Qbi's Weblog

In einem Moment von Langeweile blätterte ich in den Zahnärztlichen Mitteilungen. Diese Zeitschrift ist ein Fachblatt für Zahnärzte und behandelt neben der Standespolitik und Fachthemen auch interessante Nebenthemen wie Finanzen oder IT. In der Ausgabe 3 des laufenden Jahres gibt es einen Artikel zu One-Click-Hostern, wie Rapidshare. Gleich zu Anfang des Artikels ist zu lesen:

User X legt seine Daten - vom Röntgenbild bis zum Homemovie - auf einem Server im Internet ab [...]

Für mich sind die Daten bei One-Click-Hostern quasi öffentlich. Nun stelle sich mal vor, es etabliert sich bei Ärzten, Röntgenbilder und Patientenakten über Rapidshare zu tauschen. Dann ist gänzlich ohne elektronische Gesundheitskarte die Privatsphäre dahin ...

Gerade in einem Artikel für Ärzte wäre aus meiner Sicht mehr Sorgfalt angebracht und es sollte auf alle Risiken hingewiesen werden. Zwar gibt es am Ende des Artikels einen obligatorischen Hinweis auf Viren und Malware. Jedoch fehlt der wichtigere Hinweis, dass über derartige Plattformen auf keinen Fall Patientendaten getauscht werden sollten.

Wenn man das Interview mit zu Guttenberg liest, könnte man glauben, das zarte Pflänzchen Datenschutz beginnt auch bei der Regierung zu sprießen:

Ich glaube, dass man hochsensibel damit umgehen sollte und [..] manche vorauseilende Lust auf Daten auch einer solchen Überprüfung standhalten muss. Diese Prüfung ist vorzunehmen, und wenn ich Herrn Finanzminister Schäuble richtig verstanden habe, hat er sich schon sehr skeptisch geäussert. Ich kann diese Skepsis nur teilen.

Klingt doch gut, oder? Leider geht es Herr zu Guttenberg in dem Interview nur um die Kontodetails der Steuerbetrüger ...

via Computernotizen.

via Datenschutzbeauftragter Online.

Ich habe hin und wieder mit Mitmenschen Kontakt, die gern einen Tor-Server betreiben wollen, sich aber wegen eventueller unangenehmer Kontakte zu Strafverfolger nicht trauen. Das Tor-Projekt hat nun kürzlich ein Blogposting verfasst, indem der Autor Mike Perry einige Vorschläge macht, wie man etwas mehr Sicherheit erlangen kann. Über die Jahre hat wenig bis keinen Ärger damit gehabt.

Ich habe diese Hinweise unten mal übersetzt und ein wenig kommentiert. Vielleicht hilft das einem heutigen oder zukünftigen Betreiber eines Tor-Knotens.

Informiere deinen Provider

Für Mike ist das gleichzeitig der wichtigste Punkt. Das heißt, bevor du deinen Tor-Knoten aufsetzt, solltest du dich mit deinem Provider in Verbindung setzen. Erkläre ihm, was du vorhast, was Tor ist und auch welchen Nutzer er den Leuten bringt. Gerade momentan bietet sich das Beispiel Iran zur Erklärung der Vorteile für die Menschen gut an. Falls du dir unsicher bist, welchen Provider du wählen solltest, schaue dir die Liste der guten/schlechten ISPs für Tor an. Sollte dein Provider gegen einen Exitknoten sein, kannst du einen Brückenserver oder einen Mittelknoten (middle man) aufsetzen. Damit hilfst du dem Tor-Projekt und hast wenig Risiko Ärger zu bekommen.

Nutze eine separate IP-Adresse für deinen Tor-Server und leite privaten Verkehr nicht über diesen Rechner.

Auf der einen Seite hat die Variante, allen Traffic über den Tor-Server zu leiten, den Vorteil, dass du eine Schutzbehauptung im Zweifelsfall hast. Andererseits kann bei einer eigenen IP-Adresse für den Tor-Knoten dein Provider klar sagen, dass es eben der Knoten war und kann automatisiert eine Antwort auf eventuelle Anfragen schicken.

Richte einen Reverse-DNS-Eintrag ein.

Es ist sinnvoll, wenn der Reverse-DNS-Name eine sinnvolle, für sich sprechende Bezeichnung ist. Also etwas in der Richtung wie tor-knoten.example.org oder tor-exit.example.com oder ähnliches. Ich sah kürzlich einen Server mit dem Namen i.am.a tor.exit.node.example.org.

Richte eine Notiz beim Server ein.

Wenn du eine aktuelle Tor-Version (0.2.1.x oder neuer) besitzt, kannst du in der Datei torrc die Variable DirPortFrontPage setzen. Als Argument muss der Option ein Dateiname übergeben werden. Diese Datei sollte eine HTML-Datei mit Informationen zu Tor allgemein oder zu deinem Server sein. Das Tor-Projekt hat ein Beispiel einer solchen Seite.

Beschränke die Bandbreite deines Knotens.

Mike führte in einem Teilprojekt Messungen durch. Dabei stellte er fest, dass Tor-Server, die die Option BandwidthRate gesetzt haben, recht zuverlässig arbeiten. Dabei ist die Option so gesetzt, dass sie recht nahe an der wirklich Bandbreite liegt. Weiterhin liesse sich QoS einsetzen.

Ich hoffe, diese Hinweise helfen dir, deinen Tor-Knoten sicherer zu betreiben. Wenn du Fragen oder Hinweise hast, kannst du unten gern einen Kommentar hinterlassen.

Heute haben 38 Akademiker und Forscher einen offenen Brief (HTML-Version)an den CEO von Google, Eric Schmdit, geschrieben. So fordern auf sechs Seiten (plus zwei Seiten Fußnoten) die Standardnutzung von HTTPS und somit adäquate Sicherheit und den Schutz der Privatsphäre für die Nutzer.

Aus der Zusammenfassung:

Google already uses industry-standard Hypertext Transfer Protocol Secure (HTTPS) encryption technology to protect customers’ login information. However, encryption is not enabled by default to protect other information transmitted by users of Google Mail, Docs or Calendar. As a result, Google customers who compose email, documents, spreadsheets, presentations and calendar plans from a public connection (such as open wireless networks in coffee shops, libraries, and schools) face a very real risk of data theft and snooping, even by unsophisticated attackers. Tools to steal information are widely available on the Internet.

Google supports HTTPS encryption for the entire Gmail, Docs or Calendar session. However, this is disabled by default, and the configuration option controlling this security mechanism is not easy to discover. Few users know the risks they face when logging into Google’s Web applications from an unsecured network, and Google’s existing efforts are little help.

Support for HTTPS is built into every Web browser and is widely used in the finance and health industries to protect consumers’ sensitive information. Google even uses HTTPS encryption, enabled by default, to protect customers using Google Voice, Health, AdSense and Adwords. Google should now extend this degree of protection to users of Gmail, Docs and Calendar.

Rather than forcing its customers to “opt-in” to adequate security, Google should make security and privacy the default.

Na gut, eigentlich ist es schon mehr als ein Jahr, dass ich den Mixmaster-Remailer in Betrieb habe. Aber die paar Tage machen den Kohl nicht fett.

Nachdem ich desöfteren mit Mixmaster, Mixminion und Co. herumgespielt hatte und das im Buch Anonym im Netz lang und breit beschrieb, wollte ich einen langlebigeren Mixmaster-Server als Remailer anbieten. Meiner Meinung nach sollte ein vServer hierfür reichen und durch die Suche bei Webhostlist stiess ich auf ein Angebot der Firma Xantron. Diese bot einen vServer mit 1 GB RAM, 1 GB Festplatte und unbegrenztem Traffic an. Für den Anfang sollte das ein hinreichendes Angebot sein.

Anfangs liess ich testweise einen Tor-Server dort laufen. Denn der Eintrag der FAQ z u Tor auf virtuellen Servern sagte damals, es würde nicht funktionieren. Bei meinem Test klappte es jedoch ohne Probleme. Ich konnte Tor auf dem Server über mehrere Wochen ohne Einschränkungen laufen lassen. Irgendwann aktualisierte ich dann auf eine neue Version und der Tor-Prozess startete kurz, um gleich wieder abzusterben. Es gab keine Core-Datei. Das Log blieb ohne Anzeichen auf irgendwelche Probleme. Der gesamte Fall schien sehr mysteriös. Die Seite mit (un)geeigneten ISPs für Tor brachte mich dann auf eine Idee. Ich legte ein kleines Shell-Skript an, welches den Namen Tor trug und führte das aus. Kurze Zeit später brach es ab. Eine weitere Analyse ergab dann, dass der Provider wahrscheinlich einen Cronjob laufen hatte, der nach Prozesses mit dem Namen "tor" suchte und diese beendete. Sobald ich die ausführbare Datei von tor in nichttor oder ähnliches änderte, klappte wieder alles. Nach diesem Zwischenspiel richtete ich dann den Remailer ein.

Die Einrichtung ist in meinem Buch beschrieben und recht einfach zu machen. Entweder beantwortet man Fragen über ein Menu oder editiert eine Datei mit den Einstellungen.Danach sollte getestet werden, ob der Remailer wirklich so funktioniert, wie er sollte. Falls das der Fall ist, können die anderen Operatoren über den neuen Remailer informiert werden. Nun treffen nach und nach Nachrichten ein und der neue Remailer wird in das Netz der bestehenden integriert.

Mein Remailer nennt sich devurandom und hat momentan die beste Uptime im Netz. Er bewegt etwa 5.000 E-Mails am Tag durch das Netz. Ein Großteil davon sind Nachrichten, die an andere Remailer weitergegeben werden. Nur ein etwa ein Fünftel der eingehenden Nachrichten verlässt das Remailer-Netzwerk und geht an den endgültigen Empfänger. Daneben gibt es eine Handvoll Postings in das Usenet.

Die Last, die das System erzeugt, ist zu vernachlässigen. Die Grafik zeigt einen Überblick über die Systemlast des letzten Monats. Es gab mal eine Spitze von 0,5. Aber in der Regel liegt die Last bei unter 0,1. Auch die sonstigen Parameter des Systems weisen nicht auf irgendeine Überlastung hin. Vielmehr langweilt sich der vServer die meiste Zeit des Tages. Die einzige Sache, die mich hin und wieder stört, sind viele zurückgestellte (deferred) E-Mails. Momentan liegen über dreihundert E-Mails rum, da ein Remailer an einem DSL betrieben wird und der Rechner ist wahrscheinlich gerade aus.Die Grafik der zurückgestellten E-Mails sieht daher wie ein Börsenkurs aus.

Eine Frage, die wahrscheinlich viele der Leser interessiert, ist der Missbrauch. Wie oft wird der Dienst missbraucht? Wieviele Hausdurchsuchungen hatte ich schon? Letzte Frage lässt sich einfach beantworten: 0. Wie oft Missbrauch geschieht, kann ich leider nicht sagen. Denn als Betreiber sieht man nur die Spitze des Eisberges. Nur wenn ich jede E-Mail lesen und auswerten würde, hätte ich genaue Zahlen. Daher will ich mich auf Beschwerden von dritter Seite konzentrieren.

Im letzten Jahr gab es insgesamt drei Fälle, in denen sich eine dritte Seite an mich gewendet hat. Anfang 2008 rief mich ein Rechtsanwalt an. Das Telefonat war etwas wirr. Aber soweit ich es verstanden habe, hat sein Klient eine E-Mail von meinen Remailer erhalten. In der E-Mail waren Links zu Bildern, die angeblich urheberrechtlich geschützt sind. Er wollte natürlich den Urheber der E-Mail wissen. Ich habe ihm dann in einer längeren E-Mail das Wesen des Dienstes erklärt und ihm auch gesagt, dass ich den Urheber nicht kenne. Seitdem habe ich nichts mehr gehört.

Der zweite Kontakt war ebenfalls wieder über einen Rechtsanwalt. Er schrieb mir einen formellen Brief. Ein Nutzer hat seinen Klienten beleidigt und auch er wollte den Urheber wissen. Ich ging wieder wie oben vor und auch hier gab es nie eine Antwort oder Rückmeldung.

Der bisher letzte Kontakt war auch der spannendste. Den Vorfall hatte ich schon im Beitrag Ihre Kriminalpolizei bittet um Mithilfe beschrieben. Damals hatte jemand eine Drohmail über den Remailer verschickt und die Polizei wollte den Urheber wissen. Nach einer Erklärung über die Funktionsweise des Remailers und der Bemerkung, dass ich nicht logge, war am anderen Ende ein Grummeln zu hören. Jedoch kam der Beamte noch auf die Idee, dass ich ihm doch einen Abzug des RAM machen könne. Nachdem ich auch das verneint hatte, kam am anderen Ende die Bemerkung, dass ja jetzt eh Feierabend sei und man daher die Akte schließen werde. Ich habe auch von diesem Vorfall nichts wieder gehört.

Der Vertrag über den Server wurde kürzlich wieder verlängert und ich werde auch in diesem Jahr den Mixmaster weiter laufen lassen. Sobald ich Zeit habe, kommt noch ein Mixminion-Server hinzu.

Der Hostblogger kündigte in einem Posting an, auch ab dem nächsten Jahr die VDS nicht umsetzen zu wollen. Er setzt dabei auf ein Urteil, was kürzlich gegen (oder besser für ) BT gefällt wurde. Die brauchen auch nichts zu speichern, da es keine Aufwandsentschädigung gibt. Ich will stark hoffen, dass er mit seinem "zivilen Ungehorsam" durchkommt und ihm das BVerfG dann auch recht gibt.

Der Jurist Patrick Breyer hat sich auch mit der VDS auseinandergesetzt und kam zu dem Schluss, dass unentgeltlich angebotene Dienste nicht der Vorratsdatenspeicherung unterliegen. Der Beitrag klingt vielversprechend. Jedoch diskutieren die Juristen über die Redewendung "in der Regel". Hier önnte es sein, dass der Ansatz von Patrick flasch ist. Denn nach Meinung der Bundesnetzagentur ist es beispielsweise bei E-Mail-Anbietern die Regel, die Dienstleistung gegen ein Entgelt bzw. gegen Werbeeinblendungen anzubieten. Es zählt also nicht, was der jeweilige Anbieter in der Regel tut, sondern "was der Markt macht". Nichtsdestotrotz wünschte ich, dass er recht hätte.

Wer an den letzten Entwicklungen zur VDS kurz vor Toresschluss interessiert ist, sollte unbedingt den 25C3 besuchen. Roger Dingledine wird in einem Vortrag den Stand der Dinge erklären.

Videoüberwachung schützt uns vor Straftaten! So oder so ähnlich wird immer wieder die Formel von Sicherheitspolitikern heruntergebetet. Nun haben sich ein paar Aktivisten der Ortsgruppe Hannover des AK Vorrat mal an einen praktischen Test gemacht. Sie legten im Rahmen einer Kunstaktion vor dem Justiz-, dem Sozialministerium sowie vor dem Landtag eine Bombe und warteten, wann diese entfernt wird. Wie man sich unschwer denken kann, mussten die Aktivisten ihr "explosives Kunstwerk" nach einiger Zeit unverrichteter Dinge mit nach Hause nehmen. Niemand kam und schaute wenigstens nach dem guten Stück.

Ein Video der Aktion ist an zwei Stellen verfügbar.

Auch in Jena tut sich was: Noch vor einem Monat berichtete ich über den Abbau einer Kamera. So staunte ich gestern nicht schlecht, sie mich bei einem Spaziergang durch die Stadt wieder anlächelte. Es wird wohl Zeit, wirklich etwas dagegen zu tun.

Vor vielen Jahren waren einige Leute genervt vom dauernden Spam. Um etwas dagegen zu tun, entwarfen sie den TFFFFF, Thoms Fassung von Framstags freundlichem Folterfragebogen. In diesem wird auf das Bundesdatenschutzgesetz verwiesen und die betreffende Firma aufgefordert, über die Auskunft der Daten Herkunft zu geben, die Daten zu löschen etc. Der T5F hat mir im Laufe der Jahre schon einige wertvolle Dienste erwiesen.

Markus von Netzpolitik verweist in "Deine Daten gehören Dir! Hol sie Dir zurück!" auf die Initiative “Datenschutz ist Bürgerrecht“ der Grünen. Im Rahmen dessen gibt es eine Aktion mit Briefen und einem Webformular um Auskunft über die gespeicherten Daten zu erhalten. Dies erscheint mir wie eine Wiederbelebung des T5F. Die Grünen bieten an, die Telekom, Amazon, Payback und andere Firmen anzusprechen. Ich kann euch nur raten, diese und andere Firmen anzuschreiben. Zum einen wird denen deutlich, dass man nicht einfach alles so auf sich beruhen lässt. Zum anderen könnte das in der Tat auch dafür sorgen, dass die eigenen Daten aus der einen oder anderen Datenbank wieder verschwinden.

Wenn du gern eine andere Firma als die genannten ansprechen willst, dann versuche doch auf den T5F zurückzugreifen.

Letzte Woche leitete ich in Magdeburg ein Seminar zum Thema Datenschutz und -sicherheit. Passend dazu brachte die Volksstimme zur Wochenmitte die Nachricht, dass am Magdeburger Justizzentrum gefilmt und abgehört wird. Der Landesdatenschutzbeauftragte trat daraufhin in Aktion und unterband die Praxis. Für mein Seminar war das natürlich ein gelungener Aufhänger für die morgenliche Diskussionsrunde.

Aber auch in Jena gab es Kameras, die filmen und mithören konnten. Am Intershop-Tower gibt es das Einkaufszentrum "Neue Mitte". Diese setzen sehr stark auf Videoüberwachung. Im Gebäude gibt es nahezu keine Ecke, wo man nicht beobachtet wird und an den Außenwänden gab es drei Kameras. Interessanterweise erklärte man auf Nachfrage, dass sich unter dem Abdeckungen keine Kameras befinden würden und dass die Außenkameras nicht Töne aufzeichnen könne. Daraufhin habe ich mir die Abdeckungen nochmal genau angeschaut und eindeutig Kameras darunter erkennen können. Weiterhin ist auf der Webseite von Mobotix die Mobotix DualNight M12D eindeutig als Kamera mit Mikrofon gekennzeichnet. Also gehe ich von bewusster Falschinformation aus.

Eine der Außenkameras filmte noch dazu auf die Johannisstraße. Das ist eine von Jenas meistfrequentierten Fußgängerzonen. Insbesondere diese Tatsache störte mich und so wollte ich versuchen, auf offiziellem Weg die Kamera entfernen zu lassen. Als ich dann endlich die Zeit fand, ein Schreiben aufzusetzen, traute ich kaum meinen Augen. Das Schreiben war absendefertig und die Kamera war weg. Anfangs glaubte ich noch an Reparaturmaßnahmen. Doch mittlerweile ist reichlich Zeit vergangen und auch eine weitere Kamera wurde abgebaut.

Ich hoffe, dass dies so bleibt. Falls nicht, kann ich meinen Beschwerdebrief doch noch loswerden.

In einem Monat ist es soweit. Dann startet am 2008-10-11 ab 14:00 Uhr die Demonstration Freiheit statt Angst. Wie schon im letzten Jahr wollen die Organisatoren vom Arbeitskreis Vorratsdatenspeicherung gegen die ausufernde Überwachung, die Vorratsdatenspeicherung sowie die generellen Einschränkungen in der Privatsphäre demonstrieren.

Der FoeBud e.V. organisiert Busse zur Demo. Wer also noch nicht weiß, wie er hinkommt, kann so recht günstig nach Berlin und zurück kommen.

Jeder Teilnehmer zählt. Also komm auch du mit nach Berlin.

Seit der Veröffentlichung meines Buches "Anonym im Netz" erreichen mich immer mal wieder Interviewanfragen. So auch von der Ostthüringer Zeitung. Diese Zeitung wird hier in Ostthüringen verlegt. Das Interview erschien in der Printausgabe und sollte es auch online geben. (Momentan funktioniert das leider nicht.) Ich erzähle darin vom aktuellen Stand der Vorratsdatenspeicherung, nehme Bezug auf den Telekom-Fall und spreche natürlich auch auf das Buch. Unerwarteterweise bekomme ich darauf eine enorme Resonanz. Mich sprechen nahezu jeden Tag Menschen an, teilen mir mit, dass sie den Artikel gelesen haben und dass sie das gut finden. Ich hoffe natürlich, dass sie sich auch das Buch kaufen.

Bisher fand ich es merkwürdig, dass es nahezu keinerlei Reaktion auf die Artikel gab. Umso mehr bin ich jetzt überrascht, dass es soviel Rückmeldung gibt. Offensichtlich habe ich lokale Zeitungen in ihrer Wirkung unterschätzt.

In den Kommentaren zur Videoüberwachung in Jena riet mir Gonzo mich mit dem Datenschutzbeauftragten des Landes in Verbindung zu setzen. Zu dem Zeitpunkt hatte ich das bereits getan und "interessante" Erfahrungen gesammelt.

Erfahrungsgemäß bieten die Datenschutzbeauftragten PGP-Schlüssel an und in der Tat fand ich auf der Kontaktseite einen zum "Download" und einen in "lesbarer" Form. Ich wähle den ersten und stutze als ich die URL sehe. Das Dokument heißt pgp_schluessel.doc und file bestätigt mir den Verdacht: pgp_schluessel.doc: Microsoft Word-Dokument. Na gut, es gibt ja noch den in lesbarer Form. Ich übergebe curl die URL und versuche das Ergebnis gleich zu GnuPG zu importieren. Doch auch hier erscheint eine Fehlermeldung. Ein Blick auf die lesbare Form enthüllt dann ein HTML-Dokument. Nachdem ich dann den Schlüssel manuell extahiert hatte, konnte ich auch meine E-Mail schreiben. Doch da hatte ich bereits einen Verdacht, wie die Antwort ausfallen würde ...

In der Tat erhielt ich nach ein paar Tagen die Antwort, dass man meine E-Mail (bzw. den Anhang) nicht öffnen könne. In den Headern der E-Mail stand etwas von Outlook und je nachdem welche Zusatzsoftware man verwendet, kann es Probleme mit den (an sich korrekt) verschlüsselten E-Mails geben. Also schickte ich die E-Mail nochmal und nutzte eine ältere Methode (Inline-Verschlüsselung), die von allen Programmen erkannt wird. Ihr dürft jetzt dreimal raten, wie die Antwort ausfiel.

Im Anschluss wandte ich mich an das ULD in Schleswig-Holstein und bekam von dort eine sehr detaillierte, ausführliche Antwort.

Gestern war das einjährige Bestehen der Freiheitsredner. Dies ist ein Zusammenschluss Freiwilliger, die ehrenamtlich Vorträge zu Themen wie Datenschutz und Privatsphäre halten. Nach den Angaben der Pressemitteilung wurden im letzten Jahr 70 Vorträge veranstaltet und die Nachfrage ist weiterhin sehr groß. Insgesamt engagieren sich mehr als 80 Personen und diese sind laut der Karte recht gut über Deutschland verteilt. Solltest also Bedarf haben, frage einfach einen Redner an.

Der vorläufige Abschluss der Veranstaltungsreihe FREIstaat oder ÜBERWACHUNGsstaat? Meine Daten gehören mir! findet in der nächsten Woche statt. Am 8.Mai werde ich zusammen mit Johannes Lichdi, Nils Bergemann und Rafail Kühn eine Podiumsdiskussion zu den Themen öffentliche Sicherheit, Überwachung und Alternativen durchführen. Wir werden dabei sicher wieder einen kleinen Vortrag zur Einführung in die Thematik halten. Anschließend wollen wir mit dem Publikum die Themen diskutieren. Die Veranstaltung findet im Projekttheater in der Louisenstr. 47 statt. Beginn ist 20:00 Uhr.

Johannes Lichdi als MdL, Nils Bergemann vom Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein und ich dürften euch sicher bekannt sein. Der "Neuling" in der Runde ist Rafael Kühn. Er hat den thematisch sehr gut zum Thema passenden Film "Das Verhör" gedreht. Im Rahmen unserer Vorträge haben wir desöfteren einen Vorfilm gezeigt. Dieser stammt auch von dem Regisseur und ist ein fiktiver Aufklärungsfilm des Ministeriums für Friedenserziehung. Es wäre wünschenswert, wenn der Film mehr Anklang und Publikum findet. Denn aus meiner Sicht ist er wesentlich besser geeignet, Aufmerksamkeit für bzw. gegen die Überwachung zu wecken als der Film "A scanner darkly".

Ich würde mich freuen, wenn viele den Weg zu der Diskussion finden und es eine schöne Veranstaltung wird.