Cryptoparty 15. April 2015 – Programme, Materialien, Links

Materialien

Hier ist der Link zu unserer Präsentation.

Diskussionsforum für weiter Fragen, Anregungen und Anmerkungen.

Digitaler Schatten und Webtracking

Wenn wir digitale Dienste mit unseren PCs, Laptops oder Mobiltelefonen abrufen, hinterlassen wir – bewusst oder unbewusst – digitale Spuren. Wir surfen mit unserem Browser durchs Netz, rufen Webseiten auf, beschweren uns via Twitter, stellen Fotos auf Facebook, kommentieren YouTube-Video-Clips, bloggen, telefonieren oder schreiben Messages.

Unser Digitaler Schatten ist weitgehend unsichtbar. Mit My Digital Shadow stellt das Tactical Technology Collective ein nützliches Tool dar, um das Aufkommen von Daten sichtbar zu machen.

Die meisten Websites nutzen sogenannte Cookies um Informationen abzuspeichern. Andere Seiten gehen weiter und setzen auf Supercookies, die permanent sind, sich mit den Bordmitteln der Browser nicht löschen lassen und in denen ganze Surfverläufe gespeichert werden. Und schließlich gibt es noch Internetanbieter (ISPs), die an jeden Seitenabruf einen eindeutig identifizierbaren Fingerabdruck anhängen.

Onlinemedien setzten eine Vielzahl sog. Tracker ein, um Besucher ihrer Seiten als werberelevanes Publikum zu identifizieren. Das Projekt Trackography versucht dieses Datenaufkommen sichtbar zu machen.

Browser Fingerprints sind digitaler Fingerabdruck der eigenen Systemkonfiguration, die einen Besuche eindeutig identifizierbar werden lassen. Mit Hilfe der Werzeuge Panopticlick und HTML5 Canvas Fingerprinting kann überprüft werden, wie eindeutig der Fingerabdruck ist. Selbst mit dem Verzicht auf JavaScript lässt sich der Fingerabrduck nicht vollkommen vermeiden.

SSL und TLS

SSL bzw. TLS definieren die Standardverschlüsselung, die beim Abruf von Websiten eingesetzt wird und dabei als HTTPS abgekürzt ist. Dabei handelt es sich um ein komplexes Kommunikationsprotokoll, dass mit einem Vertrauensdilemma verbunden ist. 2014 sind nicht nur durch die Enthüllung von Edward Snowden gravierenden Schwächen in einigen Versionen des Protokolls sowie deren Umsetzung in Browser oder bestimmten VPNs bekannt geworden.

Höchste Sicherheit bietet derzeit das HTSTS Protokoll (Prefect Forward Secrecy) die einen aktuellen eine im Browser und einen speziell angepassten Server des Anbieters erfordert. Viele Untersuchungen der jüngeren Zeit, zeigen, dass die Anbieter von Seiten erschreckend schlecht konfigurierte SSL und TLS-Sicherheit anbieten. Zeitweilig war das sogar beim Bundesamt für Sicherheit in der Informationstechnik der Fall gewesen.

Die Achillesferse stellen bei HTTPS die Zertifikate dar, die von sog. Trustcentern ausgestellt werden. In der Vergangenheit ist es gelungen das Vertrauensmodell, dass von einigen wenigen sog. Rootzertifikaten, die in der zu prüfenden Hierarchie ganz oben stehen, anzugeigen. Diese Root Zertifikate werden üblicherweise mit dem installierten Betriebssystem mitgeliefert. Unter dem Schlagwort Superfish ist bekannt geworden, dass es dubiosen Angreifern gelungen war mit dem vorinstallierten Windows-Betriebsystem ein spezielles Wurzelzertifikat auf Laptos zu verbreiten.

Die Überprüfung der Gültigkeit einer HTTS-Verbindung ist etwa beim Onlinebanking sinnvoll und erfolgt über die sog. Fingerabdruck.

Anonymisierungs-/Pseudonomisierungsnetzwerk Tor

Tor gilt das das bekannteste Anonymisierungsnetzwerk. Ziel von Tor ist die Verschleierung des Aufkommens von Datenspuren und Metadaten, die etwa beim Surfen im Internet anfallen. Technisch realisiert wird dies über das sog. Onion-Routing für welche der Datenverkehr ständig verschiedene, bestimmte Teilnehmer im Tornetzwerk umgeleitet wird (3 hops). Aufgrund dieses Aufwands eignet sich Tor nicht für die Übermittlung großer Datenmengen, die etwa beim Streaming von Medieninhalten oder Spielen anfallen. Auch die Nutzung des Bitmessage-Protokolls zum Austausch von Daten führt dazu, dass Nutzer enttarnt werden können.

Theoretisch wird die Verfolgung des Netzwerkers dadurch erschwert. Jüngere Untersuchungen zeigen allerdings, dass statistische Analyseverfahren zur Deanonymisierung einzelner Teilnehmer des Tor-Netzwerkes immer besser geworden. Nachrichtendienste betreiben zudem eineh hohen Aufwand um Teil des Tornetzes, insbesondere die sog. Relays zu infiltrieren bzw. eigene Relays in das Tornetzwerk einzubringen, um Teilnehmer zu enttarnen.

Das Tor-Browser-Bundle stelle einen gehärteten Firefox-Browser zur Verfügung, der speziell für das Surfen mit Tor entwickelt wird. Bedauerlicherweise ist diese spezielle Variante wieder direkt angegriffen worden. So hat das FBI mit bösartigen Relays speziell Nutzer des Tor-Browser-Bundles enttarnt.

Es wird empfohlen Tor in Verbindung mit dem frei verfügbaren Tails-Linux einzusetzen, dass ein für das anonyme Surfen angepasste Betriebssystem darstellt.

Die Vermeidung von Metadaten und die Verhinderung der Enttarnung ist auch mit Tor an einige Voraussetzungen gekoppelt, die Auswirkungen auf das eigene Nutzerverhalten haben.

Personal Virtual Private Network (VPN)

Personal Virtual Private Networks (VPNs) versprechen ebenfalls die Verschleierung, die anders als bei Tor über einen zentralen Anbieter (VPN Server bzw. Server-Verbund) abgewickelt wird. Der Nuzter baut über eine spezielle Software eine sicheren Kanal zu dem Anbieter durch den anschließen alle Anfragen an das Internet getunnelt werden. Außerhalb des VPNs sind dann lediglich die Datenspuren des VPN-Anbieters sichtbar.

Wer hartnäckigen Verfolgungstechniken, wie etwa dem Perma-Cookies von Internet Service Provider, entkommen möchte, sollte auch beim Surfen mit VPN möglichst die TLS-Verschlüsselung der Webseiten in Anspruch nehmen.

Stichwort CryptoWars: Im Zuge der Snowden-Enthüllungen ist Ende 2014 öffentlich bekannt geworden, dass die Nachrichtendienste enormen Aufwand betreiben die gängigen VPN-Protokolle zu überwinden und einige Anbieter zu infiltrieren. Daher können VPNs nur noch eingeschränkt für die Verschleierung der eigenen Datenspuren empfohlen werden.

Add-Ons, Tools, Best Practices

Für das Surfen im Netz empfehlen wir den OpenSource Browser Firefox. Einige Einstellungen und Addons ermöglichen eine bessre Kontrolle über die Verbreitung eigener Datenspuren, u. a. NoScript, RequestPolicy,Self Destructing Cookies, BetterPrivacy, Disconnect oder Ghostery, Adblock Edge und µBlock.

Die Software BleachBit kann bei der Beseitigung von Cookies eingesetzt werden.

Weiterführende Links

Ein kompletter Einführungskurs zur Kryptografie mit Videos, konzipiert über mehrere Wochen, komplett in englisch, findet sich bei coursera.org.

Das CrypTool-Portal ermöglicht jedermann einen einfachen Zugang zu Verschlüsselungs-Techniken. Alle Lernprogramme im CT-Projekt sind Open-Source, kostenlos und (auch) in deutsch. Das CrypTool-Projekt entwickelt die weltweit am meisten verbreitete E-Learning-Software für Kryptographie und Kryptoanalyse.
Ein ausführliches Skript zu den mathematischen Hintergründen findet sich hier.

Handbuch der angewandten Kryptografie (orig. “Handbook of Applied Cryptography”):
Offizielle Download-Seite für die einzelnen englischen Kapitel zur privaten Verwendung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.