Anonymes Surfen Forschern gelingt Enttarnung vieler Tor-Nutzer

Das Tor-Netzwerk zum anonymen Internetgebrauch wird von Kriminellen genutzt, aber ebenso von Journalisten oder Dissidenten. In einem Versuch wollen Forscher nun gezeigt haben, wie sie mehr als 80 Prozent aller Tor-Nutzer enttarnen könnten.

Tor-Netzwerk: Forscher zeigen Angriff auf das anonymisierende Netz

Tor-Netzwerk: Forscher zeigen Angriff auf das anonymisierende Netz


Dass die Anonymisierungsfunktion des Tor-Netzwerks prinzipielle Schwächen hat, war schon seit Jahren bekannt. Doch bislang glaubte man, dass nur ein Staatenverbund das Netzwerk als Ganzes überwachen und so einzelne Nutzer enttarnen könnte. Doch eine Studie italienischer und amerikanischer Sicherheitsforscher kommt nun zu einem anderen Ergebnis: Die Forscher enttarnten bei einem Feldtest vier Fünftel aller Tor-Nutzer, im Laborversuch sogar alle - und das quasi mit Bordmitteln der Internetinfrastruktur.

Diese Studienergebnisse stellten die Forscher um Sambuddho Chakravarty zum ersten Mal im März auf der Netzwerkanalyse-Konferenz PAM in Los Angeles vor. Nun veröffentlichten sie ihre Studie.

Die Idee von Tor ist nicht die Verschlüsselung von Daten (ein Angreifer kann sie nicht lesen), sondern die Verschleierung des Absenders beziehungsweise Empfängers eines Datenpakets (ein Angreifer weiß nicht, wer die Daten von einem Server abgerufen hat). Tor ermöglicht die anonyme Nutzung des Internets und setzt dabei auf ein Labyrinth von Servern, die zwischen den jeweiligen Nutzer und seine Datenquellen oder -ziele geschaltet werden.

Welcher Nutzer ist mit welchem Server verbunden?

Die Forscher setzten nun auf eine Schwachstelle des Tor-Netzwerks: dass es schnell sein will. Im Idealfall bemerkt man als Tor-Nutzer die Verschleierung zwischen Datenanfrage und Datenauslieferung nicht. Aus technischer Sicht bedeutet das aber auch, dass es einen Zusammenhang zwischen dem Muster der Dateneingabe auf Nutzerseite und dem Dateneingang auf Seite des Servers gibt, da das Signal zwischen Nutzer und Server kaum durch Verzögerungen gestört wird.

Das nutzten die Forscher für ihren Angriff aus. Sie manipulierten das Signal bei der Eingabe und suchten gleichzeitig auf von ihnen überwachten Servern nach diesen manipulierten Daten, nach "Fingerabdrücken", wie es die Forscher nennen.

Man kann sich das vorstellen wie das Jahrmarktspiel Fadenziehen (viele Schnüre, wenige Preise): Dort ist für den naiven Beobachter ein Fadenende (der Server) nicht mit dem Fadenanfang (der Nutzer) verbunden. Aber ruckelt man ein wenig an einem Faden, sieht man im Fadengewirr auch ein Fadenende sich leicht bewegen. Damit kann man ermitteln, an welchem Faden man ziehen muss, um einen Preis zu gewinnen. In der Analogie: Damit weiß ein Beobachter, welcher Nutzer mit welchem Server verbunden ist, egal, wie verschlungen diese Verbindung ist.

Diese Angriffsmethode der gemessenen Störungen ist nicht neu und wurde auch schon zur Enttarnung von Tor-Nutzern vorgeschlagen. Aber bisherige Angriffskonzepte setzten auf einen schwer zu bewältigenden Überwachungsgrad des Netzes. Die nun vorgeschlagene Methode vereint neue Studienergebnisse mit einem Dreh und senkt den Aufwand beträchtlich.

Keine massenhafte Enttarnung

Offenbar muss nämlich nicht das ganze Tor-Netzwerk überwacht werden, sondern es reicht schon aus, einen kleinen Teil davon zu kontrollieren - in dem man etwa einen Internetknoten überwacht. Und anstatt dieses System mit eigener Hard- und Software zu infiltrieren, um alle Datenpakete zu analysieren, kann man auch einfach dessen eingebaute Analysewerkzeuge verwenden. Die sind zwar nicht so akkurat, weil sie nur zusammengefasste Daten liefern, aber das scheint in der Praxis keine Rolle zu spielen.

Vor einer massenhaften Enttarnung durch Hacker müssen sich Tor-Nutzer wohl nicht fürchten: Die Kontrolle selbst kleiner Teilsysteme ist laut den Studienautoren immer noch nur "mächtigen Gegnern" möglich.

Die Tor-Betreiber erklärten, die Methode funktioniere wohl theoretisch, produziere aber auch viele falsche, vermeintliche Treffer. Weil das Tor-Netzwerk größer wird, steige auch die Zahl dieser falschen Treffer. Es gebe derzeit keine Hinweise darauf, dass derzeit tatsächlich jemand mit so einem Angriff Tor-Nutzer enttarne.

Die letzten Monate waren nicht einfach für Verfechter des Anonymisierungsverfahrens Tor, sogar die Tor-Betreiber warnten vor ihrer eigenen Software. Zuletzt führte die behördliche Schließung von zwei Dutzend im Netzwerk versteckter Websites zu großer Verunsicherung der Szene: Ermittler in Europa und den USA konnten offenbar Server und einige Betreiber der vermutlich illegalen Angebote ausfindig machen, obwohl die Seiten im Tor-Netzwerk verborgen waren.

Forum - Diskutieren Sie über diesen Artikel
insgesamt 8 Beiträge
Alle Kommentare öffnen
Seite 1
deus-Lo-vult 17.11.2014
1.
Irgendwann wird vielleicht auch der letzte Schlaubischlumpf begreifen, dass es kein sicheres Surfen gibt!
holy10 17.11.2014
2. So sieht es aus
Zitat von deus-Lo-vultIrgendwann wird vielleicht auch der letzte Schlaubischlumpf begreifen, dass es kein sicheres Surfen gibt!
Aber solange die Leute fleisig Online-Banking und Online-Shoping betreiben ist das den meisten wohl egal.
EL156 17.11.2014
3. Teufelswerk
Es drängt sich der Verdacht auf, dass irgendwelche Mächte versuchen, den ihnen lästigen Torbrowser von der Internetoberfläche verschwinden zu lassen. Denn er verhindert wirkungsvoll, dass Datenkraken wie beispielsweise Gockel oder Mikrosaft Informationen abgreifen und sich als Dankeschön auch noch eine goldene Nase verdienen oder wer weiß was für Profile erstellen. Ein Torbrowser scheint regelrechtes Teufelswerk zu sein, weil ihn ja auch wie und so genannte Fachzeitschriften - Namen verkneife ich mir - abqualifizieren und dessen Benutzer zum Teil als kriminell abstempeln. Was die anfängliche Geschwindigkeit des Torbrowsers im Schleichmodus anbetrifft, so kann man sich inzwischen mit dem Tor Browser Bundle unter Linux, z. B. openSUSE 13.2, ruckelfrei und diskret aus der TV-Mediathek bedienen. Zum Schluss bitte BleachBit nicht vergessen!
EL156 17.11.2014
4. Teufelswerk
Es drängt sich der Verdacht auf, dass irgendwelche Mächte versuchen, den ihnen lästigen Torbrowser von der Internetoberfläche verschwinden zu lassen. Denn er verhindert wirkungsvoll, dass Datenkraken wie beispielsweise Gockel oder Mikrosaft Informationen abgreifen und sich als Dankeschön auch noch eine goldene Nase verdienen oder wer weiß was für Profile erstellen. Ein Torbrowser scheint regelrechtes Teufelswerk zu sein, weil ihn ja auch wie und so genannte Fachzeitschriften - Namen verkneife ich mir - abqualifizieren und dessen Benutzer zum Teil als kriminell abstempeln. Was die anfängliche Geschwindigkeit des Torbrowsers im Schleichmodus anbetrifft, so kann man sich inzwischen mit dem Tor Browser Bundle unter Linux, z. B. openSUSE 13.2, ruckelfrei und diskret aus der TV-Mediathek bedienen. Zum Schluss bitte BleachBit nicht vergessen!
Flying Rain 18.11.2014
5. Hmm
Im Umkehrschluss beideutet es aber auch, das je mehr Zeit ich mir lasse bzw Umwege ich mit Tor gehe , desto sichereg wird es ...und wer etwas "so" illegales vor hatt, der wird sich lieber mehr Zeit lassen und über noch mehr Dienste, VPN's sowie öffentliche W-Lan's seine Daten schicken....auch wenn ich zugeben muss bis auf VPN michts davon zu nutzen, da wenn es mir um meine Daten ich einfach nur mit offenen Augen das Internet benutzen muss.... you can't stop the signal!
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.