Qbi's Weblog

Überwachung ist überall. Mittlerweile gibt es verschiedene Initiativen, die sowohl politisch wie auch technisch etwas dagegen tun wollen. Eines dieser Projekte startet demnächst in Dresden. Unter dem Projekttitel »Echt Dezentrales Netz (EDN)« findet am 16. und und 17. Januar (folgendes Wochenende) ein Geekend statt. Am Freitag abend werden einige existierende Lösungen, wie Freenet, AN.ON und andere vorgestellt. Samstags geht es mit Vorstellungen weiter. Der Nachmittag ist dann für Workshops reserviert.

Falls ihr teilnehmen wollt, tragt euch im Dudle. Für Leute, die nicht nach Dresden kommen können, gibt es einen Mumble-Raum.

Facebook, die Datenkrake und Tor, das Anonymisierungsprogramm. Das hört sich so an, wie Feuer und Wasser. Die eine Webseite versucht, alles mögliche über deren Nutzer zu speichern. Die andere Software versucht, deren Nutzer möglichst im Schleier der Anonymität verschwinden zu lassen. Obwohl sich beides so gegensätzlich anhört, hat Facebook einen Schritt in Richtung Tor unternommen.

Seit heute könnt ihr Facebook über Tor Hidden Services erreichen. Dazu braucht ihr einen Tor Browser und geht zu der Adresse https://facebookcorewwwi.onion/. Dort könnt ihr euch einloggen und Facebook wie gewohnt benutzen.

Natürlich ändert das nichts an dem Verhalten von Facebook. Die Seite wird nach wie vor Daten der Nutzer sammeln und es wird seitens der Seite ja erwartet, dass sich jeder mit seiner realen Identität anmeldet. Tor-Nutzer haben nun einen Weg zu Facebook, der funktioniert.

Kürzlich führte ich einen Workshop zum technischen Datenschutz und Verschlüsselung durch. Während Workshops zeigte ich den Teilnehmern verschiedene Werkzeuge, unter anderem auch den Tor Browser. Dabei meinte ein Teilnehmer, dass er ZenMate einsetzt und dies genauso sicher wie der Tor Browser ist.

Was ist ZenMate? Auf der Webseite verspricht die Anwendung Verschlüsselung sowie anonymes Browsen. Der Internetverkehr wird durch virtuelle private Netze (VPNs) geleitet. Das Plugin lässt sich einfach installieren und fragt anschliessend nach einer E-Mail-Adresse. Nachdem eine E-Mail-Adresse eingegeben wurde, wird das Plugin nach einer kleinen Wartezeit aktiv. In der Browserleiste im Firefox erscheint ein grünes Schild und nach einem Klick lässt sich rechts unten der Ort wechseln (Change Location). Auf Empfehlung des Teilnehmers wählten wir im Kurs Hong-Kong aus und fühlten uns geschützt. Doch wie sieht die Realität aus?

Ich nutze für Tests auf Anonymisierung meist die Seite IP-Check. Nach dem Start des Tests und einer kurzen Wartezeit ergab sich folgendes Bild:

Das Plugin leitet zwar die Verbindungen über das VPN weiter und nutzt einen Server in Hong-Kong (oder auch anderen Städten). Weitere Browsereinstellungen bleiben jedoch unangetastet. Im Beispiel oben war es das Flash-Plugin, was in vielen Browsern standardmäßig aktiv ist, das sogar die reale, gerade verwendete IP-Adresse preisgegeben hat. Mit der manuellen Deaktivierung von Flash wird die eigene IP-Adresse nicht mehr unmittelbar erkannt. Allerdings bleiben noch genügend andere Möglichkeiten übrig das Onlineverhalten der Benutzer zu verfolgen.

Letztlich stecken die Entwickler des Tor Browsers sehr viel Zeit und Energie, Lücken im Firefox zu schließen. Daher wäre es schon sehr verwunderlich, wenn sich gleiches Ziel, nämlich anonymes Browsen, mit einem einfachen Plugin erreichen ließe.

Wer also ZenMate einsetzen will, sollte sich der Risiken im Klaren sein und ggf. selbst weitere Anpassungen im Browser vornehmen. Eventuell funktioniert die Kombination des JondoFox-Profils mit ZenMate besser. Diesen Versuch überlasse ich euch. Ihr könnt gern einen Kommentar hinterlassen.

Die jüngsten Veröffentlichungen zeigen, dass sich Menschen, die sich für Verschlüsselung interessieren, von der NSA überwacht werden. Einige Leute fragten mich heute, ob sie das denn auch betrifft und natürlich frage ich mich, ob ich auch betroffen sein könnte. Was habe oder hatte ich mit Tor zu tun?

• Ich stieß ungefähr im Jahr 2003 auf Tor und nutze es seitdem in unterschiedlichen Intensitäten.
• Ich übersetzte einen Großteil der Webseite ins Deutsche.
• Hier im Blog stehen immer mal wieder Beiträge zu Anonymität und Tor.
• Mittlerweile gibt es die dritte Auflage meines Buches Anonym im Netz.
• Ich gehöre zum Vorstand von TorServers.net, einem Betreiber von Tor-Relays.
• Ich half, eine Seite mit Fragen und Antworten zu Tor aufzubauen und moderiere dort.
• Schließlich betreibe ich Anonymisierungsdienste.
  

Werde ich nun überwacht? Ich weiß es nicht. Aber die obige Liste lässt mich nicht unbedingt ruhiger schlafen.

Vor einem Jahr interviewte mich Teresa Sickert für Radio Trackback zur Zensur in China und zur Anonymität. In der heutigen Sendung wurde das nochmal ausgestrahlt und ihr könnt das als MP3 anhören. Viel Spass dabei!

Diagramm der geschätzten Tor-Nutzer

Die Users-Seite im Tor Metrics Portal gibt derzeit große Rätsel auf.Seit Mitte August 2013 gibt es etwa dreimal soviele Tor-Nutzer wie sonst. Der Anstieg ist ungebrochen und mittlerweile merkt man als Nutzer einen deutlichen Performance-Einbruch. Das heißt, gerade das Surfen im Web fühlt sich deutlich langsamer an. Doch woher kommen die neuen Nutzer?

Roger Dingledine warf diese Frage auf der tor-talk-Mailingliste auf. Das wurde später von Ars Technica und auch Heise Online aufgegriffen. Aber niemand lieferte bisher eine Antwort.

Der erste Verdächtige hieß PirateBrowser. Diese Anonymisierungslösung aus dem Dunstkreis von The Pirate Bay nutzt Tor. Nun könnte man annehmen, dass der PirateBrowser unglaublich viele Nutzer anzieht und dadurch der Anstieg zustande kommt. Das würde aber bedeuten, dass alle diese Leute vorher kein Tor nutzten. Das halte ich bei dem »Kundenkreis« für recht unplausibel. Ich denke, die meisten nutzen schon jetzt Tor oder andere Lösungen. Weiterhin untersuchten einige die wahrscheinlichen Nutzerzahlen vom PirateBrowser. Die liegen meilenweit von dem Anstieg der Tor-Nutzer weg.

Collin Anderson analysierte die Nutzerzahlen in verschiedenen Ländern (Google-Docs-Dokument). Der Anstieg geht quer durch alle Länder (Diagramm). Ausnahme ist Israel. Dort gingen die Tor-Nutzer im betrachteten Zeitraum sogar etwas zurück.

Das stützt die These, dass hier ein Botnet zugange ist. Es könnte sein, dass Schadsoftware verteilt wird und diese nutzt Tor zur internen Kommunikation. Wenn die Software auf vielen Rechnern »installiert« ist und genutzt wird, dann steigen natürlich die Nutzerzahlen an. Diese Nutzer scheinen Tor mittlerweile wirklich zu nutzen. Denn ich stellte in den letzten Tagen eine deutliche Verlangsamung der (gefühlten) Geschwindigkeit bei Tor fest. Falls das also wirklich ein Botnetz ist, sollten die Tor-Clients als Relay umfunktioniert werden. Das hilft dann wieder dem gesamten Netz.

Eine andere Theorie lässt sich zunächst dem Bereich der Verschwörungstheorien zuordnen. Aber da in letzten Zeit so viele Wahrheit wurden, brauchen wir mal neue.
Durch die Enthüllungen von Snowden ist es durchaus möglich, dass mehr Leute Verschlüsselung und Anonymisierungswerkzeuge wie Tor nutzen. Eventuell ist es nun für die NSA wirklich schwerer uns zu überwachen. Also wird Tor durch eine unglaubliche Zahl an Clients wieder »verlangsamt«. Viele Nutzer stellen fest, dass das zu unbequem ist und gehen zur alten überwachten Leitung zurück. Voila.

Was ist eure Theorie?

Seit Juni 2013 kommen in regelmäßigen Abständen Veröffentlichungen über Lauschprogramme der NSA und anderer Geheimdienste. In den letzten Tagen gab es dann noch einen Angriff gegen Nutzer von Tor. Der Angriff wird auch der NSA zugeschrieben und heizte mal wieder die Diskussion an, ob die NSA Tor-Knoten betreibt und damit die Anonymität der Nutzer schwächt. Doch was ist da dran? Betreibt die NSA wirklich Tor-Relays?

Die kurze Antwort ist: »Nobody knows«.
Die lange Antwort erfordert ein wenig Abwägung. Stellt euch vor, die NSA betreibt in größerem Umfang Relays. Dann gibt es prinzipiell die Chance, dass die Verbindungen eines Nutzers über drei NSA-Knoten geht und die Daten damit deanonymisiert werden. Bei Exitknoten gibt es zusätzlich die Möglichkeit, persönliche Daten abzugreifen. Dan Egerstad zeigte 2007, wie einfach es ist, an Passworte von Botschaften zu kommen.

Ein Blick auf die Liste der Tor-Relays, sortiert nach Bandbreite zeigt, dass sehr viele der Knoten von TorServers.net, DFRI und anderen Organisationen betrieben werden. Diese stehen für mich nicht im Verdacht, NSA-nah zu sein. Weiterhin versucht das Tor-Projekt »bösartige« Exits bzw. solche, die merkwürdiges Verhalten zeigen, zu finden. Hier konnten in der Vergangenheit wenige gefunden werden. Derzeit gibt es keinen Hinweis, der den Verdacht erhärten könnte.

Wenn man weiter annimmt, dass die NSA Tor-Knoten betreibt und sie sicher auch weiß, dass verschiedene Leute versuchen dies aufzudecken, ist klar, dass sie ein großes Risiko fährt. Denn wenn nur ein NSA-Relay aufgedeckt würde, erzeugt das wegen des Skandalisierungspotentials einen großen medialen Aufschrei. Aus den Überlegungen ist das also nicht empfehlenswert.

Des Weiteren hat die NSA Zugänge zu den großen Netzknoten und kann Kommunikation übergreifend mitlesen. In der Anonbib findet sich die PDF-Datei »AS-awareness in Tor path selection«. Die Autoren beschreiben, wie vergleichsweise einfach es ist, für einen Angreifer mit einer weiten Netzwerksicht, die Anonymität zu minimieren oder zu brechen. Das heißt, die Daten, die die NSA durch den Betrieb von Tor-Relays erhalten würde, hat sie jetzt schon als »Abfallprodukt« der Überwachung. Fefe schrieb recht melodramatisch, dass Tor tot ist. Seine Argumente finden sich bereits im Design-Paper von Tor aus dem Jahr 2003: »[…] Tor does not protect against such a strong adversary. Instead, we assume an adversary who can observe some fraction of network traffic …«. Das bedeutet, dass Tor gegen einen starken Angreifer nicht sicher ist.

Letztlich ist es natürlich auch möglich, dass in bestehende Relays eingebrochen wird und die Daten ausgeleitet werden. Spiegel Online hatte letztens einen Artikel zu einem Einbruch in ein »Wasserwerk«. Das Werk war hier nur eine Falle und der Betreiber beobachtete die Aktionen der Angreifer. Die NSA würde durch einen Einbruch in existierende Tor-Server ebenfalls interessante Erkenntnisse über die Tor-Nutzer gewinnen.

Alles in allem glaube ich, dass der massenhafte Betrieb von Tor-Relays für die NSA derzeit von Nachteil ist. Die Informationen können sie wahrscheinlich auf anderem Wege gewinnen. Warum sollte die Agency also das Risiko eingehen?

Die Frage wurde auch in Blogs diskutiert. Folgende englischen Beiträge fand ich recht interessant:

• Anonymity Smackdown: NSA vs. Tor von Robert Graham. Er traf einige falsche Annahmen und hat diese zum Teil durch Updates korrigiert.
• Antwort zu obigem Beitrag von Roger Dingledine auf der libtech-Mailingliste
• Should I warn against Tor? auf der Tor-talk-Mailingliste

Update: Link zum DK25: National Security Agency eingebaut. Ein wenig Eigenwerbung muss sein.