Auf dem Weg zum Tor Crackdown

Und wieder ein Tor Exit Node in Deutschland weg. Und wie das vor sich ging, beschreibt ein Tor Exit Node Admin so:

Am 13.10. erhielt der Betreiber eines deutschen Tor-Nodes (Attribute: Exit, Fast, Stable, Guard, V2Dir) vom Hoster des dedizierten Servers die Kündigung des Mietvertrages für den Server. Die sehr knapp gehaltenen E-Mail enthielt als Begründung ein Wort: "Pornographie".

Die telefonische Nachfrage beim Hoster ergab: Das BKA hatte in einem "Beobachtungs-Log" die IP-Adresse des Servers gefunden und im Rahmen der Ermittlungen um die Daten des Betreibers des Servers gebeten. Aufgrund dieser Nachfage vom BKA sei der Server gesperrt worden und der Vertrag gekündigt.

Die telefonische Nachfrage des Tor Admins beim BKA ergab die Auskunft, dass man eine derartige IP-Adresse mitgeloggt und den Provider des Servers bezüglich der Stammdaten des Kunden angefragt habe. Eine Abschaltung des Servers sei aber von Seiten des BKA nicht gewünscht worden. Wegen der Abschaltung solle sich der Tor Admin um Aufklärung beim Hoster bemühen.

In einem erneuten Telefonat mit dem Hoster erklärte dieser, gegen den Tor Admin würde wegen Besitzes von Kinderpornographie ermittelt. Diese Ermittlung sähe man als hinreichenden Grund für eine sofortige und fristlose Kündigung an und man werde sich etwaige Schadensersatzansprüche gegen den Tor Admin vorbehalten.

In einem zweiten Gespräch mit dem BKA bestätigte der Beamte dem Tor Admin, dass man die Anfragen beim Hoster als Ermittlung wegen des Verdachtes auf Besitz von Kinderpornografie benennen könnte. Man sähe beim gegenwärtigen Stand der Ermittlungen aber nicht, das sie dem Hoster einen Grund für Konsequenzen bieten. Auf den Hinweis des Tor Admins, bei dem Server würde es sich um einen Tor Onion Router handeln und seinem Angebot der Unterstützung zur Klärung der Vorwürfe, kam vom BKA noch die Antwort, von Tor Onion Routern habe man noch nie gehört, aber man bedanke sich für das Angebot.

Nach Aussage des Tor Admins waren der Kündigung bereits Versuche seitens des Hosters vorangegangen, sich des Servers zu entledigen, bei denen nach Auffassung des Tor Admins eher wirtschaftliche als politische Gründe eine Rolle spielten, da der gemietete Server mit knapp 3 TByte Traffic pro Monat an der Grenze der nebenvertraglichen Absprache gearbeitet hatte. Der "offizielle" Vertrag zwischen dem Hoster und dem Tor Admin sah ein unbegrenztes Datenverkehraufkommen vor, was der Hoster jedoch technisch nicht realisieren konnte.

Wie der Tor Admin noch anmerkte, hätte ihm die überstürzte und technisch inkompetente Reaktion des Hosters dennoch die Möglichkeit gegeben, eventuell vorhandene Spuren zu vernichten, da auch 24 Stunden nach Zugang der Kündigung per E-Mail der administrative Zugriff auf den Server via SSH noch möglich war.

Nach der Beschlagnahmewelle im September geht es weiter mit der Bekämpfung der Tor Nodes. Das man nach dem "September Crackdown" im BKA immer noch nichts von der Existenz des Tor Netzes und seiner Funktionsweise (<- BKA hier lesen) zu wissen behauptet, erscheint mir unglaubwürdig.

Man muss davon ausgehen, dass immer dann, wenn sich die IP-Adresse eines deutschen Tor Exit Nodes in den "Beobachtungs-Logs" zu Ermittlungen der Polizeien und Geheimdienste verheddert, trotz der Unwirksamkeit der Aktionen gegen die eigentlichen Ziele der Polizeiarbeit gegen den Tor Exit Node Admin ermittelt, sein Server/Rechner beschlagnahmt oder sein Hoster angegangen wird, die zu einem gewissen Prozentsatz wie im obigen Beispiel mit der vorauseilenden Kündigung die "Drecksarbeit" des BKA erledigen werden. Außerdem kann man spekulieren, ob sich an solche Ermittlungen nicht auch die eine oder andere Überwachung der E-Mail Kommunikation des Tor Admins anschließt, da man ja die "Daten des Betreibers eines Tor Servers" beim Hoster abfragt.

Das bedeutet langfristig und spätestens dann, wenn auch von Tor Router Betreibern die Vorratsdatenspeicherung erzwungen werden sollte, dass es in Deutschland immer weniger oder überhaupt keine Tor Exit Nodes mehr geben wird, sondern allenfalls Middleman Tor Nodes.

Da die Vorratsdatenspeicherung eine internationale Kiste ist und in anderen Staaten die Sicherheitsbehörden ebenfalls ihre Beboachtungsnetze auswerfen, gehe ich von der mittel- bis langfristigen Gefahr aus, dass es aufgrund des "Fahndungsdrucks" im Tor Netz mindestens zu großen Löchern kommen wird – Beschwichtigungsversuche und das Herunterspielen der Gefahr von "Tor Executive Directors" sind da auch nicht gerade hilfreich.

Was dem Tor Netz offensichtlich fehlt und mit zu seinem Verhängnis beitragen könnte, sind Funktionen, die geografische Informationen (Stichwort "Geolocation") berücksichtigen:

Auf der einen Seite wird z. B. bei einem Tor Benutzer (oder auch Anbieter eines "versteckten" Tor Dienstes) aus Deutschland bei der Bildung der Verbindungsschaltung aus drei Tor Onion Routern niemals ein Eingangsrouter gewählt, der ebenfalls in Deutschland beheimatet ist.

Auf der anderen Seite erkennt der Ausgangsrouter der Verbindungsschaltung, ob die Anfrage des Tor Benutzers zu einem Zielrechner ausgeleitet wird, der sich im gleichen Land befindet wie der Ausgangsrouter. Ist dies nicht der Fall, übernimmt der Ausgangsrouter wie gewohnt die Kommunikation zum Zielrechner. Ist das der Fall, wird die Verbindungsschaltung entweder um einen anderen Ausgangsrouter ersetzt oder um einen weiteren Router erweitert, der die Ausgangsfunktionen übernimmt. Entweder würde das der ursprüngliche Ausgangsrouter mit dem Ersatz- oder Erweiterungsrouter selbst aushandeln oder eine entsprechende Information zum Tor Benutzer zurücksenden, damit dieser mit dem neuen Ausgangsrouter einen gemeinsamen Sitzungsschlüssel bilden und anschließend die Verbindungschaltung verändert erneuern kann. Auf jeden Fall wird der neue Ausgangsrouter nicht im gleichen Land stehen wie der Zielrechner.

Schematisch kann der Ist-Zustand so ausssehen und zu obigen Konsequenzen führen:

TB(D) --> TOR1(D) --> TOR2(CH) --> TOR3(D) <--> ZR(D)

Wird der deutsche Tor Benutzer TB(D) überwacht, weil er sich z. B. für Informationen zum islamistischen Djihadismus im Internet interessiert – was ein Journalist auf Recherchetour im Netz oder auch ein militanter Islamist sein kann, könnte der deutsche Eingangsrouter TOR1(D) ebenfalls das Interesse der deutschen Sicherheitsbehörden wecken. Findet sich in den "Beobachtungs-Logs" der deutschen Sicherheitsbehörden zum in Deutschland gehosteten Zielrechner ZR (D) die IP-Adresse des deutschen Ausgangsrouter TOR3(D), wird er u. U. Besuch vom BKA/LKA bekommen, mit einer Beschlagnahmung rechnen müssen oder sein Hoster bekommt einen "blauen Brief".

Anders würde der Zustand aussehen, wenn die obigen Informationen berücksichtig würden:

TB(D) --> TOR1(JP) --> TOR2(CH) --> TOR3(CN) <--> ZR(D)

Der deutsche Tor Benutzer TB(D) benutzt als Eingang einen Tor Router in Japan TOR1(JP), die Kommunikation mit einem deutschen Zielrechner ZR(D) wickelt ein Tor Ausgangsrouter in China TOR3(CN) ab.

Noch zur Ergänzung: Ideal, aber selten, würde die Verbindung aussehen, wenn die Zielrechner ihre Informationen per HTTPS und als versteckten Tor Dienst anbieten würden, der ebenfalls mit Auswertung der GeoIP Informationen angeboten wird, da die Sicherheitsbehörden zunächst die realen Adressdaten des Zielrechners in Erfahrung bringen müssten, um überhaupt zu erkennen, welchen Zielrechner sie beobachten müssten. Die SSL/TLS Verschlüsselung würde zusätzlich verhindern, dass an Übergabepunkten Inhaltsdaten im Klartext das Netz passieren.

Das Ganze hätte natürlich nur solange einen Sinn, wie es keine automatischen, unmittelbaren und internationalen Informationsabfragen, -austauschverfahren und Überwachungsersuchen gibt, mit denen z. B. ein Sicherheitsbeamter "auf Knopfdruck" in Erfahrung bringen und ausländische Partnerbehörden informieren könnte, wer TOR3(CN) und ZR(D) ist, was dort ausgetauscht oder abgefragt wurde und warum es geboten ist, Daten für spätere Zugriffe und Auswertungen abzufangen und zu speichern.

Ich weiß, ist etwas viel "Technikgebabbel", aber nötig, wenn man sich auf zukünftige Herausforderungen einstellen muss oder will.