1. Ein Blick hinter die Kulissen
In E-Mails, nach Vorträgen oder am Rande von Veranstaltungen werde ich oftmals gefragt:
Welches Betriebssystem nutzt du eigentlich?
oder
Welche Dienste nutzt du, um dieser ganzen Datensammelei zu entgehen?
Im vorliegenden Beitrag möchte ich nun endlich diese und ähnliche Fragen aufgreifen und euch einen Einblick in meine aktuell favorisierten Anwendungen und Dienste (kurz AD) geben. Eines vorweg: Zu allen von mir genannten ADs existiert mit hoher Wahrscheinlichkeit immer mindestens eine gleichwertige oder sogar bessere Alternative. Geschmäcker sind aber bekanntlich verschieden und genauso verhält es sich auch bei der Wahl eines ADs. Dank der Selbstlosigkeit von Freiwilligen, die kleine oder auch große Open Source Projekte aktiv unterstützen bzw. daran mitwirken, können wir in den meisten Fällen ein AD auswählen, welches unserem persönlichen »Geschmack« am ehesten entspricht.
Tools die ich im Rahmen meiner Tätigkeit als Penetrationstester oder im geschäftlichen Umfeld einsetze, werden im Beitrag nicht genannt. Das würde den Bogen deutlich überspannen und wäre Stoff für eine ganze Artikelserie. Vielmehr möchte ich euch einen Einblick in meine ganz persönliche Auswahl privater ADs geben und damit neue Impulse setzen. Hin und wieder werde ich auch Alternativen zu ADs nennen, die ich selbst nutzen würde oder ganz einfach für erwähnenswert halte.
2. Die Wahl einer Anwendung bzw. Dienst
Vor dem Beitrag habe ich mich tatsächlich noch nie bewusst mit der Frage beschäftigt, nach welchen Kriterien ich ein AD eigentlich auswähle. Vielmehr war die Wahl eines ADs ein eher unterbewusster Prozess, der keinen festen Regeln oder einem Schema folgte. Nach einer Bestandsaufnahme meiner eingesetzten ADs würde ich den »Evaluationsvorgang« im Wesentlichen auf folgende Kriterien zusammenfassen:
- Open Source: Auf quelloffene Software lege ich größten Wert. Auch wenn ich sicherlich nicht jede Codezeile einzeln prüfe, so verbinde ich mit Open Source Software Transparenz und Vertrauen. Gerade für kritische Infrastrukturen oder bei der Verarbeitung sensibler Informationen kann proprietäre Software nicht die Antwort sein.
- Funktional: Ein AD sollte sich auf eine bestimmte Funktion beschränken. Ein Tool zum Komprimieren von Daten sollte bspw. keinen Taschenrechner integriert haben und muss auch nicht Kaffee kochen können. Software die immer mehr zur eierlegenden Wollmilchsau heranwächst, wird langfristig immer gegen eine »leichtgewichtige« Variante ersetzt.
- Fremdkommunikation: Sollte Software ungefragt eine Verbindung zu unbekannten Quellen (bspw. Server im Internet) initiieren, so ist dies ein klares Ausschlusskriterium. Damit möchte ich der unkontrollierten Weitergabe und Verarbeitung persönlicher Daten vorbeugen. Eine Kommunikation außerhalb meines »Netzwerks« ist erst dann gestattet, wenn ich die Aktion bewusst auslöse, um bspw. nach neuen Updates zu suchen. In der Realität ist gerade dieses Kriterium nicht immer ganz einfach realisierbar. Man denke da bspw. an den Firefox-Browser und seine »Nach-Hause-Telefonieren« Funktionen. Sofern sich solche ADs über Modifikationen nicht »bändigen« lassen, müssen sie einer Alternative weichen.
- Beständigkeit: Ich bevorzuge ADs die über einen längeren Zeitraum kontinuierlich und beständig weiterentwickelt werden. Hierbei ist auch entscheidend, wie die Projektverantwortlichen mit dem bekanntwerden von Sicherheitslücken umgehen bzw. in welchem Zeitraum Schwachstellen geschlossen werden.
- Abhängigkeiten: Nach Möglichkeit vermeide ich Software die viele Abhängigkeiten zu anderen Bibliotheken und dergleichen aufweist. Dazu zählt bspw. meine langjährige Abneigung gegen die plattformunabhängige Programmiersprache Java. Durch die Abhängigkeiten steigt das Risiko vor unkalkulierbaren Schwachstellen nur unnötig an.
- [ … ]
Habe ich ein wichtiges Kriterium vergessen? Das mag sein, denn dies stellt mein erster Versuch dar, den bis dato unterbewussten Prozess in eine Schablone zu verwandeln, nach der ich persönlich vorgehen würde. Zu den bereits genannten Kriterien mischen sich noch persönliche Vorlieben, wie bspw. das Design oder die Bedienbarkeit bzw. Usability einer Software. Das sind allerdings rein subjektive Empfinden, die von Person zu Person stark variieren – hier hat jeder seinen ganz eigenen Geschmack.
Im Folgenden möchte ich euch nun endlich meine ganz persönliche Auswahl an aktuell eingesetzten ADs vorstellen.
3. Betriebssystem und Systemumgebung
3.1 Das OS
Sowohl auf den Servern, als auch im Privat- und Geschäftsumfeld nutze ich Debian GNU/Linux. Auch kurze Ausflüge zu Arch Linux, OpenBSD und anderen Linux- bzw. Unix-Derivaten konnte daran bisher nichts ändern. Meine Erfahrung mit Debian auf den Punkt gebracht: Hohe Stabilität, breites Softwareangebot, transparenter Umgang mit Schwachstellen und eher konservative Entscheidungen bei der Aufnahme neuer Technologien. Da ich allerdings kein Freund großer Abhängigkeiten bin und die Installation »unnötiger« Software bzw. Bibliotheken gerne vermeide, deaktiviere ich unter Debian grundsätzlich die »Recommendations« und »Suggestions« für Pakete. Das lässt sich bspw. durch das Anhängen der Befehle
--no-install-recommends --no-install-suggests
erreichen.
Windows oder auch Mac OS würde ich nicht einmal dann einsetzen, wenn man mich für deren Nutzung bezahlen würde. Denn beide Hersteller haben längst einen Weg eingeschlagen, den sie wohl in absehbarer Zeit nicht mehr verlassen werden. Das Credo lautet einstimmig: Gewinnmaximierung durch die Sammlung, Auswertung und (womöglich) bald auch den Verkauf der Userdaten an externe Unternehmen. Wann immer jemand von den »großen Drei«, also Google, Microsoft oder Apple uns etwas vom Schutz unserer Privatsphäre oder Daten erzählen möchte, haben diese Aussagen so viel Bestand wie eine Tüte Gummibärchen im Kindergarten. In einem Kommentar über Windows 10 könnt ihr euch davon einen Eindruck vermitteln.
3.2 Desktop System
Zur Systemumgebung eines Desktop Systems zähle ich grundlegende Voraussetzungen wie eine Festplattenverschlüsselung, aber auch die Arbeitsoberfläche bzw. die Desktop Umgebung. Im Folgenden werde ich lediglich die Tools und Anwendungen verlinken. Wie meine Systeme im Detail konfiguriert sind, bzw. welche Hardening-Maßnahmen ich vorgenommen habe, würde auch wieder den Umfang des Beitrags sprengen. Debian Anwender finden in der Securing Debian Manual wertvolle Tipps zur Absicherung des Systems.
| Kategorie / Anwendungszweck | Anwendung |
|---|---|
| Festplattenverschlüsselung | LUKS über LVM |
| Desktop Umgebung | XFCE über xfwm (Window Manager) |
| Design | Ambiance & Radiance (Theme), Vibrancy Colors (Icons), Ambiance & Radiance Flat Colors (Stil) |
| Display Manager | LightDM |
| Bildschirmsperre | light-locker |
| System-Monitor | conky |
Der Kuketz-Blog ist spendenfinanziert!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
3.3 Server System
Bei einem Linux Server System braucht man eigentlich nicht viel Software bzw. weniger ist hier mehr. Viel wichtiger als sich das System mit irgendwelchen Security Tools vollzuballern, ist die korrekte und sichere Konfiguration der Schnittstellen/Dienste (bspw. SSH-Hardening) nach außen. Tools wie OSSEC oder fail2ban halte ich dennoch für sinnvoll – allerdings nur dann, wenn sie auch korrekt konfiguriert sind und Alarme nicht ignoriert werden.
| Kategorie / Anwendungszweck | Anwendung |
|---|---|
| Festplattenverschlüsselung | LUKS über LVM |
| Datenbank | MySQL |
| Backup | rsnapshot |
| Host Intrusion Detection System | OSSEC |
| Intrusion Prevention (sinnvoll gegen Script-Kiddies) | fail2ban |
| System Monitor | Monit |
| Log File Analyse | Logwatch |
Hinweis: Online Dienste, die auf den Servern gehostet werden findet ihr unter Ziffer 5.
4. (Desktop) Anwendungen
Wie ihr sicherlich schon aus dem vorigen Abschnitt erfahren habt, nutze ich ausschließlich Linux. Die folgende Liste ist insofern auch nur für jene interessant, die selbst ein Linux System einsetzen oder mit dem Gedanken spielen den Wechsel demnächst vorzunehmen. Für kommerzielle Anbieter (Microsoft, Apple) ist die Datensammlung bereits alternativlos – Grund genug also nicht nur über einen Wechsel nachzudenken, sondern diesen auch zu vollziehen. Spätestens seit Ubuntu, Linux Mint oder auch weitere für Linux-Einsteiger geeignete Distributionen, hat die Ausrede »viel zu kompliziert« keinen Bestand mehr. Hand auf’s Herz: Ein Wechsel scheitert meist an der eigenen Bequemlichkeit sich mit Neuem zu beschäftigen und alte Gewohnheiten in Frage zu stellen.
Hinweis: Ein Teil der Anwendungen fügt sich je nach Desktop Umgebung (GNOME, KDE, XFCE, etc.) besser bzw. schlechter in die Umgebung ein.
| Kategorie / Anwendungszweck | Anwendung |
|---|---|
| Büro | |
| Texteditor | mousepad |
| Office-Paket | LibreOffice |
| PDF-Viewer | qpdfview, MuPDF |
| EPUB Verwaltung | Calibre |
| Taschenrechner | gcalculator |
| Scanprogramm | Simple Scan |
| LaTeX, HTML, PHP, [ … ] | Geany |
| Internet | |
| Browser | Firefox (Iceweasel) + Tor-Browser (Hinweis: Schaut euch die Artikelserie »Not my data« an) |
| Thunderbird (Icedove) | |
| FTP bzw. Dateiaustausch | FileZilla |
| Bit-Torrent Client | Transmission |
| Bitcoins | Electrum |
| Multimedia | |
| Video- und Audioplayer | VLC |
| Bildbetrachter | gpicview |
| Bildbearbeitung | GIMP |
| Vektor-Grafiken | Inkscape |
| Mp3Tagger | puddletag |
| Tools | |
| Archive Manager | Xarchiver |
| Virtuelle Maschinen | VirtualBox |
| Netzwerk Mitschnitt | Wireshark |
| Sicherheit | |
| VPN | vpnc |
| Datenverschlüsselung | eCryptfs |
| E-Mail Verschlüsselung | GnuPG |
| Passwort Manager | KeePassXC |
| Backup auf externen Server | duplicity |
Standard Tools wie bspw. xrandx, ssh, top etc. habe ich in der Aufstellung nicht genannt. Diese Anwendungen sind meist Bestandteil einer jeden Linux-Distribution. Sie sind zwar nicht weniger wichtig, allerdings wollte ich keine Standard Tools auflisten, sondern solche, die meist zusätzlich installiert werden. Immerhin geht es in diesem Beitrag ja um den persönlichen Geschmack. ;-)
5. (Server) Dienste
In der Informatik kennen wir unter anderem Netzwerkdienste oder Systemdienste. Im Idealfall ist es für einen Anwender nicht notwendig, die dahinter stehende Technik zu verstehen sondern bspw. über definierte Schnittstellen einfach zu benutzen. Ganz so leicht ist es dann allerdings doch nicht immer, denn wer Dienste selbst hostet, der ist Administrator und Anwender in einer Person. Ihr werdet schnell feststellen, dass ich den Großteil meiner Dienste, wie bspw. E-Mail Server oder auch Webserver, selbst hoste. In diesem Fall werde ich versuchen eine Alternative zu nennen, denn nicht jeder verfügt über die notwendige Zeit, einen solchen Server ausreichend sicher und ohne große Ausfälle zu betreiben.
| Kategorie / Anwendungszweck | Self-Hosted | Dienstleister |
|---|---|---|
| Basis | ||
| Webserver | nginx + NAXSI (WAF) | – |
| E-Mail Server | Postfix & dovecot Alternativen: arkOS (Tutorial arkOS) Kolab horde | mailbox.org |
| Büro | ||
| Kalender | ownCloud Alternativen: Baikal (Tutorial Baikal) arkOS (Tutorial arkOS) Kolab horde | mailbox.org ownCloud Hosting |
| Adressbuch | ownCloud Alternativen: Baikal (Tutorial Baikal) arkOS (Tutorial arkOS) Kolab horde | mailbox.org ownCloud Hosting |
| ToDo Synchronisation | ownCloud Alternative: horde | ownCloud Hosting |
| Entfernter Dateizugriff | ownCloud Alternative: arkOS (Tutorial arkOS) | ownCloud Hosting |
| RSS Reader | ownCloud Alternative: Tiny Tiny RSS | ownCloud Hosting |
| Kommunikation | ||
| Messaging | ejabberd Alternative: Openfire Prosody IM | CCC Jabber Server |
| Forum | phpbb | – |
6. Smartphone
In der Artikelserie »Your phone – Your data« haben wir bereits ausführlich beschrieben, wie ihr die Herrschaft und Kontrolle über eurer Android Smartphone zurückerlangt. Der dort beschriebene Weg ist sicherlich nicht einfach, in Anbetracht von Googles Datensammelwut und dem »kaputten« Berechtigungssystem jedoch alternativlos. Wem sein »digitales Ich« am Herzen liegt, der kann Android nur über ein Custom-ROM und Tools wie AFWall+ und XPrivacy guten Gewissens betreiben.
Für viele Altgeräte sind alternative Custom-ROMs der einzige Weg, um in den Genuss von neuen Android-Features und vor allem Sicherheitspatches zu kommen. Daher setze ich persönlich ausschließlich Geräte ein, die zu LineageOS kompatibel sind.
Eines möchte ich noch klar und deutlich anfügen: Trotz aller Modifikationen die ich selbst noch vorgenommen habe, traue ich keinem mobilen Endgerät bspw. einen privaten GnuPG Schlüssel oder andere hochsensible Daten an. Selbst wenn wir im Idealfall die Software unter Kontrolle haben sollten, so gilt das noch lange nicht für den Prozessor, den RAM oder andere proprietäre Hardware-Komponenten. Nicht zu vergessen hat kein Otto-Normal-Verbraucher die Kontrolle über das Baseband oder den Provider – dieser weiß nämlich immer in welchem Sendemast wir eingebucht sind.
| Kategorie / Anwendungszweck | App |
|---|---|
| Internet | |
| Browser | Orfox |
| K-9 Mail | |
| Büro | |
| Kalender Synchronisation | DAVx5 |
| Adressbuch Synchronisation | DAVx5 |
| ToDo-Liste | Tasks |
| Entfernter Dateizugriff | ownCloud |
| RSS Reader mit Synchronisation | Nextcloud News |
| Geburtstage | BirthdayAdapter |
| PDF-Viewer | MuPDF |
| Multimedia | |
| Video- und Audioplayer | VLC |
| Youtube-Videos | NewPipe |
| TV-Programm | TV-Browser |
| Dateimanager | Simple File Manager |
| Navigation | |
| Offline/Online Navigation | OsmAnd |
| Personennahverkehr | Transportr |
| Kommunikation | |
| Messaging | Conversations Alternative: SMSSecure Signal Kontalk |
| Privatsphäre & Sicherheit | |
| Werbung / Tracker blockieren | AdAway |
| Tor-Netzwerk | Orbot |
| Firewall | AFWall+ |
| Berechtigungsmanager | XPrivacy |
7. Fazit
Die Digitalisierung hat längst den Alltag erfasst. Smartphones, Wearables und andere vernetzte IT gehören bereits wie selbstverständlich zum Lebensumfeld. Wir produzieren damit Unmengen an Daten, über dessen Verwendung wir allerdings immer weniger mitbestimmen dürfen. Das Potenzial dieser Daten haben Staat und Wirtschaft längst erkannt und entwickeln immer ausgefeiltere Strategien, um die Datenströme verwertbar zu machen. Es ist daher wenig überraschend, dass Big Data in Zukunft in nahezu alle Alltagsbereiche vordringen wird. Unsere Persönlichkeitsrechte stehen dabei in zunehmendem Konflikt mit dem Wunsch der Industrie und Behörden, diese Daten zu erhalten, sie zu analysieren und die daraus gewonnen Erkenntnisse zu nutzen. Ohne Schwarzmalerei betreiben zu wollen: Langfristig gesehen sind wir nur noch Variablen in einem Berechnungsalgorithmus, der dann entscheidet ob uns die Versicherung aufnimmt, wie teuer unser nächster Flug wird oder die nächste Demo schon aufgelöst wird, bevor sich die Menschen überhaupt zusammengefunden haben.
Datenflüsse die unbemerkt stattfinden oder weil wir diesem Vorgang über unverständliche AGBs zugestimmt haben, können wir nicht immer entgehen. Doch durch die Wahl unserer technischen Systeme, Software und Dienstleister können wir die allumfassende Datensammlung eindämmen und zu einem hohen Maß beeinflussen, wer unsere Daten bekommt. Im Idealfall bleiben sie bei uns bzw. es werden nur jene Daten weitergegeben, für dessen Weitergabe wir uns wissentlich entschieden haben.
Mit dem vorliegenden Beitrag habe ich euch einen Blick »hinter die Kulissen« gewährt und ihr durftet meinen ganz persönlichen Geschmack kennenlernen. Falls in Zukunft wieder Fragen zur verwendeten Software, Apps und dergleichen aufkommen kann ich nun ganz entspannt auf den Beitrag verlinken. ;-)
Bildquellen:
Owl: OpenClipart-Vectors, Creative Commons CC0
Debian: ClkerFreeVectorImages, Creative Commons CC0
Robots: alluregraphicdesign, Creative Commons CC0
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Projekt arkOS: Installation SSL-Zertifikat
Datenschutzfreundliche Apps und Dienste – Android ohne Google?! Teil7
Projekt arkOS: Hardware und Installation
Projekt arkOS: Erste Konfigurationsschritte
ownCloud – Eine Alternative zu nebulösen Cloud-Diensten?
79 Ergänzungen zu “Anwendungen und Dienste nach meinem »Geschmack«”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Moin Mike,
danke für deine Offenheit. Sehr interessant.
Gerade beim Handy stellt sich mir die Frage wie du dich in den normalen Nutzer hereinversetzen kannst. Selbiges Problem habe ich auch. Mein System soll bitte sicher sein (also zB cyanogenmod), aber ich will auch wissen wie der normale User sein Handy und die Dienste nutzt und dafür müsste ich es eigentlich selbst testen (zB Google Now) und somit wiederum eigene Daten absichtlich herausgeben.
Ich versuche aktuell einen Mittelweg (S5 mini scheint eh noch keine gescheite Cyanogenmod Version zu haben) und versuche mich über Lesen weiterzubilden um über die „reale“ Welt etwas zu erfahren.
Wie machst du das?
Hi Julian,
also zum Testen von Apps auf externen Datentransfer oder auch auf Schwachstellen nutze ich Android Emulatoren und Testgeräte, ohne jegliche private Daten.
Mit den »normalen« Nutzern führe ich oft nach Vorträgen oder Veranstaltungen einen Plausch über ihre Probleme. Oftmals stelle ich dann fest, dass trotz dem ganzen Medienrummel einige noch immer nicht mitbekommen haben, wie Daten ungefragt das Smartphone verlassen. Einige sind sich dessen auch bewusst, können und wollen aufgrund der großen Verbreitung von WhatsApp Co. aber nicht auf Alternativen wechseln. Es wird dann immer angeführt: »Aber dann kann ich ja gar keinen Kontakt mehr halten…«. In einer Diskussion mache ich ihnen dann klar, dass sich mit der Einstellung nichts ändern wird, weil alle ähnliche Denkmuster verfolgen. Es ist nicht immer leicht, weil sich viele Nutzer aufgrund ihrer Bequemlichkeit oft querstellen und im Prinzip lieber ihre Daten »verschenken«, anstatt auf sichere, transparente und quelloffene Alternativen zu wechseln. Aber lass uns jetzt nicht vom Thema abkommen und eine reine Android-Diskussion anfachen. Das würde ich im Zusammenhang mit diesem Beitrag gerne vermeiden. ;-)
Guten Tag Herr Kuketz
Erstmal Danke für Ihren informativen Blog. Bin erst seit kurzem Leser hier und finde die Beiträge sehr spannend. Was mich sehr interessieren würde ist Ihr Passwortmanagement. Gemäss Ihrem Beitrag verwenden Sie KeepassX. Das funktioniert ja gut zu Hause. Aber wie machen Sie das, wenn Sie unterwegs sind? Haben Sie immer Ihren Laptop dabei. Clouds oder die Synchronisation mit ihrem Handy werden Sie vermutlich ja nicht machen. Das wäre noch interessant zu hören.
Beste Grüsse
Jona
Hallo Jona,
ich habe meinen Laptop oft dabei. Und falls ich mal unterwegs bin und irgendwo nicht rankomme, dann muss es eben warten bis ich wieder zu Hause bin. ;-)
Danke für die Liste.
Ganz wichtig ist noch ein eigenes DNS-Cache zu betreiben, damit niemand DNS-Antworten manipulieren kann.
Ich verwende dnscache dnscache von Daniel Bernstein.
Generell bin ich von der DJB software begeistert und verwende daher auch die daemontools, tinydns, qmail und taiclock.
Bisher habe ich als webserver mathopd verwendet, jetzt werde ich mir mal nginx ansehen….
Ciao, Günter
Hallo Mike!
Danke für deine Auflistung
Hab in der Vergangenheit auf Grund der Offenheit von Debian auch mal versucht auf Debian zu switchen hatte aber ein paar Probleme. Vielleicht hast du ja einen Tipp parat. Und zwar:
Debian hat ja einen rpcbind service standardmäßig am Laufen was mir ziemlich unsympatisch ist. Die Deinstallation von rpcbind hat bei mir damals jedoch zu vielen Grafikfehlern geführt. Besteht dieses Problem nur in Verbindung mit dem Gnome Desktop oder ist dies auch bei XFCE ein Problem. Falls das Problem auch bei XFCE besteht – wie handelst du das Ganze?
Bezüglich Debian Desktop Hardening: Was hälst du abgesehen von HDD-Encryption und Deinstallation von rpcbind und openssh-server auf einem Desktop Rechner in punkto Hardening für sinnvoll? Ist wirklich quasi das gesamte Debian Hardening Manual auch auf einem Desktop sinnvoll?
Gibts für den OpenSource AMD Treiber (radeon) eine Tearfree Option (Vsync) (wie zB die Option für Intel Grafikkarten in der xorg config?). Hab das Ganze mit Opensource Treiber nie ohne Tearing hinbekommen
Bezüglich Orfox: Am Repo gabs für eine Alpha schon verdächtig lange keine Updates mehr. Ist das Projekt irgendwie gestorben? Weist du Vielleicht was darüber und was setzt du als Zweitbrowser am Smartphone ein?
MfG Daniel
Hallo Daniel,
ich versuche die Fragen mal der Reihe nach zu beantworten.
1. Mit dem Befehl (kennst du sicherlich) »apt-get remove rpcbind –purge« ist rpcbind Geschichte. Ich habe keine Probleme in Verbindung mit der XFCE Oberfläche.
2. Das komplette Hardening Guide halte ich auf einem Deskop System für nicht sinnvoll. Teile davon schon. Was ich immer mache reiße ich jetzt nur kurz an, sonst artet es aus.
– Tweaks über die sysctl.conf
– Unnötige Module deaktiveren
– iptables Konfiguration (bspw. blocke ich damit den gesamten Google Adressraum von INNEN usw.)
– [ … ]
3. Das weiß ich nicht. Musst du die Suchmaschine anschmeißen oder in Mailing Listen schauen.
4. Das Orfox Projekt ist nicht tot soweit ich weiß. Als Zweitbrowser nutze ich Firefox mit diversen Plugins (bspw. NoScript, uBlock, etc.)
Danke Mike für die schnelle Antwort
ad 1) OK, hatte es damals auch mit –purge entfernt. Da ich irgendwo gelesen habe, dass Gnome in irgendeiner Weise rpcbind benötigt, dachte ich die Bildfehler sind auf rpcbind zurückzuführen. Komischerweise treten die Bildfehler nur im TorBrowser und Iceweasel auf. Werde mal die Treiber vom Rolling Release Debian Repo probieren
ad 2) Warum blockst du den gesamten Google Adressraum unter Linux? Unter Android wars für mich verständlich, da ja quasi Android nach Hause telefonieren möchte. Ublock sollte ja die Tracker im Browser blocken.
Bauen die Google Server etwa eine P2P Verbindung zum eigenen Rechner auf oder aus welchen Gründen blockst du den gesamten Adressraum in der Firewall?
Was ist deine Meinung zu Tools wie AppArmor oder DNSCrypt?
Nutzt du Grsecurity und PaX und falls ja via Patches über den Paketmanager oder einen eigens gebauten Kernel? Hat Grsecurity eine Berechtigung am Desktop oder hälst du das für nicht notwendig/übertrieben?
Hallo Daniel,
zu 2.) Hin und wieder kommt mir ein Tool unter die Augen, die gerne irgendwelche Google Server kontaktieren (aus welchen Gründen auch immer). Dies kann ich mit der Sperrung des kompletten Google Adressraums mit hoher Wahrscheinlichkeit vermeiden, außer der Adressraum vergrößert sich gerade und meine Datenbestände sind noch etwas älter. Das mag jetzt wieder super paranoid klingen, aber ich will nichts von Google und die müssen dann im Gegenzug auch nichts von mir wollen. ;)
zu 3.) AppArmor dient primär der Absicherung von Prozessen mit Netzwerkzugriff und den von ihnen aufgerufenen Prozessen. Für den ein oder anderen Serverdienst oder »hochsichere« Umgebung können solche Maßnahmen die Wahrscheinlichkeit für einen erfolgreichen Angriff reduzieren. Für Grsecurity und PaX gilt im Prinzip dasselbe: Sie können durch die Modifikationen am Kernel die Angriffsvektoren minimieren bzw. senken die Wahrscheinlichkeit für einen erfolgreichen Angriff. Schaden tut es auf einem Desktop System sicherlich nicht – aber hin und wieder treten Probleme oder Inkompatibilitäten auf. Hin und wieder kollidieren die »Maßnahmen« auch mit der zukünftigen Ausrichtung des Linux Kernels.
Danke für die Antwort.
Werds mal sicherheitshalber auch blockieren. Hätte nicht gedacht dass auf einem Linux mit großteils Open Source Software da noch etwas nach Hause telefoniert ;)
Wie handelst du die iptables Firewall, dass das Script beim Start ausgeführt wird? Ich wollte das Ganze über „/etc/network/interfaces“ und „pre-up iptables-restore < /etc/iptables.rules" machen, jedoch ist im Config File eth0 und wlan0 nicht aufgelistet. Scheinbar wird die Kontrolle über die Interfaces vom GUI Tool übernommen
Über »/etc/network/if-pre-up.d/iptables«.
Auch von mir ein Danke, toll geschrieben wie immer und recht ausführlich.
ps. kommt es nur mir so vor oder hast du die letzten Tage/Wochen etwas „mehr luft zum schreiben“ ;)
Nochmal vielen Dank für die strukturierte Auflistung..Du öffnest Augen und hast auch passende Lösungen parat..Goldwert,weiter so!
Im Grunde sind das alles gute Ansätze, aber ich finde Du solltest nicht verschweigen, dass ein großer Teil der Datenschnüffelei tatsächlich auf der Analyse von Verkehrs- und Metadaten basiert. Das mag bei einem OS wie Windows oder iOS leichter sein als auf einem Debian GNU Linux, aber letztendlich ist es größtenteils unabhängig vom Betriebsystem. So lange man online ist, hinterlässt jedes System Spuren. Und die große Frage ist tatsächlich, ob Google, Apple und Microsoft oder eine (zukünftige) Regierung die ernstzunehmenderen „Feinde“ sind.
Auch Open Source = Peer Review = sicher als Faustregel ist ja in den letzten Monaten mehrmals widerlegt worden: OpenSSL-Lücken, Shellshock etc.
Das macht Deine Tipps nicht weniger wertvoll, aber es sollte klar sein, dass man sich nur durch totale Internet- und Handy/Smartphone-Abstinenz wirklich „schützen“ kann – wovor auch immer.
Hallo Tobias,
in älteren Beiträgen bin ich auf die Thematik Geheimdienste, Meta-Daten etc. häufig eingegangen. Im Kern geht es mir im vorliegenden Beitrag nicht um die Vermeidung von Meta-Daten oder die »Täuschung« von Geheimdiensten. Vielmehr bedrückt mich der sorglose Umgang mit personenbezogenen Daten und wie wir dies durch die Verwendung alternativer Software und Dienste minimieren können. Wir müssen diese Daten nicht frei Haus an irgendwelche US-amerikanische Konzerne schicken, die auch ganz eng mit der NSA und Co. verzahnt sind.
Weiterhin wären Shellshock und auch andere schwere Schwachstellen vermutlich gar nicht entdeckt worden, wenn es sich dabei um proprietäre Software gehandelt hätte. Gerade bei kritischen Infrastrukturen oder Diensten halte ich Open Source Software für unverzichtbar, da hier eben die Möglichkeit besteht auch solche Fehler aufzudecken. Entscheidend ist dann wie damit umgegangen wird, denn Fehler passieren immer und überall.
So weiter möchte ich dies jetzt aber nicht unbedingt vertiefen, denn diese Thematik ist ein endloses »Diskussionskarussel«. ;)
Wiedermal ein großartiger Artikel mit dem du einige Fragen, die ich an dich hatte, beantwortet hast.
Ich bin schon gespannt auf weitere Blog Einträge von dir.
Hallo Mike,
du verwendest K9 Mail aber legst keinen privaten GnuPG Schlüssel aufs Smartphone. Damit kannst du natürlich auch nicht auf diesem Wege verschlüsselt kommunizieren.
Eines verstehe ich allerdings nicht (kenne mich da aber auch nicht aus), wenn du der Hardware vom Smartphone nicht traust, wo ist der Unterschied zu Laptop oder Desktop Hardware? Kann diese nicht genauso manipuliert sein? Z.B. hatte ich kürzlich so etwas von Win10 gehört, daß dies nach einmaliger Aktivierung Hardware dahingehend manipuliert, daß teilweise selbst eigene Daten nicht mehr nutz- und kopierbar sind, da diese nicht den Regulierungen von MS entsprechen.
Auch habe ich von Bestrebungen gehört, die dahin gehen, das Installieren freier Software schon von der Hardwareseite zu unterbinden – das Ende von open source?!
Bis dahin lese ich immer wieder gern deinen Blog.
Hallo Bernd,
auch diese Frage in aller Ausführlichkeit zu beantworten würde wohl wieder einen kompletten Beitrag benötigen. ;)
Als problematisch sehe ich besonders das neue UEFI BIOS mit seiner UEFI-Codesigning Technologie an. Das ist Microsoft Bullshit vom Feinsten. Daher nutze ich immer das »klassische« BIOS. Sollte es eure Hardware unterstützen könnt ihr dann bpsw. auch auf coreboot wechseln. Auf einigen neuen Systemen verhindert der Intel Boot Guard allerdings den Austausch des Hersteller-BIOS – solche Hardware bitte direkt boykottieren.
Weiterhin benötigen (alle?) Intel WLAN-Chipsätze geschlossene Firmwares, die sich unter Debian über das Paket »firmware-iwlwifi« installieren lassen. Von daher sind bspw. Atheros Chipsätze empfehlenswert. Einige Modelle (bspw. mit AR9170 Chipsatz) lassen sich dann über das Paket »firmware-linux-free« und mit quelloffenen Treibern betreiben.
Weiterhin gibt es immer neue Bestrebungen für quelloffene Hardware.
[1] https://www.crowdsupply.com/purism/librem-15
[2] https://www.golem.de/news/project-novena-crowdfunding-fuer-den-open-source-laptop-1404-105582.html
[3] https://www.fsf.org/news/gluglug-x60-laptop-now-certified-to-respect-your-freedom
Habe ich aber noch keine Meinung zu, da ich mir keines genauer angeschaut habe.
Zu [1]
Hier hat sich schonmal jemand damit auseindandergesetzt:
https://www.reddit.com/r/linux/comments/3anjgm/on_the_librem_laptop_purism_doesnt_believe_in/
Interessanter Beitrag von Alexandru Gagniuc. Und die Brisanz von Closed-source-Firmware bringt er in einem Satz auf den Punkt: I can make your firmware email me a daily digest of your passwords and Facebook activity, and you wouldn’t even know about it.
Hi Mike,
welchen Laptop bzw. welche Hardware nutzen sie denn? Welche Hardware-Hersteller sind empfehlenswert?
Empfehlenswert ist all jene Hardware, auf die sich Coreboot (noch) installieren lässt: https://coreboot.org/status/board-status.html
Ich selbst nutze Coreboot-fähige Hardware. ;-)
Hardware mit integriertem TPM solltet ihr meiden.
Ist coreboot oder libreboot zwingend notwendig?
Zwingend nicht. Aber ein quelloffenes BIOS ist sicherlich besser als eines, in dem eventuell Hintertüren eingebaut sind, die sich nur schwer erkennen lassen.
Ich habe mich sehr über die hilfreiche Auflistung an Tools und Diensten gefreut. Zwei Fragen habe ich allerdings:
1. Du schreibst, dass du großen Wert auf die Quelloffenheit von Software legst. Wie stark verfolgst du diesen Ansatz bzw. hälst es für sinnvoll? Anders formuliert: Ist die Tatsache, dass z.B. eine ÖPNV-App nicht open source ist, ein Ausschlusskriterium für die Verwendung oder geht es dir vor allem um „kritische Infrakstruktur“?
2. Du verwendest K9-Mail für Emails auf dem Smartphone. Ich selbst habe am PC die sicherheitsrelevanten Einstellung für mein Mailprogramm wie im Privacy-Handbuch beschrieben (https://privacy-handbuch.de/handbuch_31.htm) verändert. Können diese Einstellungen (z.B. SSl-Konfiguration etc.) auch auf dem Handy vorgenommen werden und wenn nein, hälst du das Risiko für vertretbar?
@ Jack: Ohne einer Antwort von Mike vorgeifen zu wollen, möchte ich mal deine Frage nach dem Reinheitsgebot (Freie Sotware und nichts als das) aufgreifen, weil ich sie spannend finde. Dabei geht es ja letzten Endes nicht nur um Anwendungen, sondern beispielsweise auch um Treiber. Auf meinem Notebook etwa läuft Debian „out of the box“ bis auf eine Ausnahme: Wifi. Wenn ich also keine komplette Funkstille will, muss ich das unfreie Paket firmware-iwlwifi installieren. Weiter geht’s mit unfreien Codecs fürs Abspielen mancher Audio- und Videoformate, die beispielsweise bei Linux Mint inklusive sind, aber beim puristischen Debian fehlen …
Wünschenswert wäre natürlich ein Rechner, auf dem – inklusive aller Firmware – ausschließlich freie und quelloffene Software läuft. Wie weit man sich diesem Ideal allerdings annähert und wie viele Einschränkungen man dafür in Kauf nimmt, muss jeder selbst entscheiden (und allein dadurch, dass er diese Entscheidung bewusst trifft, unterscheidet er sich von 98 % aller Nutzer). Ich persönlich habe auf meinem Haupt-Notebook sogar ein unfreies Banking-Programm installiert, während mein Reise-Laptop sehr clean ist (und nebenbei ein höheres Sicherheits-Niveau mitbringt), aber deutlich weniger benutzerfreundlich.
Hallo Jack,
1. Das ist ein Ausschlusskriterium. Ich meine tatsächlich ausschließlich Open Source zu verwenden.
2. Die SSL-Konfiguration bzw. ob TLS vom Mailserver angeboten wird ist Aufgabe des Hosters. K-9 Mail unterstützt jedenfalls die Verschlüsselung via SSL/TLS. Die Einstellungen in K-9 sind natürlich anders, als jene die im Privacy-Handbuch für Thunderbird zu finden sind.
Vielleicht habe ich mich unklar ausgedrückt: Dass K9-Mail SSL unterstützt, ist mir bewusst. Mir ging es konkret um die beschrieben Einstellungen, also:
– Lassen sich unsichere Verschlüsselungsverfahren deaktivieren?
– Lässt sich insecure renegotiation verbieten?
– Sendet K9-Mail einen Useragent und wenn ja, lässt sich dies deaktivieren/fälschen?
@Jack
Zu K-9:
Konteneinstellungen > Nachrichten abrufen > Posteingangs-Einstellungen > Sicherheitstyp: „SSL/TLS“ auswählen
Konteneinstellungen > Nachrichten verfassen > Postausgangs-Einstellungen > Sicherheitstyp: „SSL/TLS“ auswählen
Hallo,
ich hätte noch Fragen zu dem Thema:
1. Was nützt einem Cyanogenmod, wenn die Verschlüsselungsfunktion nicht gegeben ist? Bei einigen Geräten wird im CM-Wiki dies als Bug/Fehler ausgegeben und aus Eigenerfahrung mit Samsung Galaxy Gertäten kann ich das auch bestätigen. Gibt es Geräte bei denen die Verschlüsselung funktioniert oder ist es empfehlenswert ein anderes Programm zur Verschlüsselung zu verwenden? Oder gibt es Empfehlungen zu bestimmten Geräten, die gut mit CM laufen?
2. Wie steht es eigentlich um Blackberry? Konkret Geräte mit Blackberry OS 10? Im Artikel wird ja kurz eine ablehnende Haltung gegenüber propritären PC-Betriebssystemen wie Windows oder OS X zum Ausdruck gebracht. Wie stehts um Blackberry aus Sicherheitssicht, jenseits von finanziellen Aspekten?
Vielen Dank für kurze Rückmeldung auf meine Fragen :)
@ Fleischwolf:
Bei mir funktioniert die Verschlüsselung sowohl auf einem antiken Nexus S als auch auf einem ziemlich neuen Moto G 2nd Generation LTE völlig problemlos. Wie deine Ansprüche an ein Smartphone sind (abgesehen von der Verschlüsselung), weiß ich natürlich nicht, aber mit der letzgenannten Moto-G-Variante bekommst du ein Gerät mit einem erstklassigen Preis/Leistungsverhältnis.
Deine Frage nach dem Blackberry ist heikel. Wie soll jemand beurteilen können, ob in einer Tüte etwas Gefährliches ist, wenn niemand in die Tüte sehen darf? (Und so ist das mit Software ohne offenen Quellcode ja grundsätzlich.) Seinen Ruf als Hersteller „sicherer“ Geräte verdankt Blackberry im Wesentlichen dem Einsatz des Triple Data Encryption Standard (Triple DES) beim Messaging. Das Problem dabei ist, dass Blackberry für damit verschlüsselte Nachrichten so etwas wie ein „Generalschlüssel“ hat. Letzten Endes geht es hier also nur um „gefühlte Sicherheit“ – und das ist die trügerischste.
Hallo Woodchuck,
danke für die Antwort.
Meine Erfarhung basiert auf ein Galaxy S2 und S3, jedoch seinerzeit noch mit CM11. Es freut mich jedoch zu hören, daß sich in der Richtung Dinge verbessert haben.
Zum Thema Blackberry: Ich wollte eigentlich Blackberry 10 Geräte und den Nachrichtendienst BBM nicht über einen Kamm scheren. Mir ist bekannt, daß BBM grundsätzlich nur „transportverschlüsselt“ ist. Ich nutzte/teste jedoch derzeit BBM Protected, wofür Blackberry dreifache Verschlüsselung (TLS transport layer encryption, BBM 3DES message encryption und protected advanced encryption) verspricht. Hierbei handelt es sich, so mein Verständnis, dann um echte End-zu-End-Verschlüsselung. Ob Blackberry dafür natürlich nicht auch einen Gott-Schlüssel hat und im Sinne des trusted 5 Prinzips Daten entschlüsselt und zur Analyse den Geheimdiensten zur Verfügung stellt, kann niemand von außen ermessen.
Generell bin ich derzeit am Testen zwischen Threema, Signal und BBM um private Kommunikation abzuwickeln. Dabei geht es nicht um Staatsgeheimnisse und auch nicht um Gespräche rund um die Leistengegend, wofür Repressionen zu befürchten wären. ;) Es geht nur darum möglichst privat kommunizieren zu können sowie Ideen auszutauschen (zumindest frei von der Auswertung zu Werbezwecken etc etc.). Und hier ist halt die Frage wie seriös die Threema-Verschlüsselung ist. Wie seriös ist Signal/Textsecure mit Serverstandort USA? Inwieweit BBM mit BBM Protected auch sicher ist, vermag ich nicht zu ermitteln. Fakt ist jedoch, daß BBM Protected mit Abstand am kostenintensivsten ist von den drei genannten Diensten.
@ Fleischwolf
Abgesehen von seltenen Fällen, in denen ich beruflich Informanten schützen muss (und in diesem Zusammenhang würde ich generell nur im äußersten Notfall ein Smartphone einsetzen), ist meine Kommunikation auch von bestürzender Harmlosigkeit. Trotzdem will ich sie nicht überwacht haben – und abgesehen davon ist jede stark verschlüsselte Nachricht, die durch die Netze geht, ein Sandkorn im Getriebe der Überwacher. (Okay, ein Staubkorn, vielleicht auch nur ein sperriges Molekül.)
Zu deinem Experimentierfeld:
– Signal: Quelloffen, entwickelt von Leuten, die in der Kryptographie ein hohes Ansehen haben. Schönheitsfehler: Läuft nur auf iOS, also eingebettet in ein Betreibssystem, das sich er Kontrolle des Nutzers sehr weit entzieht und deswegen wenig vertrauenswürdig ist.
– Threema: kein offener Quellcode – gerade im Bereich Sicherheit/Privatsphäre eigentlich ein No-No. Immerhin haben vor einiger Zeit Security-Forscher mal ein Reverse Engineering betrieben, den Maschinen-Code von Threema in Quellcode „zurückübersetzt“ und bei dessen Untersuchung keine gravierenden Sicherheitslücken oder Hintertüren entdeckt – aber natürlich gilt das Ergebnis nur für diese eine, jetzt veraltete Version. Großer Vorteil von Threema ist natürlich die relativ weite Verbreitung (was nützt des beste Messenger, wenn ihn niemand außer dir nutzt).
Wenn es um deine Dreifaltigkeit von Threema, Signal und BBM geht, wäre Signal – isoliert betrachtet – der klare Sieger. Nur leider taugt die isolierte Betrachtung wenig – eine App kann nur so sicher sein wie das sie umgebende Betriebssystem.
Ich selbst nutze drei Messanger bzw. SMS-Programme, von denen zwei den Nachteil haben, das sie bsiher nur unter Android (CM, Omnirom usw.) laufen.
Kontalk: Quelloffen, ein sehr guter Kompromiss zwischen starker Verschlüsselung und Bedienerfreundlichkeit. Das sehr engagierte Entwickler-Team möchte auch eine iOS-Version herausbringen – wie schnell das bei ihren knappen Personal- und Finanz-Ressourcen klappt, ist schwierig vorherzusehen.
SMSSecure: Quelloffen, starke Verschlüsselung für SMS. Derzeit nur für Androiden.
(Und jetzt wird Mike schaudern) Threema, mit dem erwähnten dicken Pferdefuß des proprietären Codes. Ich hab’s trotzdem installiert, um die Leute in meinem Umfeld zu honorieren, die zwar wenig Einsicht in IT-Security haben, aber durch die Benutzung von Threema ihren Widerwillen gegen Übwerwachung demonstrieren.
Noch mal ein Nachtrag zu dem von dir angesprochenen Server-Standort. Bei sauberer End-zu-End-Verschlüsselung verlässt der jeweilige private Schlüssel nie das Gerät des Senders oder des Empfängers – der Server könnte also in der Hölle stehen, aber der Teufel könnte die Nachricht trotzdem nicht entschlüsseln. Umgekehrt gilt: Bei fehlender starker Verschlüsselung nützt auch ein Server-Standort im Himmel nichts – der Teufel würde den göttlichen Server hacken. Deswegen scheiden natürlich alle Krypto-Lösungen aus, bei denen der Anbieter im Zweifelsfall einen Generalschlüssel hat.
@woodchuck:
Ich verstehe Deine Argumentation.
Die Nennung von Signal bedeutet nicht zwingen die Bindung an iOS ;) Immerhin ist Signal ja mit Textsecure kompatibel. Darf ich fragen was Deines Erachtens nach gegen Textsecure unter Android spricht?
Wie schon vorhin dargelegt, es geht ja in erster Linie nicht um unknackbare Kommunikation, sondern um private Kommunikation. Meine Staatsgeheimnisse übermittle ich natürlich via persönlichem Gespräch ;) Dennoch interessiert mich immer die die Möglichkeit dies abzudichten.
Die Kommentare driften wieder zu stark in Richtung Android ab. Das mit TextSecure etc. hatten wir schon in anderen Beiträgen oftmals diskutiert. Ich wiederhole es hier nochmal kurz, dann ist aber gut. ;)
Gegen TextSecure spricht noch immer, dass für dessen Nutzung die proprietären Google Bibliotheken (GCM) notwending sind. Für eine reine Ausrichtung auf Open-Source ist das natürlich supoptimal.
Für weitere Messenger-Diskussionen wechselt doch bitte zum Text-Secure Beitrag oder zur »Your phone – Your data« Artikelserie. Danke euch!
Danke, ich dachte mir, daß die propritären Google Protokolle gegen TextSecure sprechen, nur wollte ich nicht vorgreifen.
Dennoch danke für die Auskünfte. :)
Nach dem erneuten Verabschieden der VDS (Vorratsdatenspeicherung) durch den Bundestag habe ich mich beim Lesen dieses Blogs gefragt, wie ich mit meinem PC arbeiten und kommunizieren kann, ohne dass Telekommunikationsunternehmen meine Metadaten speichern können/müssen. Dazu ist es nötig, dass man mir von Handys aus auf den PC Nachrichten schicken kann. Wenn ich das richtig verstanden habe, bleibt leider nur ein ernüchterndes Fazit: E-Mails sind bezüglich Metadaten unsicher, TextSecure läuft nicht auf dem PC und Conversations geht mit PCs nicht asynchron. Ausführlicher formuliert:
1) Meine E-Mails kann ich mit GnuPG verschlüsseln, aber selbst wenn ich Leute finden würde, die das auch tun, bleiben meine Metadaten dadurch ungeschützt, zumindest die Information wem ich wann schreibe. Dasselbe gilt für Conversations/XMPP, wenn ich die OpenPGP-Funktion verwende.
2) Ich kann TextSecure verwenden, wodurch
a) dank Axolotl eine asynchrone Kommunikation möglich ist und im besten Fall keine Metadaten-Spuren hinterlassen werden, außer bei Google.
b) aber der hartnäckige Wehrmutstropfen besteht, dass praktisches Arbeiten mit dem PC leider nicht möglich ist, da es TextSecure (noch?) nicht für Desktop-Linux gibt und z.B. Pidgin mit TextSecure nicht kann.
3) Dieser Wehrmutstropfen besteht auch bei SMSSecure. Vorteil: kompletter Verzicht auf Google-Dienste. Nachteil: einige Leute haben dafür zu alten Android-Versionen.
4) Ich kann meine Leute vielleicht dazu überreden, XMPP mit OTR und auf dem Handy Conversations zu verwenden, wodurch praktisches Arbeiten am PC theoretisch möglich wäre, zurzeit jedoch nicht wirklich, weil OTR nicht asynchron funktioniert und Pidgin kein OMEMO/Axolotl kann.
5) Das habe ich auch nicht ganz verstanden: Schreibst du mit dem Handy wirklich keine Nachrichten? Verwendet SMSSecure nicht auch einen privaten Schlüssel?
Was bleibt mir also?
Berechtigte und und gute Fragen im Zusammenhang mit der VDS. Ich selbst habe mir dazu schon den ein oder anderen Gedanken gemacht, bin allerdings auf ähnliche »Probleme« gestoßen.
1.) Für E-Mails gibt es kein Patentrezept. Wenn ich der VDS ein Schnippchen schlagen möchte, dann muss ich mir zunächst bspw. über das Tor-Netzwerk einen »anonymen« E-Mail Account einrichten. Das gilt allerdings auch für all jene Kontakte, mit denen ich kommunizieren möchte. Und da ist eigentlich schon das Ende der Fahnenstange erreicht, denn für viele ist der Aufwand an dieser Stelle schon zu hoch. Noch dazu muss ich diese neuen E-Mail Adressen unter vier Augen austauschen und sicherstellen, diese auch immer über das Tor-Netzwerk abzurufen. Es ist also durchaus möglich, aber in der Praxis nicht wirklich realisierbar.
2.) Mobile: Conversations / ChatSecure mit dem OTR-Protokoll verwenden. Aber auch hier gilt: Neuen Account anlegen und zwar auch alle bisherigen Kontakte. ;-)
PC: Eventuell mal Cryptocat anschauen.
5.) Ich verwende aktuell ausschließlich SMSSecure. Und nein ich schreibe über das mobile Endgerät tatsächlich kaum Nachrichten. Entweder ich schreibe »normale« SMS oder mit einigen Kontakten über SMSSecure.
Der VDS zu entgehen ist zwar möglich, allerdings nur dann durchzuhalten, wenn ich einen entsprechenden Aufwand betreibe. Ich persönlich habe mir schon überlegt meine SIM-Karte still zu legen und erst dann wieder auszumotten, wenn die VDS in Karlsruhe gekippt wurde. Ist ja nur eine Frage der Zeit.
„Ich persönlich habe mir schon überlegt meine SIM-Karte still zu legen und erst dann wieder auszumotten, wenn die VDS in Karlsruhe gekippt wurde. Ist ja nur eine Frage der Zeit.“
Auf technischer Ebene sicher die sauberste Lösung. Aber zumindest für mich hat Verschlüsselung auch eine politische Ebene: Jede Nachricht, die ich per SMSSecure oder Kontalk verschicke, transportiert als Meta-Botschaft im Nano-Format das Statement „Ich will nicht bespitzelt werden!“ (Und abgesehen davon würde sich die Totalüberwachung dramatisch verteuern, wenn ein irgendwie nennenswerter Anteil der Nutzer von Digitaltechnik so kommunizieren würde.)
Was das Bundesverfassungsgericht angeht, teile ich im aktuellen VDS-Fall deinen Optimismus, Mike. Auf lange Sicht wird das BVerfG aber wohl immer weiter auf den unseligen Regierungskurs getrimmt – Verfassungsrichter sind im allgemeinen erfreulich langlebig und hinken deswegen der aktuell herrschenden zunehmend undemokratischen Staatsräson hinterher, werden aber vom Bundesrat (seit 2015 vom Bundestag) gewählt. Da liegt es nahe, genehme Kandidaten in die rote Robe zu stecken.
Hi Mike, vielen Dank für die Einsicht in die von dir verwendeten Software.
Ich bin ja mittlerweile auch zu Linux Suse gewechselt (leider nicht Komplett =( ).
Mir ist aufgefallen das „LibreOffice Googlefonts“ verwendet.
Meine Fragen sind:
1. Warum sind diese in der entsprechenden Software integriert?
2. Kann man diese ersetzen, oder entfernen, ohne gleich LibreOffice komplett zu deinstallieren?
3. Blöde Frage ( Können diese G-Fonts nach Hause Telefonieren?)
Hallo Mike,
vielen Dank für diese Übersicht, finde ich auch interessant. Vieles davon benutze ich auch.
Leider aber trotz allem auch Windows, da man sich bei mancher Anwendungssoftware leider das Betriebssystem nicht aussuchen kann (leider kriegt man mit Wine auch nicht alles zum Laufen).
Das Einzige, was ich da im Augenblick tun kann, ist solange wie möglich bei W7 zu bleiben und alle W10 Upgrade-Versuche von MS zu verhindern und wo es geht einen zweiten Rechner mit Linux zu verwenden.
Was Verschlüsselungssoftware betrifft, möchte ich ergänzend noch VeraCrypt (Fork von TrueCrypt) erwähnen. Ich benutze das schon eine Weile und habe bisher einen sehr guten Eindruck von dem Entwickler, der sich wirklich eine Menge Mühe gegeben hat, die Codequalität zu verbessern.
Offene Hardware ist natürlich auch noch mal ein interessantes Thema, über das ich gerne lese. Ich habe jemand in der Verwandschaft, der sich den oben erwähnten Librem Laptop bestellt hat. Wenn er im Dezember zu Besuch ist, hoffe ich, mir das Teil mal aus der Nähe ansehen zu können. Da bin ich schon sehr gespannt.
Viele Grüße
Phylon
Hallo Phylon,
danke für den Kommentar. Es wäre schön, wenn du demnächst vielleicht etwas über das Librem Laptop berichten könntest. ;)
Mache ich gerne, wenn ich es in die Finger bekomme…
Update:
Leider war ich wohl zu optimistisch. Die Lieferung dauert noch ein paar Monate. (15 Zoll-Geräte mit deutscher Tastatur und hochauflösendem Display stehen weit hinten im Fertigungsplan)
Wir brauchen also Geduld…
Hallo Phylon, hier ein Tipp für W7, funktioniert ab der Pro-Version:
Gpedit.msc ->
Computer Configuration / Administrative Templates / Windows Components / Windows Update
Aktivieren: Turn off the upgrade to the latest version of Windows through Windows Update
Danke, werde ich mir mal anschauen, ich hab glücklicherweise die Pro-Version.
Bisher habe ich die Updates immer manuell abgehakt und das Upgrade verweigert.
Natürlich nervt es, wenn man immer wieder aufpassen muß, wann MS das nächste Mal
versucht, einem das Upgrade unterzuschieben…
Hallo Mike,
danke für die Android App Empfehlunge. Werde mir einiges davon anschauen.
Gibt es eine Wetter App für Android, die du empfehlen kannst?
Viele Grüße,
Hans
Surfe auf die Wetterseite deines Vertrauens und lege einfach einen Firefox-Shortcut auf dem »Desktop« an. Problem erledigt.
Guten Abend lieber Mike und alle Sicherheitsenthusiasten,
ich schmeiße hier ein paar weitere Fragen in den Raum:
1. Warum ist es eigentlich nicht möglich, den Fortschritt von Signal bzw. LibreSignal mit den Eigenschaften von SMSSecure zur Sicherung von SMS in einer neuen App zu kombinieren? Ich meine, aktuell ist beides irgendwie keine „ulatimative Lösung“, ich muss meinen Freunden so eine App ja auch LANGFRISTIG erklären und schmackhaft machen können.
2. Welche quelloffene App sollte ich für die 2-Factor-Athentication nutzen? Bisher habe ich immer eine App genutzt, welche nicht quelloffen war – diese hat nun meinen Schlüssel gelöscht und nun sitze ich hier und kann nicht in GitHub rein. Also muss was besseres her, schnellstens.
3. Klingt jetzt vielleicht merkwürdig, aber kennt jemand eine QUELLOFFENE App zur Verwaltung von Einkaufslisten, welche nicht nur schick aussieht, sondern auch für Android UND iOS verfügbar ist?
Und zwecks Betriebssystem: Ich nutze schon seit mehreren Jahren ausschließlich https://www.opensuse.org/, vorzugsweise TUMBLEWEED mit allen Sicherheitspatches. Absolut empfehlenswert. Testen und genießen! ;-)
Eine wunderbare und SICHERE Woche wünscht Euch
SecUpwN // AIMSICD Privacy Project
Android App: https://github.com/CellularPrivacy/Android-IMSI-Catcher-Detector
@SecUpwN
Erst mal Lob & Preis für dein AIMSICD-Engagement!
Zu 1: Klar, Signal und SMSSecure als Kombi, das wär’s. Früher, in den guten alten Zeiten, hat TextSecure ja auch verschlüsseltes Messaging plus verschlüsselte SMS geboten – bis Moxie Marlinspike erklärt hat, dass SMS von gestern sind und bei ihnen das Metadaten-Problem nicht lösbar ist (womit er mit Letzerem ja definitiv Recht hat). Und ich vermute mal, dass den Maintainern von SMSSecure der Code über den Kopf wachsen würde, wenn sie eine Kombi-App am Hals hätten (kann’s nicht wirklich beurteilen, weil ich noch nie einen Blick auf den Quellcode von Signal oder SMSSecure geworfen hab und nicht mal weiß, um wie viele Zeilen es da geht).
2. Probier mal FreeOTP aus – quelloffen, simpel, zuverlässig.
Dir auch eine fabulöse Woche!
Grüß Dich, woodchuck!
Danke für Deine mutmachenden Worte, AIMSICD ist mir trotz all der bisherigen Herausforderungen sehr an’s Herz gewachsen und ich werde nicht aufgeben! Unser Projekt ist jedoch immer noch nicht auf dem Entwicklungsstand den wir uns wünschen, es fehlen leider immer noch interessierte Entwickler und Hacker mit nützlichen Fähugkeiten und Beziehungen, welche uns langfristig unterstützen ohne gleich wegen der Komplexität in die Knie zu gehen. Solltest Du also eine bisher ungenutzte Möglichkeit kennen, gute Android-Entwickler für unser Projekt zu begeistern, bin ich für jeden Hinweis sehr dankbar. Wir planen, den bereits auf diesem Blog existierenden Artikel zu unserer App ein bisschen aufzupeppen, teilen des Links via Twitter (wir sind auch dort @AIMSICD) und weiteren Plattformen ist also definitiv erwünscht: https://www.kuketz-blog.de/imsi-catcher-erkennung-fuer-android-aimsicd/
Zu FreeOTP: Hatte die App schon auf F-Droid entdeckt, aber wird die noch aktiv entwickelt? Letztes Update ist von 2014. Funktioniert „Android Token“ auch mit GitHub? Mal gucken.
Danke, daß Du unsere App verwendest!
SecUpwN // AIMSICD Privacy Project
Android App: https://github.com/CellularPrivacy/Android-IMSI-Catcher-Detector
Hi Mike :)
Vielen, vielen Dank für Deine Seite!
Als alter Apple Jünger bin ich von iOS schon auf Sailfish gewechselt.
Dieser Artikel hat mich nun endlich dazu bewogen mir und meinem Macbook Debian beizubringen.
Befinde mich gerade am Feintuning, bin aber jetzt schon begeistert.
Gerade die Softwareauflistung öffnet einem Linuxneuling die Augen
Jedem, dem ich Deinen Blog empfehle, ist begeistert.
Nochmals vielen Dank und weiter so.
Hallo Mike,
danke für die gute Übersicht. Da ich mit PC-Technology nicht allzu bewandert bin, habe ich aber das Problem, dass eine gehörige Menge Know-How notwendig ist, um mit diesen Werkzeugen umgehen zu können.
Kennst Du etwas, was auch von weniger versierten Nutzern eingesetzt werden kann um sich der Internet-Datenspionage zu entzeihen? Ein bekannter von mir schwärmt von der TrutzBox. Kennst Du die oder kannst Du etwas zu der TrutzBox sagen?
Peter
Hallo Peter, ich hab gerade nur mal flüchtig die Features der Trutzbox überflogen, wie sie auf der Unternehmensseite aufgelistet werden – das reicht nicht mal für eine erste Einschätzung. ABER: Was für so ein Produkt dringend erforderlich wäre, ist die Offenlegung des kompletten darauf eingesetzten Codes, und darauf finde ich keinen Hinweis. Damit wäre die Trutzbox für mich (und was wichtiger wäre: für unabhängige Security-Experten) schlicht eine Blackbox und damit nicht zu gebrauchen.
Im Grundsatz hast du auf jeden Fall Recht: Verschlüsselung/Anonymisierung muss einfacher werden, viel einfacher. Und damit sind wir erst am Anfang. Immerhin gibt es hoffnungsvolle Ansätze wie LibreSignal oder Kontalk fürs Smartphone, und Volker Birks Pretty Easy Privacy lässt die Hoffnung aufkommen, dass starke Verschlüsselung von E-Mails bald keine Nerd-Angelegenheit mehr ist (besonders, weil er jetzt auch mit dem Enigmail-Team zusammenarbeitet).
Aber auf deren Homepage steht: „Die gesamte TrutzBox® Software ist quelloffen und so für jedermann transparent.“
Und unter „Support“ gibt es ein „Kompendium“, das mehr Details beschreibt, als zumindest ich verstehen kann.
Peter
Recht hast du, Peter, da steht’s – man sollte eben nichts kommentieren, was man nur flüchtig überflogen hat. Damit ist die Sache jedenfalls einen prüfenden Blick wert.
Hallo Mike,
danke für deinen Blog und deine Artikel! Ich bin begeistert. Um meine Sicherheit bei der Benutzung von Laptop und Handy zu erhöhen ist dein Blog eine einmalige Informationsquelle, weil vertrauenswürdig und leicht verständlich!
Nun noch eine kurze Frage. Ich bin gerade dabei KeePass einzurichten und suche nach einem leicht zu merkenden aber gleichzeitig sicheren Masterpasswort. Was hältst du von dem Diceware-Verfahren? Ich finde bei einer Internetsuche eigentlich keinen Artikel / Blogeintrag der sich damit kritisch auseinandersetzt; deshalb die Nachfrage.
Gruß
Tobias
Hallo Mike!
Du scheinst ja NewPipe für Youtube Vids zu verwenden. Wie handelst du das ganze mit deinem AF-Wall Script? Durch das Blocken der Google Adressen blockst du ja gleichzeitig Youtube oder? Zumindest funktionierts bei mir nicht.
Vielleicht hättest du einen Tipp diesbezüglich
Danke im Voraus.
Ich route NewPipe über Tor.
Kombination: AFWall+ und Orbot.
Danke für die schnelle Antwort.
Scheint bei mir irgendwie nicht zu funktionieren.
Setzt du einfach den Haken in NewPipe oder realisierst du das Ganze über transparent proxying mittels orbot?
Falls du auch AFWall+ nutzt, gibt es hier eine gute Anleitung, wie AFWall+ mit Orbot funktioniert bzw. ausgewählte Apps direkt über Orbot geroutet werden.
Also ja: Ich nutze das Transparent Proxying.
Mike ich kann dir WebTube empfehlen,
über Tor Streamen funktioniert dort einbahn frei,
und wenn Tor aktiviert ist in der app werden auch keine Cookies gespeichert!
Beste Grüße
Hallo zusammen,
ich bin derzeit auf der Suche nach einer Alternative für Notizprogramme wie OneNote oder Evernote, möglichst plattformübergreifend und maximal mit Webdav bzw. Owncloud – Unterstützung. Hat von Euch jemand Empfehlungen?
Danke schon mal vorab! :)
Gibt es eine Open Source Backup Lösung für Android? Titanium ist, soweit ich weiß, ja nur im PlayStore erhältlich und da hab ich kein Konto ;-)
Probier mal die backupfunktion von TWRP.
https://twrp.me/
Herr Kuketz,
welche Linux-Distributionen würden sie als Alternative zu Debian empfehlen?
Das ist reine Geschmacksacke.
Anschauen kann man sich OpenBSD, Arch Linux, FreeBSD oder einfach mal einen Blick auf DistroWatch werfen.
Ich meinte mit meiner Frage bezüglich der Alternative objektiv (zB. Stabilität, Kompatibilität, Umfang, Sicherheit,…).
Hängt von deinen Linuxkenntnissen ab:
Für Einsteiger: Mint oder Xubuntu
Für Fortgeschrittene: Debian, Fedora oder openSuSe
Für Fortgeschrittene mit mehr Erfahrung: openSuSe Tumbleweed
Für Experten: Arch-Linux, openBSD, freeBSD
Für Masochisten: Gentoo
Ubuntu, Mint und einige weitere Distributionen sollte man ausschließen, weil sie proprietäre Programme enthalten.
Ubuntu, Xubuntu, Mint … haben non-free repos aktiviert und shippen WLAN Treiber und Codecs. Jedoch sollte Xubuntu und Mint noch immer um längen besser sein als Windows.
Es zwingt einen ja keiner proprietäre Programme unter diesen Distros zu verwenden. Für den Einsteiger sind sie meiner Meinung nach dennoch empfehlenswert, da einfach „out of the box“ alles funktioniert.
Für die meisten ist ein vollkommen freies System (ohne WLAN Treiber und Video Codecs) kaum nutzbar.
In Fedora, openSuSe etc muss schon das eine oder andere nachjustiert werden.
Wer mit Debian, openSuSe oder Fedora zurechtkommt, sollte eine dieser drei Distros wählen (auch ich traue cannoical nicht mehr über den Weg).
Mint und Xubuntu kommen immerhin ohne der Amazon Spyware. Für Einsteiger die sich in Debian, Fedora und openSuSe noch nicht zurechtfinden, ist Xubuntu und Mint meiner Meinung nach dennoch eine Option um Linux Erfahrung zu sammeln, um dann in weiterer Folge später auf eine der anderen Distros in der Liste umzusteigen.
Besonders Paranoide können sich ja bis zu „Hardened Gentoo“ vorarbeiten, was den Nutzer dann zu einem der sichersten Systeme mit enormer Kontrolle führt.
Gibt es vertrauenswürdige Hardware für Mobiltelefone wie bei PCs?
Es gibt für Android keine vertrauenswürdige Hardware. Das hatte ich bereits im ersten Teil der Serie von »Your phone – Your data« angesprochen. Das ist auch nicht das Ziel der Artikelserie gewesen – auch das hatte ich im ersten Teil dargelegt.
Was es sonst noch auf dem Markt gibt:
Open Source Mobile Hardware: Openmoko
Open Source GSM Chipsatz: OsmocomBB
Schade, die genannten open source Hardware entsprechen von der Ausstattung nicht einmal annähernd das Niveau eines Einsteiger-Smartphones.
Hi Mike,
was hältst du von Passwortmanger (wie z.B. Passwdsafe) auf den PC und Smartphone? Kann man diese problemlos nutzen oder sind sie zu unsicher?
Am Rechner sicher zB KeyPassX, unter Android würde ich PGP und Passwortsafes meiden. Dass man Krypto auf dem Smartphone vermeiden sollte hat folgende Gründe:
– Killswitch im proprietären Teil von Android (auch in Cyanogenmod) -> somit gilt jede Cryptoapp als kompromittiert
– Schlechter Zufallszahlengenerator – damals wurden Nutzern aus diesem Grund Bitcoins gestohlen
– RCE bei Android als Feature: Apps können Code aus dem Internet nachladen (Apps nutzen dies zB für Werbung). Ist die Verbindung unverschlüsselt ist ein MITM mit on-the-fly Malewareinjection möglich.
– Bösartige Xposed Module können die Krypto komplett aushebeln
Jedoch solltest du Bedenken, dass die Sicherheit auch mit deinem Passwort zusammenhängt.
Aber besser ein gutes Passwort merken und mit KeyPassX die Passwörter generieren als sich dutzende schlechte Passwörter zu merken
Killswitch ist nur aktiv, wenn ein Google Konto vorhanden ist.
Des weiteren sollte man keine Passwortmanager installieren, die Internet Zugriff haben.
Zufallsgeneratoren sind generell nicht zu empfehlen.
Ich frage mich wie man ohne Passwort die verschlüsselten Daten entschlüsseln will.
In den vorgestellten Apps ist leider nichts dabei, was Daten auf dem Smartphone zuverlässig wiped.
Ist die App im F-Droid Store „Intheclear“ empfehlenswert?
Gibt es etwas anderes passendes um Daten auf dem Smartphone zu löschen/wirklich zu löschen?
Kenne das Tool nicht. Flash Speicher zu wipen ist meist problematisch. Wenn du zB Files einer SSD unter Linux mit shred und wipe überschreiben möchtest, funktioniert das nicht (nur ATA Secure Erase geht). Das Wear Leveling im Microcontroller der SSD versucht alle Speicherzellen gleichmäßig zu beschreiben. Dies führt dazu dass du nicht gezielt Daten überschreiben kannst. Kann gut sein, dass dies genauso bei Smartphones zum Einsatz kommt.
Eine manuelle Möglichkeit wäre:
1. verschlüsseln
2. wipe data/factory reset
3. video vom Tisch aufnehmen (schwarzes Bild …) – wiederholen bis speicher voll ist
4. erneut wipe data/factory reset