HP-Forscher zeigen Details des Browser-Darknet
Veiled zur anonymen und verschlüsselten Kommunikation kommt ohne Installation einer Client-Software aus und besteht nur aus HTML- und JavaScript-Code. Einen Tag vor der Präsentation konnte heise Security einen ersten Blick auf die Lösung werfen.
- Uli Ries
- Daniel Bachfeld
Einen Tag vor der offiziellen Präsentation auf der Sicherheitskonferenz Blackhat gewährten die HP-Forscher Billy Hoffman und Matt Wood heise Security einen ersten Blick auf ihre Browser-basierte Darknet-Software namens Veiled (engl. verschleiert). Solch ein Darknet ist ein virtuelles privates Netzwerk, in dem Anwender ohne Angst vor Ausspähung miteinander kommunizieren und Daten tauschen können.
Dabei bilden alle Systeme, die zu einem Zeitpunkt eine bestimmte URL geöffnet haben, ein gemeinsames Netz. In das kann man Daten einspeisen und dann auch wieder abrufen. Auf Client-Seite steckt die gesamte Intelligenz in ein wenig JavaScript-Code, der mit einem PHP-Skript auf dem Server kommuniziert. Dabei können die Clients ihre Nachrichten an einzelne Clients oder an alle per Multicast verschicken. Die Kommunikation zwischen den Clients wird per RSA verschlüsselt.
Um die Ausfallsicherheit zu erhöhen, kann man die PHP-Applikation auf mehrere Webserver verteilen. Beim ersten Aufruf teilt der ursprüngliche Server den Clients die übrigen Adressen mit, sodass sich der Browser im Falle eines Ausfalls an einen der Backup-Supernodes wenden kann.
Wie bei anderen Darknets auch gibt es keinen zentralen Speicherort für die unter den Darknet-Nutzern ausgetauschten Dateien. Vielmehr gibt jeder Anwender eine frei definierbare Menge an Plattenplatz frei, die Darknet-Software verteilt alle vorhandenen Files dann stückchenweise auf die verfügbaren Platten. Ein ähnliches Konzept will auch Opera in der kommenden Version seines Browsers mit Opera Unite implementieren.
Im Fall von Veiled steht der Plattenplatz indes nur so lange zur Verfügung, wie die Browser-Session andauert. Um Datenverluste durch Engpässe zu vermeiden, belegt Veiled automatisch nur einen Bruchteil des kumulierten Speicherplatzes.
Neben dem Datenaustausch beherrscht Veiled noch einen Gruppen- und einen Privatchat (jeweils AES-codiert), eine Web-in-Web-Funktion (HTML-Files, die auf im Darknet gespeicherte Files verweisen) und eine Distributed-Computing-Funktion (alle Clients arbeiten gemeinsam eine Aufgabe ab, wie zum Beispiel das Berechnen von Hash-Werten). Alle Funktionen sind vollständig in JavaScript implementiert.
Veiled kommt im Vergleich zu anderen Darknets wie Freenet oder Gnutella TOR ohne Installation einer Client-Software aus und besteht nur aus HTML- und JavaScript-Code, der komplett vom Browser abgearbeitet wird. Einzige Voraussetzung: Der Browser muss vollständig kompatibel zu HTML5 sein. Laut Hoffman läuft die Software daher problemlos unter Firefox und Safari (auch auf dem iPhone) und mit Einschränkungen sogar unter dem Internet Explorer 8. Kommt der IE zum Einsatz, fehlen allerdings Funktionen wie die gezielte Steuerung des lokalen Festplattenplatzes, der vom Darknet belegt werden kann. Googles Chrome soll erst in der kommenden Version 3.0 ebenfalls HTML5-tauglich sein.
Auf die Frage, warum sie eine weitere Darknet-Variante entwickelt haben, antworten Hoffman und Wood im Einklang: "Weil wir demonstrieren wollten, dass ein Browser nicht nur stupide Webseiten anzeigen kann. Außerdem sind wir davon überzeugt, dass Darknets wesentlich weiter verbreitet wären, wenn die Einstiegshürden wie Download, Installation und Konfiguration der Client-Software nicht existierten."
Hoffman weist zwar darauf hin, dass Darknets zumeist zum illegalen Datenaustausch genutzt werden. Er sieht dank Browser-Darknet aber auch die Chance, dass legale Anwendungen Verbreitung finden. So könne er sich eine Darknet-basierte Version der Whistleblower-Site Wikileaks vorstellen, die aufgrund des Aufbaus weniger anfällig gegen rechtliche Konsequenzen wäre als die klassische, auf Webservern aufbauende Version.
Hoffman und Wood wollen ihren Browser-Darknet-Prototyp jedoch nie veröffentlichen. Es soll weder eine kommerzielle, noch eine Open-Source-Variante geben. Letzterem stünden die HP-internen, länglichen Prozesse im Weg, meinte Hoffman gegenüber heise Security. Schließlich müssten etliche Fragen zum geistigen Eigentum gründlich geklärt werden. Die HP-Forscher wollen in ihrer demnächst von der Konferenzwebseite herunterladbaren Präsentation jedoch genügend Hinweise zu den jeweiligen von ihnen geschaffenen Problemlösungen geben, sodass andere Programmierer Veiled leicht nachbauen können.
Siehe dazu auch:
(Uli Ries) / (dab)
