Kein gutes Signal

Signal

O je, Fefe macht mir Signal madig.

Eigentlich kann man gar nichts empfehlen. Telegram kooperiert mit Geheimdiensten. WhatsApp versagt beim Datenschutz. Auch Threema hat da Macken und kostet zudem etwas.

Ceterum censeo: Nichts ist besser als verschlüsselte E-Mails.

Deepen our support

javascript

Fefe schreibt über die [falsche] Schlagzeile der Tagesschau “Google stoppt personalisierte Werbung”: “Das war alles eine von langer Hand angelegte Strategie, um das Web dahin zu bringen, dass man es mit abgeschaltetem Javascript nicht mehr sinnvoll benutzen kann. Gut, außer dem einen kleinen gallischen Dorf, das ihr gerade lest. Da wird noch ohne Javascript gekocht.”

In Neusprech heißt die neue Strategie Googles: “Charting a course towards a more privacy-first web”.
Today, we’re making explicit that once third-party cookies are phased out, we will not build alternate identifiers to track individuals as they browse across the web, nor will we use them in our products.

Google ruiniert natürlich nicht das eigene Geschäftsmodell, falls das jemand vermutet hat. We will continue to support first-party relationships on our ad platforms for partners, in which they have direct connections with their own customers. And we’ll deepen our support for solutions that build on these direct relationships between consumers and the brands and publishers they engage with.

Mit Verlaub: Niemand wird gezwungen, Cookies und andere aktive Inhalte oder gar den Browserverlauf preiszugeben. Dazu habe ich in meinen Seminaren gefühlt mehrere Millionen Mal alles, was nötig ist, gesagt. Man kommt dann aber auf viele Websites nicht mehr. Aber warum muss man unbedingt mit demselben Browser, der in den sozialen Medien und auf Amazon usw. herumsurft und deshalb zum Beispiel Javascript erlauben muss, Google benutzen?

Auf meiner To-Do-Liste steht schon lange ein Manual zur Browser-Sicherheit. Ich könnte drei Leben gebrauchen….

Cyberpunk, Robocop und reliable Netze

cyberpunk

Die Gegenwart ist oft schneller als die Zukunft. Wer hätte gedacht, dass die fiktiven Dystopien à la Robocop und Cyberpunk so schnell real umgesetzt werden? In Nevada kann man als Kapitalist mit genug Geld eine eigene Stadt gründen (via Fefe und Heise): Man macht seine eigenen Gesetze und zahlt keine normalen Steuern mehr. Vermutlich gehören eine eigene Söldnertruppe und die eigenen Gerichte auch dazu.

Ich finde das nicht so fürchterlich überraschend. Man muss auch das Zitat aus dem Kommunistischen Manifest nicht modifizieren:
Die moderne Staatsgewalt ist nur ein Ausschuss, der die gemeinschaftlichen Geschäfte der ganzen Kapitalistenklasse verwaltet.
Der Ausschuss kann natürlich einzelne seiner Aufgaben outsourcen, wenn es den Interessen der Herrschenden dient. Eine demokratische Form mit Gewaltenteilung usw. muss nicht sein – warum auch? Es ist nur bequemer, wenn die Untertanen Illusionen haben, weil man sie temporär und limitiert “mitspielen” lässt.

gutachten

Dann haben wir noch Wissenschaftler, die embedded herumgutachten. Auch das ist weder neu noch supergeheim, obwohl die erst einen juristischen Tritt brauchten, um das herauszurücken.

Die Wissenschaftler verschlüsseln ihre E-Mails nicht. Als “sicher” gilt die “private” E-Mail-Adresse, am besten vermutlich von Gmail. Reliable ist übrigens Denglisch vom Feinsten. Sie hätten dann gleich “reliable Netzwerke” schreiben soll, weil network schlicht und nur das englische Wort für das deutsche Netz ist. Erwarteten die einen Stromausfall wegen der Pandemie? Oder als Folge der geplanten “Maßnahmen präventiver und repressiver Natur”?

By the way: Hat jemand von euch sich schon ein Pokerface zugelegt? Falls ihr eine Online-Prüfung plant, ist das sinnvoll (gilt nur für Windows und Mac, Linux haben Studenten bekanntlich nicht).

Safer Internet Day

Heute ist der Safer Internet Day. Aus diesem Anlass weise ich noch einmal auf die Tutorials des Vereins German Privacy Fund hin sowie auf meine einschlägigen Seminarangebote.

…Die Zielsetzung dieses Tages ist, eine langfristige Sensibilisierung und Medienkompetenz für die Gefahren im Internet für Lehrer, Eltern und Kinder.. bla bla bla

Besser: Das Ziel ist, Lehrer, Eltern und Kinder für die Gefahren im Internet zu sensibilisieren und dieses Medium sachkundig zu nutzen.

Nicht smart

smart home

Ich bin sozusagen ein Digital-Native-Neanderthalensis und noch zu einer Zeit sozialisiert worden, als Betriebssysteme keine Leerzeichen in Dateinamen mochten. Ich habe mir angewöhnt, statt eines Leerzeichens immer einen Unterstrich zu machen und Sonderzeichen in Dateien zu vermeiden. Daher fragte mich Alexa gestern: “Soll ich die Lampe workunterstrichdesk anmachen?” Das nervt. Ich musste also alles umbenennen und auf den IQ eines Computers downgraden.

Keine Sorge, bei mir dürfen “smarte” Geräte nur das, was ich ihnen erlaube. Ich habe einige Lampen über die Fritzbox laufen, weil ich es leid bin, immer halb hinter Bücherregale kriechen zu müssen, um an Lichtschalter zu kommen und weil die Option, mein Schlafzimmer plötzlich mit Rotlicht erleuchten zu können, auch lustig ist.

Ich nutze für einige Steckdosen Produkte des Marktführers und muss noch ein wenig herumfummeln, zumal die volksrepublikchinesischen Teile nicht so recht mit dem Router harmonieren, da ich auch zwei Repeater laufen habe. Als zeitweilige Lösung habe ich allen Geräten, denen ich nicht über den Weg traue – und das sind eigentlich fast alle -, per Kindersicherung das Internet verboten (dafür ist die eigentlich nicht gedacht, es ist aber ein eleganter “Hack”, ich will auch nicht löten müssen).

Für die Wetteransage, als Wecker und zum Abspielen von Musik per Voice-Befehl ist Alexa ganz gut… Ob das Teil sich zu mehr eignet, muss ich noch herausfinden.

FYI: Seminare

Das nächste zweitägige Online-Seminar “Investigative Recherche im Internet” an der Berliner Journalisten-Schule ist am 15. / 16. März 2021, jeweils 10.00 – 16.00 Uhr.

Die nächsten eintägigen Online-Seminare “Investigative Datenrecherche im Internet und Datenschutz” in der Berliner Journalisten-Schule finden am 12.02. und am 21.04.2021 statt, jeweils von 09.00 Uhr bis 15.00 Uhr.

Einzelunterricht oder kleine Gruppen wie bisher nach Vereinbarung.

QR Code PGP key, reloaded

qr code

Vielen Dank an das nerdige Publikum!

E-Mails verschlüsseln [Thunderbird Portable auf einem USB-Stick]

thunderbird portable

Neues Tutorial auf der Website des Vereins German Privacy Fund: E-Mails verschlüsseln [Thunderbird Portable auf einem USB-Stick, Windows].

Tutorial: E-Mails verschlüsseln per Browser und Mailvelope

Ich habe ein neues Tutorial von der Website des Vereins German Privacy Fund kopiert und bitte das sachverständige Publikum zu kommentieren, zu berichtigen und auf Fehler hinzuweisen.

Lernziele:
– Installieren des Browser-Add-ons Mailvelope
– (einmaliges) Erzeugen eines Schlüsselpaares,
– Export und Import öffentlicher Schlüssel,
– Senden einer verschlüsselten E-Mail.
Dauer: ca. 30 Minuten

subtitle:timeZeitaufwand: fünf Minuten (und etwas Zeit zum Downloaden des Add-ons)
Schwierigkeitsgrad: leicht

Installieren Sie das Browser-Add-on Mailvelope für Chrome (Windows) und Chromium (Linux) – Mailvelope für Firefox (Windows) und Firefox (Linux) – Mailvelope für Microsoft Edge (Windows) – Mailvelope für Opera.

Hinweise:
– Das Add-on funktioniert für alle Browser und Betriebssystem fast identisch.
– Mailvelope gibt es auf für das MacOS-Mail-Programm Mail , aber nur kombiniert mit GPGtools (das jedoch ist nicht gratis).
– Ihr Provider muss das Feature unterstützen, die meisten großen Provider tun das.
– Diejenigen, mit denen Sie verschlüsselt kommunizieren wollen, müssen Mailvelope nicht benutzen, nur GnuPG oder E-Mail-Programme wie Thunderbird, die das Verschlüsselungsprogramm implementiert haben.
– Mailvelope funktioniert nicht bei Browsern mobiler Endgeräte.
– Die “häufig gestellte Fragen” (FAQ) auf der Website von Mailvelope und das Tutorial sind hervorragend und selbsterklärend. Sie würden jedoch zwei Wochen brauchen, um alles zu lesen. Das Wichtige wird nicht vom weniger Wichtigen getrennt.

Vor- und Nachteile von Mailvelope
Sie sollten dieses Add-on nur benutzen, wenn Sie ihre E-Mails ausschließlich per Webmail, also mit dem Browser lesen. Sie müssen Mailvelope aber auf jedem der von Ihnen genutzten Browser installieren und auch Ihr Schlüsselbund dorthin kopieren – eine Alternative ist nur copy & paste eines schon verschlüsselten Textes in das geöffnete Webmail-Fenster. Das kann mühsam werden. Wenn Sie aber schon GnuPG und dessen Feature Kleopatra installiert haben, können Sie genau das (copy & paste) auch von dort aus tun und brauchten Mailvelope nicht.

mailvelope
Die Grafik anklicken, um sie zu vergrößern.

subtitle:firststep

Erzeugen eines Schlüsselpaares – eines öffentlichen und eines privaten Schlüssels.

Alice und Robert 1

subtitle:timeZeitaufwand: fünf Minuten
Schwierigkeitsgrad: leicht

Nur Verschlüsselungssysteme, die mit einem öffentlichen Schlüssel (“public key”) und einem privaten Schlüssel (“private key”) arbeiten, sind sicher – so wie dieses.

Rufen Sie Mailvelope auf – es versteckt sich oben rechts in der Leiste, wo Sie vielleicht schon andere Add-ons installiert haben und sieht aus wie ein Klecks oder ein Blatt. Sie können alle Menüs bzw. Optionen des Add-ons Mailvelope vorerst ignorieren, außer Schlüssel verwalten” und “Schlüsselbund” (zwei Wörter für eine Opion).

Sie erstellen jetzt ein Schlüsselpaar (oder importieren ein schon vorhandenes). Sie können auch einen Testschlüssel erstellen, den sie später wieder löschen.

mailvelope
Die Grafik anklicken, um sie zu vergrößern.

Folgen Sie den Anweisungen, die sind auch für Laien verständlich. Es sind auch Schlüssel ohne Passwort möglich, wir empfehlen das nicht.

mailvelope
Die Grafik anklicken, um sie zu vergrößern.

Sie müssen jetzt nicht (wenn überhaupt) mit dem Schlüsselserver von Mailvelope synchronisieren. Dieses Feature werden Sie vermutlich nie benötigen.

Im Beispiel oben haben wir einen Schlüssel “testname” mit der E-Mail-Adresse seminar@burks.de erzeugt. In der Grafik unten sehen Sie dessen Eigenschaften, zum Beispiel den “Fingerprint”, eine Art unveränderliche “Quersumme”.

mailvelope

subtitle:thirdstep

Exportieren des eigenen öffentlichen Schlüssels – Importieren “fremder” öffentlicher Schlüssel

subtitle:timeZeitaufwand: fünf Minuten
Schwierigkeitsgrad: leicht

Um starten zu können, müssen Sie jetzt den öffentlichen Schlüssel derjenigen Person, mit der sie verschlüsselte E-Mails tauschen wollen, importieren sowie Ihren eigenen exportieren und den offen verschicken. Den Fehler, den geheimen Schlüssel zu exportieren und zu versenden, können Sie nicht machen, weil Mailvelope davor warnt. (Das Feature brauchen Sie nur für eine Sicherheitskopie Ihres Schlüsselpaares.)

mailvelope
Die Grafik anklicken, um sie zu vergrößern.

Bei diesem Beispiel haben wir den öffentlichen Schlüssel von burks@burks.de genommen, Sie können aber auch den von unserem Impressum nehmen (rechte Maustaste, speichern unter).

subtitle:fourthstep

Senden einer verschlüsselten E- Mail

subtitle:timeZeitaufwand: fünf Minuten
Schwierigkeitsgrad: leicht

mailvelope
Die Grafik anklicken, um sie zu vergrößern.

Sie können Dateien verschlüsseln (vgl. Grafik oben) und per Attachment versenden oder einen Text im Webmail-Fenster Ihres Browsers (unten).

Das Feature, den Text einer E-Mail zu verschlüsseln, verbirgt sich leider unter “Datei verschlüsseln” und dann unter dem Button “möchtest du auch einen Text verschlüsseln?” Dann erst öffnet sich ein Textfeld.

mailvelope
Die Grafik anklicken, um sie zu vergrößern.

Wenn Sie den Klartext geschrieben haben, wählen Sie den Empfänger anhand seiner E-Mail-Adresse aus. Dessen Schlüssel müssen Sie schon vorher in ihr Schlüsselbund importiert haben. Dann drücken Sie auf den roten Button “verschlüsseln” – und der Text verwandelt sich in Datensalat.

mailvelope
Die Grafik anklicken, um sie zu vergrößern.

Den verschlüsselten Text kopieren Sie in das Webmail-Feld Ihres Browsers. Nur derjenige, der im Beispiel (Grafik unten) den geheimen Schlüssel des Empfängers info@german-privacy-fund.de hat, könnte die Nachricht wieder entschlüsseln.

Alice und Robert 1

mailvelope
Die Grafik anklicken, um sie zu vergrößern.

Alice und Robert 1

Last update: 08.12.2020

Mehr Sand ins Getriebe!

datenschutz

– Die Möglichkeiten des Staates, zur Strafverfolgung oder Terrorabwehr auf persönliche Daten von Handy- und Internetnutzern zuzugreifen, sind verfassungswidrig. Laut Urteil des Bundesverfassungsgerichts ist die Eingriffsschwelle nicht verhältnismäßig geregelt.

DerEuGH kippt die EU-US-Datenschutzvereinbarung “Privacy Shield”. – “Mit einem lange erwarteten Urteil hat der Europäische Gerichtshof (EuGH) am Donnerstag den transatlantischen “Privacy Shield” und damit eine der wichtigen Rechtsgrundlagen für den Transfer personenbezogener Daten europäischer Bürger in die USA für nichtig erklärt. Grund dafür sind in den Vereinigten Staaten bestehende Gesetze, die Sicherheitsbehörden weitreichende Befugnisse zur Überwachung “ausländischer Kommunikation” in die Hand geben.”

智能头盔吧!?

corona statistik

Natürlich sind die wohlwollenden Leserinnen und geneigten Leser genau so informiert wie ich über die gegenwärtige Pandemie, wenn nicht sogar besser, weil alle vor den Geräten hängen. Wie vorhergesagt, steigt die Rate der Infektionen auch hierzulande exponentiell, weil geeignete Maßnahmen viel zu spät und und zu halbherzig getroffen wurden.

Auch wenn so genannte Experten noch im Januar abwiegelten: COVID-19 ist nicht mit Influenza vergleichbar. In Italien lässt man Leute in meinem Alter mittlerweile elend verrecken.

Mal sehen, ob unserer herrschende Klasse und die hiesigen Medien ihre antikommunistischen sinophoben Vorurteile ablegen kann und die Hilfe Chinas annimmt.

Die Volksrepublik China hat alles richtig gemacht, auch wenn es einem bei der High-Tech-Überwachung, die eingesetzt wird, gruselt. (Übrigens: Li Wenliang wurde posthum rehabilitiert. Hoffentlich lernen die was daraus.)

We have updated our privacy policy

spam

#metoo

scharia

Mein Beitrag zur #metoo-Diskussion.

Nix auf Vorrat

Ich zitiere mal den Schockwellenreiter: “Klatsche für die GroKo: Gericht stoppt Vorratsdatenspeicherung”. Quod erat demonstrandum. Aber sie werden es wieder und wieder versuchen.

Gehacktes

Wenn ich in Mainstream-Medien lesen, dass wieder etwas “gehackt” wurde, weiß ich, dass sich in 95 Prozent der Fälle jetzt der Bullshit-Faktor um ein Vielfaches erhöht. “Twitter-Accounts wurden gehackt” oder so ähnlich. Fast so realistisch wie eine Online-Durchsuchung, ohne dass das “Opfer” das vorher willentlich oder aus Dummheit gestattet hat.

Wer wissen will, wie man das macht, braucht nur auf diversen Websites nachlesen, was das Spionage Analyse-Tool “The Counter” alles tun darf, mit dem sich jetzt jemand Zugang zu den Passwörtern der “Opfer” verschafft hat. Da bleibt kein Auge trocken. Wer sich so eine App installiert, verdient kein Mitleid, sondern sollte zur Strafe ein Jahr lang nur mit Lynx surfen dürfen.

Keep cool and safe

pgp

Nur Heise berichtet nüchtern und sachlich über die neuesten Enthüllungen von Wikileaks. Jürgen Kuri, der schon beim Thema “Online-Durchsuchungen” als einer der wenigen Journalisten einen kühlen Kopf bewahrt hatte, bringt es auf den Punkt: “Da trommelt ja Wikileaks ganz schön für Zeugs, das eigentlich wenig Substanz für neue Erkenntnisse hat. Und die CIA spioniert aus Botschaften und Konsulaten heraus? Welche Sensation! Dass nun manche gleich wieder übertreiben müssen und die Verschlüsselung etwa für Signal als geknackt berichten, obwohl es in den Dokumenten nur darum geht, über Sicherheitslücken Smartphones zu kapern, macht das Ganze auch nicht wirklich besser.”

Nein, Signal ist weiterhin sicher. Und vieles andere auch. Das Problem sitzt immer vor einem Monitor und hat zwei Ohren.

Man muss es deutlich sagen: Zeit online lügt. Die CIA kann nicht jedes Telefon “hacken.” Die FAZ lügt: der amerikanische Geheimdienst CIA Menschen kann nicht Telefone “offenbar nach Belieben ausspähen” (“Offenbar”? Soll das Journalismus sein?)

Zur weiteren Lektüre empfehle ich Monika Ermert (Heise) und Bruce Schneier.

PS: Wie viele Menschen, die “was mit Medien” machen, schicken mir verschlüsselte E-Mails?

Dumm, dümmer, grün

“Auch die Grünen benutzten eine stark veraltete Softwareversion, die zahlreiche Angriffsflächen bietet, reagierten aber auf die BSI-Warnung nicht. Gegenüber dem SPIEGEL verwies die Partei nun darauf, man plane, die Installation bald abzuschalten; man habe dort ”insbesondere’ Wahlkampfmaterialien gelagert. Die Plattform werde “bei einem externen Dienstleister betrieben, der auch für die Sicherheit verantwortlich” sei. ‘Insofern war von unserer Seite keine Reaktion notwendig.'”

Faxnummern selektieren

Spiegel online: “…überwachte der BND ab 1999 mindestens 50 Telefon- und Faxnummern oder E-Mail-Adressen von Journalisten oder Redaktionen auf der ganzen Welt mit eigenen sogenannten Selektoren.”

Ach.

Tracking, revisited

Lutz Donnerhacke: “DE-CIX wirft Techniker raus” (via Fefe)
Der DE-CIX ist ein Internet-Knoten in Frankfurt am Main und gemessen am Datendurchsatz der größte der Welt. Er wird von der DE-CIX Management GmbH betrieben. So sagt Wikipedia. Das riecht nach Technik, nach brummenden Routern, nach harten Kerlen, die sich schwitzend die Pakete zu werfen. Die Betreibergesellschaft sieht das aber ganz anders.

Die verschicken ihre Newsletter über einen US-Dienstleister, und der verschickt Tracking-Kram gleich mit. Und wenn man das unterbindet, wird man rausgeworfen… haha.
Diese Mailreader führen also keine Scripte aus, sie laden keine Bilder nach – damit sind diese Leser für die Marketingabteilung unsichtbar.

Quod erat demonstrandum.

Zu Befehl, Kompanie aufgestellt zum Verschlüsseln!

pgp

Die Taz über den “Spiegel”: Weinzierl bestätigt, dass seine Redaktion etwa einst beim Bewältigen der Wikileaks-Unterlagen ‘noch nicht gut vorbereitet’ gewesen und auch bei der Verschlüsselung von E-Mails ‘nicht ausreichend aufgestellt’ war.”

Was soll denn das Geschwurbel bedeuten? Verschlüsseln kann man seit 1991 und auch im Sitzen. Die sollten vielmehr fragen, warum sich die übergroße Mehrheit aller deutschen Journalisten dem immer noch verweigert. Vielleicht sollte man Anthropologen fragen oder Sozialpsychologen.

image_pdfimage_print

Older entries