Editorial: Ist das Tor-Netz nur für Toren?
Tor-Netz für Toren?
Bild: dpa
Gleich zwei große Sites des Darknet wurden in den vergangenen Tagen
ausgehoben: Das Kinderschänder-Forum "Elysium" mit (den Angaben der
Polizei zufolge) 87 000 Nutzern, sowie der Marktplatz
"Alphabay", der wohl größte Nachfolger des berüchtigten Drogenhandelsplatzes
Sllk Road. Von beiden Sites konnten nach
Angaben der Ermittlungsbehörden die Administratoren verhaftet werden:
Im Fall von Elysium ein 39-jähriger Hesse, bei Alphabay der
26-jährige Kanadier Alexandre Cazes, der in Thailand lebte.
Bei der Verhaftung von Cazes wurden mehrere Luxusautos und 400 Millionen Baht Bargeld (knapp über 10 Millionen Euro) beschlagnahmt. Cazes scheint sich also in Thailand sehr sicher gefühlt zu haben, wenn er derart hohe Summen in seinem Anwesen lagerte, statt sie in Bankschließfächern oder offshore-Firmen zu verstecken. Zumal sich die Frage stellt, warum er überhaupt in Thailand lebte: Dass Thailand bei Drogenhandel drakonische Strafen verhängt, ist ja immer wieder Thema in den Medien. Im konkreten Fall war aber wohl Thailand gar nicht daran interessiert, den Darknet-Handelsplattform-Betreiber selber zu bestrafen. Vielmehr wurde nach internationalen Medienberichten seine Auslieferung an die USA bereits vorbereitet. Cazes hatte aber wohl weder Lust, in thailändischen noch in US-Knasts zu verschimmeln und brachte sich wenige Tage nach seiner Verhaftung selber um.
So werfen die Ermittler Licht ins Darknet
Tor-Netz für Toren?
Bild: dpa
Wie schon vor einem Jahr in einem anderen Editorial geschrieben,
bietet das Darknet so gut wie keine Sicherheit
vor strafrechtlichen Ermittlungen. Insbesondere, wenn physische
Waren (Drogen, Waffen etc.) im Darknet gehandelt werden, folgt auf die
anonyme Transaktion ja immer eine echte Lieferung, die von den
Ermittlungsbehörden verfolgt werden kann. Dazu ist zwar in vielen
Fällen, insbesondere, wenn der genaue Absender ermittelt werden soll,
die Kooperation des Paketdienstleisters erforderlich. Andererseits
haben die Paketdienstleister in der Regel wenig Lust, dass aus einem
aus Versehen aufgerissenen Paket dann irgendwelches unindentifizierbares,
wahrscheinlich illegales und möglicherweise gefährliches weißes Pulver
rieselt.
Weitere Ermittlungsansätze ergeben sich daraus, dass das Tor-Netz, über das der verschleierte Zugang zu Darknet-Sites erfolgt, aus gerade mal etwa 7000 aktiven Relays besteht. Sogar nur etwa 1000 dieser Relays sind aktive Exit-Knoten, von denen aus der Tor-Traffic zu normalen Websites geroutet werden kann. Das dürfte damit zusammenhängen, dass das Betreiben eines Exit-Knoten mit einer sehr hohen Abmahngefahr verbunden ist: Immerhin ist die IP des Exit-Knoten diejenige, unter der die Aktivitäten des jeweiligen Tor-Nutzers quasi "öffentlich sichtbar" werden.
Im Umkehrschluss bedeutet die geringe Zahl der Exit-Knoten: Will ein Geheimdienst den Traffic dieser Exit-Knoten überwachen, braucht er lediglich ein Dutzend unscheinbarer Mietserver bei diversen Providern, um bereits 1 Prozent des Exit-Traffics zu erfassen! Zwar ist es etwas schwieriger, Hidden Services des Darknet zu überwachen, denn die Anfragen zu diesen laufen gerade nicht über die Exit-Knoten. Vielmehr baut zunächst der versteckte Server eine "ganz normale" Tor-Verbindung zu einem der circa 4000 Tor-Knoten mit Verzeichnisserver auf und registriert sich dort. Alle folgenden Anfragen an den Hidden Server werden dann über die bereits bestehende Verbindung zum Tor-Netzwerk zurückgeroutet.
Im Endeffekt benötigt ein Angreifer knapp hundert Mietserver, um ein Prozent aller Tor-Knoten zu kontrollieren, worunter sich dann ein Prozent aller Guard-Knoten (über die Verbindungen zum Tor-Netz aufgebaut werden) und ein Prozent der bereits erwähnten Verzeichnis-Knoten befindet. Mit einer Wahrscheinlichkeit von 1 Prozent mal 1 Prozent = 0,1 Promille gelingt es einem solchen Angreifer, gleichzeitig Zugriff auf die beiden Tor-Knoten zu haben, über den sich ein Hidden Service mit dem Tor-Netz verbindet, und auf dem sich der Hidden Service selber registriert.
In vielen Fällen kann der Angreifer durch Traffic-Analyse feststellen, dass er tatsächlich beide Enden einer Tor-Verbindung kontrolliert, und zwar auch dann, wenn sich mehrere weitere Tor-Knoten dazwischen befinden. Durch klassische Hacking-Methoden (zum Beispiel kurzer, gezielter DDOS-Angriff auf eine IP, die vermeintlich als zu einem bestimmten Dienst gehörig ermittelt worden ist) lässt sich das Wissen dann schnell präzisieren und verfeinern.
Warum finanziert die Regierung das?
In einem sehr lesenswerten Interview in der Zeitschrift konkret führt der Journalist Yasha Levine aus, dass das Tor-Netzwerk von der US-Marine entwickelt wurde, damit Spione ihre Nachrichten sicher verschicken können. Würden aber nur US-Agenten dieses System benutzen, wäre klar, dass jeder, der es nutzt, ein Agent ist. Also wurde Tor auch für andere Nutzer geöffnet, um die Nachrichten der Agenten darin zu verstecken. Noch bösere Zungen behaupten gar, dass Tor sowieso von vornherein als Honeypot geplant war, um Ganoven zu fangen.
Egal, was stimmt: Die Schläge gegen Alphabay und Elysium und früher gegen Silk Road sollten Tor-Nutzern zu denken geben. Anonym (also nicht mit der eigenen Kreditkarte!) bezahlte, kommerzielle VPN-Dienste, gegebenenfalls in Kombination mit Tor, sind zwar ebenfalls kein Allheilmittel, wahrscheinlich aber sicherer als Tor alleine. Bei aus Sicht der Staaten "kleineren" Vergehen, zum Beispiel einzelnen Drogenkäufen, sollte eine solche kombinierte Lösung in der Regel ausreichend vor Strafverfolgung schützen. Einen großen Hidden Service dauerhaft anonym zu halten, dürfte hingegen ein Ding der Unmöglichkeit sein. Wer nicht im Knast enden will, sollte es daher gar nicht erst versuchen.