Dass es gefährlich ist private Daten unverschlüsselt auf fremden Servern zu lagern, sollte einem zwar klar sein, aber für manche Daten reicht diese Sicherheit ja vielleicht. Aber Ubuntu One hat eine ähnliche Klausel wie ICQ in ihren “Terms and Conditions”:

9. Collection and use of your data. We may collect certain non-personally-identifiable information, which is located on your computer. The information collected may include statistics relating to how often data is transferred, and performance metrics in relation to software and configuration. You agree this information may be retained and used by Canonical.

Ähnlich wie im Falle ICQ kann man argumentieren “ja die meinen ja nur Statistiken …”, rechtlich jedoch akzeptiert man dass alle Daten die einen nicht persönlich identifizieren von Canoncial gesammelt und benutzt werden dürfen.
Also Rat für alle die ihre Daten nicht Canoncial schenken möchten: Finger weg von Ubuntu One!

Ach ja, nur damit es erwähnt ist, sie lassen sich natürlich auch zusichern, dass sie die Nutzerdaten an die Polizei weitergeben dürfen, wenn sie gesetzlich dazu verpflichtet sind. Da wird man aber kaum einen Anbieter finden, der keine solche Klausel hat.

Es gibt viele Möglichkeiten den Browsernamen, welchen der Browser überträgt, zu ändern.
Opera ermöglicht dies in den Einstellungen, für Firefox gibt es Einstellungen in about:config und Addons dafür. Mehr dazu im Artikel Firefox für Privatssphäre tunen.

Die meisten Browser lassen sich jedoch trotzdem erkennen, und zwar anhand typischer Header, welche der Browser normalerweise mitsendet.
Der Useragent-Guesser ist ein “Proof-of-Concept”, dass ein einfaches Ändern des “User-Agent”-Headers allein nicht ausreicht.

Wer also wirklich die Browser-Identifikation fälschen möchte, sollte auch die verräterischen Header ändern.
Mit Privoxy kann man dazu diese Konfigurationsstücke nutzen:

user.filter:

#FILTER: useragent fake to be firefox #alte Syntax
CLIENT-HEADER-FILTER: useragent fake to be firefox #neue Syntax

#1) User-Agent
s@^(User-Agent:) .*$@$1 Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1@i

#2) Firefox defaults for content-types
s@^(Accept:) .*@$1 text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8@i

#3) Firefox defaults for charsets
#Note that you cannot use a browser which does not support these charsets,
#when this rule is active
s@^(Accept-Charset:) .*@$1 ISO-8859-15,utf-8;q=0.7,*;q=0.7@i

user.action:

#the filter defined in user.filter
#{+filter-client-headers +filter{useragent}} #alte Syntax
{+client-header-filter{useragent}} #neue Syntax

.
#remove Accept-Encoding Header, if any
{+crunch-client-header{Accept-Encoding}}
.
#add a firefox Accept-Encoding header
{+add-header{Accept-Encoding: gzip,deflate}}
.

Nachdem man in der privoxy config-Datei die Dateien user.filter und user.action aktiviert hat, kann man sich unter http://config.privoxy.org/show-request ansehen wie sich die die geänderten Header von den ursprünglichen unterscheiden.

Der Useragent-Guesser sollte nun jeden Browser der Privoxy als Proxy nutzt als “Mozilla-Browser” erkennen.

[UPDATE] neue Syntax für privoxy, alte als Kommentar drin gelassen z.B. für Debian stable Nutzer. Danke Dieter für den Hinweis!

Sowas finde ich doch eher ungünstig, es könnte schließlich jemand hinter einem stehen:

Der Screenshot stammt aus der Installation der kommerziellen Variante, nicht von der Opensource Version die es inzwischen gibt. Allerdings muss man damit rechnen, dass die OSS Variante für Fehler ähnlichen Code verwendet, und daher eventuell auch das Passwort anzeigen würde.

Truecrypt 5.0 ist freigegeben worden.

Statt wie bisher nur Container oder Daten-Partitionen kann jetzt die Windows-Systemplatte komplett verschlüsselt werden, wobei dann beim Start ein Passwort erforderlich ist. Das beugt z.B. einem Austauschen von TrueCrypt auf der Bootplatte mit dem Ziel Passwörter mitzuschneiden vor. Da hilft auch ein heimlicher Offline-Trojanereinsatz nicht gegen.

TrueCrypt unterstützt sogenannte Hidden Volumes, welche in einem normalem Volume sein können, oder nicht. Dadurch dass sich nicht nachweisen lässt ob eines enthalten ist, könnte sich ein Nutzer der zur Passwortübergabe gezwungen wird herausreden er hätte kein Hidden Volume genutzt. Das Konzept an sich ist eine gute Idee, ich halte es jedoch aus den Folgenden Gründen für nicht ganz unkritisch:

• In einem Rechtsstaat ist es ein gutes Recht eine verschlüsselte Partition zu haben, ohne irgendein Passwort rauszurücken.
• Rechnet tatsächlich jemand mit Beugehaft, Folter oder ähnlichem, sollte er bei einer Software in der etwas wie “hidden Volumes” möglich ist besser auch ein hidden Volume haben, da der Folterknecht sicher solange foltert bis er zwei Passwörter bekommt.
• Die meisten die ein Hidden Volume haben werden bei einer Folter sowieso schnell beide Passwörter rausrücken, wer keins hat wird eventuell deswegen länger als “nötig” gefoltert.
• Die wenigsten werden im äußerem Container realistische Daten haben, sondern z.B.:
  • 50 MB Dateien in 100 GB Container.
  • Timestamp der Dateien mehrere Monate alt, obwohl das Volume gestern noch genutzt wurde.
  • Daten sehen nicht schützenswert aus (da der Nutzer diese ja pflegt um sie freimütig herauszurücken)

Der letzte Punkt zeigt natürlich, dass man gerade auch unwichtige Dateien verschlüsseln sollte, damit nicht jeder der Verschlüsslung braucht damit auffällt. Davon abgesehen gehören auch unwichtige Dinge zur Privatssphäre: Auch wenn man mir aus meinen E-Mails keinen Strick drehen kann, möchte ich dennoch wissen, dass nur ich sie lesen kann.

Eine Möglichkeit Hidden-Volumes so zu gestalten, dass keiner weiß ob er schon alle Passwörter kennt wäre Verschachtelung zu ermöglichen. Dann weiß ein Angreifer nicht, ob das 2. Hidden-Volume schon das innerste ist, oder ob noch weitere genutzt wurden.

In dem Sinne: TrueCrypt (5.0) ist eine tolle Sache, gerade weil es eine Software ist die wirklich jeder bedienen kann.

Einbrecher haben bei Brigitte Zypries zwei Laptops gestohlen. Laut der Polizei eine “chirurgischen Tat”, die gezielt um die Daten ging.

Auf beiden Laptops sollen keine brisanten Daten gewesen sein. Ich würde allerdings tippen, dass Frau Zypries sich nicht ihrer Surfspuren und ähnlichem bewusst ist. Vielleicht wird ja doch noch der eine oder andere Skandal aufgedeckt.

[UPDATE] Heise titelt übrigens schön ironisch: “Heimliche Offline-Durchsuchung bei der Justizministerin”

Nachdem die Vorratsdatenspeicherung erst einmal durch ist, soll das hier eine umfassende Anleitung für Anonymität im Internet werden. Feedback, Korrekturen, etc. wie immer in Kommentaren oder per Mail(blog bei laxu.de).

Anonym und sicher gibt es beides nicht als absolute Werte. Aber beide Werte kann man deutlich erhöhen, wenn man weiß wie. Ein weiterer wichtiger Begriff ist die “Pseudonymität”:

• Anonym: Nicht auf eine Identität zurückführbar. Mehrere anonyme Äußerungen können nicht auf einen gemeinsamen Urheber zurückgeführt werden.
• Pseudonym: Nicht auf eine Person, sondern nur auf ein Pseudonym(z.B. Nickname) zurückführbar. Dabei können mehrere Nachrichten vom gleichem Absender auf ein gemeinsames Pseudonym zurückgeführt werden.
• Sicherheit: Betrifft hier eher Abhörsicherheit, sowie die Sicherheit dass man wirklich mit der gewünschten Person (und nur dieser) Kommuniziert.

Beispiele:

• Im letztem Grundlagenartikel “Vorratsdatenspeicherung und Tor” wies ich bereits darauf hin, dass die so definierte Sicherheit mit der Anonymität die Tor bietet nicht vereinbar ist, weil die Exit-Nodes mitlesen können.
• GnuPG kann mit dem “Web of Trust” und der Regel, dass nur nach Überprüfung des Personalausweis andere Personen signiert werden eine sehr hohe Sicherheit bieten, zerstört damit aber gleichzeitig jegliche Anonymität.
• Pseudonymität ist in anonymen Netzen mit GnuPG jedoch möglich: Dabei ist die (quasi) unfälschbare Key-ID das vertrauenswürdige Pseudonym, und garantiert auch nicht mehr, als dass man immer mit der gleichen Person kommuniziert.

Hier wurden jetzt schon einige Beispiele genannt. Da die Vorratsdatenspeicherung die Eckdaten der Kommunikation (wer mit wem, wann und bei Handies auch wo) erfasst, wird die Anonymität wichtiger.

Webbrowsing:

• geringe Sicherheit und die Möglichkeit Blockaden zu umgehen bieten sogenannte Webproxies. Eine umfangreiche Liste findet man unter proxy.org. Nachdem man die URL in das Textfeld eingegeben hat, kann man per Klick auf “Go” sofort lossurfen.
• Weiterhin findet man im Internet Listen von normalen Proxy-Servern.
• siehe Abschnitt über Tor

Bei beidem gilt: man vertraut dem Betreiber, der natürlich nach belieben Loggen kann. Weiterhin senden einige Proxies einen X-Forwarded-For Header mit der echten IP. Proxies die das nicht tun heißen “anonyme Proxies”, was nicht heißt, dass sie keine Serverlogs haben, auf die jemand zugreifen könnte.

Weiterhin gilt bei Webproxies, dass die Ursprüngliche URL in der neuen URL vorkommt. Einige Webproxies unterstützen Rot13 oder Base64 Kodierung, das soll jedoch eher automatische Internet-Filter stoppen als die URL komplett zu verstecken.

Mails:

Für E-Mail gibt es sogenannte Remailer, welche die Original-E-Mail anonymisieren (Achtung, nur die Kopfdaten, evnentuelle Namen, Addressen, … im Inhalt nicht!), und verzögert weitersenden, sodass der Originalabsender verschleiert wird.
Gute Anleitungen findet man beim Ravenhorst.

Instant Messaging:

Instant-Messaging hat das Problem, dass die meisten Nutzer schon an ihre (vermutlich recht bekannte) IM-Identität(z.B. ICQ UIN) gebunden sind. Hier bietet sich zunächst an eine neue Addresse mit einem Pseudonym zu eröffnen, sodass die Kopfdaten der Nachrichten nicht mehr mit der eigenen Person identifiziert werden.

Weiterhin lässt sich auch über Tor chatten, was jedoch wenig bringt, wenn die Chat-Identität schon vorher mit der realen verbunden wurde.

Tor als Lösungsansatz:

Tor bietet einen Ansatz den gesammten Netzzugang für alle Protokolle die TCP nutzen zu anonymisieren. Für den Nutzer heißt das, Webbrowsing, Chatten, etc. ist möglich. E-Mails können via Tor dank Spam-Filtern leider nicht versendet werden.

Eine einfache Möglichkeit Tor zu installieren und einzurichten ist das Vidalia-Bundle zu nutzen. Um schnell zwischen Tor- und Nicht-Tor-Surfen zu wechseln empfiehlt sich weiterhin der Tor-Button für Firefox.

Um anonym über Tor zu chatten, muss man beim Chatprogramm einstellen, dass es einen Socksproxy verwendet, und zwar per Default bei TOR “localhost” mit Port “9050″. Pidgin ist ein schönes Chatprogramm, was bei den meisten Protokollen einen Socksproxy verwenden kann.

Achtung: Alle Tor-Exit-Nodes können potentiell unverschlüsselte Daten mitlesen. Nutzt man SSL können die Exit-Nodes zwar nicht mitlesen, aber man sollte sicherstellen dass Tor auch für https genutzt wird, und sich bewusst sein, dass privoxy bei https-Seiten keine Scripte und ähnliches ausfiltern kann.

Eine Möglichkeit sicher von Tor-Nutzer zu Tor-Nutzer zu kommunizieren ist Torchat. Das Programm kommt wie ein üblicher Instant-Messanger daher, funktioniert aber über Tor-Hidden-Services. Damit ist die Verschlüssung der Verbindung sichergestellt, und jeder Teilnehmer ist anhand seiner .onion-Addresse pseudonym verifiziert.

Einen schönen Post zur VDS mit Anleitung für I2P findet man im Ravenhorst: Basteln für die VDS.

Weitere Ansätze:

• I2P
• Viele weitere Tools diskutiert auf board.planetpeer.de

Weitere Ideen sind willkommen, und ich werde später noch weitere Tools beschreiben.

Tagesschau – Wieder eine Panne: Britischer Gesundheitsdienst verliert Patientendaten

Bisherige Zwischensumme: 10 CDs, wobei es sich um mindestens 28 Mio Datensätze handelt von den bezifferten CDs (25 Mio auf den ersten 2 CDs, 3 Mio bei dem verlinktem Verlust, restliche 8 CDs nicht genau beziffert).

Hinzu kommen jetzt die Daten von 160.000 kranken Kindern aus einer Londoner Klinik (1 CD ~ 700 MB).

Langsam merken die Britten vermutilch selbst, dass große Datenbanken nur großen Missbrauch und große Unfälle möglich machen.

Heise dazu mit etwas mehr Details.

Bei manchen Liedern muss ich unwillkürlich an unsere sicherheitsversessen Politiker denken: Clawfinger – Two Steps Away

Der Rest des Textes passt auch halbwegs, aber erwartet keine genaue Beschreibung der politischen Lage .

Die englische Bürokratie ist inzwischen ja schon dafür bekannt die Daten ihrer Bürger zu verlieren. Zwischensumme bisher: 2 CDs mit 25 Mio Daten u.a. über Bankverbindungen + 2 CDs immerhin Bankdaten + 6 CDs Hotlinegespräche = 10 CDs (etwa 7 Gigabyte) Daten verloren.

Jetzt kommen nocheinmal 3 Millionen Datensätze dazu, die verloren gegangen sind:

Drei Millionen Datensätze von Führerscheinanwärtern sind weg. Pikanterweise verschwanden sie im US-Staat Iowa, wo eine Privatfirma mit der Speicherung beauftragt wurde.

Heise schreibt unter anderem noch:

Derweil hat Darling betont, dass es keine Beweise für einen Missbrauch der Daten der Kindergeldempfänger gebe, der Polizei lägen keine Informationen darüber vor, dass die Daten in falsche Hände geraten seien.

Das ist ja toll. Heißt doch nur, dass der Täter nicht offen zugibt: Hallo hier bin ich und missbrauche eure Daten!

Nachdem Bruce Schneier den Zufallsgenerator Dual_EC-DRBG als potentiell unsicher enttarnt hatte, schien das kein Problem, da er bei keiner wichtigen Software verwendet wurde.
Doch gerade diesen Zufallsgenerator nutzt Microsoft nun im Servicepack 1 von Windows Vista. Ein Schelm wer Böses dabei denkt.

Nun wird mit dem Service Pack 1 der Dual_EC-DRBG-Generator mit ausgeliefert – per Default deaktiviert, und Security-Guru Schneier findet deutliche Worte:
“Er ist per default nicht aktiv, und mein Rat lautet, ihn nicht zu aktivieren. Niemals.”

Nachgewiesen ist übrigens noch nichts, aber es wäre möglich dass jemand ein geheimes Zahlenset hat, das es ermöglicht die erzeugte Werte zu raten. Und solange nicht nachgewiesen wird, dass es unmöglich ist, sollte man lieber misstrauisch sein, und andere Zufallsgeneratoren nutzen.