Skip to content
Zufälliger Eintrag: Buchvorstellung "Wem gehört die Welt"
< Post aus den USA | Post aus Österreich >

Passworte sniffen mit Tor

Geschrieben von Jens Kubieziel am

Während meines Vortrages über Tor meinte jemand, dass er auf Symlink gelesen habe, dass jemand diverse Passworte über Tor gesnifft und veröffentlicht habe. Natürlich wurde ich auch gebeten, dazu Stellung zu nehmen. Zu dem Zeitpunkt hatte ich die Nachricht jedoch nicht gelesen und konnte daher auch keinen Kommentar abgeben. Das will ich auf diesem Wege nachholen.

Offensichtlich meinte der Fragesteller den Artikel Drastisch dargelegt: Tor schützt nicht vor Sniffing. Der Nachricht zufolge hat es Stephan Schmieder geschafft, diverse Passworte zu erschnüffeln und diese auf seiner Webseite veröffentlicht. Wie kann das sein, wenn doch angeblich die Pakete verschlüsselt werden? Das lässt sich ganz einfach erklären. Zwischen den einzelnen Torknoten werden die Pakete natürlich verschlüsselt und können nicht von anderen Personen oder Programmen gelesen werden. Aber wenn das Paket am Ende der Kette ankommt (beim sog. Exitknoten), hat der letzte Server Zugriff auf die Inhalte der Pakete. Denn diese werden dann an den eigentlichen Empfänger weitergegeben. Wenn nun ein Klartextprotokoll genutzt wurde, kann der Exitknoten auch alle Klartextinformationen auslesen.

Somit ist dies keine Schwäche des Torprotokolls bzw. der Software, sondern der Fehler ist hier eher bei den Anwendern zu suchen. Wie ich auch im Vortrag betont habe, lässt Tor die Inhalte der Pakete unangetastet und es können weiterhin Cookies gesetzt werden, Javascript ausgeführt werden, etc. Hier ist es Aufgabe des Nutzers sich weiterführende Gedanken zu dem Thema zu machen und sich gegen evtl. weiterführende Gefahren zu sichern.

Trackbacks

Qbi's Weblog am : Chemnitzer Linux-Tage

Vorschau anzeigen
Letztes Wochenende fanden in Chemnitz wieder die Chemnitzer Linux-Tage statt. Ich habe die Veranstaltung bereits in den letzten Jahren gern besucht und da ich diverse Veranstaltungen leitete, machte ich mich auch am Sonnabend wieder auf. Nach der Ankun

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Julius Plenz am :

Ein bisschen Feedback zu deinem Vortrag: Eine sehr schoene Einfuehrung warum man TOR nutzen sollte und wie es funktioniert.

Was meiner Meinung nach gefehlt hat, waren praktische Beispiele: Tor installieren, die Privoxy-Config editieren, HTTP-Proxy einstellen und lossurfen, TOR neu starten und die IP vergleichen. Auch mal groessere Seiten ueber die TOR-Verbindung anschauen.

Dann haette man noch exemplarisch zeigen koennen, wie leicht man einen TOR-Server einrichten kann und wie viel es hilft, bei etwas mehr Zeit vielleicht sogar noch Hidden Services anreissen.

Aber sonst - sehr schoen! :-)

Jens Kubieziel am :

Danke für dein Feedback.

Wie du im Vortrag sicher gemerkt hast, war es mir auch wichtig, die Leute für das Problem zu sensibilisieren. Daher habe ich anfangs recht viel allgemeines erzählt. Das führte dann allerdings eben dazu, dass ich die praktischen Sachen weggelassen habe. Aus meiner Sicht ist die Installation und Einrichtung auch recht trivial. Die Doku hierzu ist auch in meinen Unterlagen verlinkt. Insofern war es mir nicht unbedingt wichtig, vorzuführen, wie der proxy im Browser eingestellt wird und wie die config im Privoxy editiert wird.

Wenn es klappt und mein Vorschlag angenommen wird, werde ich bei den Datenspuren in Dresden einen Workshop zu Tor machen. Dort plane ich eine ausführliche Präsentation zur Einrichtung von Client, Server und hidden services. Bei Bedarf kann ich das dann im nächsten Jahr in Chemnitz wiederholen. ;-)

Woki am :

Was meiner Meinung nach gefehlt hat, wären nicht nur Beispiele, wie man Tor als Client benutzt (selber auch mal was für die Allgemeinheit tun Herr P.), sondern - ebenfalls anhand praktischer Beispiele - wie man einen Tor-Server richtig installiert und einrichtet. Insbesondere zum Thema Thema Exit Policies fehlen mir da noch die Grundlagen.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

Sie können [geshi lang=LANG][/lang] Tags verwenden um Quellcode abhängig von der gewählten Programmiersprache einzubinden
Formular-Optionen
cronjob