Skip to content

Warum eine Onion-Adresse betreiben anstatt Menschen animieren, Tor zu nutzen

Dieser Text ist eine Übersetzung des Blogpostings Why offer an Onion Address rather than just encourage browsing-over-Tor? von Alec Muffett. Alex pflegt auch eine Liste nützlicher Onion-Adressen.


Es gibt eine Reihe von Gründen, eine Onion-Site einzurichten. Ein Reihe von Vorteilen waren für Plattformen wie Facebook, BBC oder NYTimes von Nutzen.

Die ersten Vorteile sind Authentizität und Verfügbarkeit: Wenn du den Tor-Browser benutzt und genau die richtige Onion-Adresse eingibst, bist du garantiert mit der erwarteten Seite verbunden, was du erwartest - oder eben gar nicht.

Das ist für die Menschen sehr einfach zu begreifen und auch einfach zu erklären.

Diese Funktion entschärft Angriffe, die von möglicherweise bösartigen “Tor-Exit-Knoten” ausgehen können. Die Angriffe sind zwar selten, existieren aber dennoch. Die Tatsache, dass du eine “.onion”-Adresse verwendest, setzt voraus, dass du Tor und den Tor-Browser verwendest. Dies entschärft die folgenden möglichen Angriffe:

  • landesweite Websperren
  • Man-in-the-Middle-Angriffe auf das TLS-Protokoll
  • SNI-Filter
  • Tracking und Zensur von DNS-Anfragen (betrifft sowohl Clients wie auch Exitknoten)
  • Probleme beim Tracking durch Cookies und Fingerprinting-Angriffen
  • … sowie eine Reihe weiterer Probleme

Um es anders zu formulieren: Die Werbung für eine Onion-Adresse ist ein implizites Verkaufsargument für die Nutzung von Tor.

Update: Eine Sache, die ich in der ursprünglichen Version dieses Beitrags vergaß zu erwähnen, ist, dass die Nutzung von Onion-Netzwerken für Seiten mit hohem Traffic den Druck auf die Exit-Node-Infrastruktur von Tor reduziert. Denn der Traffic fließt stattdessen durch die größere und reichhaltigere Menge an Middle-Relays, ohne Exit-Nodes und/oder das Klartext-Internet zu nutzen.

Letzteres ist wichtig und bringt uns zum zweiten (dritten?) Satz von Vorteilen:

Der Betrieb einer Onion-Site ist eine Verpflichtung [der Plattform], mit Tor-Benutzer:innen gerecht umzugehen; bei der normalen Benutzung von Tor werden die Benutzer mit allen anderen vermischt, die aus dem Internet kommen, und (seien wir ehrlich) einige Leute benutzen Tor manchmal zum Herunterladen einer kompletten Webpräsenz (Scraping) oder anderem unangenehmen Verhalten.

Das führt zu der Herausforderung, die “Spreu vom Weizen zu trennen”.

Das Einrichten einer Onion-Adresse ist jedoch ein praktischer Schritt, der zeigt, dass die Plattform explizit auf die Bedürfnisse von Tor-Nutzern eingeht, und nun kehrt sich das Problem um: Ein gewisses Maß an schlechtem Verhalten über die Onion-Adresse kann überwacht und als “schlechtes Verhalten” eingestuft werden, was den Tor-Nutzern maximale Freiheit gewährt.

Dies ist eine Angelegenheit, die ich bei Facebook hautnah miterlebt habe und auf einer Tor-Mailingliste beschrieben habe.

Wenn ich die Vorteile in einem Satz zusammenfassen sollte, wäre es folgender: Eine Onion-Adresse ist ein Versprechen und ein Mechanismus, der sicherstellt, dass du die Bedürfnisse der Leute, die Tor benutzen, ernst nimmst.

Anstatt ihnen zum Beispiel eine endlose Reihe von CAPTCHAs auf Basis der IP-Reputation aufzudrängen.

 

 

Thüringens Finanzministerium spricht sich gegen eine Sperrung von Tor aus

Im März 2020 wollte ich die Webseite des Thüringer Ministerium für Arbeit, Soziales, Gesundheit, Frauen und Familie (TMASGFF) besuchen. Jedoch war der Versuch nicht von Erfolg gekrönt. Die Seite ludt nicht. Auch nach mehreren Versuchen hatte ich keinen Erfolg. Ich fand dies recht verwunderlich, da die anderen Webseiten der Thüringer Behörden schnell im Tor-Browser angezeigt werden.

Bei meinen Nachforschungen stellte ich fest, dass die Webseite bei dem Provider Alfahosting betrieben wird. Bei Alfahosting habe ich seit vielen Jahren den Eindruck, dass die Tor blockieren. Das heißt, wenn man den Tor-Browser nutzt, lassen sich die Seiten nicht aufrufen, sondern laufen ins Leere. Bei meinen früheren Tests ließ sich nur die Homepage des Providers selbst über Tor abrufen. Bei den Seiten der Kunden hatte ich hingegen keinen Erfolg. Dies erklärte auch, warum die Seite des Sozialministeriums nicht abrufbar war.

Ich fragte also beim Ministerium nach einer Begründung für die Blockade. Das Ministerium hatte wichtige Informationen zu der Corona-Pandemie und daher fand ich es wichtig, dass möglichst alle Informationen abrufen können. Das TMASGFF begründete das Vorgehen mit kriminellen Aktivitäten, insbesondere Hacker-Angriffen. Mit Blick auf das gesteigerte Sicherheitsrisiko wurde die Sperrung als legitim erachtet.

Die Antwort aktivierte meinen IFG-Sinn. :-)

Wenn die obige Antwort so korrekt ist, muss es ja Zahlen zu den Angriffen aus dem Tor-Netzwerk geben. Diese interessierten mich. Also bat ich das TMASGFF, mir Angaben zu Angriffen aus dem Tor-Netzwerk und über das Nicht-Tor-Netzwerk zu senden (Anfrage über den Onion-Service). Meine Anfrage wurde an den Provider weitergegeben. Dieser prüfte und prüfte und prüfte … Drei Monate später hatte ich immer noch keine Antwort und hakte nach.

Mitte Juni erhielt ich die wenig befriedigende Antwort:

Konkrete Zahlen (Anzahl und Art von Angriffen auf unserer Seite) kann unser Dienstleister aus Sicherheitsgründen nicht an uns übermitteln.

Immerhin hatte das Ministerium in der Zwischenzeit beim Landesrechenzentrum nachgefragt und wurde von dort an den Beauftragten für Informationssicherheit verwiesen.

Mitte Oktober 2020 fiel mir auf, dass https://www.tmasgff.de/ plötzlich aus dem Tor-Netzwerk verfügbar war. Also fragte ich nochmal nach und erhielt dann zur Antwort:

Der Zugriff auf reine Informationsseiten aus dem Tor-Netzwerk stellt nach Auffassung des Thüringer Finanzministeriums kein besonderes Risiko dar, das eine Netzsperre für IP-Adressen von Tor-Exit-Nodes rechtfertigt. Das Thüringer Finanzministerium wird daher eine grundsätzliche Sperrung von Tor-Exit-Nodes nicht empfehlen.

Diese Aussage stammt vom Informationssicherheitsbeauftragten des Freistaats Thüringen, der beim Finanzministerium angesiedelt ist.

Ich bin sehr froh über diese Einschätzung und teile diese vollumfänglich. :-)

Von Saudi-Arabien gehackt

Im Dezember 2015 erhielt ich eine Nachricht von Twitter. Der Dienst informierte mich, dass ich Opfer staatlichen Hackings wurde. Die Nachricht selbst war recht allgemein gehalten:

Rein vorsorglich möchten wir Sie darüber informieren, dass Ihr Account zu einer kleinen Gruppe von Accounts gehört, die Ziel eines staatlich motivierten Hackerangriffs geworden sein könnte. Das bedeutet, dass die Hacker möglicherweise mit einer Regierung in Verbindung stehen. Wir vermuten, dass Daten und Informationen wie zum Beispiel Email-Adressen, IP-Adressen und Telefonnummern ausspioniert werden sollten.

Durch meinen Blogeintrag und die Suche auf Twitter fand ich damals weitere Betroffene. Wir waren alle recht ahnungslos, wer uns aus welchem Grund hacken sollte. Netzpolitik.org warf damals einen Blick auf die Twitterkonten und fand wenig Gemeinsamkeiten. Am ehesten war ein Großteil der Betroffenen als Aktivisten tätig. Die Zusammensetzung an Sprachen, Ländern etc. war jedoch sehr divers.

Mittels eines offenen Briefes versuchten wir Antworten von Twitter zu erhalten. Doch weder gegenüber uns noch gegenüber Journalisten äußerte sich Twitter. Damit könnte die Geschichte zu Ende sein.

Mitte Oktober 2018 gab es nun neue Bewegung. Die New York Times veröffentlichte den Artikel »Saudis’ Image Makers: A Troll Army and a Twitter Insider«. Der Aufhänger des Artikels ist der Mord an Jamal Kashoggi. Dieser wurde vermutlich in der saudi-arabischen Botschaft in Istanbul auf brutale Weise getötet. Der Artikel berichtet, dass sich eine Troll-Armee mit dem Ziel an ihm festgebissen, ihn zum Schweigen zu bringen. Er selbst plante Gegenmaßnahmen:

Before his death, Mr. Khashoggi was launching projects to combat online abuse and to try to reveal that Crown Prince Mohammed was mismanaging the country. In September, Mr. Khashoggi wired $5,000 to Omar Abdulaziz, a Saudi dissident living in Canada, who was creating a volunteer army to combat the government trolls on Twitter. The volunteers called themselves the “Electronic Bees.”

Diese Troll-Aktivitäten wurden im Artikel auf das saudische Königshaus zurückgeführt. Daneben gab es auch Bestrebungen, Twitter direkt zu infiltrieren. Eine Person namens Ali Alzabarah wurde 2013 bei Twitter eingestellt und stieg dort Stück für Stück auf. Irgendwann hatte er direkten Zugang zu personenbezogenen Daten und saudische Geheimdienstler kontaktierten ihn. Er sollte diese Daten an die Saudis weitergeben. Twitter begann eine Untersuchung und entließ die Person. Im Rahmen der Untersuchung fand Twitter keine Hinweise, dass Daten an Saudi-Arabien weitergegeben wurden.

Damit sind zumindest einige der Fragen beantwortet. Jedoch frage ich mich immer noch, warum Saudi-Arabien gerade Interesse an meinen Daten haben könnte.

Blog entflickt

In einem Beitrag vor ein paar Tagen kam ich zu der Ansicht, dass spätestens mit der Anwendung der Datenschutz-Grundverordnung am 25. Mai 2018 Flickr nicht mehr genutzt werden kann. Das bedeutete für mich, dass ich mein Blog auf Bilder prüfen muss, die über Flickt eingebunden werden. Soweit ich das sehe, ist das jetzt abgeschlossen. Es sollten keine Bilder mehr über Flickr und andere fremde Quellen kommen.

Weiterhin habe ich geprüft, ob ich bei YouTube-Videos die Domain youtube-nocookie.com verwende. Auch dies sollte jetzt der Fall sein. Damit kommen die Videos hier im Blog entweder von obiger YouTube-Seite oder von media.ccc.de.

Solltet ihr noch Sachen finden, die von woanders eingebunden werden, freue ich mich über einen Hinweis in den Kommentaren.

Onion Services zum Mitnehmen

Eines meiner Hauptthemen hier im Blog ist Tor bzw. die Anonymität. So versuche auch ich dogfooding zu betreiben, also Tor beim täglichen Browsen zu verwenden. Hin und wieder stoße ich dabei auf Probleme. Entweder ich stoße auf die CAPTCHAs von CloudFlare oder die Seite öffnet sich gleich gar nicht. In letzteren Fällen wird Tor aktiv ausgesperrt. Doch was tun, wenn man die Seiten dennoch per Tor besuchen will?

Zum Glück gibt es das »Darknet«. :-) Mittels Tor Onion Services ist es möglich, beliebige Seiten zu spiegeln. Das heißt, eine Rechner ruft die Seite auf und liefert das Ergebnis über eine Onion-Seite aus. Bei der praktischen Umsetzung hilft das Enterprise Onion Toolkit (EOTK).

Untenstehend findet ihr einige Onion Services, die ich für mich oder andere aufgesetzt habe. Wenn ihr weitere Wünsche habt, hinterlasst einen Kommentar. Ich erwarte, dass die Liste im Laufe der Zeit weiter wächst:

Ich erhielt eine Nachfrage, Wikipedia auch als Onion Service anzubieten. Die Seite lässt sich über Tor problemlos aufrufen und sperrt Bearbeitungen von Tor-Servern. Alec Muffett hat dies schon versucht und mir dringend abgeraten, dies ebenfalls zu tun. Hier erscheint es sinnvoller, Überzeugungsarbeit bei Wikipedia zu leisten.

tweetbackcheckcronjob