Security by obscurity
Einem Gizmodo-Mitarbeiter ist etwas schlimmes passiert: seine komplette Onlineidentität ist kaputt. Hacker sind in seinen Amazonaccount eingedrungen, wozu sie nur eine Rechnungsanschrift, die sie aus dem Whois hatten, die Mailadresse, die auf seiner Website stand sowie den Benutzernamen, der öffentlich ist. Neue Emailadresse hinterlegt, Passwort resettet - schwupps waren sie drin. Dort wurden die letzten 4 Ziffern der Kreditkarte angezeigt. Dann sind sie auf den Googleaccount gegangen, Password Recovery (die sie gar nicht erst durchgeführt haben), dort wird zum Teil die hinterlegte Emailadresse angezeigt, die auf @me.com endete - eine AppleID also. Ein Anruf bei Apple, dort die o.g. letzten 4 Stellen der Kreditkarte plus die Apple Emailadresse (das Prefix vor dem @ war bei Google und me.com identisch) und schon hatten sie den AppleID Account. Damit sind sie in die iCloud reingekommen und in den Googlemailaccount. Schaden: Telefon, Tablet, Notebook - alles remote gelöscht. Googlemail - gelöscht. Twitter - gelöscht. Und der gute Mann hatte kein Backup.
Ich werde mich hier nicht über die diversen Fehler des Mannes auslassen, die hat er korrekt selber erkannt und auf dem o.g. Link auch dokumentiert. Kurz zusammengefasst: Backups und Accountverlinkung. Auf letzteres will ich hier mal näher eingehen.
Unter "Accountverlinkung" verstehe ich hier die Verknüpfung diverser Onlineaccounts. Im o.g. Fall war z.b. die AppleID die hinterlegte Notfall-Emailadresse des Googleaccounts. Und die Google Mailadresse wiederum wurde bei Twitter verwendet. Und so weiter. Um ein solches Desaster zu vermeiden, wird empfohlen, die Zweifaktorauthentisierung beim Google zu aktivieren. Den letzteren Link hab ich von wirres.net, worüber ich auch auf die Geschichte gestossen bin. Und das hat mich stutzig gemacht. Wirres.net hat diverse Male davon berichtet, wie er auf DDG umgestiegen ist, um der Verfolgung durch Google zu entkommen (u.a.). Die Zweifaktorauthentisierung bei Google verschlimmert das Problem aber noch einmal expotentiell.
Das Problem mit Google ist, dass man eine Session hat, sobald man es aufruft (also die reine Suchmaschine). Diese Session ist - theoretisch - unendlich lange haltbar. Und Google hat so einen "User", der mit den Suchanfragen verknüpft ist, selbst wenn man gar nicht eingeloggt ist. Das wäre für sich betrachtet nicht weiter dramatisch, aber Google hat einen Algorithmus, der zum Ziel hat, die Suche für einen Benutzer stetig zu verbessern. Dadurch verändern sich im Lauf der Zeit die Suchergebnisse. Nehmen wir ein einfaches Beispiel: jemand sucht regelmässig nach politischen Themen, folgt dann aber immer nur Links, die auf rechtskonservative Seiten führen. Google wird derartige Seiten mehr und mehr präferieren, davon ausgehend, dass das dem Willen des Benutzers entspricht. Aber dadurch entgehen dem Benutzer nach einer Weile andere Seiten, auf denen womöglich Sachverhalte völlig anders dargestellt werden. Die Suchergebnisse sind also nicht mehr neutral, sondern eingefärbt. Allerdings nicht vom Willen und der Meinung des Benutzers, sondern von dem was ein Roboter meint, was der Willen des Benutzers sei. Was nicht notwendig den Tatsachen entsprechen muss, es könnte ja ein recherchierender Journalist eines kommunistischen Wochenblattes sein.
Dieses Verhalten ist schon lange bekannt und es ist einer der Gründe dafür, warum man seinen Browser üblicherweise so einstellen sollte, dass er Cookies beim Beenden löscht. Das Löschen der Cookies hat ausserdem den Vorteil, dass die diversen tausend anderen Trackingdienste im Internet nicht funktionieren. Denn das Usertracking ist das zweite Problem, etwas, das natürlich auch Google tut. Wenn man nun aber die erwähnte Zweifaktorauthentisierung bei einem Googleaccount benutzen möchte, darf man die Googlecookies nicht löschen. Das heisst, man dürfte schon, aber dann müsste man sich jedes mal wenn man sich einloggen will, so einen bekloppten Code aufs Handy schicken lassen. Niemand will das, weil es nervt. Das wusste Goolge aber schon vorher und genau das ist die Idee dahinter. Die Leute wollen mehr Sicherheit, die Zweifaktorauthentisierung klingt nach mehr Sicherheit (ist es nicht, siehe weiter unten) also machen sie es. Und gleichzeitig soll es aber nicht nerven, also lassen sie die Cookies drin, jedenfalls zumindest die von Google.
Und schon kann Google den Benutzer nicht nur tracken, auch die Suchergebnisse bleiben nicht mehr neutral sondern werden im Lauf der Zeit eingefärbt. Genau, was Google will. Und nebenbei hat Google auch noch die Handynummer des Benutzers.
An der Stelle kommt meine paranoide Persönlichkeit zum Vorschein und fragt: cui bono? Tatsächlich ist es doch so: Wenn jemand einen Googleaccount hat und dort nicht seinen Realname angegeben hat, dann weiss Google im Grunde nicht wirklich, welcher konkrete Mensch dahinter steckt. Google könnte es sich zusammenreimen, zum Beispiel anhand von Mailinhalten oder Suchanfragen. Aber definitiv 100%ig sicher würden sie es wissen, wenn sie die Handynummer haben. Denn - jedenfalls in Deutschland - eine Handynummer ist nicht anonym. Über die Handynummer lässt sich ein echter Mensch mit Adresse ermitteln. Nicht, dass Google das tun würde, der Staat aber ganz sicher. Entweder bei einer Rasterfahndung, die ja immer mehr in Mode kommen, auch wenn sie strikt verboten ist (oder gerade deswegen) oder einfach nur, weil man wegen irgendeiner bescheuerten Äusserung irgendwo jemandem auf die Füsse getreten ist, oder weil man eine unangenehme Meinung vertritt.
Schon aus diesem Grund ist diese Zweifaktorauthentisierung kein Sicherheitsgewinn sondern eine Risikoerhöhung, eine Gefahr - im Worstcase - für Leib und Leben. Die Frage ist also, wie kriegt man das hin, dass die ganzen Onlineidentitäten möglichst sicher, möglichst wenig oder gar nicht miteinander verknüpft sind und möglichst wenig davon mit meiner echten Person verbunden ist? Letzteres ist das wichtigste.
Regel Nummer eins ist klar: nicht verknüpfen. Mehrere Emailaccounts verwenden. Wegwerfaccounts für den Login in irgendwelchen Diensten benutzen. Das heisst konkret: die Email, die bei Twitter hinterlegt ist, wird nur dafür benutzt, für sonst nichts. Die Email, die bei Facebook hinterlegt ist, wird auch nur für Facebook benutzt. Und so weiter. Ja, das führt dazu, dass man eine Menge Emailaccounts am Hals hat, zusätzlich zu den ohnehin schon vielen Accounts auf irgendwelchen Seiten. Aber dadurch sind die alle nicht miteinander verbunden. Das ist es definitiv wert. Ich persönlich verwende für solche Zwecke Aliases auf meinem eigenen Mailserver. Das macht es natürlich am komfortabelsten. Und freilich habe ich eine eigene Domain für solche Accounts, meine eigentliche Emailadresse zum Mailen befindet sich in einer anderen Domain. Aber nicht jeder hat diese Möglichkeit (Wissen und Geld um einen eigenen Server zu betreiben, heisst das). So jemand würde ich zum Beispiel hush.com empfehlen. Ist sehr einfach, man kann sogar verschlüsselte Mails senden und empfangen und der Kram lässt sich mit Pop3 oder sowas auch abholen. Es gib noch diverse andere Anbieter für solches Zeugs.
Eine andere Variante - für weniger wichtige Dinge - wäre Mailinator. Hier braucht man nicht mal einen Account. Und die Emailadresse, die man hier "erstellt" kann one-way encoded werden. Beispiel: M8R-h4j5qg@mailinator.com. Anhand des Prefix M8R-h4j5gg kann man nicht die echte Emailadresse ermitteln, die dahinter stand, das war nämlich eigentlich test@mailinator.com. Man erstellt dort also eine Adresse, sagen wir test@mailinator.com und dann wird dort oben diese "alternate address" angezeigt. Diese wiederum verwendet man, um sich irgendwo einen Account zu erstellen. As easy as possible. Freilich muss die ursprüngliche Emailadresse etwas schwer erratbares oder seltenes sein. Ich für meinen Teil verwende MD5 Checksummen der aktuellen Uhrzeit. Auf diese Weise komme nur ich an die Emails ran, die da landen mögen und sonst keiner. Und das muss ich auch nur, wenn ich das Passwort von dem Account resetten muss.
Ansonsten: keine persönlichen Daten angeben. Keinen Real Name, keine Telefonnummer, nicht den Wohnort, nicht den Mädchennamen der Mutter. Und bei Twitter auch nicht auf die eigene Webseite verlinken. Oder umgekehrt. Fast jeder macht das so. Aber wozu? Muss nicht sein, meiner Meinung nach. Weiters überalle verschiedene Passwörter benutzen. Und zwar nicht möglichst komplizierte, sondern Diceware Passwörter. Es gibt auch einen Webcomic, der das Problem schön veranschaulicht. Das Prinzip ist recht einfach: man verwendet einfach mehrere Wörter als Passwort. Nicht diesen Kram mit Zahlen und Sonderzeichen. Sondern etwas wie "ticket gleise verspätung ankunft" und hat damit die maximale Sicherheit. So etwas kann niemand erraten, keine Bruteforceattacke wird je darauf kommen und so ein Passwort wird auch nie in irgendeinem Dictionary stehen. Und man kann es sich merken.
Wenn man sich an diese paar einfachen Regeln hält, ist man weitgehend sicher vor solchen alptraumhaften Hacks, wie der oben genannte. Und man muss sich bei solchen Vorkehrungen immer vor Augen halten, wovor man sich schützen muss:
- geleakte Datenbanken, die Passworthashes enthalten
- gezielte Hackerangriffe
- Verfolgung durch Behörden oder andere Organisationen
Insbesondere letzteres werden viele Leute als paranoid belächeln. Was hab ich schon verbrochen, weswegen mich ein Ermittler verfolgen wollen würde? Aber das geht ganz schnell. Der Sohn lädt über ein P2P Netz einen Film hoch, man wird auf einer Demo fotografiert, an der man nur vorbeiging, oder man kennt jemand, der auf einmal in irgendein Raster fällt. Ich empfehle dazu die Lektüre des Falles von Andrej Holm (hier die Webseite seiner Frau, die darüber ausführlich berichtet hat). Ein an sich völlig harmloser Wissenschaftler, der plötzlich ins Visier der Polizei geriet weil irgendwelche Verrückten bei Brandanschlägen Pamphlete verbreitet haben, die einen (EINEN!) Begriff enthielten, über die der Mann veröffentlicht hatte. Und sämtliche Bekannten dieses Mannes und seiner Frau sind über Jahre überwacht worden. Und viele davon waren vollkommen harmlose Menschen, die vorher mit Sicherheit genau das gesagt hätten: ach, das ist doch paranoid. Aber unser Staat entwickelt sich nun mal zusehends zum Polizeistaat und der geht mit solchen Ungerechtigkeiten einher.
Und angesichts dessen ist es ratsam, sein Onlineleben möglichst so zu gestalten, dass man im Fall der Fälle in Deckung ist und bleiben kann. Das ist nicht paranoid, sondern vernünftig. Also "Security By Obscurity" - was hier das Verbergen von Verbindungen meint - kann ein Baustein persönlicher Sicherheit sein.