Kryptografie

Der Internetspion auf dem heimischen PC wird uns noch länger beschäftigen.

Die Frankfurter Rundschau berichtet in Polizei als Hacker beschäftigt die Juristen, dass über die Beschwerde von Generalbundesanwältin Monika Harms gegen den Beschluss des Ermittlungsrichters am Bundesgerichtshof Ulrich Hebenstreit der 3. BGH Strafsenat im Januar 2007 entscheiden wird.

Ansonsten lässt die FR irgendwelche "Fachleute" und Internetuser im Trüben fischen – was wir alle wohl mehr oder weniger tun: Das es im DE-CIX mit Sicherheit ebenfalls Überwachungsschnittstellen gibt, die mit richterlichen Anordnungen genutzt werden – bei "Gefahr im Verzug" vermutlich auch hopp-hopp – dürfte klar sein. Das an einem solchen Ort fast tagtäglich irgendwelche Hardware dazugestellt oder ausgetauscht wird, auch. Nicht so klar ist mir, dass der DE-CIX seit heute ein reiner Staatsbetrieb sein soll, an dem BKA Leute mit einem Transporter vorfahren, um dort Hardware für den BKA "Bundestrojaner" zu installieren, der dann auf die heimische Festplatte zugreifen soll. Und es heißt nicht nur, es ist so, dass die NSA spätestens seit Echelon an den amerikanischen Knotenpunkten (und per Präsidentenanordnung bei einigen US-Telefonieunternehmen) mitsaugt.

Trotzdem netter Denkanstoß für Leute, die immer noch alles im Klartext und nicht verschlüsselt durch's Netz sausen lassen.

Habe ich die Ankündigung verpasst? Ich weiß es nicht. Allerdings liegt seit gestern die GnuPG Version 1.4.6 bzw. das Gpg4Win Paket in Version 1.0.8 auch für die Windowsuser auf dem GnuPG und Gpg4Win FTP-Server.

In der Liste der Änderungen für Gpg4Win 1.0.8, das auch GnuPG 1.4.6 enthält, steht: GnuPG meldet jedenfalls gpg: Good signature from "Werner Koch (dist sig) <dd9jn@gnu.org>".

Siehe dazu auch: Fefe - Auch ne Methode: zweiter fetter Exploit in gnupg in ... (darin Link zur Announcementmail, in der sich die Ankündigung von Gpg4Win 1.0.8 verbirgt). Noch dazu aus der Erinnerung: Ich meine, mal vor langer Zeit auf der GnuPG ML oder einem der GnuPG Teammembers gemailt zu haben, ob es nicht vielleicht sinnvoll sei, mehrere Linien von GnuPG zu fahren, z. B. eine Minimalversion für Normalbenutzer und den Alltagsgebrauch (auch ohne den nicht mehr so ohne weiteres zu durchblickenden Dschungel an Optionen, Schaltern und Spezialitäten), eine für die Bastler und Allroundanwender usw. Hielt man nichts von.

Und nun lieber Leser gieb fein Acht, die Annette hat Dir 'nen schönen Popanz mitgebracht:

Na das ist mal wieder ein wild zusammengeschusterter Artikel, den uns Annette Ramelsberger in der Süddeutschen mit der Durchsuchung online feilbietet. Da heißt es direkt am Anfang: Vermutlich wollte die Autorin aussagen, dass Angreifer – wenn man als Internetbenutzer mit einem Betriebssystem online unterwegs ist, dem Wartung und restriktive Einstellungen fehlen, sprich aktuelle Sicherheitsaktualisierungen, eingeschränkte Netzwerkdienste und die Benutzung eingeschränkter Benutzerkonten, jeden Mailanhang ungeprüft öffnet, mit E-Mail Clients arbeitet, die alles mögliche ausführen, mit einem Webbrowser surft, die auch alles ausführen, weil alles aktiviert ist, was nur ein Klickkästchen hat und bei dem man nicht die Kontrollmöglichkeiten einsetzt, die man als Internetnutzer hätte, unsichere Instant Messaging Plattformen nutzt, die spezielle Würmer freudig begrüßen, keinen eigenständigen und gut gewarteten Paketfilter zwischen Rechner und der DSL-Dose pflanzt und dergleichen mehr – von außen nach innen oder von außen nach innen und wieder hinaus, lokale Daten ausspähen können.

Eine Binsenweisheit, die auch für die Angreifer aus BKA, Verfassungsschutz & Co gilt. Denn Angreifer sind sie aus der Sicht eines um die Integrität seines Rechners und den Schutz seiner Daten bemühten Internetnutzers. Wären sie nicht, basierend auf – wie immer demokratisch legitimierten – Rechtsgrundlagen, im Staatsauftrag und mit mal korrekter, mal unkorrekter Richtergenehmigung unterwegs, müsste man sie nach dem EU-Übereinkommen gegen Computerkriminalität oder dem "Entwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität (StrÄndG)" wegsperren. Aber ihr Ansinnen gehört ja zu dem, was "alles an Menschenmöglichem getan werden kann", um die gefühlte Sicherheit in der Bevölkerung vor den Terroristen zu stärken.

Das dabei der konkrete Tatverdacht vielleicht noch für die Internetpolizisten des BKA und der LKAs gilt, aber viel weniger für die Internetagenten der Geheimdienste, geht der Autorin ab. Aber sie macht dem bösen Internet mit seinen verkappten Terroristen mit ihrer pauschalen Übertreibung, dass den Staatsdienern immer und überall alles möglich sei, tüchtig Angst und verarbeitet auch fleißig die Reizworte – Kinderpornografie und Bombenanleitungen – die alle Initiatoren und Befürworter der polizeilich-geheimdienstlichen "Überwachung des Internets" ständig im Munde führen. Sie werden die Worte der Autorin mit Wohlgefallen vernehmen.

Und weiter geht's im Sauseschritt: Oha, wenn die kleinen und großen Netzspione der Behörden also nicht auf den Typus des Internetnutzers stoßen, der das genaue Gegenteil des obigen Netzbürgers darstellt – man mag ihnen fast wünschen, sie hätten wirklich immer mit der Internetvariante der beiden Kofferbombenamateure zu tun, denn ansonsten hätte der ganze Spionagespuk ja gar keinen Sinn – offenbart sich ihnen auf geradezu magische Weise das Gestern und Heute der Browserhistorien, IRC- und IM-Logs, E-Mails und Dateien in ganzer Pracht.

Kein Internetnutzer, der verschlüsselte Dateisysteme einsetzt, die sich – man höre und staune – gar auf einem unixoiden Betriebssystem statt dem Windows-OS, das natürlich alle Terroristen nutzen (müssen), befinden können. Kein Websurfer, der penetrant die vom Browser zwischengespeicherten Cookies, besuchten Links, Saugchroniken und andere Heimlichkeiten elimieren lässt, wenn er genug vom Web hat und der renitent seine E-Mails verschlüsselt, stört das heimliche Stöbern bei Tag und bei Nacht. Das Verbiegen der Pfade zu Mailordnern, Mailboxdateien, Profilverzeichnissen und Ablegen von Briefen, Bildern und Voicemails in verschlüsselte Container und Partitionen kommt selbstverständlich auch nicht gegen die Fernsteuerung der gesteuerten Fahnder an.

Aber oh Schreck, wie man flugs darauf erfährt, Was tun sie denn? Die Antwort folgt: Jaja, sie nennen es auch vulgär "Internetstreife", "Zentralstelle für anlassunabhängige Recherchen in Datennetzen (ZaRD)" oder bald auch "Internet Monitoring und Analysestelle (IMAS)". Aber sie sollen eben jetzt das dürfen, was die Kollegen noch nicht durften, aber bald alle dürfen sollen. Der Ingo, der Wolf, hat es mit seinem neuen Verfassungsschutzgesetz für das Land Nordrhein-Westfalen schon eingeritten und der Schäuble noch draufgesattelt. Das es noch einen Unterschied gibt – den es nach Meinung der Wölfe nicht mehr gibt – zwischen verdeckter Recherche im öffentlichen Internet und verdecktem Einbruch in private Rechner (sollte er denn gelingen), den man an dieser Stelle auch hätte erwähnen können...geschenkt.

Und so schließen wir für dieses Mal gnädig den Vorhang und warten auf den Originaltext des "Programms für die Stärkung der inneren Sicherheit" des Bundesinnenministers, auf dem der Artikel der Süddeutschen basiert.

Wer sich von den werten Lesern noch fragen sollte, worüber da alles die Rede ist und die bequemen Links vermisst – fasst es als kleines Addventsrätsel auf und begebt Euch doch mal auf die spannende Quest durch dieses Weblog und die der Blogroll. Der heilige Gral bleibt Euch versagt, dafür vielleicht so manch neuer Gedanke, bittere Erkenntnis und Antrieb zum Handeln nicht.

Siehe dazu auch:

Schieflage - Schäuble & Co. sind eine Gefahr für die Gesellschaft
Ingo Wolf - Plenarrede von Innenminister Dr. Ingo Wolf anl. der 2. Lesung des Gesetzes zur Änderung des Verfassungsschutzgesetzes vom 07.12.2006
Surveillance Studies - …und immer mal wieder das Internet
Jürgen Kuri - Online-Durchsuchung von PCs durch Strafverfolger und Verfassungsschutz
gulli - Grüne Welle für staatlich organisierten Hausfriedensbruch
Tagesspiegel - Die Ermittler surfen mit
Florian Rötzer - Lauschangriff auf Festplatten
Christian Rath - Die Polizei als Hacker
Burks - Viren und Trojaner vom BKA?
Z A F - Jetzt den Bundestrojaner herunterladen

Eine interessante Ergänzung zu Tor in Ländern, wo man ein schärferes Auge auf die Adressen der Tor Nodes haben könnte und den freien Zugriff auf Websites im Ausland zensiert und verfolgt, stellt das am 1. Dezember erscheinende Psiphone dar, das von der Opennet Initiative seit geraumer Zeit entwickelt wird.

Anders als bei Tor mit seinen anonymen Nodes gibt es bei Psiphone eine direkte Beziehung zwischen Psiphonebetreiber und Psiphonebenutzer – für mich auch die Schwachstelle bei Psiphone, wenn die Geheimdienste selbst als Psiphonebetreiber auftreten, ihre Dissidenten gut genug kennen und auch als verdeckte Mitarbeiter an sie herantreten.

Von Leuten in Ländern mit freiem und unzensiertem Internetzugang – wer weiß, wie lange es die noch gibt – wird Psiphone als Webproxy installiert, der Betreiber wird zum "Psiphonode". Dann sendet er an Leute in Ländern mit zensiertem Internet, die er "persönlich kennt" und denen er "vertraut", sein "Psiphoneangebot", das eine einmalige URL, Username und Passwort und den Fingerprint des Zertifikats des Psiphonodes enthält. Hier knüpft sich das Problem der sicheren Übertragung zum Psiphonenutzer an, wenn Kryptografie ebenfalls stark regelementiert ist und E-Mail oder IM Traffic stark überwacht wird wie z. B. in China. Der Psiphonenutzer, von den Psiphonemachern als "Psiphonite" bezeichnet, braucht dann nur die URL in seinem Browser eingeben, über die eine verschlüsselte HTTPS Verbindung zum Psiphonode hergestellt wird, das Zertifikat prüfen und seine Logindaten in ein entsprechendes Formular eingeben. Danach trägt er in ein Feld die URL der zensierten Adresse ein, die der Psiphonode für ihn anfordert. Anonymisierungsfunktionen wie bei Tor bringt Psiphone nicht mit.

Zensoren, die eine Psiphonode-IP abfangen, weil sie auf den verschlüsselten Traffic aufmerksam geworden sind, bekommen nur eine leere Seite angezeigt.

Die Psiphonodes sind nicht miteinander verbunden und bilden kein Netzwerk wie bei Tor, sondern jeder Psiphonode arbeitet unabhängig für sein kleines oder großes Netz von Psiphoniten. D. h. im Grunde genommen ist Psiphone nichts weiter als ein SSL-Webproxy, nur vermutlich einfacher einzusetzen und zu administrieren, denn sonst hätte Psiphone eh keinen Erfolg. Da theoretisch jeder Internetnutzer mit ausreichender Bandbreite als Psiphonode-Anbieter auftreten kann, kann das Psiphoneangebot auch nicht durch die Schließung eines Nodes abgeschossen werden. Die Psiphoniten sind wiederum abhängig davon, ob "ihr" Psiphonode online ist oder nicht, es sei denn, ihnen werden mehrere Psiphonodeadressen von verschiedenen Psiphonodes übermittelt.

Ändern sich die Netzwerkinformationen des Psiphonodes wie z. B. bei Benutzern mit dynamsichen IP-Adressen, muss der Psiphonode jedesmal seinen Psiphoniten die Zugangsdaten erneut übermitteln. Zukünftige Versionen sollen Funktionen erhalten, die es erlauben sollen, dass "Psiphonodes in sozialen Netzwerken Peering-Abkommen schließen, so dass ein Psiphonode als Backupnode für einen anderen Psiphonode und dessen Psiphoniten" fungieren kann.

Neben den oben angeschnittenen Problemen stellt sich auch die Frage, wie ein Internetnutzer, der bereit ist, einen Psiphoneserver zu betreiben, (sicher) an die Adressen der Internetnutzer kommt, die Psiphone benötigen könnten. Normalerweise wird der Durchschnittsinternetnutzer in Europa oder den USA keine direkten und ausgedehnten Kontakte mit Dissidenten in China, Iran oder Vietnam unterhalten, so dass eigentlich nur die Personen aus Menschen- und Bürgerrechts-NGOs bleiben, die unter Umständen den Feinden des freien Internets im Ausland auch bekannt sind.

Auch wenn Psiphone in gut einer Woche veröffentlicht wird, bleibt meines Erachtens noch eine Menge Arbeit zu tun und der wirkliche Nutzen erscheint mir derzeit zweifelhaft. Auch hinsichtlich der Risiken, denen man sich als Dissident aussetzt, wenn man Psiphone in der jetzigen Form nutzt.

Via: ars technica - "Psiphoning" data past the censors.

Ian Brown von Blogzilla hat sich in NATO expert on cyberterror ein paar Notizen zu den Ausführungen zur Nutzung des Internets durch Terroristen und dem "Cyberterrorismus", also der Nutzung des Internets für aktive Angriffe, der Terrorismusexpertin Dr. Juliette Bird von der Terrorist Threat Intelligence Unit der NATO anlässlich einer NATO-Russland Konferenz gemacht. Laut Dr. Bird Also ein wenig persönlicher Realitycheck einer NATO Terrorexpertin, die es gerne selbst weiter mit einem freien Internet zu tun hätte, zur Internetüberwachungshysterie und der Hetze gegen Verschlüsselung, die auch hierzulande von etlichen Innen- und Sicherheitspolitikern veranstaltet wird.

Hauptansatzpunkt der Bekämpfung terroristischer Aktivitäten im und über das Internet bleibt jedoch die Bekämpfung der Anonymität und damit der Anonymisierung. Da werden wir in Bezug zu Birds Ausgangsfrage noch einiges in Zukunft zu erwarten haben, denn die Maßnahmen zur Aufhebung der Anonymität von Terroristen werden sich entweder unweigerlich auf alle Internetnutzer auswirken oder gezielt dazu benutzt werden, um bewußt die Möglichkeiten der Anonymität für alle Internetnutzer einzuschränken.

Jedenfalls in der jetzigen Form.

In Zeiten von Vorratsdatenspeicherung und Data-Mining, des "Krieges gegen den Terror" und des "Kampfes gegen Anonymität", in denen im Auge des Staates jeder als potentieller Terrorist einzustufen und dementsprechend allzeit zu überwachen, kontrollieren und zu identifizieren ist, wird folgerichtig einem der national und international bekanntesten Projekte zur Erprobung eines öffentlich bereitgestellten Anonymisierungsdienstes der Geldhahn abgedreht. Laut der Pressemitteilung des ULD Schleswig-Holstein, "läuft die finanzielle Projektförderung durch das BMWi zum Ende des Jahres 2006 definitiv aus".

Zu diesem Anlass lädt das ULD zusammen mit den beteiligten Projektpartnern zu einer Abschlussveranstaltung am 24.11.2006 im Bundeswirtschaftsministerium ein – "dabei sollen unter dem Motto 'Technik-Szenarien-Geschäftsmodelle' insbesondere Erfahrungen ausgetauscht und wirtschaftliche Perspektiven diskutiert werden". Nähere Informationen zur Diskussion kann man dem PDF-Flyer entnehmen. Da auch Burks mit von der Partie ist, werden wir später bestimmt mehr zur Veranstaltung und zur Zukuft von JAP erfahren.

Das Java Anon Proxy (JAP) Programm und das damit verbundene AN.ON Projekt war ja immer wieder Gegenstand auf meiner Homepage, bevor ich meine alten Blogs und mein derzeitiges Weblog führte und tauchte dann auch in ihnen immer wieder auf. Man erinnert sich...

Vor JAP bestand die gängigste Methode zur Anonymisierung im Web aus der Nutzung einfacher Proxys, die öffentlich zugänglich waren und die eigene IP nicht weitergaben. Findigere Zeitgenossen schalteten mehrere dieser Proxys hintereinander oder hangelten sich über Telnet und SSH Accounts von Server zu Server. Die anderen Internetnutzer waren auf ihren Glauben angewiesen, dass die Proxybetreiber keine Logdateien führten und niemand ihre Verbindungen zu den zumeist ohne Verschlüsselung geführten Proxys mitschnitt. Einige Projekte und Forschungsarbeiten starteten zu Anonymisierungstechniken – vor allem in den USA. Viele erreichten die Umsetzung nie und blieben auf der theoretischen Ebene hängen. Einige, die versuchten, damit ein Geschäft zu machen, scheiterten mehr oder weniger (ZK oder Janus). Professionell und speziell zur Anonymisierung geführte Diensteanbieter wie anonymizer.com gewährten freie Anonymisierung, zunehmend auch mit zusätzlicher SSL Verschlüsselung und man konnte das Onion-Routing – damals noch direkt mit Proxys der U. S. Navy, ausprobieren.

Als JAP startete, bekam der User ein kleines, plattformunabhängiges Programm mit grafischer Oberfläche, hinter dem ein durchdachtes Konzept stand.

JAP wurde begeistert von den Benutzern aufgenommen, wurde von Hilfsdiensten integriert, um auch im Internet anonyme Beratung leisten zu können und sprach sich weltweit herum.

Neben dem praktischen Nutzen wurde in den beteiligten Universitäten und Organisationen wichtige Forschungsarbeit geleistet, die u. a. die technische Realisierbarkeit untersuchte, aber auch, wie sich solch ein Dienst im Spannungsfeld von Datenschutz, Sicherheitspolitik und den Bedüfnissen der Strafverfolgungsbehörden und Geheimdienste behaupten kann.

Zum letzten Punkt kennen wir die Entwicklungen: Immer wieder wurde JAP mit Anfeindungen konfrontiert, Internetkriminellen und später "den Terroristen" zu dienen und die Strafverfolgung zu behindern – die bis heute immer lauter und stärker wurden, es fanden illegale Datensatz-Beschlagnahmungen statt, Durchsuchungsversuche und auch der Einbau einer Schnittstelle zur Mitprotokollierung, die – soweit bekannt – einmal aktiviert wurde und bei der sich die Projektträger gegenüber der Benutzergemeinde mehr als unglücklich verhalten hatten, was den Ruf von JAP schwer schädigte. Viele gingen dazu über, JAP pauschal zu bashen, wobei sie vergaßen, dass JAP ein mit öffentlichen Geldern finanzierter Dienst war und eben: Ein Forschungs-Projekt.

Trotzdem stellen JAP und das AN.ON Projekt wichtige Meilensteine dar, was die Thematisierung und Realisierung des Begriffspaares "Anonymität im Internet" angeht. Dafür haben die Betreiber und Datenschützern Dank verdient, auch wegen ihres Einsatzes für die Anonymität gegen die Anfeindungen seitens der Innen- und Sicherheitspolitiker.

Wegen der Beendigung der Finanzierung überlegt man sich seit einiger Zeit, JAP als kommerziellen Dienst weiterzuführen und hat mit dem Test einer Bezahlfunktion begonnen.

Ich denke, die Erfahrungen der Vergangenheit, der Gegenwart und der anderen Angebote zeigen, dass sich ein zu bezahlender Anondienst nicht kommerziell behaupten kann, wenn er außer dem reinen anonymen Zugang keine weiteren Zusatzangebote bietet. Zudem es nur wenige anonyme Bezahldienste gibt, weshalb immer anzuzweifeln ist, ob eine Bezahlung die erhoffte Anonymität nicht wieder einschränkt (Paypal-Bezahlung von JAP?!).

Ein weiteres Ergebnis: Einen unabhängigen Anondienst, dessen Existenz gesichert ist, kann es nicht in einem öffentlichen Umfeld aus Ministerien und durch öffentliche Gelder finanzierte Universitäten und Institutionen geben, ganz besonders nicht im Jahr 2006 und darüber hinaus. Es wird unweigerlich der Versuch unternommen werden, Einfluß und Druck auszüben, die Finanzierung zu gefährden oder den Dienst zu kastrieren.

Und zuletzt: Ein Anondienst, der aus einer Handvoll Mixproxys und Verzeichnisservern besteht, die sich zudem geografisch konzentrieren, ist viel zu anfällig gegen Einflußnahmen, Überwachungsansinnen und Überwachungsmaßnahmen in größerem Maßstab. Deshalb und aus den anderen genannten Gründen hat Tor die Lücke, die sich mit der Beendigung von JAP ergeben wird, längst geschlossen. Eine Zukunft für JAP ist dennoch denkbar: Es wird von einer freien Entwickler- und Nutzergemeinde weiter entwickelt und besitzt bzw. erhält Funktionen, die Tor überlegen sind, gleichzeitig wird das "JAP-Netz" wie bei Tor dezentral und global betrieben.

Via: Heise - Was war. Was wird.

Siehe auch:
ULD - Anonymität im Internet - AN.ON ist für Grundrechtsschutz wichtig und hat Zukunft (24.11.06)
Heise - Streit um die Zukunft des Anonymisierungsdienstes AN.ON (24.11.06)
Heise - "Wir brauchen überwachungsfreie Räume" (24.11.06)
Burks - Nicht ohne meine Tarnkappe (28.11.06)

Wie bereits Netzpolitik in Gesetzentwurf zur Vorratsdatenspeicherung verfügbar hinwies, ist der Referentenentwurf des "Gesetzes zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG" des Bundesjustizministeriums bereits im Netz verfügbar.

Die im Titel genannte Richtlinie ist die EU-Richtlinie zur europaweiten Vorratsdatenspeicherung, die im Gesetzentwurf durch die neuen Paragraphen 110a und b im Telekommunikationsgesetz umgesetzt werden soll und die bekannten Merkmale, Informationen und Verkehrsdaten mit einer sechsmonatigen Vorratsspeicherung enthält. Die Mindestspeicherungsdauer gemäß der EU-Richtline wurde laut Entwurf deshalb gewählt, um "dem Gebot der möglichst grundrechtsschonenden Umsetzung der Richtlinie" zu folgen. Wobei da nichts mehr mit grundrechtsschonend ist – die Grundrechte werden schonend und scheibchenweise demontiert, um mindestens die absolute Kontrolle über Kommunikation und Verhalten im Internet zu erringen.

Das man deshalb auch die umstrittene Speicherung der Daten zu erfolglosen Anrufen nicht vergessen hat, wenn der Anbieter die Daten bereits speichert, ist schon fast selbstverständlich.

Was der Entwurf nicht direkt im Gesetzestext enthält, wohl aber in der Begründung, ist die Inpflichtnahme aller Anbieter öffentlicher Anonymisierungsdienste, sprich Remailer, Tor Node, Anon-Webproxy Betreiber und auch JAP/AN.ON, ebenfalls die Verkehrsdaten auf Vorrat zu speichern, denn: Und die Verhinderung, sich anonym oder pseudonym E-Mail Accounts zulegen zu können (Nym-Remailer-Accounts lassen grüßen!), denn: Schon mal in Bezug zu E-Mail Konten an die Möglichkeiten des neuen "E-gov Perso 2.0 (3.0, 4.0...)" gedacht? Nein? Dann wird es Zeit.

Der Anonymisierung hat man bereits vor kurzem den Kampf angesagt und mit Aktionen gegen deutsche Tor Exit Nodes und JAP untermauert, jetzt wird der Kampf gesetzlich festgeschrieben, denn auch im Bundesinnen- und Bundesjustizministerium weiß man genau, dass verschlüsselte Anonymisierungslösungen bei der Durchsetzung der Vorratsdatenspeicherung die letzten verbleibenden Mittel darstellen , um der Vorratsdatenspeicherung und ihren Folgeerscheinungen zu entgehen, wenn der VDS nicht auf juristischen und öffentlichkeitswirksamen Wegen beizukommen ist.

Wenn Tor Node Betreiber der VDS nachkommen (müssen), würde das aus der Sicht eines Tor Admins Folgendes heißen: Das bedeutet, die Sicherheitspolitiker in den Ländern, in denen sich die VDS durchsetzen würde (zur Erinnerung: In den USA wird ebenfalls heftig für die VDS getrommelt und dort sind mehrere VDS Gesetzesentwürfe im Umlauf), verbieten nicht per se die Anonymisierung, sondern üben z. B. einen indirekten Kostendruck auf Anonymisierungsdiensteanbieter aus, um sie so in die Knie zu zwingen.

Intensiviert wird der Druck durch Beschlagnahmeaktionen gegen die Rechner und Server (s. o.), auf denen Tor Router bzw. Anonserver laufen, egal, ob es der heimische Rechner ist, ein Server in Deutschland oder ein Server im europäischen Ausland bzw. überall dort, wo sich die Regierungen der Cybercrime-Konvention angeschlossen und gegenseitige Kooperationsverträge zur Strafverfolgung abgeschlossen haben. Zur Umsetzung der internationalen Beschlagnahmungsmöglichkeiten gemäß des Übereinkommens über Computerkriminalität des Europäischen Rates in bundesdeutsches Recht heißt es im Entwurf: Und im entsprechenden Passus der Begründung: Neben dem Verlust der unbeobachteten Kommunikation und der zu erwartenden Verminderung und Einschränkung anonymer Dienstangebote in Deutschland würde uns die Vorratsdatenspeicherung auch sonst teuer zu stehen kommen, denn wie es im Entwurf heißt, sei wegen der nicht vorgesehenen Kostenerstattung für höhere Betriebskosten und Investitionen durch die Vorratsdatenspeicherung zu "erwarten, dass die betroffenen Unternehmen diese Kosten bei ihrer Preisgestaltung berücksichtigen und damit im Ergebnis auf die Kunden abwälzen werden, soweit der Telekommunikationsmarkt dies zulässt".

Die Bürokraten im Ministerium rechnen aber mit einer geringfügigen Verbraucherpreissteigerung, da sich die zusätzlichen Kosten für die VDS bei "einem großen deutschen Diensteanbieter mit einem Jahresumsatz von annähernd 60 Mrd. Euro" etwa 700000 Euro pro Jahr belaufen. Zu zahlen haben wir auch die 17 Euro/h Entschädigung für jedes Auskunftsersuchen, was bei den Bürokraten mit den über den Daumen gepeilten 500 - 10000 Auskunftsersuchen pro Jahr mit 8500 - 170000 Euro zu Buche schlägt. Angesichts der 132 Millionen, die man Schäuble mal eben für neue Internetüberwachungsprogramme in den Rachen schiebt, zwar Peanuts, aber immerhin.

Wer zu viel Geld und Zeit übrig hat, der beschaffe sich offshore und möglichst mit anonymer Bezahlung einen Rootserver in einem Datahaven und richte dort Tor Exit Nodes und Mismaster/Mixminion Remailer ein – wir werden sie brauchen.

Man lese dazu auch:

AK Vorratsdatenspeicherung – Appell an Bundeskanzlerin: Stopp der Vorratsdatenspeicherung gefordert
Virtuelles Datenschutzbüro – 7. Symposium zum Datenschutz bei der Telekommunikation und im Internet
Sex, Drugs & Compiler Construction – Wollt ihr die totale Überwachung?
get privacy – Anonymisierungsdienste = Schutz vor dem Staat
jotbe – Keine Anonymität mehr im Netz?
Heise – E-Mail-Konto nur noch gegen Personalausweis?
Knowledge brings Fear - Told you so…

Immer wieder höre ich mir – im Zeitalter von "fetten" Breitbandanbindungen – verständliches Gemecker über die niedrigere Geschwindigkeit beim anonymisierten Websurfen mit Tor an. Mir persönlich ist das Nebensache, mal abgesehen von den auftretenden Fehlschlägen bei der Namensauflösung von einzelnen Adressen, weil z. B. der Exit Node bzw. dessen DNS überlastet ist.

Aber ein Blick auf die Interna des "Tor Netzwerks" sollten jedem Meckerer klar machen, dass es bei einer Browser Verbindung über Tor nun mal nicht mit einer vorherigen Abfrage bei einem DNS-Server und dem nachfolgenden "direkten" und unverschlüsselten Abrufen von Inhalten getan ist, wobei ja auch dort eine "direkte" Verbindung zwischen Clientrechner und Website eher die Ausnahme ist. Im Normalfall werden die Anfragen und Abrufe über mehrere Router, Gateways usw. transportiert, wobei die beteiligten Rechner im Gegensatz zum Tor Netz meistens aus leistungsstarken Maschinen mit guten Anbindungen bestehen und eben nicht aus Privatrechnern mit den gängigen Internetanbindungen, auf denen oft zeitgleich anderen Verbindungen abgewickelt werden.

Das Tor Netz ist höchst unterschiedlich: Man findet dort Tor Router, die auf leistungsstarken Rechnern mit Standleitungen großer Bandbreite laufen, aber auch den kleinen Kauf-PC, der gerade mal die geforderten 20 kilobytes Minimum für Tor abzwacken kann. Manche Tor Nodes können für die Namensauflösung der angefragten Adressen auf gute DNS-Anbindungen zurückgreifen, manche eben nicht. Tor Router laufen auf Linuxmaschinen, die genug gleichzeitige TCP-Verbindungen öffnen können oder auf Windowsrechnern, die von Microsoft künstlich beschränkt wurden und erst einmal selbst gepatcht werden müssen. Einige Tor Nodeadmins aktualisieren ihre Tor Version regelmäßig, um an möglichen Verbesserungen bezüglich Verbindungen, Namensauflösung und Geschwindigkeit teilzuhaben, andere Admins lassen ihre Nodes mit veraltenen Tor Versionen vor sich hin dümpeln.

Bei allen Vorgängen spielt bei Tor die Verschlüsselung eine große Rolle – angefangen bei der ersten Verbindung vom lokalen Tor Proxy zum ersten Kontaktnode im Tor Netz, über die Aushandelung von Schlüsseln bis zur Ver- und Entschlüsselung der transportierten Daten zwischen allen drei Tor Routern, die pro Anfrage beteiligt sind. Das bedeutet "Arbeit" – sowohl auf der eigenen Maschine, als auch auf allen Tor Routern – also Zeitaufwand.
Kleine Übung: Man nehme eine dicke Zwiebel, löse die Schalen so von außen nach innen, dass jede Schale unbeschädigt bleibt und füge anschließend die Zwiebel wieder mit allen Schalen zusammen.

Und last but not least seid Ihr nicht alleine da draußen. Ein Tor Node hat vielleicht gerade einmal zehn Verbindungen, während zeitgleich ein anderer Tor Node Hunderte von Verbindungen abzuwicklen hat. Es gibt Tor "Nutzer", die sich mit dem Abruf von Webseiten oder E-Mails zufrieden geben und es gibt Nutzer, die jedes Videofile und jedes Programm megabyteschwer über die "Leitungen" des Tor Netzes heruntersaugen.

Trotzdem ein paar Tipps am Ende, die hier zu einer teilweisen Verbesserung (die wird in einem Netz wie Tor immer relativ bleiben) der Geschwindigkeit beigetragen haben:

• Statt der stabilen Version wird die aktuelle Entwicklerversion von Tor heruntergeladen und eingesetzt.
• Für Firefox wird die Erweiterung Fasterfox installiert, mit der man mit ein paar Klicks auf "Optimiert" oder "Turbo" die Einstellungen ändern bzw. verbessern kann, die sich auf die Performance und Netzwerkfunktionen von Firefox auswirken.
• Es wird die aktuelle 3.0.5-Beta von Privoxy heruntergeladen und eingesetzt, die u. a. die Konfigurationsoption forwarded-connect-retries n für die Privoxy Konfigurationsdatei config[.txt] bietet und angibt, wie oft (mit n = 1-3 würde ich testen) Privoxy einen erneuten Verbindungsversuch unternimmt, wenn eine weitergeleitete Verbindung fehlschlägt, sich also auch auf die Weiterleitungen zum Tor Proxy bezieht:
  forwarded-connect-retries is mainly interesting for socks4a connections, where Privoxy can't detect why the connections failed. The connection might have failed because of a DNS timeout in which case a retry makes sense, but it might also have failed because the server doesn't exist or isn't reachable. In this case the retry will just delay the appearance of Privoxy's error message.

Ansonsten: Benutzt Tor wie es ist oder lasst es bleiben. Wählt selbst Eure Prioritäten: Dauernder Zeitgewinn und Speed oder Schutz vor Profiling, Data-Mining und Vorratsspeicherung. Und wer das nächste Mal meckert, bekommt den Tor-Speed Link vor den Latz geknallt.

Warum mich schon seit dem Spielen mit dem Stick die Sicherung der dort gespeicherten Daten umtreibt – nicht nur bei Verlust eines Sticks, sondern gerade auch beim Einstecken in fremde Windowsrechner – reißt die tagesschau in dem Beitrag Hacking-Tool kopiert Daten von USB-Sticks an, der auf einen Artikel der Zeitschrift PC Professionell zurückgeht, der sich wiederum der seit einiger Zeit bekannten USB-Tools von Hak5 annimmt.

Die "USB Hacks" Tools beschäftigen sich mit dem Ausspionieren von Daten über USB-Sticks und dem Schutz vor derartigen Angriffen – also nicht nur so einseitig, wie es der tagesschau Artikel darstellt.

Zu den Tools zählen das USB "Taschenmesser" und dessen Nachfolger, die USB "Säge", die u. a. auch das erwähnte "USB Dumper" Tool enthalten. Mit ihnen kann die Ausspionierung von Daten auf Windows NT Rechnern von USB-Sticks (wobei U3 USB-Sticks bevorzugt werden) aus und von Daten auf USB-Sticks vom Hostrechner aus, auf dem der USB Dumper installiert ist, demonstriert werden. In Vorbereitung ist aber auch das USB "Gegenmittel", das Abwehrtechniken gegen die obigen Angriffe realisieren soll.

Mit ihrer "Arbeit" erstellt Hak5 nicht nur an sich interessante Tools, sondern leistet auch wichtige Informations- und Aufklärungsarbeit, was den Datenschutz und die Kryptografie im Umgang mit USB-Sticks angeht. Etwas, was Politiker wie Zypries nur ungenügend bedenken, wenn sie von der "Ächtung von Hackertools" daherfaseln.

Die gutgemeinten Ratschläge im tagesschau Artikel sind nur begrenzt nützlich und umsetzbar: Wie ich schon im oben erwähnten Beitrag schrieb, ist eine wirklich sichere und überall portable Umsetzung der Verschlüsselung gar nicht so einfach zu realisieren und sobald man mit einem USB-Stick das Haus verlässt, hat man es generell immer mit "unsicheren Rechnern" zu tun. Bei manchen Anwendern – man sollte es kaum glauben – ist es sogar der eigene Rechner. Die LED flackert ständig, wenn man mit mehren Programmen vom USB-Stick arbeitet und sie flackert, weil man mit ihnen und dem USB-Stick unterwegs arbeiten will oder muss und nicht nur Katzenbilder transportiert. Auch der Totschlaghinweis mit dem Virenscanner ist naiv, wenn man bedenkt, dass es mittlerweile genug Viren und Trojaner gibt, die sich gut vor Virenscannern tarnen können, wenn sie ihn nicht gleich deaktivieren oder blocken.

Aber die meisten Benutzer von USB-Sticks werden eh keinen Gedanken an Datenschutz und -sicherheit auf ihrem Stick verschwenden. Warum auch, wenn man nichts zu verbergen hat :)

Auch wenn ich – wie ich in Spielen mit dem Stick erwähnte – Torpark in der derzeitigen Form nicht mag, der Privacy Dongle vom FoeBuD sieht doch cool aus: Als Zweit-Stick mit 128 MB und vorinstalliertem Torpark (denn nicht jeder mag das Basteln) für 20 Euro doch eine nette Sache und eine Weihnachtsgeschenkidee. Leider nur USB 1.1.