Die Betreiber des JAP Anon Proxy an der TU Dresden beschlossen
stillschweigend, wesentliche Teile der Anonymitätsgarantie ihres
Dienstes aufzuheben.
Betroffene Systeme
* Systeme, die den JAP Anon Proxy des AN.ON-Projektes der TU Dresden
verwenden
Einfallstor
Mix-Betreiber installieren eine spezielle Software-Version, die mit
dem Präprozessor-Makro LOG_CRIME kompiliert wurde.
Auswirkung
Mix-Betreiber können Verkehr zurück zu einzelnen Benutzern verfolgen.
Typ der Verwundbarkeit
design flaw
Gefahrenpotential
sehr hoch (Die Anonymitätsgarantien des Dienstes werden gebrochen.)
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)
Beschreibung
Das JAP-Projekt an der TU Dresden betreibt einen speziellen
Proxy-Dienst, der den Nutzern anonymen Zugriff auf das World Wide Web
(WWW) ermöglichen soll. Neben einem Java-Programm, das auf dem Rechner
des Nutzers installiert werden soll, läuft auf den eigentlichen
Anonymisierungsservern eine sogenannte Mix-Software. Die Mix-Software
auf verschiedenen Servern ist kaskadiert. Eine Rückverfolgung von
Nutzern ist nur dann möglich, wenn der Verkehr von allen verwendeten
Servern innerhalb der Kaskade aufgezeichnet wird.
Eine Änderung, die am 27. Juni 2003 am Quellcode der Mix-Software
vorgenommenen wurde, ermöglicht, am Anfang und Ende der Kaskade Daten
aufzuzeichnen, die eine Rückverfolgung von Anfragen zu einem Nutzer
ermöglichen. Die überwachten Nutzer werden dabei anhand des Zieles
ausgewählt, das sie ansteuern. Falls der Ziel-URL den vorgegebenen
Kritierien entspricht, wird vom letzten Mix (der die Anfrage im
Klartext sieht) eine Antwort erzeugt, die spezielle
Zusatzinformationen trägt. Zusätzlich wird der abgefragte URL
aufgezeichnet. Der erste Mix (mit der Verbindung zum Client) zeichnet,
wenn er die Zusatzinformation erhält, die IP-Adresse des Nutzers auf.
Über eigens erzeugte IDs können die Daten auf den beiden Mixen
zueinander in Bezug gesetzt werden, so daß den gesuchten Zielen
eindeutig Nutzer zugeordnet werden können.
Offenbar wurde dieser Programmcode nach einer richterlichen Anordnung
in den Produktionsbetrieb übernommen. Die Nutzer wurden darüber nicht
aufgeklärt; weder die Dokumentation des Dienstes noch die
Selbstverpflichtung der Mix-Betreiber wurden aktualisiert. Nur der
geänderte Quellcode wurde veröffentlicht, und die Änderungen fielen
findigen Beobachten auf. Die JAP-Betreiber sollen verschiedenen
Berichten zufolge bestätigt haben, daß die Änderungen aufgrund einer
richterlichen Anordnung notwendig waren und auch in dieser Form in
Betrieb sind. Ob dies nur die Dresden-Dresden-Kaskade betrifft, bei
der die benötigte Zusammenführung der Aufzeichnungen der beiden Mixe
am Ende prinzipiell sehr leicht möglich ist, oder auch andere
Kaskaden, ist im Moment unklar.
Der Vorfall zeigt, daß JAP von Anfang an wesentlich anfälliger für
Rückverfolgung war als allgemein angenommen. JAP scheint eine
effektive, kostengünstige und zielgesteuerte Überwachung zu
ermöglichen, die in dieser Form bei reinem IP-Verkehr derzeit nicht
möglich ist: Eine URL-gesteuerte Überwachung, wie sie nun für JAP
implementierte wurde, ist gegenwärtig schlicht technnisch nicht für
allgemeinen Internet-Verkehr durchführbar.
Bedenklich ist zudem, daß ohne Anfangsverdacht alle JAP-Nutzer
kriminalisiert werden. Offenbar reicht es aus, eine bestimmte Webseite
abzurufen, um in das Blickfeld der Überwachung zu geraten. Diese Art
der Überwachung, die quasi beim (wahrscheinlich nicht der deutschen
Strafverfolgung unterworfenen) Anbieter ansetzt, weist eine völlig
neue Qualität auf gegenüber der bislang praktizierten selektiven
Überwachung der Teilnehmeranschlüsse von Verdächtigen. Bei dem von den
JAP-Betreibern gewähltem Vorgehen besteht zudem das Problem, daß die
Verkehrsaufzeichnungen nicht kryptographisch abgesichert sind. Die
Betreiber (oder Angreifer, die erfolgreichen den ersten oder letzten
Mix kompromittiert haben) können daher beliebige
Verkehrsaufzeichnungen erzeugen. Gegen den damit verbundenen Verdacht
können sich die Nutzer nur schwer wehren.
Dr. Helmut Bäumler, der Leiter des Unabhängigen Landeszentrum für
Datenschutz Schleswig-Holstein, äußerte im Dezember 2002 Beobachtung,
daß autoritäre Staaten den Anonymisierungsdienst sperren und daß
dieser "vornehmlich undemokratischen Staaten ein Dorn im Auge ist. Sie
fürchten die Autonomie der Internetnutzer und sehen ihre Chancen
schwinden, diese auf Schritt und Tritt zu überwachen." Demokratische
Staaten sperren den Dienst vielleicht nicht, aber lassen sie
Anonymisierung stillschweigend abschalten?
Weitere Information zu diesem Thema
* [2]JAP Anonymity & Privacy - Anonymity is not a crime
(Projektseite der TU Dresden)
* [3]Selbstverpflichtung der Mixbetreiber (aus den Projektseiten der
TU Dresden)
* [4]Autoritäre Staaten behindern AN.ON (Pressemitteilung des
Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein)
Aktuelle Version dieses Artikels
[5]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1134
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2003 RUS-CERT, Universität Stuttgart,
[6]http://CERT.Uni-Stuttgart.DE/
References
1.
http://CERT.Uni-Stuttgart.DE/ticker/...ehrdungsstufen
2.
http://anon.inf.tu-dresden.de/
3.
http://anon.inf.tu-dresden.de/Selbstverpfl20010613.html
4.
http://www.datenschutzzentrum.de/mat...se/anon_sp.htm
5.
http://CERT.Uni-Stuttgart.DE/ticker/...e.php?mid=1134
6.
http://CERT.Uni-Stuttgart.DE/
Anonymitaetsgarantie des JAP Anon Proxy aufgehoben
Zitieren
.
Lesezeichen