JAP ist nicht länger Anonym!

In der Heise-Meldung steht, dass nur Zugriffe auf eine
bestimmte Seite protokolliert werden. Das gibt dem Vertrauen in
JAP natürlich einen harten Dämpfer, eine Kriminalisierung aller
JAP-Nutzer ist es aber keineswegs!

Prinzipiell wird nur der Traffic zu einer Seite ueberwacht, und die Daten werden auch noch nicht rausgegeben.

Allerdings ist die Routine zur Ueberwachung jetzt im Code, die Mix-BetreiberInnen koennten ohne weiteres gezwungen werden (zB durch richterliche Anordnungen), weitere Seiten zu protokollieren.

Allerdings koennen die Mix-BetreiberInnen nun den Verkehr mitverfolgen, was zuvor relativ unmoeglich war. Gerade dadurch, dass selbst die BetreiberInnen der Mixe den Verkehr nicht mitlesen konnten, hat sich JAP ausgezeichnet.

Auszerdem ist die Tatsache hoechst bedenkenswert, dass die Mix-BetreiberInnen bis heute stillschweigen ueber die geaenderte Software bewahrt haben, und die Nutzer des Dienstes nicht informiert haben. Allein durch ein Auditing der Quelltexte konnte die Ueberwachungsroutine bemerkt werden. Das spricht nicht gerade fuer die BetreiberInnen der Mixe.

Ich denke, dass die beste Loesung im Moment darin besteht, nur noch Mixe zu verwenden, bei denen klar ist, dass sie Mix-Software ohne Abhoerroutine Einsetzen.

okay. nach allem, was ich bisher zu der geschichte gelesen habe, verbietet sich eine weitere nutzung von jap. aber kennt wer eine praktikable alternative mit nachvollziehbarem selbstverständnis und entsprechend transparentem verfahren?

kurze Zusammenfassung:

Das Entwicklungsteam wurde vom BKA(?) aufgefordert, die Nutzer-IPs bei Zugriff auf bestimmte Webseiten zu loggen. Der Zugriff auf alle andere Seiten erfolgt weiter anonym. Gegen diese juristische Anweisung wurde Widerspruch eingelegt. Die hat aber keine aufschiebende Wirkung, die Software wurde umgeschrieben und logt jetzt bestimmt Zugriffe mit. Laut Entwickler sind die Log-Algorithmen in der Serversoftware implementiert und nicht in dem neuen Update.

-------

Hello,

it is good to know there are people who read the source code. Yes,
your analysis of the backchannel is correct…
… but the most important thing: JAP still allows anonymous surfing,
still on the probably highest level world-wide. So there is no reason
to exaggerate a single case and read too much into things.

What has actually happened? The project operators of AN.ON received a
judicial instruction that said that the access to a particular IP
address had to be recorded for a limited time period. The background
is preliminary proceedings by the German Federal Bureau of Criminal
Investigation. Such a judicial instruction cannot be rejected without
risking severe sanctions. This applies even if you consider this
judicial instruction to be not correct. It's the same thing here: The
operators of AN.ON have taken measures against this instruction but
they have to adhere to it until a higher instance has made a decision.

What was the alternative? Shutting down the service? The security
apparatchiks would have appreciated that – anonymity in the Internet
and especially AN.ON are a thorn in their side anyway. No, in
contrast: AN.ON must be continued and made even more unassailable by
use of further mixes. If we chickened out just because of one single,
quite limited judicial decision that is still to be verified in the
next instance we obviously would not have much to contribute to the
struggle for anonymity in the Internet.

The JAP update of July did not have to do anything with this process;
it is rather a product of the suggestions for improvement by thousands
of JAP users.

However, since the judicial instruction landed on the desk at this
time, a server update (but not one of JAP) was necessary. As already
mentioned it is good to know that people actually read our source
code, but this time, it lead to the misunderstanding that the JAP was
generally opened for the sake of criminal prosecution.

Why the operators of AN.ON have not been addressing the public by
themselves, yet? In Germany, there are holidays, too, and a judicial
instruction of this kind was something perfectly new for all involved,
particularly the holiday crew.

Therefore: keep cool. AN.ON is and will remain *the* service when it
comes to anonymity. Only because one single judge has decided
(provisionally) that all access to a particular IP address are to be
recorded for a limited time period, there is no reason to throw the
baby out with the bathwater.

MfG
The JAP Team

Ich finde es dennoch bedenklich, dass die Entwickler nicht sofort offensiv agiert haben. Ein ähnliches Vorgehen wie bei einer Sicherheitsluecke (Sicherheit durch Oeffentlichkeit) haette das Vertrauen in die Software nicht angekratzt.

Statt dessen wurde eher das Security by Obscurity Prinzip angewandt.

Die Antwort der Entwickler ist einfach peinlich:

"received a judicial instruction that said ..."
dass ist Quatsch, das ist eine Anfrage der Polizei gewesen,
die sie nicht hätten befolgen müssen ...

Die einzig richtige Entscheidung wäre gewesen, den server vom Netz zu nehmen
und zu sagen: "Sorry, wir können keine Anonymität mehr gewährleisten".

Die JAP-Webseite ziert der Spruch : Anonymity Is Not A Crime
Hahaha ..

ich versuche mal das prinzip von jap und die wirkung der neuen spitzelfunktion kurz zu erklären:

das prinzip von jap:
1. die nutzerin ruft im browser eine seite auf
2. die anfrage wird an den jap-client auf demselben computer weitergeleitet
3. dieser sendet die anfrage an den ersten "mix"(*), der die absenderadresse entfernt und die so anonymisierte anfrage verschlüsselt an den nächsten mix schickt
4. so wird die anfrage bis zum letzten mix durchgereicht
5. der letzte mix schickt schliesslich die anfrage mit seiner eigenen identität als absender ins www
6. der letzte mix erhält eine antwort und schickt diese an den vorgeschalteten mix zurück
7. ... der erste mix erhält die antwort und schickt diese an den nutzerinnen-computer, wo schon der jap-client darauf wartet und diese unverzüglich an den browser weiterreicht

(*) mix = ein computer, auf dem die jap-server-software läuft; wird z.b. von der tu dresden betrieben

entscheidend WAR dabei, dass zwischen einer anfrage beim ersten mix durch den nutzerinnen-computer und einer anfrage des letzten mixes ans www (gleiches gilt für die antworten) keine assoziation hergestellt werden KONNTE, sofern mensch nicht den verkehr _aller_mixe_ überwachte.
d.h. es KONNTE nicht festgestellt werden, wer von den eingeloggten nutzerinnen welche seite aufruft. auch konnten die mix-betreiber selbst den verkehr auf ihren mixen nicht verfolgen.

doch jetzt sieht das anders aus:

- der letzte mix prüft mit der "checkCrime"-funktion (sic!), ob die anfrage an eine bestimmte internetadresse(**) gerichtet ist
- wenn die funktion anschlägt, wird eine "protokollierungslawine" ausgelöst, die das anonymisierungskonzept von jap völlig aushebelt:

1. der letzte mix generiert eine eindeutige zahl (id) und assoziiert sie mit der anfrage
2. der letzte mix schreibt in sein protokoll:
"Crime detected -- ID: xxx -- Content: xxx"
(jetzt weiss also der letzte mix, _dass_ eine illegalisierte anfrage stattgefunden hat und zeichnet diese auf. fehlt nur noch die adresse des computers der anfragerin, denn die weiss nur der erste mix.)
3. der letzte mix ergänzt die antwort an den vorherigen mix, die schliesslich beim ersten mix landet, um folgende informationen:
- dass eine illegalisierte anfrage stattfand und
- die vorher generierte eindeutige zahl (id)
4. der erste mix prüft jede erhaltene antwort daraufhin, ob sie derartige informationen enthält
5. wenn dies der fall ist, protokolliert der erste mix die id zusammen mit der adresse des nutzerinnen-computers, die nur er kennt:
"Detecting crime activity - ID: xxx --In-IP is: xxx.xxx.xxx.xxx"

somit braucht mensch nur noch die log-dateien beim ersten und beim letzten mix abholen und schon nimmt die strafverfolgung oder was auch immer ihren/seinen lauf.

auch ein "missbrauch" (sofern man bei einer solchen funktion überhaupt noch davon sprechen kann *würg*) durch "dritte" ist nicht ausgeschlossen - vorausgesetzt diese manipulieren/überwachen sowohl den ersten als auch den letzten mix.

(**) die illegalisierten internetadressen werden in form von regulären ausdrücken in einer konfigurationsdatei gespeichert, die beim neustart des entsprechenden mixes geladen wird. jede anfrage wird also auf alle dort angegebenen regulären ausdrücke geprüft.
ein solcher regulärer ausdruck könnte z.b. so oder ähnlich aussehen:
"[0-9A-Za-z][0-9A-Za-z\-\.]*\.indymedia.org"
womit (nahezu?) alle zugriffe von jap-nutzerinnen auf indymedia weltweit überwacht wären.

aus einem anonymisierungsdienst ist also über nacht und klammheimlich auf "anweisung" des bka ein ausbaufähiges system zur protokollierung bzw. sogar unterbindung (zensur!) illegalisierter webzugriffe geworden.


quelle:  http://groups.google.com/groups?selm=f938f87a44e64d6776c635b979aa1c48%40remailer.frell.eu.org&oe=utf-8&output=gplain

Um welche Internetseite handelt es sich denn, bei der die zugriffe protokolliert werden?

im genannten Heise-Artikel heisst es zu deiner Frage:

Ein Sprecher des Amtsgerichts Frankfurt am Main gab gegenüber heise online keine Stellungnahme ab: "Wir geben keine weiteren Auskünfte, da jede weitere Einzelheit die Ermittlungen gefährden könnte." Die Anordnung einer Aufzeichnung von Daten ist nach den im Beschluss genannten Paragrafen der Strafprozessordnung lediglich in eng begrenzten Fällen zulässig, in denen der Verdacht einer Straftat vorliegt, die in dem Katalog des § 100 a Satz 1 Strafprozessordnung explizit aufgeführt ist. Gegenüber heise online teilte das Amtsgericht Frankfurt mit, es handele sich bei den Ermittlungen, in denen der Beschluss gegen AN.ON beziehungsweise die schleswig-holsteinischen Datenschützer erging, um einen Fall aus dem Bereich der Kinderpornographie.

Es kann praktisch jede Webseite sein, nicht nur eine mit Bezug zu Kinderpornographie!
So könnte eventuell (reine Spekulation! nur ein Beispiel!) die im Zusammenhang mit Kinderpornographie verdächtige Person eine gmx-E-Mail-Adresse über JAP nutzen, dann würden Kontakte zu www.gmx.de protokolliert.

einige Ergänzungen:

Netzguerilla schreibt: "Wer den Anonymizer Proxy JAP verwendet, sollte ihn besser Abschalten"
Das ist etwas irreführend. Es gibt _keine_ Hinweise, dass JAP schädlich für die Anonymität ist. Nur ist JAP nicht mehr so hilfreich bei der Anonymisierung, wie früher.

Netzguerilla schreib: "Diese Ueberwachung von Nutzern, die Anonym auf Webseiten zugreifen moechten, stellt eine pauschalisierte Kriminalisierung dieser Nutzergruppe dar, und ist so nicht rechtzufertigen."
Auch das ist irreführend. Wer JAP nutzt, wird deswegen nicht mehr überwacht, als andere. Das BKA konnte wegen JAP nicht weiterermitteln (was immerhin zeigt, dass JAP bisher ganz gut funktioniert hat!). JAP wurde verpflichtet, für das BKA eine begrenzte Hintertür einbauen. Diese Verpflichtung ist für den schleswig-holsteinischen Landesdatenschützer Helmut Bäumler "offenkundig rechtswidrig".
Wir sollten also abwarten, ob die Hintertür wieder ausgebaut wird (ich bin da recht optimistisch) und uns so lange bewusst sein, dass JAP nicht die gewohnte Anonymität bietet.

In der Zwischenzeit schadet die Nutzung von JAP nicht.

Was langfristig Schaden genommen hat, ist der gute Ruf von JAP. Dass der Einbau der Hintertür geheim gehalten wurde, ist unverzeihlich.
Der Fehler macht deutlich, dass ein zuverlässiges Anonymisierungsverfahren nicht in der Hand weniger (Personen, aber auch Mixe) liegen darf.

Also ich wollte vor zwei Wochen gegen einen Nutzer mit dem Netzbeginn 141.. (JAP-Proxy) Strafanzeige stellen, weil er in unserem Forum sein faschistisches Gedankengut verbreitet hat aber auf Anfrage bei den Betreibern, über mehrere Ecken -begonnen beim Rechenzentrum der technischen Universität Dresden- sagten mir die betreffenden Leiter das es praktisch unmöglich sei, eine weitere Rückverfolgung zu unternehmen da die IP ja über einen Umweg verschlüsselt wird.

Naja, wiedermal scheisse gelaufen wenn irgendwelche Idioten solche Anonymisierungsprogramme für ihre kriminellen Zwecke missbrauchen.

"AN.ON gewährleistet auch weiterhin Anonymität"
 http://www.datenschutzzentrum.de/material/themen/presse/anonip.htm

Vorrausgesetzt die Indyserver sind leistungsfähig genug, könnte man nicht auf denen eine Mixkaskade einrichten?

hier gibt's infos dazu:
 http://www.inf.tu-dresden.de/~hf2/anon/partner.html
 http://jap.inf.tu-dresden.de/develop/howtooperateamix.html

1) Machen Anon-Proxys generell Sinn?

IMHO nein. Die JAP-Mix-Kascade (oder jede andere Anon-Mixer) funktioniert *wenn* sie so implementiert wurde wie beschrieben. Du hast als NutzerIn keinerlei Kontrolle darueber ob sie es tatsaechlich ist. Allerdings hast du seit ein paar Tagen den Beweis, das die Leute aus dem JAP-Team vorsaetzlich ihren Mix kompromitiert haben, ohne es oeffentlich zu machen, oder besser: den Dienst abzuschalten. Damit ist das Vertrauen das da war notwendiger Weise hin. Selbst in einem Sicherheitssystem in dem ich Vertrauen zum Dienstanbieter als Bestandteil akzeptieren wuerde waere diese nun bei JAP dahin.
Davon abgesehen ist es generell *hoechst gefaehrlich* einem Anon-Dienst (JEDEM Anon-Dienst) zu vertrauen, wenn eine kompromitierte Anonymisierung hohe persoenliche Konsequenzen bedeuten kann.
Diese Proxy-Dienste arbeiten mit vertrauen als Grundlage, das kann aber keine Basis fuer ein sicheres System sein (untrusted third person): sie sind Black-Boxes. Vertraue ich im zweifel einem solchen System, dann kann ich auch allem anderen vertrauen. Es gibt hier keine sicherheit, sondern nur eine subjektiv abgeschaetze chance, dass meine Privatspahere geschuetzt wird.

2) Wofuer wurde JAP entwickelt?

Zum anonymen shoppen. Dafuer gab es 1 mio. Mark staatliche Foerderung fuer das Projekt. Kann man mit JAP weiterhin guten gewissens seine ueblichen Onlineshopping touren machen? Ja, fuer solche low-profile Aufgaben ist JAP vermutlich noch tauglich.
Sollte ich JAP vertrauen, wenn ich meine Privatspahaere gegen staatliche Kontrolle abschirmen will?
*** NEIN !!! ***
Dafuer ist JAP (oder jede andere Anon-Proxy) nicht geeignet, und war es nie! Bereits im Oktober 2001 hat das JAP-Team zugegeben, dass sie an Zugangsmoeglichkeiten fuer die Strafverfolgung arbeiten ( http://www.heise.de/newsticker/data/jk-16.10.01-009/)

JAP ist inzwischen nicht nur untauglich, sondern ein direkter Honeypot fuer die Polizei. Der Polizei ist der kompromitierte Weiterbetrieb viel lieber als das abschalten, die Argumentation in der Presseerklaerung des JAP-Teams ist blanker Unsinn, und das muss auch jede/r/m klar sein, der sich auch nur im entferntesten mit Anonymisierung im Netz beschaeftigt.

Da das JAP-Team dies noch nicht einmal im Nachhinein einsieht ist eine Nutzung ihres Tools kontraproduktiv. Jede/r die oder der JAP nutzt unterstuetzt ein System der geheimen Strafverfolgung und boykotiert die Moeglichkeit zur wirksamen Anonymisierung.

---

JAP ist tot, egal was da in Zukunft ein- oder wieder augebaut wird.
Darueber hinaus: Nutzt nicht einfach irgendeinen Dienst der euch irgendwas (anonymitaet) verspricht, sondern werden euch klar darueber wie das funktioniert um eure tatsaechliche Privatsphaere abschaetzen zu koennen!
Steigt also nicht einfach auf den naechten Anon-Proxy um und fahrt wieder mit 200 mit einem Airbag der im Zweifel nicht aufgeht...

Gruesse
Sam Sung