Security

FBI soll anonyme Tor-Nutzer enttarnt haben

Am Wochenende ist eine Malware in das Tor-Netzwerk eingeschleust worden, die die Identität einiger Nutzer offengelegt hat. Anscheinend steckt die US-Bundespolizei FBI oder eine andere US-Strafverfolgungsbehörde dahinter, berichtet "Wired".

06.08.2013, 15:01 Uhr
Datenaustausch© violetkaipa / Fotolia.com

Wer im Internet unerkannt bleiben möchte, kann einen Dienst wie Tor nutzen, der die Verbindungsdaten anonymisiert. Am Wochenende ist nun eine Malware in das Tor-Netzwerk eingeschleust worden und die Identität einiger Nutzer wurde offengelegt. Anscheinend steckt die US-Bundespolizei FBI oder eine andere US-Strafverfolgungsbehörde dahinter, berichtet "Wired". Der Anlass könnte die Jagd nach Verbreitern und Nutzern von Kinderpornografie gewesen sein.

Sicherheitslücke im Firefox

Angegriffen wurde nicht das Tor-Netzwerk selbst, sondern der Browser Firefox 17 ESR, der Teil des Tor-Browser-Bundles ist. Mozilla hat zwar die ausgenutzte Sicherheitlücke mit der neuesten Version schon geschlossen, mangels Akualisierung dürfte diese aber noch auf vielen Rechnern zu finden sein. Im Tor-Browser-Bundle wurde die Lücke am 26. Juni geschlossen.

Der Schadcode fand sich auf mehreren Servern von Freedom Hosting – einem Webhoster, der sich auf Server spezialisiert hat, die nur durch das Tor-Netzwerk zu erreichen sind. Dort soll auch viel Kinderpornografie zu finden sein. Statt der bisherigen Angebote war aber nur eine Statusmeldung erreichbar, in der ein Inlineframe eingebettet war, der Javascript von einer IP-Adresse in Virginia nachludt. Diese gehört anscheinend zum Unternehmen SAIC, das für mehrere US-Behörden als technischer Dienstleister arbeitet – auch für das FBI.

Identität preisgegeben, keine Backdoor installiert

Laut "Wired" soll es sich dabei aber nicht um eine Backdoor handeln, wie sie sonst bei Malware zu finden ist. Es wird lediglich die MAC-Adresse, der Windows-Hostname, die echte IP-Adresse und eine weitere personalisierte Nummer an den Server in Virginia geschickt. Auf diese Weise lässt sich dann die Identität einzelner Nutzer im Tor-Netzwerk aufdecken.

Bei der Malware könnte es sich um den "Computer and Internet Protocol Address Verifier" (CIPAV) handeln, den das FBI seit 2002 im Einsatz hat. Dieser wird genutzt, um die Identität von Hackern, Sexualstraftätern und Erpressern herauszufinden, die versuchen, diese über die Nutzung von Proxy-Servern und Anonymisierungsdiensten zu verschleiern. In Aktion wurde der CIPAV allerdings noch nicht beobachtet, lediglich in Gerichtsverfahren und in Behördenakten, die öffentlich gemacht werden mussten, war die Rede davon.

Die De-Anonymisierung einiger Tor-Nutzer, mutmaßt "Wired", könnte deshalb im Zusammenhang mit der kürzlichen Festnahme von Eric Eoin Marques stehen, den FBI-Mitarbeitern als "den größten Anbieter von Kinderpornografie auf dem Planeten" bezeichnet haben.

(Peter Giesecke)

Kommentieren Forum
Zum Seitenanfang