News 07.10.2013, 11:14 Uhr

NSA konnte Tor nicht knacken

Tor, ein Tool, mit dem anonym gesurft werden kann, ist an sich sicher. Die NSA musste vielmehr Lücken in anderen Programmen wie Firefox ausnutzen, um Zugriff auf Anwender-PCs zu erhalten.
Der letzte Bericht über eine Präsentation der NSA aus dem Fundus von Whistleblower Edward Snowden, den der Guardian veröffentlichte, ist somit zweischneidig: Einerseits gibt darin der US-Geheimdienst zu, dass das vom Verteidigungs- und Aussenministerium der USA gesponserte, quelloffene Anonymisierungswerkzeug Tor sicher ist. Andererseits wird dargelegt, wie die NSA über Löcher in weiteren Programmen auf dem PC des Abhöropfers, wie etwa über den Browser Firefox, dennoch die «volle» Kontrolle über den Rechner des Anwenders erhalten konnte.
Ersterer Umstand hat unter den NSA-Geheimdienstlern zu Frustrationen geführt, zumal die Entwickler von Tor und die NSA-Leute teilweise den selben Brötchengeber haben. Tor wurde laut US-Regierung unterstützt, weil damit Dissidenten in Diktaturen mit starker Internetzensur wie China und Iran das Web dennoch nutzen können.
«Wir werden nie in der Lage sein, alle Tor-Anwender ständig zu de-anonymisieren», schreiben NSA-Vertreter, räumen aber gleichzeitig ein, dass sie mithilfe von «manueller Analyse eine sehr kleine Anzahl von Tor-Usern de-anonymisieren» könnten. Letztere Aussage zielt auf die Möglichkeit, via Software-Fehler den Webverkehr einzelner User doch abhören zu können. Tor an sich bewerten die NSA-Leute als «die Königin der hochsicheren, verzögerungsarmen Internetanonymität».
Die Aussagen der NSA dürften die Entwickler von Tor mit Stolz erfüllen. So lautet zumindest die Einschätzung von Sicherheitsguru Bruce Schneier gegenüber dem britischen IT-Fachblatt The Register. «Diese Dokumente geben Tor einen grossen Klaps auf die Schulter», wird Schneier zitiert. «Wäre ich ein Tor-Programmierer, würde ich nach der Lektüre dieser Dinge breit lächeln», sagt er.



Kommentare
Avatar
Juerg Schwarz
08.10.2013
und wer das jetzt noch glaubt, ist selber ein Tor. Die user von Tor-Netzwerken sollen sich sicherer als auch schon fühlen. Aber das stimmt leider nicht. Und woher weisst du das??

Avatar
Telaran
08.10.2013
Aber das stimmt leider nicht. Es ist wie mit jeder Sicherheitslösung. Sie ist nur so sicher, wie der Mensch, der sie benutzt. Um zurück zum Thema zu kommen. NSA hat mit den Dokumenten gezeigt, dass sie gewisse Angriffsflächen kennen und nutzen, aber weit davon entfernt sind, dass es Praktikabel oder Rentabel wäre. Also ist Tor so sicher wie ein Türschloss... für einen einfachen Halunken ein Hindernis, für einen Kriminellen mit zu viel Zeit in erster Linie ein Ärgernis (geht man halt übers Fenster).

Avatar
coceira
08.10.2013
das halte ich fuer ein geruecht..... Man mag mich fuer paranoid halten, doch desinformation ist neben informationsbeschaffung das grundmerkmal jeden geheimdienstes. Wir informieren mal das volk ueber unser vermeindliches unvermoegen und schlagen dann erst recht zu. Das grundprinzip des tor-netzwerks basiert auf vernueftigen grundlagen, leider fuehren aber auch genau diese zu mehreren denkbaren angriffspunkten. Die verbindungen bei tor laufen in der regel ueber 3 knoten, ist z.b. der erste oder letzte knoten kompromitiert ist kein ausreichender schutz mehr gegeben egal wieviele konoten dazwischen liegen. Extrem wirds dann dass ein angreifer die routen bestimmen kann, wenn er mindestens einen knoten in der route besitzt. Dort wo geld keine rolle spielt, also bei regierungsorganisationen wie NSA ist nahezu alles moeglich. Es haben in den letzten jahren verschiedene versuche stattgefunden die dem "snowden dokument" voll und ganz widersprechen. Da gab es eine untersuchung vom United States Naval Research Laboratory. Dabei gelang es in wenigen monaten durch den betrieb eines einzigen kleinen tor-relays, die anonymitaet von mehr als 80% der verfolgten benutzer zu brechen Seltsamerweise findet sich der vortrag/dokumentation (im moment) nicht mehr im netz.

Avatar
malamba
08.10.2013
Was passiert, wenn gesammelte Infos verändert und dann an die betreffenden Empfänger weitergeleitet werden, kann man sich denken. Neben der NSA gibts noch viele andere Geheimniskrämerorgs mit der nötigen Infrastruktur, die an den diversen Daten Interesse haben. Wer das "Rennen" macht, wird sich zeigen.

Avatar
Telaran
09.10.2013
Da gab es eine untersuchung vom United States Naval Research Laboratory. Dabei gelang es in wenigen monaten durch den betrieb eines einzigen kleinen tor-relays, die anonymitaet von mehr als 80% der verfolgten benutzer zu brechen Seltsamerweise findet sich der vortrag/dokumentation (im moment) nicht mehr im netz. Wahrscheinlich, weil du es im anderen Kontext hattest? Ich vermute du meinst dieses Dokument Nochmal zur Thematik: TOR ist nur ein Teil der Anonymität und Sicherheit. Es ist nicht damit getan, wenn man ein normales Firefox mit Addin nutzt und ab und zu mal ein/ausschaltet. Da freuen sich die Cookies und Tracker (Facebook Like Button...) Es ist auch nicht damit getan, wenn man unverschlüsselte Verbindungen nutzt. Zu deinen Einwänden: Ja, wenn man genügend ExitNodes aufstellt und der Anwender keine verschlüsselten Verbindungen nutzt, ist es kein Problem einen Grossteil der Daten abzufangen. Das hilft manchmal, aber nicht immer sind Personenbezogene Daten vorhanden und das einzige was man dann machen kann ist ein Nutzerprofil erfassen. Natürlich kann man mit dem Nutzerprofil dann Angriffsvektoren ausarbeiten (die Webseite, welche er oft besucht kompromittieren sei es durch Viren/Exploit oder "Man in the Middle" Angriffe des SSL Zertifikats) Das TOR Netz wird ja auch ständig weiterentwickelt und manche Lücken, welche in den letzten Jahren aufgetreten sind, wurden auch behoben. Trotzdem kann und sollte man sich nicht in Sicherheit wiegen, wenn man TOR nutzt. Aber im Prinzip müsste jeder TOR Nutzen, jeder E-Mail Verschlüsseln und keine Webseite mehr via HTTP Erreichbar sein. Jedes einzeln für sich ist nicht stark genug, aber alles zusammen wäre zumindest einiges an Aufwand Geheimdienstler, welche sich dann gut überlegen ob sie einfach mal "alles sammeln". Und zum Rennen: Der einzige, welcher aktuell mit der NSA und dessen Sammelwut mithalten könnte, wäre wohl China und die sind eher damit beschäftigt die Firewall zu erhalten und ihr Volk unter Kontrolle zu behalten. Okay, sie haben genug IT Spezialisten für Cyberwarfare... wahrscheinlich mehr, als bekannt und publiziert ist. Mal sehen wie es sich weiterentwickelt. Wahrscheinlich nicht zum besseren.. den Meisten Bürgern ist es ja eh egal, was hier gerade abläuft.

Avatar
coceira
09.10.2013
hi, danke, ist nicht das dokument welches ich in erinnerung hab, die schlussfolgerungen sind zwar aehnlich, kann auch kaum anders sein, wer sich mit dem problem befasst sieht schnell wo die luecken sind. Mal sehen wie es sich weiterentwickelt. Wahrscheinlich nicht zum besseren.. den Meisten Bürgern ist es ja eh egal, was hier gerade abläuft. Das ist das hauptproblem, keine sau interessiert sich fuer datensicherheit und datenschutz schon gar nicht fuer die eigene. Die ernannten datenschuetzer wirken kilometerweit am ziel vorbei, politiker sind sowieso unbrauchbar was diese themen angeht und so entwickelte sich ein heute nahezu unkontrollierbarer weltweiter ueberwachungsmoloch. Und ich meine dabei nicht nur die nsa, z.b. die schweizer schlapphuete die nach guter alter sitte fichen und karteikaertli anlegen sind keinen deut besser nur noch etwas dilettantischer. Wehret den anfaengen hilft laengst nicht mehr, begrenzung der begehrlichkeiten ist noch eine moeglichkeit doch dazu muesste man erst mal die vielen hintern aus den warmen sofakissen bekommen.