Erfolgreicher Angriff auf Tor-Anonymisierung
Fast ein halbes Jahr betrieben Angreifer eine größere Zahl von Tor-Knoten, mit deren Hilfe sie herausfinden konnten, wer welche Tor-Dienste genutzt hat.
- Fabian A. Scherschel
Die Betreiber des Tor-Netzwerkes haben Anfang des Monats eine Gruppe von Tor-Knoten entdeckt, die offenbar Nutzer des Dienstes de-anonymisiert haben. Die Nodes waren fast ein halbes Jahr lang aktiv und wurden jetzt stillgelegt. In einem Security Advisory erklären die Tor-Betreiber die Hintergründe des Angriffs, den sie während der vergangenen Wochen untersucht haben. Die Betreiber vermuten einen Zusammenhang mit der Methode, deren Präsentation auf der Hacker-Konferenz Black Hat kurzfristig abgesagt worden war, können dies aber nicht mit letzter Sicherheit bestätigen. Eine neue Version der Tor-Software soll derartige Angriffe zukünftig erschweren.
Unbekannte haben den bisherigen Erkenntnissen zufolge eine große Zahl von Tor-Knoten in das offene Tor-Netzwerk eingebracht. Auf Grund ihrer Stabilität und guten Anbindung erhielten sie dort relativ schnell den Status "geeignet als Entry Guard" (Guard) und "geeignet als Hidden Service Directory" (HSDir). Damit hatten die Angreifer zwei kritische Positionen des Tor-Netzes besetzt; sie stellten zumindest zeitweise etwa 6,4 Prozent der Knoten. Auf Grund der Tor-internen Rotation ergab sich daraus eine beträchtliche Wahrscheinlichkeit, dass Tor-Nutzer irgendwann mit diesen Trojaner-Knoten in Verbindung kamen.
[Update: Die De-Anonymisierung lief wie folgt ab: Ein Tor-Knoten, der einen bestimmten Hidden Service – also einen der im Tor-Netz versteckten Dienste – kontaktieren möchte, befragt dazu ein Hidden Service Directory. Die manipulierten Directory Server beantworteten die Kontaktanfrage zwar; aber sie steckten dabei zusätzlich den Namen des angefragten Dienstes in die unverschlüssselten Verwaltungsinformationen. Diese markierten Antworten wurden an den Tor-Nutzer zurückgeschickt und kamen auf diesem Weg bei dem Tor-Eingangsknoten (Entry Guard) vorbei.] Der kannte notwendigerweise die IP-Adresse des Tor-Nutzers und konnte diese der Nutzung eines Tor-Hidden-Services wie der Silk Road zuordnen. Die Angreifer konnten dabei allerdings die eigentlichen Nutzdaten nicht mitlesen, sondern nur sehen wer welche Dienste anfragt.
Die Angreifer spielten den Geheimdiensten in die Hände
Die Tor-Entwickler kritisieren besonders, dass die Angreifer in die Pakete den Dienstnamen einbauten, statt nur anonyme IDs zu verwenden, die nur sie auflösen können. Das bedeutet, dass auch alle anderen Betreiber von Tor-Eingangsknoten IP-Adressen mit Diensten korrelieren konnten. Selbst wenn es sich bei dem Angriff um ein reines Forschungsprojekt gehandelt haben sollte, steht zu befürchten, dass damit auch Geheimdienste und andere interessierte Parteien in den Besitz solcher Informationen gelangt sind.
Es bleiben eine ganze Reihe von Fragen offen: Handelt es sich bei dem Angriff um jenen, der dem abgesagten Black-Hat-Vortrag zu Grunde liegt? Wurden alle Trojaner-Knoten abgeschaltet? Wurde der Dienstname noch an anderen Orten als am Hidden Service Directory in den Tor-Traffic eingebaut?
Die bei dem Angriff genutzten bösartigen Tor-Nodes waren vom 30. Januar bis zum 4. Juli aktiv – an dem Tag hatten die Tor-Entwickler den Angriff zum ersten Mal entdeckt und sie abgeschaltet. Patches, die einen ähnlichen Angriff in Zukunft erschweren sollten, sind in den heute erschienenen Tor-Versionen 0.2.4.23 und 0.2.5.6-alpha eingebaut.
Update 31.7.2014, 10:20: Die Beschreibung des Angriffs wurde konkretisiert, um die Rolle des Hidden Directory Service korrekt darzustellen. Ursprünglich heiß es im Artikel, dieser betriebe einen Hidden Service. Directory Services übernehmen jedoch nur eine Vermittlerfunktion ähnlich dem DNS; siehe auch die DB in Schritt 3 der Beschreibung zu Tor Hidden Servives. (fab)
