Stoppt die Vorratsdatenspeicherung! Jetzt klicken &handeln! Willst du auch an der Aktion teilnehmen? Hier findest du alle relevanten Infos
und Materialien:
Sie sind hier: Startseite Blog

Blog

Artikel 1 – Wählerinitiative zur Bundestagswahl

Die Bundestagswahl bietet die Chance, die Bürgerrechte wieder zu stärken. Wir treten ein für ein demokratisch verfasstes Europa, das sich nach innen und außen für die Menschenrechte einsetzt. Wir ...

17.06.2017 10:13

Globale Karte der straßenfreien Gebiete

Zerrissene Welt: Straßen zerstückeln fast gesamte Erde Ein internationales Forscherteam hat eine globale Studie zu straßenlosen Räumen im renommierten Wissenschaftsmagazin Science ...

10.06.2017 14:00

Film „Cyberpeace statt Cyberwar“

Guter Animations-Film, weshalb wir eine breite gesellschaftliche Diskussion über „Cyberpeace statt Cyberwar“ brauchen. Von der Kampagne „Cyberpeace“ des FIfF.

Die Adresse lautet: https://vimeo.com/216584485

09.06.2017 15:00

Nicht PGP ist gescheitert, die Entwickler haben versagt

Leserbrief zu "Geheimnisquälerei – Warum PGP für sicher E-Mail-Kommunikation gescheitert ist"

Im aktuellen Linux Magazin 06/2017 ist ein Artikel "Geheimnisquälerei – Warum PGP für sicher E-Mail-Kommunikation gescheitert ist". Mein Leserbrief dazu:

Nicht PGP ist gescheitert, sondern die Entwickler haben versagt: Sie haben es auch nach 20 Jahren nicht geschafft, benutzerfreundliche Oberflächen für PGP zu entwickeln. Dazu tragen die übertriebenen Sicherheitsansprüche bei, die auch der Autor formuliert: Wenn es schon keine 100-prozentige Sicherheit gibt, müssen es dennoch 99,3% sein. Das ist ein hehres Ziel, aber für die allermeisten Fälle – und die allermeisten Menschen – genügen auch 80%. Es wäre mehr gewonnen,wenn für 10% der Leute diese 80% Sicherheit zur Verfügung stünden, als 0,0,1% der Leute 99,3%.

Das Konzept dazu ist einfach: Automatismen, „Trust on first use“ statt "Web of trust" und eine Oberfläche, die den Benutzer nicht stört. pretty Easy ürivacy (p≡p) zeigt wie das gehen kann – leider ist es noch immer nicht fertig. Stimmt, auch damit ist nicht alles super-sicher. Aber wer braucht im Alltag schon eine "sichere" Signatur unter einer Mail?

Auch der Autor stimmt in den Kanon der übertrieben-sicheren Nerds ein, wenn er schreibt: Um wirklich sicher zu kommunizieren, soll man sich den Ausweis zeigen lassen. Welch ein Unsinn! Von wie vielen Ihrer Freunde haben Sie sich jemals den Ausweis zeigen lassen? Es sind solche Attitüden und Forderungen, die den Nutzern PGP vergällen!

Fazit: PGP für E-Mail-Verschlüsselung ist nicht erledigt, sondern die hohen Rösser der Adepten gehören geschlachtet.

Auch einige andere Aussagen des Artikels scheinen mir fragwürdig: So werden die Anforderungen von Unternehmen in den gleichen Topf geworfen wie die von Privatpersonen. In Unternehmen gibt es keine  "privaten" Schlüssel, denn der Mitarbeiter handelt nie privat, sondern immer im Auftrag der Firma. Daher ist das Hinterlegen des privaten Schlüssels auch kein Problem. Unternehmen wollen auch nicht, dass die Mitarbeiter ein eigenes Web of Trust aufbauen – und womöglich hundertmal einen Schlüssel prüfen. Die im Artikel als Alternative empfohlenen PGP-Mail-Gateways machen ja genau das.

Auch bei Chat ist der Artikel nicht auf dem Stand der Zeit: seit ca. einem Jahr gibt es mit OMEMO eine Implementierung des Signal-Protokolls für XMPP. Das umständliche und unflexible OTR ist damit obsolet.

19.05.2017 10:22

Bedenkliche Entwicklung: Wie Providern "Vorratsdatenspeicherung as a Service" angeboten wird

Posteo veröffentlicht einen Werbebrief der Firma Uniscon, die für "Vorratsdatenspeicherung as a Service" wirbt, aber man offenbar nicht weiß, dass E-Mail-Anbieter wie Posteo (Dienste der ...

12.05.2017 16:07

ChatSecure ist tot, lang lebe ChatSecure

ChatSecure ist nur noch einen App für iOS

ChatSecure ist tot, lang lebe ChatSecure

ChatSecure Logo

In den letzten Monaten gab es einige Verwirrung im „ChatSecure“. Nun hat sich der Staub gelegt: Die ChatSecure-Website schreibt nun klar: „Free and open source encrypted chat for iOS.“ Für Android empfehlen sie ausdrücklich Conversations.

ChatSecure selbst hat bereits im Juli angekündigt, als nächstes OMEMO einzubauen, also das Krypto-Protokoll Axolotl, das auch in Signal (ehemals TextSecure) benutzt wird. Wenn ich die offenen Bug-Reports für ChatSecure richtig interpretiere, ist OMEMO inzwischen implementiert, die Benutzung hakt aber noch an der einen oder anderen Stelle.

Das bisherige "ChatSecure for Android" ist wurde hart abgespalten (hard forked) und heißt nun ZOM. Die haben auch einen iOS-Client, der wiederum den aktuellen Code von ChatSecure nutzt. Anscheinend soll das eine „white label“ Ausgabe von ChatSecure werden, mit einer vereinfachten Oberfläche und, ganz wichtig, Stickern. Das wird uns sicher noch einige Verwirrung bereiten.

20.12.2016 20:17

Deshalb TR-069 ausschalten!

Vor einiger Zeit habe ich gebloggt, wie man TR-069 auf der Fritzbox ausschaltet. Ich habe aber nie geschrieben, weshalb man das tun sollte.

Nun, Anfang der Woche gab es einen groß angelegten Angriff auf Speedport-Router der Telekom – über eine Schwachstellen in deren TR-069-Implementierung. Nun haben diese Speedport-Router nichts mit den Fritz!Boxen zu tun. Dennoch wurde ich in einer Zuschrift gebeten, darauf hinzuweisen, dass, wenn TR-069 ausgeschaltet ist, der Provider keinen Zugriff auf den Router mehr hat und damit auch keine Firmware-Updates mehr einspielen kann.

Das ist korrekt. Und das ist auch genau die Absicht, wenn ich TR-069 abschalte: Der Provider soll keinen Zugriff mehr auf meinen Router haben.

Natürlich kann er damit auch keine Firmware-Updates einspielen. Aber

  1. das tut er sowieso nicht schnell genu, wie der aktuelle Fall zeigt, und
  2. kann das die Fritzbox selbst.

Wenn ich TR-069 eingeschaltet habe, erreiche ich nur eines: Ich habe ein weiteres Einfallstor für Angreifer geschaffen.

Wer ein Fritzbox hat, sollte dort natürlich einstellen, dass sie selbst nach Updates sucht. Wenn Ihre Fritzbox was noch nicht kann, schauen Sie, ob es eine neue Firmware gibt, die das kann. Dazu müssen Sie nur in der Benutzeroberfläche der FRITZ!Box auf "System", dann auf "Update" bzw. "Firmware-Update" und dann auf "Neue Firmware suchen" klicken.

In einem anderen, bislang unveröffentlichten Blogbeitrag nenne ich noch in paar andere Gründe, weshalb man TR-069 deaktivieren sollte.

02.12.2016 16:55

DSL-Fernkonfiguration ist kritisch für den Datenschutz

Vorletzte Woche gab es etwas Aufregung um TR-069, weil Sicherheitsforscher entdeckt haben, dass viele Provider es unsicher implementieren. Siehe hierzu auch mein Blog-Post. Nun stellt sich natürlich die Frage nach der Tragweite von TR-069: Manche Datenschützer befürchten Übergriffe von Strafverfolgungsbehörden auf die Privatsphäre.

Hier meine Einschätzung:

Auf der einen Seite entlastet es technisch weniger bedarfte Nutzer, weil sie sich um nichts kümmern müssen. Auf der anderen Seite entmündigt es Nutzer – insbesondere dann, wenn es keine Möglichkeit gibt, TR-069 auszuschalten. Und die Benutzer werden auch nicht darüber aufgeklärt, dass es eine solche Funktion gibt und was man damit tun kann. Damit verstärkt es den Trend, KundInnen völlig von der Möglichkeit auszuschließen, die Geräte zu konfigurieren – ein gefährlicher Trend durch die ach so bequeme neue Technik.

Das Problem an dieser Stelle ist meines Erachtens das mangelnde Vertrauen: Als Bürger habe ich nicht mehr das Vertrauen, dass die Telkos und/oder staatliche Stellen mich hier vor Missbrauch schützen. Sie tun nichts, um mir dieses Vertrauen zu geben. Aber sie tun viel, um das Vertrauen zu zerstören. Ich muss damit rechnen, dass gerade von staatlicher Seite diese technischen Möglichkeiten genutzt werden, um mich auszuspionieren und mich zu überwachen.

Der Standard ist 230 Seiten lang und bezieht sich teilweise einfach auf andere Standards. Daher kann ich momentan nur erste Erkenntnisse wiedergeben.

TR-069 kennt Kommandos, um Dateien auf den Router hochzuladen, umzubenennen und zu löschen sowie eine reboot zu veranlassen (TR-069 Amendment 5, Seite 144). Daneben sind offiziell "hersteller-spezifische" Kommandos möglich. Daneben scheinen noch RPCs (Remote Procedure Calls) möglich zu sein, die noch wesentlich mehr können.

Damit könne ein Angreifer (in diesem Fall: ein staatlicher Dienst) einige Dateien auf den Router hoch laden und den Router rebooten. Damit könnte eine saubere Hintertür installiert werden, über die das LAN ausspioniert werden könnte. Der Benutzer würde davon allenfalls den Reboot mitbekommen.

02.12.2016 16:51

35.000 gegen Vorratdatenspeicherung

Unterstützen Sie die Verfassungsbeschwerde gegen die Vorratsdatenspeicherung

Ich habe die Verfassungsbeschwerde von Digitalcourage gegen die Vorratsdatenspeicherung unterschrieben. Mit der Klage wollen Digitalcourage und 20 Prominente die Überwachung unserer Kommunikation stoppen. Denn ab Sommer 2017 soll gespeichert werden, wer wann wo mit wem telefoniert oder im Internet unterwegs ist.

Die Schriftstellerin Juli Zeh, Kabarettist Marc-Uwe Kling, ver.di-Chef Frank Bsirske, der Ökonom und Jesuit Friedhelm Hengsbach, zwei Bundestagsabgeordnete, mailbox.org und 13 weitere Prominente ziehen dagegen vor das Bundesverfassungsgericht.

30.000 Menschen haben die Verfassungsbeschwerde bereits unterschrieben – 35.000 Unterschriften sind das Ziel. Mitmachen wirkt! Alle Unterschriften werden ausgedruckt und direkt nach unserer großen Pressekonferenz am Montag, 28. November, dem Bundesverfassungsgericht übergeben.

Setzen wir gemeinsam ein Zeichen gegen Überwachung!
Unterzeichne auch du die Verfassungsbeschwerde und leite den Aufruf weiter:

https://digitalcourage.de/weg-mit-vds

(Mitmachen ist möglich bis Sonntag, 27. November 2016, um 24:00 Uhr)

25.11.2016 13:53

Bin "offiziell" Entdecker einer Sicherheitslücke

Anfang des jahres habe ich eine Sicherheitslücke im Programm „Metadata Anonymisation Toolkit“ (kurz: MAT) entdeckt. Diese wurde nun endlich in Form eines „Security Advisory“ von Debian gewürdigt und hat dort Nummer DSA-3708 bekommen. Und mir wurde die Entdeckung der Lücke zugeschrieben :-)

Mehr zu MAT und der Lücke beschreibt der Blogeintrag von Digitalourage.

Der Anlass ist aber traurig: Der Entwickler von MAT hat die fehlerhafte PDF-Säuberungsfunktion nicht etwa repariert, sondern komplett entfernt. Anschließend hat er sich aus gesundheitlichen Gründen von diesem Projekt verabschiedet.

Wer in Python programmieren kann, Lust und Zeit hat, ist herzliche eingeladen das Problem beheben. Das ist nicht einmal so schwer: Mittels des Python-Moduls PyPDF2 das PDF laden, alle enthaltenen Bilder speichern, mit der bereits bestehenden Funktion von MAT bereinigen, das Bild dann durch die bereinigte Funktion ersetzten und das PDF wieder speichern.

16.11.2016 10:51

(0) Kommentare