Gegenmaßnahmen bei Missbrauch von TOR

#1
Hallo Hackerfreunde,

folgendes, ausgedachte Szenario:

Angenommen der eigene Server wird gehackt und die einzige Anlaufstelle ist die via TOR veränderte IP-Adresse des Eindringlings im Log.

Gehen wir außerdem davon aus, dass der Eindringling mutwillig erheblichen, finanziellen Schaden anrichtet, meinetwegen irgend welche Backups in einem Unternehmen löscht, Kundendaten an die Konkurrenz verkauft oder dergleichen.

Wie stehen die Chancen so jemanden ausfindig zu machen, d.h. mit Polizei, Anwälten und allem drum und dran?


Greetings
Hackse
 

jemo.

New member
#2
Ohne sicher zu sein würde ich behaupten, dass es eher schlecht aussieht.

Im Prinzip ist ein TOR vereinfacht ja nichts anderes als x-zwischengeschaltete Proxys und je nachdem in welchem Land die sich befinden, kann es sein, dass erst gar keine Daten nach Deutschland gegeben werden.
 
#4
Hackse:
TOR kann also beliebig missbraucht werden ohne Konsequenzen zu fürchten. I see ...
Mit dieser Schlussfolgerung solltest Du vorsichtig sein - denn es kommt, wie fast immer in diesem Kontext, vor allem darauf an wem Du auf die Füße trittst und wie sehr er nach Vergeltung trachtet. Es ist durchaus möglich die Kommunikation innerhalb des Tor-Netzwerks zu überwachen und so auch den Ursprung einer bestimmten Verbindung zu ermitteln. Das ist sicherlich mit einigem Aufwand verbunden, für Behörden, Polizei & Nachrichtendienste jedoch keineswegs unmöglich...
 

jemo.

New member
#5
für Behörden, Polizei & Nachrichtendienste jedoch keineswegs unmöglich...
Technisch ist das kein allzu großer Aufwand. Aber sehe ich das falsch, dass manche ausländische Behörden nicht mit anderen zusammen arbeiten und deshalb ggf. die Herausgabe der Daten verweigern?
 
#6
jemo:
Aber sehe ich das falsch, dass manche ausländische Behörden nicht mit anderen zusammen arbeiten und deshalb ggf. die Herausgabe der Daten verweigern?
Natürlich hapert es häufig an der nötigen Kooperation, dass hängt aber vor allem davon ab, in welchen Staaten die TOR-Server rumstehen und da bin ich ehrlich gesagt momentan überfragt... Allerdings meine ich mich daran zu erinnern, dass z. B. vor einiger Zeit in DE, im Zuge staatsanwaltlicher Ermittlungen, TOR-Server beschlagnahmt wurden...

Edit:
Ich habe gerade mal ein bisschen im Wikipedia Artikel zu TOR gestöbert, zu den "Grenzen der Anonymität" heißt es da:
Auszug aus dem Wikipedia-Artikel TOR(Netzwerk):
Tor bietet keine Anonymität gegen jeden Angreifer.[1] So ist es durch Überwachung einer ausreichend großen Anzahl von Tor-Knoten oder größeren Teilen des Internets möglich, nahezu sämtliche über Tor abgewickelte Kommunikation nachzuvollziehen.[2] Ein solches Szenario ist beispielsweise bei Betreibern von Internet-Knoten oder wichtigen Backbones – insbesondere durch Kooperation – durchaus vorstellbar: Gelingt es, den ersten und letzten Knoten der Verbindung zu überwachen, lässt sich mit Hilfe einer statistischen Auswertung auf den Ursprung der Verbindung schließen.[3]

Gegebenenfalls kann das auch durch staatliche Einflussnahme oder geheimdienstliche Tätigkeit erfolgen. Begünstigt wird es sowohl durch die Struktur des Internets, das sich stark auf einzelne Betreiber stützt, als auch durch die sehr ungleiche Verteilung der Tor-Server weltweit, die sich stark auf wenige Länder konzentrieren. Dadurch würde die Zusammenarbeit von wenigen Instanzen ausreichen, um die Wirkung von Tor deutlich zu schwächen.
Hier gibt's den kompletten Artikel:
http://de.wikipedia.org/wiki/Tor_(Netzwerk)
 
Zuletzt bearbeitet:
#7
Gelingt es, den ersten und letzten Knoten der Verbindung zu überwachen, lässt sich mit Hilfe einer statistischen Auswertung auf den Ursprung der Verbindung schließen.
Ja, das kann ich bestätigen. Diese Worte stammen ursprünglich von einem der TOR-Entwickler auf einer CCC-Präsentation von TOR. Es hieß allerdings auch, dass man im Vorhinein nicht die TOR-interne Route des Nutzers kennt und selbst wenn man sie kennen würde, müsste man den ersten _und_ dritten TOR-Server hacken um an die IP des Users zu kommen. Verschlüsselte TOR-Verbindungen von außen überwachen ist IMHO nicht drin und selbst wenn man alle o.g. Hürden ignoriert und es schaffen würde mit Behörden und Anwälten die richtigen TOR-Server des Angreifers zu beschlagnahmen, wäre da noch das nicht zu vernachlässigende Problem, dass die TOR-Entwickler offiziell behaupten zu keinem Zeitpunkt Routing-Daten der TOR-Nutzer zu protokollieren. D.h. eine Datei wie /var/log/auth.log in der steht, dass User X zum Zeitpunkt Z von IP A nach IP B geroutet wurde, exisitert nicht.

Wie viele tausend gafakte TOR-Server müsste man unbemerkt anbieten um statistisch gute Chancen zu haben, dass ein Angreifer über die eigenen ersten und dritten TOR-Server geroutet und protokolliert wird? :)

Fazit:
Einen vorsichtigen Angreifer, der weiß was er tut via TOR zu kriegen halte ich für sehr unwahrscheinlich.
 
Zuletzt bearbeitet:
#8
Verwendung und Missbrauch

Tor befindet sich noch in einer frühen Entwicklungsphase und sollte laut den Entwicklern noch nicht für starke Anonymität im Internet verwendet werden. Trotzdem wird geschätzt, dass weltweit hunderttausende Benutzer von Tor Gebrauch machen. Die Server befinden sich in privater Hand und jeder Interessierte kann selbst einen Tor-Server betreiben. Die Architektur ist bereits für DSL-Zugänge ausgelegt. Somit kann jeder Nutzer, der über einen DSL-Anschluss mit einer Upload-Bandbreite von mindestens 20kB[5] verfügt, einen Tor-Server betreiben.
Im Zusammenhang mit Vorermittlungen der Staatsanwaltschaft Konstanz im Bereich der Verbreitung von Kinderpornographie wurden am 7. September 2006 einige deutsche Tor-Server beschlagnahmt, die bei Host-Providern angemietet und untergebracht waren. Die Ermittlungen richten sich nicht gegen deren Betreiber. Die Staatsanwaltschaft erhofft sich lediglich Erkenntnisse über die zugreifenden Nutzer. Aufgrund der Struktur des Tor-Netzwerk ist dies als hoffnungslos einzustufen, weshalb die Rechtmäßigkeit der Beschlagnahme zweifelhaft erscheint.[6][7]
Dan Egerstad konnte mit einem Versuchsaufbau, in dem er fünf Exit-Knoten über eigene Rechner zur Verfügung stellte und diese mit Sniffer-Tools abhörte, darlegen, dass viele Nutzer die Sicherung der „letzten, unverschlüsselten Meile“ noch nicht berücksichtigen. Egerstad konnte unverschlüsselte Zugangsdaten, insbesondere von E-Mail-Postfächern aufzeichnen, und veröffentlichte einen Extrakt aus 100 Postfächern, die er Botschafts- und Regierungsangehörigen zuordnen konnte, um auf die Brisanz hinzuweisen und gleichsam zum Handeln zu bewegen. In diesem Zusammenhang soll laut einem Artikel vom 10. September 2007 eine stark gestiegene Anzahl von Exit-Knoten in China und den USA stehen.[8] Um Missbrauch dieser Art zu verhindern, genügt eine Ende-zu-Ende-Verschlüsselung, wie sie die meisten E-Mail-Dienste anbieten.
Ein Zitat von weiter unten im Wiki-Artikel. Ich denke, dass relativ deutlich ausdrückt: Keine Chance, wenn man nicht unbedingt Namen auf die Pakete schreibt. Zumal dieser Versuch sogar von Behörden geleitet wurden und man, falls der Server gehackt wird, erstmal alleine dasteht.
 
Oben