Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 22 2014

Four short links: 22 January 2014

  1. How a Math Genius Hacked OkCupid to Find True Love (Wired) — if he doesn’t end up working for OK Cupid, productising this as a new service, something is wrong with the world.
  2. Humin: The App That Uses Context to Enable Better Human Connections (WaPo) — Humin is part of a growing trend of apps and services attempting to use context and anticipation to better serve users. The precogs are coming. I knew it.
  3. Spoiled Onions — analysis identifying bad actors in the Tor network, Since September 2013, we discovered several malicious or misconfigured exit relays[...]. These exit relays engaged in various attacks such as SSH and HTTPS MitM, HTML injection, and SSL stripping. We also found exit relays which were unintentionally interfering with network traffic because they were subject to DNS censorship.
  4. My Mind (Github) — a web application for creating and managing Mind maps. It is free to use and you can fork its source code. It is distributed under the terms of the MIT license.

January 04 2014

Seda Gürses: Bei der Privatsphäre darf es keine Zweiklassengesellschaft geben

Technologien wie Tor und Verschlüsselung für Mails bleiben trotz der Angriffe der NSA darauf wichtige taktische Werkzeuge, sagt die Informatikerin und Privacy-Expertin Seda Gürses im iRights.info-Interview. Es komme aber darauf an, dass die Technologien nicht nur für einige, sondern für alle Nutzer zugänglich werden.

iRights.info: Wir haben schon letztes Jahr miteinander gesprochen – hauptsächlich über soziale Netzwerke und Datenschutz. Welche Entwicklungen gab es in diesem Jahr?

Seda Gürses: Soziale Netzwerke waren­ auch in diesem Jahr Thema, aber ich würde den Schwerpunkt diesmal woanders setzen, nämlich darauf, wer kon­trolliert, was gezeigt wird und was nicht. Das ist meiner Meinung nach auch ein Teil von privacy im Sinne von informationeller Selbstbestimmung.

Seda Gürses ist Informatikerin und beschäftigt sich mit Privatsphäre und Datenschutz, Sicherheit und Überwachung, und Anforderungsanalyse. Sie forscht an der NYU in New York am Media, Culture and Communications Department.

Seda Gürses ist Informatikerin und beschäftigt sich mit Privatsphäre und Datenschutz, Sicherheit, Überwachung und Anforderungsanalyse. Sie forscht an der NYU in New York am Media, Culture and Communications Department.

Vor allem Facebook scheint Probleme mit politischen Inhalten zu haben. Bei den Protesten in der Türkei seit Ende Mai war zu sehen, dass Facebook irgendwann Zensur ausgeübt und bestimmte Inhalte nicht mehr gezeigt hat. Wir haben mit Richard Allen („Director of Policy“ bei Facebook, Anm. der Red.) gesprochen, der bestätigt hat, dass Face­book kurdische Seiten zensiert hat. Er sagte, dass geschehe bei Seiten, die die PKK und Terroristengruppen unterstützt haben.

Ich habe mit einigen dieser Gruppen gesprochen. Sie hätten zum Beispiel nur über Unabhängigkeitsbewegungen in Syrien berichtet, die kurdische Wurzeln hatten – das wurde dann von Facebook gelöscht. Zensiert wurden nicht nur Postings, sondern ganze Seiten und Gruppen. Die Maßstäbe von Facebook waren teilweise härter als die der türkischen Regierung.

iRights.info: Was waren die Folgen dieser Löschungen?

Seda Gürses: Besonders Bürgerjournalismus-Projekte verloren teilweise ihre Arbeit von Monaten, weil sie Facebook als Archiv nutzten. Das ist vielleicht nicht sehr schlau gewesen, dass sie das auf Facebook gemacht haben, aber es fehlten ihnen die Ressourcen, eigene Server aufzusetzen.

iRights.info: Wie kam Facebook dazu, diese Gruppen zu zensieren? Und wie sah es bei den anderen Netzwerken aus?

Seda Gürses: Es gab Gerüchte, dass Facebook mit der türkischen Regierung zusammengearbeitet hätte. Ich habe nachgefragt und Face­book hat das bestritten. Andererseits gaben Offizielle des Staates in den türkischen Medien zu, sie hätten mit Facebook zusammengearbeitet. Das ist schon etwas merkwürdig. Angeblich schickten sie auch Leute zu Twitter, hätten dort aber wenig Erfolg gehabt.

iRights.info: Edward Snowden und PRISM, die Überwachung durch die NSA ist wahrscheinlich das wichtigste Thema in diesem Jahr in der netzpolischen Diskussion. Welche Konsequenzen hat das für die Privacy-Debatte?

Seda Gürses: Es macht den Leuten bewusst, was mit diesen Technologien möglich ist. Privacy ist nicht nur ein Problem zwischenmenschlicher Beziehungen – also zum Beispiel, dass meine Mutter nicht erfahren soll, dass ich schwul bin. Es ist nicht nur ein Konsumentenproblem, also dass mein Konsumverhalten getrackt wird und ich vielleicht von Firmen diskriminiert werde. Das, was wir jetzt sehen, ist, dass diese Firmen – manchmal freiwillig, manchmal gegen ihren Willen – Teil eines riesigen Überwachungsprogramms sind.

Viele Leute schauen jetzt zum Beispiel mit größeren Fragezeichen auf Klarnamen-Policies, also die Forderung von Webservice-Anbietern, sich mit dem eigenen, richtigen Namen anzumelden. Für politische Aktivisten in vielen Ländern war das schon lange ein Problem.

Ich hoffe außerdem, dass diese komische Unterscheidung zwischen sogenannten zivilisierten Ländern und den Ländern mit autoritären Regimen aufweicht, jetzt wo wir sehen, dass die westlichen Länder nicht nur Überwachungstechnologien in andere Länder exportieren, sondern im gleichen Maße ihre eigenen Bürger überwachen.

iRights.info: Sollten wir jetzt alle unsere Kommunikation verschlüsseln, anonym mit Tor surfen und PGP-Verschlüsselung für unsere E-Mails nutzen?

Seda Gürses: Grundsätzlich ist das nicht falsch. Wir müssen daran arbeiten, solche taktischen Werkzeuge, die ein bisschen mehr Schutz gegen Überwachung bieten, zu unterstützen. Aber wir müssen auch drauf achten, dass es keine Zweiklassengesellschaft gibt, in der manche Leute Zugang zu Technologien erhalten, die Überwachung zu vermindern, und andere gar nicht. Die Technologien müssen zugänglicher werden, um sie effektiv benutzen zu können.

Es ist nicht klar, ob Tor es zum Beispiel aushalten würde, wenn es alle Nutzer gleichzeitig benutzten. Das ist eine Kapazitätsfrage. Es gibt mathematische Modelle, die besagen, dass wenn viele Leute auf der Welt Tor benutzen, die Verteilung der unterschiedlichen Verbindungen zwischen ihnen es erlauben würde, herauszufinden, wer mit wem kommuniziert. Dazu sollte es nicht kommen und deshalb besteht weiterhin Entwicklungsbedarf.

iRights.info: Sind denn die üblichen Verschlüsselungstechniken wirklich sicher? Kann die NSA nicht doch mitlesen?

Seda Gürses: Nein, so einfach ist es nicht. Die meisten Kryptografen sagen, dass die NSA die Verschlüsselungen selbst nicht geknackt hat, sondern die Schwachstellen in der Umgebung darum ausnutzt. Die meisten Verschlüsselungstechniken sind, soweit wir wissen, mathematisch gesehen in Ordnung. Aber Kryptografie ist nicht nur Mathematik. Sie muss implementiert werden. Um die Implementierung global zugänglich zu machen, muss es irgendeine Standardorganisation oder zumindest eine Verständigung geben, an die sich alle halten, und hier setzt die NSA an.

Mit Kryptografie verschiebt man das Problem der Geheimhaltung der Inhalte auf die Geheimhaltung der Schlüssel. Bei einer Verschlüsselung verschlüsselt man die Information, die man schützen möchte, mit einem kryptografischen Schlüssel und versteckt diesen anschließend. Das Problem ist also: Wer hat diesen Schlüssel? Und wer hat Zugang dazu? Wir wissen, dass die NSA Personen oder Firmen dazu gezwungen hat, ihre Schlüssel herzugeben. Zum Beispiel die Firma Lavabit, die verschlüsselte Webmail-Zugänge angeboten hat.

Das kryptografische Verfahren an sich wurde nicht gebrochen. Lavabit war sicher nicht die einzige Firma, die ihre Schlüssel hergeben musste, nur normalerweise dürfen diese nicht darüber sprechen. Der Betreiber von Lavabit, Ladar Levison, hat sich dafür entschieden, an die Öffentlichkeit zu gehen und den Service einzustellen, weil er wusste, dass er die Sicherheit der Nutzer nicht ausreichend gewährleisten konnte, wobei auch er keine Details verraten durfte.

iRights.info: Ist das auch bei den SSL-Verschlüsselungen passiert? Das ist die Verschlüsselung, die die auf Webseiten benutzt wird, zum Beispiel beim Online-Banking. Das erkennt man anhand des klei­nen Schlosses in der Adresszeile des Webbrowsers.

Seda Gürses: Genau. Die Geheimschlüssel sind bei den Anbietern, und wenn sie die hergeben, hat das genau den beschriebenen Effekt.

iRights.info: Was bedeutet das für mich als Nutzer? Was soll ich tun?

Seda Gürses: Sich mehr mit Verschlüsselung auseinanderzusetzen, ist auf jeden Fall gut. Wenn zum Beispiel nur die Menschen, die etwas zu verstecken haben, Verschlüsselungen benutzen, werden sie automatisch verdächtigt, auch ohne dass die Nachrichtendienste die Inhalte ihrer Kommunikation kennen.

Das ist eine Art Solidarität: Man verschlüsselt seine Nachrichten nicht nur in der Hoffnung, dass sie vertraulich bleiben, sondern auch weil man dadurch Personen unterstützt, die wirklich etwas verbergen müssen – aus unterschiedlichsten Gründen, zum Beispiel weil sie Journalisten oder Aktivisten sind, oder einfach weil sie keine Lust haben, dass die Serviceprovider ihre Kommunikation mitlesen.

iRights.info: Wo liegen denn die größten Probleme?

Seda Gürses: Im Augenblick sehe ich diese bei den ganzen mobilen Geräten, die wir ununterbrochen mit uns herumtragen. Die Sicherheit auf Mobiltelefonen ist schlicht eine Katastrophe. Sie sind komplett unter der Kontrolle der Firmen, die die Software und Hardware anbieten. Man kann zwar eigene Betriebssysteme auf das Handy spielen und das hilft auch ein bisschen. Aber sobald man eine App herunterlädt, ergeben sich große Sicherheitslücken. Man muss also entweder Einbußen bei der Funktionalität oder bei der Sicherheit hinnehmen.

iRights.info: Haben die ganzen Cloud-Dienste die Überwachung eigentlich erleichtert und möglich gemacht? Sollten wir mehr auf – verschlüsselte – Festplatten speichern?

Seda Gürses: Das ist schwer zu sagen. Manche Leute aus der Security-Community setzen darauf, dass, wenn wir großflächig auf Cloud-Dienste verzichteten, die Kosten für die Nachrichtendienste steigen würden, auch wenn die Überwachung sicherlich trotzdem stattfinden würde. Auch wenn wir alles verschlüsselten würde das nicht all unsere Probleme lösen, denn wir können auch unseren Rechnern nicht einfach so vertrauen.

Im Prinzip müsste man einen Zweitrechner haben, der nicht ans Internet angeschlossen ist, auf dem man die Daten verschlüsselt. Das ist aber keine Arbeitsweise für Menschen, die noch etwas anderes zu tun haben im Leben oder nur mit ihren mobilen Geräten das Internet nutzen können. Deshalb gibt es auch die Meinung, dass wir das über die Politik regeln müssen, weil es allein über Technologie nicht möglich ist.

Es gibt aber auch die Meinung, dass nun, wo die Überwachungskapazitäten in der Welt sind, irgendjemand sie benutzen wird. Wir werden im kommenden Jahr sehen, in welche Richtung es geht.

iRights.info: Wo sehen Sie die wichtigsten Entwicklungen für die Zukunft?

Seda Gürses: Ich denke, mehr Leute werden sich mit der Sicherheit von mobilen Geräten beschäftigen, und ich hoffe, dass sie Fortschritte machen. Die Sammlung von Information, die im Moment über Mobiltelefone stattfindet, ist erschreckend – zumal sie uns eindeutig identifizieren. Mobiltelefone verraten ständig, wo wir uns bewegen. Ich hoffe, dass sie unsere Geräte werden und nicht die Instrumente von Firmen und Staaten bleiben, wie es sich jetzt herausgestellt hat.

Ich würde mir wünschen, dass die Diskussion über Überwachung und Sicherheit nicht der Logik des Kalten Krieges folgt, sondern dass wir schauen können, was eine solche Überwachung bringt, was sie uns wegnimmt, welche politischen Probleme übrig bleiben. Wir folgen derzeit stark diesem NSA-Blick auf die Welt und vergessen teilweise, dass wir auch andere Probleme haben – auch mit der Technologie – als Konsumenten, als Leute in Institutionen, als Menschen, die miteinander kommunizieren. Ich hoffe, dass wir diese Differenzierung wiederfinden. .

Dieser Text ist auch im Magazin „Das Netz – Jahresrückblick Netzpolitik 2013-2014“ erschienen. Sie können das Heft für 14,90 EUR bei iRights.Media bestellen. „Das Netz – Jahresrückblick Netzpolitik 2013-2014“ gibt es auch als E-Book, zum Beispiel bei Amazon*, beim Apple iBook-Store* oder bei Beam (* Affiliate-Link).

December 09 2013

Tor bleibt Geheimdiensten ein Dorn im Auge

Der Kampf um die Anonymisierungssoftware Tor ist ein stetes Wettrennen, bei dem die Geheimdienste immer wieder aufholen, das System bislang aber nie ganz knacken konnten. 

Das Anonymisierungstool TOR ist über die Jahre vielfach ausgezeichnet worden. So gewann das Tor Project im Jahr 2011 den Preis der Free Software Foundation. Wichtiger jedoch sind die Finanziers, die sich das Projekt über die Jahre sicherte: Von Google über die Knight Foundation bis hin zur amerikanischen National Christian Foundation – sie alle sahen in der Mission des Projekts, Internetnutzern das Recht auf Anonymität und freien Internetzugang zu verschaffen, ein unterstützenswertes Vorhaben. Die wohl bemerkenswerteste Auszeichnung hingegen wurde hinter verschlossenen Türen ausgesprochen, wie Whistleblower Edward Snowden enthüllte: „Tor stinkt“, heißt es in einer Präsentation des Geheimdienstes NSA.

Das heißt: Selbst die Schnüffler, die über Jahre unbemerkt Angela Merkels Handy und internationale Glasfaserverbindungen ausspioniert und Verschlüsselungsstandards sabotiert haben, konnten dem Open-Source-Projekt nicht alle Geheimnisse entreißen. Dabei wird das Projekt bis heute von der US-Regierung mitfinanziert.

Das Netzwerk war einst mit Unterstützung der US-Regierung geschaffen worden, um beispielsweise Dissidenten in China und Iran Zugriff auf das Internet zu verschaffen und gleichzeitig ihre Identität vor den staatlichen Zensoren zu verbergen. Gleichzeitig diente die Verschlüsselungsinfrastruktur auch als Untergrund-Netz, in dem Kriminelle zunehmend florierende Geschäfte machten.

Das Grundprinzip der Software ist das sogenannte Onion-Routing: Gleich den Schalen einer Zwiebel wird eine verschlüsselte Verbindung über die anderen gelegt. Oder anders ausgedrückt: Das dezentrale Netzwerk schickt den Datenverkehr so lange hin und her, bis der Ursprung für Mitlauscher nicht mehr festzustellen ist. Doch das alleine reicht nicht aus, um die eigene Identität sicher zu verstecken: Denn wenn ein Angreifer in den Datenstrom hineinsieht, nachdem dieser das Tor-Netzwerk verlassen hat, sieht er weiterhin identifizierende Informationen.

Vorsicht: Mitleser

Wer zum Beispiel eine E-Mail per Tor verschickt, legt weiterhin seine Absenderadresse offen. Wer sein Passwort über Tor versendet, sollte darauf achten, dass die Verbindung verschlüsselt ist. Bereits 2007 machte der Schwede Dan Egerstad Schlagzeilen, weil er aus dem Datenstrom von mehreren Tor-Exit-Nodes – also den Kupplungen zwischen dem Tor-Netz und dem normalen Internet – die E-Mail-Zugangsdaten von hundert Behörden und Diplomaten extrahiert hatte.

Die Dezentralität des Tor-Netzwerkes ist gleichzeitig Stärke und Angriffspunkt. Wenn Geheimdienste selbst Tor-Server betreiben oder den Datenverkehr der bestehenden Server überwachen, können sie trotzdem nicht den Ursprung der Datenpakete ermitteln. In den von Snowden offengelegten Dokumenten erklären die NSA-Spezialisten klar und deutlich: „Wir werden niemals fähig sein, alle Tor-Nutzer jederzeit zu deanonymisieren.“

Doch gleichzeitig liefert das Papier eine ganze Reihe an Möglichkeiten, wie die Identität der Tor-Nutzer aufgeklärt werden kann. Zum Beispiel kann der Datenstrom nach Cookies durchsucht werden, die wiederum Rückschlüsse auf die Identität eines Nutzers geben. Explizit erwähnen die Analysten dabei die Google-Tochter Doubleclick, die auf fast jeder kommerziellen Webseite ihre Cookies hinterlässt. Wird der gleiche Cookie auf einer unverschlüsselten Verbindung wiederentdeckt, liegt die Identität des Tor-Nutzers offen.

Die Tor-Entwickler sehen in dem Papier jedoch keine verschärfte Gefahr: „Wir haben immer noch viel Arbeit vor uns, um Tor gleichzeitig sicher und einfacher nutzbar zu machen – aber die NSA-Präsentation stellt uns vor keine neuen Herausforderungen“, erklärt Tor-Projektleiter Roger Dingledine. So legt das vom Projekt selbst vertriebene Tor-Browser-Bundle erst gar keine Cookies an – daher kann die NSA diese Informationen auch nicht aus dem Datenstrom fischen.

Doch wie Kryptografie-Expterte Bruce Schneier erläuterte, kommt die NSA mittlerweile auch ohne solche Cookies aus. Die Attacken der NSA waren zum Teil deutlich ausgefeilter. Screenshots der Auswertungssoftware Xkeyscore legen nahe, dass die Geheimdienstleister Tor-Nutzer routinemäßig überwachen – so sie denn eine Gelegenheit bekommen.

Drogenmarktplatz und andere verborgene Dienste

In den vergangenen Jahren machte Tor nicht mehr nur als Hilfsmittel für Demokratiebewegungen oder Regimegegner von sich reden, sondern auch als Sammelpunkt krimineller Aktivitäten. So machte der nur über Tor erreichbare Drogenmarktplatz Silk Road seit 2011 Schlagzeilen, weil er es schaffte, den Drogenfahndern ein Schnippchen zu schlagen. Dass der mutmaßliche Betreiber Ross William Ulbricht Anfang Oktober 2013 schließlich doch gefasst werden konnte, lag nach vorliegenden Informationen nicht an einer Schwachstelle im Tor-Netzwerk. Den Ermittlern war eine verdächtige Sendung an Ulbrichts Privatadresse aufgefallen. Seinen Briefkasten konnte Ulbricht nicht mit Tor verschlüsseln.

Anders jedoch liegt der Fall bei Freedom Hosting, einem Dienstleister für verborgene Dienste im Tor-Netzwerk, der zum einen Angebote wie Marktplätze für gestohlene Kreditkarten und Kinderpornografie beherbergt haben soll, zum anderen auch Dienste wie den anonymisierten E-Mail-Dienst Tor Mail. Freedom Hosting wurde im August 2013 bei einer internationalen Aktion zerschlagen, die offenbar von der US-Bundespolizei FBI angeführt wurde; der mutmaßliche Betreiber Eric Eoin Marques wurde in Irland verhaftet.

Doch statt die Server nur lahmzulegen, gingen die Strafverfolger augenscheinlich weiter. So bekamen Nutzer der Dienste zuerst eine Fehlermeldung angezeigt, dass die Dienste Wartungsarbeiten unterzogen würden. Beim Aufruf der Seite luden die Nutzer aber ein Javascript-Programm herunter, das auf eine Sicherheitslücke in der von Tor verwendeten Version des Firefox-Browsers zielte.

Nach Analysen der Attacke scheint klar: Sie diente dazu, so viele Nutzer wie möglich zu enttarnen. Obwohl bis heute keine konkreten Schritte gegen identifizierte Tor-Nutzer bekannt wurden – das bloße Besuchen eines Tor-Service kann nur schwerlich als Straftat gewertet werden – waren viele Nutzer verunsichert. Trotzdem stieg die Nutzung des Tor-Netzwerkes nach dem Bekanntwerden der Attacken deutlich an; allerdings war zumindest ein Teil davon auf eine Schadsoftware zurückzuführen, die auf das Anonymisierungsnetzwerk zur Kommunikation zurückgriff.

Nutzer bleiben identifizierbar – zumindest in der Theorie

Mögen die Geheimdienste in ihren Bemühungen um Tor nur mäßig erfolgreich gewesen sein, gibt es neue Gründe zur Besorgnis: Ein neues Forschungspapier vom US-Sicherheitsforscher Aaron Johnson legt nahe, dass durch eine geschickte Analyse des Datenverkehrs der Tor-Nutzer über sechs Monate 80 Prozent der Nutzer identifiziert werden konnten.

foto_Kleinz_sw_opt

Foto: Oliver Kleinz

Tor-Projektleiter Dingledine gesteht das Problem ein – bezweifelt aber, dass die Geheimdienste schon in der Lage waren, diese Methode auszunutzen. „Der britische Geheimdienst GCHQ hat in der Vergangenheit einige Tor-Relays betrieben, aber ihre Zahl und Betriebsdauer genügte nicht für die beschriebene Attacke“, erklärt er. Durch neue Sicherheitsmechanismen will Tor diese Attacken zumindest erschweren.

Torsten Kleinz ist freier Journalist und schreibt seit über zehn Jahren darüber, was das Netz und die Welt zusammenhält.

 

Dieser Text ist im Rahmen des Heftes „Das Netz – Jahresrückblick Netzpolitik 2013-2014“ erschienen. Sie können es für 14,90 EUR bei iRights.media bestellen. „Das Netz – Jahresrückblick Netzpolitik 2013-2014“ gibt es auch als E-Book, zum Beispiel über die Affiliate-Links bei Amazon und beim Apple iBook-Store, oder bei Beam.

September 02 2013

Four short links: 2 September 2013

  1. sifter.js — library for textually searching arrays and hashes of objects by property (or multiple properties). Designed specifically for autocomplete. (via Javascript Weekly)
  2. Tor Users Get Routed (PDF) — research into the security of Tor, with some of its creators as authors. Our results show that Tor users are far more susceptible to compromise than indicated by prior work.
  3. Glitch News — screencaps from glitches in video news.
  4. FC4: Persona (Tim Bray) — Mozilla Persona, reminds us just because you’re using a protocol that allows tracking avoidance, that doesn’t mean you’ll get it.

August 29 2013

Open Letter to the Tor Project : Where Does Your Money Come From and Why Do You Hide It From the…

Open Letter to the Tor Project: Where Does Your Money Come From and Why Do You Hide It From the Public? | Friends of WikiLeaks
http://fowlchicago.wordpress.com/2013/01/03/open-letter-to-the-tor-project-where-does-your-money-come-fro

From our rather cursory look into the Tor Project and its funding it appears that – in 2011 at least – the organizers of the Tor Project and their US Government “sponsors” attempted to hide the true sources of its funding from the public by utilizing the classic US Government cloak-and-dagger method of using “cutout” companies and NGOs to “pass-through” money from the US Defense Department and the US State Department to Tor – to the tune of over $730,000.00 – a huge chunk of their total funding.

The Tor Project’s own “amended” financial document for 2011 which reveals these current relationships between Tor and the highest levels of the US Government, presented to Tor by their accountants in July 2012

#Tor #DoD #silicon_army

August 17 2013

Meet The Dread Pirate Roberts, The Man Behind Booming Black Market Drug Website Silk_Road - Forbes

Meet The Dread Pirate Roberts, The Man Behind Booming Black Market Drug Website #Silk_Road - Forbes
http://www.forbes.com/sites/andygreenberg/2013/08/14/meet-the-dread-pirate-roberts-the-man-behind-booming-black-market-drug-websi

“(...) Silk Road has been around two and a half years. We’ve withstood a lot, and it’s not like our enemies are unaware any longer.”

Roberts also has a political agenda: He sees himself not just as an enabler of street-corner pushers but also as a radical libertarian revolutionary carving out an anarchic digital space beyond the reach of the taxation and regulatory powers of the state

#drogue #marché_noir #anonymat #bitcoin #coin #tor

“Silk Road doesn’t really sell drugs. It sells insurance and financial products,” says Carnegie Mellon computer engineering professor Nicolas Christin. “It doesn’t really matter whether you’re selling T-shirts or cocaine. The business model is to commoditize security.”

http://silkroadlink.com

August 14 2013

August 13 2013

Firefox + proxy + Tor = PirateBrowser, ❝Qui de mieux placé qu'une équipe de pirates pour mettre à…

#Firefox + proxy + #Tor = #PirateBrowser,

Qui de mieux placé qu’une équipe de pirates pour mettre à flot un nouveau navigateur ? Samedi, l’équipe suédoise du plus gros moteur de recherche de fichiers torrents au monde, The Pirate Bay, a annoncé sur son blog le lancement du PirateBrowser, un navigateur un peu spécial qui devrait faciliter la vie de nombreux internautes dans le monde.

http://www.ecrans.fr/The-Pirate-Bay-lance-son,16793.html

August 10 2013

De-Anonymizing Alt.Anonymous.Messages - ritter.vg

De-Anonymizing Alt.Anonymous.Messages - ritter.vg

http://ritter.vg/blog-deanonymizing_amm.html

For the past four years I’ve been working on a project to analyze Alt.Anonymous.Messages, and it was finally getting to a point where I thought I should show my work. I just finished presenting it at Defcon, and because a lot of the people I know are interested in this were not able to make it, I’m making the slides, and more importantly the speaker notes, available for download. This kind of kills the chance anyone will actually watch the video, but that’s all right.

The slides cover the information-theoretic differences between SSL, Onion Routing, Mix Networks, and Shared Mailboxes. It talks about the size of the dataset I analyzed, and some broad percentages of the types of messages in it (PGP vs Non-PGP, Remailed vs Non-Remailed). Then I go into a large analysis of the types of PGP-encrypted messages there are. Messages encrypted to public keys, to passwords and passphrases, and PGP messages not encrypted at all!

http://defcon.org/html/defcon-21/dc-21-speakers.html#Ritter

In recent years, new encryption programs like Tor, RedPhone, TextSecure, Cryptocat, and others have taken the spotlight - but the old guard of remailers and shared inboxes are still around. Alt.Anonymous.Messages is a stream of thousands of anonymous, encrypted messages, seemingly opaque to investigators. For the truly paranoid, there is no communication system that has better anonymity - providing features and resisting traffic analysis in ways that Tor does not. Or so is believed. After collecting as many back messages as possible and archiving new postings daily for four years, several types of analysis on the contents of alt.anonymous.messages will be presented and several ways to break sender and receiver anonymity explained. Messages will be directly and statistically correlated, communication graphs drawn, and we’ll talk about what challenges the next generation of remailers and nymservs face, and how they should be designed.

http://ritter.vg/p/AAM-defcon13.pdf

But what I keep coming back to is the fact that we have no anonymity network that is high bandwidth, high latency. We have no anonymity network that would have let someone securely share the Collateral Murder video, without Wikileaks being their proxy. You can’t take a video of corruption or police brutality, and post it anonymously.
Now I hear you arguing with me in your heads: Use Tor and upload it to Youtube. No, youtube will take it down. Use Tor and upload it to MEGA, or some site that will fight fradulent takedown notices. Okay, but now you’re relying on the good graces of some third party. A third party that is known to host the video, and can be sued. Wikileaks was the last organization that was willing to take on that legal fight, and now they are no longer in the business of hosting content for normal people.
And you can say Hidden Service and I’ll point to size-based traffic analysis and confirmation attacks that come with a low-latency network, never mind Ralf-Phillip Weinmen’s amazing work the other month that really killed Hidden Services. We can go on and on like this, but I hope you’ll at least concede the point that what you are coming up with are work-arounds for a problem that we lack a good solution to.

#remailer #anonymity #encryption #defcon #tor #wikileaks #hiddenservice

August 02 2013

PGP und der Kampf um Verschlüsselung

Schon Mitte der neunziger Jahre warnte der PGP-Entwickler Phil Zimmermann, dass E-Mail-Kommunikation einfach, automatisch und unbemerkt großflächig überwacht werden kann. Heute kann jeder Bürger Verschlüsselungstechniken einsetzen, dennoch sind die Auseinandersetzungen darüber nicht abgeklungen.

Auf der einen Seite: Die USA und ihre Spionageagentur NSA, die einen ungesunden Appetit auf die Daten der Weltbevölkerung entwickelt hat. Sie will die Kommunikation per Telefon und Internet überwachen, speichern und auswerten. Ihr Herausforderer: Ein Hacker, der das Menschenrecht auf freie Kommunikation in das Zeitalter digitaler Vernetzung retten will. Er hat ein Programm geschrieben, dass es den Menschen erlaubt, über digitale Netzwerke verschlüsselte Informationen auszutauschen, ohne sich vor staatlicher Überwachung fürchten zu müssen.

Es kommt zum Kampf zwischen Daten-David und Überwachungs-Goliath. Am Ende geht Goliath in die Knie: Das Programm des Hackers wird erlaubt, verbreitet sich über das Internet rund um den Globus und erlaubt es der Weltbevölkerung wieder, unkontrolliert miteinander zu kommunizieren. Pech gehabt, NSA.

Das mag klingen wie der Plot eines Cyber-Thrillers, aber die zugrundeliegenden Ereignisse haben wirklich statt gefunden – vor gut zwanzig Jahren. Damals entwickelte der amerikanische Programmierer Philip Zimmermann das Programm Pretty Good Privacy (PGP) – und zwar aus Gründen, die im Lichte der jetzt bekannt gewordenen Spionage-Aktivitäten der NSA und europäischer Geheimdienste beängstigend aktuell wirken. PGP erlaubt es Nutzern, ihre Online-Kommunikation so zu verschlüsseln, dass sie nicht ohne Weiteres von ungebetenen Dritten mitgelesen werden können.

Von Clipper über Echelon zu PRISM

Zimmermann, eigentlich ein stiller und unpolitischer Mensch, hatte das Programm geschrieben, als 1991 Pläne der amerikanischen Regierung bekannt wurden, Datenkommunikation abzuhören. Per Gesetz sollten Telekommunikationsunternehmen verpflichtet werden, in ihre Anlagen eine fest installierte Hintertür einzubauen, die es der Polizei und Geheimdiensten erlauben würde, Zugang zu Telefonaten und Datentransfers zu erhalten. Auch wenn das Gesetz nach einem öffentlichen Aufschrei nicht vom US-Senat verabschiedet wurde – Zimmermann sah kommen, was inzwischen beängstigende Realität geworden ist: dass die amerikanischen Dienste nichts unversucht lassen würden, um die internationale digitale Kommunikation abzuschöpfen.

Wie recht er behalten sollte, zeigen in diesen Tagen wieder die Enthüllungen, nach denen die amerikanische Regierung versucht hat, Internetfirmen zu zwingen, ihre Schlüssel für SSL-Datenverbindungen offenzulegen und so Zugang zu verschlüsselter Datenkommunikation zu bekommen. Versuche der US-Behörden, die Online-Kommunikation abzuhören, gibt es allerdings seit mehr als zwei Jahrzehnten. Auf den 1991 gescheiterten Versuch folgte der ebenfalls nicht erfolgreiche Clipper Chip, das Echelon-Programm, schließlich die Programme um PRISM.

Das zeigt, dass US-Geheimdienste unter mehreren verschiedenen Regierungen kontinuierlich darauf hin gearbeitet haben, die internationalen Datennetzwerke flächendeckend abhören zu können. Dank Edward Snowden wissen wir, dass dies unter Präsident Obama nun gelungen ist – in einer Zeit, in der die ehemalige Außenministerin Hillary Clinton weltweit Reden über „Internet-Freiheit” hielt.

Der Beginn von PGP

Philip Zimmermann sah diese Entwicklung voraus. Darum schrieb er Anfang 1991 in wenigen Wochen die Software PGP – Pretty Good Privacy – und stellte sie kostenlos über das Usenet bereit, durch das es sich zunächst unter Hackern in der ganzen Welt verbreitete. Die starke Verschlüsselung des Programms aber fiel unter die Exportkontrolle. Die USA hatten ebenso wie weitere Staaten seit dem kalten Krieg entsprechende Regelungen für kryptografische Verfahren eingeführt, so dass der amerikanische Zoll es als „Munition” klassifizierte und gegen Zimmermann wegen Verstoßes gegen das amerikanische Waffenexportgesetz vorging.

Die Ermittlungen zogen sich fünf Jahre hin, erst 1996 wurden sie schließlich eingestellt. Zimmermann gründete ein Unternehmen, das PGP als kommerzielles Produkt vertrieb. PGP Inc. wurde später vom IT-Unternehmen Network Associates, dann von Symantec unternommen und ist bis heute als verlässliches Verschlüsselungs-Werkzeug im Einsatz.

Zimmermanns knapper Text „Why do you need PGP?”, Mitte der 90er Jahre verfasst, ist aus heutiger Sicht von geradezu hellseherischer Klarheit: „E-Mails können viel zu leicht abgefangen und nach interessanten Schlüsselworten durchsucht werden. Das kann ganz einfach, routinemäßig, automatisch und unbemerkt in großem Maßstab getan werden. Schon jetzt werden Übersee-Telegramme auf diese Weise von der NSA großflächig durchsucht”, stellte Zimmermann fest.

Ein Werkzeug alleine hilft nicht

Dennoch haben sich Zimmermanns PGP oder die kostenlose OpenPGP-Variante bei den meisten Internet-Nutzern bislang nicht durchsetzen können. Es setzt voraus, dass alle Kommunikationsteilnehmer das Programm benutzen und die digitalen Schlüssel zum Öffnen der Nachrichten auf dem Rechner haben. Dem alternativen Standard S/MIME geht es ähnlich. Gegen das jetzt bekannte großflächige Absaugen von Verbindungsdaten – wer mit wem wann Nachrichten austauscht – helfen allerdings auch diese Programme nicht. Hier setzten weitere Techniken wie TOR an: Die Software macht jeden angeschlossenen Computer zu einem Knoten in einem Netzwerk, das der Anonymisierung von Verbindungsdaten dient.

Diese Art von Selbstschutz fürchten Dienste wie die NSA offenbar am meisten: Wer TOR oder PGP verwendet, ist für die Behörde von vornherein verdächtig. Selbst wenn sie solche Botschaften (noch) nicht lesen kann, speichert sie sie länger als andere Daten. Wer wiederum die TOR-Software verwendet, der wird bis auf weiteres „nicht als Bürger der Vereinigten Staaten behandelt”, so dass Überwachungs-Einschränkungen wegfallen.

Den jüngsten, zum Überwachungssystem „XKeyscore” bekannt gewordenen Informationen nach sollen Geheimdienste sogar gezielt suchen können, wo Nutzer Verschlüsselungstechnik einsetzen – „Zeige alle Nutzungen von PGP im Iran” wird dort als eine mögliche Anwendung beschrieben. So scheint es, dass Nutzer vor einer schlechten Alternative stehen, solange Verschlüsselung nicht breit genutzt wird: Wer nicht verschlüsselt, kann jederzeit abgehört werden; wer es aber tut, könnte im Zweifel besondere Aufmerksamkeit auf sich ziehen. Wer sie einsetzt, müsse etwas zu verbergen haben, so die Logik der Geheimdienste. Die Geschichte von David und Goliath ist so schnell noch nicht zu Ende.

June 18 2013

„Onion Pi”: Anonymes Internet zum Mitnehmen

Man nehme: Einen Raspberry-Pi-Mikrocomputer, ein paar Adapter, Stecker und Kabel, eine Antenne und die Software Tor. Das Ergebnis: ein tragbarer WLAN-Router, der anonymen Internetzugang für alle Teilnehmer verspricht, die sich darüber einwählen.

Eine Anleitung zum Selberbauen hat jetzt das Lernportal der Open-Source-Firma Adafruit veröffentlicht:

Who is this good for? If you want to browse anonymously on a netbook, tablet, phone, or other mobile or console device that cannot run Tor and does not have an Ethernet connection. If you do not want to or cannot install Tor on your work laptop or loan computer. If you have a guest or friend who wants to use Tor but doesn’t have the ability or time to run Tor on their computer, this gift will make the first step much easier.

Sicherheit gegen Abhörprogramme wie Prism kann die Tor-Software allerdings nicht versprechen – sie anonymisiert nur die Internetverbindungen. Die Entwickler schreiben in einem Beitrag zum Thema im Tor-Blog:

By itself, Tor does not protect the actual communications content once it leaves the Tor network. This can make it useful against some forms of metadata analysis, but this also means Tor is best used in combination with other tools.

Allerdings: Wer den Onion Pi oder ähnliches nachbaut, kann viel über deren Funktionsweise lernen – das beste Mittel gegen digitale Unmündigkeit.

February 04 2013

Four short links: 4 February 2013

  1. Hands on Learning (HuffPo) — Unfortunately, engaged and enlightened tinkering is disappearing from contemporary American childhood. (via BoingBoing)
  2. FlashProxy (Stanford) — a miniature proxy that runs in a web browser. It checks for clients that need access, then conveys data between them and a Tor relay. [...] If your browser runs JavaScript and has support for WebSockets then while you are viewing this page your browser is a potential proxy available to help censored Internet users.
  3. Dark Patterns (Slideshare) — User interfaces to trick people. (via Beta Knowledge)
  4. Bill Gates is Naive: Data Are Not Objective (Math Babe) — examples at the end of biased models/data should be on the wall of everyone analyzing data. (via Karl Fisch)

June 03 2011

Four short links: 3 June 2011

  1. Silk Road (Gawker) -- Tor-delivered "web" site that is like an eBay for drugs, currency is Bitcoins. Jeff Garzik, a member of the Bitcoin core development team, says in an email that bitcoin is not as anonymous as the denizens of Silk Road would like to believe. He explains that because all Bitcoin transactions are recorded in a public log, though the identities of all the parties are anonymous, law enforcement could use sophisticated network analysis techniques to parse the transaction flow and track down individual Bitcoin users. "Attempting major illicit transactions with bitcoin, given existing statistical analysis techniques deployed in the field by law enforcement, is pretty damned dumb," he says. The site is viewable here, and here's a discussion of delivering hidden web sites with Tor. (via Nelson Minar)
  2. Dr Waller -- a big game using DC Comics characters where players end up crowdsourcing science on GalaxyZoo. A nice variant on the captcha/ESP-style game that Luis von Ahn is known for. (via BoingBoing)
  3. Machine Learning Demos -- hypnotically beautiful. Code for download.
  4. Esper -- stream event processing engine, GPLv2-licensed Java. (via Stream Event Processing with Esper and Edd Dumbill)

Reposted bydatenwolf datenwolf

April 19 2010

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl