Frage zur Nutzung von Tor mit Adium und bestimmten Webseiten

Binary

Ontario
Registriert
27.07.08
Beiträge
340
Hallo zusammen,

ich nutze Tor und habe zwei Fragen, auf die ich leider trotz Tor Faq und google noch keine Antwort habe.
Tor ist bei mir dauerhaft an und aktiviert, sowohl als Server als auch als Client.

Ich habe GoogleTalk und MSN in Adium über Tor laufen.
Dafür reicht die Bandbreite völlig aus.
Das ganze habe ich über Socks 5 gemacht. Die erste Verbindung zu einem Tor-Node ist unverschlüsselt und die vom Exitnode raus auch. Jetzt ist die Frage, ob eventuell einer der beiden mein Goolge(Talk) Passwort und / oder mein MSN Passwort im (klartext) auslesen kann.

Die zweite Frage ist, ob ich wenn ich mich auf nicht verschlüsselten Seiten bewegen, z.B. StudiVz, Google Dienste wie Google Mail und z.B. auch auf apfeltalk und dies mittels Tor mache, auch hier meine Passwörter im Klartext ausgelesen werden können.

Wie sieht es dann noch mit dem Mailabruf meines Gmailkontos mittels Apple Mail aus? Ich meine, dass Gmail sowohl über pop 3 als auch über smtp verschlüsselt. Kann ich das also nutzen?

Besten Gruß und Dank

Binary
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Die Verbindung von Deinem Rechner zum Tor Entry Node ist bereits verschlüsselt!

Die Verschlüsselung von Tor hat nichts mit dem darüber übertragenen Protokoll zu tun. Wenn Du eine http (ohne s) Verbindung oder ein unverschlüsseltes Chat Login über Tor tunnels kann diese Verbindung immer noch am Exit Node oder auf der Route vom Exit Node zu angesprochenen Server abgehört werden. Dies ist kein Unterschied zu einer direkten unverschlüsselten Verbindung.

Du mußt generell drauf achten, daß Adium nur verschlüsselte Logins macht!
Das Selbe gilt für alle anderen Protokolle, ganz egal ob POP, IMAP oder SMTP. Auch dort mußt Du generell SSL/TLS verwenden. Tor verschlüsselt nicht auf magische Weise Deine Kommunikation im Internet!

Socks 5 tunnelt übrigens keine DNS Anfragen über Tor, Du kannst also durch Deine Anfragen an Deinen DNS Server bereits Verbindungsdetails leaken. Stelle um auf Socks 4a um dies zu verhindern.
Gruß Pepi
 
  • Like
Reaktionen: Binary

Binary

Ontario
Registriert
27.07.08
Beiträge
340
Du mußt generell drauf achten, daß Adium nur verschlüsselte Logins macht!
Das Selbe gilt für alle anderen Protokolle, ganz egal ob POP, IMAP oder SMTP. Auch dort mußt Du generell SSL/TLS verwenden. Tor verschlüsselt nicht auf magische Weise Deine Kommunikation im Internet!

Socks 5 tunnelt übrigens keine DNS Anfragen über Tor, Du kannst also durch Deine Anfragen an Deinen DNS Server bereits Verbindungsdetails leaken. Stelle um auf Socks 4a um dies zu verhindern.
Gruß Pepi

Danke für die Infos.

- Woher weiß ich denn, ob Adium nur verschlüsselte Logins macht? Kann ich das beeinflussen oder ist das vom protokoll (Gtalk, ICQ, MSN) abhängig? Oder meinst du jetzt sowas wie OTR-Chat?

- Socks 4a gibt es leider nicht in Adium (oder ich sehe es nicht). Aber Socks 5 ist doch sicherer als Socks 4 oder? Habe das nämlich umgestellt.

- Sorry wenn ich nochmal frage aber ich bin mir nicht ganz sicher. Wenn ich mich über Tor z.B. auf Apfeltalk einlogge, dann besteht die möglichkeit (da keine SSL-Verbindung), dass mein Passwort im Klartext ausgelesen werden kann oder?

Besten Gruß und Dank

Binary
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Mit OTR hat das nichts zu tun. Lesetip: Off the Record Messaging

Du solltest Dich nochmal genau damit auseinandersetzen was tor für Dich macht und was nicht! Es ist zu Deiner eigenen Sicherheit und um Deine Anonymität zu wahren absolut essentiell, daß Du diese Sachen auch wirklich verstanden hast. Ich habe von Deinen Ausführungen her den Eindruck, daß Du da noch etwas schwimmst und das kann Deine Anonymität und Privatsphäre gefährden!

Lesetip: SOCKS
Wenn Du SOCKS 4a nicht wählen kannst, dann lasse es auf 5. "Sicherer" ist Socks 5 nicht wirklich, bietet aber einige zusätzliche Features wie UDP Verbindungen (anstatt nur TCP), IPv6 unterstützung (was für Tor völlig irrelevant ist) und Authentication (was in Deinem Fall auch völlig egal ist).


Generell gilt für alle unverschlüsselten Verbindungen, daß diese irgendwo mitgelesen werden können. Wie bereits gesagt, Tor verschlüsselt nicht auf magische Weise das Internet! In Adium kannst Du bei der Account Konfiguration angeben ob SSL/TLS verwendet werden soll oder nicht sofern dies vom Protokoll überhaupt unterstützt wird. (Gtalk und ICQ/AIM können das auf jeden Fall, bei MSN weiß ich es einfach nicht, hoffe aber doch, daß es so ist.)
Gruß Pepi
 

Binary

Ontario
Registriert
27.07.08
Beiträge
340
Besten Dank für die Infos und Links.
Also Adium unterstütz ja von Haus aus OTR.
Habe mich wohl missverständlich ausgedrückt. War mir nicht sicher ob wir darüber sprachen, ob der Textinhalt meiner Nachrichten verschlüsselt oder der Login bzw. mein Password verschlüsselt ist. Mir ging es um das letztere deshalb habe ich OTR angesprochen um zu checken welches du meinst.
Was Tor für mich macht und was es nicht macht hatte ich schon gelesen aber da muss ich wirklich sagen: Sehr knapp, sehr schwammig, extrem schlechte Faq und Doku was diese Sache angeht und es existiert keine Doku oder ähnliches.

Den Socks Artikel hatte ich mich im Wiki auch angeschaut, jedoch brachte mir das auch nicht viel weiter.

Ich denke ein Problem liegt auch darin, dass es wahrscheinlich hauptsächlich pros benutzen und die sich halt voll auskennen.
Aber ein Beispiel um das ganze einfacher zu machen, wäre doch einfach eine Liste von Programmen drauf zu setzen bzw. Protokollen, wo man weiß, ob hier eine Verschlüsselung stattfindet oder halt nicht.

Z.B. Adium unterkategorie GoolgeTalk: SSL possible
Adium unterkategorie MSN: SSL not possible. Warning: Login unencrypted
Aber auch sachen wie: Studivz: No https but login encrypted
Klar die liste würde dann sehr lang werden und man müsste relevanzkriterien nehmen aber so die Sachen, die am häufigsten gebräuchlich sind, könnte man doch zumindest beispielhaft aufnehmen.

Dann ist für mich noch die Frage, ob ich eventuell rechtliche Probleme kriegen könnte, wenn ich Verkehr für Tor weiterleite.
Da stand zwar was im FAQ aber ich weiß immer noch nicht, ob das nur für Exitnodes oder für alle gilt.

Besten Gruß und Dank

Binary
PS:Ich weiß immer noch nicht, ob mein Passwort im klartext ausgelesen werden kann, wenn ich mich über Tor auf AT anmelde...
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Bei Deinen Ausführungen wird klar, daß Du nicht verstanden hast was Tor ist, sein soll oder wofür es gut ist. Das ist kein Vorwurf, sondern eine Feststellung. Du bringst Dich durch unachtsame Nutzung von Tor unter Umständen selbst in Situationen die Du nicht haben willst.

Hast Du Dir die Tor Übersicht Seite durchgelesen und glaubst Du verstanden zu haben wofür Tor gedacht ist?

Die von Dir gewünschte Liste hat nichts mit Tor zu tun. Abgesehen davon, wer soll die erstellen und dann warten?

Wenn Du Vidalia verwendest kannst Du keine rechtlichen Probleme bekommen, es sei denn Du beginnst in der Einstellungsdatei von Tor manuell Dinge wie die Exit Policy oder sonstige Sachen zu verändern. Ich gehe mal davon aus, daß Du solchen Unsinn nicht tun wirst. Wenn Du als Client, Relay oder Bridge arbeitest kann da nichts passieren.
Das einzige womit Du rechnen mußt, daß Du eine ganze Menge Traffic auf Deiner Leitung hast. Ob das für Dich problematisch ist, hängt von Deinem ISP Tarif ab. Da Du als Relay oder Bridge auch Ports auf Deinem Firewall öffnen bzw. weiterleiten mußt ist anzunehmen, daß das bei Dir sowieso nicht funktionieren wird. Insofern mach Dir darüber keine Gedanken und laß die "Sharing" Einstellungen von Vidalia wie sie ausgeliefert wurden.


Du sprichst dauernd von "alles verschlüsseln" und "kann mein Login im Klartext ausgelesen werden". Ja, kann es. Das hat nichts mit der Verwendung von Tor zu tun! Das was Du vorhast, beispielsweise verschlüsselt auf Apfeltalk einloggen kann nur dann funktionieren wenn Apfeltalk (zumindest fürs Login) https unterstützt. Ist das nicht der Fall, kann Dein Login und Passwort immer irgendwo mitgesniffed werden. Das ist weder das was Tor schützen will, noch was Tor technisch schützen kann, da es von der Webseite nicht unterstützt wird.

Ich hab's schon mehrfach gesagt: Tor verschlüsselt nicht auf magische Art und Weise das Internet.

Du glaubst das aber offenbar immer noch und das ist falsch! Sobald Du Dich irgendwo einloggst gibtst Du Deine Identität automatisch selbst preis.

Login über SSL, OTR und Tor sind voneinander völlig unabhängige Dinge die völlig unterschiedliche Ziele haben. Keines der drei kann auch nur im Ansatz eines der anderen ersetzen! Sicherheit gegen Abhören durch dritte hast Du nur, wenn alle drei auf einmal verwendet werden und Du entsprechend auch auf die notwendigen SSL Zertifikate achtest! Grundsätzlich solltest Du immer davon ausgehen, daß Du nicht sicher bist.



Vielleicht hilft Dir diese Metapher besser beim Verständnis was Tor tut.

Tor ist ein verschlüsselter Tunnel. Alles was durch den Tunnel geht ist von Tunneleingang bis zum Tunnelausgang geschützt.

Du kannst Dir das ähnlich vorstellen wie die Verschlüsselung von Deinem WLAN. (zB.: WPA) Die WPA Verschlüsselung der Inhalte beginnt auf der WLAN Karte Deines Computers, und endet am WLAN Router (zB Deiner AirPort Station) Alles was nicht noch anders verschlüsselt wird, war vorher im Klartext und ist auch nach dem Ende des Tunnels wieder Klartext.

Ein Login auf Apfeltalk findet ohne SSL Verschlüsselung statt. (Auf das verwendete Hashing gehe ich jetzt nicht näher ein um das nicht noch unnötig zu verkomplizieren.) Das bedeutet, daß die Klartext Daten durch den Verschlüsselten Tunnel bis zum Endpunkt des Tunnels in die Verschlüsselung eingepackt werden, und am Ende des Tunnels wieder ausgepackt werden und ab dort wieder unverschlüsselt vorliegen und auch so durchs Internet geleitet werden.

Eine über den kompletten Verbindungsweg gehende Verschlüsselung kannst Du nur über SSL/TLS erreichen. Das muß von beiden Seiten unterstützt werden. Das ist jedoch weder die Funktionalität von WPA noch die von Tor!


Ich hoffe, daß jetzt ein wenig klarer ist, was Tor Dir bieten will und bieten kann. So wie ich das verstehe brauchst Du für Deine Vorhaben Tor nicht, da nicht das bieten können kann was Du zu erreichen hoffst.
Gruß Pepi