Malwaregefahr: Tor widerspricht CloudFlare

Das Anonymisierungsnetzwerk Tor widerspricht der Behauptung von CloudFlare, dass 94 Prozent des Tor-Traffics von vornherein bösartig ist. Das hatte CloudFlare-CEO Matthew Prince in einem Blogbeitrag zum von ihm so bezeichneten „Problem mit Tor“ angegeben. Von Tor kämen vor allem automatische Requests, die schädlich für die Kunden seines Content-Delivery-Netzes seien. Beispielsweise komme jeweils ein großer Teil von Kommentar-Spam, Tests auf Schwachstellen, Klickbetrug, Content-Scraping und Log-in-Scans über Tor.

„Das Problem mit CloudFlare“, antwortete einer der führenden Tor-Entwickler mit einem Blogbeitrag. Mike Perry, zuständig für den Tor-Browser und Performance, erklärte die Zahl von 94 Prozent als unwahrscheinlich. „Wir vermuten, dass diese Zahl auf einer fehlerhaften Methodik basiert, mit der CloudFlare jeglichen Traffic von einer IP-Adresse, von der jemals Spam versandt wurde, als ‚bösartig‘ einstuft“, schreibt er. Tor-IP-Adressen dienten aber der Durchleitung von Millionen Menschen, die dann von CloudFlares System davon abgehalten werden, Websites zu erreichen.

Um die Anwürfe zu entkräften, führt Perry eine Studie des CloudFlare-Konkurrenten Akamai an. Diese stellte fest, dass von Tor-IP-Adressen ein fast identischer Prozentsatz von legitimem E-Commerce-Traffic ausging wie vom Internet insgesamt. Insbesondere erwies sich dabei die „Conversion Rate“ der Nutzer als „praktisch gleich“, die auf Werbung klickten und kommerzielle Aktivitäten durchführten.

„Wir möchten gerne CloudFlares Erklärung dazu hören, wie sie auf die Zahl von 94 Prozent kamen und warum sie sich entschieden, so viel legitimen Tor-Traffic zu blockieren“, schreibt der Tor-Entwickler weiter. Externe Forschung habe gezeigt, dass CloudFlare mindestens 80 Prozent der Tor-IP-Adressen blockiert – und das mit ständig steigender Tendenz. Dieselbe Studie habe außerdem ergeben, dass es durchschnittlich 30 Tage brauchte, bis eine Tor-IP-Adresse durch ein Ereignis eine schlechte „Reputation“ erhielt und deshalb langfristig blockiert wurde. Weiterhin gebe es im Lauf der Zeit eine beunruhigende Zunahme der von CloudFlare blockierten Adressen, ohne dass ihre Blockade jemals wieder aufgehoben wurde.

„CloudFlares Herangehensweise beim Blockieren missbräuchlichen Traffics bringt eine Menge falsch positive Ergebnisse und behindert normalen Traffic“, argumentiert Mike Perry. „Das schadet der Erfahrung vieler unschuldiger Tor- und auch Nicht-Tor-Internetnutzer. Gleichzeitig beeinträchtigt es die Einnahmen von CloudFlares eigenen Kunden, indem es verärgerte oder blockierte Nutzer dazu bringt, sich andere Ziele zu suchen.“

Seit Februar behandelt CloudFlare Tor-Nutzer als ein Land mit Country-Code „T1“. Seine Kunden lässt es wählen, ob sie Tor-Traffic grundsätzlich zulassen, grundsätzlich auf eine schwarze Liste setzen oder Tests per JavaScript- oder Captcha-Abfrage durchführen wollen. Für Captchas verwendet CloudFlare Googles System Recaptcha. Dadurch bekommen Tor-Nutzer meist schwere Captchas vorgelegt, und sie müssen für jede einzelne Site ein neues Captcha ausfüllen.

CloudFlare sieht diese Methode nicht als „Blockieren“ an, das Anonymisierungsnetzwerk aber sehr wohl: „Aber das ist genau das, was das System in vielen Fällen macht. Nutzer werden entweder direkt blockiert mit Captcha-Server-Fehlermeldungen. Oder sie werden mit einer langen (und manchmal endlosen) Schleife von Captchas daran gehindert, Websites zu erreichen.“

Als besonders gravierend wirkt sich das laut Perry für Nutzer in sich entwickelnden Ländern aus, die oft minütlich für den Internetzugang bezahlen und sich dann mit langsam ladenden Captchas auseinandersetzen müssen: „Statt ihre begrenzte Internetzeit zu verschwenden, werden solche Nutzer entweder wegnavigieren oder aber auf Tor verzichten und sich damit einem Risiko aussetzen.“