BASH-CD gegen Überwachung

Die CD ist übrigens nur ca. 50MB groß, also relativ schnell runterzuladen.

Bei dem Thema Anonymität im Internet und gerade bei TOR ist zu absoluter vorsicht geraten, da man sich damit unter umständen viel reeleren Gefahren aussetzen kann, als einen Schnüffelnden Staat.

Ich halte TOR für kaum nutzbar, wenn man seine normale Kommunikation über das Internet mit der "politischen" nicht getrennt hat.

Das Problem bei TOR ist, dass die Knotenbetreiber (Exit) bei Seiten die nicht ssl ssh https verschlüsselt sind, sehr viele informationen ziehen können.

Auch Java-Script gibt viel über die eigenen Identiät preis, auch wenn man TOR benutzt.

All diese Dinge sind Laien, die solch eine CD bzw. Programmsammlung nötig haben, nicht bewusst und müssten zumindest an erster Stelle breit diskutiert/kommuniziert werden.

darüber hinaus empfiehlt sich auch die verwendung von programmen wie

eraser o.ä. zum entgültigen überschreiben von dateien und
thunderbird inkl. enigmail plugin für das einfachere Kommunzieren per GPG

und sowieso: benutzt linux!

also zum thema tor und ssl ist erstmal folgendes zu sagen: ja es ist richtig, dass der betreiber des letzten tor-knotenpunkts (exit-node) allen traffic mitlesen kann, der unverschlüsselt übertragen wird. alle anderen knoten vorher können dies nicht, da die pakete vorher verschlüsselt werden. technisch ist es jedoch notwendig, den tortraffic am letzten knoten zu entschlüsseln, jeder betreiber eines exit-nodes könnte mithören. daher gibt es mittlerweile auch begründete befürchtungen, dass exit-nodes von sicherheitsbehörden betrieben werden könnten.

das ist natürlich ein enormes problem, das problem besteht jedoch ohne tor erst recht: bei all den tor-nodes, die zwischengeschaltet sind ist der traffic verschlüsselt. bei einer direkten verbindung ist zunächst überhaupt nichts verschlüsselt. was ich damit sagen will: im tornetzwerk gibt es einen potentiellen angriffspunkt, ohne tor könnten es dutzende sein. um auf nummer sicher zu gehen, sollten daher alle daten (wie z.b. hier auch die kommentare) nur über ssl verschlüsselte verbindungen übertragen weden. damit werden die daten, unabhängig von anonymisierung im tornetz oder nicht auf ihrem weg verschlüsselt und nur der server, an den die anfrage geschickt wurde kann die daten entschlüsseln.

es gilt also grundsätzlich darauf zu achten, verschlüsselte verbindungen (stichworte sind hier ssl, tls, https) zu nutzen, egal ob mit oder ohne tor. ohne tor kämpft man jedoch mit dem zusätzlichen problem in keinster weise anonym zu sein. meine empfehlung daher: tor + ssl. nichts anderes wird vom entwicklerteam von tor zu hören sein.

der hinweis mit cookies ist natürlich ebenso berechtigt. entsprechende anleitungen zum cookielöschen / verbieten gibts genug.

zu meiner etwas längeren ergänzung oben noch einen Link, bei dem eine Grafik beigefügt ist:
 https://www.awxcnx.de/handbuch_21.htm

Der Grafik ist folgendes zu entnehmen: die Verbindungen zur Mix-Kaskade (Tor-Nodes) und die Verbindungen zwischen den Tor-Nodes sind verschlüsselt. Die Pfeile rechts zum Webserver zeigen die unverschlüsselte Verbindung bei ganz normalem Surfen an. Unterstützt der Webserver (links) jedoch SSL, so ist auch diese Verbindung verschlüsselt.

Allgemein kann man der Seite einige nützlich Hinweise entnehmen.

Es gibt mehrere Seiten im netz, die sich mit kritik an Tor auseinandersetzen: hier nur ein Beispiel unter:  http://fudder.de/artikel/2008/01/10/wie-kann-ich-anonym-online-surfen-1/

Dieser ist auch interessant:
 http://www.heise.de/newsticker/Anonymisierungsnetz-Tor-abgephisht-Teil-2--/meldung/99318


DAS VON FUDDER.DE

Was muss ich bei TOR beachten?
TOR ist (noch) nicht absolut sicher – wenn es denn überhaupt eine absolute Sicherheit gibt. Unter bestimmten Umständen ist das Mitlesen des Datenverkehrs möglich und damit auch die Zurückverfolgung des Users. Diese Sicherheitsrisiken sind aber eher theoretischer Natur. Die Chance, tatsächlich enttarnt zu werden, ist sehr gering.

Bestimmte Plugins, die vom Browser während des Surfens aufgerufen werden, solltest Du aber von vorne herein deaktivieren, weil diese direkt auf die IP zugreifen und nicht den Umweg über TOR machen. Dazu gehören zum Beispiel Java, Java-Script, Cookies, Flash, Quicktime, Adobe's PDF, ActiveX (beim Internet Explorer). Selbstverständlich solltest Du auch die Google Toolbar deaktivieren/deinstallieren, denn die kann fleißig Daten senden und dabei TOR umgehen.

Für den Firefox gibt es mehrere Erweiterungen (Noscript, FlashBlock), um diese Plugins mit einem Mausklick ein- bzw auszuschalten.

Einige Leute empfehlen, zum Surfen zwei Browser zu benutzen. Einer wird für TOR, also anonymes Surfen und einer für unsicheres Browsen genutzt.

Mit TOR anonym durchs Social Network?
TOR kann so viele Daten verschleiern wie es will, wenn der Nutzer nicht selbst aufpasst, welche Daten er preisgibt, bringt auch TOR nichts. So hat es selbstverständlich keinerlei Sinn mit TOR zu surfen und dabei fleißig Daten von sich, z.B. in Webforen, zu hinterlassen. Hier ist die Technik nur so gut, wie der, der sie bedient.

TOR anonymisiert die Herkunft deines Netzverkehrs und verschlüsselt alles innerhalb des TOR-Netzwerks. Aber es kann nicht den Verkehr zwischen dem Netzwerk und dem Ziel verschlüsseln. Wenn du also sensible Informationen verschickst, solltest du SSL oder eine andere Verschlüsselungsmethode verwenden.

Auch wenn das Private politische ist:

Bei arbeiten im Netz sollte das politische von dem privaten getrennt werden:

Optimale Lösung:

Für die politische Arbeit eine Live-CD benutzen und dort mit TOR und anderen sicheren programmen wie jabber/Psi mit gnupg arbeiten.

Wenn das doch zu mühsam ist (und den meisten ist es das :-( )

Zwei Browser benutzen: bei dem politischen alles ausstellen, was geht. Vor allem JavaScript und Cookies. Es gibt von den Beteibern des Jap Java Anon Proxys ein Script/Extensions die den Firefox sicher für anonymes Browsen machen. Wenn man denen also traut oder deren Script die Extensions selber checken kann, sollte man die installieren.


Mit dem privaten würde ich auf TOR verzichten, da ich für nicht-politisches eher meinem Provider vertraue als irgendeinem Exit-Node Betreiber (verzeiht mir meine pessimistische Ader)

Ich finde Tor vom Ansatz her gut. Wenn es 10000de oder besser 100.000 Leute benutzen würden , alle als Exit-Nodes, dann wäre ich schon eher dabei. Aber so glaube ich schon, dass Geheimdienste und andere die Ressourcen haben, viele Exit-Nodes zu checken. Klar kommen die auch an die Providerdaten dran. Also gilt die Devise: Selber informieren. Selber entscheiden. Im Überwachungsstaat gibt es halt nur Pest und Cholera...

mfg dk

ps hab früher mal JAP und TOR hintereinandergeschaltet, ging gar nicht so schlecht. Ich glaube dabei war JAP Exit-Node.

Tor Funktioniert in etwas so:
Dein Pc schickt ohne TOR deine Anfrage/daten direkt an den Server den du anwählst.
Tor hat nun die Aufgabe Deine Daten erst an einen anderen Server zu schicken, dieser Server schickt deine Daten an noch einen anderen Server und der wiederum schickt sie zum letzten Server dem sogenannten Exit note.

Da die Server nur den Absender erkennen kommen deine Daten also beim letzten Server an ohne das dieser weiß woher die Daten ursprünglich kommen. (da nur die IP des Exit note bekannt ist)


Tor macht keinen Sinn wenn du in den Daten die du überträgst persönliche Daten wie Name, Pseydonym, Telefonnummer oder sonstiges schickst, da diese beim letzten Server im Klartext ankommen, und somit zwar der reguläre Absender nicht zurückvollziehbar ist, was bei einer message wie "hallo ich bin max mustermann von der antifa xy" aber auch gar nicht nötig ist um den inhalt auf dich zurückzu führen.

Weiterhin bieten Java anwendungen einen großen angriffspunkt.
Es gibt bereits Java anwendungen die unbemerkt deine Webcam und dein micro ansteuern können.
Weiterhin sendet Java eine vielzahl von PC-Daten mit, wie zB. Pc-Name, Browser usw.


die Benutzung von TOR macht also nur sinn wenn kein Java installiert ist und keine personenbezogenen daten übers Internet gehen.
Es empfiehlt sich also 2 Browser auf dem PC zu installieren, einen für das normale "surfen" und einen für TOR

btw. finger weg von google chrome!

Seit ca zwei Jahren gibt es die CryptoCD, ein ähnliches Projekt, welches aber schon sehr ausgereift ist.
Praktisch auch weil mit Online-Version.

"Die CryptoCD trägt dazu bei, die Kommunikation im Internet sicherer zu gestalten. Sie enthält alle notwendigen Anleitungen und Programme zur Verschlüsselung von E-Mails und Chat-Nachrichten sowie zum Anonymen Surfen. Die Bedienung erfolgt per Browser. Somit wird unerfahrenen NutzerInnen ein leichter Einstieg in die Thematik ermöglicht."

Weiteres und Allgemeines zum Thema findet ihr auch unter  http://verschluesselung.info ...

wichtig ist auch, dass man nur software benutzt deren quelle man als sicher einstuft. das muss prinzipiell schon mal opensource software sein, doch das alleine reicht nicht aus.

wenn man nicht in der lage oder willens ist, den code selber auf fehler und hintertüren zu durchsuchen, muss man einem anbieter vertrauen, der fertig "kompilierte" Pakete zusammengestellt hat.

Aus diesem Grund würde ich einem unbekannten Anbieter, wie im Falle der "CryptoCD" (siehe oben) nicht vertauen. All die Programme, die dort empfohlen werden, gibt es auch von bekannteren anbietern.

In der Regel sollte man also eine Linux-Distribution nehmen, der man vertrauen kann.

Viele nehmen hier Debian.

lg khzj

Warum sollte sich jemand von irgendeiner anonymen, nicht verifizierbaren Antifa-Seite vorkompilierte Exe-Dateien ohne Quellcode und Prüfsummen herunterladen um seine Sicherheit zu verbessern?
Wenn ich Überwachungs-Scheiße und Viren und Trojaner verbreiten wollte würde ich das genau so machen. Hier wird Leuten Sicherheit vorgegaukelt die genau in dem Fall überhaupt nicht gegeben ist.

Sorry, auch wenn die Aktion gut gemeint ist, in der Form ist das in meinen Augen absolutes Snakeoil. Finger weg davon und sich die Programme bei vertrauenswürdigen Originalquellen mit Prüfsummen besorgen, alles andere ist gefährlicher Murks.

erstmal vielen Dank für eure Kritik an der CD, zu der hier kurz Stellung bezogen werden soll.

zu Eraser:
Sinnvolle Ergänzung für die Sicherheit auf dem PC, wird auf der nächsten Version vorhanden sein.

zu Tor:
In den Anleitungen zu Tor wird erklärt, wann, warum und mit welchen Risiken Tor benutzt werden soll/kann. Außerdem ist ein Link zu NoScript mit auf der CD (wegen Java etc.)

zu Prüfsummen, Nazifakes und Viren:
1. Die CD ist auf der Seite der ag5 [ http://www.ag5.antifa.net] verlinkt, weshalb jegliche Verschwörungstheorie inhaltslos ist.
2. Solltet ihr den .exe Dateien und ggf. der Software nicht vertrauen, sind zu jedem Programm Links zu den Seiten der Hersteller_innen enthalten, wo ihr die Software direkt runterladen könnt. (Dort gibts auch Prüfsummen bzw. vertrauenswürdige Server)

Fazit:
Eine komplette Sicherheit und Anonymität ist (im Internet) wahrscheinlich nie gewährleistet. Das will die CD, die in übrigen zusammen mit Leuten vom CCC zusammengstellt wurde, auch überhaupt nicht behaupten. Allerdings sollte sie als Schritt in die richtige Richtung und als eine Verbesserung der Sicherheit der Kommunikation aufgefasst werden.