27 Okt 2013

Wider die Überwacher! Kleinvieh macht auch Mist

Submitted by ebertus

Manche(r) wird einiges, gar vieles von dem hier Vorgestellten kennen, möglicherweise bereits anwenden. Als ein Anstoß für weiteres Nachdenken mag es dennoch nützlich sein.

Dass von der Bundesregierung und unabhängig von jeder kommenden, großkoalitionären Ausprägung in Sachen Datenschutz wenig bis nichts Substantielles zu erwarten ist, das dürfte klar, beinahe Konsens sein. Und so wird die im Rahmen von Merkels Handygate gespielt dargebotene Entrüstung sich wieder legen mehr als etwas warme Luft kaum in Bewegung geraten. Der Einzelne jedoch, jeder von uns kann das eigene Verhalten kritisch hinterfragen und (in Grenzen) ändern. Das aktuelle Wirtschaftssystem mal als alternativlos angesehen, so ist innerhalb dieses Umfeldes selektiver Boykott, selektive Verweigerung immer noch möglich, manchmal gar wirkmächtig. Und dies gilt sehr grundsätzlich!

Todesurteil für Verschlüsselung in den USA

Die wichtigste Lehre aus den Vorgängen beim E-Mail-Provider Lavabit ist, dass man der Verschlüsselung amerikanischer Dienst-Anbieter nicht mehr vertrauen kann. Das ist nun keine Vermutung übereifriger Verschwörungstheoretiker mehr, sondern ein von einem Gericht dokumentierter Fakt.

Sie müssen ab sofort davon ausgehen, dass er keines seiner Versprechen in Bezug auf Sicherheit der an ihn gesendeten oder bei ihm gelagerten Daten mehr halten kann. Im Zweifelsfall haben US-Behördern sogar schon jetzt die Schlüssel, um Zugriff auf all diese Daten zu erhalten. Ich bin jetzt sehr gespannt, wie Microsoft, Amazon, Google, Apple & Co darauf reagieren.

Diese Tage bei heise Security gelesen und eben grundsätzlich zu erweitern. Nicht nur die USA, mindestens auch die anderen Freunde der sog. "FiveEyes" sind ebenfalls zu berücksichtigen; und nicht zuletzt unsere deutsche Regierung, deren frei agierende Geheimdienste dies beinahe als Staatsräson zelebrieren, wie in dem Interview mit Josef Foschepoth nachzulesen ist. Die genannten BigPlayer der IT-Industrie sind wohl auch nur die Spitze des Eisberges, deutsche Konzerne ebenfalls einzuschließen. Und nicht nur die Nutzung der sog. Cloud ist betroffen, jegliche Anwendung von IT-Kommunikation (Hardware, Software, Dienste) im Dunstkreis der BigPlayer sollte und wird auf den Prüfstand kommen, werden Unternehmen und Institutionen jenseits einer Einflußsphäre der FiveEyes dies unter dem Stichwort "Wirtschaftsspionage" mit Sicherheit adressieren;

Privatleute können, dürfen das ebenfalls...

- - - - -

Was kann der/die Einzelne also tun, um denen etwas Paroli zu bieten. Der Ratschlag, sich von diesen in der Regel US-dominierten sog. sozialen Communities fernzuhalten ist mit Sicherheit eine Binse, muss hier dennoch wiederholt werden. Ähnliches gilt natürlich für die Anbieter von Hardware, Betriebssystemen, anderer Softwaretools und eben auch der Cloud. Grundsätzlich sollten soweit als möglich offene Systeme und darüber hinaus kleinere, gern lokale Anbieter, Provider und IT-Dienste verwendet werden.

1. Wo irgendwie zielführend möglich, sollte OpenSource, sollten quelloffene Systeme -gern gerade die mit aktiver Community- genutzt werden.

2. Falls Erstgenanntes nicht möglich ist, sind eher Tools von kleineren Anbietern zu verwenden; beispielsweise als sog. "Shareware" vorab zu testen und dann für relativ geringe Lizenzierungskosten ohne Werbung, in der Regel ohne Überwachungspotential zu nutzen.

3. Die Philosophie der sog. Kostenloskultur wäre somit einzuschränken; weil ja nichts wirklich kostenlos ist, gerade die BigPlayer und unabhängig von den möglichen Backdoors in ihren Systemen ganz profane, betriebswirtschaftlich determinierte Gründe für das Erfassen und Auswerten des vom Konsumenten bereitwillig hergegebenen Datenvolumens haben.

4. Dezentralität und Lokalität ist viel schwerer zu überwachen, zu kompromittieren als die großen Systeme. Und wegen der vielen (kleinen) Hände und Augen im Prozess  steigt das Risiko bzw. die Wahrscheinlichkeit für die Geheimdienste, bei ihrem Tun erwischt zu werden.

 

Manchmal kommt man dabei sogar zu neuen Ufern, entdeckt Dinge jenseits des Gewohnten, dem vermeintlich goldenen Käfig. Und damit nun zu dem eingangs angekündigten Denkanstoß, einer durchaus auch schon mal trivialen Checkliste. Alternativen gibt es in der Regel und daher sollte das Folgende keinesfalls als eine Form von Schleichwerbung gesehen, vielmehr als erfahrungsgestützte, real umgesetzte Beispiele dieser vier genannten Punkte verstanden werden.

- - - - -

Die einfachte Änderung des Verhaltens im Netz -soweit noch nicht vollzogen- sollte der Einsatz von Firefox als Browser sein, entsprechend sicher konfiguriert und über dahingehend nützliche Erweiterungen ergänzt. Neben verschiedenen, meinen Bedarf abdeckenden Add-ons (auf Adblock-plus und mehr noch BetterPrivacy sei hingewiesen), so mögen die meiner Meinung nach sinnvollen Sicherheitseinstellungen hier und hier erwähnt sein. Im letzten Link zu erkennen, wird Startpage als primäre Suchmaschine und gleichzeitig Browser-Startseite voreingestellt. Startpage verwendet zwar Google im Hintergrund, anonymisiert aber alle entsprechenden Anfragen und sichert damit die Privatsphäre sehr weitgehend; ist darüber hinaus hochperformat. Die vorgenannten Einstellungen und Tools  sind ohne Einschränkung, im Grunde identisch auch unter Linux verfügbar (worüber weiter unten noch zu reden sein wird), von mir unter Debian und Mint getestet..

Eine weitere, Ergänzung des Browsers, bislang wohl aber nur für Windows verfügbar ist Sandboxie. Dieses Tool, und mit Firefox optimal zu kombinieren, lenkt alle (im Hintergrund schreibenden) Aktivitäten des Browsers  in einem abgeschirmten Bereich um, gaukelt dem Browser und damit den aufgerufenen Webseiten vor, sie würden reale, bleibende Bereiche auf der Festplatte adressieren. Allerdings müssen bewußt heruntergeladene Inhalte dann explizit verschoben werden, da sie das (manuell notwendige) Löschen der Sandbox ansonsten nicht überstehen. Von mir wird Firefox mit Sandboxie daher parallel  bzw. alternativ verwendet, soweit lediglich "normales" Surfen auch auf gern unbekannten Seiten angesagt ist. Nach einem Monat im Einsatz wird beim Start der nichtlizensierten Version eine Pause von fünf Sekunden eingeblendet. Falls das stört (bei meinem Nutzungsverhalten eher nicht), so ist die zahlungspflichtige Lizenzierung möglich.

Falls über das Vorgenannte hinaus -gerade was die vom Provider zugeteilte IP-Adresse betrifft- noch weiterer Schutz angezeigt ist, so sei auf die verschiedenen VPN-Dienste hingewiesen, wäre darüber beinahe ein separater Blog zu schreiben. Von mir wird seit rund einem Jahr Cyberghost eingesetzt und standardmäßig beim Rechnerstart aktiviert. Zu konstatieren ist, dass die Performance der Netzverbindung durch ein derartiges VPN-Tunneling reduziert wird, es bei meinen Anforderungen aber nur selten notwendig ist, das Tool (temporär) zu deaktivieren; und ein sog. Downloader bin ich eh' nicht. Wer mehr über das Thema wissen möchte, dem sei diese Website empfohlen, den Check der eigenen und aktuellen, die den angesurften Websites mitgeteilten IP-Adresse eingeschlossen

- - - - -

Der folgende Punkt zu Thema E-Mail schließt einerseits an das oben eingestellte Zitat zu Lavabit an, stellt andererseits auf die wohl notwendige Vermeidung der erwähnten "Kostenloskultur" ab und erfüllt darüber hinaus die postulierte Dezentralität und Lokalität kleinerer Dienstleister mit Leben. Das ganze Thema kann hier recht kurz gefasst werden, denn zu Posteo, dem Berliner Mailprovider und seiner Sicherheitsphilosophie wurde meinerseits bereits ein Blogtext eingestellt. Nach nunmehr rund zwei Monaten im Einsatz, so kann bereits Geschriebenes nur ausdrücklich bestätigt werden, sowohl was Posteos Webinterface betrifft,  als auch einerseits das lokal eingesetzte Thunderbird und andererseits das unter Android auf dem Smartphon verwendete K9-Mail angeht; die vollumfängliche Synchronisation von Adressbuch und Kalender eingeschlossen.

Ein weiteres Beispiel für die genannten Kriterien zur Providerauswahl ist Selfhost, ein Dienstleister u.a. für die Bereitstellung von dynamischem DNS, ein Feature, welches lokale Netze auch unter providerseitig möglicherweise täglich wechselnden IP-Adressen erreichbar werden lässt.  Auch hier sei das Thema sehr kurz abgehandelt, weil diese Thematik einerseits für einen wirklich großen Interessentenkreis nicht so relevant ist und andererseits bei Interesse gern der entsprechende Text zu DynDNS hier nachgelesen werden kann.

Der dritte Punkt in diesem Block ist dagegen wohl von zunehmenden Interesse. Es handelt sich um das sog. Cloud-Computing, welches zukünftig wohl noch einen höheren Stellenwert erreichen wird als in den ersten, aktuellen Ansätzen abzusehen. Ein Grundprinzip besteht wohl darin, das lokale Endgerät weitgehend bis beinahe ausschließlich als "Fenster zur Welt" zu sehen und zu nutzen. Nicht nur das schlichte Speichern und ggf. synchron halten von Daten ist damit gemeint, sondern mehr noch die umfangreiche Verlagerung lokaler Funktionalitäten in die Websphäre; wo auch immer auf dieser Welt. Für die Älteren und IT-belasteten unter uns als Begriff  vielleicht eine Fortsetzung der bisherigen sog. Client/Server-Architektur in primär lokalen Netzen. Grundsätzlich und um im Tenor des Blogtextes hier zu bleiben, so gilt für die Cloud, dass implizite wie explizite sog. Backdoors und andere Zugriffsmöglichkeiten für unsere Freunde per Design entweder gleich hinterlegt werden können, oder vom Anbieter der Cloud und nicht unbedingt immer so ganz freiwillig (siehe Lavabit) zur Verfügung gestellt werden müssen. Als probates Gegenmittel kommt daher -neben technischen Spezifika- einmal mehr die Dezentralisierung und Lokalisierung bei eher kleinen Providern jenseits der FiveEyes zum Einsatz.

Alfahosting ist so ein Provider und für 1,69 Euro/Monat kann man dort 10GB Festplattenspeicher mieten. In meinem Fall ist das gar kostenneutral, da diese Größenordnung bereits in dem eh' dort unterhaltenen Webhosting-Tarif verfügbar ist. Aus technischer Sicht läuft der Zugang und soweit über den Browser realisiert via HTTPS, also über eine relativ sichere Verbindung. Enthalten ist eine nach meinem Dafürhalten zumindest rudimentäre User- und Rechteverwaltung auf Verzeichnisebene. Darüber hinaus ist der Zugriff via WebDAV oder dem von mir bereits seit Jahren eingesetzten AllwaySync vom lokalen PC/Notebook/NAS ebenso möglich,  wie vom Smartphone/Tablet beispielsweise via einem Tool namens FolderSync.

Damit nun das Vorgenannte nicht zu trocken bleibt sei hier auf eine extra eingerichtete kleine Testarea hingewiesen, welche mit dem Browser erreichbar ist. Dort ist -meinerseits explizit so eingestellt- nur Lesen/Anzeigen und Herunterladen möglich, können Inhalte weder hochgeladen noch modifiziert oder gar gelöscht werden. Die Adresse (als Link hinterlegt) lautet: "https://ebertus.od.alfahosting.de/" , die dann einzugebende Mailadresse "das@ist.net" und das Passwort "dummy". So have a look...

- - - - -

Abschließend zu Linux, dem in der Regel komplett quelloffenen System und bereits in einem anderen Blog thematisiert. Die Anforderung an eine per Backup/Restore einfach wieder herzustellenden Dualbootinstallation steht weiterhin an, wurde aber zwischenzeitlich durch den Einsatz einer virtuellen Umgebung via dem für die private Nutzung kostenlosen VMware-Player etwas relativiert, konnten in dieser eben leicht reproduzierbaren Umgebung weitere Erfahrungen gesammelt werden. Ubuntu wurde vorerst wieder verabschiedet, weil mir das look&feel überhaupt nicht zusagt. Auf einem der zwei verfügbaren PC ist nun Mint15-Olivia mit seiner windowsartigen Oberfläche und auf dem anderen PC das eher schlicht daher kommende Debian-7 installiert, beide im Dualboot auf der zweiten bzw. dritten Partition. Diese Installationen werden primär in Sachen Netzzugang, Internet etc. getestet. Die Zeit der dicken, lokalen Betriebssysteme scheint eh' dem Ende entgegen zu gehen und daher war mir nunmehr die Integration und Verwendung von Firefox nebst Konfiguration und Tools analog der unter Windows ein erstes, primäres Ziel.

Mit der Erwähnung von Firefox schließt sich hier nun abschließend ein wenig der Kreis, öffnet gleichzeitig jedoch neue Perspektiven. Denn Firefox ist mittlerweile mehr als nur ein Browser; ist auf dem Wege zu einem kompletten Betriebssystem für mobile Geräte. Schließlich, und das sollte nicht vergessen werden sind nicht nur Microsoft und Apple die BigPlayer in diesem Bereich. So wird Android und möglicherweise mit weniger Restriktionen als die Betriebssysteme der vorgenannten Firmen daherkommend dennoch weitgehend von Google dominiert; oder kommt in angepasster, proprietärer Form von den anderen großen Playern. Was beispielsweise Microsoft und Samsung angeht, unter dem Kürzel UEFI möglicherweise zu erwarten ist, dahingehend war ebenfalls schon mal ein Blogtext zu schreiben. Es bleibt daher zu hoffen, dass sich kleinere bis mittelgroße Hersteller finden werden, welche Firefox-OS und ganz ohne Schweinereien mit entsprechender Hardware unterstützen.