[TinyTimm]

Zitat:

Das Tor-Netzwerk anonymisiert Internetverkehr, indem Anfragen verschlüsselt über eine Kette aus mehreren Servern (Knoten) zum Ziel und wieder zurück zum Nutzer geleitet werden. Seit Jahren scheint aber ein Akteur mit beträchtlichen Mitteln daran zu arbeiten, das Netzwerk zu infiltrieren und den Datenverkehr über seine Server zu leiten, um User der Anonymität zu entreißen. Ein IT-Security-Forscher hat das Treiben der „KAX17“ getauften Organisation bis ins Jahr 2017 zurückverfolgt.

Wie „Heise“ berichtet, hat der IT-Security-Experte mit dem Pseudonym Nusenu die Unterwanderung des Tor-Netzwerks schon länger beobachtet. Ihm zufolge waren in den letzten Jahren zeitweise zehn Prozent der Tor-Knotenpunkte in der Hand von KAX17. Von täglich rund 9000 bis 10.000 Tor-Knoten seien bis zu 900 unter der Kontrolle der Angreifer gestanden. Es handelte sich um Eingangs- und Ausgangspunkte sowie Zwischenrelais.

Für die Nutzer des Anonymisierungsnetzwerks, das nicht nur von Hackern und Cyberkriminellen, sondern beispielsweise auch von Oppositionellen in autoritären Staaten genutzt wird, bedeutete dies, dass ihre vermeintliche Anonymität im Tor-Netzwerk unterwandert worden sein könnte.

Angreifer kontrollierte signifikanten Prozentsatz

Der Experte rechnet vor: Zeitweise habe eine Wahrscheinlichkeit von 16 Prozent bestanden, dass Daten bei der Einleitung ins Tor-Netzwerk über einen KAX17-Knoten liefen. Bei den mittleren Knotenpunkten seien sogar bis zu 35 Prozent der Anfragen über die Server des Angreifers gelaufen, bei den Ausgangspunkten betrug die Wahrscheinlichkeit noch fünf Prozent.

Neal Krawetz, Experte für Anonymisierungstechnik, äußert im Gespräch mit „The Record“ den Verdacht, dass KAX17 das Ziel verfolgt haben dürfte, die Betreiber versteckter Dienste auszuforschen. Die große Zahl von Knoten könnte aber „auch verwendet werden, um Nutzer zu enttarnen.“ Das sei besonders erfolgversprechend, wenn man parallel allgemeine öffentliche Online-Dienste überwache und die Spur der Nutzer verfolge.

Angreifer verfügt über beträchtliche Mittel

Ähnliche Vermutungen äußert Nusenu, der betont, bei dem Angreifer handle es sich nicht um Amateure. Vielmehr hegt er den Verdacht, dass es sich um einen staatlichen Akteur handelt. Entsprechende Möglichkeiten hätte etwa der US-Geheimdienst NSA. Der Ursprung ist aber kaum zurückzuverfolgen. Die Tor-Knoten, die KAX17 ins Netzwerk eingeschleust hat, wurden auf Servern in Rechenzentren in aller Welt bereitgestellt - auch auf Infrastruktur namhafter Cloud-Dienstleister wie Microsoft.

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[Draalz]

Leider stellt der NSA wohl einen nicht gerade geringen Anteil der Tor Nodes zur verfügung.

[Uwe Farz]

Etwas mehr Details gab es dazu am Samstag bei Heise:

Zitat:

Tor-Netzwerk: KAX17 führt massive Deanonymisierungsangriffe durch

Laut einem IT-Sicherheitsforscher betreibt ein mysteriöser Akteur seit 2017 große Teile des Anonymisierungsdiensts Tor, womit dieser unterwandert werde.

Seit mindestens 2017 hat ein unbekannter, mit umfangreichen Ressourcen ausgestatteter und offenbar staatlich unterstützter Angreifer tausende potenziell schädliche Server in Eingangs-, Mittel- und Ausgangspositionen des Tor-Netzwerks betrieben. Ein IT-Sicherheitsforscher mit dem Pseudonym Nusenu, der selbst Mitglied der Community ist, sieht darin einen Versuch, im großen Stil Nutzer des Dienstes zu deanonymisieren.
900 Server mit 155 GBits/s

Der bedrohliche Akteur, den Nusenu auf den Namen KAX17 taufte, betrieb in der Spitze mehr als 900 Server im Tor-Netzwerk mit einer maximalen Bandbreitenkapazität von 155 GBit/s. Das sind gut zehn Prozent des gesamten Zusammenschlusses, der normalerweise eine tägliche Gesamtzahl von 9000 bis 10.000 Knoten aufweist.

Einige dieser KAX17 zugeschriebenen Server fungieren als Eingangspunkte (Wächter), andere als Zwischenrelais und wieder andere als Ausgangspunkte. Letztere stellen als Exit-Knoten die letzte Stufe in der Verschleierungsroute dar, die die Verbindung zwischen Tor und dem Rest des Internets aufrechterhalten.

Aufgabe der Knoten ist es, gemeinsam den Datenverkehr der Nutzer zu verschlüsseln und zu anonymisieren. So entsteht ein riesiges Netz von Proxy-Servern, die Verbindungen untereinander weiterleiten und dabei die Privatsphäre der Nutzer wahren sollen.
Server ohne Kontaktangaben im Notfall akzeptiert

Server, die zum Tor-Netzwerk hinzugefügt werden, müssen eigentlich rudimentäre Kontaktinformationen enthalten. Dies soll es den Administratoren des Dienstes und Strafverfolgungsbehörden ermöglichen, die Betreiber der Knoten im Falle einer Fehlkonfiguration kontaktieren oder einen Missbrauch zu melden. Eine hinterlegte E-Mail-Adresse reicht dafür aus.

Die Einhaltung dieser Regel wird aber nicht streng überwacht. Gerade wenn im Netzwerk keine ausreichend große Anzahl von Knoten aktiv ist, um den Datenverkehr der Nutzer zu verbergen, drücken die Tor-Betreiber ein Auge zu und akzeptieren auch Server ohne Kontaktangaben.
Hunderte Knoten zu jedem Zeitpunkt

Nusenu hat laut einem in dieser Woche von ihm veröffentlichten Artikel ein Muster bei einigen dieser Tor-Relais ohne E-Mail-Adressen ausgemacht. Dieses ist dem Experten demnach erstmals 2019 aufgefallen. Mittlerweile hat er das Phänomen bis ins Jahr 2017 zurückverfolgt. KAX17 fügt dem Netzwerk demnach ständig in großen Mengen neue Server ohne Kontaktinformationen hinzu. Zu jedem beliebigen Zeitpunkt habe der Angreifer so Hunderte von Knoten in Betrieb gehabt.

Die mysteriösen Server befinden sich in der Regel in Rechenzentren, die über die ganze Welt verteilt sind. KAX17 setzt dabei keinesfalls nur auf Billig-Hoster, sondern etwa auch auf die Microsoft-Cloud. Die Geräte sind hauptsächlich als Eingangs- und Mittelpunkte konfiguriert, eine kleine Anzahl von Exit-Knoten ist aber auch dabei.
Tor-Nutzer enttarnen

Das ist ungewöhnlich, da die meisten einschlägigen Angreifer dazu neigen, sich auf den Betrieb von Ausgangspunkten zu konzentrieren. Dies ermöglicht es ihnen unter anderem, den Datenverkehr des Nutzers zu verändern. Der breitere Fokus von KAX17 legt laut Nusenu nahe, dass es der "hartnäckig" vorgehenden Gruppe darum gehe, Informationen über Tor-Mitglieder zu sammeln und ihre Routen innerhalb des Netzwerks aufzuzeichnen. Es handle sich angesichts der eingesetzten umfangreichen Ressourcen und des betriebenen Aufwands keinesfalls um Amateure.

Nusenu rechnet vor, dass teils eine Wahrscheinlichkeit von 16 Prozent bestanden habe, dass sich ein Tor-Nutzer über einen der KAX17-Server mit dem Netzwerk verbindet. Die Chance, dass er eines der mittleren Relais durchläuft, habe sogar 35 Prozent betragen. Mit 5 Prozent sei es eher unwahrscheinlich gewesen, beim Verlassen von Tor von der Gruppe erfasst zu werden.

Die hohe Wahrscheinlichkeit eines Kontakts beim Eintritt und in der Mitte des Netzwerks könne definitiv genutzt werden, um über Tor betriebene versteckte Dienste ("Hidden Services") zu identifizieren, erklärte der Forscher Neal Krawetz, der sich auf Anonymisierungstechnologien spezialisiert hat, gegenüber dem Online-Magazin The Record. Dieser Ansatz "kann auch verwendet werden, um Nutzer zu enttarnen". Erfolgversprechend wirke sich dabei die Möglichkeit aus, parallel allgemeine öffentliche Online-Dienste zu überwachen und Nutzerspuren so weiterzuverfolgen.
KAX17 sind Fehler unterlaufen

Schon voriges Jahr hatte Nusenu gezeigt, dass Tor vergleichsweise einfach unterwandert werden kann. Demnach betrieb die Hackergruppe BTCMITM20 im großen Maßstab Exit-Knoten. In Spitzenzeiten lag die Wahrscheinlichkeit hier bei bis zu 27 Prozent, beim Tor-Browsen an einen solchen Server zu geraten. Den Gaunern ging es hier darum, Bitcoin-Überweisungen mittels Tor auf eigene Konten umzuleiten. Die Knoten flogen auf, weil sie ungewöhnlich viel Bandbreite beanspruchten und Datenverkehr manipulierten.

An eine Verbindung zwischen KAX17 und BTCMITM20 glaubt Nusenu angesichts der unterschiedlichen Profile der Angriffe nicht. Ein wissenschaftliches Projekt sieht er darin ebenfalls nicht. Auch wenn es sich bei KAX17 um einen mächtigen Akteur handle, sei diesem – zumindest in der Anfangszeit – bereits ein Fehler bei der operativen Sicherheit (OpSec) unterlaufen: Er habe bei einigen seiner Server zunächst noch eine E-Mail-Adresse angegeben.

Diese E-Post-Anschrift tauchte später auf einer Mailingliste des Tor-Projekts auf, just bei Diskussionen, ob Server ohne solche Kontaktangaben besser vorsichtshalber entfernt werden sollten. Der entsprechende Teilnehmer sprach sich bezeichnenderweise gegen ein solches Verfahren aus.
Ein Hase-und-Igel-Wettlauf – mit der NSA?

Nusenu meldet Server von KAX17 nach eigenen Angaben seit vorigem Jahr an das Tor-Projekt. Das dortige Sicherheitsteam habe daraufhin im Oktober 2020 alle Exit-Knoten der Gruppe entfernt. Kurz darauf seien aber einige solcher Server ohne Kontaktinformationen wieder online gegangen. Es sei wahrscheinlich, dass KAX17 dahinterstehe. Offenbar entwickle sich ein Hase-und-Igel-Wettlauf zwischen beiden Seiten.

Ein Sprecher des Tor-Projekts bestätigte gegenüber The Record die neuen Erkenntnisse von Nusenu. Er erklärte, dass auch im Oktober und im November dieses Jahres mehrere hundert Knoten entfernt worden seien, die man KAX17 habe zuschreiben können. Man untersuche den Angreifer noch und könne daher bislang keine Attribution vornehmen. Es gebe noch keine genauen Hinweise, wer dahinterstecken könnte. Die Enthüllungen Edward Snowdens legten zuvor nahe, dass zumindest der technische US-Geheimdienst NSA entsprechende Fähigkeiten haben dürfte.

Obwohl Nusenu bislang dagegen war, hält der Experte es mittlerweile für sinnvoll und teils notwendig, nicht vertrauenswürdige Knoten im Tor-Netzwerk von bestimmten Datenbewegungen auszuschließen. Nur so könne das Risiko der Deanonymisierung und anderer Angriffe verringert werden. Dafür sei es nötig, dass Tor-Clients den Einsatz "vertrauenswürdiger Betreiber" voreinstellen oder über "Vertrauensanker" kennenlernen könnten. Über 50 Prozent der Exit-Knoten seien auf ein solches Verfahren zur "Selbstverteidigung" bereits ausgerichtet.

Quelle:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[Thorasan]

Man kann sich, wenn man es nicht eh schon macht, ein wenig mit whonix absichern - aber wirklich effektiv ist das auch nur selten.
Bekannt ist das aber, sofern man sich mit Sicherheit befasst, schon länger..

[karfingo]

Bei Ausschluss kommt KAX17 mit mehreren anderen Namen und das Spielchen startet erneut.