Unbekannte greifen Anonymisierungsnetzwerk Tor an

PolitikSicherheitÜberwachung
TOR (Grafik: TOR-Projekt)

Die Betreiber haben die Nutzer über den Angriff bereits informiert. Demnach versuchten die Angreifer die Anonymität der Nutzer aufzuheben. Bereits Ende Januar 2014 begann die Attacke auf Tor. Bemerkt wurde sie aber erst diesen Monat. Die ausgenutzte Sicherheitslücke im Tor-Protokoll wurde inzwischen behoben.

Das Anonymisierungsnetzwerk Tor hat seine Nutzer über einen Angriff informiert. Unbekannte haben versucht die Anonymität seiner Nutzer aufzudecken. Allerdings ist bislang nicht bekannt wie erfolgreich die Attacke war. Die von den Angreifern ausgenutzte Sicherheitslücke im Tor-Protokoll wurde mittlerweile behoben.

Logo Tor

Am 4. Juli 2014 entdeckten die Betreiber eine Gruppe von Relays. Das berichtet Tor-Projektleiter Roger Dingledine in einem Security Advisory. Demnach versuchten Angreifer auf diese Weise vermutlich die Anonymität seiner Nutzer aufzuheben. Die Unbekannten zielten offenbar auf Personen, die Hidden Services im Tor-Netzwerk betreiben oder darauf zugreifen. Um Traffic-Confirmation-Attacken durchzuführen hätten sie unter anderem Protokoll-Header modifiziert.

Dem Netzwerk schlossen sich die fraglichen Relays – Knoten im Netzwerk, die Traffic empfangen und weiterleiten – am 30. Januar 2014 an und wurden am 4. Juli wieder entfernt. Dingledine zufolge sollten Nutzer, die in dieser Zeit Hidden Services betrieben oder darauf zugriffen, damit rechnen, dass sie vom Angriff betroffen waren. “Leider ist immer noch unklar, was ‘betroffen’ bedeutet”, schreibt er. Zumindest theoretisch sei es aber möglich, dass Nutzer mit ihren Zugriffszielen in Verbindung gebracht wurden.”

Das Tor-Projekt entdeckte den Angriff, weil es mehr über eine mögliche Angriffsmethode herausfinden wollte, über die Sicherheitsforscher der Carnegie Mellon University auf der kommenden Black-Hat-Konferenz berichten wollten. Mittlerweile wurde ihre Präsentation allerdings abgesagt. Die Universität untersagte die Veröffentlichung ihrer Erkenntnisse. Bislang äußerten sich die Forscher nicht dazu, ob der beobachtete Angriff auf ihre Versuche zurückgeht. Daher wird kontrovers diskutiert, ob er von ihnen oder anderer Seite erfolgte.

Das Tor-Projekt empfiehlt Relays die Aktualisierung auf aktuelle Versionen (0.2.4.23 oder 0.2.5.6-alpha), die die benutzte Schwachstelle im Protokoll beheben. Weitere Vorkehrungen gegen ähnliche Angriffe sollen in kommenden Client-Versionen enthalten sein. Besonders irritiert ist Projektleiter Dingledine, weil die Modifikationen der Protokoll-Header auch anderen Angreifern geholfen haben könnten, die Anonymität der Nutzer aufzuheben.

Insbesondere Geheimdienste sind schon länger daran interessiert, die Identität von Nutzern des Tor-Netzwerks zu ermitteln, das anonyme Kommunikation und unbeobachtetes Websurfen ermöglicht. Nach einem von Whistleblower Edward Snowden enthüllten Dokument arbeitete sich der US-Geheimdienst NSA an Tor ab und konnte auch Erfolge erzielen, aber die Sicherheitsarchitektur von Tor selbst nicht aushebeln. Aus einer Quellcode-Analyse des NSA-Programms XKeyscore geht andererseits hervor, dass die NSA auch Tor-Server angriff und unter anderem die Betreiber solcher Server in Deutschland ausspähte. Die russische Regierung schrieb sogar eine Prämie für eine erfolgreiche Methode aus, um Nutzer des Anonymisierungsdienstes zu verfolgen.

Tor wurde ursprünglich vom US Naval Research Laboratory unterstützt. Es ist nicht nur bei auf Privatsphäre bedachten Anwendern beliebt, sondern auch – vor allem in Diktaturen – bei politischen Aktivisten, Dissidenten oder Journalisten. Obwohl die NSA das Anonymisierungsnetzwerk ins Visier nahm, fördert die US-Regierung das Tor-Projekt noch immer aktiv. Im Jahr 2013 erhöhten die Vereinigten Staaten ihre Fördermittel für Tor sogar auf 1,8 Millionen Dollar.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de