Archiv für Februar 2011

Kundgebung: „Hände weg von unserem Fahrer!“ am 14. Februar in Erfurt


Auf einer Demonstration gegen die Räumung des Besetzten Hauses in Erfurt wird Thomas plötzlich von einem Greiftrupp der Polizei unter Einsatz von Pfefferspray aus dem Lautsprecherwagen gezerrt und festgenommen. Er soll einen Polizisten angefahren und sich bei der Festnahme gewehrt haben. Jetzt, zwei Jahre später, soll ihm nun der Prozess gemacht werden. Wir sind solidarisch mit Thomas und kritisieren polizeiliche Willkür und die Kriminalisierung von Protesten! (mehr…)

„Ihr reißt unsre Häuser ein – und wir solln die Chaoten sein“ – L14-Soli in Erfurt

Leider nur 30 Leute haben heute in Erfurt gegen die Räumung der L14 demonstriert und ihre Solidarität mit den Geräumten auf die Straße getragen. Es scheint, als hätten die Behörden schon mit so was gerechnet, auf jeden Fall stand ein ordentliches Kontingent Polizei bereit. Aber Selbstorganisation war stärker als repressiver Zentralismus: Während ein massives Polizeiaufgebot die Krämerbrücke (Punk- und Alternativentreffpunkt) scharf bewachte, ging’s an der Staatskanzlei ohne Begleitung los: Mit lauten Parolen, Flugblättern, einem kleinen Transpi und Pyrotechnik zogen 30 Leute von dort aus zum Anger, wo sich die Demo auflöste.
Die Krämerbrücke wird seitdem nicht mehr bewacht, dafür bewegen sich zahlreiche Einsatzwagen aufgeregt durch die Innenstadt.
Hier der verteilte Flyer:

Und hier ein Bild von Indy:

Jena: Sponti wegen Räumung Liebig 14

In Jena gab es eine Spontandemonstration aus Anlass der Räumung der Liebigstraße in Berlin. Indy berichtet:

Auch in der Jenaer Innenstadt wurde heute in den Abendstunden auf die Räumung der Liebig 14 aufmerksam gemacht.

Um 19Uhr sammelten sich heute in Jena ca. 50 Personen um ihre Wut über die Räumung der Liebigstraße in Berlin auf die Straße zu tragen und ihre Solidarität mit den Bewohner_innen der Liebig 14 zu vermitteln. Mit Feuerwerk und Parolen zog die Demonstration eine Runde durch die Einkaufsmeile in Jena. Nach einer halben Stunde löste sich die Demonstration ohne Zwischenfälle auf dem Markt auf. Kurz darauf traf die Bereitschaftspolizei ein und versuchte noch einzelne Personen mit Ausweiskontrollen zu schikanieren. Auch wenn die Räumung nicht verhindert werden konnte, so liegt unsere Stärke in unserer Spontanität. Wir demonstrieren wann und wo wir wollen, wir besetzten Häuser! Scheiß auf den Staat, scheiß auf die Bullen!

Unsere Solidarität gilt allen selbstverwalteten Projekten!

Gegen den Mietterror!

Schafft ein, zwei, viele autonome Zentren!

Unsicher chatten mit OTR

Wenn es um Sicherheit beim Chatten geht, schwören viele auf OTR – oft allerdings, ohne den OTR-Fingerprint zu überprüfen, wodurch das ganze technologische Zauberschloss durch eine kleine Nachlässigkeit in sich zusammenfällt.

OTR („off-the-record“) ist ein Verschlüsselungsprotokoll, das mehrerlei sicherstellt:
a) Verschlüsselung – niemand kann mitlesen
b) Signierung – d.h. die Identität der KommunikationspartnerInnen wird sichergestellt
c) Bestreitbarkeit und Verfall

Der Sinn der Verschlüsselung liegt auf der Hand — wenn Anna eine Nachricht an Christoph senden will, die Bert (der Netzwerkadministrator) nicht mitlesen soll, wird halt verschlüsselt.

Die Bestreitbarkeit und der Verfall unterscheided OTR von PGP. PGP-verschlüsselte Nachrichten kann man aufbewahren und auch Jahre später noch entschlüsseln. Wenn also durch eine Hausdurchsuchung ein PGP-Schlüssel an die Behörden fällt, können sie damit mitgeschnittene alte Nachrichten entschlüsseln und die beteiligten KommunikationspartnerInnen identifizieren. Das ist bei OTR nicht der Fall.

Die Signierung von Nachrichten stellt sicher, dass die Nachricht wirklich vom erwarteten Gegenüber kommt. Im obigen Beispiel signiert der OTR-Client von Anna automatisch die Nachricht. Der OTR-Client von Christoph überprüft die Signatur und gibt eine Warnung aus, wenn nicht sichergestellt ist, daß sie wirklich von Anna kommt: „Nicht verifizierte Unterhaltung mit Anna“. Christoph versteht nur halb, was das bedeutet und fängt an zu chatten. Denn er ist sicher, er würde sofort merken, wenn Bert sich als Anna ausgeben würde, schon allein wegen der Rechtschreibefehler.

Nunja, Bert ist gewitzt. Er gibt sich nicht einfach „von Hand“ als Anna aus, sondern er schneidet die Kommunikation mit. Wenn Annas OTR sich mit Christoph verbinden will, hakt er ein und verbindet sich mit Anna. Er entschlüsselt Annas Nachricht, verschlüsselt sie mit seinem OTR und leitet sie weiter zu Christoph. Der erhält die Nachricht von Anna, signiert mit dem OTR-Schlüssel von Bert. Da er nicht auf Signaturen achtet, chattet er munter drauflos und erzäht, was Bert wieder für einen Mist gebaut hat… Der Man-In-The-Middle-Angriff auf OTR war erfolgreich:

Zu aufwändig? Weit hergeholt? Hier gibt es den Quellcode für einen solchen Angriff zum Download. Wer Zugriff auf einen Jabber-Server hat, hat in einer halben Stunde die Kommunikation lesbar auf dem Schirm — trotz OTR. Wer nur auf den Datenverkehr zugreifen kann (wie z.B. der Internetprovider, die MitbewohnerInnen, die MitnutzerInnen des gemeinsamen WLAN, die Dienste, …) muss den Code noch anpassen. Aber ein paar Stunden Programmierarbeit kann sich auch das LKA in der Provinz leisten, insofern ist ein Man-In-The-Middle-Angriff auf OTR eine durchaus plausible Angriffsmöglichkeit.

Umgehen lässt sich das gesammte Szenario, wenn der OTR-Fingerprint des Gegenüber überprüft wird. Der Fingerprint stellt kryptographisch sicher, daß die Nachricht wirklich von der erwarteten Gegenstelle kommt. Dazu muss der Fingerprint über eine sichere Verbindung übertragen werden. Und nein: Der Chat selbst ist keine sichere Verbindung, so lange der Fingerprint nicht überprüft ist.

Zum Teil lässt sich die hohe Verbreitung von OTR dadurch erklären, daß es so einfach ist. Während PGP die NutzerInnen penetrant an die Wichtigkeit von Fingerprints erinnert, macht OTR alles automatisch. Installieren, auf „Privat“ klicken und schon scheint alles OK. Diese vermeindliche Sicherheit ist gefährlicher als die Unsicherheit unverschlüsselter Kommunikation — dabei wissen mittlerweile wenigstens die meisten, daß mitgelesen werden kann. Wer sich aber in Sicherheit wiegt, die keine ist, bringt sich und andere in Gefahr.

Schreibt es auch also auf die gelben Klebezettel neben dem Monitor (streicht das Passwort, das dort steht durch oder nehmt besser einen neuen Zettel und verbrennt den alten):

KEIN OTR OHNE FINGERPRINT-CHECK!

Noch eine kleine Anmerkung zu Bestreitbarkeit und Verfall: Wenn das Chatprogramm sich die Kommunikation unverschlüsselt merkt (was z.B. als „Benutzermitschnitt“ oder „Chatlog“ oft voreingestellt ist) ist es natürlich Essig mit dem Verfall.