Darknet: Die gefährlichen Anonymitätstipps der Drogenhändler
"Jeder Mann braucht einen Code" : Dieser Satz aus der US-Krimiserie The Wire stammt von Omar, einem Straßenräuber, der sich selbst ein eigenes Regelkorsett verpasst hat. Und natürlich hat er recht. Wer im Internet wirklich anonym bleiben will, der muss die richtige Software benutzen, aber auch sonst eine Menge richtigmachen, wie auch unser Privacy-Boxen-Test gezeigt hat.
Im Darknet wird Anonymität besonders geschätzt. Einer der aktuell größten Umschlagplätze ist das Forum Alphabay, das erst vor kurzem durch eine Sicherheitslücke aufgefallen ist, die eigentlich private Nachrichten von Nutzern über eine falsch konfigurierte API auch für Angreifer lesbar machte.
Im Forum der Webseite gibt es eine Reihe von Tipps, die dabei helfen sollen, "perfekte Anonymität" zu erreichen. Wir haben uns angesehen, ob wir davon etwas lernen können. Denn zwar ist der Kauf von Drogen, Waffen und gehackten Accounts über das Internet fraglos strafbar, anonym zu bleiben, ist es aber nicht. Wir mussten allerdings feststellen: Unsere Anonymität würden wir mit diesen Tipps nicht schützen wollen. Es gibt eine ganze Reihe von Fehlern und Missverständnissen.
Zahlreiche Tipps – doch vieles fehlt
Die Tipps auf der Seite reichen von Vorschlägen für die verwendete Software über empfohlene Verhaltensweisen bis hin zur anonymen Bezahlung. Gleich am Anfang machen die Drogenhändler einen Fehler: Sie unterscheiden nicht zwischen Sicherheit und Anonymität. Dieser Unterschied ist aber entscheidend. Denn die Festplatte des eigenen Rechners zu verschlüsseln, schützt zum Beispiel nicht vor einer Identifizierung durch Behörden, während man im Netz ist, sondern kann nur unbefugten Datenzugriff abwehren. Streng genommen sind die Akteure auf einer solchen Plattform, und auch sonst im Netz, in der Regel nicht anonym unterwegs, sondern pseudonym.
Ebenfalls zu Beginn lauert eine weitere Fehlerquelle. Es geht darum, die richtigen Adressen von Darknet-Foren zu finden. Weil die Adressen von Tor-Hidden-Services in der Regel automatisch generierte Hash-Werte sind, können die meisten Menschen sie sich vermutlich schlecht einprägen. Daher wäre es für Angreifer leicht, Nutzern eine gefälschte URL unterzuschieben und sie auf einen gefälschten Marktplatz zu schicken. Aus diesem Grund gibt es eigene Foren, die wiederum die aktuellen Links zu Marktplätzen bereitstellen. Den Marktplatz über Google zu suchen und den Link dann in den Tor-Browser zu kopieren, ist sicher keine gute Idee. Doch dazu steht in der Anleitung nichts. Vermutlich wäre es an dieser Stelle dafür allerdings auch schon zu spät.
Grundsätzlich wird auf Alphabay die Verwendung von Linux empfohlen, was im Prinzip keine schlechte Idee ist. Doch den Nutzern wird vorgegaukelt, dass Regierungsbehörden auf Linux-Systemen keine Staatstrojaner installieren könnten, um die Rechner zu überwachen. Das ist ein gefährliches Missverständnis für jemanden, der aus legitimen Gründen auf Anonymität angewiesen ist.
Keine Überwachung unter Linux?
Es ist zwar richtig, dass der vom BKA entwickelte Bundestrojaner zurzeit nur auf Windows läuft . Doch für kommerziell erhältliche und weit verbreitete Lösungen wie die von Hacking Team und Finfisher gilt das nicht. Ausweislich des offiziellen Werbematerials der Unternehmen lassen sich damit Mac OS X, Linux, Windows, Android, Windows Phone und Symbian infizieren, lediglich bei iOS-Geräten haben manche Lösungen Probleme. Im Fall der Hacking-Team-Software war ein Exploit der zu dem Zeitpunkt aktuellen Version von iOS nur möglich, wenn Nutzer vorher manuell einen Jailbreak durchgeführt hatten.
In den Tipps heißt es außerdem: "Microsoft arbeitet mit den US-Behörden zusammen" . Daher seien alle Lösungen des Unternehmens zu meiden. Nutzer sollten grundsätzlich nur auf Open-Source-Lösungen setzen, wenn sie "perfekte Sicherheit" haben wollten. Denn nur hier könnten Nutzer wirklich überprüfen, ob auch keine Backdoors vorhanden seien.
Open Source allein sorgt nicht für Sicherheit
Auch das ist eine fragwürdige These. Denn nur, weil der Quellcode offenliegt, werden nicht alle Fehler gefunden. Auch die Praxis zeigt, dass kritische Softwarefehler in Open-Source-Projekten über viele Jahre hinweg unentdeckt bleiben können. Wenn dann noch Fehler in zentralen Bibliotheken wie glibc oder im Android-Medienserver auftreten, sind davon zahlreiche Systeme betroffen. Auch Heartbleed blieb lange unentdeckt. Mehrere Fehler in Truecrypt blieben selbst in einem Code-Audit unentdeckt , auch wenn diese letztlich nicht die Verschlüsselung selbst, sondern die Windows-Treiber der Software betrafen.
Außerdem dürften die meisten Nutzer nicht in der Lage sein, den Quellcode selber zu prüfen. Sinnvoll wäre der Einsatz einer Distribution, die Reproducible Builds ermöglicht; das Debian-Projekt ist hier weit fortgeschritten. Reproducible Builds bieten eine beweisbare Sicherheit, die Manipulationen beim Übersetzen des Quellcodes in Binaries ausschließt. Darüber verlieren die Alphabay-Macher aber kein Wort.
Kein Wort zur Überprüfung von ISOs
Auch auf die Möglichkeit, heruntergeladene ISO-Dateien per Hashwert oder Signatur zu überprüfen, um Manipulationen auszuschließen, gehen die Darknet-Händler nicht ein. Wenn die Signaturen unabhängig und gesichert gehostet werden, bieten sie eine gute Möglichkeit, um Manipulationen wie beim Linux-Mint-Projekt zu erkennen.
Nicht ganz überzeugend ist die Empfehlung, auf virtuelle Maschinen zu setzen. VMWare etwa vergibt von sich aus eine gleichbleibende Mac-Adresse(öffnet im neuen Fenster) . Außerdem kann auch der Inhalt einer virtuellen Maschine kompromittiert werden, wenn das Hostsystem mit einem Staatstrojaner infiziert wird. Wer Wert auf Anonymität legt, sollte daher zu einem Live-System greifen, das von einem schreibgeschützten USB-Stick oder besser noch von einer DVD aus gestartet wird. Damit wird sichergestellt, dass tatsächlich keine Logdateien anfallen. Müssen Informationen gespeichert werden, kann dies auf externen, verschlüsselten Medien erledigt werden.
Drogenhändler empfehlen Qubes
Empfohlen wird von der Plattform, aus Sicherheitsgründen, der Einsatz des Linux-Betriebssystems Qubes OS. Mit seinem innovativen Ansatz der Kompartimentierung einzelner Betriebssystembereiche kann Qubes tatsächlich zur Sicherheit beitragen. Doch Nutzer müssen Qubes auch entsprechend nutzen, damit es effektiv wirken kann. Das bedeutet: Nutzung besonders schützenswerter Inhalte nur in einer speziellen virtuellen Maschine. Wird Qubes einfach genutzt wie ein normales Betriebssystem, ist der Effekt für Sicherheit und Anonymität gering. Problematisch an Qubes ist zudem, dass es nur auf recht spezieller und sehr leistungsfähiger Hardware läuft.
Praxisnäher dürfte daher der Einsatz von Live-Betriebssystemen wie Tails, Whonix oder dem Ubuntu Privacy Remix sein. Das Linux-Betriebssystem Subgraph könnte eine weitere interessante Alternative werden, derzeit befindet sich die Software aber noch im Betastadium. Tails bietet neben der eingebauten Tor-Unterstützung von Haus aus Mac-Adress-Spoofing an, verschleiert also nicht nur die IP-Adresse, sondern auch die Netzwerkadresse der Hardware. Mit der eindeutigen Mac-Adresse lassen sich Rechner über verschiedene Netzwerke verfolgen.
Der kanadische Geheimdienst CESG soll diese Technik angeblich genutzt haben, um die Bewegungen von Verdächtigen zu überwachen(öffnet im neuen Fenster) . Doch das Spoofing von Mac-Adressen ist nicht nur nützlich, um sich vor Geheimdiensten zu verstecken. Viele Hotspots, die einen kostenfreien Internetzugang für eine bestimmte Zeit anbieten, speichern zu diesem Zweck die Mac-Adresse des verwendeten Geräts. Mit einer neuen Adresse beginnt die Zeit von vorne.
Empfohlen wird auch, keine Überraschung, der Einsatz von Verschlüsselung. Innerhalb der Linux-Partition sollen Nutzer "all ihren illegalen Kram in einen Truecrypt-Container packen" . Dazu wird entweder die nicht mehr gepflegte Verschlüsselungssoftware Truecrypt oder der Nachfolger Veracrypt empfohlen. Zusätzlich soll die gesamte Partition mit Hilfe der in vielen Distributionen mitgelieferten Software LUKS verschlüsselt werden. Dateien auf dem eigenen Rechner zu verschlüsseln, ist sicher eine gute Idee – doch mit dem Schutz der eigenen Anonymität beim Surfen hat das eher wenig zu tun.
Risiken im Tor-Netzwerk
Ein weiteres Risiko, das in dem Text überhaupt nicht erwähnt wird, ist die Nutzung des Tor-Netzwerks selbst. Marktplätze wie Alphabay sind nur über Tor erreichbar. In der Vergangenheit gelang es Behörden und Forschungsinstituten mehrfach, genügend Knotenpunkte im Tor-Netzwerk zu errichten, um Traffic quer durch das Netzwerk mitzuverfolgen. Diese Art der sogenannten Sibyl-Angriffe soll nach Auskunft der Tor-Betreiber nicht mehr möglich sein, weil ein neues Verfahren eingesetzt werde, um neue Tor-Nodes zu erkennen, wenn diese gehäuft auftauchen.
Eine größere Gefahr aber dürfte die Sicherheit von Hidden-Services selbst sein, meist illegale Dienste, die nur direkt aus dem Tor-Netzwerk zu erreichen sind. Die Hidden-Services sind nach Auskunft einer Tor-Sprecherin für einen relativ geringen Prozentsatz des Traffics verantwortlich, etwa drei Prozent. Doch die Aufmerksamkeit für diese Dienste ist relativ hoch. Innerhalb des Tor-Teams arbeiten aber nur wenige Entwickler aktiv an dem Code für die Dienste. Daher sind in der Vergangenheit immer wieder zum Teil kritische Probleme aufgetaucht, die teilweise auf Softwarefehlern und teilweise auf einer nachlässigen Konfiguration beruhen.
In der Vergangenheit konnten bei falsch konfigurierten Apache-Servern die Log-Dateien von unberechtigten Dritten eingesehen werden, weil Tor-Nodes als Localhost laufen und so die Ausgabe nicht blockierten. So war es möglich, Suchbegriffe bei Darknet-Suchmaschinen mitzulesen oder andere eigentlich private Anfragen der Nutzer mitzulesen.
Tor-Nutzer haben kein Recht auf Privatsphäre, sagen US-Richter
In den USA ist es außerdem stehende Rechtsprechung, dass Tor-Nutzer "keine vernünftige Erwartung von Privatsphäre" haben, wenn sie Tor benutzen. Denn, so ein Richter, die Nutzer würden ihre öffentliche IP-Adresse freiwillig mit dem ersten Knotenpunkt im Netzwerk teilen. Weil die Betreiber der Knotenpunkte aber selbst meist anonym sind und keine Garantien abgeben, sei keine Privatsphäre garantiert.
Mitarbeiter des Tor-Netzwerks bezeichnen diese Argumentation natürlich als absurd. Der "Richter hat nicht verstanden, wie das Tor-Netzwerk funktioniert" , sagte Tor-Mitbegründer Roger Dingledine. Die Rechtsprechung hat nicht nur für US-Nutzer Relevanz. Die US-Bundespolizei FBI hat bei den früheren Ermittlungen beim Untergrundmarktplatz Silkroad auch Informationen über Nutzer in anderen Ländern gefunden und mit den jeweiligen Strafverfolgungsbehörden geteilt.
Wohin mit dem Zeug?
Wenn man sich illegale Güter über das Internet bestellt, bleibt natürlich eine wichtige Frage offen: Wohin mit dem Zeug? Darüber ist im Alphabay-Forum eine heiße Diskussion entbrannt. Einige warnen vor Fake-Adressen ( "Darüber werdet ihr geschnappt" ), die Macher des Marktplatzes empfehlen, Pakete mit der Aufschrift "Zurück an Absender" vor der eigenen Tür zu lagern, wenn man im Drogenrausch doch versehentlich an die eigene Adresse bestellt hat. Die Pakete könnten ruhig "mehrere Wochen" vor der eigenen Haustür gelagert werden. Besonders einleuchtend klingt diese These nicht, insbesondere, wenn geruchsempfindliche Hunde im Haus sind.
Einige Händler wittern in diesem Punkt offenbar ein gutes Geschäft. Mit einem von ihnen angebotenen gefälschten Ausweis könne man wunderbar Postfächer anmieten, in Deutschland wahlweise auch eine Packstation. Fragt sich nur, wohin der gefälschte Ausweis geschickt werden soll ...
Es gibt aber auch sinnvolle Tipps in dem Dokument. So sollten Nutzer des Tor-Browsers Javascript grundsätzlich deaktivieren, wenn es zur Ausführung der besuchten Seite nicht unbedingt erforderlich ist. Ein Konzept zeigt, wie man Tor-Nutzer mit aktiviertem Javascript per Fingerprinting identifizieren oder zumindest eindeutig wiedererkennen kann.
Anonymität ist für jeden unterschiedlich
Es gibt kein allgemein gültiges Rezept für Anonymität. Doch es gibt viele gute Gründe dafür. In vielen Ländern werden Homosexuelle oder Anhänger religiöser Minderheiten verfolgt und mit dem Tod bedroht. Journalisten und Menschenrechtsaktivisten müssen häufig Maßnahmen ergreifen, um sich dem Zugriff repressiver Staaten und Behörden zu entziehen. Auch private Akteure werden mächtiger, obwohl sie keine staatliche Gewalt gegen Menschen ausüben können.
Für jemanden, der sich in Aserbaidschan vor dem Zugriff der Regierung von Ilham Alijew schützen will, ist Gmail als Mailprovider vermutlich keine so schlechte Wahl. Google hat ein eigenes Team, das sich um Hochrisikonutzer kümmert, und mehr Ressourcen, sich mit Sicherheitsfragen zu beschäftigen als viele andere Anbieter. US-Umweltaktivisten hingegen sollten sich vermutlich nach einem anderen Anbieter umsehen.
Wichtig ist es, ein für die individuellen Bedürfnisse maßgeschneidertes Sicherheitskonzept zu entwickeln. Wovor genau will ich mich eigentlich schützen? Welche Mittel brauche ich? Wie kann ich trotzdem noch meiner Arbeit nachgehen?
"Perfekte Anonymität" ist nicht mit einigen einfachen Maßnahmen zu erreichen. Wir jedenfalls würden unsere Anonymität im Ernstfall nicht mit den Tipps der Marktplatz-Betreiber schützen wollen.
In einem Pilotprojekt mit Narando(öffnet im neuen Fenster) vertonen wir in den kommenden Wochen zwei bis drei Golem.de-Artikel pro Woche. Die Texte werden nicht von Robotern, sondern von professionellen Sprechern vorgelesen. Über Feedback unserer Zuhörer freuen wir uns – im Forum oder an redaktion@golem.de.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.