Sicherheitslücke

Erfolgreicher Angriff auf Tor-Netzwerk aufgedeckt

Die Entwickler des Tor-Dienstes vermelden einen Angriff auf das Netzwerk. Er hätte dazu genutzt werden können, die Nutzer zu enttarnen. Dabei ist nicht eindeutig bekannt, ob die Angreifer Sicherheitsexpterten einer Universität waren. Sie hätten allerdings in jedem Falle fahrlässig gehandelt.
AAA
Teilen

Die Entwickler des Tor-Dienstes vermelden einen erfolgreichen Angriff auf das eigentlich anonyme Netzwerk. Das Erstaunliche an der Attacke ist, dass die genutzten Server von Ende Januar bis Anfang Juli aktiv waren. Mittlerweile wurden die entsprechenden Maschinen jedoch stillgelegt. Sie hätten zumindest potenziell zur Deanonymisierung der Nutzer verwendet werden.

Waren die Angreifer Forscher?Waren die Angreifer Forscher? Die Untersuchungen der Entwickler ergaben dabei, dass die Angreifer dabei zeitweilig eine recht große Zahl von Tor-Knoten im Netzwerk stellten. Durch ihre Zuverlässigkeit und gute Anbindung erhielten diese recht schnell zwei wichtige Privilegien, durch denen es den Unbekannten gelang, ihre Server an zwei kritischen Positionen innerhalb des Netzwerks zu positionieren. Auf Grund der Rotation der genutzten Knoten im Tor-Netzwerk, deren Grund wir in unserem Test von Tor näher beschreiben, erscheint es recht wahrscheinlich, dass der Verkehr einer größeren Zahl von Nutzern über die Server geleitet wurden ist.

Identifikation der Nutzer durch manipulierte Pakete

Auf Grund der Position im Tor-Netzwerk wurden die Knoten auch dazu genutzt so genannte Hidden Services zu verwalten. Bei diesen handelt es sich um Dienste, die genutzt werden können um beispielsweise eine Internetseite anonym zu betreiben, oder aber auch Serviecs zum Vertrieb von Drogen – wie im Falle der Silk-Road-Seite – anzubieten. Bei einem Zugriff auf einen entsprechenden Hidden Service konnten die Angreifer nun durch eine Manipulation des Internet-Verkehrs den Klarnamen des Dienstes im Netzwerk-Paket abspeichern. Kam das Paket an einem Ausgangsknoten vorbei, der ebenfalls von den Angreifern kontrolliert wurde, konnte die IP-Adresse des Nutzers der Anfrage an den Dienst zugeordnet werden. Die eigentlichen Daten jedoch konnten nicht mitgelesen werden.

Das Problem dabei ist, dass die Angreifer den Klarnamen des Dienstes übertrugen und nicht etwa eine verschlüsselte Variante wählten, die nur sie identifizieren konnten. Das ist deshalb problematisch, da nicht nur die Angreifer den oben beschriebene Weg zur Identifikation der Nutzer hätten verwenden können, sondern auch andere Parteien. Erst vor Kurzem war bekannt geworden, dass auch der US-amerikanische Geheimdienst NSA Nutzer beobachtet, die das Tor-Netzwerk verwenden. Dazu gehörte auch die gezielte Überwachung eines Tor-Servers, der von einem deutschen Studenten betrieben wurde.

Angreifer könnten Mitarbeiter einer Universität gewesen sein.

Der Angriff könnte aber auch in Zusammenhang mit einem kürzlich abgesagten Vortrag auf der Black-Hat-Konferenz stehen. In ihm wollten Forscher der Carnegie Mellon Universität offenlegen, wie Nutzer ohne große finanzielle Mittel im Tor-Netzwerk hätten enttarnt werden können. Die Absage des Vortrages geschah dabei auf Anraten der Rechtsabteilung der Universität.

In ihrem weiter oben verlinkten Blogeintrag schreiben die Tor-Entwickler, dass sie hoffen, dass es sich bei den Angreifern tatsächlich um das Forschungsteam gehandelt habe – andernfalls könnte dies bedeuten, dass tatsächlich eine andere Partei mit nicht so hehren Absichten an dem Angriff beteiligt war. Nichtsdestotrotz hätten die Forscher aus den oben beschriebenen Gründen fahrlässig gehandelt.

Mittlerweile haben die Entwickler mehrere Software-Updates veröffentlicht, die künftige Angriffe dieser Art erschweren sollen. Einige Fragen bleiben allerdings offen, so ist beispielsweise unklar, ob tatsächlich alle bösartigen Knoten deaktiviert wurden. Außerdem weiß niemand, ob die Angreifer die Daten behalten haben und wenn ja, wie sie verwendet wurden.

Teilen

Mehr zum Thema Hacker-Angriff