Methoxy hat sich bereit erklärt hierbei mitzuhelfen sollte Ihm noch etwas einfallen. Danke soweit dafür.
Das Internet
Nachdem Merkel nun auch bestätigt hat, dass Wir uns nach 30 Jahren Internet, immernoch im Neuland bewegen, sehe ich das Netz der Apokalypse entgegenfahren. Damit Ihr wenigstens da gut durchkommt möchte ich nun ein paar Dinge klären.
Webseiten sind Programme. Zum Teil jedenfalls. Programme wie Apache/LightHTTP oder IIS leiten Anfragen eines Browsers an ein bestimmtes Script weiter. Dieses Script wird z.b durch PHP oder Perl interpretiert und ausgegeben.
Gewöhnlich bekommt man eine HTML Ausgabe.
Nun ist es so, dass diese Programme auch ein System brauchen. Meistens sind es Linux Server, aber es gibt auch Leute die Windows Server verwenden (
). Solche Systeme haben aber auch Sicherheitslücken, die sich erhöhen wenn noch mehr Programme darauf laufen, die man von aussen ansprechen kann. Dazu zählen z.b Mail/Jabber/Streaming/Game Server. Aber auch ein falsch programmiertes PHP/Perl Script kann durchaus dazu führen, dass der ganze Server Kompromittiert wird. Deswegen ist es sehr Wichtig sich mit Sicherheitskonfigurationen auf Servern auszukennen. Da möchte ich jetzt aber garnicht drauf eingehen, da wohl nur ein Bruchteil der User einen Server haben.
Der springende Punkt ist, jedes Programm hat Schwachstellen, und jeder Server kann gehackt werden. Das kann eve&rave passieren. Das kann Youtube passieren (Kam schonmal durch eine SQL Injection vor), und das passiert täglich.
Diese Hacks können durchaus sehr gut geplant sein. Nehmen wir mal an, ich möchte an eure Passwörter. Würde ich auf euren Server kommen, würde ich ganz einfach im Login Request das Passwort was Ihr Absendet irgendwo speichern. Und schon könnte ich eure Nachrichten lesen. Das könnte ich wenn ich auf eurem Server bin zwar sowieso. Aber zum Glück sind Passwörter in der Datenbank als Hash gespeichert, und würden mir sonst verborgen bleiben.
Wenn Ihr jetzt für jede Webseite das gleiche Passwort habt, oder wenigstens für die EMail Adresse, könnt Ihr euch nun denken was euch jetzt blüht. Ich könnte unter Umständen nicht nur eure Facebook Addresse herausfinden sondern euer komplettes Paypal Konto leerräumen, herausfinden wo Ihr wohnt, und über euer Amazon Konto mir ein paar neue PC Teile bestellen.
Ihr wärt nicht die Ersten denen das passiert.
Die Sicherheit, die Datenübertragung und Ihre Grenzen.
Es sollte jedem Klar sein, dass Daten immer Unverarbeitet übertragen werden. Ein Passwort wird hier bei Eve&Rave Unverschlüsselt übertragen. Man kann nun aus mehreren Seiten dieses Passwort abgreifen. Aber auch Kindersicherungen die Daten auf Schimpfwörter und anderen Worten checkt kann euch ohne Probleme das Netz kappen.
Vorallem könnte rein Theoretisch Deutschland selbst diesen Daten speichern. Wichtige EMails, oder MSN/ICQ/Skype Nachrichten werden auch Unverschlüsselt übertragen. Bankdaten und Kreditkarten werden durch https Verschlüsselt übertragen, und das ist auch relativ sicher.
Um Mails, Instant Messenger, und andere Daten zu verschlüsseln kann man Verschlüsselungssysteme wie OpenPGP oder AES verwenden. Es ist schwer in kurzer Form zu erklären wie genau Sie funktionieren, und auch Wikipedia erläutert das sehr Detailiert.
Wichtig sei aber zu erwähnen, dass diese Verschlüsselungen in fast jedem Mail Client Implementiert sind.
Dazu kann euch auch den Beitrag von Reiner Klute ans Herz legen der es relativ verständlich erklärt.
In Clients wie Thunderbird ist es leicht zu benutzen, und bei wichtigen Daten ist das sehr zu empfehlen, in der Hinsicht das sogar Deutschland Millionen Mails mitprotokolliert hat. Es ist anzumerken das die Daten immernoch Unverschlüsselt übertragen werden, der Text ansich, ist jedoch sicher, da dieser ja von Haus aus schon verschlüsselt ist.
Leider unterstützen MSN/ICQ und andere Clients nur bedingt diese Form von Verschlüsselung (Verschwörungstheoretiker dürfen nun aufschreien), alternative Clients wie Trillian und Pidgin unterstützen diese aber. Es gibt jedoch alternativen, um seinen Netzverkehr komplett Verschlüsseln zu lassen. Nur werden die Daten beim Empfänger unverschlüsselt sein, was eigentlich unerwünscht ist.
Darauf gehe ich jetzt ein.
VPN/SOCKS und HTTP Anonymizer
VPN und Socks sind schon eine coole Sache. Meistens sind es Kostenpflichte Server, die für dich den Kopf hinhalten, egal was du tust. Das mag für einige Segen sein, für andere aber auch Fluch.
Ein VPN oder Socks springt für euch als Benutzer ein. Eure Daten werden also nicht von Euch, zu einem Beliebigen Server geschickt, sondern erst zum VPN/Socks Server, und dann an den beliebigen Server Weitergeleitet. Das hat viele Vorteile.
Eure IP bleibt Geheim. Der Betreiber des VPN/Socks wird nun zu Eurer IP Addresse, wenn der Server im Ausland steht, kann man damit Beschränkungen wie die Youtube-Gema Geschichte aufheben. Dazu wird es für den Betreiber der Seite schwierig durch den Verschobenen Standort euren wirklichen Standort herauszufinden. Und zu guter letzt. Jede Aktivität wird verschlüsselt. Unumgänglich. Kein Staat, keine Webseite, kein Hacker kann was dagegen tun, ausser er Manipuliert euren PC.
Der Unterschied zwischen HTTP und SOCKS Proxys ist bei Wikipedia http://en.wikipedia.org/wiki/SOCKS#Comp ... P_proxying erklärt. Leider nur auf Englisch.
Der Unterschied zwischen einem VPN und einem SOCKS Proxy ist, dass ein VPN als Virtuelle Netzwerkkarte in einem Betriebssystem Integriert wird, während ein SOCKS Proxy nur für ein Programm eingestellt werden kann. Bei einem VPN ist also jeglicher Ein/Ausgang verschlüsselt, während ein SOCKS Proxy, nur die Verbindungen des Eingstellten Programmes absichert.
Durch einen VPN werden dann natürlich auch Ausgehende/Eingehende Mails/Instant Messages Verschlüsselt sein. Das große Aber an der Sache ist, dass wie erwähnt, die Daten beim Empfänger unverschlüsselt sind, und auch beim VPN Provider werden die Daten kurze Zeit (hoffentlich unverarbeitet) unverschlüsselt sein.
Dennoch hilft ein VPN seine Identität ausreichend zu verschleiern, da niemand von aussen mitlesen kann, und eure IP Verschleiert ist. Es sollte jedoch klar sein, dass manche Provider einen Deal mit der Polizei haben. Und wenn Ihr Mist baut, trotzdem gefasst werden könntet. Deswegen ist das benutzen von PGP/AES schon wichtig, vorallem wenn die Nachrichten wirklich nur von einem bestimmten Empfänger gelesen werden sollen.
Tracking, Advertisements, Facebook und Co.
Facebook. Meine Lieblings Suchmaschine. Es ist erstaunlich wie bereitwillig Leute alle Ihre Daten Preisgeben. In einem Amerikanischen Unternehmen, das durch eine einfache Begründung "Terrorist" an alle Daten darf. Es sollte auch Klar sein, das Staatliche Behörden euer Facebook Profil verwenden. Sei es die Polizei, oder das Sozialamt. Es kann passieren, und es ist passiert.
Also was tut man dagegen? Klar, kein Facebook mehr verwenden. Aber irgendwie ist es doch recht Praktisch mit seinen Kollegen darüber Veranstaltungen zu planen und Fotos zu tauschen. Bedenkt aber. Wenn jemand Wissen will, wo Ihr am Samstag um 20 Uhr wart, und diese Veranstaltung geplant ist, weiß es auch Facebook, und ebenso die Behörden. Wie kann man das Verhindern? Garnicht. Alternativen gibt es genug. Nur bedenkt, dass die meisten Leute Ihre Privatsphäre nicht so schätzen wie Ihr. Ihr könntent mit der Idee am Ende also alleine dastehen. Ansonsten kann man auch sagen: "So wichtig seid Ihr nun auch nicht". Es bringt mich jedoch schon in Gedanken das so ein Riesenprofil von mir existiert und verwendet werden kann. Wo man einfach einen Namen eintippt, und jegliche Beziehungen, Freunde, Fotos, Treffen, Gefühlslagen, Veranstaltungen, Nachrichten und Politische Gedanken auf einem Blick schön geordnet auf dem Display hat.
Ich selbst nutze Facebook nur noch zum Stalken. Alternativen gibt es leider kaum, Facebook hat eine ziemliche Monopolstellung. Dazu führt es die EU ziemlich an der Nase herum. Und da das Netz Neuland ist, wird sich daran in schnelle auch nichts ändern.
Naja, dann mal weiter im Text.
Tracking Systeme sind richtig fies. Es wär schön wenn man nur anhand eines Cookies einen Nutzer Identifizieren könnte. Diese sind noch leicht zu Deaktivieren. Browser Verraten jedoch sehr viele Details, die nahezu eine Perfekte Identifizierung ohne Cookies ermöglicht. Browser Fingerprints können ganz leicht durch die Daten des Browsers erstellt werden.
Um das Problem etwas zu verkürzen kann ich diesen Beitrag empfehlen: http://www.zeit.de/digital/datenschutz/ ... plomarbeit" onclick="window.open(this.href);return false;
Eine Demonstration des Problems könnt Ihr am eigenen Leib erfahren: http://bfp.henning-tillmann.de/" onclick="window.open(this.href);return false;
Wenn die Daten erstmal Erhoben sind, nützen euch auch keine VPNs mehr, wenn Ihr nur ein paar Mal ungeschützt in solchen Systemen gelandet seid. Das gefährliche an diesen Fingerprints ist. Das diese nichtmal vom Client ausgeführt werden müssen. Normalerweise sind alle Trackingsysteme per Javascript eingebunden. Diese lädt der Browser automatisch, das kann man mit einem leichten Addon deaktivieren. Durch diese Methode können Normale Server durch ein leichtes Script diese Daten erheben, und euch ohne euer Wissen Tracken. Fiese Geschichte das, vorallem wenn Ihr eh schon Unverschlüsselt im Netz seid.
Das Problem erweitert sich vorallem dadurch, das durch diese Daten auch eure Vorlieben und Interessen gespeichert werden können. Und noch schlimmer ist, dass auch eure Seitenaufrufe gespeichert werden. Nehmen wir mal an Facebook hat so einen Tracker drin, von irgend einer Firma. Google hat den drin, Youporn hat den drin, Amazon, Ebay, und 100 andere.
Wenn Ihr einmal in diesem System seid. Dann Prost mahlzeit. Ich seh dieser Entwicklung sehr beunruhigt entgegen.
Es gibt noch eine so genannte Do not Track funktion. Ich habe diese bewusst nicht erwähnt, da die Trackingsysteme selber abfragen muss, ob Ihr getrackt werden wollt.
Was ne Frage. Keiner will getrackt werden. Dementsprechend ist das wie einem Räuber zu sagen das man heute lieber nicht beklaut werden mag.
Kommen wir jetzt zu meinem Lieblingsthema.
"Fuck the System!"
Glücklicherweise verwenden noch nicht viele diesen Browserabdruck und benutzen meisst noch Javascript/Flash um Werbung und Trackingsysteme einzubinden.
Diese kann man durch Addons Deaktiveren. Ich habe nur Erfahrung mit dem Firefox, und meide den Chrome. Demnach sind die unten genannten Addons nur für Firefox. Es gibt jedoch einen AdBlock Plus für den Chrome.
Dazu zählt:
NoScript
Ein Addon um Global Interaktive Inhalte zu Deaktivieren, ausser man erlaubt Sie für eine bestimmte Seite. Das kann anfangs etwas nervig und ungewohnt sein, aber da man das nur einmal machen muss, hält sich der Aufwand in Grenzen. Dazu wird der Browser die Seiten die kein Javascript aktiviert haben wesentlich schneller laden - da logischerweise nur noch HTML und CSS geparsed werden muss. Sollte man eine Seite erlauben, werden jedoch nur die Javascripts ausgeführt, die wirklich nur auf dieser Seite liegen. Externe Inhalte müssen Explizit noch einmal erlaubt werden. Sollte man also eine Seite erlauben, ist Google Adsense immernoch deaktiviert.
Adblock Plus
Macht genau das was es soll. Es hat eine riesen Liste von Werbefirmen, und blockiert diese. Dazu sei anzumerken, das oft Webseiten durch solche Einnahmen Finanziert werden. Sollte euch also eine Webseite gefallen, ist es nur gerecht, den AdBlock für diese Seite zu deaktivieren. Das geht locker mit einem Klick.
Ghostery
Zeigt alle Trackings/AD Betreiber an. Diese kann man nach belieben Blockieren.
Do not Track Plus
Ähnlich Ghostery. Man kann Unterschiede ja in der Addonbeschreibung entnehmen.
Denkt nur daran das zuviele Köche den Brei verderben. Lieber 2 als 4 Addons. Ich fahr eigentlich nur mit AdBlock und NoScript durchs Netz.
Natürlich bringen die zwei Addons nicht komplette Anonymität. Facebook sollte man so wenig wie möglich mit Infos füllen. Wie Oben schon beschrieben immer unterschiedliche Passwörter verwenden. Nicht alles anklicken was toll klingt - wobei mit AdBlock und Noscript man schon recht sicher unterwegs ist.
Ich hoffe der Post hat euch etwas geholfen. Ein bisschen Fachwissen in der IT kann ja nicht schaden. Im nächsten Beitrag werde ich näher auf Anonymisierung und Verschlüsselung eingehen.
