Checkliste: Android-Phone absichern, BEVOR es das 1. Mal ins Internet geht (AFWall+)

[anonymousdark]

OpenKeychain verwaltet PGP-Keys und ist kompatibel mit Conversations und K9 Mail, habs aber selber bisher nicht getestet.
CM-basierte Roms und einige Customroms haben AppOps integriert und es unterstützt inzwischen interaktive Erlauben/Ablehnen-Optionen, falls es in den Einstellungen die Datenschutz-Option für alle Apps ausgewählt wurde, somit ist es eine gute alternative zu xprivacy.

Diese sehr schöne Datenschutzfunktion, kenne ich ja schon aus dem CM11 4.4.4 Kitkat auf meinem S3.
Mir fehlt halt noch das Vorgaukeln von IMEI, MAC...etc. wie es bei "Xprivacy" möglich ist. Und dafür braucht man leider den "Xposed".

Zu PIE hab ich im web auch kaum was gefunden, hier wirds in englisch etwas beschrieben: Android 5.0: Lollipop Gets Serious About Security | Science and Technology

Okay.

Wie das mit den metadaten bei smssecure aussieht weiss ich nicht, jedenfalls läuft das ohne GCM.

Ah.. hier steht etwas dazu...Open Whisper Systems >> Blog >> Saying goodbye to encrypted SMS/MMS
Zitat: ,,Die technisch gegebenen Defizite der GSM-Technologie wird freilich auch dieses Tool nicht beheben können." SMSSecure: TextSecure-Abspaltung belebt SMS-Verschlüsselung wieder

 

[an0n]

Was mit technischen Defiziten von GSM der Autor wohl meint? Die App geht neben 2G auch über 3G und 4G.Ich hab jedenfalls nur positive Erfahrung seit einem halben Jahr Nutzung mit Smssecure, es sendet/empfängt auch nachrichten von nicht-smssecure usern (aber ohne verschlüsselung). Die Stocksms app hab ich gelöscht - man schau sich doch mal wie viele berechtigungen die stock-sms app hat.

 

[anonymousdark]

Erstmal Frohes Neues Jahr!

Was mit technischen Defiziten von GSM der Autor wohl meint?

Das hab ich mich auch gefragt Oder wollte der Autor eig schreiben :,, Das unterbinden von senden der Metadaten ist nach wie vor nicht lösbar"?

Die App geht neben 2G auch über 3G und 4G.Ich hab jedenfalls nur positive Erfahrung seit einem halben Jahr Nutzung mit Smssecure, es sendet/empfängt auch nachrichten von nicht-smssecure usern (aber ohne verschlüsselung).

Sorry, ich habe SMSSecure auch mit der StockSMS ersetzt, ja die ist wirklich nicht schlecht.

Es wäre schon interessant zu Wissen, ob SMSSecure alle Probleme die bei TextSecure (Metadaten) auftraten behoben hat/ eine Lösung gefunden hat?

 

[mratix]

Ein gutes neues in die Runde...

Ein paar tolle Themen habt ihr da angeschnitten, richtig interessant.

Wo sind die Unterschiede zwischen smssecure, signal (textsecure+redphone) und whisperpush? Ist der Kern bzw. die Technologie nicht die gleiche?

Und vor allem, sind die untereinander kompatibel d.h. verwenden sie gleiche Schlüssel womit ein "Parallelbetrieb" möglich wäre?

Wenn ich es richtig verstanden habe ist nur smssecure von GCM bereinigt.

Ich hoffe mit den Fragen nicht allzu sehr vom Threadthema abzudriften.

 

[anonymousdark]

Wo sind die Unterschiede zwischen smssecure, signal (textsecure+redphone) und whisperpush? Ist der Kern bzw. die Technologie nicht die gleiche?

Das kann dir jemand anderes bestimmt besser erklären als ich .

Und vor allem, sind die untereinander kompatibel d.h. verwenden sie gleiche Schlüssel womit ein "Parallelbetrieb" möglich wäre?

Gute Frage.

Wenn ich es richtig verstanden habe ist nur smssecure von GCM bereinigt.

Nein, "LibreSignal ist auch ohne GCM" Signal ist mit GCM.

Conversations (Websocket), Kontalk, Chatsecure sind auch ohne GCM! =)

Ich hoffe mit den Fragen nicht allzu sehr vom Threadthema abzudriften.

Ich glaube das haben wir hier schon längst getan...?

 

[wewede]

Ich glaube das haben wir hier schon längst getan...?

Aber es geht ja grundsätzlich doch noch ums Thema:
Android-Phone absichern, wenn auch nicht mehr direkt um AFWall - und ich kann beim mitlesen immer noch viel lernen, auch wenn es in manchen Details leider meinen Horizont überschreitet.

 

[anonymousdark]

und ich kann beim mitlesen immer noch viel lernen, auch wenn es in manchen Details leider meinen Horizont überschreitet.

Schön, dass du dich dafür interessierst, vielen geht Sicherheit/(Dateschutz) traurigerweise am Po vorbei und wollen es einfach nicht verstehen das so ein Smartphone nichts mit Privatsphäre am Hut hat.

Es gibt da genug aus meinem Bekanntenkreis, die kennen die ganzen schlechten Jahrelangen Meldungen zu zB. whatsapp, aber nutzen es munter weiter, vom Google Playstore ganz zu schweigen...will garnicht wissen, welche intimen wirklich privaten Sachen die über diesen extrem unsicheren Messenger autauschen....

Aber es geht mir auch so, das ich vieles Fachliche nocht nicht verstehe, das dauert halt seine Zeit .

Kann hier denn niemand etwas zu den (Metaden) von SMSSecure sagen?

 

[mratix]

Nein, "LibreSignal ist auch ohne GCM" Signal ist mit GCM.

Hmmm, Vertrauen ist gut, Kontrolle... lässt dann die Klappe fallen

Also, untereinander scheinen sie kompatibel zu sein, verwenden jedoch nicht den gleichen (eigenen, vorhandenen, bestehenden) Schlüssel. Er wird bei jeder App neu generiert und der/die Absender über den Wechsel informiert.

M.M.n. total schlecht. Woher soll der Gegner wissen und wie kann er es überprüfen, warum jemand seinen Schlüssel tauscht. Ob er kompromittiert wurde, neu installiert hat oder einfach nur die App gewechselt hat. Zudem jeder Key aus gleichem Haus (Whispersystems) kommt.

Wären wir da nicht mit PGP z.B. Openkeychain-Integration besser dran?

 

[anonymousdark]

Hmmm, Vertrauen ist gut, Kontrolle... lässt dann die Klappe fallen

Ich stimme dir vollkommen zu, dass Kontrolle immer besser ist.
Ich nutze LibreSignal nicht, auch wenn Mike Kuketz diese App in seinem Blog vorschlägt. Wegen der Verwendung der Telefonnumer. Da sind Jabber/XMPP Apps besser.

Hast du LibreSignal (Websocket?) selbst Kompiliert? Dann sind es ja 2 Ausschlusskriterien (siehe dein Bild/Anhang) diese App nicht zu verwenden. 1. Telefonnummernhash, 2.GCM auch wenn ausschaltbar.

Wären wir da nicht mit PGP z.B. Openkeychain-Integration besser dran?

F-Droid

Hat denn mal einer von euch (experten (nein, kein sakrasmus)) Conversations (OTR, OpenPGP) oder Kontalk getestet?

 

[an0n]

Frohes Neues,
zu SMSsecure: man muss sich nicht anmelden und die SMS-Daten werden nicht irgendwo auf einem server gespeichert, verbidung geht direkt über dein Telefonnetz. Metadaten: Wenn zwei mit verschlüselung simsen kann man den inhalt nicht lesen, wenn nicht dann schon. Ansonsten kann man immer nachverfolgen von wo du simst oder surfst, bzw. deine Telefonnr. und IP und Ort, Zeit, Kontakt-IP wird gespeichert, das ist unabhängig davon welche app man benutzt. Vorratsdatenspeicherung – Wikipedia

Zu Libresignsl: das grosse feature ist hierbei die telefoniermöglichkeit und dazu gibt das aktuell keine besseren alternativen. soweit ich weiss, geht das allerdings nur mit Libresignal zu Libresignal, Stockphone muss man wahrscheinlich drauflassen @ mratix: kannst du LS mit deaktivierter Stock-telefonapp testen?

 

[mratix]

soweit ich weiss, geht das allerdings nur mit Libresignal zu Libresignal, Stockphone muss man wahrscheinlich drauflassen @ mratix: kannst du LS mit deaktivierter Stock-telefonapp testen?

Libresignal zu Signal müsste theoretisch voll kompatibel sein. Allerdings melden meine beiden Libre untereinander nur "Netzwerkfehler". Irgendwie tut der RedPhone-Teil ganz und garnicht.

Spoiler

Hab noch bischen weiter getestet, gar nicht so einfach herauszufinden was alles so zum Telefon, von den Apps, gehört. Hab CM-12.1 drauf und einen Dialer (Frontend und Wählpad), Telefon (Sprachbox), In-Call-UI (während Telefonat?). Und dann gibts noch die Storages: Tel/SMS-Speicher und Anrufprotokoll.

Und wenn wir SMS dazunehmen sind es bestimmt nochmal 3-5 Komponenten.

Jedenfalls deaktivieren des Dialers+Telefon lässt a) das Telefon-Icon verschwinden und b) hindert Libresignal nicht an der Arbeit. Wahrscheinlich ist es eh eine der o.g. Komponenten die greifen bzw. den Anruf signalisieren.

OT: Wir sind total vom Thema abgekommen. Der Mod reisst uns die Rüben runten wenn wir hier/hiermit weitermachen Wir sollten umziehen.

@ooo ganz ganz fett sorry

 

[York]

Hallo zusammen,

zunächst einmal vielen Dank an den OP für den unglaublichen wertvollen Beitrag.

Mich beschäftigen derzeit ein paar Fragen, die ich gerne an diese Runde hier übergeben würde:

1. Cisco hat OpenDNS vor einiger Zeit gekauft. Und Cisco ist ein Unternehmen, das Router mit Hintertüren für Geheimdienste baut. Warum soll ich nun OpenDNS mehr vertrauen als der Google DNS bzw. der meines Internetproviders?

2. Es gibt wohl einige Router-Hersteller, die Hintertüren einbauen...u.a. TP-Link, Netgear, Linksys. Die Firma Bintec wirbt für hochsichere Router ohne Hintertüren, nur in Preisregionen jenseits von Gut und Böse. Was nutzt ihr bzw. was könnt ihr empfehlen (was bezahlbar ist)?

3. Ich habe alle Anweisungen des OP befolgt. Auch das mit dem Protokollieren hinter Firewall. Auch das mit Captive Portal und so. Wenn ich alles blocke außer root und kernel, werden trotzdem Verbindungen über UID 1000 gemäß Network Log hergestellt. Es sind in der Regel nur wenige Datenpakete, ca. 14-18 bei jedem Einloggen ins WLAN. Das Ziel ist immer cache.google.com. Ist DNS 208.67.220.220 in AFWall+ eingestellt sind es übrigens IP-Adressen meines Internet-Providers komischerweise. Nehme ich die DNS Adresse des CCC habe ich IP Adressen in Berlin. Aufgelöst wird aber in beiden Fällen mit cache.google.com. Ich verstehe das nicht so ganz. Warum "leakt" UID 1000? Afdwall+ blockt alles außer root und kernel. Was ich auch nicht verstehe, warum cache.google.com die IP Adresse meines Internetproviders hat, wenn ich die OpenDNS nehme. Ich nutze ne Stock Rom von Samsung (da custom Roms den Aptx Blutooth Codec nicht supporten) und werde wohl auch den Playstore nutzen. Nur: Warum diese Verbindungen, wenn alles geblockt wird?

 

[ooo]

Warum soll ich nun OpenDNS mehr vertrauen als der Google DNS bzw. der meines Internetproviders?

Du hast recht - das ist inzwischen überholt - der Beitrag wurde verfasst, bevor Cisco den DNS-Dienst von OpenDNS übernommen hatte.

Neue Lesart an der Stelle wäre dann jetzt:
Bitte benutzt einen DNS-Service (dessen IPs) eures geringsten Mißtrauens ...

Router [...] Was nutzt ihr bzw. was könnt ihr empfehlen (was bezahlbar ist)?

Ich gebe bewusst keine konkrete Empfehlung, aber ich würde ein altes Notebook (oder einen neuen lüfterlosen Mini-Rechner) mit Linux als Router/Wireless AP aufsetzen, der dann als Router und Firewall zwischen dem internen LAN (Notebook, Smartphone, NAS/Private Cloud, TV, Kühlschrank/Heizung, Kameras, Rolladen-/Licht-Steuerung etc.) und dem Provider(-Router/-Modem) sitzt, damit ich die Kontrolle habe. - Das ist kostengünstiger als eine Kauf-Lösung, sicherer als jeder Router, sehr viel besser konfigurierbar/kontrollierbar, aber auch anspruchsvoller und Arbeits-intensiver. - Diese Box wäre dann die einzige Maschine, die direkt mit dem Internet verbunden ist. - Ausahmslos alle anderen Geräte im LAN müssten dann über diese Box ins Internet.

Kleiner Einstieg:
Router-Kaskaden
Router & Firewalls | Forum - heise online
DMZ selbst gebaut
Demilitarized Zone – Wikipedia
ubuntu as router firewall appliance at DuckDuckGo
List of router and firewall distributions - Wikipedia, the free encyclopedia

Das Ziel ist immer cache.google.com

Erklärungen dazu finden sich bei Google (wo auch sonst? ...)
what is cache.google.com - Google-Suche
How to disable Google Chrome from sending data to safebrowsing-cache.google.com and safebrowsing.clients.google.com?

Wenn ich alles blocke außer root und kernel, werden trotzdem Verbindungen über UID 1000 gemäß Network Log hergestellt.

Ich blocke inzwischen auch den Kernel komplett (ohne Nachteile zu bemerken). - Kernel-Traffic ist eigentlich Traffic, der von irgendeinem Prozess des Phones ausgelöst wurde. - Das kann eine binary oder indirekt eine App gewesen sein.

Warum "leakt" UID 1000?

Unter der UID 1000 (User ID 1000 = system User) laufen ja so einige Apps/Services. - Das ist auf einem Samsung-Gerät "unverschämt" viel.
Aber man kann NICHT sehen, welche App/welcher Prozess das genau ist.
Was da evtl mit wenigen Paketen "leakt" , ist der NTP-Service beim Start des Phones. Das wäre dann auf Port 123/udp und bedeutet, das Phone holt sich die konkrete Uhrzeit von einem Zeit-Server aus dem Internet. - Das kann man - so, wie das DNS - "umbiegen" auf einen bestimmten Zeitserver (über einen weiteren Eintrag in einem Custom Script):

# Where are the iptables binaries? - These locations are device/ROM dependent.
IPTABLES=/system/bin/iptables
IP6TABLES=/system/bin/ip6tables

# Force NTP DE ntp0.fau.de (131.188.3.222), Location: University Erlangen-Nuernberg
$IPTABLES -t nat -A OUTPUT -p tcp --dport 123 -j DNAT --to-destination 131.188.3.222:123
$IPTABLES -t nat -A OUTPUT -p udp --dport 123 -j DNAT --to-destination 131.188.3.222:123

Für zusätzliche Zeitanfragen nach dem Start gibt man in den Firewall Rules "-14 (NTP)" frei.

Ich nutze ne Stock Rom von Samsung (da custom Roms den Aptx Blutooth Codec nicht supporten) und werde wohl auch den Playstore nutzen.

Ich möchte dir das Samsung-Stock-ROM nicht madig machen, aber ich würde immer eine (kontrollierbare) Custom ROM (ohne Google Apps) vorziehen. - Auch, wenn ich dafür auf etwas verzichten müsste ...

Warum diese Verbindungen, wenn alles geblockt wird?

Das kann man ohne das Phone vor sich liegen zu haben, und dessen Einstellungen/Traffic direkt zu analysieren, nicht konkret sagen. (Gerade Samsung ROMs sind manchmal nicht trivial und kochen ihr "eigenes Süppchen".)

 

[LenovoP780]

Bezüglich DNS, auf PrivacyTools.io wird auf OpenNIC verwiesen.
Ihr Slogan: "Are you looking for an alternative DNS provider that is open and democratic, are you concerned about censorship?"

Ich kenne mich mit dem Thema leider nicht gut genug aus um beurteilen zu können, ob das eine der besseren Alternativen ist.

 

[anonymousdark]

Neue Lesart an der Stelle wäre dann jetzt:
Bitte benutzt einen DNS-Service (dessen IPs) eures geringsten Mißtrauens ...

Am besten wäre ja ein eigener DNS (lieder nicht für jeden machbar).
Das wäre Bsp.weise - OpenNIC Project

Solch ein CISCO-Gerät habe ich leider auch.

Ich gebe bewusst keine konkrete Empfehlung, aber ich würde ein altes Notebook (oder einen neuen lüfterlosen Mini-Rechner) mit Linux als Router/Wireless AP aufsetzen, der dann als Router und Firewall zwischen dem internen LAN (Notebook, Smartphone, NAS/Private Cloud, TV, Kühlschrank/Heizung, Kameras, Rolladen-/Licht-Steuerung etc.) und dem Provider(-Router/-Modem) sitzt, damit ich die Kontrolle habe.

Das hört sich interessant an. Also kann man als DMZ auch zB. einen RapsberryPI nutzen, richtig?
[doublepost=1451855143,1451855006][/doublepost]@LenovoP780
Sorry, da warst du wohl schneller!

 

[mratix]

IPFire und OpenWrt wären noch zu erwähnen.

 

[an0n]

@mratix: es müsste nur der "dialer " sein, aber egal, werde es selber mal testen.

Zu DNS: Opennic würd ich nicht empfehlen, geht ständig offline. Ich nutz DNS.watch, es wird nix geloggt, nix zensiert, dnssec-gesichert, ist kostenlos, deutscher dns-dienst, weitere Alternativen:
Unzensierte DNS-Server - JonDonym Wiki

 

[mratix]

Hallo zusammen,

bin die letzten Tage am testen und vergleichen neuer Roms. Irgendwann zwischendrinn hab ich dann ein paar DNS Server getestet. Und boom, hat mein startscript aufgehört zu funktionieren
Resultat: Kein Traffic nach Außen.

Ärgerlich, vor lauter Bäume sehe ich den Wald nicht mehr. Kann einer kurz drüberschauen wo ich es verbockt habe und einfach nicht sehe? Danke schon mal.

Spoiler

startscript

#!/system/bin/sh
#
# /storage/emulated/0/afwall/afwall-start-script.sh

IPTABLES=/system/bin/iptables
IP6TABLES=/system/bin/ip6tables

# Flush/Purge INPUT rules (All 'afwall' chains/rules gets flushed automatically, before the custom script is executed)
$IPTABLES -F INPUT

# Flush/Purge all chain
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
#$IP6TABLES -X
#$IP6TABLES -t nat -X
#$IP6TABLES -t mangle -X

# Deny IPv6 connections
#$IP6TABLES -P INPUT DROP
#$IP6TABLES -P OUTPUT DROP

# Block Facebook Outgoing Connection
$IPTABLES -A "afwall" -d 31.13.24.0/21 -j REJECT
$IPTABLES -A "afwall" -d 31.13.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 66.220.144.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.63.176.0/20 -j REJECT
$IPTABLES -A "afwall" -d 69.171.224.0/19 -j REJECT
$IPTABLES -A "afwall" -d 74.119.76.0/22 -j REJECT
$IPTABLES -A "afwall" -d 103.4.96.0/22 -j REJECT
$IPTABLES -A "afwall" -d 173.252.64.0/18 -j REJECT
$IPTABLES -A "afwall" -d 204.15.20.0/22 -j REJECT

# Block Google Tag Manager
$IPTABLES -A "afwall" -d 173.194.113.158/32 -j REJECT

# Block Boat devs
$IPTABLES -A "afwall" -d 192.241.158.0/24 -j REJECT
$IPTABLES -A "afwall" -d 211.151.0.0/24 -j REJECT
$IPTABLES -A "afwall" -d 192.254.235.97/32 -j REJECT

# Force NTP via de.pool.ntp.org
# Force NTP via ntp0.fau.de (131.188.3.220) University Erlangen-Nuernberg
NTP_IP=131.188.3.220
#NTP_IP=131.188.3.222

$IPTABLES -t nat -A OUTPUT -p tcp --dport 123 -j DNAT --to-destination $NTP_IP:123
$IPTABLES -t nat -A OUTPUT -p udp --dport 123 -j DNAT --to-destination $NTP_IP:123
$IPTABLES -A "afwall" -p tcp -d $NTP_IP --dport 123 -j RETURN
$IPTABLES -A "afwall" -p udp -d $NTP_IP --dport 123 -j RETURN

# Force DNS to LAN (crogate)
#DNS_IP=10.16.1.252
# Force DNS to OpenDNS
DNS_IP=208.67.220.220
#DNS_IP=208.67.222.222
# Force DNS to CCC
#DNS_IP=213.73.91.35
# Force DNS to dns.watch
#DNS_IP=84.200.69.80
#DNS_IP=84.200.70.40
$IPTABLES -t nat -A OUTPUT -p tcp --dport 53 -j DNAT --to-destination $DNS_IP:53
$IPTABLES -t nat -A OUTPUT -p udp --dport 53 -j DNAT --to-destination $DNS_IP:53
$IPTABLES -A "afwall" -p tcp -d $DNS_IP --dport 53 -j RETURN
$IPTABLES -A "afwall" -p udp -d $DNS_IP --dport 53 -j RETURN

# Block sending not-encrypted Mails via SMTP 25
$IPTABLES -A "afwall" -p tcp --dport 25 -j "afwall-reject"

# Block receiving not-encrypted Mails via IMAP 143
$IPTABLES -A "afwall" -p tcp --dport 143 -j "afwall-reject"

# Block receiving not-encrypted Mails via POP3 110
$IPTABLES -A "afwall" -p tcp --dport 110 -j "afwall-reject"

# Allow outgoing connections to LAN via SSH 22
#SAFE_NETWORK=10.16.0.0/12
#$IPTABLES -A "afwall-wifi" -d $SAFE_NETWORK -p tcp --dport 22 -j RETURN
# Block all other outgoing connections via SSH 22
$IPTABLES -A "afwall" -p tcp --dport 22 -j "afwall-reject"

# Block all userapps that's not outgoing default http(s) port
SAFE_PORTS_TCP=80,443
#$IPTABLES -A "afwall-wifi" -p tcp -m owner --uid-owner 10000:19999 -m multiport ! --dports $SAFE_PORTS_TCP --sport 1024:65535 -j "afwall-reject"
#$IPTABLES -A "afwall-3g" -p tcp -m owner --uid-owner 10000:19999 -m multiport ! --dports $SAFE_PORTS_TCP --sport 1024:65535 -j "afwall-reject"

 

[ooo]

$IPTABLES -A "afwall" -p tcp -d $DNS_IP --dport 53 -j RETURN
$IPTABLES -A "afwall" -p udp -d $DNS_IP --dport 53 -j RETURN

Was machen diese beiden Zeilen? Was passiert, wenn man sie auskommentiert? - Schreib mal deine DNS-IP wieder überall hardcodiert rein (--to-destination $DNS_IP:53) plus reboot.

 

[mratix]

Danke @ooo. Mach ich, sobald das Phone wieder restored ist. Hab gestern ne schlechte rom erwischt, Licht aus.

Die beiden Zeilen sind im Gefecht entstanden. Sollten eigentlich nur den input sichern (wie bei ntp).
Eigentlich besteht gar kein Grund dafür. Das Phone ist weder ein Netzwerkrouter, noch ein bind-Server. Dürfte ein grober Fehler sein.

Das mit den Variablen teste ich mal. Zumindest läuft "die Ausführung" unter CM11. Womöglich nicht oder nicht ganz unter CM12+.