Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 24 2014

Rüdiger Weis: Wer unverschlüsselt kommuniziert, kann seine Daten auch gleich an die Geheimdienste schicken

Rüdiger Weis, Professor für Informatik an der Beuth-Hochschule Berlin, spricht im iRights.info-Interview über Kryptographie, die Reaktionen von Internetdiensten und Politik auf die Überwachungsenthüllungen – und darüber, wie jeder mit freier Software für mehr Datensicherheit sorgen kann.

Der Journalist Glenn Greenwald zog in einer Anhörung des Europäischen Parlaments im Dezember folgendes Fazit über die Enthüllungen aus dem Fundus von Edward Snowden: Die Überwachungsprogramme der NSA und seines britischen Partners GCHQ liefen – ohne Übertreibung – darauf hinaus, dass es bei elektronischer Kommunikation schlechthin keine Privatsphäre mehr geben solle.

Für Internet-Dienste – ob E-Mail-Anbieter oder Cloud-Provider – gehen die Enthüllungen auch mit einem Vertrauensverlust einher. Viele Anbieter haben darauf unter anderem damit reagiert, internen Datenverkehr zwischen den Rechenzentren oder den Transport von E-Mails zu verschlüsseln.

Rüdiger Weis ist Kryptograph und Professor für Informatik an der Beuth-Hochschule für Technik Berlin und leitet die Arbeitsgruppe Cryptolabs in Amsterdam. Er ist Mitglied des Chaos Computer Clubs und bei Digitale Gesellschaft e.V. Foto: WP/Tobias Klenze, CC BY-SA.

Rüdiger Weis ist Kryptograph und Professor für Informatik an der Beuth-Hochschule für Technik Berlin. Er leitet die Cryptolabs in Amsterdam, ist Mitglied im Chaos Computer Club und bei Digitale Gesellschaft e.V. Foto: WP/Tobias Klenze, CC BY-SA

Rüdiger Weis, Professor für Informatik und Krytographie-Experte sieht das mit gemischten Gefühlen: Einerseits sei es ein Schritt in die richtige Richtung – andererseits zeige es, wie unverantwortlich die Unternehmen bislang mit Nutzerdaten umgegangen seien und selbst geringen Aufwand scheuten, die Daten der Nutzer zu schützen. Die Industrie sei aber dabei, bei der Datensicherheit umzudenken.

Freie Software zum Verschlüsseln für jeden

„Sicherheit ist immer mit Arbeit verbunden“, räumt Weis ein. Die gute Nachricht aber liege darin, dass für jeden Nutzer Möglichkeiten bereit stehen, selbst für mehr Sicherheit zu sorgen. Mit relativ geringem Aufwand einsetzen lassen sich etwa:

Mehr Aufwand erfordert Ende-zu-Ende-Verschlüsselung mit OpenPGP, die nicht nur den Transport, sondern auch die Inhalte von E-Mails verschlüsselt. Ähnlich ist es mit der Anonymisierungssoftware Tor, die den Datenverkehr über mehrere Ecken schickt. Weil all das freie Softwareprodukte sind, kann man nicht nur die Sicherheit öffentlich überprüfen, sie sind auch kostenlos.

Abschalten sollte man dagegen Verschlüsselungsverfahren, die als gebrochen gelten können, rät Weis. Dazu gehört das Verfahren RC4, das beispielsweise bei gesicherten HTTPS-Verbindungen zum Online-Banking eingesetzt wird. Microsoft etwa hat es bereits weitgehend abgeschaltet, man kann es aber auch selbst im Browser deaktivieren.

„Schengen-Cloud“ und Kryptographie in der digitalen Gesellschaft

Für die Pläne zu einem deutschen oder europäischen Datenverkehr („Schengen-Cloud“) hat Weis ebenso Verständnis wie Unverständnis: Wenn etwa Unternehmen in Deutschland sich vor Wirtschaftsspionage durch den US-Geheimdienst schützen wollen, sei das berechtigt und verständlich. Die Situation in Europa sei aber nicht viel besser, wenn auch der britische Geheimdienst den Datenverkehr umfassend ablausche und mit der Vorratsdatenspeicherung eine „Komplettüberwachung” der Bürger geplant werde.

Kryptographie ist für Weis nicht nur ein Mittel für den Schutz des Einzelnen, sondern hat gesesellschaftspolitische Bedeutung. Er denkt dabei etwa an gesicherte Online-Wahlen, aber auch an digitale Währungen wie Bitcoin. Die Entwicklung digitaler Währungen zeige jedoch ebenso, wie Bürger sich dort vom Staat abwenden und ihm Loyalität entziehen können, wo es um seine Kernaufgaben geht. Wenn Staaten die Bürger nur mehr als Gefahrenquelle ansehen, werde diese Tendenz der Abwendung noch weiter gestärkt, warnt Weis.

January 04 2014

Seda Gürses: Bei der Privatsphäre darf es keine Zweiklassengesellschaft geben

Technologien wie Tor und Verschlüsselung für Mails bleiben trotz der Angriffe der NSA darauf wichtige taktische Werkzeuge, sagt die Informatikerin und Privacy-Expertin Seda Gürses im iRights.info-Interview. Es komme aber darauf an, dass die Technologien nicht nur für einige, sondern für alle Nutzer zugänglich werden.

iRights.info: Wir haben schon letztes Jahr miteinander gesprochen – hauptsächlich über soziale Netzwerke und Datenschutz. Welche Entwicklungen gab es in diesem Jahr?

Seda Gürses: Soziale Netzwerke waren­ auch in diesem Jahr Thema, aber ich würde den Schwerpunkt diesmal woanders setzen, nämlich darauf, wer kon­trolliert, was gezeigt wird und was nicht. Das ist meiner Meinung nach auch ein Teil von privacy im Sinne von informationeller Selbstbestimmung.

Seda Gürses ist Informatikerin und beschäftigt sich mit Privatsphäre und Datenschutz, Sicherheit und Überwachung, und Anforderungsanalyse. Sie forscht an der NYU in New York am Media, Culture and Communications Department.

Seda Gürses ist Informatikerin und beschäftigt sich mit Privatsphäre und Datenschutz, Sicherheit, Überwachung und Anforderungsanalyse. Sie forscht an der NYU in New York am Media, Culture and Communications Department.

Vor allem Facebook scheint Probleme mit politischen Inhalten zu haben. Bei den Protesten in der Türkei seit Ende Mai war zu sehen, dass Facebook irgendwann Zensur ausgeübt und bestimmte Inhalte nicht mehr gezeigt hat. Wir haben mit Richard Allen („Director of Policy“ bei Facebook, Anm. der Red.) gesprochen, der bestätigt hat, dass Face­book kurdische Seiten zensiert hat. Er sagte, dass geschehe bei Seiten, die die PKK und Terroristengruppen unterstützt haben.

Ich habe mit einigen dieser Gruppen gesprochen. Sie hätten zum Beispiel nur über Unabhängigkeitsbewegungen in Syrien berichtet, die kurdische Wurzeln hatten – das wurde dann von Facebook gelöscht. Zensiert wurden nicht nur Postings, sondern ganze Seiten und Gruppen. Die Maßstäbe von Facebook waren teilweise härter als die der türkischen Regierung.

iRights.info: Was waren die Folgen dieser Löschungen?

Seda Gürses: Besonders Bürgerjournalismus-Projekte verloren teilweise ihre Arbeit von Monaten, weil sie Facebook als Archiv nutzten. Das ist vielleicht nicht sehr schlau gewesen, dass sie das auf Facebook gemacht haben, aber es fehlten ihnen die Ressourcen, eigene Server aufzusetzen.

iRights.info: Wie kam Facebook dazu, diese Gruppen zu zensieren? Und wie sah es bei den anderen Netzwerken aus?

Seda Gürses: Es gab Gerüchte, dass Facebook mit der türkischen Regierung zusammengearbeitet hätte. Ich habe nachgefragt und Face­book hat das bestritten. Andererseits gaben Offizielle des Staates in den türkischen Medien zu, sie hätten mit Facebook zusammengearbeitet. Das ist schon etwas merkwürdig. Angeblich schickten sie auch Leute zu Twitter, hätten dort aber wenig Erfolg gehabt.

iRights.info: Edward Snowden und PRISM, die Überwachung durch die NSA ist wahrscheinlich das wichtigste Thema in diesem Jahr in der netzpolischen Diskussion. Welche Konsequenzen hat das für die Privacy-Debatte?

Seda Gürses: Es macht den Leuten bewusst, was mit diesen Technologien möglich ist. Privacy ist nicht nur ein Problem zwischenmenschlicher Beziehungen – also zum Beispiel, dass meine Mutter nicht erfahren soll, dass ich schwul bin. Es ist nicht nur ein Konsumentenproblem, also dass mein Konsumverhalten getrackt wird und ich vielleicht von Firmen diskriminiert werde. Das, was wir jetzt sehen, ist, dass diese Firmen – manchmal freiwillig, manchmal gegen ihren Willen – Teil eines riesigen Überwachungsprogramms sind.

Viele Leute schauen jetzt zum Beispiel mit größeren Fragezeichen auf Klarnamen-Policies, also die Forderung von Webservice-Anbietern, sich mit dem eigenen, richtigen Namen anzumelden. Für politische Aktivisten in vielen Ländern war das schon lange ein Problem.

Ich hoffe außerdem, dass diese komische Unterscheidung zwischen sogenannten zivilisierten Ländern und den Ländern mit autoritären Regimen aufweicht, jetzt wo wir sehen, dass die westlichen Länder nicht nur Überwachungstechnologien in andere Länder exportieren, sondern im gleichen Maße ihre eigenen Bürger überwachen.

iRights.info: Sollten wir jetzt alle unsere Kommunikation verschlüsseln, anonym mit Tor surfen und PGP-Verschlüsselung für unsere E-Mails nutzen?

Seda Gürses: Grundsätzlich ist das nicht falsch. Wir müssen daran arbeiten, solche taktischen Werkzeuge, die ein bisschen mehr Schutz gegen Überwachung bieten, zu unterstützen. Aber wir müssen auch drauf achten, dass es keine Zweiklassengesellschaft gibt, in der manche Leute Zugang zu Technologien erhalten, die Überwachung zu vermindern, und andere gar nicht. Die Technologien müssen zugänglicher werden, um sie effektiv benutzen zu können.

Es ist nicht klar, ob Tor es zum Beispiel aushalten würde, wenn es alle Nutzer gleichzeitig benutzten. Das ist eine Kapazitätsfrage. Es gibt mathematische Modelle, die besagen, dass wenn viele Leute auf der Welt Tor benutzen, die Verteilung der unterschiedlichen Verbindungen zwischen ihnen es erlauben würde, herauszufinden, wer mit wem kommuniziert. Dazu sollte es nicht kommen und deshalb besteht weiterhin Entwicklungsbedarf.

iRights.info: Sind denn die üblichen Verschlüsselungstechniken wirklich sicher? Kann die NSA nicht doch mitlesen?

Seda Gürses: Nein, so einfach ist es nicht. Die meisten Kryptografen sagen, dass die NSA die Verschlüsselungen selbst nicht geknackt hat, sondern die Schwachstellen in der Umgebung darum ausnutzt. Die meisten Verschlüsselungstechniken sind, soweit wir wissen, mathematisch gesehen in Ordnung. Aber Kryptografie ist nicht nur Mathematik. Sie muss implementiert werden. Um die Implementierung global zugänglich zu machen, muss es irgendeine Standardorganisation oder zumindest eine Verständigung geben, an die sich alle halten, und hier setzt die NSA an.

Mit Kryptografie verschiebt man das Problem der Geheimhaltung der Inhalte auf die Geheimhaltung der Schlüssel. Bei einer Verschlüsselung verschlüsselt man die Information, die man schützen möchte, mit einem kryptografischen Schlüssel und versteckt diesen anschließend. Das Problem ist also: Wer hat diesen Schlüssel? Und wer hat Zugang dazu? Wir wissen, dass die NSA Personen oder Firmen dazu gezwungen hat, ihre Schlüssel herzugeben. Zum Beispiel die Firma Lavabit, die verschlüsselte Webmail-Zugänge angeboten hat.

Das kryptografische Verfahren an sich wurde nicht gebrochen. Lavabit war sicher nicht die einzige Firma, die ihre Schlüssel hergeben musste, nur normalerweise dürfen diese nicht darüber sprechen. Der Betreiber von Lavabit, Ladar Levison, hat sich dafür entschieden, an die Öffentlichkeit zu gehen und den Service einzustellen, weil er wusste, dass er die Sicherheit der Nutzer nicht ausreichend gewährleisten konnte, wobei auch er keine Details verraten durfte.

iRights.info: Ist das auch bei den SSL-Verschlüsselungen passiert? Das ist die Verschlüsselung, die die auf Webseiten benutzt wird, zum Beispiel beim Online-Banking. Das erkennt man anhand des klei­nen Schlosses in der Adresszeile des Webbrowsers.

Seda Gürses: Genau. Die Geheimschlüssel sind bei den Anbietern, und wenn sie die hergeben, hat das genau den beschriebenen Effekt.

iRights.info: Was bedeutet das für mich als Nutzer? Was soll ich tun?

Seda Gürses: Sich mehr mit Verschlüsselung auseinanderzusetzen, ist auf jeden Fall gut. Wenn zum Beispiel nur die Menschen, die etwas zu verstecken haben, Verschlüsselungen benutzen, werden sie automatisch verdächtigt, auch ohne dass die Nachrichtendienste die Inhalte ihrer Kommunikation kennen.

Das ist eine Art Solidarität: Man verschlüsselt seine Nachrichten nicht nur in der Hoffnung, dass sie vertraulich bleiben, sondern auch weil man dadurch Personen unterstützt, die wirklich etwas verbergen müssen – aus unterschiedlichsten Gründen, zum Beispiel weil sie Journalisten oder Aktivisten sind, oder einfach weil sie keine Lust haben, dass die Serviceprovider ihre Kommunikation mitlesen.

iRights.info: Wo liegen denn die größten Probleme?

Seda Gürses: Im Augenblick sehe ich diese bei den ganzen mobilen Geräten, die wir ununterbrochen mit uns herumtragen. Die Sicherheit auf Mobiltelefonen ist schlicht eine Katastrophe. Sie sind komplett unter der Kontrolle der Firmen, die die Software und Hardware anbieten. Man kann zwar eigene Betriebssysteme auf das Handy spielen und das hilft auch ein bisschen. Aber sobald man eine App herunterlädt, ergeben sich große Sicherheitslücken. Man muss also entweder Einbußen bei der Funktionalität oder bei der Sicherheit hinnehmen.

iRights.info: Haben die ganzen Cloud-Dienste die Überwachung eigentlich erleichtert und möglich gemacht? Sollten wir mehr auf – verschlüsselte – Festplatten speichern?

Seda Gürses: Das ist schwer zu sagen. Manche Leute aus der Security-Community setzen darauf, dass, wenn wir großflächig auf Cloud-Dienste verzichteten, die Kosten für die Nachrichtendienste steigen würden, auch wenn die Überwachung sicherlich trotzdem stattfinden würde. Auch wenn wir alles verschlüsselten würde das nicht all unsere Probleme lösen, denn wir können auch unseren Rechnern nicht einfach so vertrauen.

Im Prinzip müsste man einen Zweitrechner haben, der nicht ans Internet angeschlossen ist, auf dem man die Daten verschlüsselt. Das ist aber keine Arbeitsweise für Menschen, die noch etwas anderes zu tun haben im Leben oder nur mit ihren mobilen Geräten das Internet nutzen können. Deshalb gibt es auch die Meinung, dass wir das über die Politik regeln müssen, weil es allein über Technologie nicht möglich ist.

Es gibt aber auch die Meinung, dass nun, wo die Überwachungskapazitäten in der Welt sind, irgendjemand sie benutzen wird. Wir werden im kommenden Jahr sehen, in welche Richtung es geht.

iRights.info: Wo sehen Sie die wichtigsten Entwicklungen für die Zukunft?

Seda Gürses: Ich denke, mehr Leute werden sich mit der Sicherheit von mobilen Geräten beschäftigen, und ich hoffe, dass sie Fortschritte machen. Die Sammlung von Information, die im Moment über Mobiltelefone stattfindet, ist erschreckend – zumal sie uns eindeutig identifizieren. Mobiltelefone verraten ständig, wo wir uns bewegen. Ich hoffe, dass sie unsere Geräte werden und nicht die Instrumente von Firmen und Staaten bleiben, wie es sich jetzt herausgestellt hat.

Ich würde mir wünschen, dass die Diskussion über Überwachung und Sicherheit nicht der Logik des Kalten Krieges folgt, sondern dass wir schauen können, was eine solche Überwachung bringt, was sie uns wegnimmt, welche politischen Probleme übrig bleiben. Wir folgen derzeit stark diesem NSA-Blick auf die Welt und vergessen teilweise, dass wir auch andere Probleme haben – auch mit der Technologie – als Konsumenten, als Leute in Institutionen, als Menschen, die miteinander kommunizieren. Ich hoffe, dass wir diese Differenzierung wiederfinden. .

Dieser Text ist auch im Magazin „Das Netz – Jahresrückblick Netzpolitik 2013-2014“ erschienen. Sie können das Heft für 14,90 EUR bei iRights.Media bestellen. „Das Netz – Jahresrückblick Netzpolitik 2013-2014“ gibt es auch als E-Book, zum Beispiel bei Amazon*, beim Apple iBook-Store* oder bei Beam (* Affiliate-Link).

December 09 2013

Tor bleibt Geheimdiensten ein Dorn im Auge

Der Kampf um die Anonymisierungssoftware Tor ist ein stetes Wettrennen, bei dem die Geheimdienste immer wieder aufholen, das System bislang aber nie ganz knacken konnten. 

Das Anonymisierungstool TOR ist über die Jahre vielfach ausgezeichnet worden. So gewann das Tor Project im Jahr 2011 den Preis der Free Software Foundation. Wichtiger jedoch sind die Finanziers, die sich das Projekt über die Jahre sicherte: Von Google über die Knight Foundation bis hin zur amerikanischen National Christian Foundation – sie alle sahen in der Mission des Projekts, Internetnutzern das Recht auf Anonymität und freien Internetzugang zu verschaffen, ein unterstützenswertes Vorhaben. Die wohl bemerkenswerteste Auszeichnung hingegen wurde hinter verschlossenen Türen ausgesprochen, wie Whistleblower Edward Snowden enthüllte: „Tor stinkt“, heißt es in einer Präsentation des Geheimdienstes NSA.

Das heißt: Selbst die Schnüffler, die über Jahre unbemerkt Angela Merkels Handy und internationale Glasfaserverbindungen ausspioniert und Verschlüsselungsstandards sabotiert haben, konnten dem Open-Source-Projekt nicht alle Geheimnisse entreißen. Dabei wird das Projekt bis heute von der US-Regierung mitfinanziert.

Das Netzwerk war einst mit Unterstützung der US-Regierung geschaffen worden, um beispielsweise Dissidenten in China und Iran Zugriff auf das Internet zu verschaffen und gleichzeitig ihre Identität vor den staatlichen Zensoren zu verbergen. Gleichzeitig diente die Verschlüsselungsinfrastruktur auch als Untergrund-Netz, in dem Kriminelle zunehmend florierende Geschäfte machten.

Das Grundprinzip der Software ist das sogenannte Onion-Routing: Gleich den Schalen einer Zwiebel wird eine verschlüsselte Verbindung über die anderen gelegt. Oder anders ausgedrückt: Das dezentrale Netzwerk schickt den Datenverkehr so lange hin und her, bis der Ursprung für Mitlauscher nicht mehr festzustellen ist. Doch das alleine reicht nicht aus, um die eigene Identität sicher zu verstecken: Denn wenn ein Angreifer in den Datenstrom hineinsieht, nachdem dieser das Tor-Netzwerk verlassen hat, sieht er weiterhin identifizierende Informationen.

Vorsicht: Mitleser

Wer zum Beispiel eine E-Mail per Tor verschickt, legt weiterhin seine Absenderadresse offen. Wer sein Passwort über Tor versendet, sollte darauf achten, dass die Verbindung verschlüsselt ist. Bereits 2007 machte der Schwede Dan Egerstad Schlagzeilen, weil er aus dem Datenstrom von mehreren Tor-Exit-Nodes – also den Kupplungen zwischen dem Tor-Netz und dem normalen Internet – die E-Mail-Zugangsdaten von hundert Behörden und Diplomaten extrahiert hatte.

Die Dezentralität des Tor-Netzwerkes ist gleichzeitig Stärke und Angriffspunkt. Wenn Geheimdienste selbst Tor-Server betreiben oder den Datenverkehr der bestehenden Server überwachen, können sie trotzdem nicht den Ursprung der Datenpakete ermitteln. In den von Snowden offengelegten Dokumenten erklären die NSA-Spezialisten klar und deutlich: „Wir werden niemals fähig sein, alle Tor-Nutzer jederzeit zu deanonymisieren.“

Doch gleichzeitig liefert das Papier eine ganze Reihe an Möglichkeiten, wie die Identität der Tor-Nutzer aufgeklärt werden kann. Zum Beispiel kann der Datenstrom nach Cookies durchsucht werden, die wiederum Rückschlüsse auf die Identität eines Nutzers geben. Explizit erwähnen die Analysten dabei die Google-Tochter Doubleclick, die auf fast jeder kommerziellen Webseite ihre Cookies hinterlässt. Wird der gleiche Cookie auf einer unverschlüsselten Verbindung wiederentdeckt, liegt die Identität des Tor-Nutzers offen.

Die Tor-Entwickler sehen in dem Papier jedoch keine verschärfte Gefahr: „Wir haben immer noch viel Arbeit vor uns, um Tor gleichzeitig sicher und einfacher nutzbar zu machen – aber die NSA-Präsentation stellt uns vor keine neuen Herausforderungen“, erklärt Tor-Projektleiter Roger Dingledine. So legt das vom Projekt selbst vertriebene Tor-Browser-Bundle erst gar keine Cookies an – daher kann die NSA diese Informationen auch nicht aus dem Datenstrom fischen.

Doch wie Kryptografie-Expterte Bruce Schneier erläuterte, kommt die NSA mittlerweile auch ohne solche Cookies aus. Die Attacken der NSA waren zum Teil deutlich ausgefeilter. Screenshots der Auswertungssoftware Xkeyscore legen nahe, dass die Geheimdienstleister Tor-Nutzer routinemäßig überwachen – so sie denn eine Gelegenheit bekommen.

Drogenmarktplatz und andere verborgene Dienste

In den vergangenen Jahren machte Tor nicht mehr nur als Hilfsmittel für Demokratiebewegungen oder Regimegegner von sich reden, sondern auch als Sammelpunkt krimineller Aktivitäten. So machte der nur über Tor erreichbare Drogenmarktplatz Silk Road seit 2011 Schlagzeilen, weil er es schaffte, den Drogenfahndern ein Schnippchen zu schlagen. Dass der mutmaßliche Betreiber Ross William Ulbricht Anfang Oktober 2013 schließlich doch gefasst werden konnte, lag nach vorliegenden Informationen nicht an einer Schwachstelle im Tor-Netzwerk. Den Ermittlern war eine verdächtige Sendung an Ulbrichts Privatadresse aufgefallen. Seinen Briefkasten konnte Ulbricht nicht mit Tor verschlüsseln.

Anders jedoch liegt der Fall bei Freedom Hosting, einem Dienstleister für verborgene Dienste im Tor-Netzwerk, der zum einen Angebote wie Marktplätze für gestohlene Kreditkarten und Kinderpornografie beherbergt haben soll, zum anderen auch Dienste wie den anonymisierten E-Mail-Dienst Tor Mail. Freedom Hosting wurde im August 2013 bei einer internationalen Aktion zerschlagen, die offenbar von der US-Bundespolizei FBI angeführt wurde; der mutmaßliche Betreiber Eric Eoin Marques wurde in Irland verhaftet.

Doch statt die Server nur lahmzulegen, gingen die Strafverfolger augenscheinlich weiter. So bekamen Nutzer der Dienste zuerst eine Fehlermeldung angezeigt, dass die Dienste Wartungsarbeiten unterzogen würden. Beim Aufruf der Seite luden die Nutzer aber ein Javascript-Programm herunter, das auf eine Sicherheitslücke in der von Tor verwendeten Version des Firefox-Browsers zielte.

Nach Analysen der Attacke scheint klar: Sie diente dazu, so viele Nutzer wie möglich zu enttarnen. Obwohl bis heute keine konkreten Schritte gegen identifizierte Tor-Nutzer bekannt wurden – das bloße Besuchen eines Tor-Service kann nur schwerlich als Straftat gewertet werden – waren viele Nutzer verunsichert. Trotzdem stieg die Nutzung des Tor-Netzwerkes nach dem Bekanntwerden der Attacken deutlich an; allerdings war zumindest ein Teil davon auf eine Schadsoftware zurückzuführen, die auf das Anonymisierungsnetzwerk zur Kommunikation zurückgriff.

Nutzer bleiben identifizierbar – zumindest in der Theorie

Mögen die Geheimdienste in ihren Bemühungen um Tor nur mäßig erfolgreich gewesen sein, gibt es neue Gründe zur Besorgnis: Ein neues Forschungspapier vom US-Sicherheitsforscher Aaron Johnson legt nahe, dass durch eine geschickte Analyse des Datenverkehrs der Tor-Nutzer über sechs Monate 80 Prozent der Nutzer identifiziert werden konnten.

foto_Kleinz_sw_opt

Foto: Oliver Kleinz

Tor-Projektleiter Dingledine gesteht das Problem ein – bezweifelt aber, dass die Geheimdienste schon in der Lage waren, diese Methode auszunutzen. „Der britische Geheimdienst GCHQ hat in der Vergangenheit einige Tor-Relays betrieben, aber ihre Zahl und Betriebsdauer genügte nicht für die beschriebene Attacke“, erklärt er. Durch neue Sicherheitsmechanismen will Tor diese Attacken zumindest erschweren.

Torsten Kleinz ist freier Journalist und schreibt seit über zehn Jahren darüber, was das Netz und die Welt zusammenhält.

 

Dieser Text ist im Rahmen des Heftes „Das Netz – Jahresrückblick Netzpolitik 2013-2014“ erschienen. Sie können es für 14,90 EUR bei iRights.media bestellen. „Das Netz – Jahresrückblick Netzpolitik 2013-2014“ gibt es auch als E-Book, zum Beispiel über die Affiliate-Links bei Amazon und beim Apple iBook-Store, oder bei Beam.

November 01 2013

NSA infiltriert Google- und Yahoo-Netzwerke, Adobe-Kopierschutz, iCloud-Schlüsselbund

In den Cloud-Links der Woche: NSA zapft interne Datenleitungen an, US-Dienste wollen E-Mail sicherer machen, neuer Kopierschutz für E‑Books von Adobe, Klage um Streaming-Einnahmen und Passwörter bei iCloud.

NSA soll auch in interne Netze von Google und Yahoo eindringen

Wie zuerst von der Washington Post berichtet, zapft die NSA in Verbindung mit dem britischen Geheimdienst GCHQ offenbar auch interne Datenleitungen von Google und Yahoo an. Im Unterschied zum bereits bekannten „PRISM” soll das „Muscular” genannte Programm ohne Kenntnis der Unternehmen und ohne gerichtliche Grundlage ablaufen. Mit welchen Methoden genau die Dienste in private Netze eindringen, ist nicht mit Sicherheit zu sagen. Die Washington Post stellt mögliche Szenarien in einer Infografik dar. In einer Einschätzung meint Sicherheitsforscher Bruce Schneier, dass auch Microsoft, Apple, Facebook, Dropbox und andere Clouddienste in gleicher Weise als kompromittiert gelten müssten.

US-Anbieter wollen Sicherheit bei Mails weiterentwickeln

Die US-Dienste Lavabit und Silent Circle haben sich einer Entwicklungsallianz zusammengeschlossen, die E-Mails sicherer vor Ausspähung machen will. Wie aus einem Blogpost bei Silent Circle hervorgeht, will die neugegründete „Dark Mail Alliance” wohl vorerst keinen eigenen Dienst anbieten, sondern die dem Mailverkehr zugrundeliegenden Protokolle und Verfahren weiterentwickeln und dafür unter anderem auf das bei Chat-Programmen verbreitete XMPP-Protokoll zurückgreifen. Lavabit hatte im August seinen Dienst eingestellt, statt private Schlüssel an US-Behörden zu übergeben. Kurz darauf schaltete auch das von PGP-Erfinder Phil Zimmermann gegründete Unternehmen „Silent Circle” seinen E-Mail-Dienst ab. Nun hoffen die Unternehmen darauf, größere Mailanbieter ins Boot zu holen.

Adobe plant neues Kopierschutzsystem

Wie Johannes Haupt bei lesen.net berichtet, will Adobe in den kommenden Monaten eine neue Version seines DRM-Systems für E‑Books einführen. Kopierschutz von Adobe ist bei E‑Books im Epub-Format und PDF-Dateien das am weitesten verbreitete System und wird an Verlage unterlizenziert. Adobe nennt das neue System „unknackbar”; erfahrungsgemäß ist es nur eine Zeitfrage, bis Kopierschutz-Systeme geknackt sind. Beim jetzigen von Adobe eingesetzten System ist das bereits seit einigen Jahren der Fall.

Streaming-Einnahmen: Schwedische Künstler wollen Labels verklagen

Musiker in Schweden haben angekündigt, gegen die Plattenfirmen Universal und Warner Music vor Gericht zu ziehen. Wie musikmarkt.de berichtet, will die schwedische Musikergewerkschaft einen höheren Anteil für die Künstler an den Einnahmen von Streaming-Diensten erstreiten. In Schweden machen die Dienste – an erster Stelle das dort gegründete Spotify – dem Bericht nach 70 Prozent der Umsätze im Musikmarkt aus. Die Musiker erhielten 6 bis 10 Prozent der Einnahmen, ebenso wie im klassischen Tonträgermarkt. Die Künstler dagegen fordern 50 Prozent.

Heise: Wie sicher sind Passwörter in der iCloud?

Mit Apples neuen Betriebssystemen iOS 7 und Mavericks lassen sich auch Passwörter im Clouddienst des Unternehmens sichern. Bei Heise Security untersucht Jürgen Schmidt, wie es um die Sicherheit steht. Gegen Angriffe durch Dritte sei das System „schon recht gut abgesichert”, „erschreckend schlecht” sei jedoch die Sicherheit zu bewerten, wenn man Zugriffe von oder über Apple selbst in die Betrachtung einbezieht. Für eine genaue Sicherheitsbewertung müsste Apple jedoch entweder technische Details offenlegen oder Forscher müssten weitere Analysen durchführen.

October 19 2013

Verschlüsselung: Forscher wollen Truecrypt unter die Lupe nehmen

Verschlüsselungsprogramme wie Truecrypt sind spätestens seit den Überwachungsenthüllungen um NSA & Co. für breitere Kreise interessant geworden – etwa, um sensible Daten bei Cloudspeicherdiensten zu schützen. Open-Source-Programme gelten dabei zugleich als letzte Hoffnung, denn nur hier kann überprüft werden, welche Verfahren dahinterstehen und ob der Programmcode manipuliert wurde. Wie die Snowden-Enthüllungen gezeigt haben, ist gerade die konkrete Umsetzung der Verschlüsselung entscheidend.

Allerdings: Jemand muss die Programme dann auch tatsächlich überprüfen. Matthew Green, Informatikprofessor an der Johns-Hopkins-Universität und sein Forscherkollege Kenneth White rufen daher zu einem Audit für Truecrypt auf und sammeln derzeit Geld über Crowdfunding. Auf IsTrueCryptAuditedYet.com fassen sie ihr Vorhaben zusammen.

Rechtliche und technische Prüfung

Mit dem geplanten Audit verbinden sie vier Ziele: Erstens soll die von Truecrypt verwendete Lizenz daraufhin geprüft werden, ob sie mit den bei freier Software gebräuchlichen Lizenzen wie der GPL kompatibel ist. Dann könnte das Programm etwa bei Linux-Systemen gleich mitgeliefert werden. Zweitens soll der Prozess verbessert werden, in dem aus dem Programmcode das ausführbare Programm erstellt wird. Das „Ubuntu Privacy Remix Team” hatte hier bereits auf mögliche Risiken hingewiesen.

Neben weiteren Fehlerbehebungen soll dann viertens die gesamte Codebasis einer Kryptoanalyse unterzogen werden, Green und White wollen Sicherheitsfirmen dafür gewinnen. Tatsächlich sind die eigentlichen Urheber von Truecrypt unbekannt, wie Green in einem Blogpost schreibt. Zugleich legt er Wert darauf, dass er lediglich mögliche Probleme aufzähle, die auch jedes andere Programm betreffen könnten:

Let me be clear: I am not implying anything like this. Not even a little. The ‘problem’ with Truecrypt is the same problem we have with any popular security software in the post-September–5 era: we don’t know what to trust anymore.

Wieviel von den Plänen letztlich umgesetzt wird, steht noch nicht fest; ein festes Crowdfunding-Ziel haben die Forscher nicht festgelegt. Aktuell haben sie bereits gut 41.000 Dollar gesammelt. Die Wahl sei auf Truecrypt gefallen, weil das Programm weit verbreitet sei und zu den wenigen Lösungen gehöre, die auch von durchschnittlichen Anwendern leicht bedient werden können.

September 06 2013

Cloud-News: SSL-Verschlüsselung, Späh-Affäre, Spotify-Streit

Auch verschlüsselte Datenverbindungen können offenbar von Geheimdiensten ausgespäht werden, Datenschützer kritisieren mangelnde Aufklärung der Späh-Affäre, Streit um Playlists bei Spotify, Warten auf Spiele-Streaming in Europa. Die Cloud-News der Woche:

Bericht: Geheimdienste können auch verschlüsselten Datentransport ausspähen

Auch verschlüsselte Verbindungen über den SSL- bzw. HTTPS-Standard sind offenbar nicht vor möglicher Ausspähung durch die NSA und sein britisches Pendant GCHQ sicher. Das berichten gemeinsam der Guardian, die New York Times und Pro Publica mit Berufung auf Unterlagen aus dem Snowden-Fundus. Solche Verschlüsselungs-Standards bilden eine technische Grundlage für viele alltägliche Nutzungen des Internets und sichern den Datentransport; etwa beim Online-Einkauf, bei Cloud-Diensten oder bei der Übertragung von E-Mails. Sicherheitsforscher Bruce Schneier sagte gegenüber dem Guardian, die Geheimdienst-Programme mit den Codenamen „Bullrun” (NSA) und „Edgehill” (GCHQ) unterminierten die Grundstruktur des Internets.

Datenschützer kritisieren mangelnde Aufklärung und Konsequenzen der Späh-Affäre

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat die Politik aufgefordert, die gegenwärtige Späh-Affäre aufzuklären und das nationale, europäische und internationale Recht zum Schutz der Privatsphäre und der Grundrechte weiterzuentwickeln. „Die staatliche Pflicht zum Schutz der Grundrechte erfordert es, sich nicht mit der gegenwärtigen Situation abzufinden“, heißt es in einer Erklärung. Der Bundesdatenschutzbeauftragte Peter Schaar kritisiert darüber hinaus, das Bundesinnenministerium behindere die Aufklärung. Er habe das Minsterium sowie den Verfassungsschutz wegen Verstoßes gegen ihre gesetzliche Mitwirkungspflicht beanstandet, schreibt Schaar in einem Forenbeitrag.

Playlists: Musiklabel Ministry of Sound klagt gegen Spotify

Die Londoner Plattenfirma Ministry of Sound klagt gegen den Streaming-Dienst Spotify. Das berichtet der Guardian. Das Label sieht offenbar eine Urheberrechtsverletzung im Fall von Playlists, die von Nutzern angelegt wurden und in der Titelauswahl und Benennung Compilations des Labels nahekommen. Während das Label seine eigenen Veröffentlichungen nicht bei Spotify anbietet, handelt es sich bei den Ministry-of-Sound-Compilations überwiegend um anderswo veröffentlichte Titel. Das Musiklabel will Spotify vor dem britischen High Court auf Unterlassung und Schadensersatz in Anspruch nehmen. Das Gericht wird sich nun mit der Frage beschäftigen müssen, ob reine Zusammenstellungen von Musikstücken in Compilations noch einmal eigens geschützt sein können – wahrscheinlich als Datenbank.

„Breitband-Probleme”: Vorerst kein Spiele-Streaming bei Sony

Spielefreunde in Europa werden auf Cloud-Features von Sonys vor kurzem vorgestellter Konsole Playstation 4 noch längere Zeit warten müssen. Über den Dienst „Gakai” ist es dort möglich, Spiele für ältere Generationen der Sony-Konsole aufs Gerät zu streamen. In Europa wird der Dienst jedoch vorerst nicht zur Verfügung stehen. In einem Interview mit dem Spielemagazin Edge machte Sony-Spielechef Jim Ryan nicht näher definierte „Probleme mit Breitband” in Europa dafür verantwortlich. Einen Zeitplan für europäische Nutzer gäbe es daher noch nicht.

August 02 2013

PGP und der Kampf um Verschlüsselung

Schon Mitte der neunziger Jahre warnte der PGP-Entwickler Phil Zimmermann, dass E-Mail-Kommunikation einfach, automatisch und unbemerkt großflächig überwacht werden kann. Heute kann jeder Bürger Verschlüsselungstechniken einsetzen, dennoch sind die Auseinandersetzungen darüber nicht abgeklungen.

Auf der einen Seite: Die USA und ihre Spionageagentur NSA, die einen ungesunden Appetit auf die Daten der Weltbevölkerung entwickelt hat. Sie will die Kommunikation per Telefon und Internet überwachen, speichern und auswerten. Ihr Herausforderer: Ein Hacker, der das Menschenrecht auf freie Kommunikation in das Zeitalter digitaler Vernetzung retten will. Er hat ein Programm geschrieben, dass es den Menschen erlaubt, über digitale Netzwerke verschlüsselte Informationen auszutauschen, ohne sich vor staatlicher Überwachung fürchten zu müssen.

Es kommt zum Kampf zwischen Daten-David und Überwachungs-Goliath. Am Ende geht Goliath in die Knie: Das Programm des Hackers wird erlaubt, verbreitet sich über das Internet rund um den Globus und erlaubt es der Weltbevölkerung wieder, unkontrolliert miteinander zu kommunizieren. Pech gehabt, NSA.

Das mag klingen wie der Plot eines Cyber-Thrillers, aber die zugrundeliegenden Ereignisse haben wirklich statt gefunden – vor gut zwanzig Jahren. Damals entwickelte der amerikanische Programmierer Philip Zimmermann das Programm Pretty Good Privacy (PGP) – und zwar aus Gründen, die im Lichte der jetzt bekannt gewordenen Spionage-Aktivitäten der NSA und europäischer Geheimdienste beängstigend aktuell wirken. PGP erlaubt es Nutzern, ihre Online-Kommunikation so zu verschlüsseln, dass sie nicht ohne Weiteres von ungebetenen Dritten mitgelesen werden können.

Von Clipper über Echelon zu PRISM

Zimmermann, eigentlich ein stiller und unpolitischer Mensch, hatte das Programm geschrieben, als 1991 Pläne der amerikanischen Regierung bekannt wurden, Datenkommunikation abzuhören. Per Gesetz sollten Telekommunikationsunternehmen verpflichtet werden, in ihre Anlagen eine fest installierte Hintertür einzubauen, die es der Polizei und Geheimdiensten erlauben würde, Zugang zu Telefonaten und Datentransfers zu erhalten. Auch wenn das Gesetz nach einem öffentlichen Aufschrei nicht vom US-Senat verabschiedet wurde – Zimmermann sah kommen, was inzwischen beängstigende Realität geworden ist: dass die amerikanischen Dienste nichts unversucht lassen würden, um die internationale digitale Kommunikation abzuschöpfen.

Wie recht er behalten sollte, zeigen in diesen Tagen wieder die Enthüllungen, nach denen die amerikanische Regierung versucht hat, Internetfirmen zu zwingen, ihre Schlüssel für SSL-Datenverbindungen offenzulegen und so Zugang zu verschlüsselter Datenkommunikation zu bekommen. Versuche der US-Behörden, die Online-Kommunikation abzuhören, gibt es allerdings seit mehr als zwei Jahrzehnten. Auf den 1991 gescheiterten Versuch folgte der ebenfalls nicht erfolgreiche Clipper Chip, das Echelon-Programm, schließlich die Programme um PRISM.

Das zeigt, dass US-Geheimdienste unter mehreren verschiedenen Regierungen kontinuierlich darauf hin gearbeitet haben, die internationalen Datennetzwerke flächendeckend abhören zu können. Dank Edward Snowden wissen wir, dass dies unter Präsident Obama nun gelungen ist – in einer Zeit, in der die ehemalige Außenministerin Hillary Clinton weltweit Reden über „Internet-Freiheit” hielt.

Der Beginn von PGP

Philip Zimmermann sah diese Entwicklung voraus. Darum schrieb er Anfang 1991 in wenigen Wochen die Software PGP – Pretty Good Privacy – und stellte sie kostenlos über das Usenet bereit, durch das es sich zunächst unter Hackern in der ganzen Welt verbreitete. Die starke Verschlüsselung des Programms aber fiel unter die Exportkontrolle. Die USA hatten ebenso wie weitere Staaten seit dem kalten Krieg entsprechende Regelungen für kryptografische Verfahren eingeführt, so dass der amerikanische Zoll es als „Munition” klassifizierte und gegen Zimmermann wegen Verstoßes gegen das amerikanische Waffenexportgesetz vorging.

Die Ermittlungen zogen sich fünf Jahre hin, erst 1996 wurden sie schließlich eingestellt. Zimmermann gründete ein Unternehmen, das PGP als kommerzielles Produkt vertrieb. PGP Inc. wurde später vom IT-Unternehmen Network Associates, dann von Symantec unternommen und ist bis heute als verlässliches Verschlüsselungs-Werkzeug im Einsatz.

Zimmermanns knapper Text „Why do you need PGP?”, Mitte der 90er Jahre verfasst, ist aus heutiger Sicht von geradezu hellseherischer Klarheit: „E-Mails können viel zu leicht abgefangen und nach interessanten Schlüsselworten durchsucht werden. Das kann ganz einfach, routinemäßig, automatisch und unbemerkt in großem Maßstab getan werden. Schon jetzt werden Übersee-Telegramme auf diese Weise von der NSA großflächig durchsucht”, stellte Zimmermann fest.

Ein Werkzeug alleine hilft nicht

Dennoch haben sich Zimmermanns PGP oder die kostenlose OpenPGP-Variante bei den meisten Internet-Nutzern bislang nicht durchsetzen können. Es setzt voraus, dass alle Kommunikationsteilnehmer das Programm benutzen und die digitalen Schlüssel zum Öffnen der Nachrichten auf dem Rechner haben. Dem alternativen Standard S/MIME geht es ähnlich. Gegen das jetzt bekannte großflächige Absaugen von Verbindungsdaten – wer mit wem wann Nachrichten austauscht – helfen allerdings auch diese Programme nicht. Hier setzten weitere Techniken wie TOR an: Die Software macht jeden angeschlossenen Computer zu einem Knoten in einem Netzwerk, das der Anonymisierung von Verbindungsdaten dient.

Diese Art von Selbstschutz fürchten Dienste wie die NSA offenbar am meisten: Wer TOR oder PGP verwendet, ist für die Behörde von vornherein verdächtig. Selbst wenn sie solche Botschaften (noch) nicht lesen kann, speichert sie sie länger als andere Daten. Wer wiederum die TOR-Software verwendet, der wird bis auf weiteres „nicht als Bürger der Vereinigten Staaten behandelt”, so dass Überwachungs-Einschränkungen wegfallen.

Den jüngsten, zum Überwachungssystem „XKeyscore” bekannt gewordenen Informationen nach sollen Geheimdienste sogar gezielt suchen können, wo Nutzer Verschlüsselungstechnik einsetzen – „Zeige alle Nutzungen von PGP im Iran” wird dort als eine mögliche Anwendung beschrieben. So scheint es, dass Nutzer vor einer schlechten Alternative stehen, solange Verschlüsselung nicht breit genutzt wird: Wer nicht verschlüsselt, kann jederzeit abgehört werden; wer es aber tut, könnte im Zweifel besondere Aufmerksamkeit auf sich ziehen. Wer sie einsetzt, müsse etwas zu verbergen haben, so die Logik der Geheimdienste. Die Geschichte von David und Goliath ist so schnell noch nicht zu Ende.

July 18 2013

Résumé des méthodes existantes pour chiffrer ses données et sa communication, limites et questions…

Résumé des méthodes existantes pour chiffrer ses données et sa communication, limites et questions pratiques.

#Verschlüsselung - kein Allheilmittel gegen Bespitzelung | Telepolis
http://www.heise.de/tp/artikel/39/39514/1.html

Als Reaktion auf die PRISM- und Tempora-Enthüllung wird derzeit oft empfohlen, doch „einfach“ Verschlüsselung zu verwenden

So einfach die Installation von Gpg4win auch sein mag, so schwierig gestaltet sich die konsequente Anwendung von Verschlüsselung oft in der Praxis. Verschlüsselungsalgorithmus und Schlüssellänge werden oft große Aufmerksamkeit gewidmet, doch der Knackpunkt liegt eigentlich immer bei der Schlüsselverwaltung. Hierbei muss man sich einige Fragen stellen

#auf_deutsch #securite #security #cryptographie

July 10 2013

Flattr-Gründer will sicheres Messaging-Programm entwickeln

Peter Sunde, Mitgründer von Flattr und ehemals auch der Piratebay, will ein neues, sicheres Pendant zu Messaging-Diensten wie Whatsapp & Co. entwickeln. Das Vorhaben hört auf den Namen „Hemlis” (Schwedisch: „Geheimnis”), Details über Ansatz und Aufbau des geplanten Dienstes sind aber noch nicht bekannt. Per Crowdfunding hat er im Moment 1.043 Unterstützer gefunden und 24.160 Dollar gesammelt, ein Viertel des selbstgesetzen Ziels.

In einem Werbevideo beschreibt Sunde das Vorhaben so:

Die Erkenntnisse über Überwachungsprogramme wie Prism, Tempora & Co. haben die Aufmerksamkeit erneut auf Verschlüsselung und sichere Kommunikation gelenkt. Im Licht – beziehungsweise unter dem Schatten – der jüngsten Enthüllungen über staatliche Datenschnüffler wird es für das Team um Sunde wahrscheinlich nicht schwierig sein, die benötigte Summe einzusammeln.

Alleine steht es mit dem Vorhaben nicht. Programme wie Threema oder Cryptocat versprechen ebenfalls, die Bedienbarkeits-Hürden für sichere Kommunikation abzusenken und verschlüsselte Kurznachrichten und Chats nutzerfreundlich zu machen. Die Cryptocat-Entwickler mussten allerdings gerade eine kritische Sicherheitslücke eingestehen. Ob und welche Metadaten auch bei „Hemlis” einsehbar sein werden und ob „Hemlis” auf offene Standards setzt, dürften einige der Fragen sein, die sich dem Projekt demnächst stellen.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl