Kürzlich führte ich einen Workshop zum technischen Datenschutz und Verschlüsselung durch. Während Workshops zeigte ich den Teilnehmern verschiedene Werkzeuge, unter anderem auch den Tor Browser. Dabei meinte ein Teilnehmer, dass er ZenMate einsetzt und dies genauso sicher wie der Tor Browser ist.
Was ist ZenMate? Auf der Webseite verspricht die Anwendung Verschlüsselung sowie anonymes Browsen. Der Internetverkehr wird durch virtuelle private Netze (VPNs) geleitet. Das Plugin lässt sich einfach installieren und fragt anschliessend nach einer E-Mail-Adresse. Nachdem eine E-Mail-Adresse eingegeben wurde, wird das Plugin nach einer kleinen Wartezeit aktiv. In der Browserleiste im Firefox erscheint ein grünes Schild und nach einem Klick lässt sich rechts unten der Ort wechseln (Change Location). Auf Empfehlung des Teilnehmers wählten wir im Kurs Hong-Kong aus und fühlten uns geschützt. Doch wie sieht die Realität aus?
Ich nutze für Tests auf Anonymisierung meist die Seite IP-Check. Nach dem Start des Tests und einer kurzen Wartezeit ergab sich folgendes Bild:
Das Plugin leitet zwar die Verbindungen über das VPN weiter und nutzt einen Server in Hong-Kong (oder auch anderen Städten). Weitere Browsereinstellungen bleiben jedoch unangetastet. Im Beispiel oben war es das Flash-Plugin, was in vielen Browsern standardmäßig aktiv ist, das sogar die reale, gerade verwendete IP-Adresse preisgegeben hat. Mit der manuellen Deaktivierung von Flash wird die eigene IP-Adresse nicht mehr unmittelbar erkannt. Allerdings bleiben noch genügend andere Möglichkeiten übrig das Onlineverhalten der Benutzer zu verfolgen.
Letztlich stecken die Entwickler des Tor Browsers sehr viel Zeit und Energie, Lücken im Firefox zu schließen. Daher wäre es schon sehr verwunderlich, wenn sich gleiches Ziel, nämlich anonymes Browsen, mit einem einfachen Plugin erreichen ließe.
Wer also ZenMate einsetzen will, sollte sich der Risiken im Klaren sein und ggf. selbst weitere Anpassungen im Browser vornehmen. Eventuell funktioniert die Kombination des JondoFox-Profils mit ZenMate besser. Diesen Versuch überlasse ich euch. Ihr könnt gern einen Kommentar hinterlassen. 
Die jüngsten Veröffentlichungen zeigen, dass sich Menschen, die sich für Verschlüsselung interessieren, von der NSA überwacht werden. Einige Leute fragten mich heute, ob sie das denn auch betrifft und natürlich frage ich mich, ob ich auch betroffen sein könnte. Was habe oder hatte ich mit Tor zu tun?
- Ich stieß ungefähr im Jahr 2003 auf Tor und nutze es seitdem in unterschiedlichen Intensitäten.
- Ich übersetzte einen Großteil der Webseite ins Deutsche.
- Hier im Blog stehen immer mal wieder Beiträge zu Anonymität und Tor.
- Mittlerweile gibt es die dritte Auflage meines Buches Anonym im Netz.
- Ich gehöre zum Vorstand von TorServers.net, einem Betreiber von Tor-Relays.
- Ich half, eine Seite mit Fragen und Antworten zu Tor aufzubauen und moderiere dort.
- Schließlich betreibe ich Anonymisierungsdienste.
Werde ich nun überwacht? Ich weiß es nicht. Aber die obige Liste lässt mich nicht unbedingt ruhiger schlafen.
Stellungnahmen zu Gesetzentwürfen sind üblicherweise große Papierberge. Die Mitglieder der Ausschüsse müssen diese lesen und interpretieren. Die Initiative Freiheitsfoo ist einen anderen Weg gegangen. Sie bekamen eine Anfrage des Wirtschaftsausschusses des Landes Schleswig-Holstein, in der es um die lückenlose Überwachung in Zügen ging. Freiheitsfoo entwickelte ein Hörspiel und stellte es den Abgeordneten zur Verfügung. Es steht mittlerweile allen zur Verfügung. Hört rein: 201402freiheitsfoo-an-LT-SH-zu-VUE-OEPNV.mp
via Patrick Breyer: Videoüberwachung im ÖPNV: Landtag erhält Hörspiel als Stellungnahme
Lest ihr regelmäßig Bugreports oder Meldungen über Schwachstellen
bei SSL/TLS?
Wie fühlt ihr euch so? Zur Erinnerung:
Das heißt, drei Monate in Folge gab es schwere Sicherheitslücken in
Software zur Verschlüsselung. Ganz unwillkürlich fühlt man sich an
die Folien aus dem NSA-Programm MUSCULAR erinnert.
Die letztgenannte Schwachstelle ist vermutlich die bislang
schwerste. Denn damit ist es möglich, den Arbeitsspeicher eines
Computers auszulesen. Dies funktioniert sowohl auf der Seite des
Servers wie auch beim Clientprogramm. Dazu ist es notwendig, dass
das Programm OpenSSL verwendet und eine Erweiterung von SSL namens
Heartbeat aktiviert hat. Dies ist beispielsweise bei Android in der
Version 4.1.1 der Fall. Mozilla Firefox hingegen nutzt die
NSS-Bibliothek und ist nicht betroffen. Die Webserver nutzen
hingegen recht oft die OpenSSL-Bibliothek und sind damit betroffen,
falls die Version 1.0.1 bis 1.0.1f von OpenSSL verwendet
wird. Sollte jemand von euch die Software nutzen, so upgraded auf
mindestens 1.0.1g oder deaktiviert Heartbeat in OpenSSL. Gerade
letzteres kann man aus meiner Sicht problemlos tun. Denn bisher fand
ich keinen sinnvollen Anwendungsfall für Heartbeat.
Doch wie funktioniert diese Lücke eigentlich? Heartbeat (RFC 6520)
ist eine Erweiterung für TLS. Ein Teilnehmer einer Verbindung sendet
beliebige Daten an den Empfänger. Dieser antwortet mit einer Kopie
dieser Daten und zeigt somit, dass die Verbindung noch steht und
alles in Ordnung ist. Das Problem dabei ist, dass in einer Anfrage
zwei Längenfelder vorhanden sind. Ein Angreifer sendet einfach ein
Byte Daten und behauptet, er hätte 64 kB gesendet. OpenSSL liest nun
die 64 kB aus dem eigenen Puffer und sendet die Daten zurück an den
Angreifer. Der Angreifer kann den Angriff immer und immer wieder
starten und erhält so eventuell immer wieder ein neues Stück Arbeitsspeicher (siehe Kommentar von Florian Diesch). Bruce
Schneier hat mit seinen Worten vollkommen recht:
Catastrophic" is the right word. On the scale of 1 to 10, this is an 11.
https://www.schneier.com/blog/archives/2014/04/heartbleed.html
Ich hatte in meinem 30C3-Vortrag schon ein OpenSSL-Beispiel
reingenommen. Das sollte zeigen, wie kompliziert es sein kann, mit
der Software sicheren Code zu schreiben. Auch andere sind, über die
Codequalität gestolpert. Daher sind Leute gefragt, die einen
detaillierten Blick auf OpenSSL werfen und die Software
verbessern. Dazu zählt auch die bessere Lesbarkeit des Codes oder
gute Dokumentation.
Wenn ihr wissen wollt, ob ihr betroffen seit, schaut lokal auf die
OpenSSL-Version, nutzt die Zeile openssl s_client -connect
example.com:443 -tlsextdebug 2>&1| grep ‘server extension
“heartbeat” (id=15)’ || echo safe oder verwendet den Testservice
von Lutz Donnerhacke oder Filippo Valsorda.
Weiterlesen:
Was ist ZenMate? Auf der Webseite verspricht die Anwendung Verschlüsselung sowie anonymes Browsen. Der Internetverkehr wird durch virtuelle private Netze (VPNs) geleitet. Das Plugin lässt sich einfach installieren und fragt anschliessend nach einer E-Mail-Adresse. Nachdem eine E-Mail-Adresse eingegeben wurde, wird das Plugin nach einer kleinen Wartezeit aktiv. In der Browserleiste im Firefox erscheint ein grünes Schild und nach einem Klick lässt sich rechts unten der Ort wechseln (Change Location). Auf Empfehlung des Teilnehmers wählten wir im Kurs Hong-Kong aus und fühlten uns geschützt. Doch wie sieht die Realität aus?
