Schlagwort: Sicherheit

… jedenfalls wenn man es schon länger nicht mehr benutzt hat:

Dem habe ich nichts hinzuzufügen. ;-)

Wie ihr vielleicht mitbekommen habt, habe ich mich von Wire wieder verabschiedet. Im dortigen Beitrag schrieb ich

Das Hauptproblem ist der Lock-In-Effekt schon vorhandener Messenger, die Leute haben einfach keinen Bock, sich noch einen fünften Messenger nur für mich zu installieren.

und das will ich in diesem Beitrag noch weiter ausführen. Inzwischen habe ich nämlich ein altes Android-Smartphone ohne SIM-Karte, damit ich meinen eigenen Zugang zur gemeinschafts-eigenen WhatsApp-Gruppe habe. Das betrachte ich natürlich nur als Übergangslösung, denn von WhatsApp will ich möglichst schnell weg.

Nun, wo ich also ein Smartphone habe, probiere ich damit auch alles Mögliche aus, was dazu geführt hat, dass ich inzwischen 8 (in Worten: acht!) verschiedene Messenger drauf habe:

• Mit WhatsApp fing es wie gesagt an, das benutze ich über WhatsApp Business mit einer Festnetznummer, die außerhalb der Gemeinschaft niemand kennt. Es hat also keinen Zweck, mich darüber kontaktieren zu wollen. ;-)
• Dann benutze ich im Rahmen des Wandelbündnisses auch auf dem Smartphone FairChat, einen Ableger von RocketChat. Da geht der Salat schon los, denn RocketChat ist offenbar eine komplette Eigenentwicklung und mit keinem anderen Messenger kompatibel.
• Wie schon im Wire-Beitrag erwähnt, habe ich angefangen, die Gemeinschaft an Nextcloud Talk zu gewöhnen, was ich mir aus diesem Grund auch auf dem Smartphone installiert habe. Dabei erwies es sich, dass die Smartphone-Apps davon ohnehin besser funktionieren als der Webclient. Allerdings gilt auch hier: Nextcloud Talk basiert auf Spreed.ME, was wiederum ein anderes Protokoll nutzt, nämlich WebRTC. Der Fokus von Nextcloud Talk liegt auf Videokonferenzen, die wir in der Gemeinschaft allerdings kaum brauchen. Als vollwertiger Ersatz von WhatsApp taugt es jedenfalls derzeit nur bedingt.
• Aus historischen Gründen benutze ich auch immer noch Skype, in erster Linie um mit meiner Freundin zu kommunizieren, außerdem nutzt es auch einer in der Gemeinschaft intensiv. Das ist natürlich eigentlich kein Zustand…
• Dann habe ich mir gedacht, wenn ich schon ein Smartphone habe, probier ich doch auch mal Signal aus. Dieser Messenger ist vor allem unter Nerds verbreitet, & auch er hat das Problem: man kann mit dem Signal-Client nur Signal benutzen, ist also auf das dazugehörige Netzwerk festgelegt.
• Gleiches gilt für Telegram, das ich dann im F-Droid-Store gefunden habe und einfach mal ausprobiert. Dabei habe ich erstaunlich viele Freunde & Bekannte wiedergefunden.
• Im Rahmen des Project Janet, wie wir die Vernetzung der IT-Leute aus der Gemeinschaftsszene genannt haben, haben wir eine Jabber-/XMPP-Gruppe gegründet. Dafür habe ich mir auf dem Smartphone Conversations installiert, was ich ziemlich cool finde. Und mein sechs Jahre alter Jabber-Account kommt endlich mal zum Einsatz. Mike Kuketz ist regelrecht begeistert von Conversations. Im F-Droid-Store gibt’s die aktuelle Version kostenlos, iPhone-Benutzer müssen allerdings draußen bleiben; diese können dafür auf ChatSecure zurückgreifen.
• Schliesslich habe ich mir noch den Facebook Messenger installiert. Nanu, fragt ihr euch jetzt, da bin ich doch längst nicht mehr!? Stimmt, allerdings nutze ich den Diamond Lotus-Gemeinschafts-Account mit.

So sieht es also derzeit auf meinem Smartphone aus. Ein ganz schöner Salat.

So langsam frage ich mich, wie dieser Fefe eigentlich seine gute Laune behält. Für mich fing der Tag mit dem nächsten Kapitel der Prozessor-Apokalypse an (nachdem sie bei Google gerade zu dem Schluss gekommen sind, dass man da mit Software-Patches nichts machen kann). Gestern hatte ich schon Fefes Rant über Grafikkartentreiber gelesen:

Unter Kernel-Code-Auditoren gab es damals teilweise ernsthaft die Frage, warum wir uns hier eigentlich soviel Mühe machen, wenn die Leute da draußen GPUs und Treiber haben, die alles wieder zum Scheunentor machen.

Ach so, & dann natürlich das Berliner Dauerthema BER, über das ich an dieser Stelle keine weiteren Worte verlieren werde als dass es genau ins Bild von Global Clusterfuck passt.

Jedenfalls hatte mir ja gestern Abend noch die Meldung vom EuGH-Urteil zur Arbeitszeiterfassung die Laune verdorben.

Liebe LeserInnen, ich traue mich ja kaum es zuzugeben: Ich habe heute mit sage und schreibe 1 Jahr und fast 5 Monaten Verspätung Firefox Quantum auf meinem Rechner installiert (um genau zu sein die ESR-Version 60.6.1, die ist nämlich bei Gentoo als stabil gekennzeichnet). Bis dahin hatte ich noch Version 56 drauf, diese allerdings nur noch für bestimmte Zwecke, vor allem größere Downloads (s.u.), benutzt und ansonsten hauptsächlich Chromium. Dabei gibt es Firefox Quantum seit 14. November 2017 mit der Version 57.

Der Hauptgrund, warum ich so lange noch bei der alten Version geblieben war, war die Erweiterung DownThemAll!, die wie so viele andere nicht mit Quantum funktioniert. Heise fasst es so zusammen:

Firefox-Nutzer, die viele Erweiterungen installiert haben, könnten eine böse Überraschung erleben: Ab sofort sind nur noch Add-ons erlaubt, welche die mit Version 54 eingeführten WebExtension-APIs nutzen. Sie unterstützen die Multi-Prozess-Architektur des Browsers, was das Arbeitstempo beschleunigt. Die veralteten XPCOM- und XUL-Schnittstellen werden nicht mehr unterstützt, weshalb ältere Erweiterungen nicht mehr funktionieren. Davon betroffen ist etwa das populäre Add-on NoScript, das noch nicht mit Quantum kompatibel ist. Entwickler können das Aussehen des Browsers nicht mehr so stark verändern wie vorher. WebExtensions vereinfacht dafür die Entwicklung von Browser-übergreifenden Erweiterungen.

Weiterlesen…

Da habe ich doch jetzt erst den Film All Creatures Welcome von Sandra Trostel entdeckt, der einen wunderbaren Einblick in die Szene der Nerds & Hacker rund um den Chaos Computer Club gibt:

Aufmerksam wurde ich darauf durch den Vortrag Internet, the Business Side vom 35C3. Überhaupt lohnt es sich unbedingt, mal in den Mitschnitten vom 35C3 zu stöbern.
Eins findet ihr dort übrigens nicht, nämlich den Vortrag von Martin Sonneborn über seine Abenteuer im EU-Parlament.

Die CDU/CSU hat so was von gar nichts aus dem “demokratiegefährdenden” Hack gelernt, da möchte man fast meinen, die wollen gar nichts lernen: CDU/CSU fordern nach Datenklau mehr Ermittlungsinstrumente im Netz. Schauen wir uns mal an, was sie da fordern (nachdem CSU-Staatssekretär Stephan Mayer sich bei Maybrit Illner als wahlweise Ignorant oder Lügner geoutet hatte):

Der CDU-Politiker nannte zudem die Quellen-TKÜ, bei der die Kommunikation von Sicherheitsbehörden erfasst wird, bevor diese verschlüsselt wird, oder Online-Durchsuchungen.

Quellen-Telekommunikationsüberwachung, was verbirgt sich hinter diesem Wortungetüm? Mit einem Wort: ein Staatstrojaner. Der Netzpolitik-Artikel zu Stephan Mayer bringt es auf den Punkt:

Tatsache ist, dass die staatlich geförderte Offenhaltung von Sicherheitslücken dazu führt, dass die Rechner von Millionen von Menschen unsicher sind – auch der Computer von Herrn Mayer.

Weiterlesen…

Lutz Donnerhacke bringt in seinem Kommentar bei Heise auf den Punkt, warum DNS over HTTPS ein Scheiss ist:

Das Internet basiert auf zwei grundsätzlichen Prinzipen: Dezentralität und Interoperabilität. Internet ist das genaue Gegenteil von großen, zentralen Plattformen. Es ist die große, weite Landschaft, nicht der eingezäunte Garten.

Ich hoffe, die besinnen sich bei Mozilla noch eines Besseren.

Eine weitere Stimme zum Thema ist Geoff Huston in seinem Blog, siehe DOH! und Diving into the DNS.

Dan Bernstein wiederum entwickelt DNSCurve als Gegenentwurf zu DNSSEC.

Siehe auch im Allgemeinen Komplexität ist der Feind.

Die ganze Angelegenheit ist also etwas unübersichtlich…

Nachtrag vom 01.04.2019: Mozilla hält mit Einschränkungen nach wie vor an DNS over HTTPS fest. Und aus Security-Perspektive ist natürlich klar, dass DNS over HTTPS die Angriffsfläche massiv erhöht.

Nachtrag vom 17.04.2019: Sehenswerte heiseshow zum Thema: Sicherheit und Datenschutz – Was passiert mit dem DNS?

Nun gibt es also auch ein Hashtag zum Facebook-Ausstieg: #DeleteFacebook. Ich hätte allerdings eher #Fexit dafür genommen. ;-) Jedenfalls bin ich ja schon vor dem Aufkommen dieses Hashtags zum zweiten Mal dort ausgestiegen.

Zusätzlich dazu unterstütze ich hiermit ausdrücklich den Vorschlag von Fefe, den er in seinem Interview mit Meedia macht:

Die erste wichtige Sofort-Aktion wäre, dass die Medien alle Like-Buttons entfernen. Das sind Wanzen für Facebook. Das Einblenden so eines Buttons liefert die eigenen Leser Facebook ans Messer. Ich finde es verlogen, wenn dieselben Medien, die auf ihrer Homepage Dutzende von Trackern und Werbenetzwerken einblenden, dann anklagend den Zeigefinger gegen Facebook erheben.

In seinem Blog empfiehlt er deshalb:

Liebe Leser, angesichts der Facebook-Cambridge-Analytica-Geschichte wäre jetzt vielleicht der geeignete Moment, mal euren Lieblings-Blogs und Zeitungen freundliche (!) Leserbriefe zu schreiben, dass sie bitte die Like-Buttons wegmachen sollen. Und vielleicht auch gleich die anderen Tracker, wenn euch danach ist.

Weiterlesen…

Aktuell fordert die CDU, Cyberangriffe zu ächten. Das ist sehr interessant. Zum einen bin ich mir nicht sicher, ob sich die CDU darüber im Klaren ist, dass sie dann auch den Staatstrojaner ächten müsste. Zum anderen hat Russland eine solche internationale Ächtung bereits im Jahr 2001 in der UN gefordert. Zitat aus Punkt 9:

Any future international information security regime should provide for a harmonized ban on the collection, storage, use or dissemination of information about a person’s private life without his or her agreement and on restrictions to public access to information, except where sanctioned in law.

Übrigens, wegen der letzten Aktion im Netz der Bundesregierung heisst es ja allenthalben wieder “Der Russe ist schuld”. Hmm, vielleicht hat sich aber auch nur irgendwer als Russe ausgegeben, z.B. nach der Anleitung im Blog von x0rz. Das mit der Cyber-Attribuierung ist halt so ne Sache…

Heute mal wieder ein technischer Beitrag, der sich an alle richtet, die Websites betreiben. Falls Ihr es noch nicht mitbekommen habt, ab Version 68 markiert Google Chrome alle HTTP-Websites als unsicher. So lange sollte man allerdings nicht warten, denn schon seit 2014 wirkt sich eine nur unverschlüsselt ausgelieferte Website negativ auf das Google-Ranking aus.

Davon abgesehen fordert die EU-Datenschutz-Grundverordnung in Artikel 32 “die Pseudonymisierung und Verschlüsselung personenbezogener Daten”. Macht man sich klar (z.B. mittels Panopticlick), was so ein Browser einfach nur beim Surfen schon alles für Daten an die Server übermittelt, sind faktisch alle Daten bei einem HTTP-Aufruf personenbezogen und damit zu verschlüsseln.

Kommerzielle TLS-Zertifikate kosten Geld, kostenlose Zertifikate bekommt ihr bei Let’s Encrypt. Mein Provider All-Inkl bietet das vollautomatisch mit wenigen Klicks einzurichten so wie viele andere auch.