Tor, Smartphone, Handy
Tor, Smartphone, Handy
Bildquelle: plysuikvv.gmail.com

KAX17: De-Anonymisierungs-Angriffe gegen Tor-Nutzer

Macht KAX17 ganz gezielt Jagd auf Tor-Nutzer? Alles spricht für eine groß angelegte De-Anonymisierungs-Kampagne.

Bereits seit 2017 soll KAX17 hunderte von Servern im Tor-Netzwerk betreiben. Seine Identität ist bis heute völlig unbekannt. Ein Sicherheitsforscher befürchtet nun, er betreibe im großen Stil einen weltweiten De-Anonymisierungs-Angriff gegen Tor-Nutzer.

Bedrohungen im Zwiebel-Netzwerk seit Jahren bekannt

Tor, OrNetRadar
Nusenu-OrNetRadar

Dem Sicherheitsforscher und Betreiber von OrNetRadar, Nusenu, sind die verdächtigen Aktivitäten von KAX17 bereits 2019 zum ersten Mal aufgefallen. Zurückverfolgen konnte er seine Spuren allerdings bis ins Jahr 2017.

KAX17-

KAX17: ganz klar kein Amateur und sehr hartnäckig

Für Nusenu steht fest, dass wer oder was auch immer dahinter steckt, ganz klar kein Amateur sein kann. Wer in der Lage ist, über Jahre hinweg und innerhalb kürzester Zeit immer wieder hunderte neue und anonyme Server bereitzustellen, braucht einiges an Ressourcen und Erfahrung.

Der Fokus von KAX17 auf Tor-Eingangs- und Mittelrelais veranlasst mich zu der Annahme, dass er Informationen über Nutzer zu sammeln versucht, die sich regelmäßig mit dem Netzwerk verbinden. Er versucht ganz klar, ihre Wege innerhalb des Zwiebel-Netzwerks nachzuverfolgen.

Nusenu

Server, die zum Tor-Netzwerk hinzugefügt werden, müssen zwar in der Regel Kontaktinformationen enthalten. Allerdings werden immer wieder Ausnahmen gemacht, um sicherzustellen, dass jederzeit genügend Kapazitäten vorhanden sind.

Diese Tatsache scheint KAX17 ganz gezielt auszunutzen. Mittlerweile dominiert dieses anonyme Server-Netzwerk ohne Kontaktinformationen anscheinend die Infrastruktur von Tor.

Tor-User können mit sehr hoher Wahrscheinlichkeit de-anonymisiert werden

Diese unglaublich hohe Dominanz einer komplett anonymen Serverinfrastruktur, welche einem einzigen und unbekannten Betreiber zugeordnet werden kann, birgt vor allem ein großes Risiko. Die gezielte Jagd und De-Anonymisierung einzelner Tor-Nutzer.

KAX17 kann aufgrund seiner umfassenden Überwachung des Tor-Netzwerks Tor-User mit den folgenden Wahrscheinlichkeiten de-anonymisieren:

Nusenu
  • Guard: 10,34 %
  • Middle: 24,33 %
  • Exit: 4,6 %

Das schlimme ist aber, dass es kaum was nützt, die verdächtigen Server regelmäßig aus dem Zwiebel-Netzwerk zu entfernen. Denn KAX17 schafft es seit Jahren immer wieder innerhalb kürzester Zeit hunderte neue Server bereitzustellen.

Es gleicht einem Kampf gegen Windmühlen. Ein Kampf gegen jemanden, der sich sehr gut auszukennen scheint und der über sehr (sehr) viel Geld verfügen muss.

Es gibt zwar Ansätze, sich beim Navigieren im Tor-Netzwerk vor dieser anonymen und als gefährlich eingestuften Server-Infrastruktur zu schützen, aber für die breite Masse ist das derzeit wohl kaum praktikabel.

Sunny

Über

Sunny schreibt seit 2019 für die Tarnkappe. Er verfasst die wöchentlichen Lesetipps und berichtet am liebsten über Themen wie Datenschutz, Hacking und Netzpolitik. Aber auch in unserer monatlichen Glosse, in Interviews und in „Unter dem Radar“ - dem Podcast von Tarnkappe.info - ist er regelmäßig zu hören.