Die vor Kurzem veröffentlichte Liste von E-Mail-Zugangsdaten von Botschaften und Behörden ist offenbar das Ergebnis unsicherer Verwendung des Anonymisierungsnetzes Tor gewesen. Der Schwede Dan Egerstad, der auch die Liste in seinem Blog postete, führt nun aus, wie er an die 100 Logins und Passwörter gelangt ist: Er habe fünf selbst aufgesetzte sogenannte Tor-Exit-Nodes mit Passwort-Sniffern ausgestattet, die den durchgehenden Datenverkehr analysierten. Das Tor-Netz arbeitet zwar anonymisierend, keinesfalls jedoch vertrauenswürdig, da jeder eigene Exit-Nodes betreiben kann. Zwar sind die Daten innerhalb des Tor-Netzes verschlüsselt, doch Exit-Nodes bekommen durchgereichte Daten auch im Klartext zu sehen, sofern Tor-Anwender sie unverschlüsselt losschicken. Dies gilt nicht nur für E-Mail-Logins, sondern auch für Webseiten und andere Datenübertragungen durch das Tor-Netz. | ![Bild 1 [250 x 186 Pixel @ 100,3 KB]](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_vfMx8s_D71WwaY0Q41Q1saUpATFhlqtEKjopFOMJ6xHLk9Suv0QrsNVImPCd_1eVtliFd71jhXXLaRODqBhriOPz-EGR8iAg=s0-d) |
 Einen der 26 Tor-Exit-Knoten in Peking zu betreiben, ist für Privatpersonen sicherlich nicht einfach. | |
| |
Die Konsequenz ist, dass derzeit offenbar erhebliche Mengen vertraulicher Daten unverschlüsselt über die Exit-Nodes wandern, wo sie sich von böswilligen Betreibern im großen Stil abgreifen lassen. Neben den Botschaftspasswörtern will Egerstad so auch an E-Mail-Zugangsdaten namensträchtiger Fortune-500-Firmen, tausender Privatleute und an andere vertrauliche Daten gelangt sein, die er jedoch nicht veröffentlichen möchte. Er habe die 100 Botschaftsaccounts gewählt, um Aufmerksamkeit zu erregen und die Verantwortlichen zum Handeln zu bewegen. Die Nutzer aller Accounts – auch der nicht veröffentlichten – seien informiert worden. Die Zugangsdaten seien bis auf die 100 Botschaftsaccounts inzwischen gelöscht. Glaubt man seinen weiteren Ausführungen, wurde sein in Schweden gehosteter Server auf Wirken von US-Ermittlern bereits vorübergehend vom Netz genommen.
Egerstad geht sogar so weit, einige der von ihm untersuchten Exit-Nodes chinesischen, russischen und amerikanischen Regierungskreisen zuzuschreiben. Auch große Firmen und illegale Hackergruppen sollen eigene Exit-Nodes betreiben. Bei Betrachtung der Tor-Exit-Node-Liste ist auffällig, dass die Zahl der Exit-Nodes im vergangenen Jahr überproportional in China und den USA gewachsen ist. Nach Beobachtungen von heise Security standen vor etwa einem Jahr die meisten der weltweit rund 200 Exit-Nodes noch in Deutschland. Während ihre Zahl hierzulande in etwa gleich geblieben ist, gibt es in den USA mit 175 heute rund zweieinhalb mal so viele Exit-Nodes wie in Deutschland. In China ließ sich die Zahl der lokalisierbaren Exit-Nodes vor einem Jahr noch an einer Hand abzählen, heute sind es bereits 77. Allein 26 davon konnten wir im Ballungszentrum Peking verorten.Sicherer ist man beim anonymen Surfen unterwegs, wenn man vertrauliche Daten nur über verschlüsselte TLS- oder SSL-Verbindungen (HTTPS) austauscht, sowie Cookies, JavaScript und Flash deaktiviert. Viele Webmail-Hoster schalten jedoch aus Performance-Gründen nach der HTTPS-gesicherten Anmeldung automatisch auf eine unverschlüsselte HTTP-Verbindung zurück.
Teil 2:
Dass das Anonymisierungsnetzwerk The Onion Router (TOR) nur mit Vorsicht zu genießen ist, rief zuletzt der Schwede Dan Egerstad mit seinem Tor-Hack ins Gedächtnis. Egerstad spähte mittels fünf eigener Exit-Nodes zahlreiche E-Mail-Zugangsdaten von Botschaften und Behörden aus und veröffentliche sie teilweise im Internet. Da nicht bekannt ist, wer welchen Exit-Node betreibt, lautet die Empfehlung bei der Nutzung von Tor daher: Immer zusätzliche Verschlüsselung benutzen.
Die Mitglieder der Teamfurry-Community waren neugierig und haben sich stichprobenartig die Advertisements einiger Tor-Exit-Nodes angeschaut, also der im Netz proklamierten Konfiguration. Dabei kommen sie zu recht interessanten Ergebnissen: So gibt es Exit-Nodes, die grundsätzlich nur bestimmte Protokolle in deren unverschlüsselter Version transportieren. Beispielsweise nimmt solch ein Node nur unverschlüsselte IMAP- und POP-Verbindungen (TCP-Ports 143 und 110) an und leitet nur Messenger-Verbindungen von AIM, Yahoo IM und MSN Messenger weiter, wenn sie auf den Ports eingehen, auf denen der Verkehr im Klartext abgewickelt wird. Gleiches gilt auch für Telnet- und VNC-Verbindungen für den Fernzugriff auf Systeme. Des Weiteren gibt es Systeme, die sich nur für bestimmte Ziele interessieren und etwa ausschließlich HTTP-Pakete an MySpace und Google weiterleiten. HTTPS-Verkehr dorthin wird indes blockiert.
Über die Gründe für die seltsamen Konfigurationen lässt sich nur spekulieren. Im Blog von Teamfurry geht man auch nicht so weit, diesen Nodes böse Absichten vorzuwerfen. Immerhin wirft der Bericht aber die Frage auf, ob man seine eigenen Daten über solche Nodes leiten würde. Vermutet wird allerdings allgemein, dass chinesische, russische und amerikanische Regierungskreise Tor-Exit-Nodes betreiben. Auch große Firmen und illegale Hackergruppen sollen eigene Exit-Nodes betreiben. Bei Betrachtung der Tor-Exit-Node-Liste ist auffällig, dass die Zahl der Exit-Nodes im vergangenen Jahr überproportional in China und den USA gewachsen ist.
Auch der Einsatz von Verschlüsselung hilft bei Nachlässigkeit des Anwenders nicht unbedingt weiter. So berichtet das Teamfurry-Blog von einem Exit-Node in Deutschland, der offenbar versucht, sich per Man-in-the-Middle-Attacke in SSL-Verbindungen einzuschleichen. Dazu lieferte er bei über ihn laufende SSL-Verbindungen ein gefälschtes, respektive selbstunterschriebenes Zertifikat aus. Das produziert zwar in der Regel eine Fehlermeldung, oftmals ignorieren Anwender diese jedoch. Mittlerweile wurde der "Phishing-Node" vom Netz genommen.
In wessen Hände die möglichweise ausgespähten Daten geraten, bleibt erstmal unklar. Was allerdings passiert, wenn man sie im Internet veröffentlicht, musste Dan Egerstad vergangene Woche erfahren, als er Besuch von den schwedischen Ermittlungsbehörden bekam. Die stellten nach einer Anzeige seine Wohnung auf den Kopf und verhörten ihn mehrere Stunden. Wer die Anzeige stellte, ist unbekannt. Vermutet wird, dass sie von einer ausländischen Behörde kam, deren E-Mail-Daten Egerstad veröffentlichte.
source: www.heise.de/securityKommentar: Diese Nachricht laesst einen ziemlich erschauern. Da bemueht man(n)/frau sich seine Daten zu verschluesseln und Spuren zu verwischen und dann werden Sie doch gelesen und vielleicht sogar missbraucht. Der "einfache" Surfer sagt sich dann, wozu dann ueberhaupt verschluesseln und Proxy's benutzen, wenn diese Massnahmen sowieso nix bringen. Was in dem Artikel sehr schoen veranschaulicht wird. Wer was verschluesselt oder verschleiert hat oefters was zu verbergen und ist daher interessanter fuer Leute mit "krimineller" Energie. Daher wieso sollte man sich nicht in der Masse bewegen und eher untergehen, als sich im expliziten Kreis der Datenschuetzer zu bewegen und eher ausspioniert zu werden?
