Skip to content

Onion Services zum Mitnehmen

Eines meiner Hauptthemen hier im Blog ist Tor bzw. die Anonymität. So versuche auch ich dogfooding zu betreiben, also Tor beim täglichen Browsen zu verwenden. Hin und wieder stoße ich dabei auf Probleme. Entweder ich stoße auf die CAPTCHAs von CloudFlare oder die Seite öffnet sich gleich gar nicht. In letzteren Fällen wird Tor aktiv ausgesperrt. Doch was tun, wenn man die Seiten dennoch per Tor besuchen will?

Zum Glück gibt es das »Darknet«. :-) Mittels Tor Onion Services ist es möglich, beliebige Seiten zu spiegeln. Das heißt, eine Rechner ruft die Seite auf und liefert das Ergebnis über eine Onion-Seite aus. Bei der praktischen Umsetzung hilft das Enterprise Onion Toolkit (EOTK).

Untenstehend findet ihr einige Onion Services, die ich für mich oder andere aufgesetzt habe. Wenn ihr weitere Wünsche habt, hinterlasst einen Kommentar. Ich erwarte, dass die Liste im Laufe der Zeit weiter wächst:

Ich erhielt eine Nachfrage, Wikipedia auch als Onion Service anzubieten. Die Seite lässt sich über Tor problemlos aufrufen und sperrt Bearbeitungen von Tor-Servern. Alec Muffett hat dies schon versucht und mir dringend abgeraten, dies ebenfalls zu tun. Hier erscheint es sinnvoller, Überzeugungsarbeit bei Wikipedia zu leisten.

Gemeinsam Dokumente im Web erstellen

Ich treffe immer wieder Menschen, die gemeinsam an Dokumenten schreiben. Manchmal sind dies wissenschaftliche Veröffentlichungen, mal Pressemitteilungen, mal ganz andere Sachen. In vielen Fällen läuft es so, dass jemand einen Entwurf macht, den per E-Mail oder Messenger verteilt. Dann editieren andere Leute und schicken dies wieder weiter. Wenn ich solch ein Setup sehe, stelle ich den Leuten EtherPad vor und stoße auf helle Begeisterung.

Kürzlich fiel mir auf, dass es verschiedene EtherPad-ähnliche Software gibt und ich fragte nach, welche Software andere so kennen. Unten habe ich eine Liste von Software zusammengestellt, mit der man synchron im Web zusammenarbeiten kann. Sollte euch da etwas fehlen, hinterlasst bitte einen Kommentar.

  • EtherPad bzw. Etherpad Lite: ist der Klassiker auf dem Gebiet. In einem Browserfenster kann man gemeinsam Dokumente bearbeiten, den Text exportieren, chatten etc. Die Software kann selbst gehostet werden. Probieren und benutzen kann man u.a. auf https://pad.riseup.net/ (auch als Tor Onion Service) oder https://pad.systemli.org/. Auf Github gibt es eine Liste von Instanzen.
  • Google Docs: ist eine relativ bekannte Möglichkeit, Dokumente gemeinsam zu bearbeiten. Die Oberfläche lehnt sich an die entsprechenden Microsoft-Programme an. Dokumente können nur mit einem Google-Account angelegt werden. Je nach Freigabe kann man diese ohne Account lesen oder bearbeiten.
  • Ethercalc: ist eine kollaborative Tabellenkalkulation. Auf der Ethercalc-Seite kann man die Benutzung probieren.
  • Firepad: ist recht ähnlich zu EtherPad.  Die Liste an Beispielen macht den Eindruck, dass Firepad wesentlich mehr kann (Code editieren, Rich Text etc.). Ein Spielplatz zum Testen gibt es auf der Demoseite.
  • Hiro: bietet Editieren mit oder ohne Login. Im Gegensatz zu EtherPad scheint es keine Möglichkeit zu geben, Rich-Text-Strukturen in den Text einzubringen. Dagegen lassen sich sehr leicht neue Dokumente anlegen und in einer Instanz verwalten. Der Zugriff kann explizit per Mail oder Telefonnummer vergeben werden. Aber innerhalb der Anwendung lässt sich auch ein Link zum Verteilen erzeugen. Ein Testdokument kann man direkt auf der Webseite anlegen.
  • Sandstorm: ist eine Lösung mit der sich verschiedene Software betreiben lässt. Das Angebot reicht von Etherpad über Wikis bis hin zu Projektmanagementsoftware uvm. Wer einen Account auf einer Sandstorm-Instanz hat, kann nach Bedarf diese Software mit einem Klick installieren und nutzen. Eine Version zum Probieren ist verfügbar.

Die obigen Lösungen würde ich als allgemein nutzbare einschätzen. Daneben gibt es einige, die spezielle Wünsche befriedigen oder mit denen sich bestimmte Dokumentformate bearbeiten lassen:

  • ShareLaTeX bzw. Overleaf: Beide Varianten eignen sich zum Bearbeiten von LaTeX-Dokumenten. ShareLaTeX benötigt einen Login. Bei Overleaf kann man das Editieren vorab testen.
  • Fiduswriter: wie oben kann mit dem Programm LaTeX-Dokumente editieren und es wird ebenso ein Login benötigt. Nach meinem Eindruck ist die Eingabe zum Teil etwas komplizierter als oben, aber gerade bei der Literaturverwaltung scheint Fiduswriter mehr zu können. Mit einem Login kann man die Anwendung testen.
  • HackMD: eignet sich Bearbeiten von Dateien im Markdown-Format. Die Seite benötigt auch einen Login und ihr könnt ausprobieren.
  • Oinker: ist eine Plattform, die sich eher eignet, um Inhalte mit Text, Bildern etc. zu veröffentlichen. Das Einführungsvideo zeigt die Möglichkeiten der Plattform. Um dies zu benutzen, muss man angemeldet sein.
  • Smashdocs: ist wie Oinker eher zum Bearbeiten kompletter Texte mit Bildern und mehr Informationen gedacht. Wie bei Word gibt es eine Änderungsverfolgung und anderen Features, die an Textverarbeitungen erinnern. Eine Demo ist nur mit Login verfügbar.
  • CryptPad: legt die Dokumente verschlüsselt ab. Der Schlüssel ist Teil der URL. Das heißt, Personen mit einer korrekten URL bekommen Zugriff auf die Datei. Der Betreiber selbst hat nicht notwendigerweise Zugriff. Testen lässt sich die Software direkt bei CryptPad oder auch beim C3W.

Solltet ihr mehr solche Dienste kennen, schreibt es in die Kommentare.

Infosec Bytes -- Videoanleitungen zur sicheren Kommunikation

Ich habe in den letzten Tagen ein wenig mit Infosec Bytes zusammengearbeitet. Die Organisation enstammt dem Centre for Investigative Journalism und möchte anderen Journalisten Trainings im sicheren Umgang mit dem Rechner und dem Netz bieten. Hierzu wurden eine Reihe von Videos veröffentlicht, andere Publikationen sind noch in der Pipeline.

Hier findet ihr beispielsweise eine kleine Einführung zu Tor:

Why journalists and whistleblowers need to understand infosecurity

Neues Theme und aktuelle Software

Kürzlich trafen sich Teile der S9Y-Gemeinde im Linux-Hotel zum S9YCamp. Im Rahmen des Treffens wurde unter anderem eine neue Version der Blogsoftware herausgegeben. Ich habe das mal zum Anlass genommen und die Software auf den aktuellsten Stand gebracht. Ein unerwarteter Nebeneffekt war, dass mein bisher verwendetes Theme nicht mehr verfügbar war. Ich habe mich daher entschieden, zunächst RESY einzusetzen. Falls ihr ein anderes oder besseres Theme kennt, schlagt gern etwas vor. Derzeit bin ich für alle Vorschläge offen. ;-)

Geheimdienst versucht, Tor-Admin anzuwerben

Bei Buro Jansen & Jansen erschien ein Bericht eines Tor-Admins. Der niederländische Geheimdienst versuchte, ihn anzuwerben.

Laut seiner Aussage versucht der Geheimdienst eine Joint SIGINT Cyber Unit (JSCU) aufzubauen und spricht dafür, Studentinnen und Studenten aus dem IT-Bereich an. Insbesondere sollte die Person auch Deutschland bereisen und hier Hackspaces sowie Vertretungen des CCC besuchen. Dem Geheimdienst schien es besonders wichtig zu sein, Landsleute im Ausland zu beobachten. Außerdem schienen sie Leute im Umfeld von Tor und Tails zu suchen.

Insgesamt passiert es Hackerinnen und Hackern immer wieder, dass diese von Geheimdiensten oder Militärs angesprochen werden. Ich würde auch davon ausgehen, dass das in Deutschland vermehrt passiert, da auch hier die Behörden mehr Cyber machen wollen. Daher ist es wichtig, sich so zu verhalten, wie der junge Mann in dem Bericht. Er hat seinen Besuchern klar gesagt, dass er kein Interesse an einer Zusammenarbeit hat. Auch nach den dann folgenden Drohungen ist er nicht eingebrochen.

Die IT-Industrie insbesondere im Bereich IT-Sicherheit bietet jungen Talenten genügend Möglichkeiten, sich auf einem ethisch sauberen Weg zu betätigen. Viele Privatpersonen und Firmen haben großen Bedarf in der Absicherung ihrer Infrastruktur. Hier könnt ihr helfen. Weiterhin versucht die Initiative Security without Borders bei Bedrohungen im Bereich der IT-Sicherheit zu helfen. Sucht euch daher lieber ein solches Thema und helft den Menschen da draußen!

Tor-Browser in der Sandbox betreiben

Das Tor-Projekt stellt seit langem den Tor-Browser zur Verfügung. Die Entwickler investieren viel Zeit und Energie, um den zugrunde liegenden Mozilla Firefox abzusichern und gegen Angriffe auf die Privatsphäre zu schützen. Seit kurzem ist für GNU/Linux wieder ein Baustein hinzugekommen: die Sandbox. Diese gaukelt dem Browser ein eigenes System vor. Sollte jemand den Browser angreifen, so kann er in die Sandbox vordringen, aber eben nicht auf den Rechner.

In der Ankündigung zur Version 6.5a6 wird kurz darauf eingegangen. Wenn ihr die Variante testen wollt, braucht ihr einen Kernel, der Linux Namespaces unterstützt. Standardmäßig machen das alle neueren Versionen. Weiterhin müsst ihr bubblewrap und ggf. Gtk installieren. Die aktuelle Version 0.0.2 der Sandbox greift noch auf ein Adwaita-Verzeichnis zu. Daher benötigt ihr ggf. das Paket gnome-themes-standard-data unter Debian-artigen Systemen. Spätere Versionen haben diese Abhängigkeit nicht mehr.

Nach all der Vorarbeit ladet ihr die Version herunter, prüft die Signatur und entpackt das Archiv. Darin befindet sich eine ausführbare Datei namens sandboxed-tor-browser. Nachdem die gestartet ist, werdet ihr gefragt, welchen Tor-Browser ihr verwenden wollt. Der wird dann heruntergeladen und ein letzter Konfigurationsdialog erscheint. Dort könnt ihr Bridges und weiteres einstellen. Nachdem dies bestätigt ist, startet der Tor-Browser wie gewohnt und kann benutzt werden.

Im Hintergrund nimmt die Tor-Software über Unix-Sockets eine Verbindung zum Browser auf. Früher wurde eine TCP-Verbindung auf der lokalen Maschine verwendet. Durch die Nutzung einfacher Dateien fällt dies nun weg. Die Entwickler überlegen auch, ob es nicht möglich ist, diverse Netzwerkbibliotheken aus dem Browser zu entfernen. Wozu benötigt ein Browser denn solche Sachen? :-)

Solltet ihr Fehler finden, schreibt eine Meldung in den Bugtracker. Das Wiki von Tor hat weitere Informationen zur Sandbox. Viel Spaß beim Testen!

Dokumentation von Kindesmissbrauch im Tor-Netzwerk

Kennt ihr die Situation, dass ihr anderen über Tor erzählt und sofort die Antwort erhaltet, Tor wird doch nur von Kriminellen und Kinderpornographen benutzt? Nach meinem Gefühl kommt diese Meldung recht häufig. Auch die Medien berichten gern über Tor als das Deep Web, wo es Waffen, Drogen und dokumentierten Kindesmissbrauch gibt. Auf der anderen Seite stehen meine Erfahrungen als Betreiber von Tor-Servern bzw. von Tor2Web-Knoten. Hier sind die Meldungen über Missbrauch bzw. verbotene Inhalte äußerst gering. Aber natürlich habe ich keinen allgemeinen Überblick über die Gesamtzahl.

Logo des IWFUmso interessanter fand ich eine Meldung, die kürzlich von der Internet Watch Foundation (IWF) verbreitet wurde. Die IWF stellt sich selbst zur Aufgabe, die Verfügbarkeit von kriminellen Inhalten im Internet zu minimieren.

To minimise the availability of potentially criminal internet content specifically:

  • Child sexual abuse content* hosted anywhere in the world.
  • Criminally obscene adult content hosted in the UK.
  • Non-photographic child sexual abuse images hosted in the UK.

Die Gesellschaft brachte nun einen Bericht über die Inhalte heraus, die aus dem Internet gelöscht werden konnten. Insgesamt haben sie im Jahr 2015 fast 70.000 Meldungen erhalten, die Dokumentation von Kindesmissbrauch erhielten und diese aus dem Netz genommen. Im Bericht gibt es einige Statistiken. Unter anderem steht auf der Seite 9 eine Grafik mit der geografischen Verteilung. Dort ist auch die Rede von hidden services. Diese werden mit Australasia, Südamerika und Afrika zusammengefasst und machen insgesamt weniger als ein Prozent aus.

Images and videos hosted in Australasia, South America, Africa and in hidden services (where the content cannot be traced) totalled less than 1 % of all confirmed child sexual abuse content in 2015.

Insgesamt wurden im letzten Jahr 79 Hidden Services gefunden. Die Autoren des Berichts schreiben aber auch, dass die Betreiber der Seiten regelmäßig die Adressen der Services tauschen, um nicht entdeckt zu werden. Dies ist wohl recht ähnlich zu den Diensten, die über das offene Web angeboten werden.

Insgesamt bietet der Bericht eine gute Übersicht zur Situation. Wenn mich mal wieder jemand auf Tor und Kinderpornografie anspricht, kann ich zumindest auf die Zahlen aus dem Bericht verweisen.

cronjob