Leitfaden zur Online-Anonymität (von https://anonymousplanet.org/)

Die Verwendung erfolgt auf eigene Gefahr. Bitte nehmen Sie diesen Leitfaden nicht als endgültige Wahrheit für alles, denn das ist er nicht.

Spoiler: Inhaltsverzeichnis

• Einführung:
• Grundlegende Informationen darüber, wie einige Informationen zu Ihnen zurückgeführt werden können und wie Sie einige davon entschärfen können:
  • Ihr Netzwerk:
    • Ihre IP-Adresse:
    • Ihre DNS- und IP-Anfragen:
    • Ihre RFID-fähigen Geräte:
    • Die Wi-Fi- und Bluetooth-Geräte in Ihrer Umgebung:
    • Böswillige/abtrünnige Wi-Fi-Zugangspunkte:
    • Ihr anonymisierter Tor/VPN-Verkehr:
    • Einige Geräte können auch dann verfolgt werden, wenn sie offline sind:
  • Ihre Hardware-Kennungen:
    • Ihre IMEI und IMSI (und damit auch Ihre Telefonnummer):
    • Deine Wi-Fi- oder Ethernet-MAC-Adresse:
    • Ihre Bluetooth-MAC-Adresse:
  • Ihre CPU:
  • Ihre Betriebssysteme und Apps Telemetriedienste:
  • Ihre intelligenten Geräte im Allgemeinen:
  • Sie selbst:
    • Ihre Metadaten einschließlich Ihrer Geo-Location:
    • Ihr digitaler Fingerabdruck, Fußabdruck und Ihr Online-Verhalten:
    • Ihre Hinweise auf Ihr reales Leben und OSINT:
    • Ihr Gesicht, Ihre Stimme, Ihre biometrischen Daten und Bilder:
    • Phishing und Social Engineering:
  • Malware, Exploits und Viren:
    • Malware in Ihren Dateien/Dokumenten/E-Mails:
    • Malware und Exploits in Ihren Anwendungen und Diensten:
    • Bösartige USB-Geräte:
    • Malware und Hintertüren in Ihrer Hardware-Firmware und Ihrem Betriebssystem:
  • Ihre Dateien, Dokumente, Bilder und Videos:
    • Eigenschaften und Metadaten:
    • Wasserzeichen:
    • Verpixelte oder unscharfe Informationen:
  • Ihre Transaktionen mit Kryptowährungen:
  • Ihre Cloud-Backups/Synchronisierungsdienste:
  • Ihre Browser- und Geräte-Fingerabdrücke:
  • Lokale Datenlecks und Forensik:
  • Schlechte Kryptographie:
  • Keine Protokollierung, aber trotzdem Protokollierungsrichtlinien:
  • Einige fortgeschrittene gezielte Techniken:
  • Einige Bonus-Ressourcen:
  • Anmerkungen:
• Allgemeine Vorbereitungen:
  • Die Wahl der Route:
    • Zeitliche Beschränkungen:
    • Budget/Materialbeschränkungen:
    • Fertigkeiten:
    • Widersacher (Bedrohungen):
  • Schritte für alle Routen:
    • Besorgen Sie sich eine anonyme Telefonnummer:
    • Besorgen Sie sich einen USB-Stick:
    • Finden Sie sichere Orte mit gutem öffentlichem Wi-Fi:
  • Die TAILS-Route:
    • Dauerhafte Plausible Deniability mit Whonix innerhalb von TAILS:
  • Schritte für alle anderen Routen:
    • Besorgen Sie sich einen speziellen Laptop für Ihre sensiblen Aktivitäten:
    • Einige Laptop-Empfehlungen:
    • Bios/UEFI/Firmware-Einstellungen Ihres Laptops:
    • Schützen Sie Ihren Laptop physisch vor Manipulationen:
  • Die Whonix-Route:
    • Auswahl des Host-Betriebssystems (das auf Ihrem Laptop installierte Betriebssystem):
    • Linux Host-Betriebssystem:
    • MacOS Host-Betriebssystem:
    • Windows Host-Betriebssystem:
    • Virtualbox auf Ihrem Host-Betriebssystem:
    • Wählen Sie Ihre Konnektivitätsmethode:
    • Holen Sie sich einen anonymen VPN/Proxy:
    • Whonix:
    • Tor über VPN:
    • Whonix Virtuelle Maschinen:
    • Wählen Sie eine virtuelle Maschine für Ihre Gast-Workstation:
    • Linux Virtuelle Maschine (Whonix oder Linux):
    • Windows 10 Virtuelle Maschine:
    • Android Virtuelle Maschine:
    • MacOS Virtuelle Maschine:
    • KeepassXC:
    • VPN-Client-Installation (Bargeld/Monero bezahlt):
    • (Optional), so dass nur die VMs auf das Internet zugreifen können, während das Host-Betriebssystem abgeschnitten wird, um ein Leck zu verhindern:
    • Letzter Schritt:
  • Die Qubes-Route:
    • Wählen Sie Ihre Konnektivitätsmethode:
    • Besorgen Sie sich einen anonymen VPN/Proxy:
    • Installation:
    • Verhalten beim Schließen des Deckels:
    • Verbinden Sie sich mit einem öffentlichen Wi-Fi:
    • Qubes OS aktualisieren:
    • Härtung von Qubes OS:
    • Einrichten der VPN ProxyVM:
    • Einrichten eines sicheren Browsers in Qube OS (optional, aber empfohlen):
    • Einrichten einer Android-VM:
    • KeePassXC:
• Erstellen Ihrer anonymen Online-Identitäten:
  • Verstehen der Methoden zur Verhinderung der Anonymität und zur Überprüfung der Identität:
    • Captchas:
    • Telefonische Verifizierung:
    • E-Mail-Überprüfung:
    • Überprüfung der Benutzerdaten:
    • Überprüfung des Identitätsnachweises:
    • IP-Filter:
    • Browser- und Geräte-Fingerprinting:
    • Menschliche Interaktion:
    • Benutzer-Moderation:
    • Verhaltensanalyse:
    • Finanzielle Transaktionen:
    • Anmeldung bei einer Plattform:
    • Live-Gesichtserkennung und Biometrie (wieder):
    • Manuelle Überprüfungen:
  • Online werden:
    • Neue Identitäten erstellen:
    • Das Real-Name-System:
    • Über kostenpflichtige Dienste:
    • Überblick:
    • Anonymes Teilen von Dateien oder Chatten:
    • Sichere Schwärzung von Dokumenten/Bildern/Videos/Audio:
    • Übermittlung sensibler Informationen an verschiedene bekannte Organisationen:
    • Wartungsaufgaben:
• Sicheres Sichern Ihrer Arbeit:
  • Offline-Backups:
    • Backups ausgewählter Dateien:
    • Vollständige Festplatten-/System-Backups:
  • Online-Sicherungen:
    • Dateien:
    • Informationen:
  • Synchronisieren Ihrer Dateien zwischen Geräten Online:
• Verwischen Sie Ihre Spuren:
  • Verstehen von HDD vs. SSD:
    • Abnutzungsausgleich.
    • Trimm-Operationen:
    • Garbage Collection:
    • Schlussfolgerung:
  • Wie Sie Ihren gesamten Laptop/die Festplatten sicher löschen können, wenn Sie alles löschen wollen:
    • Linux (alle Versionen einschließlich Qubes OS):
    • Windows:
    • MacOS:
  • Wie Sie bestimmte Dateien/Ordner/Daten auf Ihrer HDD/SSD und Ihren USB-Sticks sicher löschen können:
    • Windows:
    • Linux (nicht Qubes OS):
    • Linux (Qubes OS):
    • MacOS:
  • Einige zusätzliche Maßnahmen gegen Forensik:
    • Entfernen von Metadaten aus Dateien/Dokumenten/Bildern:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (nicht-Qubes):
    • Windows:
  • Beseitigung einiger Spuren Ihrer Identitäten auf Suchmaschinen und verschiedenen Plattformen:
    • Google:
    • Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • Yahoo Suche:
    • Baidu:
    • Wikipedia:
    • Archiv.heute:
    • Internet-Archiv:
• Einige Low-Tech-Tricks der alten Schule:
  • Versteckte Kommunikation im Verborgenen:
  • Wie Sie erkennen, ob jemand Ihre Sachen durchsucht hat:
• Einige letzte OPSEC-Überlegungen:
• Wenn Sie glauben, dass Sie verbrannt wurden:
  • Wenn Sie etwas Zeit haben:
  • Wenn Sie keine Zeit haben:
• Eine kleine redaktionelle Anmerkung zum Schluss

 

[HEISENBERG]

Einleitung.

TLDR für den gesamten Leitfaden: "Ein seltsames Spiel. Der einzige erfolgreiche Zug ist, nicht zu spielen".


Es ist einfach, ein Social-Media-Konto mit einem Pseudonym oder einem Künstler-/Markennamen zu erstellen. Und es reicht in den meisten Fällen aus, um Ihre Identität als der nächste George Orwell zu schützen. Es gibt viele Menschen, die auf Facebook/Instagram/Twitter/LinkedIn/TikTok/Snapchat/Reddit/... Pseudonyme verwenden. Aber die große Mehrheit von ihnen ist alles andere als anonym und kann von der örtlichen Polizei, zufälligen Personen aus der OSINT-Gemeinschaft (Open-Source Intelligence) und Trollen auf 4chan leicht auf ihre echte Identität zurückgeführt werden.


Das ist eine gute Sache, da die meisten Kriminellen/Trolle nicht wirklich technisch versiert sind und leicht identifiziert werden können. Aber es ist auch eine schlechte Sache, da die meisten politischen Dissidenten, Menschenrechtsaktivisten und Whistleblower ebenfalls ziemlich leicht aufgespürt werden können.


Dieser aktualisierte Leitfaden bietet eine Einführung in verschiedene Techniken zur Deanonymisierung, Verfolgung und Überprüfung von Identitäten sowie eine optionale Anleitung zur sicheren Erstellung und Aufrechterhaltung einigermaßen anonymer Online-Identitäten, einschließlich Konten in sozialen Medien. Dies gilt auch für die gängigen Plattformen und nicht nur für die datenschutzfreundlichen Plattformen.


Es ist wichtig zu verstehen, dass der Zweck dieses Leitfadens die Anonymität und nicht nur die Privatsphäre ist, aber viele der Anleitungen, die Sie hier finden, werden Ihnen auch helfen, Ihre Privatsphäre und Sicherheit zu verbessern, selbst wenn Sie nicht an Anonymität interessiert sind. Es gibt viele Überschneidungen bei den Techniken und Werkzeugen, die für den Schutz der Privatsphäre, die Sicherheit und die Anonymität verwendet werden, aber sie unterscheiden sich an einigen Stellen:

• Bei der Privatsphäre geht es darum, dass andere wissen, wer Sie sind, aber nicht, was Sie tun.
• Bei der Anonymität geht es darum, dass andere wissen, was Sie tun, aber nicht, wer Sie sind.

Hilft Ihnen dieser Leitfaden, sich vor der NSA, dem FSB, Mark Zuckerberg oder dem Mossad zu schützen, wenn diese auf der Suche nach Ihnen sind? Wahrscheinlich nicht ... Der Mossad wird "Mossad-Dinge" tun und Sie wahrscheinlich finden, egal wie sehr Sie versuchen, sich zu verstecken.


Sie müssen Ihr Bedrohungsmodell überdenken, bevor Sie weitermachen.

Wird dieser Leitfaden Ihnen helfen, Ihre Privatsphäre vor OSINT-Forschern wie Bellingcat13, Doxing14-Trollen auf 4chan15 und anderen zu schützen, die keinen Zugang zum Werkzeugkasten der NSA haben? Eher nicht. Bei 4chan wäre ich mir da allerdings nicht so sicher.


Hier ist ein grundlegendes, vereinfachtes Bedrohungsmodell für diesen Leitfaden:

Wichtiger Hinweis: Scherz beiseite (magisches Amulett...). Natürlich gibt es auch fortgeschrittene Methoden, um Angriffe gegen solch fortgeschrittene und erfahrene Gegner abzuschwächen, aber das würde den Rahmen dieses Leitfadens sprengen. Es ist von entscheidender Bedeutung, dass Sie die Grenzen des Bedrohungsmodells dieses Leitfadens verstehen. Daher wird dieser Leitfaden nicht den doppelten Umfang haben, um bei diesen fortgeschrittenen Abwehrmaßnahmen zu helfen, da dies einfach zu komplex ist und ein sehr hohes Maß an Wissen erfordert, das von der Zielgruppe dieses Leitfadens nicht erwartet wird.


Die EFF bietet einige Sicherheitsszenarien, die Sie je nach Ihrer Tätigkeit berücksichtigen sollten. Auch wenn einige dieser Tipps nicht in den Rahmen dieses Leitfadens fallen (es geht mehr um Datenschutz als um Anonymität), sind sie als Beispiele dennoch lesenswert. Siehe https://ssd.eff.org/en/module-categories/security-scenarios [Archive.org].
Es gibt auch einige ernsthaftere Möglichkeiten, Ihr Bedrohungsmodell zu erstellen, wie zum Beispiel:

• LINDDUN https://www.linddun.org/ [Archive.org]
• STRIDE https://en.wikipedia.org/wiki/STRIDE_(Sicherheit) [Wikiless] [Archive.org]
• DREAD https://en.wikipedia.org/wiki/DREAD_(risk_assessment_model) [Wikiless] [Archive.org]
• PASTA https://versprite.com/tag/pasta-threat-modeling/ [Archiv.org]

Und es gibt noch eine ganze Reihe anderer, siehe:

• https://insights.sei.cmu.edu/blog/threat-modeling-12-available-methods/ [Archive.org]
• https://www.geeksforgeeks.org/threat-modelling/ [Archive.org]

Eine Einführung in diese Projekte finden Sie unter diesen Projekten:

• OWASP https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet.html [Archiv.org]
• Online-Betriebssicherheit https://github.com/devbret/online-opsec/ [Archiv.org]

 

[HEISENBERG]

Sie müssen verstehen, wie bestimmte Informationen zu Ihnen zurückverfolgt werden können und wie Sie dies verhindern können.

Neben Browser-Cookies und Anzeigen, Ihrer E-Mail und Ihrer Telefonnummer gibt es viele weitere Möglichkeiten, wie Sie verfolgt werden können. Und wenn Sie glauben, dass nur der Mossad oder die NSA/FSB Sie finden können, dann irren Sie sich gewaltig.


Sie könnten sich diese gute YouTube-Wiedergabeliste als Einführung ansehen, bevor Sie weitergehen: https://www.youtube.com/playlist?list=PL3KeV6Ui_4CayDGHw64OFXEPHgXLkrtJO [Invidious] (aus dem Go Incognito-Projekt https://github.com/techlore-official/go-incognito [Archive.org]). Dieser Leitfaden wird viele dieser Themen mit mehr Details und Verweisen sowie einigen zusätzlichen Themen abdecken, die in dieser Serie nicht behandelt werden, aber ich würde die Serie als Einführung empfehlen, und Sie werden nur 2 oder 3 Stunden brauchen, um sie ganz anzusehen.


Im Folgenden finden Sie eine nicht erschöpfende Liste der vielen Möglichkeiten, wie Sie verfolgt und anonymisiert werden können:

 

[HEISENBERG]

Ihr Netzwerk.

Ihre IP-Adresse.

Haftungsausschluss: Dieser ganze Absatz bezieht sich auf Ihre öffentlich zugängliche Internet-IP und nicht auf Ihre lokale Netzwerk-IP


Ihre IP-Adresse ist der bekannteste und offensichtlichste Weg, wie Sie verfolgt werden können. Diese IP ist die IP, die Sie an der Quelle verwenden. Das ist der Ort, an dem Sie sich mit dem Internet verbinden. Diese IP wird in der Regel von Ihrem ISP (Internet Service Provider) bereitgestellt (xDSL, Mobilfunk, Kabel, Glasfaser, Café, Bar, Freund, Nachbar). In den meisten Ländern gibt es Vorschriften zur Vorratsdatenspeicherung, die vorschreiben, dass Protokolle darüber, wer welche IP zu einem bestimmten Zeitpunkt/Datum verwendet, bis zu mehreren Jahren oder auf unbestimmte Zeit aufbewahrt werden. Ihr Internetdienstanbieter kann einem Dritten mitteilen, dass Sie eine bestimmte IP-Adresse zu einem bestimmten Datum und einer bestimmten Uhrzeit verwendet haben, auch noch Jahre später. Wenn diese IP-Adresse (die ursprüngliche) irgendwann aus irgendeinem Grund durchsickert, kann sie verwendet werden, um Sie direkt aufzuspüren. In vielen Ländern können Sie keinen Internetzugang erhalten, ohne sich gegenüber dem Provider in irgendeiner Form zu identifizieren (Adresse, ID, richtiger Name, E-Mail ...).


Es ist unnötig zu erwähnen, dass die meisten Plattformen (z. B. soziale Netzwerke) auch die IP-Adressen, die Sie für die Anmeldung bei ihren Diensten verwendet haben, aufbewahren (manchmal auf unbestimmte Zeit).


Hier sind einige Online-Ressourcen, die Sie nutzen können, um Informationen über Ihre aktuelle öffentliche IP-Adresse zu erhalten:

• Finden Sie Ihre IP:
  
  • https://resolve.rs/
  • https://www.dnsleaktest.com/ (Bonus, überprüfen Sie Ihre IP auf DNS-Lecks)
• Finden Sie Ihren IP-Standort oder den Standort einer beliebigen IP:
  
  • https://resolve.rs/ip/geolocation.html
• Finden Sie heraus, ob eine IP "verdächtig" ist oder "Dinge" auf öffentliche Ressourcen heruntergeladen hat:
  
  • https://www.virustotal.com/gui/home/search
  • https://iknowwhatyoudownload.com
• Registrierungsinformationen einer IP (höchstwahrscheinlich Ihr ISP oder der ISP Ihres Anschlusses, der höchstwahrscheinlich weiß, wer diese IP zu jeder Zeit verwendet):
  
  • https://whois.domaintools.com/
• Prüfen Sie, ob auf einer IP offene Dienste oder offene Geräte vorhanden sind (insbesondere, ob es undichte Smart Devices auf der IP gibt):
  
  • https://www.shodan.io/host/185.220.101.134 (ersetze die IP durch deine IP oder eine andere, oder ändere sie im Suchfeld, diese Beispiel-IP ist ein Tor-Exit-Knoten)
• Verschiedene Tools, um deine IP zu überprüfen, wie z.B. Blacklists und mehr:
  
  • https://www.whatismyip.com
  • https://browserleaks.com/
• Willst du wissen, ob du über Tor verbunden bist?
  
  • https://check.torproject.org

Aus diesen Gründen müssen wir die Herkunfts-IP (diejenige, die mit deiner Identifizierung verbunden ist) verschleiern oder sie so gut wie möglich durch eine Kombination verschiedener Mittel verbergen:

• Nutzung eines öffentlichen Wi-Fi-Dienstes (kostenlos).
• Nutzung des Anonymitätsnetzwerks Tor (kostenlos).
• Anonyme Nutzung von VPN-Diensten (anonym bezahlt mit Bargeld oder Monero).

Alle diese Möglichkeiten werden später in diesem Leitfaden erklärt.

 

[HEISENBERG]

Ihre DNS- und IP-Anfragen.

DNS steht für "Domain Name System" und ist ein Dienst, der von Ihrem Browser (und anderen Anwendungen) verwendet wird, um die IP-Adressen eines Dienstes zu finden. Es ist quasi eine riesige "Kontaktliste" (ein Telefonbuch für ältere Menschen), die so funktioniert, dass man sie nach einem Namen fragt und sie die entsprechende Nummer zurückgibt. Nur dass es stattdessen eine IP-Adresse zurückgibt.


Jedes Mal, wenn Ihr Browser über www.google.com auf einen bestimmten Dienst wie z. B. Google zugreifen möchte . Ihr Browser (Chrome oder Firefox) wird einen DNS-Dienst abfragen, um die IP-Adressen der Google-Webserver zu finden.


Hier ist ein Video, das DNS visuell erklärt, falls Sie sich bereits verlaufen haben:

[Invidious]


Normalerweise wird der DNS-Dienst von Ihrem Internetanbieter bereitgestellt und automatisch von dem Netzwerk konfiguriert, mit dem Sie verbunden sind. Dieser DNS-Dienst könnte auch Vorschriften zur Vorratsdatenspeicherung unterliegen oder aus anderen Gründen Protokolle führen (z. B. Datensammlung für Werbezwecke). Daher ist dieser Internetdienstanbieter in der Lage, alles, was Sie online getan haben, zu erfahren, indem er sich diese Protokolle ansieht, die wiederum an einen Gegner weitergegeben werden können. Praktischerweise ist dies auch der einfachste Weg für viele Gegner, Zensur oder elterliche Kontrolle anzuwenden, indem sie DNS-Blockierung verwenden. Die bereitgestellten DNS-Server geben Ihnen eine andere Adresse (als die echte) für einige Websites (wie die Umleitung von thepiratebay auf eine Regierungswebsite). Solche Blockierungen sind weltweit für bestimmte Websites weit verbreitet.


Die Verwendung eines privaten DNS-Dienstes oder eines eigenen DNS-Dienstes würde diese Probleme entschärfen, aber das andere Problem ist, dass die meisten dieser DNS-Anfragen standardmäßig immer noch im Klartext (unverschlüsselt) über das Netzwerk gesendet werden. Selbst wenn du PornHub in einem Inkognito-Fenster besuchst, HTTPS verwendest und einen privaten DNS-Dienst nutzt, ist die Wahrscheinlichkeit sehr hoch, dass dein Browser eine unverschlüsselte Klartext-DNS-Anfrage an einige DNS-Server sendet, die im Wesentlichen lautet: "Wie lautet die IP-Adresse von www.pornhub.com?".


Da die Anfrage nicht verschlüsselt ist, kann Ihr Internetdienstanbieter und/oder ein anderer Angreifer sie dennoch abfangen (durch einen Man-in-the-middle-Angriff) und möglicherweise protokollieren, wonach Ihre IP-Adresse gesucht hat. Derselbe Internetdienstanbieter kann auch die DNS-Antworten manipulieren, selbst wenn Sie einen privaten DNS verwenden. Dadurch wird die Nutzung eines privaten DNS-Dienstes nutzlos.


Hinzu kommt, dass viele Geräte und Anwendungen fest kodierte DNS-Server verwenden und damit alle Systemeinstellungen umgehen, die Sie vornehmen könnten. Dies ist zum Beispiel bei den meisten (70 %) Smart-TVs und einem großen Teil (46 %) der Spielkonsolen der Fall. Bei diesen Geräten müssen Sie sie zwingen, ihren hartkodierten DNS-Dienst nicht mehr zu verwenden, was dazu führen kann, dass sie nicht mehr richtig funktionieren.


Eine Lösung hierfür ist die Verwendung von verschlüsseltem DNS mit DoH (DNS über HTTPS), DoT (DNS über TLS) mit einem privaten DNS-Server (dieser kann lokal mit einer Lösung wie pi-hole selbst gehostet werden, aus der Ferne mit einer Lösung wie nextdns.io gehostet werden oder die Lösungen Ihres VPN-Anbieters oder das Tor-Netzwerk nutzen). Dies sollte verhindern, dass dein ISP oder ein Mittelsmann deine Anfragen ausspäht ... aber vielleicht auch nicht.


Kleiner Disclaimer zwischendurch: Dieser Leitfaden unterstützt oder empfiehlt nicht notwendigerweise die Dienste von Cloudflare, auch wenn sie in diesem Abschnitt zum technischen Verständnis mehrmals erwähnt werden.


Leider gibt das TLS-Protokoll, das bei den meisten HTTPS-Verbindungen in den meisten Browsern (darunter Chrome/Brave/Ungoogled-Chromium) verwendet wird, den Domainnamen durch SNI-Handshakes wieder preis (dies kann hier bei Cloudflare überprüft werden: https://www.cloudflare.com/ssl/encrypted-sni/ [Archive.org]). Zum Zeitpunkt der Erstellung dieses Leitfadens unterstützen nur Firefox-basierte Browser auf einigen Websites ECH (Encrypted Client Hello , früher bekannt als eSNI), das alles Ende-zu-Ende verschlüsselt (zusätzlich zur Verwendung eines sicheren privaten DNS über TLS/HTTPS) und Ihnen erlaubt, Ihre DNS-Anfragen vor Dritten zu verbergen. Auch diese Option ist nicht standardmäßig aktiviert, so dass Sie sie selbst aktivieren müssen.

Zusätzlich zur eingeschränkten Browserunterstützung unterstützen derzeit nur Webdienste und CDNs hinter Cloudflare CDN ECH/eSNI. Das bedeutet, dass ECH und eSNI (zum Zeitpunkt der Erstellung dieses Leitfadens) von den meisten Mainstream-Plattformen nicht unterstützt werden, wie z. B.:

• Amazon (einschließlich AWS, Twitch...)
• Microsoft (einschließlich Azure, OneDrive, Outlook, Office 365...)
• Google (einschließlich Gmail, Google Cloud...)
• Apple (einschließlich iCloud, iMessage...)
• Reddit
• YouTube
• Facebook
• Instagram
• Twitter
• GitHub
• ...

Einige Länder wie Russland und China blockieren ECH/eSNI-Handshakes auf Netzwerkebene, um Schnüffelei zu ermöglichen und die Umgehung der Zensur zu verhindern. Das bedeutet, dass Sie keine HTTPS-Verbindung mit einem Dienst herstellen können, wenn Sie nicht zulassen, dass sie sehen, was es war.


Die Probleme sind hier noch nicht zu Ende. Ein Teil der HTTPS-TLS-Validierung heißt OCSP, und dieses Protokoll, das von Firefox-basierten Browsern verwendet wird, gibt Metadaten in Form der Seriennummer des Zertifikats der von Ihnen besuchten Website preis. Ein Angreifer kann dann leicht herausfinden, welche Website Sie besuchen, indem er die Zertifikatsnummer abgleicht. Dieses Problem kann durch die Verwendung von OCSP-Stapling entschärft werden. Leider ist dies in Firefox/Tor Browser standardmäßig aktiviert, wird aber nicht erzwungen. Allerdings muss die von Ihnen besuchte Website dies auch unterstützen, und das tun nicht alle. Chromium-basierte Browser hingegen verwenden ein anderes System namens CRLSets, das wohl besser ist.


Hier ist eine Liste, wie sich verschiedene Browser im Zusammenhang mit OCSP verhalten: https://www.ssl.com/blogs/how-do-browsers-handle-revoked-ssl-tls-certificates/ [Archive.org]


Hier ist eine Illustration des Problems, das bei Firefox-basierten Browsern auftreten kann:

Selbst wenn du einen benutzerdefinierten verschlüsselten DNS-Server (DoH oder DoT) mit ECH/eSNI-Unterstützung und OCSP-Stapling verwendest, reicht dies möglicherweise nicht aus, da Studien zur Verkehrsanalyse gezeigt haben, dass es immer noch möglich ist, unerwünschte Anfragen zuverlässig zu identifizieren und zu blockieren. Nur DNS über Tor konnte in den letzten Studien eine effiziente DNS-Privatsphäre demonstrieren, aber selbst das kann immer noch mit anderen Mitteln umgangen werden (siehe Dein anonymer Tor/VPN-Verkehr).


Man könnte auch einen Tor Hidden DNS Service oder ODoH (Oblivious DNS over HTTPS) verwenden, um die Privatsphäre/Anonymität weiter zu erhöhen, aber soweit ich weiß, werden diese Methoden zum jetzigen Zeitpunkt leider nur von Cloudflare angeboten(https://blog.cloudflare.com/welcome-hidden-resolver/ [Archive.org], https://blog.cloudflare.com/oblivious-dns/ [Archive.org]). Ich persönlich denke, dass dies praktikable und einigermaßen sichere technische Optionen sind, aber es ist auch eine moralische Entscheidung, ob Sie Cloudflare benutzen wollen oder nicht (trotz des Risikos, das einige Forscher darstellen).


Schließlich gibt es noch eine neue Option namens DoHoT, die für DNS over HTTPS over Tor steht und die Ihre Privatsphäre/Anonymität noch weiter erhöhen könnte und die Sie in Betracht ziehen könnten, wenn Sie sich mit Linux besser auskennen. Siehe https://github.com/alecmuffett/dohot [Archive.org]. Dieser Leitfaden wird dir in diesem Stadium nicht helfen, aber er wird vielleicht bald erscheinen.


Hier ist eine Illustration, die den aktuellen Stand der DNS- und HTTPS-Privatsphäre zeigt, basierend auf meinem derzeitigen Wissen.

Für Ihren normalen täglichen Gebrauch (nicht sensibel) sollten Sie bedenken, dass bisher nur Firefox-basierte Browser ECH (ehemals eSNI) unterstützen und dass es derzeit nur bei Websites nützlich ist, die hinter Cloudflare CDN gehostet werden. Wenn Sie eine Chrome-basierte Version bevorzugen (was für einige aufgrund einiger besser integrierter Funktionen wie On-the-fly-Übersetzung verständlich ist), dann würde ich stattdessen die Verwendung von Brave empfehlen, das alle Chrome-Erweiterungen unterstützt und einen viel besseren Datenschutz als Chrome bietet. Wenn Sie Brave nicht vertrauen, können Sie alternativ auch Ungoogled-Chromium(https://github.com/Eloston/ungoogled-chromium [Archive.org]) verwenden.


Aber damit ist die Geschichte noch nicht zu Ende. Denn selbst wenn Sie Ihr DNS verschlüsseln und alle möglichen Abhilfemaßnahmen ergreifen. Durch einfache IP-Anfragen an einen beliebigen Server kann ein Angreifer wahrscheinlich immer noch feststellen, welche Website Sie besuchen. Und das liegt einfach daran, dass die meisten Websites eindeutige IPs haben, wie hier erklärt wird: https://blog.apnic.net/2019/08/23/what-can-you-learn-from-an-ip-address/ [Archive.org]. Das bedeutet, dass ein Angreifer einen Datensatz bekannter Websites einschließlich ihrer IPs erstellen und diesen Datensatz dann mit der von Ihnen angeforderten IP abgleichen kann. In den meisten Fällen wird dies zu einer korrekten Erkennung der von Ihnen besuchten Website führen. Das bedeutet, dass trotz OCSP-Stapling, trotz ECH/eSNI, trotz verschlüsseltem DNS ... ein Angreifer die von Ihnen besuchte Website trotzdem erraten kann.


Um all diese Probleme zu entschärfen (so weit wie möglich und so gut wie möglich), wird dieser Leitfaden später zwei Lösungen empfehlen: Die Verwendung von Tor und eine virtualisierte (siehe Anhang W: Virtualisierung) mehrschichtige Lösung von VPN über Tor. Andere Optionen werden ebenfalls erklärt (Tor über VPN, nur VPN, kein Tor/VPN), sind aber weniger empfehlenswert.

 

[HEISENBERG]

Ihre RFID-fähigen Geräte.

RFID steht für Radiofrequenz-Identifikation und ist die Technologie, die z. B. für kontaktlose Zahlungen und verschiedene Identifikationssysteme verwendet wird. Natürlich gehört auch Ihr Smartphone zu diesen Geräten und verfügt über RFID-Funktionen für kontaktloses Bezahlen über NFC. Wie alles andere auch, können diese Fähigkeiten von verschiedenen Akteuren zur Verfolgung genutzt werden.


Aber leider ist dies nicht auf Ihr Smartphone beschränkt. Wahrscheinlich tragen Sie auch ständig irgendwelche RFID-fähigen Geräte mit sich herum, wie z. B.:

• Ihre kontaktlos nutzbaren Kredit-/Debitkarten
• Ihre Kundenkarten für Geschäfte
• Ihre Zahlungskarten für Verkehrsmittel
• Ihre arbeitsbezogenen Zugangskarten
• Ihre Autoschlüssel
• Ihr Personalausweis oder Führerschein
• Ihr Reisepass
• Die Preis-/Diebstahlsicherungsetiketten an Gegenständen/Kleidung
• ...

All diese Daten können zwar nicht dazu verwendet werden, Ihre Anonymität vor einem Online-Gegner zu wahren, aber sie können dazu verwendet werden, eine Suche einzugrenzen, wenn Ihr ungefährer Standort zu einer bestimmten Zeit bekannt ist. Sie können beispielsweise nicht ausschließen, dass einige Geschäfte tatsächlich alle RFID-Chips scannen (und aufzeichnen), die durch die Tür kommen. Möglicherweise suchen sie nach ihren Kundenkarten, erfassen aber auch andere Chips auf dem Weg. Solche RFID-Etiketten könnten zu Ihrer Identität zurückverfolgt werden und eine De-Anonymisierung ermöglichen.


Weitere Informationen finden Sie bei Wikipedia: https://en.wikipedia.org/wiki/Radio-frequency_identification#Security_concerns [Wikiless] [Archive.org] und https://en.wikipedia.org/wiki/Radio-frequency_identification#Privacy [Wikiless] [Archive.org]


Die einzige Möglichkeit, dieses Problem zu entschärfen, besteht darin, keine RFID-Etiketten an sich zu tragen oder sie mit einer Art faradayschem Käfig abzuschirmen. Sie könnten auch spezielle Geldbörsen/Beutel verwenden, die die RFID-Kommunikation speziell blockieren. Viele dieser Taschen werden inzwischen von bekannten Marken wie Samsonite hergestellt.

 

[HEISENBERG]

Die Wi-Fi- und Bluetooth-Geräte um Sie herum.

Die Geolokalisierung erfolgt nicht nur über die Triangulation der Mobilfunkantenne. Sie erfolgt auch über die Wi-Fi- und Bluetooth-Geräte in Ihrer Umgebung. Hersteller von Betriebssystemen wie Google (Android) und Apple (IOS) unterhalten eine praktische Datenbank mit den meisten Wi-Fi-Zugangspunkten, Bluetooth-Geräten und deren Standort. Wenn Ihr Android-Smartphone oder iPhone eingeschaltet ist (und sich nicht im Flugzeugmodus befindet), scannt es passiv (es sei denn, Sie deaktivieren diese Funktion ausdrücklich in den Einstellungen) die Wi-Fi-Zugangspunkte und Bluetooth-Geräte in Ihrer Umgebung und kann Ihren Standort mit größerer Genauigkeit bestimmen als bei Verwendung eines GPS.


Dadurch können sie auch bei ausgeschaltetem GPS genaue Standorte angeben, aber auch eine praktische Aufzeichnung aller Bluetooth-Geräte auf der ganzen Welt führen. Auf diese Daten können sie selbst oder Dritte zum Zwecke der Ortung zugreifen.


Hinweis: Wenn Sie ein Android-Smartphone haben, weiß Google wahrscheinlich, wo es sich befindet, egal, was Sie tun. Sie können den Einstellungen nicht wirklich vertrauen. Das gesamte Betriebssystem wird von einem Unternehmen entwickelt, das Ihre Daten haben will. Denken Sie daran: Wenn es kostenlos ist, dann sind Sie das Produkt.


Aber das ist nicht das, was all diese Wi-Fi-Zugangspunkte tun können. Kürzlich entwickelte Technologien könnten es sogar jemandem ermöglichen, Ihre Bewegungen allein aufgrund von Funkstörungen genau zu verfolgen. Das bedeutet, dass es möglich ist, Ihre Bewegungen in einem Raum/Gebäude auf der Grundlage der Funksignale zu verfolgen. Das mag wie eine Verschwörungstheorie aus Alufolie erscheinen, aber hier sind die Referenzen mit Demonstrationen, die diese Technologie in Aktion zeigen: http://rfpose.csail.mit.edu/ [Archive.org] und das Video hier:

[Invidious]


Man könnte sich also viele Anwendungsfälle für solche Technologien vorstellen, z. B. die Aufzeichnung von Personen, die bestimmte Gebäude/Büros (z. B. Hotels, Krankenhäuser oder Botschaften) betreten, um dann herauszufinden, wer sich mit wem trifft und diese Personen von außen zu verfolgen. Auch wenn sie kein Smartphone dabei haben.

Auch hier könnte dieses Problem nur dadurch entschärft werden, dass man sich in einem Raum/Gebäude aufhält, der als Faradayscher Käfig fungiert.


Hier ist ein weiteres Video, das die gleiche Art von Technologie in Aktion zeigt:

[Invidious]

 

[HEISENBERG]

Bösartige/Rogue Wi-Fi Access Points.

Diese werden mindestens seit 2008 mit einem Angriff namens "Jasager" verwendet und können von jedermann mit selbstgebauten Tools oder mit im Handel erhältlichen Geräten wie Wi-Fi Pineapple eingesetzt werden.


Hier sind einige Videos, die mehr über das Thema erklären:

• HOPE 2020, https://archive.org/details/hopeconf2020/20200725_1800_Advanced_Wi-Fi_Hacking_With_$5_Microcontrollers.mp4
• YouTube, Hak5, Wi-Fi Pineapple Mark VII
  [Invidious]

Diese Geräte passen in eine kleine Tasche und können die Wi-Fi-Umgebung eines beliebigen Ortes innerhalb ihrer Reichweite übernehmen. Zum Beispiel in einer Bar/Restaurant/Café/Hotel-Lobby. Diese Geräte können Wi-Fi-Clients dazu zwingen, die Verbindung zu ihrem aktuellen Wi-Fi zu trennen (unter Verwendung von Deauthentifizierungs- und Disassoziationsangriffen), während sie die normalen Wi-Fi-Netzwerke am selben Ort vortäuschen. Sie führen diesen Angriff so lange durch, bis Ihr Computer oder Sie selbst versuchen, sich mit dem betrügerischen AP zu verbinden.


Diese Geräte können dann ein firmeneigenes Portal mit genau demselben Layout wie das Wi-Fi, auf das Sie zuzugreifen versuchen, imitieren (z. B. ein Airport Wi-Fi-Registrierungsportal). Oder sie können Ihnen einfach einen offenen Internetzugang anbieten, den sie selbst vom selben Ort beziehen.


Sobald Sie über den Rogue AP verbunden sind, ist dieser AP in der Lage, verschiedene Man-in-the-Middle-Angriffe auszuführen, um Ihren Datenverkehr zu analysieren. Dabei kann es sich um böswillige Umleitungen oder einfaches Traffic Sniffing handeln. Diese können dann leicht jeden Client identifizieren, der zum Beispiel versucht, sich mit einem VPN-Server oder dem Tor-Netzwerk zu verbinden.


Dies kann nützlich sein, wenn Sie wissen, dass sich jemand, den Sie anonymisieren wollen, an einem belebten Ort aufhält, Sie aber nicht wissen, wer. Auf diese Weise könnte ein Angreifer jede Website, die Sie trotz der Verwendung von HTTPS, DoT, DoH, ODoH, VPN oder Tor besuchen, mit Hilfe von Verkehrsanalysen (siehe DNS-Abschnitt) identifizieren.


Diese können auch verwendet werden, um sorgfältig ausgearbeitete Phishing-Webseiten zu erstellen, die Ihre Anmeldedaten abfangen oder Sie dazu bringen, ein bösartiges Zertifikat zu installieren, mit dem sie Ihren verschlüsselten Datenverkehr einsehen können.

 

[HEISENBERG]

Ihr anonymisierter Tor/VPN-Verkehr.

Tor und VPNs sind keine Patentrezepte. Im Laufe der Jahre wurden viele fortschrittliche Techniken entwickelt und untersucht, um den verschlüsselten Tor-Verkehr zu anonymisieren. Die meisten dieser Techniken sind Korrelationsangriffe, die deinen Netzwerkverkehr auf die eine oder andere Weise mit Protokollen oder Datensätzen korrelieren. Hier sind einige klassische Beispiele:

• Korrelations-Fingerprinting-Angriff: Wie nachstehend (vereinfacht) dargestellt, erstellt dieser Angriff einen Fingerabdruck Ihres verschlüsselten Datenverkehrs (z. B. der von Ihnen besuchten Websites) allein auf der Grundlage der Analyse Ihres verschlüsselten Datenverkehrs (ohne diesen zu entschlüsseln). Dies gelingt mit einer Erfolgsquote von satten 96 %. Ein Angreifer, der Zugang zu Ihrem Quellnetzwerk hat, kann diese Fingerabdrücke verwenden, um einige Ihrer verschlüsselten Aktivitäten herauszufinden (z. B. welche Websites Sie besucht haben).

Korrelations-Timing-Angriffe: Wie unten (vereinfacht) dargestellt, könnte ein Angreifer, der Zugang zu Netzwerkverbindungsprotokollen (z.B. IP oder DNS, bedenke, dass die meisten VPN-Server und die meisten Tor-Knoten bekannt und öffentlich gelistet sind) an der Quelle und am Zielort hat, die Zeitpunkte korrelieren, um dich zu de-anonymisieren, ohne dass dazwischen ein Zugang zum Tor- oder VPN-Netzwerk nötig ist. Ein echter Anwendungsfall dieser Technik wurde vom FBI im Jahr 2013 durchgeführt, um eine Bombendrohung an der Harvard-Universität zu de-anonymisieren.

Korrelationszählende Angriffe: Wie unten (vereinfacht) dargestellt, könnte ein Angreifer, der keinen Zugang zu detaillierten Verbindungsprotokollen hat (er kann nicht sehen, dass Sie Tor oder Netflix benutzt haben), aber Zugang zu Datenzählungsprotokollen hat, sehen, dass Sie 600 MB zu einem bestimmten Zeitpunkt/Datum heruntergeladen haben, der mit dem Upload von 600 MB am Zielort übereinstimmt. Diese Korrelation kann dann verwendet werden, um Sie im Laufe der Zeit zu de-anonymisieren.

Es gibt Möglichkeiten, dies zu verhindern, wie zum Beispiel:

• Verwenden Sie Tor/VPNs nicht, um auf Dienste zuzugreifen, die sich im selben Netzwerk (ISP) wie der Zieldienst befinden. Verbinden Sie sich zum Beispiel nicht mit Tor von Ihrem Universitätsnetzwerk aus, um anonym auf einen Universitätsdienst zuzugreifen. Verwende stattdessen einen anderen Quellpunkt (z.B. ein öffentliches WLAN), der von einem Angreifer nicht so leicht zugeordnet werden kann.
• Benutze Tor/VPN nicht von einem offensichtlich überwachten Netzwerk aus (z.B. einem Firmen- oder Regierungsnetzwerk), sondern suche dir ein unüberwachtes Netzwerk, wie z.B. ein öffentliches WLAN oder ein privates WLAN.
• Verwenden Sie mehrere Schichten (wie z. B. das, was später in diesem Leitfaden empfohlen wird: VPN über Tor), so dass ein Angreifer zwar sehen kann, dass sich jemand über Tor mit dem Dienst verbunden hat, aber nicht erkennen kann, dass Sie es waren, weil Sie mit einem VPN und nicht mit dem Tor-Netzwerk verbunden waren.

Seien Sie sich bewusst, dass dies gegen einen motivierten globalen Gegner mit weitreichendem Zugang zu globaler Massenüberwachung nicht ausreichen könnte. Ein solcher Gegner könnte Zugang zu Protokollen haben, egal wo du dich aufhältst, und könnte diese nutzen, um dich zu de-anonymisieren.


Sei dir auch bewusst, dass alle anderen Methoden, die in diesem Leitfaden beschrieben werden, wie z.B. die Verhaltensanalyse, auch verwendet werden können, um Tor-Benutzer indirekt zu deanonymisieren (siehe auch Dein digitaler Fingerabdruck, Fußabdruck und Online-Verhalten).


Ich empfehle auch dringend, diesen sehr guten, vollständigen und gründlichen Leitfaden über viele Angriffsvektoren auf Tor zu lesen: https://github.com/Attacks-on-Tor/Attacks-on-Tor [Archive.org] sowie diese aktuelle Forschungspublikation https://www.researchgate.net/public...ners_of_the_Internet_A_Survey_of_Tor_Research [Archive.org]


Sowie diese großartige Serie von Blogbeiträgen: https://www.hackerfactor.com/blog/index.php?/archives/906-Tor-0day-The-Management-Vulnerability.html [Archive.org]


(Zu ihrer Verteidigung sollte auch angemerkt werden, dass Tor nicht zum Schutz vor einem globalen Gegner entwickelt wurde. Für weitere Informationen siehe https://svn-archive.torproject.org/svn/projects/design-paper/tor-design.pdf [Archive.org] und speziell "Teil 3. Designziele und Annahmen").


Zu guter Letzt solltest du daran denken, dass die Benutzung von Tor bereits als verdächtige Aktivität angesehen werden kann und seine Benutzung von einigen als böswillig betrachtet werden könnte.


Dieser Leitfaden wird später einige Abhilfemaßnahmen gegen solche Angriffe vorschlagen, indem du deine Herkunft von Anfang an änderst (z.B. indem du öffentliche Wi-Fi's benutzt).

 

[HEISENBERG]

Einige Geräte können sogar im Offline-Modus verfolgt werden.

Sie kennen das aus Action-/Spionage-/Sci-Fi-Filmen und -Sendungen: Die Protagonisten entfernen immer den Akku ihres Telefons, um sicherzustellen, dass es nicht benutzt werden kann. Die meisten Leute würden denken, dass das zu viel des Guten ist. Nun, leider nein, das wird jetzt wahr, zumindest für einige Geräte:

• iPhones und iPads (IOS 13 und höher)
• Samsung-Handys (Android 10 und höher)
• MacBooks (MacOS 10.15 und höher)

Diese Geräte senden weiterhin Identitätsinformationen an Geräte in der Nähe, auch wenn sie mit Bluetooth Low-Energy offline sind. Sie haben keinen direkten Zugriff auf die Geräte (die nicht mit dem Internet verbunden sind), sondern nutzen BLE, um sie über andere Geräte in der Nähe zu finden. Sie verwenden im Grunde eine Peer-to-Peer-Bluetooth-Kommunikation mit kurzer Reichweite, um ihren Status über Online-Geräte in der Nähe zu übertragen.


Sie könnten nun solche Geräte orten und den Standort in einer Datenbank speichern, die dann von Dritten oder ihnen selbst zu verschiedenen Zwecken (u. a. Analyse, Werbung oder Sammlung von Beweisen/Informationen) genutzt werden könnte.

 

[HEISENBERG]

Ihre Hardware-Kennungen.

Ihre IMEI und IMSI (und damit auch Ihre Telefonnummer).

Die IMEI (International Mobile Equipment Identity) und die IMSI (International Mobile Subscriber Identity) sind eindeutige Nummern, die von Mobiltelefonherstellern und -betreibern vergeben werden.


Die IMEI ist direkt mit dem von Ihnen benutzten Telefon verbunden. Diese Nummer ist den Mobilfunkbetreibern und den Herstellern bekannt und wird von ihnen nachverfolgt. Jedes Mal, wenn sich Ihr Telefon mit dem Mobilfunknetz verbindet, wird die IMEI zusammen mit der IMSI im Netz registriert (wenn eine SIM-Karte eingelegt ist, aber das ist gar nicht nötig). Sie wird auch von vielen Anwendungen (z. B. Banking-Apps, die die Telefonerlaubnis unter Android missbrauchen) und Smartphone-Betriebssystemen (Android/IOS) zur Identifizierung des Geräts verwendet. Es ist möglich, aber schwierig (und in vielen Ländern nicht illegal), die IMEI eines Telefons zu ändern, aber es ist wahrscheinlich einfacher und billiger, ein altes (funktionierendes) Burner-Telefon für ein paar Euro (dieser Leitfaden gilt für Deutschland) auf einem Flohmarkt oder in einem beliebigen kleinen Laden zu kaufen.


Die IMSI ist direkt an den von Ihnen genutzten Mobilfunkvertrag oder Prepaid-Tarif gebunden und wird von Ihrem Mobilfunkanbieter an Ihre Telefonnummer gebunden. Die IMSI ist direkt auf der SIM-Karte fest einprogrammiert und kann nicht geändert werden. Denken Sie daran, dass Ihr Telefon jedes Mal, wenn es sich mit dem Mobilfunknetz verbindet, neben der IMEI auch die IMSI im Netz registriert. Wie die IMEI wird auch die IMSI von einigen Anwendungen und Smartphone-Betriebssystemen zur Identifizierung verwendet und nachverfolgt. Einige Länder in der EU unterhalten zum Beispiel eine Datenbank mit IMEI/IMSI-Zuordnungen, die von den Strafverfolgungsbehörden leicht abgefragt werden können.


Heutzutage ist die Preisgabe Ihrer (echten) Telefonnummer im Grunde dasselbe oder sogar besser als die Preisgabe Ihrer Sozialversicherungsnummer/Passnummer/Nationalidentität.


Die IMEI und IMSI können auf mindestens 6 Arten zu Ihnen zurückverfolgt werden:

• Die Teilnehmerprotokolle der Mobilfunkbetreiber, die in der Regel die IMEI zusammen mit der IMSI speichern, und ihre Teilnehmerdatenbank. Wenn Sie eine anonyme Prepaid-SIM-Karte verwenden (anonyme IMSI, aber mit bekannter IMEI), können sie sehen, dass diese Zelle Ihnen gehört, wenn Sie dieses Mobiltelefon zuvor mit einer anderen SIM-Karte verwendet haben (andere anonyme IMSI, aber dieselbe bekannte IMEI).
• Die Antennenprotokolle der Mobilfunkbetreiber, die praktischerweise ein Protokoll über die IMEI und IMSI führen, speichern auch einige Verbindungsdaten. Sie wissen und protokollieren z. B., dass ein Telefon mit dieser IMEI/IMSI-Kombination mit einer Reihe von Mobilfunkantennen verbunden war und wie stark das Signal zu jeder dieser Antennen war, was eine einfache Triangulation/Geolokalisierung des Signals ermöglicht. Sie wissen auch, welche anderen Telefone (z. B. Ihr echtes) zur gleichen Zeit mit den gleichen Antennen und dem gleichen Signal verbunden waren, so dass genau festgestellt werden kann, dass dieses "Brenner-Telefon" immer am gleichen Ort/zur gleichen Zeit verbunden war wie dieses andere "bekannte Telefon", das jedes Mal auftaucht, wenn das Brenner-Telefon benutzt wird. Diese Informationen können von verschiedenen Dritten verwendet werden, um Sie ganz genau zu lokalisieren/zu verfolgen.
• Der Hersteller des Telefons kann den Verkauf des Telefons anhand der IMEI zurückverfolgen, wenn das Telefon auf nicht anonyme Weise gekauft wurde. Sie verfügen über Protokolle jedes Telefonverkaufs (einschließlich Seriennummer und IMEI) und wissen, an welches Geschäft/welche Person es verkauft wurde. Und wenn Sie ein Telefon benutzen, das Sie online gekauft haben (oder von jemandem, der Sie kennt). Anhand dieser Informationen kann es zu Ihnen zurückverfolgt werden. Selbst wenn Sie nicht auf Überwachungskameras zu sehen sind und Sie das Telefon bar gekauft haben, können sie anhand der Antennenprotokolle herausfinden, welches andere Telefon (Ihr echtes in der Tasche) zu diesem Zeitpunkt in dem Geschäft war.
• Auch die IMSI allein kann verwendet werden, um Sie ausfindig zu machen, denn in den meisten Ländern müssen die Kunden beim Kauf einer SIM-Karte (Abonnement oder Prepaid) eine ID angeben. Die IMSI ist dann an die Identität des Käufers der Karte gebunden. In den Ländern, in denen die SIM-Karte noch mit Bargeld gekauft werden kann (z. B. im Vereinigten Königreich), weiß man immer noch, wo (in welchem Geschäft) sie gekauft wurde und wann. Diese Informationen können dann verwendet werden, um Informationen aus dem Geschäft selbst abzurufen (z. B. Videoaufzeichnungen wie im Fall der IMEI). Die Antennenprotokolle können auch dazu verwendet werden, um herauszufinden, welches andere Telefon sich zum Zeitpunkt des Verkaufs dort befand.
• Die Hersteller von Smartphone-Betriebssystemen (Google/Apple für Android/IOs) führen ebenfalls Protokolle über IMEI/IMSI-Kennungen, die mit Google/Apple-Konten verknüpft sind, und darüber, welcher Nutzer sie verwendet hat. Auch sie können die Geschichte des Telefons zurückverfolgen und wissen, mit welchen Konten es in der Vergangenheit verbunden war.
• Regierungsbehörden auf der ganzen Welt, die an Ihrer Telefonnummer interessiert sind, können spezielle Geräte, so genannte "IMSI-Catcher", wie den Stingray oder neuerdings den Nyxcell, verwenden und tun dies auch. Diese Geräte können eine Handy-Antenne imitieren (fälschen) und eine bestimmte IMSI (Ihr Telefon) dazu zwingen, sich mit ihr zu verbinden, um Zugang zum Mobilfunknetz zu erhalten. Sobald dies geschehen ist, können sie verschiedene MITM-Angriffe (Man-In-The-Middle-Attacken) durchführen, die es ihnen ermöglichen,:
  • Ihr Telefon abhören (Sprachanrufe und SMS).
  • Ihren Datenverkehr abhören und untersuchen.
  • sich als Ihre Telefonnummer auszugeben, ohne Ihr Telefon zu kontrollieren.
  • ...

Hier ist auch ein gutes YouTube-Video zu diesem Thema: DEFCON Safe Mode - Cooper Quintin - Fake 4G Base Stations in Echtzeit erkennen

[Invidious]


Aus diesen Gründen ist es von entscheidender Bedeutung, sich eine anonyme Telefonnummer und/oder ein anonymes Brenner-Telefon mit einer anonymen Prepaid-Sim-Karte zu besorgen, die in keiner Weise mit Ihnen verbunden sind (weder in der Vergangenheit noch in der Gegenwart), um sensible Aktivitäten durchzuführen (siehe weitere praktische Anleitungen im Abschnitt Anonyme Telefonnummer besorgen ).


Es gibt zwar einige Smartphone-Hersteller wie Purism mit ihrer Librem-Serie, die behaupten, Ihre Privatsphäre im Auge zu haben, aber sie erlauben immer noch keine IMEI-Randomisierung, die meiner Meinung nach eine wichtige Anti-Tracking-Funktion ist, die von solchen Herstellern angeboten werden sollte. Diese Maßnahme verhindert zwar nicht das IMSI-Tracking innerhalb der SIM-Karte, aber sie würde es Ihnen zumindest ermöglichen, das gleiche "Brenner-Telefon" zu behalten und nur die SIM-Karten zu wechseln, anstatt beide aus Datenschutzgründen wechseln zu müssen.

 

[HEISENBERG]

Ihre Wi-Fi- oder Ethernet-MAC-Adresse.

Die MAC-Adresse ist eine eindeutige Kennung, die an Ihre physische Netzwerkschnittstelle (kabelgebundenes Ethernet oder Wi-Fi) gebunden ist und natürlich dazu verwendet werden kann, Sie aufzuspüren, wenn sie nicht randomisiert ist. Wie im Falle der IMEI führen die Hersteller von Computern und Netzwerkkarten in der Regel ein Verkaufsprotokoll (mit Angaben wie Seriennummer, IMEI, Mac-Adressen usw.), so dass sie auch hier nachvollziehen können, wo und wann der Computer mit der betreffenden MAC-Adresse verkauft wurde und an wen. Selbst wenn Sie den Computer mit Bargeld in einem Supermarkt gekauft haben, verfügt der Supermarkt möglicherweise über eine Überwachungskamera (oder eine Überwachungskamera direkt vor dem Geschäft), und auch hier könnte die Uhrzeit/das Datum des Verkaufs genutzt werden, um mithilfe der Antennenprotokolle des Mobilfunkanbieters herauszufinden, wer zu diesem Zeitpunkt dort war (IMEI/IMSI).


Die Hersteller von Betriebssystemen (Google/Microsoft/Apple) speichern ebenfalls Protokolle von Geräten und deren MAC-Adressen in ihren Protokollen zur Geräteidentifizierung (z. B. Dienste vom Typ Find my device). Apple kann feststellen, dass das MacBook mit dieser spezifischen MAC-Adresse zuvor mit einem bestimmten Apple-Konto verbunden war. Vielleicht Ihrem, bevor Sie sich entschlossen haben, das MacBook für sensible Aktivitäten zu verwenden. Vielleicht an einen anderen Benutzer, der es an Sie verkauft hat, sich aber noch an Ihre E-Mail-Adresse/Nummer aus der Zeit des Verkaufs erinnert.


Ihr Heimrouter/Wi-Fi-Zugangspunkt speichert Protokolle von Geräten, die sich im Wi-Fi registriert haben, und auf diese kann ebenfalls zugegriffen werden, um herauszufinden, wer Ihr Wi-Fi verwendet hat. Manchmal kann dies aus der Ferne (und unbemerkt) durch den Internetdienstanbieter erfolgen, je nachdem, ob der Router/Wi-Fi-Zugangspunkt vom Internetdienstanbieter aus der Ferne "verwaltet" wird (was oft der Fall ist, wenn er den Router seinen Kunden zur Verfügung stellt).


Einige kommerzielle Geräte zeichnen die MAC-Adressen auf, die zu verschiedenen Zwecken, z. B. bei Verkehrsstaus, im Umlauf sind.


Auch hier ist es also wichtig, dass Sie Ihr Telefon nicht mitnehmen, wenn/wo Sie sensible Aktivitäten durchführen. Wenn Sie Ihren eigenen Laptop benutzen, müssen Sie unbedingt die MAC-Adresse (und die Bluetooth-Adresse) verbergen, wo immer Sie ihn benutzen, und besonders vorsichtig sein, dass keine Informationen nach außen dringen. Glücklicherweise bieten viele aktuelle Betriebssysteme (Android, IOS, Linux und Windows 10) die Möglichkeit, MAC-Adressen nach dem Zufallsprinzip zu vergeben, mit der bemerkenswerten Ausnahme von MacOS, das diese Funktion selbst in seiner neuesten Big Sur-Version nicht unterstützt.

 

[HEISENBERG]

Ihre Bluetooth-MAC-Adresse.

Ihre Bluetooth-MAC-Adresse ist wie die vorherige MAC-Adresse, nur dass sie für Bluetooth ist. Auch sie kann verwendet werden, um Sie zu verfolgen, da Hersteller und Betriebssystemhersteller solche Informationen protokollieren. Sie könnte mit einem Verkaufsort/einer Verkaufszeit/einem Verkaufsdatum oder mit Konten verknüpft werden und dann dazu verwendet werden, Sie mit diesen Informationen, den Rechnungsdaten des Geschäfts, der Videoüberwachung oder den Protokollen der Mobilfunkantenne in Verbindung zu bringen.


Die Betriebssysteme verfügen über Schutzmechanismen, um diese Adressen zu randomisieren, sind aber immer noch anfällig für Sicherheitslücken.


Aus diesem Grund sollten Sie, sofern Sie diese nicht wirklich benötigen, Bluetooth in den BIOS/UEFI-Einstellungen (falls möglich) oder im Betriebssystem vollständig deaktivieren.


Unter Windows 10 müssen Sie das Bluetooth-Gerät im Gerätemanager selbst deaktivieren und aktivieren, um eine Zufallsgenerierung der Adresse für die nächste Verwendung zu erzwingen und ein Tracking zu verhindern.

 

[HEISENBERG]

Ihre CPU.

In alle modernen CPUs sind mittlerweile versteckte Verwaltungsplattformen integriert, wie z. B. die mittlerweile berüchtigte Intel Management Engine und der AMD Platform Security Processor.


Diese Verwaltungsplattformen sind im Grunde kleine Betriebssysteme, die direkt auf Ihrer CPU laufen, solange sie Strom haben. Diese Systeme haben vollen Zugriff auf das Netzwerk Ihres Computers und können von einem Angreifer auf verschiedene Weise genutzt werden, um Sie zu anonymisieren (z. B. durch direkten Zugriff oder durch Malware), wie in diesem aufschlussreichen Video gezeigt wird: BlackHat, How to Hack a Turned-Off Computer, oder Running Unsigned Code in Intel Management Engine

[Invidious].


Diese waren in der Vergangenheit bereits von mehreren Sicherheitslücken betroffen, die es Malware ermöglichten, die Kontrolle über Zielsysteme zu erlangen. Sie werden auch von vielen Datenschutzakteuren, einschließlich der EFF und Libreboot, beschuldigt, eine Hintertür in jedes System zu sein.


Es gibt einige nicht ganz so einfache Möglichkeiten, den Intel IME auf einigen CPUs zu deaktivieren, und Sie sollten dies tun, wenn Sie können. Bei einigen AMD-Laptops können Sie ihn in den BIOS-Einstellungen deaktivieren, indem Sie PSP abschalten.


Zu AMDs Verteidigung ist anzumerken, dass bisher und AFAIK keine Sicherheitslücken für ASP gefunden wurden und auch keine Hintertüren: Siehe .

[Invidious]. Darüber hinaus bietet AMD PSP im Gegensatz zu Intel IME keine Fernverwaltungsfunktionen.


Wenn Sie etwas abenteuerlustiger sind, können Sie Ihr eigenes BIOS mit Libreboot oder Coreboot installieren, wenn Ihr Laptop dies unterstützt (beachten Sie, dass Coreboot im Gegensatz zu seiner Abspaltung Libreboot einigen proprietären Code enthält).


Darüber hinaus haben einige CPUs (insbesondere Intel-CPUs) nicht behebbare Fehler, die von verschiedener Malware ausgenutzt werden können. Hier ist eine gute aktuelle Liste solcher Schwachstellen, die aktuelle, weit verbreitete CPUs betreffen:


https://en.wikipedia.org/wiki/Transient_execution_CPU_vulnerability [Wikiless] [Archive.org]

• Wenn Sie Linux verwenden, können Sie den Status der Anfälligkeit Ihrer CPU für Spectre/Meltdown-Angriffe mit https://github.com/speed47/spectre-meltdown-checker [Archive.org] überprüfen, das als Paket für die meisten Linux-Distributionen einschließlich Whonix verfügbar ist.
• Wenn Sie Windows verwenden, können Sie den Verwundbarkeitsstatus Ihrer CPU mit inSpectre https://www.grc.com/inspectre.htm [ Archive.org] überprüfen.

Einige dieser Schwachstellen lassen sich durch Einstellungen in der Virtualisierungssoftware vermeiden, die solche Angriffe abschwächen können. Weitere Informationen finden Sie in diesem Leitfaden https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (Warnung: Diese können die Leistung Ihrer VMs stark beeinträchtigen).


Ich werde daher in diesem Leitfaden einige dieser Probleme entschärfen, indem ich die Verwendung virtueller Maschinen auf einem speziellen anonymen Laptop für Ihre sensiblen Aktivitäten empfehle, der nur von einem anonymen öffentlichen Netzwerk aus verwendet wird.

 

[HEISENBERG]

Telemetriedienste für Ihre Betriebssysteme und Apps.

Ob Android, iOS, Windows, MacOS oder sogar Ubuntu. Die meisten gängigen Betriebssysteme sammeln jetzt standardmäßig Telemetriedaten, auch wenn Sie sich nie dafür oder dagegen entschieden haben. Einige, wie Windows, erlauben es nicht einmal, die Telemetrie vollständig zu deaktivieren, ohne einige technische Anpassungen vorzunehmen. Diese Informationssammlung kann sehr umfangreich sein und eine erstaunliche Anzahl von Details (Metadaten und Daten) über Ihre Geräte und deren Nutzung umfassen.


Hier sind gute Übersichten darüber, was von diesen 5 beliebten Betriebssystemen in ihren letzten Versionen gesammelt wird:

• Android/Google:
  
  • Lesen Sie einfach mal die Datenschutzbestimmungen https://policies.google.com/privacy [Archive.org]
  • School of Computer Science & Statistics, Trinity College Dublin, Irland Datenschutz bei mobilen Endgeräten: Messung der Daten, die iOS und Android an Apple und Google senden https://www.scss.tcd.ie/doug.leith/apple_google.pdf [Archive.org]
• IOS/Apple:
  
  • Weitere Informationen unter https://www.apple.com/legal/privacy/en-ww/ [Archive.org] und https://support.apple.com/en-us/HT202100 [Archive.org]
  • School of Computer Science & Statistics, Trinity College Dublin, Irland Datenschutz bei mobilen Endgeräten: Messung der Daten, die iOS und Android an Apple und Google senden https://www.scss.tcd.ie/doug.leith/apple_google.pdf [Archive.org]
  • Apple behauptet zwar, dass sie diese Daten mit Hilfe des differenzierten Datenschutzes anonymisieren, aber da müssen Sie ihnen wohl vertrauen.
• Windows/Microsoft:
  
  • Vollständige Liste der erforderlichen Diagnosedaten: https://docs.microsoft.com/en-us/wi...indows-diagnostic-data-events-and-fields-2004 [Archive.org]
  • Vollständige Liste der optionalen Diagnosedaten: https://docs.microsoft.com/en-us/windows/privacy/windows-diagnostic-data [Archive.org]
• MacOS:
  
  • Weitere Einzelheiten auf https://support.apple.com/guide/mac-help/share-analytics-information-mac-apple-mh27990/mac [Archive.org]
• Ubuntu:
  
  • Obwohl Ubuntu eine Linux-Distribution ist, sammelt es heutzutage auch Telemetriedaten. Diese Daten sind jedoch im Vergleich zu den anderen recht begrenzt. Mehr Details auf https://ubuntu.com/desktop/statistics [Archive.org]

Nicht nur die Betriebssysteme sammeln Telemetriedaten, sondern auch die auf Ihrem System installierten Anwendungen wie Browser, E-Mail-Clients und soziale Netzwerke.


Es ist wichtig zu verstehen, dass diese Telemetriedaten mit Ihrem Gerät verknüpft werden können und dazu beitragen, Sie zu de-anonymisieren und anschließend von einem Angreifer, der Zugang zu diesen Daten erhält, gegen Sie verwendet werden können.


Das bedeutet beispielsweise nicht, dass Apple-Geräte eine schlechte Wahl für einen guten Datenschutz sind, aber sie sind sicherlich nicht die beste Wahl für (relative) Anonymität. Sie schützen Sie vielleicht vor Dritten, die wissen, was Sie tun, aber nicht vor sich selbst. Höchstwahrscheinlich wissen sie, wer Sie sind.


Im weiteren Verlauf dieses Leitfadens werden wir alle uns zur Verfügung stehenden Mittel nutzen, um so viel Telemetrie wie möglich zu deaktivieren und zu blockieren, um diesen Angriffsvektor in den von diesem Leitfaden unterstützten Betriebssystemen zu entschärfen.

 

[HEISENBERG]

Ihre intelligenten Geräte im Allgemeinen.

Ihr Smartphone ist ein fortschrittliches Spionage- und Überwachungsgerät, das:

• alles aufzeichnet, was Sie jederzeit sagen ("Hey Siri", "Hey Google").
• Ihren Standort aufzeichnet, wo immer Sie sich aufhalten.
• immer andere Geräte in Ihrer Umgebung aufzeichnet (Bluetooth-Geräte, Wi-Fi Access Points).
• Zeichnet Ihre Gewohnheiten und Gesundheitsdaten auf (Schritte, Bildschirmzeit, Exposition gegenüber Krankheiten, Daten von verbundenen Geräten)
• Zeichnet alle Ihre Netzwerkstandorte auf.
• Zeichnet alle Ihre Bilder und Videos auf (und höchstwahrscheinlich auch, wo sie aufgenommen wurden).
• Hat höchstwahrscheinlich Zugriff auf die meisten Ihrer bekannten Konten, einschließlich sozialer Medien, Nachrichten- und Finanzkonten.

Die Daten werden auch dann übertragen, wenn Sie sich dagegen entscheiden, verarbeitet und auf unbestimmte Zeit (höchstwahrscheinlich unverschlüsselt) von verschiedenen Drittparteien gespeichert.


Aber das ist noch nicht alles: Dieser Abschnitt heißt nicht "Smartphones", sondern "intelligente Geräte", denn es ist nicht nur Ihr Smartphone, das Sie ausspioniert. Es ist auch jedes andere intelligente Gerät, das Sie haben könnten.

• Ihre Smartwatch (Apple Watch, Android Smartwatch ...)
• Ihre Fitnessgeräte und Apps? (Strava, Fitbit, Garmin, Polar, ...)
• Ihr Smart Speaker? (Amazon Alexa, Google Echo, Apple Homepod ...)
• Ihr intelligentes Transportmittel? (Auto? Scooter?)
• Ihre Smart Tags? (Apple AirTag, Galaxy SmartTag, Tile...)
• Ihr Auto? (Ja, die meisten modernen Autos haben heutzutage fortschrittliche Aufzeichnungs-/Verfolgungsfunktionen)
• Jedes andere intelligente Gerät? Es gibt sogar praktische Suchmaschinen, um sie online zu finden:
  
  • https://www.shodan.io/
  • https://censys.io/
  • https://www.zoomeye.org/

 

[HEISENBERG]

Sie selbst.

Ihre Metadaten einschließlich Ihrer Geo-Location.

Ihre Metadaten sind alle Informationen über Ihre Aktivitäten, ohne den eigentlichen Inhalt dieser Aktivitäten. Es ist zum Beispiel so, als wüssten Sie, dass Sie einen Anruf von einem Onkologen erhalten haben, bevor Sie nacheinander Ihre Familie und Freunde anrufen. Sie wissen nicht, was während des Gesprächs gesagt wurde, aber Sie können anhand der Metadaten erraten, was es war.


Diese Metadaten enthalten oft auch Ihren Standort, der von Smartphones, Betriebssystemen (Android/IOS), Browsern, Apps und Websites erfasst wird. Die Chancen stehen gut, dass es mehrere Unternehmen gibt, die aufgrund Ihres Smartphones genau wissen, wo Sie sich gerade aufhalten.


Diese Standortdaten wurden bereits in vielen Gerichtsverfahren als Teil von "Geofence Warrants" verwendet, die es den Strafverfolgungsbehörden ermöglichen, Unternehmen (wie Google/Apple) um eine Liste aller Geräte zu bitten, die sich zu einem bestimmten Zeitpunkt an einem bestimmten Ort befinden. Darüber hinaus werden diese Standortdaten von privaten Unternehmen sogar an das Militär verkauft, das sie dann bequem nutzen kann.


Nehmen wir nun an, Sie verwenden ein VPN, um Ihre IP-Adresse zu verbergen. Die Social-Media-Plattform weiß, dass Sie am 4. November von 8 bis 13 Uhr mit dieser VPN-IP auf dem Konto aktiv waren. Das VPN speichert angeblich keine Protokolle und kann diese VPN-IP nicht zu Ihrer IP zurückverfolgen. Ihr Internetanbieter weiß jedoch (oder kann es zumindest wissen), dass Sie am 4. November von 7:30 Uhr bis 14:00 Uhr mit demselben VPN-Anbieter verbunden waren, weiß aber nicht, was Sie damit gemacht haben.


Die Frage ist: Gibt es irgendwo jemanden, der möglicherweise beide Informationen in einer praktischen Datenbank zum Abgleich bereithält?


Haben Sie schon von Edward Snowden gehört? Jetzt ist es an der Zeit, ihn zu googeln und sein Buch zu lesen. Lesen Sie auch über XKEYSCORE, MUSCULAR, SORM, Tempora und PRISM.


Siehe "Wir töten Menschen aufgrund von Metadaten" oder diesen berühmten Tweet der IDF [ Archive.org] [Nitter].

 

[HEISENBERG]

Ihr digitaler Fingerabdruck, Fußabdruck und Online-Verhalten.

An dieser Stelle sollten Sie sich den Dokumentarfilm "The Social Dilemma" auf Netflix ansehen, da er dieses Thema IMHO viel besser als alle anderen behandelt.


Dazu gehört die Art, wie Sie schreiben (Stilometrie), die Art, wie Sie sich verhalten. Die Art, wie Sie klicken. Die Art und Weise, wie Sie browsen. Die Schriftarten, die Sie in Ihrem Browser verwenden. Fingerabdrücke werden verwendet, um anhand des Verhaltens eines Nutzers zu erraten, wer er ist. Vielleicht verwenden Sie bestimmte umständliche Wörter oder machen bestimmte Rechtschreibfehler, die Sie bei einer einfachen Google-Suche nach ähnlichen Merkmalen verraten könnten, weil Sie vor fünf Jahren in einem Reddit-Beitrag mit einem nicht ganz so anonymen Reddit-Konto auf ähnliche Weise getippt haben.


Soziale Medienplattformen wie Facebook/Google können noch einen Schritt weiter gehen und Ihr Verhalten im Browser selbst registrieren. Sie können zum Beispiel alles registrieren, was Sie eingeben, auch wenn Sie es nicht senden oder speichern. Stellen Sie sich vor, Sie schreiben eine E-Mail in Google Mail. Sie wird automatisch gespeichert, während Sie tippen. Sie können auch Ihre Klicks und Cursorbewegungen registrieren.


Alles, was sie dazu brauchen, ist in den meisten Fällen aktiviertes Javascript in deinem Browser (was in den meisten Browsern der Fall ist, auch im Tor Browser standardmäßig).


Während diese Methoden normalerweise für Marketingzwecke und Werbung verwendet werden, können sie auch ein nützliches Werkzeug sein, um Fingerabdrücke von Benutzern zu erstellen. Das liegt daran, dass dein Verhalten höchstwahrscheinlich ziemlich einzigartig oder einzigartig genug ist, dass du mit der Zeit de-anonymisiert werden könntest.


Hier sind einige Beispiele:

• Als Grundlage für die Authentifizierung dienen beispielsweise die Tippgeschwindigkeit, die Tastenanschläge, die Fehlermuster (z. B. wenn man bei drei von sieben Transaktionen versehentlich ein "l" statt eines "k" eingibt) und die Mausbewegungen eines Nutzers, um das einzigartige Verhaltensmuster dieser Person zu ermitteln. Einige kommerzielle Dienste wie TypingDNA(https://www.typingdna.com/ [Archive.org]) bieten solche Analysen sogar als Ersatz für Zwei-Faktor-Authentifizierungen an.
• Diese Technologie wird auch häufig in CAPTCHAS-Diensten verwendet, um zu überprüfen, ob Sie "menschlich" sind, und kann zur Erstellung von Fingerabdrücken eines Benutzers verwendet werden.

Analysealgorithmen könnten dann verwendet werden, um diese Muster mit anderen Benutzern abzugleichen und Sie mit einem anderen bekannten Benutzer zu vergleichen. Es ist unklar, ob solche Daten bereits von Regierungen und Strafverfolgungsbehörden verwendet werden, aber es könnte in Zukunft der Fall sein. Derzeit werden diese Daten vor allem für Werbe-/Marketing-/Captchas-Zwecke verwendet. Kurz- oder mittelfristig könnten und werden sie wahrscheinlich für Ermittlungen verwendet werden, um Nutzer zu deanonymisieren.


Hier ist ein unterhaltsames Beispiel, das Sie selbst ausprobieren können, um einige dieser Dinge in Aktion zu sehen: https://clickclickclick.click (leider keine Archiv-Links für dieses Beispiel). Sie werden sehen, dass es mit der Zeit interessant wird (dafür muss Javascript aktiviert sein).


Hier ist auch ein aktuelles Beispiel, das nur zeigt, was Google Chrome über Sie sammelt: https://web.archive.org/web/https://pbs.twimg.com/media/EwiUNH0UYAgLY7V?format=jpg&name=4096x4096


Hier sind einige andere Ressourcen zu diesem Thema, falls Sie diese Dokumentation nicht sehen können:

• 2017, Behavior Analysis in Social Networks, https://link.springer.com/10.1007/978-1-4614-7163-9_110198-1 [Archive.org]
• 2017, Social Networks and Positive and Negative Affect https://www.sciencedirect.com/scien...c077d46&pid=1-s2.0-S1877042811013747-main.pdf [ Archive.org]
• 2015, Using Social Networks Data for Behavior and Sentiment Analysis https://www.researchgate.net/public...orks_Data_for_Behavior_and_Sentiment_Analysis [Archive.org ]
• 2016, A Survey on User Behavior Analysis in Social Networks https://www.academia.edu/30936118/A_Survey_on_User_Behaviour_Analysis_in_Social_Networks [Archive.org ]
• 2019, Influence and Behavior Analysis in Social Networks and Social Media https://sci-hub.do/10.1007/978-3-030-02592-2 [Archive.org ]

Wie können Sie dies also entschärfen?

• In diesem Leitfaden werden einige technische Abhilfemaßnahmen unter Verwendung von Fingerprinting-resistenten Tools vorgestellt, die jedoch möglicherweise nicht ausreichen.
• Sie sollten Ihren gesunden Menschenverstand einsetzen und versuchen, Ihre eigenen Verhaltensmuster zu erkennen und sich bei der Verwendung anonymer Identitäten anders zu verhalten. Dies schließt ein:
  
  • Die Art und Weise, wie Sie tippen (Geschwindigkeit, Genauigkeit...).
  • Die Worte, die Sie verwenden (seien Sie vorsichtig mit Ihren üblichen Ausdrücken).
  • Die Art Ihrer Reaktion (wenn Sie standardmäßig sarkastisch sind, versuchen Sie, Ihre Identitäten anders anzugehen).
  • Die Art und Weise, wie Sie Ihre Maus benutzen und klicken (versuchen Sie, die Captchas anders als gewohnt zu lösen)
  • Die Gewohnheiten, die Sie haben, wenn Sie bestimmte Apps verwenden oder bestimmte Websites besuchen (verwenden Sie nicht immer die gleichen Menüs/Buttons/Links, um zu Ihrem Inhalt zu gelangen).
  • ...

Im Grunde genommen müssen Sie handeln und eine Rolle vollständig annehmen, wie es ein Schauspieler bei einer Aufführung tun würde. Sie müssen sich in eine andere Person verwandeln, denken und handeln wie diese Person. Das ist keine technische Abschwächung, sondern eine menschliche. Dabei können Sie sich nur auf sich selbst verlassen.


Letztendlich liegt es an Ihnen, die Algorithmen zu täuschen, indem Sie sich neue Gewohnheiten aneignen und keine echten Informationen preisgeben, wenn Sie Ihre anonymen Identitäten verwenden.

 

[HEISENBERG]

Ihre Hinweise auf Ihr wirkliches Leben und OSINT.

Dies sind Hinweise, die Sie im Laufe der Zeit geben und die auf Ihre wahre Identität hindeuten könnten. Sie könnten sich mit jemandem unterhalten oder in einem Brett/Forum/Reddit posten. In diesen Beiträgen könnten Sie im Laufe der Zeit einige Informationen über Ihr wirkliches Leben preisgeben. Dabei kann es sich um Erinnerungen, Erfahrungen oder Hinweise handeln, die es einem motivierten Gegner ermöglichen, ein Profil zu erstellen, um seine Suche einzugrenzen.


Ein konkreter und gut dokumentierter Fall war die Verhaftung des Hackers Jeremy Hammond, der im Laufe der Zeit mehrere Details über seine Vergangenheit preisgab und später entdeckt wurde.


Auch bei Bellingcat gibt es einige Fälle, die OSINT betreffen. Werfen Sie einen Blick auf deren sehr informatives (aber leicht veraltetes) Toolkit hier: https://docs.google.com/spreadsheet...NyhIDuK9jrPGwYr9DI2UncoqJQ/edit#gid=930747607 [Archive.org]


Sie können auch einige praktische Listen mit verfügbaren OSINT-Tools einsehen, wenn Sie sie z. B. selbst ausprobieren möchten:

• https://github.com/jivoi/awesome-osint [Archive.org]
• https://jakecreps.com/tag/osint-tools/ [Archive. org]
• https://osintframework.com/
• https://recontool.org
• https://github.com/jivoi/awesome-osint [Archive.org]

Sowie diese interessante Playlist auf YouTube: https://www.youtube.com/playlist?list=PLrFPX1Vfqk3ehZKSFeb9pVIHqxqrNW8Sy [Invidious]


Sowie diese interessanten Podcasts:


https://www.inteltechniques.com/podcast.html


Du solltest niemals echte persönliche Erfahrungen/Details unter deiner anonymen Identität teilen, die später dazu führen könnten, deine echte Identität zu finden.

 

[HEISENBERG]

Ihr Gesicht, Ihre Stimme, biometrische Daten und Bilder.

"Die Hölle sind die anderen" - selbst wenn Sie alle oben genannten Methoden umgehen, sind Sie noch nicht über den Berg, denn die fortschrittliche Gesichtserkennung wird von allen genutzt.


Unternehmen wie Facebook nutzen die fortschrittliche Gesichtserkennung schon seit Jahren und haben auch andere Mittel (Satellitenbilder) eingesetzt, um Karten von "Menschen" auf der ganzen Welt zu erstellen. Diese Entwicklung geht seit Jahren so weit, dass wir jetzt sagen können: "Wir haben die Kontrolle über unsere Gesichter verloren".


Wenn Sie an einem touristischen Ort spazieren gehen, werden Sie höchstwahrscheinlich innerhalb weniger Minuten auf einem Selfie von jemandem zu sehen sein, ohne es zu wissen. Diese Person wird dann das Selfie auf verschiedene Plattformen hochladen (Twitter, Google Photos, Instagram, Facebook, Snapchat ...). Diese Plattformen wenden dann Algorithmen zur Gesichtserkennung auf diese Bilder an, unter dem Vorwand, eine bessere/einfachere Kennzeichnung zu ermöglichen oder die Fotobibliothek besser zu organisieren. Darüber hinaus enthält das gleiche Bild einen genauen Zeitstempel und in den meisten Fällen auch den Ort, an dem es aufgenommen wurde. Selbst wenn die Person keinen Zeitstempel und keinen Ort angibt, kann man mit anderen Mitteln auf den Aufnahmeort schließen.


Hier finden Sie einige Ressourcen, mit denen Sie dies selbst ausprobieren können:

• Bellingcat, Guide To Using Reverse Image Search For Investigations: https://www.bellingcat.com/resource...sing-reverse-image-search-for-investigations/ [Archive.org]
• Bellingcat, Verwendung der neuen russischen Gesichtserkennungsseite SearchFace https://www.bellingcat.com/resource...ussian-facial-recognition-site-searchface-ru/ [Archive. org]
• Bellingcat, Dali, Warhol, Boshirov: Bestimmung der Zeit eines angeblichen Fotos des Skripal-Verdächtigen Chepiga https://www.bellingcat.com/resource...e-alleged-photograph-skripal-suspect-chepiga/ [Archive .org]
• Bellingcat, Erweiterte Anleitung zur Überprüfung von Videoinhalten https://www.bellingcat.com/resources/how-tos/2017/06/30/advanced-guide-verifying-video-content/ [Archive.org ]
• Bellingcat, Nutzung von Sonne und Schatten zur Geolokalisierung https://www.bellingcat.com/resources/2020/12/03/using-the-sun-and-the-shadows-for-geolocation/ [Archive.org]
• Bellingcat, Navalny Poison Squad in Morde an drei russischen Aktivisten verwickelt https://www.bellingcat.com/news/uk-...icated-in-murders-of-three-russian-activists/ [Archive.org ]
• Bellingcat, Berlin-Attentat: Neue Beweise über mutmaßlichen FSB-Killer an deutsche Ermittler weitergegeben https://www.bellingcat.com/news/202...ed-fsb-hitman-passed-to-german-investigators/ [Archive.org]
• Bellingcat, Anleitung zur digitalen Recherche: Untersuchung eines von den Saudis geführten Bombenangriffs auf ein Krankenhaus im Jemen durch die Koalition
  [Invidious]
• Bellingcat, Tutorial zur digitalen Recherche: Einsatz von Gesichtserkennung bei Ermittlungen
  [Invidious]
• Bellingcat, Tutorial zur digitalen Recherche: Geolokalisierung von (mutmaßlich) korrupten venezolanischen Beamten in Europa
  [Invidious]

Selbst wenn Sie nicht in die Kamera schauen, können sie herausfinden, wer Sie sind, Ihre Emotionen erkennen, Ihren Gang analysieren und wahrscheinlich Ihre politische Zugehörigkeit erraten.

Diese Plattformen (Google/Facebook) wissen aus mehreren Gründen bereits, wer Sie sind:

• Weil Sie ein Profil bei ihnen haben oder hatten und sich identifiziert haben.
• Selbst wenn Sie nie ein Profil auf diesen Plattformen erstellt haben, haben Sie eines, ohne es zu wissen.
• Weil andere Personen Sie auf ihren Urlaubs-/Partyfotos markiert oder identifiziert haben.
• Weil andere Leute ein Bild von Ihnen in ihre Kontaktliste aufgenommen haben, das sie dann mit ihnen geteilt haben.

Hier ist auch eine aufschlussreiche Demo von Microsoft Azure, die Sie selbst unter https://azure.microsoft.com/en-us/services/cognitive-services/face/#demo ausprobieren können, wo Sie Emotionen erkennen und Gesichter aus verschiedenen Bildern vergleichen können.


Die Regierungen wissen bereits, wer Sie sind, weil sie die Bilder Ihres Personalausweises/Passes/Führerscheins und oft auch biometrische Daten (Fingerabdrücke) in ihrer Datenbank haben. Dieselben Regierungen integrieren diese Technologien (die oft von privaten Unternehmen wie dem israelischen AnyVision, Clearview AI oder NEC bereitgestellt werden) in ihre CCTV-Netzwerke, um nach "Personen von Interesse" zu suchen. Und einige stark überwachte Staaten wie China haben die Gesichtserkennung in großem Umfang für verschiedene Zwecke eingesetzt, darunter möglicherweise zur Identifizierung ethnischer Minderheiten. Ein einfacher Fehler bei der Gesichtserkennung durch einen Algorithmus kann Ihr Leben ruinieren.


Hier finden Sie einige Ressourcen, die einige der heute von den Strafverfolgungsbehörden eingesetzten Techniken beschreiben:

• CCC-Video zur Erläuterung der aktuellen Überwachungsmöglichkeiten der Strafverfolgungsbehörden: https://media.ccc.de/v/rc3-11406-spot_the_surveillance#t=761 [Archive.org]
• EFF SLS: https://www.eff.org/sls [Archive.org]

Apple macht FaceID zum Mainstream und forciert seine Verwendung zur Anmeldung bei verschiedenen Diensten, einschließlich der Bankensysteme.


Dasselbe gilt für die Fingerabdruck-Authentifizierung, die von vielen Smartphone-Herstellern zur Authentifizierung eingesetzt wird. Ein einfaches Bild, auf dem Ihre Finger zu sehen sind, kann verwendet werden, um Ihre Anonymität zu beseitigen.


Das Gleiche gilt für Ihre Stimme, die für verschiedene Zwecke analysiert werden kann, wie das jüngste Spotify-Patent zeigt.


Wir können uns mit Sicherheit eine nahe Zukunft vorstellen, in der es nicht mehr möglich sein wird, Konten anzulegen oder sich irgendwo anzumelden, ohne eindeutige biometrische Daten anzugeben (ein guter Zeitpunkt, um Gattaca, Person of Interest und Minority Report erneut zu sehen). Und Sie können sich sicher vorstellen, wie nützlich diese großen biometrischen Datenbanken für einige interessierte Dritte sein könnten.
Darüber hinaus können all diese Informationen auch gegen Sie verwendet werden (wenn Sie bereits de-anonymisiert sind), indem falsche Informationen (Bilder, Videos, Sprachaufnahmen...) erstellt werden, und wurden bereits für solche Zwecke verwendet. Es gibt sogar schon kommerzielle Dienste für diese Zwecke, wie https://www.respeecher.com/ [Archive.org] und https://www.descript.com/overdub [Archive.org].


Siehe diese Demo:

[Invidious]


Zum jetzigen Zeitpunkt gibt es ein paar Schritte, die Sie anwenden können, um die Gesichtserkennung bei sensiblen Aktivitäten, bei denen eine Videoüberwachung vorhanden sein könnte, abzuschwächen (und nur abzuschwächen):

• Tragen Sie eine Gesichtsmaske, da diese nachweislich einige, aber nicht alle Gesichtserkennungstechnologien ausschalten kann.
• Tragen Sie eine Baseballkappe oder einen Hut, um zu verhindern, dass Ihr Gesicht von Videoüberwachungsanlagen mit hohem Aufnahmewinkel (die von oben filmen) erfasst wird. Denken Sie daran, dass dies nicht gegen nach vorne gerichtete Kameras hilft.
• Tragen Sie zusätzlich zu Gesichtsmaske und Baseballkappe eine Sonnenbrille, um die Identifizierung durch Ihre Augen zu verhindern.
• Erwägen Sie das Tragen einer (leider teuren) speziellen Sonnenbrille namens " Reflectacles" https://www.reflectacles.com/ [Archive.org]. Es gab eine kleine Studie, die ihre Wirksamkeit gegen die Gesichtserkennung von IBM und Amazon zeigte.

(Beachten Sie, dass, wenn Sie beabsichtigen, diese zu benutzen, wo fortschrittliche Gesichtserkennungssysteme installiert sind, diese Maßnahmen Sie auch selbst als verdächtig einstufen und eine menschliche Überprüfung auslösen könnten).