Anonymität von TOR-Nutzern durch Fake-Websites gefährdet

Sicherheit
TOR Project Logo (Bild: Tor Project)

Offenbar wurden hunderte Webseiten, die nur über den Tor-Browser erreichbar sind, gefälscht und manipuliert. Experten vermuten, dass dort die Daten der Website-Besucher mit Hilfe von Man-in-the-Middle-Angriffen abgegriffen werden. Darauf hat Juha Nurmi hingewiesen, der Mitgründer einer Open-Source-Suchmaschine für das TOR-Netzwerk ist.

Unbekannte haben offenbar hunderte Websites speziell für TOR-Nutzer gefälscht, um auf diese Weise Anwender des Anonymisierungsdienstes auszuspähen. Darauf hat Juha Nurmi, Mitgründer des Open-Source-Projekts ahmia.fi, einer Suchmaschine speziell für das TOR-Netzwerk, jetzt hingewiesen. Darauf aufmerksam wurde Nurmi, als er eine gefälschte Version seiner eigenen Website zu sehen bekam. Inzwischen hat er eine Liste der von ihm aufgespürten 255 manipulierten Website veröffentlicht

Nurmi hat festgestellt, dass es in der Regel mehrere Kopien jeder angegriffenen Site mit sehr ähnlichen Adressen gibt. Sophos-Experte Chester Wisniewski weist etwa darauf hin, dass im TOR-Netzwerk die echte URL der anonymen Suchmaschine DuckDuckGo http://3g2upl4pq6kufc4m.onion/ lautet, die Imitation dagegen unter http://3g2up5afx6n5miu4.onion/ zu erreichen ist. Seiner Ansicht nach tragen die Tatsache, dass TOR-Sites überwiegend über Verzeichnisdienste statt Suchmaschinen angesteuert werden und wie beim Beispiel von DuckDuck Go recht schwer zu merkende Adressen haben, es möglicherweise sogar einfacher macht, gefälschte Seiten zu platzieren, als im “regulären” World Wide Web.

Chester Wisniewski (Bild: Sophos)
Chester Wisniewski (Bild: Sophos)

Laut Nurmi sind die gefälschten Sites zudem nicht nur schlichte Duplikate, sondern fungieren sogar als Proxy für die echte Site. Hat er Recht, dann würden sie es Angreifern erlauben, mittels einer sogenannten Man-in-the-Middle-Attacke Daten abzugreifen oder zu modifizieren, die über ihre Site laufen. Zu diesen so abgegriffenen Informationen können auch Nutzernamen und Passwörter gehören.

Schon seit längerem versuchen Angreifer, Daten von TOR-Nutzern auszuspähen, indem sie falsch, sogenannte Exit Nodes aufsetzen. Dies ist eine andere, als die nun von Nurmi entdeckte Methode, hat aber dasselbe Ziel. Diese Exit Nodes werden benötigt, wenn der Traffic nach seiner Reise durch das TOR-Netzwerk zu einer außerhalb liegenden Site geführt werden soll, die der Nutzer anonym besuchen möchte. Wichtig ist das in vielen Ländern zum Beispiel für politische Aktivisten, für Mitarbeiter von Nicht-Regierungs-Organisationen und so weiter.

Da jeder einen Exit Node aufsetzen kann und der mit unverschlüsseltem Traffic arbeitet, ist er ein beliebtes Angriffsziel. Wisniewski zitiert Berichte von Nutzern, die offenbar über einen derartigen Manipulierten Exit Node auf die gefälschte Site im TOR-Netzwerk verwiesen wurden. Der vom Nutzer “garpamp” beschriebene “Bad Exit Node” wurde laut, Roger Dingledine, einem der ursprünglichen TOR-Entwickler, inzwischen entsprechend gekennzeichnet und sollte daher keine Verwendung mehr finden.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen