Category - Allgemein @en

1
WebRTC: Viel Wind um Wenig
2
Überwachung hui, Street View pfui?

WebRTC: Viel Wind um Wenig

Es rauscht kräftig im Online-Blätterwald: Browser-Videochat macht VPN-Schutz löchrig, heißt es dort. Oder: Firefox und Chrome verraten originale IP-Adresse. Oder: Deanonymisierung via WebRTC. Allerdings: Viel dran ist nicht, zumindest nicht, wenn man/frau hinter einem Router sitzt (wie 99 % aller Anwender) – und selbst in den Fällen, in denen die Meldungen Substanz haben, lässt sich das dazugehörende Problem mit wenig Aufwand komplett beheben.

Theoretisch betroffen vom derzeit hektisch diskutierten ‘WebRTC-Leak’ sind in den beschriebenen Szenarien alle Internetanwender, die einen aktuellen Webbrowser mit WebRTC zum direkten Videochatten verwenden, also in erster Linie Firefox und Chrome. Dort kann man das Protokoll zum Herausfiltern der originalen IP-Adresse eines Anwenders verwenden – trotz VPN.

Praktisch betroffen sind hingegen einzig Anwender, die sich direkt mit einem Modem ins Internet einwählen, da WebRTC so auf die verbaute Netzwerkkarte und die dort eingetragenen Adressen zugreifen kann. Mehr als 99 % aller Internetnutzer befindet sich allerdings hinter einem Router wie einer Fritz!Box, der nicht via WebRTC durchdrungen werden kann, und man/frau somit auch beim Nutzen der genannten Browser auf der sicheren Seite sind. Auslesbar sind bestenfalls die zu Trackingzwecken komplett wertlosen lokalen IP-Adressen des hauseigenen Netzwerk wie bspw. 192.168.178.xxx, die in jedem Netz gleichermaßen verwendet werden.

Selbsttest offenbart Lücke

Ob ein Browser das Auslesen der originalen IP-Adresse zulässt, kann jeder sehr schnell selbst herausfinden:

Starte CyberGhost und merke dir die angezeigte originale IP-Adressewebrtc01Öffne deinen Browser und besuche die Seite https://diafygi.github.io/webrtc-ips/. Dort werden dir verschiedene lokale IP-Adressen, wie sie in Millionen anderen lokalen Netzwerken zur gleichen Zeit zu finden sind, sowie deine originale IP-Adresse angezeigt.webrtc04Schließe den Browser (oder zumindest den Tab und drücke ‘F5’ auf der Tastatur).

Verbinde dich mit einem beliebigen CyberGhost-Server.webrtc02Öffne deinen Browser erneut und besuche wieder die Seite https://diafygi.github.io/webrtc-ips/. Dort findest du jetzt jetzt neben den bereits vorher sichtbaren verschiedenen lokalen IP-Adressen (die zum Tracking wertlos sind) nun nur noch die von CyberGhost verliehene neue IP-Adresse. Deine originale bleibt nach wie vor verborgen.webrtc03Hinweis: Es ist wichtig, dass du die zweite Abfrage in einem neuen Fenster machst, da die Webseite ansonsten nur die neu erkannten Adressen den bereits bekannten hinzufügt.

Update: Wir haben ebenfalls eine Testseite für WebRTC-Leaks aufgesetzt, auf der du deine Browser auf die Schwachstelle abklopfen lassen kannst:

  • Starte deinen Browser ohne CyberGhost. Ist er betroffen, wird eine Warnmeldung ausgegeben, dass deine IP-Adresse sichtbar ist.
  • Schließe den Browser.
  • Starte CyberGhost, verbinde dich mit einem Server und warte 2 bis 3 Sekunden.
  • Starte deinen Browser erneut und drücke ‘F5’ auf der Tastatur, um den Browsercache zu leeren
  • Besuche die Testseite für WebRTC-Leaks wiederholt.
  • Wird deine originale IP weiterhin angezeigt, verfahre wie unten beschrieben und installiere das oder die benötigte(n) Plug-in(s).

Abhilfe für Modemnutzer

Modemnutzer, die einen der betroffenen Browser mit WebRTC verwenden, können sehr schnell Abhilfe schaffen:

  • Chrome: Lade und installiere die Erweiterung WebRTC Block.
  • Firefox Lade und installiere die Erweiterung Disable WebRTC oder nehme die notwendigen Einstellungen manuell vor :
    • Trage in der Adresszeile des Browsers die Zeile ‘about:config’ ein (ohne Anführungszeichen)
    • Bestätige, dass du die Warnung zur Kenntnis genommen hast
    • Suche nach dem Wert ‘media.peerconnection.enabled
    • Klicke doppelt auf den Eintrag, damit sich der Wert (Value) von true auf false ändert

Überwachung hui, Street View pfui?

Wir erinnern uns: Als vor einigen Jahren die Google-Autos mit ihren weit oben angebrachten Kameras Deutschlands Straßen kartographierten und dem hauseigenen Street View einverleibten, war die Empörung groß. Landauf, landab verfielen Hausbesitzer in nackte Panik, dunkle Elemente könnten die Daten nutzen, ihren nächsten Einbruch zu planen, und setzten alles daran, zumindest ihren Immobilienbesitz unkenntlich zu machen, wenn schon nicht, das komplette Projekt zu Fall zu bringen.

Was aber am meisten erstaunt: Zur gleichen Zeit, als Googles‘ Autos Häuserfassaden, Mauern, Hecken, Kinderspielplätze samt aktivem Straßenleben festhielten, notierte sich der Konzern auch die Kennungen der funkenden WLANs auf der Route. Trotzdem richtete sich der Protest einzig an das Ablichten des jeweiligen Eigentums, während die Schaffung der flächendeckenden WLAN-Karte weiträumig ignoriert wurde – obwohl sich mit einer solchen Karte die Standorte jener Internetreisenden erfassen lassen, die sich ansonsten beharrlich weigern, Google ihren Standort preiszugeben. Für Google eine einfache Sache: Weiß man, wo Nachbar A und C liegen, weiß man auch, wofür sich der dazwischenliegende B interessiert.

tinfoil

Was macht den Unterschied aus? Warum fürchten viele Menschen zwar, dass fiktive Feinde mit Googles Hilfe einen Panzer in ihren Vorgarten schicken könnten, bleiben bei realen starken Einbrüchen in ihre Privatsphäre aber erstaunlich gelassen? Wieso raubt der Gedanke an Diebe im Gartenhäuschen den Menschen eher den Schlaf als die Tatsache, flächendeckend von der Wirtschaft, dem Staat und Geheimdiensten (die offenbar ein Eigenleben neben dem Staat führen) ausspioniert zu werden? Wieso üben sich so viele Menschen eher im Wegducken, als auf ihre Rechte zu pochen? Rechte, für die immerhin vorige Generationen einen hohen, oftmals blutigen Preis bezahlt haben.

Mangelnde Phantasie? Möglicherweise, denn nur wenige vermögen sich vorzustellen, wie leistungsfähig technische Systeme heutzutage sind und wie sie aus Kauf- und Surfgewohnheiten sexuelle Vorlieben und im Endeffekt auch die nächsten Pläne extrahieren, noch bevor man selbst es ahnt. Auch besitzen abstrakte Bezeichnungen wie ‚Big Data‘ wenig Aussagekraft, wenn das Verständnis von Privatsphäre bislang darauf beschränkt war, die Badezimmertür abzuschließen, wenn man auf dem Klo sitzt.

Unwissenheit? Auch zum Teil, wenngleich die Medien durchaus die Abschaffung der Privatsphäre (nicht nur im Internet) diskutieren und den ehemals geheimen, seit Snowdon aber offensichtlichen, Umbruch im Umgang ‚der Großen‘ mit dem kleinen Bürger thematisieren.

Dummheit? Wohl leider auch zu einem Teil, denn das Nachplappern von Phrasen, mit denen berechtigte Einwände wegdiskutiert werden (‚Wer nichts zu verbergen hat …‘), ersetzt leider keine Beschäftigung mit dem Thema.

Bequemlichkeit? Muss auch angeführt werden, denn die Einsicht, dass sich Wirtschaft und Staat mehr und mehr Rechte herausnehmen und zusehends Bereiche in Beschlag nehmen, die ihnen eigentlich verschlossen bleiben sollten, erzwingt Gegenmaßnahmen, egal welcher Art: Politische Umorientierung, bewussteres Verhalten im Internet, Verschlüsselung.

Desinteresse? Scheint ebenfalls ein Grund dafür zu sein, dass die Gefährdung der Bürgerrechte nicht oder nur als Small Talk-Element wahrgenommen wird. Solange sich Ü-30er wie 20-jährige (die ein angeborenes Recht darauf haben) nur für die nächste Weekend-Party interessieren, bleiben die Bestrebungen der Profiteure einer geschwächten Privatsphäre natürlich ungestört.

Fatalismus und Schicksalsergebenheit? Angst, sich verdächtig zu machen? Zeitmangel? Zu sehr mit Überleben beschäftigt? All das wohl auch – wobei dann die Frage im Raum steht, wer denn eigentlich nichts gegen die all-umfassende Überwachung unternimmt, weil er oder sie tatsächlich Angst vor Terroristen hat? Zumal dies die einzige Gruppe zu sein scheint, für die man dieses Werkzeug offenbar benötigt. Andere Ziele wie Pädophile und Cyberkriminelle sind laut britischem Geheimdienst GHCQ sowieso unter dem Radar. Dort weigerte man sich sogar, einem Gericht Beweismittel zur Verfügung zu stellen. Begründung: ‚Man wolle nicht, dass die Bevölkerung erfährt, zu was man alles in der Lage sei.“

Wie seht ihr es? Was für Gründe macht ihr aus? Und, noch viel wichtiger: Was lässt sich dagegen tun? Wie kann man den beängstigenden Gleichmut weiter Teile der Bevölkerung aufbrechen? Was würdest du vorschlagen? Schreibe uns via howfightback@yahoo.com an und lasse uns an deinen Gedanken teilhaben.

Und da wir gerade dabei sind: Passend zum Thema die  Ausgabe der Red Couch über Bots, Hacks, Cyberattacken und deine Eltern:

(Deutsche Untertitel lassen sich nach einem Klick auf ‘Auf YouTube ansehen’ hinzuschalten)

Copyright © 2014. Created by Meks. Powered by WordPress.