Anonym im Netz Hacker warnt vor mitlesenden Proxy-Diensten

Nicht nur Kleinkriminelle oder Freiheitskämpfer, sondern auch normale Nutzer wollen anonym durchs Netz surfen. Beispielsweise, um ihre Privatsphäre zu schützen. Ein Experte warnt vor zwielichtigen Angeboten - indem er selbst eins startete.

Chema Alonso / Informatica 64

Von Uli Ries, Las Vegas


Der spanische Hacker Chema Alonso hatte sichtlich Spaß, als er den zumeist amerikanischen Teilnehmern der Hackerkonferenz Defcon nicht nur die Schönheit seiner Heimat anpries - sondern auch sein jüngstes Bubenstück vorführte: Alonso hatte einen Server ins Netz gestellt, der vermeintlich die sonst unvermeidlichen digitalen Spuren seiner Nutzer verwischt.

Dieser sogenannte Anonymizer-Proxy reicht die Daten durch, der Nutzer bleibt unsichtbar. So wird die wahre Herkunft des Datenverkehrs verschleiert. Zahlreiche Listen im Netz führen solche Proxy-Server auf. Es genügt, die IP-Adresse des gewünschten Proxys im Browser zu hinterlegen, und schon rauscht der Datenverkehr vom eigenen Rechner zum Server und von dort zum eigentlichen Ziel im Netz.

Die von Alonso bereitgestellte Maschine hatte jedoch nicht das Wohl des Nutzers im Auge. Vielmehr zeichnete der Hacker unverschlüsselt übertragene Login-Daten für E-Mail-Konten oder Online-Dienste auf. Obendrein modifizierte der Server den Datenverkehr der um Privatheit bemühten Surfer: Automatisch fügte der bösartige Mittelsmann einzelnen Bestandteilen der vom Surfer aufgesuchten, legitimen Web-Seiten zwei Zeilen Programmcode hinzu. Das genügte, um später beliebige JavaScript-Dateien laden zu lassen - und den PC des arglosen Nutzers so zur Datenschleuder und fernsteuerbaren Waffe zu machen.

Jagd auf leicht verführbare Männer

Zu was der bösartige Mittler fähig ist, dokumentierte Chema Alonso unter großem Gelächter anhand einiger abgefischter Daten, die sämtlich von Kleinkriminellen stammten. Offenbar lockte der vermeintliche Spurenverwischer hauptsächlich zwielichtiges Cyber-Gesindel an. Da war der Spammer, der sich als Verkäufer von Arbeitserlaubnissen für Großbritannien ausgab. Oder der Abzocker, der sich mit gefälschten Frauenprofilen auf Online-Datingplattformen auf die Jagd nach leicht verführbaren Männern machte. Letztendlich ging es laut den von Alonso mitgeschnittenen Kommunikationen immer darum, dass die Männer ihrer virtuell Angebeteten Geld für ein Flugtickt überweisen.

Rechtlich ist dieser Lauschangriff natürlich vollkommen daneben. Daran ändert auch der Hinweis nichts, der auf der Website des Proxy-Servers prangte und alle Nutzer wissen ließ, dass ihre Kommunikation belauscht und mitgeschnitten wird. Wer die Proxy-IP-Adresse aus einer der einschlägigen Sammlungen kopierte, bekam diesen Hinweis nämlich nie zu sehen. Und selbst wenn, würde es das Vorgehen nicht rechtfertigen. Alonso scheint nach dem "Wo kein Kläger, da kein Richter"-Prinzip zu handeln und geht davon aus, dass die Online-Gauner ihn kaum wegen Datenschnüffelei belangen werden.

Aller Fragwürdigkeit der Methoden zum Trotz, machte der Vortrag eines überaus deutlich: Wie groß die Gefahr ist, bei der Suche nach Schutz im Netz in eine Falle zu tappen. "Natürlich kann jeder Kriminelle oder jede Behörde einen eigenen Proxy-Server ins Netz stellen und so an delikate Daten kommen. Wir wollten demonstrieren, wie leicht dies ist", sagte Alonso.

Tor-Netzwerk statt nur ein Anbieter

Der Hacker gab den Zuhörern daher den Tipp, sich besser auf das bewährte Tor (The Onion Routing)-Netzwerk zu verlassen. Tor existiert schon seit gut zehn Jahren und hat die technischen Kinderkrankheiten weitgehend hinter sich gebracht. Der Datenverkehr wird verschlüsselt über Netzknoten geschickt, die Freiwillige ins Netz stellen - mithören praktisch ausgeschlossen.

Wobei auch das von IT-Sicherheitsexperten weltweit geschätzte Netzwerk eine Sollbruchstelle hat: Die letzte Zwiebelschicht, also der Rechner im Tor-Netz, der den Datenverkehr ins offene Internet weiterleitet, kann theoretisch sämtliche durch ihn fließende Kommunikation belauschen. Von daher empfiehlt es sich, zumindest auf SSL-Verbindungen beim Surfen zu achten, zu erkennen am "https" oben links in der Browserzeile. Beim E-Mail-Programm heißen die sicheren Verbindungen IMAPS oder POP3S. Eine Anleitung, wie Tor zu installieren ist, steht auf der Website des Projekts.

Nur reicht in einigen Fällen nicht einmal SSL: In jüngster Zeit in der Szene viel diskutiert ist die Website Cryptocat. Der sichere Online-Chat wird als ideales Werkzeug für in Unterdrückerstaaten lebende Aktivisten beschrieben. Wobei Experten davon abraten, die Web-Version zu verwenden, da deren einzige Sicherheit gegen Lauscher das - bei entsprechender Hochrüstung auf Seiten des Angreifers - prinzipiell angreifbare SSL-Protokoll ist. Besser sei das derzeit schon verfügbare Plug-in für Googles Browser Chrome. Wie Cryptocat-Macher Nadim Kobeissi in einem Blogbeitrag schreibt, soll die bald verfügbare Version 2 seines Dienstes ausschließlich per Firefox- und Chrome-Plug-in funktionieren. Dies ist zwar weniger nutzerfreundlich. Aber wohin einen allzu viel Bequemlichkeit bringen kann, hat Chema Alonso ja eindrucksvoll demonstriert.



Forum - Diskutieren Sie über diesen Artikel
insgesamt 3 Beiträge
Alle Kommentare öffnen
Seite 1
Spiegelwahr 02.08.2012
1. Habe ich geahnt
Das man Proxys nicht trauen kann, habe ich schon immer geahnt und jetzt gibt es den Beweis. Produziert eine Menge Müll und versteckt darin euere Schätze. Proxys sind wie Honigtöpfe, sie ziehen die Fliegen an. Was geheim bleiben soll gehört nicht ins Internet oder auf dem Computer.
exterminate 02.08.2012
2.
Zitat von SpiegelwahrDas man Proxys nicht trauen kann, habe ich schon immer geahnt und jetzt gibt es den Beweis. Produziert eine Menge Müll und versteckt darin euere Schätze. Proxys sind wie Honigtöpfe, sie ziehen die Fliegen an. Was geheim bleiben soll gehört nicht ins Internet oder auf dem Computer.
Dann müsste man jegliche Kommunikation übers Netz einstellen, denn generell möchte ich alles, wenn nicht als "geheim", dann doch zumindest als "vertraulich" verstanden wissen. Das ist aber schwierig bei Politikern und Behörden, die am liebsten eine Totalüberwachung der Bürger aka. Vorratsdatenspeicherung installieren würden, weil man ja eventuell damit hin und wieder einen Eierdieb fangen könnte.
philosoph123 02.08.2012
3.
Die Sicherung gegen ein Risiko beinhaltet immer ein neues Risiko. Wer mein mit obskuren Servern in Panama sich gegen Strafverfolgung zu schützen der sollte sich mal folgendes überlegen: Wie groß ist der Etat des FBI's pro Jahr z. B. oder CIA oder NSA. Und die sollen nicht mal 500.000$ um in z. B. ein Unternehmen zu gründen, eine Website zu erstellen und die benötigten Server aufzustellen? Wie blöd sind eigentlich Leute die meinen sie könnten sich auf einen Anonymizer für ihre Straftaten verlasssen?
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.