Anonymisierungsnetzwerk Tor informiert Nutzer über Angriff

Das Anonymisierungsnetzwerk Tor hat einen Angriff bemerkt, der auf die De-Anonymisierung seiner Nutzer zielte. Unklar ist aber, wie wirksam die seit über einem halben Jahr laufende Attacke war. Sie nutzte eine Schwachstelle im Tor-Protokoll aus, die inzwischen behoben wurde.

Wie Tor-Projektleiter Roger Dingledine in einem Security Advisory berichtet, wurde am 4. Juli 2014 eine Gruppe von Relays entdeckt, mit denen vermutlich versucht wurde, die Anonymität seiner Nutzer aufzuheben. Die Attacke schien Personen zu gelten, die Hidden Services im Tor-Netzwerk betreiben oder darauf zugreifen. Die Angreifer hätten unter anderem Protokoll-Header modifiziert, um Traffic-Confirmation-Attacken durchzuführen.

Die fraglichen Relays – Knoten im Netzwerk, die Traffic empfangen und weiterleiten – schlossen sich dem Netzwerk am 30. Januar 2014 an und wurden am 4. Juli wieder entfernt. Nutzer, die in diesem Zeitraum Hidden Services betrieben oder darauf zugriffen, sollten laut Dingledine davon ausgehen, dass sie vom Angriff betroffen waren. „Leider ist immer noch unklar, was ‚betroffen‘ bedeutet“, schreibt er. Zumindest theoretisch sei es aber möglich, dass Nutzer mit ihren Zugriffszielen in Verbindung gebracht wurden.

Entdeckt wurde der Angriff, weil das Tor-Projekt mehr über eine angebliche Angriffsmethode herausfinden wollte, über die Sicherheitsforscher der Carnegie Mellon University auf der kommenden Black-Hat-Konferenz berichten wollten. Ihre Präsentation wurde inzwischen jedoch abgesagt, da die Universität eine Veröffentlichung ihrer Erkenntnisse untersagte. Die Forscher gaben bislang keine Auskunft darüber, ob der beobachtete Angriff auf ihre Versuche zurückgeht. Kontovers wird daher diskutiert, ob er von ihnen oder anderer Seite erfolgte.

Das Tor-Projekt empfiehlt Relays die Aktualisierung auf aktuelle Versionen (0.2.4.23 oder 0.2.5.6-alpha), die die benutzte Schwachstelle im Protokoll beheben. Kommende Client-Versionen sollen mit weiteren Vorkehrungen gegen ähnliche Angriffe aufwarten. Besonders irritiert ist Projektleiter Dingledine, weil die Modifikationen der Protokoll-Header auch anderen Angreifern geholfen haben könnten, die Anonymität der Nutzer aufzuheben.

Insbesondere Geheimdienste sind schon länger daran interessiert, die Identität von Nutzern des Tor-Netzwerks zu ermitteln, das anonyme Kommunikation und unbeobachtetes Websurfen ermöglicht. Nach einem von Whistleblower Edward Snowden enthüllten Dokument arbeitete sich der US-Geheimdienst NSA an Tor ab und konnte auch Erfolge erzielen, aber die Sicherheitsarchitektur von Tor selbst nicht aushebeln. Aus einer Quellcode-Analyse des NSA-Programms XKeyscore geht andererseits hervor, dass die NSA auch Tor-Server angriff und unter anderem die Betreiber solcher Server in Deutschland ausspähte. Die russische Regierung schrieb sogar eine Prämie für eine erfolgreiche Methode aus, um Nutzer des Anonymisierungsdienstes zu verfolgen.

Tor wurde ursprünglich vom US Naval Research Laboratory unterstützt. Es ist nicht nur bei auf Privatsphäre bedachten Anwendern beliebt, sondern auch – vor allem in Diktaturen – bei politischen Aktivisten, Dissidenten oder Journalisten. Obwohl die NSA das Anonymisierungsnetzwerk ins Visier nahm, fördert die US-Regierung das Tor-Projekt noch immer aktiv. Im Jahr 2013 erhöhten die Vereinigten Staaten ihre Fördermittel für Tor sogar auf 1,8 Millionen Dollar.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de