Öffentlichkeit

Beta-Test für Tool zur Umgehung iranischer Zensur abgebrochen

Haystack war vor etwas über einem Jahr von Austin Heap stolz als die ultimative Waffe gegen iranische Zensur- und Überwachungsmethoden beworben worden. Angespornt durch die „Twitter-Revolution“ zur iranischen Wahl entwickelte er ein

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

neues Programm, das dem iranischen Volk ungefilterten Zugang zum Internet verschafft. […] Es nutzt eine ausgeklügelte mathematische Formel, um die tatsächlichen Internet-Zugriffe einer Person hinter einem kontinuierlichen Strom von scheinbar unverdächtigen Anfragen zu verstecken. Neben dieser Anonymisierung nutzt Haystack starke Kryptografie, so dass die Zugriffe des Nutzers selbst dann nicht entschlüsselt werden könnten, wenn sie entdeckt würden.

Haystack sollte also Anonymität und die Umgehung von Blockaden bieten, und die tatsächlichen Zugriffe des Nutzers wie eine Nadel im Heuhaufen (hence the name) untergehen lassen. Haystack wurde daraufhin in vielen Medien gehyped, auch wenn bis auf ein paar iranische Beta-Nutzer kaum jemand das Programm zu Augen bekam.

Jacob Appelbaum (tor, noisebridge, monochrom, wikileaks) twitterte am Freitag

Wer für Haystack arbeitet, soll mich bitte per Email kontaktieren. Es ist dringend und ich werde freundlich sein

Zuvor hatte schon Evgeny Morozov seine Zweifel an der Sicherheit des Tools geäußert. Heute kündigte Heap dann eine Unterbrechung des Tests an, bis der Code ausführlich von Dritten geprüft worden sei.

Details der Sicherheitslücke sind nicht bekannt. In der Twitter-Timeline von Appelbaum liest man aber:

Böse und ernsthafte Angelegenheit […] sorge mich um die Sicherheit der Iraner, die Haystack nutzen […] Ich kann gar nicht beschreiben, wie kaputt Haystack ist, das würde Menschen in Gefahr bringen

Insofern wollen wir mal nicht spekulieren (oder doch?). Es sei aber festgestellt, dass sicherheitsrelevante Software und Kryptografie denjenigen überlassen werden sollte, die sich damit auskennen. Tor, dessen Quellcode von jedem sicherheitsinteressierten Leser kontrolliert werden kann, bietet mit brigde relays übrigens ähnliche Dienste für zensur- und überwachungsgeplagte Bürger. Dabei scheint Tor momentan zumindest sicherer zu sein als Haystack – und basiert auf ein bisschen mehr als einer Hand voll ihr Leben riskierender Beta-Tester ohne großes Wissen über Krypto. Über den aktuellen Stand bei Tor hat Andreas Lehner vor kurzem im Netzpolitik-Podcast berichtet.

Abschließend bleibt nur zu hoffen, dass Jake Appelbaum bisher niemand zuvorgekommen ist.

Weitersagen und Unterstützen. Danke!
9 Kommentare
  1. nach allem was ich so mitbekomme, machen die leute im iran das eh low-tech. irgendwer kennt immer irgendeinen cousin oder freund des neffen fünften grades, der einen vpn-server im ausland laufen hat, und alle teilen sich die kosten. cash. und wenn für den cousin dabei noch ein paar turnschuhe bei rausspringt, umso besser.

  2. @Ralf die haben öl und allah… da kann man auf solche kleinigkeiten wie die Internetzensur auch mal verzichten.

    apsopos haystack, habe gehört, da wurden schon paar iraner wegen abgeknallt. Tja… shit happens

  3. Ich bin nicht so der Sicherheitsexperte, aber:

    Wenn ich ein Programm nutze/beta-teste, das mir Anonymität und einen Schutz vor Entdeckung im Internet garantieren soll und ich höre dann, das das Programm sehr unsicher ist, würde ich dann wirklich jedem plötzlich auftauchenden Menschen einfach so (virtuell) gegenüber treten?

    Wenn der sicherheitsbewußte Herr Appelbaum wenigstens einen anonymen und sicheren Weg der Kontaktaufnahme beschrieben hätte. Aber wer meldet sich schon per Email (mit der Sicherheit einer Postkarte) auf einen Kommentar in twitter (mit der Sicherheit eines Aushangs am schwarzen Brett). Speziell, wenn er Angst um sein Leben hat oder haben muss???

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.