Worum es geht brauche ich wohl nicht erklären, tagtäglich werden neue Snowden-Dokumente veröffentlicht, die von einer massiven Überwachung von Verbindungsdaten und -inhalten von Internetnutzern durch die amerikanischen, englischen und wohl auch deutschen Geheimdienste berichten. Einige werden sich Fragen wie und ob man selber handeln sollte und was man tun kann.
Ich habe mich in den letzten Wochen immer wieder mal in verschiedene Themen eingelesen und etwas rumprobiert. Ich würde gerne, wenn Bedarf besteht zu gewünschten Themen Tutorials veröffentlichen bzw. allgemein hier informieren (so gut ich kann), was sinnvoll ist und was nicht.
Fangen wir mal am Anfang an:
Festplattenverschlüsselung - Einfach und extrem sicher realisierbar mit TrueCrypt. Aber: HDD-Verschlüsselung schießt am Ziel vorbei: Gibt man das Passwort ein werden alle Daten die Programme anfordern On-the-Fly entschlüsselt, auch wenn es ein Trojaner ist. SOLLTE eine Geheimdienst irgendwann direkten Zugriff auf den Rechner erhalten, so sind alle Daten lesbar sobald man den Rechner anschaltet und sich anmeldet. Man könnte natürlich ein Datengrab einrichten auf welches man nur zugreift wenn man kein Internet hat o.Ä. aber ob jemand den Aufwand auf sich nehmen will bezweifel ich
TrueCrypt wendet sich vor Allem an Menschen die in undemokratisch(eren 
) Ländern leben und eine Verhaftung befürchten müssen und deren Festplatteninhalte ihnen Probleme bereiten können.
Mailverschlüsselung - Da fällt wohl PGP/GPG und S-MIME ein. Zwei Verschlüsselungsmethoden, beide sicher, aber auch das schießt ein wenig am Ziel vorbei: Die Inhalte sind verschlüsselt, aber Header-Daten nicht. Mit wem man wann und wie oft kommuniziert lässt sich weiterhin problemlos mitspeichern. Wenn man Firmengeheimnisse zu bewahren hat lohnt sich das schon eher. S-MIME wird von Thunderbird von Haus aus unterstützt, GPG nicht, lässt sich jedoch mit einem Addon nachrüsten. Hier kommt aber der zweite Knackpunkt: Das Plugin reicht nicht, man braucht zudem die GPG-Engine. Für Windows wäre das Gpg4Win, das ist allerdings vorkompiliert und Gpg4Win hat mal eine sehr großzügige Spende vom BSI erhalten... Da muss jeder selber entscheiden ob er dem Braten traut. Unter Linux kann man wahrscheinlich GPG selber kompilieren, probiert habe ich das bisher aber nicht. Zudem muss der Empfänger ebenfalls GPG benutzen um die Mails lesen zu können.
Anonym surfen - Die einfachste Methode ist ein Proxy, Listen gibt es im Netz. Richtig sicher ist das allerdings nicht und vorallem sind die meisten Proxys nach einigen Tagen wieder verschwunden und man muss einen neuen suchen.
Der nächste Weg wäre Tor. Tor ist ein Netzwerk von Proxys, die Software wird installiert und man richtet einen Port am eigenen Rechner als Browserproxy ein. Die Anfragen gehen dann verschlüsselt über mehrere Proxys hintereinander die über die ganze Welt verteilt sind. Der Datenverkehr wird also viele Male umgeleitet und gelangt gelangt dann zu einem speziellen Proxy der als so genannter Exit-Knoten fungiert. Von dort wird die gewünschte Seite abgerufen und dann über das Proxynetz zurück zum eigenen Rechner geliefert.
Vorteile:
- Es ist schon ein großer Schritt in Richtung Anonymität
- Es funktioniert ziemlich zuverlässig
Nachteile:
- Durch die Umleitungen surft es sich nicht mehr so schnell
- Es gibt viele Knoten (momentan sind fast 4500 online), aber nur wenig Exit-Knoten. Das liegt daran das der Betrieb eines solchen nicht ungefährlich ist. Wenn ein Tor-Nutzer z.B. illegal Musik runterlädt, dann ist der Exit-Knoten-Betreiber der Dumme und muss evtl. blechen.
- Der auf dem Rechner Exit-Knoten-Betreibers wird der Traffic (wohl oder übel um ins Netz zu gelangen) entschlüsselt. Ich rate dringenst davon ab sich per Tor Seiten auf einer Seite einzuloggen oder gar Online Banking zu betreiben oder mit Kreditkarte (bzw. überhaupt) etwas zu bestellen! Ist der Betreiber des Exit-Knoten nicht sauber dürfte das Konto schnell leer sein. SSL hat auch Lücken...
Zum einfachen rumsurfen/googlen ist Tor aber wohl ausreichend und in Ordnung. Und wohl auch den Geheimdiensten ein Dorn im Auge: Eine Sicherheits-Lücke in einer alten Firefox-Version die mit dem Tor Browser Bundle (enthält einen vorkonfigurierten FF) wurde genutzt um Schadcode einzuschleusen, jedoch keine übliche Schadsoftware. Der Code versuchte den Tor-Nutzer trotz Tor eindeutig zu identifizieren. Alles deutet darauf hin, dass die Schadsoftware vom FBI stammt. Deswegen empfehle ich lieber einen aktuellen FF zu nutzen, statt dem enthaltenen.
Eine weitere, jedoch auch drastischere Maßnahme um seinen Traffic zu schützen: Nicht mehr surfen. Zumindest nicht im normalen Internet. Es gibt zwei Projekte, I2P und Freenet, die dem Internet einen neuen "Layer" hinzufügen. Die I2P Software bzw Freenet Software wird gestartet und man richtet einen Proxy im Browser ein. Man kann nun auf zusätzliche Internetseiten zugreifen, nämlich I2P Internetseiten und Freenet Internetseiten. Diese sind komplett verschlüsselt über die Teilnehmerrechner verteilt gespeichert. Jeder kann sich eine oder mehrere Seiten einrichten, man bleibt vollkommen anonym. I2P und Freenet bieten neben HTTP auch Mail und Filesharing/Newsgroup-Protokolle.
Vorteil: Nichts wird irgendwo unverschlüsselt gespeichert oder übertragen, komplett dezentral
Nachteil: Es gibt nur wenige Webseiten, Ziel beider Dienste ist es ein paralleles, anonymes Internet aufzubauen, wer diese Idee Unterstützt sollte selber aktiv werden und Webseiten befüllen.
Verschlüsselt chatten - Hierfür kann man, wenn man auf XMPP umsteigt oder eh schon nutzt, auch GPG nutzen. Wäre also definitiv einen Blick wert wenn man eh schon GPG für seine Mails nutzt.
Ja, das wars vorerst. Wenn sich jemand für ein Tutorial oder mehr Details zu einem der Themen interessiert werde ich das demnächst mal machen
Hat sonst noch jemand Ideen oder Tipps? Nutzt jemand eines oder mehrere der Programme oder ein anderes?
Ich habe mich in den letzten Wochen immer wieder mal in verschiedene Themen eingelesen und etwas rumprobiert. Ich würde gerne, wenn Bedarf besteht zu gewünschten Themen Tutorials veröffentlichen bzw. allgemein hier informieren (so gut ich kann), was sinnvoll ist und was nicht.
Fangen wir mal am Anfang an:
Festplattenverschlüsselung - Einfach und extrem sicher realisierbar mit TrueCrypt. Aber: HDD-Verschlüsselung schießt am Ziel vorbei: Gibt man das Passwort ein werden alle Daten die Programme anfordern On-the-Fly entschlüsselt, auch wenn es ein Trojaner ist. SOLLTE eine Geheimdienst irgendwann direkten Zugriff auf den Rechner erhalten, so sind alle Daten lesbar sobald man den Rechner anschaltet und sich anmeldet. Man könnte natürlich ein Datengrab einrichten auf welches man nur zugreift wenn man kein Internet hat o.Ä. aber ob jemand den Aufwand auf sich nehmen will bezweifel ich
TrueCrypt wendet sich vor Allem an Menschen die in undemokratisch(eren ) Ländern leben und eine Verhaftung befürchten müssen und deren Festplatteninhalte ihnen Probleme bereiten können.Mailverschlüsselung - Da fällt wohl PGP/GPG und S-MIME ein. Zwei Verschlüsselungsmethoden, beide sicher, aber auch das schießt ein wenig am Ziel vorbei: Die Inhalte sind verschlüsselt, aber Header-Daten nicht. Mit wem man wann und wie oft kommuniziert lässt sich weiterhin problemlos mitspeichern. Wenn man Firmengeheimnisse zu bewahren hat lohnt sich das schon eher. S-MIME wird von Thunderbird von Haus aus unterstützt, GPG nicht, lässt sich jedoch mit einem Addon nachrüsten. Hier kommt aber der zweite Knackpunkt: Das Plugin reicht nicht, man braucht zudem die GPG-Engine. Für Windows wäre das Gpg4Win, das ist allerdings vorkompiliert und Gpg4Win hat mal eine sehr großzügige Spende vom BSI erhalten... Da muss jeder selber entscheiden ob er dem Braten traut. Unter Linux kann man wahrscheinlich GPG selber kompilieren, probiert habe ich das bisher aber nicht. Zudem muss der Empfänger ebenfalls GPG benutzen um die Mails lesen zu können.
Anonym surfen - Die einfachste Methode ist ein Proxy, Listen gibt es im Netz. Richtig sicher ist das allerdings nicht und vorallem sind die meisten Proxys nach einigen Tagen wieder verschwunden und man muss einen neuen suchen.
Der nächste Weg wäre Tor. Tor ist ein Netzwerk von Proxys, die Software wird installiert und man richtet einen Port am eigenen Rechner als Browserproxy ein. Die Anfragen gehen dann verschlüsselt über mehrere Proxys hintereinander die über die ganze Welt verteilt sind. Der Datenverkehr wird also viele Male umgeleitet und gelangt gelangt dann zu einem speziellen Proxy der als so genannter Exit-Knoten fungiert. Von dort wird die gewünschte Seite abgerufen und dann über das Proxynetz zurück zum eigenen Rechner geliefert.
Vorteile:
- Es ist schon ein großer Schritt in Richtung Anonymität
- Es funktioniert ziemlich zuverlässig
Nachteile:
- Durch die Umleitungen surft es sich nicht mehr so schnell
- Es gibt viele Knoten (momentan sind fast 4500 online), aber nur wenig Exit-Knoten. Das liegt daran das der Betrieb eines solchen nicht ungefährlich ist. Wenn ein Tor-Nutzer z.B. illegal Musik runterlädt, dann ist der Exit-Knoten-Betreiber der Dumme und muss evtl. blechen.
- Der auf dem Rechner Exit-Knoten-Betreibers wird der Traffic (wohl oder übel um ins Netz zu gelangen) entschlüsselt. Ich rate dringenst davon ab sich per Tor Seiten auf einer Seite einzuloggen oder gar Online Banking zu betreiben oder mit Kreditkarte (bzw. überhaupt) etwas zu bestellen! Ist der Betreiber des Exit-Knoten nicht sauber dürfte das Konto schnell leer sein. SSL hat auch Lücken...
Zum einfachen rumsurfen/googlen ist Tor aber wohl ausreichend und in Ordnung. Und wohl auch den Geheimdiensten ein Dorn im Auge: Eine Sicherheits-Lücke in einer alten Firefox-Version die mit dem Tor Browser Bundle (enthält einen vorkonfigurierten FF) wurde genutzt um Schadcode einzuschleusen, jedoch keine übliche Schadsoftware. Der Code versuchte den Tor-Nutzer trotz Tor eindeutig zu identifizieren. Alles deutet darauf hin, dass die Schadsoftware vom FBI stammt. Deswegen empfehle ich lieber einen aktuellen FF zu nutzen, statt dem enthaltenen.
Eine weitere, jedoch auch drastischere Maßnahme um seinen Traffic zu schützen: Nicht mehr surfen. Zumindest nicht im normalen Internet. Es gibt zwei Projekte, I2P und Freenet, die dem Internet einen neuen "Layer" hinzufügen. Die I2P Software bzw Freenet Software wird gestartet und man richtet einen Proxy im Browser ein. Man kann nun auf zusätzliche Internetseiten zugreifen, nämlich I2P Internetseiten und Freenet Internetseiten. Diese sind komplett verschlüsselt über die Teilnehmerrechner verteilt gespeichert. Jeder kann sich eine oder mehrere Seiten einrichten, man bleibt vollkommen anonym. I2P und Freenet bieten neben HTTP auch Mail und Filesharing/Newsgroup-Protokolle.
Vorteil: Nichts wird irgendwo unverschlüsselt gespeichert oder übertragen, komplett dezentral
Nachteil: Es gibt nur wenige Webseiten, Ziel beider Dienste ist es ein paralleles, anonymes Internet aufzubauen, wer diese Idee Unterstützt sollte selber aktiv werden und Webseiten befüllen.
Verschlüsselt chatten - Hierfür kann man, wenn man auf XMPP umsteigt oder eh schon nutzt, auch GPG nutzen. Wäre also definitiv einen Blick wert wenn man eh schon GPG für seine Mails nutzt.
Ja, das wars vorerst. Wenn sich jemand für ein Tutorial oder mehr Details zu einem der Themen interessiert werde ich das demnächst mal machen
Hat sonst noch jemand Ideen oder Tipps? Nutzt jemand eines oder mehrere der Programme oder ein anderes?
I'm sorry, Dave. I'm afraid I can't do that.
