### Newsletter German Privacy Foundation (e.V.) .
Nr. 8
Ausgabe vom 21.02.2013
## Inhaltsverzeichnis
Abschnitt Eins: In eigener Sache
# 01: Editorial
# 02: Vereinsprofil
# 03: GPF intern
Abschnitt Zwei: Nachrichten
# 04 23rd February 2013 International Day for Privacy 2013 -
Internationaler Aktionstag für Deine Privatsphäre
# 05 OECD-Beschwerden gegen Hersteller von Überwachungssoftware
# 06 Hacken im Auftrag der chinesischen Regierung?
# 07 Smartphones im Kälteschlaf verwundbar
# 08 [Tor-Mailingliste] torsocks 1.3
# 09 [Tor-Mailingliste] Roger's status report, Jan 2013
## Abschnitt Drei: Veranstaltungen
# 10 Termine für Krypto-Parties
# 11 Krypto-Party von Zeit online
# 12 Lorentz Center - International Center for workshops in the
Sciences (Universiteit Leiden, Niederlande): Mathematics of
Information-Theoretic Cryptography
# 13 DFN-CERT: Tutorium "Netzwerkmonitoring mit Nagios"
# 14 DFN-CERT: Tutorium "Netzwerkmonitoring mit Nagios-Advanced"
# 15 10th International Conference on Security and Cryptography
(SECRYPT 2013)
Reykjavik, Iceland
# 16 MoCrySEn 2013: The Second International Workshop on Modern
Cryptography and Security Engineering
## Abschnitt Vier: Artikel und Links
## 33 Technische Hinweise
## 34: Impressum
[Ende Inhaltsverzeichnis]
## Abschnitt Eins: In Eigener Sache
# 01: Editorial
Guten Tag,
Sie erhalten diesen (monatlichen) Newsletter, weil Sie sich auf der
Website der GPF dafür eingetragen haben oder Mitglied des Vereins sind.
Hinweis: Am 23. Februar ist der International Day for Privacy (vgl.
Abschnitt Nachrichten). Wir werden in der März-Ausgabe des Newsletters
darüber berichten.
Wir wünschen eine spannende und interessante Lektüre!
Der Vorstand der German Privacy Foundation
# 02: Vereinsprofil
Der gemeinnützige Verein German Privacy Foundation e.V. informiert über
sichere Kommunikation im Internet und organisiert und unterstützt
Weiterbildungs- und Aufklärungmassnahmen für Erwachsene und Jugendliche.
Wir sind Spezialisten für Anfragen zu den Themen Kryptographie
(insbesondere Verschlüsselung von E-Mails) und Anonymität im Internet
(zum Beispiel Tor-Server, Java Anon Proxy, anonyme Remailer).
Die Mitglieder des Vorstands und die Mitglieder verpflichten sich, über
Vereinsangelegenheiten ausschliesslich verschlüsselt - das bedeutet:
abhörsicher - zu kommunzieren. Wir reden nicht nur über Datenschutz,
sondern praktizieren ihn konseqünt. Wir arbeiten eng mit Journalisten-
und Bürgerrechtsorganisationen zusammen und wollen erreichen, dass das
Thema "Sicherheit im Internet" besser und sachgerechter in den Medien
dargestellt wird.
Zur GPF gehören unter anderem IT-Fachleute, Juristen und Journalisten.
Spenden an den Verein können steürlich angerechnet werden; wir stellen
gern Spendenquittungen aus.
Mehr dazu:
www.privacyfoundation.de/vereinsprofil/ .
# 03: GPF intern
Auf unserer agenda stehen für das Frühjahr: eine Krypto-Party in Berlin
und (immer noch) eine deutsche Version des speziellen "Reiseführers":
Defending Privacy at the U.S. Border: A Guide for Travelers Carrying
Digital Devices
https://www.eff.org/sites/default/files/filenode/EFF-border-search_0.pdf
Mitarbeit ist ausdrücklich erwünscht - auch Vorschläge, welche Themen
interessieren könnten.
Twitter-Account
Die GPF hat einen eigenen Twitter-Account: GPF_ev
https://twitter.com/gpf_ev .
Die Mitglieder des Vorstand haben die Nutzerdaten und können im Namen
des Vereins twittern.
[Ende 03 GPF intern]
[Ende Abschnitt eins: Mitteilungen in eigener Sache]
## Abschnitt Zwei: Nachrichten
# 04 23rd February 2013 International Day for Privacy 2013
idp13.protestwiki.de/wiki/EN:Main ,
23.02.2013 Internationaler Aktionstag für Deine Privatsphäre
protestwiki.de/wiki/Hauptseite ,
Golem.de (20.02.2013): Weltweite Proteste gegen Videoüberwachung am 23.
Februar
Anonymous will den International Day for Privacy mit der Operation Big
Brother unterstützen und kündigt Enthüllungen im Internet über
staatliche Überwachung an. Der Protesttag richtet sich besonders gegen
Indect.
www.golem.de/news/international-day-for-privacy-weltweite-proteste-gegen-video-ueberwachung-am-23-februar-1302-97694.html
.
# 05 OECD-Beschwerden gegen Hersteller von Überwachungssoftware
Heise (06.02.2013, inkl. update): OECD-Beschwerde gegen Hersteller von
Überwachungssoftware - Fünf Menschenrechtsgruppen haben ihre
OECD-Beschwerde gegen eine deutsche und eine britisch-deutsche Firma
wegen der Ausfuhr von Überwachungssoftware an autoritäre Staaten erläutert.
www.heise.de/newsticker/meldung/OECD-Beschwerde-gegen-Hersteller-von-Ueberwachungssoftware-1798948.html
.
Reporter ohne Grenzen (06.02.2013): OECD-Beschwerden gegen Hersteller
von Überwachungssoftware - Die Münchener Trovicor GmbH und die
britisch-deutsche Gamma Group produzieren Überwachungssoftware, die von
autoritären Staaten zu Menschenrechtsverletzungen eingesetzt werden
kann. Privacy International, Reporter ohne Grenzen, das Bahrain Center
for Human Rights (BCHR), Bahrain Watch (BW) und das European Center for
Constitutional and Human Rights (ECCHR) haben deshalb OECD-Beschwerden
gegen beide Unternehmen eingereicht.
www.reporter-ohne-grenzen.de/presse/pressemitteilungen/meldung-im-detail/artikel/oecd-beschwerden-gegen-hersteller-von-ueberwachungssoftware/
.
Privacy International (03.02.2013) : Human rights organisations file
formal complaints against surveillance firms Gamma International and
Trovicor with British and German governments
https://www.privacyinternational.org/press-releases/human-rights-organisations-file-formal-complaints-against-surveillance-firms-gamma
.
# 06 Hacken im Auftrag der chinesischen Regierung?
Mandiant.com (Mandiant Intelligence Center Report): APT1: Exposing One
of China's Cyber Espionage Units
Der Bericht enthält einige Vermutungen ("wir glauben, dass"), aber auch
zahlreiche nachprüfbare Fakten. "Our analysis has led us to conclude
that APT1 is likely government-sponsored and one of the most persistent
of China’s cyber threat actors. We believe that APT1 is able to wage
such a long-running and extensive cyber espionage campaign in large part
because it receives direct government support. In seeking to identify
the organization behind this activity, our research found that People’s
Liberation Army (PLA’s) Unit 61398 is similar to APT1 in its mission,
capabilities, and resources. PLA Unit 61398 is also located in precisely
the same area from which APT1 activity appears to originate."
intelreport.mandiant.com/Mandiant_APT1_Report.pdf .
Stellungnahme der chinesischen Regierung (07.02.2013): Foreign Ministry
Spokesperson Liu Weimin's Regular Press Conference on February 6, 2012
www.fmprc.gov.cn/eng/xwfw/s2510/t903048.htm .
Vgl. Heise (19.02.2013): Chinesische Hacker mit Regierungsauftrag
www.heise.de/newsticker/meldung/Bericht-Chinesische-Hacker-mit-Regierungsauftrag-1805861.html
.
Mehr zu Mandiant und ähnlichen Firmen: Guidance Software
en.wikipedia.org/wiki/Guidance_Software .
# 07 Smartphones im Kälteschlaf verwundbar
Universität Erlangen, FB Informatik (Tilo Müller und Michael
Spreitzenbarth): FROST: Forensic Recovery Of Scrambled Telephones
At the end of 2011, Google released version 4.0 of its Android operating
system for smartphones. For the first time, Android smartphone owners
were supplied with a disk encryption feature that transparently
scrambles user partitions, thus protecting sensitive user information
against targeted attacks that bypass screen locks. On the downside,
scrambled telephones are a a nightmare for IT forensics and law
enforcement, because once the power of a scrambled device is cut any
chance other than bruteforce is lost to recover data.
We present FROST, a tool set that supports the forensic recovery of
scrambled telephones.
Zitat: "With Android 4.0, support for AES-based disk encryption was
introduced. While third party apps that extend the functionality of
Android smartphones are primarily written in Java, disk encryption
resides entirely in system space and is written in C. Android's
encryption feature builds upon dm-crypt [24], which has been available
in Linux kernels for years."
Zitat: "...Android's encryption is disabled by default. Activating it
manually takes up to an hour for the initial process and cannot be
undone. Furthermore, it can only be activated if PIN-locks or passwords
are in use. In Android, PINs consist of 4 to 16 numeric characters, and
passwords consists of 4 to 16 alphanumeric characters with at least one
letter. New screen locking mechanisms like pattern-locks and face
recognition are less secure, and so Google forbids them in combination
with disk encryption. Pattern-locks, for example, can be broken by
Smudge Attacks, and face recognition can simply be tricked by showing a
photo of the smartphone owner."
www1.cs.fau.de/filepool/projects/frost/frost.pdf ,
https://www1.informatik.uni-erlangen.de/frost .
# 08 [Tor-Mailingliste 12.02.2013] torsocks 1.3
After quite a long development cycle, we've tagged torsocks 1.3 today:
https://gitweb.torproject.org/torsocks.git/shortlog/refs/tags/1.3 ,
We believe that this release fixes most of the outstanding torsocks
issues. We also also hope that it merges all of the various patches that
were being shared in the community.
If you'd like to see the current set of bugs and the future
improvements, please visit the bug tracker for the torsocks component:
https://trac.torproject.org/projects/tor/query?component=Torsocks .
# 09 [Tor-Mailingliste] Roger's status report, Jan 2013
Five things I did in January 2013:
1) Continued my rampage to teach law enforcement groups about Tor,
including a US DEA talk, a Dutch regional police talk, a Belgian FCCU
talk, and a Dutch KPN talk; and my parallel rampage to document and
publish the results:
https://blog.torproject.org/blog/trip-report-tor-trainings-dutch-and-belgian-police
,
Jake and I also did the closing keynote for the NCSC conference in
the Hague.
2) Helped organize, and attended, an OONI dev meeting in Amsterdam,
between the Tor OONI team, Nick Feamster's Georgia Tech group, and M-Lab:
https://trac.torproject.org/projects/tor/wiki/org/projects/projectM
Thanks once again to Bits of Freedom for hosting us!
3) Released Tor 0.2.4.8-alpha and 0.2.4.9-alpha:
https://lists.torproject.org/pipermail/tor-talk/2013-January/027048.html ,
https://lists.torproject.org/pipermail/tor-talk/2013-January/027058.html ,
4) Read and reviewed a paper from Ralf-Philipp Weinmann's research
group showing some cool new attacks on hidden services. More details
once we've helped them revise their paper for publication.
5) Helped discuss some (but not enough) SponsorF tasks for Karsten.
Three smaller-but-still-useful things I did too:
6) Participated in the Tor annual board meeting, including approving
the budget for the first half of 2013.
7) Helped interview another candidate for our project coordinator
position. It looks like we're finally closing in on picking one!
8) Helped move forward vmon's thread about Stegotorus deficiencies:
https://lists.torproject.org/pipermail/tor-dev/2013-January/thread.html#4339
,
See in particular Zack's post in the thread.
Roger Dingledine
[Ende Abschnitt zwei: Nachrichten]
## Abschnitt drei: Veranstaltungen
# 10 Termine für Krypto-Parties:
https://cryptoparty.org/wiki/CryptoParty .
# 11 Krypto-Party von Zeit online
26.02.2013, Berlin
Zeit online veranstaltetam 26. Februar 2013 ab 18 Uhr einen Workshop im
Veranstaltungsraum in der Redaktion in Berlin. Redakteur Patrick Beuth
und die Organisatoren der Berliner CryptoPartys laden Interessierte ein,
ihre Notebooks mitzubringen und die Programme einzurichten und zu
testen, die Beuth in einer gerade begonnenen Serie vorstellt:
- Installation von Ubuntu, um Viren und Trojanern keine Chance zu geben
- Installation des Tor Browser Bundles zur anonymen Internetnutzung
- Einrichten eines Virtual Private Networks als Alternative zu Tor
- Einrichten eines anonymen E-Mail-Kontos mit Tor und Hushmail
- Verschluesselung von E-Mails in Thunderbird mit Enigmail
- Verschluesseln und Verstecken von Daten auf der Festplatte mit
TrueCrypt
Die Veranstaltung ist kostenlos, eine Anmeldung ist erforderlich:
de.amiando.com/crypto_zeitonline1.html .
Serie "Mein digitaler Schutzschild" der Zeit online
www.zeit.de/serie/mein-digitaler-schutzschild .
# 12 Lorentz Center - International Center for workshops in the
Sciences (Universiteit Leiden, Niederlande): Mathematics of
Information-Theoretic Cryptography
School from 13 May 2013 through 17 May 2013
Workshop from 21 May 2013 through 25 May 2013
(Workshop proposals are submitted for review by the scientific program
boards three times per year:
15 January, 15 May, and September 15.)
www.lorentzcenter.nl/lc/web/2013/557/description.php3
# 13 DFN-CERT: Tutorium "Netzwerkmonitoring mit Nagios"
21. - 22.März 2013 in Hamburg
Kein System, kein Netzwerk läuft wirklich störungsfrei. Ein System- bzw.
Netzwerkbetreuer ist aber klar im Vorteil, wenn er Fehler schon vor den
Anwendern und Kunden erkennen und beheben kann. Dabei spielt ein
kontinuierliches Monitoring eine wesentliche Rolle. In diesem Tutorium
wird dazu das quelloffene und frei verfügbare Monitoring-System "Nagios"
vorgestellt.
Weitere Informationen und die Anmeldung finden Sie unter
www.dfn-cert.de/veranstaltungen/tutorien/2013-03Nagios.htm .
# 14 DFN-CERT: Tutorium "Netzwerkmonitoring mit Nagios-Advanced"
20. - 21. Juni 2013 in Hamburg
Weitere Informationen und die Anmeldung finden Sie unter
www.dfn-cert.de/veranstaltungen/tutorien/2013-06NagiosAdvanced.html .
# 15 10th International Conference on Security and Cryptography
(SECRYPT 2013)
Reykjavik, Iceland
Jul 29, 2013 - Jul 31, 2013
The purpose of SECRYPT 2013, the International Conference on Security
and Cryptography, is to bring together researchers, mathematicians,
engineers and practitioners interested on security aspects related to
information and communication.
www.secrypt.icete.org .
# 16 MoCrySEn 2013: The Second International Workshop on Modern
Cryptography and Security Engineering
02.-06.09.2013, Regensburg
mocrysen2013.inria.fr .
[Ende Abschnitt drei: Veranstaltungen]
## Abschnitt vier: Artikel und Links
# 17 Mat Honan | Wired (11.15.12): Kill the Password: Why a String of
Characters Can’t Protect Us Anymore
Zitat: "I’ve devoted myself to researching the world of online security.
And what I have found is utterly terrifying. (...) The common weakness
in these hacks is the password. It’s an artifact from a time when our
computers were not hyper-connected. Today, nothing you do, no precaution
you take, no long or random string of characters can stop a truly
dedicated and devious individual from cracking your account. The age of
the password has come to an end; we just haven’t realized it yet."
www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/all/ .
# 18 Patrick Beuth | Zeit online (24.01.2013): Mein digitaler
Schutzschild - Wie schwierig ist es für Laien, im Internet anonym und
sicher zu bleiben? Welche Software ist geeignet? Ein Selbstversuch mit
ausführlichen Anleitungen [man kann dem Autor aber keine verschlüsselten
E-Mails schicken]
www.zeit.de/digital/datenschutz/2013-01/serie-mein-digitaler-schutzschild-einleitung
.
# 19 Cornell University Library | Andres Cordon-Franco, Hans van
Ditmarsch, David Fernandez-Duque and Fernando Soler-Toscano: A geometric
protocol for cryptography with cards (25.01.2013), 18 S., download als pdf
arxiv.org/pdf/1301.4289v2.pdf ,
arxiv.org/abs/1301.4289.
# 20 Patrick Breyer | daten-speicherung.de (20.01.2013) über den
Leitfaden des Bundesdatenschutzbeauftragten zum Leitfaden zum
datenschutzgerechten Einsatz von De-Mail
www.daten-speicherung.de/index.php/leitfaden-zum-datenschutzgerechten-einsatz-von-de-mail/
.
# 21 Ed Bott | ZDNet (22.01.2013): A close look at how Oracle installs
deceptive software with Java updates.
Java is the new king of foistware, displacing Adobe and Skype from the
top of the heap.
www.zdnet.com/a-close-look-at-how-oracle-installs-deceptive-software-with-java-updates-7000010038/
.
# 22 Welt.de (28.01.2013. Quelle: Computerbild): Wie BKA-Experten auf
digitale Spurensuche gehen
www.welt.de/wirtschaft/webwelt/article113168217/Wie-BKA-Experten-auf-digitale-Spurensuche-gehen.html
.
# 23 Heise (29.01.2013 inkl. update): Millionen Geräte über UPnP
angreifbar
Test:
www.heise.de/security/dienste/portscan/test/go.shtml ,
www.heise.de/newsticker/meldung/Millionen-Geraete-ueber-UPnP-angreifbar-1793625.html
.
# 24 Mark Ward | BBC New Technology (29.01.2013): Smartphone sensors
reveal security secrets
www.bbc.co.uk/news/technology-21203035 .
# 25 Michael Messner (05.02.2013): Multiple Vulnerabilities in Linksys
E1500/E2500
www.s3cur1ty.de/m1adv2013-004 ,
Vgl. Heise (07.02.2013): Viele Router-Lücken, wenig Patches
www.heise.de/newsticker/meldung/Viele-Router-Luecken-wenig-Patches-1799954.html
.
# 26 Graham Templeton | extremetech.com (06.02.2013): Cryptography
super-group creates unbreakable encryption designed for mass market.
Zitat: "For an annual price of $20/month (...) users of the company’s
Silent Phone app suite will be able to send and receive voice calls,
text messages, pictures, video, and even provide video conferencing
under the cloak of Zimmerman’s venerable workhorse, PGP encryption. CEO
and former SEAL Mike Janke has been making the rounds claiming that the
new smartphone app will revolutionize smartphone security, and he may be
right."
www.extremetech.com/mobile/147714-cryptography-super-group-creates-unbreakable-encryption-designed-for-mass-market
.
# 27 John Talbot | Dominic Welsh: Complexity and Cryptography: An
Introduction, Cambrige 2006, 293 S., Download des Buches als pdf bei
Cryptome:
cryptome.org/2013/01/aaron-swartz/Crypto-Complexity.pdf .
# 28 Netzpolitik.org (08.02.2013): Mitmachen: Privacy Memes für die
EU-Datenschutzreform basteln - Das Kampagnenportal zur
EU-Datenschutzreform, privacycampaign.eu, bittet Euch um Mithilfe beim
Basteln lustiger Datenschutz-Memes.
https://netzpolitik.org/2013/mitmachen-privacy-memes-fur-eu-datenschutzreform-basteln/,
www.privacycampaign.eu .
# 29 [Leider im letzten Newsletter vergessen] Geheime Post.
Kryptologie und Steganographie der diplomatischen Korrespondenz
europäischer Höfe während der Frühen Neuzeit
14.- 16.02.2013 | Forschungszentrum Gotha
Übersicht:
www.uni-erfurt.de/fileadmin/user-docs/FGE/Veranstaltungen_2013/Workshops/Flyer_Geheime_Post.pdf
# 30 RFID-blocking: Pacsafe bietet Gepäck an, das Radio-frequency
identification (RFID)blockiert:
pacsafe.com/www/index.php .
# 31 Christoph Leyendecker: Enkidu rankXX: post privacy art
www.enkidu-rankx.de/2013/01/20/post-privacy-art-2/ .
# 32 Trevor John |Android Developers Blog (20.02.2013): Using
Cryptography to Store Credentials Safely
android-developers.blogspot.de/2013/02/using-cryptography-to-store-credentials.html
.
Ende Abschnitt vier: Artikel und Links]
## 33 Technische Hinweise
Die German Privacy Foundation (e.V.) gibt einen per E-Mail erscheinenden
Newsletter heraus, den Sie hier kostenlos abonnieren können. Der
Newsletter erscheint monatlich.
Datenschutzerklärung / Technische Hinweise
Ihre Daten behandeln wir vertraulich. Näheres in der
Datenschutzerklärung. Der Newsletter German privacy Foundation (GPF)
wird im als Textmail ohne Anhänge verschickt. Die Redaktion des
Newsletters erreichen Sie per E-Mail an newsletter@privacyfoundation.de.
Newsletter-Archiv
In unserem Archiv auf der Website finden Sie alle bisherigen Ausgaben
des Newsletter German Privacy Foundation (GPF) als Textdateien.
Medien-Verteiler
Wenn Sie Medienjournalist sind und Informationen der German Privacy
Foundation (E-Mails und ggfs. Dateianhänge, Formate TXT, RTF, DOC, PDF)
erhalten möchten, tragen Sie sich einfach in unseren Verteiler ein.
www.privacyfoundation.de/newsletter/
Der formale Aufbau dieses Newsletters orientiert sich am 'Text
E-Mail-Newsletter Standard' (TEN S). Der Zweck dieses barrierefreien
Standards ist es, in textbasierten E-Mail-Newslettern die Orientierung
zu vereinfachen.
Die Startseite des TEN S ist:
www.headstar.com/ten/ .
Die deutsche Übersetzung des TEN S finden Sie hier:
www.ude.de/ten/ .
Als Navigationshilfe für Screen Reader beginnen alle Überschriften mit
einem Doppelkreuz "#" und enden mit einem Punkt "." Die Inhalte sind
nummeriert, die Nummern folgen direkt nach dem Doppelkreuz.
Einige lange Hyperlinks in diesem Newsletter werden durch Ihr
E-Mail-Programm möglicherweise auf mehrere Zeilen umgebrochen, so dass
sie nicht funktionieren. Kopieren Sie in diesem Fall bitte die komplette
Zeichenkette des Hyperlinks in die Adresszeile Ihres Browsers.
Online können Sie PDF- und RTF-Dateien mit dem "Online viewer for PDF,
PostScript and Word" von Samuraj Data in Schweden öffnen:
toponlinetools.net/pdf-reader/ .
[Ende technische Hinweise].
## 34 Impressum .
Newsletter German privacy Foundation (GPF)
Dieser Newsletter wird herausgegeben vom
German Privacy Foundation e.V.
Berliner Strasse 69
13189 Berlin
Registergericht Amtsgericht Berlin-Charlottenburg
Registernummer VR 27126 B
Verantwortlich für alle Inhalte des Newsletter (V.i.S.d.P. und
Verantwortlicher gemäss § 5 TMG):
Jan-Kaspar Münnich (Vorsitzender)
Tonke Franziska Koch (stellv. Vorsitzende)
Jan Suhr (stellv. Vorsitzender)
info@privacyfoundation.de ,
www.privacyfoundation.de .
Der Newsletter German Privacy Foundation (GPF) ist urheberrechtlich
geschützt. Das Copyright liegt beim der German Privacy Foundation e.V.
Das Urheberrecht namentlich gekennzeichneter Artikel liegt bei deren
Verfassern.
Bestellen oder abbestellen können Sie den Newsletter unter der Adresse:
www.privacyfoundation.de/newsletter/ .
Die Redaktion erreichen Sie mit einer E-Mail an:
info@privacyfoundation.de .
E-Mail-Adressen werden nicht an Dritte weitergegeben oder verkauft. Sie
werden ausschiesslich zum Versand dieses Newsletters verwendet.
Eingehende E-Mails werden vertraulich behandelt.
[Ende des Impressums] .
[Ende des Newsletter German Privacy Foundation] .
German Privacy Foundation e.V.