Heute berichten zahlreiche Medien (z.B. die FAZ) über schwerwiegende Sicherheitslücken in E-Mailverschlüsselung. Nach Angabe der Entdecker sollen die beiden Standards OpenPGP und S/Mime betroffen sein und die akute Gefahr bestehen, dass der Inhalt von verschlüsselten E-Mails von einem Angreifer ausgeleitet wird. Dies soll auch für E-Mails aus der Vergangenheit gelten. Entgegen der teilweise in den Medien verbreiteten Darstellung betreffen die beiden Sicherheitslücken jedoch gar nicht OpenPGP und S/Mine direkt, sondern „nur“ die Software mit der die Handhabung der Verschlüsselung vereinfacht wird. Zahlreiche Programme, darunter auch Mozilla Thunderbird, machen dabei Fehler bei der Behandlung von HTML. Diese ermöglichen es einem Angreifer die Inhalte von verschlüsselten E-Mails aus der E-Mailsoftware des Opfers auszuleiten.
VPN-Gefahren: IPv6- und DNS-Leaks
Die Nutzung eines VPN ist eine einfache und, im Vergleich zum TOR-Netz, von der Verbindungs-Geschwindigkeit her schnellere Möglichkeit die Sicherheit einer Verbindung zu gewährleisten und auf der anderen seine Herkunft zu verschleiern. Doch neben diesen Möglichkeiten, die in einem Artikel bereits beschrieben wurden, haben VPNs auch ihre Tücken. Solche Tücken sind zum Beispiel IPv6- und DNS-Leaks, die selbst bei einer funktionierenden VPN-Verbindung eure Privatsphäre beeinträchtigen können. Wie diese Lücken entstehen, wie man feststellt, ob man betroffen ist und was man gegebenenfalls tun kann, soll im Folgenden erläutert werden.
Um zu verstehen, wie IPv6- und DNS-Leaks zustande kommen ist es notwendig zu verstehen, wie das Internet funktioniert. Insbesondere was eine IP-Adresse ist und wie das DNS, also das Domain-Name-System funktioniert. Hier hilft uns die Sendung mit der Maus mit einem uralten Beitrag (per Modem einwählen müsst ihr euch hoffentlich nicht mehr 😉) weiter. „VPN-Gefahren: IPv6- und DNS-Leaks“ weiterlesen
Zum warrant canary von riseup
Ein Update des warrant canary von Riseup ist inzwischen schon seit geraumer Zeit überfällig. Zunächst war unklar, ob Riseup überhaupt eine Regierungsanfrage (National Security Letter, kurz NSL) mit einer gag order, also dem Verbot über die Anfrage zu informieren, bekommen hat oder das Update des canary einfach verspätet erscheinen würde. Mittlerweile gilt es als sicher, dass Riseup eine Regierungsanfrage bekommen hat, jedoch keine Daten herausgegeben hat und noch im Besitz des Zugriffs auf die Server ist. Riseup kann also nach wie vor als sicher betrachtet werden. Nutzer von Riseup sollten aber dennoch ihre Mails sichern, wenn sie sie nicht ohnehin (wie empfohlen) mittels POP3 abrufen. Eine ausführliche Analyse zum Fall liefert der Artikel „Something Happened to Activist Email Provider Riseup, but It Hasn’t Been Compromised“ von Micah Lee bei The Intercept.
Gedanken zu Programmverläufen
Vom Dateimanager über Browser bis hin zu Office-Software haben viele Programme Funktionen, mit denen sich nachvollziehen lässt, welche Dateien oder Webseiten man in letzer Zeit geöffnet oder viel verwendet hat. Dies ist auf der einen Seite praktisch, weil man z.B. schnell an Webseiten, Dokumente oder Dateien kommt, mit denen man gerade arbeitet. Auf der anderen Seite ist diese Information auch für unberechtige Nutzer schnell verfügbar und erleichtert die Auswahl von Dateien, die vielleicht einen genaueren Blick wert sind. Es macht also durchaus Sinn, den Verlauf einfach abzuschalten, den Verlauf in seiner Dauer zu begrenzen oder zumindest in regelmäßigen Abständen zu löschen. Denn auch, wenn es noch andere Methoden gibt herauszufinden wann eine Datei geöffnet wurde, sollte man es einem Angreifer so schwer wie möglich machen. Und mal ehrlich: Wer muss schon dringend speichern welche Webseite er im letzten Sommer aufgerufen hat?
Sicher unterwegs mit Android?
Betriebssysteme, egal ob für Rechner oder für Smartphones, ob für Windows, Apple oder Linux haben immer wieder Sicherheitslücken. Dies ist nicht weiter dramatisch, sofern die Lücken rechtzeitig mit Updates geschlossen werden können. Doch genau das ist der Knackpunkt bei vielen Android-Geräten, denn viele Hersteller stellen Updates für ihre Geräte entweder gar nicht oder nur nach unverantwortlich langer Wartezeit zur Verfügung. Dies führt dazu, dass viele Smartphone-Nutzer ein Gerät mit sich herumtragen, das man als eine einzige Sicherheitslücke bezeichnen kann. Hat man im Hinterkopf wie viele Daten auf einem modernen Smartphone gespeichert sind [siehe dazu: Grundlagen: Mobilgeräte] und schaut man sich einige Sicherheitslücken der letzten Monate an, kann man zurecht von einem Sicherheitsdesaster ausgehen. „Sicher unterwegs mit Android?“ weiterlesen
Einige nützliche Tipps
Kürzlich bestand die Gelegenheit aufgrund eines Ermittlungsverfahrens und dem damit verbundenen Akteneinsichtrecht des Betroffenen einen Einblick in die digitale Ermittlungsarbeit der Polizei zu bekommen. Die daraus gewonnen Erkenntnisse, wie man seine technischen Geräte vor dem Zugriff durch Strafverfolgungsbehörden absichern kann, werden im Folgenden mit zahlreichen Ergänzungen und weiteren Ideen vorgestellt.
- Passwörter sollten (auch wenn sie „unwichtig“ sind) in keinem Fall als bloße Textdatei gespeichert werden. Die Ermittlungsbehörden können dadurch eventuell Rückschlüsse auf wichtigere Passwörter treffen (z.B. ähnliche Muster), außerdem besteht die Gefahr, dass ein unwichtiges Passwort über Umwege doch zu einem Treffer für die Behörden führt, etwa weil sich im Nachhinein eine winzige Information als Schlüssel für etwas ganz anderes darstellt oder, weil aufgrund eines Versehens z.B. Passwörter für andere Email-Accounts zurückgesetzt werden können. Passwörter sollten entgegen gängiger Empfehlungen z.B. fürs Online-Banking auch nicht auf Papier (z.B. in einem Safe) aufbewahrt werden, da sie dort auch in die Hände der Ermittler fallen können. Auch das Speichern der Passwörter im Browser ohne zusätzliche Absicherung durch „Master-Passwörter“ bringt enorme Risiken mit sich, da der Zugriff hürdenlos möglich ist. Im Idealfall hat man seine sicheren Passwörter im Kopf, was wohl den wenigsten gelingen wird. Aus diesem Grund ist es empfehlenswert Passwortmanager zu verwenden.
- Große Datenarchive sind problematisch. Es ist auch bei einem vollverschlüsselten Gerät sinnvoll Daten, die man selten benötigt in einem gesonderten, verschlüsselten Container oder auf einer verschlüsselten externen Festplatte abzulegen. Damit kann vermieden werden, dass der Zugriff auf diese Datenbestände durch ein eingeschaltetes und damit angreifbares Gerät möglich ist (Die Möglichkeit „mal eben“ den Stecker zu ziehen oder das Gerät in Anwesenheit der Beamten auszuschalten, wird nicht in jedem Fall bestehen!). Geräte sollten zusätzlich nach Möglichkeit immer ausgeschaltet sein, wenn man nicht daran arbeitet, das minimiert das Risiko „auf frischer Tat“ erwischt zu werden.
- Handykommunikation ist und bleibt eine gefährliche Angelegenheit. Es gibt zwar Möglichkeiten sein Gerät komplett zu Verschlüsseln und sichere Messenger wie Signal zu verwenden (dringend nutzen!). Dennoch bleibt ein hohes Restrisiko wegen ständiger Sicherheitslücken wie z.B. dem Stagefright bestehen. Daher sollten auf dem Handy keine sensiblen Daten gespeichert werden. Dabei ist zu beachten, dass die Installation des Facebook-Messengers den Ermittlungsbehörden im Zweifelsfall Zugriff auf das Facebook-Konto einräumt. Ähnliches gilt z.B. für den Abruf von Emails oder Zugriff auf Kalender und Cloud-Services, sofern die Zugangsdaten auf dem Gerät gespeichert sind. Auf dem Smartphone gespeicherte Kommunikationsinhalte (z.B. SMS oder Messenger-Nachrichten) und Verbindungsdaten (z.B. letzte Anrufe) sollten regelmäßig gelöscht werden, damit im Falle des Falles der Zugriff zumindest nicht ganz so einfach ist.
Fazit: Alles mit starken Passwörtern verschlüsseln, eigene Fehler und unglückliche Geschehensabläufe einplanen und es sich nicht zu bequem machen (Rechner ausschalten, Daten löschen) sind ein wirksamer Schutz.
Update – 18.12.15: Kontakte sollten nicht auf der SIM-Karte sondern auf dem verschlüsselten Speicher des Telefons gespeichert werden, da Ermittlungsbehörden über über den so genannten PUK (Personal Unblocking Key), der beim Provider hinterlegt ist, einfach Zugriff auf die SIM-Karte bekommen können (weitergehend: Marko Rogge, „Digitale Ermittlungen: Tipp für die mobile Forensik„, Cybercrime_Blog der Fachhochschule der Polizei Brandenburg).
Kurze Präsentation zu Gefahren bei Facebook
Hier findet ihr eine kurze Präsentation rund um Gefahren bei Facebook. Es werden nicht alle relevanten Themen behandelt. Was nicht behandelt wird findet ihr aber in den beiden Texten „Ich glaub bei dir zwitscherts!“ und „Facebook, Freund, Genosse„.
Facebook, Freund, Genosse
Wir arbeiten mit den Strafverfolgungsbehörden für die Sicherheit online und offline zusammen.
Quelle: https://www.facebook.com/safety/groups/law/
Was passiert eigentlich, wenn ein deutsches Gericht versucht, ein Benutzerprofil bei Facebook zu beschlagnahmen? Diese Frage ist nicht einfach zu beantworten. Ausgehend von einem Beschluss des AG Reutlingen vom 31. Oktober 2011 (Az. 5 Ds 43 Js 18155/10) kann man festhalten, dass Facebook zumindest im Jahr 2011 und im konkreten Fall nicht dazu zu bewegen war, die Nutzerdaten herauszugeben. Nachdem sich die deutsche Filiale für nicht zuständig erklärt hatte, wurde der Richter von Facebook Irland an den Hauptsitz von Facebook in den USA verwiesen. Dort wurde eine Herausgabe der Daten ohne formelles Verfahren in den USA verweigert. Doch bevor es zu einem langwierigen Verfahren in den USA kam, gab der Anklagte die Daten selbst heraus. Würde Facebook sich immer konsequent weigern und hätte der Staat sonst keinen Zugriff auf Facebook, wäre die Angelegenheit durchaus tragbar. Doch leider ist die Sache nicht so einfach, denn Facebook erklärt sich grundsätzlich zur Zusammenarbeit mit Strafverfolgungsbehörden bereit. Einen Einblick in die Kooperation von Facebook mit staatlichen Stellen gibt der „Transparenzbericht“ von Facebook, der aufschlüsselt, wie viele Anfragen es von staatlicher Seite angeblich gab, wie viele Nutzerprofile von diesen Anfragen betroffen waren und in wie vielen Fällen eine Weitergabe von Daten stattgefunden hat. Facebook verschweigt aber, welche Daten weitergegeben wurden und spricht lediglich von „Percentage of requests where some data produced“. Nun speichert Facebook bekanntermaßen viele Informationen und welche Datensätze weitergegeben wurden, kann nicht nachvollzogen werden. Was Facebook speichert, hat die Initative „europe vs. facebook“ auf ihrer Website aufgeschlüsselt. Dort findet man auch Informationen, wie man seine eigenen, bei Facebook gespeicherten, Daten einsehen kann.
IMSI-Catcher & Abwehrmaßnahmen
Der Hunger des Staates nach Daten
Staatliche Stellen reagieren in letzter Zeit verstärkt auf die Möglichkeit sich günstig und ohne Angabe von (richtigen) Personendaten Mobiltelefone und SIM-Karten zu verschaffen. Denn in dieser Möglichkeit sehen die Ermittlungsbehörden die „Gefahr“, dass die Kommunikation eines „Verdächtigen“ nicht abgehört werden kann, weil ihm kein Telefon(-anschluss) zuzuordnen ist. So heißt es auch in der Begründung (Landtag des Saarlandes – Drucksache 15/773-NEU) zur offiziellen Einführung des IMSI-Catchers beim saarländischen Verfassungsschutz:
„Bei Planung und Begehung von schwerwiegenden Straftaten insbesondere im Terrorismusbereich, aber auch von Angehörigen gewaltbereiter extremistischer Gruppen und im Bereich der Organisierten Kriminalität werden zunehmend Mobiltelefone eingesetzt, deren Herkunft den Sicherheitsbehörden nicht bekannt ist. Erst wenn die Karten- bzw. Geräte-Nummer des betreffenden Mobilfunkgerätes bekannt ist, kann ein Beschluss zur Überwachung dieses Anschlusses erwirkt werden.“
Ich glaub bei dir zwitscherts!
– Warum man sein Facebookkonto löschen sollte –
Stop liking, start thinking!
Gesellschaftlicher Fortschritt lässt sich nur erreichen, wenn wir integrative Strukturen schaffen und viele Leute von der Idee eines besseren Lebens im Hier und Jetzt überzeugen können. Integrative Strukturen zu schaffen, heißt dabei in kommunikative Verbindung zu verschiedenen Menschen zu treten und sie von unserer Sache zu überzeugen. Es bedeutet auch, dass wir Diskussionen nicht aus dem Weg gehen sollten und ansprechbar sein müssen. 
Facebook und andere Soziale Netze gelten dabei zur Zeit bei vielen Leuten als unerlässliches Mittel. Via Facebook kann man z.B. Inhalte verbreiten, Termine koordinieren, Veranstaltungen planen oder mit Leuten in Kontakt treten, von denen man keine anderen Kontaktdaten hat. Je offenherziger man dabei mit seinen eigenen Daten umgeht und zum Beispiel seine Schule, seinen Arbeitsplatz oder seine Lieblingsband einträgt, desto mehr Gleichgesinnte wird man finden. Teilweise bieten Soziale Netzwerke und insbesondere Facebook hier Möglichkeiten, die bis jetzt noch kein anderes Medium erreicht hat. Dennoch lügt man sich teilweise auch gehörig in die eigene Tasche, denn zu vielen Aktionen lassen auch mit Facebook – trotz Zusage – nicht mehr Leute bewegen, wie ohne. Ein Like auf einer Facebook-Seite oder unter einem Kommentar ändert nämlich erst einmal überhaupt nichts. Er drückt vermeintlich oder tatsächlich Zustimmung aus und sorgt damit für das gute Gefühl mit seiner Analyse der herrschenden Verhältnisse nicht völlig bedeutungslos zu sein – immerhin gab es 10, 100 oder gar 1000 Likes und etliche Zusagen. Leider kommen dann zur Aktion doch nur die üblichen Verdächtigen. Mal ganz abgesehen davon, dass die Ausgrenzungsmechanismen zwischen Social Network-Nutzern und dem Rest der Welt nahezu immer vollends übersehen werden. Wer jetzt auf die Idee kommt zu sagen, dass auch nicht jeder eine E-Mail-Adresse hat, der hat grundsätzlich Recht. Er wird jedoch auch zugeben müssen, dass man bei einer E-Mail-Adresse zumindest auswählen kann, bei welchem Anbieter man sich eine zulegt oder, ob man das Ganze nicht gleich selber macht.