Skip to content

Thüringens Finanzministerium spricht sich gegen eine Sperrung von Tor aus

Im März 2020 wollte ich die Webseite des Thüringer Ministerium für Arbeit, Soziales, Gesundheit, Frauen und Familie (TMASGFF) besuchen. Jedoch war der Versuch nicht von Erfolg gekrönt. Die Seite ludt nicht. Auch nach mehreren Versuchen hatte ich keinen Erfolg. Ich fand dies recht verwunderlich, da die anderen Webseiten der Thüringer Behörden schnell im Tor-Browser angezeigt werden.

Bei meinen Nachforschungen stellte ich fest, dass die Webseite bei dem Provider Alfahosting betrieben wird. Bei Alfahosting habe ich seit vielen Jahren den Eindruck, dass die Tor blockieren. Das heißt, wenn man den Tor-Browser nutzt, lassen sich die Seiten nicht aufrufen, sondern laufen ins Leere. Bei meinen früheren Tests ließ sich nur die Homepage des Providers selbst über Tor abrufen. Bei den Seiten der Kunden hatte ich hingegen keinen Erfolg. Dies erklärte auch, warum die Seite des Sozialministeriums nicht abrufbar war.

Ich fragte also beim Ministerium nach einer Begründung für die Blockade. Das Ministerium hatte wichtige Informationen zu der Corona-Pandemie und daher fand ich es wichtig, dass möglichst alle Informationen abrufen können. Das TMASGFF begründete das Vorgehen mit kriminellen Aktivitäten, insbesondere Hacker-Angriffen. Mit Blick auf das gesteigerte Sicherheitsrisiko wurde die Sperrung als legitim erachtet.

Die Antwort aktivierte meinen IFG-Sinn. :-)

Wenn die obige Antwort so korrekt ist, muss es ja Zahlen zu den Angriffen aus dem Tor-Netzwerk geben. Diese interessierten mich. Also bat ich das TMASGFF, mir Angaben zu Angriffen aus dem Tor-Netzwerk und über das Nicht-Tor-Netzwerk zu senden (Anfrage über den Onion-Service). Meine Anfrage wurde an den Provider weitergegeben. Dieser prüfte und prüfte und prüfte … Drei Monate später hatte ich immer noch keine Antwort und hakte nach.

Mitte Juni erhielt ich die wenig befriedigende Antwort:

Konkrete Zahlen (Anzahl und Art von Angriffen auf unserer Seite) kann unser Dienstleister aus Sicherheitsgründen nicht an uns übermitteln.

Immerhin hatte das Ministerium in der Zwischenzeit beim Landesrechenzentrum nachgefragt und wurde von dort an den Beauftragten für Informationssicherheit verwiesen.

Mitte Oktober 2020 fiel mir auf, dass https://www.tmasgff.de/ plötzlich aus dem Tor-Netzwerk verfügbar war. Also fragte ich nochmal nach und erhielt dann zur Antwort:

Der Zugriff auf reine Informationsseiten aus dem Tor-Netzwerk stellt nach Auffassung des Thüringer Finanzministeriums kein besonderes Risiko dar, das eine Netzsperre für IP-Adressen von Tor-Exit-Nodes rechtfertigt. Das Thüringer Finanzministerium wird daher eine grundsätzliche Sperrung von Tor-Exit-Nodes nicht empfehlen.

Diese Aussage stammt vom Informationssicherheitsbeauftragten des Freistaats Thüringen, der beim Finanzministerium angesiedelt ist.

Ich bin sehr froh über diese Einschätzung und teile diese vollumfänglich. :-)

Protokoll der mündlichen Anhörung zur VDS beim europäischen Gerichtshof

Bastien Le Querrec von La Quadrature du Net fertigte ein Protokoll der mündlichen Anhörung vor dem europäischen Gerichtshof an. Die klagenden Verbände sowie die Beklagten bekamen Zeit Stellung zu nehmen und Fragen der Richterinnen und Richter zu beantworten. Das Originaldokument gibt es nur in französisch. Ich habe es daher mit Hilfe von DeepL, Google Translate und von Chloé Berthélémy ins Deutsche übersetzt. An einigen Stellen ist die Übersetzung noch etwas holprig. Solltet ihr Verbesserungen haben, hinterlasst bitte einen Kommentar oder schickt mit eine E-Mail.

Im erweiterten Eintrag unten findet ihr den gesamten Text des Protokolls. Alternativ könnt ihr diesen auch als PDF-Datei herunterladen.

Continue reading "Protokoll der mündlichen Anhörung zur VDS beim europäischen Gerichtshof"

Onion Services zum Mitnehmen

Eines meiner Hauptthemen hier im Blog ist Tor bzw. die Anonymität. So versuche auch ich dogfooding zu betreiben, also Tor beim täglichen Browsen zu verwenden. Hin und wieder stoße ich dabei auf Probleme. Entweder ich stoße auf die CAPTCHAs von CloudFlare oder die Seite öffnet sich gleich gar nicht. In letzteren Fällen wird Tor aktiv ausgesperrt. Doch was tun, wenn man die Seiten dennoch per Tor besuchen will?

Zum Glück gibt es das »Darknet«. :-) Mittels Tor Onion Services ist es möglich, beliebige Seiten zu spiegeln. Das heißt, eine Rechner ruft die Seite auf und liefert das Ergebnis über eine Onion-Seite aus. Bei der praktischen Umsetzung hilft das Enterprise Onion Toolkit (EOTK).

Untenstehend findet ihr einige Onion Services, die ich für mich oder andere aufgesetzt habe. Wenn ihr weitere Wünsche habt, hinterlasst einen Kommentar. Ich erwarte, dass die Liste im Laufe der Zeit weiter wächst:

Ich erhielt eine Nachfrage, Wikipedia auch als Onion Service anzubieten. Die Seite lässt sich über Tor problemlos aufrufen und sperrt Bearbeitungen von Tor-Servern. Alec Muffett hat dies schon versucht und mir dringend abgeraten, dies ebenfalls zu tun. Hier erscheint es sinnvoller, Überzeugungsarbeit bei Wikipedia zu leisten.

Schreibt eure Provider wegen der Vorratsdatenspeicherung an!

Seit nun mehr als zehn Jahren wird um die Vorratsdatenspeicherung gerungen. Verordnungen und Gesetze wurden verabschiedet, Klagen dagegen bestritten und gewonnen. Es gab unzählige Demonstrationen und Aktionen gegen diese Form der Überwachung. Am 1. Juli 2017 soll es nun soweit sein, dass wieder ein Gesetz zur Vorratsdatenspeicherung eingeführt und umgesetzt wird. Auch hier gibt es einige laufende Verfassungsbeschwerden. Digitalcourage plant am 29. Juni 2017 Proteste gegen das Gesetz. Die SpaceNet AG klagte gegen das Gesetz und nun beschloss das Oberverwaltungsgericht des Landes Nordrhein-Westfalen, dass das Gesetz gegen europäisches Recht verstösst. Diese Entscheidung betrifft nur die SpaceNet AG. Andere Provider müssen entsprechend nachziehen. Um an der Stelle etwas Druck aufzubauen, will ich verschiedene Provider anschreiben und diese auffordern oder bitten, es der SpaceNet gleich zu tun. Unten findet ihr mein Musterschreiben. Ihr könnt es gern verwenden oder verbessern.

Sehr geehrte Damen und Herren,

das Oberverwaltungsgericht des Landes Nordrhein-Westfalen (OVG) hat mit Beschluss 13 B 238/17 vom 22. Juni 2017 entschieden, dass die zum 1. Juli 2017 umzusetzende Vorratsdatenspeicherung (VDS) gegen europäisches Recht verstößt. Damit wurde die Klägerin von der Speicherpflicht entbunden. Ich möchte Sie hiermit bitten, sich ebenso für die Grundrechte Ihrer Kundinnen und Kunden einzusetzen und eine ähnliche Entscheidung für Ihr Unternehmen zu erwirken.

Das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten (VerkDSpG) verpflichtet Internetserviceprovider (ISP) spätestens ab dem 1. Juli 2017 anlasslos eine Reihe von Verkehrsdaten zu speichern. Diesem Gesetz geht die Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten und die deutsche Umsetzung im Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG zuvor. Das Bundesverfassungsgericht erklärte diese Regelungen in dem Urteil 1 BvR 256/08 vom 2. März 2010 für verfassungswidrig und damit nichtig. Am 8. April 2014 hob dann der europäische Gerichtshof (C-293/12, C-594/12) die Richtlinie auf, da diese gegen verschiedene Rechte aus der europäischen Grundrechtscharta verstößt.

Der deutsche Provider SpaceNet AG klagte nun gegen das im Dezember wieder eingeführte Gesetz und bekam am 22. Juni 2017 vor dem OVG NRW Recht. Das Gericht beschloss, dass die Vorratsdatenspeicherung gegen europäisches Recht verstößt. Die SpaceNet AG muss damit die VDS nicht umsetzen.

Das Urteil betrifft allerdings nur einen Provider. Ohne eine ähnlich gelagerte Entscheidung müssen andere ISP die VDS umsetzen. Daher möchte ich Sie bitten, sich für die Grundrechte Ihrer Kundinnen und Kunden einzusetzen und ein ähnlich gelagertes Urteil zu erwirken. Ich bitte Sie, mir mitzuteilen, ob Sie für Ihr Unternehmen derartige Schritte planen oder ob Sie ggf. anderweitig gegen die VDS vorgehen wollen.

Ich danke Ihnen vorab für Ihre Bemühungen und verbleibe

mit freundlichen Grüßen

Hoffen wir, dass sich möglichst viele Provider gegen die VDS stark machen und das Gesetz endlich gekippt wird!

Update: Golem berichtet, dass Vodafone keinen Eilantrag stellen will und Telefónica/O2 die Sachlage prüft.

Geheimdienst versucht, Tor-Admin anzuwerben

Bei Buro Jansen & Jansen erschien ein Bericht eines Tor-Admins. Der niederländische Geheimdienst versuchte, ihn anzuwerben.

Laut seiner Aussage versucht der Geheimdienst eine Joint SIGINT Cyber Unit (JSCU) aufzubauen und spricht dafür, Studentinnen und Studenten aus dem IT-Bereich an. Insbesondere sollte die Person auch Deutschland bereisen und hier Hackspaces sowie Vertretungen des CCC besuchen. Dem Geheimdienst schien es besonders wichtig zu sein, Landsleute im Ausland zu beobachten. Außerdem schienen sie Leute im Umfeld von Tor und Tails zu suchen.

Insgesamt passiert es Hackerinnen und Hackern immer wieder, dass diese von Geheimdiensten oder Militärs angesprochen werden. Ich würde auch davon ausgehen, dass das in Deutschland vermehrt passiert, da auch hier die Behörden mehr Cyber machen wollen. Daher ist es wichtig, sich so zu verhalten, wie der junge Mann in dem Bericht. Er hat seinen Besuchern klar gesagt, dass er kein Interesse an einer Zusammenarbeit hat. Auch nach den dann folgenden Drohungen ist er nicht eingebrochen.

Die IT-Industrie insbesondere im Bereich IT-Sicherheit bietet jungen Talenten genügend Möglichkeiten, sich auf einem ethisch sauberen Weg zu betätigen. Viele Privatpersonen und Firmen haben großen Bedarf in der Absicherung ihrer Infrastruktur. Hier könnt ihr helfen. Weiterhin versucht die Initiative Security without Borders bei Bedrohungen im Bereich der IT-Sicherheit zu helfen. Sucht euch daher lieber ein solches Thema und helft den Menschen da draußen!

TLS-Bingo -- Wer bietet mehr?

Ich hatte heute den verwegenen Plan und wollte die Webseite des sächsischen Landtages per HTTPS aufrufen. Der Browser stoppte mich und zeigte eine schöne Fehlermeldung:

Edas
Fehlermeldung zum Zertifikat von edas.landtag.sachsen.de

Also dem Zertifikat traut der Browser nicht. Außerdem fehlen dem weitere Bestandteile. Das Zertifikat ist eigentlich für eine andere Domain und schon längst abgelaufen.

Hier frage ich mich, ob jemand schon mal eine Liste von Zertifikatsfehlern gesehen hat, die länger ist, als die obige. :-)

Kryptografie mit Barbie

Das wunderbare Projekt »Chaos macht Schule« des CCC versucht, Medienkompetenz und Technikverständnis von Kindern und Jugendlichen zu fördern. Verschlüsselung gehört mit in diesen Bereich und Bruce Schneier wies kürzlich auf ein Gerät hin, das in jedes Kinderzimmer gehört. ;-)

Von Mattel gibt es eine Schreibmaschine für Kinder, die eine einfache Verschlüsselung beherrscht. Das Modell E-118 wird von der slowenischen Firma Mehano hergestellt. Mittels der Tastenkombination Shift-Lock und 1, 2, 3 oder 4 wird die Verschlüsselung aktiviert. Die Nachricht kann dann über die Tastatur eingegeben werden und die Maschine druckt den Geheimtext aus. Die Schreibmaschine führt dabei eine einfache Ersetzung (Substitution) aus. Aber für einen Einstieg in die Welt der geheimen Kommunikation ist das sicher sehr gut.

tweetbackcheckcronjob