Unperfect e-mail spam by PerfectMoney

Dienstag, 7. April 2015

Thoughout the last months, we got a lot of e-mails concerning a payment service called „PerfectMoney“. In these mails, a lot of „customers“ tell us their „interest“ in using this service to pay for ours. Almost all of these e-mails had the subject „Payment“ and contained only one or two lines of text. These are some of them:

„Greetings. I want to use your services. Can i
pay with PerfectMoney on your site ? Thanks !“
„Hello sir. I am interested in your services
and i want to ask you , can i use Perfect Money to pay on your
website? Thanks and have a great day“
„Hello. I want to use your services. I was
wondering if i can pay with perfectmoney ? thanks“
„Hello . 
I'm interested in using your services and i was
just wondering if i can pay with Perfect Money on your website ?“

Obviously, this is SPAM. And it originates from PerfectMoney themselves, as there is neither a URL nor an affiliate code in these messages. But how trustworthy can a payment service be, that is advertised by massive spam? We visited their German website and read:

„Genauer, zuverlässiger finanzservice, den deutsches Volk anerkennen wird“

Gipfel der Vollendung in der virtuellen Weltwirtschaft wird von nun an durch ein ideales Finanzinstitut – Gesellschaft Perfect Money vertreten, deren Zielprogramm ist es, Finanzoperationen im Internet auf ideales Niveau zu erheben.“

Source: https://perfectmoney.com/?lang=de_DE (2015-04-07)

This sounds like a very bad google translation... How trustworthy can a payment service be, that – instead of writing all English – relies on quite random translations for „informing“ their customers?

Wouldn't it be more honest and effective to directly contact us in the name of PerfectMoney, and acquire us as a partner rather than as a spam victim? 

Just for clarification: we are not against new payment services. They help us to finance our services. And maybe we would give PerfectMoney a try in other circumstances. But we hate SPAM. Maybe this article helps to stop it.

SSL certificate for webserver

Dienstag, 7. April 2015

We installed a new SSL certificate for our webserver. The domains anonymous-proxy-servers.net and www.anonym-surfen.de are affected. The fingerprints of the new certificate are:

  • SHA256: 63:D4:5C:47:72:0C:9E:E5:4B:59:5E:D0:8F:84:BC:2C:69:9F:62:0B:2B:66:7E:60:13:37:C8:71:A0:5D:9B:74
  • SHA1: E2:2B:91:0E:CE:C3:52:80:26:6D:64:9B:13:02:A5:88:2F:1E:67:CF

(Corrected SHA256 fingerprint on 2015-04-13)

JonDoFox schützt gegen WebRTC IP leak - schon immer

Montag, 2. Februar 2015

Hallo Besucher,

da wir viele Fragen bezüglich dem kürzlich veröffentlichen WebRTC IP leak-Angriff bekommen, hielten wir es für eine gute Idee nun klarzustellen dass sich JonDoFox-Nutzer darüber keien Sorgen machen müssen. Seit dieses WebRTC in Firefox aktiv war, hatten wir es abgeschaltet, da schon unsere vorsorgliche Analyse dieses Feature als schädlich für die Anonymität identifiziert hatte. Also ist dies für Euch kein Problem, selsbt, wenn Ihr JavaScript im Browser anschaltet.

Wir bitten allerdings um Beachtung: Wenn man einen ANDEREN Browser als JonDoFox in Verbindung mit JonDonym benutzt, etwa einen selbst-konfigurierten Firefox, ist man NICHT automatisch geschützt! Nur um das klarzustellen: Normale Browser haben so viele IP- und Datenlecks, dass selbst die meisten Techies nicht in der lage sind sie datenschutzfreundlich zu konfigurieren. Vielleicht korrigiert man dieses eine Problem, vergisst aber drei andere... Also empfehlen wir sehr, JonDoFox zu benutzen, da wir unsere beste Erfahrung einsetzen um ihn für Dich sicher zu machen.


"JonDoFox schützt gegen WebRTC IP leak - schon immer" vollständig lesen

Neuer OpenPGP Signaturschlüssel für Downloads

Dienstag, 11. November 2014

Wir haben den OpenPGP Schlüssel für die Signaturen unserer Softwaredownloads ausgetauscht. Die aktuellen Signaturen wurden mit dem Schlüssel 0x2146D0CD2B3CAA3E (software@jondos.de) erstellt. Sie können die Schlüsseldatei Software_JonDos_GmbH.asc von unserem Server herunterladen und importieren oder von einem Keyserver holen. der Fingerprint des Schlüssels ist:

Schl.-Fingerabdruck = 6899 5C53 D2CE E11B 0E41 82F6 2146 D0CD 2B3C AA3E

Wenn sie überprüfen wollen, ob die von unserer Webseite heruntergeladenen Software wirklich von uns erstellt wurde, dann sollten Sie die OpenPGP Signaturen verifizieren (siehe Online Hilfe: Prüfen der PGP-Signaturen. Unsere OpenPGP Signaturen enthalten einen SHA512 Hash des signierten Downloads. Dieser Hashwert wird mit einem privaten 4096 Bit RSA Schlüssel unterschrieben.

Die auf der Webseite angegebene MD5 und SHA256 Hashes dienen nur der Prüfung, ob der Download vom Server korrekt ist. Hashes können nicht sicherstellen, dass Sie wirklich die Datei erhalten haben, die die Entwickler der JonDos GmbH gebaut haben. Sas ist nur mit den OpenPGP Signaturen möglich.

SSL-Zertifikat für unseren Webserver

Freitag, 31. Oktober 2014

Wir haben ein neues SSL-Zertifikat für unseren Webserver installiert. Die Domains anonymous-proxy-servers.net und www.anonym-surfen.de sidn von dem Wechsel betroffen. Die Fingerprints des neuen Zertifikates sind:

  • SHA256: 94:D1:A1:B0:2B:BC:3F:B2:96:C5:BE:E7:77:C8:09:F2:E3:7B:34:0A:E2:D9:0E:50:93:24:80:9C:8E:97:C7:22
  • SHA1: B6:E5:CB:27:8D:24:F7:10:EF:29:A4:CD:B4:62:6B:B3:45:05:C9:DE

JonDo Live-DVD Security Update

Freitag, 24. Oktober 2014

Das außerplanmäßige Release 0.9.66 der JonDo Live-DVD enthält ein wichtiges Security Update für Pidgin (Version 2.10.10). Dieses Update fixt einen Heartbleed-ähnlichen Bug für Jabber/XMPP (CVE-2014-3698) und Fehler in der Validierung von SSL-Zertifikaten (CVE-2014-3694).

Für Pidgin wurde die Unterstützung für Tox hinzugefügt. Tox ist ein serverloses, verschlüsseltes Protokoll für Peer-2-Peer Instant-Messaging.

Außerdem wurden die Add-ons für JonDoFox, TorBrowser und Icedove aktualisiert.

.gov .mil and .army auf einigen Mixen blockiert

Donnerstag, 16. Oktober 2014

Um weiteren Ärger für unseren US-amerikanischen Mix-Betreiber GuruTek zu vermeiden, ist der Zugriff auf die Top-Level Domains .gov .mil und .army auf allen Mix-Kaskaden mit einem Exit-Mix von GuruTec gesperrt. Folgende Mix-Kaskaden sind von der Sperrung betroffen:

  • Neptun-Wombat-Shamrock

  • Wallaby-Niagara-Speedster

  • Chomsky-Tulpe-Raiden

  • Speedy-Sektor

  • SpeedPartner-Cyrax

Bitte nutzen sie andere Mix-Kasakden, um Webseiten unter den genannten Top-Level Domains anonym aufzurufen.

Data Retention and Investigation Powers Bill (GB)

Freitag, 11. Juli 2014

Im April 2014 hat der europäische Gerichtshof die britische Gesetzgebung zur anlasslosen Kommunikationsüberwachung gekippt.

Ein neues Gesetz zur Vorratsdatenspeicherung wurde vorbereitet und soll im Parlament in Kürze hastig unter den Bedingungen der emergency security legislation verabschiedet werden. Die Telcos sollen mit diesem Gesetz zu einer 12-monatigen Vorrats­daten­speicherung verpflichtet werden. Neben den Metadaten der Kommunikation sollen auch alle URLs von aufgerufenen Webseiten gespeichert werden.

Premierminister Cameron begründet die intransparente Verabschiedung des Gesetzes unter den Bedingungen der emergency security legislation mit akuter Terrorgefahr, insbesondere durch ausgebildete Jihad-Kämper aus Irak und Syrien, die nach Großbritannien zurück kehren:

The ability to access information about communications and intercept the communications of dangerous individuals is essential to fight the threat from criminals and terrorists targeting the UK.

NSA und Tor

Freitag, 4. Juli 2014

Vor einem halben Jahr im Oktober 2013 hat der Guardian die NSA-Präsentation "Tor stinkt" veröffentlicht und es ist bekannt, dass die NSA die IP-Adressen von Tor-Nutzern sammelt. Slide 23 der Präsentation:

Tor stinks

Gestern wurde bekannt, dass die NSA das Programm XKeyscore verwendet, um die IP-Adressen der Tor Nutzer zu sammeln. Warum nicht? Das ist ein technisches Detail und keine große News für mich.

Der Slogan der NSA ist: "Take it all". JEDER ist damit im Visier der NSA und wir sollten mehr Verteidigungs­techniken gegen die Massenüberwachung nutzen, die zur Verfügung stehen. Tor ist eine der möglichen Optionen.

Privacy Enhancing Technologies wie Tor oder JonDonym werden die Massenüberwachung NICHT beenden. Wichtig ist offensiver, politische Widerstand. Jeder kann etwas tun und es wird Zeit dafür bevor es zu spät ist.

Die "hässliche" Fratze des totalitären Wegs der NSA ist die größte Bedrohung für die Demokratie (W. Binney)

Neue Mix-Software

Samstag, 7. Juni 2014

Gestern haben wir auf der Mix-Kaskade "Dresden" mit dem Rollout eines neuen Mix-Protokol mit verbessertem Integritätscheck begonnen. Die kostenfreien Mix-Kasakden werden in Kürze ebenfalls umgestellt werden und wenn es keine Probleme gibt, werden dananch die Premium-Kaskaden aktualisiert.

Nur JonDo Proxy Clients der Version 0.18.001 und neuer können sich mit den Mix-Kaskaden verbinden, die das neue Mix-Protokoll verbinden. Alle Nutzer von JonDonym, die eine ältere Version nutzen, sollten dringend die Software aktualisieren und die Version 0.19.001 installieren.

Bugfix-Release für JonDo Live-CD

Sonntag, 11. Mai 2014

Die Live-DVD Version 0.9.56.1 ist ein kleines Bugfix-Release. Es wurden zwei Fehler beseitigt:

  • Die MAC-Adresse wird für alle Netzwerkschnittstellen gefakt, nicht nur für die beiden ersten Schnittstellen "eth0" und "wlan0".

  • Ein Fehler beim Start von Filezilla wurde beseitigt.

Wenn Ihr Rechner lediglich mit einer LAN und einer WLAN-Netzwerkschnittstellen ausgerüstet ist und Sie Filezilla nicht nutzen wollen, dann besteht keine Notwendigkeit für ein Update.

Status Report April/Mai

Mittwoch, 7. Mai 2014

Einige kurze Bemerkungen zu den Software Releases der letzte Wochen:

JonDoFox

Im JondoFox-XPI (Add-on für Firefox) gab es folgende Änderungen:

  • Als ersten Schritt für unser eigenes, privacy-freundliches Cookie Management haben wir einen zusätzlichen Schutz gegen Tracking durch Drittseiten implementiert, der in dem Add-on CookieMonster so nicht vorhanden ist.

  • Da Mozilla den DNS-Leak in Zusammenhang mit Websockets in Firefox 29 gefixt hat (aber nicht in Firefox 24.5.0esr) haben wir die Nutzung von Websockets für Firefox 29 und folgende freigegeben.

  • Die Robustheit von Javascript gegen Exploits wurde durch einige Einstellungen verbessert. Diese Einstellungen verschlechtern die Performance bei der Ausführung von Javascript geringfügig, aber nicht signifikant.

    • Im JonDoFox-Profil wurden lediglich die Add-ons aktualisiert. Ein komplettes Update des JonDoFox-Profil ist nicht nötig, wenn Sie Ihre Add-ons regelmäßig bzw. automatisch aktualisieren.

      JonDoBrowser (Beta)

      Die Basis des JonDoBrowser wurde auf Firefox 24.5.0esr aktualisiert. Außerdem wurden die Mozilla Maintenance Service durch Compiler Flags entfernt und nicht nur in der Konfiguration deaktiviert.

      Aufgrund von Problemen mit der deutschen Lokalisierung können wir derzeit keinen JonDoBrowser für Windows bereitstellen. Wir bedauern die Verzögerungen beim Übergang zu einer stabilen Version, die in erster Linie durch unzureichende Entwicklerkapazitäten verursacht sind.

      JonDo Live-DVD

      Das aktuelle Release unserer Live-DVD enthält 50 teilweise sicherheits-relevante Updates. Für alle Nutzer der Live-DVD ist ein Update dringend empfohlen.

      Wie stellen nur noch eine DVD-Version unseres Live-Systems zum Download zur Verfügung und haben den Support für die abgespeckte CD-Version eingestellt, um den Aufwand für die Pflege des Projektes zu reduzieren.

      Mix-Kaskaden

      Wir haben einige Änderungen für die Konfiguration der Exit Mix Server vorbereitet, um Probleme mit Websockets, UDP und IPv6 zu beseitigen. In den kommenden Tagen erfolgt das Rollout auf den Servern. Dadurch ist mit kurzzeitigen Störungen auf fast allen Mix-Kaskaden zu rechnen. Wir hoffen, dass die Änderungen problemlos übernommen werden können und das es wirklich nur kurzzeitige Störungen sein werden.

      JonDoConsole/JonDoDaemon

      Ein Maintenance Release für das Kommandozeilen-Proxy Tool JonDoConsole (ohne GUI) ist für morgen geplant. (Nur für wenige Nutzer relevant.)

Update zum NGI-Projekt des FBI

Dienstag, 15. April 2014

Im Oktober 2011 haben wir über den Start der FBI Next Generation Identification Database (NGI) berichtet. Neue Dokumente, die von der EFF.org veröffentlicht wurden, zeigen den aktuellen Stand des Projektes. Die Datenbank enthält derzeit biometrische Merkmale (Merkmale für automatisierte Gesichtserkennung, Fingerabdrücke, Iris Scans...) und weitere Informationen wie Wohnsitz, Rasse, ID-Nummern von ca. 1/3 der US-amerikanischen Bevölkerung. Es werden Kriminellen erfasst und Personen, die keiner Straftat verdächtig sind.

Im Sommer 2014 soll NGI voll einsatzbereit sein.

Als besonders gefährlich stuft die EFF.org die Komponenten zur automatisierten Gesichtserkennung ein. Die NGI-Datenbank enthält derzeit ca. 13.6 Millionen Fotos von 6-8 Millionen Amerikanern. Bis 2015 sollen 52 Mio. Fotos erfasst und klassifiziert sein. Nach Einschätzung der EFF.org wird eine der weltgrößten Datenbanken für automatisierte Gesichtserkennung aufgebaut.

Siehe: FBI Plans to Have 52 Million Photos in its NGI Face Recognition Database by Next Year bei EFF.org.

CVE-2014-0160

Mittwoch, 9. April 2014

Einige kurze Bemerkungen zum OpenSSL Bug CVE-2014-0160 für JonDonym Nutzer:

  • JonDonym: Die Services von JonDonym (Mix-Kaskaden, JonDos Payment Processing, Infoservices) und die von uns bereitgestellte Software (JonDo, JonDoBrowser) sind von dem Bug nicht betroffen.

  • JonDo Live-CD/DVD: Unser Live-CD/DVD enthält Software, die von dem Bug betroffen ist. Ein Update mit den nötigen Bugfixes steht seit heute früh zum Download bereit. Für Nutzer der Live-CD/DVD ist ein Update dringend empfohlen!

  • JonDonym Webserver: Die Webserver von JonDonym wurden gestern im Laufe des Tages aktualisiert. In den nächtsen Tagen werden wir die SSL-Zertifikate wechseln, sobald die neuen Zertifikate von einer Certification Authority signiert wurden. Derzeit arbeiten die CAs unter hohem Druck, um den Ansturm von Requests abzuarbeiten.

  • Certificate Partol im JonDoFox: Viele Webserver haben bereits neue SSL-Zertifikate installiert oder werden in den folgenden Tagen neue SSL-Zertifikate installieren, obwohl die alten Zertifikate noch längst nicht abgelaufen sind. Wer die Certificate Partol des JonDoFox verwendet (siehe: "about:jondofox" bzw. "about:jondobrowser"), um man-in-the-middle Angriffe zu erkennen, wird aufgrund der Heuristik in den nächsten Tagen häufig eine Warnung über einen suspekten Wechsel der SSL-Zertifikate angezeigt bekommen (siehe Beispiel von DuckDuckGo). Obwohl das alte Zertifikat noch lange gültig gewesen wäre, wurde es ersetzt. Diese Warnung ist ein false positive, ein Fehlalarm.

    Certificate Patrol warning

    Wenn Sicherheit beim Aufruf der Website eine wichtige Rolle spielt, dann kann man die Gültigkeit des Zertifikates zusätzlich überprüfen. Viele Provider von Diensten veröffentlichen Zertifikatswechsel im Blog und man kann den Fingerprint der Zertifikate per Hand vergleichen. Das Perspektives Projekt bietet eine Test-Seite, auf der Sie den Status der Notary Server bezüglich eines SSL-Zertifikates abfragen können. Damit lässt sich erkennen, ob die Verbindung mit dem gleichen SSL-Zertifikat verschlüsselt wird, wie für alle anderen Nutzer. Zu DuckDuckGo liefern die Notary-Server von Perspektives das folgende Ergebnis:

    Certificate Patrol warning

    Seit gestern wurde bei fünf Notary-Servern ein neues SSL-Zertifkat registriert mit dem MD5 Hash c5:c9:d4:ab:1e:1b:fa:a8:d6:34:99:84:97:2d:cd:2d. Die Warnung von Certifikate Patrol deutet also nicht auf einen man-in-the-middle Angriff auf meine Verbindung hin.

    Wer das SSL-Observatory verwendet, um man-in-the-middle Angriffe zu erkennen, wird kaum mit Fehlalarmen belästigt werden.

JonDo Live-DVD mit POND

Samstag, 29. März 2014

Zum turnusmäßigen Security-Update der Live-CD/DVD letzte Woche hatten wir es nicht geschafft, die Integration von POND fertig zu stellen. Deshalb haben wir gestern außerplanmäßig die Version 0.9.54 der Live-CD/DVD veröffentlicht. Die wesentliche Neuerung ist die Integration von POND cli (command line interface) in die DVD-Version (auf der Live-CD nicht enthalten). Das GUI von POND war unter Debian wheezy leider nicht installierbar.

POND bietet die Möglichkeit, Textnachrichten mit Dateianhängen unbeobachtet auszutauschen (ähnlich wie E-Mail). Die Nachrichten werden stets verschlüsselt und es gibt im Gegensatz zu E-Mail keine Möglichkeit für einen Beobachter, Metadaten über Sender und Empfänger auszuwerten. Die Nutzer kommunizieren ausschließlich via Tor Hidden Services.

In der Online-Hilfe finden Sie eine kurze Anleitung zur Nutzung von POND cli.

Ein Download des Update ist nicht notwendig, wenn Sie POND nicht nutzen wollen.