Apache verpetzt möglicherweise Tor Hidden Services

In seiner Standard-Konfiguration liefert der beliebte Web-Server-Dienst Informationen, die die Anonymitäts-Versprechen eines Tor Hidden Services gefährden. Diese anonymen Tor-Dienste sind der Kern des oft zitierten "Dark Net".

In Pocket speichern vorlesen Druckansicht 74 Kommentare lesen
Apache verpetzt möglicherweise Tor Hidden Services

(Bild: Tor Project)

Lesezeit: 2 Min.

Das Apache-Modul mod_status liefert eine Reihe von nützlichen Status-Informationen. Normalerweise sind die aus dem Internet nicht zugänglich; wer jedoch einen Tor Hidden Service betreibt, läuft Gefahr, dass Dritte diese Informationen abrufen. Sie könnten damit delikate Informationen über dessen Nutzer und unter Umständen auch zum Ort des Servers verraten.

Tor Hidden Services sind spezielle Web-Seiten mit einer .onion-Adresse, die nur über das Tor-Netz abgerufen werden können. Dabei bleiben Besucher und Dienst-Betreiber anonym; darüber hinaus erfolgt der Zugriff Ende-zu-Ende-verschlüsselt. Über solche versteckten Dienste werden nicht nur illegale Dinge angeboten sondern etwa auch Informationen, deren Verbreitung oder Besitz in bestimmten Ländern zu Verfolgung führen kann.

Das Apache-Modul mod_status ist in Apaches Default-Konfiguration aktiv; aus Sicherheitsgründen läuft es jedoch nur auf der lokalen Netzwerk-Schnittstelle des Systems (localhost) und ist somit für externe Besucher nicht zugänglich. Ein Tor Hidden Service läuft jedoch ebenfalls auf diesem lokalen Interface. Das führt dazu, dass man dort die Seite /server-status aufrufen kann, wenn der Admin nicht spezielle Vorkehrungen dagegen getroffen hat. Die einfachste ist das Abschalten des Moduls via

$ sudo a2dismod status

Dieses Problem ist eigentlich schon länger bekannt; es hat jetzt jedoch durch ein aktuelles Blog-Posting größere Sichtbarkeit erhalten. Dessen Autor hat im Zuge seiner Recherche bei vielen Tor Hidden Services Status-Seiten entdeckt, die aktuelle Requests mit Suchbegriffen und Session-IDs auslieferten, zum Teil aber auch Informationen zum Server wie dessen Zeitzone. Die Anarcho-Site Riseup liefert übrigens eine gute Beschreibung zum sicheren Betrieb eines Tor Hidden Services. (ju)