Computer-Wissenschaftler der Karlstad-Universität in Schweden haben mindestens 20 Ausgangsknoten beim Tor-Anonymitäts-Netzwerk entdeckt, die scheinbar Man-in-the-Middle-Angriffe auf den Traffic von Tor ausführen. Insgesamt gibt es Schätzungen zufolge derzeit ungefähr tausend Ausgangsknoten im Tor-Netzwerk. Die zwei Forscher Philipp Winter und Stefan Lindskog nutzen speziell zugeschnittene Software, um Tor-Ausgangsknoten über einen Zeitraum von vier Monaten auf auffälliges Verhalten hin zu überprüfen. Tor ist eine kostenlose Software, die es ihren Nutzern erlaubt, anonym zu surfen.

Verbindungen zwischen den Tor-Relais sind verschlüsselt, aber wenn der Datenstrom das Tor-Netzwerk verlässt und an den jeweiligen Bestimmungsort gesendet wird, wandeln sie sich in ihren ursprünglichen Zustand zurück. Der Traffic kann von den Betreibern der Ausgangsknotenpunkte ausspioniert werden. Die Knoten, welche unter Verdacht stehen, werden allem Anschein nach von jemandem in Russland betrieben, der Traffic abfängt, welcher für bestimmte Seiten bestimmt ist – unter anderem Facebook. Nur einer der bösartigen Knoten konnte in den USA verortet werden.

Da das Tor-Netzwerk durch Freiwillige betrieben wird, von denen die Hälfte selbst anonym bleibt, können die Knotenpunkte problemlos eingerichtet, aber auch wieder abgeschaltet werden, sodass es weithin akzeptiert ist, dass unter Umständen unverschlüsselter Traffic in die Hände von Hackern fällt. Wikileaks kam zu einigen seiner Informationen auf diese Art und Weise. Manche der bösartigen Knotenpunkte wurden nur auf einzelne Seiten programmiert, vermutlich um die Gefahr einer Entdeckung zu minimieren.

Winter merkt an, dass eventuell weitere Knotenpunkte betroffen sein könnten. Nutzern wird als Sicherheitsmaßnahme empfohlen, HTTPS zu benutzen. Tor bleibt allerdings nach wie vor eine der besten Alternativen, um seine Anonymität online zu schützen.

Artikel von wired.com, 21.01.2014: Russian Spy Nodes Caught Snooping on Facebook Users
Artikel von cs.kau.se, Jannuar 2014: Spoiled Onions