Ein Exit-Server aus Russland hat im Tor-Netzwerk Binärdateien während der Übertragung manipuliert und mit schädlicher Software infiziert. Das Tor-Netzwerk wird als führendes System für anonymen Informationsaustausch im Internet angesehen.
Tor-Netzwerk: Anonymität garantiert keine Sicherheit.
Der betroffene Server hätte unkomprimierte PE-Dateien verändert, schreibt Pitts. Das können also exe- und dll-Dateien sein. Inzwischen steht der Server auf der Blacklist des Tor-Projekts und ist mit einem BadExit-Flag versehen.
In einer Präsentation auf der diesjährigen Security-Konferenz DerbyCon hatte Pitts bereits gezeigt, ebenso wie einfach Veränderung von Binärdateien mit Hilfe seines Frameworks Backdoor Factory (BDF) und dem BDFProxy funktionieren. Der Sicherheitsexperte vermutete – dass diese Art von Attacken bereits in Verwendung seien. Mit dem Scanner exitmap machte sich Pitts im Tor-Netzwerk auf die Jagd nach Exit-Servern die Binärdateien "on the fly" verändern und verseuchen. Nach einer Stunde fand das Tool den "malicous exit node". Doch nur dieser eine von 1110 Exit-Servern hat laut Pitts Dateien mit Malware verseuchte. Trotzdem könne es weitere Ausgangsserver geben die Dateien manipulieren.
Unternehmen & Entwickler sollten zum Schutz ihre Programme via SSL/TLS verschlüsseln ? unabhängig davon – ob die Binärdateien zusätzlich signiert seien oder nicht. Tor-Nutzer sollten beim unverschlüsselten Download ausführbarer Dateien Vorsicht walten lassen und ebenfalls auf korrekte Hashes und Signaturen achten bevor sie die heruntergeladenen Dateien ausführen schreibt Pitts.
Kommentare