Schwarzes Halle

Schau doch mal nach, wo der Firmensitz ist, und wo es gegründet wurde.

Nun gut, ich mache mir bei Amerika und Israel schon Gedanken.

ICQ ist nicht Sicher! Es gibt einige ICQ Sniffer...der Einsatz ist auch Denklich einfach... hab so was mal in einer Firma installiert. Man konnte dann genau sehen, welcher ICQ Nr mit welcher ICQ Nr schreibt...und vor allem was geschrieben wird. Also auf Arbeit lieber kein ICQ...auch kein Web-ICQ einsetzen... die IT könnte mitlesen.

Ein Internetscan ist mit ziemlicher Sicherheit auch möglich...aber mal ehrlich... wem interessiert es was Mr. Bullterrier mit irgendeiner Blondine... oder Blackmom mit Ihrer Tochter schreibt? Auch wenn es möglich ist, denke ich mal, dass das Allgemeininteresse an Menschen in unserer Klasse relativ gering ist.

Also, ich glaube, da müssen wir ein paar Dinge von den ganzen Sachen trennen.

Erstens. Das Urheberrecht ist in Deutschland nicht abtretbar. Das heißt, Du kannst auch im Nachhinein noch immer selbst entscheiden, was mit den Daten passiert. In Deutschland zumindest.

Zweitens. ICQ hat sicherlich die Möglichkeit, einzelne Messages zu filtern. Letztendlich steckt da eine ganz normale Messanger-Technik dahinter. Aber normale User haben diese Möglichkeit nicht. Die Zeiten von Nukern und Sniffern sind vorbei und selbst diese Programme haben es in den 90ern lediglich geschafft, das Programm zum Absturz zu bringen, mehr jedoch nicht. Daten können von fremden Usern nicht wirklich ausgelesen werden.

Drittens sind mittlerweile die meisten MessangerClients mit 128-Bit-Verschlüsselungen ausgestattet. Das Problem ist lediglich, dass sie untereinander nicht kompartibel sein müssen, ein Teil der Strecke - zum Beispiel vom Server zum Empfänger kann durchaus auch mal unverschlüsselt versendet werden, falls derjenige einen anderen Client verwendet. Wirklich sicher ist nur eine 256Bit-Verschlüsselung. Musst Du mal schauen, ob das ein Client schon bietet. Miranda lag bei Verschlüsselungen immer vorne. Kann sein, dass das noch immer so ist. Aber selbst mit 'ner 128-Bit-Verschlüsseleung bekommst Du in Firmennetzwerken keine Probleme. Netzwerktools wie Wireshark&Co. können mit den verschlüsselten Daten nichts anfangen.

Viertens. Wenn Du Text wirklich sicher verschicken willst, nutze eine 256-Bit Verschlüsselung für Deine E-Mails mit einer PGP-Software (Pretty Good Privacy). Soweit ich weiß, ist die derzeit noch nicht knackbar. PGP liegt in der stabilien Version 9.6 vor und ist kostenfrei. Es wird zwar als Shareware vertrieben, doch gibt es nach der 30-Tage-Frist keine grundlegenden Einschränkungen.

Wen Du etwas Ahnung hast, kannst Du über PGP auch Deine ICQ-Messages verschlüsseln. Hab ich noch nie probiert, soll aber funktionieren. Im Übrigen gibt es dazu auch ein separates Freeware-Tool, aber auch das habe ich noch nie probiert und ich habe auch keine Ahnung, ob das noch mit aktuellen ICQ-Versionen zusammenarbeitet: PGP-ICQ 0.95 - da wie bei jeder ordentlichen Verschlüsselung mit symetrischen und asymatrischen Schlüsselparen gearbeitet wird, brauchen natürlich beide Kommunikationspartner eine Möglichkeit, Nachrichten zu ver- und entschlüsseln.

Fünftens: Die Sache mit der IP-Adresse ist nicht so einfach. In Zeiten von Vorratsdatenspeicherung wird jeder deutsche Provider Deine Verbindungsdaten für ein halbes Jahr aufbewahren. Das heißt, auch für die Staatsanwaltschaft ist damit nachweisbar, dass Du über ICQ online warst. Was sie über die IP-Adresse nicht sehen, ist, mit wem Du geredet hast. Dazu brauchen sie zusätzlich die Daten des ICQ-Servers. Aber auch hier gibt es eine Möglichkeit. Du kannst Deine Verbindung mit dem kostenfreien Anonymisierungstool TOR anonymisieren. Wenn Du dann über den Browser ICQ2GO aufrufst, also die webbasierte ICQ-Version, ist die Sache mit der IP-Adresse kein Problem mehr, da Du über das TOR-Netzwerk eine fremde IP - meist aus einem anderen Land - zugewiesen bekommst. Aber nicht vergessen, dass Du dann einen separaten ICQ-Account nutzen solltest. Benutzt Du Deinen richtigen, weiß ja jeder wieder, wer Du bist, sofern sie Dich schon auf dem "Kieker" haben. Tor gibts übrigens auch als Portable-Version für den USB-Stick (ideal für Büro-Rechner).

So, genug geschrieben.

Na ja, das war eine allgemeine Antwort auf eine allgemeine Frage. Was willst Du konkretisiert haben? Ok, also, Schritt für Schritt zu einem relativ sicherem ICQ:
(Ich habe jetzt diesen ganzen Text noch einmal umgeschrieben, da es in der neuen Portable-Version zu einigen Besonderheiten kommt.)

01. Lade die den MultiMessanger PidGin als USB-Stick-Version herunter (Portable)

http://www.chip.de/downloads/Pidgin-Portable_20733102.html

02. Stecke einen leeren USB-Stick hinein
03. Starte die Datei, folge der Installation
04. Öffne dann auf dem USB-Stick das Programm und richte Deinen ICQ-Account ein.

05. Lade Dir das PlugIn für die Verschlüsselung herunter:
http://sourceforge.net/projects/portable…af.exe/download

06. Starte die Installation - installiere das PlugIn in das PidGin-Hauptverszeichnis auf dem Stick

07. Schaue in dein PdGin unter Werkzeuge - PlugIns - aktiviere OTR und klicke auf "PlugIn konfigurieren" ...

Fertig. Die Gegenseite muss das natürlich auch machen. Vorteil von PidGin-Portable ist es, dass Du es direkt vom Stick startest und keine Daten auf einer (Büro)Festplatte oder so hinterlässt. Und die OTR-Verschlüsselung sorgt dafür, dass der jeweils andere Kommunikationspartner im Nachhinein nicht mehr identifiziert werden kann.

lila: tor ist kein allheilmittel und meiner meinung nach nur bandbreitenfressende augenwischerei unter dem deckmantel der scheinanonymitaet.

wenn du blackmom schon so mit technischen dingen ueberfaehrst, warum empfiehlst du keinen eigenen root-/vserver, auf den sich alle ssh-gecrypted einloggen, auf einem eigenen irc-/icq-server haengen, der maximal via localhost einen login erlaubt? oder.. direkter ip-zugang, proxy/vpn irgendwo auf den kaiman-inseln. abrechnung ueber briefkastenfirma und nummernkonto. das sollte der erste schritt sein.. bei dem die jeweilige gegenseite mitzieht. hach, der aufwand wieder.. hm?

tor ist definitiv nicht die loesung, um anonym zu sein. java, flash kann, wenn es nicht auch ueber den tor-proxy geroutet wird, einfach via zb cookies deine richtige ip loggen. google gibt einen scheiss auf tor-verbindungen. ach ja, "normale" cookies koennen die wirkung von tor ebenso ficken.. alles in allem: wenn du mit tor anfaengst, hast du noch zig andere tools auf der platte, um wirklich alle moeglichen luecken zu schliessen.. und das zum preis eine scheinbar! versteckten ip? herje..

alles zwischen dir und dem ersten tor-node sowie dem exit-node und dem eigentlichen zielrechner ist unverschluesselt. juhu. sniffer auf den exit-node und gut. exit-nodes kann ja jeder ohne probleme einrichten, weißt du sicherlich. weißt du auch, warum das nicht so wirklich gern gemacht wird? genau, weil wenn zb jemand ueber diesen (deinen) rechner ins netz geht und kipo anschaut, die gruenen dann zuerst bei dir klingeln. wer sollte sich daher freiwillig einer solchen situation aussetzen? wohl nur leute, die interesse an einer gegenleistung, also deinen daten, haben. wuharrrr. boese leute. aber so ist das internet nun mal.. abhilfe? https von anfang an. aber das bieten leider nicht alle seiten:)

ach ja.. exit-nodes koennen dich ohne probleme auf falsche seiten leiten.. phishing und co? komprimittierte applets/software? oweh.. das ist glaub etwas zuviel fuer jemanden, der sich nicht wirklich viel und gern mit diesen dingen beschaeftigt.

daher.. black mom: anonymitaet im netz gibt es fuer den hausgebrauch nicht wirklich und ist eine scheinillusion. trackbar ist so gut wie alles.. daher die frage: was moechtest du genau tun? nur verschluesselt chatten?

gruß, marco
bundesnerd

Da hast Du aber schön die Tor-Warnung-Tabelle auswendig gelernt. Google ansich hat damit nichts zu tun. Jeder Aufruf einer Google-Seite wird über den Tor-Proxy geleitet, und zwar anonym. Toolbars sind eine andere Sache. Java und Flash werden NUR über den Tor-Button geblockt, sonst nicht. Mag sein, dass die Frage im Raum steht, ob die Programme der Plug-Ins dann die richtige IP abfragen, aber was soll das einem Angreifer im ICQ nutzen? Wie viele Hände müssten dann zusammenarbeiten, um diese Daten abgleichen zu können? Und vor allem: Welche zeitliche Aufwand müsste betrieben werden?

Also grundsätzlich. Tor ist vor allem für den privaten Gebrauch entwickelt worden - es läuft eben auch über private Rechner. Das was Du vorschlägst - wenn auch in Ironie - ist nicht alltagstauglich. Punkt. Tor ist sicher! Und zwar wenn man konsequent einige Dinge beachtet, die man auch beim normalen Surfen beachten muss (wie zum Beispiel, dass man die Google Toolbar - oder jede andere - von Haus aus nicht installiert, Cookies wenn möglich unterdrückt, etc.). Und genau deshalb wollte ich das nicht ins Forum schreiben, sondern habe angeboten, mir eine PN zukommen zu lassen. Und eh Du Dich so weit aus dem Fenster lehnst, schau Dir bitte das Ausgangsproblem an. Tor war nur ein Randvorschlag meinerseits.

Und vielleicht noch allgemein betrachtet:
Das ganze Thema setzt sicherlich voraus, dass man sich mit der Sache beschäftigt und sich selbst sensibilisiert. Aber es geht eben nur, indem man erst ausprobiert und dann vertieft. Vor allem, wenn sich User wie BlackMom neu mit der Problematik beschäftigen. Mit Tor haben Entwickler eine kostenfreie Möglichkeit geschaffen, sein Recht auf Anonymität im gewissen Rahmen zu nutzen. Das alles von Dir mit ein paar Argumenten aus einer kleinen Tabelle niederzumachen, wirkt so, als wenn Du Dich kein bißchen damit auseinandergesetzt hast.

cute.. ich muß nichts auswendig lernen oder nachplappern, womit ich mich vor ein paar jahren intensiv beschaeftigt habe - sowohl als aktiver user, als auch als exit-node-(co)-betreiber verschiedener server, inklusive hausbesuch. vor diesem hintergrund moechte ich gern diskutieren und stehe grundsaetzlich, sicher auch aus den gemachten erfahrungen heraus, solchen thematiken kritischer gegenueber.

tor lutscht schwaenze in sachen "anonymitaet" und bietet mehr angriffsflaeche, als das es den nutzen bringt, der gemeinhin propagiert wird. die notwendigen einstellungen, nach- und einsicht in das eigene system sind zu tiefgreifend, um eine box grundlegend abzusichern. wobei danach dann immer noch die bereits erwaehnten dinge offen im raum stehen (siehe zb unverschluesselte verbindungen).

exit-nodes sehen nun mal den unverschluesselten traffic. dieser kann gesnifft und umgeschrieben weitergeleitet werden. gefahren? die richtige ip ist nachvollziehbar und durch simples dns-spoofing koennte deine anfrage an zb myspace.com/webmail.de/icq.com/-login auf einen fake-login geleitet werden, du deine daten eingeben und ich - tata - deine letzte mail von mutti oder die letzten angebote von amazon lesen koennen.

trotz irgendwelcher tool(bars) koennen dennoch durch java/flash/bla sockets aufgebaut werden, die den proxy schlichtweg umgehen - auch, wenn alles ordentlich eingestellt wurde.

google: metasploit project

ging es in deinem vorherigen posting nicht auch um die wichtigkeit des versteckens der ip? diese ist und bleibt illusorisch. im echten leben kannst du dir zwar auch eine maske aufsetzen, an deinen ohren erkennt man dich dennoch. schlechter vergleich, aber er sollte an dieser stelle hier ausreichend sein.

so sehr du die kaiman-insel-loesung auch beschmunzelst - es ist letztlich der einzig richtige ansatz. alles andere ist zeitverschwendung in sachen ip-verstecken.

ueber verschluesselte kommunikation an sich, chatten und mailen, haben wir jetzt noch gar nicht wirklich gesprochen.. aber lassen wir black mom erstmal ihre eigentliche anforderung definieren. denn grundlegende verschluesselung eines chat ists zb auch via skype moeglich. warum eine ip versteckt werden muss? mh. interessante grundsatzfrage.

Exit-Nodes hin oder her - Du hast Recht, aber das Abgleichen des Eingangsmaterials und des Ausgangsmaterials ist exorbitant utopisch! Vielleicht nicht bei JAP, aber bei Tor. Der Aufwand ist enorm. Ich sage nicht, dass es nicht machbar ist, aber es wird keiner machen. Weil so gut wie niemand über die technischen Voraussetzungen verfügt - theoretisch müssten verschiedene Knoten überwacht werden - da müssten also mehrere Betreiber zusammenarbeiten, die dann hoffen, dass die Kommunikation über genau ihren Knoten erfolgt.

Nein, es ging EBEN NICHT um die Wichtigkeit, eine IP zu verstecken. Darum: Randproblem! Weil die Verschlüsselung von Inhalten meines Erachtens wichtiger ist, als zu versuchen, die eigene IP zu verbergen ...

Zitat von »m«

tor lutscht schwaenze in sachen "anonymitaet" und bietet mehr

Mehr muss wohl nicht zu Dir gesagt werden ...

Tor zur "Verschlüsselung" von ICQ ist ja nun völliger Quark. Das geht nur wenn man einen ICQ-Client hat, der verschlüsselt, bevor der Datenstrom aus dem Programm rausgeht. Das funktioniert dann aber nur, wenn beide dasselbe Programm haben, ist also für einen breiten Einsatz völlig ungeeignet. Man sollte sich einfach klar machen, daß ICQ äußerst einfach abzuhören wäre. Natürlich gehört da ein gewisses Wissen dazu. Mehr sag ich dazu aber nicht, ich möchte ja keine Hacking-Anleitung liefern.

Zitat von »Darth Lommel«

Tor zur "Verschlüsselung" von ICQ ist ja nun völliger Quark. Das geht nur wenn man einen ICQ-Client hat, der verschlüsselt, bevor der Datenstrom aus dem Programm rausgeht. Das funktioniert dann aber nur, wenn beide dasselbe Programm haben, ist also für einen breiten Einsatz völlig ungeeignet. Man sollte sich einfach klar machen, daß ICQ äußerst einfach abzuhören wäre. Natürlich gehört da ein gewisses Wissen dazu. Mehr sag ich dazu aber nicht, ich möchte ja keine Hacking-Anleitung liefern.

Klar ist das Quark. Hat auch niemand behauptet!

es ging nicht um den aufwand, sondern die grundsaetzliche diskussion um die sinnhaftigkeit von tor:)

ich ziehe das "aengste schueren" dem blinden vertrauen in eine mit problemen behaftete technologie vor. nur durch angst startet man die kritische auseinandersetzung mit zb solchen thematiken. blindes hinterherlaufen und keine/wenig ahnung von der materie bringt nichts.

aber gut, wenn wir uns jetzt einig sind. wollen wir noch ein wenig ueber datenverschluesselung unterhalten?

ps: was muss nicht mehr zu mir gesagt werden? ich lutsche keine schwaenze. oder bist du verwirrt, weil ich "anonymitaet" geschrieben habe?



sei mal nicht so stino:)

Zitat von »m«

es ging nicht um den aufwand, sondern die grundsaetzliche diskussion um die sinnhaftigkeit von tor:)

Da hast Du wohl etwas falsch verstanden. Es ging um eine "praktische" Anfrage und meine "praktisch ausgelegte" Antwort. Dass theoretisch alles möglich ist, brauchst Du mir und anderen nicht verdeutlichen. Aber das ist unrelevant, wenn ein privates Forenmitglied X über eine mit Tor anonymisierte Verbindung Informationen auf einer Internetseite abfragen will. Da ist es "schnurzpiepegal" ob ein Applet oder sonst etwas die richtige IP "nach Hause" sendet. Und die mit Tor mitgelieferten Firefox-Versionen unterbinden nicht umsonst Flash und Java, besitzen keine Toolbars und zeigen auch sonst keine schädlichen Inhalte an, die die echte Adresse auf dieser einen Seite abgreifen können. Also kein Grund zur Panik-Mache bei Privatanwendern! Wer darüber hinaus an der Problematik interessiert ist, wird dummerweise auch nichts mit Deinen Erkärungen anfangen können, weil sie im Slang unverständlich und anzüglich sind und die technischen Begriffe erst einmal geklärt werden sollten. Da ist leider jede Hilfeseite besser. Tut mir leid.

Zitat

ich ziehe das "aengste schueren" dem blinden vertrauen in eine mit problemen behaftete technologie vor. nur durch angst startet man die kritische auseinandersetzung mit zb solchen thematiken.

Nein. Muss es nicht. Weil hier keiner, der sich kaum mit dem Internet auskennt, etwas mit Deinen Statements anfangen kann. Es sprengt die Diskussion um die Ausgangsfrage. Wer an Tor oder was auch immer interessiert ist, kann sich kritisch damit auseinandersetzen, wenn er objektiv an die Sache herangeht und sich Stück für Stück die Informationen "anrecherchiert". Das zeichnet einen Lernprozess aus. Du willst aber hier Nutzer überzeugen, der vielleicht noch gar nicht wissen, worum es geht. Und deshalb halt ich diese - Deine - Diskussion für unpassend. Dann mach einen eigenen Tor-Thread auf und dann können wir da gerne weiterdiskutieren. Aber hier bringt es nichts, zu analysieren, wo es Stärken hat und an welchen Anwendungen es scheitert.

Zitat

aber gut, wenn wir uns jetzt einig sind. wollen wir noch ein wenig ueber datenverschluesselung unterhalten?

Da muss nichts beredet werden. Ich habe dazu meine Meinung bereits oben geschrieben. Fast alle Clients bieten bereits eine Verschlüsselung. Egal ob Skype, Miranda oder ICQ - über dazuinstallierbare PlugIns oder nicht - wie auch immer. Und ich wüßte jetzt nicht, warum ich mit Dir hier diskutieren sollte, warum bestimmte Verschlüsselungsmethoden besser sind als andere.

Zitat

ps: was muss nicht mehr zu mir gesagt werden? ich lutsche keine schwaenze. oder bist du verwirrt, weil ich "anonymitaet" geschrieben habe?

Ich mags eben nicht, wenn Leute, die Interesse an einer Diskussion andeuten, versuchen, mit Gossen-Jargon zu punkten.

Zitat

sei mal nicht so stino:)

Sieh Du lieber erst einmal die Gesamtzusammenhänge.

Allein die Erwähnung von Tor in diesem Zusammenhang hier ist aber schon völlig sinnfrei. Der effektivste Angriff auf ICQ erfolgt schon lange, bevor irgendwelche Anonymisierer in Aktion treten.

aaalso mit einem etwas technischer angehauchten hintergrund hattest du angefangen und wenn mir nachplapperei unterstellt wird, gehe ich davon aus, dass ich etwas mehr aus dem vollen schoepfen kann. einfach nur deswegen. mir ist bewusst, dass das hier eine sehr spezielle thematik ist, fuer die sich nicht viele begeistern wollen.

slang hin, slang her. es ist auf den punkt gebracht, man muss nicht immer aufsaetze schreiben;)

ich bleibe auf dem standpunkt, dass angst durchaus ein motor fuer die beschaeftigung mit zb internetsicherheit sein kann. ist alles schick, alles schoen, setzt sich niemand damit auseinander. aehnlich wie mit dem rauchen, krebs.. oder sex ohne kondom, krankheiten und schwangerschaft. herje. oder ist dieser vergleich wieder zu gossen-maessig?


schade wegen der verschluesselungsdinge. ich dachte, endlich einen augenscheinlich kompetenten gespraechspartner gefunden zu haben:)


fuer mich closed hier. bis zum naechsten thread, lieber l&d!


edit: lommel: jep, ist abgeglitten. sorry.