ubuntuusers.de

Reset The Net – und ein verbessertes Internet

allgemein.png

Eine dunkle Gestalt, gehüllt in einen Kapuzenpullover, das Cappy tief in das Gesicht gezogen, sitzend in einer Ecke eines kleinen Cafés einer größeren Stadt. Die Finger ruhen auf der Tastatur des Laptops, wartend auf ein erstes Opfer – etwa so stellt man sich für gewöhnlich einen Hacker vor, welcher Lücken und Designfehler des Internets ausnutzt, um an Logindaten für soziale Netzwerke, das E-Mail-Postfach oder den Zugang zu diversen Foren zu kommen.

Das Internet weist zugegebenermaßen gewisse Designfehler auf, welche es Hackern, Crackern und vor allem Geheimdiensten in aller Welt ermöglicht, Daten auszuspähen. Aus diesem Problem heraus entstand das Projekt „ResetTheNet“ 🇬🇧, welches sich zum Ziel gesetzt hat, das Internet sicherer zu gestalten. Das Motto des Projekts ist „Don't ask for privacy. Take it back.“ Zu deutsch etwa: „Frage nicht nach Privatsphäre. Nimm sie dir einfach (zurück).“

Ein großes Problem beim Thema „Sicherheit“ ist natürlich, dass jede Person „Sicherheit“ anders definiert und die unzähligen Lösungen zu diversen Problemen auch verwirren können. Aus diesem Grunde gibt es passend zum Aktionstag einen Artikel mit einem Überblick zu diesem Thema.

Wo liegt eigentlich das Problem?

Das grundsätzliche Problem ist, dass die Daten im Internet zum Großteil noch immer unverschlüsselt übertragen werden. Jede Person oder Institution, welche sich Zugang zu einem zentralen Vermittlungsknoten des Internets verschafft, kann somit den Datenverkehr von einem PC, Tablet oder Smartpohne (Client) zu einem Server mitschneiden und auch auswerten. Somit wird man zu einem „gläsernen Bürger“, jedes Abweichen von der Norm wird registriert und führt unter Umständen zu mehr Überwachung. Die Privatsphäre existiert demnach nicht mehr, jeder Schritt kann verfolgt werden, jede Aktion überwacht.

Zugegeben, es gibt einen Vorteil: Man könnte Verbrechen theoretisch schneller aufklären, mit entsprechenden Mitteln könnte man sie vielleicht sogar verhindern. Das wäre soweit auch legitim, allerdings ist es nicht legitim, dafür gleich alle Bürger mehrerer Länder unter Anfangsverdacht zu stellen und zu überwachen. Zumal der Erfolg dieses Überwachungsapparates bisher nicht bestätigt werden konnte; es gibt dazu schlicht keine öffentlich einsehbaren Daten oder Fakten. Des Weiteren werden die Aktionen oftmals von „Geheimgerichten“ legimitiert und entziehen sich damit jeglicher Kontrolle, welche man in einer sogenannten Demokratie gerne hätte.

Was kann ich tun?

Je nachdem, wie viel Wert man auf Sicherheit legt, kann man unterschiedliche Maßnahmen treffen. Diese sind zwar kein Garant dafür, dass man von nun an sicher unterwegs ist, erschweren aber den Zugiff für andere. An dieser Stelle sei abermals erwähnt, dass „Sicherheit“ ein grundsätzlich subjektiver Begriff ist und von jeder Person anders interpretiert werden kann.

Tor-Browser-Bundle

Das Tor-Browser-Bundle kann dazu genutzt werden, um anonym im Internet zu surfen. Es besteht dabei aus einem Tor-Client, einer angepassten Version des Mozilla Firefox sowie dem Tor-Launcher. Die Installation und Einrichtung für Ubuntu ist im Wiki beschrieben. Neben der technischen Seite muss man zudem auch das eigene Surfverhalten ändern: Es macht keinen Sinn jeglichen Internetverkehr nun über das Tor-Browser-Bundle zu erledigen, da etwa bei einem Login auf einer Webseite die Daten einer Person zugeordnet werden können. Zudem können Plugins von Drittanbietern wie etwa Adobe Flash oder auch die Encrypted Media Extensions (EME) unter Umständen den Tor-Proxy umgehen.

HTTPS vor HTTP

Sofern man Tor nicht verwenden möchte, kann man auch einen kleinen Schritt Richtung Sicherheit machen, indem man den Zugriff auf Internetseiten mit https statt http bevorzugt – sofern dies verfügbar ist. Diese Transportverschüsselung verhindert dann ein simples Mitlesen des mitgeschnittenen Datenverkehrs. Die meisten gängigen Browser zeigen, abgesehen vom vorangestellten https: einer URL, auch an, ob die Verbindung zum Server abgesichert ist – entweder über ein vorangestelltes Schloss-Symbol oder auch indem die URL-Leiste beispielsweise grün eingefärbt wird.

https-Browserleisten.png
https-Indikatoren im Firefox: Oben eine https-Verbindungs zu Wikipedia.org, erkennbar an dem kleinen grauen Schloss. Unten eine grüne URL-Leiste, die man vor allem bei Banken findet.

Serviceanbieter

Gleichzeitig sollte man sich überlegen, welchem Unternehmen man seine Daten anvertraut. Hier sollte man gegebenenfalls überlegen, ob man nicht einen Cloud- bzw. E-Mail-Anbieter wählt, welcher der Rechtssprechung des Heimatlandes unterliegt und Verschlüsselungstechnologien wie TLS sowie DANE/TLSA einsetzen. Bei Cloudanbietern kann man auch die Daten lokal verschlüsseln, etwa über EncFS und sie erst dann in die Cloud verschieben.

E-Mail Verschlüsselung

E-Mails können mittels S/MIME oder aber auch durch PGP bzw. GnuPG verschlüsselt werden. S/MIME geht dabei von zentralen Zertifizierungsstellen aus und ist daher nicht unbedingt zu empfehlen, da man dafür den einzelnen Anbietern von Zertifikaten vertrauen muss. GnuPG hingegen setzt dafür auf das sogenannte Web of Trust. Hierbei signiert man die Schlüssel anderer Leute, wenn man sie persönlich trifft und baut sich somit sein ganz eigenes Netz an Personen auf, denen man vertraut. Damit man auch Freunden von Freunden vertrauen kann ohne sie jemals persönlich getroffen zu haben, gibt es sogenannte Trust-Level: Je höher dieser Level ist, desto eher kann man der Person vertrauen. Praktisch umgesetzt wird das über signierte Schlüssel.

Das in Ubuntu vorinstallierte Thunderbird kann mittels der Enigmail-Erweiterung die Funktionalität zur Verschlüsselung via GnuPG erhalten. Evolution sowie KMail unterstützen GnuPG von Haus aus.

Passwörter

xkcd-password_strength.png
Comic zu Passwörtern von xkcd.com
CC BY-NC 2.5

Im Umgang mit Passwörtern sollte man sensibel sein und sich ein Passwort überlegen, welches nicht leicht zu erraten ist. Der Artikel Passwörter gibt hier erste Hinweise.

Sofern man auf vielen Internetseiten angemeldet ist, hat man irgendwann das Problem, dass man sich die Kennwörter nicht immer merken kann. Hierfür gibt es Keyrings, in denen man Schlüssel ablegen kann, welche durch ein einziges Masterpasswort geschützt werden. Linux-Distributionen bringen in der Regel einen entsprechenden Keyring mit. Unter Ubuntu kann man auf diesen beispielsweise mittels Seahorse zugreifen. Damit dieser auch verwendet wird, muss die entsprechende Software allerdings auch eine entsprechende Funktionalität mitbringen.

System verschlüsseln

Die Verschlüsselung des Systems – unabhängig davon ob man eine Vollverschlüsselung nutzt oder nur einzelne Teile des Systems verschlüsselt – ist nur dann wirksam, wenn das System ausgeschaltet ist. Vor allem für tragbare Geräte (Laptops, Notebooks, Tablets, Smartphones etc.) bietet es sich an, das System zu verschlüsseln, da im Falle eines Diebstahls so der Zugang zu privaten Daten erschwert, wenn nicht gar unmöglich gemacht wird.

Ubuntu bietet hierfür bei der Installation die Option an, die /home-Partition oder auch das gesamte Betriebssystem zu verschlüsseln. Die erste Option erschwert dabei lediglich den Zugriff auf private Daten, die letzte erschwert den Zugang zum kompletten System (bis auf die /boot-Partition, welche technisch bedingt nicht verschlüsselt werden kann).

Es ist allerdings nicht möglich, das System nachträglich umzustellen! Wer eine Verschlüsselung nutzen will, sollte dies also bereits bei der Installation wissen.

Der Mythos, dass eine Verschlüsselung das System ausbremst, hält sich zudem auch sehr hartnäckig, ist aber zumindest für neuere Systeme falsch: Aktuelle Prozessorgenerationen besitzen eine AES-Befehlssatzerweiterung und können Datenströme somit direkt in Hardware ver- und entschlüsseln. Die Datenraten liegen hier typischerweise bei bis zu mehr als einem Gigabyte pro Sekunde. Siehe dazu auch den Blogeintrag von encbladexp.

Freie Software

Obwohl freie Software nicht per se als sicherer angesehen werden kann als Closed-Source-Software, so kann es dennoch vorteilhafter sein, freie Software zu verwenden. Der Grund dafür liegt in der Überprüfbarkeit des Quellcodes. Das heißt, man kann einsehen, wie ein Programm arbeitet (vgl. Audit). Dies ist zwingend notwendig, um einem Programm überhaupt vertrauen zu können. Ein weiterer Vorteil ist, dass Sicherheitslücken schneller erkannt und geschlossen werden können. Nachteil ist natürlich auch, dass andere, böswillige Menschen den Quellcode lesen können. Die Vergangenheit hat allerdings gezeigt, dass freie Software in der Regel sicherer ist und entstandene Sicherheitslücken frühzeitig behoben werden.

Übersicht freier Alternativen zu Closed-Source-Programmen
Programm/Dienst freie Alternative
Opera, Chrome Chromium, Firefox, Epiphany
Skype, Google+ Hangouts Ekiga, Mumble
Skype, ICQ XMPP, IRC, Verschlüsselung via OTR
Bing, Google Maps etc. OpenStreetMap

Privatsphäre wahren

Abgesehen von der eigenen Privatsphäre sollte auch die Privatsphäre anderer gewahrt werden. Es ist unhöflich und unter Umständen sogar strafbar beispielsweise Fotos von anderen Personen zu erstellen und diese im Internet zu veröffentlichen (siehe Wikipedia-Artikel zum Recht am eigenen Bild). Es ist ein Zeichen des Respekts, vor dem Aufnehmen eines Fotos, Videos oder ähnlichem die betreffenden Personen zu fragen, ob das in Ordnung geht und kurz darüber zu informieren, was man mit dem erstellten Material geplant hat. Im Gegenzug darf man dies natürlich auch von anderen erwarten, wodurch letztlich die Privatsphäre jedes Einzelnen besser respektiert wird. Dies erfordert allerdings ein Umdenken aller.

Datensparsamkeit

Mittels Tracking ist es möglich ein sehr genaues Profil über Nutzer zu erstellen. Hierbei kommen verschiedene Verfahren zum Einsatz, welche untereinander oftmals kombiniert werden. Diesem Problem kann man begrenzt entgegentreten, indem man nur diejenigen Daten von sich preisgibt, welche auch tatsächlich erforderlich sind. Zudem sollte man nicht nur selbst sparsam mit seinen Daten umgehen, sondern auch den installierten Programmen beibringen, möglichst vergesslich und schweigsam zu sein.

Bei Browsern gibt es hierfür diverse Möglichkeiten:

  • Cookies ablehnen bzw. nur Cookies von besuchten Seiten annehmen

  • Do-Not-Track aktivieren, um Webseiten mitzuteilen, dass man nicht verfolgt werden möchte

  • JavaScript deaktivieren oder nur auf vertrauenswürdigen Seiten zulassen

  • Pop-Up-Blocker einsetzen

  • Werbeblocker einsetzen

  • den Referrer deaktivieren

Einige Addon-Beispiele für den Firefox (teilweise auch für Chrome verfügbar):

Die Situation auf ubuntuusers

Inyoka

Die auf ubuntuusers eingesetzte Plattform Inyoka ist im Moment noch nicht freie Software und muss dadurch viel Kritik erfahren. Allerdings wird im Hintergrund daran gearbeitet, sämtliche unfreien Komponenten zu entfernen und das Projekt selbst als Open Source zu veröffentlichen.

Demnächst wird es hierzu eine Veröffentlichung der noch zu erledigen Punkte inkl. Bitte um Mithilfe geben.

HTTPS

Die Verschlüsselung per SSL/TLS ist ein Thema, welches das Serverteam seit geraumer Zeit beschäftigt. Bisher hatten wir noch kein entsprechendes SSL Zertifikat, dies wurde Anfang 2014 besorgt. Durch den Spendenaufruf im Jahr 2012 konnte auch Hardware beschafft werden, welche es ermöglicht HTTPS anzubieten. Damit HTTPS sinnvoll umgesetzt werden kann, sind aber noch einige Dinge an Inyoka zu modifizieren.

Klar ist mittlerweile, dass HTTPS nur für Clients funktionieren wird, welche SNI Support bieten, veraltete XP Rechner kommen also nicht in den Genuss der zusätzlichen Sicherheit. Auch ein Downgrade der HTTPS Verbindung wird dank HSTS nicht möglich sein, wir möchten beim Rollout von HTTPS also alles richtig machen und bekannte Schwächen so weit möglich umgehen.