Max Mehl (Security)

Deutsche Bahn's Approach to Large-Scale SBOM Collection and Use

Sun, 01 Feb 2026 00:00:00 +0000

At FOSDEM 2026, I presented Deutsche Bahn’s journey from operational need to concrete implementation of large-scale SBOM collection and use. The scale is staggering: approximately 500,000 SBOMs across our software supply chain expected, covering 7,000+ IT applications, 100,000+ Open Source components, and diverse sourcing streams from software we build ourselves to what we buy and operate. The talk focused on how we moved from understanding that “we need to know, in real-time, which exact component is used where and how” to actually making this happen in an organization with 220,000+ employees and hundreds of subsidiaries.

I explained our approach to treating SBOMs as shared infrastructure rather than a goal in itself. SBOMs support multiple use cases: Open Source license compliance, security vulnerability checking, understanding component distribution, assessing quality, satisfying governance requirements, and supporting strategic decisions about ecosystem engagement. We heavily rely on FOSS tools enriched with our own logic to fit DB’s enterprise architecture. A key insight was the integration of VEX (Vulnerability Exploitability eXchange) with SBOMs – allowing us to track vulnerability status throughout processes and enabling manufacturers to communicate their assessments to us directly.

The presentation detailed our SBOM strategy and architecture built from scratch: starting with a small interdisciplinary volunteer group, iterating quickly with continuous feedback, focusing on existing organizational needs rather than abstract best practices, and documenting everything publicly. Our technical principles emphasized modularity, open standards, central SBOM storage with decentral sourcing and analysis. The SBOM Blueprint serves as our guiding star, implemented through prioritized increments. We started by focusing on Source/Build SBOMs for in-house developed software, creating low-threshold drop-in solutions for CI pipelines. But as I emphasized throughout: tools and clever ideas aren’t enough – we need people to integrate them, continuous quality monitoring, cooperation from related service operators, and support from governance stakeholders.

This presentation was a follow-up to my talk the day before on Deutsche Bahn’s overall software supply chain strategy in the context of the EU Cyber Resilience Act (CRA) – while that talk focused on the strategic rationale and high-level approach, this one dove into the technical architecture and practical lessons learned from our initial implementation. Together, they provided a comprehensive overview of how Deutsche Bahn is approaching software supply chain strategy in the context of CRA and beyond.

Software Supply Chain Strategy at Deutsche Bahn

Sat, 31 Jan 2026 00:00:00 +0000

At FOSDEM 2026, I presented Deutsche Bahn’s software supply chain strategy in the context of the EU Cyber Resilience Act (CRA), but made clear from the start that CRA was the context, not the trigger. We didn’t adopt SBOMs because of regulation – regulation validated the direction we were already taking based on operational needs. The presentation positioned our work at the intersection of CRA compliance requirements, IT operation best practices, and the practical realities of running IT infrastructure for an organization with 220,000+ employees, 7,000+ IT applications, and 100,000+ Open Source components.

I outlined how we understand CRA as consisting of four activity areas: general principles of secure software (which we already do), professional handling of vulnerabilities (also already doing), transparency of software supply chains with SBOMs (the new challenge and focus of this talk), and information to users plus conformity assessments (out of scope but interesting). Deutsche Bahn’s challenge is particularly complex because we take on different roles – customer, manufacturer, and indirectly even steward – across our diverse operations. We build software for ourselves and external customers (ranging from operating systems in train displays to mobile apps), we buy software (local, on-premise, SaaS, bundled in hardware like trains), and we operate everything across multiple environments (on-premise, cloud, edge/embedded).

The strategy presentation emphasized how we created an SBOM architecture from scratch to handle this complexity. Working with a small interdisciplinary volunteer group, we focused on iterating quickly, gathering continuous feedback, and thinking in capabilities rather than specific tools. Our technical principles centered on modularity, open standards and interfaces, central SBOM storage with decentral sourcing and analysis – providing the flexibility needed to adapt to varying stakeholder needs and evolving regulations. The key message was that at DB’s scale and diversity, you cannot implement a one-size-fits-all solution overnight. Instead, we prioritize based on identified risks and external requirements, document everything publicly, and connect the concrete CRA compliance requirements with our broader effort to bring transparency to software supply chains. This transparency forms the basis not just for regulatory compliance, but for security processes, license compliance, and proactively shaping the Open Source ecosystems we depend on.

The day after, I gave a follow-up presentation on our large-scale SBOM collection and use, which dove deeper into the technical architecture and practical lessons learned from our initial implementation. The two talks together provided a comprehensive overview of how Deutsche Bahn is approaching software supply chain strategy in the context of CRA and beyond.

The Burden of Knowledge: Dealing With Open Source Risks

Mon, 10 Mar 2025 00:00:00 +0000

At FOSS Backstage 2025 in Berlin, I explored a critical challenge facing OSPOs and development teams: as we increase analysis of our software supply chains, tools and scorecards reveal potential risks in Open Source projects like low maintenance, lack of community, or poor security practices. But this data alone doesn’t help if it merely points out potential problems without offering solutions. The question is: how should we handle this burden of knowledge? Through manual reviews? Questionnaires? Funding? Or should we look away?

In this session, I focused on the strategic decisions organizations need to make when assessing risk in Open Source dependencies. Drawing from my experience at an organization using a six-digit number of Open Source packages, I explored the options between the extremes of “Let’s measure everything”, “Let’s avoid all risky Open Source”, and “Let’s not look at the data because it might scare off management”. I discussed how to decide whether to use a project, invest resources to support it, or move away from a dependency, and when it makes sense to actively engage with or withdraw from an Open Source project.

This talk provided an overview of feasible options and the foundation for a more informed discussion on managing Open Source risks strategically – without ignorance or fear.

The burden of knowledge: dealing with open-source risks (LWN.net)

Mon, 10 Mar 2025 00:00:00 +0000

My talk at FOSS Backstage (see earlier post) was also covered by LWN.net, in an article by Joe Brockmeier. It’s an extensive summary of the talk.

Organizations relying on open-source software have a wide range of tools, scorecards, and methodologies to try to assess security, legal, and other risks inherent in their so-called supply chain. However, Max Mehl argued recently in a short talk at FOSS Backstage in Berlin (and online) that all of this objective information and data is insufficient to truly understand and address risk. Worse, this information doesn’t provide options to improve the situation and encourages a passive mindset. Mehl, who works as part of the CTO group at DB Systel, encouraged better risk assessment using qualitative data and direct participation in Open Source.

[…]

You’re invited to read the full article.

The Growing Importance of Software Bills of Materials (SBOM)

Wed, 29 Nov 2023 00:00:00 +0000

I have been invited to talk about Software Bills of Materials (SBOM) in SAP’s Open Source Way Podcast, hosted by Karsten Hohage and with SAP’s Sebastian Wolf as co-guest. We had an interesting conversation about the growing importance of SBOMs in the software industry and their role within Deutsche Bahn. We also discussed the limits of SBOMs and how they can be complemented with other approaches to better understand and manage risks.

In this episode, our host Karsten Hohage talks to Max Mehl and Sebastian Wolf about Software Bills of Materials or SBOMs. An SBOM is a detailed record of all components within a software application, including Open Source libraries, third-party dependencies and licenses. Max and Sebastian discuss the importance of SBOMs as well as some challenges and unanswered questions of the state of the art. They also speak with Karsten about SBOMs within SAP and Deutsche Bahn and the importance of SBOMs when it comes to Open Source.

You can listen to the episode on Apple Podcasts or on Spotify.

SBOMs – A Short Introduction

Tue, 10 Oct 2023 00:00:00 +0000

At OSPOlogy Live Frankfurt in October 2023, I gave an introduction to Software Bills of Materials (SBOMs) for the OSPO community. Everyone had heard of SBOMs by then – they seemed ubiquitous, with shiny tools sprouting up everywhere. But what were they actually all about? What were the real use cases? And what often caused practical applications to fail? This talk aimed to provide a common understanding without the marketing-speak.

The session covered the fundamental concepts of SBOMs, explored concrete use cases where they add value, and discussed the challenges organizations face when trying to implement them in practice. Drawing from my experience working with software supply chain transparency at Deutsche Bahn, I highlighted common pitfalls and offered practical insights for OSPOs looking to make sense of the SBOM landscape.

This was part of a two-day event hosted by SAP’s OSPO and co-organized with TODO Group, InnerSource Commons, LF Energy, OpenChain, SPDX, CHAOSS, and OpenSSF projects.

Hardware Bills of Material with Deutsche Bahn

Wed, 07 Jun 2023 00:00:00 +0000

At Upstream 2023, I participated in a fireside chat with Luis Villa (Tidelift) and my colleague Erik Schaufuss exploring the fascinating intersection between Software Bills of Materials (SBOMs) and Hardware Bills of Materials (HBOMs) within Deutsche Bahn’s complex supply chain. As Germany’s national railway company with hundreds of federated subsidiaries, we face unique challenges in managing both rolling stock hardware and the increasingly software-driven assets within trains. The discussion centered on how learnings from the software supply chain transparency movement – particularly around standards like CycloneDX – can inform and improve hardware supply chain management.

The conversation explored Deutsche Bahn’s federated corporate structure and how this complexity makes supply chain management particularly challenging yet critical. We discussed the need for standards to communicate information across organizational boundaries, the clash between traditional hardware procurement and modern software practices, and how tracking components in both domains presents parallel challenges. The fireside chat highlighted practical experiences in bridging the gap between software and hardware supply chain transparency, and the importance of ISO standards and industry collaboration in this evolving space.

This session demonstrated that whether dealing with software packages or physical train components, the fundamental challenges of transparency, traceability, and security have more in common than one might initially expect.

Führt mehr Freiheit zu mehr Sicherheit?

Wed, 01 Apr 2020 00:00:00 +0000

Im Librezoom-Podcast LZ20 mit dem Host Ralf Hersel gab ich ein Interview zur Frage, ob mehr Freiheit zu mehr Sicherheit führt – ein scheinbares Paradoxon in der IT-Sicherheitsdebatte. Viele Menschen assoziieren Sicherheit mit Kontrolle und Einschränkungen, während Freie und Open Source Software auf Offenheit setzt. In diesem Gespräch ging ich der Frage nach, warum diese scheinbare Dichotomie in der Realität keine ist und wie Freie Software tatsächlich fundamentale Voraussetzungen für echte IT-Sicherheit schafft.

Wir diskutierten über verschiedene Aspekte: Transparenz durch Quellcode-Offenheit, die Möglichkeit unabhängiger Sicherheitsaudits, die Bedeutung von Kontrolle über die eigene Software-Infrastruktur, und warum proprietäre “Sicherheit by Obscurity” ein gefährlicher Trugschluss ist. Das Interview beleuchtete auch praktische Beispiele, wo Closed-Source-Software zu Sicherheitsproblemen führte, während Freie Software Alternativen robustere Lösungen bot.

Diese Diskussion war besonders relevant in einer Zeit, in der IT-Sicherheit zunehmend als Begründung für mehr Überwachung und weniger digitale Freiheiten herangezogen wurde. Das Interview argumentierte, dass echter Schutz nicht durch Einschränkung von Freiheit, sondern durch deren Ermöglichung erreicht wird.

Keine IT-Sicherheit ohne Freie Software

Sat, 22 Feb 2020 00:00:00 +0000

Beim Winterkongress der Digitalen Gesellschaft Schweiz hielt ich einen Vortrag über den fundamentalen Zusammenhang zwischen IT-Sicherheit und Freier Software/Open Source. Die Kernthese war provokant formuliert, aber technisch begründet: Echte IT-Sicherheit ist ohne Freie Software nicht möglich. In einer Zeit, in der Cybersecurity zunehmend als kritisches Thema für Gesellschaft, Wirtschaft und Staat wahrgenommen wurde, argumentierte ich, dass proprietäre Software strukturelle Sicherheitsprobleme mit sich bringt, die nicht einfach durch bessere Praktiken gelöst werden können.

Der Vortrag beleuchtete mehrere Dimensionen dieses Arguments: Transparenz als Voraussetzung für Vertrauen, die Notwendigkeit unabhängiger Sicherheitsüberprüfungen, das Problem von Hintertüren und nicht offengelegten Schwachstellen in Closed-Source-Software, sowie die Bedeutung von Vendor-Unabhängigkeit für langfristige Sicherheitsupdates. Für das Publikum beim Winterkongress, das sich für digitale Bürgerrechte und eine demokratische digitale Gesellschaft einsetzt, war diese Verbindung zwischen Freiheit und Sicherheit besonders relevant. Der Vortrag zeigte, dass es kein Widerspruch ist, gleichzeitig für Softwarefreiheit und für Sicherheit einzutreten. Ganz im Gegenteil: das eine setzt das andere voraus.

No IT security without Free Software

Sat, 14 Sep 2019 00:00:00 +0000

At BalCCon 2019 in Novi Sad, Serbia, I delivered a talk arguing that real IT security is fundamentally impossible without Free and Open Source Software. BalCCon (Balkan Computer Congress) brings together security researchers, hackers, and technology enthusiasts from across the Balkans and beyond, making it a perfect audience for examining the deep connections between software freedom and security. The talk challenged the common assumption that security and openness are somehow in tension, arguing instead that transparency is a prerequisite for trustworthy security.

The presentation examined multiple dimensions of this argument: the security benefits of source code transparency, the danger of security through obscurity in proprietary systems, the importance of independent security audits, the problem of backdoors and undisclosed vulnerabilities, and the critical role of user control over their computing environment. I showed concrete examples where Open Source can resolve an ongoing tension between economic incentives and security needs without sacrificing either.

For the BalCCon audience, many of whom work directly in information security, this argument resonated strongly. The discussion explored how Open Source principles align with security best practices like defense in depth, least privilege, and verifiable trust. The talk reinforced that advocating for Free Software isn’t just about philosophy or licensing – it’s about building secure systems in a fundamentally insecure world.

No IT security without Free Software

Wed, 03 Jul 2019 00:00:00 +0000

At Pass the SALT 2019 in Lille, France, I presented on the essential connection between IT security and Free Software. Pass the SALT (Security And Libre Talks) is a security conference with a specific focus on Free and Open Source Software security tools and practices, making it the ideal venue for this topic. The conference brings together security professionals who both develop and use Free Software security tools, and understand the value of transparency in security work.

The talk examined why proprietary software creates fundamental security problems that cannot be solved through patches or better practices alone. Without access to source code, security researchers cannot fully audit systems, users cannot verify what their software actually does, and the community cannot collaborate on security improvements. I presented case studies of security issues that persisted in proprietary systems precisely because of their closed nature, contrasted with Free Software projects where transparency enabled rapid community response to vulnerabilities.

The presentation also addressed common misconceptions: that disclosure of source code helps attackers (when research shows the opposite), that commercial vendors provide better security than community projects (when evidence suggests otherwise), and that security and usability require proprietary approaches (when Free Software demonstrates both are achievable). For the Pass the SALT audience, this reinforced their work developing and promoting Free Software security tools as not just technically sound, but philosophically necessary for genuine security.

IT-Sicherheit? Freie Software!

Sat, 27 Apr 2019 00:00:00 +0000

Bei den Grazer Linuxtagen 2019 hielt ich die Keynote über den Zusammenhang zwischen IT-Sicherheit und Freier Software. Die Grazer Linuxtage sind eine der wichtigsten deutschsprachigen Veranstaltungen für GNU/Linux und Freie Software, und die Keynote bot die Möglichkeit, dem gesamten Publikum – von Einsteigern bis zu erfahrenen Entwicklern – zu erläutern, warum Freie und Open Source Software keine Option, sondern eine Voraussetzung für echte IT-Sicherheit ist.

Der Vortrag beleuchtete, warum proprietäre Software strukturelle Sicherheitsprobleme mit sich bringt: fehlende Transparenz verhindert unabhängige Sicherheitsanalysen, Nutzer haben keine Kontrolle darüber, was ihre Software tatsächlich macht, und Vendor-Lock-in führt dazu, dass Sicherheitsupdates von Geschäftsinteressen abhängen statt von tatsächlichen Bedrohungen. Im Gegensatz dazu ermöglicht Freie Software Überprüfbarkeit, Community-betriebene Sicherheitsforschung, und stellt sicher, dass Nutzer die Hoheit über ihre IT-Systeme behalten.

Als Keynote war der Vortrag bewusst breit angelegt, um verschiedene Aspekte des Themas zu beleuchten: von konkreten technischen Sicherheitsvorteilen über die Bedeutung offener Standards bis hin zu gesellschaftlichen Fragen digitaler Souveränität. Die Botschaft war klar: Wer IT-Sicherheit ernst nimmt, kommt an Freier Software nicht vorbei.

Protect freedom on radio devices: raise your voice today!

Fri, 01 Mar 2019 15:09:56 +0000

We are facing a EU regulation which may make it impossible to install a custom piece of software on most radio decives like WiFi routers, smartphones and embedded devices. You can now give feedback on the most problematic part by Monday, 4 March. Please participate – it’s not hard!

In the EU Radio Equipment Directive (2014/53/EU) contains one highly dangerous article will cause many issues if implemented: Article 3(3)(i). It requires hardware manufacturers of most devices sending and receiving radio signals to implement a barrier that disallows installing software which has not been certified by the manufacturer. That means, that for installing an alternative operating system on a router, mobile phone or any other radio-capable device, the manufacturer of this device has to assess its conformity.

[R]adio equipment [shall support] certain features in order to ensure that software can only be loaded into the radio equipment where the compliance of the combination of the radio equipment and software has been demonstrated.

– Article 3(3)(i) of the Radio Equipment Directive 2014/53/EU

That flips the responsibility of radio conformity by 180°. In the past, you as the one who changed the software on a device have been responsible to make sure that you don’t break any applicable regulations like frequency and signal strength. Now, the manufacturers have to prevent you from doing something wrong (or right?). That further takes away freedom to control our technology. More information here by the FSFE.

The European Commission has installed an Expert Group to come up with a list of classes of devices which are supposed to be affected by the said article. Unfortunately, as it seems, the recommendation by this group is to put highly diffuse device categories like „Software Defined Radio“ and „Internet of Things“ under the scope of this regulation.

Get active today

But there is something you can do! The European Commission has officially opened a feedback period. Everyone, individuals, companies and organisations, can provide statements on their proposed plans. All you need to participate is an EU Login account, and you can hide your name from the public list of received feedback. A summary, the impact assessment, already received feedback, and the actual feedback form is available here.

To help you word your feedback, here’s a list of some of the most important disadvantages for user freedom I see (there is a more detailed list by the FSFE):

Free Software: To control technology, you have to be able to control the software. This only is possible with Free and Open Source Software. So if you want to have a transparent and trustworthy device, you need to make the software running on it Free Software. But any device affected by Article 3(3)(i) will only allow the installation of software authorised by the manufacturer. It is unlikely that a manufacturer will certify all the available software for your device which suits your needs. Having these gatekeepers with their particular interests will make using Free Software on radio devices hard.
Security: Radio equipment like smartphones, routers, or smart home devices are highly sensitive parts of our lives. Unfortunately, many manufacturers sacrifice security for lower costs. For many devices there is better software which protects data and still offers equal or even better functionality. If such manufacturers do not even care for security, will they even allow running other (Free and Open Source) software on their products?
Fair competition: If you don’t like a certain product, you can use another one from a different manufacturer. If you don’t find any device suiting your requirements, you can (help) establish a new competitor that e.g. enables user freedom. But Article 3(3)(i) favours huge enterprises as it forces companies to install software barriers and do certification of additional software. For example, a small and medium-sized manufacturer of wifi routers cannot certify all available Free Software operating systems. Also, companies bundling their own software with third-party hardware will have a really hard time. On the other hand, large companies which don’t want users to use any other software than their own will profit from this threshold.
Community services: Volunteer initiatives like Freifunk depend on hardware which they can use with their own software for their charity causes. They were able to create innovative solutions with limited resources.
Sustainability: No updates available any more for your smartphone or router? From a security perspective, there are only two options: Flash another firmware which still recieves updates, or throw the whole device away. From an environmental perspective, the first solution is much better obviously. But will manufacturers still certify alternative firmware for devices they want to get rid of? I doubt so…

There will surely be more, so please make your points in your individual feedback. It will send a signal to the European Commission that there are people who care about freedom on radio devices. It’s only a few minutes work to avoid legal barriers that will worsen your and others‘ lives for years.

Thank you!

Freie Software – Definition in Dortmund

Thu, 13 Oct 2016 17:22:16 +0000

Seit einiger Zeit arbeiten wir bei der Free Software Foundation Europe (FSFE) mit der Initiative Do-FOSS aus Dortmund zusammen, die dort mehr Freie Software in die öffentliche Verwaltung einbringen möchte. Konkret wird in Dortmund aktuell an dem Masterplan Digitales Dortmund gearbeitet, der „die zukünftige digitale Ausrichtung und die damit verbundenen Veränderungsprozesse an der Schnittstelle von Stadtverwaltung und Stadtgesellschaft (Bürgerinnen und Bürger, Politik, Vereine, Unternehmen, Wissenschaft)“ beinhaltet.

Erfreulicherweise wird der Masterplan auch Freie Software beinhalten, doch haben unsere Freunde von Do-FOSS bemerken müssen, dass dieser Begriff häufig im Zusammenhang mit Open Source Software erwähnt wird. Wir als FSFE verstehen Open Source als Synonym für Freie Software, aber mussten leider schon in der Vergangenheit öfter feststellen, dass damit nur die Verfügbarkeit des Quellcodes und nicht – wie bei Freier Software offensichtlicher – auch die anderen drei der insgesamt vier Freiheiten Freier Software gemeint waren: Neben der Freiheit, die Funktionsweise anhand des Codes nachzuvollziehen (2), auch die Verwendung für jeden Zweck (1), das Teilen der Software mit anderen (3), und das Verbessern der Programme (4).

Was also versteht nun die Stadt Dortmund unter Freier Software? Macht sie einen Unterschied zwischen Freier Software und Open Source?

Daher habe ich bereits im Mai diesen Jahres einen Brief an den Dortmunder Oberbürgermeister Ulrich Sierau (SPD) geschrieben mit der Bitte, uns die Definition der Stadt für Freie Software mitzuteilen. Im selben Schritt habe ich die gängige Definition von Freier Software mit ihren vier Rechten angehängt und angeboten, dass wir als FSFE der Stadt im weiteren Prozess gerne behilflich sind. Die Antwort, die ich Ende Juni erhalten habe, hat uns allerdings enttäuscht. Dort wird nur darauf verwiesen, dass der bereits erwähnte Masterplan die Definition von Freier Software aufgreift:

Der Masterplan wird im Dialog mit der Stadtgesellschaft erarbeitet. Den Ergebnissen dieser Beratungen möchte ich nicht vorgreifen.

Damit wird leider die Chance verspielt, gleich zu Beginn der wichtigen Beratungen über eine effektive städtische digitale Strategie den Fokus auf transparente, vertrauenswürdige und wirtschaftlich nachhaltige Software zu setzen. Wir hoffen, dass die Stadt Dortmund sich so bald wie möglich auf die gängige Definition von Freier Software einigt, diese auch mit dem Begriff von Open Source Software gleichsetzt und Freier Software den Vorzug bei Anschaffungen und Weiterentwicklungen gibt.

Weiterführende Links

„Schluss mit dem Routerzwang“ – Radiosendung im Deutschlandfunk

Thu, 01 Sep 2016 16:44:26 +0000

Heute war ich beim Deutschlandfunk zu einer Radiosendung über den Routerzwang eingeladen. Wir haben etwa eine Stunde lang darüber geredet, warum es so wichtig ist, dass wir seit dem 1. August endlich Routerfreiheit in Deutschland haben, was das für Verbraucher bringt und welche Fragen noch ungeklärt sind.

Zusammen mit den beiden anderen Gästen, Marleen Frontzeck von teltarif.de und Katja Henschler von der Verbraucherzentrale Sachsen, haben wir mit dem Moderator Römermann aber auch weitere Aspekte angeschnitten, etwa W-LAN-Sicherheit und Freifunk-Netzwerke. Insgesamt war es eine sehr angenehme und hoffentlich für möglichst viele Menschen auch informative Sendung. Und da es mein erstes Radio-Interview war, zumal auch noch live, freut mich das ganz besonders.

Eine kurze Zusammenfassung gibt auf der Deutschlandfunk-Webseite, von wo man auch die Audio-Aufnahme herunterladen bzw. direkt anhören kann. Für Archivierungszwecke stelle ich die komplette Sendung auch im freien ogg-Format hier zum Download bereit.

I love Free Software (Apps)

Sun, 14 Feb 2016 09:00:18 +0000

Do you know being in a restaurant and getting a menu which is longer than the average novel, and you cannot decide for a single meal because every single one sounds more delicious than the other? That’s similar to the problem I was having when writing this blog post…

Today is the „I love Free Software“ day, on which people all over the world say „thank you“ to contributors of Free Software, often created in free time and with lots of passion. This is software you can use for any purpose, which source code you or others can analyse, which can be modified and distributed – any program respecting these essential freedoms benefits a fair society, and our most personal privacy and security in return.

After I thanked ZNC and Taskwarrior last Valentine’s Days, this year I want to focus on software running on the device that’s almost always in my pocket. My mobile phone is the gatekeeper of most of my communication: short messages, pictures, emails, social media, todo lists, calendar… it’s amazing thinking about what this tiny computer has to achieve to satisfy my needs. But of course, I also want to use as much Free Software as possible to secure my sensitive data. And because of that I cannot name a single software but have to list a few which I depend on almost every single day, and I want to sincerely thank the people contributing to them!

The foundation

With mobile phones it’s not easy to have a completely free operating system platform, depending on your phone model. For mine, I chose OmniROM, which still contains some non-free firmware but is as much Free Software as possible. And it works like a charm, having lots of nice features, a broad device compatibility, and actively development team.

Because I want to avoid non-free software and services which use my most sensitive data for their profit, I avoid Google and similar products as much as possible. Because of that, I do not load my application from Google Play but from F-Droid, an app „store“ offering Free Software apps only! Right now there are far over 1000 apps available, most of them fulfilling high quality requirements. All the apps I’ll list below can be found there.

My big five

I use my mobile phone for communication and information purposes. So K-9 Mail is my sanctuary, enabling me to receive and send, de- and encrypt my emails. Admittedly, the user interface isn’t the best, some things can get on your nerves (organising many folders…), but it just works. That’s an attribute I learnt to value.

The next layer is short texts communication. Since almost nobody in my circle of acquaintances uses oldschool short messages anymore, I switched most of my chitchat communication over to LibreSignal, a Google-dependency-freed fork of Signal, providing very strong encryption and a great and easy user interface at the same time. At the same time I still use Telegram (non-free server) and WhatsApp (absolutely bad) because it’s hard to convince all the contacts you have. But it’s nice to see how many people switched over to better alternatives meanwhile. And with Twidere, I can manage my GnuSocial and Twitter accounts easily with lots of features. And if you are still forced to use Facebook, try Face Slim.

As a scout, many people seem to think that I always know any direction. In the old days I had to navigate using stars and moss on stones, but nowadays I just pick my ultimate compass and can lead the way thanks to OsmAnd and Transportr. The former enables me to download offline vector maps, navigate on them, find points of interest (bars, shops, bus stops – and bars), with the latter I can use the public transport system of almost every larger city in Europe using a neat and fast-responding interface. And the best thing: It even works in areas without sun, stars, or moss-grown stones. But well, without battery…

The small things

F-Droid also contains a myriad of small jewels, nice tools for the even most absurd needs and situations most of us are confronted with not more than once in our lifetime. Not so absurd but also quite helpful for me are primitive ftpd, SMS Backup+, JAWS, and Port Authority. The first starts a small (S)FTP server which I can connect to using a client like Filezilla on my desktop computer, so I can exchange huge amounts of files faster than via Bluetooth. SMS Backup+ backups – surprise surprise – SMSs. But it uploads (and restores) them (and also call logs) to any IMAP folder you define, which comes in handy when you want to search your SMSs quickly at your computer in your email client. JAWS and Port Authority are small tools to debug networks. The former shows all nearby Wifi networks, their signal strength and BSSID. The latter allows you to see all devices in the network including MAC address or open ports.

Conclusion

So you see, Free Software is everywhere and you can do great things with it. Everytime I can replace another non-free and privacy-disrespecting service with Free Software, it makes my day. I hope I can give some of this joy today to the people making this possible!

10 Jahre Sony-Rootkit: Schadsoftware vom Hersteller (heise online)

Sat, 31 Oct 2015 00:00:00 +0000

In meinem Artikel auf heise online erinnere ich an den bahnbrechenden Sony-Rootkit-Skandal von 2005. Vor zehn Jahren entdeckte Sicherheitsforscher Mark Russinovich zufällig, dass gekaufte Musik-CDs von Sony heimlich ein Schadprogramm auf Computern installierten. Das Extended Copy Protection-Rootkit sollte Kopiervorgänge verhindern, verursachte aber massive Probleme:

Doch durch den unsauber programmierten Treiber beklagten zahlreiche Käufer Datenverluste, Systemabstürze oder Performanceprobleme. Das Rootkit ließ sich nicht einfach deinstallieren. Löschte man die zugehörigen Dateien, sorgten veränderte Registrierungsschlüssel dafür, dass das CD-Laufwerk des Computers unbenutzbar wurde.

Die Dimension des Skandals war enorm:

Etwa 22 Millionen Computer wurden von dieser bösartigen Software infiziert, darunter auch Tausende in militärischen Einrichtungen. Das bedeutete teilweise eine immense Gefahr, da die Software anderer Malware auf dem System ermöglichte, sich besser vor Virenscannern zu verstecken. Erst nach einigem Hin und Her und wegen des wachsenden Drucks bot Sony knapp zwei Monate später ein funktionierendes Removal Tool an und rief die CDs zurück. Etwas vergleichbares hat sich ein Unternehmen seitdem nicht mehr getraut.

Der vollständige Artikel mit technischen Details zum Rootkit ist auf heise online verfügbar.

Kommentar: 10 Jahre Sony-Rootkit – Why we should care (c't magazin)

Sat, 31 Oct 2015 00:00:00 +0000

In meinem Kommentar zum 10. Jahrestag des Sony-Rootkit-Skandals warne ich vor den anhaltenden Gefahren durch Digitale Rechteminderung (DRM). Zehn Jahre nach dem Skandal, bei dem Sony Käufer:innen von Musik-CDs eine Schadsoftware unterjubelte, stehen wir heute vor wählerischen Kaffeemaschinen, spionierenden E-Book-Readern und Autos, die nur Ersatzteile bestimmter Hersteller akzeptieren.

Schlimmer noch ist aber der Verlust an Innovationspotenzial, den wir durch jedes weitere Produkt mit eingebauter Rechteminderung erleiden. Software oder Hardware der Zukunft wird immer auf der Benutzung und Modifikation der Geräte der Gegenwart aufbauen. Computer, in all ihren Erscheinungsformen, sind dabei die wichtigsten Geräte. Wenn diese essentiellen Werkzeuge künstlich beschränkt werden, schrumpfen die Möglichkeiten, mit ihnen Innovationen zu produzieren. Und anstatt Bestehendes weiterzuentwickeln, können wir es oft nicht einmal mehr selbst abändern oder reparieren.

Ich fordere ein positives “Right to Tinker” – ein Recht auf uneingeschränkte Nutzung, Modifikation und Experimentieren mit allen Geräten, die wir kaufen:

Wir benötigen also ein positives Recht auf uneingeschränkte Nutzung, Modifikation und Experimentieren mit allen Geräten, die wir kaufen (“Right to Tinker”). Uns müssen die Geräte auch tatsächlich gehören, die wir erworben haben. Das wird noch elementarer in Hinsicht auf das aufblühende Internet der Dinge, in dem noch viel mehr Computer um uns herum sein werden. Ob sie dann unsere Werkzeuge für Innovation sein werden oder solche zu unserer Einschränkung, müssen wir bald entscheiden. (mho)

Der vollständige Kommentar mit weiteren Details zu den gesellschaftlichen Folgen von DRM ist im c’t magazin verfügbar.

In The End Freedom Is What Matters

Wed, 25 Feb 2015 02:03:04 +0000

Yesterday I’ve been asked by a good friend of mine why I am investing so much time in the FSFE (Free Software¹ Foundation Europe) instead of putting more energy in other organisations with more focus on privacy issues. The background of his question is that I’m quite concerned about governmental and commercial surveillance and the lack of really private ways to communicate with each other and the impact this has on our online and offline behaviour. With Laura Poitras‘ recent movie „Citizenfour“ awarded with an Oscar, I use the media attention as an icebreaker to talk with my friends about these topics if the situation allows it.

Back to question which can also be read as „Why are you investing your time in Free Software instead of privacy which seems to touch you more?“. To be honest I had to think about this a bit. But then I remembered Jacob Appelbaum saying “[…] what people used to call liberty and freedom we now call privacy”. And I think that’s the reason why I stick with putting my energy as activist in FSFE rather than in other (very good!) organisations: Because I think that freedom is the foundation of everything we call privacy today and in the future. I’ll explain that in the following paragraphs. It already has been said in many blog posts, articles, press releases, and interviews from people in- and outside the Free Software movement that Free Software (sometimes also called Open Source) is the key to privacy, mostly because only Free Software is the only sane way how to publish serious encryption methods. Of course the very basis for encryption is trust, and trust is only gained by transparency and the possibility to look behind the scenes.

But for me, it goes much further than just the rational reason why Free Software is the basis for privacy programs. I invest my time in the FSFE because it’s about freedom. We can have as good privacy-enhancing tools as possible, without freedom they are worth nothing. I’m not (only) talking about physical freedom, but more about the freedom to interact with the society in a way one can determine. Imagine following – not unrealistic – situation: You can communicate with your friends anonymously over perfectly encrypted channels and this is good. But now your country’s financial office urges you to give information about your tax situation in an electronical way – which is only possible by using a proprietary (and therefore insecure) operating system. And inside the tax administration all your sensitive files reside on proprietary servers, are opened on insecure systems, and with zero transparency.

Or another example: You are oblidged by your internet provider to use their router and you’re not allowed to replace it by an alternative device. Even your country’s net agency or economical ministry allows it, which is the current state in many European countries. You may use Tor or VPN but you still don’t know if they track metadata like your connection times and volume, MAC addresses, number of connected devices, preferred anonymisation techniques, or phone call destinations. Or they just throttle all communication which they cannot read or which is directed to services like Tor.

In these cases software privacy is of little use. It’s about regulations, it’s about changing the toughts of political actors, it’s about dirty politics and dust-dry laws – and it’s about freedom. About our freedom of choice, not only which software we want to use, but also the ways we want to communicate, which devices and file format we want to choose, and the things we want to say publicly and not only encrypted in the dark. Privacy is necessary for situations in which we cannot speak or act freely, but freedom is the only way how to improve the world we’re living in so that we won’t have to fight for the right of privacy anymore. And freedom in all ways is what the FSFE stands for, not only by improving software but by informing the public and politicians, and by putting political pressure on decision makers. Because freedom is the foundation for a society in which someday privacy can be the most normal thing.

This, dear friend, is the reason why I volunteer for the FSFE – and therefore also for privacy.

¹ Means software which you are allowed to use for every purpose, which everybody can inspect, modify and redistribute

Freie Kommunikation ist die Essenz des Menschseins

Mon, 10 Nov 2014 13:15:19 +0000

Im Folgenden werde ich – durch meinen Gemütszustand etwas angefeuert – darlegen, wieso digitale Kommunikationsüberwachung Gift für unsere Gesellschaft ist, weil sie nichts anderes als Millionen Abhörwanzen und Kameras in unseren privatesten Räumen ist.

Seit einigen Monaten hat sich ein Grundkonflikt in den politischen Debatten verstärkt: Welche Kommunikation sollte überwacht werden dürfen und welche nicht? Ausschließlich inländische Kommunikation? Geschäftliche E-Mails? Telefongespräche über 20 Sekunden Dauer?

Und parallel dazu bekomme ich seit mehreren Monaten regelmäßig Wutanfälle, nämlich wenn ich Kommentare von „Experten“ und Laien lese, die solche künstliche Trennungen von Kommunikation und deren unterschiedliche Bewertung immer noch ernsthaft in Erwägung ziehen.

Wieso ist Kommunikation = Kommunikation?

Weil Kommunikation – in welcher Form auch immer – schützenswert ist und privat bleiben muss, weil wir uns sonst als Gesellschaft aufgeben. Es ist witzlos, gesetzlich eine künstliche Trennung zwischen Kommunikationsarten ziehen zu wollen. Nur die Ewiggestrigen können ernsthaft vorhaben, analoge und digitale Unterhaltung, Schriftwechsel und Meinungsaustausch zu trennen und deren Inhalt unterschiedlich zu behandeln.

Ja, die technischen Wege der Kommunikationsformen sind unterschiedlich: Bei der einen rege ich durch Muskelbewegungen Vibrationen in der Luft an, die bei meinem Gegenüber im Ohr zu sinnvollen Informationen verarbeitet werden. Bei der anderen schicke ich (un)willkürlich Nullen und Einsen durch Netzwerke, die durch immer noch atemberaubende Technik an der anderen Seite wieder lesbar werden. Doch die Qualität ist dieselbe.

Stellen wir uns einmal vor…

Nehmen wir ein realitätsnahes Beispiel: Frau und Herr Schuster.

Es ist in unser aller Selbstverständnis, dass diese beiden Personen sich private, intime oder auch komplett irrelevante Nachrichten zukommen lassen dürfen, die keinen Staat und kein Unternehmen dieser Welt etwas angehen.
Dabei sollte es ebenso common sense sein, dass es auch gleich sein sollte, ob einer der beiden Ausländer ist, sich im Ausland befindet oder beide beim bei einem deutschen E-Mail-Provider sind.
Es sollte auch vollkommen egal sein, ob die beiden sich die Nachrichten sprachlich, per Telefon oder digital zukommen lassen.
Ein weiterer logischer Denkschritt ist, dass sich dieses Recht auf private, unüberwachte und sichere Kommunikation nicht nur auf Eheleute, sondern auf jede natürliche Person beziehen muss, egal in welchem Verhältnis sie zueinander stehen.

Momentan ist in den meisten von uns der Gedanke verankert, dass das, was wir einer Person persönlich analog sagen, privat ist. Wir kommen nicht auf die Idee, dass sich zwischen dem einen und den anderen Ohr eine Abhörwanze befindet. Doch die Grenzen zwischen analoger und digitaler Kommunikation verschwimmen allmählich. Wenn ich heutzutage meine jugendlichen Gruppenkinder beobachte, wie sie ihre ersten Beziehungen pflegen, so wird klar, dass sie private und intime Informationen analog und digital gleich behandeln. WhatsApp und ähnliche Dienste ersetzen nicht persönliche Unterhaltungen, sondern nehmen einfach denselben Stellenrang ein. Deshalb schicken sie sich auch digital intime Bilder: Was für uns ältere Generationen nur im sprichwörtlichen Schlafzimmer möglich war, passiert nun in einem vermeintlich privaten digitalen Raum. Für die Jüngeren ergibt eine analoge Trennung in einem digitalen Raum keinen Sinn. Kommentare wie der unseres neuen EU-Digitalkommissars Oettinger über die Dummheit dieser Generation sind daher weitab der Realität.

Wanzen und Kameras verändern uns

Doch was meinen Gruppenkindern (zum Glück?) noch fehlt, ist der Sinn dafür, sein Verhalten zu verändern, wenn man sich überwacht fühlt. Wieder nehmen wir unser Beispiel der Familie Schuster. Würde der Mann der Frau noch schöne Worte ins Ohr flüstern, wenn er wüsste, dass seine Kommunikation möglicherweise von einem Geheimdienstler, Unternehmen oder einer Polizistin abgehört werden könnte? Ich glaube nicht.

Genauso wenig würde sie wahrscheinlich ihre möglicherweise sehr linke politische Denkweise in einem privaten Gespräch offenbaren. Wer weiß schon, welche politischen Kräfte in zehn oder zwanzig Jahren wirken und ob diese nicht auf Überwachungsmaterial von früher zugreifen, um die Bevölkerung „einschätzen“ zu können?

Kurzum: Menschen ändern ihr Verhalten drastisch, wenn sie sich belauscht und beobachten fühlen. Und bei einem weiteren Blick in die Zukunft wird dieses Dilemma noch stärker: Heute schreiben wir zwar E-Mails und Kurznachrichten und die Trennung zwischen analoger und digitaler Kommunikation ist noch einigermaßen verständlich. Doch wie sieht das in zehn oder zwanzig Jahren aus? Möglicherweise können wir uns da schon Gedanken schicken, E-Mails könnten intuitiv verfasst und dann beim Empfänger direkt hörbar abgespielt werden. Durch Virtual Reality-Technik könnte man auch bei räumlicher Trennung beieinander sein, über digitale Kanäle vernetzt.

Und jetzt stellen wir uns mal vor, jegliche digitale Kommunikation könnte auch in Zukunft – so wie heute schon selbstverständlich – überwacht, angezapft, gespeichert und ausgewertet werden. Und meine Gruppenkinder würden dann anfangen zu verstehen, dass sie bei jeglichem Kontakt, der nicht komplett analog und geheim stattfindet, überwacht werden würden. Wären die kommenden Generationen noch freie Menschen oder schlicht Gefangene in gläsernen Zellen, umzingelt von Wanzen und Kameras?

Als Jugendlicher hatte ich unglaubliche Vorfreude auf eine digitale Zukunft mit tausenden neuen Möglichkeiten. Heute habe ich Angst davor, was für eine Macht dort staatlichen und privaten Interessen zugeschanzt werden könnte und wie ich meine Verhaltensweisen dementsprechend anpassen muss, um mich nicht selbst zu stark verändern zu müssen.

Übertreibe ich nur oder geht es anderen auch so?

Wirklich sichere WhatsApp Alternativen

Fri, 21 Feb 2014 09:41:54 +0000

Nachdem diese Woche bekannt wurde, dass Facebook es endlich geschafft hat, WhatsApp-Gründer Jan Koum und Brian Acton mit einer stolzen Summe von rund 16 Milliarden US-Dollar zum Verkauf ihrer Firma zu bewegen, fragen sich viele, was sich nun in Sachen Privatsphäre ändern wird – und wie man dem entgegenwirken kann. In diesme Artikel werde ich erläutern, was man bei der Wahl des richtigen Messengers beachten sollte, warum Threema nicht die Lösung ist und was wirklich sichere Alternativen sind.

Grundlegendes

Prinzipiell geht es hier um zwei Aspekte von Datenschutz: Erstens der Schutz vor (halb)staatlicher Überwachung und zweitens der Schutz seiner persönlichen Daten vor privaten Konzernen, meist Werbetreibende.

Beides sollte jedem von uns sehr wichtig sein, denn WhatsApp befördert noch kritischere Daten als Facebook heutzutage. Wissen wir mittlerweile, dass wir vielleicht nicht unbedingt unseren 300 „Freunden“ auf Facebook unsere peinlichsten Momente per Video mitteilen sollten und dass dort vielleicht auch der künstige Arbeitgeber mitlesen kann, so chatten wir auf WhatsApp viel privater mit einer zweiten Person oder einer sich kennenden Gruppe. Die Hemmschwelle, mal eben lustig-peinliche Bilder zu schicken ist niedriger, genauso wie es einfacher ist, sich anzügliche Nachrichten und Medien hin- und herzuschicken. Bisher haben nur die wenigsten damit ein Problem gehabt, denn es blieb ja privat.

Das war allerdings schon vor dem Kauf durch Facebook nicht garantiert. WhatsApp hat sich zwar von Anbeginn an den Grundsätzen verschrieben, unabhängig zu bleiben und keine Werbung zu schalten, aber die Nutzungsbedingungen waren schon damals kaum privatsphärenachtend. Dass sich das durch den Einstieg von Facebook rapide ins negative verändern wird, sollte aber jedem einleuchten: Facebook lebt durch den Verkauf von Werbung und den Verkauf von persönlichen Daten.

Ein Paar schickt sich anzügliche Bilder und Texte? Na was wäre da angebrachter als Werbung Unterwäsche und Sexspielzeuge? Jemand schickt immer viele Bilder und Videos von Clubs und Festivals? Werbung für Nikon-Kameras und überteuerte Tickets wären da doch genau das richtige. Und damit nichts verloren geht, wird das alles noch auf unbestimmte Zeit gespeichert, inklusive Namen, Bild und GPS-Verlaufsdaten.

Die Suche nach den Alternativen

Jetzt geht in sozialen Netzwerken und in Onlinemagazinen die Suche nach Alternativen los – absolut berechtigt. Aber leider wird wieder nicht aus den Fehlern gelernt, die schon bei WhatsApp gemacht wurden: Wir vertrauen allzu oft dem bloßen Versprechen der App-Anbieter. Auch Jan Koum hat noch kürzlich gesagt, dass WhatsApp nicht verkauft wird und nicht auf Profit aus ist. Aber bei einer Summe mit 9 Nullen hintendran wird jeder schwach…

Threema ist dafür ein trauriges Beispiel. Der kostenpflichtige Dienst wirbt mit hohen Verschlüsselungsstandards, den meisten Funktionen von WhatsApp und sicheren Servern in der Schweiz – und wird deswegen von vielen teils seriösen Zeitungen als „der NSA-Ärgerer“ oder „sicherer Hafen für private Kommunikation“ gepriesen. Doch es gibt ein grundlegendes Problem mit Threema: Es ist keine Freie Software.

Freie Software? Was’n das? Freie Software wird oft auch als Open Source bezeichnet, also dass der Quellcode des Programms öffentlich ist. Dadurch kann jeder Interessierte den Programmcode auf Hintertüren und Schwachstellen untersuchen. Natürlich beherrscht das nicht jeder, aber es gibt genügend IT-Spezialisten, welche dies regelmäßig machen und somit einen großen Beitrag zur Sicherheit und Vertrauenswürdigkeit von gängigen Verschlüsselungstechniken beitragen: GnuPG (für E-Mails), Tor (zum anonymen Surfen) oder OTR (zum verschlüsselten Chat).

Freie Software (welche sich durch die Benutzung von freien Lizenzen definiert) geht auch einen Schritt weiter: Sie erlaubt jedem Menschen die Modifizierung des Programms und die Weiterveröffentlichung. Wird also der Entwickler einer Freien Software für Verschlüsselung aufgekauft und ist dadurch nicht mehr vertrauenswürdig, können Freiwillige den Quellcode kopieren, anpassen und unter einem anderen Namen wieder der Allgemeinheit frei zur Verfügung stellen. Somit geht eine Freie Software nicht verloren.

Freie Software hat übrigens nichts mit dem Preis zu tun, sondern ausschließlich mit den Freiheiten, die den Nutzern dabei garantiert werden: Das Recht, dass jeder für jeden Zweck die Software nutzen kann, dass man den Quellcode einsehen kann, diesen verändern darf und dann weiterveröffentlichen darf.

Wir können also nie nachprüfen, ob Threema seine Versprechen hält, die Daten der Nutzer nicht weiterzugeben. Und es ist auch nicht zu überprüfen, ob die Verschlüsselung nicht ein Leck hat, sei es wissentlich oder nicht. Und wenn Threema in ein paar Jahren von einem Silicon Valley-Konzern (wer denkt da auch an Google?) aufgekauft wird, gehören die Daten wieder mal nicht uns, den Usern, sondern dem neuen Besitzer – und alles war umsonst.

Es gibt weitere Anbieter, die viel versprechen, aber in der Hinsicht wenig halten. Dazu gehören etwa SilentCircle, Wickr und nahezu alle Apps, die „verschlüsselten Chat“ bieten, wenn man mal im Google Play Store sucht.

Andere Alternativ-Apps wie Hike, Line und Viber legen beispielsweise erst überhaupt keinen Wert auf Verschlüsselung und bieten dabei staatlichen Behörden, aber auch Hobbyhackern massenhaft Möglichkeiten, private Daten abzufangen.

Gibt’s denn überhaupt sichere Alternativen?

Ja, die gibt es, man muss sie nur finden! Sie müssen prinzipiell nur zwei Dinge erfüllen: Erstens Freie Software/Open Source und zweitens mit leistungsfähiger Verschlüsselung. Es gibt noch einige andere wünschenswerte Sachen, aber diese beiden sind grundlegend.

Einer der heißesten Kandidaten ist surespot für Android und iOS. Diese App nimmt Verschlüsselung sehr ernst und ist hoch leistungsfähig. Bilder- und Audioübertragungen funktionieren problemlos in hoher Qualität. Ein weiterer Vorteil ist, dass man das Konto leicht umziehen kann, da es nicht an eine Telefonnummer, sondern an einen frei wählbaren Nicknamen gebunden ist. Es ist also eine gewisse Pseudonymität gegeben.

Wird surespot das erste mal nach Start des Geräts geöffnet, wird man nach seinem Kennwort gefragt, das man bei der Accounterstellung angeben muss. Danach bleibt es im Hintergrund und fragt auch nicht mehr nach dem Kennwort, solange man sich nicht abmeldet.

Vorteile: Technisch die wohl ausgereifteste App

Nachteile: Bisher gibt keine Unterstützung von Gruppenchats und Videonachrichten.

Eine weitere App ist Telegram, auch für Android und iOS. Was als erstes ins Auge sticht ist die enorme optische Ähnlichkeit mit Whatsapp. Auch Telegram verspricht effektive Verschlüsselung, allerdings muss die wirklich effektive Verschlüsselung erst jedes mal manuell aktiviert werden – sehr schade. Von unabhängigen Experten wurde auch die Leistungsfähigkeit der Verschlüsselung bemängelt. Positiv ist aber, dass Gruppenchats möglich sind und auch sonst kaum Funktionen von WhatsApp fehlen.

Vorteile: Kaum ein Funktionsunterschied zu WhatsApp, grundlegende Verschlüsselung

Nachteile: „Secret Chats“ müssen jedes mal manuell aktiviert werden, Verschlüsselung ist nicht auf höchstem Niveau

ChatSecure für Android und iOS stammt vom renommierten Guardian Project, welches sich auf die Entwicklung von Apps für sichere Kommunikation konzentriert hat. Hervorstechend ist, dass es rein technisch die wohl sicherste Variante ist, da es auf OTR und XMPP aufsetzt und man auch seinen eigenen Server betreiben kann, also komplett unabhängig ist. Der eindeutige Nachteil ist, dass es eine andauernde Verbindung zum Server benötigt und dadurch ordentlich Batterie frisst. Dadurch kann man auch nicht chatten, wenn man offline ist. Zudem wird die iOS-Version leider durch das Apple-System alle 10 Minuten automatisch beendet.

Vorteile: Technisch hochgradig effizient, bewährte Verschlüsselung

Nachteile: Akkufresser, auf iOS kaum nutzbar, Gruppenchats nicht möglich

Ebenfalls erwähnenswert ist TextSecure (nicht verwechseln mit ChatSecure oben). Die Entwicklung dieser App ist etwas kompliziert, daher hier nur die Kurzzusammenfassung. Zu Anfang dieser App wurden Nachrichten verschlüsselt per SMS/MMS versendet, allerdings verursachte das zahlreiche Probleme, was den guten Ansatz getrübt hat. Das wurde jetzt über Bord geworfen und die Weiterentwicklung einer App ausschließlich auf Datenbasis (wie WhatsApp) hat begonnen. Diese wird Android und iOS unterstützen, Bilder, Videos und Gruppenchats werden auch dabei sein – und kostenlos soll’s auch werden! Zudem sind die Entwickler alle Größen in der Community.

Vorteile: Technisch einwandfreier Ansatz, state-of-the-art-Verschlüsselung

Nachteile: Bis zur Veröffentlichung von TextSecureV2 vergeht noch etwas Zeit, bis dahin nicht wirklich empfehlenswert.

Als letzte hier vorgestellte Alternative ist Kontalk zu nennen. Auch diese ist leider nicht uneingeschränkt zu empfehlen, da sie erstens nur auf Android funktioniert und zweitens momentan noch eine unausgereifte Verschlüsselung bietet. Das soll sich im Laufe dieses Jahres ändern mit dem Umstieg auf ein anderes Protokoll (XMPP), aber Unterstützung für iOS (was für den Chat mit Apple-Freunden leider notwendig ist) ist trotzdem nicht in Sicht.

Vorteile: Leichte Bedienung, gute Performance

Nachteile: Technisch mit leichten bis mittleren Mängeln, keine iOS-Unterstützung.

Also was nun?!

Schwer zu sagen. Es gibt bisher noch keinen eindeutigen Favoriten, den man uneingeschränkt empfehlen kann.

Auf kurze Sicht würde ich zu surespot oder Telegram raten, je nachdem, wie wichtig einem Gruppenchats und Videos sind. surespot ist dabei die sicherere Variante, Telegram die zugänglichere. Da aber der Erfolg einer App eh nur von der Nutzerbasis abhängt, wird es wahrscheinlich Telegram werden.

Auf lange Sicht hin lohnt es sich, TextSecure im Auge zu behalten. Wenn alles so wird, wie es momentan geplant ist, steht uns im Sommer ein Freudenfest für Datenschutz und Privatsphäre ins Haus! Auch heml.is, welches noch nicht veröffentlicht wurde, könnte ein guter Kandidat werden, allerdings gibt es noch kaum technische Hintergrundinfos und die sinngemäße Aussage, man versuche, so viel wie möglich Open Source zu machen, gibt einem zu denken. Also noch nicht zu häuslich in der WhatsApp-Alternative einrichten, mit Sicherheit kommt noch etwas besseres.

Nochmal: Threema klingt zwar toll, ist es aber allein vom Konzept nicht, da der Quellcode nicht öffentlich ist. Nur Freie Software schützt effektiv die Sicherheit und Privatsphäre von uns Anwendern – alles andere sind schlicht Werbelügen und hohle Phrasen.

PS: Während dem Schreiben habe ich noch einen netten Artikel gefunden, der nochmal einige Apps gegenüberstellt und dabei auch mehr auf die dahinterliegende Technik eingeht.

Why free choice of routers is a must

Tue, 14 Jan 2014 17:47:43 +0000

In my opinion, the latest NSA leaks reached a new level of boldness. Oh wait, maybe you are one of the people that keep saying “Of course NSA is spying on all of us, but I’m safe: I use Tor/VPN, deleted my Facebook account, and I completely switched to secure operating systems, so I got this going for me.” If so I congratulate you, these are important steps and I hope there will be more people like you.

NSA Headwater Implant

But as the introducting sentence states, the latest information of NSA’s mass surveillance goes much further than only spying in social networks and intercepting phone calls. This time, it’s about your home and your network itself. To be concrete: It’s about your router located somewhere in your rooms. Internal, top secret classified presentations show that NSA is actively searching for vulnerabilities in industry and home routers and is buying exploits if needed. And if all of these steps aren’t enough, they just implant a backdoor chip granting full remote access.

If you hear about an massively exploited vulnerability or a cooperating router vendor, I would expect you to switch the router or at least install updated/other firmware on the device. But what if you are not able to this because your Internet Service Provider (ISP) forces you to use his and no other device?

“That’s incredible!” you might think, but that’s the case in some countries and with some providers. They won’t give you your internet access credentials if you want to use a different device, or they simply use non-standard plugs and protocols. So you have a large group of people forced to use only one router model. We call this Compulsory Routers.

ISPs’ policies like this create many problems and some of those are

competition issues: If many ISPs do it like this, smaller competitors have no chance to sell their routers because they are not usable by any customer
technical issues: You want to use IPv6, VoIP or other technologies and devices? Maybe your ISP does not want you to use them or only his own products
security issues: If a large group of people are using only one router or one hardware vendor, and if this product/vendor is vulnerable, the whole mass is in danger. Maybe you heard this term in biology, but it’s also highly relevant in this case: monocultures

“And what has this to do with the NSA stuff?” More than you might think. Imagine a country with 4 big ISPs and all with Compulsory Routers. In the best case after some years, there might be around 10 router models from 5 vendors in use in most households and smaller/middle-sized companies. You don’t have to be paranoid to know that this is an open invitation for intelligence agencies to cooperate with the vendors or create remote attack tools for the few used router models.

If your router, the first device behind the connection jack in your wall, is compromised, your whole network is compromised as well, no matter how strong your encryption techniques or your passwords are. And we? We would just have to endure this because we cannot buy the technology we trust in and we cannot use alternative Free Software firmwares. So it’s self-evident that we as freedom loving people have to do something about this problem to secure our own IT infrastructure!

Compulsory Routers are not only a technical, but also a political one. In Germany, we have a similar situation and until now it’s not clearly regulated what ISPs are allowed to enforce. Some great volunteers have worked together with Matthias and me on this issue for a longer period and we had remarkable success.

But we’re still not done yet and there are many countries in which such policies are not forbidden or regulated yet. Maybe your’s is as well? If so or if you don’t know exactly, please read and contribute to our wiki entry where we wrote down many interesting background information, some argumentation guidelines, and tips how to stress the topic in media and public. If there are any questions, you can contact me anytime.

Mounting a SFTP storage in GNU/Linux

Mon, 13 Jan 2014 14:42:01 +0000

This (longer than expected) post explains how to transfer files securely between your device and an external storage. The first part may be useful for you if you only have little knowledge of terms like (S)FTP(S) and want to learn something about widely used technologies. The second part will help you to mount an external storage so you can manage all files as if they are on your local device and the third, fourth and fifth part will concentrate on easing the mounting process by the help of hostnames, Private/Public Keys and a shell script.

This guide will be very detailed and is also (and especially) suited for beginners. Maybe also some advanced users can learn something or give hints for improvements.

Update: With improving Bash skills and more time, I was able to heavily improve the script in the end. Have a look at my Git instance to download the latest version.

But let’s be honest: All in all, this post will show you again, why Free Software, GNU/Linux and Open Standards are great, easy to use and why Windows users are to be pitied.

Short excursus

(Nearly) everybody knows FTP. FTP is a protocol which enables you to transfer files between your device and a remote space. Maybe you want to present your documents or images to visitors of your homepage and simply want to upload these files on your webspace. In most cases this could be done by the use of a seperate program like FileZilla.

So far so good, but there’re several problems. Two of them:

FTP is insecure. Period.
Using an external program (and not your personal file manager) is really annoying if you want to edit the files very often. A realistic example: You have a complicated script running on your website which you’d like to edit in a graphical editor. Using an external client forces you to download the file, open it in your editor, save it and upload it again. Some FTP clients like FileZilla have the functionality to ease this pain in the a**, but trust me: after the twentieth reupload you want to toss your computer away…

Now we know why FTP is insecure. So what alternatives do we have?

There is FTPS – using the FTP protocoll in connection with SSL. Well, that sounds great because, you know, SSL is great to ensure the safety of your online banking and frightens away sniffing script kiddies. Forget that. FTPS is only securing the authentication process, the transfer of all files remains in plain text. So if you upload a sensitive document, it is fairly easy to intercept it on different levels in the uploading/downloading process. There is also the fact that FTPS is horrible to implement, not very compatible, and not very smart designed.

The best alternative in my opinion is SFTP (you are confused by all the abbreviations now? Wait for it, it gets better). SFTP uses a SSH connection to build a safe tunnel between your device and the remote storage. SSH is very smart, widely used and on most servers running a Free operating system it is preinstalled and needs no further configuration. SFTP enforces you to transfer your files fully encrypted through a secure channel.

But how to use it? You can use clients like FileZilla but do you remember the first problem I mentioned? Correct, an external editor is not what suits the needs of someone who wants to work with his files comfortably.

Mounting an external storage with SSH

This sounds more complicated than it really is. The theory behind it is very easy: You mount (link) a remote directory over SSH (a secure channel) in any desired directory on your machine. For instance, you can simply edit all files in /home/user/remote/ with your programs, but finally all changes will happen (nearly) instantly on your remote storage. This even works with watching a video file that is located on the server: Open it like a normal video file in a player like VLC and it behaves like it is locally on your PC (if your internet connection is fast enough, just test it!).

The only prerequisite: You need a server/webspace/storage with full SSH access. Unfortunately many webhosters don’t provide SSH access. If you belong to the unlucky ones, I recommend you to look for alternatives – it is worth it! (below this post, I added a very small list of webhosting providers offering SSH access)

Now we come to the technical part. For this post, following data is used. Most likely, this will look different in your case.

SSH-Server: server1.net
Username on server: client
Home directory of user on server: /home/client
Username local machine: user
Local mount directory: /home/user/remote/server1

On your GNU/Linux, please assure that following programs are installed. Some of them (ssh-askpass, zenity) are only used in step IV and V:

openssh-client, sshfs, ssh-askpass, zenity

Now create a directory in which the remote storage should be mounted in. Don’t worry about the space on your hard disk: This directory is remote and there are only temporary files stored on your local device. In this example I’ll use /home/user/remote/server1. It could also be /fsfe/lol/wtf/nsa/ if this directory would exist.

Now, start a terminal/shell to fill in following commands as a normal user.

ssh -p 22 client@server1.net

If asked for a password, fill in the password of ‚client‚ (the webhoster should have given it to you). If you are now connected to the server1.net, you are just one step away from mounting it. Close the connection or terminal, open it again and type:

sshfs -p 22 client@server1.net: /home/user/remote/server1/ -o follow_symlinks

This command connects to ‚server1.net‚ as the user ‚client‚ using the SSH protocol over the standard port 22. Then it mounts the home directory of ‚client‚ on the local directory ‚/home/user/remote/server1‚ which we created beforehand. Additionally we added the option ‚follow_symlinks‚ so that links of the server work on our local machine as well. If you have a look at /home/user/remote/server1, you should see the exact same content than in the home directory on your server or if you connect via FTP/SFTP. Congratulation! Now play around with it, try to edit, upload and download files.

To unmount (speak: disconnect) the directory, type

fusermount -u /home/user/remote/server1

Now you mount the home directory of ‚client‘. If you want to mount another directory on the server (e.g. /home/client/exchange), use this modified command:

sshfs -p 22 client@server1.net:/home/client/exchange/ /home/user/remote/server1/ -o follow_symlinks

In the next step, we will make the connection and mounting more comfortable, even if you are handling with more than one server.

Using hostnames

Now that you know how (and that) the system works, we will make it easier. Of course it is quite annoying to type in the whole server-address and port each time. Instead of sshfs -p 22 client@server1.net[…], you can simply type sshfs server1. How? Just open the SSH configuration file /home/user/.ssh/config with you desired text editor and add:

Host server1
  HostName server1.net
  Port 22
  User client

Save it and try to use this shortcut. It also works for normal SSH connection like ‚ssh server1‚. For the Host variable, you could use any name you can remember easily, for instance privateserver.

Using Public and Private Keys

Pretty smooth, isn’t it? Well, it gets even better! You have to admit that typing a password each time you connect is quite harrassing. This gets even worse if you are used to connect to many servers. On the one hand, you could use password managing tools… or Public/Private key authentication! For those who don’t know much about it, let me say: This sounds terribly complicated, but you don’t have to understand it completely.

For this guide, you only have to know: There are two keys (files). The one is private, you should never give it to anyone! It’s like a key to your safe, if someone achieves it, he can get everything that is secured in this safe. But the other file is public, you can give it to everyone if you want so. Now it gets a bit weird, so I try to make it as simple and abstract as possible.

Let’s say, the public key is a chest that no one except the owner can open. Inside this chest, there is a supersecret word that no one except the owner knows. You put an exact copy of this chest on your server and each time you try to connect, you say „Hey, I’m the legitimate user of this server. Give me my chest, I will open it with my secret key and tell you, what the supersecret word is!“. The server will give you the chest (public key), you open it with your private key and tell the server the supersecret word. If you were right, the server lets you in.

Note: This example is so ridiculously abstract that I had to laugh while writing it down. Every security expert, IT guy and cryptography scientist would knock me down for this but I hope it made you understand the principle of this very smart method. And if you ask yourself now „Why does the server know the supersecret word? Isn’t this insecure?“ or „Isn’t is insecure to send such a sensitive code word over the internet?“: You’re absolutely right! But be assured, that the public-key cryptography uses some awesome tricks to avoid security leaks like these and others. If you want to, read about it!

It is quite easy to make this system happen. Again we need a terminal to generate the two keys:

cd ~/.ssh/
ssh-keygen -t dsa

This neat script asks a.) in which file you want to save the new keys. The standard is set to /home/user/.ssh/id_dsa and I recommend this. Most programs automatically search for keys in this destination. In step b.) it asks you for a password. This is quite important because if someone achieves your private key, he still needs a password to use it. After this short procedure, you have two new files in /home/user/.ssh – id_dsa and id_dsa.pub. As you can imagine, id_dsa.pub is your public key, the other is the secret one.

Now we have to put the public key (chest) on the server we want to connect to. This could be done by a simple command:

ssh-copy-id -i /home/user/.ssh/id_dsa.pub client@server1.net

By this, you automatically connect as a legitimate user to your server (with the password used in step II) and put the public key in the /home/client/.ssh/authorized_keys. This file simply collects all public keys (chests) of users that are allowed to connect to the server. If a stranger tries to connect to your server but there is no chest his secret key belongs to, he of course cannot open the connection to your server.

Now disconnect from your server and try to connect via ssh server1. Your device should automatically search for your private key and open the connection with it. As you notice, you are still asked for a password. This is because you (hopefully) put a password on your private key (remember?). But after you typed in the password once, it should be saved for duration of your local session in a local keyring.

If this is not the case or you want to make your configuration even better, add the following lines on the bottom of your /home/user/.bashrc (or if you’re not using bash, the respective rc file of your shell):

alias ssh='ssh-add -l > /dev/null || ssh-add -t 7200; ssh'

By this, you say to your shell: „Everytime I type the command ’ssh‘, you should instead (alias) 1.) check if I already added my key to the local keyring. If not so (||), 2.) add my key to the keyring, but only keep it there for 7200 seconds (you can also keep this away or increase it). Only if you made this sure, use the command ssh to connect to my server“. Every command line program that uses ssh to connect to a server (and there are some, e.g. git, sshfs…) now uses this procedure – no matter if you close the terminal or lock the screen.

Of course, this also works with sshfs to mount your remote storages. If you remember our first line to mount the server, we have a much shorter line now without any password request:

sshfs server1: /home/user/remote/server1/ -o follow_symlinks

And these steps were quite important for the next section where we will write a shell script to make it much more easier – and even graphical!

Using a shell script

Our setting is very smooth now, but it could still be improved. If you want to connect to many servers and don’t want to use your shell every time or don’t want to remember the HOSTs you used in your .ssh/config, you’re free to modify and use this shell script:

#!/bin/bash

### VARIABLES TO BE CHANGED ###
# Preconfigured HOSTs in ~/.ssh/config that should be used
PRESSH[0]=server1
PRESSH[1]=server2
PRESSH[2]=server3

# Local directory where the remote storages should be mounted to
LOCALMOUNTDIR=/home/user/remote

### THE SCRIPT BEGINS HERE ###

# Add SSH key to local keyring if not already happened
function sshadd {
	ssh-add -l > /dev/null || ssh-add
}

# Choose preconfigured HOST to mount
function mount {
	if ! SSH=$(zenity --list \
		--height=300 \
		--text="Please choose. Cancel to unmount drives." \
		--title="Choose SSH server" \
		--column "Preconfigured SSH servers" \
		${PRESSH[*]}); then
		unmountquestion		# If you press cancel, it should ask you to unmount all drives
	fi

	# If you double click on an entry, it gives 'server1|server1' as result instead of 'server1'
	# This command cuts of everything after |
	SSH=$(echo $SSH | awk -F\| '{ print $1 }')

	# Make a local directory if not available
	if [ ! -e "$LOCALMOUNTDIR"/"$SSH" ]; then
		mkdir -p "$LOCALMOUNTDIR"/"$SSH"
	fi

	# Command to mount actually
	sshfs "$SSH": "$LOCALMOUNTDIR"/"$SSH"/ -o follow_symlinks &

	quitquestion	# one more ssh server or quit?

}

# Ask if all preconfigured SSHFS drives should be unmounted
function unmountquestion {
	zenity --question --text="Unmount all preconfigured\nSSHFS drives now?"
	if [ "$?" = "0" ]; then
		unmount		# unmount function
	else
		exit 0
	fi
}

# Procedure to unmount all preconfigured SSHFS drives and exit program afterwards
function unmount {
	for ((i = 0; i < ${#PRESSH[*]}; i++))
	do
		fusermount -u "$LOCALMOUNTDIR"/"${PRESSH[$i]}"
		echo ""${PRESSH[$i]}" unmounted."
	done
	exit 0
}

# Should another SSHFS storage be mounted?
function quitquestion {
	zenity --question \
	--text="Mount another SSHFS storage?"
	if [ "$?" = "1" ]; then
		exit 0
	fi
}

sshadd		# sshadd function

# Loop for endless mounts until stopped by unmount or unmountquestion
while :
do
	mount	# mount function
done

Save this script to some place (e.g. /home/user/sftp-mount.sh) and make it executable (chmod +x /home/user/sftp-mount.sh). For example, you are now ready put a shortcut in your panel or on your desktop to make it easily accessible. Please note that zenity, sshfs and ssh-askpass should be installed.

Please test the procedures written above on your servers and (if they have SSH access) webspaces. On my 4 webspaces and my vServer it works perfectly with my Debian Sid system. Please contact me or write in the comments if you have any problems or if some steps could be improved – nobody’s perfect :)

Appendix

I know following hosters that provide webspace with SSH access. This list is very short so please add more by writing in the comments!

uberspace.de (All plans, starting from 1,00€/mon, focussed on german residents) <– great hoster by the way!!
OVH.com (>= Business Hosting, 5,94€/mon)
HostGator.com (All plans, starting from 3,96$/mon)
All-Inkl.com (>= Premium, 9,95€/mon)
Hetzner.de (>= Level19, 19,90€/mon)