Wie anonym bin ich?

[TotoKoenig]

Hallo Zusammen,

kurz zu meiner Person:
Ich bin 17 Jahre alt, gehe noch zur Schule und meine Freizeit spielt sich
überwiegend, zusammen mit meinen Kumpels, vor dem Rechner ab. In der Schule
behandeln wir im Fach Informatik zurzeit folgendes Thema: Internet!
Dabei geht es auch unter Anderem um den Bereich ANONYMISIERUNG.

In "Eigenrecherche" haben wir, meine Kumpels und ich, schnell ein geeignetes Programm ausgemacht, was uns anonymisieren soll.

TOR

Meine / Unsere Frage diesbezüglich:

Wie sicher ist TOR? Ist das wirklich nicht zurück zu verfolgen?
Jetzt mal ganz ohne den Hintergrund des Illegalen. Einfach nur aus Sicht der Anonymisierung. Ist es wirklich nicht zurück zu verfolgen?


Praktisches Beispiel: (bezieht sich alles auf folgende Konfiguration:
Tor installiert, zum Surfen den Mozilla-Browser, den Tor-Button auf aktiviert gesetzt)

1. Ich regiestriere mir eine Email-Adresse bei einem deutschen Freemailer und lege
mir eine Email Adresse an, die ich in irgendwelchen Foren benutze, um mich
da "anonym" zu registrieren. Es soll nicht nachzuvollziehen sein, dass ich mich bei diesem Freemailer registriert habe.

2. Ich poste einen Beitrag in einem Forum, in dem ich mich mit der Email-Adresse registriert habe, die ich unter Punkt 1 angelegt habe, um zB Beiträge zu posten,
die nicht auf mich zurück zu führen sind.

3. ich benutze den Mozilla Firefox (Tor ist aktiviert), besuche irgendeine
Internetseite und ich möchte nicht, dass irgendjemand dies zurückverfolgen kann.


Um das klar zu stellen:
Wir wollen keine Anleitung zum Hacken / Vertuschen oder Sonstigen. Es geht uns darum, ob man wirklich anonym im Netz unterwegs sein kann (aus welchen Gründen auch immer). Ist es möglich, absolut anonym im Netz zu sein, auch wenn zB ein konkreter Verdacht besteht? Auch aus strafrechtlicher Sicht!

Danke für Eure Antworten.

 

[bitmuncher]

Original von TotoKoenig
Wie sicher ist TOR? Ist das wirklich nicht zurück zu verfolgen?

Das hängt davon ab welche Services du mit Tor nutzt und wie du sie nutzt.

1. Ich regiestriere mir eine Email-Adresse bei einem deutschen Freemailer und lege
mir eine Email Adresse an, die ich in irgendwelchen Foren benutze, um mich
da "anonym" zu registrieren. Es soll nicht nachzuvollziehen sein, dass ich mich bei diesem Freemailer registriert habe.

Wenn du clientseitige Skripte zulässt, hat man darüber die Möglichkeit deine echte IP zu ermitteln.

2. Ich poste einen Beitrag in einem Forum, in dem ich mich mit der Email-Adresse registriert habe, die ich unter Punkt 1 angelegt habe, um zB Beiträge zu posten,
die nicht auf mich zurück zu führen sind.

Foren ohne Flash oder Javascript wirst du kaum noch finden und insofern kann man über diese clientseitigen Skriptsprachen deine IP ermitteln. Damit ist auch die Email-Adresse völlig schnuppe.

3. ich benutze den Mozilla Firefox (Tor ist aktiviert), besuche irgendeine
Internetseite und ich möchte nicht, dass irgendjemand dies zurückverfolgen kann.

Schaffst du nur dann, wenn keine clientseitigen Skripte wie Javascript, Actionscript usw. zugelassen sind.

Ist es möglich, absolut anonym im Netz zu sein, auch wenn zB ein konkreter Verdacht besteht? Auch aus strafrechtlicher Sicht!

Jain. In einigen Ländern kann man mittels Tor relativ anonym sein. In Deutschland schaffst du es definitiv nicht und das hat verschiedene Gründe:

- clientseitige Skripte wie Javascript, Flash/Actionscript, VB usw. können deine IP ermitteln
- wenn deine Verbindung nicht verschlüsselt ist, kann man anhand der TCP-Header ermitteln mit welchem Server du verbunden bist
- bei unverschlüsselten Verbindungen kann man anhand des Contents der Datenpakete ermitteln mit welchem Server du verbunden bist und welche Daten du gerade abholst
- wer wirklich wissen will, was du tust, wird ¨einfach¨ mittels TCP-Hijacking deine Verbindung übernehmen
usw. usf.

Fazit: Du bist im Internet nicht anonym bzw. nur partiell. Wenn du anonym irgendwo unterwegs bist, liegt es in erster Linie daran, dass der Betreiber der besuchten Seite kein Interesse an deinen Daten hat. Das kann man natürlich ausnutzen, indem man verschlüsselte Proxies in Ländern nutzt, die keine Ermittlungsabkommen mit Deutschland haben.

 

[Stein]

Da hier gerade das Thema ist:
Wie anonym bin ich denn wenn nicht der Betreiber der Seite mein IP will, sondern mein Provider oder der Staat?

Mfg Stein

 

[TotoKoenig]

Guten Morgen,

hab gerade nach "JavaScript IP ermitteln" gegoogelt. In div Foren steht, dass das mit JavaScript nicht geht. Wie geht es dann, dass trotz TOR ein JavaScript meine IP herausfinden kann? Ich sag mal in meiner Unwissenheit:

Baut das Script dann von sich aus ein Verbindung zum Server auf und liefert so die IP mit? (Bitte nicht lachen, wenn das Müll ist. Ich versuche nur gerade ein bisschen tiefer in die Materie einzusteigen, weil mich das Fach Informatik sehr interessiert.)

Jain. In einigen Ländern kann man mittels Tor relativ anonym sein. In Deutschland schaffst du es definitiv nicht und das hat verschiedene Gründe:
- clientseitige Skripte wie Javascript, Flash/Actionscript, VB usw. können deine IP ermitteln

Warum in Deutschland? In anderen Ländern gibt es doch auch clientseiteige Scripte?!

Danke vorab!

- bei unverschlüsselten Verbindungen kann man anhand des Contents der Datenpakete ermitteln mit welchem Server du verbunden bist und welche Daten du gerade abholst

Auch wenn die Verbindung abgebaut ist oder nur solange die Verbindung besteht?

 

[bitmuncher]

Original von TotoKoenig
Guten Morgen,

hab gerade nach "JavaScript IP ermitteln" gegoogelt. In div Foren steht, dass das mit JavaScript nicht geht. Wie geht es dann, dass trotz TOR ein JavaScript meine IP herausfinden kann? Ich sag mal in meiner Unwissenheit:

Bin kein Webentwickler, aber Konstrukte wie ´InetAddress.getLocalHost().getHostAddress()' dürften funktionieren. Mit Java wird es dann noch einfacher, indem einfach ein kleines Applet eingebunden wird, das sich der Klasse NetworkInterface bedient um die IP zu ermitteln.

Baut das Script dann von sich aus ein Verbindung zum Server auf und liefert so die IP mit?

Mit Ajax dürfte selbst sowas möglich sein. Mit Java sogar ohne Probleme.

Warum in Deutschland? In anderen Ländern gibt es doch auch clientseiteige Scripte?!

In anderen Ländern kann es aber durchaus sein, dass die IP dem Betreiber nichts bringt, weil keine Ermittlungsabkommen mit anderen Ländern bestehen. Insofern macht es dort wenig Sinn deine IP zu kennen.

Auch wenn die Verbindung abgebaut ist oder nur solange die Verbindung besteht?

Natürlich nur solange Daten gesendet werden, aber _alle_ deine Daten, die du aus dem Netz abrufst, gehen nunmal durch die Router/Gateways deines Providers.

Wie anonym bin ich denn wenn nicht der Betreiber der Seite mein IP will, sondern mein Provider oder der Staat?

Dein Provider weist dir deine IP zu. Logischerweise kennt er sie damit auch und kann sie eindeutig dem Anschluss zuordnen.

 

[TotoKoenig]

OK! so weit, so klar.
Wenn ich Dich richtig verstehe, ist somit ein Dienst, wie es TOR ist, absolut überflüssig?

Bin kein Webentwickler, aber Konstrukte wie ´InetAddress.getLocalHost().getHostAddress()' dürften funktionieren. Mit Java wird es dann noch einfacher, indem einfach ein kleines Applet eingebunden wird, das sich der Klasse NetworkInterface bedient um die IP zu ermitteln.

Mit Ajax dürfte selbst sowas möglich sein. Mit Java sogar ohne Probleme.

Über welchen Port / Protokoll geht denn dann sowas?

 

[enkore]

80, 8080, Habe sogar mal 88 gesehen (für nen webserver... kein kommentar über die politische ausrichtung des seitenbetreibers)

 

[TotoKoenig]

OK, Port 80. Also http. Mein Browser geht aber auch über Port 80, oder nicht?
(ich denke, hier kommen Sockets ins Spiel, oder?). Sorry, bin noch nicht so firm in der Materie.
Wenn das über Port 80 ginge, und mein Browser auch über Port 80 geht, müsste doch alles über TOR gehen, oder nicht?

Bitte habt Geduld mit mir. ;-)

@csde_rats:
9te Klasse... Habt Ihr auch Informatik an der Schule?

 

[Mechanius]

Also mir ist folgendes bekannt die Methoden die ich kenne um trotz Tor die IP des users zu bekommen laufen über java. Denn java verbindet sich selber zum Server und umgeht so Tor. Mit Javascript kann man wohl die Abfrage von Firefox ob ein Javaapplet ausgeführt werden soll, wenn man dies nicht per default erlaubt umgangen werden. Genaueres dazu hab ich auf die schnelle nicht mehr gefunden.

Bleibt nur eine Erkenntnis wenn du anonym sein willst kommuniziere nicht oder so dass es auch X andere Personen sein könnten.

 

[404]

Bin kein Webentwickler, aber Konstrukte wie ´InetAddress.getLocalHost().getHostAddress()' dürften funktionieren. Mit Java wird es dann noch einfacher, indem einfach ein kleines Applet eingebunden wird, das sich der Klasse NetworkInterface bedient um die IP zu ermitteln.

Per Javascript (darunter fällt auch AJAX) ist es (meiner Meinung als Webentwickler nach) nicht möglich, die IP des Clients herraus zu bekommen, da alle Verbindungen über den Browser (http, Port 80) und somit über die sicherer TOR Verbindung laufen.

Mit Flash ist es möglich, direkt eine Socket-Verbindung zu einem Server aufzubauen. Dadurch wird TOR umgangen & die Verbindung mit der richtigen IP aufgebaut.

Mit einem Java Applet ist es ebenfalls problemlos möglich, wie hier bereits mehrfach erwähnt.


Von daher sollte man bei der Verwendung von TOR zumindest das Flash Plugin & Java deaktivieren. Aber TOR hat auch noch andere Schwachstellen...

 

[Biervampir]

Einen Filter wie Proxomitron könnte man nutzen um clientseitige scripte auszuschließen.

 

[TotoKoenig]

Auch wenn ich TOR* benutze geht mein Datenverkehr über den Rechner/Router
meines Providers. Das heißt ja, selbst wenn ich angenommener Weise ein Straftat
im Netz begehen würde und man mich damit (wie auch immer) in Verbindung
bringen könnte, kann der Staat (Polizei, Staatsanwalt oder sonst wer) trotzdem
über meinen Provider meinen Internettraffic kontrollieren, richtig?

*oder andere Anonymisierungsdienste

 

[Chromatin]

Auch wenn ich TOR* benutze geht mein Datenverkehr über den Rechner/Router
meines Providers. Das heißt ja, selbst wenn ich angenommener Weise ein Straftat
im Netz begehen würde und man mich damit (wie auch immer) in Verbindung
bringen könnte, kann der Staat (Polizei, Staatsanwalt oder sonst wer) trotzdem
über meinen Provider meinen Internettraffic kontrollieren, richtig?

*oder andere Anonymisierungsdienste

Jep. Aber die Strafverfolgung faengt ja meistens von der anderen Seite an
Das sind dann die Details hinter "(wie auch immer)".

 

[TotoKoenig]

Kann man evtl abschliessend sagen:

Wenn ich anonym in Netz sein möchte (und zwar ohne "wenn" und "aber), habe ich entweder keinen
Internetanschluss oder ich gehe am besten in ein Internetcafe (wenn es die noch gibt).
Dann kann ich mir auch Anonymisierungsdienste sparen, wodurch ich auch Surf-Gechwindigkeit gewinne.

ODER???

 

[bitmuncher]

Internetcafes sind alles andere als anonym. Im Normalfall können die Admins dort problemlos nachvollziehen von welchem Terminal aus welche Dienste und Seiten aufgerufen wurden. Mit Hilfe einer Videoüberwachung kann man dann auch feststellen wer zu einer bestimmten Zeit an einem bestimmten Terminal gesessen hat. Kostenlose Hotspots sind da eher anzuraten, aber dort kann man deine Daten auch via WLAN abfangen. Wenn du anonym sein willst, wandere aus, verzieh dich in irgendeinen tiefen Wald weitab jeglicher Zivilisation und nutze keine Kommunikationsdienste. Oder grab dich einfach ein.

 

[x087]

Original von TotoKoenig
Kann man evtl abschliessend sagen:

Wenn ich anonym in Netz sein möchte (und zwar ohne "wenn" und "aber), habe ich entweder keinen
Internetanschluss oder ich gehe am besten in ein Internetcafe (wenn es die noch gibt).
Dann kann ich mir auch Anonymisierungsdienste sparen, wodurch ich auch Surf-Gechwindigkeit gewinne.

ODER???

Nein wenn du Anonym sein möchtest dann gehst du folgendermaßen vor:
1. Ein Surfstick oder Modem fähiges Handy besorgen.
2. Anonyme Prepaid Karte besorgen.
3. Über Prepaid gewünschte aktionen ausführen.
4. Karte nicht ständig im Handy lassen (lässt sich orten) am besten regelmäßig karte wechseln.

Ich selber gehe ständig so vor ausser bei größeren DB´s von Jobvermittlern etc.

Gruß

 

[Biervampir]

Original von x087

Nein wenn du Anonym sein möchtest dann gehst du folgendermaßen vor:
1. Ein Surfstick oder Modem fähiges Handy besorgen.
2. Anonyme Prepaid Karte besorgen.

Im internet kann man dann seine Karten tauschen, wenn man ein paar hat.
Es ist trotzdem nicht ganz günstig ^^
Und wie gesagt GSM lässt sich viel zu leicht orten..

Es gibt noch Freenet das ist allerdings sehr langsam.
Mit I2P geht es schon ein bisschen schneller.
Welches dieser beiden Systeme am sichersten ist kann ich nicht sagen.
Für private VPN Netzwerke ist Hamachi zu empfehlen.
Damit kann man dann auch eine LAN übers Internet machen

MfG
Biervampir

 

[enkore]

<ot>

@csde_rats: 9te Klasse... Habt Ihr auch Informatik an der Schule?

Ha ich bin froh nicht im Infokurs zu sitzen, um von total unfähigen Lehrerern, die die Ganze Zeit mit meinen Programmen (Mailnerd, ILM, etc. pp.) gebasht werden, auch noch so einen Mist wie Turbo Pascal oder Delphi zu lernen *ekel*

 

[Janus]

Original von csde_rats
<ot>

@csde_rats: 9te Klasse... Habt Ihr auch Informatik an der Schule?

Ha ich bin froh nicht im Infokurs zu sitzen, um von total unfähigen Lehrerern, die die Ganze Zeit mit meinen Programmen (Mailnerd, ILM, etc. pp.) gebasht werden, auch noch so einen Mist wie Turbo Pascal oder Delphi zu lernen *ekel*

Turbo Pascal / Delphi ist doch kein Mist ;-) Die Sprache ist ja aufs Programmieren lernen ausgelegt. Dass das in der 9ten Klasse drankommt, ist meiner Meinung nach sogar noch früh.

Abgesehen davon sind die Lehrer nicht unbedingt total unfähig, nur weil sie deine sonderbaren Programme nicht kennen ;-) Du musst außerdem auch sehen, dass vielleicht nicht alle so viel können wie Du und für die wäre Pascal/Delphi halt doch mal ein guter Einstieg. Hoffentlich hast Du dann aber auch gute Noten

zum Thema:
Wenn Dich jemand orten WILL, dann schafft er das auch. Aber im Allgemeinen sollte man sagen, dass man einfach aufpasst, was man im Internet so von sich gibt. Das langt es im Allgemeinen schon, wenn man nicht allzu paranoid ist ;-)

 

[CDW]

Was gerne vergessen wird:
bevor man sich Gedanken um TOR&Co macht, sollte man erstmal konsequent Punkt1 durchziehen . Dasselbe gilt auch für Nicks, "Nickquerverweise" in Foren und insbesondere für Instantmessengerangaben und allen sozialen Datenphish... ähm Netzwerken wie xyzVZ. Sonst ergibt nämlich 5 Minuten Googlen:
TotoKoenig =*
Edit: die Angaben waren zwar zensiert, sind aber nun trotzem komplett weg
So ganz ohne IP Kenntnisse und umfassende Überwachung