Daten|teiler
Kopieren als Kulturtechnik

Mit Tarnkappe im Netz – Das Tor Browser Bundle

5. Mai 2014 von Christian Imhorst

Möchte man sich anonym im Internet bewegen, wird das vom Tor Browser Bundle [1] leicht gemacht. Das Bundle erhält man auf der Projekt-Seite von Tor. Dabei ist Tor die Kurzform von The Onion Router [2] und hat das Ziel, Verbindungsdaten von Programmen im Internet zu anonymisieren.

Redaktioneller Hinweis: Dieser Artikel von mir ist erstmals in der Maiausgabe 05/2014 von freiesMagazin erschienen.

Was ist Tor?

Mit Tor wird die eigene IP-Adresse beim Surfen verschleiert, indem die Anfragen nicht direkt an den Zielserver geschickt, sondern über eine Kette von Proxys umgeleitet werden. Die Internetpakete werden dabei verschlüsselt über drei Server – die sogenannten Nodes – geschickt, und erst der letzte Node – der „Exit-Node“ – kann die Pakete vollständig wieder entschlüsseln, um es dann an das eigentliche Ziel weiterzuleiten. Der Zielserver sieht dabei immer nur die IP-Adresse des letzten Tor-Servers und nicht die eigene. Zusätzlich sorgt Tor dafür, dass der Standort des Nutzers verborgen wird und schützt weiterhin vor Netzwerküberwachung und vor der Analyse des Datenverkehrs.

Ursprünglich wurde Tor für das US Naval Research Laboratory entwickelt, dem gemeinsamen Forschungslabor der US Navy und des Marine Corps, um die Internet-Kommunikation US-amerikanischer Regierungsbehörden und die des Militärs zu schützen. Mittlerweile erhält das Tor-Projekt neben der finanziellen Unterstützung durch die US-Regierung zu einem großen Teil auch private Spenden, die es vorantreiben sollen. Neben Regierungsbehörden und Militärs ist Tor auch für Privatpersonen interessant, die sich vor Identitätsdiebstahl im Internet schützen oder Zensur und Internet-Filter umgehen wollen.

Die Anonymisierung durch Tor ist für Blogger interessant, die für ihre Beiträge Strafen durch das herrschende Regime oder ihren Arbeitgeber befürchten müssen. Darunter sind auch Whistleblower oder Menschenrechtsaktivisten, die im Internet anonym über Verbrechen berichten oder Dokumente zu Menschenrechtsverletzungen hochladen wollen, ob nun in Blogs, Wikis oder anderen Medien. Tor ist für Journalisten interessant, um die Kommunikation mit Informanten zu schützen, wenn sie Missstände aufdecken wollen. Weitere Gründe, warum auch Computerfachleute, Geschäftsführer und andere Menschen Tor benutzen, findet man auf der Homepage des Projekts [3].

Tor Browser Bundle installieren

Das Browser-Bundle gibt es direkt auf der Tor-Website [4]. Nachdem man das Archiv für das eigene Betriebssystem als 32-Bit- oder 64-Bit-Version und die ASC-Datei mit der Signatur heruntergeladen hat, ist es nach dem Entpacken sofort einsatzbereit. Wie das für MacOS X und Windows geht, kann man auf der Homepage des Tor-Projekts nachlesen. Eine Installation des Browser Bundles ist auf jeden Fall unter keinem Betriebssystem nötig.

Unter GNU/Linux startet man zur Überprüfung des Archivs ein Terminal und wechselt in das Verzeichnis, in dem die heruntergeladenen Dateien liegen. Dann kann man die digitale Signatur des Pakets vergleichen. Es ist nämlich ziemlich egal, wie anonym und sicher Tor ist, wenn man nicht das richtige Browser Bundle benutzt. Der Abgleich geht mit GnuPG, das auf den meisten Linux-Systemen bereits installiert ist:

$ gpg --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0x416F061063FEE659

Das Paket ist von Erinn Clark signiert. Nachdem man ihren Schlüssel importiert hat, muss man noch den Fingerprint überprüfen:

$ gpg --fingerprint 0x416F061063FEE659
pub 2048R/63FEE659 2003-10-16
  Schl.-Fingerabdruck = 8738 A680 B84B 3031 A630 F2DB 416F 0610 63FE E659
uid Erinn Clark <erinn@torproject.org>
uid Erinn Clark <erinn@debian.org>
uid Erinn Clark <erinn@double-helix.org>
sub 2048R/EB399FD7 2003-10-16

Zur Verifizierung der Signatur müssen die gepackte Datei des Bundles und die ASC-Datei im selben Ordner liegen. Dann wird geprüft:

$ gpg --verify tor-browser-linux32-3.6_de.tar.xz{.asc,}
gpg: Unterschrift vom Sa 15 Feb 2014 12:46:29 CET mittels RSA-Schlüssel ID 63FEE659
gpg: Korrekte Unterschrift von "Erinn Clark <erinn@torproject.org>"
gpg: alias "Erinn Clark <erinn@debian.org>"
gpg: alias "Erinn Clark <erinn@double-helix.org>"
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck = 8738 A680 B84B 3031 A630 F2DB 416F 0610 63FE E659

Die Unterschrift von Erinn wird schon einmal als korrekt erkannt. Die meisten GnuPG-Installationen werden ihrem Schlüssel aber nicht vertrauen, da er noch nicht durch den eigenen Benutzer signiert wurde. Deshalb gibt es eine Warnung, bei der man selber entscheiden muss, ob man darauf vertraut, dass der Schlüssel wirklich Erinn gehört. Um sicher zu gehen, dass es wirklich ihr Schlüssel ist, muss man sie einmal persönlich treffen und Fingerprints austauschen. Bis dahin wird man mit der Warnung leben müssen.

Nun wird das Paket entpackt, was man, da man sich bereits im Terminal befindet, mit dem Befehl tar macht (hier am Beispiel der deutschen Version 3.6 für ein 32-Bit-System):

$ tar -xvJf tor-browser-linux32-3.6_de.tar.xz

Die Dateien liegen anschließend im Ordner tor-browser_de, der einfach an einen anderen Ort kopiert werden kann, zum Beispiel auch auf einen USB-Stick oder eine SD-Karte, um den Browser von unterwegs oder von einem anderen Rechner zu starten. Ob man den Ordner kopiert hat, oder nicht: Man muss ihn in beiden Fällen dann im Dateimanager öffnen und das Skript start-tor-browser ausführen, oder – da man immer noch im Terminal ist – das Skript von dort aus aufrufen:

$ sh start-tor-browser &

Achtung: Das darf man allerdings niemals als Root oder mit Superuser-Rechten machen, um das System nicht auszuhebeln!

Tor Browser Bundle benutzen

Das Bundle besteht aus einem modifizierten Firefox-Browser, einem Tor-Button [5] und den Add-ons NoScript [6] und HTTPS-Everywhere [7]. Als Suchmaschine ist DuckDuckGo [8] voreingestellt, die im Gegensatz zu Google keine Suchprofile speichert. Mithilfe des Tor-Buttons kann man sich eine neue Identität, also eine neue verschleierte IP-Adresse durch das Tor-Netzwerk zuweisen lassen. Wenn man eine Internet-Seite wie zum Beispiel http://ifconfig.me/ip ansurft, sieht man, wie sich die IP-Adresse im Browser ändert, nachdem man sich eine neue Identität besorgt hat.

Tor-Browser

Der Tor-Browser zeigt auf der About-Seite, dass er richtig konfiguriert ist.

Daneben gibt es unter dem Button noch einen Cookie-Schutz, falls man bestimmte Cookies behalten will, und die Proxy-, Sicherheits- und Netzwerkeinstellungen, an denen man in der Regel aber nichts ändern muss. Das Add-on NoScript erlaubt das Ausführen von JavaScript und anderen Plug-ins nur bei vertrauenswürdigen Domains, wie der eigenen Homebanking-Site. Wenn man sich bei seiner Bank oder seinem E-Mail-Provider anmeldet, verrät man zwar nicht seinem Internetprovider, was man gerade im Netz so macht, aber natürlich der Bank oder dem E-Mail-Provider. Damit ist die Anonymität natürlich dahin! Daher sollte man sich mit dem Tor-Browser auch nicht bei solchen Seiten anmelden.

Mit dem Tor-Browser ist man schon sehr sicher und mit einem hohen Grad an Anonymität unterwegs, trotzdem bietet es keine vollständige Anonymisierung. So ist diese nur auf den integrierten Browser des Bundles beschränkt. Wie man weitere Programme zum Beispiel im Terminal anonymisieren kann, zeigt der Artikel „Torify: Programme im Terminal anonymisieren“ in der nächsten Ausgabe von freiesMagazin.

Daneben beschützt der Tor-Browser den Benutzer nicht vor seiner eigenen Dummheit. Wenn man sich mit seiner bekannten E-Mail-Adresse bei einem Dienst anmeldet, ist klar, wer man ist. Dann benötigt man auch keine verschleierte IP-Adresse. Man kann auch Rückschlüsse auf die Identität von jemanden ziehen, wenn man sich überall mit demselben Nicknamen anmeldet. Wenn man mit Hilfe des Tor-Netzwerks im Internet unterwegs ist, sollte man nichts von sich preisgeben, da auch weitverstreute Informationen gesammelt und zu Persönlichkeitsprofilen zusammengestellt werden, mit denen man allen Anonymisierungsmaßnahmen zum Trotz wiedererkannt wird.

Wofür man nichts kann, sind böse Exit-Nodes, also die Proxy-Server, über die man seinen verschlüsselten Weg durch das Tor-Netzwerk wieder verlässt, um den Zielserver zu erreichen. Solche bösen Exit-Nodes werden von Menschen aufgestellt, um Daten mitzuschneiden, die über diese Knotenpunkte an den Bestimmungsort gehen. Das kann durch Tor nicht verhindert werden, weshalb man bei Passwörtern oder anderen sensiblen Daten unbedingt darauf achten sollte, dass die Verbindung sicher ist und eine Verschlüsselung wie SSL verwendet wird.

Mit dem Add-on „HTTPS Everywhere“ der Electronic Frontier Foundation (EFF [9]) wird zwar die HTTPS-Version einer Website aufgerufen, was aber nichts nützt, wenn der Exit-Node vom Heartbleed-Bug betroffen ist. Diese Nodes sind aber auf einer schwarzen Liste im Tor-Netzwerk und der Tor-Client im Browser Bundle bekam ein Update [10].

Auch wenn das Tor Browser Bundle in sich gut abgestimmt ist, muss man für die Anonymität im Netz leider ein paar Einschränkungen hinnehmen. Unter anderem auch durch die gewählten Standardeinstellungen, die man aber aus Sicherheitsgründen nicht ändern sollte. Das Surfen ist meist eher langsam, die Schriftarten im Browser sind nicht so schön und es gibt kein Flash-Plug-in.

Daneben gibt es keinen Browserverlauf und keine Speicherung von Formulardaten oder Passwörtern. Cookies werden beim Schließen des Browsers wieder gelöscht, sodass man von einer Webseite bei einem erneuten Besuch nicht wiedererkannt wird. Außerdem gibt es keine automatischen Updates des Browsers, weshalb man immer wieder einmal auf der Webseite des Torprojekts vorbeischauen sollte, ob es eine neue Version gibt [11]. Das ist zwar alles unpraktisch, aber eben der Preis der Anonymität, wenn man sensible Daten im Internet suchen oder verbreiten will.

Links

[1] https://www.torproject.org/projects/torbrowser.html.en
[2] https://de.wikipedia.org/wiki/Tor_(Netzwerk)
[3] https://www.torproject.org/about/overview.html.en
[4] https://www.torproject.org/projects/torbrowser.html.en#downloads
[5] https://www.torproject.org/torbutton/
[6] http://noscript.net/
[7] https://www.eff.org/https-everywhere
[8] https://duckduckgo.com/
[9] https://www.eff.org/
[10] https://blog.torproject.org/blog/tor-weekly-news-—-april-30th-2014
[11] https://check.torproject.org/?lang=de

Geschrieben in freiesMagazin, Gnu/Linux