Anonymität

Nov. 10, 2013

Die NSA-Timeline

Heise hat eine tolle interaktive NSA-Timeline, in der man die Enthüllungen in chronologischer Reihenfolge ansehen kann.

Kategorien Überwachung Verschlüsslung Anonymität Datenschutz Spionage
Tagged Prism Tempora Snowden Timeline NSA Skandal
Mobil qrcode zeigen

0 Kommentare

Juli 23, 2013

Prism - Reaktion und Verteidigung

Linksammlung

Die Prism-Linksammlung pflege ich nicht weiter, da der Artikel sehr groß wird, ich täglich viele neue URLs finde und der Aufwand diese einzupflegen und vor allem sinnvoll zu sortieren mir leider zu groß ist. Ich empfehle die ersten 3 Links unter Informationen:

Die ersten zwei sind gute Einleitungen, der Dritte bietet eine noch gepflegte Timeline über neue Nachrichten und Informationen zu Prism. Die Links unter Aktionen sind auch noch relevant, aber auch dort hat sich noch einiges mehr getan. Es empfiehlt sich aktuelle Blogs und Nachrichtenseiten zu lesen und eventuell den passenden Twitter-Accounts zu folgen.

Aktionen vs. Selbstverteidigung

Ich habe in der letzten Zeit leider häufig das Statement "Verschlüsslung benutzen ist aufgeben" lesen müssen. Das stimmt aus verschiedenen Gründen nicht.

Grundlegende Konzepte im Internet

Die grundlegenden Konzepte des Internets stammen aus einer Zeit, wo "Internet" noch hieß, dass verschiedene Universitäten ihre Netze verbinden. Damals war das Vertrauen groß, und es gab wenig Grund sich Sorgen zu machen.

Würde man heute ein solches Netz entwerfen, wäre eine sichere Ende-zu-Ende-Verschlüsslung ein wichtiges Feature. Am schleppendem Umstieg auf IPv6 sieht man, dass eine Umstellung auf ein neues Protokoll nur sehr schwer zu bewerkstelligen ist. Und dabei wird IPv6 viele Möglichkeiten bieten zu IPv4 kompatibel zu bleiben, während ein von Grund auf verschlüsseltes Protokoll inkompatibel zu den bestehenden Protokollen wäre.

Wer sich dafür interessiert, findet mit tcpcrypt ist eine Implementierung von Verschlüsslung direkt im TCP/IP-Stack. Allerdings hilft tcpcrypt nur gegen passive Lauscher und nicht gegen aktive Man-in-the-Middle Angriffe.

Politik und Selbstverteidigung trennen

Es ist richtig, dass sich wichtige Dinge in der Politik ändern müssen, und ich finde jede Aktion in dieser Richtung gut, richtig und wichtig. Aber nur weil man auf einer Ebene kämpft und den Gesetzgeber in die Verantwortung zieht, heißt das nicht, dass man nicht auch auf einer anderen Ebene Selbstschutz betreiben sollte: Verschlüsslung.

Wenn wir hier Gesetze bekommen, welche die Schnüffelei unterbinden, die Speicherung selbst von einfachen Verbindungsdaten untersagen, und vielleicht sogar die Geheimdienste ganz abschaffen wird das nicht dafür sorgen, dass dies auch in allen anderen Ländern passiert.

Frau Merkel hat gut reden, wenn sie sagt, dass die NSA für deutsche Internetverbindungen deutsches Recht befolgen muss. Da aber Geheimdienste oft an erstaunlich wenig Gesetze gebunden sind, erst Recht nicht an welche aus dem Ausland, wird dies wohl kaum beachtet werden. Selbst wenn sich die NSA selbstverpflichten würde dies zu beachten, oder sogar Amerika die NSA komplett abschaffen würden, wäre dies nicht beweisbar und sie könnten jederzeit ohne Ankündigung wieder anfangen zu schnüffeln.

Überwachung ist unsichtbar

Damit sind wir auch beim Kern des Problems: Das Abhören ist etwas, was man nicht merkt. Und es ist sehr schwer einen Beweis zu führen, dass etwas nicht vorhanden ist. Daher wird keiner 100%ig beweisen können, dass wir nach einer großen politischen Aktion sicher sind und keiner wird bemerken, wenn die Überwachung wieder anfängt.

Damit bleibt die Konsequenz: Neben den politischen Aktionen, ist auch Selbstschutz nötig. Man weiß nicht, ob jemand mithört, aber man kann wissen, dass WENN jemand mithört, er nur verschlüsselte Daten mitlesen kann.

Die Chance etwas zu ändern

Die Chancen politisch das ganze Überwachungssystem zu kippen sind leider sehr klein.

Es wird Zugeständnisse geben, vielleicht werden ein paar der Systeme, die am meisten sammeln, auch eingestellt werden, aber die Überwachung wird wird kaum komplett verschwinden. Hier ist die Chance auf einen vollständigen "Sieg" sehr klein.

Bei der Verschlüsslung hingegen hängt es an jedem Einzelnem. Wer Interesse hat, findet die nötigen Informationen um sich zu schützen oder kann Angebote wie Cryptoparties nutzen, um sich beim Selbstschutz helfen zu lassen.

Fazit

Es gibt zwei Fronten, an denen Aktionen nötig sind, die sich gegenseitig ergänzen:
  • Politisch etwas bewegen - Überwachung abschaffen
  • Selbstschutz, z.B. durch Verschlüsslung - Mitlesen unmöglich machen

[UPDATE] Blogpost von Christian Hufgard zum gleichem Thema: Verschlüsselung ist gut - aber sie muss überflüssig sein

Kategorien Vorratsdatenspeicherung Aktionen Sicherheit Anonymität Verschlüsslung Überwachung
Tagged Prism Tempora Snowden Cryptoparty NSA
Mobil qrcode zeigen

0 Kommentare

März 23, 2011

Anonymous-Twitter Bookmarklet

Bookmarklet: Anonymous-Twitter

how to use it

  • drag the Bookmarklet above to your bookmarks-toolbar.
  • visit twitter
  • click the Bookmarklet
  • ???
  • PROFIT!

what does it do?

When you click the bookmarklet, every tweet will have "Anonymous" as author, so you can judge the tweets by the message and not by the author.

how does it work?

the bookmarklet runs a tiny piece of javascript on the twitter-page to insert some CSS-Code, which hides the user-images and usernames from twitter and adds "Anonymous" as username and a picture of Anonymous as user-image.

thanks to ...

@paniq, who tweeted the idea and also makes good music.

Stylish / Userscript

you can use the userstyle for twitter, if you want the change to be permanent. the userstyles site has also an option to install the style as userscript.

Kategorien Anonymität Internet Fun english Software
Tagged Anonymous twitter JavaScript Bookmarklet
Mobil qrcode zeigen

0 Kommentare

Sept. 15, 2008

User-Agent ändern mit Privoxy: Aber richtig!

Es gibt viele Möglichkeiten den Browsernamen, welchen der Browser überträgt, zu ändern. Opera ermöglicht dies in den Einstellungen, für Firefox gibt es Einstellungen in about:config und Addons dafür. Mehr dazu im Artikel Firefox für Privatssphäre tunen.

Die meisten Browser lassen sich jedoch trotzdem erkennen, und zwar anhand typischer Header, welche der Browser normalerweise mitsendet. Der Useragent-Guesser ist ein "Proof-of-Concept", dass ein einfaches Ändern des "User-Agent"-Headers allein nicht ausreicht.

Wer also wirklich die Browser-Identifikation fälschen möchte, sollte auch die verräterischen Header ändern. Mit Privoxy kann man dazu diese Konfigurationsstücke nutzen:

user.filter:

#FILTER: useragent fake to be firefox #alte Syntax
CLIENT-HEADER-FILTER: useragent fake to be firefox #neue Syntax

#1) User-Agent s@^(User-Agent:) .*$@$1 Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1@i

#2) Firefox defaults for content-types s@^(Accept:) .*@$1 text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8@i

#3) Firefox defaults for charsets #Note that you cannot use a browser which does not support these charsets, #when this rule is active s@^(Accept-Charset:) .*@$1 ISO-8859-15,utf-8;q=0.7,*;q=0.7@i

user.action:
#the filter defined in user.filter
#{+filter-client-headers +filter{useragent}} #alte Syntax
{+client-header-filter{useragent}} #neue Syntax
. #remove Accept-Encoding Header, if any {+crunch-client-header{Accept-Encoding}} . #add a firefox Accept-Encoding header {+add-header{Accept-Encoding: gzip,deflate}} .
Nachdem man in der privoxy config-Datei die Dateien user.filter und user.action aktiviert hat, kann man sich unter http://config.privoxy.org/show-request ansehen wie sich die die geänderten Header von den ursprünglichen unterscheiden.

Der Useragent-Guesser sollte nun jeden Browser der Privoxy als Proxy nutzt als "Mozilla-Browser" erkennen.

[UPDATE] neue Syntax für privoxy, alte als Kommentar drin gelassen z.B. für Debian stable Nutzer. Danke Dieter für den Hinweis!

Kategorien Anonymität Sicherheit
Tagged Firefox Mozilla Guesser Privoxy User-Agent Header HTTP
Mobil qrcode zeigen

1 Kommentar

Aug. 2, 2008

Browser-Sicherheit: was der Verlauf über einen aussagt

Mit Tricks können Seiten überprüfen ob man bestimmte Seiten vorher besucht hat. Das nutzt nun ein lustiger Test aus, und versucht das Geschlecht des Besuchers zu raten.

Probiert es ruhig mal, bei mir hat es mit einer Wahrscheinlichkeit von 98% richtig gelegen. Nach dem Knopfdruck muss man sich eventuell eine Weile gedulden, bis das Ergebnis erscheint.

Das Script dazu ist auf google code frei verfügbar, und die Technik keineswegs neu. Daher ist damit zu rechnen, dass es auch Seiten gibt, die das nicht nur zum Spass verwenden, sondern die Daten tatsächlich auswerten.

Abhilfe schafft übrigens die SafeHistory Firefox-Erweiterung:

SafeHistory is a Mozilla Firefox browser extension that protects your privacy by silently defending against visited-link-based tracking techniques. It allows offsite visited links to be marked only if the browser's history database contains a record of the link being followed from the current site.
Nachteil: Man sieht auf anderen Seiten nicht mehr, ob man eine verlinkte externe Seite schon besucht hat.

Kategorien Anonymität Fun
Tagged Geschlecht raten JavaScript
Mobil qrcode zeigen

0 Kommentare

Dez. 31, 2007

30.000 Bürger klagen gegen die Vorratsdatenspeicherung

Wie geplant ist heute die Verfassungsklage und ein Einantrag gegen die Vorratsdatenspeicherung eingereicht worden.
Die vom Arbeitskreis Vorratsdatenspeicherung initiierte Verfassungsbeschwerde gegen die sechsmonatige Speicherung aller Verbindungsdaten ist heute beim Bundesverfassungsgericht in Karlsruhe eingereicht worden. Erstmals in der Geschichte der Bundesrepublik haben rund 30.000 Menschen einen Rechtsanwalt mit der Erhebung einer Verfassungsbeschwerde beauftragt. Der Arbeitskreis veröffentlicht zugleich Empfehlungen zum Schutz vor der ab 2008 geltenden „Totalprotokollierung der Telekommunikation“.
Jetzt bleibt zu hoffen, dass Karlsruhe auch erkennt, dass der Bürger mit der Vorratsdatenspeicherung nicht mehr frei in seiner Kommunikation ist, und Journalisten ihre Informanten verlieren. Anwälte, Seelsorger, Priester und Beratungsstellen können wegen der Vorratsdatenspeicherung nicht mehr mit anonymen Kontakten kommunizieren. Jemand der eine AIDS-Hotline anruft wird als "eventuell betroffen" erfasst, selbst wenn er sich nur wegen Bekannten oder zur Vorsorge informiert.

Aber das ist ja vermutlich den Lesern hier schon bekannt. Wenn nicht findet man noch mehr Gründe gegen die Vorratsdatenspeicherung auf www.vorratsdatenspeicherung.de.

Kategorien Politik Überwachung Anonymität Datenschutz Recht Urheberrecht
Tagged Klage Aktionen Verfassungsklage Verfassung Karlsruhe Vorratsdatenspeicherung
Mobil qrcode zeigen

1 Kommentar

Dez. 30, 2007

Anonym im Internet

Nachdem die Vorratsdatenspeicherung erst einmal durch ist, soll das hier eine umfassende Anleitung für Anonymität im Internet werden. Feedback, Korrekturen, etc. wie immer in Kommentaren oder per Mail(blog bei laxu.de).

Anonym und sicher gibt es beides nicht als absolute Werte. Aber beide Werte kann man deutlich erhöhen, wenn man weiß wie. Ein weiterer wichtiger Begriff ist die "Pseudonymität":

  • Anonym: Nicht auf eine Identität zurückführbar. Mehrere anonyme Äußerungen können nicht auf einen gemeinsamen Urheber zurückgeführt werden.
  • Pseudonym: Nicht auf eine Person, sondern nur auf ein Pseudonym(z.B. Nickname) zurückführbar. Dabei können mehrere Nachrichten vom gleichem Absender auf ein gemeinsames Pseudonym zurückgeführt werden.
  • Sicherheit: Betrifft hier eher Abhörsicherheit, sowie die Sicherheit dass man wirklich mit der gewünschten Person (und nur dieser) Kommuniziert.
Beispiele:
  • Im letztem Grundlagenartikel "Vorratsdatenspeicherung und Tor" wies ich bereits darauf hin, dass die so definierte Sicherheit mit der Anonymität die Tor bietet nicht vereinbar ist, weil die Exit-Nodes mitlesen können.
  • GnuPG kann mit dem "Web of Trust" und der Regel, dass nur nach Überprüfung des Personalausweis andere Personen signiert werden eine sehr hohe Sicherheit bieten, zerstört damit aber gleichzeitig jegliche Anonymität.
  • Pseudonymität ist in anonymen Netzen mit GnuPG jedoch möglich: Dabei ist die (quasi) unfälschbare Key-ID das vertrauenswürdige Pseudonym, und garantiert auch nicht mehr, als dass man immer mit der gleichen Person kommuniziert.
Hier wurden jetzt schon einige Beispiele genannt. Da die Vorratsdatenspeicherung die Eckdaten der Kommunikation (wer mit wem, wann und bei Handies auch wo) erfasst, wird die Anonymität wichtiger.

Webbrowsing:

  • geringe Sicherheit und die Möglichkeit Blockaden zu umgehen bieten sogenannte Webproxies. Eine umfangreiche Liste findet man unter proxy.org. Nachdem man die URL in das Textfeld eingegeben hat, kann man per Klick auf "Go" sofort lossurfen.
  • Weiterhin findet man im Internet Listen von normalen Proxy-Servern.
  • siehe Abschnitt über Tor
Bei beidem gilt: man vertraut dem Betreiber, der natürlich nach belieben Loggen kann. Weiterhin senden einige Proxies einen X-Forwarded-For Header mit der echten IP. Proxies die das nicht tun heißen "anonyme Proxies", was nicht heißt, dass sie keine Serverlogs haben, auf die jemand zugreifen könnte.

Weiterhin gilt bei Webproxies, dass die Ursprüngliche URL in der neuen URL vorkommt. Einige Webproxies unterstützen Rot13 oder Base64 Kodierung, das soll jedoch eher automatische Internet-Filter stoppen als die URL komplett zu verstecken.

Mails:

Für E-Mail gibt es sogenannte Remailer, welche die Original-E-Mail anonymisieren (Achtung, nur die Kopfdaten, evnentuelle Namen, Addressen, ... im Inhalt nicht!), und verzögert weitersenden, sodass der Originalabsender verschleiert wird. Gute Anleitungen findet man beim Ravenhorst.

Instant Messaging:

Instant-Messaging hat das Problem, dass die meisten Nutzer schon an ihre (vermutlich recht bekannte) IM-Identität(z.B. ICQ UIN) gebunden sind. Hier bietet sich zunächst an eine neue Addresse mit einem Pseudonym zu eröffnen, sodass die Kopfdaten der Nachrichten nicht mehr mit der eigenen Person identifiziert werden.

Weiterhin lässt sich auch über Tor chatten, was jedoch wenig bringt, wenn die Chat-Identität schon vorher mit der realen verbunden wurde.

Tor als Lösungsansatz:

Tor bietet einen Ansatz den gesammten Netzzugang für alle Protokolle die TCP nutzen zu anonymisieren. Für den Nutzer heißt das, Webbrowsing, Chatten, etc. ist möglich. E-Mails können via Tor dank Spam-Filtern leider nicht versendet werden.

Eine einfache Möglichkeit Tor zu installieren und einzurichten ist das Vidalia-Bundle zu nutzen. Um schnell zwischen Tor- und Nicht-Tor-Surfen zu wechseln empfiehlt sich weiterhin der Tor-Button für Firefox.

Um anonym über Tor zu chatten, muss man beim Chatprogramm einstellen, dass es einen Socksproxy verwendet, und zwar per Default bei TOR "localhost" mit Port "9050". Pidgin ist ein schönes Chatprogramm, was bei den meisten Protokollen einen Socksproxy verwenden kann.

Achtung: Alle Tor-Exit-Nodes können potentiell unverschlüsselte Daten mitlesen. Nutzt man SSL können die Exit-Nodes zwar nicht mitlesen, aber man sollte sicherstellen dass Tor auch für https genutzt wird, und sich bewusst sein, dass privoxy bei https-Seiten keine Scripte und ähnliches ausfiltern kann.

Eine Möglichkeit sicher von Tor-Nutzer zu Tor-Nutzer zu kommunizieren ist Torchat. Das Programm kommt wie ein üblicher Instant-Messanger daher, funktioniert aber über Tor-Hidden-Services. Damit ist die Verschlüssung der Verbindung sichergestellt, und jeder Teilnehmer ist anhand seiner .onion-Addresse pseudonym verifiziert.

Einen schönen Post zur VDS mit Anleitung für I2P findet man im Ravenhorst: Basteln für die VDS.

Weitere Ansätze:

Weitere Ideen sind willkommen, und ich werde später noch weitere Tools beschreiben.

Kategorien Überwachung Verschlüsslung Anonymität Sicherheit Datenschutz Vorratsdatenspeicherung Software
Tagged Tipps Anonymisierung Vorratsdatenspeicherung
Mobil qrcode zeigen

0 Kommentare

Dez. 26, 2007

Köhler unterzeichnet Gesetz zur Vorratsdatenspeicherung

heise online - Köhler unterzeichnet Gesetz zur Vorratsdatenspeicherung

Todestag des Fernmeldegeheimnis

Kategorien Politik Überwachung Anonymität Datenschutz Demokratie
Tagged Köhler Bundespräsident Vorratsdatenspeicherung
Mobil qrcode zeigen

2 Kommentare

Dez. 18, 2007

Endspurt zur Verfassungsbeschwerde

Endspurt zur Verfassungsbeschwerde gegen die Vorratsdatenspeicherung:

Verfassungsbeschwerde bis zum 24.12

(via Netzpolitik)

Kategorien Politik Überwachung Anonymität Datenschutz Demokratie Urheberrecht
Tagged Aktionen Verfassungsklage Vorratsdatenspeicherung
Mobil qrcode zeigen

0 Kommentare

Dez. 1, 2007

Privatssphäre im IRC oder Volltextsuche?

Gerade im IRC darauf hingewiesen worden: Unter irseek.com können komplette Chats nach Stichwörtern durchsucht werden. Woher die Volltexte stammen ist auf der Seite nicht angegeben, ebensowenig ob und wie man sich dagegen wehren kann dort zu erscheinen.
Inside the conversation window, you can highlight a certain user (or users), by clicking on their nickname in order to help you track a certain conversation. (von der Hilfe-Seite)
Die Seite, die sich selber als Hilfe-Datenbank versteht bringt damit die Chats von unzähligen Personen die absolut gar nichts davon wissen zusammen. Mit ein paar Stichproben konnte ich schon diverse Channel wie #linux, #ubuntu(diese natürlich in diversen Netzen), #chaosradio, #camp, ... finden.

Über die Technik steht auf der Seite nichts, aber es wird sich vermutlich um einen Bot handeln, da unwahrscheinlich ist, dass sie mit so vielen Netzbetreibern zusammenarbeiten. Wenn jemand weiß wie der Bot heißt, bzw. wie er zu identifizieren ist, wenn er sich nicht zu erkennen gibt, würde ich mich über einen Kommentar mit dem Hinweis freuen.

Neben der verletzten Privatsspähre wird natürlich auch das Copyright der Personen die sich eigentlich nur in einem Chat äußern wollten verletzt. Bleibt abzuwarten wann es die ersten Klagen gegen die Seite gibt.

[UPDATE] Aus dem IRC:

<...> nach nachforschungen in channel-logs mehrere channels hat sich ergeben, dass es vermutlich bots sind, die sich über tor verbinden, unterschiedliche nicks haben und immer einen zweistelligen benutzernamen vor dem @gateway/tor/ tragen

[Global Notice] Hi all! To those of you relying on tor for connections to freenode I am terribly sorry to inform you that non tor-gpg (http://freenode.net/irc_servers.shtml#tor) connections have been blocked. This block may be in place for at least a number of days while we try to deal with systematic abuse. Again, I apologise for the inconvenience and hope that we will find a solution soon. Thank you for using freenode and have a good day

Die "CTCP VERSION" gibt die Bots als mirc aus. Entweder möchte hier jemand verbergen dass es sich um Bots handelt, oder es wird tatsächlich mirc, dann vermutlich mit passenden Scripts zum loggen benutzt.

Einen Chat für die Opfer(bisher ohne IRSeek Bot) gibts im freenode in #irseek-victims und #irseek-victims-de

Links:

Kategorien Überwachung Anonymität Datenschutz Recht Technik
Tagged Urheberrecht Daten IRC Volltext Suche Logs Chat
Mobil qrcode zeigen

4 Kommentare