Über ein ausgeklügeltes System an verschlüsselten und anonymen Umwegen soll das Tor-Netzwerk seine User vor der Identifizierung durch Dritte schützen. Perfekt ist aber natürlich auch so ein System nicht, immerhin gibt es rund um die Software selbst einige Dinge zu beachten, die die Tor-Verschleierung unwirksam machen könnten. Das weiß natürlich niemand besser als die Tor-Entwickler selbst, und einer davon hat dieses Wissen offenbar genutzt, um es zu Geld zu machen – und zwar bei der Gegenseite.

Vorgeschichte

Laut einem Bericht von The Daily Dot steckt der ehemalige Tor-Entwickler Matt Edman hinter Torsploit, mit dessen Hilfe in der Vergangenheit immer wieder Tor-User identifiziert wurden. Edman war in den Jahren 2008 und 2009 beim Tor-Projekt für die Benutzeroberfläche Vidalia zuständig und trat damals als Privatsphärenverfechter auf. Im Jahr 2012 folgte dann der Seitenwechsel, er ging zur Mitre Corporation, die ihn wiederum für die Remote Operations Unit des FBI abstellte. In dieser Abteilung werden bei der US-Behörde Schadsoftware und Hacks entwickelt. Edman wurde umgehend mit der Entwicklung von Torsploit betraut.

Flash-Lücken

Die Schadsoftware macht sich zunutze, dass viele Tor-User die Warnungen des Projekts ignorieren und den für seine mannigfaltigen Sicherheitslücken bekannten Flash Player aktiviert lassen. Auf diesem Weg gelang es der US-Bundespolizei also, Schadsoftware einzuschleusen und die anvisierten User zu deanonymisieren. Im Rahmend der Operation Torpedo wurden etwa mithilfe von Torsploit 25 Personen identifiziert, von denen 19 anschließend vor Gericht landeten.

Selbst gehackt

Kritik an dieser Vorgehensweise kommt von Datenschützern. "Schlussendlich hackt sich die US-Regierung auf diese Weise selbst", verweist Chris Soghoian von der American Civil Liberties Union (ACLU) auf den Umstand, dass das Tor-Projekt zu bedeutenden Teilen über Mittel der US-Regierung finanziert wird. Das FBI selbst nutzt Tor übrigens ebenfalls, um seine Spuren zu verwischen – neben Menschenrechtsaktivisten und Journalisten.

Mitre?

Einmal mehr wirft die Angelegenheit aber auch ein zweifelhaftes Licht auf die Mitre Corporation, die für jene Common-Vulnerabilities-and-Exposures-(CVE-)Datenbank zuständig ist, die quasi der Standard für das Melden von Sicherheitslücken ist. Mit ihrer Hacking-Aktivität für das FBI würde diese ihre wichtige Rolle in der Sicherheitscommunity untergraben, sagt Soghoian. (red, 2.5.2016)