Sicher im Netz mit Ubuntu

Leider reicht es mit einer einfachen Ubuntu- Installation nicht mehr aus, sicher zu surfen. Ubuntu und Cononical integrieren mittlerweile Spy- Software in die Ubuntu- Distribution. Daher schreibe ich in diesem Artikel, wie ihr euer Ubuntu  “befreien könnt” und euch etwas sicherer im Netz bewegt.

Als erstes befreien wir Ubuntu von von Cononicals Spy- Software (gebt in einem Terminal volgendes ein):

gsettings set com.canonical.Unity.Lenses remote-content-search none; if [ "`/usr/bin/lsb_release -rs`" < '13.10' ]; then sudo apt-get remove -y unity-lens-shopping; else gsettings set com.canonical.Unity.Lenses disabled-scopes "['more_suggestions-amazon.scope', 'more_suggestions-u1ms.scope', 'more_suggestions-populartracks.scope', 'music-musicstore.scope', 'more_suggestions-ebay.scope', 'more_suggestions-ubuntushop.scope', 'more_suggestions-skimlinks.scope']"; fi; echo | sudo tee -a /etc/hosts; echo 127.0.0.1 productsearch.ubuntu.com | sudo tee -a /etc/hosts;

Eine genauere Erklärung findet ihr hier: https://fixubuntu.com/

Um eure IP zu verschleiern installiert ihr bitte Tor. Dazu gibt es zwei Möglichkeiten, einmal Tor aus den Tor- Quellen zu installieren oder die von Ubuntu bereitgestellten Pakete zu verwenden. Ich beschreibe hier die einfachere Variante, Tor aus den Ubuntu- Quellen zu installieren:

sudo apt-get install tor

Alternativ könnt ihr natürlich auch das Tor- Browser Bundle verwenden.

Jetzt stellt ihr bitte euer Firefox und Thunderbird sowie alle anderen Anwendungen wie folgt um (Beispiel Firefox):
firefox_tor
Leider reicht eine Tor Verbindung nicht aus, der DNS muss auch noch umgestellt werden. Daher editiert ihr die /etc/resolv.conf wie folgt:

(Wird nochmal überarbeitet funktioniert nicht)

 

Zum Chatten solltet ihr euch sudo apt-get install pidgin-otr installieren und das OTR- Plugin aktivieren:
otr

Auch Pidgin sollte auf Tor konfiguriert werden in den Proxy- Einstellungen.

Weierhin empfehle ich euch für Firefox die Erweiterungen “Addblock Edge” “No Script” und “HTTPS Everywhere” zu installieren.

Nach diesen Einstellungen, Installationen und Konfigurationen seid ihr zumindest etwas sicherer im Netz.

Sicherer surfen mit dem Apple Safari

Auf Grund des NSA- Skandals und dem Release von “Apple Mavericks” habe ich mir natürlich auch mal den Safari angeschaut. Ich hätte gerne “Sicher surfen mit dem Safari”geschrieben aber …

Leider hat mein kleiner Test eine andere Sprache gesprochen. Wer wirklich sicher surfen möchte, sollte gleich das TOR Browser Bundle benutzen.

Unter Mavericks habe ich es leider nicht geschafft, den JonDoFox zu installieren. So beschränkt sich der Test auf Safari und den Tor Browser. Reiche ich vllt. später mal nach.

Was kann ich also für Safari machen?

  • Privates surfen aktivieren
  • Einstellungen -> Sicherheit: Java Script deaktivieren
  • Einstellungen -> Sicherheit: Pop- Ups unterdrücken
  • Einstellungen -> Sicherheit: vor betrügerischen Inhalt warnen Siehe Link
  • Einstellungen -> Datenschutz: Natürlich erstmal den kompletten Web- Inhalt löschen
  • Einstellungen -> Datenschutz: Cookies unterdrücken am besten immer (Foren etc. funktioniert dann allerdings nicht mehr aber sicher ist sicher)
  • Einstellungen -> Datenschutz: Ortungsdienste immer ablehnen
  • Einstellungen -> Datenschutz: Tracking natürlich ablehnen

8 Punkte, die schon ohne zusätzlicher Software möglich sind.

Man kann aber auch einen Schritt weiter gehen und sich ganz einfach Erweiterungen für den Safari installieren:

einstellungen

 

Unter Security findet man dann die ersten Erweiterungen:

 

Bildschirmfoto 2013-10-24 um 14.42.05

 

Ich empfehle folgende Erweiterungen (linke Seite):

Bildschirmfoto 2013-10-24 um 14.32.43

Bei meinem Test habe ich aber festgestellt, dass der AVG Do Not Track besser ist als der DoNotTrackMe.

Mit den installierten Add-Ons sollte es dann in der Symbolleiste neue Icons geben:

Bildschirmfoto 2013-10-24 um 14.31.04

 

Der Test allerdings, mit installierten Erweiterungen und über eine TOR- Verbindung (die zufälligerweise über Deutschland ging), fällt trotz deaktivierten Cookies und Java Script und Plug- Ins ernüchternd aus:

Bildschirmfoto 2013-10-26 um 22.12.30

 

Arch Linux – statisches DNS – überschreiben der “/etc/resolv.conf” verhindern

Ich hatte ja im letzten Beitrag geschrieben, dass die /etc/resolv.conf beim abholen einer IP- Adresse via DHCP überschrieben wird. Dieses kann man aber verhindern, in dem man erstmal die /etc/resolv.conf z.B. mit IP Adressen von http://www.opennicproject.org/ editiert.

Bei mir sieht das dann so aus:

# Generated by resolvconf
nameserver 46.182.18.228
nameserver 5.9.28.125
nameserver 78.138.97.33

Dann editiert man den Eintrag nohook resolv.conf in der /etc/dhcpcd.conf.

Damit wird dann die /etc/resolv.conf nicht mehr überschrieben und die statischen DNS- Einträge bleiben erhalten.

Hinweis: sollte man einen grafischen Netzwerk- Manager verwenden und hier die DNS- Einträge manuell konfiguriert haben, ist dieses nicht erforderlich.

Tor – auch bitte den DNS anonymisieren! – Vorsicht bei der FritzBox

Seit einigen Wochen surfe ich ausschließlich über Tor. Tor ist auf jedem Computer installiert und in den Programmen werden die Proxys eingestellt. Doch ein Problem hatte ich nicht bedacht, die IP wird zwar über Tor anonymisiert aber der DNS (Domain Name Service) nicht.

Wer über Tor surft, sollte unbedingt auch sicherstellen, dass der DNS anonymisiet wird.

Über den DNS ist zumindest der eigene Provider und Host ermittelbar. Das will man natürlich nicht.

Prüfen ob der eigene DNS betroffen ist kann man hier: https://www.dnsleaktest.com/

Sollte hier der eigene Provider bei einer JonDo, VPN oder Tor Verbindung erscheinen, ist es höchste Eisenbahn auch den eigenen DNS unkenntlich zu machen.

Man kann natürlich auch jeden anderen DNS- Server nehmen oder sich an http://www.opennicproject.org/ orientieren. Wie man einen DNS ändert, sollte allgemein bekannt sein, zur Not auf der Seite nochmal in die “Guides” gucken.

Ich benutze dazu (unter Arch Linux) wicd-curses. Hier sind drei DNS- Server von der Seite http://www.opennicproject.org
gespeichert und werden nach einem Boot oder Reeboot aktiviert.

Vorsicht bei der Fritzbox – die Fritzbox überschreibt die /etc/resolv.conf: UPDATE: eine Lösung gibt es hier

Der Grund warum ich nach einem Neustart nochmal die DNS Server aktivieren muss, liegt an der Fritzbox. Ich weiß derzeitig nicht warum aber sobald sich der Computer über DHCP eine IP- Adresse holt, wird automatisch die /etc/resolv.conf überschrieben und der DNS “192.168.178.1” vom Router eingetragen.

 

Weechat und Tor Konfiguration für IRC Freenode – hier mal meine irc.conf

Ich habe lange Zeit für IRC IRSSI benutzt, allerdings ist Weechat für Tor einfacher zu konfigurieren.

Daher hier mal meine irc.conf (befindet sich in ~/.weechat) – rot markierte Einträge bitte anpassen, Text in Klammern bitte nicht übernehmen:


#
# irc.conf -- weechat v0.4.2
#
[look]
buffer_switch_autojoin = on
buffer_switch_join = on
color_nicks_in_names = off
color_nicks_in_nicklist = off
color_nicks_in_server_messages = on
color_pv_nick_like_channel = on
ctcp_time_format = "%a, %d %b %Y %T %z"
display_away = local
display_ctcp_blocked = on
display_ctcp_reply = on
display_ctcp_unknown = on
display_host_join = on
display_host_join_local = on
display_host_quit = on
display_join_message = "329,332,333,366"
display_old_topic = on
display_pv_away_once = on
display_pv_back = on
highlight_channel = "$nick"
highlight_pv = "$nick"
highlight_server = "$nick"
highlight_tags = "irc_privmsg,irc_notice"
item_away_message = on
item_channel_modes_hide_key = off
item_display_server = buffer_plugin
item_nick_modes = on
item_nick_prefix = on
msgbuffer_fallback = current
new_channel_position = none
new_pv_position = none
nick_color_force = ""
nick_color_hash = sum
nick_color_stop_chars = "_|["
nick_completion_smart = speakers
nick_mode = prefix
nick_mode_empty = off
nicks_hide_password = "nickserv"
notice_as_pv = auto
notice_welcome_redirect = on
notify_tags_ison = "notify_message"
notify_tags_whois = "notify_message"
part_closes_buffer = off
pv_buffer = independent
pv_tags = "notify_private"
raw_messages = 256
server_buffer = merge_with_core
smart_filter = on
smart_filter_delay = 5
smart_filter_join = on
smart_filter_join_unmask = 30
smart_filter_nick = on
smart_filter_quit = on
topic_strip_colors = off
[color]
input_nick = lightcyan
item_away = yellow
item_channel_modes = default
item_lag_counting = default
item_lag_finished = yellow
message_join = green
message_quit = red
mirc_remap = "1,-1:darkgray"
nick_prefixes = "q:lightred;a:lightcyan;o:lightgreen;h:lightmagenta;v:yellow;*:lightblue"
notice = green
reason_quit = default
topic_new = white
topic_old = darkgray
[network]
alternate_nick = on
autoreconnect_delay_growing = 2
autoreconnect_delay_max = 1800
colors_receive = on
colors_send = on
lag_check = 60
lag_min_show = 500
lag_reconnect = 0
lag_refresh_interval = 1
notify_check_ison = 1
notify_check_whois = 5
send_unknown_commands = off
whois_double_nick = on
[msgbuffer]
[ctcp]
[ignore]
[server_default]
addresses = ""
anti_flood_prio_high = 2
anti_flood_prio_low = 2
autoconnect = off
autojoin = ""
autoreconnect = on
autoreconnect_delay = 10
autorejoin = off
autorejoin_delay = 30
away_check = 0
away_check_max_nicks = 25
capabilities = ""
command = ""
command_delay = 0
connection_timeout = 60
default_msg_part = "WeeChat %v"
default_msg_quit = "WeeChat %v"
ipv6 = on
local_hostname = ""
nicks = "yournick,user1,user2,user3,user4"
notify = ""
password = ""
proxy = ""
realname = ""
sasl_mechanism = plain
sasl_password = ""
sasl_timeout = 15
sasl_username = ""
ssl = off
ssl_cert = ""
ssl_dhkey_size = 2048
ssl_priorities = "NORMAL"
ssl_verify = on
username = "user"
[server]
freenode.addresses = "chat.freenode.net/6667"
freenode.proxy
freenode.ipv6
freenode.ssl
freenode.ssl_cert
freenode.ssl_priorities
freenode.ssl_dhkey_size
freenode.ssl_verify
freenode.password
freenode.capabilities
freenode.sasl_mechanism
freenode.sasl_username
freenode.sasl_password
freenode.sasl_timeout
freenode.autoconnect
freenode.autoreconnect
freenode.autoreconnect_delay
freenode.nicks
freenode.username = "yournick"
freenode.realname
freenode.local_hostname
freenode.command
freenode.command_delay
freenode.autojoin
freenode.autorejoin
freenode.autorejoin_delay
freenode.connection_timeout
freenode.anti_flood_prio_high
freenode.anti_flood_prio_low
freenode.away_check
freenode.away_check_max_nicks
freenode.default_msg_part
freenode.default_msg_quit
freenode.notify
freenode-tor.addresses = "lbkwyb2csfcgoxwa.onion"
freenode-tor.proxy = "tor"
freenode-tor.ipv6
freenode-tor.ssl
freenode-tor.ssl_cert
freenode-tor.ssl_priorities
freenode-tor.ssl_dhkey_size
freenode-tor.ssl_verify
freenode-tor.password
freenode-tor.capabilities
freenode-tor.sasl_mechanism = dh-blowfish
freenode-tor.sasl_username = "yournick"(kann bei bedarf leer bleiben)
freenode-tor.sasl_password = "xxx" (kann bei bedarf leer bleiben)
freenode-tor.sasl_timeout
freenode-tor.autoconnect = on
freenode-tor.autoreconnect
freenode-tor.autoreconnect_delay
freenode-tor.nicks = "yournick"
freenode-tor.username
freenode-tor.realname
freenode-tor.local_hostname
freenode-tor.command = "/msg nickserv idenitfy xxxxx" (kann bei bedarf leer bleiben)
freenode-tor.command_delay
freenode-tor.autojoin = "#kame,#archlinux.de,#debian.de,#linuxbbq (beispiel)
freenode-tor.autorejoin
freenode-tor.autorejoin_delay
freenode-tor.connection_timeout
freenode-tor.anti_flood_prio_high
freenode-tor.anti_flood_prio_low
freenode-tor.away_check
freenode-tor.away_check_max_nicks
freenode-tor.default_msg_part
freenode-tor.default_msg_quit
freenode-tor.notify

Teilweise funktioniert nicht immer der selber Server, dann bekommt man kein “connect”.  Daher muss diese Zeile hier:

freenode-tor.addresses = “lbkwyb2csfcgoxwa.onion

ausgetauscht werden in:

p4fsi4ockecnea7l.onion
lgttsalmpw3qo4no.onion
5jebommkgbfl6agc.onion
lbkwyb2csfcgoxwa.onion

Tor stinkt nicht!

Am Wochenende ging es mal wieder “rund” um Tor. Geleakte Dokumente beschreiben die Arbeit der NSA, wie sie Tor- User deanonymisieren können oder besser wollen. Was machen sie also?

  • eigene Tor Exit- Nodes erstellen
  • Browserschadcode dem verdächtigen einschläusen um ihn 100%tig verfolgen zu können

Weiterhin schreiben sie aber in ihren internenen Dokumenten, dass es schwierig ist, überhaupt alle User zu identifizieren oder verdächtige Personen ausfindig zu machen:nsa_tor_2

Das sie Exit- Nodes erstellen, das kann man schwer verhinden, die einzige Möglichkeit sehe ich hier darin, dass das Tor Project die Exit Nodes, die IPs etc. immer wieder überprüft.

Die @runasand schreibt, dass zwischen 2007-2013 folgende Exit- Nodes von der NSA betrieben wurden:

Between 2007 and 2013, the NSA ran Tor relays with nicknames freedomnet, freedomnetwork, and freedomnet01-10.

Abhilfe schafft ihr aber auch wieder ein ganz einfaches Prinzip, in dem es viel mehr Tor- (Exit) Nodes gibt. Erstelle Du heute noch ein, und wenn du nur das Browser Bundle einfach mitlaufen lässt.

Der zweite Punkt ist dann eher wieder unschön, sie versuchen über Cookies, Flash und Java Script Browser- Sicherheitslücken zu finden um ihren Schadcode einzufügen. Blöd ist dabei aber, dass die Tor, Tails, Jondonym Browser Bundle, von Haus aus gar kein Java- Script, Flash und Cookies aktiviert haben.

Früher hat die NSA dazu beigetragen Sicherheitslücken zu schließen, heute nutzen sie sie gegen die eigene Bevölkerung aus. Fragt sich wer hier kriminell ist?!

Übrigens fällt mir auf, dass von JonDo, I2P und auch GnuNet bisher nicht die Rede ist.

Eine weitere Abhilfe anonym sich im Internet zu bewegen schaffen Community- Funknetze. Die sind relativ einfach zu erstellen und das Thema Funk und IP ohne Provider bekommt einen ganz neuen Stellenwert.

Je mehr Leute Tor benutzen, um so sicherer wird das Tor- Netzwerk.

Tor stinkt nicht!

 

Quellenangaben:
Heise: Tor stinkt
Sammlung der NSA geleakten Dokumente und Berichterstattungen
Heise: Community-Funknetze als Überwachungs-Gegengift