So hebeln deutsche Behörden die Anonymisierung von Tor aus

Boystown galt als eine der größten Pädophilen-Plattformen im Darknet. Einer der Administratoren konnte ausfindig gemacht werden, obwohl er das als sicher geltende Anonymisierungsnetzwerk Tor nutzte.

Das ARD-Politikmagazin Panorama hat nun Einblick in die Ermittlungsakten erhalten. Dadurch ist bekannt, wie die deutschen Behörden Tor aushebeln konnten.

So funktioniert Tor

Der Tor-Dienst stellt Verbindungen vom User zum Zielort über mehrere Knotenpunkte her. Davon gibt es mindestens 3: Entry, Middle und Exit. Nur der Entry-Punkt kennt die IP-Adresse des Users. Die Verbindung vom User zum Entry ist Ende-zu-Ende verschlüsselt.

Der Entry gibt die Anfrage an den Middle weiter, der wiederum eine Ende-zu-Ende-Verschlüsselung zum User aufbaut, aber nur die IP des Entry kennt. Das Spiel geht weiter bis zum Exit, der schließlich die Verbindung zum gewünschten Inhalt herstellt – natürlich auch verschlüsselt. Bei bestimmten Diensten, wie etwa solche im Darknet, kommen noch mindestens 3 Knotenpunkte hinzu, um die Sicherheit für die User erhöhen.

➤ Mehr lesen: Die besten Privacy-Browser für iOS und Android

Überwachung der Datenpakete

Tor ist ein Low-Latency-Netzwerk, überträgt also Daten in Echtzeit. Dadurch können sogar Live-Streams und -Chats mit Tor genutzt werden. Und genau das ist die verwundbare Stelle. Die deutschen Behörden schleusten verdeckte Ermittler ein. Diese nutzten den Chatdienst Ricochet, der Nachrichten über das Tor-Netzwerk verschickt, um mit dem Boystown-Administrator zu kommunizieren.

Die Behörden wussten also, zu welchem Zeitpunkt eine Nachricht in welcher Größe übermittelt wurde. Sie kannten damit die Größe der Datenpakete und wann diese bei einem Knoten wieder auftauchen werden. Jetzt mussten sie noch eine Möglichkeit finden, die Tor-Knoten zu überwachen, um Ausschau nach diesen Paketen zu halten.

Server angemietet und zu Tor-Knoten gemacht

Dafür nutzten die Behörden eine Sicherheitsmaßnahme von Tor zu ihrem Vorteil. Nach spätestens 10 Minuten wechselt bei einer Verbindung der Middle- und Exit-Server. Tor bevorzugt hier Knoten mit niedriger Latenz und hoher Bandbreite, um eben den Low-Latency-Betrieb zu ermöglichen. Also haben die Behörden schnelle Server gemietet und als Tor-Knoten zur Verfügung gestellt, die sie überwachten. Jetzt war es nur eine Frage der Zeit, bis der Ricochet-Chat mit dem Administrator über einen dieser Middles geleitet wurde.

Dadurch konnten sie das Datenpaket schließlich zum entsprechenden Entry weiterverfolgen und hatten dessen IP-Adresse. Nicht klar ist, woher die Behörden wussten, dass der Administrator O2 als Provider verwendet hat – womöglich war es nur gut geraten. Als der Admin jedenfalls das nächste Mal Ricochet verwendete, wiesen die Behörden per richterliche Anordnung O2 an, alle Nutzer zu nennen, die zu diesem Zeitpunkt gerade mit der IP-Adresse des Entrys verbunden waren. Anhand dieser Liste mit Usern haben die Behörden weiterermittelt und konnten schließlich den Boystown-Administrator ausfindig machen und festnehmen.

➤ Mehr lesen: Weltweit größter Geldwäschedienst im Darknet abgedreht

Methode kann immer noch genutzt werden

Laut Heise wurde diese Methode schon 2017 von deutschen Behörden genutzt, um das Darknet-Forum DiDW zu beschlagnahmen. Bisher hat Tor noch nichts gegen diese Methode unternommen. Ein Schutz dagegen wäre, die derzeit über 8.000 Knoten weltweit zu vervielfachen, damit es zu teuer oder zu langwierig für die Behörden wird, eine entsprechend hohe Zahl von Servern anzumieten und zu überwachen.

Eine andere Option wäre, zufällig generierte Verzögerungen bei der Übermittlung der Datenpakete einzubauen, wodurch Tor aber kein Low-Latency-Netzwerk mehr wäre – was für viele Kunden der größte Vorteil von Tor ist. Technisch denkbar wäre auch, dass die Knoten zu den Datenpaketen zufällig generierte Daten hinzufügen, um deren Größe zu verfälschen.

Tor gerät meistens in Verbindung mit illegalem Waffenhandel, Drogengeschäften oder Pädophilenringen im Darknet in die mediale Öffentlichkeit. Jedoch wird der Anonymisierungsdienst auch von Regierungsgegnern in totalitären Regimen genutzt oder von Whistleblowern. Mit den oben beschriebenen Methoden könnten auch die aufgespürt und potenziell eliminiert werden.