Ein sogenannter "Bad Exit Node" im Tor-Netz versucht den Traffic zu beschnüffeln oder zusätzliche Inhalte in eine (nicht SSL-gesicherte) Website einzuschmuggeln. Bedingt durch das Prinzip des Onion Routings holt der letzte Node einer Kette die gewünschten Inhalte. Diese Inhalte liegen dem Node im Klartext vor, wenn sie nicht SSL- oder TLS-verschlüsselt wurden.
Durch einfaches Beschnüffeln wird die Anonymität des Nutzers nicht kompromittiert, es werden meist Inhalte mitgelesen, die im Web schon verfügbar sind. Nur wenn Login Credentials unverschlüsselt übertragen werden oder man-in-the-middle Angriffe erfolgreich sind, können die Bad Exit Nodes an persönliche Informationen gelangen.
Persönliche Daten (bspw. Login Daten für einen Mail- oder Bank-Account) sollten nur über SSL- oder TLS-gesicherte Verbindungen übertragen werden. Bei SSL-Fehlern sollte die Verbindung abgebrochen werden. Das gilt für anonymes Surfen via Tor genauso, wie im normalen Web.Name | Fingerprint(s) |
CorryL | 3163a22dc3849042f2416a785eaeebfeea10cc48 |
tortila | acc9d3a6f5ffcda67ff96efc579a001339422687 |
whistlersmother | e413c4ed688de25a4b69edf9be743f88a2d083be |
BlueMoon | d51cf2e4e65fd58f2381c53ce3df67795df86fca |
TRHCourtney01 | f7d6e31d8Af52fa0e7bb330bb5bba15f30bc8d48 |
Unnamed | 05842ce44d5d12cc9d9598f5583b12537dd7158a f36a9830dcf35944b8abb235da29a9bbded541bc 9ee320d0844b6563bef4ae7f715fe633f5ffdba5 c59538ea8a4c053b82746a3920aa4f1916865756 0326d8412f874256536730e15f9bbda54c93738d 86b73eef87f3bf6e02193c6f502d68db7cd58128 |
Im Sept. 2012 wurden zwei russische Tor Nodes mit den IP-Adressen 46.30.42.153 und 46.30.42.154 beim SSL man-in-the-middle Angriff erwischt. Die gefälschten Zertifikate wurden von CN als Root-CA signiert.
Der Angriff wurde 2013 von zwei anderen russischen Tor Nodes mit den IP-Adressen 176.99.12.246 und 109.68.190.231 wiederholt.While we don't know when they started doing the attack, users who operated or accessed hidden services from early February through July 4 should assume they were affected .... Hidden service operators should consider changing the location of their hidden service.Möglicherweise wurden die von diesen Bad Nodes gesammelten Daten für die Operation Ononymous des FBI genutzt, um 410 illegale Tor Hidden Services abzuschalten, u.a. die Drogenmarktplätze Silk Road 2.0, Cloud 9, Hydra, Pandora, Blue Sky, Topix, Flugsvamp, Cannabis Road, und Black Market.
I think we are being targeted by some agency here. That's a lot of exit nodes.Diese 70 Tor Nodes meldeten sich innerhalb eines Monats kurz vor dem Angriff als neue Tor Nodes im Netzwerk an. 31 weitere Nodes standen noch in dem Verdacht, ebenfalls zu dieser Gruppe zu gehören, aber noch nicht aktiv angegriffen zu haben.
Im März 2016 haben 14 Bad Exit Nodes in einer konzertierten Aktion versucht, sich als man-in-the-middle in STARTTLS Verschlüsselung einiger Jabber/XMPP Server einzuschleichen. Folgende Jabber Server waren betroffen: freifunk.im, jabber.ccc.de, jabber.systemli.org, jappix.org, jodo.im, pad7.de, swissjabber.ch, tigase.me
Für Jabber/XMPP via Tor sollte man einen XMPP-Server nutzen, der als Tor Onion Service erreichbar ist, um diese Gefahren zu vermeiden.Im Mai 2020 wurde eine relativ große Gruppe von Tor Exit Nodes dabei erwischt, mit sslstripe Angriffen die Markplätze von Kryptowährungen anzugreifen. Diese Gruppe von Bad Exits Nodes kontrollierte 23% des gesamten Exit Traffics des Tor Netzwerkes.
Nachdem diese Bad Exits entfernt wurden, wiederholte im Juni 2020 eine zweite Gruppe von Tor Exit Nodes den sslstripe Angriff auf die Marktplätze. Diese zweite Gruppe kontrolliert 19% des gesamten Exit Traffics des Tor Netzwerkes.
Im Oktober 2020 hat Roder Dingledine eine dritte große Gruppe von Tor Exit Nodes aus dem Netz entfernt, die man-in-the-middle Angriffe auf TLS-Verbindungen ausführte.