Strafverfolgungsbehörden in Deutschland lassen Server im Tor-Netzwerk teils monatelang überwachen, um Tor-Nutzerinnen und -Nutzer zu deanonymisieren. Besonders betroffen sind Seiten im sogenannten Darknet. Dies zeigen Recherchen des ARD-Politikmagazins Panorama und STRG_F (funk/NDR).

Die bei der Überwachung gewonnenen Daten werden demnach in statistischen Verfahren so aufbereitet, dass die Tor-Anonymität gänzlich ausgehebelt wird. Reporter von Panorama und STRG_F konnten Unterlagen einsehen, die vier erfolgreiche Maßnahmen in nur einem Ermittlungsverfahren zeigen. Es sind die weltweit ersten belegten Fälle dieser sogenannten “Timing-Analysen”. Bisher galt dies als quasi unmöglich.

  • D_a_X@feddit.org
    link
    fedilink
    Deutsch
    arrow-up
    61
    arrow-down
    2
    ·
    3 months ago

    Kommentar von FEFE zum Thema:

    Vorsicht: Das beruht ausschließlich aus Selbstdarstellung der Behörden. Bei Geheimdiensten gibt es seit vielen Jahren das Konstrukt der “parallel construction”, wenn du jemanden über Mittel hopsnimmst, die vor Gericht nicht zulässig wären, dann erfindest du halt eine alternative Erklärung, wie du denjenigen erwischt hast. “Wir haben eine zufällige Überprüfung auf der Autobahn gemacht” oder so. Und jetzt halt: “Wir haben eine zufällige Überprüfung auf der Datenautobahn gemacht”.

    Sie sagen, sie hätten Tor über einen Timing-Angriff deanonymisiert. Das Tor-Projekt weiß da m.W. nichts von, der Aufwand wäre enorm und würde ein Level an Zugriff benötigen, das die eigentlich nicht haben dürften, soweit ich weiß.

    Ich wäre also erstmal vorsichtig, denen das einfach zu glauben. Wenn sie das jetzt behaupten, dann sicherlich auch um andere Darknet-Kriminelle aus dem Tor-Netzwerk zu locken.

    Das galt im Übrigen noch nie als unmöglich, dass dieser Angriff eines Tages gelingen würde. Daher hat das Tor-Projekt extra Maßnahmen eingebaut, um das zu erschweren.

    Dass eines Tages ein Amtsgericht einfach O2 sagen würde, sie sollen alle Daten rausrücken, das hielt allerdings tatsächlich bisher niemand für möglich. Es gab da noch (offenbar unverdiente) Rechtsstaats-Vermutungen für Deutschland.

    Ich habe keine Unterlagen gesehen und bin daher eher skeptisch, dass die Polizei das tatsächlich geschafft haben soll. Aber wer Tor benutzt, riskiert das immer grundsätzlich, dass irgendwelche Unrechtsregime, Geheimdienste oder das Amtsgericht Frankfurt freidrehen und ihn deanonymisieren. Tor kann nicht zaubern, kann das nur sehr aufwendig machen.

    • theTarrasque@lemmy.world
      link
      fedilink
      Deutsch
      arrow-up
      3
      ·
      3 months ago

      Danke dir, dass du das hier hinkopiert hast. Sehr wichtig, die Einordnung mitzuliefern - sowas hätte man auch direkt bei der Tagesschau tun sollen.

  • Flipper@feddit.org
    link
    fedilink
    Deutsch
    arrow-up
    21
    ·
    3 months ago

    Es gibt einige bekannte Fälle in denen Tornutzer deanonymisiert würde.

    Es Student hat eine Bombendrohung über Tor an seine Uni geschickt, damit eine Prüfung verschoben wird. Mehrmals. Er war nur leider immer der einzige Tor Nutzer im Uni Netz.

    Bei einem anderen war die Vermutung daß er zu ein bestimmter IRC Nutzer ist. Also ist sein Netz und der IRC Nutzer getrackt worden. Nach 2 Wochen war klar er ist es. Immer wenn es eine Tor Verbindung gab, war auch der IRC Nutzer online und umgekehrt.

    Es kann auch das Tor Protokoll geknackt werden, wenn man nur genug Tor Knoten besitzt. Diese ganzen Dinge sind unheimlich aufwändig. Daher würde ich das mit Vorsicht genießen.

  • boredsquirrel@slrpnk.net
    link
    fedilink
    Deutsch
    arrow-up
    12
    ·
    3 months ago

    Als quasi unmöglich galt die jetzt nicht…

    Aber ja, ein gutes VPN zusätzlich schadet sicher nicht. Und in öffentlichen Netzwerken sein.

      • Emotet@slrpnk.net
        link
        fedilink
        Deutsch
        arrow-up
        30
        ·
        3 months ago

        Das stimmt bei richtiger Verwendung schlichtweg nicht und es nützt niemandem, wenn man falsche Informationen herausposaunt. Wie auch im Artikel zu lesen, fand die timing attack auf üblichem Wege, gerade fürs deutsche Rechtssystem aber äußerst kontrovers statt:

        Zur finalen Identifikation verpflichtete das Amtsgericht Frankfurt am Main schließlich den Provider Telefónica, unter allen o2-Kundinnen und -Kunden herauszufinden, wer von ihnen sich zu einem der identifizierten Tor-Knoten verband.

        Bei einer Timing Attack werden, wie der Name schon sagt, Zugriffszeiten und möglichst viele (Meta-)Daten zu bestimmten Paketen statistisch abgeglichen. So kann man auch ohne direkten Zugriff auf die Daten bei ausreichender Datenlage feststellen, wer mit wem kommuniziert.

        Hier wurde schlichtweg jeder o2 Kunde in Deutschland erstmal pauschal überwacht, ob er nicht mit einem bestimmten Server Kontakt aufnimmt. Um dem entgegenzuwirken, kann man natürlich erst einmal über einen (no log) VPN Provider gehen, um gar nicht erst zugeordnet werden zu können.

        • boredsquirrel@slrpnk.net
          link
          fedilink
          Deutsch
          arrow-up
          16
          ·
          3 months ago

          Absolut. VPNs sind so verbreitet, dass viel mehr Menschen sie verwenden als Tor. Auch weil sie halt normal schnell sind.

          Hauptnutzen ist, dem ISP nicht zu sagen dass man Tor nutzt.

          • philpo@feddit.org
            link
            fedilink
            Deutsch
            arrow-up
            3
            ·
            3 months ago

            Exakt. Und niemand hindert einen ja daran mit multiple-Hops zu arbeiten. Also von VPN zu VPN hangeln erschwert den Vektor irgendwann enorm, v.a. wenn vertrauenswürdige VPNs genutzt werden.

            Insbesondere für Oppositionelle in repressiven Regimen reicht die “nutze Tor” und “nutze ein VPN” halt nicht aus.

            • boredsquirrel@slrpnk.net
              link
              fedilink
              Deutsch
              arrow-up
              2
              ·
              3 months ago

              Multihops verstehe ich nicht.

              Client -> VPN1 -> VPN2 -> weiter

              Erlaubt VPN2 einfach jede Verbindung von VPN1? Ansonsten würde es doch gar keinen Sinn ergeben, wenn man sich dort auch authentifizieren muss, was geloggt werden könnte.

              • Saleh@feddit.org
                link
                fedilink
                Deutsch
                arrow-up
                2
                arrow-down
                1
                ·
                3 months ago

                Authentifizierung mit einem Account der über anonyme Zahlungsmittel bezahlt wurde.

                • boredsquirrel@slrpnk.net
                  link
                  fedilink
                  Deutsch
                  arrow-up
                  1
                  ·
                  3 months ago

                  Wenn es Logs gibt, sagen die dann aber dieselbe ID und damit dann auch IP Adresse weil es ja beim selben Anbieter ist

  • Samsy
    link
    fedilink
    Deutsch
    arrow-up
    5
    ·
    3 months ago

    Nehmt es mir nicht übel, aber seit ich weiß was ein Exit-Node ist, weiß ich dass ich Tor eh nie für egal was nutzen würde. Mir ist eh nur Datenschutz wichtig. Sehen natürlich Darknet Nutzer dann anders. Aber ich denke mal, da das System erkannt ist, ist Darknet nichts was auch nur irgendwer nutzen sollte.

    • EddyBot@discuss.tchncs.de
      link
      fedilink
      Deutsch
      arrow-up
      5
      ·
      3 months ago

      Solange nur .onion Adressen genutzt werden, wird gar kein Exit-Node befragt
      aus dem Artikel werden diese jetzt auch nicht explizit erwähnt

  • RedPandaRaider@feddit.org
    link
    fedilink
    Deutsch
    arrow-up
    7
    arrow-down
    2
    ·
    3 months ago

    Wieso wird sowas eigentlich nicht vom Bundesverfassungsgericht einkassiert? Ach so im eigenen Interesse…

  • theTarrasque@lemmy.world
    link
    fedilink
    Deutsch
    arrow-up
    2
    ·
    edit-2
    3 months ago

    Mit Rechercheergebnissen von strg_F wäre ich vorsichtig, die haben ja schon einige Male zurückrudern müssen.