(http://www.golem.de/1203/sp_90766-32839-i.png)
(Bild: Tor-Netzwerk)
Die EU hat ihre Praxis aufgegeben, im Internet Nutzer von Anonymisierungsservern mit einer gefälschten "Server overloaded"-Meldung abzuweisen. Angeblich seien Hacker schuld, die "typischerweise das Tor-Netzwerk nutzen".
Die EU-Kommission hat nach Beschwerden die heimliche Sperrung von IP-Adressen beendet, die zu Anonymisierungsdiensten gehören. Patrick Breyer vom Arbeitskreis Vorratsdatenspeicherung (AK Vorrat) hatte dies kritisiert. Nutzer von Anonymisierungsdiensten bekamen eine Fehlermeldung, wenn sie das Internetangebot der Europäischen Union ansteuerten. Angezeigt wurde eine Warnung: "Network Error (gateway_error). Server overloaded. The gateway may be temporarily unavailable, or there could be a network problem" (Netzwerkfehler. Server überlastet. Das Gateway ist nicht zu erreichen oder es besteht ein Netzwerkproblem).
Padeluun von der Bürgerrechtsorganisation Foebud, der einen Tor-Server betreibt, betonte: "Neben dem öffentlichen und ehrenamtlich betriebenen Tor-Netzwerk wurden auch kommerzielle Anbieter gezielt ausgesperrt. Über einige Dienste war der Zugriff auf ausgewählte Internetseiten überhaupt nicht möglich."
"Cyberangreifer nutzen typischerweise Tor-Netzwerke"
Ein Information Security Officer der EU-Kommission hatte Breyer erklärt, dass Nutzer von Anonymisierungsdiensten blockiert würden, weil "Cyberangreifer typischerweise das Tor-Netzwerk nutzen". Um das Onlineangebot der EU "für alle Bürger verfügbar zu halten", sei diese Sicherheitsmaßnahme nötig.
Dagegen hatte das Bundeskriminalamt am 26. September 2011 erklärt: "Heutzutage spielen Anonymisierungsdienste für die Ausführung von DoS- beziehungsweise DDoS-Angriffen keine Rolle mehr." Das BKA hatte bei einem eingesetzten Proxy-Server in der Grundkonfiguration des Reverse-Proxys bestimmte Adressbereiche aus dem Tor-Netzwerk gesperrt. Dabei habe es sich um eine Default-Einstellung des Herstellers gehandelt.
"Die Aussperrung von Anonymisierungsdiensten ist ein fatales Signal für die Freiheit im Netz", sagte Katharina Nocun vom AK Vorrat. "Die Bürger müssen weiterhin die Möglichkeit haben, anonym auf Internetseiten von Behörden zuzugreifen." Anonymisierungsdienste seien insbesondere in Ländern, die durch Zensur, Internetfilter und Vorratsdatenspeicherung die Internetnutzung überwachten, für die Gewährleistung der Presse- und Meinungsfreiheit unerlässlich.
Quelle: www.golem.de
Die Statistiken des Anonymisierungsdienstes Tor verzeichnen eine ungewöhnliche Zunahme der aktiven Nutzer. Sie lässt sich jedoch nicht durch einen im Zuge der NSA-Enthüllungen durch Snowden verursachten erhöhten Bedarf nach Privatheit erklären.
(http://www.heise.de/imgs/18/1/0/6/9/3/1/4/direct-users-2013-07-01-off-2013-08-30-all-887510f181d0ec68.png)
Der Anstieg der Tor-Nutzerzahlen beginnt sehr scharf am 19. August.
Eine genauere Analyse zeigt die Zahl der aktiven Tor-Nutzer über die vergangenen Wochen – also auch deutlich nach Snowdens Enthüllungen – nahezu konstant bei etwa 500.000. Erst seit dem 19. August begann ein rapider Anstieg, durch den sich diese Zahl innerhalb einer Woche nahezu verdreifacht hat. Es ist nahezu ausgeschlossen, dass dieser Verlauf auf gestiegenes Nutzer-Interesse zurückzuführen ist.
Die zweite Vermutung, die einem spontan in den Sinn kommt, ist, dass jemand im Rahmen eines Projekts versucht, das Tor-Netz auszuforschen oder gar lahmzulegen. Erst vor kurzem hatte beispielsweise ein Forscher erfolgreich versucht, die Anonymität des Nachrichtendienstes Bitmessage durch Spam-Nachrichten auszuhebeln. Hinter einem kürzlich registrierten, gezielten Angriff auf Tor-Nutzer stecken vermutlich US-Behörden. Doch diese Theorie passt ebenfalls nicht zu den Daten.
Der Anstieg ist international ziemlich gleich verteilt: Beschränkt man die Statistik auf Tor-Nutzer aus Aserbeidschan, verläuft die Kurve exakt parallel zu der für Deutschland, die USA oder China. Außerdem erzeugen die neu hinzugekommenen Tor-Nutzer nahezu keine Last, so dass die ohnehin kaum begeisternde Performance des Anonymisierungsnetzes kaum leidet.
Die wahrscheinlichste Erklärung ist somit, dass etwa ein internationales Bot-Netz Tor als zusätzlichen Kommunikationskanal entdeckt hat. Alternativ könnte irgendeine andere, international verbreitete Software plötzlich als Tor-Client in Erscheinung treten oder es handelt sich doch um einen Zählfehler. Letztlich sind das alles nur Vermutungen. Aufgefallen war der Anstieg zunächst Tor-Erfinder Roger Dingledine, der jedoch ebenfalls keine plausiblere Erklärung parat hat.
Quelle : www.heise.de
Microsoft hat von mehreren hunderttausend Windows-PCs Tor-Software gelöscht, die ein Trojaner zuvor heimlich installiert hatte. Tor selbst sei zwar "eine gute Applikation, um Datenverkehr zu anonymisieren" und stelle normalerweise keine Gefahr dar, betonen die Malware-Experten. Doch diese veraltete Version sei ein Risiko.
(http://2.f.ix.de/imgs/18/1/1/5/8/3/2/1/Tor-users-e41482650351d95d.png)
Bereits im August berichtete heise Security von einem zunächst rätselhaften Anstieg der Zahl der Tor-Nutzer, der sich dann als Resultat eines Botnetzes heraus stellte. Der von Microsoft als Sefnit bezeichnete Trojaner installierte den Tor-Netzwerkdienst, um seine Kommunikation über das Anonymisierungsnetz abzuwickeln. Dieser zusätzliche Systemdienst wurde unter Umständen auch bei einer Reinigung des Systems durch Antiviren-Software nicht entfernt. Da er sich nicht aktualisiert und zumindest in früheren Tor-Versionen bereits gravierende Sicherheitslücken entdeckt wurden, stufte ihn Microsoft als Gefahr ein und hat begonnen, diese Trojaner-Hinterlassenschaft zu entsorgen. Dabei habe man sich unter anderem auch mit den Tor-Entwicklern abgestimmt, erklärt Geoff McDonald vom Malware Protection Center.
Das Entfernen betrifft demnach nicht die aktuelle Tor-Version 2.4.20 sondern nur das veraltete Paket v0.2.3.25. Es passierte zunächst durch Microsofts Security-Tools wie die Microsofts Security Essentials und den Windows Defender. Seit dem 12. November wird eine entsprechende Signatur auch mit dem Malicious Software Removal Tool beim Windows-Update-Vorgang verteilt. Das führte zwar zu einem sichtbaren Einbruch der Tor-Nutzer-Zahlen, aber es verbleiben nach wie vor rund 2 Millionen überschüssiger Tor-Clients, die Microsoft auf Trojaner zurückführt.
Das Malware Protection Team empfiehlt deshalb Administratoren und fortgeschrittenen Anwendern, ihren Windows-PC selbst auf einen möglicherweise heimlich installierten Tor-Service zu testen. Dies kann man einfach mit dem Kommandozeilenbefehl
C:\> sc query tor
machen. Meldet das einen aktiven Dienst, den man nicht selbst installiert hat, kann man ihn mit sc delete tor dauerhaft abschalten. Zusätzlich kann man das zuvor gemeldete Programm auch löschen oder zumindest umbenennen.
Quelle : www.heise.de