Abo
  • Services:

Tor Hidden Services: Falsche Konfiguration von Apache-Servern verrät Nutzerdaten

Wer einen Tor-Hidden-Service mit Apache betreibt, sollte seine Konfiguration überprüfen - denn die Standardeinstellung gibt teilweise Nutzerdaten preis. Die Lösung ist einfach umzusetzen.

Artikel veröffentlicht am ,
Ein Konfigurationsfehler bei Apache-Servern kann vertrauliche Daten preisgeben, wenn diese im Tor-Netzwerk laufen.
Ein Konfigurationsfehler bei Apache-Servern kann vertrauliche Daten preisgeben, wenn diese im Tor-Netzwerk laufen. (Bild: Alec Muffet)

Wer auf seinem Server Tor Hidden Services anbieten will, sollte derzeit nicht auf Apache-Server setzen - wenn er die Standardkonfiguration verwendet. Denn wenn die Option mod_status aktiviert ist, können auf einer Statusseite des Servers auch die HTTP-Anfragen von Nutzern eingesehen werden. Der aktuelle Hinweis auf die Verwundbarkeit stammt von Alec Muffet, der für Facebooks Security-Team arbeitet. Facebook betreibt einen eigenen Hidden-Service. Auch ein unter dem Pseudonym @CthulhuSec auftretender Hacker hatte auf entsprechende Verwundbarkeiten hingewiesen.

Stellenmarkt
  1. diva-e Digital Value Excellence GmbH, Jena, Leipzig
  2. Bundeskriminalamt, Wiesbaden

Durch die falsche Konfiguration wird die /server-status-Seite des Servers aus dem Internet erreichbar. Damit könnten Anfragen an den Server, der ungefähre Standpunkt basierend auf der Zeitzone oder, in einigen Fällen, sogar die IP-Adresse des Servers öffentlich werden. Bei normalen Servern ist das kein Problem, da die Informationen nur über Localhost einsehbar sind. Doch Tor-Daemons laufen standardmäßig auf Localhost - und geben diese Informationen daher an alle Nutzer preis, wenn das Feature aktiviert ist.

Tor-Suchmaschine gibt Nutzeranfragen preis

Muffet veröffentlichte einen Screenshot, der Suchanfragen von Nutzern an eine populäre Onion-Suchmaschine zeigt - einige der Suchanfragen redigierte er vorab. Unter den Suchanfragen war zum Beispiel der Suchbegriff "Wir werde ich zwei Körper los". Nachdem er die Lücke an den Betreiber gemeldet hatte, wurde die falsche Konfiguration innerhalb weniger Stunden behoben, schreibt Muffet. Die IP-Adressen der Nutzer sind von dem Datenleck nicht betroffen - sie kommen ja über Tor.

  • Ein Konfigurationsfehler bei Apache-Servern kann vertrauliche Daten preisgeben, wenn diese im Tor-Netzwerk laufen. (Bild: Alec Muffet)
Ein Konfigurationsfehler bei Apache-Servern kann vertrauliche Daten preisgeben, wenn diese im Tor-Netzwerk laufen. (Bild: Alec Muffet)

Tatsächlich lässt sich das Problem relativ leicht lösen. Administratoren müssen nur das Kommando sudo a2dismod status ausführen, um die Statusseite zu deaktivieren. Die Lücke wurde nach Angaben von Muffett auch an Tor gemeldet - das Torprojekt entschied sich jedoch dagegen, selbst ein Security-Advisory zu veröffentlichen, weil der Fehler bei den individuellen Serverbetreibern liege - ähnliche Schwachstellen für Nginx-Server sind derzeit nicht bekannt.

Die Hidden-Services machen nur einen geringen Teil des gesamten Tor-Traffics aus - nach Angaben einer Tor-Sprecherin ist dies ein niedriger einstelliger Prozentsatz. Trotzdem bekommt das "Darknet" einen überproportionalen Anteil an Aufmerksamkeit, weil es dort überwiegend kriminelle Angebote gibt, wie eine neue empirische Studie belegt.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. (u. a. Deadpool, Alien Covenant, Assassins Creed)

triplekiller 24. Feb 2016

Aus heiterem Himmel läuft es, sowohl 5.5.2 als auch 6.0a2, sowohl auf Win10 Build 14271...

tingelchen 03. Feb 2016

Generell habe ich eine Ablehnung gegenüber solchen Konfig Tools. Denn sie wimmeln meist...

Llame 03. Feb 2016

Also bitte... :D Es geht doch, wie im Titel treffend formuliert, um die falsche...


Folgen Sie uns
       


Neue OLED-Leuchtmittel angesehen (Light and Building 2018)

Die OLED-Technik macht im Leuchtenbereich Fortschritte.

Neue OLED-Leuchtmittel angesehen (Light and Building 2018) Video aufrufen
Razer Nommo Chroma im Test: Blinkt viel, klingt weniger
Razer Nommo Chroma im Test
Blinkt viel, klingt weniger

Wenn die Razer Nommo Chroma eines sind, dann auffällig. Dafür sorgen die ungewöhnliche Form und die LED-Ringe, die sich beliebig konfigurieren lassen. Die Lautsprecher sind aber eher ein Hingucker als ein Hinhörer.
Ein Test von Oliver Nickel

  1. Razer Kiyo und Seiren X im Test Nicht professionell, aber schnell im Einsatz
  2. Stereolautsprecher Razer Nommo "Sind das Haartrockner?"
  3. Nextbit Cloud-Speicher für Robin-Smartphone wird abgeschaltet

HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. VR-Headset HTCs Vive Pro kostet 880 Euro
  2. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort
  3. Vive Focus HTC stellt autarkes VR-Headset vor

Xperia XZ2 Compact im Test: Sonys kompaktes Top-Smartphone bleibt konkurrenzlos
Xperia XZ2 Compact im Test
Sonys kompaktes Top-Smartphone bleibt konkurrenzlos

Sony konzentriert sich beim Xperia XZ2 Compact erneut auf die alte Stärke der Serie und steckt ein technisch hervorragendes Smartphone in ein kompaktes Gehäuse. Heraus kommt ein kleines Gerät, das kaum Wünsche offenlässt und in dieser Größenordnung im Grunde ohne Konkurrenz ist.
Ein Test von Tobias Költzsch

  1. Xperia XZ2 Premium Sony stellt Smartphone mit lichtempfindlicher Dualkamera vor
  2. Sony Grundrauschen an Gerüchten über die Playstation 5 nimmt zu
  3. Playstation Sony-Chef Kaz Hirai verabschiedet sich mit starken Zahlen

    •  /