Erweiterte Funktionen


Kolumnist: Finanztrends.info

Wie Tor die Internet-Zensur bekämpft!




15.01.21 13:46
Finanztrends.info

Als in Weißrussland Unruhen ausbrachen, stießen lokale Benutzer beim Versuch, auf verschiedene Online-Dienste zuzugreifen, auf Hürden. Das Open Observatory of Network Interference (OONI), ein unabhängiges Projekt, das die Internet-Zensur weltweit überwacht, berichtete regelmäßig über Ausfälle sowohl in der Hauptstadt Minsk als auch in der gesamten Republik.


Hinzu kam, dass eine Reihe von ISPs ihren Kunden den Zugang zum Tor-Netzwerk verwehrten, selbst wenn sie anonyme Gateways namens Bridges benutzten. Die Architektur von Tor erlaubt jedoch ziemlich effektive Wege, solche Hindernisse zu umgehen. Dieser Artikel wird Ihnen einen Überblick über diese Techniken geben.


Das weißrussische Dilemma mit Internetausfällen und der Blockierung von Tor ist kein Einzelfall. Auch die Bewohner Venezuelas sind schon früher auf solche Schwierigkeiten gestoßen. Obwohl alle Verbindungen zu den Brücken obfs3 und obfs4 gründlich verschleiert sind, ist es den Behörden in diesem südamerikanischen Land irgendwie gelungen, diesen Verkehr zu filtern und zu blockieren. Die einzige Möglichkeit, eine Verbindung herzustellen, bestand in der Nutzung des “sanften” steckbaren Transports oder eines herkömmlichen VPN-Dienstes. Was sind also die Prinzipien der Anti-Zensur-Technologie von Tor und wie effektiv ist sie? Lassen Sie uns versuchen, das herauszufinden.


Die Anonymitätsfacette von Tor

Basierend auf dem DEF CON 2019-Vortrag des Mitbegründers des Tor-Projekts, Roger Dingledine, liegt die Zahl der Nutzer, die sich täglich mit dem Netzwerk verbinden, zwischen 2 und 8 Millionen. Das ist eine beeindruckende Zahl, vergleichbar mit der Bevölkerung eines kleinen Landes. All diese Nutzer entscheiden sich nicht nur für Tor, um dunkle Web-Ressourcen oder von ihren Regierungen blockierte Seiten zu besuchen, sondern sie wollen auch anonym bleiben, wenn sie online sind.


Leider unterscheiden viele Menschen nicht zwischen Verschlüsselung und Anonymität. Die Wahrheit ist, dass dies unterschiedliche Dinge sind. Der Webverkehr wird verschlüsselt, wenn Sie sich mit Seiten verbinden, die das HTTPS-Protokoll verwenden. Allerdings kann praktisch jede Drittpartei bestimmen, welche Ressourcen Sie wann besuchen.


Die Verwendung eines VPN kann die Messlatte für Big Brother etwas höher legen, aber mit dem Vorbehalt, dass ein akribischer Ermittler auf der Grundlage öffentlich zugänglicher Daten möglicherweise immer noch in der Lage ist, ein Profil von Ihnen zu erstellen. Darüber hinaus können Sie nicht absolut sicher sein, dass Ihr VPN-Provider Ihre Informationen nicht durchsickern lässt.


Abgesehen davon impliziert das Konzept der Anonymität in der Regel, dass ein Benutzer die folgenden Arten von Daten vor den überwachenden Parteien verbergen kann:


Den genauen Standort und sogar das Land der Verbindung. Die besuchten Standorte. Zeitintervalle der Internetverbindungen. Hardware- und Software-Details.

Wenn Sie über Tor im Internet surfen, fließen alle Ihre Anfragen durch mehrere zufällig ausgewählte Knoten. Das macht es unmöglich, das Routing der Pakete zurückzuverfolgen. Außerdem blockiert der Browser Tracking-Skripte und Cookies. Diese Maßnahmen gewährleisten ein hohes Maß an Anonymität. Tor kann jedoch blockiert werden, und nach den bekannten Fällen von Zensur zu urteilen, ist dieser Prozess nicht so kompliziert, wie es scheint.


Verwendete Methoden zur Blockierung von Tor

Laut Roger Dingledine gibt es vier grundlegende Mechanismen zur Blockierung von Tor. Der erste scheint einfach zu sein: Da das Tor-Netzwerk von neun Verzeichnisservern abhängt, hindert die Blockierung des Zugriffs auf diese Server die Benutzer daran, Verbindungen aufzubauen. Die zweite Technik besteht darin, die Liste von etwa 7.000 Relay-Knoten des Tor-Netzwerks abzurufen und alle zugehörigen IP-Adressen zu blockieren.


Die dritte Methode ist nicht so zuverlässig, aber immer noch recht effektiv – sie läuft auf das Fingerprinting von Verbindungen hinaus, bei dem eine dritte Partei die Fingerabdrücke identifiziert, die zu den Tor-bezogenen Paketen gehören, und diesen Verkehr herausfiltert. Genau das taten die iranischen Behörden während der Proteste 2009. Sie setzten die Deep Packet Inspection (DPI) ein, um den Verkehr zu untersuchen.


Da die Tor-Pakete den SSL-Anfragen in mehrfacher Hinsicht ähnelten, verwendete die iranische Regierung spezielle Geräte, um die Bandbreite des verschlüsselten SSL-Verkehrs in ihren Netzwerken zu reduzieren. Dieser Schritt zog den Stecker für die landesweite Nutzung von Tor. Die vierte Methode besteht darin, Benutzer daran zu hindern, auf bestimmte Ressourcen zuzugreifen, die für die Verbindung erforderliche Anwendungen hosten. Infolgedessen werden die Leute einfach blockiert oder umgeleitet und können die Software, die sie benötigen, nicht herunterladen.


Aus der Perspektive von Regierungen und Geheimdiensten kann eine Kombination dieser vier Techniken hervorragende Ergebnisse erzielen. Aber wie ist die Reaktion des Teams hinter dem Tor-Projekt?


Brücken zur Rettung

Steckbare Transporte bilden die erste Verteidigungslinie gegen die Internet-Zensur, wobei die Brücken obfs3 und obfs4 die ersten Beispiele für die Umsetzung dieser Taktik sind. Die Logik ist folgende: Da “böse Jungs” eine vollständige Liste offener Relay-Knoten erhalten und den Zugang zu diesen Knoten oder ihren öffentlichen Repositories blockieren können, fügte die Tor-Crew Tausende von Brücken hinzu, deren IP-Adressen nicht öffentlich zugänglich sind.


Um sich über eine Brücke mit Tor zu verbinden, müssen Sie https://bridges.Torproject.org besuchen, die Art des steckbaren Transports auswählen, angeben, ob Ihr Netzwerk IPv6 unterstützt, einen menschlichen Verifizierungscode eingeben, eine Brückenadresse erhalten und diese dann in den Einstellungen Ihres Tor-Browsers auswählen. Sie können auch einen einfacheren Weg wählen, indem Sie Ihre Verbindung so konfigurieren, dass sie eine Brückenadresse von der Tor-Projektseite anfordert. Auch hier müssen Sie ein CAPTCHA eingeben, wenn Sie dies tun.


Wenn Sie nicht auf Torproject.org zugreifen können, können Sie eine E-Mail mit einem leeren Betreff-Feld an bridges@Torproject.org schicken und “get transport obfs4” in den Nachrichtentext eingeben. Denken Sie daran, dass Sie die Nachricht vom Gmail- oder Riseup-Dienst aus senden müssen; andernfalls wird sie ignoriert. Ein spezieller Bot wird mit Brückenadressen antworten, die Sie in Ihren Tor-Browser-Einstellungen angeben können.


Tor-Brücken benutzen meistens die SOCKS-Proxy-Schnittstelle, und ihre Architektur ähnelt dem chinesischen Shadowsocks-Projekt, das für ein offenes Internet kämpft. Im Wesentlichen funktionieren sie als Obfuscatoren, die den Verkehr innerhalb des Tor-Netzwerks verschleieren, indem sie es wie reguläre HTTP-Pakete oder eine Folge von zufälligen Bytes aussehen lassen, was die Filterung erschwert.


Es stellte sich heraus, dass der obfs3-Transport anfällig für das so genannte “active probing” ist, eine Technik, die sich darauf konzentriert, zu blockierende Brückenadressen zu lokalisieren. Daher wurde sie durch ein ausgefeilteres Gegenstück zu obfs4 ersetzt. Regierungen sind immer geschickter darin, solche Verbindungen zu blockieren. Um bessere Ergebnisse zu erzielen, kombinieren sie oft aktives Sondieren mit der oben erwähnten Technik der Deep Packet Inspection. DPI ermöglicht es den Behörden, alle Verbindungen zu überwachen, die dem Tor-Verkehr ähnlich sind.


Nachdem er einen “verdächtigen” Knoten entdeckt hat, versucht ein von der Regierung betriebener Host, sich über das Tor-Protokoll mit ihm zu verbinden. Wenn der Knoten dieses Protokoll unterstützt und antwortet, wird er blockiert, und seine IP-Adresse wird auf die schwarze Liste gesetzt. In China wird diese Art der Filterung auf der Ebene des Internet-Backbone durchgeführt, was die Blockierung ziemlich effektiv macht.


Die Tor-Entwickler reagierten darauf mit der Veröffentlichung von Patches, die die Struktur der Pakete veränderten, Merkmale eliminierten, die Filter auslösten, und das Verhalten von Brücken veränderten. Die Regierungen wiederum änderten ihre Filtereinstellungen, und das Spiel begann von vorn. Dieses Szenario war während massiver Proteste im Iran, im Zuge des arabischen Frühlings in Ägypten und während der Revolution 2010-2011 in Tunesien der Fall.


Einfach ausgedrückt: Die Behörden können die Tor-Brücken in einem bestimmten Gebiet blockieren, wenn sie dazu wirklich entschlossen sind. Die Entwickler von Tor haben es sich zur Aufgabe gemacht, den Nutzern zu helfen, diese Filter zu umgehen.


Die NutsAand Bolts of Meek

Tor enthält einen weiteren steckbaren Transport namens “meek”. Er greift ein, wenn Brücken gesperrt sind. Es funktioniert in gewisser Weise ähnlich wie ein Proxy, mit der Ausnahme, dass es die Web Services (AWS) von Amazon.com Inc (NASDAQ:AMZN), CloudFront, Google von Alphabet Inc (NASDAQ:GOOG) (NASDAQ:GOOGL) oder die Azure-Cloud-Server von Microsoft Inc (NASDAQ :MSFT) als Zwischenglied für die Übertragung des Datenverkehrs nutzt.


Der Vorteil dieses Ansatzes besteht darin, dass eine nüchtern denkende Regierung niemals AWS und Azure vollständig blockieren würde. Diesen Cloud-Diensten liegen zahlreiche Online-Ressourcen zugrunde, die nach solchen Umzügen einfach nicht mehr funktionieren werden.


Es könnte jedoch ein schlüpfriger Weg sein, sich ganz auf den gesunden Menschenverstand einiger Regierungsstellen zu verlassen. Manchmal macht es ihnen nichts aus, den Großteil eines nationalen Internetsegments zu ruinieren, um zu versuchen, einen einzigen hartnäckigen Boten zu blockieren, selbst wenn es ihnen letztendlich nicht gelingt, den Dienst zu unterwerfen.


Sich für Sanftmut zu entscheiden, ist ein Kinderspiel. Wenn Sie den Tor-Browser starten, müssen Sie auf den Konfigurieren-Knopf klicken, ein Häkchen neben “Tor wird in meinem Land zensiert” setzen, den Schalter auf die Position “Eingebaute Brücke auswählen” schieben und dann in der Dropdown-Liste “Sanftmütig” auswählen.


Meek benutzt einen Mechanismus namens Domain Fronting, um sein Ding zu machen. Um einen Zielknoten im Internet zu erreichen, erstellt er spezielle HTTPS-Anfragen und leitet sie an einen externen Whitelist-Dienst wie AWS weiter. Der vom Benutzer gewählte Dienst spiegelt sich in allen DNS-Anfragen und den vom Server Name Indication (SNI)-Protokoll verwendeten Daten wider.


In der Zwischenzeit wird der tatsächliche Hostname, mit dem der Client versucht, eine Verbindung herzustellen, im HTTP-Host-Header verschleiert. Der zwischengeschaltete Cloud-Service ruft diesen Namen ab und leitet ihn an den sanften Server weiter, der auf einer Tor-Brücke gestartet wird. Der Server entschlüsselt seinerseits den Hauptteil der Anfrage und leitet sie an das Tor-Netzwerk um. Von dort landet sie im offenen Internet.


Schneeflocke

Angenommen, Sie wissen, wie man den Tor-Browser unter Windows installiert und konfiguriert, gut für Sie. Es ist auch gut, wenn Sie Linux installieren und den Befehl “apt-get install obfs4proxy” oder “apt-get install Tor” in der Linux-Konsole ausführen können. Millionen von Benutzern sind jedoch nicht technisch versiert genug, um dies zu tun.


Um diesem Hindernis auszuweichen, veröffentlichte das Tor-Projektteam eine JavaScript-basierte Browser-Erweiterung namens Snowflake. Alles, was es braucht, ist dieses Plugin hinzuzufügen oder eine Seite zu besuchen, auf der ein spezielles JS-Skript läuft, und voila – eine Tor-Brücke wird direkt von Ihrem Browser aus gestartet. Es verwendet WebRTC und implementiert Network Address Translation (NAT) fehlerfrei.


Schneeflocke macht Zensurversuche im Internet zwecklos, weil keine Regierung alle Webbrowser blockieren kann. Sie macht DPI auch sinnlos, weil seriöse Dienste wie Google Hangouts und zahlreiche virtuelle Meeting-Plattformen die WebRTC-Technologie nutzen. Den WebRTC-Daten den Stecker zu ziehen, bringt diese gesamte Infrastruktur zum Erliegen.


Snowflake hat eine Armee von Freiwilligen angezogen, die ihre Hardwareressourcen zur Verfügung stellen, um sich gegen die Online-Zensur zu wehren. Wie bereits erwähnt, müssen Sie kein Browser-Plugin installieren. Es genügt, eine Webseite, auf der das Snowflake-Skript läuft, in einem Browser-Tab zu öffnen oder dieses Skript auf Ihrer Website zu hinterlegen (falls Sie eines besitzen), damit es im Hintergrund weiterarbeitet.


Auf die eine oder andere Weise sind die Anti-Zensur-Technologien noch nicht ausgereift. Auf der letztjährigen DEF CON-Veranstaltung gab das Tor-Projektteam seine Pläne bekannt, sein Toolkit um die Technologie der Format-Transforming Encryption zu erweitern. Sie tarnt den Tor-Verkehr als einen Fluss regulärer unverschlüsselter HTTP-Pakete und verwirrt damit die Mechanismen der Deep Packet Inspection.


Eine weitere vielversprechende Methode ist das Dummy-Routing, bei dem einer der Zwischenknoten nach einem speziellen Tag in einem SSL-Handshake-Paket sucht und diesen Verkehr an das Tor-Netzwerk weiterleitet. Währenddessen denkt ein lokaler ISP, dass der Client mit einem auf der Whitelist stehenden Dummy-Fernserver interagiert und bleibt ahnungslos über den Umleitungsprozess.


Das Fazit

Die Bekämpfung der Internet-Zensur ist wie ein Wettrüsten. Regierungen mit unbegrenzten Ressourcen und milliardenschwere Unternehmen stehen auf der einen Seite des Zauns. Öffentliche Organisationen und Enthusiasten, die von einem ausgeprägten Gerechtigkeitssinn und dem Streben nach Freiheit angetrieben werden, sind auf der anderen Seite. Der Silberstreif ist, dass niemand mit Sicherheit sagen kann, wer gewinnt.


Zensur ist nicht das einzige Problem. Es ist auch wichtig, die regelmäßigen Nutzer darauf aufmerksam zu machen, dass sie überwacht werden. Sobald sie sich dessen bewusst sind, können sie eine informierte Entscheidung treffen und sich für die geeignetste Methode entscheiden, um ihre Online-Privatsphäre zu wahren.





Vergessen Sie alles bisher Dagewesene!


Diese unscheinbare deutsche Aktie wird in Zukunft nur noch steigen … deshalb sollten Sie auf gar keinen Fall zögern und sofort investieren. Denn dieses eine Unternehmen besitzt jetzt die Schlüsseltechnologie, die das Internet der Zukunft benötigt.


Dieses Unternehmen steckt dahinter …



powered by stock-world.de




 

 

Aktien des Tages
  

Jetzt für den kostenfreien Newsletter "Aktien des Tages" anmelden und keinen Artikel unseres exklusiven Labels AC Research mehr verpassen.

Das Abonnement kann jederzeit wieder beendet werden.

RSS Feeds




Bitte warten...