Tag - Firefox

1
Browser-Checkliste für mehr Datensicherheit und Privatsphäre
2
Die besten Browseralternativen für Privacy-Freunde, Gamer und Medienliebhaber – Teil 2
3
Die besten Browseralternativen für Privacy-Freunde, Gamer und Medienliebhaber – Teil 1
4
Dein anonymer Internet-Trip
5
Selbsttest auf WebRTC-Leak
6
WebRTC: Viel Wind um Wenig
7
WebRTC: Aufgedeckt trotz VPN?
8
Die 4 heißesten Security-Leaks der Woche
9
Bugfix-Update CyberGhost 5.0.14.7

Browser-Checkliste für mehr Datensicherheit und Privatsphäre

In einer Gesellschaft, in der Internet-Analphabeten gute Chancen haben, EU-Kommissare für Digitale Wirtschaft zu werden, und man Datensparsamkeit als wirtschaftsfeindlich verleumdet, braucht man sich eigentlich nicht entrüsten, wenn man plötzlich Opfer dieser wunderlichen Mischung aus Ahnungslosigkeit, Unwissenheit, Fahrlässigkeit und wohl auch Einfältigkeit wird. Wie jüngst eine ganze Reihe deutscher Politiker, deren Surfdaten über Browser-Plug-ins ausspioniert und anschließend verkauft wurden. Zusammen mit Dutzenden Journalisten und 3 Millionen anderen Deutschen übrigens.

Photo: © Luis Llerena, https://stocksnap.io/author/4440 Lizenz: Creative Commons CC0 license

Photo: © Luis Llerena, Creative Commons CC0 license

Read More

Die besten Browseralternativen für Privacy-Freunde, Gamer und Medienliebhaber – Teil 2

Hier nun die Fortsetzung der besten Browseralternativen zum Mainstream …:

Teil 1 mit Browzar, Midori, Coowon, Lunascape und Torch findet ihr hier.

Maxthon Cloud Browser

Daten in der Cloud sind immer noch in, Snowden und mehrere Millionen US-amerikanische und englische Sicherheitsbeamten zum Trotz. Dies wissen die Platzhirsche unter den Browsern, die alles daran setzen, die letzten Zipfel Privatsphäre aus dem Netz zu entfernen, aber erstaunlicherweise auch die eine oder andere Alternativ-Surfstation wie der Maxthon Cloud Browser. Immerhin, versteckt wird hier überhaupt nichts und auf ein Feigenblatt wie Torrent-Downloads verzichtet man: Multi-Device-Browsing ist das Stichwort – und der Rückzug auf die Segnungen der globalen Vernetzung und nicht deren Ausnutzung durch Staat und Wirtschaft.

maxthon

Das zentrale Element des Maxthon-Browsers ist daher wenig überraschend der Cloud-basierte Account namens ‚Passport‘, der Browserdaten geräteübergreifend bereit hält für Windows, Linux, Mac, Android, iPhone, iPad und Windows Phone: Morgens liest man ein paar News an und in der U-Bahn oder Cafeteria dann den Rest. Das Teilen mit Freunden erfolgt per Push-Nachrichten innerhalb der Cloud – vorausgesetzt, die Freunde verfügen ebenfalls über ein Konto bei Maxthon.

Ebenfalls an Bord: Musikdownload in die Cloud, ein eigener RSS-Feed Reader, ein Notizblock, AdBlock Plus, ein Link auf die Maxthon Games Site und ein Lesemodus zur Anzeige von Webartikeln ohne störendes Beiwerk. Maxthon basiert auf einer Doppel-Engine (Trident und WebKit), entscheidet aber eigenständig, welche davon genutzt werden soll.

http://www.maxthon.com/

Comodo Dragon & Comodo IceDragon

Mit Firefox‘ Gecko-Engine ausgestattet, gehört Comodo IceDragon zu jenen Vertretern der Spezies, die sich einen erweiterten Datenschutz auf die Fahnen geschrieben haben und obendrein mit Geschwindigkeit punkten wollen. Hierzu scannt der Browser Webseiten, erkennt ungültige SSL-Zertifikate, Cookies und weitere Netzspione, nutzt eigene DNS-Server und blockiert bekannte Phishing- und Spyware-Plattformen. Wie Comodo all dies (angeblich) bewerkstelligt, bleibt allerdings ein Geheimnis des Anbieters. Diese fehlende Transparenz und eine eher unwillige Deinstallationsroutine stehen dementsprechend auch im Mittelpunkt der Kritik durch Anwender.

comodo

Wie bei Torch, dem Medien-konzentrierten Browser aus dem ersten Teil, erlaubt auch IceDragon das Ziehen markierter Inhalte an den linken oder rechten Rand – nur anders herum. Zieht man sie nach rechts, lassen sie sich auf sozialen Netzwerken teilen, zieht man sie an den linken Rand, startet eine Suche. Die Chromium-basierte Variante des Browsers hört übrigens auf den Namen Comodo Dragon, eine parallele Entwicklung nennt sich Comodo Chromodo Private Internet Browser, wobei es Unterschiede im Aussehen und beim Schutz der Privatsphäre gibt.

https://www.comodo.com/home/browsers-toolbars/icedragon-browser.php

SeaMonkey

Es war einmal: Ein Internet, das jede Menge Freiheit versprach. Das tut es noch heute – nur halt überwacht. Es war auch einmal: Eine Alles-in-eins-Internet-Suite, die alles Mögliche abdeckte, was man im und mit dem Internet so alles anstellen konnte. Das heißt, fast, denn einen letzten Vertreter gibt es noch: SeaMonkey.

SeaMonkey wurde 2005 auf Firefox-Basis gegründet, als Mozilla sich entschied, statt an einer Suite nur noch an Einzelanwendungen zu arbeiten. Als ein Community-Projekt von Fans für Fans richtet sich SeaMonkey in erster Linie allerdings eher an Hardcore-Webfans, die umso glücklicher sind, je mehr unterschiedliche Internetanwendungen sie unter einer Oberfläche unterbringen können. Und so besteht SeaMonkey aus einem Webbrowser (SeaMonkey Navigator), einem E-Mail-Programm mit Newsreader (SeaMonkey Mail & Newsgroups), einem HTML-Editor (SeaMonkey Composer) und einen IRC-Client (ChatZilla).

seamonkey

Erhältlich ist das Paket für Windows, Linux und Mac. Erstaunlicherweise fehlt ein Torrent-Downloader, aber immerhin, man kann ihn als Add-on nachrüsten – wohingegen andere Add-ons leider fehlen. Zwar ist man mit Firefox kompatibel, aber nicht alle Erweiterungen lassen sich problemlos installieren und so muss der Firefox-geübte Internetreisende auf das eine oder andere liebgewonnene Add-on verzichten.

http://www.seamonkey-project.org/

Vivaldi

Ebenfalls im Visier von Hardcore-Usern: Vivaldi, der vielversprechende Spross des ehemaligen Opera-CEOs Jon von Tetzchner. Bislang nur als technische Preview 4 für Windows, Mac und Linux erhältlich, konnte der neue Browser bereits einige Vorschusslorbeeren sammeln – trotz seiner aktuellen Einfachheit. Hierbei wird vor allem die Bedienbarkeit der Anwendung gelobt und die Keyboard-zentrierten Quick Commands für Power-User, die einen schnellen Zugriff auf offene Tabs und Browserbefehle über ein Pop-up-Fenster ermöglichen. Tabs lassen sich darüber hinaus zu Gruppen bündeln, indem man sie einfach übereinander legt.

vivaldi

Vom Aussehen her eine Mischung aus traditionellem Browser und moderner Oberfläche wie Chrome und Microsoft Edge, beinhaltet Vivaldi viele ehemalige und aktuelle Opera-Features wie eine linke Seitenleiste für Bookmarks, Kontakte, Downloads und Notizen und ein Speed-Dialer für den Schnellzugriff auf Lieblings-Websites. Auch der (noch funktionslose) Mailclient und die Notizfunktion, die vom aktuellen Opera aufgegeben wurden, kehren mit Vivaldi zurück.

http://vivaldi.com

Epic Privacy Browser

Wie Cowoon im ersten Teil der Browseralternativen und Googles Chrome basiert auch der Epic Privacy Browser auf dem quelloffenen Chromium – geht allerdings in eine komplett andere Richtung als die beiden. Wie der Name bereits andeutet, kümmert sich der Epic Privacy Browser vorrangig um die Privatsphäre des Anwender und eignet sich damit für jene, die es leid sind, Google und anderen Werbegrößen persönliche Daten hinterher zu werfen.

Der Browser unterschiedet sich oberflächlich zunächst nur wenig vom Original, verfügt aber über eine Vielzahl Privatsphären-schonende Features wie einen integrierten Proxy, permanent aktiviertes privates Surfen und Blocker für Drittparteien-Cookies sowie diverse Tracker. Wenig Toleranz hat man auch gegenüber Google-Konten, weshalb auf eine Möglichkeit zum Einloggen bei Google bewusst verzichtet wird. Dies mag so Manchem stören, aber Bequemlichkeiten wie Bookmarks zwischen verschiedenen Plattformen zu synchronisieren, haben nun einmal ihren Preis: in Form privater Daten.

epic

Was andernorts als Feature angepriesen wird, wird hier also nur dann als Feature angesehen, wenn es fehlt. Und so gibt es auch keine Adressenkomplettierung, keinen URL-Check, keine automatische Übersetzung, keinen URL-Tracker, keinen Fehlerreport, keine alternativen Fehlerseiten und Navigationsempfehlungen, keinen Verlauf, keinen DNS-Cache, keine Rechtschreibkontrolle, keinen Web-Cache, keine Auto-Empfehlungen, kein DNS-Prefetch und, als Krönung, auch keine Erweiterungen. Epic Privacy halt …

https://www.epicbrowser.com/

Die besten Browseralternativen für Privacy-Freunde, Gamer und Medienliebhaber – Teil 1

Man kennt es aus gefühlt Millionen Web- und anderen Internet-Beschreibungen: „Starten Sie Ihren Chrome, Firefox oder Microsoft Internet Explorer Browser und …“ Als ob es keine anderen Möglichkeiten gäbe, das World Wide Web zu erkunden, Musik zu hören, Videos zu spielen und generell den lieben Gott einen guten Mann sein zu lassen.

Gibt es aber, teilweise vielleicht ein wenig obskur, aber trotzdem häufiger als man meinen könnte. Gemeinsamer Nenner aller Browser-Alternativen: Sie basieren zwar nahezu komplett auf einen der bekannten Platzhirsche, haben sich aber stärker spezialisiert als diese: manche von ihnen Richtung Entertainment, manche Richtung Downloads und wieder andere Richtung Privatsphäre.

Browzar – Leichtgewicht mit XP-Charme

Mit der Internet Explorer Engine als Unterbau kommt Browzar daher und verspricht, deinen Online-Ausflug so privat wie möglich zu halten. Nicht etwa dadurch, dass man mit einem Porno-Schalter Privatsphäre vorgaukelt, wo keine ist, sondern dadurch, dass der Browser mit dem einfach merkbaren Namen den kompletten Web-, Flash- und Java-Cache in Echtzeit löscht, keine Besuchsverläufe speichert und die automatische Wortkomplettierung abschaltet.

browzar

Richtig groovy: Es gibt weder eine Installation noch Einstellungen und wegen der bereits in jedem Windows-System vorinstallierten IE-Komponenten wiegt der schlanke Privacy-Held nur 222 Kilobyte – was ihn dann auch zu einem merkbar flinken Gesellen macht. Darüber hinaus besitzt die Surfstation mit unverkennbarem XP-Charme im Aussehen einen Boss-Key, den man nur schnell genug finden muss, um alle Spuren zu beseitigen. Womit wirklich ALLE gemeint sind, denn hat man den Browser einmal verlassen, führt kein Weg zurück zum eiligst verlassenen Fundstück. Jeder Neustart der Software beginnt jungfräulich, egal ob von Festplatte oder USB-Stick aufgerufen.

http://www.browzar.com/download/

Midori – Open Source und fix

Ebenfalls ein Leichtgewicht, aber alles andere als XP-verdächtig: Midori. Auf systemschwächeren Linux-Plattformen eine relativ populäre, weil performante Lösung zur Erkundung des World Wide Web, existiert seit geraumer Zeit auch eine Windows-Variante, die sich perfekt auf HTML 5 und CSS 3 versteht und die wichtigste Sprache dabei nicht aus dem Auge verloren hat: Unterhaltung. Weshalb so wichtige Weggefährten wie YouTube, Spotify und Rdio garantiert unterstützt werden; der Flashplayer muss allerdings separat installiert werden.

Die Software ist ureinfach zu bedienen und reagiert schnell, was nicht verwundern mag, denn bis auf rudimentäre Funktionen zeichnet sie sich dadurch aus, dass sie auf alles andere komplett verzichtet. Noch ein Pluspunkt: Für Anwender, die mit USB-Sticks durch die Gegend ziehen und heikle Ausflüge nur über Rechner von Bekannten aus starten, gibt es eine portable Version.

midori

Für Privatsphärenfreunde hat der Light-Browser auch ansonsten genug an Bord: Adblocker, Script-Deaktivierung, Blockierung von Cookies Dritter, die Entfernung von Referrer-Details und das automatische Löschen des Verlaufs nach einer vorgegebenen Zeit. Voreingestellte Suchmaschine ist DuckDuckGo.

http://midori-browser.org/

Coowon – Der Browser für Gamer

Basierend auf dem quelloffenen Chromium, also die gleiche Basis, die auch Googles Chrome ausweist, wendet sich Cowoon in erster Linie an Gamer und unter denen wiederum an die Freunde Web-basierter Spielereien. So etwas wie Farmville, beispielsweise. Hierzu besitzt Cowoon eine Sidebar mit speziellen Funktionen für Dauer- und Gelegenheits-Daddler wie einen Mausklickzähler, ein Screenshot-Tool sowie einen Umschalter von Keyboard zu Gamepad und wieder zurück. Ebenfalls mit an Bord, wie schon beim Browzar: Ein Boss-Key für das flinke Heimlich-Manöver.

cowoon

Andere Funktionen, die Coowon zu einer überlegenswerten Alternative für Gamer machen:

  • Game Speed Control: Dein Game ist so schnell für dich? Zu langsam? Kein Problem. Cowoon legt die Zügel an oder hilft ihm auf die Sprünge.
  • Multi-Login Tab: Schon mal gefragt, wie du dich mit zwei Konten gleichzeitig auf Facebook einloggen oder mit zwei verschiedenen Charakteren gleichzeitig spielen kannst? Frag‘ nicht weiter. Nutze Cowoon
  • Drag To Go: Was war noch mal ‚FRA surveillance system’? Kopiere die Wörter, ziehe sie ein paar Pixel weit und lasse sie wieder los. Cowoon startet dadurch automatisch eine Suche via Google.

http://coowon.com/

Lunascape – Mit der Kraft der drei Herzen

Warum eine, wenn’s auch deren drei sein können? Lunascape kann gleich mit einer von drei Browser-Engines angetrieben werden: Trident (Internet Explorer), Gecko (Firefox) oder WebKit (jetzt Safari, früher Chrome). Ausgewählt wird die gewünschte Engine durch einfachen Mausklick in der Adresszeile.

lunascape

Wenig bescheiden gibt man sich auch im Funktionsumfang: Die Macher haben alle möglichen Funktionen integriert und dem protzigen Stück obendrein unter anderem einen Newsfeed-Scroller, einen RSS-Reader, automatische Backups, Mausgesten, URL-Blockliste und Skin-Unterstützung spendiert.

http://www.lunascape.tv/

Torch – Kein Preis für Privacy, aber gut für den Medien-Overkill

Die digitale Fackel möchte ein Leuchtfeuer für Musik- und Daddel-Liebhaber sein. Aus diesem Grund verfügt sie über einen YouTube-basierten Streaming-Service (Torch Music), Zugriff auf eine Sammlung Web-basierter Spiele (Torch Games) sowie einen integrierten Torrent-Client für massive (legale) Downloads.

torch

Ebenfalls recht nice: Zieht man im Fenster markierte Inhalte an den linken Rand, kann man sie auf sozialen Netzwerken teilen, zieht man sie an den rechten Rand, nach ihnen suchen oder sie erklären lassen. Das Highlight dürfte allerdings der leistungsfähige Audio- und Video-Downloader sein, der es erlaubt, Inhalte von Plattformen wie YouTube, Vimeo und Dutzenden anderen herunterzuladen.

Einzig Privatsphärenfreunde sollten dem Medienlieferanten nicht bis in den letzten Winkel vertrauen, denn es ist bislang noch unklar, wie die Macher ihr Geld verdienen – wenn nicht durch Auswertung der Surfgewohnheiten …

http://www.torchbrowser.com/

 

Dein anonymer Internet-Trip

Überraschung: So gut wie nichts, was du im Internet schreibst, sagst und anschaust, bleibt unbeobachtet. Es sind zwar nicht immer dieselben, die sich für dich und dein Leben interessieren, aber mittlerweile hat das Internet den Schritt vom größten Kommunikationswerkzeug aller Zeiten zur größten Überwachungsmaschine aller Zeiten hinter sich gebracht, und so gibt es zumindest immer jemand anderen, der gerade auf dich schaut. Wir zeigen dir, wie du trotzdem Spaß am Netz hast, ohne allzu viele Spuren zu hinterlassen.

Google weiß Bescheid, Amazon weiß Bescheid, Facebook weiß Bescheid, Twitter fängt gerade an, loszulegen, und nur du hast keine Ahnung, wer wo was über dich abspeichert und katalogisiert. Zeit, zurückzuschlagen und ein paar einfache Dinge zu beherzigen, damit die Datenberge über dich, deine Vorlieben, deine Freunde und jene, die du auf den Tod nicht ausstehen kannst, nicht noch größer werden.

Neugierig, was dein Browser gerade jetzt über dich ausplaudert? Dann lausche einmal hier hinein: http://www.maxa-tools.com/cookie-privacy.php. Mit dabei sind deine IP-Adresse, dein Browser, dein Betriebssystem, die Bildschirmauflösung, die aktuelle Zeit, Orts- und Providerinformationen, bei welchen Plattformen du angemeldet bist, welche Querverbindungen Cookies erlauben, und, und, und.

InternetTrip_001

Nicht so schlimm? Kommt darauf an, denn mit all diesen Daten bist du bereits komplett identifizierbar, wohin auch immer du von hier aus gehen wirst. Man bräuchte in diesem Moment zwar noch deinen Provider, um die aktuelle IP-Adresse dir persönlich zuordnen zu können, aber wenn du noch ein paar Mails absetzt und Facebook oder Google Plus besuchst, kann man darauf auch verzichten. Und wer von uns befindet sich noch quasi jungfräulich im Internet?

Das ist gruselig? Darauf kannst du wetten. Aber immerhin kannst du deine Privatsphäre aktiv schützen, wenn du dich anonym im Netz bewegst. Was du dafür benötigst, ist ein VPN. So etwas wie, keine Frage, CyberGhost! Denn die Browserfunktion ‚Privates Surfen‘ gaukelt zwar etwas Ähnliches vor, eignet sich allerdings nur bedingt bis überhaupt nicht. Sie sorgt zwar dafür, dass die anderen Nutzer deines PCs nicht wissen, wohin du dich bewegt hast, alle anderen hingegen, also die Datenspione im Internet und nicht bei dir zuhause, wissen nun, dass es jetzt erst so richtig interessant wird, weil du privat bleiben willst.

CyberGhost baut einen gesicherten Tunnel für dich auf, dessen Verschlüsselung Datenspione aussperrt und dich über einen der mehr als 500 weltweit verteilten CyberGhost-Server ins Internet entlässt. Für die Webseiten, die du besuchst, scheint es, als ob der CyberGhost-Server deine Adresse ist – und um ‚Kleinigkeiten‘ wie deine Browserkennung und dein Betriebssystem kümmern sich spezielle Filter, die du in den Einstellungen zum Programm aktivieren kannst. Angenehme Nebeneffekte: Bankgeschäfte werden auch in öffentlichen WLANs möglich, weil die Verschlüsselung Hacker abhält, und regionale Sperren, beispielsweise für Videos, greifen nicht mehr, wenn man über einen Server aus dem Ausland eingeloggt ist.

002

Weitere Schützenhilfe zum spionagefreien Surfen bieten diverse Add-ons, die es für nahezu alle wichtigen Browser gibt, wie beispielsweise das kostenfreie ‚TrackMeNot‘ für Firefox und Chrome, mit dem du Suchmaschinen verwirrst un003d beim Datensammeln durcheinander bringst, indem fiktive Anfragen versendet werden. Oder ‚Ghostery‘, mit dem sich Schnüffelwebsites enttarnen lassen. Auch eine solide Maßnahme: Der Rückgriff auf anonyme Mailadressen, wann immer dies möglich ist, beispielsweise bei einem Anbieter wie http://sofort-mail.de/.

Übrigens: CyberGhost gibt es auch als App für iOS und Android – und wer nur mal auf die Schnelle anonym surfen oder ungestört ein gesperrtes Video betrachten möchte, greift auf die Browser-Add-ons des umtriebigen Anbieters zurück, erhältlich für Chrome und Opera, die direkt im Browser arbeiten und auf Mausklick zur Verfügung stehen.

004

Selbsttest auf WebRTC-Leak

Die Wogen haben sich geglättet, trotzdem ist noch der eine oder andere Anwender besorgt, der verwendete Browser könnte die originale IP-Adresse über die Videochat-Technik ausplaudern (siehe auch ‘WebRTC: Viel Wind um Wenig‘).

Um festzustellen, ob ein Browser die Sicherheitslücke aufweist, besuche mit deinem Browser diese Testseite für WebRTC-Leaks und achte darauf, dass CyberGhost nicht aktiv ist:

  • Ist dein Browser betroffen, wird eine Warnmeldung ausgegeben (“Is WebRTC enabled = True”.
  • Schließe den Browser.
  • Starte CyberGhost, verbinde dich mit einem Server und warte 2 bis 3 Sekunden.
  • Starte deinen Browser erneut und drücke ‘F5’ auf der Tastatur, um den Browsercache zu leeren
  • Besuche die Testseite wiederholt.
  • Wird deine originale IP weiterhin angezeigt, lade und installiere die Erweiterung WebRTC Block für Chrome und/oder lade und installiere die Erweiterung Disable WebRTC für Firefox.

Update am 17.12.2015: Neue Testseite für WebRTC-Leak eingebunden …

 

WebRTC: Viel Wind um Wenig

Es rauscht kräftig im Online-Blätterwald: Browser-Videochat macht VPN-Schutz löchrig, heißt es dort. Oder: Firefox und Chrome verraten originale IP-Adresse. Oder: Deanonymisierung via WebRTC. Allerdings: Viel dran ist nicht, zumindest nicht, wenn man/frau hinter einem Router sitzt (wie 99 % aller Anwender) – und selbst in den Fällen, in denen die Meldungen Substanz haben, lässt sich das dazugehörende Problem mit wenig Aufwand komplett beheben.

Theoretisch betroffen vom derzeit hektisch diskutierten ‘WebRTC-Leak’ sind in den beschriebenen Szenarien alle Internetanwender, die einen aktuellen Webbrowser mit WebRTC zum direkten Videochatten verwenden, also in erster Linie Firefox und Chrome. Dort kann man das Protokoll zum Herausfiltern der originalen IP-Adresse eines Anwenders verwenden – trotz VPN.

Praktisch betroffen sind hingegen einzig Anwender, die sich direkt mit einem Modem ins Internet einwählen, da WebRTC so auf die verbaute Netzwerkkarte und die dort eingetragenen Adressen zugreifen kann. Mehr als 99 % aller Internetnutzer befindet sich allerdings hinter einem Router wie einer Fritz!Box, der nicht via WebRTC durchdrungen werden kann, und man/frau somit auch beim Nutzen der genannten Browser auf der sicheren Seite sind. Auslesbar sind bestenfalls die zu Trackingzwecken komplett wertlosen lokalen IP-Adressen des hauseigenen Netzwerk wie bspw. 192.168.178.xxx, die in jedem Netz gleichermaßen verwendet werden.

Selbsttest offenbart Lücke

Ob ein Browser das Auslesen der originalen IP-Adresse zulässt, kann jeder sehr schnell selbst herausfinden:

Starte CyberGhost und merke dir die angezeigte originale IP-Adressewebrtc01Öffne deinen Browser und besuche die Seite https://diafygi.github.io/webrtc-ips/. Dort werden dir verschiedene lokale IP-Adressen, wie sie in Millionen anderen lokalen Netzwerken zur gleichen Zeit zu finden sind, sowie deine originale IP-Adresse angezeigt.webrtc04Schließe den Browser (oder zumindest den Tab und drücke ‘F5’ auf der Tastatur).

Verbinde dich mit einem beliebigen CyberGhost-Server.webrtc02Öffne deinen Browser erneut und besuche wieder die Seite https://diafygi.github.io/webrtc-ips/. Dort findest du jetzt jetzt neben den bereits vorher sichtbaren verschiedenen lokalen IP-Adressen (die zum Tracking wertlos sind) nun nur noch die von CyberGhost verliehene neue IP-Adresse. Deine originale bleibt nach wie vor verborgen.webrtc03Hinweis: Es ist wichtig, dass du die zweite Abfrage in einem neuen Fenster machst, da die Webseite ansonsten nur die neu erkannten Adressen den bereits bekannten hinzufügt.

Update: Wir haben ebenfalls eine Testseite für WebRTC-Leaks aufgesetzt, auf der du deine Browser auf die Schwachstelle abklopfen lassen kannst:

  • Starte deinen Browser ohne CyberGhost. Ist er betroffen, wird eine Warnmeldung ausgegeben, dass deine IP-Adresse sichtbar ist.
  • Schließe den Browser.
  • Starte CyberGhost, verbinde dich mit einem Server und warte 2 bis 3 Sekunden.
  • Starte deinen Browser erneut und drücke ‘F5’ auf der Tastatur, um den Browsercache zu leeren
  • Besuche die Testseite für WebRTC-Leaks wiederholt.
  • Wird deine originale IP weiterhin angezeigt, verfahre wie unten beschrieben und installiere das oder die benötigte(n) Plug-in(s).

Abhilfe für Modemnutzer

Modemnutzer, die einen der betroffenen Browser mit WebRTC verwenden, können sehr schnell Abhilfe schaffen:

  • Chrome: Lade und installiere die Erweiterung WebRTC Block.
  • Firefox Lade und installiere die Erweiterung Disable WebRTC oder nehme die notwendigen Einstellungen manuell vor :
    • Trage in der Adresszeile des Browsers die Zeile ‘about:config’ ein (ohne Anführungszeichen)
    • Bestätige, dass du die Warnung zur Kenntnis genommen hast
    • Suche nach dem Wert ‘media.peerconnection.enabled
    • Klicke doppelt auf den Eintrag, damit sich der Wert (Value) von true auf false ändert

WebRTC: Aufgedeckt trotz VPN?

Eigentlich ist WebRTC eine prima Angelegenheit. Die Technik erlaubt Echtzeitkommunikation zwischen Personen, ohne den Browser verlassen und einen entsprechenden Dienst wie Skype ins Leben rufen zu müssen. Besser noch: WebRTC kommuniziert auch mit Rechnern hinter Firewalls und mit privaten IP-Adressen.

Möglich macht es ein JavaScript, mit dem Webseiten einen STUN-Server kontaktieren, um die öffentliche IP-Adresse abzufragen, mit der Browser wie Firefox und Chrome im Internet ausgerüstet sind. STUN ist ein Netzwerkprotokoll zur Vereinfachung des Datenempfangs von Geräten hinter Firewalls und NAT-Routern und wurde bislang in erster Linie zur VoIP-Telefonie genutzt.

Nicht so toll ist, dass Webseiten-Betreiber öffentliche STUN-Server wie stun.services.mozialla.com dazu bringen können, bei VPN-Verbindungen nicht nur die IP-Adresse des VPN-Servers preiszugeben, sondern auch die originale IP-Adresse, mit der sich ein Nutzer beim VPN angemeldet hat. Damit steht, abhängig von der jeweils besuchten Website, ein Werkzeug bereit, die IP-Adresse eines Anwenders auch dann in Erfahrung zu bringen, wenn dieser sich in einen VPN-Dienst eingeloggt hat und anonymisiert wird.

Abhilfe

Betroffen sind Browser wie Chrome und Firefox, die WebRTC direkt unterstützen. Abhilfe schaffst du in Abhängigkeit vom verwendeten Browser auf folgende Weisen:

  • Chrome: Lade und installiere die Erweiterung WebRTC Block.
  • Firefox:
    • Trage in der Adresszeile des Browsers die Zeile ‘about:config’ ein (ohne Anführungszeichen)
    • Bestätige, dass du die Warnung zur Kenntnis genommen hast
    • Suche nach dem Wert ‘media.peerconnection.enabled’
    • Klicke doppelt auf den Eintrag, damit sich der Wert (Value) von true auf false ändert

Nicht betroffen sind im Übrigen Anwender, die sich hinter einem Router befinden. Dann wird einzig die lokale IP des Rechners im lokalen Netzwerk angezeigt, bspw. 192.168.178. 12. Solche Adressen sind in allen lokalen Netzwerken gleichermaßen anzutreffen und besitzen zum Tracking keinerlei Wert.

Hinweis: Um zu überprüfen, ob deine Verbindungen mit CyberGhost sicher sind oder ob euer Browser im Zusammenspiel mit einem bestimmten Server das Auslesen der internen, externen und privaten IP-Adresse zulässt, aktiviert einen beliebigen CyberGhost-Server und besucht diese Seite. Dort sollte dann unter ‘Your public IP address’ nur die Adresse des VPN-Servers auftauchen!

Update: Wir haben ebenfalls eine Testseite für WebRTC-Leaks aufgesetzt, auf der du deine Browser auf die Schwachstelle abklopfen lassen kannst.

Nützliche Links, Quellen

Update: Der ursprüngliche Hinweis-Absatz lautete “CyberGhost-Server sind von vornherein auch in Bezug auf WebRTC sicher, da alle identifizierenden Daten ausgefiltert werden.” Dies führte zu Missverständnissen, die wir sehr bedauern. Ist ein Anwender direkt über ein Modem mit dem Internet verbunden, lässt sich die originale IP-Adresse auslesen, wenn die Browser nicht wie oben beschrieben entsprechend umgestellt wurden. Dies liegt daran, dass WebRTC im Prinzip keine VPN-Routen umgeht, um den VPN-Tunnel zu umgehen (was von CyberGhost verhindert werden würde), sondern durch die Hardwareverbindung in der Lage versetzt wird, die Netzwerkkarten-Informationen des Betriebssystems auszulesen.

Zur einfachen Überprüfung, ob ihr betroffen seid, veröffentlichen wir hier in Kürze übrigens auch noch eine eigene Testseite, die euch direkt anzeigt, ob eine IP leakt oder nicht.

Die 4 heißesten Security-Leaks der Woche

Was haben Android, Cameron, Adobes Flash-Player und Google Search gemeinsam diese Woche? Genau: Sie sind allesamt Sicherheitsrisiken – für Anwender (Android, Flash), für alle anderen (Cameron) und für liebgewonnene Wahrheiten bei Umfragen zur Sexualität bei Mann und Frau.

Google belässt Android-Sicherheitslücke
Eine gravierende Sicherheitslücke auf Millionen Smartphones und Tablets mit älteren Androidversionen lässt Google offensichtlich kalt. Laut Handelsblatt online will der Megakonzern die Lücke, die alle Androidversionen 4.3 und darunter betrifft, nicht adressieren und fordert stattdessen die Anwender und App-Entwickler auf, in Eigenregie Abhilfe zu schaffen.

Insgesamt soll es sich um elf Sicherheitslücken handeln, die rund 60 Prozent aller im Betrieb befindlichen Geräte betreffen, wobei die Anwender sowohl von den ehemaligen Anbietern als auch dem Hersteller des Android-Betriebssystems, also Google, im Regen stehen gelassen werden. Für die Anbieter der jeweiligen Geräte lohnt eine umfassende Update-Pflege nicht, da man eher daran interessiert ist, Neugeräte zu verkaufen, und Google spielt das Problem lieber herunter als Maßnahmen zu ergreifen. Entsprechende Anfragen ignorierte das Unternehmen zunächst, bis es sich schließlich zu einer offiziellen Bestätigung eines Entwickler-Blog-Eintrags aufraffte: »Die Zahl der Betroffenen sinkt jeden Tag, je mehr Leute ein Upgrade vornehmen oder ein neues Gerät bekommen.« Von wem sie es bekommen sollten oder an wen man sich wenden kann, damit man es bekommt, versäumte man allerdings, ebenfalls mitzuteilen.

Das Sicherheitsleck ist Teil der von Google entwickelten Webview-Technologie, die unter anderem vom hauseigenen Standard-Browser genutzt wird, dummerweise aber auch von Dritt-Apps, mehrheitlich kostenfreien, die sie zur Darstellung von Werbebannern verwenden.

Fix: Wer Zugriff auf Upgrades besitzt, sollte sie einspielen (ab Android Version 4.4 kommt eine sichere Webview-Variante zum Einsatz). Ist dies nicht möglich, empfiehlt es sich, einen anderen Browser als Standard zu definieren, bspw. Firefox oder Chrome. Bei Dritt-Apps sollte man in den Einstellungen überprüfen, ob sich eine Alternative zur Darstellung von Inhalten aktivieren lässt. Die CyberGhost App für Android kann bspw. auch mit der Intel Rendering Engine betrieben werden, allerdings besteht hier sowieso keine Gefahr, da nur eigene Werbung angezeigt wird.

Wichtige Links:

Cameron plaudert mit falschem Geheimdienstchef
Wie die Zeit heute berichtet, ist es einem Unbekannten gelungen, sich telefonisch erfolgreich als Chef des britischen Geheimdienstes GHCQ, Robert Hannigan, auszugegeben und den Premierminister ans Telefon zu bekommen.

Der unbekannte Mann wurde direkt bis Camerons offiziellem Mobiltelefon durchgestellt, wo er den Premierminister in ein Gespräch verwickelte. Camaron betonte, dass es dem Anrufer hierbei nicht gelang, an geheime Informationen heranzukommen, versäumte aber, die Dauer des Telefonats ebenfalls mitzuteilen. Sowohl der Geheimdienst als auch das Büro des Premierministers kündigten an, ihre Sicherheitskonzepte zu überprüfen.

Fix: Abwahl des Premierminsters, solange Großbritannien noch unüberwachte Wahlen zulässt sowie Auflösung des Geheimdienstes GHCQ wegen des Versäumnisses, den eigenen Premierminister effektiv auszuspähen und so vor Telefonterror zu schützen.

Kritische Sicherheitslücke im Flash-Player
Schnell geht anders, aber immerhin hat Adobe es nun doch endlich geschafft, die kürzlich bekannt gewordene schwerwiegende Lücke im Flash-Player zu stopfen. Seit dem Wochenende wird das Update per Automatik verteilt und seit Sonntag lässt es sich auch manuell herunterladen.

Die kritische Sicheherheitslücke erlaubt es Angreifern, beliebigen Schadcode in das Computersystem eines Anwenders einzuschleusen. Benötigt wird hierfür lediglich ein Exploit-Bausatz, mit denen selbst unerfahrene Hobby-Programmierer die notwendigen Routinen zusammenklicken können. Landet ein Surfer auf einer durch diese Kits präparierten Website, wird der Schadcode geladen. Richtig sicher ist man nicht einmal auf vertrauenswürdigen Seiten, da der Code auch über Werbe-Banner von Drittseiten verteilt werden kann.

Fix: Sofortiges Update des Flash-Players, entweder über die Automatik oder, falls sie ausgeschaltet ist, durch manuellen Download und anschließender Installation. Kurzfristige Abhilfe schafft die Deaktivierung des Flash-Plugins in den Einstellungen des jeweiligen Browsers.

Übrigens: Adobe verwirrt mit seiner Versionspolitik. Auf der offiziellen Flash-Player-Webseite entsteht fälschlicherweise der Eindruck, die Versionen 16.0.0287 (Windows, Mac) und 11.2.202.438 (Linux) sind die aktuell sicheren, was aber nicht stimmt. Über den Link unten erhaltet ihr die richtigen Versionen: 16.0.0.296 und 11.2.202.440.

Wichtige Links

Google Suchanfragen enthüllen sexuelle Unsicherheiten
Leider nur auf Englisch, aber hochinteressant, enthüllt ein Artikel der New York Times über Google Suchanfragen, wie wenig Umfragen in Bezug Sexgewohnheiten, Penisgrößen und andere wichtige Fragen der Menschheitsgeschichte mit der Realität zu tun haben. So ergibt nicht nur ein Vergleich der Häufigkeitsangabe zum Geschlechtsverkehr mit den Verkaufszahlen von Kondomen starke Diskrepanzen sowohl bei Männern als auch bei Frauen, auch scheinen die Unsicherheiten bei Mann und Frau sehr viel höher zu sein als allgemein zugegeben, vor allem bei Gerüchen und die ‘richtigen’ Größen von Geschlechtsmerkmalen.

Gleichzeitig wirft die Analyse aber auch die Frage auf, wie lange Menschen noch so ehrlich wie in der Vergangenheit nach ihren Bedürfnissen, Ängsten und Sehnsüchten googeln, wenn sie der Allgegenwart der Geheimdienste bewusst werden.

Fix: Alternative Suchmaschinen ohne Direktanbindung an die Geheimdienste und ein VPN zur Anonymisierung persönlicher Daten. 😉

Wichtige Links

Bugfix-Update CyberGhost 5.0.14.7

Ab sofort verfügbar: die jüngste CyberGhost-Windows-Version mit Bugfixes und internen Updates. Wie gewohnt, aktualisiert sich der Windows-VPN-Client automatisch mit dem Start der Anwendung.

Die neue CyberGhost-Version beinhaltet eine komplett neue Rendering-Engine zur Darstellung der Nutzeroberfläche, von der vor allem Nutzer älterer Windows-Plattformen wie XP und Vista profitieren, aber ebenso Anwender, die keineCG5n Internet Explorer installiert haben. Dort greift CyberGhost, das zur Darstellung der grafischen Oberfläche in der Regel den Internet Explorer von Microsoft in wenigstens Version 9 benötigt, dann automatisch auf die Gecko-Engine des Konkurrenten Firefox zurück. Die Performance beider Engines ist in etwa identisch.

Ebenfalls in der neuen Version adressiert wurden verschiedene Fehler und notwendige Aktualisierungen:

  • Beseitigung von Problemen mit einem lokalen Netzwerk und der CyberGhost-internen Firewall
  • Wiederverbindungs-Problem gelöst
  • Problem bei serverseitigen Verbindungsabbrüchen gefixt
  • IE-Rendering-Engine aktualisiert
  • Cache-Problem der neuen Rendering-Engine beseitigt
  • Firefox-Bibliotheken aktualisiert
  • OpenSSL aktualisiert

Copyright © 2014. Created by Meks. Powered by WordPress.