Privacy Handbuch

Die Sicherheit von Anonymisierungsdiensten wie Tor Onion Router ergibt sich nicht alleine aus der Qualität der Anonymisierungssoftware. Durch Fehler in der verwendeten Anwendung oder falsche Konfiguration kann die Anonymität komplett ausgehebelt werden.

Einige Beispiele

Wer in seinem Standardbrowser nur die Proxy-Einstellungen anpasst um Tor Onion Router zu verwenden, ist auch nicht sicher anonym. Eine Deanonymisierung ist mit WebRTC oder Java-Applets möglich. Cookies und andere Trackingfeatures können langfristig ebenfalls zu einer Deanonymisierung des Surfverhaltens führen. Für anonymes Surfen muss man das TorBrowserBundle verwenden!
Viele Messenger verwenden Interactive Connection Establishment (ICE) für den Aufbau einer direkten Verbindung zwischen Clients für Audio- und Videochats. ICE ist Bestandteil von WebRTC und libjingle (XMPP). Dabei werden dem Kommunikationspartner alle verfügbare IP-Adressen (auch die öffentliche IP des Routers) zugeschickt und via UPnP Protokoll wird versucht, einen direkten Tunnel durch den Router zu bohren. Mit einem Audio- oder Videoanruf kann man also deanonymisiert werden.
Einige nicht-anonyme Peer-2-Peer Protokolle wie BitTorrent übertragen ebenfalls die IP-Adresse des eigenen Rechners an verfügbare Partner ähnlich wie bei ICE. Damit ist es ebenfalls möglich, User zu deanonymisieren. Eine wiss. Arbeit zeigte, wie damit 10.000 BitTorrent Tor-Nutzer deanomisiert werden konnten.
Der Assistent zur Einrichtung eines E-Mail Account in Thunderbird umgeht die Einstellungen für den Proxy beim Abrufen der Autoconfig Datei mit den Servereinstellungen und sendet dabei die eigene E-Mail Adresse an den Provider. Der E-Mail Provider erhält damit die echte IP-Adresse zusammen mit der E-Mail Adresse und man ist deanonymisiert, bevor man die erste E-Mail geschrieben oder empfangen hat.
Durch Software aus fragwürdigen Quellen können Backdoors zur Deanonymisierung geöffnet werden. Eine Gruppe von ANONYMOUS demonstrierte es, indem sie eine modifizierte Version des Firefox Add-on TorButton zum Download anboten, dass wirklich von einigen Tor-Nutzern verwendet wurde. Dieses Add-on enthielt eine Backdoor, um die Nutzer von einigen Tor Onion Services mit kinderpronografischem Material zu identifizieren. Die Liste der deanonymisierten Besucher wurde im Herbst 2011 im Internet veröffentlicht.

Schlussfolgerung

Beachten Sie die von den Entwicklern der Anonymisierungsdienste gelieferten Hinweise!

TorProject.org empfiehlt für anonymes Surfen ausdrücklich das TorBrowserBundle. Nur dieser Browser kann als wirklich sicher nach dem Stand der Technik gelten. Die vielen Sicherheitsfeatures dieses Browsers kann man nur unvollständig selbst umsetzen.
Für alle weiteren Anwendungen sind die Anleitungen von TorProject.org zu lesen. Nur die von den Entwicklern als sicher deklarierten Anwendungen sollten mit Tor genutzt werden.
Verwenden Sie ausschießlich die Originalsoftware der Entwickler.