Anzeige
Tech

Es gab eine Hidden Services-Explosion im Darknet und niemand weiß, wieso

Unter den Verdächtigen: Eine Messaging-App und eine lästige Ransomware.

von Theresa Locker
24 Februar 2016, 11:36am

Bild: Tor Project

Das Darknet wird gern als nebulöser Ort dargestellt, aber eigentlich kommt es nicht häufig vor, dass wirklich mal etwas Erstaunliches dort passiert, das sich niemand erklären kann.

Monatelang lag die Anzahl der .onion-Adressen oder Hidden Services, auf denen zahlreiche Deepweb-Dienste gehostet werden, relativ konstant bei ungefähr 35.000. Mitte Februar jedoch schoss dieser Wert urplötzlich nach oben: Das Tor Project verzeichnete in seinen offiziellen Statistiken von einem Tag auf den anderen 25.000 Adressen mehr und zählte nunmehr über 60.000. Wenige Tage später fiel die Zahl der Hidden Services wieder ein wenig, wie die Reporting Tools des Tor Projects zeigen.

Noch nie gab es in der Geschichte des Netzwerks einen solchen Boom an Hidden Services, stellte der renommierte Sicherheitsforscher Dr. Alan Woodward von der University of Surrey fest. „Etwas nie zuvor dagewesenes ist passiert, doch im Moment ist das alles, was wir wissen", wunderte er sich auf seinem Blog.

Hidden Services sind Adressen mit.onion-Endung, die nur über das Tor-Netzwerk erreicht werden können. Mysteriös an der Februar-Explosion ist nicht nur der raketenhafte Anstieg der Adressen, sondern auch, dass der Traffic innerhalb des Tor-Netzwerks einigermaßen stabil blieb, statt ebenfalls nach oben auszureißen.

Bild: Tor Project

Was war also passiert—vielleicht nur ein Schluckauf im System? Die Technik zur Berechnung der Hidden Service-Anzahl sei stimmig, schreibt Woodward—einen Fehler seitens des Tor Projects hält er angesichts der stetig steigenden Anzahl der Nodes, die die Services zählen (gut die Hälfte aller Knoten), für sehr unwahrscheinlich.

Auch die Vermutung der Website Futurezone, die rasante Ausbreitung der Ransomware Locky sei schuld an dem Anstieg, ist noch nicht belegt. Locky verschlüsselt über ein Makro in einem Worddokument die Dateien der Nutzer und fordert die Geschädigten auf, über Tor eine vermeintliche Decrypt-Software zu kaufen.

Für diese These spräche, dass auf mehreren im Netz verbreiteten Screenshots der vermeintlichen Download-Seiten jeweils andere .onion-Adressen zu lesen sind. Den Anweisungen der Locky-Ransomware zufolge soll jeder Infizierte ein spezialisiertes Entschlüsselungsprogramm herunterladen, das nirgendwo anders als auf dem eigenen Rechner funktionieren würde. Doch ob tatsächlich für jeden Klick eine neue, einzigartige .onion-Adresse angelegt und bald darauf wieder abgeschaltet wird, ist unklar. Stimmt diese Theorie, würde das auf eine weitaus aufwändigere Programmierung der Ransomware Locky schließen lassen, als bislang abgenommen.

Wahrscheinlicher ist, dass der Grund für den Anstieg in der schnellen Verbreitung des sicheren Instant-Messagers Ricochet liegt.

Dieser Dienst hat am 15. Februar ein Sicherheitsaudit der Firma NCC bestanden und wurde darin weitgehend positiv beurteilt. Ricochet versucht, dem Problem der leakenden Metadaten beizukommen, die selbst bei anderen Krypto-Diensten wie bei der Kommunikation mit dem Tor-Messenger anfallen. Geben diese Ort oder Nutzernamen preis, lassen die Daten Rückschlüsse auf die kommunizierenden Parteien zu. Jede einzelne Ricochet-Instanz nutzt dagegen Tor, um eine sichere, verschlüsselte Verbindung zwischen zwei Parteien aufzubauen, bei der die IP-Adresse von Absender und Empfänger verschleiert wird. Statt eines Nutzernamens erhalten Nutzer eine einzigartige Adresse im Netzwerk, wie zum Beispiel „ricochet:rshwslr745ndr4u9snv".

Mit dem Tor-Messenger kann jeder verschlüsselt und anonym chatten

Alan Woodward hegt jedoch auch an dieser Möglichkeit leise Zweifel: „20.000 neue Nutzer binnen weniger Tage wäre ein erstaunliches Wachstum für einen neuen Service".

Ein weiteres Rätsel gibt Beobachtern in jedem Fall der Mangel an Traffic auf den Seiten auf. Woodward vermutet, dieser könne auf Nutzer zurückzuführen sein, die sich aus Neugier einen neuen Account angelegt, diesen aber noch nicht benutzt haben—oder auf die sehr kleinen Datenmengen, die bei der Nutzung eines Sofortnachrichtendienst anfallen.

Die Statistiken über die Hidden Services erstellt im Übrigen ein Algorithmus—gesammelt aus extrapolierten Zahlen über einzigartige Onion-Adressen, die die einzelnen Relays (die als Hidden Service-Verzeichnisse fungieren) durchlaufen.

Rückschlüsse auf die Nutzung lassen sich jedoch immanent nur schwer ziehen. Dr Steven Murdoch vom University College London sagte der BBC dazu: „Es ist schwierig, den Grund für den Anstieg zu bestimmen, weil es eines der Ziele von Tor ist, die Privatsphäre seiner Nutzer zu schützen, indem geheim gehalten wird, wie genau sie das Netzwerk nutzen."