TOR stinkt
Interessanter Artikel darüber, wer und was hinter TOR (the onion router), dem Netzwerk für anonymes Surfen, stehen soll.
Angeblich soll das gesamte System und dessen Entwicklung von den amerikanischen Geheimdiensten finanziert worden sein. Der Zweck von Tor sei nicht, irgendwelchen Surfern irgendwelche Privatsphäre zu gewähren. Ziel sei, operativen Geheimdienstlern in Feindesland Zugriff auf das Web zu gewähren, ohne dass man sie überwachen kann und Geheimdienstlern am Schreibtisch die Möglichkeit zu geben, auf Webseiten zuzugreifen, ohne als Geheimdienstler erkannt zu werden.
Die Würze daran ist, dass ausgerechnet die, die TOR verwenden, weil sie glauben, damit den Geheimdiensten ein Schnippchen zu schlagen, damit den Geheimdiensten ihre Arbeit ermöglichen, denn die Tarnung funktioniert ja nur, solange ganz viele Leute das mitverwenden. Angenommen, alle Nutzer der Welt, die nicht in Geheimdiensten sind, würden sofort aufhören, TOR zu verwenden, wäre das auch für Geheimdienste untauglich, weil man bei jedem Webzugriff, der von einem TOR-Node käme, dann sofort wüsste, dass es ein Geheimdienst ist, der da zugreift.
Es geht auch wieder mal darum, dass die Geheimdienste inzwischen Methoden gefunden haben, TOR selbst zu schälen.
Beachtliche Pointe: Edward Snowden selbst soll während seiner Zeit für den Geheimdienst mehrere TOR Nodes betrieben und auch versucht haben, Kollegen dafür zu gewinnen. Die wirklich gute Frage ist dann (falls das alles so stimmt): Warum arbeitet jemand gleichzeitig an Abhörmethoden und etwas, was vorgeblich dem Abhörschutz dient?
Was auch wieder mal zeigt, dass irgendwelche Anonymisierungsdienste genausowenig kostenlos vom Himmel fallen wie seriöse Freemailer, harmloser Cloudspeicher oder Geldscheine. Und dass die Kenntnis und Nutzung der neuesten Gimmicks, die gerade en vogue sind, auch noch keinen Sicherheitsexperten macht – gibt ja viele, die meinen, Security bedeute, jedweden Schnickschnack zu kennen, zu konfigurieren und zu verwenden.
Historisch interessant ist übrigens die Angabe, dass das seit 1995 entwickelt wurde. Damals gab es nämlich noch fast keine Webseiten außerhalb von Universitäten. Das Web war ja erst 1989 erfunden worden und damals plagte man sich noch mit den ersten Browsern und Servern herum, alles war technisch rudimentär, man vermied wegen der lausigen Bandbreite jede Graphik in Webseiten. War noch Modem-Time und außerhalb der Universitäten und einiger US-Firmen wusste kaum jemand, was Internet ist.
Ich kann mich erinnern, dass ungefähr so in diesem Zeitraum auch ein Mail-Anonymisierungsdienst existierte, der auf demselben Prinzip beruhte: Mehrfach verschlüsselte Mails werden von relay zu relay geleitet, wobei jeder eine Verschlüsselungsschicht abträgt und dadurch erst erfährt, wer der nächste Knoten oder Empfänger ist. Mir fällt nur gerade der Name nicht mehr ein. Drängt den Gedanken auf, dass auch das damals ein Experiment der Geheimdienste war, denn Mail war damals schon weit verbreitet, Web nicht.
(Danke für den Link!)
27 Kommentare (RSS-Feed)
TOR wurde von Anfang an vom US Militär entwickelt zumindest waren sie immer dabei.
Eine gewisse Sicherheit mit TOR gibt es schon aber für einen normalen Benutzer eher ungeeignet.
Der kleinste Fehler und es ist alles zu spät und die Fehlermöglichkeit ist enorm.
Wer anonym sein will um einer Strafverfolgung zu entgehen muss mit einem extra Rechner anonym an einem Anschluss gehen. Vielleicht mit einem UMTS Stick?
Wer einer Profilbildung bei Google und Co entgehen will sollte 5-6 Browser portable installieren und sie auch benutzen.
Wer Javascript an hat wird zu 90% wiedererkannt egal wie viele Cookies er auch löscht weil die Infos nicht mehr lokal gespeichert werden sondern gleich wieder zum Server gehen. Wenn nur ein Bild über IPv6 geholt wird kann schon alles zu spät sein.
Links liefere ich nicht weil alles zu umfangreich ist.
Sie halten also Geheimdienste für ein Problem?
Ich halte sie schlicht für Notwendig. Offensichtlich ist auch hier sonst keiner bereit auf der Welt, notwendige und gute Dinge wie TOR auch nur irgendwie zu finanzieren bzw. auf die Beine zu stellen – außer eben ein Geheimdienst!
Diese ganze Opensouce, Free-BlaBla und FUSE Pseudo-intellektuelle Community ist sowas von dermaßen übel krass überschätzt, dass man täglich wenn man den heise newsticker richtig(!) liest, gar nicht mehr aus dem Kotzen herauskommt!
Zudem kommt noch hinzu, dass wir in Zukunft mehr Geheimdienste brauchen und nicht weniger, angesichts kommender Bedrohungen. Hierbei sei insbesondere mal der Verfassungsschutz genannt, der von subversiven staatsfeindlichen inneren Elementen gerade massiv unter Beschuss steht. Bei dieser Geschichte um den Verfassungsschutz konnte man schön sehen, wer von den Medien schon mitterweile Kombatant ist.
Der Staat mag villeicht ein Problem von vielen sein, aber er ist auch die Lösung für alle. Eure Feinde wissen das schon und ignorieren diese Tatsache nicht, sondern “würdigen” sie entsprechend massiv.
> Sie halten also Geheimdienste für ein Problem?
Es gibt solche und solche.
Mir ging’s eher um eine gewisse Krypto-Szene, die glaubt, sich gegen böse Geheimdienste wehren zu können, indem sie TOR verwendet.
Jepp Mixmaster iirc.
1995 gab es aber schon einige Fiormenwebseiten. Damals keimten auch gerade strato, 161 & Co. wenn ich mich recht erinnere und es gab auch schon die ersten Internet-Shops. Die zeit vor dem ersten Internetgoldrausch sozusagen.
wenn tor wirklich was mit den geheimdiensten zu tun hätte, hätte das edward sowden doch schon längt mal erwähnt
In der Tat hat die DARPA das Projekt unterstützt.
Geheimdienste haben noch immer keinen Zugriff. Sie könne zwar einzelne Nodes überwachen, (Geheimdienste betreiben selber welche) aber das ist wie die sprichwörtliche Suche nach der Stecknadel im Heuhaufen.
Die Kommunikation zwischen Verbrechern läuft auf einer ganz anderen Basis.Unauffindbar. Kein Geheimdienst kann das knacken, nicht mal mit Quantencomputern.
Mehr will darüber nicht schreiben.
Da sprichst du mal ein gutes Thema an, Hadmut. Das ganze betrifft nicht nur TOR, sondern auch Sachen wie E-Mail-Krypto. End2End Mailcrypto darf um Himmelswillen nicht massentauglich sein, sonst kann Google ja nicht die Mails mitlesen. Aber hin und wieder braucht ein Schlapphut eben einen gesicherten Kanal: PGP und S/MIME sind da perfekt. Und wer es dennoch wagt, ein Kryptotelefon für alle zu entwickeln, findet sich aufgehängt im Wald wieder.
Bei Linux sehen wir eine ähnliche Entwicklung. Der in der Studentenbude gehackte Kernel fand der wirklich so statt oder ist das bloß eine Coverstory? Wer weiß das schon? Der Geschichte nach tauchte jedenfalls eine als Kirche getarnte Tarn-NGO namens “Free Software Foundation” bei Torvalds auf und bat ihn darum, unbedingt die Lizenz zu ändern. Denn seine NoComGovMil-Klauseln seien ganz schlecht für die US-Regierung. Heute ist Linux das Rückgrat von NSA, CIA und NATO, läuft auf den Tötungsdrohnen, genau wie auf den Zielbaken (Smartphones).
Millionen Lemminge helfen fleißig daran mit, die erfolgreichste Unterdrückungssoftware der Welt kostenfrei weiter zu verbessern, angespornt durch das Feindbild Microsoft. Was wohl wäre Google ohne diese massive Unterstützung? Was haben die Kontributoren davon? Zugenagelte verdongelte Geräte unter Kontrolle der Konzerne. Das war doch immer die Vision des bärtigen Messias, nicht wahr? 😉
Irgendwie ironisch die IT-Geschichte. Oder von vornherein so geplant. Siehe Manhattan Project.
> Da sprichst du mal ein gutes Thema an, Hadmut.
Danke. Auch ein blindes Huhn findet mal ein Korn.
“wenn tor wirklich was mit den geheimdiensten zu tun hätte, hätte das edward sowden doch schon längt mal erwähnt”
Wieso sollte er, ist doch schon lange bekannt. Zu Anfangszeiten war das überall zu lesen, man ging regelrecht damit hausieren wie toll das sei weil ja das US-Militär dahinter steckt. Dass da die Geheimdienste mitmischen muss man nicht extra erwähnen. IIRC wurde damals auch von finanzieller Unterstützung durch die NSA berichtet, offiziell wurde das nie bestätigt aber jeder wusste dass die dort mit drinn hängen.
Snowden wusste wohl auch nicht alles. Und wenn TOR z.B. von der CIA kam und nicht von der NSA, dann kann man sich das schon vorstellen. Die in den USA haben ja 14 oder so Geheimdienste und die sind gegeneinander sehr wählerisch, was sie sich erzählen.
Also irgendwie bin ich verwirrt.
Ich dachte es ist allgemein bekannt, dass TOR von Geheimdiensten entwickelt wurde um Agenten anonymisierten Web Zugang zu ermöglichen.
Das war doch genau das Ziel, oder?
Das da für uns auch noch Anonymität bei raus fällt ist doch toll.
@p90: Mir war das jetzt nicht so bekannt, dass die das so finanziert haben.
> Das da für uns auch noch Anonymität bei raus fällt ist doch toll.
Kann man so nicht sagen. Man müsste Schaden gegen Nutzen abwägen.
Schein mir Verschoerungstheorie von der eher billigen Sorte zu sein, die auch nicht mit den beobachtbaren Fakten zusammenpasst. Der eine Fall wo der Student eine Bombendrohung abgeschickt hat ist eine ziemliche Standard-Ermittlung. Natuerlich geht man bei sowas die Liste der Teilnehmer durch. Und das die Email von eimem Exit-Relais gekommen ist hat man sehr schnell raus (5 Minuten). Dann noch schauen, ob Teilnehmer Zeitgleich in TOR waren und klar ist die Sache, insbesondere wenn nur einer TOR benutzt hat. Wenn die Gruppe der Verdaechtigen klein genug und ausserdem bekannt ist kann auch TOR nicht helfen.
Ich hab Roger Dingledine mal 2003 oder 2004 auf einer Konferenz gefragt, wie denn seine Finanzierung (war damals schon jedem bekannt, der es wissen wollte) zu den TOR Zielen passt. Die Erklaerung war durchaus befriedigend. Und man sollte nicht vergessen, das die Deanonymosierung von TOR Usern garnicht so wichtig ist, wie das gerne dargestellt wird. Das ging gewissen Teilen der NSA natuerlich an den Stolz, aber da die TAO haben, koennen die sowiso alles mitlesen wenn sie einen Verdaechtigen haben, TOR oder nicht.
“Diese ganze Opensouce, Free-BlaBla und FUSE Pseudo-intellektuelle Community ist sowas von dermaßen übel krass überschätzt, dass man täglich wenn man den heise newsticker richtig(!) liest, gar nicht mehr aus dem Kotzen herauskommt!”
….. ich denke, diese “ganze Opensouce, Free-BlaBla und FUSE Pseudo-intellektuelle Community” wird selbst von den Diensten erzeugt, zumindest initiiert, denn sonst bekäme der Normalbürger je nicht den Eindruck von Freiheit …. Think Design
Der Vorwurf, daß TOR teilweise von Militär und/bzw Geheimdiensten finanziert wurde/wird, ist doch irgendwie völlig sinnfrei.
Wenn man an Unis/Forschungseinrichtungen ein wenig recherchiert, stellt man sehr schnell fest, überall, wo sich militärische Nutzungsmöglichkeiten abzeichnen, sei es schon in der Grundlagenforschung oder erst recht in der anwendungsbezogenen Forschung, haben Militär/Geheimdienste ihre Finger drin.
Das ist der Normalfall, ob einem das nun gefällt oder nicht.
Gleiches gilt für bekannte Sicherheitsexperten wie z.B. Bruce Schneier oder Richard Bejtlich, die haben alle in ihre Anfangszeit einige Zeit für’s Militär oder Geheimdienste gearbeitet.
Ist das ihrer Reputation abträglich, ich denke nein.
Wo bitte ist also die Nachricht?
@Teo
Deine Lösung für den weltweiten Überwachungsskandal durch Geheimdienste ist also: Mehr Geheimdienste?
Wat?
@Joe
Millionen Lemminge helfen fleißig daran mit, die erfolgreichste Unterdrückungssoftware der Welt kostenfrei weiter zu verbessern, angespornt durch das Feindbild Microsoft. Was wohl wäre Google ohne diese massive Unterstützung? Was haben die Kontributoren davon? Zugenagelte verdongelte Geräte unter Kontrolle der Konzerne. Das war doch immer die Vision des bärtigen Messias, nicht wahr? 😉
Man kann Richard Stallman und der FSF viel vorwerfen – aber gegen verschlossene, verdongelte Geräte haben sie sich immer gestellt und stellen sich weiterhin dagegen. Was sie nicht voraussahen, war der sich abzeichnende Erfolg von Webapplikationen und ähnlichen Remote-Anwendungen, bei denen die die Einschränkungen der GPL keine ernsthaften Konsequenzen haben. Die FSF hat mittlerweile auf dieses Problem in Form der AGPL reagiert. Laut http://de.wikipedia.org/wiki/GNU_Affero_General_Public_License#Zur_GPL präferiert die FSF die AGPL, aber mein persönlicher Eindruck ist, dass diese Unterstützung eher halbherzig ist. Ebenso scheint diese Lizenz bei Programmierern nicht sehr beliebt zu sein (möglicherweise auch aus Eigeninteresse, weil sie sich ungern gegenseitig die Optionen für Web-Startups zerstören wollen).
Wer mit wem via Email/Internet korrespondiert, läßt sich wohl immer rausfinden, da die involvierten externen Rechner das zumindest stückweise bis zum jeweils nächsten “Server” wissen müssen.
Um die ausgetauschen Dateien (Texte etc.) für unterwegs absolut sicher zu verschlüsseln, reicht aber eine eigene kleine Verschlüsselungsroutine, die sich jeder Programmierer kinderleicht und beliebig komplex selbst basteln kann. Das kriegt, wenn’s nicht gar zu simpel ist, kein Geheimdienst der Welt heraus. 🙂
Wie in allen Fällen verbleibt das Problem, daß der Empfänger entsprechende Infos zur Entschlüsselung benötigt und diese treuwidrig weitergeben könnte (wie er ja auch entschlüsselte Botschaften weiterreichen kann).
@Teo, @brak Das ist Defätismus in Reinkultur. Genauso könnte ich behaupten ihr Beiden seid von den Diensten und streut FUD.
Mit dieser Einstellungen können Probleme nie gelöst werden. Es wird auch nicht eine rundum glücklich Lösung geben sondern immer nur eine Annäherung ans Ideal (wobei das Ideal auch noch mal klar zu definieren wäre).
In diesem Zusammenhang: IT-Sicherheit ist immer ein umfassendes Konzept, nie einzelne Gadgets die nie einfach out of the Box funktionieren. TOR/JAP und ähnliches kann, wenn überhaupt, nur ein winziger Bestandteil davon sein. Man muss wissen was die Grenzen sind und damit den für sich selber definieren wozu man es nutzen will. Z.B. ist es für IP-Verschleierung nützlich wenn man denkt Probleme mit Abmahnanwälten oder IP-Loggenden Blogs zu bekommen. Wenn man ein internationaler gesuchter Terrorist ist würde ich es eher nicht nutzen…
Und, @Teo im Gegensatz zu Dir bin ich nach dem Wissen um Dienste wie z.B. der Stasi (als ein schon relativ gut seziertes geschichtliches Beispiel), über den V-Leute Dschungel im Komplex der NSU bis hin zur allmächtig erscheinenden NSA durchaus der Überzeugung das Geheimdienste nicht kontrolliert werden können und daher komplett abgeschafft gehören.
Transparenz und ein gewisses Maß an Vertrauen ist extrem wichtig für das Zusammenleben in einer Gemeinschaft oder einem Staat. Geheimdienste können dies per Definition nicht sein, sie erzeugen mehr Probleme als sie lösen können. Geheimdienste ziehen Psychopathen und Arschlöcher an wie Scheiße die Fliegen und versorgt sie mit Machtmitteln, wie die Geschichte immer wieder eindrucksvoll beweist.
Back from holiday 🙂
@Teo: Das “Blöde” an Geheimdiensten ist dies: Sie haben bereits (selbst ihren Auftraggebern) *extremen* Schaden produziert.
Sie stellen eine Bedrohung *jedes* nicht-diaktatorischen Systemes dar (da ihre “Erkenntnisse”, egal ob wahr oder gefakt) demokratische Entscheidungsträger schlicht erpressbar (oder nach Belieben des Dinestes austauschbar) machen.).
@Joe: sad but true (call me Verschwörungstheoretiker)
@Celos: FUD ist eine der standard-Technologien der Geheimdienste.
Je “unknackbarer” etwas ist (siehe TrueCrypt), desto wichtiger ist es potentielle Nutzer durch die Gefahr der “Unbenutzbarkeit”/”Knackbarkeit” davon abzuhalten, es zu nutzen.
@brak: see above
@ICKE: Nicht unbedingt. Nutzen die Server Verschlüsselung wissen Dritte “nur”, dass “Server A” an “Server B” etwas übergab.
Man kann Richard Stallman und der FSF viel vorwerfen
Die Freetards (hier war nicht speziell die FSF gemeint) behaupten immer die “good guys” zu sein, aber dafür habe ich leider schon zuviele Aktionen gesehen, die sich gegen den Endnutzer gerichtet waren, um ihnen das abzukaufen.
Beim ewigen “Linux-Desktop” bspw. bin ich inzwischen fest davon überzeugt, daß die Leute, die das dringendste Interesse daran haben, daß er nie passiert, wie bei der Piratenpartei direkt an den Schlüsselpositionen sitzen, um direkt sabotieren zu können.
Meine Theorie: Konzerne, Geheimdienste und Militär haben Linux lieber für sich allein, damit die allgemeine Malwareflut sich weiterhin schön über Windows ergießt. Deshalb werden die Projekte nicht von innen heraus komplett zersetzt, aber sobald etwas über die Nerdschiene hinauszulaufen droht, setzt es sofort kräftig religiöses Störfeuer. Und wenn man sich ansieht, welche Figuren von wo bezahlt werden, ergibt das auch Sinn.
Ansonsten gibt es noch zugenagelte Spionage-Appliances und das war’s dann. Schöne neue Welt! Vielen Dank, Linus!
Warum will man im Netz unerkannt unterwegs sein? Weil man Seiten aufrufen will, von denen man nicht möchte, dass jemand davon weiß. Es soll geheim bleiben. Und das ist nun gerade für Geheimdienste interessant.
Es ist deren Job, Geheimnisse zu finden, zu entschlüsseln und zu bewerten. Das gaht natürlich besonders einfach, wenn man die entsprechende Infrastruktur zu Verfühgung stellt un die Geheimnisse quasi bei einem abgegeben werden. 95% dürften normale Porn-Seiten sein, der Rest “rechtlich bedenkliche Pornogrphie”. Irgend etwas im 0,x Promille-Bereich betrifft “kritische” Informationen, die wirklich geheimdienstlich relevant sind.
Für den Rest aber gilt: Was man Informationen über eine Person hat, von denen diese nicht möchte, dass andere davon erfahren, kann eines Tages wertvoll sein. Das Geheimdienstgeschäft ist ein schmutziges Geschäft und es sind Verfahren üblich, für die jeder von uns lange hinter Schwedischen Gardinen verschwinden würde. Die Datenhalden sind die Quelle, aus der das Lebenselexir der Geheimdieste sprudelt: Wissen, von dem wir möchten, das sie es nicht haben.
Ungeheime Grüße,
Euer Dirk
Warum will man im Netz unerkannt unterwegs sein? Weil man Seiten aufrufen will, von denen man nicht möchte, dass jemand davon weiß. Es soll geheim bleiben. Und das ist nun gerade für Geheimdienste interessant.
Bei Anonymisierung geht es erstmal in erster Linie um den Schutz der eigenen Identität vor dem Betreiber der besuchten Seite.
So ist bekannt, daß zum Beispiel Besuchern der BKA-Webseiten nachspioniert wird, sofern sie aus der BRD kommen. Und ein nicht kompromittiertes Anon-Tool könnte eben genau das verhindern.
Der Grundgedanke der mal hinter der ganzen Sache war mal, daß grundsätzlich ein Telemedienanbieter nicht namentlich erfährt, wer ihn besucht. So wie ein Fernsehsender auch nicht erfährt, wer sein Fernsehprogramm ansieht. Das funktioniert aber nur wirksam, wenn tatsächlich auch eine breitere Nutzung dieser Werkzeuge stattfinden würde.
Die heute üblichen Google-Facebook-Tracker sind natürlich das genaue Gegenteil dieses Konzepts.
Daran, sich vor neugierigen Dritten zu schützen, hat man damals nicht gedacht, da man eine Komplettüberwachung des Internets nicht für möglich hielt.
@ Joe
> Der Grundgedanke der mal hinter der ganzen Sache war mal, daß grundsätzlich ein Telemedienanbieter nicht namentlich erfährt, wer ihn besucht.
> Daran, sich vor neugierigen Dritten zu schützen, hat man damals nicht gedacht, da man eine Komplettüberwachung des Internets nicht für möglich hielt.
Das widerspricht dem Grundgedanken meiner Ausführung nicht. Wenn jemand nicht will, dass der Anbieter nicht erfährt, wer seine Seite aufruft, möchte der Aufrufer das geheim halten. Es soll also ein Geheimnis entstehen. Und das interessiert nun mal Geheimdienste.
Und derzeit sprechen wir eigentlich nur von einer Kompletterfassung der Internetbewegungen und nicht von einer Überwachung. Die müsste in Echtzeit erfolgen. Und ja, das ist haarspalterisch, aber zum Erkennen des Problems relevant denke ich.
Haarspaltende Grüße,
Euer Dirk
Ich glaub ich schreibs nochmal, es gibt noch FreeNET, I2P, djb-ns…
ob die wirklich anonym sind oder halten, was sie versprechen: Ich weiss es nicht.
Aber man sollte sich fragen, wieso alle zwielichtigen “Freiheits”-Organisationen TOR und nur TOR erwähnen. Schon komisch.
Wenn jemand nicht will, dass der Anbieter nicht erfährt, wer seine Seite aufruft, möchte der Aufrufer das geheim halten. Es soll also ein Geheimnis entstehen. Und das interessiert nun mal Geheimdienste.
Unsinn. Nur weil der Tankstellenbetreiber, bei dem jemand ein Pornoheftchen kauft, nicht dessen Name, Anschrift und Geburtsdatum erfahren soll, fällt dabei deswegen keine für Geheimdienste interessante Information ab.
Mixmaster, so hieß das.