FBI bezahlte Universität für Angriff auf Tor-Anonymisierung

torroristDas Tor-Netzwerk ist häufiger Angriffen ausgesetzt, die darauf zielen, NutzerInnen zu identifizieren. Hinter einer Attacke von ForscherInnen der Carnegie-Mellon-Universität (CMU) soll das FBI mit einer Zahlung von mehr als einer Million Euro stehen, wie nun bekannt wurde. Nach Einschätzung der Tor-EntwicklerInnen wurden die CMU-ForscherInnen bei der Attacke im vergangenen Jahr dafür bezahlt, die Anonymisierung des Tor-Netzwerkes zu knacken und die gewonnenen Informationen im großen Stil zu durchsuchen.

Das Tor-Projekt hatte bereits im vergangen Jahr Vorsorgemaßnahmen getroffen, um vergleichbare Angriffe in Zukunft unmöglich zu machen. In einer Meldung auf dem Blog des Tor-Projekts wird davon ausgegangen, dass das FBI in diesem Fall ohne richterlichen Beschluss gehandelt hat:

We think it’s unlikely they could have gotten a valid warrant for CMU’s attack as conducted, since it was not narrowly tailored to target criminals or criminal activity, but instead appears to have indiscriminately targeted many users at once. Such action is a violation of our trust and basic guidelines for ethical research. We strongly support independent research on our software and network, but this attack crosses the crucial line between research and endangering innocent users.

Die Identifizierung von NutzerInnen-IP-Adressen ist anderen Medienberichten zufolge Teil einer umfangreichen FBI-Ermittlung gegen die Plattform Silkroad 2.0 gewesen. Pikanterweise brüsten sich auch deutsche „Cyber-Fahnder“ damit, bei der „Operation Onymous“ gegen den Online-Marktplatz beteiligt gewesen zu sein.

6 Ergänzungen

  1. … soviel zur Theorie des „internationalen Cyberterrorismus“!
    Die Realität? Bezahlte staatliche Angriffe!

    … wir brauchen wieder den kalten Krieg, bei dem die Dienste wieder einen echten Gegner haben!

  2. Wobei ja nichts dagegen spricht, wenn das FBI Sicherheitslücken im Tor-Netz sucht. Dreist ist nur, dass die Behörden die Erkenntnisse geheim halten und für Überwachung missbrauchen. Meint man damit Dissidenten zu schützen? Demokratie zu fördern? Die Welt besser zu machen?

    Weil man selbst der „Gute“ ist und somit über dem Recht stehe? Das erinnert doch arg an den „guten Diktator und Führer“.

    1. „Wobei ja nichts dagegen spricht, wenn das FBI Sicherheitslücken im Tor-Netz sucht.“

      Dagegen spricht so erstmal nichts. Aber Sicherheitsluecken suchen bedeutet nicht massiv unschuldige Nutzer zu deanonymisieren. Man macht auch nicht 1000 random Hausdurchsuchungen (in diesem Fall ohne Richterbescheid oder klopfen) um zu gucken ob die Tueren auch gut halten. Da kauft man sich dann selbst Tueren und probiert das selbst bei sich aus. Und im Fall von Tor wuerdest du dir vll selbst nen Test-Netz machen, und da dann erstmal den Angriff ausprobieren, und sollte der so scheinen, als ob in der Tor-Software nachgebessert werden solle, dann uebergibt man die Informationen an die Entwickler oder schreibt selbst Patches. Wenn ich im Netz lese, dass es nen Typo3-Exploit gibt, wo man mit zwei Requests an die Datenbankpasswoerter kommt oder sowas (zumindest erinnere ich mich da an einen), dann gibt mir das auch nicht das Recht, mal 20 Live-Instanzen zu cracken, die nicht geupdatet wurden.

      1. Naja, ich verstehe doch das FB’EI, die suchen nach Terroristen und finden keine!
        … die nichtexistierenden Terroristen müssen also verdeckt Kommunizieren!
        … via VPN oder TOR!
        … man müsste jetzt TOR Rastern können, um diese nichtexistenten Terroristen finden zu können!
        … als Beifunde kann man ja Wistleblower, Dissidenten, Ärzte, Journalisten, Staatsverleumder (Kläger gegen Gesetze u.ä. Gefährder) und klar, KiPo Vertreiber anführen!
        Zumindest diese Leute hat man erwischt!
        … ist doch schon mal was!

      2. Spontan würde ich jetzt „jep“ sagen. Korrekt hdrhdr.

        Doch einige Dinge kann man nicht simulieren. Es spricht nicht zwingend etwas dagegen, Dinge direkt auszuprobieren. Doch das bedeutet eine besondere Verantwortung.

        Das ist nix für „kids at home“ und schon gar nicht für den, der Sicherheitslücken kaufen muss. Also nix für das FBI und auch nicht für die Behörden hier. Die Missbrauchsgefahr und das Potential Schaden anzurichten haben hier eine Wahrscheinlichkeit von Eins. Selbst wenn die Absicht noch so gut ist.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.