Menü
Avatar von Valentin Hilbig
  • Valentin Hilbig

mehr als 1000 Beiträge seit 08.01.2000

Update: Mit .onion geht das indirekt natürlich auch!

Ich bin davon ausgegangen, dass die Fake-Seite auch aus dem Internet verfügbar ist.
Das scheint nicht der Fall zu sein. Davon steht im Text nix.

Tatsache ist aber, dass es auch bei der Nutzung vom TOR-Browser leicht ist, den Nutzer zu verwirren. Genauso wie es im Web leicht ist, die User zu verwirren.

Dann ruft er statt der einen Seite eine andere auf.

Das ändert also nichts daran, was ich schrieb. So wie Heise ihren .onion-Link veröffentlichen, veröffentlicht der Guardian den sicher ebenso. Wenn ich nun dafür sorge, dass die Leute den Link dort anders sehen (per Cache-Poisoning oder /etc/hosts) ändert sich an dem Angriff nur wenig. Sie klicken auf den .onion-Link und landen bei mir.

Warum? Weil .onion-Links noch undurchsichtiger heißen als Webseiten. Und ein weiterer (nur leichter, aber trotzdem vorhandener) Schutz durch SSL ist da sowieso Fehlanzeige.

Und SSL ändert daran eher nichts. Wenn ich /etc/hosts im Griff habe kann ich eh ein Root-Cert nachschieben. Und bei DNS-Cache-Poisoning wird der Nutzer nicht unbedingt sofort misstrauisch (deshalb gibt es ja HSTS, nur ist das noch nicht weit verbreitet).

guardian.com
guaidian.com

Sehen schon ziemlich ähnlich aus. Und wer erkennt hinter 33y6fjyhs3phzfjj.onion sofort Guardian?

Sprich: Ich gehe von einer Targeted Attack aus. Aus diesem Grund werden wir wohl nie erfahren, wer angegriffen wurde oder werden sollte oder ob überhaupt.

-Tino

Bewerten
- +
Anzeige