Ein Cybersicherheitsforscher hat zwei Schwachstellen im Tor-Datenschutzprojekt aufgedeckt, die die Erkennung von Netzwerkverkehr erleichtern und eindeutig diejenigen aufdecken können, die dieses Tool verwenden.
Neal Krawetz, ein Forscher mit umfassender Erfahrung im Bereich Cybersicherheit, veröffentlicht In seinem Blog wurden zwei Fehler bzw. Schwachstellen festgestellt Projekto Tor, die sich darauf konzentriert, die Privatsphäre ihrer Benutzer zu gewährleisten, oder zumindest wollen sie uns das glauben machen. In seinem Beitrag weist Krawetz darauf hin, dass Tor darauf ausgelegt ist, die Netzwerkzensur zu umgehen und sich der Überwachung zu entziehen und so seinen Benutzern ein hohes Maß an Sicherheit und Privatsphäre zu bieten. Der Forscher weist jedoch auf zwei aktuelle Exploits hin, die die von ihren Entwicklern angebotenen Datenschutz- und Sicherheitseigenschaften zerstören, indem sie die Erkennung von Tor-Benutzern im Netzwerk ermöglichen.
Eines der von Krawetz entdeckten Probleme weist darauf hin; Es ist möglich, die Breite der benutzerdefinierten Webbrowser-Bildlaufleiste zu erkennen, die das Projekt normalerweise für die Verwendung in Tor empfiehlt. Dieser Fehler ermöglicht es einem Server, das zugrunde liegende Betriebssystem und damit die Benutzer zu verfolgen, sodass die Netzwerküberwachung nicht umgangen wird. Zweitens weist der Forscher auf einen weiteren Exploit hin, der es Unternehmen, Dienstanbietern und anderen ermöglicht, Benutzer daran zu hindern, sich direkt mit dem Tor-Netzwerk zu verbinden; ein weiterer Exploit, der die Benutzerzensur im Netzwerk nicht verhindert.
Obwohl Krawetz‘ Veröffentlichungen aktuell sind, weist der Forscher darauf hin, dass er Tor-Entwickler bereits seit mehreren Jahren über die von ihm entdeckten Schwachstellen informiert. Zu diesem Zweck lieferte es verlässliche Beweise, die die Existenz dieser Fehler belegen, auch wenn die Entwickler sie größtenteils nicht als ernsthafte Informationen zur Lösung der Exploits betrachteten.
Es könnte Sie interessieren: Ledger berichtet über einen Hack, der in den letzten zwei Monaten Kundeninformationen preisgegeben hat
Tor erlaubt kein völlig anonymes Surfen
Für Liebhaber der Privatsphäre stellt das Tor-Netzwerk aus Recht, Entscheidung oder Notwendigkeit eine Option dar, die ihren Benutzern beim Surfen im Netzwerk vollständige und vollständige Anonymität bietet. Allerdings kommentiert Krawetz Folgendes:
„Viele Benutzer denken, dass Tor sie anonym macht. Aber Tor-Benutzer können online verfolgt werden; Sie sind nicht anonym.“
Darauf hat Krawetz in seiner jüngsten Veröffentlichung hingewiesen, aber er ist nicht der Einzige, der diese Situation zum Ausdruck bringt. Seit mehreren Jahren weisen Unternehmen und Forscher auf die Schwachstellen des „Privacy“-Netzwerks hin und argumentieren, dass diese Dienste nicht so anonym oder unzerbrechlich seien, wie viele oft glauben.
Tor wurde als sichere und benutzerfreundliche Option für alle entwickelt, die sicher und privat im Internet surfen und dabei ihre persönlichen Daten jederzeit schützen möchten. Und obwohl das Ziel der Entwickler zu Beginn erreicht wurde, stimmt es auch, dass das Netzwerk seit Jahren mit mehreren Sicherheitslücken konfrontiert ist, die von Experten erkannt und gemeldet wurden, die aber von den Projektverantwortlichen in vielen Fällen ignoriert wurden . obwohl sie behaupten, es nicht zu tun.
Dennoch betrachten viele Nutzer Tor bis heute immer noch als eine der sichersten Optionen auf dem Markt, um ihre Privatsphäre und die ihrer Daten zu schützen.
In Tor entdeckte Schwachstellen
Wie eingangs erwähnt, weist Krawetz in seinen jüngsten Veröffentlichungen auf zwei im Tor-Netzwerk vorhandene Fehler hin, die die Erkennung des Netzwerkverkehrs sowie die Verfolgung und Blockierung von Benutzern ermöglichen. Ebenso wurde 2015 ein weiterer Fehler im Netzwerk entdeckt; eine davon bezog sich auf die Zuordnung der Knoten HSDir die verwendet werden, um Benutzer mit Webseiten zu verbinden.
Entwickler und Forscher Filippo Valsorda y George Tankersley entdeckte die Schwachstelle und erklärte, dass die Knotenverbindungen vorhersehbar seien, weshalb sich jeder sachkundige Angreifer als einer der HSDir-Knoten ausgeben könnte, mit denen sich eine Website verbinden würde, um sowohl auf die Serverdaten als auch auf die der verbundenen Benutzer zuzugreifen.
Damals gaben die Entwickler des Tor-Projekts bekannt, dass sie an einer neuen Generation von HSDir-Knoten arbeiten, um die Schwachstelle zu schließen, und stellten gleichzeitig fest, dass ein Benutzer, der diesen Angriff ausführt, im Netzwerk erkannt wird.
Im selben Jahr haben Forscher aus Kaspersky Lab Sie wiesen auch darauf hin, dass Tor bestimmte Schwachstellen und Fehler aufwies, die keine vollständige Anonymität in diesem Netzwerk ermöglichten. Darüber hinaus wurde eine Untersuchung der Massachusetts Institute of Technology (MIT) und Katar Computer Research Institute (QCRI) Sie enthüllten auch a Verwundbarkeit auf Tor, wodurch die Identitäten und Standorte von Benutzern offengelegt werden, die dieses Netzwerk nutzen, um ihre Aktivitäten zu verbergen.
Kürzlich wurde im Mai dieses Jahres eine weitere Schwachstelle entdeckt, die eine der wichtigsten Datenschutz- und Sicherheitsfunktionen des Netzwerks beeinträchtigt, indem sie die Ausführung von JavaScript-Code auf Websites ermöglicht, deren Ausführung Benutzer zuvor blockiert hatten. Krawetz hat diese Schwachstelle ebenfalls entdeckt und versucht, die Entwickler auf den gefundenen Fehler aufmerksam zu machen.
„Vor mehr als drei Jahren habe ich versucht, eine Schwachstelle im benutzerdefinierten Browser zu melden, der vom Tor-Projekt verwendet wird. Der Fehler ist ganz einfach: Mit JavaScript können Sie die Breite der Bildlaufleiste ermitteln. Jedes Betriebssystem hat eine andere Größe der Bildlaufleiste, sodass ein Angreifer das zugrunde liegende Betriebssystem identifizieren kann. „Dies ist ein charakteristisches Attribut, das dazu verwendet werden kann, Tor-Benutzer eindeutig zu verfolgen.“
Krawetz behauptet, mit ihm einen Blog geschrieben zu haben Details über den Fehler und dass die Entwickler den Fehler als „hohe Priorität“ eingestuft haben, indem sie ihm die Nummer zugewiesen haben 22137, und sie begannen sofort mit der Lösung des Problems. Ungefähr drei Monate später markierten die Entwickler den Fehler als behoben und Krawetz erhielt eine Belohnung für die Entdeckung des Fehlers. Dennoch weist der Forscher darauf hin, dass er es einige Zeit später überprüft habe und die Schwachstelle immer noch vorhanden sei, da sie nie behoben wurde.
„Obwohl das Problem als ‚gelöst‘ gekennzeichnet war, wurde es nie behoben.“
Tors Reaktion auf die Entdeckung von Sicherheitslücken
Tor gibt an, dass die vom Forscher kürzlich entdeckten Schwachstellen und Fehler dem Entwicklungsteam des Projekts keineswegs unbekannt seien und dass sie hart daran gearbeitet hätten, alle im Netzwerk entdeckten Fehler zu beheben.
Obwohl der Forscher andererseits darauf hinweist, dass er echte Beweise für die Fehler vorgelegt hat, ist Tor der Ansicht, dass diese seine Aussagen nicht wirklich stützen, was Krawetz als Inkompetenz des Teams ansieht und erklärt, dass er es nicht versuchen würde Benachrichtigen Sie Tor erneut über jeden Sicherheitsfehler, den er entdeckt. Krawetz versichert, dass seine Veröffentlichung „extrem technisch“Es enthält also alle Details, die andere Netzwerkentwickler benötigen, um ihre Erkenntnisse zu reproduzieren.
