» Warum ist Tor unsicher?

mgutt · 16.12.2014, 08:35

Das kann ich in einem Satz beantworten:

Weil Du es herunterladen musst.

Erklärung
Wer über die Domain https://www.torproject.org/ die notwendige Datei bezieht, kann sich niemals sicher sein, dass er auch die Datei erhält, die er eigentlich erhalten sollte. Anfänger werden im ersten Schritt nicht mal die Datei-Signatur prüfen (was sie machen müssen!).

Aber da die Signatur zur Prüfung ebenfalls auf der oben genannten Domain gehostet ist, bringt auch diese Prüfung nicht viel. Warum nicht? Nun wie will man sicher stellen, dass der Server von Tor nicht kompromittiert wurde oder Mitarbeiter bei Tor nicht selbst zum Geheimdienst gehören? Ich erinnere mal an den Heartbleed Bug, der trotz Open Source jahrelang nicht entdeckt wurde (bzw. nicht öffentlich gemacht wurde). Damit will ich nicht sagen, dass der Entwickler diesen Bug absichtlich eingeschleust hat, sondern dass selbst Open Source anfällig ist. Ich habe sogar schon an einem Gespräch teilgenommen in dem eine Firmenleitung ein Open Source Projekt mit zwei eigenen Mitarbeitern infiltrieren wollte.

Aber selbst wenn wir davon ausgehen könnten, dass der Server und die Software sicher sind, so bleibt noch das Problem, dass wir nicht verifizieren können, dass das was wir herunterladen, auch das ist was wir haben wollen. Die Seite ist mit https verschlüsselt. D.h. die Daten werden auf dem Server verschlüsselt, gehen durch das Internet und werden durch unseren Browser entschlüsselt. Dabei geht man davon aus, dass SSL Zertifikate, die den Vorgang absichern sollen, selbst sicher sind. Sind sie aber nicht. Hier erinnere ich an kompromittierte Server bei Comodo und StartSSL.

Schlussendlich stören mich an Tor aber noch zwei Dinge:

Es ist seit Jahren bekannt, dass Tor unsicher ist, wenn unverschlüsselte Daten darüber versendet werden. Also immer dann wenn man kein https nutzt, kann ein Tor Server die Daten mitlesen. Da muss ich mich ernsthaft fragen warum der Tor Client nicht konsequent auf unverschlüsselte Daten verzichtet.
1980 wurde das Wort "Rasterfahndung" zum Wort des Jahres. Damals konnte man Datenbestände durcharbeiten und so auf die RAF Terroristen Rückschlüsse ziehen. Heute sind Datenbestände digital und damit deutlich schneller durchsuchbar. Wie lange braucht es wohl bis man herausgefunden hat, welche Kunden bei einem Provider auf Tor bzw. allgemein auf einen Proxy beim Surfen setzen.

Fazit
Meiner Ansicht nach sollte man Browser z.B. Firefox so ausliefern, dass in den Grundeinstellungen https Verbindungen automatisch über das Tor Netzwerk laufen. Damit würde man einen sehr viel größeren Anteil an Nutzern haben, die nicht über ihre Sicherheit nachdenken, aber dabei andere durch ihre "unwichtigen" Datenpakete schützen. Im eigentlichen "Tor Browser" darf außerdem kein unverschlüsselter Datenverkehr mehr möglich sein.

Tipps zur Tor
Übrigens kann man im Tor Browser über HTTPS Everywhere alle Ausnahmeregeln verbieten und ausschließlich https erlauben, aber dummerweise merkt sich der Browser die Einstellung "block all http requests" nicht, was aber nicht schlimm ist, denn durch die Deaktivierung aller Ausnahmeregeln ist http grundsätzlich nicht mehr erlaubt.

http-Seiten kann man dann übrigens immer noch besuchen. In dem Fall einfach über die integrierte Suchmaschine "startpage" auf "View by lxquick Proxy" klicken. Denkt aber daran, dass der Inhaber vom lxquick-Server alles mitlesen kann, was Ihr übertragt wie z.B. Logindaten. Also die gleiche Situation wie sonst bei Tor, aber mit dem Unterschied, dass man bewusst einen Proxy-Dienst nutzt und so hoffentlich in Erinnerung gerufen bekommt, sich hier drüber nicht anzumelden.

maxrev.de · Gast

Mach mit!

Wenn Dir die Beiträge zum Thread "Warum ist Tor unsicher?" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden:

Registrierte Mitglieder genießen die folgenden Vorteile:
✔ kostenlose Mitgliedschaft
✔ keine Werbung
✔ direkter Austausch mit Gleichgesinnten
✔ neue Fragen stellen oder Diskussionen starten
✔ schnelle Hilfe bei Problemen
✔ Bilder und Videos hochladen
✔ und vieles mehr...

Autor	Nachricht
mgutt Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52420 Wohnort: Lohmar Meine eBay-Auktionen:	16.12.2014, 08:35 zitieren Das kann ich in einem Satz beantworten: Weil Du es herunterladen musst. Erklärung Wer über die Domain https://www.torproject.org/ die notwendige Datei bezieht, kann sich niemals sicher sein, dass er auch die Datei erhält, die er eigentlich erhalten sollte. Anfänger werden im ersten Schritt nicht mal die Datei-Signatur prüfen (was sie machen müssen!). Aber da die Signatur zur Prüfung ebenfalls auf der oben genannten Domain gehostet ist, bringt auch diese Prüfung nicht viel. Warum nicht? Nun wie will man sicher stellen, dass der Server von Tor nicht kompromittiert wurde oder Mitarbeiter bei Tor nicht selbst zum Geheimdienst gehören? Ich erinnere mal an den Heartbleed Bug, der trotz Open Source jahrelang nicht entdeckt wurde (bzw. nicht öffentlich gemacht wurde). Damit will ich nicht sagen, dass der Entwickler diesen Bug absichtlich eingeschleust hat, sondern dass selbst Open Source anfällig ist. Ich habe sogar schon an einem Gespräch teilgenommen in dem eine Firmenleitung ein Open Source Projekt mit zwei eigenen Mitarbeitern infiltrieren wollte. Aber selbst wenn wir davon ausgehen könnten, dass der Server und die Software sicher sind, so bleibt noch das Problem, dass wir nicht verifizieren können, dass das was wir herunterladen, auch das ist was wir haben wollen. Die Seite ist mit https verschlüsselt. D.h. die Daten werden auf dem Server verschlüsselt, gehen durch das Internet und werden durch unseren Browser entschlüsselt. Dabei geht man davon aus, dass SSL Zertifikate, die den Vorgang absichern sollen, selbst sicher sind. Sind sie aber nicht. Hier erinnere ich an kompromittierte Server bei Comodo und StartSSL. Schlussendlich stören mich an Tor aber noch zwei Dinge: Es ist seit Jahren bekannt, dass Tor unsicher ist, wenn unverschlüsselte Daten darüber versendet werden. Also immer dann wenn man kein https nutzt, kann ein Tor Server die Daten mitlesen. Da muss ich mich ernsthaft fragen warum der Tor Client nicht konsequent auf unverschlüsselte Daten verzichtet. 1980 wurde das Wort "Rasterfahndung" zum Wort des Jahres. Damals konnte man Datenbestände durcharbeiten und so auf die RAF Terroristen Rückschlüsse ziehen. Heute sind Datenbestände digital und damit deutlich schneller durchsuchbar. Wie lange braucht es wohl bis man herausgefunden hat, welche Kunden bei einem Provider auf Tor bzw. allgemein auf einen Proxy beim Surfen setzen. Fazit Meiner Ansicht nach sollte man Browser z.B. Firefox so ausliefern, dass in den Grundeinstellungen https Verbindungen automatisch über das Tor Netzwerk laufen. Damit würde man einen sehr viel größeren Anteil an Nutzern haben, die nicht über ihre Sicherheit nachdenken, aber dabei andere durch ihre "unwichtigen" Datenpakete schützen. Im eigentlichen "Tor Browser" darf außerdem kein unverschlüsselter Datenverkehr mehr möglich sein. Tipps zur Tor Übrigens kann man im Tor Browser über HTTPS Everywhere alle Ausnahmeregeln verbieten und ausschließlich https erlauben, aber dummerweise merkt sich der Browser die Einstellung "block all http requests" nicht, was aber nicht schlimm ist, denn durch die Deaktivierung aller Ausnahmeregeln ist http grundsätzlich nicht mehr erlaubt. http-Seiten kann man dann übrigens immer noch besuchen. In dem Fall einfach über die integrierte Suchmaschine "startpage" auf "View by lxquick Proxy" klicken. Denkt aber daran, dass der Inhaber vom lxquick-Server alles mitlesen kann, was Ihr übertragt wie z.B. Logindaten. Also die gleiche Situation wie sonst bei Tor, aber mit dem Unterschied, dass man bewusst einen Proxy-Dienst nutzt und so hoffentlich in Erinnerung gerufen bekommt, sich hier drüber nicht anzumelden. 2014-12-16 09_50_48-.png - Angeschaut: 173 mal 2014-12-16 09_58_11-tor - Startpage Web Search - Tor Browser.png - [Bild vergrößern] Gefällt mir Teilen twittern 9x bearbeitet
▲	pn email

maxrev.de Gast	16.12.2014, 08:35 zitieren Mach mit! Wenn Dir die Beiträge zum Thread "Warum ist Tor unsicher?" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden: Registrierte Mitglieder genießen die folgenden Vorteile: ✔ kostenlose Mitgliedschaft ✔ keine Werbung ✔ direkter Austausch mit Gleichgesinnten ✔ neue Fragen stellen oder Diskussionen starten ✔ schnelle Hilfe bei Problemen ✔ Bilder und Videos hochladen ✔ und vieles mehr...
▲

	Re: √	Letzter Beitrag
bin mir immer noch unsicher bei der Felgenwahl!?? Ich habe vor mir im Frühjahr... also schon bald :D -einen Satz Alufelgen für meine Reisschüssel zu kaufen! Bin mir aber schon unsicher bei der Frage welche Art von Felge es sein soll: 1. Ungefähr wie mein Alter Civic (Bild 1) eher auffällig so... Seite 2, 3, 4, ... 8, 9, 10 [Type-R]von ricer	94 12.144	27.02.2008, 23:28 SPY#-2194
Warum muss eigentlich die Werkstatt Filter wechseln? Und warum gibt es keine Standards? Wir haben in Deutschland über 40 Millionen Autos. Jetzt stellt man sich mal vor, dass die im Schnitt alle 2 Jahre Öl und/oder Filter (Öl, Pollen, Luft und Treibstoff) wechseln. Und jetzt stellt Euch mal den Haufen Müll vor und wie viel Menschen hier... Seite 2 [Auto]von mgutt	16 753	14.04.2015, 17:39 dima03
Warum NOS nicht gut ist No Comment :wall: nur armer Crx :cry: Ab min. 2 gehts... Seite 2 [Allgemein]von white_dream	11 531	09.04.2010, 13:01 HondaSzeneThüringen
Warum so guenstig? [URL=http://suchen.mobile.de/fahrzeuge/showDetails.html?id=120212985&__lp=6&scopeId=C&sortOption.sortBy=price.consumerGrossEuro&sortOption.sortOrder=ASCENDING&makeModelVariant1.makeId=11000&makeModelVariant1.modelId=18&makeMode... [S2000]von Jules	3 581	19.08.2009, 22:14 Jules
Warum so billig? Weiss jemand wo da der hacken ist? :o... [Civic 06-11]von Theneo1987	6 1.479	09.01.2008, 09:46 Milos von D.
Mal interesiert bin warum... Also, was mich mal sehr interessieren würde, warum würdet ihr einen CR-V fahren? Was mich dazu veranlasst sind folgende Gründe: Zahle pro Jahr bei meinem Stratus ca 2000€ Versicherung, reelle Zahl en beim Tanken sind, 13.9-24 l Verbrauch. Nein,... [CR-V]von Bee	0 746	27.05.2006, 19:53 Bee
Wer hat ein Air Intake? Und warum? Ja wie der Titel schon sagt wollte ich mal wissen warum ihr ein Air Intake verbaut habt. (Kein Cold Air Intake - da is es ja klar^^) Wie man im Forum ja liest bringen die (normalen Air Intakes) keinen Leistungszuwachs. Also bleibt nur der Sound als... Seite 2 [Civic 01-05]von Junkie	17 912	11.07.2008, 17:49 Reiskocher
ee8 geht aus. WARUM? wenn motor warm ist geht der aus. wo ist das... [CRX]von aka08	6 304	24.03.2009, 10:34 aka08
Warum der Preis? http://cgi.ebay.de/STOssSTANGE-VORNE-HONDA-CIVIC-EG3-EG6-92-95-NEU-TEILE_W0QQitemZ270181095085QQihZ017QQcategoryZ65079QQssPageNameZWDVWQQrdZ1QQcmdZViewItem Seht eucht mal diese Stoßstange an warum für den Preis? Ist da was Faul oder kann man die... [Civic 92-95]von Honda_RPM	3 537	03.11.2007, 16:56 optix_eg5
Nun, warum nicht... CRX mit B18C Turbo Mittelmotor und Hechantrieb!... [CRX]von Masamune	1 310	31.08.2013, 21:38 derCRXTyp