Was ist denn gerade bitte mit den „Sicherheits“-Apparat los? Haben die noch alle Tassen im Schrank?

Vor ein paar Tagen kommt heraus, das Benutzer von TOR (das ist ganz grob gesagt ein Dienst zur Anonymisierung) von der NSA als Extremisten abgestempelt werden. Einfach nur so. Ohne überhaupt zu wissen, was die machen.
Klar, weil der Dienst die Benutzer anonymisiert, werden darüber so alle möglichen Sachen gedreht. Manche Leute wollen einfach nur das Gefühl von Sicherheit haben, manche sind Journalisten, Dissidenten und Menschenrechtsaktivisten – und natürlich haben auch manche kriminelle Absichten. Aber das ist ja der Sinn von so einem Tool – man weiß nichts von den Inhalten und das ist gut so (Vergleichbar mit der Post und dem Briefgeheimnis).

Nun, damit das TOR-Netzwerk funktioniert, braucht man Exit-Nodes. Das sind dann sozusagen die Ausgänge aus dem TOR-Netzwerk ins Internet.
In Österreich wurde nun ein Betreiber von einem Node wegen Beihilfe zur Kinderpornografie verurteilt. Der muss angeblich noch ein wenig mehr Dreck am Stecken haben (Schusswaffen in der Wohnung – aber natürlich gibt es keinen Kommentar ob die legal waren oder nicht) und scheint in Chats mal geschrieben zu haben, dass es ihm egal ist, was für Inhalte(auch KiPos) über das Netz verbreitet werden (Hallo, ist ja auch richtig so! Anonym!).

Wenn man sich noch ein wenig weiter mit dem Thema TOR beschäftigt, kommt man irgendwann sowieso zu dem Punkt, dass das ganze im Endeffekt nicht sicher ist. Hier gibt es eine Publikation zu dem Thema, welche beschreibt wie man 80% der Benutzer des Netzwerks de-anonymisieren kann, nur durch Überwachen eines einzigen Relays. Und für große „Sicherheits“-Apparate wie die NSA ist das wahrscheinlich Alltag.

Ergo reicht es nicht nur anonym zu sein – man muss seine Daten auch verschlüsseln.
SSL-Verschlüsselung sollte eigentlich jedem bekannt sein.Hier wird die Verbindung zwischen Server und Browser Verschlüsselt (an die Nichtwissenden: wenn ihr Links von eurer Adress-Leiste im Browser ein  grünes Schloss-Symbol habt, ist die Verbindung verschlüsselt) .Falls also irgend ein Journalist in China ein paar Artikel über Menschenrechtsverstöße leaken will, kann er das anonymisiert und verschlüsselt tun. Spätestens wenn das eigene Leben davon abhängt, schaut man sich auch das SSL-Zertifikat penibelst genau an. Ob es auch die richtige Domain ist, etc.

Wenn man dann jedoch ein wenig weiter sucht, stößt man auch auf interessante Programme die von der NSA betrieben werden wie z.b. FLYING PIG (Der Artikel ist von September 2013, warum hab ich nie was davon gehört?).

Thema ist, dass die NSA Wirtschaftsspionage gegen Petrobas, einem riesigen brasilianisches Mineralölunternehmen, betrieben hat.
Wie sie das gemacht haben? In den Router bei Petrobas gehackt, alle Google-Anfragen umgeleitet und somit abgefangen. Der eigentliche Clou ist, dass der Browser meckern müsste, dass etwas mit dem Zertifikat der verschlüsselten Verbindung nicht stimmt (ist ja nicht mehr der Google-Server, an den man jetzt seine Sachen übermittelt). Aber die Jungs von der NSA sind ja nicht blöd, wenn die schon riesige IT-Firmen dazu bringen können, Hintertürchen in die Datenbanken einzubauen, haben sie natürlich auch Zwischenzertifizierungsstellen um auch hier am Rädchen zu drehen. Okay, sogar dem Indischen Geheimdienst scheint das jetzt möglich zu sein.

Man kann also theoretisch keiner Webseite trauen, von der man sich nicht persönlich überzeugt hat, dass das Zertifikat stimmt. Man könnte jetzt den Fingerprint des Zertifikats überprüfen, müsste aber natürlich erstmal wissen, ob der Prüf-Wert schon korrekt ist. Wenn man ihn nämlich über das Internet / E-Mails hat, besteht ja schon wieder die Gefahr, dass auch dieser Wert schon gefälscht ist.

Ok, das wird jetzt alles schon ein wenig Paranoid.

Also einfache Verschlüsselung ist schon einmal besser als keine. Ihr lauft ja auch nicht nackt durch die Straßen mit der Meinung, dass ja eh keiner guckt.

Ob man sich jetzt ganz vermummen muss, muss jeder für sich selbst entscheiden. Nur scheint es leider nicht ganz so einfach zu sein.