Anonym geleakt

Anwendungsspuren

Spuren von Programmen

image.jpg

© PC Magazin

Im Ordner Recent speichert Windows alle Dokumente und Ordner, die der Anwender aufgerufen hat (hier Vista-Startmenü).

Weitere Anwendungsspuren auf dem Rechner ergeben sich beim Arbeiten mit Programmen, denn auch diese legen Logfiles an oder speichern Arbeitsschritte. Am bekanntesten ist die History des Browsers, aber auch Word oder Sicherheits-Tools lassen viele und aussagekräftige Rückschlüsse auf Aktivitäten zu. Sehr logfreudig sind Firewalls.

Die Browser-History lässt sich noch recht einfach bewältigen, denn der Anwender kann sie gezielt löschen: beim Firefox unter Extras/Neueste Chronik löschen/Alles und im IE unter Extras/Internetoptionen/Browserverlauf/Löschen. Um Spuren gleich ganz zu vermeiden, schaltet er den privaten Modus des Browsers (auch InPrivate genannt) ein. Dann speichert der Browser keinen Verlauf und keine Cookies.

Doch ein paar Probleme sind mit diesen Maßnahmen nicht beseitigt, denn die Browser speichern weitere Daten (siehe Artikel Kekse werden immer böser in Heft 1/2011) insbesondere über Flash. Diese Cookies muss der Anwender von Hand löschen, und zwar im Ordner C:\Users\<user>\AppData\Roaming\Macromedia\Flash Player\#SharedObjects. Auch der private Modus schützt vor diesen Datenschnipseln nicht.

Die gute Nachricht: Adobe hat soeben angekündigt, Flash für die Cookie-Behandlung der Browser zu öffnen. Sobald die Browser das implementiert haben, lassen sich Flash-Kekse mit der Cookie-Verwaltung der Browser beseitigen. Dennoch deaktiviert der Anwender am besten Flash, Silverlight, Java und weitere Plug-ins.

Schließlich noch ein Wort zu Outlook, auch hier lässt sich der Ordner Gesendete Objekte leeren, die brisanten Mails landen aber im Outlook-Papierkorb (Gelöschte Objekte). Und selbst wenn der Anwender auch diesen leert, hält Outlook die Mails noch in der PST-Datenbank.

Mit speziellen Tools lassen sie sich wieder herstellen (z.B. Easy Outlook Recovery, das mit 39,95 Euro zu Buche schlägt, www.munsoft.de/EasyOutlookRecovery). Wie die meisten Datenbanken löscht Outlook Einträge zuerst nur aus der Ansicht. Will der Anwender sie physikalisch bereinigen, muss er die Datenbank komprimieren. Das gleiche gilt für Access.

Zum endgültigen Löschen in Outlook klickt der Anwender mit der rechten Maustaste im Ordnerbaum auf den Persönlichen Ordner. Im Kontextmenü wählt er Eigenschaften für Persönlicher Ordner und weiter Erweitert/Jetzt komprimieren. Das kann einen Moment dauern.

Egal welche Programme der Anwender verwendet, bei einem lokal gespeicherten System auf der Festplatte wird er unweigerlich nachvollziehbare Änderungen hinterlassen. Die Frage ist letztendlich, wie gut sich derjenige auskennt, der auf die Spurensuche geht.

Surf und Internet-Spuren

image.jpg

© PC Magazin

Eine reine Anonymisierung via Web bietet Anonymouse. Der Dienst auf den Seychellen blendet Werbefenster ein.

Sobald ein Rechner sich im Netz anmeldet, hinterlässt er wieder Spuren. Das beginnt bereits beim Router, zum Beispiel im Firmennetz, über den er die IP-Verbindung aufbaut. Das lässt sich auch mit einer Live-CD oder mit einem Anonymisierungsdienst nicht vermeiden. Der Internet-Router erkennt den Rechner und speichert zumindest Zeitpunk und Dauer der Surfsitzung. Eventuell noch mehr, zum Beispiel die IP-Adressen, die der Rechner aufgerufen hat.

Letzteres lässt sich mit einem Anonymisierungsproxy (siehe Tabelle) aber schon einschränken, denn dann gehen alle Verbindungen nur zu diesem. Wenn die Verbindung dann noch SSL-verschlüsselt ist, so bleibt der Datenverkehr an sich verborgen. Nach dem Router ist der Provider der Nächste in der Kette, der etwas über die Datenverbindung erfährt, da er den Zugang stellt.

Hier gilt das Gleiche wie für den Router: Zeit und Dauer der Verbindung sind bekannt, das Weitere bleibt mit einem SSL-Proxy verborgen. Um diese Stufen auch noch zu vermeiden, muss der Whistleblower auf unbekannte Rechner abwandern, beispielsweise in einem Cafe mit WLAN.

Am Ende der Verbindung steht der Rechner, der die Datenverbindung annimmt, ein Web-, Mail- oder Cloud-Server. Der ist besonders riskant für den Leaker, wie sich am FBI-Begehren gegenüber Twitter zeigt. Die Rechner am anderen Ende der Leitung haben die Information, welche IP-Adresse sich anmeldet und oft noch Konto-Informationen, wie Name, Adresse oder E-Mail. Wenn nicht sogar Kreditkartendaten.

Aber noch mehr. Ein Seitenbetreiber kann ein komplettes Nutzerprofil anlegen, unabhängig davon, ob er es darf oder nicht. Ferner gibt es inzwischen ausgefeilte Techniken, den Surfer anhand bestimmter Browser-Parameter wiederzuerkennen.

Ein gutes Beispiel hierfür ist Panopticlick von der digitalen Bürgerrechtsbewegung EFF (https://panopticlick.eff.org/)Das hat nun drei Konsequenzen für den Leaker. Erstens darf er keine schon benutzten Web-Dienste aufrufen. Vielmehr muss er für sein Vorhaben neue anlegen, die eine gewisse Anonymität wahren.

Das beginnt bei einer unbenutzten E-Mail-Adresse zum Beispiel über Yahoo, da dieser Dienst wenige Daten abfragt. Über diese kann er Daten versenden oder sich bei anderen Diensten wie Twitter oder Facebook neu anmelden, um mit den gewünschten Leuten Kontakt aufzunehmen.

Zweitens benötigt er einen Proxy-Dienst im Web, der den Datenverkehr über Zwischenstationen leitet. So erfährt der Webseitenbetreiber die echte IP-Adresse nicht, sondern nur die des letzten Anonymisierungs-Servers.

Letztendlich ist es für die Polizei möglich, einen solchen Server zu beschlagnahmen, deswegen sollten es mehrere Zwischenstationen in verschiedenen Ländern sein, sodass eine Verfolgung des Leakers nur noch dann wahrscheinlich ist, wenn er amerikanische Diplomatenbriefe oder Militärvideos geleakt hat.

Und, um Angriffe nach dem Muster von Panopticlick auszuschließen, sollte man im privaten Modus surfen, sodass man schwer wiederzuerkennen ist. Flash, Java und Silverlight sollten komplett deaktiviert sein, da sie vom privaten Modus nicht eingeschränkt sind und erweiterte Rechte haben, über die Browsergrenzen hinweg.

Sie legen eigene Cookies an (siehe oben) und können die echte IP-Adresse ermitteln (Java: networkInterface.getInetAddresses()). Mit JavaScript geht das hingegen nicht. Dennoch schadet es nicht, JavaScript abzuschalten, zum Beispiel mit dem Add-on No Script (addons.mozilla.org/de/firefox/addon/noscript).

Hat der Leaker alle diese Maßnahmen ergriffen, kann man davon ausgehen, unerkannt zu bleiben, wenn man Daten an eine Zeitung oder eine Plattform übermittelt.

Mehr zum Thema

Home Cloud mit Laptop, Smartphone, Tablet und WD Festplatte.
WD My Cloud, MyFritz & Co.

Wir zeigen, wie Sie Cloud-Server im Heimnetzwerk einrichten. Wir erklären Western Digital My Cloud, AVM MyFritz und Synology Quickconnect.
Spam-Mails
6 Tipps gegen E-Mail Betrug

Betrüger versenden E-Mails, die es auf Ihre Daten und Ihr Geld abgesehen haben. Wie Sie Phishing E-Mails erkennen und sich schützen.
Mann kommt aus dem Laptop und ballt die Faust
Trolle im Internet

Trolle vergiften die Diskussionskultur im Internet - Mit diesen Strategien entledigt man sich der Störenfriede endgültig.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Spam-Mails
Vorsicht vor Phishing

E-Mail von Amazon: "Verdächtige Aktivitäten" sollen die Eingabe von Anmelde- und Bankdaten nötig machen. Ignorieren Sie die Phishing-Mail!