Tor-maildienst vermoedt aanval door inlichtingendienst

[Captain Kirk]

De op Tor-gebaseerde e-maildienst SIGAINT heeft gebruikers gewaarschuwd dat het een doelwit van vermoedelijk een inlichtingendienst is geworden, waarbij er in totaal 70 kwaadaardige servers werden ingezet. Ook zou de aanvallende partij de afgelopen maanden verschillende aanvallen tegen de infrastructuur van de dienst hebben uitgevoerd. Volgens de beheerders van SIGAINT zouden de aanvallen echter zijn mislukt.

SIGAINT is alleen via het Tor-netwerk toegankelijk en moet journalisten en activisten tegen de grootschalige surveillance op internet beschermen. Op de website sigaint.org staat het adres van de Tor-website waarop SIGAINT te vinden is. Volgens de beheerder heeft de vermeende inlichtingendienst geprobeerd om dit adres aan te passen, zodat ze Man-in-the-Middle-aanvallen op gebruikers konden uitvoeren en hen in real-time konden bespioneren.

Waarschijnlijk zijn er dan ook enkele wachtwoorden gestolen, maar zou het de aanvallers hier niet om te doen zijn geweest. "We krijgen minder dan één gebruiker in de drie maanden die klaagt dat zijn of haar account is gekaapt", aldus de beheerder. SIGAINT zou in totaal 42.000 gebruikers hebben. Doordat de e-maildienst van het Tor-netwerk gebruik maakt is het afhankelijk van de servers in het netwerk.

Het Tor-netwerk bestaat uit verschillende servers waarover het verkeer loopt. De laatste server in deze keten is de exitnode of exitrelay. Via deze server, die door vrijwilligers aan het Tor-netwerk wordt toegevoegd, wordt het verzoek van de Tor-gebruiker naar het internet gestuurd. De aanvallers hadden in dit geval 70 van dit soort servers neergezet. Vanwege dit grote aantal vermoedt de beheerder van SIGAINT dat hij het doelwit van een inlichtingendienst is geweest.

Hij laat op de Tor-mailinglist weten dat er voor de website sigaint.org een SSL-certificaat gebruikt kan worden om te voorkomen dat de inhoud, en ook het adres van de Tor-website, wordt aangepast. Een inlichtingendienst zou volgens hem ook hierom heen kunnen werken door de sleutel van een certificaatautoriteit uit het betreffende land te gebruiken. De kwaadaardige Tor-servers bleken niet alleen tegen SIGAINT te zijn ingezet, maar ook voor andere dubieuze zaken zijn te gebruikt. Alle 70 servers zijn inmiddels op een blacklist geplaatst.

 

bron: security.nl