Das Tor-Projekt - clevere Strategie oder ultimatives Datenschutz-Tool? (Teil 2)

Artikel ansehen

Im ersten Teil unseres Hintergrundberichts mussten wir erfahren, mit wie viel Strategie und finanzieller Power sich mehrere US-Behörden bzw. Geheimdienste…

Ich empfinde diesen Artikel als tendenziös, es werden Vermutungen aufgestellt und Strohmannargumente verwendet.

  1. Das Tor Projekt weist stehts darauf hin, dass es keine vollständige Sicherheit bietet und vor allem kompromitierte Ausgangsknoten leichten Zugriff auf den Datenverkehr haben sofern sie auch Zugriff beim Eingangspunkt, oder beim Client haben.

  2. Auch dass Tor vom US-Militär und US-Agenturen finanziert wird ist bekannt. Das liegt zum einen daran, dass Tor für den eigenen Gebrauch gerne verwendet wird und als geopolitisches Werkzeug für zensurierende Länder (China…) eingesetzt wird.

  3. Ja, es gibt zahlreiche Sicherheitslücken und Bedenken rund um Tor. Aber was ist die Alternative? Zahlreiche vertrauenswürdige Institutionen und Personen (Snowden, Netzaktivisten [https://riseup.net/en/tor], EFF [https://www.eff.org/pages/tor-and-https], Datenschützer [https://www.kuketz-blog.de/das-3-browser-konzept-not-my-data-teil2/]) sprechen sich dennoch für Tor aus. Auch in deinem Link [https://wwwcip.cs.fau.de/~snsehahn/Tor-Fragen.txt] spricht sich Hahn trotz allem für die Verwendung von Tor aus.

  4. Was uns wieder zu deinem Beitrag führt. Auch hier gilt es kritisch abzuwägen: Welche Interessen hat der Autor? Welche Vetrauensreputation kann er aufweisen (im Vergleich zu den vorhergenannten Akteuren)? Hat er gar ein Interesse daran, VPNs zu verkaufen?

Tor ist nicht perfekt und muss kritisch betrachtet werden, aber das trifft auch auf VPNs zu [https://gist.github.com/joepie91/5a9909939e6ce7d09e29]. Am besten ist wohl die Kopplung von Tor und VPN (User -> VPN -> Tor), evt. auch mit einer VM.

PS: Oder was empfiehslt du? Wenn VPN, welchen? Oder einen VPS?

Musst aufpassen, was du hier schreibst… Als ich gestern zum 1. Teil von diesem Blog Kritik geäußert hab, wurde behauptet, ich hab den Text nicht richtig durchgelesen und nicht verstanden.

Die Blogersteller sind hier etwas sensibel wenn man diese kritisiert… oder nicht kritikfähig.

Den 2. Teil hab ich nur bis zur Hälfte gelesen, weil mir das dann echt zu blöd war…Das war mir du diffus, undifferenziert und nebulös :crazy_face: :kissing_smiling_eyes:

Nein, @Sunny will mit seinen beiden Artikeln keine VPNs verkaufen. Darum geht es nicht. Ich denke, ihm ging es primär darum, dass die Leute sich einfach am besten auf gar nichts blind verlassen dürfen. Und genau das passiert häufiger.

Ich bin kein Freund von Verschwörungstheorien aber es ist schon sehr aussagekräftig sich anzuschauen, seit wie vielen Jahren mehrere US-Behörden unabhängig voneinander jede Menge Geld in das Projekt gesteckt haben. Ohne dieses Kapital wäre das Tor-Projekt entweder nie entstanden (?), oder es wäre zumindest nicht an dem Punkt, wo man heute steht. Darauf hinzuweisen, dass man mit einem Messer eben nicht nur Brot schneiden kann, das finde ich schon sinnvoll.

Aber gut, ich bin nicht neutral als einer von drei Redaktionsleitern. :wink:

Sollte das aufgrund meiner Antwort gestern so rübergekommen sein, tut mir das leid. Ich habe nur versucht dir ausführlich zu antworten. :slight_smile:

Zuerst einmal herzlich willkommen hier bei uns im Forum :slight_smile:

Um auf deine Frage zu Antworten, ob ich VPNs verkaufen möchte. Nein, möchte ich nicht!
Was meine Interessen angeht, könnte man es ganz gut mit „Digitale-Selbstverteidigung“ zusammenfassen. Es liegt mir etwas daran, Menschen zum Nachdenken zu bringen und das sie sich im besten Fall zu gewissen Themen ihre eigene Meinung bilden.

Ich stimme dir mal Vorsichtig zu. Es kommt aber auch immer sehr stark darauf an, was man denn eigentlich erreichen oder machen möchte.

Das kann man pauschal nicht sagen. Es kommt immer auf den Einzelfall an. Generell (Otto normal User) kann man denke ich gut ohne VPN auskommen, wenn man z.B. seinen Browser entsprechend abgesichert hat. VPNs sind nicht, wie immer vermutet, der „Heilige-Gral“ der Digitalen-Selbstverteidigung. Aber wie gesagt, man kann es nicht pauschal sagen. Es kommt immer auf den Einzelfall an. Daher möchte ich dir an dieser Stelle auch nicht einfach irgendetwas empfehlen.

Gruß :slight_smile:
Sunny

Wir sind hier grade nicht in der Warezkiddie/Paranoiker-Spieleecke. Von Infrastrukturen wie Tor hängen je nach Anwendungsszenarien Leben ab. In dem Kontext ist es nicht nur grob fahrlässig, sondern wie nebenan bemerkt schon bösartig und gefährlich, hier FUD zu streuen.
Wir haben mit Tor ein Entry/Middle/Exit-System, das strukturell durchaus verdammt gut durchdacht ist. Wie man das mit einer Single Point of Failure-Instanz wie einem VPN oder einem verdammten Proxy gleichsetzen kann, das nebenbei nicht einmal die Antizensur-Infrastrukturen wie die Tor-Bridges mitbringen kann und man auf das verdammte Wort der Betreiber vertrauen muss, kein Schindluder zu treiben und es nebenbei gepflegt zu ignorieren, wenn die Staatsmacht anfragt, entzieht sich meinem Verständnis.
Was rätst du dem chinesischen Dissidenten? Was einem Whistleblower? Wie soll die „gigantische Datenbank aller User“ via TOR aufgebaut werden und was soll da drinstehen? Wenn ich seit Jahren einen Relay betreibe, soll ich noch in die USA einreisen?
Und nimms mir nicht übel, sich bei solchen Fragen auf ein „ich will ja nur zum selberdenken anregen“ auszuweichen, ist nicht zielführend. Entweder hast du gute Gründe, Leute vom Nutzen eines offenen, dezentral organisierten und erstaunlich transparenten Anonymisierungsnetzwerk mit bekannter Technik, offenen Clients etc. abzuraten, dann brings auf den Tisch. Oder du willst FUD werfen, und FUD haben die Leute, die auf ein Tool wie Tor angewiesen sind, schon genug.

Ich freue mich sehr, dass sich Richard hier eingetragen hat. Er war früher bei gulli.com mein Chef. Und glaubt mir, ich bin ihm oft genug auf den Sack gegangen mit einen ständigen Ideen und Verbessungsvorschlägen. :wink:

Tatsächlich musste ich auch erstmal nachschauen, was FUD überhaupt bedeutet. Nämlich gezielte Desinformation, um die Reputation einer Firma/Person etc. kaputt zu machen. Darum ging es @Sunny ganz sicher nicht.

Ich denke mal, Fazit der beiden Artikel hätte lauten müssen: Leute, macht die Augen auf und vertraut auf gar nichts blind. Die Tatsache, dass mehrere US-Behörden unabhängig voneinander langfristig Kohle da reinstecken, finde ich schon unheimlich. Ja, die sind sich nicht einig, was einige Ziele betrifft, das mag sein. Aber dennoch macht niemand etwas grundlos. Erst recht in solchen Kreisen nicht.

Ob TOR nun sicher ist oder unsicher, das kann ich nicht beurteilen. Blind verlassen sollte man sich grundsätzlich mal auf gar nichts! Auf alles andere soll Sunny bitte reagieren, danke.

Wir haben das Fazit geändert. Ich hatte es beim Redigieren dann zu einseitig formuliert, was so von Sunny gar nicht beabsichtigt war. Das Fazit lautet jetzt:

Tor-Projekt - Fazit

Korrektur: Wir können den Tor-Browser nicht als Schad- oder Spyware hinstellen, das wäre komplett falsch. Unsere Message an Euch ist ganz einfach:

Leute, macht bitte die Augen auf! Vertraut nichts und niemandem blind! Die Tatsache, dass mehrere US-Behörden unabhängig voneinander langfristig sehr viel Geld in das Projekt reingesteckt haben, müsste auch dem letzten Leser komisch vorkommen. Es ist bekannt, dass sich die US-Behörden untereinander nicht einig sind. Die verfolgen also nicht immer die gleichen Ziele, im Gegenteil. Und dennoch: Eine finanzielle Investition über einen solch langen Zeitraum hinweg, so etwas geschieht niemals unabsichtlich. Erst recht nicht in solchen Kreisen!

Von daher: Augen auf im Straßenverkehr und auch im Internet!! Ob das Tor-Netzwerk nun sicher oder unsicher ist, können wir mangels Fachkenntnis leider nicht beurteilen. Traut einfach nichts und niemandem, der sich Euch anbiedert und der so seriös daherkommen möchte. Mit etwas Paranoia zu viel, fährt man auch im Internet ganz gut. Mag sein, Sunnys Fazit gefällt dem einen oder anderen Leser nicht. Aber es ist das einzige Fazit, was wir veröffentlichen können bzw. wollen.

Tarnkappe.info

Nochmals Danke an alle Leute, die uns Feedback gegeben haben. Das durfte so nicht stehen bleiben. Aber jetzt passt es, zumindest für uns. Jeder darf dazu natürlich gerne weiterhin seinen Senf abgeben.

1 Like

@Sunny
Stimmt, hängt sehr vom Einzelfall ab.

Aber gerade beim „normalen“ Surfen durchs Netz ist Tor (oder vlt noch besser Tails) zu empfehlen, wenn Webseitenbetreiber keinerlei Informationen von dir erheben sollen (IP, Fingerprinting (!), Coockies…).
Konkreter Anwendungsfall: Ich informiere mich über Krankheiten gern mit Tor, was ich da suche (wenns auch nur die Grippe ist) hat niemanden was anzugehen.

Ich will dir auch nicht widersprechen, dass die NSA Exitnodes betreibt, das stimmt offenbar auch. Aber was gäbe es sonst? Man könnte bei Tor noch mehr Relays in der Mitte ranhängen, TLS/Https hat das eavesdropping an den Ausgangsknoten zumindest etwas schwieriger gemacht. :thinking:

JonDo wäre vielleicht noch als Alternative zu erwähnen, weiß aber nicht, ob dort auch schon Loggingvorfälle bekannt geworden sind.

Einen gescheit beschränkten Browser und ein VPN mit Kaskadierung und Server-Hopping über wenigstens 3 Standorte?

Genauso ist das… !

Habe diese Diskussion staunend verfolgt, und wollte mich erst gar nicht zu diesem
Thema melden. Allerdings ist es wirklich komisch, wer die ursprünglichen Inititatoren
dieses Tor -Nezwerkes sind. Glaubt jemand wirklich das alle Parameter diese Netzes
offen liegen, und ganz ehrlich die Crawler die im Hintergrund aktiv sind, sei es bei
Suchmaschinen, Tor-Netzwerken, Updates etc. sind im Hochleistungs- Dauerbetrieb,
glaubt mir das…

Also Tor Netzwerk möcht ich nicht verteufeln, aber mein Ding ist es nicht
und ich persönlich brauche es nicht. Die Geschwindigkeitseinbußen kann
vernachlässigen, wenn es funktioniert wie es soll. Tut es das aber?

Ein interessantes Thema was jemand auch mal aufschnappen sollte, ist das Google
seit Jahren vom Such-Fundus stark abbaut bzw. eingeschränkt ist. Der ursprüngliche
Algorythmus für die Platzierung wurde längst, längst vor langer Zeit gegenüber
Interessenverbänden und von Lobbyisten möglicherweise auch von
„Anregungen“ von Regierungen geopfert… :wink: ,
soll heißen wir sollen nur das sehen, was andere für uns „sehen“ wollen
oder sollen…

Stimmt… Einer der wenigen Anbieter die zuverlässig Kaskadierung über mind. 3 Standorte anbieten ist Pefect Privacy. Da das aber auch einer der teuersten Anbieter ist, wird dieser oft gemieden. Das ist die typische Geiz ist Geil Mentalität. Es wollen zwar immer alle perfekte Sicherheit, aber trotzdem wird immer das billgste genommen. Hier muss sich jeder selbst hinterfragen was ihm Sicherheit wert ist. Und 10 EUR im Monat ist ja jetzt auch nicht die Welt. Das kann sich sogar ein Hartz4 Empfänger leisten.

Man muß schon ein bißchen grinsen bei diesem Thema.

Einerseits raten alle davon ab, billigen VPN-Anbietern über den Weg zu trauen, wenn es um Fragen der Sicherheit geht. Andererseits wird groß rumdiskutiert, wie sicher denn TOR ist. Selten fragt sich hier jemand, was man denn dann von 0-Euro- Angeboten halten sollte, die von diversen „Institutionen“ gesponsort werden und wurden. Komische Welt.

Auch nicht ganz verstehen kann man die, die sich ständig streiten, wer denn nun der sicherste VPN-Anbieter ist. Übernehmt doch alle das Risiko dafür selbst und setzt euch eigene Server auf. Dann muss sich jeder nur noch fragen, wie sicher der Hoster ist und gut ist es.

1 Like

Mich erstaunt schon, wieviel Schwachsinn unwidersprochen verbreitet werden kann, während man sich beim „Pöhse Geheimdienste!“ auf die Schulter klopft. Das Tor-Netz ist darauf ausgelegt, dass auch böswillige Player aktiv sein können und das Konzept trotzdem funktioniert. Hier wird wieder und wieder über die versteckten „Parameter“, Fonktionen, wasweissich von Tor geredet und keinem Menschen ist offenbar klar, dass die Tor-Sourcen offen sind, jeder die Source prüfen, verwenden, selber kompilieren, das verdammte Kompilat mit dem Executable abgleichen kann und was auch immer. Gleiches gilt für den Tor-Browser. Das macht hier nur keiner von den Verschwörungsraunern mangels Kompetenz, und ich bin sicher, keiner von ihnen hat sich auch nur mal die Mühe gemacht, einen der jedes Jahr auf dem Congress stattfindenden State of the Onion-Talks anzugucken, wo, oh wunder, Tor-Core-Developer berichten, was die konkreten Probkleme und Gefährdungen sind (Hint: es gibt Aufzeichnungen). Wir haben Tormetrics, wo man sich die Mühe machen kann zu gucken, wo welche Relays, Exits, whatever betrieben werden und wieviel Promille Traffic sie jeweils verarbeiten (Hint, es gibt einige dicke in .de, hinter denen hochengagierte Leute stehen, die wahrscheinlich Fragen beantworten, wenn sie nicht allzu verstrahlt daherkommen).
Das wäre im Übrigen eine „seriöse“ Prüfung der ganzen Kiste, und ich will den VPN/Proxy/whatever-Anbieter sehen, der derart transparent ist.
Tor ist meiner bescheidenen Ansicht nach das sicherste, was wir zur Zeit haben. Wenn mich irgendwer fragen würde, dessen Leben davon abhängt, wie er seine Netzaktivität verschleiert, dem würd ich niemals irgendwas anderes erzählen, und ich halte es für begründungsbedürftig, wenn man das würde. Auf demselben Transparenzniveau wie vom Torproject praktiziert, btw.

man ist nicht so sicher wie einige denken bei Tor, ein kleines fehler und du wirst eingebucht