Wichtiges Update für den PrivacyDongle

Der FoeBuD hat ein dringendes Update seiner anonymen Browser-Software „PrivacyDongle“ für Mac, Linux und Windows veröffentlicht. Alle Nutzerinnen und Nutzer, die das Programm in der Version 3.0 von der Website www.privacydongle.de heruntergeladen haben, sollten sofort auf die Version 3.0.1 aktualisieren.

Das Update kurz nach Veröffentlichung des neuen PrivacyDongle geht auf Kontakte mit den Entwicklern der Software „Tor“ zurück. Tor anonymisiert Internet-Verbindungen aller Art und wird im PrivacyDongle mit dem Web-Browser Firefox verbunden. Die Tor-Entwickler wiesen uns jetzt auf mögliche Angriffe hin, gegen die unsere bisherigen Browser-Einstellungen noch keinen ausreichenden Schutz boten.

Die Gründe für die frühe Aktualisierung, zusammengefasst: Wir hatten im PrivacyDongle auf das von den Tor-Entwicklern angebotene Firefox-Add-on Torbutton verzichtet, begründet durch unser abweichendes Nutzungskonzept. Statt dessen beruhte die Sicherheit der Anonymisierung auf anderen Add-ons, vor allem NoScript. Diese Konfiguration widerstand den wichtigsten Angriffen, aber nur, solange die Nutzer z.B. in NoScript keine Ausnahmen für Websites eintragen. Solche Ausnahmen werden jedoch in der Praxis oft vorkommen. Außerdem gibt es einige Angriffsmöglichkeiten, gegen die unsere erste Konfiguration keinen Schutz bot, vor allem wenn Tor während des Surfens gestoppt und dann wieder gestartet wird. Neuere Versionen von Torbutton enthalten mehrere speziell auf diese Angriffe zugeschnittene Abwehrmaßnahmen. Nachdem wir diese Hinweise bekamen, ist es uns gelungen, Torbutton in unserer Tor-Steuerung „passiv“ mitarbeiten zu lassen. Der Sicherheitsgewinn ist so wesentlich, dass wir den weiteren Gebrauch unserer ersten Version nicht mehr empfehlen.

Unsere Entscheidung, eine eigene Software zu entwickeln, hatte zwei Ziele: eine Firefox-Konfiguration, die nacheinander auf allen drei unterstützten Betriebssystemenen genutzt werden kann, und die Steuerung der Anonymisierungsfunktion auf möglichst einfache Weise, ohne zusätzliche Fenster. Dies war eine bewusste Abweichung von einer bestehenden Kombination von Firefox und Tor, die von den Tor-Entwicklern selbst unter dem Namen „Tor Browser Bundle“ angeboten wird. Das Tor Browser Bundle läuft nur unter Windows, und es öffnet ein eigenes Fenster zur Steuerung von Tor. Eine deutsche Version dieses Pakets war vom Chaos Computer Club während der Olympischen Sommerspiele in Peking als „Freedom Stick“ bekannt gemacht worden.

Das Add-on Torbutton schaltet im Tor Browser Bundle die Verbindung zwischen Tor und Firefox ein und aus, ohne weiteren Einfluss auf den Tor-Prozess zu nehmen. Unser abweichendes Nutzungskonzept machte es erforderlich, für die Verbindung zu und die Steuerung von Tor ein eigenes Add-on („TorWaechter“) zu entwickeln. Weil die Abkehr von Torbutton auf dieser grundlegenden Design-Entscheidung beruhte, hatten wir nicht mehr beobachtet, dass neuere Torbutton-Versionen – aufbauend auf einer wachsenden Sammlung von Wissen über die Möglichkeiten eines Angreifers und von darauf aufbauenden Sicherheitszielen – mehrere Komponenten zur Verwirklichung dieser Ziele enthalten.

In einer Idealsituation, in der Nutzer des PrivacyDongle weder Ausnahmen in NoScript und CS Lite konfigurieren noch Tor vorübergehend abschalten, würde auch ohne Torbutton keine erhebliche Sicherheitslücke entstehen. In der Praxis machen jedoch viele Websites z.B. Ausnahmen in NoScript erforderlich, um JavaScript oder Plugins wie Flash zuzulassen. Gerade Flash-Objekte können jedoch ein einfaches und hochwirksames Mittel zur Aushebelung der Anonymität sein. NoScript läßt sich nicht genau genug konfigurieren für die speziellen Sicherheitsbedürfnisse des Surfens mit Tor, Torbutton kann sich gezielt auf diese Situation einstellen – solange Tor aktiviert ist, lässt es z.B. einige Skripte zu, schaltet aber Flash komplett ab. Durch Torbutton können z.B. viele Video-Websites nicht mehr mit dem PrivacyDongle benutzt werden, ohne daß die Anonymisierung abgeschaltet wird. Das ist aber auch die einzig richtige Strategie, weil nicht erkennbar ist, ob die Flash-Objekte in diesen Websites die Anonymisierung umgehen oder nicht.

Wir haben deshalb NoScript aus dem PrivacyDongle entfernt, Torbutton unsichtbar hinzugefügt und TorWaechter so erweitert, dass die Sicherheitsfunktionen von Torbutton durch TorWaechter ein- und ausgeschaltet werden. Diese Art der Einbindung von Torbutton haben wir mit den Torbutton-Entwicklern abgesprochen. Das Ergebnis ist, dass wir das Nutzungskonzept des PrivacyDongle aufrecht erhalten und gleichzeitig die Sicherheitsmaßnahmen von Torbutton nutzen können.

Der aktualisierte Software für den PrivacyDongle steht auf unserer Support-Webseite zum Download bereit. Die Kurzadresse lautet www.privacydongle.de. Die Besteller des USB-Sticks, die bereits die erste Version erhalten haben, werden von uns benachrichtigt.

Um auch in Zukunft über Neuigkeiten zur PrivacyDongle-Software informiert zu sein, empfehlen wir den regelmäßigen Besuch unserer Support-Seite oder unserer Nachrichten-Seite, die auch als RSS-Feed bezogen werden kann.