SchnĂĽffel-Spam im anonymen Nachrichtendienst Bitmessage
Durch eine Art Phishing-Nachrichten versucht irgendjemand, die IP-Adressen von Teilnehmern des verschlĂĽsselnden Nachrichtendienstes Bitmessage herauszufinden.
Teilnehmer des Peer-to-Peer-Nachrichtendienstes Bitmessage haben Spam-Nachrichten erhalten, die anscheinend dazu dienen, ihre IP-Adressen zu ermitteln. Bitmessage soll vertrauliche Kommunikation auch für den Fall gewährleisten, dass sämtliche Verbindungen abgehört werden. Er verschlüsselt nicht nur die Inhalte der Nachrichten, sondern verschleiert auch, wer überhaupt mit wem kommuniziert. Das funktioniert grob gesagt, indem grundsätzlich alle Nachrichten an alle Teilnehmer verbreitet werden. Da die Nachrichten asymmetrisch verschlüsselt sind, kann nur der Empfänger einer Nachricht sie mit seinem privaten Schlüssel entschlüsseln. Wer das Netz abhört, sieht nur einen großen Strom verschlüsselter Nachrichten, kann aber nicht erkennen, an wen sie gerichtet und wo sie hergekommen sind.
In diesem Netz haben am Mittwoch, den 21. August viele Teilnehmer eine Nachricht mit dem Betreff "Bitmessage Security Risk" und folgendem Inhalt erhalten:
Bitmessage has several potential security issues
including a broken proof of work function and
potential private key leaks.
Full details:
http://secupost.net/2325962497/bitmessage-security
Wer nun – wie der Autor dieser Zeilen – neugierig auf den Link geklickt hat, hat damit dem Betreiber des Servers – mutmaßlich dem Sender der Nachricht – seine IP-Adresse verraten. Die Links sind individualisiert: Jeder Empfänger hat in seinem Link eine andere Nummer, wie man Diskussionen im Bitcoin-Forum und auf Reddit entnehmen kann.
Auf ein systematisches Ausspionieren von Bitmessage deutet auch hin, dass die Domain secupost.net erst wenige Stunden vor Versand der Spam-Nachrichten neu registriert wurde. Als Betreiber der Domain ist eine Firma WhoisGuard, Inc. aus Panama eingetragen.
Wer hinter der Aktion steckt, ist unklar. Die Vertraulichkeit der Bitmessage-Kommunikation ist jedenfalls nicht unbedingt dadurch gefährdet, dass zu einer Bitmessage-Adresse eine IP-Adresse bekannt ist. Ich mache beispielsweise kein Geheimnis daraus, dass man mich über die Bitmessage-Adresse BM-GtdUttQF5qRPq9qupzaKgnZJY21UzfAW erreichen kann. Obwohl ich diese Tatsache hier bekanntgebe, kann man nach derzeitigem Kenntnisstand nicht herausfinden, wer mir schreibt oder an wen ich Bitmessages schreibe, geschweige denn den Inhalt der Nachrichten entschlüsseln. Der einzige Vorbehalt besteht darin, dass der Bitmessage-Client eine Beta-Version ist und eine Sicherheitsprüfung durch unabhängige Experten noch aussteht.
Wer sich allerdings hinter einer Bitmessage-Adresse als Pseudonym versteckt und den Link angeklickt hat, muss sich nun wohl eine neue Adresse zulegen. (bo)