Tue, 17 Aug 2010

Skype lässt mithören - ach, echt?

Da wird nun also bekannt, dass Skype das Abhören von Gesprächen zulässt, und die Spatzen pfeifen es von den Dächern...
Wundert sich tatsächlich jemand ernsthaft darüber? Warum sollte gerade diese eine Firma mit dem most closed-source-Angebot nicht mit den Behörden zusammen arbeiten? Steht nicht in allen Datenschutzrichtlinien von Firmen immer das Gleiche:

»Skype, der örtliche Skype-Partner oder der Betreiber bzw. das Unternehmen, der/das die Kommunikation ermöglicht, stellt personenbezogene Daten, Kommunikationsinhalte und/oder Verkehrsdaten Justiz-, Strafvollzugs- oder Regierungsbehörden zur Verfügung, die derartige Informationen rechtmäßig anfordern. Skype wird zur Erfüllung dieser Anforderung angemessene Unterstützung und Informationen bereitstellen, und Sie stimmen hiermit einer derartigen Offenlegung zu.«
Unsere Offenlegung Ihrer personenbezogenen Daten

Ausdrücklich steht dort also auch seit jeher: »Kommunikationsinhalte« und eine »zur Erfüllung angemessene Unterstützung« der Justiz etc. Warum genau also wundert sich auf einmal alle Welt darüber, dass es sich $Firma nicht mit $Behörde verscherzt, sondern vielmehr noch kooperiert?



posted at: 21:09 | path: /2010 | permanent link to this entry | 0 comments | Tags: ,

Mon, 16 Aug 2010

QOTD: Tor

»Research, attack, and improve the Tor design. [...]
Turn the research into code.«

Tor-Entwickler Andrew Lewmann auf der Mailingliste or-talk.



posted at: 22:11 | path: /2010 | permanent link to this entry | 0 comments | Tags: ,

Mon, 26 Oct 2009

Tor fürs Smartphone

Vor wenigen Tagen gab Nathan Freitas in seinem Blog bekannt, dass er erfolgreich eine Tor-Version auf dem Android-Smartphone installiert habe.

Freitas arbeitete daran als Teil seines Engagements im Guardian-Projekt, das sich der anonymen und sicheren Kommunikation mit Google's Opens-Source Mobilplattform Android widmet. Im Zuge des Guardian-Projekts, das vor ein paar Monaten schon einen Preis im Zuge der UC Berkeley Human Rights Center Mobile Challenge erhalten hatte, wurde nun der Tor-Client Orbot entwickelt, der wie auf dem PC Vidalia oder Tork die Prozesse der Anonymisierungssoftware steuert.

Orbot ist komplett in C geschrieben, und soll weniger Ressourcen benötigen, als die entsprechenden bisherigen Implementierungen in Java. Über Versuche, Tor auf dem Android zu installieren wurde schon vor einem Jahr berichtet, und es gibt weiterhin die - allerdings nicht stark frequentierte - Mailingliste zu Tor-in-Java:
Freitas scheint mit seiner Orbot-Entwicklung nun allerdings bereits am weitesten vorangekommen zu sein, und ruft zu aktiver Mitarbeit auf.

Danke an byebyeapplecomputer für den Tip!



posted at: 22:14 | path: /2009 | permanent link to this entry | 0 comments | Tags: ,

Sat, 10 Jan 2009

fetchmail: Mails anonym über Tor abholen

All diejenigen, die schon einen einsatzbereiten Tor-Client eingerichtet haben, können diesen natürlich auch dazu nutzen, um anonymisiert Mails abzurufen. Unter Linux mache ich das im Normalfall per fetchmail. Im Tor Wiki gibt es mehrere Anleitungen, wie man verschiedene Programme dazu bringt Tor zu nutzen - unter anderem auch fetchmail.

Ich habe die Einstellungen einmal durchprobiert und musste feststellen, dass mit meiner Konfiguration nur eine dieser Möglichkeiten funktioniert hat: Diejenige mit dem fetchmail-plugin-Fähigkeiten nämlich:

Zunächst sollte man in der Datei /etc/tor/tor-tsocks.conf nachschauen, ob folgende Einträge enthalten sind:

server = 127.0.0.1
server_port = 9050

Bei mir war das in der unter Debian installierten Version bereits der Fall. Das gleiche gilt für den Eintrag in der Privoxy-Konfiguration unter /etc/privoxy/config:

listen-address 127.0.0.1:8118

Weiter geht es mit den direkten Vorbereitungen für fetchmail: Hat man beispielsweise einen Mailaccount bei gmx.de, sollte man zuerst via

tor-resolve pop.gmx.net

herausbekommen, welche IP-Adresse dieser Server hat, nämlich die 213.165.64.22. Dieser Schritt ist aus dem Grund wichtig, da bei Angabe des Server-Domainnamens ansonsten vor der Mailabholung DNS-Anfragen zur Namensauflösung ungeTORt durchgeführt würden.

Da die Mails ausserdem über eine gesicherte ssl-Verbindung abgeholt werden sollten, besorgt man sich noch das entsprechende Zertifikat via

openssl s_client -connect pop.gmx.net:995 -showcerts

Den im folgenden angezeigten Bereich zwischen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- kopiert man in eine Textdatei, hier im Beispiel cert.pem. Die beiden Zeilen mit den Spiegelstrichen müussen dabei selbstverständlich mit eingefügt werden.

Anschliessend lassen wir uns den Fingerprint des Zertifikats anzeigen:

openssl x509 -in cert.pem -noout -md5 -fingerprint

In diesem Fall wird folgendes ausgeworfen: MD5 Fingerprint=BA:03:AC:50:A9:A0:C7:AF:1E:79:3A:B7:C0:E7:19:5E
Diese Informationen müssen nun in der Datei .fetchmailrc im lokalen Benutzerverzeichnis zusammengetragen werden. Diese sollte anschliessend in etwa so aussehen:

set daemon 300       #Mailabruf alle 300Sekunden
set postmaster "$USER"       #User, der fetchmail startet
set no bouncemail
set logfile /home/$USER/.fetchmaillog       #zur Kontrolle aktivieren wir erstmal eine Logdatei

#Server

poll 213.165.64.22 with       #IP des POP-Servers
       plugin "socat STDIO SOCKS4A:127.0.0.1:%h:%p,socksport=9050"    #tsocks benutzen, über Tor verbinden
       proto pop3
       user 1234567    #Benutzername bei gmx
       pass 89101112    #Passwort bei gmx
       is $USER    #lokaler Benutzername
       ssl     #Verbindung verschlüsseln
       sslcertck    #Zertifikat überprüfen
       sslcommonname pop.gmx.net    #Der im Zertifikat angezeigte Servername
       sslfingerprint "BA:03:AC:50:A9:A0:C7:AF:1E:79:3A:B7:C0:E7:19:5E"    #der Fingerprint des Zertifikats
#     keep    #Falls die Nachricht auch auf dem Server verbleiben soll, die Raute am Beginn der Zeile entfernen

mda '/usr/bin/procmail -f fetchmail'    # Mails an den Mailfilter procmail leiten

Das war's auch schon. Nun kann im Terminal fetchmail eingegeben und gestartet werden. Ab sofort werden alle fünf Minuten die Mails dieses Accounts über das Tor-Netzwerk abgerufen und die eigene Rechner-IP vor gmx verborgen.

Möchte man nun noch schauen, ob wirklich keine DNS-Anfragen an Tor vorbeigeleitet werden, kann in die Datei /etc/tor/torrc noch

SafeSocks 1
TestSocks 1

nachgetragen werden. Danach erscheinen nach einem /etc/init.d/tor --force-reload in der Tor-Logdatei Meldungen, ob diese Anfragen erfolgreich über den Anonymisierungsserver gestellt worden sind.

UPDATE (19.01.09):
Im IRC-Channel des Torprojekts wurde der Hinweis gegeben, dass es gerade im Zuge der Vorratsdatenspeicherung - und bei Mailaccounts welche mit realer Identität angelegt wurden - sogar gefährlich geworden sein könnte, Mails über Tor abzurufen: Es könnten falsche Rückschlüsse gezogen werden, falls die IP-Adresse für den Mailabruf in anderen Zusammenhängen schon einmal aufgetaucht ist.

Über Tor sollten also am besten ausschließlich Postfächer abgerufen werden, die nicht mit einer realen Identität in Zusammenhang gebracht werden können.



posted at: 19:03 | path: /2009 | permanent link to this entry | 3 comments | Tags: , ,

Sat, 20 Dec 2008

Video: How to circumvent censorship

Das Video ist schon eine Weile online, trotzdem soll es auch noch einmal an dieser Stelle lobend erwähnt werden: Der Howcast-Clip »How To Circumvent an Internet Proxy« bietet in nur vier Minuten einen Schnellkurs, wie man (staatliche) Zensur umgehen kann: Durch die Benutzung offener Proxies, oder auch der Anonymisierungssoftware Tor bspw. in Verbindung mit dem Tor Browser Bundle. Ein gewagtes Unternehmen, das alles in unter fünf Minuten - inkl. Erläuterung, was ein Proxy überhaupt macht - unterzubringen. Aber es hat funktioniert, und es ist sehr gut (und auch DAU-fähig) geworden:



via: https://blog.torproject.org/



posted at: 19:31 | path: /2008 | permanent link to this entry | 0 comments | Tags: ,

Sun, 07 Dec 2008

How To Bypass Internet Censorship

FLOSS Manuals Release Circumvention Book, How To Bypass Internet Censorship

December 4, 2008, Amsterdam

A new book released by FLOSS Manuals, How to Bypass Internet Censorship, describes circumvention tools and explains why you might want to use them, and honestly describes the risks you must consider before circumventing blockers or monitors. Blockers and monitors restrict access to areas of the Internet, and this book describes simple techniques for bypassing those restrictions. The book can be read or downloaded for free as a PDF from flossmanuals.net, or you can purchase a high-quality printed copy of the 200 page book through Lulu, an on-demand printer, at http://www.lulu.com/content/4904448 for €10.83 ($14.00).

Vorgestellt werden in diesem frei verfügbaren Buch Hintergründe zur Internetzensur und einige Techniken, wie diese umgangen werden kann: Die sieben Autoren des Bandes befassen sich unter anderem mit Webproxies, Tor, JonDo, OpenVPN und ssh-Tunneling - das alles leicht verständlich und gut nachvollziehbar.
Lizensiert ist das 200seitige Buch unter der GPL v.2.



posted at: 14:53 | path: /2008 | permanent link to this entry | 0 comments | Tags: ,

Wed, 03 Sep 2008

Googles chromfarbener Keylogger

Nur einen Tag ist er alt, der neue Googlesche Browser, für den schon von Beginn an die Monopol-Frage gestellt wird. Nur einen Tag hat es auch gedauert, bis sich die Angst vor der Datenkrake wieder einmal bewahrheitet: Es handelt sich bei dem neuen Browser um einen phantastischen Datensammler, einen großen Keylogger!

Wie Andreas Krennmair dort berichtet, muss nicht einmal die Return-Taste gedrückt werden - nein, jedes Zeichen, das auch nur in die Adresszeile eingegeben wird, wandert ungefragt in die Google-Datenbanken. Feine Sache ist das, besonders da jede Chrome-Installation eine eigene Identifikations-Nummer zugewiesen bekommt, damit auch ja die Eingaben eindeutig zurückzuverfolgen sind. Anhand der Browser-Daten, der Nutzung von Google-Apps und nun noch aller Daten aus der Adresszeile lassen sich sicher prima Nutzerprofile erstellen. Bei den Big-Brother-Awards hat Google schon einmal gewonnen, oder? Geht das eigentlich auch ein zweites Mal?

Achja, die Daten-Sammel-Funktion lässt sich auch ausschalten, ist aber natürlich erst einmal per Default auf �senden� eingestellt.

via fefe



posted at: 20:13 | path: /2008 | permanent link to this entry | 0 comments | Tags: ,

Sat, 14 Jun 2008

New Tor is out

Heute gab einer der Tor-Entwickler, Roger Dingledine, die Veröffentlichung einer neuen Version der Anonymisierungssoftware bekannt.

Die Version 0.2.0.28-rc schließt einen anonymitätsrelevanten Bug, verbessert die Performance der Hidden Services und bietet einige kleinere Fehlerbehebungen. Entsprechende Installationspakete finden sich im Downloadbereich des Torprojektes.



posted at: 16:36 | path: /2008 | permanent link to this entry | 0 comments | Tags: ,

Tue, 10 Jun 2008

Anonymes Postfach im Netz

Die German Privacy Foundation stellte gestern ihr neues anonymes Kontaktsystem vor, die PrivacyBox.

Für die Nutzung dieses Systems muss lediglich ein Accountname registriert werden, und schon können über die PrivacyBox anonym Nachrichten empfangen werden. Dazu bietet die Privacy Foundation ein Kontaktformualar, über das Nachrichten und kleine Dateien für bekannte Accounts hinterlegt werden. Die Daten werden entweder verschlüsselt auf den Servern hinterlegt, oder per Mail an den/die EmpfängerIn weitergeleitet. Hinterlegte Nachrichten können außerdem per POP3s abgerufen werden.

Um die Anonymität aller Beteiligten zu gewährleisten, wird die Nutzung des Dienstes über das Tor-Netzwerk empfohlen - insbesondere, da im Zuge der Vorratsdatenspeicherung ab dem 1.1.2009 die IP-Adressen der NutzerInnen gespeichert werden müssen. Der Dienst kann daher sowohl per Webinterface im www sowie über einen Tor Hidden Service erreicht werden.

UPDATE: Natürlich sollte bei der Benutzung dieses Systems immer auf eigens verschlüsselte Dateien und Texte geachtet werden. Ansonsten können die AdministratorInnen dieses Dienstes - ohne böses unterstellen zu wollen - die erst serverseitig verschlüsselten Inhalte einsehen.

Verwiesen sei an dieser Stelle auch noch auf einen Dienst des CCC: Durch deren anonbox lassen sich völlig anonyme Wegwerf-Email-Adressen generieren, die maximal 24 Stunden lang gültig sind.



posted at: 15:11 | path: /2008 | permanent link to this entry | 0 comments | Tags: ,

Sat, 10 May 2008

Musikvideo via CCTV

Zu irgendwas müssen die 13 Millionen Überwachungskameras in Großbritannien ja gut sein, und sei es nur, das eigene Budget zu schonen:

Die britische Band The Get Out Clause nutzte die allgegenwärtigen Kameras in Manchester dazu, einen möglichst günstigen Videoclip zu drehen. Dazu traten sie einfach auf öffentlichen Straßen und Plätzen auf, und forderten anschliessend die gemachten Überwachungsbänder an, wie es ihnen nach dem �Data Protection Act� zustand.

Herausgekommen ist dabei ein Werbe-Video, und gleichzeitig ein gelungener PR-Gag.

via gulli.com



posted at: 23:24 | path: /2008 | permanent link to this entry | 0 comments | Tags: ,

Wed, 27 Feb 2008

Online-Durchsuchungen erlaubt

über das Urteil des Bundesverfassungsgerichts bzgl. geplanter Online-Durchsuchungen hat vermutlich inzwischen jedeR schon etwas gehört. Aktuell hat nun die Süddeutsche Zeitung ein Interview mit Andreas Lehner veröffentlicht, dem Gutachter des Chaos Computer Club vor Ort in Karlsruhe.

Leider haben die Karlsruher die Durchsuchungen nicht generell verboten - immerhin aber hohe Hürden gesetzt. Ob die tatsächlich Beachtung finden, muss jedoch erstmal abgewartet werden.



posted at: 18:45 | path: /2008 | permanent link to this entry | 0 comments | Tags: ,

Sun, 10 Feb 2008

Die Krake Google

Heute gibt es an dieser Stelle mal einen kleinen Lesetipp für alle Google-BenutzerInnen - sei es einfach nur als Suchmaschine, oder schlimmer noch, als Mailanbieter. Veröffentlicht in Bl�er f�tsche und internationale Politik:

Da der Widerstand gegen diese [Datensammel- Anm. cpunk] Praktiken bislang - trotz gelegentlicher Kritik - insgesamt gering ausfällt, dürfte Google mittlerweile nicht nur über die größte Datenbank an Nutzerinformationen weltweit verfügen. Vielmehr spricht vieles dafür, dass der Konzern heute über mehr Wissen über die Bürgerinnen und Bürger verfügt als irgendeine Institutionen zuvor in der Menschheitsgeschichte.

[...]

Bislang scheinen die meisten Internetnutzer jedoch noch nicht erkannt zu haben bzw. es nicht für wichtig genug zu erachten, dass erst ihr leichtfertiger Umgang den Handel mit den wertvollen privaten Daten ermöglicht. Dabei liegt es in der Hand eines jeden, nicht nur äußerst geizig mit persönlichen Informationen umzugehen, sondern - wo möglich und sinnvoll - keine oder falsche Angaben einzutragen.



posted at: 18:06 | path: /2008 | permanent link to this entry | 0 comments | Tags:

Tue, 11 Dec 2007

die alte leier...

Neil McGovern erklärt uns heute in seinem Blog, dass Privatsphäre und Anonymität im Internet nicht das gleiche sind - und dass man auch nicht zwingend privat und anonym im Internet unterwegs ist, wenn man Tor benutzt. Inzwischen sollte das doch jedeR mitbekommen haben?

So, the question is: do you want privacy or anonymity when using the internet? You need to know what you want before you use a tool, as nothing can beat user education on how to keep your browsing details out of the 'wrong hands'.
http://blog.halon.org.uk/2007/12/11#tor-01



posted at: 22:19 | path: /2007 | permanent link to this entry | 0 comments | Tags: ,

Fri, 09 Nov 2007

Aus gegebenem Anlass...

Aus gegebenem Anlass sei hier noch einmal ausdrücklich auf das Anonymisierungstool Tor hingewiesen. Ausserdem gibt es seit ein paar Tagen wieder eine neue Version der LiveCD/USB Incognito. Mit den Incognito-Images kann man sich anonymisiert im Netz bewegen, da alle Verbindungen automatisch durch Tor �geschleust� werden. Gerade jetzt, da in bälde die gesamte Telekommunikation in D-Land überwacht wird, ist eine Anonymisierung schließlich wichtiger denn je.

Auch �Scharfe Reaktionen auf Absegnung der Vorratsdatenspeicherung� werden das neue Gesetz, das alle Menschen erstmal unter Generalverdacht stellt, nicht mehr stoppen - bleibt nur noch die Hoffnung auf einen Erfolg der angekündigten Verfassungsbeschwerde, der sich bisher bereits über 7000 Leute angeschlossen haben.



posted at: 21:57 | path: /2007 | permanent link to this entry | 0 comments | Tags: ,

Thu, 01 Nov 2007

Vidalia/TorK schnell updaten!

Gregory Fleischer gab gestern auf einer Mailingliste des Anonymisierungstools Tor eine bestehende Sicherheitsl�n Vidalia bekannt. Vidalia ist ein plattformübergreifend verfügbares Bundle der Pakete Tor und Privoxy. Mit Vidalia können die User einfach über eine GUI alle nötigen Konfigurationseinstellungen für den installierten Tor-Client/Server vornehmen.

BenutzerInnen von Windows und Mac OS X sollten nun Vidalia möglichst schnell auf den neuesten Stand bringen: In den Versionen vor 0.1.2.18 wurde bei ihnen eine Privoxy-Konfigurationsdatei installiert, die es bösen WebseitenbetreiberInnen und auch BetreiberInnen von Tor Exit-Nodes erlaubt, Code in das lokale System einzuschmuggeln und/oder die Konfigurationen zu manipulieren.

Noch am selben Tag bestätigte Robert Hogan diesen Fehler auch für das Vidalia-ähnliche Bundle TorK. Hogan wollte noch vor morgen eine aktualisierte Version 0.22 von TorK zur Verfügung stellen.

UP Das betrifft anscheinend nicht nur die Bundles - auch in meiner Privoxy-Installation unter Debian war zumindest die in der Warnung angesprochene Option �enable-remote-http-toggle� standardmäßig aktiviert.



posted at: 19:59 | path: /2007 | permanent link to this entry | 0 comments | Tags: ,

Mon, 22 Oct 2007

Überwachten-blog

Vor ein paar Tagen las ich auf den Seiten von gulli.com schon über die Konsequenzen, die das Wissen vom eigenen Überwachtwerden haben kann.

Diese Geschichte veranlasste mich schon, den entsprechenden Newsfeed zu abonnieren: Zwar erschien der Link dorthin schon auf so einigen Seiten, sollte aber dieser beschriebene Irrsinn durch die ÜberwacherInnen tatsächlich der Wahrheit entsprechen, muss das einfach auch noch einmal hier sein:
annalist ...von fehlgeleiteten Anrufen, Kontokündigungen und allerlei allgemeinem Überwachungsdruck.



posted at: 22:18 | path: /2007 | permanent link to this entry | 0 comments | Tags: ,

Tue, 16 Oct 2007

User-Agent-Generator

Wer sich mit Hilfe des Tools Tor im Internet bewegt, ist bekannterweise schon höchst anonym im Netz unterwegs - wenn man ein paar Dinge beachtet zumindest.

Wer durch Tor im Internet surft, �erhält� schon alle paar Minuten eine neue, nach außen sichtbare IP-Adresse, die eine Identifizierung des jeweiligen Users nahezu unmöglich macht. Was sich allerdings auch durch Tor nicht ändert, ist der jeweilige User-Agent-String des benutzten Browsers, wie bspw.:

Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.8.1.6) Gecko/20070723 Iceweasel/2.0.0.6 (Debian-2.0.0.6-0etch1+lenny1

Der sagt schon ein paar Dinge über BesucherInnen einer Webseite aus - und hat durchaus noch einen erhöhten Wiedererkennungswert, benutzt man eher selten vorkommende Browser, wie Galeon oder Epiphany.

Fabian Keil hat dieses Problem schon vor längerer Zeit durch ein kleines Skript gelöst: durch uagen, dem Firefox-User-Agent-Generator. Man kann durch die Kombination von Tor und Privoxy zwar schon einen fremden User-Agent vortäuschen, leider aber nur statisch. Durch uagen kann nun, eingebunden als Cronjob, in beliebigen Zeit-Intervallen immer wieder ein neuer Agent-String generiert werden... standardmäßig natürlich nur *NIX-Agents ;) - zusätzlich kann bei der Gelegenheit sogar noch der Language-String mit verändert werden.

Die Installation steht also in jedem Fall als nächstes auf der Todo-Liste!



posted at: 22:50 | path: /2007 | permanent link to this entry | 0 comments | Tags: ,

Schwerverbrechen: Reisepassbesitz

Heute gab der Chaos Computer Club e.V. (CCC) eine Presseerklärung heraus, in der die bald bei jeder Beantragung eines Reisepasses in D-Land anstehende Erhebung von Fingerabdrücken kritisiert wird. Die Fingerabdrücke sollen ab dem 1. November 2007 zusätzlich zum bereits auf dem RFID-Chip des Passes vorhandenen Digital-Passfoto gespeichert werden.

Wie der CCC berichtet, vertrauen nicht einmal Auswärtiges Amt und Bundeskriminalamt der Sicherheit dieser Technik:

Das Ausmaß der Gefahren für die Betroffenen durch biometrische Funkchips in Ausweisdokumenten illustrierte der Präsident des Bundeskriminalamts, Jörg Ziercke, höchstselbst. Trotz aller Beteuerungen seiner �Experten� dass die biometrischen Daten �sicher� auf dem funkenden Chip seien, trägt Ziercke seinen eigenen Reisepass in einer funkdichten Abschirmhülle.

Auch das Auswärtige Amt traut den Sicherheitsversprechungen des Bundesinnenministeriums nicht. Diplomatenpässe werden �wegen der besonderen Gefährdungslage� keine Funkchips enthalten. Der normale Bürger hingegen muss mit dem Sicherheitsrisiko ePass auf Reisen gehen.

Wer also nicht in 14 Tagen als SchwerverbrecherIn behandelt werden möchte, nur weil ein neuer Reisepass beantragt wird, sollte die verbleibende Zeit nutzen - und so den Maßnahmen entgehen, die hoffentlich einer anstehenden Verfassungsprüfung nicht standhalten werden.



posted at: 21:56 | path: /2007 | permanent link to this entry | 0 comments | Tags: ,

Thu, 20 Sep 2007

Zwiebel-Routen im Jungle

Heute erschien mal wieder ein lesenswerter Artikel in der Jungle World, in dem erklärt wird, wie man sich möglichst anonym im Internet bewegen kann. Meine 4cent dazu:

Tor ist im übrigen auch nur so intelligent, wie die User, die es benutzen: Anonym heisst natürlich nicht verschlüsselt, wie bspw. hundert Botschaftsangehörige verschiedener Staaten erfahren durften. :-D



posted at: 23:38 | path: /2007 | permanent link to this entry | 0 comments | Tags: ,

Fri, 31 Aug 2007

BKA-Gesetzentwurf veröffentlicht

Zwei Tage, nachdem die Antwortschreiben des Bundesinnenministeriums bzgl. des Bundestrojaners veröffentlicht wurden, bekam nun der Chaos Computer Club den Gesetzentwurf des BKA zugespielt - und der beinhaltet wahrlich ein paar Horrorvorhaben...
Der CCC schreibt in seiner Presseerklärung:

Darin ist u. a. vorgesehen, dass der Einsatz des Bundestrojaners auch ohne die Genehmigung eines Richters erfolgen soll, der normalerweise bei einem Grundrechtseingriff dieser Art obligatorisch ist. Durch die weitgehenden Befugnisse für die Ermittler entsteht der Eindruck, der Bundesinnenminister ignoriere die Vorgaben des Grundgesetzes vollständig.

Auch die Pflicht der Behörde, nach dem Ende von Überwachungsmaßnahmen die betroffenen Bürger zu benachrichtigen, wird durch den Gesetzentwurf weiter eingeschränkt.
[...]
Das BKA soll zudem personenbezogene Daten auch aus den Datenbeständen von Unternehmen erheben, speichern und verstärkt auf die erkennungsdienstliche Behandlung zurückgreifen dürfen. Für Ermittlungen ist der praktisch unregulierte Einsatz von Observationen auch mit Hilfe technischer Mittel vorgesehen. Dies beinhaltet die akustische und optische Überwachung der Betroffenen sowie den Einsatz von V-Leuten und verdeckten Ermittlern auch innerhalb von Wohnungen.

Eigentlich fand ich die Aktion �Stasi 2.0� bisher ja immer ein wenig unpassend... Aber wer obiges liest, muss so langsam wohl ins grübeln kommen, ob sie nicht doch genau den Punkt trifft.



posted at: 21:57 | path: /2007 | permanent link to this entry | 0 comments | Tags: ,

Thu, 30 Aug 2007

Google besitzt alles!

Google ist ja längst als große Datenkrake bekannt... Heute allerdings las ich im Blog von Joshua Greenbaum doch tatsächlich: �The Content in Google Apps Belongs to Google�. Er zitiert in dem Beitrag eine erschreckende Passage aus den Nutzungsbedingungen der Google-Apps, die genau so auch in den deutschen Bedingungen stehen:

11. Von Ihnen gew�te Lizenz f�alte
11.1 Ihre Urheberrechte sowie alle anderen Rechte, die Sie bezüglich der von Ihnen in den oder über die Services übermittelten, eingestellten oder dargestellten Inhalte innehaben, verbleiben bei Ihnen. Durch Übermittlung, Einstellung oder Darstellung der Inhalte gewähren Sie Google eine dauerhafte, unwiderrufliche, weltweite, kostenlose und nicht exklusive Lizenz zur Reproduktion, Anpassung, Modifikation, Übersetzung, Veröffentlichung, öffentlichen Wiedergabe oder öffentlichen Zugänglichmachung und Verbreitung der von Ihnen in oder durch die Services übermittelten, eingestellten oder dargestellten Inhalte.

Ich bin ja kein Jurist, aber auch die finden das äußerst bedenklich, so z.B. Matt Asay: �Does Google own your content?� Er stellt in seinem Beitrag auch fest, dass diese Klausel nicht durch Googles Datenschutzbestimmungen abgeschwächt wird.

For the purpose of �promoting Google services� is too broad--it gives Google way too much wiggle room. And then the follow-on sentence, reserving the right for Google to use one's content for other Google services...I like that even less.
Reading the company's data privacy policy doesn't remediate the above. It leaves a gaping hole for Google to drive its privacy invasion "truck" through.



posted at: 21:10 | path: /2007 | permanent link to this entry | 0 comments | Tags:

Wed, 29 Aug 2007

Bundestrojaner heisst jetzt RFS

Über den sogenannten Bundestrojaner (jetzt also RFS: Remote Forensic Software) wird ja in allen möglichen Blogs und Nachrichtenseiten im Netz eine ganze Menge geschrieben und gelästert - daher habe ich mich da bisher nicht auch noch sonderlich eingemischt...

Nun aber wurden auf netzpolitik.org die Antworten des Bundesinnenministeriums auf Fragen des Bundesjustizministeriums und der SPD-Fraktion zu Schäubles Lieblingsspielzeug dokumentiert und kommentiert. Allein das ist alles schon sehr lustig und lesenswert.

Ein heute veröffentlichter kleiner Verriss von Felix von Leitner in seinem Blog veranlasste mich dann aber doch zu diesem Beitrag - da hat man nämlich schon gleich den zweiten Lacher gefunden. Fefe schreibt u.a. zu der Annahme des BMI, Reverse Engineering sei bei dem RFS wegen der verwendeten Verschlüsselung nicht möglich:

Dieser eine Satz reicht, um ihnen sämtliche auch nur in Resten von Fetzen vorhandene Sachkenntnis pauschal abzusprechen. Das ist so grotesk falsch, daß man sich ab dieser Stelle gar nicht mehr inhaltlich mit ihrem Geschreibsel beschäftigen muß, man kann sich auf den Stil beschränken.

Das ist im übrigen eine ähnliche Feststellung, wie sie schon der ChaosComputerClub in seiner Pressemitteilung zu den peinlichen Trojanerbefällen auf Regierungsrechnern veröffentlichte. Andy Müller-Maguhn, der Sprecher des CCC wird darin zitiert:

Die Behauptung des BMI, die Sicherheitsbehörden und das Bundesministerium des Innern (BMI) verfügten �grundsätzlich über genügenden Sachverstand�, erscheint angesichts der Unfähigkeit, Spionage-Trojaner selbst in sensibelsten Bereichen wie im Kanzleramt zu verhindern, als Pfeifen im dunklen Wald.

Sehr schön, wie sich die Schäuble-Leute gerade blamieren... :D
Das verspricht noch sagenhaften Spaß!



posted at: 19:54 | path: /2007 | permanent link to this entry | 0 comments | Tags:

Mon, 20 Aug 2007

200 gegen VDS

Stolz berichtet heute der Arbeitskreis Vorratsdatenspeicherung, dass sich bereits 200 Ortsvereine, Mandatsträger und Mitglieder von CDU, CSU und SPD offen gegen die geplante Vorratsdatenspeicherung aussprechen - und Heise berichtet groß unter dem Titel: �Wachsende Bedenken gegen die Vorratsdatenspeicherung in der Koalition�

Irgendwie vergessen wird aber zu erwähnen, dass an der Online-Kampagne bisher nur 26 komplette Orts- und Kreisverbände (vor allem von Jusos und SPD) teilnehmen. Die restlichen Unterzeichner sind ausnahmslos Einzelpersonen aus kleinen Lokalparlamenten...
Glaubt wirklich irgendwer ernsthaft, dass die paar Stimmen ins Gewicht fallen? Noch dazu diejenigen aus irgendwelchen kleinen Provinzkäffern?

Gewichtiger sind da sicher prominentere Stimmen, wie die von Andrea Nahles (SPD), Ottmar Schreiner (SPD), Jörn Thießen (SPD) und Peter Gauweiler (CSU), die an anderer Stelle ihren Unmut kundgetan haben.

Und viel wichtiger (vor allem: erfolgversprechender) als diese 200 Leutchen wird auch sowohl die Klage Irlands vor dem Europäischen Gerichtshof sein, als auch die geplante Sammelklage gegen die Vorratsdatenspeicherung vor dem Bundesverfassungsgericht. Zu dieser Klage haben sich immerhin schon 17.000 Menschen online bereit erklärt, und 5.000 davon dem Anwalt ihre Vollmacht übersandt!



posted at: 23:01 | path: /2007 | permanent link to this entry | 0 comments | Tags: ,

Thu, 09 Aug 2007

Lauschen mit dem IMSI-Catcher

Die Frankfurter Allgemeine liefert in ihrer Online-Ausgabe einen Bericht, wie man ganz einfach die Gespräche Dritter mithören kann, die diese über ihr Mobiltelefon führen.

Es braucht nur den IMSI-Catcher: Damit gaukelt man der Basisstation vor, man sei das abzuhörende Handy, und diesem Handy gibt man sich als Basisstation aus. Klingt alles recht einfach - und tatsächlich wurden mit dieser Methode im Jahre 2006 ganze 40.915 Anschlüsse überwacht. Für UMTS-Handys braucht man zwar noch zusätzlich einen Störsender, der dafür sorgt, dass das Gerät auf das GSM-Band wechselt - aber wenn man schon dabei ist, macht das ja auch keine großen Umstände mehr.

Ein Blick auf meinen Kontoauszug sagt mir allerdings, dass das 200.000€ günstige Gerät nicht unbedingt meiner Preisklasse entspricht... aber da gibt's sicher genügend andere Kundschaft.



posted at: 23:00 | path: /2007 | permanent link to this entry | 0 comments | Tags: ,

Mon, 06 Aug 2007

Fremdmailen mit geklauten Cookies...

Auf den Seiten von golem.de fand ich gerade einen interessanten Artikel darüber, wie man sich mit abgefangenen Cookies in anderer Leute Accounts einklinken kann.

Berichtet wird von einem Programm, das in offenen wlans ganz einfach übertragene Cookies abfängt, und man damit anschließend bspw. auf Webmail-Seiten anderer Leute Accounts benutzen kann. Dabei handelt es sich wohl vor allem um solche längerfristig gespeicherten Cookies, die man durch anklicken von Optionen wie �Eingeloggt bleiben� oder �Automatische Anmeldung� von den Webseiten bekommt.

In dem Beispiel werden vor allem Webmailer angesprochen wie Googlemail - die Sicherheitslücke gilt aber auch für alle anderen Seiten, die ein langfrisitiges/automatisches Einloggen gestatten: Die beliebten Seiten Golem und Heise also auch. Hier könnte man zwar nur unter fremdem Namen Kommentare in deren Foren schreiben - aber immerhin.

Helfen dürfte allerdings, wenn man für solche langfristigen Anmeldungen verschlüsselte Verbindungen benutzen würde... allerdings werden offenbar �Automatische-Anmeldungs�-Cookies oftmals auch unverschlüsselt übertragen. Und Webmailanbieter wie bspw. gmx.de bauen nur eine verschlüsselte Verbindung auf, tippt man per Hand �https� in die Adresszeile ein - anstatt die ssl-Verschlüsselung zum Standard-login zu machen.



posted at: 20:31 | path: /2007 | permanent link to this entry | 0 comments | Tags:

Sun, 29 Jul 2007

Papers in Anonymity

Durch Roger Dingledines Hinweis im Tor IRC channel (#tor on irc.oftc.net), wurde ich gestern nacht auf eine interessante Sammlung an Papern aufmerksam, die allesamt das Thema Anonymität im Internet zum Thema haben.

Unter freehaven.net/anonbib finden sich allerlei pdf- und Postscript-Dokumente aus den letzten 30 Jahren zum Thema. Dabei geht es beispielsweise um »Verschlüsselung als Mittel gegen Traffic Analysen«, anonyme Remailer, anonyme Kommunikation allgemein, peer2peer- und natürlich um das Tor-Netzwerk.



posted at: 18:50 | path: /2007 | permanent link to this entry | 0 comments | Tags: ,

Wed, 25 Jul 2007

Incognito r192 LiveCD veröffentlicht

Heute gab Pat Double die Veröffentlichung einer neuen Version seiner LiveCD Incognito bekannt.
Mit diesem Image ist es möglich, so anonym als möglich in Internet zu surfen. Bootet man von der CD, sind alle Programme die sich mit dem Internet verbinden, so vorkonfiguriert, dass sie dies nur durch das Anonymisierungsprogramm Tor hindurch tun.

Enthaltene Programme sind zum Beispiel Firefox 2.0.0.5, Thunderbird 2.0.0.5, XChat, kopete (inkl. Off The Record Verschlüsselung, OTR), Pidgin (inkl. OTR) - und natürlich die aktuellste Tor-Version 0.1.2.15. Ausserdem ist TrueCrypt enthalten, welches gleich das erstellte home-volume verschlüsselt.



posted at: 18:33 | path: /2007 | permanent link to this entry | 0 comments | Tags: ,

Sun, 22 Jul 2007

Anonyme Netzsuche

Wie golem.de heute berichtet, wird der Suchmaschinenanbieter Ask.com in naher Zukunft eine Anonymisierungsfunktion einführen. User, die Wert auf ihre Privatsspähre legen, können dann durch die Funktion AskEraser auf Knopfdruck die eigene Suchgeschichte löschen.
Verfügbar sein wird die Funktion in den USA und Großbritannien bis Ende dieses Jahres, weltweit dann bis Ende 2008.
Zusätzlich zieht Ask.com bei der Verbindung von Suchanfragen und IP-Adressen mit Google gleich, und wird diese Daten dann jeweils nach 18 Monaten löschen.



posted at: 19:40 | path: /2007 | permanent link to this entry | 0 comments | Tags:

Fri, 20 Jul 2007

Web-basierter Anonymisierer geschlossen

Ohne ein Wort der Erklärung wurde der web-basierte Anonymisierungsdienst von anonymizer.com eingestellt.

Ab sofort kann man nur noch eine Desktop-Variante herunterladen und installieren - dumm nur, dass es dieses Paket nur für Windows 2000 und XP gibt. Die Software war schon immer closed source, und kostet nun auch noch Geld.

Da man sich nun also eh Anonymisierungssoftware installieren muss, kann man auch gleich auf Tor zurückgreifen. Das gibt es für alle gängigen Betriebssysteme und ist dazu noch völlig Open-Source.



posted at: 19:07 | path: /2007 | permanent link to this entry | 0 comments | Tags:

Wed, 18 Jul 2007

Google ein bisschen weniger böse...

Wie gulli.com meldet, versucht sich die Datenkrake Google nun ein wenig im Respektieren anderer Leute Privatssphähre:
Hatten die Cookies der Riesen-Suchmaschine bisher eine Lebensdauer bis ins Jahr 2038, so sollen diese nun bereits nach zwei Jahren ihre Gültigkeit verlieren.

Angeblich nutzt Google diese Cookies nur dazu, um den Usern bei jedem neuerlichen Besuch ihrer Seiten die Neueinabe entsprechender Daten und Einstellungen zu ersparen. Die überlange Lebensdauer der kleinen netten »Helferlein« war jedoch immer auch schon Synonym für die Datensammelwut der »bösen Krake« Google.

Ach, ein kleiner Hinweis fehlt noch: Auch wenn die Cookies nun nur noch zwei Jahre lang leben sollen, so werden sie jedoch natürlich bei jedem Besuch Googlescher Seiten wieder aufgefrischt - und die Lebensdauer auf neuerliche zwei Jahre zurückgesetzt. Nichts als ein Werbegag also....

Bleibt im Grunde nur, Google mindestens zwei Jahre lang komplett fern zu bleiben - oder aber gleich auf scroogle.org umzusteigen. Dieser Dienst leitet Suchanfragen anonymisiert an Google weiter, und zeigt dann die erste Ergebnisseite an. Ganz ohne Cookies, und ganz ohne Sammelleidenschaft.



posted at: 20:33 | path: /2007 | permanent link to this entry | 0 comments | Tags: ,

Sun, 08 Jul 2007

Wer nichts zu verbergen hat....

...sollte sich einmal diese feine Seite ansehen:

www.myfingr.com

Add your fingerprints today and become a part of the hottest fingerprintdatabase worldwide.
Sehr schön. Unbedingt mitmachen! ;-)



posted at: 15:37 | path: /2007 | permanent link to this entry | 1 comments | Tags: ,

ROCKate: Hackerparagraph fordert erstes Opfer

Nun ist es also so weit: Nachdem der deutsche Bundestag am 25.05.2007 den sogenannten Hackerparagraphen abgesegnet hat, gibt es nun die Ersten, die sich aufgrund der zu befürchtenden Konsequenzen ins stille Kämmerlein zurückziehen.

Benjamin Schieder gab nun in einer Mailingliste des Anonymisierungsprogramms Tor bekannt, dass er aus Angst vor einer möglichen Kriminalisierung seiner Arbeit die Weiterentwicklung der Tor-Live-CD ROCKate aufgeben werde. Durch Benutzung besagter Live-CD ist es BenutzerInnen möglich, sich anonym im Internet zu bewegen.

Da nun auch der Bundesrat die umstrittene Novellierung des Strafgesetzbuches gebilligt hat, bleibt nur noch zu hoffen, dass sich EntwicklerInnen ausserhalb D-lands finden, um die Anonymisierungs-CD weiter zu entwickeln.

Hier Benjamins Mail im Wortlaut:

Hi people.

In response to a law that passed the german legislative today, I will cease production, development and distribution of ROCKate binaries and - maybe - even source code soon.
The reasen is §202c StGB which states (IANAL translation):

"Producing, acquiring, selling, giving, distributing or making-accessible of passwords or other access codes as well as computer programs whose aim it is to commi a crime ... will be punished with up to one year in jail or a fine."

See also: http://www.phenoelit.de/202/202.html

Basically, these waters are too hot for me to tread in. Though the official reading of the wall - reading from politicians that is - says that they only target 'criminals' and there is no need to worry with the wording, nobody knows when some underworked lawyer thinks he might go on to sue the ass off of everyone in IT.

If someone wants to mirror/host/develop ROCKate further, be my guest. If you need technical assistance, I can offer guidance, but I probably won't write a single line of code anymore. Sorry.

Greetings,
Benjamin



posted at: 14:35 | path: /2007 | permanent link to this entry | 0 comments | Tags: , ,