Rorschachs Tagebuch

Vidalia 0.2.0 mit neuer Weltkarte März 29, 2009

Filed under: Anonymität,Linux,OpenSource,Tor — Rorschach @ 14:14
Tags: , , ,

Von Vidalia, einem Qt-basierten GUI für die Anonymisierungssoftware Tor ist gestern eine neue Entwicklerversion mit der Nummer 0.2.0 vorgestellt worden.

Die wahrscheinlich interessanteste Veränderung ist, dass die alte statische Weltkarte nun gegen Marble aus dem KDE-Projekt ersetzt wurde. Marble ist ein vollständiger Globus der Vidalia viele neue Möglichkeiten gibt:
vidalia-marble1

So werden die einzelnen Tor-Router nun mit Namen in der Karte angezeigt, genauso wie viele Städte eingezeichnet sind:
vidalia-marble2

Wenn man weiter hinaus-zoomed sieht man nur noch die grösseren, also schnelleren Router. Wenn man näher hinein-zoomed, sieht man auch die Namen der kleineren Router in der Karte eingetragen:
vidalia-marble3

Mit einem Klick auf den Namen eines Routers auf der Karte lassen sich weitere Informationen über diesen Router abrufen:
vidalia-marble4

Natürlich werden auch weiterhin die Circuits angezeigt. Grün sind sämtliche offenen Circuits eingezeichnet und gelb der momentan markierte:
vidalia-marble5

Das funktioniert im Moment bereits klasse. Einziges Manko ist, dass Marble mehr CPU-Power zieht als die alte langweilige und weniger informative Weltkarte, aber eventuell wird dies bis das Feature stable ist ja noch gefixed.

Wenn man die Development-Version wie ich jetzt schon benutzen will, kann das natürlich auch machen. Dazu lädt man sich die Version 0.2.0 von https://www.torproject.org/vidalia/dist/ als tar.gz herunter. In dem Archiv befindet sich dann eine Datei README.marble in der steht wie man vorgehen muss um Vidalia mit der neuen Karte zu konfigurieren. Insbesondere muss man dazu eine spezielle Marble-Version aus dem SVN auschecken, was aber auch alles in der README erklärt ist.

Für Archlinux kann man hier bereits fertige Pakete für die Marble-Version und Vidalia 0.2.0 finden:
http://aur.archlinux.org/packages.php?ID=25092
http://aur.archlinux.org/packages.php?ID=25093

 

Trashmail Anbieter ohne Registrierung Februar 4, 2009

Filed under: Anonymität,Internet,Sicherheit — Rorschach @ 14:39
Tags: , ,

Im Internet gibt es zahlreiche Seiten die von einem verlangen sich zu registrieren. Bei Foren war dies schon immer ein defacto Standard, doch seit dem Web2.0 Boom meint jeder Hinz und Kunz auf seiner Seite eine Registrierung für einen Service verlangen zu können der auch komplett ohne jegliche Registierung auskommen könnte (bestes Beispiel dafür ist imo die Times). Doch auch bei Foren oder Bugtrackern ist es manchmal einfach nur nervig, wenn man nur mal kurz eine kleine Frage hat oder einen Bug melden möchte sich gleich anmelden zu müssen. Wenn man dann überall seine richtige E-Mail Adresse angibt wird man schnell merken, dass das Spamaufkommen merklich ansteigen wird. Doch das Angeben einer gültigen E-Mail Adresse ist meist Pflicht weil die Betreiber eine E-Mail mit einem Link darin verschicken, den man anklicken muss um die Registrierung ab zu schliessen.

Um einmal mit Fakedaten solche Pflichtregistrierungen sinnlos zu machen und um sich vor Spam zu schützen gibt es inzwischen zahlreiche Trashmail Anbieter die einem eine Wegwerfadresse anbieten. Von solchen Adressen kann man meist keine E-Mails versenden sondern nur Empfangen, was für den Zweck von Registierungsmails aber vollkommen ausreichend ist. Die verschiedenen Anbieter lassen sich grob in drei Kategorien einteilen.

1.) schnelle Registrierung: Solche Anbieter geben einem oft ein vollwertiges Mailkonto (jedoch nur auf den Empfang von Emails beschränkt wobei es auch da Ausnahmen gibt), manchmal auch nur für einen kurzen Zeitraum begrenzt und verlangen zur Registrierung selbst nur einen Username und Passwort und sonst nichts. Vorteil ist, dass nur man selbst Zugriff auf die E-Mails hat. Nachteil jedoch, dass man sich, wenn auch sehr schnell, aber doch trotzdem registrieren muss.

2.) Weiterleitung: Einige Anbieter offerieren eine Weiterleitung. Sprich man kann sich E-Mails von einer beim Anbieter schnell einzurichtenden Wegwerfadresse zu seiner richtigen Adresse weiterleiten lassen, meist auf einen bestimmten Zeitraum beschränkt. Man gibt bei einer Registrierung dann die Wegwerfadresse an und bekommt die notwendige Bestätigungsmail der Registrierung dann an seine richtige weitergeleitet. Damit bekommt derjenige wo man sich registriert nicht die richtige E-Mail Adresse zu sehen sondern nur die Wegwerfadresse. Manche dieser Anbieter verlangen keine Registrierung, manche jedoch eine schnelle Registrierung wie unter 1.) erläutert. Vorteil ist wieder, dass nur man selbst Zugriff auf die E-Mails hat. Nachteil dieser Methode jedoch, dass man dem Trashmail Anbieter vertrauen muss, denn schliesslich erfährt dieser die richtige E-Mail Adresse und was der damit macht ist fraglich. Ich halte diese Anbieter deswegen für die schlechtesten unter den drei Kategoriern.

3.) Keine Registrierung: Bei diesen Anbietern muss man keinerlei Daten angeben sondern erhält direkt wenn man auf die Seite geht eine zufällige oder frei wählbare E-Mail Adresse. Vorteil ist einfach, dass man innerhalb von Sekunden eine E-Mail Adresse hat. Nachteil jedoch, dass jeder der möchte die empfangenen E-Mails ebenfalls lesen kann, wenn er nur den Namen der E-Mail Adresse kennt. Dies ist meist jedoch vollkommen egal, weil alles was er finden wird eine E-Mail mit einem Registierungslink darin ist. Nach einem Zeitraum von 1-24h, je nach Anbieter, werden die E-Mails die ein Account empfangen hat gelöscht.

Ich persönlich finde für Zwangsregistrierungen die dritte Kategorie am besten. Leider gibt es von diesen Anbietern jedoch bei weitem nicht so viele wie von den anderen beiden Kategorien.

Ich habe fünf dieser Anbieter gefunden, doch weitere wurden bisher in den Kommentaren zu diesem Artikel veröffentlicht welche ich ans Ende der Liste eingefügt habe. Danke an die jeweiligen Poster!

registrierungsfreie Trashmail Anbieter:
http://dodgit.com
http://www.guerrillamail.com
http://www.mytrashmail.com
http://tempinbox.com
http://spam.la
http://spamavert.com
http://trash-mail.com
https://anonbox.net
http://www.sofort-mail.de
http://10minutemail.com/10MinuteMail
http://www.mailinator.com
http://www.maileater.com
http://www.slopsbox.com

 

17 Anonymisierungsdienste von AK Vorratsdatenspeicherung getestet Januar 22, 2009

Filed under: Anonymität — Rorschach @ 15:37

Der Arbeitskreis Vorratsdatenspeicherung hat 17 unterschiedliche Anonymisierungsdienste auf Herz und Nieren überprüft:

anonymisierungsdienste testübersicht

Den kompletten 14 seitigen Testbericht kann man hier herunterladen. Er ist ganz gut geschrieben wobei imo bei Jondonym nicht richtig über das Backdoor aufgeklärt wird.

 

Fast alle kostenlose JAP/Jondo-Mixe haben gestern zu loggen angefangen Januar 2, 2009

Filed under: Anonymität,Sicherheit — Rorschach @ 20:09
Tags: , , , , ,

Obwohl die Rechtslage unklar und noch lange nichts entschieden haben die meisten Betreiber von Jondo Mixen seit gestern begonnen im Sinne von §113 TKG, also der Vorratsdatenspeicherung die Verbindungsdaten ihrer Benutzer zu loggen.

Betroffen sind davon (laut AN.ON Dresden) beide Mixe der Dresden-Dresden Kaskade und der ULD Mix. Die kostenlose GPF-Backupsolutions Kaskade (von der zumindest die GPF bereits zugesagt hat nicht zu loggen) ist auf Grund von Problemen bei Backupsolutions immernoch down. Ob die kostenlose CCC-Kaskade jemals wieder online kommt steht in den Sternen.

Somit existiert im Moment keine einzige kostenlose Kaskade mehr in der nicht mindestens ein Mix seine Verbindungsdaten loggt.

Wenn ein Mix loggt ist es immer besser, unter Anonymitäts-Aspekten, wenn der letzte Mix loggt. So im Moment der Fall bei Speedpartner-ULD. Die Betreiber dürfen nur speichern wer sich mit einem verbindet, zu welcher Uhrzeit und was der Quellport war. Das bedeutet ULD wird immer nur loggen um wieviel Uhr sich Speedpartner mit ihm verbunden hat. Diese Informationen dürften absolut nutzlos sein solange Speedpartner weiterhin nicht loggt. Leider ist Speedpartner-ULD fast immer ausgelastet und man kommt nur in Dresden-Dresden rein. Da loggen wie bereits gesagt beide Mixe. Die Anonymität ist damit zum grössten Teil futsch.

Auch unter den Kostenpflichtigen haben einige mit dem 01.01.2009 begonnen zu loggen.

Das ist sehr schade und könnte zumindest Image-mässig gesehen das Aus für Jondo/Jap bedeuten. So stirbt die einzig brauchbare Alternative von Tor…

Einziger Ausweg in meinen Augen für Jondo: sämtliche Mixe die loggen rauswerfen. Das würde sicherlich anfangs Probleme geben weil die wenigen übrigen Mixe die dann eine Kaskade bilden könnten sicher ausgelastet sein werden aber dafür bleibt es ein brauchbarer Service und die Menschen werden ihn unterstützten. Doch wer unterstützt schon einen Anonymitätsdienst wenn der Großteil der anderen Mix-Betreiber Verbindungsdaten loggt?

Update: Gerade im Forum der German Privacy Foundation gelesen, dass Jondo sich dazu geäußert hat:

… Das ULD und die TU Dresden haben eine erste, unverbindliche Auskunft von der Bundesnetzagentur erhalten, welche sie entsprechend umsetzen wollen. Problematisch ist, dass die Auskunft der Bundesnetzagentur teils deutlich über die gesetzlichen Vorgaben hinausgeht. Dadurch könnten sich die Betreiber unter Umständen strafbar machen, wenn sie die Technik entsprechend einsetzen. Wir stehen deswegen weiter im Dialog mit der Behörde.

und

Wir raten allen Mixbetreibern vor einer solchen Speicherung derzeit ab, da sie möglicherweise über die gesetzlichen Verpflichtungen hinausgeht, und damit unter Umständen rechtswidrig wäre.

 

anonyme SIM-Karten und Weiterverkauf von SIM-Karten Dezember 12, 2008

Filed under: Anonymität,Gesellschaft,Recht — Rorschach @ 16:19
Tags: , , , , ,

Gerade bei gulli gelesen, dass dem Betrieber von simonym wohl nun doch ein Prozess bevorsteht. Wer es nicht kennt: auf simonym konnte man Prepaid-SIM-Karten für sein Handy kaufen, welche nicht auf den eigenen Namen registriert sind.

Dadurch konnte man sich trotzt Besitz eines Handys ein kleines bischen Anonymität erkaufen. Denn wenn die SIM-Karte auf den eigenen Namen registriert ist, ist es für den Netzprovider durch Triangulation möglich den Besitzer der Karte auf 150m genau zu lokalisieren und ein komplettes Bewegungsprofil einer Person zu erstellen. Offiziell braucht es dafür natürlich einen richterlichen Beschluss, trotzdem bleibt das Unbehagen, dass mein Provider genau herausfinden kann, dass ich Rorschach mich genau an dem und dem Ort zu dieser Uhrzeit aufhalte.

Durch eine anonym registrierte SIM-Karte bleiben zwar noch eine Menge andere Risiken, wie zB dass wenn diese SIM-Karte jeden Tag zu meinem Haus getrackt werden kann wohl relativ klar ist wer der Besitzer ist (zu 100% jedoch nur wenn man alleine wohnt und sich sonst keiner in einem Umkreis von 150m, in ländlichen Gegenden noch weiter, befindet), sie die Telefonate abhören und jemand den Namen am Telefon nennt ebenfalls der Besitzer enttarnt ist usw.. und doch kann man mit einer anonym registrierten SIM-Karte wenn man sie intelligent benutzt tatsächlich anonym telefonieren.

Der Telekom gefällt das allerdings anscheinend nicht. Ein Grund hierfür ist mir jedoch, egal wie angestrengt ich nachgedacht habe nicht eingefallen. Ich meine es sind keine Verträge wo sie Angst haben müssen, dass ein anonymer Kunde die Zeche prellt sondern Prepaid-Karten, also der Kunde zahlt erst und dann bekommt er erst die Leistung. Haben sie vielleicht Angst, dass Vater Staat in seinem Überwachungswahn sie mit restriktiven Gesetzen diesbezüglich überschütten würde, wenn sie es nicht von sich aus unterbingen würden? Aber wenn würde sich Vater Staat doch an simonym und nicht die DT wenden oder doch?

Naja ich weiss nicht warum sie was dagegen haben und kann da nur spekulieren. Lieber zurück zu den Fakten: Die Telekom hatte also eine Unterlassungserklärung gefordert und auch bekommen, doch jetzt will sie natürlich noch die Anwaltsgebühren haben. Der Betreiber kann und will sie nicht zahlen, hat nun eine Mahnung bekommen und wird wohl vor Gericht gehen. Die Telekom meint er hätte im Weiterverkauf gegen ihre AGB’s verstossen, was er sicherlich auch getan hat, vor allem in Hinblick auf Punkt 13.1 (Satz 1) und 14.1 der AGB’s. Fraglich ist jedoch ob diese Klauseln gültig sind.

Die Telekom verkauft diese Prepaid-SIM-Karten nach §433 I BGB an ihre Kunden womit diese nach der Übereignung das Eigentum an den Karten erlangen. Nach §307 I Nr.1 BGB sind jedoch Klauseln unzulässig, wenn sie mit wesentlichen Grundgedanken der gesetzlichen Regelungen die sie abändern nicht im Einklang stehen. Die Telekom möchte dem Eigentümer durch ihre AGB’s untersagen sein Eigentum, also die SIM-Karte weiterzuverkaufen. Ich meine, dass sie das nicht so ohne weiteres tun kann hab jetzt aber auch kein BGB-Kommentar zur Hand um das weiter zu prüfen. Vielleicht will sie auch die gleiche Argumentation wie manche Software-Hersteller anführen sie würden die SIM-Karten garnicht verkaufen sondern nur lizenzieren oder vermieten… Das halte ich für abwägig, sowohl für Software wie auch für SIM-Karten. Meiner Meinung nach wird beides verkauft und der neue Eigentümer kann damit machen was er will. Juristisch problematisch an der Sache ist jedoch, dass an den Kauf der SIM-Karte auch noch ein Dienst-Vertrag mit der DT abgeschlossen wird. Wie es mit dessen Übertragbarkeit aussieht ist fraglich. Der Betreiber von simonym will die Rechtslage nun jedoch von einem Gericht klarstellen lassen.

Jetzt hab ich schon wieder mehr geschrieben als ich schreiben wollte. Was ich eigentlich schreiben wolle ist: Also ich hab mir vor ein paar Wochen in der Stadt in einem von diesen Internetcafé, Internettelefonie, Handykarten & Zubehör Läden eine SIM Karte von Ortel gekauft. Ortel ist eine Tochterfirma von E-Plus und ziemlich unbekannt. Bei der SIM-Karte war ein Zettel dabei, dass ich mich telefonisch oder über ein Webformular erst registrieren muss bevor ich die SIM-Karte nutzen kann. Ich hab die SIM-Karte in mein Handy eingelegt und eine x-beliebige Nummer gewählt. Da kam dann eine Stimme die mir sagte, dass meine Karte nicht registriert sei und ich das irgendwann mal nachholen sollte. Aber das wars. Ich konnte ohne irgendwo meinen Namen, Anschrift, etc.. anzugeben von nun an mit der SIM-Karte ohne Probleme telefonieren.

Ich würde gerne wissen ob auch andere Leute solche Erfahrungen mit Ortel gemacht haben und bin mal gespannt wie der T-Mobil Fall ausgehen wird.

 

kostenloses ebook: HOW TO BYPASS INTERNET CENSORSHIP Dezember 8, 2008

Eben bin ich auf HOW TO BYPASS INTERNET CENSORSHIP aufmerksam gemacht worden.

Das ist ein englisches Buch unter der GPL-Lizenz welches es einmal als richtiges Buch zu kaufen gibt, aber auch kostenlos als PDF zum Download.

Es erklärt auf 200 Seiten die Benutzung von Proxys, VPN-/SSH-Tunneln, Tor und Jondo um Internet-Zensurmassnahmen wie Blockierung oder Paketfilterungen von Webseiten zu verhindern.

Es ist damit ähnlich jedoch nicht ganz so umfangreich und auch nicht auf deutsch, wie das Privacy-Handbuch der GPF, welches ebenfalls als PDF heruntergeladen werden kann und neben dem anonymen Surfen auch noch Themen wie Email-, Daten- und Festplattenverschlüsselung behandelt.

 

Claws-Mail Zweit-Profil für Tor November 2, 2008

Filed under: Anonymität,Linux,Sicherheit,Tor,Ubuntu — Rorschach @ 01:23
Tags: , , , , , ,

Da Claws-Mail leider keine Proxys unterstützt, ich ein lausiger C++ Coder bin und ich trotzdem Emails über Tor abrufen und versenden möchte musste eine Lösung her 🙂

Man benötigt:
* Claws-Mail
* Tor
* torsocks (auch in meinem Ubuntu-Repository zu finden)

Die Sache ist die: Man kann mit torsocks eine ganze Anwendung incl. DNS-Abfragen durch einen Proxy Server jagen. Allerdings möchte man Tor vielleicht nur für einen speziellen Account und nicht für alle benutzen. Dann bietet es sich natürlich an ein Zweit-Profil anzulegen.

Zuerst erstellt man dafür einen neuen Ordern im Homeverzeichniss für das Zweitprofil:
$ mkdir ~/.claws-mail-tor
Nun kann man Claws-Mail mit torsocks und diesem neuen Profilordner starten:
$ torsocks claws-mail --alternate-config-dir .claws-mail-tor
Claws-Mail wird sich dabei nun verhalten als würde man es zum ersten mal starten, einen Assistenten hervorbringen und einem beim Einrichten des Mail-Accounts helfen.

Will man, dass sich diese Claws-Mail Instanz von einer normalen Claws-Mail Instanz äusserlich unterscheidet, kann man auch noch ein anderes GTK-Theme beim Starten angeben, wenn man zum Beispiel diesen Befehl zum Starten benutzt (Der Pfad zur gtkrc muss natürlich auf ein real existierendes Theme auf dem eigenen System angepasst werden.):
$ GTK2_RC_FILES=~/.themes/Dark/gtkrc torsocks claws-mail --alternate-config-dir .claws-mail-tor
Wenn man das ganze nicht immer von Hand eintippen möchte bietet es sich natürlich an ein alias dafür zu setzen.

Man sollte jedoch beachten, dass wenn man Tor benutzt man entweder einen Mail-Server verwenden sollte der einen Hidden-Service anbietet (mir ist kein öffentlich zugänglicher bekannt) oder man muss, wenn man einen normalen Mail-Anbieter verwendet SSL benutzten! Ansonsten besteht die ernsthafte Gefahr dass die Login-Daten abgefangen werden!!

Desweiteren sollte man bedenken, dass die meisten Exit-Nodes Port 25 verbieten und somit das versenden von Mails ohne SSL beinahe immer unmöglich über Tor ist. Per SSL (kein STARTLS!!) sollte es in der Regel aber zufriedenstellend funktionieren, auch wenn einige Exit-Nodes diesen Port ebenfalls blockieren.