Skip to content

Delta Chat mit GMail betreiben

Vor kurzem schrieb ich in einem Artikel über meine Kommunikationswerkzeuge. Dort fehlte ein Werkzeug, welches ich schon seit längerem auf dem Schirm habe, aber noch nie wirklich getestet hatte: Delta.Chat.

Die Software erlaubt es, mit anderen zu chatten und nutzt im Hintergrund E-Mail zur Verteilung der Chatnachrichten. Damit kann man mit allen Leuten chatten, die eine E-Mail-Adresse haben. Das hat natürlich den großen Vorteil, dass nahezu alle erreichbar sind. Delta Chat legt einen OpenPGP-Schlüssel an und verschlüsselt die Nachrichten, sofern der Empfänger ebenfalls einen hat.

Somit werden die Nachrichten von Leuten, die Delta Chat einsetzen verschlüsselt verschickt. Vermutlich klappt das auch. Ich habe es noch nicht probiert. Bei allen anderen werden die Nachrichten als E-Mails unverschlüsselt geschickt.

Nun wollte ich ein GMail-Konto benutzen, um einen Test mit Delta Chat zu machen. Ich gab meine Zugangsdaten ein und es klappte nicht:

Fehler bei Delta Chat

Delta Chat nimmt zu Port 143 Kontakt auf, obwohl 993 eingestellt ist.

Auf eine Nachfrage bei Twitter und Mastodon meldete sich einer der Entwickler und bat darum, das Log zu exportieren. Ein Blick auf diese Meldungen verriet mir, dass Delta Chat erfolglos versuchte, sich bei Google anzumelden. Dies lag an der aktivierten Zwei-Faktor-Authentifizierung. Wer dies aktiviert hat, muss unter Umständen pro Anwendung ein spezielles Passwort anlegen. App-Passwort

Geht dazu auf euren Google-Account. Im Bereich Sicherheit gibt es einen Menüeintrag für App-Passwörter. Unten auf der Seite wählt ihr eine App und ein Gerät aus. Danach könnt ihr die App-Passwörter generieren. Dieses 16-stellige Passwort könnt ihr nun direkt bei Delta Chat als Passwort zusammen mit eurer E-Mail-Adresse eintragen. Solltet ihr einen “normalen” GMail-Account haben, so bestätigt ihr die Einstellungen und mit etwas Glück seid ihr fertig.

In meinem Fall lautete das GMail-Konto nicht auf @gmail.com, sondern auf eine andere Domain. Delta Chat versuchte daher zuerst, sich mit einem Server unter der Domain zu verbinden. Da dieser nicht existierte, gab es eine weitere Fehlermeldung.

Wenn man bei Delta Chat die erweiterten Einstellungen öffnet, kann man dann die korrekten Server von GMail einstellen. Allerdings klappte dies bei mir auch erst im zweiten Versuch. Denn obwohl der Port 993 eingestellt war und automatisch die korrekte IMAP-Sicherheit gewählt werden sollte, klappte dies nicht. Ich musste explizit SSL/TLS einstellen:

Screenshot
Screenshot mit den korrekten Einstellungen

Nach diesen Einstellungen klappte alles und ich konnte meine ersten Versuche starten. Falls es also bei dir auch nicht klappen sollte, hilft dir vielleicht die obige Beschreibung.

Wenn ihr mit mir Kontakt aufnehmen wollt, so könnt ihr die Adresse <deltachat@kubieziel.de> verwenden. Es kann jedoch sein, dass ich irgendwann das Testen einstelle und die Adresse wieder lösche. :-)

Das BfV und die Spionageabwehr

Gestern war ich auf dem IT-Sicherheitstag bei der IHK Gera eingeladen. Dort hielten verschiedene Fachleute Vorträge oder Workshop. Die einleitenden Vorträge kamen von einem Experten für Spionageabwehr beim Bundesamt für Verfassungsschutz und von mir.

Der Referent des Verfassungsschutzes erklärte, woher die Bedrohungen für die Wirtschaft kommen, wie die aussehen können und was die Firmen dagegen tun können.

Woher kommen die Bedrohungen? Anfangs wurden insbesondere Russland und China mit ihren diversen Einheiten genannt. Die im weiteren Vortrag folgenden Beispiele wurden immer von chinesischen Bürgern ausgeführt. Zum Abschluss stellte der Redner fest, dass der Verfassungsschutz ja einen 360°-Blick hat und es keine Bedrohungen von westlichen Diensten gibt. Hauptgrund war die Tatsache, dass es keine Anzeigen aus der Wirtschaft gibt. Bedeutet das, dass Spionageabwehr nur aus dem Warten auf Anzeigen besteht?

Ich griff den Ball dann in meinem Vortrag nochmal auf und verwies auf den Fall Enercon, wo die NSA spionierte. Daneben verwies ich auf den DGSE und andere Dienste, deren Ziel Wirtschaftsspionage ist und in deren Fokus auch westliche Unternehmen stehen.

Der Vortrag des BfV-Referenten hatte viele Filme zur Illustration dabei. Wenn es dabei um Wirtschaftsspionage ging, kamen die Beispiele aus der Schweiz oder Österreich. Ich fragte mich, warum es keine Beispiele deutscher Unternehmen gibt und was das BfV mit schweizer oder österreicher Unternehmen zu tun hat. Eigentlich soll die Behörde Informationen sammeln, die sich gegen die FDGO richten oder deutsche Unternehmen gefährden.

Den Abschluss des Vortrages bildete ein wenig Werbung für die Behörde. Den schließlich würde diese diskret mit Informationen umgehen und, was dem Vortragenden wichtig zu sein schien, sie unterliegt nicht dem Legalitätsprinzip. Das heißt, bei Kenntnis von Straftaten müssen diese nicht angezeigt werden.

Insgesamt hinterließ der Vortrag bei mir einen recht faden Beigeschmack und bestätigte mein Bild von den »Verfassungsschützern«.

Podiumsdiskussion zur NSA mit Martina Renner

Heute gibt es wieder eine Veranstaltungsankündigung. Am morgigen Dienstag, dem 09. September 2014, werde ich zusammen mit Martina Renner einen Vortrag mit anschließender Podiumsdiskussion in Jena halten. In der Veranstaltung geht es um den NSA-Untersuchungsausschuss. Zu Anfang werden wir einige Details zur NSA, zu deren Überwachungsprogrammen und zu den Entwicklungen beim Untersuchungsausschuss erzählen. Anschließend stellen wir uns den Fragen aus dem Publikum.

Wer teilnehmen mag, sollte vor 18 Uhr im Hörsaal 8 im Unigebäude in der Carl-Zeiss-Str. 3 sein.

Wie funktioniert eigentlich Heartbleed

Lest ihr regelmäßig Bugreports oder Meldungen über Schwachstellen bei SSL/TLS? Wie fühlt ihr euch so? Zur Erinnerung:

SSL added and removed here!
Ausschnitt aus einer Folie aus dem MUSCULAR-Programm der NSA

Das heißt, drei Monate in Folge gab es schwere Sicherheitslücken in Software zur Verschlüsselung. Ganz unwillkürlich fühlt man sich an die Folien aus dem NSA-Programm MUSCULAR erinnert.

Die letztgenannte Schwachstelle ist vermutlich die bislang schwerste. Denn damit ist es möglich, den Arbeitsspeicher eines Computers auszulesen. Dies funktioniert sowohl auf der Seite des Servers wie auch beim Clientprogramm. Dazu ist es notwendig, dass das Programm OpenSSL verwendet und eine Erweiterung von SSL namens Heartbeat aktiviert hat. Dies ist beispielsweise bei Android in der Version 4.1.1 der Fall. Mozilla Firefox hingegen nutzt die NSS-Bibliothek und ist nicht betroffen. Die Webserver nutzen hingegen recht oft die OpenSSL-Bibliothek und sind damit betroffen, falls die Version 1.0.1 bis 1.0.1f von OpenSSL verwendet wird. Sollte jemand von euch die Software nutzen, so upgraded auf mindestens 1.0.1g oder deaktiviert Heartbeat in OpenSSL. Gerade letzteres kann man aus meiner Sicht problemlos tun. Denn bisher fand ich keinen sinnvollen Anwendungsfall für Heartbeat.

Doch wie funktioniert diese Lücke eigentlich? Heartbeat (RFC 6520) ist eine Erweiterung für TLS. Ein Teilnehmer einer Verbindung sendet beliebige Daten an den Empfänger. Dieser antwortet mit einer Kopie dieser Daten und zeigt somit, dass die Verbindung noch steht und alles in Ordnung ist. Das Problem dabei ist, dass in einer Anfrage zwei Längenfelder vorhanden sind. Ein Angreifer sendet einfach ein Byte Daten und behauptet, er hätte 64 kB gesendet. OpenSSL liest nun die 64 kB aus dem eigenen Puffer und sendet die Daten zurück an den Angreifer. Der Angreifer kann den Angriff immer und immer wieder starten und erhält so eventuell immer wieder ein neues Stück Arbeitsspeicher (siehe Kommentar von Florian Diesch). Bruce Schneier hat mit seinen Worten vollkommen recht:

Catastrophic" is the right word. On the scale of 1 to 10, this is an 11.
https://www.schneier.com/blog/archives/2014/04/heartbleed.html

Ich hatte in meinem 30C3-Vortrag schon ein OpenSSL-Beispiel reingenommen. Das sollte zeigen, wie kompliziert es sein kann, mit der Software sicheren Code zu schreiben. Auch andere sind, über die Codequalität gestolpert. Daher sind Leute gefragt, die einen detaillierten Blick auf OpenSSL werfen und die Software verbessern. Dazu zählt auch die bessere Lesbarkeit des Codes oder gute Dokumentation.

Wenn ihr wissen wollt, ob ihr betroffen seit, schaut lokal auf die OpenSSL-Version, nutzt die Zeile openssl s_client -connect example.com:443 -tlsextdebug 2>&1| grep ‘server extension “heartbeat” (id=15)’ || echo safe oder verwendet den Testservice von Lutz Donnerhacke oder Filippo Valsorda.

Weiterlesen:

Passwort und Nutzername im Dump der Daten von Yahoo! Mail

Tor -- Vortrag und Hackday

In München treffen sich in dieser Woche Vertreter des Tor-Projektes zum Summer-Dev-Meeting. Neben den internen Besprechungen gibt es zwei interessante Veranstaltungen für die Öffentlichkeit.

  1. Vortrag »Tor and the Censorship Arms Race: Lessons Learned«
    Roger Dingledine und Jacob Appelbaum berichten über ihre Erfahrungen in der Umgehung von Zensur. Tor ist in dieser Beziehung ein sehr wichtiges und sicheres Werkzeug. Der Vortrag findet am 24. Juli 2013 ab 18 Uhr im Hörsaal 1 des LRZ statt (siehe Bild unten).
  2. Tor Hack Day
    Am Freitag findet dann ein öffentlicher Hackday statt. Ihr könnt dort verschiedene Entwickler treffen und mit denen über Tor sprechen bzw. programmieren.

 

Kakenya Ntaiya: Ein Mädchen verlangt Bildung

Da ich vorhin über die TED-Konferenz schrieb, schiebe ich hier noch ein Video nach. Kakenya Ntaiya erzählt ihre Geschichte. Sie besuchte auf den Willen ihrer Mutter die Schule und erkannte den Wert der Bildung für sich. Heute errichtet sie Schulen und versucht ihre Idee weiterzutragen. Es ist schon erschreckend zu hören, was ihr bzw. ihrer Mutter wiederfahren ist.

Schlechte Vorträge auf der TED und was sie draus machen

Ich schaue mir gern diverse TED-Vorträge an. Die TED steht für Technology, Entertainment und Design. Die Konferenz will hochklassige Vorträge bieten. Viele davon sind inspirierend, bringen neue Ideen mit oder sind einfach unterhaltsam. Bisher sind mir noch keine schlechten Vorträge untergekommen, höchstens welche, die mich nicht interessieren. Kürzlich lief mir der Artikel »When TED Lost Control of Its Crowd« vom Harvard Business Review über den Weg. Der Autor schrieb von zwei Lokal-Konferenzen, wo höchst fragwürdige Vorträge geboten wurden. Allerdings beschreibt der Artikel sehr gut, wie die Organisatoren der TED darauf reagierten und wie es weiterging. Anstatt nämlich den Kopf in den Sand zu stecken, haben Sie über verschiedene Plattformen mit den Hörern diskutieret und Lehren gezogen.

Der Artikel ist zwar recht lang, aber eine lohnenswerte Lektüre. 

tweetbackcheckcronjob