Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

December 18 2014

November 02 2014

Fräulein Meier und QbiArt

October 31 2014

Facebook über Tor Hidden Services erreichbar

Facebook, die Datenkrake und Tor, das Anonymisierungsprogramm. Das hört sich so an, wie Feuer und Wasser. Die eine Webseite versucht, alles mögliche über deren Nutzer zu speichern. Die andere Software versucht, deren Nutzer möglichst im Schleier der Anonymität verschwinden zu lassen. Obwohl sich beides so gegensätzlich anhört, hat Facebook einen Schritt in Richtung Tor unternommen. Seit heute könnt ihr Facebook über Tor Hidden Services erreichen. Dazu braucht ihr einen Tor Browser und geht zu der Adresse https://facebookcorewwwi.onion/. Dort könnt ihr euch einloggen und Facebook wie gewohnt benutzen. Natürlich ändert das nichts an dem Verhalten von Facebook. Die Seite wird nach wie vor Daten der Nutzer sammeln und es wird seitens der Seite ja erwartet, dass sich jeder mit seiner realen Identität anmeldet. Tor-Nutzer haben nun einen Weg zu Facebook, der funktioniert.

Facebook über Tor Hidden Services erreichbar

Facebook, die Datenkrake und Tor, das Anonymisierungsprogramm. Das hört sich so an, wie Feuer und Wasser. Die eine Webseite versucht, alles mögliche über deren Nutzer zu speichern. Die andere Software versucht, deren Nutzer möglichst im Schleier der Anonymität verschwinden zu lassen. Obwohl sich beides so gegensätzlich anhört, hat Facebook einen Schritt in Richtung Tor unternommen. Seit heute könnt ihr Facebook über Tor Hidden Services erreichen. Dazu braucht ihr einen Tor Browser und geht zu der Adresse https://facebookcorewwwi.onion/. Dort könnt ihr euch einloggen und Facebook wie gewohnt benutzen. Natürlich ändert das nichts an dem Verhalten von Facebook. Die Seite wird nach wie vor Daten der Nutzer sammeln und es wird seitens der Seite ja erwartet, dass sich jeder mit seiner realen Identität anmeldet. Tor-Nutzer haben nun einen Weg zu Facebook, der funktioniert.

October 24 2014

ZenMate als Anonymisierungsprogramm

Kürzlich führte ich einen Workshop zum technischen Datenschutz und Verschlüsselung durch. Während Workshops zeigte ich den Teilnehmern verschiedene Werkzeuge, unter anderem auch den Tor Browser. Dabei meinte ein Teilnehmer, dass er ZenMate einsetzt und dies genauso sicher wie der Tor Browser ist. Was ist ZenMate? Auf der Webseite verspricht die Anwendung Verschlüsselung sowie anonymes Browsen. Der Internetverkehr wird durch virtuelle private Netze (VPNs) geleitet. Das Plugin lässt sich einfach installieren und fragt anschliessend nach einer E-Mail-Adresse. Nachdem eine E-Mail-Adresse eingegeben wurde, wird das Plugin nach einer kleinen Wartezeit aktiv. In der Browserleiste im Firefox erscheint ein grünes Schild und nach einem Klick lässt sich rechts unten der Ort wechseln (Change Location). Auf Empfehlung des Teilnehmers wählten wir im Kurs Hong-Kong aus und fühlten uns geschützt. Doch wie sieht die Realität aus? Ich nutze für Tests auf Anonymisierung meist die Seite IP-Check. Nach dem Start des Tests und einer kurzen Wartezeit ergab sich folgendes Bild: Das Plugin leitet zwar die Verbindungen über das VPN weiter und nutzt einen Server in Hong-Kong (oder auch anderen Städten). Weitere Browsereinstellungen bleiben jedoch unangetastet. Im Beispiel oben war es das Flash-Plugin, was in vielen Browsern standardmäßig aktiv ist, das sogar die reale, gerade verwendete IP-Adresse preisgegeben hat. Mit der manuellen Deaktivierung von Flash wird die eigene IP-Adresse nicht mehr unmittelbar erkannt. Allerdings bleiben noch genügend andere Möglichkeiten übrig das Onlineverhalten der Benutzer zu verfolgen. Letztlich stecken die Entwickler des Tor Browsers sehr viel Zeit und Energie, Lücken im Firefox zu schließen. Daher wäre es schon sehr verwunderlich, wenn sich gleiches Ziel, nämlich anonymes Browsen, mit einem einfachen Plugin erreichen ließe. Wer also ZenMate einsetzen will, sollte sich der Risiken im Klaren sein und ggf. selbst weitere Anpassungen im Browser vornehmen. Eventuell funktioniert die Kombination des JondoFox-Profils mit ZenMate besser. Diesen Versuch überlasse ich euch. Ihr könnt gern einen Kommentar hinterlassen.

September 10 2014

Bemerkenswerte Bücher

Benjamin machte eine Fragerunde nach 10 Büchern, die ich und andere bemerkenswert fanden. Folgende Bücher kamen mir dabei in den Sinn: Angerichtet von Herman KochDas gehört zu den Büchern, die mich sehr beeindruckt haben. Darin geht es um zwei Ehepaare, die sich zum Essen treffen und recht dramatische Geschichten zu besprechen haben. Das Buch endet bei der Nachspeise und ich brauchte damals einen längeren Verdauungsspaziergang. Ihr findet im Blog noch eine Einschätzung des Buches. Amon: Mein Großvater hätte mich erschossen von Jennifer Teege Die Autorin ist die Enkelin von Amon Göth. Viele kennen den KZ-Kommandanten vermutlich aus dem Film Schindlers Liste. Teege entdeckt durch Zufall ihre Verwandtschaft zu ihm und fällt in ein tiefes Loch. Das Buch handelt davon, wie sie damit umgeht und was sie auf ihrem Weg erlebt. Fourier Analysis: An Introduction (Princeton Lectures in Analysis) von Elias M. Stein und Rami Shakarchi Wie der Titel verrät, geht es darin um Fourier-Analysis. Das Buch selbst ist gut und verständlich geschrieben. Ich war damals der Meinung, einen Fehler in einem Beweis gefunden zu haben. Ich wandte mich an die beiden Autoren, beides hochrangige Mathematik-Professoren und war beeindruckt, dass sie mir freundlich antworteten und den Fehler bestätigten. This machine kills secrets von Andy GreenbergDas Buch erzählt in sehr detaillierter und gut recherchierter Weise die Geschichte verschiedener Whistleblower. Ich habe damals einen längeren Blogartikel zu dem Buch geschrieben. Leider habe ich das verborgt und ich weiß nicht mehr an wen. Seit längerem überlege ich, das nochmal zu kaufen. Das kompetente Kind von Jesper JuulAls ich wusste, dass wir Eltern werden, machte ich das, was viele Neu-Eltern machen: Ratgeber lesen. Das Buch von Jesper Juul zeigte mir damals eine ganz andere Sicht auf die Kindererziehung auf und tat das in nachvollziehbarer Weise. Das hat sicher meinen Erziehungsstil sehr geprägt. Cryptonomicon von Neal Stephenson Neal Stephensons Bücher sind alle empfehlenswert. Nach meiner Erinnerung war das Cryptonomicon eines der ersten, die ich las. Darin geht es um zwei Helden, die in zwei Zeiten leben. Wie auch in anderen Stephenson-Büchern spielen sich beide Handlungsstränge parallel ab. Erst gegen Ende wird klar, wie die zusammenfließen. Die Bücher von ihm sind immer bis zum Ende spannend. Das Kollegenschwein von Hans L. Herder Vermutlich lässt sich das Buch am besten verstehen, wenn man, wie ich, mal in einer Bank gearbeitet hat. Denn darin geht es um die Intrigen innerhalb einer Bank. Ich fand das damals sehr witzig und spannend beschrieben. Daemon und Darknet von Daniel SuarezBeide Bücher gehören zusammen und sollten nicht einzeln gelesen werden. Suarez beschreibt darin, wie die Welt nach dem Tod eines Spieleprogrammierers von einem Computerprogramm übernommen wird. Im zweiten Teil wird dann klar, dass der Daemon vielleicht die Rettung sein kann. Das Buch regt auch stark zum Nachdenken über die Welt an. The art of computer programming von Donald E. KnuthDas Buch ist so ein Standardwerk aus der Informatik, dass noch nicht zu Ende geschrieben ist. Gleichzeitig finde ich das Buch zeitlos. Ich nutze das zumeist als Nachschlagewerk und finde darin immer wieder großartige Ideen. Manufacturing Consent: The Political Economy of the Mass Media Chomsky analysiert Geschichten der Medien und zeigt, dass viele davon interessengeleitet sind. Ein aktuelleres Beispiel ist Weiße finden, Schwarze klauen. Chomsky fand Presseberichte über Wahlen. Je nach Land war die legitim oder undemokratisch, obwohl die Wahlen unter ähnlichen Bedingungen stattfanden. Das Buch ist ein Augenöffner, was Presseberichte betrifft und kann gut auf heutigen Pressemeldungen angewendet werden. Leider durfte ich nur zehn Bücher erwähnen. Beim Nachdenken fielen mir noch einige ein, die mich beeindruckten. Wenn der nächste fragt, nehme ich vielleicht zehn andere.

September 08 2014

Podiumsdiskussion zur NSA mit Martina Renner

Heute gibt es wieder eine Veranstaltungsankündigung. Am morgigen Dienstag, dem 09. September 2014, werde ich zusammen mit Martina Renner einen Vortrag mit anschließender Podiumsdiskussion in Jena halten. In der Veranstaltung geht es um den NSA-Untersuchungsausschuss. Zu Anfang werden wir einige Details zur NSA, zu deren Überwachungsprogrammen und zu den Entwicklungen beim Untersuchungsausschuss erzählen. Anschließend stellen wir uns den Fragen aus dem Publikum. Wer teilnehmen mag, sollte vor 18 Uhr im Hörsaal 8 im Unigebäude in der Carl-Zeiss-Str. 3 sein.

August 31 2014

Spaziergang an Jenas Orte der Daten(un)sicherheit

Anfang September soll der Datenschutz etwas greifbarer gemacht werden. Ich werde zusammen mit Dirk Adams einen Datenschutzspaziergang machen. Wir wollen einige Stationen in Jenas Innenstadt ansteuern und über die Sicherheit oder Unsicherheit unserer personenbezogenen Daten reden. Wir starten am Dienstag, den 2. September 2014 um 18 Uhr am Ernst-Abbe-Platz in Jena und wollen folgende Stationen ansteuern. Geplante Route des Spaziergangs Ernst-Abbe-Platz Telekomladen in der Goethegalerie dm am Teichgraben Rathaus am Markt Paradiesbahnhof Falls jemand noch weitere Hinweise hat, kann es natürlich sein, dass sich die Route geringfügig verschiebt. Die Orte bieten viel Gelegenheit, um über Probleme und Lösungen beim Datenschutz zu reden. Kommt vorbei und spaziert mit.

August 27 2014

Verschlüsselung im Thüringer Landtag -- Ein Versuch

Die 5. Wahlperiode des Thüringer Landtages neigt sich dem Ende zu. Einer der letzten Beschlüsse ist die Drucksache 5/7583 mit dem Titel Verschlüsselte Kommunikation ermöglichen und befördern. In der Endfassung enthält der Beschluss die Bitte an die Landesregierung: zukünftig Wege zu ermöglichen, welche die Vertraulichkeit des Inhalts elektronischer Kommunikation mit öffentlichen Stellen des Landes und der Nutzung ihrer elektronischen lnformationsdienste sowie des Inhalts elektronischer Kommunikation zwischen öffentlichen Stellen des Landes durch Angebote einer sicheren End-to-End-Verschlüsselung (Kryptografie) eröffnen, die Bürger des Freistaats Thüringen in geeigneter Weise über die Möglichkeiten der Verschlüsselung elektronischer Kommunikation, insbesondere auf den Web-Seiten der Landesregierung, zu informieren. Der Versuch Darin steckt der Wunsch, TLS für Webseiten und Ende-zu-Ende-Verschlüsselung vielleicht mit OpenPGP zu machen. Ich entschied mich, denselben Weg wie Anna Biselli zu gehen. Sie versuchte, verschlüsselt mit einem Abgeordneten zu kommunizieren. Ich besuchte die Webseiten der Fraktionen im Landtag und die der Abgeordneten. Dabei wollte ich jede Seite mit https öffnen und suchte nach einer Möglichkeit für verschlüsselte E-Mail-Kommunikation. Konnte ich beides nicht finden, so schrieb ich die Abgeordneten an. Was kam dabei heraus? Fraktionen Die CDU-Fraktion im Landtag bietet keinerlei Unterstützung für SSL/TLS an und es gibt auch keine Möglichkeit zur verschlüsselten E-Mail-Kommunikation. Die Webseite der SPD-Fraktion begrüßt mich mit der Meldung SSL peer has no certificate for the requested DNS name. Eine verschlüsselte Verbindung zu der Seite ist damit nicht möglich und ich fand auch keinen OpenPGP-Schlüssel auf der Seite. Die Webseite der FDP-Fraktion scheitert zunächst an den Einstellungen in meinem Browser und sagt Peer attempted old style (potentially vulnerable) handshake. Wenn ich die Einstellungen lockere, so präsentiert die Seite ein Zertifikat, was für die Domain web6.online-now.de ausgestellt ist. Wenn ich dann auch noch dieses akzeptiere, so erhalte ich von der resultierenden Seite die Meldung Die Domain “www.thl-fdp.de” ist nicht über https verfügbar. Die Unterstützung von OpenPGP ist wie bei den anderen Parteien. Die Webseite der Fraktion der Grünen hat ein Zertifikat, welches seit Ende 2013 abgelaufen ist. Ich hatte den Fakt im Juli 2014 gemeldet. Zum Zeitpunkt des Blogeintrages hat sich an dem ungültigen Zertifikat nichts geändert. Wird dies akzeptiert, so werden die Inhalte der Webseite angezeigt. OpenPGP sucht man jedoch vergeblich. Einzig die Fraktion der LINKEn unterstützt SSL/TLS vom Start weg und die Servereinstellungen sind sehr gut. Hier wäre nur zu wünschen, dass die Webseite alle Anfragen standardmäßig auf die verschlüsselte Seite umleitet. Die positiven Nachrichten reißen aber noch nicht ab. Denn die Kontaktseite bietet einen OpenPGP-Schlüssel zum Download an und weist den Fingerprint aus. Damit ist die LINKE eindeutig der Spitzenreiter, was verschlüsselte Kommunikation betrifft. Abgeordnete Von den knapp 90 Abgeordneten im Landtag gibt es nur zwei, die einen OpenPGP-Schlüssel anbieten: Dirk Adams (Grüne) Katharina König (LINKE) Beider Webseiten sind auch per HTTPS zu erreichen. Jedoch verwendet die Seite von Dirk Adams ein falsches Zertifikat und die Seite von Katharina König bzw. der Provider blockieren Verbindungen über Tor. Falls ihr also die Seite mit Tor ansurft, kann es sein, dass sich diese nicht öffnet. Uwe Barth (FDP) nutzt ein Wordpress-Blog als Webseite. Damit kann die Seite auch per HTTPS besucht werden. Die SPD-Abgeordneten David-Christian Eckardt, Uwe Höhn, Birgit Pelke und Claudia Scheerschmidt nutzen das Angebot von Sozinet. Das bietet ebenfalls HTTPS an. Bei allen anderen Abgeordneten fand ich keine funktionierende Möglichkeit, per HTTPS auf die Seite zuzugreifen. Ebenfalls konnte ich keine Nennung von E-Mail-Verschlüsselung finden. Also schrieb ich E-Mails und fragte nach. Die Abgeordneten der FDP haben das Wahlkampfmotto Wir sind dann mal weg wohl zu ernst genommen. Denn ich erhielt von keinem der angeschriebenen Abgeordneten eine Antwort. Die CDU schien sich intern auf eine Antwort geeinigt zu haben. Alle Antworten hatten nahezu denselben Wortlaut und verwiesen darauf, dass der Beschluss eine Aufforderung an die Regierung enthält. Erst wenn diese eine Entscheidung getroffen hat, so werden die Abgeordneten diese umsetzen. Aus den Antworten wurde klar, dass vorher nichts zu erwarten ist. Von der SPD antworteten einige wenige Abgeordnete. Allerdings treten diese nicht mehr zur Wahl an oder sind unsicher, ob sie wiedergewählt werden. Daher hatte das Thema keine Priorität. Von den grünen Abgeordneten erhielt ich zwei Antworten. In einem Fall ist eine neue Webseite in Arbeit. Die neue Seite soll dann auch Verschlüsselung unterstützen. Im anderen Fall war die Meinung, dass Verschlüsselung nicht notwendig ist, da alle auf der Seite angebotenen Daten öffentlich sind. Bei der Linken konnte ich einen interessanten Effekt beobachten. Anfangs erhielt ich von den Abgeordneten individuelle Antworten. Ab einem Zeitpunkt kamen eine Art Standardantworten mit ähnlichem Wortlaut. Ich vermute, dass sie sich intern auf eine Sprachregelung geeinigt haben. Bei den individuellen Antworten gab es Abgeordnete, die klar schrieben, dass sie sich mit dem Thema bisher noch nicht auseinandergesetzt haben und noch nicht wissen, wie sie damit umgehen. In einem Fall erhielt ich eine verschlüsselte E-Mail mit Schlüssel und hätte künftig verschlüsselt kommunizieren können. Insgesamt gibt es bei den Abgeordneten noch viel zu tun. Natürlich verwiesen viele auf die bevorstehenden Sommerferien und Wahlen. Daher werde ich die Wahlen abwarten und später nochmal bei den Abgeordneten nachfragen. Vielleicht wird Thüringen der Verschlüsselungs-Standort Nr.1.

August 26 2014

Wie gut erkennen Menschen Gesichter?

Wie gut schätzt ihr euch in der Gesichtserkennung ein? Würdet ihr beliebige fremde Personen wieder erkennen? Ich vermute die meisten denken, dass sie gut in der Erkennung von Gesichtern sind. Bruce Schneier verweist auf eine Studie über Grenzbeamte. Diese sollten ein Foto mit einer Person abgleichen. In etwa 15 % der Fälle dachten die Grenzer, dass die Person vor ihnen dem Foto entspricht, obwohl beide verschieden waren. Das entspricht der Diskussion aus dem Datenkanal zur Gesichtserkennung. Unser Gesprächspartner Jürgen Kaufmann erklärte uns, dass wir gut im Erkennen bekannter Gesichter und sehr schlecht im Erkennen fremder Gesichter sind. Das geht so weit, dass sogar gleiche Gesichter auf demselben Blatt aufgenommen mit unterschiedlichen Kameras als verschieden wahrgenommen werden.

July 03 2014

Werde ich von der NSA überwacht?

Die jüngsten Veröffentlichungen zeigen, dass sich Menschen, die sich für Verschlüsselung interessieren, von der NSA überwacht werden. Einige Leute fragten mich heute, ob sie das denn auch betrifft und natürlich frage ich mich, ob ich auch betroffen sein könnte. Was habe oder hatte ich mit Tor zu tun? Ich stieß ungefähr im Jahr 2003 auf Tor und nutze es seitdem in unterschiedlichen Intensitäten. Ich übersetzte einen Großteil der Webseite ins Deutsche. Hier im Blog stehen immer mal wieder Beiträge zu Anonymität und Tor. Mittlerweile gibt es die dritte Auflage meines Buches Anonym im Netz. Ich gehöre zum Vorstand von TorServers.net, einem Betreiber von Tor-Relays. Ich half, eine Seite mit Fragen und Antworten zu Tor aufzubauen und moderiere dort. Schließlich betreibe ich Anonymisierungsdienste. Werde ich nun überwacht? Ich weiß es nicht. Aber die obige Liste lässt mich nicht unbedingt ruhiger schlafen.

June 27 2014

Sicherheit bei der WM2014

Kürzlich bekam ich eine E-Mail, die mit dem Satz »auf Ihrer Seite kubieziel.de habe ich gelesen, dass Sie über Fußball berichten« begann. Wer meine Seite kennt, wird wissen, dass es hier kaum um Fußball geht. Aber das soll sich ändern. Lagezentrum mit WLAN-Passwort Das Bild stammt von der WM 2014 in Brasilien. Das Symbolfoto sollte wohl nur den Herrn im Lagezentrum zeigen. Stattdessen erblickt das aufmerksame Auge am rechten Rand die Zugangsdaten für das WLAN. Viel Spaß beim Surfen!

June 25 2014

Der Osten lebt

Die DDR existiert seit fast 25 Jahren nicht mehr und schon längst sollte es überall blühende Landschaften geben. Insbesondere würde man annehmen, dass die Unterschiede zwischen BRD und DDR verschwunden sind. Der Tumblr »Der Osten lebt« zeigt anhand einiger Beispielgrafiken, dass es noch einige Unterschiede aufzuholen gibt. Hier finden sich Sachen, wie die Verteilung des Vornamens »Mandy«, die Wahlergebnisse der NPD oder das Alter der Erstgebärenden. Klickt euch durch. Es sind einige interessante Sachen dabei.

June 17 2014

Podiumsdiskussion zu Snowden und NSA mit Ströbele und Dreyer

Die Räume der Friedrich-Schiller-Universität Jena hatte heute zu ungewöhnlicher Zeit ungewöhnliche Gäste. Zur Mittagszeit, wo sonst der Vorlesungsbetrieb in vollem Gange ist, trafen sich verschiedene Politiker, Wissenschaftler und interessiertes Publikum. Die Fraktion von Bündnis90/Grüne hatte zusammen mit der Heinrich-Böll-Stiftung Thüringen, den Politiker Hans-Christian Ströbele und den Politikwissenschaftler Prof. Dr. Michael Dreyer. Beide sollten gemeinsam eine Podiumsdiskussion zum Thema Snowden und NSA bestreiten. Ströbele erzählte zu Beginn seines Vortrages von seinem Besuch in Moskau bei Edward Snowden. Währenddessen oder kurz danach hatte er sich vorgenommen, den Whistleblower zu unterstützen. Dies sollte zum einen durch die Errichtung eines Untersuchungsausschusses wie auch durch einen Aufenthalt Snowdens in Deutschland passieren. Der NSA-Untersuchungsausschuss lag zu Beginn der Legislaturperiode in weiter Ferne. Die SPD, die vor der Wahl noch einen anderen Zungenschlag hatte, verlor mit Regierungsbeteiligung das Interesse an Snowden. Interessanterweise war es die CDU, die den Weg zu dem Untersuchungsausschuss ebnete. Ströbele machte hierfür den Druck aus den Reihen der Bevölkerung verantwortlich. Im Verlaufe des Vortrages versuchte er immer wieder klar zu machen, dass politischer Druck »von der Straße« durchaus in die Politik einwirkt. Die Schritte, die dann passieren, sind leider klein, manchmal zu klein. Mittlerweile wurden erste Juristen im Untersuchungsausschuss angehört. Auch hier erwähnte Ströbele, dass alle drei Juristen einhellig meinten, dass die Überwachung des BND verfassungswidrig ist. Hier gilt es nun, die Gesetze und auch die Arbeit des parlamentarischen Kontrollgremiums anzupassen. Dies soll nach dem Vorbild des United States Senate Select Committee on Intelligence sowie ähnlicher Behörden passieren. Diese haben neben den eigentlichen Gremiumsmitgliedern eine Reihe von unterstützenden Mitarbeitern. Die Mitarbeiter helfen dann beispielsweise bei der Einschätzung technischer Fragen. Ströbele erwähnte einige Male stolz das Unternehmen Posteo. Das kümmert sich um gute Verschlüsselung und sitzt in Kreuzberg. Ich war ja versucht, noch mailbox.org zu erwähnen. Auch das Unternehmen sitzt in Berlin und verschlüsselt die Daten auf dem Transportweg wie auch in der Inbox. Insgesamt regte Ströbele an, dass sich US-Unternehmen, die Probleme wegen starker Verschlüsselung bekommen haben, in Deutschland ansiedeln. Zum Abschluss seines Vortrages klebte er einen Ein-Bett-für-Snowden-Aufkleber in den Hörsaal und überließ Prof. Dreyer das Wort. Dreyer bemühte sich um Gegenrede. Denn nach seinem Bekunden ist ein Podium mit gleichen Meinungen langweilig. Nachdem er einen Werbeblock für diverse andere Veranstaltungen abgespult hatte, fragte er das Publikum, wer denn Jonathan Pollard kenne. Erwartungsgemäß meldete sich (fast) niemand. Pollard gab Dokumente an den israelischen Geheimdienst (oder, wie die offizielle Bezeichnung lautete, das Büro für wissenschaftliche Verbindungen) weiter. Dafür wurde Pollard zu lebenlänglicher Haftstrafe verurteilt. Seit der Verurteilung setzte sich ziemlich jeder israelische Premier bei dem jeweiligen US-Präsident für die Freilassung ein. Bisher waren alle ohne Erfolg. Dreyer nahm dies als Beispiel oder Parallele für ein eventuelles Vorgehen gegen Snowden. Aus meiner Sicht hinkt dieser Vergleich jedoch. Denn Pollards Veröffentlichungen sorgten für die Enttarnung diverser CIA-Agenten und vermutlich sogar für Hinrichtungen einiger Agenten. Das Damage Assessment besteht aus diversen Dateien. Auf der anderen Seite versuchte Snowden Dokumente zu wählen, die niemandem einem Risiko aussetzen und die auch keine legitime nachrichtendienstliche Tätigkeit aufdeckt. Stattdessen versuchte er nur den ungesetzlichen Teil aufzudecken und mit Dokumenten zu belegen. Daher würde ich erwarten und hoffen, dass er im Falle eines Gerichtsverfahrens wenig streng bestraft wird. Die anderen Argumente Dreyers bezogen sich auf die Auslieferungsabkommen, die Deutschland natürlich einhalten muss. Ströbele wandte ein, dass einerseits die Regierung sich gegen eine Auslieferung aussprechen kann und andererseits die Auslieferung für politische Vergehen verboten ist. Die Bundesregierung wurde angefragt, ob es sich bei Snowden um einen solchen handelt. Daraufhin fragte die Regierung in den USA nach deren Meinung. Das sorgte für einige Lacher im Publikum. Dreyer schlug weiterhin vor, statt Snowdens lieber Glenn Greenwald oder Laura Poitras einzuladen. Hier stellte sich heraus, dass er diesen Aspekt nicht gut vorbereitet hatte. Denn beide sind bereits eingeladen. Allerdings werden sie wohl keine Aussage machen, sondern als Journalisten Quellen schützen. Die Empfehlung von Dreyer war, dass sich alle umfassend Gedanken über Vor- und Nachteile machen sollten. Diese Gedanken sollten als Grundlage einer Entscheidung stehen und eventuelle Emotionen sollten zurücktreten. Insgesamt fand ich die Veranstaltung sehr schön. Gerade dadurch, dass Prof. Dreyer versuchte, einen Kontrapunkt zu setzen, wurde die Diskussion interessanter und einige Argumente traten stärker zu Tage. Ich würde mir mehr solcher Veranstaltungen wünschen.

April 30 2014

Stellungnahme zur Videoüberwachung als Hörspiel

Stellungnahmen zu Gesetzentwürfen sind üblicherweise große Papierberge. Die Mitglieder der Ausschüsse müssen diese lesen und interpretieren. Die Initiative Freiheitsfoo ist einen anderen Weg gegangen. Sie bekamen eine Anfrage des Wirtschaftsausschusses des Landes Schleswig-Holstein, in der es um die lückenlose Überwachung in Zügen ging. Freiheitsfoo entwickelte ein Hörspiel und stellte es den Abgeordneten zur Verfügung. Es steht mittlerweile allen zur Verfügung. Hört rein: 201402freiheitsfoo-an-LT-SH-zu-VUE-OEPNV.mp via Patrick Breyer: Videoüberwachung im ÖPNV: Landtag erhält Hörspiel als Stellungnahme

April 11 2014

Ist Open Source besser als Closed Source?

Die operative Hektik angesichts der Heartbleed-Lücke bei OpenSSL legt sich langsam. Ein Großteil der Server scheint gepatcht zu sein und diverse Zeitungen wie andere Medien bringen zur Prime-Time Warnungen an die Nutzer. Jetzt beginnt die Zeit der Spekulation, woher der Bug kommt, ob der absichtlich eingebaut wurde und es wird auch die Frage diskutiert, ob Open Source sicherer bzw. besser als Closed Source ist. Auf der einen Seite steht u.a. Linus’ Law als Argument. Der Erschaffer von GNU/Linux wird mit dem Spruch »Given enough eyeballs, all bugs are shallow« zitiert. Das heißt, wenn nur genügend Leute einen Blick in den Quellcode werfen, so wird jeder Bug gefunden und am Ende ist die Software »rein«. Am Beispiel des Linuxkernel ist zu sehen, wie gut das Modell funktioniert. Allerdings gibt es eine Reihe von anderer Open-Source-Software, wo offensichtlich niemand einen Blick in den Quellcode wirft. Dort bleiben dann zahlreiche Fehler unentdeckt. Das ist dann auch gleich das Argument der Befürworter von Closed Source. Denn dort bekommt niemand den Code zu sehen und kann daher auch keine Fehler finden. So lautet die etwas vereinfachte Argumentation. Forscher vom Lehrstuhl für Betriebssysteme der TU Dresden haben sich dieser Frage im Jahr 2010 genähert. Für ihre Veröffentlichung The Mathematics of Obscurity: On the Trustworthiness of Open Source schufen sie ein Modell, in dem verschiedene Personen versuchen, Schwachstellen in Code zu finden. Wenn die Verteidiger zuerst sind, können sie die Lücke schließen. Die Angreifer haben auf der anderen Seite eine Lücke, über die sie ins System eindringen können. Das Modell widerspricht dem obigen Gesetz von Linus Torvalds. Das Modell erbringt die Aussage, dass die Angreifer bei Open Source immer leicht im Vorteil sind. So nehmen die Forscher an, dass bei einem Open-Source-Projekt die Verteidiger in 6 von 10 Fällen einen Fehler vor dem Angreifer finden. Je nach den weiteren Modellannahmen braucht das Projekt mehr als Tausend oder gar mehr als Zehntausend Mitwirkende. Für den Fall, dass sogar in 9 von 10 Fällen der Fehler von den Verteidigern gefunden wird, können die Forscher zeigen, dass dies unmöglich ist. Alles in allem erscheint Closed-Source-Software besser aufgestellt zu sein. Jedoch sagen die Forscher weiter, dass sie hier einen eingegrenzten Aspekt betrachten. In der Realität beheben die Hersteller von Closed Source die Fehler nicht sofort. Außerdem gibt es dort wirtschaftlichen Druck, Programme zu einem festen Datum herauszubringen. Dies führt dann dazu, dass die Programme nicht getestet sind. Alldies bringt die Forscher zu der Meinung, dass Open Source in der Gesamtschau vermutlich doch Vorteile mit sich bringt. Letztlich bringt gerade Freie Software die Vier Freiheiten mit. Alles in allem kann ich nur nochmal den Aufruf aus meinem letzten Eintrag wiederholen. Nutzt Freie Software, schaut in den Quellcode oder versucht anderweitig zu der Software beizutragen. Damit helft ihr allen!

April 09 2014

Wie funktioniert eigentlich Heartbleed

Lest ihr regelmäßig Bugreports oder Meldungen über Schwachstellen bei SSL/TLS? Wie fühlt ihr euch so? Zur Erinnerung: Ausschnitt aus einer Folie aus dem MUSCULAR-Programm der NSA 22. Februar 2014: Apple wird wegen des goto-fail-Bugs belächelt 3. März 2014: Die freie Bibliothek GnuTLS hat einen ähnlich schweren Bug 7. April 2014: OpenSSL vermeldet die Heartbleed-Schwachstelle Das heißt, drei Monate in Folge gab es schwere Sicherheitslücken in Software zur Verschlüsselung. Ganz unwillkürlich fühlt man sich an die Folien aus dem NSA-Programm MUSCULAR erinnert. Die letztgenannte Schwachstelle ist vermutlich die bislang schwerste. Denn damit ist es möglich, den Arbeitsspeicher eines Computers auszulesen. Dies funktioniert sowohl auf der Seite des Servers wie auch beim Clientprogramm. Dazu ist es notwendig, dass das Programm OpenSSL verwendet und eine Erweiterung von SSL namens Heartbeat aktiviert hat. Dies ist beispielsweise bei Android in der Version 4.1.1 der Fall. Mozilla Firefox hingegen nutzt die NSS-Bibliothek und ist nicht betroffen. Die Webserver nutzen hingegen recht oft die OpenSSL-Bibliothek und sind damit betroffen, falls die Version 1.0.1 bis 1.0.1f von OpenSSL verwendet wird. Sollte jemand von euch die Software nutzen, so upgraded auf mindestens 1.0.1g oder deaktiviert Heartbeat in OpenSSL. Gerade letzteres kann man aus meiner Sicht problemlos tun. Denn bisher fand ich keinen sinnvollen Anwendungsfall für Heartbeat. Doch wie funktioniert diese Lücke eigentlich? Heartbeat (RFC 6520) ist eine Erweiterung für TLS. Ein Teilnehmer einer Verbindung sendet beliebige Daten an den Empfänger. Dieser antwortet mit einer Kopie dieser Daten und zeigt somit, dass die Verbindung noch steht und alles in Ordnung ist. Das Problem dabei ist, dass in einer Anfrage zwei Längenfelder vorhanden sind. Ein Angreifer sendet einfach ein Byte Daten und behauptet, er hätte 64 kB gesendet. OpenSSL liest nun die 64 kB aus dem eigenen Puffer und sendet die Daten zurück an den Angreifer. Der Angreifer kann den Angriff immer und immer wieder starten und erhält so eventuell immer wieder ein neues Stück Arbeitsspeicher (siehe Kommentar von Florian Diesch). Bruce Schneier hat mit seinen Worten vollkommen recht: Catastrophic" is the right word. On the scale of 1 to 10, this is an 11. https://www.schneier.com/blog/archives/2014/04/heartbleed.html Ich hatte in meinem 30C3-Vortrag schon ein OpenSSL-Beispiel reingenommen. Das sollte zeigen, wie kompliziert es sein kann, mit der Software sicheren Code zu schreiben. Auch andere sind, über die Codequalität gestolpert. Daher sind Leute gefragt, die einen detaillierten Blick auf OpenSSL werfen und die Software verbessern. Dazu zählt auch die bessere Lesbarkeit des Codes oder gute Dokumentation. Wenn ihr wissen wollt, ob ihr betroffen seit, schaut lokal auf die OpenSSL-Version, nutzt die Zeile openssl s_client -connect example.com:443 -tlsextdebug 2>&1| grep ‘server extension “heartbeat” (id=15)’ || echo safe oder verwendet den Testservice von Lutz Donnerhacke oder Filippo Valsorda. Weiterlesen: Passwort und Nutzername im Dump der Daten von Yahoo! Mail Netzpolitik.org: HeartBleed: Ein OpenSSL-Bug, der weitreichende Folgen haben könnte Heise: Passwort-Zugriff: Heartbleed-Lücke mit katastrophalen Folgen Heise Security: So funktioniert der Heartbleed-Exploit Zeit: Heartbleed – auf der Gruselskala bis 10 ist es die 11 Ars technica: Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style Vox: The heartbleed bug, explained existential type crisis : Diagnosis of the OpenSSL Heartbleed Bug The Register: Anatomy of OpenSSL’s Heartbleed: Just four bytes trigger horror bug Erweiterung Chromebleed für Google Chrome pacemaker – Client Exploit Do not login to Yahoo! The OpenSSL bug #heartbleed allows extraction of usernames and plain passwords! pic.twitter.com/OuF3FM10GP— Mark Loman (@markloman) 8. April 2014

February 05 2014

Firefox 27 mit TLS 1.2

Jetzt ist der Zeitpunkt gekommen, an dem ich meine Anleitung zu sicheren SSL-Einstellungen löschen kann. Der aktuelle Firefox ist in der Version 27 erschienen. Wie angekündigt, unterstützt der Browser nun standardmäßig TLS 1.1 und 1.2. Damit werden die TLS-Einstellungen über about:config hinfällig. Die Seite How’s my SSL zeigt den Firefox mit Standardeinstellungen als Probably OK an. Sogar Seiten mit AES im GCM-Modus werden korrekt verschlüsselt.

January 27 2014

Neues SSL-Zertifikat für kubieziel.de

In den letzten Beiträgen thematisierte ich die Verschlüsselung von Webseiten. Meine eigene Webseite läuft seit längerer Zeit über SSL/TLS. Das alte Zertifikat lief Ende Januar 2014 aus. Daher war es Zeit für eine Erneuerung. Das neue Zertifikat stammt von CACert. Vermutlich erzeugt das bei vielen eine Warnung im Browser. Daher solltet ihr unbedingt das Root-Zertifikat von CACert importieren. Dann funktionieren auch diese Seiten im Browser.

Mit dem neuen Zertifikat kommt ein neuer Fingerprint: 80:5B:82:22:9C:62:11:69:2E:92:69:9D:60:D1:DD:D3:C3:8C:D1:1A

Durch das fehlende Root-Zertifikat im Browser bewertet SSLLabs die Seite nur noch mit einem F. Bliebe der Fakt unberücksichtigt, würde die Webseite wieder ein A bekommen.

Wer den obigen Informationen nicht glaubt und GnuPG einsetzt, kann folgendes prüfen. Ich habe den obigen SHA1-Fingerprint unterschrieben.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

80:5B:82:22:9C:62:11:69:2E:92:69:9D:60:D1:DD:D3:C3:8C:D1:1A
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
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=Duof
-----END PGP SIGNATURE-----

January 21 2014

Noch jemand ohne TLS1.2?

In meinem Beitrag zur sicheren Einstellung von SSL/TLS im Browser fragte ich, ob ihr Seiten bemerkt, die nicht mit TLS 1.1 oder 1.2 funktionieren. In den Kommentaren und bei Twitter meldeten sich einige. Irgendwann entschied ich, eine eigene Webseite hierfür anzulegen. Die Seite SSL/TLS im Browser dokumentiert Seiten, die nur TLS in der Version 1.0 oder schlechter anbieten. Beim Testen fielen mir sogar einige Seiten auf, die auf das komplett unsichere SSL 2 setzen.

Weitere Seiten könnt ihr mir gern melden. Ich habe ein Pad angelegt. Wenn dort ein neuer Domainname auftaucht, teste ich den und nehme den mit in die Seite auf. Git-Nutzer können die Datei SSL-TLS.org bei Github editieren und mir einen Pull-Request schicken.

Die Daten sollen natürlich nicht ungenutzt liegen. Ich möchte in einem zweiten Schritt die Betreiber der Webseiten anschreiben und diese bitten, auf neuere Protokollversionen zu aktualisieren. Hier würde ich mich über eure Hilfe freuen. Bitte schreibt eure Textvorschläge ins Pad. So können wir gemeinsam ein Schreiben entwickeln und das dann in die Welt schicken. Hoffentlich erreichen wir dadurch eine kleine Verbesserung beim Schutz unserer Daten.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl