Ein oft in den Medien auftauchendes Thema ist Anonymität im Internet – sowohl im Zusammenhang mit Tracking und Datenauswertung seitens Google, Facebook und ähnlicher Seiten wie auch im Zusammenhang mit Kriminalität. Dies ist meine Meinung dazu, wie man wirklich anonym sein kann, wenn man die Anonymität denn mal braucht. Diese Anleitung ist für Bürger gedacht, die ihre Privatsphäre schützen wollen und NICHT für Kriminelle. Ich werde dennoch ein paar Hinweise geben, wie ein Krimineller handeln könnte und wie Sie sich dagegen schützen können.
Schritt 1 – Computershopping
Besorgen Sie sich einen weiteren Laptop, idealerweise neu und in bar bezahlt. Lassen Sie ihr Mobiltelefon zu Hause, wenn Sie auf Computershoppingtour gehen. Dies soll die Möglichkeiten einschränken, den Computer mit Ihnen zu verbinden – auch wenn öffentliche Videoüberwachung Ihnen da vielleicht einen Strich durch die Liste macht.
Schritt 2 – geeignetes Netzwerk finden
Das Netzwerk, von dem Sie online gehen ist öffentlich und idealerweise verteilt und noch per VPN getunnelt. Ein vielversprechender Kandidat hierfür ist das Freifunknetzwerk, welches zumindest zu Zeiten der Störerhaftung noch per VPN über Schweden getunnelt wurde. Wie das aktuell aussieht, weiß ich leider nicht genau, aber Freifunk ist an sich schon mal brauchbar. Gehen Sie in ein Cafe oder Hackerspace Ihrer Wahl, wo Freifunk verfügbar ist und loggen Sie sich ins Freifunk-WLAN ein. Bitte lassen Sie auch hier wieder das Mobiltelefon zu Hause (Begründung wie bei Schritt 1).
Wie es (intelligente) Kriminelle machen könnten – Stichwort Wardriving
Der Gangster von Welt nimmt einen Computer, Smartphone o. Ä. und fährt langsam durch die Gegend, während er nach verfügbaren Netzen sucht. Idealerweise findet er alte Netzwerke mit WEP-Verschlüsselung, da diese im Nu geknackt sind. Einmal im geknackten WEP-Netzwerk angekommen, kann sich unser Angreifer wunderbar als die Person ausgeben, auf die der Anschluss zugelassen ist und per Man in the Middle-Angriff auch noch die Kommunikation aller im Netz befindlicher Geräte mitschneiden. Sollten diese Verbindungen keine Transportverschlüsselung mitbringen, was gerade beim Internet der Dinge zum Problem werden kann, so kann er auch noch nebenher die gesamte Kommunikation abgreifen.
Wie Sie sich davor schützen
Gucken Sie, ob ihr Router WPA2 unterstützt. Falls nein, besorgen Sie sich bitte einen neuen Router. Sollte Ihr Router gemietet sein, beschweren Sie sich bitte beim Provider, dass Sie einen Router haben wollen, der zumindest so einigermaßen derzeitigen Sicherheitsstandarts entspricht. Falls ja, schalten Sie bitte WPA2 ein und deaktivieren auch gleich WPS. Auch diese Einstellung kann von Angreifern ausgenutzt werden, da die WPS-Verschlüsselung deutlich schwächer ist als jene von WPA2. WPS ist bei vielen Routern aktiv. Auch macht es durchaus Sinn, das Standartpasswort fürs WLAN zu ändern.
Schritt 3 – ein anständiges Betriebssystem
Es gibt Linuxdistributionen, die extra auf Anonymität ausgelegt sind, beispielsweise Tails. Dieses kann per unetbootin einfach auf einem USB-Stick hinterlegt werden, von diesem dann gebootet werden kann.
Link zu Tails https://tails.boum.org/
Link zu unetbootin https://www.heise.de/download/product/unetbootin-universal-netboot-installer-56487
Stick in Laptop stecken, beim Booten F12 drücken und als Bootoption den USB-Stick auswählen.
Alternativ tut es auch Debian, Arch oder BSD-Derivate. Etwas unbekannter, aber trotzdem sehr schön ist Qubes OS aufgrund der vielfältigen Rechtetrennung.
Schritt 4 – Betriebssystem sinnvoll konfigurieren (entfällt bei Tails)
MAC-Adresse ändern, um Identifikation des Gerätes zu vermeiden.
Jeder Computer hat eine eigene MAC-Adresse. Diese kann aber auf Betriebssystemebene verändert werden. Was Angreifer beim MAC-Spoofing ausnutzen, kann man auch einfach machen, um seine Privatsphäre zu schützen.
Gesamten Traffic über TOR tunneln
Fürs Surfen tuts das TOR-Browser-Bundle. Für etwas mehr Anonymität tunneln wir sämtlichen Traffic über TOR. Ich verlinke hier mal die Anleitung auf cybrary.it
Alle Programme deinstallieren, die man nicht braucht und Betriebssystem aktualisieren.
Dieser Schritt unterscheidet sich von Betriebssystem zu Betriebssystem. Idee dahinter ist, dass jegliche Software Sicherheitslücken enthalten kann, die ein Angreifer ausnutzen kann. Jegliche Software, die man nicht braucht, fliegt deshalb raus. Die Aktualisierung des Betriebssystems inklusive aller Programme dient dem Einspielen von Sicherheitsupdates.
Schritt 5 – anonym surfen
Am besten installieren Sie das Plugin NoScript und blocken so sämtliche Ausführung von Javascript. Installation eines User-Agent-Switchers verrät Internetseiten falsche Informationen über Ihr Betriebssystem und kann beim Verwischen Ihrer Spuren helfen. Auf http://panoptiklick.eff.org können Sie nachschauen, wie individuell der Fingerprint Ihres Browsers ist, den Internetseiten verwenden, um Sie trotz Anonymisierung zu identifizieren.
Schritt 6 – verschlüsselt chatten
Legen Sie sich einen Jabber-Account zu und benutzen Sie Pidgin als Client. Installieren Sie das OTR-Plugin und authentifizieren Sie ihren Chatpartner über eine Sicherheitsfrage oder ein zuvor vereinbartes Schlüsselwort.
Schritt 7 – anonym und verschlüsselt E-Mails schreiben.
Für das anonyme Versenden von Mails gibt es verschiedene Dienste. Schwerer wird die Verschlüsselung. Aufgrund bisheriger Bugs wie #efail, die das Enigmail-Plugin, aber nicht GPG an sich betrafen, empfehle ich Ihnen, den Text Ihrer Email in eine Textdatei zu packen und diese entweder mit GPG oder anderen Verschlüsselungsalgorithmen zu verschlüsseln. Der Standard ist allerdings weiterhin GnuPG. Wer ein One-Time-Pad verwenden will, kann auch dies tun, allerdings muss dazu der Schlüssel zuvor einmal ausgetauscht worden sein. Implementierungen von One-Time-Pads gibts mehrere im Internet, beispielsweise unter https://github.com/topics/one-time-pad
Da bei Github jeder seinen Code hochladen kann und dieser Code ohne Ende verbuggt sein kann, rate ich weiterhin zu GnuPG. Außerdem ist assymmetrische Krypto in Sachen Schlüsselaustausch deutlich einfacher. Ein bisschen was zum Thema OTP habe ich hier mal aufgeschrieben: http://sycramore.de/?p=18
Anmerkungen
TOR findet man inzwischen in jeder anständigen Anleitung zum Thema Anonymität. Viel gehypt, vielleicht gebrochen, derzeit noch unklar. Viele Internetseiten empfehlen die Verwendung eines VPN. Davon rate ich ab, da a) im Ernstfall der VPN-Provider Ihre IP rausgibt und b) das VPN klar erkennbar ist. Man kann mit Proxychains auch mehrere VPNs schichtenmäßig tunneln und im Internet frei zugängliche VPN-Server finden. Da hier der Betreiber oft unbekannt ist, würde ich darauf allerdings nicht vertrauen. VPN-Tunnel sind praktisch, wenn man Ländersperren umgehen möchte, aber nicht, um anonym zu bleiben. Stattdessen schlage ich die Verwendung von Freifunk als weiteren Tunnel vor – eine Idee, die ich bisher weder online noch offline gefunden habe.
XMPP mit OTR ist meine Präferenz beim Chatten, da die Dienste und Clients nicht an eine Telefonnummer gebunden sind. Smartphones würde ich insgesamt nicht einsetzen, wenn irgendwas anonym bleiben soll und schon gar nicht Signal. Bei Telegram ist die Ende-zu-Ende-Verschlüsselung wenigstens an ein Gerät gekoppelt, aber bei Signal mit der Synchronisierung auf mehreren Geräten dürfte es reichen, wenn ein Gerät, welches Signal verwendet, kompromittiert wird. Bei XMPP mit OTR ist der Plaintext halt an das Gerät gebunden.
Die Variante – Email in Textdokument schreiben und dann verschlüsselt anhängen, ist ziemlich oldschool vom Design, aber einfacher ist meistens auch sicherer. Ich bin bei Systemen, wo es um Sicherheit geht, eine Freundin von einfachen Systemen, da diese oft weniger fehleranfällig sind. Da die Nachricht lokal auf dem eigenen Rechner verschlüsselt und erst auf dem Zielrechner entschlüsselt wird, ist diese Methode meines Erachtens relativ robust gegenüber Man-In-The-Middle-Angriffen und ähnlichen Dingen, wo ein Angreifer versucht, Ihnen Code unterzuschieben. In diversen Tutorials, die man zu GnuPG so findet, wird oft die Verwendung mit dem Enigmail-Plugin in Thunderbird gezeigt. Diese hatte die oben genannte Schwachstelle – mehr dazu hier https://www.heise.de/security/artikel/PGP-und-S-MIME-So-funktioniert-Efail-4048873.html
Einen komplett neuen Rechner zu verwenden, hat die Idee, dass die neue Kiste komplett sauber ist. Eine Festplatte mit Zufallszahlen zu überschreiben und danach in einen alten Rechner einzubauen, geht zwar prinzipiell auch, allerdings ist die MAC-Adresse ja an das Gerät gebunden und Sie wissen nicht, wer vielleicht Ihre MAC-Adresse mal irgendwann mitgeschnitten hat. Bei einem neuen Rechner sind mit der MAC-Adresse keine Daten verbunden. Selbst wenn die Verschleierung der MAC-Adresse bei Ihnen nicht funktioniert, kann so zumindest nicht die Anonymität über die MAC-Adresse gebrochen werden.
Disclaimer : Ich übernehme keinerlei Gewähr für die hier getroffenen Aussagen. Ich versuche, meine Blogbeiträge nach bestem Wissen und Gewissen zu verfassen, hafte aber nicht für jegweiligen entstandenen Schaden.
Disclaimer II : Dieser Artikel ist für die gesetzeskonforme Verwendung von Anonymität gedacht – im Sinne des Grundgesetzes und zur Sicherung der Meinungsfreiheit – beispielsweise für investigative Journalisten und ihre Quellen. Er ist explizit NICHT für Kriminelle gedacht. Hiermit lehne ich die Verwendung meines Artikels für kriminelle Machenschaften ab und distanziere mich von einer derartigen Verwendung.
Neueste Kommentare