Software/Hardware "Sicherheit" (Daten auslesen) und "sichere" Kommunikation

Hallo liebes Forum,

ich habe einen Freund, der als freier Journalist tätig ist und nun seit einiger Zeit mehr oder weniger auf eine hohe Sicherheit bzgl. seiner Daten angewiesen ist. Zugleich muss er auch so „anonym“ wie möglich kommunizieren. Seitdem bin auch ein wenig in das Thema mit eingestiegen und versuche ihn dahingehend zu Unterstützen. Ich mache mir auch ein wenig Sorgen um seine Sicherheit, da er nun schon ins Ausland gereist ist, um dort Informationen zu bekommen/auszutauschen. Da das gewisse Land nicht gerade für seine Meinungsfreiheit und Wahrung der Menschenrechte bekannt ist, ist er mMn. auch in Gefahr.

Nun zu meiner 1. Frage (weil ich leider absoluter Neuling in dem Bereich bin): Welche Software und Hardware (Mobiltelefon) ist aktuell am Besten vor Auslesung der Daten geschützt, wenn die gängige highend Software genutzt wird, welche auch von Behörden und Geheimdiensten weltweit benutzt wird. Als Beispiel greykey von Greyshift oder gleichwertige Software von Cellebrite Mobile Forensics.

Kann jemand einschätzen, wie „sicher“ ein google pixel Gerät, mit dem GraphineOS Betriebssystem wäre, wenn auto reboot (nach x stunden) aktiviert wäre, in Kombination mit der Funktion usb Verbindungen zu verweigern, wenn diese nichr zum Laden, sondern zum Datentransfer gedacht ist. Ich denke letzteres ist ziemlich einfach zu umgehen, da die relevanten Elemente der Hardware entfernt und extern entschlüsselt/ausgelesen werden können ? Falls nicht korrigiert mich bitte. Bei der Verschlüsselung durch den reboot, weiss ich auf jeden Fall, dass ein 20 stelliges Passwort mit Zahlen,Sonderzeichen, Buchstaben ausreichend seien sollte, um vor Brutforce zu schützen. Die highend Software knackt aber die Verschlüsselung ohne das Passwort, was davor schützt versteh ich noch nicht so ganz. Hat wahrscheinlich mit der der Daten Verschlüsselung an sich zutun.

Zu meiner 2. Frage: Wie kann man möglichst „anonym“ kommunizieren oder auch Dinge anonym veröffentlichen ohne getrackt zu werden. Auf offline pgp zur Kommunikation angewiesen zu sein, ist nicht die Lösung, da man dort die Schlüssel austauschen muss und das durch die hohen Distanzen teilweise mit sehr hohem Aufwand verbunden ist. Reicht es z.B auf einem Gerät mit graphine die ganzen Funktionen wie GPS,Kamera, Mikrofon etc. auszuschalten, oder gar ein Gerät zu haben wo diese ausgebaut sind, und sich über das Internet einer pre paid Sim oder einem öffentlichen Netzwerk VPN holt ? Reicht VPN, um z.B telegram anonym nutzen zu können ? Was die Sicherheit von VPN angeht, muss ich mich leider noch einlesen.

Vielen Dank, im Vorraus, für jede Antwort.

Liebe Grüße

Askan

Wer beruflich auf Quellenschutz angewiesen ist, sollte sich professionell beraten lassen. Das gilt erst recht, wenn die persönliche Sicherheit in Ländern mit zweifelhafter Rechtsstaatlichkeit auf dem Spiel steht.

Als erstes braucht man eine konkrete Bedrohungsanalyse. Dabei sind alle Details zu berücksichtigen, die in einem öffentlichen Forum nicht ausgetauscht werden können. Vage Andeutungen reichen nicht.

Dazu kommt, dass das von Dir angestrebte Ausmass der Anonymität gegen staatliche Akteure praktisch unmöglich ist. Schon gar nicht mit einem handelsüblichen Smartphone, die heißen nicht umsonst „Wanzen“. Welches Betriebssystem Du nutzt und wie oft Du bootest, ist völlig egal.

Es gibt Leute, die das auf Laptops hinkriegen, aber solche Leute findest Du in diesem Forum nicht.

Hey ilu,

vielen Dank, für deine Antwort.

Leider sind die finanziellen Ressourcen bei allen Beteiligten noch nicht ausreichend, um sich auf diesem Niveau beraten und ausrüsten zu lassen.

Wie schaffen es denn die ganzen Cyberkriminellen im Darknet oder auf Telegram o.ä von den Behörden nicht identifiziert zu werden, obwohl sie seit Jahren Drogen oder Waffen verkaufen ?

Selbst handelsübliche Iphones waren eine Zeit lang sehr schwer auszulesen (solange das keine false flag vom FBI war, um vor evtl. vorhandenen Hintertüren abzulenken), da sollten doch modifizierte Betriebssysteme noch mehr Sicherheit bieten ? Also allen in allem geht es erstmal darum, das höchste Maß an Sicherheit zu gewährleisten, was für einen Normalsterblichen möglich ist.

Du gibts hier schon die Antwort. Die OK hat Geld und kann sich kompetente Leute kaufen.

Die schaffen es eben nicht. Üblicherweise läßt man die einfach machen und wenn es opportun ist, nimmt man irgendwann den ganzen Laden hopps. Selbst mit technisch modifizierter Hardware haben sie es nicht geschafft („Encrochat“).

Waren, möglicherweise. Heute definitiv Vergangenheit (Cellebrite).

Nein. Nicht gegen staatliche Akteure. Das ist auch nicht Ziel der Modifikationen. Und das Betriebssystem ist nur ein kleiner Teil der auf einem Smartphone werkelnden Software („Your broadband is watching you“).

Selbst Regierungschefs sind nicht sicher („Pegasus“). Was Du erreichen willst, ist auf einem handelsüblchen Smartphone UNMÖGLICH.

Du kannst ja mal nach den Stichworten in Klammern suchen. Der beste Rat, den Du Deinem Freund geben kannst, ist, an der Grenze ein vorzeigbares sauberes Smartphone dabei zu haben und IMMER davon auszugehen, dass das Gerät kompromittiert ist.

Ja das mit dem vorzeigbaren Smartphone weiss er schon, aber er ist risikobereiter, als mir lieb ist. Es ist halt auch die Frage, auf welche Ressourcen zurückgegriffen wird, wenn ihm das im Land abgenommen werden sollte. Wobei diese software Anwendungen zum Auslesen ziemlich effizient sein sollen, was den Aufwand angeht. Also durchaus denkbar, dass sowas nicht nur für „extreme Bedrohungen“ einesetzt wird, sondern auch für den etwas kleineren Fisch.

Bei Encrochat war es doch so, dass die Behörden sich Zugriff auf sie Server verschafft haben, aber es nicht geschafft hatten, die Entschlüsselung zu knacken.

Bei dem anbieter Sky wurde die Verschlüsselung nur geknackt, da es dort ein Insider gab, der relevante Infos an Behörden übermittelt hat.

Anom war dann das trojanische Pferd des FBIs.

Encrochat: Die Behörden haben eine Schadsoftware benutzt. Die Verschlüsselung mußte deshalb nicht geknackt werden.
Sie konnten damit die Chats mitlesen.

Das Aufspielen von Schadsoftware wird möglicherweise bei der Grenzkontrolle gemacht. Geht aber angeblich auch remote. Wenn das Gerät kompromittiert ist, kommt es auf die Verschlüsselung nicht mehr an.

Ebenso bedrohlich wie die Chatinhalte ist im Falle Deines Freundes aber auch die Auswertung der Metadaten. Snowden empfiehlt, den Akku rauszunehmen. Sobald das Ding Strom hat, wirst Du getrackt. Auch Fernaktivierung des Mikrophons ist möglich.

Im Zweifel auf alle. Und wie klein der Fisch ist, weiß man frühestens am Ende der Recherche.

Ein faradayscher Käfig, wäre doch auch so effektiv, wie wenn man den Akku rausnehmen würde oder ?

Desweiteren bin ich mich gerade am Einlesen über halbwegs sicheres Kommunizieren über telegram. Die Telefonnummer zum erstellen des Accounts kriegt man ohne Probleme, VPN ist solange anonym, solange der provider nichts rausgibt. Die Frage ist nur, wie leicht fängt man sich Software ein, die dann ab Quelle mitliest oder Daten ausliest. Da stehe ich noch vor einem Rätsel, wie kann man das Risiko, einem solchen trojaner zum Opfer zu fallen, minimieren ? Wenn man grapheneOS nutzt und den Internetzugriff für alle apps außer Telegram blockiert, könnte nur noch über Telegram selbst die Software aufgespielt werden oder ?

Telegram würde ich gleich wieder vergessen. Es gibt ausreichend Artikel warum.

Als Messenger würde ich wahrscheinlich zu Briar greifen, der speziell für Aktivisten und Journalisten gedacht ist.
Wenn es etwas benutzerfreundlicher sein soll würde ich vielleicht zu Threema greifen, da dort keine Telefonnummer benötigt wird. Obwohl ich bei Threema erstmal das nächste Audit abwarten würde.
Von einer Sim-Karte würde ich generell absehen.
Aber wie die anderen schon meinten, braucht dein Freund als (Investigativ-) Journalist eine ganz andere Beratung als wir hier im Forum bieten können.

Ich hatte doch oben schon geschrieben, dass es beim Smartphone mehrere Ebenen gibt - Apps und das Betriebssystem sind nur die oberste Ebene (die, die Du siehst). Die Ebene dadrunter siehst Du nicht und kannst sie auch nicht beeinflussen - sie hat aber alle Rechte auf dem Gerät. Deshalb kannst Du einem Smartphone nicht vertrauen. Definitv nicht, sobald eine SIM-Karte eingelegt ist, aber auch ohne SIM kann das Gerät kommunizieren (siehe Notfalldienste, Stichwort baseband).

Hast Du schonmal im Auto Dein Smartphone benutzt? Ja? Also warum dann die Frage?

Vielleicht mal beim Amnesty International Security Lab in Berlin anfragen, ob die auch Weiterbildung für Journalisten anbieten.

Ansonsten ist mir die Diskussion hier zu technisch. Wenn er den falschen Leuten auf den Pelz rückt, läuft das im Zweifelsfall wie in diesem xkcd Comic und dein Freund verschwindet für Jahre in irgendeinem Verlies.