22. November 2024

TOR, das Netzwerk zur Anonymisierung von Internetdaten, vom FBI geknackt

TORlogoDie persönliche Internetaktivität, d.h. welche Seiten man ansteuert und an welchen Informationen man Interesse zeigt, verrät sehr viel über die jeweiligen Menschen. Politische DissidentInnen, KritikerInnen an Staatsrepression, aber auch AktivistInnen für Tier- oder Umweltschutz, können so leicht identifiziert werden. Es war daher immer ein großes Anliegen von politisch Aktiven, einen anonymen Zugang zum Internet zu ermöglichen. TOR ist bzw. war ein solcher Zugang. Selbst die Wirtschaftskammer verteilte als kostenlose Werbegeschenke auf der Straße USB-Sticks mit der TOR-Software, weil auch der Markt ein Interesse an Anonymität hat.

Ein anderer Aspekt: die Überwachungsbehörden wollen gerne den Eindruck erzeugen, dass sie allmächtig sind. Handys können sie sowieso alle mithören, Emails mitlesen, Verschlüsselung und Anonymisierung würden sie auch knacken. Es habe also gar keinen Sinn, dem Zugriff der allwissenden Behörden zu entkommen zu versuchen, daher brauche man es auch gar nicht probieren und könne gleich alles offenlegen – zusammen mit der inneren Kontrolle der eigenen Aktivitäten und Äußerungen, die mit einer Totalüberwachung einhergeht. Die Mächtigen freuts. Daher müssen wir gegenüber Berichten dieser Art sehr vorsichtig sein und sie sorgfältig prüfen. Bisher gilt z.B. die GPG-Verschlüsselung noch immer für halbwegs sicher. Und auch TOR für die Anonymisierung des Internetzugangs wurde als verlässlich angesehen.

Doch der Guardian berichtete Anfang Oktober 2013, dass die NSA erfolgreich daran gearbeitet habe, TOR zu knacken. Die Web-Hosting Firmen „Freedom Hosting“ und „Silk Road“ seien jetzt vom FBI geschlossen, ihre Server beschlagnahmt worden. Der Gründer der Silk Road, Ross Ulbricht alias Dread Pirate Roberts, sei durch Webposts identifiziert worden, die das FBI mit seinem Email Account verbinden konnte.

Wörtlich kommentiert der New Scientist vom 12. Oktober 2013 auf Seite 22: The end of Silk Road means the FBI has now brought down two of the most famous services on TOR. […] The computers running Silk Road and Freedom Hosting were supposed to be impossible to find, operating as hidden services within TOR, obscured from the rest of the internet by layers of routing computers. The FBI not only found the hidden services, but managed to take control of them without their owners noticing, logging the activity of the services users‘ and, in the case of Freedom Hosting, distributing malware to identify them. Investogators at Baneki Privacy Labs, an internet research collective, say this is highly unusual, […] such sophistication is unprecedented for the FBI. Not many people in the world were taking heavier security measures than Freedom Hosting and the Silk Road. […] The FBI managed to get administrative access to the Silk Road servers and make a copy of the hard drives, then sit in the background and watch all the traffic. […] We don’t know how that was done – are aware of no routine techniques that would enable that kind of intrusion. If there is technology to do that, it‘s very advanced.

Und weiter: The FBI busts of the two highest profile TOR services will destroy any trust the public had in the system, which has also been used by dissidents in repressive regimes to organise themselves. The masses will never trust TOR again. The Baneki researchers are certain that the NSA is behind the FBI’s newfound powers. […] In the post-Snowdon world, the NSA’s capabilities have been revealed to be beyond what even the most paranoid had previously feared.

10 Gedanken zu “TOR, das Netzwerk zur Anonymisierung von Internetdaten, vom FBI geknackt

  1. “Fazit

    Für sicheres anonymes Surfen kommt nur JonDo wirklich in Betracht. Tor ist etwas schneller und theoretisch auch anonym. Die Gefahr einer großangelegten Überwachung von Tor durch Geheimdienste sollte nach den PRISM-Enthüllungen aber nicht unterschätzt werden. VPN-Dienste sichern nur die Privatsphäre zuverlässig, für anonymes Surfen sind die Anbieter kaum empfehlenswert. Web-Proxies sollte man schlicht meiden!”

    http://artikel.softonic.de/anonym-surfen-tor-jondo-vpn-und-web-proxies-im-vergleich

  2. “Die persönliche [Internet]aktivität, d.h. welche Seiten man ansteuert und an welchen Informationen man Interesse zeigt, verrät sehr viel über die jeweiligen Menschen.” – das geht auch per Handy sehr gut und wird von der Wirtschaft kräftig genutzt.

    Zwei Wege: a) Freiwillige Abgabe der jeweiligen Standortdaten in den Nutzerbedingungen der Apps. Sobald die App aktiv wird funkt die nach Hause, wo der Nutzer sich befindet. Per GPS ist das in der Ebene bis auf ein paar Meter kein Problem. Manche Apps laufen ohnehin die ganze Zeit, woraus sich ablesen lässt, wer wann wo war. Wer hat zuletzt die Endnuterbedingungen gelesen, etwa bei TwitPic oder Facebook? Durch das juristische Wortgestrüpp hilft ein bische diese Seite: http://tosdr.org/

    b) Jedes Mobiltelefon bucht sich beim nächstbesten Handymasten ein um erreichbar zu sein – wie es eben erwartet wird. Gleichzeitig sucht sich das Gerät zwecks besserer Qualität einen zweiten Sender, so für den Notfall, ein dritter ist auch nicht uninteressant. Nun bewegt sich eine Person von A nach B. Wird das Signal des einen Senders schwächer, wird auf den anderen zugegriffen oder eben Ersatz gesucht. Je nachdem, die Intervalle zur Aktualisierung hab ich jetzt nicht zu Handen. Gleichviel. Wer in Mathe in Trigonometrie aufpasste, dem bietet sich nun ein schönes Beispiel: Person (A) befindet sich zwischen Sendemast X und Sendemast Y… das Mitschreiben, welches Gerät wann in welchem Masten eingebucht war ist jeweils eine lange Textzeile im Logfile. Textdateien lassen sich auf rund 90% ihrer Größe komprimieren. Speicherplatz ist keine Kostenfrage mehr, zudem werden beim Thema “irgendwas mit Sicherheit, alternativlos eben” bekanntlich weder Kosten noch Personal gespart.
    Diese Metadaten [wer wann wo mit wem wie lange gesprochen] dürfen in Österreich seit April 2012 für 6 Monte gespeichert werden. Wir haben bereits Vorratsdatenspeicherung. Auch wenns noch nicht so bekannt ist. Nicht wissen schützt nicht vor Abschnorcheln der eigenen Datensätze

  3. Als Einleiung zu Theorie & Praxis der Verschlüsselungstechnologien ein Webcomicstrip: https://xkcd.com/538/

    Über die Sicherheit von TOR, GPG, etc. ließe sich hervorragend diskutieren – da dies auf mathematischen Prinzipien fußen sollte eine Menge Streit wegfallen. Die Standards der Verschlüsselungssysteme an sich sind quellenoffen und nachles- wie nachprüfbar. Dass das wertvolle Zeit braucht ist mir ebenfalls klar. Auch für einen Mathematiker, Herr B. 🙂

    Zudem: Die Sicherheit von Verschlüsselungssystemen hänget stark von deren Umsetzung ab. Dass z.B. NFC unsicher bis dorthinaus ist hält die Banken hierzulande nicht von der Zwangsumstellung der Bankomatkarten in nächster Zeit ab [“max. €125 pro Tag ohne PIN als Zahlungslimit” ist KEIN Sicherheitsmerkmal].
    Zurück zum Thema: Die Schlüssel sind unter anderem umso angreifbarer, je kürzer z.B. die Passwörter sind. So gibt es jährliche [S]Hitparaden der beliebtesten Passwörter aus Sammlungen die irgendwo im Internet auftauchten und analysiert wurden [Artikel: http://gizmodo.com/5954372/the-25-most-popular-passwords-of-2012 Artikel http://mashable.com/2013/11/05/20-most-popular-passwords-adobe/ Artikel: http://www.bbc.co.uk/news/technology-24821528 Artikel http://netforbeginners.about.com/od/scamsandidentitytheft/tp/The-Most-Common-Passwords-2011.htm%5D.
    Auch: Passwörter auf z.B. 8 Zeichen zu beschränken ist seit sehr langer Zeit ein oft verwendetes NoNo!!! -> https://de.wikipedia.org/wiki/Rainbow_Table
    Zudem: Wo schreiben Sie Ihre Passwörter auf? In der Schublade rechts, gleich die erste Lade?

    Und dann gibts noch den Hebel darüber, dass der Mensch soziales Wesen sei sollen… schlagt mal “Social Engineering” nach. Niemand hält für immer über alle Bekannten gegenüber allen dicht. In Zeiten von sozialen Schleppnetzwerken wie Facebook etc. wird es immer schwerer, alle seine Daten für sich zu behalten. Die “Freunde” erledigen den Rest der mühselig zusammengehalten wird, mit einem flockigen “ham ja nix zu verbergen hihi!” während der Lebenslauf der Kinder vom ersten Ultraschallbild an auf wer weiß wie vielen Rechnern gespeichert ist. Das könnte noch ordentliche Watschn geben. Ich schweife ab.

    Was tun?

    Keiner Software sein Leben anvertrauen [Grundsatz von “CryptoCat”, einem sehr netten Crypto-Chatprogramm].

    Passwörter wechseln, und zwar öfters als einmal im Geräteleben soll helfen. GPG verwenden und gelegentlich den Schlüssel ändern. In Großbritannien wird die bloße Weigerung der Herausgabe eines Passwortes mit bis zu 9 Monaten Haft geahndet. Nur so um klarzustellen, wo wir schon sind.

    Außerdem gibts Cryptoparites, meist in den Großstädten. Deren Ziel ist es, absoluten EInsteigern niederschwellig Verschlüsselung zu ermöglichen.

    Zum Mobilfunk hätt die Tant auch noch was: IMIS Catcher sind so ein Werkzeug zur Ortung [https://de.wikipedia.org/wiki/IMSI-Catcher]. Die werden in Deutschland nachweislich eingesetz [http://www.heise.de/tp/artikel/35/35987/1.html] und wer sich für eine Basisstation z.B. fix und fertig in einem Kleinbus interessiert hier was zum an die Wand heften: https://www.gammagroup.com/surveillancevans.aspx
    Mehr? http://buggedplanet.info/index.php?title=AT#Articles_.2F_Events_.2F_Situations

    Am Schluss noch ein Wort in eigener Sache:
    Ich bin von diesem Blog seriösere Berichterstattung gewöhnt- Zwar sind Ausreißer drin, sollten aber ernst genommen werden. Da es aber nicht mein Bier ist nur so eine Idee: Titel des Postings wirklichkeitsnäher umformulieren und mit einem kleinen Disclaimer in der Einleitung darauf hinweisen und watz – alles ist wieder gut.

    Und bevor ihr mir die Türe einrennt: Ich bin kein Experte in Sachen Kryptographie etc. Ich will nur wissen mit was ich als “normal” zu rechnen habe und was die Zukunft bringen wird. Für Interessierte gibts Büchereien [relativ anynom 🙂 ] sowie das Internet… öhm… ja.

  4. ” Gemeint ist, wenn die Behörden den secret key haben und das Passwort mit brute force durchprobieren […] Keylogger, Großer Lauschangriff und das Abfangen und Austauschen des Public Key”

    Erneut: weder TOR, noch GPG sind endpoint security systems, dazu braucht man sich nicht professionell damit auseinanderzusetzen, um das zu wissen. zu sagen keylogger seien eine GPG schwachstelle ist wie sich über die Post zu beklagen, weil einem die Großmutter mein Schreiben der Briefe über die Schultern schaut. Man in the middle attacken sind natürlich ein gewisses Problem – weniger für GPG (wenn man denn ein ordentliches Schlüsselverwaltungssystem implementiert) als für TOR und die NSA verwendet auch MITM attacken gegen TOR user (was ihnen aber auch nur aufgrund von lücken in der endpoint security gelingt)

    wer TOR (bzw. GPG) also als magische Universallösung für alle Sicherheitsprobleme angesehen hat, wird natürlich der Ansicht sein, das “TOR geknackt wurde” – alle anderen updaten in der Zwischenzeit ihren Browser…

  5. Zur Sicherheit von GPG hatten wir einen Workshop am ALW in Linz von jemandem, der sich professionell damit auseinandersetzt. Er meint, dass mit genügend Aufwand und genügend langer Versuchszeit auch GPG geknackt werden kann. Gemeint ist, wenn die Behörden den secret key haben und das Passwort mit brute force durchprobieren. Im Zeitraum von Jahren würde das schon knackbar sein. Abgesehen davon hat GPG eine Reihe von anderen potenziellen Sicherheitslücken, wird die politische Polizei auf einen aufmerksam und legts darauf an. Dazu gehören Keylogger, Großer Lauschangriff und das Abfangen und Austauschen des Public Key.

    Trotzdem werde ich auf jeden Fall GPG und TOR weiter verwenden und empfehle das allen anderen.

  6. Ich denke auch, dass es ein fieser Versuch ist den Ruf von Tor zu schädigen. Die Wahrscheinlichkeit, dass das Sicherheitsleck an anderer Stelle war, ist sehr hoch.

  7. Tor selbst wurde nicht gehackt – ganz im Gegenteil, Material von Edward Snowden (allerdings schon etwas älter, aber trotzdem; Stichwort “Tor Stinks”) deutet eher an, dass Tor der NSA ein großer Dorn im Auge ist, und es die großflächige Überwachung von Tor-Nutzern effektiv verhindert.

    In Bezug auf Freedom Hosting und Silk Road waren die Probleme (wie auch teilweise berichtet wurde), dass die am Server installierte Software selbst eine Sicherheitslücke hatte, bzw. DPR in Bezug auf seine Identität (abseits von Tor) sehr geschlampt zu haben scheint. Ich denke, dass Tor nach wie vor als ziemlich sicher angesehen werden kann – die größere Gefahr ist es sicher, dass es wahrscheinlich kein Problem ist, seinen Computer kompromittiert zu bekommen, wenn man persönlich zum Ziel einer Three-Letter-Agency wird.

  8. tatsächlich, bei Meldungen über das hacken von Tor et al. müssen wir vorsichtig sein. darum: (zitiert aus einer FB Konversation zu diesem Artikel)

    Given all the documents I read about this it, seems highly unlikely they ‘hacked TOR’. From the looks of it, they hacked the silk road webservers, not the network, which makes this just another plain and simple hack…TOR, being nothing but a slightly more sophisticated routing network, does not protect against endpoint vulnerabilities. Its kinda sad that we have this immense and almost macabre fascination with our own insecurity….as for the node argument: TOR always relied on the premise of network neutrality – we can, at the moment, only hope that the entities running the entry and exit nodes are too divided to coordinate their surveillance. Looking at the immense number of servers located in China and Russia there’s even a fair chance of this being the case…

    (Oh, and BTw.: there are no known vulnerabilities of gpg – that is not “relatively safe”, that is, for all intents and purposes, rock solid. And given that the gchq/NSA documents say, they can break neither gpg nor tor, I’d consider them both safe)

  9. Der Titel ist irreführend, weil das Netzwerk TOR an sich nicht gehackt wurde sondern die Server auf denen die Hidden Services liefen.

    Wie bereits erwähnt wurde, ist der SilkRoad-Betreiber durch Internetposts auf StackOverflow und mehrere unvorsichtige Handlungen (z.B. Emailadresse mit echtem Vor- und Zuname) enttarnt worden.
    Durch diese und weitere Informationen wurde es erst möglich an die Daten vom SilkRoad Server zu gelangen.

    Man muss sich aber durchaus bewusst sein, dass die Endknoten Server komprimiert sein können.

    Falls jemand eine bessere Anoynmisierungs-Software kennt, bin ich für jede Information dankbar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert