Qbi's Weblog

Du kannst französisch, russisch, chinesisch oder eine andere Fremsprache und möchtest gern das Tor-Project unterstützen? Nichts einfacher als das!

Die Testseite, ob Tor korrekt eingerichtet ist, soll in verschiedenen Sprachen erscheinen. Dazu muss die Datei mit dem englischen Text in eine andere Sprache übersetzt werden. Es handelt sich hierbei um zehn Sätze. Also nur wenige Minuten Arbeit.

Ich würde mich freuen, wenn du alle oder ein paar der Sätze übersetzt und diese dann an mich oder an die Übersetzer sendest.

Das Seminar hat mich an eine Idee erinnert. Seit einiger Zeit wollte ich wissen, wo man in Jena von Kameras erfasst und aufgenommen wird. Ich habe das Seminar mal zum Anlass genommen, eine Karte zu erstellen und auch einige Leute um Mitarbeit zu bitten. Gemeinsam haben wir jetzt etwa 70 Standorte gefunden und es kommen auch immer noch welche hinzu.

Die untenstehende Karte ist das Resultat der bisherigen Arbeit. Die roten Markierungen bedeuten, dass man im öffentlichen Bereich aufgenommen wird. Grüne Marken bedeuten, dass Kameras nur in den eigenen Räumen filmen und bei den blauen Marken ist die Lage noch unklar. Ich habe versucht, jegliche Art von Kamera mit aufzunehmen, d.h. es spielte zunächst keine Rolle, ob es eine klassische CCTV-Kamera oder eine Webcam oder ähnliches ist. Wir werden versuchen, die Hinweise an jedem Standort etwas zu formalisieren, so dass man ablesen kann, welche Art von Kamera wo steht und wie gespeichert wird etc.

Falls jemand von euch weitere Hinweise hat, würde ich mich über E-Mails oder Kommentare freuen.

Große Karte

In der letzten Woche war ich zusammen mit Johannes Lichdi unterwegs in Sachsen. Im Rahmen der Veranstaltungsreihe FREIstaat oder ÜBERWACHUNGsstaat? Meine Daten gehören mir! war geplant, Vorträge und Diskussionen durchzuführen. Wir besuchten die Städte Torgau, Freiberg, Dresden und Görlitz.

Im Vorlesungsverzeichnis findet sich in diesem Semester auch ein Proseminar mit dem Titel Totale Überwachung. Die Ankündigung liest sich erstmal sehr vielversprechend:

Die gegenwärtigen rechtlichen und technischen Rahmenbedingungen lassen bereits einen Grad an Überwachung von Personen zu, der erschreckend ist. Doch selbst das genügt Staatsorganen, Konzernen und verunsicherten Bürgern noch lange nicht: Begründet mit einem (vermeintlichen) Zugewinn an Sicherheit, Gerechtigkeit oder Bequemlichkeit, werden immer neue Maßnahmen der Überwachung ersonnen und durchgesetzt.

Im Proseminar sollen eine Reihe gesellschaftlich durchaus umstrittener Anwendungsfelder der Überwachung durch informationstechnische Systeme studiert werden. Als Themen sind u.a. geplant:

• Der Bundestrojaner: Verdeckte Online-Durchsuchung von Rechnern
• Vorratsdatenspeicherung
• Speicherung und Weitergabe von Fluggastdaten
• Ausweise mit biometrischen Merkmalen
• Der LIDL-Skandal: Videoüberwachung von Mitarbeitern und Kunden
• Videoüberwachung im öffentlichen Raum
• Videoüberwachung in Jena (mit Begehung)
• RFID: Auf dem Weg zur allgegenwärtigen Überwachung
• Der gläserne Patient: Elektronische Gesundheitskarten
• Der gläserne Autofahrer: Zweckfremde Nutzung von Maut- oder Lokationsdaten
• Der gläserne Surfer: User Tracking im Internet
• Verkettung digitaler Identitäten
• BigBrotherAwards: Oskars für Datenkraken

Der komplette Text liest sich recht vielversprechend. Ich werde die Veranstaltung auf jeden Fall besuchen und vielleicht auch einen Vortrag halten. Auch wenn mir das keinen Nutzen für das Studium bringt. Denn den Schein kann ich wahrscheinlich nicht mit einbringen.

David Naylor stellte kürzlich eine Liste der häufig benutzten Passwörter zusammen. Die Besten aus diesem Jahr sind:

1. Der Benutzername
2. Der Benutzername mit den Zahlen 123
3. 123456
4. password
5. 1234
6. 12345
7. passwd
8. 123
9. test
10. 1

Im Allgemeinen scheint password oder Passwort das beliebteste Passwort aller Zeiten zu sein.

Habt ihr schonmal E-Mails mit der Reply-To-Adresse blablabla@donotreply.com bekommen? Nach den Worten von Securityfix scheint das bei amerikanischen Unternehmen üblich zu sein. Ein Unternehmen sendet eine E-Mail raus und möchte keine Antwort bekommen. Also nutzen sie halt als Returnadresse meinunternehmen@donotreply.com. Aber wie das nun mal mit Domainnamen so ist, gehört diese einer anderen Person. Chet Faliszek, der Eigentümer von donotreply.com, postet in seinem Blog They Told You Not To Reply einige interessante E-Mails, die er erhielt. In einigen Fällen versucht er auch die Unternehmen zu warnen, nicht derartige Reply-To-Adressen zu verwenden und erhält merkwürdige Reaktionen:

I’ve had people yell at me, saying these e-mails are marked private and that I shouldn’t read them

Vielleicht sollten die Unternehmen lieber über ihre eigenen Methoden nachdenken.

Im nächsten Monat werde ich zusammen mit Johannes Lichdi, MdL im sächsischen Landtag eine Veranstaltungsreihe in Sachsen unternehmen. Angesichts der ausufernden Überwachungsmaßnahmen diskutieren wir mit dem anwesenden Publikum die vorhandenen oder geplanten Maßnahmen. Bei einigen Veranstaltungen wird auch der Film “A scanner darkly” gezeigt werden. Falls du Zeit und Lust hast, komm doch mit vorbei. Folgende Termine sind derzeit geplant:

• 8. April um 19:30 Uhr in Torgau
• 9. April in Freiberg
• 10. April um 19:00 Uhr in Dresden
• 12. April um 20:30 Uhr in Görlitz
• 21. April um 19:30 Uhr in Glauchau
• 23. April um 19:00 Uhr in Plauen

Weitere Details, insbesondere zu den Orten, findest du bei der Ankündigung der Veranstaltung.

Das werden heute wohl die Nachrichten des Tages werden:

Der Antrag der Beschwerdeführer, §§ 113a, 113b TKG im Wege der einstweiligen Anordnung bis zur Entscheidung über die Verfassungsbeschwerde außer Kraft zu setzen, hatte teilweise Erfolg.

Zu gut deutsch: Die Vorratsdatenspeicherung wurde zu großen Teilen auf Eis gelegt. Damit hat der AK Vorrat einen wichtigen Teilerfolg erzielt und ich hoffe, dass demnächst auch das komplette Gesetz gekippt wird.

Aus der Pressemeldung:

Dem Bundesverfassungsgericht wurden heute in Karlsruhe die Vollmachten von über 34.000 Bürgerinnen und Bürgern übergeben, die sich gegen die sechsmonatige Sammlung ihres Telekommunikations- und Bewegungsverhaltens zur Wehr setzen wollen. Gegen die seit 1. Januar 2008 eingeführte Überwachungsmaßnahme richtet sich damit die größte Verfassungsbeschwerde in der Geschichte der Bundesrepublik. Die 102 Aktenordner und 12 Umzugskartons füllenden Vollmachten der Beschwerdeführer wurden heute für den Berliner Anwalt Meinhard Starostik beim Bundesverfassungsgericht eingereicht.

Damit ist die GröVaZ auf dem Weg.

Ich wurde gerade darauf hingewiesen, dass es im Media-Blog eine Rezension meines Buches “Anonym im Netz -- Techniken der digitalen Bewegungsfreiheit” gibt. Ich freue mich immer, wenn ich Meinungen zum Buch lese oder zugeschickt bekomme. Solltest du noch welche kennen, würde ich mich über einen Hinweis freuen.

Unsre Nachbarn auf der Insel lieben das Abhören und endlich kann auch der gemeine Zoll- bzw. Steuerbeamte loslegen. Im Rahmen des Serious Crime Act dürfen Angestellte der HMRC Telefonanrufe, E-Mails und Briefe abhören. Schließlich könnte jeder früher oder später mal Steuern hinterziehen.

via Accountingweb

Du hast ein Konto bei Google Mail? Du loggst dich immer per SSL ein? Du denkst, niemand sonst kann deine E-Mails lesen? Falsch!

Bereits im letzten Jahr zählte der Hack zu den Top 5. Dabei ist es im Allgemeinen so, dass man von der Webseite, bei der man sich einloggt, einen Session-Cookie bekommt. Ein Angreifer fängt diesen ab und kann nun selbst mit dem Account arbeiten. Eigentlich sollte die Verschlüsselung per SSL/TLS die Sachen geheim halten. Aber:

[...] The JavaScript code uses an XMLHttpRequest object to make HTTP requests in the background. These are also SSL encrypted by default - but they become unencrypted if SSL fails.

When you open your laptop and connect to a WiFi hotspot, it usually presents you with a login page, or a page that forces you to accept their terms and conditions. During this time, SSL will be blocked. Gmail will therefore backoff and attempt non-SSL connections. These also fail - but not before disclosing the cookie information that allow hackers to sidejack your account.

Dies schreibt Rober Graham in seinem Eintrag More SideJacking. Mike Perry, einer der Entwickler von Torbutton, fand heraus, dass einzig der Cookie mit dem Namen GX zur Authentifizierung benötigt wird. Dieser wird unabhängig von vorhandener Verschlüsselung gesendet. Weiter lässt sich der Cookie durch einen CSRF-Angriff über eine beliebige Webseite abfragen. Daher ist es äußerst empfehlenswert, die Cookies direkt nach Beenden von Google Mail zu löschen.

Die Forscher haben Google Mail als Beispiel benutzt. Natürlich gibt es viele andere Webseiten da draußen bei denen ein ähnlicher Angriff genauso gut funktioniert.

via Wired Blog

Tim hat einen schönen Comic von Clay Bennett ausgegraben:

Der Zaun außen repräsentiert die Sicherheit und das Haus die Privatsphäre. Die Grafik zeigt sehr schön das Spannungsfeld zwischen beiden. Es lohnt sich, auch die anderen Comics anzuschauen. Er macht sehr klare, durchdachte Zeichnungen.

Der eine oder andere von wird sich vielleicht wundern, dass die Webseite von I2P nicht erreichbar ist. Das liegt an einer Verkettung unglücklicher Umstände. Denn im Serverraum des Providers gab es wohl Stromprobleme und so wurden einige der Server heruntergefahren. Nun wäre es ein Leichtes die Server wieder hochzufahren. Jedoch darf den Auftrag nur der Kunde auslösen und der scheint hier so anonym zu sein, dass niemand weiß, wer das ist. Jedenfalls findet sich keiner mit den entsprechenden Logindaten und so bleibt der Rechner zunächst offline.

Das Projekt bemüht sich um neue Hadware und wird die Gelegenheit gleich nutzen, von CVS auf ein verteiltes VCS umzusteigen. Mit etwas Glück wird in den nächsten Wochen wieder alles wie gewohnt funktionieren.

Das I2P-Netzwerk ist davon natürlich nicht betroffen. Hier läuft alles wie gewohnt weiter.

Nachdem du I2p installiert und einige Webseiten besucht hast, wird es Zeit, E-Mails zu schreiben. Du musst dir hierfür einen Namen aussuchen und kannst dann mit anderen I2Pler kommunizieren. Weiterhin existiert auch ein Gateway, welches deine E-Mail-Adresse umschreibt. Somit kannst du auch mit der Außenwelt E-Mails austauschen.

Deine E-Mail-Adresse hat die Form nutzername@mail.i2p. Um dir den Nutzernamen zu registrieren, besuche die Seite Postman.i2p. Dort gibt es ein Formular, in dem du deinen gewünschten Namen, Passwort sowie eventuell weitere Informationen angeben kannst.

Nachdem die Registrierung abgeschlossen ist, könnt ihr E-Mails senden und empfangen. Ein Weg ist, das mitgelieferte Webmail-Programm susimail zu nutzen. Nachdem ihr euch eingeloggt habt, seht ihr auf der Seite Buttons zum Versenden, Beantworten oder anderer Aufgaben. Du schreibst, wie gewohnt deine Nachrichten und versendest diese. Neue E-Mail wird automatisch angezeigt.

Nachrichten können sowohl an I2P-Adressen wie auch an externe Adressen versandt werden. Im letzteren Fall wird der Hostname von mail.i2p in i2pmail.org geändert. Dies erlaubt es, die E-Mail im Internet weiter zu versenden und der Empfänger kann auch wieder antworten. Im Falle der Antwort ändert das empfangende Gateway den Hostnamen wieder zurück.
Zu beachten ist dabei, dass die Anzahl der Empfänger auf 20 pro Tag beschränkt ist. Dies soll Spamming von I2P aus verhindern.

Natürlich kannst du auch ein richtiges E-Mail-Programm zum Senden und Versenden nutzen. Hierbei musst du aufpassen, dass das Programm nicht versehentlich mehr Informationen preisgibt, als du willst. Die Postman-Seite hat Informationen zu verschiedenen Mailern. I2P macht nach der Installation verschiedene Ports auf. Dazu gehören unter anderem 7659 und 7660. Dort lauscht ein SMTP- bzw. POP3-Prozess. Lege also in deinem E-Mail-Programm ein neues Konto an. Stelle das den POP3-Server auf die IP-Adresse 127.0.0.1 mit dem Port 7660 (überlicherweils als 127.0.0.1:7660 eingegeben) und den SMTP-Server auf 127.0.0.1 mit dem Port 7659 ein. Nun solltest du in der Lage sein, E-Mails mit dem Programm zu senden und zu empfangen.

Die zwei obigen Dialoge zeigen die Einstellungen von Evolution.