Mein PC - Die Festung

Transcription

Mein PC - Die Festung
Inhalt
4
● Einleitung
Theorie
Grundlagen
5
6- 7
8- 9
10 - 12
● Einstellung und Mentalität
● Der richtige Weg
● Passwörter und der eigene Schweinehund
● TOR für Laien
Verschlüsselungsprogramme
13 - 14
15 - 16
17
18
19
19
20 - 21
● TrueCrypt
● Bitlocker (Windows)
● EFS (Windows)
● CrossCrypt
● DiskCryptor
● dm-crypt
● KeePass
Verschlüsselungs-Algorithmen
22
23
24
● AES
● Serpent
● Twofish
Anti-Virenprogramme
25
26
27
28
29 - 30
● Avast!
● AVG
● Avira AntiVir
● Kaspersky
● Norton AntiVirus
-2-
Tor & Co.
31 - 32
33
34
35 - 36
37 - 38
● TOR
● Psiphon
● JonDo (Jap)
● I2P
● CyberGhost VPN
Praxis – Grundlagen
TrueCrypt
39
40 - 46
47 - 51
52 - 55
56 - 62
63
Tor
64
65 - 68
69
● Die Rettungs-CD
● Gesamtverschlüsselung
● Externe Festplatten und USB-Sticks
verschlüsseln
● TrueCrypt - Container
● Versteckte TrueCrypt - Container
● Entschlüsseln
● Das richtige Paket
● Tor Browser richtig einstellen
● Spezielle Torbrowser
Praxis - Die Festung
70 - 71
72 - 78
79 - 83
84 - 90
91
92
● Linie Alpha
- Das Äußere
● Linie Bravo
- Booten bis Desktop
● Linie Charlie - Ordner und Dateien
● Linie Delta
- Schutz vor Viren und Trojanern
● Linie Echo
- Anonymität im Netz
● Lagebesprechung
-3-
Einleitung
Dieses Buch beschäftigt sich mit dem Feld der PC-Sicherheit, von
Verschlüsselungen bis hin zu Firewalls. Alle hier angegebenen
Anleitungen sind natürlich nicht Pflicht, aber wenn man in der Kette der
Sicherheit ein Glied auslässt, hält die Kette nicht mehr so lange.
Der theoretische Teil stellt verschiedene Verschlüsselung und
Sicherheitsprogramme vor. Vollblut Hacker werden beim Anblick der
meisten Freeware Produkte die wir verwenden und empfehlen
wahrscheinlich erstmal einen Lachkrampf erleiden.
Aber Freeware heißt nicht immer schlecht, TrueCrypt ist das perfekte
Beispiel. Bis heute ist es nicht möglich, einen mit TrueCrypt
verschlüsselten Rechner zu entschlüsseln. Sollte es doch mal gelingen,
liegt es nicht am PC oder am Programm selbst, sondern am Besitzer.
Die Zahlen „12345“ sind für ein gutes Passwort einfach nicht zu
gebrauchen. Richtig angewendet machen Freeware Programme es auch
dem BKA und BND unmöglich, ohne euer Einverständnis an die Daten
zu kommen.
Der praktische Teil beinhaltet ein Verteidigungsmodell, das von uns
entwickelt, früher benutzt und bisher nicht überwunden wurde, bei
richtigem Gebrauch. Wir benutzen bereits ein Modell der neueren
Generation, welches demnächst ebenfalls vorgestellt wird. Es ist zu
empfehlen, auch die inneren Verteidigungslinien aufzubauen, auch wenn
man denkt TrueCrypt würde reichen. Sicher ist sicher, lieber einen PC 36mal hintereinander verschlüsseln, als das Vertrauen in ein einziges
Programm und Passwort zu legen.
Dieses Buch ist eine Sammlung von vorhandenen Anleitungen und
Tipps! Wir haben die meisten nicht neu erfunden ;). Es richtet sich an
Laien die mit Sicherheit am PC nur wenig anfangen können.
-4-
Theorie
Einstellung und Mentalität
Genauso wichtig wie die Wahl der Programme und Methoden ist auch
die eigene Einstellung und Mentalität. Oft entscheiden eigene
Schwächen und Stärken über Erfolg und Misserfolg polizeilicher
Ermittlungen.
Verschlüsselungen und der Wunsch nach Anonymität im Netz sind keine
Verbrechen! Niemand ist deswegen gleich verdächtig und muss ein
schlechtes Gewissen bekommen.
Doch in Zeiten eines neuen Überwachungsstaates muss man
berechtigterweise um seine Daten und die Freiheit fürchten. Der
Grundsatz, „man ist erst schuldig, wenn man sich eines Verbrechens
verdächtig macht“, gilt heute nicht mehr. In Zeiten von internationalem
Terrorismus und der daraus entstandenen Sicherheitshysterie ist man
„erst unschuldig und nicht verdächtig, wenn die Polizei bei einem nichts
gefunden hat“.
Der Wunsch nach Schutz der Privatsphäre ist also vollkommen
verständlich.
Sicherheitsprogramme wie TOR und TrueCrypt geben dem
normalsterblichen Bürger eine gute Basis dieses Schutzes. Hier kommt
allerdings auch die eigene Einstellung und Verantwortung ins Spiel.
Das Gefühl der falschen Sicherheit sollte jedem bekannt sein. TOR und
TrueCrypt helfen einem nur dabei anonym und sicher zu sein. Wer sich
dadurch zu sicher fühlt, begeht leicht Fehler. Zudem schützen diese
Programme niemals zu 100%, wenn man der Topterrorist schlecht hin ist
und nicht grade den halben Nahen Osten als Versteck zur Verfügung
hat, werden Polizei und Staat einen finden!
Das Gegenteil davon ist allerdings auch fatal. Wer sich jetzt in die
komplette Einöde zurückzieht oder sich einfach an die Gesellschaft
anpasst, hat schon verloren.
Richtig ist ein ausgewogener Mix aus Vorsicht und Tatendrang!
-5-
Der richtige Weg
Kein Krieg kann ohne Strategie gewonnen werden!
Dieses weltberühmte Zitat gilt auch für unsere Zwecke. Man muss sich
entscheiden, ob man offensiv, defensiv oder neutral vorgeht. Jede
Ausrichtung birgt Vor- und Nachteile.
Offensiv
Offensive Personen verzichten gerne auf komplizierte
Verschlüsselungen. Sie bevorzugen Programme wie TOR oder besser.
Ihre Taktik liegt darin, gar nicht erst erkannt zu werden. Ihre
Internetverbindungen sind mit etlichen Firewalls und Programmen
mehrfach gesichert und darum schwer anzugreifen.
Wenn die Polizei aber doch mal vor der Tür steht, ist der Ärger groß.
Defensiv
Das Einstellen von Firewalls und TOR in seiner ganzen Perfektion ist
kompliziert und für Laien oft zu schwer. Darum bevorzugt die defensive
Strategie das Prinzip der Mauer.
„Sollen sie ruhig kommen, an meine Daten kommen sie nicht!“
Hier werden Internetspuren nur leichtfertig verwischt, ein Besuch von
Beamten zu Hause in Kauf genommen. Die Wohnungen sind allerdings
klinisch rein, keine verdächtigen Substanzen, Gegenstände und Papiere.
Die Rechner sind mit 64-stelligen Passwörtern im höchsten TrueCryptModus verschlüsselt. An solchen Rechnern sind sogar die
Supercomputer der NASA gescheitert. Auch die Polizei wird niemals
irgendwelche handfesten Beweise finden.
Der Nachteil ist hier natürlich die Situation der Hausdurchsuchung (HD).
-6-
Neutral
Der Mittelweg zwischen offensiv und defensiv ist neutral. Natürlich denkt
jetzt jeder an Schlagwörter wie „ausgewogene Mischung“ oder „bester
Weg“. Der neutrale Weg ist in all seiner Perfektion aber auch der
schwierigste und aufwendigste Weg. Er umfasst alle Bereiche der
offensive und defensive. Anfänger nehmen sich oft von jedem Bereich
nur einen Teil und sichern diesen nur Mittelmäßig.
Um aber wirklich den „perfekten“ Weg zu bekommen, sind etliche
Stunden an Arbeit zu erfüllen. Wer also nicht dazu bereit ist, beim
hochfahren ein 32-stelliges Passwort einzugeben und dann auch noch
mit TOR langsam zu surfen sollte lieber eine andere Strategie wählt.
-7-
Passwörter und der eigene Schweinehund
Seit ca. 3 Jahren warnen Computerexperten immer wieder vor dem
„leichten“ Passwort. Gemeint sind damit Passwörter, die nur kurz oder
Personenbezogen sind und somit leicht zu knacken sind. Auch wenn
z.B. TrueCrypt ein mächtiges Programm ist, ein Passwort aus den
Zahlen 12345 wird nicht lange halten. Ein Beispiel wäre:
Person:
Geburtstag:
Name des Hundes:
Name der Frau:
Hermann Meier
7.5.1975
Paul
Angelika
Die Passwörter dieser erfunden Person dürfen nicht mit den hier
abgebildeten Informationen zu tun haben. Namen und Daten haben in
Passwörtern nichts zu suchen. Auch Kombinationen aus diesen
Angaben sind sehr leicht zu erraten.
Genauso entscheidend wie die richtige Wahl der Wörter und Zahlen,
sind Zeichen und die Länge des Passwortes. Ein Passwort sollte
mindestens aus 8 Sonderzeichen bestehen und eine Länge von min. 30
Zeichen besitzen.
Gute Passwörter:
- 2hvw285?43gmg&$§“s276n1u7q2e=/%§!scahicncht3i9rä1ßok3
- Quap4ß7681023noros673§%/),ndse..4..12sfkjcbambehj3bwkj3
Zu Recht fragt man sich jetzt, wer kann sich so einen Scheiß merken
und wäre ein kurzes, knappes nicht einfach besser? Und warum
befinden sich darin keine vollständig richtigen Wörter?
Solche Passwörter kann man sich nicht merken! Man verwendet
entweder ein Merksystem oder einen kleinen Zettel auf den man sich
dieses Passwort notiert. Dieser Zettel muss versteckt oder immer am
Körper getragen werden. Perfekte Aufbewahrungsorte sind die
Innenräume von technischen Geräten oder Verstecke hinter Fliesen,
Bodenplatten etc.
-8-
Der Grund für diesen Buchstabensalat ist die Taktik der
Ermittlungsbeamten. Jedes Entschlüsselungsprogramm hat das
komplette Wörterbuch der Welt gespeichert. Passwörter wie
„ichdochnicht“ werden innerhalb von Minuten/Stunden vom System
erraten. Von daher dürfen Passwörter niemals Wörter enthalten die von
einem Programm einfach abgefragt werden könnten.
Wörter wie „ndse“ finden solche Programme dann einfach nicht!
Das Hauptproblem ist der innere Schweinehund in jedem von uns.
Vielen Leuten sind solche Maßnahmen zu aufwendig und kompliziert.
Für sie zählt nur das schnelle Hochfahren des Rechners.
Wer aber seine Daten vom Zugriff Dritter schützen will, muss sich von
diesem Leben verabschieden und Opfer bringen. Es führt kein Weg dran
vorbei. Wenn die Polizei einmal den Rechner beschlagnahmt hat, wird
man über solche Passwort-Systeme froh sein!
-9-
TOR für Laien
Zwar gibt es hier im Buch einen tollen Artikel über TOR, doch bestimmt
werden sich Laien trotzdem fragen, wie das ganze genau funktioniert.
Das ist aber nicht weiter schlimm, es ist schließlich noch kein Meister
vom Himmel gefallen.
Das Prinzip von TOR ist dermaßen kompliziert, das es gar nicht
darzustellen ist. Das was wir zeigen, und die meisten kennen ist ein
vereinfachtes Schaubild. Es geht nur darum zu zeigen, was TOR mit
unserer IP und unseren Daten macht, andere Verbindungsmöglichkeiten
/arten und die Prozesse im Hintergrund wären hier zu komplex.
Außerdem weisen wir nochmals darauf hin, das Tor keine Wunderwaffe
ist. Die Schaubilder wurden vereinfacht und berücksichtigen nicht die
falschen Einstellungen vieler Browser oder mögliche Polizeicomputer im
TOR-Netzwerk.
Hat die Polizei TOR unterwandert?
Nein, natürlich hat die Polizei auch eigene Rechner und Server mit dem
TOR-Netzwerk verbunden. Allerdings sind solche
Überwachungsmethoden fast vollkommen wirkungslos. Um das TORNetzwerk effektiv überwachen zu können, müsste die Polizei mindestens
40% des Netzwerkes unter ihrer Kontrolle haben. Praktisch unmöglich
bei den Ressourcen der Deutschen Polizei.
- 10 -
Wie funktioniert das Internet?
Wir haben unseren Rechner der ins Internet geht. Über unseren
Internetanbieter (T-Online z.B.) werden wir über ein paar Server zu der
gewünschten Internetseite verbunden (grob vereinfacht).
Unser PC
Server
Server
Website
Ohne einen Proxy werden unsere Daten aber direkt an die Website
weitergeleitet (IP etc.). Wenn jemand, z.B. die Polizei, also jetzt
herausfinden möchte, wer auf die Website zugegriffen hat, fragt er bei
der Website nach der IP.
Mit der IP geht die Polizei zu T-Online und fragt dort wieder nach,
welcher Anschluss zu einer bestimmten Zeit mit dieser IP unterwegs
war. Der Anbieter gibt die Daten heraus und schon weis die Polizei, das
wir diese Seite besucht haben.
- 11 -
Wie schützt TOR jetzt meine Daten?
Sobald TOR oder ein anderer Proxy installiert wurde, geht man nur noch
über diese Software ins Internet. Niemals über den normalen Browser
ins Internet gehen und glauben, TOR würde schon alles Regeln! Durch
einen Proxy entsteht folgende Verbindung (vereinfacht):
Unser PC
Ausgang
Server
Website
Unser PC wird von TOR zu einem anderen Rechner weitergeleitet. User
von TOR können ihren PC als Knotenpunkt zur Verfügung stellen…je
mehr desto besser. Jeder Knotenpunkt sendet jetzt unsere Anfrage zum
nächsten Knotenpunkt.
Dabei verwenden wir nicht mehr unsere IP, sondern eine der
Knotenpunkte bzw. die des letzten Knotenpunktes. Denn der letzte
Knotenpunkt (Ausgang) greift auf den Server der Website zu. Die
Website sieht also nur die IP des Ausgangs, unsere bleibt verborgen.
So funktioniert TOR!
- 12 -
Verschlüsselungsprogramme
TrueCrypt
TrueCrypt bietet Verschlüsselung mit folgenden Algorithmen: AES,
Twofish und Serpent. Es stehen neben der Wahl eines einzelnen
Algorithmus auch vorgegebene Kaskadierungen mehrerer Algorithmen
zur Wahl.
Ein besonderes Sicherheitsmerkmal von TrueCrypt ist das Konzept der
glaubhaften Abstreitbarkeit (engl. plausible deniability). Das bedeutet,
dass es sehr schwierig ist, die Existenz verschlüsselter Daten
nachzuweisen. Dafür gibt es zwei Funktionen:
1. TrueCrypt-Container (Volumes) können nicht erkannt werden, da sie
keinen eigenen Kopfdatenbereich haben und nur aus zufälligen
Bitfolgen zu bestehen scheinen. Der Angreifer wird dort jedoch auf
Grund dieser Eigenschaft verschlüsselte Daten vermuten. Hier setzt
die zweite Funktion an:
2. Versteckte Container (Hidden Volumes) können innerhalb des freien
Speicherplatzes eines anderen verschlüsselten Volumes versteckt
werden. Wird man z. B. gezwungen, das Passwort für das Volume
herauszugeben, gibt man nur das Passwort für das äußere Volume
heraus, das versteckte und mit einem anderen Passwort
verschlüsselte Volume bleibt unentdeckt. So sieht ein Angreifer nur
unwichtige Alibi-Daten, die vertraulichen Daten sind verschlüsselt im
freien Speicherplatz des verschlüsselten Volumes verborgen.
Allerdings ist zu beachten, dass sowohl auf dem physischen
Datenträger, im Betriebssystem oder innerhalb der verwendeten
Programme Spuren zurückbleiben können, die die Existenz des
versteckten Volumes für einen Angreifer offenbaren.
- 13 -
Es existiert ein Angriffsszenario, das zur Erlangung des geheimen
TrueCrypt-Passworts führen kann. Voraussetzung ist ein laufendes
System mit gemountetem TrueCrypt Volume. (Es existiert das selbe
Angriffsszenario auch für Microsofts BitLocker-Verschlüsselung.)
In diesem Zustand kann bei Vorhandensein eines FireWire-Anschlusses
mit einer speziellen Software über die FireWire-Verbindung der Inhalt
des Arbeitsspeichers kopiert werden. Dieses Speicherabbild kann
danach mit der Angriffssoftware durchsucht und das Passwort extrahiert
werden. Damit kann schließlich vom Angreifer das TrueCrypt-Volume
gemountet und gelesen werden. Der Hersteller bietet die Software außer
für Behörden auch für Privatdetektive an.
Dafür muss der Angreifer aber Zugang zum Firewire Anschluss eures
Rechners haben…und jeder weis ja wohl ob da ein Kabel dranhängt das
ihm nicht gehört!
- 14 -
Bitlocker (Windows)
Man kann die BitLocker-Laufwerkverschlüsselung verwenden, um alle
Dateien auf dem Laufwerk, auf dem Windows installiert ist
(Betriebssystemlaufwerk), und auf eingebauten Datenlaufwerken (z. B.
internen Festplatten) zu schützen. Mit BitLocker To Go kann man alle
Dateien schützen, die auf Wechseldatenträgern, externen Festplatten
oder USB-Flashlaufwerken gespeichert sind.
Im Gegensatz zum verschlüsselnden Dateisystem EFS (Encrypting File
System), mit dem einzelne Dateien verschlüsselt werden können, dient
BitLocker zum Verschlüsseln des gesamten Laufwerks. Man muss sich
nur normal anmelden und mit den Dateien arbeiten. Mit BitLocker kann
verhindert werden, dass Hacker auf die Systemdateien zugreifen, um
das Kennwort zu ermitteln, oder dass Hacker auf das Laufwerk
zugreifen, indem sie es aus Ihrem Computer entfernen und in einen
anderen Computer einbauen.
Werden einem mit BitLocker verschlüsselten Laufwerk neue Dateien
hinzugefügt, werden diese automatisch von BitLocker verschlüsselt. Die
Dateien bleiben verschlüsselt, so lange sie auf dem verschlüsselten
Laufwerk gespeichert sind. Dateien, die auf ein anderes Laufwerk oder
auf einen anderen Computer kopiert werden, werden entschlüsselt.
Wenn man Dateien für andere Benutzer freigibt, dann sind diese Dateien
verschlüsselt, während sie auf dem verschlüsselten Laufwerk
gespeichert sind. Autorisierte Benutzer können jedoch ganz normal
darauf zugreifen.
Wenn man das Betriebssystemlaufwerk verschlüsselt, wird der
Computer beim Start auf Bedingungen überprüft, die ein
Sicherheitsrisiko darstellen können (beispielsweise Änderungen am
BIOS oder an den Startdateien). Falls ein potenzielles Sicherheitsrisiko
erkannt wird, wird das Betriebssystemlaufwerk gesperrt und kann nur mit
einem besonderen BitLocker-Wiederherstellungsschlüssel entsperrt
werden.
Unbedingt sicherstellen, dass man diesen Wiederherstellungsschlüssel
beim erstmaligen Aktivieren von BitLocker erstellt, da die Daten sonst
verloren sind!
- 15 -
Wenn der Computer mit einem TPM-Mikrochip (Trusted Platform
Module) ausgestattet ist, wird dieser von BitLocker verwendet, um die
zum Entsperren des verschlüsselten Betriebssystemlaufwerks
verwendeten Schlüssel zu versiegeln. Beim Starten des Computers
werden die Schlüssel für das Laufwerk beim TPM angefordert, und das
Laufwerk wird von BitLocker entsperrt.
Man kann auch festlegen, dass das Laufwerk automatisch entsperrt wird,
wenn Sie sich am Computer anmelden.
Bitlocker ist im vollen Umfang eigentlich nur auf Windows 7 Ultimate zu
finden. Aber über Updates oder externe Downloads kann man es auch
für alle anderen neuen Windows Arten bekommen!
Eine Festplatte oder ein externer Datenträger, der mit Bitlocker unter
Windows 7 verschlüsselt wurde, kann nur auf einem Rechner mit
demselben Betriebssystem entschlüsselt oder benutzt werden!
- 16 -
EFS (Windows)
Das verschlüsselnde Dateisystem (Encrypting File System, EFS) ist ein
Windows-Feature, mit dem Sie Daten in einem verschlüsselten Format
auf der Festplatte speichern können. Die Verschlüsselung ist der
stärkste Schutz, den Windows zur Sicherheit Ihrer Daten bietet.
EFS weist u.a. die folgenden Merkmale auf:
•
•
•
•
Die Verschlüsselung ist einfach. Sie müssen nur ein
Kontrollkästchen in den Eigenschaften der betreffenden Datei oder
des Ordners aktivieren, um die Verschlüsselung zu aktivieren.
Sie haben Kontrolle darüber, wer die Dateien lesen kann.
Die Dateien werden verschlüsselt, wenn Sie sie schließen, sind
beim Öffnen aber automatisch bereit zum Lesen.
Wenn Sie eine Datei nicht mehr verschlüsseln möchten,
deaktivieren Sie das Kontrollkästchen in den Eigenschaften der
Datei.
Hinweis
•
EFS wird in Windows 7 Starter, Windows 7 Home Basic und
Windows 7 Home Premium nicht vollständig unterstützt. In diesen
Editionen von Windows können Sie mit dem
Verschlüsselungsschlüssel oder Zertifikat folgende Aktionen
ausführen:
o Entschlüsseln von Dateien durch Ausführen von Cipher.exe
im Eingabeaufforderungsfenster (erfahrene Benutzer)
o Eine verschlüsselte Datei ändern
o Eine verschlüsselte Datei als entschlüsselt auf eine
Festplatte Ihres Computers kopieren
o EFS-Zertifikate und -Schlüssel importieren
o Sichern von EFS-Zertifikaten und -Schlüsseln durch
Ausführen von Cipher.exe im Eingabeaufforderungsfenster
(erfahrene Benutzer)
Insgesamt nicht sonderlich sicher, wenn man nur Windows Programme
verwenden möchte, sollte man schon auf Bitlocker setzen!
- 17 -
CrossCrypt
CrossCrypt ist eine Freie Software (unter GPL) zur transparenten Verund Entschlüsselung von Festplatten und anderen Datenträgern für
Microsoft Windows XP und 2000 mit Kompatibilität zu Linux. CrossCrypt
bietet ähnlich wie TrueCrypt die Verschlüsselung so genannter
Container-Dateien, welche unter Windows als virtuelle Laufwerke
eingebunden werden können. Die Software unterstützt die Algorithmen
Twofish sowie AES in den Varianten AES-128, AES-192 und AES-256.
CrossCrypt ist kompatibel zu loop-aes und damit neben FreeOTFE und
TrueCrypt (ab Version 4) eines der wenigen
Verschlüsselungsprogramme, die unter Linux und Windows laufen.
CrossCrypt besitzt im Vergleich zu FreeOTFE und TrueCrypt folgende
Vor- und Nachteile:
- FreeOTFE und TrueCrypt benutzen Salt und zufällige
Initialisierungsvektoren zur Erhöhung der Sicherheit. CrossCrypt bietet
diese Sicherheit nicht und ist damit anfälliger für Rainbow-TableAttacken.
- FreeOTFE und TrueCrypt bieten eine Form von glaubhafter
Bestreitbarkeit (engl. plausible deniability) durch verborgene Partitionen
(„hidden volume“), die im freien Speicher einer anderen liegen.
- CrossCrypt kann verschlüsselte CDs lesen. Dazu legt man ein ISOAbbild einer CD an, verschlüsselt dieses mit CrossCrypt und brennt
dann das verschlüsselte Speicherabbild auf eine neue CD-R(W). Die so
verschlüsselte CD kann mit CrossCrypt gemountet und gelesen
werden.
- CrossCrypt verwendet CBC; FreeOTFE und TrueCrypt verwendet
LRW/XTS
- 18 -
DiskCryptor
DiskCryptor ist eine Freie Software (GPLv3) für WindowsBetriebssysteme zur Verschlüsselung von Festplatten und
Wechseldatenträgern.
Es unterstützt derzeit Windows-NT-basierte Betriebssysteme ab
Windows 2000 bis einschließlich Windows 7.
Zur Verschlüsselung können die symmetrischen Kryptosysteme AES
256, Twofish, Serpent oder auch Kaskaden daraus jeweils im XTSModus verwendet werden.
Bestehende Partitionen können an Ort und Stelle verschlüsselt werden.
Kennwörter können zwischengespeichert werden und verschlüsselte
Datenträger werden per Voreinstellung automatisch eingebunden.
Dadurch muss ein Kennwort nur einmal pro Sitzung eingegeben werden,
um danach alle damit zugänglichen Datenträger automatisch öffnen zu
können.
Die Verschlüsselung erfolgt mit über 100 MByte/s pro Prozessorkern.
Das Programm ist mit ca. 100 kByte sehr klein, da es neben C-Code zu
einem großen Teil aus hochoptimiertem Assembler-Code besteht.
dm-crypt
dm-crypt ist ein Kryptographie-Modul des Device Mappers im LinuxKernel. Man kann mit dm-crypt Daten mit verschiedenen Algorithmen
ver- und entschlüsseln, dies kann auf beliebige Gerätedateien (englisch:
Devices) angewandt werden, in den meisten Fällen Partitionen oder
Festplatten. Es wird hier also eine zusätzliche Schicht zwischen
(verschlüsselten) (Roh-)Daten und dem Dateisystem aufgebaut. Für den
Benutzer geschieht dies vollkommen transparent. dm-crypt eignet sich
so zur Festplattenverschlüsselung (Partitionen oder ganze Festplatten).
dm-crypt unterstützt eine Vielzahl von Verschlüsselungsalgorithmen, da
es die Crypto API des Linuxkernels nutzt.
Einen anderen Ansatz verfolgt die (transparente) Dateiverschlüsselung,
bei der das Dateisystem für die Ver- und Entschlüsselung zuständig ist.
- 19 -
KeePass
KeePass Password Safe ist ein freies, unter den Bedingungen der GNU
General Public License (GPL) erhältliches Programm zur
Kennwortverwaltung. KeePass verschlüsselt nicht nur die Kennwörter,
sondern die gesamte Datenbank, welche auch Benutzernamen und
ähnliches enthalten kann.
Es existieren Versionen für Windows, Mac OS X, Linux, Pocket PC,
Android, iPhones, BlackBerrys, Java-Handys, U3-USB-Sticks sowie für
die PortableApps Suite. Durch die Exportfunktion ist auch die Version 2.x
mit vorherigen Versionen oder Versionen für andere Systeme kompatibel
und lässt sich so mit diesen synchronisieren.
KeePass steht in mehr als 40 Sprachen zur Verfügung, wobei nicht alle
Sprachdateien mit der Version 2.x kompatibel sind. Die Sprachdatei
(neben Englisch als Standard) muss zusätzlich heruntergeladen werden.
Es existieren die Hauptprogrammversionen:
1.x wird die „Classic Edition“ genannt und läuft ohne das .NET
Framework
2.x wird die „Professional Edition“ genannt, da sie mindestens das .NET
Framework 2.0 benötigt und einige grundlegende neue Funktionen
integriert hat.
Die Kennwortdatenbank verschlüsselt KeePass wahlweise nach dem
Advanced Encryption Standard-Algorithmus (AES) oder dem TwofishAlgorithmus; beide gelten als äußerst sicher. Die Hash-Funktion zur
Ermittlung eines eindeutigen Prüfwertes übernimmt SHA-256.
KeePass verschlüsselt auch die Daten, welche sich gerade im Speicher
befinden (Session Key bzw. DPAPI). Auch bei einer
Zwischenspeicherung im Cache oder der Auslagerungsdatei bleiben die
Daten geschützt. Gegen Angriffe auf die Benutzeroberfläche ist KeePass
sicher, denn Kennwörter, welche in die Benutzeroberfläche eingegeben
werden, sind im Speicher nicht sichtbar.
- 20 -
Hauptschlüssel
Die Datenbank ist durch einen Hauptschlüssel („Master Key“) gesichert,
ohne diesen lässt sich die Datenbank nicht entschlüsseln. Das
Hauptkennwort („Master Password“) muss manuell eingegeben werden
und es kann eine Schlüsseldatei („Key File“) verwendet werden, die
beispielsweise auf einem mobilen Laufwerk, wie USB-Stick oder CD,
liegt.
Eine Kombination aus Schlüsseldatei und Kennwort ist möglich und
erhöht die Sicherheit. Auf diese ist beim Hauptkennwort besonders zu
achten, da es den Zugriff auf alle Kennwörter regelt.
KeePass 2.x unterstützt unter Windows zusätzlich eine Methode, einen
geheimen Schlüssel des aktuellen Windows-Benutzers zu verwenden.
Die Datenbank lässt sich damit nur öffnen, wenn der Benutzer mit dem
richtigen Windows-Account angemeldet ist. Ein Nachteil dieser Methode
ist, dass es bei einem Verlust des Windows-Accounts nicht ausreicht,
einen neuen Account mit demselben Benutzernamen und Passwort zu
erstellen, da der geheime Schlüssel des Accounts zwar mit diesen Daten
geschützt ist, aber nicht direkt daraus abgeleitet werden kann.
- 21 -
Verschlüsselungs-Algorithmen
Advanced Encryption Standard (AES)
Der Advanced Encryption Standard (AES oder Rijndael) ist ein
symmetrisches Kryptosystem, das als Nachfolger für DES bzw. 3DES im
Oktober 2000 vom National Institute of Standards and Technology
(NIST) als Standard bekannt gegeben wurde.
Der Rijndael-Algorithmus besitzt eine variable Blockgröße von 128, 192
oder 256 Bit und eine variable Schlüssellänge von 128, 192 oder 256 Bit.
Rijndael bietet ein sehr hohes Maß an Sicherheit. Das Verfahren wurde
eingehenden kryptoanalytischen Prüfungen unterzogen. AES schränkt
die Blocklänge auf 128 Bit ein, während die Wahl der Schlüssellänge von
128, 192 oder 256 Bits unverändert übernommen worden ist. Anhand
der Schlüssellänge wird zwischen den drei AES-Varianten AES-128,
AES-192 und AES-256 unterschieden.
Der Algorithmus ist frei verfügbar und darf ohne Lizenzgebühren
eingesetzt sowie in Software bzw. Hardware implementiert werden. AES
ist in den USA für staatliche Dokumente mit höchster
Geheimhaltungsstufe zugelassen.
Die Forscher Alex Biryukov, Dmitry Khovratovich und Ivica Nikolic
veröffentlichten Mitte des Jahres 2009 einen Angriff mit verwandtem
Schlüssel auf die AES-Varianten mit 192 und 256 Bit Schlüssellänge.
Dabei nutzten sie Schwächen in der Schlüsselexpansion aus und
konnten eine Komplexität von 2119 erreichen. Damit ist die AESVariante mit 256 Bit Schlüssellänge formal schwächer als die Variante
mit 128 Bit Schlüssellänge. Für die Praxis hat dieser Angriff jedoch
wenig Relevanz, denn AES bleibt weiterhin berechnungssicher.
- 22 -
Serpent
Serpent ist ein symmetrischer Verschlüsselungsalgorithmus, der von den
Kryptografen Ross Anderson, Eli Biham und Lars Knudsen entwickelt
wurde. Es ist eine Blockchiffre mit einer Blockgröße von 128 Bit und
variabler Schlüsselgröße bis 256 Bit.
Serpent war ein Kandidat für den Advanced Encryption Standard (AES)
und gehörte mit Twofish, Rijndael, MARS und RC6 zu den fünf Finalisten
des AES-Ausscheidungsverfahrens.
Serpent scheint eine sicherere Architektur als Rijndael zu haben. MARS,
Twofish und Serpent wurden als hoch-sicher eingestuft, während
Rijndael und RC6 „nur“ als hinreichend-sicher eingestuft wurden.
Rijndael wurde vor allem wegen seiner mathematischen Struktur, die
möglicherweise zu Angriffen führen könnte, kritisiert. Im Gegensatz zu
den beiden anderen als hoch-sicher eingestuften Kandidaten der letzten
Runde, MARS und Twofish, wurde Serpent bezüglich seiner Sicherheit
nicht kritisiert und es wurde angenommen, dass dieser der sicherste der
fünf Finalisten sei.
Serpent weist außerdem bei Implementierung in Hardware, die als
Pipeline erfolgen kann, die größte Geschwindigkeit unter den Finalisten
auf. Er ist jedoch bei Software-Implementierung der langsamste,
während Rijndael sowohl in Hardware als auch in Software relativ
schnell ist. Vor allem dieser Geschwindigkeitsvorteil dürfte bei der
Entscheidung, Rijndael zum AES zu erklären, den Ausschlag gegeben
haben.
2002 veröffentlichten Courtois und Pieprzyk ein Papier, in dem eine
potentielle Attacke gegen Serpent (und Rijndael) mit Namen XSL
vorgestellt wurde. Der Angriff ist lediglich theoretisch und kann aufgrund
seiner Komplexität nicht real ausprobiert werden. Es ist unbekannt, ob
der Angriff real funktionieren würde.
Die berühmten Kryptographen T. Moh und Don Coppersmith sind der
Meinung, dass die Attacke nicht funktioniert.
- 23 -
Twofish
Twofish ist ein symmetrischer Verschlüsselungsalgorithmus in der
Informatik, der von Bruce Schneier, Niels Ferguson, John Kelsey, Doug
Whiting, David Wagner und Chris Hall entwickelt wurde. Es handelt sich
um ein Blockchiffre mit einer Blockgröße von 128 Bit und 16 Runden, die
Schlüssellängen betragen 128, 192 oder 256 Bit.
Die bisher beste veröffentlichte Angriffsmöglichkeit in Form einer
Distinguishing Attack ist nach Moriai & Yin die beschränkte differentielle
Analyse. Das Dokument beschreibt, dass die Wahrscheinlichkeit für
beschränkte Differentiale 2-57.3 pro Block beträgt und dass man
annähernd 251 gewählte Klartexte (etwa 32 PiB Daten) benötigt, um ein
brauchbares Paar von beschränkten Differentialen zu finden und
dadurch das Chiffrat von einer Zufallszahlenfolge unterscheiden zu
können.
Bruce Schneier antwortete 2005 in einem Blog-Beitrag, dass das
Dokument keine vollständige Kryptoanalyse präsentiert, sondern nur
einige charakteristische Hypothesen der differentiellen Analyse. Dies
würde aus praktischer Sicht bedeuten, dass Twofish nicht im
Entferntesten gebrochen werden konnte. Die Autoren der 2000
veröffentlichten Analyse haben seither keine neuen Erkenntnisse
veröffentlicht.
- 24 -
Anti-Virenprogramme
Avast!
Avast! ist ein Antivirenprogramm der Firma Avast Software mit Sitz in
Prag (Tschechien). Die erste Version wurde 1988 von Pavel Baudis und
Eduard Kucera entwickelt, welche 1991 das Unternehmen gründeten.
Am 1. Juni 2010 wurde das Unternehmen von Alwil Software in Avast
Software umbenannt.
Im April 2009 wurde avast! Antivirus von der Stiftung Warentest als das
beste kostenlose Programm bewertet.
Im Gegensatz zu anderen Lösungen bietet avast! in der kostenlosen
Version für die private, nichtgewerbliche Nutzung fast alle Funktionen,
welche auch in der kommerziellen Version verfügbar sind. Aktuell
(Version 5.0) enthält avast! Pro Antivirus zusätzlich nur eine Sandbox
und einen Skript-Blocker (für Webseiten).
avast! arbeitet als residenter Provider, also als Hintergrundprozess, der
aktuell bearbeitete Daten nach Malware durchsucht. Durch die Aufteilung
in sieben Teilprozesse (Dateisystem-, Mail-, Web-Schutz, P2P-, IM-,
Netzwerk- und Verhaltens-Schutz) die nach Bedarf einzeln aktiviert und
deaktiviert werden können, wird vor allem für leistungsschwache
Systeme der Rechenaufwand verkleinert.
avast! für Windows verfügt über eine sogenannte inkrementelle UpdateFunktion, die nach neuen Programmversionen und Vireninformationen
sucht und nur die Dateien herunterlädt, die in der eigenen Installation
noch nicht enthalten sind. So kann die Dauer des automatisch und im
Hintergrund ablaufenden Updates verkürzt werden.
- 25 -
AVG-Antivirus
AVG-Anti-Virus ist ein kommerzielles Antivirenprogramm der
tschechischen Firma AVG Technologies.
AVG-Antivirus ist in der Standardversion für Privatanwender kostenfrei.
Die von AVG aktuell im Oktober 2009 veröffentlichte Version 9.0 ist auch
in deutscher Sprache erhältlich.
Neben der Erkennung von Viren und Spyware bietet sie zudem die
Überprüfung von Suchmaschinen-Ergebnissen auf ihre Sicherheit, mit
Hilfe der firmeneigenen Technologie LinkScanner. In der Vollversion
AVG Internet Security 9.0 ist die verhaltensbasierte Erkennung von
Malware IDP enthalten. Sie zeichnet sich dadurch aus, dass sie auch
ohne Updates und vor völlig unbekannten Bedrohungen schützt.
Die Firma AVG Technologies hat ihren Ursprung in Tschechien und hieß
früher Grisoft. Ihren Hauptsitz hat die Firma in der Stadt Amsterdam, der
deutsche Sitz befindet sich in München.
Die Stellung am Weltmarkt verdeutlicht sich auch durch ausländische
Investitionen von Branchengrößen wie Intel.
- 26 -
Avira AntiVir
Avira AntiVir ist ein Antivirenprogramm des deutschen SoftwareHerstellers Avira.
Für Privatanwender ist der Einsatz der Freeware-Version Avira AntiVir
Personal kostenlos, für einen erweiterten Funktionsumfang oder Nutzung
im kommerziellen Umfeld stehen als kostenpflichtige Varianten Avira
AntiVir Premium und die Avira Premium Security Suite zur Verfügung.
Ein aufgespannter Regenschirm in verschiedenen Formen ist das
traditionelle Symbol von Avira AntiVir, Avira und der teilweise aus den
Verkaufserlösen finanzierten Auerbach Stiftung.
AntiVir erkennt über 3.100.000 Virenstämme, wehrt Trojaner, Würmer
und Backdoors ab, schützt vor kostenverursachenden
Einwahlprogrammen, sogenannten Dialern, und Rootkits. Infizierte
Dateien können in den meisten Fällen repariert werden.
Integriert ist ein fakultativ ständig aktiver Virenwächter zur EchtzeitÜberwachung der Tätigkeiten auf dem Computer. Sobald auf eine Datei
zugegriffen werden soll, die der Wächter für schädlich hält, gibt er eine
Warnung aus und verhindert die Ausführung der verdächtigen Routine.
Dabei kann das Programm auf eine Heuristik-Funktion zum Schutz vor
bislang unbekannten Viren zurückgreifen.
Bei Verdacht auf einen Fehlalarm von AntiVir oder bisher unerkannte
Malware besteht die Möglichkeit, die betroffenen Dateien bei Avira für
eine genaue Analyse hochzuladen.
Wie bei jedem Antivirenprogramm hängt die Sicherheit des Nutzers stark
von der Aktualität des eingesetzten Programms ab. Der Hersteller Avira
stellt aufgrund dessen in unregelmäßigen Abständen, mehrmals täglich,
neue Virendefinitionsdateien online.
AntiVir scannt in der kostenfreien Version den Mailverkehr nicht direkt
beim Versand oder Empfang. Der Virenscanner wird aber bei einem
Zugriffsversuch bzw. beim Speichern der Mail oder eines Anhangs bei
einem potentiellen Schädlingsprogramm aktiv.
AntiVir wurde schon häufig im Vergleich mit anderen Anti-VirenProgrammen getestet.
Die aktuelle Version 10 erzielte in einem Test von AV-Test sehr gute
Ergebnisse.
- 27 -
Kaspersky
Kaspersky Lab ist ein russisches Softwareunternehmen, das 1997 von
Natalja Kasperskaja und Jewgeni Kasperski gegründet wurde. Seinen
Hauptsitz hat es in Moskau. Das Unternehmen hat sich auf die
Entwicklung von Sicherheitssoftware spezialisiert. Natalja Kasperskaja
übernahm 2007 die Führung im neu geschaffenen Verwaltungsrat.
Kaspersky Lab wurde in den letzten Jahren durch die hohe
Erkennungsleistung seiner Virenscanner bekannt, was dem
Unternehmen einen guten Ruf und viele Auszeichnungen einbrachte.
Allerdings gibt es keine kostenlosen Versionen! In seltenen Fällen kann
man Versionen bei Gewinnspielen oder Aktionen der Firma kostenlos
erstehen!
Die von Kaspersky Lab entwickelten Technologien werden von einer
Vielzahl anderer Unternehmen lizenziert und als Engine (Kerneinheit) in
ihren Antivirenprogrammen eingesetzt.
Kaspersky entwickelte eine heuristische Analyse von Daten, um Viren zu
erkennen, die noch keine Signatur haben, also noch nicht bekannt sind.
Damit lassen sich zu einem hohen Prozentsatz Viren blockieren, bevor
sie analysiert sind und sich die Signatur im Update der Programme
wieder findet. Dieses Analysetool ist von Kaspersky patentiert.
- 28 -
Norton AntiVirus
Der Namenszusatz "Norton" stammt von der ehemaligen
Softwareentwicklungsfirma Peter Norton Computing, die dieses
Programm entwickelte. Die Firma wurde 1990 von Symantec aufgekauft.
Seit seiner Entstehung 1990 wird es von über 250 Millionen Anwendern
jährlich eingesetzt und ist damit das mit großem Abstand am häufigsten
installierte Antivirenprogramm weltweit. Das wird unter anderem dadurch
erreicht, da es auf vielen verkauften Notebooks vorinstalliert ist, und
somit leichter neue Kunden gewonnen werden.
Mit Norton AntiVirus kann man unter anderem:
- Viren, Trojaner und Spyware auf der Festplatte und anderen
Datenträgern aufspüren.
- Schädlinge isolieren und entfernen.
- Mit Viren infizierte Dateien reparieren.
- Ein- und ausgehende E-Mails überprüfen, mittels automatischer
Konfiguration des Mailprogramms.
Über das sogenannte LiveUpdate lässt sich die Software immer wieder
aktualisieren, so dass die Virendefinitionen immer auf dem neuesten
Stand sind. Diese Aktualisierungen kann man nach der Registrierung der
Software ein Jahr lang herunterladen (90 Tage bei OEM-Versionen),
danach muss man ein neues Abonnement über das Internet beziehen
oder eine neue Version im Handel kaufen beziehungsweise aus dem
Internet herunterladen.
Norton AntiVirus wird einzeln und im Sicherheitspaket Norton Internet
Security verkauft.
Norton AntiVirus ist für Windows und MacOS erhältlich.
Das Programm wurde häufig als langsam und ineffizient kritisiert, in
jüngeren Versionen ist aber das Produkt auf Performance programmiert
worden und bestätigt zumindest den Ruf eines „System-Bremsers“ nun
nicht mehr. Ferner machte die Software in jüngster Vergangenheit oft mit
teilweise konzeptionellen Sicherheitslücken Schlagzeilen.
- 29 -
Eine vollständige Deinstallation ist bei vielen Anwendern nicht möglich,
was dazu führt, dass Nutzer, die auf eine andere Antiviren-Software
umsteigen wollen, ihr Betriebssystem komplett neu installieren müssen.
Bei der Deinstallation werden alle geplanten Tasks entfernt. Selbst
angelegte Einträge müssen somit danach erneut eingetragen werden.
Mit Hilfe des „Norton Removal Tool“ können fehlerhafte Installationen
häufig entfernt werden. Lediglich das „Quarantäne“-Verzeichnis ist noch
manuell zu löschen.
Symantec ist mit Norton AntiVirus in die Kritik geraten, da der
Sicherheitsspezialist die Spionage-Software (Keylogger und Backdoor)
der US-Geheimdienste FBI (Magic Lantern) und CIA (Oasis) ungefiltert
durch ihre Malware-Erkennung passieren ließ.
- 30 -
TOR & Co.
TOR
Tor ist ein Netzwerk zur Anonymisierung der Verbindungsdaten und
schütz so vor der Analyse des Datenverkehrs seiner Nutzer.
Die Software basiert auf dem Prinzip des Onion Routing und wurde mit
einigen Abwandlungen implementiert:
1. Der Nutzer installiert auf seinem Computer einen Client, den so
genannten Onion Proxy. Dieses Programm verbindet sich mit dem
Tor-Netzwerk. In der Startphase lädt sich das Programm eine Liste
aller vorhandenen und nutzbaren Tor-Server herunter. Diese mit einer
digitalen Signatur versehene Liste wird von Verzeichnisservern
(englisch directory server) aufbewahrt. Deren öffentliche Schlüssel
werden mit dem Tor-Quellcode geliefert. Das soll sicherstellen, dass
der Onion Proxy ein authentisches Verzeichnis erhält.
2. Wenn die Liste empfangen ist, wählt der Onion Proxy eine zufällige
Route über die Tor-Server.
3. Der Client verhandelt mit dem ersten Tor-Server eine verschlüsselte
Verbindung. Wenn diese aufgebaut ist, wird sie um einen weiteren
Server verlängert. Diese Prozedur wiederholt sich noch einmal, so
dass eine Verbindungskette immer drei Tor-Server enthält. Jeder
Server kennt seinen Vorgänger und seinen Nachfolger. Die Entwickler
des Projektes wählten drei Server, um möglichst große Anonymität bei
noch akzeptabler Verzögerungszeit zu erreichen. Der Erfolg hängt
dabei davon ab, dass mindestens einer der Server vertrauenswürdig
ist und ein Angreifer nicht schon den Anfangs- und Endpunkt der
Kommunikation überwacht.
4. Nachdem eine Verbindung aufgebaut wurde, werden über diese
Server die Daten versandt. Der letzte Server tritt dabei als Endpunkt
der Kommunikation auf. Er wird als Exit- oder Austritts-Server oder Knoten (englisch exit node) bezeichnet.
Der oben beschriebene Verbindungsaufbau wird in regelmäßigen
Abständen wiederholt und die Verbindungsstrecken werden nach etwa
10 Minuten gewechselt!
- 31 -
In Foren ändert sich somit die IP alle 10 Minuten und man muss sich
erneut im Forum anmelden!
Die Pakete innerhalb des Tor-Netzwerkes werden immer verschlüsselt
weitergegeben. Erst wenn der Exit-Knoten die Pakete weitergibt, können
diese u. U. unverschlüsselt sein. Daher ist es weiterhin wichtig,
Verschlüsselung einzusetzen, da der Betreiber eines Exit-Knotens
ansonsten den kompletten Datenverkehr mitlesen kann.
Achtung!
Tor bietet keine Anonymität gegen jeden Angreifer. So ist es durch
Überwachung einer ausreichend großen Anzahl von Tor-Knoten oder
größeren Teilen des Internets möglich, nahezu sämtliche über Tor
abgewickelte Kommunikation nachzuvollziehen. Ein solches Szenario ist
beispielsweise bei Betreibern von Internet-Knoten oder wichtigen
Backbones – insbesondere durch Kooperation – durchaus vorstellbar:
Gelingt es, den ersten und letzten Knoten der Verbindung zu
überwachen, lässt sich mit Hilfe einer statistischen Auswertung auf den
Ursprung der Verbindung schließen.
Gegebenenfalls kann das auch durch staatliche Einflussnahme oder
geheimdienstliche Tätigkeit erfolgen. Begünstigt wird es sowohl durch
die Struktur des Internets, das sich stark auf einzelne Betreiber stützt, als
auch durch die sehr ungleiche Verteilung der Tor-Server weltweit, die
sich stark auf wenige Länder konzentrieren. Dadurch würde die
Zusammenarbeit von wenigen Instanzen ausreichen, um die Wirkung
von Tor deutlich zu schwächen.
- 32 -
Psiphon
Psiphon ist eine Freie Software zur Umgehung von Internet-Zensur
mittels vertrauensvoller, sogenannter Sozialer Netzwerke (social
networks). Es handelt sich um ein Projekt der Universität Toronto,
Kanada, unter der Leitung von Professor Ronald Deibert, Direktor des
Citizen Lab. Damit soll Internetbenutzern die Umgehung von
behördlichen Zensur- bzw. Inhaltsfiltersystemen in Ländern wie China,
Nordkorea, Iran etc. ermöglicht werden.
Citizen Lab setzt auf vertrauenswürdige Kontakte und hofft, dafür
möglichst viele Nutzer in freien Ländern gewinnen zu können. Im
Gegensatz zu öffentlich erreichbaren IP-Adressen von Großservern, die
relativ einfach zu sperren sind, fungieren die Psiphon-Rechner privater
Nutzer als unabhängige Zugangspunkte, deren IP-Adresse nur einem
kleinen Kreis bekannt ist. Über diesen Umweg erschließen sich die
Nutzer in den von Inhaltssperren betroffenen Ländern den unzensierten
Zugang zum Internet. Die dabei abgerufenen Daten werden
verschlüsselt übertragen, wobei der Datenverkehr z. B. über
internationale Netzwerke für Finanztransaktionen laufen soll. Es dürfte
somit der staatlichen Zensur schwerfallen, die betreffenden Daten aus
diesem Datenverkehr herauszufiltern.
Das Anwendungsprogramm muss nicht auf dem Computer des
Anwenders installiert werden, sondern kann webbasiert über eine Log-inFunktion aufgerufen werden. Als zensurfreie Proxyportale fungieren
dabei die Rechner von Anwendern freier Länder, die ihre Geräte dafür
zur Verfügung stellen. Der Psiphon-Nutzer in einem zensurbetroffenen
Land muss sich letztlich nur mit einem Psiphon-Nutzer in einem freien
Land verbinden, um ungehinderten Zugang zum Internet zu bekommen.
Seit dem 1. Dezember 2006 kann die (nur für die freiwilligen Anbieter
notwendige) Software heruntergeladen werden. Sie wurde unter der
GNU General Public License (GPL) veröffentlicht.
Psiphon ist Teil des CiviSec Projekts am Munk Centre for International
Studies an der Universität Toronto. Es wird unter anderem vom Open
Society Institute unterstützt.
- 33 -
JonDo (Jap)
JonDo ist ein Web-Anonymizer, der von der JonDos GmbH
weiterentwickelt wird. Der Name ist eine Anspielung auf John Doe – der
englische Platzhaltername für unbekannte Personen. Der Dienst ging
aus dem Java Anon Proxy (da Java ein Warenzeichen von Sun
Microsystems ist und nicht mehr verwendet werden durfte, wurde in der
Regel nur das Akronym JAP benutzt) des Projektes AN.ON hervor, an
welchem die Technische Universität Dresden, die Universität
Regensburg und das Unabhängige Landeszentrum für Datenschutz
Schleswig-Holstein geforscht haben. Nachdem die staatliche Förderung
des Projektes 2006 auslief, gründeten einige Projektmitarbeiter JonDos
als Startup-Unternehmen und führten so den Dienst fort. JonDo wird als
freie Software unter der dreiklausligen BSD-Lizenz verbreitet.
JonDo basiert, im Gegensatz zu einigen anderen
Anonymisierungsdiensten wie beispielsweise Tor – auf dem Konzept
fester Mixkaskaden. In der Theorie ist dieses Modell auch bei
Komplettüberwachung des zu Grunde liegenden Netzwerkes sicher. Bei
der praktischen Implementierung für einen
Echtzeitanonymisierungsdienst ergeben sich aber Probleme, da nicht
alle nötigen Mixfunktionen (ausreichend gut) durchgeführt werden
können.
Deshalb ist das praktische Angreifermodell deutlich eingeschränkter:
Sicherheit kann nur gegen Angreifer erreicht werden, die das Netzwerk
lokal an einer Stelle überwachen können. Dagegen sind insbesondere
Angreifer, welche sämtliche Kommunikation vor dem ersten und hinter
dem letzten Mix einer Kaskade abhören können, in der Lage, die
Aktionen der Benutzer dieser Mixkaskade komplett nachzuvollziehen.
Vereinfacht wird die Situation für derartige Angriffe, da es nur eine sehr
begrenzte Anzahl von Mixkaskaden gibt, so dass eine Präsenz für den
Angreifer nur an wenigen Punkten erforderlich ist, um sämtliche über
JonDo abgewickelte Kommunikation zu deanonymisieren.
Eine Erhöhung der Anzahl der Mixkaskaden als Gegenmaßnahme ist
problematisch, da das Grundmodell davon ausgeht, dass möglichst viele
Nutzer gleichzeitig über eine Mixkaskade aktiv sind, um die
Anonymitätsgruppe groß zu halten – mehr Mixkaskaden würden die
Nutzergruppen pro Kaskade kleiner machen.
- 34 -
I2P
I2P (Abk. für Invisible Internet Project, deutsch: Projekt unsichtbares
Internet) ist ein Freie-Software-Projekt mit dem Ziel, ein
anonymes/pseudonymes Netzwerk zu schaffen, welches eine einfache
Übertragungsschicht mit dem Nutzen der Anonymität und Sicherheit für
Applikationen zur Verfügung stellt. Das Netzwerk selbst ist
nachrichtenbasiert (wie IP), bietet aber auch eine Bibliothek an, die
Streaming von Daten erlaubt und TCP ähnelt. Die Kommunikation ist an
beiden Enden verschlüsselt, dafür werden insgesamt vier Schichten zur
Verschlüsselung je Paket verwendet. Auch die Empfangspunkte sind
wiederum durch Verschlüsselungsverfahren geschützt. Größtenteils
besteht diese aus einem Paar öffentlicher Schlüssel.
Der Kern der I2P-Anwendung ist in Java geschrieben, eine aktuelle
Java-Version muss also installiert sein.
Ein Teil der Dienste ist in Form von Webanwendungen integriert und
über den Browser erreichbar. Die zentrale Rolle spielt hierbei die „router
console“ als Einstiegsseite.
Andere Dienste werden teilweise dadurch realisiert, dass der I2P-Dienst
als Proxy (z. B. für HTTP, IRC, Mail, CVS) arbeitet, wobei er sich
teilweise gegenüber dem jeweiligen Client wie ein normaler Server
verhält. Auf diese Weise können dann die normalen Client-Programme
wie Firefox eingesetzt werden, die lediglich auf den eigenen I2PServer/Proxy umkonfiguriert werden müssen. Hierbei kommen meist
abweichende, 4-stellige Port-Nummern zum Einsatz.
Daneben gibt es noch speziell angepasste Zusatzprogramme: eine
Erweiterung für Vuze für BitTorrent im I2P-Netz und I2Phex, ein I2PGnutella-Servent. Die Netze I2P-Bittorrent und I2P-Gnutella sind ohne
Verbindung zu ihren nicht anonymen Vaternetzen, so dass hier Inhalte
separat bereitgestellt werden müssen.
Während Tor hauptsächlich anonyme Proxyserver für diverse InternetDienste wie IRC, E-Mail oder HTTP bietet, geschieht bei I2P primär alles
innerhalb des Netzwerks. Der Vorteil dessen ist, dass dabei die
Nutzdaten Ende-zu-Ende verschlüsselt sind. (Dies ist auch bei tor hidden
services der Fall, nicht aber wenn man tor benutzt, um ganz normale
Webservices zu nutzen.)
- 35 -
Gleiches gilt für Emails die über einen I2P-internen Server gehen
(Susimail): diese sind nur vom Sender bis zum Server und vom Server
zum Empfänger verschlüsselt - I2P-Bote ist davon nicht betroffen, da es
serverlos ist.
Auch benutzt I2P ausschließlich unidirektionale Tunnel, was bei timing
attacks hilfreich ist, denn eine Anfrage und die Antwort darauf nehmen
nicht denselben Weg. I2P ist im Gegensatz zu Tor völlig dezentral und
die Tunnel ändern sich mindestens alle 10 Minuten. Ferner kommt bei
I2P statt bloßen onion routings garlic routing zum Einsatz.
- 36 -
CyberGhost VPN
CyberGhost VPN ist ein VPN-Dienst für Windows-PCs, welcher von der
Firma S.A.D. GmbH vertrieben wird. Der Dienst ermöglicht es dem
Nutzer eine verschlüsselte VPN-Verbindung zu den Servern des
Betreibers herzustellen, welche die Daten dann ins Internet weiterleiten.
Dadurch wird die eigene IP-Adresse verschleiert und durch die IP des
weiterleitenden VPN Servers ersetzt, was für Anonymität des Nutzers
sorgt. Neben der Anonymisierung bietet sich CyberGhost VPN auch im
Umfeld öffentlicher Netzwerke an. So lassen sich öffentliche und
unverschlüsselte WLAN-Hotspots sicher nutzen, da die Daten vor der
Übertragung über den WLAN-Hotspot vom CyberGhost VPN Client auf
dem Computer des Nutzer verschlüsselt werden.
Es werden ein kostenloser, sowie ein kommerzieller Dienst angeboten.
CyberGhost VPN selbst steht unter einer proprietären Lizenz, verwendet
aber das quelloffene OpenVPN zum Herstellen der Verbindung.
Aktuell hat CyberGhost VPN mehr als 445 000 Nutzer und war der erste
durch die LGA geprüfte Anonymisierungsdienst.
Der Nutzer registriert einen Account, mit dem er sich über den Client am
System einloggt. Je nach Art des Accounts (kostenlos / Premium) steht
dem Nutzer nun zur Auswahl, sich mit verschiedenen Servern zu
verbinden. Der Client stellt dabei über die virtuelle Netzwerkkarte des
OpenVPN-Treibers eine Verbindung zu dem Traffic-Server her. Sobald
die Verbindung hergestellt wurde, werden alle ausgehenden
Verbindungen des Computers über den CyberGhost-Server getunnelt.
Im Gegensatz zu anderen Anonymisierern mit Mixkaskaden (wie z.B. Tor
oder JonDo) setzt CyberGhost VPN auf einen Ausgangsserver. Durch
NAT (Network Address Translation) wird die echte IP des Benutzers
nach außen durch die IP des Ausgangsservers ersetzt, wodurch der
Nutzer gegenüber dem Zielserver anonym bleibt. Die Anonymität wird
zusätzlich erhöht, indem mehrere Benutzer einem Ausgangsserver
zugeordnet werden und so eine eindeutige Zuordnung zwischen echter
Benutzer-IP und CyberGhost IP nicht möglich ist.
Bei VPN-basierten Verbindungen werden alle Verbindungen auf den
Computer automatisch über das VPN getunnelt. Hierdurch entfällt auch
das manuelle Konfigurieren von Proxy-Server-Adressen in Applikationen
wie Browser oder Download-Client. Allerdings lassen sich auf diese
Weise keine einzelnen Applikationen von der Anonymisierung
ausschließen.
- 37 -
Bei Mixkaskaden verwenden eine hohe Anzahl von Nutzern die selben
Server, was zwar das Nachverfolgen erschwert, aber auch die
Geschwindigkeit rapide schwinden lässt. Auf VPN-Servern reicht eine
ungleich geringere Anzahl von Nutzern aus, um die Anonymität zu
gewährleisten, sodass die Gesamtgeschwindigkeit relativ hoch bleibt.
- 38 -
Praxis - Grundlagen
TrueCrypt
Sicherungs-CD
Die Sicherungs-CD ist das wichtigste Element neben der
Verschlüsselung. Wenn man einmal sein Passwort vergessen hat, oder
der Rechner wegen Windows wieder einmal spinnt, ist sie die einzige
Rettung.
Moderne Versionen von TrueCrypt lassen zum Glück keine komplizierten
Verschlüsselungen mehr zu, solange man nicht am selben Rechner eine
funktionierende CD gebrannt hat. Das brennen sollte selbstverständlich
sein.
Weniger selbstverständlich ist die Aufbewahrung dieser CD. Wohin
damit?
Die CD einfach offen rum liegen zu lassen wäre im Fall einer HD tödlich.
Ermittlungsbeamte können mittels dieser CD schnell den Rechner
öffnen. Von daher muss sie genauso gut versteckt werden wie das Grab
von Dschingis Khan.
Gute Verstecke sind:
- Hinter Bodenfliesen oder Bohlen
- Innere von alten technischen Geräten
- Vergraben in einer dichten und isolierten Kiste
- Wandverstecke
- Bei Freunden
- Unterseite von Schränken
(kein Polizist hebt die an)
- 39 -
Gesamtverschlüsselung
Wer keine einzelnen Dateien verschlüsseln will, kann auch einfach den
Kompletten Rechner verschlüsseln. Dies nennt man auch
„Gesamtverschlüsselung“. Beim Booten kommt man nur noch bis zum
Bootbildschirm, danach springt sofort ein TrueCrypt Fenster auf das
unser Passwort abfragt.
Wer sein Passwort einmal vergisst, wird aber auch selbst nie mehr an
seine Daten kommen!
Wir gehen von der deutschen TrueCrypt Version aus, die Sprache kann
man unter „Einstellungen“ umstellen, falls nötig!
Benötigte Software
- TrueCrypt
Anleitung
1) Zuerst lädt man sich die neueste Version von TrueCrypt herunter.
Dabei unbedingt auf das richtige Betriebssystem achten.
Nur von der Herstellerseite laden!
2) Man installiert da Programm nach Standart und lässt bei der
Installation alle Häkchen an ihrem Platz.
3) Mit einem Doppelklick auf den Icon gelangt man ins Hauptmenü und
klickt auf (System Æ System-Partition/Laufw. Verschlüsseln…)
- 40 -
4) Im nächsten Fenster kann man zwischen den Optionen Normal und
Versteckt wählen. Für unsere Zwecke benötigen wir die obere,
normale Version….weiter.
5) Jetzt muss man sich entscheiden ob man nur die Systempartition oder
alle Laufwerke verschlüsseln will. Man wählt die untere Option
„Komplette Festplatte verschlüsseln“ aus.
6) Die Frage nach den versteckten Bereichen verneint man. Einige
Systeme benötigen diese um überhaupt anzuspringen, dumm wenn
TrueCrypt das nicht zulassen würde.
7) Nachdem dies geschafft ist muss man TrueCrypt über das
Betriebssystem aufklären. Wenn man nur ein Betriebsystem auf dem
Rechner hat, wählt man Einzel-Boot aus.
- 41 -
8) Nun gelangt man ins Hauptfenster der Verschlüsselung:
1. Der Verschlüsselung Algorithmus
Es gibt zahlreiche Algorithmen die man wählen kann:
AES
Sperpent
AES-Twofish
AES-Twofish-Serpent
Serpent-AES
Serpent-Twofish-AES
Twofish-Serpent
Alle Algorithmen sind sicher, wir wählen aus Zeitgründen in dieser
Anleitung einfach „AES“. In der späteren Festung verwenden wir
natürlich noch komplexere.
2. Der Hash Algorithmus
Er bleibt unverändert.
- 42 -
9) Sobald man auf „Weiter“ klickt, bekommt man eine Fehlermeldung.
Diese kann man mit „Ja“ bestätigen. Bei einfachen Algorithmen wie
AES oder Serpent kommt diese Nachricht nicht.
Hier wird vor der Zerstörung der Bootloader gewarnt, wenn sich jemand
am PC zu schaffen macht! Solange man aber selbst noch die RettungsCD hat, ist das für einen selbst kein Problem!
10) Jetzt muss man sich ein gutes Passwort überlegen. Dieses wird
immer benötigt wenn man den Rechner starten will. Insgesamt kann
man bis zu 64 Zeichen verwenden.
Vorher das Kapitel „Passwörter und der eigene Schweinehund“ lesen!
11) Um noch mehr Sicherheit zu erlangen, muss man im nächsten
Fenster ein paar Zufallsdaten/zahlen erstellen. Dazu wirbelt man
einfach ca. 2 Minuten mit der Maus über den Pool.
Sobald man auf „Weiter“ geklickt hat, bekommt man diese Keys
angezeigt. Darum muss man sich aber nicht weiter kümmern und
geht sofort weiter.
- 43 -
12) Danach weist uns TrueCrypt nochmals auf die Rettungs-CD hin.
Diese ist genauso wichtig wie die Verschlüsselung selbst. Unten gibt
man einfach einen Pfad z.B. zum Laufwerk C an um die Iso dort
vorerst zu speichern.
Manche Fenster, wie dieses, bleiben auf Englisch auch wenn man die
Sprache umgestellt hat
13) TrueCrypt wird sich jetzt solange keinen Befehl mehr befolgen, bis
man an diesem Rechner eine solche Rettungs-CD gebrannt hat.
- 44 -
14) Sobald eine funktionierende Rettungs-CD im Laufwerk liegt, kann
man fortfahren und dies von TrueCrypt bestätigen lassen.
15) Im nächsten Fenster muss man sich dazu entschließen, die
vorhandenen Daten auf der Festplatte zu löschen. Wir empfehlen die
7 oder 35-fache Formatierung.
Nein!! Die Daten werden nicht einfach gelöscht! Das klingt irreführend,
aber das hat alles seine Richtigkeit!
16) Die anschließenden Fenster immer bestätigen und TrueCrypt
erlauben den Rechner neu zu starten. TrueCrypt testet dadurch erst
das System.
17) Nach dem Restart kommt sofort das TrueCrypt Boot Loader Fenster
indem man sein Passwort eingeben muss. Wenn alles funktioniert
landet man wieder auf dem Desktop und TrueCrypt meldet, dass
alles in Ordnung ist.
- 45 -
18) Jetzt klickt man im Fenster auf „Verschlüsseln“, bestätigt die
nächsten Fenster und die Verschlüsselung beginnt.
Wer gute Algorithmen und „oft formatieren“ ausgewählt hat, muss jetzt
lange warten!
Je nach Größe des Systems kann es sogar mehrere Tage dauern!
19) Sobald der Prozess abgelaufen ist klickt man noch auf „ok“ und
„fertigstellen“. Der Rechner ist nun verschlüsselt und kann zu
Testzwecken einmal komplett runter gefahren werden.
Beim erneuten starten sollte wieder der TrueCrypt Boot Loader
kommen und nach dem Passwort verlangen. Ohne dieses Passwort
wird nun niemand mehr an die Daten rankommen.
- 46 -
Externe Festplatten und USB-Sticks verschlüsseln
Die komplette Festplatte zu verschlüsseln ist aufwendig und birgt
Risiken. Einfacher ist es also, den eigenen Rechner unverschlüsselt zu
lassen und einen externen Datenträger mit wichtigen Daten zu
verschlüsseln.
Generell kann man jeden externen Datenträger, egal ob Festplatte oder
USB-Stick verschlüsseln. Bei einer normalen Verschlüsselung muss man
auf dem Zielcomputer allerdings auch die Truecrypt Software installiert
haben um den Datenträger zu öffnen. Durch den so genannten
„Travallar“ Modus kann man aber auch diese Hürde umgehen.
Externe Datenträger können nicht mehr entschlüsselt werden!
Um diese wieder normal benutzen zu können muss man sie
löschen/formatieren!
Man braucht:
1. Einen externen Datenträger
2. Die TrueCrypt Software
Anleitung
1) Zuerst lädt man sich die neueste Version von TrueCrypt runter. Dabei
auf das richtige Betriebssystem achten.
Nur von der Herstellerseite laden!
2) Man installiert da Programm nach Standart und lässt bei der
Installation alle Häkchen an ihrem Platz.
3) Mit einem Doppelklick auf den Icon gelangt man ins Hauptmenü und
klickt auf (Extras ÆTrueCrypt Volumen erstellen…)
- 47 -
4) Hier wählt man die mittlere Option, „Verschlüsselt eine Partition…“
und im nächsten Fenster das „Standart TrueCrypt-Volume“.
5) Im nächsten Fenster muss man unter „Datenträger…“ die Festplatte
bzw. den USB-Stick auswählen und bestätigen.
Nicht verwirren lassen wenn wie hier das Laufwerk zweimal drinsteht.
Einfach auf die Zeile mit dem entsprechenden Laufwerksbuchstaben
klicken!
- 48 -
6) Da der Datenträger noch leer ist, wählt man im folgenden Fenster die
Option „Verschlüsseltes Volumen erstellen und formatieren“. Dadurch
gelangt man direkt in das Fenster mit den Verschlüsselungseinstellungen.
7) Hier kann man sich zwischen den einzelnen Algorithmen entscheiden.
Serpent-Twofish-AES ist ideal. Allerdings dauert die Verschlüsselung
von großen Festplatten dann auch länger, der Sicherheit zuliebe
trotzdem ratsam.
Wir wählen aus Zeitgründen aber:
Verschlüsselungsalgorithmus:
Hash-Algorithmus:
AES
RIPEMD-160
- 49 -
8) Als nächstes sollte man normalerweise die Größe der
Verschlüsselung eingeben. Da wir aber den kompletten, externen
Datenträger verschlüsseln wollen, übernimmt TrueCrypt automatisch
diese Einstellung.
Es kann sein das TrueCrypt wie hier etwas weniger Platz verschlüsselt
als tatsächlich vorhanden ist. Dies muss man aber akzeptieren; der
restliche Platz ist später nicht verwendbar!
9) Anschließend muss man das Passwort für den Datenträger eingeben.
Die beiden Kästchen darunter bleiben leer.
Hier lautet das Passwort wie immer: 12345
- 50 -
10) Jetzt muss man sich entscheiden, was auf dem Datenträger später
gespeichert werden soll. Große Dateien können besser auf dem
Dateisystem NTFS gespeichert werden. Bei Externe Festplatten oder
USB-Sticks über 4GB sollte man hier „Ja“ anklicken.
12) Im Anschluss muss man das „Volume-Format“ einstellen. Dazu
wirbelt man eine Minute lang auf dem Fenster herum und klickt dann
auf „Formatierten“. Die restlichen Einstellungen bleiben unverändert.
- 51 -
TrueCrypt-Container
Ein gutes Mittel um Daten sicher abzulegen ohne gleich die ganze
Festplatte verschlüsseln zu müssen, sind die TrueCrypt-Container.
Diese „Volumes“ können nicht erkannt werden, da sie keinen eigenen
Kopfdatenbereich haben und nur aus zufälligen Bitfolgen zu bestehen
scheinen. Der Angreifer wird dort jedoch auf Grund dieser Eigenschaft
verschlüsselte Daten vermuten.
Dafür dient im nächste Kapitel aber der versteckten Container.
Momentan geht es um die einfachen Container die bereits einen
ausreichenden Schutz liefern. Für die folgenden Aktionen benötigt man:
1. Die TrueCrypt Software
2. Eine Datei (hier: Equilibrium – met.flv)
Anleitung
1) Zuerst lädt man sich die neueste Version von TrueCrypt runter. Dabei
auf das richtige Betriebssystem achten.
Nur von der Herstellerseite laden!
2) Man installiert da Programm nach Standart und lässt bei der
Installation alle Häkchen an ihrem Platz.
3) Mit einem Doppelklick auf den Icon gelangt man ins Hauptmenü und
klickt auf (Extras ÆTrueCrypt Volumen erstellen…)
- 52 -
4) Jetzt wählt man die oberste Option aus, „Einen verschlüsselten DateiContainer erstellen“.
Je nach Version können die Fenster leicht abweichen. Von daher sollte
man, wie wir die neuste Version herunterladen!
5) Wir wollen erstmal nur einen einfachen, für jeden sichtbaren
Container erstellen. Also wählt man im nächsten Fenster den oberen
Punkt, „Standart TrueCrypt-Volume“ aus.
- 53 -
6) Danach wählt man den Speicherort des Volumens sowie dessen
Namen aus. Unser Beispiel heißt „Hier ist nix drin“.
7) Anschließen muss man die Verschlüsselungsoptionen einstellen.
Wir wählen aus Zeitgründen:
Verschlüsselungsalgorithmus:
Hash-Algorithmus:
AES
RIPEMD-160
8) Nun muss man die Größe angeben. Für unser Lied brauchen wir nur
max. 10 MB. In Wirklichkeit sollte man das Volumen ruhig um einiges
größer machen um später immer genug Platz zu haben.
9) Bei der Wahl des Passwortes im nächsten Fenster sollte man kreativ
und vorsichtig sein. Ein zu einfaches Passwort macht Hacker oder
andere Personen misstrauisch und verleitet sie eventuell dazu, im
Volumen nach weiteren Containern zu suchen.
Hier lautet das Passwort wie immer: 12345
Die beiden Kästchen lässt man leer!
- 54 -
10) Im Anschluss muss man das „Volume Format“ einstellen. Dazu
wirbelt man eine Minute lang auf dem Fenster herum und klickt dann
auf „Formatierten“.
Das Dateisystem „FAT“ und die Clustergröße „Vorgabe“ sollten
unverändert bleiben!
Das Volumen wird jetzt erstellt, je nach Größe muss man sich noch
ein wenig gedulden.
11) Jetzt hat man ein Volumen bzw. Container erstellt. Diesen kann man
im Hauptmenü von TrueCrypt unten auswählen und mounten bzw.
„Einbinden“.
Nach dem eingeben des Passwortes, erscheint im Hauptmenü und
im Windows Explorer ein neues Laufwerk. Dieses kann ganz normal
verwendet werden um z.B. Dateien abzuspeichern.
Nach dem arbeiten das Volumen immer wieder trennen!
- 55 -
Versteckte TrueCrypt-Container
Man stelle sich folgende Situation vor:
Man wird von einem Verbrecher oder Beamten bedroht bzw.
eingeschüchtert, um das Passwort für den einfachen TrueCryptContainer zu erhalten. Man gibt also das Passwort Preis und schon
können die Personen an die Daten ran.
Besser wäre es, in diesem Container neben harmlosen „Alibi-Dateien“
noch einen zweiten, versteckten Container zu besitzen. Diesen nennt
man bei TrueCrypt dann einen „Hidden Container/Volumes“.
Versteckte Container können innerhalb des freien Speicherplatzes eines
anderen verschlüsselten Volumes versteckt werden. Im Notfall gibt man
also nur das Passwort für das offene Volume heraus, das versteckte und
mit einem anderen Passwort verschlüsselte Volume bleibt unentdeckt.
So sieht ein Angreifer nur unwichtige Alibi-Daten, die vertraulichen Daten
sind verschlüsselt im freien Speicherplatz des verschlüsselten Volumes
verborgen.
Allerdings ist zu beachten, dass sowohl auf dem physischen
Datenträger, im Betriebssystem oder innerhalb der verwendeten
Programme Spuren zurückbleiben können, die die Existenz des
versteckten Volumes für einen Angreifer offenbaren.
Hierfür benötigt man:
1. Die TrueCrypt Software
2. Eine Datei (hier: Equilibrium – met.flv)
3. Ein Worddokument
Der einfache Container wird dank der neuen Versionen direkt mit
erzeugt!
- 56 -
Anleitung
1) Zuerst lädt man sich die neueste Version von TrueCrypt runter. Dabei
auf das richtige Betriebssystem achten.
Nur von der Herstellerseite laden!
2) Man installiert da Programm nach Standart und lässt bei der
Installation alle Häkchen an ihrem Platz.
3) Mit einem Doppelklick auf den Icon gelangt man ins Hauptmenü und
klickt auf (Extras ÆTrueCrypt Volumen erstellen…)
4) Jetzt wählt man die oberste Option aus, „Einen verschlüsselten DateiContainer erstellen“.
5) Der Sinn dieser Anleitung ist die Erstellung eines versteckten
Containers. Also wählt man im nächsten Fenster den unteren Punkt,
„Verstecktes TrueCrypt-Volume“ aus.
- 57 -
6) Im folgenden Fenster klickt man auf „Kompletter Modus“. Damit wird
gleichzeitig ein einfaches Volumen erstellt welches den versteckten
Container beinhaltet, aber von ihm ablenken soll.
7) Jetzt wählt man den Speicherort des Volumens sowie dessen
Namen aus. Unser Beispiel heißt „Meine Daten“….sehr unauffällig.
Kommentar der Autoren
Es ist klug, dem Container keine richtigen Namen zu geben. In
zahlreichen Systemordnern findet man Dateien wie „PhysXLoader“,
„sytem.dat“ oder „engine“. Den Container so zu nennen ist besser als
„Hier sind alle Daten drin“.
Auch der Speicherort muss gut gewählt werden. Direkt auf dem Desktop
wäre zu auffällig. Auch hier empfehlen sich Systemorder oder Ordner
von Spielen.
- 58 -
8) Anschließend bestätigt man solange alle Fenster bis man zum ersten
Fenster mit Verschlüsselungsoptionen kommen. Hier geht es erstmal
um das äußere Volumen in denen später die Alibi-Dateien und das
versteckte Volumen sitzen.
Wir wählen aus Zeitgründen:
Verschlüsselungsalgorithmus:
Hash-Algorithmus:
AES
RIPEMD-160
Auch das offizielle Volumen sollte gut gesichert sein. Also immer
möglichst aufwendige Algorithmen wählen!
9) Nun muss man die Größe angeben. Für unser Lied brauchen wir nur
max. 10 MB. In Wirklichkeit sollte man das Volumen ruhig 100-200MB
groß machen um später immer genug Platz zu haben.
10) Bei der Wahl des Passwortes im nächsten Fenster sollte man kreativ
und vorsichtig sein. Ein zu einfaches Passwort macht Hacker oder
andere Personen misstrauisch und verleitet sie eventuell dazu, im
Volumen nach weiteren Containern zu suchen.
Hier lautet das Passwort wie immer: 12345
Die beiden Kästchen lässt man leer!
- 59 -
11) Im Anschluss muss man das „Format des äußeren Volumes“
einstellen. Dazu wirbelt man eine Minute lang auf dem Fenster
herum und klickt dann auf „Formatierten“.
Das Dateisystem „FAT“ und die Clustergröße „Vorgabe“ sollten bei
Containergrößen unter 4Gb unverändert bleiben!
Das Volumen wird jetzt erstellt, je nach Größe muss man sich ein
wenig gedulden.
12) Jetzt fordert TrueCrpyt uns dazu auf, irgendwelche Alibi-Dateien in
diesem Volumen zu platzieren. Wir gehen also auf „Äußeres
Volumen öffnen“, kopieren die Datei „Equilibrium – met.flv“ hinein
und klicken dann auf „Weiter“.
13) Ab hier gleichen sich die Schritte vom erstellen des offenen
Volumens. Man nimmt jetzt natürlich andere Passwörter und
Algorithmen.
Die Größe des Hidden Volumes muss natürlich kleiner als die des
offenen sein.
- 60 -
14) Toll, jetzt haben wir ein verstecktes Volumen…aber im Hauptmenü
von TrueCrypt wird nichts angezeigt!
Das ist aber noch vollkommen normal!
15) Im Hauptmenü wählt man jetzt unten die Option „Datei…“, direkt
neben dem leeren Fenster und wählt das offene Volumen aus.
16) Nach einem Klick auf den Button „Einbinden“ wird das Passwort
abgefragt, hier 12345.
17) Schon erscheint in Hauptmenü unser Volumen….und auch im
Windows Browser hat man auf einmal ein neues Laufwerk mit einer
Größe von nur 100MB.
Darin befindet sich offensichtlich nur die Datei „Equilibrium – met.flv“,
welche sich auch problemlos abspielen lässt.
- 61 -
!EXTREM WICHTIG!
Dieses offene Volumen sollte man jetzt von seiner Größe und der darin
befindlichen Alibi-Dateien nicht mehr ändern. Tut man es doch, könnte
das versteckte Volumen zerstört werden. Also lieber vorher viele
unwichtige Dateien in den ersten Container stecken!
Das versteckte Volumen kann natürlich beliebig verändert werden!
18) Nun trennt man im Hauptmenü das Volumen wieder, bindet es neu
ein und gibt das Passwort des versteckten Containers ein.
Der Versteckte Container wird nun als neues Laufwerk im
Hauptmenü und im Windows Explorer angezeigt und kann normal
verwendet werden. Hier kopiert man ein wertvolles Dokument hinein,
trennt das Volumen und schon ist alles gut gesichert…..auch wenn
man dazu gezwungen wird, das Passwort des offenen Volumens
herauszugeben.
Normalerweise kann man diesen Schritt auch direkt ausführen. Wir
wollten nur einmal zeigen, wie man das offene Volumen öffnet!
- 62 -
Entschlüsseln
Es kann durchaus erforderlich sein, seine Systempartition oder ein
externes Laufwerk wieder zu entschlüsseln. Dieser Vorgang dauert
meistens kürzer als das entschlüsseln, nimmt aber trotzdem einige
Stunden in Anspruch.
1) Um die Systempartition zu entschlüsseln, klickt man im Hauptmenü
auf (System Æ System-Partition/Laufwerk dauerhaft entschlüsseln)
2) TrueCrypt führt einen dann durch mehrere Fenster bis zu folgenden:
Die Entschlüsselung kann man jederzeit pausieren und auf „später“
verschieben. Sollte man auf „später“ klicken, muss man im Hauptmenü
die Entschlüsselung unter:
(System Æ Unterbrochenen Vorgang fortsetzten) weiterführen.
USB-Sticks und externe Festplatten können nicht mehr entschlüsselt
werden! Hier kommt man am formatieren nicht vorbei, Daten vorher
kopieren!
- 63 -
Tor
Das richtige Paket
Auf der Homepage von TOR gibt es zahlreiche Pakete von TOR. Von
der Vielfalt sollt man sich aber nicht verunsichern lassen und sich an
folgende Regeln halten:
- Das richtige Betriebssystem wählen
- Nur die stabilen Versionen runterladen
- Das TOR Bundle runterladen ( auch „tor-browser“ genannt)
Am besten lädt man sich das Komplettpaket runter, und extrahiert es auf
einen USB Stick. So kann man TOR an jedem Rechner benutzen ohne
etwas neu installieren zu müssen.
Das Tor Paket enthält:
-
Tor Software (portable)
Firefox (portable)
Polipo
Vidalia
Der Start
1) Polipo und Vidalia sind Zusatzprogramme die den Datenverkehr noch
sicherer und anonymer machen sollen. Gestartet wird das Ganze
dann direkt vom USB-Stick.
2) Dazu im Startorder „Tor Browser“ auf “Start Tor Browser“ klicken. Es
öffnet sich ein Fenster und Tor beginnt sofort mit dem Aufbau.
3) Sobald die Verbindung offen ist, erscheint im Startfenster eine grüne
Zwiebel und es öffnet sich nach wenigen Sekunden der Firefox
Browser.
In den Einstellungen im Startmenü kann man TOR auf Deutsch
umstellen!
Alle 10 Minuten wechselt TOR die Route durchs Netzwerk
automatisch…in Foren muss man sich dann neu anmelden!
- 64 -
Torbrowser richtig einstellen
Normalerweise sind Torbrowser und die Tor-Pakete schon richtig
eingestellt. Wenn man allerdings seinen eigenen Browser verwenden
will, muss man ihn noch richtig einstellen.
Anleitung
1) Auf der Homepage lädt man sich das aktuellste „vidalia-bundle“
herunter.
2) Dieses wird normal installiert.
3) Jetzt muss man zuerst die Tor Software starten und eine Verbindung
aufbauen lassen.
4) Beim Bundle kann es sein, dass jetzt der normale Browser startet.
Wenn nicht, muss man ihn manuell starten.
Rechts unten im Browser sollte der „Torbutton“ zu sehen sein. Dieser
sollte grün leuchten und „Tor läuft“ anzeigen.
5) So, Tor läuft also, aber im Gegensatz zu den Portablen FirefoxTorbrowser oder den anderen Torbrowsern, ist unserer noch nicht
richtig eingestellt (hier Firefox).
- 65 -
6) Zuerst muss man alle alten Cookies löschen. Dazu im Firefoxbrowser
auf Extras Æ Einstellungen, klicken.
7) In der Registerkarte „Datenschutz“ ändert man die Einstellung der
Chronik auf „niemals anlegen“.
8) Zusätzlich klick man im selben
Fenster noch auf „gesamte bisherige
Chronik löschen“.
Hier wählt man dann alle Punkte aus
und bestätigt seine Entscheidung.
- 66 -
9) Jetzt hat man alle alten spuren gelöscht. Aber das wichtigste kommt
noch, und zwar unter der Registerkarte „Inhalt“.
10) Hier muss man die Punkte „JavaScript laden“ und „Grafiken laden“
deaktivieren. Wenn Java aktiviert bleibt, umgeht es einfach die
Torsoftware und verrät unsere Daten an die Website.
- 67 -
11) Zuletzt muss man seinen Browser noch daran hindern, automatisch
nach Updates zu suchen bzw. diese automatisch zu installieren.
Diese Funktionen findet man in der Registerkarte „Erweitert Æ
Update“
12) Alle Update Kästchen werden deaktiviert, alles mit OK abgesegnet
und fertig.
Jetzt kann man ein wenig sicherer mit seinem alten Browser surfen!
Wir raten trotzdem dazu, Portable Torbrowser oder externe Torbrowser
zu verwenden!
- 68 -
Spezielle Torbrowser
Wenn man TOR benutzen will, den Firefox aber nicht mag, kann man
sich auch spezielle Torbrowser herunterladen.
Die bekanntesten sind die Opera Torbrowser und XeroBank. Diese
Browser haben TOR schon mit installiert und sind auch schon perfekt
eingestellt. Zudem verfügen sie über Zahlreiche Tools die später im
Hintergrund laufen und uns noch mehr Sicherheit verschaffen. Wir
verwenden hier XeroBank.
XeroBank ist eigentlich Firefox ;), aber er sieht etwas anders aus!
Installation
1) Man lädt sich den gewünschten Browser herunter, und installiert ihn
ganz normal auf die Festplatte.
Bei XeroBank wählt man in der Installation statt „XeroBank Client“
einfach „Tor Version“ aus!
2) Jetzt startet man den Browser über das Icon. Es erscheint ein
Ladebildschirm in dem klein „Connecting to Tor…“ steht. Der Browser
baut also selbstständig eine Verbindung zum TOR-Netzwerk auf.
3) Fertig, jetzt kann ganz normal weitergesurft werden.
- 69 -
Praxis - Die Festung
Linie Alpha - Das Äußere
Schon der Aufbau des Rechners kann bei einer HD oder beim direkten
Zugriff anderer auf den Rechner entscheidend sein. Auch hier gibt es
einen offensiven und einen defensiven Weg.
Aufgrund der vielen Nachteile des defensiven Systems, sollte man sich
offensiv und Kooperativ verhalten. So schützt man vor allem das teure
Gesamtequipment. Die Festplatten sind ja sowieso bombenfest mit
TrueCrypt verschlüsselt.
Offensiv
Der offensive Weg setzt auf Deeskalation zum Schutze des ganzen
Rechners. Die Festplatte/n werden so eingebaut, dass sie innerhalb von
wenigen Sekunden auch von Laien ausgebaut werden können.
Möglich ist es auch, die Festplatte/n außerhalb des Rechners zu lagern.
Die meisten SATA Kabel sind lang genug um die Festplatte in einer
kleinen Plexiglasbox neben dem Rechner zu platzieren.
Bei solchen Konstruktionen sollte man auch noch einen Lüfter in die Box
einbauen um die Festplatte ausreichend zu kühlen. Dies gilt
hauptsächlich für High-End Rechner.
Es gibt HD-Berichte, in denen die Betreffenden genauso vorgegangen
sind. Als die Polizei vorm Rechner stand haben die Beschuldigten
einfach mit einem Handgriff ihre Festplatte vom Kabel gelöst und den
Polizisten in die Hand gedrückt. Der Rest des Rechners blieb stehen, ein
kompletter Neukauf blieb erspart.
Allerdings kommt es auf die jeweiligen Beamten bzw. Eindringlingen an.
- 70 -
Defensiv
Eine andere Möglichkeit ist es, den Rechner zur Festung auszubauen.
Diese Strategie eignet sich besonders für Case-Modder. Es geht darum,
es den Beamten so schwer wie möglich zu machen den Rechner
mitzunehmen.
Um dies zu erreichen haben sich einige „Spezialisten“ schon
unglaubliches einfallen lassen. Es gibt bestätigte Berichte von Moddern,
die ihren PC in die Wand eingebaut/eingemauert haben. Will die Polizei
diesen jetzt mitnehmen, kommt sie nur an die Laufwerksschächte ran
und muss die Wand aufstemmen. Dies gilt allerdings auch für einen
selbst.
Effektiver ist da das „Pfählen“ des Rechners bzw. die hohe Kunst des
Case-Moddings.
„Pfählen“ kennt man nur aus Vampirfilmen, aber auch der Rechner lässt
sich so Problemlos festnageln. Dabei wird der Rechner auf den Boden
gestellt und mit großen Bauankern um Boden befestigt. Das Prinzip
beruht auf dem Sicherheitskonzept von modernen Safes.
Die Anker bekommt man für ein paar Euro im Baumarkt. In den Boden
des Gehäuses sowie des Zimmers müssen aber Löcher gebohrt werden.
Nach dem Einschlagen der Anker durch die Löcher in den Boden, kann
man diese oft mit großen Spezialmuttern festziehen. Damit die Polizei
den Rechner aber nicht einfach abschraubt, kann man die Muttern rund
abschleifen.
Einen so verankerten Rechner bekommt man kaum noch weg. Auch hier
sind die Nachteile offensichtlich. Man selbst hat genauso viele
Schwierigkeiten wie die Polizisten und man muss den Rechner dann
stehend zusammenbauen.
Niemals den Rechner erst zusammenbauen und dann Pfählen, dabei
geht zu 100% irgendwas im Rechner kaputt!
Richtig gute Case-Modder können noch einen anderen Weg gehen.
Nichts spricht dagegen, den Rechner in eine Topfpflanze, einen alten
Kopierer/Drucker oder sonst was einzubauen. Jetzt noch einen 50€
Fakerechner direkt unter den Schreibtisch stellen und fertig.
Die Kabel vom echten Rechner müssen natürlich genauso gut getarnt
sein
- 71 -
Linie Bravo - Booten bis Desktop
(Gesamtverschlüsselung)
Zwar steht das Prinzip der Gesamtverschlüsselung schon oben in dem
ersten Praxisteil, doch liefern wir hier eine mustergültige Anleitung samt
Algorithmen und guten Passwörtern.
Wer sein Passwort einmal vergisst, wird aber auch selbst nie mehr an
seine Daten kommen!
Benötigte Software
- TrueCrypt
Anleitung
1) Zuerst lädt man sich die neueste Version von TrueCrypt runter. Dabei
auf das richtige Betriebssystem achten.
Nur von der Herstellerseite laden!
2) Man installiert da Programm nach Standart und lässt bei der
Installation alle Häkchen an ihrem Platz.
3) Mit einem Doppelklick auf den Icon gelangt man ins Hauptmenü und
klickt auf (System Æ System-Partition/Laufw. Verschlüsseln…)
- 72 -
4) Im nächsten Fenster kann man zwischen den Optionen „Normal“ und
Versteckt wählen. Für unsere Zwecke benötigen wir die obere,
normale Version….weiter.
5) Jetzt muss man sich entscheiden ob man nur die Systempartition oder
alle Laufwerke verschlüsseln will. Man wählt die untere Option
„Gesamtes Laufwerk verschlüsseln“ aus.
6) Die Frage nach den versteckten Bereichen verneint man. Einige
Systeme benötigen diese um überhaupt anzuspringen, dumm wenn
TrueCrypt das nicht zulassen würde.
7) Nachdem dies geschafft ist muss man TrueCrypt über das
Betriebssystem aufklären. Wenn man nur ein Betriebsystem auf dem
Rechner hat, wählt man „Ein Betriebssystem“ aus.
- 73 -
8) Nun gelangt man ins Hauptfenster der Verschlüsselung:
1. Der Verschlüsselung Algorithmus
Es gibt zahlreiche Algorithmen die man wählen kann:
AES
Sperpent
AES-Twofish
AES-Twofish-Serpent
Serpent-AES
Serpent-Twofish-AES
Twofish-Serpent
Alle Algorithmen sind sicher, wir wählen allerdings den komplexesten,
„Serpent-Twofish-AES“.
2. Der Hash Algorithmus
Er bleibt unverändert.
- 74 -
9) Sobald man auf „weiter“ klickt, bekommt man eine Fehlermeldung.
Diese kann man mit „Ja“ bestätigen.
Hier wird vor der Zerstörung der Bootloader gewarnt, wenn sich jemand
am PC zu schaffen macht! Solange man aber selbst noch die RettungsCD hat ist das für einen selbst kein Problem!
10) Jetzt muss man sich ein gutes Passwort überlegen. Dieses wird
immer benötigt wenn man den Rechner starten will. Insgesamt kann
man bis zu 64 Zeichenverwenden.
Vorher das Kapitel „Passwörter und der eigene Schweinehund“ lesen!
Unser Passwort lautet:
9852#430252ß9341+ßjgakjdb3v?*’_SA““$%%&“)FVK!?=°!^ßolafer/&§!
11) Um noch mehr Sicherheit zu erlangen, muss man im nächsten
Fenster ein paar Zufallsdaten/zahlen erstellen. Dazu wirbelt man
einfach ca. 5 Minuten mit der Maus über den Pool.
Sobald man auf „weiter“ geklickt hat, bekommt man diese Keys
angezeigt. Darum muss man sich aber nicht weiter kümmern und
geht sofort weiter.
- 75 -
12) Danach weist uns TrueCrypt nochmals auf die Rettungs-CD hin.
Diese ist genauso wichtig wie die Verschlüsselung selbst. Unten gibt
man einfach einen Pfad z.B. zum Laufwerk C an um die Iso dort
vorerst zu speichern.
13) TrueCrypt wird sich jetzt solange keinen Befehl mehr befolgen, bis
man an diesem Rechner eine solche Rettungs-CD gebrannt hat.
14) Sobald eine funktionierende Rettungs-CD im Laufwerk liegt kann
man fortfahren und dies von TrueCrypt bestätigen lassen.
- 76 -
15) Im nächsten Fenster muss man sich dazu entschließen, die
vorhandenen Daten auf der Festplatte zu löschen. Wir empfehlen die
35-fache Formatierung.
Nein!! Die Daten werden nicht einfach gelöscht! Das klingt irreführend
aber das hat alles seine Richtigkeit!
16) Die nächsten Fenster immer bestätigen und TrueCrypt erlauben den
Rechner neu zu starten. TrueCrypt testet dadurch erst das System.
17) Nach dem Restart kommt sofort das TrueCrypt Boot Loader Fenster
indem man sein Passwort eingeben muss. Wenn alles funktioniert
landet man wieder auf dem Desktop und TrueCrypt meldet, dass
alles in Ordnung ist.
18) Jetzt klickt man im Fenster auf „Verschlüsseln“, bestätigt die
nächsten Fenster und die Verschlüsselung beginnt.
Wer gute Algorithmen und oft formatieren ausgewählt hat, muss jetzt
lange warten!
Je nach Größe des Systems kann es sogar mehrere Tage dauern!
- 77 -
19) Sobald der Prozess abgelaufen ist klickt man noch auf „ok“ und
„fertigstellen“. Der Rechner ist nun verschlüsselt und kann Testweise
einmal komplett runter gefahren werden.
Beim erneuten starten sollte wieder der TrueCrypt Boot Loader
kommen und nach dem Passwort verlangen. Ohne dieses Passwort
wird nun niemand mehr an die Daten rankommen.
Kommentar der Autoren
Wenn man die Gesamtverschlüsselung so ausgeführt hat, kommt
wirklich niemand auf der Welt an die Daten. Selbst die besten
Geheimdienste und Supercomputer werden an dieser Verschlüsselung
scheitern!
Ist die Linie Alpha also überflüssig? Nein!
Auch wenn die Festplatte geschützt ist, die Beschlagnahmung eines
ganzen Rechners ist immer teuer und ärgerlich. Außerdem schläft es
sich viel besser mit dem Wissen, das die Polizei genau in diesem
Moment an ihren Rechnern verzweifelt. Und man selbst hat ihnen direkt
die Festplatte ausgehändigt….ein beruhigendes Gefühl.
- 78 -
Linie Charlie - Ordner und Dateien
Eine Gesamtverschlüsselung von TrueCrpyt zu entschlüsseln ist zwar
praktisch unmöglich, aber was wenn doch? Oder was wenn unbekannte
irgendwie anders in den Rechner kommen oder sie für ein paar Tage
ihre Systemverschlüsselung ausschalten müssen?
Für diese Fälle haben wir ja noch die TrueCrypt-Container. Sicher ist
sicher, und wir machen es sicher!
Beispiel: 500Gb Festplatte (Systempartition - Gesamtverschlüsselt)
Anleitung
1) Zuerst lädt man sich die neueste Version von TrueCrypt runter. Dabei
auf das richtige Betriebssystem achten.
Nur von der Herstellerseite laden!
2) Man installiert da Programm nach Standart und lässt bei der
Installation alle Häkchen an ihrem Platz.
3) Mit einem Doppelklick auf den Icon gelangt man ins Hauptmenü und
klickt auf (Extras ÆTrueCrypt Volumen erstellen…)
4) Jetzt wählt man die oberste Option aus, „einen verschlüsselten DateiContainer erstellen“.
- 79 -
5) Man wählt im nächsten Fenster den unteren Punkt, „Verstecktes
TrueCrypt-Volume“ aus.
6) Im nächsten Fenster klickt man auf „Kompletter Modus“. Damit wird
gleichzeitig ein einfaches Volumen erstellt welches den versteckten
Container beinhaltet, aber von ihm ablenken soll.
- 80 -
7) Danach wählt man den Speicherort des Volumens sowie dessen
Namen aus. Unser Beispiel heißt „local“ und befindet sich im Pfad:
C:\Windows\Boot\Fonts
8) Anschließend bestätigt man solange alle Fenster bis man zum ersten
Fenster mit Verschlüsselungsoptionen kommen. Hier geht es erstmal
um das äußere Volumen in denen später die Alibi-Dateien und das
versteckte Volumen sitzen.
Wir wählen:
Verschlüsselungsalgorithmus:
Hash-Algorithmus:
Serpent-Twofish-AES
RIPEMD-160
Auch das offizielle Volumen sollte gut gesichert sein. Also immer
möglichst aufwendige Algorithmen wählen!
9) Nun muss man die Größe angeben. Um den Rechner auch so
unauffällig wie möglich zu machen, verschlüsseln wir nur die
wichtigsten Daten. Trotzdem wird für zukünftige
Änderungsmöglichkeiten die Größe mit 50Gb angegeben.
- 81 -
10) Bei der Wahl des Passwortes im nächsten Fenster sollte man kreativ
und vorsichtig sein. Ein zu einfaches Passwort macht Hacker oder
andere Personen misstrauisch und verleitet sie eventuell dazu, im
Volumen nach weiteren Containern zu suchen.
Hier lautet das Passwort: 3592cn2891cnc9ks01aöä#qö#ä
Die beiden Kästchen lässt man leer!
11) Im Anschluss muss man das „Format des äußeren Volumes“
einstellen. Dazu wirbelt man 5 Minuten lang auf dem Fenster herum
und klickt dann auf „Formatierten“.
Das Dateisystem sollte auf „NTFS“ umgestellt werden. Die Clustergröße
„Vorgabe“ sollten unverändert bleiben!
Das Volumen wird jetzt erstellt, je nach Größe muss man sich noch
ein wenig gedulden.
12) Jetzt fordert TrueCrpyt uns dazu auf, irgendwelche Alibi-Dateien in
diesem Volumen zu platzieren. Wir gehen also auf „Äußeres
Volumen öffnen“, kopieren irgendwelche Dokumente, Lieder oder
Gedichte hinein und klicken dann auf „weiter“.
- 82 -
13) Ab hier gleichen sich die Schritte vom erstellen des offenen
Volumens. Man nimmt jetzt natürlich andere Passwörter und
Algorithmen.
Die Größe des Hidden Volumes muss natürlich kleiner als die des
offenen sein.
!EXTREM WICHTIG!
Das offene Volumen sollte man von seiner Größe und der darin
befindlichen Alibi-Dateien nicht mehr ändern. Tut man es doch, könnte
das versteckte Volumen zerstört werden. Also lieber vorher viele
unwichtige Dateien in den ersten Container stecken!
Das versteckte Volumen kann natürlich beliebig verändert werden!
Kommentar der Autoren
Jetzt haben wir neben einer Gesamtverschlüsselung noch ein normales
TrueCrypt Volumen auf dem Rechner mit ausreichender Größe. Sollte
jemand jetzt die Gesamtverschlüsselung und das Passwort des offenen
Containers knacken können, wüsste er trotzdem nichts von unserem
versteckten Volumen.
Die Chance das jemand so weit vordringt:
- 83 -
unter 0.1%!!!
Linie Delta - Schutz vor Viren und Trojanern
Jetzt ist unser PC ausreichend gegen direkte Angriffe von außen
gerüstet. Doch bleibt immer noch die größte, innere, Gefahrenquelle. Im
Internet lauern zahlreiche Gefahren, von Viren bis hin zu Trojanern.
Sich gegen all diese Gefahren zu wappnen ist nicht leicht, besonders
wenn man es gerne bequem haben will. Wer ein Komplettpaket aus
Antivirenprogramm, Firewall und Trojanersperre haben möchte, muss
sich auf einige Stunden Arbeit und später auf etwas mehr Aufwand
gefasst machen.
► Antivirenprogramm
Hier gibt es nicht viel zu sagen. Man benötigt kein kostenpflichtiges
Antivirenprogramm und auch keine Deluxe Editionen. Die freeware
Versionen von Avira Antivir und Kaspersky sind in vielen Testberichten
die besten der Welt.
Bei Avira Antivir kann es allerdings oft zu Schwierigkeiten mit Cracks und
Keygenen von runtergeladenen Spielen kommen.
Ansonsten empfiehlt es sich, die Antivirenprogramme ständig aktuell zu
halten und auch richtig einzustellen. Die Programme bieten oft mehrere
Arten der Virensuche an. Für unsere Zwecke benötigen wir
Einstellungen wie:
- Kompletten Rechner scannen
- Alle Dateien untersuchen
- Auch Windows Registrierung durchsuchen
In den meisten Programmen kann man diese Optionen auswählen. Auch
wenn es länger dauert, ein kompletter Scan ist immer sicherer als wenn
nur die „wichtigen“ Daten durchsucht werden.
Genauso wichtig ist ein „Aktivschutz“ (kann in den verschiedenen
Programmen andere Namen haben). Dieser sollte immer aktiv sein und
durchsucht automatisch jede Datei und jeden Ordner den man grade
benutzt. So werden Viren und andere Schädlinge sofort entdeckt. Die
Leistung moderner Rechner wird dadurch kaum verringert, man merkt es
normalerweise nicht mal.
- 84 -
► Firewall
Ein Antiviren Programm und eine Firewall? Brauche ich wirklich beides
und was ist mit der Windows Firewall?
Eine Firewall soll hauptsächlich Angriffe von außen abwehren, und
verdächtige Programme daran hindern, Informationen ins Internet zu
übertragen. Das Prinzip dahinter ist ziemlich einfach.
Ein Trojaner auf der Festplatte muss einen Kontakt zum Internet
aufbauen um Informationen zu empfangen bzw. zu senden. Die Firewall
erkennt diesen Zugriff und fragt den Benutzer, ob dieses Programm auch
wirklich ins Internet darf.
Ein Antivirenprogramm ist keine Firewall!
Ein Antivirenprogramm ist etwas vollkommen anderes. Diese
Programme werden niemanden daran hindern, Kontakt zum Internet
aufzubauen. Ausgenommen sind hier natürlich die kostenpflichtigen
Programme mit eingebauter Firewall.
Die Windows Firewall ist ja dafür berühmt, so löchrig zu sein wie die EUGrenzen. Besser ist also eine externe Firewall, wobei die WindowsFirewall lieber ausgeschaltet werden sollte damit sich die beiden
Programme keinen Krieg leisten.
Wir empfehlen:
ZoneAlarm Firewall (freeware)
Diese kostenfreie Software ist nicht zu Unrecht eine der wohl am meist
verbreiteten Freeware-Firewalls. Die Bedienoberfläche ist rundum
gelungen, die Software einfach zu verwenden. Anfänger werden sich
anfangs etwas schwer tun, aber nach einigen Minuten und ersten
Entscheidungen hilft das Programm aktiv mit.
Das Programm wird normal runtergeladen und installiert. Danach kann
man sich in den Menüs ein wenig umsehen. Große Änderungen an den
Einstellungen muss man aber nicht vornehmen.
Jedes Mal, wenn ein Programm jetzt eine Verbindung zum Internet
aufbauen will, fragt ZoneAlarm erst mal bei euch nach, ob es auch darf.
- 85 -
Das ist auf Dauer nervig?
ZoneAlarm ist zum Glück „lernfähig“. Man braucht also bei
Standardzugriffen wie dem Internetexplorer nur einmal zustimmen, und
zukünftig wird der Zugriff auf Wunsch immer gewährt. Im Detail lassen
sich Zugriffe für einzelne Programme exakt festlegen, etwa ob ein
Programm eine Verbindung zum Internet oder im lokalen Netzwerk
aufbauen darf und ob es als Server Daten aus dem Internet/Netzwerk
empfangen darf.
Weitere Möglichkeiten in den neusten Versionen bietet die Funktion
„Automatic Lock“ - eine Art „Panik-Schaltfläche“, mit der man per
Mausklick alle bestehenden Verbindungen unterbinden. Dies kann zum
Beispiel sinnvoll sein, wenn man seinen Arbeitsplatz verlässt.
Außerdem sorgt das Sicherheits-System „Basic MailSafe“ für den Schutz
vor verdächtigen E-Mail-Anhängen mit Visual-Basic-Skripts (mit der
Endung „VBS“). Diese Dateien können ohne Ihre ausdrückliche
Erlaubnis nicht ausgeführt werden.
- 86 -
► Trojaner Overkill
Jetzt haben wir ein Antivirenprogramm, das den Rechner und die
Dateien kontrolliert, und eine Firewall die Angriffe von außen und
unerlaubte Zugriffe von innen verhindert.
Es geht noch besser?
Es geht noch besser! Es gibt eine umstrittene Möglichkeit 90% aller
Trojaner kaltzustellen. Allerdings muss man dadurch auch einige
Einschränkungen in Kauf nehmen.
Wer ZoneAlarm installiert hat, kann auf diesen Schritt verzichten!
90% aller Trojaner haben Windows als ihren Verbündeten (kein Scherz).
Dazu muss man wissen, wie ein Trojaner überhaupt eine Verbindung
zum Internet aufbauen kann.
Er fragt einfach bei Windows nach, genau wie alle anderen Programme!
Der Trojaner fragt ganz brav nach, wo es denn zum Internet geht.
Windows zeigt ihm dann seine Verbindungsstelle. Unser Ziel ist es also,
den üblichen Weg des Windows Betriebssystems zu sperren und den
Trojaner ins leere laufen zu lassen.
Programme die nur unter Windows laufen, werden danach nicht mehr ins
Internet können!
Andere Programme wie Firefox schaffen es zwar, trotzdem diese
Schritte nur im Notfall anwenden!
- 87 -
Anleitung
1) Zuerst öffnet man den Internetexplorer von Windows, und geht auf:
Extras Æ Internetoptionen
2) Nun weiter auf die Registerkarte „Verbindungen“ und dort ganz unten
auf „LAN-Einstellungen“. Es heißt nur LAN, dieser Bereich ist auch für
die Verbindung zum Internet zuständig, also nicht verunsichern
lassen.
- 88 -
3) In diesem Fenster holt man zum entscheidenden Schlag aus. Die
beiden oberen Kästchen müssen deaktiviert werden.
In der unteren Hälfte wird der Bereich „Proxyserver für LAN
verwenden“ aktiviert und folgende Werte eingetragen:
Der Trojaner fragt also dann bei Windows nach, wo es denn zum
Internet geht. Windows wird ihm mitteilen, das er nicht auf normalem
Wege rauskommt, sondern nur über den speziellen Proxyserver den
der User bereitgestellt hat.
Unser Proxyserver führt aber zu 0.0.0.0., also nirgendwohin. Der Port
80 existiert ebenfalls nicht. Der Trojaner läuft also ins leere und kommt
an dieser Sperre auch nicht vorbei, denn er fragt immer wieder
Windows, wo er denn hin soll.
- 89 -
4) Es gibt aber auch Trojaner, die mehrere Verbindungsarten
aufbauen können. Um auch diese ins leere laufen zu lassen, klickt
man im gleichen Fenster auf „Erweitert“.
Hier muss überall die ungültige Adresse eingetragen sein. Das
Kontrollhäckchen darunter sollte immer gesetzt werden. Jetzt können
auch Trojaner, die eine FTP Verbindung aufbauen wollen, nicht mehr
ins Internet.
5) So, Programme die bei Windows nachfragen, wo es zum Internet geht
werden ab jetzt nicht mehr funktionieren. Dazu zählt auch der
Internetexplorer.
Aber welche Programme funktionieren jetzt noch?
Alle die, die für mehrere Betriebssysteme programmiert wurden wie
z.B. der Browser Firefox. Im Laufe der nächsten Stunden wird man
schnell herausfinden, welche Programme nun nicht mehr ins Internet
kommen. Man kann zwar Ausnahmen hinzufügen, aber das wäre
dann wieder eine Schwäche in der Kette.
TOR müsste trotzdem noch funktionieren, genau wie spezielle
Torbrowser!
- 90 -
Linie Echo - Anonymität im Netz
Die letzte Linie unserer Festung besteht aus einer Proxy Software.
Natürlich gibt es dauernd Streit darüber, welcher Proxy denn jetzt
wirklich sicher sei und welches Paket man nehmen soll.
Wir beenden diesen Streit jetzt an dieser stelle und sprechen uns für den
externen Torbrowser XeroBank aus. Dieser hat nicht nur Tor, sondern
auch zahlreiche, andere Softwarepakete installiert. Die Einstellungen
sind bereits für höchste Anonymität perfektioniert.
Es spricht nichts dagegen, auch noch andere Programme im Hintergrund
laufen zu lassen. Nur muss man darauf achten, dass diese nicht Tor
schwächen!
Installation
1) Man lädt sich den gewünschten Browser herunter, und installiert ihn
ganz normal auf die Festplatte.
Bei XeroBank wählt man in der Installation statt „XeroBank Client“
einfach „Tor Version“ aus!
2) Jetzt startet man den Browser über das Icon. Es erscheint ein
Ladebildschirm in dem klein „Connecting to Tor…“ steht. Der Browser
baut also selbstständig eine Verbindung zum TOR-Netzwerk auf.
3) Fertig, jetzt kann ganz normal weitergesurft werden.
- 91 -
Lagebesprechung
Also, wie ist die Lage? Oder besser gesagt, wie sicher ist nun unser PC?
Ein PC, der mit allen hier abgebildeten Verteidigungslinien ausgerüstet
wurde, gehört zur obersten Klasse der Home-Security. Hacker und
Computerfreaks haben zwar noch besser, genau wie Regierungen, aber
es geht ja um Methoden für den Normalbürger!
Sollte der Rechner mitgenommen werden oder ein Fremder die
Festplatte entfernen, wird er scheitern!
Sollten sie gezwungen werden, ihr Hauptpasswort Preiszugeben,
werden ihre Gegner an den inneren Linien scheitern!
Sollten Schädlinge ihren Rechner angreifen, werden sie an der Firewall
und dem Antivirenprogramm scheitern!
Sollte ein Trojaner doch auf ihren PC gelangen, wird er nicht mehr
herauskommen!
Sollten Sie sich im Internet bewegen, wird man Sie nur schwer
aufspüren können!
Zusammenfassend kann man jetzt stolz sein auf seinen Rechner. Auch
wenn es Einschränkungen und einen Leistungsverlust beim Surfen mit
TOR gibt, mehr kann man als Laie kaum tun.
Trotzdem ist dies keine Wunderwaffe und kein Freifahrtschein zu
illegalen Aktivitäten. Wenn der Geheimdienst Sie wirklich finden will,
findet er Sie. Aber immerhin sind ihre Daten zu 100% sicher, ein
beruhigendes Gefühl zum einschlafen.
In diesem Sinne viel Glück…
Die Autoren
- 92 -