Gestern habe ich auf einen Angriff auf TOR hingewiesen. Ich will hier mal ein Szenario durchspielen, wie die Bullen das gegen unsere Strukturen durchziehen könnten, und wie eine einfache Gegenmassnahme aussehen könnte. Ein kurze, detailierte Beschreibung des Angriffs ist auf zdnet. Der Angriff basiert darauf, dass in deinem browser Java uns Javascript läuft, was Sicherheitsmässig eigentlich eh ein don‘t ist – oder, wie es jemand auf der TOR – mailinglist kommentierte:“They seriously expect me to use JavaScript and Java when using Tor? Some uber-hacker, indeed.“ (Einer der relevanten threads auf der mailinglist)
Also wo liegt das Problem? einfach Java, Javascript und ein paar andere plugins ausschalten, und wir sind sicher. Aber auch von vielen Webanwendungen abgeschnitten – zeromail zum Beispiel („Endlich eine linke Addresse“) funktioniert nur mit aktiviertem Javascript. Was macht also der VS? Ein paar TOR nodes laufen lassen, auf denen die erwähnten Sparifankaln installiert sind. Auch vorsichtige Leute müssen zwangsläufig mit aktiviertem Javascript auf zeromail surfen, die Oberfläche ist sonst nicht zu bedienen -schwuppsdi, wuppsdi weiss der VS mindestens mal, wer welche Addresse betreut, vielleicht einiges mehr.
Das bescheuerte daran ist, dass zeromail dagegen eigentlich geschützt wäre – die Verbindung ist nämlich via ssl verschlüsselt und autentifiziert. Das heisst, dass der TOR exit node eigentlich nicht mitlesen kann, was zwischen dir und zeromail vorgeht, und dass wenn dieser exit node (oder irgendwer sonst) etwas an den Daten verändert, du das merken würdest. Eigentlich, würdest: Du rufst zeromail auf, und ein Fenster erscheint dass es nicht möglich ist das zertifikat klar zeromail zuzuordnen, dass möglicherweise gerade ein Angriff versucht wird bei dem (um beim Beispiel zu bleiben) der exit node dir gegenüber so tut, als sei er zeromail. Du hast aber gar keine andere Wahl, als entweder zu glauben dass keine man in the middle attack (so werden solche Angriffe genannt: Anna und Arthur wollen sicher kommunizieren, aber Müller wurschtelt sich dazwischen und tut gegenübr Anna so als sei er Arthur, und gegenüber Arthur so als sei er Anna) vorgenommen wird, oder halt darauf zu verzichten deine mails zu lesen.
Dieser Angriff auf TOR verweist damit nur auf zwei grundsätzlichere Probleme, die nicht von den TOR Entwickler_innen zu beheben sind, sondern nur von webmaster_innen: Einmal Seiten so gestalten, dass sie auch für Sicherheitsbewusste Leser_innen zugägnlich sind (kein Javascript, etc.).
Und: Funktionierendes ssl! Dazu gehört es vor allem, den Leuten eine Möglichkeit zu geben, Zertifikate zu überprüfen. Und das ist nicht schwierig: jedes Zertifikat hat einen fingerprint, eine kurze (20 Zeichen oder so) Buchstaben und Zahlen kette. Der fingerprint ist so kurz, dass ihr ihn einfach auf einen Zettel schreiben könnt und das nächst mal am Bildschirm überprüfen ob das Zertifikat tatsächlich echt ist – Ich schreibe dazu gerne eine genauere Anleitung, wenn zeromail und co den nächsten Schritt tun: Auf sicheren, beglaubigten nicht internet wegen die fingerprints ihrer Zertifikate kommunizieren. Wie kann so was aussehen? Ein kurzer Artikel in einer Zeitschrift, des Inhalts „wir, die Redaktion/der Rote Hilfe Buvo/politgang xyz haben folgendes getan um sicherzugehen, dass folgender fingerprint tatsächlich zu dem Zertifikat von zeromail.org gehört: … . Der fingerprint ist: 54:4C:B8:1E …“ Wenn derArtikel nicht von der Redaktion ist, muss diese natürlich noch dazuschreiben, was sie getan hat um sicherzugehen, dass da tatsächlich der Rote Hilfe Buvo am Werk war, und nicht irgendwelche Hanswurste. Aber so könnte es klappen.
Unabhängig von den obigen Massnahmen, müsste noch genauer diskutiert werden, inwieweit TOR tatsächlich zur Sicherheit von uns alen beiträgt, und inwieweit TOR ein Angriffswerkzeug sein kann. Dazu vielleicht später mehr.