Internet - Russischer Tor-Server infiziert Downloads mit Schadsoftware

Ein Tor-Server in Russland hat Downloads mit Schadsoftware infiziert.

Das Tor-Netzwerk bietet verschlüsselten Zugang zum Internet und besteht aus Tausenden von einzelnen Servern. Einer dieser Server, der als Ausgang des Netzwerkes diente und in Russland steht, wurde nun beim Manipulieren von heruntergeladenen Dateien erwischt. Der Sicherheitsexperte Josh Pitts hatte untersucht, ob und wie oft die Downloads ausführbarer Programme durch Server manipuliert und beispielsweise durch Schadsoftware infiziert werden. Normalerweise sind Downloads größerer Software-Anbieter digital signiert und bieten so einen gewissen Schutz, doch die meisten Downloads sind weder signiert noch über TLS/SSL verschlüsselt, so dass auf dem Weg bis zum Internetnutzer heimliche Veränderungen durch »Man-in-the-middle«-Angriffe möglich sind.

Pitts untersuchte über 1.100 Tor-Server, die als letzter Punkt zwischen dem Tor-Netzwerk und den Nutzern dienen. Dabei stieß er auf einen dieser »Exit-Nodes«, der tatsächlich Downloads manipulierte, sofern es sich dabei um nicht komprimierte, ausführbare Dateien handelte - darunter auch Installationsdateien für Tools und Downloads von Microsoft. »Das bedeutet aber nicht, dass die anderen Knotenpunkte des Tor-Netzwerks Binärdateien nicht verändern. Ich habe sie vielleicht nicht erwischt oder sie warten darauf, nur Dateien aus einer bestimmten kleinen Menge zu patchen«.

Aus diesem Grund rät Pitts dazu, beim Download von Binärdateien vorsichtig zu sein und vor dem Ausführen Signaturen und Hashes der Dateien zu prüfen, insbesondere in Ländern, die der Freiheit des Internets feindselig gegenüber stehen. Der Leiter des Tor-Netzwerks, Roger Dingledine, hat inzwischen auf den Bericht reagiert und den betroffenen russischen Server als »Bad Exit Node« markiert. Das bedeutet, dass Tor-Clienten bei Verbindungen in das Netzwerk diesen Server nun nicht mehr verwenden werden. Auch Dingledine rät dazu, Downloads nicht blind zu vertrauen.