Tor Browser 11.0 wurde offiziell freigegeben und basiert auf Firefox ESR 91 und Tor 0.4.6.8. Die Enterprise-Variante von Firefox erhielt mit Version 91 das im Juni mit Firefox 89 eingeführte neue Proton-Design, das damit auch dem aktuellen Tor Browser 11.0 übergestülpt wurde.
Onion Services v2 eingestellt
Im Juli 2020 kündigten die Tor-Entwickler an, dass Ende 2021 die Einstellung von Onion Services v2 bevorstehe und nur noch Seiten auf der Basis von Onion Services v3 erreichbar sein werden. Bereits seit Tor Browser 10.5 erhalten Anwender eine Warnung, wenn sie Seiten betreten, die noch v2 nutzen. Mit dem Update auf Tor 0.4.6.8 ist es nun soweit und Onion Services v2 ist nicht mehr erreichbar. Es wird lediglich eine Fehlermeldung ausgegeben, die auf eine ungültige Seite hinweist, bis diese auf v3 aktualisiert wurde. Als Lesezeichen gespeicherte alte Adressen sind leicht durch ihre Länge von 16 Zeichen zu erkennen, während die neuen v3 Adressen mit 56 Zeichen viel länger sind.
Im Tor Blog sind alle behobenen Fehler sowie ein paar verbliebene bekannte Bugs aufgelistet. Tor Browser 11 steht auf der Projektseite und im Distribution Directory für Linux, macOS, Windows und Android zum Download bereit. Die anonymisierende Distribution Tails in Version 4.24 liefert Tor Browser 11.0 bereits aus.
Eine neue Seitenkanalattacke soll es Angreifern erlauben, Tracking per Fingerprinting im Browser auch dann zu erfolgreich zu betreiben, wenn die Verwendung von JavaScript untersagt ist. Das berichten Forscher der Cornell University, die dieses Angriffsszenario entwickelt haben. Der komplette Report ist als PDF verfügbar.
Viele Prozessoren anfällig
Anfällig für diese neue Tracking-Attacke sind die Hardware-Architekturen Intel Core, AMD Ryzen, Apple M1 sowie Samsung Exynos, die einen Großteil der heute verwendeten CPUs abdecken. Überraschenderweise kamen die Forscher zu dem Schluss, dass ihre Angriffe aufgrund der einfacheren Cache-Austauschrichtlinien auf den M1- und Exynos-Chips effektiver waren als auf den anderen Plattformen. Die Attacke ist ausschließlich auf HTML und CSS aufgebaut und ist somit nicht auf JavaScript angewiesen. Dabei sollen sogar Sicherheitsfunktionen wie VPN und das Tor-Netzwerk keinen absoluten Schutz bieten.
Kein JavaScript nötig
Die Forscher hatten zunächst versucht, die JavaScript-Funktionen zu identifizieren, die für die Durchführung eines solchen Cache-basierten Angriffs wesentlich sind. Dann entwickelten sie eine Reihe von Angriffen mit progressiv abnehmender Abhängigkeit von JavaScript-Funktionen, bis sie schließlich bei reinem HTML/CSS anlangten. Damit werden auch Maßnahmen der Browser-Hersteller wie die Verhinderung der exakten Zeitmessung, die bei JavaScript-basierten Seitenkanalattacken unerlässlich ist, obsolet.
Hauptsächlich mit Chrome getestet
Als Einschränkung erwähnen die Forscher, dass sie ihre Angriffe auf allen Plattformen hauptsächlich mit Googles Chrome Browser durchgeführt haben und die Verwendung anderer Browser vermutlich abweichende Ergebnisse zeigen würde. Die Prozessorhersteller sind von den Forschern über den neuen Angriffsvektor informiert worden. Die reale Gefahr dieser Entdeckung ist relativ gering, da solche Cache-Timing-Attacken in etwa den gleichen Schwierigkeitsgrad aufweisen wie die ebenfalls timing-sensitiven Spectre-Attacken auf Intel-CPUs. Für den Bereich des Home-Computings sind hier keine Angriffe zu erwarten.
Vor wenigen Tagen erschien Tor Browser erstmals in einer mobilen Version für Android. Da das Surfen im Internet immer mehr auf mobilen Plattformen stattfindet, schließt das Tor-Projekt hiermit eine Lücke. Das gilt um so mehr, als weite Teile des Planeten, wie etwa der indische Subkontinent, das Internet aus wirtschaftlichen Gründen fast ausschließlich auf Mobilgeräten nutzen können. Hinzu kommt, dass gerade das oft Länder sind, in denen Zensur und Repression herrschen.
Lücke geschlossen
Somit hat sich das Tor-Projekt bereits seit Jahren nach Möglichkeiten umgesehen, diesem unglücklichen Umstand Rechnung zu tragen. Zusammen mit dem Guardian-Projekt wurde 2017 aus dem »Google Summer of Code«-Projekt Orfox die erste Lösung für mobiles Surfen über das Tor-Netzwerk realisiert. Jetzt steht mit Tor Browser für Android die erste Alpha-Version eines nativen Tor Browsers in den Startlöchern.
Auf Augenhöhe
Tor Browser für Android ist nach Aussagen der Entwickler bei der Funktionalität auf Augenhöhe mit der Desktop-Version. Somit schützt auch die Android-Version vor Trackern, Fingerprinting und Überwachung. Zudem erleichtert er in Ländern, wo Zensur und Repression herrschen, die Nutzung des Internets ohne direkte Gefährdung der eigenen Person.
2019 stabil
Mit einer ersten stabilen Version wird früh im nächsten Jahr gerechnet, woraufhin Orfox eingestellt werden soll. Derzeit muss zum Betrieb von Tor Browser für Android noch zusätzlich Orbot installiert werden. Dabei handelt es sich um eine Proxy-Anwendung, die Tor Browser für Android mit dem Tor-Netzwerk verbindet. Bis zur stabilen Version soll Orbot jedoch nicht mehr benötigt werden. Die Anwendung wird aber im Gegensatz zu Orfox nicht eingestellt, da sie auch dazu dient weitere Apps mit dem Tor-Netzwerk zu koppeln.
Ob eine Version von Tor Browser für iOS in Planung oder Entwicklung ist, bleibt offen, die Entwickler empfehlen derzeit dafür den Onion Browser. Tor Browser für Android kann von Google Play oder direkt als AKP installiert werden. Ein Paket für FDroid ist geplant. Orbot steht auf Google Play, FDroid oder ebenfalls als APK zur Verfügung.
Die Distribution Tails und der Tor-Browser sind beide auf den Schutz der Privatsphäre ausgelegt und haben in dieser Woche jeweils eine wichtige Aktualisierung erhalten. Tails steht für »The Amnesic Incognito Live System« und bedient sich zur Anonymisierung des Tor-Netzwerks, durch dessen Knotenrechner der Netzwerkverkehr geleitet wird. Es ist als Live-System für die Verwendung auf USB-Sticks oder DVDs ausgelegt und spezialisiert sich auf Anonymität und die Wahrung der Privatsphäre seiner Anwender. Edward Snowden verwendet und empfiehlt es noch heute.
VeraCrypt integriert
Die Neuauflage Tails 3.9 bringt hauptsächlich eine neue Version des Tor-Browsers, der auf 8.0 aktualisiert wurde und die Integration der Verschlüsselungssoftware VeraCrypt, einem Fork von TrueCrypt. Tails 3.9 kann Veracrypt-Volumes erkennen, entsperren und auf die Daten zuzugreifen. Der Umgang mit VeraCrypt-Volumes in Tails wird auf einer gesonderten Webseite erläutert.
Tails hat damit die Integration von VeraCrypt in die GNOME-Applikationen Files und Disks bereits vorweggenommen, die später in Fedora 29, Debian 10 »Buster« und Ubuntu 18.10 »Cosmic Cuttlefish« verfügbar sein wird.
Zusätzliche Software
In einem Live-System wie Tails ist es immer mühsam, zusätzliche Software zu installieren. Die Tails-Macher haben nach eigenem Bekunden über ein Jahr daran gearbeitet, dies zu vereinfachen. Sie haben ein System entwickelt, bei dem ein einmal manuell installiertes Debian-Paket bei jedem Neustart der Distribution automatisch wieder installiert wird.
Neben der Aktualisierung auf Kernel 4.17 wurden auch die aktuellen Micro-Codes für Intel und AMD integriert sowie Thunderbird zum Standard für RSS- und Atom-Feeds gemacht. Alle weiteren Änderungen sind im Changelog nachzulesen. Bestehende Installationen können aktualisiert werden, Neueinsteiger greifen auf die Images auf der Projektseite zurück.
Tails und Tor-Browser
Der mit Tails ausgelieferte Tor-Browser, der wie immer auf Firefox basiert, ist der Standard-Browser bei Tails. Dieser erfuhr in der vergangenen Woche ebenfalls ein großes Update auf Version 8.0. Tor-Browser hinkt immer etwas hinter Firefox her, da das Team die jeweiligen Neuerungen zunächst testen muss. Die neue Version 8.0 tut hier einen großen Sprung, basiert sie doch auf Firefox ESR 60 und bringt damit auch alle Änderungen von Firefox Quantum 57 mit.
Damit geht eine erhöhte Geschwindigkeit, die Umstellung auf die aktuelle Photon-Oberfläche sowie die Übernahme der Multi-Prozess-Architektur und der WebExtensions-APIs für Erweiterungen einher. Tor-Browser 8.0 kommt aktualisiert mit Tor 0.3.3.9, Torbutton 2.0.6, OpenSSL 1.0.2, Libevent 2.1.8, HTTPS Everywhere 2018.8.22 und NoScript 10.1.9.1.
Einstieg erleichtert
Die neue Landing-Page wurde dem Stil von Tor-Browser besser angepasst, die vereinfachte Onboarding-Seite soll Neuanwendern helfen, den Einstieg in Tor-Browser zu finden. Zudem wurde das Bridge-Fetching wesentlich vereinfacht. Anstatt einer E-Mail wird nun ein Captcha eingesetzt, um eine neue Bridge-IP zu vergeben. Diese IPs werden in Umgebungen benötigt, wo Tor-Browser geblockt wird.
Der Browser kann von der Projektwebseite heruntergeladen werden. Auch hier finden sich alle Änderungen im Changelog wieder.
