Qbi's Weblog

Alexander Janssen schrieb kürzlich auf der Tor-Mailingliste, dass es zwei Ermittlungen gegen ihn gibt und hielt sich sonst eher bedeckt. Gestern verwies er auf die genaue Beschreibung des Vorfalls in seinem Blog. Demnach trat die Polizei um Mitternacht seine Tür ein (bildlich gesprochen), legte ihm Handschellen an und durchsuchte seine Wohnung. Später wurde er dann mit auf die Wache genommen. Sein Verbrechen? Er betreibt einen Tor-Server und darüber wurde wahrscheinlich eine Bombendrohung in ein Webforum gepostet. Damit wurde die Liste der Übergriffe gegen Tor-Austrittsserver um einen (sehr schwer wiegenden) Eintrag länger. Wenn man die Berichte, die auf der Tor-ML aufschlagen so liest, fällt auf, dass nahezu alle Angriffe gegen das Tor-Netzwerk bzw. die Router von deutschen Behörden stattfinden. Wie schon Kai in seinem Beitrag Polizeihorror gegen Tor Exit Router Betreiber schreibt, sollte man in Deutschland nur einen Mittelknoten betreiben. Für einen Tor-Austrittsserver sollte derjenige genau wissen, was er tut und mit dem Risiko von Beschlagnahmungen, Hausdurchsuchungen etc. leben können.

Glücklicherweise wird der Vorfall momentan von einigen Medien aufgegriffen. Ich las Einträge bei Slashdot, The Register, BoingBoing, Heise und einigen anderen. Ich hoffe, Alexander erhält dadurch genügend Unterstützung, um das Wirrwarr zu überstehen und auch den Schreck zu überwinden.

Wenn ihr euch fragt, was ihr denn noch tun könnt, habe ich guten Rat. Am kommenden Samstag ist in Berlin die Demonstration Freiheit statt Angst. Diese setzt sich gegen die geplante Vorratsdatenspeicherung und gegen weitere Überwachungsmaßnahmen ein. Dort könnt ihr zusammen mit mehreren Tausend anderen Bürgern Protest gegen die zunehmende Überwachung ausdrücken. Die Liste der Unterstützer ist mittlerweile auf über 50 Organisationen angewachsen. Soweit ich das sehe, ruft außer der CDU jede im Bundestag sitzende Partei (oder Jugendorganisation derselben) zur Demo auf. Weiterhin findet ihr in der Liste Verbände von Journalisten, Ärzten, Telefonseelsorgern etc. Also geht auch zur Demo und drückt euren Protest aus.

Maddi erzählte mir vor kurzem von einem neuen und tollen Projekt. Die Macher von Picidae haben ein Kunstprojekt auf die Beine gestellt, welches Zensur umgehen soll. Hierzu gibt es ein Eingabeformular für die Adresse der Webseite, die man anschauen will. Die Software von Picidae ruft die Webseite auf und generiert daraus ein Bild. Dieses Bild wird dann auf einer Webseite dargestellt. Die Logik ist, dass Bilder sich schwer zensieren lassen. Daher kann Picidae die Zensur umgehen.

Leider ist das nicht ganz so. Einerseits lassen sich die Picidae-Server einfach zentral sperren. Damit ist es ganz vorbei und die Zensur ist wieder da. Andererseits kann man auch subtiler vorgehen. Denn die Software nutzt JavaScript, um die angefragte URL zu verschlüsseln. Im Kopfteil der HTML-Datei ist eine Funktion scramble. Diese könnte der Angreifer einfach mittels eines vorgeschaltenen Proxys entfernen. Dann wird die URL in der GET-Anfrage im Klartext verschickt. Eine Anfrage für meine Webseite sähe dann beispielsweise so aus: GET /browse.php?f=sessionid&&c=0&u=http%3A%2F%2Fkubieziel.de HTTP/1.1\r\n. Der Angreifer muss also nur noch den Wert von u auswerten und kennt die Seiten, die abgerufen werden. Der Benutzer merkt hiervon in der Regel nichts und glaubt, er hat die Zensur umgangen.

Weitere Spielereien lassen sich auch mit der eingebauten Verschlüsselung machen. Aber wahrscheinlich funktioniert der obige Angriff schon so gut, dass man keine großen Umstände machen muss. Insofern ist Picidae eine nette Spielerei (und Kunstprojekt). Aber für ernsthafte Versuche, die Zensur zu umgehen, sollte ein Benutzer lieber auf Tor oder andere Werkzeuge zurückgreifen.