Skip to content

Tor-Browser in der Sandbox betreiben

Das Tor-Projekt stellt seit langem den Tor-Browser zur Verfügung. Die Entwickler investieren viel Zeit und Energie, um den zugrunde liegenden Mozilla Firefox abzusichern und gegen Angriffe auf die Privatsphäre zu schützen. Seit kurzem ist für GNU/Linux wieder ein Baustein hinzugekommen: die Sandbox. Diese gaukelt dem Browser ein eigenes System vor. Sollte jemand den Browser angreifen, so kann er in die Sandbox vordringen, aber eben nicht auf den Rechner.

In der Ankündigung zur Version 6.5a6 wird kurz darauf eingegangen. Wenn ihr die Variante testen wollt, braucht ihr einen Kernel, der Linux Namespaces unterstützt. Standardmäßig machen das alle neueren Versionen. Weiterhin müsst ihr bubblewrap und ggf. Gtk installieren. Die aktuelle Version 0.0.2 der Sandbox greift noch auf ein Adwaita-Verzeichnis zu. Daher benötigt ihr ggf. das Paket gnome-themes-standard-data unter Debian-artigen Systemen. Spätere Versionen haben diese Abhängigkeit nicht mehr.

Nach all der Vorarbeit ladet ihr die Version herunter, prüft die Signatur und entpackt das Archiv. Darin befindet sich eine ausführbare Datei namens sandboxed-tor-browser. Nachdem die gestartet ist, werdet ihr gefragt, welchen Tor-Browser ihr verwenden wollt. Der wird dann heruntergeladen und ein letzter Konfigurationsdialog erscheint. Dort könnt ihr Bridges und weiteres einstellen. Nachdem dies bestätigt ist, startet der Tor-Browser wie gewohnt und kann benutzt werden.

Im Hintergrund nimmt die Tor-Software über Unix-Sockets eine Verbindung zum Browser auf. Früher wurde eine TCP-Verbindung auf der lokalen Maschine verwendet. Durch die Nutzung einfacher Dateien fällt dies nun weg. Die Entwickler überlegen auch, ob es nicht möglich ist, diverse Netzwerkbibliotheken aus dem Browser zu entfernen. Wozu benötigt ein Browser denn solche Sachen? :-)

Solltet ihr Fehler finden, schreibt eine Meldung in den Bugtracker. Das Wiki von Tor hat weitere Informationen zur Sandbox. Viel Spaß beim Testen!

Dokumentation von Kindesmissbrauch im Tor-Netzwerk

Kennt ihr die Situation, dass ihr anderen über Tor erzählt und sofort die Antwort erhaltet, Tor wird doch nur von Kriminellen und Kinderpornographen benutzt? Nach meinem Gefühl kommt diese Meldung recht häufig. Auch die Medien berichten gern über Tor als das Deep Web, wo es Waffen, Drogen und dokumentierten Kindesmissbrauch gibt. Auf der anderen Seite stehen meine Erfahrungen als Betreiber von Tor-Servern bzw. von Tor2Web-Knoten. Hier sind die Meldungen über Missbrauch bzw. verbotene Inhalte äußerst gering. Aber natürlich habe ich keinen allgemeinen Überblick über die Gesamtzahl.

Logo des IWFUmso interessanter fand ich eine Meldung, die kürzlich von der Internet Watch Foundation (IWF) verbreitet wurde. Die IWF stellt sich selbst zur Aufgabe, die Verfügbarkeit von kriminellen Inhalten im Internet zu minimieren.

To minimise the availability of potentially criminal internet content specifically:

  • Child sexual abuse content* hosted anywhere in the world.
  • Criminally obscene adult content hosted in the UK.
  • Non-photographic child sexual abuse images hosted in the UK.

Die Gesellschaft brachte nun einen Bericht über die Inhalte heraus, die aus dem Internet gelöscht werden konnten. Insgesamt haben sie im Jahr 2015 fast 70.000 Meldungen erhalten, die Dokumentation von Kindesmissbrauch erhielten und diese aus dem Netz genommen. Im Bericht gibt es einige Statistiken. Unter anderem steht auf der Seite 9 eine Grafik mit der geografischen Verteilung. Dort ist auch die Rede von hidden services. Diese werden mit Australasia, Südamerika und Afrika zusammengefasst und machen insgesamt weniger als ein Prozent aus.

Images and videos hosted in Australasia, South America, Africa and in hidden services (where the content cannot be traced) totalled less than 1 % of all confirmed child sexual abuse content in 2015.

Insgesamt wurden im letzten Jahr 79 Hidden Services gefunden. Die Autoren des Berichts schreiben aber auch, dass die Betreiber der Seiten regelmäßig die Adressen der Services tauschen, um nicht entdeckt zu werden. Dies ist wohl recht ähnlich zu den Diensten, die über das offene Web angeboten werden.

Insgesamt bietet der Bericht eine gute Übersicht zur Situation. Wenn mich mal wieder jemand auf Tor und Kinderpornografie anspricht, kann ich zumindest auf die Zahlen aus dem Bericht verweisen.

Neue Wege, um den Tor Browser herunterzuladen

GetTor-LogoVor kurzem war ich zu Vorträgen bei der Stoyschule in Jena eingeladen. Dabei ging es zumeist um Datenschutz und Überwachung. Unter anderem kam ich dabei auch auf den Tor Browser zu sprechen. Als ich auf die Webseite des Tor-Projekts gehen wollte, scheiterte ich an einem Filter. Seitens jena.de wird ein Webfilter betrieben, der unter anderem die Webseite blockiert und auch TLS-Verbindungen aufbricht (Man-in-the-middle-Angriff). Leider hatte ich keine eigene Kopie des Tor Browser einstecken und wollte auch keine Zeit mit weiteren (eventuell erfolglosen) Versuchen verbringen. Aber seit ein paar Tagen gibt es mehr Möglichkeiten, an eine Kopie der Software zu kommen.

Das Tor-Projekt erklärte heute in einem Blogbeitrag, welche neuen Wege existieren. Die Grundlage hierfür ist das Projekt GetTor. Dort sollen alternative Methoden entwickelt werden und die Ergebnisse sind:

  • Twitter: Schickt eine Direktnachricht (DM) an den Account @get_tor. Anfangs reicht es help zu schicken und der Bot schickt euch Anleitungen zurück. Derzeit könnt ihr den Namen des Betriebssystems (windows,linux,osx oder android) oder das Wort mirrors zu schicken. Ihr bekommt dann Downloadlinks zu verschiedenen Seiten oder eine Liste von alternativen Downloadseiten (Mirrors) zurück.
  • XMPP/Jabber: Das XMPP-Konto get_tor@riseup.net nimmt ebenfalls die obigen Anweisungen entgegen.

Falls ihr also Probleme habt, an die Software zu kommen, so nutzt die obigen Wege oder sucht einen funktionierenden Mirror. Viel Spaß beim sicheren und anonymen Surfen! ;-)

Tor mit Realnamen benutzen?

Nachdem ich von der Mail von Twitter schrieb, gab es einige Reaktionen. Unter anderem behauptete Alvar Freude, dass wir nur gehackt wurden, weil wir Tor benutzen. Constanze Kurz und ich verfassten bei Netzpolitik.org eine Antwort darauf.

Alvar schreibt in seinem Originalbeitrag:

Besonders unsinnig ist die Benutzung von Tor in der Regel dann, wenn man gleichzeitig mit Realname auf Twitter oder Facebook oder sonstwas unterwegs ist.

Diese Kritik hörte ich auch in anderen Kanälen. Viele fanden es merkwürdig bis sinnlos einen Dienst zu nutzen, bei dem man sich letztlich mit seinem richtigen Namen anmeldet. Bei Netzpolitik war dazu unter anderem zu lesen:

Doch selbst wenn jemand dort einen Namen angegeben hat, woher soll Twitter oder Facebook wissen, dass es sich tatsächlich um diese Person handelt? Es gibt keine Pflicht, sich mittels Personalausweis oder anderen Dokumenten anzumelden, und dies soll auch weiterhin so bleiben. Gerade Menschen, die Wert auf eine freiheitliche Nutzung der Netze legen, geben nicht immer ihren Realnamen an.

Nun ist es bei mir aber so, dass ich bei Twitter durchaus unter meinem wirklichen Namen schreibe und trotzdem Tor nutze. Warum mache ich das?

Zwischen mir und Twitter, Facebook oder anderen Webseiten liegt auch der Provider. Dieser kann auch erkennen und mitschneiden, welche Seiten ich besuche. Ich bin der Meinung, dass ihn das auch nichts angeht.

Wenn man davon ausgeht, dass man das Internet immer von zu Hause benutzt, so ist es sicher unwahrscheinlich, dass euer Provider eure Internetnutzung protokolliert. Sollte sich aber der Verdacht des staatlichen Hackings bestätigen, könnte es eben auch sein, dass jemand an den Provider herangetreten ist und alles mitschneiden lässt.

Aber selbst wenn das nicht der Fall ist, so benutzen viele das Internet eben nicht nur von zu Hause. Gerade in der IT-Branche wie auch bei anderen Arbeitgebern ist die private Nutzung des Internets erlaubt. Daneben gibt es Cafés, Hotels, Bahnhöfe und andere öffentliche Orte mit Internetzugang. Gerade mit Hotels habe ich einige merkwürdige Erfahrungen gemacht. Aus meiner Sicht benötigt man spätestens beim Verlassen des Hauses Schutzmaßnahmen. Das kann ein VPN, Tor oder anderes sein. Jedes Werkzeug hat seine Vor- und Nachteile.

Gerade wenn man unterwegs ist und daher verschiedene Netze benutzt, gibt man diese Informationen auch an Seiten, wie Twitter und Facebook weiter, da diese meist sehr lange, über mehrere Verbindungen genutzt werden.

Bei all diesen Szenarien bietet mir Tor Schutz vor Beobachtung von außen. Dies ist unabhängig von der Tatsache, ob ich mich irgendwo mit Realnamen anmelde oder nicht.

Bericht der UN zu Verschlüsselung und Anonymität

Der UN-Berichterstatter für die freie Meinungsäußerung (freedom of expression), David Kaye, hat heute den Report on encryption, anonymity, and the human rights framework veröffentlicht. In dem Bericht geht es um zwei Fragen:

  1. Wird verschlüsselte und/oder anonymisierte Onlinekommunikation durch das Recht auf Privatsphäre und die Redefreiheit geschützt?
  2. Wie können Regierungen diese Rechte gegebenenfalls einschränken.

Das Dokument ist im DOC-Format auf der Seite zu finden. Ich habe auch eine Variante als PDF auf meiner Seite abgelegt.

Das Dokument beginnt mit ein paar einleitenden Worten und diskutiert dann Sicherheit sowie Privatsphäre in digitalen Medien. Die Kapitel 3 (Encryption, anonymity and the rights to freedom of opinion and expression and privacy) und 4 (Evaluating restrictions on encryption and anonymity) beschäftigen sich dann detaillierter mit den obigen Fragen. Das fünfte Kapitel hat dann Schlussfolgerungen und Empfehlungen an Staaten sowie verschiedene Organisationen.

Vom ersten Überfliegen bietet der Report einige wichtige Aussagen. So wird anerkannt, dass Verschlüsselung wie auch Anonymisierung wichtige Werkzeuge sind, um das Recht auf freie Meinungsäußerung ausüben zu können.  Staaten wird nahegelegt, entsprechende Gesetze auf den Weg zu bringen und die Diskussion nicht immer nur im Hinblick auf möglichen Missbrauch (Stichwort: Terrorgefahr) zu führen. So steht in Absatz 59:

States should promote strong encryption and anonymity. National laws should recognize that individuals are free to protect the privacy of their digital communications by using encryption technology and tools that allow anonymity online. Legislation and regulations protecting human rights defenders and journalists should also include provisions enabling access and providing support to use the technologies to secure their communications.

Aber auch Firmen und private Unternehmen sollen Verschlüsselung und sichere Kommunikation fördern!

Nach dem ersten Überfliegen habe ich den Eindruck, dass das ein sehr interessantes Dokument ist. Wir sollten es inbesondere diversen Politikern als Bettlektüre mitgeben.

Das BfV und die Spionageabwehr

Gestern war ich auf dem IT-Sicherheitstag bei der IHK Gera eingeladen. Dort hielten verschiedene Fachleute Vorträge oder Workshop. Die einleitenden Vorträge kamen von einem Experten für Spionageabwehr beim Bundesamt für Verfassungsschutz und von mir.

Der Referent des Verfassungsschutzes erklärte, woher die Bedrohungen für die Wirtschaft kommen, wie die aussehen können und was die Firmen dagegen tun können.

Woher kommen die Bedrohungen? Anfangs wurden insbesondere Russland und China mit ihren diversen Einheiten genannt. Die im weiteren Vortrag folgenden Beispiele wurden immer von chinesischen Bürgern ausgeführt. Zum Abschluss stellte der Redner fest, dass der Verfassungsschutz ja einen 360°-Blick hat und es keine Bedrohungen von westlichen Diensten gibt. Hauptgrund war die Tatsache, dass es keine Anzeigen aus der Wirtschaft gibt. Bedeutet das, dass Spionageabwehr nur aus dem Warten auf Anzeigen besteht?

Ich griff den Ball dann in meinem Vortrag nochmal auf und verwies auf den Fall Enercon, wo die NSA spionierte. Daneben verwies ich auf den DGSE und andere Dienste, deren Ziel Wirtschaftsspionage ist und in deren Fokus auch westliche Unternehmen stehen.

Der Vortrag des BfV-Referenten hatte viele Filme zur Illustration dabei. Wenn es dabei um Wirtschaftsspionage ging, kamen die Beispiele aus der Schweiz oder Österreich. Ich fragte mich, warum es keine Beispiele deutscher Unternehmen gibt und was das BfV mit schweizer oder österreicher Unternehmen zu tun hat. Eigentlich soll die Behörde Informationen sammeln, die sich gegen die FDGO richten oder deutsche Unternehmen gefährden.

Den Abschluss des Vortrages bildete ein wenig Werbung für die Behörde. Den schließlich würde diese diskret mit Informationen umgehen und, was dem Vortragenden wichtig zu sein schien, sie unterliegt nicht dem Legalitätsprinzip. Das heißt, bei Kenntnis von Straftaten müssen diese nicht angezeigt werden.

Insgesamt hinterließ der Vortrag bei mir einen recht faden Beigeschmack und bestätigte mein Bild von den »Verfassungsschützern«.

cronjob