Tor und VPNs sind keine Wundermittel. Über die Jahre wurden viele fortgeschrittene Techniken entwickelt und untersucht, um verschlüsselten Tor-Verkehr zu deanonymisieren. Die meisten dieser Techniken sind Korrelationsangriffe, die deinen Netzwerkverkehr auf die eine oder andere Weise mit Logs oder Datensätzen abgleichen. Hier ein paar Beispiele:
Korrelations-Fingerprinting-Angriff: Wie unten (vereinfacht) dargestellt, erstellt dieser Angriff einen Fingerabdruck deines verschlüsselten Tor-Verkehrs (etwa der besuchten Websites) auf Basis der Analyse deines verschlüsselten Verkehrs, ohne ihn zu entschlüsseln. Manche dieser Methoden schaffen das mit einer Erfolgsquote von 96 % in einer geschlossenen Umgebung (closed world). Die Wirksamkeit dieser Methoden in einer echten, offenen Umgebung (open world) wurde bislang nicht nachgewiesen und würde vermutlich enorme Ressourcen und Rechenleistung erfordern, was es sehr unwahrscheinlich macht, dass solche Techniken in naher Zukunft von einem lokalen Angreifer eingesetzt werden. Solche Techniken könnten jedoch hypothetisch von einem fortgeschrittenen und wahrscheinlich global agierenden Angreifer mit Zugriff auf dein Ausgangsnetzwerk genutzt werden, um einen Teil deiner Aktivität zu bestimmen. Beispiele für solche Angriffe werden in mehreren Forschungsarbeiten beschrieben, ebenso wie ihre Grenzen. Das Tor-Projekt selbst hat einen Artikel über diese Angriffe mit einigen Gegenmaßnahmen veröffentlicht: https://blog.torproject.org/new-low-cost-traffic-analysis-attacks-mitigations Archive.org.

Korrelations-Timing-Angriffe: Wie unten (vereinfacht) dargestellt, könnte ein Angreifer mit Zugriff auf Verbindungslogs (zum Beispiel IP oder DNS, denk daran, dass die meisten VPN-Server und die meisten Tor-Knoten bekannt und öffentlich gelistet sind) an Quelle und Ziel die Zeitpunkte abgleichen, um dich zu deanonymisieren, ohne dafür Zugriff auf das dazwischenliegende Tor- oder VPN-Netzwerk zu brauchen. Ein reales Anwendungsbeispiel dieser Technik führte das FBI 2013 durch, um eine vorgetäuschte Bombendrohung an der Harvard University zu deanonymisieren.

Korrelations-Zählangriffe: Wie unten (vereinfacht) dargestellt, könnte ein Angreifer, der keinen Zugriff auf detaillierte Verbindungslogs hat (also nicht sehen kann, dass du Tor oder Netflix genutzt hast), aber Zugriff auf Logs mit Datenmengen hat, erkennen, dass du zu einem bestimmten Zeitpunkt/Datum 600 MB heruntergeladen hast, was zu einem 600-MB-Upload am Ziel passt. Diese Korrelation kann dann mit der Zeit genutzt werden, um dich zu deanonymisieren.

Es gibt Wege, das abzuschwächen, etwa:
- Nutze Tor/VPNs nicht, um auf Dienste zuzugreifen, die im selben Netzwerk (ISP) liegen wie der Zieldienst. Verbinde dich zum Beispiel nicht aus deinem Universitätsnetzwerk mit Tor, um anonym auf einen Universitätsdienst zuzugreifen. Nutze stattdessen einen anderen Ausgangspunkt (etwa ein öffentliches WLAN), der von einem Angreifer nicht leicht korreliert werden kann.
- Nutze Tor/VPN nicht aus einem offensichtlich stark überwachten Netzwerk (etwa einem Firmen- oder Behördennetzwerk), sondern versuche, ein nicht überwachtes Netzwerk zu finden, etwa ein öffentliches WLAN oder ein privates Heim-WLAN.
- Erwäge den Einsatz mehrerer Schichten (etwa was später in diesem Leitfaden empfohlen wird: VPN über Tor), sodass ein Angreifer zwar sehen kann, dass sich jemand über Tor mit dem Dienst verbunden hat, aber nicht sehen kann, dass du es warst, weil du mit einem VPN und nicht mit dem Tor-Netzwerk verbunden warst.
Sei dir nochmals bewusst, dass das gegen einen motivierten globalen Angreifer mit weitreichendem Zugriff auf globale Massenüberwachung womöglich nicht ausreicht. Ein solcher Angreifer könnte Zugriff auf Logs haben, egal wo du dich befindest, und diese nutzen, um dich zu deanonymisieren. Üblicherweise sind diese Angriffe Teil dessen, was man einen Sybil-Angriff nennt. Solche Angreifer liegen außerhalb des Rahmens dieses Leitfadens.
Sei dir außerdem bewusst, dass auch alle anderen in diesem Leitfaden beschriebenen Methoden, etwa die Verhaltensanalyse, genutzt werden können, um Tor-Nutzer indirekt zu deanonymisieren (siehe weiter unten Dein digitaler Fingerabdruck, Footprint und Online-Verhalten).
Ich empfehle außerdem dringend, diesen sehr guten, vollständigen und gründlichen (und detaillierteren) Leitfaden zu den meisten bekannten Angriffsvektoren auf Tor zu lesen: https://github.com/Attacks-on-Tor/Attacks-on-Tor Archive.org sowie diese aktuelle Forschungsveröffentlichung https://www.researchgate.net/publication/323627387_Shedding_Light_on_the_Dark_Corners_of_the_Internet_A_Survey_of_Tor_Research Archive.org
Ebenso diese großartige Serie von Blogbeiträgen: https://www.hackerfactor.com/blog/index.php?/archives/906-Tor-0day-The-Management-Vulnerability.html Archive.org
Vor Kurzem wurde einer dieser Angriffe auf das Tor-Netzwerk versucht, mehr Informationen hier: https://arstechnica.com/information-technology/2014/07/active-attack-on-tor-network-tried-to-decloak-users-for-five-months/ Archive.org
Denk schließlich daran, dass schon die Nutzung von Tor als verdächtige Aktivität gelten kann und ihr Einsatz von manchen als böswillig betrachtet werden könnte.
Dieser Leitfaden schlägt später einige Gegenmaßnahmen gegen solche Angriffe vor, indem du deinen Ursprung von Anfang an änderst (etwa durch die Nutzung öffentlicher WLANs). Denk daran, dass solche Angriffe üblicherweise von hochqualifizierten, sehr ressourcenstarken und motivierten Angreifern durchgeführt werden und außerhalb des Rahmens dieses Leitfadens liegen.
Hinweis: Es sollte außerdem beachtet werden, dass Tor nicht dafür ausgelegt ist, gegen einen globalen Angreifer zu schützen. Mehr Informationen unter https://svn-archive.torproject.org/svn/projects/design-paper/tor-design.pdf Archive.org
Quelle: The Hitchhiker’s Guide to Online Anonymity, geschrieben von AnonyPla © CC BY-NC 4.0