Aktuell wird über die Entscheidung des baden-württembergischen DatenschutzbeauftragtenStefan Brink diskutiert, sich von Twitter zu verabschieden. Dazu gibt es ganz unterschiedliche Meinungen und Einschätzungen. Hier meine persönliche Meinung: Twitter, Facebook und Co. sind US-Aktiengesellschaften, deren Zweck es ist, möglichst hohe Renditen…
Schlagwort: Kuketz IT-Security Blog
ImmobilienScout24: Premium-Funktion mit Bankkonto-Zugriff
ImmobilienScout24 bietet bei den kostenpflichtigen Premium-Funktionen die sogenannte »Mietzahlungsbestätigung« an. Das bedeutet: Nutzer können können diese Funktion nutzen, um einen regelmäßigen Gehaltseingang nachzuweisen bzw. auch, dass die aktuelle Miete regelmäßig bezahlt wird.Ich habe dann mal beim Support angefragt wie das…
GnuPG: E-Mail-Verschlüsselung unter Android – Nitrokey Teil4
1. Verschlüsseln / Entschlüsseln Sowohl der GPG-Hauptschlüssel (Signieren / Zertifizieren) als auch die beiden Unterschlüssel für die Verschlüsselung und Authentisierung wurden im zweiten Teil der Serie sicher auf dem Nitrokey abgelegt. Damit sind nun alle Voraussetzungen erfüllt, um euch weitere…
Nach DDoS-Angriff: DKB Bank nun hinter Cloudflare
Offenbar ist die DKB hinter Cloudflare abgetaucht, nachdem sie mit einem massiven Distributed-Denial-of-Service (DDoS) zu kämpfen hatten. Doch damit nicht genug, laut diversen Beobachtungen [1] [2] ist Cloudflare theoretisch in der Lage, sämtlichen (Daten-)Verkehr einzusehen – auch die vom Online-Banking…
JIT Compiler deaktivieren: Angriffsfläche von Firefox reduzieren
Vor ein paar Tagen gab es eine kritische Lücke im Firefox-Browser, die es Angreifern ermöglicht, Schadcode (bspw. über eine Webseite) auszuführen und die volle Kontrolle über den Rechner zu erlangen. Da es nun schon öfter kritische Bugs im IonMonkey JIT…
Datenkrake: Ein problematischer Begriff?
Der Begriff »Datenkrake« ist ein Schlagwort aus der politischen Diskussion um den Datenschutz. Er ist allgemein verbreitet und wird gerne in diesem Zusammenhang verwendet. Wikipedia fasst die Bedeutung schön zusammen: Mit dem Bild eines Kraken werden zahlreiche, weit reichende „Arme“ assoziiert.…
Tschüss Amazon!
Im Jahr 2020 schneide ich die letzten Zöpfe zu einer Datenkrake ab, die ich selbst noch die letzten Jahre genutzt habe: Amazon. Ich sage Tschüss und auf Nimmerwiedersehen. Bei einem Unternehmen, dass seine Beschäftigen mit Zeitverträgen abspeist, die Steuervermeidung meisterhaft…
Ergänzungswissen zu Blokada
Ich hatte mit Conny aus dem Blokada-Insider-Programm E-Mail-Kontakt. Hier ein paar von ihren Ergänzungen zum Blokada-Artikel für Android. 1. Die Auswahl der Hostlists in Deinem Artikel: 1.1. Prinzipiell: sehr gut! Jedoch für die meisten Nutzer zu RAM-intensiv, vor allem bei…
searx-Instanz: Dauerhaftes Katz-und-Maus-Spiel
Der Betrieb einer searx-Instanz ist und bleibt und Katz-und-Maus-Spiel. Wer also die Kuketz-Suche benutzt, der sollte Folgendes wissen: Ab und zu werden keine Ergebnisse geliefert. Die Gründe hierfür sind vielfältig. Der häufigste Grund ist: Suchmaschinen blockieren Instanzen, von denen zu…
Bundestag: ePetitionsplattform lässt E-Mail-Enumeration zu
Die Passwort-Reset-Funktion der ePetitionsplattform des Bundestags lässt E-Mail- bzw. User-Enumeration zu. Bei der Eingabe einer nicht vorhandenen E-Mail-Adresse bzw. Nutzeraccounts erscheint die Meldung: Für diese E-Mail-Adresse liegt kein Konto vor. Anders bei bestehenden Konten: Eine E-Mail wurde an Ihre Adresse…
Zu verkaufen: Fujifilm FUJINON XC15-45mm F3.5-5.6 OIS PZ Objektiv
Nein, das hat diesmal nichts mit IT zu tun – aber mit meiner zweiten Leidenschaft, dem Fotografieren. Ich habe hier ein Fujifilm XC15-45mm F3.5-5.6 Objektiv (schwarz) mit OIS zu verkaufen. Es ist neuwertig, nur einmal ausprobiert und die Firmware auf…
Petition gegen elektronischen Patientenakte (ePA): Keine zentrale Datenspeicherung
Ab heute habt ihr die Möglichkeit die Petition »Keine zentrale Datenspeicherung sämtlicher Patientendaten/Anschluss von Arzt- und Psychotherapiepraxen an die Telematik-Infrastruktur (TI) nur auf freiwilliger Basis« zu zeichnen. Auszug aus der Petition: Der Bundestag möge beschließen, dass Patienten keine Nachteile erleiden…
Beratungsplattform gewaltlos.de bessert bei Sicherheit und Datenschutz nach
Gestern erhielt ich eine ausführliche Rückmeldung der Beratungsplattform gewaltlos.de. Zur Erinnerung: Warnung vor der Beratungsplattform gewaltlos.de. Eine kurze Zusammenfassung der E-Mail: Der eingebettete JavaScript-Schadcode wurde entfernt (Code aktiv seit Juli 2018) Die Sicherheitsmaßnahmen wurden verbessert Google Analytics wurde entfernt Google…
Kommentar: Microsoft, Google, Apple und Co. aus Bildungseinrichtungen verbannen
1. Digitale Souveränität Keine Frage, meine Forderung, Microsoft, Google, Apple und Co. aus Bildungseinrichtungen zu verbannen, ist radikal. Mindestens genauso radikal oder vielmehr eiskalt kalkuliert ist das Vorgehen der IT-Konzerne, wenn sie mit ihren Dienstleistungen und Produkten in die Bildungseinrichtungen…
BAVC-Versicherung: Prinzip Friss oder Stirb
Gestern erhielt ich von der BAVC nachfolgende E-Mail: Sehr geehrter Herr Kuketz, ab dem 1.1.2020 hat der BAVC mit der ROLAND Schutzbrief-Versicherung AG einen zusätzlichen Partner für die erweiterten Leistungen Ihrer Mitgliedschaft im Mobilschutz EURO. Alle Leistungen gelten unverändert weiter,…
Zu verkaufen: Western Digital Green 3 TB SATA Festplatte inkl. Fantec Alugehäuse
Ich verkaufe eine Western Digital WD30EZRX Green 3 TB Festplatte, im 3,5 Zoll Format mit 5400 U/min, 64 MB Cache und SATA III. Die Festplatte ist einem schwarzen Alu-Festplattengehäuse von Fantec (DB-ALU3-6G) eingebaut und kann via USB 3.0 angesteuert werden.…
Android: Datensammler wie Google und Facebook via Skript aussperren
Bereits im Jahr 2017 habe ich ein Skript vorgestellt, mit dem sich Datensammler wie Google und Co. aussperren lassen. Die Idee hinter dem ASN-Skript möchte ich nochmal kurz anreißen: Das Ziel des Skripts ist die automatische Generierung von IP-basierten Blocking-Regeln…
OpenWrt-Upgrade einspielen – OpenWrt Teil7
1. Renovierung Das regelmäßige Einspielen von OpenWrt-Updates bzw. -Upgrades stellt eine der wichtigsten Maßnahmen gegen bekannte bzw. bekannt gewordene Sicherheitslücken dar. Bei einer zentralen Netzwerkkomponente wie einem OpenWrt-Router ist das zeitnahe Einspielen daher essenziell – immerhin ist ein Beinchen des…
Firewall | Kontrolle ausgehender Datenverkehr – OpenWrt Teil6
1. Paketfilter Eine Firewall kontrolliert und filtert Datenpakete zwischen Netzen. Sie stellt sozusagen einen kontrollierten Übergang dar und soll die Weiterleitung von Paketen verhindern, die eine mögliche Bedrohung für die Daten und Komponenten eines Netzwerks bedeuten könnten. Anhand eines Regelwerks…
Warnung vor der Beratungsplattform gewaltlos.de
Die Beratungsplattform gewaltlos.de möchte Mädchen und Frauen unterstützen, die Opfer von Gewalt sind. Ein hehres Vorhaben – allerdings hat die Seite offenbar ein ernstes Sicherheits- und Datenschutzproblem. Fassen wir die Beobachtungen zusammen: Die Finanzierung durch das Google Grants-Programm (siehe Sponsoren)…
Welche personenbezogenen Daten von einem Dritten übermittelt WhatsApp?
Im Rahmen der Artikelwünsche für die Weihnachtszeit 2019 ging folgender Wunsch ein: Mich interessiert, welche Daten von mir an FB übertragen werden, wenn Freunde Whatsapp benutzen. Ich stehe nicht in deren Telefonbuch – das haben wir vereinbart – aber was…
Kommentar: Android-Smartphone kinder- und jugendfreundlich einrichten
1. Medienkompetenz Mit dem Beginn der Schule stehen viele Eltern vor der Entscheidung, ob ihr Nachwuchs ein Smartphone bekommen soll. Mit dieser Entscheidung sind allerdings viele Fragen, Überlegungen und Fallstricke verbunden, mit denen man sich vor der Anschaffung beschäftigen sollte.…
VPN-Anbieter-Auswahl: Auf was man achten sollte
Im Rahmen der Artikelwünsche für die Weihnachtszeit 2019 gingen folgende zwei Wünsche ein: Ein Review zum VPN Anbieter Tunnelbear wäre wirklich schön! https://www.tunnelbear.com Mich würde ja mal so ein Vergleich der gängigsten VPN-Anbieter interessieren. Mit Fokus auf Sicherheit der Clients…
Kuketz-Blog: Jahresrückblick 2019 und Ausblick
1. Advent, Advent, ein Lichtlein brennt. Im vorliegenden Beitrag werfen wir gemeinsam einen Blick auf das ausklingende Jahr 2019 und lassen die Entwicklung des Kuketz-Blogs Revue passieren. Bevor wir durchstarten, möchte ich all meinen treuen Lesern und Unterstützern meinen ganz…
Datenschutzfreundliche Perioden & Zyklus-Apps
Ja, es gibt sie. Datenschutzfreundliche Perioden & Zyklus-Apps. Bisher konnte ich zwei identifizieren: Drip (Google Play Store) Periodical (F-Droid Store) Beide Apps sind quelloffen, haben keine Tracker integriert und arbeiten ausschließlich lokal. Es werden KEINE (Daten-)Verbindungen aufgebaut. Alle Informationen verbleiben…
Menstruations-App Clue: Facebook und weitere Tracker integriert
Da sich zahlreiche Nutzerinnen einen Test der Android-App Clue (Version 6.0) wünschen, habe ich sie einem Kurzcheck unterzogen – eine Perioden & Zyklus-App. Beginnen wir mit den Netzwerkverbindungen, die Clue während der Nutzung aufbaut. App-Start: Unmittelbar nach dem Start (keine…
searx: Dem Blocking von Startpage und Co. entgehen
Anfang November habe ich viel Zeit mit der Optimierung und Verbesserung der searx-Instanz www.kuketz-suche.de verbracht. Dabei stieß ich regelmäßig auf ein Problem, das die Benutzung der searx-Instanz praktisch unmöglich macht. Zur Erinnerung: […] Mit steigender Anzahl von Benutzern lieferten einige…
Stubby: Verschlüsselte DNS-Anfragen – OpenWrt Teil5
1. DNS over TLS (DoT) Anfragen zu DNS-Servern werden im Normalfall unverschlüsselt über den Port 53 (TCP | UDP) versendet. Das bedeutet: Selbst wenn ihr einen unzensierten und freien DNS-Server gewählt habt, besteht die Möglichkeit, dass jemand eure DNS-Anfragen mitliest und…
Mastodon: Twitter endlich hinter sich lassen
Twitter ist eine kommerzielle (Werbe-)Plattform, die aus meiner Sicht nicht unterstützenswert ist. Daher mein Appell: Kommt zu Mastodon – ob ihr weiterhin bei Twitter bleibt, ist natürlich euch überlassen. Das Fediverse kann allerdings nur dann wachsen und weiter an Bekanntheit…
Vorsicht: Neue Art des Trackings via CNAME-Cloaking
Das Katz-und-Maus-Spiel zwischen Privatsphäre-Hardlinern und den Tracking-Gammel-Buden geht in die nächste Runde. Diesmal: CNAME Cloaking, the dangerous disguise of third-party trackers – auf was für Ideen Menschen kommen… Abhilfe schafft uBlock Origin, wenn: aktuelle Beta installiert (mindestens 1.24.3b1) Firefox 60+…
Kuketz-Blog: Berufshaftpflicht bzw. Versicherungsschutz
Ab dem 1. Januar 2020 bin ich zu 50% bei der Dienststelle des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) angestellt – das dürfte mittlerweile bekannt sein. Die anderen 50% meiner verfügbaren Arbeitszeit werde ich hauptsächlich für den…
Krankheitsbedingte Ruhephase
In der Familie spielen wir gerade das Spielchen »wer steckt den anderen am schnellsten an«. Blödes Spiel, ich weiß. Das bedeutet: Ein paar Tage Pause für den Blog. Mitmachen: Du kannst den Blog aktiv unterstützen! Advertise on IT Security…
Startpage äußert sich zur Beziehung mit System1 LCC
Startpage hat nun reagiert und äußert sich in einem Blog-Beitrag. Zur Erinnerung: In its early years, Surfboard Holding had numerous shareholders. However, during its significant formative years, Surfboard Holding shareholders were substantially reduced to its core founders, who acquired a…
searx-Instanz: Nachtrag zu www.kuketz-suche.de
In den letzten zwei bis drei Wochen habe ich viel Zeit mit der Optimierung und Verbesserung der searx-Instanz www.kuketz-suche.de verbracht. Dabei stieß ich regelmäßig auf ein Problem, das die Benutzung der searx-Instanz praktisch unmöglich macht – im Beitrag »searx-Instanz: Einstellungen,…
NetGuard: Prüfung auf aktive Internetverbindung über www.google.com
Unter Einstellungen -> Erweiterte Optionen sollte der NetGuard Verbindungstest angepasst werden. Standardmäßig prüft NetGuard auf eine bestehende Internetverbindung über die Adresse www.google.com: Validate at: www.google.com Danke Jonas für die Info. Mitmachen: Du kannst den Blog aktiv unterstützen! Advertise on…
searx-Instanz: Einstellungen, Hintergründe und Infos zu www.kuketz-suche.de
1. Wer suchet, der findet Für das gezielte Suchen nach Informationen in den unendlichen Weiten des Internets benötigen wir Suchmaschinen, die Webseiten indexieren. Die Erstellung und die Pflege eines Index ist allerdings nur die halbe Miete, denn mindestens genauso wichtig…
Kuketz-Blog: Aktuelle Spendeninfos Monat November 2019
Anbei die aktuellen Spendeninfos vom 04.11.2019: Spender mit Dauerauftrag: 476 Monatliches Spendenaufkommen: ca. 1820,- € Höchste monatliche Spende mit Dauerauftrag: 42,- € Häufigste monatliche Spendensumme: 5,- € Höchste einmalige Spende im vergangenen Monat (kein Dauerauftrag): 100, – € Bereits mit…
7Mind Meditations-App: Ohne Google geht nichts | Anmeldung via Facebook?
Im Rahmen des Projekts »Datensendeverhalten: Analyse von Gesundheits-Apps« habe ich die App 7Mind Meditation & Achtsamkeit (Version 2.6.1) einem Kurzcheck unterzogen. Die Meditations-App soll die Achtsamkeit fördern und wird unter anderem von der BARMER-Krankenkasse empfohlen bzw. ist mit 7Mind eine…
Wire: Messenger zu 100% von einer US-Holding übernommen
Die Wire Swiss GmbH wurde Ende Juli 2019 von der Wire Group Holdings Inc., in Dover (USA) übernommen. Die Wire Swiss GmbH hat ihren Sitz weiterhin in der Schweiz – die Entwicklung erfolgt in Berlin. Wer Wire nutzt, sollte also…
ZEIT ONLINE: Erfolg gegen Facebook-Tracker
Nachdem Alexander S. nach der Vorlage von Matthias Eberl und mir eine Beschwerde gem. Art. 77 DSGVO gegen den Facebook-Tracker bei ZEIT ONLINE eingereicht hat, ist der umstrittene Tracker nun nicht mehr in die Webseite eingebunden. Die Datenschutzbeschwerde zeigt offenbar…
Doctolib: Vermehrt Meldungen über mögliche Datenschutzverstöße
Bei mir gehen immer häufiger Beschwerden über das Unternehmen Doctolib ein. Offenbar nutzen immer mehr Ärzte diesen externen Dienstleister, um Patienten per SMS an ihre Arzttermine zu erinnern – ohne zuvor die Zustimmung der Patienten eingeholt zu haben. Das dürfte…
Kommentar: Implantateregister-Einrichtungsgesetz – »Zu Risiken und Nebenwirkungen fragen Sie den Gesundheitsminister«
1. Bittere Medizin Man mag hinter dem Titel »Implantateregister-Einrichtungsgesetz – EIRD« zunächst die Spannung eines Beipackzettels vermuten. Was man allerdings zu lesen bekommt, ist eine konzentrierte Dosis »Gesundheits-Big Data«. Überraschen kann dies nicht, sofern man die Digitalcharta Innovationsplattform: D der…
Kuketz-Blog: searx-Instanz zu Firefox | Vivaldi | Chrome hinzufügen
Die neue searx-Instanz (www.kuketz-suche.de) lässt sich ganz einfach in Firefox | Vivaldi | Chrome hinzufügen. Zunächst die Anleitung für Firefox: Öffne die Startseite Klicke auf die Lupe (mit dem Plus-Symbol [1]) in der Suchleiste von Firefox Dort kannst du anschließend…
Datenschutz: Ausübung des Beschwerderechts gem. Art. 77 DSGVO am Beispiel ZEIT ONLINE
1. DSGVO Dem 34. Tätigkeitsbericht des Landesbeauftragen für den Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) sind im Jahr 2018 deutliche Steigerungsraten bei den Beratungen, aber auch Beschwerden zu entnehmen. Diese positive Veränderung gegenüber den Vorjahren ist auf die Datenschutz-Grundverordnung (DSGVO) zurückzuführen,…
Kuketz-Blog: searx-Instanz unter www.kuketz-suche.de verfügbar
Ab sofort biete ich euch unter der Adresse www.kuketz-suche.de eine searx-Instanz an. Aktuell befindet sich die Instanz noch für mindestens ein bis zwei Wochen in der Testphase, um die Einstellungen zu optimieren. Das soll euch allerdings nicht davon abhalten diese…
Jodel: Inoffizielle Stellungnahme zum Facebook-Tracker
Ein Leser stellte mir eine inoffizielle Stellungnahme zu meinem Blog-Beitrag »Jodel: Ständige Begleitung durch Facebook und Co.« zu Verfügung. Lest selbst – die Antworten von JodelHQ (Nummer 11): Mitmachen: Der Kuketz-Blog ist spendenfinanziert! Advertise on IT Security News. Lesen…
Keine Werbung und Tracker mit Adblock-Addon – OpenWrt Teil4
1. Beim DNS ist Schluss Ein Werbe- und Trackingblocker zählt heute zur Grundausstattung der digitalen Selbstverteidigung, um sich gegen die Auslieferung von schadhafter Online-Werbung (Malvertising) und datensammelnden Marketing-Unternehmen zu schützen. Mit dem adblock-Addon für den OpenWrt-Router möchte ich euch eine…
Ist die Suchmaschine Startpage noch empfehlenswert?
Im Support-Bereich der Startpage-Webseite befindet sich ein bedenklicher Eintrag vom 17. Oktober 2019 und auch eine offizielle Presseerklärung: Startpage, the world’s most private search engine, is owned by Surfboard Holding BV. Surfboard Holding is a privately held Dutch company registered…
Gesundheits-App: Alarm Medikamenten-Einnahme – Tschüss Privatsphäre
Im Rahmen des Projekts »Datensendeverhalten: Analyse von Gesundheits-Apps« habe ich die App Alarm Medikamenten-Einnahme (Version 8.69.08454) einem Kurzcheck unterzogen. Die App soll Menschen bei der pünktlichen Einnahme ihrer Medikamente und deren Dosierung helfen. Angeboten wird die App vom Anbieter Medisafe…
Kuketz-Blog: Projektübersichtsseite eingeführt
Über das Menü (oben) könnt ihr über Neu hier -> Projekte die Projektseite erreichen. Dort werden zukünftig alle Projekte aufgelistet, die von mir initiiert wurden und aktiv von Freiwilligen oder mir selbst betreut werden. Direktlink: Projekte Mitmachen: Du kannst den…
Web Key Directory: Enigmail verrät IP-Adresse an Empfänger
Der automatische Empfang von öffentlichen OpenPGP- bzw. GnuPG-Schlüsseln über Web Key Directory (WKD) ist im Grunde eine schöne Lösung. Im Beitrag »GnuPG: Web Key Directory (WKD) einrichten« habe ich beschrieben, wie man das einrichten kann. Allerdings gibt es auch einen…
DNS over TLS: Erfährt Google den ausgewählten DNS-Server?
Bezüglich DNS over TLS (DoT) ab Android 9 erhielt ich von einem Leser den folgenden Hinweis: Bei dieser Funktion habe ich etwas unschönes feststellen müssen. Zum Testen des DNS-Servers wird eine Test-DNS-Anfage gesendet. Dabei wird eine zufällige Domain mit der…
App-Analysen: Gesundheits-Apps im Fokus – Mithilfe erforderlich
Nach einem Vorschlag bzw. Entwurf von Gesundheitsminister Jens Spahn sollen Krankenkassen künftig die Kosten für bestimmte Gesundheits-Apps übernehmen: Verschreibt der Arzt bald nicht mehr nur Tabletten oder Krücken, sondern auch mobile Anwendungen für Smartphones, Smartwatches oder Tablets? Genau das sieht…
Kuketz-Blog: Ab Januar 2020 – Mitarbeit beim LfDI Baden-Württemberg
Ab dem 1. Januar 2020 bin ich zu 50% bei der Dienststelle des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) angestellt. Ich arbeite dann im Referat V »Technisch-organisatorischer Datenschutz, Datensicherheit«. Meine Aufgabe wird sein: Der Aufgabenbereich umfasst insbesondere…
Privacy Browser: Datenschutzfreundlicher Android-Browser
Den Privacy Browser für Android gibt es nun schon etwas länger im F-Droid Store. Da ich den Browser tagtäglich nutze, ist es nun mal an der Zeit von meinen Eindrücken zu berichten. Zunächst einmal solltet man wissen, dass der Privacy…
Kuketz-Blog: Neuer Link für den RSS-Feed des Hauptblogs
Aufgrund einer internen Umstellung hat sich die URL zum RSS-Feed des Hauptblogs geändert. Die URL lautet nun: https://www.kuketz-blog.de/category/artikel/feed/ Alle Optionen zur Übersicht: Option 1: Alle Beiträge in einem Feed Option 2: Die Beiträge von Blog und Microblog in getrennten Feeds…
Kuketz-Blog: Aktuelle Spendeninfos Monat Oktober 2019
Anbei die aktuellen Spendeninfos vom 08.10.2019: Spender mit Dauerauftrag: 470 Monatliches Spendenaufkommen: ca. 1805,- € Höchste monatliche Spende mit Dauerauftrag: 42,- € Häufigste monatliche Spendensumme: 5,- € Höchste einmalige Spende im vergangenen Monat (kein Dauerauftrag): 90,29 – € Bereits mit…
FairEmail: Datenschutzfreundlicher E-Mail-Client mit tollem Interface
Eine kurze Vorgeschichte: Bereits vor einem Jahr hatte ich FairEmail für Android ausprobiert, aber bereits nach ein bis zwei Tagen Nutzung wieder deinstalliert. Im Vergleich mit K-9 Mail war FairEmail einfach noch nicht so weit. Das hat sich geändert. FairEmail…
Packstation DHL: Einführung eines App-Zwangs
Ein Leser hat mal bei DHL nachgefragt, ob für die Nutzung der Packstation in Zukunft tatsächlich eine App erforderlich ist. Die Antwort von DHL: Guten Tag, Herr XY, vielen Dank für Ihre Nachricht. Im Zuge der Weiterentwicklung unseres Services werden…
Empfehlungsecke: App-Verkehr mitschneiden (Android | iOS)
Eine Frage die mir immer wieder begegnet: Wie kann man eigentlich selbst solche App-Reviews durchführen bzw. prüfen wohin Apps Daten übertragen? Ich habe mich diesem Thema nun endlich mal angenommen und die Empfehlungsecke um das Kapitel »App-Verkehr mitschneiden« ergänzt. Auszug: Viele…
Jodel: Ständige Begleitung durch Facebook und Co.
Am letzten Tag der App-Review-Week wird die Android-App Jodel (Version 5.52.0) einem Kurzcheck unterzogen – eine App, die dabei helfen soll, Menschen in der Umgebung in Echtzeit miteinander zu verbinden. Bspw. um Neuigkeiten, Infos, Events etc. voneinander zu erfahren. Beginnen…
Paket.net: Datenschutzfreundliche Paket-Verfolgungs-App
Am vierten Tag der App-Review-Week wird die Android-App Paket.net (Version 1.0.2) einem Kurzcheck unterzogen – eine App, mit der man Pakete von unterschiedlichen Anbietern (DHL, Hermes, UPS etc.) verfolgen kann. Beginnen wir mit den Netzwerkverbindungen, die Paket.net während der Nutzung…
Android: Screen-Inhalt mit ScreenStream | scrcpy auf den Rechner bzw. Beamer übertragen
Dank zahlreicher Tipps habe ich zwei Lösungen gefunden, mit denen sich der Android-Screen-Inhalt auf den Rechner übertragen lässt und von dort aus auf einem Beamer ausgeben lässt. Die beiden Lösungen bzw. Varianten möchte ich kurz vorstellen. Zunächst einmal die App…
Ada: Gesundheits-App mit Facebook-Tracker
Am dritten Tag der App-Review-Week wird die Android-App Ada (Version 2.48.0) einem Kurzcheck unterzogen – eine Gesundheits-App, die eine Vielzahl von körperlichen und seelischen Beschwerden bzw. Erkrankungen anhand von Fragen erkennen kann. Beginnen wir mit den Netzwerkverbindungen, die Ada während…
Garmin Connect: Facebook und Google dürfen auch tracken
Am zweiten Tag der App-Review-Week wird die Android-App Garmin Connect (Version 4.22.1) einem Kurzcheck unterzogen – eine App, die benötigt wird, um Fitness-Daten von Garmin-Geräten auszuwerten bzw. zu synchronisieren. Beginnen wir mit den Netzwerkverbindungen, die Garmin Connect während der Nutzung…
Enpass: Proprietärer Passwortmanager mit optionaler Cloud-Anbindung
Die App-Review-Week startet mit der Android-App Enpass (Version 6.1.0.227) – ein proprietärer Passwort-Manager, der optional eine Cloud-Anbindung mitbringt, um die Tresore bzw. Passwörter geräteübergreifend über eine Cloud zu synchronisieren. Beginnen wir mit den Netzwerkverbindungen, die Enpass während der Nutzung aufbaut. App-Start: Unmittelbar…
Hardening SSH- und LuCI-Webzugang – OpenWrt Teil3
1. Administrationsschnittstelle Ein OpenWrt-Router verfügt standardmäßig über zwei Administrationsschnittstellen: Die LuCI-Weboberfläche und der Zugang mittels Secure Shell (SSH). Generell sollte der Zugriff über diese zwei Schnittstellen zumindest über eine Passwort-Authentifizierung vor dem direkten Zugriff geschützt sein. Immerhin ist der OpenWrt-Router…
Datenskandel: Millionenfach Patientendaten ungeschützt im Netz
Heute Abend 21:15 Uhr in report München (ARD): Datenskandel im Gesundheitsbereich: Sensible Patietendaten offen im Netz Auszug aus Millionenfach Patientendaten ungeschützt im Netz: Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs, der Herzschrittmacher ist gut erkennbar. Es sind intimste Bilder, die über Jahre…
OpenSSH: Aktuelle Cipher-Suites für die Konfiguration
Gelegentlich sollten die Cipher-Suites bzw. Verschlüsselungsalgorithmen, die ein OpenSSH-Server anbietet, auf den neuesten Stand gebracht werden. Hier meine aktuelle Konfiguration für einen Server auf Debian GNU/Linux (Stretch) | /etc/ssh/sshd_config: ## Ciphers (Sep 2019) # Key exchange algorithms KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256 #…
Simjacker: Angriff über die S@T Browser Software
Gestern habe ich kurz über den Simjacker-Angriff auf SIM-Karten berichtet. Daran schließt sich heute eine Frage an. Der Simjacker-Angriff funktioniert offenbar über die sog. S@T Browser Software bzw. SIMalliance Toolbox Browser. Eine Anwendung auf der SIM-Karte, die von der SIMalliance…
PSD2 kurz vor Einführung: Wir werden zu Fischfutter
Der Kommentar von Jürgen Schmidt zur Einführung von PSD2 trifft den Nagel auf den Kopf: PSD2 und Open Banking bedeutet also keineswegs, dass wir mehr Zugriffsrechte auf unsere Daten und unser Geld bekommen. Oder dass der Open-Source-Gedanke jetzt auch die…
GnuPG: Web Key Directory (WKD) einrichten
1. Schlüsselfälscher Gefälschte Schlüssel sind ein echtes Problem bei der Nutzung von E-Mail-Verschlüsselung via PGP bzw. GnuPG. Jeder kann Fake-Keys für beliebige E-Mail-Adressen erstellen und diese auf die Keyserver hochladen. Mit diesem Dilemma hatte ich mich bereits ausführlich beschäftigt. Eine…
Zu Verkaufen: BQ Aquaris X Pro mit LineageOS 16.0
Verkaufe das BQ Aquaris X Pro, mit dem die Artikelserie »Take back control!« entstanden ist. Das Gerät ist neuwertig – es wurde ausschließlich zur Erstellung der Serie verwendet. Sogar die Folie auf der Rückseite ist noch vorhanden. Das neueste LineageOS…
Android-Systemeinstellungen & Google-Fallstricke – Take back control! Teil8
1. No more Google! Mit jedem Teil der Artikelserie »Take back control!« haben wir uns näher an das Ziel herangetastet, die Herrschaft und Kontrolle über unsere Daten zurückzugewinnen und die Datenkrake Google von unserem Smartphone zu verbannen. Trotz aller Bemühungen…
Blutspendedienst BRK: BayLD prüft Webseite (Facebook-Tracker)
Ihr habt ja vielleicht mitbekommen, dass das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) den Blutspendedienst des Bayerisches Roten Kreuz einer Prüfung unterziehen möchte – Hintergrund ist der Facebook-Tracker, der intime Gesundheitsdaten an Facebook übermittelt haben soll. Die Pressemitteilung zu der Thematik…
Empfehlungsecke: Google Alternativen
In der Empfehlungsecke habe ich das Thema »Google Alternativen« ergänzt. Auszug: Wer sich gelegentlich Gedanken um seine Privatsphäre macht, der wird feststellen: Gerade Unternehmen wie Google, Microsoft und Co. zählen heute zu den größten Datensammlern. Die nachfolgenden Dienste bzw. Anbieter stellen eine…
Kuketz-Blog: Aktuelle Spendeninfos Monat September 2019
Anbei die aktuellen Spendeninfos vom 02.09.2019: Spender mit Dauerauftrag: 466 Monatliches Spendenaufkommen: ca. 1790,- € Höchste monatliche Spende mit Dauerauftrag: 42,- € Häufigste monatliche Spendensumme: 5,- € Höchste einmalige Spende im vergangenen Monat (kein Dauerauftrag): 200,- € Bereits mit einer…
Android App Reverse Engineering Workshop
Unter Reverse Engineering versteht man: Die Rückgewinnung des Quellcodes oder einer vergleichbaren Beschreibung aus Maschinencode. Z. B. von einem ausführbaren Programm oder einer Programmbibliothek, etwa mit einem Disassembler (kann Teil eines Debuggers sein) oder einem Decompiler. Wie das unter Android…
Neuer Service: Terminal-Tools
Wer kennt das nicht, man möchte kurz mal was prüfen, aber dann fällt einem mal wieder nicht das passende Terminal-Tool bzw. Parameter ein. Daher stelle ich nun auf der Seite Terminal-Tools eine Sammlung nützlicher GNU/Linux-Terminal-Befehle bereit, damit man dort schnell…
OpenWrt: Update-Benachrichtigung für Packages
OpenWrt bietet aktuell keine (vernünftige) Update-Benachrichtigung für installierte Software bzw. Packages an. Das Einspielen von (Sicherheits-)Updates zählt allerdings zu einem der grundlegenden Gesetze in der IT-Welt. Daher habe ich zwei Skripts gebaut, die den Nutzer per E-Mail über verfügbare Updates…
Steckbrief: Zeit-Leser mit Facebook-Account
Folgenden Zeit-Online-Leser suchen wir: Jemand der hin und wieder dort liest Der sich über die Datenweitergabe an Facebook ärgert Der einen Facebook-Account hat und Zeit-Online als auch Facebook im gleichen Browser nutzt Wer diese Kriterien erfüllt, der meldet sich bitte…
Berliner Sparkasse: App-Zwang beim Bezahlen mit Kreditkarte
Folgenden Chatverlauf hat mir ein Leser und (ehemaliger) Kunde der Berliner Sparkasse zukommen lassen: Hallo XY, herzlich willkommen bei der Berliner Sparkasse. Vielen Dank, dass Sie gewartet haben. Mein Name ist K. L., was kann ich für Sie tun? XY…
Root- bzw. Jailbreak-Detection in Banking-Apps
Das Paper False Sense of Security: A Study on the Effectivity of Jailbreak Detection in Banking Apps befasst sich mit der Root- bzw. Jailbreak-Erkennung von Banking-Apps. Der Fokus des Papers liegt hierbei auf iOS. Mal ein paar Zitate: Banking apps…
Podcasts: IT-Sicherheit, Datenschutz, Netzpolitik
Gestern habe ich auf Mastodon nach euren Podcasts aus dem Bereich Informationssicherheit, Datenschutz und Privatsphäre gefragt. Hier eine kleine Zusammenstellung der Antworten: Logbuch: Netzpolitik Denkangebot Chaosradio Alternativlos Der Datenschuzt Podcast (bindet unter anderem Google-Fonts und Gstatic ein) Binärgewitter (nutzt Cloudflare)…
Flash OpenWrt auf FRITZ!Box 4040 – OpenWrt Teil2
1. Flashing Die FRITZ!Box 4040 wird vom alternativen Router-System OpenWrt unterstützt – aus Sicht von AVM nicht ganz freiwillig. Für ein kurzes Zeitfenster von etwa 10 Sekunden ist nach dem Neustart ein Zugriff auf den EVA-Bootloader der FRITZ!Box möglich. Via…
Kuketz-Forum: Diskutiert mit!
In den letzten Tagen gab es wieder ein paar Änderungen im Kuketz-Forum. Unter anderem wurden die Regeln | FAQ komplett überarbeitet: Das Kuketz-Forum legt großen Wert auf eine angemessene Diskussionskultur. Ein freundlicher und respektvoller Umgang mit anderen Teilnehmern sollte eine…
Kommentar: Der gläserne Passagier – Die Zukunft des Reisens
1. Die Daten reisen mit Viele Hotels, Airlines, Reiseveranstalter etc. befinden sich aktuell im Umbruch. Neue Technologien, die ein datenschutzfreundliches Verreisen erschweren bzw. unmöglich machen, werden langsam eingeführt oder sind es bereits. Es gibt bereits Hinweise, wie man datenschutzfreundlich Reisen…
Kuketz-Blog: Aktuelle Spendeninfos Monat August 2019
Anbei die aktuellen Spendeninfos vom 01.08.2019: Spender mit Dauerauftrag: 460 Monatliches Spendenaufkommen: ca. 1760,- € Höchste monatliche Spende mit Dauerauftrag: 42,- € Häufigste monatliche Spendensumme: 5,- € Höchste einmalige Spende im vergangenen Monat (kein Dauerauftrag): 100,- € Bereits mit einer…
FRITZ!Box 4040 und Netzwerkaufbau – OpenWrt Teil1
1. Routersoftware Seit dem 1. August 2016 haben wir in Deutschland keinen Routerzwang mehr. Das bedeutet: Nicht mehr der Internetanbieter (ISP) kann bestimmen, welchen Router ein Kunde zur Verbindung mit dem Internet nutzen muss, sondern der Kunde kann selbst entscheiden.…
fragFINN.de: Stellungnahme zur Kritik vom Kuketz-Blog
Ist mir erst jetzt aufgefallen: fragFINN.de hat als Reaktion auf diesen Blogpost von mir eine Stellungnahme veröffentlicht. Dort wurde meine Kritik offenbar nicht verstanden bzw. verharmlost. Zitat: Ziel ist es, zukünftig eine Open Source-Suchmaschine anzubieten. Daher arbeiten wir seit letztem…
Ausblick: Artikelserie über quelloffene Router-Software OpenWrt
Demnächst startet eine Artikelserie über die Linux-Distribution OpenWrt, die sich insbesondere für den Betrieb auf Routern eignet. Dazu habe ich mir eine Fritz!Box 4040 zugelegt, die das Aufspielen eines aktuellen OpenWrt-Images erlaubt. Folgendes wird die Artikelserie umfassen: Aufspielen der OpenWrt-Firmware…
Zu Verkaufen: IPFire Duo Box – Firewall-Appliance
Ich verkaufe eine IPFire Duo Box mit vorinstalliertem IPFire. Die Hardware eignet sich ebenfalls für die Installation von vergleichbaren Firewallsystemen wie OPNSense, PFSense und Co. Details zum Aufbau: Hochwertiges Aluminium-Gehäuse Abmessungen 134x108x55 mm Front 1x RS232, 1x USB 3.0, 1x Audio…
GnuPG-Public-Key-Authentifizierung – Nitrokey Teil3
1. Public-Key-Authentifizierung Sowohl der GPG-Hauptschlüssel (Signieren / Zertifizieren) als auch die beiden Unterschlüssel für die Verschlüsselung und Authentisierung wurden im letzten Teil der Serie sicher auf dem Nitrokey abgelegt. Damit sind nun alle Voraussetzungen erfüllt, um die Anwendungsszenarien vorzustellen. Zur…
mailbox.org: GMail-Auto-Responder
Aktuell teste ich den E-Mail-Service von mailbox.org. Im Rahmen dieses Tests habe ich meinen GMail-Auto-Responder auf die mailbox.org-Umgebung angepasst. Sofern ihr dies nachbauen wollt benötigt ihr das Sieve Add-On für Thunderbird. Dann geht ihr wie folgt vor: In Thunderbird: Tools…
Chatraum: Matrix-XMPP-Bridge deaktiviert
Der Chatraum ist mit sofortiger Wirkung nur noch über XMPP erreichbar. Die Matrix-XMPP-Bridge wurde deaktiviert. Sobald eine »richtige« Bridgelösung bereitsteht, gebe ich der Vernetzung nochmal eine Chance. Bis dahin ist der Chatraum ausschließlich via XMPP erreichbar – der Matrix-Raum wurde…
FaceApp: Facebook ist permanent dabei
FaceApp scheint gerade äußerst beliebt – obwohl die App schon länger auf dem Markt ist. Aufgrund des Hypes wollte ich mir den Datenverkehr mal genauer ansehen. App-Start: Unmittelbar nach dem Start (keine Interaktion des Nutzers) [1] Unmittelbar nach dem Start…
Öffi: Standortabfrage via Google-Standortdienst
Im Rahmen der App-Review-Week prüfe ich am letzten Tag die Android-App Öffi (Version 10.5.3-aosp) – eine App, die für die öffentlichen Verkehrsmittel, die Abfahrtzeiten von Bus und Bahn anzeigt. Beginnen wir mit den Netzwerkverbindungen, die Öffi während der Nutzung aufbaut.…
Unitymedia-Kunden: Widerspruch zum Vertragsdatenaustausch mit Vodafone
Kunden von Unitymedia sollten dem Vertragsdatenaustausch zu Werbezwecken mit Vodafone widersprechen – außer sie legen Wert auf Werbung bzw. Marketing. Über den geplanten Datenaustausch wurde ich persönlich nicht informiert, sondern ein Leser hat mich darauf aufmerksam gemacht. Auszug: Die Vodafone…
Firefox Preview: App-Tracking über Drittanbieter Leanplum
Die Preview-Version vom neuen Firefox beinhaltet App-Tracking über den Drittanbieter Leanplum: We help mobile teams orchestrate multi-channel campaigns — from messaging to the in-app experience — all from a single mobile marketing platform. Direkt nach dem Start und in regelmäßigen…
Android: Aufklärung über den Stand der Sicherheitsupdates
Um den Stand der Android-Sicherheitsupdates bzw. wie aktuell ein System ist, herrscht regelmäßig Verwirrung. Daher ist es mir ein Anliegen etwas Licht ins Dunkle zu bringen. Zunächst einmal gibt es drei Ebenen bzw. Komponenten, die von Sicherheitslücken betroffen sein können:…