TextSecure bald ohne SMS/MMS Verschlüsselung

Mit Version 2.6.0 erscheint die letzte TextSecure Version, welche noch das verschlüsseln von SMS/MMS erlaubt. Ab Version 2.7.0 fällt diese Option weg, alle Nachrichten werden dann ausschließlich als “TextSecure-Nachrichten” über TextSecure-Server geschickt (Vgl. Blogpost). Die Fähigkeit unverschlüsselte SMS/MMS zu versenden und TextSecure damit als standard Nachrichtenapp zu nutzen soll erhalten bleiben.

Als Gründe für diesen Schritt werden unter anderem die fehlenden Möglichkeiten SMS/MMS Verschlüsselung auf dem IPhone umzusetzen, Usabilityprobleme, welche mit der Verschlüsselung von SMS/MMS einhergingen sowie die bei SMS/MMS Versandt anfallenden Metadaten angeführt.

Auch von Googles Cloud Messaging (GCM) soll sich TextSecure zumindest teilweise lösen. Anscheinend gab es mit GCM Probleme beim zustellen von Nachrichten. In Zukunft wird Googles Dienst wohl nur noch für die Benachrichtigung darüber, dass es neue Nachrichten gibt genutzt werden. Eventuell wird aufgrund dieser Entwicklung auch weiter an alternativen Lösungen, ohne Google gearbeitet.

Signal 2.0 – mit private messaging

Open Whispersystems haben die Signal 2.0 App für IOS veröffentlicht. Damit ist die Signal App nicht mehr nur mit RedPhone, welches ende-zu-ende verschlüsselte Telefonie unter Android erlaubt kompatibel, sondern auch mit dem TextSecure Messenger. Die Verschlüsselung von TextSecure gilt als fortschrittlich und wurde unter anderem von Edward Snowden empfohlen.
Zudem ist die App kostenlos und hat eine schicke und unkomplizierte Oberfläche, bleibt zu hoffen, dass sich die Verbreitung, nachdem sie jetzt für die beiden wichtigsten mobil Plattformen verfügbar ist, erhöht.

[Update 03.03.15] Mit “TextSecure-Browser” ist übrigens noch ein Browser Plugin in der Entwicklung, mit welchem TextSecure in Zukunft auch bequem vom Desktop Rechner aus genutzt werden kann.

Außerdem hatte ich vergessen zu erwähnen, Signal ist unter der GPL3 lizensiert, der Quellcode ist auf Github verfügbar.

TextSecure – Account löschen

Es kommt hin und wieder vor, das Menschen nicht mehr auf dem TextSecure Server(n) registriert sein möchten, weil die App deinstalliert wurde oder die (offline) SMS-Verschlüsselung genutzt werden soll.

Ist die App deinstalliert, aber die Nummer noch auf dem Sever registriert, führt dies dazu, das Nachrichten von anderen TextSecure Nutzer_innen, die “TextSecure-Nachrichten” nutzen, auf dem TextSecure Server landen und nicht mehr zur / zum jeweiligen Adressat_in gesendet werden können, weil die App sie nicht mehr abruft.

Wird TextSecure nicht deinstalliert, besteht nach der Deregistrierung (zumindest im Moment noch) die Möglichkeit wieder über verschlüsselte SMS zu kommunizieren.

Am einfachsten gelingt die Löschung der eigenen Nummer indem die Option “TextSecure-Nachrichten” unter “Einstellungen“, durch entfernen des Hakens, deaktiviert wird.

Ist die App schon deinstalliert kann die Seite “Unregister from TextSecure” genutzt werden. Hier kann die Nummer per SMS oder Anruf vom TextSecure Server gelöscht werden.

Wi-Fi Privacy Police schützt vor Tracking

Im Sommer letzten Jahres hat die Electronic Frontier Foundation auf die Möglichkeit hingewiesen, dass Android und auch IOS Geräte anhand der Listen von ihnen bekannten WLANs verfolgbar sind. Viele Geräte versenden auf der Suche nach einem aktiven WLAN in Reichweite die Namen (SSIDs) von WLANs mit denen sie bereits verbunden waren. Anhand dieser Daten konnten Forscher_innen unter Anderem auf ein Bewegungsprofil von Personen schließen und wo diese arbeiteten (siehe).

Zudem ist es für Angreifer_innen möglich zu testen ob sich in der Liste der SSIDs auch offene WLANs befinden. Wird ein solches Netz gefunden, besteht die Möglichkeit ein Netz mit dem selben Namen zu öffnen und so das angegriffene Gerät dazu zu bringen, sich in dieses “Evil-Twin” Netz zu verbinden. Dann kann der Netzwerkverkehr bei fehlender oder schlechter Transportverschlüsselung belauscht oder auch manipuliert werden.

Gegen beide Angriffsformen schützt die App “Wi-Fi Privacy Police” sie steht unter einer GPLv2+ und ist im f-droid Repository und in Google Play zu finden.

Einen Schritt weiter geht die App Pry-Fi diese verändert zusätzlich ständig die MAC des Gerätes und erschwert so das Tracking zusätzlich. Allerdings benötigt die App Root Rechte und scheint, zumindest nach einer kurzen Recherche nicht FLOSS zu sein.

Die MAC Adresse verändert die Wi-Fi Privacy Police App nicht, so bleibt hier die Möglichkeit bestehen das Gerät trotz aktivierter App zu tracken.

Wer auf Nummer sicher gehen will schaltet das WLAN unterwegs einfach aus. Aber Vorsicht, wer Googles Dienste zur Standortbestimmung nutzt hat möglicherweise unter “WLAN” – “(drei Striche) Erweitert” die “Erkennungsfunktion immer verfügbar” aktiviert. In diesem Fall sendet das Gerät auch bei scheinbar ausgeschaltetem WLAN WLAN-Pakete.

Aktionen zum Jahrestag der NSA Enthüllungen

Am 5. bzw. 6. Juni (zwei Daten gibt es aufgrund der Zeitverschiebung) vor einem Jahr veröffentlichte Glenn Greenwald seinen den ersten Artikel auf Grundlage der Dokumente, welche er von Edward Snowden erhielt. Jahrestage bieten in der Regel eine gute Gelegenheit Themen nochmal in den Fokus der öffentlichen Aufmerksamkeit zu rücken. Die (mir bekannten) Aktionen zum Jahrestag der NSA Enthüllungen halten sich doch leider in engem Rahmen, tatsächlich habe ich bisher nur von zweien gelesen.

So hat das Campact Netzwerk die Aktion “Ein Bett für Snowden” gestartet. Mit Türschildern sollen Menschen in Deutschland darauf hinweisen, dass sie im Gegensatz zu ihrer Regierung Edward Snowden durchaus aufnehmen würden. Prinzipiell ist die Aktion durchaus dazu geeignet Gespräche anzuregen und das Thema Überwachung zu thematisieren. Was mich stört ist die Beschränkung auf Deutschland, gerade so als ob nur dort überwacht werden würde, oder Snowden nur dort Asyl bekommen könnte. Naja, das liegt wohl an der Struktur von Campact. Eine andere nicht unberechtigte Kritik, von der ich gelesen habe, lautet, das Geld für die Schilder könnte auch direkt an Snowden gespendet werden. Ob die zu erwartende Öffentlichkeit durch die Schilder oder Snowdens Anwaltskosten zu decken wichtiger (oder überhaupt nötig) ist, darüber lässt sich sicherlich streiten. Zu spenden und ein Schild aufzuhängen sollte auch möglich sein. Die “offizielle” (zumindest von Greenwald beworbene) Spendenseite der Courage Foundation ist bei ihrem Verwendungszweck ein wenig unspezifisch, so wird Geld “for journalistic sources” gesammelt, außerdem geht es nur um die Anwaltskosten und eine öffentliche Kampagne, nicht um Snowdens laufende Kosten. Wie dem auch sei, eine andere Spendenseite habe ich zumindest noch nicht gefunden.

Die “Reset the Net” Kampagne möchte die Grundverschlüsselung im Internet verbessern und fordert Websitenbetreiber_innen und App Entwickler_innen dazu auf SSL/TLS mit HSTS und PFS bzw. Zertifikats Pinning zu implementieren. Außerdem soll es einen “Privacy Pack” für die für Endanwender_innen geben, welches Programme Pidgin mit OTR, Textsecure, HTTPS Everywhere, TOR und GnuPG empfielht (die Liste steht noch zu Diskussion). Ob die Programme auch im Pack heruntergeladen und installiert werden können ist mir nicht ganz klar, pädagogisch wertvoll wäre es jedenfalls nicht (Programme, sollten wenn sie schon nicht aus den Paketquellen stammen doch zumindest von der original Website kommen…). Auf jeden Fall kann der 5./6. Juni einen willkommenen Anlass bieten Bekannten und Freunden (noch) mal grundlegende sicherheits Werkzeuge nahe zu legen.

Um auf die Kampagne und den “Privacy Pack” aufmerksam zu machen wird es einen “Splash Screen” geben, quasi ein digitales Türschild für Websites,, das leider heute, vier Tage vor dem 5. Juni noch nicht fertig ist. US Bürger_innen sollen über den Splash Screen auch die Möglichkeit haben ihre Kongressabgeordneten zu kontaktieren.

Die Idee für mehr Verschlüsselung zu werben finde ich super, wird doch tatsächlich etwas bewirkt, indem der NSA u.a. die Arbeit schwerer gemacht wird.

Zusammenfassend können aktive (Netz)Bürger_innen am 5./6. Juni also guten Gewissens vor dem Bildschirm sitzen bleiben, nur zum anbringen des Türschildes muss sich kurz erhoben werden, von Demonstrationen im nicht-digitalen Raum habe ich leider noch nichts mitbekommen. http://www.heise.de/newsticker/meldung/Demo-zum-NSA-Skandal-Snowden-im-Bett-Merkel-im-Sandkasten-2216662.html

Link: Video von Reset the Net

Das dezentrale soziale Netzwerk Libertree steigt auf XMPP um

Das dezentrale soziale Netzwerk Libertree hat heute die Kommunikation zwischen den Servern auf das XMPP Protokoll umgestellt. Ich denke die Nutzung dieses etablierten Protokolls war eine sinnvolle Entscheidung, welche die Stabilität und Skalierbarkeit der Server zu Server Kommunikation gewährleistet und in Zukunft beispielsweise helfen kann die Interoperalität mit anderen Diensten zu verbessern.

Neben einer Verschlüsselung der Kommunikation zwischen den Servern, wird jetzt wohl die Implementierung von Gruppen beginnen. Naheliegend ist auch eine Überarbeitung des Chats.

Außer der Umstellung auf XMPP hat sich seit meinem letzten Artikel auch sonst viel getan, so sieht die Oberfläche jetzt aufgeräumter aus, und lässt sich auch mit Themes ändern.

Libertree Oberfläche

Pools und Springs wurden eingeführt, mit diesen können Posts gesammelt (Pools) und auch wieder veröffentlicht werden (Springs).

Bilder lassen sich nicht direkt auf Libertree Server hochladen, allerdings ist es möglich per remoteStorage den eigen Online Speicher zur Einbindung von Bildern zu nutzen.

Auch die Syntax um Flüsse (Streams) zu erstellen, bzw. die (noch übersichtliche) Menge an Postings nach den interessanten filtern, wurde erweitert und direkte Nachrichten lassen sich mit GPG verschlüsselt ans Email-Postfach weiterleiten.

Die Aufzählung ist keineswegs vollständig und es bleibt zu hoffen, das sich das Projekt so weiter entwickelt und in Zukunft vielleicht auch ein paar mehr Entwickler_innen mitarbeiten.

Hinweis: ChatSecure – Jabber/XMPP Client für Android mit Dateiversand

Glückwunsch an die Entwickler_innen vom Guardian Project, sie haben mit ChatSecure den ersten mir bekannten XMPP/Jabber Client für Android unter einer Open Source Lizenz herausgebracht, der Datei/Fotoversand unterstützt.

Tatsächlich war es das Fehlen der letzteren Funktion, was viele Whatsapp Nutzer_innen, welche ich von den Vorzügen selbstinstallierter XMPP Server (bzw. ‘vertrauenwürdigen’, dezentralen, …) und OTR Verschlüsselung überzeugen wollte, davon abhielt, auch nur eine XMPP Client App auf ihrem Android Gerät zu installieren.

ChatSecure kann selbstverständlich noch einiges mehr, als nur Dateien zu versenden, neben OTR Verschlüsselung, einer einfachen Möglichkeit sich über Orbot/einen Proxy zu verbinden, Verschlüsselung der lokalen Daten, unterstützt die App auch Gruppen Chats und hat noch einige weitere schicke Featues.

Die App gibt es bereits im PlayStore und als apk auf der Homepage des Projektes, und im F-Droid Repository.

Hinweis: Deaktiviert Javascript im TorBrowserBundle!

Berichten zufolge wurde nicht nur der Betreiber von Tor Freedom Hosting festgenommen, welcher große Teile der Tor hidden services hostete (u.a. wohl TorMail) und eine große Anzahl von hidden services ist nicht mehr erreichbar, sondern es wurden angeblich  seit einigen Tagen (?) auch Javascript Angriffe auf das TorBrowserBundle auf diversen Tor hidden services installiert.
Die Angriffe gehen wohl vom FBI aus, welches es auf die Vertriebsstrukturen von Kinderpornografie abgesehen hat, dies ist laut Heise.de zumindest der Grund für die Festnahme von Eric Eoin Marques.

Die Entscheidung der Tor Entwickler_innen Javascript im TorBrowserBundle standardmäßig zu aktivieren fällt ihnen offenbar gerade auf die Füße. Auch wenn die Intention durch leichtere Handhabung mehr Nutzer_innen für das BrowserBundle zu gewinnen sicherlich auch nicht ganz unsinnig war.

Betroffen sind laut ersten Analysen nur Windows Nutzer_innen, Ziel des Angriffs ist scheinbar die Aufhebung der Anonymität von TorBrowserBundle Nutzer_innen mittels eines Cookies (Vgl. http://www.twitlonger.com/show/n_1rlo0uu , http://pastebin.mozilla.org/2777139 )

Insofern NoScript im BrowserBundle installiert ist, kann Javascript leicht seitenabhängig kontrolliert werden (Youtube Tutorial). Die wichtigste Einstellung sollte zunächst sein Scripte allgemein zu verbieten! Danach kann Javascript auf ‘vertrauenswürdigen’ Seiten wieder aktiviert werden.

Momentan scheinen wie gesagt nur Tor hidden services die zum Vertrieb von Kinderpornos genutzt wurden betroffen zu sein, was durchaus auch sein positives hat, allerdings zeigt der Angriff die generelle Angreifbarkeit der Anonymität im Tor Netzwerk. Dies zeigt insbesondere nach Snowdens Enthüllungen, dass es um Techniken der Überwachung zu trotzen schlecht steht.

Update [05.08.13] Auf dem Blog des TorProject gab es eine weitere Stellungnahme zu der Attacke, dabei wurde klargestellt, dass die aktuellen TorBrowserBundles nicht von der ausgenutzen Sicherheitslücke betroffen sind (Vgl. security announcement).

Top Artikel 2012

Ich finde die “Top Artikel des letzten Jahres Idee” interessant, hier also meine Top Artikel 2012. Besonders der erste Platz war für mich überraschend, eigentlich wollte ich den Artikel zunächst gar nicht schreiben, weil er mir zu banal erschien, offensichtlich hat es sich gelohnt, der Artikel wird täglich aufgerufen. (Die Zahlen darf jede_r interpretieren wie sie_er mag :-))

1. Grundlagen: Programme unter Ubuntu installieren / deinstallieren 5.991
2. Kurztipp: Ubuntu Startsound deaktivieren 2.607
3. Ubuntu Gastsitzung deaktivieren 2.472
4. Super Grub Disk auf einen USB-Stick installieren 2.446
5. Startprogramme hinzufügen (Autostart) 2.088
6. Unity Startmenü/Icons verkleinern 1.969
7. Startpage.com – eine Scroogle.org Alternative 1.920
8. TomTom Navis mit Ubuntu verwalten 1.506
9. Problem mit der Helligkeitsregulierung über die Funktionstasten – Acer Notebook 1.292
10. WLAN verbunden aber das Internet funktioniert nicht 1.275

Update [15:32]: Liste aktualisiert, die Startseite ist eigentlich kein Artikel…

Hinweis: Neues Diaspora* Wiki

Das Diaspora* Wiki zieht gerade von Github in eine MediaWiki Installation um und ist jetzt unter wiki.diaspora-project.org zu finden. Die Startseite macht schon einen sehr aufgeräumten Eindruck.

Wer beim Umzug der Inhalte von Github in das neue Wiki helfen möchte findet hier eine kurze Checkliste, was dabei zu beachten ist und welche Artikel schon umgezogen sind.