Thema: Neue Tor-Version: sicherer und anonymer

[SiLæncer]

 Mit Tor, "The Onion Router", bewahren Sie sich ein wenig Anonymität im Internet. Die Anonymisierung Ihrer Internetzugriffe wird dadurch erreicht, dass Tor Ihre Daten über zahlreiche Umwege durch das digitale Netz schickt. So bleibt Ihre IP-Adresse verborgen und Ihre Daten geschützt. Neben Tor wird der lokale Proxy Privoxy benötigt, der automatisch mit Tor installiert wird. Vidalia, das grafische Control Panel für Tor, trägt sich automatisch als Autostartprogramm ein. Mit Vidalia kann man Tor starten und anhalten, die Tormeldungen im Torlog verfolgen, die Bandbreitennutzung beobachten und Tor entweder als lokalen Proxy oder Server konfigurieren. Mit dem  Tor Detector testen Sie ( http://serifos.eecs.harvard.edu/cgi-bin/ipaddr.pl?tor=1 ) , ob Sie tatsächlich über Tor anonym surfen.

http://tor.eff.org/

[SiLæncer]

Changelog : http://archives.seul.org/or/announce/Dec-2006/msg00000.html

Quelle : http://tor.eff.org/

[SiLæncer]

Die Software für den Anonymisierungs-Dienst Tor - unter anderem für Linux, Mac OS X und Windows verfügbar – macht weiter Fortschritte. Die Entwickler haben den mittlerweile achten Entwicklungs-Snapshot von der 0.1.2.x-Reihe vorgestellt.

Seit kurzem steht TOR in einer neuen Fassung zum Einsatz bereit. Die Version 0.1.2.8 ist noch als Beta gekennzeichnet und damit wesentlich ausgereifter als eine Alpha, für einen neuen Release Candidate hat es aber noch nicht ganz gereicht. Laut den Entwicklern ist man aber nah dran.

Tor 0.1.2.8 Beta behebt diverse Absturzursachen. Zu den Major Bugfixes gehört beispielsweise, dass eine Absturzursache entschärft werden konnte, bei der der Controller nach resetconfig fragte. Ebenfalls behoben wurde ein Problem mit DNS Processes. Über die komplette Liste können Sie sich hier (englischsprachige Website) informieren.

http://archives.seul.org/or/talk/Feb-2007/msg00224.html

Quelle : www.pcwelt.de

[SiLæncer]

Die Entwickler des Anonymisierungsdienstes Tor haben in der neuen Version 1.2.15 mehrere Sicherheitslücken geschlossen. Durch die in den Release-Notes ( http://archives.seul.org/or/announce/Jul-2007/msg00000.html ) aufgeführten Schwachstellen können Angreifer in den Vorgängerversionen der Software unter Umständen die Kontrolle über Tor-Rechner erlangen, übertragene Daten manipulieren und Informationen über das Nutzerverhalten erlangen. Ein weiterer Bugfix sorgt für eine allgemein verbesserte Anonymität im Tor-Netz.

Die kritischste Lücke betrifft BSD-Nutzer, die Tor zusammen mit dem NAT-Daemon natd verwenden. Durch einen Programmierfehler im natd-Code kann es laut den Entwicklern zu einem Pufferüberlauf kommen, der sich möglicherweise zum Einschleusen von Schadcode ausnutzen lässt. Außerdem liefern aktuelle Tor-Proxys nun zum Abbau einer Verbindugsstaffette (Circuit) nun keinen Grund mehr für die Beendigung. Dies sollte laut Specs ohnehin der Fall sein, da es den beteiligten Tor-Routern Rückschlüsse auf das Nutzerverhalten ermöglichen kann.

Weiterhin wurde eine Schwachstelle bei der Behandlung von Stream-IDs behoben, die Tor-Routern unter Umständen die Manipulation der Daten in durchgereichten Verbindungen ermöglicht. Der vierte Bugfix sorgt dafür, dass sich die lokal auf einem Tor-Proxy abgespeicherte Liste stets zu verwendender Start-Knoten, die so genannte Guard-Liste, nicht unnötig verlängert. Je kleiner die Guard-Liste ist, desto geringer ist die allgemeine Wahrscheinlichkeit, sowohl für Eingangs- als auch Ausgangsknoten einen kompromittierten Knoten zu erwischen – das bedeutendste Angriffszenario gegen die Anonymität im Tort-Netz.

Neben den sicherheitsrelevanten Problemen wurden auch verschiedene allgemeine Programmierfehler behoben, die schlimmstenfalls zu Abstürzen führen können. Die Entwickler legen allen Tor-Nutzern nahe, auf die neue Version zu aktualisieren.

http://tor.eff.org/

Quelle : www.heise.de

[SiLæncer]

Die Version 0.1.2.16 der Anonymisierungssoftware Tor beseitigt eine Sicherheitslücke, die es entfernten Angreifern unter Umständen erlaubt, die Konfigurationsdatei (torrc) des Benutzers zu manipulieren: Laut den Entwicklern kann die Lücke die Anonymität der Benutzer verletzen. Betroffen sind danach die meisten Konfigurationen, insbesondere solche, die Tor über grafischen Oberflächen wie Vidalia oder TorK steuern.

Die grafischen Oberflächen steuern den lokalen Tor-Dienst über das Tor-Control-Protokoll (TC), das Kommandos für den Anonymisierungsdienst am lokalen Port 9051 entgegennimmt. Tor schließt nach einer fehlenden Authentifizierung nun solche Verbindungen und erlaubt nur noch einen Anmeldeversuch. Laut Release-Notes sind Tor-Installationen von der Lücke nicht betroffen, die in der Datei torrc der Parameter ControlPort ausgeschaltet haben. Die Entwickler empfehlen ausdrücklich ein Update auf die neue Version ihrer Software, die ab sofort auf der Projekt-Website zum Download bereitsteht.

Für Benutzer von Vidalia, einem Programmpaket aus der grafischer Oberfläche und dem Tor-Dienst, steht ein neue Version für Mac OS X bereit. Windows-Benutzern empfehlen die Entwickler entweder auf ein kommendes Vidalia-Paket zu warten oder die aktuelle Tor-Software und die grafische Oberfläche Vidalia jeweils einzeln zu installieren.

http://tor.eff.org/index.html.de

Quelle : www.heise.de

[SiLæncer]

Die vor Kurzem veröffentlichte Liste von E-Mail-Zugangsdaten von Botschaften und Behörden ist offenbar das Ergebnis unsicherer Verwendung des Anonymisierungsnetzes Tor gewesen. Der Schwede Dan Egerstad, der auch die Liste in seinem Blog postete, führt nun aus, wie er an die 100 Logins und Passwörter gelangt ist: Er habe fünf selbst aufgesetzte sogenannte Tor-Exit-Nodes mit Passwort-Sniffern ausgestattet, die den durchgehenden Datenverkehr analysierten. Das Tor-Netz arbeitet zwar anonymisierend, keinesfalls jedoch vertrauenswürdig, da jeder eigene Exit-Nodes betreiben kann. Zwar sind die Daten innerhalb des Tor-Netzes verschlüsselt, doch Exit-Nodes bekommen durchgereichte Daten auch im Klartext zu sehen, sofern Tor-Anwender sie unverschlüsselt losschicken. Dies gilt nicht nur für E-Mail-Logins, sondern auch für Webseiten und andere Datenübertragungen durch das Tor-Netz.

Wohlweislich weisen die Tor-Entwickler an mehreren Stellen in der Dokumentation darauf hin, dass Tor-Nutzer selbst dafür verantwortlich seien, die "letzte Meile" zum Zielserver durch eine geeignete Ende-zu-Ende-Verschlüsselung (etwa SSL, TLS oder HTTPS) abzusichern. Zumindest technisch versierten Anwendern ist dieser Umstand hinlänglich bekannt, doch offenbar schenken viele unbewanderte Tor-Nutzer dieser Notwendigkeit bislang nur wenig Aufmerksamkeit und betreiben ihre E-Mail-Programme und vermutlich auch andere Webanwendungen unverschlüsselt. Und das ist beim Einsatz von Community-Netzen wie Tor sogar erheblich gefährlicher als das unverschlüsselte Surfen direkt vom heimischen DSL-Anschluss aus.

Die Konsequenz ist, dass derzeit offenbar erhebliche Mengen vertraulicher Daten unverschlüsselt über die Exit-Nodes wandern, wo sie sich von böswilligen Betreibern im großen Stil abgreifen lassen. Neben den Botschaftspasswörtern will Egerstad so auch an E-Mail-Zugangsdaten namensträchtiger Fortune-500-Firmen, tausender Privatleute und an andere vertrauenswürdige Daten gelangt sein, die er jedoch nicht veröffentlichen möchte. Er habe die 100 Botschaftsaccounts gewählt, um Aufmerksamkeit zu erregen und die Verantwortlichen zum Handeln zu bewegen. Die Nutzer aller Accounts – auch der nicht veröffentlichten – seien informiert worden. Die Zugangsdaten seien bis auf die 100 Botschaftsaccounts inzwischen gelöscht. Glaubt man seinen weiteren Ausführungen, wurde sein in Schweden gehosteter Server auf Wirken von US-Ermittlern bereits vorübergehend vom Netz genommen.

Egerstad geht sogar soweit, einige der von ihm untersuchten Exit-Nodes chinesischen, russischen und amerikanischen Regierungskreisen zuzuschreiben. Auch große Firmen und illegale Hackergruppen sollen eigene Exit-Nodes betreiben. Bei Betrachtung der Tor-Exit-Node-Liste ist auffällig, dass die Zahl der Exit-Nodes im vergangenen Jahr überproportional in China und den USA gewachsen ist. Vor etwa einem Jahr standen die meisten der weltweit rund 200 Exit-Nodes noch in Deutschland. Während ihre Zahl hierzulande in etwa gleich geblieben ist, gibt es in den USA mit 175 heute rund zweieinhalb mal so viele Exit-Nodes wie in Deutschland. In China ließ sich die Zahl der Exit-Nodes vor einem Jahr noch an einer Hand abzählen, heute sind es bereits 77. Allein 26 davon lassen sich im Ballungszentrum Peking lokalisieren.

Sicherer ist man beim anonymen Surfen unterwegs, wenn man vertrauliche Daten nur über verschlüsselte TLS- oder SSL-Verbindungen (HTTPS) austauscht, sowie Cookies, JavaScript und Flash deaktiviert. Viele Webmail-Hoster schalten jedoch aus Performance-Gründen nach der HTTPS-gesicherten Anmeldung automatisch auf eine unverschlüsselte HTTP-Verbindung zurück.

Quelle : www.heise.de

[SiLæncer]

Kurz nach 0 Uhr am gestrigen Sonntagmorgen soll die Polizei an die Wohnungstür des Düsseldorfer Betreibers eines Tor-Exit-Nodes, einem Server für das Anonymisierungsnetzwerk The Onion Router (Tor), geklopft haben. In einem Blog-Eintrag schreibt der Betroffene, dass die Polizei aufgrund eines Foren-Beitrags auf dem privaten Polizei-Forum CopZone seine Wohnung durchsucht und alle Rechner beschlagnahmt habe – den Server, der offenbar bei einem Hosting-Anbieter stand, hat die Polizei jedoch nicht angerührt. Der inkriminierte Forenbeitrag soll Bomben- und Morddrohungen gegen Mitarbeiter eines Arbeitsamtes enthalten haben und ist inzwischen nicht mehr abrufbar.

Da die IP-Adresse zum Forum-Beitrag durch das Anonymisierungsnetzwerk verschleiert wurde und auf den Tor-Exit-Node verwies, gingen die Ermittler offenbar davon aus, dass der Serverbetreiber den Beitrag verfasst hat. Dieser Irrtum konnte Stunden später geklärt werden. Unklar bleibt, warum zwar die Rechner des Düsseldorfers beschlagnahmt wurden, der Server jedoch nicht. Die Aktion habe den Serverbetreiber und seine Frau zu Tode erschreckt, er sei am Ende seiner Zivilcourage, schreibt er in seinem Blog-Eintrag. Daher schalte er den Server "wormhole.ynfonatic.de" ab.

Eine Durchsuchung beim Betreiber eines Tor-Exit-Nodes dürfte ziemlich sinnlos sein, um beispielsweise Urheber von Foren-Beiträgen ausfindig zu machen. Die Ermittlungsbehörden könnten sich aber andere, grundsätzliche Schwachstellen von Anonymisierungsnetzen zunutze machen: Das Anonymisierungsnetz Tor soll sich etwa einer wissenschaftlichen Arbeit zufolge zu einem gewissen Grad überwachen lassen, indem der "Überwacher" manipulierte Tor-Server ins Netz stellt. Vor Kurzem konnte der Schwede Dan Egerstad mit einem manipulierten Tor-Exit-Node hunderte Passwörter von Behörden und Botschaften abphishen.

Siehe dazu auch:

    * Blog-Eintrag des Server-Betreibers -> http://itnomad.wordpress.com/2007/09/16/tor-madness-reloaded/

Quelle : www.heise.de

[SiLæncer]

Dass das Anonymisierungsnetzwerk The Onion Router (TOR) nur mit Vorsicht zu genießen ist, rief zuletzt der Schwede Dan Egerstadt mit seinem Tor-Hack ins Gedächtnis. Egerstad spähte mittels fünf eigener Exit-Nodes zahlreiche E-Mail-Zugangsdaten von Botschaften und Behörden aus und veröffentliche sie teilweise im Internet. Da nicht bekannt ist, wer welchen Exit-Node betreibt, lautet die Empfehlung bei der Nutzung von Tor daher: Immer zusätzliche Verschlüsselung benutzen.

Die Mitglieder der Teamfurry-Community waren neugierig und haben sich stichprobenartig die Advertisements einiger Tor-Exit-Nodes angeschaut, also der im Netz proklamierten Konfiguration. Dabei kommen sie zu recht interessanten Ergebnissen: So gibt es Exit-Nodes, die grundsätzlich nur bestimmte Protokolle in deren unverschlüsselter Version transportieren. Beispielsweise nimmt solch ein Node nur unverschlüsselte IMAP- und POP-Verbindungen (TCP-Ports 143 und 110) an und leitet nur Messenger-Verbindungen von AIM, Yahoo IM und MSN Messenger weiter, wenn sie auf den Ports eingehen, auf denen der Verkehr im Klartext abgewickelt wird. Gleiches gilt auch für Telnet- und VNC-Verbindungen für den Fernzugriff auf Systeme. Des Weiteren gibt es Systeme, die sich nur für bestimmte Ziele interessieren und etwa ausschließlich HTTP-Pakete an MySpace und Google weiterleiten. HTTPS-Verkehr dorthin wird indes blockiert.

Über die Gründe für die seltsamen Konfigurationen lässt sich nur spekulieren. Im Blog von Teamfurry geht man auch nicht so weit, diesen Nodes böse Absichten vorzuwerfen. Immerhin wirft der Bericht aber die Frage auf, ob man seine eigenen Daten über solche Nodes leiten würde. Vermutet wird allerdings allgemein, dass chinesische, russische und amerikanische Regierungskreise Tor-Exit-Nodes betreiben. Auch große Firmen und illegale Hackergruppen sollen eigene Exit-Nodes betreiben. Bei Betrachtung der Tor-Exit-Node-Liste ist auffällig, dass die Zahl der Exit-Nodes im vergangenen Jahr überproportional in China und den USA gewachsen ist.

Auch der Einsatz von Verschlüsselung hilft bei Nachlässigkeit des Anwenders nicht unbedingt weiter. So berichtet das Teamfurry-Blog von einem Exit-Node in Deutschland, der offenbar versucht, sich per Man-in-the-Middle-Attacke in SSL-Verbindungen einzuschleichen. Dazu lieferte er bei über ihn laufende SSL-Verbindungen ein gefälschtes, respektive selbstunterschriebenes Zertifikat aus. Das produziert zwar in der Regel eine Fehlermeldung, oftmals ignorieren Anwender diese jedoch. Mittlerweile wurde der "Phishing-Node" vom Netz genommen.

In wessen Hände die möglichweise ausgespähten Daten geraten, bleibt erstmal unklar. Was allerdings passiert, wenn man sie im Internet veröffentlicht, musste Dan Egerstat vergangene Woche erfahren, als er Besuch von den schwedischen Ermittlungsbehörden bekam. Die stellten nach einer Anzeige seine Wohnung auf den Kopf und verhörten ihn mehrere Stunden. Wer die Anzeige stellte, ist unbekannt. Vermutet wird, dass sie von einer ausländischen Behörde kam, deren E-Mail-Daten Egerstad veröffentlichte.

Quelle : www.heise.de

[SiLæncer]

Neuer Verein German Privacy Foundation will Schutz der Privatsphäre in Zeiten der Vorratsdatenspeicherung sichern

Inkompetenz bei Behörden kann eine Achillesferse des technischen Datenschutzes sein – auch für Anonymisierungsdienste. Besonders akut ist das Problem in Deutschland, wo Betreiber von TOR-Nodes bereits Opfer von Razzien wurden – wobei den durchführenden Sicherheitsbehörden offenbar nicht klar war, dass sie auf diese Weise den Urheber einer inkriminierten Botschaft nicht finden können. Viele Bürgerrechtler setzen deshalb ihre Hoffnung auf Nodes im Ausland, wo die Betreiber teilweise wesentlich besser geschützt sind als hierzulande.

Der neu gegründete gemeinnützige Verein German Privacy Foundation will einen anderen Weg gehen: Er versucht, das Fachwissen und den Berufsschutz von Juristen, Journalisten und IT-Fachleuten zu bündeln, um über anonyme und verschlüsselte Kommunikation informieren zu können, aber auch um selbst technische Lösungen anzubieten. Von dem Verein angebotene Schulungen sollen dazu beitragen, dass der Bereich Sicherheit im Internet in den Medien "besser und sachgerechter" dargestellt wird.

Weil es in Deutschland aufgrund der zunehmenden Verwendung von IP-Adressen in Strafverfahren immer häufiger zu Ermittlungen gegen die Betreiber von TOR-Nodes kommt, will die German Privacy Foundation sowohl TOR-Admins als auch Polizeibehörden und Staatsanwaltschaften unterstützen, um die Zahl der TOR-Raids zu verringern. Dazu soll neben einer technischen Aufklärung der Ermittler auch ein Log-Service für das TOR-Netz beitragen, um, so die Initiatoren, "im Falle von Ermittlungen gegen TOR-Admins den Nachweis erbringen zu können, dass der TOR-Node zum Tatzeitpunkt online war und ein Missbrauch des Dienstes möglich ist." In Ausnahmefällen will die German Privacy Foundation privaten Betreibern von Anonymisierungsdiensten auch Rechtsbeistand vermitteln.

Zur Kontaktaufnahme bietet der Verein eine "vorratsdatenfreie Nachrichtenbox", bei der die Nachrichten auf dem Server gespeichert werden. Weil dabei auch nach den neuen Regeln zur Vorratsdatenspeicherung keine rechtliche Verpflichtung zum Festhalten der Absender- und Empfängerdaten besteht, kann auf diese Weise anonym kommuniziert werden.

Quelle und Links : http://www.heise.de/newsticker/meldung/100195

[SiLæncer]

In einem Forum zum Thema "Ende der Privatsphäre?" diskutierten Vertreter aus Zivilgesellschaft, Justiz und Wirtschaft am gestrigen Freitagabend die erwarteten Folgen der Vorratspeicherung von Telefon- und Internetdaten sowie anderer Überwachungsvorhaben. Organisiert wurde die Veranstaltung von der neu gegründeten German Privacy Foundation (GPF) in Berlin.

Experten erwarten durch die Neuregelung der Telekommunikationsüberwachung gravierende Auswirkungen auf Anonymisierungsdienste. "180 von 200 deutschen TOR-Servern gehen offline", kündigte Karsten Neß an, der für die Gesellschaft zur Förderung angewandter Informatik sprach.

Von Januar 2009 an greifen die Verpflichtungen zur verdachtsunabhängigen Vorhaltung von Verbindungsdaten auch für den Internetbereich. Unter diesen Bedingungen werden die größtenteils privat betriebenen deutschen Server für das schlagzeilenträchtige Anonymisierungsnetzwerk nicht mehr aufrecht zu erhalten sein.

Neß hat selbst einen TOR-Zugangsknoten am Laufen und vor kurzem einen einwöchigen Test für die Vorratsdatenspeicherung gemacht. Dabei seien derart "beachtliche Datenmengen" zusammengekommen, dass die Vorrichtungen zum Aufbewahren der Verbindungsinformationen gesondert nachgerüstet werden mussten. Zudem verlangen die gesetzlichen Vorgaben, dass Anfragen von Ermittlern zeitnah nachzukommen seien. "Ein privater Betreiber darf dann keinen Urlaub mehr machen", um ständig erreichbar zu sein, erklärte der Informatiker.

Dabei hinterfragte Neß auch den praktischen Nutzen des Speichergesetzes: Wenn sich die Strafverfolgung im Netz nur an der IP-Adresse eines Verdächtigen festhält, dürften Vorratsdaten von TOR-Servern wenig bringen. Heß habe auf seinem Server zu einem beliebigem Zeitpunkt allein rund 8000 parallele Verbindungen gezählt; die einzelnen IP-Adressen seien somit kaum aufzuschlüsseln. Zudem laufe der Verkehr rasch über internationale Server weiter, was eine Zuordnung der Datenpakete weiter erschwere.

Auch Ulf Buermeyer, Richter des Landes Berlin und derzeit wissenschaftlicher Mitarbeiter am Bundesverfassungsgericht, erklärte, ihm persönlich gehe "die Vorratsdatenspeicherung zu weit". Künftig werde er von seinem Dienstanschluss keine Journalisten mehr anrufen, um möglichen Verfahren aufgrund von Geheimnisverrats aus dem Weg zu gehen. Es sei fraglich, ob man "mit so vielen Freiheitseinschränkungen" tatsächlich einen großen Sicherheitsgewinn erziele. Eine freiheitliche Gesellschaft müsse mit eventuellen Sicherheitslücken leben können, die trotz aller Aufrüstung bei der Überwachung noch bestünden. Verfahrensrechtliche Schutzmaßnahmen wie der Richtervorbehalt würden zum Schutz vor Missbrauch nicht ausreichen. Dabei müsse sich der Ermittlungsrichter auf die Wahrhaftigkeit des Antrags der Staatsanwaltschaft verlassen.

Laut Jakob Erkes vom Verein der Ingenieure für Kommunikation (ifKom) "ist noch gar nicht verstanden worden, was die Vorratsdatenspeicherung eigentlich heißt". Der ifKom sei nicht pauschal gegen Anonymisierungsdienste, versuchte er eine frühere Verlautbarung der Telekommunikationslobby zurechtzurücken. Es gehe aber auch nicht allein um die Speicherung von Logdateien, sondern um die Aufzeichnung von "Bewegungsbildern". Die "Schrauben" zur Kontrolle der Bürger würden immer weiter angedreht, während auf die Wirtschaft immense Kostenbelastungen zukämen. Erkes hält die bisher etwa vom Bitkom und dem Providerverband eco geschätzten Anfangsinvestitionen für deutlich zu niedrig angesetzt: "Wir werden auch mit 700 Millionen Vorlaufkosten nicht auskommen."

Die Debatte ließ auch die kurzfristig auf Eis liegenden Pläne des Bundesinnenministeriums für heimliche Online-Durchsuchungen nicht aus. Mangels praktischer Durchführbarkeit bezeichnete der GPF-Vorsitzende Burkhard Schröder den so genannten Bundestrojaner zwar generell als "Ente". Für wesentlicher hielt Buermeyer den vom Verfassungsgericht angemahnten Schutz des Kernbereichs der privaten Lebensgestaltung. Der Richter erinnerte daran, dass bei der Berührung dieser Intimsphäre ein "Erhebungsverbot" bestehe. So dürften entsprechende Daten "nicht einmal beschafft werden", was etwa gegen das von der Union geforderte "Richterband" beim großen Lauschangriff spreche.

Aber die Bundeskriminalamt ins Spiel gebrachten Stichwortsuche bei der Analyse etwa von Festplatten führt laut Buermeyer nicht weiter: "Ich wüsste nicht, wie ich das als Programmierer umsetzen sollte." Man könne aber durchaus fragen, ob die Vorratsdatenspeicherung etwa bei einer Telefonsexfirma aufgrund desselben Prinzips nicht aufhören müsste.

Abschließend versicherte Schröder, dass "wir alle Maßnahmen verbreiten werden, die Vorratsdatenspeicherung legal ad absurdum zu führen". Generell wolle die GPF die Bürger dazu bringen, den hohen Wert der Privatsphäre stärker anzuerkennen und zu verteidigen. Eine solche Lobby müsse aber "von unten kommen". Vielleicht müsse die Republik dann auch nicht mehr "vom Bundesverfassungsgericht regiert werden", das die Politik derzeit bei Sicherheitsgesetzen "permanent abwatscht".

Quelle : www.heise.de

[SiLæncer]

Das Tor-Projekt zur Anonymisierung von Internetverbindungen hat alle Fehler und Sicherheitslücken in seiner Software beseitigt -- zumindest die vom Dienstleister Coverity entdeckten. Der Quellcode-Analyse-Dienstleister Coverity hatte im September 171 Probleme im Code des Tor-Projektes an die Tor-Entwickler gemeldet, die nach eigenen Angaben am 7. Januar 2009 alle behoben haben wollen.

Viele der Probleme und Schwachstellen seien auf Schlamperei in der Fehlerbehandlung zurückzuführen. Ein großer Teil seien aber echte Programmierfehler gewesen, von denen einige unter ungewöhnlichen Umständen zum Absturz geführt hätten. Zudem seien die Fehler schwer zu debuggen gewesen sein.

Normalerweise lässt Coverity sich seine Dienstleistungen zur Suche nach Lücken im Quellcode gut bezahlen. Seit 2006 finanziert aber das Department of Homeland Security (DHS) automatisierte Security-Audits für Open-Source-Projekte, um deren Sicherheit zu erhöhen. Dabei erhält auch Coverity regelmäßig Zahlungen, um im Rahmen des "Vulnerability Discovery and Remediation, Open Source Hardening Project" täglich den Quellcode von populären Open-Source-Projekten nach Schwachstellen zu durchkämmen. Dazu gehörten anfänglich unter anderem Apache, BIND, Ethereal, KDE, Linux, Firefox, FreeBSD, OpenBSD, OpenSSL und MySQL.

Für die Untersuchung benutzt Coverity das Fehleranalyse-Werkzeug Coverity Prevent, das Lücken in in C, C++ oder Java geschriebenen Sourcecode aufspürt. Die Mozilla Foundation hat mittlerweile das Coverity-Tool für die eigene Fehlersuche lizensiert. Die Liste der unterstützten Projekte umfasst mittlerweile viele weitere Open-Source-Projekte, darunter auch Apache, OpenVPN, Perl und Python.

Zuletzt hatte Coverity mitte des Jahres 2008 verkündet, dass Open-Source-Software immer sicherer werden. Die Fehlerdichte habe in den letzten Jahren um 16 Prozent abgenommen. Besonderen Lob sprach Coverity unter anderem für die freie CIFS-Implementierung Samba, die Backup-Lösung Amanda, NTP, OpenVPN, den Mailserver Postfix und die Sprachen Perl, PHP und Python aus.

http://www.torproject.org/index.html.de

Quelle : www.heise.de

[SiLæncer]

Kürzlich verkündeten die Entwickler des Tor-Projektes zwar, alle Fehler und Sicherheitslücken in ihrer Software beseitigt zu haben, dabei handelte es sich aber nur um die vom Dienstleister Coverity entdeckten. Nun haben die Entwickler Version 0.2.0.33 der Anonymisierungssoftware veröffentlicht, in der eine vom Sicherheitsspezialisten Ilja van Sprundel entdeckte Lücke geschlossen ist. Laut Bericht handelt es sich um eine "Heap Corruption", die sich auf einigen Betriebssystemen aus der Ferne ausnutzen lässt.

Was man genau damit anstellen kann, lässt das Changelog der Entwickler allerdings offen. Immerhin stufen sie das Problem als "important" ein und raten zu einem Update. Darüber hinaus wurden in der neuen Version zahlreiche kleinere und größere Fehler beseitigt, die die Stabilität negativ beeinflusst haben. Die Tor-Pakete stehen für Windows und Mac als Installer zum Download bereit, für Suse Linux und Red Hat gibt es fertige RPMs.

Siehe dazu auch:

    * Tor 0.2.0.33-stable released

Quelle : www.heise.de

[SiLæncer]

"Sokwanele" bedeutet in einer der Bantu-Sprachen des südlichen Afrikas "genug ist genug". Es ist auch der Name einer Website für Demokratie in Simbabwe, die im vergangenen Jahr Berichte über Gräueltaten des Regimes von Robert Mugabe veröffentlicht hatte. Nach der Parlamentswahl posteten die Betreiber Berichte über die Einschüchterung von Wählern und Manipulationen von Wahlurnen. Auf regelmäßig aktualisierten Karten sind politisch motivierte Gewalttaten eingezeichnet.

Dass diese Schilderungen so einfach zugänglich sind, lässt vergessen, wieviel Mut dazu gehört, sie zu veröffentlichen. Denn den anonymen Fotografen und Bloggern, die die Sokwanele-Seite beliefern, droht bei Enttarnung Gefängnis oder Schlimmeres. Sie müssen immer auf der Hut sein, mit wem sie sprechen.

Und sie müssen verhindern, dass sie über die IP-Adresse ihres Computers identifiziert werden können: Zum Beispiel mit der Anonymisierungssoftware Tor. Technology Review stellt nun in einem ausführlichen Dossier die Entstehung des Open-Source-Projektes dar, berichtet über den Einsatz in Zensurländern und die Gefahren, die dem Projekt und seinen Verwendern drohen.

Mehr zum Thema in Technology Review online:

    * Quelle : Retter für die freie Meinungsäußerung

Quelle : www.heise.de

[SiLæncer]

Die Entwickler des Tor-Projekts haben Version 0.2.0.35 ihrer Anonymisierungssoftware vorgelegt, die unter anderem zwei Sicherheitsprobleme beseitigt. So soll laut Bericht ein manipulierter Exit-Node einem Client vorgaukeln können, dass ein DNS-Request mit einer IP-Adresse im lokalen LAN aufgelöst wird. Die Schwachstelle wurde auch im Release Candidate der Tor-Version 0.2.1.16 behoben. Genauere Angaben zur Lücke und zur Auswirkung machen die Entwickler nicht. Des Weiteren lässt sich Tor durch das Senden präparierter Router-Deskriptoren gezielt zum Absturz bringen.

Darüber hinaus sollen Tor-Nodes mit dynamischer IP-Adresse nun beim Wechsel der Adresse nicht mehr aus dem Tor-Netz verschwinden. Ursache des Problems waren lokale Kopien bestimmer Order, in denen noch die alte Adresse stand. Zudem soll sich die Software nun bei einem bestimmten Muster von Netzwerk-Timeouts und DNS-Fehlern nicht mehr aus dem Tritt bringen lassen.

Die Tor-Pakete stehen für Windows und Mac als Installer zum Download bereit, für Suse Linux und Red Hat gibt es fertige RPMs.

Siehe dazu auch:

    * Tor 0.2.0.35 is released

Quelle : www.heise.de

[SiLæncer]

Die German Privacy Foundation (GPF) hat zu einer verstärkten Förderung von Anonymisierungsnetzen aufgerufen. Dies sei angesichts der zunehmenden Zensur von Internet-Inhalten unabdingbar.

Insbsondere im Zusammenhang mit den Geschehnissen um die iranische Präsidentschaftswahl am 12. Juni sei vielen Menschen in Deutschland wieder bewusst geworden, dass die Unterdrückung oppositioneller oder nicht erwünschter gesellschaftlicher Bewegungen häufig mit der Filterung und Zensur des Internets einhergeht, teilte die Stiftung mit.

Weniger bekannt sei, dass entsprechende Maßnahmen bereits in 36 Ländern umgesetzt werden. Das ermittelte die OpenNet Initiative. Zur Umgehung der Internetzensur greifen betroffene Internetnutzer verstärkt auf Anonymisierungsnetzwerke zurück. In der Regel werden diese durch Freiwillige betrieben, und der Allgemeinheit kostenlos zur Verfügung gestellt.

Das größte Anonymisierungsnetzwerk dieser Art ist "The Onion Router" (Tor). Statistiken zeigen, dass sich in den vergangenen Wochen die Anzahl der iranischen Nutzer etwa verzehnfacht hat. Dies belegt nach Ansicht der Stiftung, welche Bedeutung Anonymisierungsnetzen zur Wahrnehmung demokratischer Grundrechte wie Informations- und Kommunikationsfreiheit zukommt. Zahlreiche ähnliche Beispiele gebe es aus anderen Ländern, die keinen freien Informationszugang gewähren.

Um einer großen Anzahl von Benutzern den Zugriff auf Anonymisierungsnetze zu ermöglichen, müssen diese über ausreichende Kapazitäten verfügen. Da deren Nutzung kostenlos sein muss, sind die Netze auf freiwillige Betreiber angewiesen. Die German Privacy Foundation betreibt derzeit beispielsweise 11 Anonymisierungsdienste. Bei einem monatlichen Datenaufkommen von rund 20 Terabyte entspricht dies mehreren Millionen anonymisiert übertragenen Webseiten und Emails pro Monat.

Der Betrieb dieser Server verursacht nicht unerhebliche Kosten. Um der zunehmenden Bedeutung von Anonymisierungsnetzen gerecht zu werden und die steigenden Benutzeranzahl bewältigen zu können, müssen diese weiter ausgebaut werden. "Es ist im Interesse einer jeden demokratischen Institution, Menschen weltweit bei der Wahrnehmung ihrer Bürgerrechte zu unterstützen - hierbei spielen Anonymisierungsnetze mittlerweile eine wichtige Rolle. Wir fordern daher die Bundesregierung auf, diese Verantwortung wahrzunehmen, und Anonymisierungsnetze verstärkt zu fördern", erklärte die Stiftung.

Darüber hinaus appellierte man auch an die normalen Bürger, den Ausbau von Anonymisierungsnetzen direkt zu unterstützen. Es stehe grundsätzlich jedem frei, einen Anonymisierungsserver selber zu betreiben. Sollte dies nicht möglich sein, kann der Ausbau auch durch Spenden finanziert werden. Bereits für 50 Euro kann der Betrieb eines Anonymisierungsservers für einen Monat sichergestellt werden.

Quelle : http://winfuture.de