Russische Spione im Tor-Netz enttarnt
Forscher stießen auf 20 Exit Nodes, welche die HTTPS-Verbindungen von Tor-Nutzern aufzubrechen versuchten. Die meisten davon stammen aus Russland.
- Ronald Eikenberg
Forscher von der schwedischen Karlstad University sind bei einer systematischen Analyse des Tor-Netzwerks (PDF) auf 20 Exit-Nodes gestoßen, die verschlüsselte Verbindungen angreifen. Ruft ein Tor-Nutzer eine HTTPS-Seite über diese Exit-Nodes auf, bekommt er ein Zertifikat serviert, das nicht zu der aufgerufenen Webseite passt – oder aber die Verschlüsselung ist gleich passé.
(Bild: Philipp Winter, Stefan Lindskog)
Exit-Nodes sind das letzte Glied in der Anomymisierungskette von Tor. Sie stellen den Tor-Nutzern ihren Internetzugang zur Verfügung. Durchschnittlich sind etwa 1000 davon in Betrieb. Daten, die von den Tor-Nutzern im Klartext ins Internet geschickt werden, kommen auch im Klartext an den Exit-Nodes vorbei. In verschlüsselte Verbindungen können die Internetspender nicht ohne weiteres reinschnüffeln – sie müssen die verschlüsselten Daten aktiv entschlüsseln und anschließend mit wieder neu mit ihrem eigenen Zertifikat verschlüsseln.
Genau das haben die Forscher bei 18 der 20 manipulativen Exit-Nodes beobachtet. Die beiden übrigen haben die HTTPS-Verbindung zwar entschlüsselt, jedoch nicht wieder verschlüsselt. Die Daten wurden im Klartext an den Tor-Nutzer ausgeliefert (sslstrip). Die meisten der spionierenden Exit-Nodes stammen laut den Forschern aus Russland und sind sogar im gleichen Rechenzentrum beheimatet. Ob die Betreiber der Exit-Nodes tatsächlich hinter dem Man-in-the-Middle-Angriff stecken, ist nicht feststellbar. Grundsätzlich kann auch der Betreiber des Rechenzentrums oder der Staat in die Verbindungen eingreifen.
Bei einigen Exit-Nodes entdeckten die Forscher weitere Gefahren wie etwa MitM-Angriffe auf SSH-Verbindungen oder auch Code, den der Node in aufgerufene Webseiten eingeschleust hatte. Die Untersuchung zeigt erneut, dass man als Tor-Nutzer davon ausgehen muss, in feindlichen Gewässer zu segeln. Vertrauliche Daten sollte man – wenn überhaupt – nur verschlüsselt übertragen, da man dem Exit-Node nicht vertrauen darf.
Ist gerade ein Man-in-the-Middle-Angriff auf HTTPS im Gange, erkennt man das an einer Zertifikatsfehlermeldung des Browsers – sofern es der Angreifer nicht geschafft hat, sich falsche Zertifikate von einem der vielen Herausgeber ausstellen zu lassen, denen die Browser von Haus aus blind vertrauen.
Siehe hierzu auch in c't 20/13:
(rei)
