Du wirst staatlich gehackt, weil Du Tor nutzt!?!

Seit ein paar Tagen geistern Meldungen über eine Mail von Twitter durch die Gegend, in der Twitter dem Empfänger mitteilt, dass er eventuell Opfer eines staatlichen Hackerangriffs geworden sei (siehe z.B. in der Frankfurter Rundschau, bei heise onlineannalistQbiNetzpolitik). Auffällig ist, dass alle bisherigen Empfänger dieser Nachricht den Anonymisierungsdienst Tor nutzen. Und genau das dürfte vermutlich die Ursache für das Problem sein, denn wer nicht weiß was er tut, sollte – wie ich letztes Jahr geschrieben habe – die Finger von Tor lassen, denn man holt sich damit in vielen Fällen ein höheres Risiko rein:

„Tor kann für viele Fälle nutzlich sein. […] Für Lieschen Müller, Bettina Beispiel, Max Mustermann und Otto Normal erhöht Tor das allgemeine Risiko. Aus Angst vor einem Risoko wie der Geheimdienstüberwachung sollte man sich nicht viel größeren Gefahren aussetzen. Überwachung durch NSA und Co. sind ein politisches Problem und müssen nicht nur politisch sondern natürlich auch technisch gelöst werden. Für Normalnutzer aber durch mehr Ende-zu-Ende-Verschlüsselung, und nicht Man-in-the-Middle-Verschlüsselung mit zusätzlichem Angriffspunkt wie bei Tor.“

Besonders unsinnig ist die Benutzung von Tor in der Regel dann, wenn man gleichzeitig mit Realname auf Twitter oder Facebook oder sonstwas unterwegs ist. Man hat zwar seine IP-Adresse versteckt, aber Twitter oder Facebook wissen sowieso wer man ist. Man ist ja angemeldet. Dass man mit Tor die eigene IP-Adresse versteckt bietet nicht mehr Sicherheit, denn die interessiert den Diensteanbieter sowieso höchstens zur Missbrauchsbekämpfung. 

Worauf Twitter genau die Vermutung stützt, dass die angeschriebenen Nutzer „Opfer eines staatlichen Hackerangriffs“ geworden sein könnten, ist nicht bekannt. Auch ist nicht klar, ob sie wirklich Opfer sind, oder Twitter daneben liegt Allerdings liegt die Vermutung nahe, dass sie einen möglichen Man-in-the-Middle-Angriff (MITM) auf die SSL-Verschlüsselung entdeckt haben könnten. Da bei einem solchen Angriff der Angreifer sich selbst ein gültiges SSL-Zertifikat für Twitter ausstellen muss, fällt der Verdacht schnell auf staatliche Angreifer: für die ist es relativ einfach, gefälschte SSL-Zertifikate auszustellen.

Und mittels Tor kommen die Angreifer dann an ihre Opfer: sie betreiben einfach einen Tor-Exit-Node, der die Daten über einen MITM-Proxy leitet und beliebig manipulieren sowie mitlesen kann. Wie schon geschrieben:

Wenn man via Tor auf ganz normale Webseiten zugreift, werden die Daten vom eigenen Rechner aus verschlüsselt durch das Tor-Netz geschickt, aber zwischen dem letzten Tor-Rechner (Exit-Node) und dem Server im Internet geht wieder alles unverschlüsselt weiter. Die Gefahr ist, dass Betreiber von Exit-Nodes die Daten, die bei ihnen vorbei kommen, ausspähen und so beispielsweise an Passwörter gelangen. Viele „normale“ kleine Webseiten mit Login sind heutzutage immer noch unverschlüsselt: das Forum nebenan, aber auch so mancher Login auf großen Nachrichtenseiten, nicht selten auch der Login für das eigene CMS oder Blog und so weiter.

Oder anders gesagt: es ist einem normalen Kriminellen oder anderen Angreifer nicht ohne weiteres möglich, an fremde Passwörter zu gelangen. Ich kann mich nicht mal eben ins Netz der Telekom einklinken, um dort Daten der Kunden abzugreifen. Aber ich kann mit geringem Aufwand – ebenso wie ein anderer Angreifer – einen Tor-Exit-Node aufstellen und alle dort durchgehenden Daten nach Passwörtern durchsuchen.

Das Risiko ist also mit Tor deutlich größer als ohne Tor.

Aber warum empfiehlt dann Twitter als Gegenmaßnahme die Nutzung von Tor? Nun, sie haben wohl eine Standard-Mail geschrieben und sind beim Verfassen dieser davon ausgegangen, dass jemand über einen normalen Internet-Zugang angegriffen wird: Wenn der Angreifer beim Internet-Provider sitzt und der Nutzer kein Tor nutzt, dann kann er über diesen Weg angreifen. Tor kann vor diesem Angriff schützen, reißt aber eben ein Loch am Ende der Tor-Kette.

Hier muss man abwägen, welches Risiko größer ist: spioniert mich persönlich ein Angreifer ganz gezielt über meinen Provider aus? Lebe ich in einem Staat, bei dem alle Internet-Nutzer automatisch überwacht werden? Dann kann Tor helfen, reißt aber am anderen Ende ein Loch beim Exit-Node. Wenn also nur ein sehr geringes Risiko besteht, dass mich ein Angreifer direkt über meinen Provider ausspioniert, dann handele ich mir mit Tor ein zusätzliches Risiko ein.

Jetzt ist das Risiko bei @annalist für einen gezielten Angriff durchaus gegeben. Aus historischen Gründen wie auch aufgrund ihrer Tätigkeit als Mitarbeiterin im NSA-Untersuchungsausschuss. Normale Verschlüsselung via HTTPS reicht bei einem starken Angreifer nicht immer, wie man bei den MITM-Angriffen sieht. Was also tun? Doch das Risiko mit Tor eingehen? Nein, das würde ich an ihrer Stelle nicht machen, sondern ein (möglichst eigenes) VPN nutzen. Auch hier kann ein Angreifer hinter dem VPN angreifen. Das Risiko ist aber verringert. Und ein (eigenes) VPN ist sowieso immer dann sinnvoll, wenn man fremde Netze wie Hotel-WLANs nutzt usw.

Für den normalen Nutzer in einem freiheitlich-demokratischen Staat, der nicht befürchten muss persönlich und direkt von den Geheimdiensten überwacht zu werden, ist Tor für die normale Internet-Nutzung in der Regel keine gute Idee, da die Anzahl der Angriffsvektoren steigt. Bei aller berechtigten Kritik an den Machenschaften der Geheimdienste: die Wahrscheinlichkeit, dass ein hiesiger Geheimdienst einen aufwendigen Angriff auf SSL/TLS-Verschlüsselte Verbindungen durchführt ist sehr gering. Extrem viel größer ist die Wahrscheinlichkeit, dass irgendein Geheimdienst Tor-Exit-Nodes betreibt und damit Daten abschnorchelt.

Unsinnig wird die Tor-Nutzung in einem Staat mit freiheitlich-demokratischer Grundordnung dann, wenn ein solcher Tor-Anwender Dienste wie Twitter, Facebook, Google+ oder sonstwas mit Realname nutzt, sich mit Tor aber mehr Privatsphäre erhofft. Wenn Hans Wurst eine große Tarnkappe anzieht, diese aber mit einem Namensschildchen „Hans Wurst“ versieht, ist die Tarnkappe eben unsinnig.

Nachtrag:

Wir haben das Problem, das Twitter weder dazu sagt, wie sie zu dieser Vermutung kommen noch wie sicher sie ist. Besteht nur die theoretische Möglichkeit, dass die angeschriebenen Nutzer angegriffen wurden? Oder ist das sehr sicher? Mit welcher Methode wurde angegriffen? Alleine zu diesem Bereich kann man daher viele Vermutungen anstellen. Und solange Twitter sich nicht genauer äußert bleibt es bei Vermutungen.

Ein Man-in-the-Middle-Angriff oder eine Abwandlung davon ist eine Möglichkeit. Tatsächlich ist ein solcher Angriff nicht vollkommen trivial, auch dank Zertifikats- bzw. Public-Key-Pinning und so weiter. Aber: es ist möglich, und nicht jeder Twitter-Client unterstützt Pinning. Eine Blick in die HTTP-Header von Twitter zeigt, dass Twitter selbst kein Zertifikats-Pinning (HPKP) erzwingt. Vielleicht sind in den Implementierungen der Browser, die das für spezielle Dienste erzwingen, Bugs? Es besteht auch die Möglichkeit, dass die vermuteten staatlichen Angreifer uns bisher unbekannte Angriffsmöglichkeiten nutzen. Vielleicht wurde auch nur ein Teil der Verschlüsselung geknackt? Oder es gab Versuche, die nicht erfolgreich waren? Wann fanden die vermuteten Angriffe statt? Vermutungen über Vermutungen, Fragen über Fragen!

Bei einem angenommenen MITM-Angriff stellt sich auch die Frage, wie Twitter dies entdeckt haben will. Eine Erkennung eines MITM-Angriffs ist für den Server nicht einfach: mit JavaScript lassen sich meines Wissens keine Informationen über das SSL/TLS-Zertifikat abrufen. 

Hat Twitter andere Methoden genutzt? Oder mit einem Browserhersteller kooperiert? Wie alt sind die Informationen?
Vielleicht ist die Vermutung von Twitter auch nur ganz trivial: von der gleichen IP-Adresse wie die der angeschriebenen Nutzer wurden andere Anomalien (z.B. Brute-Force-Angriffe auf Passwörter) beobachtet. Aber wäre es da nicht viel zu hoch gegriffen zu behaupten, dass ein staatlicher Angriff dahinter steckt? Vielleicht vergleicht Twitter die vom Browser angegebenen Cipher-Suiten (Verschlüsselungs-Methoden) mit denen, die der jeweilige Browser normalerweise tatsächlich benutzt und sieht andere Angaben als verdächtig an. Aber wenn ja: woher kommen die anderen Angaben? Wieder MITM? Oder handelt es sich um andere Angriffe auf die Verschlüsselung? SSL/TLS ist in vielerlei Hinsicht ziemlich kaputt, ich habe für ein Projekt manuell einen SSL/TLS-Handshake programmiert, und könnte mir daher durchaus vorstellen, dass da in den gängigen Implementationen noch weitere bisher unbekannte Fehler stecken, die ein Angreifer nutzen könnte.

Es sind wohl auch Leute betroffen, die kein Tor nutzen. Aber auch das spricht nicht gegen die Theorie mit MITM-Angriffen: In vielen Firmen wird die SSL/TLS-Verschlüsselung durch einen Proxy-Filter gebrochen, der als Man-In-The-Middle dazwischen hängt und alles wieder mit einem eigenen Zertifikat signiert – das hätte den gleichen Effekt wie der als Möglichkeit beschriebene Angriff via Tor.

Klar ist nur, dass man als Tor-Nutzer sich eben auch ein neues Risiko einhandelt. Wie hoch man das Risiko bewertet, bleibt jedem selbst überlassen. Ich sage: für Otto-Normal-Nutzer überwiegen die Nachteile und Risiken. Es ist allerdings auch nicht klar, ob das hier ausschlaggebend war, auch wenn einige Indizien dafür sprechen.