[HaBo]

DelumaX

[Generic/JAP] Anonymitätsgarantie des JAP Anon Proxy aufgehoben
(2003-08-18 14:26:58.538675+02)
Quelle: http://groups.google.com/groups?selm...&output=gplain

Die Betreiber des JAP Anon Proxy an der TU Dresden beschlossen
stillschweigend, wesentliche Teile der Anonymitätsgarantie ihres
Dienstes aufzuheben.

Betroffene Systeme
* Systeme, die den JAP Anon Proxy des AN.ON-Projektes der TU Dresden
verwenden

Einfallstor
Mix-Betreiber installieren eine spezielle Software-Version, die mit
dem Präprozessor-Makro LOG_CRIME kompiliert wurde.

Auswirkung
Mix-Betreiber können Verkehr zurück zu einzelnen Benutzern verfolgen.

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
sehr hoch (Die Anonymitätsgarantien des Dienstes werden gebrochen.)
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Beschreibung
Das JAP-Projekt an der TU Dresden betreibt einen speziellen
Proxy-Dienst, der den Nutzern anonymen Zugriff auf das World Wide Web
(WWW) ermöglichen soll. Neben einem Java-Programm, das auf dem Rechner
des Nutzers installiert werden soll, läuft auf den eigentlichen
Anonymisierungsservern eine sogenannte Mix-Software. Die Mix-Software
auf verschiedenen Servern ist kaskadiert. Eine Rückverfolgung von
Nutzern ist nur dann möglich, wenn der Verkehr von allen verwendeten
Servern innerhalb der Kaskade aufgezeichnet wird.

Eine Änderung, die am 27. Juni 2003 am Quellcode der Mix-Software
vorgenommenen wurde, ermöglicht, am Anfang und Ende der Kaskade Daten
aufzuzeichnen, die eine Rückverfolgung von Anfragen zu einem Nutzer
ermöglichen. Die überwachten Nutzer werden dabei anhand des Zieles
ausgewählt, das sie ansteuern. Falls der Ziel-URL den vorgegebenen
Kritierien entspricht, wird vom letzten Mix (der die Anfrage im
Klartext sieht) eine Antwort erzeugt, die spezielle
Zusatzinformationen trägt. Zusätzlich wird der abgefragte URL
aufgezeichnet. Der erste Mix (mit der Verbindung zum Client) zeichnet,
wenn er die Zusatzinformation erhält, die IP-Adresse des Nutzers auf.
Über eigens erzeugte IDs können die Daten auf den beiden Mixen
zueinander in Bezug gesetzt werden, so daß den gesuchten Zielen
eindeutig Nutzer zugeordnet werden können.

Offenbar wurde dieser Programmcode nach einer richterlichen Anordnung
in den Produktionsbetrieb übernommen. Die Nutzer wurden darüber nicht
aufgeklärt; weder die Dokumentation des Dienstes noch die
Selbstverpflichtung der Mix-Betreiber wurden aktualisiert. Nur der
geänderte Quellcode wurde veröffentlicht, und die Änderungen fielen
findigen Beobachten auf. Die JAP-Betreiber sollen verschiedenen
Berichten zufolge bestätigt haben, daß die Änderungen aufgrund einer
richterlichen Anordnung notwendig waren und auch in dieser Form in
Betrieb sind. Ob dies nur die Dresden-Dresden-Kaskade betrifft, bei
der die benötigte Zusammenführung der Aufzeichnungen der beiden Mixe
am Ende prinzipiell sehr leicht möglich ist, oder auch andere
Kaskaden, ist im Moment unklar.

Der Vorfall zeigt, daß JAP von Anfang an wesentlich anfälliger für
Rückverfolgung war als allgemein angenommen. JAP scheint eine
effektive, kostengünstige und zielgesteuerte Überwachung zu
ermöglichen, die in dieser Form bei reinem IP-Verkehr derzeit nicht
möglich ist: Eine URL-gesteuerte Überwachung, wie sie nun für JAP
implementierte wurde, ist gegenwärtig schlicht technnisch nicht für
allgemeinen Internet-Verkehr durchführbar.

Bedenklich ist zudem, daß ohne Anfangsverdacht alle JAP-Nutzer
kriminalisiert werden. Offenbar reicht es aus, eine bestimmte Webseite
abzurufen, um in das Blickfeld der Überwachung zu geraten. Diese Art
der Überwachung, die quasi beim (wahrscheinlich nicht der deutschen
Strafverfolgung unterworfenen) Anbieter ansetzt, weist eine völlig
neue Qualität auf gegenüber der bislang praktizierten selektiven
Überwachung der Teilnehmeranschlüsse von Verdächtigen. Bei dem von den
JAP-Betreibern gewähltem Vorgehen besteht zudem das Problem, daß die
Verkehrsaufzeichnungen nicht kryptographisch abgesichert sind. Die
Betreiber (oder Angreifer, die erfolgreichen den ersten oder letzten
Mix kompromittiert haben) können daher beliebige
Verkehrsaufzeichnungen erzeugen. Gegen den damit verbundenen Verdacht
können sich die Nutzer nur schwer wehren.

Dr. Helmut Bäumler, der Leiter des Unabhängigen Landeszentrum für
Datenschutz Schleswig-Holstein, äußerte im Dezember 2002 Beobachtung,
daß autoritäre Staaten den Anonymisierungsdienst sperren und daß
dieser "vornehmlich undemokratischen Staaten ein Dorn im Auge ist. Sie
fürchten die Autonomie der Internetnutzer und sehen ihre Chancen
schwinden, diese auf Schritt und Tritt zu überwachen." Demokratische
Staaten sperren den Dienst vielleicht nicht, aber lassen sie
Anonymisierung stillschweigend abschalten?

Weitere Information zu diesem Thema
* [2]JAP Anonymity & Privacy - Anonymity is not a crime
(Projektseite der TU Dresden)
* [3]Selbstverpflichtung der Mixbetreiber (aus den Projektseiten der
TU Dresden)
* [4]Autoritäre Staaten behindern AN.ON (Pressemitteilung des
Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein)

Aktuelle Version dieses Artikels
[5]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1134

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright ? 2003 RUS-CERT, Universität Stuttgart,
[6]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/...ehrdungsstufen
2. http://anon.inf.tu-dresden.de/
3. http://anon.inf.tu-dresden.de/Selbstverpfl20010613.html
4. http://www.datenschutzzentrum.de/mat...se/anon_sp.htm
5. http://CERT.Uni-Stuttgart.DE/ticker/...e.php?mid=1134
6. http://CERT.Uni-Stuttgart.DE/

----------------------------------------------------------------------

Und wieder eine kleine Hoffnung gestorben...

sieben

Eigentlich doch nichts wirklich neues, das schreiben sie seit ungefaehr zwei Jahren auf ihrer Homepage. Wirklich ueber den Weg trauen tue ich den Jungs sowieso nicht mehr nachdem sie die Nutzung von JAP fuer IRC mit der Begruendung verboten haben, man koennte dort missbrauch betreiben.

__________________
Diese Zeile ist reserviert für Clark Kent.

Chris

Dem stimme ich zu. Ich halte es immer fuer zweifelhaft, wenn jemand "Anonymitaet" im Internet verspricht. Da dies eigentlich dank IP nicht so richtig moeglich sein kann.

Rushjo

Eigentlich fand ich die Idee vom "JAP" immer einen ganz interessanten und vorallem
einen auch scheinbar "praktikabelnen" Ansatz. Das einzige noch verbliebene "Sicherheits-
problem" war halt der Betreiber. Aber es ist schon traurig, das sich selbst eigentlich unab-
hängige universitäre Projekte so einfach einschränken lassen und das dann noch nicht
mal über diese doch schon "gravierende" Änderung berichtet wird von Seiten des Be-
treibers. Da fragt man sich schon, vor was denn bitte eine "gefestigte" Demokratie so
Angst hat bzw. warum man denn die Privatsphäre hier einschränken muss?
Eine "Offizielle Stellungsnahme" von Seiten der Uni Dresden wäre mal interessant, um die
Begründung des Urteils etc. zu erfahren.

Eigentlich hat DelumaX es mit Seinem Zitat und der Interpretation genau auf dem Kopf
getroffen!! LEIDER!

MfG Rushjo

sieben

Willkommen im Strukturproblem Internet. Ganz viele wollen Menschen wollen irgendwelche tollen Sachen nutzen, aber kaum jemand will aktiv mitmachen. Urspruenglich war JAP dezentral geplant. Mit Mixen in der ganzen Welt waere es nicht so angreifbar geworden. Und so nach und nach sollte man sich Fragen in welcher Welt wir leben das man nur noch Reizworte hernehmen muss um Richter dazu zu bewegen solche Urteile zu faellen, waerend das BKA daneben steht und zuguckt.

__________________
Diese Zeile ist reserviert für Clark Kent.

Rushjo

@YoDa

Das "Problem" ist nur, das solche Sachen eine Art "Signalwirkung" haben und im Anschluss
imermehr Projekte/Sachen wegen irgendwelchen "omninösen" Gründen verboten werden.
Ich finde es so oder so "abnormal", das man in einem angeblich so freien und liberalen Land
wir Deutschland, in dem Jeder laut Verfassung das "Recht auf freie Meinungsäusserung" hat,
man bestimmte Meinungen nicht vertreten darf. Kann wird man sofort in irgendwelchen Ecken
gedrängt und damit versucht, in der Öffentlichkeit "mundtot zu machen" bzw. mit diesen
pauschalen Totschlag-Argumenten belegt. Tja, bei Uns ist halt "jede Meinung öffentlich ge-
stattet", die den "Herrschenden" gefällt!

MfG Rushjo

P.S. Das selbe trifft leider zum Teil auf schon auf die "freie Berichterstattung" zu, wo leider die
Journalisten/Agenturen eine für die Bevölkerung bzw. freie Berichterstattung gefährliche Sympiose
eingehen. Beispiel: siehe Kosovo-Krieg

DelumaX

Das entsprechende Urteil wurde vom Landgericht Frankfurt ausgesetzt worauf hin die entsprechenden Mixbetreiber die Loggingfunktion wieder deaktivierten...

IMHO dürfte man jedoch davon ausgehen das das Projekt als unterwandert angesehen werden muss...

sieben

Full ACK.

Gestern war ein Chaosradio bei dem einer der beiden Hautverantwortlichen von JAP teilnahm.

1) Er sprach davon das vor dem Beschluss der BKA bereits konstruktive Gespraeche gefuehrt wurden, wie man die Anonymitaet des JAP aushebeln koennte (designschwaechen etc), um dem BKA entsprechend weiterhelfen zu koennen.

2) Er unterschied klar, zwischen Anfragen die sich auf die Vergangenheit beziehen und der aktuellen, die sich auf die kuenftige Strafverfolgung bezieht.

3) Er stellte klar das die zuahlreichen Juristen an der TU Dresden der Auffassung sind das sehrwohl gesagt werden darf das ein entsprechendes Ueberwachungsfeature implementiert wurde, nur keine Details dazu publiziert werden duerfen, um welche Seiten es sich dabei handelt.

4) Er konnte nicht sagen warum die besagten Informationen (siehe Punkt 3) nicht publiziert wurden, da davon auszugehen ist das die Juristen der TU dies nicht erst seit bekanntwerden der Ueberwachung wissen. Besprochen wurde dies sicherlich da einer der Projektleiter Jurist ist.

5) Er konnte nicht erklaeren warum kein anonymer Hinweis an die Presse ging (siehte Punkt 3 & 4) sondern still gewartet wurde bis jemand ueber die entsprechende Passage im Code gestolpert ist.

6) Er sagte klar, das man natuerlich wieder stillschweigen bewahren wuerde, wenn das LG entscheidet das die Ueberwachung rechtskraeftig ist.

7) Er konnte nicht glaubhaft machen das er sich neutral zu den Inhalten stellt die mit JAP konsumiert werden. Das BKA konnte mit dem Reizwort Kinderpornographie dort anscheinend jede Tuer oeffnen.

8) Er konnte nicht erklaeren warum das JAP-Projekt nicht (stillschweigend) eingestellt wurde, wenn man schon nichts darueber sagen wollte/durfte.

9) Nach der Polemik und unsachlichkeit die bei Besprechung von Punkt 7 deutlich wurde, traue ich dem Projekt zu das sie das naechste mal die Ueberwachungs-API nicht in den source-tree einpflegen und es auch ihren Partnern in Berlin und NY unterschieben, damit auch die anderen Kaskaden effektiv ueberwacht werden koennen. ("Wir Konfigurieren die Mixe unserer Partner vor, damit diese gut miteinander zusammenarbeiten koennen")

Und irgendwie muss ich leider wieder feststellen das ich vollkommen recht hatte als ich vor ueber einem Jahr schon von der JAP-Nutzung abgeraten habe. Damals hat JAP das Socks-feature deaktiviert womit JAP nicht mehr fuer IRC oder aehnliche Anwendungen eingesetzt werden konnte. Die Betreiber argumentierten das damit missbrauch betrieben werden konnte. Der an.on Sprecher log ueberigens im Chaosradio das dieses Feature nur eine Woche aktiv gewesen sei, und es sehr viele Beschwerden gegeben habe. Das ist falsch. Das Feature war laenger als ein halbes Jahr aktiv und wenig bekannt.

Soviel vorerst dazu. Mehr fragliche Sachen kann man sich sicher noch rausziehen wenn die Mittschnitte der Sendung verfuegbar sind.

__________________
Diese Zeile ist reserviert für Clark Kent.