Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 20 2014

August 05 2013

Mailpile: Crowdfunding Kampagne für sicheren Webmail-Client gestartet

mailpile-logoSeit den Veröffentlichungen rund um die Spionagetätigkeiten der NSA, des GCHQ und auch des BND ist das Thema der sicheren Kommunikation im Internet populär wie kaum zuvor. Das meist genutzte Kommunikationsmittel, privat wie auch beruflich, ist dabei die E-Mail. Viele Menschen greifen dabei auf einen der großen Mailanbieter, wie Google, Microsoft oder GMX, zurück. Das Problem daran ist, dass die verschickten und empfangenen Nachrichten auf den Servern jener Konzerne liegen, teilweise gar in den USA, was den Zugriff amerikanischer Behörden auf die eigene Kommunikation erleichtert. Um wieder die Kontrolle über seine eigenen Mails zu erlangen, wurde nun das Projekt Mailpile gestartet. Ziel ist es, einen freien und offenen Webmail-Client zu entwickeln, der auf dem eigenen Computer oder Server läuft und mit dem ohne Zusätze per OpenPGP verschlüsselt kommuniziert werden kann.
 

Mailpile_0_1_Interface_Compose

Erster Entwurf des Interfaces von Mailpile



Vorangetrieben wird das Projekt von Bjarni Einarsson, Gewinner des Nordic Free Software 2010, Smári McCarthy, Direktor des International Modern Media Institute und Mitglied der isländischen Piratenpartei, sowie Brennan Novak. Damit Mailpile ein Erfolg wird und möglichst schnell fertig gestellt werden kann, benötigen die Entwickler allerdings finanzielle Unterstützung. Aus diesem Grund wurde nun eine Crowdfunding Kampagne auf Indiegogo gestartet. Ziel ist es bis zum 10. September 100.000 Euro einzunehmen, um bis zum Januar 2014 eine erste funktionsfähige Alpha-Version veröffentlichen zu können. Diese soll sowohl auf einem Server sowie auf dem eigenen Rechner laufen können und ein intuitives Interface bieten. Großes Augenmerk wird darüber hinaus in die Suchfunktion und die integrierten Verschlüsselungsmöglichkeiten von Mailpile gelegt. So sollen beispielsweise nicht nur die Mails an sich, sondern auch die Suchanfragen und die Einstellungen verschlüsselt werden können.

Sollten mehr als 100.000 Euro eingenommen werden, soll nach Aussagen der Entwickler auch eine Mehrbenutzerversion für Familien, Freunde oder kleine Unternehmen entwickelt werden. Auch eine eingebaute Unterstützung von XMPP (Jabber) soll folgen. Die Veröffentlichung einer ersten stabilen Version ist nach jetzigem Stand für den Sommer 2014 geplant. Ausführliche Informationen zu Mailpile findet ihr auf der Homepage des Projekts sowie direkt auf der Kampagnenseite bei Indiegogo. Wer sich den Quellcode ein wenig genauer ansehen möchte, findet diesen auf github.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

May 24 2013

Google verabschiedet sich größtenteils von offenen Standards für Instant Messaging

Wie immer mal wieder während Googles I/O Entwicklerkonferenz genannt und nun von der Electronic Frontier Foundation (EFF) zusammengefasst, will Google die derzeit existierende Instant-Messaging Plattform “Talk” durch eine neue ersetzen, “Hangouts”. Diese mindert die Unterstützung für das freie Instant Messaging Protokoll XMPP (Jabber) enorm und gibt ebenfalls keine Möglichkeit mehr, die Archivierung aller Chat Nachrichten zu deaktivieren. Ein Wechsel von freien zu proprietären Protokollen und ein großer Schritt zurück für viele Nutzerinnen und Nutzer.

Dass Google XMPP unterstützt, hieß für Nutzerinnen und Nutzer vor allem, mit Kontakten auf anderen XMPP Servern kommunizieren zu können. So kann ein Google Account bislang über Jabber beispielsweise mit jemandem kommunizieren, der oder die den beliebten Server des CCC nutzt. Google selbst beklagt in der Dokumentation der “Talk” Plattform, dass viele IM Netzwerke es nicht ermöglichen, mit anderen Diensten zu kommunizieren:

Service choice is something you have with email and, for the most part, with your regular phone service today. This means that regardless of whom you choose as your email service provider (Gmail, Hotmail, Yahoo! Mail, your school or ISP, etc), you can email anyone who is using another service provider. [...] This allows you to choose your service provider based on other more important factors, such as features, quality of service, and price, while still being able to talk to anyone you want. Unfortunately, the same is not true with many popular IM and VOIP networks today. If the people you want to talk to are all on different IM/VOIP services, you need to sign up for an account on each service and connect to each service to talk to them.

Die neuen “Hangouts” bringen genau die Nachteile, die Google oben beschreibt. Dabei sollen, wie die EFF schreibt, die Nutzerinnen und Nutzer nicht über die Umstellung informiert werden: Ihre Kontakte, die andere XMPP Server nutzen, werden demnach schlichtweg nicht mehr im Chat auftauchen. Google wird sich damit (noch) nicht gänzlich von XMPP verabschieden, sondern nur von der Server-zu-Server Kommunikation. Nutzerinnen und Nutzer, die mit einem Google Account per XMPP chatten, werden dies auch weiterhin untereinander können – jedoch nicht mehr mit solchen Kontakten ohne Google Account. Laut EFF wirft das weitere Probleme auf:

No official Google client supports Off-the-Record (OTR) encryption, which is increasingly a critical component of secure online communication. If both participants in a chat are using Off-the-Record encryption, they’ve got a secure end-to-end line, which means nobody except the two of them—including their service provider—can read their messages.

Auch die Archivierung von Chat Verläufen kann nicht mehr generell deaktiviert werden. Bisher konnten Nutzerinnen und Nutzer generell verhindern, dass Verläufe auf ihrem Google Account gespeichert werden. Mit den neuen “Hangouts” müsste das für jeden Kontakt einzeln eingestellt werden. Wie die EFF in einer Fußnote hinzufügt:

To be clear, even the earlier setting was far from perfect from a privacy perspective: disabling chat history only kept the logged messages out of your Gmail account, and didn’t prevent other users, or Google itself, from keeping a record of the conversation.

Hinzu kommt, dass die Archivierung nur bei offiziellen Google “Hangouts” Clients deaktiviert werden kann, nicht aber bei externen Clients wie Pidgin, Adium oder Gajim.

Google begründet die Änderungen mit neuen technischen Anforderungen. Dennoch könnte Google, als ersten Schritt, die Spezifikationen von “Hangouts” offenlegen. Und OTR bei offiziellen Clients ermöglichen. Schließlich argumentiert Google ja selbst, wieso open communication wichtig ist:

Google’s mission is to make the world’s information universally accessible and useful. Google Talk, which enables users to instantly communicate with friends, family, and colleagues via voice calls and instant messaging, reflects our belief that communications should be accessible and useful as well.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 14 2013

Skype liest Nachrichten aus dem Chat mit

Wer Skype nutzt muss beim ersten Programmstart die Nutzungsbedingungen akzeptieren, mit denen man Microsoft – dem Neueigentümer von Skype – das Einverständnis erteilt Nachrichten mitlesen zu dürfen. Wie heise Security herausgefunden hat und nun berichtet, macht Microsoft von diesem Recht auch Gebrauch.

Konkret geht es um das Lesen und Öffnen von Links welche innerhalb des Chats von Skype verschickt werden. Von einem Leser auf das Problem angesprochen, machte heise Security einen Test bei dem eine Vielzahl von https-URLs über den Chat verschickt wurden. Kurze Zeit später seien alle Server von Rechnern aus Redmond besucht worden.

Auf Nachfrage von heise Security was dieses Verhalten zu bedeuten habe, reagierte Skype lediglich mit einer Passage aus seinen Datenschutzrichtlinien:

“Skype nutzt gegebenenfalls innerhalb von Sofortnachrichten und SMS automatisiertes Scannen zur Bestimmung von (a) vermutlichem Spam und/oder (b) URLs, die bereits als Spam-, Betrugs- oder Phishing-Links identifiziert wurden.”

heise Security zweifelt allerdings reine Sicherheitsmaßnahmen seitens Skype an. Einerseits würden Spam- oder Phishing URLs nur selten hinter https-Seiten liegen – und ebenfalls verschickte “normale” http-URLs seien nicht betroffen gewesen. Andererseits wären jeweils nur sogenannte Head-Requests an die Server geschickt worden, welche nur Verwaltungsinformationen der Server abrufen, die Seiten aber nicht auf Spam- oder Phishing-Inhalte überprüfen würden.

Bereits im Januar hatten Bürgerrechtler in einem offenen Brief an Skype und Microsoft in Frage gestellt, wie sicher die Kommunikation über Skype in Zukunft sein werde. Und auch wir berichteten schon über den Wechsel zu offenen Standards zugunsten von Skype.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

August 02 2012

Skype und die Überwachungsdiskussion

Momentan werden die Überwachungsmöglichkeiten von Skype diskutiert. Ausgangspunkt waren der Umzug von Verbindungsservern in Rechenzentren von Skype Eigentümer Microsoft und ein Artikel der Washington Post. Letzterer beruft sich auf Insider die über strukturelle Veränderungen und eine bessere Zusammenarbeit mit staatlichen Stellen berichten. Skype weist die Vorwürfe zurück – allerdings findet sich keine explizite Aussage welche Überwachungsmöglichkeiten bestehen und welche nicht. Jedenfalls betont Skype, dass sie durch die Serverumzüge nicht weiter ausgebaut worden wären. Behörden würde man Auskünfte innerhalb des gesetzlichen Rahmens erteilen, sofern Skype die Daten liefern könne. Nun stellt sich die Frage, wie die Überwachungssituation bei Skype wirklich aussieht. Eine Frage die nicht leicht zu beantworten ist.

Die technische Seite

Skype brüstete sich in der Vergangenheit immer wieder damit, das sie einer Überwachungsanordnung seitens der Polizei nicht entsprechen können. Mittlerweile äußern sie sich dazu nur noch ausweichend. Das Statement zu Überwachungsfragen lautet:

Our position has always been that when a law enforcement entity follows the appropriate procedures, we respond where legally required and technically feasible.

Technisch umsetzbar ist das Abhören von Voice- und Video-Calls bereits mit der vorhanden Infrastruktur. Der Richter Ulf Buermeyer beschreibt in seinem Blog die Möglichkeit über die in die Software integrierten Funktionen vom “normalen” Telefonnetz eingehende Anrufe zu empfangen (Skype-In) und in dieses zu telefonieren (Skype-Out) die Gespräche über Skype Server umleiten zu können. Dem anrufenden Skype-Clienten könnte so ein das Skype-Netz verlassendes Gespräch vorgegaukelt werden, dem angerufenen ein Anruf aus dem normalen Telefonnetz. Gespräche die das Skype-Netz verlassen müssen immer über Skype-Server laufen, auf welchen sie unverschlüsselt vorliegen. Skype kann so über die bereits vorhandene Infrastruktur einen Man-in-the-Middle-Angriff realisieren und die Ende-zu-Ende Verschlüsselung der Skype-Clienten aufheben.

Alternativ dazu könnten natürlich auch direkt in der Skype-Software Abhörmechanismen eingebaut werden. Ob und wie Überwachungsmechanismen umgesetzt wurden, lässt sich allerdings nicht nachvollziehen, da es sich um proprietäre Software handelt deren Source-Code man nicht einsehen kann. Technisch ist das Abhören von Skypegesprächen seitens Skype jedenfalls kein Problem – offen bleibt ob es auch gemacht wird – schauen wir uns die Aussagen und Gegebenheiten an.

Niemand hat die Absicht, Skype Gespräche abzuhören!

In den Skype AGBs stimmt man als Skype-Nutzer der Offenlegung von Informationen im Rechtsrahmen zu:

Skype, der örtliche Skype-Partner oder der Betreiber bzw. Anbieter, der die Kommunikation ermöglicht, stellt personenbezogene Daten, Kommunikationsinhalte oder Verkehrsdaten Justiz-, Strafvollzugs- oder Regierungsbehörden zur Verfügung, die derartige Informationen rechtmäßig anfordern. Skype wird zur Erfüllung dieser Anforderung angemessene Unterstützung und Informationen bereitstellen, und Sie stimmen hiermit einer derartigen Offenlegung zu.

Zu Chat-Nachrichten findet sich ebenfalls ein Absatz, der Skype erlaubt die Chat-Daten 30 Tage auf ihren Servern zu speichern:

Skype kann die Inhalte Ihrer Sofortnachrichten (Chats) speichern, um (a) Ihre Nachrichten zu übermitteln und zu synchronisieren und (b) Ihnen sofern möglich den Abruf Ihres Chat-Protokolls zu ermöglichen. Die Sofortnachrichten werden höchstens 30 Tage lang aufbewahrt, wenn gesetzlich nichts anderes festgelegt ist.

2007 äußerte Chief Security Officer Kurt Sauer auf zdnet.de auf die Frage ob Skype-Telefonate abgehört werden können:

Wir antworten auf diese Frage: Wir stellen eine sichere Kommunikationsmöglichkeit zur Verfügung. Ich werden Ihnen nicht sagen, ob wir dabei zuhören können oder nicht.

Betrachtet man, was bisher im Bereich-Skype-Überwachung bekannt wurde scheint das Vorhandensein eine Überwachungsmöglichkeit mehr als wahrscheinlich.

  • TOM-Skype, die chinesische Skype-Version, filtert und blockiert Textnachrichten und gibt diese an chinesische Behörden weiter. Dem Dienst vertrauten auch viele Bürgerrechtler die auf sichere Kommunikationsmöglichkeiten besonders angewiesen sind. Betroffen davon sind aber auch Nutzer in anderen Ländern, wenn sie mit einem TOM-Skype-Nutzer in China kommunizieren.
  • Mitte 2008 fand ein Treffen zwischen dem österreichischen Innenministerium und Providern statt. Laut ORF-Bericht wurde dort die Voll-Überwachung einzelner Internetanschlüsse diskutiert. Auf der anschließeneden Auskunftsveranstaltung sei zu erfahren gewesen, “dass die Überwachung von verschlüsselten Telefonaten via Skype zwar nicht ganz trivial sei, aber kein wirkliches Problem mehr darstelle.” Kurz zuvor sei die Skype-Verschlüsselung noch eines der Argumente zur Notwendigkeit des Bundestrojaners gewesen.
  • In einer Pressemitteilung von Anfang 2009 warf die europäische Behörde zur Koordinierung grenzüberschreitender Strafermittlung Eurojust Skype vor, das Abhören von Skype-Telefonaten durch Verschlüsselung zu verhindern. Sie korrigierte sich jedoch: Es gäbe bereits seit 2006 Treffen und eine Kooperation mit Skype. Skype habe in der Mitteilung nur als Beispiel für VoIP gedient.
  • Der Anwalt Udo Vetter bloggte 2010 von einem Rechtsstreit, in dem ein Ermittlungsbeamter aussagte,

    Seine Behörde könne Skype – auch Gespräche von Skype zu Skype – heute genauso abhören wie das normale Telefon. Wie, wollte er allerdings nicht verraten. Die Vorsitzende Richterin merkte dazu an, sie habe in ganz neuen Sachen auch schon Skype-Abhörprotokolle gesehen.

  • Seit 2010 betreibt Skype zentrale Netzwerkknoten (Supernodes). Diese dienen als Kommunikationsvermittler, können aber auch Kommunikationsverbindungen über sich routen, um eine Verbindung zu ermöglichen, die Peer-to-Peer nicht zustande kommen kann. Auf der anderen Seite wurde hierdurch aber auch die Infrastruktur geschaffen um Kommunikation abzuhören.
  • Mitte 2011, kurz nach dem Kauf Skypes, wurde Microsoft ein Patent zugesprochen, dass das Abhören von VoIP beschreibt. Microsoft besitzt also ein Patent um Skype abzuhören…
  • Erst kürzlich wurde bekannt, dass Microsoft die von Nutzern hochgeladenen Daten auf Skydrive auf Verstöße gegen die AGB scannt und bei einem Verstoß den kompletten Windows Live Zugang sperrt.

Weitere Bedrohungen

  • In mehreren Ländern wird die Forderung oder Einführung von Staatstrojanern mit Skype begründet. Die Trojaner werden auf dem Zielrechner installiert und fangen die Kommunikation noch vor der Verschlüsselung bzw. nach der Entschlüsselung ab und leiten sie an die Überwacher weiter. Letztlich handelt es sich um eine spezielle Art der Online-Durchsuchung.
  • Das Europäische Institut für Telekommunikationsnormen (ETSI) standardisiert die Überwachung von Telekommunikation. Gerade ist man dabei Standards für die Cloud und Web2.0 Dienste auszuarbeiten. Darunter fallen neben sozialen Netzwerken, auch Chat und VoIP – also auch Skype. Die Polizei soll sowohl live auf die Inhaltsdaten zugreifen, als auch die Vorratsdaten der Kommunikation abrufen können. Um dies zu gewährleisten sollen die Anbieter gezwungen werden Hintertüren einzubauen. Außerdem soll die SSL-Verschlüsselung mit Man-in-the-Middle-Angriffen ausgesetzt werden – wir berichteten.

Fazit

Einen definitven Beweis für eine Abhörschnittstelle gibt es nicht, aber einige Informationen die stutzig machen. Da der Code Closed-Source ist kann nichts überprüft werden und man ist darauf angewiesen, dem Lavieren seitens Skype zu vertrauen.

Gerade unter Regimekritikerinnen hat Skype einen guten Ruf in Sachen Sicherheit. Die momentane Informationslage lässt den Sicherheits-Status von Skype allerdings anzweifeln. Insbesondere Regimekritiker sollten auf freie Software mit freien Implementierungen von Verschlüsselungsstandards setzen (zum Chatten beispielsweise Jabber mit OTR-Encryption) – alle anderen aber natürlich auch…

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl