Category Archives: Tech

Baïkal

Schlanker Kalender- und Adressbuch-Server für den eigenen Webspace
Download: https://github.com/fruux/Baikal/releases

Upgrading Baïkal to 0.4.X
http://sabre.io/baikal/upgrade/

Installation auf einem Raspberry Pi
https://blog.decker-software-solutions.de/blog/2016/10/19/baikalv046/

Baïkal statt iCloud
http://pheraph.net/2013/12/09/kalender-kontakte-und-erinnerungen-zwischen-mac-und-ios-synchronisieren-ohne-icloud-und-google-mit-baikal/

InfCloud

Web-Frontend für CalDAV und CardDAV
https://www.inf-it.com/open-source/clients/infcloud/

SOGo Connector

CardDAV-Erweiterung für Thunderbird
https://sogo.nu/download.html#/frontends

https://sogo.nu/download.html#/frontends

CardBook

Neues Thunderbird Adressbuch nach CardDAV und VCARD standard
https://addons.mozilla.org/de/thunderbird/addon/cardbook/
https://twitter.com/CardBookAddon

DAVdroid

CalDAV- und CardDAV-Integration für Android
https://play.google.com/store/apps/details?id=at.bitfire.davdroid
https://f-droid.org/repository/browse/?fdid=at.bitfire.davdroid

ICSdroid

Webcal-Integration für Android
https://play.google.com/store/apps/details?id=at.bitfire.icsdroid
https://f-droid.org/repository/browse/?fdid=at.bitfire.icsdroid

Freie Doodle-Alternative

https://www2.informatik.uni-hamburg.de/fachschaft/wiki/index.php/Dudel

Vorher

nachher

© http://motherboard.vice.com

Der Technical Rider des 31C3

This is Türtris #31c3

A photo posted by davednb (@davednb) on

3D Sandkasten mit Projektor




And it's done. Monty python playing. #31C3 #ccc #flipdot #montypython

A photo posted by Patrik (@dysterfyr) on





Sehenswerte Vorträge:

34C3?

Konsum kaufen
Klingt komisch, is‘ aber so …

Update

„Hast Du meine Nachricht denn nicht gelesen?“ Zukünftig werde ich diese Frage wohl noch öfter gestellt bekommen. Doch das letzte Update habe ich bewusst ignoriert und nehme es zum Anlass, WhatsApp nicht mehr zu benutzen.

Natürlich wurde mein komplettes Adressbuch mit allen Freunden und Bekannten längst auf US-Server hochgeladen. Dies wird meine Kündigung weder rückgängig machen können, noch habe ich die Hoffnung, daß mein Datensatz tatsächlich nach 30 Tagen gelöscht wird.

Und natürlich gibt auch es an anderer Stelle genügend Schwachpunkte, dank derer ich weiterhin überwacht und ausspioniert werden kann – der Besuch des 30C3s vor gut einem Monat hat dieses unterschwellige, unangenehme Gefühl und die vagen Vermutungen leider nur bestätigt.

Im Fall von WhatsApp handelt es sich allerdings um ein privates Unternehmen, dessen Service ich freiwillig in Anspruch nehmen kann … oder eben nicht. Eine Firma, die sich allem Anschein nach einen Dreck um Ihre Kunden schert und nach dem Prinzip Security through obscurity arbeitet. Ein lokaler Händler oder Dienstleister vor Ort wäre bei solch einem Maß an Kundenfeindlichkeit, Ignoranz und Dilettantismus längst bankrott. Solch einen Saftladen will ich nicht mehr unterstützen!

P.S.: Kurznachrichten nehme ich weiterhin gern in Form der guten, alten SMS oder Threema entgegen. Die schweizer Entwickler zeigen, wie man es richtig macht und geniessen bei mir wesentlich mehr Vertrauen – die € 1,60 zahle ich gern. Meine ID lautet: RNBPR4PC

Ist der Account einmal geknackt, kann man ihn nicht mehr absichern. Der Schnüffler kann ihn fortan beliebig nutzen.

Im Laufe der Woche zeichnete sich bereits ab, dass die Authentifizierung bei WhatsApp nicht sehr sicher ist: Forscher fanden heraus, dass der Client zur Anmeldung am Server ein selbstgeneriertes Passwort nutzt, das bei Android aus der Seriennummer (IMEI) des Smartphones und bei iOS aus der MAC-Adresse der WLAN-Schnittstelle erzeugt wird. Das Problem hierbei ist, dass diese Daten alles andere als geheim sind: die IMEI des Android-Smartphones steht oft auf dessen Rückseite und lässt sich auch per Tastenkombination oder App auslesen.

Bei iOS-Nutzern haben Datenschnüffler noch leichteres Spiel: Die MAC-Adresse sieht bei der WLAN-Nutzung jedermann in Reichweite des Funknetzwerks. Ist das WLAN öffentlich, wie etwa der Hotspot im Lieblingscafe, kann der Schnüffler anhand der von WhatsApp übertragenen Datenpakete auch noch die Rufnummer des Nutzers herausfinden und dessen Account kinderleicht übernehmen – ohne sein Opfer überhaupt kennen zu müssen.

Quelle: heise Security

Anscheinend als Reaktion auf die von heise Security demonstrierten Sicherheitslücken geht WhatsApp jetzt gegen den Entwickler einer Bibliothek vor, die Funktionen zum Nutzen des Chat-Services via PC bereitstellt. Der Autor hat seinen Quellcode daraufhin aus dem Netz genommen. Allerdings hat der beliebte SMS-Ersatz WhatsApp nach wie vor ein schwerwiegendes Sicherheitsproblem: Ohne großen Aufwand kann man die Accounts anderer Nutzer übernehmen und Nachrichten im fremden Namen senden und empfangen. Geändert hat sich daran bislang nichts – heise Security konnte den Test am heutigen Dienstagnachmittag problemlos wiederholen.
Nach wie vor hat der Anbieter zu dem offensichtlichen Sicherheitsproblem keine Stellung bezogen. Auch unsere Anfragen, durch die wir unter anderem in Erfahrung bringen wollten, wie sich WhatsApp-Nutzer vor dem Account-Klau schützen und was sie tun können, wenn es passiert ist, blieben bislang unbeantwortet. Das mag daran liegen, dass es auf diese Fragen offenbar keine Antworten gibt. Statt den Dienst abzusichern – oder die Nutzer zumindest zu warnen – hüllt sich das Unternehmen in Schweigen.

Quelle: heise Newsticker

Über zwei Monate lang konnte ein möglicher Angreifer WhatsApp-Accounts anderer Nutzer dauerhaft kompromittieren, wenn er leicht zugängliche Informationen – die Seriennummer (IMEI) eines Android-Smartphones oder die MAC-Adresse eines iPhones – herausbekommen hat. Sicherheitsexperten fanden heraus, dass WhatsApp daraus mit einem primitiven Algorithmus das zur Anmeldung am Server nötige Passwort generierte. Als Benutzername diente die Handynummer, die ebenfalls alles andere als geheim ist.

Quelle: heise Newsticker

Der Betreiber macht keine Angaben darüber, was sich in puncto Sicherheit seitdem getan hat. Frei nach dem Motto: Security through Obscurity.

Obwohl WhatsApp in der Vergangenheit auf keine unserer Presseanfragen reagiert hat, haben wir das Unternehmen auch dieses Mal wieder über das Sicherheitsproblem informiert. Nach einigen Tagen erhielten wir tatsächlich eine Antwort von einer Person, die laut Medienberichten als einer der beiden Gründer von WhatsApp gilt. Sie erkundigte sich formlos, welche Version der App betroffen ist, worauf wir auch umgehend antworteten. Seitdem herrscht wieder Funkstille.

Um das Abdichten der Lücke zu beschleunigen, haben wir dem WhatsApp-Chef angeboten, ihm sämtliche uns vorliegenden Details über die Schwachstelle und das zum Account-Klau genutzte Skript zur Verfügung zu stellen. Seitdem sind mehrere Tage vergangen – zu unserer Verwunderung hat WhatsApp bislang nicht um die Zusendung der Informationen gebeten.

Wenn man Revue passieren lässt, wie WhatsApp bislang mit dem Thema Sicherheit umgegangen ist, kann man eigentlich nur noch von der Nutzung des Dienstes abraten.

Quelle: heise Newsticker

Da WhatsApp generell keine Angaben dazu macht, was verändert wurde, kann man nur darüber spekulieren, wie lange der Messenger den Knackversuchen dieses Mal stand hält. Nach der letzten Absicherung dauerte es acht Tage, bis uns ein Leser ein Skript geschickt hatte, mit dem man die Accounts wieder knacken konnte.

Quelle: heise Newsticker

Die Datenschützer bemängeln unter anderem, dass alle WhatsApp-Versionen – mit Ausnahme der neuesten iOS-6-Version – stets das komplette Adressbuch des Mobiltelefons und dabei auch die Daten Dritter verarbeitetet, mit denen WhatsApp keinen Vertrag habe. Dies sei nach dem niederländischen Datenschutzrecht, das in weiten Teilen mit dem deutschen vergleichbar ist, unzulässig. WhatsApp sieht hier dem Bericht zufolge jedoch keinen weiteren Nachbesserungsbedarf: Mit der Installation würden die Nutzer dem Vollzugriff auf das Adressbuch zustimmen.

Quelle: heise Newsticker

Thijs Alkemade, der Chefentwickler des Instant-Messaging-Clients Adium für Mac OS, ist der Ansicht, dass man die Verschlüsselung aller bisherigen WhatsApp-Nachrichten als kompromittiert ansehen muss. Das proprietäre Protokoll des Instant-Messaging-Dienstes verwendet laut Alkemade den Stromverschlüsselungsalgorithmus RC4 und benutzt dabei in beiden Kommunikationsrichtungen denselben Schlüssel und Initialisierungsvektor. […] Auch ist nicht klar, warum die WhatsApp-Entwickler überhaupt RC4 verwenden, da dieser Algorithmus schon seit einiger Zeit nicht mehr als sicher zu betrachten ist.

Quelle: heise Newsticker

Wer sein WhatsApp-Abo über die Messenger-App verlängert, der wird auf eine Webseite gelotst, auf der er die gewünschte Zahlungsart auswählen kann. Der Bezahlprozess setzt allerdings nicht konsequent auf verschlüsseltes HTTPS, sondern führt im ersten Schritt einen HTTP-Request aus. Diesen kann ein Angreifer als Man-in-the-Middle manipulieren, wodurch er der WhatsApp-Nutzer auf eine beliebige Webseite schicken kann.

Würde der Angreifer sein Opfer in spe etwa auf eine nachgebaute Version der Bezahlseite umleiten, könnte er Kreditkartendaten oder auch PayPal-Zugangsdaten abgreifen.

Quelle: heise Newsticker

Allerdings legt WhatsApp die Daten völlig ungesichert im Klartext ab. Das heißt, dass jeder, der sich Zugang zum Apple-Konto des Anwenders verschaffen kann, dort auch dessen gesicherte WhatsApp-Daten abrufen kann.

Quelle: Mac & i

Die EU-Kommission wirft Facebook irreführende Angaben bei der Übernahme von WhatsApp im Jahr 2014 vor. Facebook habe bei der Prüfung des WhatsApp-Deals angegeben, dass es nicht zuverlässig möglich sein werde, einen automatischen Datenabgleich zwischen den Benutzerkonten beider Dienste einzurichten. Im August 2016 hatte Facebook jedoch angekündigt, künftig die Telefonnummern von WhatsApp-Nutzern mit Facebook-Profilen zu verknüpfen.

Quelle: Frankfurter Allgemeine

When Facebook bought WhatsApp and went to the European Commission to ask for permission, they said to the EU, that they (technically) couldn’t link the Facebook user information with WhatsApp information. Two years on – as we saw over the summer – they announced, that they were doing just that.

Quelle: Bloomberg

Der Sicherheitsforscher Tobias Boelter von der University of California hatte den verantwortlichen Mechanismus nach eigenen Angaben schon im April 2016 an Facebook gemeldet und auf seinem Blog öffentlich gemacht. Ende Mai habe ihm der Mutterkonzern von WhatsApp mitgeteilt, dass man den Sachverhalt kenne, aber das gegenwärtig nicht ändern wolle.

Quelle: heise Security


Neil Cook, chief security architect at Open-Xchange, commented: “WhatsApp has already broken their promise not to share user data with Facebook, and now it seems that their promise of end-to-end encrypted messaging isn’t quite as secure as everyone had hoped, particularly given the involvement of Open Whisper Systems.”

Jacob Ginsberg, senior director at Echoworx, an expert in end-to-end messaging encryption, said: “The fact that Facebook has known about this vulnerability since April is doubly damming. Not only could this be seen by many as supporting on-going government data collection interventions, it means their talk of encryption and privacy has been nothing more than lip service.”

Quelle: The Register