TOR Netzwerk

Dr_Iwan_Kakalakow

Dr_Iwan_Kakalakow

Active Member
Seltsamer Anstieg der Tor-Nutzungs-Statistik

Die Statistiken des Anonymisierungsdienstes Tor verzeichnen eine ungewöhnliche Zunahme der aktiven Nutzer. Sie lässt sich jedoch nicht durch einen im Zuge der NSA-Enthüllungen durch Snowden verursachten erhöhten Bedarf nach Privatheit erklären.

Eine genauere Analyse zeigt die Zahl der aktiven Tor-Nutzer über die vergangenen Wochen – also auch deutlich nach Snowdens Enthüllungen – nahezu konstant bei etwa 500.000. Erst seit dem 19. August begann ein rapider Anstieg, durch den sich diese Zahl innerhalb einer Woche nahezu verdreifacht hat. Es ist nahezu ausgeschlossen, dass dieser Verlauf auf gestiegenes Nutzer-Interesse zurückzuführen ist.

Die zweite Vermutung, die einem spontan in den Sinn kommt, ist, dass jemand im Rahmen eines Projekts versucht, das Tor-Netz auszuforschen oder gar lahmzulegen. Erst vor kurzem hatte beispielsweise ein Forscher erfolgreich versucht, die Anonymität des Nachrichtendienstes Bitmessage durch Spam-Nachrichten auszuhebeln. Hinter einem kürzlich registrierten, gezielten Angriff auf Tor-Nutzer stecken vermutlich US-Behörden. Doch diese Theorie passt ebenfalls nicht zu den Daten.

Der Anstieg ist international ziemlich gleich verteilt: Beschränkt man die Statistik auf Tor-Nutzer aus Aserbeidschan, verläuft die Kurve exakt parallel zu der für Deutschland, die USA oder China. Außerdem erzeugen die neu hinzugekommenen Tor-Nutzer nahezu keine Last, so dass die ohnehin kaum begeisternde Performance des Anonymisierungsnetzes kaum leidet.

Die wahrscheinlichste Erklärung ist somit, dass etwa ein internationales Bot-Netz Tor als zusätzlichen Kommunikationskanal entdeckt hat. Alternativ könnte irgendeine andere, international verbreitete Software plötzlich als Tor-Client in Erscheinung treten oder es handelt sich doch um einen Zählfehler. Letztlich sind das alles nur Vermutungen. Aufgefallen war der Anstieg zunächst Tor-Erfinder Roger Dingledine, der jedoch ebenfalls keine plausiblere Erklärung parat hat. (ju)
http://www.heise.de/newsticker/meldung/Seltsamer-Anstieg-der-Tor-Nutzungs-Statistik-1945960.html

Ob die PP-Nutzerstatistik auch zugenommen hat? Wenn ja, wie erklärt man sich den Anstieg?
.............................................

Auch interessante Themen:
1.
Überwachungsaffäre: NSA zahlt Hunderte Millionen Dollar an Provider
http://www.heise.de/newsticker/meldung/Ueberwachungsaffaere-NSA-zahlt-Hunderte-Millionen-Dollar-an-Provider-1945984.html
2.
NSA-Affäre: "Schwarzes Budget" der US-Geheimdienste enthüllt
http://www.heise.de/newsticker/meldung/NSA-Affaere-Schwarzes-Budget-der-US-Geheimdienste-enthuellt-1945661.html
 
lol. Ist schon bissl her. OK. Kann sein das es jetzt besser läuft und mehr drüber geht. Aber so viel ist es ja nicht. Siehst ja was über unsere Server geht. Sind ja nur irgendwie max nen 10tel Tor dabei :p
 
Tor-Benutzer leicht zu enttarnen

Spätestens seit häppchenweise bekannt wird, wie massiv und gezielt uns Geheimdienste ausspionieren und überwachen, gilt das Anonymisierungsnetz Tor als heißer Tipp für mehr Privatheit im Internet. Dass man sich auf dessen Anonymitätsversprechen bei einem Gegenspieler vom Format der NSA und GCHQ nicht allzu sehr verlassen sollte, zeigt ein aktuelles, wissenschaftliches Paper.

Das Grundproblem ist eigentlich lange bekannt: Tor verschleiert die Adresse eines Internet-Surfers vor den von ihm genutzten Diensten. Für einen Server-Betreiber sieht es so aus, als kämen die Zugriffe von einem Rechner des Tor-Netzes, das quasi zwischen den Anwender und den Server geschaltet ist. Er kann die Zugriff nicht zur wahren Quelle – also der IP-Adresse des Tor-Nutzers zurückverfolgen.

Bei NSA und GCHQ muss man jedoch davon ausgehen, dass sie mittlerweile einen beträchtlichen Teil des Internet-Verkehrs in das Tor-Netz hinein und aus Tor hinaus beobachten. Das ermöglicht eine Deanonymisierung durch gezielte Suche nach Traffic-Mustern. Das Laden einer Web-Seite etwa zieht eine ganze Kaskade von weiteren HTTP-Anfragen für Bilder, CSS-Dateien und so weiter nach sich. Deren Abfolge und Größe bilden ein Muster, das sich auf der Anwender-Seite des Tor-Netzes wiedererkennen und damit einer IP-Adresse zuordnen lässt. Wie gut das tatsächlich möglich ist, haben jetzt Aaron Johnson , Chris Wacek , Micah Sherr und Paul Syverson analysiert.

Ihr Modell für realistische Angriffe liefert frustrierende Ergebnisse: Rund 80% aller Tor-Nutzer ließen sich schon nach 6 Monaten Betrieb eines mittleren Tor-Relays deanonymsieren. Wenn ein Angreifer den kompletten Verkehr eines Teilbereichs des Internet – etwa in Form eines Autonomous Systems (AS) oder eines Internet Exchange Points (IXP) – kontrolliert, müssen Tor-Nutzer mit einer 95-prozentigen Gefahr rechnen, dass ihre Identität innerhalb von drei Monaten aufgedeckt wird. Mehr Ressourcen unter Kontrolle des Überwachers beschleunigen den Vorgang.

Entsprechend klingt das Fazit der Forscher schon fast nach einem Abgesang: "Tor hat vielen tausenden Anwendern echte und wertvolle Privatheit beschert. Wir sind optimistisch, dass es das fortsetzen und seine Dienste verbessern kann." So ungefähr spricht auch Merkel ihr volles Vertrauen aus. Weitere Punkte, warum es keine so gute Idee ist, für das abendliche Privatvergnügen einfach mal über Tor zu surfen, diskutiert der Artikel "Eigen-Tor" in der nächsten c't 20/2013, die Abonnenten Samstag im Briefkasten vorfinden. (ju)
Quelle: http://www.heise.de/newsticker/meldung/Tor-Benutzer-leicht-zu-enttarnen-1949449.html

Na ja, eigentlich nichts Neues, oder ?!
 
Botnet löst Nutzer-Explosion im Tor-Netz aus

Dem massiven Anstieg der Tor-Nutzung, der am 19. August weltweit erstmals festgestellt wurde, liegt wohl ein Botnet zugrunde. Die Steigerung der Tor-Nutzerzahlen um fast das Fünffache wird laut den Sicherheitsexperten von Fox IT durch den Trojaner Mevade.A ausgelöst, der seit mindestens 2009 auch unter dem Namen Sefnit bekannt ist. Das Botnet des Trojaners kommunizierte lange über HTTP, die Entwickler schalteten dann aber so gut wie gleichzeitig mit dem plötzlichen Anstieg der Tor-Nutzung auf das Anonymisierungs-Tool als Kommunikationsmethode um. Die außergewöhnliche Größe und internationale Ausbreitung des Botnets legt den Schädling deshalb als Ursache des Anstiegs nahe.

Fox IT diagnostiziert, dass das Mevade-Botnet auch schon vor der Umstellung auf Tor als Kommunikationsweg große Ausmaße gehabt haben muss. Eine Analyse des Schadcodes bringt die Tor-Version 0.2.3.25 zu Tage, welche die Trojaner benutzen, um über .onion-Links zu kommunizieren. Diese werden ihrerseits über HTTP verteilt. Noch ist der Zweck, zu dem das Botnet betrieben wird, nicht endgültig geklärt. Die Tatsache, dass der Code aus dem russischsprachigen Raum zu stammen scheint, fassen die Sicherheitsexperten als Hinweis dafür auf, dass Online-Banking-Daten das Angriffsziel sein könnten.

Der Anstieg der aktiven Tor-Nutzer fand so abrupt statt, dass viele Beobachter von Anfang an eine erhöhte Sensibilisierung der Allgemeinheit und den damit verbundenen Wunsch nach mehr Privatheit durch den aktuellen NSA-Skandal als Ursache ausgeschlossen hatten. Auch eine gezielte Sabotage des Tor-Netzes oder verstärkte Nutzung durch den von The Pirate Bay vorgestellten PirateBrowser mit eingebautem Tor-Client scheint jetzt ausgeschlossen.

Die Daten von Fox IT legen nahe, dass Tor als Verschleierungsmethode für Botnets immer beliebter wird. Vorteile aus Sicht der Kriminellen sind hierbei die Verschlüsselung des Traffics, was ein Beobachten und Aufspüren der Bots erschwert, und die Anonymisierung der C&C Server, was ein gezieltes Ausschalten der Kontrollinfrastruktur des Botnets behindert. Auch wird durch die .onion-Links ein Sinkholing der zur Kontrolle der Bots benutzten Domains verhindert.
http://www.heise.de/newsticker/meldung/Botnet-loest-Nutzer-Explosion-im-Tor-Netz-aus-1952453.html

Dumme (oder kluge?) Frage an PP: Ist so etwas bei "uns" auch möglich?
 
Dumme (oder kluge?) Frage an PP: Ist so etwas bei "uns" auch möglich?
Click to expand...

Ja wird auch schon benutzt. bots kommunizieren dann erst über PP server zur außenwelt bzw werden eingehende bot verbindungen möglichgemacht durchs portforwarden
 
Ich spekuliere zum einen Teil, zum anderen habe ich sowas in ganz klein selbst schon ausprobiert, zum testen.

Früher wo alle mailports noch offen waren wurde viel darüber gespammed - ist ansich das gleiche wie ein reguläres botnetz das spammed, nur dass anstelle der bots, PP server blacklisted werden.

und einige webseiten haben PP server gebanned weil viele parse-scripte über die seiten gingen. in diesem fall blockiert die website nur die PP IP anstelle von der IP vom echten scraper. ist nicht echt ein botnet aber, wieder, so eine ähnliche funktion.

und wie eben gesagt: bei PP kann man verbindungen von außen nach innen durchs port forwarding tunneln, also kann sich ein CnC server easy hinter PP verstecken worüber die drohnen kommunizieren.
 
Die Tatsache, dass die Entwicklung von Tor zu einem Großteil von der US-Regierung finanziert wird, wirft erneut Fragen auf.

Neue Diskussion über Finanzierung des Tor-Projektes

Nach Bekanntwerden der Nachricht, dass die NSA Verschlüsselungstechniken unterwandert und mit Hintertüren spickt, ist die Diskussion über die Finanzierung des Anonymisierungs-Tools Tor erneut entbrannt. Nachdem ursprünglich die US-Marine das Open-Source-Projekt in seiner Anfangszeit mitentwickelte, trug im letzten Jahr ungefähr 60 Prozent des Entwicklungsbudgets das US-Verteidigunsministerium und andere Teile der US-Regierung. Im Licht der NSA-Affäre werden gerade in diesen Tagen allerdings viele als sicher geglaubten Krypto- und Anonymisierungstechniken erneut durchleuchtet und hinterfragt.

Da die US-Marine dem Verteidigunsministerium ebenso untersteht wie der Geheimdienst NSA, steht nun die Frage im Raum, ob Tor noch als sicher gelten kann. So fragt auch die Washington Post öffentlich, ob Nutzer dem Tor-Projekt noch trauen können. Die Zeitung zitiert den Direktor des Projekts, Andrew Lewman, der Tor nach wie vor für sicher hält. Dass das Projekt Geld von der Regierung bekäme, ändere dies nicht, so Lewman. Man kollaboriere nicht mit der NSA. Es gäbe in der US-Regierung nach wie vor Stellen, die daran interessiert seien, dass es auch in Zukunft starke Anonymität im Internet gäbe. Auch Tor-Mitbegründer Roger Dingledine ist der Ansicht, dass das Geld der Regierung eher einer Forschungsbeihilfe gleichkäme. Der Quellcode der Software, die das Tor-Projekt herausgebe, sei öffentlich, nichts sei verborgen.

Offene Quellen allein sind aber keine Garantie, dass eine Hintertür im Code ausgeschlossen ist und dass die NSA nicht trotzdem versucht, Lücken einzuschleusen. Der NIST-Standard, den der Geheimdienst nach eigenen Vorstellungen mit einer Backdoor versah war schließlich auch offen und für jeden einsehbar. Ob die NSA eine Hintertür in Tor überhaupt zwingend benötigt, ist auf Grund der neuesten Erkenntnisse über die Angreifbarkeit des Anonymisierungs-Tools ohnehin fraglich. Ein Forscher-Team kam zu dem Schluss, dass ein Gegenspieler vom Format der NSA auch ohne gezielt eingebrachte Lücken relativ gut in der Lage sei, Nutzer gezielt zu enttarnen. (fab)
Quelle: http://www.heise.de/newsticker/meld...r-Finanzierung-des-Tor-Projektes-1955851.html


Ebenfalls lesenswert:
1.
Mythos Anonymität
Von der Schwierigkeit, sich unerkannt im Internet zu bewegen
Ganzer Artikel: http://www.heise.de/ct/artikel/Mythos-Anonymitaet-1948181.html
*Na ja, so ganz einverstanden bin ich mit dem Artikel bzw. der Meinung des Schreibers allerdings nicht.

2.
NSA-Enthüllungen: Verschlüsselungsexperten sehen sich bestätigt
http://www.heise.de/newsticker/meldung/NSA-Enthuellungen-Ganzer Artikel: Verschluesselungsexperten-sehen-sich-bestaetigt-1955715.html
 
TOR und das FBI

FBI gibt zu, Freedom Hosting gekapert zu haben

Die als "Magneto" bezeichnete Exploit in Firefox 17 ESR und dem Tor-Browser-Bundle geht tatsächlich auf das FBI zurück. Die Strafverfolgungsbehörde hatte Javascript eingesetzt um Nutzer des Tor-Hidden-Services-Anbieter Freedom Hosting zu identifizieren. Freedom Hosting war dafür bekannt geworden, große Mengen an kinderpornografischem Material zu beherbergen. Laut des US-Magazins Wired gab der FBI-Agent Brooke Donahue nun in einem Gericht in Dublin zu, dass seine Behörde bei den Ermittlungen die Server übernommen hatte, um Tor-Nutzer zu tracken.

Donahue erschien vor Gericht, um einen Kautionsantrag des Betreibers von Freedom Hosting zu vereiteln. Der in Haft sitzende Eric Eoin Marques hatte sich während der Ermittlungen einen harten Kampf um die Freedom-Hosting-Server geliefert und diese auch für kurze Zeit zurückgewonnen. Das FBI hatte die Kontrolle über die Hidden-Services dazu benutzt, Besuchern Code unterzuschieben, der ihre IP- und MAC-Adressen sowie eine Identifikationsnummer für den Besuch auf der über Tor besuchten Webseite an die Server des FBI übermittelte.

Der Schadcode hätte eigentlich den Rechner komplett übernehmen können — da er dies nicht tat, hatten Experten schon bei seinem ersten Auftauchen auf eine zielgerichtete Infektion einer Strafverfolgungsbehörde spekuliert. Auch die Tatsache, dass die Lücke ganz spezifisch auf die Firefox-Version des Tor-Browser-Bundles zugeschneidert war, legte diesen Verdacht nahe. Damit ist die gezielte Schadcode-Infektion ein weiteres Szenario, gegen das sich Tor-Nutzer absichern müssen. (fab)
http://www.heise.de/newsticker/meldung/FBI-gibt-zu-Freedom-Hosting-gekapert-zu-haben-1958656.html


Auch interessant:
Das interne IT-System der staatlichen belgischen Telecomgesellschaft
Belgacom ist Opfer eines großangelegten Spähangriffs geworden.
http://www.heise.de/newsticker/meldung/Spaehangriff-auf-Belgacom-1958505.html
 
1-f067fc3bac8d694f.jpeg


Silk Road:
FBI schaltet Drogen-Handelsplattform im Tor-Netz aus

Dem FBI ist ein großer Coup im Kampf gegen den Drogenhandel gelungen: Die Ermittler konnten anscheinend den Betreiber der Silk Road – einem berüchtigten Marktplatz für Illegales – verhaften und die Seite vom Netz nehmen. Silk Road hatte angeblich rund eine Million registrierte Mitglieder. Der Dienst wurde als sogenannter Hidden Service im Tor-Netzwerk betrieben. Diese versteckten Dienste sind darauf ausgelegt, die tatsächlichen IP-Adressen der Server geheim zu halten.

Über die Silk Road wurden kriminelle Geschäfte aller Art abgewickelt, gehandelt wurde unter anderem mit Drogen, Kreditkartendaten, Trojanern. Genauso vielfältig sind auch die Vergehen, die das FBI dem Verdächtigen vorwirft, der unter dem Nicknamen "Dread Pirate Roberts" aktiv gewesen sein soll.


Kein Anschluss unter dieser .onion-Adresse: Beim Aufruf der Silk Road erscheint nun ein Hinweis des FBI. Vergrößern Wie aus der Anklageschrift hervorgeht, das der Security-Journalist Brian Krebs ins Netz gestellt hat (PDF), beginnen die Vorwürfe bei Verstößen gegen das Betäubungsmittelgesetz und gehen über das unberechtigte Eindringen in Computersysteme bis hin zur Geldwäsche. Dread Pirate Roberts soll sogar einen Nutzer der Silk Road für einen Mord an einem anderen Nutzer engagiert haben. Letzterer hatte damit gedroht, die Identitäten tausender weiterer Mitglieder offenzulegen.

Laut dem FBI-Dokument haben Ermittler seit November 2011 undercover über 100 Testkäufe bei Silk Road gemacht. Das FBI erhielt Rauschgift-Sendungen aus über zehn Ländern und unterzog die Proben einer Laboranalyse. Dabei zeigte sich, dass die Drogen tatsächlich dem auf der Untergrund-Plattform beworbenen Reinheitsgrad entsprachen.

Als Zahlungsmittel waren auf dem illegalen Marktplatz ausschließlich Bitcoins zugelassen. Das digitale Geld wurde nicht direkt überwiesen, sondern über den Treuhanddienst des Betreibers. Über die hierfür genutzten Bitcoin-Wallets stellten die Ermittler umgerechnet etwa 2,5 Millionen US-Dollar sicher. Laut dem FBI wurden über Silk Road über 1,2 Millionen Transaktionen abgeschlossen, wobei ein Umsatz von 1,2 Milliarden US-Dollar generiert wurde. Der Betreiber soll eine Provision in Höhe von rund 80 Millionen US-Dollar kassiert haben.

Ausgangspunkt für die erfolgreiche Ermittlung des Betreibers war offenbar ein Posting in einem Forum über Rauschmittel, in dem der Verhaftete auf seinen Markplatz kurz nach der Eröffnung aufmerksam machte. Von dort aus verfolgte das FBI die digitale Fährte weiter zu einem Bitcoin-Forum, in dem der Verdächtige eine Gmail-Adresse angab, die seinen tatsächlichen Namen enthält.

Update vom 2 Oktober, 22 Uhr: Anders als zunächst angegeben wurden bei Silk Road keine Waffen gehandelt.
http://www.heise.de/newsticker/meldung/Silk-Road-FBI-schaltet-Drogen-Handelsplattform-im-Tor-Netz-aus-1972026.html
 
Neues von der NSA:
"Tor stinkt"

Der Guardian berichtet in einer neuen Runde von Snowden-Enthüllungen über die Aktivitäten der Geheimdienste, die darauf abzielen, Nutzer des Anonymisierungs-Dienstes Tor zu identifizieren und zu belauschen. Die wirkliche Überraschung dabei ist, dass die NSA zumindest intern zugibt, dass sie dabei nicht sonderlich erfolgreich ist.

So sind anscheinend die grundsätzlichen Sicherheits-Funktionen des Tor-Netzes weiterhin intakt: "Wir werden niemals alle Tor-Nutzer identifizieren können", zitiert der Guardian aus einer Top-Secret-Präsentation mit dem Titel "Tor stinks". Mit manueller Analyse sei man lediglich in der Lage, einen sehr kleinen Anteil der Tor-Nutzer zu identifizieren. Insbesondere habe die Agency bislang keinen Erfolg damit gehabt, Anwender auf konkrete Anfragen hin gezielt zu De-Anonymisieren.

Das hält die Geheimdienste nicht davon ab, es natürlich trotzdem zu versuchen. Das wichtigste Werkzeug dabei: Angriffe auf die Systeme der Tor-Nutzer. So bestätigen die von Snowden geleakten Dokumente, dass tatsächlich die NSA hinter gezielten Angriffen steht, die Sicherheitslücken ausnutzten, um Spionage-Software auf den Rechnern von Nutzern des Anonymisierungs-Dienstes zu installieren. Solche Angriffe auf Schwachstellen in Firefox konnten erst im Juli auf das FBI zurückgeführt werden. Offenbar hat die NSA bereits früher Zero-Day-Exploits gegen Firefox für diese Zwecke eingesetzt, bis das Mozilla-Team die zugrundeliegende Lücke im November 2012 mit Firefox 17 unbeabsichtigterweise schloss.

Die bereits mehrfach diskutierten Konzepte, mit Hilfe der enormen Überwachungskapazitäten von NSA und GCHQ die Tor-Nutzer an Hand von charakteristischen Traffic-Mustern aus dem Internet-Verkehr der Backbones herauszufiltern, testete die NSA zwar durchaus – allerdings angeblich mit mäßigem Erfolg. Das verwundert ein wenig, konnten doch sogar öffentliche Forschungsprojekte schon beachtliche Ergebnisse präsentieren. Die Praxis ist anscheinend doch noch etwas komplexer als die Modelle der Forscher.

Insgesamt enthalten die Veröffentlichungen diesmal wenig wirklich neue Informationen. Bereits mehr oder weniger bekannt, aber von einiger Sprengkraft ist die Tatsache, dass die NSA tatsächlich ganz gezielt Tor-Nutzer attackiert, indem sie Sicherheitslücken in deren Systemen ausnutzt. Da sie zu diesem Zeitpunkt noch nicht wissen, wer sich hinter einem Zugriff aus dem Tor-Netz verbirgt, richten sich diese Angriffe prinzipiell auch gegen US-Bürger. Das ist natürlich von unserer Seite des Atlantiks gesehen eher ein Randaspekt; für die um den Anstrich von Legitimität bemühte US-Regierung könnte sich das jedoch als fatal erweisen.

Auf alle Fälle nimmt Security-Guru Bruce Schneier die Veröffentlichungen zum Anlass für ein Plädoyer dafür, dass auch die NSA dafür sorgen sollte, Sicherheitslücken zu beseitigen, statt sie zur Überwachung zu nutzen. Denn letztlich sie dies der einzige Weg, Staat, Wirtschaft und Gesellschaft vor Cybercrime zu schützen. (ju)
http://www.heise.de/newsticker/meldung/Neues-von-der-NSA-Tor-stinkt-1972983.html

Wie die NSA in Netzwerken vorgeht, wird hier abstrackt erläutert:
http://www.youtube.com/watch?v=bYUzBfOQEbc
 
You must log in or register to reply here.
Back
Top