Skip to content

Firefox verbessert den Schutz der Privatsphäre

Als das Tor-Projekt den Tor-Browser entwarf, machten sie sich viele Gedanken zum Schutz der Privatsphäre. Sie versuchten jegliche Gefahren zu identifizieren und diese zu umschiffen. Daraus entstand das Design zum Tor-Browser. Seitdem versuchen die Entwickler, die Schwachstellen in Bezug auf die Privatsphäre im Mozilla Firefox im Griff zu behalten. Neben dem Tor-Button kommen viele individuelle Patches zum Einsatz. Die meisten davon wurden bisher von Mozilla nicht in den Firefox eingepflegt. Doch dies ändert sich jetzt.

Seit Anfang Mai gibt es im Wiki von Mozilla eine Seite, die sich Tor Uplift nennt. Mozilla fängt nämlich nun doch an, Patches vom Tor-Projekt in den Firefox wieder einzubauen. Auf der Wikiseite wird der Fortschritt festgehalten. Bisher kamen 26 Änderungen weiter und an sechs wird gerade aktiv gearbeitet. Sören Hentzschel beschreibt in seinem Blogbeitrag, welche neuen Optionen es im Firefox gibt und wie diese aktiviert werden können.

Insgesamt ist das ein guter Schritt der Entwickler, den Schutz der Privatsphäre im Firefox weiter zu erhöhen. Wie Sören in seinem Beitrag schreibt, engagiert sich Mozilla auch weiterhin stark im Tor-Projekt. Weiter so! :-)

Browser gegen LogJam absichern

Der macht eine Meldung über die LogJam-Schwachstelle die Runde. Ein Besuch der Webseite WeakDH.org offenbarte auch bei meinen Browser-Einstellungen Schwächen. Doch wie sichere ich den gegen die Attacke?

Im Firefox ist das recht einfach: In die Adresszeile einfach about:config eingeben und dann in den Konfigurationseinstellungen nach dem Wert .dhe suchen. Der Punkt vor dhe ist wichtig, dass nur die relevanten Algorithmen gefunden werden. Alle Werte (je nach Version sind das zwei oder mehr) werden auf false gesetzt. WeakDH.org sollte nun keine Warnung mehr anzeigen.

Einstellungen im Tor Browser Bundle

Im Chrome oder Chromium gibt es keine Möglichkeit, die Einstellung über ein Menü zu machen. Der beste Weg, den ich fand, ist, zunächst die Cipher-Suite-Detail-Seite zu besuchen. Dort findet ihr eine Tabelle mit Algorithmen, die euer Browser unterstützt. In der Spalte Spec stehen Zahlen-/Buchstaben-Kombinationen. So findet sich bei mir beispielsweise der Eintrag: (00,0a). Sucht nun nach allen Einträgen, bei denen der Cipher-Suite-Name mit DHE (nicht ECHDE) beginnt und entfernt die Klammern und das Komma von der Spec. Nun fügt ihr noch ein 0x an den Anfang. Im obigen Beispiel wird also aus (00,0a) ein 0x000a. Diese unerwünschten Algorithmen werden als Option dem Chrome oder Chromium übergeben: google-chrome --cipher-suite-blacklist=0x009e,0x0033,0x0032,0x0039,0x0004,0x0005 ist das bei meinem Browser.

Wie sieht es bei anderen Browsern aus? Meines Wissens kann man den Internet Explorer nicht so detailliert steuern. Ich freue mich über Hinweise und nehme die gern mit in den Beitrag auf. Schließlich sollte das Ergebnis der Webseite dann wie unten aussehen. :-)

Keine Angriffsmöglichkeit durch LogJam

Das BfV und die Spionageabwehr

Gestern war ich auf dem IT-Sicherheitstag bei der IHK Gera eingeladen. Dort hielten verschiedene Fachleute Vorträge oder Workshop. Die einleitenden Vorträge kamen von einem Experten für Spionageabwehr beim Bundesamt für Verfassungsschutz und von mir.

Der Referent des Verfassungsschutzes erklärte, woher die Bedrohungen für die Wirtschaft kommen, wie die aussehen können und was die Firmen dagegen tun können.

Woher kommen die Bedrohungen? Anfangs wurden insbesondere Russland und China mit ihren diversen Einheiten genannt. Die im weiteren Vortrag folgenden Beispiele wurden immer von chinesischen Bürgern ausgeführt. Zum Abschluss stellte der Redner fest, dass der Verfassungsschutz ja einen 360°-Blick hat und es keine Bedrohungen von westlichen Diensten gibt. Hauptgrund war die Tatsache, dass es keine Anzeigen aus der Wirtschaft gibt. Bedeutet das, dass Spionageabwehr nur aus dem Warten auf Anzeigen besteht?

Ich griff den Ball dann in meinem Vortrag nochmal auf und verwies auf den Fall Enercon, wo die NSA spionierte. Daneben verwies ich auf den DGSE und andere Dienste, deren Ziel Wirtschaftsspionage ist und in deren Fokus auch westliche Unternehmen stehen.

Der Vortrag des BfV-Referenten hatte viele Filme zur Illustration dabei. Wenn es dabei um Wirtschaftsspionage ging, kamen die Beispiele aus der Schweiz oder Österreich. Ich fragte mich, warum es keine Beispiele deutscher Unternehmen gibt und was das BfV mit schweizer oder österreicher Unternehmen zu tun hat. Eigentlich soll die Behörde Informationen sammeln, die sich gegen die FDGO richten oder deutsche Unternehmen gefährden.

Den Abschluss des Vortrages bildete ein wenig Werbung für die Behörde. Den schließlich würde diese diskret mit Informationen umgehen und, was dem Vortragenden wichtig zu sein schien, sie unterliegt nicht dem Legalitätsprinzip. Das heißt, bei Kenntnis von Straftaten müssen diese nicht angezeigt werden.

Insgesamt hinterließ der Vortrag bei mir einen recht faden Beigeschmack und bestätigte mein Bild von den »Verfassungsschützern«.

ZenMate als Anonymisierungsprogramm

Kürzlich führte ich einen Workshop zum technischen Datenschutz und Verschlüsselung durch. Während Workshops zeigte ich den Teilnehmern verschiedene Werkzeuge, unter anderem auch den Tor Browser. Dabei meinte ein Teilnehmer, dass er ZenMate einsetzt und dies genauso sicher wie der Tor Browser ist.

Wechsel des Orts bei ZenMateWas ist ZenMate? Auf der Webseite verspricht die Anwendung Verschlüsselung sowie anonymes Browsen. Der Internetverkehr wird durch virtuelle private Netze (VPNs) geleitet. Das Plugin lässt sich einfach installieren und fragt anschliessend nach einer E-Mail-Adresse. Nachdem eine E-Mail-Adresse eingegeben wurde, wird das Plugin nach einer kleinen Wartezeit aktiv. In der Browserleiste im Firefox erscheint ein grünes Schild und nach einem Klick lässt sich rechts unten der Ort wechseln (Change Location). Auf Empfehlung des Teilnehmers wählten wir im Kurs Hong-Kong aus und fühlten uns geschützt. Doch wie sieht die Realität aus?

Ich nutze für Tests auf Anonymisierung meist die Seite IP-Check. Nach dem Start des Tests und einer kurzen Wartezeit ergab sich folgendes Bild:

Anzeige der realen IP-Adresse in ZenMate

Das Plugin leitet zwar die Verbindungen über das VPN weiter und nutzt einen Server in Hong-Kong (oder auch anderen Städten). Weitere Browsereinstellungen bleiben jedoch unangetastet. Im Beispiel oben war es das Flash-Plugin, was in vielen Browsern standardmäßig aktiv ist, das sogar die reale, gerade verwendete IP-Adresse preisgegeben hat. Mit der manuellen Deaktivierung von Flash wird die eigene IP-Adresse nicht mehr unmittelbar erkannt. Allerdings bleiben noch genügend andere Möglichkeiten übrig das Onlineverhalten der Benutzer zu verfolgen.

Letztlich stecken die Entwickler des Tor Browsers sehr viel Zeit und Energie, Lücken im Firefox zu schließen. Daher wäre es schon sehr verwunderlich, wenn sich gleiches Ziel, nämlich anonymes Browsen, mit einem einfachen Plugin erreichen ließe.

Wer also ZenMate einsetzen will, sollte sich der Risiken im Klaren sein und ggf. selbst weitere Anpassungen im Browser vornehmen. Eventuell funktioniert die Kombination des JondoFox-Profils mit ZenMate besser. Diesen Versuch überlasse ich euch. Ihr könnt gern einen Kommentar hinterlassen. :-)

Podiumsdiskussion zur NSA mit Martina Renner

Heute gibt es wieder eine Veranstaltungsankündigung. Am morgigen Dienstag, dem 09. September 2014, werde ich zusammen mit Martina Renner einen Vortrag mit anschließender Podiumsdiskussion in Jena halten. In der Veranstaltung geht es um den NSA-Untersuchungsausschuss. Zu Anfang werden wir einige Details zur NSA, zu deren Überwachungsprogrammen und zu den Entwicklungen beim Untersuchungsausschuss erzählen. Anschließend stellen wir uns den Fragen aus dem Publikum.

Wer teilnehmen mag, sollte vor 18 Uhr im Hörsaal 8 im Unigebäude in der Carl-Zeiss-Str. 3 sein.

Spaziergang an Jenas Orte der Daten(un)sicherheit

Anfang September soll der Datenschutz etwas greifbarer gemacht werden. Ich werde zusammen mit Dirk Adams einen Datenschutzspaziergang machen. Wir wollen einige Stationen in Jenas Innenstadt ansteuern und über die Sicherheit oder Unsicherheit unserer personenbezogenen Daten reden.

Wir starten am Dienstag, den 2. September 2014 um 18 Uhr am Ernst-Abbe-Platz in Jena und wollen folgende Stationen ansteuern.

Geplante Route des Spaziergangs
  1. Ernst-Abbe-Platz
  2. Telekomladen in der Goethegalerie
  3. dm am Teichgraben
  4. Rathaus am Markt
  5. Paradiesbahnhof

Falls jemand noch weitere Hinweise hat, kann es natürlich sein, dass sich die Route geringfügig verschiebt. Die Orte bieten viel Gelegenheit, um über Probleme und Lösungen beim Datenschutz zu reden. Kommt vorbei und spaziert mit.

Firefox 27 mit TLS 1.2

Jetzt ist der Zeitpunkt gekommen, an dem ich meine Anleitung zu sicheren SSL-Einstellungen löschen kann. Der aktuelle Firefox ist in der Version 27 erschienen. Wie angekündigt, unterstützt der Browser nun standardmäßig TLS 1.1 und 1.2. Damit werden die TLS-Einstellungen über about:config hinfällig. Die Seite How’s my SSL zeigt den Firefox mit Standardeinstellungen als Probably OK an. Sogar Seiten mit AES im GCM-Modus werden korrekt verschlüsselt.

tweetbackcheck