Skip to content

Passworte sniffen mit Tor

Während meines Vortrages über Tor meinte jemand, dass er auf Symlink gelesen habe, dass jemand diverse Passworte über Tor gesnifft und veröffentlicht habe. Natürlich wurde ich auch gebeten, dazu Stellung zu nehmen. Zu dem Zeitpunkt hatte ich die Nachricht jedoch nicht gelesen und konnte daher auch keinen Kommentar abgeben. Das will ich auf diesem Wege nachholen.

Offensichtlich meinte der Fragesteller den Artikel Drastisch dargelegt: Tor schützt nicht vor Sniffing. Der Nachricht zufolge hat es Stephan Schmieder geschafft, diverse Passworte zu erschnüffeln und diese auf seiner Webseite veröffentlicht. Wie kann das sein, wenn doch angeblich die Pakete verschlüsselt werden? Das lässt sich ganz einfach erklären. Zwischen den einzelnen Torknoten werden die Pakete natürlich verschlüsselt und können nicht von anderen Personen oder Programmen gelesen werden. Aber wenn das Paket am Ende der Kette ankommt (beim sog. Exitknoten), hat der letzte Server Zugriff auf die Inhalte der Pakete. Denn diese werden dann an den eigentlichen Empfänger weitergegeben. Wenn nun ein Klartextprotokoll genutzt wurde, kann der Exitknoten auch alle Klartextinformationen auslesen.

Somit ist dies keine Schwäche des Torprotokolls bzw. der Software, sondern der Fehler ist hier eher bei den Anwendern zu suchen. Wie ich auch im Vortrag betont habe, lässt Tor die Inhalte der Pakete unangetastet und es können weiterhin Cookies gesetzt werden, Javascript ausgeführt werden, etc. Hier ist es Aufgabe des Nutzers sich weiterführende Gedanken zu dem Thema zu machen und sich gegen evtl. weiterführende Gefahren zu sichern.

Trackbacks

Qbi's Weblog on : Chemnitzer Linux-Tage

Show preview
Letztes Wochenende fanden in Chemnitz wieder die Chemnitzer Linux-Tage statt. Ich habe die Veranstaltung bereits in den letzten Jahren gern besucht und da ich diverse Veranstaltungen leitete, machte ich mich auch am Sonnabend wieder auf. Nach der Ankun

Comments

Display comments as Linear | Threaded

Julius Plenz on :

Ein bisschen Feedback zu deinem Vortrag: Eine sehr schoene Einfuehrung warum man TOR nutzen sollte und wie es funktioniert.

Was meiner Meinung nach gefehlt hat, waren praktische Beispiele: Tor installieren, die Privoxy-Config editieren, HTTP-Proxy einstellen und lossurfen, TOR neu starten und die IP vergleichen. Auch mal groessere Seiten ueber die TOR-Verbindung anschauen.

Dann haette man noch exemplarisch zeigen koennen, wie leicht man einen TOR-Server einrichten kann und wie viel es hilft, bei etwas mehr Zeit vielleicht sogar noch Hidden Services anreissen.

Aber sonst - sehr schoen! :-)

Jens Kubieziel on :

Danke für dein Feedback.

Wie du im Vortrag sicher gemerkt hast, war es mir auch wichtig, die Leute für das Problem zu sensibilisieren. Daher habe ich anfangs recht viel allgemeines erzählt. Das führte dann allerdings eben dazu, dass ich die praktischen Sachen weggelassen habe. Aus meiner Sicht ist die Installation und Einrichtung auch recht trivial. Die Doku hierzu ist auch in meinen Unterlagen verlinkt. Insofern war es mir nicht unbedingt wichtig, vorzuführen, wie der proxy im Browser eingestellt wird und wie die config im Privoxy editiert wird.

Wenn es klappt und mein Vorschlag angenommen wird, werde ich bei den Datenspuren in Dresden einen Workshop zu Tor machen. Dort plane ich eine ausführliche Präsentation zur Einrichtung von Client, Server und hidden services. Bei Bedarf kann ich das dann im nächsten Jahr in Chemnitz wiederholen. ;-)

Woki on :

Was meiner Meinung nach gefehlt hat, wären nicht nur Beispiele, wie man Tor als Client benutzt (selber auch mal was für die Allgemeinheit tun Herr P.), sondern - ebenfalls anhand praktischer Beispiele - wie man einen Tor-Server richtig installiert und einrichtet. Insbesondere zum Thema Thema Exit Policies fehlen mir da noch die Grundlagen.

Add Comment

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
BBCode format allowed
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

Form options
tweetbackcheck