• IT-Karriere:
  • Services:

Tor Hidden Services: Über 100 spionierende Tor-Nodes

Mit Hilfe sogenannter Honions haben US-Forscher mindestens 110 Tor-Nodes identifizieren können, die offenbar aktiv versuchten, Tor Hidden Services auszuspähen. Wer sind die Urheber?

Artikel veröffentlicht am ,
Forscher finden über 100 potenziell bösartige Tor-Nodes.
Forscher finden über 100 potenziell bösartige Tor-Nodes. (Bild: David Bates/Golem.de)

Um potenziell bösartige Hidden Services Directories (HSDirs) zu finden, haben Guevara Noubir und Amirali Sanatinia von der Northeastern University spezielle Methoden entwickelt. HSDirs sind Tor-Nodes, die ein Verzeichnis existierender Hidden Services vorhalten. Damit können Nutzer dorthin weitergeleitet werden. Im Prinzip kann jeder ein HSDir im Tor-Netz aufsetzen und versuchen, Informationen über Hidden Services und deren Nutzer zu sammeln.

1.500 Honigtöpfe an der Arbeit

Stellenmarkt
  1. Statistisches Bundesamt, Wiesbaden
  2. BREMER AG, Hamburg, Leipzig, Paderborn

Um herauszufinden, ob HSDirs aktiv spionieren, haben die beiden Forscher zwischen Februar und April 2016 rund 1.500 Honigtöpfe im Tor-Netz aufgestellt. Diese Honions (von engl. Honey Onions), erläutert das Team in einem Paper anlässlich der Darmstädter Security Week, ermöglichten es, Schadverhalten der untersuchten HSDirs zu analysieren.

"Zusammengerechnet haben wir mindestens 110 schädliche HSDirs entdeckt und rund 40.000 Seitenaufrufe", schreiben die Autoren. Ein Viertel der betroffenen Nodes seien Exit-Nodes gewesen. "Die meisten der Aufrufe fragten lediglich den Root-Path des Servers ab und waren automatisiert. Wir fanden jedoch auch bis zu 20 mögliche manuelle Aufrufe." Diese seien Dank der Datei favicon.ico entdeckt worden, welche üblicherweise von Browsern wie dem Tor-Browser angefragt wird.

Urheber bleiben im Dunkeln

Die so entdeckten Angriffsvektoren der bösartigen HSDirs waren offenbar vielfältig. Die Autoren berichten unter anderem von SQL-Injection, Cross-Site Scripting (XSS) und PHP Easter Eggs.

Schwierigkeiten bereitete es offenbar herauszufinden, wer hinter den Angriffen steckt. "Mehr als 70 Prozent dieser HSDirs sind auf Cloud-Infrastruktur gehostet", schreiben die Forscher. Deren Besitzer zu finden sei besonders schwierig, wenn Cloud-Anbieter wie etwa Vultr anonyme Zahlungen per Bitcoin ermöglichten. Die als schädlich identifizierten Nodes verteilten sich geografisch hauptsächlich auf die USA, Deutschland, Frankreich, Großbritannien und die Niederlande.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Chieftec PPS-750FC 750 W Netzteil für 80,99€, Sharkoon VG4-W Tower in verschiedenen...
  2. (u. a. F1 2020 für 23,99€, Planet Zoo für 21,99€, Fortnite - Legendary Rogue Spider Knight...
  3. 499,99€ (Vorbestellungen in Märkten weiterhin möglich)
  4. 499,99€ (Vorbestellungen in Märkten weiterhin möglich)

ibsi 27. Jul 2016

Oh krass, die Seite ist tatsächlich down. Schade, wollte meine Lizenz verlängern :D

Xiut 26. Jul 2016

Nicht nur die. Dürften neben anderen Geheimdiensten/Behörden auch noch Kriminelle (also...


Folgen Sie uns
       


    •  /