Der gläserne Nutzer - und wie man sich schützen kann

Der Artikel ist 1. ueberholt und wurde 2. von Juergen Schmidt geschrieben, die groesste Luftpumpe in der Heiseredaktion und diese schreibt auch noch immer mal wieder fuer die Abteilung Sicherheit.

 

Deine 5 Augen interessieren sich einen Dreck fuer Dich, davon abgesehen sind die Knotenbetreiber mittlerweile gut darin, "bad exit nodes" aufzuspueren und auszulisten.
Die schwedische "Untersuchung" von Egersted die Luftpumpe Schmidt anspricht ist von 2006 (!), da konnte man alle Mailhoster noch per http/imap/pop3 ohne "s" nutzen, bei den meisten musste man das mangels Alternative sogar, heute wird es schwer sein, einen Mailhoster zu finden, der den Webmailer noch per http zugaenglich macht, falls Du einen findest, bitte ich um Nachricht, mir ist es zu aufwaendig diesen zu suchen.

Schmidt hat im wahrsten Sinne des Wortes eine "Ahnung" vom Internet und seinen Protokollen, genau so lesen sich auch seine Artikel ueber Gefahren im Internet, die echten hat er naemlich nicht im Fokus, da er von den dahinterliegenden Problemen nichts weiss. BGP-Routing als Selbstbedienungsladen https://www.ietf.org/rfc/rfc4272.txt , IXPs, CIX wie den DE-CIX auf denen Deine 5 Augen und unsere Dreibuchstabenbehoerden im grossen Rahmen ausleiten machen das Betreiben eines "bad exits" weitgehend obsolet, das versteht Schmidt aber nicht. Es ist kein Geheimnis, dass er auf populaerwissenschaftlicher Basis schreibt und er ist auch fuer den Niedergang des "security rss-feeds" von Heise mit verantwortlich - passt allerdings von seiner Qualifikation zu den Kommentaren unter seinen Artikeln. Jeder seiner Artikel bestehen aus eine Grossteil heisser Luft, der Rest sind Spekulationen, seine Warnung vor Tor macht da keine Ausnahme, er spricht dabei ja auch bewusst "Lieschen Mueller" an, ich glaube nicht, dass Du Dich dieser Zielgruppe zugehoerig fuehlst.

 

Die Frage ist doch eher, ob da noch Kosten und Nutzen in einem - subjektiv - sinnvollen Verhältnis stehen. Solange man nicht in einer Despotie lebt, sehe ich keinen Grund meine (digitale) Identität mit allen zur Verfügung stehenden Mittel zu verschleiern. Das kostet mir zu viel Zeit, Energie und fordert zu viele Kompromisse.
Bei vielen, die sich mit der Thematik etwas befassen, wird diese IMHO zum Selbstzweck.

 

Du hast behauptet, dass es keine gute Idee ist, Tor zu nutzen mit dem Verweis auf einen undurchdachten Artkel von einem Redakteur, der gerade mal Ahnung hat ueber was er schreibt und ich bin der Meinung, dass es eine gute Idee ist Tor zu nutzen, jedoch nicht ausschliesslich. Du raetst ab, ich nicht - zwei Meinungen, Deine Argumente kommen von Schmidt.

Bruce Schneier in einem Atemzug mit dem Heiseredakteur zu nennen hat schon was, Schneier ist recht unumstritten.

Wenn Du den von Dir verlinkten Artkel verstanden hast, wirst Du mir zustimmen, dass es sich hier um Tornodes handelt, die keinerlei Klartextdaten abfischen koennen, da sie keinen exit ins Internet anbieten. Sie dienen bei dem Hack nur der Identifikation von .onion-Services, die nicht durch die ueblichen "Suchmaschinen" fuer hidden services (hidden wiki, pastebin,...) auffindbar sind sondern deren .onion-Adressen (1. Haelfte vom SHA-1-Hash des Public Keys) lediglich unter der Hand weitergegeben werden - kein Problem fuer Lieschen Mueller, fuer Dich und die Benutzer hier auch nicht. Diese .onion-Adressen werden werden dann auf ueblichem Weg angegriffen, die dort angebotenen Serverdienste koennen genauso verwundbar sein wie draussen im sichtbaren Teil des Internets.

Hahaha...ja, da gehoer ich auch hin.

Ist es nicht, whatsapp z.B. verschluesselt nur Ende zu Ende, damit es ueberhaupt eine Chance hat langfristig akzeptiert zu werden und nicht, weil die Metadaten grundsaetzlich mal ausreichen. Man nimmt dann doch lieber den Spatz in der Hand als die Taube auf dem Dach. Das war ihnen auch so wichtig, dass sie das Moxie Marlinspike, also eine vertrauenswuerdige Person, das haben persoenlich implementieren lassen. Anders koennte whatsapp auch die langfristige Planung (kostenpflichtige) Geschaeftskommunikation abzuwickeln nicht realisieren, ohne Ende zu Ende-Verschluesselung, keine Firmen.

Erklaer mir bitte, welche Kommunikationsbeziehung selbst bei einem "bad exit" gefaehrdet ist, wenn SSL/TLS genutzt wird?

Ich betreibe selbst nicht gelistete bridge relays und ich rege mich auf, wenn so unbedachte und unqualifizierte Artikel wie der von Schmidt die Leute davon abhalten Tor zu nutzen. Tor braucht ein Grundrauschen, d.h. Traffic und mit Argumenten, die keine sind, soll dieses nicht verhindert werden. Selbst wenn Schmidt das System irgendwann mal wirklich verstehen wuerde, wuerde der alte Artikel weiterhin dafuer herhalten muessen, Tor schlecht zu machen.

 

Mit Blick auf die USA-Wahl macht mir mittlerweile weniger ein Tracking Sorgen, sondern der Umgang mit solchen Informationen ausserhalb von Marketing.

Denn auch mit vielen Schutzmechanismen wird es immer einen großen Prozentsatz der Bevölkerung geben, die freiwillig und wissend Informationen über sich preisgeben.

Und im postfaktischen Zeitalter und den ersten Manipulationen dieser Art... erschreckender als jede Kaufanalyse von Amazon.

PS: mein Smartphone schalte ich nicht aus, erlaube aber keinen Standort und lasse nur DLF24 pushen.

 

Hier in Augschburg haben die Stadtwerke auch die zündende Idee gehabt: Sie bieten in den Straßenbahnen und Bussen freies WLAN an. So spart man sich die Fahrgastbefragung und kann prima die Verkehrsströme analysieren und daraufhin planen. Blöderweise hat ihnen der Fuzzi von der Unternehmensberatung wohl vergessen zu erzählen, dass es absolut sinnlos ist, wenn das eine dermaßen unterirdische Performance hat, dass die Kids das WLAN ausschalten, damit das Smartphone auf UMTS oder LTE in der Stroßaboh wieder benutzbar wird.

 

Da bin ich ja richtig rückständig (und fühl mich trotzdem wohl) :
Ich hab im Auto so'n älteres Klapphandy, wo man telefonieren und höchstens noch SMS schicken kann (ist eh nur für Notfälle wie Unfall oder Wildschweinkontakt), zu Hause n PC mit normalem Anschluß über ne Leitung, dazu noch n passendes Telefon - und ich vermiß auch nix anderes. Höchstens beim Handy, das im Auto liegt, ne Kamerafunktion.

Nachtrag: Hab fürs Händi auch nur ne Prepaidkarte - und da es die meiste Zeit unbenutzt im Auto liegt, muß man doch ab und an nachsehen, ob der Akku geladen und die Karte noch gültig ist.
Sonst freut sich die Wildsau, daß sie einen ganz für sich alleine hat .

 

Klar kann das klappen mit nur Telefonier-Kleintelefon. Problematisch ist daran nur, dass sich immer mehr Anbieter darauf einstellen, dass ein Smartphone zur Verfügung steht und das Angebot, das vorher zur Information zur Verfügung gestellt wurde (auf Papier zum Beispiel), immer weiter eingeschränkt wird. Vor allem in den nordischen Ländern wird das Smartphone sozusagen vorausgesetzt (um beispielsweise einen Übernachtungsplatz zu buchen, etc.).

 

Hab ich auch schon gemerkt - und mit Geld ist es ja manchmal ebenso: In Kanada wurde ich blöd angeguckt, wenn ich mit Bargeld bezahlen wollte.
Gut, daß ich im Norden immer anders unterwegs war und nix vorbuchen mußte.
Mal schauen, wie das alles (hoffentlich) Nächsjahr klappt.

 

Die Frage ist wie lange man sich dagegen noch wehren kann.
Ich habe im Herbst selbst in einem kleinen Örtchen auf Sizilien die Erfahrung gemacht, dass man ohne Smartphone aufgeschmissen gewesen wäre.
Es gab dort einen Bahnhof, laut Aushang konnte man die Tickets entweder am Schalter, oder am Ticketautomaten oder online via QR-Code aufs Smartphone kaufen.
Schön wenn man die Wahl hat, nur dass der Schalter zur gesamten Nebensaison nicht besetzt war und ein Automat nicht einmal mehr existiert hat.

 

Niemand erwartet von Dir als "IT-Mensch", dass Du mit einem Smartphone umgehen kannst, muss man ja auch erst lernen und so ein Geraet zu unterhalten und zu paeppeln ist in der Tat sehr aufwaendig, schaffen auch nur die wenigsten IT-Menschen ueberhaupt. Fuer einige IT-Menschen ist die Zeit bei WIndows NT 4.0 stehen geblieben und da gab's ja auch noch kein Android, kein IOS und kein FB. Alles danach ist boese und bedrohlich. Dumm ist nur, dass gerade diese IT-Menschen das fachlich gar nicht mehr beurteilen koennen.

 

Mit SS7 laesst sich jeder tracken (und noch viel mehr), die Hardware kostet keine 1000€ und den notwendige Providerstatus kann man sich weltweit bei unzaehligen korrupten Mobilfunkserviceprovidern mieten - zum Glueck hat normalerweise niemand Lust Ottonormal zu tracken.
Das Nichtnutzen von Smartfons bringt dabei keinen Sicherheitsgewinn, auch wenn es nahe liegen wuerde.

 

Meine besten Kunden.

Da zähle ich mich, trotzdem ich mir durchaus zutraue, ein funktionierendes Rechenzentrum für einen Mittelständler aus dem Boden zu stampfen, definitiv dazu. Und als ESAD nehm ich mir das Recht heraus, die nachfolgenden Generationen mit meinen Wahrnehmungen und Befürchtungen zu beglücken und mich ansonsten je nach Lust, Laune und akuten Vorteilen für mich, einen Dreck um meine eigenen Ängste zu scheren.