Strafverfolgungsbehörden in Deutschland lassen Server im Tor-Netzwerk teils monatelang überwachen, um Tor-Nutzerinnen und -Nutzer zu deanonymisieren. Besonders betroffen sind Seiten im sogenannten Darknet. Dies zeigen Recherchen des ARD-Politikmagazins Panorama und STRG_F (funk/NDR).

Die bei der Überwachung gewonnenen Daten werden demnach in statistischen Verfahren so aufbereitet, dass die Tor-Anonymität gänzlich ausgehebelt wird. Reporter von Panorama und STRG_F konnten Unterlagen einsehen, die vier erfolgreiche Maßnahmen in nur einem Ermittlungsverfahren zeigen. Es sind die weltweit ersten belegten Fälle dieser sogenannten “Timing-Analysen”. Bisher galt dies als quasi unmöglich.

    • Emotet@slrpnk.net
      link
      fedilink
      Deutsch
      arrow-up
      31
      ·
      3 months ago

      Das stimmt bei richtiger Verwendung schlichtweg nicht und es nützt niemandem, wenn man falsche Informationen herausposaunt. Wie auch im Artikel zu lesen, fand die timing attack auf üblichem Wege, gerade fürs deutsche Rechtssystem aber äußerst kontrovers statt:

      Zur finalen Identifikation verpflichtete das Amtsgericht Frankfurt am Main schließlich den Provider Telefónica, unter allen o2-Kundinnen und -Kunden herauszufinden, wer von ihnen sich zu einem der identifizierten Tor-Knoten verband.

      Bei einer Timing Attack werden, wie der Name schon sagt, Zugriffszeiten und möglichst viele (Meta-)Daten zu bestimmten Paketen statistisch abgeglichen. So kann man auch ohne direkten Zugriff auf die Daten bei ausreichender Datenlage feststellen, wer mit wem kommuniziert.

      Hier wurde schlichtweg jeder o2 Kunde in Deutschland erstmal pauschal überwacht, ob er nicht mit einem bestimmten Server Kontakt aufnimmt. Um dem entgegenzuwirken, kann man natürlich erst einmal über einen (no log) VPN Provider gehen, um gar nicht erst zugeordnet werden zu können.

      • boredsquirrel@slrpnk.net
        link
        fedilink
        Deutsch
        arrow-up
        17
        ·
        3 months ago

        Absolut. VPNs sind so verbreitet, dass viel mehr Menschen sie verwenden als Tor. Auch weil sie halt normal schnell sind.

        Hauptnutzen ist, dem ISP nicht zu sagen dass man Tor nutzt.

        • philpo
          link
          fedilink
          Deutsch
          arrow-up
          4
          ·
          3 months ago

          Exakt. Und niemand hindert einen ja daran mit multiple-Hops zu arbeiten. Also von VPN zu VPN hangeln erschwert den Vektor irgendwann enorm, v.a. wenn vertrauenswürdige VPNs genutzt werden.

          Insbesondere für Oppositionelle in repressiven Regimen reicht die “nutze Tor” und “nutze ein VPN” halt nicht aus.

          • boredsquirrel@slrpnk.net
            link
            fedilink
            Deutsch
            arrow-up
            2
            ·
            3 months ago

            Multihops verstehe ich nicht.

            Client -> VPN1 -> VPN2 -> weiter

            Erlaubt VPN2 einfach jede Verbindung von VPN1? Ansonsten würde es doch gar keinen Sinn ergeben, wenn man sich dort auch authentifizieren muss, was geloggt werden könnte.

            • Saleh
              link
              fedilink
              Deutsch
              arrow-up
              2
              arrow-down
              2
              ·
              3 months ago

              Authentifizierung mit einem Account der über anonyme Zahlungsmittel bezahlt wurde.

              • boredsquirrel@slrpnk.net
                link
                fedilink
                Deutsch
                arrow-up
                1
                ·
                3 months ago

                Wenn es Logs gibt, sagen die dann aber dieselbe ID und damit dann auch IP Adresse weil es ja beim selben Anbieter ist

                • philpo
                  link
                  fedilink
                  Deutsch
                  arrow-up
                  5
                  ·
                  3 months ago

                  Wenn dein VPN Anbieter loggt bist du so oder so am Arsch.

                  Aber auf diese Weise sieht dein VPN Anbieter1 + dein Provider nicht,dass du Tor nutzt und der ggf. komprimierte TOR Entry ist ebenfalls nicht in der Lage deinen Ursprungs VPN Anbieter zu erfassen.(Das Device darf halt keine Spuren hinterlassen&die Tätigkeit darf nicht Rückschlüsse erlauben - daran scheitert es ja oft genug)

                  Gerade in Situationen in denen Netzabschnitte ggf. vollständig kompromittiert sind (China, Russland), ist das eine Möglichkeit.

                  • boredsquirrel@slrpnk.net
                    link
                    fedilink
                    Deutsch
                    arrow-up
                    1
                    ·
                    3 months ago

                    Stimmt. Es macht viel Sinn, dass ein riesiger Teil an Nodes bösartig sind.

                    Deswegen betreibe ich selber auch ein Exit-Node! Und kann jedem empfehlen, einen kleinen EinplatinenPC mit LAN an den Router zu hängen und darauf Tor als middle oder entry node laufen zu lassen.