Cohones
Blackbeards Ghost
Hidden Services
Das Tor-Netzwerk: Dort tummeln sich Whistleblower, Aktivisten, politisch Verfolgte, aber auch Drogenhändler oder Pädophile. Alle wollen dort aus unterschiedlichen Motiven ihre Anonymität bewahren. Es gibt aber Zweifel an der Effektivität der Anonymisierung.
Zuletzt machte ein Vortrag des IT-Spezialisten Gareth Owen Schlagzeilen: 80 Prozent des Datenverkehrs im Tor-Netzwerk führe zu Webseiten mit pädophilen Inhalten, sagte er in einem Vortrag auf dem Hackerkongress 31C3 in Hamburg. Solche Meldungen bringen nicht nur das Anonymisierungsnetzwerk in Verruf, sondern auch dessen Macher in Erklärungsnot. Wie kam Owen auf diese Zahlen? Das Tor-Netzwerk ist doch eigentlich anonym.
Die NSA bezeichnet in einem internen Papier Tor als "den König der Anonymisierungsnetzwerke." Es sei nicht nur äußerst sicher, sondern habe auch eine besonders niedrige Latenz. Der britische Nachrichtendienst Government Communications Headquarters (GCHQ) titelte ein internes Dokument sogar "Tor stinks" und gibt zu, dass es unmöglich sei, alle Tor-Nutzer zu identifizieren. Mit manueller Analyse sei es aber möglich, einige Benutzer zu identifizieren.
Sind die Behauptungen, das Anonymisierungsnetzwerk sei kaum zu knacken, also richtig? Nicht so ganz.
Doch nicht so anonym wie gedacht
Denn inzwischen haben mehrere Studien belegt, dass Nutzer im Tor-Netzwerk sehr wohl identifiziert werden können. Aber das Tor-Team behauptet auch gar nichts anderes. Es warnt immer wieder davor, sich nur auf Tor zu verlassen. Tor sei lediglich eines von vielen Werkzeugen, die erst in der Kombination effektiv vor der Enttarnung schützen könnten. Außerdem könnten Fehlkonfigurationen oder andere Unvorsichtigkeiten dazu führen, dass Dritte die anonymen Surfer identifizieren könnten.
Bei der Operation Onymous im Herbst 2014 gelang es der USA-Bundespolizei und anderen Strafverfolgungsbehörden nach eigenen Angaben, die Betreiber von Silk Road 2 und weiteren illegalen Onlinehändlern im Tor-Netzwerk zu identifizieren. Wie, wollte das FBI zunächst nicht verraten. Erst als behauptet wurde, dass das FBI die Daten ungesetzlich von der NSA erhalten habe, dementierte die Bundespolizei und erklärte, sie habe die Daten von einem fehlkonfigurierten Login des Rechners ermittelt.
Es waren also Benutzerfehler, über die die US-Bundespolizei die IP-Adresse des mutmaßlichen Betreibers entdeckte. Es gibt allerdings theoretische Möglichkeiten, zumindest herauszufinden, von welchem Rechner aus Daten versendet werden, wenn ein Angreifer Kontrolle über einen oder mehr Rechner im Tor-Netzwerk hat.
Hüpfen von Server zu Server
Um die Anonymität der Nutzer zu wahren, nutzt Tor kombinierte Techniken. Die Datenpakete etwa werden samt IP-Adresse des Absenders und des eigentlichen Empfängers wie in einer Zwiebel in verschiedenen Schichten verschlüsselt. Das wird Onion Routing genannt, daher der frühere Name The Onion Router - abgekürzt Tor.
Dabei werden die Datenpakete beispielsweise im Tor-fähigen Browser auf dem Rechner des Benutzers dreifach verschlüsselt. Tor nutzt dafür Perfect Forward Secrecy, bei dem der Diffie-Hellman-Schlüsselaustausch zum Einsatz kommt. Die verwendeten Schlüssel existieren nur für den Zeitraum der Kommunikationsverbindung.
Die Verschlüsselung ist allerdings nicht der einzige Schutz, den Tor zu bieten hat.
Versteckspiel im Netzwerk
Denn die Daten werden nicht nur verschlüsselt, sondern außerdem in immer gleich große Pakete oder Zellen von 512 Bytes aufgeteilt, um Rückschlüsse auf den Inhalt zu verhindern. So können Angreifer nicht unterscheiden, ob es sich um einfache Serveranfragen oder etwa um übertragene Multimediadaten handelt. Allerdings gelang es einem Forscherteam im Sommer 2014 aufgrund eines inzwischen reparierten Fehlers in der Tor-Software, eigene Pakete in den Datenverkehr einzuschleusen, die dann an beiden Enden der Verbindung registriert werden konnten.
Um den Ursprung der Daten zu verschleiern, werden sie durch mehrere Rechner geschleust. Sie gehen zunächst an einen sogenannten Eintrittsknoten (Entry Node). Dazu baut ein Client-Rechner über ein Socks-Proxy eine Verbindung mit dem Eintrittsknoten auf. Der erstellt eine weitere Verbindung mit einer willkürlich ausgewählten Zwischenstation (Relay), die wiederum eine Verbindung mit einem sogenannten Exit Node oder Austrittsknoten herstellt. Von dort wird dann die Verbindung mit dem eigentlichen Ziel hergestellt, etwa dem Webserver jener Adresse, die der Benutzer in seinen Tor-Browser eingegeben hat. Der Webserver kennt nur die IP-Adresse des Ausgangsknotens und nicht die des ursprünglichen Absenders.
Daten werden geschält wie eine Zwiebel
Eintrittsknoten, Zwischenstation und Austrittsserver werden alle auch Relays genannt. Sie werden willkürlich ausgewählt und bei mehrfach aufgebauten TCP-Verbindungen etwa alle zehn Minuten ausgewechselt. Bei einer länger bestehenden TCP-Verbindung, etwa bei einer Unterhaltung per IRC, bleibt die Verbindung jedoch bestehen. So soll verhindert werden, dass ein Angreifer nicht nur eine, sondern mehrere Möglichkeiten hat, eine Verbindung zu entdecken.
Mit jeder Weitereichung wird eine Verschlüsselungsschicht entfernt. So kennt die Zwischenstation zwar den Eingangsknoten, aber nicht den ursprünglichen Versender der Daten. Die Zwischenstation weiß auch, an welchen Ausgangsknoten die Daten verschickt werden sollen, kennt aber nicht das eigentliche Ziel außerhalb des Tor-Netzwerks. Das kennt nur der Ausgangsknoten, der die Daten von der letzten Verschlüsselungsschicht befreit und die Daten mit seiner eigenen IP-Adresse an den Zielrechner weiterleitet.
Umgekehrt werden die Daten vom Empfänger wieder verschlüsselt über das Tor-Netzwerk an den Sender übermittelt. Der ursprüngliche Eintrittsknoten wiederum entfernt die letzte Verschlüsselungsschicht und leitet die Daten an den Client weiter.
Je mehr Rechner, desto besser
Standardmäßig sind es immer drei Relays. Zum einen soll damit eine einigermaßen leistungsfähige Verbindung gewährleistet werden, denn die Weitereichung und die Entschlüsselung kosten Zeit. Zum anderen gewährleisten zusätzliche Relays im Tor-Netzwerk nicht mehr Anonymität. Das mag paradox klingen, hat aber einen einfachen Grund: Je mehr Rechner in eine einzelne Verbindung miteinbezogen werden, desto größer ist die Wahrscheinlichkeit, dass einer oder sogar mehrere davon einem Angreifer gehören.
Dennoch ist das Tor-Netzwerk darauf angewiesen, auf möglichst viele Rechner zugreifen zu können. Das verringert im ganzen Netzwerk die Wahrscheinlichkeit, dass ein gekapertes Relay in die Verbindungskette gelangt.
So funktioniert das TOR-Netzwerk
Tor-Surfer werden durch Korrelation enttarnt
Vor allem über die Korrelation zwischen eingehenden und ausgehenden Daten lässt sich zumindest festzustellen, welche Rechner eine Zielperson kontaktiert. Dabei muss ein Angreifer die Kontrolle über einen Eingangsknoten und Ausgangskonten haben. Über den Ausgangsknoten kann er feststellen, wohin die Daten gehen. Vergleicht er die zeitliche Abfolge und Anzahl der versendeten Daten zwischen Ausgangsknoten und Zielrechner und den Daten, die beim Eingangsknoten eingehen, kann er daraus schließen, von welchem Client aus sie verschickt worden sind.
Je länger eine Verbindung steht und je öfter ein Nutzer die gleichen Ziele ansteuert, desto größer die Wahrscheinlichkeit, dass diese Korrelation zur Deanonymisierung führt. Untersuchungen gehen davon aus, dass es durchschnittlich mehr als ein halbes Jahr dauern würde, um eine einzige Person zu enttarnen.
Die Eingangswächter
Es gab bereits Versuche, so viele Relays wie möglich einzusetzen, um solche Korrelationen schnellstmöglich zu entlarven. Sie wurde aber bald von den Betreibern des Tor-Netzwerks entdeckt. Obwohl auch GCHQ und NSA diese Möglichkeiten bereits in Erwägung gezogen haben, gibt es keine Hinweise darauf, dass sie tatsächlich großflächig eingesetzt werden. Die Chancen für eine Deanonymisierung dieser Art steigen allerdings, wenn sowohl der Eingangsknoten als auch der Ausgangsknoten im Netz des gleichen Internet Service Providers sind. Um diese Wahrscheinlichkeit dennoch weiterhin möglichst gering zu halten, nutzt Tor sogenannte Entry Guards.
Aus einer Liste aller verfügbaren Server wird nur eine kleine Anzahl an Eingangsknoten gewählt, die der Nutzer über einen Zeitraum von mehreren Wochen nutzt. Wenn die standardmäßig drei ausgewählten Eingangsknoten nicht von einem Angreifer kontrolliert werden, ist der Nutzer ohnehin sicher. Sollte jedoch ein Relay überwacht werden, kann ein Angreifer zwar einen Teil der versendeten Daten sehen, die Wahrscheinlichkeit, alle Daten zu überwachen, ist jedoch deutlich geringer als die bei willkürlich ausgewählten Eingangsknoten.
Der Ausgang aus dem Tor-Netzwerk
Der letzte Punkt im Tor-Netzwerk ist der Exit Node oder Ausgangsknoten. Dort wird die letzte Verschlüsselungsschicht entfernt und die Daten werden an den Zielrechner außerhalb des Anonymisierungsnetzwerks unverschlüsselt weitergegeben. Für den Server, der die Daten empfangen soll, stammen diese augenscheinlich zwar vom Ausgangsknoten und nicht vom ursprünglichen Client-Rechner, die Verschlüsselung des Tor-Netzwerks greift hier aber nicht mehr.
Spätestens auf dem Ausgangsknoten können die Daten eingesehen werden, wenn sie nicht auf dem Ursprungsrechner zusätzlich verschlüsselt wurden, etwa über eine HTTPS-Verbindung. Tor dient also nicht zur Ende-zu-Ende-Verschlüsselung, sondern lediglich dazu, den Ursprung der Daten zu verschleiern.
Sowohl der Betreiber des Ausgangsknotens als auch des Zielservers kann natürlich anhand der gesendeten Daten Rückschlüsse auf den ursprünglichen Client-Rechner ziehen, etwa durch Browser-Fingerprinting oder versehentlich übermittelte persönliche Daten oder IP-Adressen. Die Konfiguration des Browsers ist also wichtig. Es gibt zwar Plugins für das Tor-Netzwerk, sinnvoller ist es aber, den aus dem Tor-Browser-Bundle zu verwenden, der bereits konfiguriert ist.
Betreiber von Ausgangsknoten tragen das Risiko
Prinzipiell kann jeder einen Ausgangsknoten aufsetzen und betreiben. Allerdings ist dieser nicht anonym und bringt auch eine rechtliche Verpflichtung und eine gewisse Verantwortung mit sich. Nach Paragraf 8 des deutschen Telekommunikationsgesetzes sind die Betreiber eines Ausgangsknotens nicht verantwortlich für die Daten, die dort durchgeleitet werden, wenn er selbst die Übermittlung nicht veranlasst, den Empfänger der übermittelten Informationen selbst nicht auswählt und vor allem die durchgeleiteten Daten ebenfalls nicht auswählt und auch nicht manipuliert.
Erst wenn nachgewiesen werden kann, dass ein Betreiber absichtlich mit einem Nutzer des Tor-Dienstes zusammenarbeitet, um rechtswidrige Handlungen zu begehen, macht er sich strafbar. Das gilt sowohl für das Strafrecht, etwa bei der Verbreitung von illegalem pornografischem Material, als auch für das Zivilrecht. In Deutschland gab es bisher noch keinen Fall, in dem ein Ausgangsknotenbetreiber belangt wurde, in Österreich hingegen gab es 2014 bereits eine Anklage eben wegen der Verbreitung kinderpornografischen Materials über einen Ausgangsknoten.
Auch Geheimdienste schnüffeln an Ausgangsknoten
Angreifer, die sich für den Datenverkehr im Tor-Netzwerk interessieren, könnten ebenfalls einen Ausgangsknoten betreiben und dort in dem Datenverkehr schnüffeln. Tatsächlich haben auch Geheimdienste ein Interesse daran, solche Ausgangsserver zu betreiben. Allerdings wollen sie dort nicht nur Daten abgreifen, sondern sie zur Deanonymisierung verwenden. Denn es gibt inzwischen über 1.000 Ausgangsknoten. Da sie immer zufällig ausgewählt werden, ist die Wahrscheinlichkeit, die Daten genau einer Zielperson zu finden, sehr gering. Gerät zudem ein Exit Node in Verdacht, kann er vom Tor-Netzwerk ausgeschlossen werden.
Das Problem bei den Eingangskonten ist, dass sie in einer öffentlichen Liste verzeichnet sind. Zensurbehörden können daher die dort verzeichneten Server blockieren, was etwa in China bereits seit mehreren Jahren der Fall ist. Daher kann ein Nutzer seinen Rechner auch als Tor-Brücke zur Verfügung stellen. Dann tritt er als Vermittler zwischen dem durch Zensur blockierten Nutzer und dem Tor-Netzwerk auf. Seine IP-Adresse kann der Betreiber einer Tor-Brücke selbst mitteilen. Es gibt aber auch anonyme Sammelstellen, die sogenannten Pools. Eine davon ist eine Webseite, die anderen beiden setzen auf eine Vermittlung per E-Mail oder Chats. Allerdings haben vor allem die chinesischen Zensurbehörden bereits auch hier wirksame Maßnahmen gefunden, um Tor-Brücken zu enttarnen. Das liegt auch an deren stets geringer Anzahl.
Mit Tor ins *******
Zugang zu illegalen Drogen
Tor bietet in seinem Netzwerk auch die sogenannten Hidden Services. Hierbei wird im Tor-Netzwerk eine Verbindung aufgebaut, bei der sowohl Sender als auch Empfänger anonym bleiben, etwa wenn ein Aktivist einen Blog betreiben will, zu dem die Zensurbehörden seines Landes keinen Zugriff haben sollen. Dafür muss etwa für einen Webserver mit vom Tor-Projekt bereitgestellter Software ein Schlüssel erstellt werden. Diese Schlüssel werden in einem Verzeichnisserver abgelegt. Dort werden auch zufällig gewählte Eintrittspunkte eingetragen, über die der Dienst später erreichbar sein soll. Erreichbar ist der versteckte Dienst dann zunächst über den Hash-Wert des öffentlichen Schlüssels, eine alphanumerische Zeichenkette gefolgt von dem Suffix onion.
Ruft ein Nutzer eine Onion-Adresse in einem Tor-Browser auf, wird er zunächst mit einem Tor-Server verbunden, der später als Rendezvous-Punkt dienen wird. Anhand der Informationen auf dem Verzeichnisserver, die mit dem Hash-Wert verknüpft sind, wird er dann auf einen der Eintrittspunkte weitergeleitet, von dem eine Mitteilung an den Webserver verschickt wird. Antwortet dieser, werden die beiden Teilnehmer am Rendezvous-Punkt verbunden, ohne dass sie sich kennen. Der illegale Onlinehändler Silk Road und seine Nachfolger nutzen diese versteckten Dienste. Aber auch Aktivisten nutzen sie für ihre Kommunikation, etwa der Whistleblower Edward Snowden für seine Chat-Unterhaltungen.
Riesige Fluktuation bei Webseiten im Tor-Netzwerk
Genau diese versteckten Dienste hat Gareth Owen untersucht. Er sah sich die Datenbank der Verzeichnisserver genauer an. Sie ist über das gesamte Tor-Netzwerk verteilt, liegt also nicht auf einem einzigen Server. Die Verteilung erfolgt über einen Hash-Table. Mit 40 Tor-Knoten, die sechs Monate lang liefen, konnte Owen eine Liste aller Onion-Adressen erstellen und auch aufzeichnen, wie oft bestimmte Adressen besucht werden. Außerdem entwickelte er einen Crawler, der den HTML-Inhalt jeder entdeckten Webseite sammelte.
Die Fluktuation der Onion-Adressen im Tor-Netzwerk sei sehr hoch, resümierte Owen. Insgesamt habe er in der sechsmonatigen Studie 80.000 Hidden Services gefunden, durchschnittlich seien es aber 45.000 gewesen. Die Mehrzahl sei nach nur wenigen Tagen wieder verschwunden, lediglich ein paar Hundert waren über den gesamten Zeitraum zu sehen. Owen verglich auch seine Ergebnisse mit einer ähnlichen Studie aus dem Jahr 2013. In dem Zeitraum bleiben weniger als 5.000 versteckte Dienste erhalten. Die 40 am meisten frequentierten Adressen führten zu Command-and-Control-Servern für Botnets. Sie nahmen die 40 ersten Plätze der Rangliste ein.
Bei der Kategorisierung der gefundenen versteckten Dienste nahmen Marktplätze für Drogen oder andere meist illegale Waren und Webseiten für Betrug die obersten Plätze ein. Sie waren am meisten vorhanden. Bitcoin-Zahlungen nahmen den nächsten Platz ein, gefolgt von Diensten, für die das Tor-Netzwerk eigentlich vorgesehen ist: E-Mail, Wikis und Whistleblower.
Pädophilenseiten haben die meisten Besucher
Für Aufregung sorgte seine Aussage, dass Seiten mit pädophilen Inhalten mit über 80 Prozent die am meisten besuchten im Tor-Netzwerk sind. Owen räumt ein, dass seine Zahlen durchaus nicht so eindeutig ausfallen könnten, wie sie dargestellt wurden. Er könne beispielsweise nicht sagen, ob es sich bei den Besuchern tatsächlich um Menschen handele oder möglicherweise Bots oder andere Crawler. Außerdem habe er nur die Zugriffe auf den HTML-Inhalt registriert.
Die Tor-Macher erklärten, dass die von Owen präsentierten Daten nicht unbedingt repräsentativ seien. Es könnte beispielsweise sein, dass solche Seiten deshalb frequentierter seien, weil dessen kleines, aber obsessives Publikum dort oft vorbeischaue. Eine weitere Alternative sei, dass auch Strafverfolgungsbehörden die Seiten häufiger besuchen, um die Täter zu identifizieren. Auch sie zogen Crawler in Betracht.
Freiheit nützt auch Verbrechern
Fest steht, dass die Freiheit und die Anonymität im Tor-Netzwerk auch von jenen missbraucht werden, die ihr illegales zweifelhaftes Tun verschleiern wollen. Das ist die Kehrseite eines ansonsten unverzichtbaren Werkzeugs für Menschen, die ihre Meinung sagen wollen, ohne dass sie dafür verfolgt werden.
Wer im Tor-Netzwerk unterwegs ist, muss sich auch bewusst sein, dass es nur eines von vielen Werkzeugen ist, die die Privatsphäre schützen. Erst zusammen mit Verschlüsselung und weiteren Funktionen lässt sich Tor bedenkenlos nutzen, vollkommen sorglos aber vielleicht nie.
Quelle:
Das Tor-Netzwerk: Dort tummeln sich Whistleblower, Aktivisten, politisch Verfolgte, aber auch Drogenhändler oder Pädophile. Alle wollen dort aus unterschiedlichen Motiven ihre Anonymität bewahren. Es gibt aber Zweifel an der Effektivität der Anonymisierung.
Zuletzt machte ein Vortrag des IT-Spezialisten Gareth Owen Schlagzeilen: 80 Prozent des Datenverkehrs im Tor-Netzwerk führe zu Webseiten mit pädophilen Inhalten, sagte er in einem Vortrag auf dem Hackerkongress 31C3 in Hamburg. Solche Meldungen bringen nicht nur das Anonymisierungsnetzwerk in Verruf, sondern auch dessen Macher in Erklärungsnot. Wie kam Owen auf diese Zahlen? Das Tor-Netzwerk ist doch eigentlich anonym.
Die NSA bezeichnet in einem internen Papier Tor als "den König der Anonymisierungsnetzwerke." Es sei nicht nur äußerst sicher, sondern habe auch eine besonders niedrige Latenz. Der britische Nachrichtendienst Government Communications Headquarters (GCHQ) titelte ein internes Dokument sogar "Tor stinks" und gibt zu, dass es unmöglich sei, alle Tor-Nutzer zu identifizieren. Mit manueller Analyse sei es aber möglich, einige Benutzer zu identifizieren.
Sind die Behauptungen, das Anonymisierungsnetzwerk sei kaum zu knacken, also richtig? Nicht so ganz.
Doch nicht so anonym wie gedacht
Denn inzwischen haben mehrere Studien belegt, dass Nutzer im Tor-Netzwerk sehr wohl identifiziert werden können. Aber das Tor-Team behauptet auch gar nichts anderes. Es warnt immer wieder davor, sich nur auf Tor zu verlassen. Tor sei lediglich eines von vielen Werkzeugen, die erst in der Kombination effektiv vor der Enttarnung schützen könnten. Außerdem könnten Fehlkonfigurationen oder andere Unvorsichtigkeiten dazu führen, dass Dritte die anonymen Surfer identifizieren könnten.
Bei der Operation Onymous im Herbst 2014 gelang es der USA-Bundespolizei und anderen Strafverfolgungsbehörden nach eigenen Angaben, die Betreiber von Silk Road 2 und weiteren illegalen Onlinehändlern im Tor-Netzwerk zu identifizieren. Wie, wollte das FBI zunächst nicht verraten. Erst als behauptet wurde, dass das FBI die Daten ungesetzlich von der NSA erhalten habe, dementierte die Bundespolizei und erklärte, sie habe die Daten von einem fehlkonfigurierten Login des Rechners ermittelt.
Es waren also Benutzerfehler, über die die US-Bundespolizei die IP-Adresse des mutmaßlichen Betreibers entdeckte. Es gibt allerdings theoretische Möglichkeiten, zumindest herauszufinden, von welchem Rechner aus Daten versendet werden, wenn ein Angreifer Kontrolle über einen oder mehr Rechner im Tor-Netzwerk hat.
Hüpfen von Server zu Server
Um die Anonymität der Nutzer zu wahren, nutzt Tor kombinierte Techniken. Die Datenpakete etwa werden samt IP-Adresse des Absenders und des eigentlichen Empfängers wie in einer Zwiebel in verschiedenen Schichten verschlüsselt. Das wird Onion Routing genannt, daher der frühere Name The Onion Router - abgekürzt Tor.
Dabei werden die Datenpakete beispielsweise im Tor-fähigen Browser auf dem Rechner des Benutzers dreifach verschlüsselt. Tor nutzt dafür Perfect Forward Secrecy, bei dem der Diffie-Hellman-Schlüsselaustausch zum Einsatz kommt. Die verwendeten Schlüssel existieren nur für den Zeitraum der Kommunikationsverbindung.
Die Verschlüsselung ist allerdings nicht der einzige Schutz, den Tor zu bieten hat.
Versteckspiel im Netzwerk
Denn die Daten werden nicht nur verschlüsselt, sondern außerdem in immer gleich große Pakete oder Zellen von 512 Bytes aufgeteilt, um Rückschlüsse auf den Inhalt zu verhindern. So können Angreifer nicht unterscheiden, ob es sich um einfache Serveranfragen oder etwa um übertragene Multimediadaten handelt. Allerdings gelang es einem Forscherteam im Sommer 2014 aufgrund eines inzwischen reparierten Fehlers in der Tor-Software, eigene Pakete in den Datenverkehr einzuschleusen, die dann an beiden Enden der Verbindung registriert werden konnten.
Um den Ursprung der Daten zu verschleiern, werden sie durch mehrere Rechner geschleust. Sie gehen zunächst an einen sogenannten Eintrittsknoten (Entry Node). Dazu baut ein Client-Rechner über ein Socks-Proxy eine Verbindung mit dem Eintrittsknoten auf. Der erstellt eine weitere Verbindung mit einer willkürlich ausgewählten Zwischenstation (Relay), die wiederum eine Verbindung mit einem sogenannten Exit Node oder Austrittsknoten herstellt. Von dort wird dann die Verbindung mit dem eigentlichen Ziel hergestellt, etwa dem Webserver jener Adresse, die der Benutzer in seinen Tor-Browser eingegeben hat. Der Webserver kennt nur die IP-Adresse des Ausgangsknotens und nicht die des ursprünglichen Absenders.
Daten werden geschält wie eine Zwiebel
Eintrittsknoten, Zwischenstation und Austrittsserver werden alle auch Relays genannt. Sie werden willkürlich ausgewählt und bei mehrfach aufgebauten TCP-Verbindungen etwa alle zehn Minuten ausgewechselt. Bei einer länger bestehenden TCP-Verbindung, etwa bei einer Unterhaltung per IRC, bleibt die Verbindung jedoch bestehen. So soll verhindert werden, dass ein Angreifer nicht nur eine, sondern mehrere Möglichkeiten hat, eine Verbindung zu entdecken.
Mit jeder Weitereichung wird eine Verschlüsselungsschicht entfernt. So kennt die Zwischenstation zwar den Eingangsknoten, aber nicht den ursprünglichen Versender der Daten. Die Zwischenstation weiß auch, an welchen Ausgangsknoten die Daten verschickt werden sollen, kennt aber nicht das eigentliche Ziel außerhalb des Tor-Netzwerks. Das kennt nur der Ausgangsknoten, der die Daten von der letzten Verschlüsselungsschicht befreit und die Daten mit seiner eigenen IP-Adresse an den Zielrechner weiterleitet.
Umgekehrt werden die Daten vom Empfänger wieder verschlüsselt über das Tor-Netzwerk an den Sender übermittelt. Der ursprüngliche Eintrittsknoten wiederum entfernt die letzte Verschlüsselungsschicht und leitet die Daten an den Client weiter.
Je mehr Rechner, desto besser
Standardmäßig sind es immer drei Relays. Zum einen soll damit eine einigermaßen leistungsfähige Verbindung gewährleistet werden, denn die Weitereichung und die Entschlüsselung kosten Zeit. Zum anderen gewährleisten zusätzliche Relays im Tor-Netzwerk nicht mehr Anonymität. Das mag paradox klingen, hat aber einen einfachen Grund: Je mehr Rechner in eine einzelne Verbindung miteinbezogen werden, desto größer ist die Wahrscheinlichkeit, dass einer oder sogar mehrere davon einem Angreifer gehören.
Dennoch ist das Tor-Netzwerk darauf angewiesen, auf möglichst viele Rechner zugreifen zu können. Das verringert im ganzen Netzwerk die Wahrscheinlichkeit, dass ein gekapertes Relay in die Verbindungskette gelangt.
So funktioniert das TOR-Netzwerk
Tor-Surfer werden durch Korrelation enttarnt
Vor allem über die Korrelation zwischen eingehenden und ausgehenden Daten lässt sich zumindest festzustellen, welche Rechner eine Zielperson kontaktiert. Dabei muss ein Angreifer die Kontrolle über einen Eingangsknoten und Ausgangskonten haben. Über den Ausgangsknoten kann er feststellen, wohin die Daten gehen. Vergleicht er die zeitliche Abfolge und Anzahl der versendeten Daten zwischen Ausgangsknoten und Zielrechner und den Daten, die beim Eingangsknoten eingehen, kann er daraus schließen, von welchem Client aus sie verschickt worden sind.
Je länger eine Verbindung steht und je öfter ein Nutzer die gleichen Ziele ansteuert, desto größer die Wahrscheinlichkeit, dass diese Korrelation zur Deanonymisierung führt. Untersuchungen gehen davon aus, dass es durchschnittlich mehr als ein halbes Jahr dauern würde, um eine einzige Person zu enttarnen.
Die Eingangswächter
Es gab bereits Versuche, so viele Relays wie möglich einzusetzen, um solche Korrelationen schnellstmöglich zu entlarven. Sie wurde aber bald von den Betreibern des Tor-Netzwerks entdeckt. Obwohl auch GCHQ und NSA diese Möglichkeiten bereits in Erwägung gezogen haben, gibt es keine Hinweise darauf, dass sie tatsächlich großflächig eingesetzt werden. Die Chancen für eine Deanonymisierung dieser Art steigen allerdings, wenn sowohl der Eingangsknoten als auch der Ausgangsknoten im Netz des gleichen Internet Service Providers sind. Um diese Wahrscheinlichkeit dennoch weiterhin möglichst gering zu halten, nutzt Tor sogenannte Entry Guards.
Aus einer Liste aller verfügbaren Server wird nur eine kleine Anzahl an Eingangsknoten gewählt, die der Nutzer über einen Zeitraum von mehreren Wochen nutzt. Wenn die standardmäßig drei ausgewählten Eingangsknoten nicht von einem Angreifer kontrolliert werden, ist der Nutzer ohnehin sicher. Sollte jedoch ein Relay überwacht werden, kann ein Angreifer zwar einen Teil der versendeten Daten sehen, die Wahrscheinlichkeit, alle Daten zu überwachen, ist jedoch deutlich geringer als die bei willkürlich ausgewählten Eingangsknoten.
Der Ausgang aus dem Tor-Netzwerk
Der letzte Punkt im Tor-Netzwerk ist der Exit Node oder Ausgangsknoten. Dort wird die letzte Verschlüsselungsschicht entfernt und die Daten werden an den Zielrechner außerhalb des Anonymisierungsnetzwerks unverschlüsselt weitergegeben. Für den Server, der die Daten empfangen soll, stammen diese augenscheinlich zwar vom Ausgangsknoten und nicht vom ursprünglichen Client-Rechner, die Verschlüsselung des Tor-Netzwerks greift hier aber nicht mehr.
Spätestens auf dem Ausgangsknoten können die Daten eingesehen werden, wenn sie nicht auf dem Ursprungsrechner zusätzlich verschlüsselt wurden, etwa über eine HTTPS-Verbindung. Tor dient also nicht zur Ende-zu-Ende-Verschlüsselung, sondern lediglich dazu, den Ursprung der Daten zu verschleiern.
Sowohl der Betreiber des Ausgangsknotens als auch des Zielservers kann natürlich anhand der gesendeten Daten Rückschlüsse auf den ursprünglichen Client-Rechner ziehen, etwa durch Browser-Fingerprinting oder versehentlich übermittelte persönliche Daten oder IP-Adressen. Die Konfiguration des Browsers ist also wichtig. Es gibt zwar Plugins für das Tor-Netzwerk, sinnvoller ist es aber, den aus dem Tor-Browser-Bundle zu verwenden, der bereits konfiguriert ist.
Betreiber von Ausgangsknoten tragen das Risiko
Prinzipiell kann jeder einen Ausgangsknoten aufsetzen und betreiben. Allerdings ist dieser nicht anonym und bringt auch eine rechtliche Verpflichtung und eine gewisse Verantwortung mit sich. Nach Paragraf 8 des deutschen Telekommunikationsgesetzes sind die Betreiber eines Ausgangsknotens nicht verantwortlich für die Daten, die dort durchgeleitet werden, wenn er selbst die Übermittlung nicht veranlasst, den Empfänger der übermittelten Informationen selbst nicht auswählt und vor allem die durchgeleiteten Daten ebenfalls nicht auswählt und auch nicht manipuliert.
Erst wenn nachgewiesen werden kann, dass ein Betreiber absichtlich mit einem Nutzer des Tor-Dienstes zusammenarbeitet, um rechtswidrige Handlungen zu begehen, macht er sich strafbar. Das gilt sowohl für das Strafrecht, etwa bei der Verbreitung von illegalem pornografischem Material, als auch für das Zivilrecht. In Deutschland gab es bisher noch keinen Fall, in dem ein Ausgangsknotenbetreiber belangt wurde, in Österreich hingegen gab es 2014 bereits eine Anklage eben wegen der Verbreitung kinderpornografischen Materials über einen Ausgangsknoten.
Auch Geheimdienste schnüffeln an Ausgangsknoten
Angreifer, die sich für den Datenverkehr im Tor-Netzwerk interessieren, könnten ebenfalls einen Ausgangsknoten betreiben und dort in dem Datenverkehr schnüffeln. Tatsächlich haben auch Geheimdienste ein Interesse daran, solche Ausgangsserver zu betreiben. Allerdings wollen sie dort nicht nur Daten abgreifen, sondern sie zur Deanonymisierung verwenden. Denn es gibt inzwischen über 1.000 Ausgangsknoten. Da sie immer zufällig ausgewählt werden, ist die Wahrscheinlichkeit, die Daten genau einer Zielperson zu finden, sehr gering. Gerät zudem ein Exit Node in Verdacht, kann er vom Tor-Netzwerk ausgeschlossen werden.
Das Problem bei den Eingangskonten ist, dass sie in einer öffentlichen Liste verzeichnet sind. Zensurbehörden können daher die dort verzeichneten Server blockieren, was etwa in China bereits seit mehreren Jahren der Fall ist. Daher kann ein Nutzer seinen Rechner auch als Tor-Brücke zur Verfügung stellen. Dann tritt er als Vermittler zwischen dem durch Zensur blockierten Nutzer und dem Tor-Netzwerk auf. Seine IP-Adresse kann der Betreiber einer Tor-Brücke selbst mitteilen. Es gibt aber auch anonyme Sammelstellen, die sogenannten Pools. Eine davon ist eine Webseite, die anderen beiden setzen auf eine Vermittlung per E-Mail oder Chats. Allerdings haben vor allem die chinesischen Zensurbehörden bereits auch hier wirksame Maßnahmen gefunden, um Tor-Brücken zu enttarnen. Das liegt auch an deren stets geringer Anzahl.
Mit Tor ins *******
Zugang zu illegalen Drogen
Tor bietet in seinem Netzwerk auch die sogenannten Hidden Services. Hierbei wird im Tor-Netzwerk eine Verbindung aufgebaut, bei der sowohl Sender als auch Empfänger anonym bleiben, etwa wenn ein Aktivist einen Blog betreiben will, zu dem die Zensurbehörden seines Landes keinen Zugriff haben sollen. Dafür muss etwa für einen Webserver mit vom Tor-Projekt bereitgestellter Software ein Schlüssel erstellt werden. Diese Schlüssel werden in einem Verzeichnisserver abgelegt. Dort werden auch zufällig gewählte Eintrittspunkte eingetragen, über die der Dienst später erreichbar sein soll. Erreichbar ist der versteckte Dienst dann zunächst über den Hash-Wert des öffentlichen Schlüssels, eine alphanumerische Zeichenkette gefolgt von dem Suffix onion.
Ruft ein Nutzer eine Onion-Adresse in einem Tor-Browser auf, wird er zunächst mit einem Tor-Server verbunden, der später als Rendezvous-Punkt dienen wird. Anhand der Informationen auf dem Verzeichnisserver, die mit dem Hash-Wert verknüpft sind, wird er dann auf einen der Eintrittspunkte weitergeleitet, von dem eine Mitteilung an den Webserver verschickt wird. Antwortet dieser, werden die beiden Teilnehmer am Rendezvous-Punkt verbunden, ohne dass sie sich kennen. Der illegale Onlinehändler Silk Road und seine Nachfolger nutzen diese versteckten Dienste. Aber auch Aktivisten nutzen sie für ihre Kommunikation, etwa der Whistleblower Edward Snowden für seine Chat-Unterhaltungen.
Riesige Fluktuation bei Webseiten im Tor-Netzwerk
Genau diese versteckten Dienste hat Gareth Owen untersucht. Er sah sich die Datenbank der Verzeichnisserver genauer an. Sie ist über das gesamte Tor-Netzwerk verteilt, liegt also nicht auf einem einzigen Server. Die Verteilung erfolgt über einen Hash-Table. Mit 40 Tor-Knoten, die sechs Monate lang liefen, konnte Owen eine Liste aller Onion-Adressen erstellen und auch aufzeichnen, wie oft bestimmte Adressen besucht werden. Außerdem entwickelte er einen Crawler, der den HTML-Inhalt jeder entdeckten Webseite sammelte.
Die Fluktuation der Onion-Adressen im Tor-Netzwerk sei sehr hoch, resümierte Owen. Insgesamt habe er in der sechsmonatigen Studie 80.000 Hidden Services gefunden, durchschnittlich seien es aber 45.000 gewesen. Die Mehrzahl sei nach nur wenigen Tagen wieder verschwunden, lediglich ein paar Hundert waren über den gesamten Zeitraum zu sehen. Owen verglich auch seine Ergebnisse mit einer ähnlichen Studie aus dem Jahr 2013. In dem Zeitraum bleiben weniger als 5.000 versteckte Dienste erhalten. Die 40 am meisten frequentierten Adressen führten zu Command-and-Control-Servern für Botnets. Sie nahmen die 40 ersten Plätze der Rangliste ein.
Bei der Kategorisierung der gefundenen versteckten Dienste nahmen Marktplätze für Drogen oder andere meist illegale Waren und Webseiten für Betrug die obersten Plätze ein. Sie waren am meisten vorhanden. Bitcoin-Zahlungen nahmen den nächsten Platz ein, gefolgt von Diensten, für die das Tor-Netzwerk eigentlich vorgesehen ist: E-Mail, Wikis und Whistleblower.
Pädophilenseiten haben die meisten Besucher
Für Aufregung sorgte seine Aussage, dass Seiten mit pädophilen Inhalten mit über 80 Prozent die am meisten besuchten im Tor-Netzwerk sind. Owen räumt ein, dass seine Zahlen durchaus nicht so eindeutig ausfallen könnten, wie sie dargestellt wurden. Er könne beispielsweise nicht sagen, ob es sich bei den Besuchern tatsächlich um Menschen handele oder möglicherweise Bots oder andere Crawler. Außerdem habe er nur die Zugriffe auf den HTML-Inhalt registriert.
Die Tor-Macher erklärten, dass die von Owen präsentierten Daten nicht unbedingt repräsentativ seien. Es könnte beispielsweise sein, dass solche Seiten deshalb frequentierter seien, weil dessen kleines, aber obsessives Publikum dort oft vorbeischaue. Eine weitere Alternative sei, dass auch Strafverfolgungsbehörden die Seiten häufiger besuchen, um die Täter zu identifizieren. Auch sie zogen Crawler in Betracht.
Freiheit nützt auch Verbrechern
Fest steht, dass die Freiheit und die Anonymität im Tor-Netzwerk auch von jenen missbraucht werden, die ihr illegales zweifelhaftes Tun verschleiern wollen. Das ist die Kehrseite eines ansonsten unverzichtbaren Werkzeugs für Menschen, die ihre Meinung sagen wollen, ohne dass sie dafür verfolgt werden.
Wer im Tor-Netzwerk unterwegs ist, muss sich auch bewusst sein, dass es nur eines von vielen Werkzeugen ist, die die Privatsphäre schützen. Erst zusammen mit Verschlüsselung und weiteren Funktionen lässt sich Tor bedenkenlos nutzen, vollkommen sorglos aber vielleicht nie.
Quelle:
Zuletzt bearbeitet:
