Abo
  • Services:

Tor Hidden Services: Falsche Konfiguration von Apache-Servern verrät Nutzerdaten

Wer einen Tor-Hidden-Service mit Apache betreibt, sollte seine Konfiguration überprüfen - denn die Standardeinstellung gibt teilweise Nutzerdaten preis. Die Lösung ist einfach umzusetzen.

Artikel veröffentlicht am ,
Ein Konfigurationsfehler bei Apache-Servern kann vertrauliche Daten preisgeben, wenn diese im Tor-Netzwerk laufen.
Ein Konfigurationsfehler bei Apache-Servern kann vertrauliche Daten preisgeben, wenn diese im Tor-Netzwerk laufen. (Bild: Alec Muffet)

Wer auf seinem Server Tor Hidden Services anbieten will, sollte derzeit nicht auf Apache-Server setzen - wenn er die Standardkonfiguration verwendet. Denn wenn die Option mod_status aktiviert ist, können auf einer Statusseite des Servers auch die HTTP-Anfragen von Nutzern eingesehen werden. Der aktuelle Hinweis auf die Verwundbarkeit stammt von Alec Muffet, der für Facebooks Security-Team arbeitet. Facebook betreibt einen eigenen Hidden-Service. Auch ein unter dem Pseudonym @CthulhuSec auftretender Hacker hatte auf entsprechende Verwundbarkeiten hingewiesen.

Stellenmarkt
  1. Axians Infoma GmbH, Ulm
  2. CGM Mobile GmbH, Koblenz

Durch die falsche Konfiguration wird die /server-status-Seite des Servers aus dem Internet erreichbar. Damit könnten Anfragen an den Server, der ungefähre Standpunkt basierend auf der Zeitzone oder, in einigen Fällen, sogar die IP-Adresse des Servers öffentlich werden. Bei normalen Servern ist das kein Problem, da die Informationen nur über Localhost einsehbar sind. Doch Tor-Daemons laufen standardmäßig auf Localhost - und geben diese Informationen daher an alle Nutzer preis, wenn das Feature aktiviert ist.

Tor-Suchmaschine gibt Nutzeranfragen preis

Muffet veröffentlichte einen Screenshot, der Suchanfragen von Nutzern an eine populäre Onion-Suchmaschine zeigt - einige der Suchanfragen redigierte er vorab. Unter den Suchanfragen war zum Beispiel der Suchbegriff "Wir werde ich zwei Körper los". Nachdem er die Lücke an den Betreiber gemeldet hatte, wurde die falsche Konfiguration innerhalb weniger Stunden behoben, schreibt Muffet. Die IP-Adressen der Nutzer sind von dem Datenleck nicht betroffen - sie kommen ja über Tor.

  • Ein Konfigurationsfehler bei Apache-Servern kann vertrauliche Daten preisgeben, wenn diese im Tor-Netzwerk laufen. (Bild: Alec Muffet)
Ein Konfigurationsfehler bei Apache-Servern kann vertrauliche Daten preisgeben, wenn diese im Tor-Netzwerk laufen. (Bild: Alec Muffet)

Tatsächlich lässt sich das Problem relativ leicht lösen. Administratoren müssen nur das Kommando sudo a2dismod status ausführen, um die Statusseite zu deaktivieren. Die Lücke wurde nach Angaben von Muffett auch an Tor gemeldet - das Torprojekt entschied sich jedoch dagegen, selbst ein Security-Advisory zu veröffentlichen, weil der Fehler bei den individuellen Serverbetreibern liege - ähnliche Schwachstellen für Nginx-Server sind derzeit nicht bekannt.

Die Hidden-Services machen nur einen geringen Teil des gesamten Tor-Traffics aus - nach Angaben einer Tor-Sprecherin ist dies ein niedriger einstelliger Prozentsatz. Trotzdem bekommt das "Darknet" einen überproportionalen Anteil an Aufmerksamkeit, weil es dort überwiegend kriminelle Angebote gibt, wie eine neue empirische Studie belegt.



Anzeige
Hardware-Angebote
  1. auf ausgewählte Corsair-Netzteile
  2. ab 349€
  3. und 4 Spiele gratis erhalten

triplekiller 24. Feb 2016

Aus heiterem Himmel läuft es, sowohl 5.5.2 als auch 6.0a2, sowohl auf Win10 Build 14271...

tingelchen 03. Feb 2016

Generell habe ich eine Ablehnung gegenüber solchen Konfig Tools. Denn sie wimmeln meist...

Llame 03. Feb 2016

Also bitte... :D Es geht doch, wie im Titel treffend formuliert, um die falsche...


Folgen Sie uns
       


Shift 6m - Hands on (Cebit 2018)

Der Hersteller beschreibt das neue Shift 6M als nachhaltig und Highend - wir haben es uns auf der Cebit 2018 angesehen.

Shift 6m - Hands on (Cebit 2018) Video aufrufen
VR-Rundschau: Retten rockende Jedi-Ritter die virtuelle Realität?
VR-Rundschau
Retten rockende Jedi-Ritter die virtuelle Realität?

Der mediale Hype um VR ist zwar abgeflaut, spannende Inhalte dafür gibt es aber weiterhin - und das nicht nur im Games-Bereich. Mit dabei: das beliebteste Spiel bei Steam, Jedi-Ritter auf Speed und ägyptische Grabkammern.
Ein Test von Achim Fehrenbach

  1. Oculus Core 2.0 Windows 10 wird Minimalanforderung für Oculus Rift
  2. Virtual Reality BBC überträgt Fußball-WM in der virtuellen VIP-Loge
  3. VR-Brillen Google experimentiert mit Lichtfeldfotografie

Bargeldloses Zahlen: Warum Apple Pay sich hier noch nicht auszahlt
Bargeldloses Zahlen
Warum Apple Pay sich hier noch nicht auszahlt

Während Google Pay jüngst hierzulande gestartet ist, lässt Apple Pay auf sich warten. Kein Wunder: Der deutsche Markt ist schwierig - und die Banken sind in einer guten Verhandlungsposition.
Eine Analyse von Andreas Maisch

  1. Bargeldloses Zahlen Apple und Goldman Sachs planen Apple-Kreditkarte

Nasa-Teleskop: Überambitioniert, überteuert und in dieser Form überflüssig
Nasa-Teleskop
Überambitioniert, überteuert und in dieser Form überflüssig

Seit 1996 entwickelt die Nasa einen Nachfolger für das Hubble-Weltraumteleskop. Die Kosten dafür stiegen seit dem von 500 Millionen auf über 10 Milliarden US-Dollar. Bei Tests fiel das Prestigeprojekt zuletzt durch lockere Schrauben auf. Wie konnte es dazu kommen?
Von Frank Wunderlich-Pfeiffer

  1. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  2. Nasa 2020 soll ein Helikopter zum Mars fliegen
  3. Raumfahrt Nasa startet neue Beobachtungssonde Tess

    •  /