Anonymisierungsnetz Tor "abgephisht", Teil 2
Einige TOR-Nodes leiten über sich nur unverschlüsselte Verbindungen bestimmter Dienste weiter. Mittels gefälschter SSL-Zertifikate soll ein Node auch schon Man-in-the-Middle-Attacken versucht haben.
- Daniel Bachfeld
Dass das Anonymisierungsnetzwerk The Onion Router (TOR) nur mit Vorsicht zu genießen ist, rief zuletzt der Schwede Dan Egerstad mit seinem Tor-Hack ins Gedächtnis. Egerstad spähte mittels fünf eigener Exit-Nodes zahlreiche E-Mail-Zugangsdaten von Botschaften und Behörden aus und veröffentliche sie teilweise im Internet. Da nicht bekannt ist, wer welchen Exit-Node betreibt, lautet die Empfehlung bei der Nutzung von Tor daher: Immer zusätzliche Verschlüsselung benutzen.
Die Mitglieder der Teamfurry-Community waren neugierig und haben sich stichprobenartig die Advertisements einiger Tor-Exit-Nodes angeschaut, also der im Netz proklamierten Konfiguration. Dabei kommen sie zu recht interessanten Ergebnissen: So gibt es Exit-Nodes, die grundsätzlich nur bestimmte Protokolle in deren unverschlüsselter Version transportieren. Beispielsweise nimmt solch ein Node nur unverschlüsselte IMAP- und POP-Verbindungen (TCP-Ports 143 und 110) an und leitet nur Messenger-Verbindungen von AIM, Yahoo IM und MSN Messenger weiter, wenn sie auf den Ports eingehen, auf denen der Verkehr im Klartext abgewickelt wird. Gleiches gilt auch für Telnet- und VNC-Verbindungen für den Fernzugriff auf Systeme. Des Weiteren gibt es Systeme, die sich nur für bestimmte Ziele interessieren und etwa ausschließlich HTTP-Pakete an MySpace und Google weiterleiten. HTTPS-Verkehr dorthin wird indes blockiert.
Über die Gründe für die seltsamen Konfigurationen lässt sich nur spekulieren. Im Blog von Teamfurry geht man auch nicht so weit, diesen Nodes böse Absichten vorzuwerfen. Immerhin wirft der Bericht aber die Frage auf, ob man seine eigenen Daten über solche Nodes leiten würde. Vermutet wird allerdings allgemein, dass chinesische, russische und amerikanische Regierungskreise Tor-Exit-Nodes betreiben. Auch große Firmen und illegale Hackergruppen sollen eigene Exit-Nodes betreiben. Bei Betrachtung der Tor-Exit-Node-Liste ist auffällig, dass die Zahl der Exit-Nodes im vergangenen Jahr überproportional in China und den USA gewachsen ist.
Auch der Einsatz von Verschlüsselung hilft bei Nachlässigkeit des Anwenders nicht unbedingt weiter. So berichtet das Teamfurry-Blog von einem Exit-Node in Deutschland, der offenbar versucht, sich per Man-in-the-Middle-Attacke in SSL-Verbindungen einzuschleichen. Dazu lieferte er bei über ihn laufende SSL-Verbindungen ein gefälschtes, respektive selbstunterschriebenes Zertifikat aus. Das produziert zwar in der Regel eine Fehlermeldung, oftmals ignorieren Anwender diese jedoch. Mittlerweile wurde der "Phishing-Node" vom Netz genommen.
In wessen Hände die möglichweise ausgespähten Daten geraten, bleibt erstmal unklar. Was allerdings passiert, wenn man sie im Internet veröffentlicht, musste Dan Egerstad vergangene Woche erfahren, als er Besuch von den schwedischen Ermittlungsbehörden bekam. Die stellten nach einer Anzeige seine Wohnung auf den Kopf und verhörten ihn mehrere Stunden. Wer die Anzeige stellte, ist unbekannt. Vermutet wird, dass sie von einer ausländischen Behörde kam, deren E-Mail-Daten Egerstad veröffentlichte.
Siehe dazu auch:
- On TOR, Blogeintrag von Teamfurry
- TOR exit-node doing MITM attacks , Blogeintrag von Teamfurry
- Anonymisierungsnetz Tor "abgephisht", Teil 1, Meldung auf heise Security
(dab)
