[Technik] Tor-Netz erfolgreich von Angreifern de-anonymisiert

Knapp ein halbes Jahr konnten jetzt unbekannte Angreifer ein großes Netz von Tor-Knotenpunkten betreiben, mit deren Hilfe es möglich war, Tornutzer zu de-anonymisieren.

Aufgrund der Stabilität und der guten Anbindung der Knotenpunkte wurde ihnen schnell der Status "geeignet als Entry Guard" (Guard) und "geeignet als Hidden Service Directory" (HSDir) zugesprochen, und konnten damit zwei wichtige Positionen beim Torzugang besetzt. Durch die Anzahl der zur Verfügung gestellten Server kamen teilweise bis zu 6.4% aller Tor-Knoten aus diesem Netz, wodurch sich eine hohe Wahrscheinlichkeit ergab, dass Tor-Nutzer irgendwann mit diesen Knoten in Verbindung kamen.

Die De-Anonymisierung konnte hier vermutlich über eine Kombination aus zwei Angriffsarten erfolgen. Zum einen ist es möglich, einen User zu identifizieren, wenn beide Enden eines Tornetzwerks besetzt sind. Die Netzwerkpakete können dann verglichen werden, und da der Entry Guard zwangsweise die richtige IP kennen muss, kann damit das Datenpaket speziell einer IP zugeordnet werden. Zusätzlich wurden bei diesem Angriff vermutlich auch noch die Netzwerkpakete markiert, so dass man hier nur noch der Markierung folgen musste.

Die betroffenen Knotenpunkte waren vom 30. Januar bis zum 04. Juli aktiv, an dem Tag wurde der Angriff von Tor-Entwicklern das erste Mal entdeckt und die Server aus dem Tornetz entfernt. Die aktuell heute erschienenen Tor-Versionen (0.2.4.23 bzw. 0.2.5.6-alpha) sollen ähnliche Angriffe zukünftig erschweren.

Wer hinter dem Angriff steht, ist noch unbekannt, vermutet wird ein Zusammenhang mit dem vor kurzem abgesagtem Black-Hat-Vortrag zu Tor-Schwachstellen, aber bestätigen konnte das noch keiner. Auch ist noch unklar, ob wirklich alle Knoten abgetrennt wurden, und was genau an Daten jetzt gesammelt werden konnte.

Quelle: heise.de, blog.torproject.org

 

[accC]

Ja ja, das unknackbare Tornetz.. und keiner kann erzählen, das NSA wüsste nicht von dieser Schwachstelle und würde diese (und andere) nicht auch ausnutzen..

 

[bevoller]

Wer hat denn behauptet, Tor wäre unknackbar? Wer nicht total auf den Kopf gefallen ist, weiß nicht erst seit dem Bust eines gewissen Finanz-Hidden-Service, dass auch Tor keine 100% Sicherheit und Anonymität bietet.

 

[Bernd]

Tor wurde doch immer als die sicherste Methode dargestellt, da man ja VPN Anbietern nicht immer trauen kann. Ich finde es schade das dieses System langsam bröckelt.

 

[widarr]

Das ist ja auch der Grund, warum MEHR Leute Tor verwenden sollten, ein derartiger Angriff wäre durch eine größere Anzahl von Nodes nur sehr viel schwieriger möglich gewesen.
Je mehr (schnelle) Nodes, desto geringer die Wahrscheinlichkeit auf einen kompromitierten Entrynode zu treffen. Dieser Angriffsvektor war schon lange bekannt, kann man auch im Tor Wiki nachlesen. Jetzt ist der Fehler zumindest mal gefixt.

btw die Attacke war nicht ganz vollständig, man konnte dabei nur sehen, welche IP (die gerade auf einen kompromitierten Entrynode war) auf welchen Hidden Service zugegriffen hat, aber nicht, was sie dort gemacht hat da die verbindung immer noch verschlüsselt war.

https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack

 

[Harley Quinn]

Letztens gab Snowden ein Interview hinter sieben Proxys.

Vielleicht ist das ja eine Alternative?

 

[Larius]

Bringt dir auch nichts wenn der 1te Proxy, über den du drüber gehst, mitloggt

 

[PaRaDoX]

Ich habe keine Kenntnis über den aktuellen Stand der Entwicklung bzw. ob es überhaupt noch weiterentwickelt wird, aber vor einiger Zeit war JAP von der TU Dresden eine gute Alternative.

Mittlerweile gibt es wohl eine kommerzielle Weiterentwicklung seitens der JonDos GmbH: http://de.wikipedia.org/wiki/JonDo

Inwiefern das eine Alternative zu VPN darstellt kann ich nicht beurteilen. Ist aber evtl. einen Blick wert.