Anonymisierungsnetz Tor "abgephisht"
Vor zehn Tagen veröffentlichte der Schwede Dan Egerstad die Zugangsdaten für 100 E-Mail-Accounts internationaler Regierungsinstitutionen. Jetzt lüftet er das Geheimnis, wie er an die Daten kam: Egerstad fischte die Daten über Tor-Exit-Nodes ab.
- Christiane RĂĽtten
Die vor Kurzem veröffentlichte Liste von E-Mail-Zugangsdaten von Botschaften und Behörden ist offenbar das Ergebnis unsicherer Verwendung des Anonymisierungsnetzes Tor gewesen. Der Schwede Dan Egerstad, der auch die Liste in seinem Blog postete, führt nun aus, wie er an die 100 Logins und Passwörter gelangt ist: Er habe fünf selbst aufgesetzte sogenannte Tor-Exit-Nodes mit Passwort-Sniffern ausgestattet, die den durchgehenden Datenverkehr analysierten. Das Tor-Netz arbeitet zwar anonymisierend, keinesfalls jedoch vertrauenswürdig, da jeder eigene Exit-Nodes betreiben kann. Zwar sind die Daten innerhalb des Tor-Netzes verschlüsselt, doch Exit-Nodes bekommen durchgereichte Daten auch im Klartext zu sehen, sofern Tor-Anwender sie unverschlüsselt losschicken. Dies gilt nicht nur für E-Mail-Logins, sondern auch für Webseiten und andere Datenübertragungen durch das Tor-Netz.
Wohlweislich weisen die Tor-Entwickler an mehreren Stellen in der Dokumentation darauf hin, dass Tor-Nutzer selbst dafür verantwortlich seien, die "letzte Meile" zum Zielserver durch eine geeignete Ende-zu-Ende-Verschlüsselung (etwa SSL, TLS oder HTTPS) abzusichern. Zumindest technisch versierten Anwendern ist dieser Umstand hinlänglich bekannt, doch offenbar schenken viele unbewanderte Tor-Nutzer dieser Notwendigkeit bislang nur wenig Aufmerksamkeit und betreiben ihre E-Mail-Programme und vermutlich auch andere Webanwendungen unverschlüsselt. Und das ist beim Einsatz von Community-Netzen wie Tor sogar erheblich gefährlicher als das unverschlüsselte Surfen direkt vom heimischen DSL-Anschluss aus.
Die Konsequenz ist, dass derzeit offenbar erhebliche Mengen vertraulicher Daten unverschlüsselt über die Exit-Nodes wandern, wo sie sich von böswilligen Betreibern im großen Stil abgreifen lassen. Neben den Botschaftspasswörtern will Egerstad so auch an E-Mail-Zugangsdaten namensträchtiger Fortune-500-Firmen, tausender Privatleute und an andere vertrauliche Daten gelangt sein, die er jedoch nicht veröffentlichen möchte. Er habe die 100 Botschaftsaccounts gewählt, um Aufmerksamkeit zu erregen und die Verantwortlichen zum Handeln zu bewegen. Die Nutzer aller Accounts – auch der nicht veröffentlichten – seien informiert worden. Die Zugangsdaten seien bis auf die 100 Botschaftsaccounts inzwischen gelöscht. Glaubt man seinen weiteren Ausführungen, wurde sein in Schweden gehosteter Server auf Wirken von US-Ermittlern bereits vorübergehend vom Netz genommen.
Egerstad geht sogar so weit, einige der von ihm untersuchten Exit-Nodes chinesischen, russischen und amerikanischen Regierungskreisen zuzuschreiben. Auch große Firmen und illegale Hackergruppen sollen eigene Exit-Nodes betreiben. Bei Betrachtung der Tor-Exit-Node-Liste ist auffällig, dass die Zahl der Exit-Nodes im vergangenen Jahr überproportional in China und den USA gewachsen ist. Nach Beobachtungen von heise Security standen vor etwa einem Jahr die meisten der weltweit rund 200 Exit-Nodes noch in Deutschland. Während ihre Zahl hierzulande in etwa gleich geblieben ist, gibt es in den USA mit 175 heute rund zweieinhalb mal so viele Exit-Nodes wie in Deutschland. In China ließ sich die Zahl der lokalisierbaren Exit-Nodes vor einem Jahr noch an einer Hand abzählen, heute sind es bereits 77. Allein 26 davon konnten wir im Ballungszentrum Peking verorten.
Sicherer ist man beim anonymen Surfen unterwegs, wenn man vertrauliche Daten nur ĂĽber verschlĂĽsselte TLS- oder SSL-Verbindungen (HTTPS) austauscht, sowie Cookies, JavaScript und Flash deaktiviert. Viele Webmail-Hoster schalten jedoch aus Performance-GrĂĽnden nach der HTTPS-gesicherten Anmeldung automatisch auf eine unverschlĂĽsselte HTTP-Verbindung zurĂĽck.
Siehe dazu auch:
- Time to reveal…, Blog-Eintrag von Dan Egerstad
- Zugangsdaten für Regierungs-Mail-Accounts veröffentlicht, Meldung von heise Security
- TheOnionRouter/TorFAQ mit Hinweisen der Tor-Entwickler zu manipulierten Exit-Nodes
(cr)