Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 20 von 27
  1. #1
    Mitglied
    Registriert seit
    Jun 2010
    Ort
    Erfurt
    Beiträge
    38
    Danksagungen
    0

    Standard Tor wirklich so sicher?

    Hallo zusammen.
    Vor einiger Zeit wurde mir das Programm "Tor" gezeigt, welches die IP im Internet veschlüsseln soll. Ein Freund, der das nutzt, meinte, dass die IP nicht zurückverfolgt werden kann. Ist ja eigentlich was gutes, aber eine Frage beschäftigt mich.
    Ist es wirklich unmöglich, die IP über Tor zurückzuverfolgen? Ich denke es geht, dass man die zurückverfolgen kann. Was glaubt ihr?
    Liebe Grüße. =)

  2. #2
    Gesperrt
    Registriert seit
    Mar 2011
    Beiträge
    2.183
    Danksagungen
    0

    Standard Re: Tor wirklich so sicher?

    Die IP wird nicht verschüsselt, sie erreicht nur den "Quellserver" nicht, der dir die angeforderten Daten liefert. Du lässt also quasi jemand anderen für dich fragen.
    Und ja, es gibt Möglichkeiten, die IP zurückzuverfolgen. Steht unter anderem hier im Board.

    Viel Spaß beim Lesen.

  3. #3
    Mitglied
    Registriert seit
    Apr 2008
    Beiträge
    13
    Danksagungen
    0

    Standard Re: Tor wirklich so sicher?

    Ich finde die kostenpflichtigen dienste zum sicheren surfen am besten. Hatte mich vor ner Zeit mal damit beschäftigt gehabt, aber hab jetzt keine Ahnung mehr, wie mein favorit hieß. War zumindest nicht sehr teuer, wenn man mal möglichst hohe anonymität brauch.

  4. #4
    Gesperrt
    Registriert seit
    Mar 2011
    Beiträge
    1.445
    Danksagungen
    9

    Standard Re: Tor wirklich so sicher?

    Vielleicht schaust du dir einfach erstmal den Artikel in der Wikipedia an. Dort gibt es unter Anderem auch Informationen zu den Schwachstellen von Tor.

    MfG
    Mr. J

  5. #5
    ex-Moderator Avatar von Kugelfisch23
    Registriert seit
    Oct 2007
    Beiträge
    18.640
    Danksagungen
    401

    Standard Re: Tor wirklich so sicher?

    Zitat Zitat von scart08 Beitrag anzeigen
    Ich finde die kostenpflichtigen dienste zum sicheren surfen am besten.
    Ob ein kostenpflichtiger Dienst tatsächlich die beste Wahl ist, hängt vom konkreten Anwendungsfall ab. Sofern lediglich die Wahrscheinlichkeit einer erfolgreichen De-Anonymisierung berücksichtigt wird (d.h. die Vertraulichkeit der übertragenen Daten und der Datendurchsatz irrelevant sind), dann ist diese Schlussfolgerung nicht korrekt. Schliesslich kommt bei kostenpflichtigen Diensten mit der Bezahlung eine weitere potentielle Gefahrenquelle hinzu, sofern keine anonymen Zahlungsmittel (z.B. nicht persönliche Guthabenkarten wie PaySafeCard oder UKash) zum Einsatz kommen. Bei One-Hop-Systemen, z.B. anonymisierenden VPNs oder Proxy-Servern muss zudem dem Betreiber blind vertraut werden, da er über alle für eine erfolgreiche De-Anonymisierung relevanten Informationen verfügt. Bei Verwendung von Tor ist dies durch das Onion-Routing-System nicht der Fall: eine De-Anonymisierung ist nicht nur möglich, wenn alle drei Knoten der erzeugten Circuits überwacht werden bzw. Informationen zu den weitergeleiteten Verbindungen loggen. Zu beachten ist jedoch, dass der letzte Tor-Konten eines Tor-Circuits - die Exit-Node - die übertragenen Daten mitschneiden kann (ohne jedoch den Urheber des Datenstroms zu kennen). In sofern sollten sensible Daten insbesondere bei Verwendung von Tor zur Anonymisierung ausschliesslich über Ende-zu-Ende-verschlüsselte Verbindungen (etwa über TLS/SSL, im Web in Form von HTTPS) übertragen werden.

  6. #6
    Mitglied
    Registriert seit
    Mar 2010
    Beiträge
    76
    Danksagungen
    0

    Standard Re: Tor wirklich so sicher?

    Tor versteckt Deine IP-Adresse. Das funktioniert sehr gut. Aber es gibt mit Sicherheit einige schnüfflende Exit-Nodes und die können Dich deanonymisieren. Dazu brauchen sie Deine IP-Adresse garnicht, sondern können deine Identität anhand des mitgelesenen Traffics ermitteln. Es gibt einige Forschungsergebnisse zu diesem Thema:

    1. Dan Egestad konnte mit einem schnüffelnden Tor-Exit 1000 E-Mail Accounts knacken, davon 200 Botschafts-Accounts: http://www.heise.de/security/news/meldung/95770

    2: Auf der Back-Hat 2009 wurde ein Paper vorgestellt, das den erfolgreichen Angriff auf SSL-verschlüsselte Verbindungen demonstrierte. Die Login-Daten für folgende Accounst wurden innerhalb von 24h ermittelt: 114x Yahoo, 50x GMail, 9x Paypal, 9x Linkedin, 3x Facebook. Siehe http://blog.internetnews.com/skerner...-with-ssl.html

    3: Außerdem wurden von C. Castelluccia schüffelnde Tor-Exit Nodes genutzt, um Google-User zu beschnüffeln und Informationen zu gewinnen: http://planete.inrialpes.fr/projects...-web-searches/

    Wenn man die Hinweise von TorProject.org nicht konsequent beachtet, kann auch die IP-Anonymisierung ausgehebelt werden. Mit 6 schnüffelnden Exit-Nodes wurden in 23 Tagen die IP-Adressen von mehr als 10.000 Nutzern ermittelt: http://hal.inria.fr/inria-00574178/en/

    Das ist nur die Auswahl, die mir bekannt ist. Also ich würde es nicht so pauschal unterschreiben, dass Tor sicher ist.

  7. #7
    ex-Moderator Avatar von Kugelfisch23
    Registriert seit
    Oct 2007
    Beiträge
    18.640
    Danksagungen
    401

    Standard Re: Tor wirklich so sicher?

    Zitat Zitat von porcospino Beitrag anzeigen
    Aber es gibt mit Sicherheit einige schnüfflende Exit-Nodes und die können Dich deanonymisieren. Dazu brauchen sie Deine IP-Adresse garnicht, sondern können deine Identität anhand des mitgelesenen Traffics ermitteln.
    Das ist nur dann korrekt, wenn die übertragenen Daten Rückschlüsse auf die Identität des Übermittlers zulassen. Dann wäre allerdings in vielen Szenarien fraglich, weshalb die Absender-IP-Adressen anonymisiert werden sollten, wenn die übertragenen Daten ohnehin eine De-Anonymisierung zulassen, die dann z.B. auch der Zielserver vornehmen könnte. Problematisch ist die Übertragung anonymer und nicht anonymer Daten über denselben Circuit, da diese dann u.U. miteinander in Verbindung gebracht werden können. Dies ist die Grundlage des in http://hal.inria.fr/inria-00574178/en/ beschriebenen Angriffs. Dieses Problem ist prinzipiell übrigens bereits seit längerer Zeit bekannt, siehe http://archives.seul.org/or/talk/Dec-2004/msg00086.html und die Antworten in http://archives.seul.org/or/talk/Jan-2005/msg00007.html ff.

    Davon abgesehen müssen jedoch die Anonymität und die Vertraulichkeit der übertragenen Daten separat betrachtet werden, schliesslich sind dies fundamental verschiedene Ziele. Tor garantiert explizit keine Vertraulichkeit, sondern bloss Anonymität - aus diesem Grund ist eine Ende-zu-Ende-verschlüsselte Verbindung zur Übertragung sensibler Daten Pflicht.

  8. #8
    Mitglied
    Registriert seit
    Mar 2010
    Beiträge
    76
    Danksagungen
    0

    Standard Re: Tor wirklich so sicher?

    Zitat Zitat von Kugelfisch23 Beitrag anzeigen
    Dann wäre allerdings in vielen Szenarien fraglich, weshalb die Absender-IP-Adressen anonymisiert werden sollten, wenn die übertragenen Daten ohnehin eine De-Anonymisierung zulassen,
    Ein interessanter Gedanke. Vielleicht ist die IP-Anonymisierung überbewertet und es kommt eigentlich auf andere Dinge an? Muss ich mal drüber nachdenken.

    Zitat Zitat von Kugelfisch23 Beitrag anzeigen
    Dieses Problem ist prinzipiell übrigens bereits seit längerer Zeit bekannt.....
    Egal wie lange es bekannt ist. Das Paper ist von 2011 und es wurden die IP-Adressen von mehr als 10.000 Tor-Usern ermittelt. Unbeobachtet Dateien tauschen zu können, ist sicher ein Grund für viele, IP-Anonymisierung zu verwenden. Deshalb meinte ich, dass man die Hinweise von TorProject.org beachten muss. Einfach einschalten und schon ist alles anonym gilt nicht für Tor!
    Geändert von porcospino (27. 05. 2011 um 17:15 Uhr)

  9. #9
    Mitglied
    Registriert seit
    Mar 2010
    Beiträge
    76
    Danksagungen
    0

    Standard Re: Tor wirklich so sicher?

    Ich habe noch ein bischen mehr gesucht, es gibt noch einige weitere Probleme mit Tor:

    - Anoynm surfen mit Tor + Chrome, Safari, iCap oder anderen WebKit-Browsern ist unsicher, weil die reale IP-Adresse mit FTP-Links ermittelt werden kann: https://anonymous-proxy-servers.net/...er_language=de

    - Anonymes Instant-Messaging ist unsicher aufgrund der DNS-Leaks der Clients und weil der Voice- und Video-Chat der libjingle nicht über Tor läuft und somit die IP-Adresse verrät: https://trac.torproject.org/projects/tor/ticket/1676

    - Tor + E-Mail Clients sollte man auch nicht nutzen, da evtl. die IP-Adresse irgendwo übertragen werden könnte, TorProject rät davon ab: http://archives.seul.org/or/talk/Dec-2010/msg00264.html

    - Tor + BitTorrent hatten wir oben schon einmal: 10.000 deanonymisierte User.

    Da bleibt nicht viel übrig vom sicheren Tor. Anonym surfen mit Tor+Firefox+TorButton ist sicher, aber TorButton wird nicht mehr weiterentwickelt und ist nicht kompatibel mit FF 4 ff.

  10. #10
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    Standard Re: Tor wirklich so sicher?

    Deswegen wird ja auch das Torbrowser-Bundle angeboten.

    Dort sind dann auch gleich entsprechende Addons, die die Anonymisierung unterstützen - wie z.b. https-everywhere - vorhanden.

    Zum Rest muss man eigentlich nicht viel sagen. Wer einen Torrent-Client über Tor laufen lässt, hat es nicht anders verdient...

  11. #11
    ex-Moderator Avatar von Kugelfisch23
    Registriert seit
    Oct 2007
    Beiträge
    18.640
    Danksagungen
    401

    Standard Re: Tor wirklich so sicher?

    Zitat Zitat von porcospino Beitrag anzeigen
    Ein interessanter Gedanke. Vielleicht ist die IP-Anonymisierung überbewertet und es kommt eigentlich auf andere Dinge an?
    Die Anonymisierung der Quell-IP-Adresse der aufgebauten Verbindungen bzw. der übertragenen Pakete ist die Grundlage zur anonymen Kommunikation mit einem Ziel-Server. Selbstverständlich hilft sie wenig, wenn du deine Identität im Rahmen der übertragenen Nutzdaten preisgibst. Triviales Beispiel: Eine von deinem persönlichen, unter deinem realen Namen geführten E-Mail-Konto gesendete E-Mail ist auch dann nicht anonym, wenn du Tor (oder einen beliebigen anderen Anonymisierungsdienst) zum Versand benutzt.

    Zitat Zitat von porcospino Beitrag anzeigen
    Unbeobachtet Dateien tauschen zu können, ist sicher ein Grund für viele, IP-Anonymisierung zu verwenden. Deshalb meinte ich, dass man die Hinweise von TorProject.org beachten muss. Einfach einschalten und schon ist alles anonym gilt nicht für Tor!
    Dem Rat, die Hinweise auf der Tor-Website zu lesen und befolgen, kann ich mich selbstverständlich nur anschliessen. Das gilt aber für jeden Anonymisierungsdienst - es ist immer sehr empfehlenswert, sich über die Hintergründe, die sichere Konfiguration und insbesondere auch über die Gefahren zu informieren, bevor man einen Anonymisierungsdienst einsetzt. Bei anonymisierenden VPN besteht z.B. häufig das Problem von IP-Leaks bei Verbindungsabbrüchen, und die Gefahr, dass anonymisierte und nicht-anonymisierte Daten miteinander in Verbindung gebracht werden können besteht unabhängig vom eingesetzten Anonymisierungsdienst.

    Tor eignet sich übrigens auch abgesehen von der erwähnten Schwachstelle prinzipbedingt kaum zum anonymisierten Austausch von Dateien über klassische Peer-to-Peer-Tauschbörsen. Nebst dem geringen Datendurchsatz kommen für Tauschbörsen oftmals UDP-Pakete zum Einsatz, während Tor nur TCP-Steams anonymisieren kann.

    Zitat Zitat von porcospino Beitrag anzeigen
    Da bleibt nicht viel übrig vom sicheren Tor. Anonym surfen mit Tor+Firefox+TorButton ist sicher, aber TorButton wird nicht mehr weiterentwickelt und ist nicht kompatibel mit FF 4 ff.
    Die dargelegten Probleme will ich an sich nicht bestreiten, jedoch scheint mir deine Schlussfolgerung seltsam. Wenn eine separate Anwendung wie z.B. Pidgin oder ein E-Mail-Client Daten oder DNS-Requests leakt, ist dies kein Tor-Problem, sondern ein Problem dieser Anwendung und/oder deren Konfiguration. Tor an sich ist lediglich für die Anonymisierung von TCP-Streams verantwortlich. Insbesondere dann, wenn man nicht die offiziellen Tor-Browser-Bundles nutzen möchte und eigene Anwendungen anonymisiert nutzen möchte, sollte man sich zuvor genau über mögliche Probleme informieren und selbst Tests des fertigen Setups durchführen. Schliesslich treten viele der angesprochenen Probleme vollkommen unabhängig von Tor auf.

    Übrigens wird Torbutton zwar mittelfristig wohl eingestellt (wie https://lists.torproject.org/piperma...ead.html#20077 zu entnehmen ist), die aktuelle Entwicklerversion von https://www.torproject.org/torbutton/index.html.en unterstützt jedoch Firefox 4.

  12. #12
    ex-Moderator Avatar von aNtiCHrist
    Registriert seit
    May 2000
    Beiträge
    24.175
    Danksagungen
    28

    Standard Re: Tor wirklich so sicher?

    Zitat Zitat von porcospino Beitrag anzeigen
    Auf der Back-Hat 2009 wurde ein Paper vorgestellt, das den erfolgreichen Angriff auf SSL-verschlüsselte Verbindungen demonstrierte.
    Das hast du wohl falsch verstanden. sslstrip kann keine SSL-Verbindungen angreifen. Es kann lediglich HTTPS-URIs in unverschlüsselt übertragenen Webseiten auf HTTP oder ähnliche Hostnamen umschreiben und so ggf. eine SSL-Verbindung zu dem gewünschten Ziel sabotieren. Wer jedoch URIs manuell eingibt, über ein Lesezeichen aufruft, oder sie wenigstens vor der Eingabe von Daten auf Korrektheit von Domain und SSL-Status überprüft, der ist auch durch sslstrip kaum einer Gefahr ausgesetzt. Das einzige Problem sehe ich in Verbindung mit unsicheren Webapplikationen, die zur Authentifizierung genutzte Cookies nicht ausschließlich für HTTPS-Verbindungen setzen. Dort könnte dann ggf. sslstrip durch Anklicken eines solchen manipulierten Links zur Übertragung der Authentifizierungsdaten im Klartext sorgen. Das gleiche Problem hätte man allerdings auch so, wenn irgendjemand den Browser dazu bringt, einen beliebigen passenden HTTP-URI unter der Domain aufzurufen. Etwa indem ein solcher URI in einem img-Element in einer anderen Seite eingebaut wird. Dazu ist also nichtmal das Manipulieren von übertragenen Webseiteninhalten nötig (auch wenn das die Sache deutlich einfacher macht).

    Korrekt und sehr sinnvoll ist natürlich der Hinweis, die Dokumentation zu Tor zu lesen. Das sollte eigentlich für jede Software mit Sicherheitsbedeutung selbstverständlich sein. Den angedachten Einsatzzweck, die Nichtübermittlung der eigenen IP-Adresse an die Gegenstelle durch den Aufbau von TCP-Verbindungen über dynamische, geschachtelt verschlüsselte Routen über mehrere Knoten, erfüllt Tor jedenfalls und es ist dabei wohl auch an Verlässlichkeit kaum zu überbieten. Dem widerspricht auch keine der von dir genannten Webseiten. Welche Daten nun über solch eine Verbindung übertragen werden und ob diese Daten ggf. zur Identifikation des Tor-Nutzers führen können, ist nicht mehr der Aufgabenbereich von Tor. Hier wäre bei der Nutzung von Firefox etwa Torbutton gefragt. Prinzipiell muss man sich bei jedem Programm informieren, was für Daten es in der genutzten Konfiguration senden kann und ob diese Daten problematisch sein können. Hinzu kommt wie von Kugelfisch23 bereits erwähnt, dass Anonymität und Vertraulichkeit getrennt zu betrachten sind. Die beiden Ziele sind prinzipiell sogar eher widersprüchlich. Eine möglichst direkte (verschlüsselte) Verbindung dürfte die Anforderungen an die Vertraulichkeit schließlich meist am verlässlichsten erfüllen.

    Ergänzung: Die teilweise inhaltliche Überschneidung dieses Beitrags mit dem letzten Beitrag von Kugelfisch 23 liegt daran, dass ich ihn bereits gestern abend verfasst hatte, jedoch vergessen hatte, ihn abzusenden.
    Geändert von aNtiCHrist (28. 05. 2011 um 17:30 Uhr)

  13. #13
    Gesperrt
    Registriert seit
    Mar 2011
    Beiträge
    1.445
    Danksagungen
    9

    Standard Re: Tor wirklich so sicher?

    Ich frage mich gerade ob es unbedingt notwendig ist bei P2P auch Anonymität zu haben. Soweit ich das überblicken kann würde es ja momentan schon reichen (um Abmahnkanzleien auszubremsen) wenn Verbidungen zwischen Peers komplett verschlüsselt wären so dass Außenstehende nicht feststellen können was zwischen einzelnen Peers übermittelt wird oder nicht?

    MfG
    Mr. J

  14. #14
    ex-Moderator Avatar von aNtiCHrist
    Registriert seit
    May 2000
    Beiträge
    24.175
    Danksagungen
    28

    Standard Re: Tor wirklich so sicher?

    Das würde kaum helfen. Selbst wenn die Abmahnung erst bei einem konkreten Nutzdatenfluss von deinem Peer zu einem anderen erfolgen würde: Woher willst du wissen, dass dieser Peer nicht von einem Abmahner betrieben wird? Die Abmahner müssen ja keinesfalls Außenstehende sein (und sind es AFAIK bei den üblichen Methoden auch nicht). Wären es Außenstehende, müssten die ja zunächst mal den Datenfluss mitlesen können. Dazu müsste in den meisten Fällen schon ein Netzzugangsanbieter mitspielen, was für diesen dann rechtlich (und für dessen zukünftiges Überleben) sehr problematisch wäre. Die Nutzung von normalen Peer-to-Peer-basierten Filesharing-Diensten in Kombination mit Tor ist allerdings eh ziemlich unsinngig. Allein schon, weil Latenz als auch Datendurchsatz sehr zu wünschen übrig lassen. Auch ergeben sich schnell Datenlecks, weil ein Peer für eine uneingeschränkte Nutzbarkeit auch eingehende Verbindungen akzeptieren sollte und dazu anderen die eigene IP-Adresse mitteilen müsste. Diese Probleme ließen sich zwar im Einzelfall abstellen, aber sinnvoller wäre es wohl, gleich auf Filesharing-Dienste zu setzen, die für die anonyme Nutzung konzipiert wurden, oder aber zumindest nicht Peer-to-Peer-basiert sind.

  15. #15
    Mitglied Avatar von ykoopS
    Registriert seit
    Apr 2008
    Beiträge
    282
    Danksagungen
    0

    Standard Re: Tor wirklich so sicher?

    1. Tor ist ein Dienst zum anonymen Surfen. Diesen Zweck erfüllt es gut, wenn man das Torbrowser-Bundle verwendet. Den Browser gibt es kostenlos dabei und sicherer wird es durch Eigenarbeit nicht.

    2. Ob Googlemail, Safemail oder Facebook, man kann auf eine verschlüsselte HTTPS-Verbindung umstellen, dann kann der Exitnode nicht mehr mitlesen. Das oben geschilderte Mailhacken funktioniert so nicht.

    3. "Ein interessanter Gedanke. Vielleicht ist die IP-Anonymisierung überbewertet und es kommt eigentlich auf andere Dinge an? Muss ich mal drüber nachdenken."
    Der Mail-Provider kann den Inhalt deiner Mails lesen, die Behörden auch. Um das zu verhindern, musst du sie verschlüsseln.

  16. #16
    Mitglied
    Registriert seit
    Mar 2010
    Beiträge
    76
    Danksagungen
    0

    Standard Re: Tor wirklich so sicher?

    Tor ist ein Dienst zum anonymen Surfen. Diesen Zweck erfüllt es gut,
    Siehe https://www.torproject.org

    "Tor is for web browsers, instant messaging clients, remote logins, and more."

    "Tor is free software and an open network that helps you defend against a form of network surveillance that threatens personal freedom and privacy, confidential business activities and relationships, and state security known as traffic analysis."

    Dort ist keine Einschränkung auf "anonymes Surfen" zu erkennen, im Gegenteil.

    Ob Googlemail, Safemail oder Facebook, man kann auf eine verschlüsselte HTTPS-Verbindung umstellen, dann kann der Exitnode nicht mehr mitlesen.
    Nach Ansicht von S. Stamm (EFF) können Geheimdienste mit kooperierenden CAs gültige SSL-ZErtifikate erstellen. Ein von der NSA betriebener Bad Exit kann also kaum erkennbare man-in-the-middle Angriffe durchführen und auch SSL-verschlüsselten Traffic mitlesen. Das Paper von S. Stamm gibt es z.B. hier: https://www.privacyfoundation.de/blo...ileaks-teil-1/

    Der JonDoFox kann diese Angriffe zumindest teilweise erkennen und gibt eine Warnung aus. TorButton hat keine vergleichbare Funktion.

    Um die Sicherheit von SSL unter dieser Prämisse zu verbessern hat die EFF das Projekt SSL Observatory gestartet: https://www.eff.org/observatory
    Geändert von porcospino (31. 05. 2011 um 09:10 Uhr)

  17. #17
    Mitglied
    Registriert seit
    Apr 2011
    Beiträge
    380
    Danksagungen
    0

    Standard Re: Tor wirklich so sicher?

    Zitat Zitat von porcospino Beitrag anzeigen
    "Tor is free software and an open network that helps you defend against a form of network surveillance that threatens personal freedom and privacy, confidential business activities and relationships, and state security known as traffic analysis."

    Dort ist keine Einschränkung auf "anonymes Surfen" zu erkennen, im Gegenteil.
    Dann kannst du entweder kein Englisch oder du hast es nicht verstanden. Wenn es ein Tool ist, welches dir hilft, "dich gegen Netzwerküberwachung, welche deine Freiheit, Privatsphäre, geschäftliche Akrivitäten und Kontakte einschränkt, zu verteidigen", dann ist das doch nicht das Gegenteil von "anonymem Surfen"!

    Zitat Zitat von porcospino Beitrag anzeigen
    Nach Ansicht von S. Stamm (EFF) können Geheimdienste mit kooperierenden CAs gültige SSL-ZErtifikate erstellen. Ein von der NSA betriebener Bad Exit kann also kaum erkennbare man-in-the-middle Angriffe durchführen und auch SSL-verschlüsselten Traffic mitlesen. Das Paper von S. Stamm gibt es z.B. hier: https://www.privacyfoundation.de/blo...ileaks-teil-1/
    Was bezweckst du mit dieser Aussage? Anonymität und Datensicherheit sind doch unterschiedliche Dinge. Wo du in der Aussage irgendetwas zu Anonymität findest, kann ich nicht nachvollziehen.

    Zitat Zitat von porcospino Beitrag anzeigen
    Der JonDoFox kann diese Angriffe zumindest teilweise erkennen und gibt eine Warnung aus. TorButton hat keine vergleichbare Funktion.
    Und das macht er deiner Meinung nach wie, und warum ist dieser Ansatz zuverlässig?

    Zitat Zitat von porcospino Beitrag anzeigen
    Um die Sicherheit von SSL unter dieser Prämisse zu verbessern hat die EFF das Projekt SSL Observatory gestartet: https://www.eff.org/observatory
    Und die Abfrage findet natürlich SSL-gesichert statt, über die NSA-ExitNodes, da gibt es dann eine Liste von validen SSL-Zertifikaten?! Sehr sicher....

    - me

  18. #18
    Mitglied
    Registriert seit
    Mar 2010
    Beiträge
    76
    Danksagungen
    0

    Standard Re: Tor wirklich so sicher?

    Zitat Zitat von elson-elson Beitrag anzeigen
    Und das macht er deiner Meinung nach wie, und warum ist dieser Ansatz zuverlässig?
    Es ist das Prinzip von CertificatePatrol. Bei ersten Besuch einer SSL-secured Webseite wird das Zertifikat in einer Datenbank des Browsers gespeichert. Hat sich das Zertifikat bei einem späteren Besuch geändert, wird eine Warnung ausgegeben. Dabei wird anhand einer Heuristik bestimmt, wie stark die Warnung ausfällt.

    Wenn das Zertifikat fast abgelaufen war, musste es wahrscheinlich ersetzt werden, also nur eine Hinweis auf das abgelaufene Zert. Wenn ein lange nicht abgelaufenes Zertifikat überraschender Weise gewechselt wird oder seltsamerweise die CA wechselt, dann wird der Surfer deutlich gewarnt. Die Heuristik können die JonDo-Entwickler sicher besser erklären.

    Beim ersten Besuch einer SSL-secured Webseite kann man den Fingerprint selbst prüfen oder sich auf die CA verlassen. Dafür gibt es keine zusätzliche Validierung. Wie ich oben geschrieben habe: "..... kann diese Angriffe zumindest teilweise erkennen .....".

    Zum SSL-Observatory: Wenn man die Sicherheit einer SSL-Verbindung nur anhand von Daten überprüft, deren einzige kryptografische Sicherung in eben dieser SSL-Verbindung besteht, würde das Projekt wohl keiner ernstnehmen. Über die zusätzlichen kryptografischen Sicherungen kann du dich auf der Webseite des Projektes informieren.

    Was ich mit den Aussagen bezwecke?

    Die Frage ganz oben war, ob Tor sicher ist.

    Das kann man pauschal nicht beantworten, da Tor kein Selbstzweck ist, sondern immer mit einer Internet-Anwendung zusammen genutzt. Google Chrome + Tor oder BitTorrent over Tor sind zum Beispiel nicht sicher, weil die IP-Adressen der Nutzer ermittelt werden können.

    Außerdem sollte man meiner Meinung nach bei der Frage Sicherheit über schnüffelnde Exit nachdenken und dann kam die Diskussion bei ykoopS zum Thema SSL. Die Aussage "auf eine verschlüsselte HTTPS-Verbindung umstellen, dann kann der Exitnode nicht mehr mitlesen" von ykoopS ist meiner Meinung nach in dieser absoluten Formulierung nicht mehr richtig. Das wollte ich damit bezwecken.

    Eine möglichst direkte (verschlüsselte) Verbindung dürfte die Anforderungen an die Vertraulichkeit schließlich meist am verlässlichsten erfüllen.
    Man sollte also auch mal Tor nicht nutzen, wenn es nicht sinnvoll ist. ;-)
    Geändert von porcospino (01. 06. 2011 um 03:54 Uhr)

  19. #19
    ex-Moderator Avatar von Kugelfisch23
    Registriert seit
    Oct 2007
    Beiträge
    18.640
    Danksagungen
    401

    Standard Re: Tor wirklich so sicher?

    Zitat Zitat von porcospino Beitrag anzeigen
    Die Frage ganz oben war, ob Tor sicher ist.
    Das ist die etwas ungenaue Zusammenfassung im Thread-Titel, der Startbeitrag bezieht sich explizit auf die durch Tor gewährte Anonymität. Die Frage, ob Tor pauschal `sicher` sei, wäre auch wenig sinnvoll - es muss immer die Sicherheit in einem bestimmten Kontext gegen eine bestimmte Bedrohung bewertet werden. Die Anonymisierung von TCP-Streams durch Onion Routing leistet Tor nach aktuellem Wissensstand zuverlässig, mindestens ist mir kein realistisches Angriffsszenario bekannt.

    Korrekt ist natürlich, dass die durch Tor gewährte Anonymität bei falscher Konfiguration der zu anonymisierenden Anwendungen oder falschem Verhalten untergraben werden kann. Die Nutzung eines nicht korrekt konfigurierten Browsers oder das Mischen anonymisierter und nicht anonymisierter Daten sind typische Beispiele für solche Probleme. Das Problem ist jedoch wie erwähnt nicht Tor-spezifisch. Auch kann Tor u.a. durch die Beschränkung auf TCP-Streams und die Unmöglichkeit, eingehende Verbindungen von ausserhalb des Tor-Netzwerks anzunehmen, einige Anwendungen designbedingt nicht sinnvoll anonymisieren - dazu zählen praktisch alle Peer-to-Peer-Tauschbörsen, die nicht speziell zur Verwendung über das Tor-Netzwerk (über Hidden Services) entwickelt wurden, u.a. auch BitTorrent.

    Ich stimme dir selbstverständlich in sofern vollkommen zu, als dass es falsch wäre, ein anonymisierendes Setup als sicher (hinsichtlich der gewährten Anonymität) zu bezeichnen, bloss weil Tor als Teil des Setups benutzt wird. Das Tor-Browser-Bundle-Setup, ggf. um NoScript ergänzt, weist jedoch keine mir bekannten Probleme auf, welche die Anonymität des Benutzers gefährden würden. Selbstverständlich kann die Anonymität jedoch auch dort bei falschem Verhalten des Benutzers untergraben werden.

    Zitat Zitat von porcospino Beitrag anzeigen
    Man sollte also auch mal Tor nicht nutzen, wenn es nicht sinnvoll ist.
    Ja, selbstverständlich. Für Verbindungen, die nicht anonymisiert werden müssen, ist der Einsatz von Tor wenig sinnvoll. Nebst dem eingeschränkten Komfort, dem geringen Datendurchsatz und der Gefahr, IDS-Systeme (z.B. von Web-Bezahldiensten) durch die Tor-IP-Adresse auszulösen ist Tor der Vertraulichkeit der Daten gegenüber beliebigen Dritten - wie aNtiCHrist erwähnte - nicht zuträglich. Schliesslich dürfte in aller Regel der eigene Internetzugangsprovider hinsichtlich der Vertraulichkeit der übertragenen Daten vertrauenswürdiger (und im Zweifelsfall rechtlich weit einfacher greifbar) sein als ein unbekannter Tor-Exit-Node-Betreiber. Das hat jedoch keinen Zusammenhang mit der durch Tor gewährten Anonymität.

  20. #20
    Mitglied
    Registriert seit
    Jun 2011
    Beiträge
    9
    Danksagungen
    0

    Standard Re: Tor wirklich so sicher?

    Hallo Ihr, ich hab dazu auch ne Frage.

    Ich nutze Tor mit dem Browserbundle, und fühle mich eigentlich soweit anonym und sicher. Jetzt hab ich von den EverCookies gelesen, in wie weit können diese die Anonymität vom Tor-Browserbundle beeinträchtigen ?

    Das Better Privacy schaue ich mir auch nochmal an.

    Ist es sinnvoll, Tor und den Browser zusätzlich noch in der "Sandboxie" zu starten ?

  21.  
     
     
Seite 1 von 2 12 LetzteLetzte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •