Ein russischer Exit-Server hat im anonymen Tor-Netzwerk Binärdateien während der Übertragung manipuliert und mit Malware verseucht.
Das Tor-Netzwerk gilt als Standard für anonymen Informationsaustausch im Internet. Doch Anonymität garantiere keine Sicherheit, [1]warnt Josh Pitts [2] in einem Blogpost: Der Sicherheitsexperte hat im Tor-Netzwerk einen russischen Austritts-Server (exit node) entdeckt, der Windows-Binärdateien während der Übertragung manipuliert und mit Malware verseucht.
Der betroffene Server hätte unkomprimierte PE-Dateien verändert, schreibt Pitts. Das können also exe- und dll-Dateien sein. Inzwischen steht der Server auf der Blacklist des Tor-Projekts und ist mit einem BadExit-Flag versehen [3].
In einer Präsentation auf der diesjährigen Security-Konferenz DerbyCon [4] hatte Pitts bereits gezeigt [5], wie einfach Veränderung von Binärdateien mit Hilfe seines Frameworks Backdoor Factory [6] (BDF) und dem BDFProxy [7] funktionieren. Der Sicherheitsexperte vermutete, dass diese Art von Attacken bereits in Verwendung seien. Mit dem Scanner exitmap [8] machte sich Pitts im Tor-Netzwerk auf die Jagd nach Exit-Servern, die Binärdateien „on the fly“ verändern und verseuchen. Nach einer Stunde fand das Tool den „malicous exit node“. Doch nur dieser eine von 1110 Exit-Servern hat laut Pitts Dateien mit Malware verseuchte. Trotzdem könne es weitere Ausgangsserver geben, die Dateien manipulieren.
Unternehmen und Entwickler sollten zum Schutz ihre Programme via SSL/TLS verschlüsseln ? unabhängig davon, ob die Binärdateien zusätzlich signiert seien oder nicht. Tor-Nutzer sollten beim unverschlüsselten Download ausführbarer Dateien Vorsicht walten lassen sowie auf korrekte Hashes und Signaturen achten, bevor sie die heruntergeladenen Dateien ausführen, schreibt Pitts. (dbe [9])
Ressourcen zusätzliche Ressourcen