Dansk it-firma ville hjælpe systemkritikere - fik tysk politi på nakken

Der er kun én exit-node per tor-rute: den sidste.

»Vi kan sende dem netflow-data, det vil sige samplede data om trafik til og fra den pågældende server,« forklarer Henrik Lund Kramshøj.

Strider det ikke imod hvad Tor netværket står for ? På https://www.torproject.org/ står følgende på forsiden:
"that helps you defend against a form of network surveillance that threatens personal freedom and privacy"

Personlig frihed er ikke det samme som at dække over kriminelle handlinger, så nej, det strider ikke imod hvad Tor står for imho.

"helps" er ikke det samme som "guarantees".

De der driver Tor netværket har ingen interesse i at bidrage til kriminalitet, så legitime forespørgsler fra myndigheder man stoler på skal selvfølgelig behandles derefter.

Yderst sympatisk træk af Solido at stille en Tor-server til rådighed for nettets anonymitetstrængende. Ikke mindst det arabiske forår og de mange menneskerettighedsforkæmpere rundt om i verden demonstrerer løbende behovet for at kunne deltage i informationssamfundet uden nødvendigvis at skulle brændemærkes for sine legitime holdninger.

Når det er sagt, så kan jeg ikke lade være med at studse over følgende passus i artiklen: "afpresningssagen fra Tyskland demonstrerer, at Tor-netværket trods de gode intentioner ikke kan sige sig fri for misbrug".

Med fare for at lyde lidt højstemt, så bliver eksempelvis motorveje, jernbaneskinner, færgeoverfarter og flyruter også løbende misbrugt til at transportere eks. ulovlige våben, narkotika og slavearbejdskraft. Det er der mig bekendt ikke nogen, der skriver artikelvinkler på baggrund af eller går hen og bliver kede af. Man betragter det vel snarere som et 'fact of life' og jeg har ikke hørt nogen fremsætte den påstand, at vejmyndighederne skulle have et ansvar for hvad der fragtes på deres veje. At nogen forfægter det synspunkt, at der skulle gælde andre vilkår for diverse net-infrastrukturer, er i mine øjne en af de væsentligste konflikter om magtforholdene i fremtidens digitale samfund, som alle med en holdning til digitalisering burde kunne engagere sig i.

Hvis man betragter dette som misbrug, så burde man efter min mening holde sig fra at drive den slags noder. Man kan ikke både blæse og have mel i munden, enten driver man et netværk der understøtter et legitimitetsbegreb eller også gør man ikke.

Dermed sagt, så mener jeg ikke at Tor som sådan er mere skadeligt end det kongelige danske postvæsen. Jeg ville dig gerne bare har en let mulighed for at vælge den slags trafik fra i min firewall.

Med fare for at lyde paranoid, det er vel ikke svært at opfinde en afpresningssag. Jeg har ikke den store mistanke til det tyske politi, men alligevel. Hvad hvis det var det kinesiske politi der efterforskede en afpresningssag?

... og så er vi tilbage til at definere hvad kriminalitet er. ... eller bliver imorgen, osv. Enten skal man have mulighed for at være anonym eller også skal man ikke. Så jeg mener i høj grad at de strider mod Tors filosofi ved at "hjælpe" det Tyske politi.

Hvilken skade gør Tor trafik dig? Om en request er fra Tor eller ej er vel ret ligegyldigt for dig - medmindre du insisterer på at ville kunne tilbageføre alle requests til din server til brugerens egen IP (hvormed du så også skulle være sur på NATede networks etc).

Ideen med et anonymiseringsnetværk, er netop at understøtte noget, som i nogen lande er kriminelt (f.eks. systemkritik, forbudte religioner, ...), ved at gøre det umuligt at spore trafikken til de respektive personer. At det så også er muligt at bruge det til at sløre en afpresningssag (noget vi her i landet betragter som kriminelt), er blot en del af designet.

En avis kan godt bringe et anonymt læserbrev.
Men de skriver som regel at personens identitet er redaktionen bekendt.
Vi har gud ske lov pressefrihed i Danmark.
Men kan udtalelser ikke være strafbare ?.
Hvad med bagvaskelse, afpresning o.l.
I et diktatur er grænserne meget anderledes. Og så kræver det hår på brystet at holde hånden over de systemkritikere, der i vore øjne er ligitime, selvom de ikke er det hjemme hos dem selv.
Så medierne påtager sig jo et vist moralsk ansvar for det de bringer.

At sammenligne veje og jernbaner med informationer holder ikke helt.
Vi lægger ikke med vilje sløringsnet ud til brug for hvem som helst, heriblandt kriminelle.

Jeg er enig i, at man ikke kan sammenligne færdsel i det offentlige rum (min samlebetegnelse for brug af veje, broer, tog m.v.) med færdsel på nettet. Sidstnævnte er nemlig gennem lovgivning og private aktørers initiativer blevet underlagt en hidtil uhørt grad af systematisk registrering og overvågning jævnfør eksempelvis logningsbekendtgørelsen, traffic shaping, deep packet inspection, sporings cookies/scripts, http-beacons og DNS-korrumpering, som hvis man skulle overføre det til færdsel i det offentlige rum ville svare til, at vi alle kørte med black boxes i vores biler, der sendte GPS-oplysninger for hver meter direkte til en server hos Rigspolitiet, Vejdirektoratet, vores forsikringsselskab og et dusin statistik- og mediebureauer, samtidig med, at vi blev overvåget og optaget dels af fartkameraer med automatisk ansigts- og nummerpladegenkendelse og dels af intelligente kameraer på de reklameskilte, der stod tæt langs vejene. Endelig ville man ved benyttelse af private fællesveje skulle køre ind til siden og acceptere, at alt indhold i ens bil blev gennemgået af Facebook/Grundejerforeningen med henblik på, at de kan sikre, at man ikke har fragtet noget på vejen, der kan opfattes som ulovlig aktivitet.

Sådan er det ikke i dag med god grund. Det er blevet sådan på nettet, fordi det er nemt at indføre, og fordi der er mange stærke aktører, som har en interesse i at opsamle viden om os og meget få og ikke særligt organiserede individer, der kan gennemskue det problematiske i, at det forholder sig sådan.

Nej man lægger ikke sløringsnet ud til gratis afbenyttelse i det offentlige rum, men til gengæld er der et vidt råderum og frihed for den enkelte til at vælge i hvilken grad, han/hun ønsker at stille sin identitet til skue i forbindelse med sin færden. Det er eksempelvis muligt at tage en hat på, bære skæg og blå briller, lade sig fragte i en taxa og betale kontant, køre som passager i en bil med tonede sideruder, cykle eller gå hvis man ikke ønsker at vise en nummerplade og køre til et andet land i bus eller tog, hvis man ikke ønsker at vise pas eller kreditkort i forbindelse med rejsen.

Jeg hører til blandt dem, der mener, at internettet bør tilbyde samme grad af individuel diskretion i forhold til hvor meget af sin identitet, man ønsker at stille til skue i forbindelse med sin færden på internettet og jeg mener, at teknologiske løsninger som Tor er en nødvendig del af individets frihed til selv at foretage denne graduering.

At kriminelle anvender den samme frihed til at foretage deres gerninger, bør efter min overbevisning ikke reducere min frihed til selv at vælge, hvor meget jeg ønsker at udstille.

Jeg er helt enig med flere her om, at TOR absolut (og på trods af de indbyggede begrænsninger) kan være et godt værktøj for også systemkritikere i lande med f.eks. væsentlige begrænsninger i ytringsfriheden. (Dette også uagtet det forhold, at det ikke er synderligt vanskeligt for myndigheder at scanne for TOR-bridges og derefter blokere for disses hosts.)

En detalje, som jeg noterede mig i artiklen, var det tyske politis direkte henvendelse til Solido Networks, og direktør Henrik Lund Kramshøj øjensynlige agerende i forhold til netop den tyske politimyndighed. Men kan Kramshøj over hovedet vurderet, om der er begået et kriminelt forhold (han har vel næppe aktindsigt)? Ved han, om der er strafværdighed i Danmark for præcis denne type forbrydelse, som tyske politi efterforsker? Hvordan forholder Kramshøj sig til en henvendelse fra politimyndigheder i f.eks. Vatikanstaten eller fra Rumænien - eller fra Saudi Arabien? Udleverer han også bare da samplede data om trafik til og fra den pågældende server? Eller er det noget, som Kramshøj føler sig godt nok klædt på til selv at kunne vurdere fra sag til sag? Og hvordan forholder Kramshøj sig til det faktum, at han også udleverer netflow-data på uskyldige/ikke mistænkte personer (i samme datamængde)?

Tysk politi burde vist have forelagt deres forespørgsel til dansk politi, som derefter ville kunne agere i forhold til Solido Networks (evt. med hjemmel i logningsreglerne) og under hensyntagen til dansk lovgivning.

Under alle omstændigheder demonstrerer dette jo også den ægte svaghed ved TOR, og det er uvisheden om, hvem der hoster exit-noden. (Jeg kan i øvrigt ikke se, at Solido Networks åbent har navngivet deres TOR exitnode ...)

Man kan også vende det om og spørger om Solido Networks på nogen måde er forpligtiget til ikke at offentliggøre information om hvordan deres exit-node benyttes?

Hvis Tor virker er det i hvert fald ikke en krænkelse af persondataloven. Jeg tror ikke man kan tale om at der er indgået en forpligtende aftale mellem Tor-brugeren og exit-noden. Straffelovens §263 finder næppe anvendelse da Solido ikke uberettiget har skaffet sig adgang til trafikken.

En mulig lovhjelm jeg har overset?

Ja, det er en rigtig vigtig pointe jeg synes der bliver overset i artiklen.

Logningsdirektivet kan så vidt jeg ved kun bruges i forbindelse med begrundet mistanke om terror.

Det smukke ved TOR er netop at Exit noden heller ikke ved hvis trafik den videresender. Som grafikken i artiklen viser får Exit noden trafikken fra en anden node som igen får den fra en tredje node osv. i en kæde af noder der hver især kun kender deres nabo-noder.
Med andre ord:
Entry noden kender afsenderen men ikke modtageren, og Exit noden kender modtageren men ikke afsenderen. Imellem Entry og Exit noderne er der et ukendt antal andre noder som gør det yderst yderst svært at finde frem til afsenderen når du kun kender modtageren og Exit noden. Hvis bare èn af noderne ikke gemmer deres logs eller nægter at udlevere dem så er det dead-end.

Jeg synes ikke det er særligt relevant om det er ulovligt eller ej.
Formålet med at køre en TOR node er at yde anonymitet. Hvis man giver alle sine logs til en 3. part man af gode grunde ikke kan stå til ansvar for, så ødelægger man formålet med at køre en TOR node til at begynde med.

Man kunne måske argumentere for at det var i orden at udlevere oplysninger udelukkende om den mistænkte person i tilfælde af grov kriminalitet mistænkt af en organisation som Solido Networks specifikt mener at de og deres kunder kan stole på.
Problemet er at det IKKE er muligt at filtrere data om den anklagede fra alle andre (eller i det mindste alle der sendte data til en bestemt modtager).

Det synes jeg gør at udlevering af logs fra en TOR node er moralsk forkasteligt i alle tilfælde jeg kan forstille mig.

Men kontrollerer den samme organisation både Entry og Exit nodes har du personens korrekte oplysninger, heldigvis er der mange nodes, men chancen er der.

Tor-nodes burde slet ikke have logs. Der går også historier om Tor-admins der kompromitterer folks profiler på forskellige sites da de gemmer POST-data fra deres node, og får ting i cleartext.

Sikke mange kommentarer og spørgsmål, jeg skal gøre mit bedste for at svare på allesammen, henad vejen - dagen idag er travlt optaget.

Jeg kan straks fortælle, vi tager abuse henvendelser seriøst uanset om de kommer fra Danmark eller udlandet, og uanset om det kommer fra en ISP, politi eller andre. Vi er the good guys på internet og vil gerne bevare det frie og åbne internet.

Mht. henvendelser angående personhenførbare data, så vil jeg også kræve mere end blot en tilfældig email fra politiet eller myndigheder - før jeg udleverer, men vi vil altid overholde dansk lov. I den pågældende sag har vi udelukkende fortalt at den pågældende IP er en TOR node - hvilket kan verificeres gennem TORs sider. (Man kan ikke blot lyve og sige man har haft en tor node).

Det er min forventning at politi i ind og udland vil stoppe videre undersøgelse når de støder på en TOR node - men de må hjertens gerne få et dump af maskinen, ligesom de må få vores tilgængelige samplede netflow data. NB: vi logger IKKE hver eneste session ind mod denne TOR node og det er derfor yderst tvivlsomt om de samplede data kan bruges til noget.

Til slut - brugere af TOR skal bestemt gøre andre ting end blot bruge TOR! Læs på torproject hvordan.

Håber det svarede nogle af spørgsmålene.

Hej Henrik,
Tak for svarene!
Når du skriver "samplede netflow data" hvad er det så helt præcist? TCP headere/pakker eller noget helt andet?

Hvorfor logger i i det hele taget noget af det data som går gennem jeres TOR node? (Udelukker ikke at der kan være gode grunde)

Samplingen er standard version 5 som det logges af Juniper Junos og vi har IKKE gjort noget for at undgå tor specifikt, men hmm det kunne da undersøges. Se mere på http://en.wikipedia.org/wiki/NetFlow angående netflow - evt. se også mine blogindlæg om netflow.

Den primære årsag til at det ikke specifikt filtreres fra er at det udelukkende sker på de linier som går ud eller ind fra vores netværk. Den sekundære årsag er at vi fra tid til anden oplever underlig traffik - og skal kunne fejlsøge på disse ting. Blandt andet er det kritisk for bekæmpelse af DDoS/DoS at man har en snabel i netværket før og under angreb - hvilket er grunden til at vi overhovedet logger noget.

NÅR vi har netflow opsamlet er det til gengæld binære filer og ekstremt effektivt, blandt andet er det simpelt at specificere hvad data der skal filtreres ud. Vi kan således formentlig undgå at udlevere mere data end højst nødvendigt - eksempelvis nfdump host 10.2.3.4 vil KUN give data til og fra denne IP.

I det konkrete tilfælde med TOR vil det således IKKE være alle netflow data til og fra tor serverens adresse, men formentlig fra tor serveren ud til en specifik adresse på internet. (Jeg kunne eksempelvis også se en use-case hvor nogen prøver at skyde skylden på os!, hvor jeg skal forsvare at vi IKKE har medvirket til ballade).

BTW angående adressen på serveren så anbefales det at gøre det tydeligt at det ER en TOR server - blandt andet i DNS og whois

sh-4.1$ host 94.126.178.1  
1.178.126.94.in-addr.arpa domain name pointer torrelay01.solidonetworks.com.  
sh-4.1$ host  torrelay01.solidonetworks.com  
torrelay01.solidonetworks.com has address 94.126.178.1  
   
inetnum:         94.126.178.0 - 94.126.178.7  
netname:         TOR-RELAY-01  
descr:           Tor Relay  
country:         DK  
admin-c:         SOL17-RIPE  
tech-c:          SOL18-RIPE  
remarks:         abuse should be sent to: abuse@solido.net  
status:          ASSIGNED PA

så skulle den del også være behandlet :-)

At sætte en tor node op er ikke det samme som at du skal bryde loven for at TOR skal virke.

Det er programmørerne af TOR softwarens ansvar at sikre systemmet, så det enkelte host ikke får problemer. Hvis TOR kun virker fordi de enkelte host bryder loven så er systemmet totalt spild af tid.

Har du så fået en tshirt? :)
https://www.torproject.org/getinvolved/tshirt.html

Det er KUN hvis du har en tor exit-node der er "risko" for at du kan bryde loven.

t-shirts er altid rart, men jeg er jo helt ny tor operator, lad os lige se det køre lidt længere ;-)

Jeg har prøvet at skrive lidt om mine tanker på min blog: http://www.version2.dk/blog/anonymitet-har-deltagere-46975

Og jeg er selvfølgelig fuldt klar over at det at kunne detektere trafik der har været igennem Tor ikke er en perfekt (eller bare endda rigtig god) heuristik for om folk i praksis anser sig for at være anonyme.