Linksradikale Internet-Infrastruktur, die Basics

+++

In diesem Artikel sollen sicherheitstechnische Aspekte linker Infrastruktur im Internet reflektiert werden. Wir haben versucht dieses (sehr komplexe) Thema ohne großes Vorwissen verständlich zu machen. Wir halten es für sehr wichtig, dass ein breites zumindest grundlegendes Verständnis vorliegt für die Risiken der Methoden, auf die man vertraut. Wir sehen die Gefahr, dass ein unreflektiertes Vertrauen auf scheinbar "todsichere" Methoden eine Fahrlässigkeit in sich bergen kann.

 

Allerdings bleibt es natürlich anzumerken, dass einer der Mechanismen von Repression eben der ist, dass die Angst vor ihr zu lähmender Paranoia wird. Man sollte sich also diesen Text hier durchlesen, um die Risiken und Nebenwirkung politischer Aktion weiter zu minimieren und der Paranoia eine realistische Dimension zu geben.

Noch eine Anmerkung zu den Begriffen: In diesem Text reden wir von Server und Computern; Ersteres meint Computer, die Inhalte an andere Computer "servieren", Letzteres meint Computer, die von Menschen benutzt werden (Desktop-Computer). Mit Hoster meinen wir Anbieter von Servern.

Hoster werden angegriffen

In den letzten Tagen wurden zwei "linke" Hoster von Repressionsbehörden angegriffen. In Deutschland wurde (wieder mal [1]) ein Server von blogsport.de beschlagnahmt [2], in den USA traf es einen Server von riseup.net [3][4]. Beide Anbieter werden gerne genutzt, um politische Sachen zu kommunizieren, also Inhalte, die meist mit Kriminalisierung und Illegalisierung zu rechnen haben.

Blogsport.de eignet sich sowieso nicht dazu irgendwelche illegalisierten Sachen zu veröffentlichen, weil der Server in der direkten Einflusssphäre deutscher Strafverfolgungs- und Geheimdienste steht. Es sprechen noch einige andere Gründe dagegen blogsport.de als Hoster für Projekte zu benutzen, die "strafrechtlich relevante Inhalte" enthalten. Grundlegend ist das Problem nicht, dass die blogsport.de-Betreiber nicht "aufpassen" würden, sondern es ist schlicht und ergreifend nicht ihr Anspruch solch eine Struktur bereitzustellen. [5]

Riseup.net hat diesen Anspruch und ist tatsächlich auch ziemlich gut: Die Server stehen in den USA, wo die rechtlichen Hürden einen Server zu beschlagnahmen entschieden höher sind, als in Deutschland. Außerdem sind die Webserver so konfiguriert, dass sie keine IP-Adressen speichern. [6]

Allerdings können die deutschen Dienste natürlich sehr wohl die Logs ("Aufzeichnungen") der Internetanbieter in Deutschland einsehen (1&1, Telekom etc.) und da steht genau drin wann von wo auf riseup.net zugegriffen wurde.

Beispielsweise könnten Ermittler schauen welcher Internetanschluss an einem bestimmten Zeitpunkt (beispielsweise der Sendezeitpunkt einer Email, die von einer Riseup-Emailadresse stammt) in einem bestimmten Ort (der sich beispielsweise aus dem Inhalt der Email erschließt) eine Verbindung mit riseup.net hatte. Gesetzt dem Fall es handelt sich um eine relativ geringe Bevölkerungsdichte wären die Chancen nicht schlecht einen Treffer zu landen.

Nun müssten die Cops Beweise finden. Da sie an die Server in den USA nicht so leicht rankommen und da sämtliche Kommunikation zwischen Server und Endbenutzer_in verschlüsselt ist/war (oder?) müssen sie einen Computer mitnehmen auf dem beweiskräftiges Material ist.

Persönliche Computer werden angegriffen

Unter diesen Umständen ist es sehr ratsam seine Computer zu verschlüsseln. Und zwar nicht bloß einen Truecrypt Container mit den jeweiligen Daten [7], sondern am besten gleich alles [8]

Aber auch das bietet keine vollständige Sicherheit: Ein einziges aufgeschriebenes oder abgehörtes Passwort für eine verschlüsselte Festplatte kann bei einer Hausdurchsuchung sämtliche Sicherheitsvorkehrungen aushebeln. Es reicht auch, wenn der Computer, der komplett verschlüsselt ist, noch an ist. Genau das ist zum Beispiel Dortmunder Nazis letztens passiert. [9]

Das heißt: Zu der allseits beliebten Rote Hilfe-Broschüre "Hausdurchsuchung. Was tun?" [10] wollen wir noch den einfachen und effektiven Tipp geben: Lasst euren verschlüsselten Computer nicht aus den Augen, wenn er an ist. Wenn die Cops klingeln, so lange auf den An/Aus-Knopf drücken bis der Computer aus ist. (wenn er keine Geräusche mehr macht und der Bildschirm aus ist)

Für Laptop- und insbesondere Netbook-Nutzer_innen: Um Akku zu sparen schalten diese Geräte manchmal nicht aus, sondern gehen nur in den Ruhestand. Das erkennt ihr daran, dass er beim nochmaligen Drücken auf den Aus/An-Knopf direkt zum Login geht, ohne das Passwort für die Festplattenverschlüsselung zu erfordern. Um so etwas zu umgehen, ist es am effektivsten den Akku rauszunehmen. (findet raus was für euch funktioniert, bevor es vielleicht irgendwann zu spät ist)

"Anonyme" und "verschlüsselte" Kontaktformulare

Vielleicht nicht ganz so relevant, aber dennoch ein interessanter Exkurs: Es gibt Anbieter von Kontakformularen im Web, die behaupten verschlüsselte und anonyme Nachrichten weiterzuleiten. Bekanntestes deutsches Beispiel ist privacybox.de. Hier gibt es ganz viele mögliche Lücken, die vor allem technisch bedingt sind. [11]

Dieser Anbieter benutzt PGP für die Verschlüsselung: PGP ist erstmal ziemlich gut, weil es asynchron funktioniert. Das heißt eine Nachricht verschlüsseln kann jede_r, der_die den öffentlichen Schlüssel ("public key") hat, entschlüsseln nur die, die den privaten Schlüssel ("private key") haben. [12]

Aber denoch: "Politische Aktivisten sollten beachten, dass die PrivacyBox von einem deutschen Verein betrieben wird, der bspw. Linken Gruppen keinen Schutz gegen Ermittlungen nach §129a durch das BKA bieten kann. (…) Ich habe die PrivacyBox lange Zeit uneingeschränkt empfohlen. Als Administrator und Haupt­entwickler konnte ich sicher sein, dass keine Daten gespeichert wurden und es keine Kooperation mit Geheimdiensten gab. Im Sommer 2011 hat der Vorstand der GPF gegen meinen Wunsch einen zweiten Administrator für die PrivacyBox bestätigt, der meiner Meinung nach als informeller Mitarbeiter unter dem Decknamen "Sysiphos" für die Dienste arbeitet (neusprech: als "Vertrauensperson"). Der Vorschlag, dass alle Mitglieder des Vorstand inkl. des neu bestätigten Admin eine eides­stattliche Erklärung zur Nicht-Kooperation mit Geheimdiensten abgeben, wurde nicht angenommen." Quelle: [13]

Ein bekannter Fall eines ähnlichen Dienstes, der seine Nutzer_innen an die Cops verraten hat, ist Hushmail. Dieser Anbieter hatte zuerst auch eine Methoden die Nachricht auf dem Computer des Senders zu verschlüsseln (vergleichbar mit der o.g. Javascript-Methode), änderte dies jedoch 2006 und verschlüsselte fortan auf dem eigenen Server. 2007 kam dann raus, dass sie unverschlüsselte Nachrichten an das FBI weitergegeben hatten. [14]

Zusammenfassung

Wir haben verschiedene mögliche Angriffsflächen diskutiert und haben die offensichtlichsten Schwachstellen benannt. Nun sollten wir aus diesem Wissen ein paar Lehren ziehen:
- Es gibt keine unknackbare Verschlüsselung und keine hundertprozentige Anonymität im Internet.
- Ein Server ist ein Server ist ein Server und kann immer durch die jeweiligen Behörden beschlagnahmt werden, egal wo er steht. Dieses Problem können wir nicht lösen, wir können nur Dezentralisieren und so den Schaden einer einzelnen Serverbeschlagnahmung minimieren.
- Verschlüsselte Computer sind nur wirklich verschlossen, wenn sie aus sind.
- Es ist wichtig sich mit dem Thema auseinanderzusetzen, um die Risiken zu minimieren.

Empfehlenswerte Links

Deutschsprachige Hilfeseiten bei Riseup (insbesondere für Emailverschlüsselung, Jabber etc.)
https://we.riseup.net/riseuphelp+de

Einstündiger Vortrag über Hausdurchsuchungen insbesondere bezüglich "Internetkriminalität" von einem Strafverteidiger (Video)
http://media.ccc.de/browse/congress/2006/23C3-1346-de-sie_haben_das_rech...

~ Autonome Antifa Pummeluff ~

 


[1] https://linksunten.indymedia.org/de/node/58596
[2] https://linksunten.indymedia.org/node/28870
[3] https://riseup.net/seizure-2012-april (auf deutsch: https://linksunten.indymedia.org/de/node/58693)
[4] Der Server wurde von einem italienisch Tech-Kollektiv verwaltet und enthält keine riseup.net Daten. Riseup war in diesem Fall nur die mietende Partei.
[5] http://blogsport.de/agb/
[6] https://we.riseup.net/riseuphelp+es/privacy-policy
[7] http://www.truecrypt.org/
[8] Wir empfehlen die vollständige Festplattenverschlüsselung mit einer Ubuntu Alternate-Version. siehe: http://wiki.ubuntuusers.de/System_verschl%C3%BCsseln/Alternate_Installation
[9] http://antifaunion.blogsport.de/2010/11/26/update-razzien-gegen-rechten-...
[10] http://www.rote-hilfe.de/downloads/category/3-rechtshilfe-a-was-tun-wenn...
[11] http://www.mediummagazin.de/archiv/2008-2/10/gefahrliche-luecken-in-der-...
[12] https://de.wikipedia.org/wiki/Pretty_Good_Privacy
[13] https://www.awxcnx.de/handbuch_34.htm
[14] http://www.wired.com/threatlevel/2007/11/encrypted-e-mai/

Zeige Kommentare: ausgeklappt | moderiert

Den bewaffneten Kampf würde ich ja auch nicht per email diskutieren, aber so schlimm wie im Artikel beschrieben ist die Lage nun auch wieder nicht.
Die folgenden Techniken/ Programme helfen schonmal weiter:

Tor (anonym surfen)
https://www.torproject.org/

GnuPG (verschlüsselte Nachrichten)
https://de.wikipedia.org/wiki/Gnupg

SSL/TLS-Verbindungsverschlüsselung
https://de.wikipedia.org/wiki/Transport_Layer_Security

Überprüfung der Zertifikate (bei SSL/TLS notwendig):
https://de.wikipedia.org/wiki/Digitales_Zertifikat


Muss natürlich alles sinnvoll gehandhabt werden...