Server des Tor-Projekts gehackt

Die Initiatoren des Tor-Projekts raten Anwender zu einem Update ihrer Anonymisierungsoftware Tor auf Version 0.2.1.22 oder 0.2.2.7-alpha. Der Grund ist ein Anfang Januar entdeckter Einbruch in zwei von sieben Verzeichnisservern (Directory Authorities) des Projekts (moria1 und gabelmoo) sowie in metrics.torproject.org, einem Statistik-Server. Auf Moria liegen zudem die Git- und Subversion-Repositories der Entwickler.

Kurz nach Entdeckung des Einbruchs habe man die Server vom Netz genommen. Angaben zur Ursache des Einbruchs machen die Betreiber nicht, die Schwachstelle sei nun aber geschlossen. Mittlerweile sind die Server neu aufgesetzt und mit neuen Schlüsseln zum Signieren der von den Directory Authorities ausgelieferten Tor-Server-Listen versehen – weshalb nun auch das Update der Tor-Clients nötig wird.

Nach ersten Erkenntnissen wurden die Repositorys nicht manipuliert. Allem Anschein nach wußten die unbekannten Eindringlinge nicht, wo sie eigentlich eingebrochen waren. Sie sollen die Server für Angriffe auf weitere Systeme missbraucht haben. (dab)