Seite 3: Webseiten-Fingerprinting

Inhaltsverzeichnis

Beim End-to-End-Confirmation-Angriff matcht man ein- und austretende Tor-Datenströme. Für diese Korrelation braucht es einen Geheimdienst mit sehr großen Ressourcen. Für einen anderen Angriff namens "Website Fingerprinting" reicht ein lokaler Angreifer, der nur die Verbindung zwischen User und erstem Tor-Knoten sieht. Das kann beispielsweise der Internetanbieter sein oder eine Sicherheitsbehörde, die auf dessen Daten Zugriff hat.

Beim Webseiten-Fingerprinting matcht man einen eintretenden Datenstrom mit einem Eintrag in einer Datenbank. Der Angreifer ruft im Vorfeld auf Vorrat mit dem Tor-Browser Tausende Webseiten, die er gern beobachten würde, auf. Er berechnet deren technische Fingerabdrücke bei der Übertragung der Daten und speichert sie in einer Datenbank. Sollen dann Datenströme "echter" Nutzer:innen interpretiert werden, genügt ein Vergleich mit der Datenbank. Ist das Muster des Datenstroms in der Datenbank enthalten, ist klar: Diese Webseite wird gerade mit dem Tor-Browser aufgerufen.

Studien zur Effektivität von Webseiten-Fingerprinting kommen zum Schluss, dass bis zu 90 Prozent der Webseiten und deren einzelne Unterseiten eindeutig erkannt werden können. Allerdings betrachten die stets nur eine "kleine Welt" aus wenigen untersuchten Webseiten. Im tatsächlichen Internet hingegen greifen Milliarden an Usern auf Millionen von Webseiten mit Milliarden von Unterseiten zu.

Ein Luftschloss ist Webseiten-Fingerprinting dennoch nicht. Ein Großteil der Internetnutzung konzentriert sich auf eine kleine Zahl sehr populärer Webseiten. Angreifer können schon zu guten Ergebnissen kommen, wenn sie einige Hunderte besonders populäre Webseiten und deren Unterseiten analysieren. Beim Darknet funktioniert Webseiten-Fingerprinting sogar noch besser als im "großen" World Wide Web. Das Darknet ist tatsächlich eine kleine Welt, und das politisch interessante Darknet ist noch viel kleiner.

Geschmälert werden kann der Erfolg von Website Finterprinting außerdem dadurch, dass Webseiten oft dynamisch sind. Die Inhalte unterscheiden sich leicht, je nachdem, von wo man aus darauf zugreift. Außerdem werden unterschiedliche Werbeanzeigen eingeblendet. Umso dynamischer eine Webseite ist, umso schwieriger lässt sie sich einem zuvor erstellten Fingerabdruck zuordnen. Auch an dem Punkt ist das Darknet anfälliger. Darknet-Webseiten sind oft technisch anspruchslos. Man versucht, möglichst wenig überflüssige Software einzubauen, um die Angriffsflächen für Überwachung oder polizeiliche Ermittlungen zu reduzieren. Da sie öfter als Webseiten im Clearnet statisch sind, lassen sie sich besser durch Webseiten-Fingerprinting erkennen.

Mögliche Angriffspunkte für Tor-Attacken

Egal, ob globaler Angriff mittels End-to-End-Confirmation oder lokaler Angriff über Website-Fingerprinting: In jedem Fall braucht es Daten von den Rändern oder aus dem Inneren des Tor-Netzwerks, damit eine De-Anonymisierung oder ein Erkennen von Webseiten gelingen kann. An verschiedenen Stellen können interessante Daten abgegriffen werden:

• Tor-Knoten

Es gibt etwa 6.200 Tor-Knoten (und neben diesen normalen Tor-Knoten noch etwa 1.300 versteckte Bridge-Knoten zur Aushebelung von Tor-Blockaden), die sehr ungleich verteilt sind. Zwei Drittel des Tor-Datenverkehrs laufen über vier Länder, allen voran Deutschland mit einem Anteil von 31 Prozent, dann folgen die USA (15 Prozent), die Niederlande (11 Prozent) und Frankreich mit 9 Prozent (siehe "Consensus Weight" unter metrics.torproject.org, Stand 19.11.2021).

Als offenes Netzwerk ist Tor anfällig für Unterwanderung. Wer hinter den großen Knoten-Familien steht, ist oft bekannt. Vor allem gilt das für Exit-Knoten, die letzte Stufe in der Verschleierungsroute, die die Verbindung zwischen Tor-Netzwerk und "normalen" Internet herstellt. Die werden oft von Organisation aus dem deutschsprachigen Raum betrieben: allgemeine Digitalorganisationen wie Digitalcourage oder spezialisierte Tor-Vereine wie F3Netze, Artikel10, Zwiebelfreunde oder die Wiener Foundation for Applied Privacy.

Hinter einigen großen Knoten stehen auch Einzelpersonen, etwa ein aus dem Umfeld von Berlin stammender IT-Aktivist, der in der Tor-Community unter seinem Pseudonym niftybunny bekannt ist. Stand 19.11.2021 stammen die drei größten Exit-Knotenbetreiber aus Deutschland. Auf Platz Eins steht der Verein F3Netze, mit Sitz im unterfränkischen Haßfurt. Über dessen Knoten laufen 8,1 Prozent des Exit-Datenverkehrs. Auf Platz Zwei stehen die Verschleierungsstationen des Hamburger Vereins Artikel10 (7 Prozent) und auf Platz Drei die Knotenfamilie For-Privacy.net von niftybunny (6,1 Prozent). (OrNetStats)

Knoten können allerdings auch anonym betrieben werden, auch von Geheimdiensten und Polizeibehörden. Bösartige Knoten könne es geben, meint Moritz Bartl vom Verein Zwiebelfreunde. Es gebe bei Tor allerdings eine Art soziale Kontrolle, zumindest die großen Betreiber:innen kennen sich: "Es gibt keine Anzeichen dafür, dass Geheimdienste und Staaten massenhaft Tor-Knoten betreiben. Ich kenne die meisten Leute, die hinter den leistungsstarken und schnelleren Tor-Servern stehen, und das sind die wirklich relevanten Knoten."

Im Jahr 2020 hat sich allerdings gezeigt, wie leicht das Netzwerk dann doch unterwandert werden kann. Eine Hackergruppe hatte im großen Maßstab Exit-Knoten betrieben, die die Verbindung zwischen letzten Tor-Knoten und einer Webseite herstellen. In Spitzenzeiten lag die Wahrscheinlichkeit bei bis zu 24 Prozent, beim Tor-Browsen an einen solchen Knoten zu geraten. Als die Unterwanderung auffiel, wurden die betrügerischen Knoten aus dem Tor-Netzwerk geworfen, die Cyberkriminellen fügten aber immer wieder neue hinzu. Das Tor-Community-Mitglied nusenu, das die Attacke öffentlich gemacht hatte, hält es für wahrscheinlich, dass solche Angriffe weitergehen.

Hinter dem Angriff steckten klassische Cyberkriminelle: Sie versuchten mithilfe der Knoten, Bitcoin-Überweisungen via Tor auf eigene Konten umzuleiten. Die Knoten flogen auf, weil sie für einen ungewöhnlich hohen Zuwachs an Bandbreite sorgten und Datenverkehr manipulierten. Schwieriger wird die Enttarnung, wenn Knoten auf den ersten Blick verlässlich ihren Job machen, unbemerkt aber spionieren und Datenverkehr mitschneiden. Nusenu schätzt, dass hinter 60 Prozent der Exit-Knoten bekannte Gruppen oder Persönlichkeiten der Tor-Community stehen. Das bedeutet: Bei 40 Prozent weiß man nicht, wer sie mit welchen Motiven betreibt.

Knoten und Knotenfamilien sehen stets nur einen Bruchteil des Tor-Netzwerks. Für Sicherheitsbehörden können sie dennoch von Nutzen sein: Sie können blinde Flecken im sonstigen Tor-Überwachungsprogramm einer Sicherheitsbehörde ergänzen und sie können bei zielgerichteten Angriffen helfen. Mithilfe spezieller Attacken auf Tor-Einstiegsknoten ist es möglich, die Auswahl eines gänzlich neuen Tor-Pfads bei Usern zu erzwingen – in der Hoffnung, dass die nächste Verschleierungsroute einen Knoten beinhaltet, der von der Sicherheitsbehörde kontrolliert wird.

Bild 1 von 4

Tor Knoten (4 Bilder)

Zahl der Tor-Knoten

• Internetanbieter

Stets Einblick in die erste Tor-Strecke haben Internetanbieter. In Deutschland sind es vor allem die Deutsche Telekom, die britische Vodafone und die spanische Telefónica, die Internet in die Wohnungen und auf die Handys der Menschen bringen. Da diese Unternehmen die Interverbindung herstellen, kennen sie bei einer Nutzung von Tor den ersten Tor-Knoten, der angesteuert wird, sowie den Datenstrom zwischen User und erstem Tor-Knoten.

• Aufgerufene Webseiten

Die aufgerufenen Webseiten hingegen kennen die letzte Tor-Strecke. Mehr als 100 Millionen Webadressen sind weltweit registriert. Die Nutzung konzentriert sich aber überproportional auf wenige große Webseiten. Zum einen sind das die länderspezifischen großen kommerziellen Nachrichtenseiten, zum anderen die großen US-Anbieter. Auch in Deutschland gehören viele der meistgenutzten Seiten zu US-Firmen, etwa die Suchmaschine Google, das Videoportal Youtube, der Onlineshop Amazon, das Streamingportal Netflix, der Dateispeicher Dropbox und die sozialen Netzwerke Facebook und Instagram.

• Autonome Systeme

Das Internet setzt sich aus etwa 100.000 miteinander kommunizierenden Einzelnetzen zusammen, den sogenannten Autonomen Systemen. Während die großen Exit-Knoten oft eigene Einzelnetze nutzen, laufen viele Einstiegsknoten über die Autonomen Systeme kommerzieller IT-Provider – besonders oft über die Systeme von drei Anbietern. Etwa 18 Prozent des Einstiegs-Datenverkehrs laufen auf den deutschen IT-Provider Hetzner (bei dem sich 363 Tor-Knoten eingemietet haben), 13 Prozent entfallen auf das französische Unternehmen OVH sowie 7 Prozent auf die französische Online SAS/Scaleway (siehe "Guard"-Wahrscheinlichkeit auf OrNetStats, Stand, 19.11.2021).

Die Autonomen Systeme sehen die gleichen Verbindungsdaten wie die Tor-Knoten, die sich bei ihnen eingemietet haben: die vorhergehende und die nächste Verschleierungsstation sowie das Muster des jeweiligen Datenstroms.

• Internet-Austauschknoten

Im Internet gibt es außerdem so etwas wie Datenkreuzungen. An diesen Internet-Austauschknoten treffen sich Internetanbieter wie die Telekom und Inhalteanbieter wie heise online und übergeben sich ihre Daten. Auch der Datenverkehr zwischen Tor-Usern, Tor-Knoten und Webseiten oder Darknet-Seiten nimmt oft den Weg über solche Austauschknoten. Von diesen Datenkreuzungen gibt es weltweit nur etwa 500. Der Frankfurter DE-CIX betreibt den größten Einzel-Austauschknoten weltweit und ist der zweitgrößte Betreiber von Internet-Austauschknoten. Da die Knoten viele Daten sehen, sind sie eine beliebte Datenquelle für Geheimdienste. Der deutsche Bundesnachrichtendienst etwa greift Daten vom DE-CIX ab.