The first time spam pisses me off

There seems to be a new method to extract money via spam. This is the mail I got today:

Hi there.

I hope you will not really mind my english language sentence structure, because im from Germany. I toxified your gadget with a malware and now have your private information out of your os.

It previously was installed on a mature web site and then you’ve selected the video clip and it, my software quickly got into your os.

After that, your camera captured you going manual, furthermore i captured a footage that you have viewed.

Soon after a short while in addition, it picked up every one of your device contact information. If you ever wish me to get rid of your all that i have – transfer me 840 euros in bitcoin it is a cryptocurrency. It is my wallet address: 1K5CPpzHABZ7JXYDC7JRjok2a2FAerks6L

At this point you have 21hours. to make a decision The minute i will get the transfer i will eliminate this evidence and every thing thoroughly. Otherwise, please remember that this evidence is going to be forwarded to your friends.

I like how the domain it comes from is registered with an organization called “Volatile Game Cult”, and the IP it came from is of course Russian and I guess the wallet was opened just for this e-mail since it has no transactions yet.

I wonder what I can do because reporting it to the authorities will do exactly nothing I guess. I kind of dare to answer with something like “lol” and wait for the response. But should I do that or are there any dangers that might come with it? Mmm


According to Reuters, Apple will soon move keys for Chinese users to data centers in China, so that authorities can always access them. They have to for complying with Chinese law. But this shows why we need a decentralized infrastructure independent from big corporations.

More privacy in your online life

Clickbait is everywhere. This time it is privacy clickbait called “How to encrypt your entire life in less than an hour“. The article is mostly not about encryption but enhancing your privacy. The tips in short:

  •  Use 2 Factor-authentication
    You want this. If someone gets their hand on your password, they still need the second factor to open up your account
  • Encrypt your harddrive
    Even with computers you never move, you might want this. Just had a case in the family were a computer got stolen out of the home. With encrypted data at least the thief won’t be able to take advantage of them
  • Turn on your phone’s password protection
    Yep, 4 digits are worthless. Biometrics like your fingerprint can be easily copied1. Watch this talk to understand why:
  • Use different passwords for each service
    When someone opens up one account of yours, they have all your accounts if you always use the same password. Use a password manager to make your like easier. I use Enpass but Keepass and 1Password are good, too.
  • Send private text messages with Signal
    Signal trumps Whatsapp etc. I prefer Threema though. And in the end I still use Whatsapp for some contacts of Jabber with OTR or OMEMO depending on the contacts. Jabber with OMEMO is actually quite good. But on an iPhone Jabber is not that great. Thus stick with Signal or Threema, both are available on Android and iOS. Signal is free and open source. Threema is independent of your telephone number, costs a few bucks and isn’t open source2
  • Your browser’s incognito mode isn’t actually private
    Yeah. That just hides you from other users using your browser. There’s a reason why it is called porn mode.
  • Use Tor
    Yup, Tor will hide anonymize you better than most other stuff. The original article has tips how to use it on Android. On iOS there is Tob. If you want to improve your privacy further on your computer use Tor in Whonix. Or go a step further and use Tor in Whonix on QubesOS which gives you far more security than your OS or even Tails for even more privacy.
  • Use DuckDuckGo
    Yes, DuckDuckGo improves your privacy but unfortunately I have to switch too often to Google 😐

You see, most of the stuff isn’t actually about encryption. Thus some further tips.

You might want to think about e-mail-encryption with S/Mime or GPG. It is a PITA either way. But unencrypted mails are like postcards. And there is still the metadata
so e-mail is actually not that good. But if you have to use mail and want to send sensitive material, use GPG or S/Mime. Btw. if your doctor’s office wants to send you something about your case via mail, it probably breaks the legal requirement concerning confidential medical communication. And this can mean jail time in Germany for example.

In addition: when you use backups, encrypt those as well. It is great when your harddrive is encrypted, when your backup isn’t. Same for USB-sticks you carry around. For those you want to use something like VeraCrypt

Are you using Dropbox? Think again, loads of unencrypted data. Use something like SpiderOak instead. I sync personally nowadays with my own Nextcloud-server and do encrypted online-backups with CrashPlan. And I think about using Tarsnap.

  • And some more privacy-hints at the end:
    pay with cash and don’t use some card that will collect points for your shopping – those track you better than your credit card
  • when you use a Kindle know that Amazon knows what your are reading when and where you are in the book. I guess Kobo et al. are similar when connected to their service
  • Netflix and Spotify (et al) know the same about your movie and music-taste. But I guess books are more dangerous than movies and music. You rarely watch a several movies about how your government is a bad thing, how to topple it or convert to religions that several mad men are using for their cause.
  • log out of Facebook and Google or use an extra browser for them.
  • Use an ad-blocker. More privacy and digital self-defense against malware delivered by ads. I am using UBlock Origin.

I could go on depending on your level of paranoia. But that’s enough for thinking a bit about it. Oh, and read Little Brother3 by Cory Doctorow for the reasons you want more anonymity in your life. Btw. I do not follow all of that advice by myself but I try to improve.


  1. I am at fault here as well. The fingerprint-thing on the iPhone is sooo convenient

  2. But it is audited and there is a way to verify your messages

  3. available for free on that site

Passwords

What happens at the US-border of I just don’t know my passwords? I know only the password of my pw-manager and if I don’t have it with me, there is no chance that I could tell them my passwords


#IdontstandwithLinus

The #Gamergaters have a new hashtag: #IstandwithLinus. As everyone knows who read stuff from conferences or mailing lists where Torvalds speaks or writes, he seems too be a pretty big asshole. He created the Linux Kernel and for this I am grateful. It is an awesome project and helped to get free software a huge momentum.

But that does not justify that he is an asshole.

#IstandwithLinus apparently found its way onto Twitter because Torvalds explained that he does not really care about diversity and people once again called him out on it. And thus the #Gamergaters had found a new hashtag. And oh wonder, it is again about trashing women and trying to find ways to fight people who think we left the 50s and 60s behind us and not about ethics in game journalism. And they do it with the same means: they dox people, they threaten people and try to get to them in the meatspace. Just read the twitter-timeline of @Shanley.

The sad thing people like Torvalds or RMS1 probably do not care about it, so they won’t speak about it. I wonder if at least organizations like the Linux Foundation or the FSF will speak out or some other big FS/OSS-projects. Otherwise it is once again just a sad example how broken the open source-community is. Diversity is important and not being an asshole in social matters is important as well. It is astounding that people still develop for the Kernel while the project leader is just uncouth.

Who wants to know about why diversity is important, I can recommend this presentation by Lena Reinhard:

If you like Linux and free software you shouldn’t use the hashtag #IstandwithLinus. It just is another synonym for #Ihatewomen. You are hurting the whole project more than you do good. Actually you are doing no good at all, you just hurt Linux.

#IdontstandwithLinus


  1. Richard Ms. Stallman

Krypto-Fails

Es schreien ja in letzter Zeit so viele “Krypto, Krypto”. Und auch wenn es nur das Aspirin gegen den Kopfschmerz des Hirntumors ist, versuche ich Krypto zu benutzen. Und dann kommen immer wieder diese Fails von gerade den Leuten, bei denen man erwartet, dass es klappen sollte. Und ich frage mich: Wenn ihr schon die ganze Zeit davon erzĂ€hlt und es selbst nicht auf die Reihe bekommt, wie sollen es normale Menschen auf die Reihe bekommen?

Drei Beispiele, die mir spontan in den Kopf kommen:

  • Das SSL-Zertifikat von wiki.chaosradio.ccc.de war vor einiger Zeit abgelaufen. So richtig aufgefallen ist es, weil iOS sich dann geweigert hat die Seite zu besuchen. Es hat gefĂŒhlt Ewigkeiten gedauert bis ein neues eingespielt wurde.
  • Der Sub-Key von Netzpolitik.org fĂŒr submit@netzpolitik.org ist abgelaufen. Mal abgesehen davon, dass ich ne Weile gebraucht habe, bis ich gerafft habe, was das Problem ist, weil der Haupt-Key eben nicht abgelaufen ist, ist das schon ein wenig peinlich. Auf die Frage an @netzpolitik gab es nur folgende Antwort: “ja, steht auf der To-Do-Liste. Bis dahin kannst Du mir direkt auch eine verschlĂŒsselte Mail schicken.”
  • Ich habe heute eine Mail an ein eher öffentlich stehendes CCC-Mitglied, das den Eindruck eines Aluhuts hinterlĂ€sst und bittet, dass sein PGP-Key verwendet wird, geschrieben. Also Key importiert, verschlĂŒsselte Mail geschrieben (und es ging auch erstmal was schief, weil die angegebene Kontaktadresse nicht im Key ist). Und was bekomme ich als Antwort? Eine signierte aber unverschlĂŒsselte E-Mail, die den kompletten Inhalt der ursprĂŒnglichen Mail enthĂ€lt. War nichts weltbewegendes, aber ernsthaft?

Jetzt mal Butter bei de Fische: Wenn es der CCC mit SSL ewig nicht hinbekommt, Netzpolitik seine Keys nicht aktuell halten kann und bekanntere Aluhut-CCC-Mitglieder auf verschlĂŒsselte Mails mit unverschlĂŒsselten antworten, warum sollte man dann auch nur ansatzweise annehmen, dass Otto-Normal auch nur den Hauch einer Chance hat Mittel zur Kryptographie zu verwenden und zu verstehen? Warum sollte man es ĂŒberhaupt benutzen, wenn gerade die zumindest gefĂŒhlten Verfechter sich nicht mal wirklich die MĂŒhe machen?

Zu wenig Schmerz

“The silent majority is outraged!”

@tante

TL;DR: Die TotalĂŒberwachung der NSA und anderer Nachrichtendienste wird als Problem wahrgenommen, aber es tut nicht weh genug.

Heute habe ich mir den Vortrag von Jacob Appelbaum auf dem 30C3 angesehen. Das war schon ziemlich heftig, auch wenn ich Teile davon wusste. Und wie so oft in den letzten Monaten musste ich ĂŒber die ganze NSA-Sache nachdenken. Was es fĂŒr mich bedeutet und warum der laute Aufschrei fehlt. Die Medien berichten darĂŒber. Das Thema scheint die Leute zu interessieren, ansonsten wĂ€re es schon lĂ€ngst wieder aus den Medien verschwunden. Schließlich leben sie von Einschaltquoten und Verkaufszahlen.

Ich unterhalte mich auch immer mal wieder mit Menschen ĂŒber das Thema, die sich nicht in meiner Tech-Filterblase befinden. Die Meinung ist weitgehend: “Es ist schlimm, aber was soll ich schon tun?” Und wenn das GesprĂ€ch lang genug anhĂ€lt, dass VerschlĂŒsselung angesprochen wird, ist sie entweder zu kompliziert oder die Reaktion ist schlussendlich: “Und mit wem schreib ich dann? Benutzt ja sonst niemand.”

Also die ĂŒblichen und bekannten Probleme.

Aber vielleicht ist es auch noch etwas anderes. Ich kann mich noch sehr gut daran erinnern, dass vor ein paar Jahren viele Leute File Sharing betrieben haben, um nicht nur Linux-Distributionen herunterzuladen. Mit der Zeit ist es weniger geworden. Denn die EinschlĂ€ge kamen nĂ€her. Und wenn auf einmal die Abmahnung bei Freunden landete oder gar bei einem selbst, dann war Schluss damit1. So lang das aber nicht passierte, wusste man zwar um die Gefahren, machte aber munter weiter. Ich denke mit der TotalĂŒberwachung durch Nachrichtendienste ist es Ă€hnlich. So lang man die Gefahr nicht zumindest aus zweiter Hand erlebt, ist die Gefahr einfach zu fern, zu abstrakt. Es ist noch nicht mal ein “Ich habe nichts zu verbergen”, als ein “Mir wird schon nichts passieren”. Das Bewusstsein der Datenabgraberei durch Unternehmen und Staaten scheint vorhanden zu sein. “Warum soll ich meine E-Mails verschlĂŒsseln? Ich benutz Google Mail, die lesen doch eh alle meine Mails”, habe ich gerade erst heute zu hören bekommen.2 Ich höre von mehr Leuten, als ich erwartet habe, dass sie z.B. Facebook gar nicht oder sparsam benutzen. Sie wollen eben nicht, dass eine Firma sie plötzlich besser kennt, als sie sich selbst.

Der Schmerz ist einfach nicht groß genug, als dass man dagegen etwas tun möchte. Es gibt auch keine lauten BĂŒrgerrechtsgruppen3, die sich um das Problem kĂŒmmern. Ich sehe ja noch nicht einmal aus dem linksextremen Lager Poster oder Ă€hnliches. Und in der Gegend in der ich lebe, rufen sie auf Postern zu diversen Straftaten wegen der Gentrifizierung auf.

Die einzigen, die sich darĂŒber so sehr darĂŒber aufregen, dass sie nach weiteren Informationen zum Thema suchen und vielleicht sogar etwas schreiben, sind du und ich. Ja, du, der diesen Text gerade liest. Sonst hĂ€ttest du den Weg nicht hierher gefunden. Und was habe ich getan? Ich mache mir seit Monaten Gedanken und schaffe es nicht einmal mich zu ĂŒberwinden mein Betriebssystem zu etwas zu wechseln, das vermutlich etwas sicherer ist. Geschweige denn den Versuch zu starten mich mit anderen zu organisieren, damit das Thema in den Meatspace getragen wird. Der Schmerz ist einfach nicht groß genug.

“Gebt mit sechs Zeilen von der Hand des ehrlichsten Mannes, so werde ich etwas finden, um ihn an den Galgen zu bringen.”
— Armand Jean du Plessis Richelieu


  1. Und wechselte zu Streaming-Plattformen


  2. Ja, ich habe dann gleich drauf hingewiesen, dass Google dann nicht mehr die Mails lesen könne. Die Antwort darauf war, dass der Inhalt den Aufwand nicht wert sei und wenn das wirklich jemand bei der NSA liest, hat der Analyst der NSA es nicht anders verdient als an purer Langeweile zu sterben.

  3. Nein, im Netz dazu etwas zu schreiben ist nicht “laut” sein. StĂ€nde in FußgĂ€ngerzonen und auf Volksfesten haben ist laut, Flyer verteilen ist laut, Leute auf der Straße aufklĂ€ren ist laut, Politiker ansprechen, ihnen Briefe und Faxe schreiben ist laut.