nerds

Digitale Selbstverteidigung

Sicherer browsen

| Bastian Ballmann

Spätestens seit Edward Snowden wissen wir, dass digitale Verschlüsselung unerlässlich ist, um sich vor Überwachung zu schützen. Im Dezember 2017 erschien in der GWR 424 als Grundlagen- und Einführungstext der erste Teil von Bastian Ballmanns GWR-Artikelserie zum Thema "Digitale Selbstverteidigung". Daran knüpft sein folgender Artikel an. (GWR-Red.)

Der Web-Browser ist das am meisten benutzte Anwendungsprogramm eines Computers.

Für viele ist das World-Wide-Web gleichbedeutend mit dem Internet, obwohl es nur einen Teil darstellt. Der Browser wird aber nicht nur für viele Anwendungszwecke verwendet, sondern ist neben dem E-Mail-Programm auch das häufigste Einfallstor für Viren, Würmer und andere Schadprogramme.

Er wird außerdem von kommerziellen Anbietern oder datenhungrigen Diensten wie Google und Facebook dazu benutzt, um möglichst viele Informationen über die Benutzer*innen zu sammeln. Gründe genug sich einmal genauer anzuschauen, was ein Web-Browser eigentlich ist und wie man ihn sicherer und anonymer verwenden kann.

Was ist eigentlich ein Web-Browser?

Der folgende Abschnitt soll dem tieferen Einblick dienen, ist aber zum Verständnis des restlichen Artikels nicht zwingend notwendig. Weniger technisch interessierte Leser*innen können diesen Teil also getrost überspringen.

Ursprünglich war ein Web-Browser ein Programm zur Darstellung von Webseiten, die im HTML-Format verfasst sind. Ähnlich wie bei einer Textverarbeitung definiert HTML Tabellen, Schriftarten und -größen, Überschriften, Bilder, Links etc. Dieser sogenannte Quellcode kann über die Tastenkombination Ctrl + u bzw. Strg + u angezeigt werden.

Heutzutage bestehen Webseiten aus weit mehr Komponenten als bloßem HTML, denn Webseiten sind mittlerweile selbst Anwendungen, die auf Benutzereingaben reagieren. Welche Techniken hierfür auf der Seite des Anbieters verwendet werden, geht weit über den Inhalt dieses Artikels hinaus. Auf Client-Seite – sprich Deinem Computer – wird vor allem Javascript und AJAX verwendet, um bestimmte Elemente ein- oder auszublenden, asynchron (manchmal ohne Dein Handeln) Informationen zu übermitteln oder bewegte Inhalte zu realisieren. Zusätzlich kann der Umfang eines Browsers durch Plugins erweitert werden. Die wichtigsten sind: Adobe Flash zum Abspielen von Videos, ein PDF-Plugin und Java.

Die neueste Version 5 von HTML bringt selbst die Funktionalität zum Abspielen von Multimedia-Inhalten wie Videos und Musik mit, weswegen Flash immer weniger eingesetzt wird. Das ist eine positive Entwicklung, da vor allem Adobes Plugins für Flash und PDF immer wieder durch schwerwiegende Sicherheitslücken aufgefallen sind.

Vergleich der verschiedenen Web-Browser

Die drei am weitesten verbreiteten Web-Browser sind: Microsoft Internet Explorer bzw. der Nachfolger Edge, Mozilla Firefox und Google Chrome. Schon die Wahl des Browsers kann entscheidend zur Sicherheit des Surf-Vergnügens beitragen.

Bei Microsofts Edge handelt es sich um proprietäre Software, dementsprechend ist der Anwender bei eventuellen Sicherheitslücken auf den Hersteller angewiesen, um diese zu schließen. Sowohl bei Mozillas Firefox, als auch bei Google Chrome handelt es sich um freie Software, die im Quellcode vorliegt, bei dem also potenziell jeder Programmierer Sicherheitslücken beheben kann.

Mittlerweile verwenden alle der genannten Browser Sandboxing-Funktionalität, d.h. sie versuchen den Quellcode einer Webseite in einen eigenen Bereich einzusperren.

Der Web-Browser Chrome war für diese Technologie der Vorreiter.

Jedes Jahr findet ein internationaler Contest mit dem Namen Pwn2Own statt, der die Sicherheit der Browser mit Hilfe von praktischen Hacking Angriffen vergleichbar macht (siehe https://securityzap.com/pwn2own-2017-chrome-remains-winner-browser-security/).

Im Jahr 2017 hat der Browser Edge am schlechtesten abgeschnitten, Chrome hingegen war zum wiederholten Male der klare Gewinner, weswegen der Autor dieses Artikels Chrome als Browser präferiert.

Manche mögen Chrome mehr der Datensammelei verdächtigen als Firefox, doch das ist nach den Erfahrungen des Autors nicht der Fall.

Maßnahmen zum Schutz der Privatsphäre

So ziemlich jeder moderne Browser spioniert seine Benutzer auf unterschiedliche Art aus. Netterweise ist man jedoch in der Lage dies abzustellen, vorausgesetzt man weiß wie.

Zuallererst sollte man die Option „Suche bereits beim Eintippen starten“ ausschalten. Die findet man bei Firefox unter Einstellungen, Erweitert, Allgemein. Bei Chrome versteckt sie sich ebenfalls in den erweiterten Einstellungen unter dem Punkt „Vervollständigung von Suchanfragen und URLs bei der Eingabe in die Adressleiste verwenden“. Ansonsten wird jeder Tastendruck in der URL-Zeile an Google gesendet.

Desweiteren gilt es „Navigationsfehler mithilfe eines Webdienstes beheben“ (bei Chrome im selben Menü) aus demselben Grund zu deaktivieren.

Wer nicht möchte, dass sich der Browser alle Webseiten merkt, die man aufgerufen hat, sollte zusätzlich noch die History- bzw. Verlaufsfunktion abstellen.

Ansonsten sollte man noch die Einstellung vornehmen, dass Cookies – kleine Textinformationen, die eine Webseite auf dem lokalen Computer speichert, um den Besucher wieder zu erkennen – automatisch löscht, wenn der Browser geschlossen wird. Bei Firefox versteckt sich diese Option unter „Datenschutz“ im Untermenü Chronik, sofern man „nach benutzerdefinierten Einstellungen anlegen“ ausgewählt hat. Bei Chrome findet man diese Möglichkeit in den erweiterten Einstellungen im Menü „Sicherheit und Datenschutz“ und dort im Untermenu „Inhaltseinstellungen“.

Zusatzfunktionen von Social Media Webseiten – allen voran Facebook – aber auch Google Dienste und ähnliche Anbieter werden gern von Webseiten-Betreibern eingebunden, um Dinge wie den Like-Button oder eine Webstatistik anzubieten. Dies hat zur Folge, dass die betreffenden Dienste dennoch ganz genau mitbekommen, auf welchen Seiten Du Dich bewegst und sogar, was Du darauf machst. Zum Glück gibt es sowohl für Firefox (https://addons.mozilla.org/de/firefox/addon/ghostery/) als auch für Chrome (https://chrome.google.com/webstore/detail/ghostery/mlomiejdfkolichcflejclcbmpeaniij?hl=de) das Ghostery Plugin, das automatisch derartigen Code im Browser blockiert.

Die Wahl der Suchmaschine kann ebenfalls viel zum Schutz der Privatsphäre beitragen.

Der Autor empfiehlt Google nur dann zu verwenden, wenn mit alternativen Suchmaschinen nicht das gewünschte Ergebnis erzielt wird. Als erstes bietet sich hier ixquick.com an, aber auch mit DuckDuckGo oder Swisscows lässt sich sehr gut suchen.

Alle bieten auch ein Addon an, damit Suchanfragen, die in die URL-Leiste eingegeben werden nicht mehr bei Google landen. Bei Chrome geht man hierfür auf die Webseite der gewünschten Suchmaschine, klickt mit der rechten Maustaste auf die URL-Leiste, wählt „Edit Search Engines“ und navigiert auf die drei Punkte neben der Suchmaschine. Jetzt kann man über „Make default“ sie als Standardsuchmaschine speichern. Für Firefox geht man in die Einstellungen in das Untermenu „Search“, wählt „Find more search engines“ aus, sucht den Eintrag für die Suchmaschine der Wahl und klickt auf „Add to Firefox“.

Moderne Browser bieten einen Inkognito-Modus an, der dafür sorgt, dass alle heruntergeladenen Dateien wie der HTML- und weiterer Code, Bilder etc., sowie der Verlauf und Cookies automatisch gelöscht werden. So kann man dem Browser generell erlauben eine Historie zu führen, bei kritischen Webseiten dies aber gezielt unterbinden.

Es sei noch angemerkt, dass ein digitaler Forensiker die Daten bei physischem Zugriff auf den Datenträger dennoch wiederherstellen kann, da sie nicht mehrfach mit Zufallsdaten überschrieben, also forensisch sicher gelöscht worden sind. Hier hilft es seine Festplatte zu verschlüsseln, was generell eine gute Idee ist (vor allem für mobile Geräte wie Laptops).

Maßnahmen zum Schutz vor Angriffen

Wie schon anfangs erwähnt ist der Web-Browser heutzutage eines der Haupteinfallstore für Schadsoftware. Es existieren sogenannte Exploit-Kits, die ein Angreifer sogar mieten kann, und die das Betriebssystem und Version, sowie alle Plugins auslesen und darauf basierend versuchen, über den Browser in den Computer einzubrechen.

Generell gilt: Was nicht installiert ist, kann nicht angegriffen werden. Insofern sollten nicht benötigte Plugins deinstalliert bzw. gar nicht erst installiert werden. Sollte Adobe Flash dennoch benötigt werden, gibt es für den Browser ein kleines Addon, das diese Technologie nur für vom Benutzer ausgewählte Webseiten erlaubt. Für Firefox empfiehlt der Autor „Flashblock“, bei Chrome „Flashcontrol“.

Viele Schadsoftware wird über Werbebanner verteilt, weswegen es absolut ratsam ist, ein Programm einzusetzen, das Werbung blockiert – nicht nur, weil sie generell nervig ist. Das bewährteste Addon hierfür ist sowohl bei Firefox als auch in Chrome „Adblock Plus“.

Über die Programmier-Sprache Javascript kann ein Webseiten-Betreiber oder ein Angreifer über eine unsicher programmierte Webseite Befehle in Deinem Browser ausführen, mit denen z.B. der Verlauf ausgelesen oder Daten aus Cookies ausgelesen werden können, bis hin zu Angriffen auf den Heim-Router oder das Klauen von Daten über die Ausnutzung der Spectre Sicherheitslücke (aka „Intel Bug“, der allerdings auch andere Prozessoren betrifft). Aus diesem Grund sollte Javascript nur von Seiten aus erlaubt sein, denen Du vertraust.

Hierfür gibt es unter Firefox das NoScript bzw. unter Chrome das ScriptBlock Plugin. Es bedarf anfangs etwas Mühe, die erlaubten Seiten einzustellen. Der Sicherheitsgewinn ist es jedoch alle Male wert.

Zu guter Letzt gibt es für Firefox noch die uBlock Erweiterung, die die Funktionalität von Adblock und Ghostery kombiniert.

Anonymität

Zum Schutz der Privatsphäre oder zur Umgehung von Überwachungs- und Zensurmaßnahmen ist es manchmal ratsam oder gar nötig Webseiten von einer fremden IP aufzurufen, denn Webserver speichern fast immer die IP-Adresse des Aufrufers und manche bieten ihre Dienste nur für Besucher aus einem bestimmten Land an. Und das Geheimdienste gerne alle Daten auf den Verbindungscomputern (Routern) des Internets mitlesen, sollte dank Snowden (siehe GWR 424) mittlerweile allgemein bekannt sein.

Die einfachste Möglichkeit besteht darin, einen sogenannten Proxy-Server einzutragen, der stellvertretend für einen selbst die Anfrage auf die entsprechende Webseite weiterleitet. Mögliche Adressen von Proxy-Servern finden sich im Internet z.B. unter der Seite free-proxy-list.net.

Bei Firefox trägt man die IP-Adresse und den Port des Proxies in den generellen Einstellungen unter Network-Proxy ein. Bei Chrome findet man diese Option unter Erweitert, System, Proxy-Einstellungen.

Falls Du Dich hinter einer Firewall befindest, die den entsprechenden Port für den Proxy sperrt, gibt es auch die Möglichkeit einen Webdienst als Proxy zu verwenden. Hier bietet sich hide.me an.

Alternativ kannst Du auch Archivierungsdienste wie web.archive.org oder den Google Cache zum besuchen von Webseiten verwenden.

So bekommt der Webserver Deinen Besuch erst gar nicht mit, Du siehst allerdings wahrscheinlich auch nicht die allerneueste Version. Zum verwenden von Googles Cache verwendet man am besten eine Suchanfrage wie „site:ccc.de“, klickt hinter der gefundenen Seite auf den Pfeil nach unten und wählt „Im Cache“ aus.

Kommerzielle Anbieter wie Symantec, McAfee usw. versuchen hierfür einen VPN-Dienst unter schillernden Namen wie Wifi Privacy oder Safe Connect anzubieten. VPN steht für Virtual Private Network und sorgt in der Regel dafür, dass der gesamte Netzwerkverkehr verschlüsselt zu besagtem Anbieter geschickt wird. Ob man das wirklich möchte, wagt der Autor dieses Artikels mal zu bezweifeln. Notwendig ist es auf jeden Fall nicht, sofern man zum Surfen HTTPS verwendet.

Die Crème de la Crème zum anonymen Surfen bietet das Tor-Netzwerk.

Es besteht aus freiwilligen Teilnehmer*innen auf der ganzen Welt und sorgt dafür, dass der Netzwerkverkehr verschlüsselt ist und über mindestens drei verschiedene Server transportiert wird, so dass selbst der zuletzt weiterleitende Server nicht mehr weiß, wo die Anfrage ursprünglich her kam.

Unter Linux kann man sich Tor zusammen mit Privoxy installieren und als Proxy im Browser einstellen. Anleitungen finden sich im Internet zu allen gängigen Distributionen.

Noch einfacher ist es Tor Browser von https://www.torproject.org/projects/torbrowser.html.en herunterzuladen und zu installieren. Das Paket enthält einen Firefox-Browser mit vorkonfiguriertem Tor-Proxy und ist für Windows, macOS und Linux zu haben.

Tor wird auch von der Organisation Reporter ohne Grenzen empfohlen.

Fazit

Es mag anfangs recht aufwendig sein, die entsprechenden Einstellungen im Browser vorzunehmen und die empfohlenen Erweiterungen zu installieren und einzurichten, aber es lohnt sich.

Bei all den vielen Möglichkeiten sicherer und anonymer zu browsen, sollte man aber trotzdem nicht vergessen HTTPS zu verwenden, denn selbst wenn eine Verschlüsselung bis zum VPN-Dienstanbieter oder dem letzten Knoten im Tor-Netzwerk verwendet wird, ist der Netzwerkverkehr von dort aus zum Webserver für jedermann mit lesbar.

Wenn ein Warnhinweis erscheint, dass das Zertifikat einer Webseite ungültig ist, sollte man mindestens stutzig werden und im Zweifelsfall den Browser schließen.

Bastian Ballmann

Bastian Ballmann ist Autor des Buches "Network Hacks - Intensivkurs: Angriff und Verteidigung mit Python".