Skip to content

Tor-Browser in der Sandbox betreiben

Das Tor-Projekt stellt seit langem den Tor-Browser zur Verfügung. Die Entwickler investieren viel Zeit und Energie, um den zugrunde liegenden Mozilla Firefox abzusichern und gegen Angriffe auf die Privatsphäre zu schützen. Seit kurzem ist für GNU/Linux wieder ein Baustein hinzugekommen: die Sandbox. Diese gaukelt dem Browser ein eigenes System vor. Sollte jemand den Browser angreifen, so kann er in die Sandbox vordringen, aber eben nicht auf den Rechner.

In der Ankündigung zur Version 6.5a6 wird kurz darauf eingegangen. Wenn ihr die Variante testen wollt, braucht ihr einen Kernel, der Linux Namespaces unterstützt. Standardmäßig machen das alle neueren Versionen. Weiterhin müsst ihr bubblewrap und ggf. Gtk installieren. Die aktuelle Version 0.0.2 der Sandbox greift noch auf ein Adwaita-Verzeichnis zu. Daher benötigt ihr ggf. das Paket gnome-themes-standard-data unter Debian-artigen Systemen. Spätere Versionen haben diese Abhängigkeit nicht mehr.

Nach all der Vorarbeit ladet ihr die Version herunter, prüft die Signatur und entpackt das Archiv. Darin befindet sich eine ausführbare Datei namens sandboxed-tor-browser. Nachdem die gestartet ist, werdet ihr gefragt, welchen Tor-Browser ihr verwenden wollt. Der wird dann heruntergeladen und ein letzter Konfigurationsdialog erscheint. Dort könnt ihr Bridges und weiteres einstellen. Nachdem dies bestätigt ist, startet der Tor-Browser wie gewohnt und kann benutzt werden.

Im Hintergrund nimmt die Tor-Software über Unix-Sockets eine Verbindung zum Browser auf. Früher wurde eine TCP-Verbindung auf der lokalen Maschine verwendet. Durch die Nutzung einfacher Dateien fällt dies nun weg. Die Entwickler überlegen auch, ob es nicht möglich ist, diverse Netzwerkbibliotheken aus dem Browser zu entfernen. Wozu benötigt ein Browser denn solche Sachen? :-)

Solltet ihr Fehler finden, schreibt eine Meldung in den Bugtracker. Das Wiki von Tor hat weitere Informationen zur Sandbox. Viel Spaß beim Testen!

Keysigning bei den Chemnitzer Linux-Tagen 2016

Am 19. und 20. März fanden in Chemnitz wieder die Chemnitzer Linux-Tage statt. Einer alten Tradition folgend organisierte ich das Keysigning. Das heißt, Leute mit einem OpenPGP-Schlüssel können teilnehmen und sich gegenseitig ihre Identität bestätigen. Durch die Prüfung und Signatur wird das Vertrauensnetz (Web of Trust) gestärkt.

In den letzten Jahren stellten wir uns dazu in einer Reihe auf. Die erste Person bewegte sich dann zur zweiten und anschließend zur dritten, vierten usw. Nachdem die erste Person vorbei war, fing die zweite an. So sah das ungefähr aus:

Startaufstellung:

1 2 3 4 5 6 7 8 9 10

Erste Person startet:

2 3 4 5 6 7 8 9 10
1

Zweite Person startet:

3 4 5 6 7 8 9 10
2 1

Nach einer Weile startet die sechste Person:

7 8 9 10 1
6 5 4 3 2

Das heißt, die erste Person reiht sich wieder ans das Ende ein. Eine Reihe zeigt jeweils den Ausweis und die andere Reihe vergleicht.

Bei dem Verfahren ist nun der Nachteil, dass anfangs sehr viele Leute im Leerlauf sind. Sie müssen warten, bis die erste Person endlich bei denen angekommen ist. Um dies ein wenig zu beschleunigen, haben wir die Reihe dieses Jahr direkt gefaltet. Nach der Sortierung in eine Reihe stellten sich alle gegenüber auf:

1 2 3 4 5
10 9 8 7 6

Die Idee war, dass wieder eine Reihe prüft und die andere den Ausweis zeigt. Leider habe ich das wohl nicht genau genug erklärt und es wurde parallel von beiden Seiten gemacht. Als die Reihe nun zur Hälfte abgearbeitet war, kamen die Teilnehmer bei ursprünglichen Gegenüber wieder an und nahmen an, alle erwischt zu haben. Dies ist aber nicht der Fall:

2 3 4 5 6
1 10 9 8 7

Die Aufstellung oben ist nach dem ersten Wechsel. In der initialen Aufstellung verglich beispielsweise Teilnehmer 3 mit Teilnehmer 8 die Daten. In obigem Schritt vergleicht 3 mit 10 usw. Nach fünf Schritten stehen sich 3 und 8 wieder gegenüber. Teilnehmer 3 hat dann die Identität der Teilnehmer 8, 10, 2, 4 und 6 verifiziert. Was ist mit 1, 5, 7 und 9? Diese fehlen offensichtlich. Es kostete mich einige Mühe die Teilnehmer zu überzeugen, dass der Lauf noch nicht beendet ist. Hoffentlich kann ich alle dann im nächsten Jahr auf diese Seite verweisen und die Überzeugungsarbeit wird einfacher. :-)

Wer sich für den Stand des Web of Trust interessiert:

Web of Trust @ CLT 16

Platzprobleme beim Update

Ich stelle gerade wieder fest, dass ich das Linux wegen seiner Flexibilität mag. Gerade eben war ich dabei, die Software auf dem Rechner auf den neuesten Stand zu bringen. Unterwegs meinte apt-get, dass die Festplatte voll ist. Debian lädt alle Updates zuerst in das Verzeichnis /var/cache/apt/archives. Der Update umfasste mehr als zwei Gigabyte und im Verzeichnis waren weniger als ein Gigabyte frei. Tja, was tun?

In meinem Home-Verzeichnis gab es genügend Platz. Also habe ich mittels dd if=/dev/zero of=vcaa.img bs=$((3024*1024*1024)) eine drei Gigabyte große Datei angelegt. Diese wurde dann durch mke2fs -j vcaa.img zu einem ext3-Dateisystem und mit mount -o loop -t ext3 vcaa.img /var/cache/apt/archives habe ich die Datei ins Dateisystem eingebunden.

Nun werden die Dateien heruntergeladen, installiert und wenn alles abgeschlossen ist, lösche ich die Datei wieder und der Rechner ist aktualisiert. :-) Ich frage mich, wie man sowas unter Windows anstellt.

In Zukunft sollte ich darauf achten, entweder schneller Updates auf dem Rechner durchzuführen oder mal über die Struktur des Dateisystems nachzudenken.

Meine Software unter GNU/Linux

Die aktuelle Ausgabe von DeimHart beschäftigt sich mit Applikationen unter Debian. Die beiden Moderatoren baten darum, mal die eigene Software aufzuzählen. Mir ist das für einen Kommentar zu lang. Daher mache ich das mal in ein eigenes Blogposting.

Web

  1. Mozilla Firefox ist mein Hauptbrowser. Den verwende ich entweder im Rahmen des Tor-Browser-Bundles oder aus der Distribution heraus mit verschiedenen Plugins.
  2. Google Chrome oder Chromium ist der zweite in der Reihe. Der Browser bietet nach meiner Ansicht sehr gute Möglichkeiten in die Interna zu schauen. Beispiel gefällig? Gebt mal chrome://net-internals in die Browserzeile ein.
  3. Midori war jetzt längere Zeit in der Testphase. Aber mir kann die Software zu wenig bzw. einige Features sind zu umständlich zu bedienen.
  4. links2 ist ein Browser, der so ein Zwischending zwischen grafischem und Kommandozeilenbrowser ist. Der ist recht schnell und lässt sich angenehm bedienen.
  5. Schließlich nutze ich den w3m als Kommandozeilenbrowser, entweder direkt auf der Shell oder innerhalb von GNU Emacs.

Mail

  • Das meistgenutzte Programm für Mails auf meinem Rechner ist mutt. Damit lese und schreibe ich E-Mails. Das Programm hat eine gute Integration für OpenPGP und Mixmaster. Wie ich kürzlich schrieb, ist das Programm recht flexibel. Einer meiner nächsten Beiträge wird das vermutlich weiter unterstreichen.
  • Zu mutt gehören noch Procmail und Fetchmail. Die Programme holen die E-Mails von verschiedenen Providern ab und sortieren die nach verschiedenen Regeln.
  • Ein Programm, was mit läuft, und mir völlig in Vergessenheit geraten war, ist CRM114. Das Programm sortiert sehr zuverlässig den Spam aus.
  • Schließlich läuft auf verschiedenen Rechner ein Postfix.

Virtualisierung

Für die Virtualisierung nutze ich nahezu ausschließlich qemu. Früher hatte ich auch Virtualbox im Einsatz. Jedoch habe ich aktuell keine Verwendung für das Programm.

Multimedia

  • Ich höre sehr viele Podcasts und da verwende ich Miro. Mit dem Programm lade ich die herunter und schaue oder höre mir die an.
  • Für reine Audiodateien nutze ich cmus. Das ist ein Programm für die Kommandozeile.
  • Zum Anschauen von Videos kommt vlc zum Einsatz. Die Software kann mit dem Befehl cvlc über die Kommandozeile bedient werden.

Grafik

Bei der Grafik geht es mir wie den DeimHart-Machern. Ich nutze Gimp, um Bilder auszuschneiden oder grundlegende Operationen zu machen. Mehr kann ich mit der Software nicht. :-)

Zum Betrachten von Fotos nutze ich hauptsächlich feh oder ImageMagick.

Office-Anwendungen

Hier habe ich mit DeimHart ebenfalls eine große Schnittmenge. Ich schreibe sämtliche Texte mit LaTeX. Als Editor verwende ich entweder GNU Emacs oder jed. Letzteres wegen der gute Matheunterstützung in JörgsLaTeXMode. Bei Emacs ist natürlich immer AUCTeX an.

Für das Anzeigen von PDF-Dateien verwendete ich lange Zeit Evince. Davor war es xpdf. Ich bin kürzlich auf MuPDF gestossen. Die Software gefällt mir von Tag zu Tag besser und wird mein Standard-PDF-Viewer werden.

Wenn ich Operationen in PDF-Dateien mache, verwende ich PDFtk.

Chat

Bei Chatsoftware bin ich auch in einer Übergangsphase. Bisher habe ich Bitlbee mit weechat. Ich versuche gerade, mich mit MCabber anzufreunden. Hier läuft im Hintergrund ein Prosody. Das ist ein XMPP-Server.

Bei sämtlichen Chatprogrammen wie auch anderswo, ist mir Verschlüsselung wichtig. Daher können alle Programme Off-the-Record Messaging.

Wenn man Twitter und Co. dazu zählt, gibt es noch ein paar Programme zu erwähnen. Für identi.ca nutze ich GNU Emacs mit dem identica-Modus. Der Maintainer Gabriel Saldaña hat gerade Version 1.3 veröffentlicht. Twitter hat im Emacs einen Twittering-Modus, den ich auch verwende. Früher hatte ich noch Hotot auf dem Rechner. Allerdings wurde die Software von Release zu Release benutzerunfreundlicher. Daher nutze ich Microblogging entweder mit den Modi oder über die Webseite.

Sonstiges

Ich arbeite recht viel auf der Kommandozeile. Um das Terminal zu multiplexen, springe ich zwischen GNU screen und tmux hin und her. Als Shell wird immer eine zsh gestartet.

Viel anderes fällt mir gerade nicht ein. Vermutlich sind das wirklich die Hauptprogramme. Natürlich kommen noch Programme, wie git, awk usw. dazu.

Update: Noch ein paar Sätze zu Microbloggingsoftware geschrieben.

Spamschutz bei S9Y

Im Hintergrund tut Serendipity oder kurz S9Y seinen Dienst. Vor mehr als sieben Jahren stieg ich von Wordpress auf die Software um. Die Software tut im wesentlichen ihren Dienst. Außer, wenn wie heute, ein Plugin merkwürdige Sachen macht.

Ich hatte bis heute abend das Autosave-Plugin installiert. Das speichert die Einträge zwischen und soll eigentlich vor Datenverlust schützen. Bei mir sorgte es dafür, dass die Rezension mehrfach verschwand. Der Grund war, dass ich auf Speichern im Artikelfenster drückte und das Fenster offen liess. Das Plugin wollte einfach alte Werte speichern und löschte so den Beitrag.

Seit dem Jahreswechsel bereitet mir nicht die Blogsoftware Kopfschmerzen, sondern der Spam der eintrudelt. Anfangs hatte ich den Spamschutz aktiviert, den S9Y von Haus aus mitbringt. Dazu setzte ich ein paar Worte auf die Blacklist. Das reichte aus. Nebenan im Datenkanal habe ich noch das Bayes-Plugin im Einsatz. Das wurde von Beginn an angelernt und verrichtet gute Dienste.

Das S9Y Infocamp hat sich nun dem Thema Spamschutz bei S9Y angenommen. In dem Podcast besprechen sie verschiedene Mechanismen. Dabei kommt die Rede auf die SpamBee. Die arbeitet unter anderem mit versteckten CAPTCHAs. Die vier Podcaster sind voll das Lobes. Ich habe den Podcast glücklicherweise zur rechten Zeit gehört. Denn direkt nachdem ich die Biene hier installierte, traf das Blog eine Spamwelle. Von den Lesern hat das vermutlich niemand bemerkt. Die Spambiene hat den Spam wirklich sehr gut abgefangen. Wer also da draußen mit Spam bei S9Y zu kämpfen hat, sollte unbedingt SpamBee probieren. Vermutlich bringt das Plugin Linderung.

This machine kills secrets von Andy Greenberg

Woody Guthrie
Woody Guthrie mit Gitarre (Quelle: Wikipedia bzw. Library of Congress)
Der Titel des Buches klingt spektakulär: »Die Maschine, die Geheimnisse vernichtet«. Der Journalist Andy Greenberg berichtet im gleichnamigen Buch von dieser Maschine und hat an vielen Stellen spektakuläres zu berichten. Greenberg kam durch die Gitarre von Woody Guthrie auf den Titel. Die Gitarre trug den Aufkleber: »This machine kills fascists« (siehe Bild).

Die Maschine, die Geheimnisse vernichtet, beginnt mit den Pentagon-Papers ihr Werk. Daniel Ellsberg veröffentlichte die geheimen Dokumente damals mit Hilfe der NY Times. Julian Assange und neuere Entwicklungen sind noch lange nicht das Ende der Maschine. Vielmehr wird sie wohl lange weiterleben. Das Buch zeichnet den Weg der Maschine nach.

Im Prolog wird ein Treffen mit Julian Assange beschrieben. Julian kündigt dort die MegaLeaks an und verspricht einen Leak über eine US-Bank. Der erste Teil startet mit einer Gegenüberstellung von Ellsberg und Bradley Manning. Greenberg vergleicht im Kapitel »The Whistleblowers« ihre Herkunft und ihr Vorgehen. Ellsberg hatte seinerzeit die Berechtigung sehr geheime Dokumente zu lesen. Ein Privileg, was nur wenige mit ihm teilten. Manning auf der anderen Seite war einer von 2,5 Millionen Amerikanern, die aufgrund lascher Voreinstellungen auf viele geheime Dokumente Zugriff hatten. Beide waren der Meinung, dass »ihre« Dokumente an die Öffentlickeit müssen. Ellsberg war sich sicher, dass er für die Veröffentlichung der Pentagon-Papiere für den Rest seines Lebens im Gefängnis landen würde. Manning, auf der anderen Seite, schien Hoffnung zu hegen, dass er unerkannt davon kommt. Zumindest arbeitet Greenberg diesen Punkt im Buch heraus. Die realen Entwicklungen waren jedoch genau gegenteilig. Ellsberg wurde nicht bestraft und Manning wird aller Voraussicht nach lange Zeit im Gefängnis bleiben.

Das erste Kapitel ist sehr schön geschrieben. Man merkt hier schon, wie gut Greenberg seine Geschichte recherchiert hat. Mit der Gegenüberstellung der beiden Protagonisten gelingt ihm ein schöner Spannungsaufbau.

Cover
Cover des Buches

Die folgenden drei Kapitel widmen sich der »Evolution of Leaking«. Greenberg erzählt die Geschichte der Cypherpunks detailliert nach. Den Startpunkt bilden dabei die Lebensläufe von Tim May und Phil Zimmerman, der Erfinder von PGP. Mit Geschichten zu Julian Assange und John Young, dem Gründer von Cryptome geht es weiter. Schließlich spielen die Diskussionen auf der Mailingliste und der Artikel »Assassination Politics« von Jim Bell eine Rolle. Der Keynote-Sprecher des 29C3, Jacob Appelbaum, mit dem Tor-Projekt bilden den Abschluss.

Der dritte Teil hat die Zukunft (»The Future of Leaking«) zum Gegenstand. Dort geht es um »Plumbers«, »Globalizers« und »Engineers«. Das Kapitel beginnt mit Peiter Zatko. Mudge, wie er sich nannte, war einer der Köpfe der Hacker-Gruppe Cult of the Dead Cow und hatte engere Kontakte zu Assange. Mittlerweile arbeitet er bei der DARPA und soll Gegentaktikten zum Leaking entwickeln. Das langfristige Ziel des Projektes ist, Leaking komplett zu unterbinden. Greenberg beschreibt im Kapitel HBGary und den Anonymous-Hack sehr lebendig. Der Autor nutzt IRC-Logs und persönliche Gespräche und kann dadurch eine sehr detaillierte Sicht auf die Dinge bieten. Die Isländische Initiative zu modernen Medien (IMMI) und BalkanLeaks sind die Vorboten der Zukunft. Schließlich traf Greenberg zufällig den Architekten. Derjenige, der nur unter dem Namen »Der Architekt« agiert, war für die sichere Neugestaltung von WikiLeaks zuständig und arbeitet jetzt bei OpenLeaks. Greenberg traf ihn zufälligerweise beim Chaos Communication Camp.

Am Ende des Buches steht ein kurzer Abschnitt zur »Machine«. Greenberg macht klar, dass heute jeder zum Leaker werden kann. Mobiltelefone und andere elektronische Gegenstände erlauben es, Reportagen von Ereignissen anzufertigen oder eine Vielzahl elektronischer Dokumente zu kopieren. GlobaLeaks wird kurz beleuchtet. Das Projekt baut an einer Lösung für eine Leakingplattform mit Freier Software. Greenberg schließt mit den Worten:

We don’t yet know the names of the architects who will build the next upgrade to the secret-killing machine. But we’ll know them by their work.

Ich habe es sehr genossen, das Buch zu lesen. Zum einen hat Greenberg einen schönen, lebendigen Schreibstil. Obwohl ich viele Aspekte der Geschichten kannte, hatte das Buch einiges Neues zu bieten. Faktisch auf jeder Seite ist die gute Recherchearbeit des Autors zu spüren. Es war spannend für mich den Handlungssträngen zu folgen. »This machine kills secrets« war eines der Bücher, was ich nur schwer aus der Hand legen konnte und am liebsten am Stück durchgelesen hätte. Leseempfehlung!

Wer von euch einen Verlag kennt, der das Buch ins Deutsche übersetzen will, kann sich gern an mich oder an Andy Greenberg wenden.

Continue reading "This machine kills secrets von Andy Greenberg"
tweetbackcheck