Während Universitäten mit ihrer Infrastruktur und Kompetenz ideale Bedingungen für den Betrieb von Tor-Knoten bieten, ist ihr Anteil am Tor-Netz erstaunlich gering. Wir berichten über unsere Erfahrungen beim Betrieb von zwei Exit-Knoten an der TU Berlin und an der Uni Hamburg. Dazu gibt es Empfehlungen zum Betrieb. Der Artikel ist auf Deutsch und auf Englisch verfügbar. Einen Vortrag dazu gibt es hier.
Autor: kantorkel
Hausdurchsuchung dank Tor?
Wer Tor-Exit-Knoten betreibt, wird unter Umständen von der Polizei besucht. Hier gibt es Links zu diversen Vorträgen, Medienberichten und weiterem Infomaterial.
Vorträge und Podcasts
- Udo Vetter – Sie haben das Recht zu schweigen (23C3)
- Udo Vetter – Sie haben das Recht zu schweigen (aktualisierter Vortrag von der sigint 2012)
- Udo Vetter – Sie haben das Recht zu schweigen (aktualisierter Vortrag von der 6. No-Spy-Konferenz 2017)
- Udo Vetter – Sie haben das Recht zu schweigen (aktualisierter Vortrag von 2018, gehalten beim c4)
- Was muss man bei Hausdurchsuchungen mitmachen? | Christian Solmecke im Interview mit Lars Sobiraj 18.02.2015
- Verhalten bei Hausdurchsuchungen – qbi und Kristin Pietrzyk (35C3)
- Die Zwiebelfreunde/Riseup Durchsuchungen – mo (eh19)
- Systemeinstellungen #7 Hausdurchsuchung – was tun?!
Presse
- 22.02.2019: Tor-Exit-Node: niederbayerischer Schüler erhält Hardware zurück
- 10.02.2019: Tor-Exit-Node: Razzia bei Schüler in Niederbayern
- 04.07.2018: Hausdurchsuchungen bei Vereinsvorständen der „Zwiebelfreunde“ und im „OpenLab“ Augsburg
- 30.11.2012: Österreich: Hausdurchsuchung bei TOR-Nutzer
- 17.05.2011: Wieder Hausdurchsuchung wegen Tor-Exit-Server
weiteres Infomaterial
- Empfohlenes Verhalten bei Hausdurchsuchungen
- Durchsuchung Verhalten
- Hausdurchsuchung Österreich
- Checkliste Poster EA Hamburg
- Udo Vetters Strafrecht-Serie – Hausdurchsuchung
- Rote Hilfe e.V. – Infoflyer: Hausdurchsuchung. Was tun?
- Vorschlag für ein Schild im Zugangsbereich: Kauf und Download
- Umfangreicher Blogpost zu den Zwiebelfreunde/Riseup Durchsuchungen
Indonesien
Singapur
NYC
Beijing
USA
NYC
Tor, Mai 2018
Der Hoster hat im Mai keine Zahlen erfasst. Daten gibt es daher hier.
Schutzranzen
Am 22.01.2018 hat Digitalcourage einen Artikel über das Tracking von Kindern und Schulranzen veröffentlicht. Dies haben wir zum Anlass genommen, die Schutzranzen-App der Coodriver GmbH einmal näher anzuschauen. Nach kurzer Suche sind wir auf eine API gestoßen, über die sie unter anderem IMEIs, Telefonnummern oder Zeitstempel der letzten bekannten Positionen abrufen konnten. Laut Coodriver GmbH war der ausgenutzte API-Endpunkt nur zu Testzwecken aktiv.
Details
Zuerst wurde mit Packet Capture der Datenverkehr der Schutzranzen-App mitgeschnitten. Dadurch konnten die URL einer API und dazugehörige HTTP Basic Auth Zugangsdaten in Erfahrung gebracht werden.
Anschließend wurde die apk mit apktool entpackt und nach Schlagwörtern wie http oder api gesucht. So wurden 14 verschiedene Funktionen identifiziert, die die API über HTTP GET oder PUT zur Verfügung stellte.
Eine dieser Funktionen lieferte eine Liste aller registrierten Tracker curl 'https://<http basic auth Zugangsdaten>@<URL der API>/.../trackers'
. Die Liste enthielt für jeden Tracker die IMEI, die Telefonnummer, einen Namen (“… Test …”), den Zeitstempel des letzten Positionsupdates und den Zeitstempel der letzten Aktivität, den Batteriestatus (niedrig oder nicht), sowie eine Flag, ob der Tracker Eltern akzeptiert.
Für Regionen sectors?latitude=%.6f&longitude=%.6f&radius=%d
konnte abgefragt werden, welche Tracker sich in diesem Sektor befinden. Durch einen sehr großen Radius, etwa radius=900000000
, konnten Daten zu fast 100 Trackern abgerufen werden.
{
"id":"<IMEI>",
"phone":"<TELEFONNR>",
"name":"Test Internal 7",
"lastSeen":1515187629000,
"lastPositionUpdate":1515187634000,
"visible":false,
"acceptingParents":true,
"batteryLow":false
},
Mit den IMEIs der Tracker und über eine andere Funktion der API konnten die Eltern, die einem Tracker zugeordnet waren, abgerufen werden. Die Antwort der API enthielt mehrere IDs und einen Namen.
{
"tracking":true,
"name":"Papa",
"server":"<API>",
"slot":"UNKNOWN",
"primaryId":5,
"appId":"12345-1234-1234-1234-12345678"
},
Hier gibt es eine Stellungnahme von Coodriver zur gefundenen Lücke. heise online berichtete über die Einstellung des Projekts.
Disclosure Timeline
- 22.01.2018
- Telefonat mit Coodriver
- Technische Details der Lücke per E-Mail an Coodriver gesendet
- Nachfrage per E-Mail von Coodriver zu weiteren Details
- Telefonat mit Coodriver zu weiteren Details
- 23.01.2018
- 06.02.2018
- Nachfrage, ob Lücke geschlossen wurde, da für Ende Januar eine neue Version angekündigt worden war
- Coodriver teilt mit, dass die neue Version voraussichtlich Ende Februar erscheinen wird
- 22.02.2018
- Nachfrage, ob die Lücke geschlossen wurde, da die API-Zugangsdaten nicht mehr funktionieren
- Coodriver teilt mit, dass die Lücke noch nicht dauerhaft geschlossen wurde
- 05.03.2018
- 06.03.2018
- Coodriver teilt mit, dass die Lücke geschlossen wurde und die Ortungsfunktion entfernt wurde