• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Tarnkappe] Der anonyme Briefkasten SecureDrop unter der Lupe


You’ve got mail. Foto von Nick Amoscato, thx! (CC BY 2.0)

Diverse Verlage machen es Wikileaks nach. Fast überall kann man digitale anonyme Briefkästen nutzen, um Geheimnisse von Firmen oder Behörden preiszugeben. Was steckt eigentlich hinter der Software SecureDrop, die dabei häufig zum Einsatz kommt?

Die Enthüllungsplattform Wikileaks gibt es nunmehr seit 11 Jahren. Julian Assange und sein Team haben dabei nicht nur, wie im eigenen Slogan angekündigt, Regierungen den Spiegel vorgehalten, um sie zu knacken. Sie haben es insbesondere auf die Schattenseiten von US-Behörden, US-Army, US-Politikern u.v.m. abgesehen. Dennoch war Assange mit seiner Vorgehensweise dazu in der Lage, die Verlagsbranche ein wenig zu verändern. Denn heutzutage unterhält fast jedes Medium über mindestens einen eigenen Briefkasten, wo man analog und wahlweise auch digital seine Geheimnisse hinterlassen kann. Die Verlage hoffen dabei, kostenlos an brisante Informationen zu gelangen, um sie zu Geld zu machen. Engagierte Journalisten sehen darin hingegen eine realistische Möglichkeit, dass Redaktionen wieder zur vierten Gewalt im Staat aufsteigen können.

So weit die Theorie. Doch in der Praxis ist noch keine der Software-Lösungen so weit ausgereift, um alle Beteiligten mit absoluter Sicherheit zu schützen. Daran sieht man erneut, dass das Thema Whistleblowing noch immer sehr neu ist. Am weitesten entwickelt ist die Open-Source Webanwendung SecureDrop. Sie dient neben den Alternativen Globaleaks und Strongbox als Möglichkeit, damit Hinweisgeber anonym und möglichst gefahrlos mit Journalisten kommunizieren können. Alle drei Lösungen sind in groben Zügen gleich aufgebaut, der Teufel steckt wie üblich im Detail. Der digitale Briefkasten für Tippgeber bedarf aber sowohl bei der Installation als auch beim Betrieb einiges an Fachwissen. Wer nicht gerade Techniker ist, braucht einen oder muss sich fortbilden. Deswegen werden nicht nur in Berlin Workshops angeboten, um kleineren Redaktionen den Einsatz von Globaleaks, Strongbox & Co. zu ermöglichen. Wer es sich leisten kann, beschäftigt dafür einen eigenen Informatiker.


SecureDrop: der Teufel steckt im Detail


[img=left]https://www.picflash.org/viewer.php?img=3rv7jylomab9lmc.png[/img]Geschrieben wurde die Software SecureDrop ursprünglich von Aaron Swartz (Mitbegründer von Reddit) und dem Journalisten Kevin Poulsen. Die Freedom of the Press Foundation setzte die Entwicklung vor drei Jahren fort, nachdem Swartz Selbstmord beging. SecureDrop benötigt neben dem Knowhow sehr viel Ausrüstung. Zunächst einmal drei physikalisch voneinander getrennte Server. Zudem ein frisch installierter Computer, auf dem das Betriebssystem Tails läuft, von dem Edward Snowden lange Zeit geschwärmt hat. Last, but not least einen USB-Stick, um die geleakten Daten im verschlüsselten Zustand vom Server auf den vom Internet getrennten Tails-PC zu kopieren. Damit wird verhindert, dass die Daten durch den Einsatz von Schadsoftware ungewollt verbreitet werden können.

Alles ist auf Sicherheit getrimmt. Wer etwas in diesen Briefkasten einwerfen will, muss die Webseite über das Tor-Netzwerk ansurfen, was die Spuren des Whistleblowers verwischt. Dem Hinweisgeber wird für seinen Benutzernamen lediglich ein zufällig erstelltes Pseudonym mitgeteilt. Bei nachfolgenden Anmeldungen mit diesem Code-Namen können Journalisten mit dem Informanten kommunizieren oder weitere Dokumente empfangen, die sofort mittels OpenPGP verschlüsselt werden. Wer nicht über den Schlüssel verfügt, kann die Dokumente nicht einsehen. In der Redaktion muss es einen Verantwortlichen geben, der die PGP-Schlüssel tagsüber verwaltet und bei Abwesenheit sicher deponiert. Damit steht und fällt die Sicherheit und auch eine mögliche strafrechtliche Verfolgung des Geheimnisverräters mit dem Verantwortungsgefühl dieses Mitarbeiters.


Einsatz von Tails zwingend erforderlich


[img=right]https://www.picflash.org/viewer.php?img=v7ipnvu6ie1drjc.png[/img]In der Risikoanalyse der Nichtregierungsorganisation ACLU wird mit Nachdruck darauf hingewiesen, dass SecureDrop mit sehr viel Vorsicht und Sorgfalt angewendet werden muss. So darf auf dem neu installierten Computer kein herkömmliches Betriebssystem laufen, weil dieses leicht von Geheimdienstmitarbeitern oder Hackern kompromittiert werden könnte. Ansonsten würde der Rechner wie eine perfekte Überwachungsmaschine fungieren. Die Schnüffler könnten dann mittels Keylogger und anderer Schadsoftware jedes Dokument, Mausklick und sogar jeden Tastendruck sehen, den der Journalist bei der Bedienung seines Gerätes betätigt. Deswegen ist es auch so wichtig, dass der PC, auf dem die Dokumente entpackt werden, dauerhaft ohne Internetverbindung bleibt. Ein stummer Fisch kann keine Geheimnisse ausplaudern. Tails ist ein gutes OS, weil es auf Sicherheit getrimmt wurde und dort mindestens 90% aller Viren und Trojaner versagen. Dem Whistleblower muss zudem klar sein, dass ihm das Anonymisierungs-Netzwerk Tor nie absolute Sicherheit bieten kann. So können Surfer trotz Tor auch über Cookies oder andere Details ihrer Hardware identifiziert werden. Von daher ist für Whistleblower schon aus Sicherheitsgründen die Nutzung eines Internetcafés Pflicht.


Software noch weit von Version 1.0 entfernt


SecureDrop ist noch weit von der ersten offiziellen Version 1.0 entfernt. Die Software wurde im Laufe der letzten Jahre mehrfach von Forschern untersucht, die im Quellcode immer wieder leichte bis mittelmäßig gravierende Schwachstellen feststellen konnten. Auch wird immer wieder bemängelt, dass für Journalisten ohne eine zusätzliche Ausbildung die Benutzerführung zu kompliziert sei. Ein Forscherteam der Universität von Washington, an dem auch Bruce Schneier und Jacob Appelbaum beteiligt waren, zog im August 2013 das Fazit, dass man als Whistleblower ein Experte für IT Sicherheit sein muss, wenn man nicht aufgedeckt werden will. Für den Einsatz in einem modernen Industriestaat sei SecureDrop schlichtweg noch nicht bereit. Eingesetzt wird die Software trotzdem in vielen Redaktionen, weil es an ernsthafter Konkurrenz mangelt. So auch bei BalkanLeaks, Globe & Mail, Gawker, der Washington Post, dem New Yorker, The Intercept und in vielen anderen Verlagen.

[img=left]https://www.picflash.org/viewer.php?img=8mxo9w0p92z87on.png[/img]Wir haben vor fünf Monaten beim Guardian-Kolumnisten Trevor Timm, der bei SecureDrop für Pressekontakte zuständig ist, nachgefragt, was es mit den bisher aufgedeckten Lücken auf sich hat. Obwohl die Anfrage im Namen des österreichischen JournalistenClubs für die Zeitschrift Statement durchgeführt wurde, bekamen wir seit November 2016 keine Antwort auf unsere Anfrage. Zeit genug hätte Mr. Timm zumindest für seine Antwort gehabt.




Wahl zwischen Pest und Cholera


Fazit: Wer sich für eine der drei Software-Lösungen für anonyme Briefkästen entscheiden will, hat es schwer. Das ist irgendwie wie die Wahl zwischen der Pest und Cholera. Sie alle beinhalten ihre eigenen Vor- und Nachteile. SecureDrop beinhaltet ein durchdachtes Konzept und wurde bisher offenbar gut umgesetzt. Es ist aber, ähnlich wie Globaleaks und Strongbox auch, noch nicht zu 100 Prozent ausgereift. Wer es einsetzen will, muss zudem über viel Ausrüstung, Fachwissen oder im Idealfall einen eigenen Techniker verfügen. Version 0.3.11 von SecureDrop erschien im Februar 2017. Bis zur Version 1.0 wird sicher noch jede Menge Zeit vergehen.



https://tarnkappe.info/die-whistleblowing-software-securedrop-unter-der-lupe/Quelle
Autor: Lars "Ghandy" Sobiraj
Quelle
 
Oben