Ist es ein Staat?

Mysteriöser Akteur hat Tor-Netzwerk unterwandert

Das Tor-Netzwerk anonymisiert Internetverkehr, indem Anfragen verschlüsselt über eine Kette aus mehreren Servern (Knoten) zum Ziel und wieder zurück zum Nutzer geleitet werden. Seit Jahren scheint aber ein Akteur mit beträchtlichen Mitteln daran zu arbeiten, das Netzwerk zu infiltrieren und den Datenverkehr über seine Server zu leiten, um User der Anonymität zu entreißen. Ein IT-Security-Forscher hat das Treiben der „KAX17“ getauften Organisation bis ins Jahr 2017 zurückverfolgt.

Wie „Heise“ berichtet, hat der IT-Security-Experte mit dem Pseudonym Nusenu die Unterwanderung des Tor-Netzwerks schon länger beobachtet. Ihm zufolge waren in den letzten Jahren zeitweise zehn Prozent der Tor-Knotenpunkte in der Hand von KAX17. Von täglich rund 9000 bis 10.000 Tor-Knoten seien bis zu 900 unter der Kontrolle der Angreifer gestanden. Es handelte sich um Eingangs- und Ausgangspunkte sowie Zwischenrelais.

Im Tor-Netzwerk werden Internetanfragen anonymisiert, indem sie verschlüsselt und über eine Kette zwischengeschalteter Proxy-Server (Knoten) ans Ziel geleitet werden. Täglich nutzen rund zwei Millionen Menschen das Tor-Netzwerk.

(Bild: stock.adobe.com)

Für die Nutzer des Anonymisierungsnetzwerks, das nicht nur von Hackern und Cyberkriminellen, sondern beispielsweise auch von Oppositionellen in autoritären Staaten genutzt wird, bedeutete dies, dass ihre vermeintliche Anonymität im Tor-Netzwerk unterwandert worden sein könnte.

Angreifer kontrollierte signifikanten Prozentsatz
Der Experte rechnet vor: Zeitweise habe eine Wahrscheinlichkeit von 16 Prozent bestanden, dass Daten bei der Einleitung ins Tor-Netzwerk über einen KAX17-Knoten liefen. Bei den mittleren Knotenpunkten seien sogar bis zu 35 Prozent der Anfragen über die Server des Angreifers gelaufen, bei den Ausgangspunkten betrug die Wahrscheinlichkeit noch fünf Prozent.

Das könnte auch verwendet werden, um Nutzer zu enttarnen.

Neal Krawetz, Experte für Anonymisierungstechnik

Neal Krawetz, Experte für Anonymisierungstechnik, äußert im Gespräch mit „The Record“ den Verdacht, dass KAX17 das Ziel verfolgt haben dürfte, die Betreiber versteckter Dienste auszuforschen. Die große Zahl von Knoten könnte aber „auch verwendet werden, um Nutzer zu enttarnen.“ Das sei besonders erfolgversprechend, wenn man parallel allgemeine öffentliche Online-Dienste überwache und die Spur der Nutzer verfolge.

Angreifer verfügt über beträchtliche Mittel
Ähnliche Vermutungen äußert Nusenu, der betont, bei dem Angreifer handle es sich nicht um Amateure. Vielmehr hegt er den Verdacht, dass es sich um einen staatlichen Akteur handelt. Entsprechende Möglichkeiten hätte etwa der US-Geheimdienst NSA. Der Ursprung ist aber kaum zurückzuverfolgen. Die Tor-Knoten, die KAX17 ins Netzwerk eingeschleust hat, wurden auf Servern in Rechenzentren in aller Welt bereitgestellt - auch auf Infrastruktur namhafter Cloud-Dienstleister wie Microsoft.

Knoten entfernt, Sicherheitsdebatte gestartet
Bei den Betreibern des Tor-Projekts hat man auf die Entdeckung reagiert und zuletzt Hunderte Knoten entfernt, die KAX17 zugeschrieben werden. Auch davor wurden immer wieder verdächtige Tor-Knoten entfernt. Allerdings tauchten nach solchen Aktionen immer wieder neue Server auf, die dem Angreifer zugerechnet werden.

Bei den Betreibern des Tor-Projekts ist daher nun eine Sicherheitsdebatte entbrannt: Bei den KAX17-Knoten sei aufgefallen, dass diese keine Kontaktinformationen enthalten, wie sie eigentlich vorgeschrieben wären. Um Geschwindigkeit und Stabilität sicherzustellen, habe man früher bei solchen Versäumnissen ein Auge zugedrückt, heißt es im Bericht. Damit soll künftig Schluss sein: Nicht vertrauenswürdige Knoten könnten von bestimmten Datenbewegungen ausgeschlossen werden.