Darknet-Nutzung & Malware-Gefahr
Das Tor-Netzwerk im Unternehmen
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Seitdem das Tor-Netzwerk vor rund fünf Jahren auch Bekanntheit im Netz-Mainstream erlangt hat, fragen sich die Admins der Enterprise-IT-Abteilungen, ob durch die Nutzung des Anonymisierungs-Netzwerks ein Risiko entsteht, das es wert ist, tätig zu werden. Und wenn ja, wie man das am besten anstellt.
Tor & I2P - Risiko für Unternehmen
Studien zu diesem Thema sind quasi nicht existent - es gibt lediglich einige Einzelberichte von Universitäten, in denen Tor (The Onion Router) eine gewisse Popularität erlangt hat. Zwar gibt es viele legitime Gründe dafür, Tor zu nutzen, auf der anderen Seite ermöglicht das Programm aber auch die Verbindung zu kriminellen Kanälen im Darknet, dient als Distributions-Kanal für Malware und ermöglicht außerdem die Umgehung von Netzwerk-Sicherheitsmaßnahmen. Die Krux für Unternehmen: Es ist unmöglich, diese Aktivitäten voneinander zu unterscheiden.
Tor ist zudem nicht das einzige, auf maximale Security ausgelegte Anonymisierungs-Netzwerk - The Invisible Internet Project (I2P) ist ein weiteres Beispiel. Dazu kommt, dass der Einsatz von VPN-Verbindungen und Proxys ähnliche Risiken schafft. Allerdings sind diese weitaus leichter zu erkennen und abzuwehren.
- Tor
"Tor" war ursprünglich ein Akronym und steht für The Onion Router (Projekt). Das Tor-Netzwerk benutzt mehrfache Verschlüsselungs-Layer, um Daten wie auch deren Ursprung und Zielort zu verbergen. Dies trägt dazu bei, die Daten/Verbindung zu anonymisieren. Tor ist die einzige Möglichkeit auf einen Großteil des => Deep Web zuzugreifen. - Blockchain
Bitcoin beruht auf dem Konzept der verteilten Datenbank, der sogenannten Blockchain. Dabei handelt es sich um eine gemeinsame Transaktionsdatenbank aller Tor-Knoten in einem System, basierend auf dem Bitcoin-Protokoll. Um unabhängig voneinander die Urheberkette jedweden Bitcoin-Betrages zu verifizieren, verfügt jeder Knoten über seine eigene Kopie der Blockchain. - Carding
Das Kaufen und Verkaufen gestohlener Kreditkarteninformationen. - Dark Web, Deep Web (auch Deepnet, Hidden Web, Invisible Web)
Der Bereich des Internets, der nicht über reguläre Browser auffindbar und nicht über normale Suchmaschinen indiziert ist. - Exit-Node
Verbindungs-/Knotenpunkt innerhalb des Tor-Netzes, an dem ein Nutzer dieses wieder verlässt. - Hidden Wiki, The
Ein versteckter Dienst, der eine Linksammlung von .Onion-Seiten (=> weiterer Begriff) enthält, die über das Deep Web zu erreichen sind. Diese Seite ist tatsächlich ein Wiki. Hier werden die Seiten bearbeitet beziehungsweise hinzugefügt, die anschließend sichtbar werden sollen. Wie es die Natur des Hidden Wiki nahelegt, ist es tatsächlich voll mit böswillig manipulierten Seiten, die in erster Linie kriminelle Ziele verfolgen. - Kryptowährung
Ein Begriff, der alternative oder ausschließlich digitale Währungen bezeichnet, die auf Verschlüsselung und einer dezentralen Struktur basieren. Solche Kryptowährungen sind insbesondere für Cyberkriminelle das Zahlungsmittel der Wahl geworden, denn sämtliche Transaktionen laufen anonymisiert ab. - .Onion
Die Pseudo-Top-Level-Domain, die von Webseiten oder verborgenen Diensten im Deep Web genutzt wird und die ausschließlich im Tor-Netzwerk verfügbar ist. - I2P
I2P steht für "Invisible Internet Project" und ist eine freie P2P-Software, die ein anoymes und dezentrales IP-basiertes Netzwerk samt einfacher Übertragungsschicht zur Verfügung stellt, um Applikationen sicher und anonym nutzen zu können. Der Datentransfer ist über vier Schichten je Paket verschlüsselt, auch die Empfangspunkte sind extra geschützt.
So blockieren Unternehmen die Tor-Nutzung
Das Tor-Netzwerk ist über verschiedene Wege nutzbar: Etwa als Browser-Bundle oder indem ein Server-Knoten oder eine Netzwerk-Brücke zu einem Teil des Netzwerks gemacht werden. Obwohl - oder gerade weil - User im Netzwerk die beiden letztgenannten Möglichkeiten selbst einrichten können, ist es wichtig zu begreifen, dass keine der beiden Optionen aus verschiedenen Gründen besonders vorteilhaft für ein Unternehmen ist. Erwähnenswert ist außerdem, dass etliche Websites keine anonymisierte Nutzung zulassen. Hier die größten Risiken für Unternehmen, die durch die Nutzung des Tor-Netzwerks entstehen:
Das Darknet: Einer Schätzung der Kaspersky Labs aus dem Jahr 2014 zufolge werden im Darknet rund 1000 kriminelle Services angeboten. Diese Zahl dürfte sich mittlerweile vervielfacht haben und wird weiter ansteigen. Das Darknet würde zwar auch ohne Tor existieren, aber das Netzwerk ermöglicht einen relativ einfachen Zugang in die Niederungen des Webs - ohne dabei die IP-Adresse des Nutzers zu verraten.
Malware, Botnets, DDoS: Kriminelle Hacker nutzen das Tor-Netzwerk seit einiger Zeit als Kommunikationskanal für Command & Control-Server. Sollte eine Tor-Aktivität auffallen, könnte das also auch ein Hinweis auf eine mögliche Infektion oder einen Hacker-Angriff sein. Für die meisten Unternehmen dürfte das die größte aller Sorgen darstellen. Auch wenn C&C über Tor deutlich langsamer von statten gehen, ist das Anonymisierungs-Netzwerk ein verlockender Platz, um Malware-Kommunikation zu verschleiern. Die Bandbreite einiger Exit-Knoten hat dazu geführt, dass das Tor-Netzwerk auch für DDoS-Attacken missbraucht wird.
Wenn ein Unternehmen die Nutzung des Tor-Netzwerks kontrollieren beziehungsweise ausschließen will, muss es sowohl den Download- als auch den Upload-Traffic im Auge behalten. Wer selbst einen Exit Node betreibt, produziert sowohl ein- als auch ausgehenden Traffic, wer nur einen nutzt, lädt zumindest etwas hoch. Die meisten Admins werden sich wohl auf das - vermeintlich wahrscheinlichere - letztgenannte Problem konzentrieren. Allerdings sollte man sich in Erinnerung rufen, dass es nicht übermäßig schwierig ist, einen Tor-Knoten zu erstellen. Ein großes Problem kann für Unternehmen dann entstehen, wenn die Firmen-IP auf einer Sperrliste landet. Um die Tor-Nutzung zu blocken, stehen Unternehmen drei Möglichkeiten beziehungsweise technische Ebenen zur Verfügung: 1. Blocken über Ports: Tor setzt auf teilweise gewöhnliche Ports - etwa 443. Das ist allerdings eher ein schwacher Trost, denn dieser Port wird auch von https-Verbindungen genutzt und kann deswegen nicht vollständig geblockt werden, da ansonsten der gesamte Netzwerkverkehr zusammenbrechen würde; 2. Blocken über den Endpunkt: Eigentlich sollte es ja möglich sein, Nutzer von der Installation der Tor-Software durch Whitelistings oder Privilege Management abzuhalten. Allerdings lässt sich Tor auch über einen USB-Stick starten, wodurch solche Maßnahmen ausgehebelt werden; 3. Blocken über IP und DPI: Auf der Netzwerk-Seite besteht die erste Aufgabe darin, die Tor-Nutzung zu identifizieren und das Ausmaß des Problems einzuschätzen. Das gestaltet sich allerdings alles andere als einfach, weil Tor zur Verschlüsselung auf den SSL-Nachfolger TLS setzt. Ein solcher Traffic ist also nur schwer auszumachen und quasi unmöglich zu entschlüsseln. Wenn ein Tor-Knoten im Netzwerk aufgesetzt wird, könnte der im Prinzip auch als Brücke zum ersten Eintritts-Knoten fungieren. Wenn dieser Traffic schließlich die Firewall erreicht, ist er noch schwieriger zu erkennen. Eine gängige Methode, um Tor-Nutzung in Unternehmen aufzudecken, ist auch das Abgleichen von SIEM-Logs mit einer öffentlich zugänglichen Liste von IP-Adressen, die als Tor-Eintrittsknoten verwendet werden. Das ist der Startpunkt für die meisten Admins, zieht jedoch unglücklicherweise jede Menge Arbeit nach sich, da sich besagte Liste konstant verändert. Es ist außerdem extrem unwahrscheinlich, auf diese Weise versteckte Knoten zu finden. Einige Server, die als Tor-Eintrittsknoten fungieren, werden zudem auch für legitime Zwecke verwendet, was die Wahrscheinlichkeit erhöht, dass "ungefährlicher" Traffic blockiert und das fälschlicherweise als Erfolg gewertet wird.Eine andere manuelle Technik stellt die Anwendung eines Deep Packet Inspection (DPI)-Interfaces auf die Firewall dar, um festzustellen, ob bestimmte Knoten ungewöhnliche Zertifikate nutzen. Das setzt allerdings das Wissen voraus, über welche Ports auf Tor zugegriffen wird. Das Anonymisierungs-Netzwerk nutzt zum Beispiel die Ports 443, 80, 9001 oder 9030 - kann aber auch jeden anderen Port nutzen, den es findet.
Die Nutzung von Tor in Unternehmen festzustellen, ist alles andere als ein leichtes Unterfangen, auch wenn Funktionen wie IP-Adress-Filtering das Risiko reduzieren sollten. Deshalb werden viele Unternehmen auch in Zukunft auf generalisierte Detection Policies in Kombination mit harten Strafen für die Nutzung nicht autorisierter Anwendungen zurückgreifen. Technologie ist eben nicht alles.
- Enter the Dark
In den 1970er Jahren war der Ausdruck "Darknet" kein bisschen unheilverkündend. Er bezeichnet damals einfach nur Netzwerke, die aus Sicherheitsgründen vom Netz-Mainstream isoliert werden. Als aus dem Arpanet zuerst das Internet wird, das dann sämtliche anderen Computer-Netzwerke "verschluckt", wird das Wort für die Bereiche des Netzes benutzt, die nicht ohne Weiteres für jeden auffindbar sind. Und wie das im Schattenreich so ist: Natürlich ist es auch ein Hort für illegale Aktivitäten und beunruhigende Güter aller Art, wie Loucif Kharouni, Senior Threat Researcher bei Damballa unterstreicht: "Im Darknet bekommen Sie so ziemlich alles, was man sich nur vorstellen kann." - Made in the USA
Ein aktuelles Whitepaper von Recorded Future klärt über die Verbindungspunkte zwischen dem Web, das wir alle kennen, und dem Darknet auf. Erste Spuren sind normalerweise auf Seiten wie Pastebin zu finden, wo Links zum Tor-Netzwerk für einige Tage oder Stunden "deponiert" werden. Tor wurde übrigens von der US Navy mit dem Ziel der militärischen Auskundschaftung entwickelt. Die weitgehende Anonymisierung hat Tor schließlich zum Darknet-Himmel gemacht. - Drogen
Im Darknet floriert unter anderem der Handel mit illegalen Drogen und verschreibungspflichtigen Medikamenten. "Das Darknet hat den Drogenhandel in ähnlicher Weise revolutioniert, wie das Internet den Einzelhandel", meint Gavin Reid vom Sicherheitsanbieter Lancope. "Es stellt eine Schicht der Abstraktion zwischen Käufer und Verkäufer. Bevor es Seiten wie Silk Road gab, mussten Drogenkonsumenten in halbseidene Stadtviertel fahren und das Risiko eines Überfalls ebenso auf sich nehmen, wie das, von der Polizei erwischt zu werden. Jetzt können die Leute das bequem von zuhause erledigen und müssen dabei kaum mit dem Dealer interagieren. Das hat viele Personen dazu veranlasst, auf diesen Zug aufzuspringen und dadurch sowohl den Verkauf von Drogen als auch das Risiko das durch ihren Konsum entsteht, dezentralisiert." - Bitte bewerten Sie Ihren Einkauf!
Das Internet hat den Handel revolutioniert - zum Beispiel durch Bewertungs- und Rating-Systeme. Das gleiche Prinzip kommt auch im Darknet zur Anwendung - nur bewertet man eben keine SSD, sondern Crack. Nach dem Untergang von Silk Road dient mittlerweile The Hub als zentrale Plattform für den Drogenhandel. - Waffen
Drogenkonsumenten nutzen das Darknet in manchen Teilen der Welt, um bewaffneten Dealern aus dem Weg gehen zu können. Letztgenannte Zielgruppe kann im dunklen Teil des Netzes hingegen aufrüsten: Bei einer groß angelegten Razzia wurde eine große Waffenlieferung, die von den USA nach Australien gehen sollte, gestoppt. Neben Schrotflinten, Pistolen und Gewehren sind im Darknet unter anderem auch Dinge wie eine Kugelschreiber-Pistole zu haben. James Bond lässt grüßen. Strahlende Persönlichkeiten finden in den Web-Niederungen gar Uran. Zwar nicht waffenfähig, aber immerhin. - Identitätshandel
Viele Untergrund-Händler bieten im Darknet auch gefälschte Dokumente wie Führerscheine, Pässe und Ausweise an. Ganz ähnlich wie der Zeitgenosse auf diesem thailändischen Markt, nur eben online. Was sich damit alles anstellen ließe... Jedenfalls ist die Wahrscheinlichkeit ziemlich gering, dass ein Teenie sich im Darknet ein Ausweisdokument beschafft, um das Bier für die nächste Facebook-Party kaufen zu können. - Digitale Leben
Raj Samani, CTO bei Intel Security, zeigt sich erstaunt darüber, wie persönlich die Produkte und Services im Darknet im Laufe der Zeit geworden sind: "Der Verkauf von Identitäten geht weit über Karten und medizinische Daten hinaus: Dort werden ganze digitale Leben verkauft - inklusive Social-Media- und E-Mail-Accounts sowie jeder Menge anderer persönlicher Daten." - Auftragskiller
Bevor Sie jetzt den Eindruck gewinnen, dass das Darknet ein Ort ist, wo man wirklich jede Dienstleistung kaufen kann: Die allermeisten Leute, die Tötungs-Dienstleistungen anbieten, sind Betrüger. Die nehmen zwar gerne Geld von den willigen Kunden, machen sich die Finger aber weniger gerne schmutzig. Der Betreiber von Silk Road, Ross Ulbricht, ist so einem Betrüger zum Opfer gefallen: Eine Million Bitcoins investierte der halbseidene Darknet-"Pionier" in Auftragsmorde, die nie ausgeführt wurden. Bei einer Crowdfunding-Plattform für Attentate auf Prominente dürfte es sich ebenfalls um ein einträgliches Betrugsgeschäft handeln. - Schnellausstieg
Es kommt jetzt vielleicht überraschend, aber die Leute die man so im Darknet trifft, sind in der Regel keine ehrbaren Naturen. Die zunehmende Professionalisierung im Darknet und der psychische Druck, der auf Drogen- und Waffenhändlern im Darknet lastet, führt zu einem neuen Trend: dem Exit-Scam. Hierbei entscheidet sich ein Händler, der bereits Kundenvertrauen aufgebaut hat, seine Aktivitäten zu beenden. Dazu beendet er die Beziehungen zu seinen Lieferanten, nimmt aber weiterhin Bestellungen und Geld von Kunden entgegen. Und zwar genauso lange, bis diese merken, dass sie keine Leistungen für ihr Geld erhalten. Das so entstandene Zeitfenster wird von den Händlern genutzt, um noch einmal so richtig abzukassieren, bevor sie schließlich im digitalen Nirvana verschwinden. - Freiheit?
Eines sollte man in Bezug auf das Darknet nicht vergessen: Während wir in diesem Zusammenhang vor allem an Drogen, Waffen und Auftragsmord denken, stellt das Darknet für Menschen in Ländern, in denen Krieg und/oder politische Verfolgung herrschen, oft das einzige Mittel dar, gefahrlos und/oder ohne Überwachung mit der Außenwelt in Kontakt zu treten.
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation computerworlduk.com.