Nutzer des Anonymisierungsdienstes Tor, die den Filesharing-Dienst BitTorrent verwenden, gehen ein erhebliches Risiko ein. Die Tracker-Verbindungen von BitTorrent lassen nach neuen Erkenntnissen französischer Sicherheitsexperten eine Identifzierung der IP-Adresse der betreffenden Person zu. Darüber können sogar andere, sichere Dienste "de-anonymisiert" werden.
Viele Nutzer verwenden das Filesharing-Protokoll BitTorrent über den Anonymisierungsdienst Tor - sei es, weil sie illegale oder sensible Inhalte tauschen, oder weil sie schlicht ihren gesamten Datenverkehr aus Privatsphäre-Gründen anonymisieren. BitTorrent jedoch stellt durch die dafür benötigten Tracker-Verbindungen ein ernstzunehmendes Risiko für die Anonymität des Nutzers da, wie nun bekannt wurde.
In einem kürzlich veröffentlichten Forschungspapier erklären Sicherheitsforscher von INRIA Frankreich unter Leitung von Stevens Le Blond, ihnen sei es gelungen, die IP-Adressen von 10.000 BitTorrent-Nutzern anhand ihrer Tracker-Verbindungen zu identifizieren. Man habe "eine Klasse von Schwachstellen im Tor-System" identifiziert, die die Anonymität zahlreicher BitTorrent-Nutzer gefährdet. Dabei wird ein Feature von Tor - das ironischerweise ursprünglich die Sicherheit und Effizienz von Tor verbessern sollte - in Verbindung mit einigen Eigenheiten des BitTorrent-Protokolls genutzt.
Besagtes Feature sieht vor, dass ein einmal aufgebauter "Kreis" von Routern für mehrere TCP-Verbindungen genutzt wird. Das spart erheblichen Rechenaufwand, da für die Erstellung eines solchen Kreises aufwändige kryptographische Berechnungen notwendig sind. Zudem sinkt so durch die geringere Anzahl verwendeter Router die Wahrscheinlichkeit, mit einem Router in Kontakt zu kommen, dessen Benutzer unlautere Absichten verfolgt und den Datenverkehr ausspioniert.
Daneben stellten die Wissenschaftler fest, dass viele BitTorrent-Nutzer zwar die Tracker-Verbindungen - bei denen nur wenige Daten ausgetauscht werden - über Tor anonymisieren, die großen Datenmengen der eigentlichen Peer-to-Peer-Verbindung aber aus Geschwindigkeitsgründen ohne die Nutzung von Tor austauschen. So kann der Tracker immerhin nicht die wahre IP-Adresse des Nutzers aufzeichnen.
Der Angriff der französischen Sicherheitsexperten erforderte zunächst das Aufsetzen einiger bösartiger Tor-Exit-Nodes sowie das Aufsetzen einiger als Honeypots fungierender BitTorrent-Clients auf den Rechnern der Forscher. Wenn nun einer der Exit-Nodes sieht, dass versucht wird, eine Verbindung zu einem BitTorrent-Tracker aufzubauen, wird die Antwort abgefangen und die IP-Adresse eines der von den Angreifern betriebenen BitTorrent-Clients der Liste von Peers hinzugefügt. Daraufhin versucht sich der Rechner des Opfers mit besagtem Honeypot zu verbinden - bei der gängigen Konfiguration ohne Anonymisierung, das heißt unter Verwendung seiner eigenen IP-Adresse.
Eine Variante des Angriffs funktioniert sogar bei Benutzern, die allen BitTorrent-Datenverkehr über Tor zu schicken versuchen. Diese Variante beruht auf der Benutzung eines "Distributed Hash Table" (DHT). Dieser verwendet UDP-Datenpakete, während Tor konstruktionsbedingt nur mit TCP-Verbindungen kompatibel ist. Somit müssen einige Datenpakete ohne Anonymisierung verschickt werden.
Die Angreifer wissen nun also, welche IP-Adresse und welchen "Kreis" durch das Tor-Netzwerk ihr Opfer verwendet. Durch die mehrfache Verwendung des Router-"Kreises" können nun auch die weiteren darüber laufenden Verbindungen dem Opfer zugeordnet werden. Dieser Angriff lässt sich wiederholen, wenn über andere "Kreise" ebenfalls BitTorrent-Trackerverbindungen laufen.
Roger Dingledine, der Leiter des Tor-Projekts, lobte die französischen Forscher ausdrücklich für das Aufdecken der Sicherheitslücken. Er äußerte sich allerdings kritisch darüber, dass die Experten den Angriff tatsächlich an 10.000 Nutzern durchführten. Dies sei unnötig und unethisch gewesen und habe lediglich der Publicity gedient.
Dingledine schlägt vor, BitTorrent nicht mehr über Tor laufen zu lassen. Dies wird ohnehin bereits empfohlen, da BitTorrent die vorhandene Bandbreite äußerst stark auslastet, was den anderen Nutzern gegenüber äußerst unsozial ist. Zudem muss auch der Filesharer selbst meist mit einer niedrigen Geschwindigkeit rechnen. Alternativ sollten wenigstens zwei separate Tor-Verbindungen für BitTorrent und andere Dienste aufgebaut werden. Somit wäre der BitTorrent-Traffic noch immer angreifbar, der restliche Datenverkehr des Benutzers aber immerhin geschützt. Einige Design-Überlegungen befassen sich momentan mit der Problematik; ein wirklich erfolgversprechendes Ergebnis, wie TCP-Streams effektiver getrennt werden können, gibt es aber bislang nicht. Wem an sicherem Filesharing gelegen ist, der sollte sich überlegen, auf speziell für diesen Zweck entwickelte alternative Peer-to-Peer-Lösungen zurückzugreifen.
Quelle: Gulli
