Workshop Anonymisierung: Tor und VPN

Das Tor Netzwerk

Das Tor Netzwerk verschleiert die Verbindungsdaten über verschiedene Server. Es bietet aktuell die beste Form der Anonymisierung dar, was wir seit der NSA-Affäre wissen. Der Nachteil ist die geringe Geschwindigkeit. Es ist ebenfalls ein Werkzeug für Menschen in Staaten mit hoher Überwachung, wo Inhalte gefiltert werden uvm. Zusätzlich lässt sich darüber auf hidden services (versteckte Dienste) zugreifen. Das können versteckte Websites sein, die nur über das TOR-Netzwerk zu erreichen sind oder auch Mailserver.

Video zur Erklärung

Aktivieren Sie JavaScript um das Video zu sehen.
Video-Link: https://www.youtube.com/watch?v=eoU4BcuFqvk

Software Bundle zum Download

https://www.torproject.org/projects/torbrowser.html

VPN

Durch ein Virtual Private Network (Virtuelles Privates Netzwerk) kann man seine Adresse (IP) ein Stück weit verschleiern. Der Rechner baut eine verschlüsselte Verbindung mit einem Server im Internet auf. Für Websites sieht es dann so aus, als würde man die Verbindung über den VPN Server herstellen. Die VPN- Verschlüsselung findet findet nur bis zum VPN-Server statt. Zugänge sind oftmals beschränkt käuflich zu erwerben.

http://www.zeit.de/digital/datenschutz/2013-01/serie-mein-digitaler-schutzschild-vpn-ipredator

FritzBox VPN

In der Software der Fritzbox lässt sich ein eigener VPN-Server einrichten. Dadurch kann man jederzeit ein sichere Verbindung zu seinem Router zu Hause aufbauen und darüber im Internet surfen. Dies dient weniger der Anonymisierung, als der Absicherung von kritischen Funktionen wie Online-Banking, wenn man von einem unsicheren Netzwerk wie einem Hotel-WLAN aus arbeiten muss.

http://avm.de/nc/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/49_VPN-Verbindung-zur-FRITZ-Box-unter-Windows-einrichten-FRITZ-Fernzugang/

Sicherheit ist ein Supergrundrecht

So sagte es der ehemalige Innenminister Friedrich, gemeint war aber nicht die Sicherheit der Bürger, sondern die Sicherheit der Wirtschaft und Industrie. Wäre die Sicherheit der Bürger gemeint, würde sich der Staat auch für seine Sicherheit einsetzen. Im Seminar zeigten wir den Vortrag von Linus Neumann zu Bullshit made in Germany.

Aktivieren Sie JavaScript um das Video zu sehen.
Video-Link: https://www.youtube.com/watch?v=p56aVppK2W4

Es geht dort um die Sicherheit der DE Mail und man wird das Gefühl nicht los, dass die Mailkommunikation niemals verschlüsselt werden sollte, sondern der Staat als sicherheitsgarantierender Akteur seiner Aufgabe nur dann gerecht werden kann, wenn er die Kommunikation seiner Bürger überwachen kann. Wenn der Staat nicht mehr nur die Infrastruktur zum Schutz seiner Bürger bereithält, sondern absichtsvoll diese Infrastruktur gestaltet, ist er nach seinen Absichten zu befragen und der bereitgestellten Infrastruktur, wie zum Beispiel der DE-Mail nicht blind zu vertrauen ist, auch dann nicht, wenn es ein Gesetz gibt, dass die DE-Mail für sicher erklärt.

Passwortspeicher

Passwörter

Ein Passwort zu erstellen, ist eine häufige Anforderung im Alltag. Dabei handelt es sich um: Von der Sicherheit der verwendeten Passwörter hängen mittlerweile mehr Dinge unseres persönlichen Lebens ab, als man denkt. Diese Seite ist als Übersicht für Einsteiger gedacht, deswegen lässt sie bewusst an einigen Stellen Details weg oder stellt sie stark vereinfacht dar.

Tipps und Tricks

  • nie für zwei Dienste/Logins das gleiche Passwort verwenden
  • keine Wörter verwenden, die in Wörterbüchern auftauchen (also auch keine Namen von Verwandten oder Haustieren)
  • mindestens 8 Zeichen:
    • Buchstaben in Groß- und Kleinschreibung,
    • Zahlen und
    • Sonderzeichen gemischt
  • keine auf der Tastatur „geschickt“ liegenden „zufälligen“ Zeichenfolgen (auf Tastaturen mit deutschem Layout bspw.: qwertz, hu8ji9ko0 usw.)
  • beim Eingeben von Passwörtern Sitznachbarn freundlich auffordern, wegzusehen
  • an öffentlichen Plätzen Überwachungskameras nicht vergessen
  • Passwortgeneratoren verwenden
    • die „Zufälligkeit“ des verwendeten Generators entscheidet über die Sicherheit
    • im Zweifelsfall mehrere Passwörter generieren und kombinieren oder mit eigenen Einfällen ergänzen
  • häufig (öffentlich) eingegebene Passwörter sollten regelmäßig geändert werden

Häufiges Ändern

Es wird oft empfohlen, Mitarbeiter zu zwingen, ihre Passwörter regelmäßig zu ändern. Eine mögliche Folge solch einer Praxis sind aber Passwörter wie „geheim2012“, „geheim2013“ usw.

Wer sollte mein Passwort wissen wollen?

Auch wenn Kriminelle oder Neugierige es nicht immer auf einen selbst abgesehen haben, können E-Mail-Konten oder Accounts bei Sozialen Netzwerken für ihre Zwecke interessant sein. Denkbar ist ein über einen fremden Account verschleierter Angriff auf einen Dritten.

  • Identitätsdiebstahl
  • Verschleierung von Finanztransaktionen oder verschiedenen Angriffen auf Dritte

So geht es Passwörtern ans Leder

Brute Force („mit roher Gewalt“)

Als sogenannte „Brute Force-Attacke“ bezeichnet man es, wenn schlicht alle in Frage kommenden Passwörter ausprobiert werden. In „Hackerfilmen“ sind dann oft persönliche Kenntnisse über das Opfer gefragt, also beispielsweise der Kosename der Tochter.

In Wirklichkeit – und wenn keine speziellen Kenntnisse zur Verfügung stehen – wird eben ausprobiert, was nahe liegt. Wörterbücher mit mehreren hunderttausend Einträgen sind mit schnellen Desktop-Rechnern innerhalb von Sekunden durchprobiert. In den vergangenen Jahren wurden immer wieder Passwörter bei beliebten Onlinediensten gestohlen, Listen der beliebtesten Passwörter finden sich zuhauf in der Berichterstattung der Medien.

Beispielrechnungen zur Dauer von Brute Force-Angriffen

Wie schnell die Berechnung von 6-Stelligen Passwörtern mit einem schnellen Heim-PC vonstatten geht, hat das Magazin Chip in der Ausgabe 12/2010 beispielhaft überschlagen:

6-stellig Kombinationen geknackt in
Ziffern 1000000 9,7 Sekunden
Kleinbuchstaben 308915776 50 Minuten
Klein- und Großbuchstaben 19770609664 53 Stunden
Alle ASCII-Zeichen 6053450000000 2 Jahren

Im Vergleich dazu bieten Passwörter mit 7 Stellen schon einen wesentlich größeren Schutz:

7-stellig Kombinationen geknackt in
Ziffern 10000000 97 Sekunden
Kleinbuchstaben 8031810176 22 Stunden
Klein- und Großbuchstaben 1028070000000 116 Tagen
Alle ASCII-Zeichen 817215000000000 252 Jahren

Je nach den finanziellen Möglichkeiten des Angreifers lässt sich also jedes Passwortirgendwann knacken. Ob der Aufwand lohnt, liegt in seinem Ermessen.

Gegenmaßnahme: 3 Versuche

Nach wenigen (meist 3) Versuchen mit dem falschen Passwort wird der Account gesperrt. So wird versucht, Brute Force-Angriffe unmöglich zu machen.

Das selbe Prinzip findet sich auch bei EC- und Handy-SIM-Karten.

Hash-Kollisionen

Bei seriösen Betreibern werden die Passwörter der Nutzer nicht im Klartext gespeichert. Stattdessen wird mit Hilfe sogenannter „Hash“-Funktionen ein eindeutiger Wert berechnet. Versucht sich ein Benutzer mit seinem Passwort einzuloggen, wird dieses „gehasht“ und mit dem gespeicherten Hash verglichen. Stimmen beide überein, erhält er Zugang.

Von den Hash-Werten lässt sich nicht auf das Ursprungswort schließen. Mit entsprechender Zeit und Rechenkraft können aber mittels Brute Force viele Kombinationen durchprobiert werden, bis eine den gleichen Hash-Wert ergibt.

Wird eine Tabelle der gehashten Passwörter von einem Betreiber gestohlen, können Angreifer nun in aller Ruhe probieren, für die Hashes die entsprechenden Passwörter herauszufinden. Die gefundenen Passwörter werden dann gespeichert und häufig im Internet veröffentlicht, sodass künftige Angriffe die schon gefundenen Passwörter auslassen können.

Unter diesen Adressen gibt es weiterführende Informationen zum Thema:

Passwortmanager

Nutzt einen Passwortmanager und legt für jeden Login ein neues Passwort an. Es gibt zwei Passwortmanager, die empfohlen wurden:

(Danke an Sebastian Raible für diesen Text)

Was heißt hier „sicher“?

Die Rechenzentren der NSA können sehr große Datenmengen verarbeiten. Ihre Superrechner sind wahrscheinlich in der Lage, Codes zu brechen, die für zivile Rechner noch einige Zeit unknackbar sein dürften. Können sie damit wirklich alle derzeit eingesetzten Verschlüsselungen lesen? Dazu eine Abschätzung: „Was heißt hier „sicher“?“ weiterlesen

Mailverschlüsselung mit Thunderbird

Zu Beginn muss https://www.gpg4win.de/ für Windows installiert werden. Dieses Programm dient dazu den Schlüssel zu erstellen. Mit Thunderbird kannst du auf einem Computer deine Mails empfangen und senden, ähnlich wie Outlook. Warum benutzen wir dann nicht direkt Outlook? – „Mailverschlüsselung mit Thunderbird“ weiterlesen

Mail nicht mit Thunderbird, sondern mit dem Webmailer verschlüsseln

Mit Hilfe einer kleinen Erweiterung für alle gängigen Browser kann man auch mit web.de, gmx.de und Co seine Mail mit einem gpg Schlüssel verschlüsselt verschicken. Das Plugin heißt Mailvelope.

Wir haben auch noch ein Video gefunden, dass euch Schritt für Schritt erklärt, wie man Mailvelope im Browser einrichten kann:

Aktivieren Sie JavaScript um das Video zu sehen.
Video-Link: https://www.youtube.com/watch?v=GHYqQmY6aUM

Cryptoparty – feiern, als wäre der 31.12.1983

Computer, Verschlüsselungstechniken und Party – drei Begriffe, die man nicht spontan miteinander kombiniert, und dennoch ist es genau das, was man erreichen möchte: Verschlüsselung soll nicht ein trockenes IT-Thema bleiben, dem man sich nur in nüchternen Seminarräumen widmet, sondern die…

Read more →

Computer, Verschlüsselungstechniken und Party – drei Begriffe, die man nicht spontan miteinander kombiniert, und dennoch ist es genau das, was man erreichen möchte: Verschlüsselung soll nicht ein trockenes IT-Thema bleiben, dem man sich nur in nüchternen Seminarräumen widmet, sondern die Leute sollen einen entspannten, fast spielerischen Zugang bekommen. „Cryptoparty – feiern, als wäre der 31.12.1983“ weiterlesen

Die Geschichte der Verschlüsselung

Verschlüsselungsverfahren sind grundlegend für Überlegungen zur Sicherheit in der Kommunikation über das Netz. Umfassend historisch erklärt wird das Thema in dem Buch „Geheime Botschaften. Die Kunst der Verschlüsselung“ (link zu amazon).

Empfehlenswert ist auch der Film „Enigma – das Geheimnis„.

Weitere Informationen auch in der Wikipedia.