Aktualisierungen gibt es im Changelog, als RSS-Feed
oder im [matrix] Raum #prhdb-changes:nitro.chat

Privacy-Handbuch

Tor Onion Router nutzt ein weltweit verteiltes Netz von 6.000-7.000 Nodes. Aus diesem Pool werden jeweils 3 Nodes für eine Route ausgewählt, die häufig wechselt. Die zwiebelartige Verschlüsselung sichert die Anonymität der Kommunikation. Selbst wenn zwei Nodes einer Route kompromittiert wurden, ist eine Beobachtung durch Dritte nicht möglich. Da die Route ständig wechselt, müsste ein großer Teil des Netzes kompromittiert worden sein, um einen Nutzer zuverlässig deanonymisieren zu können.

Tor ist neben Surfen auch für IRC, Instant-Messaging, den Abruf von Mailboxen u.a.m. nutzbar. Dabei versteckt TOR nur die IP-Adresse. Für die sichere Übertragung der Daten ist SSL- oder TLS-Verschlüsselung zu nutzen. Sonst besteht die Möglichkeit, dass sogenannte "Bad Exit Nodes" die Daten belauschen und an Userkennungen und Passwörter gelangen.

Der Inhalt der Kommunikation wird 1:1 übergeben. Für anonymes Surfen bedarf es weiterer Maßnahmen, um die Identifizierung anhand von Cookies, HTTP-Header usw. zu verhindern. Der TorBrowser ist deshalb für anonymes Surfen zu nutzen.

Verschiedene Sicherheitsforscher demonstrierten, dass es mit schnüffelnden Bad Exit Nodes relativ einfach möglich ist, Daten der Nutzer zu sammeln.

Man kann davon auszugehen, dass die Geheimdienste verschiedener Länder ebenfalls im Tor-Netz aktiv sind und sollte die Hinweise zur Sicherheit beachten: sensible Daten nur über SSL-verschlüsselte Verbindungen übertragen, SSL-Warnungen nicht einfach wegklicken, Cookies und Javascript deaktivieren… Dann ist Tor für anonyme Kommunikation geeignet.

Tor bietet nicht nur anonymen Zugriff auf verschiedene Services im Web. Die Tor Hidden Services bieten Möglichkeiten, anonym und zensurresistent zu publizieren. 

Finanzierung von TorProject.org

Formal ist TorProject.org unabhängig. Über 20 Jahre hing das Projekt an der Finanzierung durch die US-Regierung und erst durch diese langjährige Finanzierung durch das US-Verteidigungs­ministerium, US-State-Department, Broad­casting Board of Governors (BBG ist ein Spin-Off der CIA, das auch Medien wie Voice of America, Radio Free Europe oder Radio Liberty beaufsichtigt) und andere US-Behörden konnte das Projekt zum erfolgreichen, größten Anonymisierungs­projekt werden. (FOIA Dokumente vom Journalisten Y. Levine)

Seit 2015 bemüht TorProject.org sich darum, die Finanzierung zu diversifizieren und den Anteil der US-Regierung zu senken. Dieser Anteil sank von 85% (2015) auf 39% (2019).

Für die restlichen 61% der insgesamt $4,6 Mio. wurden folgende Geldgeber genannt:

Tripe-Use-Technik

Anonymisierungsdienste und Kryptografie allgemein sind Triple-Use-Techniken. Am Beispiel von Tor Onion Router kann man es deutlich erkennen:
  1. Ganz normal Menschen nutzen Tor, um ihre Privatsphäre vor kommerziellen Daten­sammlern und staatlicher Überwachung / Repressalien zu schützen. Dieses Szenario steht häufig im Mittel­punkt der Diskussion unter Aktivisten, ist aber möglicher­weise die kleinste Gruppe.

    Bei den Protesten im Sommer 2020 nach den Wahlen in Weißrussland hätte Tor Onion Router seine Attraktivität für politische Aktivisten beweisen können. Zwei Jahre zuvor hatte die weiß­russische Regierung modernste Überwachungs- und Filter­technik für 2,5 Mio. Dollar gekauft und recht­zeitig vor den Wahlen in Betrieb genommen.

    Unmittelbar nach den Wahlen begannen massive Proteste, auf welche die Regierung mit Gewalt und Blockaden von Internet­diensten reagierte. Tor war mit den Bridges in der Lage, die Blockaden zu umgehen. Aber die Statistik zeigt, dass es in Weiß­russland keine nennen­werte Zunahme der Nutzung von Tor während der Proteste gab. Vor, während und nach dem Höhe­punkt der Proteste gab es weniger als 6.000 Tor-Clients in Weißrussland.

    Die Messenger Signal App und Telegram konten die Internet­sperren gleich­falls umgehen und oppositionelle Telegram Kanäle wie "Nexta" hatten zeitweise mehr als 2 Mio. Follower.

  2. Kriminelle nutzen in großen Umfang Tor, um verschiedene Arten der Kommunikation geheim zu halten. Beispiels­weise verwenden Botnetze Tor, um die Kommunikation mit den C&C Servern geheim zu halten. Das bekannteste Beispiel ist das Mevade.A Botnet. Im Sommer 2013 waren zeitweise 80-90% der Tor Clients Mevade.A Bots.

    Außerdem nutzen Drogenhändler u.a. die Technik der Tor Onion Sites (Tor Hidden Services), um ihre Waren anzubieten. Im Rahmen der Operation Onymous konnte das FBI mehr als 400 Drogenmarkplätze abgeschalten werden. Das FBI hatte dabei technische Unterstützung von der Carnegie Mellon Unversity bei der Deanonymisierung von Tor Onion Sites.

    Die Nutzung von Anonymisierungsdiensten durch Kriminelle betrifft nicht nur Tor. Im Jahres­bericht 2015 befürchten die Analysten von Europol, dass Kriminelle zukünfig das Invisible Internet Project (I2P) oder OpenBazaar statt Tor Onion Sites nutzen könnten, was die Verfolgung erschweren würde.

  3. Die Geheimdienste nutzen Tor in erheblichen Umfang, um Kommunikation geheim zu halten. Außerdem ist Tor eine Waffe im Arsenal der CIA und des US-Cybercommand.

    Im Frühjahr 2014 auf dem Höhepunkt der Ukraine-Krise wurde beispielsweise ein Bot­netz in Russland hochgefahren, dass der russischen Gegen­seite ernsthafte Probleme bereitet hat. Auf der Seite metrics.torproject.org sieht man den Anstieg der Tor Nutzer in Russland (aber nicht international), der typisch für ein aktiviertes Botnetz ist.

    Die russische Regierung hatte 4 Mio. Rubel für einen Exploit geboten um die beteiligten Tor Nodes zu deanonymiseren. Der russische Militär­dienst­leister Kalaschnikow hatte den Auftrag über­nommen, konnte aber keine brauchbaren Ergebnisse liefern.

    Vom Journalisten Y. Levine veröffentlichte FOIA Dokumente zeigen, das insbesondere die CIA Tor aktiv als Werkzeug bei der Destabilisierung unbequemer Länder nutzt:
    The documents showed Tor employees taking orders from their handlers in the federal government, including hatching plans to deploy their anonymity tool in countries that the U.S. was working to destabilize: China, Iran, Vietnam, Russia.

    Kleine Bemerkung aus meiner eigenen Erfahrung: Speziell für den Einsatz im Iran sind mir konkrete Wünsche der CIA gegenüber TorProject.org bekannt, die Details sind für das Privacy-Handbuch aber nicht relevant und würden den Rahmen sprengen.

    Wer einen Tor Node betreibt, sollte sich darüber klar sein, wen er damit unterstützt.

Die Nutzung von Tor ist ein Spiegel gesellschaftlicher Probleme und kein techn. Problem.
  1. Das in der UN-Menschenrechtscharta und der Europäische Menschen­rechts­konvention deklarierte Recht auf unbeobachtet, pivate Kommunikation ist durch die staatlich organisierte Massenüberwachung und kommerzielle Daten­sammlungen praktisch abgeschafft. Ex-Bundes­innen­minister Friedrich empfiehlt Selbstschutz , weil die technischen Möglichkeiten zur Aus­spähung existieren (Bankrott­erklärung der Politik), und Tor ist eine Technik zum Selbstschutz.
  2. Kriminaltät wie Wirtschaftskriminalität, Eigentumsdelikte, Drogen... oder ganz allgm. "Handlungen im Wider­spruch zu geltenden Gesetzen" sind gesellschaftliche Phänomene, für die man nicht den technischen Hilfsmitteln die Schuld geben kann.
  3. Im Rahmen der erneuten Eskalation des "Kalten Krieges" wird jede Technik hinsichtlich Brauch­barkeit als Waffe geprüft. Tor war von Anfang ein Projekt der US-Army und wird deshalb von der US-Regierung finanziert. Auf der Webseite von TorProject.org wird diese Nutzung ausdrücklich beworben: Diese Verwendung sollte auch denen klar sein, die sich als freiwillige Unterstützer an der Finanzierung eines Tor Node beteiligen oder selbst einen Tor Node betreiben.

Durch unterschiedliche Interessen entstehen skurrile Situationen, wenn das FBI der Carnegie Mellon Unversity 1 Mio. Dollar zur Verfügung stellt, um Tor Onion Services für die Operation Onymous zu deanonymisieren, die Univerität die wiss. Ergebnisse auf der BlackHat Konferenz aber nicht publizieren darf, um die US-Cyberoperationen in Russland nicht zu gefährden, und die Entwickler bei TorProject.org auf Vermutungen angewiesen sind, um Bugs zu fixen, damit sie politischen Aktivisten wie Wikileaks eine vertrauenswürdige Infrastruktur bereit stellen können.

Vielleicht ist Tor Onion Router auch einfach nur ein gutes Beispiel dafür, was passiert, wenn IT-Nerds sich für die Guten halten und versuchen, mit technischen Mitteln gesellschafts­politische Probleme in blutrünstigen Diktaturen zu lösen.