Im Zuge der aktuellen Festnahmen gegen den Tor-Hoster Freedom Hosting hat sich herausgestellt, dass US-Geheimdienste offenbar im großen Stil NutzerInnen des Tor-Netzwerks ausspioniert haben. Einfallstor war dabei eine Lücke in älteren Firefox-Versionen, auf denen das empfohlene Tor Browser Bundle basiert.

Angriff

Über eine Javascript-Lücke konnten Dritte Schadcode auf betroffene Rechner einbringen. Ziel war es dabei allerdings nicht Trojaner oder ähnliches zu installieren, viel mehr wurde die Lücke offenbar ausschließlich dazu genutzt, die NutzerInnen des Netzwerks eindeutig zu identifizieren - und so dessen Anonymisierungsfunktion vollständig auszuhebeln. Die Rechnerinformationen wurden an die IP-Adresse 65.222.202.53 verschickt, die laut Wired einem Zulieferer von US-Geheimdiensten zuzurechnen ist.

Einfallsvektor

Laut der aktuellen Analyse wurde der für den Einbruch genutzte Exploit-Code über diverse Tor Hidden Services eingebracht. Dabei wurden gezielt nur NutzerInnen mit verwundbaren Firefox-Versionen angegriffen, zudem scheinen nur Windows-Rechner betroffen zu sein. Die ausgenutzte Lücke wurde bereits am 25. Juni von Mozilla in Firefox 17.0.7 ESR geschlossen, kurz danach folgten Updates für das Tor Browser Bundle. Offenbar haben aber längst nich alle NutzerInnen diese aktuellen Versionen installiert.

Tipps

Von Seiten des Tor-Projekts verweist man einmal mehr darauf, dass bei der Nutzung von Tor auch Javascript deaktiviert werden sollte, dann wäre ein solcher Angriff ins Leere gelaufen. Zudem rät man zu weiteren Sicherheitsmaßnahmen wie die regelmäßige Veränderung der eigenen Mac-Adresse sowie den Betrieb einer Firewall. Zudem wird die Linux-Live-Distribution Tails ans Herz gelegt, die alle notwendigen Konfigurationsoptionen bereits von Haus aus vornimmt.

Ernüchterung

Trotzdem gehen die EntwicklerInnen davon aus, dass es noch weitere Angriffe gegen Tor gibt. Insofern hofft man auch auf weitere Unterstützung bei der Mitarbeit an dem Anonymisierungsprojekt. (red, derStandard.at, 06.08.13)