Gestohlene Passwörter: Hacker legt Fehler offen

[Lemmi]

Der Fall des schwedischen Hackers Dan Egerstad, der Ende August die E-Mail-Adressen und Passwörter von zahlreichen Mitarbeitern internationaler Regierungen, Botschaften und Organisationen im Internet veröffentlichte, scheint aufgeklärt.
Der Computer-Spezialist veröffentlichte nun selbst, mit welchem Trick er die Daten erlangen und vor zwei Wochen auf seiner Internet- Seite veröffentlichen konnte.

Egerstad fischte nach eigener Darstellung unverschlüsselte Anfragen aus dem Anonymisierungs-Netzwerk The Onion Router (Tor) ab und las die Passwörter aus. Nach Einschätzung von Experten zeigt der Schwede damit eine gravierende Sicherheitslücke auf. Unter den rund 100 Datensätzen befanden sich nach Angaben von Egerstad auch Daten aus der indischen und usbekischen Botschaft in Deutschland.

Tor ist ein ausgeklügeltes System, mit dem Internet-Surfer ihre Spuren verwischen können es dient jedoch nicht dazu, Kommunikation zu verschlüsseln und etwa E-Mails oder Suchanfragen chiffriert abzuschicken. Für einen sicheren Einsatz von Tor müssen allerdings die übertragenen Daten selbst auch verschlüsselt werden. Diesen bekannten Umstand hätten die betroffenen Botschaften und Behörden offenbar missachtet, erklärt Egerstad: Die Administratoren haben selbst die Geheimnisse ihres eigenen Landes weggegeben.

Die Tor-Nutzer schicken ihre Anfragen durch ein Netzwerk von mehreren Servern und verschleiern so ihre IP-Adresse, also jene technische Netz-Adresse, die über die Identität des Surfers Aufschluss geben kann. Die Rechner des Tor-Netzwerks geben die Anfragen untereinander zwar chiffriert weiter. Der letzte Server wird Exit Node genannt. Dieser spuckt die Anfrage, zum Beispiel an den Mail-Server, im Klartext heraus. Wer den letzten Knoten des Netzwerks aufstellt, kann somit unverschlüsselte Informationen aus dem Datenstrom herausfiltern.

Da das Tor-Netzwerk allen Internet-Nutzern offen steht, kann auch jeder einen Exit Node installieren und auf durchlaufende Daten zugreifen, so wie Dan Egerstad es getan hat. Daher berge die falsche Verwendung der Anonymisierungs-Software ein großes Gefahrenpotenzial. Kriminelle, Hacker und Regierungen betreiben Exit Nodes. Warum?, fragt der Schwede suggestiv.

Der Vorfall lässt nach Einschätzung von Beobachtern die betroffenen Behörden und Institutionen in einem schlechten Licht erscheinen. Denn zum einen weisen die Betreiber des Projektes deutlich darauf hin, dass Daten unverschlüsselt ausgeliefert werden und Nutzer daher selbst E-Mails verschlüsseln oder sichere Verbindungen nutzen sollten. Zum anderen heißt es, dass sich die Software nach wie vor in der Entwicklung befindet. Daher ist es keine gute Idee, auf Tor zu vertrauen, wenn du wirklich starke Anonymität benötigst, erklären die Betreiber auf der deutschen Seite.

Trotz der bekannt gewordenen Probleme hält Andreas Lehner vom Chaos Computer Club in Berlin eine Anonymisierung per Tor für sinnvoll. Allerdings rät er auch privaten Internet-Nutzern zu einem durchgängigen Einsatz von Verschlüsselungsverfahren und zu Software mit offenem Quellcode wie dem Mozilla-Browser.