- monthly subscription or
- one time payment
- cancelable any time
"Tell the chef, the beer is on me."
Der Kampf um die Anonymisierungssoftware Tor ist ein stetes Wettrennen, bei dem die Geheimdienste immer wieder aufholen, das System bislang aber nie ganz knacken konnten.
Das Anonymisierungstool TOR ist über die Jahre vielfach ausgezeichnet worden. So gewann das Tor Project im Jahr 2011 den Preis der Free Software Foundation. Wichtiger jedoch sind die Finanziers, die sich das Projekt über die Jahre sicherte: Von Google über die Knight Foundation bis hin zur amerikanischen National Christian Foundation – sie alle sahen in der Mission des Projekts, Internetnutzern das Recht auf Anonymität und freien Internetzugang zu verschaffen, ein unterstützenswertes Vorhaben. Die wohl bemerkenswerteste Auszeichnung hingegen wurde hinter verschlossenen Türen ausgesprochen, wie Whistleblower Edward Snowden enthüllte: „Tor stinkt“, heißt es in einer Präsentation des Geheimdienstes NSA.
Das heißt: Selbst die Schnüffler, die über Jahre unbemerkt Angela Merkels Handy und internationale Glasfaserverbindungen ausspioniert und Verschlüsselungsstandards sabotiert haben, konnten dem Open-Source-Projekt nicht alle Geheimnisse entreißen. Dabei wird das Projekt bis heute von der US-Regierung mitfinanziert.
Das Netzwerk war einst mit Unterstützung der US-Regierung geschaffen worden, um beispielsweise Dissidenten in China und Iran Zugriff auf das Internet zu verschaffen und gleichzeitig ihre Identität vor den staatlichen Zensoren zu verbergen. Gleichzeitig diente die Verschlüsselungsinfrastruktur auch als Untergrund-Netz, in dem Kriminelle zunehmend florierende Geschäfte machten.
Das Grundprinzip der Software ist das sogenannte Onion-Routing: Gleich den Schalen einer Zwiebel wird eine verschlüsselte Verbindung über die anderen gelegt. Oder anders ausgedrückt: Das dezentrale Netzwerk schickt den Datenverkehr so lange hin und her, bis der Ursprung für Mitlauscher nicht mehr festzustellen ist. Doch das alleine reicht nicht aus, um die eigene Identität sicher zu verstecken: Denn wenn ein Angreifer in den Datenstrom hineinsieht, nachdem dieser das Tor-Netzwerk verlassen hat, sieht er weiterhin identifizierende Informationen.
Wer zum Beispiel eine E-Mail per Tor verschickt, legt weiterhin seine Absenderadresse offen. Wer sein Passwort über Tor versendet, sollte darauf achten, dass die Verbindung verschlüsselt ist. Bereits 2007 machte der Schwede Dan Egerstad Schlagzeilen, weil er aus dem Datenstrom von mehreren Tor-Exit-Nodes – also den Kupplungen zwischen dem Tor-Netz und dem normalen Internet – die E-Mail-Zugangsdaten von hundert Behörden und Diplomaten extrahiert hatte.
Die Dezentralität des Tor-Netzwerkes ist gleichzeitig Stärke und Angriffspunkt. Wenn Geheimdienste selbst Tor-Server betreiben oder den Datenverkehr der bestehenden Server überwachen, können sie trotzdem nicht den Ursprung der Datenpakete ermitteln. In den von Snowden offengelegten Dokumenten erklären die NSA-Spezialisten klar und deutlich: „Wir werden niemals fähig sein, alle Tor-Nutzer jederzeit zu deanonymisieren.“
Doch gleichzeitig liefert das Papier eine ganze Reihe an Möglichkeiten, wie die Identität der Tor-Nutzer aufgeklärt werden kann. Zum Beispiel kann der Datenstrom nach Cookies durchsucht werden, die wiederum Rückschlüsse auf die Identität eines Nutzers geben. Explizit erwähnen die Analysten dabei die Google-Tochter Doubleclick, die auf fast jeder kommerziellen Webseite ihre Cookies hinterlässt. Wird der gleiche Cookie auf einer unverschlüsselten Verbindung wiederentdeckt, liegt die Identität des Tor-Nutzers offen.
Die Tor-Entwickler sehen in dem Papier jedoch keine verschärfte Gefahr: „Wir haben immer noch viel Arbeit vor uns, um Tor gleichzeitig sicher und einfacher nutzbar zu machen – aber die NSA-Präsentation stellt uns vor keine neuen Herausforderungen“, erklärt Tor-Projektleiter Roger Dingledine. So legt das vom Projekt selbst vertriebene Tor-Browser-Bundle erst gar keine Cookies an – daher kann die NSA diese Informationen auch nicht aus dem Datenstrom fischen.
Doch wie Kryptografie-Expterte Bruce Schneier erläuterte, kommt die NSA mittlerweile auch ohne solche Cookies aus. Die Attacken der NSA waren zum Teil deutlich ausgefeilter. Screenshots der Auswertungssoftware Xkeyscore legen nahe, dass die Geheimdienstleister Tor-Nutzer routinemäßig überwachen – so sie denn eine Gelegenheit bekommen.
In den vergangenen Jahren machte Tor nicht mehr nur als Hilfsmittel für Demokratiebewegungen oder Regimegegner von sich reden, sondern auch als Sammelpunkt krimineller Aktivitäten. So machte der nur über Tor erreichbare Drogenmarktplatz Silk Road seit 2011 Schlagzeilen, weil er es schaffte, den Drogenfahndern ein Schnippchen zu schlagen. Dass der mutmaßliche Betreiber Ross William Ulbricht Anfang Oktober 2013 schließlich doch gefasst werden konnte, lag nach vorliegenden Informationen nicht an einer Schwachstelle im Tor-Netzwerk. Den Ermittlern war eine verdächtige Sendung an Ulbrichts Privatadresse aufgefallen. Seinen Briefkasten konnte Ulbricht nicht mit Tor verschlüsseln.
Anders jedoch liegt der Fall bei Freedom Hosting, einem Dienstleister für verborgene Dienste im Tor-Netzwerk, der zum einen Angebote wie Marktplätze für gestohlene Kreditkarten und Kinderpornografie beherbergt haben soll, zum anderen auch Dienste wie den anonymisierten E-Mail-Dienst Tor Mail. Freedom Hosting wurde im August 2013 bei einer internationalen Aktion zerschlagen, die offenbar von der US-Bundespolizei FBI angeführt wurde; der mutmaßliche Betreiber Eric Eoin Marques wurde in Irland verhaftet.
Doch statt die Server nur lahmzulegen, gingen die Strafverfolger augenscheinlich weiter. So bekamen Nutzer der Dienste zuerst eine Fehlermeldung angezeigt, dass die Dienste Wartungsarbeiten unterzogen würden. Beim Aufruf der Seite luden die Nutzer aber ein Javascript-Programm herunter, das auf eine Sicherheitslücke in der von Tor verwendeten Version des Firefox-Browsers zielte.
Nach Analysen der Attacke scheint klar: Sie diente dazu, so viele Nutzer wie möglich zu enttarnen. Obwohl bis heute keine konkreten Schritte gegen identifizierte Tor-Nutzer bekannt wurden – das bloße Besuchen eines Tor-Service kann nur schwerlich als Straftat gewertet werden – waren viele Nutzer verunsichert. Trotzdem stieg die Nutzung des Tor-Netzwerkes nach dem Bekanntwerden der Attacken deutlich an; allerdings war zumindest ein Teil davon auf eine Schadsoftware zurückzuführen, die auf das Anonymisierungsnetzwerk zur Kommunikation zurückgriff.
Mögen die Geheimdienste in ihren Bemühungen um Tor nur mäßig erfolgreich gewesen sein, gibt es neue Gründe zur Besorgnis: Ein neues Forschungspapier vom US-Sicherheitsforscher Aaron Johnson legt nahe, dass durch eine geschickte Analyse des Datenverkehrs der Tor-Nutzer über sechs Monate 80 Prozent der Nutzer identifiziert werden konnten.
Tor-Projektleiter Dingledine gesteht das Problem ein – bezweifelt aber, dass die Geheimdienste schon in der Lage waren, diese Methode auszunutzen. „Der britische Geheimdienst GCHQ hat in der Vergangenheit einige Tor-Relays betrieben, aber ihre Zahl und Betriebsdauer genügte nicht für die beschriebene Attacke“, erklärt er. Durch neue Sicherheitsmechanismen will Tor diese Attacken zumindest erschweren.
Torsten Kleinz ist freier Journalist und schreibt seit über zehn Jahren darüber, was das Netz und die Welt zusammenhält.
Dieser Text ist im Rahmen des Heftes „Das Netz – Jahresrückblick Netzpolitik 2013-2014“ erschienen. Sie können es für 14,90 EUR bei iRights.media bestellen. „Das Netz – Jahresrückblick Netzpolitik 2013-2014“ gibt es auch als E-Book, zum Beispiel über die Affiliate-Links bei Amazon und beim Apple iBook-Store, oder bei Beam.
Open Letter to the Tor Project: Where Does Your Money Come From and Why Do You Hide It From the Public? | Friends of WikiLeaks
▻http://fowlchicago.wordpress.com/2013/01/03/open-letter-to-the-tor-project-where-does-your-money-come-fro
From our rather cursory look into the Tor Project and its funding it appears that – in 2011 at least – the organizers of the Tor Project and their US Government “sponsors” attempted to hide the true sources of its funding from the public by utilizing the classic US Government cloak-and-dagger method of using “cutout” companies and NGOs to “pass-through” money from the US Defense Department and the US State Department to Tor – to the tune of over $730,000.00 – a huge chunk of their total funding.
The Tor Project’s own “amended” financial document for 2011 which reveals these current relationships between Tor and the highest levels of the US Government, presented to Tor by their accountants in July 2012
#Tor #DoD #silicon_army
Meet The Dread Pirate Roberts, The Man Behind Booming Black Market Drug Website #Silk_Road - Forbes
http://www.forbes.com/sites/andygreenberg/2013/08/14/meet-the-dread-pirate-roberts-the-man-behind-booming-black-market-drug-websi
“(...) Silk Road has been around two and a half years. We’ve withstood a lot, and it’s not like our enemies are unaware any longer.”
Roberts also has a political agenda: He sees himself not just as an enabler of street-corner pushers but also as a radical libertarian revolutionary carving out an anarchic digital space beyond the reach of the taxation and regulatory powers of the state
#drogue #marché_noir #anonymat #bitcoin #coin #tor
“Silk Road doesn’t really sell drugs. It sells insurance and financial products,” says Carnegie Mellon computer engineering professor Nicolas Christin. “It doesn’t really matter whether you’re selling T-shirts or cocaine. The business model is to commoditize security.”
#Firefox + proxy + #Tor = #PirateBrowser,
Qui de mieux placé qu’une équipe de pirates pour mettre à flot un nouveau navigateur ? Samedi, l’équipe suédoise du plus gros moteur de recherche de fichiers torrents au monde, The Pirate Bay, a annoncé sur son blog le lancement du PirateBrowser, un navigateur un peu spécial qui devrait faciliter la vie de nombreux internautes dans le monde.
De-Anonymizing Alt.Anonymous.Messages - ritter.vg
http://ritter.vg/blog-deanonymizing_amm.html
For the past four years I’ve been working on a project to analyze Alt.Anonymous.Messages, and it was finally getting to a point where I thought I should show my work. I just finished presenting it at Defcon, and because a lot of the people I know are interested in this were not able to make it, I’m making the slides, and more importantly the speaker notes, available for download. This kind of kills the chance anyone will actually watch the video, but that’s all right.
The slides cover the information-theoretic differences between SSL, Onion Routing, Mix Networks, and Shared Mailboxes. It talks about the size of the dataset I analyzed, and some broad percentages of the types of messages in it (PGP vs Non-PGP, Remailed vs Non-Remailed). Then I go into a large analysis of the types of PGP-encrypted messages there are. Messages encrypted to public keys, to passwords and passphrases, and PGP messages not encrypted at all!
http://defcon.org/html/defcon-21/dc-21-speakers.html#Ritter
In recent years, new encryption programs like Tor, RedPhone, TextSecure, Cryptocat, and others have taken the spotlight - but the old guard of remailers and shared inboxes are still around. Alt.Anonymous.Messages is a stream of thousands of anonymous, encrypted messages, seemingly opaque to investigators. For the truly paranoid, there is no communication system that has better anonymity - providing features and resisting traffic analysis in ways that Tor does not. Or so is believed. After collecting as many back messages as possible and archiving new postings daily for four years, several types of analysis on the contents of alt.anonymous.messages will be presented and several ways to break sender and receiver anonymity explained. Messages will be directly and statistically correlated, communication graphs drawn, and we’ll talk about what challenges the next generation of remailers and nymservs face, and how they should be designed.
http://ritter.vg/p/AAM-defcon13.pdf
But what I keep coming back to is the fact that we have no anonymity network that is high bandwidth, high latency. We have no anonymity network that would have let someone securely share the Collateral Murder video, without Wikileaks being their proxy. You can’t take a video of corruption or police brutality, and post it anonymously.
Now I hear you arguing with me in your heads: Use Tor and upload it to Youtube. No, youtube will take it down. Use Tor and upload it to MEGA, or some site that will fight fradulent takedown notices. Okay, but now you’re relying on the good graces of some third party. A third party that is known to host the video, and can be sued. Wikileaks was the last organization that was willing to take on that legal fight, and now they are no longer in the business of hosting content for normal people.
And you can say Hidden Service and I’ll point to size-based traffic analysis and confirmation attacks that come with a low-latency network, never mind Ralf-Phillip Weinmen’s amazing work the other month that really killed Hidden Services. We can go on and on like this, but I hope you’ll at least concede the point that what you are coming up with are work-arounds for a problem that we lack a good solution to.
#remailer #anonymity #encryption #defcon #tor #wikileaks #hiddenservice
Schon Mitte der neunziger Jahre warnte der PGP-Entwickler Phil Zimmermann, dass E-Mail-Kommunikation einfach, automatisch und unbemerkt großflächig überwacht werden kann. Heute kann jeder Bürger Verschlüsselungstechniken einsetzen, dennoch sind die Auseinandersetzungen darüber nicht abgeklungen.
Auf der einen Seite: Die USA und ihre Spionageagentur NSA, die einen ungesunden Appetit auf die Daten der Weltbevölkerung entwickelt hat. Sie will die Kommunikation per Telefon und Internet überwachen, speichern und auswerten. Ihr Herausforderer: Ein Hacker, der das Menschenrecht auf freie Kommunikation in das Zeitalter digitaler Vernetzung retten will. Er hat ein Programm geschrieben, dass es den Menschen erlaubt, über digitale Netzwerke verschlüsselte Informationen auszutauschen, ohne sich vor staatlicher Überwachung fürchten zu müssen.
Es kommt zum Kampf zwischen Daten-David und Überwachungs-Goliath. Am Ende geht Goliath in die Knie: Das Programm des Hackers wird erlaubt, verbreitet sich über das Internet rund um den Globus und erlaubt es der Weltbevölkerung wieder, unkontrolliert miteinander zu kommunizieren. Pech gehabt, NSA.
Das mag klingen wie der Plot eines Cyber-Thrillers, aber die zugrundeliegenden Ereignisse haben wirklich statt gefunden – vor gut zwanzig Jahren. Damals entwickelte der amerikanische Programmierer Philip Zimmermann das Programm Pretty Good Privacy (PGP) – und zwar aus Gründen, die im Lichte der jetzt bekannt gewordenen Spionage-Aktivitäten der NSA und europäischer Geheimdienste beängstigend aktuell wirken. PGP erlaubt es Nutzern, ihre Online-Kommunikation so zu verschlüsseln, dass sie nicht ohne Weiteres von ungebetenen Dritten mitgelesen werden können.
Zimmermann, eigentlich ein stiller und unpolitischer Mensch, hatte das Programm geschrieben, als 1991 Pläne der amerikanischen Regierung bekannt wurden, Datenkommunikation abzuhören. Per Gesetz sollten Telekommunikationsunternehmen verpflichtet werden, in ihre Anlagen eine fest installierte Hintertür einzubauen, die es der Polizei und Geheimdiensten erlauben würde, Zugang zu Telefonaten und Datentransfers zu erhalten. Auch wenn das Gesetz nach einem öffentlichen Aufschrei nicht vom US-Senat verabschiedet wurde – Zimmermann sah kommen, was inzwischen beängstigende Realität geworden ist: dass die amerikanischen Dienste nichts unversucht lassen würden, um die internationale digitale Kommunikation abzuschöpfen.
Wie recht er behalten sollte, zeigen in diesen Tagen wieder die Enthüllungen, nach denen die amerikanische Regierung versucht hat, Internetfirmen zu zwingen, ihre Schlüssel für SSL-Datenverbindungen offenzulegen und so Zugang zu verschlüsselter Datenkommunikation zu bekommen. Versuche der US-Behörden, die Online-Kommunikation abzuhören, gibt es allerdings seit mehr als zwei Jahrzehnten. Auf den 1991 gescheiterten Versuch folgte der ebenfalls nicht erfolgreiche Clipper Chip, das Echelon-Programm, schließlich die Programme um PRISM.
Das zeigt, dass US-Geheimdienste unter mehreren verschiedenen Regierungen kontinuierlich darauf hin gearbeitet haben, die internationalen Datennetzwerke flächendeckend abhören zu können. Dank Edward Snowden wissen wir, dass dies unter Präsident Obama nun gelungen ist – in einer Zeit, in der die ehemalige Außenministerin Hillary Clinton weltweit Reden über „Internet-Freiheit” hielt.
Philip Zimmermann sah diese Entwicklung voraus. Darum schrieb er Anfang 1991 in wenigen Wochen die Software PGP – Pretty Good Privacy – und stellte sie kostenlos über das Usenet bereit, durch das es sich zunächst unter Hackern in der ganzen Welt verbreitete. Die starke Verschlüsselung des Programms aber fiel unter die Exportkontrolle. Die USA hatten ebenso wie weitere Staaten seit dem kalten Krieg entsprechende Regelungen für kryptografische Verfahren eingeführt, so dass der amerikanische Zoll es als „Munition” klassifizierte und gegen Zimmermann wegen Verstoßes gegen das amerikanische Waffenexportgesetz vorging.
Die Ermittlungen zogen sich fünf Jahre hin, erst 1996 wurden sie schließlich eingestellt. Zimmermann gründete ein Unternehmen, das PGP als kommerzielles Produkt vertrieb. PGP Inc. wurde später vom IT-Unternehmen Network Associates, dann von Symantec unternommen und ist bis heute als verlässliches Verschlüsselungs-Werkzeug im Einsatz.
Zimmermanns knapper Text „Why do you need PGP?”, Mitte der 90er Jahre verfasst, ist aus heutiger Sicht von geradezu hellseherischer Klarheit: „E-Mails können viel zu leicht abgefangen und nach interessanten Schlüsselworten durchsucht werden. Das kann ganz einfach, routinemäßig, automatisch und unbemerkt in großem Maßstab getan werden. Schon jetzt werden Übersee-Telegramme auf diese Weise von der NSA großflächig durchsucht”, stellte Zimmermann fest.
Dennoch haben sich Zimmermanns PGP oder die kostenlose OpenPGP-Variante bei den meisten Internet-Nutzern bislang nicht durchsetzen können. Es setzt voraus, dass alle Kommunikationsteilnehmer das Programm benutzen und die digitalen Schlüssel zum Öffnen der Nachrichten auf dem Rechner haben. Dem alternativen Standard S/MIME geht es ähnlich. Gegen das jetzt bekannte großflächige Absaugen von Verbindungsdaten – wer mit wem wann Nachrichten austauscht – helfen allerdings auch diese Programme nicht. Hier setzten weitere Techniken wie TOR an: Die Software macht jeden angeschlossenen Computer zu einem Knoten in einem Netzwerk, das der Anonymisierung von Verbindungsdaten dient.
Diese Art von Selbstschutz fürchten Dienste wie die NSA offenbar am meisten: Wer TOR oder PGP verwendet, ist für die Behörde von vornherein verdächtig. Selbst wenn sie solche Botschaften (noch) nicht lesen kann, speichert sie sie länger als andere Daten. Wer wiederum die TOR-Software verwendet, der wird bis auf weiteres „nicht als Bürger der Vereinigten Staaten behandelt”, so dass Überwachungs-Einschränkungen wegfallen.
Den jüngsten, zum Überwachungssystem „XKeyscore” bekannt gewordenen Informationen nach sollen Geheimdienste sogar gezielt suchen können, wo Nutzer Verschlüsselungstechnik einsetzen – „Zeige alle Nutzungen von PGP im Iran” wird dort als eine mögliche Anwendung beschrieben. So scheint es, dass Nutzer vor einer schlechten Alternative stehen, solange Verschlüsselung nicht breit genutzt wird: Wer nicht verschlüsselt, kann jederzeit abgehört werden; wer es aber tut, könnte im Zweifel besondere Aufmerksamkeit auf sich ziehen. Wer sie einsetzt, müsse etwas zu verbergen haben, so die Logik der Geheimdienste. Die Geschichte von David und Goliath ist so schnell noch nicht zu Ende.
Man nehme: Einen Raspberry-Pi-Mikrocomputer, ein paar Adapter, Stecker und Kabel, eine Antenne und die Software Tor. Das Ergebnis: ein tragbarer WLAN-Router, der anonymen Internetzugang für alle Teilnehmer verspricht, die sich darüber einwählen.
Eine Anleitung zum Selberbauen hat jetzt das Lernportal der Open-Source-Firma Adafruit veröffentlicht:
Who is this good for? If you want to browse anonymously on a netbook, tablet, phone, or other mobile or console device that cannot run Tor and does not have an Ethernet connection. If you do not want to or cannot install Tor on your work laptop or loan computer. If you have a guest or friend who wants to use Tor but doesn’t have the ability or time to run Tor on their computer, this gift will make the first step much easier.
Sicherheit gegen Abhörprogramme wie Prism kann die Tor-Software allerdings nicht versprechen – sie anonymisiert nur die Internetverbindungen. Die Entwickler schreiben in einem Beitrag zum Thema im Tor-Blog:
By itself, Tor does not protect the actual communications content once it leaves the Tor network. This can make it useful against some forms of metadata analysis, but this also means Tor is best used in combination with other tools.
Allerdings: Wer den Onion Pi oder ähnliches nachbaut, kann viel über deren Funktionsweise lernen – das beste Mittel gegen digitale Unmündigkeit.
"Tell the chef, the beer is on me."
"Basically the price of a night on the town!"
"I'd love to help kickstart continued development! And 0 EUR/month really does make fiscal sense too... maybe I'll even get a shirt?" (there will be limited edition shirts for two and other goodies for each supporter as soon as we sold the 200)