25 Exit-Knoten fahren Angriffe auf das Tor-Netzwerk

Informatiker aus Schweden haben rund zwei Dutzend Rechner ausfindig gemacht, mit denen Angriffe auf das Tor-Netzwerk versucht werden und die die von der Infrastruktur bereitgestellte Anonymität schwächen können. mehr... Netzwerk, Tor, Anonymität Bildquelle: Wiki Commons Netzwerk, Tor, Anonymität Netzwerk, Tor, Anonymität Wiki Commons

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Tor ist schon eine feine Sache, gerade in den heutigen Überwachungswahn.
Klar wird es keine 100% Sicherheit gegen Spionage geben. Man sollte es aber den Geheimdiensten und Co. auch nicht so einfach machen.
Die anonymen und verschlüsselten Netzwerke RetroShare, I2P und GNUnet gefallen mir zum Teil noch besser als das Tor-Netzwerk, bieten aber auch andere Funktionen.
Da bei diesen Netzwerken der Traffic komplett intern verschlüsselt abläuft, müssten solche Angriffe wie auf Tor kaum möglich sein.
Schön das sich Tor und die anderen anonymen Netzwerke stets weiterentwickeln und Zulauf bekommen.
 
@ContractSlayer: !? Auch der interne Verkehr bei TOR ist verschlüsselt. Es geht hierbei darum, dass ab dem Punkt, ab dem das Paket den internen Verkehr verlässt, verändert und damit gglfs zurückverfolgt werden kann. Das ist der Schwachpunkt, den jeder dieser Netze hat, die auf dezentrale Knoten setzen.
 
@TurboV6:
Während Tor hauptsächlich anonyme Proxyserver bietet, geschieht bei I2P primär alles innerhalb des Netzwerks. Der Vorteil dessen ist, dass dabei die Nutzdaten Ende-zu-Ende-verschlüsselt sind. Dies ist zwar auch bei Tor hidden services der Fall, nicht aber wenn man Tor einsetzt, um normale, öffentlich erreichbare Webservices zu benutzen. I2P kommt im Gegensatz zu Tor ohne zentrale Knotendatenbank (directory server) aus und ist somit vollkommen dezentral.
Bei [[RetroShare]]] handelt es sich um ein F2F/Darknet-Netzwerk das jedoch den Austausch von Informationen & Dateien mit nicht direkt verbundenen Freunden auf zweiter, dritter, vierter... Ebene ermöglichst. Freunde werden in der Freundesliste mittels RSA-Schlüsseln zuverlässig als vertraut identifiziert und authentifiziert.
I2P & RetroShare sind anderes aufgebaut als Tor auch was die Funktionen angeht. Eignen sich aber auch bestens um sich zu anonymisieren.
 
@ContractSlayer: ändert jetzt die Gesamtsituation dieser Lücke nicht. Es gibt immer einen Punkt, der ins Web muss. Und genau dieser Punkt ist angreifbar. Da hilft Dir der interne Weg wenig.
 
@ContractSlayer: tor alleine ist zwar nett, aber bietet immer noch keinen zuverlässigen schutz. lässt man tor innerhalb von tails laufen wirds schon besser - schränkt aber den alltagsgebrauch massiv ein.
 
@ContractSlayer: TOR ist so lange nicht praktikabel, solange 90 Prozent der Performance alleine für die Anonymisierung draufgeht.
 
@ContractSlayer: glaubt ihr wirklich, die behörden (NSA & co.) würden nix gegen pädophile machen? wenn tor wirklich so sicher wäre, würden alle päderasten dieser welt, der abschaum der menschheit, tor erfolgreich nutzen und nicht erwischt werden. ich bezweifel das. ich denke, die betreiber von tor wurden längst von staatlichen stellen unter druck gesetzt und zur herausgabe von informationen gezwungen, sprich: zur kooperation gezwungen. in der heutigen kranken welt darf es nicht solche tools, wie tor, geben, denn dann würde jeder machen, was er will, vor allem illegales. ich bin einer von denen, die nicht glauben, daß tor nicht schon längst überwacht wird.
 
@stereodolby: Ich gehe sogar noch einen Schritt weiter. E-Mails sind mittlerweile so verschlüsselbar, dass einem das Tor-Netzwerk nichts bringt. Somit gibt es nur zwei Seiten. Die einen, die es nutzen um illegales zu machen oder die anderen, die so einen Verfolgungswahnsinn haben, dass sie nicht einmal auf die Straße gehen dürfen. Denn gehen sie auf die Straße, kann sie ja schließlich auch jemand verfolgen oder überwachen. Diese sind aber die wenigsten. Somit kann man sehr wohl sagen, dass das System für die Illegalität benutzt wird. Das gleiche gilt natürlich auch für andere Systeme. Seht doch einfach den Internetzugang als Haustür an. Geht ihr ins Internet ist es so, als ob ihr vor die Haustür gegangen wärt...
Gruß
 
@Forster007: Doch es steht mir im öffentlichen Raum genauso zu, meine Verfolger abzuschütteln. Und genau das wird mit Tor ermöglicht.
 
@bgmnt: Na, das möcht ich sehen, wie du das im öffentlichen Raum machen kannst. Haste den einen abgeschüttelt, taucht der nächste auf. Da bist du ja nur noch dabei diese abzuschütteln, was aber nicht geht. Dafür leben einfach zu viele da draußen.... Aber wie schon gesagt, man müsste vermummt durch die Straßen laufen und den ersten verfolger abschütteln, wobei auch dass wieder um nur nachts geht, wenn die straßen dann mal wieder leerer werden... Dann ist überhaupt die Frage, was bringt einem, dass man angeblich nicht verfolgt werden kann? Die Antwort, weil es mich stört, zählt nicht, da dieses unter paranoid fällt. Also wozu ist es wichtig, dass, vor allem die Polizei, einem nicht nachverfolgen kann? Was bringt einem das? Gruß
 
@Forster007: Es ist meine Freiheit zu leben wie ich will, ohne, daß ich das begründen müsste. Wenn es mir nicht behagt beobachtet zu werden, dann habe ich dazu das Recht. Und es besteht ein essentieller Unterschied darin, ob ein gewisser personeller sowie finanzieller Aufwand notwendig ist mein Leben zu überwachen (weshalb die Überwachung relativ begründet sein dürfte) oder ob dies unter Generalverdacht permanent ohne Zusatzaufwand passiert. Wozu ist es für die Polizei denn wichtig, wofür ich mich interessiere? Ich möchte keinen Besuch der Staatsbeamten haben, nur weil ich nach Schnellkochtopfbombe und Rucksack im Internet gesucht habe. Der Grund kann vielfältige Ursachen haben. Entweder schreibe ich ein Buch, bin Journalist oder mich interessiert schlichtweg, wie die sogenannten Terroristen vorgehen. Nun mögen diese Begriffe für einige bedenklich wirken, doch wo ist die Grenze? In Deutschland ist zum Beispiel Homosexualität keine Außergewöhnlichkeit mehr, in Russland würde ich mich jedoch nicht öffentlich positiv zu dieser äußern. Dann bleibt auch die Frage, ob die Information auch bei der Polizei sicher wäre, was ich stark bezweifle. Bei dem einen ist es nur der Ehepartner, vor dem die Affäre geheimgehalten wird, bei dem anderen eine sexuelle Neigung, die er nicht öffentlich machen möchte, und bei wieder einem anderen ist es der Drogenkonsum und/oder dessen Probleme. Nicht umsonst gibt es Schweigepflichten für Ärzte, Anwälte, Psychotherapeuten, Seelsorger und andere. Wer in einem Glaskubus wohnen möchte darf dies gerne tun, doch dies von allen zu verlangen halte ich für anmaßend.
 
@bgmnt: Und wo ist das Problem, dass man das Internet als öffentlich ansieht? Wie schon gesagt, auf der öffentlichen Straße bist du auch Gläsern. Kann auch die Polizei oder sonst wer sehen, in welches Haus du gehst... Wo ist hier die Freiheit, von der du sprichst? Die Freiheit wäre, wenn man öffentlich (ist nur ein Beispiel) Nackt durch die Gegend laufen dürfte. Komischerweise ist das Verboten und darüber regt sich auch niemand auf. Freiheit wäre. Nein, die Gesellschaft funktioniert halt nur mit Einschränkungen der Freiheit und mit Regeln. Wieso diese nicht ins Internet übertragen? Und da ja so viele im Internet unterwegs sind, ist es der Polizei nicht möglich alle zu überwachen. Sondern maximal die Daten zu speichern und probehalber oder halt, wenn wirklich was illegales etc. gemacht wurde zu überprüfen. Wo ist also das Problem? OK, der Datenschutz ist ein Argument. Aber lieber hier die Energie hineinzustecken um diese sicherer zu machen, wird Energie in Demonstrationen hineingesteckt ...Zitat: "Und es besteht ein essentieller Unterschied darin, ob ein gewisser personeller sowie finanzieller Aufwand notwendig ist mein Leben zu überwachen (weshalb die Überwachung relativ begründet sein dürfte) oder ob dies unter Generalverdacht permanent ohne Zusatzaufwand passiert" Und genau das ist ja beim Internet das Problem. Solltest du was illegales machen und es wurde nicht abgespeichert, ist es nicht möglich, das Nachzuverfolgen. Im richtigen Leben hingegen hast du Spuren hinterlassen. Somit ist z.B. eine Vorratsdatenspeicherung für eine gewisse Zeit eigentlich Pflicht, um gegen Illegalität oder Terror, wobei die Terroristen andere Wege gehen, vorzugehen... Und immer mit Beispielen aus anderen Ländern zu kommen, ist auch ziemlich daneben. Wir leben ja schließlich hier und da gelten auch die Gesetze von hier. Und hier kannst du bedenkenlos nach Schnellkochtopfbombe suchen, ohne einen Staatsbeamten vor der Tür zu haben... Aber das ist scheinbar der Luxus, der einen Verblendet, das man es in Deutschland doch ziemlich gut hat... Gruß
 
@Forster007: Wenn ich mich im öffentlichen Straßenraum bewege, wird in der Regel nichts von mir aufgezeichnet und/oder für längere Zeit gespeichert. Es ist sehr unwahrscheinlich, daß sich auch nur wenige Stunden geschweige denn Tage später irgendwelche Passanten an mich erinnern (nicht umsonst sind Zeugenaussagen das kritischste Element vor Gericht). Die aktuellen Methoden zur Identifikation von Internetnutzern bei Gesetzesverstoß sind ausreichend und dem Zweck zu Genüge dienlich, eine Vorratsdatenspeicherung daher nicht notwendig. Zudem gilt GG Art 10.
Das Nacktsein in der Öffentlichkeit ist nicht verboten (§ 183 StGB).
Es gibt genügend ungeklärte Verbrechen. Keine (ausreichenden) Spuren zu hinterlassen ist auch heutzutage ein leichtes.
Die Polizei darf mich auch nicht grundlos durchsuchen und überwachen, warum sollte es also im Internet erlaubt sein? Weiterhin gilt auch GG Art. 13.
Tor ist auch dann dienlich, und eine totale Überwachung hinderlich, wenn GG Art. 20 Abs. 4 zum Tragen kommen müsste.
 
@bgmnt: "Es ist sehr unwahrscheinlich, daß sich auch nur wenige Stunden geschweige denn Tage später irgendwelche Passanten an mich erinnern (nicht umsonst sind Zeugenaussagen das kritischste Element vor Gericht)" Hier ist aber die Möglichkeit vorhanden, dich doch zu identifizieren. Das wäre übers Internet halt nicht der Fall.
Der § 183 StGB hast du wohl falsch gedeutet. Da Nacksein nun mal eine Erregung des öffentliche Ärgernisses ist, kann die Tat mit Freiheitsstrafe belegt werden. Steht übrigens im §183a. Somit ist es verboten, zumindest ist dass das Resultat daraus.
Nur weil es ungeklärte Verbrechen gibt, heißt es, och machen wir es den bösen Buben noch leichter... Komische Idee. "Keine (ausreichenden) Spuren zu hinterlassen ist auch heutzutage ein leichtes. " zu hast es in Klammern geschrieben "ausreichend". Es sind aber Spuren vorhanden. Jeder weiß, dass dieser es war, nur die Spuren sind nicht ausreichend. Nun will man das aber machen, dass die erzeugten Spuren ausreichend sind, ist es auch wieder verkehrt. Wieso verfolgen wir überhaupt Diebe etc.? "Die aktuellen Methoden zur Identifikation von Internetnutzern bei Gesetzesverstoß sind ausreichend und dem Zweck zu Genüge dienlich, eine Vorratsdatenspeicherung daher nicht notwendig." Na klar, deshalb kommen auch soviele ungestraft davon. Das Problem ist doch, dass es einfach zu viel ist und somit die illegale Tat erst nach ein paar Monaten aufgedeckt wird. Nur ist dann alles zu Spät, wenn die IP-Zuordnung schon wieder gelöscht ist... Und wie schon geschrieben. Hier in Deutschland ist das Tor-Netzwerk oder ähnliches halt nicht von Nutzen, da wir hier die Freie Meinungsäußerung haben, frei einkaufen dürfen usw. Wer sich nun verstecken will ist paranoid oder macht halt illegales. Ich beziehe mich hiermit, um es noch mal deutlich zu machen, auf die Leute, die in Deutschland leben... Gruß
 
@Forster007: Reines Nacktsein belästigt niemanden und ist daher nicht strafbar. Es ist nicht unüblich es bei einem Platzverweis zu belassen, wenn sich jemand beschwert, doch strafbar ist Nacktsein nicht.
Das Internet ist nicht national gebunden. Die Nutzung von Tor schützt daher vor Terroristen, denn diese können dann meine Position nicht ausspähen und daher keine Anschläge auf mich planen oder mich mit der Entführung von Leuten erpressen, mit denen ich in Kontakt stehe.
 
@bgmnt: na das Beispiel ist doch ein bisschen an der Nase herangezogen. Denn was will denn der Terrorist von dir? Selbst wenn er deine Adresse hat müsstest du auch erstmal das Geld haben und das muss der Terrorist auch erstmal wissen. Da der Terrorist aber durch die reine IP nicht deinen Standpunkt kennt ist das auch wieder hinfällig. Das gleiche gilt für die Kommunikation mit Freunden etc. Denn die Kommunikation kannst du ja verschlüsseln aber ob nun der Terrorist nun deine genaue IP Adresse kennt oder halt eine andere, ist auch egal... Und für die cracker bist du auch beim Tor Netzwerk nicht sicher. Also, wozu benötigt man hier in Deutschland das Netzwerk? Nackt sein ist verboten, ab dem Moment wo andere dabei sind, weil es eine Art der Sex Handlung fällt. Somit greift dein zitierte Paragraph. Gruß
 
@Forster007: Wofür es jemand benötigt, muss doch der Nutzer der es nutzt entscheiden. Vielfältige Gründe habe ich aufgeführt. Da auch Behörden Fehler machen und gegen Gesetze verstoßen, wissentlich, unwissentlich und fahrlässig, ist es doch jedem freigestellt sich seine Freiheiten zu garantieren. Und um noch ein markantes Beispiel zu nennen, der Informantenschutz wäre ein guter Grund.

Um mal aus der Wikipedia zu zitieren: "Nacktheit und damit auch Nacktsport in der Öffentlichkeit alleine ist daher in Deutschland (und der Schweiz) nicht strafbar." [http://de.wikipedia.org/w/index.php?title=Exhibitionismus&oldid=125719262 nach einem Urteil des BayObLG von Mitte 1998 (2 St RR 86/98)].
 
@bgmnt: Lese dir den Artikel bitte noch mal sorgfälltig durch und du wirst merken, das du falsch liegst. Natürlich ist es nicht so einfach. Wichtig ist hier, dass sich eine Person belästigt fühlt und schon wäre es Strafbar. Es ist halt einwenig Schwammig formuliert. In dem Sinne, wo kein Kläger ist auch kein Richter. Also: Wenn Kläger vorhanden ist auch ein Richter vorhanden. Somit kann man von einem verbot sprechen, auch wenn du recht hast, dass die reine Nacktheit nicht strafbar ist. Aber da nun einmal die Nacktheit und der entsprechende Kläger im Falle einer Klage Hand in Hand geht, ist es wiederum Strafbar.
Das Behörden Fehler machen ist klar. Aber das Terroristen nicht das Internet benötigen bzw. die Umwege benötigen um deine Freunde herauszufinden, wäre das Tor Netzwerk wiederum hinfällig. Da ist auch egal, ob die Behörden Fehler machen. Denn die Terroristen benötigen diese Behörden nicht! Die Frage bleibt immer noch, wozu benötigt man das Tor-Netzwerk? Bzw. bleibt die Aussage bestehen, dass es die paranoiden Leute nutzen oder die was illegales mit machen wollen. Ich habe übrigens nirgends geschrieben, dass man es verbieten sollte etc..., sondern ich zweifel den Sinn des ganzen an. Gruß
 
@stereodolby:
Tor ist nur eine Möglichkeit von vielen sich auf opensource Basis zu anonymisieren.
Neben den genannten Netzwerken: I2P, RetroShare, GNUnet gibt es noch weitere anonyme und verschlüsselte Netzwerke wie z.B. das Freenet Project, Turtle F2 und noch andere.
Die wirklich großen Fische egal ob pädophile, Drogenkartelle oder Terroristen kommunizieren an ausgemachten Treff-orten ohne Handy, Internet & GPS, meistens wird von dort noch ein zweiter Treffunkt ausgemacht. Da hilft auch die Überwachtungtechnik der NSA nichts.
Tor und Co. sind u.a auch für Länder gedacht, deren Meinungsfreiheit im Internet stark eingeschränkt sind und überwachen tut nicht nur die NSA sondern auch Unternehmen wie google, Microsoft und viele anderen Firmen die aus deinen Surf-Verhalten Profit machen wollen.
Ob du dabei zu Gläsernen Menschen wirst, ist denen so was von scheiß egal.
 
@ContractSlayer: Mit dem eingrenzen der Meinungsfreiheit ist ein Grund, das Netzwerk zu nutzen. Aber besteht dieser Grund in Deutschland oder entsprechenden Ländern? Ob du für die Unternehmen ein Gläserner Mensch bist liegt doch vollkommen bei dir und hier gilt auch wieder das gleiche wie beim reellen Leben. Denn im Laden kann der Verkäufer dich ja schließlich auch sehen und auch wieder erkennen und somit ein Profil erstellen. Dann ist es doch jedem selbst überlassen, was er für Daten ins Internet stellt. Grundsätzlich bekommt aber so ein Unternehmen nicht eine Adresse etc raus, sofern du sie nicht veröffentlichst, sondern nur das, was du da auch preis gibst. Also, wozu wird Tor oder ähnliches benötigt? Gruß
 
Es wird mal langsam Zeit, dass sich eine OpenSource Gemeinde zusammenschließt und ein neues Protokoll entwickelt, dass dann nicht für die Öffentlichkeit zugänglich gemacht wird. Tools wie TOR sind schön und gut, aber wie man sieht werden die auf Dauer auch immer unsicherer. Und nur weil es keine Berichterstattungen gibt, heißt es nicht, dass da nicht irgendwas im Hintergrund passiert. Ich hab es langsam eh aufgegeben irgendwas zu verschlüsseln oder sonst was, die können mich langsam mal. Geschwindigkeitseinbußen und am Ende hat es doch nichts gebracht!
 
@crimey: Wenn es OpenSource ist kann es doch wieder jeder verwenden...was willst du denn? Und damit Verschlüsselung schnell läuft, muss es von der Hardware unterstützt werden (was bei den meisten heute der Fall ist, sogar in Smartphones) aber da musst du auch wieder dem Hersteller vertrauen....
 
@crimey: Die "OpenSource Gemeinde" soll also etwas entwickeln, und es dann nicht als OpenSource zur Verfügung stellen? Erscheint mir sehr unwahrscheinlich. Außerdem ist "Security through Obscurity" auch keine Lösung. Dann schon nach Kerckhoffs’ Prinzip und mit asymmetrischer Verschlüsselung die pro User einmalig mit Public- und Privatekeys.
 
@Thanatos81: Ihr habt das was falsch verstanden: Ich schrieb die OpenSource Gemeinde sollte sich zusammenschließen, sprich eine Gruppe aus der OpenSource Gemeinde sollte etwas entwickeln und das sollte dann natürlich nicht als OpenSource Projekt behandelt werden. Sprich Entwickler, die nicht unter der Fittiche von irgendwelchen Betreibern stehen sollen da mal was starten. Und wenn ich über VPN nur 1/4 von meiner 100 Mbit Leitung nutzen kann und nicht sicher bin ob das nicht sowieso abehört wird, dann lass es ich gleich bleiben.
 
@crimey: Deine jeweils letzten Sätze zeigen den Erfolg, den die "Belauscher" erreichen wollen: wenn alles (auch mit wenig Erfolg) Angreifbar ist, will sich keiner mehr überhaupt um Sicherheit bemühen. Du schreibst genau die zu verallgemeinernde Weisheit: "wenn das sowieso abehört wird, dann lass es ich gleich bleiben". Ich gebe zu, dass es mir genauso geht, trotzdem bin ich dankbar für alle Projekte, die sich diesem Problem annehmen. PS: ein (+) von mir, für die verständliche Skepsis.
 
@ZappoB: Erfolg der Belauscher hin oder her, ich hab zum einen im privaten Umfeld sowieso keine wichtigen Dinge, die ich abwickel, die verschlüsselt werden müssen. Ich hab den Spaß ne Zeit lang mit VPN mitgemacht, aber nachdem dann irgendein VPN-Anbieter ein paar Leute auffliegen ließ, hab ich mir gedacht, ich kann mir das auch gleich sparen. Zum anderen lebe ich nach dem Motto, wer meine Daten will, der wird diese auch früher oder später bekommen. Solang die Anbieter nicht wenigstens mal die 2-Wege authentifizierung einführen, ist sowieso alles ein großer Witz. Es wird doch immer nur gejammert, ohh hier die pösen Hacker und weiß Gott nicht was alles, aber was wird getan? Nichts. Alles bleibt beim alten und das schon seit Jahren.
 
@crimey: Bitte nicht Hacker mit Cracker vertauschen. Hacker sind im Grunde ganz liebe und nette Menschen, die auch niemanden was böse wollen. Sie wollen nur helfen und suchen dann die Lücke, um sie aber zu schließen und nicht auszunutzen. Cracker hingegen wollen dies auch ausnutzen. Die sind also die bösen Buben. Nur mal so als klar Stellung! Gruß
 
@crimey: Wenn der Quellcode nicht öffentlich ist, sondern nur innerhalb der "Gemeinde" sichtbar, wer garantiert dann, dass das nicht überwacht wird? Niemand.
 
@dodnet: Sicherheitsexperten können das ja Gegenprüfen. Braucht ja keiner den Quellcode zu kennen. Auf jeden Fall würde ich mich sicherer fühlen, als es jetzt der Fall ist, wo die NSA überall ihre Hintertürchen eingebaut haben.
 
@crimey: Und wer überprüft diese "Sicherheitsexperten"? Unsere Regierung? AHAHAHAHAHAHAHAHA...
 
@dodnet: Wozu willst du die überprüfen? Die haben sich ihre Titel nicht irgendwo beim Dealer an der Ecke gekauft. Naja wie ich sehe bringt es sowieso nichts mit euch zu diskutieren, der selbe "Stuss" wie immer, aber dass die derzeitige Verschlüsselung ein Witz ist, daran denkt wohl keiner. Naja wie dem auch sei, ein schönes Leben noch, als gläserner Mensch!
 
@crimey: Die Sicherheitsexperten in unserer Regierung haben sich den Titel sicher irgendwo erworben. Das Problem ist halt nur, dass da überall die NSA, BND, xxx mitliest. Was bringt dir also wenn da einer mit dem Titel "Sicherheitsexperte" daher kommt und irgendwas testet, was keiner nachvollziehen kann und trotzdem Hinz und Kunz mitliest?
 
@dodnet: Wer sagt denn was von "UNSERER" Regierung? Gibt genügend eigenständige Firmen, Freelancer und und und. Wenn es nach dir ginge, bräuchte ich ja auch kein Virenscanner, wer weiß was die sich ausdenken und wen sie alles durchlassen. Sprich alles beim Alten belassen aber weiter rumheulen! Have fun!
 
gab schon genug re: ... ich war zu spät ;)
 
@crimey: Gerade die Tatsache, dass alle den Code auf Backdoors überprüfen können, ist doch ein enormer Sicherheitsgewinn. Umgekehrt ist ein Closed Source-Projekt überhaupt kein Garant dafür, dass es nicht von NSA und Co kompromittiert werden kann (selbst wenn es irgendwelche Sicherheitsexperten gegenprüfen)!
 
@Nimnz: Jungs, was wollt ihr von mir hören? Das war ein kleiner Gedanke. Hätte ich hier einen Business-Plan für eine Abhörsicheres Protokoll, würde ich meine Zeit sicherlich nicht hier verschwenden. Fakt ist, dass derzeit viel von der NSA entschlüsselt/mitgehört werden kann und wird. Und wie wird dagegen vorgegangen? Mit VPN und TOR, JUHU, bis in paar Monaten wieder Enthüllungen kommen, dass die NSA trotzdem mithört und irgendwelche Botnetze das System lahmlegen konnten. Hört auf jetzt hier rumzujammern, wie schlecht die Idee doch ist. Und wie gesagt, es ist eine Idee, welche in der Umsetzung wahrscheinlich nicht realisierbar ist, dennoch würde ich mich besser fühlen, wenn das ein paar Leute machen, als irgendwelche Staatlichen Organisationen. Haben halt die paar Freaks Zugang, besser als alle Geheimdienste auf dieser verhunzten Welt. Wenn ich den Code einsehen kann, weiß ich wie die Algorythmen aufgebaut sind, somit kann ich das nachvollziehen und früher oder später auch kompromittieren.
 
@crimey: Dann sollte die Forderung doch wohl eher lauten, dass ein paar unabhängige Entwickler schlicht und einfach ein neues, sicheres Open Source-Protokoll entwickeln sollten. Dagegen würde ich ja auch nichts sagen. Mich störte ja lediglich der Closed Source-Aspekt.
 
@Nimnz: Soweit ich weiß, ist OpenSource für jeden frei zugänglich. Ich wüsste nicht, was die NSA daran hindern soll, dieses dann einzusehen und somit sofort zu wissen, wie da gearbeitet wird. Im Gegensatz dazu, wäre ein proprietäres System erst einmal eine Hürde, weil diese nicht nachvollziehbar ist. OpenSource ist vielleicht gut für Bugfixes, aber beim Thema Verschlüsselung kann ich das nicht gut heißen. Wir brauchen uns jetzt auch nicht drum streiten, denn so tief steck ich in der Materie nicht drin, aber so ist es, meiner Ansicht nach, am geschicktesten.
 
@crimey: Sehe ich nicht so! Sollten sich diese "unabhängigen Entwickler", die dieses Projekt entwickeln nämlich einmal bestechen oder gar zum Einbau einer Backdoor zwingen lassen, könnte das dank Closed Source dann niemand mehr nachvollziehen. Das wäre dann praktisch ein Eigentor. Abgesehen davon sind sowohl Tor als auch jeder als "sicher" deklarierte Verschlüsselungsalgorythmus Open Source. Und trotzdem müssen die Behören weiterhin eigene Tor-Knoten bereitstellen, um Datenverkehr abzufangen oder Passwörter Brute-Forcen. Nur weil der Code für ein Protokoll oder ein Programm offen liegt, heißt das also nicht, dass es deswegen unsicher oder angreifbarer ist.
 
@crimey: du verstehst das falsch: OpenSource bedeutet ja nicht, dass es angreifbar ist, sondern nur dass sich jeder den Quelltext anschauen und selbst überprüfen kann, ob da Sicherheitslücken oder Hintertüren drin sind. Genau das ist der Vorteil von OpenSource, bei ClosedSource kann sonstwas drin sein und kein Mensch merkt es. Übrigens gibt es ja auch viele Sicherheitstools, die Opensource sind, TrueCrypt z.B., und die sind sicher.
 
@dodnet: TrueCrypt ist vielleicht sicher um Daten vor Privatpersonen zu schützen, aber ich glaube kaum, dass Einrichtungen wie NSA Probleme haben, die Verschlüsselung zu knacken. Auf heise.de war mal ein Artikel vom November 2013, in dem ein Tool vorgestellt wurde, dass schwache Passwörter, binnen weniger Minuten knackt, dank GPU. 413.000 Kombinationen pro Sekunde bei einem Privatrechner, man kann sich ausdenken, was die SuperComputer dann schaffen. Naja man darf gespannt sein, welche Enthüllungen als nächstes kommen. Ahja, wieso hat eigentlich Snowden nicht einfach den Ball flach gehalten sondern ist in die Öffentlichkeit? Gibt scheinbar doch noch gute Menschen, aber lieber OpenSource, ist 1000 Mal sicherer.
 
@crimey: Passwort mit 6 Stellen: keine Sekunde, Passwort mit 20 Stellen: Jahrtausende.
 
@shriker: Bezogen auf Privatrechner? Ja, aber bei Supercomputern, eher nicht!
 
@crimey: bezogen auf 50Gh/s Rechenpower, Privat Graffikkarte: 300Mh/s (Radeon HD 7979 GHZ)
 
@crimey: Das hat aber nichts mit Open Source oder nicht Open Source zu tun. Ein Bruteforce-Angriff lässt sich sowohl bei proprietären als auch bei offenen Algorythmen durchführen.
 
@crimey: Was hat das denn jetzt mit OpenSource zu tun? Man kann JEDES Passwort irgendwann mal knacken, selbst Iris, Fingerabdrücke o.ä. lassen sich mit ausreichender Rechenleistung und Zeit irgendwann mal knacken. Das hat aber rein gar nichts mit OpenSource oder ClosedSource zu tun, sondern ist eine reine Bruteforce-Attacke, d.h. man probiert einfach alles mögliche der Reihe nach aus. Man kann genauso jedes noch so sichere Schloss oder jeden noch so dicken Tresor knacken, wenn man nur genug Schlüssel durchprobiert oder einfach Sprengstoff verwendet...
 
@dodnet: Na also, sagst ja nun selbst, dass es keinen Unterschied macht, aber bestehst trotzdem auf OS? Und das hat sich nicht auf OpenSource bezogen, sondern auf dein sicheres TrueCrypt. Um jetzt mal einen Schlusstrich zu ziehen. Eine "Firma", die nun aus unabhängigen Entwicklern besteht, die für ihre Leistungen Geld kriegen, durch den Verkauf ihrer Software/Protokoll/Verschlüsselung, sind meiner Meinung nach motivierter, die Entwicklungen möglichst voranzutreiben, als es Hobby-Progger tun würden.
 
@crimey: Es macht beim Thema Bruteforce keinen Unterschied, aber die Argumente für Open Source liegen nunmal bei der besseren Überprüfbarkeit auf Backdoors. Die Vorteile von Open Source wurden doch bereits erläutert...Seit wann bedeutet Open Source denn, dass niemand Geld für seine Arbeit bekommt? Es gibt genug Firmen, die Kohle mit OS-Software verdienen. Ob aber nun das Geld so entscheidend dabei ist, wie sicher man seine Programme gestaltet, sei mal so dahin gestellt. Vor allem, da sich wirtschaftliche Unternehmen noch viel einfacher dazu zwingen lassen, ihre Software mit Hintertüren zu versehen.
 
@crimey: Du schmeisst hier Dinge zusammen, die nichts miteinander zu tun haben. Nur weil ein Produkt Opensource ist, heißt das noch lange nicht, dass da keine Firma dahinter steht, die ggf. damit Geld verdient. Siehe z.B. Mozilla. Also Negativbeispiel kann man z.B. MySQL sehen, welches mal OS war, von Oracle aber immer mehr ins Closedsource wechselt. Das entscheidende Problem bei ClosedSource-Programmen ist, es kann keiner definitiv sagen, dass hier keine Hintertür drin ist, die das ganze so toll verkaufte Sicherheitskonzept einfach mal aushebelt. Wenn du eine Verschlüsselungssoftware von einer Firma kaufst und die können deine Dateien einfach mit dem Passwort 123 entschlüsseln, ist das ganze einen Furz wert. Genau das kann dir bei OS nicht passieren, weil da derjenige der sich den Code anschaut, diese Hintertür sofort sehen würde.
 
das mit der manipulation ist unsinn...der exit-knoten weis nur, an welche adresse die pakete gehen, und zu welchem knoten die antworten sie zurückgeschickt werden(und den inhalt der pakete,wenn diese unverschlüsselt sind)...um alle anderen infos liegt sozusagen ein kryptographisch ungebrochenes starkes briefpapier, daß nur der jeweilige quellknoten wieder öffnen kann...so weis der endknoten noch nicht mal den weg, den die pakete durch das tornetz nehmen werden, geschweige denn wo sie es wieder verlassen...auch wenn nur ein knoten dazwischen liegt...identifiziert werden kann man so also nur über den paketinhalt zb mithilfe von browserkennung, verschiedenen cookie-arten, unsicheren plugins usw...desw nutzt man auch genau das tor-browserpaket so wie es ist, ohne irgendwelche zusätzlichen erweiterungen, plugins zuzulassen, updates zu installieren,usw....
 
@Rulf: Jein, man braucht nur noch einen Hop dazwischen und man weiß wer da gerade surft.
 
"So wurden beispielsweise zwei Knoten ausgemacht, deren einziger Zweck offenbar darin besteht, Tor-Nutzer nicht auf Webseiten mit pornografischen Inhalten zu lassen." Stichwort Pornofilter? ;)
 
@Sh4itan: ist das nicht sogar eine Option im Tor Client/Server? Wenn man ein Exit knoten laufen hat kann man doch entscheiden wohin der Traffic darf und wohin nicht. Oder bezog sich das nur auf Services? Ist eine weile her das ich den mal laufen hatte..... paar jahre ...
 
@Hausmeister: Kann ich dir nicht sagen, ich habe es bisher noch nicht genutzt. Ich bezog mich eher auf den "Filter-Wahn" der großen Insel über uns. ;)
 
Also entweder muss auf lange Sicht das bestehende Konzept überarbeitet werden oder die Entwickler bemühen sich darum, solche Knoten aufzuspüren und vom Netzwerk auszuschließen.
 
irgendwie kann ich mir nicht vorstellen, dass das tor netzwerk noch nicht von der nsa infiltriert sein soll, ka wieso..
 
@tony marshall: sie versuchen es, schaffen es aber nicht, bzw sehr schwer da etwas herauszufinden allerdings kann man tor auch innterhalt der tornetzten nutzen, zum Beispiel um auf die Silkroad (die es nichtmehr gibt) zu kommen, da könnte die NSA, selbst wenn wenn die 2 Server dazwischen der NSA gehören, nichts machen.
 
Ich habe mal ein frage wenn man einem Exit Node in Deutschland betreibt dann kommt man doch eigentlich automatisch zu dem Punkt der Störerhaftung, oder?
 
@Menschenhasser: nicht unbedingt: http://www.gulli.com/news/11455-anonymitaet-triumph-fuer-tor-vor-gericht-2009-10-30 Allerdings ging es hier um Strafrecht und nicht um Zivilrecht, wo man sein Unschuld beweisen muss.
 
Das unterschiedliche Verhalten der betroffenen Nodes als Beweis dafür heranzuziehen, daß die NSA nicht dahintersteckt, halte ich für äußerst gewagt. Wer sagt denn, daß die NSA die Nodes selbst betreibt? Vielleicht nutzen sie ja auch nur unterschiedliche Strohmänner, was imho eine mindestens genauso gute Erklärung darstellen dürfte. Natürlich ist es wohl möglich, daß die NSA ausnahmsweise mal nicht dahintersteckt, aber wer glaubt denn erntshaft daran? <eg>
 
@starship: 18 dieser Nodes befinden sich in Russland und nur einer in der USA.
 
@Evilbert: Das mag sein, ändert aber nichts an meiner Aussage.
 
ich würde eigentlich gern eine Exit node betreiben, bin mir aber über die möglichen rechtlichen folgen nicht ganz im klaren...
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles