Missbrauchs-FAQ

Großartig. Genau deshalb haben wir exit Policies eingebaut.

Jeder Tor Relay hat eine exit policy, die festlegt welche Art von ausgehender Verbindungen zugelassen oder abgelehnt werden. Über das Verzeichnis sieht Tor die exit policies der Relays und sorgt so dafür, dass die Clients keine exit Relays wählen, welche die Verbindung zu ihrem Ziel verhindern würden. Dadurch kann jeder Relay entscheiden, zu welchen Services und Netzwerken er sich verbinden will, basierend auf dem Missbrauchspotential und seiner eigenen Situation. Lies den Support-Eintrag zu Problemen, auf die du stoßen könntest, wenn du die standardmäßige Exit-Richtlinie verwendest, und lies dann Mike Perry's Tipps zum Betrieb eines Exit-Knotens mit minimaler Belästigung.

Die standardmäßigen Exit Richtlinien (z.B. Internetsurfen) erlauben den Zugriff auf viele bekannte Dienste aber unterbinden manche wegen Missbrauchspotential (z.B. E-Mail) und manche weil das Tor Netzwerk die Bandbreite nicht verarbeiten kann (z.B. Dateisharing). Du kannst deine Exit Richtlinien in deiner torrc Datei festlegen. Wenn du das meiste, wenn nicht sogar das ganze, Missbrauchspotenzial vermeiden möchtest, dann setze "reject *:*". Diese Einstellung bedeutet, dass ihr Relay für die Übermittlung von Datenverkehr innerhalb des Tor Netzwerkes verwendet wird, aber nicht für Verbindungen zu externen Websiten oder anderen Diensten.

Wenn du alle Exit Verbindungen erlaubst, stelle sicher, dass die Namensauflösung funktioniert. Wenn dein Computer irgendwelche Ressourcen nicht erreichen kann (bspw. weil er sich hinter einer Firewall oder einem Inhaltsfilter befindet), solltest du diese explizit in deinen Exit Richtlinien verbieten, da sonst auch andere Tor Nutzer betroffen sind.

Kriminelle können bereits böse Dinge tun. Da sie bereit sind, Gesetze zu brechen, stehen ihnen bereits viele Optionen zur Verfügung, die eine bessere Privatsphäre bieten als Tor. Sie können Mobiltelefone stehlen, sie benutzen und in einen Graben werfen; sie können sich in Korea oder Brasilien in Computer hacken und mit diesen missbräuchliche Aktivitäten starten; sie können Spyware, Viren und andere Techniken einsetzen, um die Kontrolle über buchstäblich Millionen von Windows-Computern auf der ganzen Welt zu übernehmen.

Tor zielt darauf ab, normalen Menschen, die dem Gesetz folgen wollen, Schutz zu bieten. Im Moment haben nur Kriminelle Privatsphäre, und das müssen wir ändern.

Einige Verfechter der Anonymität erklären, dass es einfach ein Kompromiss sei - die schlechten Verwendungen für die guten zu akzeptieren - aber es geht um mehr als das. Kriminelle und andere böse Menschen haben die Motivation zu lernen, wie man eine gute Anonymität erreicht, und viele sind dazu bereit, dafür gut zu bezahlen. Die Möglichkeit, die Identitäten unschuldiger Opfer zu stehlen und wiederzuverwenden (Identitätsdiebstahl), macht es noch einfacher. Normale Menschen hingegen haben weder die Zeit noch das Geld, um herauszufinden, wie sie ihre Privatsphäre online schützen können. Dies ist die schlimmste aller möglichen Welten.

Also ja, Kriminelle können Tor benutzen, aber sie haben bereits bessere Optionen, und es scheint unwahrscheinlich, dass die Entfernung von Tor aus der Welt sie davon abhalten wird, ihre schlimmen Dinge zu tun. Gleichzeitig können Tor und andere Maßnahmen zum Schutz der Privatsphäre Identitätsdiebstahl, körperliche Straftaten wie Stalking und so weiter bekämpfen.

Distributed-Denial-of-Service (DDoS)-Angriffe beruhen in der Regel darauf, dass eine Gruppe von Tausenden von Computern eine Flut von Datenverkehr an ein Opfer sendet. Da das Ziel darin besteht, die Bandbreite des Opfers zu überlasten, senden sie in der Regel UDP-Pakete, da diese keine Handshakes oder Koordination erfordern.

Da Tor aber nur korrekt gebildete TCP-Ströme transportiert, nicht alle IP-Pakete, kannst du über Tor keine UDP-Pakete senden. (Spezielle Formen dieses Angriffs wie die SYN-Überflutung sind auch nicht möglich). Gewöhnliche DDoS-Angriffe sind also über Tor nicht möglich. Tor erlaubt auch keine bandbreitenverstärkenden Angriffe auf externe Seiten: du musst für jedes Byte, welches das Tor-Netzwerk an dein Ziel sendet, ein Byte einsenden. Im Allgemeinen können also Angreifer, die über genügend Bandbreite verfügen, um einen effektiven DDoS-Angriff zu starten, diesen auch ohne Tor durchführen.

Zunächst einmal lehnt die Standard-Tor-Ausgangsrichtlinie den gesamten ausgehenden Anschluss 25 (SMTP)-Verkehr ab. Das Versenden von Spam-Mails über Tor wird also standardmäßig nicht funktionieren. Es ist möglich, dass einige Relay-Betreiber Anschluss 25 auf ihrem jeweiligen Ausgangsknoten aktivieren, in welchem Fall dieser Computer dann ausgehende Mails erlaubt; aber diese Person könnte auch einfach ein offenes Mail-Relay einrichten, unabhängig von Tor. Kurz gesagt, Tor ist für Spamming nicht nützlich, da fast alle Tor-Relays sich weigern, die E-Mail zuzustellen.

Natürlich geht es nicht nur um die Zustellung der E-Mail. Spammer können Tor benutzen, um sich mit HTTP-Proxies zu verbinden (und von dort aus mit SMTP-Servern); um sich mit schlecht geschriebenen CGI-Skripten zum Mailversand zu verbinden; und um ihre Botnets zu steuern - d.h. um verdeckt mit Armeen von kompromittierten Computern zu kommunizieren, welche die Spam-Mails ausliefern.

Das ist eine Schande, aber beachte, dass die Spammer auch ohne Tor bereits gut zurechtkommen. Denk auch dran, dass viele ihrer subtileren Kommunikationsmechanismen (wie gefälschte UDP-Pakete) nicht über Tor genutzt werden können, da es nur korrekt geformte TCP-Verbindungen transportiert.

Nicht sehr häufig im großen und ganzen. Das Netzwerk existiert seit Oktober 2003 und es hat nur ein handvoll an Beschwerden erzeugt. Natürlich zieht es, wie alle auf Privatsphäre ausgerichteten Netzwerke im Internet, Trottel an. Die Exit-Richtlinien von Tor helfen dabei, die Rolle "bereit, Ressourcen für das Netzwerk zu spenden" von der Rolle "bereit, sich mit Beschwerden über Exit-Missbrauch zu befassen" zu trennen, daher hoffen wir, dass unser Netzwerk haltbarer ist als frühere Versuche von Anonymitätsnetzwerken.

Da Tor auch viele gute Nutzungsmöglichkeiten hat, haben wir das Gefühl, dass wir derzeit ziemlich gut darin sind, eine Balance zu finden.

Wenn du ein Tor-Relay betreibst, das Exit-Verbindungen erlaubt (wie die Standard-Exit-Richtlinie), ist es wahrscheinlich sicher, dass du irgendwann von jemandem hören wirst. Beschwerden wegen Missbrauchs können verschiedene Formen annehmen. Zum Beispiel:

  • Jemand verbindet sich mit Hotmail und schickt eine Lösegeldforderung an eine Firma. Das FBI schickt dir eine höfliche E-Mail, du erklärst, dass du einen Tor-Relay betreibst, und sie sagen "na gut" und lassen dich in Ruhe. [Anschluss 80]
  • Jemand versucht, dich auszuschalten, indem er Tor benutzt, um sich mit Google-Gruppen zu verbinden und Spam ins Usenet zu posten, und schickt dann eine wütende Mail an deinen Internetdienstanbieter darüber, wie du die Welt zerstörst. [Anschluss 80]
  • Jemand schließt sich an ein IRC-Netzwerk an und macht sich lästig. Dein Internetdienstanbieter erhält höfliche E-Mails darüber, wie dein Computer kompromittiert wurde; und/oder dein Computer wird geDDoSd. [Anschluss 6667]
  • Jemand benutzt Tor, um einen Vin Diesel-Film herunterzuladen, und dein Internetdienstanbieter bekommt eine DMCA-Benachrichtigung. Siehe EFF's Tor DMCA Response-Vorlage, die erklärt, warum dein Internetdienstanbieter die Benachrichtigung wahrscheinlich ohne jegliche Haftung ignorieren kann. [Beliebige Anschlüsse]

Einige Hosting-Provider sind freundlicher als andere, wenn es um die Ausgänge von Tor geht. Für eine Auflistung siehe das Wiki der guten und schlechten Internetdienstanbieter.

Ein vollständiger Satz von Antwortvorlagen für verschiedene Arten von Missbrauchsbeschwerden ist in der Sammlung von Vorlagen zu finden. Du kannst den Umfang des Missbrauchs, den du bekommst, auch proaktiv reduzieren, indem du diese Tipps zum Betrieb eines Ausgangsknotens mit minimaler Belästigung und eine reduzierte Ausgangsrichtlinie befolgst.

Du könntest auch feststellen, dass die IP deines Tor-Relays für den Zugriff auf einige Internet-Sites/-Dienste gesperrt ist. Dies könnte unabhängig von deiner Ausgangsrichtlinie geschehen, da einige Gruppen nicht zu wissen oder sich nicht darum zu kümmern scheinen, dass Tor Ausgangsrichtlinien hat. (Wenn du eine freie IP hast, die nicht für andere Aktivitäten genutzt wird, kannst du in Betracht ziehen, dein Tor-Relay darauf laufen zu lassen.) Es ist grundsätzich ratsam, deine Internetverbindung zu Hause nicht für die Bereitstellung eines Tor-Relays zu verwenden.

Manchmal nutzen Trottel Tor um IRC-Kanäle zu stören. Dieser Missbrauch führt zu IP-spezifischen vorübergehenden Sperrungen ("klines" im IRC-Jargon), da die Netzbetreiber versuchen, den Troll von ihrem Netz fernzuhalten.

Diese Reaktion unterstreicht einen grundlegenden Fehler im Sicherheitsmodell des IRC: sie gehen davon aus, dass IP-Adressen mit Menschen gleichzusetzen sind, und durch die Sperrung der IP-Adresse können sie den Menschen sperren. In Wirklichkeit ist dies nicht der Fall - viele solcher Trolle nutzen routinemäßig die buchstäblich Millionen von offenen Proxies und kompromittierten Computern im Internet. Die IRC-Netzwerke kämpfen einen aussichtslosen Kampf mit dem Versuch, all diese Knoten zu blockieren, und eine ganze Hobby-Industrie von Blocklisten und Gegen-Trollen ist auf der Grundlage dieses fehlerhaften Sicherheitsmodells entstanden (nicht unähnlich der Antivirus-Industrie). Das Tor-Netzwerk ist hier nur ein Tropfen auf den heißen Stein.

Andererseits ist Sicherheit aus der Sicht der IRC-Server-Betreiber keine Alles-oder-Nichts-Sache. Durch schnelles Reagieren auf Trolle oder andere soziale Angriffe kann es möglich sein, das Angriffsszenario für den Angreifer weniger attraktiv zu machen. Und die meisten individuellen IP-Adressen entsprechen einzelnen Menschen, in jedem beliebigen IRC-Netzwerk zu jeder Zeit. Zu den Ausnahmen gehören NAT-Gateways, denen der Zugang als Sonderfall zugewiesen werden kann. Es ist zwar eine verlorene Schlacht, wenn man versucht, die Verwendung offener Proxies zu unterbinden, aber im Allgemeinen ist es keine verlorene Schlacht, wenn man einen einzelnen, sich schlecht benehmenden IRC-Benutzer so lange sperrt, bis er sich langweilt und verschwindet.

Aber die wirkliche Antwort ist, Auth-Systeme auf Anwendungsebene zu implementieren, um sich gut benehmende Benutzer hereinzulassen und sich schlecht benehmende Benutzer fernzuhalten. Dies muss auf einer Eigenschaft des Menschen beruhen (z.B. einem Passwort, das er kennt), nicht auf einer Eigenschaft der Art und Weise, wie seine Pakete transportiert werden.

Natürlich versuchen nicht alle IRC-Netzwerke Tor-Knoten zu blockieren. Schließlich nutzen nicht wenige Menschen Tor für IRC in der Privatsphäre, um legitime Kommunikation zu betreiben, ohne sie an ihre reale Identität zu binden. Jedes IRC-Netzwerk muss für sich selbst entscheiden, ob das Blockieren von ein paar Millionen mehr der IPs, die böse Menschen benutzen können, es wert ist, die Beiträge der anständigen Tor-Benutzer zu verlieren.

Wenn du blockiert wirst, führe eine Diskussion mit den Netzbetreibern und erkläre ihnen die Probleme. Es kann sein, dass sie sich der Existenz von Tor überhaupt nicht bewusst sind, oder sie wissen nicht, dass die Hostnamen, die sie "klinen", Tor-Ausgangsknoten sind. Wenn du das Problem erklärst und sie zu dem Schluss kommen, dass Tor blockiert werden sollte, solltest du vielleicht in Betracht ziehen, zu einem Netzwerk zu wechseln, das offener für freie Meinungsäußerung ist. Vielleicht hilft ihnen die Einladung zu #tor auf irc.oftc.net, um ihnen zu zeigen, dass wir nicht alle böse Menschen sind.

Wenn du auf ein IRC-Netzwerk aufmerksam wirst, das Tor oder einen einzelnen Tor-Ausgangsknoten zu blockieren scheint, dann schreibe diese Informationen bitte in den Tor IRC block tracker, damit andere das teilen können. Mindestens ein IRC-Netzwerk konsultiert diese Seite, um Ausgangsknoten freizugeben, die unbeabsichtigt blockiert wurden.

Obwohl Tor für Spamming nicht nützlich ist, scheinen einige übereifrige Blocklister zu denken, dass alle offenen Netzwerke wie Tor böse sind - sie versuchen, die Netzwerkadministratoren in Bezug auf Richtlinien, Dienste und Routing-Fragen unter Druck zu setzen und dann Lösegeld von den Opfern zu erpressen.

Wenn deine Server-Administratoren beschließen, diese Blocklisten zu benutzen, um eingehende Post zurückzuweisen, solltest du ein Gespräch mit ihnen führen und Tor und dessen Ausgangsrichtlinien erklären.

Es tut uns leid, das zu hören. Es gibt einige Situationen, in denen es sinnvoll ist, anonyme Benutzer für einen Internet-Dienst zu sperren. Aber in vielen Fällen gibt es einfachere Möglichkeiten, dein Problem zu lösen und den Nutzern dennoch einen sicheren Zugang zu deiner Website zu ermöglichen.

Stell dir zunächst die Frage, ob es eine Möglichkeit gibt, Entscheidungen auf Anwendungsebene zu treffen, um die legitimen Benutzer von den Spinnern zu trennen. Beispielsweise könntest du bestimmte Bereiche der Website oder bestimmte Berechtigungen wie das Posten von Beiträgen nur Personen zur Verfügung stellen, die registriert sind. Es ist einfach, eine aktuelle Liste von Tor-IP-Adressen zu erstellen, die Verbindungen zu deinem Dienst erlauben, so dass du diese Unterscheidung nur für Tor-Benutzer einrichten könntest. Auf diese Weise könntest du einen mehrstufigen Zugang haben, ohne jeden Bereich deines Angebots sperren zu müssen.

Zum Beispiel hatte das Freenode-IRC-Netzwerk ein Problem mit einer koordinierten Gruppe von Tätern, die Kanälen beitraten und subtil die Konversation übernahmen; aber als sie alle Benutzer, die von Tor-Knoten kamen, als "anonyme Benutzer" kennzeichneten, was die Fähigkeit der Täter, sich einzumischen, beseitigte, zogen sich die Täter zurück, um ihre offenen Proxys und Bot-Netzwerke zu benutzen.

Zweitens solltest du bedenken, dass Hunderttausende von Menschen Tor jeden Tag einfach aus Gründen der Datenhygiene nutzen - zum Beispiel, um sich vor Daten sammelnden Werbefirmen zu schützen, während sie ihren normalen Aktivitäten nachgehen. Andere nutzen Tor, weil es ihre einzige Möglichkeit ist, an restriktiven lokalen Firewalls vorbeizukommen. Einige Tor-Benutzer verbinden sich vielleicht gerade rechtmäßig mit deinem Dienst, um normalen Aktivitäten nachzugehen. Du musst entscheiden, ob es sich lohnt, die Beiträge dieser Nutzer sowie potenzieller zukünftiger legitimer Nutzer zu verlieren, wenn du das Tor-Netzwerk sperrst. (Oft haben die Leute kein gutes Maß dafür, wie viele höfliche Tor-Benutzer sich mit ihrem Dienst verbinden - man bemerkt sie nie, bis es einen unhöflichen gibt).

An dieser Stelle solltest du dich auch fragen, was du mit anderen Diensten machst, die viele Benutzer hinter einigen wenigen IP-Adressen zusammenfassen. Tor unterscheidet sich in dieser Hinsicht nicht so sehr von AOL.

Letztens, denk bitte dran, dass Tor-Relays individuelle Exit-Richtlinien haben. Viele Tor-Relays lassen das Verlassen von Verbindungen überhaupt nicht zu. Viele derer, die einige Ausgangsverbindungen zulassen, könnten bereits Verbindungen zu deinem Dienst verweigern. Wenn du Knoten sperrst, solltest du die Exit-Richtlinien analysieren und nur diejenigen sperren, die diese Verbindungen zulassen; und du solltest bedenken, dass Exit-Richtlinien sich ändern können (wie auch die Gesamtliste der Knoten im Netzwerk).

Wenn du das wirklich tun willst, stellen wir eine Tor-Exit-Relay-Liste zur Verfügung oder eine DNS-basierte Liste, die du abfragen kannst.

(Einige Systemadministratoren blockieren Bereiche von IP-Adressen aufgrund offizieller Richtlinien oder eines Missbrauchsmusters, aber einige haben auch nach einer Zulassung für Tor-Exit-Relays gefragt, weil sie den Zugang zu ihren Systemen nur mit Tor erlauben wollen. Diese Skripte sind auch für Zulassungslisten verwendbar.)

Es gibt keine Möglichkeit für Tor-Entwicklerinnen, Tor-Nutzerinnen zu verfolgen. Dieselben Schutzvorkehrungen, die böse Menschen davon abhalten, Tors Anonymität zu brechen, hindern uns auch daran, herauszufinden, was vor sich geht.

Einige Fans haben vorgeschlagen, dass wir Tor so umgestalten, dass es eine Hintertür enthält. Es gibt zwei Probleme mit dieser Idee. Erstens schwächt es das System technisch zu sehr. Eine zentrale Möglichkeit zu haben, die Nutzer mit ihren Aktivitäten in Verbindung zu bringen, ist eine klaffende Lücke für alle Arten von Angreifern; und die richtlinientechnischen Mechanismen, die erforderlich sind, um einen korrekten Umgang mit dieser Verantwortung zu gewährleisten, sind enorm und ungelöst. Zweitens, die bösen Menschen werden dadurch sowieso nicht erwischt, da sie andere Mittel nutzen werden, um ihre Anonymität zu gewährleisten (Identitätsdiebstahl, Kompromittierung von Computern und deren Nutzung als Bounce Points, usw.).

Dies bedeutet letztendlich, dass es in der Verantwortung der Standorteigentümer liegt, sich gegen Kompromittierungen und Sicherheitsprobleme zu schützen, die von überall her kommen können. Dies ist einfach ein Teil der Anmeldung für die Vorteile des Internets. Du musst bereit sein, dich gegen die schlechten Elemente selbst abzusichern, wo auch immer sie herkommen mögen. Tracking und verstärkte Überwachung sind nicht die Antwort auf die Verhinderung von Missbrauch.

Aber denk dran, dass dies nicht bedeutet, dass Tor unverwundbar ist. Traditionelle Polizeitechniken können gegen Tor immer noch sehr effektiv sein, wie z.B. die Untersuchung von Mitteln, Motiv und Gelegenheit, die Befragung von Verdächtigen, die Analyse des Schreibstils, die technische Analyse des Inhalts selbst, verdeckte Ermittlungen, Tastatureingaben und andere physische Untersuchungen. Das Tor Project freut sich auch über die Zusammenarbeit mit allen, einschließlich der Strafverfolgungsbehörden, um sie darin zu schulen, wie man die Tor-Software benutzt, um sicher Untersuchungen oder anonymisierte Aktivitäten online durchzuführen.

Das Tor Project hostet und kontrolliert keine .onion-Adresse und hat auch nicht die Möglichkeit, den Eigentümer oder den Standort einer .onion-Adresse herauszufinden. Die .onion-Adresse ist eine Adresse von einem Onion-Dienst. Der Name, der auf .onion endet, ist ein Onion-Dienst-Deskriptor. Es ist ein automatisch generierter Name, der auf jedem Tor-Relay oder Programm überall im Internet gefunden werden kann. Onion-Dienste sollen sowohl den Nutzer als auch den Dienstanbieter davor schützen, herauszufinden, wer sie sind und woher sie kommen. Das Design der Onion-Dienste bedeutet, dass der Eigentümer und der Standort der .onion-Website selbst vor uns verborgen bleibt.

Aber denk dran, dass dies nicht bedeutet, dass Onion-Dienste unverwundbar seien. Traditionelle Polizeitechniken können gegen sie immer noch sehr wirksam sein, wie z.B. die Befragung von Verdächtigen, die Analyse des Schreibstils, die technische Analyse des Inhalts selbst, verdeckte Ermittlungen, Tippen auf der Tastatur und andere physische Untersuchungen.

Wenn du eine Beschwerde über Kindesmissbrauchsmaterial hast, kannst du sie dem National Center for Missing and Exploited Children, das als nationale Koordinationsstelle für die Untersuchung von Kinderpornographie dient, melden: http://www.missingkids.com/. Wir schauen uns die von dir gemeldeten Links nicht an.

Wir nehmen Missbrauch ernst. Aktivisten und Strafverfolgungsbehörden nutzen Tor, um Missbrauch zu untersuchen und Betroffene zu unterstützen. Wir arbeiten mit ihnen zusammen, um ihnen zu helfen zu verstehen, wie Tor ihre Arbeit unterstützen kann. In einigen Fällen werden technologische Fehler gemacht, und wir helfen, diese zu korrigieren. Da Betroffene manchmal Stigmatisierung statt Mitgefühl erfahren, erfordert die Suche nach Unterstützung durch andere Opfer eine Technologie, welche die Privatsphäre bewahrt.

Unsere Weigerung, Hintertüren und Zensur in Tor einzubauen, ist nicht auf mangelnde Besorgnis zurückzuführen. Wir lehnen es ab, Tor zu schwächen, weil es den Bemühungen schaden würde, Kindesmissbrauch und Menschenhandel in der physischen Welt zu bekämpfen, indem online sichere Räume für die Opfer entfernt werden. In der Zwischenzeit hätten Kriminelle immer noch Zugang zu Botnets, gestohlenen Telefonen, gehackten Hosting-Konten, dem Postsystem, Kurieren, korrupten Beamten und jeder Technologie, die sich für den Handel mit Inhalten anbietet. Sie sind frühe Anwender von Technologie. Angesichts dessen ist es für die Politik gefährlich, davon auszugehen, dass Blockieren und Filtern ausreicht. Wir sind mehr daran interessiert, die Bemühungen zu unterstützen, Kindesmissbrauch zu stoppen und zu verhindern, als Politikern zu helfen, bei den Wählern zu punkten, indem sie ihn verbergen. Die Rolle der Korruption ist besonders beunruhigend; siehe diesen Bericht der Vereinten Nationen über Die Rolle der Korruption beim Menschenhandel.

Schließlich ist es wichtig, die Welt zu berücksichtigen, der Kinder als Erwachsene begegnen werden, wenn in ihrem Namen Politik gemacht wird. Werden sie uns danken, wenn sie als Erwachsene nicht in der Lage sind, ihre Meinung sicher zu äußern? Was, wenn sie versuchen, ein Versagen des Staates beim Schutz anderer Kinder aufzudecken?