Über die Verschlüsselungs- und Erpressungstrojaner

Publiziert am 26. Februar 2016 von Elias

Die Programmierer dieser Trojaner verwenden zwar Bitcoin, aber sie sie haben eine gewisse Unabhängigkeit von diesem Bezahlverfahren, die in der gegenwärtigen medialen Berichterstattung viel zu wenig beleuchtet wird. Frühere »Ransomware« hat den Geldtransfer über Western Union, UKash, Money Gram und vergleichbare Dienstleister abgewickelt und war für die Kriminellen auch ein gutes Geschäft. Wer vermeiden möchte, diese unangenehmen Handschellen angelegt zu bekommen, ist eben einfallsreich.

Dass Menschen auf diese Kriminalitätsform reinfallen und von Verbrechern abgezogen werden, liegt keineswegs an der Existenz oder Nichtexistenz irgendwelcher Bezahlverfahren, sondern in erster Linie daran, dass sie ungebildet sind. Wenn die Menschen in den Anforderungen »Lesen und Schreiben« lediglich so wenig Bildung hätten wie in der Anforderung »Informationstechnik«, dann müsste man zurzeit die meisten Menschen als Analphabeten bezeichnen. Das ist bitter.

Wer etwas informationstechnische Bildung hat, fällt nicht so leicht auf eine Spam rein, öffnet schon gar nicht einen Mailanhang von Unbekannten, weiß davon, dass Absenderadressen einer E-Mail beliebig gefälscht sein können, verwendet einen gut gesicherten Webbrowser mit wirksamem Adblocker und NoScript, lässt nicht standardmäßig die Ausführung von Makros in Office-Dokumenten unbekannter Zeitgenossen zu, hat eine halbwegs angemessene Backupstrategie und achtet immer darauf, ein aktuelles System mit aktueller Software zu benutzen, so dass möglichst wenig von Kriminellen ausbeutbare Fehler die Computersicherheit gefährden.

Und während diese Bildung – angesichts der Bedeutung von Informationstechnik halte ich sie für eine Form der unabdingbaren Allgemeinbildung – bei den meisten Menschen nur rudimentär vorhanden ist oder gar völlig fehlt, werden in den staatlichen Schulen von heute die Erwachsenen von morgen auf die Herausforderungen von gestern vorbereitet, und zwar so »gut«, dass nach wenigen Jahren aus neugierigen, aufgeweckten und interessierten kleinen Menschen stumpfe, ausgewachsene Zeitgenossen werden, die jeden Vorgang der Wissensaneignung für eine unbedingt zu vermeidende Last halten.

Dummheit ist leider ein gutes Geschäft. Dies gilt schon für legale Geschäfte, was der tiefere Grund für die systematische Förderung der Dummheit durch Staat, Schule, Fernsehprogramm und Journalismus ist. Aber es ist nicht auf legale Geschäfte beschränkt.

Vor rd. achteinhalb Jahren schrieb ich an anderer Stelle die folgenden Zeilen:

Fragen sie ihre Tageszeitung, warum es keine Informationen und Warnungen zu den jeweils aktuellen Phishing- und Spam-Wellen an auffälliger Stelle gibt. Das Internet ist schließlich keine Spielwiese der Nerds mehr, es ist eine Massenerscheinung, an der auch ganz gewöhnliche Menschen in verschiedener Weise Teil haben. Auch die Journaille muss unter solchen Umständen einen Beitrag zur Verbrechensverhinderung leisten. Jeder andere Trickbetrüger bringt es doch auch als Warnung in die Presse, warum also nicht ein gefährlicher Phisher, der bei Erfolg Menschen um tausende von Euros erleichtern und sogar an den Rand des persönlichen wirtschaftlichen Ruins bringen kann? Wenden sie sich an ihren bevorzugten Radio- oder Fernsehsender und fragen sie, warum es zwar Unwetterwarnungen gibt, aber keinen Hinweis auf gefährliche Schadsoftware, die ihren Weg über Spam auf die Rechner ganz gewöhnlicher Mitbürger findet und die diese Rechner in fernsteuerbare Zombies der Spam-Mafia verwandelt?

Das größte Problem im Zusammenhang der Spam ist die gefährliche Unwissenheit vieler Menschen. Das beste Mittel gegen Unwissenheit ist besonnene, den Fakten verpflichtete und hilfreiche Aufklärung.

Ich kann und will hier keine umfassende und aktuelle Aufklärung geben – tatsächlich habe ich auch noch ein Leben neben dem Internet. Aber die Passivität derer, die solche Aufklärung leisten müssten, ist schon erschreckend. Dies gilt in besonderer Weise angesichts der Tatsache, dass die öffentlich-rechtlichen Rundfunkanstalten inzwischen von jedem Computernutzer über die Gebühren mitfinanziert werden; ich bin durchaus der Meinung, dass aus diesem Umstand auch eine Verantwortung für die Versorgung der Computernutzer mit essentiellen Informationen erwächst

Nichts an diesen Worten hat seine Aktualität verloren. In fast einem Jahrzehnt. Das ist schon ziemlich bitter, und es lässt nur einen Schluss zu: Die Agenda, die in den Medien (und in den staatlichen Schulen) verfolgt wird, soll nicht verantwortungsvoll handelnde, kundige Menschen hervorbringen, sondern dumme Konsumtrottel, denen man jedes Schlangenöl andrehen kann¹. (Ich weiß übrigens genau, dass in diesem Moment irgendwo ein paar Leute zusammensitzen, das dort von Heise Online mutmaßlich in bezahlter Schleichwerbung angepriesene Programm genau analysieren und eine Version ihres Trojaners bauen, die von diesem Programm nicht erkannt werden kann. Das ist nämlich das »Geschäft« dieser Leute. Die leben davon.)

Die Opfer der aktuellen Erpressungstrojaner sind auch Opfer eines vorsätzlich verdummenden, von der Werbung finanzierten Journalismus und eines vorsätzlich verdummenden staatlichen Schulbetriebes. Gegen Letzteres kann man leider nicht so viel machen; vor die Gründung von Privatschulen sind hohe Hürden gesetzt, deren Überwindung Mühe und Mittel erfordert, die für die meisten Menschen schlicht nicht erbringbar sind, während die Kultusministerien der BRD-Bundesländer von einer unfassbaren Trägheit befallen sind, die jede Entwicklung in der Gesellschaft zu verneinen scheint. Aber der Journalismus ist durchaus beeinflussbar, und sei es dadurch, dass seine Produkte systematisch boykottiert werden, bis sie wieder einen Wert und einen Nutzen für die Menschen bekommen haben, die sich daraus informieren sollen.

Anders, als die meisten Journalisten denken und unterschwellig schreiben, ist die mangelnde informationstechnische Bildung breiter Bevölkerungsschichten sowie das Fehlen selbst grundlegenden Wissens nämlich kein Naturgesetz, sondern ein auch durch die Praxis des Journalismus bewusst und planvoll miterzeugter Zustand. Und zwar einer, der beendet werden muss. So schnell wie möglich.

Denn nicht »Bitcoin« ist das Problem. Unwissen und informationstechnischer Analphabetismus ist das Problem.

¹Wer sich an diesem zugegebenermaßen unsachlichen Begriff für Antivirus-Produkte stört, lese bitte vor dem bequemen Ablassen eines schnellen Kommentares hier und hier weiter. Danach sind Ergänzungen und Widersprüche durchaus erwünscht…

Veröffentlicht unter Allgemeines | Verschlagwortet mit , , , , | 4 Kommentare

Bis zum Ende der Werbung im Web sinds nur noch zwei Jahre

Publiziert am 23. Februar 2016 von Elias

Ich habe zu meinem vorhin in der Nacht (und nach Meinung einiger meiner Zeitgenossen: auch in geistiger Umnachtung) geschriebenen und veröffentlichten Text eine Menge Feedback erhalten. Vielfach wurde – wie ich jetzt einräumen muss – zu Recht kritisiert, dass die Abhängigkeit des Firefox-Projektes von Google nicht mehr so groß ist, was in der Tat stimmt. Es handelt sich inzwischen um eine Abhängigkeit von Yahoo, einer Unternehmung, die ebenfalls auf die Sichtbarkeit von Werbung angewiesen ist. Wie leicht zu sehen ist, wird das grundsätzliche Argument von meiner kurzfristigen Recherchefaulheit nicht entwertet.

Eine besonders interessante Rückfrage betrifft die folgende Anmerkung in einer Fußnote:

Ich bin optimistisch und gehe davon aus, dass der Werbemarkt im Internet binnen der nächsten zwei Jahre zusammenbricht; und mit ihm alle darauf basierenden Geschäftsmodelle. Ich habe Gründe für diese Prognose, aber diese sind so komplex, dass diese Fußnote sie nicht fassen kann. Komme es, wie es komme: Bis dahin haben wir den Salat

Ich wurde mehrfach nach meinen ominös wirkenden »Gründen« für diese Prognose gefragt, und ich bin gern bereit, sie hier verkürzt darzulegen – in aller Ausführlichkeit könnte ich daraus einen sehr langen Text machen, zu dem ich gerade nicht die Zeit habe.

Der Angriff auf den Werbemarkt im Web kommt von mehreren Seiten gleichzeitig.

Zum einen liegt die Adblocker-Nutzung in Europa inzwischen bei über zwanzig Prozent, so dass mehr als ein Fünftel der Webnutzer gar keine Werbung mehr sieht. Ergänzend wird auch auf mobilen Zugangsgeräten immer häufiger ein Adblocker eingesetzt. Generell ist diese Zahl steigend, und mit zunehmender Gefährlichkeit und Nervigkeit der meist völlig unerwünschten Reklame wird sie schneller steigen. Niemand mag es, in einer Halde aus unerwünschtem Müll nach dem zu suchen, was er eigentlich haben möchte.

Zum zweiten gibt es automatisierten und trojanifizierten Klickbetrug auf Werbebanner, der ein immer größeres Geschäft wird. In einigen extremen Fällen, die bei den seltenen Untersuchungen mal aufgefallen sind, waren schon jetzt lediglich wenige Prozent der Klicks auf ein Banner von Menschen ausgegangen. (Ich finde gerade in meinem Archiv nur diesen zwei Jahre alten Text mit einer etwas besseren Quote) Eine technische Abwehr gegen diese Betrugsform ist sehr schwierig, denn jedes messbare Anzeichen einer »echten Benutzerinteraktion« beim Klick auf eine rechteckige Fläche lässt sich auch brauchbar von einem Programm simulieren. Die Sichtbarkeit, die von Werbetreibenden bezahlt wird, ist eine verzerrte statistische Illusion, und das wird sich irgendwann bis zu denen herumsprechen, die zurzeit noch das Geld für die Werbung ausgeben. Bis dahin wird aber noch eine Menge Geld bewegt, indem Leute eine Müllseite voller Banner aufsetzen und gemietete Botnetze darin automatisiert »klicken« lassen. Angesichts der Einfachheit dieser »Gelderzeugung« gehe ich sogar noch von einer Ausweitung aus, denn es ist sehr einfach, diese Nummer durchzuführen und es ist sehr schwierig, diese Nummer gerichtsfest zu beweisen, wenn sich nicht gerade jemand ausgesprochen dumm dabei anstellt. Wo die Kriminalität risikoarm, technisch, abstrakt, gewaltfrei und lukrativ wird, finden sich die Täter nun einmal besonders leicht.

Zum dritten sind Werbebanner mit Code von anderen Leuten ein sehr häufig verwendetes Transportmittel für Schadsoftware, was zurzeit den Adblocker zur unverzichtbaren Sicherheitssoftware macht. Die über Ads transportierten Trojanerpacks sind bislang immer der heißeste Schrei der Kriminellen gewesen und wurden deshalb ein, zwei Tage lang von keinem Antivirus-Schlangenöl erkannt. Während das Antivirusprogramm bei einer häufigen und gefährlichen Angriffsform versagt, schützt der Adblocker den Computer zuverlässig. Der Adblocker ist also – jetzt schon, obwohl es immer noch selten offen so benannt wird – eine Sicherheitssoftware, deren Einsatz vernünftig ist; der Verzicht darauf ist hingegen ein Zeichen von Unwissen, Desinteresse und Dummheit. Ich gehe davon aus, dass Unwissen, Desinteresse und Dummheit mit beschissenem Job, schlechter Bildung und geringer Kaufkraft korrelliert sind (die Classe politique mag da ein Ausreißer sein), so dass immer mehr gesehene Werbung bei Menschen ankommt, die sich die beworbenen Produkte gar nicht leisten können. Auch das wird sich irgendwann zu denen herumsprechen, die die Werbung bezahlen – spätestens, wenn sie den Erfolg ihrer Kampagnen ernsthaft kontrollieren.

So viel dazu in Kürze. Es ist ein Thema, zu dem ich eine riesen Betrachtung machen müsste, und das lohnt sich nicht, weil ich davon ausgehe, dass es sich bald erledigt hat. Außer vielleicht auf »schmuddeligen« Seiten, so dass ein wachsender Reputationsverlust der Online-Werbung noch hinzukommt.

Es wurde auch angemerkt…

…dass Google, Facebook und Co in 2 Jahren ihr gesamtes Geschäftsfeld umstellen müssten

Bei Google ahnt man offenbar schon sehr lange, dass das Werbegeschäft zum Ende geht; vermutlich sitzt man dort an direkt erfassten Daten. Die Reaktion Googles auf diese Entwicklung ist aufwändige, teure Forschung und ein auffälliges Streben nach Diversifikation. Google wird diesen Zusammenbruch überstehen, und in zehn Jahren wird sich kaum jemand, der Heimautomation mit Google macht, ein Google-Auto fährt, weitere materielle Google-Produkte nutzt und unter Google… ähm… Alphabet eine große, »coole« Technikfirma versteht, noch daran erinnern, dass Google anfangs einmal sein ganzes Geld mit Werbung gemacht hat. Die Werbung in der Suchmaschine wird vermutlich bestehen bleiben – sie kann übrigens, wenn sie gut geschaltet wird, in vielen Fällen ähnlich nützlich sein wie ein Suchergebnis. Sie wird ohne Javascript auskommen und keinen Code von Dritten enthalten. Und sie wird immer noch ein fettes Geschäft sein, denn Google hat einen unglaublich guten Algorithmus zum Auffinden von Netzinhalten, dessen Beliebtheit bei den Nutzern nicht aus dem Nichts gekommen ist. Aber sie wird nicht mehr das Hauptgeschäft sein.

Facebook wird es nicht überstehen. Twitter auch nicht. Andere S/M-Sites¹, deren verachtenswertes Geschäftsmodell darin besteht, erwünschte Kommunikation mit unerwünschter Reklame zu vergällen, auch nicht. Und der gegenwärtige Online-Journalismus ebenfalls nicht. Keine der teilweise an der Börse hochkapitalisierten Klitschen ohne seriöses Geschäftsmodell, die da recht schnell zusammenbrechen werden (für Facebook und Twitter, die als »Geschäftsmodell« nur eine Datensammlung und eine Werbemöglichkeit sind, wird es die Insolvenz bedeuten), werde ich vermissen – genau so wenig, wie ich MySpace² vermisse. Irgendwelche LayerAds werde ich übrigens auch niemals vermissen. Nichts am gegenwärtigen Irrsinn der Monetarisierung durch Werbung werde ich vermissen. Ganz im Gegenteil, ich werde mich freuen, wenn ich sehe, was nicht mehr da ist. Und ich glaube nicht, dass ich da der Einzige bin.

Schon in fünf Jahren wird jeder wissen, was »Big Data« und Werbung im Internet wirklich waren und jetzt bereits sind: Die Tulpen des 21. Jahrhunderts

Es wird übrigens auch nach diesem Zusammenbruch noch Werbung geben, sogar im Web. Es wird andere Werbung sein. Es wird Werbung sein, die nicht aus dem Code irgendwelcher Dritter besteht, den man in die eigene Seite einbettet. Es wird Werbung sein, die nicht ihren Betrachter offen verachtet. Es wird bessere Werbung sein, wenn auch immer noch keine »gute«, weil es keine »gute« Werbung geben kann. Es gibt ja auch heute noch Tulpen.

¹S/M ist meine Abk. für »social media«. Aus Gründen.

²Das war eine Website, wo sie alle waren, bevor es Facebook gab.

Veröffentlicht unter Technisches | Verschlagwortet mit , , | Schreib einen Kommentar

Werbung ist der Tod der Internetsicherheit

Publiziert am 23. Februar 2016 von Elias

Ihr habt es heute gewiss schon alle gelesen:

Infizierte Joomla-Server verteilen Erpressungs-Trojaner TeslaCrypt

Vergesst jetzt bitte mal für einen kurzen Moment die gemeldete Tatsache, dass es diesmal Joomla ist, das massenhaft gecrackt wurde. Es könnte jede andere populäre Software für den Betrieb einer Website sein. Bei nächsten Mal ist es gewiss wieder WordPress oder eines der häufig eingesetzten Systeme für Webforen – nur die trolligsten Trolle des Heiseforums lassen sich von solchen basalen Schlüsselreizen füttern. Joomla hat inzwischen zwar eine tendenziell eher gute Codequalität (wenn man mal von einigen Plugins absieht), aber es ist eben auch sehr komplex (und vor allem: ungleich komplexer als ein WordPress oder ein einfaches Webforum), so dass sich leicht Fehler und ausbeutbare Lücken einschleichen können. Die Komplexität von Software ist das genaue Gegenteil von ihrer Sicherheit. (Die letzte Aussage bitte so lange lesen, bis sie sitzt! Dieses Wissen zu haben, hilft bei vielen technischen Entscheidungen.)

Und dann stellt euch in diesem kurzen Moment, in dem ihr die von Journalisten angebotene Ausrichtung eurer Aufmerksamkeit einfach abgetan habt, einmal die Frage, die Heise Online in seinem nicht sonderlich informativen Artikel gar nicht erst aufwirft und erst recht nicht beantwortet, obwohl sie für die meisten Menschen wohl das Wichtigste wäre: Wie kann man sich davor schützen, dass der Computer von Kriminellen über den Webbrowser übernommen wird?

Die von Journalisten meist verweigerte Antwort darauf ist verblüffend einfach.

In beinahe allen¹ Fällen einer Schadsoftware-Auslieferung über den Browser kann man sich – neben der ausschließlichen Benutzung eines aktuellen Browsers, der wegen behobener Fehler weniger Angriffsfläche für derartige Verbrecher bietet – durch »Click to Play« für Plugins und die Deaktivierung von Javascript vollständig absichern. Das immer noch viel zu selten verwendete Browser-Addon NoScript ist da eine Rundum-Sorglos-Lösung, die es sehr einfach macht, das Privileg einer Codeausführung nur bestimmten Websites zu geben.

Es ist nämlich eine unfassbar dumme Idee, jeder dahergelaufenen Website in einem anonymisierenden, technischen Medium das Privileg einzuräumen, Programmcode im Browser auszuführen. An sich sollte der Respekt vor der eigenen Privatsphäre es schon verbieten. (Wer nicht sofort versteht, was Javascript mit seiner Privatsphäre zu tun hat, möge diesen Test einmal mit und einmal ohne Javascript machen.) Aber angesichts der gegenwärtigen Internetkriminalität sollte man mit diesem Privileg so sparsam umgehen, wie es gerade noch erträglich ist.

Ich vertraue der großen Mehrzahl der Websites und ihren Machern jedenfalls nicht. Meine Haltung ist dabei stets: Wenn mir die Website ohne Javascript nichts zu sagen hat, dann wird sie mir auch mit Javascript nichts zu sagen haben. Zum Glück treten Probleme mit völliger Unbenutzbarkeit und Unlesbarkeit beinahe nur bei Vollidioten und (neuerdings) bei Internet-Angeboten von Presseverlegern auf.

Allerdings drängt sich da sofort eine weitere Frage auf: Wenn das Nichtzulassen von Javascript so eine elementare und wirksame Sicherheitseinstellung ist, warum macht der Browser das dann nicht standardmäßig. Und warum weist Heise Online (oder ein beliebiges anderes journalistisches Produkt) nicht deutlich darauf hin, am besten mit einer kleinen Anleitung für völlig kenntnislose Anwender?

Nun, zum ersten Punkt fragt einfach das Browserprojekt eures Vertrauens! Chrome ist von Google, dem größten Reklamevermarkter des Internet, der für die Distribution seiner meist unerwünschten Inhaltevergällung und für das Tracking der Leser vollständig auf Javascript setzt, so dass klar ist, welche Entscheidung Google trifft: Der Nutzer mit seinem Schaden ist nachrangig, wichtig ist das eigene Geschäft. Der Firefox existiert in einer erschreckenden bis erstickenden Abhängigkeit von Google, so dass die dort getroffene Entscheidung in ihrer Motivation ebenfalls klar ist.

Der contentindustrielle Presseverlagsbetrieb im Web befindet sich in einer ähnlichen Abhängigkeit von der beinahe ausschließlich über Javascript realisierten Distribution von Reklame. Von daher ist eine Aufklärung der Leser über elementare Sicherheitseinstellungen mit einer Beschädigung des eigenen Geschäftsmodelles verbunden und unterbleibt deshalb praktisch immer.

Versteht mich jetzt bitte nicht falsch. Ich beschreibe das, ohne dass ich es mit einer Wertung verbinde. Die Motivation sowohl der großen Browserprojekte als auch der werbefinanzierten Presseverlagsangebote im Web ist völlig nachvollziehbar und verständlich. Niemand sägt den Ast ab, auf dem er sitzt. Was im Ergebnis herauskommt, ist eine schlechtere und gefährlichere Welt für uns alle. Die Äste, auf denen viele sitzen, werden aber auch nicht stabiler…

Die Abhängigkeit des gesamten »Apparates« von der Reklame im Web schafft Bedingungen, unter denen die Organisierte Kriminalität im Internet ihren Schaden anrichten kann und ihren Reibach macht. Nichts daran wird sich ändern, solange diese Abhängigkeit bestehen bleibt. Die Monetarisierung von Webauftritten über eingeblendete Werbung ist der Tod der Computersicherheit – und jene, deren Dateien in denen letzten Tagen mit einem Erpressungstrojaner unbrauchbar gemacht wurden und die jetzt bangend Banknoten der EZB gegen Bitcoin eintauschen und hoffen, dass sie wieder an ihre Fotos, Korrespondenz, Musik, Kontakte und Dokumente kommen; sie sind auch Opfer eines halbseidenen, gefährlichen und zutiefst unseriösen Geschäftsmodelles, das hoffentlich so schnell wie möglich an sein Ende kommt².

Es tut mir leid, dass ich euch dazu nichts schöneres sagen kann: Angesichts dieses gegenwärtigen Zustandes führt für euch – für dich, und für dich, und für jeden anderen – nichts daran vorbei, dass ihr euch selbst informiert, dass ihr wach und aufmerksam seid und dass ihr selbstverantwortlich und schlau handelt. Wenn ihr damit überfordert seid, wenn der ganze Technikkram euch so hirnt, dass ihr keine Chance seht, damit selbst klarzukommen, kann ich euch nur viel Glück mit eurem Freundes- und Bekanntenkreis wünschen, auf dessen Unterstützung und Hilfe ihr dann zurückgeworfen seid. Ich befürchte, viele Menschen werden damit nicht so viel Glück haben. Wenn die Menschen im Lesen und Schreiben nur so viele Kenntnisse hätten, wie sie in Informationstechnik haben, dann müsste man sie Analphabeten nennen³.

Die Browserprojekte und der Journalismus werden bis dahin die Strategie fahren, euch »gefühlte Sicherheit« anzubieten, um wenigstens Aktivität zu simulieren.

Der Journalist wird euch erzählen, dass ihr ein Antivirus-Schlangenöl braucht, um Computersicherheit herzustellen. Obwohl sich diese Softwaregattung bei aktuellen Angriffen regelmäßig als vollkommen nutzlos erweist; ganz im Gegensatz zur Abschaltung von Möglichkeiten, die jedem Gestalter und jedem Cracker einer Website Code im Browser ausführen lassen und ganz im Gegensatz zum Adblocker, der einen wichtigen Distributionsweg für Schadsoftware an der Wurzel unterbindet – beides wirkt bereits, noch bevor das Antivirus-Schlangenöl scheitern kann.

Auch die Browserprojekte versuchen es mit gefühlter Sicherheit. Firefox wird in Kürze auf Websites, die nicht TLS-verschlüsselt sind, standardmäßig Warnungen anzeigen, dass sie unsicher sind – das ist dann zum Beispiel auch hier der Fall. Vom viel größeren Sicherheitsproblem mit Javascript wird auf diese Weise erfolgreich abgelenkt, und das Geschäft Googles kann weitergehen. Koste es, was es wolle…

Deshalb: Fallt nicht darauf herein! Installiert euch NoScript für euren Browser! Installiert euch einen wirksamen Werbeblocker, der auch dort noch den wichtigsten Weg für Schadsoftware versperrt, wo ihr den Websites und ihren Machern so weit vertraut, dass ihr sogar ausnahmsweise Javascript gestattet. Ihr bewahrt euch damit vor Datenverlusten, Erpressungsversuchen und den meisten destruktiven »Spielereien« krimineller Zeitgenossen. Besser als eine lediglich »gefühlte Sicherheit« durch den Zauber unverstandener und regelmäßig wirkungsloser Software ist eine Haltung, die aktiv für die Sicherheit des Computers handelt. Zum Glück ist da in Sachen Webbrowser nicht so viel zu tun, denn fertige, Freie und kostenlose Lösungen warten darauf, dass sie von euch benutzt werden. (Allerdings ist manchmal auf die Webangebote von Vollidioten und Journalisten zu verzichten, die euch dazu zwingen wollen, Sicherheitssoftware für euren Browser abzuschalten, damit ihr Geschäft auf Kosten eurer Computersicherheit besser läuft. Glaubt mir: Es gibt Alternativen.)

Und das Beste daran: Es kostet nichts und macht generell das Web viel angenehmer.

Dazu könnt ihr doch gar nicht »nein« sagen, wenn ihr noch bei Troste seid! 😉

¹Es gibt keine hundertprozentige Sicherheit, und schon gar nicht durch nur eine einzige Maßnahme. Vor einigen Monaten gab es einen Angriff über einen Fehler im integrierten PDF-Anzeiger von Firefox, der sogar mit Linux funktioniert hat. Der Schutz dagegen war ähnlich einfach: Ein Adblocker. Denn die Schadsoftware wurde über Werbung in Websites verteilt.

²Ich bin optimistisch und gehe davon aus, dass der Werbemarkt im Internet binnen der nächsten zwei Jahre zusammenbricht; und mit ihm alle darauf basierenden Geschäftsmodelle. Ich habe Gründe für diese Prognose, aber diese sind so komplex, dass diese Fußnote sie nicht fassen kann. Komme es, wie es komme: Bis dahin haben wir den Salat.

³Mit Dank an ein staatliches Zwangsschulsystem, das heute die erwachsenen Menschen von morgen auf die Herausforderungen von gestern vorbereitet.

Veröffentlicht unter Technisches | Verschlagwortet mit , , , , , , , , | 4 Kommentare

Kurzanleitung: Hidden Service mit Tor aufsetzen

Publiziert am 30. Januar 2016 von Elias

Es ist verblüffend einfach, einen Hidden Service mit Tor aufzusetzen. Ich beschreibe hier das Vorgehen, das weniger als fünf Minuten Lebenszeit in Anspruch nimmt, für Linux. Für alle Aktionen an der Kommandozeile setze ich root-Rechte voraus.

Schritt 1: Einen Webserver besorgen und installieren.

Ob es sich um apache handelt, der inzwischen ziemlich »moppelig« geworden ist, oder um nginx, ist dabei eine Geschmacksfrage. Für einfache Aufgaben ist nginx wesentlich einfacher zu konfigurieren und außerdem deutlich performanter, während apache doch eine Menge Lesen verlangt. Und nein, das bedeutet nicht, dass man mit nginx nichts »komplexeres« machen kann…

Wer ein debianoides Linux (Debian, Ubuntu, Raspbian, Mint, Trisquel und viele mehr) verwendet, tippt einfach als Admin in der Konsole…

# apt-get install apache2

…oder…

# apt-get install nginx

…und hat hinterher einen laufenden Webserver, der beim Systemstart automatisch gestartet wird. Über die Konfiguration kann ich mich hier nicht in der gebotenen Ausführlichkeit auslassen, aber dafür gibt es im Web jede Menge Dokumentation.

Andere Distributionen mit rpm-Paketmanagement (insbesondere RedHat, Fedora oder SuSE) gehen natürlich anders vor, und wer Slackware benutzt, hat hoffentlich schon gelernt, wie man sich in einer Distribution ohne Paketmanagement behilft (es ist auch nicht so schwierig). Freunde von Arch Linux und Gentoo wissen sich sowieso zu helfen. 😉

Schritt 2: Die eigene IP-Adresse herausbekommen

# ifconfig | grep inet | grep -v '127.0.0.1'
inet addr:192.168.13.199  Bcast:192.168.13.255  Mask:255.255.255.0
# _

Diese IP-Adresse wird später, in Schritt 4, für die Konfiguration von Tor benötigt.

Schritt 3: Tor besorgen und installieren

Hier wieder der Teil für die debianoiden Linuxe:

# apt-get install tor

Das wars.

Schritt 4: Hidden Service in Tor konfigurieren

Hierfür muss die Konfigurationsdatei torrc im Editor bearbeitet werden – und tatsächlich sind nur zwei Zeilen einzufügen, die folgendermaßen aussehen (die IP-Adresse muss natürlich durch die richtige aus Schritt 2 ersetzt werden):

HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 192.168.13.199:80

Unter unixoiden Betriebssystem, die sich an den Dateisystemstandard halten, liegt diese Datei im Verzeichnis /etc/tor, für andere Betriebssysteme kann ich nichts sagen.

Nachdem die beiden Zeilen eingefügt wurden, steht noch die kleine Arbeit an, das Verzeichnis hidden_service an der konfigurierten Stelle anzulegen und die Rechte entsprechend zu setzen – dabei wird der im Folgenden verwendete technische User, unter dem der Tor-Dienst läuft, in nicht-debianoiden Distributionen aus naheliegenden Fiesheitsgründen völlig anders heißen.

Es ist aber nicht so viel Arbeit.

# cd /var/lib/tor
# mkdir hidden_service
# chown debian-tor:debian-tor hidden_service
# chmod 0700 hidden_service
# _

Nun gilt es nur noch zwei Dinge zu tun: Als erstes wird der Tor-Dienst neu gestartet, damit er die neue Konfiguration verwendet.

Wenn es sich um ein Linux mit systemd handelt, geht das so:

# systemctl restart tor
# _

Und wenn es sich um ein Linux mit sysvinit handelt, geht es so:

# /etc/init.d/tor restart
# _

Danach sollten im Verzeichnis hidden_service zwei Dateien liegen:

# ls -l
-rw------- 1 debian-tor debian-tor  23 Jan 29 22:10 hostname
-rw------- 1 debian-tor debian-tor 887 Jan 29 21:42 private_key
# _

In der Datei hostname steht der Onion-Domainname, unter dem der Hidden Service erreichbar ist – der wird natürlich anders sein als hier:

# cat hostname
z6bacnlvodyije26.onion

Wenn das nicht geklappt hat, noch einmal die Bearbeitung der torrc überprüfen und auch einen Blick auf die Rechte des Verzeichnisses hidden_service werfen.

Schritt 5: Hidden Service testen

Hierfür muss der Browser für die Benutzung von Tor konfiguiert werden. Beim Firefox ist hierzu in den Einstellungen der Punkt »Erweitert« auszuwählen, dort der Unterpunkt »Netzwerk«, wo dann unter »Verbindung« auf »Einstellungen« zu klicken ist. (Ja, ich weiß, im Gegensatz zu den einfachen Dingen an der Kommandozeile hirnt das alles ein bisschen…) Es ist »Manuelle Proxy-Konfiguration« auszuwählen und unter SOCKS-Host 127.0.0.1, Port 9050 einzutragen. Darunter ist SOCKS v5 zu aktivieren. Das Firefox-Projekt hat sich nicht gerade Mühe gegeben, diese Einstellungen leicht auffindbar oder leicht bedienbar zu machen. Für andere Browser kann ich keine Aussagen machen, aber das Internet ist voller Dokumentation.

Nach abschließendem Klick auf »OK« kann man hier schnell überprüfen, ob der Browser Tor verwendet. Dies sollte immer der Fall sein.

Ich empfehle übrigens, sich gut zu merken, wie man diese Einstellung wieder rückgängig macht – sonst bekommt man bei eventuellen Problemen nicht einmal mit seinem Webbrowser mehr eine Verbindung zum Internet. Die Einstellung »Kein Proxy verwenden« dürfte bei fast jedem richtig sein.

Aber warum hat der Proxy jetzt die IP-Adresse 127.0.0.1, also die Loopback-Adresse des Rechners, an dem man gerade arbeitet? Nun, es läuft ja ein in Schritt 2 installierter Tor-Dienst auf dem lokalen Rechner, den wir natürlich benutzen. Port 9050 ist der Standardport; um einen anderen Port zu verwenden, müsste man SocksPort in der Datei torrc verändern. Dies wird wohl niemals nötig sein.

Schritt 6: Endlich! Ein laufender Hidden Service!

So, und damit zum Spaß an der Sache: In die Adresszeile des Browsers den Rechnernamen aus der Datei hostname eingeben – gut, dass es eine Zwischenablage gibt – und nach einer gewissen Wartezeit (es können beim ersten Aufruf schon zehn bis zwanzig Sekunden werden) erscheint die Startseite des in Schritt 1 lokal installierten Webservers. Diese kann unter dieser Adresse aus dem gesamten Internet heraus aufgerufen werden, und das recht anonym und schwierig überwachbar. Einzige Voraussetzung dafür ists, dass Tor benutzt wird. Die in diesem Webserver zur Verfügung gestellten Inhalte sind nicht öffentlich sichtbar, was ja auch die Bedeutung des Wortes Hidden Service ist – um jemanden Zugriff darauf zu geben, muss man ihm (oder ihr) also die Adresse zukommen lassen. Wenn es um empfindliche, private Dinge geht, aber besser nicht in einer unverschlüsselten E-Mail, die offen wie eine Postkarte durch das Internet befördert wird, denn sonst kann man sich die Mühe mit dem Hidden Service gleich sparen.

Wer so etwas ständig laufen lassen möchte, ist vermutlich gut mit einem Raspberry Pi beraten, der deutlich weniger Energie verbraucht als ein PC.

Ach ja: Wer ab jetzt nicht ständig mit Tor surfen möchte, sollte hinterher die Proxy-Einstellungen im Browser zurücksetzen. Und wer es vielleicht doch manchmal möchte, ist gut beraten, sich ein Browser-Addon für das schnelle Umschalten zwischen verschiedenen Proxy-Konfigurationen zu besorgen.

Veröffentlicht unter Technisches | Verschlagwortet mit , , | 13 Kommentare

Ein WordPress-Problem mit OEmbed

Publiziert am 6. Januar 2016 von Elias

In der aktuellen WordPress-Version 4.4 gibt es ein ärgerliches, kleines Problem mit der neuen OEmbed-Funktion, die dafür sorgt, dass andere Websites (insbesondere S/M-Sites¹) eine Vorschau des Blogbeitrages einbetten können.

Wenn man – um die Installation ein bisschen zu härten, was ich übrigens unbedingt empfehlen würde – sein wp-admin-Verzeichnis mit einem Passwort geschützt hat, kann es dabei zu folgendem Problem kommen:

Eine Darstellung der eingebetteten Ansicht im Browserfenster mit einem Blogartikel, überlagert von einer Eingabeaufforderung für Benutzername und Passwort

Der Betrachter wird aufgefordert, ein Passwort für das geschützte Verzeichnis wp-admin einzugeben.

Die Ursache dieses Problemes ist folgende:

Detail aus der eingebetteten Ansicht mit dem Namen des Blogs und einem WordPress-Logo

Das WordPress-Logo in der eingebetteten Ansicht wird aus dem Verzeichnis wp-admin genommen.

Ich halte das für einen Fehler und habe deshalb eben ein Ticket dafür aufgemacht. Der Fehler liegt in der manchmal falschen Annahme, dass das Verzeichnis wp-admin für das gesamte Web frei lesbar ist. Zur Behebung habe ich vorgeschlagen, ein Bild mit dem WordPress-Logo im besser geeigneten Verzeichnis wp-includes zu platzieren und innerhalb der eingebetteten Ansicht zu verwenden, so dass es möglich bleibt, den Zugriff auf wp-admin einzuschränken.

Da es sich um einen Fehler handelt, der nur bei wenigen Menschen auftritt, kann es sein, dass er nicht schnell behoben wird. Ich habe eher schlechte Erfahrungen mit der Behandlung derartiger Fehler gemacht, die auch mal ganz nach hinten gerückt werden und jahrelang in der Versenkung verschwinden, während unser aller Lieblingsbloatware zu meinem Missfallen mit allerlei neuen »Beglückungsideen« der Entwickler aufgeplustert wird. (Nachtrag: Der Fehler wird in der kommenden WordPress-Version 4.5 behoben. Da es einen einfachen Workaround gibt, sehe ich in der Verzögerung kein Problem.)

Zum Glück gibt es einen sehr einfachen

Workaround

Wenn man dem Blog ein Website-Icon gibt, wird dieses in der eingebetteten Ansicht anstelle des WordPress-Logos verwendet. Das geht folgendermaßen (Beschreibung für die gegenwärtige deutsche Sprachdatei):

  1. Passendes PNG-, JPEG- oder GIF-Bild, am besten mit 512×512 Pixeln, anfertigen
  2. Auf der Startseite des Blogs oben im Menü auf »Anpassen« klicken
  3. Dort »Website-Informationen« auswählen
  4. Das Bild als »Website-Icon« hochladen, gegebenenfalls gewünschten Bereich ausschneiden
  5. Nicht vergessen, diese Änderung auch zu speichern
  6. Das eben beschriebene Problem ist damit behoben

Diesen Workaround habe ich hier und in Unser täglich Spam getestet.

Nebenwirkung: Dieses Website-Icon wird auch im Browser als Favicon angezeigt. In den meisten Fällen sollte dies kein Problem sein.

Mein Dank geht an R., die mich auf diesen Fehler hingewiesen hat. Um den Fehler einzugrenzen, habe ich eine unerfreulich lange Zeit mit den Logdateien zugebracht, und dabei habe ich bemerkt, dass dieser Fehler wohl in den letzten Tagen tausendfach durch Links bei Facebook, Twitter und im Fediverse aufgetreten ist, ohne dass jemand auf die Idee gekommen wäre, mir das mitzuteilen. (Außerdem habe ich bemerkt, dass es eine gute Idee ist, wp-admin ein bisschen besser zu schützen, denn Hacker hacken nun mal.) Nur ein beseitigter Fehler ist ein guter Fehler… 😉

¹S/M ist meine Abk. für »social media«. Aus Gründen.

Veröffentlicht unter Technisches | Verschlagwortet mit , , , , , | Schreib einen Kommentar