EDV-Putzmannsdorf.at > Artikel

Eine Anleitung wie man sicher im Internet unterwegs ist.


Einleitung

Das Internet ist ein gefährlicher Ort. Ursprünglich geschaffen, um Unis und andere Wissenschaftsinstitute zu vernetzen, wofür es auch heute exzessiv genutzt wird, verkommt es aber auch immer mehr zu einem Krieg und Propaganda Netzwerk. Es werden gezielt Desinformationen gestreut, und dies sogar immer mehr voll automatisch personalisiert… (Das weniger Schlimme ist: wenn Preise personalisiert werden, sprich man mehr bezahlt als Andere, richtig schlimm wird es dann z.B. wenn GB aus der EU austritt weil Rupert Murdoch keine seiner Zeitungen dort verkaufen durfte, bis zu rassistischer Hetze welche zu Massenmord ausufert. Außerdem kann man mit genug Daten nicht nur Gutes anstellen.)

Deshalb sollte man genau überlegen, wen man seine Daten (Surfverhalten, Interessen, Weltanschauung…) überlässt.

Die Folgende Anleitung ist NICHT für Menschenrechtsaktivisten geeignet. Sie geht davon aus, dass man vielen Firmen blind vertrauen kann, und schmälert gerade mal den Digitalen Fußabdruck. Bringt aber schon einiges.

White-Hats und Black-Hats

Der Ausdruck „hacken“ kommt ursprünglich aus den Modell-Eisenbahn-bauen, wo Vereine etwas an der Anlage verbessert haben. Das nennt man Hacken. Wau Holland, ein Gründer des Chaos Computer Clubs, prägte die Formulierung: „Ein Hacker ist jemand, der versucht einen Weg zu finden, wie man mit einer Kaffeemaschine Toast zubereiten kann“.

Also im Prinzip ist Hacken etwas durch und durch Gutes, es drängt sich aber der Anschein auf, dass man Technikinteressierte immer mehr in die Ecke der Kriminellen packen wollte, damit sich das gemeine Volk nicht mit Technik befasst und so leichter zu manipulieren ist. Ob es absichtlich gewollt ist, oder einfach nur dumm gelaufen, kann ich nicht sagen. Aber man sollte so ehrlich sein, dass dieses Problem tatsächlich real ist und immer schlimmer wird.

Wie auch immer: Gute Hacker nennt man „White-Hats“. Böse Hacker nennt man „Balck-Hats“.

Wenn man eine Sicherheitslücke in einem Programm findet und korrekt meldet, ist es eigentlich brauch, ein Bug Bounty (eine kleine Belohnung) von der Firmen zu bekommen welche verantwortlich für diese Anwendung ist. Es häufen sich aber die Fälle, dass diese Hacker sogar noch für ihre ehrenamtliche Leistung angezeigt werden. Es wird hier jetzt nicht weiter auf diese Dinge eingegangen, sondern ich will es als Sprungbrett zur Erklärung „Was Zero Day Börsen sind“ nutzen.


Zero-Day-Exploits

Wenn man eine Sicherheitslücke gefunden hat und einen Weg b.z.w. eine Anleitung geschrieben hat, wie man diese ausnutzen kann, nennt man dies einen Exploit. Eine Zero-Day-Sicherheitslücke ist eine Sicherheitslücke, welche erst nachdem sie bereits ausgenutzt wird, bekannt wird, so, dass der Hersteller überhaupt beginnen kann Maßnahmen zu ergreifen, also praktisch am Tag 0 anfängt zu fixen. Jetzt ist es leider üblich solche Exploits an Börsen zu verkaufen, wo man bestimmt mehr bekommt als bei einen Bug Bounty… Geheimdienste oder Firmen wie die NSU-Group (Pegasus) nutzen solche Börsen und Implementieren solche Exploits dann in ihre Produkte. Sehr berühmt und gefürchtet ist Pegasus: mit diesen Tool kann man JEDES Endgerät auf Knopfdruck komplett überwachen, und das Opfer hat gar nicht die Möglichkeit etwas zu merken. Im Prinzip ist es ein Cloudservice, welche von der NSU-Group „seriösen Geheimdiensten“, gegen Bezahlung, zur Verfügung gestellt wird. Leider ist es aber auch für Menschenrechtsaktivisten ein sehr großes Problem: ARTE - Pegasus, der Feind liest mit

Als unauffälliger Bürger ist das aber eher weniger Relevant, da sollte man sich mehr Gedanken darüber machen, dass Alle Telefonbücher von Geräten, wo WhatsApp läuft, in Klartext, an Meta übergeben werden. Somit hat Meta (ehml. Facebook) die Telefonnummer von Menschen, die dem nicht zugestimmt haben und auch gar keine Dienste dieser zutiefst unseriösen Firma nutzen, und Meta ist nicht gerade dafür bekannt ihre gesammelten Daten für sich zu behalten, ob gewollt oder ungewollt.


Profile und Shadowprofile

Wenn man sich bei einem Portal anmeldet, bekommt man ein „Session Cookie“, welches der Browser speichert. Das Cookie ist praktisch ein Ausweis und solange man das hat, und das so eingestellt ist, ist man in den Portal angemeldet. Aber auch nach den abmelden bleibt dieses Cookie im Web-Browser erhalten und jede Website die man aufruft kann es abfragen und man zeigt dieses Cookie = Ausweis her.

Fast Alle Firmen nutzen die Cookies der großen Player für Auswertungen ihrer Besucher b.z.w. machen Geld durch den Verkauf der Daten ihrer Kunden.

Wenn man z.B. Cookies von Cloudflare hat, welche einen direkt zugeordnet werden können, nennt man das sein "Profil“.


Wenn man aber auf einen neuen Browser (andere Computer, oder anderer Browser auf den gleichen Computer) ein Portal besucht, welches so ein besagtes Cookie nutzt ohne sich zu authentifizieren, kann man noch keinen Profil zugeordnet werde, man wird aber dennoch getrackt, und so ein Profil nennt man dann ein „Shadow Profil“. Irgendwann meldet man sich wo an b.z.w. gibt es noch viele andere Möglichkeiten identifiziert zu werden, und dann weiß man wen diese „Shadow Profil“ gehört und dann wird dies zu seinem Profil hinzugefügt.

Browser Fingerprint

Cookies kann man einfach löschen, aber auch den Browser selbst kann man erkenne. Wie das genau funktioniert, ist Firmengeheimnis. Aber man kann mit Sicherheit sagen, dass es ein Vielfaches so viele Erkennungsmerkmale eines Browsers gibt, wie Menschen auf dieser Erde, und somit kann man einen Browser zumindest theoretisch immer sicher identifizieren.

Paypall z.B. ist extrem gut darin…

Passwörter

Das größte Problem für Benutzer sind i.d.R. die Passwörter. Überall die gleichen Passwörter zu nutzen ist grob fahrlässig (da es ununterbrochen Datenlecks bei viele Portalen gibt), genauso wie zu einfache Passwörter zu nutzen (da man diese leicht knacken kann). https://wiki.systemli.org/security/sicherepasswoerter

Deshalb ist ein Passwortmanager unabdingbar.

Wenn es reicht, nur Passwörter in einen Browser zu merken, kann man z.B. den Passwortmanagers seines Browsers benutzen, welche i.d.R. auch Geräte-übergreifend funktionieren, und auch auf Knopfdruck Passwörter generieren können.

Wenn das nicht reicht (weil man verschieden Browser, Anwendungen und Geräte nutzt // was wohl auf fast Jeden zutrifft), bieten sich Passwortmanager an: z.B. kann man sein Passwort-Archiv mit KeepassX (geht auf Windows, Linux, Mac, BSD, Android, iOS) in einer Cloud ablegen, und hat mit sorgfältiger Nutzung einen Passwortmanager für Alles und das gratis.

Es gibt aber zahlreiche Passwort Manager, die kosten ein paar Euro im Jahr, und bieten deutlich mehr Komfort.


MFA (Multi Factor Authentication)

Ein Passwort allein ist aber auch noch lange nicht so sicher, wie wenn man diese mit einen 2ten Faktor kombiniert. Denn selbst wenn der Angreifer das Passwort erspähen konnte, kann er sich nicht allein damit anmelden. (Um z.B. zugriff auf sein E-Mail-Postfach zu erhaschen, um von dort aus Alle Passwörter zurückzusetzen...)

Z.B. eine kurzer Code via SMS ist sehr beliebt. (Es gibt aber zahlreiche Fälle, da wurden SMS vom Netz her illegal umgeleitet…)

FIDO Sticks sind USB Sticks welche man wie einen Schlüssel anstecken muss, sind auch sehr gängig.

Am weitesten Verbreitet sind aber Authenticator Apps. Z.B. ist Ihre Internetbanking App oder auch die Handy-Signatur-App ein Authenticator. In diesen Fall spreche ich aber die klare Empfehlung aus, den Micorsoft Authenticator zu nutzen, dieser geht auf Android und iOS, und hat den Vorteil, dass man die verknüpften Accounts automatisch in der Cloud sichern kann, und wenn man ihn wo installiert, diese wiederherstellen kann.

ACHTUNG: Wenn man einen 2ten Faktor nutzt, MUSS man diesen auch bereit haben, wenn z.B. das Display beim Handy kaputt ist, welches für den 2te Faktor benötigt wird, ist man ausgesperrt. Deshalb macht es Sinn, mehrere Faktoren zu hinterlegen (z.B. mehrere Handynummern), so dass sicher 2 verfügbar sind. Außerdem macht es Sinn, sein altes Handy solange es noch funktioniert, Alle Authenticator Apps einzurichten, und im Safe zu lagern, damit man es im Fall der Fälle nutzen kann. Heute gibt es bei den Discountern echte „0 Euro Tarife“, und man könnte zur Not auch z.B. ein Internetpakte aktivieren, aber im Idealfall, kostet es halt nix, außer den Strom für’s Handy.


Browser

Als Standartbrowser des Betriebssystems sollte man nicht den Browser nutzen, mit welchen man normalerweise herumsurft, einstellen. Denn wenn man Links anklickt, vermischen sich die Cookies von dem „Herumgesurfe“ mit den Portalen von den Ziel des Links.

Edge

Als Microsoft 365 User unter Windows bietet es sich an, den Microsoft Edge Browser als Standartbrowser zu nutzen, da man vermutlich mit diesen oft Links öffnen will, welche die Microsoft Features nutzen.

Chrome

Für Google-Dienste wo man seine Cookies haben will (um sich nicht immer neu Anmelden zu müssen) bietet sich der Google Chrome Browser an.

DuckDuckgo

Als „Surfbrowser“, weil man in den Anderen Browsern schon was offen hat (= Cookies, welche von einander nichts wissen sollen). Duck Duck go Webbrowser: iOS, Android, Windows, Mac. (Linux: Dieser Browser basiert auf Konquerror der Browser des KDE-Projects welcher praktisch in Jeder Linux-Distro integriert ist, und auf welchen auch der Apple Safari-Browser basiert. Man kann sich also Konquerror mit der "DuckDuckgo Privacy Essentials" Extension und weiteren folgend gezeigten Addons, sogar noch besser, "nachbauen")

Dieser Browser hat den "Fire Button" wenn man den drückt, hört der Browser auf einen zu verpfeifen. Das einfachste ist mit diesen Browser zu surfen, und die Seiten wo man sich anmeldet andere Browser zu nutzen.

Weitere gute Browser

Weitere gute Browser: Vivaldi, Brave, Opera. Alle 3, auf Chromium basierten Browser, lassen sich, wenn überhaupt, nur schwer Erweitern, bringen dafür schon von Haus aus einiges mit.

Es gibt noch zahlreiche weitere Browser, aber Alle gängigen Browser Engins (Blink, Firefox, WebKit) sind hier Vertreten, und meist handelt es sich nur um Forks bei denen nur Erweiterungen fix integriert sind, und i.d.R. steckt da ein Geschäftsmodell dahinter was man auch nicht unbedingt haben will. Es ist immer besser sich selbst den Browser einzurichten wie einen beliebt, dieser (wenn man es schon ein paar mal gemacht hat) sehr geringe Aufwand zahlt sich enorm aus.

Tor-Browser: Wenn man wirklich anonym sein muss (Stichwort: Menschenrechtsaktivisten), kann man mit diesen Browser das freie VPN (The Onion Routing) nutzen. Wenn man das muss, sollte man aber auch ein gehärtetes Betriebssystem nutzen, und sich weit tiefer in die Materie einarbeiten als in diesen Artikel geschildert. Weiterführende Links:

https://www.systemli.org/ueber-uns/

https://www.amnesty.at/news-events/pegasus-projekt-in-zusammenarbeit-mit-amnesty-aktivist-innen-journalist-innen-und-politiker-innen-weltweit-mit-nso-spyware-ausgespaeht/


Aber hier wird nur auf Firefox eingegangen. Alle folgend gezeigten Dinge lassen sich 1:1 auf andere Browser (z.B. der Kiwi Browser für Android // welcher ALLE Addons aus den Chrome-Store unterstützt, Stichwort: VPN) übertragen.

Firefox

Einstellungen

Wir gehen Alle Einstellungen sorgfältig von oben nach unten durch:

Für die in diesen Kontext Relevanten gibt es hier Screenshots:

In die Adressleiste:

about:preferences

Eingeben um die Einstellungen zu öffnen.


Allgemein

Firefox preferences allgemein.jpg


Alle Einstellungen nach gusto konfigurieren. Gilt natrülich auch für den Rest, und auch Alle anderen Browser.

Startseite

Firefox preferences Startseite.jpg

Startseite.jpg

Damit nicht andauernd unnötige Verbindungen aufgebaut werden.

Suche

Firefox preferences Suche.jpg

Standartsuchmaschiene.jpg

Standartsuchmaschiene: Duck Duck go. Da diese am Privatsphäre konformsten ist.

Es macht auch Sinn, die Suchvorschläge der Suchmaschine zu deaktivieren. Stichwort: "Surfverhalten". Auch so wird man identifiziert.

Datenschutz und Sicherheit

Firefox preferences Datenschutz und Sicherheit.jpg

Do not track

Do not track.jpg

„Do not Track“ aktivieren. Wenn man schon gefragt wird…


Cookies und Websitedaten beim Beenden löschen

Cookies und Website Daten.jpg

Beim Beenden Immer Alles löschen. (Chronik kann man behalten, aber besser ist es zu viele Lesezeichen zu machen, als sich auf die unzuverlässige Chronik zu verlassen)

Nur für’s Verständnis: Am besten wäre es, bei dieser Einstellung, nach jeder Website den Browser zu schließen und neu zu öffnen.


Berechtigungen

Berechtigungen.jpg

Alles Blockieren was geht.



Nur HTTPS Modus

Nur-HTTPS-Modus.jpg

Allein die Tatsache, dass eine Website kein HTTPS nutzt, macht sie gefährlich. (Man braucht nur 2x klicken, dann kann man betroffene Seiten trotzdem öffnen. Sollte man aber nicht. Stichwort: „man in the middle“)

DNS over HTTPS

DoH.jpg

Eine Website (erreicht man wie alles im Web über eine IP Adresse + TCP Port [TCP/IP]). Weil es praktisch ist, nutzt man das DomainNameSystem welches den Domainnamen: z.B. www.googel.com zu 142.250.185.99 auföst. Dumm ist nur, dass die DNS-Anfrage nicht verschlüsselt ist. Deshalb nutzt man (z.B.) DNS over HTTPS = DoH, dann ist das auch sicher.


Addons

Wenn man in der Adresszeile: about:addons eingibt, kommt man zu den Erweiterungen:

Erweiterungen.jpg


uBlock Origin

Ublock.jpg

unterbindet gefährliche und unnötige Verbindungen mittels Blacklists.


Privacy Badger

Privacy badger.jpg

Erschwert Browser-Fingerprinting, indem er Alle Browser die ihn nutzen gleich aussehen lässt, und lernt von selbst Tracker zu erkennen und blockiert diese.


DuckDuckGo Privacy Essentials

DuckDuckgo Privacy Essentials.jpg

Tut das gleiche wie uBlock Origin und Privacy Badger zusammen, nur arbeitet es ausschließlich mit Listen, blockiert weniger, aber manchmal Dinge welche uBlock und PrivacyBadger durch die Lappen gehen. Außerdem verhindert es, dass die Suchmaschine umgestellt wird. (Wenn man Google braucht, geht man einfach auf googel.at.)


Cookie autodelete

Cookie autodelate.jpg

Löscht wenigstens schon ein paar Cookies schon bevor der Browser geschlossen wird.


NoScript

NoScript.jpg

Für Fortgeschrittene: erfordert sehr viel Handarbeit

So Einstellen, dass es immer Alles blockiert, und dann für Jede Seite Jede Verbindung „Individuell“ setzen. Niemals etwas für „Jeder Seite“ zulassen. So macht man sich eine komplette Whitelist. Was das Beste ist, was man tun kann.

Allerdings kann man so auch den Browser anhand der Verbindungen welcher er blockiert, identifizieren. Mit Verstand genutzt, was aber das technische Verständnis voraussetzt, kann man das dennoch gewinnbringend einsetzen.

Noscrpit standard.jpg

Noscript vertrauen.jpg

Noscript misstrauen.jpg


VPN

Ein VPN allein bringt nicht viel für den Datenschutz, überhaupt mit Cookies, aber richtig angewandt für den sicheren Umgang mit dem Internet, sind VPNs unerlässlich.

Praktische Jede Firma nutzt VPN Tunnel für Homeoffice. Die ganze Thematik setzt aber voraus, dass man mit Netzwerktechnik und Endgeräten fit ist, und führt hier deshalb zu weit. I.d.R. haben VPN Anbieter Browser Addons, so kann man in Jeden Browser eine eigen IP-Adresse haben, und auf Knopfdruck wechseln…