Windows-DRM hebelt Anonymisierungs-Netze im Handumdrehen aus

Wer seine Identität durch die Nutzung von Anonymisierungs-Netzwerken wie Tor oder durch VPNs verschleiern will, sollte es vermeiden, Multimedia-Dateien zu öffnen, die mit dem von Windows bereitgestellten DRM-System geschützt sind. Denn über dieses lässt sich der Schutz ziemlich einfach aushebeln.

Altbekannt ist die Möglichkeit, das DRM-System einzusetzen, um Malware zu verbreiten. Allerdings bedarf dies eines wenig aufmerksamen Nutzers. Die bekannten Angriffe dieser Art liefen so ab, dass der Anwender nach dem Öffnen einer Musik- oder Video-Datei aufgefordert wurde, den Besuch einer vermeintlichen Authentifizierungs-URL zu erlauben. Der Weg führte dann oft auf Webseiten, in die Schadcode eingebettet war - und da für den Besuch in der Regel standardmäßig der Internet Explorer genutzt wurde, konnte recht gut eingegrenzt werden, mit welchen Exploits man erfolgreich sein kann.

Angriff kostet Geld

Die britischen Sicherheitsforscher von My Hacker House wiesen jetzt aber auf eine weitergehende Angriffs-Option hin. Hier geht es um die Tatsache, dass lediglich dann nach einer Erlaubnis zum Öffnen des Links gefragt wird, wenn die DRM-geschützte Datei nicht ordentlich signiert ist. Signiert der Angreifer den DRM-Schutz hingegen mit den dafür vorgesehenen Microsoft-Tools Windows Media Encoder oder Microsoft Expression Encoder, fällt die Abfrage weg und beim Öffnen der Datei wird die Verbindung direkt aufgebaut.

Selbst Nutzer, die dann bei aktiviertem Anonymisierungs-System darauf achten, nicht fahrlässig zu handeln, wären so schnell enttarnt. Das Glück im Unglück liegt hier darin, dass eine solche Attacke nicht gerade billig ist. Denn die Lizenzkosten für die fraglichen Werkzeuge inklusive der Option für entsprechende Signaturen sind nicht gerade preiswert - hier können schnell um die zehntausend Dollar zusammenkommen.

Insofern ist nicht damit zu rechnen, dass der kleine Wald-und-Wiesen-Malware-Autor das Verfahren einsetzt. Wahrscheinlicher ist dies hingegen, wenn es beispielsweise staatlichen Akteuren wie Strafverfolgungsbehörden oder Geheimdiensten darum geht, einen Tor-Nutzer zurückzuverfolgen. Es gibt zahlreiche Szenarien, in denen diese relativ leicht dazu bewogen werden können, Videodateien herunterzuladen und zu öffnen - das reicht vom Honeypot auf enttarnten Kinderporno-Portalen bis hin zu vermeintlichen Nachrichten-Clips bei politischen Dissidenten.

Verwandt

Dieses Video empfehlen

Kommentieren12

Tags:

Jetzt einen Kommentar schreiben

[o1] am ++2 --1

Tor fehlt es doch an jeglichen Plugins sowas abspielen zu können.

[re:1] am ++3 --

@kkp2321: Ja eben, deshalb ist das ja unsicher / ungeschützt: Wenn ein untergeschobenes Video zB mit dem Windows Media Player abgespielt wird und dieser wegen dem DRM an Tor vorbei ins Internet geht, bist Du wo? Genau, am Ar... (selbiges dürfte mit "alternativen" Systemen ebenso funktionieren).

Wenn Tor das Abspielen der Mediadateien etc wirksam blocken würde, hätte man ein Problem weniger.

[re:1] am ++--2

@rallef: Da Tor grundsätzlich erstmal alle Scrupte verbietet, sollte das Mediadateien inbegreifen. Alles andere wäre ein manueller Prozess: Download, ausführen.

[re:2] am ++2 --

@rallef: Der Torbrowser ist eigentlich ein Firefox, also kann man auch ohne Probleme das Plugin "NoScript" installieren, falls dieses nicht schon per Default installiert ist.

[re:3] am ++2 --

@rallef: Jo genau, ich zieh mir über Tor, weils so unfassbar schnell ist, Medieninhalte wie Videos oder Musik :D

[o2] am ++13 --

Die Anonymisierung lässt sich doch mit allem aushebeln was eine Verbindung außerhalb des Browsers aufbaut und Proxy-Settings ignoriert. Ob das jetzt Torrents, Videos oder DOC/PDF-Dateien sind. Davor warnt TOR doch auch eindringlich und legt einem nahe Dokumente nur Offline, in einer VM oder mittels Tails zu öffnen. Und natürlich auf Torrents über TOR zu verzichten.

Das gleiche gilt beim installieren oder aktivieren von browser Plugins. Flash, RealPlayer, Quicktime, JavaScript. Kann alles manipuliert werden um TOR auszuhebeln.

Aber gut, man kann nicht oft genug drauf hinweisen.

[o3] am ++--3

Also kann es nun auch den Stream Fanatikern an den Kragen gehen denn da ist das Risiko groß manipulierte Videos zu öffnen.

[re:1] am ++2 --1

@timeghost2012: aber auch den Journalisten in Ländern, in denen freie Meinungsäußerung unter Strafe steht.

[o4] am ++--3

dont fuck it up!

[o5] am ++3 --2

Das Tor Netzwerk wird von den USA finanziert. Netter, kleiner NSA-Browser mit einem besonders bequemen automated sharing feature. Viel Spaß beim Nutzen.

[re:1] am ++3 --

@Lord Laiken:
Das auf freier Software basierende I2P-Netzwerk ist in vielen Bereichen anonymer, pseudonymer und dezentraler als Tor, u.a. weil I2P vergleichen mit Tor ohne Server funktioniert. Zudem wird jede Datenübertragung in I2P mehrfach verschlüsselt und der Datenverkehr wird ständig über sich wechselnde Teilnehmer und unterschiedliche Tunnels (Netzwerkketten) geleitet. Der eigene I2P-Router ist somit auch ständig an der Weiterleitung von verschiedenen verschlüsselten Datenpaketen für andere I2P-Anwender beteiligt und auch die Empfangspunkte (Downloader/Empfänger) der Datenpakete sind wiederum durch das Verschlüsselungsverfahren geschützt.
https://geti2p.net/de/

[o6] am ++3 --

Ist halt nur das Tor-Netzwerk. Alles ausserhalb des Browsers bekommt halt die reale IP, was ist daran so schwer zu verstehen? Gibt sinnvollere VPN-Netze, die das gesammte Netz am Rechner managen. Kosten halt Geld, schützen dann aber auch richtig, aber bezahlen, das geht ja garnicht in der heutigen Zeit!