Kategorie-Titel

Autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et dolore feugait.

Kategorie-Archiv DNM GUIDE

Ubuntu Server Tor Hidden Service

Tor Hidden Service auf Ubuntu installieren

Um den TOR Hidden Service auf einem Ubuntu Rechner zu installieren, beginnen wir direkt mit der Installation von Tor

apt install tor

Die Standard-Konfigurationsdatei für tor ist /etc/tor/torrc

Um den versteckten Dienst zu aktivieren, editiere /etc/tor/torrc

vi /etc/tor/torrc

und kommentiere folgende Zeilen aus:

HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 127.0.0.1:80

Erstelle einen Ordner für den Hidden Service

mkdir /var/lib/tor/hidden_service/
chmod 700 /var/lib/tor/hidden_service/
chown -R debian-tor:debian-tor /var/lib/tor/hidden_service/

Du mußt Apache oder Nginx auf Deinem Server installieren um den Web Service erreichbar zu machen. Achte darauf das der Web Service unter 127.0.0.1:80 erreichbar ist.

Starte mit folgendem Befehlt neu

systemctl start tor@default

Ubuntu unterstützt mehrere Instanzen für Tor. Du kannst den Befehl  “/usr/sbin/tor-instance-create” benutzen für eine neue Tor-Instanz. Konfihuriere dazu

to create new tor instance. Konfiguration für die instanziertes Tor Instanz unter/etc/tor/instances/INSTANCE_NAME/torrc

Um eine URL für den Hidden Service zu erhalten geben wir folgendes ein:

cat /var/lib/tor/hidden_service/hostname

Beispiel:

root@lab:~# cat /var/lib/tor/hidden_service/hostname
3w2pkr2qcusd6rx7zq4rulq7kt4xjpsgv7nxubcy2bdbgipy4wto4aid.onion
root@lab:~#

Du solltest jetzt in der Lage sein, die Anwendung über den .onion-Link im Tor-Browser zu besuchen.

In dem Ordner (/var/lib/tor/hidden_service) findest Du Deine  “secret keys”, welche für die .onion-Domain wichtig sind. Wenn Du diese verlierst, verlierst Du Deine .onion-Domain.

Um den Dienst beim Booten zu starten, führe folgenden Befehl aus:

systemctl enable tor@default

Das war´s !

Glückwunsch – Du hast den Tor Hidden Service auf einem Ubuntu Rechner installiert.

Tails

TAILS – Ist Tails notwendig?

Tails ist ein Live-Betriebssystem das Sie auf fast jedem Computer von einem USB-Stick oder SD-Karte starten können, Es zielt darauf ab Ihre Privatsphäre und Anonymität zu bewahren, und hilft Ihnen bei:

  • das Internet anonym zu nutzen und die Zensur zu umgehen
  • keine Spuren auf dem Computer zu hinterlassen, den Du benutzt hast
  • modernste, kryptographische Werkzeuge zu benutzen um sämtliche Dateien,
    E-Mails und Instant Messaging zu verschlüsseln

Wie du sehen kannst ist Tails ein ziemlich nützliches Betriebssystem das hilft Dinge zu tun, von denen du nicht willst, dass andere das herausfinden. Und es wird noch besser: Sie müssen keine zusätzlichen Tools für die Nutzung von Darknetmarkets installieren! Alles, was Sie als Tails-Nutzer benötigen, ist bereits installiert.

Hinweis: Sie können nicht Tails und ein anderes Betriebssystem wie Windows oder OS X gleichzeitig laufen lassen
da es sich um zwei Betriebssysteme handelt und Ihr Computer nur eines zur gleichen Zeit ausführen kann.

Ist Tails notwendig?

JA. Auch wenn Sie denken, dass Sie nur ein kleiner Fisch sind und Ihnen niemand nachstellen wird.
Ich gebe Ihnen ein Beispiel: Sie benutzen den Tor-Browser unter Windows, um Ihre Bestellung aufzugeben und alles scheint gut zu laufen. Doch leider wird Ihr Paket vom Zoll abgefangen
vom Zoll abgefangen, weil der Verkäufer es nicht richtig verpackt hat. Nun beginnt die Strafverfolgung zu ermitteln, weil jemand versucht hat, illegale Drogen an Sie zu schicken. Eine mögliche
Folge ist, dass sie Ihnen das Paket zustellen, aber kurz darauf eine Hausdurchsuchung kurz darauf eine Hausdurchsuchung durchführen, weil Sie im Besitz von illegalen Drogen sind (eine sogenannte kontrollierte Lieferung).

Da Windows nicht sicher ist, werden sie alle Beweise finden, die sie brauchen, um vor Gericht zu beweisen dass Sie die Bestellung aufgegeben haben. Mit Tails hätten Sie diese Probleme nicht, weil niemand kann sagen, was Sie dort gemacht haben oder welche Dateien Sie auf Ihrem Persistenz-Volume gespeichert haben.

Tails hinterlässt keinerlei Spuren auf dem Computer und schützt so Deine Anonymität

Wie Sie also sehen können, ist Tails nicht nur dazu da, um zu verhindern, dass Sie erwischt werden, sondern auch um den Schaden stark zu minimieren, wenn Sie erwischt werden.

Laravel Localhost XAMPP Server

XAMPP Webserver Composer Laravel Installation und Konfiguration

Eine Composer Laravel Installation auf einem XAMPP-Webserver kann schnell und einfach aufgesetzt werden, allerdings benötigen wir hierzu Composer und Github. Keine Sorge – das Ganze dauert nur Minuten.

XAMPP ist ein kostenloses und quelloffenes, plattformübergreifendes Webserver-Lösungs-Stack-Paket. XAMPP ist eine Abkürzung für Cross-Plattform, Apache, MySQL, PHP und Perl, und es ermöglicht Ihnen, WordPress-Seiten offline zu erstellen, auf einem lokalen Webserver auf Ihrem Computer. Diese einfache und leichtgewichtige Lösung funktioniert auf Windows, Linux und Mac.

Composer

Composer ist ein Tool für die Verwaltung von Abhängigkeiten in PHP. Es erlaubt Ihnen, die Bibliotheken Ihres Projekts zu deklarieren. Composer ist KEIN Paketmanager, wie es Yum oder Apt sind. Es befasst sich grundsätzlich mit “Paketen” oder Bibliotheken; es hilft Ihnen, diese auf Projektbasis zu verwalten.

https://getcomposer.org/Composer-Setup.exe

Laravel ist ein freies, quelloffenes PHP-Webframework, das von “Taylor Otwell” für die Entwicklung von Webanwendungen entwickelt wurde.

GitHub ist ein webbasierter Hosting-Dienst für die Versionskontrolle mit Git. Er wird hauptsächlich für Computercode verwendet. Es bietet alle Funktionen der verteilten Versionskontrolle und Quellcodeverwaltung von Git und fügt darüber hinaus eigene Funktionen hinzu.
Schritt zum Ausführen Ihres Laravel-Projekts.

  1. Laden Sie Ihr Projekt von Github herunter oder klonen Sie es
    https://github.com/
  2. Wechseln Sie mit dem Befehl cd in den Ordner application
  3. Führen Sie den Befehl composer install in Ihrem cmd oder Terminal aus
  4. Kopieren Sie die Datei .env.example nach .env im Stammverzeichnis
    Sie können copy .env.example .env eingeben, wenn Sie die Windows-Eingabeaufforderung verwenden
    oder cp .env.example .env, wenn Sie Terminal Ubuntu verwenden
  5. Öffnen Sie Ihre .env-Datei und geben Sie den Datenbanknamen (DB_DATABASE), den Benutzernamen und das Passwort an
  6. Starten Sie php artisan key:generate
  7. Fügen Sie den Schlüssel in Ihre .env-Datei ein
    base64:cScoKTZ9Vz5Io4SJbJRfd5fU1SDWIIKSQrGBM59Y
  8. Starten Sie php artisan migrate
  9. Starten Sie php artisan serve

Eine Liste von kostenlosen Open Source Control Panels

Um Ihr Unternehmen und Ihre Websites aus der Ferne zu verwalten, müssen Sie ein Control Panel verwenden. Mit einem solchen Tool haben Sie die Möglichkeit, alle Ihre Webdienste unter demselben Standort zu verwalten, was sehr fantastisch ist. Ohne Control Panel müssen Sie bestimmte Tools installieren oder kompilieren, wie z.B.: Php, MySQL und andere auf Ihrem Hostserver, was bei normalen Menschen nicht zu empfehlen ist. Da sie technische Kenntnisse haben müssen. Mit dem Control Panel ist kein Expertenwissen über die Serveradministration erforderlich, Sie müssen es nur installieren und können von seinen Funktionen profitieren. Diese webbasierten Control Panels bieten Ihnen die Möglichkeit, auch Ihre E-Mail-Accounts, FTP-Accounts, Speicherplatz, Bandbreite und vieles mehr zu verwalten.

Die bekanntesten und leistungsfähigsten Control Panels sind cPanel und Plesk. Leider handelt es sich dabei um kostenpflichtige Software und es wird eine monatliche Gebühr verlangt, um sie auf dem entsprechenden Server zu installieren. Aber keine Sorge, es gibt auch andere alternative Open-Source-Control-Panels, die die gleichen Funktionen bieten und für die keine Gebühren anfallen. Sie werden diese Tools in unserem Artikel entdecken und später können Sie uns dann Ihre Einstellungen mitteilen.

Control Panel ISPconfig

ISPconfig ist ein quelloffenes, BSD-lizenziertes Hosting-Control-Panel für Linux, das zur Verwaltung von Apache, BIND, FTP und Datenbanken entwickelt wurde und viele Linux-Distributionen unterstützt.Mit der ISPConfig Monitor App können Sie den Status Ihres Servers überprüfen und herausfinden, ob alle Dienste wie erwartet laufen. Sie können TCP- und UDP-Ports überprüfen und Ihre Server anpingen. ISPConfig ist multiserverfähig, Sie können alle Server überprüfen, die von Ihrem ISPConfig-Masterserver gesteuert werden.

ISPconfig Control Panel

Control Panel ISPconfig

In Bezug auf seine Funktionen können wir Folgendes auflisten:

  • Verwalten Sie einen oder mehrere Server von einem Kontrollpanel aus.
  • Unterstützt viele Linux-Distributionen
  • Unterstützung für viele Daemons
  • Verwaltete Dienste
  • Übersetzt in mehr als 20 Sprachen

 

Control Panel ZPanel

ZPanel ist ein kostenloses und vollständiges Webhosting-Control-Panel für Microsoft® Windows™ und POSIX (Linux, UNIX und MacOSX) basierte Server. ZPanel ist in PHP geschrieben und verwendet mehrere Open-Source- (oder frei verfügbare) Softwarepakete, um ein sicheres Webhosting-System bereitzustellen.

Zpanel Control Panel

ZPanel wird mit einem Kernsatz von “essentiellen” Modulen geliefert, die Ihnen helfen, einen Webhosting-Service zu betreiben. Diese reichen von der Überwachung der Server-Ressourcen bis hin zur DNS-Verwaltung.

Zum Kern gehören Apache Web Server, hMailServer,FileZilla Server, MySQL, PHP, Webalizer, RoundCube, phpMyAdmin, phpSysInfo, FTP Jailing und viele mehr.

Für Download- und Nutzungshinweise besuchen Sie bitte die offizielle Website

 

Control Panel Webmin

Webmin ist eine webbasierte Oberfläche zur Systemadministration für Unix. Mit jedem modernen Webbrowser können Sie Benutzerkonten, Apache, DNS, File-Sharing und vieles mehr einrichten. Webmin macht die manuelle Bearbeitung von Unix-Konfigurationsdateien wie /etc/passwd überflüssig und ermöglicht die Verwaltung eines Systems über die Konsole oder aus der Ferne.

openpanel

Wir können die folgenden Funktionen von Webmin auflisten

  • Konfigurieren und Erstellen eines virtuellen Servers auf Apache.
  • Verwalten, Installieren oder Löschen eines Softwarepakets (RPM-Format).
  • Für die Sicherheit können Sie eine Firewall einrichten.
  • Ändern von DNS-Einstellungen, IP-Adresse, Routing-Konfiguration.
  • Verwalten von Datenbank, Tabellen und Feldern auf MySQL.

 

Sentora
Sentora bietet die gängigsten Control-Panel-Funktionen “out of the box”, aber wenn Sie mehr brauchen, gehen Sie zu unserem “Add-Ons-Store” und laden Sie Module von Drittanbietern, Übersetzungen und sogar Theme-Sets herunter.

Sentora basiert auf den soliden Grundlagen von ZPanel und wurde vom ursprünglichen Team entwickelt. Sentora bietet ein robustes Open-Source-Webhosting-Control-Panel für kleine bis mittlere ISPs.

Sentora Control Panel

Sentora wurde entwickelt, um die Webhosting-Verwaltung zu vereinfachen. Es gibt Ihren Kunden die Möglichkeit, ihr Webhosting schnell und einfach zu verwalten. Der Sentora Add-ons store bietet Benutzern ein zentrales Repository, um Module, Themes und Lokalisierungen zu installieren, zu bewerten, zu verkaufen und zu veröffentlichen.

Für Download- und Nutzungshinweise besuchen Sie bitte die offizielle Website.

Die Beschreibung unserer ausgewählten freien und Open-Source-Control-Panel-Systeme in diesem Artikel ist nun abgeschlossen. Natürlich gibt es weitere Tools, die wir nicht erwähnt haben. Wenn Sie diese in unseren Artikel aufnehmen möchten, können Sie gerne einen Kommentar mit einer kurzen Beschreibung der vorgeschlagenen Tools hier hinterlassen. Vielen Dank, dass Sie unseren Artikel gelesen haben und vergessen Sie bitte nicht, ihn zu teilen.

Operation Security OpSec

OpSec – Operation Security: 10 Regeln

OpSec Regel 1. HALTEN SIE DEN MUND

Sagen Sie nichts. Sagen Sie nicht, wie viel Sie verdienen. Sagen Sie nicht, wie Sie es machen.
Verraten Sie nicht Ihr Smartphone/Laptop/Desktop oder Hardware-Modelle.
Reden Sie nicht über TOR oder PGP. Reden Sie über nichts, wirklich nicht. Wenn Sie nicht reden, brauchen Sie nicht zu verschlüsseln.
Wenn Sie reden müssen, reden Sie verschlüsselt.

OpSec Regel 2. TRAUEN SIE NIEMANDEM.

Alles und jeder ist eine Bedrohung.
Trauen Sie niemandem. Trauen Sie Ihren Partnern nicht, trauen Sie Ihren Liebhabern nicht, trauen Sie Ihren Brüdern und Schwestern nicht.
Ein Geist hat keine Freunde. Je weniger du den Leuten erzählst, desto besser.
Lass die Leute keine Macht über dich haben, wenn du alleine handeln kannst, tu es alleine.

OpSec Regel 3. KONTAMINIERE NIEMALS IDENTITÄTEN.

Teilen Sie nichts zwischen Aliasen.
Jede Identität sollte von den anderen abgekoppelt sein.
Verwenden Sie nicht dieselbe E-Mail, nicht dieselbe IP, wenn möglich, nicht einmal dieselbe Geolokalisierung oder dasselbe Betriebssystem.
Verwenden Sie nicht die gleichen Passwörter für mehrere Identitäten.
Seien Sie nicht gleichzeitig mit verschiedenen Identitäten unterwegs, selbst wenn Sie Ihre Identitäten voneinander trennen, könnten Sie einen Fehler machen.

OpSec Regel 4. SEIEN SIE UNINTERESSANT.

Bleiben Sie unter dem Radar. Verstecken Sie Ihr Wissen.
Wenn Sie Foren vermeiden können, tun Sie es, je weniger Präsenz Sie online haben, desto besser.
Lassen Sie sich nicht bei Dummheiten erwischen, Sie wollen nicht, dass die LE Ihr Haus durchsucht, weil Sie es nicht lassen konnten, mit 270 km/h über die Autobahn zu fahren.
Schaffen Sie eine realistische Identität, seien Sie uninteressant, seien Sie kein Computerfreak, wieder, verbergen Sie Ihr Wissen, wieder, halten Sie den Mund, reden Sie nicht über tor, Sie wissen diese Dinge nicht.
Machen Sie nichts länger, als Sie könnten.

OpSec Regel 5. PARANOID SEIN, GENAU JETZT.

Sie sind bereits hinter Ihnen her. (Nein, sind sie wahrscheinlich nicht, aber verhalten Sie sich so, als ob es wahr wäre.)
Machen Sie nicht den Fehler, sich einzureden, dass es jetzt in Ordnung ist, entspannt zu sein, das ist es nicht.
Sie sollten das System sofort löschen und neu beginnen. Lassen Sie keine komischen USB-Sticks auf Ihrem Schreibtisch liegen, lassen Sie keine komischen Dateien unverschlüsselt.
Hoffen Sie das Beste, aber seien Sie auf den schlimmsten Fall vorbereitet.
Seien Sie bereit für das Klopfen an Ihrer Tür. Haben Sie eine vollständige Festplattenverschlüsselung? Haben Sie einen Fluchtweg ? Ein verstecktes Auto?
Haben Sie Klebeband an Ihrer Webcam ? Haben Sie das Mikrofon Ihres Computers entfernt ?
Gehen Sie davon aus, dass alle Netzwerke unter ständiger Überwachung stehen.
Lassen Sie Ihre Hardware nicht unbeaufsichtigt, lassen Sie sie nicht unverschlossen, wenn Sie nicht in der Nähe sind.

OpSec Regel 6. KENNEN SIE IHRE GRENZEN.

Arbeiten Sie am Hebel Ihrer Fähigkeiten.
Wenn Sie nicht vollständig verstehen, was Sie tun, hören Sie auf, es zu tun, oder nehmen Sie das Risiko in Kauf, dass Ihre Unwissenheit Sie in den Knast bringen könnte.
Halten Sie es so einfach wie möglich. Komplexität ist die Nemesis der Sicherheit.
Sie sind besser dran mit einem einfachen Setup, das Sie verstehen, als mit einem komplexen, verschachtelten Multi-Layer-Setup, das mehr Angriffsvektoren schaffen könnte.

OpSec Regel 7. MINIMIEREN SIE INFORMATIONEN.

Keine Protokolle = kein Verbrechen.
Vermeiden Sie es, alles zu protokollieren.
Zerstören Sie alles, das ist der beste Weg, um Protokolle zu löschen.
Kein Verlaufsbrowser, keine Protokolle, etc. Wenn Sie können, verwenden Sie ein Live-Betriebssystem, wenn nicht, verwenden Sie zumindest Snapshots.
Je weniger gesagt wird, desto besser, noch einmal, reden Sie nicht, aber wenn Sie reden müssen, minimieren Sie Informationen.
Sagen Sie nicht Dinge wie “Hey John, ich bringe den Computer und die Festplatten mit, wir treffen uns um 8 Uhr bei James.”
Sagen Sie Dinge wie “Hey, ich bringe die Sachen mit, wir treffen uns am Ort, gleiche Uhrzeit wie beim letzten Mal.”
Kein Klartext, niemals. Wenn Sie mit jemandem reden müssen, verschlüsseln Sie es.
Keine Geldspur. Verknüpfen Sie Ihre echte Identität mit nichts. Benutzen Sie Offshore-Konten und Briefkastenfirmen.

OpSec Regel 8. SEIEN SIE PROFESSIONELL.

Seien Sie kein Amateur und lassen Sie sich nicht erwischen.
Betriebliche Sicherheit ist ein Geschäft, seien Sie professionell.
Bilden Sie sich weiter, verlassen Sie sich nicht auf dumme Themen wie dieses, um Ihren Arsch zu retten.
Gehen Sie vor jeder Operation logisch und systematisch vor. Führen Sie mehrfache Überprüfungen durch. Schließen Sie Glück aus.
Dies ist ein Geschäft.

OpSec Regel 9. ANTI-PROFILING EINSETZEN.

Erzählen Sie nichts über sich, was zur Erstellung eines Profils beitragen könnte.
Reden Sie nicht über Ihre Haarfarbe, Ihre Größe, Ihr Land, Ihr Geschlecht, wo Sie geboren sind, was Sie mögen, usw.
Wenn Sie reden müssen, benutzen Sie Ihre falsche Identität, um ein falsches Profil zu erstellen, benutzen Sie ein falsches Geschlecht, ein falsches Land, benutzen Sie eine andere Sprache, wenn Sie können.
Loggen Sie nichts, aber wenn Sie Informationen loggen müssen, wählen Sie die Informationen, die Sie loggen.
Die Stunden Ihrer Beiträge können dazu verwendet werden, Ihre Zeitzone zu bestimmen, ändern Sie sie, seien Sie nicht immer um 20 Uhr in Ihrem Lieblingsforum.
Seien Sie vorsichtig, verwenden Sie keine speziellen Buchstaben, die es nur in Ihrer Sprache gibt, verwenden Sie keine seltsamen Akzente, die es nur in Ihrer Sprache gibt, noch einmal, wenn Sie eine andere Sprache sprechen können, verwenden Sie diese andere Sprache.
Ändern Sie die Metadaten der Dateien, die Sie hochladen, um eine falsche Spur zu legen, der Sie folgen können.
TUN SIE DAS AUCH MIT IHREN KOMPLIZEN. Nochmals, Sie haben keine Freunde, all das ist nicht nur für LE.

OpSec Regel 10. SCHÜTZEN SIE IHR VERMÖGEN.

Das ist einfach, verschlüsseln Sie alles.
Sagen Sie nichts, hinterlassen Sie keine Spuren.
Wenn Sie es müssen, verschlüsseln Sie es.
Wenn Sie es nicht mehr brauchen, zerstören Sie es physisch.

________________________________________

Also gut, wie gesagt, das sind Regeln, keine technische Anleitung.
Wenn Ihnen irgendetwas davon übertrieben erscheint, brauchen Sie es wahrscheinlich nicht für Ihren gewünschten Grad an Anonymität.
Wenn Sie eine Frage zu einer dieser Regeln haben, zögern Sie nicht zu fragen, und ich werde Ihnen sagen, warum es diese Regel gibt.
Wenn Sie sich eine oder zwei Stunden Zeit nehmen, um über Fälle von OPSEC-Versagen zu lesen, werden Sie sehen, dass jeder von ihnen mindestens eine der zehn Regeln bricht.
Und für alle, die denken, dass das alles mit Black Hat zu tun hat und nicht auf GreySec sein sollte: Verbrechen ist nicht unbedingt das, was Sie denken.
Wenn Sie nur ein Whistleblower sind, werden Sie als illegal angesehen, auch ohne jemanden zu verletzen.

VPN

Die Anonymität eines VPN-Dienstes

Jetzt, wo ich einen VPN-Anbieter leite und die internen Abläufe einiger anderer kenne, lassen Sie uns einige Mythen zerstören.
Kein VPN wird Ihnen perfekte Anonymität bieten. Nichts wird das. Verwenden Sie ein VPN nicht für Anonymität.

Anonymität bei VPN

Bei jedem Transport von Informationen durchläuft diese mehrere Punkte, an denen die Informationen und Metadaten gelesen oder gespeichert werden können und ihr Weg ganz oder teilweise bekannt ist.
Anonymität ist in Schichten aufgebaut, wobei jede Schicht einen Unterschied im Wissen zwischen zwei Diensten, Personen oder Gruppen darstellt.

Der Einfachheit halber unterstellen wir, dass Sie Ihre eigene Anonymität nicht gefährden, indem Sie irgendwelche Daten preisgeben (durch persönliche Informationen, Browser-Fingerprinting, …) und dass Sie nicht die Identität von jemandem stehlen. Bei einem VPN geht es ausschließlich um den Transport von Informationen zwischen Ihnen und dem Internet, und es wird Sie absolut nicht vor Datenlecks oder OPSEC-Fehlern schützen. Das würde mindestens einen weiteren Artikel erfordern und Sie können Dokumente darüber von Leuten finden, die viel mehr Erfahrung mit dem Thema haben.

Keine Anonymität. Sie sind hier mit Ihrem vollen Namen und Ausweis öffentlich.
Beispiel: E-Commerce, PayPal. Sie können ein Pseudonym haben, aber die meisten Konten sind mit einem echten Namen (und/oder echter Karte) verbunden und verifiziert. (dies nicht zu tun, wird sogar als Missbrauch angesehen)
Nachvollziehbarkeit: Jeder Beteiligte weiß direkt, wer Sie sind.

Eine Ebene der Anonymität: Sie zeigen nichts an und vertrauen Ihre Identität einem Mittelsmann an.
Beispiel: Sie surfen im Internet von Ihrer heimischen IP-Adresse aus, oder Sie verwenden Ihre Telefonnummer. Nicht jede Website erhält Ihren echten Namen von Ihrer Heim-IP-Adresse, aber Ihr ISP kann ihn zu Ihnen zurückverfolgen.
Rückverfolgbarkeit: Ihre Anonymität hängt von dem Vermittler ab. (zumindest für den Transport)

Zwei Schichten der Anonymität: Beispiel: Web-Browsing mit einem vertrauenswürdigen VPN.
Nachvollziehbarkeit: Eine Seite kennt Ihren Inhalt und die VPN-Seite, das VPN kennt Ihre Heimat-IP-Adresse. Sie müssen beide Informationen erhalten, um den vollständigen Pfad zu erhalten.

3+ Schichten der Anonymität: Beispiel: Webbrowsing mit Tor.
Rückverfolgbarkeit: Der erste Knoten kennt Sie, der zweite hat keine Ahnung von irgendwas, der dritte weiß, dass jemand mit Twitter spricht, Twitter kennt nur den letzten Knoten und den Tweet.

Ab den 2+ Schichten brauchst du mindestens drei Instanzen, die zusammenarbeiten, um dich, sagen wir, anhand eines Tweets zu identifizieren. Twitter, das VPN und der ISP.
Um eine solche Zusammenarbeit zu erreichen, müssen in der Regel die Strafverfolgungsbehörden eingeschaltet werden, da sie von all diesen Diensten Protokolle anfordern und diese zusammensetzen können.
Es ist besonders ineffizient, wenn die drei Dienste nicht im gleichen Land sind und sich nicht an das gleiche Gesetz halten.

VPN-Dienste mit mehreren Knoten zählen nicht als 3+, da alle Knoten von der gleichen Firma verwaltet werden. Wenn der CEO es will, kann er Sie erreichen. Es ist nur eine VPN-Schicht mit mehr Verzögerung. Es kann die Verkehrsanalyse abschwächen, wenn es gut gemacht ist und wenn das interne Netzwerk perfekt sicher und vom Rest der Welt isoliert ist, aber das würde ich nicht erwarten.

Dynamische Heim-IP-Adressen sind ein großartiges Werkzeug. Die Zuordnung einer öffentlichen IP-Adresse zu einer einzelnen Person kann ein echtes Sicherheitsrisiko darstellen. Ich bin überzeugt, dass der Anonymitätsgewinn für die meisten Leute viel besser sein kann als die Möglichkeit, einen eigenen Server mit Internetanschluss zu Hause zu hosten.

Sie brauchen Gedränge und Bewegung. NAT-VPNs haben einen sehr wichtigen Vorteil gegenüber VPNs mit statischen/festgelegten Adressen: Sie haben Dutzende, Hunderte von Clients hinter derselben IP-Adresse und verteilen die Clients nach dem Zufallsprinzip.
Das macht es für Websites viel schwieriger, einen Besucher zu identifizieren, da dieselbe IP-Adresse mit jedem der VPN-Clients verbunden sein kann und derselbe Client jede der IP-Adressen des VPNs verwenden kann.

Logging und VPN-Widerstand

Manche Leute glauben naiv, dass ein Unternehmen für eine sehr geringe Gebühr eine Strafanzeige riskieren wird. Das werden sie nicht.
Das meiste, was Sie über “no log” und “kugelsicher” lesen können, ist Marketing-Bullshit und bedeutet gar nichts. Genauso wie die “512-Bit-Verschlüsselung” dumm und bedeutungslos für Tech-Leute aussieht.

 

Wenn Sie sich die Gesetze ansehen, die für die Betreiberfirma und den Standort der Server gelten, können Sie sehen, dass die meisten Länder von dieser Art von Diensten verlangen, Protokolle für verschiedene Zeiträume zu speichern, oft 6 Monate bis 2 Jahre.
Logs sollten normalerweise in der Lage sein, eine Verbindung aus Sicht des Ziels vollständig zu identifizieren, aber es ist überall eine Art Grauzone.
Sie werden einen Beweis behalten wollen, dass Sie für eine Verbindung verantwortlich sind, oder zumindest, dass sie nicht dafür verantwortlich sind.

Wenn Sie also einen VPN-Anbieter mit Sitz in den USA/EU und Servern in den USA/EU sehen, der behauptet, dass er überhaupt nichts protokolliert, dann lügt er entweder oder er ist wirklich, wirklich engagiert. Ich kenne keinen Anbieter, der so engagiert ist, dass er für Sie ins Gefängnis geht, und das sind sicher nicht die häufigsten <20$/Monat-Anbieter. Dafür würde ich eine Größenordnung mehr verlangen.

Die meisten VPN-Anbieter werden Ihnen nicht sagen, was sie wirklich protokollieren oder worauf sich das “no log” bezieht, und für die meisten von ihnen wird es bedeuten, dass sie nicht buchstäblich alles protokollieren, was Sie tun, aber dennoch einige (zu viele) Informationen protokollieren. (aber oft wird nicht genau gesagt, was)
Es ist schon mehrfach vorgekommen, dass ein No-Log-Anbieter tatsächlich Protokolle aufbewahrt und sie auf Anfrage an LEA weitergegeben hat.

Für CCrypto VPN zum Beispiel machen wir das nicht. Wir protokollieren das Minimum, das wir protokollieren müssen, um nicht gegen ein Gesetz zu verstoßen, es ist alles öffentlich erklärt und wir lassen Sie sogar alle Daten, die wir über Sie aufbewahren, bekommen, wenn Sie wollen. Wir geben auch klar an, wer diese Protokolle anfordern kann und unter welchen Bedingungen.

Sicherheit des VPNs selbst (oder eines Proxys) gegenüber verschiedenen Angriffen
VPN-Server:
So gut der Anbieter auch sein mag, wenn jemand anderes die Kontrolle über den Server übernimmt (Software-Angriff oder Beschlagnahmung der Hardware und allem, was dazwischen liegt, etwas, was die NSA sehr leicht tun kann, ohne dass es jemand bemerkt), gibt es immer einen Weg, eine offene Verbindung zurückzuverfolgen.
Einige Provider sagen das Gegenteil, und wieder: Marketing-Bullshit.
Es macht Sinn, denn um die Antwort auf ein beliebiges Paket zurück zu leiten, muss der Server wissen, wohin er es senden soll. Damit eine Verbindung offen ist, muss der VPN-Server eine Quelle und ein Ziel kennen.
Es gibt keine bekannte Möglichkeit, das nicht zu tun (selbst bei Tor kennt jeder Knoten Teile des kompletten Pfades und für jede Verbindung wird ein Kreislauf festgelegt).

Verkehrsanalyse und Protokollierung:
Der VPN-Server muss auch Ihren gesamten Verkehr im Klartext kennen. Wenn wir sagen, dass ein VPN ein verschlüsselter Tunnel ist, wird der Verkehr zwischen dem VPN-Client und dem VPN-Server verschlüsselt. Der Server muss in der Lage sein, ihn zu entschlüsseln, um ihn an den Rest des Internets zu senden.
Auch für dieses Problem ist keine direkte Lösung bekannt; die Daten, die Sie innerhalb des Tunnels im Klartext senden, kommen im Klartext aus dem Tunnel heraus, und der VPN-Server muss in der Lage sein, zumindest genug davon zu lesen, um sie weiterzuleiten.
Die einzige Lösung ist, den Datenverkehr zwischen Ihnen und dem Zielserver zu verschlüsseln (HTTPS, …), aber für einige Protokolle gibt es noch keine allgemein unterstützte Möglichkeit, dies zu tun, wie z. B. DNS. Egal, welchen Server Sie verwenden (ohne DNSCrypt), der VPN-Server kann alles mitlesen und protokollieren. (ein lokaler Resolver wird auch nicht viel helfen, er wird die gleichen Abfragen senden)

Zeit- und Verkehrsflussanalyse:
Wenn Sie den Datenverkehr lesen können, der in den VPN-Server ein- und ausgeht (bei Regierungen üblich), können Sie Pakete von jeder Seite abgleichen und die wahre Quelle mit dem wahren Ziel verbinden.
Das ist bei einem Client offensichtlich, wird aber schwieriger und ungefährer, wenn mehrere Clients auf demselben Server oder derselben IP-Adresse sind.
Verschleierung, Kompression und zufällige Latenz (das ist eine meiner netten Ideen) können ein VPN gegen diese Art von Angriffen stark abhärten.
Dies könnte jeder tun, der es auf den VPN-Dienstanbieter abgesehen hat und in der Lage ist, das Netzwerk rund um dessen Infrastruktur anzuzapfen, wie z. B. der ISP oder die LEA.

 

 

 

Eine Variante dieses Angriffs besteht darin, den gesamten Verkehr von allen Clients abzuhören (wie es der ISP tun könnte) und zu einem Server zu gehen. (Sondieren an beiden Enden) Dies kann kaum von jemandem durchgeführt werden, der weniger mächtig als eine Regierung ist, da es die Kontrolle über einen Endkunden-ISP und den ISP des Zielservers erfordert. Dies könnte mit einer Quelle und einem Ziel im selben Land über ein VPN in einem anderen Land funktionieren.

Fazit: Was brauchen Sie?
Brauchen Sie ein VPN? Sollten Sie Tor benutzen?
Wer wird versuchen, Sie zu verfolgen und welche Befugnisse oder Macht haben sie?

Das VPN wird höchstwahrscheinlich Ihre Identität geheim halten, bis das Gesetz involviert ist oder irgendein Administrator ohne Moral genug bezahlt werden kann.
Tor wird das nicht verhindern, aber du musst bedenken, dass jeder Betreiber eines Ausgangsknotens ein gieriges Arschloch ohne Ethik sein kann, aber solange der größte Teil des Netzwerks das auch ist, bist du zumindest anonym.
Sie müssen herausfinden, vor wem Sie sich verstecken wollen und eine adäquate Lösung wählen, die Ihnen den meisten Komfort bietet und immer noch mehr Aufwand erfordert, um jede Stufe zu knacken, als jeder Angreifer auf Sie verwenden wird. Gute Sicherheit besteht vor allem darin, die Risiken abzuschätzen und die richtigen Lösungen zu verwenden.

Das VPN wird Ihr Ende der Verbindung schützen, es wird sicherstellen, dass Ihr ISP es nicht einfach überwachen kann, und vielleicht das Ende des Tunnels an einem besseren Ort haben, oder gerade verwirrend genug sein, damit die weniger kompetenten oder entschlossenen Leute Ihre Identität nicht finden können.
Das ist Privatsphäre, nicht Anonymität.

Gängige Beispiele:

Verstecken Sie Ihre IP-Adresse für das tägliche Surfen, um Lokalisierung und ein gewisses Maß an Verfolgung zu vermeiden, oder um zu verhindern, dass Ihr ISP Ihren Datenverkehr ausspäht, ohne dabei an Geschwindigkeit einzubüßen: Sie wollen ein VPN mit Servern in Ihrer Nähe.

Sie nutzen Facebook oder schauen Pornos auf der Arbeit oder im Schulnetzwerk: Sie wollen ein VPN und sagen, dass Sie YouTube wirklich brauchen, um zu funktionieren (oder dass es mit einem VPN schneller lädt), wenn jemand fragt. Versuchen Sie nicht, zu viel zu verbergen, es wird offensichtlich sein, wenn sie etwas kompetent sind. Seien Sie nett und halten Sie die Geschichte glaubhaft, das ist viel wichtiger als der technische Teil.

Vermeiden Sie DMCA-Benachrichtigungen auf BitTorrent: Torren Sie nicht über Tor, es ist schlecht für das Netzwerk und wird langsam sein.
Ein VPN wird den Job erledigen, sogar im gleichen Land. Es sind nur Benachrichtigungen, die die Provider so weit wie möglich ignorieren können und werden.

Verbrechen begehen: Erstens: Vermeiden Sie Kriminalität, sie ist schlecht und riskant.
Wenn Sie das tun, benutzen Sie kein VPN. Wir werden unser Geschäft nicht für Ihren illegalen Fetisch riskieren und es wird uns unnötigen Papierkram kosten und uns schlecht aussehen lassen. Das mag niemand. Und Sie werden wahrscheinlich ins Gefängnis gehen.

Verstecken Sie sich vor der Überwachung durch Ihre Regierung: Vielleicht ein VPN mit Servern in einem anderen Land oder Tor. Wir wissen nie, wie weit sie gehen können. Meistens ist es aber nur Show, also ist ein VPN wahrscheinlich genug.

Bonus: Exit-Knoten: Kostenloses VPN vs. bezahltes VPN vs. Tor
Bei beiden hat der Exit-Node (VPN-Server oder letzter Tor-Knoten) vollen Zugriff auf deinen Datenverkehr. Sie können, und wurden dabei gesehen:

Metadaten oder sogar den gesamten Datenverkehr protokollieren und analysieren
TLS ausschalten oder ersetzen, um normalerweise sichere Verbindungen zu belauschen
Web-Inhalte ersetzen (Werbung, Tracking, manchmal mehr und für ihren eigenen Profit)
Loggen von Konten, Passwörtern und anderen Geheimnissen
Wie können Sie also Ihrem VPN vertrauen? Der einfache Weg ist, sie zu bezahlen. Wählen Sie ein VPN mit sauberen Servicebedingungen und einem Geschäftsmodell, das Sie verstehen. Wenn es kostenlos ist, vertrauen Sie nicht zu sehr.
Wie kannst du deinem Tor-Knoten vertrauen? Du kannst nicht und solltest das wirklich im Hinterkopf behalten. (XMPP MITM vom Tor-Ausgangsknoten)

Deshalb sollte jeder TLS oder andere Ende-zu-Ende-verschlüsselte und authentifizierte Protokolle benutzen. (Enden sind dein Ende und der Zielserver)
Machen Sie nichts Wichtiges oder Persönliches ohne gutes TLS.

Und noch ein Hinweis: Wenn Sie einen Server mit einem abgelaufenen cert oder einem falschen CN verwalten: fuck you. Es gibt jetzt Let’s Encrypt, reparieren Sie Ihr Zeug, Sie haben keinen guten Grund, es nicht zu tun.
Wenn Sie wirklich unter dem Radar bleiben wollen und ein selbstsigniertes Zertifikat behalten wollen, veröffentlichen Sie den Fingerabdruck auf anderen Kanälen, damit die Leute eine Möglichkeit haben, sich manuell zu authentifizieren.

Phishing Vorgehensweise

Phishing Vorgehensweisen

Ich war neulich auf der Suche nach einem interessanten Projekt und erinnerte mich an ein YouTube-Video, das ich gesehen hatte. In dem Video fand ein Typ eine Phishing-Seite, die versuchte, an Amazon-Login-Daten zu kommen. Er hat dann ein Programm in Python programmiert, das gefälschte Logins an die Seite sendet, um die Logs mit den gefälschten Konten durcheinander zu bringen. Die Phisher mussten dann herausfinden, welche Logins die tatsächlichen Personen waren, die hereingelegt wurden, und welche das Programm waren. Ich fand das ziemlich inspirierend.

Es ist nicht illegal, sich auf einer Phishing-Seite einzuloggen, und man tut dem Internet einen Gefallen, indem man die Seite der Phisher sabotiert. Das Programm, das dieser Typ gemacht hat, war nett, aber es könnte in einigen Punkten besser sein. Erstens war das Format der gesendeten E-Mail-Adressen nicht sehr abwechslungsreich. Zweitens schickte das Programm nur etwa alle 2-5 Sekunden eine Anmeldung. Was für die Phisher immer noch ein Ärgernis sein würde. Also beschloss ich, mein eigenes Programm zu entwickeln. Ich werde den Code am Ende dieses Threads und in einem Pastebin posten.

Schritt 1 Finden einer Phishing-Site
Dies war einfach genug. In dem Video wurde gezeigt, wie der Typ Phishtank durchsucht, um die Phishing-Site zu finden. Also habe ich das Gleiche getan. Hier ist der Link zu Phishtank: hxxps://phishtank.com (ersetzen Sie die x’s mit t’s). Ich habe ziemlich schnell ein paar gute Kandidaten gefunden.

Schritt 2 Analysieren der Seite
Jetzt musste ich nur noch herausfinden, wohin die Anfrage zur Anmeldung geschickt wurde und welches Format sie hatte. Ich benutze Firefox, also rief ich Menü > Webentwickler > Netzwerk auf. Dann loggte ich mich mit gefälschten Anmeldedaten auf der Phishing-Seite ein. Wenn Sie sich bei einer Website anmelden, werden die Anmeldeinformationen normalerweise in einer HTTP-POST-Anfrage an die Website gesendet. Natürlich war die erste Anfrage nach der Anmeldung ein HTTP POST. Die POST-Daten hatten zwei Felder. Ein E-Mail- und ein Passwort-Feld. Das war fast zu einfach. Ich kopierte die URL, an die die POST-Anfrage gesendet wurde, und machte mich an die Arbeit mit der Codierung.

Schritt 3 Kodierung des Tools
Ich entschied mich, das Tool in Python 3 zu programmieren. Ich würde ein paar Module benötigen: requests, json, random und threading. Requests für das Senden der HTTP-Anfragen (ich hätte auch urrlib.requests verwenden können, aber ich dachte, ich probiere mal ein Modul aus, das ich noch nicht verwendet habe), json für den Zugriff auf die Listen mit Namen und Passwörtern (wahrscheinlich nicht unbedingt notwendig, aber das Arbeiten mit JSON in Python ist wirklich einfach), random für das Erzeugen von Zufallszahlen für die gefälschten E-Mail-Adressen und threading, damit wir mehrere Anfragen gleichzeitig ausführen können. Der Rest war ziemlich trivial. Einige kleinere Bugs tauchten auf, hauptsächlich wegen mir. Aber das Tool war in weit unter einer Stunde fertig. Ich brauchte auch einige Daten für die Erstellung von E-Mails und Passwörtern. Ich habe die Namensliste und die Liste der 500 schlechtesten Passwörter für E-Mails und Benutzernamen verwendet. https://github.com/danielmiessler/SecLists/

Schritt 4 Angriff auf die Phishing-Seite
Nun war es an der Zeit, zu testen. Ich ließ das Tool jede E-Mail/Kennwort-Kombination ausdrucken, die es gesendet hatte, und die Gesamtzahl der Anfragen, die es gesendet hatte. Das Tool begann mit 8 Threads. Es funktionierte perfekt. Leider schickte es die Anfragen auch so schnell, dass ich die Ausgabe nicht lesen konnte, lol. Also habe ich es wieder auf 4 Threads gedrosselt und es ging immer noch ziemlich schnell, aber ich konnte auch die Ausgabe lesen. Zu diesem Zeitpunkt schickte er mehrere Anfragen pro Sekunde. Auf der ersten Seite hatte ich mehrere tausend Anfragen in weniger als 10 Minuten. Ich habe es ein paar Mal gestoppt, um die Anzahl der Threads zu ändern, aber einige Male ging es in die Tausende von Login-Anfragen. Insgesamt hat die erste Site etwa 10.000 Anmeldungen erhalten. In den letzten paar Minuten fing das Programm an, Exceptions zu werfen. Das war aber eigentlich eine gute Sache, denn der Server verweigerte mir gerade weitere Verbindungen (Webserver haben normalerweise eine maximale Anzahl von erlaubten Verbindungen pro Client). Also habe ich es einfach für eine Minute angehalten und die Anzahl der Threads zurückgesetzt. Wenn ich mich richtig erinnere, fing die Seite an, sich so zu verhalten, als würde die Phishing-Seite nicht mehr existieren. Selbst wenn ich versuchte, sie in meinem Browser aufzurufen. Ich bin mir nicht sicher, ob das eine Gegenmaßnahme des Phishers war, oder ob ich die Seite wirklich kaputt gemacht habe.

Runde 2…
Da das Tool nun gut funktionierte, probierte ich es an einer neuen Phishing-Seite aus. Ich musste das Tool leicht modifizieren, weil die Anfrage offensichtlich an eine andere Stelle gehen sollte und die Post-Anfrage etwas anders war. Dieser Angriff verlief mehr oder weniger wie der zweite. Die Anfragen gingen in den Bereich von etwa 10.000. Aber nach etwa 10-15 Minuten begann die Website, auf alle Anfragen mit einem HTTP 404 not found zu antworten. Ich habe versucht, die Website in meinem Browser aufzurufen. Dasselbe Problem. Ich wartete ein paar Minuten und versuchte das Tool erneut. Die Website antwortete immer noch mit 404 not found.

Phishing – Analyse nach der Operation

Obwohl dieser Angriff effektiv ist, ist er nicht perfekt. Es gibt ein paar Möglichkeiten, wie die Phisher erkennen können, welche Logins gefälscht sind, je nachdem, wie viele Informationen ihnen zur Verfügung stehen.

Benutzer-Agent

Wenn sie Zugriff auf die HTTP-Protokolle haben, könnten sie einfach sehen, welchen User Agent die Anfragen haben (sie waren alle gleich). Es wäre ziemlich einfach herauszufinden, weil das Anforderungsmodul einen User-Agent verwendet, den man in normalen Browsern nicht oft sieht. Zugegeben, ich könnte mein Programm auch einfach beliebige legitime Browser-Benutzeragenten verwenden lassen. Das könnte eine gute Ergänzung zum Programm sein.

IP-Adresse

Ich habe nicht versucht, meine IP-Adresse zu verstecken. Wenn die Phisher also Zugang zu den HTTP-Protokollen hätten und wüssten, wie sie diese durchsuchen können, könnten sie einfach alle Anmeldeinformationen entfernen, die von meiner IP-Adresse stammen. Das ist auch etwas, das ich umgehen könnte. Zum einen, wenn andere Leute das Tool verwenden, wird ihre IP anders sein. Ich könnte das Tool auch über TOR oder einen Proxy laufen lassen, aber ich würde einen Proxy oder TOR nicht überlasten wollen, also würde ich das lieber nicht tun. Eine andere Möglichkeit ist die Verwendung eines VPS/Servers, auf dem das Tool läuft. AWS hat ein kostenloses VPS-Tier, das man ziemlich einfach bekommen kann. Da ich meine IP nicht versteckt habe, muss ich mich möglicherweise um die Vergeltung von Phishern sorgen. Aber ich werde diese Brücke überqueren, wenn ich dort ankomme. Und wenn sie sich irgendwie revanchieren, dann weiß ich, dass mein Angriff effektiv war.

Zeit

Die Anfragen kamen alle in demselben Zeitfenster von 10-20 Minuten. Die Phisher könnten also alle in diesem Zeitraum gesammelten Anmeldedaten einfach wegwerfen. Aber sie laufen Gefahr, dass alle tatsächlichen Anmeldedaten der Opfer gelöscht werden. Eine Möglichkeit, diese spezielle Gegenmaßnahme zu umgehen, besteht darin, die Zeiten, zu denen die Anfragen eingehen, zu randomisieren und die Anfragen über einen längeren Zeitraum zu verteilen.

E-Mail-Format

Ich habe mich bemüht, das E-Mail-Format abwechslungsreich zu gestalten. Es ist jedoch möglich, das allgemeine Format der E-Mails herauszufinden und diejenigen zu entfernen, die damit übereinstimmen. Natürlich haben viele Opfer wahrscheinlich auch E-Mails in diesen Formaten, so dass es nicht ganz effektiv ist. Außerdem ist es einfach, dies zu umgehen. Machen Sie einfach die E-Mail-Formate abwechslungsreicher.

Kennwörter

Die Passwörter kamen aus einer Wortliste. Wenn die Phisher also nur Logins mit Passwörtern entfernen würden, die sie als von mir stammend erkannt haben, könnte das etwas helfen. Dabei tritt jedoch ein ähnliches Problem auf wie beim E-Mail-Format. 1) Die tatsächlichen Opfer haben möglicherweise dieselben Passwörter. 2) Ich kann einfach mehr Passwörter bekommen XD.

Der Code ist auf pastebin: https://pastebin.com/NkzxuYk6

Tor-Browser Sicherheit – Einführung und OpSec

Zuerst eine einfache Einführung in das Tor-Netzwerk. Es ist ein Onion-Routing-Netzwerk, das früher von seinem älteren Gründer, der US Navy (Gov), für geheime und verschlüsselte militärische Kommunikation betrieben wurde. Heutzutage wird es von Freiwilligen betrieben und dient als globales Netzwerk für Anonymität.

Diese Anonymität wird oft von Aktivisten, Journalisten, Dissidenten und vielen anderen genutzt. Zu dieser Anonymität gehört natürlich auch das, was wir alle als Darknet kennen, das Konzept der versteckten Dienste, die nur innerhalb von Tor zugänglich sind (.onion-Domains). Sie haben vielleicht schon von einigen Seiten aus dem Darknet gehört, wie zum Beispiel der Seidenstraße, einem berüchtigten Drogenmarktplatz.

Ein häufiges Missverständnis, das die Leute darüber haben, ist, es “Deepweb” zu nennen. Sicherlich ist das Netzwerk der versteckten Dienste ein Teil des Deepwebs. Aber Tor ausschließlich als Deepweb zu bezeichnen, ist falsch. Deepweb bezieht sich eigentlich auf alle nicht-indizierten Seiten/Daten im Internet, das würde auch private Unternehmensdatenbanken einschließen, die offensichtlich nicht Teil des Tor-Clusters der versteckten Dienste sind. In diesem Fall müsste der Begriff Darknet lauten, wenn ich mich nicht irre. Obwohl es nicht unbedingt nur ein Darknet gibt, ist tor nur eines unter anderen. Ein anderes dieser Netze ist zum Beispiel I2P (Invisible Internet Project).

Nun… genug über den Hintergrund und die Terminologie. Solche Dinge sind nur triviale Details.

Funktionsweise und Risiken von Tor

Ich werde nur die Grundlagen von Tor behandeln, Details darüber, wie Tor funktioniert, sind nicht der Punkt dieses Threads.

Es gibt drei verschiedene Arten von Knotenpunkten in Tor:

  • Guard Relay
    Das ist Hop Nummer eins im Kreislauf, es ist der erste Knoten, den du siehst, wenn du das Tor-Netzwerk betrittst. Und so ist der Wächterknoten der einzige Knoten im Torkreis, der deine echte IP sehen wird.
  • Internes Relais
    Man könnte dies den mittleren Hop nennen, er kommt nach deinem Durchgang durch den Wächter-Relay. Wenn Sie sich nur im Darknet umsehen, werden Sie nicht den Exit-Node betreten, sondern nur die internen Relais benutzen. Diese Relays können nichts von dem sehen, was Sie tun, da jeder Knoten eine mehrschichtige Verschlüsselung verwendet. Jedes Mal, wenn Sie ein neues Relais betreten, wird eine neue Verschlüsselungsschicht gebildet.
  • Austrittsrelais
    Dies ist der letzte Schritt in Ihrem Schaltkreis, falls Sie vorhaben, das Clearnetz zu betreten. Mit anderen Worten, wenn Sie sich entschieden haben, Verbindungen zu Geräten und Sites außerhalb des Darknets herzustellen. Sie werden dann zu diesem Knoten geschickt, wo der gesamte Inhalt entschlüsselt wird, um die Kompatibilität mit dem Rest des Internets zu ermöglichen. Allerdings sind Sie gegen Schnüffelei geschützt, wenn Sie eine durch SSL (Https) geschützte Seite betreten.

Topologie: Sie > Guard Node (1) > Internal Relay (3) > … (?) > Exit-Relais (4)

Beachten Sie die Punkte zwischen Punkt (3) und (4), tor verwendet nicht ausschließlich nur 3 Knoten. Es hängt stark von Ihrer Konfiguration und Umgebung ab, aber typischerweise werden 3 Knoten empfohlen, um die Wahrscheinlichkeit einer Kompromittierung zu minimieren.

Hier ist der Grund: Wenn Sie zu wenige Knoten verwenden, kann Ihre Anonymität preisgegeben werden. Wenn Sie jedoch zu viele Knoten verwenden, z. B. 100 Knoten, steigt die Wahrscheinlichkeit, dass ein schlechter Knoten verwendet wird. Ein böser Knoten ist einer, der Ihren Datenverkehr ausspähen oder in irgendeiner Weise Ihre Anfragen manipulieren könnte. Dies ist besonders schlecht, wenn sie sich an der Wach- oder Ausgangsposition befinden.

Um die Sache noch weiter zu verkomplizieren, wenn der Gegner mehrere Knoten in Ihrem Schaltkreis besitzt, wird er in der Lage sein, Ihre Aktivitäten zwischen den Knoten zu korrelieren. Wenn zum Beispiel der Wächterknoten eine Art eindeutigen Cookie oder eine andere Art von Fingerabdruck in Ihre Anfrage einfügt, können andere Knoten entlang des Weges dies aufgreifen und korrelieren, woher es kam. Dies ist gefährlich, wenn Sie etwas Illegales tun, wie z. B. den Kauf von Drogen auf einer Marktplatzseite. Wenn das interne Relais, das den Darknet-Drogenmarktplatz für Sie hostet, dem Feind gehört, kann der Knoten die echte IP-Adresse abgreifen, die er vom Wächterknoten erhalten hat.

Aber bitte lass dich von diesen Risiken nicht abschrecken. Wie du weißt, sorgt Tor dafür, dass du nicht zu viele und auch nicht zu wenige Knoten benutzt, um das Risiko auf ein Minimum zu reduzieren. Und wenn du die richtige Betriebssicherheit für deinen Tor-Betrieb anwendest, ist das alles kein Problem. Wie immer solltest du darauf achten, wenn möglich https zu benutzen.

Operative Sicherheit: Praxis und Vorgehensweise (3 Methoden)
Es gibt viele Möglichkeiten, mit den Sicherheitsrisiken, die mit Tor und deinem Betrieb verbunden sind, umzugehen. Ich werde hier drei weithin bekannte Opsec-Methoden abdecken, keine davon ist ideal für jede Situation, der Sie begegnen werden. Alle Opsec-Methoden sind situationsabhängig und haben je nach Bedrohung und Gegner einen unterschiedlichen Grad an Effizienz. TL;DR Es gibt kein perfektes OPSEC-Setup, es hängt von Ihrem Bedrohungsmodell ab.

  • OPSEC-Modelle
    Standard-Browser-Ansatz (Tor-Browser)
    Ich nenne dies Default, weil es der offiziell unterstützte Client ist, um auf Tor zuzugreifen, einfach durch einen Browser. Es ist ein Fork des Firefox-Browsers mit einigen Anpassungen und Modifikationen.

Für diesen Ansatz müssen Sie nur Ihren gesunden Menschenverstand benutzen:

  • Deaktivieren Sie alle Skripte (NoScript).
  • Wenn Sie keine Cookies benötigen, aktivieren Sie sie nicht.
  • Verwenden Sie HTTPS, wenn möglich.
  • Halten Sie Ihren Browser auf dem neuesten Stand.
  • Fügen Sie nicht zu viele Addons hinzu, denn dadurch wird Ihr Browser-Fingerabdruck auffällig.

Zu dieser Anmerkung über Fingerabdrücke: Ich werde in diesem Thread nicht sehr tief darauf eingehen, da es so viel zu behandeln gibt. Aber Ihr Browser kann anhand Ihrer Plugins, Einstellungen und dergleichen einen Fingerabdruck erhalten. Je eindeutiger Ihr Browser ist, desto einfacher ist es, die Suche nach Ihrer Identität einzugrenzen. Dazu gehören auch Elemente des Betriebssystems, die in Ihrem Useragent und der Bildschirmauflösung enthalten sind.

Wenn wir also Javascript und dergleichen mit noscript aus Sicherheitsgründen deaktivieren, wird unser Browser dadurch auch eindeutiger. Das ist der Kompromiss, nehme ich an. Wenn Sie technisch versiert sind, können Sie immer versuchen, die Javascript-Engine zu modifizieren, um die Bildschirmauflösung zu deaktivieren. Und/oder verwenden Sie eine Sandbox-Isolationssoftware, um Ihren Browser von mehr zu isolieren, als er braucht.

Sie können natürlich auch VPNs und dergleichen zu diesem oder jedem Tor-Setup hinzufügen. Ich werde weiter unten in diesem Thread mehr darüber erzählen.

Link zum Tor-Browser: https://www.torproject.org/download/down…sy.html.en

(Denken Sie daran, die Prüfsummen-Signaturen zu überprüfen und alle Downloads zu verifizieren, um Verfälschungen oder Manipulationen zu vermeiden. Das gilt für alle Downloads: https://blog.yourultimatesecurity.guide/…checksums/ )

Live/Disposable Anti-Forensik-Ansatz (Tails OS)
Dies ist eine LiveCD-Linux-Distribution, die offiziell von Tor unterstützt wird. Ich nenne es “Disposable”, weil es gut für “get in, get out”-Operationen ist. Sie kann auf einem bootfähigen Medium mit jedem Computer benutzt werden und sobald du deine Sitzung beendest, löscht sie automatisch alle Spuren, die du jemals mit Tor benutzt hast. Es ist ziemlich raffiniert für feindliche Umgebungen wie Diktaturen.

Ich würde vorschlagen, es auf einer DVD zu benutzen, einfach weil es ein Nur-Lese-Medium ist und es schwieriger ist, es zu modifizieren, wenn Sie es unbeaufsichtigt lassen (Seien Sie sich jedoch anderer Angriffsvektoren bewusst, wie z.B. dem Angriff der bösen Maid. Der Feind ersetzt den Computer/die Festplatte durch eine Replik, um Phishing zu betreiben oder Ihre Aktivitäten zu überwachen). Und wenn die Strafverfolgungsbehörden auf die Idee kommen, was Sie tun, ziehen Sie einfach die DVD aus dem Fach und zerbrechen Sie sie mit Ihren Händen in zwei Teile.

Eine weitere coole Funktion von Tails ist die öffentliche Tarnung, die es so aussehen lässt, als würden Sie Windows xp benutzen. Dies ist nützlich, wenn Sie in einer Bibliothek oder einem Coffeeshop sitzen (was Sie wahrscheinlich tun sollten, scheißen Sie nicht, wo Sie essen. Nehmen Sie Ihre Operationen außerhalb Ihres Hauses vor).

Wenn Sie nach Ihrer Tails-Sitzung Zeit haben (normalerweise nicht notwendig, wenn Sie Tails normal im vm beenden), booten Sie in die Setup-Optionen/Bios und führen Sie einen Speichertest durch. Dadurch wird der gesamte Inhalt des Speichers durch den im Ram ersetzt, was die Wahrscheinlichkeit von Cold-Boot-Attacken verringert (Wiederherstellen von Speicherfragmenten aus dem Ram nach dem Herunterfahren, normalerweise für 10 min möglich, wenn Sie den Ram mit flüssigem Stickstoff einfrieren).

Es gibt viele Seitenansätze für Opsec für Ihren Rechner, wenn Sie ram verwenden, wie den oben genannten. Ein weiterer guter Ansatz, den Sie bei Ihrem Laptop in Betracht ziehen könnten, ist, niemals eine Batterie zu verwenden, sondern stattdessen ein Stromkabel direkt an die Wand anzuschließen. Wenn es jemals zu einem Auftauchen kommt, brauchen Sie nur das Kabel herauszuziehen, um die Schmuggelware sofort abzuschalten.

Link zu Tails: https://tails.boum.org/
Alternative – Liberté (Warnung *Entwicklung eingestellt*): https://dee.su/liberte

  • Netzwerkisolierung (virtuell oder physikalisch – z.B. Whonix)
    Mein bevorzugter Ansatz, in Bezug auf die Ausfallsicherheit ist dieser meiner Erfahrung nach sehr gut. Das Konzept der Isolation bedeutet in diesem Szenario die Trennung und Abschottung zwischen deiner Verbindung zu Tor und deiner Arbeitsumgebung.

Um es einfacher auszudrücken, die Idee, Tor in einem Container zu halten und alle Ihre Operationen in einem anderen. Wenn du also kompromittiert oder gehackt wirst, haben sie trotzdem keinen Zugriff auf deine Tor-Instanz. Mit anderen Worten, selbst wenn du es schaffst, von einer Malware mit Root-Zugriff infiziert zu werden, wird diese nicht in der Lage sein, deine echte IP-Adresse zu bekommen.

Es gibt zwei Arten von Isolationsmethoden, die virtuelle und die physikalische Isolation. Die Natur dieser beiden Methoden ist ziemlich selbsterklärend. Während bei der virtuellen Methode virtuelle Maschinen auf demselben Computer verwendet werden, um Ihre Operationen in zwei Container aufzuteilen, handelt es sich bei der physischen Methode um zwei tatsächliche physische Maschinen, die miteinander arbeiten.

Beide Methoden sind für die meisten Situationen sicher genug, aber wenn Sie sehr spezifisch und detailliert sein wollen, ist die physikalische Isolationsmethode sicherer. Denn die physikalische Methode eliminiert das Risiko von VM-Hopping-Exploits. Und dann ist da noch der fundamentale Fehler hinter dem Betrieb virtueller Maschinen: Ihre Sicherheit ist komplett abhängig von Ihrer Host-Maschine. Das heißt, selbst wenn Ihre virtuellen Maschinen die sicherste Härtung der Welt haben, hängt alles von Ihrer Host-Maschine ab, auf der die VMs gehostet werden. Wenn die Host-Maschine in irgendeiner Weise kompromittiert wird, dann sind auch alle Ihre virtuellen Container gefährdet. Wenn also der Feind einen Weg findet, Ihre Host-Maschine zu hacken, dann sind Sie aufgeschmissen.

Beispiel für virtuelle Isolation:
Whonix (Zwei verschiedene Container für virtuelle Maschinen)
Topologie: Computer -> VM (1) [Whonix-Gateway] <–> VM (2) [Whonix-Workstation]
Die Whonix-Workstation wird das Whonix-Gateway als virtuellen Router nutzen. Laut der gesamten Software in Ihrem Arbeitsbereich ist das whonix-Gateway Ihr echter Router. Und Ihre Tor-IP ist in Wirklichkeit Ihre reale IP-Adresse. Das ist der Grund, warum, egal was in der Workstation passiert, sie deine reale IP nicht herausfinden wird.

Das bedeutet auch, dass du unsichere Anwendungen und Frameworks innerhalb der Workstation laufen lassen kannst, die du normalerweise nicht benutzen würdest. Dies beinhaltet, ist aber nicht beschränkt auf Javascript oder direkte Downloads.

Link zu Whonix: https://www.whonix.org/

Beispiel zur physikalischen Isolation:
PORTAL – Personal Onion Router To Assure Liberty (Raspberry pi oder OpenWRT-Router)
Topologie: Router <–> Raspberry PI <–> Workstation
Hier wird genau der gleiche Aufbau verwendet, nur dass jede Komponente im System zu einer physikalischen Komponente gemacht wird. Der RPI wird als Gateway fungieren und ein torifiziertes Lan oder Wifi (abhängig von Ihren Konfigurationen) erstellen. Was Ihren Computer betrifft, so fungiert das RPI als Ihr echter Router. Sofern nicht jemand das RPI kompromittiert, ist alles in Ordnung.

Ein guter Vorteil neben der zusätzlichen Sicherheit ist, dass Sie einen kleinen Tor-Router mit sich führen können, um ihn an andere Orte mitzunehmen. Das gilt natürlich auch für die virtuelle Maschine, aber diese zusätzliche Sicherheit bringt keine größeren Kompromisse im Vergleich zum virtuellen Ansatz.

Link zu PORTAL: https://github.com/grugq/PORTALofPi
PORTAL – Openwrt: https://github.com/grugq/portal

Überlegungen
Es gibt einige Themen, die ich in diesem Thread nicht behandelt habe, ich bin mir sicher, dass ich einige Dinge übersehen habe. Wie z.B. Verzeichnisautoritäten in Tor und anderen Komponenten, habe ich nicht als sehr wichtig angesehen. Wenn ich jemals einen erneuten Besuch dieses Tutorials mache, werde ich das auch hinzufügen.

Ich sollte auch hinzufügen, was ich vorher über VPNs gesagt habe. Ja, wenn du deine Anonymität oder Privatsphäre verbessern willst, gibt es zwei Wege, wie du das machen kannst.

VPN > Tor
Dieser Ansatz ist darauf ausgelegt, Ihnen mehr Privatsphäre zu geben. Bitte seien Sie sich des Unterschieds zwischen Privatsphäre und Anonymität bewusst. Privatsphäre schützt Ihre Daten, in diesem Fall halten die verschlüsselten VPN-Daten Schnüffler von schlechten Exit-Nodes fern. Aber gleichzeitig weiß Ihr VPN-Anbieter, was Sie mit tor machen und welchen Wächterknoten Sie benutzen und so weiter.

Tor > VPN
Angenommen, Sie haben sich bei Ihrem VPN völlig anonym mit gemischten Bitcoins angemeldet und Transaktionen von einem öffentlichen Ort aus durchgeführt. Dann ja, dies wird Ihre Anonymität stark erhöhen, es ist immer noch ein extra Sprung für den Feind. Aber Daten von vpn-Anbietern zu bekommen, kann mit all den Rechtsprechungen der verschiedenen Regionen knifflig sein. Anonymität schützt Sie, Ihre Identität.