Jondonym-mögliche Sicherheitslücke?

Fragen zur Organisation, spezielle technische Fragen zum Dienst,
Post Reply
Teemo
Posts: 6
Joined: Sat Apr 13, 2013 16:54

Jondonym-mögliche Sicherheitslücke?

Post by Teemo » Sat Apr 13, 2013 16:57

Hallo,

Ich hätte ein paar Fragen über Jondonym!
Ihr versprecht dem Premium-Kunden 100%ige Anonymität, WENN mindestens ein Mix Betreiber nicht loggt.

Meine Fragen:

1. Was passiert wenn der erste Betreiber und der letzte Betreiber (Exit IP) überwacht werden?
Kann man dann nicht, wie bei Tor, durch Vergleichen der Datenpakete/Zeit usw. auf die IP Adresse schlussfolgern?
Der Entry Betreiber kennt ja meine IP Adresse und der letzte Betreiber liest den unverschlüsselten Traffic mit.
D.h. man hätte folgende Informationen:
geöffnete Website und ip adresse. = deanonymisiert?
oder nicht?

MY IP -> Mix 1(logt) -> Mix 2(keine logs) -> Mix 3 (logt) -> unverschlüsselt

Ich habe das von Tor auf Jondonym geschlussfolgert! Stimmt das? Ist sowas möglich?

2. Angenommen das o.g. Bsp. stimmt, wie sieht es dann mit verschlüsseltem Traffic (https website)?
Weiß man dann das ich auf Seite X war, aber man hat keine Ahnung was ich dort eingegeben und gemacht habe ODER
kennt man weder die Website auf der ich zugegriffen habe noch den eingegebenen Inhalt?


Wäre echt nett wenn mir Ihr das erklären könnte!
(am besten durch die Jondonym Mitarbeiter, die das am besten wissen sollten)!

Mfg!

cane

Re: Jondonym-mögliche Sicherheitslücke?

Post by cane » Sat Apr 13, 2013 18:02

Der Angriff, den Sie beschreiben, wird "Website Fingerprinting" genannt. Es ist dabei nicht nötig, dass der erste und der letzte Mix loggen. Die Daten können auch ohne Kooperation der Mixbetreiber von einen globalen Angreifer durch Beobachtung des Eingang- und Ausgangstraffics einer Mix-Kasakden gewonnen werden. Ob der Datenverkehr zusätzlich HTTPS-verschlüsselt wurde, ist dabei unerheblich.

Man kann damit erkennen, ob Sie eine bestimmte Webseite aus einer vorher bekannten Liste von Webseiten aufgerufen haben. Die gesamte Liste der zu überwachenden Webseiten ist vorher mit einem Klassifikator zu trainieren. Es ist (mit vertretbarem Aufwand) kaum möglich, die aufgrufene Webseite im Meer der Millionen Webseiten nachträglich zu ermitteln. Eine vorher bekannte Liste von zu überwachenden Websites ist also Vorraussetzung.

Erste Publikationen zu diesem Angriff stammen von Prof. Federrath, R. wendolsky und D. Herrmann an der Uni Regensburg. Download hier: http://epub.uni-regensburg.de/11919/

Die Publikation zeigt, dass Systeme mit einfacher Verschlüsselung (VPNs u.ä) leicht angreifbar sind und zu weit 95-97% die Webseiten erkennbar sind, die vorher in mit einem Klassifikator trainiert (gelernt) wurden.

Bei System mit fester Paketgröße ist dieser Angriff wesentlich schwerer durchführbar. Federrath/Wendolsky/Herrmann konnten 2009 bei JonDonym lediglich 20% der Webseiten mittels Fingerprinting erkennen. Sie formulierten in den Schlussfolgerungen, dass JonDonym mit verbesserten Filtern und Klassifikatoren angreifbar ist.

Im Oktober 2011 wurde ein verbesserter Angriff speziell abgestimmt auf die festen Paketgrößen für Tor und JonDonym von der Universty of Luxembourg vorgestellt, der für Tor 55% der Webseiten korrekt erkennen konnte und für JonDonym 60-80% der Webseiten.
Download: http://lorre.uni.lu/~andriy/papers/acmc ... inting.pdf

Die Verteidigung gegen diesen Angriff ist nicht trivial. Sie läuft darauf hinaus, dass man zusätzliches Rauschen einfügen könnte, um die Erkennung zu erschweren. Durch verbesserte Rauschfilter auf Seiten des Angreifers könnten das wieder kompensiert werden. Beispielsweise lässt sich die von der Uni Luxembourg empfohlene Camouflage durch Filter teilweise kompensieren.

Gegenwärtig arbeitet das Team von Prof. Federrath an der Uni Hamburg an einer Verteidigungsstrategie gegen "Website Fingerprinting". Die Ergebnisse werden in die Entwicklung von JonDonym einfließen, ich bin aber nicht über den aktuellen Forschungsstand informiert.

Es ist in jedem Fall damit zu rechnen, dass dieses Feature optional sein wird und das es eine Erhöhung des Traffics (Kosten bei Premium) und Reduktion der Download Geschwindigkeit mit sich bringen wird.
Ihr versprecht dem Premium-Kunden 100%ige Anonymität...
Wer eine 100%ige Anonymität verspricht, der lügt. Das gibt es nicht und das versprechen wir auch nicht.

Jeder Anonymisierungsdienst bietet Schutz gegen ein bestimmtes Angreifermodell. Dieses Angreifermodell wird beim Design des Dienstes definiert und gegen diese Angreifer kann ein Dienst schützen.

Ein globaler Angreifer, der den Traffic am Eingang und am Ausgang einer Mix-Kaskade beobachten, ist bei der Definition des Angreifersmodells von JonDonym ausdrücklich NICHT erfasst. Im Wiki finden Sie die wiss. Publikationen zu JonDonym: https://anonymous-proxy-servers.net/wik ... u_JonDonym

Gegen einen solchen globalen Angreifer kann theoretisch nur ein geschlossenes Netzwerk sicher schützen, dass bei jedem Kommunikationsvorgang alle Teilnehmer des Netzes beteiligt. Bei den aktuellen Bandbreiten könnte ein solches Netz bis zu 2000 Teilnehmer skalieren - praktisch also nicht nutzbar.

Teemo
Posts: 6
Joined: Sat Apr 13, 2013 16:54

Re: Jondonym-mögliche Sicherheitslücke?

Post by Teemo » Sun Apr 14, 2013 11:16

Zunächst: Danke für die komplexe Antwort!

Entry Guards

Da Tor-Routen kurzlebig sind und regelmäßig neu ausgewählt werden,geht die Wahrscheinlichkeit, dass so zumindest eine der vom Tor-Client aufgebauten Routen durch einen Angreifer aufdeckbar wäre, für jeden Tor-Nutzer
auf Dauer gegen 100 %. Besonders Nutzer, die Tor regelmäßig zum Schutz einer immer gleichen Kommunikationsbeziehung nutzen, würden bezüglich dieser früher oder später nahezu sicher deanonymisiert.
(Quelle: Wikipedia https://de.wikipedia.org/wiki/Tor_%28Netzwerk%29)

Eine Wahrscheinlichkeit von 100% ist wahrlich "erschreckend".

D.h. einen anonymen Blog zu schreiben, ist nahe zu unmöglich?(über die Heim Leitung)

Hilft da ein VPN aus?

My IP -> VPN -> Node/Mix 1 -> Node/Mix 2 -> Node/Mix 3 -> Website

Ich denke das sollte funktionieren vorrausgesetzt mein VPN loggt nicht und ist vertrauenswürdig...

cane

Re: Jondonym-mögliche Sicherheitslücke?

Post by cane » Sun Apr 14, 2013 21:38

Danke für die komplexe Antwort!
Zu komplex? Etwas einfacher ausgedrückt:

JonDonym schützt gegen folgende Angreifer:

1: gegen Beobachtung durch den Webdienst

2: gegen Beobachtung durch den Internet Zugangs Provider (DSL-Provider, Anbieter offener WLANs...) und gegen einfache TKÜ

3: gegen Beobachtung durch die Betreiber des Dienstes


JonDonym schützt NICHT gegen folgende Angreifer:

4: gegen Strafverfolgung mit internationaler Zusammenarbeit der Behörden

5: gegen einen globalen Angreifer, der den Eingang und Ausgang verschiedener Mix-Kasakden überwachen kann.

Der von Ihnen beschriebene Angriff ist unter Punkt 5 (oder teilweise Punkt 4) einzuordnen.


(Es gibt VPN-Anbieter, die höchsten Punkt 2 erfüllen und dann etwas von 100% Anonymität schwafeln. Fragen Sie dort mal nach Punkt 1,3,4 und 5. Mal sehen, wa von den 100% dann übrig bleibt.)
Hilft da ein VPN aus?
Ein VPN ist ein zusätzlicher Sicherheits-Layer, der es einem Angreifer schwerer macht.

Bei Ihrem konkret beschriebenen Angriff hilft ein VPN wahrscheinlich wenig, da Eingang und Ausgang eines VPN leichter zu korrellieren sind als Tor oder JonDonym. Es ist für den angenommen sehr potenten Angreifer (der den Eingang und Ausgang der Mix-Mixkaskaden bzw. Tor Routen kontrollieren kann) nur eine geringer Hürde, das VPN zusätzlich zu überwachen.

Bereits Prof. Federrath, R. Wendolsky und D. Herrmann konnten in der ersten Publikation 2009 zeigen, dass Website Fingerprinting ohne spezielle Filter Erfolgsraten von 97% bei VPNs erreicht.

Georg Koppen

Re: Jondonym-mögliche Sicherheitslücke?

Post by Georg Koppen » Mon Apr 15, 2013 9:57

Teemo wrote:1. Was passiert wenn der erste Betreiber und der letzte Betreiber (Exit IP) überwacht werden?
Kann man dann nicht, wie bei Tor, durch Vergleichen der Datenpakete/Zeit usw. auf die IP Adresse schlussfolgern?
Kann man. Und das ist _unabhängig_ davon, ob Sie Webseiten aufrufen oder chatten... Der Angriff wird in der Literatur als "Traffic Confirmation Attack" bezeichnet und es ist keine vernünftige Verteidigung dagegen bekannt, die gegenwärtig einsetzbar ist.

Post Reply