[HaBo]

TotoKoenig

Hallo Zusammen,

kurz zu meiner Person:
Ich bin 17 Jahre alt, gehe noch zur Schule und meine Freizeit spielt sich
überwiegend, zusammen mit meinen Kumpels, vor dem Rechner ab. In der Schule
behandeln wir im Fach Informatik zurzeit folgendes Thema: Internet!
Dabei geht es auch unter Anderem um den Bereich ANONYMISIERUNG.

In "Eigenrecherche" haben wir, meine Kumpels und ich, schnell ein geeignetes Programm ausgemacht, was uns anonymisieren soll.

TOR

Meine / Unsere Frage diesbezüglich:

Wie sicher ist TOR? Ist das wirklich nicht zurück zu verfolgen?
Jetzt mal ganz ohne den Hintergrund des Illegalen. Einfach nur aus Sicht der Anonymisierung. Ist es wirklich nicht zurück zu verfolgen?


Praktisches Beispiel: (bezieht sich alles auf folgende Konfiguration:
Tor installiert, zum Surfen den Mozilla-Browser, den Tor-Button auf aktiviert gesetzt)

1. Ich regiestriere mir eine Email-Adresse bei einem deutschen Freemailer und lege
mir eine Email Adresse an, die ich in irgendwelchen Foren benutze, um mich
da "anonym" zu registrieren. Es soll nicht nachzuvollziehen sein, dass ich mich bei diesem Freemailer registriert habe.

2. Ich poste einen Beitrag in einem Forum, in dem ich mich mit der Email-Adresse registriert habe, die ich unter Punkt 1 angelegt habe, um zB Beiträge zu posten,
die nicht auf mich zurück zu führen sind.

3. ich benutze den Mozilla Firefox (Tor ist aktiviert), besuche irgendeine
Internetseite und ich möchte nicht, dass irgendjemand dies zurückverfolgen kann.


Um das klar zu stellen:
Wir wollen keine Anleitung zum Hacken / Vertuschen oder Sonstigen. Es geht uns darum, ob man wirklich anonym im Netz unterwegs sein kann (aus welchen Gründen auch immer). Ist es möglich, absolut anonym im Netz zu sein, auch wenn zB ein konkreter Verdacht besteht? Auch aus strafrechtlicher Sicht!

Danke für Eure Antworten.

bitmuncher

Das hängt davon ab welche Services du mit Tor nutzt und wie du sie nutzt.

Wenn du clientseitige Skripte zulässt, hat man darüber die Möglichkeit deine echte IP zu ermitteln.

Foren ohne Flash oder Javascript wirst du kaum noch finden und insofern kann man über diese clientseitigen Skriptsprachen deine IP ermitteln. Damit ist auch die Email-Adresse völlig schnuppe.


Schaffst du nur dann, wenn keine clientseitigen Skripte wie Javascript, Actionscript usw. zugelassen sind.

Jain. In einigen Ländern kann man mittels Tor relativ anonym sein. In Deutschland schaffst du es definitiv nicht und das hat verschiedene Gründe:

- clientseitige Skripte wie Javascript, Flash/Actionscript, VB usw. können deine IP ermitteln
- wenn deine Verbindung nicht verschlüsselt ist, kann man anhand der TCP-Header ermitteln mit welchem Server du verbunden bist
- bei unverschlüsselten Verbindungen kann man anhand des Contents der Datenpakete ermitteln mit welchem Server du verbunden bist und welche Daten du gerade abholst
- wer wirklich wissen will, was du tust, wird ¨einfach¨ mittels TCP-Hijacking deine Verbindung übernehmen
usw. usf.

Fazit: Du bist im Internet nicht anonym bzw. nur partiell. Wenn du anonym irgendwo unterwegs bist, liegt es in erster Linie daran, dass der Betreiber der besuchten Seite kein Interesse an deinen Daten hat. Das kann man natürlich ausnutzen, indem man verschlüsselte Proxies in Ländern nutzt, die keine Ermittlungsabkommen mit Deutschland haben.

__________________

Stein

Da hier gerade das Thema ist:
Wie anonym bin ich denn wenn nicht der Betreiber der Seite mein IP will, sondern mein Provider oder der Staat?

Mfg Stein

__________________
Steinhagelvoll

TotoKoenig

Guten Morgen,

hab gerade nach "JavaScript IP ermitteln" gegoogelt. In div Foren steht, dass das mit JavaScript nicht geht. Wie geht es dann, dass trotz TOR ein JavaScript meine IP herausfinden kann? Ich sag mal in meiner Unwissenheit:

Baut das Script dann von sich aus ein Verbindung zum Server auf und liefert so die IP mit? (Bitte nicht lachen, wenn das Müll ist. Ich versuche nur gerade ein bisschen tiefer in die Materie einzusteigen, weil mich das Fach Informatik sehr interessiert.)

Warum in Deutschland? In anderen Ländern gibt es doch auch clientseiteige Scripte?!

Danke vorab!
Auch wenn die Verbindung abgebaut ist oder nur solange die Verbindung besteht?

bitmuncher

Bin kein Webentwickler, aber Konstrukte wie ´InetAddress.getLocalHost().getHostAddress()' dürften funktionieren. Mit Java wird es dann noch einfacher, indem einfach ein kleines Applet eingebunden wird, das sich der Klasse NetworkInterface bedient um die IP zu ermitteln.

Mit Ajax dürfte selbst sowas möglich sein. Mit Java sogar ohne Probleme.

In anderen Ländern kann es aber durchaus sein, dass die IP dem Betreiber nichts bringt, weil keine Ermittlungsabkommen mit anderen Ländern bestehen. Insofern macht es dort wenig Sinn deine IP zu kennen.

Natürlich nur solange Daten gesendet werden, aber _alle_ deine Daten, die du aus dem Netz abrufst, gehen nunmal durch die Router/Gateways deines Providers.

Dein Provider weist dir deine IP zu. Logischerweise kennt er sie damit auch und kann sie eindeutig dem Anschluss zuordnen.

__________________

TotoKoenig

OK! so weit, so klar.
Wenn ich Dich richtig verstehe, ist somit ein Dienst, wie es TOR ist, absolut überflüssig?

Über welchen Port / Protokoll geht denn dann sowas?

enkore

80, 8080, Habe sogar mal 88 gesehen (für nen webserver... kein kommentar über die politische ausrichtung des seitenbetreibers)

__________________

"It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction."

+++ BREAKING +++ Troll ertrinkt im Planschbecken +++

TotoKoenig

OK, Port 80. Also http. Mein Browser geht aber auch über Port 80, oder nicht?
(ich denke, hier kommen Sockets ins Spiel, oder?). Sorry, bin noch nicht so firm in der Materie.
Wenn das über Port 80 ginge, und mein Browser auch über Port 80 geht, müsste doch alles über TOR gehen, oder nicht?

Bitte habt Geduld mit mir. ;-)

@csde_rats:
9te Klasse... Habt Ihr auch Informatik an der Schule?

Mechanius

Also mir ist folgendes bekannt die Methoden die ich kenne um trotz Tor die IP des users zu bekommen laufen über java. Denn java verbindet sich selber zum Server und umgeht so Tor. Mit Javascript kann man wohl die Abfrage von Firefox ob ein Javaapplet ausgeführt werden soll, wenn man dies nicht per default erlaubt umgangen werden. Genaueres dazu hab ich auf die schnelle nicht mehr gefunden.

Bleibt nur eine Erkenntnis wenn du anonym sein willst kommuniziere nicht oder so dass es auch X andere Personen sein könnten.

404

Per Javascript (darunter fällt auch AJAX) ist es (meiner Meinung als Webentwickler nach) nicht möglich, die IP des Clients herraus zu bekommen, da alle Verbindungen über den Browser (http, Port 80) und somit über die sicherer TOR Verbindung laufen.

Mit Flash ist es möglich, direkt eine Socket-Verbindung zu einem Server aufzubauen. Dadurch wird TOR umgangen & die Verbindung mit der richtigen IP aufgebaut.

Mit einem Java Applet ist es ebenfalls problemlos möglich, wie hier bereits mehrfach erwähnt.


Von daher sollte man bei der Verwendung von TOR zumindest das Flash Plugin & Java deaktivieren. Aber TOR hat auch noch andere Schwachstellen...

__________________
Major Fault, General Error and Colonel Panic came together to celebrate timeout.

Biervampir

Einen Filter wie Proxomitron könnte man nutzen um clientseitige scripte auszuschließen.

TotoKoenig

Auch wenn ich TOR* benutze geht mein Datenverkehr über den Rechner/Router
meines Providers. Das heißt ja, selbst wenn ich angenommener Weise ein Straftat
im Netz begehen würde und man mich damit (wie auch immer) in Verbindung
bringen könnte, kann der Staat (Polizei, Staatsanwalt oder sonst wer) trotzdem
über meinen Provider meinen Internettraffic kontrollieren, richtig?

*oder andere Anonymisierungsdienste

Chromatin

Jep. Aber die Strafverfolgung faengt ja meistens von der anderen Seite an
Das sind dann die Details hinter "(wie auch immer)".

__________________
Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz!

Habo Blog - http://blog.hackerboard.de/

TotoKoenig

Kann man evtl abschliessend sagen:

Wenn ich anonym in Netz sein möchte (und zwar ohne "wenn" und "aber), habe ich entweder keinen
Internetanschluss oder ich gehe am besten in ein Internetcafe (wenn es die noch gibt).
Dann kann ich mir auch Anonymisierungsdienste sparen, wodurch ich auch Surf-Gechwindigkeit gewinne.

ODER???

bitmuncher

Internetcafes sind alles andere als anonym. Im Normalfall können die Admins dort problemlos nachvollziehen von welchem Terminal aus welche Dienste und Seiten aufgerufen wurden. Mit Hilfe einer Videoüberwachung kann man dann auch feststellen wer zu einer bestimmten Zeit an einem bestimmten Terminal gesessen hat. Kostenlose Hotspots sind da eher anzuraten, aber dort kann man deine Daten auch via WLAN abfangen. Wenn du anonym sein willst, wandere aus, verzieh dich in irgendeinen tiefen Wald weitab jeglicher Zivilisation und nutze keine Kommunikationsdienste. Oder grab dich einfach ein.

__________________