Beta-Test für Tool zur Umgehung iranischer Zensur abgebrochen

Haystack war vor etwas über einem Jahr von Austin Heap stolz als die ultimative Waffe gegen iranische Zensur- und Überwachungsmethoden beworben worden. Angespornt durch die „Twitter-Revolution“ zur iranischen Wahl entwickelte er ein

neues Programm, das dem iranischen Volk ungefilterten Zugang zum Internet verschafft. […] Es nutzt eine ausgeklügelte mathematische Formel, um die tatsächlichen Internet-Zugriffe einer Person hinter einem kontinuierlichen Strom von scheinbar unverdächtigen Anfragen zu verstecken. Neben dieser Anonymisierung nutzt Haystack starke Kryptografie, so dass die Zugriffe des Nutzers selbst dann nicht entschlüsselt werden könnten, wenn sie entdeckt würden.

Haystack sollte also Anonymität und die Umgehung von Blockaden bieten, und die tatsächlichen Zugriffe des Nutzers wie eine Nadel im Heuhaufen (hence the name) untergehen lassen. Haystack wurde daraufhin in vielen Medien gehyped, auch wenn bis auf ein paar iranische Beta-Nutzer kaum jemand das Programm zu Augen bekam.

Jacob Appelbaum (tor, noisebridge, monochrom, wikileaks) twitterte am Freitag

Wer für Haystack arbeitet, soll mich bitte per Email kontaktieren. Es ist dringend und ich werde freundlich sein

Zuvor hatte schon Evgeny Morozov seine Zweifel an der Sicherheit des Tools geäußert. Heute kündigte Heap dann eine Unterbrechung des Tests an, bis der Code ausführlich von Dritten geprüft worden sei.

Details der Sicherheitslücke sind nicht bekannt. In der Twitter-Timeline von Appelbaum liest man aber:

Böse und ernsthafte Angelegenheit […] sorge mich um die Sicherheit der Iraner, die Haystack nutzen […] Ich kann gar nicht beschreiben, wie kaputt Haystack ist, das würde Menschen in Gefahr bringen

Insofern wollen wir mal nicht spekulieren (oder doch?). Es sei aber festgestellt, dass sicherheitsrelevante Software und Kryptografie denjenigen überlassen werden sollte, die sich damit auskennen. Tor, dessen Quellcode von jedem sicherheitsinteressierten Leser kontrolliert werden kann, bietet mit brigde relays übrigens ähnliche Dienste für zensur- und überwachungsgeplagte Bürger. Dabei scheint Tor momentan zumindest sicherer zu sein als Haystack – und basiert auf ein bisschen mehr als einer Hand voll ihr Leben riskierender Beta-Tester ohne großes Wissen über Krypto. Über den aktuellen Stand bei Tor hat Andreas Lehner vor kurzem im Netzpolitik-Podcast berichtet.

Abschließend bleibt nur zu hoffen, dass Jake Appelbaum bisher niemand zuvorgekommen ist.

9 Ergänzungen

  1. nach allem was ich so mitbekomme, machen die leute im iran das eh low-tech. irgendwer kennt immer irgendeinen cousin oder freund des neffen fünften grades, der einen vpn-server im ausland laufen hat, und alle teilen sich die kosten. cash. und wenn für den cousin dabei noch ein paar turnschuhe bei rausspringt, umso besser.

  2. @Ralf die haben öl und allah… da kann man auf solche kleinigkeiten wie die Internetzensur auch mal verzichten.

    apsopos haystack, habe gehört, da wurden schon paar iraner wegen abgeknallt. Tja… shit happens

  3. Ich bin nicht so der Sicherheitsexperte, aber:

    Wenn ich ein Programm nutze/beta-teste, das mir Anonymität und einen Schutz vor Entdeckung im Internet garantieren soll und ich höre dann, das das Programm sehr unsicher ist, würde ich dann wirklich jedem plötzlich auftauchenden Menschen einfach so (virtuell) gegenüber treten?

    Wenn der sicherheitsbewußte Herr Appelbaum wenigstens einen anonymen und sicheren Weg der Kontaktaufnahme beschrieben hätte. Aber wer meldet sich schon per Email (mit der Sicherheit einer Postkarte) auf einen Kommentar in twitter (mit der Sicherheit eines Aushangs am schwarzen Brett). Speziell, wenn er Angst um sein Leben hat oder haben muss???

  4. Wenn das System das nicht akzeptieren will, dann wird es immer Zensur dort geben. So eine Tool kann dort nicht funktionieren, so wie es auch nicht in China so was geben kann.

  5. @#3 Applebaum hat ja nicht nach Usern von Haystack gefragt, sondern Entwicklern. Die sind ja wohl zum größten Teil keine Iraner und nicht in Gefahr.

    1. @pascal: Oh stimmt. (War wohl zu früh am morgen, als ich das gelesen habe.)

      Das heißt er will „nur“ den Entwicklern auf den Zahn fühlen…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.