SWITCH Security-Blog

SWITCH-CERT IT-Security Blog

Deep Web – Das Netz unter dem Netz (Teil 4)


Dieser Artikel wurde von Katja Locker verfasst.

Tor, Freenet und eine klare Warnung an alle Neugierigen

Tor

Das mit Abstand meistgenutzte und grösste Anonymisierungsnetzwerk heisst „The Onion Routing“, kurz Tor. Seine Nutzerzahl hat sich 2012 eigenen Angaben zufolge innerhalb eines Jahres verdoppelt – auf gut 600 000 Zugriffe pro Tag von Rechnern weltweit. Wer Tor nutzt, kann damit zumindest bis zu einem gewissen Grad anonym surfen und staatliche Zensurmassnahmen umgehen.

Die Idee zu Tor stammt kurioserweise von der US-Navy – die heute wohl einiges darum geben würde, Tor-Nutzer zu kontrollieren. Um das Jahr 2000 herum suchte die US-Navy nach einem Weg, im Kriegsfall sicher Nachrichten empfangen und senden zu können. Das grosse Manko damaliger Verschlüsselungstechniken bestand darin, dass sie zwar die Nachricht selbst schützt, den Standort des Senders hingegen verrät. So förderte die US-Navy den Aufbau eines rundum-sicheren „Onion Networks“, das gegen feindliche Überwachungsprogramme immun war. Später führten Bürgerrechtsorganisationen die Entwicklung fort und heute ist dafür das „Tor Project“ verantwortlich.

Screen Shot der Tor-Webseite

So sieht es aus: das Eingangstor zum berühmt-berüchtigten “The Onion Routing”-Netzwerk, kurz Tor genannt.

Geschützt nach dem Zwiebel-Prinzip
Wie die Schichten einer Zwiebel verhüllt Tor die Identität seiner Nutzer – sprich ihre Herkunft in Form der IP-Adresse. Dafür sorgt ein komplizierter Mechanismus namens „Onion Routing“: Der Datenverkehr jedes Tor-Nutzers wird zerlegt, einzeln verschlüsselt und nach dem Zufallsprinzip an eine Reihe anderer Nutzer (oder „Nodes“) weitergeleitet. Jeder Tor-Nutzer fungiert dabei selbst als „Router“, der Datenpakete weitergibt. Dieses Prinzip in Kombination mit der Mehrfachverschlüsselung selbst bewirkt, dass die Identität aller Beteiligten sowie das weitergereichte Datenpaket innerhalb von Tor unkenntlich gemacht werden. Viele nutzen Tor lediglich, um auf eine öffentliche Webseite zuzugreifen. Sie wollen dabei lediglich ihre IP-Adresse verschleiern.

Den letzten Netzwerkknoten in dieser Kommunikationskette nennt man „Exit Relay“ oder „Exit node“. Physikalisch gesehen sind das leistungsstarke Server, die andere Tor-Nutzer explizit als solche eingerichtet haben – aus Überzeugung oder zum schnelleren Surfen innerhalb von Tor – geht damit ein gewisses Risiko ein. Warum? Die IP-Adresse des Exit-Node-Betreibers ist ständig öffentlich sichtbar – im Gegensatz zu allen anderen innerhalb einer Tor-Kommunikationskette. Da staatliche Ermittler gerne Exit Nodes überwachen, kommt es immer wieder zu Beschlagnahmung solcher Server. Die Weiterleitung von Informationen à la Tor ist jedoch in demokratisch regierten Ländern straffrei. Wem Besuche von Behörden unlieb sind, Tor aber trotzdem unterstützen möchte, kann seinen Rechner alternativ als „Entry Relay“ oder „Middle Relay“/ „Bridge“ einrichten.

„Hidden Services“ – Versteckspiel zwischen Angebot und Nachfrage
Bei Tor besteht aber auch die Möglichkeit, so genannte „Hidden Services“ anonym zu betreiben oder zu nutzen. Diese versteckten Dienste sind nur über Tor erreichbar und von aussen schwer lokalisierbar – damit recht zensurresistent. Auch im sichtbaren Teil des Internets gibt es eine Vielzahl von Angeboten, die als „Tor Hidden Service“ anonym und unbeobachtet erreichbar sind. Das können z.B. vorratsdatenfreie Kommunikationsdienste (E-Mail, Chat-Server, etc.) oder Tools für Aktivisten sein, oft auch illegale Angebote aller Couleur.

Um ihre Schadprogramm massenhaft anonym verbreiten zu können, erfreuen sich Tors Hidden Services auch bei Botnetz-Betreibern zunehmender Beliebtheit. Indem sie sämtlichen Datenverkehr ihrer „Command-and-Control“-Server über den Tor-Client laufen lassen, sind sie für Ermittler praktisch nicht greifbar. Laut Claudio Guarnieri, Malware-Analytiker und Security-Forscher, gibt es aktuell keine technische Möglichkeit, um den Standort der dort abgelegten Botnetz-Server aufzuspüren, geschweige denn sie stillzulegen. Seit Mitte 2012 ist das um die 15 000 Zombie-Rechner umfassende „Skynet“-Botnetz bekannt. Dessen Urheber fühlt sich bei Tors „Hidden Services“ derart sicher, dass er freimütig Details zu „Skynet“ auf der Social-News-Plattform „Reddit“ zum Besten gibt.

Silk Road: 1,9 Mio. Dollar Jahresumsatz mit einfach ALLEM
Die Inhalte, die Nutzer hier anbieten, befinden sich auf ständig wechselnden Adressen. Einstiegspunkt ist daher oft über das „Hidden Wiki“ – eine Art Übersichtsseite, die thematisch gegliedert ist. Laut Hackerkollektiv „Anonymous“ suchen 70 Prozent der Leute, die im „Hidden Wiki“ stochern, illegales pornographisches Material.danger

Einer der dunkelsten „Tor Hidden Services“ ist die „Silk Road“ – auch bekannt als „Amazon für Drogen“. Mit einem Mausklick gibt es dort hauptsächlich illegale Drogen aller Art zu kaufen, davon abgesehen aber auch einfach alles, was die menschliche Natur an Perversem hervorbringt. Zu den harmloseren Angeboten gehören da noch geklaute Kreditkartendaten, Hehlerwaren, gefälschte Papiere, Filesharing oder Waffen. Bezahlt wird mit „Bitcoins“. Eine virtuelle Währung, die verschlüsselt ist und allen Beteiligten Anonymität gewährt. Nach Analysen des IT-Security-Experten Prof. Nicolas Christin wurden 2012 allein auf der Silk Road im Monat Waren im Wert von gut 1,9 Millionen US-Dollar verkauft. Die Tagesumsätze der entsprechen Christins Berechnungen zufolge gut 20 Prozent des täglichen Umtauschvolumens von Bitcoins und US-Dollar auf der grössten Bitcoin-Tauschbörse „Mt. Gox“.

Schlagabtausch zwischen Kriminellen und verdeckten Ermittler
Jeder Internetnutzer mit Breitbandanschluss kann theoretisch einen eigenen Tor-Server betreiben, darüber „.onion“-Seiten hosten und „Hidden Services“ anbieten. Weil jeder mitmischen und einen eigenen Server (Node) betreiben kann, sind genau die Verbindungen angreifbar und identifizierbar, die ausschliesslich über bestimmte Knoten laufen. Angreifbar sowohl von Kriminellen als auch von staatlichen Ermittlern. Für unbedarfte Nutzer dieser versteckten Dienste birgt das Mitmach-Prinzip allerdings ein Risiko: Keiner weiss, welcher Betreiber dahinter steckt. Die Gefahr, ahnungslos in die Falle von Kriminellen oder verdeckten Ermittlern zu treten, sollte man nicht unterschätzen. Vor allem US-Drogenfahnder arbeiten fieberhaft daran, einen Weg zur Stilllegung der Silk Road – und des gesamten Tor-Netzwerks – zu finden.

Tor goes mobile
Die OpenSource-Initiative “Guardian Project” hat 2011 in puncto “Mobile Security” einen erstenMeilenstein gelegt und die erste Anonymisierungs-App für Handys vorgestellt. Kernstück damals wie heute ist “Orbot”: eine App, die sämtliche Internetzugriffe eines Handynutzers über die Tor-Surfer leiten. Zudem bietet es in Googles “Play Store” fünf weitere Apps, die da ansetzen, wo gängige Handy-Systeme nach wie vor ein grosses Defizit haben: von der vollständigen Speicher-Verschlüsselung, dem Anonymisieren von Fotos, abhörsicherem Instant-Messaging bis hin zum anonymen Surfen. Die Gründer wollen Handynutzern mehr Privatsphäre und Kontrolle über ihre Daten ermöglichen.

Orbot–Screenshot

Nach dem Download: Mit der “Orbot”-App können Android-Handynutzer u.a. anonym über Tor surfen.

Screen Shot 2013-03-12 at 13.54.00

Wer will, kann per “Orbot” auch nur den Datenverkehr bestimmter Handy-Apps über die Tor-Server anonymisieren.

Das „Invisible Internet Project“ (I2P)

Als leichte Abwandlung von Freenet entstand ab 2003 das „Invisible Internet Project“, kurz I2P: Ein anonymes Netzwerk, in dem jeglicher Datenverkehr mehrfach verschlüsselt und vor dem Zugriff Unbefugter geschützt ist. Zudem sind die Endpunkte so genannte kryptografische Identifikatoren, so dass Sender und Empfänger sich ihre jeweiligen IP-Adressen gegenseitig angeben müssen.

Screenshot_I2P

So sieht die Einstiegsseite zum „Invisible Internet Project“ aus.

Während Freenet vor allem zensurresistent und dezentral ist, ist I2P eine anonyme, über Peer-to-Peer verteilte Kommunikationsschicht, die sich mit anderen Programmen kombinieren lässt. Mit I2P kann man beispielsweise ohne grösseren Aufwand oder Kosten eine eigene Infrastruktur betreiben, etwa anonyme Webseiten, Chats, Mailserver und Vieles mehr. Genau diese Technologie macht I2P so wertvoll für Aktivisten weltweit. Das Programm ist zwar noch im Beta-Stadium, gehört nach Tor aber zu den meistgenutzten Anonymisierungsdiensten.

Weltweit gibt es noch unzählige weitere Anonymisierungsdienste, die keinerlei oder kaum Verbindungsdaten ihrer Nutzer speichern. Meist können sie gegen eine Gebühr genutzt werden, hierzulande sind das beispielsweise „Ivacy“, „Swiss VPN“. Zu den globalen Anbietern gehören etwa „Perfect Privacy“ oder „Jondonym“. zeigfinger

Eine Warnung zum (hoffentlich guten) Schluss

Auf keinen Fall sollten Unerfahrene sich einfach die Tor-Software herunterladen und drauflosklicken. Die Gefahr, schneller als erwartet dort zu landen, wo man garantiert nicht hinwollte, ist gross. Denn damit Anonymisierungsdienste wie Tor tatsächlich gefahrenfrei genutzt werden können und man anonym wird, bedarf es diverser Vorkehrungen: Sei das die Neukonfiguration diverser Softwareprogramme auf dem eigenen Rechner oder die Umgewöhnung alter Surfgewohnheiten.

Die Empfehlungen des irischen Reporters Wayne Doyle nach seinem ersten Rundgang im „Deep Web“ an seine Leser fiel etwa folgendermassen aus: „Es geht nicht darum, bei Google etwas einzutippen und sich einzuloggen. […] Wer ins Deep Web einsteigt, weiss dass FBI, CIA und andere Regierungsbehörden dort selbst anrüchige Webseiten einstellen, um Kriminellen eine Falle zu stellen. Viele Seiten und Dokumente werden ständig von FBI und CIA überwacht. Wer über die falschen Bilder oder Seiten stolpert, kann sich schnell in ernsten Schwierigkeiten wiederfinden.“

In Teil 5 der Deep-Web-Serie geht es um die Rolle von Tor, Freenet und Co. für Bürger in autoritären Staaten. Und um die Frage, was mehr wiegt: Meinungsfreiheit oder der Kampf gegen Cyberkriminalität im Deep Web. Zu lesen ab nächsten Donnerstag, 28. März.

Comments are closed.