Diese Woche veröffentlichte der Cyber-Sicherheitsexperte Neal Krawetz, der mehrere Tor-Knoten verwaltet, die Details zu zwei 0-Day Schwachstellen, die das Tor-Netzwerk und den Tor-Browser betreffen.
Inhaltsverzeichnis
Was sagt Experte Neal Krawetz?
Der Forscher schreibt in seinem Blog:
“Ein ‘0-Day’ (ausgesprochen ‘Zero-Day’ oder ‘Oh-Day`’) ist ein Exploit, für den kein Patch oder keine weitverbreitete Lösung bekannt ist. Ein 0-Day muss nicht einzigartig oder neuartig sein – er braucht nur keine Lösung zu haben. Ich bin derzeit an Dutzenden von 0-Days für den Tor-Browser und das Tor-Netzwerk dran. Da das Tor-Projekt nicht auf Sicherheitslücken reagiert, werde ich sie einfach veröffentlichen. Obwohl ich jeden Fehler selbst gefunden habe, weiß ich, dass ich nicht der Erste bin, der viele davon gefunden hat..
Die Sicherheitsanfälligkeit bezüglich der Profilerstellung in der Bildlaufleiste ist ein solches Beispiel für einen 0-Day im Tor-Browser. Es gibt aber auch 0-DAys für das Tor-Netzwerk. Der 0-Day für das Tor-Netzwerk wurde von mir am 27. Dezember 2017 (vor ungefähr 2,5 Jahren) an das Tor-Projekt gemeldet. Das Tor-Projekt hat es als bekanntes, nicht behobenes und „informatives“ Problem geschlossen.”
TOR will keine Probleme lösen
Der Forscher sagt, dass die Tor-Entwickler schon mehrmals darauf verzichtet haben, die gefundenen Probleme zu beheben, und deshalb beschloss er, die Sicherheitslücken öffentlich zu machen. Darüber hinaus kündigt Kravets an, in kürzester Zeit drei weitere 0-Day Fehler publik zu machen. Einer davon könnte dazu verwendet werden, die tatsächlichen IP-Adressen von Tor-Servern aufzudecken.
Die erste 0-Day Sicherheitslücke
Die erste 0-Day Sicherheitslücke beschrieb der Spezialist am 23. Juli 2020 in seinem Blog. In diesem Artikel erzählte er, wie Unternehmen und Internetanbieter eine Verbindung der Benutzer zum Tor-Netzwerk blockieren können. Man muss nur die Netzwerkverbindungen nach einer charakteristischen Paketsignatur absuchen, die nur für den Tor-Verkehr gilt.
Die zweite 0-Day Sicherheitslücke
Die zweite 0-Day Sicherheitslücke beschrieb Kravets am 30. Juli 2020 in seinem Blog. Der zweite Fehler ermöglicht den Netzbetreibern auch, den Tor-Verkehr zu erkennen. Aber während die erste Sicherheitslücke zum Erkennen direkter Verbindungen zum Tor-Netzwerk (zu den Torguard Schutzknoten) verwendet werden kann, kann der zweite Sicherheitsfehler nur zum Erkennen indirekter Verbindungen verwendet werden. Es geht dabei um jene Verbindungen, die die Benutzer zu den Tor-Brücken herstellen.
Diese Brücken fungieren als eine Art Proxy, der die Verbindung vom Benutzer zum Tor-Netzwerk selbst weiterleitet. Da sie ein äußerst sensibler Teil der Tor-Infrastruktur sind, wird die Liste der Brücken ständig aktualisiert, um es den Anbietern zu erschweren, sie zu blockieren. Aber Kravets schreibt, dass die Verbindungen zu Tor-Bridges mithilfe der TCP Technik zum Verfolgen bestimmter Pakete leicht erkannt werden können.
„Kein Tor im Unternehmen“-Richtlinie kann so erzwungen werden
Nehmen wir den Fall an, dass du ein Unternehmen mit der Richtlinie „Kein Tor im Unternehmensnetzwerk“ führst. Zwischen meinem vorherigen und diesem Blog-Eintrag, hast du jetzt alles, was du brauchst, um diese Richtlinie mit einem Stateful Packet Inspection-System in Echtzeit zu erzwingen. Du kannst auch alle deine Benutzer daran hindern, eine Verbindung zum Tor-Netzwerk herzustellen, unabhängig davon, ob die Benutzer direkt Verbindungen herstellen oder Bridges nutzen,” so der Experte.
Zahlreiche Versuche, TOR zu infomieren – ohne Erfolg
Neal Krawetz ist der Meinung, dass die Ingenieure des Tor-Projekts die Sicherheit ihrer Netzwerke, Tools und Benutzer nicht ernst genug nehmen. Er verweist auf seine früheren Erfahrungen und zahlreiche Versuche, die Tor-Entwickler über verschiedene Fehler zu informieren, die als Ergebnis nie behoben wurden. Darunter:
- eine Sicherheitslücke, die Webseiten das Erkennen und Entdecken von Tor-Browser-Usern anhand der Breite der Bildlaufleiste ermöglicht, über die die Entwickler seit Juni 2017 Bescheid wissen;
eine vor acht Jahren entdeckte Sicherheitslücke bei der Erkennung von Tor-Brücken über ihren OP-Port (Onion routing); - eine Sicherheitsanfälligkeit, die am 27 Dezember 2017 gefunden wurde, mit der die von Tor-Servern verwendete SSL-Bibliothek identifiziert werden kann.
- Anfang Juli 2020 sagte Kravets, dass er beschlossen hat, auf die Zusammenarbeit mit dem Tor-Projekt ganz und gar zu verzichten. Nun beabsichtigt er, öffentlich über die Problemen zu sprechen.
Kravets macht die Fehler nun publik
“Ich habe versucht, die Fehler zu melden und bin wiederholt gescheitert. Ich habe funktionierende Exploits verkauft, aber ich weiß auch, dass sie gegen mich und meine Systemen verwendet werden können, wenn die Kernprobleme nicht gefixt sind. (und auch die Leute, die Exploits von mir kaufen, hätten diese Schwachstellen lieber gefixt.) Damit bleibt nur die Veröffentlichung.
Ich werde davon absehen, Tor 0-Days zu melden, bis die Proteste vorbei sind (Wir brauchen Tor jetzt, sogar mit Fehlern). Nach den Protesten kommen 0-Days.
Erstellt am: 10. August 2020