Ein sogenannter "Bad Exit Node" im Tor-Netz versucht den Traffic zu beschnüffeln oder zusätzliche Inhalte in eine (nicht SSL-gesicherte) Website einzuschmuggeln. Bedingt durch das Prinzip des Onion Routings holt der letzte Node einer Kette die gewünschten Inhalte. Diese Inhalte liegen dem Node im Klartext vor, wenn sie nicht SSL- oder TLS-verschlüsselt wurden.

Durch einfaches Beschnüffeln wird die Anonymität des Nutzers nicht kompromittiert, es werden meist Inhalte mitgelesen, die im Web schon verfügbar sind. Nur wenn Login Credentials unver­schlüsselt übertragen werden oder man-in-the-middle Angriffe erfolgreich sind, können die Bad Exit Nodes an persönliche Informationen gelangen.

Persönliche Daten (bspw. Login Daten für einen Mail- oder Bank-Account) sollten nur über SSL- oder TLS-gesicherte Verbindungen übertragen werden. Bei SSL-Fehlern sollte die Verbindung abgebrochen werden. Das gilt für anonymes Surfen via Tor genauso, wie im normalen Web.

Beispiele für Tor Bad Exit Nodes

  1. Die folgenden Nodes wurde dabei erwischt, den Exit Traffic zu modifizieren, z.B Javascript in abgerufene Websites einzuschmuggeln. Dabei handelte es sich zumeist um Werbung oder Redirects auf andere Seiten.
    Name Fingerprint(s)
    CorryL 3163a22dc3849042f2416a785eaeebfeea10cc48
    tortila acc9d3a6f5ffcda67ff96efc579a001339422687
    whistlersmother     e413c4ed688de25a4b69edf9be743f88a2d083be
    BlueMoon     d51cf2e4e65fd58f2381c53ce3df67795df86fca
    TRHCourtney01     f7d6e31d8Af52fa0e7bb330bb5bba15f30bc8d48
    Unnamed 05842ce44d5d12cc9d9598f5583b12537dd7158a
    f36a9830dcf35944b8abb235da29a9bbded541bc
    9ee320d0844b6563bef4ae7f715fe633f5ffdba5
    c59538ea8a4c053b82746a3920aa4f1916865756
    0326d8412f874256536730e15f9bbda54c93738d
    86b73eef87f3bf6e02193c6f502d68db7cd58128
    Die genannten Nodes sind nicht mehr online, die Liste ist nur ein Beispiel.
  2. Die folgenden Nodes wurden bei dem Versuch erwischt, SSL-Zertifikate zu fälschen, um den verschlüsselten Traffic mitlesen zu können:
    • "LateNightZ" war ein deutscher Tor Node, der 2007 beim man-in-the-middle Anriff auf die SSL-Verschlüsselung erwischt wurde.
    • "ling" war ein chinesischer Tor Node, der im Frühjahr 2008 versuchte, mit gefälschten SSL-Zertifikaten die Daten von Nutzern zu ermitteln. Gleichzeitig wurde in China eine modifizierte Version von Tor in Umlauf gebracht, die bevorzugt diesen Node nutzte. Die zeitliche Korrelation mit den Unruhen in Tibet ist sicher kein Zufall.
    • Im Sept. 2012 wurden zwei russische Tor Nodes mit den IP-Adressen 46.30.42.153 und 46.30.42.154 beim SSL man-in-the-middle Angriff erwischt. Die gefälschten Zertifikate wurden von CN als Root-CA signiert.

      Der Angriff wurde 2013 von zwei anderen russischen Tor Nodes mit den IP-Adressen 176.99.12.246 und 109.68.190.231 wiederholt.
    • Im April 2013 wurde der Tor Exit Node mit der IP-Adresse 176.99.10.92 beim SSL man-in-the-middle Angriff auf Wikipedia und auf IMAPS erwischt.
  3. Im Februar/März 2012 hat eine Gruppe von 6 Exit Nodes in einer konzertierten Aktion die HTTPS-Links in Web­seiten durch HTTP-Links ersetzt. Wie man damit erfolgreich die SSL-Verschlüsselung ausgehebeln kann, wurde auf der Black Hack 2009 demonstriert. Die Software für diesen Angriff heisst "ssl-stripe" und ist als Open Source verfügbar.
  4. Im Juli 2014 wurden 115 Tor-Nodes auf die schwarze Liste gesetzt, die mit einer Kombination von Traffic Confirmation Attack und Sybill Attack versuchten, Tor Hidden Services zu lokalisieren und Nutzer von Tor Hidden Services zu deanonymisieren. TorProject.org hat eine Warnung publiziert:
    While we don't know when they started doing the attack, users who operated or accessed hidden services from early February through July 4 should assume they were affected .... Hidden service operators should consider changing the location of their hidden service.
    Möglicherweise wurden die von diesen Bad Nodes gesammelten Daten für die Operation Ononymous des FBI genutzt, um 410 illegale Tor Hidden Services abzu­schalten, u.a. die Drogenmarktplätze Silk Road 2.0, Cloud 9, Hydra, Pandora, Blue Sky, Topix, Flugsvamp, Cannabis Road, und Black Market.
  5. Im Oktober 2014 wurde ein Tor Exit Node aufgespürt, der Windows Binaries (z.B. DLLs oder EXE-Dateien) beim Download on-the-fly mit dem Trojaner OnionDuke infizierte, einer Variation der russischen Cyberwaffe MiniDuke. Der Trojaner sammelte Login Daten und spionierte die Netzwerkstruktur der Opfer aus. F-Secure konnten die ersten Infektionen mit OnionDuke auf Oktober 2013 datieren. Der Bad Exit Node wurde nur gefunden, weil ein Sicherheitsforscher gezielt nach diesem Angriff suchte.
  6. Im April 2015 wurden 70 Bad Tor Nodes identifiziert, die den Hidden E-Mail Service SIGAINT angegriffen hatten. Die Betreiber von SIGAINT warnen, dass es den Angreifern gelungen ist, den Tor Hidden Service mit einem man-in-the-middle Angriff zu kompromittieren und Daten inklusive Login Credentials mitzulesen.
    I think we are being targeted by some agency here. That's a lot of exit nodes.
    Diese 70 Tor Nodes meldeten sich innerhalb eines Monats kurz vor dem Angriff als neue Tor Nodes im Netzwerk an. 31 weitere Nodes stehen noch in dem Verdacht, ebenfalls zu dieser Gruppe zu gehören, aber noch nicht aktiv angegriffen zu haben.
  7. Um passiv schnüffelnde Tor Exit Nodes in eine Falle tappen zu lassen, hat Chloe im Juni 2015 einen Honigtopf aufgestellt und 11 passiv schnüffelnde Exit Nodes auf­gespürt. Zwei der elf Nodes hatten Guard Status. 
  8. Im März 2016 haben 14 Bad Exit Nodes in einer konzertierten Aktion versucht, sich als man-in-the-middle in STARTTLS Verschlüsselung einiger Jabber/XMPP Server ein­zu­schleichen. Folgende Jabber Server waren betroffen: freifunk.im, jabber.ccc.de, jabber.systemli.org, jappix.org, jodo.im, pad7.de, swissjabber.ch, tigase.me

    Für Jabber/XMPP via Tor sollte man einen XMPP-Server nutzen, der als Tor Onion Service erreichbar ist, um diese Gefahren zu vermeiden. 
  9. Im Mai 2020 wurde eine relativ große Gruppe von Tor Exit Nodes dabei erwischt, mit sslstripe Angriffen die Markplätze von Kryptowährungen anzugreifen. Diese Gruppe von Bad Exits Nodes kontrollierte 23% des gesamten Exit Traffics des Tor Netzwerkes.

    Nachdem diese Bad Exits entfernt wurden, wiederholte im Juni 2020 eine zweite Gruppe von Tor Exit Nodes den sslstripe Angriff auf die Marktplätze. Diese zweite Gruppe kontrolliert 19% des gesamten Exit Traffics des Tor Netzwerkes.

  10. Tor Exit Nodes aus dem Iran sind generell als Bad Exits markiert. Diese Nodes unterliegen der iranischen Zensur. Außerdem wird beim Aufruf von Webseiten über diese Nodes von der staatlichen Firewall ein unsichtbarer IFrame aus dem Hidden Internet of Iran eingefügt. <iframe src="http://10.10.34.34" style="width: 100%;
      height: 100%" scrolling="no" marginwidth="0"
      marginheight="0" frameborder="0" vspace="0" hspace="0"> </iframe>
  11. Die Unterlagen des Whistleblowers E. Snowden haben bestätigt, dass NSA und GCHQ passiv schnüffelnde Exit-Nodes betreiben. Die NSA soll damals 10-12 leistungsfähige Tor-Server genutzt haben (aktuelle Angriffe zeigen, dass es inzwischen deutlich mehr sein müssen). Zum Engagement des GCHQ wurden keine Zahlen bekannt.
  12. Europol betreibt seit Jahren ein Projekt mit dem Ziel "to provide operational intelligence related to TOR". Die Formulierung lässt vermuten, dass ebenfalls passiv schnüffelnde Exit-Nodes genutzt werden.