Cloudflare: 94 Prozent des Tor-Traffics sind von vornherein bösartig

Cloudflare-CEO Matthew Prince hat sich in einem Blogbeitrag zum von ihm so bezeichneten „Problem mit Tor“ geäußert. Er untermauerte seine Argumentation mit Daten aus Cloudflares Content-Delivery-Netz: 94 Prozent aller via Tor kommenden Requests seien von vornherein bösartig. „Das heißt nicht, dass sie auf kontroverse Inhalte zugreifen, sondern dass es sich um automatische Requests handelt, um unseren Kunden zu schaden.“

Beispielsweise komme jeweils ein großer Teil von Kommentar-Spam, Tests auf Schwachstelle, Klickbetrug, Content-Scraping und Log-in-Scans über Tor. „Nach Daten von Project Honey Pot beginnen 18 Prozent alles weltweiten E-Mail-Spams oder rund 6,5 Billionen unerwünschte Nachrichten im Jahr mit einem Bot, der automatisch über das Tor-Netz E-Mail-Adressen sammelt.“

Mit diesen Daten verteidigt Prince die Entscheidung seines Unternehmens, Tor-Nutzern grundsätzlich zu misstrauen und sie mit Captcha-Abfragen zu konfrontieren. Die Bot-Quote sei einfach ungewöhnlich hoch, wenn eine Anfrage die IP-Adresse eines Tor-Exit-Knotens aufweise.

Cloudflare halte Anonymität online für ein hohes Gut, schreibt Prince. Gerade deshalb setze es keine Techniken ein, mit denen es echte Tor-Nutzer auf Dauer identifizieren könnte – beispielsweise Super-Cookies. Auf Basis von Cookies könne Cloudflare zwar einem einzelnen Anwender vertrauen, auch wenn der einmal über ein als wenig vertrauenswürdig eingestuftes öffentliches WLAN komme, aber bei Tor verzichte es auf ein solches Verfahren.

Seit Februar behandelt Cloudflare Tor-Nutzer als ein Land mit Country-Code „T1“. Seine Kunden lässt es wählen, ob sie Tor-Traffic grundsätzlich zulassen, grundsätzlich auf eine schwarze Liste setzen oder Tests per JavaScript- oder Captcha-Abfrage durchführen wollen. Für Captchas verwendet Cloudflare Googles System Recaptcha.

Unter den drei Optionen Sicherheit, Anonymität und Bequemlichkeit könne man immer nur zwei haben, schreibt Prince weiter. Die bisherige Lösung sei nicht optimal, zumal Google Tor-Nutzern meistens die schwersten Captchas vorlege, da es sie selbst als wenig vertrauenswürdig einstufe. Und mangels Cookies müsse man für jede einzelne Site ein neues Captcha ausfüllen. Langfristig suche Cloudflare daher eine Möglichkeit, individuellen Tor-Traffic von Bots zu unterscheiden, benötige dazu aber die Hilfe des Tor-Projekts. Es müsse auf einen stärkeren Hashing-Algorithmus als SHA-1 umsteigen, um die Sicherheit nicht zu gefährden. Dann würde Cloudflare vielleicht einfach .onion-Sites für alle Kunden anlegen – die von Facebook gewählte Lösung, die Prince „sehr elegant“ nennt. Alternativ könnte Tor clientseitige Captchas implementieren.

Einem kürzlich publizierten universitären Forschungsbericht zufolge blockieren 3,67 Prozent der Top-1000-Sites von Alexa und insgesamt rund 1,3 Millionen Sites Anwender, die mit der IP-Adresse bekannter Tor-Exit-Knoten unterwegs sind, oder präsentieren ihnen nur eingeschränkte Inhalte oder Funktionen. Besonders entschieden geht demnach das CDN Akamai vor, das Tor-Nutzer teilweise durch Fehlermeldung 403 (Zugriff verboten) fernhält.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.