Tor-Browser als sicherer Zweitbrowser
Hacker locken ihre Opfer auf präparierte Websites, um sie mit Browser-Exploits anzugreifen. Der Tor-Browser lädt solche problematischen Inhalte gar nicht erst.
Dieser Beitrag erschien erstmals in c't 17/2018 und wurde jetzt aktualisiert
Haufenweise JavaScript, nachzuladende Fonts und Videos – moderne Websites sind gespickt mit potenziell problematischen Inhalten. Schon eine Sicherheitslücke in einem Videocodec reicht aus, damit Angreifer Schadcode einschleusen können. E-Mails mit plausiblem Inhalt sind in Zeiten von Social Engineering eine beliebte Methode, die Opfer auf entsprechend präparierte Websites zu locken – der Browser lädt dann willig alle eingebetteten Inhalte herunter, Schadcode inklusive.
Mit dem Tor-Browser passiert das nicht: Hat man beim ersten Start einmalig die höchste Sicherheitsstufe eingestellt, lädt er nur noch HTML-Dateien, CSS und Bilder – JavaScript, Schriftarten, Videos und dynamische HTML5-Inhalte hingegen lässt er links liegen. Damit bietet er Angreifern eine deutlich kleinere Angriffsfläche als herkömmliche Browser und eignet sich gut, um unbekannte oder suspekte Websites in Augenschein zu nehmen.
Tor zur Welt
Den Tor-Browser gibt es auf https://torproject.org für Windows, macOS und Linux kostenlos zum Download. Anwender sollten ihn stets selbst installieren, damit die automatischen Updates des Browsers auch zuverlässig funktionieren und nicht etwa an mangelnden Rechten scheitern. So erhält man Sicherheitsaktualisierungen unmittelbar nach ihrer Veröffentlichung und muss nicht etwa warten, bis der Linux-Distributor die Änderungen in sein Paket-Repository übernommen hat.
Der Tor-Browser ist eine modifizierte und erweiterte Variante von Firefox ESR, der wiederum für den Unternehmenseinsatz gedacht ist. Die wichtigste Erweiterung ist der Tor-Daemon, der zusammen mit dem Browser installiert wird. Er arbeitet als Proxy für den Browser und sorgt dafür, dass der Datenverkehr mehrfach verschlüsselt über mindestens drei Knoten des Tor-Netzwerks durch alle Welt geleitet wird, bevor er am Ziel ankommt. So lässt sich praktisch nicht feststellen, woher eine Anfrage kam, man surft anonym. Außerdem eröffnet der Tor-Daemon den Weg ins Darknet, sodass man sogenannte Hidden Services mit der Domain .onion ansurfen kann.
Die wichtigste Sicherheitskomponente des Tor-Browsers ist das Plug-in NoScript, das bereits vorinstalliert, nach dem ersten Start aber nicht zu sehen ist. Sie sollten deshalb gleich die Wergzeugleiste anpassen und dort das NoScript-Symbol hinzufügen. Wie scharf NoScript filtert, hängt von der eingestellten Sicherheitsstufe des Browsers ab, die Sie über das Schutzschild-Symbol in der Werkzeugleiste anpassen können.
Mehr Infos zu den technischen Optionen des Darknet:
Sicherheitsstufen
Mit den Sicherheitsstufen haben die Tor-Entwickler eine komfortable Möglichkeit implementiert, die doch zahlreichen NoScript-Optionen auch für Laien handhabbar zu machen. In der höchsten Sicherheitsstufe sorgt NoScript dafür, dass weder JavaScript noch andere dynamische Inhalte automatisch geladen oder gar ausgeführt werden – nicht einmal Fonts. Das führt auf mit Weitblick gebauten Webseiten nur zu geringen Verfremdungen, etwa bei der Deutschen Bahn. Etliche Seitenbetreiber, insbesondere solche, die mit vielen Frameworks arbeiten, sind derart auf JavaScript angewiesen, dass ihre Seite mit scharfgeschaltetem NoScript unbedienbar sind.
Ohne JavaScript geht es dann nicht weiter. Sie sollten dann NoScript aber nicht einfach deaktivieren, sondern die Möglichkeit des Plug-ins nutzen, Skripte nur für einzelne Domains zu erlauben. So können Sie den Schutzschild nach und nach senken, bis Sie die gewünschte Funktionalität erreicht haben. Auf diese Weise bekommt man auch ein gutes Gefühl dafür, wie viele externe Inhalte manche Websites einbinden.
Blockierte Seiten
Andere Seiten kann der Tor-Browser bei höchster Sicherheitsstufe selbst dann nicht darstellen, wenn man JavaScript aktiviert. Mitunter sieht man den regulären Inhalt erst dann, wenn man die Sicherheitsstufe im Tor-Browser auf das Minimum reduziert.
Es gibt auch Websites, die Tor gezielt blockieren – darunter befinden sich viele Kunden von Cloudfront. Erkennt die über den Dienstleister ausgelieferten Websites einen Zugriff aus dem Tor-Netz, liefert sie meist lediglich den Fehler-Code 403. Außerdem kostet die mehrfache Umleitung der Verbindung über drei Tor-Knoten Zeit, und die Bandbreite ist je nach Datenaufkommen bei den einzelnen Nodes ziemlich beschränkt. Längere Ladezeiten sind deshalb keine Seltenheit, was gerade interaktive Websites stark ausbremsen kann.
Ihre Wege durchs Netz
Welchen Weg Ihre Daten durch das Tor-Netz nehmen, bekommen Sie durch einen Klick auf das Schloss-Symbol in der Adressleiste links neben der URL heraus: Dort zeigt der Tor-Browser die IP-Adressen und das Land der einzelnen Tor-Knoten an. Indem Sie auf den Menüeintrag „Neuen Kanal für diese Seite“ klicken, können Sie den Tor-Browser eine neue, möglicherweise schnellere Route zum Ziel suchen lassen. Verweigert die angesteuerte Website beharrlich den Zugriff über Tor, müssen Sie leider auf den herkömmlichen Firefox-Browser ausweichen. Aber auch dort hilft Ihnen das optionale NoScript-Plug-in, die Website wenigstens etwas im Zaum zu halten – auf die Anonymisierung müssen Sie allerdings verzichten.
(mid)
