Moin, Moin zusammen!
Was kann das Programm „Tor“ alles?
Ist es wirklich so gut, wie zuweilen im Web zu lesen ist?
Wo sind seine Grenzen?
Welche Erfahrungen gibt es damit?
Gibt es vernünftige Alternativen?
Fragen über Fragen…
Gruß, Hartmann.
Ach ja, btw: wenn die Spezialisten hier vieleicht auch mal einen Blick auf meine Frage dort
http://www.wer-weiss-was.de/cgi-bin/www/service.fpl?..
werfen könnten…
Danke, Hartmann.
Das ist das Brett „Reisen“…
Sorry, der war gemeint…:
Guten Morgen!
Was kann das Programm „Tor“ alles?
Wie wäre es denn, wenn Du einfach mal auf der zugehörigen Website die Beschreibung und die FAQ lesen würderst und dann hier mit konkreten Fragen wieder auftauchtest?
http://tor.eff.org/index.html.de
Ist es wirklich so gut, wie zuweilen im Web zu lesen ist?
Allemal.
Wo sind seine Grenzen?
Welche Grenzen?
Welche Erfahrungen gibt es damit?
Durchmischte.
Gibt es vernünftige Alternativen?
Bestimmt.
Fragen über Fragen…
Antworten gibts per Google.
Gruß
Fritze
Was kann das Programm „Tor“ alles?
Es beherrscht keine Tabellenkalkulation.
Ist es wirklich so gut, wie zuweilen im Web zu lesen ist?
Wo sind seine Grenzen?
Welche Erfahrungen gibt es damit?
Gibt es vernünftige Alternativen?
Was erwartest du von Tor, was willst du mit seinem Einsatz bezwecken?
Es beherrscht keine Tabellenkalkulation.
Was erwartest du von Tor, was willst du mit seinem Einsatz
bezwecken?
Nenn’ es meinetwegen „Schäuble-Paranoia“, aber mir reicht allmählich die zunehmende Entwicklung in Richtung Überwachungsstaat. Ich möchte wenigstens im Web noch das tun, was ich will, ohne dass sich irgendwelche Schnüffelnasen - aus welchen Gründen auch immer - da hineinhängen.
Ich will ja schließlich auch nicht, dass
* jemand im Lesesaal der UB hinter mir steht und mitliest
* sich der Verkäufer im Fotoshop meine Urlaubsbilder ansieht
* der Briefträger nachschaut, was wir jemand schreibt oder welchen Inhalt ein an mich gerichtetes Paket hat
etc.
Kurz und gut: ich möchte eine weitestgehend dem entsprechende Privatsphäre auch im Web und all dessen Bereiche abdeckend, so weit technisch machbar.
Gruß, Hartmann.
Kurz und gut: ich möchte eine weitestgehend dem
entsprechende Privatsphäre auch im Web und all dessen
Bereiche abdeckend, so weit technisch machbar.
Zunächst einmal ist die Privatsphäre dort gefährdet, wo die Informationen zusammenlaufen, die dein Verhalten nachvollziehbar machen. Das passiert an zwei Stellen - auf deinem eigenen Rechner und beim Provider. Da bei Tor bereits der Datenverkehr zw. Client und erstem Torserver verschlüsselt ist, lässt sich wirksam verhindern, dass beim Provider ein Bewegungsprofil erstellt wird. Da fernerhin der Pfad durch das Tor-Netzwerk für jeden Zugriff zufällig neu erstellt wird, ist nicht bekannt oder vorhersehbar, mit welchem ersten Server ein Client verbunden ist. Somit gibt es, mit Ausnahme des eigenen Rechners, keine Stelle mehr, an der zentral festgestellt werden kann, welche Seiten du besucht hast oder ob ein bekannter Zugriff auf eine bestimmte Seite auf dich zurückgeht.
Das bedeutet aber natürlich keinerlei Garantie, dass deine Privatsphäre mit der Nutzung von Tor fürderhin vor jeder Unbill gefeit sei. Abgesehen von der theor. Möglichkeit, dass staatliche Stellen wie z. B. Geheimdienste weite Teile des Tor-Netzes unter ihre Kontrolle bringen. Jede Mail, die du empfängst, geht einen wohldefinierten Weg ausserhalb des Tor-Netzes und ist somit zunächst mitlesbar. Gleiches gilt für jede von dir versandte Mail, sofern du die Dienste eines dedizierten Mailservers z. B. bei deinem Provider nutzt.
Fast alle Internetangebote in Deutschland nutzen für die Schaltung von Werbung die Dienste einiger weniger Adserver-Anbieter. Kann einer dieser Adserver-Anbieter bei dir einen Cookie setzen, kann er, abhängig von deinem Surfverhalten, u. U. ein sehr detailliertes Profil nicht nur über deinen Weg durchs Netz, sondern auch über deine Gewohnheiten und Vorlieben gewinnen. Trotz Tor-Netzes kann er diese Daten mit deiner Adresse versehen, sobald du z. B. bei einem seiner Vertragspartner online eine Bestellung ausführst.
Und natürlich gibt es auch die Möglichkeit, dass Bugs des von dir verwendeten Betriebssystems oder Browsers deinen Rechner wiedererkennbar machen - wie z. B. der kürzlich entdeckte Fehler bei der Behandlung von SSL-Zertifikaten durch den Firefox.
Tor garantiert keine Privatsphäre, stellt aber eines der wichtigeren Werkzeuge aus dem Werkzeugkasten zu deren Schutz dar.
Gruss
Schorsch
1 „Gefällt mir“
ohne
weiteren
Text
aber
mit Dank
Tor hat prinzipbedingt einen sehr großen Nachteil:
Du schickst deine Daten unverschlüsselt von einem End-Knoten an Zielsystem. Klar, wenn das Zielsystem unverschlüsselte Daten erwarten können diese nicht auf magische Weise plötzlich im Kabel selbst entschlüsselt werden. Dieser End-Knoten kann deine Daten natürlich komplett mitlesen, Du schafft also künstlich eine „Man-in-the-middle“-Situation. Das ist ist gefährlich, aber nicht zu ändern. Vor allen kann jeder einen End-Knoten mit einem Klick eröffnen und dann z.B. unbemerkt im Verkehr nach Passwörtern und Anmeldenamen suchen. Es ist schon verdächtig, dass viele End-Knoten mittlerweile in China stehen, obwohl dort der Netzzugang nur sehr eingeschränkt möglich ist.
Abhilfe kann hier nur eine Verschlüsselung über SSL o.Ä. bringen, aber das muss halt der Webseitenanbieter unterstützen.
Andere Systeme wie Jap sind, was diese Problematik betrifft, sicherer, da nicht jeder einen Endknoten eröffnen kann. Aber auch hier muss man den Betreiber eines End-Knotens natürlich vertrauen. Aber dem Betreiber einer solchen Verschlüsselungstechnik musst man eh zwangsläufig trauen.
Tor hat prinzipbedingt einen sehr großen Nachteil:
Du schickst deine Daten unverschlüsselt von einem End-Knoten
an Zielsystem.
Es ist prinzipbedingt, daß eine unverschlüsselte Kommunikation unverschlüsselt ist. Das als Nachteil von Tor zu bezeichnen, halte ich für sehr gewagt. Auch bei anderen Verfahren wie JAP kommt unverschlüsselt raus, was unverschlüsselt reingegangen ist. Das prinzipbedingt Problem heisst hier wie so oft PEBKAC.
Gruss
Schorsch
Das meinte ich nicht.
Ohne Tor ist eine Man-in-the-middle-Position für „Normalbürger“ schwer zu erreichen, da der Verkehr fast ausschließlich über die Backbones der Provider zum Ziel geleitet wird. Sich bei den Providern einzuhacken, die Routeninfos zu manipulieren oder eine Backboneleitung direkt anzuzapfen ist nun wirklich nicht trivial. Hier wird es niemand so schnell schaffen sich z.B. zwischen dich und gmx.de zu schalten. Jedenfalls keine Privatperson.
Mit Tor ist aber jedes Skript-Kiddy dazu in der Lage, wie gesagt, ist nur ein Klick und einen Sniffer mitlaufen lassen, fertig. Dann kann man zwar nur ungezielt auf Datensammlung gehen, aber auch mit diesen Daten lässt sich sicherlich viel anfangen.
Hallo,
Ohne Tor ist eine Man-in-the-middle-Position für
„Normalbürger“ schwer zu erreichen, da der Verkehr fast
ausschließlich über die Backbones der Provider zum Ziel
geleitet wird.
Das ist aber für staatliche Stellen kein Problem.
Sich bei den Providern einzuhacken, die
Routeninfos zu manipulieren oder eine Backboneleitung direkt
anzuzapfen ist nun wirklich nicht trivial.
Das haben die gar nicht nötig, da es sich ja um „lawful interception“ handelt. Die wird von allen Providern „frei Haus“ geliefert.
Mal ganz abgesehen davon, dass die Provider ja in der Regel private Unternehmen sind und mithin der Zugang „für Privat“ auf Deine Daten alles andere als schwierig ist.
Mit Tor ist aber jedes Skript-Kiddy dazu in der Lage, wie
gesagt, ist nur ein Klick und einen Sniffer mitlaufen lassen,
fertig.
Der Angriffsvektor ist denkbar und wurde auch schon verwendet. Allerdings nicht von Skript-Kiddies, die nutzen lieber andere Wege.
Gegen diesen Angriff helfen zwei Dinge:
Erstens, den Datenverkehr konsequent zu verschlüsseln, wo immer das möglich ist. D.h. https anstatt http, Email via GnuPG/PGP oder S/MIME, Verbindungen zur Firma sowieso über VPN, alles weitere durch SSL tunneln.
Zweitens, selbst einen Relay- oder Exitnode anbieten. Dazu braucht man weder eine feste IP Adresse (obwohl die schon besser wäre) noch besonders viel Bandbreite. Siehe dazu auch die Anleitung zu Tor selbst. Je mehr Leute aktiv mitmachen, desto schwieriger wird eine Kontrolle durch „bösartige“ Teilnehmer.
Last not least lassen sich auch Exit-Nodes gezielt auswählen oder auch vermeiden. http://wiki.noreply.org/noreply/TheOnionRouter/TorFA…
Man sollte auch die klaren Warnungen unter http://tor.eff.org/download.html.de ernstnehmen und sich daran halten. Dann surft man mit Tor in der Regel anonym aber auch langsamer, als ohne.
Gruß
Fritze
Hallo,
Fast alle Internetangebote in Deutschland nutzen für die
Schaltung von Werbung die Dienste einiger weniger
Adserver-Anbieter. Kann einer dieser Adserver-Anbieter bei dir
einen Cookie setzen, kann er, abhängig von deinem
Surfverhalten, u. U. ein sehr detailliertes Profil nicht nur
über deinen Weg durchs Netz, sondern auch über deine
Gewohnheiten und Vorlieben gewinnen. Trotz Tor-Netzes kann er
diese Daten mit deiner Adresse versehen, sobald du z. B. bei
einem seiner Vertragspartner online eine Bestellung ausführst.
Gegen Probleme mit Adware, Cookies, Javascript, etc. wird bei Tor die Verwendung von Privoxy empfohlen. In der Tat kommt das Installationspaket für Windows ohnehin nur im Bundle mit Privoxy daher. Es kann natürlich problematisch werden, wenn Seiten ohne Javascript oder Flash-Krams den Dienst komplett verweigern. W-W-W ist so eine Seite. Das ist aber weder ein Problem von Tor noch von Privoxy, solche Websites sind einfach defekt.
Gruß
Fritze
Das ist aber für staatliche Stellen kein Problem.
Vom Staat sprach ich auch nicht. Vor diesem kann man sich eh nicht effektiv schützen. Zur Not kommt die Polizei zu dir und nimmt deine PCs mit. Wobei bei die Anforderungen allerdings zum Glück noch wirklich „rechtsstaatlich“ sind…
Das haben die gar nicht nötig, da es sich ja um „lawful
interception“ handelt. Die wird von allen Providern „frei
Haus“ geliefert.
Das ist mir bekannt. Und die Provider müssen auch die Kosten für die Bereitstellung tragen.
Erstens, den Datenverkehr konsequent zu verschlüsseln, wo
immer das möglich ist. D.h. https anstatt http, Email via
GnuPG/PGP oder S/MIME, Verbindungen zur Firma sowieso über
VPN, alles weitere durch SSL tunneln.
Das sollte selbstverständlich sein.
Leider bieten sogar einige der großen Webmaildienste für ihre Freeaccount selbst dann kein SSL an, wenn man manuell https://… eingibt.
Hier hilft eigentlich nur eines: Konsumverzicht und einen anderen Anbieter nehmen.
Man sollte aber trotzdem jedem Tor Benutzer klar sagen:
Mit Tor tauscht man nur Sicherheit. Der Weg bis zum letzten Tor-Knoten ist verschlüsselt. Damit „versteckt“ man sich primär vor dem Staat und dem Betreiber des Dienstes (z.B. einer Webseite), den man gerade aufruft. Zu letzterem muss man aber auch sagen: Wenn man eine Webseite anonym für den Anbieter besuchen möchte und dazu Tor benutzt klappt das schon dann nicht mehr, wenn die Webseite aktive Inhalte wie Java enthält. Damit kann der Anbieter problemlos die echte IP des Benutzers feststellen.
Die Kehrseite von Tor ist aber die, die ich genannt habe: Mindestens ein Knoten im Tor-Netz kann meinen Verkehr im Klartext mitlesen, wenn der nicht durch anderer Maßnahmen verschlüsselt (SSL…) verschlüsselt. Ohne Tor wäre dieser Rechner nicht zwischen mir und dem Anbieter. Das ist der Nachteil daran.
Hallo,
Die Kehrseite von Tor ist aber die, die ich genannt habe:
Mindestens ein Knoten im Tor-Netz kann meinen Verkehr im
Klartext mitlesen, wenn der nicht durch anderer Maßnahmen
verschlüsselt (SSL…) verschlüsselt. Ohne Tor wäre dieser
Rechner nicht zwischen mir und dem Anbieter. Das ist der
Nachteil daran.
Nochmal: Der Kehrseite ist keine. Auch der Exit-Node kann nicht zurückverfolgen, woher die Daten ursprünglich stammen. Er kann die Datenpakete zwar sehen, aber wenn diese verschlüsselt sind – und das sollten sie mit oder ohne Tor sein – dann hat er davon keinerlei Informationsgewinn. Es wird auf der Downloadseite von Tor selbst genau auf diesen Umstand hingewiesen und die entsprechenden Verhaltensregeln benannt. Was genau sollte Tor denn Deiner Meinung nach tun, um die Sicherheit für den Anwender zu verbessern?
Gruß
Fritze
Nochmal: Der Kehrseite ist keine
Ist es dass denn wirklich so schwer zu verstehen?
Einmal noch, dann ist für mich aber definitik EOD.
Lies mal
http://www.heise.de/newsticker/meldung/95770
Natürlich kann Tor nichts daran ändern, was ich auch gesagt habe, aber es muss den Benutzern klar sein, dass man, wenn man Tor nutzt, die Wahrscheinlich sehr erhöht, dass jemand den _unverschlüsselten_ Verkehr von einem selbst mitlist. Eben weil man seinen Verkehr zusätzlich über einen Rechner routet.
Mal ganz einfach: Ich bin ein böser Pursche und kenne einen Dienst, oder keine verschlüsselten Daten austauscht, sondern im Klartext austauscht. Also mach ich nen Tor-Endknoten auf und lese mit was da kommt. Benutzt jemand Tor, geht das. Benutzt jemand Tor nicht, geht das nicht.
Das ist genauso wie im lokalen Netz: Halte ich mein Netz für so sicher, dass sich niemand direkt in den Datenverkehr einklinken kann, kann (kann! nicht muss!) es z.B. aus Performancegründen sinnvoll sein (Kosten-Nutzen) den Verkehr selbst nicht zu verschlüsseln. Nach Möglichkeit sollte man natürlich verschlüsseln.
Hallo,
schau Dir auch mal http://panopti.com.onreact.com/swf/index.htm an. Dadurch sollte noch einiges klarer werden…
Gruß
h.
http://panopti.com.onreact.com/swf/index.htm an. Dadurch
sollte noch einiges klarer werden…
Und noch ein Artikel von Bruce Schneier dazu:
http://www.schneier.com/blog/archives/2007/09/anonym…
Gruß
h.
1 „Gefällt mir“