Tor richtig benutzen: Anonyme Browser Ausgabe
von Tim McCormack - mit Erlaubnis des Autors nachgedruckt
http://www.brainonfire.net/2006/10/21/tor-best-practices-anonymous
Tor ist ein populäres System für anonymen Internetverkehr. Er wird hauptsächlich für drei Zwecke verwendet: seine Identität zu verstecken, die Identität der besuchten Webseite zu verstecken und zum Verstecken der gesandten und empfangenen Daten. Jedoch kann die Verwendung von Tor ohne grundlegende Vorkehrungen zu Verletzungen des Privatlebens, Datendiebstahl und Sicherheitsproblemen führen und ist somit noch schlechter als Tor überhaupt nicht zu benutzen. Hier beschreibe ich das Absichern des Browsers in Bezug auf das Verhindern von Identitäts- und Datenverlusten bei der Nutzung des Tor Netzwerks. Wenn Sie es nur zum Internetfiltern verwenden, brauchen Sie nur den Abschnitt „Sich verriegeln“ weiter unten zu lesen.
Am Ende gibt es eine ausführliche Zusammenfassung. Sie können sie als Richtlinie verwenden, sollten aber den gesamten Artikel zuerst zu lesen -- er enthält wichtige Anweisungen in, wie Sie Ihre Browsergewohnheiten ändern.
Sicherheit ist eine Denkrichtung
Anonymität, Sicherheit und Privatsphäre sind nicht Alles-oder-Nichts. Jedes ist ein Kontinuum und das Ziel der sicherheitsbewussten Einzelperson ist, sich in einem angemessenen Abstand zum sicheren Ende des Spektrums hin aufzuhalten. Wie weit das geht, hängt von den spezifischen Umständen ab: der Wert der zu schützenden Daten oder der Identität, die Konsequenzen eines Verlusts, die Wahrscheinlichkeit eines Angriffs, die Fähigkeiten des Angreifers und der Einzelperson. In dieser Anleitung konzentriere ich mich auf das erfolgreiche Abwehren automatisierten Angriffe beiläufiger Angreifer. Alles darüber hinaus fällt wahrscheinlich außerhalb der Reichweite der Tor-Sicherheit und mehr in den Bereich der Datensicherung und der körperlichen Sicherheit. Außerdem wäre es dumm, robustere Sicherheitsmaßnahmen als Tor einzusetzen -- Machen Sie sich bewußt, dass Tor experimentelle Software ist.
Ich bespreche zuerst das Tor-Bedrohungmodel und stelle dann Vorschläge zur Verminderung von Bedrohungen zur Verfügung. Sie müssen das von Ihnen benutzte System verstehen bevor Sie ihm wirklich vertrauen können, andernfalls entwickeln Sie ein falsches Sicherheitsgefühl.
Was Sie über Tor wissen müssen
Tor benutzt ein Klient-Peer Modell. Den Klienten installieren Sie auf Ihren Computer. Er nimmt Verbindungen von anderen Programmen über Ihren Computer (Webseiten in Ihrem Browser) an und versendet die Daten zum Tor-Netzwerk. (Alle Antworten kommen auch zum Tor-Klienten zurück.) Beachten Sie , dass der Tor-Klient Daten-blind ist, dass heißt, dass er die Daten nicht auf mögliche Identität-Lecks oder Malware überprüft.
Jedes Programm, das das Tor-Netzwerk benutzen möchte, muss dahingehend konfiguriert werden.
Den Tor-Klienten einfach zu installieren ist nicht genug.
Jeder der Peers ist ein Computer wie Ihrer, aber er lässt einen Extrateil von Tor laufen: den Server. Diese Computer werden als „Nodes“ oder „onion routers“ gekennzeichnet, und Ihre Daten fließen durch sie hindurch. Wenn die Daten den Tor-Klienten verlassen, durchlaufen sie eine nach dem Zufall vorbestimmte Kette dieser Nodes. Aufgrund der Tor-Algorithmen, weiß ein jeder Node nur, wer direkt vor und nach ihm in der Kette ist . Nur der erste weiß, wer Sie sind, und nur letzte (der „exit node“) weiß, wohin Ihre Daten gehen und wie diese aussehen . Beachten Sie, dass er diese Daten, die Sie senden und empfangen, auch ändern kann. Folglich ist die Vertrauenswürdigkeit der von Ihnen besuchten Webseite nicht relevant, da die verschickten Daten durch eine unzuverlässige Drittpartei müssen.
Bedrohungsmodel
<Angriffe, wie TIMING-Angriffe, können gegen das Tor-Netzwerk selbst gerichtet werden, aber diese werden wir hier nicht besprechen. Das Ziel ist, die verschickten Daten zu sichern, und den Tor-Programmierern die Gewährleistung der Sicherheit zu überlassen . Hier sind die für Sie relevanten Bedrohungen:
- Persönlich identifizierbare Informationen, (PII) die Sie aussenden
- An Sie gesendeten Code, der Ihre Identität innerhalb von Tor aufdeckt, und
- An Sie gesendeten Code, der Ihre Identität außerhalb von Tor aufdeckt.
Verriegelung in Firefox
Stellen Sie sicher, dass Sie die neueste stabile Version von Mozilla Firefox installiert haben. Ältere Versionen haben bekannte Sicherheitslücken.
Aus mehreren Gründen sollten Sie ein anderes Firefox Konto erstellen. (Ein Grund ist, dass Ihnen dann bewusst wird, wann Sie Tor benutzen und wann nicht.) Am Besten erstellen Sie für das Browsen mit Tor einen anderen Benutzer auf Ihrem Computer. Wenn Sie das nicht können, lernen Sie die Verwendung des Firefox Profilmanager. Der Rest dieser Anweisungen nimmt an, dass Sie dieses neue Firefox Konto verwenden.
Sich selbst verriegeln
Schließlich sind Sie die schwächste Verbindung in der Kette der Sicherheit. Hier ist die korrekte Denkrichtung für das Browsen mit Tor: Nehmen Sie an, dass die von Ihnen besuchten Webseiten und alle mögliche Daten, die Sie senden oder empfangen der ganzen Welt frei zugänglich sind. Nehmen Sie weiter an, dass der exit node Ihre betrachtete Seite auf geheime Weise geändert hat, oder sogar Ihren Antrag, geheim zu einer anderen Webseite zu gehen, änderte. die von Ihnen verschickten und empfangenen Daten von einer unvertrauten Drittpartei gelesen und geändert werden können, was können Sie überhaupt tun? Es gibt einen Trick, der einen böswilligen exit node besiegt: SSL. Wenn die URL einer Seite mit https:// anfängt bedeutet das, dass SSL verwendet wird. SSL verhindert den exit node das Lesen oder Verändern der Daten, die hin und her gehen. (Es kann nur drei Sachen sehen: die Seite mit der Sie sprechen, das TIMING der Daten und die Größe der Daten.) Wenn Sie eine Webseite aufsuchen und der Browser Ihnen erklärt, dass die SSL-Bescheinigung unzulässig sein kann, dann vertrauen Sie dieser Seite nicht! Wenn es irgendeinen Zweifel über die Echtheit der SSL-Bescheinigung gibt, gehen Sie sicherheitshalber davon aus, dass die Webseite gar kein SSL verwendet und handeln Sie dementsprechend.
Das heißt, loggen Sie sich nie auf einer Webseite ein, wenn der Login kein SSL benutzt. Andernfalls wird Ihr Kennwort gestohlen.
Sicherheitshalber sollten Sie die Anzeige von Warnungen für die sicheren und unsicheren Webseiten einschalten. Firefox Konfigurations-URL (Geben Sie in die Adressleiste about:config ein) finden Sie die Schlüssel, die mit security.warn_ beginnen. Setzen Sie alle auf true, außer denen, die in .show_once enden, diese sollten auf false gesetzt sein. Dann setzen Sie noch security.warn_entering_secure auf false -- denn Sie brauchen daran wirklich nicht erinnert werden.
Ich empfehle die Installation eines Designs von mozilla.org, welches ein wenig anders ist als Ihr übliches Design. Das hilft Ihnen, sich daran zu erinnern, dass Sie Tor benutzen (und Sie sollten folglich defensiv browsen)
Und wenn Sie Tor für anonymes browsen benutzen… senden Sie keine Informationen, die Sie kennzeichnen können. Verwenden Sie zum Beispiel nicht Ihren wirklichen Namen oder Email-Adresse.
Persönlich identifizierbare Informationen aus den Daten heraushalten
Nun da Sie eine saubere Einstellung zum Arbeiten haben, uns lassen Sie uns sicherstellen, dass diese nicht verschmutzt wird. In Firefox öffnen Sie das Präferenzfenster (Mac: Firefox->Preferences, Linux: Edit->Preferences, Windows: Tools->Options.)
Webseiten wird erlaubt, bestimmte Informationen (genannt „cookies“) auf Ihrem Computer zu speichern, also wissen sie bei Ihrem nächsten Besuch, wer Sie sind. Dies ist für das regelmäßige Browsen in Ordnung, aber nicht wenn Sie anonym bleiben wollen. (Eine Webseite könnte herausfinden, dass Ihre reale und Ihre Tor-Identität das gleiche cookie benutzen und daraus schließen, dass Sie die gleiche Person sind.) Da Sie bereits ein neues Firefox Konto erstellt haben, brauchen Sie sich um diese Überschneidung nicht zu sorgen. Sorgen müssen Sie sich jedoch um sog. cross-site cookies. Unter Preferences->Privacy->Cookies cookies nur für die ausgehende Webseite erlauben, und sie nur so lange behalten, bis Firefox geschlossen wird. Sie können cookies auch generell sperren und den Ausnahmeknopf benutzen, um spezifische Webseiten zu erlauben.
Interne Lecks entfernen
Lecks innerhalb des Tor-Kanals werden im Allgemeinen durch Erweiterungs-Technologien wie Java und Flash verursacht. Diese können Informationen über Sie über mehrere Webseiten preisgeben und noch wichtiger, sie kennen Ihre reale IP-Adresse und können diese ihrem Hauptserver mitteilen. Die folgenden Erweiterungen sollten Sie deshalb von mozilla.org installieren:
- FlashBlock: Blockiert Flash Objekte.
- NoScript: Blockiert Javascript und Erweiterungen, gewährt selektiv. In den NoScript Optionen fürs Erste alles blockieren. Hier Java zu sperren ist mit der Sperrung von Java im Firefox Präferenzfenster gleichwertig.
Externe Lecks entfernen
Webseitenanfragen sind nicht die einzigen Daten, die ausgesendet werden, wenn Sie eine URL besuchen. Ihr Browser muss auch die IP-Adresse des Servers feststellen, ein Prozess, der DNS-Auflösung genannt wird. Um DNS-Abfragen in den Tor-Kanal zu zwingen gehen Sie zur speziellen URL about:config und finden Sie den Schlüssel network.proxy.socks_remote_dns. Stellen Sie ihn auf true ein.
Zusammenfassung
(Ich hoffe doch sehr, dass Sie die ganze Anleitung gelesen und nicht sofort hierhin übersprungen haben.)
- Ein neues Firefox Konto erstellen (den Profilmanager oder ein neues Benutzerkonto in Ihrem BS verwenden)
- Annehmen, dass jemand böswillig ist, und alles liest und ändert, das nicht durch eine zertifizierte https://-Verbindung gesendet wird.
- In der about:config die Sicherheitswarnungen security.warn_* einschalten und die einmaligen Optionen ausschalten.
- In der about:config die Einstellung network.proxy.socks_remote_dns auf true setzen.
- Ein anderes Firefox Design verwenden.
- Cookies für die ursprünglichen Webseiten erlauben, aber nur bis Firefox geschlossen wird. Sie können cookies auch gänzlich abstellen.
- Die FlashBlock und NoScript Erweiterungen installieren und sie auf alles blockieren einstellen.
Und nun ist es an der Zeit, die TorButton Erweiterung zu installieren, die Anzeige von Webseiten nach Ihrem Geschmack zu konfigurieren, und sie einzuschalten. Sobald Sie das getan haben, gehen Sie zu Preferences->Privacy und benutzen das Clear Private Data Tool.
Diese Richtlinien sind nicht vollständig, aber deren Befolgung lässt Sie vermutlich Tor besser verwenden als die Mehrheit der Torbenutzer. Mit etwas Wissen von der Funktionsweise des Tor-Netzwerks sind Sie in der Lage, bessere Auswahlen zu treffen. Sicheres Browsen!