Web – Seite 6 – Das Notizloch

Etwas mehr Privatsphäre durch DNScrypt

16. Februar 2016 von Konstantin

Vor einiger Zeit beschrieb ich die sichere Kommunikation untereinander. Ein kleines Einfallstor bleibt dazu aber immer noch, über DNS-Anfragen ist es zumindest dem Provider möglich eure angesteuerten Server mitzuprotokollieren. Es ist zwar dem Provider auch anders möglich mitzuprotokollieren, aber eine Kontrolle des DNS-Servers ist hier die einfachste und günstigste Methode.

Enigma (Wikimedia Commons) — Wikimedia Commons – Greg Goebel – Four-rotor-enigma.jpg

Alle bisherigen Konzepte zur deutschen Internetzensur bzw. dem genialen Wort „Zugangserschwerungsgesetz“ basierten auf einen Eingriff in die DNS-Anfragen der Kunden. Dass diese aber von den Kunden frei gewählt werden können bzw. Windows schon von vornherein sich Anfragen speichert um diese nicht erneut stellen zu müssen fiel keinem auf.
Genau hier setzen wir also an. Es gibt unzählige andere DNS-Server im Netz, der bekannteste und am einfachsten zu merkende wird wohl Google Public DNS sein. Mit den IPs 8.8.8.8 und 8.8.4.4 als DNS könnt Ihr völlig freiwillig Google das geben was der deutsche Staat gerne von den Providern haben möchte. Das einzige Problem dabei, diese Anfragen sind nicht verschlüsselt. Euer Provider erkennt also dass ihr diese Daten freiwillig an Google gebt und kann diese genau so mitprotokollieren wie eigene.
Hier kommt dann DNScrypt ins Spiel. Dies verschlüsselt eure DNS-Anfragen so, dass ihr aus Sicht des Providers gar keine DNS-Anfragen mehr macht. Verschlüsselt laufen diese dann in UDP-Paketen zum DNS-Server, der sie dann entschlüsseln und beantworten kann.

Realisieren kann man das ganz einfach, zuerst muss hier das aktuelle Archiv für Windows (erkennbar an win32 und dem .zip am Ende) heruntergeladen werden. Danach noch den Windows Servicemanager für DNScrypt.
Beides in einem Ordner entpackt kann dann dnscrypt-winservicemgr.exe gestartet werden. Nach Auswahl der Netzwerkkarte (meist wird nur die verwendete angezeigt) muss ein Server ausgewählt werden.
Hier sollte dann darauf geachtet werden, dass die ausgewählten Server nichts protokollieren. OpenDNS tut dies ganz öffentlich und bietet das auch als Feature an. Aber auch Cisco oder „Nawala“ wird nachgesagt klammheimlich doch zu protokollieren. Die DNScrypt.eu Server sollten allerdings in Ordnung sein, da dies DNS-Server sind die extra für DNScrypt geschaffen worden sind.

Nach einem klick auf „Enable“ habt ihr die Verschlüsselung dann aktiviert und der lokal eingestellte DNS-Server sollte sich auf 127.0.0.1 geändert haben, da ab sofort die DNScrypt-Prozesse das Ansteuern der Server übernehmen.

Safer Internet Day: 2 GB Speicher gratis und neue Google Play 75%-Rabatt-Film-Aktion

8. Februar 2016 von Konstantin

Google gibt wie letztes Jahr einmal erneut 2 GB Speicher im Zuge des Safer Internet Day sofern ihr euch dem Sicherheitscheck im Google Account unterzieht. Das sollte man sowieso regelmäßig machen, am Ende bekommt man nun auch 2 GB dauerhaft kostenlosen Speicher gut geschrieben. (via)

Im gleichen Atemzug könnt ihr euch dann auch noch einmal das neue 75% Rabatt Angebot für Google Play Filme (Aktion beendet) mitnehmen. Das gleiche Angebot gab es im Dezember auch schon einmal. Nach dem Klick ist der Gutschein im Google Account hinterlegt und kann auf das ganze Sortiment bis zum 31. März eingelöst werden. (via)

Das Malware-Archive stellt alte DOS-Viren zur Schau

8. Februar 2016 von Konstantin

Archive.org hat eine neue Seite. Das sogenannte Malware-Museum. In diesem werden alte DOS-Viren aus der Zeit in der Viren noch nicht unsichtbar im Hintergrund liefen in einem Emulator angezeigt. Diese stellen dann auch nur Video und Audio dar.

Größtenteils recht unspektakulär, allerdings sind einige nette Einfälle dabei, es lohnt sich also auf jeden Fall einmal in die Zeit in der Viren noch grafisch aufwendig waren vorbeizuschauen. Im Malware-Museum wurden alle ausgestellten Viren um ihren schädlichen Trieb beraubt und die grafische Oberfläche läuft zudem in einem Emulator. Es ist also völlig ungefährlich sich dort einmal in Ruhe umzusehen. Am auffälligsten ist natürlich CRASH.COM welches hier auch als GIF eingebunden ist. Den grafischen Output von HYMN.COM oder VIRDEM.COM finde ich aber auch interessant.

via

Protonmail und die sichere Kommunikation untereinander

18. Januar 2016 von Konstantin

Hochsichere Kommunikation ist nicht ganz einfach und vor allem unbequem. Trotz allem kann man Kommunikation noch so verschlüsseln, dass auch jemand der mit liest wenig Zusammenhang erkennt. Dies möchte ich einmal am Beispiel ProtonMail erklären, das gleiche ist aber auch auf „normale“ E-Mail-Kommunikation über OpenPGP möglich.

Four Rotor Enigma, Wikimedia. Sinnbildlich für ProtonMail und seine Verschlüsselung — Wikimedia Commons – Greg Goebel – Four-rotor-enigma.jpg

Unverweigerlich dazu ist erst mal ein persönliches Treffen unter vier Augen. Dort kann z.B. schon einmal die Threema ID verifiziert werden in dem ihr gegenseitig QR-Codes von euren Smartphones scannt. (Das ist natürlich grundsätzlich auch mit Signal oder Surespot möglich, allerdings verschlüsselt nicht jeder Messenger gleich. In diesem Beitrag halte ich mich daher an das Beispiel von Threema, das zwar nicht ganz OpenSource ist, aber im Gegensatz zu anderen „made in swizerland“ tragen kann).
Das alles reicht aber noch lange nicht. Euer Smartphone läuft vermutlich mit Android und hat irgendwann nach dem Scan Zugang zum Internet, damit kann man ausgehen, dass alleine dieser Kommunikationsweg zwar verschlüsselt, aber unsicher ist.
Idealerweise habt ihr beim gleichen treffen auch public PGP-Keys für eure E-Mail Adressen ausgetauscht. Ist kein PGP-Key vorhanden ist das für Protonmail allerdings auch nicht zwingend notwendig.
Bei dem Treffen einigt ihr euch auf ein gemeinsames Kennwort, welches ihr später verwendet. Idealerweise hat dieses Passwort variable Komponenten, wird aus dem letzten gesprochenen Wort untereinander gebildet oder etwas einfacher, abgeleitet aus dem Datum oder der Uhrzeit. Allerdings darf ein Passwort natürlich nicht nur aus dieser Komponente bestehen, selbst dies wäre bereits unsicher.

Ausgehende ProtonMails können per Passwort verschlüsselt werden. Protonmail erlaubt es auch einen Hinweis zu setzen, dieser sollte allerdings sofern möglich vermieden werden.
Jetzt heißt das Zauberwort Steganografie. Sprich: das verstecken von Information in Bildern durch leichtes abändern der Pixelfarben. Das geht zum Beispiel mit dem Programm „S-Tools“ (Archivlink). Dieses benötigt euer abgesprochenes Passwort um innerhalb eines gerade zufällig aufgenommenen Fotos Informationen zu verstecken. Da dieses Passwort nun beiden bekannt ist, sollte dies kein Problem mehr darstellen. Ihr nehmt also ein Foto auf und versteckt über S-Tools euer Passwort, welches ihr für Protonmail nutzt. Das veränderte Bild geht nun über Threema an eure Kontaktperson, die wissen sollte das in dem Bild etwas sein könnte.
Der allerwichtigste Teil der Verschleierung beginnt allerdings erst jetzt. Es ist unbedingt notwendig, dass ihr in Threema über das Bild redet. Nicht über den versteckten Inhalt, sondern über das sichtbare Bild. Haltet eine ernst gemeinte Konversation über entsprechendes Bild wie es jeder normale Mensch auch tun würde.
Kurz vor dem Absenden des Bilds sendet ihr eure ProtonMail ab, beim Empfänger kommt dann eine E-Mail mit einem recht nichtssagenden „diese Nachricht ist verschlüsselt“ inkl. Link zur Passworteingabe an.
Nachdem Mail und Bild beim Empfänger angekommen sind und die Konversation über Threema abgeschlossen ist, kann der Empfänger in Aktion treten.
Mit dem gleichen Tool kann man die versteckte Information aus dem Bild wieder lesen. Dazu braucht der Empfänger allerdings euer abgesprochenes Passwort. Mit dem entschlüsselten Passwort aus dem Bild kann nun die ProtonMail gelesen werden.

Die beschriebene Methode gilt für alle Mails die ProtonMail verlassen, Mails die nur innerhalb von ProtonMail versendet werden sollten einen solchen Aufwand nicht benötigen da diese bereits genügend verschlüsselt sind.
Diese Weise garantiert nahezu die Vertraulichkeit der Informationen in der ProtonMail, allerdings kann ich keine Garantie übernehmen.
Wenn z.B. Geheimdienste an eure Informationen wollen, dann können sie das auch ohne Probleme erreichen (z.B. durch direkten Eingriff in euer Netzwerk und euren Computer). Der entscheidende Faktor ist allerdings, dies zu dem größtmöglichen Aufwand zu machen damit Eingriffe für Geheimdienste unrentabel werden. Verschlüsselt ihr z.B. grundsätzlich alles mögliche untereinander, werden Geheimdienste erst nach den Aufwendungen feststellen, dass erlangte Information irrelevant für das eigene Ziel ist und damit ist Zeit die man für andere Tätigkeiten verbrauchen könnte bereits verstrichen. Eine über beschriebene Methode verschlüsselte Frage nach einem Zeitpunkt für gemeinsames Multiplayer-Gaming wäre z.B. eine Information, die Geheimdiensten recht wenig nutzen würde. Um allerdings an diese Information zu kommen muss der Dienst allerdings schon sehr viel Aufwand betrieben haben, was simpel gesagt jede Kosten/Nutzen Rechnung völlig durcheinander wirft.

Matt Groening plant eventuell Netflix-Serie

16. Januar 2016 von Konstantin

Gerüchten zufolge spricht der Simpsons-Erfinder Matt Groening nachdem Gerüchte über einen Serienstopp publik wurden mit Netflix.

Falls die Gespräche gut verlaufen könnten wir also eine weitere Serie aus dem Hause Groening begutachten, die eventuell Netflix-typisch auch nur über Netflix verfügbar sein wird. Wie diese aussehen wird steht noch in den Sternen. Da Groening für seine Zeichentrickserie bekannt ist und dies vermutlich auch sein Stil bleiben wird könnte es gut sein dass Netflix in Zukunft durch eine ähnliche Serie wie die Simpsons bereichert wird. Inwiefern das Gerücht stimmen kann wird sich erst in ein paar Jahren klären, die Planung und Produktion einer solchen Serie kostet nun auch ein wenig Zeit.

ProtonMail mit neuer Betaversion der Website

12. Januar 2016 von Konstantin

ProtonMail, der inzwischen größte Dienst für verschlüsselte E-Mail Kommunikation hat ein kleines Redesign der Weboberfläche vorgestellt und einiges neues angekündigt.

Die App für Android und iOS ist beinahe fertig. Seit Mitte letzten Jahres wurde diese in einer closed Beta getestet, in einigen Wochen soll es soweit sein und die App wird an Google und Apple für die Aufnahme in die App Stores übermittelt. Am 26. Januar verlässt Protonmail insgesamt dann die closed Beta Phase und wird ohne Invite-System offen für alle Nutzer sein. Zu dem Zeitpunkt werden auch Premium-Accounts eingeführt, dessen Preis und Funktionsumfang weiterhin unbekannt ist.
Die neu angekündigte Weboberfläche wurde ein wenig umgestyled und ist nun laut Protonmail intuitiver und zeitgemäßer.
Die neue Weboberfläche steht bisher nur in einer Alpha-Version ausgewählten Nutzern zur Verfügung. Diese wird nach ausreichenden Tests für alle Nutzer in Zukunft ausgerollt.

Unter der Haube nutzt ProtonMail für Mails die nicht den Anbieter wechseln OpenPGP, netterweise vollständig transparent im Hintergrund. Für alle anderen nutzt Protonmail eine HMTL-Mail mit einem Link zum eigentlichen Mailtext der erst nach Passworteingabe sichtbar ist. Damit bleibt der eigentliche Inhalt ebenfalls permanent auf den Servern unter der Obhut von ProtonMail und kann nicht auf Empfänger-Seite oder auf dem Weg dorthin kopiert werden.
Im gleichen Atemzug sucht(e) ProtonMail stetig Spenden (das ist nun ein Archivlink, nach Umstellung hat Proton.me das Spendensammeln eingestellt) um das Team von Mitarbeitern finanzieren zu können, die tagtäglich auftretende größer dimensionierte DDoS Attacken abzuwehren. Neben dem üblichen Serverbetrieb sollen solche Attacken später auch durch die Premium-Accounts finanziert werden.

via

Steam mit großem Sicherheitsproblem

25. Dezember 2015 von Konstantin

Steam hat gerade ein ziemlich großes Sicherheitsproblem. Nutzer werden nicht mehr wie üblich eingeloggt, es erscheint beim Starten von Steam ein zufälliger Nutzer valide angemeldet. Dies hat zur Folge, dass betreffende Nutzer alles mit eurem Steam-Account machen können. Ihn ganz löschen, Spiele auf eure Kosten kaufen oder eben Spiele aus dem Account löschen.

Falls Ihr PayPal nutzt ist hier eure Anlaufstelle, dort kann die Authorisierung für „steampowered“ gekündigt werden. Falls ihr Kreditkartendaten in eurem Steam-Account habt hilft nur ein Anruf an der allgemeinen Sperrhotline 116 116, bzw. falls es möglich ist die Karte selbst zu sperren die jeweilige Option in der Bankingoberfläche dazu. Auch Kreditkartendaten können abhanden gekommen sein.

via

Google macht das Smartphone zum Login-Schlüssel

25. Dezember 2015 von Konstantin

In einem ersten Betatest hat Google für ausgewählte Nutzer das Passwort ganz abgeschafft und implementierte eine Lösung für das Smartphone. Hier müssen nun Loginvorgänge am Smartphone bestätigt werden.

Momentan wird allerdings vermutet, dass Google hier nur Smartphones mit Fingerprint-Sensor unterstützen wird, da andere Entsperrmuster keinen adäquaten Ersatz für ein sicheres Passwort darstellen können. Das Nexus 6P ist auf jeden Fall unter den Testgeräten im Betatest, ob noch andere Geräte hinzukommen entscheidet sich dann bei der globalen Einführung.
Sicherer als jeder Login per verlierbarem Smartphone ist auf jeden Fall der 2-Faktor-Login durch Yubikeys, welche durch Google auch unterstützt werden.

via