PRISM? Nein, danke! Wer nicht will, der muss nicht: PRISM-BREAK.org

[Schabooza]

Danke klabaki

Gerade festgestellt ohne Useragent geht Startpages nicht

Sie verwenden möglicherweise eine Browser-Erweiterung zum Schutz der Privatsphäre, die mit Startpage nicht kompatibel ist. Deaktivieren Sie diese Erweiterung und wiederholen Sie die Suche. Wenn das Problem dadurch nicht behoben wird, rufen Sie an unter (212) 447-1100 (USA) oder senden eine Problembeschreibung an autoquery @ ixquick.com.

Freut mich, dass das Fingerprinting etwas Beachtung findet.
Wenn ihr übrigens einen zu verhunzten Fingerprint habt, seid ihr unter Umständen wesentlich auffälliger.
Am besten wäre, sich z.B. über Firegloves den populärsten Fingerprint einzustellen, s. auch
http://techblog.willshouse.com/2012/01/03/most-common-user-agents/

Wenn man aber alle Möglichkeiten des Fingerprinting abschöpft, wird man sich wohl wenig schützen können.

Danke für den Verweis auf das Addon

Nochmal zu PGP/GPG - asymmetrische Verschlüsselung:
Wieso darf der public key nicht über einen bekannten Punkt ausgetauscht werden? Wird dann 4096Bit unsicher, wenn beide Publickeys bekannt sind?
Da steckt doch Diffie-Hellmann Exchange als Prinzip dahinter, oder?
Hatte ich bislang für sicher gehalten....

Vorweg bin in Kryptografie nicht ganz so bewandert. Was meinst du mit bekannten Punkt? Bei D-H besteht das Problem der Man in the Middle Attacke, wie auch beim PublicKey. Also jemand leitet die Nachrichten über sein eigenes System und tauscht die Publickeys gegen eigene aus wenn welche getauscht werden.

[Schleicher]

Vorweg bin in Kryptografie nicht ganz so bewandert. Was meinst du mit bekannten Punkt? Bei D-H besteht das Problem der Man in the Middle Attacke, wie auch beim PublicKey. Also jemand leitet die Nachrichten über sein eigenes System und tauscht die Publickeys gegen eigene aus wenn welche getauscht werden.

Deswegen gibt es bei PGP / GnuPG das "Web of Trust"
Du kannst im Key-Manager einstellen wie sehr du dem Schlüssel vertraust.
Und man kann Schlüssel signieren wenn man glaubt das der Schlüssel echt ist.

[Schabooza]

Deswegen gibt es bei PGP / GnuPG das "Web of Trust"
Du kannst im Key-Manager einstellen wie sehr du dem Schlüssel vertraust.
Und man kann Schlüssel signieren wenn man glaubt das der Schlüssel echt ist.

Bei meiner Paranoia trauen ich nur Keys die ich persönlich erhalte. Die Idee von WOT finde ich ganz gut, und vielleicht fehlt es mir an Wissen darüber aber so wie ich es momentan sehe ist es einfach zu anfällig durch Benutzer die leichtfertig damit umgehen. 

[BeeCoin]

Vorweg bin in Kryptografie nicht ganz so bewandert. Was meinst du mit bekannten Punkt? Bei D-H besteht das Problem der Man in the Middle Attacke, wie auch beim PublicKey. Also jemand leitet die Nachrichten über sein eigenes System und tauscht die Publickeys gegen eigene aus wenn welche getauscht werden.

Deswegen gibt es bei PGP / GnuPG das "Web of Trust"
Du kannst im Key-Manager einstellen wie sehr du dem Schlüssel vertraust.
Und man kann Schlüssel signieren wenn man glaubt das der Schlüssel echt ist.

OK, Man in the Middle ist grundsätzlich möglich. Allerdings kann man sich dagegen nicht nur über "absolut sichere" Übermittlung wehren. Man könnte den Fingerprint nochmal z.B. telefonisch verifizieren. Oder man publiziert seinen Publickey so flächendeckend (wie z.B. John), dass es ziemlich witzlos ist. Dann sehe ich eigentlich keine Probleme?

Das ganze Keyserver und vor allem WOT Konzept finde ich besch... äh sehr sub-optimal
Per WoT lieferst Du jedem weltweit eine Liste Deiner engsten/vertraulichsten Kontakte. Das ist für mich Facebook-GAU hoch 10!
Und ein Keyserver ist auch bestenfalls eine reine Spam-Schleuder.
Ich verbiete es meinen Kontakten, mir zu vertrauen!
Und persönlich könnte ich auf zentrale Keyserver verzichten. Alternativ wäre ein Keyserver eine gute Idee, der nur ordentlich gehashte Email-Adressen abfragen lässt.

Zu Fingerprinting: Wenn ihr Alternativen zu Firegloves kennt, bitte posten. Das Tool wird nicht mehr weitergepflegt...

[Schleicher]

Diese Seite gibt's noch:
http://bfp.henning-tillmann.de/
Allerdings wird da kein Score angezeigt oder so, einfach nur ne Liste mit den Daten.

[BeeCoin]

Mir fällt auf, dass gefühlte 95% der Schwachstellen auf JavaScript, Java oder Flash zurückzuführen sind. Ich empfehle, alle drei genannten Übeltäter zu deaktivieren/deinstallieren.
Dann kann man sich voll auf die verbleibenden 5% konzentrieren, zum Beispiel: Die CSS-History-Schwäche:

Meine Hauptsorge ist eigentlich, dass sich Google, Amazon & co bald (oder jetzt schon?) nicht mehr über Cookies die Benutzerprofile tracken, sondern über Fingerprinting.
Daher brauche ich es sogar vielleicht noch mehr für den Alltagsgebrauch mit (leider) Javascript.

[Nik1ab]

Endlich mal Menschen, die sich nicht freiwillig ausspionieren lassen!

[Chefin]

In diesem Artikel der EFF wird TorButton an mehreren Stellen empfohlen (S. 14 & 16):

https://panopticlick.eff.org/browser-uniqueness.pdf

Allgemein ist dieser Artikel sehr lesenswert! Die Referenzen 15 und 19 zum Thema TorButton möchte ich nochmal hervorheben:

Hier findet man die Folien zu einer Präsentation über mögliche Schwachstellen des Tor Browser Bundles, sowie ein Verzeichnis mit Online-Demos, die diese Schwachstellen ausnutzen:

15.: http://pseudo-flaw.net/content/defcon/ Das ist wichtiger Lesestoff für alle Tor-Benutzer!!

Und hier die Dokumentation zu TorButton - man sieht, dass bereits gegen einige (aber nicht alle, z.B. .noconnect-Timing fehlt) von diesen Schwachstellen vorgegangen wird:

19.: https://www.torproject.org/torbutton/design

Mir fällt auf, dass gefühlte 95% der Schwachstellen auf JavaScript, Java oder Flash zurückzuführen sind. Ich empfehle, alle drei genannten Übeltäter zu deaktivieren/deinstallieren.
Dann kann man sich voll auf die verbleibenden 5% konzentrieren, zum Beispiel: Die CSS-History-Schwäche:

http://ha.ckers.org/weird/CSS-history.cgi

...oder Datenlecks im Browser-Cache:

http://crypto.stanford.edu/sameorigin/safecachetest.html

Funktionieren diese beiden Tests bei euch? Bei mir jedenfalls nicht, und ich weiß gerade nicht, ob's an meiner speziellen Browser-Konfiguration liegt (Ich habe History und Cache deaktiviert.), oder ob die Schwachstellen allgemein schon behoben wurden.

99% aller Verkehrsunfälle sind auf Verkehr zurück zu führen.

Mein Satz ist so sinnlos wie deine Ausführung. Was du deaktivieren willst IST das Internet heute. Die Zeiten als HTML den Funktionsumfang von Notepad hatte sind vorbei. Und die kommen auch nicht wieder. Und Bitcoin wirst du auch nicht mehr los, weil ohne die aktiven Inhalte keine Tradingseite mehr funktioniert. Aber grundsätzlich hast du natürlich recht: die Datenlecks im Internet kommen davon das man das Internet benutzt. Wenn man das Internet nicht mehr nutzt sind die Daten für die NSA nicht mehr greifbar.

Man...manchmal möchte ich nur noch schreien: Herr schmeiss Hirn vom Himmel

Herr schmeiss Hirn vom Himmel

[mezzomix]

Aber grundsätzlich hast du natürlich recht: die Datenlecks im Internet kommen davon das man das Internet benutzt. Wenn man das Internet nicht mehr nutzt sind die Daten für die NSA nicht mehr greifbar.

Man...manchmal möchte ich nur noch schreien: Herr schmeiss Hirn vom Himmel

 

Was allerdings funktioniert ist, die angesprochenen Mechanismen und Tools bewusst und konsequent mit einem bestimmten Nutzungsverhalten einzusetzen. Damit werden für as Datamining viele unterschiedliche virtuelle Identitäten angelegt. Allerdings ist auch klar: Ein minimaler Fehler (eine seltene Redewendung in anderem Kontext, das gleiche Suchverhalten, eine exotische Einstellung im Browser/System etc.) und das ganze Kartenhaus stürtzt in sich zusammen.

[Chefin]

Du willst also nachdem wir endich Autobahnen haben mir erklären, das Feldweg fahren völlig ausreicht um ans Ziel zu kommen? Hast ja recht...ich komme ans Ziel.

Aber Sinn macht deine Aussage deswegen immer noch nicht.

[Wed]

Wenn ich das richtig verstanden habe, interessiert die Anzahl der information bits nicht.
Der Wert "one in xxx browsers have the same fingerprint as yours" ist relevant. Je niedriger das xxx, desto anonymer.

Versteh ich es dann richtig das folgendes Ergebnis richtig gut ist?

Your browser fingerprint appears to be unique among the 3,212,164 tested so far.

Currently, we estimate that your browser has a fingerprint that conveys at least 21.62 bits of identifying information.

Wenn ja, tolle Sache und das alles ohne TOR und mit proprietären Systemen

[Chefin]

leider genau umgedreht.

Einer von 10 hat den selben Fingerprint ist gut
Einer von 3 Millionen hat den selben Fingerprint ist schlecht

Deiner ist Unique, also einmalig. damit ist das sowas wie ein Namensschild.

[Wed]

hmm scheiße ^^
aber joa doch, klingt sinnig.
vielleicht sollte ich auch etwas tun

[BeeCoin]

@Klabaki:
Ich denke, Chefin hat schon ein ausreichend gutes Verständnis technisches Verständnis. Das ist glaube ich nicht der Punkt.
(Was soll eigentlich der Hinweis auf turing-vollständig - das sind doch im Prinzip mehr oder weniger alle Programmiersprachen - oder soll das nur Eindruck schinden? )

Ich kann mich noch an gute alte Zeiten erinnern, als ich noch mit einem Mosaic-Browser durch ein reinrassiges HTML-Internet gesurft bin.
Aber  - da gebe ich Chefin recht: die Tage sind leider vorbei!!
In einer der nächsten Firefox Version wird es gar nicht die Option geben, Javascript auszuschalten. Spätestens dann werden sich allmählich die Webdeveloper von JS-freiem Internet verabschieden.
Und ja, mich schaut auch täglich der NoScript-Knopf an. Die Option "Forbid Script Globally" führt mich aber leider im Alltag nicht mehr weit...

[domob]

In einer der nächsten Firefox Version wird es gar nicht die Option geben, Javascript auszuschalten. Spätestens dann werden sich allmählich die Webdeveloper von JS-freiem Internet verabschieden.
Und ja, mich schaut auch täglich der NoScript-Knopf an. Die Option "Forbid Script Globally" führt mich aber leider im Alltag nicht mehr weit...

Ist schon passiert, my Ubuntu-System in der Arbeit hat schon auf Firefox 23 upgedated (zu Hause verwende ich Debian Wheezy, ist mir sympathischer da Canonical in letzter Zeit immer wieder mal "komische" Ideen hatte).  Für mich funktioniert NoScript (mit aktiviertem Blocker) allerdings sehr gut - einige Seiten, die ich regelmäßig verwende, sind auf der Whitelist, und ansonsten kann man JS auch temporär recht leicht für die aktuelle Seite aktivieren wenn man ihr vertraut und feststellt, dass irgendwas nicht geht.

[Chefin]

@klabaki

Kennst du Datex-P? Vermutlich nicht, weil es vor deiner Geburt war. Aber schon damals konnte man Rechner via Fernverbindung hacken.

Später kam BTX, auch da war man nicht sicher.

Dann kam AOL/Compuserve und das Spiel ging weiter.

Irgendwann sagte einer, es gäbe wieder was neues, hacken ging aber immer noch.

Und jetzt kommst du und willst der Welt erzählen was das Internet ist. Meinst du nicht, das du dich da ein bischen übernimmst? Wenn du dich wirklich so als der Kompetenzbolzen hinstellen willst, dann erkläre mal wieso heute das Internet schlechter ist wie es früher war in bezug auf das Thema Sicherheit. Da bin ja ich mal voll gespannt.

Den ich werde dir jedes Argument das du bringst wie Seidenpapier zerreisen. Heute muss ich mich schon anstrengen bis ich einen Rechner hacken kann. Das ging 95 im Internet noch deutlich einfacher. Es gab nichts spaßigeres als wenn im IRC einer mit AOL-IP reinkommt um dann in weniger als 2 Minuten Fischfutter zu sein und wenn er es wagt ein zweites mal zu kommen, konnte er davon ausgehen das er seinen PC neu installieren muss. Und das war gelebte Realität. Wir konnten PCs in der regel in 1-2 minuten kappern. Aber zu holen gabs damals praktisch nichts, finanzielles Interesse bestand auch keines. Es war ein Sport. Aber SICHER war es garantiert nicht.

Was sich geändert hat, ist das Nutzerverhalten, inzwischen wird das halbe Leben am PC abgewickelt und völlig hirnlos dem PC vertraut wie der eigenen Mutter. Und klabaki...du bist hier schliesslich bei Bitcoin, das ist geradezu die Krone des Vertrauens in den PC. Aber man muss eben auch zugestehen, das vieles inzwischen deutlich sicherer geworden ist. Auch wenn dir das alles wie offene Scheunentore vorkommt, so sind es doch eher Mauslöcher im Hochhaus. Die muss man erstmal finden, bevor man in den PC reinkommt. Deswegen findet heute 95% des Hackens durch social engeneering statt. Also man bringt den User dazu, etwas zu klicken. Nur dann hat man Erfolg. Dann sind die technischen Belange dahinter egal. Wenn ich den User dazu bringe etwas anzuklicken, dann wird er verseucht, egal ob er Java-script an oder aus hat. Den er wird es einschalten, wenn er nichts sieht. Er hat ja drauf geklickt WEIL er was sehen will.

Also höre endlich auf, hier weiter mit technischen Gedöns zu kommen. Wenn ich dir einen Werkzeugkasten gebe kannst du sicherlich kein Auto repaprieren. Ein KFZ-Handwerker kann das und zwar mit dem selben Werkzeugkasten. Es ist IMMER der Mensch der entscheidet und der etwas nützliches oder schädliches aus einem Gegenstand macht. Auch aus virtuellen Gegenständen.

Deine Argumentation zielt nur drauf ab, dein Gewissen vom Lernzwang zu befreien. Statt das du lernst mit dem Internet umzugehen suchst du die Schuld beim PC, bei der Software oder sonst wo. Aber damit machst du nichts besser, weil immer noch der selbe Dummkopf(zu verstehen als unwissend) vor dem Monitor sitzt.

[Chefin]

Das ist der Trugschluss: man macht der NSA nichts schwer, weil sie die Daten dort abgreifen, wo sie entstehen. Nicht dort wo sie weiterverarbeitet werden. Einen Internetbackbone anzuzapfen heist direkt die Daten die dein Rechner sendet zu speichern. Egal zu wem und wohin. Und Verschlüsselungen ala HTTPS werden doch sowieso auf dem Webserver sofort entschlüsselt(zum verarbeiten), das ist vorneweg drauf ausgelegt nicht übermässig rechenintensiv zu sein.

Also es hilft nicht mal ansatzweise, irgendwem irgendwas schwer zu machen. Der einzige der es schwer hat ist man selbst, weil man deutlich mehr Aufwand treibt, auf Komfort verzichtet und sich in FALSCHE Sicherheit wiegt.

Zu wissen, das man abhört wird, ändert das verhalten. unschön, aber momentan unvermeidbar. Zu meinen, man hat die Sicherheit wieder hergestellt, sorgt dafür das man sein Verhalten lässt wie es ist und damit dem Staat in die Hände spielt.

http://www.stern.de/panorama/besuch-vom-staatsschutz-nach-facebook-eintrag-wie-ein-griesheimer-ins-visier-der-nsa-geriet-2038324.html

Ein paar Freunde die nichts böses wollten, nichts verbotenes tun, einfach nur mal zeigen, das sie es nicht in ordnung finden. Und das kommt dabei raus. Es scheint als müssten wir in Zukunft wenn die Polizei vor der Türe steht, erstmal einen Anwalt anrufen, bevor man überhaupt Hallo sagt. Und eigentlich war ich immer der meinung, die Polizei wäre dazu da, mich zu schützen. Dafür zahle ich doch Steuern und nicht dafür das ich schon terrorverdächtig bin, wenn ich mal meinen Unmut kund tue.

Die Kommunikation zu Facebook ist 100% HTTPS, also Verschlüsselt. Prism-break.org verkauft Schlangenöl...zumindest wenn man den Begriff nicht zu eng fasst. Nutzloses zeugs, das einem nicht hilft. Es spielt absolut keine Rolle welchen Browser ich benutze, welches Mailprogramm und welches Chatprogramm. Solange ich will das jemand anderes es lesen kann, können es auch die Spione. Mich würde es nichtmal wundern wenn prism-break.org vom Staat käme um zu verhindern, das vieleicht doch noch erfolgreiche Massnahmen entwickelt werden, die zu knacken nicht ohne weiteres möglich sind.

Edit: hatte deinen Einwurf bzgl asymetrischer Verschlüsselung übersehen.

Sicher ist eine Verschlüsselung die symetrisch mit einem sehr fetten Schlüssel gemacht wird. 128Bit dürften momentan noch nicht knackbar sein. Jedenfalls nicht in einer Zeit in für die die Informationen relevant sind. 256Bit ist unknackbar, da die Lebensdauer der Sonne nicht ausreicht, selbst wenn man quantenphysik dazu kalkuliert.

Asymetrische Verschlüsselung und dazu gehört alles was du so aufgezählt hast(öffentlicher Schlüssel und privater Schlüssel) dürften bei 4096 den breakpoint erreicht haben an dem unsere gesamte Existenz nicht ausreicht es zu knacken. Also wären wohl 1024 irgendwann noch knackbar und 2048 theoretisch knackbar. Aber es gibt eine gewaltige Schwachstelle: Der Schlüsseltausch. Dieser DARF nur über einen Weg erfolgen, den die NSA nicht kontrolliert. Damit bleiben nicht viele Wege über. Alles was Handy und Computer heist fällt schonmal raus.

Fall1: man ist noch nicht aufgefallen und wird folglich nur pauschal überwacht
Briefinhalt könnte man noch als halbwegs sicher betrachten, steganografische Briefe sind dann wohl noch 100% sicher. Hat man den key einmal ausgetauscht, darf man der Kommunikation vertrauen.

Fall2: man ist schon im Visier, weil man aufgefallen ist
jetzt dürfte es kompliziert werden. Im Worstcase killt man den Rechner, bzw das Betriebssystem und erzwingt eine Neuinstallation. Spätestens beim ersten Update kann man nun Spionagesoftware unterjubeln und jede Kommunikation abhören. Dann ist auch keine symetrische Verschlüsselung mehr sicher, erst recht keine Asymetrische. Und welche deiner Kumpel alles überwacht werden müssen hat man ja schon anhand der Kontaktdaten, die sich einfach nicht verschlüsseln lassen. Du kannst nicht verschlüsselt meine Adresse auf den Brief schreiben und erwarten das er trotzdem richtig ankommt. Hauptstrasse 3 muss Hauptstrasse 3 bleiben. Und so funktioniert auch das Internet. Man weis, wer mit wem kommuniziert und weis damit wem man überwachen muss. Wo die Paranoia zu hoch ist, wird der dicke Hammer benutzt. jeder Form der elektronischen Kommunikation ist ab jetzt als komprimittiert anzusehen.

Warum? Weil die nicht wissen, ob wir harmlos oder gefährlich sind. Also MÜSSEN sie uns überwachen, um das rauszufinden. Und je stärker wir uns abschotten, desdo mehr der Verdacht wir hätten was zu verbergen.

Während ich das schreibe, fällt mir ein Aspekt ein den ich bisher übersehen hatte
Wenn alle oder zumindest ein sehr hoher Prozentsatz anfangen alle Kommunikation zu verschlüsseln, wird es als Merkmal nutzlos. Man weis ja, das nicht 2 Milliarden Menschen potentielle Terroristen sind. Andererseits, wenn die so weiter machen, könnte es doch dazu kommen, das wir 2 Milliarden potentielle Terroristen auf der Welt haben werden. Unter dem Aspekt dieses Merkmal zum Normalen zu machen, lohnt es sich wohl, einiges an Aufwand zu treiben. Wirkung zeitg es aber erst, wenn wirklich viele mitmachen.


Persönlich würde ich aber eher zu neuen Methoden greifen bzw entwickeln. Alles was es so im Mainstream gibt, weis die NSA auch und wird schon lange Strategien entwickelt haben, das zu untergraben. Der Ansatz der ihnen das Leben schwer macht muss aus neuen Ideen kommen. Wiederrum ein grund vorhandene Systeme NICHT zu nutzen.

Ums mal aus der Versenkung zu holen und meine damalige Aussage mit den jetzt bekannt gewordenen Fakten zu untermauern

http://www.heise.de/newsticker/meldung/XKeyscore-Quellcode-Tor-Nutzer-werden-von-der-NSA-als-Extremisten-markiert-und-ueberwacht-2248328.html

Auch wenn vor 1 Jahr viele mich noch als Miesepeter hingestellt haben. Ich hoffe das sich doch die einen oder anderen etwas tiefer mit der Materie beschäftigt haben und sich nicht auf Scheinsicherheit einlassen. Dieser Schritt war logisch und klar erkennbar, wenn man sich in die Lage der NSA versetzt. Ich hatte schon mehrfach geschrieben, NSA sind keine böse Buben in Form der Panzerknacker, die aus innerer Überzeugung böse sind. Es sind Menschen die meinen, das richtige zu tun. Das sie durch falsche Idiologie zu diesem Schluss kommen, merken sie letztendlich nicht. Den falsch und richtig ist immer vom Standpunkt abhängig. Was wir als falsch empfinden empfindet der Täter noch lange nicht genauso.

[Nik1ab]

Als ob das nicht jeder vernünftige Mensch erwartet hätte...

[weglaufbürger]

@Chefin:  Bin nicht so tief drin im Thema, daher Danke für deine umfangreiche Erläuterungen

Als ob das nicht jeder vernünftige Mensch erwartet hätte...

vernünftige Menschen..... wie, wo, wat, gibt`s die wirklich?..... hier?      ....ach, nasowas, naguckemol...  

[Chefin]

Als ob das nicht jeder vernünftige Mensch erwartet hätte...

Naja...wenn man sich die restliche Kommentare auch in anderen threads anschaut kommt man zu zwei möglichen Schlussfolgerungen: entweder haben auch die vernüftigen Menschen das nicht so erwartet oder die Zahl der vernüftigen Menschen ist sehr klein.