Kapitel 4:
Anonym bleiben und sicher kommunizieren

Was meinen Sie, wie anonym und unerkannt Sie sich im Internet bewegen, wenn Sie ganz normale Dinge tun, wie z.B. E-Mails empfangen und versenden, surfen oder online einkaufen? Vermutlich wären Sie verblüfft und entsetzt, wenn Sie wüssten, welche detaillierten Profilinformationen bereits über Sie existieren! Es gibt unglaublich viele Methoden, Ihre Tätigkeiten und Bewegungen im Internet direkt oder indirekt zu verfolgen. Das »denglische« Fachwort hierfür lautet »tracken«, von engl. Track = Weg oder Spur.

Natürlich ist auch den Hackern klar, dass ihre Bewegungen verfolgt werden. Da Hacker selbst auf Informationen aus sind – je sensibler, desto besser –, sind sie natürlich auch gewarnt, dass andere, genau wie sie selbst, ihre Finger ausstrecken, um an Informationen zu gelangen. Ein halbwegs professioneller Hacker trifft eine Menge Vorsichtsmaßnahmen, um sich möglichst anonym im Internet zu bewegen und seine Kommunikation so sicher und geschützt wie möglich zu gestalten. Und genau darum geht es in diesem Kapitel:

• Welche Spuren hinterlassen Sie im Web?

• Anonym durch Proxys

• Virtual Private Networks und SSH-Tunnel nutzen

• SOCKS-Proxy verwenden

• Was steckt hinter dem Deep Web und Darknet?

• Das Tor-Netzwerk als Eingang zum Deep Web

• Sicher kommunizieren mit der Live-Distribution Tails

• Cookies unter Kontrolle

• Anonym mobil unterwegs

Vielleicht fragen Sie sich jetzt, wie viel Sie davon als Pentester bzw. als White Hat Hacker nutzen werden. Tatsächlich werden Sie nicht zwangsläufig auf alle der hier vorgestellten Ressourcen und Technologien zurückgreifen müssen. Andererseits nehmen wir hier die Perspektive eines Angreifers, im Zweifel also eines Black Hat Hackers, ein und müssen lernen, welche Möglichkeiten diesem zur Verfügung stehen. Darüber hinaus bieten sich Ihnen auch unter persönlichen Gesichtspunkten ganz neue Möglichkeiten, Ihre Privatsphäre zu schützen, indem Sie sich die hier vorgestellten Ressourcen und Technologien zu Eigen machen.

4.1   Von Brotkrumen und Leuchtspuren

Wer kennt es nicht: das Märchen von Hänsel und Gretel. Als die beiden von ihrem Vater (angestachelt durch die böse Stiefmutter) im Wald ausgesetzt werden, legt Hänsel Brotkrumen auf dem Weg aus, um später den Weg zurückzufinden. Ärgerlich ist nur, dass auch andere – in diesem Fall die Vögel – diese Brotkrumen finden konnten.

Nun, zugegeben: Der Vergleich hinkt etwas. Aber in der Realität hinterlassen Sie während Ihrer täglichen Arbeit im Internet verschiedene Brotkrumen, die diverse Vögel aufpicken. Im Unterschied zu den Vögeln aus dem Märchen sammeln die »Vögel« im Internet systematisch Ihre Brotkrumen und erstellen damit ein Benutzerprofil. Es ist geradezu fantastisch, was geschickte »Profiler« aus den Informationen Ihrer Bewegungen im Internet herausholen können: Nicht nur, dass Ihnen speziell zugeschnittene Werbung zugesandt wird (hier ist z.B. Amazon ein Meister seines Fachs), sondern es ist oft sogar möglich, durch die Analyse Ihrer Angewohnheiten und regelmäßigen Aktivitäten Ihre Passwörter zu knacken, wenn diese nicht sicher gewählt wurden.

Wir geben tagtäglich enorm viele Informationen preis, wenn wir das Internet nutzen. Wenn wir einmal hinter die Kulissen schauen, tun sich Abgründe auf:

• Webshops und andere Websites verpassen den Browsern Cookies und tracken jede Bewegung auf deren Webpräsenz.

• Provider sammeln Verbindungsdaten und sind teilweise sogar rechtlich dazu verpflichtet, diese personenbezogenen Daten über lange Zeit zu speichern.

• Browser wie Googles Chrome telefonieren nach Hause und übermitteln den gesamten Browserverlauf.

• E-Mails enthalten sogenannte »Tracking-Pixels‌«, auch »Web Bug‌« oder »Tracking Bug« genannt, dies sind kleine, ein Pixel große (unsichtbare) Bilder, die aus dem Web nachgeladen werden und damit das Tracking ermöglichen.

• E-Mails sind per Default im Postkarten-Format, das heißt, jeder kann sie theoretisch lesen, da sie im Klartext übertragen werden.

• Über diverse Malware, die per Drive-by-Download, E-Mail-Anhang oder Exploits eingeschleust wird, können Angreifer auf sensible Daten zugreifen, da diese auf dem lokalen Rechner unverschlüsselt gespeichert werden.

Diese Auflistung ist bei Weitem nicht abschließend, zeigt aber schon deutlich, dass es sinnvoll ist, sich einmal über den »Privacy«-Aspekt Gedanken zu machen. Und es geht hier noch nicht einmal um offizielle Behörden, wie Polizei, Geheimdienst etc. Wenn diese ins Spiel kommen (Stichwort: NSA oder Bundestrojaner), wird es richtig »spannend« für denjenigen, der unter Beobachtung steht.

Tatsache ist, dass Sie im Internet nicht nur Brotkrumen ausstreuen, sondern unter Umständen sogar eine richtige Leuchtspur hinterlassen, die von anderen Personen, Institutionen oder Organisationen teilweise sehr leicht verfolgt werden kann – mit allen Konsequenzen, die sich daraus für Sie ergeben: Das beginnt bei individueller Werbung und endet unter Umständen mit einer Hausdurchsuchung wegen Verdachts des Angriffs auf bestimmte Ziele oder sogar Spionage.

Spätestens seit Edward Snowden und diversen NSA-Skandalen wissen wir um die »Informations-Sammel-Wut« von Geheimdiensten – glauben Sie nicht, dass unsere deutschen Behörden hier anders wären! Auch die Polizei ist mittlerweile ständig im Internet unterwegs und versucht, die bösen Jungs über diesen Weg zu schnappen.

Unter dem Strich könnte es sein, dass Sie als normaler, unbescholtener Bürger wegen für Sie nicht nachvollziehbarer Verbindungen, die die Behörden aufgrund Ihrer »Brotkrumen« bzw. Ihrer »Leuchtspur« herstellen, plötzlich ins Visier der Polizei oder anderer Ermittlungsstellen geraten. Da mögen Sie noch so unschuldig sein – der Besuch einer Website zur falschen Zeit oder die Suche nach bestimmten Begriffen kann bereits dazu führen, dass Sie unschuldigerweise verdächtigt werden.

Es gibt also gute Gründe, sowohl im professionellen als auch im privaten Bereich Vorsicht walten zu lassen. Gerade wir White Hat Hacker bewegen uns oftmals auf Webseiten und suchen nach Dingen, die Aufmerksamkeit erregen könnten und uns verdächtig machen – immerhin nutzen wir dieselben Technologien und Ansätze wie die echten Angreifer, die Black Hats. Der Weg der »offensiven IT-Sicherheit« erfordert also auch für die guten Jungs (und Mädels!) entsprechende Vorsichtsmaßnahmen.

4.2   Proxy-Server – schon mal ein Anfang

Nehmen wir an, Sie haben Geburtstag, feiern eine Party und bekommen Besuch von guten Freunden. Die Musik kommt an, die Stimmung ist gut und alles ist super. Leider haben Sie außer ein paar Snacks nichts Essbares im Haus ... und Ihre Freunde bekommen Hunger!

Als guter Gastgeber übernehmen Sie natürlich die Organisation der Bestellung beim nächsten Pizza-Service. Zunächst nehmen Sie alle gewünschten Menüs entgegen und notieren sie sich – warum will Torsten eigentlich immer »mit extra viel Knoblauch«?

Egal, heute ist Party angesagt, und jeder bekommt das, was er möchte. Sie rufen beim Pizza-Service an und bestellen alle Gerichte auf Ihren Namen und Ihre Adresse. Es dauert nicht lange und der Pizza-Lieferant steht vor Ihrer Tür. Sie öffnen, nehmen den Stapel Pizzas entgegen und bezahlen ihn mit großzügigem Trinkgeld, weil es besonders schnell ging und Ihnen der Typ irgendwie sympathisch ist. Unnötig zu erwähnen, dass die Party ein voller Erfolg wird ...

Warum genau erzählen wir Ihnen das? Ganz einfach: Sie sind ein Proxy! Zumindest gewesen ... an Ihrem (fiktiven) Geburtstag. Was hat der Pizza-Service registriert? Eine Bestellung, die von Ihnen ausging. Der Lieferant wurde von Ihnen begrüßt, Sie haben die Pizzas entgegengenommen und bezahlt. Weder der Lieferant noch der Pizza-Service selbst haben auch nur einen Ihrer Gäste kennengelernt oder auch nur wahrgenommen. So geht Proxy!

»Proxy‌« steht für Stellvertreter. Als Stellvertreter im Internet nimmt ein Proxy-Server Anfragen seitens der Proxy-Clients entgegen und leitet diese in eigenem Namen an das Ziel (in der Regel den Ziel-Webserver) weiter. Dieser »denkt«, er kommuniziere mit dem Proxy, und antwortet diesem. Dass der Proxy die Antwort an seinen Client zurückliefert, weiß der (Web-)Server nicht.

Abb. 4.1: Der Pizza-Proxy ...

Damit erreicht der Client eine gewisse Anonymität. Allerdings gibt es dabei einiges zu beachten. Daher müssen wir uns das mal im Folgenden genauer anschauen.

4.2.1   Grundlagen – so arbeiten Proxys

Vielleicht war die erste Frage, die Ihnen bei diesem Thema eingefallen ist, die folgende: »Wo liegt eigentlich der Unterschied zwischen Network Address Translation‌ (NAT) und einer Proxy-Kommunikation?« Gut, dass Sie fragen! Kurz erklärt, liegt der Hauptunterschied darin, dass ein NAT-Device lediglich die Absender-Adresse im Feld Source IP Address des IP-Headers austauscht, aber das Paket ansonsten nicht anrührt. Die Kommunikation findet nach wie vor direkt zwischen dem Client und dem Server irgendwo im Internet statt.

Dagegen gibt es bei Verwendung eines Proxys zwei Verbindungen: eine vom Proxy-Client zum Proxy-Server und die zweite vom Proxy-Server zum eigentlichen Ziel der Kommunikation. Wir können also sagen, dass der Proxy-Server »Man-in-the-Middle« spielt, ein Konzept, das auch für viele Angriffsszenarien genutzt wird. Der Proxy-Server kann jetzt nämlich diverse Funktionen erfüllen:

• Anonymität sicherstellen: Nach außen tritt nur der Proxy-Server auf, der Client bleibt für den Kommunikationspartner im Internet verborgen.

• Den Client abschirmen: Wird der Proxy angegriffen und kompromittiert, so ist der Client nach wie vor zunächst geschützt. Allerdings gilt dies nur so lange, wie der Proxy-Server nicht für einen Angriff auf die Clients verwendet wird.

• Vor Malware schützen: Proxy-Server – insbesondere Web-Proxys – beherrschen oftmals das Content- und Virenscanning, sodass die Inhalte, die vom Server im Internet geliefert werden, zunächst überprüft werden können. Damit kann der Proxy-Server prüfen, ob die Inhalte ungefährlich sind, und unerwünschte Inhalte herausfiltern.

• Logging: Der Proxy-Server kann jede Kommunikation protokollieren und ermöglicht damit die Nachverfolgung. In vielen Unternehmen ist dies eine obligatorische Maßnahme.

Ja, so ein Proxy ist schon eine tolle Sache! Allerdings ist er auch ein zweischneidiges Schwert: Nutzen Sie einen Proxy, hat sein Betreiber nahezu die volle Kontrolle über Ihre Sitzung mit dem Zielserver: Er kann die Kommunikation mitschneiden, protokollieren und ggf. auch modifizieren.

Auch Proxys, die SSL/TLS-Verschlüsselung (also HTTPS) anbieten, sind nicht per se vertrauenswürdig, da sie als Man-in-the-Middle die Verbindung zwischen Client und Server unterbrechen und in zwei Verbindungen aufbrechen. Das bedeutet, der Client baut eine SSL/TLS-Verbindung zum Proxy auf, dieser entschlüsselt die Daten und verschlüsselt sie in seiner eigenen Verbindung zum Server erneut. Während der Verarbeitung der Daten zwischen den zwei Verbindungen liegen diese unverschlüsselt vor. Einen Lösungsansatz hierfür bieten wir Ihnen in Abschnitt 4.3.

4.2.2   Einen Proxy-Server nutzen

Es gibt zwei grundsätzliche Arten von Proxys‌:

• Normale Proxys, die die Verbindung auf Anfrage des Clients entgegennehmen und als eigene Verbindung weiterleiten

• Transparente Proxys‌, bei denen der Client nicht weiß, dass zwischen ihm und dem Zielsystem noch ein Proxy steht, der die Verbindung für ihn übernimmt

Während beim transparenten Proxy keine Konfiguration auf dem Client notwendig ist, müssen normale Proxys explizit auf dem Client konfiguriert werden. Dies bedeutet, dass der Client proxyfähig sein muss. Das ist nicht selbstverständlich, es gibt durchaus diverse Anwendungen, die nicht in der Lage sind, Proxys zu nutzen.

Vorsicht: Bezeichnungen sind Definitionssache!

Wie Sie in Abschnitt 4.2.3 lernen werden, ist die Definition der Proxy-Typen nicht einheitlich. Dort werden Sie für transparente Proxys eine andere Definition kennenlernen.

Das wohl typischste Beispiel für die Verwendung eines Proxy-Servers ist die Web-Kommunikation via Browser. Jeder gängige Browser unterstützt Proxy-Einstellungen.

Abb. 4.2: Proxy-Einstellungen im Mozilla Firefox

Wie in Abbildung 4.2 zu sehen, können Sie für verschiedene, vom Browser unterstützte, Kommunikationsprotokolle (Ports) bei Bedarf unterschiedliche Proxy-Einstellungen vornehmen, wobei lokale Adressen normalerweise im Feld Kein Proxy für ausgenommen werden sollten. Beachten Sie, dass die Festlegung eines Proxys die folgenden Informationen benötigt:

• IP-Adresse des Proxy-Servers

• Port-Nummer des Proxy-Servers (typische Portnummern sind 3128 und 8080)

• optional: Authentifizierung mittels Benutzername/Kennwort

Erfordert der Proxy eine Authentifizierung, erscheint in den meisten Fällen (Ausnahme: Windows-interne Authentifizierung) ein Popup-Fenster mit der Aufforderung, Benutzername und Kennwort einzugeben.

4.2.3   Öffentliche Proxys in der Praxis

Es gibt zahlreiche freie Proxy-Server im Internet, die nur darauf warten, von Ihnen verwendet zu werden. Schauen wir uns die Praxis an.

Proxys finden

Vielleicht haben Sie sich bis hierher auch schon gefragt, woher Sie geeignete Proxys nehmen sollen? Hier bieten sich diverse Webdienste an, zum Beispiel www.proxy-listen.de. Auf dieser Seite können Sie unter dem Menüpunkt Proxylisten nach passenden Servern suchen und diese in Ihren Browser-Einstellungen eintragen.

Hinweis: Performance-Einbußen bei freien Proxys

Beachten Sie bitte, dass die Performance bei kostenlosen Proxys häufig stark eingeschränkt ist und der Aufbau der Webseiten teilweise länger dauert. Es kann auch vorkommen, dass Sie ein wenig durchprobieren müssen, bis Sie einen gut funktionierenden Proxy-Server gefunden haben.

Interessant ist meist die Unterscheidung zwischen Elite-, anonymen und transparenten Proxys, die für öffentliche Proxy-Server getroffen wird. Demnach sind Elite-Proxys (Level 1) diejenigen, die keine Informationen darüber herausgeben, dass sie als Proxy arbeiten. Das HTTP-Protokoll sieht eine Reihe von Variablen vor, die ein Proxy mitschicken kann, um bestimmte Informationen zu übermitteln. Welche Informationen Ihr Proxy an den Zielserver schickt, lässt sich mit einem Proxychecker prüfen (zum Beispiel unter www.proxy-listen.de/Proxy/Proxychecker.html).

Aktivieren Sie einen Proxy und führen Sie den Proxychecker aus (siehe Abbildung 4.3).

Abb. 4.3: Der Proxychecker ermittelt Ihre Anonymität.

Während ein Elite-Proxy (Level 1) keine Informationen über sich oder den Client an den Server sendet, übermittelt ein transparenter Proxy (Level 3) nicht nur seine Identität als Proxy, sondern dazu auch noch die IP-Adresse des Clients, für den er die Anfrage tätigt ... also Ihre eigene! Das ist ganz sicher kein ausreichender Schutz. Ein anonymer Proxy (Level 2) übermittelt zwar nicht Ihre IP-Adresse, gibt sich allerdings als Proxy zu erkennen. Manche Server blockieren Anfragen von Proxy-Servern, dementsprechend sollten Sie zur Wahrung Ihrer Anonymität und für eine volle Funktion auf Elite-Proxys zurückgreifen.

Proxy Chaining

Die Technik, mehrere Proxy-Server miteinander zu verketten, nennt man »Proxy Chaining‌«. Durch diese Verkettung ist es grundsätzlich möglich, Aktivitäten noch besser zu verschleiern – wenn auch auf Kosten der Performance, da jeder Proxy eine weitere Verzögerung und Bandbreiten-Reduzierung bedeuten kann.

Abb. 4.4: Verkettung mehrerer Proxy-Server

Es verbleiben jedoch Spuren in den Zwischenspeichern der Proxys, die verwendet werden können, um die Aktivitäten des Benutzers zu verfolgen. Je mehr Proxy-Server involviert sind, umso höher ist die Wahrscheinlichkeit, dass ein Anbieter dabei ist, der nicht vertrauenswürdig ist. Daher kann der Benutzer einem falschen Gefühl der Sicherheit zum Opfer fallen.

Damit eine Proxy-Verkettung effektiv die Sicherheit und Anonymität erhöht, sollten folgende Bedingungen erfüllt sein:

• Die Proxys dürfen den Traffic nicht protokollieren, um eine Rückverfolgung zu erschweren. Dies ist jedoch schwer zu überprüfen.

• Die Proxys sollten nichts voneinander wissen – daher sollten Elite-Proxys verwendet werden.

• Um die Sicherheit weiter zu erhöhen, sollten die Proxys in unterschiedlicher Verwaltungshoheit liegen – am besten in verschiedenen Ländern, die nicht unbedingt harmonisch miteinander kooperieren und sich freiwillig derartige Daten übermitteln.

• Der Proxy-Client sollte kein Klartext-Protokoll verwenden (HTTP ohne Verschlüsselung), da sonst der Traffic an anderer Stelle mitgelesen und zurückverfolgt werden kann.

Wie eine solche Proxy-Kette durch Verwendung von kaskadierten Tunneln realisiert werden kann, zeigen wir Ihnen in Abschnitt 4.3.4.

4.2.4   Vor- und Nachteile von Proxy-Servern

Ein entscheidender Vorteil eines Proxy-Servers ist die Anonymisierung: Server, auf die Sie mit Ihrem Client zugreifen, sehen, je nach Anonymisierungslevel, nur die IP-Adresse des Proxys, nicht jedoch Ihre eigene Adresse. Das können Sie z.B. auch nutzen, um die Identität eines anderen Landes anzunehmen. Wenn Sie z.B. aus Deutschland bestimmte YouTube-Videos aus lizenzrechtlichen Gründen nicht anschauen können, nutzen Sie einfach einen Proxy-Server aus einem anderen Land.

Jedoch müssen Sie bei freien Proxy-Servern auch mit Nachteilen rechnen: Zum einen leidet oftmals die Performance deutlich. Je nachdem kann die Verbindung schon mal auf das Niveau einer 28-Kbit-Modemleitung reduziert werden oder die Antwortzeiten in den Sekundenbereich gehen. Darüber hinaus wissen Sie nicht, was der Proxy-Betreiber auf seinem Proxy so alles treibt: Ob er Ihre Kommunikation mitschneidet, sie protokolliert oder vielleicht sogar einen direkten Ausgang zum lokalen Geheimdienst hat, werden Sie wohl nie erfahren. Und auch wenn Sie schon einmal einen gewissen Grad an Anonymität erhalten, so ist es theoretisch dennoch möglich, Ihre Session im Nachhinein auf Sie zurückzuführen. Hier muss der Proxy-Betreiber lediglich dazu überredet werden, seine Verbindungs-Logdaten herauszugeben. Je nach Szenario (und Standort des Betreibers) ist dies mehr oder weniger wahrscheinlich.

Darüber hinaus gibt es diverse Seiten, die bekannte Proxy-Server-Adressen filtern und Zugriffe von diesen Adressen nicht zulassen. Hierzu gehört z.B. Wikipedia. Damit soll in diesem Fall verhindert werden, dass anonym Veränderungen an den Inhalten vorgenommen werden können.

Zudem gibt es einige weitere Szenarien, in denen Sie auf Proxys verzichten sollten. So sollten Sie Online-Shops ausschließlich ohne Verwendung von Proxys nutzen. Ebenso Online-Banking und andere Verbindungen, bei denen Sie geheime und vertrauliche Daten übermitteln. Denn wie schon erwähnt, wissen Sie nie, welche Inhalte Ihrer Kommunikation gerade mitgelesen werden.

Unter dem Strich ist die Verwendung von öffentlich zugänglichen Proxy-Servern eine gute Maßnahme, um Ihre Anonymität zu erhöhen und einen Grundschutz zu etablieren. Es gibt allerdings durchaus noch effektivere Schutzmechanismen.

4.2.5   Proxy-Verwaltung mit FoxyProxy

In der Praxis kommt es häufig vor, dass verschiedene Proxys genutzt werden und die Verwendung von Proxys aktiviert und deaktiviert werden muss. Manuell ist dies mühselig. Daher bietet es sich an, sich Unterstützung bei der Verwaltung seiner Proxys zu holen. Hinter dem niedlichen Namen FoxyProxy‌ verbirgt sich ein Browser-Add-on zur Proxy-Server-Verwaltung.

Abb. 4.5: Das FoxyProxy-Add-on

Wie der Name vermuten lässt, wurde das Add-on primär für den Firefox-Browser entwickelt. Sie finden FoxyProxy in der Add-on-Verwaltung bzw. unter https://addons.mozilla.org/de/firefox/addon/foxyproxy-standard oder unter https://getfoxyproxy.org/downloads. FoxyProxy können Sie sowohl auf Windows als auch auf Linux-Plattformen einsetzen, da es als Browser-Add-on plattformunabhängig ist. Unter Umständen ist ein Update des Browsers notwendig.

4.3   VPN, SSH und Socks – so bleiben Black Hats anonym

So, jetzt mal »Butter bei die Fische«! Wir haben Ihnen bisher einfache Wege vorgestellt, wie Sie Ihre Internet-Kommunikation mehr oder minder anonym gestalten können. Jetzt wollen wir noch einmal einen Blick auf die Realität der Black Hat Hacker und Profis, die wirklich anonym bleiben wollen, werfen. Tatsächlich werden hier deutlich raffiniertere Tricks angewendet, um Anonymität sicherzustellen. Die meisten Techniken können Sie auch (vollkommen ethisch) als White Hat bzw. als mündiger Internetuser nutzen, Sie werden jedoch sehr schnell merken, wo hier die Grenze des Erlaubten liegt.

Die nachfolgend als VPN-Anbieter vorgestellten Lösungen werden auch als »Anonymizer‌« bezeichnet. Dahinter verbirgt sich zweierlei: zum einen das Verstecken der eigenen IP-Adresse durch den Einsatz von Proxy-Systemen. Zum anderen der Schutz der Vertraulichkeit und Privatsphäre durch Verschlüsselungstechnologien. Darüber hinaus gibt es verschiedentlich zusätzliche Features, wie das Verbergen der Original-Absenderadresse in Protokollen wie SMTP oder HTTP. In diesem Zusammenhang filtern diese Systeme ggf. auch andere Informationen, die das Tracking und die Rückverfolgung ermöglichen.

Die nachfolgende Betrachtung beschränkt sich auf die beiden Hauptaufgaben: die Proxy-Funktionalität verbunden mit der Verschlüsselung der Daten.

4.3.1   Virtual Private Networks (VPN)

‌VPNs ermöglichen eine sichere und verschlüsselte Kommunikation zwischen zwei Endpunkten. Die Vorteile liegen auf der Hand: Zum einen kann die Kommunikation nicht mitgelesen werden – ist also vertraulich – und zum anderen wird sichergestellt, dass der richtige Partner »am Ende der Leitung« ist. Letzteres betrifft die Integrität und Authentizität.

In unserem Fall geht es darum, zum einen den Provider als möglichen Horchposten aus dem Spiel zu nehmen, und zum anderen, möglichst anonym mit Systemen im Internet zu kommunizieren. Dabei ist das VPN-Gateway‌ lediglich der Tunnel-Endpunkt, aus dem die eigentliche Kommunikation »herausfällt«. Die Datenpakete werden dann über eine öffentliche IP-Adresse des VPN-Anbieters ins Internet weitergeleitet. Der Zielserver sieht also ausschließlich diese IP-Adresse als Absenderadresse. Hier greifen wieder ähnliche Mechanismen wie beim Proxy-Server, wobei in diesem Szenario meistens NAT zum Einsatz kommt.

Abb. 4.6: Über den VPN-Tunnel kommuniziert Asterix versteckt mit Obelix.

Es gibt verschiedene Technologien, um VPNs zu realisieren. IPsec‌ stellt ein Security-Framework bereit, über das VPNs konfiguriert werden können. Allerdings ist IPsec recht komplex und kompliziert einzurichten.

OpenVPN‌ basiert auf SSL/TLS und wird von VPN-Anbietern häufig besser unterstützt. Die Mehrzahl der Anwender nutzt OpenVPN für ihre Verbindungen. Diese Technologie ist benutzerfreundlicher und deutlich einfacher zu implementieren. Zu den kryptografischen Hintergründen siehe Kapitel 5 Kryptografie und ihre Schwachstellen.

Tipp: Was ist Ihnen Ihre Sicherheit wert?

An dieser Stelle sollten Sie nicht am falschen Ende sparen und bereit sein, eine bestimmte monatliche Gebühr für die Bereitstellung der VPN-Dienste aufzubringen. Es gibt natürlich auch kostenlose Angebote, die Sie zum Einstieg in die Materie einmal testen können. Aber hier gilt dasselbe wie bei Proxy-Diensten: Kostenlose Dienste sind häufig unzuverlässig oder bieten weniger Performance und Wahlmöglichkeiten hinsichtlich der Server-Standorte.

Als Nutzer ohne Kosten haben Sie auch keinerlei Anspruch auf eine bestimmte Service-Qualität. Auch ist die Wahrscheinlichkeit, dass der Admin am VPN-Gateway vielleicht doch mal die Kommunikation mitschneidet, evtl. höher als bei Bezahldiensten, die auf ihre Glaubwürdigkeit angewiesen sind.

Dagegen gibt es eine ganze Reihe von VPN-Dienstleistern, die gegen Gebühr eine Menge zu bieten haben. Nachfolgend gehen wir die Kriterien für Ihre Auswahl durch.

Worauf sollten Sie also bei der Wahl eines VPN-Dienstleisters besonders achten:

• Essenziell für einen VPN-Anbieter ist die Vertrauenswürdigkeit. Der Anbieter sollte viel Wert auf Anonymität legen und insbesondere klarstellen, dass keine Kommunikationssitzungen protokolliert werden. Hierzu führt er seine virtuellen VPN-Gateways optimalerweise in RAM-Disks aus, die eine Protokollierung erschweren, sodass nichts auf einer Festplatte gespeichert wird.

• Darüber hinaus sollte es anonyme Zahlungsmöglichkeiten geben. Hierzu zählen z.B. PaySafe oder Bitcoins (über deren vollständige Anonymität sich sicher streiten lässt).

• Ein großes Plus sind zusätzliche Dienstleistungen wie die Bereitstellung von SOCKS5-Servern (Abschnitt 4.3.3) oder SSH-Tunnel (Abschnitt 4.3.2) sowie Clients für deren Nutzung. Diese Technologien werden wir in diesem Kapitel auch noch näher beleuchten.

• Ein weiteres wichtiges Kriterium ist die Anzahl und Bandbreite der zur Verfügung stehenden Server und deren Standorte. Hacker nutzen gern Systeme in Russland, Asien oder Afrika, da dort die Nachverfolgung durch die Behörden deutlich schwerer ist als auf Servern in Deutschland oder Europa allgemein bzw. den USA.

Tipp: Warum das Gute manchmal doch in der Ferne liegt

Ein deutscher VPN-Anbieter ist an die deutschen Gesetze gebunden und muss ein Mindestmaß an Protokollierung gemäß der Vorratsdatenspeicherung einhalten. Es ist also durchaus empfehlenswert, sich hinsichtlich der Anbieter insbesondere in Ländern umzuschauen, die diesbezüglich weniger restriktive Gesetze haben. Mindestens aber die Server, mit denen Sie sich dann per VPN verbinden, sollten sich in solchen geografischen Regionen befinden.

Zu den zahllosen VPN-Anbietern‌ gehören unter anderem:

• Perfect Privacy (www.perfect-privacy.com)

• PureVPN (www.purevpn.com)

• NordVPN (https://nordvpn.com)

• CyberGhost (www.cyberghostvpn.com)

• ExpressVPN (www.expressvpn.com)

Eine umfangreiche Übersicht über VPN-Anbieter finden Sie auch unter www.vpnanbieter.net. Geben Sie z.B. die Begriffe »vpn anbieter provider« ein, finden Sie bei Google und anderen Suchmaschinen noch eine ganze Menge mehr Tutorials, Übersichten und Vergleiche.

Auch wenn es zum Thema VPN noch diverse andere Aspekte gibt, die insbesondere die Verbindung zu bzw. zwischen privaten, lokalen Netzwerken betreffen, so beschränken wir hier unsere Sichtweise doch auf die Anonymisierung und den Schutz der Kommunikation von Ihrem Endgerät (egal ob PC, Laptop o.Ä.) in das Internet.

4.3.2   SSH-Tunnel

SSH‌ steht für Secure Shell. Vermutlich kennen Sie SSH bereits als Protokoll, mit dem Sie sich mit einem Remote-System verbinden können, um dieses textbasiert zu konfigurieren. Hierzu stellt der SSH-Client eine gesicherte Verbindung (verschlüsselt) zum Zielsystem her, auf dem ein SSH-Server läuft. Dieser stellt eine Shell zur Verfügung, sodass Sie fast nicht unterscheiden können, ob Sie remote oder lokal an dem System arbeiten.

Und jetzt kommt der spannende Teil: Durch SSH können Sie darüber hinaus beliebige andere TCP-Verbindungen tunneln‌. Der Vorteil ist, dass SSH die Kommunikation über starke kryptografische Mechanismen absichert, also verschlüsselt, authentifiziert und die Integrität sicherstellt.

Die Technik dahinter ist sehr interessant: Das Tunneln durch SSH basiert darauf, dass ein Port auf localhost (127.0.0.1) festgelegt wird, der auf ein bestimmtes Ziel (Adresse und Portnummer) gemappt wird. Im Folgenden das Beispiel eines Befehls, der die Konfiguration eines SSH-Clients im Linux-Terminal zeigt:

ssh user@ssh-gw.server.int -L 2500:mail.server.int:25 -N

Der native SSH-Client ssh ist übrigens auf fast jedem Linux-System vorhanden. Was genau passiert in diesem Beispiel?

• Zunächst verbinden Sie sich mit dem Benutzer user auf einen Server mit dem DNS-Namen ssh-gw.server.int (eine Namensauflösung setzen wir hier mal voraus, ansonsten funktioniert auch die Angabe der IP-Adresse des SSH-Servers).

• Mit -L geben wir jetzt den Localhost-Port an. Er lautet 2500. Die Zieladresse, die wir später ansprechen, lautet also 127.0.0.1:2500.

• Wir mappen diesen Port auf das Ziel mail.server.int auf den Remote-Port 25. Wie zu sehen, werden die Angaben durch Doppelpunkt voneinander getrennt: <Localport>:<Zielsystem>:<Zielport>. Wichtig: Auch hier können wir statt mail.server.int eine IP-Adresse angeben.

• Mit -N teilen wir dem SSH-Client mit, dass er am Zielsystem keine Remote-Kommandos ausführen soll, da wir ja nur einen Tunnel für eine andere Anwendung (hier: Mail bzw. SMTP auf Port 25/tcp) benötigen.

Im Ergebnis können Sie jetzt Ihrem Mailclient mitteilen, dass er sich mit 127.0.0.1:2500 verbinden soll, damit er in Wirklichkeit eine Verbindung zu mail.server.int:25 herstellt. Die Verbindung ist bis zum Gateway ssh-gw.server.int per SSH gesichert und wird erst danach ungesichert weitergeleitet (siehe Abbildung 4.7).

Abb. 4.7: Per SSH-Tunnel mit beliebigen Anwendungen kommunizieren

Der SSH-Server dient nun als SSH-Gateway und leitet die Kommunikation mit der eigenen Absenderadresse weiter. Im Umkehrschluss glaubt der Mailserver, er würde mit dem SSH-Gateway kommunizieren.

Hinweis: Das Konzept kann anfangs verwirrend sein

Tatsächlich unterstützt das SSH-Protokoll diese Vorgehensweise von Haus aus ohne spezielle Konfiguration. In Worten ausgedrückt, sagt der SSH-Client dem SSH-Server, wohin dieser die Kommunikation, die über den betreffenden Tunnel ankommt, weiterleiten soll. Der SSH-Server muss dazu nicht weiter konfiguriert werden. Lokal auf dem Client bindet sich der Tunnel an 127.0.0.1:2500.

Wer an dieser Stelle noch nicht genug hat, kann sich noch einmal mit dem »Remote-Port-Tunneling« beschäftigen, mit dem per SSH Reverse-Tunnel aufgebaut werden können. Die Option hierzu lautet -R. Das allerdings ist eine optionale Aufgabe für die ganz engagierten unter unseren Lesern.

Der unter Windows sehr beliebte Freeware-Terminalclient PuTTY‌ unterstützt das SSH-Tunneling‌ ebenfalls. Um das obige Beispiel in PuTTY umzusetzen, wählen Sie das Verbindungsprofil zum SSH-Gateway und setzen dann unter SSH|Tunnels die entsprechenden Werte, wie in Abbildung 4.8 dargestellt.

Abb. 4.8: SSH-Tunneling mit PuTTY

Stellen Sie sicher, dass die Optionen Local und Auto aktiviert sind, und geben Sie den lokalen Port (2500) und das Remote-Ziel (mail.server.int:25) ein. Über einen Klick auf Add wird die Konfiguration hinzugefügt. Eine anschließende Verbindungsaufnahme mit dem gewünschten SSH-Gateway stellt den SSH-Tunnel her, wie oben bereits gezeigt. Danach können Sie z.B. via Telnet vom Windows-System über die Adresse 127.0.0.1:2500 auf den Mailserver zugreifen.

Aufgabe: Erstellen Sie Ihren eigenen SSH-Tunnel im Labor

Etwas aufwendiger, aber spannend: Sie können dieses Konzept einmal selbst testen, indem Sie von einem Windows-System auf Kali Linux als SSH-Gateway zugreifen und den Linux-Multifunktionsserver (192.168.1.213) mit Port 25 als Ziel eintragen. Haben Sie dort einen Mailserver am Start, so können Sie nach der SSH-Verbindung zu Kali anschließend vom Windows-System z.B. via Telnet oder einer zweiten PuTTY-Session auf das Ziel 127.0.0.1:2500 eine Verbindung zum Linux-Mailserver herstellen. Diese wird dann durch SSH getunnelt und der Linux-Mailserver erhält scheinbar eine Anfrage vom Kali-Linux-Gateway. Er wird mit 220 mailserver ESMTP Postfix [...] oder ähnlich antworten. Mit quit beenden Sie die Kommunikation. Später lernen Sie, wie Sie mit dem Mailserver interagieren können.

4.3.3   SOCKS-Proxy

Im Gegensatz zu SSL/TLS und IPsec sowie SSH ist das SOCKS-Protokoll‌ kein eigentliches Tunnelprotokoll, sondern dient als generisches Proxy-Protokoll. Während andere Proxy-Lösungen auf bestimmte Anwendungsprotokolle beschränkt sind, ist es bei SOCKS völlig egal, welche Anwendung über den SOCKS-Proxy gehen soll – SOCKS unterstützt ab der Version 5 sogar UDP als Transportprotokoll.

Einführung

SOCKS nutzt häufig den Port 1080/tcp für den Verbindungsaufbau des SOCKS-Clients zum SOCKS-Proxy. Allerdings ist dieser Port nicht in Stein gemeißelt und wird oft angepasst. Auch für die Kommunikation über UDP wird zunächst der SOCKS-Proxy auf dem festgelegten TCP-Port kontaktiert. Hier geschieht beim Verbindungsaufbau eine Aushandlung bestimmter Parameter (unter anderem unterstützt SOCKS5 auch die Authentifizierung), bevor die UDP-Ports für die Übermittlung der Daten festgelegt werden.

Aufgrund seiner Flexibilität wird SOCKS gern als generischer Proxy verwendet, wenn ein System nicht direkt mit dem Ziel kommunizieren soll. Dies kann zum einen im Rahmen von Firewall-Schutzmechanismen zum Einsatz kommen, zum anderen können wir es nutzen, um anonym mit unserem Client über einen SOCKS-Proxy mit dem Zielsystem im Internet zu kommunizieren, um somit unsere IP-Adresse nicht zu offenbaren.

Wichtig: SOCKS enthält keine Verschlüsselung!

Während es durchaus möglich ist, SOCKS durch sichere, verschlüsselte Kanäle zu tunneln, verfügt SOCKS selbst über keinerlei Verschlüsselungsmechanismen. Daher wird SOCKS in der Regel auch mit anderen Technologien kombiniert, wenn Anonymität erforderlich ist.

Spannend ist nun, wie SOCKS in der Praxis verwendet werden kann. Zum einen benötigen wir einen SOCKS-Proxy. Dieser Dienst wird ebenfalls von diversen VPN-Anbietern bereitgestellt. Außerdem gibt es reine SOCKS-Proxy-Anbieter, die einen solchen Dienst kostenfrei anbieten. Die Website www.socks-proxy.net listet diverse Proxys auf.

Abb. 4.9: Freie SOCKS-Proxys im Internet

Eine weitere Möglichkeit besteht darin, selbst einen SOCKS-Proxy aufzusetzen. Hierzu existiert z.B. unter Linux der Dienst Dante‌. Er liefert sowohl einen SOCKS-Server (Proxy) als auch die Client-Komponente.

SOCKS-Proxy im Browser konfigurieren

Haben Sie einen SOCKS-Proxy ausgewählt, können Sie die Konfiguration auf dem Client vornehmen. Auch wenn es diverse Anwendungsbereiche für SOCKS gibt, so ist die Web-Kommunikation das wahrscheinlichste Szenario in der Praxis. Die meisten Browser unterstützen SOCKS mehr oder minder gut. Nutzen Sie Firefox, gehen Sie in die Verbindungseinstellungen und konfigurieren Sie dort die Verwendung von SOCKS‌, wie in Abbildung 4.10 gezeigt.

Geben Sie unter Manuelle Proxy-Konfiguration den SOCKS-Server und dessen Port ein und wählen Sie die unterstützte SOCKS-Version (4 oder 5). Darüber hinaus können Sie das Häkchen für die Verwendung des SOCKS für DNS-Anfragen setzen, wenn Sie einen entsprechenden DNS-Server (z.B. 8.8.8.8) auf Ihrem System konfiguriert haben und möchten, dass Firefox auch die DNS-Anfragen durch den Proxy leitet. Damit sieht Ihr Provider nicht mehr die DNS-Anfragen, die über ihn ins Internet gelangen.

Beachten Sie bitte, dass Firefox ein sehr einfacher SOCKS-Client ist, der derzeit keine Authentifizierung unterstützt. Es gibt zahlreiche andere Clients, die flexibler sind.

Abb. 4.10: Firefox nutzt SOCKS5 mit externem DNS-Server.

SSH als SOCKS-Proxy

Sie haben SSH‌ und seine Tunnelfähigkeiten ja bereits kennengelernt. Tatsächlich können Sie mit einem kleinen Trick das SSH-Protokoll sogar dazu überreden, den SSH-Server als SOCKS-Proxy zu verwenden. Dazu richten wir einen dynamischen lokalen Port auf dem Localhost ein, über den die SOCKS-Anfragen gesendet werden. Definieren wir wieder 1080 als lokalen Port, sieht die Kommandozeilen-Version des SSH-Clients auf einem Linux-System wie folgt aus:

ssh -D 1080 user@192.168.178.100

Mit PuTTY stellt sich die Konfiguration wie in Abbildung 4.11 dar.

Nun können wir den SOCKS-Proxy auf den SOCKS-Clients entsprechend für localhost:1080 konfigurieren. Abbildung 4.12 zeigt dies wieder am Beispiel von Firefox.

Im Anschluss wird jede Kommunikationsanfrage von Firefox über 127.0.0.1:1080 per SOCKS-Protokoll (durch SSH getunnelt) zum SSH-Server, mit dem Sie sich vorab verbunden haben, transportiert. Der SSH-Server fungiert als SOCKS-Proxy-Server und übermittelt seinerseits die Anfrage mit seiner eigenen IP-Adresse (hier im Beispiel: 192.168.178.100) an den Zielserver.

Abb. 4.11: Aus SSH wird SOCKS.

Abb. 4.12: Firefox wird für SOCKS durch SSH konfiguriert.

Abb. 4.13: SOCKS durch SSH getunnelt

Und: JA! Sie können in dieser Art mit jedem Client, für den Sie einen SOCKS-Proxy konfigurieren können, jedes beliebige Protokoll durch den SOCKS/SSH-Tunnel transportieren – das ist der Vorteil von SOCKS.

4.3.4   Kaskadierung für höchste Anonymität und Vertraulichkeit

Selten verlässt sich ein Angreifer, dem es wirklich auf Anonymität ankommt, nur auf einen Tunnel bzw. eine Technologie. Stattdessen werden die Tunnel und Proxys kaskadiert, um es den Verfolgern so schwer wie möglich zu machen, die echte Identität des Hackers aufzudecken.

Schauen wir doch mal, wie ein Black Hat Hacker in Deutschland vorgehen könnte, um seine Herkunft und Identität möglichst effektiv zu verschleiern:

1. Er besorgt sich einen Zugang zu einem zuverlässigen VPN-Anbieter, der die Sitzungsdaten nicht protokolliert. Hierzu nutzt er eine der (halbwegs) anonymen Bezahlmöglichkeiten, wie z.B. Bitcoins.

2. Per OpenVPN verbindet er sich nun mittels starker Verschlüsselung mit einem VPN-Gateway in Süd-Ostasien, sagen wir Indonesien. Dadurch ist er die lästige Schnüffelei seines (deutschen) Providers los und nimmt erst mal eine indonesische Identität an.

3. Über einen zweiten VPN-Anbieter, der SSH-Tunnel anbietet, verbindet er sich durch seine OpenVPN-Verbindung nach Indonesien mit einem SSH-Gateway in Afrika, sagen wir Ghana, und baut einen SSH-Tunnel dorthin auf. Da auch SSH starke Verschlüsselungsalgorithmen nutzt, ist auch sein OpenVPN-Anbieter aus dem Spiel, selbst wenn dieser Daten mitprotokollieren sollte (was er behauptet, nicht zu tun).

4. Mit seiner neuen Identität aus Ghana baut er durch den SSH-Tunnel, der durch OpenVPN getunnelt wird, eine weitere Verbindung zu einem dritten Anbieter auf, der einen SOCKS-Proxy in Russland unterhält. Über diese SOCKS-Verbindung hat er nun eine russische IP-Adresse.

5. Um dem Ganzen die Krönung aufzusetzen, nutzt er eine weitere Station namens vicSOCK‌. Dies ist ein SOCK-Proxy, der per Malware auf einen Opfer-Rechner (daher vic wie victim) gebracht wurde. Diese vicSOCKs lassen sich in der Szene käuflich erwerben (selbstverständlich auch anonym!) und ermöglichen dem Black Hat an dieser Stelle, über eine weitere SOCKS-Verbindung, die erneut durch die bisherigen Tunnel und Proxy-Verbindungen getunnelt wird, sogar wieder eine deutsche IP-Adresse anzunehmen – nämlich genau dann, wenn der vicSOCK auf einem Computer in Deutschland installiert wurde.

Das genannte Szenario lässt sich – wie Sie sich sicher denken können – noch weiter ausbauen und die Tunnel zulasten der Zuverlässigkeit, Bandbreite und Latenzen weiter kaskadieren. Dass der Hacker ein Interesse haben könnte, wieder von einer vertrauenswürdigen, deutschen IP-Adresse zu kommen, liegt ganz einfach daran, dass viele Serverbetreiber bereits von Haus aus ganze Länder und geografische Regionen und deren IP-Adressbereiche sperren.

Dank Ihres ethischen Kompasses haben Sie sicher bemerkt, dass spätestens bei Punkt 5 Schluss ist mit dem weißen Hut. Darüber hinaus jedoch ist es unserer Meinung nach durchaus nicht unethisch, sich dem Überwachungswahn unserer Gesellschaft zumindest zu einem Teil entziehen zu wollen.

Hinweis: Zusatzmaterial

In einen Praxis-Workshop zeigen wir Ihnen, wie Sie vorgehen können, um einen bereits sehr hohen Anonymitätsgrad und Schutz Ihrer Privatsphäre zu erhalten. Diesen haben wir für Sie unter www.hacking-akademie.de/buch/member zum Download bereitgestellt. Das Passwort für den Zugriff lautet: h4ckm3mber.

4.3.5   Proxifier – Für unwillige Programme

Vielleicht stellen Sie sich die Frage, wie wir mit Programmen umgehen, die nicht Proxy-fähig sind und daher keinen HTTP(S)- oder SOCKS-Proxy ansteuern können. Hierfür und für die Automatisierung der Tunnel- und Proxy-Konfiguration lässt sich das Programm Proxifier‌ einsetzen. Das Programm wird für Windows und macOS angeboten und unterstützt sowohl HTTPS- als auch SOCKS-Proxys. Sie können es einen Monat lang kostenlos testen, anschließend kostet es (derzeit) einmalig rund 40 Dollar. Diese Investition in Ihre Anonymität ist jedoch sehr gut angelegt, da Proxifier kaum Wünsche offenlässt! Hierzu zählen Proxy-Chains, detaillierte Regelwerke für die Proxy-Wahl sowie Traffic-Auswertungsfunktionen. Sie können das Programm unter www.proxifier.com herunterladen. Eine Alternative zu Proxifier ist ProxyCap (www.proxycap.com).

Falls Sie Linux nutzen und z.B. unter Kali eine entsprechende Lösung implementieren möchten, schauen Sie sich am besten einmal das Programm Proxychains‌ an. Es unterstützt das Tor-Netzwerk, JonDonym sowie HTTP- und SOCKS-Server und ist bei Kali Linux vorinstalliert.

Hinweis: Zusatzmaterial

Aus Platzgründen können wir an dieser Stelle den Proxifier nicht eingehender behandeln. Einen Einsteiger-Workshop für die Nutzung von Proxifier können Sie unter www.hacking-akademie.de/buch/member downloaden.

4.4   Deep Web und Darknet – im Untergrund unterwegs

Bisher haben wir Ihnen bereits eine Menge Gründe genannt, warum es für Hacker und andere Teilnehmer am Internet äußerst wichtig ist, anonym und unerkannt zu bleiben. Dabei ging es in erster Linie um beliebige Zugriffe im Internet. Nun werden wir Ihnen weitere Wege zeigen, wie Sie anonym kommunizieren können. Dabei bewegen wir uns in die tieferen Gefilde des Internets.

4.4.1   Wo geht es bitte zum Untergrund?

Es ist ein kalter und ungemütlicher Novembertag, kurz vor Mitternacht. Draußen regnet und stürmt es. Sie sitzen bei minimaler Beleuchtung schon seit vielen Stunden an Ihrem Notebook und arbeiten. Über eine Anonymisierungskette mittels VPN, SSH-Tunneln und SOCKS-Servern sind Sie mit dem Internet verbunden. Sie öffnen einen Browser und geben eine URL ein ... kurze Zeit später geschieht das Unglaubliche: Die gewünschte Webseite wird angezeigt!

Wie, nicht beeindruckt? Okay, verständlich. Schließlich haben wir Ihnen gerade den Aufruf einer ganz normalen Webseite beschrieben – wenn auch unnötigerweise dramatisch ausgeschmückt. Tatsache ist, dass die Webseiten und Webpräsenzen, die wir tagtäglich aufrufen, im sogenannten »Surface Web« beheimatet sind. Dabei handelt es sich um den sichtbaren Teil des Webs. Das ist der Teil, der von Suchmaschinen gefunden, indiziert wird und über Hyperlinks erreichbar gemacht wird und damit der Bereich, den Sie direkt und ohne Umwege bzw. besondere Anforderungen erreichen können.

Doch was wäre, wenn wir Ihnen sagen würden, dass unter dieser Oberfläche ein ganz anderes Netz existiert, das vermutlich noch viel mehr Informationen enthält als das Surface Web? Was wäre, wenn wir Ihnen einen Weg dorthin zeigen könnten und Sie in der Lage wären, dieses Netzwerk auf eigene Faust zu erkunden? Okay, schon wieder zu viel Dramatik, kommen wir zur Sache.

Die Rede ist vom sogenannten »Deep Web‌«. Dabei handelt es sich um Bereiche des World Wide Webs, die nicht über normale Suchmaschinen auffindbar und nur mit besonderen Technologien erreichbar sind. Das Deep Web ist in der Regel derart geschützt, dass Anbieter von Inhalten nicht ohne Weiteres identifiziert und die Webserver, auf denen die Inhalte gehostet werden, lokalisiert werden können. Zudem ist das Deep Web auch kein einheitliches, gesamtheitliches System, sondern fasst all diejenigen Zugangs- und Kommunikationstechnologien zusammen, die verwendet werden, um im Verborgenen Inhalte bereitzustellen und zugänglich zu machen. So gesehen gibt es verschiedene Deep Webs, die über jeweilige Zugangstechnologien erreichbar sind.

Davon zu unterscheiden ist das sogenannte »Darknet‌«. Zwar wird Deep Web und Darknet häufig synonym verwendet, jedoch beschreiben die beiden Begriffe nicht genau dasselbe. Das Darknet ist ein Teil des Deep Webs.

Beim Darknet handelt es sich ebenfalls nicht um ein einzelnes Netzwerk. Stattdessen ist ein Darknet ein Verbund von Systemen, die sich über Peer-to-Peer-Technologien miteinander verbinden. Im Gegensatz zu normalen Peer-to-Peer-Netzwerken ist jedoch eine explizite Einladung bzw. Technologie notwendig, um eingelassen zu werden.

Hinweis: Der Begriff Peer-to-Peer kurz erklärt

Ein Peer-to-Peer-Netzwerk‌ ist ein Netz, bei dem gleichartige Systeme miteinander kommunizieren. Im Gegensatz zu einem Client-Server-Netzwerk, bei dem die Rollen klar verteilt sind. Jeder Peer enthält Daten, die er mit anderen Peers teilt.

Ein Darknet ist so etwas wie eine geschlossene Gesellschaft. Darknets sind in der Regel recht gut geschützt. Im besten Fall kennt die Öffentlichkeit das jeweilige Darknet gar nicht. Doch selbst wenn, kommt man ohne die Einladung eines der Mitglieder oder Kenntnis einer entsprechenden Adresse nicht hinein.

Natürlich haben sowohl das Deep Web als auch Darknets Vor- und Nachteile. Während die Entwickler solcher Technologien betonen, dass es um die freie und zensurfreie Kommunikation gehe und man keinerlei dunkle Absichten hege, werden derartige Netzstrukturen nur allzu gern auch für kriminelle Zwecke verwendet. So ist es immer ein zweischneidiges Schwert, auf das Sie sich als Benutzer eines Untergrund-Netzwerks einlassen. Zum einen finden Sie dort viele interessante Informationen, die Sie in Ihren Studien weiterbringen. Es werden viele unzensierte Inhalte angeboten. Zum anderen kann es sein, dass Sie ganz unvermittelt auf anstößige oder auch verbotene Inhalte stoßen. Achten Sie also sehr genau darauf, wo Sie sich bewegen und welchem Link Sie folgen! In jedem Fall sind derartige Netzwerke ein Mekka für die Hacker-Szene.

4.4.2   Das Tor-Netzwerk

Einer der wichtigsten Wege in das Deep Web ist das Tor-Netzwerk‌. Es stand ursprünglich für »The Onion Router«. Mittlerweile wurde dieses Synonym aufgegeben, der Name »Tor« jedoch beibehalten. Tor basiert auf einem Konzept namens »Zwiebel-Routing‌« (daher der Name: engl. Onion = Zwiebel). Dabei verschlüsselt jeder Knoten die zu sendenden bzw. empfangenen Daten vor der Weiterleitung. Dadurch ergibt sich eine Mehrfach-Verschlüsselung, die sinngemäß in Form einer Zwiebel dargestellt werden kann.

Funktionsweise von Tor

Grob gefasst funktioniert die Tor-Kommunikation folgendermaßen:

1. Die Tor-Software installiert einen sogenannten »Onion-Proxy‌«. Diese Software besteht für den User hauptsächlich aus einem speziell angepassten Firefox-Browser.

2. Der Onion-Proxy lädt von einem per digitaler Signatur authentifizierten Verzeichnisserver eine Liste mit den verfügbaren Tor-Servern (Tor-Knoten) herunter.

3. Bei einer Verbindungsaufnahme werden drei zufällige Knoten ausgewählt, die die Kommunikationskette festlegen. Jeder der Knoten kennt nur seinen vorhergehenden und seinen nachfolgenden Partner. Die Kommunikation wird von jedem Knoten separat verschlüsselt – eine Schicht überdeckt die nächste, wie bei einer Zwiebel, daher der Name.

4. Der letzte Tor-Server in der Kette wird als »Exit-Node« (Austrittsknoten) bezeichnet und kommuniziert direkt mit dem Zielsystem. Dies erfolgt in Klartext.

Dabei werden alle zehn Minuten die Tor-Knoten gewechselt. Abbildung 4.14 verdeutlicht den Prozess.

Abb. 4.14: Die Tor-Kommunikation (Quelle: Wikipedia, Public Domain)

Insoweit ist das Tor-Netzwerk angetreten, um einen hohen Grad an Anonymität zu erreichen – mit großem Erfolg! Es gibt zwar Angriffsvektoren, aber diese basieren darauf, dass ein größerer Teil der Tor-Knoten von entsprechenden Angreifern (z.B. NSA-ähnliche Behörden) kontrolliert und überwacht werden. Da in der Kette jeweils nur der direkte Nachbar erkannt wird und keiner weiß, ob er die Daten jetzt für diesen Nachbarn oder einen dahinterliegenden Knoten transportiert, reicht es nicht aus, einen einzelnen Knoten in dieser Kette zu kontrollieren. Hinzu kommt, dass die Kette alle zehn Minuten gewechselt wird.

Eintritt in das Deep Web bzw. Darknet

Wäre das schon alles, hätten wir Tor als eine normale Alternative zum Thema »Anonymisierung« einbringen können. Doch spannend wird es dadurch, dass Tor im Rahmen seiner Infrastruktur ganz eigene Adressen mit sich bringt: die sogenannten »Onion-Adressen‌«. Dabei handelt es sich um eine spezielle Toplevel-Domain .onion zur Bereitstellung von »Onion Services‌«, also versteckten Diensten (früher als Hidden Services bezeichnet). Onion-Adressen werden nicht im DNS aufgelöst. Sie können jedoch von Diensten innerhalb des Tor-Netzwerks gelesen und interpretiert werden.

Eine Onion-Adresse besteht aus einem Hashwert eines öffentlichen Schlüssels und der entsprechenden Endung. Dies sieht z.B. folgendermaßen aus:

http://3g2upl4pq6kufc4m.onion

Geben Sie diese Adresse in einen Tor-Browser ein, landen Sie übrigens auf einer Suchmaschine namens DuckDuckGo‌. Im Gegensatz zu Google versucht diese Suchmaschine nicht, alles, was möglich ist, über Sie zu erfahren und zu »tracken«. Sie existiert auch im Surface-Web unter www.duckduckgo.com.

Und wie funktioniert der Verbindungsaufbau hinter den Kulissen?

1. Möchte jemand seine Webdienste im Tor-Netzwerk anbieten, erstellt er die entsprechende Webpräsenz auf einem Server.

2. Nun generiert er mithilfe der Tor-Software ein Schlüsselpaar, das auf asymmetrischer Verschlüsselung basiert (siehe Kapitel 5 Kryptografie und ihre Schwachstellen).

3. Der öffentliche Schlüssel der neuen Webpräsenz wird zum Verzeichnisserver gesendet. Zusätzlich werden der betreffenden Webpräsenz einige zufällige Eintrittsknoten im Tor-Netzwerk zugeordnet, die dem Verzeichnisserver ebenfalls mitgeteilt werden.

4. Möchte ein Tor-Client mit der Webpräsenz in Verbindung treten, ruft er die entsprechende Onion-Adresse mit dem Hashwert des betreffenden öffentlichen Schlüssels auf. Über eine Abfrage beim Verzeichnisserver (dieser kann den passenden Datensatz anhand des Hashwerts identifizieren) erhält der Client die Eintrittsknoten für die gewünschte Webpräsenz.

5. Bevor die eigentliche Kommunikation stattfindet, baut der Tor-Client eine Verbindung zu einem zufälligen Tor-Knoten auf, den er als Rendezvous-Punkt bestimmt.

6. Nun erstellt er eine Verbindung zu einem der vom Verzeichnisserver genannten Eintrittsknoten, fragt die gewünschte Webpräsenz an und übermittelt in diesem Zusammenhang auch den Rendezvous-Punkt.

7. Ist der Anbieter bereit, mit dem Tor-Client zu kommunizieren, treffen sie sich auf neutralem Boden (dem Rendezvous-Punkt). Keiner von beiden weiß, woher der andere kommt. Dies ermöglicht sowohl dem Client als auch dem Server Anonymität.

Mithilfe des Onion-Routings, kombiniert mit den Zufalls- und Verschlüsselungsaspekten, bietet Tor eine sehr sichere Infrastruktur, mit der ein hoher Grad an Anonymität und Sicherheit erreicht werden kann.

Tor installieren und verwenden

Vermutlich wollen Sie endlich loslegen und selbst einen Blick in das Deep Web werfen! Also los: Die Tor-Software können Sie von verschiedenen Quellen beziehen, www.torproject.org ist die offizielle Tor-Präsenz im Web.

Abb. 4.15: Die Website des Tor-Projects

Die Tor-Software gibt es für Windows, Linux, macOS und Android. Die Installation ist denkbar einfach und bedarf keiner Erläuterung.

Der erste Start mit Tor

Anschließend finden Sie unter Windows auf dem Desktop ein Symbol für den Tor-Browser. Starten Sie den Tor-Browser, werden Sie zunächst gefragt, ob Sie direkt oder über einen Proxy mit dem Internet verbunden werden möchten.

Sobald Sie eine URL im Browser ansprechen, ruft der Tor-Browser eine Liste mit gültigen Tor-Eintrittsknoten vom Verzeichnisserver ab und wählt einen zufälligen Weg, um ins Tor-Netzwerk zu gelangen. Nachdem sich der Tor-Browser mit dem Tor-Netzwerk verbunden hat, können Sie sich ganz normal im Internet bewegen, wie Sie es aus dem täglichen Leben kennen. Geben Sie also z.B. einfach mal www.torproject.org in die Adresszeile ein. In diesem Fall werden Sie durch das Tor-Netzwerk in das Surface-Web geleitet und kommen dort anonymisiert an.

Über das Schloss-Symbol links neben dem Adressfeld können Sie Ihren derzeitigen Pfad durch das Tor-Netzwerk überprüfen. Über New Circuit for this Site (auf Deutsch: NEUER KANAL FÜR DIESE SEITE) können Sie einen neuen Pfad zu der Website im aktiven Tab aufbauen, ohne den Browser neu zu starten. Der Eintrittsknoten bleibt dabei meistens gleich. Pfade zu anderen Webseiten sind davon nicht betroffen. Möchten Sie einen komplett neuen Pfad für den gesamten Browser erstellen, klicken Sie rechts auf das Besen-Symbol. Dies erfordert einen Neustart des Browsers. Damit wird auch ein neuer Eintrittsknoten gewählt.

Abb. 4.16: Der Tor-Browser

Vorsicht: Aktive Inhalte!

Für den Datenaustausch mit einem Tor-Browser gelten dieselben Grundsätze wie für andere Browser auch: Aktive Inhalte erlauben es den Anbietern unter Umständen, Sie zu tracken und ggf. sogar Malware auf Ihrem System zu installieren. Sie sollten daher besser über den Button Security Level (rechts oben das Schildsymbol) die Einstellungen sicherer machen und Skripts global verbieten. Das Schildsymbol ändert seine Farbe von Weiß zu Schwarz, je nach dem Sicherheitslevel der Einstellung – je sicherer, desto mehr Schwarz.

Der Weg in den Untergrund

Geben Sie nun eine Onion-Adresse ein, werden Sie mit dem Deep Web verbunden. Die gute Frage ist, woher nehmen wir die Onion-Adressen? Es gibt ja keine echte Suchmaschine dafür. Eine gute Anlaufstelle ist das Hidden Wiki unter thehiddenwiki.org. Hier finden Sie eine Reihe von Onion-Adressen, unter anderem auch einen Eintrag für das Hidden Wiki‌ selbst.

Abb. 4.17: Onion-Adressen auf TheHiddenWiki

Diese Onion-Adresse in einem normalen Browser eingegeben führt ins Nirvana. Im Tor-Browser jedoch versteckt sich dahinter eine der bekanntesten Deep-Web-Adressen überhaupt.

Abb. 4.18: Das Hidden Wiki im Deep Web

Bitte beachten Sie, dass es sich hierbei um eine nicht zensierte Webseite handelt. »Nicht zensiert« heißt »nicht zensiert« – es ist hier auch möglich, auf sehr prekäre Webpräsenzen zu gelangen, die sich außerhalb der Gesetze bewegen. Seien Sie also vorsichtig! Nur weil es geht, heißt das nicht, dass man es auch tun sollte oder tun darf! Hören Sie auf Ihren ethischen Kompass und behalten Sie Ihren weißen Hut auf.

Was finde ich im Deep Web?

Tatsächlich finden Sie fast alles im Untergrund. Hier tummeln sich Blogger, Hacker, Hacktivisten, Journalisten und nicht zuletzt eine ganze Reihe von kriminellen Individuen. Wie so oft ist das Schwert zweischneidig: Es schützt eben nicht nur z.B. Journalisten und Blogger, die ansonsten in ihren Heimatländern verfolgt würden, sondern auch diejenigen, die das Deep Web bzw. Darknet missbrauchen. Für Hacker aller Couleur ist es ein wichtiger Platz, um Informationen auszutauschen und sich frei bewegen zu können. Black Hats können über den Untergrund z.B. Zero-Day-Exploits kaufen, also Software-Code, der in der Lage ist, entdeckte, aber bislang noch nicht gefixte Schwachstellen auszunutzen.

Hinweis: Zensur im Internet

Eine immer wieder geführte Diskussion betrifft die Zensur im Internet. Für beide Seiten gibt es triftige, zum Teil ehrbare Gründe. Während die ehrbaren Befürworter der Zensur den Schutz der Rechte von Personen, Institutionen und bestimmter Strukturen, z.B. der Demokratie, im Auge haben und daher gegen kriminelle und anarchische Strukturen vorgehen wollen, gibt es diverse Interessenvertreter, die mit der Zensur in erster Linie ihre Macht stabilisieren und die Inhalte im Internet nach den eigenen Vorstellungen steuern wollen.

Auf der anderen Seite stehen die ehrbaren Gegner der Zensur auf dem Standpunkt, dass das Internet ein Ort der freien, unzensierten Entfaltung und Meinungsäußerung sein sollte und jede Zensur dem zuwiderläuft. Zudem wird argumentiert, dass die Zensur demokratische Strukturen gefährdet und die Gleichschaltung fördert.

Unabhängig davon sind natürlich auch kriminelle Elemente gegen jegliche Zensur, da ihre eigenen Aktivitäten dadurch erschwert werden. Das Problem hierbei ist, dass eine Zensur selten nur eine bestimmte Interessengruppe betrifft, sondern oftmals »das Kind mit dem Bade ausschüttet«, wie es so schön heißt.

Interessanterweise ist auch das Deep Web nicht mehr frei von Zensur – wer auf HiddenWiki z.B. nach Kinderpornografie sucht, findet lediglich einen Hinweis mit dem Masken-Logo der Hacker-Gruppe Anonymous, dass das FBI diese Website unter scharfer Beobachtung hält. Hier wird also aus reinem Selbstschutz interveniert – abgesehen davon, dass Anonymous tatsächlich schon mehrfach gegen kinderpornografische Seiten und deren Besucher vorgegangen ist. Wenn sich die Zensur des Internets auf derartige Fälle beschränken würde, hätten wohl die wenigsten etwas dagegen einzuwenden ...

4.4.3   Das Freenet Project

Eine Alternative zu Tor ist das Freenet-Netzwerk‌. Ähnlich wie Tor basiert es auf kryptografischen Methoden, ist aber als reines Peer-to-Peer-Netzwerk ausgelegt. Damit gibt es keine zentralen Instanzen, Speicherplätze oder sonstige Steuerungsmechanismen. Jeder Knoten, der sich mit dem Freenet verbindet, stellt einen Teil seines Speicherplatzes für die Speicherung von Inhalten in Freenet zur Verfügung. Den Anteil des Speicherplatzes können Sie selbst festlegen. Die gespeicherten Inhalte sind verschlüsselt und damit nicht direkt zugänglich.

Installation von Freenet

Freenet ist unter freenetproject.org verfügbar und kann sowohl unter Windows und macOS als auch unter Linux eingesetzt werden. Wir beschränken uns auf die Windows-Version: Nach der Installation starten Sie Freenet und finden dieses unten rechts in der Taskleiste. Ein Klick auf das entsprechende Symbol startet den Standard-Browser im Private- bzw. Incognito-Modus und bringt Sie zunächst zum Einrichtungs-Assistenten. Dort können Sie angeben, ob Sie vertrauenswürdige Leute kennen, die ebenfalls Freenet nutzen. Zudem können hier Bandbreiten- und Transfer-Limit-Einstellungen vorgenommen werden. Unter Storage legen Sie die Größe des Datenspeichers fest, den Sie für Freenet reservieren möchten.

Abb. 4.19: Der Freenet-Einrichtungs-Assistent

Nachdem die Einstellungen gespeichert wurden, sollte Freenet Verbindungen zu anderen Peers aufbauen. Dies kann einen Moment dauern. Wenn Sie bei der Einrichtung angeben haben, dass Sie keine Freunde haben, die ebenfalls Freenet nutzen, dann erscheint ein Hinweis, dass Sie Verbindungen nur dann aufbauen können, wenn das Sicherheitslevel auf niedrig oder normal eingestellt ist. Das Sicherheitslevel können Sie im Browser ganz unten festlegen.Ggf. erscheinen zudem Meldungen über das fehlerhafte Laden diverser Plug-ins. Sie haben hierbei die Möglichkeit den Download der Plug-ins erneut anzustoßen. Es kann ein paar Anläufe und etwas Zeit benötigen, bis alle Plugins heruntergeladen wurden. Wählen Sie den Menüpunkt Surfen rechts oben in der Menüleiste, finden Sie hier schon einmal diverse Links, über die Sie auf Freenet-Websites (»Freesites« genannt) gelangen. Weiter unten gibt es diverse Anleitungen zur Einrichtung der sozialen Kommunikation im Freenet und wie auch Mails zwischen den Teilnehmern sicher ausgetauscht werden können.

Abb. 4.20: Freenet wird ebenfalls über Browser gesteuert.

Über einen Rechtsklick auf das Freenet-Taskleistensymbol können Sie Freenet jederzeit starten, anzeigen, stoppen oder konfigurieren.

Tipp: Geschwindigkeit ist keine Stärke von Freenet

Tatsächlich brauchen Sie bei der Verwendung von Freenet wieder einmal sehr viel Geduld, bis die Websites geladen wurden. Teilweise kann man für die eine oder andere Website schon mal ein oder zwei Minuten warten, da die Inhalte von diversen Quellen heruntergeladen werden. Bleiben Sie also entspannt.

Aus Platzgründen können wir in diesem Buch nicht weiter auf die Details von Freenet eingehen. Möchten Sie jedoch mehr über das Funktionsprinzip von Freenet und dessen Schlüsseltechnologie erfahren, können Sie sich auf der Webseite zum Buch unter www.hacking-akademie.de/buch/member informieren.

4.4.4   Die Linux-Distribution Tails

Ein großes Problem in der Kommunikation mit dem Internet – speziell mit Webangeboten – liegt darin, dass zahlreiche Angriffsvektoren auf Anwendungsebene vorhanden sind. Cookies, temporäre Dateien, Drive-by-Downloads etc. bedrohen die Integrität Ihres Systems und Ihre Privatsphäre. Dagegen hilft auch die beste Anonymisierung auf Netzwerkebene nichts.

Hier helfen Live-Systeme, die keine Daten auf der Festplatte speichern und nur bei Bedarf gestartet werden. Die Linux-Distribution Tails‌ (steht für: The Amnesic Incognito Live System) ist eine auf Sicherheit und Anonymität ausgerichtete Linux-Distribution, die auf Debian basiert. Tails hilft Ihnen, sich anonym im Internet zu bewegen und dabei möglichst keine Spuren zu hinterlassen. Dazu zwingt Tails sämtliche Kommunikation durch das Tor-Netzwerk. Es kann Ihnen also nicht zufällig passieren, dass eine Kommunikation ungesichert ins Internet geht.

Abb. 4.21: Die Downloadseite von Tails

Sie können Tails unter tails.boum.org downloaden. Die Verwendung ist entweder von einem USB-Stick, einer DVD oder über VM per eingebundenem ISO-Image vorgesehen. Für jede Variante finden sich gute Installationsanleitungen auf der Seite. Nach dem Start können Sie zunächst einige Einstellungen bezüglich Land und Sicherheit vornehmen oder schlicht ohne Konfiguration fortfahren. Über das Anwendungsmenü gelangen Sie zum Tor-Browser und können im Internet sicher surfen.

Darüber hinaus wird auch E-Mail (Thunderbird) und Chat (Pidgin) unterstützt – auch diese Anwendungen müssen über das Tor-Netzwerk kommunizieren. Weiterhin können Sie Bitcoins mit dem Bitcoin-Client Electrum Bitcoin Wallet sicher austauschen und haben damit eine (mehr oder minder) anonyme Zahlungsform zur Verfügung.

Abb. 4.22: Tails präsentiert sich übersichtlich.

Mit Ihren bisherigen Linux-Kenntnissen werden Sie sich sicher auch hier schnell zurechtfinden. In jedem Fall ist es empfehlenswert, sich einmal mit Tails zu beschäftigen. Vielleicht wird dies ja Ihr zukünftiger Standard-Weg ins WWW? Eine kleine Tails-VM zum sicheren Surfen auf sicherheitsbedenklichen Seiten kann auf keinen Fall schaden!

4.5   Anonym mobil unterwegs

Die Datensammlungswut macht auch vor Ihrem Smartphone nicht halt. Genau genommen ist das Smartphone, das Sie fast immer bei sich tragen, das perfekte Gerät zur Überwachung aller Ihrer Aktivitäten – GPS-Tracker inklusive! Wie viele Informationen über Sie gesammelt werden, können Sie maßgeblich selbst bestimmen. Heutige Smartphones fragen explizit für jedes von einer App angeforderte Recht nach Ihrer Erlaubnis. Aber auch beim mobilen Surfen gibt es Lösungen, mit denen Sie sich einigermaßen anonym bewegen können.

Die einfachste Methode, um auf Ihrem Smartphone keine Spuren zu hinterlassen, bieten die Private-Browsing-Funktionen aller gängigen Internetbrowser. Diese finden Sie natürlich auch in Ihrem Browser auf dem PC. Aktivieren Sie diese, verzichtet der Browser auf Caching, History sowie das Speichern anderer Daten und es ist anschließend auf dem Gerät nicht mehr nachvollziehbar, auf welchen Webseiten Sie gesurft haben. Es gibt übrigens auch spezielle Browser-Apps, wie z.B. den DuckDuckGo Privacy Browser, die diverse Sicherheitsfunktionen automatisch aktiviert haben. Dennoch sollten Sie nicht davon ausgehen, dass dies eine umfassende Sicherheit gewährleistet, da Sie im Internet natürlich trotzdem Ihre Spuren hinterlassen.

Möchten Sie auf Nummer sicher gehen und auch im Internet möglichst anonym bleiben, würden wir Ihnen gerne ein paar zusätzliche Apps zur Anonymisierung ans Herz legen.

4.5.1   Mobile Proxy-Tools und Anonymizer

‌Die nachfolgenden Apps stellen wir Ihnen aus Platzgründen nur als Übersicht vor. Der jeweilige App-Store Ihres Smartphones oder Tablets bietet Ihnen diverse Alternativen, sodass Sie die nachfolgenden Tools nur als Anregung verstehen sollten. Seien Sie jedoch vorsichtig: Gern werden gerade Security-Tools manipuliert und dienen dem Ausspionieren des Opfers. Installieren Sie also nur verifizierte und überprüfte Apps aus vertrauenswürdigen Quellen!

ProxyDroid

‌Normale Proxy-Verwaltungs-App für HTTP/HTTPS/SOCKS4+5, zusätzlich DNS-Proxy. Unterstützt NTLM-Authentisierung. Wird nur von Android unterstützt.

CyberGhost

‌Ein Anonymisierungsdienst, der mithilfe eines VPN-Clients für Android, iOS, aber auch für Windows, Linux und macOS genutzt werden kann.

Orbot

‌Eine Tor-Lösung für Android-Geräte. Orbot wird in Kombination mit dem Tor-Browser Orfox eingesetzt.

Onion Browser

‌Aufgrund von Einschränkungen im Mobile-Betriebssystem von Apple gibt es keine offizielle Tor-App für iOS. Der Onion Browser schließt diese Lücke und wird auch offiziell vom Tor-Projekt empfohlen – aber Achtung: Es tummeln sich eine ganze Reihe windiger Tor-Browser-Anbieter im App-Store – Finger weg! Diese Programme sind nutzlos oder mitunter sogar schädlich.

Psiphon

‌Eine VPN-Proxy-Lösung, die für mobile Geräte (iOS und Android), aber auch für Windows erhältlich ist.

4.6   Sonstige Sicherheitsmaßnahmen

So wichtig die Anonymität und Sicherheit in der Kommunikation mit dem Internet auch ist, so ist sie doch nur ein einzelner (wenn auch wichtiger) Aspekt im Maßnahmenkatalog eines Hackers. In diesem Abschnitt geben wir Ihnen daher weitere Tipps, worauf Sie achten sollten und welche Gefahren Ihnen drohen.

Wenn jetzt – genau jetzt – ein Hacker Ihren Arbeitslaptop oder PC auf Windows-Basis in die Hand bekäme –, was würde er Ihrer Meinung nach alles über Sie herausfinden? Mal schauen, unter Umständen käme ganz schön was zusammen, zum Beispiel:

• Welche Webseiten Sie in den letzten Tagen, ggf. sogar Wochen, besucht haben (Browserverlauf)

• Welche Inhalte Sie sich angesehen haben (temporäre Internetdateien, Cookies)

• Was Sie in letzter Zeit so heruntergeladen haben (Download-Verlauf)

• Welche Dokumente Sie in der letzten Zeit geöffnet haben (Dokumentenverlauf)

• Welche Dateien Sie gelöscht haben (Papierkorb)

• Welche Programme Sie gestartet haben (Ausführen-Verlauf im Startmenü)

• Welche DNS-Namen Sie aufgelöst haben (DNS-Cache)

• Eventuell gespeicherte Speicherabbilder und Checkdisk-Fragmente (Systemlaufwerk)

• Was auf Ihrem System so alles in letzter Zeit passiert ist (Ereignisprotokolle)

• Inhalt von Dateien, die Sie gelöscht, aber noch nicht überschrieben haben

Die komplette Liste ist noch sehr viel länger, aber es wird wohl schon jetzt deutlich, dass Ihr Windows-System sehr viele Informationen über Sie für einen potenziellen Angreifer bereithält. Windows ist geradezu ein Mekka für neugierige Schnüffelnasen oder -programme.

Tipp: Linux als Alternative, besser Tails

Die Tracking-Möglichkeiten unter Windows sind durchaus ein Grund, im Internet mit einem Linux-System zu arbeiten. Aber auch hier gibt es diverse Spuren, die der Browser, die Caches und das Linux-System hinterlassen. Fühlen Sie sich also nicht zu sicher, nur weil Sie nicht mit Windows unterwegs sind. Im Zweifel hilft das Surfen mit Tails weiter.

4.6.1   System säubern mit dem CCleaner

Gönnen Sie Ihrem System eine gründliche Reinigung und beseitigen Sie sämtliche Informationen, die im Hintergrund auf Ihrem System gesammelt wurden. Dazu existieren für diesen Zweck entwickelte Programme. Eines der bekanntesten ist CCleaner‌.

Abb. 4.23: CCleaner löscht verräterische Spuren.

Sie können dieses Tool über www.ccleaner.com direkt vom Hersteller beziehen. Es existiert eine kostenlose Variante, die Sie jederzeit in die Pro-Variante upgraden können.

Mit CCleaner werden nicht nur die Tracking-Daten aller gängigen Browser (IE, Firefox, Chrome, Opera) gelöscht, sondern auch diverser anderer Anwendungen, die Sie auf Ihrem System installiert haben. Allein schon zur Analyse der vielen Stellen, an denen sich Spuren Ihrer Tätigkeiten und Bewegungen im Internet befinden, ist das Tool einen eingehenden Blick wert. Zudem beherrscht es das Überschreiben von aktuell nicht genutztem Speicherplatz, an dem sich evtl. gelöschte Dateien befinden könnten – wie Sie vielleicht wissen, werden bei einem Löschvorgang nicht die Dateien selbst gelöscht, sondern nur die Verweise auf die Datei.

4.6.2   G-Zapper: Cookies unter Kontrolle

Wussten Sie, dass Google Ihre Suchbegriffe, die Ergebnisse und die von Ihnen besuchten Links speichert? Das passiert klammheimlich im Hintergrund und zwar mit der Hilfe von Cookies. Mit dem Tool G-Zapper‌ können Sie allerdings diese Cookies von Google blockieren oder die darin enthaltenen Informationen löschen.

Abb. 4.24: Schützen Sie sich vor der Sammelwut von Google.

Das Tool ist kompatibel zu allen gängigen Browsern und unter www.dummysoftware.com/gzapper.html als Testversion zum Download erhältlich. Nach Ablauf des Testzeitraums möchte der Hersteller allerdings rund 30 Dollar von Ihnen haben.

4.7   Zusammenfassung und Prüfungstipps

Werfen wir einen Blick zurück: Was haben Sie gelernt, wo stehen Sie und wie geht es weiter?

4.7.1   Zusammenfassung und Weiterführendes

Hacker haben oftmals gute Gründe, sich unerkannt im Internet zu bewegen: Können ihre Aktivitäten auf sie als Personen direkt oder indirekt zurückgeführt werden, drohen ihnen teilweise ernste Konsequenzen. Grey Hats und Black Hats müssen stets die Beobachtung und Verfolgung durch Strafverfolgungsbehörden und andere Institutionen, allem voran das FBI, NSA und andere Geheimdienste befürchten.

Doch es gibt auch kriminelle Organisationen, vor denen sich Hacker in Acht nehmen müssen: Als das mexikanische Drogenkartell »Los Zetas« im Jahr 2011 bei einer Protestaktion ein Mitglied der Hacker-Gruppe »Anonymous« entführt hat, ließen die Hacker ihre Muskeln spielen: In einem YouTube-Video verlangten sie die sofortige Freilassung des Mitglieds und drohten, anderenfalls die Namen von Zetas-Unterstützern in der Gesellschaft und Politik zu veröffentlichen, was fast einem Todesurteil gleichkam. Nachdem der erste Name veröffentlicht wurde, ließ Zeta den Anonymous-Hacker wieder frei. Wären Anonymous‘ Aktivitäten im Internet zu diesem Zeitpunkt zurückzuverfolgen gewesen, hätte es auch den Hackern an den Kragen gehen können.

Doch auch White Hats haben gute Gründe, sich und ihre Privatsphäre zu schützen. Heutzutage werden fast alle Kanäle abgehört und belauscht. Es braucht vermutlich nicht allzu viel, um auf bestimmten schwarzen Listen zu landen und somit noch mehr in den Fokus der Verfolgung zu gelangen. Allein die Recherche-Arbeiten eines Penetrationstesters könnten hierfür ausreichen. Ein weiterer Grund ist die schlichte Tatsache, dass viele Eingeweihte die umfassende Überwachung aus Prinzip ablehnen und daher nach Mitteln und Wegen suchen, die Mechanismen dahinter auszuhebeln.

Wir haben Ihnen Techniken und Möglichkeiten gezeigt, wie Sie Ihre Herkunft und Identität verbergen und verschlüsselt kommunizieren können. In diesem Zusammenhang haben Sie Proxy-Server, SOCKS-Proxy, VPN und SSH kennengelernt.

Zudem ging es in diesem Kapitel darum, Ihre Kommunikation und Ihre Daten zu schützen. Zum einen haben Sie das Tor- und Freenet-Projekt kennengelernt und damit einen Weg ins Deep Web bzw. Darknet gefunden. Es gibt weitere interessante Projekte, wie z.B. JonDonym.

Mit Tor und Freenet haben Sie nicht nur die Möglichkeit, anonym auf Inhalte im Internet zuzugreifen, sondern auch in Bereiche des Internets vorzustoßen, die über das normale Surface Web von Google & Co. nicht erreicht werden können. Der Untergrund des Internets bietet Ihnen diverse spannende Möglichkeiten, sich zu informieren und an inoffizielle Daten zu gelangen. Falls Sie dies möchten, können Sie über diesen Weg sogar eigene Inhalte anonym und geschützt bereitstellen. Für Hacker stellen Deep Web und Darknet eine unverzichtbare Möglichkeit der Kommunikation und Interaktion dar.

Zum anderen haben Sie weitere Technologien zur Wahrung der Anonymität und Privatsphäre kennengelernt. Die Linux-Distribution Tails sorgt durch ihre Grundkonfiguration bereits dafür, dass jegliche Kommunikation ins Internet durch das Tor-Netzwerk geschützt und anonymisiert wird.

Doch darüber hinaus gibt es noch weitere Themen, für die wir Sie sensibilisieren wollten: Nicht nur Hacker und Drittanbieter-Programme versuchen, an Ihre Daten zu gelangen, sondern auch die Hersteller der Betriebssysteme, die Sie auf PC, Laptop, Tablet oder Smartphone nutzen, sind hinter Ihren Daten her. Tatsächlich nehmen sich Anbieter wie Google (Android), Apple (iOS) und Microsoft (Windows) diesbezüglich nicht viel.

4.7.2   CEH-Prüfungstipps

Der CEH legt nach aktuellem Stand des Buches keinen großen Schwerpunkt auf das Thema Anonymisierung. Es wird im Rahmen des Scannings abgehandelt, was sicherlich grundsätzlich Sinn ergibt, wenn auch zu kurz gegriffen ist. Stellen Sie sich darauf ein, dass Konzepte und Methoden abgefragt werden können, wie z.B. die Proxy-Funktionalität, das Thema des Proxy-Chainings und der Kaskadierung und die Funktionsweise von Tor. Auch Begriffe wie Deep Web und Darknet könnten auftauchen.

Weiterhin sollten Sie verstanden haben, wie VPN, SSH und SOCKS grundsätzlich arbeiten und welchen Zweck sie verfolgen. Vergessen Sie nicht, sich auch über das Buch hinaus mit alternativen Tools zu den jeweiligen Themen zu befassen – der CEH behandelt extrem viele (teilweise veraltete) Tools, die wir hier nicht alle nennen können. Eine Internet-Recherche wird Sie dabei effektiv unterstützen.

4.7.3   Fragen zur CEH-Prüfungsvorbereitung

Mit den nachfolgenden Fragen können Sie Ihr Wissen überprüfen. Die Fragestellungen sind teilweise ähnlich zum CEH-Examen und können daher gut zur ergänzenden Vorbereitung auf das Examen genutzt werden. Die Lösungen zu den Fragen finden Sie in Anhang A.

1. Welche der folgenden Möglichkeiten ist nicht dazu geeignet, die Anonymität im Internet zu verbessern?

   1. HTTP

   2. Tor

   3. Tails

   4. VPN

2. Welche Konfiguration muss bei der Anonymisierung via VPNs und ähnlichen Technologien berücksichtigt werden, um die Verfolgung der eigenen Spuren zu erschweren?

   1. Der Tunnelendpunkt des VPN sollte nicht in Deutschland liegen.

   2. Es sollte ein ausländischer Provider gewählt werden.

   3. SSL-VPNs sind sicherer als IPsec-VPNs und sollten daher bevorzugt werden.

   4. Es sollte immer Tor mit Tails kombiniert werden.

   5. DNS-Anfragen sollten durch den Tunnel geleitet werden.

3. Welche der folgenden Technologien wird nicht als Tunneltechnologie genutzt?

   1. SSL/TLS

   2. Proxy

   3. IPsec

   4. PPTP

4. Worin besteht der Unterschied zwischen Deep Web und Darknet?

   1. Das Darknet ist ein Netzwerk für Hacker, während das Deep Web für alle zugänglich ist.

   2. Darknet und Deep Web werden synonym genutzt und haben inhaltlich keine Unterschiede.

   3. Das Darknet ist ein weltumspannendes Netz unter der Oberfläche des sichtbaren Internets, während das Deep Web aus vielen einzelnen Netzwerken besteht.

   4. Ein Darknet ist ein geschlossenes, nach außen nicht sichtbares Netzwerk. Das Deep Web ist der Teil des Internets, der nicht indiziert und katalogisiert und damit über Suchmaschinen nicht auffindbar ist.

5. Welche der folgenden Adressen kann ausschließlich mit dem Tor-Netzwerk verwendet werden?

   1. 6sxoyfb3h2nvok2d.onion

   2. 6sxoyfb3h2nvok2d.tor

   3. 6sxoyfb3h2nvok2d.de

   4. 6sxoyfb3h2nvok2d.com