Anonym Surfen Betatest

"Alle gesendeten Informationen sind ungeschützt und können während der Übermittlung von Dritten eingesehen werden. Wenn Sie Kennwörter, Kreditkartennummern oder andere Informationen senden, die Sie geheimhalten wollen, sollten Sie sicherheitshalber die Übermittlung abbrechen."

Sorry wenn ich da schon wieder intervenieren muss, aber es macht halt wenig Sinn, einen 'neuen' dienst zu implementieren und zu lobpreisen, wenn er a) nicht ausreichend gut ist und b) nur einer mehr unter vielen ist.

zum einen ist der natuerlich nicht wirklich anonymisierend, es werden immer logs mitgeschrieben, die zum beispiel auch der provider eures servers jederzeit eingucken kann, somit im uebrigens natuerlich auch jede 'sicherheits-'instanz.

zum anderen bleibt die verbindung vom client zu eurem skript natuerlich weiterhin unsicher wie der vorherige kommentar wohl schon ausdruecken wollte.

die einzige annaehernd sichere art, anonym im netz zu surfen, ist jap:
 http://anon.inf.tu-dresden.de/

Da ist die uebertragung vom client zum anonymizer verschluesselt und vor allen dingen bleibt es selbst fuer die anonymizer-betreiber nicht einsichtbar, wer wann welche seite aufgerufen hat. ist nur die frage, ob das lange so weitergehen darf, spaetestens bei der naechsten tollen gesetzesaenderung duerfte sowas unzulaessig werden. bis dahin aber ist  http://anon.inf.tu-dresden.de/ die methode mit maximaler anonymitaet, und die kann man halt auch nicht mit nem php skript erreichen.

im uebrigen ists natuerlich auch einfach angenehmer, nen proxy zu benutzen statt immer das extra frameset herumschleppen zu muessen..

java anon proxy

von der uni in dersden ist wohl eine sehr gut e alternative

Also...

1. Die Meldung mit den ungesicherten Daten liegt daran, dass wir noch keinen SSL-Server haben (Wird gemacht).

2. Die Uni schreibt wahrscheinlich eher logs als wir.

3. Unser dienst geht über 3 proxies und ist wohl als sicher einzustufen...

4. wir finden es sinnvoll, uns um Netzsicherheit zu kümmern, und da wir sehr viel Arbeit in die Sachen reinstecken, möchten wir auch mal ein Bischen Lob ;o)

ist ein zeitlicher Wettlauf mit dem Gegner. Treten wir den Wettlauf an und entwickeln wir Alternativen zum www , dann könnte das gelingen. Weiter so.
Saludos, all we loosers !!

Der JAP (Java Anon Proxy) ist von der Technik her sehr sicher, aber achtet darauf, daß er auch wirklich anonymisiert! (Der JAP ist noch in 'ner Probephase und anonymisiert nicht immer!!! Das Programm hat aber 'ne Anzeige, wie anonym Du gerade bist.)

Ein anderes interessantes Projekt schreibt zur Zeit die Hackergruppe "Cult of the dead Cow"; die wollen aber mit dem Projekt erst an die Öffentlichkeit, wenn's weiter fortgeschritten ist.


BesserWessi

Konnte mir euer Script noch nicht genauer ansehen, wird am Wochenende nachgeholt!

1. Eure Aussage "damit kann mensch inkognito surfen" (eure WWW-Seite) finde ich gefährlich! Bevor ich sowas behaupte, muß ich mir sehr (!) sicher sein, daß alles richtig läuft. Da solltet ihr auch ExpertInnen (KryptographInnen ...) fragen! Sichere Anonymisierungssysteme zu entwickeln ist alles andere als trivial!

Statt dessen empfehle ich einen Hinweis wie: DER ANONYMISIER-DIENST BEFINDET SICH NOCH IN DER ENTWICKLUNGSPHASE! NUR ZU TESTZWECKEN BENUTZEN!

2. Wo ist der SourceCode Eures Scripts? Wo ist die genaue Funktionsweise beschrieben? Wie soll ich Euer Script auf Sicherheitsmängel überprüfen, ohne das Script zu haben?


>1. Die Meldung mit den ungesicherten Daten
>liegt daran, dass wir noch keinen
>SSL-Server haben

Und wenn ihr einen habt? Wer verschlüsselt an wen, wer authentifiziert sich wie? Wie verhindert ihr Analysen über "First in, first out" oder über die Größe einzelner HTTP-Connects?


>2. Die Uni schreibt wahrscheinlich eher
>logs als wir.

Wer logt, ist für die Sicherheit unerheblich. Ein sicheres System bleibt auch nach Auswertung der Logfiles sicher. Schaut euch mal das Prinzip von Cyberpunk-Remailern (Typ I) oder von Mixmaster-Remailern (Typ II) an. Schaut euch das Prinzip des JAP genauer an.


3. Unser dienst geht über 3 proxies

Wenn die nicht in einer Verschlüsselungskette hängen, bieten mehr Proxies nicht mehr Sicherheit!


>und ist wohl als sicher einzustufen...

So voreilige Aussagen über Sicherheit machen mich SEHR (!!!) vorsichtig!


>4. wir finden es sinnvoll, uns um
>Netzsicherheit zu kümmern

Ja, das finde ich auch!

>und da wir sehr viel Arbeit in die Sachen
>reinstecken, möchten wir auch mal ein
>Bischen Lob ;o)

Großes Lob dafür, daß ihr euch um sowas kümmert! Aber deutliche Kritik für eure Voreiligkeit, mit der ihr das ganze super-voreilig als sicher bezeichnet!

Was versteht ihr eigentlich unter Anonymität, was soll euer Script leisten?
- Daß ein Anbieter (z. B. Faschoseiten) nicht sieht, wer sich seine Seiten ansieht?
- Daß die Bullen nicht sehen können, wer auf bestimmte Seiten (z. B. indymedia) zugreift?
- Daß die Bullen bei Überwachung eines Internetzugangs nicht mitkriegen können, wo eineR surft?
- Daß die Bullen auch bei Überwachung eures Rechners (der mit dem Script) nicht mitkriegen, wer welche Daten abruft?

Schreibt doch mal viel, viel ausführlicher, was euer Script leisten soll und was nicht, wie es das macht, wo ihr mögliche Angriffspunkte seht.
Veröffentlicht den SourceCode, setzt Euch mit anderen Gruppen (Chaos Computer Club?) in Verbindung, lest euch mögliche Angriffe auf andere Anonymisier-Dienste durch (z. B.: www.iks-jena.de/mitarb/lutz/anon/remailer-essay.html).

Viel Erfolg!

Ich will Euch nicht miess machen, aber die Kritiker haben recht. Eurer Skript anonymisiert NICHT. Es verschleiert, okay. Auch der SSL Zugang zum Skript loest das Problem nicht, da zumindest eine Kausalität zwischen eben gerade aufgegagenem Tunnel und Abgefragten WebSeiten hergestellt werden kann.
Mehr Proxies bedeuten mehr Verschleierung. Mehr Nicht. Das ist ungefähr so, wie man seinen Daten auch 5 mal Verschlüsseln kann - nutzt nix, wenn der Verschlüsselung nicht taugt.
Ganz allgmein ist der Ansatz mit Proxys meiner Meinung nach abzulehenen, da es sich immer um zentral angreifbarere (abhörbar oder abschaltbar) Server handelt.
TU Dresden hat sich zu dem Problem viele Gedanken gemacht. Die Aussage, dass auf ner UNI eher geloggt wird als bei Euch disqualifiziert Euch für das erstellen sicherer Software (sorry, ist aber so); denn ihr habt KEINE AHNUNG wie JAP funktioniert. DA KANN MAN/FRAU NIX LOGGEN, weil es keine zentzralen Server gibt über die die Informationen laufen, da die Pakete gescrambelt werden und über unterschiedliche Routen laufen.
Schade das sowenige Leute JAP einsetzten, dadurch würde nämlich die Sicherheit auch steigen.

Um es nochmal klar zu machen: Anonymität kann nicht durch Vertrauen zu einer Gruppe (die loggen nichts, oder die löschen alle systemlogs sofort) hergestellt werden, sondern nur durch Dienste bei denen ich etwas für jemanden tue und nicht weiss was ich für wen tue und andere ohne ihr wissen etwas für mich tuen.

(Ich kann übrigens gar keine PHP, deshalb habt ihr mir einiges vorraus! Ich will aber nicht immer wieder technisch verarscht werden; die Neigung dazu habt Ihr (Beleidigt auf Kritik reagieren; Anerkennung einfordern; Techniken kritisieren ohne sie zu kennen)

EpDmi

Sorry, ich habe gerade meinen Artikel gelesen und ihn mit BesserWessis verglichen (war noch nicht da als ich meinen geschrieben habe). BesserWessi kennt sich wohl recht gut mit Krypto Kram aus. Meine Äusserungen gehen in die gleiche Richtung, sind aber viel undifferenzierter.
Ausserdem hört sich mein Text doch recht anmachend an. Das war nicht meine Absicht, aber ich rege mich über technische Fahrlässigkeiten immer so auf.

Hi Netzguerilla!

Ich will nicht nur meckern, vielleicht kann ich euch auch unterstützen. (Verstehe zwar nur ein bißchen von Programmieren, aber etwas mehr von kryptographischen Protokollen.) Wenn ich's am Wochenende zeitlich schaffe, schaue ich mir euer Konzept nochmal genauer an und melde ˜ö¶Ôxv' nÉ„Í‚28Authentifizierung durch PGP-Schlüssel mit dem Fingerabdruck:
A4 7D 41 6E E0 E3 33 EE 73 32 10 36 3F FE 02 D3)

Laßt euch von der heftigen Kritik hier nicht unterkriegen, es ist toll, daß ihr euch mit dem Thema beschäftigt, aber ihr unterschätzt die Angriffsmöglichkeiten massiv und wiegt Leute in falscher Sicherheit. Fügt bitte so schnell wie möglich auf eurer Homepage einen unübersehbaren Hinweis ein, daß euer Anonymizer sich noch in der Entwicklung befindet und nur für Testzwecke, nicht aber für ernsthaft geheime Sachen zu nutzen ist!!!


BesserWessi

Wenn man in seiner Freizeit einen Anonymisierer in php schreibt, kann man sicher nie so gut sein, wie Leute an der UNI, die sowas professionell machen oder fanatische Hacker.

Aber wie ich das verstanden habe ist die Netzguerilia ja vor allem ein politisches Konzept und für Mitarbeit offen.
Das wären eigentlich gute Vorraussetzungen für eine effektive Zusammenarbeit ( nicht mit der UNI-Dresden, sondern mit einzelnen aufgeschlossene Individuen )
Ich geh gleich mal auf die uni-seite und schau mal was es da an papers gibt.

Mehr als 24 Stunden sind vergangen, seit der angebliche Anonymisierungsdienst erstmals als "sicher unsicher" kritisiert wurde. Auf der Homepage der angeblichen Netzguerilla heißt es immer noch: "damit kann mensch inkognito surfen", was gelinde formuliert falsch ist; deutlicher formuliert ist das eine miese und gefährliche Irreführung!
Die bisherige Reaktion der angeblichen Netzguerilla hier: inhaltlich nicht nennenswert; lediglich das Verlangen nach Lob für dilettantische Arbeit.

Kennt hier eineR die angebliche Netzguerilla? Sind die in irgendwelchen Zusammenhängen bekannt? Gibt es glaubwürdige Hinweise darauf, daß es sich bei dieser angeblichen Gruppe nicht um Bullen, Verfassungsschutz, Nazis oder ähnliches handelt?

Wenn ich morgen Mittag immer noch diese gefährliche Selbstbeweihräucherung ("damit kann mensch inkognito surfen") lese, gehe ich davon aus, daß die "Netzguerilla" ein Projekt von Bullen, VS oder ähnlichen Gruppen ist, das dazu dient, den Selbstschutz der Linken zu unterlaufen.

Liebe Netzguerilla - wenn ihr denn wirklich eine seid: Stellt euch (schleunigst!) der Kritik! Macht auf eurer Homepage umgehend, auffallend und unmißverständlich klar, daß euer Script nicht wirklich anonymisiert, sondern sich lediglich in einem Experimental-Stadium befindet!

Ich unterstütze gerne bei der Entwicklung von Anonymisierungsdiensten, aber ihr erweckt derzeit eher den Eindruck, entweder sehr (!) naiv zu sein, oder bewußt für die Gegenseite zu arbeiten!

Ich hab mal versucht, mich 'n bißchen schlau zu machen.

Der Anonymizer scheint im wesentlichen der "Filter Maker 1.1" zu sein, zu finden unter  http://masterbootrecord.de/docs/ff.php
Was das Programm leistet:
In vielen Firmen und Unis sind Filter installiwú1êóü¢±â¯0iÜugriff auf bestimmte Webseiten (pornographische, politisch unerwünschte usw.) sperren. Das Script umgeht diese Filter. (Erfolgreich getestet mit dem Siemens SmartFilter, sowohl unter masterbootrecord.de, als auch unter 2310.net.)
Somit ist das Script nicht schlecht, nur bietet es eben nicht das, was uns die "Netzguerilla" verspricht.

Zur Netzguerilla: Der Betreiber der Domain "2310.net" ist, soweit ich das auf die Schnelle in Erfahrung bringen konnte, noch relativ jung. (Name, Handynummer, Postanschrift, Realschule (zumindest 1999) und Pfadfindergruppe (zumindest 1998) soll sich selbst suchen, wer's wissen will. - Ich bin keine Detektei, ich war nur neugierig.)
Ich gehe daher eher von einem "gut gemeint und voreilig für gut befunden" aus.

Noch einmal mein Appell an die Netzguerilla:
Ändert umgehend eure Webseite!
Schreibt unüberlesbar, was euer "Anonymizer" kann, und WAS ER NICHT KANN!
Verhaltet euch zu der Kritik!

Es ist mir viel zu stressig, euch politisch im Internet und in eurer Donaustadt zu isolieren!

also die vermutung, der bzw. die leute seien bullen/vs halt ich doch fuer etwas hochgehangen.
es ist vielmehr, wie du zuletzt schon schreibst, eher so, dass es heutzutage 'skript-kiddies' gibt, die sich bemuehen, sinnvolle skripts zu schreiben, was durchaus lobenswehrt und zu begrueszen ist!


auszerdem spricht die nicht wirklich eklatante professionalitaet auch gegen ein vs-projekt, da die das ganze sicherlich groeszer aufziehen wuerden, um einen wirklichen sicherheits-eindruck erwecken zu koennen.

hinzu kommt natuerlich noch die verwirrende namensgebung, guerilla nennen, aber auf der anderen seite ne 2nd-level domain mit echtem namen/adresse registrieren, das laesst einen natuerlich schon etwas verwundert dreinblicken.

dass die meldung mit der nicht wirklich vorhandenen sicherheit noch nicht drinsteht liegt vermutlich eher an dem etwas herablassenden tonfall, den zugegebenermaszen auch ich hier anklingen habe lassen, was selbstverstaendlich nicht meine absicht war.
aber ich bleib schon bei meiner meinung zum anonymizer, lieber was neues schlecht machen, also was vorhandenes schlechter nachschreiben.

Hi!

Leider hatten wir während der letzten Woche und am Wochenede aus gegebenem Anlass (Genua-Rechtshilfe) wenig Zeit gehabt, auf eure Postings zu reagieren.

Zur Kritik:

1. Wir haben nun einen wirklich gut lesbaren Hinweis eingefügt, dass das Script noch nicht 100 Pro läuft.

2. Die Person, die als Inhaber der Domain eingetragen ist, steht zu uns in keiner näheren Verbindung. Der Domain-Registrar ist nur zu Blöd, die Domain endlich zu übertragen (und zwar auf EM2635-RIPE, falls es jemanden interessiert.)

3. Wir rufen die Grafiken derzeit über den FilterFaker auf, unser Script funktioniert zwar auch schon, aber wir müssen erst unser Traffic-Paket hochschrauben.

4. Wir finden den Vorwurf mit VS/Bullen ziemlich unangebracht. Falls Ihr uns besuchen kommen wollt:

Unsere Postanschrift:

Autonome Netzguerilla Zelle München
c/o Infoladen München
Breisacherstrasse 12
81667 München

Öffentlicher Stammtisch:

Jeden 2. Dienstag im Monat ab 19°° Uhr im Infoladen München
(nur bis Oktober, dann ist Dienstags wieder A-Stammtisch)

Wir machen unter anderem die Webseite vom Infoladen München

 http://www.infoladen-muenchen.de

Telefon/Bürozeit: Jeden Dienstag, 17 - 23 Uhr unter
089 / 448 96 38 (Infoladen-Telefon)

Es gibt auch noch Menschen in der nähe von Stuttgart, die Netzguerilla-Arbeit machen, wir können nur allen Menschen empfehlen, eigene Strukturen in ihren Städten aufzubauen!

So, genug der Informationsumhersprudelung ;o)

Hi Netzguerilleras und -guerilleros!

Leider hatten wir während der letzten Woche und am Wochenede aus gegebenem Anlass (Genua-Rechtshilfe) wenig Zeit gehabt, auf eure Postings zu reagieren.

Okay, daß Genua-Rechtshilfe Priorität hat, leuchtet mir ein!


Wir haben nun einen wirklich gut lesbaren Hinweis eingefügt, dass das Script noch nicht 100 Pro läuft.

Nachdem eure Domain heute zwischenzeitlich down war, habe ich's inzwischen gelesen. Danke!

unser Script funktioniert zwar auch schon, aber wir müssen erst unser Traffic-Paket hochschrauben.

Gibt's irgendwo den Quelltext von eurem Script? Ich - und vermutlich auch andere - würden dann gerne bei der Suche nach Sicherheitslöchern helfen, genauer klarmachen, was das Script leistet und was nicht, Verbesserungsvorschläge machen usw.
Bitte, bitte, bitte nennt euer Script nicht wieder so schnell "anonymisierend"! Das ist - auch wenn ihr verschlüsselt - nicht so einfach! Der Server, auf dem euer Script läuft, kann logischerweise ein beliebter Überwachungspunkt für die entsprechenden Behörden sein. Wenn ihr nur verschlüsselt, ist eine Anonymisierung wie vom FilterFaker wertlos! Besser sind da die Ansätze vom JAP (die URL wurde hier schon genannt) oder das Projekt "Peek-A-Booty" von "Cult of the Dead Cow", vgl. z. B. aktuelle c't 16/2001, S. 40-41.

Wir finden den Vorwurf mit VS/Bullen ziemlich unangebracht.

Ja, da habe ich wohl überreagiert. Ich reagiere recht empfindlich darauf, wenn Leute anderen eine scheinbare Sicherheit vorgaukeln. Und wenn sie sich dann auch der Kritik nicht stellen, werde ich vielleicht vorschnell wütend bzw. extrem mißtrauisch.
Nehmt's mir bitte nicht übel, ihr habt eure Webseite geändert, wenn ich's am Wochenende zeitlich schaffe, werde ich euch per E-Mail kontaktieren. (Verifizierung über einen PGP-Key mit dem o. a. Fingerprint.) Kann ich aber nicht garantieren, ich habe schon viel vor am Wochenende und muß mir erst 'nen neuen anonymen Mail-Account einrichten.


Es gibt auch noch Menschen in der nähe von Stuttgart, die Netzguerilla-Arbeit machen, wir können nur allen Menschen empfehlen, eigene Strukturen in ihren Städten aufzubauen!

Ja, ja, ja! Computer sind ein wichtiges Werkzeug geworden, sowohl für "den Widerstand", als auch für die Überwachung! Aber Schutz vor Überwachung ist nicht immer so leicht, wie ihr es (meiner Einschätzung nach) glaubt!
Ich melde mich bei euch, wenn nicht am näxten Wochenende, dann später.

Hi!

Die Sources für unseren Anonymizer wollen Wir ab der Version 1.0 freigeben. (Das heisst auch saber formatiert und gut dokumentiert).

Weitere Sachen, die wir gerade anstreben sind ein Linux-basierendes RAMDISK-OS mit grafischer Oberfläche, damit gewisse Dinge nicht auf Platte landen. Auch dieses Projekt wollen wir OpenSource machen.
Noch ein Projekt - Bei dem ich persönlich mir die unterstützung von den "Indymedia-Konsumierenden Netzaktivisten" (;o) erhoffe - wird DRANN (Digital Resistance Action News Network) werden, eine Art Indymedia mit dem Schwerpunkt Netactivism, Hacktivism & Netzguerilla (-> nciht die Gruppe Netzguerilla, sondern die Aktionsform). Auch soll nicht die Berichterstattung vordergründig sein, sondern die Auseinandersetzung mit den Aktionsformen und die Vernetzung von Netzaktivisten.

wäre Kewl wenn Ihr uns unterstützen würdet. Mitmachen (und -programmieren) erwünscht!!!