Es gibt ein Update zum Offenlegen der Passwörter von 100 Botschaften und Regierungswebseiten neulich. Der Journalist hat das gemacht, was alle Regierungen dieser Welt tun können: er stellte dem Anonymisierungsnetzwerk ToR gleich fünf Exit Nodes zur Verfügung und berichtet jetzt. Jeder kann das tun, und weil man dann eine Maschine unter Kontrolle hat, auch den dort abgewickelten Verkehr im Klartext mitlesen, so er nicht verschlüsselt ist. Und Internetnutzer verwechseln aber Anonymität mit Abhörsicherheit, so scheint es:
Did you get it? These governments told their users to use ToR, a software that sends all your traffic through not one but three other servers that you know absolutely nothing about. Yes, two are getting encrypted traffic but that last exit node is not. There are hundreds of thousands ToR-users but finding these kinds of accounts was… hmm… chocking! The person who wrote the security policy on these accounts should reconsider changing profession, start cleaning toilets! These administrators are responsible for giving away their own countries secrets to foreigners. I can’t call it a mistake, this is pure stupidity and not forgivable!
Das ist eine Variante, dumme Admins, die ihren Usern schlechte Ratschläge erteilen. Wer das glaubt dessen Neugier mag schon gestillt sein. Viel plausibler aber ist, was ein Kommentator im DEranged Security Blog schreibt:
Let’s assume their administrators really are that clueless about security: That would explain the weak passwords and the plaintext login. But why would such a clueless or careless admin bother to instruct his users to use ToR? IMHO, such a clueless admin probably wouldn’t even know about the existence of ToR.
I believe the following explanation is more likely: These accounts had *already been hacked* previously by other attackers (using WLAN sniffing, dictionary attacks on weak passwords, etc.). These attackers then used ToR to cover their tracks whenever they accessed the hacked accounts, and that’s what you’ve been listening to.
In short: IMHO you probably did not eavesdrop on government employes accessing government accounts; instead you eavesdropped on *hackers* accessing those government accounts.
Das sollte viel mehr zu denken geben. ToR funktioniert sehr gut, aber das System ist nur so gut wie die User, die es bestimmungsgemäß verwenden: Verwischen von Spuren klappt hervorragend. Aber heikle und geldwerte Klartextdaten und persönliche Informationen über unbekannte Routen zu schicken, das gehört einfach bestraft.
So wie heise.de berichtet stieg die Zahl der chinesischen Exit Nodes im letzten Jahr enorm an. Auch bei Slashdot wird diskutiert. Von hier aus liest sich das alles wie ein schlechter Roman.
Roger Dingledine, einen der Entwickler, hatte netzpolitik.org neulich im Interview.
Dei Sache ist das das nur Leute verstehen, die wissen was das alles soll … An wen ist dieses Blog gerichtet?
Wenn jemand in der Lage ist ein Passwort zu „hacken“, wobei die meistens der Passwörter der Liste nicht schwach sind, dann wird er auch von POP3 über SSL bescheid wissen. Und sobald es auf die Postfächer zugreift wird er wohl auch SSL benutzen.
Und wenn die Server keine POP3 über SSL können, dann muß auch nichts „gehackt“ werden.
@Jean-Michel Fischer
Der letzte Link zum Interview mit Roger Dingledine hilft zu verstehen, worum es hierbei geht..
Das mag tendenziell offtopic sein:
„das System ist nur so gut wie die User“
So war es, so ist es, so wird es immer sein. Deshalb sollte es einen Computer-/Internetführerschein geben, analog dem, den es für den Kraftverkehr gibt.
Wenn ich mit einem defekten Auto Schaden anrichte, bin ich dafür verantwortlich. Wenn mein Rechner Schaden anrichtet, weil ich ihn ungenügend gepflegt habe, bin ich dafür verantwortlich.