GLF

[quote="Lolimat"][quote="facebook"]Wie vor einigen Tagen[/quote]

Nee, wie immer! Grrr verdammt.[/quote]

Wie jetzt, verpasst? :lol:

[quote="facebook"]Wie vor einigen Tagen[/quote]

Nee, wie immer! Grrr verdammt.

Nur so nebenbei:
Das Coole ist, dass man sofort ein "Ausrufezeichen" auf der Zwiebel im Browser oben links sieht, wenn eine neuere Version vom TOR Bundle verfügbar ist. Wie vor einigen Tagen :D

[quote="Captcha"]Wenn das einfach so an TOR vorbeilaufen kann, weil da so ein Ei einen Programmierfehler gemacht hat, wozu dann das ganze noch?
[...]
Was hat das TOR Entwicklerteam dagegen getan?
[/quote]

Es wurde Tails entwickelt. Dies ist ein Linux-Live-System, bei dem nicht nur der Browser über Tor mit dem Internet verbunden ist, sondern jegliche Netzwerkverbindungen.

Bei Wikipedia unter "Tails" leicht nachlesbar.

Viel Spaß beim Ausprobieren.

[quote="Ovid"]*seufz*

....

Also nochmal: Kein Benutzer wurde enttarnt. Keine Lücke wurde ausgenutzt. Es hatte nichts mit Javascript zu tun. Der Serverbetreiber war einfach dumm und hat das Captcha über das offene Netz verlinkt.[/quote]

Danke für diese fällige Aufklärung.

Überhaupt: Wie kommt jemand auf die Idee dass die Identifizierung eines Hidden-Service für den Drogenhandel etwas mit einem Fehler in TOR zu haben muss? Rieselt der Stoff etwa aus dem Diskettenlauwerk? Die Durchführung des Geschäfts funktioniert nur offline. Da setzt die Polizei an, indem sie etwa die Transport/Geldwege erkundet. Die studieren nicht den Quellcode von TOR, um eine Lücke zu finden, die sie dann ausnützen. Für den gewöhnlichen TORuser besteht weiterhin kaum Gefahr, wenn er gewisse einfache Standards beachtet.

mfg

*seufz*

In diesem Fall war es so: Hier wurden nicht die Benutzer der Seite enttarnt, sondern [u]der echte Standort des Servers[/u]. Und zwar hat der Betreiber einfach Mist bei der Konfiguration gebaut. Allerdings kann man keinen solchen Mist bauen, dass die Besucher enttarnt werden, sondern man kann nur seinen eigenen Server verraten, wenn man nicht vorsichtig ist.

Das hat nichts mit Javascript zu tun. Javascript ist ohne Lücke sicher und geht nach wie vor über das Tor-Netzwerk.

Ich mache mal ein vereinfachtes Beispiel:

Du betreibst einen Server mit der öffentlichen IP 123.123.123.123.
Du willst aber natürlich nicht, dass man die IP weiß. Also machst du einen Hiddenservice namens "meinserver.onion" auf. Alle Links auf dieser Seite gehen über meinserver.onion, also z.B. meinserver.onion/Hautpseite.html.
Blöderweise hat er einen Fehler begangen. Das Captcha ging nicht etwa auf meinserver.onion/Captcha.html, sondern auf 123.123.123.123/Captcha.html.

Für die Besucher der Seite über Tor ist das kein Problem. Denn die gehen dann mit der Exitnode auf 123.123.123.123/Captcha.html.
Aber der Server selbst ist enttarnt, weil wir nun die echte IP wissen. Nämlich 123.123.123.123.

Deswegen soll man bei der Konfiguration des Servers immer eins tun: [b]Niemals den Server normal über das Internet zugänglich machen[/b], sondern NUR über das Tor-Netzwerk. Er hatte beides offen und hat übersehen, dass der Captcha über das normale Netz zu seinem Server geht.

Also nochmal: Kein Benutzer wurde enttarnt. Keine Lücke wurde ausgenutzt. Es hatte nichts mit Javascript zu tun. Der Serverbetreiber war einfach dumm und hat das Captcha über das offene Netz verlinkt.

Die Tor-Entwickler betonen selbst, dass die Aktivierung von JavaScript sowie die Nutzung von Browser-Plugins wie Flash die Benutzung von Tor unsicher macht. Allerdings wird JavaScript eben auf vielen Seiten benötigt, so dass das im Tor-Browser mitgelieferte NoScript standardmäßig ausgeschaltet ist - offenbar befürchtet man einfach zu viele Supportanfragen von unbedarften Usern, die sich andernfalls wundern, warum dies und jenes nicht funktioniert.

Eine bis vor etwas mehr als einem Jahr verfügbare Version des Tor-Browsers hatte zudem noch einen Bug in der JavaScript-Behandlung, der den Ermittlern das Auslesen der wahren IP-Adresse ermöglichte, indem man mehrere "Hidden Service"-Seiten, die man zuvor auf einem beschlagnahmten Server gefunden hatte, entsprechend präparierte. Der Bug war den Tor-Entwicklern allerdings schon bekannt, und ein Update war verfügbar - aber das haben wohl nicht alle sofort installiert.

Den erwähnten beschlagnahmten Server fand man allerdings nicht über irgendwelche Sicherheitslücken, sondern schlicht und einfach deshalb, weil der Betreiber Geld für das Hosting verschiedener Seiten einnahm, welches man letztendlich zurückverfolgen konnte. Ansonsten ist ein "Hidden Service"-Server, dem Namen entsprechend, tatsächlich "unsichtbar", weil alle IP-Adressen durch das Tor-Netzwerk verschleiert werden.

Hab' grad auf HEISE gelesen:

"Aus dem jetzt bei Gericht eingegangenen Dokument des FBI geht hervor, dass die Ermittler den Server der Silk Road durch einen Programmierfehler von Dread Pirate Roberts enttarnen konnten. Auf der Login-Seite der Silk Road wurde demnach ein Captcha verwendet, das Daten nicht über das Tor-Netz, sondern unanonymisiert an den Server des Marktplatzes gesendet hatte."

Irgendwie beunruhigend, weil doch sehr viele Seiten solche Captchas benützen, und fast alle CAPTCHAs verlangen JAVA-SCRIPT zu aktivieren. Wenn das einfach so an TOR vorbeilaufen kann, weil da so ein Ei einen Programmierfehler gemacht hat, wozu dann das ganze noch? Schließlich könnte jemand den Fehler ja auch absichtlich machen, und dann jede Menge IP-Nummern rausfinden.

Oder funzt der Trick nur bei HIDDEN SERVICES? - Oder aber nur dann, wenn auch der Browser ein BUG hat und man außerdem noch WIN benützt, oder wie?

Was hat das TOR Entwicklerteam dagegen getan?

Große Verunsicherung!

IP Logging ist in der Tat ein komplexes Thema- die Forensoftware kommt ohne nicht aus, daher muß sie gepatcht werden damit eben nicht die tatsächliche IP geloggt wird, sondern ein Dummy. Das wird allerdings in allen Foren zu unserem Themenkreis die ich kenne gemacht.

Ok, ich fahr Bahn. *davonschäm*
"Tarnkappe" schhreibt über "Meinung: IP-Logging ausschalten unmöglich" auch etwas, gilt das denn auch für Hiddenservice, weil es das RZ betrifft und nicht nur den Server?

[quote="Gast"]
Ja. Aber nur des Ausgangsknotens.
Wer TOR benützt, sollte wissen wie es funktioniert.
Wer setzt sich schon in ein Flugzeug und weiß nicht wie es funktioniert?[/quote]

[b]Du[/b] weißt nicht wie es funktioniert. Bei Hidden Services gibt es keinen Ausgangsknoten. Die Server-Applikation eines Hidden Services sieht alle Nutzer als "loopback", also 127.0.0.1.
Nur, wenn man mit Tor außerhalb des Darknets ins Clearnet surft, sehen die Server im Internet die IP des Ausgangsknotens.

[quote="Forum-Geist"]Das habe ich auch gehört offenbar wurde ein Drogenring gesprengt.[/quote]
Das wird's wohl sein. Heise.de schreibt, dass im Zuge der Ermittlungen u. a. auch 410 Onion-Domains beschlagnahmt wurden.

Quelle: Heise.de - "Operation Onymous: 17 Verhaftungen bei Schlag gegen Darknet-Drogenplattformen" vom 07.11.2014

War doch genau das gleich bei Freedomhost/LC, wenn ich mich recht erinnere...


[quote]Befinden sich auf einem solchen Server dann die realen IP´s der Nutzer?[/quote]
Ja. Aber nur des Ausgangsknotens.
Wer TOR benützt, sollte wissen wie es funktioniert.
Wer setzt sich schon in ein Flugzeug und weiß nicht wie es funktioniert?

[quote="Ovid"]Da wurde eine Lücke in einer alten Browser-Version ausgenutzt.[/quote]

Ahh stimmt so war das^^
Das war eine Lücke im Java Script ich erinnere mich.

[quote="Gast"]Dejavu?
Gab es das nicht schon mal genau so?[/quote]

Ich glaube er bezieht sich auf die alte Nachricht.

[quote="Forum-Geist"]Befinden sich auf einem solchen Server dann die realen IP´s der Nutzer?[/quote]

Nein.

[quote="Forum-Geist"]
Gab ja schon mal einen Schlag gegen das Darknet wobei reale IP´s gesichert wurden?[/quote]

Da wurde eine Lücke in einer alten Browser-Version ausgenutzt. Nur Windows Benutzer mit einem alten Browser-Bundle waren betroffen.