FBI soll hinter Angriff auf Tor-Netzwerk stecken

Das FBI hat laut Informationen des Tor-Projektleiters einer Pittsburgher Uni möglicherweise eine Million Dollar gezahlt, um einen mehrmonatigen Deanonymisierungs-Angriff auf das Netzwerk zu fahren.

In Pocket speichern vorlesen Druckansicht 112 Kommentare lesen
Tor
Lesezeit: 4 Min.
Von
  • Ronald Eikenberg
Inhaltsverzeichnis

Das FBI hat einer Pittsburgher Uni möglicherweise eine Million US-Dollar gezahlt, um einen groß angelegten Deanonymisierungs-Angriff auf das Tor-Netzwerk zu fahren. Dies will der Leiter des Tor-Projekts Roger Dingledine von "Freunden aus der Security-Community" erfahren haben, wie er gegenüber dem Online-Magazin Motherboard erklärte. Der Angriff auf die Tor-Anonymisierung begann im Januar 2014 und dauerte fünf Monate an. Während dieser Zeit war es möglich, die eigentlich verschleierten IP-Adressen sogenannter Hidden Services und deren Nutzern herauszufinden.

Darüber, dass hinter der mehrmonatigen Attacke die Pittsburgher Carnegie Mellon University (CMU) steckt, wurde bereits kurz nach Bekanntwerden des Vorfalls spekuliert. Forscher des CERT der Uni hatten im Februar 2014 einen Talk für die Hackerkonferenz Black Hat eingereicht, in dem es um einen neuen Angriff zur Deanonymisierung von Tor-Nutzern gehen sollte. Im Juni wurde der Talk von den Black-Hat-Veranstaltern akzeptiert, worauf er auf der Konferenzwebsite mit einem Abriss vorgestellt wurde. Alexander Volynkin und Michael McCord von der CMU wollten vorstellen, wie mit Hardware für 3000 US-Dollar die IP-Adressen von Tor-Nutzern und Hidden Services aufgedeckt werden können. Im Juli flog schließlich der Angriff auf, nachdem das Tor-Team einige Hinweise von den Forschern bekommen hatte. Zwei Wochen später sagte die Uni den Black-Hat-Talk schließlich ab.

Gerichtsdokumente, die Motherboard auszugsweise vorgelegte, nähren den Verdacht, dass die Uni den Angriff nicht nur zu Forschungszwecken durchgeführt hat, sondern im Auftrag des FBI handelte. In einem Durchsuchungsbeschluss gegen ein Mitglied des ehemals über Tor zugänglichen Drogenmarktes Silk Road 2.0 gibt das FBI an, dass eine Informationsquelle im Zeitraum von Januar bis Juli 2014 zuverlässige IP-Adressen von Tor-Nutzern und Hidden Services wie Silk Road 2.0 geliefert hat. Diese Informationen sollen zur Identifikation von mindestens 17 weiteren illegalen Handelsplattformen im Tor-Netz geführt haben. Zudem wurden 78 IP-Adressen identifiziert, die auf einen Hidden Service zugriffen haben, welcher nur für Verkäufer zugänglich war.

Nicht nur der Zeitraum passt zu dem mehrmonatigen Angriff im Jahr 2014, auch die Angabe des FBI, dass die Informationen von einem Forschungsinstitut einer Universität stammen. Motherboard liegen Informationen über ein weiteres Verfahren vor, in dem ein Angeklagter möglicherweise durch die Daten aus dem Angriff identifiziert werden konnte. Der Angeklagte wird beschuldigt, kinderpornografisches Material auf mehreren Tor-Sites verbreitet zu haben. Seine IP-Adresse konnte das FBI offenbar im Juni 2014 herausfinden, was darauf hindeutet, dass die Daten ebenfalls aus der fragwürdigen Spähaktion stammen.

Nach Veröffentlichung der Gerichtsdokumente legte Tor-Projektleiter Roger Dingledine die Information nach, dass die Uni für den Angriff vom FBI anscheinend eine Zahlung in Höhe von mindestens einer Million US-Dollar kassiert hat. Er beruft sich gegenüber Motherboard auf eine Quelle in der Security-Community.

Die Angreifer haben eine große Zahl an Tor-Knoten in das Netzwerk eingebracht. Da diese zuverlässig und gut angebunden waren, erhielten sie schnell den Status "geeignet als Entry Guard" (Guard) und "geeignet als Hidden Service Directory" (HSDir). Damit hatten die Angreifer zwei kritische Positionen des Tor-Netzes besetzt; sie stellten zumindest zeitweise etwa 6,4 Prozent der Knoten. Aufgrund der Tor-internen Rotation ergab sich daraus eine beträchtliche Wahrscheinlichkeit, dass Tor-Nutzer irgendwann mit diesen Trojaner-Knoten in Verbindung kamen. Ob der Nutzer illegale Tor-Services nutzt, spielt dabei erst mal keine Rolle. Ob und wie sichergestellt wurde, dass die Anonymität legitimer Nutzer gewahrt wurde, ist aktuell nicht bekannt. Die CMU hat die neuen Vorwürfe bislang nicht kommentiert. (rei)