Skip to content

Warum eine Onion-Adresse betreiben anstatt Menschen animieren, Tor zu nutzen

Dieser Text ist eine Übersetzung des Blogpostings Why offer an Onion Address rather than just encourage browsing-over-Tor? von Alec Muffett. Alex pflegt auch eine Liste nützlicher Onion-Adressen.


Es gibt eine Reihe von Gründen, eine Onion-Site einzurichten. Ein Reihe von Vorteilen waren für Plattformen wie Facebook, BBC oder NYTimes von Nutzen.

Die ersten Vorteile sind Authentizität und Verfügbarkeit: Wenn du den Tor-Browser benutzt und genau die richtige Onion-Adresse eingibst, bist du garantiert mit der erwarteten Seite verbunden, was du erwartest - oder eben gar nicht.

Das ist für die Menschen sehr einfach zu begreifen und auch einfach zu erklären.

Diese Funktion entschärft Angriffe, die von möglicherweise bösartigen “Tor-Exit-Knoten” ausgehen können. Die Angriffe sind zwar selten, existieren aber dennoch. Die Tatsache, dass du eine “.onion”-Adresse verwendest, setzt voraus, dass du Tor und den Tor-Browser verwendest. Dies entschärft die folgenden möglichen Angriffe:

  • landesweite Websperren
  • Man-in-the-Middle-Angriffe auf das TLS-Protokoll
  • SNI-Filter
  • Tracking und Zensur von DNS-Anfragen (betrifft sowohl Clients wie auch Exitknoten)
  • Probleme beim Tracking durch Cookies und Fingerprinting-Angriffen
  • … sowie eine Reihe weiterer Probleme

Um es anders zu formulieren: Die Werbung für eine Onion-Adresse ist ein implizites Verkaufsargument für die Nutzung von Tor.

Update: Eine Sache, die ich in der ursprünglichen Version dieses Beitrags vergaß zu erwähnen, ist, dass die Nutzung von Onion-Netzwerken für Seiten mit hohem Traffic den Druck auf die Exit-Node-Infrastruktur von Tor reduziert. Denn der Traffic fließt stattdessen durch die größere und reichhaltigere Menge an Middle-Relays, ohne Exit-Nodes und/oder das Klartext-Internet zu nutzen.

Letzteres ist wichtig und bringt uns zum zweiten (dritten?) Satz von Vorteilen:

Der Betrieb einer Onion-Site ist eine Verpflichtung [der Plattform], mit Tor-Benutzer:innen gerecht umzugehen; bei der normalen Benutzung von Tor werden die Benutzer mit allen anderen vermischt, die aus dem Internet kommen, und (seien wir ehrlich) einige Leute benutzen Tor manchmal zum Herunterladen einer kompletten Webpräsenz (Scraping) oder anderem unangenehmen Verhalten.

Das führt zu der Herausforderung, die “Spreu vom Weizen zu trennen”.

Das Einrichten einer Onion-Adresse ist jedoch ein praktischer Schritt, der zeigt, dass die Plattform explizit auf die Bedürfnisse von Tor-Nutzern eingeht, und nun kehrt sich das Problem um: Ein gewisses Maß an schlechtem Verhalten über die Onion-Adresse kann überwacht und als “schlechtes Verhalten” eingestuft werden, was den Tor-Nutzern maximale Freiheit gewährt.

Dies ist eine Angelegenheit, die ich bei Facebook hautnah miterlebt habe und auf einer Tor-Mailingliste beschrieben habe.

Wenn ich die Vorteile in einem Satz zusammenfassen sollte, wäre es folgender: Eine Onion-Adresse ist ein Versprechen und ein Mechanismus, der sicherstellt, dass du die Bedürfnisse der Leute, die Tor benutzen, ernst nimmst.

Anstatt ihnen zum Beispiel eine endlose Reihe von CAPTCHAs auf Basis der IP-Reputation aufzudrängen.

 

 

Corona-Vergleich zwischen USA, Dänemark und Slowenien

Bei meinen Reisen durch die Statisken bei OWID verglich ich kürzlich verschiedene Länder bezüglich deren Impfungen, Einweisungen in Krankenhäuser etc. Dabei stieß mir der Vergleich zwischen den USA, Dänemark und Slowenien ins Auge.

Grafik verschiedener Corona-Parameter

Vergleich der Impfdosen, Corona-Infektionen, Patienten auf den Intensivstationen und Todesfällen der Länder USA, Dänemark und Schweden

Auf dem Bild links oben ist der Verlauf der Impfungen in den einzelnen Ländern gedruckt. Dabei liegt Dänemark weit vorn, gefolgt von den USA und am Ende liegt Slowenien. Zu Ende Januar 2022 sind in Dänemark weit über 80% der Bevölkerung vollständig geimpft (USA: 63%, Slowenien: 58 %).

Links oben sind die aktuellen Fallzahlen. Sowohl Dänemark wie auch Slowenien schießen nach oben während die USA weniger als die Hälfte der slowenischen Fallzahlen hat.

Links unten sind dann die Personen auf den Intensivstationen verzeichnet. Insbesondere Slowenien hat hier einen enormen Ausschlag. Leider fehlt bei OWID eine Möglichkeit, die Gesamtzahlen zu ermitteln. Aber grob geschätzt sind die Zahlen zwischen Oktober 2020 und Juli 2021 sowie September 2021 bis jetzt (Januar 2022) etwa gleich. Die Zahlen aus den USA sind leicht geringer geschätzt und Dänemark liegt dann deutlich darunter.

Schließlich finden sich rechts unten die Anzahl der Todesfälle. Bis Ende Oktober 2020 lagen die USA deutlich an der Spitze gefolgt von Dänemark und am Ende Slowenien. Ab Dezember 2020 bis heute sind die Todeszahlen in Slowenien am höchsten dicht gefolgt von den USA. Dänemarkt hat etwa ein Viertel der Zahlen der anderen beiden Länder.

Der Vergleich zeigt, dass Dänemark unter den drei Ländern bisher am besten durch die Pandemie gekommen ist. Sowohl Fallzahlen, wie auch Menschen in den Krankenhäusern wie auch die Todeszahlen liegen deutlich unter den USA und Slowenien. Aber auch im Zeitreihenvergleich steht Dänemark gut da. Heute hat das Land fünfzehnmal mehr Fälle als zu Weihnachten 2020. Jedoch liegen des Todesfälle deutlich unter den Hochs aus der Zeit. Aktuell liegen die etwa halb so hoch, sind aber noch am steigen.

Diese Entkopplung von Fall- und Sterbezahlen zeigt sich bei allen drei (und auch bei anderen) Ländern:

Vergleich der Fall- und Todeszahlen
Vergleich der Fall- und Todeszahlen

Ich habe die Ansicht in der obigen Grafik mal auf den Zeitraum zwischen Dezember 2020 und 2021 beschränkt. Denn durch den hohen Anstieg der Fallzahlen wird die Kurve zu “flach”. Bereits hier zeigt sich die Entkopplung von Fall- und Todeszahlen. In Dänemark und Slowenien gehen die Fallzahlen deutlich hoch, während die Zahl der Toten deutlich weniger steigt. Für Slowenien zeigt sich der Effekt noch viel deutlicher, wenn der Startzeitpunkt im OKtober 2020 liegt. Allerdings hinterlässt die Omikron-Wand in Slowenien schon jetzt deutliche Spuren. Dort hat sich die Zahl der Toten in den letzten beiden Wochen verdoppelt (bei einer Verdrei- bis Vervierfachung der Fallzahlen). Wenn sich das so fortsetzt, sollten die Zahlen etwas über die Spitze der Delta-Welle steigen und immernoch deutlich unter denen vom Jahresende 2020 liegen.

Aus meiner Sicht zeigt sich in diesen Zahlen der Erfolg der Impfung. Alle anderen Maßnahmen sind zu verschiedenen Graden in den betreffenden Ländern heruntergefahren worden. So dass die Impfung hier einen großen Schutzfaktor einnimmt.

Im Falle der USA ist der Effekt nicht so deutlich mit Bildern zu sehen. Hier müsste man die Daten mehr nach den einzelnen Ländern aufgliedern und würde dort dann ebensolche interessanten Erkenntnisse gewinnen. Das ist jedoch Thema für einen anderen (noch nicht geschriebenen) Blogbeitrag. :-)

Fehler beim Aktualisieren in F-Droid

Beim letzten Update von F-Droid gab es Probleme. Updates wurden nicht mehr geladen und stattdessen zeigte das Telefon die Meldung »error getting index file« an. Nach einigem erfolglosen Herumprobieren stieß ich auf den Mastodon-Account von F-Droid. Laut der letzten Meldung versuchten die Entwickler einen anderen Fehler zu beheben. Dies löste dann dieses Problem aus.

Doch wie lässt sich das nun beheben? Ein Hinweis liefert der Blogbeitrag der Entwickler. Sie schreiben, man solle das alte Indexformat aktivieren. Dazu geht ihr im F-Droid auf Optionen. Recht weit unten in den Einstellungen müsst ihr den Expertenmodus aktivieren und dann findet ihr ganz unten den Menüeintrag «Altes Index-Format erzwingen«. Nun lassen sich, wie gewohnt, die Updates herunterladen und installieren.

Viel Spass mit aktueller freier Software auf euren Smartphones.

Onion Services zum Mitnehmen

Eines meiner Hauptthemen hier im Blog ist Tor bzw. die Anonymität. So versuche auch ich dogfooding zu betreiben, also Tor beim täglichen Browsen zu verwenden. Hin und wieder stoße ich dabei auf Probleme. Entweder ich stoße auf die CAPTCHAs von CloudFlare oder die Seite öffnet sich gleich gar nicht. In letzteren Fällen wird Tor aktiv ausgesperrt. Doch was tun, wenn man die Seiten dennoch per Tor besuchen will?

Zum Glück gibt es das »Darknet«. :-) Mittels Tor Onion Services ist es möglich, beliebige Seiten zu spiegeln. Das heißt, eine Rechner ruft die Seite auf und liefert das Ergebnis über eine Onion-Seite aus. Bei der praktischen Umsetzung hilft das Enterprise Onion Toolkit (EOTK).

Untenstehend findet ihr einige Onion Services, die ich für mich oder andere aufgesetzt habe. Wenn ihr weitere Wünsche habt, hinterlasst einen Kommentar. Ich erwarte, dass die Liste im Laufe der Zeit weiter wächst:

Ich erhielt eine Nachfrage, Wikipedia auch als Onion Service anzubieten. Die Seite lässt sich über Tor problemlos aufrufen und sperrt Bearbeitungen von Tor-Servern. Alec Muffett hat dies schon versucht und mir dringend abgeraten, dies ebenfalls zu tun. Hier erscheint es sinnvoller, Überzeugungsarbeit bei Wikipedia zu leisten.

Infosec Bytes -- Videoanleitungen zur sicheren Kommunikation

Ich habe in den letzten Tagen ein wenig mit Infosec Bytes zusammengearbeitet. Die Organisation enstammt dem Centre for Investigative Journalism und möchte anderen Journalisten Trainings im sicheren Umgang mit dem Rechner und dem Netz bieten. Hierzu wurden eine Reihe von Videos veröffentlicht, andere Publikationen sind noch in der Pipeline.

Hier findet ihr beispielsweise eine kleine Einführung zu Tor:

Why journalists and whistleblowers need to understand infosecurity

Geheimdienst versucht, Tor-Admin anzuwerben

Bei Buro Jansen & Jansen erschien ein Bericht eines Tor-Admins. Der niederländische Geheimdienst versuchte, ihn anzuwerben.

Laut seiner Aussage versucht der Geheimdienst eine Joint SIGINT Cyber Unit (JSCU) aufzubauen und spricht dafür, Studentinnen und Studenten aus dem IT-Bereich an. Insbesondere sollte die Person auch Deutschland bereisen und hier Hackspaces sowie Vertretungen des CCC besuchen. Dem Geheimdienst schien es besonders wichtig zu sein, Landsleute im Ausland zu beobachten. Außerdem schienen sie Leute im Umfeld von Tor und Tails zu suchen.

Insgesamt passiert es Hackerinnen und Hackern immer wieder, dass diese von Geheimdiensten oder Militärs angesprochen werden. Ich würde auch davon ausgehen, dass das in Deutschland vermehrt passiert, da auch hier die Behörden mehr Cyber machen wollen. Daher ist es wichtig, sich so zu verhalten, wie der junge Mann in dem Bericht. Er hat seinen Besuchern klar gesagt, dass er kein Interesse an einer Zusammenarbeit hat. Auch nach den dann folgenden Drohungen ist er nicht eingebrochen.

Die IT-Industrie insbesondere im Bereich IT-Sicherheit bietet jungen Talenten genügend Möglichkeiten, sich auf einem ethisch sauberen Weg zu betätigen. Viele Privatpersonen und Firmen haben großen Bedarf in der Absicherung ihrer Infrastruktur. Hier könnt ihr helfen. Weiterhin versucht die Initiative Security without Borders bei Bedrohungen im Bereich der IT-Sicherheit zu helfen. Sucht euch daher lieber ein solches Thema und helft den Menschen da draußen!

TLS-Bingo -- Wer bietet mehr?

Ich hatte heute den verwegenen Plan und wollte die Webseite des sächsischen Landtages per HTTPS aufrufen. Der Browser stoppte mich und zeigte eine schöne Fehlermeldung:

Edas
Fehlermeldung zum Zertifikat von edas.landtag.sachsen.de

Also dem Zertifikat traut der Browser nicht. Außerdem fehlen dem weitere Bestandteile. Das Zertifikat ist eigentlich für eine andere Domain und schon längst abgelaufen.

Hier frage ich mich, ob jemand schon mal eine Liste von Zertifikatsfehlern gesehen hat, die länger ist, als die obige. :-)

tweetbackcheckcronjob