Alle Beiträge von Ingolf

Signal-Logo

Signal hackt zurück

Der Hauptentwickler der Instant-Messaging-App Signal, Moxy Marlinspike, hat in einem Blog-Beitrag interessante Neuigkeiten zu berichten. Darin geht es um die Spionage- und Datenanalyse-Software des israelischen Unternehmens Cellebrite – und im letzten Absatz – sehr erheiternd – um den zukünftigen Umgang mit dieser Software durch die App Signal. Um die Software untersuchen zu können, hätte der Zufall mitgespielt, denn die Tasche mit Adapterkabeln, Kopierschutzdongle und der Software sei von einem Laster gefallen 🙂 , während er einen Spaziergang gemacht habe.

Der originale Beitrag (in englisch) ist hier zu finden: https://signal.org/blog/cellebrite-vulnerabilities/

Nachfolgend die mittels deepl.com und ein wenig Nacharbeit meinerseits ins deutsche übersetzte Version:

Ausnutzung von Schwachstellen in Cellebrite UFED und Physical Analyzer aus der Sicht einer App

moxie0 am 21. Apr 2021

Cellebrite stellt Software her, um Daten von mobilen Geräten physisch herunter zu laden und zu indizieren. Sie bewegen sich in der Grauzone – dort, wo sich Unternehmens-Marken mit dem Anrüchigen verbinden, um „digitale Intelligenz“ genannt zu werden. Auf ihrer Kundenliste stehen autoritäre Regime in Weißrussland, Russland, Venezuela und China, Todesschwadronen in Bangladesch, Militärjuntas in Myanmar und diejenigen, die in der Türkei, den Vereinigten Arabischen Emiraten und anderswo Missbrauch und Unterdrückung betreiben. Vor ein paar Monaten gaben sie bekannt, dass sie ihre Software um Signal-Unterstützung erweitert haben.

Ihre Produkte wurden oft mit der Verfolgung von inhaftierten Journalisten und Aktivisten auf der ganzen Welt in Verbindung gebracht, aber es wurde weniger darüber geschrieben, was ihre Software tatsächlich tut oder wie sie funktioniert. Lassen Sie uns einen genaueren Blick darauf werfen. Insbesondere wird ihre Software oft mit der Umgehung von Sicherheit in Verbindung gebracht, also nehmen wir uns etwas Zeit, um die Sicherheit ihrer eigenen Software zu untersuchen.

Signal hackt zurück weiterlesen
warden

Warden – der Albtraum für Google & Co.

Die Datenkraken Google, Facebook, Amazon und wie sie alle heißen leben davon, so viele Informationen wie möglich von ihren Nutzern abzugreifen, wie irgendwie möglich. Deshalb ist es auch kein Wunder, dass die große Masse der im Google-Play-Store erhältlichen Apps mehr oder weniger viele Tracker eingebaut hat. Diese Tracker sorgen für einen stetigen Strom an persönlichen Daten. Und diese Daten landen nicht in einem großen schwarzen Loch sondern werden erfolgreich zu Geld gemacht.

Tja, und nun wurde vor einiger Zeit von den Jungs bei XDA-Developers eine App entwickelt, die es nicht im Google-Play-Store gibt und dort auch nie geben wird. Warum? Nun, sie passt nicht zu Googles Geschäftsmodell (und widerspricht bestimmt den AGB’s!?) – Die Rede ist von

WARDEN

Warden – der Albtraum für Google & Co. weiterlesen
ExodusPrivacyBanner

Exodus-Privacy – Privatsphäre bei Apps

In einigen meiner Beiträge habe ich auf die Problematik von Trackern in Apps hingewiesen, die sehr viele Apps im Google-Play-Store betreffen. Um dieses Problem zu umgehen, könnte man ausschließlich Apps aus dem freien App-Store F-Droid installieren. Damit wäre sichergestellt, dass keine Tracker in den Apps enthalten sind. Denn bevor eine App in das offizielle Repository von F-Droid aufgenommen wird, wird es einer gründlichen Analyse unterzogen. Und Tracker wären ein absolutes NoGo für die Aufnahme in dieses Repository.

Aber möglicherweise hat man liebgewonnene Apps oder auch solche, für die es keine Alternative bei F-Droid gibt. Und dann möchte man doch die eine oder andere App aus dem Google-Play-Store installieren. Bevor man das tut, ist es empfehlenswert, sich im Browser die Apps anzusehen und dort zu untersuchen, ob und welche Tracker möglicherweise enthalten sind. Natürlich bietet Google nicht von sich aus an, sich die Tracker anzusehen. Entweder, man prüft jede App durch den Besuch der Webseite

https://reports.exodus-privacy.eu.org/en/

und gibt dort den Namen einer fraglichen App ein.

Exodus-Privacy – Privatsphäre bei Apps weiterlesen
Corona Contact Tracing Germany

Corona Warn App ohne Google

Die Bundesregierung hat im Frühjahr 2020 einen Millionen-Auftrag an die Firmen SAP und Telekom vergeben, damit diese eine Corona-Kontaktverfolgungs-App (oder auch Corona-Warn-App) entwickeln. Das haben diese beiden Großkonzerne dann Mitte 2020 auch geschafft und die Corona-Warn-App im Google-Play-Store und im Apple-Store veröffentlicht. Das die App selbst so datenschutzfreundlich geworden ist, lag sicherlich daran, dass Institutionen wie der Chaos Computer Club und andere mit IT-Verständnis die Entwicklung mit Argusaugen beobachtet und Fehlentscheidungen gleich zu Beginn scharf kritisiert haben. Die App kann nämlich nur dann ihren Sinn erfüllen, wenn genügend Nutzer diese installieren und nutzen.

Durch eine datenschutzfreundliche Gestaltung kann man beeinflussen, dass möglicherweise mehr Menschen die App installieren und nutzen wollen. Leider wurde die App aber so entwickelt, dass sie auf eine von Google und Apple zuvor geschaffene Schnittstelle (Apple/Google exposure notification API) setzt, die vorhanden sein muss. Und hier kommt nun das Problem, dass es Smartphones gibt, die solch eine Schnittstelle nicht haben, z.B. neuere Geräte von Huawei. Der Firma wurde verboten, Software von Google auf ihren Geräten zu installieren. Und auch Geräte, auf denen nicht das originale Android von Google läuft, sondern ein sogenanntes Custom-ROM, bei dem absichtlich keine Google-Software zusätzlich installiert wurde. Bei all diesen Geräten kann die Corona-Warn-App nicht installiert und genutzt werden, weil es technisch nicht funktioniert, obwohl der Nutzer sie vielleicht gern installieren und nutzen wollte.

Und dann kam Marvin Wißfeld, der Entwickler von microG und hat im Alleingang das vollbracht, was SAP und Telekom nicht hinbekommen haben. Ein Fork der Corona-Warn-App, der die Google-Schnittstelle nicht benötigt und stattdessen einen Teil der microG-Dienste mit implementiert hat. Damit Namensrechte nicht verletzt werden, heißt sie nicht Corona-Warn-App sondern wurde Corona Contact Tracing Germany genannt und ist im freien App-Store F-Droid erhältlich:

Corona Contact Tracing Germany
Corona Contact Tracing Germany

https://f-droid.org/packages/de.corona.tracing/

Die App nutzt auf einem Smartphone, auf dem die Google-Play-Dienste installiert sind, eben diese, es gibt also technisch keinen Unterschied zur Corona-Warn-App.

Auf Smartphones, auf denen keine Google-Play-Dienste installiert sind, stattdessen aber microG, nutzt die App die microG-Dienste für die Kommunikation.

Und letztendlich, auf Smartphones, auf denen weder die Google-Play-Dienste noch microG-Dienste installiert sind, nutzt die App einen kleinen in die App selbst eingebauten Teil von microG zur Kommunikation.

Und um noch einmal die Bedenken zu zerstreuen, die ich oft von einigen gehört oder gelesen habe, NEIN, die App erfasst keine Standortdaten, auch wenn sie ohne Einschalten der Standortdienste nicht funktioniert. Aber das ist kein Fehler der App sondern eine – vorsichtig formuliert – unschöne Entscheidung von Google. Bluetooth kann prinzipiell auch zur Standorterkennung genutzt werden (Bluetooth-Beacons). Und aus diesem Grund hat Google Android so gebaut, dass der Nutzer aktiv die Standortbestimmung einschalten muss. Nun ja, solange man sich auf die anderen Apps verlassen kann, die so auf dem Telefon herumgeistern, die Corona Warn App zumindest nutzt diese Informationen nicht zur Standortbestimmung. Ob sich durch das Einschalten dieser Standort-Dienste jetzt andere Apps des Standorts bedienen, muss jeder für sich entscheiden. Ich bin bei meinen Apps, die fast ausschließlich aus F-Droid stammen, sehr sicher, dass die alle brav sind.

Nun kann man sich also solidarisch zeigen, und durch Nutzung dieser App im Fall des Falles seinen Kontaktpersonen anonym mitteilen, dass man leider positiv getestet wurde.

Blabber.im-Logo

Datenschutzfreundlicher Instant-Messenger für den Durchschnittsnutzer – blabber.im

Wer meinen Blog kennt, der weiß, dass ich keinen der allgemein üblichen Messenger – allen voran WhatsApp, aber auch nicht Telegram und Co. verwende. Die Gründe dafür habe ich in mehreren Beiträgen erläutert, deshalb hier nur kurz der Verweis auf zentralisierte Dienste, nicht quelloffene Server und Clients, die Anbindung an eine Telefonnummer und die häufige Nichtverfügbarkeit von Clients für verschiedene Geräte/Betriebssysteme. Deshalb habe ich hier oft den auf Android-Telefonen zum Standard gewordenen XMPP-Messenger Conversations empfohlen. Die Hürde für den Einstieg in die Welt von XMPP ist aber relativ hoch, denn Conversations gibt es im Google-Spy-Store nur gegen Bezahlung. Und der Durchschnittsnutzer, der mal davon gehört hat und es probieren möchte, gibt eben eher selten Geld für etwas aus, von dem er nicht weiß, ob das auf Dauer etwas für ihn ist. Die Alternative war, Conversations ohne Kosten über den freien App-Store F-Droid zu beziehen. Aber F-Droid ist bei vielen Nutzern wenig bekannt und Google versucht auch, dem Durchschnittsnutzer ein schlechtes Gewissen zu machen, indem es ihn „warnt“, dass Apps aus „unbekannten Quellen“ gefährlich sein können (was ja durchaus so ist, aber der Google-Spy-Store ist da nicht besser). Also bricht der Durchschnittsnutzer das Ganze lieber ab und bleibt bei WhatsApp & Co. 🙁

Nun haben sich Stefan Giebel und Christian Schneppe zusammengetan und etwas einheitliches geschaffen:

Blabber.im-Logo

Datenschutzfreundlicher Instant-Messenger für den Durchschnittsnutzer – blabber.im weiterlesen
GnuPG-Dieb

diebstahlresistente PGP-Schlüssel erstellen

E-Mails sind bekanntlich wie Postkarten zu sehen, wenn sie über das Internet versandt werden. Sie sind für alle am Transport Beteiligten lesbar. Damit das nicht so bleibt, hat vor inzwischen fast 40 Jahren ein schlauer Softwareentwickler namens Philip Zimmermann das Programm Pretty Good Privacy (engl. ziemlich gute Privatsphäre) kurz PGP, entwickelt. Die freie Alternative zu PGP ist GNU Privacy Guard oder kurz GnuPG oder ganz kurz GPG.

Die Sache mit den Schlüsseln

PGP und auch GPG verwendet die sogenannte asymetrische Verschlüsselung. Dabei wird für jeden Nutzer ein Schlüsselpaar erstellt, das aus einem öffentlichen und einem privaten Schlüssel besteht. Mit dem öffentlichen Schlüssel, den man in die weite Welt verteilt, können andere Personen Nachrichten verschlüsseln, die nur der Besitzer des zugehörigen privaten Schlüssels wieder entschlüsseln kann. Und mit dem privaten Schlüssel kann man, wie eben erwähnt, empfangene Nachrichten entschlüsseln und Nachrichten, die man an jemand anderen versendet digital signieren, damit der Empfänger prüfen kann, dass die Nachricht auf dem Weg zu ihm auch nicht verändert wurde. Der private Schlüssel ist zusätzlich mit einer Passphrase geschützt, damit ein Unbefugter, der in den Besitz des privaten Schlüssels gekommen ist, nicht einfach Nachrichten in fremdem Namen verfassen oder persönliche Nachrichten, die gar nicht für ihn bestimmt sind, lesen kann. Diese Passphrase ist also die letzte Hürde, die bei Verlust eines privaten Schlüssels noch vor Missbrauch schützt. Erlangt der Unbefugte auch darüber Kenntnis, dann ist die digitale Identität in unbefugten Händen und mit krimineller Energie können dann in fremdem Namen allerhand schlimme Dinge angestellt werden. Dann hilft es nur noch, den Schlüssel zu widerrufen, was nach langer Nutzung viele Unannehmlichkeiten und Aufwand nach sich ziehen kann.

Nun möchte man aber auch unterwegs am Smartphone oder am Laptop Nachrichten lesen und schreiben können. Man muss also seinen privaten Schlüssel dabei haben. Und dort kann er verloren gehen. Was also tun?

Eine Lösung für das Problem

Es gibt die Möglichkeit, sogenannte Unterschlüssel (engl. subkeys) zu erstellen. Das hilft, das Problem zumindest zu lindern.

diebstahlresistente PGP-Schlüssel erstellen weiterlesen
LineageOS

Tablet Telekom Puls (Alcatel One Touch) mit LineageOS 14.1

Ich habe vor längerer Zeit bei einem günstigen Angebot der Telekom ein Tablet für knapp 50 € erworben. Es handelte sich dabei um eine Sonderanfertigung für die Telekom, welche aber auf einem Alcatel One Touch Tablet basiert.

Technische Daten
  • 8″ HD-Display 1280*800 Pixel
  • 1,3GHz Quad-Core Prozessor
  • Android 5.0 Lollipop
  • 1 GB RAM
  • 16 GB interner Speicher
  • 4.060 mAh-Akku
  • 5 Megapixel Haupt- und 2 Megapixel Frontkamera
  • WLAN nach 802.11n (2,4 GHz)
  • Bluetooth 4.0
  • Micro-USB 2.0
  • 3,5 mm Audio-Klinkenbuchse

Zum damaligen Zeitpunkt gab es leider keine Möglichkeit, ein alternatives Betriebssystem einzuspielen. Einzig das Rooten war möglich, was ich dann auch genutzt habe, um diverse vorinstallierte Apps herunter zu werfen und nützliche Dinge wie Werbeblocker (AdAway) und Firewall (AfWall+) zu installieren, um dem Datenabfluss an Google und Co. entgegen zu wirken (abgesehen davon, dass dieses Tablet nur im heimischen Netz eingeloggt war und damit kommunikationstechnisch den Einschränkungen eines in diesem Netz befindlichen Pi-Hole unterworfen war).

Tablet Telekom Puls (Alcatel One Touch) mit LineageOS 14.1 weiterlesen

Datenwache.de – ein interessanter Blog

Ich habe den Blog datenwache.de gefunden, in dem viel über die Probleme der Veröffentlichung der eigenen Daten und die Möglichkeiten, diese zu schützen eingegangen wird. Allerdings empfehle ich, anders als dort im Blog, für das Anhören der Podcast-Beiträge unter Android nicht die dort empfohlene App Podcast Addict. Diese hat, wie so gut wie alle Apps aus dem Google-Spy-Store das Problem, mit reichlich Trackern versehen zu sein. Also das Gegenteil von dem, was man eigentlich erreichen will. Stattdessen empfiehlt sich die App Antenna Pod. Diese ist sowohl im zu meidenden Googe-Spy-Store als auch bei F-Droid erhältlich. Und Antenna Pod ist – erstaunlicherweise – in beiden Stores trackingfrei!

Wer es überprüfen möchte, hier die Analyse von Podcast Addict

Update: Diese Version von podcast Addict gibt es nicht mehr im Google-Play-Store. Sie hatte vermutlich nicht genügend Tracker.

Analyse der alten App Podcast Addict (nicht mehr bei Google erhältlich)

Stattdessen gibt es jetzt eine „verbesserte App“ und hier die Analyse dazu.

Podcast Addict 2020 Analyse
Analyse der neuen Version von Podcast Addict bei Google-Play

und hier die Analyse von Antenna Pod:

Besucht doch einmal diese Seite und hört euch mal ein paar – oder alle Beiträge an. Vielleicht ist ja der eine oder andere Tipp dabei, der euch noch unbekannt war.

E-Books

Adobe Digital Editions unter Wine installieren

Wenn man sich E-Books kauft oder in der Bibliothek ausleiht, dann bekommt man üblicherweise nur einen Link, der einen dann über Adobe Digital Editions zum Download einer mit DRM (Digitale Rechte Minderung) versehenen epub-Datei führt. Das man diesen Download nur mit Adobe Digital Editions (ADE) ausführen kann und dieses Programm selbstverständlich nicht für Linux zur Verfügung steht, ist schon etwas ärgerlich. Aber es gibt Abhilfe. Man kann mit Hilfe von Wine auch unter Linux Programme laufen lassen, die eigentlich für Windows vorgesehen sind. Wie das im speziellen Fall von Adobe Digital Editions Version 2.0.1 zu machen ist, erkläre ich im Folgenden:

Adobe Digital Editions unter Wine installieren weiterlesen
032 Linux Mint PC

Windows 7 – Supportende am 14.Januar 2020 – Betriebssystemwechsel – aber wohin? Windows 10 oder ein Linux

Gerade im Zusammenhang mit dem Support-Ende von Windows 7 am 14. Januar 2020 frage ich mich, warum es so viele Privatnutzer gibt, die jetzt nicht die Gelegenheit nutzen und statt auf ein geschwätziges Windows 10 umzusteigen, gleich ein datenschutzfreundliches Linux installieren. Eine Umgewöhnung ist in jedem Fall nötig, denn die Unterschiede zwischen Windows 7 und Windows 10 sind ohne Zweifel auch vorhanden.

Was für Gründe sollte es also geben, sich für Windows und gegen Linux zu entscheiden? Nachfolgend mal eine Liste von häufigen Argumenten und einigen von mir hinzugefügten Punkten, die einen Umstieg auf Linux angeblich (oder offensichtlich) behindern bzw. auch Punkte die für einen Umstieg zu Linux sprechen.

  • Linux ist kompliziert
  • Ich kann die Konsole bzw. das Terminal nicht bedienen
  • Programm X gibt es nicht unter Linux
  • Spiele funktionieren nicht unter Linux
  • Fehlende Lobby-Arbeit/Marketing-Budgets für Linux
  • Linux wird weniger von Viren/Malware angegriffen
  • Linux verbraucht weniger Ressourcen als Windows
  • Windows missachtet deine Privatsphäre
  • Linux ist besser an die eigenen Bedürfnisse anpassbar
  • Support für Linux gibt es in vielen Foren
Windows 7 – Supportende am 14.Januar 2020 – Betriebssystemwechsel – aber wohin? Windows 10 oder ein Linux weiterlesen
Whatsapp-privat

Verfolgen von Freunden und Fremden mit WhatsApp

Ein aus dem englischen übersetzter Artikel vom 09. Oktober 2017 von folgender Seite: https://robertheaton.com/2017/10/09/tracking-friends-and-strangers-using-whatsapp/

Sie und Ihr guter Kumpel Steve Steveington, Sie sind im Training für einen anstrengenden Wohltätigkeitslauf. Sie haben sich spontan zusammengeschlossen und versprochen, sich gegenseitig zur Verantwortung zu ziehen, während Sie sich für den großen Tag in Form gebracht haben. Sie haben jedoch Grund zur Annahme entwickelt, dass Steve Steveington sein Engagement für den Plan verliert und bis in die frühen Morgenstunden aufbleibt, um in Nachtclubs zu feiern oder Call of Duty zu spielen. Das ist inakzeptabel – wenn er in Verzug gerät, weil er Ihr Trainingsprogramm nicht ernst genommen hat, dann werden Sie nicht derjenige sein, der ihn über die strapaziöse 5 Kilometer lange Strecke schleppt.

Verfolgen von Freunden und Fremden mit WhatsApp weiterlesen
Snips-Technologie_verstecken

Snips – SmartHome hört aufs Wort – lokal und autark

Es ist schon eine Weile her, dass ich in meinem Beitrag Sprachsteuerung ohne Alexa, Siri, Cortana und Co. darüber berichtet habe, das ich vorhabe, als Sprachsteuerung in meinem SmartHome Snips einzusetzen. Seit ca. April diesen Jahres läuft erfolgreich und zufriedenstellend Snips bei mir zu Hause und sorgt dafür, dass man per Sprachkommando das Licht ein- oder ausschalten oder auch die Rollläden hoch- und runterfahren lassen kann. Und damit das ganze nicht nur vom Wohnzimmer aus funktioniert, wo die zentrale Snips-Instanz auf einem Raspberry Pi 3 läuft, sondern auch von anderen Zimmern aus, habe ich zusätzlich noch diverse Snips-Satelliten in verschiedenen Räumen installiert, die auf einem schmalbrüstigen Raspberry Pi Zero W laufen.

Snips – SmartHome hört aufs Wort – lokal und autark weiterlesen
WhatsApp hinter Gittern

Shelter – Aussperren datenhungriger Apps

Es gibt Apps, die greifen auf euer Adressbuch zu und laden den Inhalt auf fremde Server. Das ist unerfreulich, sowohl für dich selbst, vielmehr aber vielleicht noch für die, die in eurem Adressbuch stehen und gar nicht zugestimmt haben, das deren Nummer zu solchen Servern hochgeladen wird. WhatsApp, Signal oder auch Telegram machen das so. Der Grund (für den bequemen Nutzer) ist, das dem Nutzer abgenommen werden soll, herauszusuchen, wen aus seiner Kontaktliste er über den gerade genutzten Messenger erreichen kann. WhatsApp (und andere Messenger, die die Telefonnummer als Identifikator nutzen) listet diese Kontakte nämlich wie von Geisterhand automatisch auf. Das es daneben noch andere Gründe für den Serverbetreiber geben könnte, diese Kontaktdaten zu erhalten, um z.B. soziale Graphen damit aufzubauen, sollte einem selbst klar sein. Was man aus solchen Daten alles abgreifen kann, ist z.B. unter diesem Link sehr schön zu sehen. Aber es ist halt so bequem.

Es gibt allerdings unter Android seit einiger Zeit die Möglichkeit, solche Apps in ein separates Profil zu sperren, so dass sie keinen Zugriff mehr auf euer persönliches Adressbuch haben. Und es gibt eine App namens Shelter, die solch ein Arbeitsprofil anlegt und die Apps darin verwalten kann.

Shelter – Aussperren datenhungriger Apps weiterlesen
Google-Money

Google beobachtet dich – und dein Portemonnaie

Auf der Seite https://www.fastcompany.com/90349518/google-keeps-an-eye-on-what-you-buy-and-its-not-alone wurde ein Artikel veröffentlicht, der wieder einmal klar macht, dass Google (und andere Datenkraken) mitnichten dazu da sind, ihren Nutzern das Leben durch tolle Gimmicks das Leben zu erleichtern. Aber am besten ihr lest es selbst. Für die, die nicht so gut diesen englischen Text lesen können, habe ich ihn hier übersetzt:


Google behält ein Auge darauf, was Sie kaufen, und das ist es nicht allein.

Die Ambitionen von Google für Transaktionsdaten werden auf der Seite „Käufe“ angezeigt, auf der sogar verfolgt wird, was die Nutzer von Firmen und Bildungseinrichtungen kaufen.

Es ist kein Geheimnis, dass Google große Mengen Ihrer Daten basierend auf Ihrem Suchverlauf sammelt. Aber weit weniger bekannt ist, dass das Unternehmen auch automatisch Ihre digitalen und realen Finanztransaktionen auf der Grundlage von Belegen in Ihren Gmail-Konten und anderen Google-Diensten erfasst hat. Es ist nur ein weiteres Zeichen für die enorme Reichweite von Tech-Titanen, einschließlich Facebook, die unsere realen Transaktionen analysieren, um neue Erkenntnisse über unser Verhalten und neue Einnahmequellen zu gewinnen.

Google beobachtet dich – und dein Portemonnaie weiterlesen
microphone

Sprachsteuerung ohne Alexa, Siri, Cortana und Co.

Inzwischen hat ja jeder Depp eine Abhörwanze in seiner Wohnung oder auf seinem Smartphone installiert. Die bekanntesten sind da:

  • Alexa (Amazon)
  • Siri (Apple)
  • Cortana (Microsoft)
  • Google Assistent (Google)
  • Bixby (Samsung)

Alle haben eines gemeinsam. Die gesprochenen Befehle werden auf einen zentralen Server geladen, dort analysiert und anschließend die Antwort zurück an den Absender gesendet. Das führt natürlich dazu, dass massenweise persönliche Daten auf diesen Servern anfallen, und kein Mensch weiß, was damit angestellt wird. Also ich möchte nicht, dass meine Gespräche bei Amazon, Google oder sonst einer Datenkrake landen, um dort analysiert zu werden. Als 1989 die DDR zusammenfiel, haben viele Leute zu Recht die Stasi verdammt, weil sie mit ihren vielen inoffiziellen Mitarbeitern so gut wie jeden im Staat überwacht haben. Heute, ca. 30 Jahre später, holen sich diese Leute selbst solche Spione ins Haus – ganz freiwillig!

Ich will so etwas nicht. Aber eine Sprachsteuerung ist natürlich eine feine Sache. Wenn die Daten im eigenen Haus bleiben. Und genau das scheint möglich zu sein. Mein Smarthome, basierend auf FHEM, ist und bleibt cloudfrei. Und mit

https://snips.ai

und dem FHEM-Modul Snips-Fhem

werde ich in nächster Zeit versuchen, meine Hausautomation auch mit Sprachsteuerung zu versehen. Einen Thread im FHEM-Forum gibt es dazu schon seit einiger Zeit. Über den weiteren Fortschritt werde ich hier berichten. Jetzt heißt es erst mal lesen und zusätzliche Hardware bestellen. Und Zeit nehmen/haben, für solch ein Projekt.

Wer mehr über die Hintergründe zu Snips erfahren möchte, der kann sich auch mal dieses Interview mit Rand Hindi, dem Chef und Co-Gründer des Start-ups Snips durchlesen:

Dieser Mann will Amazons Alexa zerstören – mit einem Sprachassistenten, der eure Privatsphäre schützt

social-media

Zuckerberg plant Zusammenführung von Whatsapp, Instagram und Facebook Messenger

Die New York Times hat in einem Artikel die Pläne von Facebooks Chef Mark Zuckerberg beleuchtet. Für alle, die des englischen nicht mächtig sind, hier die Übersetzung ins deutsche.

Mark Zuckerberg, Geschäftsführer von Facebook, plant die Integration der Messaging-Dienste des sozialen Netzwerks – WhatsApp, Instagram und Facebook Messenger – und bekräftigt seine Kontrolle über die sich ausbreitenden Geschäftsbereiche des Unternehmens zu einer Zeit, in der sein Geschäft von Skandalen heimgesucht wird.

Zuckerberg plant Zusammenführung von Whatsapp, Instagram und Facebook Messenger weiterlesen

WhatsApp-Gründer packt aus

WhatsApp-Gründer packt aus: „Ich habe die Privatsphäre meiner User verkauft!“

Ich verlinke eigentlich nur ungern zu welt.de, aber der Artikel ist durchaus lesenswert:

https://www.welt.de/kmpkt/article181691812/WhatsApp-Gruender-packt-aus-Ich-habe-die-Privatsphaere-meiner-User-verkauft.html

Ich kann dem Schluß des Artikels nichts hinzufügen, nur noch mal wiederholen:

Es ist Zeit: #deletewhatsapp

Zwiebel

Tor Browser für Android

Um anonym im Internet zu surfen, gibt es für herkömmliche Computer schon lange den Tor Browser. Nun ist dieser in einer ersten Alpha-Version auch für Android erhältlich.

Nutzer, die Wert auf ihre Privatsphäre legen, werden den Tor Browser dann wohl nicht über den Google-Spy-Store installieren, sondern stattdessen die APK-Datei direkt von der Homepage des Tor Projects laden.

Über das Guardian-Repository innerhalb von F-Droid ist die gleiche APK-Datei wie von der Homepage des Tor Projektes installierbar. Der Vorteil des Ladens über F-Droid ist, das man über eventuell vorhandene Updates informiert wird.

Das Guardian-Repository wird aktiviert, indem man in F-Droid –>  Optionen –> Paketquellen antippt  und dort den Eintrag für Guardian Project Official Releases aktiviert. Nach einer Aktualisierung der Paketquellen stehen die Apps aus diesem Repository zur Installation bereit.

F-Droid-Optionen

F-Droid Paketquellen

Update 05.12.2018 Seit Version 8.5a5 wird die separate App Orbot nicht mehr benötigt, um mit dem Tor-Browser im Internet zu surfen. Sie ist nun in den Tor-Browser integriert. Allerdings können andere Apps noch nicht das integrierte Orbot nutzen. Will man also auch andere Apps über das Tor-Netz benutzen, benötigt man immer noch die im nächsten Abschnitt erwähnte App Orbot.

Damit Tor auf dem Smartphone funktioniert, ist zusätzlich die App Orbot notwendig, die sozusagen die Verbindung ins Tor Netzwerk herstellt. Auch Orbot gibt es im Google-Spy-Store und bei F-Droid.

Beachtet bitte, dass die Nutzung von Tor allein nicht dafür sorgt, dass man anonym bleibt. So darf man sich zum Beispiel niemals mit einem Nutzer-Account auf Webseiten anmelden, denn durch die Anmeldung ist man natürlich nicht mehr anonym. Am Besten, ihr lest mal den interessanten Artikel Das 3-Browser-Konzept auf Kuketz-Blog.de.

e-mail

Wie vertrauenswürdig ist dein E-Mail-Anbieter ?

E-Mail ist neben den üblichen Instant-Messengern heutzutage immer noch ein beliebter Weg, um untereinander Nachrichten auszutauschen. Da E-Mail ein offenes Protokoll ist, gibt es viele Anbieter, die miteinander mehr oder weniger in Konkurrenz stehen. Doch wie sicher erfolgt eigentlich die Kommunikation zwischen den Servern. Da sind offensichtlich große Unterschiede zu finden.

Auf der Webseite https://mecsa.jrc.ec.europa.eu/ kann man seine E-Mail-Adresse eingeben und bekommt anschließend für den eigenen Provider das Testergebnis zurück gemailt.

Hier eine kleine Übersicht der Ergebnisse von großen Anbietern:

E-Mail-Anbieter-Ergebnisse

Und hier die Links zu den Quellen (Stand September 2018):

mailbox.org  dismail.de  posteo.de  gmx.de  gmail.com  web.de  1&1

Wie gesagt, es ist nur eine kleine Auswahl. Wer seinen E-Mail-Anbieter hier nicht findet, kann sich über https://mecsa.jrc.ec.europa.eu/ einen Testbericht zu seinem eigenen Provider zumailen lassen.

Hier ein paar Auszüge aus dem Privacy-Handbuch:

Web.de und GMX.de sammeln bei der Registrierung zuviele Daten: Anrede, Vor- und Nachname, Land, PLZ und Ort, Straße und Hausnummer, optional ist nur die Mobilfunknummer für Passwortwiederherstellung.

Mit der Registrierung erklärt man sich damit einverstanden, dass die Daten für Marketing-Zwecke verwendet werden. Die Daten werden an den Mutterkonzern übermittelt und mit anderen verbundenen Unternehmen geteilt. Außerdem werden die Daten für postalische Werbung genutzt, sie werden für Markt- und Meinungsforschung genutzt und Non-Profit Organisationen für Werbung zur Verfügung gestellt. (Falls man sich schon öfters mal gefragt hat, woher Meinungs­forschungs­institute die eigene Telefon­nummer haben….)

Der EmailPrivacyTest zeit, dass Web.de und GMX.de bei der Nutzung des Web-GUI nicht gegen Tracking Elemente in E-Mails schützen und ermöglichen es damit vielen Diensten, die Nutzer beim Lesen zu beobachten. Web.de setzt selbst HTML-Wanzen in den eigenen Newslettern ein (3 Tracking Wanzen in jedem Newsletter) und trackt damit die Lesegewohnheiten der Nutzer.

gmail.com ist von Google – und die sind ja nun mal bekannt dafür, alles an Daten einzusammeln, was geht. Deshalb sollte man weder einen GMail-Account besitzen, noch sollte man mit solchen Accounts kommunizieren.

posteo.de hat sich leider auch disqualifiziert, indem es auf berechtigte Kritik an dem von ihnen eingesetzten Verschlüsselungsverfahrens nicht etwa das Verschlüsselungsverfahren verbessert hat, sondern Anwälte losgeschickt hat, die die Kritiker mundtot machen sollten. Inzwischen scheint das technische Problem behoben zu sein – ein bitterer Nachgeschmack bleibt.

Vielleicht sollte der eine oder andere mal nachdenken, ob sein „kostenloses“ E-Mail-Konto (also eines für das man nicht mit Geld bezahlt! – kostenlos ist nichts auf der Welt!) noch zeitgemäß ist, oder ob man eventuell für 1,- € pro Monat ein werbefreies E-Mail-Konto bei einem Anbieter seines Vertrauens einrichten sollte!?

 

Spionage

Wie verseucht ist dein Smartphone?

Ich habe im F-Droid-App-Store ein weiteres Repository (Quelle für Apps) hinzugefügt. Diese Quelle ist https://android.izzysoft.de/repo.

Demnach kann ich nun über die F-Droid-App nicht nur Apps aus dem Standard-F-Droid-Repository laden, sondern eben auch von android.izzysoft.de.

Von diesem Repository habe ich mir dann mal eine Alternative zu Yalp installiert, nämlich die App Aurora, über die man Apps aus dem Google Spystore laden kann, ohne einen Google-Account oder gar die Google-Apps auf dem Smartphone installiert zu haben. Vor dem Download von Apps über Aurora bekommt man allerdings angezeigt, ob die App möglicherweise Tracker beinhaltet und welche Rechte sie bei der Installation einfordern wird. Natürlich war ich neugierig, woher diese Informationen kommen. Dabei bin ich auf die Seite

https://reports.exodus-privacy.eu.org/

gestoßen. Hier kann man also im Browser den Namen einer App eintragen und bekommt als Ergebnis die Anzeige, wieviele (und nach einem weiteren Klick auch welche) Tracker in der jeweiligen App enthalten sind. Wenn man das nun mal für die häufig verwendeten Apps auf seinem Smartphone tut, bekommt der eine oder andere vielleicht tränende Augen und deinstalliert die eine oder andere App.

Hier nur ein paar Beispiele von Apps, die viele auf ihrem Smartphone haben (ich nicht! 😉 ):

2048 2048 Cirulli AccuWaether Angry Birds Bild.de Clever-Tanken.de FAZ Flashlight LED Flashlight GMX Mail Instagram McDonalds Microsoft Outlook für Android Pizza Hut Snapchat Spiegel Online SZ Tagesschau.de Web.de Mail Wetter.com WhatsApp Youtube

Warum es ein Problem ist, wenn einem auf Schritt und Tritt Tracker hinterherspionieren, hat Mike Kuketz in seinem Artikel „Das kranke WWW: Stop using Google Web-Services“ beschrieben.

Das es aber selbst im Google Spystore Apps gibt, die keine Tracker beinhalten, ist schon fast erstaunlich. Allerdings sind diese Apps auch allesamt im F-Droid-Store zu finden. Somit bräuchte man den Google-App-Store nicht:

Na – wer überlegt jetzt, ob er die eine oder andere App wieder deinstalliert? Sicherlich nur die, die verstanden haben, das Tracking eben keine kleine Sache ist, sondern damit Tür und Tor für einen absolut gläsernen Menschen geöffnet wird. Nachdenken! – bei Bedarf fragen! – Handeln! JETZT!

 

Chat

Freie Messenger – Warum? Weshalb? Wieso?

Ich versuche ja seit einiger Zeit, meine Besucher davon zu überzeugen, dass die Nutzung von Messengern wie WhatsApp, Signal, Threema oder auch Telegram hinsichtlich Datenschutz nicht gut ist. Die Gründe dafür habe ich in diversen Artikeln (Conversations – der bessere Ersatz für WhatsApp, Warum ich nicht über WhatsApp erreichbar bin, sichere Kommunikation mit XMPP …) dargelegt. Inzwischen gibt es eine eigene Webseite, die sich mit genau diesem Thema befasst:

https://freie-messenger.de

Hier werden noch einmal von vorn bis hinten die Vor- und Nachteile und die Gründe für eine Nutzung freier Messenger dargelegt. Optisch ist die Seite vielleicht noch etwas ausbaufähig – inhaltlich finde ich sie aber sehr gut.

Mozilla Common Voice

kein Amazon Alexa oder Google Home – Sprachsteuerung ohne Cloud

Die meisten Mitmenschen gehen bekanntermaßen mit ihrer eigenen Privatsphäre sehr unbedacht um. Das erkennt man daran, dass sie sich den allseits beliebten Messenger WhatsApp auf ihrem Smartphone installieren und dabei den AGB’s meist ungelesen oder zumindest achselzuckend zustimmen. Das dieser Messenger ab diesem Zeitpunkt Zugriff auf das komplette Kommunikationsverhalten des Smartphonebesitzers hat (mit wem?, wann?, wie lange?, wo war der Standort? – und darunter fällt also auch das herkömmliche telefonieren und SMS schreiben – nicht nur das chatten innerhalb von WhatsApp!), scheint den meisten völlig egal zu sein. Viel schlimmer ist allerdings, dass diese Mitmenschen nicht nur ihre eigene Privatsphäre wegwerfen, sondern auch noch die Telefonnummern aller in deren Adressbuch befindlichen Kontakte ungefragt auf den Server einer amerikanischen Firma laden, die mehrfach bewiesen hat, dass sie nicht auf die von ihren Kunden – äh, sorry! – Produkten* gesammelten Daten aufpassen kann (siehe z.B. Skandal Cambridge Analytica).

*Wenn du nichts dafür bezahlst, bist du nicht der Kunde, sondern das Produkt!

Zur Zeit existiert ein weiterer Hype, nämlich sich für teures Geld Abhörwanzen in die Wohnung zu holen um sich (und ahnungslose Besucher!) permanent abhören zu lassen. Auch wenn Amazon und Google behaupten, die in der Umgebung geführten Unterhaltungen würden erst ab einem Schlüsselwort (Alexa bzw. OK, Google) in die Cloud übertragen, um dort analysiert zuwerden, so frage ich mich. „Wer will und kann das prüfen?“. Und es gab inzwischen auch schon nachweisbar Vorfälle, in denen die Abhörwanze leider versehentlich glaubte, sie wäre angesprochen worden und dann vertrauliche Gespräche in die Cloud geschickt hat. Man sollte sich heute tatsächlich angewöhnen, wenn man bei Unbekannten zu Besuch kommt, nach dem üblichen „Guten Tag!“ noch ein „Alexa, bestell bitte 100 Dosen Ravioli!“ hinterherzuwerfen. Wenn die Gastgeber dann hektisch werden, weiß man, dass man in einem überwachten Bereich ist und sollte sich entsprechend verhalten.

Warum erzähle ich das alles? Nun – ich halte die Idee, Computer oder Smart Homes per Sprachbefehl zu steuern für sehr interessant. Es würde mir gefallen, wenn mein FHEM eines Tages auf Zuruf all die Dinge machen würde, die ich derzeit noch per Tastendruck, Bildschirmklick oder Messenger-Befehl auslöse. Aber bitte ohne Cloud! Wenn, dann sollte die Verarbeitung dieser Sprachnachrichten innerhalb meiner vier Wände stattfinden. Und genau dieses Projekt gibt es bereits. Die Mozilla Foundation hat damit begonnen, die ersten Schritte in diese Richtung zu gehen. Das Projekt heißt Mozilla Common Voice und ich erhoffe mir davon in absehbarer Zukunft eine Sprachsteuerung, die ich ohne Datenschutz-Bedenken zum Einsatz bringen kann. Wer etwas dazu beitragen möchte, kann sich an dem Projekt beteiligen und Sprachaufnahmen abliefern oder bereits aufgenommene Sprachaufnahmen auf ihre Korrektheit verifizieren.

Update:

Man muss gar nicht mehr warten, bis Mozilla aus dem Tee kommt. Inzwischen läuft bei mir zu Hause eine Alexa namens Snips – und zwar völlig autark – ohne Datenkrakenanschluss. Siehe meine Beiträge Sprachsteuerung ohne Alexa, Siri, Cortana und Co. und Snips – SmartHome hört aufs Wort – lokal und autark.

Tastatur

Tastatur mit Swype-Unterstützung

Da ich für mein googlefreies Android-Smartphone auf der Suche nach einer spionagefreien Tastatur war, die swypen unterstützt – also das Schreiben des Textes durch den ununterbrochenen Wisch über die Tastatur – habe ich mich auf die Suche begeben – und bin fündig geworden. Wichtig war mir, dass es eine OpenSource-App ist, denn schließlich vertraut man seiner Tastatur vertrauliche und intime Dinge wie zum Beispiel Passwörter an – und nur bei OpenSource hat man die Möglichkeit nachzuprüfen, ob alles mit Rechten Dingen zugeht.

Die Tastatur AnySoftKeyboard gibt es prinzipiell auch im F-Droid-Store zum Herunterladen. Allerdings unterstützt diese Version (noch?) nicht das swypen.

Update: Inzwischen enthält auch die bei F-Droid erhältliche Version diese Beta-Version, die im nächsten Absatz beschrieben wird. Ein separates Herunterladen über den erwähnten Link kann damit entfallen. Also einfach AnysoftKeyboard über F-Droid installieren, anschließend noch die gewünschte Sprachversion dazu (z.B. Deutsch) und anschließend über Android-Einstellung –> System –> Sprache & Eingabe –> Bildschirmtastatur  –> Tastaturen verwalten die neue Tastatur AnySoftKeyboard aktivieren und anschließend konfigurieren. Die Swype-Funktion muss in den Einstellungen erst aktiviert werden.

Es gibt allerdings bereits eine Beta-Version davon, die dieses beliebte Feature beinhaltet. Herunterladen kann man sie unter folgendem Link: https://github.com/AnySoftKeyboard/AnySoftKeyboard/issues/264. Dort nach ganz unten gescrollt, findet sich ein Link zu: https://2667-4063516-gh.circle-artifacts.com/0/apks/debug/app-debug.apk

Sollte man zuvor bereits aus dem F-Droid-Store die Tastatur AnySoftKeyboard installiert haben, schlägt die Installation der Beta-Version fehl. Also erst die offizielle AnySoftKeyboard-App deinstallieren und dann die Beta-Version installieren.

Funktionieren tut sie, allerdings ist die Worterkennung nach den ersten Testversuchen noch nicht so toll. Aber ich hoffe, dass der selbstlernende Algorithmus im Laufe der Zeit die Trefferquote erhöht und ein nachträgliches Korrigieren der erkannten Wörter immer seltener notwendig wird.

Android spricht

Text-zu-Sprache – ohne Google und andere werbeverseuchte TTS-Engines

https://blindhelp.net/software/tts?engine=663&language=AllWenn man sich auf seinem Telefon gewisse Texte, wie Messenger-Nachrichten oder auch einfach nur Navigations-Anweisungen vorlesen lassen möchte, benötigt man dazu eine TTS-Engine (engl. Text-to-Speech = Text-zu-Sprache). Die meisten werden dazu die bereits vorinstallierte Google-TTS nutzen. Nun gibt es aber Nutzer die Google wo es nur geht aus dem Weg gehen wollen und die deshalb nicht solch eine TTS-Engine an Bord haben (und wenn sie an Bord wäre, würde ich sie nicht nutzen wollen). Benutzt man die Suchmaschine seiner Wahl, fallen einem etliche Alternativen auf, von denen aber die große Masse irgendwie dubios aussieht.

Nun habe ich eine Variante gefunden, die von den Ergebnissen her sehr gut klingt und auch noch datenschutztechnisch sehr gut aussieht.

Um zu testen, wie das Ergebnis klingen wird, kann man sich unter folgendem Link ein paar Beispielsätze vorlesen lassen: http://codefactoryglobal.com/speech-technology/voice-licensing

Was ist also zu tun, um solch eine Text-zu-Sprache-Engine zu installieren?

  • Die APK-Datei, die die eigentliche TTS-Engine installiert, findet man (leider nicht mehr!) hier: https://apkpure.com/de/vocalizer-tts-voice-english/es.codefactory.vocalizertts (Danke für den Hinweis eMPee584) Die gleichnamige App im Google SpyStore ist mit einem Tracker verseucht und fordert auch noch fragwürdige Berechtigungen – also Finger weg von dieser App – und generell von diesem App-Store! Deshalb stelle ich sie hier selbst zum Download zur Verfügung.
  • Nachdem man die Zip-Datei entpackt und die APK-Datei installiert hat, erstellt man ein neues Verzeichnis „VocalizerEx2“ im Dateisystem des Android-Telefons (üblicherweise unter /storage/emulated/0 ) und kopiert den in der ZIP-Datei enthaltenen Ordner „languages/common“ dort hinein.
  • Anschließend lädt man sich von diesem Link https://blindhelp.net/software/tts?engine=663&language=All die gewünschte(n) Sprachdatei(en) herunter (erst die gewünschte Sprache auswählen und dann „Filter“ klicken, da nicht alle Sprachdateien sofort in der Liste aufgeführt werden).
  • Nachdem man die gewünschten Sprache(n) heruntergeladen hat, versieht man die Dateien mit der Dateiendung .zip, entpackt diese und kopiert die entpackten Dateien in den vorher erstellten Ordner „VocalizerEx2“
  • Nun kann man unter den Android-Einstellungen unter „Sprache und Eingabe“ – „Text-zu-Sprache-Einstellungen“ die neue TTS-Engine „VocalizerEx2 TTS“ auswählen und dort die heruntergeladene Sprache einstellen.
pihole

Pi-hole – netzwerkweiter Werbeblocker im Heimnetz

Für viele Nutzer des Internets hat sich die Seuche „Werbung“ inzwischen als so nervtötend und belästigend herausgestellt, dass offenbar die meisten einen Werbeblocker auf ihrem Computer installieren. Genaugenommen als weiteres Addon in ihrem Browser (Firefox, Chrome …). Diese Installation muss auf jedem Gerät einzeln erfolgen, was natürlich aufwändig und auch wieder lästig ist (aber offenbar nicht so lästig wie die Werbung selbst). Außerdem ist es bei einigen Geräten gar nicht oder nur sehr schwierig möglich, einen Werbeblocker zu installieren. Das gilt zum Beispiel für Android-Geräte, die man erst rooten müsste oder iPhones, bei denen man erst einen sogenannten Jailbreak durchführen müsste, um überhaupt einen Werbeblocker installieren zu können. Warum ein Werbeblocker ein notwendiger Selbstschutz ist, und keinesfalls auf einigen Seiten abgeschaltet werden sollte, auch wenn manche Webseitenbetreiber das bei jedem Besuch wieder fordern und auch schon Seiteninhalte ausblenden, wenn ein Werbeblocker erkannt wurde, habe ich im Artikel Selbstverteidigung gegen Werbung im Internet näher erläutert. Heute will ich eine elegantere Methode vorstellen, wie man dieser lästigen Plage Herr wird. Beim Pi-Hole handelt es sich um einen kleinen Computer basierend auf Raspberry-Pi (läuft aber auch auf anderer Hardware), der die gesamte Werbung, die im eigenen Heimnetz auf allen Geräten geladen werden soll, in einem schwarzen Loch verschwinden lässt (hole – engl. Loch) – wo sie auch hingehört. Und weil es hier Nachfragen gab: Die Performace von Medienstreams oder anderen Up- oder Downloads wird nicht beeinflusst, lediglich die Auflösung des Seitennamens in eine gültige IP-Adresse kann unter Umständen ein paar Millisekunden länger dauern. Nachdem die IP-Adresse bekannt ist, läuft der Datenstrom nicht mehr über den Pi-Hole.

Und das Beste ist, dieser Werbeblocker funktioniert nicht nur im Browser, sondern auch innerhalb von Apps, die Werbung einblenden oder Tracking-Server erreichen wollen. Sollte man allerdings solche Apps im Einsatz haben, dann wäre es an der Zeit, sich nach Alternativen umzusehen – z.B. im App-Store F-Droid. Pi-hole – netzwerkweiter Werbeblocker im Heimnetz weiterlesen

Netzwerke

Warum Privatsphäre mehr ist als Verschlüsselung

Ich bin im Internet auf eine interessante Seite gestoßen, die das Thema Privatsphäre und Verschlüsselung etwas eingehender beleuchtet. Da diese nur auf englisch und französich verfügbar ist, habe ich sie mal ins deutsche übersetzt, damit auch diejenigen unter euch, die des englischen nicht mächtig sind, die Chance haben, es zu lesen und sich damit auseinander zu setzen.

Hier ist der Link zur ursprünglichen Seite:

https://hannes.hauswedell.net/post/2016/05/31/why-privacy-is-more-than-crypto/ Warum Privatsphäre mehr ist als Verschlüsselung weiterlesen

prosody

sichere Kommunikation mit XMPP

Heute habe ich auf meinem XMPP-Server neubert.dedyn.io eine weitere Funktion hinzugefügt, die eine sichere Kommunikation weiter forciert. Mit dem Prosody-Modul mod_e2e_policy kann man einstellen, wie sich der Server hinischtlich Ende-zu-Ende-Verschlüsselung verhalten soll. Bisher war es so, dass ich zwar empfohlen habe, dass man die Ende-zu-Ende-Verschlüsselung OMEMO aktivieren sollte, jeder Nutzer konnte diesen Hinweis aber in den Wind schießen und trotzdem unverschlüsselt kommunizieren. Seit heute ist das anders. Nun bekommt jeder Nutzer auf neubert.dedyn.io einen Hinweis bei jeder unverschlüsselt gesendeten Nachricht, dass es sicherer sei, die Ende-zu-Ende-Verschlüsselung OMEMO zu aktivieren. Ich gehe davon aus, dass diese Nachrichten so nervig sind, dass man lieber die zwei Klicks in der Oberfläche von Conversations macht und OMEMO aktiviert, als bei jeder weiteren Nachricht wieder genervt zu werden (weitere Details zur Einrichtung von Conversations sind im Beitrag Conversations – der bessere Ersatz für WhatsApp zu finden).

Ich könnte den Server auch so einstellen, dass unverschlüsselte Nachrichten gar nicht mehr versandt werden. Allerdings weiß ich aus anderen Quellen, dass es derzeit noch Probleme mit XMPP-Clients gibt, die unter iOS laufen (beim Namen genannt Chatsecure). Damit diese Nutzer nicht völlig von der Kommunikation ausgeschlossen werden, habe ich die Servereinstellungen derzeit noch nicht so hart eingestellt. Aber was nicht ist, kann ja noch kommen 😉

Maske

Nichts zu verbergen?

Für alle, die von sich behaupten, nichts zu verbergen zu haben, habe ich hier einen Link zu einem Dokumentarfilm, den man mal gesehen haben sollte (die anderen dürfen sich den Film natürlich auch gern ansehen 🙂 ). Dann wird vielleicht dem einen oder anderen bewusst, welche Informationen man da im täglichen Leben bewusst und noch viel mehr unbewusst preisgibt:

nothingtohide-poster-01-860x484-or8Laufzeit ca. 1,5 Stunden!

mobilsicher-fs8

gute Apps – schlechte Apps – mal ein paar andere Tests als üblich

Im Internet gibt es jede Menge Webseiten, die Apps für mobile Geräte testen und die Ergebnisse dann präsentieren. Meist wird dabei vor allem getestet, wie gut die App das tut, wofür sie (aus Sicht des unbedarften Nutzers) programmiert wurde. Auf mobilsicher.de hingegen, wird getestet, was im Hintergrund passiert. Und die Ergebnisse sind leider viel zu oft katastrophal. Leider interessiert das unsichtbare Funktionieren im Hintergrund den Normalnutzer offenbar wenig, sonst würden die Nutzerzahlen bei vielen Apps nicht so hoch sein.

Jeder, der etwas auf Datenschutz und Privatsphäre bedacht ist, sollte sich beim Installieren von Apps Gedanken machen, was die App genau tut, welche Rechte sie einfordert und wohin sie welche Daten versendet bzw. versenden könnte.

Bekannte Apps, die bei Tests von mobilsicher.de negativ aufgefallen sind, sind unter anderem:

Am besten ihr seht euch selbst mal dort um auf mobilsicher.de.

Im Allgemeinen kann ich sagen, sollte man lieber Apps aus dem App-Store F-Droid benutzen. Diese werden auf problematische Features überprüft und gegebenenfalls verbessert, indem kritische Teile ausgebaut werden. So zum Beispiel die Spiele-App 2048. Die gibt es sowohl als problematische App im Google-Play-Store als auch als bereinigte Version im F-Droid-Store.

Privacy-fs8

Wie ist es um die Privatsphäre beim Besuch einer Webseite bestellt?

Mit jedem Klick im Internet hinterlassen wir Spuren. Welche das sind, und wie viel davon, das wissen die wenigsten. Es kommt natürlich auch ganz auf die Webseite an, auf der man sich gerade befindet. Wer wissen will, wie gut oder schlecht eine Webseite die Daten der Besucher behandelt, der sollte mal die Seite

webbkoll.dataskydd.net

aufrufen. Hier kann man jede Webseite auf ihre „Gesprächigkeit“ hin testen. Ein paar Englischkenntnisse sind allerdings Voraussetzung (oder alternativ auch schwedisch 🙂 )um die Ergebnisse verstehen zu können.

Wer wissen will, wie es um den Datenschutz auf diesem Blog steht, der kann auch gleich hier klicken https://webbkoll.dataskydd.net/en/results?url=ingolfneubert.diskstation.org (und sich das Ausfüllen des Formulars mit „ingolfneubert.diskstation.org“ und klick auf „Check“ ersparen).

noch eine Alternative zu Google

Wie bereits in meinem Beitrag Suchmaschine mit Respekt vor Privatsphäre beschrieben, sollte jedem Nutzer bewusst werden, welche Daten er an Monopolisten wie Google, Facebook und andere weiterreicht und was diese damit über einen erfahren. Und anschließend sollte man sich bewusst machen, was man mit diesem Wissen über einen selbst alles anstellen kann. Leider scheinen die meisten aber genau das nicht zu tun und bleiben bei ihren alten Gewohnheiten.

Ich habe eine weitere Alternative zur Suchmaschine Google gefunden, deren Suchergebnisse aus meiner Sicht sehr gut sind und die keinerlei Informationen über den Nutzer speichert: Qwant

qwant-banner-fs8Und damit der Durchschnitts-Internet-Anwender versteht, was beispielsweise Google über einen weiß, gibt es sogar ein schönes Werbevideo, das jedem klar machen sollte, warum man eben nicht (mehr) Google zur Suche verwenden sollte:

Wer sich etwas tiefer mit dem Thema Suchmaschine und speziell Qwant beschäftigt, wird bemerken, dass Qwant zu großen Teilen durch den Axel Springer Verlag finanziert wird. Man kann nun nicht gerade behaupten, dass Zeitschriften u. ä. von Axel Springer zu meinen favorisierten Medien gehören, aber das ändert erst einmal nichts daran, dass die Suchergebnisse dieser Suchmaschine gut sind. Und sie muss sich an europäische Datenschutzlinien halten. Nichtsdestotrotz sollte man natürlich wachsam sein und beobachten, wie es hier weiter geht. Warum Axel Springer so viel Geld in Qwant investiert hat, kann man wahrscheinlich am besten verstehen, wenn man diesen offenen Brief von Mathias Döpfner (Vorstandsvorsitzender von Axel Springer) an Eric Schmidt (CEO von Google, inzwischen Executive Chairman der Alphabet Inc.), gelesen hat.

Also: Suchmaschine wechseln! Und am besten gleich Google aus den installierten Suchmaschinen entfernen! Wie das geht, ist in meinem Artikel Standard-Suchmaschine ändern beschrieben.

Translation

Tschüß Google-Translator, hallo DeepL

Um Webseiten und Texte lesen zu können, die in einer Sprache vorliegen, die man nur schlecht oder gar nicht beherrscht, habe ich früher oft den Google Translator benutzt. Abgesehen davon, dass die Fähigkeiten dieser Software oftmals sehr begrenzt zu sein schienen, würde ich heutzutage diesen Dienst auch deswegen meiden, weil er von Google ist 🙂 .

Aber was wäre eine googlefreie Alternative? Seit kurzem kenne ich die aus Köln stammende Firma DeepL. Deren Übersetzungssoftware setzt Maßstäbe. Die Übersetzungen sind nach meinen Tests um Längen besser als die der oben erwähnten Konkurrenz.

Wenn es also lange Texte zu übersetzen gilt, dann hilft https://www.deepl.com/translator, will man bei einzelnen Wörtern mehr Informationen erhalten, wie das bei einem Wörterbuch üblich ist, kann man auch https://www.linguee.com/ aufrufen.

Einziger Wermutstropfen. Auch diese Seite sollte man nur mit Addons wie NoScript oder uMatrix besuchen, denn Google-Analytics sind auch hier allgegenwärtig. Aber das ist man ja inzwischen gewohnt und benutzt solche Addon standardmäßig! – Oder?

Um die Fähigkeiten von DeepL zu zeigen, wird dieser Artikel ohne Änderungen meinerseits hier automatisch von DeepL übersetzt angezeigt:

In order to be able to read websites and texts that are in a language that is poorly or not at all mastered, I often used Google Translator in the past. Apart from the fact that the capabilities of this software often seemed to be very limited, I would avoid this service nowadays also because it is from Google: -).

But what would be a google-free alternative? I recently became acquainted with DeepL, a company from Cologne. Their translation software sets standards. According to my tests, the translations are by far better than those of the above-mentioned competitors.

If it is necessary to translate long texts, then https://www.deepl.com/translator helps, if you want to get more information on individual words, as is usual with a dictionary, you can also visit https://www.linguee.com/.

The only drawback. You should only visit this page with addons like NoScript or uMatrix, because Google Analytics are omnipresent here as well. But that’s what you are used to and use such an addon by default! – Or is it?

Translated with www.DeepL.com/Translator

Searx-or8

Suchmaschine mit Respekt vor Privatsphäre

Ich habe heute ein eigene Instanz der Suchmachine Searx (leider derzeit nur in der englischen Wikipedia beschrieben) auf meinen Server installiert. Wer also zukünftig Google den Rücken kehren will und stattdessen eine Suchmaschine nutzen möchte, die den Suchenden nicht verfolgt und nicht protokolliert, was wann gesucht wurde, kann neben solchen Alternativen wie Metager, StartPage oder DuckDuckGo eben auch meine Instanz von Searx nutzen. Wie man solch eine Suchmaschine zu seinem Browser (Firefox) hinzufügt, habe ich in meinem Artikel Standard-Suchmaschine ändern bereits beschrieben.

emoticon-1611718_640-or8

Sicherheit erhöhen – fail2ban installieren und einrichten

WIr haben in den vorherigen Beiträgen (SSH-Schlüssel einrichten und HTTPS und Authentifizierung) schon einiges getan, um ungebetene Gäste von unserem Raspberry Pi fernzuhalten. Leider gibt es in dem großen Haifischbecken namens Internet immer wieder auch Personen, die offenbar nichts besseres zu tun haben, als aus den unterschiedlichsten Gründen in fremde Computersysteme einzudringen. Sei es, um Informationen zu extrahieren und damit die eigene Webseite zu schmücken oder um den Onlineshop der Konkurrenz nach Preisen abzufragen und damit die eigenen Preise auf dem Laufenden zu halten oder auch einfach nur um zu testen, wie gut oder schlecht ein System abgesichert ist. All diese Dinge werden üblicherweise von sogenannten Bots, also Computerprogrammen, die, einmal programmiert, automatisch auf die Suche gehen und nach Opfern suchen, ausgeführt.

Was wir also brauchen ist ein Werkzeug, das solche ungebetenen Gäste von den gewünschten anhand ihres Verhaltens oder auch ihrer Kennung unterscheiden und aussperren kann. Solch ein Werkzeug gibt es. Es heißt fail2ban. Sicherheit erhöhen – fail2ban installieren und einrichten weiterlesen

sunrise-or8

FHEM – Ein paar nützliche Features implementieren

Nachdem FHEM nun installiert ist und es auch ein paar Funksteckdosen gibt, die man schalten kann, soll es in diesem Beitrag darum gehen, ein paar Dinge anzulegen, die das Smart Home nun tatsächlich etwas „smart“ machen werden.

Wie bereits auf meinem Blog unter Smart Home – ein Begriff – viele Themen erwähnt, hat Smart Home bei mir nichts damit zu tun, dass ich aus der Ferne irgendwelche Dinge schalten kann. Das fällt bei mir eher unter „Fernbedienung“. Smart heißt „schlau“ und das bedeutet, das Haus oder die Wohnung weiß selbst, wann etwas ausgelöst werden muss.

Ein Zeitpunkt, an den man relativ viele Aktionen koppeln kann, ist der tägliche Sonnenauf- und -untergang. Dieser ändert sich von Tag zu Tag ein wenig. Mit einer Zeitschaltuhr kann man nur einstellen, dass etwas zu einer bestimmten Uhrzeit – z.B. abends um 20:00 Uhr – schalten soll. Im Hochsommer wäre 20:00 Uhr aber viel zu früh, im Winter wäre 20:00 Uhr viel zu spät. Zum Glück kann unser Raspi selbst ausrechnen, wann täglich für den lokalen Ort der Zeitpunkt für den Sonnenauf- und -untergang ist. Dafür benötigen wir als erstes den geografischen Ort, denn schließlich macht es einen zeitlichen Unterschied, ob der Sonnenaufgang heute in List auf Sylt, am Haldenwanger Eck, in der Gemeinde Neißeaue (bei Görlitz) oder in Isenbruch gemeint ist. FHEM – Ein paar nützliche Features implementieren weiterlesen

Safety

Reverse Proxy mit HTTPS und Authentifizierung einrichten

Im vorherigen Artikel Sicherheit erhöhen – Raspberry Pi mit SSH-Schlüssel absichern habe ich beschrieben, wie man den Zugang zum Betriebssystem des Raspberry Pi mittels SSH-Key absichern kann. In diesem Artikel soll es nun darum gehen, die FHEM-Webseite nur noch über eine gesicherte Verbindung (HTTPS) und nur noch für ausgewählte Nutzer zugänglich zu machen, damit der Raspberry Pi ins Internet gestellt werden kann, ohne sich Sorgen machen zu müssen, dass ungebetene Gäste Zugriff darauf haben.

Da der Raspberry Pi nicht gerade mit viel Rechenleistung ausgestattet ist, sollten die darauf laufenden Programme möglichst leichtgewichtig sein. Für die Einrichtung eines Reverse Proxy benötigt man einen Webserver. Weit verbreitet in der Linux-Welt ist der Webserver Apache. Allerdings ist er inzwischen auch ein ziemliches Monster geworden, was seinen Ressourcenbedarf angeht. Deshalb empfehle und nutze ich hier als Alternative den nicht so ressourcenhungrigen Webserver Nginx (ausgesprochen Engine X). Reverse Proxy mit HTTPS und Authentifizierung einrichten weiterlesen

Schloss digital

Sicherheit erhöhen – Raspberry Pi mit SSH-Schlüssel absichern

Um den unberechtigten Zugriff auf den Raspberry Pi zu verhindern, habe ich in meinem Beitrag Raspberry Pi – Betriebssystem installieren darauf hingewiesen, das allseits bekannte Passwort raspberry des Nutzers pi zu ändern. Für den Heimgebrauch mag das ausreichend sein. Wer allerdings vor hat, seinen Raspberry Pi ins Internet zu stellen, um ihn auch von „außen“ zu erreichen, sollte etwas mehr Aufwand betreiben.

Bisher haben wir uns im lokalen Netzwerk mittels PuTTY über SSH am Raspberry Pi angemeldet, wurden nach Nutzername und Passwort gefragt und waren nach erfolgreicher Passworteingabe „drin“. Würde man das nun ans Internet hängen, könnte man sicherlich drauf warten, bis die ersten Scriptkiddies automatisiert Login-Versuche starten, um das Passwort zu erraten. Früher oder später werden sie erfolgreich sein. Damit der Zeitpunkt für das Erraten gegen Unendlich tendiert, wäre zum Beispiel folgendes Passwort gut:

Leider kann man sich ein solches Passwort erstens schlecht merken und zweitens wird es schwierig, es ohne Tippfehler einzugeben.

Die Lösung ist, sich mittels eines Schlüsselpaares anzumelden (Asymmetrisches Kryptosystem). Dazu wird auf dem Server (also dem Raspberry Pi) nur der öffentliche Schlüssel (Public Key) abgelegt und auf dem Client (das Gerät, auf dem PuTTY oder ähnliches läuft) der dazu passende private Schlüssel (Private Key) hinterlegt. Was ist also zu tun? Sicherheit erhöhen – Raspberry Pi mit SSH-Schlüssel absichern weiterlesen

google

E-Mails von GMail werden automatisch beantwortet

Das Google die E-Mails der GMail-Nutzer automatisiert durchleuchtet und analysiert dürfte allgemein bekannt sein (steht in deren AGB):

Wer mich kennt weiß, dass mir meine Privatsphäre wichtig ist und ich deshalb solch einen Dienst niemals nutzen würde. Ich war lange Zeit Nutzer eines „kostenlosen“ Kontos bei GMX und bin nach den Enthüllungen von Edward Snowden zu mailbox.org gewechselt. Dort zahle ich nun pro Monat 1,-€. Das ist mir meine Privatsphäre wert. Damit könnte der Beitrag zu Ende sein, aber das ist zu kurz gedacht. Schließlich gibt es außer mir auch noch andere Personen, denen offenbar ihre Privatsphäre weniger (gar nichts?) wert ist oder die nichts von den Machenschaften von Google wissen (naiv?) und die solch ein GMail-Konto besitzen. Und solche Leute könnten mir eine E-Mail schreiben. Dann wäre ich in dem Dilemma, dass ich entweder antworten sollte (das würde die Höflichkeit gebieten) oder ich eben nicht antworte, weil ich nicht möchte, dass meine E-Mails durch Google analysiert werden. Um aus diesem Dilemma heraus zu kommen, habe ich mich dafür entschieden, eine automatische Antwort an den GMail-Nutzer zurück zu senden, sobald eine E-Mail von diesem Dienst eintrifft. Diese lautet folgendermaßen:

Eingerichtet habe ich das mit dem Thunderbird-Addon Sieve auf meinem mailbox.org-Konto mit folgendem Skript:

Klingt fies? Mag sein, aber was ist die Alternative?

Der E-Mail-Anbieter posteo.de ist übrigens nicht empfehlenswert, auch wenn das BSI denen das Zertifikat Sicherer E-Mail-Transport ausgestellt hat, da hier immer noch uralte und schon längst als unsicher eingestufte Chiffren eingesetzt werden (MD5 und RC4). Link zum TLS-SMTP-Check.

Spiegel Plus Artikel kostenlos lesen

Bei spiegel.de gibt es seit einiger Zeit neben den normalen Artikeln auch solche, die durch ein stark verschwommenes Bild und einen verschlüsselten Text und ein Hinweisfenster darauf hinweisen, dass nur Abonnenten von Spiegel diesen Artikel lesen können.

SpiegelPlus

Man soll also ein Abo bei Spiegel kaufen und kann sich dann einloggen und auch diese Artikel lesen. Nun hat sich herausgestellt, dass die Verschlüsselung derart primitiv ist, dass man mit ein wenig Know-How auch ohne Bezahlung und ohne einloggen das Lesen dieser Artikel möglich wird. Wie es funktioniert, und wie man unter Firefox das Ganze selbst nachvollziehen kann, wird auf dieser Seite beschrieben:

http://www.dkriesel.com/blog/2016/0703_verschluesselung_von_spiegelonline-bezahlartikeln_extrem_einfach_knackbar

Viel Spaß beim Lesen und Testen. Ich habe es getestet:

SpiegelPlus_decrypted

Funksteckdose

Funksteckdosen mit dem Raspberry Pi unter FHEM schalten

Nun wird es langsam mal Zeit, wieder etwas im Projekt Hausautomation mit FHEM zu erläutern. Nachdem wir also in den ersten beiden Beiträgen das Betriebssystem auf dem Raspi eingerichtet und anschließend die Open-Source-Hausautomations-Software FHEM installiert haben, können wir nun daran gehen, die ersten sinnvollen Dinge mit der Hausautomation anzustellen. Das wäre zum Beispiel das Schalten von Funksteckdosen mit dem üblichen Funkprotokoll von Intertechno im 433 MHz-Band. Solche Funksteckdosen gibt es relativ preisgünstig in diversen Baumärkten oder aber auch im Internet bei Versandhändlern wie pollin.de oder reichelt.de. Wichtig ist, darauf zu achten, dass es sich um Funksteckdosen handelt, die DIP-Schalter (manche sagen auch Mäuseklavier) besitzen, um den Funk-Code einstellen zu können. Inzwischen sind leider selbstlernende Steckdosen in Mode gekommen, deren Funksignale an die zugehörige Fernbedienung angelernt werden. Bei diesen ist der Betrieb unter FHEM allerdings weitaus schwieriger, da dort erst einmal der Funkcode empfangen und entschlüsselt werden muss. Also besser gleich die „richtigen“ Funksteckdosen kaufen.

Außerdem benötigt man auch noch einen Funksender, der an den Raspi angeschlossen wird und mit dem wir dann die entsprechenden Funksignale an die Steckdosen senden können. Diese gibt es z.B. bei avc-shop.de oder auch bei dx.com. Funksteckdosen mit dem Raspberry Pi unter FHEM schalten weiterlesen

LineageOS

LineageOS 14.1 auf Samsung Galaxy S2 installieren

Samsung hat das nun schon über 6 Jahre alte Galaxy S2 ursprünglich mal mit Android 2.3 ausgeliefert und bis zur Android Version 4.1.2 unterstützt. Da aber immer wieder mal sicherheitskritische Lücken in Android gefunden werden, ist es nicht ratsam, mit solch einem veralteten Betriebssystem herumzulaufen und sich damit im Internet zu bewegen. Es ist aber möglich, auch auf diesem alten Gerät, die aktuelle Android-Version 7.1.2 zu benutzen. Die Hardware gibt das her. Deswegen hier meine Anleitung, wie man das aktuelle LineageOS 14.1 auf dem Samsung Galaxy S2 installiert.

Vorbereitung

Benötigt wird:

  • ein voll geladenes Galaxy S2 GT-I9100 (wer hätte das gedacht 😉 )
  • ein USB-Kabel
  • ein Windows-Rechner mit Administrator-Rechten
  • Samsung-Kies installiert

LineageOS 14.1 auf Samsung Galaxy S2 installieren weiterlesen

LineageOS

Android 7.1.1 Nougat LineageOS 14.1 auf dem Samsung Galaxy Tab A 7.0 SM-T285

In dieser Anleitung beschreibe ich, wie man auf dem Samsung Galaxy Tab A 7.0 SM-T285 das aktuelle Android 7.1.1 Nougat LineagesOS 14.1 installiert.

Vorbereitung

  1. Windows-Nutzer laden sich Odin herunter – Odin 3.10.7
  2. Linux- und Mac-Nutzer sollten alternativ Heimdall verwenden – Heimdall – aktuelle Version
  3. Falls noch nicht geschehen, müssen die Samsung USB-Treiber auf dem Rechner installiert werden – Samsung-USB-Treiber
  4. Nun noch das alternative Recovery-System TWRP für das SM-T285 – TWRP_3.1.1-0_SM-T285-20170501.zip oder auch TWRP_3.0.2-1_SM-T285_20161124.zip herunterladen. Diese Zip-Datei zuerst entpacken und auf dem Rechner dort deponieren, wo man später mit Odin herankommt.
  5. Damit man Root-Rechte erhält, benötigt man die aktuelle SuperSU von ChainFire, welche auf die SD-Karte kopiert wird.
  6. Das inoffizielle ROM LineageOS 14.1 für das SM-T285 von XDA-Developers herunterladen und auf dem Rechner dort deponieren, wo man später mit Odin herankommt.
  7. Sinnvollerweise besorgt man sich noch das Stock-ROM (für den Fall, das man tatsächlich wieder zum offiziellen Samsung-ROM mit Android 5.1.1 zurück will). (Datei wird dann mittels Odin im Download-Modus auf das Tablet zurück gespeichert – identisch zum Flashen von TWRP wie im nächsten Schritt beschrieben. Nach dem Flashen des Stock ROMs im Recovery-Modus noch wipe/factory reset ausführen.)

Android 7.1.1 Nougat LineageOS 14.1 auf dem Samsung Galaxy Tab A 7.0 SM-T285 weiterlesen

anonymous

Messenger ohne Telefonnummer nutzen

Bei vielen Messengern ist dieser aus Komfort-Gründen mit der Telefonnummer verknüpft. So zum Beispiel bei WhatsApp, Signal oder Telegram. Abgesehen davon, dass man diese Messenger wegen ihrer Zentralisierung meiden sollte (Zensur und Überwachung lässt grüßen), ist das Verknüpfen der Telefonnummer ein weiterer Schritt in die falsche Richtung. Denn über die Telefonnummer ist die dahinter stehende Person noch leichter zu identifizieren.

Es gibt aber die Möglichkeit, solche Messenger, wenn man sie schon einsetzt, ohne die Telefonnummer der SIM-Karte, sondern mit einer völlig anderen zu betreiben.

Man benötigt also eine weitere Telefonnummer. Wo bekommt man diese her? Z.B. kann man sich eine virtuelle Person unter fakenamegenerator.com anlegen (Achtung Werbung! Am besten nur mit ublock Origin besuchen.) Hat man sich dort eine virtuelle Persönlichkeit kreiert, dann hat man nun auch eine neue Telefonnummer.

Nun legt man sich unter https://textfree.us/#/welcome einen neuen Account an und gibt dort die neue Telefonnummer an. Jetzt kann man sich den Messenger auf seinem Telefon installieren und dort die neue Telefonnummer angeben. Der Messenger-Dienst sendet nun eine SMS mit dem Aktivierungscode an die angegebene Nummer. Die kann man unter Textfree.us empfangen und den Aktivierungscode ablesen. Trägt man den Code im Messenger ein, ist dieser damit freigeschaltet. Voilà – das war’s!

Nichtsdestotrotz sollte man besser Messenger verwenden, die OpenSource sind (damit man selbst oder andere in der Lage sind zu überprüfen, ob es Schwachstellen oder Hintertüren darin gibt), die nicht zentralisiert, also föderal sind (damit man nicht an dieser zentralen Stelle den Dienst zensieren, überwachen oder ganz abschalten kann) und die nicht die Telefonnummer als Indentifikationsmerkmal verwenden.

  • ThreemazentralisiertClosed SourceTelefonnummer nur Optional
  • SignalzentralisiertOpen SourceTelefonnummer als Identifikator
  • TelegramzentralisiertClosed SourceTelefonnummer als Identifikator
  • WhatsAppzentralisiertClosed SourceTelefonnummer als Identifikator
  • XMPPföderalje nach Client Open SourceTelefonnummer nicht als Identifikator
real-cam-750x270-fs8

Bei real,- nur noch mit Gesichtsmaske einkaufen gehen!

Glücklicherweise gehört die Handelskette real,- nicht zu den Einkaufsläden, die ich regelmäßig nutze. Deswegen betrifft es mich wohl eher weniger. Aber eine Warnung an alle, die regelmäßig in diesen Läden einkaufen: Ihr werdet getrackt! Es erfolgt eine Gesichtserkennung. Aber es ist alles gut! Laut Einschätzung des Bayerischen Landesamts für Datenschutzaufsicht ist der Einsatz der Gesichtserkennung total „unbedenklich„. Das Handelsblatt (<Sarkasmus>die kennen sich übrigens mit Werbung und Tracking gut aus!</Sarkasmus>) dazu: „Dahinter steht die Idee, Werbung im stationären Handel zu personalisieren – was im Internet längst gang und gäbe ist.“ Also das, was leider im Internet schon lange passiert und wogegen man sich aufwändig mit technischen Mitteln wehren muss, soll zukünftig auch im realen Leben passieren. Welche technischen Mittel stehen mir denn dann da zur Verfügung? Eine Gesichtsmaske werde ich wohl wegen dem in Deutschland bestehenden Vermummungsverbot nicht tragen dürfen!? – Muss ich mit Burka dort einkaufen gehen? Zur Zeit betrifft es nur real,- und die Deutsche Post AG – aber meine Befürchtung ist, dass das mehr oder weniger schnell zur Normalität werden soll – wie eben schon im Internet. Deshalb: Wehret den Anfängen und meidet diese Läden. Damit die Betreiber merken, was die Kunden wollen und was nicht. Das hat damals auch bei Shell und der geplanten Versenkung der Ölbohrplattform Brent Spar funktioniert.

Die Bürgerrechtsorganisation Digitalcourage hat bereits reagiert und Strafanzeige gegen real,- und die Deutsche Post AG eingereicht. Netzpolitik.org berichtet.

Update vom 28.06.2017:

real,- bekommt kalte Füße und rudert zurück. Die Post macht bisher unbeeindruckt weiter.

barbed-wire-1670222_640-fs8

Willkommen im Überwachungsstaat

Überwachungsstaat – was ist das? (Zur Wahrung deiner Privatsphäre geht der Link zu YouTube über Hooktube.)

Liebe Bundesregierung! 1984 war nicht als Anleitung gedacht! Der Bundestag hat unter der schwarz-roten Koalition für die Einführung des Staatstrojaners gestimmt. Es geht in großen Schritten einem totalitären System entgegen. Die notwendigen Werkzeuge dafür werden jetzt installiert. So etwas ähnliches gab es auch schon 1933. Wer zukünftig an der Macht ist wissen wir jetzt noch nicht, aber die Werkzeuge zur Überwachung und zum Unterschieben von „Beweisen“ an missliebige Personen sind bereits da. Denn nichts anderes ist mit diesem Trojaner möglich. Und wer behauptet, das sowas bei uns nicht passieren kann, der hat aus der Geschichte nichts gelernt. Schöne neue Welt!

Willkommen im Überwachungsstaat weiterlesen

digitale Welt

wirklich nichts zu verbergen? – Datenleck

Wenn ich mich mit anderen unterhalte und es auf das Thema Datenschutz hinausläuft, dann höre ich oftmals Erwiderungen wie: „Die wissen doch schon alles!“, und „Ich habe nichts zu verbergen – das können die doch wissen.“ Das sie „schon alles wissen“ liegt ja an einem selbst. Wenn man möchte, dann kann man dafür sorgen, dass weniger Daten abfließen. Welche Möglichkeiten bestehen, habe ich in meinem Blog an mehreren Stellen aufgezeigt. Und das man nichts zu verbergen hat, dass möchte ich stark in Zweifel ziehen. Gerade aktuell ist mal wieder in den USA ein riesiges Datenleck aufgetaucht: Heise.de: USA Republikaner stellten Daten aller Wähler online ohne Passwort

wirklich nichts zu verbergen? – Datenleck weiterlesen

F-Droid-Logo

F-Droid als System-App einrichten

Vom Google Play Store ist man gewöhnt, dass Updates für Apps ohne Zutun des Nutzers installiert werden. Damit das funktioniert, hat der Google Play Store weitreichende Rechte im System. Steigt man auf den alternativen App Store F-Droid um, wie in meinem Beitrag Alternativen für Apps aus dem Google PlayStore empfohlen, dann fehlen F-Droid solche Rechte. Deswegen wird man dort nur informiert, dass es Updates gibt, man muss diese aber selbst installieren.

Besitzt man ein gerootetes Gerät und ein entsprechendes Recovery-System, dann kann man auch F-Droid diese Rechte geben und bekommt anschließend Updates direkt installiert. F-Droid als System-App einrichten weiterlesen

OSM Share Location Plugin

Ab und zu besteht der Wunsch, seinen aktuellen Standort jemand anderem mitzuteilen. Die meisten würden für so etwas wahrscheinlich GoogleMaps oder ähnliches nutzen. Wer mein Blog kennt, wird wissen, dass das für mich keine Option wäre. Dafür gibt es aber eine schöne Alternative – Ein Conversations-Plugin:

OSM Share Location Plugin

Damit kann man unter Conversations seinen Standort mit anderen teilen. Nach der Installation erscheint in Conversations im Menü „Anhänge“ ein neuer Eintrag „Standort senden„.

Conversations-Standort OSM Share Location Plugin weiterlesen

F-Droid-Logo

Alternativen für Apps aus dem Google PlayStore

Wer sein Mobiltelefon mit einem alternativen Betriebssystem (Custom-ROM) ausstattet, hat anschließend die Möglichkeit, auf die übliche Datenabfluß-Verbindung zu Google zu verzichten, indem man keine Google-Apps darauf installiert bzw. wenigstens das Google-Konto nicht aktiviert. Das führt natürlich dazu, dass einem auch der prall gefüllte Google Play Store nicht zur Verfügung steht.

Der Google-Spy-Store ist sowieso überfüllt mit schädlichen und trackenden Apps. Es ist äußerst schwierig, dazwischen die trackingfreien Perlen zu finden. Ein weiterer Grund, nicht diesen ominösen App-Store zu nutzen, findet sich in einem Artikel bei Golem.de.

Um trotzdem weitere Apps auf sein Telefon zu bekommen, kann und sollte man sich den F-Droid-App-Store installieren. Dort gibt es ausschließlich freie Software. Aber auch, wer kein gerootetes und/oder mit einem Custom ROM ausgestattetes Gerät besitzt, kann sich einen weiteren App-Store installieren und alternative Apps daraus nutzen:

Alternativen für Apps aus dem Google PlayStore weiterlesen

Standard-Suchmaschine ändern

Unter Windows ist oftmals der Internet-Explorer als Web-Browser installiert. Dieses Programm ist wichtig, denn man benötigt es, um sich einen richtigen Browser herunter zu laden.

Prust

Ich bevorzuge als Web-Browser Mozilla Firefox. Bei diesem ist als Standard-Suchmaschine dann Google vorbelegt und diverse andere Suchmaschinen (wie Yahoo, Bing, Amazon …) sind auch schon installiert. Möchte man (zum Beispiel aus Datenschutzgründen oder um die Privatsphäre zu wahren, ich habe aber nichts zu verbergen!) eine andere Suchmaschine installieren, geht man folgendermaßen vor: Standard-Suchmaschine ändern weiterlesen

Harddrive

Krypto-Trojaner – Was dagegen hilft: BACKUPS BACKUPS BACKUPS

Da derzeit der Krypto-Trojaner WannaCry sein Unwesen treibt, will ich mal einen gut gemeinten Rat geben, wie man sich gegen solche Malware bzw. seine Auswirkungen schützen kann. Auch wenn viele glauben, sie würden sich niemals mit so etwas infizieren, passieren kann es jedem. Und dann ist es gut, wenn man in der Lage ist, seine wertvollen Daten wieder herzustellen. Deshalb sollte man regelmäßig BACKUPS seiner Daten anlegen. Ich habe mir vor einigen Monaten mal etwas Zeit genommen und mir verschiedene Backups eingerichtet, welche nun vollautomatisch zu regelmäßigen Zeitpunkten ein trojaner-sicheres Backup erzeugen und diese verschlüsselt! in der Cloud ablegen. Die Anleitung dazu war ein Artikel bei heise.de, der aus aktuellem Anlass nun für jedermann kostenlos zur Verfügung gestellt wurde und auf den ich gern verweise:

Mit Duplicati in fünf Minuten zum trojaner-sicheren Backup

P.S: Ich verwende den im Artikel zwar erwähnten, aber zum damaligen Zeitpunkt wohl noch etwas instabilen Nachfolger Duplicati2. Und was soll ich sagen – es läuft.

Backup

Oszilloskop

Spyware mit Ultraschall-Signal in vielen Google-Playstore-Apps

Apps aus dem Google Play Store werden durch Google auf schadhaften Code untersucht, bevor sie dort erhältlich sind. Möchte man Apps aus anderen Quellen auf seinem Androiden installieren, muss man die Option „Unbekannte Quellen: Installation von Apps von anderen Quellen als Play Store erlauben“ bzw. manchmal auch als „unsichere Quellen“ (haha) betitelt, aktivieren.

Offensichtlich sind jedenfalls Apps aus dem Google-Spy-Store NICHT sicher und man sollte lieber KEINE Apps von dort beziehen. Stattdessen ist der Appstore F-Droid zu empfehlen. Dort gibt es nur Apps, die freie Software sind. Da der Quellcode der Apps zur Verfügung steht, ist es hier möglich (und wird auch umgesetzt!), dass aus Apps kritische Komponenten wie Werbung und Tracking entfernt werden, bevor sie im App-Store zur Verfügung gestellt werden. Sind sie noch enthalten, wird hier zumindest darauf hingewiesen, das solche Komponenten enthalten sind.

Aber zum eigentlichen Thema dieses Beitrages:

In einer Studie der TU Braunschweig wurde in über 200 Android Apps aus dem Google-Play Store das Abhörmodul Silverpush entdeckt. Der Anbieter Exodus-Privacy führt „nur“ die folgenden Apps als mit diesem Tracker verseucht: https://reports.exodus-privacy.eu.org/en/trackers/80/

Mit dieser Komponente werden folgende Dinge ermöglicht:

  • Media Tracking
  • Cross-Device Tracking
  • Location Tracking
  • Deanonymisierung

Was bedeutet das?

Spyware mit Ultraschall-Signal in vielen Google-Playstore-Apps weiterlesen

XMPP-Logo

XMPP-Server Prosŏdy auf Raspberry Pi installieren

Auf der Suche nach einer Alternative zu Instant-Messengern wie Threema und Signal bin ich auf XMPP (ehemals Jabber) gestoßen. Warum ich eine Alternative suchte, habe ich in dem Beitrag WhatsApp vs. XMPP erläutert. Es gibt weltweit tausende von XMPP-Servern, die frei zugänglich sind und an denen man sich registrieren kann. Da der Vorteil von XMPP aber gerade dieses föderale Prinzip ist, steht es jedem frei, sich einen eigenen Server zu installieren und dem weltweiten Netz beizutreten. Dabei kann man so einiges lernen. XMPP-Server-Software gibt es verschiedene, ich habe mich nach ein paar Tests aber für Prosody entschieden. Also habe ich mich auf die Suche gemacht, wie man einen solchen Server selbst aufsetzt und bin beim Blog von Thomas Leister fündig geworden.

Nach dessen ausführlicher Anleitung habe ich mir meinen eigenen XMPP-Server installiert. Im Laufe der Installation ergaben sich an der einen oder anderen Stelle ein paar kleine Stolpersteinchen, die ich mit erwähnen will.

XMPP-Server Prosŏdy auf Raspberry Pi installieren weiterlesen

Backupp-Icon

RaspberryPi – Backup im laufenden Betrieb

Ich habe Backups meiner Raspis bisher immer dadurch erstellt, dass ich den Raspberry Pi heruntergefahren habe, die Speicherkarte in meinem Windows-Rechner mit Win32DiskImager ausgelesen und als Imagedatei gespeichert habe. Das ist mit viel manuellem Aufwand verbunden und zeitaufwändig.

Ich habe im großen weiten Netz eine Beschreibung gefunden, wie man solch eine Sicherung auch im laufenden Betrieb erstellen kann. Man sollte nur sicherstellen, dass alle Dienste, die während der Sicherung Daten schreiben könnten, vor dem Backup angehalten werden, damit es nicht zu einem inkonsistenten Zustand kommt und damit das Backup eventuell unbrauchbar wird. RaspberryPi – Backup im laufenden Betrieb weiterlesen

SD-Karte_im_Schraubstock

RaspberryPi-Image verkleinern mit PiShrink

Bisher habe ich in unregelmäßigen Abständen die Speicherkarte meiner Raspberry Pis dadurch gesichert, dass ich den Raspi heruntergefahren, die Speicherkarte herausgenommen, selbige an meinem Windows-Rechner mittels Win32DiskImager ausgelesen und die entstandene Imagedatei auf meinem NAS gespeichert habe. So konnte ich im Notfall diese Imagedatei mittels Win32DiskImager auf eine SD-Karte schreiben und hatte einen älteren Stand des Systems damit griffbereit. Allerdings hat diese Methode ein paar Nachteile:

  1. In der Zeit des Auslesens ist der Raspi natürlich aus und damit nicht verfügbar, da ihm ja sein Betriebssystem zu diesem Zeitpunkt fehlt.
  2. Die entstandene Imagedatei ist genau so groß wie die Speicherkarte selbst, auch wenn große Teile der Speicherkarte keine Daten enthalten. Dieses Backup nimmt also auf meinem NAS unnötig viel Platz weg.
  3. Da die Speicherkarten selbst bei gleicher Speicherangabe geringfügig unterschiedliche Speicherkapazitäten haben, kann es vorkommen, dass die Imagedatei auf eine vermeintlich gleich große Speicherkarte nicht drauf passt.

RaspberryPi-Image verkleinern mit PiShrink weiterlesen

FHEM-House

Installation von FHEM auf einem Raspberry Pi

Warum man sich nicht für die proprietären Smart Home Systeme der ganzen kommerziellen Anbieter entscheiden sollte, habe ich auf der Seite Smart Home – ein Begriff – viele Themen ausführlich beschrieben. Stattdessen kann man mit dem Open Source Hausautomationssystem FHEM eine Lösung schaffen, die datenschutztechnisch wesentlich besser ist. Es setzt natürlich etwas Eigeninitiative voraus. Wie im ersten Teil meiner Schritt-für-Schritt-Anleitung bereits beschrieben, haben wir erst mal ein Betriebssystem (Raspbian) auf dem Raspi installiert, bevor es nun an die eigentliche Installation von FHEM gehen wird. Folgende Schritte werden jetzt kommen:

Installation von FHEM auf einem Raspberry Pi weiterlesen

Windows_ade_Hello_Linux

Der Abschied von Windows steht direkt vor der Tür

Ich habe derzeit noch das schon etwas betagte Windows7 im Einsatz. Allerdings denke ich schon lange ernsthaft darüber nach, auf Linux umzusteigen. Mehrere Anläufe dazu gab es bei mir schon in den letzten Jahren. Allerdings sind in den letzten Monaten immer mehr Informationen aufgetaucht, warum man keinesfalls auf Windows 10 wechseln sollte. Die letzte Information kam heute: (Achtung, die verlinkte Seite strotzt nur so von Skripten zu Werbenetzwerken – am besten nur mit aktiviertem uBlock Origin und uMatrix besichtigen!)

Unter Windows 10 blendet der Explorer (der Datei-Explorer, nicht der Internet-Explorer!) künftig Werbung ein. Microsoft? Geht’s noch? Der Abschied von Windows steht direkt vor der Tür weiterlesen

Dimensionen der Überwachung

Die STASI der DDR wird immer als ein schlimmer Überwachungsapparat in den Medien dargestellt (was er ohne Zweifel war!), aber die Geschichte wird immer von den Gewinnern geschrieben. Und die heutigen Überwachungsorgane sind anders oder besser? Ja besser sind sie in der Überwachung, sie haben heute wesentlich effektivere Methoden und Möglichkeiten, die Daten zu erheben und auch wieder auszuwerten! Dimensionen der Überwachung weiterlesen

Zunge-raus

Selbstverteidigung gegen Werbung im Internet

Werbung – Privatsphäre – Einbrecher

Wenn man sich im Internet bewegt, hinterlässt man überall Datenspuren. Diese können und werden dazu benutzt, den Nutzer zu verfolgen und so viele Informationen über ihn zu sammeln wie nur irgendwie möglich. Die größten bekannten Datenkraken sind sicherlich Google und Facebook. Auch der wohl allen bekannte „Gefällt-mir“-Button von Facebook ist ein sogenannter Tracker (engl.: to track = verfolgen). Da der Button immer direkt vom Facebook-Server geladen wird, weiß Facebook immer, welcher Nutzer sich gerade auf welcher Seite herum treibt, auch wenn die Seite selbst mit Facebook eigentlich nichts zu tun hat. Im laufe der Jahre sind aber noch viele weitere Firmen hinzugekommen. Das perfide an der heutigen Situation ist, dass sich diese Firmen zusammengetan haben und die digitalen Daten mit den analogen Daten aus dem realen Leben (z.B. Payback) zusammentragen. Die Werbefirmen kennen im Laufe der Zeit den Nutzer besser als der eigene Partner oder Freunde. Damit sind die Firmen der Werbeindustrie anschließend in der Lage exakt auf den Nutzer zugeschnittene Werbung auszuliefern. Selbstverteidigung gegen Werbung im Internet weiterlesen

Raspberry Pi - handlich

Raspberry Pi – Betriebssystem installieren

Warum man sich nicht für die proprietären Smart Home Systeme der ganzen kommerziellen Anbieter entscheiden sollte, habe ich auf der Seite Smart Home – ein Begriff – viele Themen ausführlich beschrieben. In den folgenden Beiträgen werde ich die notwendigen Schritte beschreiben, um eine lauffähige FHEM-Installation zu erhalten, mit der man dann seine Hausautomation steuern kann. In diesem Beitrag hier, dem ersten Teil der Artikel-Serie, geht es um die Installation des Betriebssystems auf dem Raspberry Pi. Ist das bereits erledigt, kann man mit dem zweiten Artikel weiterlesen, bei dem es dann um die Installation von FHEM selbst geht.

Um zu beginnen, braucht man natürlich erst mal etwas Hard- und Software. Die Hardware für den ersten Start wäre folgende:

Einkaufsliste

Die aufgeführten Links zum Rasppishop sind nur beispielhaft, ich erhalte keinerlei Provision o.ä. dafür.

Nicht zwingend, aber doch von Vorteil ist auch noch ein Gehäuse für den Raspberry Pi.

Alles zusammen als Paket bekommt man derzeit für einen Gesamtpreis von ca. 60,-€.

Die Gehäuse gibt es in verschiedenen Ausführungen und Farben, je nach Geschmack und Geldbeutel.

Ein Raspberry Pi ist ein sehr handlicher Computer, der üblicherweise erst mal ohne irgendwelche Software darauf geliefert wird. Wenn man ihn dann einfach einschaltet, passiert – NICHTS. Was sollte auch passieren? Damit ein Computer funktioniert, benötigt er ein Programm, das ihm sagt, was er tun soll. Und das fehlt unserem Raspberry Pi noch. Raspberry Pi – Betriebssystem installieren weiterlesen

Telefonnummer wird nur als Hash bei WhatsApp gespeichert

Sowohl bei WhatsApp, aber auch bei anderen Messengern wie Signal wird die eigene Telefonnummer benutzt, um die Person zu identifizieren. Das ist auch der Grund, warum das komplette Telefonbuch eines WhatsApp-Nutzers auf den Server hochgeladen werden muss. Anhänger dieses Vorgehens argumentieren dabei oft, dass die Telefonnummer auf dem Server ja nicht direkt gespeichert wird, sondern nur ein Hashwert davon. Ein Hash-Algorithmus wandelt also einen Eingabewert (die Telefonnummer) in einen anderen Ausgabewert (den Hashwert, der dann gespeichert wird) um. Telefonnummer wird nur als Hash bei WhatsApp gespeichert weiterlesen

whatsapp-conversations

Conversations – der bessere Ersatz für WhatsApp

Inhalt

XMPP – Was ist das?

XMPP ist ein Protokoll, über das Sofortnachrichten ausgetauscht werden – als es 1997 erfunden wurde, hieß es noch Jabber. Auch die wohl allen bekannte App „WhatsApp“ basiert auf diesem Protokoll. Basiert bedeutet dabei, dass WhatsApp ursprünglich das reine XMPP nutzte, im Laufe der Zeit aber so viele gravierenden Änderungen daran vorgenommen hat, das es nun nicht mehr mit dem urspünglichen XMPP kompatibel ist.

Unterschiede zwischen XMPP und WhatsApp

Nutzt man WhatsApp, dann wird man über die Telefonnummer identifiziert. Dadurch sieht man auch sofort, welcher der Kontakte im Telefonbuch auch WhatsApp nutzt.

XMPP funktioniert eher wie E-Mail. Es gibt viele verschiedene Server-Anbieter, bei denen man sich (meist kostenlos) anmelden kann. Man erhält dann eine Adresse in der Form Nutzername@servername.org. Diese Adresse, die genauso aussieht wie eine E-Mail-Adresse heißt bei XMPP Jabber Identifier und wird mit JID abgekürzt. Genauso wie bei E-Mail, kann diese JID nun den Freunden und Kollegen bekannt gegeben werden. Und wie bei E-Mail, können die Freunde und Kollegen ihren XMPP-Account auf völlig anderen Servern haben und trotzdem Nachrichten an eure JID schicken.

Im Gegensatz zu WhatsApp hat man also hier den Nachteil, dass man sich erst einen Server aussuchen und sich dort registrieren muss. Anschließend muss man die Kontodaten und das Passwort in der App eintragen und die Adressdaten mit den potenziellen Kontakten austauschen. Bei WhatsApp ist nach der Installation und dem bekanntgeben der eigenen Telefonnummer alles getan was nötig ist. Welche Datenschutz-Probleme damit einhergehen, steht auf einem anderen Blatt und habe ich zum Beispiel im Artikel „WhatsApp vs. XMPP“ ausführlich beschrieben.

Welche Vorteile bringt XMPP?

  • Man kann den gleichen XMPP-Account auf mehreren Geräten nutzen (und das müssen nicht nur Smartphones sein, sondern es gibt auch Programme für Windows- oder Linux-PCs).
  • Man kann mehrere XMPP-Accounts haben (z.B. einen für Freunde und Familie und einen für die Arbeit [den man zum Feierabend/Wochenende/Urlaub deaktiviert])
  • nicht jeder bekommt die eigene Telefonnummer

 

Welchen Server sollte ich wählen?

Wie bereits erwähnt, gibt es eine riesige Auswahl an XMPP-Servern. Für Neueinsteiger fällt die Wahl da schwer. Unter https://compliance.conversations.im/ ist eine handverlesene Übersicht zu finden, in der auch ein paar gängige Features aufgelistet werden. Ich betreibe seit Anfang 2017 einen eigenen XMPP-Server unter der Adresse neubert.dedyn.io. Wer möchte, und mir sein Vertrauen entgegenbringt, der kann sich gern dort als Nutzer kostenlos anmelden.

Registrierung

Je nach Server gibt es zwei verschiedene Arten, sich auf dem Server zu registrieren. Welche der beiden Möglichkeiten, oder ob beide angeboten werden, hängt vom jeweiligen Server ab.

Webformular

Wie bei vielen anderen Seiten im Netz, bieten auch XMPP-Server oft die Möglichkeit der Registrierung über ein Webformular. Hier erklärt am Beispiel des Servers trashserver.net:

Aufruf der Webseite trashserver.net, dort den Link „Registrieren“ klicken ,

trashserver Registrierung

und in das erscheinende (oben abgebildete) Formular den gewünschten Nutzernamen und das gewählte Passwort eintragen. Nach Lösung der Rechenaufgabe (Schutz vor SPAM-Robots und zu dummen Nutzern ;-)) wird durch Klick auf den Button „Registrieren!“ ein neuer Nutzer-Account auf diesem Server angelegt. Jetzt kann man sich mit der App seiner Wahl an diesem Server anmelden.

InBand-Registirerung

Bei der InBand-Registrierung legt man direkt aus der App heraus einen neuen Nutzer-Account auf dem Server an.

Da sich hier die Vorgehensweisen je nach gewählter App stark unterscheiden, werde ich das hier nur anhand der auch von mir genutzten App Conversations erklären (Conversations – Nutzerkonto einrichten).

Download von Conversations

Conversations ist eine App die für Android-basierte Telefone zur Verfügung steht. Wer im Besitz eines Ei-Fons ist, kann als Alternative Chatsecure nutzen, hier soll es aber ein paar Probleme geben. Ich bin kein Ei-Fon-Nutzer.

Conversations gibt es sowohl im herkömmlichen Google-Playstore – dort für 2,39€ oder auch als kostenlose App im alternativen App-Store F-Droid (um Spenden wird gebeten).

Entscheidet man sich, nicht den Google-Playstore zu nutzen, dann muss man, sofern noch nicht geschehen, in Android die Installation aus fremden Quellen zulassen. Das ist zu erreichen über Einstellungen – Sicherheit – Unbekannte Herkunft.

Warum man besser auf Apps aus F-Droid setzen sollte, habe ich in meinem Artikel Alternativen für Apps aus dem Google Playstore beschrieben.

Conversations – Nutzerkonto einrichten

Nach der Installation der App muss man sich mit seinem Nutzer-Account an seinem gewünschten XMPP-Server anmelden. Wir starten also Conversations.

Conversations Start

Beim erstmaligen Start, wird man automatisch aufgefordert, ein neues Konto zu erstellen. Dazu gibt es entweder die Möglichkeit, ein Konto auf dem Server conversations.im anzulegen (wird nach 6 Monaten kostenpflichtig und kostet 8 € / Jahr) oder man wählt den Punkt „Nutze eigenen Provider“ und wählt einen anderen Server.

Hier trägt man nun seine JID ein, also die Kombination aus gewähltem Nutzernamen und dem zugehörigen XMPP-Server, getrennt durch das Zeichen @. Wenn man bereits vorher über ein Webformular einen Benutzer angelegt hat, dann existiert der Nutzer ja bereits auf dem Server. Dann darf natürlich der Haken „Neues Konto auf Server erstellen“ nicht gesetzt sein, da man den selben Nutzer ein zweites Mal nicht erstellen kann. Da ich hier gerade die InBand-Registrierung beschreibe, muss der Haken aber gesetzt sein, weil der Nutzer ja erst jetzt erstellt werden soll.

Conversations Konto hinzufügen

Hat man seine JID und sein gewähltes Passwort eingetragen, wird nach einem Klick auf „Weiter“ der neue Nutzer auf dem Server angelegt.

Im nächsten Schritt kann man nun noch ein Avatarbild für seinen Nutzer vergeben. Das kann man aber auch später noch nachholen bzw. auch ändern. Ich überspringe diesen Schritt jetzt.

Zugriff auf Kontakte

Bei der erstmaligen Nutzung fragt Android nun nach, ob Conversations auch Zugriff auf die im Telefon gespeicherten Kontakte haben darf. Dieser Zugriff ist nicht zwingend erforderlich – es funktioniert auch ohne dieses Recht. Wenn man allerdings die JIDs seiner Kontakte im Telefonbuch gespeichert hat, dann erleichtert die Freigabe des Zugriffs die Handhabung, denn dann zeigt Conversations diese auch automatisch an.

Zulassen, dass die App Conversations auf deine Kontakte zugreifen darf?

Ablehnen / Zulassen

Batterieoptimierung deaktivieren

Das nächste Recht, das Conversations anfragt ist, die Batterieoptimierung von Android zu deaktivieren. Diese Batterieoptimierung sort dafür, das Android Apps ohne Nachfrage beenden kann, die lange nicht mehr benutzt wurden. Das hätte natürlich zur Folge, das keine Nachrichten mehr ankommen würden, bis man Conversations wieder öffnet. Der Akkuverbrauch von Conversations ist sehr gering, so dass man die Batterieoptimierung für Conversations auf jeden Fall deaktivieren sollte.

Batterieoptimierung aktiv

Dein Telefon wendet Batterieoptimierungen bei Conversations an, welche verspätete Benachrichtigungen oder Nachrichtenverlust verursachen können. Es ist empfehlenswert dies zu deaktivieren.

Weiter

Akkuoptimierung ignorieren?

Darf die App „Conversations“ im Hintergrund verbunden bleiben? Dies erhöht möglicherweise die Akkunutzung.

Nein / Ja

Kontakte hinzufügen

Nach diesem Schritt ist die Installation von Conversations abgeschlossen. Allerdings fehlen noch die Kontakte, um mit diesen Nachrichten auszutauschen.

Dazu klickt man auf das Plus in der oberen rechten Ecke.

Conversations Plus

Hier wählt man erst einmal „Kontakte“ und klickt anschließend auf das Icon mit dem Männchen und dem kleinen Plus.

Conversations Kontakt hinzufügen

Es öffnet sich ein neues Fenster, in dem man die JID (Jabber-ID) des neuen Kontaktes einträgt (z.B. Bob@Server2.de). Sofern man mehrere Konten (auf einem oder mehreren Servern) hat, kann man hier unter „Dein Konto“ auch auswählen, welches davon man nutzen möchte. Im Normalfall ist hier nur ein Eintrag zur Auswahl.

Conversations Kontakt erstellen

Nach dem Klick auf „Erstellen“ öffnet sich bereits das Verlaufs-Fenster für den Chat mit der gewählten Person (im Folgenden Bob). Nun können wir (noch unverschlüsselt) los schreiben oder Bilder schicken oder ein Foto machen oder eine Sprachnachricht aufzeichnen und verschicken.

Der andere Teilnehmer (Bob) wird die Nachricht empfangen und beim ersten Mal die folgende Nachricht erhalten „Der Kontakt hat dich zur Kontaktliste hinzugefügt – mit der Option ‚auch hinzufügen‚“. Sobald Bob den Kontakt (Alice) in seine Kontaktliste hinzugefügt hat, hat er die Möglichkeit zu entscheiden, ob Alice seinen Online-Status sehen darf.  Sobald er das tut, ist es ab diesem Zeitpunkt möglich, die OMEMO-Verschlüsselung zu nutzen (im Chatfenster auf das Schloss tippen und OMEMO wählen).

Update: Ende 2017 wurde ein weiteres XMPP-Feature „erfunden“, welches es ermöglicht, auch dann bereits OMEMO-Verschlüsselung zu aktivieren, wenn die Kontakte sich noch nicht gegenseitig in die Kontaktliste aufgenommen haben. Ist dieses Feature auf dem Server aktiviert, kann man auch sofort mit OMEMO-verschlüsselten Verbindungen starten. Auf neubert.dedyn.io ist dieses Feature bereits aktiviert! 😉

OMEMO ist die Ende-zu-Ende-Verschlüsselung bei XMPP. Diese sorgt dafür, das auch der bzw. die XMPP-Server-Betreiber die Nachrichteninhalte nicht mehr mitlesen können.

Damit sind die Grundlagen zur Kommunikation mit Conversations erklärt. Was noch fehlt, sind ein paar Worte zu

  • Sprachnachrichten-Plugin
  • Standort-Freigabe-Plugin
  • MUCs (Multi-User-Chats), in WhatsApp auch Gruppenchats genannt.

Sprachnachrichten-Plugin

Damit man mit Conversations auch Sprachnachrichten versenden kann, benötigt man ein zusätzliches Plugin. Das findet man

Standort-Freigabe-Plugin

Wenn man seinen aktuellen Standort anderen Chatpartnern mitteilen möchte, dann kann man das mit dem Share-Location-Plugin.

Multi-User-Chat (MUC)

Damit man mit mehreren Kontakten gleichzeitig kommunizieren kann, gibt es sogenannte Multi-User-Chats, kurz MUC. Diese kann jeder auf jedem Server selbst erstellen. In Conversations geht man dazu wie folgt vor: Man klickt wieder auf das Plus in der oberen rechten Ecke.

Conversations Plus

Anschließend wählt man „Gruppenchats“ und klickt danach wieder auf das Männchen mit dem kleinen Plus daneben.

Conversations Kontakt hinzufügen

Im nun erscheinenden Menü würde man intuitiv „Gruppenchat erstellen“ wählen, wenn man einen neuen Gruppenchat erstellen möchte. Kann man auch tun, hat aber den Effekt, das als Name des Chatraums ein kryptischer Name generiert wird.

Conversations MUCs

Wählt man hier stattdessen „Gruppenchat beitreten“, dann kann man entweder einem bereits bestehenden Chat beitreten oder, falls dieser noch nicht existiert, damit auch gleich einen neuen erstellen. Den Namen kann man sich selbst aussuchen. Der Teil hinter dem @ ist vom Server fest vorgegeben und wird auch automatisch vorgeschlagen.

Conversations-MUC beitreten

Nach dem Klick auf „Beitreten“ befindet man sich auch schon in diesem Chat und kann los schreiben. Es fällt auf, dass man hier unverschlüsselt schreibt.

Conversations - Beispielgruppe

Versucht man mittels Klick auf das Schloss im oberen Bereich, eine OMEMO-Verschlüsselung zu aktivieren, wird man feststellen, dass das in diesem Gruppenchat nicht auswählbar ist. Der Grund dafür ist, dass es derzeit ein öffentlich zugänglicher Gruppenchat ist – dazu weiter unten noch etwas mehr.

Conversations Verschlüsselung MUC

Schauen wir uns mal die Eigenschaften dieses Gruppenchats an. Dazu klickt man auf die drei Punkte in der oberen rechten Ecke. In dem aufklappenden Menü wählen wir den ersten Eintrag „Gruppenchatdetails“.

Conversations - Gruppenchatdetails

Es erscheint folgendes Fenster:

Conversations-Gruppenchatdetails

Hier kann man sehen,

  • wer der Eigentümer dieses Gruppenchats ist,
  • ob es ein öffentlich zugänglicher oder ein privater Chat ist
  • ob man bei allen oder nur bei speziell an einen selbst adressierten Nachrichten benachrichtigt werden möchte
  • ob der Chatraum MAM* (Message-Archive-Management) unterstützt
  • mit welchem Konto man in diesem Gruppenchat angemeldet ist

Über „Kontakt einladen“ kann man weitere Nutzer in den Gruppenchat einladen.

Der Eigentümer des Gruppenchats kann die Einstellungen ändern, indem er auf das Zahnrad hinter „öffentlich zugänglicher Gruppenchat“ klickt. Folgende Einstellungen können damit geändert werden:

Conversations-Gruppenchatoptionen

  • Privat, nur Mitglieder: Hier kann man aus dem öffentlichen Gruppenchat einen privaten Chat machen. Das bedeutet, dass nur noch eingeladene Personen diesem Chat beitreten können.
  • Moderiert: Aktiviert man diese Option, dann können Besucher eines öffentlichen Gruppenchats keine eigenen Nachrichten hineinschreiben sondern nur lesen. Mitglieder können sowohl lesen als auch schreiben.
  • De-anonymisiert: Normalerweise sind die Kontaktadressen in einem Gruppenchat nicht für die anderen Teilnehmer/Besucher sichtbar. Aktiviert man diese Option, dann können alle alle anderen Kontaktadressen in diesem Gruppenchat sehen

In einem Gruppenchat ist die Ende-zu-Ende-Verschlüsselung OMEMO normalerweise nicht verfügbar. Hintergrund ist, dass man von jedem Teilnehmer des Gruppenchats den öffentlichen Schlüssel benötigen würde – und das können sehr viel werden, je nach dem, wieviele Teilnehmer solch ein Chat hat. Außerdem ist es zumindest bei öffentlichen Gruppenchats nicht sehr sinnvoll, denn ein potenzieller Mithörer braucht einfach nur dem Gruppenchat beizutreten. Allerdings gibt es Entwicklungen, das selbst das zukünftig in Gruppenchats möglich werden wird. Der XMPP-Server muss das dann unterstützen.

Update: Auf neubert.dedyn.io ist es seit Ende 2017 möglich, in privaten Gruppenchats auch OMEMO-verschlüsselt zu kommunizieren!


*MAM – Message-Archive-Management

In Gruppenchats besteht das Problem, das nicht immer alle online sind und dementsprechend Nachrichten verpassen könnten. Damit solche Teilnehmer die Chance bekommen, auch die während ihrer Abwesenheit geschriebenen Nachrichten lesen zu können, gibt es MAM. Das sorgt dafür, dass die Nachrichten, die während ihrer Abwesenheit geschrieben werden auf dem XMPP-Server zwischengespeichert werden. Kommt der Kontakt wieder online, werden die zwischengespeicherten Nachrichten zugestellt und vom Server gelöscht. Dieses Feature muss der Server bereitstellen (nicht alle unterstützen das – neubert.dedyn.io allerdings schon 😉 ).

Warum ich nicht über WhatsApp erreichbar bin

Warum ich nicht per WhatsApp erreichbar bin, erkläre ich hier genauer.

Hier nur ein paar Stichpunkte:

  • WhatsApp ist nicht kostenlos. Es kostet dich deine Privatsphäre!
  • WhatsApp ist nicht Open-Source, nur bei Open-Source kann man prüfen, ob nicht doch Hintertüren eingebaut sind, die die Privatsphäre bedrohen. Bei Closed-Source muss man den Versprechungen des Herstellers vertrauen.
  • Es gibt Alternativen, die von der Bedienung genauso gut sind und den Datenschutz beachten. Was derzeit noch fehlt sind genügend Nutzer.
  • WhatsApp gehört Facebook und Facebook ist ein intransparenter Monopolist der mit den Nutzerdaten Milliarden Gewinne einfährt.
  • Vorangehen lohnt sich – auch wenn es manche nicht glauben mögen, es gibt ein Leben ohne WhatsApp.

Und ich empfehle jedem, sich Gedanken zu machen, womit Facebook sein Geld verdient und ob einem der Verzicht auf die eigene Privatsphäre eine „kostenlose“ App wert ist.

Meine Empfehlung: Nutzt Open-Source-Messenger die ein offenes Protokoll verwenden, wie Conversations (Android), Chatsecure (iOS) oder Gajim (Windows/Linux). Weitere Details dazu findet ihr unter WhatsApp-vs-XMPP bzw. auch hier Conversations, der bessere Ersatz für WhatsApp.