Thema: Neue Tor-Version: sicherer und anonymer

[SiLæncer]

Das Softwarepaket für den USB-Stick ist bereits fertig konfiguriert.
Surfen mit Firefox, chatten mit Pidgin - alles geht verschlüsselt über das Tor-Netzwerk.
Man sollte bei der Nutzung allerdings ein paar Sachen berücksichtigen: Infos hier.

Eine Anleitung für die Nutzung findet man auf dieser Seite.
Die genutzte Version des Firefox ist nicht mit der Version von Mozilla identisch, daher sollte man nicht versuchen,
diesen auf den neusten Stand zu bringen.

Für WIN 2000 - WIN 7

http://www.torproject.org/download.html.de

[SiLæncer]

Ein Changelog scheint nicht zu existieren ...

http://www.torproject.org/easy-download.html.de

[SiLæncer]

Mal wieder ohne Changelog ...

http://www.torproject.org/easy-download.html.de

[SiLæncer]

Mal wieder ohne Changelog ...

http://www.torproject.org/torbrowser/index.html.de

[SiLæncer]

Mal wieder ohne Changelog ...

http://www.torproject.org/torbrowser/index.html.de

[SiLæncer]

Entwickler der University of Cambridge haben zwei Anwendungen für Android veröffentlicht, mit denen Benutzer auch von Google-Handys aus anonym per Tor (The Onion Router) surfen können sollen. Um Tor mit dem Java-basierten Smartphone nutzen zu können, benötigt man die beiden Anwendungen der Digital Technology Group (DTG) der University of Cambridge, die während der Sommeruniversität 2009 entstanden. Die Android-App lässt sich über den Android Market installieren.

Das erste Tool des Android-Bündels ist "TorProxy", das die Verbindung zum Tor-Netzwerk aufbaut und auf Onion Coffee, einer Java-Implementierung von Tor, basiert. Da aber der Android-Browser nicht mit dem Proxy zurecht kommt, wird der auf TorProxy und anonymes Surfen zugeschnittene Browser "Shadow" genutzt.

Ein spezieller Browser für anonymen WWW-Zugriff ist durchaus sinnvoll, weil reguläre Browser ohne besondere Anpassung der Konfiguration etwa durch Cookies viele Daten über den Anwender preisgeben. TorProxy und Shadow stehen unter Version 2 der GNU General Public License (GPLv2), Sourcecode und Installationshinweise finden sich hier.

Jacob Applebaum vom Tor-Projekt äußerte jedoch gegenüber heise Security Zweifel an der Zuverlässig von TorProxy und hält das Programm für "nicht reif für den ernsthaften Einsatz". Das Onion-Coffee-Projekt sei schon seit längerer Zeit nicht mehr gepflegt und einige erhebliche Fehler von Onion Coffee fänden sich auch in TorProxy.

Die Probleme hält er für schwer behebbar, da eine Java-Portierung von Tor ein "ganz schönes Unterfangen" sei. Das Android-Projekt sei zwar "eine nette Demo", aber ein "halbgarer Tor-Client" stelle eine ernste Gefahr für die Anonymität dar, so Applebaum. Mehr verspricht sich der Sicherheitsexperte von der direkten Portierung des in C geschrieben Tor-Clients.

Quelle : www.heise.de

[SiLæncer]

Mit Tor ist Schluss mit dem komplett durchleuchteten Benutzer im Internet. Das Tool anonymisiert Ihre Vorgänge, egal was Sie gerade im Internet machen.

Die Freeware nutzt dafür folgende Masche: Ihre Verbindungen werden durch ein verteiltes Netzwerk von Servern geleitet. Diese Server, genannt Onion Router, schützen Sie vor Webseiten, die Profile Ihrer Interessen erstellen, und vor "Lauschern", die Ihren Datenverkehr abhöhren und dadurch erfahren, welche Webseiten Sie besuchen.

Eine Anleitung zur Installation/Einrichtung findet man hier.

Freeware für Millenium, 98SE, Win 2000, 2003 Server, XP und Vista.
Hersteller: http://tor.eff.org/

[SiLæncer]

Der Entwickler Nathan Freitas hat bekannt gegeben, dass die Anonymisierungssoftware Tor nativ unter dem Mobil-Betriebssystem Android läuft. Zu der in der Programmiersprache C geschriebenen Portierung gehören Hilfsmittel, die die Tor-Software installieren, starten und für Android-Nutzer bedienbar machen. Die quelloffene Software The Onion Router (Tor) verschleiert die tatsächlichen IP-Adresse eines Surfers über ein Netz aus Vermittlungsstellen (Nodes), die von Freiwilligen aus aller Welt betrieben werden. Das Programm kann jedoch nicht alle Daten bei der Übertragung anonymisieren, warnen die Tor-Entwickler auf der Projektseite.

Freitas Android-Programm nennt sich Orbot, bringt im Paket die eigene Tor-Anwendung mit, regelt die Installation und besitzt eine grafische Oberfläche, die Tor startet und stoppt. Außerdem stellt Orbot einen HTTP-Proxy bereit und zeigt Protokolle sowie Statusmeldungen an. Laut Freitas ist die Geschwindigkeit der in C geschriebenen Tor-Software deutlich besser als die vor kurzen veröffentlichte Java-Portierung. Orbot belaste kaum den Akku und wirke sich nur wenig auf die Geschwindigkeit des Mobiltelefons aus. In der nächsten Zeit will Freitas den an der Cambridge-University entwickelten Open-Source-Browser Shadow anpassen, sodass er mit Orbots eingebauten HTTP-Proxy zusammenarbeitet.

Bereits Mitte September hatte die Digital Technology Group (DTG) an der University of Cambridge einen in Java geschriebenen Tor-Ableger vorgestellt. Der Tor-Entwickler Jacob Appelbaum,  der auch an Orbot beteiligt ist, äußerte allerdings gegenüber heise Security Zweifel an der Zuverlässigkeit dieser Tor-Umsetzung. Er empfahl damals eine in C geschriebene Version für Android, also genau das, was er und Freitas nun veröffentlicht haben. Appelbaum bestätigte zudem, dass man Tor momentan um IPv6 erweitere. Aktuell arbeite er daran, dass Rechner das IPv6-Protokoll im Tor-Netz einsetzen können. Anschließend wolle man die Exit-Nodes IPv6 tauglich machen, später dann auch die Tor-Verzeichnisdienste.

Weitere Details zu Orbot  finden sich im Blog von Nathan Freitas. Der Quelltext von Orbot befindet sich noch in einer frühen Entwicklungsphase und steht als Eclipse-Projekt zum Download bereit, das sich leicht in die Enwicklungsumgebung importieren lässt und dort übersetzt werden kann. Freitas sucht für sein Projekt Mitstreiter und arbeitet zudem daran, Orbot "möglichst bald" im Android App Market zu veröffentlichen.

Quelle und Links : http://www.heise.de/newsticker/meldung/Anonymisierungssoftware-Tor-fuer-Android-und-IPv6-842898.html

[SiLæncer]

In Bezug auf das Anonymisierungsnetzwerk Tor gab es gestern ein wichtiges (und für die Anhänger erfreuliches) gerichtliches Urteil.

Am Prozess beteiligt war unter anderem Theodor Reppe, der Netzgemeinde vor allem bekannt als Besitzer der deutschen Wikileaks-Domain und darüberhinaus Tor-Admin. Gegen Reppe fand gestern vor dem Amtsgericht Jena eine Strafverhandlung statt. Der Tatvorwurf lautete: Computerbetrug - Reppe soll unter Verwendung von falschen Angaben einen Internetzugang gebucht und hierdurch einen Schaden in Höhe von 38,55 EUR verursacht haben. Einziges Beweismittel: Eine IP-Adresse, die zu den Kundendaten von Reppe führt.

Reppe jedoch gab an, nicht der Täter zu sein, und nach einer gleich zu Beginn vom Verteidiger Norman Lenz verlesenen Stellungnahme und weiteren Erklärungen Reppes mussten auch Gericht und Staatsanwaltschaft einsehen, dass Reppe nicht der Täter ist. Zu dem Verdacht kam es aufgrund des von Reppe betriebenen Tor-Servers - dieser wurde von Unbekannten missbraucht, um die betreffende Straftat zu begehen. Nun stellte sich die Frage: Störerhaftung - ja oder nein? Zwischen Gericht und Verteidigung entbrannte die Frage, ob Reppe deswegen schuldig sei, weil er die Datenübertragung für die Betrugstat ermöglicht habe.

Die Vertreter des Gerichts zeigten sich dabei Diensten wie Tor gegenüber sehr skeptisch eingestellt. Sie offenbarten "konservativ-populäre Ansichten, wonach Projekte wie Tor gesellschaftlich mehr schadeten als nutzten", berichtet Reppe. Es fielen Argumente wie das bekannte, dass, wer nichts zu verbergen habe, sich auch nicht fürchten müsse, und ähnliche Äußerungen gegen Anonymität. Selbst der Vorwurf "Mit ihrem Server ist auch die anonyme Verbreitung von Kinderpornographie möglich!", wurde laut. "Mit solchen Parolen könne auch das Post- oder Briefgeheimnis aufgehoben werden," konterte Reppes Anwalt - und sprach dabei wohl vielen Datenschützern aus der Seele.

Es gab jedoch ein Happy End für Reppe und das Tor-Projekt. Am Ende siegte die Unschuldsvermutung: Weil der Tor-Server Reppes nur der Anonymisierung und Verschlüsselung dient, nicht jedoch selbst Quelle von rechtswidrigen Aktivitäten war, musste das Gericht ihn freisprechen.

Quelle : www.gulli.com

[SiLæncer]

Mal wieder ohne Changelog ...

http://www.torproject.org/torbrowser/index.html.de

[SiLæncer]

Changes in Version 0.2.1.21

  o Major bugfixes:
    - Work around a security feature in OpenSSL 0.9.8l that prevents our
      handshake from working unless we explicitly tell OpenSSL that we are
      using SSL renegotiation safely.  We are, of course, but OpenSSL
      0.9.8l won't work unless we say we are.

  o Minor bugfixes:
    - Do not refuse to learn about authority certs and v2 networkstatus
      documents that are older than the latest consensus.  This bug might
      have degraded client bootstrapping.  Bugfix on 0.2.0.10-alpha.
      Spotted and fixed by xmux.
    - Fix a couple of very-hard-to-trigger memory leaks, and one hard-to-
      trigger platform-specific option misparsing case found by Coverity
      Scan.

http://torproject.org/

[SiLæncer]

Mit Tor ist Schluss mit dem komplett durchleuchteten Benutzer im Internet. Das Tool anonymisiert Ihre Vorgänge, egal was Sie gerade im Internet machen.

Die Freeware nutzt dafür folgende Masche: Ihre Verbindungen werden durch ein verteiltes Netzwerk von Servern geleitet. Diese Server, genannt Onion Router, schützen Sie vor Webseiten, die Profile Ihrer Interessen erstellen, und vor "Lauschern", die Ihren Datenverkehr abhöhren und dadurch erfahren, welche Webseiten Sie besuchen.

Eine Anleitung zur Installation/Einrichtung findet man hier.

Freeware für Millenium, 98SE, Win 2000, 2003 Server, XP und Vista.

http://tor.eff.org/

[SiLæncer]

Kein Changelog verfügbar

https://www.torproject.org/torbrowser/index.html.de

[SiLæncer]

Changes in version 0.2.1.22 - 2010-01-19

 

Code: [Auswählen]

Tor 0.2.1.22 fixes a critical privacy problem in bridge directory
  authorities -- it would tell you its whole history of bridge descriptors
  if you make the right directory request. This stable update also
  rotates two of the seven v3 directory authority keys and locations.

  o Directory authority changes:
    - Rotate keys (both v3 identity and relay identity) for moria1
      and gabelmoo.

  o Major bugfixes:
    - Stop bridge directory authorities from answering dbg-stability.txt
      directory queries, which would let people fetch a list of all
      bridge identities they track. Bugfix on 0.2.1.6-alpha.
Download: Tor 0.2.1.22 (7.95 MB)


Changes in version 0.2.2.7-alpha - 2010-01-19

Code: [Auswählen]

  o Major bugfixes (performance):
    - We were selecting our guards uniformly at random, and then weighting
      which of our guards we'd use uniformly at random. This imbalance
      meant that Tor clients were severely limited on throughput (and
      probably latency too) by the first hop in their circuit. Now we
      select guards weighted by currently advertised bandwidth. We also
      automatically discard guards picked using the old algorithm. Fixes
      bug 1217; bugfix on 0.2.1.3-alpha. Found by Mike Perry.

  o Minor features:
    - Avoid a mad rush at the beginning of each month when each client
      rotates half of its guards. Instead we spread the rotation out
      throughout the month, but we still avoid leaving a precise timestamp
      in the state file about when we first picked the guard. Improves
      over the behavior introduced in 0.1.2.17.


Changes in version 0.2.2.7-alpha - 2010-01-19
  o Major features (performance):
    - We were selecting our guards uniformly at random, and then weighting
      which of our guards we'd use uniformly at random. This imbalance
      meant that Tor clients were severely limited on throughput (and
      probably latency too) by the first hop in their circuit. Now we
      select guards weighted by currently advertised bandwidth. We also
      automatically discard guards picked using the old algorithm. Fixes
      bug 1217; bugfix on 0.2.1.3-alpha. Found by Mike Perry.
    - When choosing which cells to relay first, relays can now favor
      circuits that have been quiet recently, to provide lower latency
      for low-volume circuits. By default, relays enable or disable this
      feature based on a setting in the consensus. You can override
      this default by using the new "CircuitPriorityHalflife" config
      option. Design and code by Ian Goldberg, Can Tang, and Chris
      Alexander.
    - Add separate per-conn write limiting to go with the per-conn read
      limiting. We added a global write limit in Tor 0.1.2.5-alpha,
      but never per-conn write limits.
    - New consensus params "bwconnrate" and "bwconnburst" to let us
      rate-limit client connections as they enter the network. It's
      controlled in the consensus so we can turn it on and off for
      experiments. It's starting out off. Based on proposal 163.

  o Major features (relay selection options):
    - Switch to a StrictNodes config option, rather than the previous
      "StrictEntryNodes" / "StrictExitNodes" separation that was missing a
      "StrictExcludeNodes" option.
    - If EntryNodes, ExitNodes, ExcludeNodes, or ExcludeExitNodes
      change during a config reload, mark and discard all our origin
      circuits. This fix should address edge cases where we change the
      config options and but then choose a circuit that we created before
      the change.
    - If EntryNodes or ExitNodes are set, be more willing to use an
      unsuitable (e.g. slow or unstable) circuit. The user asked for it,
      they get it.
    - Make EntryNodes config option much more aggressive even when
      StrictNodes is not set. Before it would prepend your requested
      entrynodes to your list of guard nodes, but feel free to use others
      after that. Now it chooses only from your EntryNodes if any of
      those are available, and only falls back to others if a) they're
      all down and b) StrictNodes is not set.
    - Now we refresh your entry guards from EntryNodes at each consensus
      fetch -- rather than just at startup and then they slowly rot as
      the network changes.

  o Minor features:
    - Log a notice when we get a new control connection. Now it's easier
      for security-conscious users to recognize when a local application
      is knocking on their controller door. Suggested by bug 1196.
    - New config option "CircuitStreamTimeout" to override our internal
      timeout schedule for how many seconds until we detach a stream from
      a circuit and try a new circuit. If your network is particularly
      slow, you might want to set this to a number like 60.
    - New controller command "getinfo config-text". It returns the
      contents that Tor would write if you send it a SAVECONF command,
      so the controller can write the file to disk itself.
    - New options for SafeLogging to allow scrubbing only log messages
      generated while acting as a relay.
    - Ship the bridges spec file in the tarball too.
    - Avoid a mad rush at the beginning of each month when each client
      rotates half of its guards. Instead we spread the rotation out
      throughout the month, but we still avoid leaving a precise timestamp
      in the state file about when we first picked the guard. Improves
      over the behavior introduced in 0.1.2.17.

  o Minor bugfixes (compiling):
    - Fix compilation on OS X 10.3, which has a stub mlockall() but
      hides it. Bugfix on 0.2.2.6-alpha.
    - Fix compilation on Solaris by removing support for the
      DisableAllSwap config option. Solaris doesn't have an rlimit for
      mlockall, so we cannot use it safely. Fixes bug 1198; bugfix on
      0.2.2.6-alpha.

  o Minor bugfixes (crashes):
    - Do not segfault when writing buffer stats when we haven't observed
      a single circuit to report about. Found by Fabian Lanze. Bugfix on
      0.2.2.1-alpha.
    - If we're in the pathological case where there's no exit bandwidth
      but there is non-exit bandwidth, or no guard bandwidth but there
      is non-guard bandwidth, don't crash during path selection. Bugfix
      on 0.2.0.3-alpha.
    - Fix an impossible-to-actually-trigger buffer overflow in relay
      descriptor generation. Bugfix on 0.1.0.15.

  o Minor bugfixes (privacy):
    - Fix an instance where a Tor directory mirror might accidentally
      log the IP address of a misbehaving Tor client. Bugfix on
      0.1.0.1-rc.
    - Don't list Windows capabilities in relay descriptors. We never made
      use of them, and maybe it's a bad idea to publish them. Bugfix
      on 0.1.1.8-alpha.

  o Minor bugfixes (other):
    - Resolve an edge case in path weighting that could make us misweight
      our relay selection. Fixes bug 1203; bugfix on 0.0.8rc1.
    - Fix statistics on client numbers by country as seen by bridges that
      were broken in 0.2.2.1-alpha. Also switch to reporting full 24-hour
      intervals instead of variable 12-to-48-hour intervals.
    - After we free an internal connection structure, overwrite it
      with a different memory value than we use for overwriting a freed
      internal circuit structure. Should help with debugging. Suggested
      by bug 1055.
    - Update our OpenSSL 0.9.8l fix so that it works with OpenSSL 0.9.8m
      too.

  o Removed features:
    - Remove the HSAuthorityRecordStats option that version 0 hidden
      service authorities could have used to track statistics of overall
      hidden service usage.
Download: Tor 0.2.2.7 Аlpha (8.97 MB)

http://torproject.org/

[SiLæncer]

Die Initiatoren des Tor-Projekts  raten  Anwendern zu einem Update ihrer Anonymisierungsoftware Tor auf Version 0.2.1.22 oder 0.2.2.7-alpha. Der Grund ist ein Anfang Januar entdeckter Einbruch in zwei von sieben Verzeichnisservern (Directory Authorities) des Projekts (moria1 und gabelmoo) sowie in metrics.torproject.org, einem Statistik-Server. Auf Moria liegen zudem die Git- und Subversion-Repositories der Entwickler.

Kurz nach Entdeckung des Einbruchs habe man die Server vom Netz genommen. Angaben zur Ursache des Einbruchs machen die Betreiber nicht, die Schwachstelle sei nun aber geschlossen. Mittlerweile sind die Server neu aufgesetzt und mit neuen Schlüsseln zum Signieren der von den Directory Authorities ausgelieferten Tor-Server-Listen versehen – weshalb nun auch das Update der Tor-Clients nötig wird.

Nach ersten Erkenntnissen wurden die Repositorys nicht manipuliert. Allem Anschein nach wußten die unbekannten Eindringlinge nicht, wo sie eigentlich eingebrochen waren. Sie sollen die Server für Angriffe auf weitere Systeme missbraucht haben.

Quelle : www.heise.de