Sicher verbunden mit IRC

Diese Doku geht teilweise auf die von Indymedia Barcelona aufbereitete Doku SecureIRCcaesen zur\xFCck, f\xFCr die wir uns herzlich bedanken!

Zum gleichen Thema gibt es auch von der globalen Indymedia-Tech-Community eine Doku namens SecureIRC.

Noch sicherer als Secure IRC ist Silc, ein Chatsystem, das gedanklich auf IRC basiert, und au\xDFerdem wie auch GPG mit geheimen und \xF6ffentlichen Schl\xFCsseln arbeitet. Mehr dazu unter SilCDe.

Wozu "sicheres IRC"?

Chatten mit gew\xF6hnlichem IRC ist aus folgenden Gr\xFCnden "unsicher":

• Text wird unverschl\xFCsselt \xFCbertragen und kann daher mit einfachen Mitteln von Unbeteiligten ohne Wissen der Chatter mitgelesen werden
• Jeder Teilnehmer am IRC sieht deinen Benutzernamen (i.d.R. der echte Benutzername aus Linux/Windows) und deine IP-Adresse. Von der IP-Adresse kann ziemlich genau dein Standort bestimmt werden bzw. mit den Logdateien deines Providers deine Identid\xE4t festgestellt werden.

Zum Ausprobieren tippe das Kommando /whois deinNickName (ersetz dabei deinNickName durch den Nickname, den Du gerade verwendest) in deinen IRC-Client. Du erh\xE4ltst als Antwort Informationen \xFCber Dich, die auch alle anderen Chatter \xFCber dich abfragen k\xF6nnen. Unter anderem auch deine Hostmaske, in der Form dein-benutzername@dein-hostname oder dein-benutzername@deine-ip-adresse. Sowohl \xFCber den Hostnamen als auch \xFCber die IP-Adresse ist Dein Computer eindeutig identifizierbar. Mit diesen Infos gibts Du anderen mehr Informationen \xFCber Dich, als n\xF6tig ist. Jemand, der dir B\xF6ses will, w\xFCsste so zum Beispiel, welchen Computer er angreifen oder ausspionieren m\xFCsste.

Um sicherer per IRC zu Chatten gibt es sowohl f\xFCr die g\xE4ngigen Betriebssysteme einige M\xF6glichkeiten, die deine Daten verschl\xFCsselt \xFCbertragen. Wenn du deinen "echten" BenutzerInnennamen und/oder deine IP Adresse verstecken moechtest, musst du dich registrieren. Danach ist es moeglich die Server AdministratorInnen zu bitten, die Daten fuer andere UserInnen zu verstecken.

Achtung: Achte darauf, in den Einstellungen deines IRC-Programms nicht deinen wirklichen Namen anzugeben, denn was du dort eintr\xE4gst ist auch bei einer /whois -Abfrage zu sehen.

Info: Genauso wie es beim vom Webbrowser genutzeten HTTP-Protokoll auch die sichere Variabte HTTPS (HTTP + SSL) gibt, spricht mensch bei der mit SSL gesicherten IRC-Variante von IRCS.

Hinweis: Seit Neuesten hat der Ernesto, unser IRC-Server, ein neues Zertifikat, welches durch eine nichtkommerzielle Zertifizierungsstelle signiert wurde. Das bedeutet auch, dass ihr sobald die .crt Datei von cacert.org eingebunden ist, ohne weitere manuelle \xDCberpr\xFCfung SSL-verschl\xFCsselt chatten k\xF6nnt. Unter Linux m\xFCsst ihr entweder das ca-certificates Packet installieren oder die Datei http://www.cacert.org/cacert.crt nach /usr/share/ca-certificates/cacert.org/cacert.org.crt speichern. Sollte dies nicht m\xF6glich sein, \xFCberpr\xFCft wenigstens ob der Public-Key den der Server leifert die md5 Pr\xFCfsumme: F5:87:D7:F1:6A:52:9D:24:93:2B:54:26:42:68:92:39 hat.

IRCS-Programme f\xFCr mehrere Betriebssysteme

XChat

Website: http://www.xchat.org/

Betriebssysteme: Linux, Windows und weitere

Lizenz: GNU GPL (f\xFCr Windows existiert neben einer GPL-Variante auch eine Shareware-Version)

Download:

• Debian Woody (3.0): XChat ist im offiziellen Paket-Pool enthalten
• Debian Sarge (3.1): XChat ist im offiziellen Paket-Pool enthalten
  • Empfohlen ist das Packet: ca-certificates (Common CA Certificates PEM files)
• Windows: http://www.silverex.org
• Mac OS X: Ports sind \xFCber Fink und OpenDarwin erh\xE4ltlich
• Andere Distributionen und Betriebssysteme: Links zu Versionen f\xFCr weitere Betriebssysteme gibt's unten auf der [http://xchat.org/download/][XChat-Download-Seite]].

Mit XChat kannst du dich per SSL zum IRC-Server verbinden. Nach Download und Installation startest Du das Programm, legst ein neues Netzwerk namens "Indymedia (SSL)" an und tr\xE4gst als Server irc.indymedia.org und dahinter als Port /6697 statt /6667 ein. Au\xDFerdem musst du "SSL f\xFCr alle Server dieses Netzes benutzen" w\xE4hlen. Danach das Fenster schlie\xDFen und in der Serverliste auf Verbinden bzw. Connect klicken.

Tipp: Um Hilfe zu den einzelnen Optionen der Verbindungseinstellungen zu erhalten, einfach kurz die Maus \xFCber dem Eingabefeld stehen lassen. Das funktioneirt allerdings nicht bei allen Feldern.

Tipp: Falls du XChat von der Konsole startest und nach dem Start direkt mit dem Server verbunden werden m\xF6chtest, kannst Du folgenden Aufruf verwenden: xchat ircs://irc.indymedia.org:6697 (in alten Versionen: xchat /server -ssl irc.indymedia.org). Wenn du XChat schon gestartet hast kannst du dich statt \xFCber die Serverliste auch \xFCber die XChat-Eingabezeile mit diesem Befehl mit dem Server verbinden: /sslserver irc.indymedia.org:6697

Die Screenshots auf SecureIRCcas erleichtern ggf. die Einrichtung.

Tritt der Fehler: "* Verbindung gescheitert. Fehler: unable to get local issuer certificate.? (20)" so kennt XChat das Root-Zertifikat von der cacert noch nicht - es kann sein, dass nach der oben beschriebenen Einrichtung dessen ein neustart des IRC-Clients n\xF6tig ist.

KvIRC

Website: http://www.kvirc.net/

Betriebssysteme: Linux, Windows und weitere

Lizenz: GNU GPL

Download:

• Debian Sarge (3.1): Stabile und Entwicklungs-Releases sind \xFCber den KvIRC-Paketpool erh\xE4ltlich *
• Andere: Stabile und Entwicklungs-Releases sind \xFCber die KvIRC-Website erh\xE4ltlich.

Auch mit KvIRC kannst du dich per SSL zum IRC-Server verbinden. Eventuell musst Du dazu KvIRC selbst kompilieren, um die SSL-Unterst\xFCtzung hinzuzuf\xFCgen (das configure-Skript f\xFCgt bei der Kompilierung den SSL-Support automatisch hinzu, sofern die OpenSSL-Development-Dateien gefunden werden).

* Um den KvIRC-Paketpool unter Debian zu verwenden, einfach die folgenden Zeilen (die zweite Zeile ist optional) am Ende der Datei /etc/apt/source.list einf\xFCgen:

deb ftp://ftp.kvirc.net/pub/kvirc/snapshots/debian/ ./
deb-src ftp://ftp.kvirc.net/pub/kvirc/snapshots/debian/ ./

Falls sich die URLs dieser Paketquellen \xE4ndern, wird das auf auf der KvIRC-Website im Bereich CVS-Snapshots bekannt gegeben.

ChatZilla

Website: http://mozilla.org/projects/rt-messaging/chatzilla/

Betriebssysteme: Linux, Windows, Mac OS und weitere*

Lizenz: MPL (Mozilla Public License, eine Open-Source-Lizenz)

Download:

• Debian Woody (3.0): Mozilla, das ChatZilla enth\xE4lt, ist im offiziellen Paket-Pool enthalten, f\xFCr Firefox, was ebenfalls \xFCber den offiziellen Paketpool verf\xFCgbar ist, kann ChatZilla als Erweiterung installiert werden
• Debian Sarge (3.1): Mozilla, das ChatZilla enth\xE4lt, ist im offiziellen Paket-Pool enthalten, f\xFCr Firefox, was ebenfalls \xFCber den offiziellen Paketpool verf\xFCgbar ist, kann ChatZilla als Erweiterung installiert werden
• Andere Linux-Distributionen, Windows, Mac OS:
  • ChatZilla ist als Erweiterung f\xFCr Firefox verf\xFCgbar
  • ChatZilla ist als Teil der Mozilla-Suite verf\xFCgbar
• weitere*

Seit Version 0.9.64 hat ChatZilla standardm\xE4ssig Unterst\xFCtzung f\xFCr sicheres Chatten \xFCber IRC (IRCS) an Bord. ChatZilla ist ein IRC-Client, der sowohl bei der Mozilla-Suite integriert ist als auch als Firefox-Erweiterung installiert werden kann.

Info: Mozilla, Mozilla-Suite und Firefox werden oft und gerne durcheinander geschmissen, deshalb hier kurz eine Aufkl\xE4rung: Die Mozilla-Suite ist das Bundle bestehend aus Browser, E-Mail-Programm, HTML-Editor, Adressbuch und eben dem IRC-Client ChatZilla. Firefox ist der reine Webbrowser, der von der Mozilla-Suite v\xF6llig unabh\xE4ngig ist. Beide Programme werden vom Mozilla-Projekt entwickelt, das aber auch noch andere Software produziert.

Benutzen:

• Starten: Zum Starten klickt mensch im Extra_-Men\xFC von Mozilla oder Firefox auf den Eintrag _!ChatZilla.
• Verbindung herstellen: Um die Verbindung mit dem Indymedia-Server herzustellen, kann einer der folgenden Befehle in das Feld *client* eingegeben werden:
  • /attach ircs://irc.indymedia.org:6697/
  • /sslserver irc.indymedia.org
• Viele weitere Befehle sind \xFCber den Befehl /help abrufbar

* Versionen f\xFCr weitere Betriebssysteme gibt's auf dem FTP-Server in den 'contrib'-Unterverzeichnissen der jeweils aktuellsten Versionen von Mozilla-Suite und Firefox. Ob die ChatZilla-Erweiterung mit diesen Firefox-Versionen funktioniert, wurde noch nicht getestet, vermutlich klappt's aber. Mit der Mozilla-Suite klappt's auf jeden Fall.

IRCS-Programme f\xFCr einzelne Betriebssysteme

Linux, BSD & UNIX

irssi

Website: http://irssi.org/

Betriebssysteme: Linux, xBSD, Mac OS X, Windows (Cygwin) und weitere*

Lizenz: GNU GPL

irssi ist ein text-basierter IRC client, der SSL unterst\xFCtzt. Er ist besonders bei Techies, die viel \xFCber Konsole arbeiten, beliebt, unter anderem auch wegen der starken Anpassbarkeit seiner Bedienung. Siehe dazu auch das englischsprachige IrssiHowTo.

irssi wird mit vielen Linux- und BSD-Distributionen ausgeliefert, oder ist \xFCber deren Paketverzeichnisse verf\xFCgbar. Es ist nat\xFCrlich auch m\xF6glich, das Programm selbst zu kompilieren. Wie das geht, wird nachfolgend erkl\xE4rt.

Achtung: Unter Windows ist irssi nur mit Hilfe von Cygwin lauff\xE4hig.

* Versionen f\xFCr viele weitere Betriebssysteme gibt's auf der irssi-Website.

*zum SSL-Verbindung mit irssi aufbauen folgene Zeile eingeben:

/connect -ssl_cafile /usr/share/ca-certificates/cacert.org/cacert.org.crt irc.indymedia.org 6697 (Einige Nutzer hatten Probleme mit der Option -ssl_capath deshalb wird hier besser direkt auf das Root-Zertifikat der CaCert Organisation verwiesen)

BitchX

Website: http://www.bitchx.org/

Betriebssysteme: Linux, xBSD, Mac OS X, Windows (Cygwin) und weitere*

Lizenz: teilweise BSD-kompatibel, teilweise GNU GPL

BitchX ist ein popul\xE4rer Kommandozeilen-IRC-Client, und gleichzeitig auch einer der \xE4ltesten IRC-Clients. Entsprechend antik sind auch Teile seines Codes.

Info: Die BitchX-Programmierer schmieden derzeit an BitchX 2, einem v\xF6llig neuen Client, der auf einer g\xE4nzlich anderen Basis aufbaut und zu gro\xDFen Teilen neu geschrieben wird. Mehr Infos dazu gibt es auf auf der BitchX-Website

BitchX wird mit vielen Linux- und BSD-Distributionen ausgeliefert, oder ist \xFCber deren Paketverzeichnisse verf\xFCgbar. Es ist nat\xFCrlich auch m\xF6glich, das Programm selbst zu kompilieren. Wie das geht, wird nachfolgend erkl\xE4rt.

Achtung: Unter Windows ist BitchX nur mit Hilfe von Cygwin lauff\xE4hig. Mehr dazu in der BitchX-FAQ im Abschnitt "BitchX for Windows 95/98/NT/2K/ME/XP"

1. Software downloaden

Der Quellcode ist auf der BitchX-Website verf\xFCgbar.

Zum Kompilieren sind weiterhin die OpenSSL-Bibliotheken notwendig.

2. BitchX installieren

• tar xzvf ircii-pana-1.1-final.tar.gz
• cd BitchX
• Wichtig: Die Datei INSTALL f\xFCr weitere Anweisungen lesen
• Das compile - Skript sollte mit der Option --with-ssl aufgerufen werden

3. BitchX starten und Verbindung aufbauen

Nach dem Start von BitchX wird \xFCber den folgenden Befehl die Verbindung zum IRC-Server hergestellt:

/server -ssl irc.indymedia.org

* Versionen f\xFCr viele weitere Betriebssysteme gibt's auf der BitchX-Website.

Windows

mIRC

Website: http://www.mirc.com/ und http://www.mirc.co.uk/

Betriebssysteme: Windows 95 und h\xF6her, Windows NT und h\xF6her

Lizenz: Shareware

Tipp: mIRC ist sicherlich ein guter und ein weit verbreiteter IRC-Client. Bevor du dich entscheidest, mIRC zu benutzen, solltest du dir aber dar\xFCber im klaren sein, dass mIRC weder Freie Software noch Open Source Software (engl.) ist. Es gibt unter Windows auch Alternativen, die kostenlos und unter freieren Lizenzen verf\xFCgbar sind.

Achtung: mIRC bietet erst seit Version 6.14 Unterst\xFCtzung f\xFCr SSL. In der Nachfolgeversion 6.15 wurden wichtige Bugs behoben, weshalb zumindest 6.15 eingesetzt werden sollte.

1. Software installieren

• OpenSSL downloaden
• mIRC downloaden
• Beides installieren

Alternativ (seit Version 6.14)

• mIRC downloaden und installieren
• Die Dateien "libeay32.dll" und "ssleay32.dll" lokal suchen oder hier herrunterladen
• beide in den mIRC-Installationsordner oder in den Windows System-Ordner kopieren

2. Verbindung zu Indymedia konfigurieren

• mIRC starten
• Im Startfenster auf den Button "Add" klicken, um eine Verbindung zum Indymedia-IRC-Server hinzuzuf\xFCgen.
• Folgende Textfelder ausf\xFCllen:
  • "Description": Name der Verbindung, z.B.: Indymedia (SSL)
  • "IRC_Server": irc.indymedia.org
  • "port(s)": +6697 (das Plus ist wichtig!)
• OK klicken

Bei einigen Versionen gibt es auch eine Option "SSL Connection", in dem Fall sollte die aktiviert werden und das '+' beim Port kann wegfallen.

3. Connecten und fertig

• Hier muss nur noch das SSL-Zertifikat von Indymedia zugelassen werden. (dieser Schritt sollte mit dem neuen SSL-Zertifikat des irc.indymedia.org-Servers automatisch erfolgen, sollte dies nicht der Fall sein fehlt der OpenSSL-Konfiguration das Sicherheitszertifikat von http://www.cacert.org/cacert.crt)

Alternativ (seit Version 6.14)

• "/server -me irc.indymedia.org:6697" eingeben, das -m bewirkt, dass sich ein neues Fenster \xF6ffnet das -e bewirkt, dass eine SSL-Verbindung aufgebaut wird.

Achtung: Sollte die Verbindung nicht beim ersten Mal klappen, sucht mIRC die Liste bekannter Indymedia-Server ab, dabei wird dann kein SSL verwandt, wenn es nicht \xFCber den angegeben Port( +6697 im Servermen\xFC) explizit angegeben ist.

Info: Weitere Infos zu mIRC und und IRCS sind auf der englischen mIRC-Website verf\xFCgbar.

Mac OS

Colloquy

Website: http://colloquy.info/

Betriebssysteme: Mac OS X >=10.3

Lizenz: GNU GPL

Colloquy ist ein grafischer IRC-Client f\xFCr aktuelle Mac OS X-Versionen mit Unterst\xFCtzung f\xFCr IRCs.

stunnel: Beliebige IRC-Programme SSL-f\xE4hig machen

Website: http://www.stunnel.org/

Betriebssysteme: GNU/Linux, xBSD, Windows, Mac OS

Lizenz: GNU GPL

Generall ist stunnel ist ein eigenst\xE4ndiges Programm, das eine verschl\xFCsselte Verbindung zwischen deinem und einem anderen Computer aufbaut. Diese verschl\xFCsselte Verbindung kann dann von anderen Programmen, die selbst nicht verschl\xFCsseln k\xF6nnen, verwendet werden. Mit Hilfe von stunnel kannst Du also mit jedem beliebigen IRC-Programm (IRC-Client) sicher chatten, auch wenn das Programm das eigentlich gar nicht kann (und auch ganz ohne das das Programm davon was wissen m\xFCsste).

Hier dazu ein -\xE4hem- grafisches Beispiel:

 DEIN COMPUTER
 .------------.
 | IRC-Client |
 |     ||     |   Die Verbindung zwischen               IRC-SERVER
 |     || <------ dem IRC-Programm und stunnel       irc.indymedia.org
 |     ||     |   ist nicht verschl\xFCsselt            .----------------.
 |     ||     |                                      |   IRC-Server   |
 |  stunnel  <========================================>   mit SSL-    |
 |            |       Die Verbindung zwischen        | Unterst\xFCtzung  |
 '------------'       IRC-Programm und -Server       '----------------'
                             aber schon.

Tipp: stunnel l\xE4sst sich nicht nur zum Sichern der IRC-Verbindung nutzen. Du kannst damit auch jedem anderen Programm, das das urspr\xFCnglich nicht konnte, SSL beibringen. Zum Beispiel k\xF6nntest du damit einem Web-Broser, der kein SSL kennt (zugegeben, das gibt's heute kaum mehr), beibringen, wie er https-Seiten aufrufen muss. Das gleiche l\xE4sst sich aber auch f\xFCr E-Mail, FTP, Instant-Messenging (Jabber), telnet und vieles anderes nutzen.

Fertige stunnel-Binaries verwenden

Die einfachste Methode, einem nicht SSL-f\xE4higen IRC-Programm SSL beizubringen, ist es, fertige SSL-Binaries zu verwenden.

• GNU/Linux: F\xFCr GNU/Linux gibt es die in der Regel in den Paket-Verzeichnissen der jeweils verwendeten Distribution.
• Windows: Weil die stunnel-Programmierer Mitleid haben, stellen sie auf ihrer Website fertige Binaries f\xFCr Windows zum Download bereit.
• Mac OS X: Ein eifriger Mac OS X-Benutzer hatte sich und anderen vor einiger Zeit mal selbst helfen wollen und das Programm SSL Enabler programmiert, was die Verwendung von stunnel unter Mac OS X erleichtern soll. Allerdings wurde er dessen wohl schon bald m\xFCde, weil er mit der Lizenz von stunnel nicht klar kam, wie er auf seiner Website berichtet. SSL Enabler ist ein DMG Disk-Image. Um das darin enthaltene Programm zu installieren, muss erst der SSL Enabler-Ordner erst per Doppelklick entpackt werden, dann der Ordner ge\xF6ffnet und das darin enthaltene Programm-Symbol in den Anwendungsordner verschoben werden.

stunnel selbst kompilieren

Die beste Methode, an eine aktuelle und auf den eigenen Computer zugeschnittene Version von stunnel zu kommen, ist es selbst zu kompilieren. Das ist allerdings immer mit einem gewissen Anfangsaufwand verbunden und oft ist es n\xF6tig oder zumindest g\xFCnstig, mit den Grundlagen der Kompilierung vertraut zu sein.

stunnel l\xE4sst sich auf allen g\xE4ngigen Betriebssystemen kompilieren. Als Beispiel hier eine Anleitung f\xFCr die Kompilierung unter GNU/Linux.

Info: x.xx steht f\xFCr die Versionsnummer von stunnel.

Achtung: Getestet wurde hier mit Version 3.22, die aktuell stabilen Versionen sind allerdings die mit 4.x.

Achtung: Unter Mac OS X muss mindestens die Version 3.19 eingesetzt werden, \xE4ltere Versionen sind nicht kompatibel.

1. stunnel downloaden

Lad dir den aktuellen Source-Code herunter.

2. stunnel installieren

• tar xvzf stunnel-x.xx.tar.gz
• cd stunnel-x.xx
• ./configure
• make
• su
• make install

3. stunnel konfigurieren und ausf\xFChren

• Bei stunnel-Versionen 3.xx:
  • stunnel -c -d localhost:6667 -r irc.indymedia.org:6697

• Bei stunnel-Versionen 4.x oder h\xF6her:
  • Leg eine Konfigurationsdatei namens stunnel.conf an und trag darin folgendes ein:
    client=yes
verify=0
delay=yes

[dnet]
accept=6667
connect=irc.indymedia.org:6697
TIMEOUTclose=0
    
  • Anschlie\xDFend als Systemadministrator einloggen ( su - ) und stunnel starten: stunnel stunnel.conf

Daraufhin wird stunnel gestartet (bei Windows erscheint ein Symbol rechts unten in Taskleiste) und es wird zB. folgendes angezeigt:

2002.06.22 20:55:44 LOG5[724:276]: stunnel 4.01 on x86-pc-mingw32-gnu WIN32 with <nop>OpenSSL 0.9.6g 9 Aug 2002
2002.06.22 20:55:44 LOG5[724:1036]: WIN32 platform: 30000 clients allowed

4. IRC-Client ausf\xFChren und mit dem Server verbinden

Jetzt startest du deinen Lieblings-IRC-Client und verbindest dich wie gewohnt mit einem Server, diesmal allerdings mit einem besonderen Server, n\xE4mlich deinem eigenen:

• localhost:6667 ( localhost ist dein eigener Computer, 6667 ist der Standard-IRC-Port, auf dem stunnel schon auf dich wartet)

Et voil\xE0!

Die Bildschirmausgabe von stunnel sollte nach dem Verbinden des IRC-Clients mit dem IRC-Server etwa folgendes anzeigen:

2002.06.22 21:02:04 LOG5[724:688]: 6697 connected from 127.0.0.1:1884

Tipp: Wenn du unter Linux stunnel nicht jedesmal "per Hand" starten willst, kannst du im Verzeichnis rc.d eine Datei anlegen, die stunnel bei jedem Booten des Computers automatisch startet. Dazu kannst du folgende Befehle in der Konsole ausf\xFChren:

• echo "stunnel -c -d localhost:6667 -r irc.indymedia.org:6697" > stunnel-irc.sh
• chmod 755 stunnel-irc.sh