TOR und insbesondere der Onion-Pi Router sind gefährlich!

Spätestens nach #Prism will anscheinend jeder nur noch sicher und anonym im Internet surfen. Da klingt die Raspberry Pi Variante Onion-Pi, die TOR (the onion router) zu einem „Anonymity Online“ Accesspoint / Router macht, nahezu nach einer All-In-Wonder Waffe um alle Gefahren des Internet zu vergessen.

Die Beliebtheit ist groß, jeder berichtet derzeit über das Schnuckelchen. Doch es ist höchste Vorsicht geboten! Das Onion-Pi Kästchen kann schnell zur Schatulle der Pandora werden! Bei unsorglicher Benutzung kann TOR und gerade der Onion Pi nämlich zu einer echt fiesen Falle werden!

Kurz gesagt: Für 95% der User ist TOR und insbesondere der Onion-Pi Router eine ganz gefährliche Kiste!

TOR: Eine Falle mit extravaganten Leckerbissen

TOR wirbt mit dem Leckerbissen schlechthin: TOR Project – Anonymity Online. Die meisten Nutzer, die sich die Komplettpakete von TOR herunterladen und installieren, werden aber kaum von den Gefahren von TOR erfahren und so blindlings in fiese Fallen tappen.

Im TOR Netzwerk kann nämlich jeder einen EXIT-Knoten aufbauen und damit den gesamten Traffic komplett mitschneiden. Darin sind dann alle Passwörter, Formulardaten und Emails enthalten. HTTPS, SSL und PGP helfen zwar den gröbsten Unfug zu verhindern, doch Hand aus Herz: wie viele Internet Surfer wissen mit diesen Begriffen etwas anzufangen?

Und es kommt noch schlimmer! Eine Exit-Node kann gefälschte HTTPS-Zertifikate dem Nutzer präsentieren, um eine Man-in-the-middle Attacke auszuführen und somit auch den Inhalt von per HTTPS übertragenen Paketen auslesen zu können. [ Ubuntuusers ]

Selbst schuld wirst Du jetzt sagen? Auf Wikipedia wird berichtet, dass allein aus 4 modifizierten TOR Exit-Nodes 100 Postfächer von Botschafts- und Regierungsangehörigen unverschlüsselt abgegriffen werden konnten.

onion pi router gefahr

Der Onion-Pi Router ist eine vermeintliche Freikarte mit bösem Erwachen

Der Onion-Pi Router ist, wenn wir uns den vorherigen Kontext anschauen, eine ganz gefährliche Kiste! Warum? Ganz einfach. Er suggeriert unbedarften Usern eine anonyme und sichere Verbindung ins Internet und erweist sich bei sonst gleichem Nutzungsprofil des Internets als eine schlimmere und viel gefährlichere Alternative als sogar das Surfen ohne Virenschutz.

Der „normalo“ unter den Usern denkt bei Nutzung des Onion-Pi, er hätte eine Kiste, die ihn vor bösen Überraschungen im Internet schützt und gibt idR. Daten von sich preis, die anderen Zugriff auf die gesamte Identität des Users erlauben. Das sind alle Emails, die nicht mit OpenPGP verschlüsselt wurden. Alle Formulardaten, die nicht per SSL übertragen wurden. Passwörter, Nutzernamen, und und und….

Nur nochmal zur Verdeutlichung: Das normale POP3 Protokoll zum Empfangen von Emails unterstützt keine SSL Verschlüsselung. Wenn Ihr darauf Passwörter oder andere Zugänge zugesendet bekommt, die nicht per PGP verschlüsselt sind, könnte der Betreiber manipulierter Exit Nodes alles lesen und gegen euch verwenden. Die Sicherheit hat hier also nicht nur was mit der Privatssphäre zu tun!

ALSO: Wer nicht genau weiß was SSL, HTTPS, PGP oder Sicherheitszertifikate sind, sollte den Onion-Pi Router lieber nicht benutzen oder vor der Nutzung sich mit genannten Aspekten näher beschäftigen

8 Kommentare » Schreibe einen Kommentar

  1. Ich vergleiche das übrigens immer gern mit dem Straßenverkehr. Unfälle passieren, trotzdem dass wir alle die Regeln kennen (müssen).
    Jetzt stell Dir vor, die Verkehrsteilnehmer wären zu 70% Kinder, die die Regeln (noch) nicht kennen. Müssen die erst das schwere Lehrgeld zahlen und in einen Unfall verwickelt werden um zu lernen, was sie hätten lieber nicht tun sollen? NEIN! Unfallprävention MUSS VORHER geschehen!

  2. Danke für den Hinweis, hätte mir fast so ein Teil gekauft…

  3. Du kannst es immer noch tun. Du musst bloß Deine Surfgewohnheiten ändern, Deine Mails verschlüsselt versenden UND EMPFANGEN (SSL oder PGP) und Formulardaten auf Webseiten die HTTPS unterstützen eingeben.

  4. Naja…das Problem lässt sich auch einfach dadurch lösen, dass man eine feste exit-node benutzt, der man vertraut. Oder man richtet selber eine ein. Es ist wie immer 100% Sicherheit wird man im Netz nie erreichen.

  5. Hallo, bei meinem OnionPi sind/waren ab Werk nur schweizer Exit-Nodes erzwungen. Wenn es nur das ist (plus natürlich vorsichtiges Verhalten bez. Browser-Fingerprint,Cookies,Java und Flash) dann ist es gegenüber demTor-Bundle m.E. schon eine Vereinfschung und kein Grund das Gerät gleich zu verteufeln. Da ist die Überschrift etwas Effekthascherei… Ich find es lobenswert, dass mal ein Startup versucht (!) Security einfacher zu machen -statt nur HokusPokus zu reden… Wenn jeder gleichb totgeschrieben wird, wird sich kein Markt entwickeln.
    Viele Grüsse, Ralle

  6. Ich weiß etwas spät, aber es besteht die Möglichkeit ein Firefox addon namens https everywhere zu installieren. Damit erzwingt man wenigstens diesen Teil.

    Dann mit noscript unter Einstellungen-> eingebettete Objekte diese ganzen fiesen Dinge ausschalten.

    Das Problem ist nur dass ohne Java oder Flash viele Websites unbenutzbar werden.

    Ich dachte ich weiße mal darauf hin.

  7. es es nicht sicher solange https benutzt wird? was heute fast jede seite automatisch per redirect so „einstellt“, vorallem webmail anbieter.

    also bei man-in-the-middle angriffen würde ein halbwegs aktueller browser die adressbar rot färben..

  8. Hier geht um den 08/15 User, der vom Thema absolut keine Ahnung hat! Dem wird Sicherheit vermittelt, die bei Nichtbeachtung gewisser Regeln mehr Gefahren birgt als Sicherheiten.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.