Sicherheit im Darknet

Nach dem Freedom-Hosting-Exploit bin ich der Meinung, dass wir unser Bedrohungsmodell neu bewerten und unsere Sicherheitsvorkehrungen aktualisieren sollten, um uns besser vor den realen Bedrohungen zu schützen, denen wir ausgesetzt sind. Deshalb habe ich diesen Leitfaden geschrieben, um eine Diskussion anzustoßen. Er ist auf keinen Fall umfassend. Ich konzentriere mich nur auf die technische Sicherheit. Vielleicht können sich andere mit der Versand- und Finanzsicherheit befassen. I welcome feedback and would like these ideas to be critiqued and expanded.

Als ich über das Schreiben dieses Leitfadens nachdachte, beschloss ich, einen Schritt zurückzutreten und eine grundlegende Frage zu stellen: Was sind unsere Ziele? Ich bin auf zwei grundlegende Ziele gekommen, die wir mit unserer technischen Sicherheit erreichen wollen.

1. Vermeiden, identifiziert zu werden.
2. Erhöht oder verringert der Einsatz dieser Technologie den Schaden (z. B. die Beweise, die gegen mich verwendet werden können), wenn ich identifiziert werde?

Um diese Fragen zu beantworten, müssen Sie natürlich die zugrunde liegende Technologie verstehen.

Im restlichen Teil dieses Leitfadens werden die allgemeinen technologischen Merkmale erläutert, die die Wahrscheinlichkeit verringern, dass wir identifiziert werden, und die den Schaden minimieren, wenn wir identifiziert werden. Zum Schluss führe ich spezifische Technologien auf und bewerte sie anhand dieser Merkmale.

Lassen Sie mich zunächst die allgemeinen Merkmale auflisten, die ich mir ausgedacht habe, und sie dann erläutern.

1. Vereinfachung
2. Vertrauenswürdigkeit
3. Minimale Ausführung von nicht vertrauenswürdigem Code
4. Isolierung
5. Verschlüsselung

Bis zu einem gewissen Grad haben wir uns auf die falschen Dinge konzentriert. Ich habe mich hauptsächlich mit Angriffen auf der Netzwerkebene beschäftigt, oder “Angriffe auf das Tor-Netzwerk”, aber es scheint mir jetzt klar zu sein, dass Angriffe auf der Anwendungsebene viel wahrscheinlicher sind, uns zu identifizieren. Die Anwendungen, die wir über Tor laufen lassen, sind eine viel größere Angriffsfläche als Tor selbst. Wir können unsere Chancen, identifiziert zu werden, minimieren, indem wir die Anwendungen, die wir über Tor laufen lassen, absichern. Aus dieser Beobachtung leiten sich die ersten vier Eigenschaften ab, die wir uns wünschen.

===Einfachheit===

Abgesehen davon, dass wir überhaupt keine Computer benutzen, können wir die Bedrohungen gegen uns minimieren, indem wir die technischen Werkzeuge, die wir benutzen, vereinfachen. Eine kleinere Codebasis ist weniger anfällig für Bugs, einschließlich deanonymisierender Schwachstellen. Bei einer einfacheren Anwendung ist es weniger wahrscheinlich, dass sie sich auf unerwartete und unerwünschte Weise verhält.

Als das Tor-Projekt zum Beispiel die Spuren auswertete, die das Browser-Bündel hinterlässt, fanden sie 4 Spuren unter Debian Squeeze, das die Gnome 2 Desktop-Umgebung verwendet, und 25 Spuren unter Windows 7. Es ist klar, dass Windows 7 komplexer ist und sich auf unerwartete Weise verhält als Gnome 2. Allein durch seine Komplexität vergrößert Windows 7 Ihre Angriffsfläche und setzt Sie mehr potenziellen Bedrohungen aus. (Obwohl Windows 7 Sie auch auf andere Weise anfälliger macht.) Die Spuren, die Gnome 2 hinterlässt, sind leichter zu verhindern als die Spuren, die Windows 7 hinterlässt. Daher ist Gnome 2 zumindest im Hinblick auf diese spezifische Bedrohung Windows 7 vorzuziehen.

Wenn Sie also ein neues technologisches Werkzeug auf seine Einfachheit hin bewerten, stellen Sie sich folgende Fragen:

Ist es mehr oder weniger komplex als das Tool, das ich derzeit verwende?
Führt es mehr oder weniger (unnötige) Funktionen aus als das Tool, das ich derzeit verwende?

===Vertrauenswürdigkeit für mehr Sicherheit===

Wir sollten Technologien bevorzugen, die von Fachleuten oder Menschen mit langjähriger Erfahrung entwickelt wurden, und nicht von Neulingen. Ein eklatantes Beispiel hierfür ist CryptoCat, das von einem wohlmeinenden Hobby-Programmierer entwickelt wurde und wegen der vielen entdeckten Sicherheitslücken heftig kritisiert wurde.

Wir sollten Technologien bevorzugen, die quelloffen sind, eine große Benutzerbasis haben und seit langem eingesetzt werden, da sie gründlicher geprüft werden.

Wenn Sie ein neues technologisches Hilfsmittel auf seine Vertrauenswürdigkeit prüfen, sollten Sie sich folgende Fragen stellen:

Wer hat dieses Werkzeug geschrieben oder entwickelt?
Wie viel Erfahrung haben sie?
Ist es quelloffen, und wie groß ist die Gemeinschaft der Nutzer, Prüfer und Mitwirkenden?

===Minimale Ausführung von nicht vertrauenswürdigem Code===

Bei den ersten beiden Funktionen wird davon ausgegangen, dass der Code vertrauenswürdig ist, aber möglicherweise unerwünschte Probleme aufweist. Bei dieser Funktion wird davon ausgegangen, dass wir im Rahmen unserer Routinetätigkeiten möglicherweise beliebigen nicht vertrauenswürdigen Code ausführen müssen. Dabei handelt es sich um Code, den wir nicht im Voraus bewerten können. Dies geschieht hauptsächlich im Browser, durch Plug-ins und Skripte.

Sie sollten die Ausführung von nicht vertrauenswürdigem Code nach Möglichkeit vollständig vermeiden. Stellen Sie sich diese Fragen:

Sind die Funktionen, die er bietet, absolut notwendig?
Gibt es Alternativen, die diese Funktionen bieten, ohne Plug-ins oder Skripte zu benötigen?

===Isolierung===

Unter Isolierung versteht man die Trennung von technologischen Komponenten durch Barrieren. Sie minimiert den Schaden, der durch Exploits entsteht. Wenn also eine Komponente ausgenutzt wird, sind die anderen Komponenten immer noch geschützt. Sie kann Ihre letzte Verteidigungslinie gegen Exploits auf der Anwendungsebene sein.

Es gibt zwei Arten der Isolierung: physische (oder hardwarebasierte) und virtuelle (oder softwarebasierte). Die physische Isolierung ist sicherer als die virtuelle Isolierung, da softwarebasierte Barrieren selbst von bösartigem Code ausgenutzt werden können. Wir sollten die physische Isolierung der virtuellen Isolierung vorziehen, wenn es keine Isolierung gibt.

Bei der Bewertung virtueller Isolierungstools sollten Sie sich dieselben Fragen zur Einfachheit und Vertrauenswürdigkeit stellen. Führt diese Virtualisierungstechnologie unnötige Funktionen aus (z. B. die Bereitstellung einer gemeinsamen Zwischenablage)? Wie lange ist sie in der Entwicklung, und wie gründlich wurde sie überprüft? Wie viele Schwachstellen wurden bereits gefunden?

===Sicherheit durch Verschlüsselung==

Die Verschlüsselung ist eine der beiden Verteidigungsmaßnahmen, die wir haben, um den Schaden zu minimieren, wenn wir entdeckt werden. Je mehr Verschlüsselung Sie verwenden, desto besser sind Sie dran. In einer idealen Welt wären alle Ihre Speichermedien verschlüsselt, ebenso wie jede E-Mail und PM, die Sie versenden. Der Grund dafür ist, dass ein Angreifer die interessanten E-Mails leicht identifizieren kann, wenn einige E-Mails verschlüsselt sind und andere nicht. Er kann herausfinden, wer die interessanten Gesprächspartner sind, mit denen Sie kommunizieren, da dies diejenigen sind, an die Sie verschlüsselte E-Mails senden (dies wird als Metadaten-Leck bezeichnet). Interessante Nachrichten gehen im Rauschen unter, wenn alles verschlüsselt ist.

Das Gleiche gilt für die Verschlüsselung von Speichermedien. Wenn Sie eine verschlüsselte Datei auf einer unverschlüsselten Festplatte speichern, kann ein Angreifer auf triviale Weise feststellen, dass alle wichtigen Daten in dieser kleinen Datei enthalten sind. Wenn Sie jedoch eine vollständige Festplattenverschlüsselung verwenden, können Sie plausibler leugnen, dass das Laufwerk Daten enthält, die für den Angreifer interessant sind, denn es gibt mehr Gründe, eine ganze Festplatte zu verschlüsseln als eine einzelne Datei. Außerdem müsste ein Angreifer, der Ihre Verschlüsselung umgeht, mehr Daten durchsuchen, um die für ihn interessanten Daten zu finden.

Leider ist die Verwendung von Verschlüsselung mit Kosten verbunden, die die meisten Menschen nicht tragen können, daher sollten sensible Daten zumindest verschlüsselt werden.

Die andere Möglichkeit, sich vor Schaden zu schützen, ist die sichere Datenlöschung, aber dazu braucht man Zeit, die man vielleicht nicht hat. Die Verschlüsselung ist eine präventive sichere Datenlöschung. Es ist einfacher, verschlüsselte Daten zu zerstören, da Sie nur den Verschlüsselungsschlüssel zerstören müssen, um zu verhindern, dass ein Gegner auf die Daten zugreifen kann.

Abschließend möchte ich noch eine verwandte nichttechnische Funktion hinzufügen.

===Sicheres Verhalten===

In einigen Fällen ist die von uns verwendete Technologie nur so sicher wie unser Verhalten. Verschlüsselung ist nutzlos, wenn dein Passwort “Passwort” lautet. Tor ist nutzlos, wenn du jemandem deinen Namen sagst. Es mag dich überraschen, wie wenig ein Angreifer über dich wissen muss, um dich eindeutig zu identifizieren. Hier sind einige Grundregeln, die du befolgen solltest:

Sage niemandem deinen Namen. (obv)
Beschreiben Sie nicht Ihr Aussehen oder das Aussehen von wichtigen Besitztümern (Auto, Haus usw.).
Beschreiben Sie nicht Ihre Familie und Freunde.
Verraten Sie niemandem Ihren Aufenthaltsort, der über einen großen geografischen Bereich hinausgeht.
Sagen Sie niemandem im Voraus, wohin Sie reisen werden (das gilt auch für Festivals!).
Verraten Sie keine genauen Zeiten und Orte, an denen Sie in der Vergangenheit gelebt oder sich aufgehalten haben.
Sprechen Sie nicht über bestimmte Verhaftungen, Inhaftierungen, Entlassungen usw.
Sprechen Sie nicht über Ihre Schule, Ihren Beruf, Ihren Militärdienst oder über Organisationen, in denen Sie offiziell Mitglied sind.
Sprechen Sie nicht über Krankenhausaufenthalte.

Sprechen Sie generell über nichts, was Sie mit einer offiziellen Aufzeichnung Ihrer Identität verbindet.

===Eine Liste einigermaßen sicherer Konfigurationen für Silk Road-Benutzer===

Ich sollte zunächst darauf hinweisen, dass die oben genannten Merkmale nicht gleich wichtig sind. Die physische Isolierung ist wahrscheinlich die nützlichste und kann Sie auch dann schützen, wenn Sie komplexen und nicht vertrauenswürdigen Code ausführen. Bei jeder der unten aufgeführten Konfigurationen gehe ich von einem vollständig aktualisierten Browser / TBB mit deaktivierten Skripten und Plug-ins aus. Außerdem bedeutet der Begriff “Verschleierung der Mitgliedschaft”, dass jemand, der deine Internetverbindung beobachtet, nicht weiß, dass du Tor benutzt. Das ist besonders wichtig für Anbieter. Du kannst Bridges benutzen, aber ich habe extrajuristische VPNs als zusätzliche Sicherheitsebene hinzugefügt.

In diesem Sinne ist hier eine absteigende Liste von sicheren Setups für SR-Benutzer.

Zu Beginn präsentiere ich Ihnen die sicherste Einrichtung!

#1 Ein Router mit einem VPN + eine anonymisierende Middlebox, auf der Tor läuft + ein Computer mit Qubes OS.

Vorteile: Physikalische Isolation von Tor und Anwendungen, virtuelle Isolation von Anwendungen untereinander, Verschlüsselung nach Bedarf, Verschleierung der Mitgliedschaft gegenüber lokalen Beobachtern mit VPN

Nachteile: Qubes OS hat eine kleine Benutzerbasis und ist nicht gut getestet, soweit ich weiß.

 

#2 Anonyme Middlebox (oder Router mit Tor) + Qubes OS

Vorteile: physische Isolation von Tor und Anwendungen, virtuelle Isolation von Anwendungen untereinander, Verschlüsselung nach Bedarf

Nachteile: Qubes OS hat eine kleine Nutzerbasis und ist nicht gut getestet, keine Verschleierung der Mitgliedschaft

 

#3 VPN-Router + anonymer Zwischenrechner + Linux OS

Vorteile: Physikalische Isolation von Tor und Anwendungen, vollständige Festplattenverschlüsselung, gut getestete Codebasis, wenn es sich um eine große Distribution wie Ubuntu oder Debian handelt

Nachteile: keine virtuelle Isolation der Anwendungen untereinander

 

#4Anonymer Zwischenrechner (oder Router mit Tor) + Linux OS

Vorteile: physische Isolation von Tor und Anwendungen, volle Festplattenverschlüsselung, gut getestete Codebasis

Nachteile: keine virtuelle Isolation der Anwendungen untereinander, keine Verheimlichung der Mitgliedschaft

 

#5 Qubes OS alleine

Vorteile: virtuelle Isolation von Tor und Anwendungen, virtuelle Isolation von Anwendungen untereinander, Verschlüsselung nach Bedarf, Verbergen der Mitgliedschaft (möglich? VPN kann in VM ausgeführt werden)

Nachteile: keine physische Isolation, nicht gut getestet

 

#6 Whonix auf Linux-Host

Vorteile: virtuelle Isolation von Tor und Anwendungen, volle Festplattenverschlüsselung (möglich), Mitgliedschaftsverschleierung (möglich, VPN kann auf dem Host laufen)

Nachteile: keine physische Isolierung, keine virtuelle Isolierung der Anwendungen untereinander, nicht gut getestet

 

#7 Tails

Vorteile: Verschlüsselung und hinterlässt keine Spuren, Exploits auf Systemebene werden nach einem Neustart gelöscht, relativ gut getestet

Nachteile: keine physische Isolierung, keine virtuelle Isolierung, keine Verschleierung der Mitgliedschaft, keine dauerhaften Eintrittswächter! (kann aber manuell Brücken setzen)

 

#8 Whonix auf Windows-Host

Vorteile: virtuelle Isolierung, Verschlüsselung (möglich), Verschleierung der Mitgliedschaft (möglich)

Nachteile: keine physische Isolierung, keine virtuelle Isolierung von Anwendungen untereinander, nicht gut getestet, VMs sind anfällig für Windows-Malware!

 

#9 Linux-Betriebssystem

Vorteile: vollständige Festplattenverschlüsselung (möglich), Verschleierung der Mitgliedschaft (möglich)

Nachteile: keine physische Isolierung, keine virtuelle Isolierung

 

#10 Windows-Betriebssystem

Vorteile: vollständige Festplattenverschlüsselung (möglich), Verschleierung der Mitgliedschaft (möglich)

Nachteile: keine physische Isolierung, keine virtuelle Isolierung, das größte Ziel von Malware und Exploits!

Schreibe einen Kommentar