Qbi's Weblog

Jacob Appelbaum hat bei der Konferenz eine Keynote gehalten. Er geht hier sehr stark auf den Begriff der Freiheit ein, den Richard Stallman geprägt hat und erzählt etwas über Lawful Interception sowie Zensur.

Um den Staatstrojaner ist es nach den diversen Veröffentlichungen wieder recht ruhig geworden. Daher haben die Macher von 0zapftis.info Aktionstage gegen den Staatstrojaner ausgerufen. Zuerst wird es in Berlin am 19. November 2011 eine Demonstration gegen staatliche Überwachung geben. Alle Teilnehmer treffen sich am Rathaus Neukölln und wandern anschließend zum BKA. Ich würde mich sehr freuen, wenn es in anderen Bundesländern ähnliche Aktionen geben würde.

In Deutschland dreht sich derzeit die Diskussion um den Bundestrojaner, der vom CCC gefunden wurde. Derweil spielt sich in den USA ein anderes Drama ab.

Jacob Appelbaum kann man nur als vielseitigen Zeitgenossen bezeichnen. Er arbeitet beim Tor-Projekt als Entwickler, hat in der Vergangenheit einige spektakuläre Ergebnisse im Bereich der IT-Sicherheit gefunden, engagiert sich bei WikiLeaks, half Hurrikanopfern usw. Die Liste lässt sich beliebig erweitern. Doch eines seiner Hobbys brachte ihm Probleme ein. Auf der Konferenz The Next HOPE hielt er im Juli 2010 einen Vortrag zu WikiLeaks (siehe unten). Seitdem wird Jacob bei jedem Grenzübertritt aus den USA oder in die USA kontrolliert. Das heißt, er wird zum Teil stundenlang festgehalten und befragt. Ihm wurden Geräte weggenommen und anderes mehr. Jetzt werdet ihr euch fragen, auf welcher Basis dies passierte. Dies ist bis heute unklar! Es gibt keine Anklage. 

Nachdem das Justizministerium Informationen von Twitter über Jacob Appelbaum und andere Aktivisten wollte, geht die US Regierung noch einen Schritt weiter. Sie forderte von Google und von dem Provider Sonic alle E-Mail-Adressen mit denen Appelbaum in den letzten zwei Jahren kommunizierte. Ein Artikel im Wall Street Journal hat weitere Details zu der Sache.

Welchen Erkenntnisgewinn soll eine solche Sache bringen? Wenn man die diversen Schritte der Behörden verfolgt, drängt sich der Verdacht auf, dass es nur um Schikane geht. Jacob kann man wohl nichts Böses nachweisen und so scheinen die Behörden einfach ein Exempel zur Abschreckung aufzubauen. Ich kann nur hoffen, dass die Vorgang ein Ende hat und Jacob sich wieder seinen Interessen widmen kann.  

Continue reading "Behördenwillkür bei Jacob Appelbaum"

Bei Twitter war kürzlich mal wieder ein nettes Mem zu beobachten. Es entstand eine Folge von „The great thing about $PROTOCOL jokes is $PROTOKOLLEIGENSCHAFT.“-Sätzen. Zu finden ist das Ganze unter dem Hashtag #protolol. Naja, lest selbst:

• The great thing about TCP jokes is that you always get them.
• The great thing about IP over Avian Carrier jokes is that if your joke gets fragmented, you at least get free dinner.
• The great thing about WebDAV jokes is you can tell many different versions of the same joke and people will still listen.
• The great thing about Zeroconf jokes is that you can just walk up to strangers and tell them, no introduction necessary.
• The great thing about IPP jokes is that you always end up with a paper record of the joke in question.
• The great thing about Nessus jokes is that they’re often inaccurate and poorly worded.
• The great thing about rsync jokes is that it only tells them if you haven’t heard them before.
• The great thing about bacterial transformation jokes is that there are always a lot of fungis involved.
• The great thing about DHCP jokes is that you can lend them to others and take them back when you want.
• The great thing about DNS jokes is that you don’t have to tell them with authority.
• The great thing about BGP jokes? Anyone can claim they are their own, all you can do is hope your neighbours like them.
• The great thing about nerdy jokes is that they follow a general pattern of self-referentiality that can be abstracted out.
• The great thing about ASLR jokes is you never know where they’re going.
• The great thing about antivirus jokes is you only need to change them a little and they’re funny again.
• The great thing about encryption jokes is d0842c7091158f8a8e6c89ed0cf4ec07.
• The great thing about gmail jokes is the chinese read them before you do.
• The great thing about TLS jokes is that you can tell if it’s not original.
  
• The great thing about XML jokes is that you can put anything into them.
• The great thing about Java jokes is waiting for them to begin.
• The great thing about Teredo jokes is that you can tell smart jokes even when surrounded by dumb peers.
  
• The great thing about PGP email encryption jokes is that nobody can read their own encrypted email because it’s so unusable.
• The great thing about RFC 862 jokes is the great thing about RFC 862 jokes.
• The great thing about source routing jokes is that someone else get in trouble for telling them at your instigation.
• The great thing about DNS jokes is that they work on so many levels.
• The great thing about fragmentation jokes is
• The great thing about IGMP jokes is that you can be selective in who gets them.
• The great thing about ARP jokes is they’re unauthenticated.
• The great thing about IPv6 jokes is that there are so many of them.
• The great thing about ICMP error jokes is that nobody can ever reply to them.
• The great thing about UDP jokes is that even if you don’t get them, nobody notices.
• The worst part of SSH jokes is that, even when they’re not funny, you suck it up and just pretend they were anyway.
• The best thing about XMPP jokes is that you can tell when they’re available.
• The problem with greylisting jokes is, that you always have to tell them twice.
• The sad thing about Kerberos jokes is that you first have to buy a ticket to join the laughter.
• The problem with PGP jokes is that you need to gain everybody’s trust before they can laugh with it.
• The best GFW jokes are inaccessible from China.
• The sad thing about IPv6 jokes is that almost no one understands them and no one is using them yet.
• The best thing about proprietary protocol jokes is REDACTED. 
• The best thing about SMTP jokes is, you had me at HELO. 
• The best part about WAF jokes is there are a hundred ways to tell them, and everyone is sure to get them.
• The problem with git jokes is everyone has their own version.
• Everybody loves MitM jokes. Well, everybody except Alice and Bob that is.
• The worst thing about Perl jokes is that next morning you can’t understand why they seemed so funny.
• I don’t make SQLi jokes myself, I get them FROM USERS.
• The good thing about OTR jokes is that you forget the punchline afterwards.
• The best thing about Skype jokes is the ridiculous lengths they’ll go to, to be told at all.
• The best thing about mathematical jokes is left as an exercise for the reader.
• The best thing about Twitter API jokes is that you can only make 100 of them per hour.
• The problem with 802.11 jokes is that somebody far away is always listening.
• The problem with BGP jokes is the need for a local default joke, just in case you reject all of the other jokes coming in!
• The problem with telling NTP jokes is that you’re constantly adjusting your timing.
• The worst thing about HTML jokes is that your audience doesn’t always GET it.
• The good thing about pure functional jokes is, telling them has no side effects.
• The good thing about Twitter jokes is they’re so short.
  
• The problem with ASCII jokes is having to leave out the good bits.
• The bad thing about DVCS jokes is they’re all clones of each other …
• The best part about a CISSP joke, is you don’t have to know anything about security to get it.
• The problem with CSS jokes is that everyone understands them differently.
• The great thing about integer overflow jokes is that GCC doesn’t think they’re funny.
• The problem with standards jokes is that there are so many to choose from.
• The problem with IPv4 jokes is there aren’t enough for everyone.
• The problem with dining cryptographers network jokes is that you never know who told them.
• The problem with DRM jokes is that you can’t share them with your friends.
• The best part about TTL jokes is that they can only be told so many times.
• The problem with anonymity jokes is that any jackass can take the credit for them.
• The problem with TCP jokes is that people keep retelling them slower until you get them.
• The bad thing about Turing machine jokes is you never can tell when they’re over.
• The great thing about HTML jokes is that you’re never quite sure when they end.

Eine Zusammenstellung gibt es auch bei attrition.org.

Ein Add-On für den Firefox, welches 4 von 5 Sternen hat und von mehr als sieben Millionen Nutzer installiert wurde, sollte doch halbwegs vertrauenswürdig sein. Zumindest legt Linus’ Law diese Erkenntnis nahe. Das Add-On Ant Video Downloader straft diese Annahme nun Lügen.

Der Ant Video Downloader soll Videos von Youtube, Facebook und vielen anderen Seiten auf einfache Weise herunterladen. Daneben hat die Software noch einen anderen Zweck. Sie sammelt Daten über jede Seite, die der Benutzer besucht. Dazu wird eine eindeutige Nummer, die so genannte Ant-UID, angelegt. Wenn eine Webseite aufgerufen wird, sendet Ant eine zweite Anfrage mit eben dieser Nummer, der URL der aufgerufenen Seite sowie der Browserkennung an die Adresse rpc.ant.com.  Somit kommt dort jeder Seitenaufruf (also auch interne URLs im privaten Netzwerk) an, den ihr jemals gemacht habt. Damit aber noch nicht genug. Bei der Deinstallation der Software wird die Informationen mit der eindeutigen Nummer, der Ant-UID, behalten. Wenn ihr die Software später neu installiert, wird genau dieselbe Nummer wieder verwendet. Das ist also eine massive Verletzung der Privatsphäre der Nutzer.

Wie ein Witz klingt da die Privacy Policy von Ant.com:

As a responsible member of the community of website owners, Ant.com solutions (Here in after Ant.com) takes the privacy and security of its users with the highest regard.

Insgesamt finde ich in der Policy keinen Hinweis auf diese Spionagemaßnahme. Glücklicherweise haben die Betreiber der Add-On-Seite die Notbremse gezogen. Zunächst wurde der Download der Software komplett deaktiviert und jetzt ist diese als experimentell gekennzeichnet. Damit sollten nur erfahrenere Nutzer diese installieren können.

Das Beispiel zeigt mal wieder, das man sich offensichtlich auf keine Software verlassen kann und insbesondere das die Warnungen bezüglich der Add-Ons sehr ernst zu nehmen sind.

via InterWeb Task Force und The Register

Der Anonymisierungsdienst Tor ist so aufgebaut, dass jeder einen Server aufsetzen und Daten für andere weiterleiten kann. Einige kommen auf die schlechte Idee, den Verkehr mitzuschneiden. Da Tor-Nutzer sich manchmal bei unverschlüsselten Seiten anmelden, erhält der Betreiber des Tor-Servers in dem Fall die Login-Informationen. Dan Egerstad war einer dieser Leute.

Die Entwickler hinter dem Tor-Projekt, genauer die Betreiber der Verzeichnisserver, versuchen, schadhaftes Verhalten zu erkennen und den Server dann im Netzwerk zu sperren. Hierfür wird der Server als BadExit markiert. In der Folge darf der Server nur noch internen Verkehr weiterleiten.

Doch wie erkennt man, ob jemand wirklich die Inhalte mitschneidet? Wo ist die Grenze zwischen falscher Konfiguration und Böswilligkeit? Eine Frage, die sich schwer beantworten lässt und gleichzeitig auf der Mailingliste des Projekts hohe Wellen schlug.

Am Anfang stand die Frage „Is “gatereloaded” a Bad Exit?“ und im Verlauf der Diskussion wurden verschiedene Standpunkte diskutiert. Der Tor-Server gatereloaded lässt ausgehenden Verkehr nur für bestimmte Ports zu. Üblicherweise wird über diese (FTP, HTTP, POP3) im Klartext kommuniziert. Weiterhin ist es üblich, über diese Ports auch Login-Informationen zu senden. Das sind also ideale Bedingungen für einen Schnüffler. Gleichzeitig sind in den Informationen zum Server keine oder falsche Kontaktinformationen hinterlegt. Es gibt also keine Möglichkeit, sich mit dem Betreiber über die Sache auszutauschen.

Nach einiger Diskussion wurde der und andere Router in die Liste mit nicht vertrauenswürdigen Routern eingetragen. Einige Menschen auf der Mailingliste protestierten. Denn zum einen wollten sie nicht, dass irgendjemand diktiert, wer welche Ports erlaubt und zum anderen wurde durch die „Schließung“ angeblich mehr Last auf die anderen Server gelegt. Schließlich kam das Killerargument, dass ja jeder Verkehr mitschneiden könne.

Ich halte die Entscheidung der Admins der Verzeichnisserver für richtig und nachvollziehbar. Denn, wie sie später erklärten, läuft der Algorithmus ungefähr wie folgt:

1. Suche nach verdächtigen ExitPolicys.
   
2. Hat der Betreiber Kontaktinformationen gesetzt?
3. Falls ja, wird der Betreiber kontaktiert und um Auskunft gebeten bzw. über die „falsche“ Policy aufgeklärt. Wenn er die Policy anpasst bzw. eine gute Erklärung für seine Entscheidung liefert, ist alles in Ordnung. Antwortet er nicht, dann wird der Server als BadExit markiert.
4. Falls keine Kontaktinformationen angegeben sind, wird der Server als BadExit markiert.

In Abhängigkeit vom Einzelfall kann der Weg natürlich auch anders aussehen. Aber auf jeden Fall wird nicht blind versucht, irgendwelche Server, die Einzelpersonen nicht passen, auszuschalten. Sondern vielmehr versuchen die Personen wenig invasiv vorzugehen und einvernehmliche Lösungen zu finden.

In der Zwischenzeit kontaktierte einer der Administratoren der gesperrten Server das Tor-Projekt und erklärte, dass ihm die Formulierung der ExitPolicys zu schwierig war. Daher hat er einige naheliegende Ports freigegeben. Das Tor-Projekt klärte denjenigen auf, er änderte seine Einstellungen und nun ist er kein BadExit mehr.

Ich frage mich jetzt, warum der Admin Kontakt aufgenommen hat. Nach meiner Meinung/Erfahrung dürfte der durchlaufende Datenverkehr gleich geblieben sein. Denn er kann immer noch Daten innerhalb des Netzwerks weiterleiten. Also müsste dieser Fakt rausfallen. Weiterhin halte ich es für einen normalen Betreiber eines Servers für unerheblich, ob nun Verkehr nach außen geht oder innerhalb des Netzes bleibt. Momentan mag mir nur ein Grund einfallen: Der Scanner, mit dem Daten mitgeschnitten wurden, blieb leer. Was also liegt näher, als nach dem Grund zu fragen? Vielleicht ist meine Phantasie zu eingeschränkt und es gibt noch einen anderen plausiblen Grund. Meine torrc hat auf jeden Fall einen Eintrag mehr für die Option ExcludeExitNodes.

Um Twitter entstehen immer mehr Dienste. Am bekanntesten ist sicher Twitpic, um Fotos zu twittern. Eine neue Idee ist nun, Filesharing per Twitter zu betreiben. Auf TwileShare loggt man sich mit seinem Twitter-Account ein und kann Bilder, Microsoft-Word- und PDF-Dateien hochladen. Jedem Nutzer stehen derzeit ein GigaByte zur Verfügung.

Dann fehlen nur noch:

• TwitTorrent
• TwiSCP und TwiFTP
• TwitDAV und TwitCat

via TechCrunch