Ein sogenannter
"Bad Exit Node" im Tor-Netz versucht den Traffic zu beschnüffeln oder zusätzliche Inhalte in eine (nicht SSL-gesicherte) Website einzuschmuggeln. Bedingt durch das Prinzip des Onion Routings holt der letzte Node einer Kette die gewünschten Inhalte. Diese Inhalte liegen dem Node im Klartext vor, wenn sie nicht SSL- oder TLS-verschlüsselt wurden.
Durch einfaches Beschnüffeln wird die Anonymität des Nutzers nicht kompromittiert, es werden meist Inhalte mitgelesen, die im Web schon verfügbar sind. Nur wenn Login Credentials unverschlüsselt übertragen werden oder man-in-the-middle Angriffe erfolgreich sind, können die Bad Exit Nodes an persönliche Informationen gelangen.
Persönliche Daten (bspw. Login Daten für einen Mail- oder Bank-Account) sollten nur über SSL- oder TLS-gesicherte Verbindungen übertragen werden. Bei SSL-Fehlern sollte die Verbindung abgebrochen werden. Das gilt für anonymes Surfen via Tor genauso, wie im normalen Web.
Liste bekannter Tor Bad Exit Nodes (unvollständig)
-
Die folgenden Nodes wurde dabei erwischt, den Exit Traffic zu modifizieren, z.B Javascript in abgerufene Websites einzuschmuggeln. Dabei handelte es sich zumeist um Werbung oder Redirects auf andere Seiten.
| Name |
Fingerprint(s) |
| CorryL |
3163a22dc3849042f2416a785eaeebfeea10cc48 |
| tortila |
acc9d3a6f5ffcda67ff96efc579a001339422687 |
| whistlersmother |
e413c4ed688de25a4b69edf9be743f88a2d083be |
| BlueMoon |
d51cf2e4e65fd58f2381c53ce3df67795df86fca |
| TRHCourtney01 |
f7d6e31d8Af52fa0e7bb330bb5bba15f30bc8d48
|
| Unnamed |
05842ce44d5d12cc9d9598f5583b12537dd7158a
f36a9830dcf35944b8abb235da29a9bbded541bc
9ee320d0844b6563bef4ae7f715fe633f5ffdba5
c59538ea8a4c053b82746a3920aa4f1916865756
0326d8412f874256536730e15f9bbda54c93738d
86b73eef87f3bf6e02193c6f502d68db7cd58128
|
Die genannten Nodes sind nicht mehr online, die Liste ist nur ein Beispiel.
- Die folgenden Nodes wurden bei dem Versuch erwischt, SSL-Zertifikate zu fälschen, um den verschlüsselten Traffic mitlesen zu können:
- "LateNightZ" war ein deutscher Tor Node, der 2007 beim man-in-the-middle Anriff auf die SSL-Verschlüsselung erwischt wurde.
- "ling" war ein chinesischer Tor Node, der im Frühjahr 2008 versuchte, mit gefälschten SSL-Zertifikaten die Daten von Nutzern zu ermitteln. Gleichzeitig wurde in China eine modifizierte Version von Tor in Umlauf gebracht, die bevorzugt diesen Node nutzte. Die zeitliche Korrelation mit den Unruhen in Tibet ist sicher kein Zufall.
- Im Sept. 2012 wurden zwei russische Tor Nodes mit den IP-Adressen 46.30.42.153 und 46.30.42.154 beim SSL man-in-the-middle Angriff erwischt.
- Im April 2013 wurde der russische Tor Node mit der IP-Adresse 176.99.10.92 beim SSL man-in-the-middle Angriff auf Wikipedia und auf IMAPS erwischt.
- Im Februar/März 2012 haben mehrere Exit-Nodes in einer konzertierten Aktion die HTTPS-Links in Webseiten durch HTTP-Links ersetzt. Wie man damit erfolgreich die SSL-Verschlüsselung ausgehebeln kann, wurde auf der Black Hack 2009 demonstriert. Die Software für diesen Angriff heisst "ssl-stripe" und ist als Open Source verfügbar.
| Name |
Fingerprint und IP-Adresse |
| Bradiex |
bcc93397b50c1ac75c94452954a5bcda01f47215
IP: 89.208.192.83 |
| TorRelay3A2FL |
ee25656d71db9a82c8efd8c4a99ddbec89f24a67
IP: 92.48.93.237 |
| lolling |
1f9803d6ade967718912622ac876feef1088cfaa
IP: 178.76.250.194 |
| Unnamed |
486efad8aef3360c07877dbe7ba96bf22d304256
IP: 219.90.126.61 |
| ididedittheconfig |
0450b15ffac9e310ab2a222adecfef35f4a65c23
IP: 94.185.81.130 |
| UnFilTerD |
ffd2075cc29852c322e1984555cddfbc6fb1ee80
IP: 82.95.57.4 |
- Tor Exit Nodes aus dem Iran sind generell als Bad Exits markiert. Diese Nodes unterliegen der iranischen Zensur. Außerdem wird beim Aufruf von Webseiten über diese Nodes von der staatlichen Firewall ein unsichtbarer IFrame aus dem Hidden Internet of Iran eingefügt.
<iframe src="http://10.10.34.34" style="width: 100%;
height: 100%"
scrolling="no" marginwidth="0"
marginheight="0" frameborder="0" vspace="0" hspace="0">
</iframe>
- Es gibt seit Jahren eine andauernde Diskussion um die Tor Exit Nodes aus dem IP-Netz 149.9.0.0/16. Einige Leser haben mich öfters auf diese Nodes hingewiesen und vermuten, dass die NSA dahinter steckt:
| Name |
IP-Adresse |
| busbyberkeley |
149.9.0.60 |
| myrnaloy |
149.9.0.59 |
| nixnix |
149.9.0.58 |
| jalopy |
149.9.0.57 |
Diese Tor-Server werden von Team CYMRU betrieben. TorProject.org sieht keine Veranlassung, diesem kommerziellen Privacy-Team zu misstrauen und die Nodes zu sperren. Das sind keine Bad Exits.