Was ist eine bessere Anonymisierung als TOR

ScaredSurfin · 25. April 2024 um 16:46

Sagen wir ihr wollt als Whistleblower möglichst sicher vor der Verfolgung des deutschen Staates wie würdet ihr Vorgehen?

Nachdem ja nun mittlerweile klar ist dass TOR vom US Militär erstellt wurde und die Programmierer Sicherheitslücken zuerst an die US Sicherheitsbehörden melden.
( Yasha Levine | Privacy Spooks: Tor was (and is) funded by the US government

Wie seht ihr die Anonymität jetzt TOR? oder das VPN Mullvad (das ja auch einige Red Flags) hat. Mullvad ist eben auch mit Tor sehr verbandelt und gibt gleichzeitig auch nicht heraus wie viele Anfragen sie so erhalten + keine Audits. Da fragt man sich warum?

Wem würdet ihr mehr trauen oder gibt es neuere bessere Möglichkeiten?

samsy · 25. April 2024 um 16:57

I2P. Aber frag mich nicht wie das geht.

NichtDieMama · 25. April 2024 um 17:04

Kombination von Tor plus VPN plus Tails als Betriebssystem und das ganze in einem öffentlichen WLAN und mit einem WLAN-Gerät, was bei jeder Verbindung eine neue MAC-Adresse erzeugt.

Und danach noch den Rechner in den nächsten Fluss schmeissen

ScaredSurfin · 25. April 2024 um 17:10

Ok einarbeiten tue ich mich dann selbst. Aber zum Verstädnis mal Grundsätzlich 2 Fragen: Hältst Du I2P generell für sicherer oder nur weil TOR jetzt klar als US Militär geoutet ist? 2. Ich dachte der Witz bei I2P ist, dass der Hauptteil des traffics innerhalb des Netzwerks bleibt (so mein Anfänger Verständnis), wenn ich jetzt aber eine Seite wie Tutanota. aufrufe um meine Mails zu verschicken dann bin ich ja nicht mehr innerhalb des Netzwerkes.

Und überhaupt woher wissen wir das I2P nicht gerade die nächste Entwicklung von DARPA NSA und co ist?

@NichtDieMama

Ja so ungefähr habe ich es mir heute auch überlegt.
Weißt Du was mich dazu gebracth hat TOR zu misstrauen? Das Tails ausschließlich mit TOR sich verbindet. Es klang so als ob jemand unbedingt will dass Du Tor nutzt…

Falls man Tails traut: Ja es wechselt ja immer die MAC-Adresse - tails baut sonst keine Verbindung zum WLAN auf: ist also sicher.
Nur habe ich jetzt wo gelesen das TOR nur den Traffic des WEBBROWSERS absichert. Würde ich also Emails per Thunderbird verschicken, wäre ich also gar nicht sicher.
Weiß aber nicht ob das stimmt.

samsy · 25. April 2024 um 18:00

Ich habe I2P ehrlich gesagt nicht mal verstanden. Es ist wie du sagtest ein Internet im Internet und das Peer-basiert. Also quasi p2p anstelle von relays und tunneln.

TOR habe ich ehrlich gesagt nie getraut oder verwendet. Der einfache fact, dass ich einem exit node Betreiber vertrauen muss finde ich sehr unbehaglich. Wer sind diese exit node Betreiber? Hatte selbst mal darüber nachgedacht einen aufzusetzen, aber mir wurde davon abgeraten.

Wozu eigentlich der ganze Aufwand mit vpns, und Tor und I2P? Ich hoste blocky in Kombination mit unbound, welches dann wiederum mit stubby meinen kompletten traffic auf dem openwrt Router per DoT verschlüsselt.

Keine Nodes keine externen VPN Anbieter, zero trust halt.

qbi · 25. April 2024 um 20:21

Als Whistleblower würde ich mir zunächst Gedanken machen, wer mein „Gegner“ ist und welche Möglichkeiten dieser hat und welche realistisch genutzt werden.

Der Artikel, den du zitierst und nachdem es „mittlerweile“ klar ist, ist zehn Jahre als und heute so unseriös wie er damals war.

Die Anonymitätsgarantien, die Tor bietet, sind unverändert. Es ist klar, wo die Grenzen liegen.

Die anderen Tools, die so existieren, sind teils in der Theorie besser und haben praktische Schwächen. Bei anderen weiß man letztlich nicht, was man bekommt. Für mich ist eine der Stärken von Tor, dass die Grenzen klar sind und damit lässt sich gut kalkulieren.

mexstef · 26. April 2024 um 09:05

Ich denke zunächst, das potentiell alle Anwendungen in der Struktur des uns bekannten www unsicher sind oder werden können. Einzig eine Ende-zu-Ende Verschlüsselung oder Verschleierung kann Anonymität bringen. Und da kam sicher TOR mit seinen Relais ins Spiel. Aber ist es wohl historisch unstrittig, dass TOR für die Kommunikation von sogenannten Tail-Agents von US Geheimdienst und Militär geschaffen wurde. Ich habe selbst lange TOR empfohlen, aus Mangel an Alternativen. Aber wenn man an einem "angezapftem* Relais oder Knoten arbeitet, ist es eben schlecht.

Ich würde auf ein neues dezentrales Netz setzen wollen, wie es Qortal sein könnte. Bis dahin muss man eben Risiko und Anwendung abwägen im Alltag.

ScaredSurfin · 26. April 2024 um 12:05

Oh wow davon habe ich echt nichts verstanden außer vielleicht DoT kannst Du Deinen Aufbau mal etwas erläutern das klingt sehr spannend.

@qbi Der Gegner ist dann vom LKA bis BND wenn man das Gedankenspiel weiter spinnt. Und der BND schnorchelt ja schön viel im Internet ab.
Zum Tor Netzwerk: Das ist jetzt allerdings schon nachgewiesen, dass es von der US Navy und DARPA erstellt wurde. WIRED hatte 2005 schon im ersten Artikel erwähnt, dass es von der Navy ist. Den Artikel findet man noch online: TOR torches online tracking…

Hm das ist gerade mein Gefühl bei TOR. Der BND hat schon 2008 an die Behörden geschrieben, dass es nicht sicher ist…

Wie würdest DU denn Tor mit der in Deinen Augen 2. besten Lösung vergleichen in Punkto Stärken Schwächen?

@mexstef Ja mir war es früher auch nicht klar, von wem Tor erstellt wurde. Mittlerweile ist es ja klar zu lesen, von daher wenn man das früher empfohlen hat, no problem.
Nur frage ich mich was für heute die bessere Lösung wäre? Interessant dass es Stand heute nichts gibt außer Hoffen auf Qortals.

Was haltet ihr von einem VPN wie Mullvad?

anon43219611 · 26. April 2024 um 12:38

Wieso sollte man irgendeinem VPN-Anbieter trauen können? Da sitzen ja letztlich auch nur Menschen. Sollte für Geheimdienste überhaupt kein Problem sein, sich da ausreichend eigenes Personal zu sichern. Geld, Frauen, schnelle Autos, Pokemon-Karten, Kino-Gutscheine, … jeder hat eine Grenze, ab der er bereit ist, über moralische Dinge hinwegzusehen. Und wenn einer so gar nicht will, dann halt mit Gewalt - bei der Aussicht auf ausreichend lange Haft wird auch der letzte gefügig. Und je größer ein VPN-Anbieter ist, um so attraktiver ist er für die Geheimdienste. Würde mich schwer wundern, wenn nicht alle großen Anbieter unterwandert wären - oder nicht direkt gleich von Geheimdiensten gegründet worden sind.

qbi · 26. April 2024 um 13:29

Eine Ende-zu-Ende-Verschlüsselung bringt keine Anonymität. Auch die weiteren Aussagen in deinem Beitrag solltest du überdenken oder klar belegen.

zu @ScaredSurfin

Diese Betrachtungsweise ist wenig zielführend. Beide operieren mit unterschiedlichen Mitteln und verfolgen teils unterschiedliche Ziele. Mit der Betrachtung eines unklaren Gegners wirst du letztlich auch unklare Werkzeuge nutzen und ggf. dein Ziel nicht erreichen.

Wenn weiterhin ein Whistleblower „Angst“ vor dem BND haben müsste, wäre die Sicherheit von Tor nur ein untergeordnetes Problem. Diese Person sollte vorab ein umfassendes Thread Modeling betreiben und realistische Risiken ausschalten.

Das Tor anfangs ein Projekt des Naval Research Lab der US Navy war, war bekannt.Tor wurde auch von Google und Facebook unterstützt. Und nun? Wie konkret wirkt sich das auf die Sicherheit von Tor heute aus? Außerdem solltest du dich fragen, ob du kein Internet benutzt, weil es von der DARPA finanziert wurde oder nutzt du kein Handy, weil da SELinux drin ist, was von der NSA entwickelt wurde etc.

PeterZH · 26. April 2024 um 14:14

QBI hat zu Recht darauf hingewiesen, dass E2EE nichts mit Anonymität zu tun hat. Genauso wenig hat ein VPN etwas damit zu tun.
Anstatt immer uralte und teils falsche Artikel zu TOR zu zitieren, und auf die Herkunft hinzuweisen, sollte man sich damit beschäftigen, wie TOR funktioniert, was die bekannten Risiken sind, und diese mit seinem Bedrohungsmodell abgleichen.

Es gibt viele Menschen, die auf TOR angewiesen sind. Aber wer sich als Whistleblower sieht und direkt mit den drei Buchstaben Diensten kommt, gehört wahrscheinlich nicht dazu.

NordWest · 26. April 2024 um 14:55

Dafür hast du aber ziemlich lange gebraucht… (Sorry, der böse Kommentar musste jetzt sein.)

Dass Tor ursprünglich ein Projekt mit maßgeblicher Mitwirkung des US-Militär war, ist allgemein bekannt und steht seit jeher bei Wikipedia und auf der offiziellen Webseite des Projekts. Fakt ist aber, dass Tor heute von einer unabhängigen NPO betrieben wird, bei der Unterhaltung und Entwicklung wirken sehr viele verschiedene Institutionen mit.

Btw.: Dir ist klar, dass das gesamte Internet maßgeblich vom Militär entwickelt wurde und ein erheblicher Teil der kritischen Kompenenten durch Institutionen in den USA (teilweise mit engem Regierungsbezug) gesteuert und kontroliert werden?

Nach allem, was wir wissen, ist Tor konzeptionell sicher. Daran ändert auch die Mitwirkung der US-Regierung nichts, im Gegenteil: Das US-Militär und die US-Geheimdienste nutzen selbst Tor für diverse Aktivitäten und sind darauf angewiesen, dass Tor zuverlässig seinen Zweck erfüllt.

Für die Frage, ob Tor für dich „sicher genug“ ist, müsstest du erst mal ein konkretes (!) Angriffs- bzw. Risikoszenario definieren. Was möchtest du tun? Wer ist der potentielle Angreifer? Wie interessant bist du für den Angreifer?

Ganz allgemein lässt sich nur sagen:

Tor ist die sicherste massentaugliche Lösung, die es derzeit gibt. Zu diskutieren sind bei einem erhöhten Schutzbedarf im Wesentlichen noch Zusatzfeatures (zusätzliche Tunnelung vor oder nach Tor, Kaskadierung, …), die Randbedingungen für den Einsatz (insb. die technische Hard- und Softwarebasis) und verhaltensbezogene Risiken (Risikofaktor Mensch).
Die sicherste Softwarelösung bringt dir absolut gar nichts, wenn du ihre grundsätzliche Funktionsweise und ihre Limitierungen nicht kennst und verstehst. Keine Software der Welt kann dir Sicherheit bringen, wenn du nicht weist, was du tust.
Es gibt keine absolute Sicherheit.

mexstef · 26. April 2024 um 15:38

@qbi

??? Meinungsäußerung !

NichtDieMama · 26. April 2024 um 15:38

Als Whistleblower solltest Du auf den Einsatz eines IMAP/SMTP-gestützten Mailsystems verzichten. Zu leicht landen Mailkopien auf einem Server. Es gibt viele Presseagenturen und Zeitschriften/Zeitungen, die eigene Whistleblower-Systeme anbieten, wo man quasi seine Daten nur hochlädt. Also nur HTTPS über Webbrowser. Dann kann man mit VPN+Tor+Tails arbeiten.

Letztendlich ist nichts 100% sicher und in den meisten Fällen ist der Mensch die größte Sicherheitslücke.

mexstef · 26. April 2024 um 15:42

@qbi

Sehr wohl und zwar gegenüber allen auf der Übertragungsstrecke vor den beiden Enden, v.a den man-in-the-middle und den Providern.
Ich halte es im Forum gerne weniger akademisch.

qbi · 26. April 2024 um 16:49

Stell dir vor, du sendest eine perfekt verschlüsselte E-Mail von deinem Ende zu einem anderen Ende. Der Provider, wo du deine Mail einwirfst, sieht, wer das war, jeder Mailserver unterwegs sieht, woher die Mail kommt und wohin sie geht und auch der Empfänger sieht woher die kam. Wenn dann noch jemand mitlauscht, kann der teils oder im Ganzen sehen, von wo nach wo deine Mail geht. Keine Anonymität trotz perfekter Ende-zu-Ende-Verschlüsselung.

skalavagr · 26. April 2024 um 20:14

Mal ein paar Anmerkungen:

Verschlüsselung schützt den Inhalt, aber nicht die Metadaten!
Ein kurzes Beispiel:
Du rufst eine Seite mit HTTPS auf. Sowohl der ISP als auch der VPN Dienstleister kann folgendes feststellen:

Welche Seite du aufrufst
Wer die Seite aufruft
Wie häufig du diese Seite aufrufst
Wie lange du dich auf dieser Seite befindest
Ob du größere Dateien hoch/runterlädst
…
So Sachen wie Browser-Fingerprinting noch garnicht erwähnt.

Nur weil etwas vom US Militär/NSA/… entwickelt wurde heißt es nicht, dass es automatisch unsicher ist. SELinux wurde auch von der NSA entwickelt und ist heute Bestandteil in allen Linux Distributionen (und ich habe noch nie gehört, dass SELinux unsicher sei).
Dass TAILS den gesamten Traffic durch TOR leitet hat den Grund, dass Programme und PDF Dateien gerne mal eingebetteten Code haben der irgendwelche Seiten im Hintergrund aufruft und dies kann dann zur Deanonymisierung führen.
Whistleblower verwenden kein E-Mail sondern anonyme virtuelle Briefkasten von Wikileaks, Heise, … oder Kommunikationsplattformen wie SecureDrop.
All diese Plattformen nutzen TOR oder können/sollten mit TOR benutzt werden.
I2P ist ein anonymes Peer-to-Peer Netzwerk, jeder Teilnehmer ist gleichzeitig Sender und Empfänger. Das erhöht die Anonymität deutlich, da viel mehr Relays/Nodes existieren. Surfen ist nur im I2P Netzwerk möglich, ein Gateway ins Clearnet gibt es nicht (mehr).

Wenn du dich gegen potente Angreifer wie deutsche Behörden schützen möchtest, wäre dieser Thread was für dich. Dort haben wir ziemlich ausführlich darüber diskutiert.

Crey · 27. April 2024 um 08:46

Das Internet an sich wurde doch zuerst fürs Militär entwickelt?

Wenn Tor und Co. so unsicher sind, fragt man sich halt, wie der Schwarzmarkt und Co. so am leben bleiben.

Ich würde immer eine Risikoabschätzung machen.

ScaredSurfin · 30. April 2024 um 09:39

@skalavagr: interessanter Beitrag. Aber ich ich glaube bei 1. das stimmt nicht so ganz.

Die Verbindung vom eigenenen Rechner zum VPN erfolgt über einen verschlüsselten Tunnel. Der ISP sieht die Verbindung zum VPN Server zurück zum User kommt verschlüsselter Content vom VPN Server. Der sieht nur 5h Verbindung zum z. B. Mullvad Server in USA etc.

zu 2. Oh da wird es grundsätzlich. Ich würde genau das verneinen. NEIN ich traue nicht Software-Lösungen die vom US Militär bereitgestellt oder empfohlen werden. Warum empfehlen sie diese wohl? weil sie so sicher sind oder weil sie sehr wohl Zugriff drauf haben? Also so weit sollte man mittlerweile sein das man das verstanden hat, dass das eine What-to-NOT-do Liste ist. Warum haben sie wohl RSA empfohlen? Weil Ari Jouls eine NSA bitch ist, deswegen. Interessant ist auch dass er jtzt an einem Crypto-Projekt arbeitet… Hm…

Zu dem LInk der bringt bei mir eine Fehlermeldung: " oppla! Diese Seite existiert nicht oder ist privat."

Robert Dingledine von Tor ist ja noch viel leichter zu erkennen, er trägt geradezu eine Kappe auf der DARPA drauf steht. Nachdem die EFF Tor an die Masse vermarketet hat, mit dieser albernen Geschichte damit CIA Agenten besser getarnt wären, na da sind sie jetzt aber super geheim unterwegs! Zumal man ja erkennt wo der Traffic hingeht, der Ausgangsserver, wenn kompromittiert die Nachrichten lesen kann.

Zum manchen im Forum der hier - in einem wie ich finde teilweise sehr überheblichem Tonfall - Binsenweisheiten verbreitet:

Wer glaubt das Militär stellt einem eine sichere Lösung bereit auf die sie kein Zugriff haben, da weiß ich auch nicht mehr weiter…

Es ist nur nicht 1 total auffällige Backdoor. Sondern es ist der Ansatz der vielen kleinen Schwächen, die kumulativ was „gutes“ für den Dienst ergeben.

Tails z. B. das riecht auch sehr nach Geheimdienst. Das Tails Projekt erhält Spenden z. B. vom:

„Bureau of democracy“ klingt schon wie eine CIA Tarnorganisatioin ist aber gleich ganz offiziell US State department. Interessant ist auch dass die Höhe die Spenden je nach Jahr stark variiert. von 19.000 USD in einem Jahr auf 114K im nächsten. Das kann man so lesen: Falls die Spenden in einem Jahr nicht ausreichen, dann zahlt das US State Department den Rest".

Interessant auch dass Tails bei Kosten von um die 0.5 Mio -1Miio USD 7 500 USD „banking fees“ bezahlt. Nicht Kredite, Bankgebühren Was die da so alles an Überweisungen machen? Wow. Also ich kennen keinen Selbständigen der 7500USD/EUR an Bankkosten im Jahr hat…

Die Website ist auch sehr professionell gestaltet, nur leider häufen sich die merkwürdigkeiten bei Tails:

Tails anonymisiert die MAC Adress gar nicht so richtig. Nur wenn man in die Netzwerkverbindung geht und es nach jeder Verbindung selbst tut dann… Upsie viele Nutzer hat es da schon erwischt…
ipconfig ist auch weg, nun muss man durch die ip command durch um manuell die MAC Adresse zu ändern. Man könnte den Eindruch bekommen jemand möchte dass man die nicht zufällige MAC von Tails benutzt.
Der schon absurde Vorschlag von Tails, es würde einem die Vorschläge an einen GMAIL account schicken wenn man eine Brdige nutzen möchte… Als ob es ihnen sehr unrecht wenn man Tor nciht alleine Nutzen möchte.

Natürlich ist Tails dann wieder eng mit dem TOR Projekt verbandelt die Programmierer sind auch anonym.

Ich weiß das wird jetzt viele hier triggern, weil die Wahrheit ist, dass das was wir viele Jahre selbst geglaubt haben absolut nicht sicher ist und wir eigentlich in einer Albtraumwelt aufwachen in der wer selbst noch die Lösungen der Matrix anpreisen, weil es eben keine besseren Alternativen gibt. Ich bin selbst müde und auf der Suche.
Aber überlegt doch mal, wenn der BND 2008 schon sagt,das Tor nicht sicher ist. Das Anhängsel der NSA findet vor 16 Jahren schon raus, nach gerademal 2-4 Wochen Test mit ein paar Servern.
Dann meint die Mehrheit hier das wäre sicher weil die Electronic Frontier Foundation das sagt???
Genau die, die Öffentlichkeit sehr in die Irre geführt haben was TOR angeht und die jetzt natürlich wieder Tails anpreisen…
NSA Angestellte und Subcontractor vom State Department sind NCIHT euer Freund…

Tomka · 30. April 2024 um 12:47

Es gibt zwei allseits bekannte Wege ein Tool oder eine Handlungsweise zu diskreditieren.
-unterstelle, das sie. nur Verbrechern und Kinderschändern dient und deshalb verboten gehört
-unterstelle das sie nicht wirksam/unsicher ist

Ich werde jetzt nicht über dieses Stöckchen springen. Wenn du es nicht verstehst lass es.