Anonym im Netz mit Tor

Technischer Datenschutz, Teil 1

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Da durch die Vorrats- und Verbindungsdatenspeicherung der juristische Datenschutz für Telekommunikion in Zukunft und durch die Praxis der Zugangsprovidern gegenwärtig de facto nicht mehr vorhanden ist, gewinnen technische Möglichkeiten an Bedeutung, insbesondere da die Rechtslage vor allem im Hinblick auf Zensur, Verbote und Monopolrechte immer undurchsichtiger wird. Im ersten Teil der Serie soll die Benutzung von Tor zum anonymen Abruf von Sites im World Wide Web betrachtet werden.

The Onion Router, kurz Tor, ist ein Projekt der Electronic Frontier Foundation (EFF), das die Kommunikation über TCP/IP anonymisiert, nicht jedoch über UDP. Damit eignet sich Tor bestens zur Anonymisierung des Surfens in World Wide Web, aber auch andere Anwendung wie E-Mail-Versand und -Empfang, Instant Messaging und Bittorrent können torifiziert werden. Dazu ruft der Client auf einem Rechner von einem zentralen Server eine Liste von sogenannten Knoten ab, die das eigentliche Tor-Netzwerk bilden. Wer sich über den Client mit dem Tor-Netzwerk verbindet, hat die Möglichkeit, selbst einen Knoten anzubieten, jedoch ist dies nicht verpflichtend.

Danach startet der Client einen verschlüsselten TCP/IP-Abruf bei einem der Knoten, der wiederum ebenfalls verschlüsselt einen zweiten Knoten anfragt, dieser eine Anfrage bei einem dritten, den sogenannten Exit-Node, der dann die eigentliche Abfrage beim Zielserver unverschlüsselt vornimmt. Die Zahl der Knoten betrug in den letzten Monaten ca. 700, wobei die Zahl verfizierter schneller Exit-Nodes mit mehr als 20 kB/s bei ca. 250 liegt. Die Antwort des Servers läuft auf dem umgekehrten Weg zurück zum Client. Bei weiteren Anfragen werden die Daten auf anderen Wegen durch das Tor-Netzwerk geroutet, so dass der jeweilige Client nicht über die TCP/IP-Pakete selbst identifizierbar ist – in der Theorie. In den letzten Monaten wurden jedoch Möglichkeiten publik, mit denen genau dies möglich war – mehr dazu weiter unten im Text.

Da Tor selbst als Socks5-Proxy arbeitet und somit nur Anfragen an IP-Adressen stellen, nicht jedoch DNS-Anfragen durchführen kann, könnten bei direkter Verwendung von Tor in den Anwendungen die kommunizierenden Rechner über DNS-Abfragen identifiziert werden. Hierfür muss ein Socks4A-Proxy installiert werden, der genau diese Anfragen dann ebenfalls über Tor stellen kann. Die Entwickler empfehlen die Verwendung von Privoxy. Weitere Identifizierungsmöglichkeiten von Nutzern muss man meist mit anderen Mitteln entgegenwirken, zum einen sollte man sich Gedanken über die Annahme von Cookies sowie deren Gültigkeit machen, zum anderen empfiehlt sich in Firefox der Einsatz von weiteren Erweiterungen wie Adblock Plus, NoScript und SwitchProxy.

Betrieb unter Windows

Nach der Installation können Tor (Version 0.1.1.26) und Privoxy (Version 3.0.6) ohne weitere Probleme gestartet werden. Das Windows-Installationspaket arbeitet mit Vidalia 0.0.7, einer GUI auf Qt-Basis, damit Tor nicht händisch gestartet werden muss. Nach der Installation müssen die Programme, deren Internetzugriffe anonymisiert werden sollen, für die Kommunikation über das Tor-Netzwerk konfiguriert werden. Hier kommt es zu den ersten Schwierigkeiten: Weder Firefox 2.0.0.2 noch Internet Explorer 6 können mit den von der Projekt-Homepage angegeben Einstellungen betrieben werden.

Für Firefox gibt es jedoch die Erweiterung Torbutton, mit deren Hilfe die Nutzung des Proxy ein- und ausgeschaltet werden kann. Nach der Installation funktioniert die anonymisierte Kommunikation auf dem Testsystem mit den Standardeinstellungen. Grafiken und Skripte, die von anderen Servern kommen, werden dann automatisch blockiert, somit wird eine Profilerstellung durch Werbebanner und -skripte oder Webbugs zumindest erschwert. Allerdings muss man sich weiterhin Gedanken über die Annahme von Cookies im Browser machen.

Wer auf dem Rechner keine Software installieren darf, weil dieser öffentlich zugänglich ist, der kann Torpark nutzen. Nach dem Entpacken kopiert man Torpark z.B. auf einen USB-Stick und kann von dort aus das Programm, das Tor, Privoxy und Firefox enthält, mit einem Klick starten. Neben Torbutton sind weitere Firefox-Erweiterungen enthalten, die ein anonymisiertes Browsen in WWW erleichtern. Allerdings akzeptiert Torpark Cookies bis zum Schließen der Anwendung, d.h. wer sich Gedanken über die Anonymität bei Session-Cookies macht, sollte diese Einstellung noch ändern. Sehr erfreulich ist, dass bereits nicht- englische Spracheinstellungen mitgeliefert werden, nämlich französisch, deutsch und vereinfachtes chinesisch, weitere können nachgeladen werden.

Torpark kommt mit einer Reihe von Erweiterungen, die die Funktionen von Tor voll ausnützen und weiteren Schutz bieten

Betrieb unter GNU/Linux und BSD

Auf der Projektseite von Tor gibt es neben Paketen für die verschiedensten GNU/Linux- und BSD- Distributionen auch Anleitungen, wie man diese installieren oder selbst kompilieren kann. Das Versuchsystem war ein Debian Etch, für das die fertigen Pakete installiert wurden. Obwohl beim Start von Tor die Meldung erscheint, dass es nicht als root gestartet werden soll, ist ein Start als einfacher Benutzer nicht möglich. Des weiteren musste der Eigentümer des Verzeichnisses [Verzeichnisname: /var/lib/tor] geändert werden. Auch für Privoxy waren noch Änderungen notwendig, so das Einfügen einer Zeile in die Datei [Dateiname: /etc/privoxy/config], was so auch in der Anleitung beschrieben war. Beim Start von Privoxy (ebenfalls nur als root möglich) muss dem Befehl auch noch die Position der Konfigurationsdatei übergeben werden, also [Befehl: privoxy /etc/privoxy/config]. Der Betrieb von Firefox mit Torbutton war dann kein Problem mehr. Beim Neustart des Rechners wurden sowohl Tor als auch Privoxy gestartet, diesmal auch gleich mit der richtigen Konfigurationsdatei, Als Alternative bieten sich zwei Live-System an, die beide schon länger nicht mehr aktualisiert wurden:

Anonym.OS basiert auf OpenBSD und lässt neben Firefox auch das Chatprogramm GAIM über Tor laufen. Dort ist auch die Generierung einer zufälligen MAC-Adresse möglich, durch die eine Netzwerkkarte identifiziert werden kann. Beim Test zeigte sich diese jedoch nicht für den Einsatz mit grafischer Oberfläche geeignet. Besser funktioniert das auf Knoppix 4.0.2 basierende Phantomix. Dort fallen allerdings neben den veralteten Versionen die Einstellungen von Firefox negativ auf: Cookies werden prinzipiell immer akzeptiert, und es sind keine Erweiterungen wie bei Torpark installiert, so dass das Nutzerverhalten über verschiedene Mechanismen unter Umgehung des Tor-Netzwerks protokolliert werden kann.

Hidden Services in TOR

Neben dem anonymen Surfen im World Wide Web ist es auch möglich, anonym Daten im TOR-Netzwerk zum Abruf bereitzustellen. Hierzu muss der Anbieter einen lokalen Webserver betreiben, der dann von anderen Nutzern im Netzwerk über eine Anfrage mit der Pseudo-TLD .onion angefragt werden kann. Der Anbieter muss dann die Konfigurationsdatei von TOR anpassen, worauf beim nächsten Start ein Paar aus öffentlichem und nichtöffentlichem Schlüssel erzeugt wird. Durch den öffentlichen Schlüssel kann dann der Hidden Service aufgerufen werden, z.B. http://6sxoyfb3h2nvok2d.onion/. Die Daten werden im Gegensatz zu Freenet nicht gespiegelt und sind nur während des Laufens von TOR auf dem Rechner des Anbieters verfügbar. Durch den Betrieb eines Webservers kann jedoch ein Angreifer bestimmte Informationen über den Rechner herausfinden, u.a. über das Betriebssystem, dessen Version, sowie den Webserver und dessen Version.

Performance von Tor

Das Surfen im WWW wird durch den Betrieb von Tor gegenüber dem direkten Zugriff deutlich verlangsamt. Einige Beispiele beim normalen Betrieb von Tor bei Vorhandensein einer 128/1024 kBit/s-DSL-Leitung, ohne selbst einen Exit-Knoten bereitzustellen: Das Laden eines Clips bei YouTube mit einer Länge von 3:26 dauerte ohne Tor 0:40 und mit Tor 5:30. Der Download von Torpark dauerte ohne Tor 1:40, was einer durchschnittlichen Downloadgeschwindigkeit von 112 kB/s entspricht, während es mit Tor mit 12:50 und 14,6 kB/s bei einer maximalen Rate von 26,6 kB/s an, nun ja, Analogmodemzeiten erinnerte.

Schwachstellen in Tor

In den vergangenen Monaten gab es einige erfolgreiche Angriffe auf das Tor-Netzwerk, größtenteils unter Laborbedingungen. Beim 23C3 dokumentierte der Sicherheitsexperte Steven J. Murdoch, wie Rechner mit Hilfe von TCP-Zeitstempel eindeutig identifiziert werden können. Durch leichte Abweichungen der TCP-Zeitsignale, die durch Temperatur und Rechenlast der Prozessoren hervorgerufen werden, konnte er in Gruppen von bis zu wenigen hundert Rechnern bei Beobachtungen von mehreren Stunden einzelne Rechner eindeutig identifizieren. Dies gelang ihm auch über Tor-Server hinweg, da die Taktabweichung über Router hinweg verfolgt werden kann. Wesentlich schwerwiegender ist die Erkenntnis von Wissenschaftler der University of Colorado: Da Tor von den Knoten Performance-Parameter erhält, die den Datenverkehr über das Netzwerk optimieren sollen, kann ein Angreifer mehrere Knoten in das Netzwerk einbringen, die gefälschte Daten übermitteln. Durch die Vorspiegelung einer großen verfügbaren Übertragungsrate können diese Knoten dann einen Großteil des Datenverkehrs auf sich ziehen, was die Wahrscheinlichkeit erhöht, dass das Routing vollständig überwacht werden können. Im Labor konnten die Forscher bei insgesamt 60 Tor-Knoten und der Kontrolle von wenigen Knoten bis zu 46% des Netzverkehrs zuordnen. Ohne die Fälschung der Daten über die freien Ressourcen ist dies nur für weniger als 1% möglich. Angreifer mit großen Ressourcen können damit das Netzwerk aushebeln, die Forscher sprechen von Ermittlern gegen Kinderpornografie und die RIAA, die Verbreiter von Kopien verfolgen wollen. Das Problem wurde von den Tor-Entwicklern in der Vergangenheit als „China-Problem" bezeichnet, da die chinesische Regierung aktuell den Internetverkehr am restriktivsten handhabt. Hierzu auch ein Auszug aus einer alten Version der FAQs zu Tor:

"Das 'China-Problem' ist ein Extrembeispiel für ein Anonymisierungs- und Zensurumgehungssystem: Ein Gegner, der auf allen Ebenen agiert, mit vielen Arbeitskräften und Geld ausgestattet ist und strenge Strafen verhängt, sollte jemand versuchen, das System zu umgehen. Wir arbeiten gerade nicht an diesem Problem. [...] Das 'Anfangsentdeckungsproblem' besteht allerdings weiter: Wir brauchen einen Mechanismus, um Dissidenten freiwillige [TOR-]IP-Adressen mitzuteilen, ohne dass der Gegner sie benennen kann. Im Allgemeinen ist das ein großes Problem, wenn wir annehmen, dass dem Gegner mehr Resourcen als unseren Benutzern zur Verfügung stehen. [...] Hier ist sicherlich noch einiges an Arbeit zu verrichten - aber das Problem kann unabhängig vom Rest von TOR behandelt werden. "

Die nächste Folge unserer Reihe über technischen Datenschutz wird sich mit Dateientausch über ANts P2P befassen