Sicheres Filesharing unter Freunden

    OneSwarm, ein Projekt der University of Washington zum sicheren Filesharing im Freundeskreis, könnte zum Totengräber der Contentindustrie werden.

    Peer-to-Peer-Netze wie eD2K, Gnutella und öffentliche BitTorrent-Tracker seien unsicher, tönt es latent paranoid aus Filesharing-Kreisen. Überall lauerten die Überwacher der Industrie und loggten fleißig IP-Adressen. Auch das Herunterladen von Warez über One-Click-Hoster wie Rapidshare kann nach jüngsten Meldungen nicht mehr als völlig sicher bezeichnet werden. Vom Communitygedanken, der laut Kritikerstimmen dabei längst verloren gegangen sei, ganz zu schweigen.


    Dass die Filesharer-Subkultur genügend Selbstheilungskräfte besitzt und denjenigen stets einen Schritt voraus ist, die die Szene zerstören wollen, beweisen die jüngsten technischen Entwicklungen. "Darknets" oder Friend-to-Friend (F2F)-Netze, also abgeschlossene Netzwerke, in denen nur Benutzer Daten tauschen, die sich gegenseitig vertrauen, sind im Kommen. Zugegeben: Darknets sind nichts Neues. Mit DirectConnect (DC++) hat es ein Vertreter dieser Filesharingtool-Gattung bereits zu einiger Bekanntheit gebracht und wird vor allem an US-amerikanischen Universitäten verwendet. Schwachpunkt von Direct Connect ist, dass ein solches Netz stets abhängig von einem zentralen Server (Hub) ist. Ferner existiert keine Verschlüsselung des Protokolls, so dass DC-Traffic sehr leicht aufgespürt und per Filterung unterbunden werden kann.

    Diverse Tools versuchen seit einiger Zeit mit verschiedenen Konzepten, die Lücke zu füllen, die Direct Connect hinterlässt. Neben privaten BitTorrent Trackern (in die zu gelangen nicht gerade trivial ist) gibt es etwa den "virtuellen" Webhoster Wuala (wir berichteten), das ebenfalls Server-basierte Windows-only-Tool ExoSee, das serverlose Alliance (dessen Entwicklung leider stagniert) und das an Funktionen überfrachtete RetroShare. Auch der kommerzielle und mit dem Image als Adware-Schleuder behaftete Gnutella-Client LimeWire hat seit kurzem Funktionen zum privaten Tausch von Dateien integriert. Das Firefox-AddOn AllPeers ist indes sang- und klanglos eingegangen.

    Zum jetzigen Zeitpunkt ist keines der Programme komplett bugfrei, auf allen Plattformen verfügbar, serverunabhängig, einfach zu bedienen und/oder quelloffen. Es fehlt schlicht an einer Killerapplikation, auf die sich ein Großteil der Webnutzer einigen kann und die dadurch eine "kritische Masse" hinsichtlich der Nutzerzahl erreicht. Immerhin, es gibt einen neuen Kandidaten für den F2F-Thron: OneSwarm.

    OneSwarm ist ein mittlerweile privat weiterentwickeltes Projekt, das seinen Ursprung an der University of Washington hatte. Es handelt sich um ein in Java geschriebenes Open Source-Programm, das für Windows XP und Vista, Mac OS X 10.4+ und Linux verfügbar ist. Es ist leider bis jetzt nur in englischer Sprache vorhanden. OneSwarm sticht dadurch hervor, dass es nicht nur direkte Datentransfers zwischen Benutzern zulässt, die sich gegenseitig als "Freunde" markiert haben (und Verzeichnisse auf der Festplatte freigegeben), sondern auch "indirekte" Transfers möglich sind.

    Ein Beispiel: Ich (Adam) suche über die programminterne Suchfunktion eine Datei "Urlaubsvideo.avi". Mein OneSwarm-Freund Bert besitzt diese Datei nicht, hat aber einen Freund Carl, der die Datei sein Eigen nennt. Carl und ich sind nicht befreundet. Die Datei wird trotzdem gefunden und der Transfer mit Bert als "Mittelsmann" durchgeführt. Carl weiß nicht genau, wer die Datei von ihm herunterlädt - ich (Adam) kenne hingegen die Identität des ursprünglichen Uploaders nicht. Dieses Prinzip wird in einem OneSwarm-Screencast genauer erklärt.

    Diese "Transferketten" können in der Praxis noch länger sein. Dadurch sinken zwar die Übertragungsgeschwindigkeiten insgesamt, mithilfe dieses Prinzips wird jedoch sicher gestellt, dass Filesharingaktivitäten nicht von den dubiosen "Kopfgeldjägern" der Contentindustrie in Augenschein genommen wird. Auch dürfte die geringere Transfergeschwindigkeit durch die im Mittel immer schneller werden Breitbandanschlüsse teilweise kompensiert werden. Zum Wesen des F2F-Filesharing gehört es freilich, dass man wirklich nur mit denjenigen tauscht, die man kennt. Die hier und da auftauchenden öffentlichen Tauschgruppen widersprechen diesem Prinzip - der neue Freund Mr. X mit der kompletten Beatles-Diskographie könnte zukünftig durchaus Herr Meier von der GVU mit seinem Honigtopf sein. Dafür, wem man wie weit vertraut, ist jeder selbst verantwortlich.

    OneSwarm besitzt eine aufgeräumte Programmoberfläche, die über ein Webinterface oder wahlweise eine (weniger komfortable) eigenständige GUI gesteuert wird. Die Datenübertragung findet SSL-verschlüsselt statt, Benutzer authentifizieren sich gegenseitig per X.509-Zertifikat. Im Programm sind sind ein klassischer Torrent-Client integriert, eine Vorschaufunktion, die Möglichkeit, herunterladende Musik und Videos zu streamen und einige weitere Kleinigkeiten. Auf Wunsch kann detailliert festgelegt werden, welcher Freund welche Dateien einsehen und herunterladen kann. OneSwarm kann auf Wunsch über das Webinterface auch remote gesteuert werden. Leider hat das Tool noch einen hohen Verbrauch an Systemressourcen (170 MB Speicherverbrauch unter Vista in unserem Test). Auch die Unterstützung für das UPnP-Protokoll zum Vermeiden der leidigen Router-Portfreigaben fehlt noch. Am größten Problem arbeiten die Programmierer jedoch momentan: Bis dato ist es nicht möglich, dass ein freigegebenes Verzeichnis die gesamte Verzeichnisstruktur bewahrt. Schenkt man den Programmierern Glauben, soll dieses Feature bis Mitte April integriert sein.

    Fazit: OneSwarm ist ein Programm mit viel Potential, das die Welt von F2F auch Anfängern zugänglich macht. Wenn die Programmierer konsequent daran weiterarbeiten, andere Sprachen integrieren, es zugänglicher machen und nicht mit unnötigen Features überfrachten, könnten wir es hier möglicherweise mit einem neuen Napster zu tun haben.

    gulli: OneSwarm: Sicheres Filesharing unter Freunden

    Hi

    Klingt vom Ansatz natürlich sehr interessant,es bleibt natürlich abzuwarten wie
    lange es dauert,bis der Dienst die kritische Masse erreicht,das ich auch die
    Daten finde die ich suche.Auch mit den Freunden den man Vertraut,ist das
    so eine Sache.Man weiß nie genau,wer das auf der anderen Seite der Leitung
    ist und man braucht kein Prophet zu sein,das auch versucht wird dieses Netz
    zu unterlaufen.

    Als alternative zu Torrent,Emule usw. ist es auf jeden Fall Interessant,
    bleibt zu hoffen,das viele User arrangieren.


    DonMartin.

    Naja das dc ++ nicht verschlüsselt ist stimmt nicht so ganz es gibt eine Reihe von Hubsoftware die mittlerweile auch ssl verschlüsselt ist und mit dem vertrauen bei filesharing ist es eh so eine Sache.

    Hi,
    also so einen schrott habe ich lange nicht gelesen. Gut die Quelle ist Gulli. Deren News drucke ich gern aus und nehme sie mit auf Klo.....
    Naja Schluss mit den Flüchen gegen den Heuchler-Verein.

    Wie immer ist nichts Sicher! Bei grün über die Straße gehen ist auch nicht sicher.
    Die Idee F2F als Ersatz für P2P ist schon total unüberlegt. Wo sollen den neue Files her bekommen? Hallo?!
    Carriers oder Groups werden sich bestimmt nicht in solche "sicheren" Netzwerke begeben. Zumal die Idee im groben auch da geklaut ist aber lassen wir das.

    Wenn ich jetzt so ein Netzwerk mit all meinen Freund mache ist das erstmal ne tolle Idee. OK das ganze kann ich ohne die miese Software auf OpenSource Basis auch selber machen, aber wer nicht kann, kann ja das Tool nutzen.
    Was soll man den in diesem F2F Netzen sharen das man seinen freunden nicht auch auf CD, USB, Stick etc geben kann? Was ist wenn alle alles haben? Alle meine Freunde haben nun all meine Musik und ich hab all Ihre Musik. Super meine Freunde freuen sich über das Backup.

    Wenn dann auch die freunde von freunden laden können ist das System schon an sich selbst gescheitert.
    Rechtlich gesehen hat der das Problem der das File anbietet. In dem Beispiel hat also Bernd das Problem. Schön für Carl, aber es können ja nicht alle wie Cars sein.

    Bittorrent ist auch nicht sicher, das ist jedem klar.
    Ich sage immer wer sucht der findet. Alles was man bei Google etc finden kann ist nicht "Underground" oder wie auch immer man es nennen will.

    Ich kennen Tracker von denen haben außenstehende noch nie etwas gehört. Geschweigende gesehen. Das könnte man theoretisch auch als F2F ansehen.
    Mit dem unterschied das sich die Files dort nicht durch 100 DSL Leitungen quetschen, sondern direkt von Server zu Server gehen.

    Einige sollten mal drüber nachdenken wie Warez eigentlich online kommt.
    So viel mag ich noch sagen: Die Releases werden nicht per P2P verbreitet. Das ist ein unbeliebte begleit Erscheinung.

    Ganz andere Leute haben schon vor JAHRZEHNTEN Netzwerke aufgebaut von deren Komplexität und Sicherheit selbst Firmen nur träumen können. Bis jetzt gelang ist immer nur einen ganz kleinen Teil davon auffliegen zu lassen. Das war oft auch durch Verrat begründet. Ein Insider der Singt lässt alles auffliegen, außer er kennt nicht das ganze. :)

    Schön OneSwarm OpenSource ist. Leider fehlen auf der Homepage die checksum für die Files. OpenSource ist eigentlich eine gute und sichere Sache. Jedoch bietet es Angreifern auch die Möglichkeit exploits zu finden. Gute Code würden dies inkl Update direkt melden. Die GVU sicherlich nicht.
    Mal abgesehen das sicherlich auch manipulierte Clients auf anderen Sites auftauchen.

    Zitat


    Im Programm sind ein klassischer Torrent-Client integriert, eine Vorschaufunktion, die Möglichkeit, herunterladende Musik und Videos zu streamen und einige weitere Kleinigkeiten. Auf Wunsch kann detailliert festgelegt werden, welcher Freund welche Dateien einsehen und herunterladen kann. OneSwarm kann auf Wunsch über das Webinterface auch remote gesteuert werden. Leider hat das Tool noch einen hohen Verbrauch an Systemressourcen (170 MB Speicherverbrauch unter Vista in unserem Test).

    Der "klassische" Bittorrent Client ist Azureus.
    Top Client. Erstellt nen eigenen Tracker, ist total buggy und Ressourcen fressend (weil Java). Natürlich ist Azureus nicht nur bei mir so beliebt. Nein auch einige Ceater halten Azureus für den besten Client. Einfacher kann man kam Cheaten.

    Ob Azureus der Grund war wieso das ganze Programm in Java geschrieben wurde weiß ich nicht. Kann auch sein das man Azureus übernommen hat weil man OneSwarm bereits in Java geschrieben hat. Das wieso ist eigentlich egal.
    In Java sollte man kleine Applikationen schreiben, die OS unabhängig laufen sollten.

    Da Java eine Laufzeitumgebung nutz ist es auch so performant. (Achtung schon wieder Ironisch gemeint)
    Dadurch gibt es einen weiteren Angriffspunkt. Eingeschleuster Code kann auch darauf ausbrechen etc.

    Wie man ein Programm so aufblähen kann weiß ich leider auch nicht.
    Wieso schon der Source Code fast 90MB hat ist mir auch noch unklar. Liegt vlt auch an den Azureus-Binarys die im Source nix zu suchen habe.

    Ohne das Programm installiert zu haben würde ich schon sagen das es mal wieder ein Client ist den keiner brauch.
    Ich werde es aber bei Gelegenheit mal in einer Virtuellen Maschine aufsetzten und genauer betrachten. Auf den Traffic bin ich sehr gespannt.

    Jetzt noch ein Punkt zum Thema Verschlüsselung:
    Ist euch bewusst die in diesem Bereich ermittel wird und beweise gesammelt werden?
    Eine Verschlüsselung wie SSL ist erstmal eine gute Sache! Leider kann man SSL und Co nicht für alles gebrauchen.
    Die klassische "man-in-the-middle-attack" kann man damit sehr gut abwehren. Eigentlich macht man es "Dem Mann in der Mitte" immer noch möglich den Traffic zu routen, aber er will in im Regelfall ja lesen, manipulieren etc.

    Wenn GVU und Co jedoch auf eurem public Tracker mitladen und den Traffic aufzeichnen hilte es nicht wenn Ihr der GVU die Daten Verschlüsselt schickt. Sie hängen an der Leitung. Eure und deren Client handel ja beim Verbindungsaufbau einen Key aus, meist nur für eine Session (hängt vom Client und Sys ab). Klasse, damit ist es dann fast ausgeschlossen das die Daten manipuliert wurden.

    Euer ISP wird euren P2P Traffic bestimmt nicht recorden. Die ham meist ganz andere Problem und auch kein Interesse an Überwachung (kostet Geld, bingt aber nix).
    Wenn euer ISP doch mal eure Line recordet, dann bestimmt nicht aus freien stücken. Er wird wahrscheinlich dazu gezwungen. Hat man Glück ist es z.b. vom Gericht angeordnet worden (mist ist kein Fall bekannt).
    Sollte z.b. die Bundesstelle für Fernmeldestatistik der Meinung seien sie möchten jetzt mal eine Statistik von eurem Traffic anlegen habt Ihr eh ganz andere Probleme.

    Bei Servern sieht es wieder etwas anders aus. Traffic kost die ISP zwar nix mehr, trotzdem achten Sie auf so Sachen wie: Leistung der Leitung, Erreichbarkeit etc. Damit verdient ein guter ISP auch sein Geld.
    Da wird gerne mal genauer hingeschaut. Macht eine Box extrem viel Traffic guckt man woran das liegt. Vlt greift die Box ja grade andere Netze an oder so. Kann auch vorkommen das einige Kunden Geschwindigkeitsprobleme haben.
    Dann sollte der Traffic nicht unverschlüsselt sein. Dann macht man sich nur unnötig unbeliebt und das möchte man ja vermeiden.
    Verschlüsselter Traffic kann alles und nichts sein. Grade wenn der Server einer Firma gehört oder angemietet wurde.

    Also verlasst euch nicht auf Verschlüsselung! Wer der Gruppe der Leute gehören die einen eigenen Server haben (nicht den gemietet mist) weiß das sicherlich eh alles schon. ;)

    Die gier einiger kann jedes System in den Abgrund reißen. Schon läd man nicht nur Freunde ein, denen man Vertraut, sondern Leute die man flüchtig vom Chaten kennt und die einem das Blaue vom Himmel versprechen. Entweder sind es Leecher die einfach auch nur an guten Stoff wollen, oder Ermittler, die eigentlich ja auch das gleiche sind... alles sehr paradox :D

    Ich weiß es ist ein sehr umfangreicher Beitrag. Jedoch finde ich es wichtig zu sagen was ich von sowas halte und auch entsprechende zu begründen.

    Einfach zu sagen: "Boar geil ey voll fett viel leechen und keiner kann mir was" ist extrem kurzsichtig. Genauso wie: "So nen mist, brauch doch kein schwein. Lade seit 25 Jahre mit dem Esel (bin also auch selber einer) und bin nie erwischt worden, boar bin ich 1337".

    Vergesst so Dienste wie Wuala für Warez. Da stört sowas wirklich und fördert nur die Entwicklung von Anti-Warez Scannern. Das ist nicht anderes als ein Online-RAID0.

    Zitat

    Wuala - Technologie
    Wuala verwendet den 128 Bit AES-Algorithmus für die Verschlüsselung und den 2048 Bit RSA-Algorithmus für die Authentifizierung


    Ganz unkommentiert kann ich das nicht lassen.
    Microsoft darf in den USA bzw auf System für den US-Markt (also US-Win) den Internet Explorer nur mit einer 128 AES Verschlüsselung anbieten. Macht euch mal selber Gedanken wieso.....
    Der AES Algo ist sicher, noch, vlt taucht morgen eine Mathematische-Lücke auf.
    Je kürzer der AES Key desdo schneller kann man ihn mit wenig Ressourcen "knacken", bzw erraten.

    So jetzt ist aber Schluss.
    Wer nicht meiner Meinung ist kann sich ja gern dazu äußern. :)
    Wo ich mich geirrt habe, bzw falsch liege, hab ich mich wohl geirrt. Lasse mich aber gern eines besseren belehren.

    Bleibt sauber!

    D3STY

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!

Benutzerkonto erstellen Anmelden