Problematischer BitTorrent-Schnüffler

Forscher am Air Force Institute of Technology (AFIT) der US-Luftwaffe haben ein neues Werkzeug entwickelt, mit dem sich illegale Inhalte, die über das Dateitauschnetz BitTorrent vertrieben werden, auffinden und ihre Verbreiter erfassen lassen. Das Werkzeug soll dabei den regulären Datenfluss nicht stören, Ermittlern aber dennoch juristisch verwertbare Beweise für verbotene Aktivitäten liefern.

Erkennbar ist dabei alles von der Raubkopie bis zu kinderpornografischem Material. Entdecke die Software eine einschlägige Datei, speichere sie die Herkunftsadresse für eine spätere Analyse, erläutert Major Karl Schrader, der das Projekt am AFIT in Kettering leitet.

Die Verwendung von Peer-to-Peer-Programmen (P2P) und die Nutzung des BitTorrent-Protokolls nehmen in den letzten Jahren stark zu. Bei vielen Internet-Providern besteht inzwischen ein Großteil des Multimedia-Datenverkehrs aus P2P-Paketen.

Derzeit interessieren sich die Online-Anbieter für diesen Traffic-Typ vor allem deshalb, weil er so viel Bandbreite frisst – ist er einmal erkannt, können sie ihn regulieren und so mehr Platz für andere Dienste schaffen. Dieser Ansatz verrate jedoch nichts über die Inhalte solcher Transfers, sagt Schrader. Zwar könnten eine Handvoll Netzwerk-Monitor-Werkzeuge einzelne BitTorrent-Dateien identifizieren, doch der Prozess sei normalerweise sehr langsam, da der Inhalt jeder Datei einzeln untersucht werden müsse. Die dafür notwendige Zeit steigt exponentiell mit der Zunahme getauschter Dateien.

"Unser System unterscheidet sich dadurch, dass es vollständig passiv arbeitet. Es werden keine Informationen verändert, die in das Netzwerk hinein und wieder hinaus fließen", sagt Schrader. Das funktioniert, indem nach den Dateien gesucht wird, die die Hauptkennzeichen des BitTorrent-Protokolls enthalten. Dabei werden die ersten 32 Bit im Headersegment einer Datei untersucht Dann schaut sich das System den Hash-Wert an, einen einzigartigen Code, der zur Koordinierung des gleichzeitigen Herunterladens Hunderter Dateifragmente verwendet wird, die bei verschiedenen Nutzern liegen. Findet sich ein solcher Hash auch in einer Datenbank mit "verbotenen" Dateien, notiert sich das System diesen Transfer und speichert die beteiligten Netzwerkadressen.

"Ich glaube durchaus, dass diese Lösung funktioniert und sich kostengünstig umsetzen ließe, weil sie sehr spezialisiert ist", meint Hendrik Schulze, Technologiechef von Ipoque, einer Netzwerkanalysefirma aus Leipzig. Lösungen, die auch diverse andere Dateitypen erkennen können, seien zwar flexibler, aber auch teurer.

Ein Grund, warum die neue BitTorrent-Schnüffeltechnik so schnell ist: Sie setzt auf eine eigene Hardware, die mit einem speziellen programmierbaren FPGA-Chip und einem schnellen Flash-Speicher ausgerüstet ist, der die Informationen speichert.

Mit dieser Ausrüstung können die Inhalte von Dateien direkt gescannt werden, in dem das Werkzeug in den Netzwerk-Controller-Puffer eines Providers schaut. Der eigentliche Datenverkehr wird dabei nicht behindert. Außerdem sei es unmöglich, dass ein Nutzer mitbekomme, dass der Datenverkehr abgehört werde, sagt Schrader. "Unser System verändert den Traffic nicht und tangiert auch nicht den Versand von Daten aus dem Netzwerk und in das Netzwerk hinein."

Ross Anderson, Computersicherheitsexperte an der University of Cambridge in Großbritannien, meint, dass die Idee an sich nicht neu sei. "Cisco verkauft schon seit Jahren auf dieser Idee basierende Kits an die chinesische Regierung, die damit ihre "Große Firewall" betreibt", sagt er. Außerdem biete die australische Firma Brilliant Digital Entertainment ein Werkzeug namens "CopyRouter" an, das ebenfalls eine Hash-Analyse zum Entdecken illegaler Dateien in P2P-Netzen durchführe.

Schulze betont, dass ein solcher Ansatz stark von einer aktuell gehaltenen Liste verbotener Inhalte abhänge. "Das System muss ständig mit einer Liste von Hash-Werten auf dem neuesten Stand gehalten werden. Jemand muss die dazugehörigen Urheberrechtsverletzungen oder anderen kriminellen Aktivitäten beobachten und qualifizieren."

Aus rechtlicher Sicht sei zudem der fehlende Schutz der Privatsphäre ein Problem. "Weder in den USA noch in Europa wäre es erlaubt, ein Gerät zu installieren, das den Datenverkehr jedes Nutzers durchleuchtet, nur um Piraterie zu stoppen." Mit diesem Ansatz würden alle User zu Verdächtigen.

Doch selbst wenn die rechtliche Seite geregelt wäre, hätte die Technik wohl noch das ein oder andere Problem. Tests des AFIT-Systems, die im Jahrbuch "Advances in Digital Forensics V" veröffentlicht werden sollen, zeigen, dass eine 99prozentige Erfolgsrate nur dann erzielbar war, wenn die Geschwindigkeit bei rund 100 Megabit pro Sekunde lag.

Das wäre für kommerzielle Zwecke und die Strafverfolgungsbehörden laut Anderson zu langsam. Schulze sieht das ähnlich: "Heute braucht man ein Gigabit pro Sekunde oder gar 10 Gigabit, um ein Netzwerk zu überwachen." Es sei außerdem unklar, ob das System Fehltreffer generiere, also legales Material als illegal markiere.

Ein anderer Nachteil sei, dass das System nicht mit verschlüsselten Dateien umgehen kann. "Heute sind rund 25 Prozent des BitTorrent-Traffics verschlüsselt", sagt Schulze. Würde ein Werkzeug wie das der AFIT-Forscher breit eingesetzt, würden wohl noch deutlich mehr Nutzer ihren Datenverkehr verstecken. (bsc)