Anonymisierungservice TOR attackiert

Gib NSA keine Chance

„Quis custodiet custodes?“

Scheinbar seltsam unbeachtet unter Aktivisten, ist kürzlich ein schwerwiegender Angriff der US-amerikanischen Spitzelbehörde NSA (National Security Agency) auf den Anonymisierungsservice TOR bekannt geworden. Unter dem altbekannten Deckmantel des Kampfes gegen Terror und Kriminalität sind vermutlich einige tausend Benutzerdaten von TOR-Usern über die Ausnutzung einer Schwachstelle des Anonymisierungsnetzwerkes ermittelt worden. Nach dem jetzigen Kenntnissstand handelt es sich bei den ermittelten Daten um den Hostnamen (der Gerätename) und die IP-Adresse, welche in Kombination eine relativ sichere Identifizierung des Benutzers ermöglichen.[1]


Betroffen sind dabei Nutzer, für welche ALLE der drei folgenden Kriterien zutreffen.
 - Aufrufen einer Webseite, die von Freedom Hosting (FH) gehosted wurde
 - Javascript war aktiviert
 - Verwenden einer Version des TOR-browser Bundle (TBB) niedriger als Version 17.0.7.
 
Man kann vermutlich auch sagen, dass nur Windowsnutzer betroffen sind, wobei sich jedoch niemand aufgrund eines anderen Betriebssystems sicher fühlen sollte.

Zur Art des Angriffs selbst können wir sagen, dass die Besucher von bei FH gehosteten Webseiten auf eine Drittseite mit einer einfachen Wartungsmeldung verlinkt wurden.[2] Diese Seite, ebenso wie die gesamte Aktion, wird der US-Technologiefirma SAIC zugeschrieben, welche Teil des militärisch-industriellen Komplexes der USA ist. Auf besagter Seite wurde bei den Benutzern, welche Javascript aktiviert hatten und eine veraltete Version des TBB nutzten ein Schadprogramm ausgeführt, dass - eine Sicherheitlücke des im TBB integrierten Firefoxbrowsers ausnutzend - zur Übermittlung der oben genannten Benutzerdaten an SAIC, bzw. die NSA führte. Es handelt sich hier möglicherweise um einen sogenannten Zero-Day-Exploit, bei dem eine aufgefundene (oder extra entwickelte) Sicherheitslücke - hier von den Firefox-Entwicklern - nicht sofort geschlossen wurde, sondern entweder freiwillig oder aufgrund behördlicher Vorgaben vorher herausgegeben wurde, damit sie von interessierter Seite für ihre Zwecke ausgenutzt werden konnte.

Parallel zu dem Angriff wurde eine massive FUD-Kampagne gestartet, um TOR-User, welcher man auf diese Weise nicht habhaft werden konnte, dazu zu bringen, dem Anonymisierungsdienst den Rücken zu kehren und ihre Hardware zu zerstören. So grassieren z.B. diverse sinnfreie Beiträge mit der Aufforderung, Festplatten, Netzwerkkarten, RAM-Bausteine, etc. zu zerschreddern und die Reste zu verstecken. Wir würden von solchen Maßnahmen eher abraten, da es zum einen genügend freie Software gibt, die Daten sicher löscht (s.u.), zweitens eine phyische Vernichtung weit schwerer zu bewerkstelligen ist, als es suggeriert wird und drittens der gesamte Angriff juristisch kaum verwertbares Material erbracht haben dürfte, dass in sofortigen oder auch späteren Hausdurchsuchungen münden könnte. Denn auch wenn die Offenlegung der Daten sicherheitstechnisch sehr bedeutsam ist, rechtfertigt das reine Aufrufen einer Seite, was aus vielen Gründen geschehen kann, eine solche Maßnahme juristisch kaum.

Wir wollen das Risiko hier jedoch auch nicht kleinreden. Die NSA als gesetzlich praktisch unkontrollierter Teil des US-imperialistischen Repressionsapparates mit quasi unbegrenzter Macht kann nun weitere verdachtsunabhängige aber gezielte Überwachungsmaßnahmen gegen die ermittelten Personen durchführen oder solche veranlassen. Der möglicherweise betroffene Personenkreis sollte daher nun entsprechend vorsichtig sein, ohne jedoch in destruktive Paranoia zu verfallen. Darüber hinaus müssen alle Seiten, die jemals von FH gehosted wurden als verbrannt angesehen werden und können von niemanden mehr benutzt werden, sollten sie je wieder erreichbar sein.[3] Aufgrund der Struktur von TOR ist es allerdings unmöglich zu sagen, welche Seiten genau von FH gehosted wurden, solange die jeweiligen Seiteninhaber dies nicht selbst bekanntgegeben haben. Einige bekannte und von FH gehostete Seiten waren z.B. Tormail und das relativ neue Onionbank.

Eine verantwortliche Nutzung vorausgesetzt, ist TOR aber auch weiterhin der sicherste Anonymisierungsdienst und es gibt keinen Grund, das Netzwerk nun zu meiden. Gerade im Zuge der jüngsten Offenbarungen des Whistleblowers Edward Snowden ist TOR als eine der wenigen Bastionen gegen die orwellianische Überwachung durch die Spitzelbehörden unverzichtbar. Wir fordern daher auf, TOR jetzt erst recht zu benutzen und zwar nicht nur, falls ihr etwas zu verbergen habt, sondern auch gerade wenn ihr nichts zu verbergen habt. Sorgt so dafür, dass Datenschutz nach einer Eingewöhnungszeit gelebte Normalität wird und erzeugt Datenmüll, an dem die Geheimdienste ersticken.

Um diesem Ziel etwas näher zu kommen, sprechen wir hier noch einige zusätzliche Softwareempfehlungen für Windows-User aus, da jene wohl auch in Zukunft die weite Mehrzahl der Betroffenen darstellen werden und wohl auch diejenigen sind, die am ehesten solcher Tipps bedürfen. Unerlässlich sind für uns:

- ein in Echtzeit verschlüsseltes System oder eine Festplatte oder zumindest ein Container (TrueCrypt 7.1a / www.TrueCrypt.org)
- eine Verschlüsselung eurer Emails (gpg4usb 0.3.2-1 / http://gpg4usb.cpunk.de)
- ein anonymes Internetzugangsprogramm (TOR / https://www.torproject.org/)
- ein sicheres Datenlöschungsprogramm (Eraser / http://eraser.heidi.ie / http://sourceforge.net/projects/portableapps/files/Eraser%20Portable/) [4]

Es gibt natürlich Alternativen, aber alle vorgenannten Programme sind Open Source, bewährt und haben den Vorteil, dass sie relativ unkompliziert bedienbar sind und von einem USB-Stick aus funktionieren. Um es hier jedoch noch einmal ganz deutlich zu sagen, auch die durchgehende Benutzung dieser Programme stellt keine absolute Sicherheit her, da euch die Technik (zum Glück) von euren eigenen Schwächen nicht befreit und das beste Verschlüsselungsprogramm nichts wert ist, wenn euer noch so kompliziertes Passwort von einem Bundestrojaner abgefangen wird. Genausowenig kann euch ein Datenlöschprogramm noch helfen, wenn der Staatsschutz vor der Tür steht und ihr 5 Gigabyte Daten zu löschen habt.

Bei allen grundsätzlichen Schwächen erhöht die Benutzung von Sicherheitssoftware mit verhältnismäßig geringem Aufwand jedoch eure Privatsphäre und den Aufwand des Staates in sie einzudringen beträchtlich.

 

In diesem Sinne, passt auf euch auf.

 

_____________


*[1] In Verbindung mit der besuchten Seite.
*[2] Eine alternative Erklärung ist, dass die Seiten direkt manipuliert wurden.
*[3] Ergänzung: Eine solche Seite nur aufzurufen wäre vermutlich sicher, solange Javascript deakiviert ist. Jegliche weitergehende Nutzung, wie z.B. das Aufrufen eines alten Emailaccounts bei Tormail, verbietet sich aber von selbst.
*[4] Die 5er Serie ist "portable" (für Einsatz von einem USB-Stick geeignet), aber wird nicht mehr weiterentwickelt.
_____________


Weitere Quellen (bis auf ccc.de nur auf englisch):

http://newsiiwanaduqpre.onion/ (TorNews, nur über TOR zu erreichen)
https://blog.torproject.org/blog/tor-security-advisory-old-tor-browser-bundles-vulnerable (TOR Entwicklerblog)

https://www.riseup.net/en/riseup-and-government-faq (Riseup)
https://prism-break.org/ (Seite mit Softwarealternativen, die Überwachung erschweren)
http://ccc.de/de/anonymizer (Seite des Chaos Computer Clubs)
https://ssd.eff.org/ (Seite der Electronic Frontier Foundation)

Zeige Kommentare: ausgeklappt | moderiert

Auch wenn ihr den Sachverhalt recht ausfürlich dargestellt habt ist es wichtig nochmal klarzustellen:

 

Es war ein Angriff auf den Browser (bestimmte Firefox-Version), nicht auf das Tor-Netzwerk selbst. Mit anderen Worten: wenn mein Browser unsicher ist, hilft mir auch Tor/Onion Routing nichts, soviel ist klar. Im konkreten Fall wollten die Bullen wissen, wer auf bestimmte, nur über Tor erreichbare Kinderporno-Seiten zugreift. Generell ist das Angriff natürlich für alle Szenarien denkbar, bei denen wir dem Server nicht vertrauen können (im konkreten Fall wurde der von den Bullen Hops genommen und mit Malware präpariert).

 

Was können wir dagegen tun? Lücken wird leider es auch in freier Software immer wieder geben. Je nach Aufwand können können wir diese allerdings minimieren (in Auswirkung).

  • Tor Browser Bundle immer aktuell halten. Wenn möglich Skripte generell deaktivieren (via NoScript), da sie die größte Angriffsfläche bieten (Nachteil: Web2.0 Krams nicht/weniger gut nutzbar).
  • für Linux-User: Browser chrooten und/oder eigenen (read-only) Account für Tor-Sessions anlegen um es einem Angreifer zu erschweren, eine dauerhafte Backdoor ("Bundestrojaner") zu platzieren. Ggf. MAC-Adresse vor jeder Session ändern und Nicht-Tor-Traffic generell verbieten. Alles eine Frage des Aufwands, ab hier wird dann natürlich langsam user-unfriendly...
  • Tails LiveCD/USB-Stick nutzen. Vorteil: recht Idiotensicher, es wird kein Traffic erlaubt der nicht über Tor läuft. Wenn das Medium schreibgeschützt ist, ist eine dauerhafte (einen Reboot überstehende) Manipulation unmöglich.

… und wenn man das wirklich ernsthaft benutzt ist, wie bereits gesagt Tails, oder Whonix besser. Das sind transparente Proxies, die nur Tor-Traffic durchlassen und es dadurch unmöglich machen die IP rauszufinden, wenn der Klient gehackt wurde. (bspw. über injeziertes JS)

Vorsicht bei TAILS. In der Version 0.19 ist in den Browsereinstellungen Javascript eingeschalten! Die Attacke, von der ich gelesen habe (TOR-Mail), bedingte Javascript.

kann mich dem kommentar von oben anschließen. die browser wurden angegriffen, nicht das netzwerk.

 

AUSSERDEM: Nicht alle Seiten die von TH gehostet wurden haben das injezierte JS, nur die kiddyfickerseiten bzw. die seiten die angegriffen werden sollten.

AUSSERDEM: Nicht alle Torbrowser-Versionen, die JS erlaubt hatten waren betroffen, sondern nur auf Windows-Systemen.

 

Außerdem war DIESER angriff nur möglich, weil der TH Betreiber gesickt wurde.

 

Ansonsten ist das hier wahrscheinlich interessanter:

http://www.onion-router.net/Publications/locating-hidden-servers.pdf

http://homes.cs.washington.edu/~yoshi/papers/Tor/wpes25-bauer.pdf

da der Torbrowser nun mal ein integraler Bestandteil der technischen Infrastruktur des Netzwerkes ist und dazu, wie der Name eigentlich schon sagt, eine Spezialentwicklung der TOR- und Firefox-Entwickler ist, die so sonst nirgends verwendet wird. Das heißt, der Angriff hätte bei Kontrolle über jeden anderen der anonymen Webhoster genauso durchgeführt werden können und wird gegebenfalls auch so ähnlich durchgeführt werden. In diesem Fall war es eben Freedom Hosting.

In diesem Zusammenhang, es ist FH, nicht TH und es waren ganz offensichtlich nicht nur Kinderpornoseiten betroffen, auch wenn das natürlich der offiziellen Propaganda des FBI, der NSA und ihrer nützlichen Erfüllungsgehilfen entspricht, die mit dem emotionalen Appell an die primitiven Instinkte des Volksmobs so äußerst durchsichtig versuchen, jegliche Kritik an ihrer Handlungspraxis abzuqualifizieren.
Das nur Windows betroffen ist, ist wie bereits im Artikel mehr als deutlich angesprochen wahrscheinlich, aber keineswegs sicher und wissen können es überhaupt nur die, die den Angriff geplant und durchgeführt haben.

Das in deinem Post implizierte angebliche Desinteresse an allen Seiten, die nicht pädophile Inhalte anbieten kann man angesicht der immer offenkundiger werdenden Praxis der NSA dann auch bestenfalls nur als unbegreiflich naiv bezeichnen.

Semantische Haarspalterei ist das keinesfalls, da es einen erheblichen Unterschied macht, ob Dienstleister (Netzwerkinfrastruktur) oder Dienstnutzer (Browser) angegriffen werden.

Es bleibt noch zu erwähnen das der FH-Admin schon länger (Abgerufen vor ca einem Monat) auf einer Unterseite klar geschrieben hat er würde im Ernstfall alles tun um sich selber zu schützen und mit den Behörden zusammenarbeiten sollte seine Identität enthüllt werden. (Nicht ganz der Wortlaut, aber die Message war klar.)

 

Es gab auchschon Anonymous-Angriffe auf FH wegen der verhältnismäßig großen (und insbesondere im vergleich zum Rest der KiPo-Szene einfach zu erreichenden) KiPo-Seiten die dort gehostet waren, was der FH-Betreiber sicher auch wusste. Ich will den Admin deshalb nicht zum Monster stempeln, aber schade ists mir auf keinen Fall.

 

Ich sehe das ganze nicht als Angriff auf TOR, das Problem liegt da, dass Tormail bei einem Freehoster gehostet war von dem bekannt war das er auch KiPo hostet und der klar angesagt hat im Ernstfall mit Behörden zu kooperieren.  Sollte das FBI an die Nachrichten von Tormail gelangt sein dürfte das einige Busts in verschiedenen Kriminalitätssektoren nach sich ziehen. War ja nicht unbeliebt bei Käufern und Verkäufern von Drogen und 'Raub'kopiergruppen.

Dieses Zitat des FH-Admins ist uns nicht bekannt, aber es überrascht uns nicht. Denn es ist natürlich klar, dass TOR im Allgemeinen und FH im Besonderen eine Menge tatsächlicher und vermeintlicher, vor allem aber gemachter Krimineller anzog, und die Intention dieses Artikels war auch nicht, z.B. speziell für Pädophile einzutreten. Davon abgesehen, teilen wir die hinter solchen Relativierungen steckende Logik, dass es ja na "nur" Kinderschänder sind und das ganze von daher irgendwie ok, überhaupt nicht. Unserer Ansicht ist dies nämlich nur der Beginn einer verhängnisvollen Rechtfertigungskette, die letztlich den Bruch von fundamentalen Menschenrechten (z.B. Privatsphäre, Selbstbestimmungsrecht) für alle zur Folge hat. Die entsprechenden Gesetzesvorstöße/Planspiele in den USA (z.B. SOPA, PIPA, etc.) und der EU (z.B. CleanIT) zeigen deutlich, dass es mittelfristig um eine totale "Disziplinierung" des Internets geht, die im Endeffekt auch vor allen anderen nicht haltmachen wird. Auch die Tatsache, dass alleine die NSA seit mindestens 10 Jahren einen immensen Aufwand u.a. mit eigenen TOR-Exitnodes betreibt, sagt uns, dass es nicht nur um einige tausend Pädophile gehen kann. Das Argument, dass Tormail vermutlich (oder sicherlich) Pädophilen eine Kommunikationsmöglichkeit anbot, überzeugt uns daher nicht, da man mit dieser Logik eben auch jeden anderen Emailprovider schließen könnte. Und zwar auch Riseup oder Autistici, von denen wir wissen, dass Kriminelle sie als sicheren Provider zumindest diskutieren und damit sehr wahrscheinlich auch nutzen. Eine wirkliche Hürde, diese Anbieter zu nutzen, gibt es - von z.b. Riseup ja bewusst so gewählt - nicht.

Das gerade erst Lavabit und Circlemail dicht machten/machen mussten, passt unserer Meinung da auch ins Bild der geplanten Zerschlagung jeglicher Reste von Freiheit im Internet. Ob das ganze jetzt ein Angriff auf TOR ist oder nicht, liegt anscheinend im Auge des Betrachters. Im größeren Kontext gesehen halten wir die jüngsten Ereignisse klar für ersteres, wobei man sich hier in bewährter Weise (divide et impera) an eine sicher nicht zu Unrecht zutiefst unpopuläre Minderheit gehalten hat, bei der das Absprechen der Menschenrechte fast schon fraktionsübergreifender Konsens ist. In etwa vergleichbar mit CSU-Parteichef Seehofers populistischem Vorstoß zu einer Pkw-Maut, "nur" für Ausländer, was ja in Deutschland auch immer gut ankommt, auch wenn man jetzt schon davon ausgehen kann, dass es hinterher alle treffen wird (mit dem netten Nebeneffekt, dass man dann immer schön weiß, wer wann wo unterwegs ist). Supergrundrechtsminister Friedrich würde das zumindest freuen, auch wenn der noch nicht so weit ist, wie z.B. die Briten, die Verschlüsselungssoftware schon mal effektiv verboten haben. Begründung: Terrorismus und Kriminalität.

 

Aber um es noch mal mit einer Analogie zu versuchen, wir halten einen durch die Scheibe geworfenen Stein nicht für einen Angriff auf das Fenster oder die Scheibe, sondern für einen Angriff auf uns, von dem wir wissen, dass er sich jederzeit wiederholen kann. Wie auch immer man es also bewertet, was hier passiert ist; es war die Blaupause für einen Angriff auf uns alle. Darum wehret den Anfängen.

Ich habe Tormail nicht vorgeworfen irgendwas mit KiPo am hut zu haben, ich meinte: Es war Engstirnig diesen großen Mailanbieter bei einem Freehoster zu Hosten, noch dazu bei einem der sehr Zwielichtig war. Tormail hat doch sogar eine Website im WWW betrieben mit der Erklärung die eigentliche Tormail-Seite sei nur über TOR zu erreichen. Und trotzdem haben sie sich für TOR offenbar keinen eigenen Server geleistet. 

Ziemlich Riskant das vorgehen, FH hätte doch von Anfang an einfach von der NSA oder sonstwem betrieben worden sein. Wer stellt bitte schon sonst Unlimited Traffic und Space für Kostenlos bereit ;-)

Wenn nun der Zwielichtige Hoster wegen KiPo abgeschaltet wird ist das m.E. kein angriff auf TOR, auch wenn einige löbliche Dienste betroffen waren.

Dezentralisierung ist die Lösung. Wobei das ein Kampf gegen Windmülen ist. Bald kommt Cloudflare für TOR und alles läuft über CF-Server, LOL.

 

Mutmaßung wie man FH ganz leicht lokalisiert haben könnte: Ein riesen TOR-Anbieter, warscheinlich der größte Upstream ins TOR-Netzwerk überhaubt. Ich bin da Technisch nicht so versiert, aber sowas dürfte in einem Netzwerk aus Knoten auffallen.

 

ps: Mehr solche Artikel bitte.