Missbrauchs-FAQ

Großartig. Genau deshalb haben wir Ausgangsrichtlinien eingebaut.

Jedes Tor-Relay hat eine Ausgangsrichtlinie, die festlegt, welche Art von ausgehenden Verbindungen zugelassen oder abgelehnt werden. Über das Verzeichnis sieht Tor die Ausgangsrichtlinien der Relays und sorgt so dafür, dass die Clients keine Ausgangsrelays wählen, welche die Verbindung zu ihrem Ziel verhindern würden. Dadurch kann jedes Relay entscheiden, mit welchen Diensten, Hosts und Netzwerken es sich verbinden will, basierend auf dem Missbrauchspotenzial und seiner eigenen Situation. Lies den Support-Eintrag zu Problemen, auf die du stoßen könntest, wenn du die standardmäßige Ausgangsrichtlinie verwendest, und lies dann Mike Perrys Tipps zum Betrieb eines Ausgangsknotens mit minimaler Belästigung.

Die standardmäßigen Ausgangsrichtlinien (z.B. Internetsurfen) erlauben den Zugriff auf viele bekannte Dienste, aber unterbinden manche wegen Missbrauchspotenzial (z.B. E-Mail) und manche, weil das Tor-Netzwerk die Bandbreite nicht verarbeiten kann (z.B. Dateisharing). Du kannst deine Ausgangsrichtlinien in deiner torrc-Datei festlegen. Wenn du das meiste, wenn nicht sogar das ganze, Missbrauchspotenzial vermeiden möchtest, dann setze „reject *:*“. Diese Einstellung bedeutet, dass dein Relay für die Übermittlung von Datenverkehr innerhalb des Tor-Netzwerkes verwendet wird, aber nicht für Verbindungen zu externen Websiten oder anderen Diensten.

Wenn du alle ausgehenden Verbindungen erlaubst, stelle sicher, dass die Namensauflösung funktioniert. Wenn dein Computer irgendwelche Ressourcen nicht erreichen kann (bspw. weil er sich hinter einer Firewall oder einem Inhaltsfilter befindet), solltest du diese explizit in deinen Ausgangsrichtlinien verbieten, da sonst auch andere Tor-Nutzer betroffen sind.

Tor hat es sich zur Aufgabe gemacht, die Menschenrechte mit freier und quelloffener Technologie zu fördern und die Nutzer zu befähigen, sich gegen Massenüberwachung und Internetzensur zu wehren. Wir hassen es, dass es Leute gibt, die Tor für kriminelle Zwecke nutzen, und wir verurteilen den Missbrauch und die Ausnutzung unserer Technologie für kriminelle Aktivitäten.

Es ist wichtig zu verstehen, dass die kriminelle Absicht bei den Personen liegt und nicht bei den von ihnen verwendeten Werkzeugen. Wie andere weit verbreitete Technologien kann auch Tor von Personen mit kriminellen Absichten genutzt werden. Und da es noch andere Möglichkeiten gibt, die sie nutzen können, ist es unwahrscheinlich, dass der Entzug von Tor sie von kriminellen Aktivitäten abhalten wird. Gleichzeitig können Tor und andere Maßnahmen zum Schutz der Privatsphäre Identitätsdiebstahl und physische Verbrechen wie Stalking bekämpfen und von den Strafverfolgungsbehörden zur Untersuchung von Verbrechen und zur Unterstützung von Überlebenden eingesetzt werden.

Distributed-Denial-of-Service-Angriffe (DDoS) beruhen in der Regel darauf, dass eine Gruppe von Tausenden von Computern eine Flut von Datenverkehr an ein Opfer sendet. Da das Ziel darin besteht, die Bandbreite des Opfers zu überlasten, senden sie in der Regel UDP-Pakete, da diese keine Handshakes oder Koordination erfordern.

Da Tor aber nur korrekt gebildete TCP-Ströme transportiert, nicht alle IP-Pakete, kannst du über Tor keine UDP-Pakete senden. (Spezielle Formen dieses Angriffs wie die SYN-Überflutung sind auch nicht möglich). Gewöhnliche DDoS-Angriffe sind also über Tor nicht möglich. Tor erlaubt auch keine bandbreitenverstärkenden Angriffe auf externe Seiten: du musst für jedes Byte, welches das Tor-Netzwerk an dein Ziel sendet, ein Byte einsenden. Im Allgemeinen können also Angreifer, die über genügend Bandbreite verfügen, um einen effektiven DDoS-Angriff zu starten, diesen auch ohne Tor durchführen.

Zunächst einmal lehnt die Standard-Tor-Ausgangsrichtlinie den gesamten ausgehenden Anschluss-25-Verkehr (SMTP) ab. Das Versenden von Spam-Mails über Tor wird also standardmäßig nicht funktionieren. Es ist möglich, dass einige Relay-Betreiber Anschluss 25 auf ihrem jeweiligen Ausgangsknoten aktivieren, in welchem Fall dieser Computer dann ausgehende Mails erlaubt; aber diese Person könnte auch einfach ein offenes Mail-Relay einrichten, unabhängig von Tor. Kurz gesagt, Tor ist für Spamming nicht nützlich, da fast alle Tor-Relays sich weigern, die E-Mail zuzustellen.

Natürlich geht es nicht nur um die Zustellung der E-Mail. Spammer können Tor benutzen, um sich mit HTTP-Proxys zu verbinden (und von dort aus mit SMTP-Servern); um sich mit schlecht geschriebenen CGI-Skripten zum Mailversand zu verbinden; und um ihre Botnets zu steuern – d.h. um verdeckt mit Armeen von kompromittierten Computern zu kommunizieren, welche die Spam-Mails ausliefern.

Das ist eine Schande, aber beachte, dass die Spammer auch ohne Tor bereits gut zurechtkommen. Denk auch dran, dass viele ihrer subtileren Kommunikationsmechanismen (wie gefälschte UDP-Pakete) nicht über Tor genutzt werden können, da es nur korrekt geformte TCP-Verbindungen transportiert.

Tor hat Ausgangsrichtlinien implementiert. Jedes Tor-Relay hat eine Ausgangsrichtlinie, die festlegt, welche Art von ausgehenden Verbindungen zugelassen oder abgelehnt werden. Dadurch kann jedes Relay entscheiden, mit welchen Diensten, Hosts und Netzwerken es sich verbinden will, basierend auf dem Missbrauchspotenzial und seiner eigenen Situation. Wir haben ebenfalls ein spezialisierter Team, das Network-Health-Team, welches unzulässiges Relay-Verhalten untersucht und entsprechende Nutzer aus dem Netzwerk wirft.

Es ist wichtig zu wissen, dass wir, während wir bestimmte Arten von Missbrauch wie fehlerhafte Relais bekämpfen können, nicht in der Lage sind, zu sehen oder zu verwalten, was Nutzer auf dem Netzwerk tun, was im Übrigen Intention des Systemdesigns ist. Dieses Design erlaubt es, dass unsere Software täglich von Menschenrechtsaktivist*innen, Journalist*innen, Überlebenden von häuslicher Gewalt, Whistleblower*innen, Gesetzeshüter*innen und vielen anderen verwendet wird, um ihre Sicherheit oder die ihrer Quellen zu gewährleisten. Erfahre mehr über unsere Nutzer und die nützlichen Anwendungsfälle von Tor hier.

Wenn du ein Tor-Relay betreibst, das Exit-Verbindungen erlaubt (wie die Standard-Exit-Richtlinie), ist es wahrscheinlich sicher, dass du irgendwann von jemandem hören wirst. Beschwerden wegen Missbrauchs können verschiedene Formen annehmen. Zum Beispiel:

  • Jemand verbindet sich mit Hotmail und schickt eine Lösegeldforderung an eine Firma. Das FBI schickt dir eine höfliche E-Mail, du erklärst, dass du einen Tor-Relay betreibst, und sie sagen „na gut“ und lassen dich in Ruhe. [Port 80]
  • Jemand versucht, dich auszuschalten, indem er Tor benutzt, um sich mit Google-Gruppen zu verbinden und Spam ins Usenet zu posten, und schickt dann eine wütende Mail an deinen Internetdienstanbieter darüber, wie du die Welt zerstörst. [Port 80]
  • Jemand schließt sich an ein IRC-Netzwerk an und macht sich lästig. Dein Internetdienstanbieter erhält höfliche E-Mails darüber, wie dein Computer kompromittiert wurde; und/oder dein Computer wird geDDoSt. [Anschluss 6667]
  • Jemand benutzt Tor, um einen Vin-Diesel-Film herunterzuladen, und dein Internetdienstanbieter bekommt eine DMCA-Benachrichtigung. Siehe EFFs Tor-DMCA-Response-Vorlage, die erklärt, warum dein Internetanbieter die Benachrichtigung wahrscheinlich ohne jegliche Haftung ignorieren kann. [Beliebige Ports]

Einige Hosting-Provider sind freundlicher als andere, wenn es um die Ausgänge von Tor geht. Für eine Auflistung siehe das Wiki der guten und schlechten Internetdienstanbieter.

Ein vollständiger Satz von Antwortvorlagen für verschiedene Arten von Missbrauchsbeschwerden ist in der Sammlung von Vorlagen zu finden. Du kannst den Umfang des Missbrauchs, den du bekommst, auch proaktiv reduzieren, indem du diese Tipps zum Betrieb eines Ausgangsknotens mit minimaler Belästigung und eine reduzierte Ausgangsrichtlinie befolgst.

Du könntest auch feststellen, dass die IP deines Tor-Relays für den Zugriff auf einige Internet-Sites/-Dienste gesperrt ist. Dies könnte unabhängig von deiner Ausgangsrichtlinie geschehen, da einige Gruppen nicht zu wissen oder sich nicht darum zu kümmern scheinen, dass Tor Ausgangsrichtlinien hat. (Wenn du eine freie IP hast, die nicht für andere Aktivitäten genutzt wird, kannst du in Betracht ziehen, dein Tor-Relay darauf laufen zu lassen.) Es ist grundsätzich ratsam, deine Internetverbindung zu Hause nicht für die Bereitstellung eines Tor-Relays zu verwenden.

Manchmal nutzen Trottel Tor, um IRC-Kanäle zu stören. Dieser Missbrauch führt zu IP-spezifischen vorübergehenden Sperrungen („klines“ im IRC-Jargon), da die Netzbetreiber versuchen, den Troll von ihrem Netz fernzuhalten.

Diese Reaktion unterstreicht einen grundlegenden Fehler im Sicherheitsmodell des IRC: sie gehen davon aus, dass IP-Adressen mit Menschen gleichzusetzen sind und dass durch die Sperrung einer IP-Adresse die zugehörige Person gesperrt werden kann. In Wirklichkeit ist dies nicht der Fall – viele solcher Trolle nutzen routinemäßig die buchstäblich Millionen von offenen Proxys und kompromittierten Computern im Internet. Die IRC-Netzwerke kämpfen einen aussichtslosen Kampf mit dem Versuch, all diese Knoten zu blockieren, und eine ganze Hobby-Industrie von Blocklisten und Gegen-Trollen ist auf der Grundlage dieses fehlerhaften Sicherheitsmodells entstanden (nicht unähnlich der Antivirus-Industrie). Das Tor-Netzwerk ist hier nur ein Tropfen auf den heißen Stein.

Andererseits ist Sicherheit aus der Sicht der IRC-Server-Betreiber keine Alles-oder-nichts-Sache. Durch schnelles Reagieren auf Trolle oder andere soziale Angriffe kann es möglich sein, das Angriffsszenario für den Angreifer weniger attraktiv zu gestalten. Und die meisten individuellen IP-Adressen entsprechen einzelnen Menschen, in jedem beliebigen IRC-Netzwerk zu jeder Zeit. Zu den Ausnahmen gehören NAT-Gateways, denen der Zugang als Sonderfall zugewiesen werden kann. Es ist zwar eine verlorene Schlacht, wenn man versucht, die Verwendung offener Proxys zu unterbinden, aber im Allgemeinen ist es keine verlorene Schlacht, wenn man einen einzelnen, sich schlecht benehmenden IRC-Benutzer so lange sperrt, bis er sich langweilt und verschwindet.

Doch die wirkliche Antwort ist, Auth-Systeme auf Anwendungsebene zu implementieren, um sich gut benehmende Benutzer hereinzulassen und sich schlecht benehmende Benutzer fernzuhalten. Dies muss auf einer Eigenschaft des Menschen beruhen (z.B. einem Passwort, das er kennt), nicht auf einer Eigenschaft der Art und Weise, wie seine Pakete transportiert werden.

Natürlich versuchen nicht alle IRC-Netzwerke, Tor-Knoten zu blockieren. Schließlich nutzen nicht wenige Menschen Tor für IRC in der Privatsphäre, um legitime Kommunikation zu betreiben, ohne sie an ihre reale Identität zu binden. Jedes IRC-Netzwerk muss für sich selbst entscheiden, ob das Blockieren von ein paar Millionen mehr der IPs, die böse Menschen benutzen können, es wert ist, die Beiträge der anständigen Tor-Benutzer zu verlieren.

Wenn du blockiert wirst, führe eine Diskussion mit den Netzbetreibern und erkläre ihnen die Probleme. Es kann sein, dass sie sich der Existenz von Tor überhaupt nicht bewusst sind oder sie nicht wissen, dass die Hostnamen, die sie „klinen“, Tor-Ausgangsknoten sind. Wenn du das Problem erklärst und sie zu dem Schluss kommen, dass Tor blockiert werden sollte, solltest du vielleicht in Betracht ziehen, zu einem Netzwerk zu wechseln, das offener für freie Meinungsäußerung ist. Vielleicht hilft ihnen die Einladung zu #tor auf irc.oftc.net, um ihnen zu zeigen, dass wir nicht alle böse Menschen sind.

Wenn du auf ein IRC-Netzwerk aufmerksam wirst, das Tor oder einen einzelnen Tor-Ausgangsknoten zu blockieren scheint, dann schreibe diese Informationen bitte in den Tor-IRC-Block-Tracker, damit andere das teilen können. Mindestens ein IRC-Netzwerk konsultiert diese Seite, um Ausgangsknoten freizugeben, die unbeabsichtigt blockiert wurden.

Obwohl Tor für Spamming nicht nützlich ist, scheinen einige übereifrige Blocklister zu denken, dass alle offenen Netzwerke wie Tor böse sind – sie versuchen, die Netzwerkadministratoren in Bezug auf Richtlinien, Dienste und Routing-Fragen unter Druck zu setzen und dann Lösegeld von den Opfern zu erpressen.

Wenn deine Server-Administratoren beschließen, diese Blocklisten zu benutzen, um eingehende Post zurückzuweisen, solltest du ein Gespräch mit ihnen führen und Tor und dessen Ausgangsrichtlinien erklären.

Es tut uns leid, das zu hören. Es gibt einige Situationen, in denen es sinnvoll ist, anonyme Benutzer für einen Internet-Dienst zu sperren. Doch in vielen Fällen existieren einfachere Möglichkeiten, dein Problem zu lösen und den Nutzern dennoch einen sicheren Zugang zu deiner Website zu ermöglichen.

Stell dir zunächst die Frage, ob es eine Möglichkeit gibt, Entscheidungen auf Anwendungsebene zu treffen, um die legitimen Benutzer von den Spinnern zu trennen. Beispielsweise könntest du bestimmte Bereiche der Website oder bestimmte Berechtigungen wie das Posten von Beiträgen nur Personen zur Verfügung stellen, die registriert sind. Es ist einfach, eine aktuelle Liste von Tor-IP-Adressen zu erstellen, die Verbindungen zu deinem Dienst erlauben, so dass du diese Unterscheidung nur für Tor-Benutzer einrichten könntest. Auf diese Weise könntest du einen mehrstufigen Zugang haben, ohne jeden Bereich deines Angebots sperren zu müssen.

Zum Beispiel hatte das Freenode-IRC-Netzwerk ein Problem mit einer koordinierten Gruppe von Tätern, die Kanälen beitraten und subtil die Konversation übernahmen; aber als sie alle Benutzer, die von Tor-Knoten kamen, als „anonyme Benutzer“ kennzeichneten, was die Fähigkeit der Täter, sich einzumischen, beseitigte, zogen sich die Täter zurück, um ihre offenen Proxys und Bot-Netzwerke zu benutzen.

Zweitens solltest du bedenken, dass Hunderttausende von Menschen Tor jeden Tag einfach aus Gründen der Datenhygiene nutzen – zum Beispiel, um sich vor Daten sammelnden Werbefirmen zu schützen, während sie ihren normalen Aktivitäten nachgehen. Andere nutzen Tor, weil es ihre einzige Möglichkeit ist, an restriktiven lokalen Firewalls vorbeizukommen. Einige Tor-Benutzer verbinden sich vielleicht gerade rechtmäßig mit deinem Dienst, um normalen Aktivitäten nachzugehen. Du musst entscheiden, ob es sich lohnt, die Beiträge dieser Nutzer sowie potenzieller zukünftiger legitimer Nutzer zu verlieren, wenn du das Tor-Netzwerk sperrst. (Oft haben die Leute kein gutes Maß dafür, wie viele höfliche Tor-Benutzer sich mit ihrem Dienst verbinden – man bemerkt sie nie, bis es einen unhöflichen gibt).

An dieser Stelle solltest du dich auch fragen, was du mit anderen Diensten machst, die viele Benutzer hinter einigen wenigen IP-Adressen zusammenfassen. Tor unterscheidet sich in dieser Hinsicht nicht so sehr von AOL.

Zu guter Letzt: Denke bitte daran, dass Tor-Relays individuelle Ausgangsrichtlinien haben. Viele Tor-Relays lassen das Verlassen von Verbindungen überhaupt nicht zu. Viele derer, die einige Ausgangsverbindungen zulassen, könnten bereits Verbindungen zu deinem Dienst verweigern. Wenn du Knoten sperrst, solltest du die Ausgangsrichtlinien analysieren und nur diejenigen sperren, die diese Verbindungen zulassen; und du solltest bedenken, dass sich Ausgangsrichtlinien ändern können (wie auch die Gesamtliste der Knoten im Netzwerk).

Wenn du das wirklich tun willst, stellen wir eine Tor-Ausgangs-Relay-Liste zur Verfügung oder eine DNS-basierte Liste, die du abfragen kannst.

(Einige Systemadministratoren blockieren ganze IP-Adressbereiche aufgrund offizieller Richtlinien oder eines Missbrauchsmusters, aber einige haben auch nach einer Zulassung für Tor-Ausgangs-Relays gefragt, weil sie den Zugang zu ihren Systemen nur mit Tor erlauben wollen. Diese Skripte sind auch für Zulassungslisten verwendbar.)

Es gibt keine Möglichkeit für Tor-Entwickler*innen, Tor-Nutzer*innen zu verfolgen. Dieselben Schutzvorkehrungen, die böse Menschen davon abhalten, Tors Anonymität zu brechen, hindern uns auch daran, herauszufinden, was vor sich geht.

Einige Fans haben vorgeschlagen, dass wir Tor so umgestalten, dass es eine Hintertür enthält. Es gibt zwei Probleme mit dieser Idee. Erstens schwächt es das System technisch zu sehr. Eine zentrale Möglichkeit zu haben, die Nutzer mit ihren Aktivitäten in Verbindung zu bringen, ist eine klaffende Lücke für alle Arten von Angreifern; und die richtlinientechnischen Mechanismen, die erforderlich sind, um einen korrekten Umgang mit dieser Verantwortung zu gewährleisten, sind enorm und ungelöst. Zweitens, die bösen Menschen werden dadurch sowieso nicht erwischt, da sie andere Mittel nutzen werden, um ihre Anonymität zu gewährleisten (Identitätsdiebstahl, Kompromittierung von Computern und deren Nutzung als Bounce-Points, usw.).

Dies bedeutet letztendlich, dass es in der Verantwortung der Standorteigentümer liegt, sich gegen Kompromittierungen und Sicherheitsprobleme zu schützen, die von überall her kommen können. Dies ist einfach ein Teil der Anmeldung für die Vorteile des Internets. Du musst bereit sein, dich gegen die schlechten Elemente selbst abzusichern, wo auch immer sie herkommen mögen. Tracking und verstärkte Überwachung sind nicht die Antwort auf die Verhinderung von Missbrauch.

Doch denk dran, dass dies nicht bedeutet, dass Tor unverwundbar ist. Traditionelle Polizeitechniken können gegen Tor immer noch sehr effektiv sein, wie z.B. die Untersuchung von Mitteln, Motiv und Gelegenheit, die Befragung von Verdächtigen, die Analyse des Schreibstils, die technische Analyse des Inhalts selbst, verdeckte Ermittlungen, Tastatureingaben und andere physische Untersuchungen. Das Tor-Projekt freut sich auch über die Zusammenarbeit mit allen, einschließlich der Strafverfolgungsbehörden, um sie darin zu schulen, wie man die Tor-Software benutzt, um sicher Untersuchungen oder anonymisierte Aktivitäten online durchzuführen.

Das Tor-Projekt hostet und kontrolliert keine .onion-Adresse und hat auch nicht die Möglichkeit, den Eigentümer oder den Standort einer .onion-Adresse herauszufinden. Die .onion-Adresse ist eine Adresse von einem Onion-Dienst. Der Name, der auf .onion endet, ist ein Onion-Dienst-Deskriptor. Es ist ein automatisch generierter Name, der auf jedem Tor-Relay oder Programm überall im Internet gefunden werden kann. Onion-Dienste sollen sowohl den Nutzer als auch den Dienstanbieter davor schützen, herauszufinden, wer sie sind und woher sie kommen. Das Design der Onion-Dienste bedeutet, dass der Eigentümer und der Standort der .onion-Website selbst vor uns verborgen bleibt.

Doch denk dran, dass dies nicht bedeutet, dass Onion-Dienste unverwundbar seien. Traditionelle Polizeitechniken können gegen sie immer noch sehr wirksam sein, wie z.B. die Befragung von Verdächtigen, die Analyse des Schreibstils, die technische Analyse des Inhalts selbst, verdeckte Ermittlungen, Tippen auf der Tastatur und andere physische Untersuchungen.

Wenn du eine Beschwerde über Kindesmissbrauchsmaterial hast, kannst du sie dem National Center for Missing and Exploited Children, das als nationale Koordinationsstelle für die Untersuchung von Kinderpornographie dient, melden: http://www.missingkids.com/. Wir schauen uns die von dir gemeldeten Links nicht an.

Wir nehmen Missbrauch ernst. Aktivisten und Strafverfolgungsbehörden nutzen Tor, um Missbrauch zu untersuchen und Betroffene zu unterstützen. Wir arbeiten mit ihnen zusammen, um ihnen zu helfen zu verstehen, wie Tor ihre Arbeit unterstützen kann. In einigen Fällen werden technologische Fehler gemacht, und wir helfen, diese zu korrigieren. Da Betroffene manchmal Stigmatisierung statt Mitgefühl erfahren, erfordert die Suche nach Unterstützung durch andere Opfer eine Technologie, welche die Privatsphäre bewahrt.

Unsere Weigerung, Hintertüren und Zensur in Tor einzubauen, ist nicht auf mangelnde Besorgnis zurückzuführen. Wir lehnen es ab, Tor zu schwächen, weil es den Bemühungen schaden würde, Kindesmissbrauch und Menschenhandel in der physischen Welt zu bekämpfen, indem online sichere Räume für die Opfer entfernt werden. In der Zwischenzeit hätten Kriminelle immer noch Zugang zu Botnets, gestohlenen Telefonen, gehackten Hosting-Konten, dem Postsystem, Kurieren, korrupten Beamten und jeder Technologie, die sich für den Handel mit Inhalten anbietet. Sie sind frühe Anwender von Technologie. Angesichts dessen ist es für die Politik gefährlich, davon auszugehen, dass Blockieren und Filtern ausreicht. Wir sind mehr daran interessiert, die Bemühungen zu unterstützen, Kindesmissbrauch zu stoppen und zu verhindern, als Politikern zu helfen, bei den Wählern zu punkten, indem sie ihn verbergen. Die Rolle der Korruption ist besonders beunruhigend; siehe diesen Bericht der Vereinten Nationen über die Rolle der Korruption beim Menschenhandel.

Schließlich ist es wichtig, die Welt zu berücksichtigen, der Kinder als Erwachsene begegnen werden, wenn in ihrem Namen Politik gemacht wird. Werden sie uns danken, wenn sie als Erwachsene nicht in der Lage sind, ihre Meinung sicher zu äußern? Was, wenn sie versuchen, ein Versagen des Staates beim Schutz anderer Kinder aufzudecken?