Gehackte Botschaften nutzten das Anonymisierungsnetz Tor falsch

11.09.2007
Staatliche Einrichtungen verwenden laut Sicherheitsexperte Dan Egerstad vermehrt das Anonymisierungsnetz "The Onion Router" (Tor) zur verschlüsselten Datenübertragung. Da viele mit der Technik aber nicht richtig umgingen, habe er die Mail-Zugänge zahlreicher Botschaften und Behörden ausspähen können.

In seinem Blog gab Egerstad jetzt bekannt, wie er an die vor knapp zwei Wochen veröffentlichten Daten gelangt ist. Über das Tor-Netz können Internet-Anwender ihren Datenverkehr vollständig anonymisieren. Das gilt aber nur für die Übertragung vom Sender bis zum letzten Knotenpunkt innerhalb des Netzes, dem sogenannten Tor-Exit-Node. Die "letzte Meile" vom letzten Knotenpunkt bis zum Empfänger eines Datenpaketes muss durch den Sender selbstständig durch eine End-to-End-Verschlüsselung wie beispielsweise SSL, TLS oder HTTPS verschlüsselt werden, damit eine vollständig anonyme Übertragung stattfinden kann. Genau das haben die gehackten Botschaften und Behörden offenbar nicht getan, obwohl die Tor-Entwickler in der Dokumentation ihres Netzwerks vermehrt darauf hinweisen. Egerstad hatte nach eigenen Angaben fünf eigene Knotenpunkte in das Netz eingebunden und mit Passwort-Sniffern ausgestattet, die den durchgehenden Datenverkehr analysierten. Die Exit-Nodes bekommen alle durchgereichten Daten auch im Klartext zu sehen, sofern sie vom Sender nicht mit End-to-End-Verschlüsselung versehen wurden. Egerstad war es auf diesem Weg möglich, die über 100 E-Mail-Logins abzugreifen.

Nach Angaben von Egerstad nutzen auch zahlreiche Großkonzerne das Tor-Netzwerk für ihre Datenübertragungen. Er sei mit seiner Sniffer-Methode noch an wesentlich mehr vertrauliche Daten, auch von mehreren tausend Privatleuten, gelangt, die er aber nicht öffentlich machen wolle und mittlerweile wieder vernichtet habe. In seinem Blog heißt es weiter, dass er die Botschafts-Account veröffentlicht habe, um Aufmerksamkeit zu erregen und die Betroffenen zum Handeln zu bewegen. Das Handeln ließ offenbar nicht lange auf sich warten: Egerstad behauptet, dass sein schwedischer Server auf Druck von US-Ermittlungsbehörden nach Bekanntwerden zahlreicher Regierungs-Accounts vorübergehend vom Netz genommen worden sei.

Egerstad behauptet ferner, dass zahlreiche Regierungen, Konzerne und illegale Hackergruppen eigene Exit-Nodes betrieben, um den weltweiten Datenverkehr auszuspähen. Bei Betrachtung der Tor-Exit-Node-Liste fällt tatsächlich auf, dass derzeit die meisten Netzwerkknoten von den USA (175), China (77, davon 26 im Großraum Peking) und Deutschland (70) aus betrieben werden. In den vergangenen zwölf Monaten ist die Zahl der Knoten in den USA und China überproportional stark gestiegen. Vor einem Jahr hosteten deusche Server noch den Großteil der damals insgesamt nur rund 200 Exit-Nodes. (sh)