Schlagwort-Archive: freie Software

Zwiebel

Tor Browser für Android

Um anonym im Internet zu surfen, gibt es für herkömmliche Computer schon lange den Tor Browser. Nun ist dieser in einer ersten Alpha-Version auch für Android erhältlich.

Nutzer, die Wert auf ihre Privatsphäre legen, werden den Tor Browser dann wohl nicht über den Google-Spy-Store installieren, sondern stattdessen die APK-Datei direkt von der Homepage des Tor Projects laden.

Über das Guardian-Repository innerhalb von F-Droid ist die gleiche APK-Datei wie von der Homepage des Tor Projektes installierbar. Der Vorteil des Ladens über F-Droid ist, das man über eventuell vorhandene Updates informiert wird.

Das Guardian-Repository wird aktiviert, indem man in F-Droid –>  Optionen –> Paketquellen antippt  und dort den Eintrag für Guardian Project Official Releases aktiviert. Nach einer Aktualisierung der Paketquellen stehen die Apps aus diesem Repository zur Installation bereit.

F-Droid-Optionen

F-Droid Paketquellen

Update 05.12.2018 Seit Version 8.5a5 wird die separate App Orbot nicht mehr benötigt, um mit dem Tor-Browser im Internet zu surfen. Sie ist nun in den Tor-Browser integriert. Allerdings können andere Apps noch nicht das integrierte Orbot nutzen. Will man also auch andere Apps über das Tor-Netz benutzen, benötigt man immer noch die im nächsten Abschnitt erwähnte App Orbot.

Damit Tor auf dem Smartphone funktioniert, ist zusätzlich die App Orbot notwendig, die sozusagen die Verbindung ins Tor Netzwerk herstellt. Auch Orbot gibt es im Google-Spy-Store und bei F-Droid.

Beachtet bitte, dass die Nutzung von Tor allein nicht dafür sorgt, dass man anonym bleibt. So darf man sich zum Beispiel niemals mit einem Nutzer-Account auf Webseiten anmelden, denn durch die Anmeldung ist man natürlich nicht mehr anonym. Am Besten, ihr lest mal den interessanten Artikel Das 3-Browser-Konzept auf Kuketz-Blog.de.

Spionage

Wie verseucht ist dein Smartphone?

Ich habe im F-Droid-App-Store ein weiteres Repository (Quelle für Apps) hinzugefügt. Diese Quelle ist https://android.izzysoft.de/repo.

Demnach kann ich nun über die F-Droid-App nicht nur Apps aus dem Standard-F-Droid-Repository laden, sondern eben auch von android.izzysoft.de.

Von diesem Repository habe ich mir dann mal eine Alternative zu Yalp installiert, nämlich die App Aurora, über die man Apps aus dem Google Spystore laden kann, ohne einen Google-Account oder gar die Google-Apps auf dem Smartphone installiert zu haben. Vor dem Download von Apps über Aurora bekommt man allerdings angezeigt, ob die App möglicherweise Tracker beinhaltet und welche Rechte sie bei der Installation einfordern wird. Natürlich war ich neugierig, woher diese Informationen kommen. Dabei bin ich auf die Seite

https://reports.exodus-privacy.eu.org/

gestoßen. Hier kann man also im Browser den Namen einer App eintragen und bekommt als Ergebnis die Anzeige, wieviele (und nach einem weiteren Klick auch welche) Tracker in der jeweiligen App enthalten sind. Wenn man das nun mal für die häufig verwendeten Apps auf seinem Smartphone tut, bekommt der eine oder andere vielleicht tränende Augen und deinstalliert die eine oder andere App.

Hier nur ein paar Beispiele von Apps, die viele auf ihrem Smartphone haben (ich nicht! 😉 ):

2048 2048 Cirulli AccuWaether Angry Birds Bild.de Clever-Tanken.de FAZ Flashlight LED Flashlight GMX Mail Instagram McDonalds Microsoft Outlook für Android Pizza Hut Snapchat Spiegel Online SZ Tagesschau.de Web.de Mail Wetter.com WhatsApp Youtube

Warum es ein Problem ist, wenn einem auf Schritt und Tritt Tracker hinterherspionieren, hat Mike Kuketz in seinem Artikel „Das kranke WWW: Stop using Google Web-Services“ beschrieben.

Das es aber selbst im Google Spystore Apps gibt, die keine Tracker beinhalten, ist schon fast erstaunlich. Allerdings sind diese Apps auch allesamt im F-Droid-Store zu finden. Somit bräuchte man den Google-App-Store nicht:

Na – wer überlegt jetzt, ob er die eine oder andere App wieder deinstalliert? Sicherlich nur die, die verstanden haben, das Tracking eben keine kleine Sache ist, sondern damit Tür und Tor für einen absolut gläsernen Menschen geöffnet wird. Nachdenken! – bei Bedarf fragen! – Handeln! JETZT!

 

Chat

Freie Messenger – Warum? Weshalb? Wieso?

Ich versuche ja seit einiger Zeit, meine Besucher davon zu überzeugen, dass die Nutzung von Messengern wie WhatsApp, Signal, Threema oder auch Telegram hinsichtlich Datenschutz nicht gut ist. Die Gründe dafür habe ich in diversen Artikeln (Conversations – der bessere Ersatz für WhatsApp, Warum ich nicht über WhatsApp erreichbar bin, sichere Kommunikation mit XMPP …) dargelegt. Inzwischen gibt es eine eigene Webseite, die sich mit genau diesem Thema befasst:

https://freie-messenger.de

Hier werden noch einmal von vorn bis hinten die Vor- und Nachteile und die Gründe für eine Nutzung freier Messenger dargelegt. Optisch ist die Seite vielleicht noch etwas ausbaufähig – inhaltlich finde ich sie aber sehr gut.

Mozilla Common Voice

kein Amazon Alexa oder Google Home – Sprachsteuerung ohne Cloud

Die meisten Mitmenschen gehen bekanntermaßen mit ihrer eigenen Privatsphäre sehr unbedacht um. Das erkennt man daran, dass sie sich den allseits beliebten Messenger WhatsApp auf ihrem Smartphone installieren und dabei den AGB’s meist ungelesen oder zumindest achselzuckend zustimmen. Das dieser Messenger ab diesem Zeitpunkt Zugriff auf das komplette Kommunikationsverhalten des Smartphonebesitzers hat (mit wem?, wann?, wie lange?, wo war der Standort? – und darunter fällt also auch das herkömmliche telefonieren und SMS schreiben – nicht nur das chatten innerhalb von WhatsApp!), scheint den meisten völlig egal zu sein. Viel schlimmer ist allerdings, dass diese Mitmenschen nicht nur ihre eigene Privatsphäre wegwerfen, sondern auch noch die Telefonnummern aller in deren Adressbuch befindlichen Kontakte ungefragt auf den Server einer amerikanischen Firma laden, die mehrfach bewiesen hat, dass sie nicht auf die von ihren Kunden – äh, sorry! – Produkten* gesammelten Daten aufpassen kann (siehe z.B. Skandal Cambridge Analytica).

*Wenn du nichts dafür bezahlst, bist du nicht der Kunde, sondern das Produkt!

Zur Zeit existiert ein weiterer Hype, nämlich sich für teures Geld Abhörwanzen in die Wohnung zu holen um sich (und ahnungslose Besucher!) permanent abhören zu lassen. Auch wenn Amazon und Google behaupten, die in der Umgebung geführten Unterhaltungen würden erst ab einem Schlüsselwort (Alexa bzw. OK, Google) in die Cloud übertragen, um dort analysiert zuwerden, so frage ich mich. „Wer will und kann das prüfen?“. Und es gab inzwischen auch schon nachweisbar Vorfälle, in denen die Abhörwanze leider versehentlich glaubte, sie wäre angesprochen worden und dann vertrauliche Gespräche in die Cloud geschickt hat. Man sollte sich heute tatsächlich angewöhnen, wenn man bei Unbekannten zu Besuch kommt, nach dem üblichen „Guten Tag!“ noch ein „Alexa, bestell bitte 100 Dosen Ravioli!“ hinterherzuwerfen. Wenn die Gastgeber dann hektisch werden, weiß man, dass man in einem überwachten Bereich ist und sollte sich entsprechend verhalten.

Warum erzähle ich das alles? Nun – ich halte die Idee, Computer oder Smart Homes per Sprachbefehl zu steuern für sehr interessant. Es würde mir gefallen, wenn mein FHEM eines Tages auf Zuruf all die Dinge machen würde, die ich derzeit noch per Tastendruck, Bildschirmklick oder Messenger-Befehl auslöse. Aber bitte ohne Cloud! Wenn, dann sollte die Verarbeitung dieser Sprachnachrichten innerhalb meiner vier Wände stattfinden. Und genau dieses Projekt gibt es bereits. Die Mozilla Foundation hat damit begonnen, die ersten Schritte in diese Richtung zu gehen. Das Projekt heißt Mozilla Common Voice und ich erhoffe mir davon in absehbarer Zukunft eine Sprachsteuerung, die ich ohne Datenschutz-Bedenken zum Einsatz bringen kann. Wer etwas dazu beitragen möchte, kann sich an dem Projekt beteiligen und Sprachaufnahmen abliefern oder bereits aufgenommene Sprachaufnahmen auf ihre Korrektheit verifizieren.

 

Tastatur

Tastatur mit Swype-Unterstützung

Da ich für mein googlefreies Android-Smartphone auf der Suche nach einer spionagefreien Tastatur war, die swypen unterstützt – also das Schreiben des Textes durch den ununterbrochenen Wisch über die Tastatur – habe ich mich auf die Suche begeben – und bin fündig geworden. Wichtig war mir, dass es eine OpenSource-App ist, denn schließlich vertraut man seiner Tastatur vertrauliche und intime Dinge wie zum Beispiel Passwörter an – und nur bei OpenSource hat man die Möglichkeit nachzuprüfen, ob alles mit Rechten Dingen zugeht.

Die Tastatur AnySoftKeyboard gibt es prinzipiell auch im F-Droid-Store zum Herunterladen. Allerdings unterstützt diese Version (noch?) nicht das swypen. Es gibt allerdings bereits eine Beta-Version davon, die dieses beliebte Feature beinhaltet. Herunterladen kann man sie unter folgendem Link: https://github.com/AnySoftKeyboard/AnySoftKeyboard/issues/264. Dort nach ganz unten gescrollt, findet sich ein Link zu: https://2667-4063516-gh.circle-artifacts.com/0/apks/debug/app-debug.apk

Sollte man zuvor bereits aus dem F-Droid-Store die Tastatur AnySoftKeyboard installiert haben, schlägt die Installation der Beta-Version fehl. Also erst die offizielle AnySoftKeyboard-App deinstallieren und dann die Beta-Version installieren.

Funktionieren tut sie, allerdings ist die Worterkennung nach den ersten Testversuchen noch nicht so toll. Aber ich hoffe, dass der selbstlernende Algorithmus im Laufe der Zeit die Trefferquote erhöht und ein nachträgliches Korrigieren der erkannten Wörter immer seltener notwendig wird.

 

Netzwerke

Warum Privatsphäre mehr ist als Verschlüsselung

Ich bin im Internet auf eine interessante Seite gestoßen, die das Thema Privatsphäre und Verschlüsselung etwas eingehender beleuchtet. Da diese nur auf englisch und französich verfügbar ist, habe ich sie mal ins deutsche übersetzt, damit auch diejenigen unter euch, die des englischen nicht mächtig sind, die Chance haben, es zu lesen und sich damit auseinander zu setzen.

Hier ist der Link zur ursprünglichen Seite:

https://hannes.hauswedell.net/post/2016/05/31/why-privacy-is-more-than-crypto/ Warum Privatsphäre mehr ist als Verschlüsselung weiterlesen

prosody

sichere Kommunikation mit XMPP

Heute habe ich auf meinem XMPP-Server neubert.dedyn.io eine weitere Funktion hinzugefügt, die eine sichere Kommunikation weiter forciert. Mit dem Prosody-Modul mod_e2e_policy kann man einstellen, wie sich der Server hinischtlich Ende-zu-Ende-Verschlüsselung verhalten soll. Bisher war es so, dass ich zwar empfohlen habe, dass man die Ende-zu-Ende-Verschlüsselung OMEMO aktivieren sollte, jeder Nutzer konnte diesen Hinweis aber in den Wind schießen und trotzdem unverschlüsselt kommunizieren. Seit heute ist das anders. Nun bekommt jeder Nutzer auf neubert.dedyn.io einen Hinweis bei jeder unverschlüsselt gesendeten Nachricht, dass es sicherer sei, die Ende-zu-Ende-Verschlüsselung OMEMO zu aktivieren. Ich gehe davon aus, dass diese Nachrichten so nervig sind, dass man lieber die zwei Klicks in der Oberfläche von Conversations macht und OMEMO aktiviert, als bei jeder weiteren Nachricht wieder genervt zu werden (weitere Details zur Einrichtung von Conversations sind im Beitrag Conversations – der bessere Ersatz für WhatsApp zu finden).

Ich könnte den Server auch so einstellen, dass unverschlüsselte Nachrichten gar nicht mehr versandt werden. Allerdings weiß ich aus anderen Quellen, dass es derzeit noch Probleme mit XMPP-Clients gibt, die unter iOS laufen (beim Namen genannt Chatsecure). Damit diese Nutzer nicht völlig von der Kommunikation ausgeschlossen werden, habe ich die Servereinstellungen derzeit noch nicht so hart eingestellt. Aber was nicht ist, kann ja noch kommen 😉

mobilsicher-fs8

gute Apps – schlechte Apps – mal ein paar andere Tests als üblich

Im Internet gibt es jede Menge Webseiten, die Apps für mobile Geräte testen und die Ergebnisse dann präsentieren. Meist wird dabei vor allem getestet, wie gut die App das tut, wofür sie (aus Sicht des unbedarften Nutzers) programmiert wurde. Auf mobilsicher.de hingegen, wird getestet, was im Hintergrund passiert. Und die Ergebnisse sind leider viel zu oft katastrophal. Leider interessiert das unsichtbare Funktionieren im Hintergrund den Normalnutzer offenbar wenig, sonst würden die Nutzerzahlen bei vielen Apps nicht so hoch sein.

Jeder, der etwas auf Datenschutz und Privatsphäre bedacht ist, sollte sich beim Installieren von Apps Gedanken machen, was die App genau tut, welche Rechte sie einfordert und wohin sie welche Daten versendet bzw. versenden könnte.

Bekannte Apps, die bei Tests von mobilsicher.de negativ aufgefallen sind, sind unter anderem:

Am besten ihr seht euch selbst mal dort um auf mobilsicher.de.

Im Allgemeinen kann ich sagen, sollte man lieber Apps aus dem App-Store F-Droid benutzen. Diese werden auf problematische Features überprüft und gegebenenfalls verbessert, indem kritische Teile ausgebaut werden. So zum Beispiel die Spiele-App 2048. Die gibt es sowohl als problematische App im Google-Play-Store als auch als bereinigte Version im F-Droid-Store.

Searx-or8

Suchmaschine mit Respekt vor Privatsphäre

Ich habe heute ein eigene Instanz der Suchmachine Searx (leider derzeit nur in der englischen Wikipedia beschrieben) auf meinen Server installiert. Wer also zukünftig Google den Rücken kehren will und stattdessen eine Suchmaschine nutzen möchte, die den Suchenden nicht verfolgt und nicht protokolliert, was wann gesucht wurde, kann neben solchen Alternativen wie Metager, StartPage oder DuckDuckGo eben auch meine Instanz von Searx nutzen. Wie man solch eine Suchmaschine zu seinem Browser (Firefox) hinzufügt, habe ich in meinem Artikel Standard-Suchmaschine ändern bereits beschrieben.

emoticon-1611718_640-or8

Sicherheit erhöhen – fail2ban installieren und einrichten

WIr haben in den vorherigen Beiträgen (SSH-Schlüssel einrichten und HTTPS und Authentifizierung) schon einiges getan, um ungebetene Gäste von unserem Raspberry Pi fernzuhalten. Leider gibt es in dem großen Haifischbecken namens Internet immer wieder auch Personen, die offenbar nichts besseres zu tun haben, als aus den unterschiedlichsten Gründen in fremde Computersysteme einzudringen. Sei es, um Informationen zu extrahieren und damit die eigene Webseite zu schmücken oder um den Onlineshop der Konkurrenz nach Preisen abzufragen und damit die eigenen Preise auf dem Laufenden zu halten oder auch einfach nur um zu testen, wie gut oder schlecht ein System abgesichert ist. All diese Dinge werden üblicherweise von sogenannten Bots, also Computerprogrammen, die, einmal programmiert, automatisch auf die Suche gehen und nach Opfern suchen, ausgeführt.

Was wir also brauchen ist ein Werkzeug, das solche ungebetenen Gäste von den gewünschten anhand ihres Verhaltens oder auch ihrer Kennung unterscheiden und aussperren kann. Solch ein Werkzeug gibt es. Es heißt fail2ban. Sicherheit erhöhen – fail2ban installieren und einrichten weiterlesen