Und zu welchem Mail-Provider gehe ich jetzt..?

7076893037_4cb82a5b2e_nIn den USA haben gerade zwei Mail-Provider zugemacht. Der Fall Lavabit ging breit durch die Presse: der Betreiber des Providers, den Edward Snowden benutzt hat, ist anscheinend von US-Sicherheitsbehörden juristisch unter Druck gesetzt worden, Nutzerdaten herauszugeben und darf gleichzeitig nicht darüber sprechen:

My Fellow Users,

I have been forced to make a difficult decision: to become complicit in crimes against the American people or walk away from nearly ten years of hard work by shutting down Lavabit. After significant soul searching, I have decided to suspend operations. …  (Ladar Levison, Lavabit)

Einen Tag später hat Silent Mail zugemacht. Auch nicht irgendein Mail-Provider, sondern der des Erfinders der Verschlüsselungssoftware PGP Phil Zimmermann

We see the writing the wall, and we have decided that it is best for us to shut down Silent Mail now. We have not received subpoenas, warrants, security letters, or anything else by any government, and this is why we are acting now. (Silent Circle)

Phil Zimmermann selber erklärte dazu

I wrote about these things over twenty years ago and when I first wrote PGP and technology extrapolations leading us to a future where the governments can listen to all our communications, can search through all our communications and do pattern recognition and study our traffic patterns. But I didn’t think it would get this bad.

Das Phänomen, dass es in den USA legal ist, die Betroffenen von juristischem Maßnahmen dazu zu zwingen, nicht darüber zu reden, was ihnen angedroht wird, ist nicht neu. Getoppt wird es gerade noch dadurch, dass Levinson jetzt auch ein Strick daraus gedreht wird, dass er seine Firma zugemacht hat.

Seitdem haben sich viele gefragt, ob sie ihren (us-amerikanischen) Mail-Providern noch vertrauen können. Ich beschwere mich seit Jahren darüber, wenn ich Mails von Googlemail-Adressen bekomme und werde entsprechend lange gefragt, was ich als Alternative vorschlage. Leuten, die sich selbst als politische AktivistInnen verstehen, empfehle ich Riseup, ein politischer Provider, der inzwischen sehr viel genutzt wird. Aber können wir sicher sein, dass Riseup (genau wie alle anderen) nicht auch zum Schweigen gezwungen wird und unsere Daten direkt an den NSA weitergibt?

Ich fühle mich bei Riseup weiterhin gut aufgehoben (und habe trotzdem, auch schon länger, auch alternative Mailadressen). Riseup selber hat jetzt dies dazu geschrieben:

Q: Is Riseup working with the NSA?

A: We would rather stop being Riseup before we did that. We are not working with any government agency. We have never simply handed over information when requested, and for years have had a no logging policy. We have fought and won every time anyone has tried to get us to give up information. We have never turned over any user data to any third party, fourth party, fifth party or any party.

Q: But your servers are located in the U.S., doesn’t that mean you have to install backdoors/monitoring/etc?

A: We have no control over our network providers, but we have physical control of our servers, they are not hosted “in the cloud.” This gives us much more physical assurance of the security of our machines.  (…) Also, the US still has better laws for internet providers than in many other countries, including many places in Europe, where there are data retention laws requiring providers to keep logs. The US has no such requirement and it has been our policy for years to not keep any logs.

(…)

Riseup hatte seit den NSA-Leaks soviel Zulauf, dass sie einen neuen Server kaufen mussten. Für ein nicht-kommerzielles, spendenbasiertes Projekt keine Kleinigkeit. Falls ihr als Riseup nutzt oder das jetzt in Erwägung zieht: spendet. Spendet großzügig. Wie wichtig Angebote wie dieses sind, war noch nie so deutlich.

==>> Spenden für Riseup <<==

Eine ähnliche Erklärung gibt es auch von Autistici, dem italienischen Kollektiv, das u.a. diese Blogplattform noblogs.org hostet und das ebenfalls E-Mail anbietet:

…since Italy is a loyal subject of the American empire, we are pretty sure that if the U.S. authorities want to intrude into your privacy, the Italian allies will be absolutely ready to give them a hand. So please don’t simply assume that since our servers are not based in the U.S.A. we can protect you from the NSA more than an American provider. This is not true at all!

Autistici vergibt aktuell keine Mail-Adressen mehr, weil sie den Ansturm nicht bewältigen können. Auch hier: bitte spendet für Autistici.

Last but not least merkte kürzlich jemand an, dass der Trend von großen kommerziellen US-Mailprovidern weg geht hin zu lokalen und/oder nicht-kommerziellen Anbietern. Diejenigen, die da schon lange sind, bewegen sich aber auch: weg von E-Mail hin zu verschlüsseltem Chat, etwa per Jabber. Denn was nirgends dokumentiert wird, kann auch schlechter überwacht werden. Das sollten auch alle mal probieren, die gern mal eben schnell per Twitter DM oder Facebook-Chat was besprechen wollen. Zum Chatten braucht Ihr nur einen Jabber-Account, dazu einen Client (Programm), der das kann, und wenn das nebenbei läuft, ist es genauso unkompliziert wie die anderen.

Jabber zu verschlüsseln ist übrigens viel einfacher als Mail-Verschlüsselung..

 

Foto: cicciodylan via photopin BY-NC-ND-Lizenz

Terror-Überwachung in Chile

Gestern ist ein Text bei Cryptome.org veröffentlicht worden, der über ein neues Terrorismus-Verfahren gegen HausbesetzerInnen und AnarchistInnen in Chile berichtet. Die Überwachungsmaßnahmen werden sehr detailliert beschrieben.

Der Text ist anonym veröffentlicht, es ist also nicht möglich, zu überprüfen, ob stimmt, was drin steht. Ein Grund dafür sei, dass Teile der Informationen nicht legal erhalten wurden und die Anonymität dem Quellenschutz dient. Der Text richtet sich vor allem an die Netz-Community, die mit der Entwicklung und Weitergabe von Werkzeugen beschäftigt ist, die für sichere Online-Kommunikation nötig sind – vor allem aktuell für den ‚Arabischen Frühling‘.

Comments from Chile

(Ab hier beschreibe ich, was im Text steht. Der Lesbarkeit halber nicht alles im Konjunktiv)

Im August 2010 wurden diverse besetzte Häuser durchsucht, 14 BewohnerInnen landeten mit Terrorismus-Vorwurf im Knast. Es war vier Jahre lang ermittelt worden, 2012 wurden die 14 ohne Anklage freigelassen.

Bereits im Mai 2011 ist eine Liste von 200 Namen veröffentlicht worden, die mit in das Verfahren gezogen und dann auch überwacht wurden.

Einige der Details der Überwachung von Online-Kommunikation. Es gab in den ersten Akten:

  • Screenshots von Hotmail-Accounts
  • Screenshots von Passwörtern von Gmail-Accounts
  • Oberflächliche Analysen von Websites: flickr.com, blogspot.com, entodaspartes.org, santiago.indymedia.org, valparaiso.indymedia.org, nodo50.org wordpress.com, indymedia.org, riseup.net.
  • Transkripte von OTR-Chats und PGP-E-Mails (wobei hierfür nicht die Verschlüsselung an sich geknackt wurde)

In den Akten von 2012:

  • mindestens vier Fälle von transkribierten Crypto.Cat-Chats
  • weitere Zugriffe auf Gmail- und Facebook-Accounts
  • Beschwerden über OTR und PGP, hier wurde das FBI um Hilfe gebeten.
  • Intensive Beschäftigung mit Websites; dazu wurden auch Medien-AktivistInnen von der Polizei aufgesucht. Großes Interesse gab es an riseup.net: von Software, E-Mail-Adressen und Source Code bis zu den Gruppen, die Riseup benutzen.

Der Text enthält auch Vermutungen, wie auf die Crypto.Cat-Chats zugegriffen worden sein könnte – entweder über Spyware oder über eine Kooperation mit italienischen und US-Sicherheitsbehörden. Hier bleibt das Ganze allerdings ziemlich vage: sind ja wohl auch nur Vermutungen.

Zum Schluss ein Absatz, den ich persönlich gut nachvollziehen konnte:

Yes, we can face defeats, but it really demoralizing to see 30 police officers breaking your home and exposing all your life just because your political and life position … all broadcasted by television. None of them was related to the bombs, none of us is related to the bombs, that’s just an excuse to fuck our lives. We need you to keep working on this, and educate people everywhere. Our dictatorship ended in 1990, but before that the only way to survive as resistence was to share knowledge and practices, we need to keep that today.

 

Bizarrerweise gab es ausgerechnet heute diesen Text in der taz: Sicheres Chatten mit Crypto.Cat. Der Katzenkryptograf

Am Montag hatte Christopher Soghoian ausführlich erklärt, warum Technik-JournalistInnen besser vorsichtiger wären, wenn sie neue Sicherheits-Software anpreisen: Tech journalists: Stop hyping unproven security tools. Mit spritzigen Beispielen aus Guardian, Wired, Forbes und New York Times. Hätte Burkhard Schröder besser vorher gelesen.

Update – FBI bringt heimlich Riseup-Server zurück (Video)

Neues vom vom FBI beschlagnahmten Riseup/May First/ECN-Server:

Erst wurde er ohne weitere Benachrichtigung mitgenommen, jetzt hat das FBI ihn heimlich zurückgestellt. Allerdings gab es inzwischen eine Kamera, die das Geschehen in der Server-Farm beobachtete. Die Aufnahme hat May First letzte Woche veröffentlicht:

Bei archive.org oder YouTube (mit adäquater Musik)

May First hat den Server inzwischen natürlich wieder aus dem Betrieb genommen und untersucht ihn aktuell.

Der EFF hat ebenfalls verschiedene neue Informationen:

Inzwischen ist klar, dass die Beschlagnahmung des Servers, auf dem ein anonymer Remailing-Service lief, m angeblichen Grund für die Beschlagnahmung nichts geändert hat. Die Uni Pittsburgh bekommt weiterhin Bombendrohungen.

Dass auf dem Server lediglich der Remailer installiert war, der keinerlei Aufschluss über die Nutzer zulässt, wusste das FBI auch schon vor der Beschlagnahmung, erklärt der EFF. Inzwischen gibt es auch den richterlichen Beschluss (PDF).

Unbegründete Beschlagnahmungen von Hardware durch das FBI und andere US-Behörden beschäftigen den EFF auch in anderen Fällen. Im März wurde das FBI verurteilt, $100.000 an den Long Haul Infoshops in Berkeley zu zahlen.

FBI beschlagnahmt ECN-Server

Riseup hat eben bekanntgegeben, dass am Mittwoch nachmittag einer seiner Server in New York vom FBI beschlagnahmt wurde. Es handelt sich um einen Server von Europas ältestem unabhängigen Provider ECN (Italien), der in einer gemeinsamen Colocation von Riseup und May First/People Link untergebracht war. Auf dem Server lag ein anonymer Mixmaster-Remailing-Service, über den anonyme Bombendrohungen verschickt worden sein sollen. Bruce Schneier dazu: Bomb Threats As a Denial-of-Service Attack.

Riseup erklärt, dass die Beschlagnahmung eines Remailers, der per Design keinerlei Daten über seine NutzerInnen speichert, bei der Ermittlung der Bombendrohungen wenig Erfolg haben kann. Stattdessen werden viele politische und soziale Bewegungen beeinträchtigt. Auf dem Server lag u.a. die älteste italienische netzpolitischen Mailingliste („Cyberrights“), 300 E-Mail-Accounts, 50-80 Mailinglisten und Websites von Gruppen aus Lateinamerika, der Karibik und Afrika.

Devin Theriot-Orr, Sprecher von Riseup:

„Das FBI nimmt den Vorschlaghammer und schaltet Internet-Dienstleistungen von Hunderten von Menschen ab, um einen Unbekannten zu finden. Das macht vor allem deswegen keinen Sinn, weil es  unwahrscheinlich ist, dass auf dem Server Informationen über die Quelle der Droh-Mails zu finden sind.

Wir bedauern die betroffenen Menschen an der Uni Pittsburgh, die seit Wochen mit der beängstigenden Bedrohung leben müssen. Wir lehnen diese Bombendrohungen ab. Die Beschlagnahmung des Servers wird die Bombendrohungen aber nicht verhindern. Die einzige Folge ist die Störung von E-Mails und Websites von tausenden Unbeteiligten. Das Netzwerk anonymer Remailer wird durch diese Beschlagnahmung nicht eingeschränkt.“

Reaktionen: Slashdot | Gulli | The Register | Alan Greenberg, Forbes | Pittsburgh Post-Gazette | c’t | taz | Wired | ars technica

 

Die ganze Pressemitteilung im Original:

FBI seizes server providing anonymous remailer and many other services from colocation facility.

Contacts:

  • Riseup Networks, Devin Theriot-Orr, 206-708-8740, sunbird@riseup.net
  • May First/People Link, Jamie McClelland, 917-509-5734, jm@mayfirst.org
  • ECN: Isole Nella Rete, inr@riseup.net

Attack on Anonymous Speech

On Wednesday, April 18, at approximately 16:00 Eastern Time, U.S. Federal authorities removed a server from a colocation facility shared by Riseup Networks and May First/People Link in New York City. The seized server was operated by the European Counter Network (“ECN”), the oldest independent internet service provider in Europe, who, among many other things, provided an anonymous remailer service, Mixmaster, that was the target of an FBI investigation into the bomb threats against the University of Pittsburgh.

“The company running the facility has confirmed that the server was removed in conjunction with a search warrant issued by the FBI,” said May First/People Link director Jamie McClelland. “The server seizure is not only an attack against us, but an attack against all users of the Internet who depend on anonymous communication.”

Disrupted in this seizure were academics, artists, historians, feminist groups, gay rights groups, community centers, documentation and software archives and free speech groups. The server included the mailing list “cyber rights” (the oldest discussion list in Italy to discuss this topic), a Mexican migrant solidarity group, and other groups working to support indigenous groups and workers in Latin America, the Caribbean and Africa. In total, over 300 email accounts, between 50-80 email lists, and several other websites have been taken off the Internet by this action. None are alleged to be involved in the anonymous bomb threats.

“The FBI is using a sledgehammer approach, shutting down service to hundreds of users due to the actions of one anonymous person,” said Devin Theriot-Orr, a spokesperson for Riseup. “This is particularly misguided because there is unlikely to be any information on the server regarding the source of the threatening emails.”

“We sympathize with the University of Pittsburgh community who have had to deal with this frightening disruption for weeks. We oppose such threatening actions. However, taking this server won’t stop these bomb threats. The only effect it has is to also disrupt e-mail and websites for thousands of unrelated people,” continues Mr. Theriot-Orr. “Furthermore, the network of anonymous remailers that exists is not harmed by taking this machine. So we cannot help but wonder why such drastic action was taken when authorities knew that the server contained no useful information that would help in their investigation.”

The FBI purportedly seized the server because it was hosting an anonymous remailer called Mixmaster. Anonymous remailers are used to send email anonymously, or pseudonymously. Like other anonymizing services such as the Tor network, these remailers are widely used to protect the identity of human rights activists who place themselves and their families in grave danger by reporting information about abuses. Remailers are also important for corporate whistle blowers, democracy activists working under repressive regimes, and others to communicate vital information that would otherwise go un-reported.

The Mixmaster software is specifically designed to make it impossible for anyone to trace the emails. The system does not record logs of connections, details of who sent messages, or how they were routed. This is because the Mixmaster network is specifically designed to resist censorship, and support privacy and anonymity. Unfortunately, some people misuse the network. However, compared to the rate of legitimate use, the abuse rate is very low. There is therefore no legitimate purpose for the FBI to seize this server because they will not be able to obtain any information about the sender. This is plainly extra-judicial punishment and an attack on free speech and anonymity on the internet and serves as a chilling effect on others providers of anonymous remailers or other anonymous services.

In absence of any other leads, the FBI needs to show that they are making progress in this case, and this has meant seizing a server so they can proudly demonstrate they are taking some action. But what this incident shows is they are grasping at straws and are willing to destroy innocent bystanders for the sake of protecting their careers.

About the organizations involved

MayFirst/People Link (mayfirst.org) is a politically-progressive member-run and controlled organization that redefines the concept of “Internet Service Provider” in a collective and collaborative way. May First/People Link’s members are organizers and activists who elect a Leadership Committee to direct the organization. Like a coop, members pay dues, buy equipment and then share that equipment for websites, email, email lists, and other Internet purposes.

Riseup Networks (riseup.net) provides online communication tools for people and groups working on liberatory social change. Riseup creates democratic alternatives and practices self-determination by controlling our own secure means of communications.

ECN (European Counter Network – ecn.org) is the oldest independent service provider in Europe providing free email accounts, mailing lists, and websites to organizations, activists, and movements that are involved in human rights, freedom of speech and information in Italy and Europe. ECN is anti-fascist and works towards a just and equal society. Years ago, before sites like Youtube and Vimeo existed, ECN created a platform called NGV where people could upload and share independent video of human rights violations. Nowadays ECN works primarily with anti-fascist and anti-Nazi movements in all of Europe, providing space and resources to political and social centers.

Questions / further reading

Q: Doesn’t Mixmaster/anonymous remailers enable criminals to do bad things?

A: Criminals can already do bad things. Since they’re willing to break laws, they already have lots of options available that provide better privacy than mixmaster provides. They can steal cell phones, use them, and throw them in a ditch; they can crack into computers in Korea or Brazil and use them to launch abusive activities; they can use spyware, viruses, and other techniques to take control of literally millions of Windows machines around the world.

Mixmaster aims to provide protection for ordinary people who want to follow the law. Only criminals have privacy right now, and we need to fix that.

Some advocates of anonymity explain that it’s just a tradeoff — accepting the bad uses for the good ones — but there’s more to it than that. Criminals and other bad people have the motivation to learn how to get good anonymity, and many have the motivation to pay well to achieve it. Being able to steal and reuse the identities of innocent victims (identify theft) makes it even easier. Normal people, on the other hand, don’t have the time or money to spend figuring out how to get privacy online. This is the worst of all possible worlds.

So yes, criminals could in theory use mixmaster, but they already have better options, and it seems unlikely that taking mixmaster away from the world will stop them from doing bad things. At the same time, mixmaster and other privacy measures can fight identity theft, physical crimes like stalking, and so on. (www.torproject.org/docs/faq-abuse.html)

Q: How does Mixmaster / Anonymous remailers work?

A: Anonymous remailers work by connecting to other anonymous remailers in a chain, and every one in that chain removes the mail header information making it impossible to find the real sender. The Tor project maintains a list of typical users of this and other anonymity systems, and the Mixmaster home page