TextSecure – Account löschen

Es kommt hin und wieder vor, das Menschen nicht mehr auf dem TextSecure Server(n) registriert sein möchten, weil die App deinstalliert wurde oder die (offline) SMS-Verschlüsselung genutzt werden soll.

Ist die App deinstalliert, aber die Nummer noch auf dem Sever registriert, führt dies dazu, das Nachrichten von anderen TextSecure Nutzer_innen, die “TextSecure-Nachrichten” nutzen, auf dem TextSecure Server landen und nicht mehr zur / zum jeweiligen Adressat_in gesendet werden können, weil die App sie nicht mehr abruft.

Wird TextSecure nicht deinstalliert, besteht nach der Deregistrierung (zumindest im Moment noch) die Möglichkeit wieder über verschlüsselte SMS zu kommunizieren.

Am einfachsten gelingt die Löschung der eigenen Nummer indem die Option “TextSecure-Nachrichten” unter “Einstellungen“, durch entfernen des Hakens, deaktiviert wird.

Ist die App schon deinstalliert kann die Seite “Unregister from TextSecure” genutzt werden. Hier kann die Nummer per SMS oder Anruf vom TextSecure Server gelöscht werden.

Wi-Fi Privacy Police schützt vor Tracking

Im Sommer letzten Jahres hat die Electronic Frontier Foundation auf die Möglichkeit hingewiesen, dass Android und auch IOS Geräte anhand der Listen von ihnen bekannten WLANs verfolgbar sind. Viele Geräte versenden auf der Suche nach einem aktiven WLAN in Reichweite die Namen (SSIDs) von WLANs mit denen sie bereits verbunden waren. Anhand dieser Daten konnten Forscher_innen unter Anderem auf ein Bewegungsprofil von Personen schließen und wo diese arbeiteten (siehe).

Zudem ist es für Angreifer_innen möglich zu testen ob sich in der Liste der SSIDs auch offene WLANs befinden. Wird ein solches Netz gefunden, besteht die Möglichkeit ein Netz mit dem selben Namen zu öffnen und so das angegriffene Gerät dazu zu bringen, sich in dieses “Evil-Twin” Netz zu verbinden. Dann kann der Netzwerkverkehr bei fehlender oder schlechter Transportverschlüsselung belauscht oder auch manipuliert werden.

Gegen beide Angriffsformen schützt die App “Wi-Fi Privacy Police” sie steht unter einer GPLv2+ und ist im f-droid Repository und in Google Play zu finden.

Einen Schritt weiter geht die App Pry-Fi diese verändert zusätzlich ständig die MAC des Gerätes und erschwert so das Tracking zusätzlich. Allerdings benötigt die App Root Rechte und scheint, zumindest nach einer kurzen Recherche nicht FLOSS zu sein.

Die MAC Adresse verändert die Wi-Fi Privacy Police App nicht, so bleibt hier die Möglichkeit bestehen das Gerät trotz aktivierter App zu tracken.

Wer auf Nummer sicher gehen will schaltet das WLAN unterwegs einfach aus. Aber Vorsicht, wer Googles Dienste zur Standortbestimmung nutzt hat möglicherweise unter “WLAN” – “(drei Striche) Erweitert” die “Erkennungsfunktion immer verfügbar” aktiviert. In diesem Fall sendet das Gerät auch bei scheinbar ausgeschaltetem WLAN WLAN-Pakete.

Hinweis: ChatSecure – Jabber/XMPP Client für Android mit Dateiversand

Glückwunsch an die Entwickler_innen vom Guardian Project, sie haben mit ChatSecure den ersten mir bekannten XMPP/Jabber Client für Android unter einer Open Source Lizenz herausgebracht, der Datei/Fotoversand unterstützt.

Tatsächlich war es das Fehlen der letzteren Funktion, was viele Whatsapp Nutzer_innen, welche ich von den Vorzügen selbstinstallierter XMPP Server (bzw. ‘vertrauenwürdigen’, dezentralen, …) und OTR Verschlüsselung überzeugen wollte, davon abhielt, auch nur eine XMPP Client App auf ihrem Android Gerät zu installieren.

ChatSecure kann selbstverständlich noch einiges mehr, als nur Dateien zu versenden, neben OTR Verschlüsselung, einer einfachen Möglichkeit sich über Orbot/einen Proxy zu verbinden, Verschlüsselung der lokalen Daten, unterstützt die App auch Gruppen Chats und hat noch einige weitere schicke Featues.

Die App gibt es bereits im PlayStore und als apk auf der Homepage des Projektes, und im F-Droid Repository.

Hinweis: Deaktiviert Javascript im TorBrowserBundle!

Berichten zufolge wurde nicht nur der Betreiber von Tor Freedom Hosting festgenommen, welcher große Teile der Tor hidden services hostete (u.a. wohl TorMail) und eine große Anzahl von hidden services ist nicht mehr erreichbar, sondern es wurden angeblich  seit einigen Tagen (?) auch Javascript Angriffe auf das TorBrowserBundle auf diversen Tor hidden services installiert.
Die Angriffe gehen wohl vom FBI aus, welches es auf die Vertriebsstrukturen von Kinderpornografie abgesehen hat, dies ist laut Heise.de zumindest der Grund für die Festnahme von Eric Eoin Marques.

Die Entscheidung der Tor Entwickler_innen Javascript im TorBrowserBundle standardmäßig zu aktivieren fällt ihnen offenbar gerade auf die Füße. Auch wenn die Intention durch leichtere Handhabung mehr Nutzer_innen für das BrowserBundle zu gewinnen sicherlich auch nicht ganz unsinnig war.

Betroffen sind laut ersten Analysen nur Windows Nutzer_innen, Ziel des Angriffs ist scheinbar die Aufhebung der Anonymität von TorBrowserBundle Nutzer_innen mittels eines Cookies (Vgl. http://www.twitlonger.com/show/n_1rlo0uu , http://pastebin.mozilla.org/2777139 )

Insofern NoScript im BrowserBundle installiert ist, kann Javascript leicht seitenabhängig kontrolliert werden (Youtube Tutorial). Die wichtigste Einstellung sollte zunächst sein Scripte allgemein zu verbieten! Danach kann Javascript auf ‘vertrauenswürdigen’ Seiten wieder aktiviert werden.

Momentan scheinen wie gesagt nur Tor hidden services die zum Vertrieb von Kinderpornos genutzt wurden betroffen zu sein, was durchaus auch sein positives hat, allerdings zeigt der Angriff die generelle Angreifbarkeit der Anonymität im Tor Netzwerk. Dies zeigt insbesondere nach Snowdens Enthüllungen, dass es um Techniken der Überwachung zu trotzen schlecht steht.

Update [05.08.13] Auf dem Blog des TorProject gab es eine weitere Stellungnahme zu der Attacke, dabei wurde klargestellt, dass die aktuellen TorBrowserBundles nicht von der ausgenutzen Sicherheitslücke betroffen sind (Vgl. security announcement).

Android – verschlüsselt telefonieren mit RedPhone

Nachdem Twitter im Januar diesen Jahres “TextSecure“, eine Software die es erlaubt SMS zu verschlüsseln, unter einer GPL Lizenz veröffentlicht hat, folgt jetzt der Quellcode der Software “RedPhone“, welche verschlüsselte VoIP Telefonate zwischen Android Telefonen erlaubt. Beide Programme wurden ursprünglich von der Firma Whisper Systems entwickelt,welche von Twitter aufgekauft wurde.

RedPhone verschlüsselt die Telefonate mit SRTP. Die Daten laufen verschlüsselt über RedPhone Server, welche auch für die Initiierung von Telefonaten notwendig sind. Da es sich um VoIP handelt ist eine Datenverbindung notwendig, was aber mittlerweile nur noch wenige Nutzer_innen abschrecken sollte. Nähere Informationen zur Architektur und Verschlüsselung gibt es im Github Wiki des Projekts.

GnuPG-Verschlüsselung mit Nautilus funktioniert wieder

Die GnuPG-Plugins für Nautilus und Gedit (seahorse-plugins) sind mit Ubuntu 11.10 aus den Paketquellen verschwunden. (siehe dieser Artikel). Jetzt gibt es mit Ubuntu 12.04 zumindest wieder ein GnuPG-Plugin für Nautilus. Das zu installierende Paket heißt

seahorse-nautilus

Nach der Installation muss Nautilus neu gestartet werden, das erledigt der Befehl

nautilus -q

im Terminal, alternativ hilft auch ab- und wieder anmelden.

Danach sollten bei einem Rechtsklick auf eine Datei oder einen Ordner die Optionen “Verschlüsseln …” und “Signieren” vorhanden sein.

Exif Daten aus Bildern löschen

Im Exif Format speichern Digitalkameras diverse Daten (Datum, Uhrzeit, GPS-Koordinaten, Orientierung, Brennweite, Belichtungszeit, Blendeneinstellung, Belichtungsprogramm, etc.) in der Bild Datei. Sollen die Bilder, aber nicht der komplette Exif Datensatz, beispielsweise in diversen sozialen Netzwerken geteilt werden, ist es sinnvoll die Exif Daten zu löschen.

In den Ubuntu Paketquellen befindet sich das (Konsolen-)Programm “ExifTool“, damit lassen sich leicht Exif Daten ganzer Bilderordner bearbeiten.

ExifTool wird über folgendes Paket installiert:

libimage-exiftool-perl

Nach der Installation kann Exiftool über die Konsole aufgerufen werden. Der folgende Befehl löscht die Exif Daten einer Datei:

exiftool -overwrite_original -all= PFAD/ZUR/DATEI.jpg

(Beispiel: exiftool -overwrite_original -all= /media/images/1.jpg)

Wird statt des Dateinamens ein “*” gesetzt löscht ExifTool die Exif Daten aller in diesem Ordner vorhandenen .jpg Dateien.

(Beispiel: exiftool -overwrite_original -all= /media/images/*.jpg)

Wer nicht gleich alle Dateien überschreiben möchte lässt die Option “-overwrite_original” weg. Die original Datei wird dann unter “DATEINAME_original” erhalten.

(noch ein Beispiel: exiftool -all= /media/images/*.jpg )

ExifTool kann selbstverständlich viel mehr als nur die Exif Daten löschen, wer sich eingehender mit damit beschäftigen möchte kann beispielsweise im Ubuntuusers.de Wiki beginnen, oder besucht die (englischsprachige) Website des Projekts.

crypto.cat – die Verschlüsselung sicher tanzen

Über crypto.cat – eine WebApp für verschlüsselte (Gruppen-)Chats – habe ich bereits vor einiger Zeit berichtet. Heute habe ich gelesen, dass sich Entwickler_innen auf dem Wall Street Journal Data Transparency Hackathon eine nette Funktion für die in Entwicklung befindliche craypto.cat Android App CryptocatBot ausgedacht haben. Die Zufallszahlen welche crypto.cat für die Verschlüsselung benötigt (für jede Sitzung werden neue Keys erstellt) werden hier nicht (wie bei der WebApp) durch möglichst wahlloses tippen auf der Tastatur erzeugt sondern durch tanzen / Bewegung.

Das ist meiner Meinung nach mal eine echt schicke und sinnvolle Einsatzmöglichkeit für die in (so gut wie?) allen Smartphones vorhandenen Bewegungssensoren.

Anmerkung: Im letzten Artikel über crypto.cat war ich nicht auf die Lizenz eingegangen unter welcher der Quellcode steht, das möchte ich bei dieser Gelegenheit nachholen. Crypto.cat ist unter der AGPL3 lizensiert (vorher war es eine CC BY-NC-SA 3.0), der Quellcode ist auf Github verfügbar.

crypto.cat – sicher und unkompliziert online chatten

catCrypto.cat ist eine WebApp, welche es ermöglicht, unkompliziert mit mehreren Personen verschlüsselt zu chatten.

Die Verschlüsselung (AES-256) der Daten (es ist auch möglich kleine Dateien auszutauschen) erfolgt im Browser selbst, so dass der Server niemals unverschlüsselte Daten zu sehen bekommt. Zudem werden nach 60 Minuten Inaktivität alle angefallenen Daten sicher vom Server gelöscht. (Mehr zum eingesetzten Verschlüsselungsverfahren, etc. -> Spec). Private und öffentliche Schlüssel werden dementsprechend für jede Sitzung neu generiert.

Um zu chatten kann auf www.crypto.cat ein neuer Chat angelegt, bzw. einem vorhandenen Chat beigetreten werden. Chatpartner_innen brauchen lediglich die URL des offenen Chats (bsp. https://crypto.cat/?c=3hitqj6v) um diesem beitreten zu können. (Der letzte Teil der URL hinter dem “=” ist der Name des Chats.)

Nach dem ein Nickname gewählt wurde, braucht crypto.cat für die sicherer Verschlüsselung Zufallsdaten, deshalb muss vor dem Betreten des Chats kurz wild in die Tasten gehauen werden, das ist aber auch alles was die Nutzer_innen von der ablaufenden Verschlüsselung mitbekommen (müssen).

Innerhalb des Chats ist es möglich durch einen Klick auf einen Nutzer_innennamen weitere Optionen zu erhalten. Unter Anderem können hier die Fingerprints der Nutzer_innen gefunden und verglichen werden.

cryptocat_options

Crypto.cat gibt es auch als Plugin für Chrome/Chromium damit ist es möglich das Programm im Browser laufen zu lassen, allerdings habe ich das nicht getestet, weil Google hierfür eine Anmeldung fordert.

Diasp0ra.ca – Pistos Diaspora* Fork

Schon seit längerem existiert mit Diasp0ra.ca eine Diaspora* Fork, welche zumindest innerhalb der Diaspora* Community einige Aufmerksamkeit erregt hat. Grund für diese Aufmerksamkeit ist das offene Ohr des / der (Haupt-)Entwickler_in (?) “Pistos” für für die Wünsche der Nutzer_innen.

Pistos hat, in für Diaspora* Verhältnisse erstaunlich kurzer Zeit, eine Menge interessanter und nützlicher Features entwickelt. Neben einem Chat, Gruppen, einer API und einem #Tag-Filter für den Stream gibt es eine Vorschau für Posts und Kommentare, eine Liste populärer Hashtags und die Möglichkeit Posts und Kommentare zu durchsuchen, um nur einige wichtige Neuerungen zu nennen.

‘Events’ sind aktuell in Planung und auch die Liste der Features “Under Consideration” hält einige von vielen Nutzer_innen lang gewünschte Features bereit, unter Anderem Posts zu editieren, die Weiterentwicklung der mobilen Diaspora* Seite und End-to-end encryption (E2EE).  Eine Liste aller vorhandenen, geplanten und ‘berücksichtigten’ Features befindet sich im Wiki des Projekts.

Leider läuft diese Fork erst auf vier Pods (Diaspora* Servern) und zumindest diasp0ra.ca hat während meinen Tests nur sehr langsam reagiert (,was an der Popularität der Fork unter den Diaspora* Nutzer_innen liegen könnte).

Ein weiteres Problem für die Fork könnte aufgrund der Pläne der Entwickler_innen von Diaspora Inc. (Diasporas Hauptentwickler_innen) entstehen. Diese haben in einer IRC Konferenz am 16.02.12 angekündigt die Kommunikation zwischen den Pods grundlegend zu überarbeiten, wobei die Kompatibilität zum bisherigen System “nicht die höchste Priorität hat” “was bedeutet, dass alle wichtigen Forks unkompatibel” zu Diaspora Inc. Version sein werden (frei Übersetzt Vgl. http://pastebin.com/z1rkBCUN 632 – 633). Bleibt zu hoffen, dass die Diaspora Inc. Entwickler_innen diese Position noch einmal überdenken und auch in Zukunft Verbindungen zwischen den unterschiedlichen Arten von Diaspora* Pods möglich bleiben und Diaspora* nicht nur ein dezentrales sondern auch vielfältiges soziales Netzwerk bleibt.