Heartbleed bereitet Anonymisierungsnetzwerk Tor Schwierigkeiten

14. November 2014, 10:34
14 Postings

Rund ein Fünftel der Nodes von OpenSSL-Lücke betroffen - Vorschlag diese aus dem Netz zu werfen

Fast zwei Wochen sind vergangen, seit die schwerwiegenden Sicherheitslücke Heartbleed in OpenSSL bekannt wurde. Während viele Server-Betreiber flott reagiert haben, haben sich mit der Zeit immer weitere Gebiete gezeigt, wo die Auswirkungen von Heartbleed nicht ganz so einfach zu bereinigen sind.

Tor

Ein Beispiel dafür ist das Anonymisierungsnetzwerk Tor, das angesichts des Programmierfehlers nun vor schwerwiegenden Entscheidungen steht. Wie sich zeigt, läuft ein Fünftel sämtlicher Nodes aktuell noch immer auf Rechnern mit verwundbaren OpenSSL-Versionen.

Ausprobiert

Dass dies eine sehr konkrete Gefährdung bedeutet, belegt der Sicherheitsexperte Collin Mulliner, der bei seinen Experimenten sensible Informationen über besuchte Webseiten, Session-IDs oder vorgenommene Downloads auslesen konnte. All das, was durch die Verwendung von Tor eigentlich verschleiert werden sollte.

Vorschlag

Tor-Entwickler Roger Dingledine sieht aus dieser Situation nur einen Ausweg: Die vollständige Blockade der betroffenen Systeme. Selbst habe er bereits eine entsprechende Blacklist aktiviert, gleichzeitig schlägt er anderen Directory Authorities vor, es ihm nachzutun, um eine umfassende Aussperrung aus dem Tor-Netzwerk zu erreichen.

Konsequenz

Diese Maßnahme hat allerdings auch negative Konsequenzen für das Netzwerk: Wie Dingledine vorrechnet, würde man mit einem Schlag ein Achtel der gesamten Bandbreite verlieren. (apo, derStandard.at, 18.4.2014)

Share if you care.