Die “Denunziantenseite” Rottenneighbor.com, welche den Zweck hat dass man seine rotten(d.h. verkommenen, üblen) Nachbarn auf einer Karte markieren kann wird momentan von deutschen Providern wegzensiert.

So übel das Konzept der Seite an sich ist, desto übeler ist es doch, wenn man keine Chance mehr hat zu überprüfen ob man von jemandem dort eingetragen wurde. Und wer die Seite besuchen will, findet genug Proxies wie z.B. Tor, mit denen es noch möglich ist.

Anstatt mit Zensur gegen Symptome vorzugehen, wäre es besser mit scharfem Datenschutz gegen die ganze Seite vorzugehen, bzw. da die Seite ja amerikanisch ist zumindest zu bewirken dass Deutschland aus deren Karte gestrichen wird.

[UPDATE] Technische Details gibts bei Netzpolitik

• “in c# if you only have one line of code in an ‘if’ statement you”
• “icq-protokoll programmiersprache” – C(pidgin), C++(kopete), python(twisted), … such dir was aus
• “gps datensammlungen” – zusammengeführt heißt das dann OpenStreetMap.
• “tor nodes offline” – nicht jeder betreibt Tor 24 Stunden am Tag.
• “tor nützt nichts” – wenn die Nodes offline sind, nützt Tor gar nichts.
• “fun kifferbilder” – nicht für den, der abgebildet ist
• “hacken zwecklos”+”ergebnis steht schon fest” – fasst die Problematik der Wahlcomputer gut zusammen.
• “unschuldsvermutung copyright” – die Verfasser unseres Grundgesetzes dürften das wohl (gehabt) haben .
• “was ist isometrisch” – Wikipedia hilft, was sie allerdings nicht erwähnen ist isometrische Pixelkunst wie in diesem Beitrag. Im Artikel zu isometrischen Kristallen wird die Perspektive am Beispiel des Pyrit allerdings ganz gut klar.
• “bka-drogen”
• “eine gehirnhälfte” – zwei wären besser
• “gentoo prompt ohne farben” – $ export PS1=”> “
• “elephants dream movie untertitel anleitung” – Bei mplayer reicht einfach die .srt Datei mit dem gleichem Namen wie der Film (z.B. elephantsdream.srt) im gleichem Ordner speichern.
• “linux bootplatte verschlüsseln” – der Debian/Ubuntu Installer ermöglicht das sehr einfach

• “url verstecken einfache anleitung” – ausdrucken, falten, unters Kopfkissen legen .
• “menschenrechte umfrage” – dafür!
• “war games strange game the only winning move is not to play mp3″ – lieber ogg abspielen?
• “schutz gegen irc+ubuntu” - immerhin kein IRC Chat mehr. Als Schutz empfehle ich die Internetverbindung zu kappen, dann kann man nicht mehr ins IRC, und auch kein Ubuntu herunterladen.
• “kann man die eigene person durch pseudonym schützen?” – Definitiv, wer konsequent ein Pseudonym nutzt wird nicht so leicht identifiziert. Vorsicht, wenn du das Pseudonym bei Dingen die mit dir in Verbindung gebracht werden nutzen möchtest!
• “tor verbindungen loggen” – ziemlich problemlos möglich, nur absolut nutzlos, weil Tor ja gerade anonymisiert.
• “hubble kosten” – die Daten zu übertragen kostet jedenfalls nur ein Viertel des Geldes wie bei SMS-Daten.
• “schöner restaurantname” – Für welche Art von Restaurant? Griechich, Türkisch, Schnellimbiß, teueres Luxusrestaurant, …?
• “chatten mit priestern” – probiers mal im Beichtstuhl mit Voice over Air
• “+remote +zugriff +Überwachungskamera” – Da findet man einige ueber Google.
• “callgirl forum” – hier wohl kaum?!
• “usb stick oberfläche” – meistens Plastik
• “zufallsgenerator 6 aus 45″ – Östereicher Lotto?

• “schutz vor myspace hacking” – MySpace nicht nutzen. Hilft auch wegen Datenschutzbedenken.
• “md5 gebrochen” – ja, aber trotzdem nutzen viele es noch …
• “klopapier rauchen” – was soll man dazu sagen …
• “führerschein 2008 torrent” – auch 2008 muss man den Führerschein noch selber machen.
• “behaupte.es” – anfangs war mein Blog noch vor der eigentlichen Seite in den Ergebnissen .
• “was ist eine metacity”
• “chatprogramm verdeckt” – Fenster nach vorne holen?
• “tor in firefox einbinden” - am besten mit Torbutton.
• “wer verschlüsslung” – Schäuble schonmal nicht, der ist nämlich anständig, dem muss das BKA keine Trojaner schicken.
• “menschenrechte olympia” – Das Problem ist mehr China als die Olympiade selber …
• “sicherheit unverschlüsselt passwort internetrecht” – Sehr ungenaue Frage, worum geht es denn?
• “kryptochef” – Verschlüsslung mit Vollbit.  Alternativ gibt es auch Einzelbit-Verschlüsslung vom Krüptoscheff.
  

• “fatsort gentoo”: Vielleicht will ja ein Gentoo-Maintainer mal einen eBuild für fatsort-gui bauen? Für Debian hab ich schon etwas in die Wege geleitet.
• “katze kopfhörer”: Meinten Sie: “Napster”?
• “vorratsdatenspeicherung irc”: #ak-vorrat auf irc.freenode.net
• “tor in firefox einbinden”: TorButton
• “tor phishing”: Kommt vor. Tor anonymisiert, verschlüsselt aber nicht, was aus dem Netz rausgeht.
• “vorratsdatenspeicherung email betreff”:
• “kindersuchmaschine“: Erfinde soetwas, und du wirst manche Eltern stark entlasten, wenn die Kinder in Stresssituationen schon wieder nicht auffindbar sind
• “vorratsdatenspeicherung opfer“: 82 Mio. Deutsche. Opfer im Sinne von “gibt wegen Vorratsdatenspeicherung auf” findet man im Artikel “Opfer der Vorratsdatenspeicherung. Ergänzungen können per Kommentar eingereicht werde, und werden dann in den Artikel eingearbeitet.
• “tor illegal“: Nein.

derangedsecurity.com hatte demonstriert, dass Tor zwar anonymisiert, aber Exit-Verbindungen meistens nicht verschlüsselt sind. Logisch, bietet die Webseite kein HTTPS an oder wird dieses nicht genutzt, ist die letzte Verbindung – von der Exitnode zum Server – unverschlüsselt.

Das hatte Dan Egerstad ausgenutzt, um Passwörter mitzusniffen, pikanterweise einige von Regierungsmailaccounts. Anstatt mit diesen Daten Schindluder zu treiben veröffentlichte er sie auszugsweise auf seiner Webseite, um zu demonstrieren, dass soetwas passieren kann, wenn man ohne nachzudenken Tor nutzt.

Statt das Sicherheitsloch zu stopfen, und alle Passwörter ungültig zu machen und die entsprechenden Tor-Nutzer über die Gefahren aufzuklären wurde er jetzt verhaftet, und seine Hardware beschlagnahmt. Der übliche Denkfehler: Der ehrliche wird bestraft. Hätte er nur mitgelauscht, und die Passwörter über Tor genutzt, wären seine Verbindungen nicht von denen der eigentlichen Nutzer zu unterscheiden gewesen.

Generell ist davon abzuraten, sich über Tor irgendwo einzuloggen. Wenn die Logindaten nicht abgefangen werden, ist trotzdem zumindest die Anonymisierung durch den Login auf einer Seite nur noch Pseudonymisierung, da alle Aktivitäten die eingelogged getätigt werden zu einem Login zusammenführbar sind.

Man sollte meinen, dass das TOR-Netz inzwischen so verbreitet ist, dass die Justiz es kennt. Es wurden ja auch öfter schonmal Exit-Node-Betreiber angeklagt, weil jemand über ihren Knoten Mist gebaut hat.

Das scheint nicht so zu sein. Ein neuer Fall eines kleinen Betrugsdelikts über Tor (Gutscheint über 51 Euro anonym bestellt) zeigt nicht nur auf, dass vorher nicht festgestellt wurde, dass es sich bei der IP um einen Tor-Node handelt, sondern auch dass das Konzept noch immer nicht in den Köpfen der Sachverständigen ist:

[...] Sowohl der Staatsanwalt als auch die Richterin haben, denke ich, relativ schnell erkannt, dass ich wohl tatsächlich nicht der Besteller des Gutscheins war. Was dann aber folgte, ist beinahe schon absurd: Anstatt einfach zuzugeben, dass hier wohl ein Ermittlungsfehler vorliege (immerhin sind Staatsanwaltschaft und Polizei gehalten, alle Aspekte einer Straftat aufzuklären und nicht einfach irgendeiner Person, die vielleicht auf den ersten Blick schuldig sein könnte, den Prozess zu machen), fiel auf einmal der Begriff der “Beihilfe”. Ich merkte an, dass (Computer-)Betrug doch ein Vorsatzdelikt sei – man könne niemanden fahrlässig betrügen. Daraufhin sagte die Richterin, dass man prüfen müsse, ob ich meinen Tor-Knoten nicht vielleicht gerade deshalb betreibe, um aktive Beihilfe zu solchen Betrugsdelikten zu leisten. [...]

Dazu sagt die Tor-Abuse-FAQ:

Kriminelle können bereits üble Dinge tun. Da sie ohnehin außerhalb des Gesetzes operieren, haben sie bereits jetzt viele Möglichkeiten, die ihnen eine bessere Anonymität bieten als Tor. Sie können Handys stehlen, sie verwenden und in einen Graben werfen. [...]

Tatsächlich ist Tor für Leute die auf solche Mittel nicht zurückgreifen wollen gedacht. Und wird vermutlich auch zum Großteil von diesen Leuten nur genutzt, da mit illegalen Mitteln natürlich eine viel schnellere Verbindung aufgebaut werden könnte.

Also wird es allein aus Gründen der Aufklärung über Tor, sodass demnächst Exitnode-Betreiber nicht mehr fälschlich angeklagt werden Zeit für eine TOR-Kampagne.

verstecken.net hats auch. Mit interessanten Gedanken zur Beweiskraft von IPs:

Möglichkeit 1:
Sie wissen was Tor ist, wissen aber auch, dass sie die wahren Täter nicht erwischen können. Somit werden alle Betreiber von Exit-Nodes eingeschüchtert. Somit wird irgendwann die Zahl der Exit-Nodes erheblich schrumpfen. Frei nach dem Motto “Du warst das, gibs doch zu”
Möglichkeit 2:
Sie haben von den technischen Gegebenheiten keine Ahnung und denken wirklich, dass der Exit-Node Betreiber der Täter bzw. Mittäter ist.
Was sollen die Gerichte bzw. die Polizei denn machen? “Da hat gerade jemand einen Betrug eingefädelt. Schaden 10.000 €. Aber leider eine IP eines Tor-Exit-Nodes. Wir stellen die Ermittlungen ein”
Das geht natürlich nicht. Das wäre ein Erfolg derer, die wirklich Schindluder mit Tor treiben. Man muss sich irgendwo in der Mitte treffen.

Dazu gibts zweierlei zu sagen:

Erstens ist IP!=Person. Ob ich Torexit-Node bin, einen Trojaner installiert habe, oder mein Nachbar bei mir surft, in keinem Fall bin ich derjenige hinter der IP. Verbrechen werden aber von Personen begangen, nicht von IPs.

Zweitens kann man Ermittlern die im Falle einer Verbindung von einem Tor-Node aus ermitteln das nicht vorwerfen. Der Node könnte ja auf einem Heimpc installiert sein, und die Verbindung gar nicht zu TOR gehören.
Umgekehrt wird allerdings kaum jemand der einen Tor-Exitnode installiert hat illegale Dinge ohne Tor machen …

amessage.de:

Ich muss nun für mich klären, in wie weit ich den amessage-Dienst ab 2009 weiter betreibe(n kann) und unter welchen Vorraussetzungen. Die Möglichkeiten reichen von Einstellung des Dienstes über Weiterbetrieb mit implementierter Verbindungsdatenspeicherung (das heißt es würde gespeichert wann wer wem eine Nachricht geschickt hat, jedoch nicht was in der Nachricht stand) bis zum Übergabe des Servers an einen Betreiber außerhalb der EU.

Und darunter die Empfehlung sich nach Alterantiven im Ausland umzusehen. Dass amessage.de quasi für die Konkurrenz wirbt, zeigt dass sie es mit dem Datenschutz ernstnehmen.

Schon etwas älter: Google droht mit Schließung von Mail-Dienst in Deutschland

Google hat mit der Schließung seines E-Mail-Dienstes Google Mail in Deutschland gedroht, sollte die Bundesregierung an ihrer umstrittenenen Gesetzesinitiative zur Überwachung des Telekommunikations- und Internetverkehrs festhalten. [...]

TOR-Server durch Vorratsdatenspeicherung von Schließung bedroht

Experten erwarten durch die Neuregelung der Telekommunikationsüberwachung gravierende Auswirkungen auf Anonymisierungsdienste. “180 von 200 deutschen TOR-Servern gehen offline”, kündigte Karsten Neß an, der einen TOR-Server für die German Privacy Foundation betreibt.

[UPDATE] Kommunikationsstörungen durch die Vorratsdatenspeicherung beklagt
Hier sucht noch jemand Betroffene: Vorratsdatenspeicherung: Journalistenverband sucht Betroffene.

Zur Vorratsdatenspeicherung gibt es einige Gerüchte, wie hier:

Ein Proxy wie Tor nützt Dir gar nichts, denn die “Vorratsdatenspeicherung” geschieht beim Provider über den Du ins Netz gelangst…Über einen Proxy kannst Du nur scheinbar Deine Spuren verwischen, Telekom und Co. kennen trotzdem Dein Verhalten im Netz.

Achtung: der Artikel wurde seit seiner Urfassung deutlich überarbeitet um der Faktenlage zu entsprechen, die inzwischen in Gesetzesform vorliegt!

Was gilt denn nun wirklich?

Die Vorratsdatenspeicherung erfasst:

• Bei Telefonie die Rufnummer mit der man sich verbunden hat
• Zeit von Beginn und Ende der Verbindung
• Bei Handy-Telefonaten die Funkzelle in der sich die Teilnehmer zu Beginn befunden haben
• Bei Prepaid auch die erste Aktivierung mit Funkzelle und Datum/Uhrzeit
• Bei Internet die IP, welche man bei der Einwahl bekommen hat.
• Die Eindeutige Nutzerkennung
• Bei Internettelfonie auch die IPs mit denen man sich verbunden hat
• Auch wenn der Anruf nicht angenommen wurde
• Bei E-Mail E-Mail Addressen, Zeit, Abruf

Inhalte selber soll die Vorratsdatenspeicherung nicht erfassen:

 (8) Der Inhalt der Kommunikation und Daten
über aufgerufene Internetseiten dürfen auf Grund
dieser Vorschrift nicht gespeichert werden.

Eine Überwachung wird also in dem Moment möglich, wo der Nutzer auf eine verdächtige Seite ansurft, und dort mit seiner IP im Log steht. Kommt der Überwacher an diese IP, kann er beim Provider anfragen welchem Kunden sie gehört.

Wird Tor genutzt, steht im Webserver-Log allerdings die IP des Tor-Exitnodes. Betreibt man selber einen Exitnode steht man in vielen Webserver-Logs, obwohl man die Seite persönlich nie besucht hat. Theoretisch sollte glaubwürdig sein, dass man nicht selber die Seite besucht hat, praktisch kam es jedoch schon öfter zu Hausdurchsuchungen wegen Besuch von verbotenen Seiten durch den Tor-Exit-Node.

Ein anderer Punkt ist die Abhörsicherheit. Die ist wie man sieht nur in den Tor-Verbindungen gegeben. Der nicht-Tor-Request zum Server ist ohne Tor abhörbar, was jedoch verboten ist, und damit eine höhere Hürde darstellt.
Aber auch die Tor-Verbindung ist abhörbar, nachdem er die Exit-Node verlassen hat. Und genau dort wurden die Passwörter der Diplomaten gephisht.

Verhindern lässt sich das, indem man über Tor zusätzlich noch SSL nutzt, wodurch die letzte Verbindung auch verschlüsselt ist. Der Surfer ohne Tor wäre auch besser dran, hätte er SSL genutzt.
Bei HTTPS(HTTP mit SSL)  werden allerdings die Filter-Aktionen von Privoxy, mit dem Tor normalerweise zusammen genutzt wird nicht genutzt. Daher sollte man im Browser Plugins und Javascript ausschalten statt sich darauf zu verlassen dass privoxy filtert.

Anders sieht die Situation überigens bei den sogenannten “Hidden-Services” aus. Dabei liegt auch der Server im Tor-Netz, und ist nur via Tor-Verbindungen erreichbar. Damit ist sowohl Verschlüsslung bis zum Server als auch die Anonymität der Nutzer gewährleistet.

Ein Problem könnte jedoch sein, dass Anonymisierungsdienste eventuell zum Loggen gezwungen werden sollen. In diesem Fall würde jemand den Tor-Exit-Node im Serverlog sehen, und eine Log-Herausgabe des Exit-Node fordern, in welcher der vorhergehende Node dann drinsteht. Dann wird dessen Log gefordert und das geht so lange weiter bis man bei einem Entry-Node angekommen ist, der offensichtlich für den Request verantwortlich ist.
Wenn das nicht direkt gefordert wird, wird die Forderung nach Logs mit Sicherheit im ersten Fall wo Tor zur Verschleierung einer Straftat genutzt wurde gefordert werden.

Was bedeutet das jetzt für Tor? Sollte das Loggen gesetzlich gefordert werden, werden die Entwickler mit einer solchen Funktion reagieren müssen, wenn sie nicht die deutschen User verlieren wollen. Eventuell sehen sie dann aber auch den Nutzen von Tor schwinden, und reagieren daher nicht, und Tor wird hierzulande illegal.

Wie sie auch reagieren, sie werden bestimmt für nicht-EU-Nodes eine logfreie Variante weiterhin anbieten. Dadurch wird die Route solange eine nicht-EU-Node darin vorkommt nicht so einfach zurückverfolgbar sein, da die Verfolgung am ersten Node ohne Log endet.
Eventuell lässt sich jedoch aus den Kontaktdaten zu dieser Node(wenn z.B. nur zwei EU-Nodes kontakt mit dem nicht-EU-Node hatten) der Pfad dennoch rekonsturieren.

Eine Möglichkeit die Überwachung zu vergeringern bietet die Initiative “Wir speichern nicht”, indem sie fordern dass die Webseiten auf Logs verzichten sollen. Ohne ein IP-Log beim Server gibt es keine IPs, die bei den Providern angefragt werden können.

Fazit: Um die Frage von oben zu beantworten: Solange man mindestens eine sichere Tor-Node im Pfad hat, ist man anonym, umgeht also die Vorratsdatenspeicherung. Das heißt nicht, dass das Ende der Verbindung nicht abgehört werden kann, aber es kann nicht zurückverfolgt werden von wem der Request ist, was ja das Ziel der VDS ist.

[UPDATE] Konsequenzen für Administratoren öffentlich betriebener Anonymisierungs-Server (ravenhorst)
[UPDATE] Momentan heißt es auf der Ak-VDS Mailinglist, dass Tor kein Telekommunikationsprovider ist, und daher nicht zum speichern verpflichtet.
[UPDATE] Artikel auf den Stand der Gesetzeslage gebracht. IPs von Verbindungen werden nur bei Internettelefonie erfasst. E-Mail-Betreff gar nicht.
[UPDATE] Vorratsdatespeicherung – was nun (PDF)
[UPDATE][25.03.08] Die Klage der 30.000 Bürger hat inzwischen dazu geführt, dass der Zugriff auf die Vorratsdaten eingeschränkt wurde. Das eigentliche Urteil ist aber noch nicht gefällt.