JonDoFox schützt gegen WebRTC IP leak - schon immer

Montag, 2. Februar 2015

Hallo Besucher,

da wir viele Fragen bezüglich dem kürzlich veröffentlichen WebRTC IP leak-Angriff bekommen, hielten wir es für eine gute Idee nun klarzustellen dass sich JonDoFox-Nutzer darüber keien Sorgen machen müssen. Seit dieses WebRTC in Firefox aktiv war, hatten wir es abgeschaltet, da schon unsere vorsorgliche Analyse dieses Feature als schädlich für die Anonymität identifiziert hatte. Also ist dies für Euch kein Problem, selsbt, wenn Ihr JavaScript im Browser anschaltet.

Wir bitten allerdings um Beachtung: Wenn man einen ANDEREN Browser als JonDoFox in Verbindung mit JonDonym benutzt, etwa einen selbst-konfigurierten Firefox, ist man NICHT automatisch geschützt! Nur um das klarzustellen: Normale Browser haben so viele IP- und Datenlecks, dass selbst die meisten Techies nicht in der lage sind sie datenschutzfreundlich zu konfigurieren. Vielleicht korrigiert man dieses eine Problem, vergisst aber drei andere... Also empfehlen wir sehr, JonDoFox zu benutzen, da wir unsere beste Erfahrung einsetzen um ihn für Dich sicher zu machen.


"JonDoFox schützt gegen WebRTC IP leak - schon immer" vollständig lesen

Neuer OpenPGP Signaturschlüssel für Downloads

Dienstag, 11. November 2014

Wir haben den OpenPGP Schlüssel für die Signaturen unserer Softwaredownloads ausgetauscht. Die aktuellen Signaturen wurden mit dem Schlüssel 0x2146D0CD2B3CAA3E (software@jondos.de) erstellt. Sie können die Schlüsseldatei Software_JonDos_GmbH.asc von unserem Server herunterladen und importieren oder von einem Keyserver holen. der Fingerprint des Schlüssels ist:

Schl.-Fingerabdruck = 6899 5C53 D2CE E11B 0E41 82F6 2146 D0CD 2B3C AA3E

Wenn sie überprüfen wollen, ob die von unserer Webseite heruntergeladenen Software wirklich von uns erstellt wurde, dann sollten Sie die OpenPGP Signaturen verifizieren (siehe Online Hilfe: Prüfen der PGP-Signaturen. Unsere OpenPGP Signaturen enthalten einen SHA512 Hash des signierten Downloads. Dieser Hashwert wird mit einem privaten 4096 Bit RSA Schlüssel unterschrieben.

Die auf der Webseite angegebene MD5 und SHA256 Hashes dienen nur der Prüfung, ob der Download vom Server korrekt ist. Hashes können nicht sicherstellen, dass Sie wirklich die Datei erhalten haben, die die Entwickler der JonDos GmbH gebaut haben. Sas ist nur mit den OpenPGP Signaturen möglich.

SSL-Zertifikat für unseren Webserver

Freitag, 31. Oktober 2014

Wir haben ein neues SSL-Zertifikat für unseren Webserver installiert. Die Domains anonymous-proxy-servers.net und www.anonym-surfen.de sidn von dem Wechsel betroffen. Die Fingerprints des neuen Zertifikates sind:

  • SHA256: 94:D1:A1:B0:2B:BC:3F:B2:96:C5:BE:E7:77:C8:09:F2:E3:7B:34:0A:E2:D9:0E:50:93:24:80:9C:8E:97:C7:22
  • SHA1: B6:E5:CB:27:8D:24:F7:10:EF:29:A4:CD:B4:62:6B:B3:45:05:C9:DE

JonDo Live-DVD Security Update

Freitag, 24. Oktober 2014

Das außerplanmäßige Release 0.9.66 der JonDo Live-DVD enthält ein wichtiges Security Update für Pidgin (Version 2.10.10). Dieses Update fixt einen Heartbleed-ähnlichen Bug für Jabber/XMPP (CVE-2014-3698) und Fehler in der Validierung von SSL-Zertifikaten (CVE-2014-3694).

Für Pidgin wurde die Unterstützung für Tox hinzugefügt. Tox ist ein serverloses, verschlüsseltes Protokoll für Peer-2-Peer Instant-Messaging.

Außerdem wurden die Add-ons für JonDoFox, TorBrowser und Icedove aktualisiert.

.gov .mil and .army auf einigen Mixen blockiert

Donnerstag, 16. Oktober 2014

Um weiteren Ärger für unseren US-amerikanischen Mix-Betreiber GuruTek zu vermeiden, ist der Zugriff auf die Top-Level Domains .gov .mil und .army auf allen Mix-Kaskaden mit einem Exit-Mix von GuruTec gesperrt. Folgende Mix-Kaskaden sind von der Sperrung betroffen:

  • Neptun-Wombat-Shamrock

  • Wallaby-Niagara-Speedster

  • Chomsky-Tulpe-Raiden

  • Speedy-Sektor

  • SpeedPartner-Cyrax

Bitte nutzen sie andere Mix-Kasakden, um Webseiten unter den genannten Top-Level Domains anonym aufzurufen.

Data Retention and Investigation Powers Bill (GB)

Freitag, 11. Juli 2014

Im April 2014 hat der europäische Gerichtshof die britische Gesetzgebung zur anlasslosen Kommunikationsüberwachung gekippt.

Ein neues Gesetz zur Vorratsdatenspeicherung wurde vorbereitet und soll im Parlament in Kürze hastig unter den Bedingungen der emergency security legislation verabschiedet werden. Die Telcos sollen mit diesem Gesetz zu einer 12-monatigen Vorrats­daten­speicherung verpflichtet werden. Neben den Metadaten der Kommunikation sollen auch alle URLs von aufgerufenen Webseiten gespeichert werden.

Premierminister Cameron begründet die intransparente Verabschiedung des Gesetzes unter den Bedingungen der emergency security legislation mit akuter Terrorgefahr, insbesondere durch ausgebildete Jihad-Kämper aus Irak und Syrien, die nach Großbritannien zurück kehren:

The ability to access information about communications and intercept the communications of dangerous individuals is essential to fight the threat from criminals and terrorists targeting the UK.

NSA und Tor

Freitag, 4. Juli 2014

Vor einem halben Jahr im Oktober 2013 hat der Guardian die NSA-Präsentation "Tor stinkt" veröffentlicht und es ist bekannt, dass die NSA die IP-Adressen von Tor-Nutzern sammelt. Slide 23 der Präsentation:

Tor stinks

Gestern wurde bekannt, dass die NSA das Programm XKeyscore verwendet, um die IP-Adressen der Tor Nutzer zu sammeln. Warum nicht? Das ist ein technisches Detail und keine große News für mich.

Der Slogan der NSA ist: "Take it all". JEDER ist damit im Visier der NSA und wir sollten mehr Verteidigungs­techniken gegen die Massenüberwachung nutzen, die zur Verfügung stehen. Tor ist eine der möglichen Optionen.

Privacy Enhancing Technologies wie Tor oder JonDonym werden die Massenüberwachung NICHT beenden. Wichtig ist offensiver, politische Widerstand. Jeder kann etwas tun und es wird Zeit dafür bevor es zu spät ist.

Die "hässliche" Fratze des totalitären Wegs der NSA ist die größte Bedrohung für die Demokratie (W. Binney)

Neue Mix-Software

Samstag, 7. Juni 2014

Gestern haben wir auf der Mix-Kaskade "Dresden" mit dem Rollout eines neuen Mix-Protokol mit verbessertem Integritätscheck begonnen. Die kostenfreien Mix-Kasakden werden in Kürze ebenfalls umgestellt werden und wenn es keine Probleme gibt, werden dananch die Premium-Kaskaden aktualisiert.

Nur JonDo Proxy Clients der Version 0.18.001 und neuer können sich mit den Mix-Kaskaden verbinden, die das neue Mix-Protokoll verbinden. Alle Nutzer von JonDonym, die eine ältere Version nutzen, sollten dringend die Software aktualisieren und die Version 0.19.001 installieren.

Bugfix-Release für JonDo Live-CD

Sonntag, 11. Mai 2014

Die Live-DVD Version 0.9.56.1 ist ein kleines Bugfix-Release. Es wurden zwei Fehler beseitigt:

  • Die MAC-Adresse wird für alle Netzwerkschnittstellen gefakt, nicht nur für die beiden ersten Schnittstellen "eth0" und "wlan0".

  • Ein Fehler beim Start von Filezilla wurde beseitigt.

Wenn Ihr Rechner lediglich mit einer LAN und einer WLAN-Netzwerkschnittstellen ausgerüstet ist und Sie Filezilla nicht nutzen wollen, dann besteht keine Notwendigkeit für ein Update.

Status Report April/Mai

Mittwoch, 7. Mai 2014

Einige kurze Bemerkungen zu den Software Releases der letzte Wochen:

JonDoFox

Im JondoFox-XPI (Add-on für Firefox) gab es folgende Änderungen:

  • Als ersten Schritt für unser eigenes, privacy-freundliches Cookie Management haben wir einen zusätzlichen Schutz gegen Tracking durch Drittseiten implementiert, der in dem Add-on CookieMonster so nicht vorhanden ist.

  • Da Mozilla den DNS-Leak in Zusammenhang mit Websockets in Firefox 29 gefixt hat (aber nicht in Firefox 24.5.0esr) haben wir die Nutzung von Websockets für Firefox 29 und folgende freigegeben.

  • Die Robustheit von Javascript gegen Exploits wurde durch einige Einstellungen verbessert. Diese Einstellungen verschlechtern die Performance bei der Ausführung von Javascript geringfügig, aber nicht signifikant.

    • Im JonDoFox-Profil wurden lediglich die Add-ons aktualisiert. Ein komplettes Update des JonDoFox-Profil ist nicht nötig, wenn Sie Ihre Add-ons regelmäßig bzw. automatisch aktualisieren.

      JonDoBrowser (Beta)

      Die Basis des JonDoBrowser wurde auf Firefox 24.5.0esr aktualisiert. Außerdem wurden die Mozilla Maintenance Service durch Compiler Flags entfernt und nicht nur in der Konfiguration deaktiviert.

      Aufgrund von Problemen mit der deutschen Lokalisierung können wir derzeit keinen JonDoBrowser für Windows bereitstellen. Wir bedauern die Verzögerungen beim Übergang zu einer stabilen Version, die in erster Linie durch unzureichende Entwicklerkapazitäten verursacht sind.

      JonDo Live-DVD

      Das aktuelle Release unserer Live-DVD enthält 50 teilweise sicherheits-relevante Updates. Für alle Nutzer der Live-DVD ist ein Update dringend empfohlen.

      Wie stellen nur noch eine DVD-Version unseres Live-Systems zum Download zur Verfügung und haben den Support für die abgespeckte CD-Version eingestellt, um den Aufwand für die Pflege des Projektes zu reduzieren.

      Mix-Kaskaden

      Wir haben einige Änderungen für die Konfiguration der Exit Mix Server vorbereitet, um Probleme mit Websockets, UDP und IPv6 zu beseitigen. In den kommenden Tagen erfolgt das Rollout auf den Servern. Dadurch ist mit kurzzeitigen Störungen auf fast allen Mix-Kaskaden zu rechnen. Wir hoffen, dass die Änderungen problemlos übernommen werden können und das es wirklich nur kurzzeitige Störungen sein werden.

      JonDoConsole/JonDoDaemon

      Ein Maintenance Release für das Kommandozeilen-Proxy Tool JonDoConsole (ohne GUI) ist für morgen geplant. (Nur für wenige Nutzer relevant.)

Update zum NGI-Projekt des FBI

Dienstag, 15. April 2014

Im Oktober 2011 haben wir über den Start der FBI Next Generation Identification Database (NGI) berichtet. Neue Dokumente, die von der EFF.org veröffentlicht wurden, zeigen den aktuellen Stand des Projektes. Die Datenbank enthält derzeit biometrische Merkmale (Merkmale für automatisierte Gesichtserkennung, Fingerabdrücke, Iris Scans...) und weitere Informationen wie Wohnsitz, Rasse, ID-Nummern von ca. 1/3 der US-amerikanischen Bevölkerung. Es werden Kriminellen erfasst und Personen, die keiner Straftat verdächtig sind.

Im Sommer 2014 soll NGI voll einsatzbereit sein.

Als besonders gefährlich stuft die EFF.org die Komponenten zur automatisierten Gesichtserkennung ein. Die NGI-Datenbank enthält derzeit ca. 13.6 Millionen Fotos von 6-8 Millionen Amerikanern. Bis 2015 sollen 52 Mio. Fotos erfasst und klassifiziert sein. Nach Einschätzung der EFF.org wird eine der weltgrößten Datenbanken für automatisierte Gesichtserkennung aufgebaut.

Siehe: FBI Plans to Have 52 Million Photos in its NGI Face Recognition Database by Next Year bei EFF.org.

CVE-2014-0160

Mittwoch, 9. April 2014

Einige kurze Bemerkungen zum OpenSSL Bug CVE-2014-0160 für JonDonym Nutzer:

  • JonDonym: Die Services von JonDonym (Mix-Kaskaden, JonDos Payment Processing, Infoservices) und die von uns bereitgestellte Software (JonDo, JonDoBrowser) sind von dem Bug nicht betroffen.

  • JonDo Live-CD/DVD: Unser Live-CD/DVD enthält Software, die von dem Bug betroffen ist. Ein Update mit den nötigen Bugfixes steht seit heute früh zum Download bereit. Für Nutzer der Live-CD/DVD ist ein Update dringend empfohlen!

  • JonDonym Webserver: Die Webserver von JonDonym wurden gestern im Laufe des Tages aktualisiert. In den nächtsen Tagen werden wir die SSL-Zertifikate wechseln, sobald die neuen Zertifikate von einer Certification Authority signiert wurden. Derzeit arbeiten die CAs unter hohem Druck, um den Ansturm von Requests abzuarbeiten.

  • Certificate Partol im JonDoFox: Viele Webserver haben bereits neue SSL-Zertifikate installiert oder werden in den folgenden Tagen neue SSL-Zertifikate installieren, obwohl die alten Zertifikate noch längst nicht abgelaufen sind. Wer die Certificate Partol des JonDoFox verwendet (siehe: "about:jondofox" bzw. "about:jondobrowser"), um man-in-the-middle Angriffe zu erkennen, wird aufgrund der Heuristik in den nächsten Tagen häufig eine Warnung über einen suspekten Wechsel der SSL-Zertifikate angezeigt bekommen (siehe Beispiel von DuckDuckGo). Obwohl das alte Zertifikat noch lange gültig gewesen wäre, wurde es ersetzt. Diese Warnung ist ein false positive, ein Fehlalarm.

    Certificate Patrol warning

    Wenn Sicherheit beim Aufruf der Website eine wichtige Rolle spielt, dann kann man die Gültigkeit des Zertifikates zusätzlich überprüfen. Viele Provider von Diensten veröffentlichen Zertifikatswechsel im Blog und man kann den Fingerprint der Zertifikate per Hand vergleichen. Das Perspektives Projekt bietet eine Test-Seite, auf der Sie den Status der Notary Server bezüglich eines SSL-Zertifikates abfragen können. Damit lässt sich erkennen, ob die Verbindung mit dem gleichen SSL-Zertifikat verschlüsselt wird, wie für alle anderen Nutzer. Zu DuckDuckGo liefern die Notary-Server von Perspektives das folgende Ergebnis:

    Certificate Patrol warning

    Seit gestern wurde bei fünf Notary-Servern ein neues SSL-Zertifkat registriert mit dem MD5 Hash c5:c9:d4:ab:1e:1b:fa:a8:d6:34:99:84:97:2d:cd:2d. Die Warnung von Certifikate Patrol deutet also nicht auf einen man-in-the-middle Angriff auf meine Verbindung hin.

    Wer das SSL-Observatory verwendet, um man-in-the-middle Angriffe zu erkennen, wird kaum mit Fehlalarmen belästigt werden.

JonDo Live-DVD mit POND

Samstag, 29. März 2014

Zum turnusmäßigen Security-Update der Live-CD/DVD letzte Woche hatten wir es nicht geschafft, die Integration von POND fertig zu stellen. Deshalb haben wir gestern außerplanmäßig die Version 0.9.54 der Live-CD/DVD veröffentlicht. Die wesentliche Neuerung ist die Integration von POND cli (command line interface) in die DVD-Version (auf der Live-CD nicht enthalten). Das GUI von POND war unter Debian wheezy leider nicht installierbar.

POND bietet die Möglichkeit, Textnachrichten mit Dateianhängen unbeobachtet auszutauschen (ähnlich wie E-Mail). Die Nachrichten werden stets verschlüsselt und es gibt im Gegensatz zu E-Mail keine Möglichkeit für einen Beobachter, Metadaten über Sender und Empfänger auszuwerten. Die Nutzer kommunizieren ausschließlich via Tor Hidden Services.

In der Online-Hilfe finden Sie eine kurze Anleitung zur Nutzung von POND cli.

Ein Download des Update ist nicht notwendig, wenn Sie POND nicht nutzen wollen.

Status Report März

Dienstag, 25. März 2014

In den vergangenen Tagen habe neu Versionen des JonDoFox, JonDoBrowser und der Live-CD/DVD zum Download bereitgestellt.

Änderungen am JonDoFox Add-on
  • Das Plug-in Handling wurde im JonDoFox Add-on überarbeitet. Da die Anzahl der installierten Plug-ins als Feature für das Browser Fingerprinting von Trackingdiensten genutzt wird, werden auch bei der Auswahl von "Kein Proxy" alle Plug-ins mit Ausnahme von Flash deaktiviert. Im einzelnen werden folgende Einstellungen in Abhängigkeit von der Auswahl des Proxy und dem User-Agent Fake bei benutzerdefiniertem Proxy umgesetzt:

    • JonDo-Mode: es werden alle Plug-ins deaktiviert. Sie können in den Einstellungen das Flash Plug-in aktivieren, was aber nicht(!) empfohlen wird. Bitte lesen Sie unsere Online Hilfe zur möglichst sicheren Konfiguration des Flash-Players und die verbleibenden Risiken, bevor Sie darüber nachdenken, Flash im JonDo Mode zu freizugeben.

    • Tor-Mode: es werden alle Plug-ins deaktiviert (auch Flash), wie es im TorBrowser Standard ist.

    • Kein Proxy: Flash ist aktiviert, Applets werden aber durch NoScript blockiert und müssen einzeln mit Mausklick freigegeben werden. Wenn eine Website wirklich die Nutzung weiterer Plug-ins erfordert, können sie in der Add-on Verwaltung temporär freigegeben werden.

  • Um den Schutz gegen Angreifer mit direkte physischem Zugang zum Rechner zu verbessern wurde der Assistent zum Ausfüllen von Formularen deaktiviert und unter Windows werden Downloads nicht mehr zur Liste der zuletzt geöffneten Dokumente hinzugefügt.

  • In den Einstellungen des JonDoFox wurde eine Option hinzu gefügt, um das Starten im JonDo-Mode zu erzwingen.

  • Wenn Sie Einstellungen des JonDoFox unter "about:config" geändert haben ist ein Reset möglich, indem Sie die Variable "extensions.jondofox.firstStart" auf true setzen und den Browser neu starten.

  • Die User-Agent Fakes wurden an die aktuellen Firefox-Versionen angepasst und mehrere kleinere Bugfixes wurden implementiert.

JonDoFox Profil

Im JonDoFox Profil wurden die Add-ons und die standardmäßig installierten Lesezeichen für temporäre E-Mail Adressen aktualisiert. Wenn Sie die Add-ons regelmäßig aktualisiert haben, besteht keine Notwendigkeit für ein Update des Profil.

JonDoBrowser

Der JonDoBrowser verwendet Firefox 24.4.0 esr als Basis und enthält das aktualisierte JonDoFox Profil.

Für Linux und die Debian Pakete wurden die Build-Scripte vollständig neu geschrieben um zukünftig leichter zu pflegen und anpassbar zu sein. Die Suchmaschinen wurden aus dem Profil entfernt und sind Teil des Browsers, um sie bei zukünftigen Updates ohne Änderungen an den User-Profilen aktualisieren zu können. Die Linux-Version enthält ein Install-Script, um den JonDoBrowser systemweit für alle Nutzer zu installieren. Ein Start ohne Installation ist weiterhin möglich. Bei Nutzung des Installers oder der Debian Pakete werden die installierten Hunspell Wörterbücher für die Rechtschreibprüfung genutzt, so dass eine zusätzliche Installation von Wörterbüchern im JonDoBrowser entfallen kann.

Der JonDoBrowser für MacOS steht im Moment aufgrund von Problemen in der neuen Build-Umgebung nicht zu Download zur Verfügung. Wir haben uns zu diesem Schritt entschlossen, um das Release für die anderen Plattformen nicht weiter zu verzögern. Zukünftig wird es den JonDoBrowser nur für MacOS 10.9+ geben. Da dieses OS einen 64Bit Prozessor erfordert wird die 32Bit-Version des JonDoBrowser ersatzlos entfallen. Betroffenen Nutzer können Firefox mit dem JonDoFox Profil verwenden.

Update: der JonDoBrowser 0.14 für MacOS (64 Bit) steht zum Download bereit.

JonDo Live-CD/DVD

Die neue Version der JonDo Live-CD/DVD enthält in erster Linie sicherheitsrelevante Softwareaktualisierungen und einige kleinere Verbesserung in der Benutzerführung. Aufgrund der Softwareaktualisierungen wird ein Update dringend empfohlen.

Fortschritte in der Gesichtserkennung

Donnerstag, 20. März 2014

Wenn man einem Menschen zwei Fotos mit unbekannten Personen zeigt, dann kann menschliche Intelligenz zu 97,57% richtig erkennen, ob auf den Fotos die gleiche Person zu sehen ist. Die im letzten Jahr eingerichtete AI research group von Facebook hat die Software DeepFace zur automatisierten Gesichtserkennung entwickelt, die eine Erkennungsrate von 97,25% erreicht, unabhängig von der Beleuchtung des Fotos und wenn die Person nicht direkt in die Kamera schaut. Die Software DeepFace soll auf der IEEE Conference on Computer Vision and Pattern Recognition im Juni 2014 vorgestellt werden.

We closely approach human performance.(Y. Taigman, Facebook AI team)

Grundlage der Ergebnisse ist die Anwendung von Erkenntnissen aus dem "Deep Learning", einem relativ neuen Forschungsgebiet der künstlichem Intelligenz. Beim "Deep Learning" werden künstliche neuronale Netze genutzt, um in großen Datenmengen Muster zu erkennen.

Die Wieder-Erkennung unbekannter Gesichter mit automatisierten Methoden ist ein großer Fortschritt gegenüber dem bisher verwendeten Ansatz unter Verwendung von Face Recognition Databases. Diese Technologie kann die Videoüberwachung und die automatisierte, massenhafte Auswertung von Fotos aus dem Internet auf eine neue Stufe heben.

Ein Foto kann ähnliche Metadaten transportieren, wie Kommunikationsdaten. Wenn die Personen A und B mehrfach gemeinsam in einem Foto gefunden werden, dann deutet es auf eine Verbindung zwischen diesen Personen hin. Diese Metadaten könnten ähnlich automatisiert ausgewertet werden, wie es heute bei E-Mail Kommunikation oder SMS üblich ist.