Aktualisierungen im Changelog, als RSS-Feed
oder im [matrix] Raum #prhdb-changes:nitro.chat

Privacy Handbuch

Tor Onion Router schützt den Datenverkehr auch gegen Angriffe potenter Geheimdienste wie die NSA. Es ist nach dem aktuellen Stand der Technik nahezu unmöglich, die Verschlüsselung mathematisch zubrechen und Nutzer anhand des Datenfluss zu deanonymisieren.

Angriffe zur Deanonymisierung von Tor Nutzern konzentrieren sich daher üblicherweise auf die Client Anwendung (z.B. den TorBrowser). In mehreren bekannten Fällen wurde durch Ausnutzung von Security Bugs im TorBrowser ein kleiner Trojaner auf dem Rechner von Zielpersonen installiert, der IP- und MAC-Adressen des Rechners ermittelte und an einen Server des Angreifers sendete.

Das FBI verwendete dafür mehrere Jahre den Magneto Trojaner (bzw. CIPAV), der auf Webseiten platziert wurde und nach Infektion des Systems via TorBrowser die Daten an einen Server der "Science Applications International Cooperation" sendet, die u.a. mit dem FBI kooperiert.

Bei allen Beispielen ging es um echt schmutzige Dinge, die in öffentlichen Gerichtsverhandungen bekannt wurden und mit denen das FBI seine Erfolge feierte. Rein technisch gesehen kann aber nicht nur das FBI diese Angriffe durchführen sondern auch beliebige andere Angreifer. 

Robustheit von Tor Lösungen gegen Deanonymisierung durch Trojaner

Es gibt mehrere Lösungen zu Nutzung von Tor Onion Router (nicht nur das TorBrowserBundle), die unterschiedlich robust gegen die Deanonymisierung durch Trojaner sind:

  1. Das TorBrowserBundle auf einem normalen PC oder Smartphone kann durch Standardtrojaner des FBI und anderen potenten Angreifern deanonymisiert werden, indem der Trojaner den Browser exploitet und Zugang zum OS auf User Level bekommt (wie die Beispiele zeigen).

  2. Die Tor Live-DVD TAILS leitet standardmäßig den gesamten Datenverkehr auf Systemebene durch Tor. Ein Angreifer muss nicht nur den Browser (oder eine andere Anwendung) mit dem Trojaner exploiten, sondern zusätzlich mit weiteren Exploits root Rechte erlangen, um die Schutzmaßnahmen von TAILS umgehen und den Nutzer deanonymisieren zu können.

    Das ist nicht unmöglich, wie ein Fall 2020 demonstrierte, bei dem das FBI eine Schwachstelle in Videocodecs ausnutzte, um mit einem Trojaner root Rechte in TAILS zu erlangen.

    Da der TorBrowser im höchsten Sicherheitslevel keine Videos abspielt, musste das Target auch noch dazu überredet werden, das kompromittierte Video im Videoplayer aufzurufen.

    Der Angriff war sehr teuer, ist nicht massentauglich und war ein (schmutziger) Einzelfall.

  3. Das Sicherheitskonzept von Whonix erfordert es, nach dem Exploiten einer Anwendung (z.B. TorBrowser) und dem Erlangen von root Rechten noch einer weitere Hürde zu überwinden. Der Angreifer muss danach noch aus der virtualisierten Arbeitsumgebung ausbrechen, um vom Hostsystem aus den Whonix Nutzer zu deanonymisieren. Bisher ist mir kein Fall bekannt.

  4. Die ultimative Tor Festung erhält man, wenn man für die Arbeitsumgebung und die Verschlüsselung des Datenverkehrs unterschiedliche Hardware nutzt, wobei der Aufbau nicht trivial ist.

    Whonix bietet mit Build Documentation: Physical Isolation eine Anleitung, wie die zwei virtuellen Maschine auf getrennter Hardware genutzt werden könnten. Es gibt wahrscheinlich nur wenige Bedrohungsszenarien, die das erfordern könnten. Eine solche Festung müsste in ein sinnvolles Gesamtkonzept intergriert werden mit hochsicherer Festplattenverschlüsselung… usw.

Ein Konzept für hohe Sicherheitsanforderungen

Wenn hohe Anforderungen an die Sicherheit gestellt werden, muss die Verschlüsselung des Datenverkehrs mit dem Tor Onion Router (oder mit einem VPN Client) in einer Umgebung erfolgen, die von der/den Arbeitsumgebungen mit den Internet Anwendungen getrennt ist.

Auch die beste Technik kann nicht vor Fehlern beim eigenen Verhalten schützen. So wurde Ross Ulbricht 2011 als Betreiber des Darknet Markplatzes "Silk Road" identifiziert, weil er in einem Forum Werbung für sein Projekt postete und dabei eine Bitcoin Adresse angab. Durch Analyse der Blockchain wurden weitere Bitcoin Adressen ermittelt, die zu einer Bitcoin Börse führten, wo er eine GMail Adresse mit seinem realen Namen angegeben hatte. (Das ist die offizielle Version des FBI.)

(Schon wieder so ein schmutziges Beispiel aus der Presse, falls jemand ein paar besser Beispiele kennt…)

Warum ist Cover Traffic sinnvoll? Ein Besipiel: Es gab einen Studenten, der eine Bombendrohung per E-Mail an seine Universität sendete. Der "Sender-IP" im Header E-Mail verwies auf einen Tor Exit Node. Das Log des zentralen HTTP-Proxy der Universität zeigt nur eine Verbindung ins Tor Netzwerk, die aus der Bibliothek der Universität kam. In der Bibliothek nutzte zum fraglichen Zeitpunkt nur ein Student das Uni-Netz - FAIL. Die Ermittlung dauerte nur wenige Stunden.