David Chaum. Untraceable electronic mail, return addresses, and ...

Recherchieren ohne Spuren zu hinterlassen? 

Anonym surfen und mailen 

Vorabend-Veranstaltung des 

Datenschutz-Forums Schweiz 

27. Januar 2005 

Prof. Konrad Marfurt 

kmarfurt@hsw.fhz.ch 

Anonym recherchieren – Prof. Konrad Marfurt - © 2005 - 1 IWI 

IWI 

FACHHOCHSCHULE FACHHOCHSCHULE FACHHOCHSCHULE ZENTRALSCHWEIZ 

ZENTRALSCHWEIZ 

IWI —> > INSTITUT INSTITUT FÜR 

FÜR 

WIRTSCHAFTSINFORMATIK WIRTSCHAFTSINFORMATIK LUZERN 

LUZERN

Übersicht 

• Ausgangslage 

• Spuren (mit Demonstrationen) 

• Mail 

• Surfen im WWW 

• Anonymität (theoretisch) 

• Definition(en) 

• anonyme Kommunikation 

• Konzepte zur Anonymisierung 

• Proxy-Konzept 

• Mix-Konzept 

• Folgerungen und Ausblick auf Möglichkeiten 


IWI 




FÜR 


LUZERN

Ausgangslage 

• Spannungsfeld Abklärungspflicht – Bankgeheimnis 

• Unklarheiten: 

• Ausmass und Art der zurückgelassenen Spuren 

• Auswertbarkeit dieser Spuren 

• Individuelle Lösungsansätze: 

• Welche? 

• „Fussgänger-Lösung“: Isolierte Workstation unter Pseudonym 

• Abgrenzung (hier nicht zu behandeln): 

Absichtlich preisgegebene Informationen, z.B. 

• Kundenbeziehungen zu professionellen Auskunftsdiensten 

• Zahlungsmodalitäten bei deren Abgeltung (PayPal, Kreditkarten,..) 


IWI 




FÜR 


LUZERN

Anonymität der lokalen Installation wahren 

• Isolierte Geräte 

• „Gehärtete“ Konfiguration 

• Betriebssystem 

• Browser 

• Virenschutz 

• Cookies 

• Nicht akzeptieren 

• Löschen nach Bedarf 

• Webbugs (1x1 Bilder) 

• Führen zu Protokolleinträgen beim Server 

Diese Themen werden hier nicht behandelt 

Siehe z. B. http://www.heise.de/security/dienste/browsercheck/ 


IWI 




FÜR 


LUZERN

Mail-Spuren (Demonstration 1) 

• SMTP 

Simple Mail Transfer Protocol 

• Ein Fossil aus der Frühzeit des Internet 

• Keine Authentisierung 


IWI 




FÜR 


LUZERN

Den Mailserver direkt ansprechen (Demonstration 2) 


IWI 




FÜR 


LUZERN

Ergebnis im Postfach des Empfängers 


IWI 




FÜR 


LUZERN

Anzeige der Mail mit Header-Zeilen 


IWI 




FÜR 


LUZERN

Transportweg einer e-Mail 


IWI 




FÜR 


LUZERN

Beispiel: Mail-Header 

Keine Standard-Header, aber hilfreich! 

Von oben nach unten lesen 

(und vertrauen) 

Auf Genauigkeit und Zonen 

der Zeitangaben achten! 

Received: from SpoolDir by HWNS02 (Mercury 

1.47); 10 Sep 02 22:37:16 +0100 

Return-path: 

Received: from mx0.gmx.net (213.165.64.100) 

by hsw.fhz.ch (Mercury 1.47); 

10 Sep 02 22:37:06 +0100 

Received: (qmail 32722 invoked by uid 0); 10 

Sep 2002 20:37:07 -0000 

Date: Tue, 10 Sep 2002 22:37:07 +0200 (MEST) 

From: kmarfurt@gmx.net 

To: kmarfurt@hsw.fhz.ch 

MIME-Version: 1.0 

Subject: Webmail-Demo 

X-Priority: 3 (Normal) 

X-Authenticated-Sender: #0011112222@gmx.net 

X-Authenticated-IP: [147.88.186.131] 

Message-ID: 

X-Mailer: WWW-Mail 1.5 (Global Message 

Exchange) 

X-Flags: 0001 

Content-Type: text/plain; charset="us-ascii" 

Content-Transfer-Encoding: 7bit 

X-PMFLAGS: 34078848 0 1 Y0C056.CNM 

Ab gmx.net Acoount via Webmail 


IWI 




FÜR 


LUZERN

Datenspuren beim Versand von e-Mail 


IWI 




FÜR 


LUZERN

Wieso dann die SPAM-Plage? 

• SMTP-Schwächen 

• Keine Authentisierung 

• Postfach-Server der Empfänger nehmen Verbindung an 

• „Gutgläubig“ konfigurierte Server dienen als Relay 

• Sie sind oft unfreiwillig so „gutgläubig“ 

• Es gibt Viren mit eigenen SMTP Programmen 

• Header beliebig fälschbar, Vertrauen nimmt nach unten ab 

• Zurückverfolgen von oben nach unten 

• Nur bis zum ersten nicht vertrauenswürdigen Server sinnvoll 


IWI 




FÜR 


LUZERN

Spuren beim Surfen 

Zurückverfolgen des Weges: Server ⇒ Provider ⇒ Benutzer 


IWI 




FÜR 


LUZERN

Was „sieht“ der Zielserver? 

Zeitpunkt Browserkonfig. Name/IP- 

Betriebssystem Adresse 


IWI 

Anfrage 




FÜR 


LUZERN

Demonstration: Informationen des Zielservers 

Rückschlüsse auf: 

• Installierte SW 

• Herkunft des Links 

• Sprache 

• Betriebssystem 

• IP-Adresse 

• Benutzername, 

sofern erforderlich 


IWI 




FÜR 


LUZERN

Datenspuren beim Surfen: Übersicht 


IWI 




FÜR 


LUZERN

„Anonymität“ beim Surfen via Proxy 

Problem: 

Proxy-Betreiber hat volle Information! 

Angreifer brauchen nur den Proxy zu überwachen und die 

Log-Einträge zu kombinieren 


IWI 




FÜR 


LUZERN

Anonymität 

Duden: 

Nichtbekanntsein; Nichtgenanntsein; Namenlosigkeit 

Definition 1 von Andreas Pfitzmann / Marit Hansen: 

« Anonymity is the state of being not 

identifiable within a set of subjects, the 

anonymity set. » 

1 vgl: http://freehaven.net/anonbib/papers/Anon_Terminology_v0.17.pdf 


IWI 




FÜR 


LUZERN

Grad der Anonymität 

(1) unmöglich zuzuordnen 

(2) nicht zuzuordnen 

(3) möglicherweise zuzuordnen 

(4) wahrscheinlich zuzuordnen 

(5) zuzuordnen 

(6) sicher zuzuordnen. 

Reiter, M. K., Rudin, A. D., Crowds: Anonymity in Web Transactions, DIMACS Technical Report 

97-15, April 1997 


IWI 




FÜR 


LUZERN

Stärke der Anonymität bei der Kommunikation 

Ziel bei der Kommunikation: 

Unverkettbarkeit 

• Die Frage nach dem Angreifer: 

• Vor wem ist man wie anonym? 

• Wer kann die Anonymität aufheben? 

• Grösse der Anonymitätsmenge ist kritisch: 

• Ziel: Ununterscheidbarkeit der Handlungen der Nutzer 

• Zu kleine Anonymitätsmenge erhöht Risiken 

• Verkettbarkeit ausschliessen 


IWI 




FÜR 


LUZERN

Triviale Ansätze für e-Mail 

• Pseudonyme Mail-Accounts 

• Provider hat volle Kontrolle 

• Einige Gratisdienste dürften gerade deswegen gratis sein 

• Anonyme Remailer 

• Prinzip eines Mail-Proxy, auch Mail-Mix genannt 

• Gleiches Problem wie pseudonyme Mail-Accounts 

• Bietet nicht mehr Schutz als ein eigener Mailforwarder, der in 

einem fremden Netz betrieben wird und die Header abändert 

• Verkehrsüberwachung erlaubt einem Angreifer 

Korrelationen zwischen ein- und ausgehenden Mails 

• Statistische (Anzahl und Grösse ein-/ausgehender Mails) 

• Replay-Attacken (kopierte Nachricht nochmals einspeisen) 


IWI 




FÜR 


LUZERN

Lösungsansatz: Mix – Kaskade (Chaum 1981) 

David Chaum. Untraceable electronic mail, return addresses, and digital 

pseudonyms. Communications of the ACM, 24(2):84--88, 1981. 


IWI 

Angreifer 




FÜR 


LUZERN

Eigenschaften der Mix-Kaskade 

• Nur der erste Mix kennt den Sender 

• Nur der letzte Mix kennt den Empfänger 

• Alle anderen kennen nur ihre beiden Nachbarn 

• Vertraulichkeit wird durch Verschlüsselung erreicht: 

• Verschlüsselung in „Zwiebelschalen“ für jeden Mix 

• Das Verfahren erlaubt auch anonyme Rückantworten 

• Beim Versand wird eine Einmal-Antwortadresse erzeug 

• Diese wird umgekehrt verschlüsselt 

• Empfänger kennt nur Antwortadresse des letzten Mixes 

• Wenn verschiedene Mix-Wege gewählt werden können, 

spricht man von einem Mix-Netz 


IWI 




FÜR 


LUZERN

Mailtransport via Mix-Netz 


IWI 




FÜR 


LUZERN

Angriffe auf Mix-Netze 

• Statistische Analyse verhindert durch 

• Regelmässige Dummy-Nachrichten 

• Auffüllen der Nachrichten auf eine Standard-Länge 

• Replay-Angriff verhindert durch 

• Zeitstempel und ID# zu jeder Nachricht 

• Replay-Filter bei jedem Mix 

• N-1 Angriff (alle Nachrichten im System stammen bis auf 

eine einzige vom Angreifer) verhindern durch 

• Schubartige Verarbeitung und zeitliche Umsortierung 

• Nicht alle Nachrichten eines Schubes vom gleichen Teilnehmer 

• Fazit: Mixe gewähren Anonymität, wenn nicht alle zusammen 

korrupt sind (oder alle von Big-Brother überwacht) 


IWI 




FÜR 


LUZERN

(Zwiebelschalen-)Aufbau einer Mix-Netz-Mail 

Mail an Remailer A des Mixes 

AES key 1 

AES key 2 

AES key 3 

Mit RSA für A verschlüsselt: 

Zieladresse: Mix B 

ID#: 123, AES key 1 

Mit RSA für B verschlüsselt: 

Zieladresse: Mix C 


Mit RSA für C verschlüsselt: 

„Letzter Mix für Mail# 1479“ 


** Pseudo Header zum Füllen ** 

Engültiger Empfänger 

Weitere Mail-Header 

… eigentliche Nachricht ….. 

** Füllzeichen zur Standardlänge ** 


IWI 




FÜR 


LUZERN

Surfen via Mixes: JAP Projekt der TU Dresden 

• Konzept maximaler Anonymität 

• Für das Durchlaufen der Mixe werden die Daten verschlüsselt 

• Auch gegen sehr starke „Angreifer“ anonym bleiben 

• Anfrage des einzelnen in Menge aller Benutzer versteckt 

• Kaskade von Mix-Proxies unabhängiger Betreiber 

• Selbstverpflichtung der Betreiber: keine Logs erstellen/austauschen 

• Einhaltung der Selbstverpflichtung liegt im Interesse des Einzelnen 

• Von n traversierten Mixes muss mindestens 1 Mix fair sein 

• In der Regel werden mindestens 3 Mixes traversiert 

• Realisiert durch das Client-Programm JAP 

„Java Anonymous Proxy“ 


IWI 




FÜR 


LUZERN

Funktionsprinzip von JAP („Java Anon Proxy“) 

Quelle: http://anon.inf.tu-dresden.de/desc/desc_anon.html 


IWI 

In diesem Bereich 

verschlüsselt JAP 

die Daten 




FÜR 


LUZERN

JAP Demonstration 

• „Anonymitätsmeter“ 

• Dresden-Dresden Mix 

• Anzahl Nutzer 


IWI 




FÜR 


LUZERN

Fazit 

• Anonymes Surfen und Recherchieren ist möglich 

• „Anonym“ bedeutet „in einer genügend grossen Gruppe 

nicht identifizierbar“ 

• „Genügend grosse Gruppe“? 

• Alle Internet-Nutzer meines Erachtens unrealistisch ($, Leistung) 

• Grosse Telcos unrealistisch (Vertrauen, Kontinuität) 

• Nischenanbieter wie FH Spin-Off haben gleiches Problem 

• Umsetzung als ganzes unrealistisch? 

• Nicht unbedingt! Gruppe Gleichgesinnter könnte genügen 

• (alle) CH-Finanzintermediäre? 

• Jeder trägt bei, jeder profitiert, Sabotage unrealistisch (n-1) 

• Hochschulnetz als Transportmedium denkbar 

• Projekt IFZ-FHZ oder IWI-FHZ denkbar.... 


IWI 




FÜR 


LUZERN

Web-Quellen (27. Januar 2005) 

• http://www.bsi.bund.de/literat/anonym/index.htm 

• http://anon.inf.tu-dresden.de/desc/desc_anon.html 

• http://anon.inf.tudresden.de/strafverfolgung/index_de.html 

(BKA vs. 

AN.ON) 

• http://anon.inf.tu-dresden.de/strafverfolgung/policy.pdf 

• http://conventions.coe.int/Treaty/en/Treaties/Html/185.ht 

m 

• http://www.csua.berkeley.edu/cypherpunks/remailer/ 

• http://www.securitylimit.com/cyberpunk/ 

• http://anon.free.anonymizer.com/ (free proxy) 



• Anonym recherchieren – Prof. Konrad Marfurt - © 2005 - 31 IWI IWI IWI —> > INSTITUT INSTITUT FÜR 

FÜR 

http://kris.koehntopp.de/artikel/datenspuren/CR_Datenspu 


LUZERN

Fragen und Antworten 

kmarfurt@hsw.fhz.ch 


IWI 




FÜR 


LUZERN

David Chaum. Untraceable electronic mail, return addresses, and ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?