Das Tor-Netzwerk ist von einer schwerwiegenden Sicherheitslücke betroffen. Zwei Forscher der Pittsburgher US-Universität planten, auf der Hacker-Konferenz BlackHat zu demonstrieren, wie die Identität von Tor-Nutzern enttarnt werden könne. Allerdings ließen Anwälte der Einrichtung die Präsentation aus rechtlichen Gründen unterbinden.
Du musst angemeldet sein, um Bilder zu sehen.
Die Präsentation der amerikanischen Wissenschaftler Michael McCord und Alexander Volynkin auf der Hackerkonferenz BlackHat wurde von vielen Beobachtern heiß erwartet. Wie in einer mittlerweile gelöschten Ankündigung zu lesen war, sollte im Rahmen des Vortrages eine schwere Sicherheitslücke im vermeintlich anonymen Tor-Netzwerk aufgedeckt werden. Kurz nach der Bekanntgabe des Termins auf der offiziellen Webseite, verboten Anwälte der Universität ihren Mitarbeitern die Präsentation jedoch. Konkrete Gründe für das Publikationsverbot der Forschungsergebnisse nannte die Bildungseinrichtung nicht.
Ursprünglich versprachen die Forscher, die Identität von anonymen Darknet-Angeboten und ihren Nutzern aufdecken zu können: "Auch ohne ein NSA-Budget" sei es möglich, die Sicherheitsmaßnahmen des Tools zu umgehen. Mit Hardware für circa 3.000 US-Dollar könne man Tausende Adressen des Netzwerkes "deanonymisieren", hieß es. Insbesondere da Tor in großen Teilen auch für illegale Aktivitäten wie Drogenhandel und dem Austausch von Kinderpornografie genutzt wird, torpedieren auch Geheimdienste die Verschlüsselungsmethode immer wieder.
Aufgrund des Einschreitens der Anwälte liegen der Öffentlichkeit keine näheren Details zu dem Bug vor. Der Betreiber des Tor-Projektes, Roger Dingledine gab derweil zu verstehen, von der Universität bereits näher über die Lücke informiert worden zu sein und schon ein entsprechendes Update vorbereitet zu haben. Weiter stellte er klar, dass er und sein Team keinesfalls Einfluss auf die Universität oder Blackhat-Organisation genommen zu hätten, um eine Veröffentlichung der Lücken zu verhindern.
Dingledine hofft, den Bugfix noch in dieser Woche veröffentlichen zu können, spielt die Dringlichkeit der Angelegenheit aber zeitgleich herunter: "Es ist ein netter Bug, aber nicht das Ende der Welt", schreibt der Chefentwickler im offiziellen Forum. Inwiefern die Lücke von Dritten bereits ausgenutzt wurde, ist unklar. Bis zum Release des Fix sollte man der Sicherheit des Tools jedoch zumindest kritisch gegenüberstehen.
Quelle: Gulli
