Privacy Handbuch

Das TorBrowserBundle enthält einen modifizierten Firefox sowie den Tor Daemon für verschiedene Betriebssysteme. Die Installation ist einfach. Man lädt das passende Archiv von der Downloadseite herunter, entpackt es und ruft das Startscript des TorBrowser auf.

Wenn die org. Downloadseite von TorProject.org gesperrt ist (z.B. in Jena oder Russland), dann kann man den TorBrowser auch bei Github.com herunterladen. Weitere alternative Downloadmöglichkeiten erhält man per E-Mail, wenn man eine Nachricht mit dem gewünschten Betriebssystem und Lokalisierung ("windows en", "linux en", "osx en") an gettor@torproject.org schickt.

Inoffizielle Downloadquellen, die auf duiosen Webseiten oder Youtube beworben werden, sollte man auf auf jeden Fall meiden, weil sie oft mit Trojanern verseucht sind.

Auf Computern des Arbeitgebers hat das TorBrowserBundle nichts zu suchen. Dafür kann man fristlos gekündig werden wegen Gefährdung der IT Sicherheit, auch wenn man keine virenverseuchte Version installiert hat. Diese Rechtsauffassung wurde von Arbeitsgerichten mehrfach bestätigt.

TorBrowser installieren

Das heruntergeladene TorBrowser Archiv ist nach dem Download zu entpacken, eine Installation ist nicht nötig. Man kann das TorBrowserBundle auf einen (verschlüsselten) USB-Stick kopieren und unterwegs nutzen, die Software ist portabel.

TorBrowser verwenden

Beim ersten Start öffnet sich zuerst diese Startseite. In den Tor Network Settings kann man Bridges zur Umgehung von Blockierungen des Tor Netzwerkes auswählen oder Einschränkungen der Firewall konfigurieren (z.B. wenn eine Firewall nur Verbindungen zu Port 80 und 443 durchlässt).

Mit dem Button "Connect" startet man den Tor Deamon im Hintergrund - und los gehts.

Um diesen Schritt in Zukunft zu überspringen, kann man die Option zum automatischen Verbinden beim Start aktivieren. Wenn wegen Zensur des Tor Netzwerkes keine Verbindung hergestellt werden kann, startet der Connection Wizard, der Bridges zur Zensurumgehung besorgen kann:

TorBrowser regelmäßig aktualisieren

Das TorBrowserBundle wird nicht mit den Updates des Betriebssystem aktualisert sondern lädt verfügbare Updates selbst herunter (via Tor). Mit einem kleinen grünen Punkt auf dem Hamburger Icon wird angezeigt, dass Updates verfügbar sind, die man mit einem Klick im Menü installiert.

Größe des Browserfensters

Der TorBrowser startet mit einer festgelegten Größe des Browserfensters mit 1400px Breite x N*100px Höhe. Diese Fenstergröße wird gleichzeitig als Bildschirmgröße verwendet.

Da die Größe des Browserfensters und die Größe des Bildschirms als Tracking-Feature genutzt wird, sollte man die voreingestellte Größe des Browserfensters nicht(!) ändern.

Lesezeichensymbolleiste

Die Lesezeichensymbolleiste kann man mit der Tastenkombination STRG+SHIFT+B ständig anzeigen lassen. Da keine Surfhistory gespeichert wird, braucht man öfters Lesezeichen.

Die Größe des Browserfensters wird mit dem dauerhaften Einblenden der Lesezeichenliste angepasst und etwas vergrößert, so dass die innere Fenstergröße und der Fake der Bildschirmgröße konstant bleiben und man die Anonymitätsgruppe nicht verlässt.

Sicherheitseinstellungen

Die folgenden Beispiele für erfolgreiche Angriffe beziehen sich auf FBI, weil es darüber Berichte gibt. Es sind aber nur Beispiele (nicht nur NSA und FBI haben fähige Hacker).

Rule 41 erlaubt seit Dez. 2016 dem FBI das massenweise Hacken von Tor- und VPN-Nutzern unabhägig davon, in welchem Land die Tor-Nutzer sich befinden.

  1. 2016 wurde auf der Tor Mailingliste ein Javascript Bug gepostet, den das FBI mit Exploits ausnutzte, um Trojaner zu installieren, die Tor Nutzer deanonymisierten. Der Einsatz wurde auf der vom FBI beschlagnahmten Onion Site "Giftbox" nachgewiesen.
  2. 2015 verwendete das FBI im Rahmen der Operation Playpen einen Zero-Day-Exploit im TorBrowser, um Besuchern von bestimmten Webseiten einen Trojaner unterzuschieben und die Tor-Nutzer damit zu deanonymisieren. Welcher Lücke im Firefox dabei ausgenutzt wurde, ist nicht bekannt. TorProject.org und Mozilla haben sich bemüht, aber die Informationen wurden unter Hinweis auf die "Nationale Sicherheit" als geheim eingestuft.
  3. Im Sommer 2013 wurden tausende Tor-Nutzer mit dem FBI-Trojaner "Magneto" infiziert. Der Exploit zur Installation des Trojaners nutzte einen Javascript Bug im TorBrowser. Der installierte Trojaner sendete die IP-Adresse, die MAC-Adresse und den Namen des Rechners an einen FBI Server, um Tor-Nutzer zu deanonymisieren.
  4. Aus den Snwoden Dokumenten geht hervor, dass die NSA das TorBrowserBundle auf Basis von Firefox 10 esr über einen Bug in E4X (einer XML Extension für Javascript) automatisiert angreifen und Nutzer deanonymisieren konnten.
Die Tor-Entwickler haben den Tradeoff zwischen einfacher Benutzbarkeit und Sicherheit in den Default-Einstellungen zugunsten der einfachen Benutzbarkeit entschieden. Es wird aber auch anerkannt, dass diese Einstellungen ein Sicherheitsrisiko sind. In den FAQ steht:
There's a tradeoff here. On the one hand, we should leave JavaScript enabled by default so websites work the way users expect. On the other hand, we should disable JavaScript by default to better protect against browser vulnerabilities (not just a theoretical concern!).

Beim Start wird man darauf hingewiesen, dass man die Sicherheitseinstellungen anpassen kann. TorBrowser startet mit dem niedrigsten Sicherheitslevel "Standard", um das Surferlebnis möglichst wenig einzuschränken. Bei Bedarf soll man den Sicherheitslevel erhöhen.

Für sicherheitsbewuste Nutzer ist der umgekehrten Weg empfehlenswert. Man kann standardmäßig im höchsten Sicherheitslevel "Safest" surfen und wenn es ein Login bei einer Webseite erfordert, auf den mittleren Level "Safer" wechseln. Fast alle Websites mit viel Javascript, die einen Login erfordern (E-Mail Provider u.ä.), kann man im mittleren Level "Safer" problemlos nutzen.

Um den Sicherheitslevel anzupassen, klickt man auf das Symbol mit dem Schild (2. Symbol rechts neben der URL-Leiste) und in dem ausklappenden Menü auf "Advanced Security Settings". Im Browser wird dann die Seite mit den Einstellungen geöffnet.

Die "Überwachungsdichte" und die Aggressivität der Angreifer ist im Tor Netzwerk höher als im normalen Internet. Daher sollte man auch die erforderlichen Schutz­maßnahmen deutlich höher ansetzen, als bei einem normalen Browser. 

Suchmaschinen im TorBrowser

Standardmäßig verwendet der TorBrowser die Suchmachine DuckDuckGo mit Default Einstellungen. Die Suchanfragen werden via GET Request gesendet, die moderate Filterung der Suchergebnisse ist aktiv und aufgrund der Einschränkungen bei den Fonts ist die Darstellung suboptimal.

Hier auf dieser Webseite kann man mit Klick der rechten Maustaste in die URL Leiste Alternativen installieren:

In den Einstellungen des TorBrowsers kann man dann die Standardsuchmaschine auswählen.

AdBlocker und Trackingprotection

Der org. TorBrowser enthält keinen AdBlocker und alle Trackingprotection Features von Firefox sind vollständig deaktiviert. Es ist das Konzept vom TorBrowser, Werbung und Trackingscripte nicht zu blockieren sondern durch Anonymität die Privatspäre zu gewährleisten.
  1. Das Anonymitätskonzept des TorBrowser verhindert, dass Nutzer individuell erkannt und beim Surfen verfolgt werden können.
  2. Viele Webseiten finanzieren sich durch Online Werbung. TorProject.org möchte in diesem Punkt keine Konfrontation, um die Akzeptanz des Browsers nicht zu belasten.
  3. Tor benötigt viel Cover-Traffic, damit geheim­dienstliche Operationen weniger auffallen, wie Roger Dingledine schon 2004 auf der Konferenz Wizards of OS sagte:
    Die US-Regierung kann nicht ein Anonymisierungssystem nur für sich selbst nutzen. Jedes Mal, wenn es eine Verbindung gibt, würden die Leute dann sagen: "Oh, da ist noch ein CIA-Agent, der sich meine Webseite anschaut." wenn sie die einzigen sind, die das Netzwerk nutzen.

Es ist empfehlenswert, dem Konzept von TorProject.org zu folgen. Ein AdBlocker ist leicht erkennbar und unterschiedliche Filterlisten können als Merkmal für das Finger­printing dienen. Es ist nahzu unmöglich, eine Anonymitätsgruppe mit identischen Filterlisten aufzubauen.

Cookies und EverCookies

Um Tackingcookies und EverCookies muss man sich beim TorBrowser keine Gedanken machen. Das von den Entwicklern umgesetzte Sicherheitskonzept "Cross-Origin Identifier Unlinkability" schützt zuverlässig gegen Tracking und Deanonymisierung mit Cookies oder EverCookies ohne das Surferlebnis nennenswert zu beeinträchtigen.

Verbindungsprobleme bei "Faschist Firewalls"

Es kann vorkommen, das der TorBrowser in Gast- oder Hotel WLANs keine Verbindung zum Onion Netzwerk herstellen kann. Meist liegt es an einer "Faschist Firewall" auf dem Router, die nur die Kommunikation zu wenigen Ziel-Ports zulässt. Oft sind nur die Ports 80 und 443 offen.

Um durch "Faschist Firewalls" die Server des Tor Onion Netzwerkes erreichen zu können, muss man in den Einstellungen vom TorBrowser unter "Verbindung → Erweitert" konfigurieren, wie der TorBrowser sich mit dem Internet verbindet. Es werden nur die Ports 80 und 443 erlaubt.

Wenn das nicht hilft, dann wird das Tor Netzwerk blockiert und man braucht man Tor Bridges.

PDFs und andere Dokumente

Auf der Downloadseite des TorBrowserBundles findet man unten einige Sicherheitshinweise, unter anderem zu PDFs und anderen Dokumenten:

Don't open documents downloaded through Tor while online

You should be very careful when downloading documents via Tor (especially DOC and PDF files) as these documents can contain Internet resources that will be downloaded outside of Tor by the application that opens them. This will reveal your non-Tor IP address.

If you must work with DOC and/or PDF files, we strongly recommend either using a disconnected computer, downloading the free VirtualBox and using it with a virtual machine image with networking disabled, or using Tails.

PDFs und andere Office Dokumente können Trackingwanzen enthalten, die beim Öffnen des Dokumentes von einem Server geladen werden. Wenn man sie in einem PDF-Reader öffnet, während man online ist, dann kann man deanonymisiert werden.

Standardmäßig öffnet TorBrowser PDFs im eigenen Viewer PDF.js. Damit sollte man zwar nicht deanonymisiert werden können, aber der Server kann zumindest das Öffnen des Dokumentes registrieren, auch nicht schön. Außerdem gibt es immer wieder Bug in Mozillas PDF.js, die für einen Exploit genutzt werden können (z.B. mfsa2015-69 vom Juli 2015).

Um nicht immer daran denken zu müssen, mit der rechten Maustaste auf einen PDF-Link zu klicken und "Speichern unter..." zu wählen, kann man die Einstellung im TorBrowser für PDF-Dokumente ändern und auf "Speichern" setzen. Die via Tor herunter geladenen Dokumente kann man in einem besonderen Ordner speichern. Dann behält man den Überblick und weiss, dass man diese Dokumente nur öffnen darf, wenn man den Netzwerkstecker gezogen hat oder die WLAN-Verbindung ausgeschaltet wurde.

Eigenes Verhalten

Nach einer Faustregel hängt die Anonymität nur zu 10% von der Technik ab, zu 30% vom Wissen des Anwenders, wie man die Technik einsetzt, und zu 60% von der Disziplin, die notwendigen Regeln auch einzuhalten.

Die meisten Leser werden neben dem TorBrowserBundle auch einen normalen Browser nutzen, der für spurenarmes Surfen konfiguriert wurde. Mam muss sich darüber klar werden, wann man wirklich anonym bleiben will, welche Identäten, welche Accounts anonym sind und zu welchen Themen man anonym surfen will. Diese Regeln müssen dann strikt eingehalten werden. Ein einzelner Fehler kann ausreichen, um ein Pseudonym zu deanonymisieren.

Referenzen zwischen anonymen Surfen mit TorBrowser und spurenarmen Surfen mit dem normalen Browser sind unbedingt zu vermeiden, das kann zur Deanonymisierung führen. Insbesondere ist es ein Epic Fail, Links zwischen den beiden Browsern zu kopieren. Links können individuelle IDs enthalten (wie z.B. bei der Googlesuche) oder andere Merkmale.

Kompatibilität verschiedener Webseiten mit Tor

Es gibt viele Hinweise auf Webseiten, die Tor nicht mögen, sich mit Tor nicht nutzen lassen oder Tor Nodes explizit sperren. Wikipedia erlaubt keine anonymen Edits mit Tor, einige E-Mail Provider sperren Tor oder weisen E-Mails als Spam ab, die via Tor verschickt wurden, Suchmaschinen sperren temporär immer mal wieder die Top Exit Nodes, Wordpress mag es nicht, wenn man via Tor Kommentare schreibt....

Einige Hinweise von Lesern kann man verifizieren, andere sind scheinbar nur temporär oder betreffen nur einige High Performance Exits. Man kann nicht ständig Webseiten zu prüfen. Das Problem wird es immer geben und eine Liste veraltet schneller, als man tippen kann.

Wenn ein Webdienst Tor nicht mag, dann sucht man am besten eine Alternative. Das Web ist groß und es gibt für alles einen Ersatz, den man via Tor nutzen kann.