Hoheit über die eigenen Daten zurück

[pixel24]

Hallo zusammen,

ich bin jetzt nicht ganz sicher ob dies das richtige Unterforum ist aber nach meinem Empfinden hat es mit Sicherheit zu tun. Dagegen spricht dass es nich Debian spezifisch ist. Dann bitte verschieben.

Seit längerer Zeit - wohl seit der NSA-Affäre - mache ich mir Gedanken darüber welche Spuren ich mit all meinen Aktivitäten (Webbrowser, Facebook, Google+, Handy etc.) im Netz hinterlasse und wie detailliert wohl mein Profil aussehen mag. Ich möchte die Hoheit über meine Daten soweit es geht bzw. noch sinnvoll umsetzbar ist zurück.

Ich habe mich schon ein wenig informiert bzw im Netz recherchiert und denke es ist ein sehr vielschichtiges Problem. Ich schilder einfach mal meine Gedanken und wenn ich falsch liege freue ich mich über Kommentare.

In einem ersten Schritt werde ich meine Accounts in den Social-Networks (Facebook / Google+) löschen. Ich denke diese Plattformen "leben" davon Daten zu sammeln. Dies stellt für mich jedoch kein großer Einschnitt dar da, zumindest bei Facebook, nur noch wenig sinnvolles durch die Timeline geht. Auf dem Handy habe ich im Moment via MultiROM SailfishOS und Ubuntu-Touch im Einsatz. Bin noch am testen welches ich nehme. Bedeutet dass ich keinen Google-Account mehr benötige.

Der zentrale Zugang des Netzwerkes ist über IPFire realisiert. Hier habe ich nun Tor eingerichtet um den Internet-Verkehr zu anonymisieren. Auf dem Client (Debian8/KDE) benutze ich den Konqueror als Webbrowser.

Ich denke beim Webbrowser liegt, aus sicht der Werbeindustrie, das größte Potential. Was kann ich hier tun damit auf dem Rechner keiner Supercockies platziert werden bzw kann man dies überhaupt unterbinden?

Der letzte Ansatzpunkt ist wohl die Suchmaschine. Ich denke Google als Datensammler zu bezeichnen ist keine Übertreibung. Gibt es alternativen welche eine anonyme Suche bereitstellen? Ich meine in einer Linux-Zeitschrift vor kurzem etwas gelesen zu haben dass es alternative Suchmaschinen bzw. solche Metacrawler gibt. Hat jemand von Euch Erfahrung damit bzw. kann mir einen Tipp geben?

Sollte ich einen wichtigen Punkt übersehen haben wäre ich für jeden brauchbaren Tipp dankbar.

Viele Grüße
pixel24

[hikaru]

In einem ersten Schritt werde ich meine Accounts in den Social-Networks (Facebook / Google+) löschen.

Das halte ich für sinnlos, denn du kannst ja nicht mal sicherstellen, dass die Accounts samt der damit verknüpften Daten wirklich gelöscht werden.
Die Konten einfach nicht mehr zu nutzen halte ich für die bessere Alternative, denn veralten werden die über dich gespeicherten Daten so oder so und alles was du mit einer Löschung erreichst ist die zusätzliche Information hinzuzufügen, dass du dich aus freien Stücken vom Netzwerk verabschiedet hast. Lässt du sie verwaisen, dann könnte es theoretisch auch bedeuten, dass du vom Bus überfahren wurdest. Diese Unsicherheit über den Ausscheidegrund verschlechtert die Qualität der so oder so über dich vorliegenden Daten.
Eine Einstellung der Nutzung beinhaltet natürlich auch die Lösung aller Verknüpfungen, die möglicherweise über andere Kanäle Daten an die Plattform senden. Mir fallen da zuerst die fast überall vorhandenen Like-Buttons ein. Substanzielles kann ich dazu allerdings nicht beitragen, da ich mich selbst nie bei einer solchen Plattform angemeldet habe.

Auf dem Handy habe ich im Moment via MultiROM SailfishOS und Ubuntu-Touch im Einsatz. Bin noch am testen welches ich nehme.

Sicher sind beide besser als einen der drei "Big Player" zu nehmen. Aber keines dieser Systeme ist vollständig frei. Eine gewisse Unsicherheit bleibt also bei beiden. Mein Misstrauen gegenüber Sailfish wäre tendenziell geringer.
Lass das Handy doch einfach zu Hause wenn du es nicht brauchst! Eine Alternative wäre es abzuschalten, aber das verrät ähnlich wie die Löschung von Konten wieder, dass du dich bewusst oder unbewusst aus freien Stücken gegen ein Tracking entschieden hast (oder zu dösig zum rechtzeitigen Aufladen warst). Ein laufendes Handy das du nicht bei dir hast liefert aktiv Daten die Müll sind. Z.B. habe ich laut meinem Handy seit einem Monat meine Wohnung nicht verlassen.

Ich denke beim Webbrowser liegt, aus sicht der Werbeindustrie, das größte Potential. Was kann ich hier tun damit auf dem Rechner keiner Supercockies platziert werden bzw kann man dies überhaupt unterbinden?

Das Thema Supercookies ist zu komplex als dass ich es überblicken würde. Ich vermute aber, dass ein nicht persistentes Live-System eine gute Gegenmaßnahme sein sollte.

Der letzte Ansatzpunkt ist wohl die Suchmaschine. Ich denke Google als Datensammler zu bezeichnen ist keine Übertreibung. Gibt es alternativen welche eine anonyme Suche bereitstellen?

Ich werfe einfach mal Ixquick, Startpage und Duckduckgo in den Raum. Im Zuge dessen bin ich gerade auch noch übrr MetaGer gestolpert, das mir allerdings erstmal gar nichts sagt, außer dass ich den Namen schon mal gehört habe.

[pixel24]

In einem ersten Schritt werde ich meine Accounts in den Social-Networks (Facebook / Google+) löschen.

Das halte ich für sinnlos, denn du kannst ja nicht mal sicherstellen, dass die Accounts samt der damit verknüpften Daten wirklich gelöscht werden.
Die Konten einfach nicht mehr zu nutzen halte ich für die bessere Alternative, denn veralten werden die über dich gespeicherten Daten so oder so und alles was du mit einer Löschung erreichst ist die zusätzliche Information hinzuzufügen, dass du dich aus freien Stücken vom Netzwerk verabschiedet hast. Lässt du sie verwaisen, dann könnte es theoretisch auch bedeuten, dass du vom Bus überfahren wurdest. Diese Unsicherheit über den Ausscheidegrund verschlechtert die Qualität der so oder so über dich vorliegenden Daten.
Eine Einstellung der Nutzung beinhaltet natürlich auch die Lösung aller Verknüpfungen, die möglicherweise über andere Kanäle Daten an die Plattform senden. Mir fallen da zuerst die fast überall vorhandenen Like-Buttons ein. Substanzielles kann ich dazu allerdings nicht beitragen, da ich mich selbst nie bei einer solchen Plattform angemeldet habe.

Interessanter Gedanke.

Auf dem Handy habe ich im Moment via MultiROM SailfishOS und Ubuntu-Touch im Einsatz. Bin noch am testen welches ich nehme.

Sicher sind beide besser als einen der drei "Big Player" zu nehmen. Aber keines dieser Systeme ist vollständig frei. Eine gewisse Unsicherheit bleibt also bei beiden. Mein Misstrauen gegenüber Sailfish wäre tendenziell geringer.
Lass das Handy doch einfach zu Hause wenn du es nicht brauchst! Eine Alternative wäre es abzuschalten, aber das verrät ähnlich wie die Löschung von Konten wieder, dass du dich bewusst oder unbewusst aus freien Stücken gegen ein Tracking entschieden hast (oder zu dösig zum rechtzeitigen Aufladen warst). Ein laufendes Handy das du nicht bei dir hast liefert aktiv Daten die Müll sind. Z.B. habe ich laut meinem Handy seit einem Monat meine Wohnung nicht verlassen.

Ja, SailfishOS wäre mir tendenziell auch lieber als Ubuntu wenn ich dann endlich die Card- und cal DAV Anbindung zum laufen bekomme, Ich bin beruflich einfach darauf angewiesen mit Handy und Laptop unterwegs zu sein. Das ist nicht umsetzbar.

Ich denke beim Webbrowser liegt, aus sicht der Werbeindustrie, das größte Potential. Was kann ich hier tun damit auf dem Rechner keiner Supercockies platziert werden bzw kann man dies überhaupt unterbinden?

Das Thema Supercookies ist zu komplex als dass ich es überblicken würde. Ich vermute aber, dass ein nicht persistentes Live-System eine gute Gegenmaßnahme sein sollte.

Das ist für mich absolut nicht praktikabel da ich wie gesagt PC, Laptop und Handy beruflich brauche und hier nicht jedes mal ein Live-System booten kann um ins Web zu gehen. Ich habe nur in einer TV-Doku auf arte mal einen Bericht über dieses Supercockies gesehen. Hat mich dann doch etwas schockiert. Ich versuche hier mal weiter an Informationen zu kommen.

Der letzte Ansatzpunkt ist wohl die Suchmaschine. Ich denke Google als Datensammler zu bezeichnen ist keine Übertreibung. Gibt es alternativen welche eine anonyme Suche bereitstellen?

Ich werfe einfach mal Ixquick, Startpage und Duckduckgo in den Raum. Im Zuge dessen bin ich gerade auch noch übrr MetaGer gestolpert, das mir allerdings erstmal gar nichts sagt, außer dass ich den Namen schon mal gehört habe.

Danke! Werde ich mir anschauen. Ich suche hauptsächlich IT-Probleme/Fragen kann also auf die ganze Zalando und Co Werbung verzichten.

[pixel24]

Der 10-Punkte Plan des BSI zum sicheren surfen:
https://www.bsi.bund.de/SID15.html;jses ... D.2_cid359
ich weiß nicht ob ich lachen oder weinen soll ....

[hikaru]

Wenn du sowohl Handy als auch Internet beuflich stark brauchst, dann ließe sich darüber nachdenken, berufliche und private Infrastruktur zu trennen. Ich mache z.B. über das Internet Bereitschaftsdienst. Dafür betreibe ich eine eigene virtuelle Maschine. Mein Host-System, über das ich alles Private erledige, ist nie mit meinem Beruf in Kontakt gekommen.
Zwei Handys wären ebenfalls eine Option beides zu trennen. Der einzige Grund warum ich das nicht mache ist, weil sich meine private Telefonbenutzung im Wesentlichen auf das Abstimmen von realen Treffen beschränkt.

[eggy]

Ein weiterer Punkt wäre evtl noch Mail: Anbieter/Verschlüsselung

[Meillo]

Vielleicht ist dieser Text hilfreich: http://irights.info/artikel/meine-daten ... etzt/24053

[inne]

Der zentrale Zugang des Netzwerkes [...] habe ich nun Tor eingerichtet um den Internet-Verkehr zu anonymisieren.

Da wird das Netz dann plötzlich ganz klein... Wenn man auf HTTP ohne S, selbst signierte Zertifikate und JS verzichtet. Was bei tor empfohlen wird!

Ein weiterer Punkt wäre evtl noch Mail: Anbieter/Verschlüsselung

Da finden sich 2-3 Anbieter u.a. riseup.net und ruggedinbox.com.
Beide Anbieter unterstüzten explizit die Nutzung via tor (Kein Logout bei IP-Wechsel, kein JS erforderlich (dann squirrelmail statt roundcube f. webmail) usw.).

PS: Der Logout bei IP-Wechsel (unter tor) ist auch hier im Forum ein lästiges Problem....
PPS: https://help.riseup.net/de/security

[niesommer]

Hallo,
Da habe ich doch ein paar links für dich:
https://privacy-handbuch.de/handbuch_21.htm
https://ip-check.info/?lang=de&foundHTTPS=true
https://panopticlick.eff.org/
https://www.youtube.com/user/SemperVideo
http://www.fixmbr.de/opendns-und-andere ... ns-server/
http://www.selbstdatenschutz.info/
http://yacy.net/de/
https://search.trashserver.net/
Steige von Facebook auf Diaspora um: https://podupti.me/ oder https://de.wikipedia.org/wiki/Friendica
Von Twitter auf Quitter: https://quitter.se/ oder http://wiki.gnusocial.de/gnusocial:start
https://prism-break.org/de/subcategorie ... -networks/
Verschlüsselte Chats und Videochats: https://jitsi.org/Main/HomePage
Anonyme Mails: https://www.guerrillamail.com/
Hoffe das da was für dich dabei ist. Die daten die gesammelt wurden bekommst du nicht zurück, aber du kannst versuchen dafür zu sorgen das die daten nicht mehr so reichlich fliessen. Wenn du dich noch tiefer damit beschäftigst wirst du fesstellen das es nocht viel mehr zu diesen Themen gibt. Viel Spass und viel erfolg.

Noch ein Nachtrag:
http://www.emailtester.de/anonyme-email ... tellen.php
https://privacyknowledge.org/
https://itsecblog.de/category/grundlagen/
http://www.jenseitsderfenster.de/2015/0 ... -schlecht/
http://www.pro-linux.de/artikel/2/1761/ ... chten.html

[tomi89]

Bei Tor musst du bedenken, dass du einen vertrauenswürdigen Exit-Node benutzt, da dieser HTTP-Verkehr mitlesen kann.

Sicherheitshalber sollte trotzdem das HTTPS-Everywhere Addons benutzt werden. Nicht vergessen den Hacken für die Aktivierung des SSL-Observatory in den Addoneinstellungen zu setzen.

Die NSA kann dich am TCP-Timestamp innerhalb des Tor-Netzwerks verfolgen. Wird dieser jedoch deaktiviert, erhöht das wiederum das Fingerprinting im Netz des ISPs, für alle anderen Verbindungen.

Außerdem überwacht die NSA alles vor und hinter dem Proxy, also vergiss es.

Die können auch anhand der Größe von statischen Webseiten oder einem Favicon aus dem verschlüsselten Verkehr lesen welche Seiten du besuchst.

Bald weder Passwörter durch eine Reihe von Imoticons ersetzt, weil das mehr Arbeit für Bruteforce bedeutet. Wenn die Imoticons nicht 100% gleichgroß sind werden die auch gleich noch mitgelesen.

Ob die Verschlüsselung von Tor vor solchen Analysen schützt weis ich nicht, bei Jondonym wird auf jeden Fall versucht sie zu erschweren.


Der wichtigste Schritt ist bewusstes Handeln und selbstkontrolle.

Bei der Preisgabe der Informationen muss man unterscheiden zwischen allgemeinem Interesse (was man gerne anschaut) und wirklich privatem (Alltag, Gedanken, Meinung, Gefühle).

Erstes kann man noch weitgehend vor Trackern verbergen, solange man keine Datenkraken verwendet. Letzteres sollte man unbedingt verhindern, Stichwort Sozial Networking, Cloud, Sprachassistenz etc.


Die Strategie für den Webbrowsers ist die, dass alle innerhalb eines Netzwerkes gleich aussehen. Da gibt es nur 2 halbwegs sinnvolle Möglichkeiten: Tor und Jondonym.

Und nein, es bringt nichts 2 oder 3 Header zufällig zu mixen, es reichen bereits 3 Fragments aus, die man ohne quellcodemanipulation nicht verändern kann und durch die man zu ca. 98% wiedererkennbar wird.

Es muss sowohl der Fingerprint des Browsers, als auch die IP zusammenpassen, weil ansonsten ein einzigartiger Hash daraus gebildet werden kann.

Also Tor ohne Torbrowser kann man z.B. vergessen. Und jede Browsereinstellung oder ein verändertes Zoomlevel machen einzigartiger.

Die Benutzergruppe eines Anonymisierungsnetzwerkes lässt sich weiterhin eingrenzen, durch Bildschirmauflösung, Browserfenstergröße, benutzbare Fläche (abzüglich Pixelhöhe des Taskleiste), Systemzeit (NTP-Synchronisation hilft) etc.

Dann kommt noch der Faktor Uhrzeit hinzu und wie häufig eine Webseite von anderen, welche exakt gleich aussehen, besucht wird.


Wie auch immer.

Torbrowserbundle oder Jondonym benutzen und nichts am Setup verändern was irgendwie zu Fingerprinting führen könnte, E-Mail meiden, keine Datenkraken/Cloud/Sprachassistenz/Sensoren benutzen, aufpassen welche Informationen man preis gibt.


Ich habe mein Profil aufgeteilt und zwischen meiner Person zuortbar und nur einem Browser zuortbar unterschieden.

1. Ein Tabled benutze ich zum allgemeinen surfen, d.h. wo ich niemals persönliche Daten übertrage und nicht persönlich registriert bin.

Phonehome und Datenerfassung durch Mikro/Webcam ist verhindert, Cloud und Sprachassistenz etc. ebenfalls.

Ich gehe niemals mit eigener IP online, d.h. nur in fremden WLANs oder über Mobilfunk.

Wobei der Mobilfunkanbieter wieder Metadaten meiner Person zuordnen kann, aber auf dem Land geht das bei mir momentan leider nicht anders.

Für die Tracker im Netz entsteht bloß ein Profil zum Browser/Gerät, aber nicht zu meiner Person.

2. Zu Hause auf dem Debian Laptop läuft wiederum alles ab, was sowieso meiner Person zugeordnet werden kann, d.h. wo ich persönlich registriert bin oder private Informationen preisgebe.

Es wird so wenig wie möglich preisgegeben und Datenkraken vermieden.

Aus alter Gewohnheit wird dennoch alles über Torbrowserbundle und Jondonym abgewickelt, um den ISP am mitlesen zu hindern und damit durch Browserhistory/Evercookies etc. möglichst keine automatische Verkettung statt findet.

Somit habe ich die für mich optimale Privatsphäre und weitere Anstrengungen hindern die NSA sowieso nicht am mitlesen. Geolocation kommt sich so auch nicht in die Quere.

Ein großen Vorteil ist auch, dass das surfen einfach nur funktioniert, während bei den paar Webseiten von Punkt 2 sich via Requestpolicy etc. alles genau eingrenzen lässt.

[niesommer]

Hier habe ich noch eine Suchmaschine sehr speziell: https://ahmia.fi/search/

[inne]

Suchmaschine sehr speziell: https://ahmia.fi/search/

Die ist ja mal richtig speziell.

Noch habe ich keinen hidden-service mit echtem Mehrwert für mich gefunden... (Okay; ausser Wikileaks und Piratebay vlt..)
Aber viellicht ja jetzt mit https://ahmia.fi/stats/viewer
Das muss ich mir mal ansehen...

[goeb]

Das ist für mich absolut nicht praktikabel da ich wie gesagt PC, Laptop und Handy beruflich brauche und hier nicht jedes mal ein Live-System booten kann um ins Web zu gehen.

Du kannst auch ein chroot mit dem Browser einrichten, und ein overlayfs darüber mounten, für dieses Szenario am besten mit einem tmpfs als 'upper' filesystem. Mit ein paar Scripts um das Ganze zu automatisieren hast du etwas ähnliches wie ein Live-System.

[tomi89]

@goeb Du meinst firejail?

[goeb]

@goeb Du meinst firejail.

Nein, AFAIK ist firejail eher ein Tool um die Rechte eines Programms einzuschränken (über namespaces, seccomp filter, capabilities…).

Wenn das Ziel ist: Browser starten, browsen, Browser beenden und alles löschen was nach dem Start des Browser geändert wurde (also beim nächsten Start des Browser die selbe Umgebung vorzufinden wie beim ersten Start, keine Cookies, keine Supercookies, etc.), dann kann man einfach ein overlayfs über das eigentliche Dateisystem legen und alle Änderungen beim Beenden des Browsers löschen (also ähnlich einem Live-System), und das Ganze ohne direkt ein Live-System starten zu müssen.

[tomi89]

@goeb Nicht mehr. Firejail kann mitlerweile auch overlayfs, sowie via "--private" eine temporäre /home/user/ und /root/ kopie verwenden. Dann ist nach dem beenden des Browsers ebenfalls alles Browserspezifisches weg. An sonsten kann man ehe via read-only, blacklist oder tmpfs die Dateisystemzugriffe einschränken. Und chroot kann es auch. Und noch weiteres.

[goeb]

@goeb Nicht mehr. Firejail kann mitlerweile auch overlayfs, sowie via "--private" eine temporäre /home/user/ und /root/ kopie verwenden. Dann ist nach dem beenden des Browsers ebenfalls alles Browserspezifisches weg. An sonsten kann man read-only, blacklist oder tmpfs benutzen für das Dateisystem-Management. Und chroot kann es auch. Und noch weiteres.

Cool. Dann kann es evtl. meine LXC-Container komplett ersetzen. Aber: In Debian Jessie gibt es kein firejail (mein Desktop läuft mit Wheezy, wird demnächst auf Arch umgestellt), die Lösung mit eigenen Scripts und overlayfs ist da vielleicht noch die einfachste (sofern der Jessie-Kernel overlayfs unterstützt, keine Ahnung seit wann es im Vanilla ist).

[tomi89]

Für Debian gibt es ein Paket auf der Originalseite und für Arch ist es im AUR vorhanden. Keine Abängigkeiten vorhanden.

OverlayFS wird aber erst ab 3.18 unterstützt, seh ich gerade.

[pixel24]

Vielen Dank für die umfngreichen Hinweise! Die Links werde ich in Ruhe sichten. Was die Mail-Nutzung angeht habe ich ein relativ gute Ausgangslae da ich einen eigenen Mail-Server betreibe. Die Verbindung zu selbigen habe ich verschlüsselt.

Cloud-Dienste hatte ich noch nie im Einsatz da ich hier immer Bedenken hatte.

Das Thema mit der Anonymisierung werde ich mir nochmal in Ruhe durchlesen. Ich habe den Tor-Client nun einfach mal auf dem IPFire aktiviert und einen deutschen Exit-Node gewählt. Einfach weil dies recht einfach einzurichten war.

[Lord_Carlos]

Kann man sich sowas wie ein "Super cookie" auch einfangen wenn man im inkognito unterwegs ist?
Nutzt es dann schwachstellen im browser aktiv aus oder ist das "by design" so?

[uname]

Den Supercookie kannst du unter http://www.radicalresearch.co.uk/lab/hstssupercookies/ versuchen zu testen. Wenn du ehrlich etwas erreichen willst lagere ~/.mozilla in die Ramdisk aus. Wobei dann solltest du dich auch noch mit Browser-Fingerprinting ( https://panopticlick.eff.org/ ) beschäftigen. Bei mobilen Geräten wirst du wohl immer manuell alles löschen müssen. Sicher ist das Internet wohl nur wenn du darauf verzichtest.

[tomi89]

Ja, ohne Quellcodeanpassung kann man sich immer Supercookies einfangen, wenn man Javascript aktiviert.

Selbst bei Jondonym bleibt das Tabname-Evercookie übrig.

Wie es beim Torbrowser ist kann ich gerade nicht testen.

Es gibt auch min. 2 Punkte welche beim Torbrowser gemacht werden und bei Jondonym nicht, weil sie sich zu simpel umgehen lassen.

Letztendlich hilft nur das meiden von Datenkraken und der Einsatz von Adblockplus oder Policeman.

Für den Durchschnittssurfer sind die Maßnahmen soweiso ausreichend.

[shellshock]

Hier gibt's eine tolle Artikelserie zum "spurenarmen surfen" mit Tor. Verständlich erklärt und aktuell. Leider ist der Autor gerade verhindert, daher "stockt" die Serie gerade bei Betirag Nummero 3.

Dennoch lesenswert:
[1] http://www.kuketz-blog.de/wir-sind-nur- ... ata-teil1/
[2] http://www.kuketz-blog.de/das-3-browser ... ata-teil2/
[3] http://www.kuketz-blog.de/konfiguration ... ata-teil3/