Früher habe ich auch mal Tor benutzt, ich habe auch die Entwicklung von JAP im Projekt AN.ON der TU Dresden von Anfang an mitverfolgt. Allerdings habe ich die Erkenntnis gewonnen, dass man von solch prominenten Diensten solange die Finger lassen sollte, wie sie nicht allgemeiner Standard sind. Nutzt man solche Dienste, muss man dem Betreiber voll und ganz vertrauen können. Und solange nur ein kleiner Teil der Internet-Nutzer diese Dienste nutzt, sind sie ein bevorzugtes Ziel von kriminellen und Behörden. Ganz nach dem Motto: Wer nichts zu verbergen hat, braucht ja auch keinen anonymen Proxy.Moldovan hat geschrieben:Ps: Tor ist nur was für leude mit gesundem Menschen verstand , die tor nicht zum Warlos Kagge bauen nutzen nachdem man sich volllaufen lassen hat !
Beim JAP Proxy wurde z.B. die Herausgabe des Protokolldatensatzes erzwungen. Zwar wurde später festgestellt, dass dieses Vorgehen rechtswidrig war, trotzdem sind die Verbindungsdaten allesamt beim BKA gelandet. Theoretisch hätten auch die Inhalte abgegriffen werden können.
Gleiches Problem bei Tor, davon abgesehen dass Tor einige Schwächen im grundlegenden Design hat sind die Nutzer immer wieder Ziel von Angriffen seitens den Behörden. Dabei werden fleißig Daten gesammelt, Kollateralschäden werden bewusst in Kauf genommen bzw. sogar erwartet. Anders als viele Leute denken ist der Aufwand um eine bestimmte Tor Verbindung anzugreifen gar nicht mal so hoch.
Ich spare mir daher diesen ganzen Aufwand, da der Sicherheitsgewinn eher fraglich ist, und benutze eine normale Transportverschlüsselte Verbindung zum Online Banking. Allerdings habe ich schon vor langer Zeit meine iTAN Liste gegen einen ChipTAN Reader getauscht. Das ChipTAN Verfahren ist soweit mir bekannt ist sicher, solange man genau prüft ob die vom Gerät angezeigten Daten mit der Transaktion überein stimmt. Anderenfalls kann auch das ChipTAN verfahren umgangen werden. Dies liegt aber, nicht wie im verlinkten Beitrag behauptet, am System selbst, sondern eher an der menschlichen Dummheit.
Dieser Beitrag vom RBB erinnert mich auch an das Geschrei bez. TrueCrypt, dass es angeblich nicht mehr sicher sei, weil sich mit einem im MBR eingenisteten Tool das Passwort der Pre-Boot Verschlüsselung auslesen lässt. Dabei wird halt übersehen, dass solche Programme grundsätzlich keinen Schutz vor physischen Angriffen auf den PC geben (siehe: BSI - Security Analysis of TrueCrypt (11/2015) - Abschnitt 7.4). Ein Angreifer könnte auch schlicht eine manipulierte Tastatur anschließen und dadurch das Passwort aufzeichnen (ein Problem welches ich auch bei elektronischen Tresorschlössern sehe). Wer kontrolliert schon jedes mal das innere seiner Tastatur auf evtl. Veränderungen?
