Ein großes Sicherheitsproblem technischer Systeme sind die Nutzer*innen. Menschen können beispielsweise mit Phishing oder Scamming manipuliert werden. Bei E-Mails sei es recht einfach, den Absender so zu fälschen, als sei die Mail von einer bekannten Person, sagt CryptoParty-Aktivist Aaron Wey. Er rät deshalb zu Vorsicht, gerade bei Mails mit Anweisungen. „Man sollte bei aller Kommunikation, die reinkommt, mitdenken: es könnte auch Phishing sein. Im Zweifelsfall immer über einen zweiten Kanal checken, ob man gerade wirklich mit der richtigen Person kommuniziert.“
Joachim Wagner, Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik, warnt besonders vor „E-Mails, bei denen ich nicht weiß, woher sie kommen oder die mir einen Notfall vorgaukeln wollen.“ Vor allem solle man vermeiden, darin enthaltene Anhänge zu öffnen oder auf ominöse Links zu klicken. Und erst recht nicht Passwörter oder die Infos zur Zweifaktorauthentifizierung weitergeben.
„Es ist wichtig, dass man mit gesundem Menschenverstand ein Stück weit misstrauisch an solche Mails und solche Anrufe herangeht und nachdenkt: Ist das wirklich eine plausible Geschichte? Habe ich da wirklich Handlungsdruck?“ Bei angeblichen Problemen mit Accounts empfiehlt er, das Gegenüber anzurufen, statt der Handlungsanweisung in der Nachricht zu folgen.
Verdächtige Links prüfen
Laut Alexander Paul von resist.berlin, einer Digitalberatung vor allem für Aktivist*innen, würden Mainstreamlösungen wie Google-Messages und Google Safe Browsing zu deutlich mehr Sicherheit führen, indem sie zum Beispiel Phishing-Nachrichten erkennen oder schädliche Websites blockieren. Allerdings würden diese Schutzmaßnahmen umso besser funktionieren, je mehr Daten an Google übermittelt werden – hier sollte jede*r für sich selbst zwischen Sicherheitsbedürfnis und Datenschutz abwägen.
Mit dem Browsergame Phishing Master der Forschungsgruppe Secuso vom Karlsruher Institut für Technologie lässt sich spielerisch trainieren, wie man Phishing-Nachrichten erkennt.
Verdächtige Links lassen sich auf verschiedenen Websites prüfen, phishtank.com oder virustotal.com zum Beispiel. Bei verdächtigen Anhängen wie PDFs, Word-, Excel-, oder Powerpoint-Dokumenten empfehlen die Sicherheitsexperten von Front Line Defenders die App Dangerzone, die solche Dateien von gefährlichen Erweiterungen befreien kann.
Antivirenprogramme sind zum Schutz vor Malware übrigens gar nicht so sinnvoll, letztlich machen sie Systeme häufig sogar anfälliger für Malware. Toni, Aktivist*in in der CryptoParty-Bewegung, sagt: „Die meisten Geräte haben einen guten Basisschutz, Windows bringt beispielsweise den Microsoft Defender mit. Bei zusätzlichen Antivirenprogrammen gibt es das Problem, dass sie die Berechtigung brauchen, die auf den gesamten Festplatteninhalt zuzugreifen. Da gibt es eine gute Studie von DARPA und dem Department of Defense in den USA, die sich Behörden-Rechner angeguckt haben. Und ein Drittel der gefundenen Sicherheitslücken war in der Virenscanner-Software selbst.“
Die Probleme der anderen
Zusätzlich zu den Problemen, die wir selbst als unachtsame Nutzer*innen verursachen können, gibt es in unserem Netzwerk auch noch zahlreiche weitere Menschen, die ein potenzielles Sicherheitsproblem darstellen. Toni sagt: „Meine Kommunikation ist auch auf den Geräten von anderen Personen. Und je nachdem, wie sicher oder unsicher deren Geräte sind, ist meine Kommunikation auch sicherer oder unsicherer.“ Tonis Empfehlung: „Sich mit Kommunikationspartner*innen auch mal über so generelle Fragen auszutauschen: Was machst du eigentlich für deine Sicherheit?“
Datenschutz erfordert ständige Wachsamkeit und einigen Aufwand, wenn er ernsthaft betrieben wird. Datenschutz ist DIY. Aber das heißt nicht, dass die volle Verantwortung bei den Nutzer*innen liegt. Dem Grundgesetz nach müssten eigentlich die Regierenden von Bund und Ländern der Datensammelwut kommerzieller Datensammler und Sicherheitsbehörden Schranken setzen, und Privatsphäreverletzungen, die über das absolut Notwendige hinausgehen, verhindern und ahnden. Dazu könnten sie mit der Förderung von Digitalkompetenz und freier Software die Zahl der Datenlecks verringern, Sicherheitslücken aufdecken, statt sie für Staatstrojaner zu verwenden, sowie Anbieter von Spionagesoftware vom Markt verbannen.
Auch Menschen in Konzernen, die für Profit die informationelle Selbstbestimmung ignorieren, tragen Verantwortung. Aber während man Staat und Konzernen höchstens mit IFG-Anfragen und DSGVO-Auskunftsersuchen auf Datenschutzprobleme hinweisen kann, hat man beim eigenen Digitalwerkzeug die größte Kontrolle – und eine Vielzahl von Lösungen zum Schutz der Privatsphäre zur Hand.
Mehr Tipps zur digitalen Selbstverteidigung gibt es hier und unter netzpolitik.org/digitale-selbstverteidigung.
> Dem Grundgesetz nach müssten eigentlich die Regierenden von Bund und Ländern der Datensammelwut kommerzieller Datensammler und Sicherheitsbehörden Schranken setzen, …
Es wäre informativ gewesen, existierende Rechtsgrundlagen im Einzelnen zu benennen, und dann für jeden Punkt sich Gedanken machen, warum das im IT-Alltag scheitert, und was dagegen unternommen werden muss.
Nach den Recherchen von Panorama und STRG_F waren das Bundeskriminalamt (BKA) und die Generalstaatsanwaltschaft Frankfurt am Main mit dieser Methode erfolgreich: Im Ermittlungsverfahren gegen die pädokriminelle Darknetplattform „Boystown“ gelang ihnen mehrfach, Tor-Knoten zu identifizieren, die einem der Hintermänner dienten, um sich zu anonymisieren.
So ermittelte das BKA zweimal Tor-Knoten, mit denen sich vom damaligen „Boystown“-Administrator Andreas G. betriebene Plattformen ins Tor-Netzwerk verbanden. Dabei handelte es sich zum Beispiel um einen Chat, in dem sich führende Mitglieder verschiedener pädokrimineller Foren austauschten. Zweimal gelang es überdies, sogenannte „Eintrittsserver“ vom Chatdienst „Ricochet“ zu identifizieren, den G. nutzte – es war der Durchbruch für das BKA. Zur finalen Identifikation verpflichtete das Amtsgericht Frankfurt am Main schließlich den Provider Telefónica, unter allen o2-Kundinnen und -Kunden herauszufinden, wer von ihnen sich zu einem der identifizierten Tor-Knoten verband.
https://www.tagesschau.de/investigativ/panorama/tor-netzwerk-100.html
FYI
https://correctiv.org/aktuelles/2022/09/13/kindesmissbrauch-wie-die-verhaftung-des-boystown-administrators-in-paraguay-ablief/
> sogenannte „Eintrittsserver“ vom Chatdienst „Ricochet“
Sowohl das alte Ricochet als auch der Nachfolger „Ricochet Refresh“ benutzt keine „Eintrittserver“
Zitat: „You talk directly to your contact – there’s no middleman server that could be compromised, putting you at risk.“
https://github.com/blueprint-freespeech/ricochet-refresh
Vermutlich ist der Tor-Entry-Node gemeint, der durch die timing analysis ermittelt wurde. Nichts also was mit Ricochet zu tun hat.
Bitte mal jemand mit Kenntnissen drauf schauen und hier ergänzen. Danke.
https://www.securityweek.com/tor-responds-to-reports-of-german-police-deanonymizing-users/ September 20, 2024
https://blog.torproject.org/tor-is-still-safe/ September 18, 2024
Ricochet has been replaced with Ricochet-Refresh, which includes Vanguard-lite protections designed to defend against guard discovery and timing attacks.
https://www.blackhatethicalhacking.com/news/is-tor-still-safe-law-enforcement-exploits-highlight-timing-attack-vulnerabilities/
Man sollte nicht blindlings alles glauben, was einem präsentiert wird, sondern kritisch hinterfragen. Berichte über angeblich in der Realität (nicht zu Forschungszwecken!) erfolgreich durchgeführte Deanonymisierungen gab es schon viele. Von denen sind nur zwei glaubhaft, und wiederum von denen beruhte die eine auf dem Ausnutzen einer Sicherheitslücke im Tor-Firefox und die zweite auf der Infiltration von Tails mittels eines sehr teuren Exploits.
Der Fall zeigt, dass die Analyse vor mindestens vier bis fünf Jahren erfolgte und damals in Tor eine Software noch nicht implementiert war, die vor Korrelationsanalysen schützt. Die damalige Ricochet-Version, die Tor vollständig nutzt(e), besaß damit eine Schwachstelle, die eben genau diese Deanonymisierung ermöglichte.
Deshalb folgende Fragen:
1. Warum wird eine solche Meldung ausgerechnet jetzt, also lange nach der angeblichen Analyse, publik? Ich sehe Zusammenhänge mit in letzter Zeit häufigen verbalen Anfeindungen des Tor-Netzes sowie Anonymität allgemein in den Medien (auch hier auf Netzpolitik).
2. Tor-Entries wechseln alle drei Monate (wobei man das auch per Skripteintrag ändern kann). Das bedeutet, dass die Korrelation solange Bestand gehabt haben muss und die Analyse mindestens ebenso lange dauerte. Daraus ergibt sich
3. Wie kann (und vor allem: warum ausgerechnet nur) der Provider „O2“ solange verpflichtet worden sein, sämtliche Nutzer zu überwachen?
4. Für solche Analysen benötigt man weitreichende Rechenkapazitäten, die die des BKA nach meiner Einschätzung übersteigen dürften. Entweder man hat sich Hilfe (aus dem Ausland) geholt, was rechtliche Fragen aufwirft, oder die Meldung wurde lanciert, um Tor samt dessen Usern gezielt zu verunsichern.
zu Frage 4:
>> Für solche Analysen benötigt man weitreichende Rechenkapazitäten
https://eurohpc-ju.europa.eu/about/discover-eurohpc-ju_en
The EuroHPC JU aims to: develop, deploy, extend and maintain in the EU a world-leading federated, secure and hyper-connected supercomputing, quantum computing, service and data infrastructure ecosystem;Supercomputers are also vital for national security, defence and sovereignty, as they are used to increase cybersecurity and in the fight against cyber-criminality, in particular for the protection of critical infrastructures.
Access to EuroHPC Systems
The EuroHPC JU has procured pre-exascale and petascale supercomputers (the EuroHPC supercomputers) which are operated by supercomputing centres (Hosting Entities) in the European Union.
Eligibility
Since April 2021, access time is allocated to European scientific, industrial and public sector users, matching their demanding application requirements, according to the principles stated in the EuroHPC JU Council Regulation (EU) 2021/1173 and as amended by EuroHPC JU Council Regulation (EU) 2024/1732, and in the JU’s Access Policy.
Researchers from academia, research institutes, public authorities, and industry established or located in an EU Member State or in a Member State or in a third country associated to the Digital Europe Programme or to Horizon Europe shall be granted the Union’s share of access time to EuroHPC supercomputers acquired after 2020.
https://www.denkfabrik-bmas.de/fileadmin/Downloads/Publikationen/OECD-Bericht_zu_Kuenstlicher_Intelligenz_in_Deutschland_FINAL_langversion.pdf
>> Suche im Dokument nach „Zitis“
ad 1.: > 1. Warum wird eine solche Meldung ausgerechnet jetzt, also lange nach der angeblichen Analyse, publik?
Weil timing analysis damals als akademische Möglichkeit publiziert wurde. Dies hatte zur Folge, dass seither torproject.org so davor warnt:
Tor does not provide protection against end-to-end timing attacks:
If your attacker can watch the traffic coming out of your computer, and also the traffic arriving at your chosen destination, he can use statistical analysis to discover that they are part of the same circuit.
Nun ist es Ermittlerkreisen offenbar gelungen genügend Tor-Entry-Nodes und Tor-Exit-Nodes zu betreiben/kontrollieren, um diese per timing zu matchen.
ad 2.: > Das bedeutet, dass die Korrelation solange Bestand gehabt haben muss
Nein. Diese Voraussetzung braucht es nicht.
ad 3.: > warum ausgerechnet (nur) der Provider „O2“ ?
Gute Frage! Was erhofften sich die Ermittler?
a) Sie haben den Server bereits übernommen und suchen die Consumer
b) Sie haben einzelne Consumer-Clients und suchen einen Server
c) es wird versucht ein sharing-Netzwerk zu enttarnen
Nur weil O2 genannt wurde, heißt das nicht, dass es auch andere gibt, die dabei sind.
ad 4.: > Für solche Analysen benötigt man weitreichende Rechenkapazitäten
Dafür braucht man eine genügend große Anzahl kontrollierter Entry+Exit-Nodes, also Anzahl von Rechnern, nicht „Rechenkapazität“. Eine internationale Kooperation scheint es zu geben (Hinweis auf Niederlande).
Zu “ EuroHPC supercomputers at your fingertips/Pinguine … sagt:
Zitis ist mir bekannt. Bezüglich der Analyse mit Supercomputern stellt sich angesichts des schon länger zurückliegenden Falls die Frage, ob damals schon auf diese wirklich zugegriffen werden konnte, da die Verurteilung des Angeklagten schon 2022 erfolgte und die Maßnahmen schon weitaus früher erfolgen mussten als laut dem Dokument oben auf Supercomputer zugegriffen werden konnte.
„Weil timing analysis damals als akademische Möglichkeit publiziert wurde. Dies hatte zur Folge, dass seither torproject.org so davor warnt: ….
Ist mir ebenfalls bekannt. Aber eine akademische Möglichkeit (die natürlich durchaus funktionieren kann) beinhaltet noch keine tatsächliche Umsetzung.
„Nur weil O2 genannt wurde, heißt das nicht, dass es auch andere gibt, die dabei sind.“
Nur weil O2 genannt wurde, heißt das nicht, dass es NICHT auch andere gibt, die dabei sind.
So macht es eher Sinn. Ja, aber in jedem Fall bedeutet es, dass welche Provider es auch waren, sie entweder eine Art Vorratsdatenspeicherung betrieben haben müssen (mit fraglicher und diskussionswürdiger Rechtslage) oder in Echtzeit parallel zur Analyse die jeweiligen Korrelationen sofort aufgedeckt wurden.
Wenn tatsächlich nur O2 „verpflichtet“ wurde, muss den Ermittlern bekannt gewesen sein, dass die betreffende Person O2 nutzt. Das wirft die Frage auf, ob schon ein Anfangsverdacht bestand oder ob „ins Blaue hinein“ Tor-User überwacht wurden, um dann erst einen Verdächtigen zu finden.
Mit Rechenkapazität ist gemeint, dass eine entsprechende Auswertung natürlich sehr viel Rechenleistung in Anspruch nimmt („FYI“ spricht aus meiner Sicht zurecht von Supercomputern), erst recht, wenn sich der Entryknoten nicht alle drei Monate, sondern häufiger in einer Sitzung ändert (wie insbesondere beim Tor-Browser auf Windows- und Apple-Systemen seit ca. zwei Jahren zu beobachten ist).
…
FYI
>> Bezüglich der Analyse mit Supercomputern stellt sich angesichts des schon länger zurückliegenden Falls die Frage, ob damals schon auf diese wirklich zugegriffen werden konnte
https://www.eofs.eu/wp-content/uploads/2024/02/03_cartsen_beyer_dkrz_lad2017.pdf
Für lächerliche 26 Mio Euro kannste dir deinen Supercomputer Bullx B700 DLC-System
in heimische „Wohnzimmer“ stellen und mit der anfallenden Abwärme deine Plattenbau-Siedlung
kostengünstig heizen.
Das Dateisystem https://de.wikipedia.org/wiki/Lustre_(Dateisystem) ist im übrigen Open Source.
Der Name Lustre leitet sich aus Linux und Cluster ab. Lustre ist unter der GNU GPL (nur v2) verfügbar und bietet ein hochperformantes Dateisystem für sowohl kleine wie auch große, über mehrere Standorte verteilte Cluster.
Da Lustre besonders auf hohe Leistungsfähigkeit ausgerichtet ist und unter einer freien Lizenz steht, wird es oft im Umfeld von Supercomputern genutzt. 2012 setzten 15 der TOP30-Supercomputer auf das Lustre-Dateisystem, inklusive des ehemals weltschnellsten TOP500-Supercomputers, des Titan.
Lustre-Dateisysteme sind skalierbar und unterstützen mehrere tausend Client-Systeme, mehrere Petabyte (PB) Speicherplatz und hunderte Gigabyte pro Sekunde (GB/s) gebündelter Schreib-/Lese-Last.Dies macht Lustre zu einer beliebten Wahl für z. B. große Rechenzentren wie bei Internet-Service-Providern, Finanzdienstleistern oder für die Öl- und Gas-Industrie.
>> Das Internetforum Boystown war von 2019 bis 2021 aktiv und hatte 400.000 User, die kinderpornografische Videos und Filme austauschten.Als die paraguayischen Ermittler zusammen mit BKA-Beamten die Unterkunft stürmten, war K. gerade im Netz und administrierte das Forum. Die Verhaftung musste erfolgen, solange K. am Rechner saß – so erhielt die Staatsanwaltschaft Zugriff auf den Server, der in Moldawien steht.
https://www.ripe.net/media/documents/Moldova_Country_Report.pdf
Bei geschätzt 400.000 Usern ist der erwartbare Tor Network IP – Traffic nicht unerheblich und der der Anfangsverdacht auf strafbare Handlungen gegeben. Eine SecureDrop Site wird sicherlich nicht einen solchen IP-Traffic erzeugen.
FYI
Distinguishing Tor From Other Encrypted Network Traffic Through Character Analysis
https://arxiv.org/pdf/2405.09412
Abstract—For journalists reporting from a totalitarian regime,whistleblowers and resistance fighters, the anonymous use of cloud services on the Internet can be vital for survival. The
Tor network provides a free and widely used anonymization service for everyone. However, there are different approaches to distinguishing Tor from non-Tor encrypted network traffic, most
recently only due to the (relative) frequencies of hex digits in a single encrypted payload packet. While conventional data traffic is usually encrypted once, but at least three times in the case of Tor due to the structure and principle of the Tor network, we have examined to what extent the number of encryptions contributes to being able to distinguish Tor from non-Tor encrypted data traffic.
https://www.nature.com/articles/s41598-024-71338-x.pdf
Since Rŏssler discovered the first hyperchaotic system1 in 1979, the evolution of hyperchaotic systems from discovery to application has encompassed multiple stages, including theoretical research, numerical simulation,experimental validation and application exploration. In recent years, the rapid proliferation of digital images containing sensitive information has heightened the need for robust encryption techniques to protect against unauthorized access and illegal copying. Traditional image encryption methods often struggle with issues such as limited parameter ranges, slow encryption speeds, and vulnerability to various attacks. To address these challenges, researchers have explored the use of hyperchaotic systems, which offer complex dynamic properties and high sensitivity to initial conditions, making them suitable for secure image encryption applications.
Euer Dangerzone Link funktioniert nicht. Bitte umschreiben in: https://dangerzone.rocks/.
Vielen Dank! Ist korrigiert.