Mitarbeiter von Tor haben einen Angriff entdeckt, durch den womöglich Identitätsinformationen oder andere Hinweise auf Nutzer und Betreiber anonymer Webseiten und anderer Dienste seit Februar offengelegt wurden.

Die Kampagne machte sich eine bisher unbekannte Schwachstelle im Tor-Protokoll zunutze. Über zwei verschiedene Angriffsmethoden war es den Angreifern eventuell möglich, Nutzer von Tor zu demaskieren. Die Methoden der Attacke ähneln denen, von denen zwei Forscher der Carnegie Mellon Universität gesprochen hatten. Ihre Präsentation über diese Angriffsmöglichkeiten sagten die beiden allerdings wieder ab. Eigentlich wollten sie einen kostengünstigen Weg erläutern, mit der die Identitäten von Tor-Nutzern offengelegt werden könnten. Offizielle Stimmen äußerten die Vermutung, dass ein Geheimdienst diese Schwachstelle für sich entdeckt haben könnte.

Nutzer, die die Dienste des Netzwerkes von Anfang Februar bis zum 04. Juli nutzten, können sich nicht sicher sein, dass sie komplett anonym geblieben sind. Vor allem politische Dissidenten nutzen das Tor-Netzwerk, um Webseiten andere Online-Dienste anonym zu hosten. Normalerweise sind deren IP-Adressen dann vor der Entdeckung durch Regierungen geschützt. Allerdings werden Tors Dienste auch zu illegalen Zwecken genutzt, so unter anderem durch das Silk Road Online-Drogenimperium.

Tor hat ein Update veröffentlicht, mit der die Schwachstelle in Zukunft behoben sein soll. Betreibern des Services wird empfohlen, den Ort ihrer Dienste zu wechseln.

Seitens Tor wird davon ausgegangen, dass die Angreifer zum Beispiel nicht sehen konnten, welche Seiten geladen wurden oder ob die Nutzer tatsächlich die versteckten Dienste besuchten, nach denen sie suchten. Vermutlich wurde auch nach den Betreibern der Dienste und den Betriebsorten gesucht. Eventuell habe der Angriff auch anderen Hackern die Möglichkeit gegeben, Nutzer zu deanonymisieren.

Bei der ersten Attacke handelte es sich um eine Traffic-Confirmation-Attack. Dabei werden Relais an beiden Enden des Tor-Kreislaufs beobachtet und hinsichtlich Traffic-Zeit, -Volumen und anderen Charakteristika verglichen, um Paare zu finden. Ist das erste und letzte Gerät eines Kreislaufs bekannt, so kann der Nutzer identifiziert werden.

Über ein in das Tor-Protokoll injiziertes Signal halfen die Nutzer gewissermaßen selbst dem Angreifer, wenn sie sich mit einem infizierten Relais verbanden. Über diese Injektion gelangten die Angreifer womöglich an identitätsrelevante Informationen. Diese könnten nicht nur durch die Angreifer selbst, sondern auch durch andere im Netzwerk Spähende entdeckt worden sein.

Tor befürchtet einen Geheimdienst hinter dem Angriff. Sollte die Kampagne nicht bösartiger Natur gewesen sein, d.h. lediglich Recherchezwecken dienen, dann „wurde sie in äußerst unverantwortlicher Weise durchgeführt“, so Mitarbeiter von Tor.

Artikel von arstechnica.com, 30.07.2014: Active attack on Tor network tried to decloak users for five months
Artikel von bbc.com, 30.07.2014: Tor attack may have unmasked dark net users