Tor-Nutzer über Firefox-Lücke verfolgt
Eine Sicherheitslücke in Firefox wurde anscheinend gezielt eingesetzt, um Nutzer der Anonymisierungs-Software Tor zu identifizieren. Die Spuren führen zu US-Behörden.
Ältere, zum Tor-Browser-Bundle [1] gehörende Firefox-Browser enthalten eine Javascript-Sicherheitslücke [2], über die sich Code einschleusen und ausführen lässt. Doch anstatt den Windows-PC mit einem Online-Banking-Trojaner oder anderem Unrat zu infizieren, wurde diese genutzt, um Anwender möglichst eindeutig zu identifizieren, warnt das Projekt [3] hinter der Anonymisierungs-Software Tor.
Wie die Tor-Entwickler erklären, eigne sich die Lücke prinzipiell dazu, den Computer des Nutzers komplett zu kapern. Der jetzt beobachtete Schadcode [4] ermittelt hingegen nur den Hostnamen und die Hardware-Adresse des Opfers und sende diese Informationen anschließend über eine normale Netzwerkverbindung an einen Webserver mit der IPv4-Adresse 65.222.202.53. Das ergab eine Analyse [5] von Vlad Tsrklevich, der den Magneto getauften Schadcode genau untersucht hat. Die Adresse gehört laut dem Dienst Domaintools [6] der Firma Science Applications International Corporation, die das US-Magazin Wired [7] als Technologie-Lieferant im Umfeld von FBI und US-Geheimdiensten ansiedelt.
Brisant wird dies im Zusammenhang damit, wo dieser Tracker verteilt wurde. Laut Tor-Projekt gelangte Magneto über verschiedene, vom Tor-Nutzer besuchte Tor-Hidden-Services [8] auf den Windows-Rechner – die Angreifer sammeln also eine Liste von Tor-Nutzern. Das passt auch dazu, dass der Exploit-Code auf den Seiten über eine Browser-Weiche ganz gezielt nur Systeme mit Firefox 17 ESR angegriffen hat, das Bestandteil der Tor-Browser-Bundles ist.
Mozillas Security-Chef Daniel Veditz hat die ausgenutzte Sicherheitslücke als eine identifiziert [9], die Mozilla bereits am 25. Juni in den Versionen Firefox 22.0 und Firefox ESR 17.0.7 [10] geschlossen hat. Firefox 17.0.7 ESR ist bereits in den Versionen 2.3.25-10, 2.4.15-alpha-1, 2.4.15-beta-1 und 3.0alpha2 des Tor-Browser-Bundles enthalten. Tor-Browser-Bundle-Nutzer sollten aber nicht nur die jeweils aktuelle Version der Software einsetzen, sondern auch Javascript im Browser deaktivieren.
Als weitere Maßnahmen schlagen die Entwickler vor, die eigene MAC-Adresse zufällig zu setzen, eine Firewall zu aktivieren, das Firefox-Addon RequestPolicy [11] einzusetzen oder das auf den Tor-Einsatz ausgelegte Live-Linux Tails [12] für den Zugriff auf das Tor-Netz zu nutzen. Außerdem erwarten die Tor-Entwickler weitere Angriffe, die nicht nur Fehler in Javascript sondern auch in CSS, SVG, XML und im Firefox-Renderer ausnutzen. Daher bitten sie um Mithilfe bei der Weiterentwicklung von Tor und dem Tor-Browser-Bundle. Insgesamt wird immer deutlicher, dass wer Tor nutzt, sehr genau wissen sollte was er tut, da er sich einem stark erhöhten Angriffsrisiko aussetzt. (rek [13])
URL dieses Artikels:
https://www.heise.de/-1930154
Links in diesem Artikel:
[1] https://www.torproject.org/projects/torbrowser.html.en
[2] https://www.mozilla.org/security/announce/2013/mfsa2013-53.html
[3] https://lists.torproject.org/pipermail/tor-announce/2013-August/000089.html
[4] https://www.cryptocloud.org/viewtopic.php?f=9&t=2894&p=3852#p3852
[5] http://pastebin.com/AwnzEpmX
[6] http://www.domaintools.com/research/ip-explorer/?ip=65.222.202.54
[7] http://www.wired.com/threatlevel/2013/08/freedom-hosting/
[8] https://de.wikipedia.org/wiki/Tor_%28Netzwerk%29#Versteckte_Dienste
[9] https://blog.mozilla.org/security/2013/08/04/investigating-security-vulnerability-report/comment-page-1/#comment-111200
[10] http://www.mozilla.org/security/announce/2013/mfsa2013-53.html
[11] https://www.requestpolicy.com/
[12] http://tails.boum.org
[13] mailto:rek@ct.de
Copyright © 2013 Heise Medien