Permalink

12

CyanogenMod – Android ohne Google?! Teil3

1. AusbruchsversuchCyanogenMod

Mit dem Projekt »Your phone Your data« sollt ihr als Anwender Schritt für Schritt die Herrschaft und Kontrolle über euer Android-Geräte bzw. eure Daten zurückgewinnen. Im letzten Beitrag haben wir dazu den Grundstein gelegt. Ein entsperrtes und zugleich gerootetes Android-Gerät ist die Grundvoraussetzung für den Erfolg unseres Projekts. Nur wer diese erste Hürde erfolgreich genommen hat, kann die Kontrolle über seine Daten wiedererlangen.

Der vorliegende Beitrag knüpft nahtlos an die Vorhergehenden an und dreht sich rund um die Installation und Modifikation des CyanogenMods (CM). Mit solch einer alternativen Firmware koppeln wir uns von den herstellereigenen Android-Systemen ab. Der Einsatz des CyanogenMods soll uns dem Ziel, die Datenherrschaft auf dem Android wiederzuerlangen, einen Schritt weiter bzw. näher bringen.

Jüngst ist das CyanogenMod aufgrund seiner »Release- bzw. Updatepolitik« in Kritik geraten. Insbesondere aus der Community werden die »Rufe« immer lauter, dass CM nicht mehr dem »Open Source Gedanken« gerecht wird. Aufgrund dieser kritischen Stimmen ist es legitim die Frage zu stellen, wieso wir dennoch am Einsatz des CyanogenMods für unser Projekt festhalten. Im Folgenden werden wir uns kurz mit dieser relevanten und berechtigten Frage auseinandersetzen. Weiterlesen →

Permalink

15

TextSecure – Crypto-Messenger mit Verbesserungspotenzial Teil2

1. Abhörsicherer MessengerTextSecure

Im ersten Teil TextSecure – Crypto-Held oder weiterer Blindgänger? haben wir uns mit den Voraussetzungen befasst, wann ein Chat einem abhörsicheren, persönlichen Gespräch unter vier Augen entspricht. Alle vier Faktoren, wie Authentizität, Ende-zu-Ende Verschlüsselung, Perfect Forward Secrecy und Abstreitbarkeit werden von TextSecure erfüllt.

Dennoch besteht auch bei TextSecure noch Verbesserungspotenzial, was wir im vorliegenden Beitrag klar ansprechen möchten. Weiterhin betrachten wir die weitere Ausrichtung des Projekts und vergleichen TextSecure mit seinen direkten Konkurrenten Threema und Telegram. Weiterlesen →

Permalink

8

TextSecure – Crypto-Held oder weiterer Blindgänger? Teil1

1. Crypto-Messenger-JungleTextSecure

In letzter Zeit erscheinen vermehrt mobile Messenger, die versprechen besonders hohen Wert auf die Privatsphäre und Sicherheit ihrer Nutzer zu legen. Ausschlaggebend für diese Entwicklung ist der NSA-Skandal und die daraus resultierende Nachfrage nach sicherer Kommunikation – auch bei normalen Nutzern.

Anfangs war die Auswahl eher beschaulich, doch schon Mitte 2013 erschienen mit Threema, ChatSecure, surespot und TextSecure erste Messenger mit verschlüsselter Kommunikation. Inzwischen hat sich die Angebotspalette mit Telegram, Cryptocat, Whistle.im, myEnigma, Hoccer XO und ein paar Weiteren nochmals vergrößert. Als Konsequenz haben Anwender längst den Überblick im »Crypto-Messenger-Jungle« verloren.

Nach der Übernahme von WhatsApp durch Facebook schwappte eine Welle des Entsetzens durch das Internet. Nutzer befürchteten eine Verknüpfung ihrer WhatsApp-Chats mit den bereits gesammelten Facebook-Daten. Für viele Anwender ist damit eine Grenze überschritten. Begünstigt durch die laienhafte Berichterstattung vieler Medien profitieren hauptsächlich Threema und Telegram von wechselwilligen WhatsApp Nutzern. Ein Trend den es aufzuhalten gilt. Weiterlesen →

Permalink

5

IMSI-Catcher Erkennung für Android – AIMSICD

1. Lauschangriff auf MobiltelefoneAIMSICD

Afghanistan: Eine heftige Explosion erschüttert den Häuserkomplex. Soeben wurden dutzende Zivilisten durch eine Drohne getötet. Zielobjekt war das Mobiltelefon eines »vermeintlichen« Terroristen. Zum Zeitpunkt des Zugriffs befand sich das Mobiltelefon allerdings nicht in den Händen der Zielperson – ein schwerwiegender Fehler, der Menschenleben kostete.

Ortswechsel Ukraine (Maidan-Platz): Auf dem Handy-Display erscheint eine Nachricht: »Sie wurden als Teilnehmer einer Massenunruhe identifiziert. Verhalten Sie sich ruhig und leisten Sie keinen Widerstand gegen die Staatsgewalt.«

Was sich wie ein Auszug aus einem Science-Fiction-Roman liest wird seit Jahren bereits praktiziert. Doch wie können Militär, Staaten, Nichtregierungsorganisationen oder auch zivile Personen Nachrichten an Mobilgeräte fremder Menschen übermitteln? Die Antwort lautet: Mittels eines IMSI-Catchers. Viel wichtiger ist jedoch die Frage wie sich Menschen vor dieser Überwachung schützen können.

Ein Projekt für die Android-Plattform stellt sich der Herausforderung unter dem Namen »AIMSICD – Android IMSI-Catcher Detector«. Aktuell befindet sich das Open Source Projekt in Entwicklung und soll nach Fertigstellung in der Lage sein, IMSI-Catcher nicht nur zu erkennen, sondern entsprechende Gegenmaßnahmen einleiten. Weiterlesen →

Permalink

7

Grundstein legen – Android ohne Google?! Teil2

1. Your phone Your dataGrundstein

Das hochgesteckte Ziel des Projekts »Your phone Your data« lässt sich mit einem Satz zusammenfassen: Ihr als Anwender sollt die Herrschaft und Kontrolle über euer Android-Gerät und eure Daten gewinnen. Wir haben uns deshalb vorgenommen, euch Schritt für Schritt zu diesem hehren Ziel zu führen. Es muss endlich Schluss sein mit proprietärer Software und Diensten, die uns unsere Unabhängigkeit und Datenkontrolle lediglich vorgaukeln.

Der Weg zu diesem Ziel ist steinig. Auf diesem Weg gilt es Hindernisse zu überwinden, als auch gewisse Verhaltensweisen zu ändern. Wir müssen alte Gewohnheiten ablegen und der eingeschlichenen Bequemlichkeit »adieu« sagen. Es ist sogar zwingend notwendig offen für Neues zu sein und nicht alles, was wir in den Medien lesen und hören für bare Münze nehmen. Ändern wir uns nicht, ist das Projekt »Your phone Your data« zum Scheitern verurteilt.

Der vorliegende Beitrag soll den Grundstein für unser Projekt legen. Er behandelt insbesondere den Unlock vom Bootloader und das Rooten des Android-Gerätes. Aufgrund technischer Sperren der Geräte wird nicht jeder den Weg zu einem freien Android-System einschlagen können.

Weiterlesen →

Permalink

2

Vortrag im Haus der Wirtschaft – Stuttgart

1. Safer Internet Day 2014Haus der Wirtschaft

Am 11.02.2014 fand im Haus der Wirtschaft (Stuttgart) die Veranstaltung »Digital dabei im Kindermedienland« statt. Als Termin wurde bewusst der Safer Internet Day 2014 gewählt, der Anwender für das Thema »Sicheres Internet« sensibilisieren soll. Im Mittelpunkt der Veranstaltung standen Fragen zur sicheren Mediennutzung:

  • Was bedeutet es, immer und überall digital dabei zu sein?
  • Welche digitalen Kommunikationsplattformen gibt es?
  • Was können mobile Anwendungen (Apps) und was ist daran riskant und bedenkenswert?
  • Wie steht es um die digitale Sicherheit insgesamt?

Im Fachforum »Digitale Anwendungen – Apps« bin ich in dem Vortrag »Ein Blick hinter die Smartphone Kulissen« kurz auf das Thema Sicherheit von Android- und iOS-Geräten eingegangen. Am Beispiel der Android-Plattform habe ich im zweiten Teil des Vortrags das Berechtigungskonzept erklärt und demonstriert wie Apps auf sensible Informationen zugreifen. Weiterlesen →

Permalink

44

Your phone Your data – Android ohne Google?! Teil1

1. Free your AndroidFree Android

Fast jeder besitzt Eines. Mittlerweile sind die digitalen Alleskönner nicht mehr aus dem Alltag wegzudenken und begleiten uns auf Schritt und Tritt. So befindet sich das Android-Smartphone bspw. in der Hosentasche, auf dem Schreibtisch oder am USB-Ladegerät. Wir vertrauen unseren Smartphones die persönlichsten und intimsten Informationen an und doch wissen wir nicht, was die Geräte mit den ihnen anvertrauten Geheimnissen anstellen. Niemand kann sich sicher sein, ob sein Telefon gerade vertrauliche Daten an irgendjemanden im Internet versendet. Doch das soll sich nun ändern. Jetzt. Sofort. Gleich!

Die Free Software Foundation Europe (FSFE) hat zur »Befreiung« von Android die Initiative »Free your Android« ins Leben gerufen. Nach Vorstellung der FSFE soll das Android-Smartphone ganz ohne Google-Account auskommen und jeder soll die Kontrolle über das Gerät und die darauf gespeicherten Daten haben. Die Initiative ist begrüßenswert und verfolgt userer Ansicht nach den absolut richtigen Ansatz – allerdings mangelt es ihr bisher an konkreten Anleitungen und sie kratzt bei der Erörterung und Lösung von Problemen meistens nur an der Oberfläche.

In der Artikelserie »Your phone Your data« möchten wir die Idee der FSFE aufgreifen, erklären und weiterentwickeln. Dieses Projekt erfordert viel Geduld und die Bereitschaft sich ein Stück weit von der eigenen Bequemlichkeit – und natürlich auch von der Indoktrination der Hersteller, zu verabschieden.

Weiterlesen →

Permalink

11

Android Firewall ohne Root • NoRoot Firewall

1. Datenspione

No Root Firewall

Viele Android-Apps betrachten das Smartphone der Anwender als eine Art Datenparadies. Vollkommen unkontrolliert verlassen GPS Standort-Informationen, eindeutige Device-IDs oder Kontaktdaten das Gerät. Selbst wenn Anwender vor der Installation die eingeforderten Berechtigungen einer App prüfen, lässt sich nicht zweifelsfrei bestimmen, welche Daten später ungefragt versendet werden.

Bereits Anfang des Jahres versprach der Hersteller NetSpark den Datenverkehr mit der Android-Firewall Mobiwol kontrollieren zu können. Eine kurze Untersuchung und anschließende Auseinandersetzung mit den Betreibern lies tief blicken. IP-Verbindungen zu Adressen in den USA, Ukraine und Israel waren selbst vor dem NSA-Skandal mysteriös. Nachzulesen unter: Mobiwol – Android Firewall Mogelpackung

Seitdem ist eine weitere »NoRoot Firewall« erschienen – also eine Firewall die jeder Anwender ohne Modifikationen am Gerät installieren kann. Was kann die NoRoot-Firewall wirklich? Weiterlesen →

Permalink

9

Projekt arkOS: Installation SSL-Zertifikat

1. VerschlüsselungarkOS

In Zeiten von verdachtsloser Überwachung durch Geheimdienste sind Verschlüsselungstechniken essentiell. Ein SSL-Zertifikat für das Projekt »Raus aus der Cloud!« stellt somit eine Mindestanforderung dar. Nur so können Kalender, Kontakte, E-Mails und weitere private Daten weltweit »sicher« abgerufen werden.

Über die Administrationsoberfläche Genesis von arkOS lässt sich ein solches SSL-Zertifikat ausstellen. Dafür wird nicht zwingend eine Zertifizierungsstelle (Certificate authority, CA) benötigt – SSL-Zertifikate können ebenfalls selbst unterschrieben werden.

Rückblick: Das Projekt »Raus aus der Cloud!« soll zeigen, ob Privatanwender in der Lage sind Kalender, Kontakte, E-Mails und weitere private Daten selbst zu hosten. Gelingt mit arkOS eine Flucht aus der Cloud-Isolationshaft? Weiterlesen →

Permalink

11

Hacking WordPress – Ein Blick hinter die Kulissen

1. Hilfe ich wurde gehackt!Hacking WordPress

Allein in Deutschland ist der Verbreitungsgrad von WordPress enorm – Tendenz weiter steigend. Im weltweiten Vergleich mit anderen Content Management Systemen (CMS) hält WordPress einen Anteil von bis zu 51% (Top Million Sites). Beeindruckende Zahlen also, die WordPress immer stärker in den Fokus von professionellen Angreifern rückt. So attackierte ein Botnet im April diesen Jahres WordPress-Installationen weltweit.

Zum Schutz und Absicherung von Installationen wurden bereits zahlreiche Anleitungen veröffentlicht. Empfehlenswert sind »Hardnening WordPress«, »Initiative: Mehr Sicherheit für WordPress« (Sergej Müller) und meine Artikelserie »WordPress absichern«.

In diesem Beitrag werden allerdings keine weiteren Schutzmaßnahmen vorgestellt, sondern wie Angreifer vorgehen, um WordPress-Installationen zu hacken. Es soll ein kleiner Einblick hinter die Kulissen sein – in der Realität existieren weitaus mehr Möglichkeiten und Varianten. Weiterlesen →

Seite 1 von 912345...Letzte »