Sun, 18 Jan 2009
Dingledine erklärt Tor...
... in weniger als vier Minuten:
»Our role is to give a tool to people who want to change their world however they want to change it. And there
are a lot of people out there who want the world to be different, and want to be able to learn things, and want
to be able to publish things.
And we are sympathetic to them, but our role is just to give them more
options and let them do whatever they want to do.
So at the same time as writing tools like this there are
plenty of people out there who need to do whatever they need to do - to change the world.«
posted at: 17:39 | path: /2009 | permanent link to this entry
| 0 comments |
Sat, 10 Jan 2009
fetchmail: Mails anonym über Tor abholen
All diejenigen, die schon einen einsatzbereiten Tor-Client
eingerichtet haben, können diesen natürlich auch dazu nutzen, um anonymisiert Mails abzurufen.
Unter Linux mache ich das im Normalfall per fetchmail. Im
Tor Wiki gibt es mehrere Anleitungen, wie man verschiedene
Programme dazu bringt Tor zu nutzen -
unter anderem auch fetchmail.
Ich habe die Einstellungen einmal durchprobiert und musste feststellen, dass mit meiner Konfiguration nur
eine dieser Möglichkeiten funktioniert hat: Diejenige mit dem fetchmail-plugin-Fähigkeiten nämlich:
Zunächst sollte man in der Datei /etc/tor/tor-tsocks.conf nachschauen, ob folgende Einträge enthalten
sind:
server = 127.0.0.1
server_port = 9050
Bei mir war das in der unter Debian installierten Version bereits der Fall. Das gleiche gilt für den Eintrag
in der Privoxy-Konfiguration unter /etc/privoxy/config:
listen-address 127.0.0.1:8118
Weiter geht es mit den direkten Vorbereitungen für fetchmail: Hat man beispielsweise einen Mailaccount bei gmx.de, sollte man zuerst via
tor-resolve pop.gmx.net
herausbekommen, welche IP-Adresse dieser Server hat, nämlich die 213.165.64.22. Dieser Schritt ist aus dem Grund
wichtig, da bei Angabe des Server-Domainnamens ansonsten vor der Mailabholung DNS-Anfragen zur Namensauflösung ungeTORt durchgeführt würden.
Da die Mails ausserdem über eine gesicherte ssl-Verbindung abgeholt werden sollten, besorgt man sich noch das
entsprechende Zertifikat via
openssl s_client -connect pop.gmx.net:995 -showcerts
Den im folgenden angezeigten Bereich zwischen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----
kopiert man in eine Textdatei, hier im Beispiel cert.pem. Die beiden Zeilen mit den Spiegelstrichen müussen
dabei selbstverständlich mit eingefügt werden.
Anschliessend lassen wir uns den Fingerprint des Zertifikats anzeigen:
openssl x509 -in cert.pem -noout -md5 -fingerprint
In diesem Fall wird folgendes ausgeworfen: MD5 Fingerprint=BA:03:AC:50:A9:A0:C7:AF:1E:79:3A:B7:C0:E7:19:5E
Diese Informationen müssen nun in der Datei .fetchmailrc im lokalen Benutzerverzeichnis zusammengetragen
werden. Diese sollte anschliessend in etwa so aussehen:
set daemon 300 #Mailabruf alle 300Sekunden
set postmaster "$USER" #User, der fetchmail startet
set no bouncemail
set logfile /home/$USER/.fetchmaillog #zur Kontrolle aktivieren wir erstmal eine Logdatei
#Server
poll 213.165.64.22 with #IP des POP-Servers
plugin "socat STDIO SOCKS4A:127.0.0.1:%h:%p,socksport=9050" #tsocks benutzen, über Tor verbinden
proto pop3
user 1234567 #Benutzername bei gmx
pass 89101112 #Passwort bei gmx
is $USER #lokaler Benutzername
ssl #Verbindung verschlüsseln
sslcertck #Zertifikat überprüfen
sslcommonname pop.gmx.net #Der im Zertifikat angezeigte Servername
sslfingerprint "BA:03:AC:50:A9:A0:C7:AF:1E:79:3A:B7:C0:E7:19:5E" #der Fingerprint des Zertifikats
# keep #Falls die Nachricht auch auf dem Server verbleiben soll, die Raute am Beginn der Zeile entfernen
mda '/usr/bin/procmail -f fetchmail' # Mails an den Mailfilter procmail leiten
Das war's auch schon. Nun kann im Terminal fetchmail eingegeben und gestartet werden. Ab sofort werden
alle fünf Minuten die Mails dieses Accounts über das Tor-Netzwerk abgerufen und die eigene Rechner-IP vor
gmx verborgen.
Möchte man nun noch schauen, ob wirklich keine DNS-Anfragen an Tor vorbeigeleitet werden, kann in die Datei
/etc/tor/torrc noch
SafeSocks 1
TestSocks 1
nachgetragen werden. Danach erscheinen nach einem /etc/init.d/tor --force-reload in der Tor-Logdatei Meldungen, ob diese Anfragen erfolgreich über den
Anonymisierungsserver gestellt worden sind.
UPDATE (19.01.09):
Im IRC-Channel des Torprojekts wurde der Hinweis gegeben, dass es gerade im Zuge der
Vorratsdatenspeicherung - und bei Mailaccounts welche mit realer Identität angelegt wurden - sogar
gefährlich geworden sein könnte, Mails über Tor abzurufen: Es könnten falsche
Rückschlüsse
gezogen werden, falls die IP-Adresse für den Mailabruf in anderen
Zusammenhängen schon einmal aufgetaucht ist.
Über Tor sollten also am besten
ausschließlich
Postfächer abgerufen werden, die nicht mit einer realen Identität in Zusammenhang gebracht werden
können.
posted at: 19:03 | path: /2009 | permanent link to this entry
| 3 comments |
Sun, 04 Jan 2009
Privatix: Ein Debian Live-System
Auf das neue Debian GNU/Linux-basierte Live-System des Journalisten
Markus Mandalka bin ich schon während des 25. Chaos Communication Congress aufmerksam gemacht worden -
Zeit für einen kleinen Test habe ich mir heute mal genommen:
Hat man sich das iso-Image hier heruntergeladen und
auf CD gebrannt, fährt es ein auf den ersten Blick ganz normales Debian mit Gnome-Desktop als Live-System hoch
(d.h. das ansonsten installierte Betriebssystem bleibt dabei unberührt). Entscheidend anders ist hier
allerdings nun der erscheinende Installations-Button auf dem Desktop:
Einen mindestens 4GB großen usb-Stick oder eine externe Festplatte vorausgesetzt, kann durch Anklicken dieses
Buttons ein kleines portables Debian auf einen mobilen Datenträger kopiert werden. Der Clou dabei ist, dass
nach Auswahl des entsprechenden Mediums alle Daten in einen verschlüsselten Bereich kopiert werden.
In der Laufwerksauswahl werden dabei nur externe Laufwerke angezeigt um zu verhindern, dass man die Daten auf dem
Desktoprechner überschreibt: Ist also DAU-kompatibel das Ganze ;)
Mit meinem usb-Stick benötigte der Kopiervorgang etwa eine halbe Stunde - eine Prozedur, die sich jedoch
lohnt: Man erhält ein portables, verschlüsseltes Debian für unterwegs. Mit dem Stick kann man nun
das eigene Linuxsystem an fremden Rechnern booten und/oder diese warten.
Auf der Webseite trägt das Projekt den Untertitel: »USB-Live-System zum Selbstdatenschutz«. Das trifft
allerdings nur für die Verschlüsselung des Mediums zu. Zwar sind Programme mitgeliefert, um die
Privatsphäre des Users zu schützen - voreingestellt ist das alles jedoch nicht: Der Anonymisierungsdienst
Tor wird beim Systemstart geladen, andere Programme sind allerdings nicht
vorkonfiguriert, diesen Dienst auch zu nutzen. Auch lassen im Iceweasel/Firefox die Voreinstellungen JavaScript zu,
und Formulardaten/Passwörter werden gespeichert - wenn auch innerhalb des verschlüsselten Systems.
Verglichen mit einer anderen, auf Privatspähre achtenden Live-CD, Incognito,
wurde also weniger in die Konfigurationen der Software eingegriffen. Im auf Gentoo basierenden Incognito wurde
darauf geachtet, dass jegliche Kommunikation des Systems nach 'draussen' ausschliesslich anonymisiert durch Tor
geschieht. Im Internetcafe am Windows-Rechner lässt sich Incognito mit dem mitgelieferten qemu innerhalb einer
virtuellen Maschine starten - ein Vorteil, da man an solchen Rechnern eher nicht komplett neu starten darf.
Aber natürlich ist Privatix eine sehr feine Sache: Es ist nun kinderleicht sein/mein liebstes Betriebssystem auf eine mobile
Festplatte zu installieren, noch dazu komplett verschlüsselt. Mit ein paar kleinen Handgriffen sind auch die
Verbindungen durch Tor geroutet - ist halt ein etwas anderer Ansatz als bei Incognito.
posted at: 22:24 | path: /2009 | permanent link to this entry
| 2 comments |
Thu, 01 Jan 2009
ntpdate sagt gerade...
~$ ntpdate-debian
1 Jan 00:00:00 ntpdate[13413]: adjust time server 213.95.21.206 offset -0.055192 sec
und das ungeschummelt. Frohes also @ all.
posted at: 00:00 | path: /2009 | permanent link to this entry
| 0 comments |