 Das Tor-Netzwerk ermöglicht den Schutz unserer Privatsphäre, wenn wir uns im Internet bewegen. In diesem Talk geht es um einen wichtigen Teil des Netzwerks, um Tor-Exec-Knoten. Matthias Marx von der Uni Hamburg und Christoph Dürbmann von der TU Berlin erzählen uns, warum Unis besonders geeignet sind, um Tor-Exec-Knoten zu betreiben. Wenn ihr Fragen zu dem Thema habt, dann schreibt die uns gerne auf Twitter unter Hashtag rc3oio oder im IRC-Channel unter Hashtag rc3-oio. Wir können dann nach dem Vortrag über die Fragen sprechen. Jetzt erst mal viel Spaß beim Talk. Hallo und herzlich willkommen zu unserem Vortrag zu Tor-Exec-Knoten an Universitäten. Wir sind Matthias Marx. Moin. Und ich, Christoph Dürbmann. Wir sind Forscher an zwei deutschen Universitäten, Matthias an der Uni Hamburg und ich an der TU Berlin. Dabei beschäftigen wir uns mit Tor. Und im Rahmen der Forschung, aber auch um das Tor-Netzwerk zu unterstützen, haben wir uns dazu entschieden, an unseren Universitäten jeweils Tor-Execs zu betreiben. Welche Erfahrungen wir dabei gemacht haben und warum das etwas ist, worüber vielleicht auch andere nachdenken könnten, das wollen wir in diesem Vortrag erläutern. Ein kurzer Überblick. Was ist Tor? Tor ist das größte Anonymisierungs-Netzwerk, das vor allem von denjenigen genutzt wird, die einen besonderen Bedarf an Anonymität oder auch einfach Zensurfreiheit im Internet haben. Den Kern des Netzwerks bilden in Tor die sogenannten Relays. Das sind Server, die die Daten von Benutzern weiterleiten und dadurch die Anonymität herstellen. Dabei baut der Benutzer jeweils eine Sequenz von drei Relays hintereinander, um sich zu anonymisieren. Die Relays nehmen unterschiedliche Rollen ein und von besonderer Bedeutung ist dabei der letzte Relay. Denn das ist derjenige von dem aus die anonymisierenden Daten dann in das offene Internet gelangen. Das heißt, die IP-Adresse des Exits, dem letzten Relay, kaucht dann unter Umständen in den Lockdateien von Servern auf, auf die zugegriffen wird. Das ist deshalb relevant, weil beispielsweise im Fall von einem rechtswidrigen Verhalten, das über diesen Exit läuft, zunächst einmal der Betreiber, dass Exits als Urheber dasteht. Wir wollen an dieser Stelle keine juristische Beurteilung geben, aber wir wollen einfach unsere Erfahrungen darlegen und hoffen, dass diese hilfreich sind. Betrieben werden die Relays von Freiwilligen und grundsätzlich ist das ziemlich einfach möglich. Sobald man irgendwie einen Server mal übrig hat und eine halbwegs ordentliche Internetanbindung, kann man etwas beitragen. Insbesondere erfüllen diese Bedingungen auch problemlos zu ziemlich alle Universitäten. Tatsächlich spricht wirklich einiges dafür, Relays und insbesondere Exits an Unis zu betreiben. Sie haben eine im Allgemeinen gute Ausstattung, eine sehr gute Internetanbindung und auch das Know-how ist im Allgemeinen vorhanden. Speziell, was Exits angeht, kommt hier auch noch zum Tragen, dass Unis ja in vielerlei Hinsicht die Freiheiten der Zivilgesellschaft in Deutschland verkörpern. Das heißt, Unis bieten insgesamt einfach gute Voraussetzungen, um Tor-Exits zu beherbergen. Deshalb haben wir uns einmal angeschaut, inwieweit dieses Potenzial dann auch genutzt wird. Wir haben deshalb mal für die letzten Jahre dargestellt, wie sich die Bandbreite der deutschen Tor-Relays entwickelt hat. Dabei haben wir normale Relays und Exits, die an Unis betrieben werden, hervorgehoben. In Deutschland können wir diese Unterscheidung sehr einfach vornehmen. Da fast alle deutschen Universitäten den gleichen Internet-Provider benutzen, nämlich das Deutsche Forschungsnetz, kurz DFN. Das heißt, wir können einfach nach dem autonomen System, das DFNs, nämlich den AS680, filtern und erhalten sofort die Relays, deren deutschen Universitäten betrieben werden. Wenn wir nun auf die Grafik schauen, so ist erst mal zu beachten, dass wir hier eine logarithmische Skalierung gewählt haben. Das heißt, obwohl es im ersten Moment visuell so aussieht, als würden die Unis viel beitragen, sieht man bei genauerem hinsehen, dass der Beitrag heute und auch in der Vergangenheit immer bei weniger als einem Prozent lag, sowohl bei Exits als auch bei normalen Relays. Wenn man noch genauer recherchiert, kann man dann sogar sehen, dass unsere beiden Exits in der Uni Hamburg und der TU Berlin momentan die einzigen beiden an deutschen Universitäten sind. Der Beitrag deutscher Universitäten zum Tor Netzwerk ist also wirklich gering, da wäre sehr viel mehr möglich. Es stellt sich nun also die Frage, ob Deutschland in dem Punkt einfach ein grober Ausreißer ist. Wir haben deshalb mal probiert, das auch für das gesamte Tor Netzwerk zu analysieren. Da wir für andere Länder leider nicht so schön einfach anhand des autonomen Systems bestimmen können bei den Relays zu einer Universität gehört, haben wir dafür einen kommerziellen Anbieter verwendet, der uns zu einer gegebenen IP-Adresse sagen kann, welche Art Organisation dahinter steckt. Also beispielsweise, ob es sich eben um eine Bildungseinrichtung handelt. Die Zahlen, die dabei rauskommen, sind natürlich mit Vorsicht zu genießen, aber was die Größenordnung angeht, sehen wir schon für das ganze Tor Netzwerk einen inlichen Trend. Der Beitrag von Universitäten kommt auch global immer nur auf weniger als ein Prozent. Über die Gründe können wir letztlich nur spekulieren, aber es liegt schon auf der Hand, dass einfach immer noch eine gewisse Unsicherheit vorliegt, was den Betrieb von Tor Relays und insbesondere Exits angeht. Aus diesem Grund wollen wir in unsere Erfahrungen mal beitragen, wie wir das an unseren Universitäten erlebt haben. An der TU Berlin betreiben wir, das heißt Florian George und ich, seit 2018 ein Exit Relay. Das Ziel war hauptsächlich, das Tor Netzwerk zu unterstützen, aber auch genauso unsere Forschung und unsere Lehre, denn wir bieten beispielsweise auch Kurse zur anonymal Kommunikation an und mit einem eigenen Exit kann man doch deutlich besser eigene Erfahrungen beitragen. Die Situation an der TU Berlin ist wie folgt, es gibt ein ungeeignetes Rechenzentrum, das sowohl Housing als auch Hosting anbietet und aus Kostengründen haben wir uns zunächst einmal dafür entschieden, eine virtuelle Maschine für den Zweck des Exit Relays dort zu mieten, keine besonders starke, ganz durchschnittlich ausgerüstete virtuelle Maschine. Wie sind wir dann weiter vorgegangen? Wir haben bemerkt, dass es wirklich wichtig ist, alles offen zu kommunizieren, das heißt wir haben von Anfang an gesagt, was wir vorhaben, haben auch auf unserer Forschungsvorhaben verwiesen und haben in der Folge auch keinen Gegenwind bekommen. Unser Vorhaben wurde nicht irgendwie geblockt und wir haben zum Beispiel auch darauf geachtet, überall gültige Kontaktdaten anzugeben, unter denen wir auch wirklich zu erreichen sind. Da das unser erster Exit an einer Uni war, haben wir zunächst mit einer sehr geringen Bandbreite angefangen und als wir dann aber gesehen haben, dass wir nicht von Beschwerdemeldungen überrollt werden, haben wir die dann langsam gesteigert. Und unsere anfänglichen Bedenken, was Bios angeht, haben sie sich absolut nicht bestätigt. Über die gut zwei Jahre, die der Exit nun läuft, haben wir gerade mal vier Beschwerden erhalten und sie waren alle mit einer erklärenen E-Mail sofort erledigt. Da hat sich kein größerer Prozess draus ergeben. Insgesamt haben wir also den Betrieb, dass Tor Exit bisher sehr unkompliziert wahrgenommen und sie ein wirklich positives Fazit. Und wie Matthias das in Hamburg erlebt hat, das wird er euch jetzt erzählen. Ich mache jetzt weiter mit der Universität Hamburg. Wir betreiben seit Januar 2019 ein Relay und seit September 2019 wird dieses Relay als Exit Relay betrieben. In der Regel erlauben wir nur die Ports 80 und 443 für HTTP und HTTPS. Für Experimente erlauben wir dann gelegentlich aber auch weitere Ports. Wir betreiben das Relay auf einem dedizierten Server in einem eigenen IP-Adressbereich im Deutschen Forschungsnetz. Das heißt, wir sind bei der RIPE als Verantwortlicher für diesen IP-Adressbereich eingetragen und bei möglichen Abuse-Meldungen schlagen diese Abuse-Meldungen direkt bei uns auf und nicht erst beim Deutschen Forschungsnetz oder bei der Universität. Wir können kaum Abuse auf Ports 80 und 443 beobachten. Immer nur dann, wenn wir weitere Ports erlauben, haben wir ein bisschen Arbeit mit dem Tor Relay. Der Abuse bezieht sich vor allem auf Ports 22 und dort auf Bruteforce-Angriffe. Bis zu eine Abuse-Meldung pro Tag haben wir in der Vergangenheit da beantwortet. In 2020 wandte sich außerdem einmal die Polizei mit einem Ermittlungsersuchen an uns. Sie bat um weitere Informationen zu der IP-Adresse, die wir für dieses Tor Exit-Node nutzen. Wir haben dann erklärt, was Tor ist und wir haben auch erklärt, wozu wir dieses Exit-Node in der Forschung einsetzen. Und damit war das dann für uns und ich glaube auch für die Polizei erledigt. Ja, dieses Exit-Node ist also auch Gegenstand unserer Forschung. Wir haben festgestellt, dass zum Beispiel Bruteforce-Angriffe über dieses Exit-Relay erfolgen und wir haben überlegt, ob man diese Bruteforce-Angriffe erkennen und vielleicht sogar unterbinden kann, obwohl der Datenverkehr verschlüsselt ist. Wir haben festgestellt, dass es grundsätzlich möglich ist, mit einer niedrigen Fehlerrate Bruteforce-Angriffe zu erkennen. Allerdings haben wir auch festgestellt, dass die Abuse-Meldung, die wir erhalten, häufig schon nach drei Fehlversuchen rausgeschickt werden. Und ja, wir brauchen einfach deutlich länger als drei Lock-in-Versuche, um zuverlässig entscheiden zu können, ob dort gerade ein Bruteforce-Angriff passiert oder etwas anderes. Erprobt haben wir diese Techniken nur im Labor. Wir haben nicht in den Datenverkehr live Tor-Netzes eingegriffen. Wir sind immer wieder verschiedenen Bedenken begegnet, wenn es darum ging, anderen Tor zu erklären oder auch, als wir selbst an der Uni daran gearbeitet haben, ein Tor-Relay zu betreiben. Der erste Punkt, mit dem wir uns jetzt kurz beschäftigen, ist die Bandbreite. Es ist gar kein Problem, die Bandbreite von Tor zu beschränken. Man kann dort entweder eine maximale Bandbreite in, zum Beispiel, Mbit pro Sekunde konfigurieren. Man kann aber auch sagen, dass man beispielsweise jeden Monat maximal 30 Terabyte an Daten transportieren möchte. Dann ist in diesen Uni-Netzen möglicherweise eine mangelnde Flexibilität der Firewall ein Problem. Allerdings ist Tor sehr flexibel. Man kann den TCP-Port unter dem Tor erreichbar sein, soll frei anpassen. Insofern dürfte die Uni Firewall in vielen Fällen doch kein Problem darstellen. In Bezug auf Missbrauch kann es von Vorteil sein, eine dedizierte Hardware und eine dedizierte IP-Adresse zu nutzen, denn dann kann man im Falle von Missbrauch, der sich auf eine bestimmte IP-Adresse bezieht, diesen einem konkreten Dienst, nämlich Tor zuordnen und auch einer bestimmten Hardware. Grundsätzlich lässt sich feststellen, dass der Aufwand relativ niedrig ist, wobei man da auch verschiedene Regler zum Steuern hat. Es gibt Ports, die anfälliger für Abuse sind und solche, die weniger anfällig für Abuse sind und mit einer reduced exit policy kann man dafür sorgen, dass man vielleicht weniger Abuse-Nachrichten bekommt. Darüber hinaus ist es wahrscheinlich so, dass exit relays die mehr Daten transportieren, potenziell auch mehr Abuse-Nachrichten erhalten. Das heißt, man kann auch einfach mal mit wenig Bandbreite anfangen und wenn man dann feststellt, dass das Relay weiterhin nur sehr wenig Arbeit macht, dann könnte man an der Bandbreite schrauben, mehr Bandbreite zur Verfügung stellen, bis es einem vielleicht irgendwann zu viel wird. Ja, was haben wir gelernt? Erstens ist es sehr wichtig, offen zu kommunizieren. Man muss mit den Verantwortlichen der Universität sprechen. Dort sollte man sein Vorhaben erläutern. Wenn man dieses Relay dann aber betreibt, auch dann sollte man an geeigneter Stelle Kontaktdaten zur Verfügung stellen. Das kann über ein reverse DNS-Eintrag erfolgen. Das kann über eine Infoseite auf der Relay IP-Adresse erfolgen. Da gibt es verschiedene Möglichkeiten. Dann kann man sich als Forschender auf die Freiheitserforschung berufen. Das ist also natürlich auch eine Freiheit, die man nutzen kann. Drittens ist es wichtig, mit anderen zusammenzuarbeiten und sich auszutauschen. Es ist hilfreich, weitere Unterstützerinnen und Unterstützer an der Universität zu haben. Aber man sollte auch Kontakte in die Tour-Community suchen und sich zum Beispiel an der Tour Relays, Mailing-Liste beteiligen oder Meetups besuchen. Wir haben festgestellt, dass der Wartungsaufwand relativ gering ist. Trotzdem sollte man die Wartung organisieren. Es sollte klar sein, wer Abuse-Nachrichten beantwortet und das sollte auch klar geregelt sein. Wenn die Mitarbeiterinnen oder Mitarbeiter, die das sonst machen, gerade im Urlaub sind, Abläufe sollten also festgelegt und geregelt sein. Und zu guter Letzt ist es sinnvoll, dann Tour nicht nur mit zu betreiben, sondern auch zu nutzen. Man kann Tour in der Lehre aufgreifen. Davon profitieren dann auch die Studierenden und die Mitarbeiterinnen mit einem tieferen technischen Verständnis von Tour. Das ist eine schöne praktische Perspektive auf Privatsphäre. Und dann kann Tour natürlich auch als Gegenstand der Forschung genutzt werden. Vielen Dank für eure Aufmerksamkeit. Sobald wir stehen jetzt noch für Fragen zur Verfügung. Noch mal herzlichen Dank für diesen interessanten Einblick. Es gibt jetzt hier schon einige Fragen aus dem Internet. Die erste Frage bezieht sich auf die Abuse-Anfragen. Die Frage kamen diese Abuse-Anfragen von der Polizei oder von der Staatsanwaltschaft. Könnt ihr noch mitteilen, was ihr da in etwa zurückgemeldet habt? Bei uns kam lediglich das Ermittlungsersuchen von der Polizei. Alle anderen Abuse-Meldungen kamen von Privatpersonen oder Firmen. Und auf das Ermittlungsersuchen haben wir geantwortet, dass wir unter dieser einen IP-Adresse zu dem bestimmten Zeitpunkt ein Tour-Exit-Node betrieben haben. Wir haben erklärt, was das Tornetz eigentlich ist und wir haben erklärt, für welche Forschungszwecke wir diesen Tourserver betreiben und damit für die Polizei dann zufrieden zu sein. Okay. Und habt ihr euch denn zu dem Thema mal rechtlich beraten lassen oder habt ihr aktuell Ansprechpartnerinnen, die euch unterstützen könnten, falls jemand mal nicht mit einer Mail auf eine Beschwerde zufrieden ist? Und was seriouristisch das Härteste, was einem Betreiber oder Involvierten passieren kann? Das Härteste, was mir als Involvierten wahrscheinlich passieren könnte, wäre, dass die Polizei morgens ums Eck klingelt und meine Wohnung durchsuchen möchte. Rechtlich hätte ich wahrscheinlich die Rückendeckung meines Arbeitgebers, da ich dieses Exit-Node im Rahmen meiner Arbeit an der Uni Hamburg betreibe. In einem anderen Kontext habe ich aber auch schon mal Beratung durch ein Rechtsanwalt zu diesem Thema erhalten und bin da relativ entspannt. Auch wir haben keine explizite Rechtsberatung vorher in Anspruch genommen, sondern uns im Wesentlichen auf die Erfahrungen anderer gestützt, dass das relativ gefahrlos zurzeit möglich ist und haben auch aus diesem Grund unserer Universität gegenüber immer sehr offen kommuniziert und klar gemacht, was wir dort eigentlich tun, sodass wir uns auch auf jeden Fall der Unterstützung durch die Universität dann auch gewissbeeren. Und hattet ihr schon mal Feedbacks innerhalb von den Universitäten aus dem Non-Tech-Bereich, also von Leuten, die eher nicht so viel mit dieser Technologie oder mit Technologie allgemein zu tun haben? Gibt es da so einen Hofstrahl dafür, dass ihr dieses Netzwerk oder diese Knoten betreibt und dass ihr damit Extreme Enzen macht? Wir an der Uni Hamburg bekamen da bisher kein Feedback von anderen Arbeitsbereichen, allerdings haben wir bisher auch nicht herum erzählt, dass wir da Torknoten betreiben. Wir hatten an der TU Berlin mit der Fachschaft mal Kontakt dazu. Dort war ein großes Interesse an dem Thema und es kam auch die Frage, auf inwieweit man dort vielleicht zusammenarbeiten könnte. Daraus ist bisher jetzt noch nichts Konkretes geworden, aber wir haben insgesamt auch das Gefühl, dass das Thema Tor und anonyme Internetkommunikation ein heißes Thema ist, sowohl an der Universität als auch im Privaten. Es ist natürlich etwas, worüber man hervorragend diskutieren kann und auch kritische Stimmen durchaus zu hören bekommt. Welche Art von Experimenten macht ihr denn mit den Exits? Wir haben an der Uni Hamburg vor allem untersucht, wie das mit dem Abuse aussieht. Also, welche Ports führen zu mehr Abuse-Meldung? Von wem kommt diese Abuse-Meldung? Und was passiert eigentlich, wenn wir auf diese Abuse-Meldung antworten, können wir den Absender überhaupt erreichen? Es gab Fälle, da konnten wir die nicht erreichen. Ja, da schauen wir momentan drauf. Okay. Und würde es entweder in den Tor-Netzwerk oder auch eure Forschung benutzen, wenn es mehrere Exits innerhalb der gleichen Uni gäbe? Also, wenn innerhalb der gleichen Uni noch mehr aufgestillt werden? Es würde auf keinen Fall schaden, weil man sich dann einfach lokal vor Ort mit anderen darüber austauschen könnte oder man könnte sich auch einfach gemeinsam unterstützen. Am meisten würde es wahrscheinlich ergeben, dann mehrere Exits gemeinsam zu betreiben. Okay, und die letzte Frage aus dem Internet. Für Leute, die keinen eigenen Relays betreiben möchten, gibt es andere Möglichkeiten, sich unterstützend für das Netzwerk einzubringen? Ja, definitiv. Mach ruhig. Okay. Ich denke, eine der wichtigsten Sachen, die man tun kann, ist allein schon ein offenes Ohr für die Anliegen der Leute zu haben, die sich engagieren. Das heißt, auch die Meinung in der Gesellschaft zu vertreten, dass anonyme Internetkommunikation nicht nur etwas für Kriminelle ist, sondern einfach eine offene Gesellschaft fördert. Das ist, glaube ich, enorm wichtig. Okay, dann danke ich ganz herzlich für euren Vortrag und ich wünsche euch noch ganz viel Erfolg bei dem Projekt und wer jetzt noch gerne weiter diskutieren möchte mit Matthias und Christoph kann das gerne tun im Diskussionsraum, den findet ihr unter discussion.rc3.oju.social. Und das war es von mir. Viel Spaß euch noch.