Aktualisierungen gibt es im Changelog, als RSS-Feed
oder im [matrix] Raum #prhdb-changes:nitro.chat

Privacy-Handbuch

Einleitung…
Surfen… E-Mail (allgm) E-Mail (crypt) Chatten…
Tor… I2P… VPNs… DNS…
Daten schützen PC/Laptop OS Smartphones
Aktualisierungen stehen auch als RSS-Feed zur Verfügung.

Letzte Überarbeitungen im Privacy-Handbuch:


Trojaner auf iPhones finden (04. Juni 2023)

Es gibt mehrere Open Source Tools, die eine Trojanerinfektion in iPhone Backups erkennen können. Mit dem MVT Toolkit kann man Pegasus und Predator Trojaner erkennen und Kaspersky hat das triangle_check-utility veröffentlicht, das den CIA(?) Trojaner erkennt, der seit 2019 großflächig in Russland, Israel und China eingesetzt wird ("Operation Triangulation").

Eine kleine Minimal-Anleitung, wie man diese Tools verwenden könnte...

Firefox resistFingerprinting (03. Juni 2023)

Ich habe meine Meinung zu resistFingerprinting im Firefox angepasst.

Tor Good Exit Nodes aktualisiert (25. Mai 2023)

Die Liste der (meiner Meinung nach) Tor Good Exit Nodes wurde nach einem halben Jahr wieder mal aktualisiert. Mit Whonix funktioniert es ganz gut.

Google-freie Android Alternativen: Shiftphone mit ShiftOS-Light (05. Mai 2023)

ShiftPhones kann man nicht im Großmarkt kaufen sondern nur auf der Webseite des deutschen Herstellers. Die Smartphones sind modular aufgebaut und einfach reparierbar.

Mit ShiftOS-Light gibt es eine Google-freie Android Version für diese Smartphones direkt vom Hersteller. Bei dieser Version ist der F-Droid Store installiert und man kann keine Apps verwenden, die unbedingt darauf bestehen, die Google Cloud Services (FCM) für Push Benachrichtigungen zu nutzen. Das betrifft beispw. einige Apps für das Online Banking oder Netflix.

Hardware für Linux: NovaCustom (21. April 2023)

Man hat eigentlich kaum Probleme, moderne Linux Distributionen auf Standardhardware aus dem Großmarkt zu installieren. Trotzdem ein paar Hinweise auf besondere Perlen:

Verschlüsselt Telefonieren mit WhatsApp(?) (21. April 2023)

Seit einigen Jahren gibt es Forschungsergebnisse zur Erkennung von einzelnen Wörtern in verschlüsselter Telefonie mit variabler Bitrate, ohne die Verschlüsselung zu knacken.

Bei WhatsApp ist die Technik scheinbar im Einsatz. Als bei einem (angeblich sicher verschlüsseltem) WhatsApp Telefonat im März 2023 mit einer Bekannten, die in Brüssel bei der EU im Engergiesektor arbeitet, im Nebensatz das Wort "Gazprom" fiel, wurde die Verbindung kurz unterbrochen.

" Hallo, hallo - bist Du nach da???" Als die Verbindung nach eingen Sekunden wieder aufgebaut war ein Lachen am anderen Ende der Leitung: "Das passiert immer, wenn ich Gazprom sage." Nachdem die belanglose Konversation 5min weiterging wieder eine kurze Unterbrechung.

WhatsApp verwendet die SRTP Verschlüsselung allerdings ohne ZRTP zum Schlüsseltausch und ohne SAS zur Verifikation, so dass man die Verschlüsselung nicht einfach verifizieren kann.

In den Einstellungen könnte man unter "Account → Sicherheit" die Sicherheitsbenachrichtigungen aktivieren, so dass im Beispiel (vermutlich) eine Warnung hätte angezeigt werden müssen, wenn es für Lawful Interception keine Sonderbehandlung gibt, die diese Warnung unterdrückt(?) Die Option ist standardmäßig deaktiviert. Aber wer sicher kommunizieren will, würde sich wahrscheinlich nicht auf WhatsApp verlassen, dessen Mutterkonzen ein PRISM Partner der NSA ist.

Mullvad Browser (ausführlicher) (07. April 2023)

Eine ausführlichere Anleitung zum Mullvad Browser...

Mullvad Browser (03. April 2023)

Um die Probleme beim "anonymen" Surfen via VPNs zu addressieren, bietet Mullvad den Mullvad Browser zum Download an, der auf dem TorBrowserBundle basiert.

Für die Installation muss man wie beim TorBrowser nur das heruntergelandene Archiv entpacken und kann dann den Browser starten. Admininstorrechte sind nicht erforderlich.

Der Mullvad Browser verwendet selbst keine VPN Server. Das VPN muss man auf System­ebene aktivieren. Es werden die DNS-Server von Mullvad via DNS-over-HTTPS verwendet. Im Gegensatz zum TorBrowser ist das Add-on uBlock Origin standardmäßig eingebaut und es können wie beim TorBrowser drei verschiedene Sicherheitslevel aktiviert werden.

Mit dem Browser möchte Mullvad für die Nutzer seines VPN Dienstes ähnlich wie beim TorBrowserBundle eine Anonymitätsgruppe definieren. Deshalb sollte man die Konfiguration des Mullvad Browsers nicht verändern (auch nicht die Filterlisten uBlock Origin).

Standardmäßig wird DuckDuckGo als Suchmaschine genutzt. Man kann nach eigenen Vorlieben weitere Such-Plugins hinzufügen und als Standardsuche konfigurieren.

Den Mullvad Browser kann man auch ohne VPN Server zum Surfen verwenden oder mit anderen VPN Diensten nutzen – es könnte ein Standardbrowser für VPNs werden.

WireGuard VPN mit Speedport Smart 3/4 Routern (01. April 2023)

Eine Anleitung, wie man für sich zuhause oder in kleinen Firmen ein WireGuard VPN mit Speedport Smart 3/4 Routern der Telekom einrichtet.

"resistFingerprinting" funktioniert beim TorBrowser aber sonst nicht (01. April 2023)

Da es noch immer Diskussionen über "resistFingerprinting" in unserer Postbox gibt ein Nachschlag zu dem Thema.

"resistFingerprinting" wurde für den TorBrowser entwickelt und ist ein Teil(!) des Konzeptes von TorProject.org, um Anonymitätsgruppen mit einheitlichem Browserfingerprint zu definieren.

Der TorBrowser enthält neben "resistFingerprinting" noch weitere Komponenten wie den Schutz gegen Fontfingerprinting durch die ausschließliche Verwendung der mitgelieferten Noto Fonts, diverse JavaScript Fakes u.a.m. Das funktioniert als Gesamtkonzept um eine (oder mehrere) Anonymitätsgruppe(n) zu definieren, in der alle Surfer den gleichen Browserfingerprint haben.

Die Fingerprinting Demo zeigt, wie das Gesamtkonzept beim TorBrowser funktioniert. Wenn man die Webseite 1x aufruft, wird angezeigt, dass man angeblich schon mehr als 20x hier war – alles Ok!

Fingerprint Demo (TorBrowser)

Für einen normalen ist Firefox (oder Librewolf) ist "resistFingerprinting" aber nicht geeignet und es bietet als Einzelkomponente keinen Schutz, weil es nur ein Teil des Gesamtkonzeptes ist. Der Fingerprint wird zwar verändert, bleibt aber trotzdem individuell, konstant und wiedererkennbar.

Die Fingerprinting Demo zeigt beim Browser Librewolf (Linux) mit aktiviertem "resistFingerprinting", dass es als einzelne Teilkomponente ohne den Rest der Maßnahmen des TorBrowsers nicht gegen Tracking oder Wiedererkennung schützt. Der Browser wurde bei dem Test mehrmals neu gestartet und die IP-Adressen gewechselt (VPN Server). Trotzdem wird der Browser bei 6x Aufrufen der Webseite zuverlässig anhand des eindeutigen Fingerprint identifiziert und wiedererkannt.

Fingerprint Demo

(Die Demo zeigt die Möglichkeiten einer JS Fingerprinting Bibliothek, die in realen Internet von mehr als 6.000 Firmen eingesetzt wird und laut Eigenwerbung der Entwickler bei 16% der Top500 Webseiten im Einsatz ist.)

Betrachtet man einige Details, dann zeigt sich, das "resistFingerprinting" bei einem normalen Webbrowser in-the-wild (außerhalb der Anonymitätsgruppe vom TorBrowser) einige Werte aktiviert, die sehr selten und damit eher kontrakroduktiv sind und das Fingerprinting erleichtern:

Librewolf: Schutz gegen JS Fingerprinting (28. März 2023)

Zum Schutz gegen Fingerprinting kann man statt resistFingerprinting eines der folgende Add-ons verwenden, die das Konzept der "ständig wechselnden Verkleidung" umsetzen, was besser funktioniert:

(Entgegen früheren Empfehlungen an dieser Stelle sollte man nur ein Add-on verwenden, nicht beide gleichzeitig. Wer vor allem problemlos Surfen möchte, sollte CanvasBlocker bervorzugen. JShelter hat mehr API Fakes zu bieten.)

Firefox: neue Konfiguration für CanvasBlocker (28. März 2023)

Es gibt eine neue Konfiguration für CanvasBlocker. Der Konfigurationsvorschlag basiert auf dem Preset "Stealth Settings". Die Parameter für die Generierung der Fakes werden aber beim Beenden des Browsers gelöscht, so dass der Fingerprint während einer Surfsession für jede Domain individuell konstant bleibt. Nach einem Neustart werden aber neue Parameter und damit ein neuer Fingerprint generiert.

Upps, vergessen die neue Konfiguration hochzuladen - ist jetzt erledigt.

Außerdem eine Empfehlung für die Auswahl von CanvasBlocker oder JShelter:

Firefox: neue Konfiguration für uBlock Origin (28. März 2023)

Es gibt eine neue Konfiguration für uBock Origin mit verbessertem Schutz gegen das Facebook Tracking auf Drittseiten.

Schutz gegen Browserfingerprinting mit Javascript (24. März 2023)

Entgegen früheren Empfehlungen im Privacy Handbuch ist es nicht sinnvoll, mehrere Add-ons zum Schutz gegen Fingerprinting zu kombinieren. Statt eigener Empfehlungen überlassen wir das Thema lieber dem Entwicklerteam von JShelter, die sich intensiver damit befassen und korrigieren unser bisheriges Geschreibsel zum Schutz gegen Javascript Fingerprinting wie folgt:

Metadaten aus MS Office Dokumenten entfernen (04. März 2023)

Auf Wunsch einer sehr netten, freundlichen Leserin eine Anleitung zum Entfernen von Metadaten aus MS Office Dokumenten...

DNS Server 1 von Dismail mit neuer IP (26. Februar 2023)

Aufgrund vom Serverumbau haben sie die IP-Adressen vom DNS Server 1 von Dismail geändert. Die neuen Adressen sind: IPv4: 116.203.32.217
IPv6: 2a01:4f8:1c1b:44aa::1

Wer den DNS Server vewendet, sollte zeitnah die Konfiguration anpassen.

Threema: Gerät für den Hauptaccount (24. Februar 2023)

Um einen Account beim Messenger Threema zu erstellen, braucht man nicht unbedingt ein Smartphone. Irgendein Gerät mit Android OS bzw. iOS mit Internetverbindung (Tablet o.ä.) geht auch, um die kostenpflichtige Threema App zu installieren. Ein Phone mit SIM Karte und Telefonnummer ist nicht unbedingt nötig. (Schrieb ein anonymer Leser via Kontaktformular.)

AdGuard Add-on für Firefox (22. Februar 2023)

WARNHINWEIS: die aktuelle Version 4.1.x von AdGuard hat ein Problem. Eine Webseite kann die eindeutige UUID auslesen, die bei der Installation des Add-on generiert wird und für das Tracking verwenden.

Eine Testseite demonstriert es, Reload zur Anzeige des UUID von AdGuard nötig.

Im Bugtracker ist das Problem erfasst und soll mit Version 4.2 gefixt werden. Bis dahin könnte man uBlock Origin mit der Konfiguration ohne iFrame Blockierung nutzen.

Es können auch andere Add-ons dieses Problem haben. Insbesondere bei Add-ons, die nicht hinsichtlich Privatsphäre optimiert sind, kann es möglich sein.

PDF Dokumente anonymisieren (19. Februar 2023)

Für die Anonymisierung von PDF Dokumenten wurden die Tools MAT2 (Linux) und Dangerzone (Windows, MacOS, Linux) hinzugefügt.

Firefox user.js Konfigurationen (Nachtrag) (17. Februar 2023)

Beim Thema "quicksuggestions" wurden noch folgende Werte eingefügt:

browser.urlbar.quicksuggest.dataCollection.enabled = false
browser.urlbar.quicksuggest.showedOnboardingDialog = true

Firefox: Update der user.js Konfigurationen (15. Februar 2023)

Mit Firefox 110 hat Mozilla begonnen, die "quicksuggestions" als weiteres Empfehlungsfeature standardmäßig in einigen Regionen zu aktivieren. Dabei werden bei Eingabe einer URL gesponserte und nicht-gesponserte Vorschläge angezeigt, die Mozilla irgendwie auswählt.

Mit folgenden neu eingefügten Optionen werden "quicksuggestions" abgeschaltet:

browser.urlbar.quicksuggest.enabled = false
browser.urlbar.suggest.quicksuggest.nonsponsored  = false
browser.urlbar.suggest.quicksuggest.sponsored  = false

Die Übertragungen von Telemetriedaten, Healthreport usw. an Mozilla unterbindet man mit folgendem globalen Kill-Switches, die schon lange in den user.js Konfigurationen aktiv sind:

datareporting.policy.dataSubmissionEnabled = false
datareporting.healthreport.uploadEnabled = false

Eine Abschaltung einzelner Telemetriefeatures ("toolkit.telemetrie.*.enabled=false") wird oft empfohlen, ist aber unvollständig und überflüssig. Deshalb wurden diese Einstellungen entfernt.

Außerdem sind die Optionen zur Anzeige von Warnicons bei unverschlüsselten HTTPS Verbindungen inzwischen standardmäßig aktiv und wurden aus den user.js Konfigurationen entfernt. (security.insecure_connection_icon.enabled, security.insecure_connection_icon.pbmode.enabled).

Modernes Surf-Tracking anhand der IP-Adresse (15. Februar 2023)

Da das Tracking via Cookies und EverCookies immer schwieriger wird, rückt das Tracking anhand der IP-Adresse wieder stärker in den Fokus des Interesse.

Modernes Surf-Tracking nimmt aber nicht einfach die IP-Adresse, die insbesondere bei Smartphones öfters wechselt, sobald man die Komfortzone des heimischen WLANs verlässt. Statt dessen besteht das Ziel, anhand der IP-Adresse ein Gerät oder zumindest einen Haushalt zu identifzieren.


Das Verfahren soll folgendermaßen funktionieren:

  1. Wenn ein Surfer eine "verseuchte" Webseite besucht, sendet der Webserver die IP-Adresse und die aufgerufene Webseite zu einer "Marketingplatform".

  2. Die "Marketingplatform" ermittelt den Telekommunikationsprovider und schickt die IP dorthin.

  3. Der Telekommunikationsprovider weiß, welchem Smartphone (SIM Karte) oder welchem Haushalt (Router) diese IP-Adresse aktuell zugeteilt ist und liefert eine pseudonyme ID zurück, die für diese SIM Karte oder den Router konstant bleibt, auch wenn die IP-Adresse wechselt.

  4. Die "Marketingplatform" ermittelt aus dem gesammelten Surfverhalten für diese pseudonyme ID die passende Werbung für die Zielperson oder Personengruppe (Haushalt).

  5. Der Webserver baut diese individualisierte Werbung in die ausgelieferte Webseite ein.


Seit Mai 2022 läuft das Pilotprojekt TrustPid mit der Bildzeitung (Bild.de) und Vodafon.

Im Februar 2023 wurde von der EU mehreren großen, europäischen Telekommunikationsprovidern (Deutsche Telekom AG, Orange SA, Telefónica S.A. und Vodafone Group plc) der Aufbau einer Plattform zur Unterstützung der digitalen Marketing- und Werbeaktivitäten in Frankreich, Deutschland, Italien, Spanien und dem Vereinigten Königreich genehmigt. Ziel ist der Aufbau einer europäischen Werbeplattform, die im Internet mit Google konkurrieren soll.

Diese Marketingplattform (also Klartext: ein großer, europäischer Trackingprovider) soll Webservern die Auslieferung von individualisierter Werbung auf Basis einer pseudonymen ID ermöglichen, die aus dem Mobilfunk- oder Festnetzvertrag des Kunden abgeleitet wird.

Gemäß Datenschutzverordnung der EU ist diese Form des Trackings zustimmungspflichtig. Ab es ist wohl nicht ganz unwahrscheinlich, dass die Zustimmung irgendwo im Kleingedruckten versteckt sein wird oder möglicherweise auch in einem Cookiebanner auf der Webseite?

Verteidigung gegen modernes Tracking anhand der IP-Adresse

Threema: neues Protokoll für Ende-zu-Ende Verschlüsselung (12. Februar 2023)

Ende-zu-Ende Verschlüsselung ist bei Threema standardmäßig aktiv. Im Dezember 2022 hat Threema dafür das neue Protokoll Ibex eingeführt, welches einige Schwächen beseitigt und auch Forward Secrecy bietet. Im Gegensatz zum alten Protokoll wird für die Übertragung jeder Nachricht ein individueller Session Key ausgehandelt.

Zukünftig soll das neue Ibex Protokoll standardmäßig aktiviert werden. Aktuell ist es noch nötig, das Ibex Protokoll für jeden Chat einzeln auf beiden Seiten der Kommunikation zu aktivieren. Dafür muss man die Einstellungen eines Chats durch tippen auf die Kopfleiste öffnen und im Abschnitt "Privatsphäre" die Option "Perfect Forward Secrecy" aktivieren. (Hallo Threema: Nobody is perfect!)

Die Aktivierung des Ibex Protokolls mit Forward Secrecy wirkt sich nur auf versendete Nachrichten aus. Auch die Gegenseite sollte es aktivieren, damit beide Richtungen optimal geschützt sind.

GrapheneOS: DNS Leaks in Non-Owner-Profilen bei VPN + Private DNS (11. Februar 2023)

Wenn man in GrapheneOS mit mehreren Nutzerprofilen arbeitet, in einem Non-Owner-Profile ein VPN für den gesamten Netzwerktraffic aktiviert hat und dabei aber nicht den DNS Server des VPN Providers verwendet sondern einen DNS-over-TLS bzw. DNS-over-HTTPS Server, dann geht der DNS Datenverkehr am VPN vorbei.

Die Dokumentation von GrapheneOS empfiehlt, die DNS Server des VPN Providers zu nutzen.

ProtonVPN empfiehlt in den FAQ generell für alle Android Versionen, bei der Nutzung der VPN Apps die DNS-over-TLS bzw. DNS-over-HTTPS Server zu deaktivieren (kein "privates DNS" mit VPNs).

Hintergrundbilder für den Desktop (11. Februar 2023)

Vom Urlaub in Andalusien habe ich ein paar neue Hintergrundbilder für den Desktop mitgebracht (WQHD, 16:10 und 16:9 Format - weil ich Spaß daran haben).

Ubuntu Pro: 10 Jahre Updates für Main und Univers (02. Februar 2023)

Ubuntu Pro bietet kostenpflichtige Subscriptions für Firmen mit 10 Jahren Support für das Main-Repository (2.300 Pakete) und das Universe-Repository (23.000+ Pakete) sowie ein paar kleine Zusatzfeatures wie FIPS-zertifizierte Kryptosoftware. Für Privatanwender gibt es eine kostenlose Subscription für bis zu 5 Rechner (dafür muss man einen Account bei Ubuntu One erstellen). Das Angebot positioniert sich als direkte Konkurrenz zu RedHat Enterprise Linux.

Messenger: Multi-Device-Support als Mini-Cloud (27. Januar 2023)

Der moderne Mensch nutzt heutzutage oft mehrere Geräte (neben dem Smartphone noch einen Desktop PC zuhause und/oder einen Laptop für die Reise). Damit steht man vor dem Problem, das man Daten (Fotos, Urlaubsdokumente, Passwörter… usw.) auf mehreren Geräten braucht.

Man kann auch den Multi-Device-Support moderner Messenger dafür nutzen. Dabei profitiert man von der Ende-zu-Ende Verschlüsselung der Daten. Bei wirklich guten Messenger wie Signal App oder Threema werden die Daten ausschließlich verschlüsselt auf den eigenen Geräten gespeichert und liegen nicht unverschlüsselt auf Servern von Dritten rum. Außerdem können neben beliebigen Dateien und Notizen auch Sprachmemos unkompliziert genutzt werden.

Für die Messenger-Mini-Cloud richtet man sich einen oder mehrere private (verschlüsselte) Gruppenchats ein, zu denen Dritte keinen Zugang haben und die man für "Selbstgespräche" nutzt.

Alle Dateien, Notizen oder Sprachmemos, die man hier ablegt, stehen auf allen Geräte zur Verfügung, auf denen ein Client für den Messenger installiert ist. (Funktioniert mit allen Messengern.)

In den Desktop Clients von Signal App oder Telegram ist ein Chat für die "Selbstgespräche" schon vorbereitet. Man kann sie in den Desktop Clients (nicht auf den Smartphones) aktivieren.

Firefox: unbedeutendes Update der user.js (26. Januar 2023)

Bei der US-Version des Firefox hat Mozilla damit begonnen, standardmäßig DNS-over-HTTPS zu aktivieren. Weitere Regionen sollen zukünftig folgen.

Die US-Nutzer von Firefox werden dabei zu Cloudflare geschickt. Um unangenehme Überraschungen zu vermeiden, wurde in den user.js für die Firefox Release Version der Default TRR Provider auf Freifunk München statt Cloudflare gesetzt.

network.trr.default_provider_uri = https://doh.ffmuc.net/dns-query

Windows BitLocker (15. Januar 2023)

Eine kleine Anleitung zur BitLocker Verschlüsselung von Windows...

NoScript: Cross-tab Identity Leak Protection (10. Januar 2023)

Nach dem letzten Update von NoScript Anfang Januar haben mehrere Nutzer bemerkt, dass die experimentelle Cross-tab Identity Leak Protection sehr häufig vor einem Identity Leak warnt und oft wird von den Nutzern ein Problem (Unterwanderung?) mit den Webseiten befürchtet.

Meiner Meinung liegt das Problem nicht bei den Webseiten sondern beim Update von NoScript.

Wenn man in den Einstellungen von NoScript auf dem Reiter "Erweitert" die Cross-tab Identity Leak Protection einmal kurz deaktiviert und auf den Button "Entscheidungen verwerfen" klickt, funktioniert das Feature wieder korrekt (nach meiner Beobachtung).

erweiterte Einstellungen für NoScript

Suchmaschine mit KI Chatbot (08. Januar 2023)

Bisher ist es so, dass man eine Frage an eine Suchmaschine schickt oder ein paar kurze Stichworte und man bekommt als Ergebnis eine Liste von Webseiten, auf denen man (möglicherweise) passende Antworten finden könnte. Die Reihenfolge ist dabei das Geheimnis der Suchmaschinen.

Zukünftig wird es durch die Einführung von Chat-KIs Umwälzungen geben. Suchmaschinen werden ihre Chat-KIs in die Suche integrieren und diese sollen Fragen direkt beantworten ohne das man als Suchender erst andere Webseiten abklappern muss. neeva.com ist die erste Suchmaschine, die eine derartige Chat-KI integriert hat (nur für US-Premiumnutzer). Microsoft hat angekündigt, die ChatGPT in die Bing Suche zu intergrieren und Google wird wohl die LaMDA KI einsetzen.

Die direkten Antworten von Chat-KIs werden bequem sein. Aber man sollte sich darüber klar sein, dass diese Antwort nicht immer objektiv neutral sind sondern dass beim Training der KIs auch oft ein ethisch-moralisches Weltbild eingeflochten wird. Einfaches Beispiel:

Aktuell beeindruckt Microsofts ChatGPT nicht nur durch sprachlich perfekte Ausdrucksweise sondern auch damit, dass sie komplett falsche Dinge mit großer Überzeugungskraft behauptet.

neeva.com ist eine junge Suchmaschine, die neben Werbung mit kostenpflichtigen Premiumaccounts Geld verdienen und mit massivem Einsatz von "künstlicher Intelligenz" besser passende Antworten liefern möchte. neeva.com hat im Jan. 2023 als erste Suchmaschine mit NeevaAI eine Chat-KI integriert, die Sofortantworten liefern soll (erstmal nur für US-Premiumnutzer).

Tools zum Löschen von SSDs im BIOS von Laptops (02. Januar 2023)

Einige Laptop Hersteller integrieren Tools zum sicheren Löschen eingebauter SSDs ins BIOS:

Hinweis: damit ein Spaßvogel nicht einfach mal die Festplatte löscht, sollte man ein Administrator Passwort bzw. Supervisor Passwort setzen, um Unbefugten den Zugang zum BIOS zu verwehren.

Suchmaschinen für den TorBrowser (02. Januar 2022)

Standardmäßig verwendet der TorBrowser die Suchmachine DuckDuckGo mit Default Einstellungen. Die Suchanfragen werden via GET Request gesendet, die moderate Filterung der Suchergebnisse ist aktiv und aufgrund der Einschränkungen bei den Fonts ist die Darstellung suboptimal.

Auf der Seite zum TorBrowser im PrHdb kann man mit Klick der rechten Maustaste in die URL Leiste Alternativen installieren:

Suchmaschinen

In den Einstellungen des TorBrowsers kann man dann die Standardsuchmaschine auswählen.

Suchmaschine Qwant (überarbeitet) (24. Dezember 2022)

Qwant hat 2022 ein dreistufiges Filtersystem für Suchergebnisse eingeführt:

  1. In der untersten Filterstufe setzt Qwant die EU Verordnungen zur Zensur um. Das betrifft derzeit russische Nachrichtenmedien wie RT DE, die gemäß Anordnung aus Büssel aus dem Index entfernt werden. Aber die als Antwort darauf eingerichteten Domains wie rtde.site sind in den Suchergebnissen enthalten.
  2. Die moderate Stufe ist standardmäßig aktiv und entspricht dem "betreuten" Suchen bei DuckDuckGo. Es werden gesäuberte Suchergebnisse präsentiert, die weniger Fake News oder abweichende Meinungen zu Corona, russischer Propaganda o.ä. enthalten. Proxy Domains für russ. Medien werden beispw. bei den Ergebnissen nicht mehr angezeigt.
  3. In der Filterstufe "strikt" wird ein gewalt- und pornofreies, famlilien-freundliches Teletubbi-Internet präsentiert.

In den Sucheinstellungen kann man die Filterstufe wählen und als Cookie oder URL-Parameter speichern. Die Einstellungen öffnet man mit Klick auf das Zahnradsymbol auf der Webseite.

Wer bisher das Such-Plugin für Qwant (oder Qwant Lite) vom PrHdb verwendet hat, solte das alte Plugin in den Einstellungen von Firefox löschen und für eine möglichst unzensierte Suche das neu überarbeitete Such-Plugin installieren.

Btw: das FBI empfieht, die in den Suchergebnissen eingeblendete Werbung mit AdBlockern (wie uBlock Origin oder AdGuard) zu filtern, da diese Werbung verstärkt von Kriminellen zum Phishing und zur Verbreitung von Malware genutzt wird (Malvertising).

Danke für die Unterstützung! (21. Dezember 2022)

Es gibt ein neues Hintergrundbild für 16:10 Monitore und 16:9 Displays.

Cockpit
Download

Der Notstromer ist gestern in der Ukraine angekommen und funktioniert (da es dringend war, habe ich ihn schon am Sonntag mit einem Hilfstransport auf die Reise geschickt).

Vielen DANK! an die Community für die Unterstützung.

Passkey als 2-Faktor-Auth. (19. Dezember 2022)

Passkey wurde 2022 standardisiert und soll die Benutzbarkeit von WebAuthn/FIDO2 bei der Nutzung von Smartphones als SecurityToken vereinfachen.

Damit man problemlos das Smartphone wechseln kann ohne den Zugang zu Onlinediensten zu verlieren, werden die privaten Schlüssel verschlüsselt in der Cloud gespeichert (ohhh - in der Klaut?). Auf dem neuen Smartphone kann man die Schlüssel aus der Cloud wiederherstellen.

Bisher wird Passkey nur von iPhones unterstützt. Der iCloud Account muss dafür zwingend mit einer 2-Faktor-Auth. gesichert sein.

Suchmaschine Qwant (Ergänzungen) (18. Dezember 2022)

Qwant ist seit 2011 als europäische Alternative zu Google mit 50 Mio. Euro von der EU gefördert worden, kann bisher aber alleine keine gleichwertigen Ergebnisse liefern und kooperiert deshalb mit Bing. Auch finanziell konnte Qwant keine Unabhägigkit aufbauen und musste 2022 einen Kredit über 8 Mio. Euro von Huawei annehmen, um überleben zu können.

Eric Leandri war einer der Gründer von Qwant und wurde als "Mr. Privacy" gefeiert. 2020 hat er Qwant verlassen, die Seite gewechselt und die Firma Altrnativ gegründet. Diese Firma stellt ihre Kompetenz beim Durchsuchen öffentlicher Daten zahlungskräftigen Kunden zur Ausspähung der Konkrurrenz und den franz. Geheimdienste zur Überwachung des Web zur Verfügung. Frankreich hat eine lange Tradition bei der Überwachung des Internet ("French-Echelon" usw.) und damit kann man bestimmt gut Geld verdienen. Es gibt aber keine Anzeichen dafür, dass die Firma Altrnativ irgendwie die Arbeit von Qwant beeinflusst.

Messenger SimpleX (15. Dezember 2022)

SimpleX (für Android und iPhones) ist ein relativ junger Messenger mit einem interessanten Konzept zur Vermeidung von Metadaten. Es gibt keine Account-IDs. Statt dessen werden beim Aufbau eines Chats Ende-zu-Ende verschlüsselte Sessions zwischen zwei SimpleX Clients eingerichtet. Die Server schieben nur die Datenpakete von "A" nach "B" durch das Netz.

Verschlüsselte Gruppenchats sowie Audio- und Videotelefonie sind ebenfalls möglich. Wenn man auf Audio- und Videotelefonie verzichtet, kann man SimpleX auch mit Tor Onion Router kombinieren, um die Anonymtät bei der Nutzung zu verbessern.

Da es keine Account-IDs gibt, gibt es auch keine Verifikation von Kommunikationspartnern. Um sicherzustellen, dass man wirklich mit dem gewünschten Gesprächspartner verbunden ist, kann der Aufbau einer Chat-Verbindung durch Scannen eines One-Time-QR-Code bei einem persönlichen Treffen erfolgen oder durch Versendung einer Einladung über einen sicheren, verifizierten Kanal. (Die Frage, warum man SimpleX nutzen sollte, wenn es bereits einen verifizierten und sicheren Kommunikationskanal gibt, kann man ganz allgemein nicht beantworten.)

Wenn man es geheim halten möchte, dass man mit Person XY in Kontakt steht, sollte man XY nicht in das Adressbuch eintragen, da diverse Apps das Adressbuch auslesen.

Telegram mit +888-... Telefonnummern (09. Dezember 2022)

Bei fragment.com kann man eine +888-… Telefonummer als Telegram-ID kaufen und mit der Kryptowährung TONS bezahlen. Besonders einprägsame Nummern werden versteigert. Eine zufällige +888-… Nummer bekommt man für 9 TONS. Diese Nummern werden nicht via SMS verifiziert.

Telefonnummer bei Fragment.com kaufen

Die versprochene "Anonymität" der +888-… Nummern sollte man nicht überbewerten. Sie gilt nicht gegenüber dem Betreiber, da Telegram auch die IP-Adressen während der Nutzung speichert (und an Behörden weitergibt). Außerdem müsste man für starke Anonymität alle Transaktionen in der Kryptowährung TONS anonymisiert durchführen, was aufwendig ist.

Fake Handy-Nummern (08. Dezember 2022)

Immer öfter muss man bei vielen Gelegenheiten eine Telefonnummer angeben. Man möchte z.B. einen Tisch in einem Restaurant reservieren (online oder im Restaurant) und das Restaurant möchte unbedingt eine Telefonnummer haben, um... (keine Ahnung warum).

Man ist sich aber sicher, dass man nicht angerufen werden möchte und fragt sich, in welchen Datensammlungen diese Informationen später ausgewertet oder verknüpft werden könnten.

Man könnte einfach eine Fakenummer angeben, aber man möchte Dritte dabei nicht belästigen.

  1. Die Bundesnetzagentur hat die Drama Nummern für die Verwendung in Medienproduktionen dauerhaft gesperrt. Diese Nummern dürfen ohne Genehmigung frei verwendet werden: (0)152 28817386
    (0)152 28895456
    (0)152 54599371
    (0)171 39200-00 bis -99
    (0)172 9925904
    (0)172 9968532
    (0)172 9973185
    (0)172 9973186
    (0)172 9980752
    (0)174 9091317
    (0)174 9464308
    (0)176 040690-00 bis -99
  2. Für harnäckige Fälle gibt es das Projekt Frank-geht-ran, wo wirklich jemand ans Telefon geht und den Anrufer abwimmelt oder SMS ankommen können und ungelesen entsorgt werden: (0)163 1737743
    (0)521 16391643

Es ist praktisch, wenn man ein paar Fakenummern im Adressbuch hat, wo man sie bei Bedarf schnell findet. Allerdings kann es vorkommen, dass auch die Gegenseite diese Fake-Nummern kennt und nicht akzeptiert. Funktioniert nicht zu 100% überall aber oft.

NVMe SSDs sicher löschen (06. Dezember 2022)

Wenn man die SSD Festplatte säubern will, muss man zwischen SATA und NVMe unterscheiden.

NVMe SSDs können unter Linux mit der Toolbox nvme-cli gereinigt werden. Die Toolbox kann bei den gängigen Linux Distributionen mit dem Paketmanager installiert werden:

Ubuntu: > sudo apt install nvme-cli
Fedora: > sudo dnf install nvme-cli Man kann sich anzeigen lassen, welche NVMe SSDs vorhanden sind: > sudo nvme list "SECURE-ERASE" für ein Device (z.B. "/dev/nvme0") startet man mit folgendem Kommando: > sudo nvme format -s1 <device>

Boxcryptor von Dropbox aufgekauft (30. November 2022)

Das US-Unternehmen Dropbox hat Boxcryptor aufgekauft, um es in die eigene Cloud zu integrieren.

Bestandskunden von Boxcryptor werden von der deutschen Secomba GmbH weiterhin betreut und nicht an das US-Unternehmen ausgeliefert. Es ist aber nicht mehr möglich, neue Konten zu eröffnen oder neue Softwarelizenzen zu kaufen.

Erwähnungen von Boxcryptor wurden aus dem Privacy-Handbuch entfernt.

Firefox: Privat Browsing Mode (15. November 2022)

Mit grafischem Pomp signalisiert Firefox, dass man im "Private Browsing Mode" (auch "Porno-Mode" genannt) irgendwie anonym im Netz unterwegs wäre, was aber falsch ist.

Es ist besser, den normalen Surfmode privacy-freundlich zu konfigurieren, statt im "Private Browsing Mode" von der Masse der Surfer unterscheidbar zu sein. Der PBM ist nicht empfehlenswert.

Fritz!Box mit WireGuard VPN (11. November 2022)

Die neue Fritz!OS Version 7.50, die irgendwann in den nächsten Wochen wahrscheinlich ausgerollt wird, wird auch WireGuard als VPN bieten. Eine kleine Anleitung, wie man es konfiguriert...

Signal App Storys (08. November 2022)

Storys sind eher unwichtige Social Media ähnliche Statusmeldungen ("Was mache ich gerade.")

Man kann ein Foto knipsen und/oder einen kurzen Text verfassen und an eine vorbereitete Empfängergruppe schicken. Bei den Empfängern werden die Storys für 24h wenig störend im Story-Tab angezeigt und dann automatisch gelöscht. In den Einstellungen kann man unter "Storys" mehrere Gruppen von Empfängern vorbereiten (Familie, Freunde…) oder die Funktion abschalten.

Kleines Firefox user.js Update (28. Oktober 2022)

In allen user.js Konfigurationen für Firefox Release (nicht ESR) wurde folgende Variable gesetzt, um den ständig aktiven Werbetab von Mozilla auszublenden:

browser.tabs.firefox-view = false

Aktualisierungen bei der Thunderbird Konfiguration (24. Oktober 2022)

  1. Es gibt neue user.js Konfigurationen für Thunderbird mit folgenden Änderungen:

    • Javascript wurde aktiviert, da es für die OAuth2 Authentifizierung benötigt wird. In E-Mails und in der RSS-Feed Ansicht wird Javascript generell nicht ausgeführt sondern nur bei der Webview Ansicht von RSS Feeds und beim Aufruf von Webseiten. Um die Sicherheit zu verbessern, wurden folgende Werte gesetzt:
      javascript.options.baselinejit   = false
      javascript.options.ion = false
      javascript.options.native_regexp   = false
    • Filelink wurde global ebenfalls wieder aktiviert, da es jetzt standardmäßig in Thunderbird abgeschaltet ist und erst konfiguriert werden muss.
  2. Wenn man die OAuth2 Authentifizierung nutzen will (Google Mail, MS Outlook), muss man Cookies für den Auth. Provider zulassen, da in der Konfiguration vom PrHdb Cookies im allgemeinen blockiert werden. Eine Anleitung wurde bei der Account Erstellung ergänzt.
  3. Dateien bis zu 20MB kann man in der Regel als E-Mail Anhang versenden (bei manchen Mailrpovidern etwas mehr, bei einigen weniger). Für größere Dateien gibt es ein paar Hinweise.
  4. Außerdem gibt es ein paar Empfehlungen für Add-ons für Thunderbird.

Tor Good Exit Nodes (21. Oktober 2022)

Die Liste der (meiner Meinung nach) guten Tor Exit Nodes wurde aktualisiert.

Hintergrundbilder (19. Oktober 2022)

Für Freunde des ästhetischen Desktops gibt es ein paar neue Hintergrundbilder.

Signal App beendet SMS-Support für Android (14. Oktober 2022)

Die Signal App Devs haben angekündigt, dass der SMS/MMS Support für Android eingestellt wird. Wenn man Signal App als Replacement für die datensammelnde Google Messaging App verwendet hat (was hier bisher empfohlen wurde), dann muss man sich eine neue SMS App suchen:

If you do use Signal as your default SMS app on Android, you will need to select a new default SMS app on your phone. If you want to keep them, you will also need to export your SMS messages from Signal into that new app.

Als datensparsame Alternative bietet sich Silence an, Begründung der Notwendigkeit hier.

Jitsi Meet Videokonferenz Server (08. Oktober 2022)

Der Jitsi Meet Server von M. Kuketz ist nicht mehr erreichbar (aus der Liste entfernt). Dafür wurde der gut ausgestattet Jitsi Meet Server von adminForge in die List aufgenommen.

Alternative zum Kuketz-Forum (08. Oktober 2022)

Das Kuketz-Forum für Datenschutz usw. wurde geschlossen (etwas überhastet kurzfristig, meiner Meinung nach), aber ehemalige "Aktivisten" aus dem Forum haben eine Alternative unter areac.de (Area Community) gestartet.

Liste von MS Telemetrieservern für Windows (07. Oktober 2022)

Schon im Mai diesen Jahres hat das BSI die Liste der MS Trackingservern für Windows 10 21H2 aktualisiert.

Außerdem mal ein "DANKE" an alle unbekannten Helfer, die aus dem Dunkel der Anonymität immer wieder interessante Hinweise ins Postfach einwerfen, die im PrHdb verschlafen wurde.

Schwächen in der E2E-Verschlüsselung von [matrix] (02. Oktober 2022)

Das Paper Practically-exploitable Cryptographic Vulnerabilities in Matrix beschreibt 6 Angriffe, mit denen ein bösartiger Homeserver die Ende-zu-Ende Verschlüsselung kompromittieren könnte. Er kann zusätzliche Nutzer in E2E-verschlüsselte Räume einfügen oder neue Geräte für einen Nutzer registrieren und damit alle E2E-verschlüsselten Chats dieses Nutzers mitlesen, solange der Nutzer das zusätzliche Gerät oder den neuen Teilnehmer im Raum (Gruppenchat) nicht bemerkt. Außerdem könnte ein bösartige Homeserver Sessions kompromittieren und sich selbst als Man-in-the-Middle in ausgewählten Räumen platzieren oder sich als vertrauenswürdiges Gerät eines Nutzers ausgeben und ein Backup anfordern, das Zugriff auf alle Daten bietet.

Zusammenfassung: grundsätzliche Anforderungen an eine Ende-zu-Ende Verschlüsselung werden bei [matrix] nicht erfüllt. Auf den Homeservern sitzt genau der Angreifer (Mallory), gegen den die Ende-zu-Ende Verschlüsselung eigentlich schützen soll.

Firefox: Paywalls umgehen mit User-Agent Fakes (27. September 2022)

Viele Online Medien haben in den letzten Jahren eine Paywall eingeführt, um Artikel nur für Premium Nutzer zur Verfügung zu stellen. Gleichzeitig möchten sie aber, dass diese Artikel weiterhin von Suchmaschinen in den Index aufgenommen werden, damit Leser angelockt werden. Um das zu ermöglichen, bauen sie eine Hintertür ein. Wenn die Seite mit der User-Agent Kennung des Crawlers einer Suchmaschine wie GoogleBot abgerufen werden, dann kann man oft (aber nicht immer)…

Das ist kein Bug sondern ein Feature, das die Webmaster der Onlin Medien extra eingebaut haben und dabei die Hinweise von Google zur Verifikation des Bots ignorieren.

Die User-Agent Kennung vom allgm. Google Bot ist:

Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

Das Add-on CanvasBlocker kann den User-Agent unterschiedlich in userContext Containern faken. Man erstellt sich einen neuen userContext (z.B. "Paywalls") und konfiguriert den Fake...

Andere Add-ons, die das unbezahlte Öffnen von Paywalls versprechen, braucht man nicht!

Fake News Beispiel: "Pandemie der Ungeimpften" (16. September 2022)

Das Gerede von der "Pandemie der Ungeimpften" war 2021 eine Fake News Kampagne von Lauterbach & Co. Die Faktenchecker bei Social Media Konzernen unterstützten dabei massiv.

Sammelsurium (14. September 2022)

Firefox Snap Paket in Ubuntu ersetzen (03. September 2022)

Ich war willig und habe versucht, die neuste Idee von Canonical zu akzeptieren, den Firefox in Ubuntu und Derivaten als Snap Paket zu installieren. Nachdem ich es mir bei meinen Ubuntu-Kiddies nach dem Upgrade mehrere Wochen angeschaut habe, ist meine Empfehlung, das Snap Paket durch den Firefox aus dem PPA Repository vom Mozilla Team zu ersetzen.

Lizenz: Public Domain