Mittwoch, 21. August 2013

Meine Daten gehören mir und sind streng vertraulich!

Quelle: Wikipedia
In den letzten Monaten ist eines der grossen Themen die Sicherheit der eigenen Daten. Dies wurde für "Otto-Normalverbraucher" spätestens seit den Vorfällen rund um den Fall Edward Snowden bewusst. Die "Ich-hab-nichts-zu-befürchten-Fraktion" wurde Lügen gestraft und es zeichnet sich ab dass seit bekannt werden der "NSA Abschnorchelungen" Verschlüsselungstechnik, VPN sowie Vorkehrungen gegen forensische Datenrekonstruktion einen regelrechten Boom erleben. Dies aus guten Gründen wie die Vorfälle um Glenn Greenwald und seinen Partner David Miranda des britischen Guardian dieses Wochenende vorgefalllen sind. David Miranda wurde für 8 Std.55 Min. (laut Gesetz sind 9 Stunden erlaubt) in London Heathrow ohne Recht auf einen Anwalt von den Zollbehörden festgehalten, alle Geräte wie Handy, Laptop und Datenspeicher wurden beschlagnahmt! Gefunden wurde erstmal NICHTS!!! Deshalb hat man ihn dann nach 8 Std. 55 Min. schweren Herzens wieder freigelassen in sein Heimatland Brasilien, notabene ohne die beschlagnahmten Gerätschaften fliegen lassen. Ich denke nicht dass da lesbare Daten für die Beamten zu finden sind. Der ganze Fall stinkt auch in dem Sinne zum Himmel dass man sich mit an Sicherheit grenzender Wahrscheinlichkeit eher davon versprach dass Glenn Greenwald homosexuell und mit einem Mann verheiratet ist unter die grosse Masse zu bringen und ihn dadurch grossflächig zu diffamieren. Natürlich ist das nur bei den Ewiggestrigen möglich. Ausserdem sind die Geheimdienstler beim Guardian eingefahren und haben unter "geheimdienstlicher Aufsicht" Datenträger mit noch unveröffentlichen Daten vernichten lassen. Jungs wie blöd seid ihr eigentlich bei den Geheimdiensten? Glaubt ihr wirklich  es existieren keine weiteren Kopien mehr von diesen Daten?!? Das sieht mir dann doch eher als hilfloses und äusserst stupides Haudraufwienix aus. Die Boulevard Medien haben ihre volle Wirkung der Verdummung entwickelt... Sogar bei den Schlapphüten wie man sehen kann!

Ich habe mir mal darüber Gedanken gemacht wie man sich gegen Schnüffeleien relativ wirkungsvoll zur Wehr setzen kann.


Als Erstes muss man sich im Klaren sein dass es eine hundertprozentige Sicherheit nicht gibt, ausser man akzeptiert im täglichen Umgang mit seinen Daten und Kommunikation Zustände wie vor über 25 Jahren. Der Ansatz meiner Überlegungen ist, diesen Schnüffelschergen es so schwer wie möglich zu machen damit es einen Berg Arbeit produziert und am Ende doch nichts dabei rausspringt... ausser Spesen nix gewesen!!

Grundlegendes: 


• Clouddienste dürfen konsequent NICHT genutzt werden ausser man baut sich seine eigene Cloud, mit eigenem Server Zuhause oder noch besser beim "Opa im Keller" auf, welcher sehr stark verschlüsselt von Auswärts angesprochen werden kann. Natürlich niemals unter Windows oder Mac OS, denn diese Betriebsysteme sind von Hause aus mit Löchern für die Geheimdienste ausgestattet. Diese Variante ist mir persönlich zu aufwändig und macht nur Sinn im professionellen Anwendungsbereich und vor allem wenn es wirklich laufend in der Kommunikation etwas zu verstecken gibt. (Beispiel: Glenn Greenwald und David Miranda) Die Clouddienste meines iPhones sowie des iPad's habe ich komplett ausgeschaltet... Da beide Geräte schon etwas älter sind werde ich sie die nächsten Tage bis Wochen wenn möglich "Jailbreaken" d.h. die Original Software wird in die Richtung modifiziert dass die Löcher gestopft sind. Auch die Ortungsdienste verwende ich nie und sind dauerhaft ausgeschaltet, was aber nicht heisst dass man mich nicht Orten kann wenn man dies als Schnüffelgesindel es denn wollte, denn meines Wissens kann man die verdeckt einschalten wie auch Kamera und Mikrofon. Ausserdem habe ich noch so einige alte Handy's diverser Hersteller welche ich bei entsprechender Notwendigkeit mit meiner Sim-Karte meines iPhones ausstatten kann. Danach kann man mich höchstens noch austriangulieren wie in den grauen alten Tagen. Diese Methode ist aber extrem Aufwändig und ziemlich unzuverlässig.

• Alle Produkte welche mit GPS und W-Lan ausgestattet sind sofort entsorgen oder allenfalls nur noch ohne wichtige Daten- und Kommunikationsvorgänge benutzen. Reine GPS Navigationsgeräte von Tom Tom, Garmin u.a. NIEMALS beim Hersteller registrieren. Nachteil: man hat keinen Zugriff auf aktualisiertes Kartenmaterial oder höchstens über Datenträger der gekauft wurde. Ich persönlich habe mein Garmin registriert, schon vor Jahren! Dafür erhalte ich jederzeit aktualisiertes Kartenmaterial. Ich habe aber noch ein zweites ähnliches Gerät des selben Herstellers welches ich aber nie registriert habe, das aktuelle Kartenmaterial lade ich mir über das Hauptgrät per SD Card auf das Gerät. Es wäre zwar auch möglich direkt über den PC, dann würde aber die Möglichkeit bestehen dass Garmin von meinem unregistrierten Zweitgerät etwas mitkriegt (durch die Software mit der die Updates gemacht werden) und genau das will ich nicht.

• PC's, Laptop etc sollten mit Verschlüsselung ausgestattet sein, vorallem wenn man die Geräte bei Grenzübertritten dabei hat. Auch hier gilt: Sicher ist sicher! Die am besten und zuverlässigste Verschlüsselungssoftware ist und bleibt Truecrypt. Finger weg von Microsoft Bitlocker oder allgemein kommerzieller Software welche ebenfalls von Hause aus mit Löchern für die Dienste ausgestattet ist. Truecrypt bietet den Vorteil dass das Programm Opensource Software ist welches von einer Menge Programmierer verteilt über die ganze Welt entwickelt wurde. Sollte da jemand versuchen ein Loch einzubauen würde dies sofort von den Entwicklern entdeckt und gleich wieder gefixt. Ausserdem würde dieser "Entwickler" wohl kaum mehr an so einer Entwicklung mitwirken dürfen. Truecrypt bietet einige unschlagbare Features welche einigen Staaten wie zum Beispiel Frankreich ganz und gar nicht in den Kram passen. Bei denen ist es Pflicht bei der Verwendung von Verschlüsselungssoftware die Passphrase respektive das Passwort bei den Behörden in Paris zu hinterlegen. Mit Truecrypt kann man dies bedenkenlos, denn damit kann man 2 Passwörter machen. Mit dem einen, welches man bei den Kollegen "Horch & Guck" in Paris hinterlegt sorgt man dafür dass bei Eingabe dieser Passphrase etwas erscheint was vordergründig verschlüsselungswürdig aussieht, also zum Beispiel Bilder und Videos nackter Frauen oder Männer (je nach Präferenz) sowie ein paar (notfalls fingierte) Liebesbriefe mit ausserehelichen Partnern. (ja es kann auch Vorteile haben verheiratet zu sein!) Oder für die ganz harten, die wirklich die volle Behördendröhnung brauchen ein Video von Hollande während eines Puffbesuches... Der Fantasie sind keine Grenzen gesetzt! Das zweite Passwort welches man in der gleichen Eingabeaufforderung anstelle des ersten eingeben kann, enthüllt dann was wirklich vertraulich ist. Gemäss meinen Informationen ist es bis jetzt unmöglich zu erkennen ob zwei Passwörter verwendet werden. Unentschlüsselt sieht es aus als ob der Festplattenteil oder die ganze Festplatte leer wäre. Ausserdem bietet Truecrypt eine fantastische Vielfalt von Möglichkeiten im Umgang mit Memorysticks, SD-Cards etc.

• Der Zugang zu allen sensiblen Daten sollte nur möglich sein über sogenannte Passphrasen oder mindestens über ein 22-stelliges Passwort mit Gross/Kleinschreibung sowie mit Sonderzeichen, denn die Zeiten des "isidor64", wovon isidor der Vorname und 64 der Jahrgang des dazugehörigen Berechtigten darstellt sind längstens vorbei. Ich persönlich handhabe dies seit Jahren so dass ich ein Textstück aus einem Song, Spruch oder Literatur nehme welches für mich was bedeutet und mir dadurch immer irgendwie präsent ist, dann übernehme ich das nicht 1zu1 sondern formuliere es auf jeden Fall um oder benutze das Konträr (also genau das Gegenteil) und setze noch 1337 (Leet) Buchstaben punktuell ein. Der geneigte Leser wird sich jetzt fragen ob ich mich denn wirklich erinnern kann wenn ich an die Daten resp Comp ran muss. Kurzfristig ja, längerfristig meistens, zur Not wird dies natürlich schon noch althergebracht auf einem Zettelchen notiert. wo dies ist...  natürlich weiss ich es! Wer sich allerdings nach drei Tagen z.B. an "C4ugHt_in_a_Landsl!d3*" nicht mehr erinnern kann sollte sich nicht zwingend über seinen Alkohol- oder Drogenkonsum Sorgen machen... das kann schon mal passieren! :D

• Vor Zugang über Fingerabdrücke sowie anderen biometrischen Daten wie es bei moderneren Pro Laptops immer öfter möglich ist rate ich gänzlich ab. Erstens weisen diese Systeme zuviele Mühsamkeiten auf, (Mein HP Probook lässt mich öfters mal erst nach 6-maligem Fingerfummeln einlogen!!) Die Kamera ist immer mit einem Stück GaffaTape zugeklebt und wird nicht verwendet. um das Mikrofon galvanisch zu trennen gibts einen Trick welcher bei den meisten Laptops mit eingebautem Mikrofon funktioniert. Man nehme einen alten Walkmankopfhörer und schneide nur den Stecker direkt am Ansatz ab. Diesen steckt man dann in den Mic Eingang und Ruhe herrscht. Aber Vorsicht... ausprobieren ob internes Mic wirklich ausgeschaltet ist! Ach noch wegen biometrischer Gesichtserkennung: Hey Baby von der Schlapphutfraktion, schön hast du dir das ausgedacht du machst mir vor dass ich vor meinen blockierten Laptop hinhocke der mich erkennt und sofort deblockiert sei für mich praktisch! Im Grunde gebe ich dir ja Recht, und viele uninformierte Dummbatze tun dies sicher auch. Aber weist du, ich habe was dagegen dass dem Hersteller meines Laptops gleich mal meine biometrischen Daten übers Netz zugeschickt werden, denn ich bin kein Dummbatz. Wie z.B. HP mit meinen Daten umgeht gegenüber dir weis ich nicht... Hier gilt die Abwägung: hast du Daten von mir die ich nicht will... ich böse! Hast du Daten von mir nicht... du böse! Besser Du böse als ich!!!

• Kommunikation über E-mail ist NIEMALS sicher. Auch wenn man starke End to End Verschlüsselung verwendet nicht. Niemals Webmail benutzen, also Maildienste welche man über einen Browser beim Provider im Internet abfragt, auch wenn eine SSL Verschlüsselung zwischen meinem Browser und dem Webmailanbieter aktiviert ist. Für die Damen und Herren mit grossem Wissensdurst ist SSL so offen wie ein Scheunentor. Nur Mailprogramme welche direkt auf dem System installiert werden, bieten einigermassen Sicherheit solange man nicht durch einen Trojaner der neugierigen Kollegen infiziert ist. Grundsätzlich ist von allen grossen Mailanbietern wie Google, Yahoo, GMX, Apple (me.com) absolut abzuraten. Am besten verwendet man einen kleinen lokalen Anbieter. E-mail ist für mich wie eine Postkarte, jeder kann lesen was draufsteht, auch der Briefträger und deshalb schreibe ich da auch nichts verfänglicheres rein als in eine selbige.

• Ein weiterer Punkt ist die Bündelung der Kommunikationsdienste. Oft werden sogenannte Gesamtpakete von Providern angeboten. TV, Internet, GSM und Festnetzanschluss in einem. Ich persönlich würde NIE so ein Abonnement lösen. Durch Abschluss eines solchen Abonnements legt man quasi die gesamte Kommunikation in eine Hand. Auch wenn es meistens etwas teurer ist, das Ganze MUSS auf zwei bis drei Anbieter verteilt werden. Damit soll aber nur erreicht werden dass der Angreifer möglichst viel Aufwand betreiben muss um die Daten zusammen zu führen. Ein echter Schutz als solches ist das niemals.

• Als Internetbrowser ist Firefox die beste Wahl. Diesen gibt es für alle Betriebsysteme und er ist kostenlos und ebenfalls Open-Source wie Truecrypt, d.h. auch dort ist es fast unmöglich dass Löcher für die Dienste reinprogrammiert werden können, aus den selben Gründen wie bei Truecrypt. Gemäss meinen Info's ist es für die "Dienste" möglich bei Internetexplorer, Google Chrome sowie Safari direkt die Browserverläufe, Cookie-Informationen etc. auszulesen. Gemäss mehrerer unabhängigen Quellen bei Firefox nicht.

• Bei den Betriebssystemen ist es so eine Sache für sich. Vorallem in der Geschäftswelt verwendet man am weit verbreitetsten Windows bei PC's und Mac OS bei Apple. Laut meinen Informationen sind beide Systeme für den staatlichen Meister Schnuff so offen wie zwei Scheunentore! Linux mit seinen verschiedenen Distributionen definitiv nicht und anscheinend soll sich für die Aluhutfraktion (paranoide) Ubuntu am besten eignen. Ich stütze mich auf fremde Aussagen ohne persönliche fundierte Erfahrungen. 

• Um das Web anonym zu durchsuchen habe ich schon vor vielen Jahren Google links liegen lassen und verwende Startpage/Ixquick. Es gibt aber auch noch Duckduckgo und viele andere als Anbieter. Für Startpage habe ich mich entschieden aus mehreren Gründen: Die Firma ist in Holland beheimatet welches sehr strenge Datenschutzregeln im Gesetz vorschreibt. Zudem werden die Webabfragen nicht aufgezeichnet. Es gibt praktische Features mit welchen man diese Seite nach eigenem Gusto einstellen kann ohne diese zu speichern. Zudem fragt Startpage auch die Suchergebnisse bei Google ab aber so dass als Anfragesteller Startpage/Ixquick als Abfrager bei Google auftaucht, ich als Nutzer bleibe anonym. Als Krönchen bietet Startpage/Ixquick noch bei jedem Suchergebnis einen Direktlink über einen Proxyserver welcher meine Identität als Besucher einer Site unkenntlich macht.

• Um die eigenen Surfspuren im Internet gegen forensische Datenrekonstruktion zu sichern setze ich persönlich seit vielen Jahren den CCleaner von Piriform ein. Diese Software ist in der Standardausführung kostenlos und wird anstelle des "Browserverlauf löschen" im Browser verwendet. Denn Windows speichert nicht nur die angesurften Adressen und Seiten sondern speichert alle geöffneten Dokumente und deren Anwendungen in einer Datei namens Index.dat tief verankert im System. Löschen oder leeren kann man diese Datei nicht ohne Weiteres und sie ist auch im System normalerweise ausgeblendet. Dazu muss man das System im DOS-Modus starten erst dann kann man die Datei löschen. Mit der Zeit wächst die Datei unglaublich an und verlangsamt u.U. das ganze System. Im CCleaner wird diese Datei standardmässig gelöscht entsprechend der Anzahl voreingestellter Überschreibungen. Ich empfehle als Einstellung mindestens das 7-fache Überschreiben mit Leerdaten. Dies wird übrigens als NSA Standartstufe bezeichnet und um die Typen gehts ja. Was für die gut ist ist für uns höchstens billig!! Auf der Stufe 35-fach überschreiben, bezeichnet als Guttman Standard, sind wir sicher dass da nix mehr wiederhergestellt werden kann sowohl bei der Index.dat als auch bei den anderen Verläufen des Systems wie Browser, Dokumente und Anwendungen. Ausserdem hat CCleaner eine sehr praktische Zusatzfunktion, man kann nämlich auch damit seine Regitry auf Fehler überprüfen lassen und sie gleich automatisch beheben lassen. Auch diese Fehler verursachen Leistungsverlust und können sogar Abstürze und Fehlverhalten des Systems bewirken. Die Registry überprüfe ich alle 14 Tage mal und bei Win Vista habe ich da öfters Fehler drin. Die CCleaner Grundfunktion, nämlich Verläufe löschen, mache ich täglich einmal. Das kann aber bei einer 35-fach locker eine Stunde oder mehr dauern, gute Planung wann man das macht ist von Vorteil. Am besten ist macht man es Abends nachdem man das System nicht mehr braucht. Nach Beendigung den Comp unbedingt komplett neustarten denn während diesem Vorgang wird die Index.dat gelöscht und überschrieben. Dies dauert beim ersten mal länger wenn die datei noch gross ist, benutzt man den CCleaner täglich merkt man keinen Unterschied da die Index.dat niemals so umfangreich werden kann. Es gibt noch andere Software die das selbe kann allerdings nicht so komfortabel wie CCleaner. Ein wahrlich mächtiges Instrument und sehr wichtig! Wie es bei MacOS aussieht weiss ich nicht, aber Startpageln wird sicher helfen!

• Als VPN Dienst für anonymes und schnelles Surgfen bietet sich CyberGhost VPN an. Über diese Software hört man eigentlich nur Gutes und sie hat einige nützliche Features ebenfalls an Bord. Aktuell läuft gerade eine Aktion für 49 € pro Jahr für ein Gerät sowie für 79 € für bis zu 5 Geräte. Alternativen von anderen Anbietern gibt es auch. Ich hatte den schon mal in der kostenlosen Version aber werde mir in nächster Zeit eine 5 Platzversion für ein Jahr zulegen... Vorsicht ist die Mutter  der Porzellankiste!

Dieser Blogbeitrag ist als Grundlage zu verstehen. Es war mir unmöglich alle Möglichkeiten aufzuzählen die sich bieten. Ich möchte festhalten dass ich keineswegs durchgehend und andauernd alles verschlüsselt und vernagelt habe. Dieser PC zum Beispiel welchen ich für Games, Blogschreiben und Soundediting benutze ist ein normaler PC mit Windows Vista, unverschlüsselt. Es gibt nichts auf dieser Anlage welche ich nicht mit den auffällig Unauffälligen teilen könnte. Sobald es aber in den professionellen und somit heikleren Bereich geht, habe ich aber noch ganz viele andere Anlagen welche teils mit Truecrypt verschlüsselt sind und notfalls unauffindbar sein werden :))

Hinter diesem Beitrag steckt noch eine ganz andere Absicht: Wir müssen es den Schnüfflern so schwer wie nur möglich machen an unsere Daten zu kommen. Der erste Schritt ist Aufstückelung, jedes Gerät hat seinen bestimmten Zweck. Bestimmte Geräte Smartphones, Tablets sowie Windows oder Mac basierte Systeme sind im Standartzustand so offen wie Scheunentore. Man kann die teilweise abdichten und gemäss der Aussage eines NSA Typs vor kurzem auf einem Mainstreammedien-TV-Sender interessieren die sich besonders für eben die mit den möglichst gesicherten Systemen sowie mit VPNs und Proxydienste. Also Leute die offensichtlich keinen Bock haben sich einfach so bis auf die nackte Haut auszuspionieren zu lassen. Die sind in der terroristisch-paranoiden Weltanschaung der Geheimdienstler anscheinend besonders verdächtig. Ich möchte erreichen dass so viele Leute so verdächtig wie nur möglich erscheinen, am besten jeder der Zugriff aufs Netz hat. Durch einsetzen von möglichst vielen Fallen, Hürden und Stolpersteinen damit die Herren so RICHTIG was zu tun haben. Es wird sich einiges tun in der kurzfristigen Zukunft und noch bessere digitale Stolpersteine werden im Netz erhältlich sein. 

Am Ende möchte ich hier noch folgendes anfügen: Ich will mit diesem Beitrag KEINE Unterstützung und Anstiftung zu Straftaten geben. Ich bin persönlich der Meinung dass im Rahmen der Verbrechensbekämpfung durchaus auch eine Überwachung auf richterliche Anordnung in engem Zeitrahmen gemacht werden darf, immer in Verhältnismässigkeit gegenüber des Ausmasses und der schwere der Straftat welche dabei untersucht wird. Ausserdem hat der Grundsatz der Unschuldsvermutung immer bis nach einem rechtstaatlichen Verfahren und Urteil bis in die letztmögliche Instanz gewahrt zu werden. Früher war das mal Gang und Gäbe, heute nicht mehr und das muss sich ganz schnell wieder ändern.


Update:

Bei den Briten gibt es auch eine Pflicht Verschlüsselungs an die Neugierigen auszuhändigen. Im Fall Miranda wollten die aber noch viel mehr wissen, nämlich Socialmedia- und Emailpasswörter. Man hat ihm gesagt es sei Gesetz dass er dies aushändigen muss und drohte ihm damit bei Nichtangabe ihn in den Knast zu werfen.... traurig. traurig! Irgendwie scheint es mir dass Nötigung, Erpressung, Willkür und Betrug inzwischen zum guten Ruf des modernen postdemokratischen (Un)Rechtsstaat gehören aber irgendwie so ganz neu ist es ja nicht. 

Keine Kommentare:

Kommentar veröffentlichen