20240115 Vorteile von Open Source

15.01.2024 Vorteile von Open Source

Transkript des Vortrags "Vorteile von Open Source"

Hallo und ein schönen guten Abend bei Alex TV und dem Freien Fernsehen von Aktion Freiheit statt Angst.

Wir hatten in den letzten Wochen über sichere Messenger berichtet und auch gezeigt wie man die installiert und da kamen einige Fragen von unseren Zuschauern und Zuhörern unter anderem eben danach wie sicher ist Open Source Software?

Wenn es sie gibt, ist das besser als Software die man kauft?

Ja wie ist das mit den Passwörtern? Wir hatten ja da eine Grafik gezeigt auf der eben deutlich wurde, dass es nicht mehr ausreicht eben Passwort mit sechs oder acht Zeichen zu benutzen.

Gut diese Fragen wollen wir heute lösen und zwar insgesamt haben wir drei Komplexe nämlich: einmal, was ist Open Source?

Dann, wie sollte man im Web suchen? Möglichst nicht mit Google.

Wie kann man sich seine ganzen Passwörte merken und ja, auch die anderen Daten die auf dem Rechner oder auf dem Smartphone sind sollten natürlich möglichst geschützt sein wenn man das Gerät verliert und der Finder dann sich über die Datenmenge freut. Das wollen wir ja auch nicht.

Vorteile von Open Source

Beginnen wir also mit Open Source, quelloffene, nachvollziehbar geprüfte Software von Freiwilligen meist. Das ist eben einer der Nachteile also das Thema sind die Freiwilligen, ja das heißt, es finden sich Leute zusammen, die eine Software entwickeln die dann gemeinsam prüfen auch auf die Qualität eben was der andere so gemacht hat. Äh, warum sollen wir solchen Leuten Vertrauen? Nun die machen das freiwillig und die machen das meistens auch mit dem Gefühl, dass eben die Kaufsoftware die kommerzielle nicht sicher ist oder zumindest wir nicht wissen, ob sie sicher ist. Nichts desto trotz können da natürlich auch Kriminelle mal dabei sein aber in diesem Verbund der gegenseitigen Prüfung fallen die in der Regel eben ganz schnell hinten runter. Ein Nachteil ist natürlich das ehrenamtliche Arbeiten. Das ist eigentlich ja Selbstausbeutung und das wollen wir natürlich als gewerkschaftlich nahstehende Organisation auch nicht. Also wäre es sinnvoll, dass das eben in Stiftungen passiert, z.B Mozilla also Firefox und Thunderbird Entwickler sind eine Stiftung. Nun könnte das natürlich auch unterstützt werden durch die Regierung also die Bundesregierung. Oder die EU, es gibt auf EU Ebene schon eine Vereinbarung, dass man offene Software zu fördern hat.

Es passiert leider wenig, so haben wir z.B in diesem Artikel eben darauf hingewiesen, dass von der Förderung oder die Ausgaben für eine Software in der Bundesrepublik gehen immer noch zu 99% an die großen fünf (Big5/Gafam) Google, Amazon, Facebook, Apple, Microsoft. Hier sehen wir Ihre Icons, die kennt jeder. Die sollten wir also vermeiden. Was ist nun Open Software?

Z.B. Libre oder Open Office, Mozilla Firefox, Mozilla Thunderbird der Gimp, Gimp ist ein Grafikprogramm, fast so gut wie Adobe Photoshop. Photoshop kostet an die 900 € und ja Microsoft Office kriegt man ja auch nicht umsonst. Und die Lösung Microsoft 365 zu nutzen, was man böserweise eben in den deutschen Schulen vielfach macht, da hat der hessische Datenschutzbeauftragte z.B ganz klar gesagt, das ist ein Verstoß gegen die Datenschutzgrundverordnung. Das heißt, so etwas sollte nicht passieren, passiert aber in vielen Bundesländern leider immer noch, weil das ist wieder Landessache. Das ist in Hessen verboten und ich glaube noch in ein zwei anderen Bundesländern. Schleswig-Holstein müsste dabei sein.

Gut, also das sind die Vorteile von Open Source. Jeder kann sich Zugang zu den Quellen verschaffen, also den Programmcode kann man angucken. Gut das wird den Meisten nicht viel nützen. Aber ja, wir können diese Ptogramme auch an verschiedenen Stellen als zuverlässig geprüfte Software herunterladen. Wir müssen nicht irgendeinen Apple Store oder ein Google Play Store benutzen.

Bei jeder kommerziellen Software ist der Code geheim, proprietär heißt das und ja es nützt ja nichts die sagen immer, sie müssen das geheim halten damit da keine Hacker reinsehen können und da Hintertüren und Löcher reinbauen. Offensichtlich ist die Software trotzdem nicht sicher und sie wird gehackt. Also wir haben ja beliebige Beispiele, wenn Sie einfach auf unseren Seiten mal suchen nach Datenpannen oder Datenskandale dann findet man, z.B. das weiß ich die Deutsche Bahn die Post und sonst was. Auch der Fingerabdruck im Ausweis und Pass, die sind alle irgendwann gehackt worden. Gut, man kann so ein Loch dann schließen aber man hätte es gleich vermeiden können, wenn man sich eben auf freie Software spezialisiert hätte.

Also, wir wollen auch offene Software nutzen. Gucken wir doch mal, welche da in Frage kommen.

Suchen im Web

Unser zweites Thema ist die Auswahl des Webbrowsers mit dem wir auf dem PC Laptop oder auf dem Smartphone nach Sachen suchen und auch da können wir nur empfehlen, es sollte eine offene Software benutzt werden. Aus offener Software entstanden ist also z.B der Mozilla Firefox Browser. Das muss nicht der sein, es gibt auch andere Opera z.B oder in USA sehr verbreitet ist Brave. Hier sehen Sie diese, dazu ein besondere Fähigkeit hat dann noch der Tor Browser, der eigentlich auch ein Firefox Browser ist aber mit dem Zusatz: Wenn wir eine Webseite aufrufen, dann wird ja unsere IP-Adresse dem wir die Seite aufrufen, weiter bekannt gegeben, weil diese Verbindung dahin aufgebaut wird. Wenn wir das über Tor machen passiert das nicht.

Da sehen sie hier so ein Bild wenn wir also das normal tun geht gehen wir direkt zu der Webadresse die wir aufrufen wollen dann sieht derAufgerufene, dass wir das sind, wenn wir das über einen VPN machen, dann geht das über den Anbieter des VPN. Ein VPN ist ein Virtual Private Network. Meistens ist das kostenpflichtig. Umsonst dagegen ist als offene Software der Tor Browser. Der geht sogar über drei verschiedene Punkte zu unserer Seite die wir aufrufen. Das heißt also nur der erste Eingang sieht, wer wir sind, dann wird das weitergeleitet zum zweiten und zum Dritten, vom dritten, dann zu unserer Zieladresse und bei der Zieladresse haben wir dann die Webseite erreicht. DerInhalt wird uns übermittelt und der Anbieter dieser Webseite, der sieht nur die IP-Adresse von dem letzten Ausgangsknoten.

Schön, damit sind wir unerkannt beim Surfen, was durchaus eine wichtige Sache sein kann. Selbst Bundesbehörden haben - das was wir hier sehen diesen Artikel dazu. Das war ein ein Bericht über einen Hack und wenn man das auf der Webseite beim BKA aufgerufen hatte, dann wurden die Adressen der eigenen IP-Adresse gespeichert und na ja zumindestens zu Ermittlungen genutzt und das muss ja nicht sein. Schließlich haben wir mit dem Hack garantiert nichts zu tun.

Also nutzen wir auf jeden Fall Tor, das ist sinvoll. Ein Problem bei Tor, wir gehen über diese drei Hosts und damit dauert das Ganze ein bisschen länger. Also Videos darüber schauen oder komplexe Webseiten, das geht, aber es dauert.

Gut das war es zu den Browsern, wir haben hier auf Wikipedia noch eine ganze Liste von freien Browsern auch für Spezialangebote für Kinder und also mit Datenschutz, dass also die Kinder nicht auf Webseiten kommen, wo sie nicht hin sollen. Das hier ist der Link dazu. Die ganze Tabelle ist relativ lang, gucken sie selber drauf gut. Wir sind ja beim Surfen auf Webseiten, also so das erste, was wir dann tun, wenn man nicht weiß, wie die Adresse dieser Seite heißt, dass wir suchen. Also suchen im Web natürlich möglichst nicht mit Google. Nun muss man beachten, auch wenn man den Mozilla Firefox gerade runtergeladen und installiert, dann sagt der, dass er mit Google sucht. Aber es gibt weitere andere Suchmaschinen, die man auswählen kann.

Also bitte in Einstellung gehen und eine andere Suchmaschine auswählen. Wenn keine passende dabei ist, dann kann man die auch nachinstallieren. Also alle, die wir jetzt nennen, hier ist so eine Liste die kann man dann auch einstellen. Nicht alle davon sind gut. Wir empfehlen immer noch Startpage, das ist eine Suchmaschine die in Holland beheimatet. Das ist eine Firma, die hat auch wieder ein Vertrag mit Google und lässt bei Google suchen und Google gestattet das, weil ja immer noch 90 oder 99% mit Google suchen. Na 99% vielleicht nicht und das stört sich Google nicht besonders daran, dass eben da ein paar Leute dann über Startpage suchen und Startpage gibt eben die persönlichen Daten des Suchenden nicht an Google weiter. Das haben sie versprochen und steht auch in ihren AGB und da hoffen wir, dass wir uns darauf auch verlassen können.

Andere Möglichkeit, in Amerika sehr verbreitet ist DuckDuckGo. Die haben auch Privatsphäre ganz oben auf ihren AGB und versichern, dass Sie also keine persönlichen Daten weitergeben. Dann hier in Europa gibt's Ecosia, eine Suchmaschine die Werbung mit anzeigt, dafür aber von den Werbeeinnahmen werden dann Bäume gepflanzt. Es ist ökologisch sinnvoll, ob man ständig die Werbung sehen möchte, muss man selber entscheiden.

Für das Suchen auf Wikipedia kann man natürlich auch direkt eine Suchmaschine von Wikipedia einbinden. Das ist jetzt aber nicht für für allgemeine Sachen, aber solange es um Geschichte oder Historie und weiß ich meinetwegen auch um Influenzer und sonst was geht, findet man die vielleicht auch auf Wikipedia. Aber es ist nicht die eine allgemeine Suchmaschine.

So jetzt kommen ein paar spezielle, wir sehen hier Yacy und Metager, das sind verteilte Suchmaschinen, das heißt, hier haben wirklich sich Menschen die Mühe gemacht den weltweiten Webindex, den ja auch Google nicht zu 100% erfassen kann, weil sich ja Webseiten ständig ändern, aber vielleicht 90% besitzt.

Die verteilten Suchmaschinen haben meist einiges Spezialwissen aber sicher nicht den vollen Leistungsumfang von Startpage oder Google. Gut, Google wollen wir nicht, Yacy und Metager kann man auch runterladen und als Suchmaschine benutzen.

Passwortresor KeePassX

So dann kommen wir zurück zu dem dritten Thema: nämlich, wie können wir uns tausende, na ja sagen wir mal hunderte von Passwörtern merken?

Das klappt nicht, also müssen wir uns irgendwas anderes überlegen. Der Lösungsvorschlag überall das gleiche Passwort zu nehmen, ist der schlechteste, weil wenn es einmal geknackt ist, dann sind alle unsere Webseiten die wir ansurfen wollen oder wo wir uns anmelden wollen vielleicht sogar Internetbanking machen wollten, kompromittiert und wir können da Identitätsdiebstahl oder sogar finanzielle Verluste erleiden.

Also müssen wir möglichst unsere Passwörter irgendwo sicher verstauen. Reden wir jetzt zuerst mal nur darüber, wir wollen unsere Passwörte schützen. Wir kommen ja nachher noch zu dem Thema wie wir vielleicht grundsätzlich unsere Daten verschlüsselt ablegen können. Da gibt's auch wieder Open Source Programme und wir empfehlen KeyPassX. So sieht die Webseite dazu aus. Das Programm gibt's nämlich nicht nur für Windows, Mac, und Linux sondern das finden wir auch für Android und iPhone Smartphones. Das heißt da vielleicht ein bisschen anders. Auf dem iPhone heißt es z.B Keypass DX aber ist das gleiche. Alternativen sind die beiden da drunter. Mit denen haben wir uns aber nicht weiter beschäftigt. Es gibt auch noch weitere Bitwarden oder ClipperZ. Wir bleiben bei KeePassX.

Wenn Sie das hier von der Webseite runterladen starten Sie es und müssen dann sich einen Passwort Tresor anlegen also eine Datei die gut verschlüsselt ist und dieses Passwort, was sie dafür benutzen für diesen Tresor, das sollte ein Gutes sein. Sspringen wir jetzt kurz noch mal zu den Passwörtern, die wir schon bei den sicheren Messengern mal erwähnt haben. Hier sehen Sie also eine Tabelle, die noch relativ neu ist. Also wir hatten auch eine von 2018, da hieß es noch irgendwie Passwörter mit 8 oder 10 Zeichen, wenn sie gut gemischt sind mit Zahlen Buchstaben und Sonderzeichen, dann ist das okay.

Das gilt nicht mehr, wie Sie hier sehen, also alles bis zu 10 Zeichen ist innerhalb von wenigen Minuten zu knacken. Das heißt also unsere Passwörter sollten mindestens 14 Zeichen oder länger sein.

Wie man Passwörter bildet, da gibt's im Netz viele Hinweise also eben nicht 1 2 3 4 5 und auch nicht irgendwie die Folge irgendwelcher Tasten auf dem Keyboard, weil das sind die Sachen die zuerst getestet werden auch nicht das Wort "geheim" oder "mein Passwort" aber das deutet schon mal die richtige Richtung. Wir bilden einfach einen Satz und wenn der nicht so alltäglich ist, also wie "der Bus kommt gleich" sondern eben vielleicht was komplizierteres dann ist es relativ sicher. Dann kann man auch ohne weiteres auch ein Passwort nehmen was dann 16 oder 20 Zeichen hat, weil den Satz den hat man im Kopf den darf man auch nicht vergessen, weil sonst sind alle Passwörter, die in dem Tresor gespeichert sind, wären weg.

Wenn wir jetzt das erzeugt haben diesen passworttresor, dann können wir da weitere Passwörter eintragen. Da steht in der Regel dann drin, wie wir hier sehen, ist es ein Name für uns dann als zweites der Username mit dem wir uns da anmelden sollen, das Passwort zweimal zur Vorsicht, wenn wir es eingeben da wird auch geprüft, dass beide Eingaben identisch sind, damit wir uns ein Passwort merken, was dann vielleicht gar nicht das richtige ist und dann gibt's da drunter noch die URL, weil meistens sind es ja eben Anmeldungen auf irgendwelchen Web Seiten zu denen wir springen müssen.

Und jetzt müssen wir das nicht jedes Mal abschreiben, sondern wir können mit control C einfach die Sachen rauskopieren und in die Webseite eintragen. Da gibt's eine Einstellung, dass es irgendwie nach 10 Sekunden wieder verschwindet aus dem Zwischenspeicher. Also wenn irgendwie ein Hacker bei uns gerade vorbeikommt der sich das Passwort da merken will, müsste genau in diesen 10 Sekunden kommen, was aber relativ unwahrscheinlich ist. Nehmen wir mal an, dass wir nicht ständig gehackt werden.

Dann war's das auch schon und wir können da drin Ordner anlegen und sagen, das sind meine Passwörter fürs Banking, das sind meine Passwörter für Spiele und ich weiß nicht worüf sonst noch. Das war's zum Passworttresur. Ich nehme an, dass die beiden anderen die hier noch genannt waren bitworden und ClipperZ ähnlich funktionieren.

Das Prinzip ist immer das gleiche ein wirklich gutes Passwort schützt all unsere anderen. Wir sollten dann von von dieser Datei auf jeden Fall ein Backup haben oder mehrere damit dann nicht aus Versehen irgendwann mal bei einem Plattencrash alles verloren ist. Das wollen wir ja vermeiden.

Verschlüsselte Container mit VeraCrypt/TrueCrypt

Jetzt haben wir uns mit einem Passworttresor beschäftigt also einer verschlüsselten Datei. Da fragt man sich natürlich warum nicht einfach alles, was wir auf dem Rechner haben verschlüsseln? Kann man machen, man kann sogar das Betriebssystem mit verschlüsseln. Dann muss man beim Start des Rechners dieses Superpasswort angeben und dann wird der Rechner, d.h. die Festplatte entschlüsselt und das Betriebsystem startet. Soweit wollen wir heute nicht gehen. Wir wollen auch nicht irgendwelche Partitionen oder die Hälfte unseres Rechners verschlüsseln. Aber wir wollen mal alle unsere persönlichen Daten, das können durchaus 3 oder 5 GB sein, die wollen wir gerne verschlüsselt halten. Ja wie machen wir das? Es gibt wieder mal Open Source Programme und zwar haben wir jetzt hier nicht drei, sondern das ist eigentlich nur eins. Das Programm Truecrypt hat das in den 2000 bis 2010er Jahren sehr schön gemacht. Irgendwann mit der Version 7.1, da haben die Macher dann plötzlich aufgehört zu arbeiten. Also wie gesagt, auch das war Open Source. Da kam das Gerücht, dass da irgendwie Hintertürchen eingebaut worden sein könnten, in der Version nach 7.1. Also 7.1 ist noch sicher aber die haben selbst drauf hingewiesen: nutzt keine Nachfolgeversion von Truecrypt mit der Version die größer ist als 7.1. Dann haben sich Open Source Entwickler in Frankreich die Software von 7.1 geschnappt und, ist ja Open Source, haben die dann in Frankreich weiterentwickelt unter dem Namen Veracrypt und das ist immer noch Stand der Technik. Selbst das BSI hat Veracrypt geprüft und hat festgestellt: es ist keine Hintertür vorhanden und es ist ein gut funktionierendes sicheres

Programm. Das gibt's für Windows, Linux, Mac. Wenn man das auf dem Smartphone benutzen möchte, dann heißt es für Android EDS Lite. Ob es eine entsprechende Version für iPhone gibt, weiß ich jetzt nicht. Schauen Sie mal nach. Wenn wir das erfahren, tragen wir das gerne an der Stelle nach. Das heißt also, wir können jetzt Veracrypt oder in dem Falle ist es noch Tuecrypt, weil ich immer noch bei der Version 71 bin, die sicher ist. Wenn sie jetzt neu installieren gehen sie zu Veracrypt. Beide gibt's z.B auch auf heise.de, also sie müssen das nicht bei der Quelle selbst Runterladen.

So was können wir damit machen? Wir wollen also eine große Datei anlegen von ja einigen Gigabyte durchaus und die wird verschlüsselt und dann können wir unsere Daten da einfach reinschieben, wie in einen Ordner. Wir können diese Datei dann benutzen wie ein Laufwerk. Das heißt, wir kennen das ja schon vom Rechner, dass dann einfach, wenn man USB-Stick reinsteckt. Die verschlüsselte Datei kann übrigens auch auf einem USB-Stick sein. Der ist vielleicht ein bisschen langsam, kommt drauf an oder auf einer SD-Karte. Da gibt's ja dann Qualitätsunterschiede die schnellere Karten sollte uns ja nicht behindern beim arbeiten. Wenn wir das jetzt probieren und da Daten reinschieben oder rausziehen, dann gehen wir davon aus, wir machen es auf der Festplatte. Das ist aber völlig wurscht.

Wenn wir das Programm starten, dann müssen wir zuerst diese Datei irgendwo anlegen, müssen also sagen, wo ist die und wie groß, die kann also mehrere Gigabyte groß sein. Wir müssen nur den Plattenplatz dafür haben. Wir haben das Programm schon installiert und gestartet. Dann haben wir noch kein Volume, also kein Laufwerk zur Verfügung weil wir das erstmal einrichten müssen. Das machen wir mit dem Befehl "Create volume" und dann will das Pogramm von uns einige Sachen wissen, also z.B welche Art von Verschlüsselung er nehmen soll. Wir gehen jetzt einfach davon aus, dass das was da angegeben ist Stand der Technik ist. Man kann sich die anderen angucken aber es macht für den Nutzer keinen Unterschied, weil wir danach nie nie wieder gefragt werden. Nur wenn also irgendwann mal in den Zeitungen steht, was weiß ich, hier aiso RSA ist gehackt worden und ist nicht mehr sicher, dann sollte man diesen Tresor durch einen neuen ersetzen und die Daten rüberschaufeln. Aber bisher sind alle angegebenen Verfahren verlässlich. Das heißt, wir können es einfach so stehen lassen als nächstes werden wir gefragt, wie groß soll unser Vvolume sein. Dann können wir das da in Megabyte oder in Gigabyte angeben. Dann kommt wieder das gleiche Problem wie bei bei unserem KeypassX. Wir müssen für dieses Volume natürlich ein gutes Passwort erzeugen. Wir können dann sagen, es ist uns wurscht, wir packen das ja dann eh in den Passworttresor. Das sollte man vielleicht nicht machen, weil wenn diese Festplatte oder dieses Smartphone irgendwann mal in fremde Hände kommt und jemand hat da beliebig viel Zeit da dran rumzwursteln und Passwörter zu raten dann sind unserer Daten eben nicht mehr sicher. Also es wäre schon gut auch hier ein gutes Passwort von eben 16 oder mehr Zeichen zu verwenden, also irgendeinen Satz.

Man wird auch drauf hingewiesen, wenn man das hier mit acht Zeichen versucht. Das ist nicht mehr Stand der Technik und man sollte sich Mühe geben ein anderes Passwort zu finden.

Gut, wenn wir das gemacht haben dann wird dieses Volume erzeugt das dauert ein bisschen und anschließend können wir aus diesem Installationsprogramm jetzt raus und rufen das Veracrypt einfach so auf und dann sehen wir das Eingabfeld für Volume, wo wir angeben können wo unsere Daten sind die Datei tragen wir da ein und dann müssen wir das "Volume mounten", also verfügbar machen. Damit es bei uns auf dem Desktop oder sonst wo im Dateisystem erscheint. Dazu müssen wir dann unser schönes langes Passwort angeben und jetzt werden wir danach gleich noch mal gefragt nach einem Passwort. Wo kommt das jetzt wieder her? Das ist ja schon langsam wieder was, was ihnen wahrscheinlich nicht auf Anhieb gefällt. Das ist das Admin Passwort, also das Windows Passwort oder bei Linux das Admin Passwort beim Mac entsprechend und auf dem Handy weiß ich gar nicht, was da passiert. da habe ich noch kein Volume angelegt, nur welche benutzt. Das ist dann entweder ihre Apple ID oder ihr Android Zugang und zwar weil diese Datei entschlüsselt wird und als Laufwerk dem Betriebssystem zur Verfügung gestellt wird. Das kann natürlich nicht passieren, ohne dass man die Rechte eines Administrators hat. Also hier muss einmalig noch das Admin Passwort angegeben. Dann war es das und dann erscheint auf dem Desktop oder im im Dateisystem das Volume und dann kann man das benutzen, wie eine Festplatte oder einen USB-Stick.

Ja dann ist alles fertig, das bleibt in der Regel dann auch da und man hat entweder in der Taskleiste oben oder unten, da z.B sehen Sie das Truecrypt Icon das blaue dort. Darüber ist das Programm auch jederzeit zugreifbar, das heißt, ich kann einfach da drauf drücken und dann habe ich mein Fenster wieder und kann sagen, wirf das Volume wieder weg, also "dismount" oder wenn ich mehrere solche Laufwerke habe "dismount all" und dann sind die wieder in ihrem verschlüsselten Zustand.

Das war es auch schon.
Vielen Dank

Vorteile von Open Source - am Beispiel von Mozilla Firefox u.a. Browsern, privatsphäreschützende Suchmaschinen, Passwort Tresore wie KeePassX, verschlüsselte Container mit TrueCrypt/VeraCrypt gibt es als Video: