Das Tor-Anonymisierungsnetzwerk wurde Opfer eines erfolgreichen Cyber-Angriffs, berichtet Heise. Unbekannte sollen fast ein halbes Jahr lang eine große Zahl an Tor-Knoten, zeitweise bis zu 6,4 Prozent aller Eingangsknoten, betrieben haben. Dadurch ist die Wahrscheinlichkeit, dass Tor-Nutzer irgendwann eine Verbindung mit diesen manipulierten Knoten aufbauten, relativ hoch. Die Angreifer hatten so offenbar die Möglichkeit, Nutzer des Dienstes zu de-anonymisieren.

Nachweis der Verwendung von Hidden-Services

Da die Server der Angreifer sehr stabil waren und eine gute Anbindung hatten, erhielten sie den Status "geeignet als Entry Guard" (Guard) und "geeignet als Hidden Service Directory" (HSDir). Die Antworten auf die Kontaktanfragen der Nutzer konnten dadurch, bevor sie über den Tor-Eingangsknoten (Entry Guard), der die IP-Adresse des Nutzers kennt, zurückgeschickt werden, manipuliert werden. Angreifern war es so möglich, Nutzern die Verwendung von Tor-Hidden-Services – wie des teilweise illegalen Marktplatzes "Silk Road" – nachzuweisen. Die eigentlichen Nutzerdaten konnten so jedoch nicht mitgelesen werden.

Angreifer spielten in die Hände von Geheimdiensten

Die Tor-Entwickler kritisieren im Besonderen, dass die Angreifer keine anonymen IDs verwendet haben, sondern direkt die Dienstnamen der Hidden-Services eingebaut haben. Theoretisch wäre es so jedem Betreiber eines Tor-Eingangsknotens möglich gewesen, die IP-Adressen der Nutzer mit der Verwendung von Hidden-Services zu verknüpfen – und damit theoretisch auch Geheimdiensten, die den Internetverkehr von Eingangsknoten überwachen.

Tor-Betreiber veröffentlichen Update

Die Betreiber des Tor-Netzwerkes haben die kompromittierten Server Anfang Juli entdeckt und sofort stillgelegt. Die Knoten waren jedoch seit 30. Januar aktiv. Die Entwickler haben nun neue Tor-Versionen veröffentlicht, die einen solchen Angriff in Zukunft erschweren sollen. (wen, derStandard.at, 31.07.2014)