Seite 2: Der Browser und sein "Fingerabdruck"

Inhaltsverzeichnis

Der Tor-Browser schützt sehr gut vor Überwachung mittels IP-Adressen. Er schützt auch vor einer anderen Browser-typischen Datenquelle: Cookies. Die meisten Webseiten hinterlassen beim Besuch kleine Datenschnipsel im Browser, die Informationen über den jeweiligen Webseitenbesuch enthalten. Beim nächsten Besuch der Webseite kann diese Information wieder ausgelesen und verwendet werden, um beispielsweise Protokolle über das Surfverhalten von Usern zu erstellen. Webseiten können in Tor zwar Cookies ablegen, doch deren Wirkung verpufft. Wird der Tor-Browser geschlossen, löscht er alle Cookies.

Wovor der Tor-Browser allerdings nur wenig schützt, ist eine komplizierte und besonders perfide Technologie: das Browser-Fingerprinting. Bei dieser Methode berechnet die aufgerufene Webseite einen technischen Fingerabdruck aus den verschiedenen Software- und Hardware-Eigenschaften des PCs oder Smartphones. Über die Kombination dieser Merkmale können Geräte unter Umständen wiedererkannt und durchs Netz verfolgt werden, je nach Ausmaß des Fingerprintings unterschiedlich genau.

Beim Surfen im Internet schickt jeder Browser standardmäßig einige Basis-Informationen an die Webseite, beispielsweise die Spracheinstellung des Browsers. Zusätzlich können Webseiten weitere Eigenschaften auslesen, etwa, welche Schriften im Browser installiert sind oder wie hoch und breit der verwendete Bildschirm ist. Bei einem besonders dreisten Browser-Fingerprinting werden außerdem gezielt Bauteile des Geräts getestet. Ohne, dass man es merkt, wird dabei im Browser eine unsichtbare Grafik oder ein unhörbarer Ton erzeugt. Da die Grafik- und Audio-Karten jedes Geräts minimale Abweichungen aufweisen, weist auch jede Grafik und jeder Ton Geräte-typische Abweichungen auf – so, wie das Schriftbild jeder Schreibmaschine einzigartig ist. Mit dieser Methode ist es möglich, Geräte und damit Nutzer:innen punktgenau wiederzuerkennen – auch dann, wenn der Browser IP-Adressen verschleiert und Cookies standardmäßig löscht.

Browser-Fingerprinting ist noch wenig erforscht. Eingesetzt wird die Methode oft nicht von den eigentlichen Webseiten, sondern von eingebauten Drittparteien, etwa von Werbenetzwerken oder Analysediensten. Der Tor-Browser versucht, sich dagegen zu wehren, etwa, indem er die tatsächliche Bildschirmgröße verschleiert.

Den meisten Fingerprinting-Elementen kann er im Standardmodus aber nichts entgegensetzen. Das gezielte Auslesen von Geräteeigenschaften, etwa das Testen von Bauteilen, läuft über JavaScript – das sorgt aber auch für ein Einfallstor zur Überwachung. Der einzig funktionierende Schutz vor aggressivem Fingerprinting ist, diese Technologie zu deaktivieren. Manche Webseiten funktionieren dann problemlos weiter, andere hingegen nicht. Der Tor-Browser sieht drei Sicherheitsstufen vor. Im "Standard"-Modus funktioniert JavaScript überall. Im "Sicherer"-Modus wird man vom Browser gefragt, wenn Webseiten Bilder oder Töne erzeugen wollen. Im "Am sichersten"-Modus ist JavaScript komplett deaktiviert.

Tipp Eins: Wenn Sie das testen wollen, rufen Sie mit dem Tor-Browser die Webseite AmIUnique.org auf und klicken auf "View my browser fingerprint". Wenn Sie Tor in seinen Standardeinstellungen verwenden, lautet die Diagnose meist: "Yes! You are unique among the … fingerprints in our entire dataset." Klicken Sie nun auf das kleine Schild rechts oben in der Adresszeile, verändern Sie die Sicherheitsstufe von "Standard" auf "Am sichersten" und wiederholen Sie den Schritt. Sie sehen: Von den 65 berücksichtigten Attributen basieren 59 auf JavaScript und lassen sich in dem Modus nicht auslesen.

Tipp Zwei: FPMON, eine Browsererweiterung für Chrome, entwickelt vom Wissenschaftler Julian Fietkau an der TU Berlin, zeigt an, inwiefern Webseiten Fingerprinting betreiben. Es gibt einen Workaround für Firefox, allerdings nur als temporäres Add-on, das nach Schließen des Browsers wieder verschwunden ist.

Die Kunst der Korrelation

Schließlich gibt es noch die "Holzhammer-Methode", und die ist die gefährlichste: Ein Angreifer versucht, Tor zu knacken, indem er großflächig Daten sammelt, quasi von außen auf das Tor-Netzwerk schaut und die technischen Muster der Datenströme vergleicht. Tor leitet Datenverkehr um, verändert ihn aber nicht. Die Datenströme jeder Tor-Verschleierungsroute sehen deshalb auf allen Teilstrecken gleich aus – auf der Strecke vom Tor-Browser zum ersten Knoten, von Knoten zu Knoten und vom letzten Knoten zur Webseite oder Darknet-Seite.

Das ermöglichst eine Angriffsform namens "End-to-End Confirmation" ("Ende-zu-Ende-Abgleich"). Eine De-Anonymisierung von Tor ist möglich, wenn ein Angreifer die erste Teilstrecke (zwischen User und Einstiegsknoten) und die letzte Teilstrecke (zwischen letztem Knoten und Webseite bzw. Darknet-Seite) beobachtet und herausfinden kann, dass beide Elemente zur gleichen Verschleierungsroute gehören. Dafür braucht es zwei Schritte: Zuerst schaut der Angreifer auf alle Datenströme, die innerhalb eines Zeitfensters von wenigen Millisekunden ins Tor-Netzwerk hineingehen und das Netzwerk wieder verlassen. Diese Datenströme versucht er einander zuzuordnen.

Wie beim Kartenspiel Memory sucht man als Angreifer Paare, die zusammengehören. Um die zu finden, vergleicht man technische Muster. Beim Besuch einer Webseite werden die benötigen Informationen in einer Abfolge kleiner Datenpakete verschickt. Webseiten und ihre Unterseiten sind unterschiedlich groß und enthalten unterschiedliche Elemente. Deshalb erzeugen sie bei der Übertragung unterschiedliche Muster. Erkennt man zwei gleiche Muster, ist klar: Datenstrom Eins und Datenstrom Zwei sind Teil der gleichen Tor-Verschleierungsroute. Die De-Anonymisierung ist geglückt.

Gegen einen solchen Angriff kann Tor prinzipiell nicht schützen. In einer Auflistung häufig gestellter Fragen auf Torproject.org heißt es, es sei "für einen Beobachter, der sowohl dich als auch die Zielwebseite oder deinen Tor-Exit-Knoten sehen kann, möglich, die Zeitpunkte deines Datenverkehrs zu korrelieren, wenn er in das Tor-Netzwerk eintritt und auch wenn er es verlässt. Tor bietet keinen Schutz gegen ein solches Bedrohungsmodell."