Heute berichten zahlreiche Medien (z.B. die FAZ) über schwerwiegende Sicherheitslücken in E-Mailverschlüsselung. Nach Angabe der Entdecker sollen die beiden Standards OpenPGP und S/Mime betroffen sein und die akute Gefahr bestehen, dass der Inhalt von verschlüsselten E-Mails von einem Angreifer ausgeleitet wird. Dies soll auch für E-Mails aus der Vergangenheit gelten. Entgegen der teilweise in den Medien verbreiteten Darstellung betreffen die beiden Sicherheitslücken jedoch gar nicht OpenPGP und S/Mine direkt, sondern „nur“ die Software mit der die Handhabung der Verschlüsselung vereinfacht wird. Zahlreiche Programme, darunter auch Mozilla Thunderbird, machen dabei Fehler bei der Behandlung von HTML. Diese ermöglichen es einem Angreifer die Inhalte von verschlüsselten E-Mails aus der E-Mailsoftware des Opfers auszuleiten.
Wie sicher sind Signal & Co angesichts des neuen BKA-Trojaners?
In den vergangenen Tagen berichteten mehrere Medien (u.a. die Süddeutsche Zeitung) darüber, dass das Bundeskriminalamt (BKA) über einen Trojaner verfügt, der in der Lage ist die Verschlüsselung von Krypto-Messengern zu umgehen. Die staatliche Malware, die laut BKA bereits in der Praxis zum Einsatz kommt, macht dazu beispielsweise Screenshots des Smartphone-Bildschirms und überträgt diese an die Ermittler. Die Kommunikation wird also abgegriffen bevor sie verschlüsselt wird. Dieses Vorgehen der Behörden ist keineswegs neu. Bereits in den vergangenen Jahren hat das BKA Trojaner für Laptops und Desktop-Rechner entwickeln lassen. Nun hat das BKA sein Waffenarsenal um einen Trojaner für Smartphones erweitert.
„Wie sicher sind Signal & Co angesichts des neuen BKA-Trojaners?“ weiterlesen
Anleitung: Wrong Password Shutdown für Linux
Festplattenverschlüsselung ist eine wichtige Methode, um private Daten dem Zugriff durch Dritte zu entziehen. Ein Problem dabei ist jedoch, dass die Verschlüsselung nur aktiv ist, wenn das System ausgeschaltet ist. Solange der Rechner eingeschaltet ist, schützt die Daten lediglich die Bildschirmsperre, für die man aber oft ein weniger starkes Passwort gesetzt hat. Eine, bereits bei Smartphones bewährte, Lösung dafür ist ein sog. Wrong Password Shutdown. Dabei handelt es sich um ein Stück Software, dass den Rechner nach einigen falschen Passworteingaben in der Bildschirmsperre ausschaltet. Nach dem Ausschalten ist der Rechner dann durch das sicherere Systemverschlüsselungspasswort geschützt. Der Wrong Password Shutdown kann dabei insbesondere als zweiter Fallschirm für Fälle dienen, in denen man vergessen hat den Rechner auszuschalten. Wichtig ist jedoch, dass der Wrong Password Shutdown keine Einladung für ein triviales Nutzerpasswort ist. Das Nutzerpasswort wird nämlich nicht nur die Bildschirmsperre, sondern auch für andere Authentifizierungen, bspw. die Installation von Paketen, genutzt. Es gilt also eine sinnvolle Abwägung zwischen der Sicherheit des Passworts und der Bequemlichkeit bei der Eingabe zu finden. Schließlich sollte der Wrong Password Shutdown auch nicht auf Servern installiert werden auf die ein Zugriff aus dem Internet möglich ist. Der Grund hierfür ist, dass sonst Dritte in der Lage sind mit falschen Passworteingaben ein ungewolltes Herunterfahren des Servers auszulösen.
Lesehinweis: „Smartphone – Der Feind in meiner Tasche?“
Die aktuelle Ausgabe der Rote Hilfe Zeitung (2/2017) beschäftigt sich im Schwerpunkt mit dem Thema „Smartphone – Der Feind in meiner Tasche?“. Während die drei Beiträge von capulcu leider ziemlich abstrakt und eher philosophisch sind, ist insbesondere der Beitrag der Ortsgruppe Frankfurt am Main zum Thema „Mythos Medienkompetenz“ sehr lesenswert.
Ihr könnt die Zeitung im Bahnhofsbuchhandel kaufen oder im Literaturvertrieb der Roten Hilfe bestellen. Mitglieder bekommen die Zeitung zugeschickt.
Sobald die nächste Ausgabe erscheint, wird die gesamte Ausgabe auch im Archiv zu finden sein.
Persönliche Daten zur Anmeldung? Fuck you!
Es ist ein allseits bekanntes Problem. Man sitzt am Rechner und will soll muss irgendein Anmeldeformular mit seinen persönlichen Daten füllen um irgendeinen Dienst nutzen zu können oder eine Information zu bekommen. Wenn man sich dann, vernünftigerweise, entschieden hat dem Dienst keine echten Daten zu geben, geht das Überlegen los: „Persönliche Daten zur Anmeldung? Fuck you!“ weiterlesen
Wie bekomme ich Bilder von Signal auf den Rechner?
Das ist gar nicht schwer. Ihr müsst die Bilder nur aus Signal heraus speichern und könnt sie dann, wie andere Bilder auch, mittels passendem Kabel auf euren Computer kopieren. Das reicht noch nicht? Dann lest weiter für die ausführliche und bebilderte Anleitung.
„Wie bekomme ich Bilder von Signal auf den Rechner?“ weiterlesen
VPN-Gefahren: IPv6- und DNS-Leaks
Die Nutzung eines VPN ist eine einfache und, im Vergleich zum TOR-Netz, von der Verbindungs-Geschwindigkeit her schnellere Möglichkeit die Sicherheit einer Verbindung zu gewährleisten und auf der anderen seine Herkunft zu verschleiern. Doch neben diesen Möglichkeiten, die in einem Artikel bereits beschrieben wurden, haben VPNs auch ihre Tücken. Solche Tücken sind zum Beispiel IPv6- und DNS-Leaks, die selbst bei einer funktionierenden VPN-Verbindung eure Privatsphäre beeinträchtigen können. Wie diese Lücken entstehen, wie man feststellt, ob man betroffen ist und was man gegebenenfalls tun kann, soll im Folgenden erläutert werden.
Um zu verstehen, wie IPv6- und DNS-Leaks zustande kommen ist es notwendig zu verstehen, wie das Internet funktioniert. Insbesondere was eine IP-Adresse ist und wie das DNS, also das Domain-Name-System funktioniert. Hier hilft uns die Sendung mit der Maus mit einem uralten Beitrag (per Modem einwählen müsst ihr euch hoffentlich nicht mehr 😉) weiter. „VPN-Gefahren: IPv6- und DNS-Leaks“ weiterlesen
Zum warrant canary von riseup
Ein Update des warrant canary von Riseup ist inzwischen schon seit geraumer Zeit überfällig. Zunächst war unklar, ob Riseup überhaupt eine Regierungsanfrage (National Security Letter, kurz NSL) mit einer gag order, also dem Verbot über die Anfrage zu informieren, bekommen hat oder das Update des canary einfach verspätet erscheinen würde. Mittlerweile gilt es als sicher, dass Riseup eine Regierungsanfrage bekommen hat, jedoch keine Daten herausgegeben hat und noch im Besitz des Zugriffs auf die Server ist. Riseup kann also nach wie vor als sicher betrachtet werden. Nutzer von Riseup sollten aber dennoch ihre Mails sichern, wenn sie sie nicht ohnehin (wie empfohlen) mittels POP3 abrufen. Eine ausführliche Analyse zum Fall liefert der Artikel „Something Happened to Activist Email Provider Riseup, but It Hasn’t Been Compromised“ von Micah Lee bei The Intercept.
Verschlüsselt PGP auch Anhänge?
Ja, PGP verschlüsselt auch Anhänge und zwar entweder einzeln mit Inline-PGP oder als Teil der Nachricht mit PGP/MIME. Bei Inline-PGP muss man beachten, dass der Dateiname, wie beim Betreff einer mit PGP verschlüsselten Nachricht nicht verschlüsselt wird. Daher sollte man den Dateinamen ggfs. umbenennen oder gleich, den neueren Standard PGP/MIME verwenden.
Kann ich mit einem iPhone 4 den Signal Messenger verwenden?
Leider nein. Signal lässt sich weder offiziell noch inoffiziell auf dem iPhone 4 nutzen. Wer Signal nutzen will, muss sich ein neues Smartphone besorgen. Hintergrund ist, dass das iPhone 4 bzw. iOS 7 nicht mehr von Whisper Systems, den Entwicklern hinter Signal, unterstützt wird. Begründet wird dies damit, dass iOS 7 selbst keine Updates mehr von Apple erhält und deshalb mehrere kritische Sicherheitslücken aufweist, die nicht mehr geschlossen werden. Außerdem hat Apple mit iOS 8 eine neue Programmierschnittstelle (eine sogenannte API) geschaffen auf die Signal aufsetzt. Dazu heißt es auf der github-Seite von Whisper Systems:
Are there any plans to support iOS 7?
No, unfortunately that’s not possible. Signal uses APIs that were first introduced in iOS 8 and that are not available in earlier releases. Furthermore, iOS 7 is no longer being supported by Apple at all, and it contains several serious security vulnerabilities. Users are encouraged to upgrade to the latest version of iOS, if they can.
Quelle: https://github.com/WhisperSystems/Signal-iOS/wiki/FAQ#are-there-any-plans-to-support-ios-7
Nachdem es keine offizielle Lösung für die Nutzung von Signal auf dem iPhone 4 gibt und auch weiterhin nicht geben wird, habe ich mich auf die Suche nach einer inoffiziellen Lösung gemacht. „Kann ich mit einem iPhone 4 den Signal Messenger verwenden?“ weiterlesen