Donnerstag, 27. März 2014

Ist Sharefest abmahnsicher?

"(1) A given IP address (P.D.'s) goes to the ShareFest site and sends an encrypted (verschlüsseltes) blob (Paket) of data which could be inferred (angenommen) to be sharing a new file.
(2) ShareFest sends back a blob of data that could be inferred to be the access key for the file. At this point the third party doesn't know the access key or anything about the file.

Now on some other channel ..., X gives you the access key, which looks like "http://www.sharefest.me/966af07a" .
[Das ist der Link, den ihr von mir bekommt.]

(3) Your IP tells ShareFest that you want to retrieve (erlangen) the file with that access key. Because this is an "http" instead of "https" url*, the third party now knows the access key too. (If it's examining packet contents.)
(4) ShareFest sends back an encrypted blob of data telling you
IPs to retrieve (erlangen) the file from.
(5) Encrypted channels open between your IP address and other IP addresses (possibly including X's -- depends how many people are sharing the file), and you receive a certain amount of data representing the file, possibly mixed in and indistinguishable from any incoming blobs of data for other files you're simultaneously downloading.


Once everyone stops sharing the file, the key becomes useless. So the way the system currently works, the only thing that is publicly exposed is that you are using the service, how much you are downloading, and -- when you retrieve a file -- what the file key is.

Incidentally, the only reason a third party could figure out the key, which is the main weakness of the system, is because ShareFest doesn't use SSL*. I wonder why not." Link

[*Sharefest nutzt jetzt https; der Einwand hat sich also erledigt]

Dass Sharefest abusesicher ist, leuchtet jedem ein. Da Sharefest dezentral aufgestellt ist, gibt es keinen Adressaten für eine Abusezustellung gibt. Insofern wandelt der Uploader in trockenen Tüchern.

Ob Sharefest von Abmahnanwälten gegen euch, die Downloader, genutzt werden kann -> Link ist eine andere Frage und zu wichtig, als dass wir sie übergehen sollten. Es kann aber auch nicht sein, dass jeder (i.e. auch ein anonymer Abuser, dessen Existenzgrundlage wegbricht) hier alles schreiben kann.

Ich denk mal, der obige Artikel hat es auch den Punkt gebracht: Wenn ihr Sharefest nutzt, gebt ihr in dem DataChannel nicht unterscheidbare Pakete weiter. Durchaus möglich, dass ihr fremde Urlaubsfotos weitergebt. Erst anhand des verschlüsselt übertragenen Access Key (= der Sharefest-Link) wird das richtige Datenpaket zusammengesetzt.

Es stimmt: Ein Abuser kann von außen (im Browser) feststellen, dass ihr (= eure IP) Sharefest nutzt und wieviel ihr herunterladet. Er kann aber nicht feststellen, was ihr im Ergebnis an Daten bekommt, da der Access Key verschlüsselt übertragen wird.

Fazit: Ein Abmahnanwalt kann eure IP wissen, er kann aber nicht wissen, was ihr downloadet!

[edit: Wer denkt, dass restliche Restrisiko sei ihm immer noch zu hoch, dem sei gesagt, dass das Risiko bei anderen Angeboten - z.B. auf eigenen Servern in der Ukraine - mit Sicherheit höher zu bewerten ist.

Ihr erinnert euch noch an den Hack bei Torboox ? Euer Glück, dass damals niemand Verwendung für die Daten der Downloader hatte ...]

13 Kommentare:

Anonym hat gesagt…

Sorry, aber dies ist mir nun doch zu riskant. Hole mir die Bücher lieber von XXX für 10 Cent das Stück und gehe kein Risiko ein.
Wurmt mich, aber das ist es mir wert.

Spiegelbest hat gesagt…

@Anonym [27. März 2014 15:50]

Solche XXX sind auch riskant. Nur ein bisschen bunter als Sharefest.

Ed hat gesagt…

Also ich werde davon gehörig die Finger lassen. Ob vielleicht schon oder vielleicht acuh nicht, das ist mir egal. Das "vielleicht" reicht mir schon um da nie irgendwie mitmachen/laden oder sonstwas werde.

Anonym hat gesagt…

Spiegelbest ist ein Synonym für Täuschung und Betrug, was der empfielt, dem ist nicht zu trauen, Wäre nicht das erste Mal, dass die User über den Tisch gezogen würden....

Anonym hat gesagt…

Sehe ich genau so - Finger weg !

Nucknuck hat gesagt…

Ich würde auch erstmal abwarten.
Sollte diese Variante nicht das halten was sie verspricht gibt es jede Menge IP-Adressen die zuortbar sind und die Vorratsdatenspeicherung soll ja nun kommen.
@anonym 28.03 08:50
Der/Die Person/en die hinter der Kunstfigur SB stehen sind sehr schnell von Neuem zu begeistern (Usenet gut nichts neues, Retroshare, Tor-Server hat grundsätzlich funktioniert, usw).
Was das über den Tisch ziehen betrifft ist das Ansichtssache, bei ebookspender zumindest scheinen die Zahlen von Spenden und Einkäufen sinnvoll zu korrelieren.
Angebote wie Torboox hatten auch vor SB oft nur geringe Lebenszeiten und das bei sowas nebenher Geld abgegriffen wurde (kann man ja nun als gesichert betrachten, kann SB gewesen sein muß aber nicht, ich glaubs eher nicht da die nötigen IT-Kenntnisse bei ihm/ihnen nicht so toll zu sein scheinen kann aber auch ganz raffinierte Verstellung sein :-)) ist in dem Breich auch nichts neues (gabs alles schon mal).
Im dunkelgrauen Bereich ist das halt so.
Hätte der Staat die Seite dicht gemacht, wären die bis dahin eingegangenen Beträge auch weg gewesen.
Kaum ein solches Projekt hat in der Vergangenheit das erste oder zweite Jahr überlebt.
Ich hatte damals für mich beschlossen (da die üblichen Symtome des Niedergangs erkennbar waren), erst zu verlängern wenn es TB auch noch März 2014 gibt.

N' Ex-Berliner hat gesagt…

Das Problem ist nicht das "Wo". Am Ende bleibt immer das Usenet, da gibt es alles was bei XXX & Co. auch gibt, aber eben auch nicht viel mehr (außer bei Hörbüchern).

Aktuell ist die Buchpiraterie praktisch tot (oder "untot?")!!!!!

Zu Zeiten dieses berühmten TB, waren wirklich viele e-Book-Titel aus ALLEN Genres zu kriegen. Für jeden was dabei und für jedè Stimmung. Heute kommt doch fast nur noch das Einfachste vom Einfachen. Der x-Band einer Hausfrauen-Vampir-Saga, der immer gleiche Serienkiller-Aufguss, unerotischer Erotikstuss und jede Menge Billigheimer vom Indieautoren-Ramschtisch (was nicht heißt, dass da nicht auch mal Perlen drunter sind oder daraus erwachsen könnten). Aber die Vielfalt ist weg! Alles, was nur ein bisschen über das moderne "Groschenheftchen im Taschenbuchformat" hinaus geht, kommt nicht mehr.

Ick' hab wirklich kenen hochtrabenden Geschmack, aber det' Zeugs ist selbst mich, auf die Dauer zu blöd ;-)

So brauchen sich die Verlage, die letztendlich die wirklichen Verkäufer der Titel sind (Buchhandel u. Onlinehandel ist immer nur Zwischenhandel), wirklich keine Sorgen zu machen. Die Buchpiraten sind abgesoffen. So sieht's doch aus.

Dat war jetzt zwar ein bisschen Off Topic, aber das ist doch das Kernproblem, meint ihr nich auch?

Anonym hat gesagt…

So, habe mir das mal ein wenig angesehen.
1. Die Behauptung von Sharefest nicht mit der Browser-Version des Torbrowser-Bundles laufen zu können, ist falsch. Richtig ist vielmehr, dass Sharefest eine sehr neugierige Applikation ist, die mit den Sicherheitseinstellungen des Torbrowsers nicht zurechtkommt. Wer "google-analytics" laufen lassen möchte, der ist eben mit einem abgeschotteten Browser nicht zufrieden.
2. Es ist relativ einfach, an die IP-Adresse des Downloaders zu gelangen. Dazu brauche ich nur einen Seeder lokal aufzubauen und dort die Adressen abzugreifen. Nicht für Abmahnanwälte geeignet, da illegal, aber ich würde trotzdem zur Vorsicht raten.
3. Wenn SB schon nicht die Finger von solchen Konstrukten lassen kann, dann folgender Ratschlag an die User:
- verschleiert Eure IP-Adresse beim Verbindungsaufbau
- dreht Flash auf Eurem Rechner den Kragen um, da diese Applikation trotz Proxy-Adresse nichts lieber tut, als die eigentliche IP-Adresse weiterzugeben
- verwendet geeignete Browser (z.B. geben Standardbrowser wie Safari, Chrome und Firefox über HTTP eine eindeutige ID weiter. Ich weiß, nicht jeder baut sich seinen Browser selbst, aber es gibt ja noch andere Optionen :-)
- knippst alle Cookies aus (eigentlich eine Selbstverständlichkeit, aber sie sollte hier wiederholt werden)
- und am Wichtigsten: informiert Euch, BEVOR Ihr sowas wie Sharefest verwendet.

Anonym hat gesagt…

Klingt wie 1:0 für LuL in der ersten Halbzeit...

Anonym hat gesagt…

Wem lul und co. zu langweilig ist sollte sich mal die Monatspakete von lesen.to ansehen. Das letzte war (zumindest für mich) richtig gut und mit knapp 2000 Bookz recht umfangreich.

Spiegelbest hat gesagt…

Na gut, ich hab die Sache dargestellt. Jeder, wie er will und denkt. Kein Problem damit. Ich hab aber auch keine Lust auf Abusebattles, das versteht ihr sicher. Das muss nicht sein, wenn es vernünftige Alternative gibt. Es wird von mir aber jetzt erstmal nur Sharefest geben. Wird auch sehr gut angenommen.

Wichtig ist ja, das es von allein läuft, weil die Verbreitung da ist. Und das ist der Fall.

Anonym hat gesagt…

alles wie immer bei spiegelbest

das risiko trägt der user ist doch klar -
was kann man auch von einem kroatischen Homosexuellen der auf der Suche nach einer Scheinehe (ähh
geht es um Aufenthalt oder Hartz IV?)
gemäss der Aussage einer gewissen

sara
25. März 2014 um 14:29 Uhr

erwarte umgehende Aufklärung!

Anonym hat gesagt…

ach so ja das ganze spielt sich hier ab

ars-sobiraj.de/e-book-piraten-beklauen-sich-gegenseitig/#comment-24652