Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Darknet: Ermittler nutzten Timing-Analyse zur Deanonymisierung von Tor-Nutzern

Die Ermittlungsakte zum Boystown-Prozess enthält Hinweise auf eine Timing-Analyse, mit der Tor-Nutzer deanonymisiert werden können. Abhilfe ist nicht in Sicht.

In Pocket speichern vorlesen Druckansicht 194 Kommentare lesen
Hand mit Uhr

(Bild: Erzeugt mit Midjourney durch heise online/mid)

Lesezeit: 8 Min.
Von
Inhaltsverzeichnis

Bei der Deanonymisierung des Betreibers der Darknet-Pädo-Plattform Boystown soll den Ermittlungsakten zufolge die Analyse des Datenverkehrs eine maßgebliche Rolle gespielt haben. Dies berichtet das Politikmagazin Panorama. Dabei nutzten die Ermittler nicht etwa eine Sicherheitslücke im Anonymisierungsdienst Tor aus, sondern zeitliche Zusammenhänge, um den Weg der Daten durch das Tor-Netz zum Empfänger verfolgen zu können.

Um Nutzer des Tor-Browsers zu anonymisieren, wird die Verbindung mindestens dreifach verschlüsselt und über drei verschiedene Server kreuz und quer durchs Internet geleitet, bevor sie am Ziel angelangt. Am Anfang steht der sogenannte Entry Node, auch Entry Guard genannt, mit dem sich der Tor-Browser Ende-zu-Ende verschlüsselt verbindet. Nur dieser Knoten kennt die wahre IP-Adresse des Nutzers.

Vom Entry Node aus baut der Tor-Browser eine Ende-zu-Ende verschlüsselte Verbindung zu einem weiteren Tor-Knoten auf, dem sogenannten Middle Node. Der Middle Node kennt nur die IP-Adresse des Entry Node, weiß also nicht, welcher Nutzer sich dahinter verbirgt. Der Entry Node wiederum weiß nicht, was Tor-Nutzer und Middle Node miteinander besprechen, denn er sieht nur die verschlüsselte Kommunikation zwischen Tor-Nutzer und Middle Node.

Um Tor-Nutzer zu anonymisieren, wird der Datenverkehr dreifach Ende-zu-Ende verschlüsselt über drei Tor-Knoten rund um die Welt geleitet. Vergleicht man eingehende und ausgehende Datenpakete, lässt sich aufgrund der bewusst niedrig gehaltenen Latenzen im Tor-Netz ein Zusammenhang herstellen, ohne die Daten entschlüsseln zu müssen.

Über den Middle Node kontaktiert der Tor-Browser noch mindestens einen weiteren Knoten, den Exit Node. Die Daten kann der Middle Node jedoch nicht mitlesen, denn die Verbindung zwischen Tor-Nutzer und Exit Node ist ebenfalls Ende-zu-Ende verschlüsselt. Der Exit Node wiederum weiß nicht, wo sich der Nutzer befindet, denn er kennt nur die IP-Adresse des Middle Node. Erst der Exit Node baut die (hoffentlich per HTTPS verschlüsselte) Verbindung zur Ziel-Website auf. Handelt es sich bei dem Ziel um einen sogenannten Hidden Service aus dem Darknet, werden die Daten über noch drei weitere Tor-Knoten geleitet und jedes Mal wieder verschlüsselt.

Durch die mindestens dreifache Kaskadierung erreicht man, dass zwar der Entry Node den Nutzer kennt, aber keine Ahnung hat, wofür er das Tor-Netz benutzt. Der Middle Node ist quasi am ahnungslosesten, er kennt weder den Urheber der Datenpakete noch das Ziel noch den Zweck, er ist lediglich Mittelsmann zwischen Entry und Exit Node. Der Exit-Node hingegen weiß, wohin die Daten fließen, hat aber keine Ahnung, wer der Urheber ist.

Hinzu kommt, dass der Tor-Browser spätestens nach zehn Minuten den Middle- und Exit-Node auswechselt, damit Verbindungen nicht über längere Zeit nachverfolgt werden können. Das macht es für Ermittler so schwer, die Identität der Tor-Nutzer herauszufinden.

Datenfluss im Blick

Bei der sogenannten Korrelationsanalyse, auch Timing-Analyse genannt, nutzen die Behörden aus, dass es sich bei Tor um ein Low Latency Network handelt: Daten werden möglichst in Echtzeit hindurchgeleitet. Die Verzögerung ist in der Regel so gering, dass man selbst Live-Streams und Live-Chats über Tor laufen lassen kann. Beginnt ein Tor-Nutzer zum Beispiel mit dem Download einer großen Datei, so könnte ein Ermittler, der den Datenverkehr des Exit Node beobachtet, einen entsprechenden Anstieg des Paketaufkommens feststellen. Aufgrund der niedrigen Latenz steigt gleichzeitig der ausgehende Traffic zu einem bestimmten Server – der Middle Node wäre entlarvt, ohne dass die Behörden Zugriff auf den Exit Node erhalten oder die Daten entschlüsselt hätten.

Auch beim Middle Node ließe sich im gleichen zeitlichen Zusammenhang ein Anstieg des eingehenden und ausgehenden Traffics beobachten und so der Entry Node bestimmen. Und in der nächsten Stufe der Nutzer selbst deanonymisieren, wenn man es hinbekommt, den Entry Node zu beobachten. Bei rund 8000 Tor-Knoten weltweit erscheint es kaum umsetzbar, eine relevante Anzahl auf solche zeitlichen Zusammenhänge hin zu überwachen.

Gegenüber Live-Chats und Instant Messengers hingegen ist Tor mit seinen niedrigen Latenzen besonders verwundbar: So wird eine Nachicht augenblicklich vom Absender über die Tor-Knoten zum Empfänger übertragen. Genau das sollen Panorama zufolge die Behörden im Boystown-Fall ausgenutzt haben, indem sie mit dem mutmaßlichen Betreiber über die Chat-Software Ricochet kommunizierten, die die Daten verschlüsselt und anonym über das Tor-Netz überträgt.

Da die Ermittler als Urheber genau wussten, wann sie eine neue Nachricht versenden, genügte es, einige Hundert Tor-Knoten auf gleichzeitig eingehende Datenpakete ähnlicher Größe zu überwachen – mutmaßlich indem die Behörden eine entsprechende Anzahl schneller, gut angebundener Server anmieteten und sie als Tor-Knoten ins Netz stellten. Da der Tor-Browser die Exit und Middle Nodes alle paar Minuten wechselt und Knoten mit niedriger Latenz und hoher Bandbreite bevorzugt, war es nur eine Frage der Zeit, bis ihr Ricochet-Gesprächspartner den Tor-Knoten der Ermittler als Middle Node benutzte. So konnten Sie den Entry Node bestimmen.

Um an die IP-Adresse des Verdächtigen zu gelangen, hätten sie ihn auf einen Entry Node der Ermittler umleiten oder den von ihm genutzten Knoten überwachen oder übernehmen müssen. Aufgrund früherer Angriffe, bei denen Tor-Nutzer die Entry Nodes innerhalb kurzer Zeit auf die von Angreifern kontrollierten Knoten wechselten und dann enttarnt wurden, nutzt der Tor-Browser heute für mehrere Tage bis hin zu mehreren Wochen den gleichen Entry Node – weshalb dieser inzwischen als Entry Guard bezeichnet wird. Bis die im Boystown-Fall verdächtige Person auf einen von den Behörden kontrollierten Entry Guard wechselt, könnte Monate dauern.

IP-Adressen überwacht

Unklar ist noch woher, aber die Ermittler wussten offenbar, dass der Verdächtige O2 als Internetprovider verwendet. Deshalb wählten sie einen anderen Ansatz: Aufgrund der Korrelationsanalyse des Middle Nodes hatten sie bereits die IP-Adresse des Entry Guards herausgefunden – und durften darauf hoffen, dass der Verdächtige ihn in den nächsten Tagen und Wochen weiterhin benutzt. Sie mussten also nur noch das nächste Mal, wenn der Verdächtige in Ricochet online ist, Telefonica um die Adressen all jener O2-Kunden bitten, die gerade eine Verbindung zu genau diesem Entry Guard hatten. Das Ergebnis dürfte eine ziemlich kurze Liste gewesen sein.

Damit ist längst nicht der Beweis erbracht, dass es sich bei einer der Personen um den Boystown-Betreiber handelt. Die Eingrenzung auf wenige Personen erlaubt es den Behörden aber, ihre Ermittlungen zu konzentrieren. Der Kontakt zum Entry Guard oder die zeitlichen Zusammenhänge von Datenpaketen sind allenfalls ein kleines Indiz. Den Täter zu überführen, bleibt klassische Polizeiarbeit – die Korrelationsanalyse hat lediglich dabei geholfen, aus den Tausenden Tor-Nutzern weltweit ein paar wenige Verdächtige herauszusieben.

Das Verfahren der Korrelationsanalyse ist schon lange bekannt, es soll bereits 2017 bei der Beschlagnahme des Darknet-Forums Deutschland im Deep Web (DiDW) eine Rolle gespielt haben. Damals gab es täglich verräterische Verbindungsausfälle des Hidden Service, die sich als DSL-Zwangstrennungen des Internetzugangs des Betreibers entpuppten. Auch berichtete c't in Ausgabe 22/2017 ausführlich über die Methode und welch entscheidende Rolle der Middle Node bei Korrelationsangriffen spielt.

Schnelle Abhilfe schwierig

Das Tor-Netz robuster gegenüber solchen Korrelationsangriffen zu machen, wird schwierig. Gäbe es ein Vielfaches der aktuell 8000 Tor-Knoten, bräuchten Angreifer wie Ermittler weitaus mehr Server, um mit ausreichender Wahrscheinlichkeit vom Verdächtigen ausgewählt zu werden. Der größte Knackpunkt bei Timing-Analysen ist jedoch die geringe Latenz, die das Tor-Netz für Nutzer attraktiv macht. So könnten Knoten Datenpakete sammeln, komprimieren oder mit zusätzlichen, zufälligen Daten maskieren, damit nicht jedes eingehende Datenpaket sofort als nahezu gleich großes ausgehendes Paket zu erkennen ist.

Tor-User sollten darauf achten, möglichst wenige Echtzeitanwendungen zu nutzen, denn diese sind für Korrelationsanalysen besonders anfällig. Einen generellen Schutz gibt es nicht, denn auch ein kompromittierter Hidden Service könnte Bilder und andere Daten in Pakete mit ganz bestimmten Größen aufteilen oder sie in bestimmten Zeitabständen versenden und so ein charakteristisches Signal erzeugen, das Ermittler leicht durch das Darknet verfolgen können.

Langfristig muss sich das Tor-Projekt eine Lösung überlegen. Denn nicht immer sind staatliche Ermittler darauf aus, Pädokriminelle zu finden. In manchen Ländern sind es Oppositionspolitiker, Dissidenten oder einfach nur Andersdenkende, die im Darknet gejagt werden und eine unzureichende Anonymisierung schlimmstenfalls mit ihrem Leben bezahlen.

(mid)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten