Truecrypt, reloaded

truecrypt

iSEC Research Labs hat einen kommerziellen Audit von TrueCrypt vorgelegt (via Fefe, der schon vor einem Jahr mit einigen Verschwörungstheorien dazu aufgeräumt hatte.) Außer einigen nicht relevanten “Code quality issues” und den schon bekannten Bootloader-Schwachpunkten haben die keine Angriffspunkte gefunden (vgl. “Vulnerability Overview”):

The code to decompress the main bootloader suffers from several implementation weaknesses. Throughout the source code, signed and unsigned integer types are mixed, arrays are accessed without checking if the index is within bounds, and so forth.

Das ist doch mal eine gute Nachricht.

Der beste Schutz: die Verschlüsselung aller Kommunikation

encryption

Heise: “Europarat hört Whistleblower Snowden an”.

Deutsche Bürger sowie Internetseiten seien täglich Ziel der Ausspähung durch die NSA-Experten. (…) Die deutschen Dienste gehören nach Angaben des Whistleblowers neben den Niederlanden und Schweden zu den Hauptzielen von speziellen NSA-Kampagnen. (…) Snowden hält ein internationales Verbot von anlassloser Überwachung für ein wichtiges Ziel, brachte aber gleichzeitig seine Sorge zum Ausdruck, dass selbst in einer perfekten Welt der beste Schutz die Verschlüsselung aller Kommunikation sei.

Wieso kriege ich immer noch unverschlüsselte E-Mails?

Vorratsdatenspeicherung vorerst gestoppt

Entscheidung des Gerichtshofes der Europäischen Union (pdf): “Der Gerichtshof erklärt die Richtlinie über die Vorratsspeicherung von Daten für ungültig. Sie beinhaltet einen Eingriff von großem Ausmaß und besonderer Schwere in die Grundrechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten, der sich nicht auf das absolut Notwendige beschränkt.”

PGP für den Boulevard

pgp

Die Boulevard-Zeitung Berliner Kurier von heute. Ich bezweifele, dass solche Artikel irgendetwas nutzen.

Im November letzten Jahres schrieben die zum Beispiel: “Eine OpenPGP-Umsetzung fürs Smartphone bietet etwa die Anwendung Android Privacy Guard (APG), die mit der E-Mail-App K-9 Mail zusammenarbeitet.”

So schreibt man keine Anleitungen – sogar ich habe bei dem Thema tagelang herumgefummelt. Die Nutzer müssen wissen, was auf sie zukommt und was alles schiefgehen kann und wie lange es dauert, bis man es umgesetzt hat. Ich glaube auch nicht, dass irgendjemand eine Krawall-Zeitung nimmt, um zu lernen, wie man verschlüsselt.

BKA-trojanhorse.exe Is an Unknown Application. Install Anyway?

Heise: “Hoffnungen setzte der Generalbundesanwalt auch auf einen einsatzfähigen Trojaner, den das Bundeskriminalamt derzeit entwickele und Ende 2014 in Gebrauch nehmen werde.”

Muahahaha. Und wie wollen die den implementieren? Aber das hatten wir hier schon…

INPOL-neu, revisited

Stern.de: “BKA-Beamte schnüffelten unerlaubt Kollegen hinterher (…) Nach stern-Informationen haben mehrere Mitarbeiter seit Anfang 2012 ihrem damaligen Kollegen D. hinterherspioniert – ohne dienstrechtliche Konsequenzen.”

Kann man etwas missbrauchen, wird es auch missbraucht.

Quasi keine Möglichkeit [Update]

“Wen die NSA im Visier hat, dessen Computer kann sie gezielt und umfassend überwachen – und es gibt quasi keine Möglichkeit, sich dagegen zu wehren.” Ach ja, Spiegel online? Was raucht ihr da eigentlich? Oder seid ihr einfach nur abgrundtief dämlich und ignorant? PGP? Truecrypt? Tor? Nie gehört? Sorry, aber über solche Dummschwätzer rege ich mich auf.

[Update] ich halte die Die-sind-ja-eh-scho-ndrin-man-kann-nichts-machen-Schwätzer für genauso schlimm wie die Überwachungs-Lobbby selbst. Vermutlich werden jene auch von diesen bezahlt.

Eigenartig

“So besuchte der SPD-Mann [Edathy] am 18. Mai 2007 das BKA in Wiesbaden, wo er um 14 Uhr mit Behördenchef Ziercke zusammentraf. (…) Bei der mehrtägigen Reise ging es laut einer Bundestags-Pressemitteilung “um die Balance zwischen Sicherheitsinteressen-Wahrnehmung und Grundrechtssicherung” – also wohl auch um die damals besonders umstrittene Vorratsdatenspeicherung … [...] Wurde Edathy bei diesem Besuch auch über die Sorgen und Nöte des BKA-Referats SO 12 informiert, das mit den Ermittlungen im Bereich Kinderpornografie im Internet betraut ist? Darauf gibt es einen Hinweis, der Spiegel online vorliegt und plausibel erscheint. Das BKA hatte mit diesem Thema stets die Notwendigkeit der Vorratsdatenspeicherung gerechtfertigt. Eigenartig: Eine Anfrage zu den Inhalten des Edathy-Besuchs in Wiesbaden wollte das BKA nicht beantworten.”

Edathy unterstützte 2007 das 2010 für verfassungswidrig erklärte Gesetz zur Vorratsdatenspeicherung.

WorldIP

WorldIP

Ich habe mir das Firefox-Add-on WorldIP installiert (Website): “The real location of web server and extended information about datacenter. Advanced Networking Tools. Anti-phishing solution. Security features against DNS spoofing and fake websites.”

WorldIP add-on is created to protect the user. We respect your privacy! and do not sell or pass your personal information to third parties.
1) Cookies
WorldIP add-on does not send any cookies to any web server.
2) Geolocation and Datacenter Databases
To display up-to-date information about physical location of a web server and data center, the WorldIP add-on uses API, it sends the requested IP addresses to api.wipmania.com. The format of API-request is IP-addr?hostname. To prevent the use of API from the name of add-on, we check that IP and hostname accord with each other.
Any other information about the site or user will not be sent to WIPmania, except for its domain name, that says about its IP address. IP addresses will be also used to correct the database. WIPmania do not collect any personal information about visitors.

Gefällt mir.

Terrorscore

terrorscore

Quelle: Terrorscore

Bananenbundesrepublik Deutschland, revisited

“Germany was pressured to modify its G-10 law to appease the NSA, and it eroded the rights of German citizens under their constitution.” (Edward Snowden )

Verschlüsselungszwang verunsichert manche Mail-Nutzer

pgp

Heise: “Verschlüsselungszwang verunsichert manche Mail-Nutzer”.

Burks gefällt das.

S/MIME [Update]

S/MIME-Anleitungen (zip-Datei, von “Anti-Prism-Party“) zum Download:
- auf dem PC (unter Windows mit Outlook und Thunderbird, auf dem Mac mit Thunderbird und unter Linux mit Thunderbird), unter Android und unter iOS.
[Update] Link repariert

The world’s most secure text messaging app: surespot!

surespot

Ich habe heute Threema von meinem Smartphone geworfen und stattdessen Surespot installiert.
surespot is a secure mobile messaging app that uses exceptional end-to-end encryption for every text, image and voice message returning your right to privacy
– surespot is not associated with your phone number or email
– you can delete your messages from the receiving device
– send voice messages when your hands or eyes are too busy to text
– multiple identities on a single device to keep matters separated
– free messenger with no advertising and totally open source
– your identity is portable so you can transfer your secure conversations to other devices
– uses 256 bit AES-GCM encryption using keys created with 521 bit ECDH*
* this means only you and the receiver can decrypt surespot messages

Wer mit mir so Kontakt aufnehmen will: Mein Name ist Burks…

Facebook kauft WhatsApp

Da wächst zusammen was zusammen gehört – die Datenkrake und das Scheunentor.

Vorratsdatenspeicherung kommt, ganz gleich, was die Gerichte entscheiden

Heise (via Halina Wawzyniak): “Auch wenn der Europäische Gerichtshof (EuGH) im Frühjahr die EU-Richtlinie kippen sollte, will Bundesjustizminister Heiko Maas einen Gesetzentwurf zum verdachtsunabhängigen Sammeln von Verbindungs- und eventuell auch Standortdaten vorlegen.”

Man könnte dazu ein Zitat abwandeln:
Das genau ist es, was nicht nur zwei Richter in ihren abweichenden Voten, sondern auch Ökonomen Sicherheitspolitiker für gerichtliche Hybris halten: der Versuch, das Krisenhandwerk die anlasslose Totalüberwachung von Notenbankern des großen Bruders mit dem Mitteln des Rechts zu gängeln.

Verschlüsselung – nein danke!

Netzpolitik.org versucht, Abgeordneten oder einer Behörde eine verschlüsselte Mail zu senden. Man kann raten, was dabei herauskommt.

Ich hatte den Versuch schon vor sechs Jahren einmal gestartet, vgl. Telepolis vom 04.02.2008 “Security by obscurity im Bundestag”.

Wie man sieht, hat sich seitdem nichts geändert. Die wissen noch nicht mal, wovon die Rede ist.

Das bestätigte schon die FAZ am 10.08.2013. Kurz zuvor hatte ich in Telepolis (08.07.2013) das Thema wieder einmal angestoßen: “Verschlüsselung – nein danke!”. Die Medien sind eben auch nicht besser.

Usability ist gefragt

gpf

Der Posteingang des Vereins German Privacy Fund e.V. wegen dieses Tutorials.

Dem Redakteur ist Android-Verschlüsseln zu schwör?

android

“Den meisten dürfte der passwortgeschützte Sperrbildschirm reichen”, lese ich in den Mainstream-Medien über die Android-Verschlüsselung.

Journalisten sollten nicht vermuten, ohne jedwede empirische Grundlage, und schon gar nicht suggestiv herumfabulieren. Dem Redakteur ist nichts zu schwör?

Mir reicht der passwortgeschützte Sperrbildschirm nicht! Das musste jetzt mal gesagt werden. Und ich bin ein normaler Bürger!

Tor, the bad guys and the good guys

Heise: “Forscher von der schwedischen Karlstad University sind bei einer systematischen Analyse des Tor-Netzwerks (PDF) auf 20 Exit-Nodes gestoßen, die verschlüsselte Verbindungen angreifen.”
Several hundred Tor exit relays together push more than 1 GiB/s of network traffic. However, it is easy for exit relays to snoop and tamper with anonymised network traffic and as all relays are run by independent volunteers, not all of them are innocuous. (…) To reduce the attack surface users are exposed to, we further discuss the design and implementation of a browser extension patch which fetches and compares suspicious X.509 certificates over independent Tor circuits. Our work makes it possible to continuously monitor Tor exit relays.

Nächste Einträge →