Kopflos unter der Tarnkappe
Von Uli Ries
Der spanische Hacker Chema Alonso demonstrierte öffentlich und vor großem Publikum ein besonderes Bubenstück: Er stellte einen Server ins Netz, der vermeintlich die sonst unvermeidlichen digitalen Spuren seiner Nutzer verwischt. Getan hat der Server allerdings etwas ganz anderes: Er hörte den Datenverkehr ab.
Solche Anonymizer Proxy genannten Maschinen (Proxy bedeutet „Stellvertreter“) sind seit mehreren Jahren bekannt. Sie verschleiern die wahre Herkunft des Datenverkehrs. Zahlreiche Listen im Netz führen solche Proxy-Server auf. Es genügt, die IP-Adresse des gewünschten Proxys im Browser zu hinterlegen und schon rauscht der Datenverkehr vom eigenen Rechner zum Server und von dort zum eigentlichen Ziel im Netz.
Die vom Spanier bereitgestellte Maschine hatte jedoch nicht das Wohl des Nutzers im Auge. Vielmehr schnitt der Hacker unverschlüsselt übertragene Login-Daten für E-Mail-Konten oder Online-Dienste mit. Obendrein modifizierte der Server den Datenverkehr der um Privatheit bemühten Surfer: Automatisch fügte der bösartige Mittelsmann einzelnen Bestandteilen (JavaScript-Dateien) der vom Surfer aufgesuchten, legitimen Webseiten zwei Zeilen Programmcode hinzu. Das genügte, um später beliebige andere JavaScript-Dateien laden zu lassen – und den PC des arglosen Nutzers so zur Datenschleuder und fernsteuerbaren Waffe zu machen.
Binnen 24 Stunden versuchten über 5000 vor allem in Russland ansässige Anwender, ihre Spuren im Netz mittels des betrügerischen Proxy-Servers zu verwischen. (Bild: Screenshot)
Belauscht und mitgeschnitten
Wozu der bösartige Mittler fähig ist, dokumentierte Chema Alonso unter großem Gelächter anhand einiger abgefischter Daten, die sämtlich von Kleinkriminellen stammten. Offenbar lockte der vermeintliche Spurenverwischer hauptsächlich zwielichtiges Cybergesindel an: Da war der Spammer, der sich als Verkäufer von Arbeitserlaubnissen für Großbritannien ausgab. Oder der Abzocker, der sich mit gefälschten Frauenprofilen auf Online-Dating-Plattformen auf die Jagd nach leicht verführbaren Männern machte. Letztendlich ging es laut den von Alonso mitgeschnittenen Kommunikationen immer darum, dass die Männer ihrer virtuell Angebeteten Geld für ein Flugticket überweisen.
Die spanischen Hacker verschafften sich Zugang zum E-Mail-Postfach eines Betrügers, der auf Online-Dating-Plattformen nach (männlichen) Opfern Ausschau hielt. (Bild: Screenshot)
Rechtlich ist dieser Lauschangriff natürlich vollkommen daneben. Daran ändert auch der Hinweis nichts, der auf der Website des Proxy-Servers prangte und alle Nutzer wissen ließ, dass ihre Kommunikation belauscht und mitgeschnitten wird. Wer die Proxy-IP-Adresse aus einer der einschlägigen Sammlungen kopierte, bekam diesen Hinweis nie zu sehen. Und selbst wenn, würde es das Vorgehen nicht rechtfertigen. Alonso scheint nach dem Prinzip „Wo kein Kläger, da kein Richter“ zu handeln und geht davon aus, dass die Online-Gauner ihn kaum wegen Datenschnüffelei belangen werden.
Mit diesem gefälschten Profil versuchte ein Abzocker Männer dazu zu bewegen, der vermeintlichen Herzdame Geld für ein Flugticket zu überweisen. (Bild: Screenshot)
Aller Fragwürdigkeit der Methoden zum Trotz macht Alonso eines überaus deutlich: Wie groß die Gefahr ist, bei der Suche nach Schutz im Netz in eine Falle zu tappen. „Natürlich kann jeder Kriminelle oder jede Behörde einen eigenen Proxy-Server ins Netz stellen und so an delikate Daten kommen. Wir wollten demonstrieren, wie leicht dies ist“, sagte Alonso.
The Onion Routing
Der Hacker rät daher dazu, sich besser auf das bewährte Netzwerk TOR (The Onion Routing) zu verlassen. TOR existiert schon seit gut zehn Jahren und hat die technischen Kinderkrankheiten weitgehend überstanden. Wobei auch das von IT-Sicherheitsexperten weltweit geschätzte Netzwerk eine Sollbruchstelle hat: Die letzte Zwiebelschicht, also der Rechner im TOR-Netz, der den Datenverkehr ins offene Internet weiterleitet, kann theoretisch sämtliche durch ihn fließende Kommunikation belauschen.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Magazin zur CeBIT. Einen Gesamtüberblick mit freien Download-Links zu sämtlichen PDF-Einzelheften gibt es online im Pressezentrum des MittelstandsWiki.
Zwar überträgt TOR die Datenpakete innerhalb der Kette verschlüsselt. Der Exit Node beendet die Verschlüsselung jedoch und leitet die Daten unter Umständen ungesichert weiter. Zudem kann der Betreiber dieses Kettenglieds sämtliche durch seinen Server geleitete Kommunikation mitlesen – die erwähnte Sollbruchstelle.
Von daher empfiehlt es sich, zumindest auf SSL-Verbindungen (Secure Socket Layer) beim Surfen (https) und Verschicken von E-Mails (IMAPS/POP3S) zu setzen.
Wie die Schichten einer Zwiebel sind die verschiedenen Kommunikationsschichten bei TOR übereinander gelegt. Das Ziel: die Anonymität der Online-Kommunikationspartner zu wahren. Jeder TOR-Nutzer muss auf seinem Rechner den TOR-Client (Onion-Proxy) installieren. Der Proxy verbindet sich dann mit dem TOR-Netzwerk und zieht beim Start eine Liste aller derzeit aktiven TOR-Server herunter.
Nach Download der Liste wählt der Proxy eine zufällige Route zum Datenversand über die Server. Anschließend baut der Client eine verschlüsselte Verbindung zu dem aus seiner Sicht ersten Server in der Kette auf. Steht diese, kommt nach dem ersten Server ein zweiter ins Spiel und danach noch ein dritter. Die Kette besteht also stets aus drei TOR-Servern und dem Client. Die Server kennen jeweils nur das nächste Glied der Kette, nicht aber den Ausgangs- bzw. Endpunkt der Verbindung.
Nach dem Aufbau der Kette passiert zwischen diesen Maschinen der eigentliche Datentransfer. Das letzte Kettenglied (Exit Node) fungiert dabei als Endpunkt der Kommunikation. Nach ca. zehn Minuten baut der Proxy eine neue Kette mit anderen Servern auf, um eine Nachverfolgung weiter zu erschweren.
Allein unter Freunden
Einen anderen Ansatz wählen die im Internet versteckten Netze, die nach dem F2F-Prinzip (Friend to Friend) arbeiten. Anders als bei den bekannten P2P-Netzwerken (Peer to Peer) gibt es keine Server, und die Teilnehmer können bei F2F die Dateien nicht mit beliebigen anderen F2F-Nutzern austauschen. Vielmehr muss jeder Nutzer die IP-Adresse seiner Freunde kennen und deren digitale Visitenkarte (Zertifikat) besitzen, um mit ihnen in Kontakt zu treten. Außenstehenden und vor allem Strafverfolgern soll es so unmöglich gemacht werden, sich in die Tauschgeschäfte einzuklinken.
Freenet ist eine Software, die Zensur verhindern und die freie Meinungsäußerung im Internet ermöglichen will. (Bild: Screenshot)
Eine der bekanntesten Anwendungen zum Aufbau von F2F-Netzen ist Freenet (nicht zu verwechseln mit dem hiesigen Internet-Provider). Die Software nutzt zwar die vorhandene Internet-Infrastruktur, kapselt sich aber so gut es geht vom herkömmlichen Web ab.
Freenet kennt nicht nur den Austausch unter einzelnen Personen, also den reinrassigen Darknet-Modus. Innerhalb des von Freenet gespannten Netzwerks finden sich darüber hinaus auch Webseiten (Freesites) im klassischen Sinn. Es gibt auch ein ebenfalls vom Web abgeschottetes E-Mail-System sowie Diskussionsforen.
Dark Web und Freesites
Die Motivation der Macher von Freenet war es, ein Netz im Netz zu schaffen, in dem die Nutzer anonym bleiben, in dem nicht zensiert wird und das Meinungsfreiheit zulässt und fördert. Menschen sollten sich insbesondere in Ländern wie China frei austauschen können, ohne Repressalien durch den Staat befürchten zu müssen. Dies funktioniert nur im privaten Modus der Software, bei der die Nutzer gezielt miteinander in Kontakt treten.
Sämtliche Kommunikation ist verschlüsselt und wandert auch nicht zwischen zwei Gesprächspartnern direkt hin und her. Vielmehr werden die Datenströme – ähnlich einem P2P-Netzwerk – durch die Rechner von anderen Freenet-Nutzern geschleust. Somit ist es für (staatliche) Lauscher extrem schwierig, die Kommunikation einzelner Anwender mitzulesen.
Weniger privat als der Austausch in geheimen Zirkeln, aber für herkömmliche Suchmaschinen dennoch unsichtbar, sind die Freesites. Sie existieren nur innerhalb des Freenet-Verbundes und es gibt keine Querverbindung ins öffentliche WWW.
Im unsichtbaren Chat
In jüngster Zeit in der Szene viel diskutiert ist die Webseite Cryptocat. Der sichere Online-Chat wird als ideales Werkzeug für in Unterdrückerstaaten lebende Aktivisten beschrieben. Inzwischen verzichtet der Dienst auf die Webversion, da deren einzige Sicherheit gegen Lauscher das – bei entsprechender Hochrüstung auf Seiten des Angreifers – prinzipiell angreifbare SSL-Protokoll ist.
Stattdessen arbeitet Cryptocat mit einem Browser-Plugin für Apple Safari, Google Chrome und Mozilla Firefox. Der Umgang mit einem solchen Plugin ist zwar weniger nutzerfreundlich als ein rein webbasierter Dienst.
Fazit: Geheimhaltung ist Vertrauenssache
Letztendlich ist Cryptocat in der Praxis aber immer noch einfacher zu nutzen als z.B. ein per TOR gesicherter Chat oder ein per GPG verschlüsselter E-Mail-Austausch. Wobei ein bisschen Komplexität aber in Kauf genommen werden sollte. Denn wohin einen auf Privatheit bedachten Internet-Nutzer allzu viel Bequemlichkeit bringen kann, hat Chema Alonso ja eindrucksvoll demonstriert.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing
