Hinweis: ChatSecure – Jabber/XMPP Client für Android mit Dateiversand

Glückwunsch an die Entwickler_innen vom Guardian Project, sie haben mit ChatSecure den ersten mir bekannten XMPP/Jabber Client für Android unter einer Open Source Lizenz herausgebracht, der Datei/Fotoversand unterstützt.

Tatsächlich war es das Fehlen der letzteren Funktion, was viele Whatsapp Nutzer_innen, welche ich von den Vorzügen selbstinstallierter XMPP Server (bzw. ‘vertrauenwürdigen’, dezentralen, …) und OTR Verschlüsselung überzeugen wollte, davon abhielt, auch nur eine XMPP Client App auf ihrem Android Gerät zu installieren.

ChatSecure kann selbstverständlich noch einiges mehr, als nur Dateien zu versenden, neben OTR Verschlüsselung, einer einfachen Möglichkeit sich über Orbot/einen Proxy zu verbinden, Verschlüsselung der lokalen Daten, unterstützt die App auch Gruppen Chats und hat noch einige weitere schicke Featues.

Die App gibt es bereits im PlayStore und als apk auf der Homepage des Projektes, und im F-Droid Repository.

Hinweis: Deaktiviert Javascript im TorBrowserBundle!

Berichten zufolge wurde nicht nur der Betreiber von Tor Freedom Hosting festgenommen, welcher große Teile der Tor hidden services hostete (u.a. wohl TorMail) und eine große Anzahl von hidden services ist nicht mehr erreichbar, sondern es wurden angeblich  seit einigen Tagen (?) auch Javascript Angriffe auf das TorBrowserBundle auf diversen Tor hidden services installiert.
Die Angriffe gehen wohl vom FBI aus, welches es auf die Vertriebsstrukturen von Kinderpornografie abgesehen hat, dies ist laut Heise.de zumindest der Grund für die Festnahme von Eric Eoin Marques.

Die Entscheidung der Tor Entwickler_innen Javascript im TorBrowserBundle standardmäßig zu aktivieren fällt ihnen offenbar gerade auf die Füße. Auch wenn die Intention durch leichtere Handhabung mehr Nutzer_innen für das BrowserBundle zu gewinnen sicherlich auch nicht ganz unsinnig war.

Betroffen sind laut ersten Analysen nur Windows Nutzer_innen, Ziel des Angriffs ist scheinbar die Aufhebung der Anonymität von TorBrowserBundle Nutzer_innen mittels eines Cookies (Vgl. http://www.twitlonger.com/show/n_1rlo0uu , http://pastebin.mozilla.org/2777139 )

Insofern NoScript im BrowserBundle installiert ist, kann Javascript leicht seitenabhängig kontrolliert werden (Youtube Tutorial). Die wichtigste Einstellung sollte zunächst sein Scripte allgemein zu verbieten! Danach kann Javascript auf ‘vertrauenswürdigen’ Seiten wieder aktiviert werden.

Momentan scheinen wie gesagt nur Tor hidden services die zum Vertrieb von Kinderpornos genutzt wurden betroffen zu sein, was durchaus auch sein positives hat, allerdings zeigt der Angriff die generelle Angreifbarkeit der Anonymität im Tor Netzwerk. Dies zeigt insbesondere nach Snowdens Enthüllungen, dass es um Techniken der Überwachung zu trotzen schlecht steht.

Update [05.08.13] Auf dem Blog des TorProject gab es eine weitere Stellungnahme zu der Attacke, dabei wurde klargestellt, dass die aktuellen TorBrowserBundles nicht von der ausgenutzen Sicherheitslücke betroffen sind (Vgl. security announcement).

Android – verschlüsselt telefonieren mit RedPhone

Nachdem Twitter im Januar diesen Jahres “TextSecure“, eine Software die es erlaubt SMS zu verschlüsseln, unter einer GPL Lizenz veröffentlicht hat, folgt jetzt der Quellcode der Software “RedPhone“, welche verschlüsselte VoIP Telefonate zwischen Android Telefonen erlaubt. Beide Programme wurden ursprünglich von der Firma Whisper Systems entwickelt,welche von Twitter aufgekauft wurde.

RedPhone verschlüsselt die Telefonate mit SRTP. Die Daten laufen verschlüsselt über RedPhone Server, welche auch für die Initiierung von Telefonaten notwendig sind. Da es sich um VoIP handelt ist eine Datenverbindung notwendig, was aber mittlerweile nur noch wenige Nutzer_innen abschrecken sollte. Nähere Informationen zur Architektur und Verschlüsselung gibt es im Github Wiki des Projekts.

GnuPG-Verschlüsselung mit Nautilus funktioniert wieder

Die GnuPG-Plugins für Nautilus und Gedit (seahorse-plugins) sind mit Ubuntu 11.10 aus den Paketquellen verschwunden. (siehe dieser Artikel). Jetzt gibt es mit Ubuntu 12.04 zumindest wieder ein GnuPG-Plugin für Nautilus. Das zu installierende Paket heißt

seahorse-nautilus

Nach der Installation muss Nautilus neu gestartet werden, das erledigt der Befehl

nautilus -q

im Terminal, alternativ hilft auch ab- und wieder anmelden.

Danach sollten bei einem Rechtsklick auf eine Datei oder einen Ordner die Optionen “Verschlüsseln …” und “Signieren” vorhanden sein.

Exif Daten aus Bildern löschen

Im Exif Format speichern Digitalkameras diverse Daten (Datum, Uhrzeit, GPS-Koordinaten, Orientierung, Brennweite, Belichtungszeit, Blendeneinstellung, Belichtungsprogramm, etc.) in der Bild Datei. Sollen die Bilder, aber nicht der komplette Exif Datensatz, beispielsweise in diversen sozialen Netzwerken geteilt werden, ist es sinnvoll die Exif Daten zu löschen.

In den Ubuntu Paketquellen befindet sich das (Konsolen-)Programm “ExifTool“, damit lassen sich leicht Exif Daten ganzer Bilderordner bearbeiten.

ExifTool wird über folgendes Paket installiert:

libimage-exiftool-perl

Nach der Installation kann Exiftool über die Konsole aufgerufen werden. Der folgende Befehl löscht die Exif Daten einer Datei:

exiftool -overwrite_original -all= PFAD/ZUR/DATEI.jpg

(Beispiel: exiftool -overwrite_original -all= /media/images/1.jpg)

Wird statt des Dateinamens ein “*” gesetzt löscht ExifTool die Exif Daten aller in diesem Ordner vorhandenen .jpg Dateien.

(Beispiel: exiftool -overwrite_original -all= /media/images/*.jpg)

Wer nicht gleich alle Dateien überschreiben möchte lässt die Option “-overwrite_original” weg. Die original Datei wird dann unter “DATEINAME_original” erhalten.

(noch ein Beispiel: exiftool -all= /media/images/*.jpg )

ExifTool kann selbstverständlich viel mehr als nur die Exif Daten löschen, wer sich eingehender mit damit beschäftigen möchte kann beispielsweise im Ubuntuusers.de Wiki beginnen, oder besucht die (englischsprachige) Website des Projekts.

crypto.cat – die Verschlüsselung sicher tanzen

Über crypto.cat – eine WebApp für verschlüsselte (Gruppen-)Chats – habe ich bereits vor einiger Zeit berichtet. Heute habe ich gelesen, dass sich Entwickler_innen auf dem Wall Street Journal Data Transparency Hackathon eine nette Funktion für die in Entwicklung befindliche craypto.cat Android App CryptocatBot ausgedacht haben. Die Zufallszahlen welche crypto.cat für die Verschlüsselung benötigt (für jede Sitzung werden neue Keys erstellt) werden hier nicht (wie bei der WebApp) durch möglichst wahlloses tippen auf der Tastatur erzeugt sondern durch tanzen / Bewegung.

Das ist meiner Meinung nach mal eine echt schicke und sinnvolle Einsatzmöglichkeit für die in (so gut wie?) allen Smartphones vorhandenen Bewegungssensoren.

Anmerkung: Im letzten Artikel über crypto.cat war ich nicht auf die Lizenz eingegangen unter welcher der Quellcode steht, das möchte ich bei dieser Gelegenheit nachholen. Crypto.cat ist unter der AGPL3 lizensiert (vorher war es eine CC BY-NC-SA 3.0), der Quellcode ist auf Github verfügbar.

crypto.cat – sicher und unkompliziert online chatten

catCrypto.cat ist eine WebApp, welche es ermöglicht, unkompliziert mit mehreren Personen verschlüsselt zu chatten.

Die Verschlüsselung (AES-256) der Daten (es ist auch möglich kleine Dateien auszutauschen) erfolgt im Browser selbst, so dass der Server niemals unverschlüsselte Daten zu sehen bekommt. Zudem werden nach 60 Minuten Inaktivität alle angefallenen Daten sicher vom Server gelöscht. (Mehr zum eingesetzten Verschlüsselungsverfahren, etc. -> Spec). Private und öffentliche Schlüssel werden dementsprechend für jede Sitzung neu generiert.

Um zu chatten kann auf www.crypto.cat ein neuer Chat angelegt, bzw. einem vorhandenen Chat beigetreten werden. Chatpartner_innen brauchen lediglich die URL des offenen Chats (bsp. https://crypto.cat/?c=3hitqj6v) um diesem beitreten zu können. (Der letzte Teil der URL hinter dem “=” ist der Name des Chats.)

Nach dem ein Nickname gewählt wurde, braucht crypto.cat für die sicherer Verschlüsselung Zufallsdaten, deshalb muss vor dem Betreten des Chats kurz wild in die Tasten gehauen werden, das ist aber auch alles was die Nutzer_innen von der ablaufenden Verschlüsselung mitbekommen (müssen).

Innerhalb des Chats ist es möglich durch einen Klick auf einen Nutzer_innennamen weitere Optionen zu erhalten. Unter Anderem können hier die Fingerprints der Nutzer_innen gefunden und verglichen werden.

cryptocat_options

Crypto.cat gibt es auch als Plugin für Chrome/Chromium damit ist es möglich das Programm im Browser laufen zu lassen, allerdings habe ich das nicht getestet, weil Google hierfür eine Anmeldung fordert.

Diasp0ra.ca – Pistos Diaspora* Fork

Schon seit längerem existiert mit Diasp0ra.ca eine Diaspora* Fork, welche zumindest innerhalb der Diaspora* Community einige Aufmerksamkeit erregt hat. Grund für diese Aufmerksamkeit ist das offene Ohr des / der (Haupt-)Entwickler_in (?) “Pistos” für für die Wünsche der Nutzer_innen.

Pistos hat, in für Diaspora* Verhältnisse erstaunlich kurzer Zeit, eine Menge interessanter und nützlicher Features entwickelt. Neben einem Chat, Gruppen, einer API und einem #Tag-Filter für den Stream gibt es eine Vorschau für Posts und Kommentare, eine Liste populärer Hashtags und die Möglichkeit Posts und Kommentare zu durchsuchen, um nur einige wichtige Neuerungen zu nennen.

‘Events’ sind aktuell in Planung und auch die Liste der Features “Under Consideration” hält einige von vielen Nutzer_innen lang gewünschte Features bereit, unter Anderem Posts zu editieren, die Weiterentwicklung der mobilen Diaspora* Seite und End-to-end encryption (E2EE).  Eine Liste aller vorhandenen, geplanten und ‘berücksichtigten’ Features befindet sich im Wiki des Projekts.

Leider läuft diese Fork erst auf vier Pods (Diaspora* Servern) und zumindest diasp0ra.ca hat während meinen Tests nur sehr langsam reagiert (,was an der Popularität der Fork unter den Diaspora* Nutzer_innen liegen könnte).

Ein weiteres Problem für die Fork könnte aufgrund der Pläne der Entwickler_innen von Diaspora Inc. (Diasporas Hauptentwickler_innen) entstehen. Diese haben in einer IRC Konferenz am 16.02.12 angekündigt die Kommunikation zwischen den Pods grundlegend zu überarbeiten, wobei die Kompatibilität zum bisherigen System “nicht die höchste Priorität hat” “was bedeutet, dass alle wichtigen Forks unkompatibel” zu Diaspora Inc. Version sein werden (frei Übersetzt Vgl. http://pastebin.com/z1rkBCUN 632 – 633). Bleibt zu hoffen, dass die Diaspora Inc. Entwickler_innen diese Position noch einmal überdenken und auch in Zukunft Verbindungen zwischen den unterschiedlichen Arten von Diaspora* Pods möglich bleiben und Diaspora* nicht nur ein dezentrales sondern auch vielfältiges soziales Netzwerk bleibt.

Startpage.com – eine Scroogle.org Alternative

Nachdem der Suchmaschinen-Proxy Scroogle.org (Artikel zu Scroogle) über einen längeren Zeitraum keine Ergebnisse von Google mehr liefern konnte und mittlerweile offline zu sein scheint, habe ich mich auf die Suche nach einer Alternative gemacht.

Alternative Dienste wie www.duckduckgo.com und www.ixquick.com liefern leider keine (reinen?) Google Ergebnisse, auf deren (zumindest gefühlte) Qualität ich nicht verzichten möchte.

Jetzt habe ich Startpage.com entdeckt, hierbei handelt es sich um einen Dienst von Ixquick.com, welcher lediglich Google Ergenisse liefert. Die Ixquick Datenschutzerklärung klingt vernünftig, es ist (im Gegensatz zu Scroogle) möglich die Google Bildersuche zu nutzen und als weiteren Service kann Startpage, wie auch Ixquick, als Proxy  für den Webseitenbesuch genutzt werden.

Bei Interesse kann Startpage über einen Link unterhalb des Suchfeldes zu Firefox bzw. Chromium/Chrome hinzugefügt werden.

Update [22.02.2012] Jetzt ist es amtlich ‘Scroogle ist tot’. Sehr schade.

Kurzes Diaspora* Update

Die Entwickler_innen des dezentralen sozialen Netzwerks Diaspora* schrauben gerade kräftig an der Oberfläche von Diaspora*. Dabei verschwand vor einigen Tagen der “Like”-Button zugunsten eines “Pin”-Buttons. Mit dem “Pin”-Button konnte ein Post markiert werden, so dass er im ‘neuen’ “Participate” Stream auftauchte und nicht im endlosen Fluss der neuen Posts im “Explore”-Stream unterging.

Heute kam der “Like”-Button dann nach ‘heftigen’ Protesten zurück. Außerdem werden jetzt einzelnen Posts nicht mehr ‘angepinnt’, sondern ihnen kann, im “My Activity”-Stream (welcher “Explore” ersetzt) “gefolgt” (follow) werden.

Damit extistieren aktuell (ich gehe nicht davon aus, dass das die letzten Änderungen am Bedienkonzept waren) zwei Streams. Der “Stream”, in welchem alle Posts von Leuten auftauchen denen gefolgt wird, sowie alle Posts, welche mit entsprechenden #Tags versehen sind.

diaspora_bar

Daneben gibt es den “My Activity”-Stream. Hier befinden sich alle Posts in welchen man ‘erwähnt’ (Mention) wurde, die man kommentiert, ge-’liked’ bzw. selbst geschrieben hat. In diesem Stream werden die Posts nicht chronologisch, sondern nach dem Zeitpunkt der letzten Aktivität sortiert (Kommentar, Like, …).

Mit diesem beiden Streams haben die Entwickler_innen meiner Meinung nach ein sinnvolles Konzept gefunden die unterschiedlichen Funktionen zusammenzufassen.