211service.com
Anonymity Network Tor benötigt eine Optimierung, um Benutzer vor Überwachung zu schützen
Als Anfang dieses Monats veröffentlichte Berichte enthüllten, dass die US-amerikanische National Security Agency den Schutz des Internet-Anonymitätstools aufheben könnte Tor , hatten viele Aktivisten und andere, die sich auf das Tool verlassen, wenig Grund zur Panik. Trotz des alarmierenden Tons einiger Schlagzeilen beruhten die enthüllten Techniken auf Angriffen auf Software wie Webbrowser und nicht auf Tor selbst. Nach Durchsicht der durchgesickerten NSA-Dokumente erklärte das Tor-Projekt, es gebe keine Hinweise darauf, dass sie das Tor-Protokoll brechen könnten.
Trotzdem versucht das Tor-Projekt, kritische Anpassungen an der Funktionsweise seines Tools zu entwickeln, um es gegen potenzielle Kompromisse zu stärken. Forscher des U.S. Naval Research Laboratory haben herausgefunden, dass Tors Design anfälliger für Angriffe ist als bisher angenommen, die die NSA oder Regierungsbehörden in anderen Ländern durchführen könnten, um Menschen, die Tor verwenden, zu deanonymisieren.
Tor verhindert, dass Menschen, die das Internet nutzen, viele der üblichen Spuren hinterlassen, die es einer Regierung oder einem ISP ermöglichen, zu erkennen, mit welchen Websites oder anderen Diensten sie sich verbinden. Die Benutzer des Tools reichen von Leuten, die versuchen, Unternehmens-Firewalls zu umgehen, bis hin zu Aktivisten, Dissidenten, Kriminellen und US-Regierungsmitarbeitern, denen es raffiniertere Gegner zu vermeiden gilt.
Wenn Leute die Tor-Client-Software installieren, nimmt ihr ausgehender und eingehender Datenverkehr einen indirekten Weg über das Internet und hüpft durch ein Netzwerk von Relais-Computern, die von Freiwilligen auf der ganzen Welt betrieben werden. Datenpakete, die durch dieses Netzwerk springen, werden verschlüsselt, sodass die Relais nur ihr vorheriges und nächstes Ziel kennen (siehe Sicherer gemachter Widerspruch). Dies bedeutet, dass die Identität der Benutzer und Details ihres Surfens nicht preisgegeben werden sollten, selbst wenn ein Relay kompromittiert wird.
Neue Untersuchungen zeigen jedoch, wie eine Regierungsbehörde die wahre Quelle und das wahre Ziel des Tor-Verkehrs relativ einfach ermitteln könnte. Aaron Johnson vom U.S. Naval Research Laboratory und Kollegen fanden heraus, dass das Netzwerk anfällig für eine Art von Angriff ist, die als Verkehrsanalyse bekannt ist.
Diese Art von Angriff beinhaltet das Beobachten von Internet-Verkehrsdaten, die in das Tor-Netzwerk ein- und ausgehen, und die Suche nach Mustern, die die Internetdienste enthüllen, auf die eine bestimmte Internetverbindung und vermutlich ihr Besitzer Tor für den Zugriff verwendet. Johnson und Kollegen zeigten, dass die Methode für eine Organisation sehr effektiv sein könnte, die sowohl Relais zum Tor-Netzwerk beisteuerte als auch einen Teil des Internetverkehrs über ISPs überwachen konnte.
Unsere Analyse zeigt, dass 80 Prozent aller Benutzertypen innerhalb von sechs Monaten von einem relativ moderaten Tor-Relay-Gegner deanonymisiert werden können, schreiben die Forscher in a Papier zu ihren Erkenntnissen. Diese Ergebnisse sind für die aktuelle Sicherheit des Tor-Netzwerks etwas düster. Die Arbeit von Johnson und seinen Kollegen wird auf der ACM-Konferenz über Computer- und Kommunikationssicherheit nächsten Monat in Berlin.
Johnson erzählte MIT-Technologie-Überprüfung dass Personen, die das Tor-Netzwerk zum Schutz vor leistungsschwachen Gegnern wie Unternehmens-Firewalls verwenden, wahrscheinlich nicht von dem Problem betroffen sind. Aber er glaubt, dass Leute, die Tor benutzen, um die Aufmerksamkeit nationaler Behörden zu umgehen, Grund zur Besorgnis haben. Es gebe viele plausible Fälle, in denen jemand in der Lage sei, einen ISP zu kontrollieren, sagt Johnson.
Johnson sagt, dass die Funktionsweise von Tor angepasst werden muss, um das Problem zu mildern, das seine Forschung aufgedeckt hat. Diese Meinung wird von Roger Dingledine geteilt, einem der ursprünglichen Entwickler von Tor und dem derzeitigen Direktor des Projekts (siehe TR35: Roger Dingledine).
Aus diesem Papier geht klar hervor, dass es realistische Szenarien gibt, in denen Tor-Benutzer einem hohen Risiko ausgesetzt sind, wenn ein Gegner die nahe gelegene Internet-Infrastruktur beobachtet, schrieb Dingledine in a Blogpost letzte Woche . Er weist darauf hin, dass jemand, der Tor nutzt, um einen im selben Land gehosteten Dienst zu besuchen, besonders gefährdet wäre – er nennt das Beispiel Syriens. In dieser Situation wäre die Verkehrskorrelation einfach, da die Behörden die Internet-Infrastruktur überwachen könnten, die sowohl dem Tor-Benutzer als auch dem Dienst dient, zu dem er oder sie eine Verbindung herstellt.
Dingledine erwägt Änderungen am Tor-Protokoll, die helfen könnten. Im aktuellen Design wählt der Tor-Client drei Einstiegspunkte in das Tor-Netzwerk aus und nutzt sie 30 Tage lang, bevor er ein neues Set auswählt. Aber jedes Mal, wenn neue Wächter ausgewählt werden, läuft der Client Gefahr, einen auszuwählen, den ein Angreifer mithilfe von Verkehrsanalysen überwachen oder kontrollieren kann. Wenn der Tor-Client so eingestellt wird, dass er weniger Wachen auswählt und sie seltener ändert, würden Angriffe auf die Datenverkehrskorrelation weniger effektiv. Aber bevor eine solche Änderung am Design von Tor vorgenommen werden kann, ist noch mehr Forschung erforderlich.
Ob die NSA oder die nationale Sicherheitsbehörde eines anderen Landes aktiv versucht, Verkehrsanalysen gegen Tor einzusetzen, ist unklar. Die Berichte dieses Monats, die auf von Edward Snowden durchgesickerten Dokumenten basieren, sagten nicht aus, ob die NSA dies tat. Aber a Präsentation 2012 gekennzeichnet als basierend auf Material aus dem Jahr 2007, herausgegeben von der Wächter, und ein NSA-Forschungsbericht 2006 auf Tor, herausgegeben von der Washington Post erwähnte solche Techniken.
Stevens der Blonde , ein Forscher am Max-Planck-Institut für Softwaresysteme in Kaiserslautern, vermutet, dass die NSA und vergleichbare Behörden inzwischen wahrscheinlich Verkehrskorrelation verwenden könnten, wenn sie dies wünschen. Seit 2006 hat die akademische Gemeinschaft viel an der Verkehrsanalyse gearbeitet und Angriffe entwickelt, die viel ausgefeilter sind als die in diesem Bericht beschriebenen. Le Blond nennt das Potenzial für Angriffe wie die von Johnson beschriebenen ein großes Problem.
Le Blond arbeitet am Design eines alternatives Anonymitätsnetzwerk namens Aqua , zum Schutz vor Verkehrskorrelation. Der Verkehr, der ein Aqua-Netzwerk betritt und verlässt, wird durch eine Mischung aus sorgfältigem Timing und dem Einmischen von gefälschtem Verkehr so gemacht, dass er nicht unterscheidbar ist. Das Design von Aqua muss jedoch noch in nutzbare Software implementiert werden und kann bisher nur das Filesharing und nicht alle Arten der Internetnutzung schützen.
Tatsächlich bleibt Tor trotz seiner Mängel im Wesentlichen das einzige praktische Werkzeug, das Menschen zur Verfügung steht, die ihren Internetverkehr anonymisieren müssen oder wollen, sagt David choffnes , ein Assistenzprofessor an der Northeastern University, der Aqua mitentwickelt hat. Die Landschaft für Datenschutzsysteme ist derzeit schlecht, weil es unglaublich schwierig ist, ein funktionierendes System bereitzustellen, und es gibt eine Größenordnung mehr Arbeit, die sich mit der Frage beschäftigt, wie man diese Systeme angreift, als neue zu bauen.