Wie wurden die Darknet Märkte gebusted?

1 Antwort

Gute Frage, und ich halte die offiziellen Erklärungen ebenfalls - aus technischer Sicht - für völlig unrealistisch. :)

Aus Erfahrung weiß ich aber, dass es interessanterweise relativ leicht ist, auch in einem aktuellen Linux ausnutzbare Sicherheitslücken zu finden.

Das TOR-Projekt halte ich dabei für den sichereren Teil, aber beim Firefox - auch in der vom TOR-Browser genutzten ESR-Variante - werden laufend neue und schwere Bugs entdeckt. Guck dir mal die CVE-Liste und den Bugtracker an!

Das ganze hat einfach eine vieeeel zu große Angriffsfläche, um vor Regierungsorganisationen als sicher zu gelten.

Meiner Meinung nach ist es völlig klar, dass es Gruppen gibt, die entsprechende Exploits besitzen. Die Frage nach der Sicherheit stellt sich also überhaupt nicht.

Man sagt zwar immer, nichts ist 100% sicher, und man wird nur 99% erreichen können, aber gerade beim Firefox vom TOR-Browser würde ich die Sicherheit aktueller Versionen als deutlich unter 60% einschätzen. Vermutlich sogar nicht mal halb so hoch.

Von der "reinen" TOR-Software an sich halte ich aber WESENTLICH mehr.

Trotzdem hat die Vergangenheit gezeigt, dass nahezu alle bisherigen Exploits in irgendeiner Form auf JavaScript setzen. D. h. man kann seine Sicherheit mit global deaktiviertem JS tatsächlich in die Nähe von 99% bringen.

Nutzt man darüber hinaus noch eine VM, ist man vielleicht schon bei 99,9%, was natürlich immer noch kein 100%iger Schutz ist. (Muss an dieser Stelle ausnahmsweise mal von Sandboxie abraten, da es mir letzte Woche durch eine Art "Unfall" gelungen ist, aus Sandboxie auszubrechen; also lieber gleich eine "richtige" VM, die zwar immer noch keinen 100%igen Schutz bietet, aber sicherlich besser ist als Sandboxie!)

Es gibt noch wesentlich mehr Dinge, die man tun kann, um die eigene Sicherheit bzw. Anonmymität zu potenzieren, aber das würde Laien überfordern und beinhaltet Dinge wie eine ganze Latte von Anpassungen an der torrc und ein Patchen bzw. einen kompletten Rebuild der angepassten TOR-Software.

Fazit: In der Grundausstattung dürfte der TOR-Browser mit global aktiviertem JS keine sooooo große Hürde für Geheimdienste darstellen. Mit etwas Frickelei kann man das aber ändern, und wenn man sich nicht allzu schlecht anstellt, büßt man dabei nicht mal nennenswert Anonymität ein.

Einsteigern bleibt allerdings nicht mehr übrig, als einfach nur JS zu deaktivieren, denn alles andere würde leider überfordern.

PS: Gängige Serversoftware ist nochmal merklich unsicherer als Clientsoftware wie Browser. Das gilt insbesondere für den PHP-Interpreter, ganz zu schweigen von vielen darin laufenden Skripten. PHP ist eine absolute Code-Müllhalde, angereichert mit lieblos zusammengewürfelten Modulen bzw. Bibliotheken. (Der Interpeter! Ich rede jetzt nicht mal von den ganzen Frickelskripten da draußen!)

Du kannst zu 100% davon ausgehen, dass sämtliche Geheimdienste der Welt offene und ausnutzbare Schwachstellen in PHP kennen und auch verwenden. Natürlich nur sehr sparsam, um nicht aufzufliegen ...

Alleine im ImageMagick-Modul sind mir persönlich mehr als 10 ausnutzbare Fehler bekannt, mit denen man Mist auf dem Server anstellen könnte. Gut, IM ist ein Extrembeispiel, und die Entwickler kümmern sich GAR NICHT um bekannte Löcher und Bugs, weshalb das GraphicsMagick Projekt geforkt wurde, und deutlich zeigt, dass es auch ohne Speicherlecks geht, aber das nur am Rande ... ><

Also für Geheimdienste dürfte es ...

  1. ... ein leichtes sein, Code in Darknet-Server einzuschleusen,
  2. ... der über JS im Client Schindluder treibt.

Deshalb halte ich die Vermutung aus deiner Frage nicht nur für realistisch, sondern für die einzig denkbare! Die Wahrscheinlichkeit, dass alles auf so eine selten dämliche Dummheit der Betreiber zurück zu führen ist, halte ich für nahezu ausgeschlossen. :)

PPS: Falls es hier Nachfragen geben sollte: Ich suche beruflich nach Sicherheitslücken in Software (sowohl CS als auch OS), vor allem auf Linux und BSD, in letzter Zeit aber wieder vermehrt auf Windows. Sehr selten auch mal auf einem Apfelcomputer. Ich weiß, wie man Fehler provoziert, ausnutzt und evtl. ein Exploit dafür schreibt.

Aber gerade bei Projekten wie IM, SoX o. ä. verkneife ich mir zunehmend einen Bugreport, weil die Entwickler offensichtlich inkompetent sind, und es nichts bringt, wenn ich zehn oder zwanzig von Zehntausend Fehlern melde, die die Entwickler ebenfalls binnen Sekunden finden würden, vorausgesetzt, dass sie sich mal Mühe geben würden.

Wenn jemand erwartet, dass man Bugs meldet, dann erwarte ich auch ein gewisses Maß an Kompetenz diese einzuschätzen und schließen zu können. Beides ist weder bei IM, noch bei SoX vorhanden. (Es gibt noch viiieeeel mehr solcher Projekte, aber die beiden fallen mir - dank eigener Erfahrungen - spontan als Spitzenreiter ein!) :)

Danke für diese ausführliche und kompetente Einschätzung. Ich hätte aber noch eine Nachfrage.

Und zwar bezüglich dieses Satzes:

“In der Grundausstattung dürfte der TOR-Browser mit global aktiviertem JS keine sooooo große Hürde für Geheimdienste darstellen“

Der TOR Browser hat doch Standardmäßig das NoScript Addon an Board und aktiviert, somit sollte JS doch nicht funktionieren, sofern ich es nicht explizit einschalte, oder?

1
@DarkSilver

Soweit ich weiß ist das NoScript-Addon so konfiguriert, dass Skripte grundsätzlich global erlaubt sind. Man muss selber aktiv werden, um das zu ändern.

Diese Entscheidung der TOR-Browser-Entwickler war schon in der Vergangenheit höchst umstritten, aber ich bin mir im Moment nicht sicher, ob die Standardkonfiguration inzwischen geändert wurde.

Soweit ich weiß, sind Skripte direkt nach der Installation global erlaubt ... was m. M. n. eine ziemlich bescheuerte Idee ist. :)

0

Was möchtest Du wissen?