Passworte sniffen mit Tor
Während meines Vortrages über Tor meinte jemand, dass er auf Symlink gelesen habe, dass jemand diverse Passworte über Tor gesnifft und veröffentlicht habe. Natürlich wurde ich auch gebeten, dazu Stellung zu nehmen. Zu dem Zeitpunkt hatte ich die Nachricht jedoch nicht gelesen und konnte daher auch keinen Kommentar abgeben. Das will ich auf diesem Wege nachholen.
Offensichtlich meinte der Fragesteller den Artikel Drastisch dargelegt: Tor schützt nicht vor Sniffing
. Der Nachricht zufolge hat es Stephan Schmieder geschafft, diverse Passworte zu erschnüffeln und diese auf seiner Webseite veröffentlicht. Wie kann das sein, wenn doch angeblich die Pakete verschlüsselt werden? Das lässt sich ganz einfach erklären. Zwischen den einzelnen Torknoten werden die Pakete natürlich verschlüsselt und können nicht von anderen Personen oder Programmen gelesen werden. Aber wenn das Paket am Ende der Kette ankommt (beim sog. Exitknoten), hat der letzte Server Zugriff auf die Inhalte der Pakete. Denn diese werden dann an den eigentlichen Empfänger weitergegeben. Wenn nun ein Klartextprotokoll genutzt wurde, kann der Exitknoten auch alle Klartextinformationen auslesen.
Somit ist dies keine Schwäche des Torprotokolls bzw. der Software, sondern der Fehler ist hier eher bei den Anwendern zu suchen. Wie ich auch im Vortrag betont habe, lässt Tor die Inhalte der Pakete unangetastet und es können weiterhin Cookies gesetzt werden, Javascript ausgeführt werden, etc. Hier ist es Aufgabe des Nutzers sich weiterführende Gedanken zu dem Thema zu machen und sich gegen evtl. weiterführende Gefahren zu sichern.
Comments
Display comments as Linear | Threaded
Julius Plenz on :
Was meiner Meinung nach gefehlt hat, waren praktische Beispiele: Tor installieren, die Privoxy-Config editieren, HTTP-Proxy einstellen und lossurfen, TOR neu starten und die IP vergleichen. Auch mal groessere Seiten ueber die TOR-Verbindung anschauen.
Dann haette man noch exemplarisch zeigen koennen, wie leicht man einen TOR-Server einrichten kann und wie viel es hilft, bei etwas mehr Zeit vielleicht sogar noch Hidden Services anreissen.
Aber sonst - sehr schoen!
Jens Kubieziel on :
Wie du im Vortrag sicher gemerkt hast, war es mir auch wichtig, die Leute für das Problem zu sensibilisieren. Daher habe ich anfangs recht viel allgemeines erzählt. Das führte dann allerdings eben dazu, dass ich die praktischen Sachen weggelassen habe. Aus meiner Sicht ist die Installation und Einrichtung auch recht trivial. Die Doku hierzu ist auch in meinen Unterlagen verlinkt. Insofern war es mir nicht unbedingt wichtig, vorzuführen, wie der proxy im Browser eingestellt wird und wie die config im Privoxy editiert wird.
Wenn es klappt und mein Vorschlag angenommen wird, werde ich bei den Datenspuren in Dresden einen Workshop zu Tor machen. Dort plane ich eine ausführliche Präsentation zur Einrichtung von Client, Server und hidden services. Bei Bedarf kann ich das dann im nächsten Jahr in Chemnitz wiederholen.
Woki on :