Archiv | Februar, 2014

#gotofail – SSL Bug in iOS fixen

iPhone Benutzer sollten dringend mal auf gotofail.com gehen. Wenn dort nicht grün „Safe“ steht ist ein Update auf iOS 7.0.6 wirklich anzuraten. Ansonsten sind alle eure verschlüsselten https Verbindung geknackt und ihr würdet es niemals mitbekommen.

Ein schönes Katzenbild von „I can haz Digital Security“ dazu:

gotofail
Und jetzt updaten!!!

HTTP 2.0 – Mit MITM Proxy der Geheimdienste

Jahrelang wurde uns eingebläut verschlüsselte Verbindungen zu nutzen. Auch bekannt als https:// Dann kam vor einigen Jahren ein Problem mit Diginotar, einer zentralen Zertifikatsstelle, zu Tage die einfach mal für Zweitzertifikate ausgestellt haben.
Dann wurde uns allen durch den Snowden Skandal bewusst, dass die schlimmsten Befürchtungen aller Nerds wahr wurden und die NSA tatsächlich alles überwacht und für später wegspeichert.

Die IETF hat nun einen Vorschlag namens „Explicit Trusted Proxy in HTTP/2.0“ erarbeitet um mal eben einen vertrauensvollen Proxy zu ermöglichen, der mal eben alle https Verbindungen aufmacht und reinschaut. Man könnte fast meinen, die IETF (also die Internet Engineering Task Force und damit die Urväter des Internets) hat sich von DE-Mail beeindrucken lassen. Da gibt es schließlich auch End-to-End Krypto. Doch natürlich muss der Provider ja auf dem Weg der Zustellung nochmal eben die Mail direkt entschlüsseln und auf Viren und Spam überprüfen. Das Absurde an dieser Idee bei DE-Mail ist:
– DE-Mail Benutzer müssen sich bei der Anmeldung mit Ausweis vollständig legitimieren. –> Der Virenversender ist also sofort greifbar und kann sehr schnell gefasst werden.
– Jede DE-Mail kostet richtig Geld. –> Tausende Spammails werden dem Versender also richtig viel Geld kosten.

Beide Gründe dürften davor sorgen, dass Spam und Viren über DE-Mails niemals verschickt werden.

Wenn nun IETF also einen Standard über einen vertrauenswürdigen Proxy erarbeitet haben die Geheimdienste sogar noch einen eigenen offiziellen Standard dafür wie man jede Verschlüsselung aushebeln kann.

Lauren Weinstein schreibt in seinem Blog wirklich treffend:

So this dandy proposal offers a dandy solution: „Trusted proxies“ — or, to be more straightforward in the terminology, „man-in-the-middle attack“ proxies. Oh what fun.

The technical details get very complicated very quickly, but what it all amounts to is simple enough. The proposal expects Internet users to provide „informed consent“ that they „trust“ intermediate sites (e.g. Verizon, AT&T, etc.) to decode their encrypted data, process it in some manner for „presumably“ innocent purposes, re-encrypt it, then pass the re-encrypted data along to its original destination.

Chomping at the bit to sign up for this baby? No? Good for you!

Ironically, in the early days of cell phone data, when full capability mobile browsers weren’t yet available, it was common practice to „proxy“ so-called „secure“ connections in this manner. A great deal of effort went into closing this security hole by enabling true end-to-end mobile crypto.

Now it appears to be full steam ahead back to even worse bad old days!

Und abschließend:

I’m sorry gang, no matter how much lipstick you smear on this particular pig — it’s still a pig.

The concept of „trusted proxies“ as proposed is inherently untrustworthy, especially in this post-Snowden era.

And that’s a fact that you really can trust.

Sollte die IETF wirklich auch noch https aushebeln wollen kann man das Internet so langsam echt vergessen. Denn dann kann wirklich jeder alles mitlesen.

Alternativen für Whatsapp //Update

Nachdem Facebook meinte, dass ihnen Whatsapp ganze 19 Instragams (16 Instagrams in Cash + 3 Instragrams in Aktien) wert ist könnte man ja mal den Kanal wechseln und in Zukunft was anderes benutzen. Ein Instagram sind übrigens der Wert von 1 Milliarde US-Dollar. Das hat sich so nach dem Verkauf von Instagram an Facebook für genau 1 Milliarde US-Dollar so eingebürgert. Ein kleiner Fakt am Rande. Herrn Zuckerberg war scheinbar jeder einzelne der 450 Millionen Whatsapp Nutzer gute 42 US Dollar wert.

Warum sollte ich von Whatsapp nun weg?

Facebook verdient ihr Geld mit Werbung. Dazu verwenden Sie auch offiziell eure Daten und binden damit sehr gut auf euch abgestimmte Werbung ein. Damit verkauft Facebook auch eure Daten. Whatsapp hat immer bestätigt, dass Sie niemals Werbung einführen werden. Das finde ich auch gut so und sie halten es auch so. Denn Whatsapp verlangt nun pro Jahr 89 Cent. Das ist im Vergleich zum Nutzen so gut wie kein Geld. Nehmen wir mal an, dass nur ca. 10% aller Nutzer diese Gebühr auch zahlen, dann sind das schon knapp 45 Millionen die Whatsapp abwirft. Mit diesem Geld kann man seeeeehr viele Server betreiben und auch ganz sicher einige Techniker, die das Ganze am Laufen halten. Am Ende bleiben immer noch einige Dollars übrig. Das ist für mich ein sehr sinnvolles Geschäftsmodell und würde auch sicher bei anderen gut funktionieren.

Whatsapp ist in den letzten Jahren aber auch sehr negativ aufgefallen. Zu allererst mal hat die App bis vor einem Jahr oder so das gesamte Adressbuch unverschlüsselt zum Server geschickt. Dann gab es bis vor einiger Zeit keine Verschlüsselung der Nachricht auf der Leitung. Das heißt: Jeder im gleichen WLAN Netz konnte deine Whatsapp Nachrichten mitlesen. Es wurde schließlich alles im Klartext übertragen.

Genau aus diesem Grund und vor allem auch wegen dem Misstrauen gegenüber dem Provider sollte man nie Passwörter über einen unsicheren Kanal übertragen. Ich habe solche Sachen dann eher per Mail gemacht. Die Mail ist zwar auch nicht verschlüsselt. Aber zumindest der Weg zum Mailserver hin. Wenn der Mailserver dann auch noch in der eigenen Kontrolle ist (also im Haus) und man nur noch SSL/TLS erlaubt spricht erstmal nichts gegen den Mailserver als Übertragungsweg. Besonders wenn die Mail sowieso an einen Empfänger in der gleichen Domäne ist landet die Mail sowieso nur einmal auf dem Mailserver und verlässt den Server nicht mehr zur Zustellung. ;)

Mittlerweile verschlüsselt Whatsapp nun auch ihre Nachrichten. Aber natürlich nur mit dem uralten RC4 Standard, der schon zu Anfangszeiten von WLAN (mit WEP) gebrochen wurde. Natürlich ist auch schwache Verschlüsselung erstmal besser als gar keine Verschlüsselung, sie macht aber nur den Aufwand größer und schützt nicht vor Spionage.

Außerdem verdient Facebook sein Geld mit Werbung und über kurz oder lang wird Facebook sicher auch mal ihre Investion wieder einspielen wollen und Whatsapp monatarisieren wollen. Im Moment behaupten Facebook und Whatsapp noch das Gegenteil.

Nun gibt es viele Alternativen:

Threema –> Ein Krytomessenger der Geld kostet und zuverlässig zu sein scheint. Hat aber immer noch den Nachteil, dass es nur Nerds nutzen werden.
OTR und Jabber sind meiner Meinung gerade die beste Lösung. Sie lassen sich aber auf einem Smartphone eher schlecht umsetzen, da immer eine stabile Internetverbindung gebraucht wird und nicht immer vorausgesetzt werden kann.
Telegram –> Verschlüsselte Verbindung zum Server ist dabei. Die Chathistory wird aber trotzdem auf dem Server gespeichert, was der Geheimdienst dann mal kopieren kann und in Zukunft dann nachträglich entschlüsseln könnte.

Alex fasst es gut zusammen: Threema hat gutes Marketing, die Nerdlösung ist zu schwer und Telegram ist so einfach wie Whatsapp.

//Update vom 25.2.2014:
Selbst Alex schreibt heute nun über TextSecure. Schade, dass es nicht auf iOS läuft. Aber kommt Zeit kommt auch eine iOS Version.

Und zumindest in meiner Filterbubble füllt sich die Kontaktliste gerade doch ganz gut auf Telegram. Mir macht zwar das fehlende Geschäftsmodell von Telegram noch sorgen. Aber zumindest von der Einfachheit könnte ich mir vorstellen, dass Telegram ein potenzieller Nachfolger von Whatsapp werden kann. Die aktuellen Anmeldezahlen bestätigen diese These sehr stark. Über die Sicherheit bei Telegram kann man hier etwas lesen.

//Update vom 25.2.2014:
Eigentlich ist Telegram sicherlich einen Versuch wert. Aber nach längerem Überlegen macht mir das Geschäftsmodell doch etwas Angst. Sie verlangen nichts, haben ein propritäres Kryptomodell und sie kommen aus Russland. Der Russe an sich mag ganz nett sein (kann ich sogar aus früherer Zeit auch bestätigen!), aber netztechnisch kommt eben auch sehr Spam, Warez und andere dubiose Dinge aus diesem Bereich der Erde. Deshalb sollte man sich nochmal gründlich überlegen ob man Telegram vertrauen will.
Außerdem weiß doch jeder was für ein lupenreiner Demokrat. Der würde doch niemals Demonstranten ins Gefängnis stecken. :)

Schade, dass Textsecure noch nicht für iOS draußen ist. Denn Sachen wie Forward Secrecy um im Zweifelsfall alles abstreiten zu können ist in heutiger Zeit doch viel wert. Zumindest behauptet das Heise derzeit.

Ich habe aktuell Telegram, Threema und Whatsapp drauf. Telegram wird aber in Zukunft sicher der Hauptmessenger werden.

//Update vom 25.2.2014:
Wobei ich aktuell von der Einfachheit auch Threema lieber verwenden würde. Das kostet zwar Geld und die Krypto ist noch nicht ganz durchschaut. Aber wenn die Firma schon mal Geld mit der Software verdient muss sie nicht zwangsweise durch Datenverkäufe Geld verdienen.
Wie ein Wechsel auf Threema funktionieren kann, schreibt Heise.

Ein paar Regeln die aus meiner Sicht für den Umgang mit diesen Messengern sinnvoll sind:
– Richtig sensible Themen bespricht man immer noch persönlich von Angesicht zu Angesicht.
– Schreibe keine Dinge, die dir später zum Nachteil werden können (also keine Beleidigungen, Lügen, Mobbing oder unpassende Fotos verschicken).
– Vertrau nicht alles blind. Am anderen Ende könnte auch jemand an das Smartphone deines Gesprächspartners gekommen sind.
– Keine Bankdaten, Kreditkarten und Passwörter über Messenger verschicken!

Kerio Connect 8.2.2: Eigener Kalender mit Thunderbird / Lightning ansehen und bearbeiten

Kerio Connect unterstützt ja netterweise neben Webmail, Exchange und Outlook Connector auch offene Standards wie CalDAV, CardDAV und IMAP.
Imap ist eigentlich auch gar kein Problem. Da muss man nur den Servernamen wissen den sicheren Port auswählen und sein Benutzernamen und Passwort.
Für CalDAV ist das dagegen etwas schwieriger. In diesem KB Artikel werden allgemein die Adressen beschrieben. Das tolle dabei ist ja: Ich bekomme eine Verbindung zustande und werde dann auch nach den Benutzerdaten gefragt, aber am Ende werden keine Kalendereinträge angezeigt.

Dann gibt es sogar für Lightning einen extra KB Artikel, doch auch der spricht nur die halbe Wahrheit. In meinem Fall will ich keinen geteilten Kalender, sondern meinen eigenen Kalender einbinden.

Das richtige Format muss so aussehen:

https://SERVER/calendars/DOMAIN/USER/Calendar

In meinem Fall also:

https://mail.h-team.de/calendars/h-team.de/t.aichele/Calendar

Und wie habe ich diese tolle Information nun gefunden? Ganz einfach. Ich hatte bei meiner Suche in diesem Forum mal einen Tipp gefunden, dass man sich ins Webmail einloggen soll. Dort dann auf das alte Webmail Frontend wechseln und über das Kontextmenü vom Kalender auf „In Kalenderclient verwenden“ klicken. Dort wird dann die schon passende Adresse für Google Calendar (nutzt hoffentlich niemand mehr!) und Sunbird / Lightning angezeigt und kann herauskopiert werden.

Dann stimmt der Tipp KB Artikel für Lightning doch. Es wird nur nirgends verraten wo man den Namen vom Kalender herausfindet. :)

Kommentar zum Milliarden Deal zwischen Facebook und Whatsapp

Wie fefe gestern abend noch berichtigte soll der Milliardendeal nur aus reinen Geldgründen geschehen sein. Das klingt etwas plausibel kann aber auch eine reine Verschwörungstheorie sein. :)

Warum nur hat noch kein Qualitätsjournalist den Zusammenhang analysiert, das sowohl Facebook als auch WhatsApp beide von SEQUOIA Capital finanziert werden?!

Einfacher lassen sich 16 Milliarden Dollar doch gar nicht aus einem Börsenunternehmen rauswuchten, ohne dass der Kurs zusammenklappt!

Das Ganze ist kein Gewinn für WhatsApp, sondern eine Geldentnahme aus Facebook.

Vermutlich wird im kleinen Kreise bei einem leckeren WhatsApp BBQ Kassensturz gemacht während sich die Anleger mit den Analysen der Technologiejournalisten trösten, die sich haarsträubend absurde Begründungen aus den Fingern schreiben, warum ein $16,000,000,000 Klitschenkauf gerechtfertigt sein könnte.

Beim YouTube Merger war es das gleiche Spiel. Wieder Sequoia Capital auf beiden Seiten.

Und nun chattet weiter über Facebook und schreibt Nachrichten via Whatsapp. Kommt bitte auf keinen Fall zu jabber.ccc.de. Denn dieser Jabber Server läuft sowieso schon relativ unter hoher Last. Macht dann lieber mal einen eigenen Jabber Server auf. :) Außerdem wollt ihr doch bestimmt nicht, dass man eure Verschlüsselung mittels OTR als Dritter gar nicht mehr nachvollziehen kann. Dann funktioniert der tolle Backupdienst vom BND, GCHQ und NSA nicht mehr. *

* = Wer die Ironie findet, darf sie behalten!

Alternativen findet man beispielsweise mit Threema bei Heise, es gibt aber auch vier andere Clients (manche sogar Open-Source was für Sicherheit auch mal ganz gut sein kann!) bei Golem vorgestellt.

  • Seite 1 von 3
  • 1
  • 2
  • 3
  • >