Knapp ein halbes Jahr konnten jetzt unbekannte Angreifer ein großes Netz von Tor-Knotenpunkten betreiben, mit deren Hilfe es möglich war, Tornutzer zu de-anonymisieren.
Aufgrund der Stabilität und der guten Anbindung der Knotenpunkte wurde ihnen schnell der Status "geeignet als Entry Guard" (Guard) und "geeignet als Hidden Service Directory" (HSDir) zugesprochen, und konnten damit zwei wichtige Positionen beim Torzugang besetzt. Durch die Anzahl der zur Verfügung gestellten Server kamen teilweise bis zu 6.4% aller Tor-Knoten aus diesem Netz, wodurch sich eine hohe Wahrscheinlichkeit ergab, dass Tor-Nutzer irgendwann mit diesen Knoten in Verbindung kamen.
Die De-Anonymisierung konnte hier vermutlich über eine Kombination aus zwei Angriffsarten erfolgen. Zum einen ist es möglich, einen User zu identifizieren, wenn beide Enden eines Tornetzwerks besetzt sind. Die Netzwerkpakete können dann verglichen werden, und da der Entry Guard zwangsweise die richtige IP kennen muss, kann damit das Datenpaket speziell einer IP zugeordnet werden. Zusätzlich wurden bei diesem Angriff vermutlich auch noch die Netzwerkpakete markiert, so dass man hier nur noch der Markierung folgen musste.
Die betroffenen Knotenpunkte waren vom 30. Januar bis zum 04. Juli aktiv, an dem Tag wurde der Angriff von Tor-Entwicklern das erste Mal entdeckt und die Server aus dem Tornetz entfernt. Die aktuell heute erschienenen Tor-Versionen (0.2.4.23 bzw. 0.2.5.6-alpha) sollen ähnliche Angriffe zukünftig erschweren.
Wer hinter dem Angriff steht, ist noch unbekannt, vermutet wird ein Zusammenhang mit dem vor kurzem abgesagtem Black-Hat-Vortrag zu Tor-Schwachstellen, aber bestätigen konnte das noch keiner. Auch ist noch unklar, ob wirklich alle Knoten abgetrennt wurden, und was genau an Daten jetzt gesammelt werden konnte.
Quelle: heise.de, blog.torproject.org
Aufgrund der Stabilität und der guten Anbindung der Knotenpunkte wurde ihnen schnell der Status "geeignet als Entry Guard" (Guard) und "geeignet als Hidden Service Directory" (HSDir) zugesprochen, und konnten damit zwei wichtige Positionen beim Torzugang besetzt. Durch die Anzahl der zur Verfügung gestellten Server kamen teilweise bis zu 6.4% aller Tor-Knoten aus diesem Netz, wodurch sich eine hohe Wahrscheinlichkeit ergab, dass Tor-Nutzer irgendwann mit diesen Knoten in Verbindung kamen.
Die De-Anonymisierung konnte hier vermutlich über eine Kombination aus zwei Angriffsarten erfolgen. Zum einen ist es möglich, einen User zu identifizieren, wenn beide Enden eines Tornetzwerks besetzt sind. Die Netzwerkpakete können dann verglichen werden, und da der Entry Guard zwangsweise die richtige IP kennen muss, kann damit das Datenpaket speziell einer IP zugeordnet werden. Zusätzlich wurden bei diesem Angriff vermutlich auch noch die Netzwerkpakete markiert, so dass man hier nur noch der Markierung folgen musste.
Die betroffenen Knotenpunkte waren vom 30. Januar bis zum 04. Juli aktiv, an dem Tag wurde der Angriff von Tor-Entwicklern das erste Mal entdeckt und die Server aus dem Tornetz entfernt. Die aktuell heute erschienenen Tor-Versionen (0.2.4.23 bzw. 0.2.5.6-alpha) sollen ähnliche Angriffe zukünftig erschweren.
Wer hinter dem Angriff steht, ist noch unbekannt, vermutet wird ein Zusammenhang mit dem vor kurzem abgesagtem Black-Hat-Vortrag zu Tor-Schwachstellen, aber bestätigen konnte das noch keiner. Auch ist noch unklar, ob wirklich alle Knoten abgetrennt wurden, und was genau an Daten jetzt gesammelt werden konnte.
Quelle: heise.de, blog.torproject.org