Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

Safeplug leitet deinen gesamten Traffic durch das Tor-Netzwerk für 50 Dollar

Der Safeplug von der Firma „Pogoplug“ routet den gesamten Netzwerkverkehr durch das Tor-Netzwerk und sorgt damit für Anonymität. (Bild: Pogoplug)

Die Firma Pogoplug bietet mit dem „Safeplug“ ein kleines Gerät, das auf Wunsch den gesamten Internetverkehr des eigenen Anschlusses verschlüsselt und anonymisiert.

Tor: Erfolgreicher denn je, dank der NSA-Affäre

Der Aufschwung des Anonymisierungs-Dienstes Tor nach den Enthüllungen von Edward Snowden rund im NSA-Affäre ist beispiellos. Die Nutzerzahlen des Netzwerks schießen momentan in die Höhe. Immerhin ist Tor eine der leichtesten Möglichkeiten, relativ sicher und ohne Spuren durch das Web zu surfen. Wem die Einrichtung von Tor auf dem eigenen PC oder zum Beispiel mithilfe des Onion Pi zu aufwendig ist, für den gibt es jetzt das passende Gerät.

Der Safeplug von der Firma „Pogoplug“ routet den gesamten Netzwerkverkehr durch das Tor-Netzwerk und sorgt damit für Anonymität. (Quelle: Pogoplug)
Der Safeplug von der Firma „Pogoplug“ routet den gesamten Netzwerkverkehr durch das Tor-Netzwerk und sorgt damit für Anonymität. (Bild: Pogoplug)

Safeplug: Tor-Netzwerk in einem kleinen Kasten

Der Safeplug ist ein kleiner schwarzer Kasten, der einfach mit dem eigenen Router verbunden wird, und der anschließend den gesamten Internetverkehr des Anschlusses über Tor routen soll. Die wichtigsten Details verrät der Hersteller Pogoplug zwar auf seiner Produktseite, ein paar technische Fragen bleiben allerdings noch offen. Es ist unklar, welche Hardware im Inneren zum Einsatz kommt, und wie die Installation, die angeblich mit einem Klick erledigt sein soll, im Detail abläuft.

Laut eigener Aussage hat die Firma Pogoplug nicht mit den Tor-Machern zusammengearbeitet, dank einer entsprechenden OpenSource-Lizenz von Tor war dies auch ohne Probleme möglich. Allen Sicherheits-Skeptikern des Produkts antwortet Pogoplug auf der Produktseite, dass jeder Interessierte nachvollziehen kann, welche Prozesse gerade auf dem Linux-basierten Gerät laufen, und dass es kein Hintertürchen für Behörden gibt. Das Gerät kann ab sofort für 50 Dollar in den USA vorbestellt werden, soll jedoch auch nach Europa kommen.

via www.engadget.com

Finde einen Job, den du liebst

Bitte beachte unsere Community-Richtlinien

5 Reaktionen
viktordite

Gleichzeitig von Sicherheit und TOR zu sprechen ist wie eine Anstiftung zum Phishing! Das hatten wir doch schon beim Onion-Pi Router.
Ich möchte an dieser Stelle deswegen nochmal darauf hinweisen, dass JEDER einen TOR Exit Node erstellen kann, und ALLE (unverschlüsselten) Daten, die darüber laufen abgreifen kann! Passwörter, Emails, etc...
Mehr dazu: http://mizine.de/internet/tor-und-onion-pi-router-sind-gefaehrlich/

Antworten
Kahner

Ihr macht mir hier echt Spaß - muss ich schon sagen. Inzwischen verwende ich einige Sec-Beiträge sogar schon in meinen Sec-Kursen.

Mal abgesehen davon, dass das TOR-Netzwerk eine grottenschlechte Performance hat, was SafePlug unter "extremly secure" sollen zwei Alltags-Beispielen aus der Praxis zeigen:

Aber erst ein Vorgedanke: Die Sicherheit des TOR-Netzwerkes hängt ENTSCHEIDEND vom Zusammenspiel Tor-Browser (modif. FireFox) | Vidalia | TOR-Netzwerk ab. Es ist aus Sicherheitsgründen nicht einzusehen, warum SavePlug das ausgerechnet zusammen mit Safari oder Chrome besser machen sollen, zumal SafePlug eine BlackBox und ClosedSource ist, von der keiner weiß, wie und was PogoPlug da macht.

Zitat PogoPlug: "Is there a backdoor in Tor?
No. Tor has never had and never will have a backdoor as this would compromise the security of Tor’s users."

Das ist schon ein echter Schenkelklopfer! Dafür, dass sie nach eigenem Bekunden mit TOR project nichts zu tun haben, lehnt man sich sehr weit aus dem Fenster. Aber wie steht es denn mit PogoPlug selbst? Darüber schweigt man sich selbstverständlich aus.

Allerdings wird erwartet, dass man "Direct your web browser to pogoplug.com/safeplug and click on Activate to begin using your Safeplug." - wieso eigentlich?

Die Antwort ist natürlich: Der Traffic muss accountable sein, da es sich um ein Geschäftsmodell handelt (50 p.a.) ! Das also zum Thema (Zitat) "Vollständige Anonymität!"

Und damit ist PogoPlug auch zwingend TOR-Entry-Server! Und das ist folgendes Problem:

TOR ist OpenSource! Es steht mir frei und es ist KINDERLEICHT, die Source im eigenen Sinne abzuändern, neu zu kompilieren, sich dann als Server (Vidalia Control Panel --> Sharing --> Option 3 oder Option 4) ins TOR-Netz zu integrieren und eingehenden Traffic nach eigenem Gutdünken zu verarbeiten.
Letztere Option konfiguriert den TOR-Proxy als Entry-Server. Natürlich muss man sich in das *Thema* einarbeiten, aber es geht hier um das *Abklemmen* sicherheitsrelevanter Funktionen, nicht um das Schreiben solcher.
Wer daher bei dieser Konstellation nicht zuckt, dem ist nicht zu helfen. Die Vorgehensweise ist Script-Kiddie-Niveau, und die Unsicherheit dieses Beispiels ist lange bekannt und dokumentiert.

Genauso wie folgendes:

Zitat PogoPlug "How secure is Safeplug?
The short answer is “extremely”. The slightly longer answer is that no method of security can ever be 100% secure 100% of the time. Tor (the technology behind the Safeplug device) is currently regarded as the most secure method of browsing the Internet anonymously available today. Learn more about Tor."

Abgesehen davon, dass das einfach Unfug ist - in der Praxis kann TOR nur IPv4. IPv6 wird nicht unterstützt obwohl schon lange angemahnt und angekündigt. Ein Termin ist weiterhin nicht bekannt. Ein Browser kann dazu gezwungen werden, bestimmte Inhalte per IPv6 zu laden. Dieser Traffic wird nicht über den TOR-Proxy geroutet, sondern *normal* und damit denymisiert resp. denymisierend für die gesamte IP-Session. Und zwar TROTZ eventuell eingeschalteter IPv6-Privacy-Extensions, da wenigstens Browser-Fingerprinting immer funktioniert.
Das zeigt, wie dumm es ist, TOR ohne den TOR-Browser verwenden zu wollen.

Wie heißt es so schön am Ende eines jeden Absatzes des PogoPlug-Textes: "Learn more about TOR".

Schade, dass sie sich nicht selbst daran gehalten haben. Und schade, dass sie wohl nicht die einzigen sind. Allgemeine Netzwerktechnik, wie das Verständnis um TCP/IP oder das OSI-Modell, ist da schon sehr hilfreich.

Aber ausgerechnet die Closed-Source-Blackbox Lösung eines US-Unternehmens als *Sicherheitslösung* zu verkaufen, widerspricht in so ziemlich jedem Punkt allen Empfehlungen, die man derzeit aus der Sec-Ecke bekommt.

Aber nur weiter so... Je mehr derartiges Material ich für meinen TOR-Kurs habe, desto besser! Ich werde daher natürlich auch weiterhin ein sehr interessierter Leser Ihres Portal sein, und ich bin sicher, dass mich Herr Stückler auch weiterhin nicht enttäuschen wird.

Antworten
Traffic sparen

Interessant wären Testberichte auf Bewertungsplattformen. Wie schnell geht das vernünftig ? DSL786 ? DSL3000 ? DSL 50.000 ?

Mir wäre ein Stick lieber wo alles durchgeleitet wird und ggf. gzip und SPDY genutzt werden und massivst gecached wird aber man hauptsächlich kontrollieren kann, wohin er überhaupt connecten kann. 90% der Connects braucht man ja vermutlich nicht und könnte man durch Replacement-Inhalte ersetzen. Vieles kann man auch im google-Cache lesen.

Problematisch sind nur einzelne Dienste wie Skype weil man da nicht weiss wen er connected weil die Skype-Masterserver (oder wie die heissen) dynamisch sind. Aber bei Web, Email, News usw. reichen Updateserver und die Server die man normalerweise connectet. Damit wäre vielen Bürgern und Firmen gedient und einen alten Router hat man oft ja schon.
Wenn man sich unbekannte Sites anschauen will, muss man die bequem freischalten können. Allerdings tritt das bei vielen Usern nicht wirklich oft auf.

Und das Handies zu viel UMTS-Traffic mit unnötigem Traffic verprassen ist ja immer wieder Thema.

Antworten
Peter P

@Marlon: guter Hinweis, danke! Bringt ja auch nichts, personalisierte Dienste anonym zu nutzen.
Dann doch lieber Tails auf einen USB-Stick und ausschließlich für "nicht personalisierte" Sachen nutzen.

Antworten
Marlon

Blödsinn!

Die 50 Euro kann man sich sparen.
Sobald man seinen ganzen Traffic durch Tor leitet ist man wieder deanonymisiert.

Zu dem Thema gibt es im Netz gute Podcasts.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.