Anzeige
Ein Konfigurationsfehler bei Apache-Servern kann vertrauliche Daten preisgeben, wenn diese im Tor-Netzwerk laufen.
Ein Konfigurationsfehler bei Apache-Servern kann vertrauliche Daten preisgeben, wenn diese im Tor-Netzwerk laufen. (Bild: Alec Muffet)

Tor Hidden Services: Falsche Konfiguration von Apache-Servern verrät Nutzerdaten

Ein Konfigurationsfehler bei Apache-Servern kann vertrauliche Daten preisgeben, wenn diese im Tor-Netzwerk laufen.
Ein Konfigurationsfehler bei Apache-Servern kann vertrauliche Daten preisgeben, wenn diese im Tor-Netzwerk laufen. (Bild: Alec Muffet)

Wer einen Tor-Hidden-Service mit Apache betreibt, sollte seine Konfiguration überprüfen - denn die Standardeinstellung gibt teilweise Nutzerdaten preis. Die Lösung ist einfach umzusetzen.

Wer auf seinem Server Tor Hidden Services anbieten will, sollte derzeit nicht auf Apache-Server setzen - wenn er die Standardkonfiguration verwendet. Denn wenn die Option mod_status aktiviert ist, können auf einer Statusseite des Servers auch die HTTP-Anfragen von Nutzern eingesehen werden. Der aktuelle Hinweis auf die Verwundbarkeit stammt von Alec Muffet, der für Facebooks Security-Team arbeitet. Facebook betreibt einen eigenen Hidden-Service. Auch ein unter dem Pseudonym @CthulhuSec auftretender Hacker hatte auf entsprechende Verwundbarkeiten hingewiesen.

Anzeige

Durch die falsche Konfiguration wird die /server-status-Seite des Servers aus dem Internet erreichbar. Damit könnten Anfragen an den Server, der ungefähre Standpunkt basierend auf der Zeitzone oder, in einigen Fällen, sogar die IP-Adresse des Servers öffentlich werden. Bei normalen Servern ist das kein Problem, da die Informationen nur über Localhost einsehbar sind. Doch Tor-Daemons laufen standardmäßig auf Localhost - und geben diese Informationen daher an alle Nutzer preis, wenn das Feature aktiviert ist.

Tor-Suchmaschine gibt Nutzeranfragen preis

Muffet veröffentlichte einen Screenshot, der Suchanfragen von Nutzern an eine populäre Onion-Suchmaschine zeigt - einige der Suchanfragen redigierte er vorab. Unter den Suchanfragen war zum Beispiel der Suchbegriff "Wir werde ich zwei Körper los". Nachdem er die Lücke an den Betreiber gemeldet hatte, wurde die falsche Konfiguration innerhalb weniger Stunden behoben, schreibt Muffet. Die IP-Adressen der Nutzer sind von dem Datenleck nicht betroffen - sie kommen ja über Tor.

  • Ein Konfigurationsfehler bei Apache-Servern kann vertrauliche Daten preisgeben, wenn diese im Tor-Netzwerk laufen. (Bild: Alec Muffet)
Ein Konfigurationsfehler bei Apache-Servern kann vertrauliche Daten preisgeben, wenn diese im Tor-Netzwerk laufen. (Bild: Alec Muffet)

Tatsächlich lässt sich das Problem relativ leicht lösen. Administratoren müssen nur das Kommando sudo a2dismod status ausführen, um die Statusseite zu deaktivieren. Die Lücke wurde nach Angaben von Muffett auch an Tor gemeldet - das Torprojekt entschied sich jedoch dagegen, selbst ein Security-Advisory zu veröffentlichen, weil der Fehler bei den individuellen Serverbetreibern liege - ähnliche Schwachstellen für Nginx-Server sind derzeit nicht bekannt.

Die Hidden-Services machen nur einen geringen Teil des gesamten Tor-Traffics aus - nach Angaben einer Tor-Sprecherin ist dies ein niedriger einstelliger Prozentsatz. Trotzdem bekommt das "Darknet" einen überproportionalen Anteil an Aufmerksamkeit, weil es dort überwiegend kriminelle Angebote gibt, wie eine neue empirische Studie belegt.


eye home zur Startseite
triplekiller 24. Feb 2016

Aus heiterem Himmel läuft es, sowohl 5.5.2 als auch 6.0a2, sowohl auf Win10 Build 14271...

tingelchen 03. Feb 2016

Generell habe ich eine Ablehnung gegenüber solchen Konfig Tools. Denn sie wimmeln meist...

Llame 03. Feb 2016

Also bitte... :D Es geht doch, wie im Titel treffend formuliert, um die falsche...

Kommentieren



Anzeige

  1. Software Engineer Mobile Apps (m/w)
    Daimler AG, Berlin
  2. Senior Security-Architekt (m/w) für Metering-Systeme
    Diehl Metering GmbH, Nürnberg
  3. iOS-Developer (m/w)
    XYRALITY GmbH, Hamburg
  4. (Senior) Consultant (m/w) Supply Chain Management (SAP APO)
    Camelot Management Consultants AG, Mannheim, Köln, München, Basel (Schweiz)

Detailsuche



Anzeige
Top-Angebote
  1. NEU: Bud`s Best - Die Welt des Bud Spencer [Blu-ray]
    8,97€
  2. NEU: Bud Spencer & Terence Hill - Monster-Box Reloaded [20 DVDs]
    64,90€
  3. NEU: 4 Blu-rays für 30 EUR
    (u. a. Der große Gatsby, Mad Max, Black Mass, San Andreas)

Weitere Angebote


Folgen Sie uns
       


  1. Arista Networks

    Cisco will Konkurrenten mit Patentklagen behindern

  2. Microsoft

    Xbox One macht nicht mehr fit

  3. Google Earth

    Googles Satellitenkarte wird schärfer

  4. Brexit-Entscheidung

    4Chan manipuliert Petition mit vatikanischen IPs und Bots

  5. Twitch

    Geldregen im Streamer-Chat

  6. Streaming

    Amazon Video erhält erstes Dolby-Vision-Material

  7. Windows 10

    Microsoft zahlt Entschädigung für nicht gewolltes Upgrade

  8. Nexar

    Smartphone erstellt automatisch Profile von Autofahrern

  9. Pikes Peak

    Eiswürfelgekühlter Tesla Model S bricht Rennrekord

  10. Betriebssystem

    Noch einen Monat Gratis-Upgrade auf Windows 10



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Rust: Ist die neue Programmiersprache besser?
Rust
Ist die neue Programmiersprache besser?
  1. Oracle-Anwältin nach Niederlage "Google hat die GPL getötet"
  2. Java-Rechtsstreit Oracle verliert gegen Google
  3. Oracle vs. Google Wie man Geschworene am besten verwirrt

Autotracker Tanktaler: Wen juckt der Datenschutz, wenn's Geld gibt?
Autotracker Tanktaler
Wen juckt der Datenschutz, wenn's Geld gibt?
  1. Ubeeqo Europcar-App vereint Mietwagen, Carsharing und Taxis
  2. Rearvision Ex-Apple-Ingenieure entwickeln Dualautokamera
  3. Tod von Anton Yelchin Verwirrender Automatikhebel führte bereits zu 41 Unfällen

Mighty No. 9 im Test: Mittelmaß für 4 Millionen US-Dollar
Mighty No. 9 im Test
Mittelmaß für 4 Millionen US-Dollar
  1. Moto GP 2016 im Test Motorradrennen mit Valentino Rossi
  2. Warp Shift im Test Zauberhaftes Kistenschieben
  3. Alienation im Test Mit zwei Analogsticks gegen viele Außerirdische

  1. Missverständlich

    ffrhh | 11:19

  2. Re: Mal schauen wann die Trojaner- Entwickler das...

    Oromit | 11:18

  3. Re: Wechseln lohnt sich!

    Reddead | 11:16

  4. Re: Ich sehe folgendes Problem

    Trollversteher | 11:16

  5. Re: Warum nicht eine Drohne :p

    486dx4-160 | 11:16


  1. 11:37

  2. 11:31

  3. 10:58

  4. 10:54

  5. 10:27

  6. 10:19

  7. 08:53

  8. 08:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel