DNS Leak im Tor Browser Bundle

[Thomas]

Im Tor Browser Bundle war ein DNS Leak vorhanden. Dieser ist - so zumindest die Meldung im Blog - geschlossen. Das ist allerdings nicht korrekt. Ich habe mir gerade das Bundle gedownloadet und die entsprechende Option im FF ist nach wie vor vorhanden, was ein ganz schön dickes Ding íst!

Behoben wird das Leak folgendermaßen:

Tor Browser starten --> "about:config" in URL Leiste eingeben (ohne " ") -->newtork.websocket.enabled "true" --> Dort einen Doppelklick, sodass "False" der Wert ist. Damit ist das Leak geschlossen.

 

[xa.fr]

Die Meldung ist vom Mai 2012!

Man sollte sowieso nachdenken, ob man nicht für die Internetverbindungen "eigene" DNS-Server verwendet, da auch bei VPN Verbindungen diese Leaks nicht allzu selten sind.
DNS-Anbieter gibt es ja genug, z.B.:
http://www.privacyfoundation.ch/de/service/server.html

 

[Thomas]

Ja, umso schlimmer, dass der Bug noch immer nicht gefixt wurde - ich verstehe das gar nicht...

Ja, aber kann man sicher sein, dass die Schweizer DNS Server nicht loggen?

 

[Trolling Stone]

Was passiert denn bei diesem Leak?

 

[Thomas]

Die DNS Abfrage erfolgt nicht über das Tor Netzwerk, sondern "normal" - sodass in der Theorie festgestellt werden kann, welche Seiten man angesurft hat.

 

[accC]

Was natürlich nur semi-korrekt ist.
Ein DNS Request ist nichts anderes als die Frage "Welche IP steckt hinter der Domain xyz".
Das heißt noch lange nicht, dass man diese Seite tatsächlich besucht hat. Diese Requests finden nämlich bei ziemlich vielen Aktionen, wie ping, Emailversand uvm statt. DNS-Abfragen müssen bei (fast) jeder Client-Server-Kommunikation zu Grunde liegen (Ausnahme ist, wenn du direkt die IP des Servers kennst). Dass eine spätere Kommunikation überhaupt stattfindet oder sogar ein HTTP-Zugriff sein wird, ist allerdings eine utopische Annahme.

Wenn du nach der Bankleitzahl für "Deutsche Bank, 10883 Berlin" fragst und die Auskunft "10070000" bekommst, kann ein Dritter wohl auch nicht annehmen, dass du auf ein dortiges Konto Geld überweisen möchtest. Vielleicht hast du selbst ein Konto dort und wolltest nachschauen, welche Bankleitzahl du hast, weil du deine Karte nicht zur Hand hast, oder du wolltest rein aus Interesse diese Bankleitzahl wissen oder oder..

 

[p3Eq]

Damit hast du zwar Recht, accC, doch auch wenn es nicht beweiskräftig sein mag, kann man damit sehr wohl Leute identifizieren. Im Bereich der IT-Sicherheit ist es anscheinend momentan Mode, immer das Beispiel der NSA zu wählen, also schließe ich mich einfach mal an: Angenommen, die NSA hat Zugriff auf Logs von DNS-Servern und möchte bestimmte Personen anhand der besuchten Seiten identifizieren, dann gucken die, von welcher IP die DNS-Anfragen für entsprechende Seiten kamen und wenn die Ergebnismenge ausreichend klein ist und ggf. sowieso schon ein Verdacht besteht, dann wird einfach angenommen, dass diese beiden Identitäten zusammengehören. Wenn man "nur" ein paar Seiten hackt, Kreditkartenbetrug ausübt oder Ähnliches, ist das sicherlich zu vernachlässigen, denn in diesem Fall kommt man in der Tat vor ein anständiges Gericht. Sobald aber die NSA "Bedenken bezüglich der nationalen Sicherheit" hat, gibt es kein Gericht, sondern Waterboarding, sobald du einen Fuß in das Land setzt. Da ist die Beweiskraft auch egal und deshalb gilt es, die DNS-Anfragen ebenfalls zu schützen.