Darknet: Ermittler nutzten Timing-Analyse zur Deanonymisierung von Tor-Nutzern
Die Ermittlungsakte zum Boystown-Prozess enthält Hinweise auf eine Timing-Analyse, mit der Tor-Nutzer deanonymisiert werden können. Abhilfe ist nicht in Sicht.
Bei der Deanonymisierung des Betreibers der Darknet-Pädo-Plattform Boystown soll den Ermittlungsakten zufolge die Analyse des Datenverkehrs eine maßgebliche Rolle gespielt haben. Dies berichtet das Politikmagazin Panorama. Dabei nutzten die Ermittler nicht etwa eine Sicherheitslücke im Anonymisierungsdienst Tor aus, sondern zeitliche Zusammenhänge, um den Weg der Daten durch das Tor-Netz zum Empfänger verfolgen zu können.
Um Nutzer des Tor-Browsers zu anonymisieren, wird die Verbindung mindestens dreifach verschlĂĽsselt und ĂĽber drei verschiedene Server kreuz und quer durchs Internet geleitet, bevor sie am Ziel angelangt. Am Anfang steht der sogenannte Entry Node, auch Entry Guard genannt, mit dem sich der Tor-Browser Ende-zu-Ende verschlĂĽsselt verbindet. Nur dieser Knoten kennt die wahre IP-Adresse des Nutzers.
Vom Entry Node aus baut der Tor-Browser eine Ende-zu-Ende verschlĂĽsselte Verbindung zu einem weiteren Tor-Knoten auf, dem sogenannten Middle Node. Der Middle Node kennt nur die IP-Adresse des Entry Node, weiĂź also nicht, welcher Nutzer sich dahinter verbirgt. Der Entry Node wiederum weiĂź nicht, was Tor-Nutzer und Middle Node miteinander besprechen, denn er sieht nur die verschlĂĽsselte Kommunikation zwischen Tor-Nutzer und Middle Node.
Ăśber den Middle Node kontaktiert der Tor-Browser noch mindestens einen weiteren Knoten, den Exit Node. Die Daten kann der Middle Node jedoch nicht mitlesen, denn die Verbindung zwischen Tor-Nutzer und Exit Node ist ebenfalls Ende-zu-Ende verschlĂĽsselt. Der Exit Node wiederum weiĂź nicht, wo sich der Nutzer befindet, denn er kennt nur die IP-Adresse des Middle Node. Erst der Exit Node baut die (hoffentlich per HTTPS verschlĂĽsselte) Verbindung zur Ziel-Website auf. Handelt es sich bei dem Ziel um einen sogenannten Hidden Service aus dem Darknet, werden die Daten ĂĽber noch drei weitere Tor-Knoten geleitet und jedes Mal wieder verschlĂĽsselt.
Durch die mindestens dreifache Kaskadierung erreicht man, dass zwar der Entry Node den Nutzer kennt, aber keine Ahnung hat, wofĂĽr er das Tor-Netz benutzt. Der Middle Node ist quasi am ahnungslosesten, er kennt weder den Urheber der Datenpakete noch das Ziel noch den Zweck, er ist lediglich Mittelsmann zwischen Entry und Exit Node. Der Exit-Node hingegen weiĂź, wohin die Daten flieĂźen, hat aber keine Ahnung, wer der Urheber ist.
Hinzu kommt, dass der Tor-Browser spätestens nach zehn Minuten den Middle- und Exit-Node auswechselt, damit Verbindungen nicht über längere Zeit nachverfolgt werden können. Das macht es für Ermittler so schwer, die Identität der Tor-Nutzer herauszufinden.
Datenfluss im Blick
Bei der sogenannten Korrelationsanalyse, auch Timing-Analyse genannt, nutzen die Behörden aus, dass es sich bei Tor um ein Low Latency Network handelt: Daten werden möglichst in Echtzeit hindurchgeleitet. Die Verzögerung ist in der Regel so gering, dass man selbst Live-Streams und Live-Chats über Tor laufen lassen kann. Beginnt ein Tor-Nutzer zum Beispiel mit dem Download einer großen Datei, so könnte ein Ermittler, der den Datenverkehr des Exit Node beobachtet, einen entsprechenden Anstieg des Paketaufkommens feststellen. Aufgrund der niedrigen Latenz steigt gleichzeitig der ausgehende Traffic zu einem bestimmten Server – der Middle Node wäre entlarvt, ohne dass die Behörden Zugriff auf den Exit Node erhalten oder die Daten entschlüsselt hätten.
Auch beim Middle Node ließe sich im gleichen zeitlichen Zusammenhang ein Anstieg des eingehenden und ausgehenden Traffics beobachten und so der Entry Node bestimmen. Und in der nächsten Stufe der Nutzer selbst deanonymisieren, wenn man es hinbekommt, den Entry Node zu beobachten. Bei rund 8000 Tor-Knoten weltweit erscheint es kaum umsetzbar, eine relevante Anzahl auf solche zeitlichen Zusammenhänge hin zu überwachen.
Gegenüber Live-Chats und Instant Messengers hingegen ist Tor mit seinen niedrigen Latenzen besonders verwundbar: So wird eine Nachicht augenblicklich vom Absender über die Tor-Knoten zum Empfänger übertragen. Genau das sollen Panorama zufolge die Behörden im Boystown-Fall ausgenutzt haben, indem sie mit dem mutmaßlichen Betreiber über die Chat-Software Ricochet kommunizierten, die die Daten verschlüsselt und anonym über das Tor-Netz überträgt.
Da die Ermittler als Urheber genau wussten, wann sie eine neue Nachricht versenden, genügte es, einige Hundert Tor-Knoten auf gleichzeitig eingehende Datenpakete ähnlicher Größe zu überwachen – mutmaßlich indem die Behörden eine entsprechende Anzahl schneller, gut angebundener Server anmieteten und sie als Tor-Knoten ins Netz stellten. Da der Tor-Browser die Exit und Middle Nodes alle paar Minuten wechselt und Knoten mit niedriger Latenz und hoher Bandbreite bevorzugt, war es nur eine Frage der Zeit, bis ihr Ricochet-Gesprächspartner den Tor-Knoten der Ermittler als Middle Node benutzte. So konnten Sie den Entry Node bestimmen.
Um an die IP-Adresse des Verdächtigen zu gelangen, hätten sie ihn auf einen Entry Node der Ermittler umleiten oder den von ihm genutzten Knoten überwachen oder übernehmen müssen. Aufgrund früherer Angriffe, bei denen Tor-Nutzer die Entry Nodes innerhalb kurzer Zeit auf die von Angreifern kontrollierten Knoten wechselten und dann enttarnt wurden, nutzt der Tor-Browser heute für mehrere Tage bis hin zu mehreren Wochen den gleichen Entry Node – weshalb dieser inzwischen als Entry Guard bezeichnet wird. Bis die im Boystown-Fall verdächtige Person auf einen von den Behörden kontrollierten Entry Guard wechselt, könnte Monate dauern.
IP-Adressen ĂĽberwacht
Unklar ist noch woher, aber die Ermittler wussten offenbar, dass der Verdächtige O2 als Internetprovider verwendet. Deshalb wählten sie einen anderen Ansatz: Aufgrund der Korrelationsanalyse des Middle Nodes hatten sie bereits die IP-Adresse des Entry Guards herausgefunden – und durften darauf hoffen, dass der Verdächtige ihn in den nächsten Tagen und Wochen weiterhin benutzt. Sie mussten also nur noch das nächste Mal, wenn der Verdächtige in Ricochet online ist, Telefonica um die Adressen all jener O2-Kunden bitten, die gerade eine Verbindung zu genau diesem Entry Guard hatten. Das Ergebnis dürfte eine ziemlich kurze Liste gewesen sein.
Damit ist längst nicht der Beweis erbracht, dass es sich bei einer der Personen um den Boystown-Betreiber handelt. Die Eingrenzung auf wenige Personen erlaubt es den Behörden aber, ihre Ermittlungen zu konzentrieren. Der Kontakt zum Entry Guard oder die zeitlichen Zusammenhänge von Datenpaketen sind allenfalls ein kleines Indiz. Den Täter zu überführen, bleibt klassische Polizeiarbeit – die Korrelationsanalyse hat lediglich dabei geholfen, aus den Tausenden Tor-Nutzern weltweit ein paar wenige Verdächtige herauszusieben.
Das Verfahren der Korrelationsanalyse ist schon lange bekannt, es soll bereits 2017 bei der Beschlagnahme des Darknet-Forums Deutschland im Deep Web (DiDW) eine Rolle gespielt haben. Damals gab es täglich verräterische Verbindungsausfälle des Hidden Service, die sich als DSL-Zwangstrennungen des Internetzugangs des Betreibers entpuppten. Auch berichtete c't in Ausgabe 22/2017 ausführlich über die Methode und welch entscheidende Rolle der Middle Node bei Korrelationsangriffen spielt.
Schnelle Abhilfe schwierig
Das Tor-Netz robuster gegenüber solchen Korrelationsangriffen zu machen, wird schwierig. Gäbe es ein Vielfaches der aktuell 8000 Tor-Knoten, bräuchten Angreifer wie Ermittler weitaus mehr Server, um mit ausreichender Wahrscheinlichkeit vom Verdächtigen ausgewählt zu werden. Der größte Knackpunkt bei Timing-Analysen ist jedoch die geringe Latenz, die das Tor-Netz für Nutzer attraktiv macht. So könnten Knoten Datenpakete sammeln, komprimieren oder mit zusätzlichen, zufälligen Daten maskieren, damit nicht jedes eingehende Datenpaket sofort als nahezu gleich großes ausgehendes Paket zu erkennen ist.
Tor-User sollten darauf achten, möglichst wenige Echtzeitanwendungen zu nutzen, denn diese sind für Korrelationsanalysen besonders anfällig. Einen generellen Schutz gibt es nicht, denn auch ein kompromittierter Hidden Service könnte Bilder und andere Daten in Pakete mit ganz bestimmten Größen aufteilen oder sie in bestimmten Zeitabständen versenden und so ein charakteristisches Signal erzeugen, das Ermittler leicht durch das Darknet verfolgen können.
Langfristig muss sich das Tor-Projekt eine Lösung überlegen. Denn nicht immer sind staatliche Ermittler darauf aus, Pädokriminelle zu finden. In manchen Ländern sind es Oppositionspolitiker, Dissidenten oder einfach nur Andersdenkende, die im Darknet gejagt werden und eine unzureichende Anonymisierung schlimmstenfalls mit ihrem Leben bezahlen.
(mid)