Sicher im Darknet: unmöglich in Zeiten der NSA?

Geschrieben von kingalca am 9. Oktober 2013
Dieser Post ist über ein Jahr alt. Eventuell haben sich die Details mittlerweile geändert, oder Links sind nicht mehr verfügbar.

Sicher im Darknet: unmöglich in Zeiten der NSA?

Dieser Artikel ist tatsächlich so geschrieben, dass Leute mit paranoider Angst vor Überwachung sich – so glaube ich – einigermaßen sicher im Internet aufhalten können. Für jeden, der nicht ohne Facebook oder Twitter kann, ist der Artikel nichts und selbst mit diesen Maßnahmen wird man nichts haben, was einen vor einer Zuordnung schützt und genau das soll ja nicht geschehen. Ich weiß nicht, wie sicher das ganze ist, aber es sollte wirklich schwer werden, die originale Identität des Users aufgrund der Verbindungsdaten herauszufinden. DAU-Fehler natürlich ausgeschlossen.

Sicher im Darknet

Gestern Abend dachte ich darüber nach, wieder ein wenig im Deepnet rumzuschnüffeln. Mich interessiert so Offroad-Zeugs ja total, da man ja auch Zeug angeboten bekommt, dass man nicht mal aussprechen kann oder mag. Im Deepnet gibt es alles. Von Drogen bis hin zu Erotik über Auftragsmorde und alle Möglichen Steroide, Waffen, … Die Liste geht ewig weiter. Stell dir vor, du kannst alles was strikt verboten ist, an einem Ort kaufen. Quasi das Untergrund Amazon.

Vor ein paar Tagen wurde die Silk Road hochgenommen, eines der größten Deepnet Boards auf dem Markt. Auf Silk Road konnte man alles von den oben beschriebenen Dingen kaufen. Ich war selbst nie auf Silk Road, ich benutze das Deepnet größtenteils um politische Blogs zu lesen, selbst anonym mit anderen meine Ansichten – tatsächlich hochgradig objektiv – zu besprechen und so weiter. Es gibt genug legales Zeug im Deepnet, um das man sich kümmern kann – wenn man will.

Wie kommt man ins Deepnet? Nun, das geht nicht einfach so. Dazu braucht man einen TOR Browser. Ich könnte jetzt eine Anleitung schreiben, wo man sich TOR runterläd, wie man es konfiguriert und so weiter und sofort, aber ich möchte eigentlich nicht, dass jeder Vollpfosten das bewerkstelligen kann.

Eins sei gesagt: wenn Ihr absolut keine Ahnung von Netzwerken habt, nicht wisst wie wichtig totale Disziplin beim Umgang mit persönlichen Daten sind, dann lasst die Finger davon. Wenn Ihr es nicht bewerkstelligen könnt euch einen Laptop zu kaufen, der nur in einem bestimmten WLAN Netz genutzt wird, lasst es. Wenn euch der Begriff „VPN“ nicht geläufig ist und nicht wisst, was das ist: lasst es. Nichts desto trotz werde ich weiter unten erklären, was ein VPN ist.

Da ich von mir nicht auf andere schliessen kann (leider :() muss ich aus ethnischen Gründen auch davon abraten, dort Sachen zu kaufen. Gezahlt wird nämlich meist mit Bitcoins und die sind, so sagt man, anonym. Das ist aber nicht ganz richtig, da ein Wallet eine ID hat und diese ID zum eigentlichen Kauf zurück verfolgt werden kann und bei dem Kauf über bspw. bitcoin.de nun mal reale Daten angegeben werden. Dennoch ist es nicht zwingend notwendig auf komplizierteste Weiße Bitcoins zu kaufen, wobei dies durchaus Möglich ist.

Eventuell noch ein paar Informationen zu mir selbst, nur damit man sich als Leser einen Eindruck machen kann, was Ich überhaupt für einer bin: ich bin gelernter ITler und kenne mich mittelmäßig bis einigermaßen gut auf der Netzwerkebene aus, kann programmieren und verstehe, wie das Internet funktioniert. Da mein Interesse für die NSA-Affäre meinen Wissensdurst indirekt ansprach und ich bereits des öfteren VPN, SOCKS5, TOR, et cetera genutzt habe und weiß, wie das und ungefähr das NSA-Spähprogramm funktioniert, kann ich – auf Basis meines Wissens und der Erfahrung in dem Bereich – eine ungefähre Anleitung bereitstellen, die aber natürlich je nach Sorgfalt bei der Ausführung erwartungsgemäß arbeiten kann oder eben auch nicht – ich hab diesen Eintrag auch so geschrieben, dass man ein klein wenig Erfahrung haben sollte – oder zumindest gut googlen kann. Ich will hier nicht für irgendwelchen fahrlässigen Fehler zur Verantwortung gezogen werden.

Im Grunde genommen ist das hier nicht mal ein Guide, wie man möglichst sicher im Darknet Dinge macht, sondern eher ein kleiner „Paranoia Safety“ Guide, der auch ein wenig auf Security trough Obscurity setzt.

Diese 10 Dinge brauchst du

  1. Selbstdisziplin ohne Ende
  2. einen Non-Logging VPN
  3. einen Laptop, der nicht mit dir in Verbindung gebracht werden kann
  4. ein Linux OS deiner Wahl (Backtrack, Mint, …)
  5. einen TOR Browser
  6. TrueCrypt
  7. einen USB Stick
  8. Stift und Zettel
  9. ein gutes Gedächtnis
  10. und noch mal: Disziplin.

Als aller erstes musst du dir einen Laptop kaufen. Am besten gehst du dazu in ein Internetcafe und gehst dort auf ein Verkaufsportal deiner Wahl, zum Beispiel eBay Kleinanzeigen. Dort suchst du einen günstigen Laptop, der dir gefällt. Wichtig ist nur, dass er WLAN hat und ein paar USB Ports. Bezahl den Laptop Bar und für die, die gerne auf absolute Nummer Sicher gehen wollen: tragt Schal, Mütze oder Brille – oder alles zusammen – beim Kauf. Bezahlt wird nur Bar. Versichere dich beim Kauf, dass der Laptop funktionsfähig ist, falls es nicht anders angegeben ist.

Sobald du den Laptop hast gehst du zu Saturn und kaufst dir dort eine neue Intel SSD. 128gb sollten reichen, also rechne mal mit 200€ für eine Festplatte. SSDs sind schneller, was einen Performance Vorteil beim verschlüsseln der Festplatte bringt.

Sobald das getan ist installierst du das Linux System. Achte darauf, dass der Laptop davor nicht aktiviert wurde, keine WLAN Verbindung besteht, et cetera. Es ist absolut wichtig, dass du den Laptop NICHT in dein Heim-WLAN einloggst. Das bedeutet im Umkehrschluss, dass du dir TrueCrypt über deinen richtigen PC bspw. runterlädst und auf einen USB Stick schiebst.

Der USB Stick sollte formatiert werden und dann mit TrueCrypt verschlüsselt sein. Als Algorithmus schlage ich AES-Twofish-Serpent mit der Whirlpool-Methode vor. Als Passwort (welches man sich auf das Blatt Papier notiert und sonst nirgends) wählt man – der Komplexität halber – ein paar Zeilen aus einem Lied. Pro Wort fügt man dann noch einfach Sonderzeichen wie ^$=“($ oder ähnlich ein. Das Passwort sollte einigermaßen einfach zu merken sein.

Auf dem nun verschlüsselten USB Stick speichert man zukünftig alle Daten, die einigermaßen wichtig sind. Ich empfehle, KeePass zu benutzen und auch wieder hier ein sehr sicheres Masterpasswort zu verwenden. Die Datenbank der Passwörter speichert man mitsamt des Programms auf dem USB Stick, während er in TrueCrypt gemounted ist. Das kann man alles an seinem originalen Rechner machen. Wie immer kann man hier die Sicherheit erneut erhöhen, wenn man zum Beispiel eine Windows VMWare startet und dort den PGP Key errechnen lässt und danach die VMWare-Instanz löscht und nie wieder verwendet.

Nun kann man den Laptop zum ersten mal starten. Die SSD sollte verbaut sein, die alte Festplatte wird einigermaßen nutzlos sein, alternativ kann man die aber auch anderweitig formatieren und einsetzen.
Mint Linux sollte vorher auf eine DVD gebrannt worden sein, die legt man logischerweise in den Laptop ein und bootet von selbiger. Mint sollte installiert werden und operativ nutzbar sein.

Nun kopiert man TrueCrypt und andere essentielle Softwarepakete von dem anderen, nutzbaren und nicht verschlüsseltem USB Stick auf den Laptop. Nachdem dies erledigt ist kann man den USB Stick wegschmeißen. 😀
TrueCrypt soll die komplette Festplatte verschlüsseln. Wählt hierfür ein Passwort, das dem wie oben beschrieben möglichst NICHT gleicht. Notiert euch das Passwort ebenfalls auf dem Zettel.

Als nächstes brauchen wir einen VPN. Nun kann man entweder VPNs von Clearnet-Anbietern kaufen, oder aber sich um einen sicheren selbst kümmern – beispielsweise installiert man einen über einen anonym erworbenen Virtual Private Server oder ähnlich. Einen anonymen VPN kann man unter Umständen in den richtigen Deepnet-Foren kaufen, mit Bitcoins. Sobald man den VPN hat kann man durch die Gegend fahren, offene WLAN Netze mit SEHR guter Verbindung und Geschwindigkeit suchen (der VPN und TOR im Verbund verlangsamen alles um knapp 80%…), was auch seine Zeit dauern kann (nimm Sie dir, wenn du einigermaßen ertragbar durch die Gegend kriechen willst). Laptop an, zum WLAN verbinden, VPN vorher anschalten, TOR anmachen und ab ins Deepnet. Ach ja: ein VPN ist quasi ein Wasserdichter Schlauch durch das ganze große Internet. Am einen Ende des Sees stehst du, der Client, am anderen der Server. Mithilfe des VPNs wird dein Traffic verschlüsselt und eigentlich abhörsicher durch den See gepumpt. Einzig und allein der ISP weiß jetzt noch, wer du bist.

Ihr solltet euch aber, egal was passiert, immer von Kinderpornographie fernhalten. Das Deepnet ist voll mit solchem Zeug und es gibt auch Leute, die Kinderschänder aus der Welt schaffen wollen und extra Seiten dafür aufgestellt haben quasi H. Benutzt niemals Javascript, wenn du sicher im Darknet sein möchtest. Wenn etwas nur mit Javascript geht, nutzt die Seite nicht.

Wenn du der Meinung bist, doch etwas zu kaufen müssen: benutzt PGP um die Nachricht zu verschlüsseln. Wenn du deine Adresse übersendest erst recht. Am besten du nutzt 4k PGP Keys. Wenn du nicht weißt, wie du die mit einem Linux System generieren kannst, Google. Ich persönlich kann nur höchstens davon abraten, etwas zu kaufen. Ich weiß ungefähr, wie das Klientel meines Blogs aussieht und ich weiß, dass die meisten Leute nicht mal wissen, was das OSI Modell ist und wer dieses grundlegende IT Verständnis nicht hat sollte sich auch nicht in die tiefe Welt des Paralellinternets bewegen. Davon abgesehen, du musst dich um die anonyme Beschaffung von Bitcoins kümmern. Kreiere ein Offline Bitcoin Wallet mithilfe der offiziellen Bitcoin Software. Achte beim Starten darauf, dass du keine Internetverbindung hast. Die ID wird dennoch erstellt. Die wallet.dat-Datei sollte gut abgesichert werden, ein sehr langes Passwort nutzen und ebenfalls auf dem TrueCrypt Container gespeichert werden, auf dem auch die PGP-Secret Keys liegen – alternativ kann man natürlich auch einen Hidden-Container auf dem bestehenden Container erstellen – hier sind der eigenen Fantasie kaum Grenzen gesetzt. Wenn man Bitcoins kauft und beispielsweise bitcoin.de nutzt sollte man sich vorher zwei, drei Alibi-Wallets angelegt haben. Sobald die Bitcoins auf dem Start-Wallet eingegangen sind verschiebt man diese vom „offiziellen und im Clearnet eingerichtetem“ Wallet auf ein Wallet, welches man auf dem besagten Laptop erstellt hat, während eine Internetverbindung aktiv war (mit VPN+TOR). Von dort aus verschiebt man die Coins auf die anderen angelegten Wallets. Dieses Doing nennt man Mixing, andere würden es als Geldwäsche bezeichnen. Da es hierfür noch gar keinen klaren Gesetze gibt sollte das ganze einigermaßen einfach sein. Da deine Wallet ID niemals mit deiner IP zugeordnet ist, bist du eigentlich (!!!) eh auf Nummer sicher, wäre da nicht die Blockchain, in der alle Transaktionen für immer öffentlich rumliegen. Das Mixing hat den Sinn und Zweck den Empfänger zu verschleiern. Da ja nur eine Wallet-ID einigermaßen sicher dir zugeordnet werden kann, die anderen aber nicht, bekommt man hierdurch einen gewissen Vorteil.

An und für sich ist bitcoin.de eine gute Möglichkeit, Coins zu kaufen, meiner Ansicht nach ist das allerdings die einzige Schnittstelle und Verbindung zwischen persönlichem Reallife und der Darknet Identität.

Mit dem Laptop sollte man niemals im Home WiFi eingeloggt sein, der Laptop sollte niemals unbeobachtet lassen und ganz wichtig: wenn du im Starbucks oder sonst wo damit sitzt, lass dich nicht beobachten. Log dich nicht auf Facebook oder Gmail ein, nutze keine Dienste von denen bekannt ist, dass Sie mit der NSA zusammenarbeiten. Benutze den Laptop _ausschließlich_ für die Nutzung des Deepnets oder alternativ für welchen Verwendungszweck auch immer.

Für Mails empfehle ich Safe-Mail.net, registriere dich dort, wenn du in einem dieser WLAN Netze bist und die Verschlüsselung passt. Lass dir einen Usernamen einfallen, den du noch nie verwendet hast. Nimm abstrus lange Passwörter, hämmer auf der Tastatur herum oder sonst was und speichere Nutzername + Passwort in KeePass, da dies als einigermaßen Sicher gilt. Das letzte was du willst ist ja schließlich, dass niemand deine richtige Identität raus bekommt und mit _niemand_ meine ich auch wirklich niemand.

Wenn man all dies beachtet und wirklich großen Wert auf Anonymität legt, dann vermute ich, dass es sehr schwer sein dürfte, die einzelnen Datenpakete einer Person zuzuordnen und man sollte sich sicher im Darknet aufhalten können, ohne sofort Besuch vom ortsansässigem Law Enforcement erwarten zu müssen.