Wie muss man den Tor Browser einstellen oder konfigurieren, so dass man "wirklich" anonym surft?
Wie muss man den Tor Browser einstellen oder konfigurieren, so dass man "wirklich" anonym surft? Hintergrund ist die Annahme oder Vermutung, dass ein Großteil der Tor-Knoten nicht mehr sauber sind. Indem die Zahl der Proxy erhöht, kann man anonymer surfen. Richtig?
Wird dazu das Programm "Vidalia" benötigt?
3 Antworten
- Nur den Tor Browser (https://www.torproject.org/download/download-easy.html.en) oder das Betriebssystem (Live-CD) "TAILS" verwenden
- Immer updaten wenn es neue Updates gibt
- Im Tor Browser links oben über den "S" Button Skripte global ausschalten
- Keine privaten Informationen wie dein Name oder Facebook-Account preisgeben
Wird dazu das Programm "Vidalia" benötigt?
Nein (siehe den 1. Punkt).
Und wenn ich mich irgendwo einloggen möchte, keine Ahnung, ins Online-Banking oder irgendwo wo meine Daten sind.
Wer benutzt denn Online-Banking über TOR? Ich schätze mal, dass ein guter Teil der Exit-Nodes kompromittiert ist.
Ich habe selbst mal Wireshark an einem lokalen Exit-Node laufen lassen, und war geschockt wie naiv viele User sind. Zumal viele Websites kein SSL anbieten.
Du solltest NIEMALS irgendwelche Accounts über TOR benutzen, die man mit deiner wahren Identität in Verbindung bringen kann!
Vielen Dank für die Antwort.
OK, kein Online-Banking, kein sonstigen Logins über Tor..
Dann also überhaupt keine Logins über Tor?
Was haben denn die vielen naiven User denn gemacht?
Ich dachte Tor wäre nicht zurück verfolgbar und zu deanonymisieren?
Also ich habe damals den TOR-Quellcode runtergeladen und alles selbst konfiguriert. Ich habe weder Vidalia und auch kein TOR-Browserbundle benutzt.
Wenn man die torrc Konfigurationsdatei per Hand editiert, hat man VIEL mehr Kontrolle und Möglichkeiten bzgl. des Verhaltens von TOR.
Ich hatte TOR als Relay mit Exit-Node eingerichtet und nur Verbindungen zu Europäischen Domain-Namen zugelassen. (wollte mich keiner unnötigen Gefahr wegen Kinderpornos usw. aussetzen., sprich: es waren nur DE, AT, CH, FR, IT, UK und US Domains erlaubt)
Desweiteren habe ich ausschließlich Verbindungen über Port 80 erlaubt ... sprich unverschlüsselte HT TP Verbindungen.
Dann habe ich mit Wireshark einfach alle Pakete mitgesnifft und als Filter "ht tp.request.method == "POST"" eingetragen.
Da normalerweise POST Anfragen fast nur für Logins oder irgendwelche Aktivitäten, die ein Session-Cookie beinhalten, verwendet werden, konnte ich somit im Klartext alle Möglichen Passwörter und Session-Cookies mitlesen. Von Foren-Beiträgen, privaten Nachrichten und Mails mal ganz abgesehen.
Ja, und mit dieser einfachen Kombination bin ich innerhalb von Minuten an Login-Daten gekommen.
Zum Beispiel GF bietet ebenfalls kein SSL und das Login erfolgt hier im Klartext über HT TP Port 80 per POST Methode ... würdest du dich hier über TOR einloggen, hätte ich (oder jemand anderes, der einen Exit-Node betreibt) dein Passwort ergaunert.
Dazu muss man sagen, dass dieses Mitsniffen von unverschlüsselten Verbindungen technisch weder detektier, noch blockierbar ist. Da kann das TOR Projekt auch nichts für ... ist einfach prinzipbedingt so. :)
Die einzige Möglichkeit, wie du dich davor schützen kannst ist, immer nur über SSL verbinden (also deine Webadressen beginnen mit "ht tps" anstatt "ht tp")
Ich würde behaupten, sich über TOR bei GuteFrage einzuloggen ist unsicherer, als am Berliner Hauptbahnhof ein offenes unverschlüsseltes WLAN zu benutzen. Die Wahrscheinlichkeit einer Man-In-The-Middle-Attacke halte ich dort für geringer.
Wenn du dich schon jemals über TOR irgendwo eingeloggt hast, würde ich schleunigst meine Passwörter ändern ... bei TOR solltest du wirklich alles als kompromittiert ansehen.
Es ist wirklich trivial einfach als TOR ExitNode mitzusniffen. Und - wie gesagt - da gibt es auch kein Mittel gegen.
Dennoch bietet TOR natürlich sehr schöne Anonymittät ... und genau dafür ist TOR ja auch gemacht! :)
Edit: Ich habe im obigen Text immer "ht tp" geschrieben ... das muss natürlich ohne Lücke geschrieben werden, aber der GF Parser ist zu dämlich und denkt es handele sich um Spam. Also bitte einfach das Leerzeichen wegdenken! :)
ins Online-Banking oder irgendwo wo meine Daten sind
Wie willst du denn anonym sein wenn du dich wo einloggst wo dein Klarname oder gar deine Bankdaten gespeichert sind ?!
Wenn du einen Falschnamen bei Facebook hast und sonst auch keine anderen persönlichen Daten und dich dort bloß über Tor einloggst dann wäre das anonym insofern man deine echten persönlichen Daten nicht mit dem Account in Verbindung bringen könnte.
Mit "Vidalia"
Wie gesagt nur den Tor Browser (oder "TAILS"). Vidalia ist bloß eine grafische Benutzeroberfläche die du nicht brauchst.
Das wird alles durch Tor automatisch geregelt, wenn du selbst was drann änderst (wie das Land deines Exit-Nodes) hat das bloß negative Auswirkungen auf den Grad deiner Anonymität.
Ansonsten suchst du vielleicht nach einem VPN oder einem normalen Proxy ? Beides ist für 100%ige Anonymität nicht empfehlenswert, reicht im Normalfall aber und da kannst du auch "vorgetäuschtes" Land angeben (bei bestimmten VPNs oder indem du eben einen Proxy eines bestimmten Landes benutzt)
Der "automatisch" konfigurierte Tor Browser ist der "unsicherste".
Man kann es - so wie ich höre - auch manuell festlegen und z.B. über 7 oder 8 Server gehen, so dass es dann noch schwieriger wird für eine Deanonymisierung, weil die Wahrscheinlichkeit dann einen "sauberen" Node zu erwischen höher ist. Und man einen "sauberen" Node erwischt, ist eine Deanonymisierung unmöglich, der Aufwand dazu immens groß.
Deshalb verstehe ich nicht was für negative Auswirkungen es haben soll?
Dann ist man doch noch sicherer.
Soweit ich Bescheid, bringen Proxy überhaupt nichts. Da gab es Tests.
Ein VPN ist OK, und kann sogar mit Tor kombiniert werden. IP am Eintritts-Server wird anonymisiert. Und nur der VPN-Dienst kennt die echte IP, und hält dicht, außer vor richterlicher Anordnung und Nachrichtendiensten.
Und jeder VPN-Dienst speichert die echte IP-Adresse und Log-Daten, ja jeder, es gibt keine Ausnahmen. Wer etwas anderes glaubt, ist naiv.
Es ist klar, dass es keine 100%-Anonymität gibt. Aber es geht ja auch kein Mensch auf die Straße, und trägt ein Schild um den Kopf, mit Namen, Adresse, Surfgewohnheiten, Hobbys, letzten Einkäufen, usw.
Vielen Dank für die ausführliche Antwort und die Tipps! ;-)
Kurze Nachfragen:
Angenommen man loggt sich über das Tor-Netzwerk irgendwo ein, aber diese Login-Seite verfügt über SSL-Absicherung (https mit grünen Balken oder Schloss). Besteht dann ebenfalls die Gefahr sein Passwort zu offenbaren?
Wie ist deine Meinung oder Haltung zu VPN-Diensten? Sollte man die nutzen und ist die Nutzung sicher und sinnvoll?
Wenn man einen VPN-Dienst nutzt, kann man dann sicher und sorglos seine Logins nutzen, also Online-Banking, Shopping, usw.? Oder sollte man das am Besten außerhalb des VPN machen, also im "offenen" Netzwerk und sich so direkt mit den jeweiligen Servern verbinden?
Der TOR-Browser hat immer dieses HTTPS-Anywhere-Addon installiert. D.h. wenn du eine Seite nur mit "ht tp" ohne SSL aufrufst, wird automatisch erst mal versucht, die sichere "ht tps" Variante zu laden. Schlägt dies fehl, wird unverschlüsselt verbunden.
Das ist zwar sehr gut, aber dass kann man umgehen, indem man an einem manipulierten Exit-Node als MITM die SSL-Verschlüsselung entfernt. Unter Umständen muss man dann noch dynamisch ein paar JavaScripte umschreiben, da die oftmals zusätzlich überprüfen, ob die Verbindung sicher ist. Aber für beide Fälle gibt es fertige Skripte, die das ganze voll automatisch erledigen!
Also wenn dein TOR Browser mit deiner Bank tatsächlich über SSL verbunden ist, sehe ich keine Möglichkeit, den Traffic mitzuschneiden. Aber a) halte ich SSL bzw. TLS nicht für das Maß aller Dinge, d.h. ob dort Sicherheitslücken bekannt sind oder werden, weiß ich nicht, und b) ist es - wie oben erwähnt - trivial einfach das "S" aus "HT TPS" zu entfernen! :)
Normalerweise ist das TOR-Netzwerk darauf ausgelegt, solche Manipulationen zu erkennen und den entsprechenden Exit-Node dann auf die "Bad-Exit-Node-List" zu setzen. In der Realität sieht das dann aber so aus, dass ich fast eine Woche auf Teufel komm raus den Traffic manipuliert habe, und es wurde nicht entdeckt. Zudem ist die Bad-Exit-Node-Liste so kurz (Momentan nur knapp 5 Einträge!), dass ich mir nicht vorstellen kann, dass TOR hier über ein effektives Erkennungssystem verfügt.
Also ich würde mich bei TOR auf nichts verlassen, und wenn ich unbedingt SSL benutzen muss, auch wirklich darauf achten, dass ich per SSL verbunden bin!
Zu VPN: Die billigen VPN-Dienste kann man getrost alle als kompromitierte TOR-Exit-Nodes betrachten, die zumindest mitsniffen. Vor allem wenn man sich mal das Impressum von solchen Anbietern anguckt und feststellt, was die Betreiber für zwielichtige Typen sind. Vertrauen kann man solchen Diensten nicht! Das heißt zwar nicht, dass die alles mitsniffen, aber ich würde es tun, wenn ich ein chinesischer VPN-Anbieter wäre ... und sei es nur zum Spaß! :)
Anders sieht es mit eigenen VPN-Servern aus, die man bei seriösen Providern gemietet hat. Dort ist die Wahrscheinlichkeit, dass jemand mitliest vermutlich nur minimal höher, als wenn du dich in Deutschland mit einem T-Online Anschluss verbindest ... mit anderen Worten: Kann man vernachlässigen! :)
Also wirklich "vertrauen" würde ich weder TOR noch VPN ... wobei die Betonung hier auf TOR liegt. :)
Selbst wenn alle Knoten im Besitz eines Angreifers sind, auch dann ist es erst nach langer Analyse und statistischer Auswertung möglich eine Person gezielt zu identifizieren.
Was du tun kannst ist den Exit-Node manuell zu bestimmen. Dann kommst du immer an dieser Stelle raus. Da kannst du einen wählen, wo man sich sicher sein kann, dass dieser vertrauenswürdig ist. Zum Beispiel den vom CCC.
Dann sollte man auch nie seinen gesamten Traffic durch Tor leiten, da man sich so angreifbarer für statistische Analysen macht. Daher nur Tor benutzen wenn du bei was bestimmten unsichtbar bleiben willst.
Scripte ausschalten nicht vergessen. No Script aktivieren und keine Ausnahmen machen.
Und es bringt auch nichts wenn du dich über Tor bei deinem Facebook-Account anmeldest, dann wissen die sofort wer du bist^^
Zunächst einmal vielen Dank für die Tipps!
Um den Exit-node manuell zu bestimmen, benötige ich "Vidalia". Stimmt das?
Sollte der Tor Browser zudem in Englisch installiert werden, um so auch die eigene Herkunft zu verschleiern, oder ist diese ohnehin verschleiert? Bei einer Auswertung Analyse könnte man sehen, dieser hat einen deutschen Browser usw.
Sollte beim Surfen in einem anderen VPN verschiedene Browser abwechselnd verwendet werden und diese auch in englischer Sprache? Habe da was gelesen, dass auch bei IP-Verschleierung Browsertyp, OS, und Sprache übermittelt werden an die Webseitenbetreiber. Stimmt das und bringt das etwas?
Und mit "die" meinst du die Agenten von der "NASA". Richtig? ^^
Vidalia läuft immer im Hintergrund.
Ausschließlich mit Tor kann man nicht komplett anonym surfen, dazu sind weitere Schritte notwendig.
Einfach mal auf der Homepage des Tor-Projektes gucken.
Und wenn ich mich irgendwo einloggen möchte, keine Ahnung, ins Online-Banking oder irgendwo wo meine Daten sind. Wie mache ich denn das dann anonym?
Mit "Vidalia", was früher immer dazu installiert wurde, jetzt nicht mehr. Kann man aber hinzuinstallieren, habe ich gelesen. Mit "Vidalia" also, kann man alle Nodes auflisten lassen und den Standort sehen. Außerdem kann man den Datenverkehr steuern, und über weitere Nodes und Ländern leiten lassen, so wie ich das jetzt verstanden habe.