Editorial: Ist das Tor-Netz nur für Toren?

Tor-Netz für Toren?
Bild: dpa Gleich zwei große Sites des Darknet wurden in den vergangenen Tagen ausgehoben: Das Kinderschänder-Forum "Elysium" mit (den Angaben der Polizei zufolge) 87 000 Nutzern, sowie der Marktplatz "Alphabay", der wohl größte Nachfolger des berüchtigten Drogen­handels­platzes Sllk Road. Von beiden Sites konnten nach Angaben der Ermittlungs­behörden die Administra­toren verhaftet werden: Im Fall von Elysium ein 39-jähriger Hesse, bei Alphabay der 26-jährige Kanadier Alexandre Cazes, der in Thailand lebte.

Bei der Verhaftung von Cazes wurden mehrere Luxusautos und 400 Millionen Baht Bargeld (knapp über 10 Millionen Euro) beschlag­nahmt. Cazes scheint sich also in Thailand sehr sicher gefühlt zu haben, wenn er derart hohe Summen in seinem Anwesen lagerte, statt sie in Bankschließ­fächern oder offshore-Firmen zu verstecken. Zumal sich die Frage stellt, warum er überhaupt in Thailand lebte: Dass Thailand bei Drogenhandel drakonische Strafen verhängt, ist ja immer wieder Thema in den Medien. Im konkreten Fall war aber wohl Thailand gar nicht daran interessiert, den Darknet-Handelsplattform-Betreiber selber zu bestrafen. Vielmehr wurde nach inter­nationalen Medien­berichten seine Auslieferung an die USA bereits vorbereitet. Cazes hatte aber wohl weder Lust, in thailändischen noch in US-Knasts zu verschimmeln und brachte sich wenige Tage nach seiner Verhaftung selber um.

So werfen die Ermittler Licht ins Darknet

Tor-Netz für Toren?
Bild: dpa Wie schon vor einem Jahr in einem anderen Editorial geschrieben, bietet das Darknet so gut wie keine Sicherheit vor strafrechtlichen Ermittlungen. Insbesondere, wenn physische Waren (Drogen, Waffen etc.) im Darknet gehandelt werden, folgt auf die anonyme Transaktion ja immer eine echte Lieferung, die von den Ermittlungs­behörden verfolgt werden kann. Dazu ist zwar in vielen Fällen, insbesondere, wenn der genaue Absender ermittelt werden soll, die Kooperation des Paketdienst­leisters erforderlich. Andererseits haben die Paketdienst­leister in der Regel wenig Lust, dass aus einem aus Versehen aufgerissenen Paket dann irgendwelches un­indentifizier­bares, wahrscheinlich illegales und möglicher­weise ge­fährliches weißes Pulver rieselt.

Weitere Ermittlungs­ansätze ergeben sich daraus, dass das Tor-Netz, über das der verschleierte Zugang zu Darknet-Sites erfolgt, aus gerade mal etwa 7000 aktiven Relays besteht. Sogar nur etwa 1000 dieser Relays sind aktive Exit-Knoten, von denen aus der Tor-Traffic zu normalen Websites geroutet werden kann. Das dürfte damit zusammen­hängen, dass das Betreiben eines Exit-Knoten mit einer sehr hohen Abmahngefahr verbunden ist: Immerhin ist die IP des Exit-Knoten diejenige, unter der die Aktivitäten des jeweiligen Tor-Nutzers quasi "öffentlich sichtbar" werden.

Im Umkehrschluss bedeutet die geringe Zahl der Exit-Knoten: Will ein Geheimdienst den Traffic dieser Exit-Knoten überwachen, braucht er lediglich ein Dutzend unscheinbarer Mietserver bei diversen Providern, um bereits 1 Prozent des Exit-Traffics zu erfassen! Zwar ist es etwas schwieriger, Hidden Services des Darknet zu überwachen, denn die Anfragen zu diesen laufen gerade nicht über die Exit-Knoten. Vielmehr baut zunächst der versteckte Server eine "ganz normale" Tor-Verbindung zu einem der circa 4000 Tor-Knoten mit Verzeichnis­server auf und registriert sich dort. Alle folgenden Anfragen an den Hidden Server werden dann über die bereits bestehende Verbindung zum Tor-Netzwerk zurück­geroutet.

Im Endeffekt benötigt ein Angreifer knapp hundert Mietserver, um ein Prozent aller Tor-Knoten zu kon­trollieren, worunter sich dann ein Prozent aller Guard-Knoten (über die Verbindungen zum Tor-Netz aufgebaut werden) und ein Prozent der bereits erwähnten Verzeichnis-Knoten befindet. Mit einer Wahrschein­lichkeit von 1 Prozent mal 1 Prozent = 0,1 Promille gelingt es einem solchen Angreifer, gleichzeitig Zugriff auf die beiden Tor-Knoten zu haben, über den sich ein Hidden Service mit dem Tor-Netz verbindet, und auf dem sich der Hidden Service selber registriert.

In vielen Fällen kann der Angreifer durch Traffic-Analyse feststellen, dass er tatsächlich beide Enden einer Tor-Verbindung kontrolliert, und zwar auch dann, wenn sich mehrere weitere Tor-Knoten dazwischen befinden. Durch klassische Hacking-Methoden (zum Beispiel kurzer, gezielter DDOS-Angriff auf eine IP, die vermeintlich als zu einem bestimmten Dienst gehörig ermittelt worden ist) lässt sich das Wissen dann schnell präzisieren und verfeinern.

Warum finanziert die Regierung das?

In einem sehr lesenswerten Interview in der Zeitschrift konkret führt der Journalist Yasha Levine aus, dass das Tor-Netzwerk von der US-Marine entwickelt wurde, damit Spione ihre Nachrichten sicher verschicken können. Würden aber nur US-Agenten dieses System benutzen, wäre klar, dass jeder, der es nutzt, ein Agent ist. Also wurde Tor auch für andere Nutzer geöffnet, um die Nachrichten der Agenten darin zu verstecken. Noch bösere Zungen behaupten gar, dass Tor sowieso von vornherein als Honeypot geplant war, um Ganoven zu fangen.

Egal, was stimmt: Die Schläge gegen Alphabay und Elysium und früher gegen Silk Road sollten Tor-Nutzern zu denken geben. Anonym (also nicht mit der eigenen Kreditkarte!) bezahlte, kommerzielle VPN-Dienste, gegebenen­falls in Kombination mit Tor, sind zwar ebenfalls kein Allheilmittel, wahrscheinlich aber sicherer als Tor alleine. Bei aus Sicht der Staaten "kleineren" Vergehen, zum Beispiel einzelnen Drogenkäufen, sollte eine solche kombinierte Lösung in der Regel ausreichend vor Strafverfolgung schützen. Einen großen Hidden Service dauerhaft anonym zu halten, dürfte hingegen ein Ding der Unmöglichkeit sein. Wer nicht im Knast enden will, sollte es daher gar nicht erst versuchen.