Schlagwort-Archive: Überwachung

Zwiebel

Tor Browser für Android

Um anonym im Internet zu surfen, gibt es für herkömmliche Computer schon lange den Tor Browser. Nun ist dieser in einer ersten Alpha-Version auch für Android erhältlich.

Nutzer, die Wert auf ihre Privatsphäre legen, werden den Tor Browser dann wohl nicht über den Google-Spy-Store installieren, sondern stattdessen die APK-Datei direkt von der Homepage des Tor Projects laden.

Über das Guardian-Repository innerhalb von F-Droid ist die gleiche APK-Datei wie von der Homepage des Tor Projektes installierbar. Der Vorteil des Ladens über F-Droid ist, das man über eventuell vorhandene Updates informiert wird.

Das Guardian-Repository wird aktiviert, indem man in F-Droid –>  Optionen –> Paketquellen antippt  und dort den Eintrag für Guardian Project Official Releases aktiviert. Nach einer Aktualisierung der Paketquellen stehen die Apps aus diesem Repository zur Installation bereit.

F-Droid-Optionen

F-Droid Paketquellen

Update 05.12.2018 Seit Version 8.5a5 wird die separate App Orbot nicht mehr benötigt, um mit dem Tor-Browser im Internet zu surfen. Sie ist nun in den Tor-Browser integriert. Allerdings können andere Apps noch nicht das integrierte Orbot nutzen. Will man also auch andere Apps über das Tor-Netz benutzen, benötigt man immer noch die im nächsten Abschnitt erwähnte App Orbot.

Damit Tor auf dem Smartphone funktioniert, ist zusätzlich die App Orbot notwendig, die sozusagen die Verbindung ins Tor Netzwerk herstellt. Auch Orbot gibt es im Google-Spy-Store und bei F-Droid.

Beachtet bitte, dass die Nutzung von Tor allein nicht dafür sorgt, dass man anonym bleibt. So darf man sich zum Beispiel niemals mit einem Nutzer-Account auf Webseiten anmelden, denn durch die Anmeldung ist man natürlich nicht mehr anonym. Am Besten, ihr lest mal den interessanten Artikel Das 3-Browser-Konzept auf Kuketz-Blog.de.

e-mail

Wie vertrauenswürdig ist dein E-Mail-Anbieter ?

E-Mail ist neben den üblichen Instant-Messengern heutzutage immer noch ein beliebter Weg, um untereinander Nachrichten auszutauschen. Da E-Mail ein offenes Protokoll ist, gibt es viele Anbieter, die miteinander mehr oder weniger in Konkurrenz stehen. Doch wie sicher erfolgt eigentlich die Kommunikation zwischen den Servern. Da sind offensichtlich große Unterschiede zu finden.

Auf der Webseite https://mecsa.jrc.ec.europa.eu/ kann man seine E-Mail-Adresse eingeben und bekommt anschließend für den eigenen Provider das Testergebnis zurück gemailt.

Hier eine kleine Übersicht der Ergebnisse von großen Anbietern:

E-Mail-Anbieter-Ergebnisse

Und hier die Links zu den Quellen (Stand September 2018):

mailbox.org  dismail.de  posteo.de  gmx.de  gmail.com  web.de  1&1

Wie gesagt, es ist nur eine kleine Auswahl. Wer seinen E-Mail-Anbieter hier nicht findet, kann sich über https://mecsa.jrc.ec.europa.eu/ einen Testbericht zu seinem eigenen Provider zumailen lassen.

Hier ein paar Auszüge aus dem Privacy-Handbuch:

Web.de und GMX.de sammeln bei der Registrierung zuviele Daten: Anrede, Vor- und Nachname, Land, PLZ und Ort, Straße und Hausnummer, optional ist nur die Mobilfunknummer für Passwortwiederherstellung.

Mit der Registrierung erklärt man sich damit einverstanden, dass die Daten für Marketing-Zwecke verwendet werden. Die Daten werden an den Mutterkonzern übermittelt und mit anderen verbundenen Unternehmen geteilt. Außerdem werden die Daten für postalische Werbung genutzt, sie werden für Markt- und Meinungsforschung genutzt und Non-Profit Organisationen für Werbung zur Verfügung gestellt. (Falls man sich schon öfters mal gefragt hat, woher Meinungs­forschungs­institute die eigene Telefon­nummer haben….)

Der EmailPrivacyTest zeit, dass Web.de und GMX.de bei der Nutzung des Web-GUI nicht gegen Tracking Elemente in E-Mails schützen und ermöglichen es damit vielen Diensten, die Nutzer beim Lesen zu beobachten. Web.de setzt selbst HTML-Wanzen in den eigenen Newslettern ein (3 Tracking Wanzen in jedem Newsletter) und trackt damit die Lesegewohnheiten der Nutzer.

gmail.com ist von Google – und die sind ja nun mal bekannt dafür, alles an Daten einzusammeln, was geht. Deshalb sollte man weder einen GMail-Account besitzen, noch sollte man mit solchen Accounts kommunizieren.

posteo.de hat sich leider auch disqualifiziert, indem es auf berechtigte Kritik an dem von ihnen eingesetzten Verschlüsselungsverfahrens nicht etwa das Verschlüsselungsverfahren verbessert hat, sondern Anwälte losgeschickt hat, die die Kritiker mundtot machen sollten. Inzwischen scheint das technische Problem behoben zu sein – ein bitterer Nachgeschmack bleibt.

Vielleicht sollte der eine oder andere mal nachdenken, ob sein „kostenloses“ E-Mail-Konto (also eines für das man nicht mit Geld bezahlt! – kostenlos ist nichts auf der Welt!) noch zeitgemäß ist, oder ob man eventuell für 1,- € pro Monat ein werbefreies E-Mail-Konto bei einem Anbieter seines Vertrauens einrichten sollte!?

 

Spionage

Wie verseucht ist dein Smartphone?

Ich habe im F-Droid-App-Store ein weiteres Repository (Quelle für Apps) hinzugefügt. Diese Quelle ist https://android.izzysoft.de/repo.

Demnach kann ich nun über die F-Droid-App nicht nur Apps aus dem Standard-F-Droid-Repository laden, sondern eben auch von android.izzysoft.de.

Von diesem Repository habe ich mir dann mal eine Alternative zu Yalp installiert, nämlich die App Aurora, über die man Apps aus dem Google Spystore laden kann, ohne einen Google-Account oder gar die Google-Apps auf dem Smartphone installiert zu haben. Vor dem Download von Apps über Aurora bekommt man allerdings angezeigt, ob die App möglicherweise Tracker beinhaltet und welche Rechte sie bei der Installation einfordern wird. Natürlich war ich neugierig, woher diese Informationen kommen. Dabei bin ich auf die Seite

https://reports.exodus-privacy.eu.org/

gestoßen. Hier kann man also im Browser den Namen einer App eintragen und bekommt als Ergebnis die Anzeige, wieviele (und nach einem weiteren Klick auch welche) Tracker in der jeweiligen App enthalten sind. Wenn man das nun mal für die häufig verwendeten Apps auf seinem Smartphone tut, bekommt der eine oder andere vielleicht tränende Augen und deinstalliert die eine oder andere App.

Hier nur ein paar Beispiele von Apps, die viele auf ihrem Smartphone haben (ich nicht! 😉 ):

2048 2048 Cirulli AccuWaether Angry Birds Bild.de Clever-Tanken.de FAZ Flashlight LED Flashlight GMX Mail Instagram McDonalds Microsoft Outlook für Android Pizza Hut Snapchat Spiegel Online SZ Tagesschau.de Web.de Mail Wetter.com WhatsApp Youtube

Warum es ein Problem ist, wenn einem auf Schritt und Tritt Tracker hinterherspionieren, hat Mike Kuketz in seinem Artikel „Das kranke WWW: Stop using Google Web-Services“ beschrieben.

Das es aber selbst im Google Spystore Apps gibt, die keine Tracker beinhalten, ist schon fast erstaunlich. Allerdings sind diese Apps auch allesamt im F-Droid-Store zu finden. Somit bräuchte man den Google-App-Store nicht:

Na – wer überlegt jetzt, ob er die eine oder andere App wieder deinstalliert? Sicherlich nur die, die verstanden haben, das Tracking eben keine kleine Sache ist, sondern damit Tür und Tor für einen absolut gläsernen Menschen geöffnet wird. Nachdenken! – bei Bedarf fragen! – Handeln! JETZT!

 

Chat

Freie Messenger – Warum? Weshalb? Wieso?

Ich versuche ja seit einiger Zeit, meine Besucher davon zu überzeugen, dass die Nutzung von Messengern wie WhatsApp, Signal, Threema oder auch Telegram hinsichtlich Datenschutz nicht gut ist. Die Gründe dafür habe ich in diversen Artikeln (Conversations – der bessere Ersatz für WhatsApp, Warum ich nicht über WhatsApp erreichbar bin, sichere Kommunikation mit XMPP …) dargelegt. Inzwischen gibt es eine eigene Webseite, die sich mit genau diesem Thema befasst:

https://freie-messenger.de

Hier werden noch einmal von vorn bis hinten die Vor- und Nachteile und die Gründe für eine Nutzung freier Messenger dargelegt. Optisch ist die Seite vielleicht noch etwas ausbaufähig – inhaltlich finde ich sie aber sehr gut.

prosody

sichere Kommunikation mit XMPP

Heute habe ich auf meinem XMPP-Server neubert.dedyn.io eine weitere Funktion hinzugefügt, die eine sichere Kommunikation weiter forciert. Mit dem Prosody-Modul mod_e2e_policy kann man einstellen, wie sich der Server hinischtlich Ende-zu-Ende-Verschlüsselung verhalten soll. Bisher war es so, dass ich zwar empfohlen habe, dass man die Ende-zu-Ende-Verschlüsselung OMEMO aktivieren sollte, jeder Nutzer konnte diesen Hinweis aber in den Wind schießen und trotzdem unverschlüsselt kommunizieren. Seit heute ist das anders. Nun bekommt jeder Nutzer auf neubert.dedyn.io einen Hinweis bei jeder unverschlüsselt gesendeten Nachricht, dass es sicherer sei, die Ende-zu-Ende-Verschlüsselung OMEMO zu aktivieren. Ich gehe davon aus, dass diese Nachrichten so nervig sind, dass man lieber die zwei Klicks in der Oberfläche von Conversations macht und OMEMO aktiviert, als bei jeder weiteren Nachricht wieder genervt zu werden (weitere Details zur Einrichtung von Conversations sind im Beitrag Conversations – der bessere Ersatz für WhatsApp zu finden).

Ich könnte den Server auch so einstellen, dass unverschlüsselte Nachrichten gar nicht mehr versandt werden. Allerdings weiß ich aus anderen Quellen, dass es derzeit noch Probleme mit XMPP-Clients gibt, die unter iOS laufen (beim Namen genannt Chatsecure). Damit diese Nutzer nicht völlig von der Kommunikation ausgeschlossen werden, habe ich die Servereinstellungen derzeit noch nicht so hart eingestellt. Aber was nicht ist, kann ja noch kommen 😉

Maske

Nichts zu verbergen?

Für alle, die von sich behaupten, nichts zu verbergen zu haben, habe ich hier einen Link zu einem Dokumentarfilm, den man mal gesehen haben sollte (die anderen dürfen sich den Film natürlich auch gern ansehen 🙂 ). Dann wird vielleicht dem einen oder anderen bewusst, welche Informationen man da im täglichen Leben bewusst und noch viel mehr unbewusst preisgibt:

nothingtohide-poster-01-860x484-or8Laufzeit ca. 1,5 Stunden!

mobilsicher-fs8

gute Apps – schlechte Apps – mal ein paar andere Tests als üblich

Im Internet gibt es jede Menge Webseiten, die Apps für mobile Geräte testen und die Ergebnisse dann präsentieren. Meist wird dabei vor allem getestet, wie gut die App das tut, wofür sie (aus Sicht des unbedarften Nutzers) programmiert wurde. Auf mobilsicher.de hingegen, wird getestet, was im Hintergrund passiert. Und die Ergebnisse sind leider viel zu oft katastrophal. Leider interessiert das unsichtbare Funktionieren im Hintergrund den Normalnutzer offenbar wenig, sonst würden die Nutzerzahlen bei vielen Apps nicht so hoch sein.

Jeder, der etwas auf Datenschutz und Privatsphäre bedacht ist, sollte sich beim Installieren von Apps Gedanken machen, was die App genau tut, welche Rechte sie einfordert und wohin sie welche Daten versendet bzw. versenden könnte.

Bekannte Apps, die bei Tests von mobilsicher.de negativ aufgefallen sind, sind unter anderem:

Am besten ihr seht euch selbst mal dort um auf mobilsicher.de.

Im Allgemeinen kann ich sagen, sollte man lieber Apps aus dem App-Store F-Droid benutzen. Diese werden auf problematische Features überprüft und gegebenenfalls verbessert, indem kritische Teile ausgebaut werden. So zum Beispiel die Spiele-App 2048. Die gibt es sowohl als problematische App im Google-Play-Store als auch als bereinigte Version im F-Droid-Store.

Privacy-fs8

Wie ist es um die Privatsphäre beim Besuch einer Webseite bestellt?

Mit jedem Klick im Internet hinterlassen wir Spuren. Welche das sind, und wie viel davon, das wissen die wenigsten. Es kommt natürlich auch ganz auf die Webseite an, auf der man sich gerade befindet. Wer wissen will, wie gut oder schlecht eine Webseite die Daten der Besucher behandelt, der sollte mal die Seite

webbkoll.dataskydd.net

aufrufen. Hier kann man jede Webseite auf ihre „Gesprächigkeit“ hin testen. Ein paar Englischkenntnisse sind allerdings Voraussetzung (oder alternativ auch schwedisch 🙂 )um die Ergebnisse verstehen zu können.

Wer wissen will, wie es um den Datenschutz auf diesem Blog steht, der kann auch gleich hier klicken https://webbkoll.dataskydd.net/en/results?url=ingolfneubert.diskstation.org (und sich das Ausfüllen des Formulars mit „ingolfneubert.diskstation.org“ und klick auf „Check“ ersparen).