Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 21 2014

sicherheitstest.bsi.de – Wenn die DoS-Attacke aus der eigenen Bevölkerung kommt…

Heute morgen wurde vom BSI (Bundesamt für Sicherheit in der Informationstechnik) die Mitteilung veröffentlicht, es seien circa 16 Millionen kompromittierte Nutzerkonten entdeckt worden. Das heißt, zu den jeweiligen Online-Accounts sind Nutzername, E-Mail-Adresse und Passwort in die falschen Hände gelangt. Die E-Mail-Adressen der betroffenen Accounts seien dem BSI “übergeben” worden, von wo wurde nicht bekannt gegeben.

Netterweise bot die Behörde die Möglichkeit, abzugleichen, ob man selbst zu den Betroffenen gehört, indem man auf der Seite www.sicherheitstest.bsi.de seine Mail-Adresse eingibt. Bekommt man eine Antwort, befindet sich die Adresse unter den kompromittierten. Nach der Adresseingabe bekommt man noch einen vierstelligen Code, der sich auch im Betreff der Mail wiederfinden muss – nur zur Sicherheit.

Apropos Sicherheit. Die erzeugt auch das Kreuzchen, dass man machen muss, um zu versichern, dass man nicht die Mailadresse seines Nachbarn testen lässt.

Ich bin damit einverstanden, dass meine personenbezogenen Daten, die bei der Nutzung des auf dieser Webseite angebotenen Sicherheitstests anfallen, zur Durchführung des Tests und zur Mißbrauchserkennung erhoben, verarbeitet und genutzt werden dürfen. Ich bestätige, dass ich das Angebot auf dieser Webseite ausschließlich unter Angabe meiner eigenen E-Mail-Adresse(n) nutze.

Dass sich wirklich jemand für den Sicherheitstest interessiert, damit haben die Leute vom BSI wohl nicht gerechnet. Zumindest sei die Seite bereits kurz nach Erscheinen eines Spiegel-Artikels zum Thema überlastet und kaum erreichbar gewesen, so der Nachfolgeartikel. Ein etwas peinlicher Fehler, mag man sagen. Aber dass sich an der Situation auch jetzt, zehn Stunden später, kaum etwas geändert hat, ist weitaus mehr als nur eine lapidare Panne.

Da sollte man sich vielleicht nochmal informieren, was bei Denial-of-Service-Attacken getan werden muss, vor allem, wenn sie aus der eigenen, besorgten Bevölkerung kommen…

Zumindest nicht so, wie Pressesprecher Tim Griese empfiehlt:

Die Seite ist immer wieder mal aufrufbar. Am besten probiert man es mehrfach.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

December 04 2013

Crowdfunding für Dark Mail erfolgreich

Ende Oktober hatten wir über Dark Mail berichtet, ein Projekt von Lavabit und Silent Circle für ein neues, offenes und sicheres E-Mail-Protokoll. Damals wurde auch eine Kickstarterkampagne gestartet, um das Aufräumen und Erweitern des bereits vorhandenen Lavabit-Codes und die Entwicklung von Mailclients mit Dark-Mail-Support zu finanzieren. Am Ende soll dabei ein System entstehen, mit dem jeder Ende-zu-Ende-verschlüsselt kommunizieren kann, ohne sein bestehendes Mailsystem zu verändern oder sich explizit mit den technischen Hintergründen von PGP-Verschlüsselung oder ähnlichem beschäftigen zu müssen.

Erfreulicherweise gelang es den Entwicklern, $212.513 zu sammeln, $196.608 waren als Mindestbetrag anvisiert. Ich bin gespannt, wie sich das Vorhaben entwickelt und wann die ersten Ergebnisse zu sehen und auszuprobieren sein werden.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Reposted bymarroh marroh

October 31 2013

Dark Mail Alliance: NGO und offenes Protokoll von Lavabit und Silent Circle für sicheres Mailen

darkmailallianceDie Gründer von Lavabit und Silent Circle haben sich zusammengeschlossen und wollen ein sicheres, offenes, auf XMPP basierendes Mail-Protokoll entwickeln. Beide Unternehmen hatten ihren Mail-Dienst in den vergangenen Monaten wegen der NSA eingestellt und wurden gezwungen die privaten SSL-Schlüssel an die NSA auszuhändigen. Dark Mail soll nun einige Schwächen der bisherigen Mail-Protokolle ausmerzen. So basiert Dark Mail auf dem Extensible Messaging and Presence Protocol (XMPP) und verzichtet sowohl auf SMTP als auch auf SSL. Silent Circles Instant Messaging Protocol (SCIMP) kann, laut CTO Jon Callas, als “erste Alpha” und grundlage für Dark Mail gesehen werden. Fokus des neuen, offenen Protokolls liegt auf Ende-zu-Ende Verschlüsselung, Perfect Forward Secrecy und so wenig Meta-Daten, wie möglich. Da Lavabit und Silent Circle nicht nur einen Dienst, sondern vorrangig ein Protokoll entwickeln, soll es möglich sein, dass andere Mail-Anbieter das Dark Mail Protokoll bei sich implementieren. Silent Circles CEO, Mike Janke sagte, er betrachte Dark Mail als “Mail 3.0″:

Our vision is three or four years from now that this will become email 3.0—the way the majority of Internet users email.

Größter Unterschied zu bisherigen Mail-Protokollen ist sicherlich, dass Mails nicht mehr über einen zentralen Mailserver versandt werden, sondern Dark Mail auf einem Peer-to-Peer System aufbaut. Außerdem wird jede Mail mit einem separaten Schlüssel versehen, wodurch – falls Mails wirklich abgefangen werden – der Angreifer jede Mail individuell entschlüsseln muss.

By operating peer-to-peer, the email messages will not reside on or pass through a central server where they can be captured, by court order or otherwise, by national intelligence agencies. By using ephemeral encryption keys (which are destroyed after use), there are no permanent encryption keys that can be subpoena’d by government. This means that while interception will still be possible, the encryption for every single email will need to be cracked individually – making dragnet surveillance effectively impossible.

Auf der kalifornischen Mail-Konferenz “Inbox Love” gaben die Entwickler gestern erste Antworten und einen Überblick zu Dark Mail und ihrer Idee. Kommende Woche wird wohl ein Kickstarter eingerichtet werden und die Hoffnung ist, dass Mitte nächsten Jahres mit der ersten Version des Dark Mail Protokolls zu rechnen sei.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 09 2013

Lavabit: E-Mail-Anbieter stellt sich gegen US-Behörden und schließt seine Pforten

Der US-amerikanische E-Mailanbieter Lavabit schließt mit sofortiger Wirkung, wie der Betreiber Ladar Levison auf der Webseite mitteilt. Lavabit war ein verschlüsselter E-Mailanbieter der damit warb, “niemals die Privatsphäre seiner Nutzer für Profit zu opfern”. Bekanntheit erlangte der Anbieter in jüngster Zeit, als öffentlich wurde, dass Edward Snowden ein Nutzer von Lavabit sei. Auch wenn die genauen Umstände der Schließung nicht bekannt sind, scheinen US-Behörden Druck auf Lavabit ausgeübt zu haben, Daten der Nutzer auszuhändigen. Um die Privatsphäre seiner Nutzer nicht zu gefährden, hat Levison nun entschieden den Dienst zu schließen.

Dass Ladar Levison diese Entscheidung keineswegs leicht gefallen ist, zeigt eine letzte Nachricht die er auf der Seite veröffentlicht hat:

I have been forced to make a difficult decision: to become complicit in crimes against the American people or walk away from nearly ten years of hard work by shutting down Lavabit.

Zur Zeit ist es Levison nicht gestattet über die genauen Umstände Auskunft zu geben, wie er weiter schreibt.

I wish that I could legally share with you the events that led to my decision. I cannot. I feel you deserve to know what’s going on–the first amendment is supposed to guarantee me the freedom to speak out in situations like this. Unfortunately, Congress has passed laws that say otherwise. As things currently stand, I cannot share my experiences over the last six weeks, even though I have twice made the appropriate requests.


Abschließend äußerte Levison noch die eindringlichee Empfehlung keinem Unternehmen mit SItz in den USA seine privaten Daten anzuvertrauen, solange keine starken Gesetze verabschiedet wurden:

This experience has taught me one very important lesson: without congressional action or a strong judicial precedent, I would _strongly_ recommend against anyone trusting their private data to a company with physical ties to the United States.

Dieses Beispiel zeigt deutlich, dass der Macht der amerikanischen Behörden nicht viel entgegen gesetzt werden kann. Auch die besten Absichten und Motivationen sind auf Grund der Allmacht der Geheimdienste und Polizeibehörden wenig wert. Schwache Datenschutzgesetze, welche private Daten der Nutzer eigentlich vor unbefugten Zugriffen schützen sollten, sind in den USA schlicht nicht vorhanden. Die Electronic Frontier Foundation hebt allerdings auch hervor, dass die Schließung von Lavabit ein ganz seltener Fall sei, in dem ein amerikanischer Anbieter tatsächlich seinen Dienst zum Schutz seiner Nutzer einstellt, anstatt den Forderungen von Behörden nachzukommen. Von der Schließung sind rund 400.000 Nutzer direkt betroffen, die nun keinen Zugang mehr zu ihren Mails haben. Lavabit sammelt nun Geld über Paypal um vor Gericht gegen die Herausgabe der Daten vorgehen zu können.

Lavabit ist nicht der einzige E-Mailanbieter der seine Pforten schließt. Auch der amerikanische E-Mailanbieter Silent Circle hat sich entschieden seinen Dienst zu schließen. Wie die Betreiber in einer Mitteilung an seine Nutzer mitteilt, sei auch die Schließung von Lavabit ein Grund den eigenen Dienst einzustellen:

Today, another secure email provider, Lavabit, shut down their system lest they “be complicit in crimes against the American people.” We see the writing the wall, and we have decided that it is best for us to shut down Silent Mail now. We have not received subpoenas, warrants, security letters, or anything else by any government, and this is why we are acting now.

Und auch die Betreiber von Cryptocat, einer Anwendung zum verschlüsselten Kommunizieren über den Browser, haben bereits über Twitter angekündigt den Behörden nicht helfen zu wollen und notfalls den Service einzustellen.

Der große Frage lautet jetzt: Welchen Mailanbietern kann noch vertraut werden? Die großen und bekannten amerikanischen Anbieter wie Googles Gmail, Microsofts Outlook oder Yahoo! Mail dürften von vorneherein ausgeschlossen sein. Auch die bekannten deutschen Anbieter wie GMX und web.de sind vermutlich nicht empfehlenswert. Ein deutscher Anbieter mit einem guten Ruf, mit einem Fokus auf Anonymität und Datenschutz ist posteo. Auch der schweizer Anbieter myKolab ist vielleicht eine Alternative. Wer aber tatsächlich die volle Kontrolle über seine Daten behalten möchte, kommt nicht darum herum seinen eigenen Mailserver zu betreiben. Eine einfache Möglichkeit hierfür könnte das erst kürzlich vorgestellte Client Mailpile sein. Über weitere Empfehlungen zu sicheren Mailanbietern freuen wir uns in den Kommentaren.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 05 2013

Mailpile: Crowdfunding Kampagne für sicheren Webmail-Client gestartet

mailpile-logoSeit den Veröffentlichungen rund um die Spionagetätigkeiten der NSA, des GCHQ und auch des BND ist das Thema der sicheren Kommunikation im Internet populär wie kaum zuvor. Das meist genutzte Kommunikationsmittel, privat wie auch beruflich, ist dabei die E-Mail. Viele Menschen greifen dabei auf einen der großen Mailanbieter, wie Google, Microsoft oder GMX, zurück. Das Problem daran ist, dass die verschickten und empfangenen Nachrichten auf den Servern jener Konzerne liegen, teilweise gar in den USA, was den Zugriff amerikanischer Behörden auf die eigene Kommunikation erleichtert. Um wieder die Kontrolle über seine eigenen Mails zu erlangen, wurde nun das Projekt Mailpile gestartet. Ziel ist es, einen freien und offenen Webmail-Client zu entwickeln, der auf dem eigenen Computer oder Server läuft und mit dem ohne Zusätze per OpenPGP verschlüsselt kommuniziert werden kann.
 

Mailpile_0_1_Interface_Compose

Erster Entwurf des Interfaces von Mailpile



Vorangetrieben wird das Projekt von Bjarni Einarsson, Gewinner des Nordic Free Software 2010, Smári McCarthy, Direktor des International Modern Media Institute und Mitglied der isländischen Piratenpartei, sowie Brennan Novak. Damit Mailpile ein Erfolg wird und möglichst schnell fertig gestellt werden kann, benötigen die Entwickler allerdings finanzielle Unterstützung. Aus diesem Grund wurde nun eine Crowdfunding Kampagne auf Indiegogo gestartet. Ziel ist es bis zum 10. September 100.000 Euro einzunehmen, um bis zum Januar 2014 eine erste funktionsfähige Alpha-Version veröffentlichen zu können. Diese soll sowohl auf einem Server sowie auf dem eigenen Rechner laufen können und ein intuitives Interface bieten. Großes Augenmerk wird darüber hinaus in die Suchfunktion und die integrierten Verschlüsselungsmöglichkeiten von Mailpile gelegt. So sollen beispielsweise nicht nur die Mails an sich, sondern auch die Suchanfragen und die Einstellungen verschlüsselt werden können.

Sollten mehr als 100.000 Euro eingenommen werden, soll nach Aussagen der Entwickler auch eine Mehrbenutzerversion für Familien, Freunde oder kleine Unternehmen entwickelt werden. Auch eine eingebaute Unterstützung von XMPP (Jabber) soll folgen. Die Veröffentlichung einer ersten stabilen Version ist nach jetzigem Stand für den Sommer 2014 geplant. Ausführliche Informationen zu Mailpile findet ihr auf der Homepage des Projekts sowie direkt auf der Kampagnenseite bei Indiegogo. Wer sich den Quellcode ein wenig genauer ansehen möchte, findet diesen auf github.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 27 2013

Metronaut: Anleitung zur Mailverschlüsselung

daMax hat beim Metronaut eine ausführliche Anleitung zur Mailverschlüsselung mit PGP zusammengestellt.

Ihr wollt nicht, dass jeder Staatsbüttel eure Mails mitliest? Dann wäre jetzt ein guter Zeitpunkt, endlich mal PGP zu benutzen. Damit könnt ihr schon seit achwasweißichwievielen Jahren eure Mails so verschlüsseln, dass kein Schlapphut mitlesen kann. Der Haken: ihr müsst ca. 15 Minuten eures Lebens investieren, um euch mit dem Prinzip vertraut zu machen und noch einmal ein paar Minuten, um das auf eurem Rechner zu installieren.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 03 2012

Was sonst noch so war

US-Behörde liest Mails von kritischen Mitarbeitern
Nach einem Futurzone Bericht überwachte die US-Behörde FDA (Food and Drug Administration) 21 Angestellte.

Die für die Arzneimittel-Kontrolle zuständige US-Behörde FDA hat nach einem Bericht der “New York Times” 2010 eine großangelegte Spähaktion gegen kritische eigene Wissenschaftler ausgeführt. Tausende private E-Mails von insgesamt 21 Angestellten an Kongressmitglieder, Rechtsanwälte, Journalisten und sogar an Präsident Barack Obama seien mit Hilfe von Spionage-Software heimlich mitgelesen worden, meldete die Zeitung am Sonntag.

Berlin: Unübersichtliche Demonstrationen sollen wieder gefilmt werden
Der Berliner Senat hat beschlossen einen entsprechenden Gesetzentwurf in das Abgeordnetenhaus einzubringen. Kundgebungen und Demonstrationen sollen zukünftig mit weitwinkligen Aufnahmen überwacht werden dürfen. Ein Gericht hatte 2010 Übersichtsaufnahmen von Demonstrationen für nicht rechtmässig erklärt.
Mehr auf berlin.de

Scan in Mobilfunknetzen: Tausende ungeschützte Geräte

Mit einem simplen Portscanner hat der deutsche Sicherheitsforscher Collin Mulliner die Netze von europäischen Mobilfunkanbietern untersucht. Ergebnis: Haufenweise Geräte wie Smart Meter, Straßenverkehrskontrollsysteme, KfZ-Ortungshardware oder GSM-/GPRS-Ethernet-Router. Schutz durch Passwörter? Fehlanzeige.

Mehr auf: heise.de

Telefonüberwachungen in Berlin steigen
Im vergangen Jahr hörte die Berliner Polizei bei mehr als 1,5 Millionen Telefonaten mit. Im Vergleich zu 2010 ist das eine Steigerung von fast 50%.
Mehr auf berlin.de

Wildkameras erfassen auch Menschen
Mit Wildkameras sollen die Lebewesen im Wald erfasst werden.

Auch Jäger stellen gut getarnte Kameras auf, um einen besseren Überblick über den Wildwechsel zu erhalten. Doch erweist sich, dass immer wieder Menschen unbewusst in diese Foto- und Videofallen tappen. In Kärnten wurde ein Fall publik, bei dem das außereheliche Schäferstündchen eines Politikers im Wald abgelichtet wurde. [...] Die Opfer der Fotofallen merken selten etwas von den Aufnahmen. Die Geräte verfügen über Infrarotblitze, die für Mensch und Tier unsichtbar sind.

Mehr auf datenschutz.de

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl