Qbi's Weblog

Kürzlich errang der Tor-Betreiber Theodor Reppe einen Sieg vor Gericht. Die deutsche Pressemitteilung enthält alle Details. Kürzlich wurde auch um eine englische Version gebeten. Auf der Tor-Mailingliste erschien eine Übersetzung und mit Theodors Erlaubis stelle ich die hier ebenfalls online.

Today, the Local Court of Jena, Hall 1, held a criminal trial against the domain owner of wikileaks.de, Theodore Reppe. The criminal charges were computer fraud - Reppe was accused of posting false information on the Internet and thereby causing damages amounting to 38.55 euros. The only evidence: An IP address that led to Reppe's customer data. After the opening statement, defense attorney Norman Lenz read out comments and other statements from Reppe that the court and prosecutor had to see that Reppe was not the culprit. In fact, it turned out that the Tor server operated by Reppe had been misused by someone else.

The question ensued between the court and defense as to whether Reppe was still guilty since he had allowed the transfer of the fraudulent data. The court offered the popular conservative view that projects such as Tor are more harmful than useful, stating claims such as, “There's nothing to fear if you have nothing to hide!” and “This server could also allow anonymous distribution of child pornography!” The defense countered: “These sorts of statements could also justify the elimination of private mail and personal correspondence.” In the end, the presumption of innocence was upheld: Reppe's Tor server only anonymizes and encrypts activity, it is not itself the source of illegal activities, and thus the court had to acquit him.

Please send questions to tor@morphium.info and they will be promptly answered.

In Deutschland diskutieren diverse Leute, ob das Gesetz zur Vorratsdatenspeicherung Anonymisierer verbietet. Die Slowakei geht da gleich richtig ran. Wer nämlich einen Service betreibt, der die Verfolgung von Internetnutzern schwierig oder unmöglich macht, soll bestraft werden. Es sind Strafen bis zu 33.000 Euro möglich. Den Grund kennen wir natürlich. Kinderpornografie, Terrorismus und Finanzbetrügereien. Eine RTF-Datei mit allen Details findet ihr bei ICTLaw. Spricht jemand gut Slowakisch, um alle Details klären zu können? Ich fand sonst leider keine weiteren Quellen dazu im Netz.

via Tor-Mailingliste

Die Anonymisierungssoftware Tor bietet neben vielen nützlichen Anwendungen auch Risiken in sich. In der Vergangenheit haben diverse Leute versucht, Passwörter anderer Nutzer auszulesen oder sonst an geheime Informationen zu kommen. Heute stieß ich beim Surfen auf einen Exit-Knoten, der falsche SSL-Zertifikate präsentiert. Damit ließe sich die sonst geschützte Kommunikation von dritter Seite mitlesen, ohne das man selbst etwas davon merkt. Der Knoten trägt den Namen JustANode mit der IP-Adresse 89.138.155.193 und läuft unter Windows XP. Offensichtlich läuft dort das Finjan Secure Web Gateway, welches sich für Active Real-Time Content Inspection rühmt. Ich hoffe, der Knoten bekommt schnellstens ein BadExit-Flag. Das schützt andere Tor-Nutzer davor, diesen zufällig zu nutzen.

Wenn du selbst mal in den Genuss kommen willst, kannst du folgendes probieren. Allerdings solltest du wissen, was du tust und auf keinen Fall schützenswerte Daten über die Leitung schicken!

1. Stelle sicher, dass Tor installiert ist und funktioniert (eventuell hilft das Tor-Browser-Paket).
2. Wähle eine SSL-Seite (https://torproject.org oder https://www.ccc.de sind zwei Möglichkeiten.)
3. Gib in die Adresszeile des Browsers die URl gefolgt von .JustANode.exit ein: https://www.example.com.JustANode.exit/.
4. Wirf einen genauen Blick auf das präsentierte Zertifikat.

Das Beispiel zeigt mal wieder, dass man beim Surfen im Web immer die Augen und das Gehirn offen halten sollte.

Jacob Appelbaum hat das Tor-Browser-Paket weiter entwickelt. Bisher war das ein Paket für Microsoft Windows, welches Tor, Vidalia, Polipo und Torbutton (und auch das Chatprogramm Pidgin) enthält. Das Paket lässt sich auf einen USB-Stick speichern und auf einem beliebigen Rechner ohne Installation starten. Jake hat das Paket für GNU/Linux (im speziellen Fall zunächst nur Debian) weiterentwickelt und bittet um ausführliche Tests. Falls du also Lust hast, kannst du das Paket von Jakes Seite runterladen. Wenn das passiert ist, kannst du es entpacken und kannst es starten. Weiterhin kannst du es auch direkt aus dem SVN auschecken und bauen:

svn co https://tor-svn.freehaven.net/svn/torbrowser/trunk/
cd build-scripts
time make -f Makefile.linux build-all-binaries
time make -f Makefile.linux all-compressed-bundles

Bitte testet fleißig und gebt Rückmeldungen an das Projekt.

Das Tor-Projekt sucht derzeit eine Möglichkeit, für einen Verzeichnisserver außerhalb der USA und Europa. Diese Server sind nicht solche, die Verkehr für andere Nutzer weiterleiten, sondern sie stellen die Informationen zum Tor-Netzwerk zur Verfügung. Das heißt, hier bekommt euer Client die Informationen, welche Tor-Server es gibt, wie er diese nutzen kann etc. Ein Verzeichnisserver sollte eine stabile Anbindung an das Netz haben und pro Monat bis zu vier Terabyte Traffic aushalten. Falls jemand solch eine Möglichkeit kennt, so hinterlasse er hier oder beim Beitrag im Tor-Blog einen Kommentar.

Ich habe hin und wieder mit Mitmenschen Kontakt, die gern einen Tor-Server betreiben wollen, sich aber wegen eventueller unangenehmer Kontakte zu Strafverfolger nicht trauen. Das Tor-Projekt hat nun kürzlich ein Blogposting verfasst, indem der Autor Mike Perry einige Vorschläge macht, wie man etwas mehr Sicherheit erlangen kann. Über die Jahre hat wenig bis keinen Ärger damit gehabt.

Ich habe diese Hinweise unten mal übersetzt und ein wenig kommentiert. Vielleicht hilft das einem heutigen oder zukünftigen Betreiber eines Tor-Knotens.

Informiere deinen Provider

Für Mike ist das gleichzeitig der wichtigste Punkt. Das heißt, bevor du deinen Tor-Knoten aufsetzt, solltest du dich mit deinem Provider in Verbindung setzen. Erkläre ihm, was du vorhast, was Tor ist und auch welchen Nutzer er den Leuten bringt. Gerade momentan bietet sich das Beispiel Iran zur Erklärung der Vorteile für die Menschen gut an. Falls du dir unsicher bist, welchen Provider du wählen solltest, schaue dir die Liste der guten/schlechten ISPs für Tor an. Sollte dein Provider gegen einen Exitknoten sein, kannst du einen Brückenserver oder einen Mittelknoten (middle man) aufsetzen. Damit hilfst du dem Tor-Projekt und hast wenig Risiko Ärger zu bekommen.

Nutze eine separate IP-Adresse für deinen Tor-Server und leite privaten Verkehr nicht über diesen Rechner.

Auf der einen Seite hat die Variante, allen Traffic über den Tor-Server zu leiten, den Vorteil, dass du eine Schutzbehauptung im Zweifelsfall hast. Andererseits kann bei einer eigenen IP-Adresse für den Tor-Knoten dein Provider klar sagen, dass es eben der Knoten war und kann automatisiert eine Antwort auf eventuelle Anfragen schicken.

Richte einen Reverse-DNS-Eintrag ein.

Es ist sinnvoll, wenn der Reverse-DNS-Name eine sinnvolle, für sich sprechende Bezeichnung ist. Also etwas in der Richtung wie tor-knoten.example.org oder tor-exit.example.com oder ähnliches. Ich sah kürzlich einen Server mit dem Namen i.am.a tor.exit.node.example.org.

Richte eine Notiz beim Server ein.

Wenn du eine aktuelle Tor-Version (0.2.1.x oder neuer) besitzt, kannst du in der Datei torrc die Variable DirPortFrontPage setzen. Als Argument muss der Option ein Dateiname übergeben werden. Diese Datei sollte eine HTML-Datei mit Informationen zu Tor allgemein oder zu deinem Server sein. Das Tor-Projekt hat ein Beispiel einer solchen Seite.

Beschränke die Bandbreite deines Knotens.

Mike führte in einem Teilprojekt Messungen durch. Dabei stellte er fest, dass Tor-Server, die die Option BandwidthRate gesetzt haben, recht zuverlässig arbeiten. Dabei ist die Option so gesetzt, dass sie recht nahe an der wirklich Bandbreite liegt. Weiterhin liesse sich QoS einsetzen.

Ich hoffe, diese Hinweise helfen dir, deinen Tor-Knoten sicherer zu betreiben. Wenn du Fragen oder Hinweise hast, kannst du unten gern einen Kommentar hinterlassen.

Mit welchem Argument wird seit Jahren das Recht auf freie Meinungsäußerung eingeschränkt? Richtig, wie auch in der aktuellen Diskussion, ist es Kinderpornographie. Seit mittlerweile fünfzehn Jahren beobachte ich immer wieder das gleiche Schema.

Das erste Mal fiel es mir im Fall des ersten Remailers, anon.penet.fi, auf. Der Betreiber Julf Helsingius stand damals auf der Titelseite des Observer und ihm wurde vorgeworfen für 90% der Kinderpornographie im Internet verantwortlich zu sein (Ich habe den Fall detailliert in meinem Buch “Anonym im Netz” beschrieben.). In den letzten Jahren kamen dann Betreiber von Tor-Servern, der Bundestagsabgeordnete Jörg Tauss und seit heute auch Besitzer von simplen Domainnamen hinzu.

Im aktuellen Fall bekam der Besitzer der Domain wikileaks.de Besuch von der Polizei. Seine Wohnungen in Dresden und Jena wurden von mehreren Beamten durchsucht und Computer beschlagnahmt. Was genau war das Vergehen? Ich versuchte auf diese Frage heute bei der Polizei in Jena sowie bei der Staatsanwaltschaft Dresden eine Antwort zu erhalten. Im Protokoll steht nur etwas von Verbreitung pornographischer Schriften. Das ist jedoch keineswegs ein Grund für eine Verletzung der Wohnung in der vorliegenden Form. Bei der Staatsanwaltschaft Dresden wurde mir lapidar mitgeteilt, dass die Pressestelle keine Sprechzeiten hat. Ich solle es an einem anderen Tag probieren. Von Seiten der Polizei bekam ich die Auskunft, die auch Heise meldet. Die Aussage war in etwa, dass es auf seiner Webseite Links zu kinderpornographischen Seiten gäbe und er sich somit der Verbreitung schuldig mache. Der interessierte Leser wird hier Parallelen zu den verschiedenen Sperren von wikipedia.de erkennen. Wie zuletzt Lutz Heilmann gibt es Leute, die einstweilige Verfügungen erwirken, in der Hoffnung etwas gegen die Inhalte der Wikipedia zu tun. Wie auch im Fall von Theodor Reppe hat die Domain jedoch nichts mit den Inhalten zu tun. Insofern ist es äußerst fragwürdig, inwieweit die Durchsuchung überhaupt berechtigt ist. Die diversen Kommentare in der Blogosphäre gehen auf diese Problematik genauer ein.

Doch inwieweit ist das ein Erfolg oder überhaupt ein sinnvoller Ansatz im Kampf gegen Kinderpornographie? Es wird ohne Aussicht auf irgendeinen Erfolg und aus meiner Sicht ohne begründeten Verdacht gegen eine Zivilperson vorgegangen. Und zwar gegen jemanden, der sich aktiv für freie Meinungsäußerung einsetzt:

Herr Reppe ist der Spender der Wikileaks.de Domain und betreibt einen Mirror der US Congressional Research Service Dokumentensammlung, ist allerdings ansonsten nicht operativ in Wikileaks involviert. Herr Reppe ist ausserdem Betreiber eines der populaersten deutschen Tor-Proxyservers

Kinderpornographie wird man hier eher nicht finden. Vielmehr dient solch eine Aktion eher der Einschüchterung, wie bereits in den oben angesprochenen Fällen der Betreiber von Tor-Servern. Außerdem stellt sich mir die Frage nach der Rechtmäßigkeit der kompletten Aktion. Das Bundesverfassungsgericht hat sich 2005 in einer Entscheidung gegen das Vorgehen mit der Begründung “Gefahr im Verzug” ausgesprochen bzw. sehr starke Schranken angelegt. Andererseits scheint es in Dresden wiederum einen ordentlichen Beschluss einer Richterin gegeben zu haben. Weiterhin ist der Pressemitteilung zu entnehmen, dass trotz Nachfragen des Betroffenen keine Zeugen benannt wurden, dass es keine Aufklärung gab etc. Ich hoffe, Theodor findet einen guten Anwalt, der sich dieser Sachen annimmt und dies aufklärt.

Ein sinnvoller Ansatz ist aus meiner Sicht, direkt gegen diese Seiten vorzugehen. Gerade anhand der publizierten Filterlisten versuchte die Organisation Carechild, die Seiten aus dem Netz zu entfernen. Sehr viele der Provider sperrten die Zugänge der Kunden. Warum also gibt es keine speziellen Abteilungen beim BKA, die dies veranlassen. Weiterhin stehen viele der Server in Deutschland. Somit hätten die Ermittlungsbehörden direkten Zugriff. Aber statt direkter Maßnahmen wirft man lieber wie oben Nebelkerzen oder baut eine Zensurinfrastruktur auf.

Speziell die Nachrichten des heutigen Tages hatten es in der Beziehung wirklich in sich. Frau von der Leyen behauptet, die Kinderpornographen würden Millionenbeträge verdienen. Danaben steht die Aussage, dass es einen dramatischen Anstieg gäbe und der Artikel im Spiegel spielt noch ein wenig mit Emotionen. Der Rechtsanwalt Udo Vetter hat seine Erfahrungen mit den Tätern beschrieben. Demnach ist es keinesfalls so, dass viel Geld damit verdient wird. Netzpolitik kommt bei der Betrachtung der Zahlen auf komplett andere Werte.

Ich habe das Gefühl, dass hier gezielt gegen Kritiker vorgegangen wird und das die Bekämpfung der wirklichen Verbrechen keineswegs im Vordergrund steht. Der Regierung scheint es um plakative Maßnahmen für den Wahlkampf zu gehen. Die damit ermöglichten Zensurmaßnahmen werden billigend in Kauf genommen. Momentan lächeln viele auf Länder wie China oder Iran herab. Doch wir sind auf dem besten Weg in genau diese Richtung. Daher sollten Umgehungstechniken wir Tor oder I2P gefördert werden, um auch in Zukunft ein freies Internet zu haben.

Wie ihr für die Projekte spenden könnt, lest ihr auf den entsprechenden Webseiten:

• Wikileaks
• I2P
• Tor

Weitere Artikel dazu:

• Pressemitteilung der FITUG (PDF)
• Fefe
• Netzpolitik
• Holgi
• Rainers Blog

Das Tor-Projekt hat kürzlich in einer Pressemitteilung bekanntgegeben, dass ein Finanzbedarf von einer Million US-Dollar in den nächsten 12 Monaten besteht. Wer möchte, kann spenden. Die Entwickler von I2P haben die Meldung zum Anlass genommen, eine Kampagne für Spenden zu starten. Damit sollen 100 Dollar eingeworben werden. Die Spendenseite verrät, wie es geht.

Vor einiger Zeit erreichte mich per E-Mail eine Anfrage. Der Nutzer wollte eine Webseite immer mit einem bestimmten Tor-Server (oder einer kleinen Auswahl von Servern) besuchen. Er fragte, ob und wie das geht.

Es geht. Das Tor-Project hat verschiedene Spezifikationen herausgegeben. Eine davon ist die zu Special Hostnames in Tor. In dem Dokument werden unter anderem die Hostnamen .onion und .exit beschrieben. Letzteres dient dazu, spezielle Tor-Exitknoten zu wählen. Auf der Torstatus-Seite wählt ihr nun einen passenden Tor-Server aus. Am einfachsten geht es, wenn ihr euch einfach den Namen des Servers merkt, also beispielsweise babajaga. Nun gebt ihr in den Browser die Adresse http://example.org.babajaga.exit ein. Dann versucht euer Tor-Client eine neue Verbindungsstrecke zum Exit-Server babajaga aufzubauen und leitet eure Verbindung über diesen. Voila.

Unter Umständen schlägt das fehl. Es könnte sein, dass euer lokaler Tor-Client nichts mit dem Namen babajaga anfangen kann. Auf der Torstatus-Seite hat jeder Server noch eine Einzelansicht. Wenn auf diese klickt, seht ihr relativ weit oben auch den Fingerprint des Servers. Diesen kopiert ihr und versucht folgenden Aufruf: http://example.org.$1234567890ABCDEF.exit. Dabei muss das nach dem Dollarzeichen der richtige Fingerprint sein. Nun sollte die Verbindung klappen.

Solltet ihr euch länger auf der Webseite aufhalten, wird Tor nach einer Zeit automatisch eine neue Verbindungsstrecke mit einem neuen Exit-Knoten aufbauen. Falls ihr das nicht wünscht, hilft die Option TrackHostExits. Sie muss in der torrc zusammen mit der Webseite eingetragen werden: TrackHostExits example.org. Das sorgt dann dafür, dass sich Tor den Exit-Server merkt und versucht den über längere Zeit beizubehalten.

Falls ihr die obigen Maßnahmen einsetzen wollt, solltet ihr euch immer gut überlegen, ob ihr das wirklich wollt. Denn wenn man das über längere Zeit macht, könnte ein Angreifer erfolgreich die Anonymität angreifen.

Foto von frech

Als ich obigen Text sah, war ich recht erstaunt. Woher weiß die Seite, dass ich aus Erfurt komme? Klar, ich kenne Geolocation. Aber ich hatte doch Tor aktiviert. Aber die zweite Zeile beruhigte mich wieder. Ich nutze weder Windows XP noch Firefox 2. Die IP-Adresse stammt aus einem Erfurter Rechenzentrum und gehört einem Tor-Server. Damit ist meine Welt wieder in Ordnung.

Ich wollte mir mal wieder eine aktuelle SVN-Version von Tor bauen und startete dpkg-buildpackage. Schon beim ./configure-Lauf begrüßte mich die Meldung C compiler cannot create executables., d.h. der gcc kann angeblich keine Binärdateien machen. Bei Debian entsteht der Fehler üblicherweise dadurch, dass bestimmte gcc-Pakete fehlen. Diese waren bei mir jedoch alle installiert. Ehe ich hier lange herumprobierte, warf ich glücklicherweise zuest einen Blick in die Datei config.log und sah, dass es einen Aufruf mit -march=foo gab. Das erinnerte mich daran, dass ich beim Neuaufsetzen einfach diverse Dateien kopiert hatte, ohne diese eventuell an neue Gegebenheiten anzupassen. Kaum war der Aufruf verbessert, schon klappte wieder alles.

So langsam hält auch die Zukunft bei Tor Einzug. Denn die aktuelle Entwicklerversion bietet erstmalig Unterstützung für IPv6. Wer von euch also IPv6 im Einsatz hat, kann das probieren. Jedoch ist die Unterstützung noch nicht perfekt. Am Code wird weiter gearbeitet.

Eine weitere Verbesserung, die sich langsam einschleicht :-), ist die Einarbeitung von Proposal 121. Dabei geht es um Authentifizierung gegenüber Hidden Services. Der Forscher Karsten Loesing hat im Rahmen seiner Arbeiten diesen Vorschlag eingebracht und umgesetzt. Jetzt fließen die Codestücke in den offiziellen Tor-Code mit ein. Dabei geht es darum, dass nur bestimmte Nutzer den Hidden Service erreichen sollen. Beispielsweise wenn sie an einem Wiki mitarbeiten wollen. Die Details kann man dem Proposal entnehmen und falls ich mal dazu komme, werde ich den Ansatz in einem Extra-Artikel vorstellen.

Wer also testen möchte, der kann sich die aktuelle Version von der Download-Seite oder aus dem Subversion von Tor herunterladen.

Seit meinem Umstieg zu Ubuntu stelle ich fest, dass Tor nach dem Systemstart nicht mehr aktiv ist. Das heißt, der Prozess wird gestartet und bricht dann später ab. Die dazugehörigen Fehlermeldungen sind:

Sep 02 21:42:01.584 [warn] eventdns: Unable to add nameserver 192.168.0.123: error 2
Sep 02 21:42:01.585 [warn] Unable to parse ‘/etc/resolv.conf’, or no nameservers in ‘/etc/resolv.conf’ (6)
Sep 02 21:42:01.585 [err] Error initializing dns subsystem; exiting

Im Forum der Ubuntu-Nutzer wird seit längerem darüber diskutiert. Jedoch gibt es keine Lösungsansätze.

Aufgrund der Fehlermeldung vermutete ich, dass das Netzwerk zu dem Zeitpunkt noch nicht verfügbar ist und verschob den Start von Tor einfach weiter nach hinten (Änderung des Symlinks). Jedoch brachte auch dies keine Besserung. Im nächsten Schritt installierte ich bootchart (Artikel dazu aus mikas Blog) und schaute, wo es hängt. Unter anderem startete ein Dienst namens dhcdbd, der für das DHCP zuständig ist. Jedoch dauert es sehr lange, bis der DHCP-Client gestartet und eine IP-Adresse angefordert wird. Der Network-Manager von Ubuntu/GNOME hatte den Roaming-Modus für die Karte aktiviert und auch in der Datei /etc/network/interfaces fehlte jeglicher Eintrag zu der Netzwerkkarte. Also deaktivierte ich den Roaming-Modus und stellte DHCP für die Karte ein. Daraufhin wurde der Eintrag in der obigen Datei korrekt geändert:

iface eth0 inet dhcp
auto eth0

Ein Neustart erbrachte dann das gewünschte Ergebnis. Tor startet nun problemlos und auch andere Dienste machen weniger Probleme.

Seit kurzem existiert ein deutschsprachiger IRC-Kanal für Tor. Dort sind alljene willkommen, die Fragen oder Anmerkungen zum Tor-Projekt haben und diese gern in deutsch diskutieren wollen. Ihr findet den Kanal bei irc.oftc.net unter dem Namen #tor-de.

Der erste wirkliche Konferenztag startete für mich mit einer Zugfahrt von Brüssel nach Leuven. In Leuven angekommen, wollte ich einchecken. Doch just in dem Augenblick kam eine riesige Menge an Fahrradfahrern rein. Man hatte den Eindruck, dass die Tour de France einen Stop macht. So entschloss ich mich, mein Gepäck einzuschließen und direkt weiter zum Konferenzgebäude zu gehen.

Dort angekommen, gab es Diskussionen zu verschiedenen Wahlsystemen. Der Grund hierfür ist die gleichzeitig stattfindende WOTE-Konferenz. Einer der Forscher stand mit draußen und erzählte zu seinem System. Nach dem gemeinsamen Mittagessen (Ja, es ist perfekt, wenn Konferenzen gleich mit dem Essen beginnen ) wurde die PETS mit einer Keynote eingeleitet. Wie sooft, war auch diese eher uninteressant und ich übersetzte ein paar Webseiten. In der Diskussion nach dem Vortrag gab es auch gleich recht kritische Anmerkungen. Insbesondere da der Vortragende einige feststehende Begrifflichkeiten umdeutete, um das Gebiet auch für Politiker kompatibel zu machen.

Der erste richtige Vortrag wurde von Carmela Troncoso gehalten. Sie hat zusammen mit Kollegen eine neue Angriffsmethode, so genannte "Perfect Matching Disclosure Attacks", gefunden. Mit einem Mix aus Graphentheorie und dem Satz von Bayes zeigte sie, wie man recht effektiv, Nutzer deanonymisieren kann. Gleichzeitig verbesserte sie auch einen Angriff, der zuvor von Danezis gefunden wurde. Die Details solltet ihr in der Veröffentlichung nachlesen. Später hielt Andrej Serjantov einen ähnlich gelagerten Vortrag mit dem Titel "On the Impact of Social Network Profiling on Anonymity".

Der letzte Vortrag des Tages hatte es dann in sich. Er trug den Titel "Shining Light in Dark Places: Understanding the Tor Network". Die Forscher hatten einen Tor-Knoten aufgesetzt und den Traffic mitgeschnitten. Zum einen versuchten sie über einen Zeitraum der erste Knoten in einer Verbindungsstrecke zu sein und andererseits waren sie für einige Tage auch Exitknoten. Aus dem erstgenannten versuchten sie Informationen über die Nutzer von Tor zu extrahieren. Insbesondere waren sie daran interessiert, aus welchen Ländern die Nutzer komen. Deutsche Nutzer stellen mit etwa 30% die größte Nutzergruppe. Gleichzeitig stehen in Deutschland auch die meisten Tor-Router, dicht gefolgt von den USA.

Nun werteten die Forscher auch den Traffic aus, der über den Exit ging, d.h sie schnitten mit tcpdump die ersten 120Byte jeder Anfrage mit und werteten die Protokolle aus. Nicht überraschend waren die meisten Pakete HTTP-Pakete. Bei der Auswertung nach Traffic war es für mich überraschend, dass direkt nach HTTP-Traffic der zweitgrößte Posten Bittorrent war.

Nach dem Vortrag begann dann eine rege Diskussion. Diese beherbergte zum einen rechtliche Fragen. Einige Teilnehmer waren der Meinung, dass die Maßnahmen unter einen Wiretapping Act in den USA fallen und demnach illegal waren. Die Forscher hatten sich offensichtlich keine große Gedanken über die rechtliche Seite gemacht. Viel schlimmer wurde es dann als bei der Diskussion über die ethischen Implikationen herauskam, dass die Forscher immer noch die Daten aus dem Exittraffic besitzen. Dies weckt natürlich Begehrlichkeiten bei diversen Behörden und diese könnten versuchen, an die Daten zu kommen. Als sie gefragt wurden, was sie nun mit den Daten machen bzw. wann die gelöscht werden, gaben sie zur Antwort, dass sie die IP-Adressen anonymisieren und die Daten an andere Forscher weitergeben wollen. Jetzt konnte man sehen, wie einigen buchstäblich der Mund offenblieb und sie sich fragten, ob die da Vorn nur naiv oder bösartig sind. Auch später am Abend gab es dazu noch reiche Diskussionen. Der Vortragende hatte es (zu Recht) nicht einfach, denn er bekam sehr viel Gegenwind aus dem Publikum. Vielfach wurde auch die Tatsache kritisiert, dass er Forschung mit reellen Nutzerdaten, die nichts von alldem wissen, betreibt.

Der Abend klang dann mit einem gemeinsamen Dinner aus.

Update: Den Forschern könnte doch einiger Ärger bevorstehen: Researchers could face legal risks for network snooping.