Anonym surfen mit TOR
von küsschen
- 02.09.2004 18:55
Anonym surfen war bisher fast nur mit jap (Java Anonymizing Proxy) der TU-Dresden möglich. Das war besser als nichts, hatte aber dennoch schwerwiegende Nachteile. Die bessere Lösung ist TOR.
Der TCP Onion Router (TOR) ist unter Unix und Windows leicht installierbar. Im Gegensatz zu JAP kann theoretisch jeder einen TOR-Server betreiben. Und es ist VIEL schneller als JAP.
Es ist ein Open Source Produkt und kann daher von Programmierinnen auf Schwachstellen untersucht werden.
Eine kurze Erläuterung des Konzepts samt der Schwachpunkte findet sich auf wikipedia, leider nur auf englisch.
http://en.wikipedia.org/wiki/Onion_Routing
Detaillierter aber äußerst technisch und auch auf Englisch gibt es hier Infos:
http://www.freehaven.net/tor/tor-design.pdf
Die Entwickler von tor versprechen keine absolute Sicherheit, zumindest nicht im momentanen Beta-Stadium.
Allerdings ist die Software schon so weit, dass ein Einsatz verantwortbar ist.
Auch aus Benutzerinnensicht spricht nichts dagegen; ich verwende sie seit über einem Monat und habe bis auf eine kurze Umgewöhnung, weil alles *ein wenig* länger dauert, keine Probleme gehabt.
Der Einsatz von tor ist auf jeden Fall sicherer, als nicht zu anonymisieren. Und die beiden Hauptgründe gegen jap, nämlich die unerträglich lahme Surfgeschwindigkeit und dass alle Proxy-Server in der TU-Dresden stehen (ich hoffe, die Info stimmt noch), kommen hier nicht zum Tragen.
Finanziert wird das Projekt größenteils von der US-Marine, was allerdings nach meinem Dafürhalten kein Problem ist, weil es sich um offenen Quelltext handelt und niemand Einfluss auf alle Server haben kann. Denn ein einziger vertrauenswürdiger Proxy-Server, über den die Informationen fließen, reicht aus, dass das Konzept funktioniert.
Probiert es aus, es ist wirklich einfach.
Eine Installationsanleitung (englisch) findet Ihr hier:
http://freehaven.net/tor/doc/tor-doc.html#installing
ERGÆNZUNGEN
zu JAP
Daniel 02.09.2004 19:45
Hab JAP selber mal ne Zeitlang benutzt, vor so ca nem halben Jahr noch. Kann dabei die recht geringe Geschwindigkeit bestätigen (obwohl das bei normalem Surfen ohne Downloads kaum Einfluss hatte), allerdings gab es (wenigstens damals) noch die Möglichkeit, ein paar andere Server-Kombinationen zu benutzen, auch welche, die nicht in D-Land lagen.
Der Einwand mit den Servern auf deutschem Boden kann ich bestätigen, was bei der Überwachung von KiPo und Nazis anfängt, hört irgendwann gar nirgends mehr auf.
JAP Sicherheit
bla 02.09.2004 20:49
Warum soll es ein Nachteil sein, dass JAP Server in der TU Dresden stehen? Es gibt noch weitere JAP Server. Außerdem beruht die Sicherheit von JAP auf das Hintereinanderschalten von mehreren Proxy Servern. Dadurch bringt das Abhören eines einzelnen Servers keine Informationen. Es müssten dann schon alle Server einer Kette abgehört werden um nachzuvollziehen, wer wo gesurft ist.
Etwas langsamer ist es aber wirklich. Nachteilig ist auch, dass anonymes Surfen nur mit ausgeschalteten Cookies, JavaScript und Java wirklich möglich ist. Ohne diese "Features" funktionieren jedoch viele Websites nicht mehr.
Link zu JAP:
http://anon.inf.tu-dresden.de/
JAP
Source 03.09.2004 00:57
Nein, JaP ist leider nicht mehr sicher. Als das Projekt vor etwa 1 Jahr öffentlich wurde gab es 2 Server (Proxynetzwerke) die verfügbar waren. TU-Dresden und einen in NYC. Das LKA, fing sehr schnell an Druck auf die TU-Dresden auszüben, zumindest die Logsfiles laufen zu lassen, die eingehen um gemixt zu werden. Begründung dafür war, dass Pedophyle das System missbrauchen könnten. Auf die Server in NYC hatte das LKA wenig Einfluss, daher war es erstmals kein Problem, das die TU- Dresden die ips in Logs festhielt die sich mit deren Mixer verbinden liessen. Ein, zwei Monate später, stand nur noch der TU- Dresden Server zur verfügung. Das ganze JAP System macht erst dann wirklich sind, wenn die ips erstmal gemixt wurden.
Zum Tor System kann ich noch nix sagen, werde es mir aber mal genauer anschauen.
Gruss Source
Aufpassen: TOR anonymisiert nicht den Inhalt!
p0b 03.09.2004 01:31
Auch ich habe tor seit über einem Monat im Einsatz und kann es trotz Betastadium nur empfehlen! Denn selbst wenn es nicht anonym sein sollte (würde mich sehr wundern, kann man aber nie ausschließen), habt ihr in Sachen Anonymität nichts zu verlieren, eher im Gegenteil.
TOR ist als Socks-Proxy realisiert, was bedeutet, das man darüber so fast alles was es im Netz an wichtigen Protokollen gibt (FTP, SSH, POP3, IMAP, HTTP(S), DNS, etc.), tunneln kann, was auch ein entscheidender Vorteil gegenüber JAP ist. Man sollte jedoch aufpassen, daß das Socks-Protokoll min. Socks4a ist, damit die Namensauflösung ebenfalls anonymisiert wird und nicht unanonymisierte Anfragen an den Nameserver eures Internetproviders gestellt wetrden (diese können nämlich im Zweifelsfall auch geloggt werden).
Ebenfalls sollte man beachten, das TOR nur den Absender der Daten, also die IP-Addresse anonymisiert, in dem sie gegen eine andere ersetzt wird, an den übertragenden Daten aber selbst nichts ändert. Demzufolge sollte man z.B. beim FTP-Zugriff aufpassen, das im Clienten nicht eure richtige E-Mailaddresse als Passwort eingestellt ist, denn das filtert TOR nicht und macht die ganze Anonymisierung dadurch wohl möglich hinfällig!
Für normale surfen (HTTP/HTTPS) ist es aus selbigen Grund sinvoll, sich einen Filterproxy wie z.B. privoxy, welcher unter http://www.privoxy.org/ zu bekommen ist, vorzuschalten. Dieser kann dann Cookies, Webbugs (kleine unsichtbare Bilder, die nur einen Logeintrag erzeugen), Werbebanner, Javascript-Tracking, den Referer-Header (enthält die zuvor besuchte Seite) etc. herausfiltern.
Für Privoxy und Firefox/Mozilla konfiguriert man das z.B. folgendermaßen:
1. Installiert TOR und saugt euch die neuste Serverliste von http://moria.seul.org:9031/ und installiert sie als neue dirservers-Datei (/usr/local/etc/dirservers unter Linux).
2. In die config-Datei (/etc/privoxy/config) des Privoxy trägt man folgende Zeile ein:
forward-socks4a / 127.0.0.1:9050 .
(vergesst nicht den Punkt am Ende der Zeile!)
3. In eurem Browser tragt ihr unter den Proxy-Einstellungen bei HTTP und HTTPS jeweils 127.0.0.1 und denh Port von Privoxy (8118 ist der Standardport, wenn ihr nicht geändert habt) ein und unter Socks Host stellt ihr Socks 5 ein und tragt 127.0.0.1 und den Port von TOR, welcher normalerweise 9050 ist, ein.
Ein interessantes Feature von TOR ist auch, das man selbst anonyme Dienste darüber anbieten kann. In diesem Zusammenhand sein auch noch auf andere anonyme Publikationssysteme wie z.B. Freenet http://www.freenetproject.org hingewiesen, das mehr Anstrengung in die Sicherheit steckt, was sich aber absolut negativ auf die latenzzeiten auswirkt, sprich, man darf dort erst mal warten, bis die Verbindung über mehrere Rechner hinweg aufgebaut wurde, bevor die ersten Daten fließen. TOR ist zwar in der Hinsicht schwächer (es wurde explizit für niedrige Latenzen konzupiert), könnte sich aber durch hohe Benutzerzahlen als mindestens genau so anonym herausstellen.
Keine Anonymität im Internet!
rr 03.09.2004 03:17
Wenn ihr anonym ins Netz wollt, dann vergesst euren heimischen Desktoprechner und euren eigenen Zugang.
Man kann an eurem Internetzugang schlicht und einfach den Netzwerkverker abhören. Möglicherweise ist die Ermittlung des Kommunikatonspartners nicht immer möglich, aber man kann zumindest den Inhalt eurer Datenpakete nachvollziehen. Natürlich gibt es diverse Verschlüsselungsalgorithmen.
Aber es gibt mittlerweile auch Rechner, die darauf spezialisiert sind sowas zu knacken.
ECHELON existiert, und neben der NSA, die das System betreibt haben noch diverse andere Dienste Zugriff auf diese Datensammelmaschiene.
So hat neben dem BND auch noch jede andere deutsche Geheimdienstbehörde (egal ob LKA, BKA, Zoll, Bundeswehr oder sonst eine Behörde) theorethisch Zugriff auf diese Daten. Abgesehen davon könnte euer Provider theorethisch euren ganzen Datenverkehr aufzeichnen, ohne dass ihr irgendwas merken würdet.
Um anonym zu arbeiten muss man also ein wenig was machen:
Eine Möglichkeit ist es, einen anonymen Zugang irgendwo zu finden, z.B. in einem Internetcafe. Oft kann man sich da per WLAN einklinken.
Anonyme Terminals gibts aber auch in vielen Bibliotheken und in diversen Kaufhäusern oder manchmal auch bei Stromanbietern und Telekomuniaktionsanbietern.
Oder ihr schnappt euch einfach ein Notebook und geht mal auf WLAN-Suche, in jeder größeren Stadt gibts viele viele offene APS.
Methoden wie JAP oder TOR sind eher als Notlösung oder "weniger Sicher" zu betrachten.
es geht nicht ganz auf
ne7gu3r1ll@ 03.09.2004 09:42
>Oder ihr schnappt euch einfach ein Notebook und geht mal auf WLAN-Suche, in >jeder größeren Stadt gibts viele viele offene APS.
sicher ist WLANS kapern eine gute idee... ändert jedoch nichts daran dass es surfen en courant normal ist und alles immer noch plaintext bis zu deinem rechner übertragen wird... MAC-Adresse deiner WLAN Karte (ok kann geändert werden...) und wer weiss was windows noch alles herumposaunt (falls windows benutzt wird)...
was jedoch nicht zieht ist diese aussage:
>Methoden wie JAP oder TOR sind eher als Notlösung oder "weniger Sicher" zu >betrachten.
vor allem wenn du dabei auf die möglichkeit verweist, das der bnd maschinen einsetzt um zu knacken etc. (ich kann jetzt nur für JAP sprechen, da ich mich mit TOR nicht auseinandersetzte). denn vorwas diese tools ja vorallem schützen sollen (überwachung durch provider/firmennetz etc.)
bei JAP läuft der verkehr über ein paar server, wobei nur jeder weiss wohin er das packet schicken muss, jedoch nichts über deren inhalt und schon gar nicht über absender empfänger... dass wissen nämlich nur die letzten zwei... d.h. je nach vielzahl der server wirds verschiedenmal verschlüsselt.
fakt ist, dass der provider sich wohl kaum die mühe machen müsste dies zu entschlüsseln und dies würde wohl bei seinen begrenzten möglichkeiten jahrhunderte dauern. falls der bnd ein interesse an deinen daten hätte (wohl kaum an den normalen rumsurf daten) hätte selbst der bnd mit seinen grösseren ressourcen mathematisch gesehen noch ein paar jahrzehnte bis der key gefunden worden wäre...
mensch muss sich immer überlegen welche möglichkeiten mit welchem aufwand es gibt um dies zu knacken. und da ist alles mit den neusten crypto-algos immer noch auf ein paar jahrzehnte beschränkt auch mit den aktuellen super rechnern und rechnernetze...
also bitte üb hier keine billige paranoia-propaganda! gerade bei solchen themen muss die diskussion vor allem auf die technischen möglichkeiten herauslaufen und nicht irgendein ein wirres geschwafel sein, dass du irgendwo am stammtisch von absoluten non-techies gehört hast und in deinen fantasien (zuviel james bond geschaut?) ausgedacht hast...
ach ja und es fragt sich immer bei den offenen wlans inwiefern diese geschützt sind... und da sie offen sind, hats wohl kaum ein WEP-key oder wer nimmt sich schon die mühe diesen zu knacken? und auch wenn, dein wep-key wäre mit einem aktuellen notebool sehr schnell geknackt und es könnte schön alles mitgelesen werden. und denke da auch an die supernotebooks die der bns benützt ;-)))
Wie siehts denn mit freenet-project aus ?
tut niX zur Sache 03.09.2004 15:05
kann mir jemand mal sagen ob es irgendwo eine HP gibt auf der auch für Menschen wie
mich verständlich erklärt ist wie man den Krams zum Laufen kriegt ? Denn so wie es für mich klingt,
ist das eine der sichersten Methoden anonym in einem also nicht in dem Netz zu bleiben.
Homepage:: http://de.indymedia.org
Freenet & tor
p0b 03.09.2004 20:29
@tut niX zur Sache: Freent ist kein Anonymisierungsdienst für das normale WWW wie tor oder JAP, Freent ist ein eigenes geschlossenes Netzwerk auf peer-to-peer Basis zur anonymen Veröffentlichung und zum anonymen Abruf der veröffentlichten Daten. Ich hab es oben nur als zusätzliche Möglichkeit erwähnt, Sachen anonym zu veröffentlichen.
@rr: Das es keinen Anonymität im Internet gibt, ist Blödsinn. Klar hast du recht, das ein öffentlicher Unizugang oder ein offenes WLAN sich ebenfalls sehr gut für anonymen Netzzugang eignen, aber auch da muß man aucfpassen nicht mal eben sein Mail über den Zugang abzuholen, seine Autonummer beim Wardriving aufschreiben zu lassen oder seine MAC-Adresse nicht zu ändern.
Mit der Crypto und den Diensten ist das so eine Sache, was sie wirklich schon knacken können, kann man eh nur mutmaßen, wenn sie schon den Quantencomputer gebaut haben, kannst du jede heutzutage benutzte Kryptographie eh vergessen (das einzige was dann wirklich sicher ist, ist ein per Quanten übertragener Einmalschlüssel ("Quantencrypto")). Man kann aber nach derzeitigem Stand eher generell davon ausgehen, das die meisten Behörden etc. heutzutage noch nicht in der Lage sind, gute konvertionelle Kryptographie bei ausreichender Schlüssellänge mit vertretbarem Zeit-/Kostenaufwand zu knacken.
Anleitung und Info
Kai Raven 04.09.2004 11:37
Hi,
ich habe zu TOR (und auch JAP) eine Seite mit allgemeinen Informationen und Konfigurations Hilfestellungen eingerichtet:
http://kai.iks-jena.de/bigb/proxys.html
Homepage:: http://kai.iks-jena.de/
@pOb
tut niX zur Sache 05.09.2004 01:08
ist mir schon klar, dass freenet-project kein anonymizer ist, aber es ist eben eine Alternative zum www. Ausserdem finde ich die Idee bzw. die Umsetzung genial und möchte einfach mal sehen was da so abgeht. Es ist mir bisher aber nicht möglich gewesen den Krams zum laufen zu bekommen, deshalb nochmal meine Bitte an alle , wenn jemand eine Konfigurationsanleitung etc. hat, bitte mal nen Link etc. schicken.
DANKE
Zugänge in Kaufhäusern nur bedingt anonym
Berthold 12.09.2004 14:23
Wenige Orte dürften so lückenlos Videoüberwacht sein wie Kaufhäuser.
Anonymität halte ich dort nicht für gegeben.
Das man vielleicht keine Videokamera sieht heisst nicht, daß da keine ist.
Testlauf
Alex 12.10.2004 02:52
Hallo,
Wir testen Tor zur Zeit auf seine Benutzbarkeit und werden in der nächsten Zeit Stück für Stück Ergebnisse dazu veröffentlichen. Ein Testserver läuft bereits.
Anleitungen zur Installation und Benutzung sind ebenfalls in Vorbereitung.
Alex
e-Mail:: alex@systemli.org
Homepage:: http://www.systemli.org