Skip to content

Geheimdienst versucht, Tor-Admin anzuwerben

Bei Buro Jansen & Jansen erschien ein Bericht eines Tor-Admins. Der niederländische Geheimdienst versuchte, ihn anzuwerben.

Laut seiner Aussage versucht der Geheimdienst eine Joint SIGINT Cyber Unit (JSCU) aufzubauen und spricht dafür, Studentinnen und Studenten aus dem IT-Bereich an. Insbesondere sollte die Person auch Deutschland bereisen und hier Hackspaces sowie Vertretungen des CCC besuchen. Dem Geheimdienst schien es besonders wichtig zu sein, Landsleute im Ausland zu beobachten. Außerdem schienen sie Leute im Umfeld von Tor und Tails zu suchen.

Insgesamt passiert es Hackerinnen und Hackern immer wieder, dass diese von Geheimdiensten oder Militärs angesprochen werden. Ich würde auch davon ausgehen, dass das in Deutschland vermehrt passiert, da auch hier die Behörden mehr Cyber machen wollen. Daher ist es wichtig, sich so zu verhalten, wie der junge Mann in dem Bericht. Er hat seinen Besuchern klar gesagt, dass er kein Interesse an einer Zusammenarbeit hat. Auch nach den dann folgenden Drohungen ist er nicht eingebrochen.

Die IT-Industrie insbesondere im Bereich IT-Sicherheit bietet jungen Talenten genügend Möglichkeiten, sich auf einem ethisch sauberen Weg zu betätigen. Viele Privatpersonen und Firmen haben großen Bedarf in der Absicherung ihrer Infrastruktur. Hier könnt ihr helfen. Weiterhin versucht die Initiative Security without Borders bei Bedrohungen im Bereich der IT-Sicherheit zu helfen. Sucht euch daher lieber ein solches Thema und helft den Menschen da draußen!

TLS-Bingo -- Wer bietet mehr?

Ich hatte heute den verwegenen Plan und wollte die Webseite des sächsischen Landtages per HTTPS aufrufen. Der Browser stoppte mich und zeigte eine schöne Fehlermeldung:

Edas
Fehlermeldung zum Zertifikat von edas.landtag.sachsen.de

Also dem Zertifikat traut der Browser nicht. Außerdem fehlen dem weitere Bestandteile. Das Zertifikat ist eigentlich für eine andere Domain und schon längst abgelaufen.

Hier frage ich mich, ob jemand schon mal eine Liste von Zertifikatsfehlern gesehen hat, die länger ist, als die obige. :-)

Tor-Browser in der Sandbox betreiben

Das Tor-Projekt stellt seit langem den Tor-Browser zur Verfügung. Die Entwickler investieren viel Zeit und Energie, um den zugrunde liegenden Mozilla Firefox abzusichern und gegen Angriffe auf die Privatsphäre zu schützen. Seit kurzem ist für GNU/Linux wieder ein Baustein hinzugekommen: die Sandbox. Diese gaukelt dem Browser ein eigenes System vor. Sollte jemand den Browser angreifen, so kann er in die Sandbox vordringen, aber eben nicht auf den Rechner.

In der Ankündigung zur Version 6.5a6 wird kurz darauf eingegangen. Wenn ihr die Variante testen wollt, braucht ihr einen Kernel, der Linux Namespaces unterstützt. Standardmäßig machen das alle neueren Versionen. Weiterhin müsst ihr bubblewrap und ggf. Gtk installieren. Die aktuelle Version 0.0.2 der Sandbox greift noch auf ein Adwaita-Verzeichnis zu. Daher benötigt ihr ggf. das Paket gnome-themes-standard-data unter Debian-artigen Systemen. Spätere Versionen haben diese Abhängigkeit nicht mehr.

Nach all der Vorarbeit ladet ihr die Version herunter, prüft die Signatur und entpackt das Archiv. Darin befindet sich eine ausführbare Datei namens sandboxed-tor-browser. Nachdem die gestartet ist, werdet ihr gefragt, welchen Tor-Browser ihr verwenden wollt. Der wird dann heruntergeladen und ein letzter Konfigurationsdialog erscheint. Dort könnt ihr Bridges und weiteres einstellen. Nachdem dies bestätigt ist, startet der Tor-Browser wie gewohnt und kann benutzt werden.

Im Hintergrund nimmt die Tor-Software über Unix-Sockets eine Verbindung zum Browser auf. Früher wurde eine TCP-Verbindung auf der lokalen Maschine verwendet. Durch die Nutzung einfacher Dateien fällt dies nun weg. Die Entwickler überlegen auch, ob es nicht möglich ist, diverse Netzwerkbibliotheken aus dem Browser zu entfernen. Wozu benötigt ein Browser denn solche Sachen? :-)

Solltet ihr Fehler finden, schreibt eine Meldung in den Bugtracker. Das Wiki von Tor hat weitere Informationen zur Sandbox. Viel Spaß beim Testen!

Karte aller Videoüberwachungsstationen

Netzpolitik schreibt über ein Projekt, dass eine Weltkarte der Videoüberwachung erstellen will. Das Projekt mit dem Namen »Surveillance under Surveillance« nutzt die Karte von OpenStreetMap.

Ich habe vor vielen Jahren für die Kartierung der Kameras in Jena noch GMaps verwendet. Damals habe ich versucht, mit Farbcodes zu arbeiten. Bei dem jetzigen Projekt kann man die Art der Kameras und den Öffnungswinkel einstellen. Damit gibt es einen guten Überblick über den Zustand der Überwachungskameras. Wenn viele mitmachen, ergibt sich wirklich eine Weltkarte.

Für mich ist das eine gute Gelegenheit im Rahmen unserer Junghackingtage mit den Kindern eine Kamerasafari zu machen und die Daten zu Jena zu aktualisieren.

Firefox verbessert den Schutz der Privatsphäre

Als das Tor-Projekt den Tor-Browser entwarf, machten sie sich viele Gedanken zum Schutz der Privatsphäre. Sie versuchten jegliche Gefahren zu identifizieren und diese zu umschiffen. Daraus entstand das Design zum Tor-Browser. Seitdem versuchen die Entwickler, die Schwachstellen in Bezug auf die Privatsphäre im Mozilla Firefox im Griff zu behalten. Neben dem Tor-Button kommen viele individuelle Patches zum Einsatz. Die meisten davon wurden bisher von Mozilla nicht in den Firefox eingepflegt. Doch dies ändert sich jetzt.

Seit Anfang Mai gibt es im Wiki von Mozilla eine Seite, die sich Tor Uplift nennt. Mozilla fängt nämlich nun doch an, Patches vom Tor-Projekt in den Firefox wieder einzubauen. Auf der Wikiseite wird der Fortschritt festgehalten. Bisher kamen 26 Änderungen weiter und an sechs wird gerade aktiv gearbeitet. Sören Hentzschel beschreibt in seinem Blogbeitrag, welche neuen Optionen es im Firefox gibt und wie diese aktiviert werden können.

Insgesamt ist das ein guter Schritt der Entwickler, den Schutz der Privatsphäre im Firefox weiter zu erhöhen. Wie Sören in seinem Beitrag schreibt, engagiert sich Mozilla auch weiterhin stark im Tor-Projekt. Weiter so! :-)

Vorstellung des Tätigkeitsberichts des Datenschutzbeauftragten

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, stellte heute seinen Tätigkeitsbericht für 2014 und 2015 vor. Ich war zu der Veranstaltung mit eingeladen und will die Veranstaltung aus meiner Sicht zusammenfassen.

Derzeit arbeiten im TLfDI 20 Personen und zwei, die von anderen Ämtern abgeordnet wurden. Bei den beiden handelt es sich um einen Lehrer und eine Polizistin. Herr Dr. Hasse ist Vorsitzender des Arbeitskreises Datenschutz und Bildung der Datenschutzbeauftragten. In diesem Rahmen hilft der abgeordnete Lehrer. Insbesondere das Thema Medienkompetenz liegt dem TLfDi am Herzen. Auch die Hauptkommisarin ist in die tägliche Arbeit der Behörde eingebunden. Somit gewinnt sie einen Einblick und kann das später in der Polizei den dortigen Kollegen weitergeben.

Der Tätigkeitsbericht ist über die Jahre immer weiter gewachsen. Als Herr Hasse in das Amt gewählt wurde, gab es lediglich einen fingerdicken Bericht. Die heutige Ausgabe kam in zwei Bänden mit über 1300 Seiten Umfang. Die Bücher sind in den Bericht zum nicht-öffentlichen Bereich (private Firmen, Vereine etc.) und zum öffentlichen Bereich (Behörden, Gemeinden etc.) getrennt.

Im nicht-öffentlichen Bereich hat das TLfDI die Möglichkeit, Beanstandungen und Bußgelder auszusprechen. Davon machte die Behörde reichlich Gebrauch. Die Zahl der Beanstandungen verdreifachte sich im Vergleich zum vorigen Zeitraum und aus ursprünglich weniger als 500 € Bußgeldern wurden im neuen Zeitraum 5.300 € Bußgeld. Aufgrund der hohen Arbeitsbelastung fanden weniger Kontrollen bei Firmen statt.

Insgesamt versucht das TLfDI einen Blick auf zukünftige Gefährdungen zu haben. So spielten in der Veranstaltung SmartTV, Spielzeugpuppen mit eingebautem Mikrofon und WLAN wie auch Datenschutz in (selbstfahrenden) Autos eine Rolle. Die Datenschützer sind an diesen Themen dran und versuchen sich dazu eine Meinung zu verschaffen.

Wie schon im letzten Bericht spielt die Videoüberwachung in verschiedener Form eine große Rolle. Der aktuelle Bericht enthält mindestens 84 Fälle zur Videoüberwachung. Auch in Zukunft wird der Bereich eine große Rolle spielen. Nach einem Urteil des europäischen Gerichtshofs fallen wohl nahezu alle Kameras (auch privat betriebene) unter das Bundesdatenschutzgesetz. Damit sind diese beim TLfDI zu melden. Die Behörde versucht, ein Register einzurichten und dann sollen Kamerabetreiber deren Kameras dorthin melden. Weiterhin sind Dashcams (Kameras in Autos), Helmkameras und Kameradrohnen im Blick. Auch hier könnte es zu einer Registrierungspflicht kommen.

Weiterhin kam das Aktenlager in Immelborn zur Sprache. Dort wurde ein Berg von zum Teil sensiblen Akten in einer Fabrikhalle gefunden. Der ursprüngliche Betreiber des Lagers war nicht mehr aufzufinden und eigentlich hätten die Akten an die Besitzer zurückgehen müssen. Herr Hasse bat damals die Polizei um Amtshilfe, die aber nicht gewährt wurde. Das TLfDI klagte daraufhin. Später fand sich dann doch eine Firma, die die Räumung des Lagers übernahm. Der ganze Vorfall wird mittlerweile von einem Untersuchungsausschuss im Landtag betrachtet. Herr Hasse erzählte heute, dass im Rahmen des Ausschusses festgestellt wurde, dass der Polizeipräsident in der Tat Unterstützung leisten wollte. Das Amt hatte 10 Leute für ca. zehn Tage beantragt. Das Innenministerium fragte jedoch bei der Polizei 100 Leute für einen Monat an. Ein Schelm, wer Böses denkt. Dennoch war die Polizei zur Unterstützung bereit. Aber das Innenministerium pfiff die Polizei dann wohl zurück.

Im Bereich Gesundheit wurde auf ein Forum verwiesen, an das sich Krankenhäuser wenden können. Die Idee ist, dass ein Krankenhaus eine Datenschutzfrage stellen kann. Diese ist anonymisiert und das TLfDI beantwortet diese, ohne auf das Haus schließen zu können. Das Angebot wird gut angenommen und hat viele Abrufe.

Daneben erzählte Herr Dr. Hasse noch die Geschichte von Krankenakten, die an seine Heimadresse geschickt wurden. Als er den Brief öffnete, waren Krankenakten enthalten. Einen Tag später gab es eine weitere »Lieferung«. Daraufhin wandten sie sich an das betreffende Krankenhaus. Dort gab es eine Mitarbeiterin, die nach dem Namen eines Arztes im Internet suchte und auf die Adresse des Datenschützers stieß. Sie schickte die Akten dann ohne weitere Prüfung an den Datenschützer. :-)

Im öffentlichen Bereich scheinen öffentliche Sitzungen von Stadt- und Gemeinderäten ein Dauerbrenner zu sein. Dort werden immer wieder personenbezogene Daten genannt, obwohl diese in nicht-öffentlicher Sitzung diskutiert werden sollen.

Insgesamt war dies eine sehr interessante und aufschlussreiche Veranstaltung. Ich habe jetzt Lesestoff für die nächste Zeit in der Hand. ;-)

Dokumentation von Kindesmissbrauch im Tor-Netzwerk

Kennt ihr die Situation, dass ihr anderen über Tor erzählt und sofort die Antwort erhaltet, Tor wird doch nur von Kriminellen und Kinderpornographen benutzt? Nach meinem Gefühl kommt diese Meldung recht häufig. Auch die Medien berichten gern über Tor als das Deep Web, wo es Waffen, Drogen und dokumentierten Kindesmissbrauch gibt. Auf der anderen Seite stehen meine Erfahrungen als Betreiber von Tor-Servern bzw. von Tor2Web-Knoten. Hier sind die Meldungen über Missbrauch bzw. verbotene Inhalte äußerst gering. Aber natürlich habe ich keinen allgemeinen Überblick über die Gesamtzahl.

Logo des IWFUmso interessanter fand ich eine Meldung, die kürzlich von der Internet Watch Foundation (IWF) verbreitet wurde. Die IWF stellt sich selbst zur Aufgabe, die Verfügbarkeit von kriminellen Inhalten im Internet zu minimieren.

To minimise the availability of potentially criminal internet content specifically:

  • Child sexual abuse content* hosted anywhere in the world.
  • Criminally obscene adult content hosted in the UK.
  • Non-photographic child sexual abuse images hosted in the UK.

Die Gesellschaft brachte nun einen Bericht über die Inhalte heraus, die aus dem Internet gelöscht werden konnten. Insgesamt haben sie im Jahr 2015 fast 70.000 Meldungen erhalten, die Dokumentation von Kindesmissbrauch erhielten und diese aus dem Netz genommen. Im Bericht gibt es einige Statistiken. Unter anderem steht auf der Seite 9 eine Grafik mit der geografischen Verteilung. Dort ist auch die Rede von hidden services. Diese werden mit Australasia, Südamerika und Afrika zusammengefasst und machen insgesamt weniger als ein Prozent aus.

Images and videos hosted in Australasia, South America, Africa and in hidden services (where the content cannot be traced) totalled less than 1 % of all confirmed child sexual abuse content in 2015.

Insgesamt wurden im letzten Jahr 79 Hidden Services gefunden. Die Autoren des Berichts schreiben aber auch, dass die Betreiber der Seiten regelmäßig die Adressen der Services tauschen, um nicht entdeckt zu werden. Dies ist wohl recht ähnlich zu den Diensten, die über das offene Web angeboten werden.

Insgesamt bietet der Bericht eine gute Übersicht zur Situation. Wenn mich mal wieder jemand auf Tor und Kinderpornografie anspricht, kann ich zumindest auf die Zahlen aus dem Bericht verweisen.

cronjob