Aktualisierungen gibt es im Changelog, als RSS-Feed
oder im [matrix] Raum #prhdb-changes:nitro.chat

Privacy-Handbuch

Aktualisierungen stehen auch als RSS-Feed zur Verfügung.

Letzte Überarbeitungen im Privacy-Handbuch:


Firefox user.js Konfigurationen (22. Feb. 2021)

Für Firefox Release und für Firefox 78.x gibt es getrennte user.js Konfigurationen. Für Firefox 78.x ESR hat sich die Download Adresse der user.js Konfigurationen geändert. Für Firefox 85+ gibt es folgende Parameteränderungen:


Wie findet man eine starke Passphrase? (19. Feb. 2021)

Es gibt mehrere, mathematisch begründete Möglichkeiten, um starke Passwörter zu generieren: Passwortmanager wie KeepassXC enthalten einen Passwortgenerator und für memorierbare Passwörter gibt es die Akronym-Methode, die Collage Methode oder das Diceware Verfahren.

MAC-Adresse faken für Linux (aktualisiert) (05. Feb. 2021)

Die alte Version der Anleitung bezog sich auf den NetworkManager v1.4, aktuell wird NetworkManager v1.6 von fast allen Linux Distributionen eingesetzt.


Btw: Einige Leser haben es wahrscheinlich schon bemerkt. Die Webseite vom Privacy-Handbuch wurde ins 21 Jahrhundert katapultiert und ist jetzt auch auf Smartphones lesbar. Danke an alle, die geholfen haben, das neue Design zu entwicklen und jede einzelne HTML-Seite umzuschreiben.


OpenVPN Client unter Linux einrichten (02. Feb. 2021)

OpenVPN hat den Vorteil, dass es unter Linux auf Client Seite sehr einfach zu konfigurieren ist. Die nötige Software ist in Regel standardmäßig installiert oder wird mit einem Befehl nachinstalliert:

Ubuntu: > sudo apt install openvpn network-manager-openvpn-gnome resolvconf
Fedora: > sudo dnf install openvpn NetworkManager-openvpn-gnome resolvconf

Die VPN-Provider oder die Administratoren der IT-Abteilung einer Firma können eine Konfigurations­datei zum Download bereit­stellen, die man einfach nur importieren muss.

Unter Linux fügt man ein VPN im NetworkManager hinzu, der auch LAN- und WLAN-Verbindungen verwaltet. Nachdem man die OpenVPN Konfiguration von der Webseite des VPN-Providers herunter geladen hat, wählt man "VPN hinzufügen" und die Variante "Aus Datei importieren".

Im folgenden Dialog muss man nur noch die Login Credentials für die Anmeldung angeben. Bei der Speicherung des Passworts für die Anmeldung gibt es mehrere Möglichkeiten:

Man kann das VPN mit einem Klick aktivieren, sobald man mit einem Netzwerk verbunden ist.


Messenger Wire: Mutterfirma wieder in DE (30. Jan. 2021)

Die Wire Swiss GmbH, die die Server der Infrastruktur betreut ist seit einiger Zeit eine Tochterfirma der Wire Group Holdings GmbH in München (DE). Die US-Firma ist raus. Wikipedia und ein paar andere Quellen sind nicht auf dem aktuellen Stand. (Vielleicht haben deutsche Kunden wie die Bundes­regierung ein Machtwort gesprochen?)

Das Angreifermodell als Basis für das Sicherheits­konzept von Wire, ist deutlich schwächer als bei Signal App oder Threema. Ein Angreifer mit physischem Zugriff auf das Datei­system des Gerätes wird bei Wire nicht in Betracht gezogen. Eine verschlüsselte Speicherung der Daten (wie bei Threema oder Signal App) ist im White­paper (PDF) von Wire aus­drücklich nicht vorgesehen.

Das Whitepaper postuliert, dass unter Android der Schutzwall gegen Zugriffe auf die gespeicherten Daten durch anderen Apps ausreichend ist, und empfiehlt auf PCs und Laptops die Verschlüsselung der Festplatte (was aber auf Mehr­benutzer­systemen nicht gegen Zugriffe durch Dritte schützt).

Außerdem gibt es noch die unverschlüsselte Speicherung der Metadaten auf dem Wire Server. Haben wir 20 Jahre gegen die Vorratsdaten­speicherung bei E-Mails gekämpft, um sie dann bei einem Messenger "aus technischen Gründen" ohne Widerstand zu akzeptieren?


Firefox: Netzwerk Partitionierung und Dynamic First Party Isolation (29. Jan. 2021)

Basierend auf den Erfahrugen mit FirstParty.Isolate hat Mozila das Konzept überarbeitet und komplett neu implementiert. Dabei wurde der Schutz in zwei Komponenten aufgeteilt:

HINWEIS: Wenn man das ältere Konzept "FirstParty.Isolate" aktiviert, dann wird der alte Code verwendet und nicht die neue "Netzwerk Partitionierung" oder "Dynamic First Party Isolate"!

Die user.js Konfiguration vom PrHdb verwenden das ältere "FirstParty.Isolate" und werden erst mit dem nächsten Firefox ESR Major Release auf das neue Konzept wechseln.


Telegram: Bewertung von Europol (23. Jan. 2021)

Weil Telegram bei rechten Gruppen usw. populär ist, gilt der Messenger zunehmend als "schmutzig". Dem gegenüber steht die Einschätzung von Europol, dass Telegram sich erfolgreich bemüht, Terror- und Hasspropaganda und Aufrufe zu Straftaten zu entfernen:

Telegram is no place for violence, criminal activity and abusers. The company has put forth considerable effort to root out the abusers of the platform by both bolstering its technical capacity in countering malicious content and establishing close partnerships with international organisations such as Europol.

Im Nov. 2020 wurden 17.975 Kanäle und Bots gelöscht, im Dez. 2020 waren es 17.279…


Drive-by-Downlod Angriffe mit bösartigen Schriftarten (23. Jan. 2021)

Potente (staatliche) Hacker kombinieren Bugs im Font Rendering gern mit 0-Days Bugs im Browser, um nach der Kompromittierung des Bowsers den Rechner vollständig zu übernehmen:


Immutable (unveränderbare) Linux Distributionen (20. Jan. 2021)

Immutable (unveränderbare) Distributionen sind eine Basis für Software Entwickler und andere Bastler, die gern mit dem Gerät spielen und sich ärgern, wenn die Installation dabei kaputt geht.

Das Hostsystem ist nicht veränderbar und damit stabil. Alle Modifikationen, Installation von Software erfolgen in sogenannten Containern, die man einfach erstellen, nutzen und wegwerfen kann.


Terrorzahlen 2019 (19. Jan. 2021)

Im Jahr 2019 gab es in Europa insgesamt drei erfolgreiche Terroranschläge mit jihadistischem Hintergrund und ein rechtsextremer Terrorangriff. 10 Personen sind dabei gestorben. Gegen­über den Vorjahren (2018: 7 Anschläge) und 2017 (10 Anschläge) ein Rückgang.

Es wurden 1.004 Terroristen in Europa verhaftet. 115 geplante Terror­angriffe waren nicht erfolgreich und wurden verhindert. In Deutschland wurden 3 Anschläge verhindert und 35 potentielle Terroristen verhaftet, davon 32 mit jihadistischem Hintergrund. (TE-SAT 2020)

(Und da alles ohne den Zugriff auf verschlüsselte Kommunikation von Messengern wie Signal oder Threema.)


Firefox: Favicons als Supercookie (19. Jan. 2021)

Die Nutzung der Favicons als EverCookies kann man verhindern, indem man keine Favicons von den Webseiten lädt: browser.chrome.site_icons = false

(Da diese Trackingmethode eher theoretisch ist, gibt es diese Option nur in der strengen Konfig.)


iFrames blockieren mit uBlock Origin (Nachtrag) (18. Jan. 2021)

Nach dem Update der uBlock Konfig gestern gab es ein paar Proteste, weil Youtube nicht funktionierte und ein paar andere Webseiten. Deshalb nochmal nachgebessert. Es gibt nur eine Regel für iFrames und alle iFrames können mit einem Klick geladen werden: *$3p,frame,redirect=click2load.html Eine neue Konfiguration ublock-config-5.txt liegt bereit.

iFrames blockieren mit uBlock Origin (17. Jan. 2021)

Die Anleitung zum Blockieren von iFrames mit uBlock Origin wurde überarbeitet und an die aktuelle Version von uBlock angepasst. Außerdem steht eine Konfiguration ublock-config-3.txt mit den Anpassungen zum Download bereit. Ein Update wird ausdrücklich empfohlen!

Mit dem Add-on uBlock Origin blockiert man iFrames von Drittseiten, indem man auf dem Reiter "Eigene Filter" einige Filterregeln einfügt:

iFrames von Drittseiten werden mit der folgenden Filterregel immer blockiert: *$3p,frame Für eingebettete Videos von youtube.com, scribd.com und vimeo.com kann man Aus­nahmen definieren, die mit einem Klick auf den blockierten iFrame geladen werden dürfen: ||youtube.com/embed/$3p,frame,redirect=click2load.html
||youtube-nocookie.com/embed/$3p,frame,redirect=click2load.html
||scribd.com/embeds/$3p,frame,redirect=click2load.html
||player.vimeo.com/video/$3p,frame,redirect=click2load.html

dnsforge.de: signiertes DoT-Server Profil für iOS 14 (16. Jan. 2021)

dnsforge.de stellt für iOS 14+ neben dem DNS-over-HTTPS Profil auch ein signiertes DNS-over-TLS Profil für iOS 14+ zum Download bereit. DoT arbeitet etwas performanter als DoH.


Überwachung der Bewegungsdaten in Corona-Zeiten (13. Jan. 2021)

Zu Weihnachten und Silvester 2020 führt das Statistische Bundes­amt eine außer­plan­mäßige Sonder­aus­wertung der anonymisierten Mobil­funk­daten durch, um die Einhaltung der Corona­beschränkung durch die Bevölkerung zu prüfen.

Man könnte natürlich den braven Bürger simulieren und das Smartphone zuhause lassen, wenn es nicht so schwer fallen würde, auf das kleine Gadget für kurze Zeit zu verzichten.

Der CSU Politiker u. Brandl schlägt in einem Interview beim Bayrischen Rundfunk vor, auf die Anonymisierung der Mobilfunkdaten zu verzichten und die Bewegungsdaten aller Bürger der Polizei zur Auswertung und Durchsetzung von Ausgangs­beschränkungen zu Verfügung zu stellen, insbesondere um die Einhaltung der 15km-Regel durchzusetzen.

Wir müssen einfach mehr Mut haben, dass man die digitalen Möglichkeiten nutzt.

Den Mut, die digitalen Möglichkeiten zu nutzen, hatte die NSA schon vor 20 Jahren.

Aber wenn sich diese Ansicht durchsetzt, würden sich viele Anwendungs­möglichkeiten ergeben. Man könnte z. B. die Einhaltung der Höchst­geschwindigkeit auf Autobahnen so über­wachen und automatisiert Bußgeld­bescheide erstellen, um die Polizei zu entlasten. Das könnte Leben retten, wenn es deshalb zu weniger Unfällen kommt…


Ein paar Kleinigkeiten bei DNS Servern (10. Jan. 2021)


Harte und weiche Verifikation bei Messengern (08. Jan. 2021)

Auch wenn die Krypto nicht gebrochen werden kann, sind verschiedene Angriffe möglich:

Gegen diese Angriffe schützt eine Verifikation der Kommunikationspartner:

Firefox: Update moderate user.js (Salto rückwärts) (08. Jan. 2021)

In der moderaten user.js wurde die folgenden Parameter wieder auf TRUE gesetzt: privacy.clearOnShutdown.siteSettings = true
privacy.clearOnShutdown.history = true

Wenn die Option privacy.purge_trackers.enabled aktiv ist, dann löscht Firefox 1x in 24 Stunden alle Cookies und Evercookies von Domains, die in der Blockierliste für den Trackingschutz gelistet sind (aber nur wenn die Domain in den letzten 72 Stunden nicht als First-Party mit Nutzer­interaktion aufgerufen wurde). Das Feature ist überflüssig, wenn man beim Beenden von Firefox alle Daten löscht, wie bisher empfohlen.

In einer zukünftigen Version werden die Parameter entfernt werden, die standardmäßig die richtige Einstellung haben, aber noch nicht heute.


Telegram: Nearby Feature (07. Jan. 2021)

Telegrams Nearby ist ein Social Feature, das man eher bei Dating Apps wie Tinder vermuten würde. Man kann unter "Kontakte - Leute in der Nähe finden" nach Personen und lokalen Gruppen suchen, die ihren Standort für diese Funktion freigegen haben, um gefunden zu werden.

(In den Gruppen bieten fliegende Händler Waren an, die sonst schwer zu bekommen sind.)

Wenn man selbst seinen Standort für die Leute in der Nähe freigibt, dann können Leute in der Umgebung auch den Standort ermitteln. Telegram zeigt nur die Entfernung an, aber mittels Triangulation (ein paar Meter nach rechts gehen und dann nach links) kann man den Standort interpolieren. Für Heise.de ist das ein Security Bug aber Telegram kommentierte:

People in the Nearby section intentionally share their location, and this feature is disabled by default. It's expected that determining the location is possible under certain conditions.

(Telegram Bashing hat bei Heise.de in den letzten Wochen deutlich zugenommen.)


Firefox: Updates der user.js Konfigurationen (06. Jan. 2021)


Firefox: Schutz gegen Redirect Tracking wirkungslos mit user.js vom PrHdb (05 Jan. 2021)

Im April 2020 hat Mozilla in einem Blogartikel damit geprotzt, dass Firefox 79+ Redirect Tracking erkennen und die Trackingmarkierungen entfernen kann. Das Feature aktivierte man unter "about:config" mit:

privacy.purge_trackers.enabled = true (Default für Firefox 83+)

Die Funktion ist leider buggy und die Realität des Source Code stimmt nicht mit der Beschreibung in der Doku überein. Die Einstellung ist wirkungslos, wenn man die History und SiteSettings beim Beenden von Firefox löschen lässt, wie der Quellcode zeigt.

Da die Option seit FF83 standardmäßig aktiviert ist und außerdem wirkungslos, wird sie aus den user.js Konfigurationen entfernt.


iPhones: Tracking der Bewegungsdaten für Apps einschränken (03. Jan. 2021)

Im Dez. 2020 hat der norwegische Journalist M. Gundersen eine Recherche veröffentlicht, die demonstrierte, das viele Apps Standortdaten sammeln und an irgendwelche Firmen im Wilden Westen verkaufen, die aus den Daten detaillierte Bwegungsprofile erstellen.

iPhones bieten in den Einstellungen unter "Datenschutz – Ortungsdienste" die Möglichkeit, für jede installierte App individuell festzulegen, ob und wann sie den Standort abfragen darf.

Nach der Installation einer App kann man die Einstellungen kontrollieren:


Firefox: Update der user.js Konfigurationen (03. Jan. 2021)

In der moderaten, strengen und Hostspot user.js wurde folgende Option aktiviert (s.u.) security.certerrors.mitm.auto_enable_enterprise_roots = false Folgende Wert wurden entfernt: Außerdem wurden ein paar Fehler in der Dokumentation beseitigt.

Firefox: Enterprise Root Certificates (03. Jan. 2021)

Enterprise Root Certificates werden bei Firefox die Root Zertifikate des Betriebssystems genannt. Es gibt unter Umständen Gründe, warum Firefox diese Root Zertifikate zusätzlich zur Validierung von HTTPS Verbindungen nutzen sollte. In Firmen ist es beispw. oft üblich eigene Root Zertifikate für interne Webseiten und HTTPS Proxy Server zu verteilen. Wenn Viren­scanner als MitM den HTTPS Traffic scannen wollen, nutzen sie auch oft diesen Weg.

Es gibt aber auch Gründe, die dagegen sprechen, diese Zertifakate zu nutzen und nur dem Zertifikatsspeicher von Firefox zu vertrauen. Man steuert das Verhalten mit der Variable: security.enterprise_roots.enabled = false (Default)

Wenn bei einer HTTPS Verbindung der Zertifikatsfehler "CertError: Man-in-the-Middle" auftritt, aktiviert Firefox automatisch die "Enterprise Root Certificates" und versucht erneut, das fehlerhafte Zertifikat zu aktivieren. Diese automatische Aktivierung verhindert man mit: security.certerrors.mitm.auto_enable_enterprise_roots = false Bei Bedarf muss man Verwendung von Enterprise Root Certificates, die im Betriebs­system installiert wurden, selbst aktivieren (z. B. in Firmenumgebungen).

Tor: Sicherheitskonzept für hohe Ansprüche (01. Jan. 2021)

Angriffe zur Deanonymisierung von Tor Nutzern konzentrieren sich üblicherweise auf die Client Anwendung (z. B. den Webbrowser). In mehreren bekannten Fällen wurde durch Ausnutzung von Security Bugs im TorBrowser ein kleiner Trojaner auf dem Rechner von Zielpersonen installiert, der IP- und MAC-Adressen des Rechners ermittelt und an einen Server des Angreifers sendet.

Ein Sicherheitskonzept für hohe Ansprüche verhindert die Deanonymisierung...


Empfehlungen für VPN-Provider (Kurzfassung) (30. Dez. 2020)

Für die Umgehung geo-spezifischer IP-Sperren, zur Vermeidung von Gefahren in öffentlichen WLANs (Hotel, ICE usw.) oder zur Verhinderung des Trackings von Reisetätigkeiten anhand wechselnder IP-Adressen sind folgende VPN-Provider empfehlenswert:

Die Smartphone Apps enthalten keine Tracker und fordern nur die nötigen Berechtigungen.

Fritz!Box VPN konfigurieren (Anleitung) (30. Dez. 2020)

Der erste VPN Provider, dem man vertrauen kann, ist man selbst mit eigener Technik.

Wenn keine hohen Ansprüche an die Sicherheit der VPN Verbindung gestellt werden, könnte man Fritz!Boxen out-of-the Box ohne zusätzliche Software als VPN Server eingesetzen.

Man könnte mit dem Fritz!VPN den Datenverkehr von Smartphones oder Laptops bei der Nutzung von öffentlichen WLANs in Hotels, im ICE oder am Flughafen via VPN über den eigenen Router leiten, um die Gefahren in öffentlichen Wi-Fi Netzen zu verringern. Aber Fritz!VPN ist NICHT geeignet, um eine sichere Verbindung ins Firmennetz oder zwischen Standorten aufzubauen.

WARNUNG: Fritz!VPN verwendet die DH Group 2 mit 1024 Bit für den initialen Schlüssel­tausch (Fritz!OS 7.20). Damit kann die VPN-Verbindung von Diensten wie der NSA seit Jahren on-the-fly aufgebrochen werden. (Aber wenn der Traffic an der anderen Seite der Fritz!Box wieder ins Internet purzelt, gewinnt ein Überwacher wenig durch Knacken des VPN. Man könnte die gleichen Informationen auch durch einfache Korrelationsanalyse gewinnen.)

HINWEIS: Mit iPhones ist ein "Always-on-VPN" in Mobilfunknetzen so NICHT realisierbar. Die VPN-Verbindung wird geschlossen, wenn kein Datenverkehr fießt. Man müsste in Mobil­funk­netzen das VPN also immer wieder aktivieren, bevor man eine App startet, deren Daten­verkehr über den eigenen Router laufen soll (was man gelegentlich vergessen wird).


CanvasBlocker Einstellungen zum Download (27. Dez. 2020)

CanvasBlocker bietet viele Einstellungsmöglichkeiten. Um die Konfiguration zu vereinfachen, kann man die Datei CanvasBlocker-settings.json mit den empfohlenen Einstellungen herunterladen und importieren. Es wird der Parametersatz "Stealth Settings" mit zwei Modifikationen verwendet:
  1. Es werden keine Daten persistent gespeichert. Damit ändert sich der Fingerprint nicht nur bei unterschiedichen Domains sondern auch bei jedem Neustart des Browser.
  2. Es wird die Bildschirmgröße gefakt auf einen von 6 häufigen Werten (siehe: hier).

Zukünftig Werbung in Telegram Channels (23. Dez. 2020)

Entwicklung und Betrieb von Telegram wurden bisher aus dem Vermögen von Pavel Durov finanziert. Aber das Vermögen von P. Durov ist nicht unendlich und 2021 wird Telegram versuchen, Einnahmen zu erwirtschaften, um die Unabhängigkeit von Dritten zu sichern. Es soll eine eigene Werbeplattform aufgebaut werden und für die Einblendung von Werbung in Channels genutzt werden (private Kommunikation soll werbefrei bleiben). Außerdem sollen kostenpflichtige Zusatzfeatures für Poweruser entwickelt werden.

Videokonferenzen mit Jitsi Meet (23. Dez. 2020)

Videokonferenzen sind gerade Hip. Ich habe noch nicht rausgefunden, was der Kick dabei ist, aber manche Leute haben Spaß damit. Deshalb habe ich auch man was zu Jitsi Meet geschrieben. Vielleicht ist es eine hifreiche Ergänzung für manche Leser.

Videokonferenzen mit Signal App (23. Dez. 2020)

Video­konferenzen (Group Calls) mit bis zu 5 Teilnehmern sind mit Signal App möglich. Für eine Mini-Video­konferenz erstellt man eine Gruppe mit den Teilnehmern und tippt auf das "Group Call" Symbol.


Threema ist Open Source (21. Dez. 2020)

Multi-Device Support bietet Threema noch nicht. Aber wenn man mehrere Geräte nutzt, kann man sich mit einem kleinen Trick behelfen und die Gruppenchats dafür missbrauchen.
  1. Anton verwendet mehrere Geräte und erstellt auf jedem Gerät eine Threema-ID.
  2. Für die Kommunikation mit Beatrice erstellt er eine Gruppe mit allen seinen Accounts und außerdem fügt er den Account von Beatrice hinzu.
  3. Für die Kommunikation mit Conrad erstellt er eine weitere Gruppe mit seinen Accounts und fügt den Account von Conrad dazu.
  4. Dann muss er Beatrice und Conrad noch erklären, die jeweilige Gruppe zu verwenden, wenn sie ihm schreiben wollen und nicht eine von seinen Threema-IDs.
Das ist ein bisschen umständlicher als bei echtem Multi-Device Support, aber machbar.

Neubewertung vom Telegram Messenger (20. Dez. 2020)

Telegram bietet viele Social Features und ist als eine Art "zensurresistentes Twitter mit Black Market Features" populär geworden, z.B. bei den Protesten in Hongkong und Belarus 2020. Als Messenger für private Kommunikation ist es eher ungeeignet. Die kryptografischer Sicherheit für private Kommunikation ist sogar bei WhatsApp besser.

Standard­mäßig werden Chats und Gruppenchats nicht E-2-E verschlüsselt und Telegram arbeitet als Cloud Messenger. Die Nachrichten liegen auf den Telegram Servern. Der Betreiber hat Zugriff auf die Chat History und kann Anfragen von Behörden beantworten. Telegram verkauft es als Privacy Feature, dass Anfragen von Behörden aus einigen Ländern ignoriert werden, aber darauf kann man sich nicht verlassen.

Die "geheimen Chats" werden nicht in der Cloud gespeichert sondern nur auf dem Smartphone, dort aber unverschlüsselt. Das ist seit Jahren als "Mannings Bug" bekannt und ein Security Bug, da ein Angreifer mit Zugriff auf das Smartphone die "geheimen Chats" auslesen kann. E-2-E verschlüsselte Chats sind verschlüsselt zu speichern!!!

Wenn man den Zugriff auf das Adressbuch erlaubt, werden zusammen mit der Telefon­nummer auch die Namen aus dem Adressbuch auf die Telegram Server hochgeladen. Über eine API können Dritte diese Informationen abfragen und es könnte evtl. peinlich sein, wenn Dritte erfahren, dass man unter der Bezeichnung "Schnuckimaus" gespeichert wurde.

Navalny hat diese Funktion in einem Interview demonstriert. Er hat die Telefonnr. eines Co-Travellers bei einem Telegram Bot eingegeben und als Antwort wurde u.a. "FSB Vladimir Alexandrovich Panyaev" angezeigt - echt peinlich für den FSB.


Anonymes Instant Messaging via Tor (18. Dez. 2020)

Der Abschnitt zu anonymen Instant Messaging via Tor wurde nach langer Zeit mal überarbeitet. TorChat und Ricochet wurden entfernt, da beide seit Jahren nicht mehr gepflegt werden. Mit Briar (Tor eingebaut) und qTox (Tor als Proxy nutzbar) kann man anonym via Tor Onion Router chatten. Bei Jabber/XMPP (früher mal populär) ist es mit Einschränkungen möglich, wenn man CoyIM verwendet.

Autocrypt Erweiterung countermitm (18. Dez. 2020)

Mit countermitm gibt es eine Erweiterung für den Autocrypt Schlüsseltausch, die eine Verifizierung von Schlüsseln einführt und ein "Network of Trust", um die bei Autocrypt möglichen Man-in-the-Middle Angriffe für verifizierte Schlüsseln zu verhindern.

contermitm gehört nicht zum Autocrypt Standard und wird unabhängig davon entwickelt.


TorBrowser: HTTPS-only-Mode statt HTTPSEverywhere (17. Dez. 2020)

sslstripe Angriffe durch Bad Tor Exit Nodes, die 2009 auf der Black Hack Konferenz demonstriert wurden, sind auch 2020 noch ein aktuelles Problem.

Als Schutz gegen diese Angriffe enthält der TorBrowser das Add-on HTTPSEverywhere, welches anhand von Regeln die Umschreibung von HTTP Adressen auf HTTPS für viele populäre Webseiten erzwingt (aber nicht für alle Webseiten, die HTTPS unterstützen).

Der HTTPS-only-Mode von Firefox schützt besser und vermeidet Nachteile von HTTPSEverywhere. Begründung auf der Webseite

.

DNS-over-HTTPS-over-Tor und Oblivious DNS-over-HTTPS (15. Dez. 2020)

DNS-over-HTTPS-over-Tor kann man aus technischer Sicht machen. Man kann beliebigen HTTPS Traffic durch Tor tunneln, um zu verhindern, dass der angefragte Server die eigene IP-Adresse protokollieren kann.

Man erreicht das gleiche Ziel aber auch ohne Perfomance Einbußen, indem man einen vertrauenswürdigen DNS-Server mit No-Logging-Policy verwendet.

Abgesehen von einigen Szenarien mit höchsten Sicherheitsanforderungen, für die es schwer fällt, ein plausibles Beispiel zu konstruieren, ist es meist Overkill.

Oblivious DNS-over-HTTPS wurde von Cloudflare im Dez. 2020 initiert, weil es Vorbehalte in Europa gegen die Nutzung von Cloudflare als Defaut Trust-Recursive-Resolver (DoH) in Firefox gab. Derzeit läuft der Standardisierungsprozess.

Cloudflare ist nicht daran interessiert, welche Webseiten Lieschen Müller oder Pitschie Hufnagel aufrufen. Sie interessieren sich für eine globale Sicht, welche neuen Ideen gewinnen an Popularität, was ist der neue "heiße Shit" und was ist anderseits auf dem absteigenden Ast. Diese Informationen frühzeitig zu haben ist wertvoll, wie es Google mit seiner Suchmaschine demonstriert. Für Cloudfare besteht die einmalige Chance, als Default DNS-over-HTTPS Server für alle Firefox Nutzer millionenfach diese Daten zu sammeln, wenn sie die Bedenken der Privacy Community ausräumen können.

Aus technischer Sicht verwendet Oblivious DNS-over-HTTPS einfach Onion Routing mit nur einem Hop. Wenn die Betreiber der Hops nicht mit Cloudflare kooperieren, bleibt die Privatsphäre der Nutzer ähnlich gut geschützt, wie bei DoHoT mit wesentlich geringeren Einbußen bei der Performance.

Kann sein, dass ich mich täusche und ODoH ein neuer "heißer Trend" wird. Aber man muss nicht unbedingt Cloudflare DNS-Server nutzen. ;-)


DNS-Server von Digitalcourage e.V. (11. Dez. 2020)

Digitalcourage e.V. hat einen neuen DNS-Server für DNS-over-TLS bereitgestellt und bittet darum, den alten Server wegen Lastproblemen nur noch für unverschlüsseltes DNS zu nutzen oder wenn IPv6 erforderlich ist. Wer DNS-over-TLS vom Digitalcourage e.V. haben möchte, sollte bitte auf den neuen Server wechseln:

Eine spannende Recherche (10. Dez. 2020)

US Customs and Border Protection (CBP) zahlt jährlich fast eine halbe Mio. Dollar an die Firma Venntel für den Zugriff auf die Standort- und Bewegungsdaten. Auch die US-Immigrationspolizei (ICE) gehört zu den Kunden. Venntel kauft die Daten von harmlosen Wetter Apps und Spielen und bereitet sie auf.

Der norwegische Journalist M. Gundersen hat in einer Recherche die Datensammlung von Venntel genauer analysiert. Im Feb. 2020 hat er auf einem neuen Smart­phone 160 Apps installiert und dieses Smartphone ständig bei sich getragen. Keine der 160 Apps nannte die Firma Venntel in ihren Datenschutzklauseln.

Ein halbes Jahr später forderte er von Venntel Einsicht in die Daten, welche die Firma über ihn gesammelt hatte. Zur Identifizierung übergab er die Advertising-ID des Smart­phone. Als Antwort erhielt er 75.406 Datenpunkte mit Location und Zeitstempel, die in den 6 Monaten gesammelt wurden. Anhand der Daten konnte sein Wohnort, seine Arbeitstelle und auch seine Wanderungen in der Freizeit nachvollzogen werden sowie jede Bank, auf der er sich während der Wanderung ausgeruht hatte. Der Screenshot zeigt den Ausschnitt von 36min aus einer Wanderung mit einer kurzer Rast:
A BITE TO EAT

Illustration: Harald K. Jansson/Norge i bilder (mit freundlicher Genehmigung von nrkbeta.no)

Venntel informiert M. Gundersen auch darüber, dass seine Daten an die zahlenden Kunden der Firma weiterverkauft wurden, nannte aber keine Namen von Kunden.

In weiteren Recherchen konnte M. Gundersen ermitteln, das Venntel die Daten u.a. von der französischen Firma Predicio und von der US-Firma Complementics kauft. Ein großer Teil der ortsbezogenen Daten stammt außerdem von dem slowakischen Unter­nehmen Sygic, das ein Portfolio von 70 Apps anbietet.

Für den Daten- und Überwachungsforscher Wolfie Christl hat diese Form der Überwachung eine völlig neue Qualität:

Ich habe das Gefühl, dass viele nicht verstehen, dass dies völlig beispiellos ist und anders als das ist, was Edward Snowden im Jahr 2013 aufdeckte.

Statt kompliziertem Schnüffeln im Traffic ist die US-Regierung jetzt ein weiterer Marktteilnehmer in einer bestehenden kommerziellen Trackingwirtschaft.


OpenPGP Verschlüsselung mit Thunderbird (04. Dez. 2020)

Es gibt wieder eine Anleitung zur OpenPGP Verschlüsselung von E-Mails mit Thunderbird (gehört hier einfach dazu).

Bewegungsdaten von Smartpohnes (weniger lustig) (03. Dez. 2020)

Weniger lustig wird es, wenn die "Muslim Prayer App" mit mehr als 98 Mio. Nutzern weltweit, die nur an das Gebet erinnert und die Richtung nach Mekka anzeigt, oder die populäre "Muslim Dating App" Standortdaten sammeln und an die Firma Locate X senden. Die Daten werden vom US-Militär gekauft und zur Planung von gezielten Tötungen mit Drohnen genutzt. Außerdem kauft das U.S. Special Operations Command (USSOCOM) diese Daten zur Planung und Unterstützung von verdeckten Special Forces Einsätzen. Der Secret Service und US Customs and Border Protection (CBP) sind weitere Kunden, die die Datensammlung von Locate X abonniert haben.

Außerdem zahlt die US Customs and Border Protection (CBP) jährlich fast eine halbe Mio. Dollar an die Firma Vettel für den Zugriff auf die Standort- und Bewegungsdaten, die mit harmlosen Wetter Apps und Spielen gesammelt und aufbereitet werden.


Bewegungsdaten zur Durchleuchtung der Bevölkerung (03. Dez. 2020)

Bewegungsdaten von Smart­phones werden im Corona-Jahr 2020 routiniert verwendet, um die Bevölkerung zu durch­leuchten und mehr oder weniger interessante Analysen zu veröffentlichen:

Finanzierung von TorProject aktualisiert (01. Dez. 2020)

Da TorProject.org die Finanzreports für 2018/2019 veröffentlicht hat, wurde der Abschnitt zur Finanzierung überarbeitet. 2019 ist der Anteil von US-Regierungsbehörden (US-Verteidigungsministerium, US-Außenministerium, Spin-Offs der CIA usw.) an der Finanzierung von TorProject.org erstmals unter 50% gesunken.

EU-Rat billigt EU-Erklärung zur Entschlüsselung (29. Nov. 2020)

Ende Nov. 2020 wurde der deutsche Vorschlag für eine Entschließung des EU-Rates verabschiedet, die die Betreiber von Messaging Diensten zur Kooperation mit Behörden und Geheimdiensten verpflichten soll. Es werden darin keine konkreten Verfahren zur Zusammenarbeit vorgegeben. Den Beteibern wird die "magische" Haus­aufgabe der Quadratur des Kreise gestellt, eine sichere Verschlüsselung zu entwickeln und gleichzeitig die entschlüsselten Inhalte den Behörden auf Wunsch zur Verfügung zu stellen. Konkrete Gesetze sollen folgen.

Die Datenschutzkonderenz von Bund und Ländern hat die Pläne zurück gewiesen. Die "Aushölung der Verschlüsselung", wie vom EU-Rat gefordert, ist kontra­produktiv und könne von Kriminellen und Terroristen leicht umgangen werden.

Lizenz: Public Domain