Privacy

Erst kürzliche verloste pro-linux.de fünf der Bücher "Anonym im Netz". Gerade eben erfuhr ich, dass das Linux-Magazin nachzieht. Anlässlich des Welttags gegen Internetzensur werden fünf Exemplare angeboten. Jeder, der die Frage richtig beantwortet, ist dabei. Start der Aktion ist der 12.Februar ab sechs Uhr in der Frühe.

Mittlerweile habe ich einige Blogeinträge zu der Neuauflage meines Buch "Anonym im Netz" gefunden. Alle haben sich positiv geäußert. Bei Amazon hat das Buch fünf Sterne erhalten. Die Rezension in Langversion ist im Blog unglaesern.de zu finden.

Eine zweite Rezension stammt von F!XMBR. Oliver Herold hatte mich mal angetwittert, ob ich ihm ein Autorenexemplar zusende. Ich habe ihm die zweite Auflage zugeschickt und er schreibt

Insgesamt also ein Werk, daß sich nicht nur für den Anfänger lohnt, sondern auch für jene Zeitgenossen mit tieferem Einblick, die aber ihr Wissen vervollständigen bzw. abrunden möchten. Klarer Fall von Lesetipp...

Grundsätzlich freuen mich die positiven Bewertungen. Ich hoffe, dass das Buch auch den vielen anderen Käufern gut gefällt. Wenn ihr weitere (positive wie negative) Bewertungen kennt, hinterlasst bitte einen Kommentar.

Für die Schnäppchenjäger gibt es ein Schnäppchen: Pro-Linux verlost fünf Exemplare meines Buches "Anonym im Netz". Ihr müsst euch dazu auf der Seite einloggen und eine Frage beantworten. Viel Erfolg!

via MartinGrandrath

Als Tor-Benutzer hat man es im IRC gelegentlich schwer. Viele Admins sperren ihre Dienste und lassen Tor nicht zu. Freenode ging früher einen anderen Weg. Sie boten versteckte Services (hidden services) an. Über diese konnte man anonym chatten. Doch hier gab es offensichtlich viel Missbrauch und die Dienste blieben über lange Zeiträume abgeschalten.

Vor kurzem wechselte das Projekt auf einen neuen IRC-Server und nun kündigen sie, dass man Freenode mit Tor und SASL benutzen kann. In dem Blogposting gibt es Anleitungen für mIRC und irssi. Ich hoffe, dass es im Wiki des Tor-Projektes bald weitere Benutzungshinweise für andere Software gibt. Mein Lieblingschatprogramm weechat unterstützt ab der Version 0.3.2 SASL. Dort müssen die Optionen irc.server_default.sasl_mechanism, irc.server_default.sasl_username und irc.server_default.sasl_password gesetzt sein.

Viel Spass beim Chatten über Tor!

Im Tor-Blog ist zu lesen, dass Tor nun auch auf dem Nokia N900 (Maemo) läuft. Derzeit zwar noch experimentell aber immerhin. Falls du ein N900 hast, lies dir die Anweisungen durch und freue dich über Tor auf deinem Telefon.

Für Freunde des Radios gibt es das Chumby One und auch hier kannst du ein Tor laufen lassen.

In einem Moment von Langeweile blätterte ich in den Zahnärztlichen Mitteilungen. Diese Zeitschrift ist ein Fachblatt für Zahnärzte und behandelt neben der Standespolitik und Fachthemen auch interessante Nebenthemen wie Finanzen oder IT. In der Ausgabe 3 des laufenden Jahres gibt es einen Artikel zu One-Click-Hostern, wie Rapidshare. Gleich zu Anfang des Artikels ist zu lesen:

User X legt seine Daten - vom Röntgenbild bis zum Homemovie - auf einem Server im Internet ab [...]

Für mich sind die Daten bei One-Click-Hostern quasi öffentlich. Nun stelle sich mal vor, es etabliert sich bei Ärzten, Röntgenbilder und Patientenakten über Rapidshare zu tauschen. Dann ist gänzlich ohne elektronische Gesundheitskarte die Privatsphäre dahin ...

Gerade in einem Artikel für Ärzte wäre aus meiner Sicht mehr Sorgfalt angebracht und es sollte auf alle Risiken hingewiesen werden. Zwar gibt es am Ende des Artikels einen obligatorischen Hinweis auf Viren und Malware. Jedoch fehlt der wichtigere Hinweis, dass über derartige Plattformen auf keinen Fall Patientendaten getauscht werden sollten.

Der erste Tag des 26C3 liegt hinter mir und er war sehr intensiv. Wir kamen gegen Mittag in Berlin an, vor dem bcc stand bereist eine Schlange und als ich reinkam, hörte ich, dass alle Tickets ausverkauft waren. Glücklicherweise brauchte ich als Vortragender keine Tickets.

Direkt nach der Keynote von Frank begann mein Vortrag. Ursprünglich rechnete ich mich etwa 200 Besuchern. Umso erschrockener war ich als sich nach meinen Berechnungen knapp 1000 Leute im Saal einfanden. Entsprechend nervös begann ich. Jedoch legte sich die erste Nervosität schnell und ich konnte die geplanten Punkte rüberbringen. Das Maskottchen von der Stoppseite der Vereinigten Arabischen Emirate fand ebenso Gefallen. Insgesamt war der Vortrag aus meiner Sicht gut gelungen und die Kommentare der Zuhörer bestätigten den Eindruck.

Der Vortrag zu Wikileaks war für mich dann der Highlight des Tages. Nach einer Einführung zum Projekt stellten die Macher dann die spektakuläre Idee vor. Island wurde in der Vergangenheit sehr stark von der Finanzkrise gebeutelt und bei deren Kaupthing-Bank fand geradezu eine Plünderung statt. Wikileaks sorgte dafür, dass die daran beteiligten Firmen veröffentlicht wurden. Die Einwohner des Landes waren extrem dnkbar dafür und haben keine Lust mehr auf diverse Finanzhaie. Stattdessen hat sich die Regierung den Plänen der Wikileaks-Macher angeschlossen, aus Island ein Offshore-Information-Center ähnlich den Offshore-Finanz-Centern zu machen. Das heißt, die Legislative werden demnächst ein Gesetz einbringen, die Pressefreiheit, Informantenschutz und Recht auf Anonymität garantieren. Weiterhin bietet das Land die Ressourcen, um Datencenter zu betreiben. Wenn das klappt, wäre das ein großer Schritt in die richtige Richtung. Wikileaks bittet daher um Unterstützung. Entweder sollen Interessierte direkt mit nach Island kommen, um die Abgeordneten zu überzeugen oder man kann auch vom Festland aus über die Pläne berichten. Ich bin sehr gespannt, ob das klappt.

Roger Dingledine vom Tor-Projekt erzählte ebenfalls ein wenig über Zensur und wie Tor mit den Brückenservern bei der Umgehung hilft. Für mich brachte der Vortrag wenig neues. Aber es ist immer wieder schön, die Personen vom Projekt zu treffen und ein paar Worte zu wechseln.

Grundsätzlich verbrachte ich große Teile des Tages mit Gesprächen, dem Austausch von Ideen und ähnlichen. Gegen zwei Uhr war der Tag zu Ende und mit Vorfreude auf die weiteren Tage ging es dann ins Bett.

Übermorgen ist es wieder soweit. Der CCC läd zum 26C3. Ab dem 27. Dezember treffen sich Hacker aus aller Welt im bcc in Berlin, um zu lauschen, diskutieren, hacken und Spass zu haben. Der Fahrplan sieht recht stabil aus. Wobei sich gerade mein Vortrag verschiebt. Wahrscheinlich findet der schon am ersten Tag um 12:30 Uhr statt.

Für alle, die es nicht nach Berlin schaffen, gibt es Dragons everywhere. An verschiedenen Orten rund um die Welt gibt es Beamer, WLAN etc. und Interessierte können sich dort treffen. In Jena findet das Treffen im Cafe Wagner statt.

Von woauchimmer ihr zuseht oder kommt: Ich wünsche viel Spass auf dem 26C3.

Wie ihr wisst, mache ich es für Geld. Das heißt, ich erledige professionell IT-Aufträge gegen Bezahlung. Nun bekam ich von einem Kunden einen Vertragsentwurf zugesandt und fand darin eine interessante Passage:

Mit der Unterschrift versichert der Auftragnehmer, nicht Mitglied der Scientology-Organisation [..] zu sein [...]

Den Paragraf fand ich doch recht erstaunlich. Denn nach meinem Dafürhalten sollte es doch egal sein, welchem Verein, Partei oder Kirche ich angehöre. Auch wenn Scientology ein eigenes Kapitel ist, sollte sowas nicht in den Vertrag. Denn, wie von anderen Fällen bekannt, ist es heute Scientology, deren Mitglieder unerwünscht sind, morgen CCC-Mitglieder und übermorgen Leute vom Kleintierzüchterverein Ichtersheim. Nach einer Runde Googlen stellte ich zu meinem Erstaunen fest, dass solche Klauseln recht üblich sind. Scientology hat wohl dagegen geklagt und in der ersten Instanz verloren. Weiterhin fand ich heraus, dass der Terminus "Mitglied von Scientology" unpassend ist. Denn diese Vereine haben nach dem Selbstverständnis keine Mitglieder. Laut den Webseiten sollte man von der "Technologie von L. Ron Hubbard" sprechen.

Auch wenn ich weit davon entfernt bin, Mitglied, Kunde oder wasauchimmer bei Scientology zu sein, so hinterlässt eine solche Klausel einen faden Beigeschmack. Ich habe demnächst ein längeres Gespräch in der Sache und da werde ich den Passus mit zur Sprache bringen.

Kürzlich errang der Tor-Betreiber Theodor Reppe einen Sieg vor Gericht. Die deutsche Pressemitteilung enthält alle Details. Kürzlich wurde auch um eine englische Version gebeten. Auf der Tor-Mailingliste erschien eine Übersetzung und mit Theodors Erlaubis stelle ich die hier ebenfalls online.

Today, the Local Court of Jena, Hall 1, held a criminal trial against the domain owner of wikileaks.de, Theodore Reppe. The criminal charges were computer fraud - Reppe was accused of posting false information on the Internet and thereby causing damages amounting to 38.55 euros. The only evidence: An IP address that led to Reppe's customer data. After the opening statement, defense attorney Norman Lenz read out comments and other statements from Reppe that the court and prosecutor had to see that Reppe was not the culprit. In fact, it turned out that the Tor server operated by Reppe had been misused by someone else.

The question ensued between the court and defense as to whether Reppe was still guilty since he had allowed the transfer of the fraudulent data. The court offered the popular conservative view that projects such as Tor are more harmful than useful, stating claims such as, "There's nothing to fear if you have nothing to hide!" and "This server could also allow anonymous distribution of child pornography!" The defense countered: "These sorts of statements could also justify the elimination of private mail and personal correspondence." In the end, the presumption of innocence was upheld: Reppe's Tor server only anonymizes and encrypts activity, it is not itself the source of illegal activities, and thus the court had to acquit him.

Please send questions to tor@morphium.info and they will be promptly answered.

In Deutschland diskutieren diverse Leute, ob das Gesetz zur Vorratsdatenspeicherung Anonymisierer verbietet. Die Slowakei geht da gleich richtig ran. Wer nämlich einen Service betreibt, der die Verfolgung von Internetnutzern schwierig oder unmöglich macht, soll bestraft werden. Es sind Strafen bis zu 33.000 Euro möglich. Den Grund kennen wir natürlich. Kinderpornografie, Terrorismus und Finanzbetrügereien. Eine RTF-Datei mit allen Details findet ihr bei ICTLaw. Spricht jemand gut Slowakisch, um alle Details klären zu können? Ich fand sonst leider keine weiteren Quellen dazu im Netz.

via Tor-Mailingliste

Das Tor-Projekt sucht derzeit eine Möglichkeit, für einen Verzeichnisserver außerhalb der USA und Europa. Diese Server sind nicht solche, die Verkehr für andere Nutzer weiterleiten, sondern sie stellen die Informationen zum Tor-Netzwerk zur Verfügung. Das heißt, hier bekommt euer Client die Informationen, welche Tor-Server es gibt, wie er diese nutzen kann etc. Ein Verzeichnisserver sollte eine stabile Anbindung an das Netz haben und pro Monat bis zu vier Terabyte Traffic aushalten. Falls jemand solch eine Möglichkeit kennt, so hinterlasse er hier oder beim Beitrag im Tor-Blog einen Kommentar.

Ich habe hin und wieder mit Mitmenschen Kontakt, die gern einen Tor-Server betreiben wollen, sich aber wegen eventueller unangenehmer Kontakte zu Strafverfolger nicht trauen. Das Tor-Projekt hat nun kürzlich ein Blogposting verfasst, indem der Autor Mike Perry einige Vorschläge macht, wie man etwas mehr Sicherheit erlangen kann. Über die Jahre hat wenig bis keinen Ärger damit gehabt.

Ich habe diese Hinweise unten mal übersetzt und ein wenig kommentiert. Vielleicht hilft das einem heutigen oder zukünftigen Betreiber eines Tor-Knotens.

Informiere deinen Provider

Für Mike ist das gleichzeitig der wichtigste Punkt. Das heißt, bevor du deinen Tor-Knoten aufsetzt, solltest du dich mit deinem Provider in Verbindung setzen. Erkläre ihm, was du vorhast, was Tor ist und auch welchen Nutzer er den Leuten bringt. Gerade momentan bietet sich das Beispiel Iran zur Erklärung der Vorteile für die Menschen gut an. Falls du dir unsicher bist, welchen Provider du wählen solltest, schaue dir die Liste der guten/schlechten ISPs für Tor an. Sollte dein Provider gegen einen Exitknoten sein, kannst du einen Brückenserver oder einen Mittelknoten (middle man) aufsetzen. Damit hilfst du dem Tor-Projekt und hast wenig Risiko Ärger zu bekommen.

Nutze eine separate IP-Adresse für deinen Tor-Server und leite privaten Verkehr nicht über diesen Rechner.

Auf der einen Seite hat die Variante, allen Traffic über den Tor-Server zu leiten, den Vorteil, dass du eine Schutzbehauptung im Zweifelsfall hast. Andererseits kann bei einer eigenen IP-Adresse für den Tor-Knoten dein Provider klar sagen, dass es eben der Knoten war und kann automatisiert eine Antwort auf eventuelle Anfragen schicken.

Richte einen Reverse-DNS-Eintrag ein.

Es ist sinnvoll, wenn der Reverse-DNS-Name eine sinnvolle, für sich sprechende Bezeichnung ist. Also etwas in der Richtung wie tor-knoten.example.org oder tor-exit.example.com oder ähnliches. Ich sah kürzlich einen Server mit dem Namen i.am.a tor.exit.node.example.org.

Richte eine Notiz beim Server ein.

Wenn du eine aktuelle Tor-Version (0.2.1.x oder neuer) besitzt, kannst du in der Datei torrc die Variable DirPortFrontPage setzen. Als Argument muss der Option ein Dateiname übergeben werden. Diese Datei sollte eine HTML-Datei mit Informationen zu Tor allgemein oder zu deinem Server sein. Das Tor-Projekt hat ein Beispiel einer solchen Seite.

Beschränke die Bandbreite deines Knotens.

Mike führte in einem Teilprojekt Messungen durch. Dabei stellte er fest, dass Tor-Server, die die Option BandwidthRate gesetzt haben, recht zuverlässig arbeiten. Dabei ist die Option so gesetzt, dass sie recht nahe an der wirklich Bandbreite liegt. Weiterhin liesse sich QoS einsetzen.

Ich hoffe, diese Hinweise helfen dir, deinen Tor-Knoten sicherer zu betreiben. Wenn du Fragen oder Hinweise hast, kannst du unten gern einen Kommentar hinterlassen.

Das Tor-Projekt hat kürzlich in einer Pressemitteilung bekanntgegeben, dass ein Finanzbedarf von einer Million US-Dollar in den nächsten 12 Monaten besteht. Wer möchte, kann spenden. Die Entwickler von I2P haben die Meldung zum Anlass genommen, eine Kampagne für Spenden zu starten. Damit sollen 100 Dollar eingeworben werden. Die Spendenseite verrät, wie es geht.

Bei einem Spaziergang durch Jena kam ich unter anderem wieder an der Überwachungskamera vorbei, die am Gebäude der Merkurbank hängt. Sie ist mit auf der Karte der Kameras in Jena vermerkt. Im Gegensatz zum nebenstehenden Bild war der Winkel anders. Zuerst dachte ich, dass die Kamera steil nach unten zeigt. Ein genauerer Blick zeigte jedoch, dass das Objektiv nach oben gerichtet ist. So wird jetzt immer das darüberliegende Schild gefilmt.

Das fühlt sich natürlich nach einem Scherzbold an, der einfach den Winkel der Kamera geändert hat. Jedoch war auch hinter dem Haus eine Kamera angebracht, die den Eingang überwacht hat. Diese ist verschwunden oder zumindest nicht mehr zu entdecken. Daher könnte es auch sein, dass sich die Betreiber für eine datenschutzfreundliche Lösung entschieden haben. Weiß jemand genaueres?

Update: Ein Hinweis aus anonymer Quelle bestätigte die Version mit dem Scherzbold. Angeblich wurde die Kamera schon vor längerer Zeit "umgebogen" ohne das sich der Betreiber darum kümmert.