planetknauer.net

Heute ist wieder mal ein Brief mit Schweizerkreuzchen ins Haus geflattert. Wie üblich verheisst das nichts gutes. Normalerweise verheisst das Militär, dieses Mal ist's jedoch was anderes, Abwechslung macht schliesslich das Leben süss. Und zwar wurde ich auserwählt für eine Umfrage mit dem Decknamen SAKE. Nichts gegen Sake, aber dann bitte aus einem Glas, idealerweise nach einem anständigen Wok-Menü. Bei diesem SAKE geht's aber um die "Schweizerische Arbeitskräfteerhebung". Vorgenommen wird das von einem komischen Marktforschungsinistitut (so wie's ausschaut wohl privatwirtschaftlich), in Auftrag gegeben vom Ministerium für Wahrheit... äh Bundesamt für Statistik.

Selbstverständlich wird der Datenschutz eingehalten bla bla bla, die Daten nur zu statistischen Zwecken benutzt bla bla bla... Joa selbstverständlich! Und der Weihnachtsmann krault grad die Ohren des Osterhasen. Durchgeführt wird das über vier (!!!) telefonische Interviews. Da muss ich mir doch grad überlegen, wie ich denen möglichst renitent antworten werde. Vielleicht hilft mir ja dieses Formular weiter.

Na mal sehen was diese Stasitiker [sic!] denn genau fragen wollen. Und zu welchem absolut unpassenden Zeitpunkt sie anrufen werden.

Da werden doch Erinnerungen an die Kindheit wach: Die Mauer ist gefallen, die DDR-Stasi-Archive wurden geöffnet... und in den ach so guten und freien westlichen Ländern wie der Schweiz hat man festgestellt: Hey, unsere Geheimdienste waren ja gar nicht besser! Auch hierzulande wurde geschnüffelt bis die Nasenscheidewände kollabiert sind.

Und nun kommen also unsere EJPD-Heinis wieder daher und wollen wieder schnüffeln. Na gut. Sachliche Kritik nutzt bei den merkbefreiten Politikern eh nichts. Nehmen wir's also humoristisch. Ich hab in der Folge in Anlehnung an die deutschen Schäublonen für SSchäuble und Zensursula nun eine Schlumpfone unserer EJPD-Führerin gebastelt. Bitte sehr, steht zur freien Verwendung zur Verfügung:

Wer das Thema bislang verschlafen hat, dem empfehle ich diese perfekt aufbereitete und kommentierte Linksammlung.

So, und was soll ich als nächstes tun? Nen vServer in Holland oder Schweden mieten und all meinen Traffic da drüber laufen lassen? Oder mich lieber gleich in die nächste Klappsmühle einsperren lassen, damit die mich die nächsten 50 Jahre unter Drogen setzen, so dass ich die abstrusen Vorgänge in dieser Welt nicht mehr mitbekomme?

So langsam ergreifen die Parteien die Parole für die Abstimmung über die biometrischen Pässe vom 17. Mai. Unsere demagogischen jederzeit neutralen, objektiven und unparteiischen Medien berichten auch brav darüber. Jedoch immer mit zwei klitzekleinen Detailfehlern: Erstens titeln sie ihre Beiträge jeweils immer zum Thema "Einführung von biometrischen Pässen" bzw der "Nichteinführung von biometrischen Pässen". Das ist leider, leider, leider KREUZFALSCH!!! Die biometrischen Pässe sind nämlich bereits eingeführt worden. Es ist bereits jetzt problemlos möglich, seine Fingerabdruckdaten zentral registrieren zu lassen und diese brav per in alle Welt funkenden Pass zu verteilen. Zweitens kann das nicht so ein zwingendes Kriterium für die Schengenmitgliedschaft sein, wenn die Schengenländer Irland, Grossbritannien und Dänemark kein Obligatorium für biometrische Pässe kennen.

Richtigerweise geht es in der Abstimmung um die "Abschaffung traditioneller, nichtbiometrischer Pässe". Wird nämlich an der Abstimmung der Zwang zu biometrischen Pässen abgelehnt, ändert sich nichts. Dann behält man weiterhin die Wahl zwischen biometrischem und nichtbiometrischem Pass. Wer also "nichts zu verbergen™" hat, darf sich trotzdem den biometrischen Pass holen. Wird hingegen der Zwang zu biometrischen Pässen angenommen, so muss jeder Schweizer einen teuren, unsicheren, ortbaren Pass kaufen und sich wie ein Verbrecher fichieren lassen. Ob er nun in die USA reisen will oder nicht.

Übrigens, liebe Windfähnlipartei (CVP), die ihr ja den Biometriezwang so sehr unterstützt: Ich hab euch noch eine coole Idee für einen Vorstoss nach der Abstimmung. In Mexiko bekommt man jetzt neue Handies nur noch gegen Abgabe eines Fingerabdrucks. Das könnt ihr doch auch in der Schweiz versuchen einzuführen. Damit würdet ihr mir helfen, viel, viel Geld zu sparen. Weil ich dann das Handy wieder abschaffen und Kontakte künftig ganz traditionell mit der analogen Technik Stift und Papier aufnehmen werde. Meine Fingerabdrücke gibt's erst, wenn mir ein Verbrechen untergeschoben wird. Punkt.

Apache ist ein äusserst exponierter Dienst. Grad auf Servern mit vielen Seiten und zahlreichen PHP-Skripten ist das durchaus die grösste Bedrohung für die Serversicherheit. Daher empfiehlt es sich, der Absicherung von Apache besonders viel Aufmerksamkeit zukommen zu lassen. Eine wichtige Methode der Absicherung ist das chroot, in dem der Apache in ein Unterverzeichnis des Systems gesperrt wird. Gelingt ein Angriff auf ein Webskript, so sind für den Angreifer noch immer weitere Hürden in den Weg gelegt, bevor er sich im System einnisten kann.

Relativ einfach lässt sich ein chroot mittels mod_chroot einrichten. Es gibt auch unzählige Howtos im Internet. Aber leider kein einziges brauchbares. Apache ins chroot sperren ist an sich keine Sache. Die nötigen Pakete installieren, dann noch zwei Konfigurationseinträge vornehmen und gut. Gut? Nein! Denn damit geht eigentlich gar nichts mehr, ausser der Auslieferung statischer Webseiten und ein Bisschen Basis-PHP. Email? Tot! ImageMagick? Tot! Das muss nicht sein. Daher mein Howto für Apache mit mod_chroot, mod_php5, suhosin und PHP im safe_mode:

Zuerst müssen die nötigen Pakete installiert werden:

aptitude install apache2 libapache2-mod-chroot libapache2-mod-php5 php5-suhosin php5-imagick imagemagick dash msttcorefonts

Weitere PHP-Module können nach Bedarf installiert werden, wie z.B. php5-gd php5-imap php5-ldap php5-mcrypt php5-mysql. Vorsicht ist bei suhosin geboten, einige grössere PHP-Applikationen bekommen dadurch Probleme. Entsprechende Workarounds müssen dann per individueller Konfiguration eingebaut werden. Die meisten wichtigeren Applikationen haben in ihrer Hilfe oder im Supportbereich entsprechende Informationen.

Ein erster Härtungsschritt ist, dass Apache der Zugang zu einer Shell entzogen wird. Eine Shell ist nicht notwendig und nur ein weiterer potentieller Unsicherheitsfaktor. Also:

usermod -s /bin/false www-data

Nun müssen die Module aktiviert werden:

a2enmod mod_chroot && a2enmod php5

In der Datei /etc/apache2/apache2.conf muss folgende Zeile eingefügt werden:

ChrootDir /var/www

Als nächster Schritt wird das chroot gebaut. Das ist ein sehr langer und aufwändiger Prozess. Denn ins chroot müssen sämtliche ImageMagick-Binaries sowie ein SMTP-Server samt ihrer Abhängigkeiten kopiert werden. Ich hab das chroot wie schon bei Teamspeak mit den Thread Local Storage Bibliotheken gebaut. XEN-User sollten davon Abstand nehmen und die "normalen" Bibliotheken verwenden. Als Mini-Mailserver habe ich mich für esmtp entschieden, wer andere vorlieben hat, darf sich natürlich auch gerne ssmtp anschauen oder versuchen mini_sendmail zum Laufen zu überreden.

Mailer vorbereiten

Leider akzeptiert Debian nur die Installation eines MTA gleichzeitig. Da man als Systemmailer wohl lieber Postfix oder Exim einsetzt, muss hier etwas getrickst werden. Verwendet hier bitte für den Download der Pakete (auch wenn sie recht klein sind) den Debian Mirror EURER Wahl, damit sich die Last entsprechend verteilt. Ausserdem muss auf die Versionsnummer acht gegeben werden, die kann sich natürlich mit der Zeit ändern. .deb-Pakete sind mit dem Packer ar gepackt, dieser sollte standardmässig auf jedem Debian-System installiert sein.

mkdir ~/esmtp
cd ~/esmtp
wget http://mirror.switch.ch/ftp/mirror/debian/pool/main/e/esmtp/esmtp_0.5.1-4.1_i386.deb
wget http://mirror.switch.ch/ftp/mirror/debian/pool/main/libe/libesmtp/libesmtp5_1.0.4-2_i386.deb
ar xv esmtp_0.5.1-4.1_i386.deb
tar -zxf data.tar.gz
ar xv libesmtp5_1.0.4-2_i386.deb
tar -zxf data.tar.gz

Basis-Chroot bauen

Bei sämtlichen Befehlen, die nun folgen, wird davon ausgegangen, dass man sich im Verzeichnis /var/www befindet. Ist dem nicht so, so stimmen natürlich die relativen Pfade nicht mehr und das Howto schlägt fehl. Wie schon eingangs erwähnt, sollten XEN-User aus Performancegründen nicht die TLS-Bibliotheken verwenden.

cd /var/www
mkdir bin etc lib tmp usr
mkdir -p lib/tls/i686/cmov usr/lib/i686/cmov var/lib/php5 var/log/apache2 var/run
chown www-data:www-data tmp
chown www-data:www-data var/lib/php5
chown www-data:www-data var/log/apache2
chown www-data:www-data var/run
touch var/run/apache2.pid
ln -sf var/run/apache2.pid /var/run/apache2.pid
cp /bin/dash bin
cd bin
ln -sf dash sh
cd ..
cp /etc/mime.types etc
grep www-data /etc/passwd > etc/passwd
cp /lib/ld-linux.so.2 lib
cp /lib/libgcc_s.so.1 lib
cp /lib/libnss_dns.so.2 lib
cp /lib/tls/i686/cmov/libc.so.6 lib/tls/i686/cmov
cp /lib/tls/i686/cmov/libdl.so.2 lib/tls/i686/cmov
cp /lib/tls/i686/cmov/libpthread.so.0 lib/tls/i686/cmov
cp /lib/tls/i686/cmov/libresolv.so.2 lib/tls/i686/cmov
cp /usr/lib/libz.so.1 usr/lib
cp /usr/lib/i686/cmov/libcrypto.so.0.9.8 usr/lib/i686/cmov
cp /usr/lib/i686/cmov/libssl.so.0.9.8 usr/lib/i686/cmov

Dash wird als Shell mit minimalem Speicherbedarf installiert. Leider benötigt esmtp zwingend eine Shell, ansonsten verweigert er den Dienst. Dies ist natürlich ein klarer Sicherheitsmangel, der durch Workarounds wie safe_mode behoben werden muss.

Nun wird der Mailer ins chroot kopiert:

cp ~/esmtp/usr/bin/esmtp bin
cp -r ~/esmtp/usr/lib usr/lib

Und als nächstes wird der Mailer konfiguriert. Unter Annahme, dass auf dem Server z.B. ein Postfix oder Exim als Mailserver läuft, muss dazu die Datei /var/www/etc/esmtprc mit folgendem Inhalt erstellt werden:

hostname = 127.0.0.1:25
starttls = disabled

Ausserdem ist jetzt der Zeitpunkt gekommen, um PHP mitzuteilen, wie es mailen soll. Ausserdem kann man bei der Gelegenheit auch weitere Absicherungen vornehmen und z.B. den safe_mode einschalten. Dazu müssen ein paar Direktiven in der Datei /etc/php5/apache2/php.ini angepasst oder eingefügt werden. Beachte, dass die Shell in /bin liegt, während als safe_mode_exec_dir /usr/bin konfiguriert wird. PHP-Skripte können also nicht auf die Shell zugreifen.

safe_mode = On
safe_mode_exec_dir = /usr/bin
expose_php = Off
display_errors = Off
log_errors = On
sendmail_path = /bin/esmtp -t

ImageMagick und Schriften

Es müssen ein paar weitere Bibliotheken sowie die benötigten ImageMagick-Binaries ins chroot kopiert werden:

mkdir -p usr/lib/mime/packages/
mkdir usr/bin
cp /lib/tls/i686/cmov/libm.so.6 lib/tls/i686/cmov/
cp /usr/lib/libMagick.so.9 usr/lib/
cp /usr/lib/liblcms.so.1 usr/lib/
cp /usr/lib/libtiff.so.4 usr/lib/
cp /usr/lib/libjasper-1.701.so.1 usr/lib/
cp /usr/lib/libjpeg.so.62 usr/lib/
cp /usr/lib/libpng12.so.0 usr/lib/
cp /usr/lib/libXext.so.6 usr/lib/
cp /usr/lib/libXt.so.6 usr/lib/
cp /usr/lib/libSM.so.6 usr/lib/
cp /usr/lib/libICE.so.6 usr/lib/
cp /usr/lib/libX11.so.6 usr/lib/
cp /lib/libbz2.so.1.0 usr/lib/
cp /usr/lib/libxml2.so.2 usr/lib/
cp /usr/lib/libfreetype.so.6 usr/lib/
cp /lib/tls/i686/cmov/libdl.so.2 usr/lib/
cp /usr/lib/libXau.so.6 usr/lib/
cp /usr/lib/libXdmcp.so.6 usr/lib/
cp /usr/lib/mime/packages/imagemagick usr/lib/mime/packages
cp /usr/bin/animate usr/bin
cp /usr/bin/compare usr/bin
cp /usr/bin/composite usr/bin
cp /usr/bin/conjure usr/bin
cp /usr/bin/convert usr/bin
cp /usr/bin/display usr/bin
cp /usr/bin/identify usr/bin
cp /usr/bin/import usr/bin
cp /usr/bin/mogrify usr/bin
cp /usr/bin/montage usr/bin

Wer noch Schriften braucht, kann diese nach Bedarf installieren. Die Dateinamen der Schriftdateien müssen komplett in Kleinbuchstaben gehalten sein.

mkdir -p usr/share/fonts/truetype/msttcorefonts/
cp /usr/share/fonts/truetype/msttcorefonts/verdana.ttf usr/share/fonts/truetype/msttcorefonts/

DocumentRoot

Der Startvorgang des Apache verläuft in etwa folgendermassen:

1. Apache startet ausserhalb der chroot-Umgebung und wertet die Konfiguration in /etc/apache2 aus.
   
2. Apache schreibt sein PID in die vorgegebene pid-Datei
   
3. Apache prüft die Existenz der DocumentRoot-Verzeichnisse gemäss Konfiguration in den vhosts.
   
4. Apache öffnet die Logfiles gemäss Konfiguration in den vhosts.
   
5. Apache wechselt ins chroot.
   
6. Apache öffnet die Sockets.
   
7. Apache wechselt zu einem unpriviliegierten User.
   
8. Apache ist bereit. Sämtliche Anfragen werden nun im chroot bearbeitet. Die Ausführung von PHP-Skripten findet nun im chroot statt.

Folglich muss von den DocumentRoot-Verzeichnissen eine Schatteninstallation und eine Life-Installation vorgenommen werden. Wird in der Apache-Konfiguration z.B. die Direktive

DocumentRoot /var/www/htdocs/myhost

eingetragen, müssen folgende Verzeichnisse erstellt werden:

mkdir -p /var/www/htdocs/myhost
mkdir -p /var/www/var/www/htdocs/myhost

Effektiv arbeiten wird Apache dann mit dem Verzeichnis /var/www/var/www/htdocs/myhost, dorthin gehören folglich alle HTML-Dateien.

Apache starten, stoppen, neu laden

Jetzt kann man mal die ganze Sache testen und Apache starten. Ich habe festgestellt, dass mod_chroot leider die reload- und restart-Befehle zerschiesst. Folglich bleiben nur noch start und stop übrig. Um eine geänderte Konfiguration einzulesen, bleibt folglich leider keine andere Möglichkeit, als Apache erst zu stoppen und dann wieder zu starten. Bei stärker frequentierten Seiten freuen sich da vermutlich nicht alle User darüber. Sorry, aber dafür gibt's wohl keine Lösung.

/etc/init.d/apache2 start
/etc/init.d/apache2 stop

Liebe bündner Polizei, diese tibetische Flagge hängt garantiert ausserhalb des bewilligten Kundgebungsperimeters. Kommt und holt sie doch



Ich liebe zivilen Ungehorsam in unserem angehenden Polizeistaat Schweiz.

Links zum Thema:
Artikel in der NZZ
Artikel 16 der schweizerischen Bundesverfassung

Und die Flagge hab ich von Wikipedia geklaut.

Nein, ich werd mich dort auch nicht registrieren. Nein, weder das Argument "aber ich und alle anderen sind auch dort" noch "aber Facebook ist toll" mögen mich dazu bewegen.

Grund: Ich nutz privat keine Sachen, wo Microsoft seine Finger drin hat. Und Microsoft hält 5% Anteil an Facebook. EOD.

Das hier ist nur interessant für Betreiber von DNS-Servern mit einem Hang zum Alternativen

Nachdem bekannt wurde, dass ORSN auf Ende Jahr abgeschaltet würde, habe ich mich auf die Suche nach einem alternativen Rootserver-Netz gemacht. Bislang erscheint mir nur Cesidian Root ein halbwegs tauglicher Ersatz, obwohl die Betreiber sogar mir etwas freakig vorkommen. ORSN war richtig professionell, da kommen die anderen schlicht nicht mit.

Cesidian Root bietet jedoch kein Hint-File für die einfache Integration in seinen Nameserver an. Daher musste ich selbst Hand anlegen und selbst eins verfassen:

. 3600000 NS a-root.cesidio.net.
a-root.cesidio.net. 3600000 A 78.47.115.194
. 3600000 NS b-root.cesidio.net.
b-root.cesidio.net. 3600000 A 78.47.115.197
. 3600000 NS c-root.cesidio.net.
c-root.cesidio.net. 3600000 A 24.129.114.64
. 3600000 NS d-root.cesidio.net.
d-root.cesidio.net. 3600000 A 66.92.233.14
. 3600000 NS e-root.cesidio.net.
e-root.cesidio.net. 3600000 A 66.92.233.130
. 3600000 NS f-root.cesidio.net.
f-root.cesidio.net. 3600000 A 89.238.64.147
. 3600000 NS g-root.cesidio.net.
g-root.cesidio.net. 3600000 A 80.239.207.176

Ich empfehle jedoch, Cesidian Root nicht als alleiniges DNS-Root einzutragen. Es ist wohl besser, wenn man das Hint-File des ICANN-DNS-Netzwerks um mein Hint-File für Cesidian Root ergänzt.

Neulich führte ich über ICQ (ja, Jabber wär mir lieber gewesen - grad auch im Kontext dieses Artikels ) eine Diskussion über die Möglichkeiten der Anonymisierung seiner Datenspuren im Netz. Ich habe mir folglich ein paar Gedanken dazu gemacht, welche ich hier vorstellen möchte.

Natürlich ist im Zeitalter von staatlicher Terrorparanoia, Vorratsdatenspeicherung und verhaltensbasiertem Marketing kaum noch Anonymität möglich. Allerdings lassen sich die einige Massnahmen anwenden, um sich weniger bekannt zu machen. Dabei gelten quasi die gleichen Grundsätze wie beim Verstecken im Wald. Spuren vermeiden, Spuren verschleiern, falsche Fährten legen und Ruhe bewahren. Einige der dafür möglichen Massnahmen sind technischer Natur, andere psychologischer. Nicht alle meiner Ideen sind wirklich sinnvoll oder überhaupt realisierbar, ich versuche einfach eine möglichst umfassende Sammlung zu erstellen.

Technische Massnahmen

Spuren verschleiern

Passende Software auswählen:Hier gibt es zwei Strategien. Entweder man nutzt die häufigst benutzte Software (also Windows XP mit Internet Explorer, was praktisch alle anderen Massnahmen wohl grad zunichte macht) und versucht in der Masse unterzugehen, oder man nutzt Software, die standardmässig gute Privatsphären-Einstellungen bietet.

Software passend konfigurieren: Grad für den Firefox gibt es viele gute Addons, welche die Privatsphäre verbessern. Da wären u.a. Adblock Plus, Flashblock, Customize Google und Stealther zu zählen. Ausserdem sollten Cookies deaktiviert (oder besser: Nur für die aktuelle Session gespeichert) werden. Den Festplattencache sollte man bei einer DSL-Leitung auch abschalten oder in eine RAM-Disk verschieben.

TOR nutzen? TOR leitet IP-Pakete über zahlreiche Rechner um, wodurch die Herkunft verschleiert werden kann. Mit dem Firefox-Paket DeerPark bekommt man eine simpel zu nutzende TOR-Installation mitsamt Browser. Das Problem ist nur, dass praktisch alle TOR-Exit-Nodes von Geheimdiensten und Hackern betrieben werden. Ergo sollten keinesfalls Passwörter oder finanzielle Daten darüber gesendet werden. Meine Empfehlung ist also ganz klar besser die Finger von TOR zu lassen.

Anonymisierenden Proxy verwenden: Die etwas sicherere Variante zu TOR, jedoch muss man auch hier dem Betreiber des Proxys vertrauen, dass er weder protokolliert noch mitsnifft.

Fallstrick DNS: DNS-Anfragen geben natürlich Aufschluss darüber, welche Seiten man ansurft. Man sollte daher einen DNS-Server verwenden, der nichts protokolliert. Dieses Problem ist kaum auf triviale Weise zu lösen. Ideal ist's wohl, wenn man einen eigenen DNS-Cache nutzt, um wenigstens die Anfragen zu reduzieren, viel bringt das aber auch nicht.

IP-Adresse häufig ändern: Dies schlägt zwei Fliegen mit einer Klappe. Einerseits wird die Vorratsdatenspeicherung damit etwas strapaziert (obwohl... viel Platz braucht das im Logfile auch nicht...), andererseits wird man schwieriger verfolgbar. Allerdings ist das mit zwei Einschränkungen versehen. Erstens hat ein Provider nur eine bestimmten IP-Bereich zur Verfügung. Zweitens werden viele Sessions durch den Wechsel der IP gekappt. Hier gilt es also, einen guten Zwischenweg zu finden. Mein DSL-Router sollte trotzdem die IP so selten wie möglich wechseln, da ich zuhause einen Server betreibe, auf den ich gelegentlich auch aus dem Internet zugreifen möchte.

Spuren vermeiden

Werbeblocker nutzen: Durch die Nutzung von Werbeblockern wird es für die Werbetreiber ziemlich schwierig ein Profil aufzubauen. Man existiert für sie nämlich schlicht nicht. Des weiteren spart man ordentlich Bandbreite, da nicht mehr tausende Werbebanner geladen werden müssen. Und die Augen werden geschont, da die Webseiten nicht mehr blinken wie Las Vegas in der Nacht. Ganz wichtig ist es insbesondere, dass Flash-Filme blockiert werden, da diese Flash-Cookies ablegen können, die nicht durch bisherige Browser-Automatismen gelöscht werden.

Hosts-Datei anpassen: Zusätzlich zum Werbeblocker kann man die hosts-Datei modifiziert werden, einen guten hosts-Datei-Generator gibt's hier. Damit kann man auch ganz prima Google Analytics blocken lassen.

Google nicht nutzen! Auf jeden Fall Hände Weg von Chrome, Gmail, Picasa Webalbum, Google Docs etc pp. Neben der Google-Suche auch mal Yahoo oder Ask nutzen (nein, MSN empfehle ich aus Prinzip nicht!)

Kein Microsoft Office und keine .doc-Dateien verwenden: Microsoft Office hat die schlechte Angewohnheit, bei der Erstellung einer Datei sämtliche Daten in Word-Dateien mitzuspeichern. Nimmt man eine Änderung an einer Word-Datei vor, kann diese später nachvollzogen werden, indem man diese Datei einfach in einem Texteditor öffnet. Ich weiss nicht, ob das bei Office 2007 und .docx-Dateien noch der Fall ist, aber OpenOffice ist hier definitiv die bessere Variante. Office-Dateien sollten allerdings sowieso nie verschickt oder ins Internet gestellt werden, dafür gibt es PDF!

Verschlüsselung nutzen: Wenn möglich sollten Daten nur verschlüsselt genutzt werden.

Lügen wie gedruckt: Nicht nur Papier ist geduldig, nein, das Internet ist es auch. Mit der Wahrheit sollte man es folglich nicht so genau nehmen.

Do It Yourself! Statt einem Freemailer, der protokollieren muss, sollte man einen eigenen Mailserver aufsetzen, womit man der Vorratsdatenspeicherung entgeht. Ebenso sollte man anstelle von Skype, ICQ oder MSN auf Jabber umsteigen, natürlich ebenfalls mit eigenem Server. Idealerweise steht dieser Server dann im weit entfernten Ausland. Einziges Problem dabei: Man sollte ein Minimum an Ahnung von der Materie haben. Einen Server im Internet sollte man nur betreiben, wenn man wirklich weiss, was man tut.

Falsche Spuren generieren

Offenes WLAN anbieten: Die Idee ist simpel. Man lässt den Access Point unverschlüsselt, schon können Fremde etwas das eigene Internetprofil verfälschen. Grosses Problem dabei ist natürlich, wenn diese unbekannten Dritten illegale Dinge über den Anschluss laufen lassen. Dann riskiert man Ärger mit dem Gesetz.

TOR Exitnode anbieten: Dies ist genau dasselbe Prinzip wie das offene WLAN. Auch hier riskiert man, dass die Polizei den eigenen Rechner abholt.

TOR Durchgangsknoten anbieten: Das ist nett und nützt dem TOR-Netzwerk mehr als gar nichts zu tun, bringt aber leider keinen Gewinn für die eigene Anonymität. Wenigstens muss man auch keine Repressalien des Staates befürchten.

YaCy installieren: YaCy ist eine verteilte Internet-Suchmaschine. Das ist vermutlich die beste Lösung. YaCy verursacht permanent etwas Traffic, indem es Webseiten crawlt. Allerdings sind auch hier ein paar Einschränkungen zu beachten. Werden Remote-Crawls anderer YaCy-Betreiber akzeptiert, riskiert man ebenfalls wieder illegale Inhalte abzurufen und sich somit Ärger mit der Polizei einzuhandeln. Andererseits verfälscht man sein Profil nur mässig, wenn man nur eigene Crawls startet. Und drittens meldet sich YaCy bei anderen Webseiten immer als YaCy an, ergo kann diese leicht unterscheiden, ob nun die Anfrage von Mensch (Firefox/Opera/Safari/IE) oder Maschine kam.

Verhalten

Spuren verschleiern

Spuren vermeiden

Datensparsamkeit.

Sich nicht selbst googeln.

Nicht zu paranoid sein! Wer zu paranoid ist, schläft schlecht. Dadurch lässt die Aufmerksamkeit nach und man begeht datenschützerische Fehler. Also besser Ruhe bewahren und wachsam bleiben!

Namen ändern

Eine gute Methode und in der Masse unterzugehen ist ein Allerweltsname wie Hans Meier aus Zürich, den es dutzendmal gibt. Folglich sollte man in der Grossstadt wohnen und so einen Namen haben.

Falsche Spuren generieren

Dies ist wohl der zweitschwierigste Teil, da es einfacher als eine Änderung des Realnamens geht, aber mit viel Bedacht gemacht sein will. Durch gezieltes Streuen von Fehlinformationen könnte man eigene Identitäten erfinden und sich so schlechter Auffindbar machen. Beim Streuen der Daten sollte man jedoch seine Location (wie IP-Adresse) möglichst verschleiern.

Ultima Ratio für Hyperparanoiker

Meine ultimative Idee ist die Verwendung einer Prepaid-SIM-Karte für den Internetzugang über das Mobilfunknetz. Zwar müssen alle Prepaid-SIM-Karten registriert werden, allerdings gibt es Mittel und Wege, an bereits registrierte Karten heranzukommen. Allerdings warten noch viele weitere Stolperfallen. So muss man beim Nachladen des Guthabens immer mit Bargeld an anonymen Ladestationen bezahlen. SBB-Automaten könnten dafür eine Lösung sein, jedoch sind diese von Kameras überwacht. Des weiteren sind neben der SIM-Karte auch Handies mit einer Seriennummer versehen, welche bei Verwendung an die Basisstation gesendet wird. Man braucht folglich auch ein anonymisiertes Gerät. Des weiteren sind Handies prima Peilsender, welche die Position auf wenige Meter genau verraten, und dies wird natürlich vorratsgespeichert. Kommt noch dazu, dass dies eine extrem kostenintensive Methode ist. *plopp* Seifenblase geplatzt

Fazit

Anonymität ist nicht möglich. Übermässige Paranoia nutzt aber auch nichts. Und je mehr Ahnung von IT man hat, desto mehr Anonymität kann man sich verschaffen. Also eigentlich gibt es überhaupt keine neuen Erkenntnisse

Kürzlich hat sich schon Roman gefragt, wieso man eigentlich immer in der längsten Schlange steht. Nun, das lässt sich ganz klar mit Murphy's Law beantworten.

Mir ist allerdings noch eine weitergehende Variante davon aufgefallen:
1. Wieso bilden sich Schlangen immer erst dann, wenn ich auf eine Ressource zugreifen will?
Und 2. Wieso bleibe ich der letzte in der Schlange, ergo wieso stellt sich hinter mir niemand weiteres an?

Zum Beispiel neulich brauchte ich Geld, also ging ich zum Bankomaten. Der war völlig frei, ich nähere mich, schon macht's "Schwupps" und fünf Leute stellen sich vor mir hin. Nach 15 Minuten warten und geduldig zuschauen, wie die Leute ewig an dem Ding rumspielen, als ob sie am Bankomatenschirm Solitär spielen würden, darf ich dann auch. Und nach mir will irgendwie keiner mehr. Und das ist mir in letzter Zeit doch mehr als nur ein Mal passiert.

So langsam komme ich mir vor wie im Film "die Truman Show". Kaum nähere ich mich einer Ressource, schon wird durch die unsichtbare Regie eine Gruppe Schauspieler hingeschickt, damit ich möglichst lange anstehen muss: "Achtung er kommt. Nähert sich vermutlich Bankomat X. Timing ist jetzt ganz wichtig. Er schaut zufrieden aus, weil er keine Schlange sieht. Jetzt betritt er den kritischen Bereich. Bereithalten... noch warten... Jeeeeetzt, Schlange bilden! Sehr gut Leute, das Grinsen ist aus seinem Gesicht raus, jetzt haltet ihn einfach noch etwas hin."

Ich hab grad ein paar lustige Pilotenfunksprüche zugeschickt bekommen. Hier ein paar Perlen davon:

Tower: Say fuelstate.
Pilot: fuelstate.
Tower: Say again.
Pilot: again.
Tower: Arghl, give me your fuel!
Pilot: Sorry, need it by myself...

Pilot: Bratislava Tower, this is Oscar Oscar Kilo established ILS 16.
Tower: Oscar Oscar Kilo, Guten Tag, cleared to land 16, wind calm and by the way: this is Wien Tower.
Pilot: (Nach einer Denkpause) Bratislava Tower, Oscar Oscar Kilo passed the outer marker.
Tower: Oscar Oscar Kilo roger, and once more: you are approaching Vienna!
Pilot: (Nach einer Denkpause) Confirm, this is NOT Bratislava?
Tower: You can believe me, this is Vienna
Pilot: (Nach einer erneuten Pause) But why? We want to go to Bratislava, not to Vienna!
Tower: Oscar Oscar Kilo, roger. Discontinue approach, turn left 030 and climb to 5000 feet, vectors to Bratislava.

Tower: Have you got enough fuel or not?
Pilot: Yes.
Tower: Yes what??
Pilot: Yes, SIR!

Tower: RFG 312, fliegen Sie direkt nach Olno VOR. Brauchen Sie einen Radar-Vektor ?
Pilot: Nein, es geht auch so, wir koennen das VOR schon empfangen. Es liegt genau in der Richtung, wo der Mond steht.
Tower: Ja, aber den haben wir nicht auf dem Radarschirm.

Controller: Y-Line 90, turn right heading 090 to avoid a military area !
Pilot: What are they doing there ?
Controller: Ground to air gunnery !
Pilot: Roger, we are turning.

Controller: Do you declare an emergency ?
Pilot: Oh ... a little bit.

Pilot einer 737: Tower, wir wurden beim Start von einem Rad überholt, und haben den nicht ganz unbegründeten Verdacht, es könnte von uns sein ...

Controller: Kindly report your heading.
Pilot: Of course 080.
Controller: Confirm, you are off course ?
Pilot: Negative, we are on course, of course.

Eine hin und wieder angewandte Methode, den Anflug eines Fliegers im Endanflug zu verzögern, ist das sogenannte Fishtailing, also so etwas wie ein Schlangenlinienfliegen. Einem Controller war dieser Fachbegriff leider entfallen, doch er wußte sich zu helfen.
Controller: Sabena, can you do a little bit zick zack on the final ?
Eine Bitte, der der Pilot gern nachkam.
Controller (nach einer Weile): Sabena, where is your present position ?
Pilot: Sir, we are just passing from zick to zack !

Controller: D-E..., ich kann sie kaum verstehen. Es ist sehr laut bei Ihnen.
Pilot eines anderen Fliegers: Entweder hat er's Fenster auf oder er fliegt einen Diesel.
Pilot der D-E...: Noi, noi, des isch Vollgas, des mache mer immer so beim Abhäbe.

Pilot: Ah, Tower, we just had a birdstrike (=Vogelschlag).
Tower: Roger, do you have any troubles ?
Pilot: Negative, the bird has the problems.

Controller: Aircraft calling, you are unreadable, say again.
Pilot (nach einer Pause): I've turned off the engine, is it better now ?
Controller: .....uh !

Sowie die vermutlich schon bekannten Sprüche der Quantas-Mechaniker:

P: Testflug OK, Landung mit Autopilot sehr hart.
S: Landung mit Autopilot bei diesem Flugzeugtyp nicht installiert.

P: Der Autopilot leitet trotz Einstellung auf "Höhe halten" einen Sinkflug von 200 fpm ein.
S: Wir können dieses Problem auf dem Boden leider nicht nachvollziehen.

P: Hinweis auf undichte Stelle an der rechten Seite.
S: Hinweis entfernt.

P: IFF funktioniert nicht.
S: IFF funktioniert nie, wenn es ausgeschaltet ist.

P: Vermute Sprung in der Scheibe.
S: Vermute Sie haben recht.

P: Antrieb 3 fehlt.
S: Antrieb 3 nach kurzer Suche an der rechten Tragflache gefunden.

Aber eine Flasche Wasser darf ich aus Sicherheitsgründen nicht in den Flieger nehmen. Ja ne, is klar, ey!

Oder doch nicht?

... um damit die ewigen Krawalle in Stadien zu unterbinden. Deshalb müssen selbstverständlich sämtliche Stadien mit Kameras ausgerüstet werden, welche die Fans erfassen und identifizieren. Wer also künftig ins Stadion will, muss einen Haufen Personendaten abgeben, biometrische natürlich inklusive.

Anschliessend kann man ganz bestimmt auch wieder Hooligans ohne Billet in den "feindlichen" Familiensektor reinlassen. Aber klar doch. Dank der Kameras kann ja nichts mehr passieren. Und der Staat spart dabei (das ist wichtig!).

Und als nächstes sollte man gegen die bösen, aggressiven Metalfans vorgehen, welche ja sowieso nur zum Saufen und Prügeln an Konzerte gehen. Am besten auch grad alle komplett fichieren. Letztendlich könnten es auch Terroristen sein.

(Uff, hab ich jetzt alle Schlagworte der Überwachungsfaschisten in diesem Beitrag untergebracht oder fehlen noch welche?)

Vor kurzem ist meine Identitätskarte abgelaufen. Na gut, wenn schon eine neue her muss, dann vielleicht grad zusammen mit einem Pass, schliesslich kann es gut sein, dass ich bald mal etwas weiter weg in die Ferien möchte.

Hmmm, ich hab die Wahl ob günstiger Pass 03 (der gute bewährte) oder überteuerter Pass 06 (der fernabfragbare, biometrische Schnüffelpass für USA-Fans und Stasi-Sympathisanten). Da fällt die Wahl ja unglaublich schwer. Da demnächst der Schnüffelpass zur Pflicht wird und der normale Pass nicht mehr angeboten wird, habe ich noch kurz vor Torschluss den Pass 03 genommen. Tja, liebe Geheimdienste und wer sonst noch an meinen Fingerabdrücken interessiert ist: Die gibt's erst dann ganz offiziell, wenn ihr mir ein Strafverfahren anhängen könnt. Und damit das so bleibt, habe ich auch meine Unterschrift unter die Freiheitskampagne gegen den Abgabezwang von Fingerabdrücken gesetzt.

Aaaaber, liebe Geheimdienste, ich kann euch dennoch etwas entgegenkommen. Hier gibt's mal einen Fingerabdruck. Ist ja letztendlich egal, von wem der stammt. Ihr könnt ihn aber mit meinem Namen assoziieren. Vielleicht hilft's euch ja, sinnlose Datensammlungen sind doch quasi euer Nervenberuhigungsteelein, nicht wahr?

Etwas schade finde ich aber die Änderungen an der neuen ID. Wo früher mal noch "Schweizer Staatsbürger" (auf die Brust klopf) draufstand, steht jetzt nur noch ganz trocken "Nationalität Schweiz". Ah ja. Ich sehe, worauf es hinausläuft. Bürger, das war mal. Denn der Bürger hat schliesslich Rechte.

Unterdessen darf die Luftwaffe Zivilflugzeuge abschiessen und die Polizei fälscht Videos.

Ersteres führt nicht mal zu einem Aufschrei. Als Schäuble die Schiesserlaubnis in Deutschland durchbringen wollte, gab's ordentlich Theater.
Zweiteres wurde glücklicherweise aufgedeckt und bleibt hoffentlich nicht folgenlos. Aber in Anbetracht der zunehmenden Videoüberwachung ist das trotzdem mehr als bedenklich und zeigt schonungslos mögliche Fehlerquellen in diesem System auf.

Quellen? Gerne:
Lufwaffe: http://www.espace.ch/artikel_522925.html
Polizeivideos: http://www.tagesanzeiger.ch/dyn/news/schweiz/872049.html

Jaja, das hat man jetzt davon, dass man Debian nutzt. Ist ja an sich eine tolle Distro, aber wenn sich die Maintainer für ach-wie-tolle-Hechte halten und Sicherheitslöcher der Kategorie "Microsoft" anfangen reinzubasteln, wird's mehr als nur nervig.

Wie auch immer, SSH-Keys sind alle ersetzt. Weitere SSL-Keys werden je nach Wichtigkeit bei Gelegenheit ausgetauscht. Das Planetknauer-HTTPS-Zertfikat ist jedenfalls vorsorglich schon wieder auf sicherem Stand.