Wed, 29 Aug 2012

Video: Tor Hidden Services

»Tor makes it possible for users to hide their locations while offering various kinds of services, such as web publishing or an instant messaging server. Using Tor "rendezvous points," other Tor users can connect to these hidden services, each without knowing the other's network identity.«

Tor Youtube Kanal


posted at: 00:41 | path: /2012 | permanent link to this entry | Tags: ,

Sat, 05 May 2012

Tor im Google Summer of Code 2012

Sechs Projekte haben es in diesem Jahr geschafft, im Zuge des »Google Summer of Code« für Tor gesponsert zu werden. Die Kandidaten wurden nun im Blog des Torprojekts benannt.

Die Projekte beschäftigen sich mit dem Arm-Port, Hidden Services und - besonders interessant - mit der Integration von Tor Hidden Services in das Live-System Tails:

»Combining Tor hidden services with Tails’ amnesia property (no traces are left on the host computer) and limited support for persistent encrypted data allows to protect content, to a great degree [...]. This vision aims at making it easy for end-users to implement solutions [...] based on Tor hidden services hosted on a Tails system.«
Project: Tails Server (PDF)


posted at: 02:28 | path: /2012 | permanent link to this entry | Tags: , ,

Mon, 16 Aug 2010

QOTD: Tor

»Research, attack, and improve the Tor design. [...]
Turn the research into code.«

Tor-Entwickler Andrew Lewmann auf der Mailingliste or-talk.


posted at: 22:11 | path: /2010 | permanent link to this entry | Tags: ,

Mon, 26 Oct 2009

Tor fürs Smartphone

Vor wenigen Tagen gab Nathan Freitas in seinem Blog bekannt, dass er erfolgreich eine Tor-Version auf dem Android-Smartphone installiert habe.

Freitas arbeitete daran als Teil seines Engagements im Guardian-Projekt, das sich der anonymen und sicheren Kommunikation mit Google's Opens-Source Mobilplattform Android widmet. Im Zuge des Guardian-Projekts, das vor ein paar Monaten schon einen Preis im Zuge der UC Berkeley Human Rights Center Mobile Challenge erhalten hatte, wurde nun der Tor-Client Orbot entwickelt, der wie auf dem PC Vidalia oder Tork die Prozesse der Anonymisierungssoftware steuert.

Orbot ist komplett in C geschrieben, und soll weniger Ressourcen benötigen, als die entsprechenden bisherigen Implementierungen in Java. Über Versuche, Tor auf dem Android zu installieren wurde schon vor einem Jahr berichtet, und es gibt weiterhin die - allerdings nicht stark frequentierte - Mailingliste zu Tor-in-Java:
Freitas scheint mit seiner Orbot-Entwicklung nun allerdings bereits am weitesten vorangekommen zu sein, und ruft zu aktiver Mitarbeit auf.

Danke an byebyeapplecomputer für den Tip!


posted at: 22:14 | path: /2009 | permanent link to this entry | Tags: ,

Sun, 18 Jan 2009

Dingledine erklärt Tor...

... in weniger als vier Minuten:



»Our role is to give a tool to people who want to change their world however they want to change it. And there are a lot of people out there who want the world to be different, and want to be able to learn things, and want to be able to publish things.
And we are sympathetic to them, but our role is just to give them more options and let them do whatever they want to do.
So at the same time as writing tools like this there are plenty of people out there who need to do whatever they need to do - to change the world.«


posted at: 17:39 | path: /2009 | permanent link to this entry | Tags: ,

Sat, 10 Jan 2009

fetchmail: Mails anonym über Tor abholen

All diejenigen, die schon einen einsatzbereiten Tor-Client eingerichtet haben, können diesen natürlich auch dazu nutzen, um anonymisiert Mails abzurufen. Unter Linux mache ich das im Normalfall per fetchmail. Im Tor Wiki gibt es mehrere Anleitungen, wie man verschiedene Programme dazu bringt Tor zu nutzen - unter anderem auch fetchmail.

Ich habe die Einstellungen einmal durchprobiert und musste feststellen, dass mit meiner Konfiguration nur eine dieser Möglichkeiten funktioniert hat: Diejenige mit dem fetchmail-plugin-Fähigkeiten nämlich:

Zunächst sollte man in der Datei /etc/tor/tor-tsocks.conf nachschauen, ob folgende Einträge enthalten sind:

server = 127.0.0.1
server_port = 9050

Bei mir war das in der unter Debian installierten Version bereits der Fall. Das gleiche gilt für den Eintrag in der Privoxy-Konfiguration unter /etc/privoxy/config:

listen-address 127.0.0.1:8118

Weiter geht es mit den direkten Vorbereitungen für fetchmail: Hat man beispielsweise einen Mailaccount bei gmx.de, sollte man zuerst via

tor-resolve pop.gmx.net

herausbekommen, welche IP-Adresse dieser Server hat, nämlich die 213.165.64.22. Dieser Schritt ist aus dem Grund wichtig, da bei Angabe des Server-Domainnamens ansonsten vor der Mailabholung DNS-Anfragen zur Namensauflösung ungeTORt durchgeführt würden.

Da die Mails ausserdem über eine gesicherte ssl-Verbindung abgeholt werden sollten, besorgt man sich noch das entsprechende Zertifikat via

openssl s_client -connect pop.gmx.net:995 -showcerts

Den im folgenden angezeigten Bereich zwischen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- kopiert man in eine Textdatei, hier im Beispiel cert.pem. Die beiden Zeilen mit den Spiegelstrichen müussen dabei selbstverständlich mit eingefügt werden.

Anschliessend lassen wir uns den Fingerprint des Zertifikats anzeigen:

openssl x509 -in cert.pem -noout -md5 -fingerprint

In diesem Fall wird folgendes ausgeworfen: MD5 Fingerprint=BA:03:AC:50:A9:A0:C7:AF:1E:79:3A:B7:C0:E7:19:5E
Diese Informationen müssen nun in der Datei .fetchmailrc im lokalen Benutzerverzeichnis zusammengetragen werden. Diese sollte anschliessend in etwa so aussehen:

set daemon 300       #Mailabruf alle 300Sekunden
set postmaster "$USER"       #User, der fetchmail startet
set no bouncemail
set logfile /home/$USER/.fetchmaillog       #zur Kontrolle aktivieren wir erstmal eine Logdatei

#Server

poll 213.165.64.22 with       #IP des POP-Servers
       plugin "socat STDIO SOCKS4A:127.0.0.1:%h:%p,socksport=9050"    #tsocks benutzen, über Tor verbinden
       proto pop3
       user 1234567    #Benutzername bei gmx
       pass 89101112    #Passwort bei gmx
       is $USER    #lokaler Benutzername
       ssl     #Verbindung verschlüsseln
       sslcertck    #Zertifikat überprüfen
       sslcommonname pop.gmx.net    #Der im Zertifikat angezeigte Servername
       sslfingerprint "BA:03:AC:50:A9:A0:C7:AF:1E:79:3A:B7:C0:E7:19:5E"    #der Fingerprint des Zertifikats
#     keep    #Falls die Nachricht auch auf dem Server verbleiben soll, die Raute am Beginn der Zeile entfernen

mda '/usr/bin/procmail -f fetchmail'    # Mails an den Mailfilter procmail leiten

Das war's auch schon. Nun kann im Terminal fetchmail eingegeben und gestartet werden. Ab sofort werden alle fünf Minuten die Mails dieses Accounts über das Tor-Netzwerk abgerufen und die eigene Rechner-IP vor gmx verborgen.

Möchte man nun noch schauen, ob wirklich keine DNS-Anfragen an Tor vorbeigeleitet werden, kann in die Datei /etc/tor/torrc noch

SafeSocks 1
TestSocks 1

nachgetragen werden. Danach erscheinen nach einem /etc/init.d/tor --force-reload in der Tor-Logdatei Meldungen, ob diese Anfragen erfolgreich über den Anonymisierungsserver gestellt worden sind.

UPDATE (19.01.09):
Im IRC-Channel des Torprojekts wurde der Hinweis gegeben, dass es gerade im Zuge der Vorratsdatenspeicherung - und bei Mailaccounts welche mit realer Identität angelegt wurden - sogar gefährlich geworden sein könnte, Mails über Tor abzurufen: Es könnten falsche Rückschlüsse gezogen werden, falls die IP-Adresse für den Mailabruf in anderen Zusammenhängen schon einmal aufgetaucht ist.

Über Tor sollten also am besten ausschließlich Postfächer abgerufen werden, die nicht mit einer realen Identität in Zusammenhang gebracht werden können.


posted at: 19:03 | path: /2009 | permanent link to this entry | Tags: , ,

Sun, 04 Jan 2009

Privatix: Ein Debian Live-System

Auf das neue Debian GNU/Linux-basierte Live-System des Journalisten Markus Mandalka bin ich schon während des 25. Chaos Communication Congress aufmerksam gemacht worden - Zeit für einen kleinen Test habe ich mir heute mal genommen:

Hat man sich das iso-Image hier heruntergeladen und auf CD gebrannt, fährt es ein auf den ersten Blick ganz normales Debian mit Gnome-Desktop als Live-System hoch (d.h. das ansonsten installierte Betriebssystem bleibt dabei unberührt). Entscheidend anders ist hier allerdings nun der erscheinende Installations-Button auf dem Desktop:
Einen mindestens 4GB großen usb-Stick oder eine externe Festplatte vorausgesetzt, kann durch Anklicken dieses Buttons ein kleines portables Debian auf einen mobilen Datenträger kopiert werden. Der Clou dabei ist, dass nach Auswahl des entsprechenden Mediums alle Daten in einen verschlüsselten Bereich kopiert werden. In der Laufwerksauswahl werden dabei nur externe Laufwerke angezeigt um zu verhindern, dass man die Daten auf dem Desktoprechner überschreibt: Ist also DAU-kompatibel das Ganze ;)

Mit meinem usb-Stick benötigte der Kopiervorgang etwa eine halbe Stunde - eine Prozedur, die sich jedoch lohnt: Man erhält ein portables, verschlüsseltes Debian für unterwegs. Mit dem Stick kann man nun das eigene Linuxsystem an fremden Rechnern booten und/oder diese warten.

Auf der Webseite trägt das Projekt den Untertitel: »USB-Live-System zum Selbstdatenschutz«. Das trifft allerdings nur für die Verschlüsselung des Mediums zu. Zwar sind Programme mitgeliefert, um die Privatsphäre des Users zu schützen - voreingestellt ist das alles jedoch nicht: Der Anonymisierungsdienst Tor wird beim Systemstart geladen, andere Programme sind allerdings nicht vorkonfiguriert, diesen Dienst auch zu nutzen. Auch lassen im Iceweasel/Firefox die Voreinstellungen JavaScript zu, und Formulardaten/Passwörter werden gespeichert - wenn auch innerhalb des verschlüsselten Systems.

Verglichen mit einer anderen, auf Privatspähre achtenden Live-CD, Incognito, wurde also weniger in die Konfigurationen der Software eingegriffen. Im auf Gentoo basierenden Incognito wurde darauf geachtet, dass jegliche Kommunikation des Systems nach 'draussen' ausschliesslich anonymisiert durch Tor geschieht. Im Internetcafe am Windows-Rechner lässt sich Incognito mit dem mitgelieferten qemu innerhalb einer virtuellen Maschine starten - ein Vorteil, da man an solchen Rechnern eher nicht komplett neu starten darf.

Aber natürlich ist Privatix eine sehr feine Sache: Es ist nun kinderleicht sein/mein liebstes Betriebssystem auf eine mobile Festplatte zu installieren, noch dazu komplett verschlüsselt. Mit ein paar kleinen Handgriffen sind auch die Verbindungen durch Tor geroutet - ist halt ein etwas anderer Ansatz als bei Incognito.


posted at: 22:24 | path: /2009 | permanent link to this entry | Tags: , ,

Mon, 29 Dec 2008

25C3: Verwundbarkeiten in Tor

Roger Dingledine, Teamleiter des Tor-Projekts gab heute auf dem Chaos Communication Congress einen kurzen Überblick über praktische und theoretische Verwundbarkeiten des Tor-Netzwerks.

Viele der Probleme, seine Anonymität trotz Nutzung von Tor zu verlieren, werden laut Dingledine durch die Nutzung des Browsers Firefox und dem Addon Torbutton behoben: Vor allem Javascript-Reloads nach ein/aus-schalten Tors und Gefahren durch Flashanimationen die wahre Identität zu offenbaren, seien dadurch behoben. Dingledine riet daher ausdrücklich, Tor nicht mit anderen Browsern und ohne Torbutton zu nutzen. Eine weitere sichere Möglichkeit sei die Nutzung der Incognito-LiveCD, die sich innerhalb von Windows-Betriebssystemen via Qemu starten lasse, und alle mitgelieferten Programme für die anonyme Nutzung via Tor vorkonfiguriert liefere.
Die Möglichkeiten, dass darüber hinaus Tor-ServerbetreiberInnen die Identitäten der BenutzerInnen herausfinden können, schienen (imho) vor allem theoretischer Natur zu sein und allesamt zumindest erheblichen Aufwand zu bedürfen.


posted at: 20:23 | path: /2008 | permanent link to this entry | Tags: ,

Sat, 20 Dec 2008

Video: How to circumvent censorship

Das Video ist schon eine Weile online, trotzdem soll es auch noch einmal an dieser Stelle lobend erwähnt werden: Der Howcast-Clip »How To Circumvent an Internet Proxy« bietet in nur vier Minuten einen Schnellkurs, wie man (staatliche) Zensur umgehen kann: Durch die Benutzung offener Proxies, oder auch der Anonymisierungssoftware Tor bspw. in Verbindung mit dem Tor Browser Bundle. Ein gewagtes Unternehmen, das alles in unter fünf Minuten - inkl. Erläuterung, was ein Proxy überhaupt macht - unterzubringen. Aber es hat funktioniert, und es ist sehr gut (und auch DAU-fähig) geworden:



via: https://blog.torproject.org/


posted at: 19:31 | path: /2008 | permanent link to this entry | Tags: ,

Sun, 07 Dec 2008

How To Bypass Internet Censorship

FLOSS Manuals Release Circumvention Book, How To Bypass Internet Censorship

December 4, 2008, Amsterdam

A new book released by FLOSS Manuals, How to Bypass Internet Censorship, describes circumvention tools and explains why you might want to use them, and honestly describes the risks you must consider before circumventing blockers or monitors. Blockers and monitors restrict access to areas of the Internet, and this book describes simple techniques for bypassing those restrictions. The book can be read or downloaded for free as a PDF from flossmanuals.net, or you can purchase a high-quality printed copy of the 200 page book through Lulu, an on-demand printer, at http://www.lulu.com/content/4904448 for €10.83 ($14.00).

Vorgestellt werden in diesem frei verfügbaren Buch Hintergründe zur Internetzensur und einige Techniken, wie diese umgangen werden kann: Die sieben Autoren des Bandes befassen sich unter anderem mit Webproxies, Tor, JonDo, OpenVPN und ssh-Tunneling - das alles leicht verständlich und gut nachvollziehbar.
Lizensiert ist das 200seitige Buch unter der GPL v.2.


posted at: 14:53 | path: /2008 | permanent link to this entry | Tags: ,

Tue, 05 Aug 2008

Incognito 2008.1 released

Um dieses in letzter Zeit leider etwas eingeschlafene Blog wieder zu reaktivieren, hier der Hinweis auf eine neu erschienene Version der Live-CD Incognito.

Das angebotene ISO-Image enthät ein lauffähiges Gentoo Linux mit Kernel 2.4.24. In der offiziellen Ankündigung heisst es, dass dieses Image von CD, USB (mit Option einer verschlüsselten home-Partition) und in virtuellen Umgebungen laufen sollte.

Durch die Nutzung von Incognito bewegt man sich anonym im Netz, da alle Internetverbindungen vorkonfiguriert sind, Tor zu nutzen. Neu aufgenommen wurden u.a. die Programme KeePassX, ein Passwort-Manager, und der Gnu Privacy Assistant, als grafische Oberfläche zu GnuPG. Entfernt wurden hingegen die Chat-Clients Ksirc und Kopete, da beide dem Gegenüber zu viele Informationen über den User preisgeben - bevorzugt werden nun XChat und Pidgin.


posted at: 13:19 | path: /2008 | permanent link to this entry | Tags:

Tue, 01 Jul 2008

Incognito nun Tor-lizenziert

Vor einiger Zeit hatte ich mal in einem Artikel geschrieben, dass dortige Erwähnung der Tor-LiveCD Incognito die letzte gewesen sein könnte... Dem war nicht so:

Vor ein paar Tagen haben die Tor-Entwickler mit dem Incognito-Macher eine Lizenzvereinbarung getroffen, die es dem anonymen LiveCD-Entwickler erlaubt, das offizielle Tor-Logo zu verwenden. Damit erkennen die Tor-Entwickler die Transparenz, Open-Source-Basis und die Qualität der von usb-Stick oder CD zu startenden Incognito-Distribution an. Diese baut wesentlich auf Tor auf, und anonymisiert den gesamten Traffic während man diese CD benutzt.

Eine neue Incognito-Version mit aktuellen Programmversionen und kleinen Bugfixes soll im übrigen noch diesen Monat erscheinen.


posted at: 20:12 | path: /2008 | permanent link to this entry | Tags:

Sat, 14 Jun 2008

New Tor is out

Heute gab einer der Tor-Entwickler, Roger Dingledine, die Veröffentlichung einer neuen Version der Anonymisierungssoftware bekannt.

Die Version 0.2.0.28-rc schließt einen anonymitätsrelevanten Bug, verbessert die Performance der Hidden Services und bietet einige kleinere Fehlerbehebungen. Entsprechende Installationspakete finden sich im Downloadbereich des Torprojektes.


posted at: 16:36 | path: /2008 | permanent link to this entry | Tags: ,

Tue, 10 Jun 2008

Anonymes Postfach im Netz

Die German Privacy Foundation stellte gestern ihr neues anonymes Kontaktsystem vor, die PrivacyBox.

Für die Nutzung dieses Systems muss lediglich ein Accountname registriert werden, und schon können über die PrivacyBox anonym Nachrichten empfangen werden. Dazu bietet die Privacy Foundation ein Kontaktformualar, über das Nachrichten und kleine Dateien für bekannte Accounts hinterlegt werden. Die Daten werden entweder verschlüsselt auf den Servern hinterlegt, oder per Mail an den/die EmpfängerIn weitergeleitet. Hinterlegte Nachrichten können außerdem per POP3s abgerufen werden.

Um die Anonymität aller Beteiligten zu gewährleisten, wird die Nutzung des Dienstes über das Tor-Netzwerk empfohlen - insbesondere, da im Zuge der Vorratsdatenspeicherung ab dem 1.1.2009 die IP-Adressen der NutzerInnen gespeichert werden müssen. Der Dienst kann daher sowohl per Webinterface im www sowie über einen Tor Hidden Service erreicht werden.

UPDATE: Natürlich sollte bei der Benutzung dieses Systems immer auf eigens verschlüsselte Dateien und Texte geachtet werden. Ansonsten können die AdministratorInnen dieses Dienstes - ohne böses unterstellen zu wollen - die erst serverseitig verschlüsselten Inhalte einsehen.

Verwiesen sei an dieser Stelle auch noch auf einen Dienst des CCC: Durch deren anonbox lassen sich völlig anonyme Wegwerf-Email-Adressen generieren, die maximal 24 Stunden lang gültig sind.


posted at: 15:11 | path: /2008 | permanent link to this entry | Tags: ,

Thu, 15 May 2008

Debian Openssl-Bug und Tor

Das Openssl-Problem bei Debian-basierten Distributionen hat auch Folgen für die BenutzerInnen des Anonymisierungs-Tools Tor, wie Entwickler Roger Dingledine in einer ersten Mail darlegte. Welche Folgen das Ignorieren der Sicherheitshinweise haben kann, beschreibt Dingledine im Tor-Blog:
The Debian OpenSSL flaw: what does it mean for Tor clients?

Alle betroffenen Tor-Server sollte man also ab sofort (am besten seit zwei Tagen ;-) nur noch mit neu generierten Keys betreiben! Nur dadurch kann der worst case, dass nämlich jemand Tor-Verbindungen entschlüsseln und komplett mitlesen kann, verhindert werden:

apt-get update
apt-get upgrade
/etc/init.d/tor stop
rm /var/lib/tor/keys/secret_*
/etc/init.d/tor start


posted at: 16:06 | path: /2008 | permanent link to this entry | Tags: ,

Wed, 30 Jan 2008

Neue Tor-Distributionen

Steven J. Murdoch gab heute die Verfügbarkeit eines neuen Firefox-Tor-Vidalia-Bundles bekannt. Das Projekt befindet sich noch in den Kinderschuhen, und sollte daher noch ausgiebig getestet werden. Der Tor-browser-bundle erinnert an das früher mal erhältliche Torpark, und kann ab sofort hier heruntergeladen werden.

Installiert werden kann das Paket auf der Festplatte, oder auch auf den usb-Stick - so kann man bspw. auch in Internet-Cafes anonymisiert das Netz ersurfen. In dem Bundle enthalten sind Vidalia (svn trunk revision 2337), Tor (0.2.0.18-alpha), FirefoxPortable (2.0.0.11) und Polipo (1.0.4).

Außerdem gab es auch gleich die erste 2008er Version der Tor-LiveCD Incognito, wie der neue anonyme Entwickler bekannt gab. Leider wurde der Windowmanager Fluxbox von der CD gekippt, und nur noch auf KDE gesetzt - schadeschade. Daneben wurden ein paar Bugs beseitigt und auf neuere Programmversionen zurückgegriffen. Unter anderem enthalten sind Tor (0.1.2.19), Thunderbird (2.0.0.9), Firefox (2.0.0.11), TorK (0.26), Vidalia (0.16) und der Linux kernel 2.6.23.

Der bisherige Entwickler Pat Double hat damit die Entwicklung komplett abgegeben. Leider muss nun also auf Fluxbox, und auch auf die Entwicklung von Incognito-tiny, einer 50MB Mini-Version der LiveCD verzichtet werden...
Mal schauen, ob unter diesen Umständen an dieser Stelle noch weiterhin auf dieses Projekt hingewiesen wird....


posted at: 21:43 | path: /2008 | permanent link to this entry | Tags:

Sat, 26 Jan 2008

Pidgin leaks-DNS

Nach einem Hinweis auf der or-talk-Mailingliste, überprüfte ich heute auch einmal das Verhalten des Instant-Messengers Pidgin (2.3.1) während des Verbindungsaufbaus durch das Anonymisierungstool Tor. Das Ergebnis durch die Eingabe von

tshark -S -i NETWORK_DEVICE -R dns

zeigte eindeutig, dass die DNS-Anfragen bei Nutzung des Jabber/xmpp-Protokolls an Tor vorbei liefen, Pidgin also direkt die Nameserver kontaktiert - dadurch die Anonymisierung des Verbindungsaufbaus also umgeht. Bei Nutzung des ICQ-Protokolls scheint alles sauber zu funktionieren, einzig bei Jabber/xmpp gibt es eindeutig ein Loch.


posted at: 16:06 | path: /2008 | permanent link to this entry | Tags:

Sat, 29 Dec 2007

24C3 - die dritte, tag 3

In seinem diesjährigen Vortrag auf dem 24C3 berichtete Roger Dingledine, der Entwickler des Anonymisierungstools Tor, über aktuelle Entwicklungen innerhalb des Tor-Projekts, beispielsweise der in der neuesten Tor-Version eingeführten Entry Guards... Aufgrund der in den letzten Monaten in D-Land vermehrten Repressionen gegen Tor-Serverbetreiber und der ab 2009 auch auf Anonymiesirer zukommenden Vorratsdatenspeicherung, sah es Dingledine als besonders wichtig an, gegen die Kriminalisierung des Betriebs solcher Server aktiv zu werden. In den nächsten Wochen wird der Entwickler daher in Kontakt mit deutschen Juristen treten, um sie für die Problematik zu sensibilisieren und Hilfe gegen die Beschlagnahmung von Tor-Servern zu finden. Er bat ausserdem eindringlich darum, ihm Juristen zu nennen, die der Thematik nicht gänzlich ignorant gegenüberstünden.

Im späteren Vortrag zum elektronischen Reisepass präsentierten am Abend Constanze Kurz und starbug als krönenden Abschluss einen Fingerabdruck Wolfgang Schäubles, der in naher Zukunft als Druckvorlage zum Download bereitgestellt werden soll, um es Interessierten zu ermöglichen, diesen für eigene Zwecke zu 'gebrauchen'... Vorgefertigte Schäuble-Abdrücke, die man sich bei Gelegenheit anlegen kann, soll es später sogar zu kaufen geben. Mal schauen also, in welchen Szenarien/an welch obskuren Orten in Zukunft auf einmal ein echter 'Schäuble auftaucht... :D


posted at: 21:54 | path: /2007 | permanent link to this entry | Tags: , , ,

Tue, 11 Dec 2007

die alte leier...

Neil McGovern erklärt uns heute in seinem Blog, dass Privatsphäre und Anonymität im Internet nicht das gleiche sind - und dass man auch nicht zwingend privat und anonym im Internet unterwegs ist, wenn man Tor benutzt. Inzwischen sollte das doch jedeR mitbekommen haben?

So, the question is: do you want privacy or anonymity when using the internet? You need to know what you want before you use a tool, as nothing can beat user education on how to keep your browsing details out of the 'wrong hands'.
http://blog.halon.org.uk/2007/12/11#tor-01


posted at: 22:19 | path: /2007 | permanent link to this entry | Tags: ,

Fri, 09 Nov 2007

Aus gegebenem Anlass...

Aus gegebenem Anlass sei hier noch einmal ausdrücklich auf das Anonymisierungstool Tor hingewiesen. Ausserdem gibt es seit ein paar Tagen wieder eine neue Version der LiveCD/USB Incognito. Mit den Incognito-Images kann man sich anonymisiert im Netz bewegen, da alle Verbindungen automatisch durch Tor �geschleust� werden. Gerade jetzt, da in bälde die gesamte Telekommunikation in D-Land überwacht wird, ist eine Anonymisierung schließlich wichtiger denn je.

Auch �Scharfe Reaktionen auf Absegnung der Vorratsdatenspeicherung� werden das neue Gesetz, das alle Menschen erstmal unter Generalverdacht stellt, nicht mehr stoppen - bleibt nur noch die Hoffnung auf einen Erfolg der angekündigten Verfassungsbeschwerde, der sich bisher bereits über 7000 Leute angeschlossen haben.


posted at: 21:57 | path: /2007 | permanent link to this entry | Tags: ,

Thu, 01 Nov 2007

Vidalia/TorK schnell updaten!

Gregory Fleischer gab gestern auf einer Mailingliste des Anonymisierungstools Tor eine bestehende Sicherheitsl�cke in Vidalia bekannt. Vidalia ist ein plattformübergreifend verfügbares Bundle der Pakete Tor und Privoxy. Mit Vidalia können die User einfach über eine GUI alle nötigen Konfigurationseinstellungen für den installierten Tor-Client/Server vornehmen.

BenutzerInnen von Windows und Mac OS X sollten nun Vidalia möglichst schnell auf den neuesten Stand bringen: In den Versionen vor 0.1.2.18 wurde bei ihnen eine Privoxy-Konfigurationsdatei installiert, die es bösen WebseitenbetreiberInnen und auch BetreiberInnen von Tor Exit-Nodes erlaubt, Code in das lokale System einzuschmuggeln und/oder die Konfigurationen zu manipulieren.

Noch am selben Tag bestätigte Robert Hogan diesen Fehler auch für das Vidalia-ähnliche Bundle TorK. Hogan wollte noch vor morgen eine aktualisierte Version 0.22 von TorK zur Verfügung stellen.

UP Das betrifft anscheinend nicht nur die Bundles - auch in meiner Privoxy-Installation unter Debian war zumindest die in der Warnung angesprochene Option �enable-remote-http-toggle� standardmäßig aktiviert.


posted at: 19:59 | path: /2007 | permanent link to this entry | Tags: ,

Tue, 16 Oct 2007

User-Agent-Generator

Wer sich mit Hilfe des Tools Tor im Internet bewegt, ist bekannterweise schon höchst anonym im Netz unterwegs - wenn man ein paar Dinge beachtet zumindest.

Wer durch Tor im Internet surft, »erhält« schon alle paar Minuten eine neue, nach außen sichtbare IP-Adresse, die eine Identifizierung des jeweiligen Users nahezu unmöglich macht. Was sich allerdings auch durch Tor nicht ändert, ist der jeweilige User-Agent-String des benutzten Browsers, wie bspw.:

Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.8.1.6) Gecko/20070723 Iceweasel/2.0.0.6 (Debian-2.0.0.6-0etch1+lenny1

Der sagt schon ein paar Dinge über BesucherInnen einer Webseite aus - und hat durchaus noch einen erhöhten Wiedererkennungswert, benutzt man eher selten vorkommende Browser, wie Galeon oder Epiphany.

Fabian Keil hat dieses Problem schon vor längerer Zeit durch ein kleines Skript gelöst: durch uagen, dem Firefox-User-Agent-Generator. Man kann durch die Kombination von Tor und Privoxy zwar schon einen fremden User-Agent vortäuschen, leider aber nur statisch. Durch uagen kann nun, eingebunden als Cronjob, in beliebigen Zeit-Intervallen immer wieder ein neuer Agent-String generiert werden... standardmäßig natürlich nur *NIX-Agents ;) - zusätzlich kann bei der Gelegenheit sogar noch der Language-String mit verändert werden.

Die Installation steht also in jedem Fall als nächstes auf der Todo-Liste!


posted at: 22:50 | path: /2007 | permanent link to this entry | Tags: ,

Sun, 30 Sep 2007

New Incognito

Gestern gab Pat Double, der Entwickler der Tor-LiveCD die Veröffentlichung einer aktualisierten Version bekannt. Diese Version kann nun erstmals als virtuelle Umgebung innerhalb eines Windows-Desktops gestartet werden - und so anonymes surfen an Rechnern ermöglichen, die man nicht von CD booten kann.

Die Incognito-LiveCD enthält daneben noch aktualisierte Versionen von Firefox, dessen NoScript-Addon und TorK... Links zum Download der zwei verfügbaren Versionen finden sich hier.


posted at: 19:09 | path: /2007 | permanent link to this entry | Tags:

Thu, 20 Sep 2007

Zwiebel-Routen im Jungle

Heute erschien mal wieder ein lesenswerter Artikel in der Jungle World, in dem erklärt wird, wie man sich möglichst anonym im Internet bewegen kann. Meine 4cent dazu:

Tor ist im übrigen auch nur so intelligent, wie die User, die es benutzen: Anonym heisst natürlich nicht verschlüsselt, wie bspw. hundert Botschaftsangehörige verschiedener Staaten erfahren durften. :-D


posted at: 23:38 | path: /2007 | permanent link to this entry | Tags: ,

Tue, 18 Sep 2007

Incognito und QEMU

Der Ersteller der Tor Anonymisierungs-LiveCD Incognito sucht derzeit Leute, die seine aktuellen Images in Windows 2000/XP/Vista testen. In einer Mail an or-talk schreibt er, dass die neue Version seiner LiveCD innerhalb eines laufenden Windows-Systems mit QEMU gestartet werden kann.

Durch diese Möglichkeit kann dem Problem abgeholfen werden, dass man öffentlich zugängliche Rechner oft nicht ganz einfach von CD/USB booten kann. Das zu testende Image findet sich unter files1.cjb.net


posted at: 21:38 | path: /2007 | permanent link to this entry | Tags:

Sat, 08 Sep 2007

quote of the day

But the interesting point is this: if Tor is worth targetting for your Trojans, then Tor has entered popular culture. Which rocks.
(Ben Laurie)

Naja, das Zitat ist schon von vorgestern, wurde aber erst gerade von mir entdeckt. Es bezieht sich auf eine derzeit kursierende Spammail, in der dazu aufgefordert wird, von einer gefakten Homepage einen als Tor getarnten Trojaner herunterzuladen...


posted at: 23:59 | path: /2007 | permanent link to this entry | Tags:

Thu, 06 Sep 2007

New Incognito-CD is out

Pat Double gab gestern die Veröffentlichung einer neuen Version seiner Anonymisierungs-Live-CD Incognito bekannt. Er schreibt in seinem Announcement, dass er die Versionskennzeichnung auf das jeweilige Datum des benutzten Schnappschusses geändert habe.

Incognito 20070824.1 enthält nun die aktuelle stabile Version des Anonymisierungs-Tools Tor (0.1.2.17), KDE 3.5.7 und zum ersten Mal auch den Mplayer. Außerdem enthalten sind unter anderem: das CookieSafe Firefox Add-on, das NoScript Add-on, EnigMail und TrueCrypt... Es gibt ein ca. 350MB großes, und ein ca. 50MB großes tiny-Image zum herunterladen.


posted at: 17:30 | path: /2007 | permanent link to this entry | Tags:

Sat, 01 Sep 2007

Macht ein Tor-upgrade!

Gestern gab einer der Entwickler des Anonymisierungs-Tools Tor, Roger Dingledine, die Veröffentlichung einer neuen Version bekannt. Die häufigste Begründung, warum man Tor nicht benutzt, ist sicherlich die oft mangelnde Schnelligkeit beim surfen im Web. Das soll nun mit der neuen Version 0.1.2.17 ganz anders werden:

this Tor update fixes major load balancing problems with path selection, which should speed things up a lot once many people have upgraded.

Es müssen nur schnell genug möglichst alle Tor-AnwenderInnen das Upgrade machen! In einem heutigen Aufruf an die Mailingliste or-talk berichtet Mike Perry, dass das Tor-Netzwerk nach seinen Berechnungen vier Mal schneller werden könnte, wenn erstmal alle auf dem neuesten Stand sind:

the latest Tor stable should provide significant performance/capacity increase once most clients upgrade. According to my measurements with TorFlow, there should be roughly four times as much capacity once the network rebalances.


posted at: 21:03 | path: /2007 | permanent link to this entry | Tags:

Fri, 03 Aug 2007

Torpark schon lange gestorben...

Durch einen Artikel auf fixmbr.de über den Tod von Torpark wurde ich heute dazu gebracht, mal ein wenig in meinen kleinen Archiven und Logfiles nachzustöbern... Erinnerte ich mich doch daran, dass Torpark schon eh und jeh ein nicht unumstrittenes Projekt war.

Schon im November 2006 legte Roger Dingledine, einer der Tor-Entwickler, in der Mailingliste or-talk eine lange Liste offener Fragen bezüglich Torpark vor. Dingledine scheint das Projekt doch mit sehr gemischten Gefühlen betrachtet zu haben. Verfolgt man den Thread ein wenig weiter, konnten die Fragen auch nicht wirklich zur Zufriedenheit beantwortet werden, wie Steven Murdoch in seiner Antwort beschrieb - offensichtlich verhielt sich Torpark tatsächlich anders, als es laut Dokumentation sollte.

Die Einführung eines kommerziellen Anonymisierungsdienstes wurde schließlich im April 2007 durch Arrakistor im Tor-IRC Channel angekündigt.

(00:53:28) arrakis: steve, i wish i could say more but I am under secrecy. it will be a commercial tor network that will benefit the whole public tor network as well.
[...]
(00:55:06) arrakis: steve: it will service the public network as well. we like giving back, it helps everyone.

Immerhin kündigte er damals eine eventuell in Frage kommende Unterstützung des Tor-Teams an:

(00:56:55) rollanothernumber: arrakis: I think it would be better to support the existing tor network/developers financially
(00:58:03) arrakis: rollanothernumber, its a good thought. and maybe we will. that is something between Torrify and the Tor project to discuss however.

Wie man aber über ein kommerzielles Projekt seine Anonymität wahren soll, wurde an dieser Stelle nicht geklärt. Ich zumindest finde die Darlegungen �Privacy vs Profits� des XeroBank-admins Steve Topletz nicht sonderlich überzeugend - und bleibe lieber bei dem etwas langsameren, dafür aber vertrauenserweckenderen Original-Tor.


posted at: 18:42 | path: /2007 | permanent link to this entry | Tags:

Sun, 29 Jul 2007

Papers in Anonymity

Durch Roger Dingledines Hinweis im Tor IRC channel (#tor on irc.oftc.net), wurde ich gestern nacht auf eine interessante Sammlung an Papern aufmerksam, die allesamt das Thema Anonymität im Internet zum Thema haben.

Unter freehaven.net/anonbib finden sich allerlei pdf- und Postscript-Dokumente aus den letzten 30 Jahren zum Thema. Dabei geht es beispielsweise um »Verschlüsselung als Mittel gegen Traffic Analysen«, anonyme Remailer, anonyme Kommunikation allgemein, peer2peer- und natürlich um das Tor-Netzwerk.


posted at: 18:50 | path: /2007 | permanent link to this entry | Tags: ,

Wed, 25 Jul 2007

Incognito r192 LiveCD veröffentlicht

Heute gab Pat Double die Veröffentlichung einer neuen Version seiner LiveCD Incognito bekannt.
Mit diesem Image ist es möglich, so anonym als möglich in Internet zu surfen. Bootet man von der CD, sind alle Programme die sich mit dem Internet verbinden, so vorkonfiguriert, dass sie dies nur durch das Anonymisierungsprogramm Tor hindurch tun.

Enthaltene Programme sind zum Beispiel Firefox 2.0.0.5, Thunderbird 2.0.0.5, XChat, kopete (inkl. Off The Record Verschlüsselung, OTR), Pidgin (inkl. OTR) - und natürlich die aktuellste Tor-Version 0.1.2.15. Ausserdem ist TrueCrypt enthalten, welches gleich das erstellte home-volume verschlüsselt.


posted at: 18:33 | path: /2007 | permanent link to this entry | Tags: ,

Thu, 12 Jul 2007

Patch für Tor-Nodes auf vservern

Nachdem es in der Vergangenheit immer Probleme mit dem Betreiben von schnellen Tor-Nodes auf vservern gab, wurde nun ein patch veröffentlicht, der es auch Mietern dieser günstigen Servervariante ermöglichen soll, mehr Datendurchsatz anzubieten.

Zu finden ist der Patch im Archiv der englischen Tor-Mailingliste, und sollte nun erst einmal getestet werden.

Wer nachlesen möchte, worum es da genau geht, verfolge einfach den ganzen ursprünglichen Thread.

Das Problem war anscheinend, dass auf vservern zu geringe Ressourcen für die xmit/recv Buffer der TCP-sockets zur Verfügung stehen, die Tor benutzt. Mit diesem Patch kann man nun die Puffergröße für Tor verkleinern - ohne natürlich den Grad der Anonymität einzuschränken.

Roger Dingledine, einer der Tor-Entwickler schrieb dazu:

Interesting idea. If you would whip up a patch, I'll add a new config option "CheapServer 1" (suggestions for a better name? ;) and put it in as an experimental feature.

*g*


posted at: 01:32 | path: /2007 | permanent link to this entry | Tags:

Tue, 10 Jul 2007

Next news from Germany...

Dass die Betreiber eines Tor Exit Nodes in Deutschland nicht mehr vor schikanösen Zugriffen durch die Behörden sicher sind, dürften die meisten wohl seit spätestens September vergangenen Jahres zähneknirschend zur Kenntnis genommen haben.

In einer Welle von Beschlagnahmungen und Durchsuchungen wurden damals deutschlandweit laut einer Aufzählung in Kai Ravens Blog mindestens vier Tor-, und ein JAP-Server in kurzer Zeit einkassiert.

Weiter ging es dann im Dezember, als ein weiterer Tor-Admin seines Servers entledigt wurde, weil das BKA seine IP-Adresse in einem "Beobachtungs-Log" ausfindig gemacht hatte. Als Begründung für die Kündigung des Server-Mietvertrages genügte laut diesem weiteren Blogeintrag nur ein Wort: "Pornographie" - dem Totschlagargument also, das immer gegen Tor ins Feld geführt wird.

Eben dieser Betreiber um den es hier ging, hat sich nun wieder mit Negativnachrichten über D-lands Behörden an die Öffentlichkeit gewandt. In einer Mail "Next news from Germany" an die englische Tor-Mailingliste, beschreibt er seine weiteren Erfahrungen:

Nach einem anonymen Hinweis, dass seine Telekommunikationsdaten überwacht würden, erbat er Auskunft bei den entsprechenden Behörden. Ohne Erfolg allerdings - die Auskunft wurde verweigert, und er beschreibt in seiner Mail, warum:

Over the last months, I tried to figure out, what happens. I contact the data protection official of Germany for help. Like me, he did not get any information because the prosecution denied any information with the reason:

"Any information will compromise the security of Germany or one of its parts."
(§19 Absatz 6 Bundesdatenschutzgesetz )

I compromise the security of Germany, seems I am a terrorist or something like that. The anti-terrorism-law in Germany is not a joke, nothink I want to feel by myself. I contact a lawyer and he said, this is not a game, it is real!

Laut Aussage des betreffenden Admins, handelt es sich bei den Vorwürfen ihm gegenüber um die Publikation von Anleitungen zur Anonymisierung auf www.anon-web.de, um den Betrieb des Tor Nodes "Knuffel" und des Mixmaster Remailers "awxcnx".

Verständlicherweise zieht er nun die Konsequenzen, und kündigte an:

Conclusion: The TOR node "knuffel" is down and will not come back. Please remove it from the directory. All my contact addresses and online identities related to this kind of stuff will be closed next time.

I have a german website with some stuff about anonymity. It will go down in 2-3 weeks. May be, some german gay want to download and save some of my work. I will prepare an offline version of the website:
http://www.anon-web.de

Auf der Tor-Mailingliste wurde inzwischen angeKündigt, dass die Webseite bald gespiegelt werden wird. Das wird Karsten N. persönlich leider nicht viel bringen. Ihm bleibt wohl nichts weiter übrig, als sich einen guten Anwalt zu nehmen. Auf einer Mailingliste des CCC gab es immerhin bereits den Vorschlag, eine Spendenaktion für die bald anfallenden Anwaltskosten ins Leben zu rufen.


posted at: 23:16 | path: /2007 | permanent link to this entry | Tags:

Sun, 08 Jul 2007

ROCKate: Hackerparagraph fordert erstes Opfer

Nun ist es also so weit: Nachdem der deutsche Bundestag am 25.05.2007 den sogenannten Hackerparagraphen abgesegnet hat, gibt es nun die Ersten, die sich aufgrund der zu befürchtenden Konsequenzen ins stille Kämmerlein zurückziehen.

Benjamin Schieder gab nun in einer Mailingliste des Anonymisierungsprogramms Tor bekannt, dass er aus Angst vor einer möglichen Kriminalisierung seiner Arbeit die Weiterentwicklung der Tor-Live-CD ROCKate aufgeben werde. Durch Benutzung besagter Live-CD ist es BenutzerInnen möglich, sich anonym im Internet zu bewegen.

Da nun auch der Bundesrat die umstrittene Novellierung des Strafgesetzbuches gebilligt hat, bleibt nur noch zu hoffen, dass sich EntwicklerInnen ausserhalb D-lands finden, um die Anonymisierungs-CD weiter zu entwickeln.

Hier Benjamins Mail im Wortlaut:

Hi people.

In response to a law that passed the german legislative today, I will cease production, development and distribution of ROCKate binaries and - maybe - even source code soon.
The reasen is §202c StGB which states (IANAL translation):

"Producing, acquiring, selling, giving, distributing or making-accessible of passwords or other access codes as well as computer programs whose aim it is to commi a crime ... will be punished with up to one year in jail or a fine."

See also: http://www.phenoelit.de/202/202.html

Basically, these waters are too hot for me to tread in. Though the official reading of the wall - reading from politicians that is - says that they only target 'criminals' and there is no need to worry with the wording, nobody knows when some underworked lawyer thinks he might go on to sue the ass off of everyone in IT.

If someone wants to mirror/host/develop ROCKate further, be my guest. If you need technical assistance, I can offer guidance, but I probably won't write a single line of code anymore. Sorry.

Greetings,
Benjamin


posted at: 14:35 | path: /2007 | permanent link to this entry | Tags: , ,