Skip to content

Unsichere Add-Ons – Was ist noch sicher?

Gerade geistert das Gespenst der bösen Add-ons durch die Medien.
Der NDR hat recherchiert und festgestellt, dass die Erweiterung Web of Trust (wot) nicht nur Daten sammelt, sondern diese auch weiterverkauft.

Mich wundert dieses Verhalten ehrlich gesagt nicht. Add-Ons mit einer Firma im Hintergrund sind oft gewillt mit ihrer Software Geld zu verdienen.
Das ist nicht nur bei Web of Trust so, auch Add-ons wie AdblockPlus oder Ghostery sind da kritisch zu betrachten. 

Anwender solcher Erweiterungen machen sich selten die Mühe AGBs durchzulesen, auch bei WOT war in den Datenschutzbestimmungen nachzulesen, dass Daten erhoben werden.

wotDas Web of Trust Daten an Dritte weitergibt ist natürlich nicht schön, aber auch kein riesiger Skandal. Wer solche Add-ons verwendet, ist teilweise selbst Schuld. (Weitere Details zu diesem Thema können bei Kowabit nachgelesen werden).

Dank des offenen Quellcodes hätte jeder die genauen Abläufe des Add-ons nachvollziehen, vorausgesetzt er versteht, was da vor sich geht. Ich schätze die meisten Wot Anwender konnten dies nicht. Somit stellt sich die Frage, welchen Add-ons nun Vertrauen schenken?

Um in Zukunft solchen Enthüllungen aus dem Weg zu gehen, sind weiterhin OpenSource Add-ons zu empfehlen, hier kann jeder den Quellcode einsehen und eventuelle Datenweitergaben aufspüren.

Allerdings sollte ein wenig darauf geachtet werden, wer für die Entwicklung solcher Add-ons verantwortlich ist und was in den Datenschutzbestimmungen steht.

Die besten Open Source Sicherheits Add-ons für Firefox

Erweiterungen der Electronic Frontier Foundation können als relativ unbedenklich angesehen werden. 
Die EFF ist eine amerikanische Organisation, welche sich für Rechte im Informationszeitalter einsetzt. Bekannte Persönlichkeiten wie Bruce Schneier gehören der Organisation an.


PrivacyBadger  - von der Electronic Frontier Foundation, um Tracking zu umgehen bzw. zu blockieren.

privacybadger

 

HTTPS Everywhere - von der Electronic Frontier Foundation, um HTTPS zu nutzen.

HTTPS-Everywhere

uBlock Origin - um Werbung zu blockieren. Als Alternative zum bekannteren AdblockPlus.

ublock-origin

Self-Destructing Cookies  - um unnötige Cookies automatisch zu entfernen

selfdestructingcookies

 

User Agent Switcher - Damit können Webseiten andere Browser untergejubelt werden. Wer also seinen Fingerprint nicht hinterlassen möchte, der kann den Switcher nutzen.

User-Agent-switcher

Alle hier erwähnten Add-Ons können auf GitHub eingesehen und analysiert werden. Für ein einigermaßen absichertes Surfen sollten diese fünf Add-ons ausreichen. Natürlich gibt es noch weitere wie disconnect und Co, aber das darf jeder selbst entscheiden.
 

Panopticlick - Browser auf Fingerabdruck und Tracking untersuchen

Panopticlick 2 - Online Test für Tracking Gefahren

Die EFF hat ihren Online Service für Fingerprinting Tests aktualisiert. Bekannt unter den Namen Panopticlick wurde nicht nur das Design modernisiert, sondern auch die vorhandenen Tests erweitert.
Neben dem Canvas Fingerprinting Test (zum Nachlesen auf ITrig) wurde ein Touch Capability Test und ein Werbetracker Check, sowie Do Not Track integriert.

panopticlick

Ein Testergebnis wird zunächst recht kompakt ausgegeben, lässt sich aber mit einem Klick auf "Show full results for fingerprinting" leicht erweitern.

Das ausführliche Ergebnis liefert Informationen zu Supercookies, Canvas Fingeprinting, Sprache, Zeitzone, Plugins, Betriebssystem, Schrift, User Agent, Touch Unterstützung und Cookies.

Panopticlick-Ergebnis

Was tun gegen Fingerprinting und Tracking ?

Zur Abwehr eines solchen Fingerabdrucks empfiehlt die Electronic Frontier Foundation zum einen eigene Tools, wie Privacy Badger, aber auch andere Bekannte, wie NoScript, Disconnect oder Tor.

Aus eigener Erfahrung empfehle ich folgende Add-ons als Tracking Schutz und zur allgemeinen Sicherheit (Firefox)

  • Privacy Badger
  • Self-Destructing Cookies
  • HTTPS Everywhere
  • NoScript
  • Random Agent Spoofer (bei Bedarf)
  • BetterPrivacy (LSO Cookies)
  • ZenMate VPN (bei Bedarf)
  • CanvasBlocker (bei Bedarf)


via


Das könnte dich auch interessieren

Tracking via Canvas-Fingerprinting - Diese Seiten benutzen bereits den nicht löschbaren Cookie Erbe

Tracking ade - CanvasBlocker, Fingerprinting im Firefox blockieren

Privacy Badger 1.0 - freie Anti Tracking Alternative für Chrome und Firefox

Mitte 2014 hatte ich den Privacy Badger der Electronic Frontier Foundation vorgestellt. Damals befand sich das Tool noch im Alpha Stadium und hatte so seine Eigenheiten. Dies hat sich nun geändert.

Privacy-Badger

Privacy Badger 1.0 - Verfolgung Nein Danke

Die EFF hat gestern Version 1.0 des Tracking Blockers für Firefox und Chrome veröffentlicht. Die Änderungen sind zahlreich, so kann die Erweiterung nun mit Supercookies and Browser Fingerprinting umgehen. Diese Methoden werden von der Werbeindustrie zwar noch nicht im breiten Stil eingesetzt, bieten aber ungeahnte Trackingmöglichkeiten.

Bereits vor wenigen Tagen hatte die EFF, Disconnect, Medium, Mixpanel, Adblock, und DuckDuckGo neue Do Not Track Regeln vorgestellt. Diese werden vom Privacy Badger bereits umgesetzt.

Privacy-Badger-1.0

Der Dachs steht unter GNU GPL v3 und ist über Github erreichbar.

Bedienung

Das Handling der Erweiterung ist im Vergleich zu früheren Versionen im Wesentlichen gleich geblieben. Die geblockten Tracker werden im Adressleistensymbol hoch gezählt.

Beim Klick auf das Icon lassen sich einzelne Seiten mit Hilfe einer Ampelfunktion wieder frei schalten. Steht die Ampel auf Gelb werden nur die jeweiligen Cookies blockiert. Da die Version 1.0 die deutsche Sprache beherrscht, sollte es für den Anwender kein Problem darstellen damit umzugehen.

Fazit

Als nicht kommerzielle Alternative zu den bekannten Anbietern bietet sich der Privatsphären Dachs förmlich an. Die nun stabile Version läuft soweit flüssig und scheint auf den ersten Blick die Kinderkrankheiten erfolgreich behandelt zu haben.

Privacy Badger

 

Let's Encrypt - Ein erster Blick auf die kostenlose Zertifizierungsstelle von Mozilla und der EFF

Mozilla, die Electronic Frontier Foundation und weitere wollen in Zukunft mit der Initiative "Lets Encrypt" sichere Server bereitstellen.
Genauer gesagt wollen sich die Partner als CA (Zertifizierungsstelle) in Stellung bringen, um kostenlose SSL/TLS-Zertifikate für Linux Server anzubieten.

Lets_Encrypt
Anders als bei bekannten Anbietern wie Cacert oder StartSSL, sollen bei "Lets Encrypt" zwei Linux Befehle ausreichen, um ein Zertifikat zu generieren es in den Server einzubinden und sofort live zu schalten.
Ob das klappt wird sich zeigen, denn bei den bereits bekannten Anbietern sorgte in der Vergangenheit oft die nicht vorhandene Akzeptanz der Browserhersteller für Probleme, auch die soll sich beim neuen Projekt ändern.


Laut eigenen Aussagen soll das Projekt im Sommer 2015 fertig gestellt werden, einen ersten Einblick konnte sich jeder beim C31c3 verschaffen.
Doch wie steht es momentan um das Projekt und wie soll es im Endeffekt funktionieren.
Eine Installation der bereits vorhandenen Skripte sollte einen ersten Einblick geben.
Referenzsystem ist ein Ubuntu 14.04 mit installiertem Apache.

Voraussetzung

Voraussetzung ist ein installierter Apache Server, mit einer Beispielseite, da Lets-encrypt automatisch eingerichtete Webseiten im Apache erkennt und konfiguriert.
Nginx und anderen Webserver werden in der jetzigen Entwickler Version leider noch nicht unterstützt.

Apache einrichten und Beispielseite konfigurieren

sudo apt-get install apache2
sudo touch /etc/apache2/sites-available/beispiel-le
sudo mkdir /home/beispiel
sudo touch /var/log/apache2/beispiel-access.log
sudo touch /var/log/apache2/beispiel-error.log

Die VirtualHosts Konfiguration sieht nach einer Grundeinrichtung wie folgt aus:

sudo nano /etc/apache2/sites-available/beispiel-le

<VirtualHost server:80>

 ServerName beispiel
 ServerAlias
 DocumentRoot /home/beispiel/
 ServerAdmin prontos@email.de
 CustomLog /var/log/apache2/beispiel-access.log combined
 ErrorLog /var/log/apache2/beispiel-error.log
 LogLevel warn

</VirtualHost>

Webseite aktivieren und Konfiguration neu laden

sudo a2ensite beispiel
sudo service apache2 reload

Testinstallation Lets Encrypt

Zunächst müssen die nötigen Pakete installiert werden.

sudo apt-get install python python-setuptools python-virtualenv python-dev gcc swig dialog libaugeas0 libssl-dev ca-certificates python-m2crypto python-augeas

sudo virtualenv --no-site-packages -p python2 venv

    Running virtualenv with interpreter /usr/bin/python2
    New python executable in venv/bin/python2
    Also creating executable in venv/bin/python
    Installing setuptools, pip...done.

Nun das Git Repository auschecken

sudo git clone  https://github.com/letsencrypt/lets-encrypt-preview.git

Die Python Umgebung verschieben

sudo mv /home/user/venv/ /home/user/lets-encrypt-preview/

Nun kann die eigentliche Installation gestartet werden


cd lets-encrypt-preview
sudo ./venv/bin/python setup.py install

    Installing easy_install-3.4 script to /home/user/lets-encrypt-preview/venv/bin
    Installing easy_install script to /home/user/lets-encrypt-preview/venv/bin

        Using /home/user/lets-encrypt-preview/venv/lib/python2.7/site-packages
        Finished processing dependencies for letsencrypt==0.1

Ist alles ohne Fehler verlaufen, kann LetsEncrypt ausgeführt werden.

sudo ./venv/bin/letsencrypt
        
     Generating key: /etc/apache2/ssl/key-letsencrypt_1.pem               
     x Performing the following challenges:                                 
     x   DVSNI challenge for name beispiel.                                 
     x Created an SSL vhost at                                              
     x /etc/apache2/sites-available/beispiel-le-ssl.conf                    
     x Ready for verification...                                            
     x Waiting for 3 seconds...                                             
     x Expected message (authorization) not received                        
     x Failed Authorization procedure - cleaning up challenges              
     x Cleaning up challenges for beispiel    
        

let-encryptlet-encrypt

Lets Encrypt passt die vorhandene Webseite so an, dass diese auf HTTPS hört und bindet zusätzlich eine TLS/SSL Konfigurationsdatei namens "options-ssl.conf" ein.
Ein Blick in die erzeugte VirtualHosts zeigt die Details.

sudo nano /etc/apache2/sites-available/beispiel-le-ssl.conf

<IfModule mod_ssl.c>
<VirtualHost 10.8.0.49:443>
 ServerName beispiel
 ServerAlias
 DocumentRoot /home/beispiel/
 ServerAdmin prontos@email.de
 CustomLog /var/log/apache2/beispiel-access.log combined
 ErrorLog /var/log/apache2/beispiel-error.log
 LogLevel warn
SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
Include /etc/letsencrypt/options-ssl.conf
</VirtualHost>
</IfModule>

Ein weiterer Blick auf die eingebundene Zusatzkonfiguration zeigt typische Sicherheitseinstellungen für Apache Webserver, der ITrig Leser sollte diese bereits aus vergangenen Artikeln kennen.
SSL 2.0 und 3.0 sind deaktiviert, Kompression ist ausgeschaltet, es sind sichere CypherSuites hinterlegt, die Serversignatur ist deaktiviert, usw.

Hier die Konfiguration im Detail:


sudo nano /etc/letsencrypt/options-ssl.conf
    # Baseline setting to Include for SSL sites
    SSLEngine on
    # Intermediate configuration, tweak to your needs
    SSLProtocol             all -SSLv2 -SSLv3
    SSLCipherSuite          ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-     ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE$
    SSLHonorCipherOrder     on
    SSLCompression          off
    ServerSignature Off
    AcceptPathInfo Off
    AddOutputFilterByType DEFLATE text/html text/plain text/xml application/pdf
    AddDefaultCharset UTF-8
    SSLOptions +StrictRequire
    # Add vhost name to log entries:
    LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" vhost_combined
    LogFormat "%v %h %l %u %t \"%r\" %>s %b" vhost_common
    CustomLog /var/log/apache2/access.log vhost_combined
    LogLevel warn
    ErrorLog /var/log/apache2/error.log
    # Always ensure Cookies have "Secure" set (JAH 2012/1)
    #Header edit Set-Cookie (?i)^(.*)(;\s*secure)??((\s*;)?(.*)) "$1; Secure$3$4"

Troubleshooting

Fehlermeldung, wenn die Umgebung nicht richtig gefunden wurde.

sudo ./venv/bin/python lets-encrypt-preview/setup.py install

        running bdist_egg
        running egg_info
        creating letsencrypt.egg-info
        writing dependency_links to letsencrypt.egg-info/dependency_links.txt
        writing requirements to letsencrypt.egg-info/requires.txt
        writing letsencrypt.egg-info/PKG-INFO
        writing top-level names to letsencrypt.egg-info/top_level.txt
        writing entry points to letsencrypt.egg-info/entry_points.txt
        writing manifest file 'letsencrypt.egg-info/SOURCES.txt'
        error: package directory 'letsencrypt' does not exist

Fazit

Zum jetzigen Zeitpunkt ein Urteil zu fällen ist recht schwer. Die Installation ist noch im Entwicklungsstadium und wird, sobald das Projekt produktiv geht, sicherlich einfach von der Hand gehen. Mit den versprochenen zwei Befehlen "sudo apt-get install lets-encrypt" und "lets-encrypt webseitename" kann zwar bis jetzt noch nicht gearbeitet werden, dennoch lädt das Installationsskript automatisch das SSL Modul in den Apache und fragt nach der gewünschten HTTPS Seite. Die Sicherheitseinstellungen die automatisch eingebunden werden sind so gut wie up2date und könnten zu diesem Zeitpunkt belassen werden. (Bei CipherSuites gehen die Meinungen ja bekanntlich auseinander)

Die automatische Einbindung des Zertifikats hat bei disen Versuch nicht geklappt, was nicht weiter verwundert, da die Autorisierung fehlschlägt.

Schon jetzt kann jedoch behauptet werden, dass dieses Projekt wenn dann an der Browserintegration scheitern könnte und nicht an der Bedienung.

Das automatische Erneuern (renew) oder das Zurücknehmen von Zertifikaten (revoke) ist leider noch nicht funktionsfähig, genauso werden andere Webserver wie Nginx vermisst, aber bis zum Sommer ist auch noch etwas Zeit.

Um sich diese zu verkürzen kann das Installationsskript gerne selbst ausprobiert werden, aber bitte nicht auf Produktivsystemen.

github

Großer Messenger Vergleich der EFF - Welche Chat Tool bieten sichere Kommunikation?

Die EFF (Electronic Frontier Foundation) hat bereits mit "Who has your back" eine praktische Übersicht, welche Unternehmenstransparenz behandelt. Nun wurde eine Seite ins Leben gerufen, die bekannte Messenger auf ihre sichere Kommunikation hin vergleicht.

sichere-messenger

Secure Messaging Scorecard wurde die Seite getauft, welche Messenger und Chattools auf Sicherheit hin vergleicht. In der ersten Phase werden die Tools auf sichere und einsetzbare Cryptoverfahren untersucht. Später soll dann ein genauerer Blick auf die Sicherheit und Handlichkeit der Messenger folgen.

Die Aufgabe

Zum jetzigen Zeitpunkt wurde sieben Punkte verglichen

  1. Sind alle Gespräche und Links verschlüsselt? (Ausgenommen sind Metadaten, wie Name oder Adresse)
  2. Ist die Kommunikation so verschlüsselt das der Provider nicht mitlesen kann? (Ende zu Ende)
  3. Kann die Identität des Gesprächspartners verifiziert werden? (Diese erfolgt meist durch einen Schlüsselaustausch oder einen Fingerabdruck)
  4. Sind alte Kommunikationsdaten sicher, auch wenn der Schlüssel verloren geht? (Hier ist Forward Secrecy gefragt)
  5. Ist der Code des Messenger für ein Review zugänglich?
  6. Ist die eingesetzte Kryptographie gut dokumentiert?
  7. Wurde bereits ein unabhängiger Sicherheits- Audit durchgeführt?

Der Vergleich

Diese sieben Punkte wurden auf 39 Messenger angesetzt, dazu zählen bekannte Größen aus dem PC Bereich wie AIM, Pidgin, Yahoo Messenger oder Skype, aus dem Social Media Bereich Facebook Chat, Google Hangout, aus dem mobilen Bereich Whatsapp, Telegram oder Threema, aber auch eher unbekanntere Kandidaten wie Jitsi, CryptoCat oder Mxit.

chat-tool-vergleich

Insgesamt kann von einem gesunden Querschnitt der Messengerlandschaft gesprochen werden.

Der Vergleich spiegelt die allgemeine Berichterstattung recht gut wieder. So schneidet WhatApp weit weniger gut ab, als seine Kollegen Threema oder Telegram.

Die Tatsache, dass Skype bei der sicheren Kommunikation punktet, hat allerdings ein kleines "Gschmäckle", da seit Snowden ja bekannt sein dürfte, das hier mitgelesen wird.

Die Gewinner

Auf dem "Siegertreppchen" wird es eng, denn ganze sechs Chattools haben alle Vergleichspunkte mit Erfolg abschließen können.

Dazu zählen der Browserchat CryptoCat oder ChatSecure für iPhone und Android. Fürs die Smartphone Telefonie kann Signal bzw. Redphone empfohlen werden.

Weiter sei Android Benutzern die Apps Silent Phone, Silent Text oder TextSecure an Herz gelegt.

Nun dürfte auch in Zukunft einer sicheren Kommunikation via Smartphone, Browser und Co. wenig im Weg stehen. Interessant ist ebenfalls Ausblick auf Phase 2, in der die EFF alle Messenger noch genauer unter die Lupe nehmen möchte.