Tor und Twitter: Du wirst staatlich gehackt, weil sie es können

Alvar Freude nahm die Vorfälle mal wieder zum Anlass, um vor der Benutzung des Anonymisierungsdienstes Tor zu warnen. Er hält die Nutzung von Tor für unsinnig, wenn nicht gar für schädlich. Weltweit vertrauen allerdings sehr viele Menschen der Anonymisierungssoftware. Sollten sich alle getäuscht haben – oder nutzt Alvar nur die Gelegenheit zum Rundumschlag gegen Tor?

Alvar schreibt unter dem Titel„Du wirst staatlich gehackt, weil Du Tor nutzt!“ eingangs:

«Auffällig ist, dass alle bisherigen Empfänger dieser Nachricht den Anonymisierungsdienst Tor nutzen.»

Alvars Posting beginnt also mit der Aussage, dass alle Empfänger der Twitter-Nachricht über den staatlichen Angriff Tor benutzen würden. Dies ist falsch.

DieListe der Betroffenen ist mittlerweile auf41 Menschen angewachsen. Es gibt darunter einige (Beispiel 1, Beispiel 2 sowie private Kommunikation), die explizit sagen, dass sie noch nie Twitter mit Tor benutzt haben. Alvar ist das auch direkt zur Kenntnis gegeben worden. Andere wurden bisher noch nicht gefragt. Es ist zu vermuten, dass auch von diesen einige kein Tor verwenden. Insofern ist schon die Prämisse seines Blogbeitrages falsch.

Er argumentiert ausserdem, dass Twitter und Facebook ohnehin wüssten, wer der jeweilige Nutzer ist. Doch selbst wenn jemand dort einen Namen angegeben hat, woher soll Twitter oder Facebook wissen, dass es sich tatsächlich um diese Person handelt? Es gibt keine Pflicht, sich mittels Personalausweis oder anderen Dokumenten anzumelden, und dies soll auch weiterhin so bleiben. Gerade Menschen, die Wert auf eine freiheitliche Nutzung der Netze legen, geben nicht immer ihren Realnamen an. Das mag Alvar befremdlich verkommen, entspricht aber durchaus den Gepflogenheiten, gerade wenn man aktivistisch tätig ist. Und unter den Betroffenen befinden sich auffällig viele Aktivisten.

Im weiteren Verlauf spekuliert er, dass die Betroffenen Ziel einer Man-in-the-Middle-Attacke gewesen seien. Das heisst, ein Angreifer stellte ein Zertifikat aus, das sich für Twitter ausgibt. Die Browser der betroffenen Personen würden dies „glauben“, und der Angreifer könnte so die Kommunikation mitlesen. Als „Beweis“ verlinkt Alvar auf eine alte Heise-Meldung, wo es um gefälschte Zertifikate geht. Dieser Angriff ist im Falle von Twitter jedoch ausgesprochen unwahrscheinlich. Durch die bekanntgewordenen Fälle liefern nämlich die Browser Informationen zu Zertifikaten von Haus aus mit (siehehier). Das heisst: Selbst wenn ein Angreifer ein Zertifikat fälscht und diese Fälschung beglaubigt würde, dann würden die aktuellen Browser (Chrome, Firefox, IE, Safari und andere) diese Fälschung erkennen und den Nutzer warnen. Gerade die Entwickler von Tor haben die Schwächen des Zertifikatssystems seit langem im Blick und versuchen,Schutzmassnahmen zu entwickeln. Mindestens einigen der Betroffenen hätten Angriffe auffallen müssen, niemand hat aber davon berichtet.

Bei anderen Anbietern, die nicht so gesichert sind, stellt sich die Frage, warum Angreifer einen derartigen Aufwand treiben und ein derart hohes Risiko der Aufdeckung in Kauf nehmen sollten, nur um dann Informationen von zufällig ausgewählten Nutzern abzugreifen. Hier steht Aufwand und Nutzen für den Angreifer in keinem Verhältnis.

Aber nehmen wir für einen Moment an, Alvar hätte recht und ein Angreifer hätte sich ein Zertifikat besorgt und würde versuchen, eine Man-in-the-Middle-Attacke durchzuführen. Dann würde das innerhalb kürzester Zeit bemerkt werden. Seit einigen Jahren schon durchforsten Freiwillige das Tor-Netzwerk nach Servern, die Fehlverhalten zeigen. Auf diese Weise wurden bereits mehrfach Server enttarnt und aus dem Netz entfernt, wenn sie solche Angriffe durchführten. Das heisst, ein Angreifer hätte nur wenig Aussicht auf Erfolg. Die Scansoftware liegt übrigens beiGithub. Wer derartige Tests durchführen oder die Software erweitern will, ist bei der Gelegenheit herzlich dazu eingeladen.

Zum Abschluss von Alvars Beitrag ist noch zu lesen:

«Für den normalen Nutzer in einem freiheitlich-demokratischen Staat, der nicht befürchten muss persönlich und direkt von den Geheimdiensten überwacht zu werden, ist Tor für die normale Internet-Nutzung in der Regel keine gute Idee, da die Anzahl der Angriffsvektoren steigt.»

Was will uns Alvar sagen? Was für Angriffsvektoren sollen das sein? Die deutsche Marlene Mustermann darf besser brav ihren Browser starten, ihr Surfverhalten protokollieren und sich blinkende Werbung anzeigen lassen, sich nebenbei Schadsoftware über Werbenetzwerke einfangen und dann im Urlaub nicht mal mehr ihre Lieblingswebsites anschauen? Da fehlt ja nur noch, dass der elektronische Personalausweis vor jeder Surfsitzung eingelesen werden muss. Denn wir leben doch in einem rundum freiheitlich-demokratischen Staat.

Ist Alvar vielleicht entgangen, dass die deutsche Regierung gerade die anlasslose Protokollierung aller Telekommunikations- und Standortdaten per Gesetz beschlossen hat, heute zudem noch die Tore für die deutschen Geheimdienste aufgestossen wurden, die in Zukunft auch darauf zugreifen sollen dürfen? Hat Alvar vielleicht die Skandalserie der internationalen Geheimdienst-Cliquen nicht mitbekommen und über ihre massenhaften Datensammlungen nichts gelesen? Es gibt nichts zu befürchten?

Weder Tor noch der Tor-Browser wurden einzig mit dem Ziel geschaffen, Menschen vor der Verfolgung von Geheimdiensten zu schützen. Vielmehr sollen das Werkzeuge sein, die allen helfen, ihre Privatsphäre zu schützen, egal, ob vor dem neugierigen Chef, vor spionierenden Unternehmen, dem Staat oder anderen Akteuren. Die Entwickler des Tor-Browsers investieren viel Arbeit und Energie, den Firefox abzusichern. Dadurch haben wir alle am Ende ein einfach zu nutzendes Programm zur Verfügung. Dieses schützt die Nutzer in freiheitlich-demokratischen Grundordnungen ebenso wie auch andere in diktatorischen Staaten.

Nein, Alvar, wir sollten nicht die „Finger von Tor lassen“, wir sollten besser zusehen, dass wir sichere und nutzbare Anonymisierungswerkzeuge haben, verbessern und selbstverständlich nutzen können. Nicht nur für uns und gegen die derzeit überwachungshysterischen Regierungen mitsamt ihren Geheimdiensten, sondern auch, weil viele Menschen weltweit das noch nötiger brauchen als wir. Mit einer unsinnigen Argumentation, nach der man glauben könnte, Tor wäre für den Benutzer nicht ein Schutz, sondern ein Risiko, läuft man politisch nur denen in die Arme, die ohnehin die Axt an den Tor-Baum legen wollen.

Tor und Twitter: Du wirst staatlich gehackt, weil sie es können | Untergrund-Blättle

Werkzeuge die helfen, die Privatsphäre zu schützen Tor und Twitter: Du wirst staatlich gehackt, weil sie es können