Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

PC & Internet Tor-Netzwerk: KAX17 führt massive Deanonymisierungsangriffe durch

Laut einem IT-Sicherheitsforscher betreibt ein mysteriöser Akteur seit 2017 große Teile des Anonymisierungsdiensts Tor, womit dieser unterwandert werde.

Seit mindestens 2017 hat ein unbekannter, mit umfangreichen Ressourcen ausgestatteter und offenbar staatlich unterstützter Angreifer tausende potenziell schädliche Server in Eingangs-, Mittel- und Ausgangspositionen des Tor-Netzwerks betrieben. Ein IT-Sicherheitsforscher mit dem Pseudonym Nusenu, der selbst Mitglied der Community ist, sieht darin einen Versuch, im großen Stil Nutzer des Dienstes zu deanonymisieren.

Du musst Regestriert sein, um das angehängte Bild zusehen.


900 Server mit 155 GBits/s

Der bedrohliche Akteur, den Nusenu auf den Namen KAX17 taufte, betrieb in der Spitze mehr als 900 Server im Tor-Netzwerk mit einer maximalen Bandbreitenkapazität von 155 GBit/s. Das sind gut zehn Prozent des gesamten Zusammenschlusses, der normalerweise eine tägliche Gesamtzahl von 9000 bis 10.000 Knoten aufweist.

Einige dieser KAX17 zugeschriebenen Server fungieren als Eingangspunkte (Wächter), andere als Zwischenrelais und wieder andere als Ausgangspunkte. Letztere stellen als Exit-Knoten die letzte Stufe in der Verschleierungsroute dar, die die Verbindung zwischen Tor und dem Rest des Internets aufrechterhalten.

Aufgabe der Knoten ist es, gemeinsam den Datenverkehr der Nutzer zu verschlüsseln und zu anonymisieren. So entsteht ein riesiges Netz von Proxy-Servern, die Verbindungen untereinander weiterleiten und dabei die Privatsphäre der Nutzer wahren sollen.

Server ohne Kontaktangaben im Notfall akzeptiert

Server, die zum Tor-Netzwerk hinzugefügt werden, müssen eigentlich rudimentäre Kontaktinformationen enthalten. Dies soll es den Administratoren des Dienstes und Strafverfolgungsbehörden ermöglichen, die Betreiber der Knoten im Falle einer Fehlkonfiguration kontaktieren oder einen Missbrauch zu melden. Eine hinterlegte E-Mail-Adresse reicht dafür aus.

Die Einhaltung dieser Regel wird aber nicht streng überwacht. Gerade wenn im Netzwerk keine ausreichend große Anzahl von Knoten aktiv ist, um den Datenverkehr der Nutzer zu verbergen, drücken die Tor-Betreiber ein Auge zu und akzeptieren auch Server ohne Kontaktangaben.

Hunderte Knoten zu jedem Zeitpunkt

Nusenu hat laut einem in dieser Woche von ihm veröffentlichten Artikel ein Muster bei einigen dieser Tor-Relais ohne E-Mail-Adressen ausgemacht. Dieses ist dem Experten demnach erstmals 2019 aufgefallen. Mittlerweile hat er das Phänomen bis ins Jahr 2017 zurückverfolgt. KAX17 fügt dem Netzwerk demnach ständig in großen Mengen neue Server ohne Kontaktinformationen hinzu. Zu jedem beliebigen Zeitpunkt habe der Angreifer so Hunderte von Knoten in Betrieb gehabt.

Die mysteriösen Server befinden sich in der Regel in Rechenzentren, die über die ganze Welt verteilt sind. KAX17 setzt dabei keinesfalls nur auf Billig-Hoster, sondern etwa auch auf die Microsoft-Cloud. Die Geräte sind hauptsächlich als Eingangs- und Mittelpunkte konfiguriert, eine kleine Anzahl von Exit-Knoten ist aber auch dabei.

Tor-Nutzer enttarnen

Das ist ungewöhnlich, da die meisten einschlägigen Angreifer dazu neigen, sich auf den Betrieb von Ausgangspunkten zu konzentrieren. Dies ermöglicht es ihnen unter anderem, den Datenverkehr des Nutzers zu verändern. Der breitere Fokus von KAX17 legt laut Nusenu nahe, dass es der "hartnäckig" vorgehenden Gruppe darum gehe, Informationen über Tor-Mitglieder zu sammeln und ihre Routen innerhalb des Netzwerks aufzuzeichnen. Es handle sich angesichts der eingesetzten umfangreichen Ressourcen und des betriebenen Aufwands keinesfalls um Amateure.

Nusenu rechnet vor, dass teils eine Wahrscheinlichkeit von 16 Prozent bestanden habe, dass sich ein Tor-Nutzer über einen der KAX17-Server mit dem Netzwerk verbindet. Die Chance, dass er eines der mittleren Relais durchläuft, habe sogar 35 Prozent betragen. Mit 5 Prozent sei es eher unwahrscheinlich gewesen, beim Verlassen von Tor von der Gruppe erfasst zu werden.

Die hohe Wahrscheinlichkeit eines Kontakts beim Eintritt und in der Mitte des Netzwerks könne definitiv genutzt werden, um über Tor betriebene versteckte Dienste ("Hidden Services") zu identifizieren, erklärte der Forscher Neal Krawetz, der sich auf Anonymisierungstechnologien spezialisiert hat, gegenüber dem Online-Magazin The Record. Dieser Ansatz "kann auch verwendet werden, um Nutzer zu enttarnen". Erfolgversprechend wirke sich dabei die Möglichkeit aus, parallel allgemeine öffentliche Online-Dienste zu überwachen und Nutzerspuren so weiterzuverfolgen.

KAX17 sind Fehler unterlaufen

Schon voriges Jahr hatte Nusenu gezeigt, dass Tor vergleichsweise einfach unterwandert werden kann. Demnach betrieb die Hackergruppe BTCMITM20 im großen Maßstab Exit-Knoten. In Spitzenzeiten lag die Wahrscheinlichkeit hier bei bis zu 27 Prozent, beim Tor-Browsen an einen solchen Server zu geraten. Den Gaunern ging es hier darum, Bitcoin-Überweisungen mittels Tor auf eigene Konten umzuleiten. Die Knoten flogen auf, weil sie ungewöhnlich viel Bandbreite beanspruchten und Datenverkehr manipulierten.

An eine Verbindung zwischen KAX17 und BTCMITM20 glaubt Nusenu angesichts der unterschiedlichen Profile der Angriffe nicht. Ein wissenschaftliches Projekt sieht er darin ebenfalls nicht. Auch wenn es sich bei KAX17 um einen mächtigen Akteur handle, sei diesem – zumindest in der Anfangszeit – bereits ein Fehler bei der operativen Sicherheit (OpSec) unterlaufen: Er habe bei einigen seiner Server zunächst noch eine E-Mail-Adresse angegeben.

Diese E-Post-Anschrift tauchte später auf einer Mailingliste des Tor-Projekts auf, just bei Diskussionen, ob Server ohne solche Kontaktangaben besser vorsichtshalber entfernt werden sollten. Der entsprechende Teilnehmer sprach sich bezeichnenderweise gegen ein solches Verfahren aus.

Ein Hase-und-Igel-Wettlauf – mit der NSA?

Nusenu meldet Server von KAX17 nach eigenen Angaben seit vorigem Jahr an das Tor-Projekt. Das dortige Sicherheitsteam habe daraufhin im Oktober 2020 alle Exit-Knoten der Gruppe entfernt. Kurz darauf seien aber einige solcher Server ohne Kontaktinformationen wieder online gegangen. Es sei wahrscheinlich, dass KAX17 dahinterstehe. Offenbar entwickle sich ein Hase-und-Igel-Wettlauf zwischen beiden Seiten.

Ein Sprecher des Tor-Projekts bestätigte gegenüber The Record die neuen Erkenntnisse von Nusenu. Er erklärte, dass auch im Oktober und im November dieses Jahres mehrere hundert Knoten entfernt worden seien, die man KAX17 habe zuschreiben können. Man untersuche den Angreifer noch und könne daher bislang keine Attribution vornehmen. Es gebe noch keine genauen Hinweise, wer dahinterstecken könnte. Die Enthüllungen Edward Snowdens legten zuvor nahe, dass zumindest der technische US-Geheimdienst NSA entsprechende Fähigkeiten haben dürfte.

Obwohl Nusenu bislang dagegen war, hält der Experte es mittlerweile für sinnvoll und teils notwendig, nicht vertrauenswürdige Knoten im Tor-Netzwerk von bestimmten Datenbewegungen auszuschließen. Nur so könne das Risiko der Deanonymisierung und anderer Angriffe verringert werden. Dafür sei es nötig, dass Tor-Clients den Einsatz "vertrauenswürdiger Betreiber" voreinstellen oder über "Vertrauensanker" kennenlernen könnten. Über 50 Prozent der Exit-Knoten seien auf ein solches Verfahren zur "Selbstverteidigung" bereits ausgerichtet.

Quelle; heise
 
Angreifer schleuste hunderte Server in alle Bereiche des Tor-Netzwerkes

Sicherheitsforscher versuchen einem Betreiber zahlreicher Tor-Knoten, die nicht als sicher eingestuft werden können, auf die Spur zu kommen. Dieser verucht mit den Servern offenbar, die Anonymisierung des Netzwerkes auszuhebeln.

Unter den Security-Forschern wird dem Betreiber der schädlichen Tor-Knoten die Bezeichnung KAX17 zugedacht - es ist unklar, ob es sich hier um eine staatliche Organisation oder eine sonstige Gruppe handelt, prinzipiell wäre auch eine Privatperson denkbar, was letztlich aber unwahrscheinlich ist. Denn es gibt kaum einen Grund, warum ein einzelner User über Jahre solch einen Aufwand betreiben sollte.

Immerhin geht es hier um bis zu 900 Server, die gleichzeitig betrieben und auf verschiedenen Ebenen in das Tor-Netzwerk gehängt wurden, wie das Magazin The Record berichtet. Dieses arbeitet normalerweise mit 9000 bis 10.000 Knoten, somit hatte der Angreifer hier einen beträchtlichen Anteil und kann so einen nennenswerten Teil des Traffics auf die Systeme bekommen, die unter seiner Kontrolle stehen.

Katz und Maus

Die fraglichen Server wurden teils als Entry- und Exit-Knodes und auch als Relays in der Mitte der Anonymisierungskette betrieben. Damit kann es einem Angreifer möglich werden, bestimmte Muster im Datenverkehr zu verfolgen und letztlich herauszufinden, mit welchem Server im Internet ein Nutzer, der anonym bleiben wollte, letztlich kommuniziert.

Erste Anzeichen der Aktivität von KAX17 wurden im Jahr 2019 verzeichnet. Analysen zeigten jedoch, dass der Betreiber bereits 2917 erste Server in das Tor-Netzwerk integrierte. Gelegentlich fielen einige weg, andere kamen hinzu. Es handelt sich meist um Systeme, die irgendwo auf der Welt in einem Datenzentrum angemietet und dann mit der Tor-Serversoftware ausgestattet werden. Zwischenzeitlich wurden auch schon mehrfach alle KAX17-Server von Tor-Unterstützern entfernt, doch es kommen immer wieder neue nach und es ist nicht direkt möglich, diese immer zuverlässig zu identifizieren.

Quelle; winfuture
 
Zurück
Oben