Aus Linux-Magazin 08/2005

Methoden, um Dateien und Netzverbindungen vor Kollegen, Chefs und Admins zu verbergen

Auf der Flucht vor übertriebener Überwachung hilft die moderne IT. Sie erobert ein großes Stück Privatsphäre zurück: Der Inhalt der lokalen Festplatte bleibt dank DM-Crypt geheim, verborgene Tunnel tarnen private Kommunikation und Anonymizer verschleiern, woher eine Verbindung oder eine E-Mail stammen.

20 Jahre verspätet, aber dennoch bedrohlich: Die Vision vom Big Brother in George Orwells Roman “1984” verwandelt sich Stück für Stück in Realität. Ob flächendeckende Kameraüberwachung in mancher Stadt, biometrische Merkmale im Personalausweis, erzwungene Datenspeicherung beim Provider (auf Vorrat), Maut-Kameras auf den Autobahnen oder die verharmlosend als “Flugdatenübermittlung” bezeichnete Personenauskunft bei der Einreise in die USA: Überwachung im großen Stil ist in.

Diese Kontrolle findet ihr Äquivalent im Kleinen. Jede halbwegs taugliche Firewall legt ausführliche Logfiles an, jeder Webserver protokolliert, welche Seite wann von wo aus abgefragt wurde, und manch übereifriger Chef guckt abendlich in die Homeverzeichnisse seiner Mitarbeiter. Die Begründung variiert: Was für den Staat wahlweise Kinderpornographie, organisierte Kriminalität oder Terrorismus (je nach Mode), das ist für Firmen die Angst vor Malware, Crackern oder Spionen in den eigenen Reihen.

Ausgewogenheit gefragt

In allen Fällen ist die Motivation für sich genommen durchaus schlüssig, aber an der Verhältnismäßigkeit der Mittel mangelt es. Mancher Bürger/Benutzer wähnt sich ohnmächtig ob der Allmacht von Staat und Admin. Doch ganz wehrlos ist keiner: Die Mittel der demokratischen Willensbildung sollten bekannt sein und auch die IT gibt kreativen Usern gute Methoden in die Hand.

Die wohl bekannteste Technik ist, seine Daten zu verschlüsseln. Das kann ein klassisches PGP/GnuPG sein, das einzelne Files vor fremdem Zugriff schützt. Wer es bequemer und umfassender haben will, setzt auf Festplattenverschlüsselung. Das beherrscht Linux längst und hat in jüngerer Zeit noch kräftig dazugelernt. Wie DM-Crypt und sein neues Userspace-Werkzeug Cryptsetup-LUKS (Linux Unified Key Setup) funktionieren, welche Schwächen älterer Systeme sie beheben und wie man sie einsetzt, beschreibt der erste Artikel dieses Heftschwerpunkts.

Wurzel des Vertrauens

Voraussetzung für wirksamen Schutz ist ein vertrauenswürdiger Root-Account der lokalen Maschine. Wer der Systeminstallation und dem Admin nicht traut, darf auch nicht auf den Schutz der installierten Software zählen. Nichts verhindert, dass ein boshafter Systemverwalter eine Hintertür in die Verschlüsselungssoftware oder gleich in den Kernel integriert – hier sitzt der Admin am längeren Hebel. Das Kräfteverhältnis kippt, sobald sich der Blick dem Netz zuwendet. Freilich kann ein Firewall-Verwalter seinen Paketfilter völlig vernageln und jede Kommunikation sperren – nur wird er das selten tun, sonst könnte er gleich auf die Außenanbindung und mithin die Firewall verzichten.

Inhalt

 

28

DM-Crypt
Festplattenverschlüsselung schützt alle gespeicherten
Dateien vor Dieben – und der Neugierde des Chefs. Linux hat
kürzlich viel dazugelernt: DM-Crypt und LUKS sind die neuen
Meister im Hüten von Geheimnissen.

38

Verborgene Kanäle
Wenn Admins die Firewall zumauern, kontern die Benutzer mit
geheimen Tunneln und getarnten Kanälen. Welche Techniken beide
Seiten einsetzen, beschreibt dieser Artikel.

46

OpenVPN
Mit einigen Tricks und Kniffen überwindet das Virtuelle
Private Netz auch schweres Terrain – etwa widerspenstige
Paketfilter ohne funktionierendes UDP-Connection-Tracking.

50

Java Anonymous Proxy
Anonymität im Web ist ein Mythos. Vom Webserver mitgeloggte
IPs und Zugriffszeiten reichen zur eindeutigen
Nutzer-Identifizierung aus. JAP verspricht Abhilfe durch Mixen der
Nutzerdaten.

Sobald auch nur ein einzelner Kommunikationskanal nach außen existiert, lässt er sich als Trägermedium für verborgene Tunnel nutzen, durch die wieder beliebige Protokolle und Daten wandern. Der Artikel ab Seite 38 klärt auf, wie flexibel die Techniken ausfallen, und ab Seite 46 ist zu lesen, wie das bei OpenVPN funktioniert. Ersterer verrät außerdem den Admins, welche Spuren die geheimen Kanäle hinterlassen und welche Schritte dabei helfen, das Durchtunneln der Firewall zu behindern.

Vorsicht Hintertür

Wer sich privater Tunnel bedient, darf nicht vergessen, dass Firewalls primär nicht als Arbeitsbremse oder Abhörstation gedacht sind. Sie erfüllen eine wichtige Aufgabe beim Schutz des internen Netzes. Der Schutz leidet aber unter jedem Tunnel, da die Techniken meist in beide Richtungen funktionieren: Ein arglos eingerichtetes VPN oder eine SSH-Verbindung [5] mit Reverse Portforwarding erweisen sich schnell als Türöffner für Angriffe, die andernfalls an der Firewall scheitern würden.

Das Tunnelende im internen Netz gerät zum idealen Angriffsziel für Cracker. Haben sie einen wehrlosen und normalerweise unbeobachteten Client erst einmal übernommen, ist das komplette Intranet inklusive der Server schutzlos allen weiteren Attacken ausgeliefert. Daher könnte schon der Einsatz eines nicht autorisierten VPN-Tunnels ein handfester Kündigungsgrund sein.

In dieser Situation tut Aufklärung Not. Die Admins sollten sich bewusst sein, dass ihre User problemlos von innen die Firewall überwinden und unter Umständen den Schutz komplett aushebeln können. Unbegründet restriktive Policys fordern nur den Freiheitsdrang der bedrängten Insider heraus. Eine knappe, fundierte Begründung für einen gesperrten Port wirkt gelegentlich Wunder und schont die Nerven beider Seiten.

Die User sollten sich der Risiken ebenfalls bewusst sein, die sie mit den Protokolltricks auf sich nehmen: Sie riskieren eventuell ihren Job. Gleiches gilt für die Admins, wenn sie einen Tunnel übersehen oder sogar provozieren, weil sie auf berechtigte Wünsche nicht reagieren.

Am anderen Ende

Noch trickreicher als der Schutz vor Schnüfflern auf dem Transportweg ist es, als Absender gegenüber dem Empfänger anonym zu bleiben. Der muss schließlich mit dem Absender kommunizieren und die Daten entschlüsseln. Doch auch hierfür haben findige Wissenschaftler einen sicheren Weg ausgetüftelt: Anonymizer arbeiten im Kollektiv zusammen und verschleiern die Herkunft der übermittelten Daten. Wie eine Web-Proxy-Kaskade das schafft, beschreibt der Artikel ab Seite 50. Äquivalente Techniken für elektronische Post fasst der Kasten “Anonyme E-Mail” zusammen.

All die Techniken helfen in Zeiten übertriebener Überwachung die Privatsphäre zu wahren. Wer sich schützt, muss noch lange nichts zu verbergen haben – viele Benutzer von Anonymizern und Verschlüsselungssoftware nutzen die Technik nur aus Prinzip. Wer sie aber missbraucht, um im Schutz der Anonymität Angriffe durchzuführen, schadet der Allgemeinheit doppelt: Durch den Angriff selbst und zudem durch das schlechte Licht, in das er die Technik taucht. Bei verantwortungsvollem Umgang sind Verschlüsselung, private Tunnel und Anonymizer aber wichtige Garanten für einen Rest an Privatsphäre.

Anonyme E-Mail

Neben dem anonymen Surfen mit JAP (Seite 50) ist auch anonymes Mailen möglich ([1], [2]). Die besondere Herausforderung ist dabei, dass auch Antworten auf anonyme Mails so möglich sein sollten, dass sie den Absender erreichen. Bei reinen Webangeboten, die man beispielsweise beim Riot Anonymous Remailer ([3] und Abbildung 1) oder per Suche mit dem Begriff “Anonymous Remailer” haufenweise findet, ist meist keine Antwort möglich. Das klappt über Pseudonyme (im Remailer-Jargon “Nym” genannt).

Der Absender schickt seine Nachricht vom normalen Account an einen Remailer. Der entfernt alle Headerdaten, die auf den Absender schließen lassen, ersetzt sie durch das Pseudonym und leitet die Mail weiter an den nächsten Empfänger. Um die Vertraulichkeit der Nachricht zu wahren, verschlüsselt der Absender die zu anonymisierende Mail üblicherweise mit PGP oder GnuPG. Setzt er mehrere Remailer ein, verwendet er analog zum Vorgehen bei JAP-Mixen mehrere Verschlüsselungsumschläge, in die er seine Nachricht verpackt.

Signiert sollte die Nachricht aus nahe liegenden Gründen nicht sein. Um zudem eine Traffic-Analyse zu erschweren, lassen sich viele Remailer so konfigurieren, dass sie eine einstellbare Zeitspanne warten, bevor sie die Nachricht weiterleiten. So kann der Empfänger die E-Mail auch anhand des Sendezeitpunkts nicht mehr einem Absender zuordnen. Eine ausführliche Gebrauchsanleitung für einen typischen Remailer findet sich zum Beispiel bei [4]. (Tobias Eggendorfer)

Abbildung 1: Der Riot Anonymous Remailer sendet E-Mail anonym an den Empfänger. Die Verbindung zum Webserver ist bereits verschlüsselt, danach verwischen mehrere Mixe die Spuren des Absenders.

Abbildung 1: Der Riot Anonymous Remailer sendet E-Mail anonym an den Empfänger. Die Verbindung zum Webserver ist bereits verschlüsselt, danach verwischen mehrere Mixe die Spuren des Absenders.

Infos

[1] Jens Kubieziel, “Tarnkappen-Post”, Linux-Magazin-Sonderheft 01/05, Seite 76

[2] FAQ zum anonymen Mailen: [http://www.andrebacard.com/remail.html]

[3] Riot Anonymous Remailer: [http://riot.eu.org/anon/]

[4] Anonymous Remailer Help: [http://riot.eu.org/anon/help.txt]

[5] Karl-Heinz Haag und Achim Leitner, Artikelserie zu OpenSSH: Linux-Magazin 05/02, S.56; 07/02, S. 70 und 09/02, S. 72

LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben