Das Tor-Netzwerk, über das man nur mit dem Tor-Browser anonym surfen und sich so Zensur und Überwachung entziehen kann, wirft Fragen auf, denn gravierende Sicherheitslücken werden offenbar vom Tor-Projekt nicht bearbeitet.

Sicherheitslücken werden offenbar nicht beseitigt

Sicherheitsforscher Neal Krawetz meldete jetzt zwei weitere Sicherheitslücken im Tor-Netzwerk, die auch den Tor-Browser betreffen und veröffentlichte jetzt die technischen Details, weil das Tor Project in den letzten Jahren mehrfach von ihm gemeldete Sicherheitsprobleme nicht beseitigt habe.

Außerdem kündigte Krawetz jetzt an, weitere Tor-Schwachstellen offenzulegen. Dazu soll auch ein Fehler gehören, der es gestattet, die reale IP-Adresse eines Tor-Servers zu ermitteln – ein Leckerbissen für NSA, CIA & Co.

Das Tor-Projekt will sich offenbar nicht zu den Vorwürfen des Sicherheitsforschers äußern.

Details zu den Schwachstellen

Der erste veröffentlichte Bug versetzt laut Krawetz, welcher selbst mehrere Tor-Nodes betreibt, Internet Service Provider in die Lage, Verbindungen zum Tor-Netzwerk einfach zu blockieren. Sie müssen dazu nur nach „bestimmten Paket-Signaturen“ suchen, die wohl typisch für Tor-Traffic sind.

Auch die zweite Zero-Day-Lücke gestattet es, Tor-Traffic zu erkennen. Bei dieser Schwachstelle geht es um sogenannte indirekte Verbindungen, welche die Nutzer verwenden, wenn Internet-Provider versuchen, den direkten Zugang zum Tor-Netzwerk einzuschränken.

Dieser indirekte Verkehr läuft über sogenannten Tor-Bridges, die wie ein Proxy arbeiten und Verbindungen des Benutzers an das Tor-Netzwerk weiterleiten. Auch dabei werden offenbar spezielle TCP-Pakete erzeugt, welche sich ohne nennenswerten Aufwand erkennen lassen.

Diese beiden Schwachstellen zusammen gestatten es den Providern, Tor mit einem in Echtzeit arbeitenden Stateful-Packet-Inspection-System im eigenen Netzwerk komplett zu blockieren. „Man kann alle unsere Nutzer daran hindern, sich mit dem Tor-Netzwerk zu verbinden, egal ob sie sich direkt verbinden oder eine Bridge benutzen.“

Veröffentlichung soll ausbleibende Gegenmaßnahmen erzwingen

Die jetzt erfolgte Veröffentlich der Details beider Anfälligkeiten begründete Krawetz mit seinen früheren negativen Erfahrungen mit dem Tor Projekt.

So meldete er demnach schon im Jahr 2017 zwei Schwachstellen, die bis heute nicht beseitigt worden sein. Ein anderer von ihm entdeckter Fehler, der Tor-Bridge-Server betreffe, sei inzwischen schon seit immerhin acht Jahren weiterhin ungepatcht.

Der Sicherheitsforscher zieht Konsequenzen

„Ich gebe es auf, Fehler an das Tor Project zu melden. Tor hat ernsthafte Probleme, die angegangen werden müssen, sie wissen über viele davon Bescheid und weigern sich, etwas zu tun“, äußerte Krawetz schon Anfang Juni auf Twitter.