Sept. 10, 2007

Tor-Exitnodes phishen nach Passwörtern

Anonymität und Datensicherheit im Sinne von Verschlüssung sind 2 entgegengesetzte Dinge.

Beispiel das jeder kennt der sich mit Verschlüsslung auseinander gesetzt hat: PGP. Das WebofTrust ermöglicht es zwar völlig unbekannten Schlüsseln ein wenig mehr zu trauen, dafür bildet sich ein wunderbares soziales Netz in dem man sicher ist dass jede Identität von allen verbundenen Personen überprüft wurde. Also eine gute Quelle für Dataminer.

Oder eben das umgekehrte Problem: Wer über Tor surft ist zwar völlig anonym(sofern er eben keine privaten Daten postet), kann dafür wunderbar abgehört werden, wenn er kein SSL verwendet. Das liegt schlicht daran, dass er seine Daten am Ende durch eine Exitnode leitet die bei einer unverschlüsselten Zielwebseite die Daten unverschlüsselt zu sehen bekommt. Und dass bei Tor jeder eine Exitnode stellen kann.

Das ist kein Tor-Bug, sondern ein Fehler im Verständnis der Software also. Tor anonymisiert, für die Verschlüsslung zur Zielwebseite muss man selber sorgen.

Und daher stammen die Zugangsdaten für Regierunsmailaccounts. Also bitte das nächste mal dran denken, bevor ihr unverschlüsselte Daten über TOR übertragt. Es lohnt sich den Original-Blogeintrag zu lesen.

[UPDATE] Netzpolitik greift die schöne Verschwörungstheorie auf, dass all die Accounts schon gehackt waren und der Angreifer sie dann natürlich um sich zu schützen via TOR abgerufen hat. Wobei Geheimdienste ja durchaus auch Tor-Nodes betreiben. Nur sollte man dann eben damit rechnen, dass der Betreiber auch den Hauch einer Ahnung hat.

Kategorien Verschlüsslung Anonymität
Tagged
Mobil qrcode zeigen

3 Kommentare

Kommentare
Sept. 30, 2007 18:56 - laxu » Blog Archive » Die neuen Tricks

[...] “andere” grenzt leider nicht vom CCC ab, sondern vom Tor-”Hacker”, der seinen Hack nicht zu seinem Vorteil ausgenutzt [...]

Okt. 21, 2007 21:21 - laxu » Blog Archive » Tor und Vorratsd

[...] Ein anderer Punkt ist die Abhörsicherheit. Die ist wie man sieht nur in den Tor-Verbindungen gegeben. Der nicht-Tor-Request zum Server ist ohne Tor logischerweise abhörbar, aber auch der Tor-Request nachdem er die Exit-Node verlassen hat. Und genau dort wurden die Passwörter der Diplomaten gephisht. [...]

Nov. 18, 2007 22:47 - laxu » Blog Archive » Tor-Phishing hat

[...] hatte Dan Egerstad ausgenutzt, um Passwörter mitzusniffen, pikanterweise einige von Regierungsmailaccounts. Anstatt mit diesen Daten Schindluder zu treiben [...]


Kommentar schreiben