Online-Casino-Spieler mit erhöhtem Risiko

Schreibe eine Antwort

OLYMPUS DIGITAL CAMERADie neuesten Veröffentlichungen über Möglichkeiten zur Aufdeckung der eigenen Identität im Tor-Netzwerk betreffen insbesondere Spieler in Online-Casinos. Nach Schweizer Recht ist die Spielteilnahme nicht strafbar, aber in anderen Ländern könnte dies ernste Auswirkungen haben. Online-Glücksspieler sind gleich doppelt betroffen.

Die Veröffentlichung einfacher Analysetechniken zeichnet ein Szenario, das die ständige Verbindung über das Tor-Netzwerk mit einem bestimmten Casino-Server – im Gegensatz zur sonst angenommenen Vermutung des Surfens auf verschiedenen Seiten – zur Aufdeckung der eigenen Identität über die wahre IP-Adresse führen kann. Der Grund dafür sind die inzwischen minimierten Verzögerungen auf dem Weg der Daten durch das anonymisierende Tor-Netzwerk, so daß Start und Ziel durch Übereinstimmung von Größe, Kennzeichen und Zeitablauf der Datenpakete in Verbindung gebracht werden können.

Die zweite aufgedeckte Schwachstelle ist die Benutzung von Bitcoin-Clients, die eine Rückverfolgung von Transaktionen zur eigenen Identität trotz der Nutzung des Tor-Netzwerks möglich macht, wie das Tor-Projekt selbst berichtet.
Hier gäbe es nach meiner Einschätzung eine mögliche Lösung: der Verzicht auf eigene Bitcoin-Clients und die Verwendung von Hybrid-Wallets, z. B. bei Blockchain.info.

Größe des Browserfensters kann Tor-Nutzer verraten

Schreibe eine Antwort

Nutzer des Tor-Netzwerks müssen damit rechnen, durch die veränderte Größe des Browserfensters recht eindeutig wiedererkannt zu werden.

Anonymes Surfen mit dem Tor-Browser beinhaltet nicht nur die Verschleierung der eigenen IP, sondern auch weiterer identifizierender Angaben – sogenannter Browser-Fingerabdrücke – wie Betriebssystem, Systemfarben, installierte Schriftarten, Plugins und mehr. Ohne diese zusätzliche Maßnahme ließen sich etwa 93 Prozent der digitalen Browser-Fingerabdrücke anschließend genau einem Browser zuordnen, wie der Berliner Informatiker Henning Tillmann in seiner Diplomarbeit am Beispiel von 20.000 Browser-Nutzungen nachweisen konnte.
Der Fingerabdruck des Tor-Browsers ist schon sehr schlank angelegt und standardisiert, so daß der einzelne Nutzer in der Masse ähnlicher Fingerprints bequem untertauchen kann, nur die vorgegebene Fenstergröße darf keinesfalls geändert werden.  Falls das Browser-Fenster maximiert oder anders verändert wird, ändert sich sofort der Fingerabdruck: statt der vorgegebenen 1000×800 Pixel sendet der Tor-Browser eine sehr individuelle Größe, die den Nutzer trotz ständigem Wechsel der IP wiedererkennbar macht.
Die Seite Panopiclick der Electronic Frontier Foundation bietet einen ausführlichen Test an, der die statistischen Werte bei Veränderung der Fenstergröße des Browsers sehr deutlich zeigt und auch berechnet, dass bei der jeweiligen Einstellung nur einer von x Browsern den gleichen Fingerabdruck hat.

Übrigens: Die Deaktivierung vom standardmäßig im Tor-Browser eingeschalteten JavaScript (ermöglicht auch das Auslesen installierter Plugins und Schriftarten) würde den Fingerabdruck noch anonymer gestalten, aber manche Seiten lassen sich dann nicht mehr bedienen.

Überraschung: Google versucht Ende-zu-Ende-Verschlüsselung

1 Antwort

Satire von oversecurity.net

Googles Geschäftsmodell ist basiert eigentlich auf die Auswertung des Datenverkehrs und der Schaltung passender Werbung. Das wäre aber dann vorbei, wenn die gestarteten Experimente einer im eigenen Browser Chrome integrierten und bequemen Ende-zu-Ende-Verschlüsselung von Webmail in die Tat umgesetzt und auch vom breiten Publikum angenommen werden.

Die Ende-zu-Ende-Verschlüsselung soll mit Hilfe einer Browser-Erweiterung verwiklicht werden, die asymetrische Schlüsselpaare mit elliptischen Kurven (EC) erzeugt. So soll mehr Geschwindigkeit erreicht werden.

Googles auf dem ersten Blick sichere Webmail-Verschlüsselung hat aber einen Haken: Nach übereinstimmender Meinung von Experten sollen keine Klartexte in einem Browser eingegeben und dort erst verschlüsselt werden, da sie womöglich schon vor der Verschlüsselung transportiert werden.

Die sichere Vorgehensweise bei Webmail:
Texte und Dateien offline verschlüsseln und dann erst in die Webmail-Anwendung einfügen. Gerade bei der Bearbeitung von Mail-Konversationen ist das mit Mehraufwand verbunden, aber Komfort und Sicherheit passen nur selten zusammen.

Snowden empfiehlt Textsecure

Schreibe eine Antwort

Bei der SXSW-Konferenz, zu der Whistleblower Edward Snowden per Netz zugeschaltet wurde, hat dieser die Tools von Openwhispersystems und Moxie Marlinspike lobend erwähnt und die entwickelte Smartphone-App für Android Textsecure zum Gebrauch empfohlen.

In seinen Ausführungen sah Snowden bei einfach nutzbarer Kryptographie einige Fortschritte und erwähnte ausdrücklich Openwhispersystems und „die Moxie Marlinspikes dieser Welt“, die Werkzeuge erstellten, mit denen sichere Kommunikation möglich und die auch für unbedarfte Nutzer bedienbar sei.

Textsecure ist eine kostenlose Messaging-App und im Moment nur für Android verfügbar. Das Programm nutzt mit der neuen Version 2 das sogenannte Axolotl-Protokoll, das eine Weiterentwicklung der Technologie von OTR (von Jabber-/XMPP-Chatprogrammen genutzt) ist. Wie OTR bietet das Protokoll Forward Secrecy. Textsecure steht unter der GNU GPL Version 3, der Quellcode ist vollständig auf Github verfügbar – bei der vielgepriesenen Konkurrenz Threema muß man auf den geheimen firmeneigenen Code vertrauen.

In Gegensatz zu anderen verschlüsselten Messengern bietet Textsecure eine Ende-zu-Ende-Verschlüsselung, wo die Schlüssel nur auf den Geräten der Nutzer vorhanden sind, so dass weder Anbieter noch Server eine Möglichkeit zur Einsicht haben.

Einziger Kritikpunkt ist der zur Zeit genutzte Service Google Cloud Messaging (GCM), der in Zukunft durch eine eigene Lösung ersetzt werden soll. Damit entfiele auch die Notwendigkeit der Installation von Google-Diensten auf den Geräten.
Die Textsecure-App verschlüsselt auch weiterhin SMS, falls keine Datenverbindung zum Server hergestellt werden kann.

Moxie Marlinspike hat in der Vergangenheit auch Schwächen in der SSL-Implementierung von Windows und im Authentifizierungsprotokoll MS-CHAPv2 entdeckt. Ebenfalls von ihm stammt die Idee des sogenannten SSL-Stripping-Angriffs, bei dem man Nutzern, die eine eigentlich nur verschlüsselt verfügbare HTTPS-Webseite zunächst per HTTP aufrufen, mittels eines Man-in-the-Middle-Angriff aufzeichnen und angreifen kann.

NSA-Zufallszahlengenerator nicht mehr Standard

Schreibe eine Antwort

Die US-Standardbehörde NIST hat den Zufallszahlengenerator Dual_Elliptic_Curve Deterministic Random Bit Generator (Dual EC DRBG) aus der Liste genommen und damit erst nach Jahren auf Sicherheitsbedenken reagiert, nachdem aus den Dokumenten von Snowden bekannt wurde, dass die NSA wahrscheinlich eine Hintertür darin versteckt hat.

Dieser Zufallszahlengenerator hatte nach Ansicht von Experten eine absichtlich eingebaute Hintertür, die auch tatsächlich vorgeführt werden konnte.
Schon früher wiesen Forscher darauf hin, dass wer die darin enthaltenen Parameter gewählt hat, dies so getan haben könnte, dass er ein zugehöriges mathematisches Geheimnis kennt und damit die Zufallszahlen recht zuverlässig erraten kann.

Der Skandal in der ganzen Sache: Die bekannte Firma RSA hatte von der NSA 10 Millionen Dollar für den Einbau des Zufallszahlengenerators Dual EC DRBG als Standard in die Software BSafe erhalten. Darüber hinaus wurde in den RSA-BSafe-Bibliotheken auch ein Code für eine Erweiterung namens Extended Random entdeckt. Wenn sie eingesetzt wird, sieht ein Angreifer mehr erzeugte Zufallszahlen, was den Angriff nochmals deutlich erleichtert.

Mission doch possible – Android-Sicherheit

1 Antwort

android_logoMit Android sicher zu arbeiten und eine anonyme Netzverbindung aufzubauen, ist aufwendiger als auf anderen Systemen.
Das Tor-Projekt zur Anonymisierung der Netzverbindungen hat Anfang April einen ausführlichen Artikel zur sicheren Einrichtung von Android-Geräten am Beispiel des Nexus 7 veröffentlicht.
Der ganze Artikel unter dem vielsagenden Titel „Mission Impossible“ in englischer Sprache mit allen Einzelheiten kann hier gelesen werden:
https://blog.torproject.org/blog/mission-impossible-hardening-android-security-and-privacy
Der Beitrag stellt gleichzeitig eine Zusammenfassung der bisherigen Bemühungen zur Absicherung von Android dar. Es geht um nicht weniger, als die Wiederherstellung der Kontrolle de Android-Geräte durch den Benutzer.
Hier in kurzen Worten der Stand der Dinge und die wichtigsten Aspekte, zusammengefaßt, ergänzt und von mir kommentiert. Einige Vorschläge habe ich direkt ganz weggelassen, weil sie bei ungenauer Anwendung mehr Risiken als Verbesserungen bringen. Die Nutzung von mobilen Geräten birgt aber grundsätzlich mehr Gefahren als hier beschrieben, ich werde an anderer Stelle darauf eingehen.

Hardwareauswahl
Um mögliche Einfallstore zu schließen, muß das benutze Gerät vom Mobilfunknetz getrennt betrieben werden. Für diese Zwecke ist das Tablet Google Nexus 7 von 2013 in der WiFi-only-Version geeignet.
Zur sicherten Verbindung mit dem  Mobilfunknetz empfehlen wir ein mobiler WLAN-Router, auch Mifi genannt, nur für Datendienste. Diese preiswerten Geräte haben keine andere unsichere und überflüssige Funktionen.
Um die Nutzungsdauer der mobilen Verbindung zu erhöhen, ist ein USB-Akkupack empfehlenswert.

Installation
Auf dem 2013er Google Nexus 7 Tablet ist die Installation von Cyanogenmod 11 ziemlich einfach, Anleitungen gibt genug. Wichtig dabei: Wenn Sie adb beenden , immer daran denken, USB-Debugging zu deaktivieren und Root-Zugriff nur für bestimmte Apps.

Erstkonfiguration
In Einstellungen folgende Änderungen vornehmen:
Ort Zugriff -> Off
Sprache & Eingabe ->
Rechtschreibprüfung -> Android Spell Checker – > Deaktivieren
Deaktivieren Sie Google Voice Typing
Android- Tastatur ( AOSP ) ->
Deaktivieren AOSP
Auto- Korrektur – > Aus
Backup & reset ->
Aktivieren Meine Daten sichern (nur vorübergehend , für den nächsten Schritt)
Deaktivieren Sie die Option Automatische Wiederherstellung
Deaktivieren Meine Daten sichern
Über Tablet -> Cyanogenmod Statistik -> Disable
Entwickler- Optionen -> Geräte- Hostname -> localhost
Datenschutz -> Privacy Guard ->
Standardmäßig aktiviert
Aktivieren Privacy Guard für alle Apps mit folgenden Ausnahmen :
Kalender
Config Updater
Google Account Manager (lang drücken)
Ändern Sie Einstellungen -> Aus
Wifi Ändern -> Off
Daten ändern -> Aus
Google Play Services ( lang drücken)
Location -> Aus
Ändern Sie Einstellungen -> Aus
Zeichnen Sie auf -> Aus
Audio aufnehmen -> Aus
Wifi Ändern -> Off
Google Play Store (lang drücken)
Location -> Aus
SMS senden -> Aus
Ändern Sie Einstellungen -> Aus
Datenänderung -> Aus
Google Services Framework (lang drücken)
Ändern Sie Einstellungen -> Aus
Wifi Ändern -> Off
Daten ändern -> Aus
trebuchet
Security ->
PIN-Bildschirm sperren
Lassen Sie unbekannte Quellen an (für F-Droid)
Tablet verschlüsseln, kann eine Weile dauern, ist aber von wesentlicher Bedeutung
Nach diesem letzten Schritt, wird Ihr Tablet neu starten und sich verschlüsseln. Es ist wichtig, diesen Schritt früh zu tun, weil zusätzliche Apps diesen Prozess später unmöglich machen können.

Anwendungen
Je nach Bedarf sollten folgende integrierte Anwendungen und Dienste deaktiviert werden:
com.android.smspush
com.google.android.voicesearch
Gesichtserkennung
Google Backup-Transport
Google Calendar Sync
Google One Time Init
Google Partner-Setup
Google Kontakte Sync
Google-Suche
Hangouts
Markt Feedback Agent
Nachrichten & Wetter
One Time Init
Picasa Updater
Sound- Suche für Google Wiedergabe
Talkback

Tor und Firewall
Sobald die DroidWall konfiguriert ist, können Sie Orbot (für den Tor-Zugang) Superuser-Zugriff ermöglichen. Orbot muß so eingerichtet werden, daß alle Anfragen über Orbot ins Netz gehen

Google Apps
Jeder, der Zugriff auf Ihr Google-Konto gewinnt, kann Apps installieren ohne jegliche Benutzerinteraktion. Den Beweis liefert Google selbst, indem in der Vergangenheit schon mehrmals schädliche Apps aus der Ferne deinstalliert wurden.
Im Original-Artikel wird eine optionale Installation der Google Apps beschrieben, die aber meiner Meinung nach zu risikoreich ist. Eher alternative Märkte und Programme nutzen.

Sichere Kommunikation
Empfehlenswert sind folgende Apps von F-Droid :

Xabber – ist eine vollständige Java-Implementierung von XMPP und unterstützt OTR und Tor. Die UI ist etwas schlanker als ChatSecure. Leider bedeutet dies, daß einige ChatSecure-Funktionen fehlen.
Trotz besseren Schutz gegen die Ausführung von Code, hat es mehrere unsichere Standardeinstellungen. Insbesondere die folgenden Änderungen vornehmen:
Benachrichtigungen -> Text Message in Benachrichtigungen -> Off (Meldungen können von anderen Anwendungen gelesen werden)
Konten -> Integration in die Systemkonten -> Aus
Konten – > Nachrichtenverlauf -> nicht speichern
Sicherheit -> Geschichte -> Aus
Sicherheit – > Überprüfen Sie Server-Zertifikat
Chat – > Benachrichtigungen anzeigen Typing -> Aus
Verbindungseinstellungen -> Auto-away -> deaktiviert
Verbindungseinstellungen -> Erweiterte weg, wenn Leerlauf -> Deaktiviert
Halten Wifi Awake -> Ein
Verhindern, daß Schlaf-Modus  > Ein

OsmAnd  – ein kostenloses Offline-Mapping-Tool. Während die UI ein wenig klobig ist, unterstützt es Sprach-Navigation und Fahranweisungen, und ist eine handliche, private Alternative zu Google Maps.

VLC – die App von F-Droid ist vollständig in der Lage Media-Player zu ersetzen. Es kann MP3s und die meisten Videoformate spielen . Es ist eine handliche, private Alternative zu Google Music und anderen Closed-Source-Playern, die ihre Tätigkeit oft Dritten nicht nur zu Werbezwecken melden. VLC braucht keinen Netzwerkzugriff zur Funktion.

Firefox – Es gibt noch keinen Tor-Browser für Android (obwohl in Arbeit, siehe unten). Firefox Ihre beste Wahl für einen Web-Browser, der regelmäßige Updates erhält .
Im Firefox zumindest HTTPS-Everywhere und NoScript installieren. Es gibt aber auch ein Plugin, das den Einsatz von Firefox zusammen mit Orbot auf einem nicht gerooteten Gerät ermöglicht.

Zerstören des eingebauten Mikrofons
Es ist leicht, das eingebaute Mikrofon im Nexus 7 zu entfernen. Es gibt nur ein Mikrofon im 2013er Modell, und es ist direkt unter den Lautstärketasten (das kleine Loch) und kann nach dem Entfernen der hinteren Abdeckung einfach mechanisch unbrauchbar gemacht werden, statt langwieriger Software-Versuche.
Anwendungen, die ein Mikrofon benötigen, können Sie mit einem eingesteckten Headset mit eingebautem Mikrofon bedienen.
Achtung: Das 2012er Modell hat zwei Mikrofone und unterstützt Mikrofone im Headset nicht.

Kamera
Bevor Sie nun an die Zerstörung der Kamera gehen, hier ein Vorschlag: Kleben Sie sie mit einem Stück Isolier-Klebeband einfach ab.

Zukunftsaussichten
The Guardian Project entwickelt einen Port vom Tor-Browser als Teil ihres Projekts OrFox auf Android. Dadurch wird die Privatsphäre auf dem Android-Gerät stark verbessert.