Ein sogenannter "Bad Exit Node" im Tor-Netz versucht den Traffic zu beschnüffeln oder zusätzliche Inhalte in eine (nicht SSL-gesicherte) Website einzuschmuggeln. Bedingt durch das Prinzip des Onion Routings holt der letzte Node einer Kette die gewünschten Inhalte. Diese Inhalte liegen dem Node im Klartext vor, wenn sie nicht SSL- oder TLS-verschlüsselt wurden.

Durch einfaches Beschnüffeln wird die Anonymität des Nutzers nicht kompromittiert, es werden meist Inhalte mitgelesen, die im Web schon verfügbar sind. Nur wenn Login Credentials unver­schlüsselt übertragen werden oder man-in-the-middle Angriffe erfolgreich sind, können die Bad Exit Nodes an persönliche Informationen gelangen.

Persönliche Daten (bspw. Login Daten für einen Mail- oder Bank-Account) sollten nur über SSL- oder TLS-gesicherte Verbindungen übertragen werden. Bei SSL-Fehlern sollte die Verbindung abgebrochen werden. Das gilt für anonymes Surfen via Tor genauso, wie im normalen Web.

Liste bekannter Tor Bad Exit Nodes (unvollständig)

  1. Die folgenden Nodes wurde dabei erwischt, den Exit Traffic zu modifizieren, z.B Javascript in abgerufene Websites einzuschmuggeln. Dabei handelte es sich zumeist um Werbung oder Redirects auf andere Seiten.
    Name Fingerprint(s)
    CorryL 3163a22dc3849042f2416a785eaeebfeea10cc48
    tortila acc9d3a6f5ffcda67ff96efc579a001339422687
    whistlersmother     e413c4ed688de25a4b69edf9be743f88a2d083be
    BlueMoon     d51cf2e4e65fd58f2381c53ce3df67795df86fca
    TRHCourtney01     f7d6e31d8Af52fa0e7bb330bb5bba15f30bc8d48
    Unnamed 05842ce44d5d12cc9d9598f5583b12537dd7158a
    f36a9830dcf35944b8abb235da29a9bbded541bc
    9ee320d0844b6563bef4ae7f715fe633f5ffdba5
    c59538ea8a4c053b82746a3920aa4f1916865756
    0326d8412f874256536730e15f9bbda54c93738d
    86b73eef87f3bf6e02193c6f502d68db7cd58128
    Die genannten Nodes sind nicht mehr online, die Liste ist nur ein Beispiel.
  2. Die folgenden Nodes wurden bei dem Versuch erwischt, SSL-Zertifikate zu fälschen, um den verschlüsselten Traffic mitlesen zu können:
    • "LateNightZ" war ein deutscher Tor Node, der 2007 beim man-in-the-middle Anriff auf die SSL-Verschlüsselung erwischt wurde.
    • "ling" war ein chinesischer Tor Node, der im Frühjahr 2008 versuchte, mit gefälschten SSL-Zertifikaten die Daten von Nutzern zu ermitteln. Gleichzeitig wurde in China eine modifizierte Version von Tor in Umlauf gebracht, die bevorzugt diesen Node nutzte. Die zeitliche Korrelation mit den Unruhen in Tibet ist sicher kein Zufall.
    • Im Sept. 2012 wurden zwei russische Tor Nodes mit den IP-Adressen 46.30.42.153 und 46.30.42.154 beim SSL man-in-the-middle Angriff erwischt.
    • Im April 2013 wurde der russische Tor Node mit der IP-Adresse 176.99.10.92 beim SSL man-in-the-middle Angriff auf Wikipedia und auf IMAPS erwischt.
  3. Im Februar/März 2012 haben mehrere Exit-Nodes in einer konzertierten Aktion die HTTPS-Links in Web­seiten durch HTTP-Links ersetzt. Wie man damit erfolgreich die SSL-Verschlüsselung ausgehebeln kann, wurde auf der Black Hack 2009 demonstriert. Die Software für diesen Angriff heisst "ssl-stripe" und ist als Open Source verfügbar.
    Name Fingerprint und IP-Adresse
    Bradiex bcc93397b50c1ac75c94452954a5bcda01f47215
    IP: 89.208.192.83
    TorRelay3A2FL    ee25656d71db9a82c8efd8c4a99ddbec89f24a67
    IP: 92.48.93.237
    lolling 1f9803d6ade967718912622ac876feef1088cfaa
    IP: 178.76.250.194
    Unnamed 486efad8aef3360c07877dbe7ba96bf22d304256
    IP: 219.90.126.61
    ididedittheconfig 0450b15ffac9e310ab2a222adecfef35f4a65c23
    IP: 94.185.81.130
    UnFilTerD ffd2075cc29852c322e1984555cddfbc6fb1ee80
    IP: 82.95.57.4
  4. Tor Exit Nodes aus dem Iran sind generell als Bad Exits markiert. Diese Nodes unterliegen der iranischen Zensur. Außerdem wird beim Aufruf von Webseiten über diese Nodes von der staatlichen Firewall ein unsichtbarer IFrame aus dem Hidden Internet of Iran eingefügt. <iframe src="http://10.10.34.34" style="width: 100%;
      height: 100%" scrolling="no" marginwidth="0"
      marginheight="0" frameborder="0" vspace="0" hspace="0"> </iframe>
  5. Es gibt seit Jahren eine andauernde Diskussion um die Tor Exit Nodes aus dem IP-Netz 149.9.0.0/16. Einige Leser haben mich öfters auf diese Nodes hingewiesen und vermuten, dass die NSA dahinter steckt:
    Name IP-Adresse
    busbyberkeley     149.9.0.60
    myrnaloy 149.9.0.59
    nixnix 149.9.0.58
    jalopy 149.9.0.57
    Diese Tor-Server werden von Team CYMRU betrieben. TorProject.org sieht keine Veranlassung, diesem kommerziellen Privacy-Team zu misstrauen und die Nodes zu sperren. Das sind keine Bad Exits.
Lizenz: Public Domain