Ich habe gerade einen Artikel bei Spiegel gelesen: http://www.spiegel.de/netzwelt/netzpolitik/quantumtheory-wie-die-nsa-weltweit-rechner-hackt-a-941149.html Jetzt ist die Frage, wie man sich davor schützen kann. Man könnte zwar ein alternatives Betriebssystem benutzen, aber auch dort (bzw. im Browser) gibt es immer wieder irgendwelche Sicherheitslücken. Und selbst der oft angebrachte Ratschlag, nicht als Admin zu surfen, bringt nicht viel, weil Überwachungs-Software immernoch im Nutzerverzeichnis installiert werden kann. Also, was kann man dagegen tun?

Also, was kann man dagegen tun?

Sich nicht verrückt machen und mit wichtigeren Dingen im Leben beschäftigen.

(Denn du als Privatanwender kannst technisch nichts dagegen machen)

Ich mach mich nicht verrückt, da gibt es viele Millionen Menschen, an denen die NSA viel mehr interessiert ist, als an mir. Aber trotzdem interessiert mich, was man dagegen tun kann.

Du kannst deinen eigenen Enterprise Server betreiben mit Verschlüsselung aber da selbst das "sichere" Telefon von unserer Bundeskanzlerin geknackt wurde ist die Antwort recht simpel: Man kann nichts machen. Du würdest damit nur Geld verbrennen.

Jep zumal du garnicht die Exploits kennst die hier genutzt werden und wohlmöglich 99% der sicherheitsforscher auch nicht ;)

Und wie gesagt das hier ist Zielgerichtet sprich aquire target and fire somit wenn du da reinrasselst bis du eine Gefahr für die Nationale Sicherheit der US of A und somit auch eine Gefahr für ihre Partner, wobei der Status da Realtime fliesend ist per definition siehe Merkel ;P

Ich mach mich nicht verrückt, da gibt es viele Millionen Menschen, an denen die NSA viel mehr interessiert ist, als an mir. Aber trotzdem interessiert mich, was man dagegen tun kann.

über ne anonyme Prepaid-Sim surfen, keine der "großen" Seiten benutzen, Soziale Netzwerke meiden, Social Media Buttons+Tracking blocken, keine persönlichen Daten im Netz hinterlassen, viele viele verschiedene E-Mail Adressen von nicht-amerikanischen Anbietern benutzen (möglichst nicht über die Weboberflächen), Trashmailadressen generieren und nutzen, keine/wenige Cookies annehmen, Anonymisierungsdienste wie Tor, Proxys zur Verschleierung nutzen, kein Standard-OS/keine Standardbrowser/Standard-Software benutzen, E-Mails verschlüsseln, über Internetcafés und offene Wlans surfen, insgesamt so wenig Internet benutzen wie es geht, Smartphone nicht überall eingeschaltet mitschleppen, alles was geht mit Bargeld zahlen, keine Rabattkarten nutzen, das Smartphone nicht immer an den selben Ort benutzen (über Arbeitgeber in der Nähe von Aufenthaltsort 9-17 Uhr und Aufenthaltsort der meisten restlichen Zeit = Wohnort kann man Menschen schon ziemlich genau rausfinden, wenn man will, daher am Besten viele verschiedene Prepaid-Sims)

Alles sehr anstrengend auf Dauer durchzuhalten und schon kleine Fehler können das ganze zusammenfallen lassen.

Um maximums Post auf den Punkt zu bringen: Aimish werden ;)
Edit: Der Spiegel beschreibt den Angriff als Man-in-the-middle Variante. Wenns soweit ist, kannst du einpacken. Dagegen gibt es keinen Schutz außer Netzwerkkabel ziehen.

... Anonymisierungsdienste wie Tor, Proxys zur Verschleierung nutzen...Es gibt schon lange das Gerücht, dass die Sachen teilweise von den Geheimdiensten zur Verfügung gestellt werden.
Naja, auch ein Weg: http://www.golem.de/1111/87509.html

Im Prinzip kann man nur sicher sein, wenn man offline bleibt, aber da man auch so was wie ein Handy hat ...

Gehört der Thread nicht eher in den Bereich "Internet, Sicherheit und Krypto..:"?Und wie gesagt das hier ist Zielgerichtet sprich aquire target and fire somit wenn du da reinrasselst bis du eine Gefahr für die Nationale Sicherheit der US of A und somit auch eine Gefahr für ihre Partner, wobei der Status da Realtime fliesend ist per definition siehe Merkel ;PStuxnet, Duqu, Flame, Roter Oktober und NetTraveler fallen mir dazu ein.
http://de.wikipedia.org/wiki/Flame_%28Schadprogramm%29

um beim thema quantum computer zu bleiben: wenn irgendwer so ein ding zum laufen bringt dann haben wir ganz andere sorgen. dann wird mit einem schlag der größte teil unserer gängigsten kryptoverfahren angreifbar, also alles was verschlüsselt über öffentliche netze transportiert wird ist dann praktisch ungeschützt, überwachbar und manipulierbar. atomare steuerungsanlagen, bankenrechenzentren, geldautomaten, gesundheitsdaten, zugangkarten zu gebäuden, etc. man könnte keiner kommunikation mehr trauen.

wenn wir glück haben ist das aber noch locker 50 jahre entfernt und bis dahin haben ein paar schlaue mathegenies verfahren entwickelt, die nicht mit quantenrechnern zu knacken sind.

in jedem fall kannst du als anwender dagegen gar nichts machen, weil es ein passives verfahren ist das öffentlich gemachte signale entschlüsselt. ausser du baust deine eigenen kommunikationskanäle auf, die du selbst ständig auf kompromittierung überprüfst.

Gehört der Thread nicht eher in den Bereich "Internet, Sicherheit und Krypto..:"?
...stimmt. Habe diese Rubrik übersehen.

@LarsVegas
Quantum ist ein Codename und hat nichts mit Quanten-Computern zu tun ;)

@LarsVegas
Quantum ist ein Codename und hat nichts mit Quanten-Computern zu tun ;)
oha. und ich dachte es geht um diese news hier:
http://www.heise.de/newsticker/meldung/Penetrating-Hard-Targets-NSA-arbeitet-an-Quantencomputern-zur-Kryptoanlayse-2074540.html

sorry kollegen

TOR und sonst wechselnde Proxies verwenden. Cookies löschen. Sites nur über https ansurfen und Perspectives o.ä. nutzen, um men in the middle festzustellen.

Der Punkt ist nicht, dass man 100% sicher sein kann, sondern dass man denen den Aufwand möglichst gross macht. Und zwar möglichst viele ganz normale Nutzer zu jeder Zeit. Ziellose Massenüberwachung (ja auch "gezielte" 85'000 wie im Artikel genannt werden) darf sich einfach nicht lohnen, müssen dieses eklige freiheitserdrückende Stasi-Gefühl loswerden.

das ist alles nur reine Panik mache die NSA hat überhaupt gar kein Interesse an deinen Daten die kucken vielleicht 2 x rein wenn du auffällig geworden bist und wenn da nix zu finden ist wirst du wieder von der Roten Liste gelöscht , NSA interessiert nur oder oder weniger wenn man Politisch aktiv ist im Internet oder wenn man z.b. ein Wichtiger Mitarbeiter ist einer großen Firma aber nicht am kleinem lanweiligen Bürger :eek:.
viel mehr schnüffelt aber gern Deutsche Behörden in deinen Daten run und das auch wenn es illegal ist (ich verweise hier auf die illegale Handy Abhöre Aktion in Berlin z.b. ) u.a. auch die Deutsche Arbeitsagentur bei Facebock, z.b. hat auch unsere Polizei in jedem größerem Forum einen Account;D

Nein, keine Panikmache, und sie brauchen auch gar kein Interesse an speziell meinen Daten zu haben, die Argumentation klingt mir zu sehr nach "wer nichts zu verbergen hat, hat auch nichts zu befürchten". Ist mir piepegal, wer es genau ist, der mich überwacht, die Amis staatlich oder privat, die eigene Polizei, meine Nachbarn - es geht die schlicht nichts an, was ich wann wie wo tue.

Beliebiges Beispiel http://www.vice.com/de/read/america-knows-everything

Wie der User sei laut bereits festgestellt hat handelt es sich um Man-in-the-middle Angriffe. Das setzt aber voraus das man kein https verwendet. Der Browser sollte Alarm schlagen wenn das jemand versucht.
Die Technik ist nicht neu und wird auch gern im Nahen Osten von den üblichen Verdächtigen benutzt. Was die Abwehr dieser Angriffe erschwert sind schlechte Defaults in den Browsern und der verdammte große Haufen Scheiße der Zertifikate genannt wird.
Sie werden mit diesem System sicher keinen technisch versierten "Terroristen" erwischen und davon sind die Terroristen, die in den letzten Jahren verhaftet wurden sehr häufig von der US Regierung angestiftet wurden (Undercover Agenten etc.) und waren nie über "wir wollen das machen" hinaus.

Wie der User sei laut bereits festgestellt hat handelt es sich um Man-in-the-middle Angriffe. Das setzt aber voraus das man kein https verwendet.Das stimmt so nicht. Ein typischer leicht knackbarer Fall ist bei automatischer Weiterleitung von http://abc auf https://abc.

Auch gewisse schwächen in Scripting-Sprachen oder SSL-Bibliotheken lassen sich ausnutzen, vgl. https://www.ruby-lang.org/de/news/2013/06/27/hostname-check-bypassing-vulnerability-in-openssl-client-cve-2013-4073/ sofern das überhaupt nötig ist und die <insert spy organization here> nicht ohnehin gültige SSL Zertifikate erstellen kann, wenn das schon gewöhnliche Hacker schaffen (vgl Diginotar), respektive MiTM ist gar nicht mehr nötig, wenn die privaten Schlüssel der CA der Organisation ohnehin zur Verfügung stehen, weil man auch im Nachhinein anhand gespeicherten Traffics noch sehen kann, was passierte, ausser man will fälschend in die Kommunikation eingreifen.

Letztlich, wenn es nicht um's live-spionieren geht, können die auch einfach den ganzen encrypteten Traffic speichern, wie es je nach Land gesetzlich oder sonst ungesetzlich ohnehin passiert, und ohne perfect forward secrecy müssen sie nur ihre Hände an die entsprechenden Schlüssel kriegen, oder sonst genügend Rechenleistung investieren (wohl weniger Rechenleistung, je mehr NSA-Implementierungen von Algorithmen verwendet wurde) und können dann in aller Ruhe lesen, was da an Traffic so lief.

Soll jetzt auf keinen Fall eine Empfehlung sein, einfach auf Verschlüsselung zu pfeifen! Denn wie gesagt, je mühsamer es die grosse Masse den Überwachern macht, desto besser.

@samm: Wenn Snowden eins bewiesen hat ist das Verschlüsselung funktioniert. Die NSA hat nicht die Zertifikate von Google und co. Sie besitzt keine privaten Schlüssel der CAs. Klar ist es möglich ein gültiges Zertifikat für Google.com zu bekommen aber es nicht das selbe Zertifikat. Für Firefox gibt es Addons die Alarm schlagen falls das Zertifikat geändert wird.

Bruteforce auf SSL Verschlüsselungen dauert Jahrzehnte. Das funktioniert nicht. Und von der NSA mal abgesehen kenne ich auch niemanden der den Traffic speichert. Die "Vorratsdatenspeicherung" bezieht z.B. nur auf die Metadaten.

Man in the middle soll mit eine Proxy sehr gut funktionieren.
Macht auch Sinn, weil die Anfragen zur Verschlüsselung von beiden Seiten abgefangen werden können.
http://www.heise.de/security/artikel/Browser-SSL-entschluesselt-1948431.html
Hat die Telekom nicht einen Proxy am Laufen, wo deren ganzer Verkehr drüber abgewickelt wird?

@Lokadamus: Hast du den Artikel überhaupt gelesen? Das Thema in dem Artikel hat nichts mit Proxy oder MiTM zu tun.

@Lokadamus: Hast du den Artikel überhaupt gelesen? Das Thema in dem Artikel hat nichts mit Proxy oder MiTM zu tun.Wäre schön gewesen, du hättest den auch mal gelesen.
Ich zitiere für dich:
Das funktioniert allerdings nur bei herkömmlichem Schlüsselaustausch via RSA; kommt Diffie-Hellman mit Forward Secrecy zum Einsatz, muss man doch wieder auf den Proxy als Man-in-the-Middle ausweichen.

Was sehen wir daran?
1.) Du hast ihn selber nicht gelesen.
2.) Browser können lokal die Keys speichern, wodurch ein Trojaner ein sehr leichtes Spiel hat. Wer es nachvollziehen will, lese bitte den ... wozu schreibe ich hier eigentlich?

@Lokadamus: Ernsthaft? Im Artikel wird beschrieben wie du deinen eignen Traffic erst mitschneidest und dann mit dem SSL Schlüssel entschlüsselst. Noch einmal das hat gar nichts mit MiTM zu tun.
Nur den Schlüssel zu speichern bringt gar nichts wenn du den zu entschlüsselnden Traffic nicht hast. Und mir ist kein Trojaner bekannt der wie Wireshark Traffic mitschneiden kann.
Wo siehst du denn in dem Artikel MiTM oder Proxy.

@Lokadamus: Ernsthaft?

Wo siehst du denn in dem Artikel MiTM oder Proxy.Soll ich dir einen Screenshot mit dicken Pfeilen machen oder kannst du die Zeile trotz Suchfunktion im Artikel nicht finden?
Ein Trojaner hat auch keinen Nutzen davon, den Traffic mitzuschneiden. Er würde den Verkehr lieber gleich auswerten. Dafür gibt es eben Proxy Trojaner, die den Verkehr umlenken. Das Einklinken in SSL- Verkehr dürfte auch nicht das Problem sein, siehe Artikel. Auch wenn es nicht benutzt wird, so ist es möglich.
Die Manipulationen finden zur Zeit eher auf den unverschlüsselten Seiten statt, siehe Zeus, Banking- Trojaner.
http://www.focus.de/digital/computer/chip-exklusiv/tid-22214/kampf-um-ihr-geld-zeus-vater-der-banking-trojaner_aid_624648.html

Um noch einmal deine Frage zu beantworten: Der Artikel ist dafür da, damit einige verstehen, dass verschlüsselter Verkehr nicht bedeutet, er sei 100% sicher. Theoretisch könnten Trojaner auch den Verkehr auf dem PC lokal speichern und später übermitteln. Nur warum sollte er es, wenn der Verkehr schon lokal entschüsselt werden kann?

Und wo steht im Artikel, dass man den Verkehr erst mitschneiden muss? Das wird on the fly entschlüsselt. Aus diesem Grund verweist du auf die SSL- Log- Datei, damit Wireshark sich dort den aktuellen Schlüssel rausholen kann.

Wilhelm, ich will dir nicht an den Karren fahren, und stimme dir auch zu, dass Verschlüsselung es den Überwachern erschwert, ggf massiv. Zudem geht das Folgende am konkreten Quantum-Thema vorbei. Ich finde einfach, Beschwichtigungen sind bei der Sache fehl am Platz, besonders wenn man wie du einige Ahnung vom Thema hat. That said:Die NSA hat nicht die Zertifikate von Google und co.Brauchen Sie nicht, denn: Klar ist es möglich ein gültiges Zertifikat für Google.com zu bekommen aber es nicht das selbe Zertifikat.Was völlig ausreicht, um sich als mitm in einen verschlüsselten Austausch einzuhängen und ihn dadurch von diesem Zeitpunkt an im Klartext lesen zu können, sofern das stimmt:Für Firefox gibt es Addons die Alarm schlagen falls das Zertifikat geändert wird.Dass es nämlich erst ein Addon braucht, bis man merkt, dass es wohl ein gültiges Zertifikat auf die entsprechende Domain, aber nicht dasselbe wie zuvor ist.
Sie besitzt keine privaten Schlüssel der CAs.Spielt auch keine Rolle, s. vorher, wenn sich dich CAs hacken lassen wie Diginotar oder Comodo, oder ohnehin mit der Regierung verbandelt sind, wiederum wie Diginotar mit der Niederländischen, so gibt es das sicherlich auch bei Commonwealth-/US-CAs.
Und von der NSA mal abgesehen kenne ich auch niemanden der den Traffic speichert. Die "Vorratsdatenspeicherung" bezieht z.B. nur auf die Metadaten.Es braucht ja auch niemand ausser der NSA das zu tun, die sind ja (mit den Briten und Kanadiern und Australiern und Neuseeländern und Chinesen und ...) die aktuellen Chief-Spies. Metadaten reichen für Stasi-Zeit-mässige-Anschwärzungen von unliebsamen Personen allemal aus.