Kategorie: Programming

Lavabit macht zu

Nun wird euch der Name Lavabit absolut nichts sagen und von euch dürfte keiner wissen, was diese Firma getan hat. Da ist Abhilfe angesagt.

Lavabit war ein Freemailanbieter in den USA, der von einigen Leuten geschrieben worden ist, die mit dem Datenschutz von Gmail unzufrieden waren. Gmail speichert ja alles im Klartext und scannt Emails durch zur Anzeige nach Emails. Nun speichert Lavabit zwar prinzipbedingt auch alle EMails auf seinen Servern, verschlüsselt diese aber automatisch für die Benutzer. Wenn jemand nur die Server in die Hand bekommt und kennt das Passwort zum Öffnen des Schlüssels nicht, dann hat er lange zu tun, denn die benutzen da Schlüssel in Militärstärke.

Und so jemand sind eben nun die NSA. Edward Snowden hatte Lavabit eingesetzt, und da es eine US-Firma ist, sprachen die entsprechenden Behörden eben mal mit dem Hammer vor. Wer noch glauben sollte, die USA seien da auch nur in irgendeiner Art und Weise so etwas wie ein Rechtsstaat, der irrt.

Der Gründer von Lavabit hatte also nun die Wahl zwischen einer Zusammenarbeit mit den Behörden – was nichts anderes als einen transparenten und ständigen Datenzugriff auf seine Server zur Folge gehabt hätte – oder sein Kind zu schließen. Er entschloss sich für letzteres und schrieb dies:

I have been forced to make a difficult decision: to become complicit in crimes against the American people or walk away from nearly ten years of hard work by shutting down Lavabit. After significant soul searching, I have decided to suspend operations. I wish that I could legally share with you the events that led to my decision. I cannot. I feel you deserve to know what’s going on–the first amendment is supposed to guarantee me the freedom to speak out in situations like this. Unfortunately, Congress has passed laws that say otherwise. As things currently stand, I cannot share my experiences over the last six weeks, even though I have twice made the appropriate requests.

Und das ist so richtig übel: er schreibt, er habe die Wahl zwischen der Komplizenschaft in Verbrechen gegen das amerikanische Volk oder aber fast zehn Jahre harter Arbeit in den Papierkorb zu werfen und seine Firma zu schließen. Er hat sich für die Schließung seines Dienstes entschlossen. Er wünschte, er könnte sagen welche Ereignisse zu diesem Entschluss führten, nur darf er das nicht. Es gäbe zwar die „freedom of speech“, aber der Kongress hat Gesetze erlassen, die diese klar beschneiden. So, wie momentan die Sachlage ist, kann er die Ereignisse der letzten sechs Wochen nicht veröffentlichen, obwohl er schon zweimal den entsprechenden Antrag gestellt habe.

Wichtiger ist dabei auch noch dieser Satz von ihm:

This experience has taught me one very important lesson: without congressional action or a strong judicial precedent, I would _strongly_ recommend against anyone trusting their private data to a company with physical ties to the United States.

Diese Erfahrung habe ihm eine wichtige Lektion gelehrt: ohne Intervention des Kongresses oder aber einen juristischen Präzedenzfall könne er nur jedem davon abraten, seine privaten Daten einer Firma mit Standorten in den USA anzuvertrauen.

Anders gesagt: vertraut ihr eure Daten Google, Yahoo, Dropbox, Amazon S3 und anderen Firmen an, dann seid euch sicher, dass ihr alle in den Genuß des kostenlosen Backupdienstes der NSA kommt, ob ihr nun wollt oder auch nicht.

Natürlich verhält es sich mit Chats in Second Life nicht anders. Der frühere Emerald- und Phoenixviewer hatte ja eine Funktion mit an Bord, private Chats „on the fly“ zu verschlüsseln. Diese hieß OTR, sog. Off-the-record-Messaging. Diese Funktion war standardmäßig eingeschaltet und führte oft bei Benutzung mit anderen Viewern zu Problemen. Der Firestorm-Viewer hat OTR bis heute nicht mehr eingebaut, auch sonst ist mir kein Viewer bekannt, der das hätte.

Im Grunde war diese Funktion durchaus sinnvoll, wenn man Second Life für wirklich vertrauliche Kommunikation benutzen wollte. Denn auch bei Second Life gilt zweifelsohne: Freund hört mit. Nur da es diese nicht mehr gibt, sollte man wenn man auf Vertraulichkeit wirklichen Wert legt wohl besser heutzutage andere Kommunikationsdienste, wie beispielsweise Jabber, benutzen. Skype ist keine Lösung, da dies zwar im Prinzip sicher arbeitet und die Firma sich damit brüstete, aber in Wirklichkeit arbeiten die hinter den Kulissen schon seit Jahren mit den Behörden zusammen und stellen denen alles nur zur Verfügung, was man sich wünschen kann.

Und wer wirklichen Wert auf sichere Emails legt, der sollte zu PGP greifen. Eine Anleitung dazu auf Deutsch findet sich hier bei Netzpolitik. PGP ist im Moment immer noch sicher genug, dass Snowden darauf vertraut hat – also können wir das auch, es ist eines der wenigen Dinge, die beim momentanen Stand der Kryptologie für die NSA richtig eingesetzt noch nicht einfach knackbar ist.

PS: wer nun meint, bei Suchmaschinen sein Heil in DuckDuckGo gefunden zu haben: Vorsicht! Die werben zwar damit, dass sie nichts nachverfolgen und ansonsten freundlich sind, nur sind auch die in den USA. Auch da können die Geheimdienste abschnorcheln und tun es sicherlich, wenn sie es wollen schon längst.

Stichtag fürs Server Side Appearance Rollout: 9. Juli!

Das hier ist ein Datum, das sich jeder Benutzer von veralteten Viewern wie Phoenix und dergleichen gut merken sollte: der 9. Juli 2013.

Wie vom gewöhnlich gut unterrichteten Firestorm-Entwicklungsteam zu erfahren ist, plant Linden Research die endgültige Einführung des lange angekündigten Features der Server Side Appearance (SSA), einer Verbesserung im Rahmen des Project Sunshines, ab den 9. Juli 2013 oder kurz danach.

Wer ab diesem Datum also noch immer einen Viewer wie Phoenix benutzen sollte, der die dazu notwendigen Programmroutinen nicht enthält, wird fortan auf dem Grid nur noch haufenweise graue Avatare sehen. Es kann also keiner sagen, er wisse nicht Bescheid, denn SSA ist schon lange genug in der Mache und Linden Research hat schon lange genug angekündigt, was SSA bedeuten wird und dass es kommen wird.

Nun sind offensichtlich alle bösen Bugs eliminiert und SSA ist bereit für seinen großen Auftritt. Man darf gespannt sein, ob die Verbesserung der Qualität wirklich so drastisch ausfallen wird, wie Linden Research sich das erhofft und angekündigt hat.

Wer bis dato noch den Phoenix Viewer oder – hust – Imprudence einsetzt, der wird umsteigen müssen, wenn er noch Avatare in Farbe sehen will. 1er-Viewer, die das Feature unterstützen, sind beispielsweise der Cool Viewer von Henri Beauchamp oder aber der Singularity Viewer von Siana Gearz. Der aktuelle Firestorm unterstützt es natürlich auch und sollte inzwischen soweit fehlerfrei sein, dass man ihn wieder benutzen kann.

Auswahl an Viewern für jeden Geschmack gibt es also genug, und wer nach dem 9. Juli graue Avatare sieht, der ist eben selber schuld.

Alles so schlecht hier und überhaupt

Die Firestorm Version 4.4 stößt bei vielen gerade auf wenig Gegenliebe. Der einfache Grund: sie ist relativ fehlerhaft und macht keinen Spaß. Das kann bei einem Opensourceprojekt schon mal vorkommen, vor allem wenn die Firma Linden Research eben Druck macht und man gewisse Sachen einfach drin haben muss, wenn sie den Schalter umschalten.

Nun gibt es dazu passend auch den entsprechenden Heulthread in Slinfo. Sehr schön.

Was ich bei all diesen Sachen immer nie verstehe, ist folgendes: wenn alles so schlecht ist, und dieser Viewer so furchtbar – wieso benutzt man ihn dann noch? Es gibt genügend andere Viewer, die man genau so gut benutzen kann und wenn man mag, kann man ja auch die ältere Version benutzen. Alles kein Problem.

Und wer meint, Second Life sei voller Fehler und nur noch schlecht – was macht er dann noch hier? Warum ist er nicht schon gegangen? Es zwingt einen keiner dazu, Second Life zu benutzen, wenn man es nur noch unerträglich findet und es zwingt einen keiner dazu, einen Viewer zu benutzen, den man nicht mag.

Es ist nunmal so: die Entwickler um Firestorm arbeiten umsonst, das ist ihr Hobby und sie bekommen dafür gar nichts. Sie können tun und lassen, was sie wollen, und wenn sie keine Lust mehr haben, werden sie einfach aufhören. Fertig. Manchen Benutzern aber scheint in ihrem Anspruchsdenken das zunehmend aus dem Sinn zu entfliehen, denn sie halten sich für Kunden, die Ansprüche stellen können. Und das können sie nunmal eben nicht.

Opensim: mit Volldampf in die Vergangenheit!

Opensimulator hat ein schönes Feature namens Hypergrid. Das bedeutet kurz gesagt, dass egal wo man hingeht immer sein eigenes Inventar mitnehmen kann und – mehr noch – externe Sachen im eigenen Inventar landen. Das ist eine nette Sache und funktionierte anfangs recht gut.

Die Implementierung stammt von Diva Canto und die erste Version hieß Hypergrid 1.0. Diese war als Proof of Concept gedacht und lief dafür schon recht gut. Sie hatte allerdings einen konzeptionellen, großen sicherheitstechnischen Fehler: der fremde Simulator sah das komplette Inventar des Besuchers und der Assetserver des Besuchers arbeitete treudoof ohne die Überprüfung der Legitimität jedwede Anweisung des fremden Simulators ab. Das konnte einfach das Einpacken eines neuen Objektes sein, aber auch Löschanweisungen.

Da es keinerlei Sicherheitsüberprüfungen gab, war und ist es mit dem Stand von Hypergrid 1.0 möglich, dass ein fremder, bösartiger Server mein komplettes Inventar mal eben so löscht und ich selber bekomme das gar nicht mit. Nun sagen viele: weit hergeholt und davon habe ich noch nie etwas gehört. Tja, aber Jungs und Mädels, nur weil ihr es noch nicht erleben musstet heißt das noch lange nicht, dass es unmöglich ist. HG 1.0 hat einfach sicherheitstechnisch genau dieses riesengroße Loch in Form eines offenen Scheunentors, und ich bin mir sicher, keiner wird dafür die Hand ins Feuer legen, dass nicht doch irgendwo da draußen solche Simulatoren sein könnten und wenn man die dann besuchen sollte, dann hat man eben Pech gehabt!

Diva Canto sah das Problem und es wurde Hypergrid Version 1.5 geboren. Die wesentliche Neuerung dieser Version (es gab i5 und i7) war, dass es fortan einen recht schlechten und holprig zu bedienenden Ordner namens „My Suitcase“ gibt. Der fremde Simulator sieht fortan nur noch diesen und kann nur noch in diesem wüten, mehr aber auch nicht. Das ist ein erheblicher Zuwachs an Sicherheit, genau dafür ist es gedacht. Das Problem in der Handhabung des Ordners ist aber, dass die normalen Inventarfunktionen wie Objekte ins Inventar rüberziehen oder Zeug aus dem Ordner löschen nicht funktionierten und bockig sind. Ohnehin ist er nur als Übergangslösung für Hypergrid 2.0 gedacht, das inzwischen aktiv ist und alle drei Protokollversionen beherrscht. Man muss sich dabei eben für eine entscheiden.

Nun ist es also so, dass die Handhabung dieses Ordners viele Benutzer überfordert. Also was machen nun einige Grids? Sie steigen wieder auf die veraltete und in dem Punkt sicherheitstechnisch bedenkliche Protokollversion 1.0 für das Inventar des Hypergridprotokolls um und preisen das sogar noch als Fortschritt für die Benutzer an! So geschehen im Osgrid, Metropolis und Dorenas World.

Die genauere technische Erklärung dabei ist diese: Opensimulator verfügt inzwischen standardmäßig über Hypergrid 2.0, aber man kann das Inventarhandling wenn man will auf frühere Versionen „runterfahren“, um mit diesen kompatibel zu sein.

Übrigens hält die Macherin des Hypergrids von solch einem Schritt genau das: nämlich rein gar nichts. Aber lest selbst:

[UPDATE 9/23] I should be more clear. The existing HG1.5 inventory service, which lets users still access their entire inventory abroad, will still be available in the future. Grids can continue to use that. They can even use the normal inventory service (HG1.0 style) on the Hypergrid, which has no restrictions whatsoever about inventory manipulation. Both of these, however, especially the normal inventory service, are horribly insecure and expose users to all sorts of risks regarding their inventory. Unless the networked grids have 100% trust in each other, I don’t recommend using them.

Also ist das Downgrading auf das vrealtete Inventarhandling nun wirklich gut? Nein! Sicher, die Handhabung wird wieder für die Benutzer einfacher, aber wer um das Problem von Hypergrid 1.0 nicht weiß und nicht regelmäßig Backups seines Inventars erstellt, der wird möglicherweise irgendwann wenn er mal wirklich auf einen solchen Simulator treffen sollte nur noch dumm dastehen. Denn es hat schon seine guten Gründe gehabt, wieso Diva Canto „My Suitcase“ als notwendig erachtete und das ist eine Sache, auf die die Benutzer dieser Grids wohl kaum hingewiesen werden.