Skip to content

Neue Wege, um den Tor Browser herunterzuladen

GetTor-LogoVor kurzem war ich zu Vorträgen bei der Stoyschule in Jena eingeladen. Dabei ging es zumeist um Datenschutz und Überwachung. Unter anderem kam ich dabei auch auf den Tor Browser zu sprechen. Als ich auf die Webseite des Tor-Projekts gehen wollte, scheiterte ich an einem Filter. Seitens jena.de wird ein Webfilter betrieben, der unter anderem die Webseite blockiert und auch TLS-Verbindungen aufbricht (Man-in-the-middle-Angriff). Leider hatte ich keine eigene Kopie des Tor Browser einstecken und wollte auch keine Zeit mit weiteren (eventuell erfolglosen) Versuchen verbringen. Aber seit ein paar Tagen gibt es mehr Möglichkeiten, an eine Kopie der Software zu kommen.

Das Tor-Projekt erklärte heute in einem Blogbeitrag, welche neuen Wege existieren. Die Grundlage hierfür ist das Projekt GetTor. Dort sollen alternative Methoden entwickelt werden und die Ergebnisse sind:

  • Twitter: Schickt eine Direktnachricht (DM) an den Account @get_tor. Anfangs reicht es help zu schicken und der Bot schickt euch Anleitungen zurück. Derzeit könnt ihr den Namen des Betriebssystems (windows,linux,osx oder android) oder das Wort mirrors zu schicken. Ihr bekommt dann Downloadlinks zu verschiedenen Seiten oder eine Liste von alternativen Downloadseiten (Mirrors) zurück.
  • XMPP/Jabber: Das XMPP-Konto get_tor@riseup.net nimmt ebenfalls die obigen Anweisungen entgegen.

Falls ihr also Probleme habt, an die Software zu kommen, so nutzt die obigen Wege oder sucht einen funktionierenden Mirror. Viel Spaß beim sicheren und anonymen Surfen! ;-)

Noch jemand ohne TLS1.2?

In meinem Beitrag zur sicheren Einstellung von SSL/TLS im Browser fragte ich, ob ihr Seiten bemerkt, die nicht mit TLS 1.1 oder 1.2 funktionieren. In den Kommentaren und bei Twitter meldeten sich einige. Irgendwann entschied ich, eine eigene Webseite hierfür anzulegen. Die Seite SSL/TLS im Browser dokumentiert Seiten, die nur TLS in der Version 1.0 oder schlechter anbieten. Beim Testen fielen mir sogar einige Seiten auf, die auf das komplett unsichere SSL 2 setzen.

Weitere Seiten könnt ihr mir gern melden. Ich habe ein Pad angelegt. Wenn dort ein neuer Domainname auftaucht, teste ich den und nehme den mit in die Seite auf. Git-Nutzer können die Datei SSL-TLS.org bei Github editieren und mir einen Pull-Request schicken.

Die Daten sollen natürlich nicht ungenutzt liegen. Ich möchte in einem zweiten Schritt die Betreiber der Webseiten anschreiben und diese bitten, auf neuere Protokollversionen zu aktualisieren. Hier würde ich mich über eure Hilfe freuen. Bitte schreibt eure Textvorschläge ins Pad. So können wir gemeinsam ein Schreiben entwickeln und das dann in die Welt schicken. Hoffentlich erreichen wir dadurch eine kleine Verbesserung beim Schutz unserer Daten.

Spamschutz bei S9Y

Im Hintergrund tut Serendipity oder kurz S9Y seinen Dienst. Vor mehr als sieben Jahren stieg ich von Wordpress auf die Software um. Die Software tut im wesentlichen ihren Dienst. Außer, wenn wie heute, ein Plugin merkwürdige Sachen macht.

Ich hatte bis heute abend das Autosave-Plugin installiert. Das speichert die Einträge zwischen und soll eigentlich vor Datenverlust schützen. Bei mir sorgte es dafür, dass die Rezension mehrfach verschwand. Der Grund war, dass ich auf Speichern im Artikelfenster drückte und das Fenster offen liess. Das Plugin wollte einfach alte Werte speichern und löschte so den Beitrag.

Seit dem Jahreswechsel bereitet mir nicht die Blogsoftware Kopfschmerzen, sondern der Spam der eintrudelt. Anfangs hatte ich den Spamschutz aktiviert, den S9Y von Haus aus mitbringt. Dazu setzte ich ein paar Worte auf die Blacklist. Das reichte aus. Nebenan im Datenkanal habe ich noch das Bayes-Plugin im Einsatz. Das wurde von Beginn an angelernt und verrichtet gute Dienste.

Das S9Y Infocamp hat sich nun dem Thema Spamschutz bei S9Y angenommen. In dem Podcast besprechen sie verschiedene Mechanismen. Dabei kommt die Rede auf die SpamBee. Die arbeitet unter anderem mit versteckten CAPTCHAs. Die vier Podcaster sind voll das Lobes. Ich habe den Podcast glücklicherweise zur rechten Zeit gehört. Denn direkt nachdem ich die Biene hier installierte, traf das Blog eine Spamwelle. Von den Lesern hat das vermutlich niemand bemerkt. Die Spambiene hat den Spam wirklich sehr gut abgefangen. Wer also da draußen mit Spam bei S9Y zu kämpfen hat, sollte unbedingt SpamBee probieren. Vermutlich bringt das Plugin Linderung.

Firefox Add-On Ant Video Downloader spioniert Nutzer aus

Ein Add-On für den Firefox, welches 4 von 5 Sternen hat und von mehr als sieben Millionen Nutzer installiert wurde, sollte doch halbwegs vertrauenswürdig sein. Zumindest legt Linus’ Law diese Erkenntnis nahe. Das Add-On Ant Video Downloader straft diese Annahme nun Lügen.

Der Ant Video Downloader soll Videos von Youtube, Facebook und vielen anderen Seiten auf einfache Weise herunterladen. Daneben hat die Software noch einen anderen Zweck. Sie sammelt Daten über jede Seite, die der Benutzer besucht. Dazu wird eine eindeutige Nummer, die so genannte Ant-UID, angelegt. Wenn eine Webseite aufgerufen wird, sendet Ant eine zweite Anfrage mit eben dieser Nummer, der URL der aufgerufenen Seite sowie der Browserkennung an die Adresse rpc.ant.com.  Somit kommt dort jeder Seitenaufruf (also auch interne URLs im privaten Netzwerk) an, den ihr jemals gemacht habt. Damit aber noch nicht genug. Bei der Deinstallation der Software wird die Informationen mit der eindeutigen Nummer, der Ant-UID, behalten. Wenn ihr die Software später neu installiert, wird genau dieselbe Nummer wieder verwendet. Das ist also eine massive Verletzung der Privatsphäre der Nutzer.

Wie ein Witz klingt da die Privacy Policy von Ant.com:

As a responsible member of the community of website owners, Ant.com solutions (Here in after Ant.com) takes the privacy and security of its users with the highest regard.

Insgesamt finde ich in der Policy keinen Hinweis auf diese Spionagemaßnahme. Glücklicherweise haben die Betreiber der Add-On-Seite die Notbremse gezogen. Zunächst wurde der Download der Software komplett deaktiviert und jetzt ist diese als experimentell gekennzeichnet. Damit sollten nur erfahrenere Nutzer diese installieren können.

Das Beispiel zeigt mal wieder, das man sich offensichtlich auf keine Software verlassen kann und insbesondere das die Warnungen bezüglich der Add-Ons sehr ernst zu nehmen sind.

via InterWeb Task Force und The Register

Geschwindigkeit von Google DNS

Gerade bin ich wieder baff. Google DNS macht mich heute sprachlos.

Vor etwa einem Monat schrieb ich hier über die Aktion von Ingate, bei der es einen VServer zu gewinnen gab. Nach einiger Wartezeit kamen die Zugangsdaten an und derzeit richte ich den Rechner ein. Zur Einrichtung gehört mittlerweile für mich ein Test der Geschwindigkeit des (voreingestellten) DNS. Mittels einem Python-Programm namens namebench lässt sich das hervorragend machen. Im Blog findet sich dazu ein Beitrag. Nun spuckte namebench soeben das Ergebnis aus. Der Nameserver von Google ist fast viermal so schnell wie der beim Provider. Das ist so ziemlich die krasseste Abweichung, die ich bisher fand. Trotzdem bestätigt das, was ich bisher ermittelte. In allen meinen Versuchen seit Juni war immer der Nameserver von Google der schnellste. Außerdem zensiert der nicht. Insofern könnte man ihn jedem Nutzer empfehlen. Letztlich bleibt der hinlänglich diskutierte Datenschutzaspekt. Wer den nutzt, überlässt einmal mehr Daten einer Firma. Das will wohlüberlegt sein.

Untenstehend mal die Auswertung von namebench zum VServer von Ingate:

IP Descr. Hostname Avg (ms) Diff Min Max TO NX Notes
8.8.4.4 Google Public DNS-2 google-public-dns-b.google.com74.125.42.87 74.125.42.82 74.125.42.81 57.88 259.0% 9.6 737.2 0 4
156.154.71.1Neustar Ultra Recursive UltraDNS-2 rdns2.ultradns.netudns2tcam.ultradns.net udns3tcam.ultradns.net 86.60 139.9% 16.4 874.3 0 3
4.2.2.4If you have a legitimate reason for requesting this info, please contact hostmaster@Level3.net Level 3/GTEI-4 vnsc-pri-dsl.genuity.netdns2.frf1 87.69 136.9% 7.1 1310.7 0 5
78.47.115.1989.4.3b2 Cesidio 6 DE ns6.cesidio.netns6.cesidio.net 113.52 83.0% 4.0 1006.2 0 50
  • Replica of Cesidio B DE [78.47.115.197]
212.123.96.110 SYS-212.123.96.110 dns01.ip-exchange.de 150.74 37.8% 3.2 1625.3 0 4
  • A backup DNS server for this system.
208.67.220.220 OpenDNS resolver2.opendns.com12.ams 166.42 24.8% 14.6 3500.0 1 1
194.8.57.129.6-ESV-R1 Nurnberger IX DE ns.N-IX.netrNS2 167.84 23.8% 4.0 1589.1 0 4
212.114.153.1 Secondary-DNS DE ns.secondary-dns.de 181.08 14.7% 1.2 1643.7 0 4
80.190.211.10 SYS-80.190.211.10 dns03.ip-exchange.de 207.77 0.6 1611.9 0 4
  • The current preferred DNS server.
216.146.35.35unbound 1.3.4 DynGuide resolver1.dyndnsinternetguide.comig-02-fra.dyndns.com 228.13 -8.9% 23.5 3500.0 2 3
83.142.86.1 CS-Arena DE ns1.core-backbone.com 242.89 -14.5% 3.5 3500.0 2 5
  • dns.query.BadResponse (2 requests)

DNS-Anfragen über Tor schicken

Das Tor-Projekt ist vor allem bekannt für die gleichnamige Software. Daneben entwickeln die Macher eine Vielzahl weiterer Software, die ebenfalls die Anonymität und Privatsphäre seiner Nutzer stärkt. Bekannte Projekte sind Vidalia, die Erweiterung für den Mozilla Firefox Tor-Button oder die kürzlich vorgestellte Erweiterung HTTPS Everywhere. Jacob Appelbaum stellte kürzlich ein weiteres Projekt ttdnsd vor. Der Name steht für Tor TCP DNS Daemon und versucht alle DNS-Verbindungen über Tor zu leiten.

Derzeit muss die Software entweder aus den Quellen oder als Debian-Paket installiert werden. An RPMs wird noch gearbeitet. Eine Unterstützung für Windows ist noch nicht umgesetzt. Nach der Installation läuft die Software als Dienst im Hintergrund. In der Datei /etc/ttdnsd.conf befindet sich die Konfiguration. Standardmäßig enthält diese den Nameserver von Google mit der Adresse 8.8.8.8. Weitere Nameserver können eingetragen werden. Ich lasse immer mal wieder namebench laufen und wähle aus der Auswertung einige Server aus. Es empfiehlt sich, aus der Liste der zensurfreien Server einige zu wählen. Die Anzahl der Einträge in der Datei ist unbegrenzt. Die Software wählt bei jedem Lauf zufälligerweise einen Eintrag aus.

Nachdem die Software eingerichtet wurde, sollte auch das eigene System überredet werden, den ttdnsd für DNS-Anfragen zu nutzen. Im einfachsten Fall öffnet ihr die Datei /etc/resolv.conf und tragt dort die Zeile nameserver 127.0.0.1 ein. Wenn ihr dynamische IP-Adressen nutzt, hat das unter Umständen den Nachteil, dass der Eintrag bei jeder Aktualisierung überschrieben wird. Für Ubuntu würde ich daher empfehlen, in der Datei /etc/dhcp3/dhclient.conf den Eintrag prepend domain-name-servers 127.0.0.1; zu setzen. Dann wird der Nameserver bei jedem Update korrekt in die /etc/resolv.conf eingetragen. Wenn ihr nur einmalig testen wollt, könnt ihr natürlich dem jeweiligen Programm die Adresse übergeben: dig @127.0.0.1 torproject.org oder host torproject.org 127.0.0.1.

Die Beantwortung von Anfragen über Tor dauert natürlich etwas länger als über eine nicht anonymisierte Verbindung. Kai Raven hat in seinem Wiki eine Beschreibung zum DNS-Proxy pdnsd. Dieser hat einen Zwischenspeicher für DNS-Anfragen und antwortet schneller, wenn die Ergebnisse in seinem Speicher sind.

Der ttdnsd ist noch in Entwicklung, d.h. einige Stellen im Quellcode müssen überarbeitet werden und derzeit kann ein Angreifer den Anfragen an dem Server vorbei leiten. Diese Punkte sind bekannt und sollen in den folgenden Versionen behoben werden. Ich halte die Software schon benutzbar und kann euch einen Test nur ans Herz legen. ;-)

Wie man den optimalen Nameserver findet

Recommendation for resolv.conf

Durch einen Beitrag bei Hacker News ließ ich mich zu einem englischsprachigen Beitrag hinreißen. Im folgenden kommt das nochmal für meine deutschsprachigen Leser:

Result

In dem Beitrag Improving your resolv.conf file verweist der Autor auf die Möglichkeit, drei nameserver-Einträge in der /etc/resolv.conf zu haben. Dabei schlägt er insbesondere vor, option rotate zu verwenden. Denn damit werden die Anfragen an DNS-Server besser unter den eingetragenen Servern verteilt. Nun besteht die Frage, woher soll man denn drei Nameserver nehmen. Wer von euch kennt drei aus dem Kopf? Durch die beiden Google-eigenen 8.8.8.8 und 8.8.4.4 ist das sicher ein wenig einfacher geworden. Aber sind das wirklich die schnellsten? Rausfinden lässt sich das mit einem kleinen Programm namens namebench.

In der Standardeinstellung durchsucht das Programm den Verlauf eures Browsers und extrahiert einige Domainnamen. Man kann dem Programm aber auch eine Liste von Domainnamen geben oder es anweisen, sich ein paar Zufallswerte bei Alexa zu besorgen. Mit den Werten testet das Programm diverse DNS-Server und misst deren Geschwindigkeit. Nach einer Wartezeit wird dann der Bestwert ausgegeben. Weiterhin gibt das Programm eine Empfehlung für die optimale /etc/resolv.conf und zeigt die Messwerte grafisch an (verwendet die Google API zum Zeichnen der Diagramme).

Ich finde das Programm äußerst nützlich. Bis auf meinen Rechner zu Hause fand die Software immer viel schnellere Varianten. Im Extremfall ging das bis zu 200% schneller.

Detailed result

Continue reading "Wie man den optimalen Nameserver findet"
tweetbackcheck