Schützt euch vor (staatlichen) Schnüfflern – sichert eure Kommunikation

Netzwerkforensik im Internet

Die staatliche Schnüffelei (durch BKA, die LKA's den Verfassungsschutz, den BND und all die anderen Dienste / Einrichtungen), die nur dem Machterhalt dient wird ständig schlimmer, wie solche Meldungen "Nicht nur die NSA späht Daten aus - sondern auch der BND: Der Berliner Anwalt Niko Härting geht gegen die Sammelwut des deutschen Geheimdienstes vor. Er klagt jetzt vor dem Bundesverfassungsgericht.  uns immer wieder vor Augen führen. Man kann zwar nicht gegen alles was tun, aber man sollte den Gestalten ihren schmutzigen Job so schwer wie irgend möglich machen. Da viele sicher nicht wissen was man alles tun kann habe ich eine Anleitung geschrieben, die Euch zeigen soll welche Möglichkeiten des Schutzes es gibt.


Am 28.05.2015 erschien hier der Beitrag Digitale Selbstverteidigung mit TAILS mit einer guten Erklärung, warum man seine Kommunikation so weit als irgend möglich absichern muss. In dem Beitrag wird auch ein gut gemachtes PDF zum Arbeiten mit TAILS zum Download bereitgestellt.


Nicht jeder will / oder kann immer mit TAILS arbeiten und deshalb sollte man sich darüber Gedanken machen, die Kommunikation grundsätzlich so weit als möglich abzusichern. Das fängt schon damit an, dass man so wenig proprietäre Software wie möglich einsetzen sollte und besser auf freie Alternativen zurückgreift. Eine gute Übersicht der freien Alternativen findet man auf der Seite prism-break.org. Die Seite bedient alle Betriebssysteme und steht in verschiedenen Sprachen zur Verfügung. Auf der Seite selbst findet man keine Software sondern dort wird nur die Funktion / das Einsatzgebiet kurz angerissen und man wird dann bei Bedarf auf die offizielle Webseite des jeweiligen Anbieters weiter geleitet.


Das man E-Mails wenn möglich (sofern der Andere es kann / verwendet) grundsätzlich verschlüsseln sollte bedarf angesichts der NSA Berichterstattung und dem Umstand, dass eine unverschlüsselte Mail mit einer Postkarte zu vergleichen ist, sicher keine weitere Begründung zumal mal es genügend Hinweise gibt, das deutsche Dienste / Behörden auf vor Rechtsbruch nicht zurück schrecken. Da es bereits etliche gute Anleitungen hierzu gibt erspare ich es mir auch noch eine zu schreiben sondern verweise mal auf die Seiten E-Mail Selbstverteidigung (die ebenfalls in diversen Sprachen zur Verfügung steht) und auf die Seite der GERMAN PRIVACY FUND und der Anleitung E-Mail verschlüsseln in 30 Minuten.


Metadaten sind ein weiteres Problem, da sie sehr viel aussagen. Zwar ist es im Moment nur bedingt möglich die Metadaten zu minimieren, aber bei der Wahl des Postfachanbieters können wir entscheiden, ob die Metadaten bereits beim Mailanbieter ausgelesen (und weiter gegeben) werden oder nicht. Zumindest bei Anbietern, die ihre Heimat in den USA haben sind die Betreiber gesetzlich verpflichtet, diese Daten weiter zu geben, weshalb es sinnvoll ist sich einen Anbieter zu suchen, bei dem das nicht grundsätzlich der Fall ist. Sehr gute Anbieter sind die Kollektive riseup.net und systemli.org die jedoch beide den Nachteil haben, dass man sich nicht einfach ein Postfach mieten kann sondern einen Invite Code (eine Einladung) braucht. Beide bieten allerdings die Möglichkeit einen Account unter Angabe einer Begründung zu erfragen. Beide Kollektive arbeiten ohne Kosten für ihr Angebot zu erheben, erbitten aber immer mal wieder Spenden um ihren Betrieb aufrechterhalten zu können. Eine weitere Möglichkeit ist Protonmail.ch das sich zurzeit aber noch im Beta Stadium befindet deshalb auch einen Invite Code braucht und zudem (zumindest im Moment) nur über den Browser nutzen lässt. Um zwei gute Anbieter, die beide viel für die Sicherheit der Nutzer tun sind mailbox.org und posteo.de (und auch wenn man sich über die Aussagen von Stiftung Warentest manchmal streiten kann, haben diese Beiden einen Test bezüglich Sicherheit gewonnen). Beide Anbieter kosten 1 EUR pro Monat und man kann bei beiden bar (per Post) zahlen. Da ich selbst ein Postfach bei mailbox.org habe kenne ich diesen Anbieter aus eigener Erfahrung etwas besser und kann deshalb etwas mehr dazu sagen. Auf der HP von Mailbox.org steht unter Herausgabe von Daten an Ermittlungsbehörden


Ob die Bestandsdaten, die Sie bei Ihrer Anmeldung angegeben haben, jedoch zutreffend sind und stimmen, können wir nicht beurteilen. Sofern Sie Ihren Mailverkehr mit PGP verschlüsseln werden auch wir nicht in der Lage sein, den Inhalt dieser E-Mails lesbar zu machen.


Was das bedeutet dürfte jedem Leser klar sein. Ein weiterer Pluspunkt von Mailbox.org ist übrigens auch, dass die IP des Users nicht automatisch im Header einer Mail eingetragen wird (und damit auch nicht von irgendwelchen Diensten irgendwo auf der Welt ausgelesen werden kann). Da man nicht mit jedem User verschlüsselt kommunizieren kann hat mailbox.org sich ein weiteres Sicherheitsfeature einfallen lassen, das unter E-Mails definitiv sicher versenden beschrieben wird. Man kann mit dieser Funktion nicht nur Mails unter mein-name@mailbox.org senden und empfangen sondern man hat nach der Einrichtung dann auch mein-name@secure.mailbox.org über die der Mailversand / - empfang zwingend per SSL Verschlüsselung der Übertragung erfolgt. Eine solche SSL verschlüsselte Übertragung ist zwar schlechter als eine GPG Verschlüsselung aber besser als vollkommen unverschlüsselt zu übertragen.

Ähnliche Sicherheit scheint der Anbieter posteo.de zu bieten wenn man hier nachliest. Auch hier sind anonyme Anmeldung und Bezahlung möglich und auch posteo.de ersetzt im E-Mailheader die IP des Absenders durch seine eigene IP. Bei Posteo.de gibt es zusätzlich die Option des Krypto-Mailspeichers


die Einführung des neuen Krypto-Mailspeichers ist abgeschlossen: Alle Posteo-Kunden können ihre bei uns gespeicherten E-Mail-Daten nun auf Knopfdruck individuell verschlüsseln. Wir stellen Ihnen die neue Verschlüsselungsfunktion ohne Aufpreis zur Verfügung.

Aktivieren Sie den Krypto-Mailspeicher, werden sämtliche bei Posteo gespeicherten E-Mail-Daten auf Knopfdruck individuell verschlüsselt – mit Hilfe Ihres Passwortes.
Die Verschlüsselung umfasst sowohl die Inhalte und Anhänge aller bei Posteo gespeicherten E-Mails als auch die dazugehörigen Metadaten (wie z.B. die Betreffzeile oder der E-Mail-Header). Neben Ihrem bisherigen E-Mailarchiv werden auch alle neu hinzukommenden E-Mails verschlüsselt. Die verschlüsselten Daten in Ihrem Krypto-Mailspeicher sind auch für uns nicht mehr lesbar. Posteo kann die Verschlüsselung auch nicht deaktivieren; dies können nur Sie selbst tun.


Wie die Daten konkret verschlüsselt werden und wo die technischen Daten der Verschlüsselung einsehbar sind, erfahren Interessierte auf unserer
Infoseite Verschlüsselung.


Ein weiterer wichtiger Punkt ist, wie wir in Anbetracht der immer schlimmer werdenden Überwachung ins Netz gehen. Hier will ich kurz auf zwei sehr unterschiedliche Möglichkeiten eingehen. Zum einen gibt es die Möglichkeit das TOR Browser Bundle zu verwenden. Das TOR Browser Bundle verwendet, wie der Name schon vermuten lässt, genauso wie TAILS das TOR Netzwerk. Der Nachteil des TOR-Netzwerkes ist jedoch, dass alles etwas langsamer geht (was technisch bedingt ist). Wer sich über die richtige Konfiguration des TOR Browser Bundles informieren will kann hier nachlesen.   Eine Alternative zum TOR Netzwerk ist der Einsatz eines VPN (Virtual Private Network) bei dem die Daten zwischen dem eigenen Rechner / Handy in einem stark verschlüsselten Tunnel zum Server des VPN Anbieters gehen um dort erst unverschlüsselt ins Netz zu gehen. Dadurch sieht eine besuchte Webseite also nicht meine IP sondern bekommt die IP des VPN Servers zu sehen. Bei guten VPN Anbietern ist auch der Mailversand / -empfang über VPN möglich, da diese in der Regel nur Port 25 sperren um Massenmails (Spam) über VPN zu verhindern. Zu den besten Anbietern gehören meiner Meinung nach Perfect-Privacy und oVPN. Von beiden Diensten hat man bis heute nichts gehört, dass sie jemals Daten heraus gegeben haben. Weitere VPN Anbieter Alternativen finden sich z.B. in dem Artikel  Is your VPN Legit or Shit?. Worauf man in jedem Fall achten sollte ist, dass der VPN Anbieter kein Büro etc. innerhalb der EU hat, da sonst die Möglichkeit besteht, dass irgend eine Behörde dort mit einem Gerichtsbeschluss auftaucht und den Betreiber zwingt den Datenverkehr ab dem Moment zu loggen.  Worauf man bei Nutzung eines VPN im Klaren sein muss ist, dass man zum Surfen seinen normalen Browser verwendet = selbst durch PlugIns + richtige Einstellung dafür sorgen muss, dass der Browser so wenig Daten wie möglich übermittelt.


E-Mails und surfen sind jedoch nur ein Teil unserer Kommunikation, denn da sind ja noch Chat, Instant-Messaging und das heute fast nicht mehr weg zu denkende Handy. Ein gutes und erprobtes Tool für Instant-Messaging das mit den meisten Diensten klar kommt ist Pidgin mit dem es sogar möglich ist, den Facebook Chat zu verschlüsseln wie man hier nachlesen kann (auch wenn ich grundsätzlich von Facebook abrate). Pidgin kann man nicht nur bei Facebook verschlüsselt einsetzen sondern durch das OTR Plugin sind auch verschiedene andere Dienste verschlüsselt nutzbar. Eine Möglichkeit sich zu Pidgin zu Informieren findet sich im Piratenwike. Leider kann ich keine Angaben darüber machen welche Dienste sich alles mit OTR verschlüsseln lassen da ich nicht überall Accounts habe, es deshalb nicht in jedem Fall testen kann.


Aufgrund der vielen Hardwareanbieter und der beinahe unüberschaubaren Anzahl von Apps ist das Thema Handy extrem komplex und lässt sich nicht in einem einzigen Beitrag nicht richtig abhandeln. Eine gute Informationsquelle zum Thema Handy ist der Blog von Mike Kuketz bei der es z.B. eine siebenteilige Artikelserie mit dem Namen Android ohne Google?! gab. Auch sonst ist der Blog von Mike Kuketz eine gute Informationsquelle wenn es um das Absichern des Handys geht.


Wer nun vollkommen überfordert ist, sich das alles nicht alleine zutraut braucht nicht gleich die Flinte ins Korn werfen, denn es gibt zwei Möglichkeiten Hilfe zu bekommen. Die Einfachere, weil extra darauf ausgerichtet sind so genannte Cryptopartys die in vielen Städten angeboten werden. Die Seite auf der man sich darüber informieren kann wo und wann die nächste Cryptoparty in seiner Nähe ist findet sich hier. Sollte sich in zumutbarer Nähe keine Cryptoparty finden kann man sich z.B auf Hackerspace.org informieren ob sich ein Hackerspace in der Nähe befindet. Hier muss man allerdings zwei Dinge beachten 1. sollte man nett nach Hilfe fragen und 2. achten Hackerspaces häufig darauf, sich nicht politisch vereinnahmen zu lassen.


Egal ob auf dem Rechner oder dem Handy, überall brauchen wir Passwörter die möglichst gut sind. Auf der Seite Zusammenhang von Brute-Force-Attacken und Passwortlängen werden die Zusammenhänge zwischen Länge und Sicherheit eines Passworts erklärt. Da man sich die vielen verschiedenen Passwörter unmöglich alle merken kann, brauchen wir eine Möglichkeit sie sicher aufzubewahren. Hierfür bieten sich Password Safe und KeePass an die beide OpenSource sind. Ein Vorteil von Password Safe ist, dass es das Tool auch für Android, dass IPhone und auch für Mac gibt.


Über eines sollte sich jeder Leser im Klaren sein = all das kann uns nicht schützen, wenn man echtes Target eines Dienstes ist (weil man z.B. im Verdacht steht an wirklich schweren Straftaten beteiligt zu sein) und diese Organisationen schweres Geschütz auffahren. Wie man sich auch in solchen Situationen weitestgehend schützen kann ist 1. sehr individuell,  weil von vielen Faktoren abhängig und 2. würde jeder Versuch so etwas zu beschreiben den Umfang eines Artikels überschreiten und letztlich wäre es dumm all seine Karten offen zu legen, denn man muss davon ausgehen, dass die Gegenseite hier auch mitliest. 

 

 

Wer jetzt noch mehr Infos haben möchte sollte sich durch die folgenden Links arbeiten

Surveillance Self Defense

Freedom of the Press Foundation

Cyphernomicon

GPG im Browser nutzen

Spurlos – Flucht aus dem System

Zeige Kommentare: ausgeklappt | moderiert

Für Handys lässt sich schon allgemein formulieren, dass für Nachrichten Textsecure (Android) bzw. Signal (iOS) zu empfehlen sind. https://whispersystems.org/ Weniger verbreitet aber sicherlich auch einen Blick wert sind Redphone (Android) bzw. ebenfalls Signal (iOS) für verschlüsselte Telefonate vom gleichen Hersteller.

Eine gute Quelle für sichere Apps für Android ist The Guardian Projekt und auch im Forum von XDA Developer wird man bei einigen Problemstellungen fündig (allerdings ist diese Seite nichts für Laien). Wer gerne TOR auf dem Handy nutzen will findet bei The Guardian Projekt die Tools Orbot und Orweb. Für Aktivisten ist sicher auch SnoopStich interessant, mit dem man 1. IMSI Catcher feststellen kann und 2. kann man sehen ob die Überwacher das eigene Handy mit einer so genannten Stillen SMS geortet haben (eine Methode, die in letzter Zeit dramatisch offt eingesetzt wird).

Ich finde es echt gut dass sich jetzt so viele mit Sicherheit beschäftigen!

Ich weiss nicht, wieviel Vertrauen ich private Firmen wie Posteo oder Mailbox schenken kann.

Ein gutes Einsteigerprodukt ist Crypto.cat, eine Browsererweiterung die OTR sehr leicht zu bedienen macht.

Und zu Android/iPhone: Textsecure ist sicher einer der besten Apps, soll aber nicht überschätzt werden -- die neuen staatlichen Schnüffeltechniken greifen auch die Hardware von Smartphones und PCs, was bedeutet, die sehen den Text den du schreibst, bevor er verschlüsselt wird. Harte Sicherheit erfordert immer noch nutzung von offline Verschüsselung (Papier oder Offline PC) und erst danach Eingabe der verschlüsselten Botschaft in Textsecure.