Meine Kritik an „Sicher im Internet mit Tor für alle!“ hat einigen Widerspruch ausgelöst, auf das meiste bin ich dort in den Kommentaren eingegangen. Auf einen Kritikpunkt gehe ich gleich noch ein, aber zuerst geht es um den Unfug des Monats: Facebook will künftig auch direkt via Tor erreichbar sein. Was für ein Unsinn: erst anonym ins Internet, um sich dann per Realname bei einem Dienst anzumelden. Nee, jetzt wirklich? Was bringt die vermeintliche Anonymität, wenn man dann gleich wieder seinen Realname angeben muss – und die meisten das auch tun, weil sie ja mit Freunden kommunizieren wollen? Da die Verbindung zu Facebook sowieso verschlüsselt ist, muss man mit Tor auch nciht die konkreten Inhalte der Kommunikation vor lokalen Überwachern, Geheimdiensten o.ä. schützen. Man könnte damit höchstens Man-in-the-Middle-Attacken mit gültigen Zertifikaten abwehren, wie es gelegentlich in autoritären Regimen genutzt wird, aber beispielsweise Zertifikats-Pinning kann da auch helfen. All das hilft aber nicht, wenn der eigene Rechner mit einem Überwachungs-Trojaner verseucht ist. Der einzige Anwendungsfall ist, wenn man vor den lokalen Geheimdiensten verschleiern will, dass man überhaupt mit Facebook kommuniziert – unter Inkaufnhame des Problems, sich so evtl. erst recht verdächtig zu machen.
Nun, einen weiteren, für hiesige Anwender evtl. sinnvollen Anwendungsfall gibt es, aber der ist nicht kompatibel mit den Facebook-Richtlinien: Anlegen eines Nutzers mit Pseudonym und dann kräftiges (strafbares) herumtrollen.
Im Rahmen der Diskussion um meinen letzten Beitrag zu Tor hat @ProhtMeyhet noch einen Vorschlag für eine sichere Tor-Nutzung:
wir müssen eben nur einen weg finden automatisch einige "harmlose"** verbindungen über tor abzuwickeln. ein beispiel dafür sind url-shortener. jeder url-shortener schnorchelt mit welche webseiten ihr im detail (d.h. welche artikel auf nachrichtenseiten) aufruft. es wäre also schön solche weiterleitungen über einen proxy auflösen zu lassen, damit solche datenkraken ins leere laufen.
Auch dieser Vorschlag ist kurzsichtig. Auf den ersten Blick verhindert das, dass man sich wie erwähnt schädliche Software oder ähnliches installiert. Bei genauerer Betrachtung hilft das aber nicht: ein böser Exit-Node kann natürlich auch einen URL-Shortener auf ein anderes Ziel umleiten. Das Risiko bleibt.
Aber vor allem geht dieser Vorschlag von einer fundamental falschen Annahme aus. Denn er verhindert eben überhaupt nicht, dass der entsprechende Dienst protokolliert, welche Webseiten der Nutzer aufruft. @ProhtMeyhet geht wohl davon aus, dass diese Dienste dazu die IP-Adresse des Nutzers verwenden. Aber genau das machen sie eben nicht. Sie verwenden Cookies und andere Tracking-Methoden, und die IP-Adresse interessiert sie nicht die Bohne. Also: auch hier wägen sich die Nutzer mit Tor in „Sicherheit“, haben aber noch nicht mal Schein-Sicherheit sondern ein erhöhtes Risiko.
Viele Menschen mit gesundem Halbwissen glauben, dass man im Internet mittels IP-Adresse getrackt wird. Das ist aber nicht so, siehe Das ewige Geschrei um IP-Adressen.
Fazit: IP-Adressen werden nicht zum Tracking genommen. Sondern beispielsweise der (Facebook-)Account oder Cookies. Wenn sich jemand hier in Deutschland davon einen Schutz erhofft, dann hat er etwas falsch verstanden. Facebooks Tor-Vorstoß kann allenfalls Netzsperren umgehen, ein kleiner Schutz gegen Man-in-the-Middle-Attacken vor allem in autoritären Regimen sein und verschleiern, dass man überhaupt Facebook nutzt – dabei sollte man aber nicht vergessen, dass dies den Nutzer für entsprechende Geheimdienste aber erst recht verdächtig macht. Daher: Tor ist nichts für die Alltagsnutzung durch Max Mustermann und Bettina Beispiel, sondern für Leute die wissen was sie tun und dieses Werkzeug selektiv einsetzen. In autoritären Regimen mag das im Einzelfall jeweils anders sein, aber das ist ein anderes und ebenso sehr komplexes Thema.
Andreas Krey
Erm. Tor ist auch ein Schutz dagegen, daß der lokale Geheimdienst merkt, *daß* man mit Facebook kommuniziert, und nebenher in einigen Gegenden überhaupt erst eine Möglichkeit, das zu tun. (Du hast den Unterschied zwischen .com und .onion etwas knapp behandelt.)
Außerdem hast Du den use case 'pseudonym anmelden und dann den lokalen Behörden mißfallende politische Arbeit machen' ausgelassen.
Alvar Freude hat auf den Kommentar von Andreas Krey geantwortet
Da darf man aber auch nicht vergessen, dass die Tor-Nutzung entdeckt werden kann, und das dann u.U. (je nach Umgebung/Land/…) auch nicht gerade gesund sein.
Da Facebook seit einiger Zeit grundsätzlich via HTTPS geht, können lokale Behörden nicht feststellen, ob der Benutzer sich mit seiner Oma unterhält oder politische Arbeit macht.
Michael Schwarz
Du meinst: Verschlüsselung ist per se sinnlos, weil die Geheimdienste eh alles mitlesen können?
Nee? Oder? Du hast es nur etwas verkürzt dargestellt.
Alvar Freude hat auf den Kommentar von Michael Schwarz geantwortet
Nein, der Satz war komplett kaputt, habe ihn geändert.
Ich wollte damit sagen: die Verbindung zu Facebook ist sowieso verschlüsselt. Normalerweise können da Geheimdienste usw. nicht mitlesen – sofern die Verschlüsselung anständig implementiert ist, also kein RC4 zum Beispiel. Und dann ist zusätzlich Tor nicht nötig.
Sebastian Lisken
Es bleibt der Use Case, vor den lokalen Geheimdiensten oder anderen lokalen Kontrolleuren/Blockern zu verschleiern, dass man mit Facebook kommuniziert. An der Stelle hast du es mit deiner Ablehnung zu einfach gemacht, Alvar.
[Einschub: Dieses Einfachmachen erkläre ich mir teilweise mit deiner bedauerliche Festlegung deines Standpunktes zu Tor, die auf deiner Festlegung deines Standpunktes zur Speicherung von IP-Adressen beruht. Ich kann dir natürlich nicht deine Meinung ausreden, würde mir aber wünschen, dass du ein wenig respektvoller mit der Existenz anderer Meinungen umgehst, was konkret heißt, ein bisschen weniger „Hach“ oder „Heieiei“ oder was auch immer zu twittern und die Dinge im Blog etwas weniger felsenfest darzustellen. Das sind die Dinge, die ich hier bedauerlich finde. Jetzt aber wieder zu meinem Argument über jenen Use Case.]
Erstens reicht HTTPS nicht aus, denn es verschleiert bekanntlich nicht die IP-Adressen und Portnummern auf beiden Seiten, was zur Identifizierung des Ziels meistens ausreicht, sicherlich im Fall von großen Diensten wie Facebook und Twitter. Zweitens ist die Nutzung von Tor zwar nachweisbar, aber manchmal nicht oder zumindest weniger gefährlich, weil es eben nicht nur um die allertotalitärsten Szenarien geht. Außerdem kann vor dem Exit Node nur die Nutzung von Tor nachgewiesen werden, nicht das Ziel der Kommunikation (wobei man sich allerdings noch gegen Forensik wie Analyse der lokalen Browser-History schützen muss, aber der Tor Browser löscht diese schon einmal, und mit dem Tor Browser unter Tails gibt es auch keine temporäre Speicherung auf Datenträgern). Zwischen Client und Exit Node ist die Ziel-Adresse verschlüsselt (und Inhalte – im Fall von HTTPS natürlich unwichtig und bekanntlich oft als Mittel zur Vertraulichkeit auf dem gesamten Weg missverstanden), und vom Entry Node bis zum Ziel ist die Quell-Adresse verschlüsselt. Im Fall eines Hidden Services wie jetzt Facebook läuft die Kommunikation komplett im Tor-Netzwerk, und nur die Entry Nodes auf beiden Seiten kennen die IP-Adresse „ihrer“ Seite, an keinem Punkt auf dem Laufweg sind die Inhalte im Klartext, auch nicht bei der Nutzung von unverschlüsseltem HTTP. (Dies habe ich mir gerade schnell angelesen, hier ist also die Gefahr eines Irrtums meinerseits höher, aber wenn ich mich nicht irre, sind bei Nutzung von Hidden Services auch deine Argumente gegen Tor weitgehend entkräftet.)
Zusammengefasst würde ich deshalb sagen, dass auf allen Abschnitten der Kommunikation verschiedene Aspekte der Beobachtung entzogen sind, und auch wenn diese Verschleierung auf mehreren Abschnitten nicht vollständig ist (allerdings schon bei Nutzung von Hidden Services), ergeben sich doch je nach Situation und Lage des Angreifers potentiell wichtige Use Cases. Das Verhindern von Tracking am Ziel ist natürlich kein solcher Use Case (hier weist du zu Recht auf Cookies hin). Außerdem ist natürlich weiterhin Misstrauen gegenüber dem Ziel-Dienst angesagt, vor allem wenn er Facebook heißt. In dem Fall müssen also Pseudonyme verwendet werden, und das Nutzerverhalten muss sich von dem bekannten Nutzerverhalten der realen Person unterscheiden. Aber Tor ist hier nicht per se nutzlos, sondern ein notwendiger Baustein einer Schutz-Strategie, die noch weitere Punkte enthalten muss.
Joachim
Ich kann mich Sebastian Lisken nur anschließen, insbesondere auch seinem letztem Satz.
Alvar, dass ich mit jemandem (etwa Facebook) quasi öffentlich kommuniziere, das geht trotzdem niemandem sonst etwas an. Und nein, mit IP-Adressen hat das gar nichts zu tun.
Es sollte zu denken geben, dass Informationen über DPI der Provider etwa der Telekom, Netcologne, 1&1 usw. geheim sind. Antworten auf Nachfragen werden geschwärzt. Man muss davon ausgehen, dass der Provider jedes einzelne Internetpaket anfasst. Nachgewiesen wird das Paket etwa auch in Frankfurt und an anderen Internetknoten "auseinander genommen" (=DPI).
Tor verhindert diesen unrechtmäßigen Eingriff in private Kommunikation effektiv.
Hintergrund ab hier:
https://netzpolitik.org/2014/informationsfreiheits-behinderung-des-tages-wir-sollen-zur-bundesnetzagentur-kommen-nach-bonn/
Joachim hat auf den Kommentar von Joachim geantwortet
Nachtrag (und wenn es nur als Beleg dient, dass ich ... whatever):
Siehe Heise: Eigen-Tor. Gefahren der Tor-Nutzung im Alltag
http://www.heise.de/ct/ausgabe/2013-20-Gefahren-der-Tor-Nutzung-im-Alltag-2293262.html
Dem wäre nichts hinzuzufügen, bliebe die Wertung aus. Ob die NSA einen wirklich am Wickel hat, das hängt davon ab, was man denn tat. Ist das relevant, dann hat die NSA einen ohne Tor ziemlich genau so am Wickel. So wie jeder Exit-Node von Irgendwem betrieben werden kann, so kann jeder Internetknoten von Irgendwem betrieben oder korrumpiert werden.
Und das ist der springende Punkt:
Die Notwendigkeit, sich zu schützen zeigt auf, wie defekt das Internet heute ist. Dieser Punkt hat mit Tor wenig zu tun. Diese Situation Tor zuzuschreiben wäre wie der Versuch Windows seine (oft anfälligen) Programme vorzuwerfen.
Ob mit oder ohne Tor, man sollte wissen, was man tut. Ich denke, politisch ausgehandelte Regeln, etwa zum Datenschutz, werden helfen. Doch sie können keine Verbrechen verhindern. Dazu muss das Netz selbst sicherer werden. Tor ist dazu ein sinnvoller und ja, durchaus komplizierter, Versuch.