Ich habe letztens gelesen, dass die Piratenpartei Deutschland einen eigenen Jabber Server anbietet. Dieser ist aber nur per Clearnet Adresse erreichbar und ich dachte, ich schlag ihnen mal vor, den Server auch noch als Hidden Service anzubieten. Also hab ich mir ein paar Kontaktdaten rausgesucht und einen Verantwortlichen gefunden.
Das Gespräch verlief über Jabber und erstmal gab es keinen wirklichen Verantwortlichen für den Jabber Server, aber ich durfte ihm meinen Vorschlag darlegen. Nachdem ich ihm von den Vorteilen eines Hidden Services erzählt hatte (u.a. die Anonymität der User und dass man sich bzgl. der Verschlüsselung nicht auf irgendwelche CAs verlassen müsse) habe ich erstmal gemerkt, dass der Typ keine Ahnung hat, was ein Hidden Serivce ist. Sein erstes Gegenargument waren erstmal die Spammer, aber Tor ist viel zu langsam für Spammer und die benutzen sowieso alle ihre Botnetze dafür (außerdem mal ganz ehrlich: ich hab noch nie etwas von Spamm per Jabbernachricht gehört). Die Anonymität der User hat ihm wohl auch nicht so gepasst, denn
logging von userdaten wird bei uns aktiviert zum debugging oder bei strafrechtlich relevanz , und tor ist ein system aus dem definitiv mehr schaden entsteht als nutzen
Er meinte dann auch noch, dass um Tor sinnvoll zu nutzen, einige Ports (z.B. SSH) per Default geblockt werden müssen. Ich bin zwar kein professioneller Admin, aber in den paar Monaten, in denen mein Blog auf meinem eigenen Server waren, hatte ich nie Probleme wegen Bruteforce Attacken auf meinen SSH über Tor. Diese Attacken kommen alle von irgendwelchen infizierten Rechnern, aber Tor wäre für solche Angriffe viel zu langsam. Vor dem ausnutzen von Exploits kann man sich auch nicht schützen, da man dafür genauso gut einen VPN benutzen kann und seine Spuren danach wieder aus den Logs löscht. Aber die Probleme von Admins sind schon schlimm:
angst? neicht wirklich es nervt nur das die fail to ban log vollgespammt werden
Buhuhu die schönen fail2ban Logs.
Was außerdem noch interessant ist:
auf Bundesebene ist der Konsens das wir kein Tor betreiben
Mein Fazit: Ich bin wieder Nichtwähler. Soche inkompetenten Vollpfosten kann man nicht wählen und den Rest kann man eh vergessen. Aber was mich am meisten aufregt ist diese Heuchelei: Wir setzen uns für den Schutz der Privatsphäre ein. Denkste! Services die die Privatsphäre wirklich schützen würden bieten wir nicht an, und wenn Opa Staat oder Onkel Polizei vorbeikommt scheißen wir auf eure Privatspähre und verpfeifen euch.
It’s over and I’m out. (Ach ja: gibts die APPD noch?)