Tor-Phishing hat Nachspiel
derangedsecurity.com hatte demonstriert, dass Tor zwar anonymisiert, aber Exit-Verbindungen meistens nicht verschlüsselt sind. Logisch, bietet die Webseite kein HTTPS an oder wird dieses nicht genutzt, ist die letzte Verbindung - von der Exitnode zum Server - unverschlüsselt.Das hatte Dan Egerstad ausgenutzt, um Passwörter mitzusniffen, pikanterweise einige von Regierungsmailaccounts. Anstatt mit diesen Daten Schindluder zu treiben veröffentlichte er sie auszugsweise auf seiner Webseite, um zu demonstrieren, dass soetwas passieren kann, wenn man ohne nachzudenken Tor nutzt.Statt das Sicherheitsloch zu stopfen, und alle Passwörter ungültig zu machen und die entsprechenden Tor-Nutzer über die Gefahren aufzuklären wurde er jetzt verhaftet, und seine Hardware beschlagnahmt. Der übliche Denkfehler: Der ehrliche wird bestraft. Hätte er nur mitgelauscht, und die Passwörter über Tor genutzt, wären seine Verbindungen nicht von denen der eigentlichen Nutzer zu unterscheiden gewesen.Generell ist davon abzuraten, sich über Tor irgendwo einzuloggen. Wenn die Logindaten nicht abgefangen werden, ist trotzdem zumindest die Anonymisierung durch den Login auf einer Seite nur noch Pseudonymisierung, da alle Aktivitäten die eingelogged getätigt werden zu einem Login zusammenführbar sind.
| Kategorien | Überwachung Verschlüsslung Anonymität Sicherheit Datenschutz Recht |
|---|---|
| Tagged | Klage Tor Phishing Sniffing |
0 Kommentare