Beruflich Dokumente
Kultur Dokumente
Version 1
Einleitung
Im realen Leben ist Anonymität die tagtäglich erlebte Erfahrung. Wir gehen
eine Straße entlang, kaufen eine Zeitung, ohne uns ausweisen zu müssen,
Einleitung
beim Lesen der Zeitung schaut uns keiner zu. Das Aufgeben von Anonymität
Windows Einrichten (z.B. mit Rabatt-karten o.ä.) ist eine aktive Entscheidung.
Verschlüsselung
VPNs Im Internet ist es genau umgekehrt. Von jedem Nutzer werden Profile er-
stellt. Website-betreiber sammeln Informationen (Surfverhalten, E-Mail-Ad-
Linux Distributionen
ressen), um beispiels-weise mit dem Verkauf der gesammelten Daten ihr An-
Kryptowährung gebot zu finanzieren. Betreiber von Werbe-Servern nutzen die Möglich-kei-
Kommunikation ten, das Surfverhalten website-über-greifend zu erfassen und Ge-
heim-dienste sammeln anlasslos alle Informationen, die sie zu fassen kriegen
mit ihren Abhörnetzwerken.
Verglichen mit dem Zeitunglesen läuft es auf dem Daten-highway so, dass
uns Zeitungen in großer Zahl kostenlos aufgedrängt werden. Beim Lesen
schaut uns ständig jemand über die Schulter, um unser Interessen- und Per-
sönlichkeits-profil für die Einblendung passender Werbung zu analysieren
oder um es zu verkaufen (z.B. an zukünftige Arbeit-geber). Außerdem werden
unsere Kontakte zu Freunden ausgewertet, unsere Kommunikation wird ge-
scannt, Geheimdienste sammeln kompromittierendes Material…
Neben den Big Data Firmen werden auch staatliche Maßnahmen zur Überwa-
chung immer weiter ausgebaut und müssen von Internet Providern unter-
stützt werden. Nicht immer sind die vorgesehenen Maßnahmen rechtlich un-
bedenklich.
Windows Einrichten
Linux gilt als sehr sicheres Betriebssystem, aber manchmal gibt es Einsatzge-
biete, für die es Windows benötigt wird. Wer aber vertraulich arbeiten und
kommunizieren muss, oder die Sicherheit des eigenen Netzwerks überwa-
chen will, greift lieber zu speziellen Linux-Distributionen.
Windows 10
In Windows 10 wurde das Device-based Tracking weiter ausgebaut. Es wird
für jeden Account auf dem Rechner eine "Unique Advertising ID" generiert.
Diese ID wird auch Dritten zur eindeutigen Identifikation zur Verfügung ge-
stellt.
Windows 10 den Daten Hahn abzuschrauben würde hier den Rahmen spren-
gen, weshalb ich auf die Orientierungshilfe zur datenarmen Konfiguration
von dem Arbeitskreis Informationssicherheit der deutschen Forschungsein-
richtung (AKIF) verweise.
Nützliche Programme
Theoretisch lässt sich jedes Netzwerkgerät auf der Welt über seine MAC-Ad-
resse identifizieren. Eine Motivation, die eigene MAC-Adresse zu verschlei-
ern, ist der Schutz der Privatsphäre in öffentlichen WLAN-Netzen z. B. beim
Nachbarn.
Ein Grund dafür ist, dass MAC-Adressen in öffentlichen LAN- oder WLAN-Net-
zen in der Regel unverschlüsselt versendet werden. Jeder Netzwerkteilneh-
mer kann so nachvollziehen, welches Gerät im Netzwerk angemeldet ist, die
jeweiligen Hardware- Adressen auslesen.
XP-AntiSpy Windows 10
KeePass Für die meisten Programme und Internetdienste benötigt man heut-
zutage aus Sicherheitsgründen viele und vor allem unterschiedliche Passwör-
ter. "KeePass 2" ist perfekt, um bei einer größeren Liste an Zugangsdaten den
Überblick zu behalten.
Die Passwörter werden in einer Datenbank gespeichert und mit Rijndael 256-
Bit verschlüsselt. Diese Verschlüsselung ist überdurchschnittlich sicher und
wird unter anderem auch von Banken eingesetzt. Damit nur Sie an Ihre Da-
ten kommen, versiegeln Sie die Datenbank mit einem Master-Passwort oder
legen eine Key-Datei an, um KeePass mittels einem USB-Stick oder einer DVD
freizuschalten.
Privazer
Privazer ist ein Sicherheits-Tool für Windows, das in der Lage ist, verschie-
dene Arten von sensiblen
Daten zu löschen und so die Privatsphäre des Anwenders zu schützen. Die
auch mit deutscher Oberfläche verfügbare Software berücksichtigt zu diesem
Zweck Informationen wie Cookies, Messenger-Logs, Speicherbelegungen,
Starteinträge oder Index-Listen. Dazu scannt die Software sowohl interne als
auch extern verbundene Laufwerke, beispielsweise Festplatten, SSDs und
USB-Sticks
Unter den Erweiterten Optionen ändert ihr noch die lösch Durchgänge, damit
sicher keine Daten wiederhergestellt werden können.
Eraser
Eraser ist ein einzigartiges Tool, das verspricht, vertrauliche Daten effektiv
von Ihrer Festplatte zu entfernen, indem es sie basierend auf sorgfältig aus-
gewählten Mustern mehrmals überschreibt. Es unterstützt derzeit Windows
XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7,
8, 10 und Windows Server 2012, 2016. Darüber hinaus ist es Freeware und
wird unter der GNU General Public License veröffentlicht. Es verwendet Da-
tenbereinigungsmethoden wie DOD 5520.22-M, AFSSI-5020, AR380-19, Ran-
dom Data und mehr.
Verschlüsselung
Windows ist ein unsicheres Betriebssystem, da kann auch das Passwort beim
Einrichten von Windows nicht viel erledigen. Daher sollten Eure Geheimnisse
gut behütet sein. Mit dieser Anleitung verschlüsselt ihr die ganze Festplatte
mit VeraCrypt.
Hier solltet ihr die Kuznyechik und RIPEMD-160 übernehmen. Nur ein mit
diesen Technologien verschlüsseltes System wie z.B. AES ist selbst nur schwer
zu knacken.
Passwort auswählen
Dies ist ein besonders wichtiger Schritt. Haltet euch an die im Fenster ange-
gebene Empfehlung und nutzt ein mindestens zwanzig-stelliges Passwort mit
einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzei-
chen. Die komplizierteste Verschlüsselung ist nutzlos, wenn man euer Pass-
wort leicht knacken kann
Zufällige Daten Sammeln
Schlüssel erstellen
VeraCrypt zeigt hier einen Teil des erzeugten Schlüssels zur Kontrolle an.
Klickt auf Weiter.
Rettungsdatenträger
Sicher Löschen
Bei der Verschlüsselung kopiert VeraCrypt alle Daten in kodierter Form auf
neue Festplattenbereiche. Daten werden mit der Voreinstellung None wer-
den nur einfach gelöscht und könnten theoretisch mit Spezialtools wieder-
hergestellt werden. Wir wählen deshalb 35-Gutmann aus.
Systemverschlüsselungsvortest
Beim Neustart des Rechners erscheint noch vor dem Windows-Logo die Pass-
wortabfrage von VeraCrypt. Gebt hier das vorher gewähltes Passwort ein und
drückt auf Enter.
Vortest abgeschlossen
➢ Ein VPN schützt konzeptuell gegen Angreifer, die nur den verschlüs-
selten VPN Traffic beschnüffeln könnten. Das ist das Angreifer Mo-
dell, welches die Grundlage für das Konzept ist.
➢ Ein VPN schützt NICHT gegen Angreifer, die neben dem verschlüssel-
ten VPN Traffic auch den unverschlüsselten Traffic beobachten kön-
nen, der hinter dem Server rauskommt. Als billige Anonymisierungs-
dienste sind VPNs daher NICHT geeignet.
Sicherheitsempfehlunge von BSI und NSA für VPNs mit "military
grade security"
Das BSI und die NSA geben in ihren Empfehlungen für VPNs mit hohen Sicher-
heitsanforderungen (für Regierungen, Militär u.ä.) einige allgemeine Hin-
weise, die man teilweise auch dann beachten und einfach umsetzen kann,
wenn man keine extremen Sicherheitsanforderungen hat.
Kurze Zusammenfassung der BSI und NSA Empfehlungen für sichere VPNs:
➢ Die Verwendung von irgendwelchen TLS Tunneln auf OSI Layer 4 für
VPN Verbindungen sollte vermieden werden. Das kommt auch als
nicht als Fallback in Frage (also kein OpenVPN). Die Verschlüsselung
muss auf Layer 3 erfolgen, damit auch die TCP Header verschlüsselt
sind.
➢ Funktionen für die Remote Administration der VPN Server dürfen nur
via VPN zugänglich sein und nicht in das Internet exponiert werden,
egal welche Authentifizierung eingesetzt wird.
Wenn man konkreten Angeboten von VPN-Anbietern mit dieser Liste ver-
gleicht, dann löst sich das PR-Geblubber von "military grade security" in der
Regel ganz schnell in Luft auf.
VPN Technologien
Die für ein VPN notwendige Software steht für unterschiedliche Standards als
Open Source Software zur Verfügung:
➢ OpenVPN: ist ein Klassiker. Die Software arbeitet auf OSI Layer 4
(TCP, UDP) und nutzt TLS, um den Datenverkehr zwischen zwei End-
punkten zu verschlüsseln. Es funktioniert ähnlich wie HTTPS im Brow-
ser. Nachdem ein verschlüsselter TLS Tunnel aufgebaut wurde, wer-
den Daten durch diesen verschlüsselten Tunnel geschickt. Bei HTTPS
im Browser wird HTTP Traffic durch diesen Tunnel transportiert und
bei OpenVPN werden alle Daten durch den TLS Tunnel gejagt.
Es werden Client-2-Server und Server-2-Server Verbindungen unter-
stützt.
➢ IPsec: arbeitet einen Level tiefer auf IP-Ebene (OSI Layer 3) und bie-
tet daher eine höhere Robustheit gegen Lauscher, da auch die TCP-
Header verschlüsselt werden. Der IPsec Standard ist komplex und be-
steht aus mehreren, eigenständigen Teilen:
o Internet Key Exchange (IKE v1/v2) für Schlüsseltausch und -
verwaltung
o Authenticated Header (AH) für die Authentifizierung von Ge-
räten und Nutzern
o Encapsulating Security Payload (ESP) für die Verschlüsselung
der Daten
IPsec kann nicht nur Punkt-zu-Punkt Verbindungen absichern, son-
dern auch komplexe Multi-Side Topologien realisieren. Es wird von
Regierungen und NATO bis VS-GEHEIM verwendet.
➢ WireGuard: ist ein relativ junges Projekt, das wie IPsec auf OSI Layer
3 arbeitet. Ziel von WireGuard ist eine VPN Lösung mit geringer Kom-
plexität in der Protokoll Spezifikation und Implementierung sowie ei-
ner einfachen Anwendung und hoher Performance. Der Quellcode
umfasst derzeit nur 4.000 Zeilen Code (OpenVPN+OpenSSL: 292.000
Zeilen).
Wireguard ist ein Peer-2-Peer VPN. Jeder Peer stellt einen IP-Adress-
bereich zur Verfügung, der transparent mit den Netzen der anderen
Peers über eine verschlüsselte Verbindung gekoppelt wird. Authenti-
fizierung von Nutzern wie bei OpenVPN und IPsec gibt es nicht.
Zudem halten die Entwickler aus Dresden das Debian-Derivat stets auf dem
aktuellen Stand. Das einzige Manko stellen die durch Virtualbox und die zwei
darin laufenden virtuellen Maschinen bedingten hohen Hardware-Anforde-
rungen dar: Für flüssiges Arbeiten sollte der Computer über einen halbwegs
aktuellen Prozessor, reichlich RAM und viel Speicherplatz verfügen. Sind
diese Voraussetzungen erfüllt, stellt Whonix eine der besten Möglichkeiten
dar, jederzeit einen anonymen Internetzugang aufzubauen.
Funktionsweise
Linux-Einsteiger sollten allerdings noch abwarten: Von der Vorgabe der Ent-
wicklerin Rutkowska, Qubes OS solle sich so einfach wie Ubuntu bedienen
lassen, ist das System derzeit noch Lichtjahre entfernt. Im Moment brauchen
auch Linux-Profis einige Tage zum Einarbeiten und Verstehen des Systems.
Für Qubes OS 4.1 arbeitet das Team an einer eigenen GUI-Domain, die dom0
verkleinern und somit noch weniger Angriffsfläche bieten soll. Zudem soll die
Distribution in Zukunft Container anderer Hypervisoren wie etwa KVM unter-
stützen.
Funktionsweise
Die Entwickler verhindern das, indem ein Würfel nur Lesezugriff auf das Da-
teisystem des VM-Templates erhält, auf dem er basiert, sodass ein Würfel
eine solche Vorlage in keiner Weise verändern kann. Zusätzlich bietet Qubes
die Option, sogenannte “disposable VMs” zu erstellen. Diese Wegwerf-Wür-
fel dienen etwa dazu, bei Bedarf E-Mail-Anhänge oder verdächtige Dateien
sicher zu öffnen und hinterher samt der VM zu entsorgen.
Grundsätzlich kapselt Qubes neben dem Wirtssystem mit der GUI auch die
Netzwerk- und Storage-Subsysteme in jeweils eigene Domänen, wie bei Xen
die virtuellen Maschinen heißen. Die verschiedenen Domänen basieren dabei
auf VM-Templates, welche die Rechte der Domäne regeln und das Basisge-
rüst liefern. Das minimale Wirtssystem mit XFCE läuft dabei in der privilegier-
ten Admin-VM dom0. Mit Qubes OS 4.0 wurde das System der Domänen nun
signifikant ausgebaut.
Vorher belesen
Bevor Sie loslegen, bietet es sich im Fall von Qubes an, in der gut gestalte-
ten Dokumentation zu stöbern. Die Installation selbst dauert auf aktueller
Hardware rund eine halbe Stunde, nach dem üblichen Reboot folgt die initi-
ale Einrichtung. Hier sollten Sie als Neuling die Voreinstellungen überneh-
men. Falls Sie am Anfang der Installation Whonix gewählt haben, sollten Sie
es hier aktivieren. Die Einrichtung dauert dann nochmals rund zehn Minuten.
Nach Abschluss der initialen Einrichtung finden Sie sich in einer Umgebung
wieder, die leicht an Fedora erinnert. Alle Bedienelemente sitzen in einer
Leiste am oberen Bildschirmrand. Zunächst sollten Sie durch Klick auf das Q
oben rechts den Qube-Manager starten, der alle verfügbaren Domänen auf-
listet. Jede davon, oder nach Belieben auch Würfel, öffnet eine eigene VM.
Kryptowährung
Wie wohl jeder inzwischen weiss ist BTC alles andere als Anonym. Durch die
Blockchain ist es möglich BTC Transaktion bis zu ihren Ursprung zurück zu
verfolgen. Der Aufwand dafür ist derzeit noch relativ hoch, weshalb es auch
nur bei großen Projekten angewandt wird.
Monero
Wer nun Anonym mit Kryptowährungen bezahlen möchte greift hier auf die
Monero Währung zu. Durch verschiedene Methoden ermöglicht sie es die
Transaktion zu verschleiern.
Schattenadressen
Wenn du ein Monero-Konto erstellst, wirst du einen privaten View Key, einen
privaten Spend Key und eine öffentliche Adresse erhalten. Der Spend Key
wird zum Senden von Zahlungen, der View Key zum Anzeigen von auf deinem
Konto eingehenden Transaktionen und die öffentliche Adresse zum Empfan-
gen von Zahlungen verwendet. Sowohl der Spend- als auch der View-Key
werden zum Erstellen deiner Monero-Adresse genutzt. Du kannst ein View-
Only-Wallet haben, welches lediglich den View Key verwendet. Diese Funk-
tion kann zu Zwecken der Buchhaltung oder Betriebsprüfung genutzt werden,
ist derzeit allerdings unverlässlich, da abgehende Transaktionen nicht abge-
bildet werden können. Du kannst mit der Weitergabe deines View Keys ent-
scheiden, wer dein Monero-Guthaben sehen kann. Monero ist standardmä-
ßig privat und optional halbtransparent!
Ringsignatur
Eine Ringsignatur nutzt die Schlüssel deines Kontos und eine Anzahl von der
Blockchain gezogener öffentlicher Schlüssel (auch bekannt als Outputs) mit-
hilfe einer Methode der Dreiecksverteilung. Im Laufe der Zeit könnten ver-
gangene Outputs mehrmals genutzt worden sein, um Gruppen möglicher Un-
terzeichner zu bilden. Innerhalb des "Rings" potenzieller Unterzeichner sind
alle Ringmitglieder gleichwertig und gleichberechtigt. Es besteht keine Mög-
lichkeit für einen Außenstehenden, auszumachen, welcher der möglichen Un-
terzeichner in einer solchen Gruppe zu deinem Konto gehören. Ringsignatu-
ren stellen also sicher, dass Transaktionsoutputs nicht zurückverfolgbar sind.
Außerdem bestehen bei Monero keine Schwierigkeiten mit Fungibilität, da
jeder Transaktionsoutput glaubwürdige Bestreitbarkeit hat (z.B. kann das
Netzwerk nicht ausmachen, welche Outputs ausgegeben oder nicht ausgege-
ben sind).
Kommunikation
Jabber/XMPP
Die Software ist OpenSource und ein weltweites Netz von tausenden Servern
stellt sicher, dass Jabber nicht juristisch durch gesetzliche Vorgaben kompro-
mittiert werden kann. Übergriffe auf die Privat-sphäre durch Da-
ten-dieb-stahl (z.B. Adress-bücher) hat es bei Jabber/XMPP nie gegeben.
Der Account kann frei gewählt werden, unabhängig von der Telefonnummer.
Bei der Ende-zu-Ende Verschlüsselung gibt es mehrere Alternativen:
Jabber/XMPP Server
➢ Der Server sollte eine SSL/TLS Verschlüsselung nach dem Stand der
Technik bieten. Das kann man beim IM Observatory prüfen oder mit
dem CryptCheck, indem man folgende URL aufruft: https://tls.imir-
hil.fr/xmpp/<domain.tld>
In der Konfiguration Generiert ihr nun einen Schlüssel für euren Jabber Ac-
count und aktiviert alle Standard-OTR-Einstellungen.
Wird nun ein Chatgespräch gestartet findet ihr oben im Chatfenster nun den
Reiter OTR, diesen klickt ihr und wählt den Punkt Private Unterhaltung be-
ginnen.
[Matrix]
Zentrales Konzept beim Chatten in [matrix] sind die "Räume". Man kann sich
auf seinem Home-server neue "Räume" einrichten und dort erstmal
Selbst-gespräche führen. Wenn man eine zweite Person in den Raum einlädt
und diese Person die Einladung annimmt, kann man chatten, Dateien austau-
schen oder telefonieren. Wenn man mehrere Personen in den "Raum" ein-
lädt, hat man einen Gruppenchat. Innerhalb des "Raumes" lassen sich Rechte
an die Mitglieder vergeben, wer administrieren darf, wer neue Mitglieder
einladen darf usw.
Es kursiert das Gerücht, [matrix] wäre aufgrund sicherer Krypto vom BSI für
klassifizierte Kommunikation der Einstufung VS-NfD in der Bundeswehr zuge-
lassen. Das ist eine Legende bzw. irreführende Werbung, also Fake News. Für
die Nutzung des bwmessenger gelten in der Bundeswehr die gleichen Regeln,
wie für unverschlüsselte E-Mails. Faktencheck:
➢ [matrix] und der bwmessenger sind auf der Webseite des BSI nicht
als VS-NfD zugelassenes IT-Sicherheitsprodukt gelistet.
Was also die Journalisten von Computerbase oder Linux News schreiben ist
nur Schall und Rauch was polarisieren soll und mehr nicht!
xxx