1. Foren
  2. Kommentare
  3. Wissenschaft
  4. Alle Kommentare zum Artikel
  5. › Anonymisierung: Projekt bestätigt…

Wer auch immer es war - ziemlich unbeholfen

  1. Thema

Neues Thema Ansicht wechseln


  1. Wer auch immer es war - ziemlich unbeholfen

    Autor: Mingfu 30.07.14 - 19:45

    Sonderlich viel Hirn hat er in diesen Angriff nicht gesteckt. Einen solchen Angriff aktiv zu führen, also Pakete zu manipulieren statt nur passiv mitzulesen, ist nicht sonderlich clever. Denn dadurch kann man, wie in diesem Fall gesehen, grundsätzlich auffliegen.

    Natürlich ist es simpel, Pakete zu markieren, um zu schauen, ob sie einen weiteren Tor-Knoten, der unter eigener Kontrolle ist, durchlaufen. Aber es dürfte unnötig sein, als Angreifer dieses Risiko einzugehen, wenn man nur bereit ist, etwas Grips zu benutzen. Mit nur etwas mehr Aufwand, schafft man das aber auch ohne aktive Markierung: Man schaut einfach, welche Datenmengen in einem Tunnel übertragen werden und welche zeitlichen Muster es dabei gibt. Das dürfte im Regelfall schon reichen, um Verbindungen mit sehr hoher Sicherheit zuordnen zu können, wenn sie durch mehrere eigene Knoten laufen. Notfalls kann man subtiler nachhelfen, indem man im Zweifelsfall auf dem ersten Knoten Pakete gezielt verzögert, um zu schauen, ob sich diese Verzögerung im zweiten Knoten so ebenfalls niederschlägt.

    Die Frage ist eher: Wie viele weitere Instanzen gibt es, die diese Art von Angriffen derartig passiv führen, so dass sie nicht aufdeckbar sind?

  2. Re: Wer auch immer es war - ziemlich unbeholfen

    Autor: walkytalky 30.07.14 - 20:25

    Dann würd mich auch interessieren, ob die TOR-Software versucht diese "Traffic Analysis" Infos im machbaren Rahmen wieder zu entfernen, quasi mit add_packet_delay(random) und add_traffic_size(random). Oder verpeile ich grad was?

  3. Re: Wer auch immer es war - ziemlich unbeholfen

    Autor: Mingfu 30.07.14 - 20:40

    Nein. Geht beides in dem Rahmen nicht sinnvoll.

    Delays hinzufügen würde Antwortzeiten vergrößern und sich letztlich auch negativ auf die Übertragungsrate auswirken. Da Tor weitgehend für Echtzeitdienste verwendet wird und auch schon langsam genug ist, würde darunter die Benutzbarkeit einfach zu stark leiden. Kleine Delays würden auch kaum etwas bringen. Sie müssten schon in einer merkbaren Größenordnung sein, um eine Entkopplung zu erreichen.

    Dummy-Traffic ist in einem Netzwerk, welches regelmäßig an den Grenzen der Belastbarkeit arbeitet, auch keine so geniale Idee.

  4. Re: Wer auch immer es war - ziemlich unbeholfen

    Autor: SelfEsteem 30.07.14 - 22:06

    Was du beschreibst hatte ich vor etlichen Jahren mal im Kontext vom Freenet-Project gelesen, war damals aber eher eine Ueberlegung.
    Wurde sowas denn mal ausprobiert?

    Muss dabei jedoch zugeben, mich niemals tiefer mit Tor beschaeftigt oder es genutzt zu haben, hatte nie den Bedarf. Freenet fand ich vor 12 Jahren oder so thematisch relativ interessant, aber dann auch nicht mehr weiterverfolgt.

  5. Re: Wer auch immer es war - ziemlich unbeholfen

    Autor: Mingfu 30.07.14 - 23:19

    SelfEsteem schrieb:
    --------------------------------------------------------------------------------
    > Wurde sowas denn mal ausprobiert?

    Ja, es gibt in Tors Forschungsbibliothek mehrere Papers, die sich mit solchen oder verwandten Szenarien beschäftigen. Aktuell dürfte sicher "On the Effectiveness of Traffic Analysis Against Anonymity Networks Using Flow Records" sein, die unter Realbedingungen über 80 Prozent Erkennungsrate bei rund 5 Prozent Falsch-Positiv-Rate haben. Allerdings muss man sagen, dass das vermutlich kein Angriff ist, der schon das maximal Mögliche realisiert. Zu der Einschätzung kann man deshalb gelangen, weil aus dem Bereich Website-Fingerprinting Papers existieren, die unter ungünstigeren Ausgangsbedingungen höhere Erkennungsraten realisieren, z. B. "Improved Website Fingerprinting on Tor", welches über 90 Prozent Erkennungsrate innerhalb einer geschlossenen Menge von 100 Websites erreicht haben will. Da beim Website-Fingerprinting nur die allgemeinen Datenabrufmuster einer Website zur Verfügung stehen, die es dann innerhalb des Tor-Traffics als Außenstehender wiederzuerkennen gilt, hat man also keine Live-Sicht auf mehrere Punkte der Route. Demzufolge ist das also ein schwächeres Angreifermodell und müsste deshalb eher als untere Schranke für Angriffe angesehen werden, die Ein- und Ausgang einer Tor-Route in Echtzeit überwachen können, um dort Korrelationen zu erkennen.

  6. Re: Wer auch immer es war - ziemlich unbeholfen

    Autor: Anonymer Nutzer 31.07.14 - 07:07

    Wenn der/die so unbeholfen gewesen wäre,würdest
    du wahrscheinlich nicht 6 Monate danach noch
    von "Wer auch immer"sprechen.
    Nur so ein Gedanke...

  7. Re: Wer auch immer es war - ziemlich unbeholfen

    Autor: elgooG 31.07.14 - 08:16

    Was den Dummy-Traffic betrifft würde ich nicht sagen, dass dieser allgemein keine gute Idee ist. Man könnte Server durchaus testen indem man sie mit Paketen beliefert, die als Ziel einen Analyse-Server haben. Werden die Pakete auf dem Weg verändert, würde das sofort auffallen, selbst dann wenn nicht die Payload selbst, sondern die IP-Pakete markiert werden würden. Da man praktisch nur die Exit Points testen muss, würden Manipulationen schnell auffallen, ohne dass das Netz belastet werden würde.

    Ohne Markierung dagegen kommt ein Angreifer kaum weiter mit weit unter 10 % des Traffics ist es eine schiere Glückssache an gute Datenanalysen zu kommen. In diesem Fall dürfte wohl jemand nur eine Machbarkeitsstudie durchgeführt haben.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  8. Re: Wer auch immer es war - ziemlich unbeholfen

    Autor: Mingfu 31.07.14 - 08:17

    Da denkst du falsch. Wer sowas macht, lässt sich für einen Außenstehenden ohnehin nicht klären. Die Server waren in einem Rechenzentrum angemietet und damit ist für Außenstehende stets Ende der Aufklärungsarbeit. Geheimdienste und staatliche Stellen könnten vom Betreiber vermutlich weitere Auskünfte erhalten, aber für Normalbürger ist dann Schluss.

    Der Anspruch kann also nicht sein, aufzuklären, wer dahinter steckt. Der Anspruch kann höchstens sein, solche Angriffe überhaupt zu entdecken. Mehr geht nicht.

  9. Re: Wer auch immer es war - ziemlich unbeholfen

    Autor: Anonymer Nutzer 31.07.14 - 11:18

    Ok,dann macht deine Aussage für mich noch
    viel weniger Sinn. Im Prinzip sprichst
    du von einer unbeholfenen Person die unantastbar
    ist. Ich brauch da jetzt auch keine erneute Richtigstellung.
    Mach du mal,passt schon.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Debeka Kranken- und Lebensversicherungsverein a.G., Koblenz
  2. noris network AG, München, Aschheim (bei München), Nürnberg, Berlin (Remote-Office möglich)
  3. FAST LTA GmbH, München
  4. Haufe Group, Bielefeld

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 11,69€ (Bestpreis!)
  2. (aktuell u. a. Amazon Basics günstiger (u. a. AXE Superb 128 GB USB 3.1 SuperSpeed USB-Stick für...
  3. (u. a. Digitus S7CD Aktenvernichter für 24,99€, Krups Espresso-Kaffee-Vollautomat EA 8150 für...
  4. (u. a. Sandisk Extreme PRO NVMe 3D SSD 1TB M.2 PCIe 3.0 für 145,90€ (mit Rabattcode...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programmiersprache Go: Schlanke Syntax, schneller Compiler
Programmiersprache Go
Schlanke Syntax, schneller Compiler

Die objektorientierte Programmiersprache Go eignet sich vor allem zum Schreiben von Netzwerk- und Cloud-Diensten.
Von Tim Schürmann


    Pixel 4a im Test: Google macht das Pixel kleiner und noch günstiger
    Pixel 4a im Test
    Google macht das Pixel kleiner und noch günstiger

    Google macht mit dem Pixel 4a einiges anders als beim 3a - und eine Menge richtig, unter anderem beim Preis. Im Herbst sollen eine 5G-Version und das Pixel 5 folgen.
    Ein Test von Tobias Költzsch

    1. Smartphone Google stellt das Pixel 4 ein
    2. Android Googles Dateimanager erlaubt PIN-geschützten Ordner
    3. Google Internes Dokument weist auf faltbares Pixel hin

    Ryzen 7 Mobile 4700U im Test: Der bessere Ultrabook-i7
    Ryzen 7 Mobile 4700U im Test
    Der bessere Ultrabook-i7

    Wir testen AMDs Ryzen-Renoir mit 10 bis 35 Watt sowie mit DDR4-3200 und LPDDR4X-4266. Die Benchmark-Resultate sind beeindruckend.
    Ein Test von Marc Sauter

    1. Renoir Asrock baut 1,92-Liter-Mini-PC für neue AMD-CPUs
    2. Ryzen Pro 4750G/4650G im Test Die mit Abstand besten Desktop-APUs
    3. Arlt-Komplett-PC ausprobiert Mit Ryzen Pro wird der Büro-PC sparsam und flott