SaveTheInternet

| Tor funktioniert wieder! |

Was ist Tor?

Als privatsphären-, anonymitäts- oder sicherheitsbegeisterte Menschen oder gar Netzaktivisten, wird einem das Torprojekt vielleicht ein Begriff sein.

Als kurze Einführung, wie Tor funktioniert: Eine Verbindung wird über sogenannte Relays transportiert. Diese kennen immer nur den letzten Absender und den nächsten Empfänger. Nach dem das Netzwerkpaket über drei dieser Relays gewandert ist, kann somit keine Partei mehr sagen wer hier gerade mit wem kommuniziert hat. Diese Kette an Relays heißt Circuit und die Liste aller Relays ist öffentlich verfügbar. Im Kern besitzt das Tor Netzwerk eine Reihe von zentralen Servern, die Directory Authorities. Diese geben den neuen Nutzern Informationen über das Netz, damit diese die Circuits aufbauen können, dazu aber später ein bisschen mehr.

Tor ist momentan der einfachste (und kostenlose) Weg sich jeglichem online Tracking zu entziehen.

"WTF is happening right now?"

Allen Nutzern des Anonymisierungsnetzwerkes wird im Oktober aufgefallen sein, dass irgendwas nicht stimmte. Seiten luden nicht mehr, alles war absolut langsam, Serverwartungen über onion services konnten nur noch mit großem Hang zum Masochismus durchgeführt werden – wie man an den Latenzen sehen konnte. Etwas in ein Terminal zu schreiben und volle 3 Sekunden darauf zu warten, dass es wirklich auf dem Bildschirm erscheint ist… schmerzhaft.

An allen Supportstellen des Tor Projekts stieg die Anzahl an Nutzern mit der Anfrage: „Was passiert hier gerade? Irgendwie ist alles langsam“, aber die Antwort war immer: „Wir wissen es nicht, wir sehen nur: Alle Metriken gehen in den Keller.“

Hilfsbereite Nutzer boten an hunderte neue Relays zu spenden, doch recht früh war klar: Neue Relays werden vermutlich nicht helfen (wenn auch natürlich immer höchst wilkommen).

Das Projekt erstellte ein GitLab Issue und versuchte der Sache auf den Grund zu gehen. Zuerst wurde vermutet, dass ein vorangegangener interner Speedtest verantwortlich sein könnte. Dieser wurde zwei mal mit etwa zwei Wochen abstand durchgeführt, jedoch traten die Probleme nach dem ersten Versuch nicht auf.

Nach einer Woche bemerkte jemand, dass sich zu dem Zeitpunkt ungewöhnlich viele Nutzer aus den Niederlanden verbanden:

"Are we under attack?"

Die Metriken brachen immer weiter ein, die Lage spitzte sich weiter zu und es wurde drei mal so viel Last an den Directory Authorities gemessen. Irgendwer hämmerte auf die HSDirs ein. War das ein gezielter Angriff auf das Netzwerk? Würde das jemals wieder besser werden?

So standen wir da: Keine Möglichkeit die Lage kurzfristig zu verbessern, unbekannter Grund, massive Einschränkungen. Eine gewisse Panik breitete sich aus.

"Oh thank god"

Dann, endlich, nach einem Monat verbesserten sich die Metriken wieder. Alles war wieder gut, als wäre es nie geschehen.

Was war es also?

Wir wissen es nicht.

Man kann jedoch spekulieren. Ein Botnetz? Vielleicht. Ein aktiver Angriff von Geheimdiensten? Eher zu auffällig. DDoS? Sieht eigentlich nicht so aus.

Die sympathischste Erklärung: Ein technikinteressierter Mensch hat sich mit Tor auseinandergesetzt, dieses tolle Tutorial gesehen und sich selbst ein Script gebaut um irgendwas im Netzwerk zu erforschen. Denn obwohl Tor ein Anonymisierungsnetanzwerk ist, sind mit offenen APIs, OpenData und einfachsten Mitteln unglaublich viele Informationen und Möglichkeiten vorhanden. Da kann man schonmal ein bisschen „zu viel“ Forschung auf einmal betreiben.

 

{CYB}

 

PS: Sollte jetzt jemand Lust auf Forschung haben und auf die Idee kommen eine onion service Suchmaschine zu bauen, die unsere HSDirs gerade wieder niederprügelt… Please don’t.