Anti-Zensur-Projekt Haystack wegen kritischer Fehler gestoppt [Update]
Eine Sicherheitsanalyse soll erhebliche Schwachstellen offenbart haben. Statt der erhofften Nadel im Heuhaufen sind Anwender der Anti-Zensur-Software Haystack wohl doch eher die Kerze im Nebel.
- Daniel Bachfeld
"Good Luck Finding That Needle"? Glück hat Haystack derzeit nicht, eher kochen die Gemüter hoch: Statt der erhofften Nadel im Heuhaufen sind Anwender der Anti-Zensur-Software Haystack wohl doch eher die Kerze im Nebel. Haystack soll iranischen Oppositionellen einen unzensierten Zugriff auf das Internet ermöglichen. Die iranische Regierung blockiert bestimmte Webseiten, wie Facebook, Twitter und News-Seiten. Haystack soll die Filter austricksen, indem es Daten verschlüsselt und in andere, unverdächtige Verbindungen einbettet – ein Proxy außerhalb des Irans soll die Daten dann wieder an die richtigen Webseite weiterleiten und umgekehrt.
Aufgrund schwerwiegender Fehler wurde das Projekt nun aber vorerst gestoppt, und Anwendern wird geraten, die Software nicht weiter einzusetzen. Genauere Details gibt es derzeit nicht, offenbar kommt man Haystack-Anwendern aber doch leichter auf die Schliche, als es der Initiator des Projekts Austin Heap glauben machen wollte.
Die Fehler sind während einer unabhängigen Sicherheitsanalyse durch den Sicherheitsspezialisten Jacob Appelbaum zu Tage getreten. Laut Appelbaum sei Haystack die schlechteste Software, die er jemals untersucht habe. Er stuft die Software sogar als Scharlatanerie ein. Der Einsatz der noch in der Testphase befindlichen Software gefährde Anwender.
So weit wollen andere mit ihrer Einschätzung nicht gehen: Die Electronic Frontier Foundation rät aber ebenfalls vom weiteren Einsatz der Software ab. Um das Risiko für iranische Test-Anwender nicht weiter zu erhöhen, will Appelbaum vorerst keine Details zu den Problemen veröffentlichen.
[Update]: Aufgrund der Vorwürfe ist der Hauptentwickler von Haystack und Mitgründer des Censorship Research Center (CRC), Daniel Colascione, zurückgetreten. Er bedauere, dass er nicht mehr mit gutem Gewissen für das CRC stehen könne, schreibt Colascione in einer Mail an Projektmitglieder und Analysten. Er bedaure, dass das CRC nicht transparent gearbeitet habe und Anwender in die Irre geführt worden seien. Allerdings sei das Tool auch noch nicht für den produktiven Einsatz gedacht gewesen. (dab)
