this post was submitted on 18 Sep 2024

59 points (100.0% liked)

DACH - Deutschsprachige Community für Deutschland, Österreich, Schweiz

2004 readers

426 users here now

Das Sammelbecken auf feddit.org für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Ursprünglich wurde diese Community auf feddit.de gegründet. Nachdem feddit.de mit immer mehr IT-Problemen kämpft und die Admins nicht verfügbar sind, hat ein Teil der Community beschlossen einen Umzug auf eine neue Instanz unter dem Dach der Fediverse Foundation durchzuführen.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

Eine ausführliche Sidebar mit den Serverregeln usw. findet ihr auf der Startseite von feddit.org

___

founded 4 months ago

MODERATORS

Seven@feddit.org

Der_aus_Aux@feddit.org

Ermittlungen im Darknet: Strafverfolger hebeln Tor-Anonymisierung aus (www.tagesschau.de)

submitted 1 month ago by You@feddit.org to c/dach@feddit.org

22 comments fedilink hide all child comments

Strafverfolgungsbehörden in Deutschland lassen Server im Tor-Netzwerk teils monatelang überwachen, um Tor-Nutzerinnen und -Nutzer zu deanonymisieren. Besonders betroffen sind Seiten im sogenannten Darknet. Dies zeigen Recherchen des ARD-Politikmagazins Panorama und STRG_F (funk/NDR).

Die bei der Überwachung gewonnenen Daten werden demnach in statistischen Verfahren so aufbereitet, dass die Tor-Anonymität gänzlich ausgehebelt wird. Reporter von Panorama und STRG_F konnten Unterlagen einsehen, die vier erfolgreiche Maßnahmen in nur einem Ermittlungsverfahren zeigen. Es sind die weltweit ersten belegten Fälle dieser sogenannten "Timing-Analysen". Bisher galt dies als quasi unmöglich.

all 24 comments

sorted by: hot top controversial new old

[–] D_a_X@feddit.org 60 points 1 month ago (1 children)

Kommentar von FEFE zum Thema:

Vorsicht: Das beruht ausschließlich aus Selbstdarstellung der Behörden. Bei Geheimdiensten gibt es seit vielen Jahren das Konstrukt der "parallel construction", wenn du jemanden über Mittel hopsnimmst, die vor Gericht nicht zulässig wären, dann erfindest du halt eine alternative Erklärung, wie du denjenigen erwischt hast. "Wir haben eine zufällige Überprüfung auf der Autobahn gemacht" oder so. Und jetzt halt: "Wir haben eine zufällige Überprüfung auf der Datenautobahn gemacht".

Sie sagen, sie hätten Tor über einen Timing-Angriff deanonymisiert. Das Tor-Projekt weiß da m.W. nichts von, der Aufwand wäre enorm und würde ein Level an Zugriff benötigen, das die eigentlich nicht haben dürften, soweit ich weiß.

Ich wäre also erstmal vorsichtig, denen das einfach zu glauben. Wenn sie das jetzt behaupten, dann sicherlich auch um andere Darknet-Kriminelle aus dem Tor-Netzwerk zu locken.

Das galt im Übrigen noch nie als unmöglich, dass dieser Angriff eines Tages gelingen würde. Daher hat das Tor-Projekt extra Maßnahmen eingebaut, um das zu erschweren.

Dass eines Tages ein Amtsgericht einfach O2 sagen würde, sie sollen alle Daten rausrücken, das hielt allerdings tatsächlich bisher niemand für möglich. Es gab da noch (offenbar unverdiente) Rechtsstaats-Vermutungen für Deutschland.

Ich habe keine Unterlagen gesehen und bin daher eher skeptisch, dass die Polizei das tatsächlich geschafft haben soll. Aber wer Tor benutzt, riskiert das immer grundsätzlich, dass irgendwelche Unrechtsregime, Geheimdienste oder das Amtsgericht Frankfurt freidrehen und ihn deanonymisieren. Tor kann nicht zaubern, kann das nur sehr aufwendig machen.

[–] theTarrasque@lemmy.world 3 points 1 month ago

Danke dir, dass du das hier hinkopiert hast. Sehr wichtig, die Einordnung mitzuliefern - sowas hätte man auch direkt bei der Tagesschau tun sollen.

[–] 30p87@feddit.org 22 points 1 month ago

Arschlöcher

[–] Flipper@feddit.org 21 points 1 month ago

Es gibt einige bekannte Fälle in denen Tornutzer deanonymisiert würde.

Es Student hat eine Bombendrohung über Tor an seine Uni geschickt, damit eine Prüfung verschoben wird. Mehrmals. Er war nur leider immer der einzige Tor Nutzer im Uni Netz.

Bei einem anderen war die Vermutung daß er zu ein bestimmter IRC Nutzer ist. Also ist sein Netz und der IRC Nutzer getrackt worden. Nach 2 Wochen war klar er ist es. Immer wenn es eine Tor Verbindung gab, war auch der IRC Nutzer online und umgekehrt.

Es kann auch das Tor Protokoll geknackt werden, wenn man nur genug Tor Knoten besitzt. Diese ganzen Dinge sind unheimlich aufwändig. Daher würde ich das mit Vorsicht genießen.

[–] boredsquirrel@slrpnk.net 14 points 1 month ago (1 children)

Als quasi unmöglich galt die jetzt nicht...

Aber ja, ein gutes VPN zusätzlich schadet sicher nicht. Und in öffentlichen Netzwerken sein.

[+] oberstoffensichtlich@feddit.org -11 points 1 month ago* (last edited 1 month ago) (1 children)

[removed by mod]

[–] Emotet@slrpnk.net 31 points 1 month ago (1 children)

Das stimmt bei richtiger Verwendung schlichtweg nicht und es nützt niemandem, wenn man falsche Informationen herausposaunt. Wie auch im Artikel zu lesen, fand die timing attack auf üblichem Wege, gerade fürs deutsche Rechtssystem aber äußerst kontrovers statt:

Zur finalen Identifikation verpflichtete das Amtsgericht Frankfurt am Main schließlich den Provider Telefónica, unter allen o2-Kundinnen und -Kunden herauszufinden, wer von ihnen sich zu einem der identifizierten Tor-Knoten verband.

Bei einer Timing Attack werden, wie der Name schon sagt, Zugriffszeiten und möglichst viele (Meta-)Daten zu bestimmten Paketen statistisch abgeglichen. So kann man auch ohne direkten Zugriff auf die Daten bei ausreichender Datenlage feststellen, wer mit wem kommuniziert.

Hier wurde schlichtweg jeder o2 Kunde in Deutschland erstmal pauschal überwacht, ob er nicht mit einem bestimmten Server Kontakt aufnimmt. Um dem entgegenzuwirken, kann man natürlich erst einmal über einen (no log) VPN Provider gehen, um gar nicht erst zugeordnet werden zu können.

[–] boredsquirrel@slrpnk.net 17 points 1 month ago (1 children)

Absolut. VPNs sind so verbreitet, dass viel mehr Menschen sie verwenden als Tor. Auch weil sie halt normal schnell sind.

Hauptnutzen ist, dem ISP nicht zu sagen dass man Tor nutzt.

[–] philpo@feddit.org 4 points 1 month ago (1 children)

Exakt. Und niemand hindert einen ja daran mit multiple-Hops zu arbeiten. Also von VPN zu VPN hangeln erschwert den Vektor irgendwann enorm, v.a. wenn vertrauenswürdige VPNs genutzt werden.

Insbesondere für Oppositionelle in repressiven Regimen reicht die "nutze Tor" und "nutze ein VPN" halt nicht aus.

[–] boredsquirrel@slrpnk.net 2 points 1 month ago (1 children)

Multihops verstehe ich nicht.

Client -> VPN1 -> VPN2 -> weiter

Erlaubt VPN2 einfach jede Verbindung von VPN1? Ansonsten würde es doch gar keinen Sinn ergeben, wenn man sich dort auch authentifizieren muss, was geloggt werden könnte.

[–] Saleh@feddit.org 0 points 1 month ago (1 children)

Authentifizierung mit einem Account der über anonyme Zahlungsmittel bezahlt wurde.

[–] boredsquirrel@slrpnk.net 1 points 1 month ago (1 children)

Wenn es Logs gibt, sagen die dann aber dieselbe ID und damit dann auch IP Adresse weil es ja beim selben Anbieter ist

[–] philpo@feddit.org 5 points 1 month ago (1 children)

Wenn dein VPN Anbieter loggt bist du so oder so am Arsch.

Aber auf diese Weise sieht dein VPN Anbieter1 + dein Provider nicht,dass du Tor nutzt und der ggf. komprimierte TOR Entry ist ebenfalls nicht in der Lage deinen Ursprungs VPN Anbieter zu erfassen.(Das Device darf halt keine Spuren hinterlassen&die Tätigkeit darf nicht Rückschlüsse erlauben - daran scheitert es ja oft genug)

Gerade in Situationen in denen Netzabschnitte ggf. vollständig kompromittiert sind (China, Russland), ist das eine Möglichkeit.

[–] boredsquirrel@slrpnk.net 1 points 1 month ago (1 children)

Stimmt. Es macht viel Sinn, dass ein riesiger Teil an Nodes bösartig sind.

Deswegen betreibe ich selber auch ein Exit-Node! Und kann jedem empfehlen, einen kleinen EinplatinenPC mit LAN an den Router zu hängen und darauf Tor als middle oder entry node laufen zu lassen.

[–] philpo@feddit.org 2 points 1 month ago (3 children)

Das Problem mit dem Exit-Node Betrieb ist,dass du nach deutscher Rechtssprechung dafür halt durchaus dran sein kannst,wenn ein Nutzer hierüber strafrechtlich (!) illegale Inhalte abruft oder vertreibt. Denn der Wegfall der Störerhaftung bezog sich primär auf das TMG,nicht das StGb.

Es gibt durchaus die rechtliche Meinung,dass der Betreiber der Exit-Node zu mindestens zeitweise die Inhalte zu eigen macht. Das ist zwar eine Spartenmeinung, aber reicht im Zweifelsfall Dicke für einen Durchsuchungsbeschluss. Siehe z.B. hier.

Wer mehr Tiefe will: Sandra Wittmer - Straftaten und Strafverfolgung im Darknet

Es dürfte beim Betrieb zuhause außerdem extrem schwere fallen, nachzuweisen,dass der Zugriff wirklich über die Exit-Node erfolgte und nicht über die eigenen Devices - d.h. eine vorläufige Beschlagnahme ist absolut durchsetzbar. Wäre ja sonst auch der ultimative Online-Hack. Betreibe den größten illegalen Kram und wenn die StA klopft weißt man auf die Node und verweist auf diese. Too easy.

So läuft es halt nicht. Das Problem hierbei: Die Devices (und damit sind dann alle Geräte gemeint auf die du Zugriff hast und die in diesem Netzwerk sind) sind erstmal weg - man kriegt sie zwar nachdem die IT Forensiker alles durchsucht haben (und dabei hoffentlich nichts anderes gefunden haben-das heißt aber wirklich NIX,sonst ist die Einziehung ganz schnell da) irgendwann wieder, aber die derzeitigen Bearbeitungszeiten liegen tlw. im Bereich von Jahren je nach Bundesland. Ich kenne aktuell einen Fall bei dem liegt sie bei über 3 Jahren - Ausgang offen. Das kommt einem wirtschaftlichen Totalschaden nahe.

Im genannten Beispiel war wohl v.a. die eindeutige Zuordnung auf eine externe Adresse (Hetzner) rettend für den Beschuldigten.

Ein weiteres Problem darf man auch nicht unterschätzen:

Solche Sachen bleiben kleben - auch wenn du nachher vollumfänglich freigesprochen wirst an Mangel an beweisen.(Besser als eine Einstellung des Verfahrens,glaub mir): Du bist für ewig und drei Tage in diversen Datenbanken der Cops,etc. mit dem Verfahren geführt. Und damit automatisch abgestempelt. Und glaube mir,es gibt wenig was Cops mehr hassen als Personen mit CSAM Assoziation. Und nicht nur das - das reicht sogar bereits aus,damit du z.B. nicht mehr die höheren Sicherheitsüberprüfungen kriegst. Sprich gewisse Jobs (u.a. dürfte ich dich nicht anstellen) sind nicht mehr möglich.

Geil,oder?

Mit anderen Worten/TLDR:

Ich würde mir sehr sehr sehr genau überlegen ob ich mir eine Exit-Node nach Hause stellen würde. Es gibt anonyme Serverbetreiber auf denen man anonym Server für sowas betreiben kann. Selbst eine Node bei einem normalen Hoster (aber bitte nicht bei Hetzner sonst krieg ich wieder die IP ab als nächstes und wundere mich warum die überall blacklisted ist) ist besser.

Oder nehmt das offene WLAN des Nachbarn den ihr nicht mögt. I don't care.

[–] boredsquirrel@slrpnk.net 3 points 1 month ago

Danke für die Infos.

Ja, der Node läuft auf incognet, mit tor gekauft und verwaltet, mit VPN über ssh eingerichtet (weil ich nicht gecheckt hab wie man ssh über tor macht, Hilfe gewünscht).

Mit Monero bezahlt. Basst

[–] boredsquirrel@slrpnk.net 2 points 1 month ago

Sehr gute Punkte. Repression durch Bürokratie ist der absolute Horror Deutschlands.

Aus solchen Datenbanken kann man sich löschen lassen. Dafür schickt man eine Auskunftsanfrage an alle Stellen die sie haben, und nach der Auskunft dann eine Löschanfrage für alle erhobenen Daten.

Hab so schon ein Foto entfernen können (lol auf dem absurden Samsung Polizeihandy isses trotzdem) aber andere Sachen noch nicht.

Wenn das verjährt ist, ist das leichter möglich.

Erweitertes Führungszeugnis sollte mit nem Freispruch gehen, Einstellung k.a. aber das bezieht sich normalerweise auf Verbrechen bzw. Vergehen (die nicht im normalen FZ stehen) und nicht auf generelle Verfahren.

[–] boredsquirrel@slrpnk.net 1 points 1 month ago

Aber mein Node ist recht sicher. Anonym eingerichtet, in der torrc eingestellt dass das Datenlimit dem des VPS providers entspricht, unattended-upgrades kümmern sich um Updates und ich hab tatsächlich den Zugriff darauf verloren lol

[–] RedPandaRaider@feddit.org 5 points 1 month ago (1 children)

Wieso wird sowas eigentlich nicht vom Bundesverfassungsgericht einkassiert? Ach so im eigenen Interesse...

[–] funtrek@discuss.tchncs.de 0 points 1 month ago

Weil die Verfolgung von Kriminellen nicht verboten ist.

[–] Samsy@lemmy.ml 5 points 1 month ago (1 children)

Nehmt es mir nicht übel, aber seit ich weiß was ein Exit-Node ist, weiß ich dass ich Tor eh nie für egal was nutzen würde. Mir ist eh nur Datenschutz wichtig. Sehen natürlich Darknet Nutzer dann anders. Aber ich denke mal, da das System erkannt ist, ist Darknet nichts was auch nur irgendwer nutzen sollte.

[–] EddyBot@discuss.tchncs.de 5 points 1 month ago

Solange nur .onion Adressen genutzt werden, wird gar kein Exit-Node befragt
aus dem Artikel werden diese jetzt auch nicht explizit erwähnt

[–] theTarrasque@lemmy.world 2 points 1 month ago* (last edited 1 month ago)

Mit Rechercheergebnissen von strg_F wäre ich vorsichtig, die haben ja schon einige Male zurückrudern müssen.