Die Forscher setzten nun auf eine Schwachstelle des Tor-Netzwerks: dass es schnell sein will. Im Idealfall bemerkt man als Tor-Nutzer die Verschleierung zwischen Datenanfrage und Datenauslieferung nicht. Aus technischer Sicht bedeutet das aber auch, dass es einen Zusammenhang zwischen dem Muster der Dateneingabe auf Nutzerseite und dem Dateneingang auf Seite des Servers gibt, da das Signal zwischen Nutzer und Server kaum durch Verzögerungen gestört wird.
Das nutzten die Forscher für ihren Angriff aus. Sie manipulierten das Signal bei der Eingabe und suchten gleichzeitig auf von ihnen überwachten Servern nach diesen manipulierten Daten, nach «Fingerabdrücken», wie es die Forscher nennen.
Man kann sich das vorstellen wie das Jahrmarktspiel Fadenziehen (viele Schnüre, wenige Preise): Dort ist für den naiven Beobachter ein Fadenende (der Server) nicht mit dem Fadenanfang (der Nutzer) verbunden. Aber ruckelt man ein wenig an einem Faden, sieht man im Fadengewirr auch ein Fadenende sich leicht bewegen. Damit kann man ermitteln, an welchem Faden man ziehen muss, um einen Preis zu gewinnen. In der Analogie: Damit weiss ein Beobachter, welcher Nutzer mit welchem Server verbunden ist, egal, wie verschlungen diese Verbindung ist.
Diese Angriffsmethode der gemessenen Störungen ist nicht neu und wurde auch schon zur Enttarnung von Tor-Nutzern vorgeschlagen. Aber bisherige Angriffskonzepte setzten auf einen schwer zu bewältigenden Überwachungsgrad des Netzes. Die nun vorgeschlagene Methode vereint neue Studienergebnisse mit einem Dreh und senkt den Aufwand beträchtlich.
Offenbar muss nämlich nicht das ganze Tor-Netzwerk überwacht werden, sondern es reicht schon aus, einen kleinen Teil davon zu kontrollieren – in dem man etwa einen Internetknoten überwacht. Und anstatt dieses System mit eigener Hard- und Software zu infiltrieren, um alle Datenpakete zu analysieren, kann man auch einfach dessen eingebaute Analyse-Werkzeuge verwenden. Die sind zwar nicht so akkurat, weil sie nur zusammengefasste Daten liefern, aber das scheint in der Praxis keine Rolle zu spielen.
Vor einer massenhaften Enttarnung durch Hacker müssen sich Tor-Nutzer wohl nicht fürchten: Die Kontrolle selbst kleiner Teilsysteme ist laut den Studienautoren immer noch nur «mächtigen Gegnern» möglich.
Die Tor-Betreiber erklärten, die Methode funktioniere wohl theoretisch, produziere aber auch viele falsche, vermeintliche Treffer. Weil das Tor-Netzwerk grösser wird, steige auch die Zahl dieser falschen Treffer. Es gebe derzeit keine Hinweise darauf, dass tatsächlich jemand mit so einem Angriff derzeit Tor-Nutzer enttarne.
Die letzten Monate waren nicht einfach für Verfechter des Anonymisierungsverfahrens Tor, sogar die Tor-Betreiber warnten vor ihrer eigenen Software. Zuletzt führte die behördliche Schliessung von zwei Dutzend im Netzwerk versteckter Websites zu grosser Verunsicherung der Szene: Ermittler in Europa und den USA konnten offenbar Server und einige Betreiber der vermutlich illegalen Angebote ausfindig machen, obwohl die Seiten im Tor-Netzwerk verborgen waren.
Lesen Sie hierzu auch:
Ecstasy, Spanner-Mütze und zollfreie Zigis: Der «Darknet Shopper» im Einsatz >>
Die frechsten Drogenhändler der Schweiz verkaufen nicht nur im Darknet, sondern völlig offen im Web >>