TOR-Browser - Ja oder Nein?

Zitat von mondieu

Also um weniger Spuren zu hinterlassen.

Mit jedem Versuch weniger identifizierbar im Internet zu sein, ist man letzten Endes mehr identifizierbar, weil man nicht mehr in der Masse untergeht, sondern auffällt. Denk darüber mal nach.

Info RR: abgetrennt von hier, da das Problem des Threadstraters gelöst ist und die anschliessende Diskussion besser in einem eigenen Thread aufgehoben ist.

Das ist keine Pauschalaussage zu Tor, sondern zu jedem Versuch, seine Identität zu verschleiern. Ansonsten sag ich dazu nur, dass es sowieso keine vollkommene Anonymität im Internet gibt. Und Nutzer von TOR oder ähnlichen Projekten, ja die fallen dann halt schnell mal unter einen gewissen Generalverdacht, über den sie sich nicht zu wundern brauchen. Das Internet funktioniert nun einmal, wie es funktioniert. Wenn ich so großen Aufwand betreibe, vermeintlich anonym unterwegs zu sein, und dafür Nachteile bewusst in Kauf nehme (alles hat seinen Preis), dann stellt sich natürlich die Frage, was ich zu verheimlichen habe. Mag ja sein, dass ich mich mit TOR mehr verstecken kann. Nur mal weitergedacht: Wenn ich im Internet ohne TOR unterwegs bin und dadurch gewisse Dinge preisgebe, was kann man mit diesen gewissen Dingen anfangen? Die meisten auf jeden Fall nichts. Und die, die damit was anfangen könnten (Provider, Regierungen), für die stellt TOR sicherlich kein Hindernis dar, das wäre naiv zu glauben. Die Schlagzeilen zuletzt rund um TOR sollten einem außerdem zu Denken geben.

Zitat von Zitronella

Das ist so eine Aussage, die ich immer wieder von Leuten höre aber ob dem wirklich so ist dafür gibt es keine Belege. Erstmal geht man gerade mit Tor in einer Masse unter. Momentan habe ich mit Tor zb. die IP 12345 und im nächsten oder auch gleichen Moment hast ein anderer auch die IP 12345. Neue Identität und ich habe 23456 und x andere auch.

Ich weiß ja nicht, ob das immer so ist oder ein optionales Feature, aber ich sehe bei TOR-Nutzern immer wieder einen veränderten User-Agent und das ist dann ein sehr auffallender Fingerprint. Aber ansonsten ist das auch eine Sache der Vorstellungskraft. Es ist absolut naheliegend, dass du als Nutzer, der keine besonderen Maßnahmen ergreift, nicht besonders auffällst, denn dann bist du Teil der Masse und nichts ist unauffälliger als die Masse. Das ist praktisch ein Naturgesetz.

Und zum zweiten Teil: IP-Adressen sind doch bitteschön keine Identitäten. IP-Adressen sind keinen realen Menschen zuzuordnen und zumindest in Deutschland, wo du ja lebst, üblicherweise für Privatpersonen nicht fest vergeben und werden nach allerspätestens 24 Stunden neu vergeben, die sogenannte Zwangstrennung. Mit der immer weiter zunehmenden Nutzung des mobilen Internets wird es noch viel spaßiger, wo der Pool der IP-Adressen wirklich sehr begrenzt ist. Und nun verrate mir mal bitte, wer deine IP-Adresse zu Zeitpunkt X explizit dir zuordnen soll. Mir fallen wieder nur Provider im Falle einer Strafverfolung und Regierungen ein. Alle anderen können damit doch überhaupt nichts anfangen. Deine IP-Adresse hat morgen wieder jemand ganz anderes. Und auch ansonsten lässt sich darüber für niemanden ein Zusammenhang über die Nutzung auf einer Domain hinweg anstellen. Aber das verhindert eine andere IP-Adresse ganz gewiss nicht. Ich lass mal die teilweisen Möglichkeiten des Trackings über Drittanbieter-Cookies weg, denn ich kann mir nicht vorstellen, dass jemand TOR nutzt, aber Drittanbieter-Cookies erlaubt, das würde nicht zusammenpassen.

Und damit sind wir auch wieder bei meinem ersten Absatz zu diesem Beitrag. Deine Aktivitäten auf einer Webseite lassen sich sicherlich verfolgen. Meinst du nicht, dass ein permanenter Wechsel der IP-Adresse - sofern man dich denn überhaupt beobachten würde, was ja schon anzuzweifeln ist - wesentlich auffallender ist?

Zitat von Zitronella

Unter den sog. Generalverdacht kannst du u. U. durch ganz andere Dinge fallen. Da könnte es sogar schon ausreichen wenn du kein Handy benutzt. DAS könnte nämlich schon höchst verdächtig sein. Wir wissen letztendlich alle nicht welche Algorithmen verwendet werden um in den sog. "Filter" zu gelangen. Das Fazit könnte sein: Wer kein Handy nutzt, der hat was zu verstecken.

Kein gutes Beispiel, denn wieso sollte es verdächtig sein, kein Handy zu nutzen? Das braucht nunmal nicht jeder. Genau wie nicht jeder Internet braucht. Das ist einfach so. Außerdem ist das eine andere Ebene. Ein Beispiel wäre das, wenn es darum ginge, dass du gar kein Internet nutzt. Das tust du aber ja. Also geht es, wenn wir ein Telefon-Beispiel wollen, um die Rufnummerunterdrückung. Ist das verdächtig? Manche Telefon-Anbieter haben die Unterdrückung standardmäßig aktiviert, das weiß der Nutzer dann gar nicht unbedingt. Aber dass die IP-Adresse mitgesendet wird, das hat sich in all den Jahren nie verändert und es wurde glaub ich auch nie ernsthaft in Erwägung gezogen daran etwas zu ändern, kann also nicht das ganz große Problem sein.

Zitat von Zitronella

hat nicht jeder etwas zu "verstecken"? Also ich auf jeden Fall, und zwar in einem gewissen Maß schlicht und ergreifend meine Privatsphäre! Gehst du wirklich davon aus dass jeder der Tor nutzt, verschlüsselt mailt oder verschlüsselt chattet etwas illegales vor hat und nur DAS verstecken will? Ich surfe manchmal auch über Tor (wenn auch selten), aber glaub mal nicht dass ich da groß andere Seiten aufrufe als sonst auch.

Das ist doch der Punkt, es trägt zum Schutz deiner Privatsphäre gar nicht relevant bei. Oder was genau versprichst du dir? Deine IP-Adresse ist anders, du wirst über ein paar Proxys gelenkt, schön. Und wenn das nun nicht so wäre, wer könnte daraus genau welchen Nutzen ziehen? Siehe weiter oben im Beitrag. Was genau wird deiner Meinung nach geschützt, was ohne Nutzung von TOR deine Privatsphäre gefährdet? Es ist ganz sicher nicht meine Aussage, dass jeder, der verschlüsselt mailt oder chattet, etwas illegales macht, solche Verallgemeinerungen liegen mir fern. Ich sage nur, wer zu so extremen Maßnahmen greift und dafür spürbare Nachteile bewusst in Kauf nimmt, der macht sich selbstverschuldet verdächtig und darf sich darüber dann nicht wundern, wenn er in einen Verdacht gerät. Denn für die Nutzung des Webs ist das eine vollkommen übertriebene Maßnahme.

Zitat von Zitronella

Wahrscheinlich nutzt du weder das verschlüsseltes mailen noch Tor.

Absolut korrekt. Zweiteres kommt mir auch ganz sicher nicht ins Haus. Und eine Verschlüsselung von Mails brauche ich nicht. Das erfordert ja auch zwangsläufig eine entsprechende Konfiguration auf der Gegenseite, denn wo etwas verschlüsselt wird, da muss ja auch wieder entschlüsselt werden. Ich kenne genau eine einzige Person, mit der ich mich mal per Mail austausche und die mit verschlüsselten Mails etwas anfangen kann. Aber wir kommunizieren sowieso über XMPP und zwar über einen ganz eigenen XMPP-Server, das hat glaub ich auch nicht jeder. Also die Möglichkeit der Übertragung sensibler Nachrichten (beispielsweise Zugangsdaten für Aufträge / Projekte) ist schon gegeben.

Zitat von Zitronella

Bildlich gesprochen ist fast so, als würde jeder mit einem großen Namenschild durch die Stadt laufen wenn wir durchs Netz surfen. Manche Menschen wollen aber einfach nicht immer und überall mit ihrem Namen gesehen werden. Ist doch verständlich oder, und auch zutiefst menschlich wenn man das nicht möchte. Aber denen müsste klar sein/werden, dass sie im Extremfall evtl. doch identifiziert werden können.

Dem Gleichnis stimme ich absolut nicht zu. Denn dazu müsstest du erst einmal eindeutig identifizierbar sein und das bist du schlicht und ergreifend nicht. Webseiten wissen deine IP-Adresse und die wird sicherlich zu Analyse-Zwecken genutzt (sprich aus welchem Ort du kommst zum Beispiel, ist ja immer eine nette Statistik). Aber darüber wird kein Personen-Bezug hergestellt, noch kann eine IP-Adresse dir langfristig zugeordnet werden, das kann man so überhaupt nicht stehen lassen.

Und kommen wir nunmal noch etwas direkter zu TOR.

Zitat von Zitronella

naja, das Tor Bundle hatte Sicherheitslücken bei einer bestimmte Firefox Version. Jede alte Firefox Version hat auch Sicherheitslücken, und jede neue auch (bis diese wieder gefixt sind). Ich behaupte auch nicht dass Tor der 100% sichere Weg für immer und ewig ist. Ich weiß, dass es diese Sicherheit nicht gibt. Trotzdem halte ich es für sinnvoll wenn Menschen so etwas nutzen, solange sie sich darin nicht in möglicherweise falscher Sicherheit wiegen.

Natürlich hatten andere Firefox-Versionen auch schon Sicherheitslücken. Mir ist aber keine Sicherheitslücke bekannt, welche ansonsten dafür genutzt worden ist, um das FBI mit Informationen zu versorgen. Über diese Sicherheitslücke wurde das gesamte Surfverhalten von TOR-Nutzern protokolliert und an die Science Applications International Corporation übermittelt, welche nun einmal unter anderem mit dem FBI zusammenarbeiten. In diesem Fall schützt also die Nicht-Nutzung von TOR besser als die Nutzung von TOR vor dem, wovor die Nutzung von TOR schützen soll - welche Ironie.

Ansonsten empfehle ich auch noch folgende Lektüre (aber ist ja auch schon in einem weiter oben verlinkten Artikel querverlinkt):
http://www.ohmygodel.com/publications/usersrouted-ccs13.pdf

Falls du das nicht alles durchlesen möchtest, Wikipedia hat das in einem Absatz zusammengefasst, worum es geht:

Zitat

Eine im Jahr 2013 veröffentlichte Studie von Wissenschaftlern des U.S. Naval Research Laboratory und der Georgetown University befasste sich mit dem bereits bekannten Problem der ausgedehnten Protokollierung des Netzwerkverkehrs von Tor. Ziel war es, unter realistischen Bedingungen die Wahrscheinlichkeit und den Zeitraum einschätzen zu können, der benötigt wird, um genügend Daten für eine Zerstörung der Anonymität zu sammeln. Dabei gelang es in 6 Monaten durch den Betrieb eines einzigen mittleren Tor-Relays, die Anonymität von 80% der verfolgten Benutzer zu brechen. Hinsichtlich des PRISM-Skandals betonten die Wissenschaftler, dass eine größere Infrastruktur die benötigte Zeit deutlich reduzieren kann; Würde der Angreifer Zugriff auf entsprechende autonome Systeme und Internet-Knoten besitzen, schätzten sie die Wahrscheinlichkeit einer Deanonymisierung mit 95% ein.

Insofern ist der Nutzen ein absoluter Pseudo-Nutzen. Denn die einzigen, die mit dem etwas anfangen könnten, was du zu verschleiern versuchst, haben die Möglichkeiten, diese vermeintliche Anonymität zu brechen. Und nach allem, was wir spätestens seit Snowden wissen, ist mein Vertrauen eingeschränkt, wenn die NSA sagt: TOR? Da hatten wir bislang nur mäßigen Erfolg das zu knacken. Selbst wenn ist es doch nur eine Frage der Zeit, es wird doch auch schon wieder kräftig in die Geheimdienste investiert. Übrigens auch in Deutschland. Und dass gezielt TOR-Nutzer von den Geheimdiensten angegriffen werden, das ist ja kein Geheimnis.

Zitat von mondieu

Meine (vielleicht unbegründete) Motivation für Tor ist es, z.B. nach einer bestimmten Digitalkamera im Netz zu stöbern, ohne später an allen Ecken und Enden mit entsprechender Werbung zugeworfen zu werden

Nennt sich Tracking und ist eine ganz andere Baustelle. Das funktioniert über Drittanbieter-Cookies und dafür gibt es in Firefox eine Einstellung. Dafür brauchst du kein Tor.

Zitat von mondieu

oder gar per Email Angebote zu bekommen.

E-Mails bekommst du nur, wo du deine E-Mail-Adresse hinterlässt, auch davor schützt Tor nicht.

Zitat von mondieu

Dem Argument, dass man sich gerade durch den Versuch, sich zu verstecken, verdächtig oder sichtbar macht, möchte ich entgegen halten, dass als Folge der Snowden-Enthüllungen deutlich mehr Menschen auf geschützte Privatspäre im Internet achten und auch entsprechende Maßnahmen ergreifen. Ein Beispiel dafür ist ein signifikanter Anstieg der Nutzerzahlen von duckduckgo seit Sommer letzten Jahres, verdoppelt oder verdreifacht...

"Was hier sichtbar wird, ist eine Verzweiflungstat."

Zeit Online: DuckDuckGo - Der Irrglaube von der NSA-sicheren Suchmaschine