Immer wieder gab es in den vergangenen Monaten
Berichte, dass es Angreifer gelungen sein soll, die sogenannten versteckten Dienste in
Tor zu kompromittieren. Anders als beim „normalen“ anonymen Surfen, bei dem der Dienst genutzt wird, um eine reguläre Webseite wie Spiegel.de aufzurufen, bleiben dabei alle Daten innerhalb des Tor-Netzes. Das heißt, auch der Ziel-Server befindet sich innerhalb der Tor-Infrastruktur.
Nun
beschuldigen die Tor-Entwickler die amerikanische Universität Carnegie Mellon (CMU) sich im vergangenen Jahr an breit angelegten Angriffen auf das Tor-Netz beteiligt zu haben. Die Uni soll vom FBI dafür mehr als eine Million Dollar bekommen haben.
Das Problem ist nach Aussage der Entwickler dabei nicht, dass die Forscher Tor auf Sicherheitslücken getestet haben. Das sei in Ordnung. Das Problem sei dagegen, dass sie dabei das echte Tor-Netz als Ziel auswählten und Anwender identifizierten, die Verbrechen begangen haben sollen. Dadurch seien auch „unschuldige Nutzer“ in Gefahr gebracht worden.
Damit sei eine Grenze überschritten worden, wenn sich private oder öffentliche Institutionen an der Jagd nach Kriminellen beteiligen und „Polizeiarbeit“ übernehmen. Eine Stellungnahme der CMU liegt noch nicht vor.
Auch das renommierte MIT-Institut (Massachusetts Instuitute of Technology) hat sich auf die Suche nach Lücken in Tor begeben. Anders als anscheinend die CMU-Wissenschaftler, die einen geplanten Vortrag auf der Black-Hat-Konferenz kurzfristig
abgesagt haben sollen,
stellten die MIT-Mitarbeiter ihre Erkenntnisse auf dem Usenix Security Symposium öffentlich vor.