Vidalia 0.2.0 mit neuer Weltkarte

Von Vidalia, einem Qt-basierten GUI für die Anonymisierungssoftware Tor ist gestern eine neue Entwicklerversion mit der Nummer 0.2.0 vorgestellt worden.

Die wahrscheinlich interessanteste Veränderung ist, dass die alte statische Weltkarte nun gegen Marble aus dem KDE-Projekt ersetzt wurde. Marble ist ein vollständiger Globus der Vidalia viele neue Möglichkeiten gibt:

So werden die einzelnen Tor-Router nun mit Namen in der Karte angezeigt, genauso wie viele Städte eingezeichnet sind:

Wenn man weiter hinaus-zoomed sieht man nur noch die grösseren, also schnelleren Router. Wenn man näher hinein-zoomed, sieht man auch die Namen der kleineren Router in der Karte eingetragen:

Mit einem Klick auf den Namen eines Routers auf der Karte lassen sich weitere Informationen über diesen Router abrufen:

Natürlich werden auch weiterhin die Circuits angezeigt. Grün sind sämtliche offenen Circuits eingezeichnet und gelb der momentan markierte:

Das funktioniert im Moment bereits klasse. Einziges Manko ist, dass Marble mehr CPU-Power zieht als die alte langweilige und weniger informative Weltkarte, aber eventuell wird dies bis das Feature stable ist ja noch gefixed.

Wenn man die Development-Version wie ich jetzt schon benutzen will, kann das natürlich auch machen. Dazu lädt man sich die Version 0.2.0 von https://www.torproject.org/vidalia/dist/ als tar.gz herunter. In dem Archiv befindet sich dann eine Datei README.marble in der steht wie man vorgehen muss um Vidalia mit der neuen Karte zu konfigurieren. Insbesondere muss man dazu eine spezielle Marble-Version aus dem SVN auschecken, was aber auch alles in der README erklärt ist.

Für Archlinux kann man hier bereits fertige Pakete für die Marble-Version und Vidalia 0.2.0 finden:
http://aur.archlinux.org/packages.php?ID=25092
http://aur.archlinux.org/packages.php?ID=25093

Trashmail Anbieter ohne Registrierung

Im Internet gibt es zahlreiche Seiten die von einem verlangen sich zu registrieren. Bei Foren war dies schon immer ein defacto Standard, doch seit dem Web2.0 Boom meint jeder Hinz und Kunz auf seiner Seite eine Registrierung für einen Service verlangen zu können der auch komplett ohne jegliche Registierung auskommen könnte (bestes Beispiel dafür ist imo die Times). Doch auch bei Foren oder Bugtrackern ist es manchmal einfach nur nervig, wenn man nur mal kurz eine kleine Frage hat oder einen Bug melden möchte sich gleich anmelden zu müssen. Wenn man dann überall seine richtige E-Mail Adresse angibt wird man schnell merken, dass das Spamaufkommen merklich ansteigen wird. Doch das Angeben einer gültigen E-Mail Adresse ist meist Pflicht weil die Betreiber eine E-Mail mit einem Link darin verschicken, den man anklicken muss um die Registrierung ab zu schliessen.

Um einmal mit Fakedaten solche Pflichtregistrierungen sinnlos zu machen und um sich vor Spam zu schützen gibt es inzwischen zahlreiche Trashmail Anbieter die einem eine Wegwerfadresse anbieten. Von solchen Adressen kann man meist keine E-Mails versenden sondern nur Empfangen, was für den Zweck von Registierungsmails aber vollkommen ausreichend ist. Die verschiedenen Anbieter lassen sich grob in drei Kategorien einteilen.

1.) schnelle Registrierung: Solche Anbieter geben einem oft ein vollwertiges Mailkonto (jedoch nur auf den Empfang von Emails beschränkt wobei es auch da Ausnahmen gibt), manchmal auch nur für einen kurzen Zeitraum begrenzt und verlangen zur Registrierung selbst nur einen Username und Passwort und sonst nichts. Vorteil ist, dass nur man selbst Zugriff auf die E-Mails hat. Nachteil jedoch, dass man sich, wenn auch sehr schnell, aber doch trotzdem registrieren muss.

2.) Weiterleitung: Einige Anbieter offerieren eine Weiterleitung. Sprich man kann sich E-Mails von einer beim Anbieter schnell einzurichtenden Wegwerfadresse zu seiner richtigen Adresse weiterleiten lassen, meist auf einen bestimmten Zeitraum beschränkt. Man gibt bei einer Registrierung dann die Wegwerfadresse an und bekommt die notwendige Bestätigungsmail der Registrierung dann an seine richtige weitergeleitet. Damit bekommt derjenige wo man sich registriert nicht die richtige E-Mail Adresse zu sehen sondern nur die Wegwerfadresse. Manche dieser Anbieter verlangen keine Registrierung, manche jedoch eine schnelle Registrierung wie unter 1.) erläutert. Vorteil ist wieder, dass nur man selbst Zugriff auf die E-Mails hat. Nachteil dieser Methode jedoch, dass man dem Trashmail Anbieter vertrauen muss, denn schliesslich erfährt dieser die richtige E-Mail Adresse und was der damit macht ist fraglich. Ich halte diese Anbieter deswegen für die schlechtesten unter den drei Kategoriern.

3.) Keine Registrierung: Bei diesen Anbietern muss man keinerlei Daten angeben sondern erhält direkt wenn man auf die Seite geht eine zufällige oder frei wählbare E-Mail Adresse. Vorteil ist einfach, dass man innerhalb von Sekunden eine E-Mail Adresse hat. Nachteil jedoch, dass jeder der möchte die empfangenen E-Mails ebenfalls lesen kann, wenn er nur den Namen der E-Mail Adresse kennt. Dies ist meist jedoch vollkommen egal, weil alles was er finden wird eine E-Mail mit einem Registierungslink darin ist. Nach einem Zeitraum von 1-24h, je nach Anbieter, werden die E-Mails die ein Account empfangen hat gelöscht.

Ich persönlich finde für Zwangsregistrierungen die dritte Kategorie am besten. Leider gibt es von diesen Anbietern jedoch bei weitem nicht so viele wie von den anderen beiden Kategorien.

Ich habe fünf dieser Anbieter gefunden, doch weitere wurden bisher in den Kommentaren zu diesem Artikel veröffentlicht welche ich ans Ende der Liste eingefügt habe. Danke an die jeweiligen Poster!

registrierungsfreie Trashmail Anbieter:
http://dodgit.com
http://www.guerrillamail.com
http://www.mytrashmail.com
http://tempinbox.com
http://spam.la
http://spamavert.com
http://trash-mail.com
https://anonbox.net
http://www.sofort-mail.de
http://10minutemail.com/10MinuteMail
http://www.mailinator.com
http://www.maileater.com
http://www.slopsbox.com

dm-crypt mit LUKS bruteforcen

Ich habe mal ein kleines Programm geschrieben um den Schlüssel von Partitionen zu bruteforcen welche mit dm-crypt und LUKS verschlüsselt wurden.

LUKS ist recht langsam bei der Verifizierung des Passwortes, so schaffe ich mit dem Programm auf einem Intel Core Duo mit 1.6 GHz ca. 90.000 Passwörter pro Tag auszuprobieren. Für eine Wörterbuchattacke ist das immernoch gut, wenn man aber alle möglichen Passwörter der Reihe nach ausprobieren möchte dann sollte man die verschlüsselte Partition mehrmals kopieren und dann parallel an den Kopien der Partition arbeiten. Denn mit mehreren Threads an einer Partition zu arbeiten geht leider nicht da dm-crypt die Partition locked während dem Versuch sie aufzusperren.

Das ganze funktioniert nur mit Partition die mit einem Passwort verschlüsselt wurden. Eine mit einer Keyfile verschlüsselte Partition so zu knacken dürfte nahezu unmöglich sein, da die Grösse der Keyfile soviele Möglichkeiten besitzt, dass man schon mehrere tausend Rechner mehrere Jahre rechnen lassen müsste.

Die Benutzung ist recht einfach. Man setzt die richtige Partition im Skript als Variable und startet das Programm dann mit der Passwort-/Wörterbuchdatei als Argument. Da man meist Root-Rechte benötigt um auf die Partition zugreifen zu können sollte man es mit sudo starten.

#!/usr/bin/env ruby
#
# dm-crypt LUKS bruteforcing script
#
# Copyright 2009 by Rorschach (r0rschach@lavabit.com)
# Licence: GPL3

$VERBOSE=true

require 'open3'

$partition='/dev/sdXY'
$mapper='brute'

def error(msg)
	puts " Error: #{msg}"
	puts " Aborting now!"
	exit 1
end

def check_if_correct(stderr,stdout)
	return false if stderr.chomp.chomp == "Command failed: No key available with this passphrase."
	return true if stdout =~ /^key\sslot\s\d\sunlocked\.$/
	case stderr.chomp
		when "Command failed: Device already exists"
			error("#{$partition} is already unencrypted and mapped to #{$mapper}.")
		when "Command failed: Can not access device"
			error("Wheter #{$partition} does not exist or is already mapped to another device.")
		else
			error("An unknown error has occured:\n  #{stderr.chomp}")
	end
end

if ARGV[0]==nil
	error("Not enough arguments!\n Usage: #{$0} dictionaryfile")
end

if not FileTest::exist?(ARGV[0])
	error("#{ARGV[0]} doesn't exist.")
end

File.open(ARGV[0], "r").each_line do |password|
	puts "Testing: #{password}"
	Open3.popen3("sudo cryptsetup luksOpen #{$partition} #{$mapper}") do |stdin,stdout,stderr|
		stdin.puts password.chomp
		if check_if_correct(stderr.read,stdout.read)
			puts "\n Correct password found: #{password.chomp}"
			system("sudo cryptsetup remove #{$mapper}")
			exit 0
		end
	end
end

puts "\n Haven't found the correct password."
exit 1

Falls auf Grund der Auflösung das Skript oben nicht vollständig dargestellt werden sollte habe ich es hier nochmal hinterlegt.

17 Anonymisierungsdienste von AK Vorratsdatenspeicherung getestet

Der Arbeitskreis Vorratsdatenspeicherung hat 17 unterschiedliche Anonymisierungsdienste auf Herz und Nieren überprüft:

Den kompletten 14 seitigen Testbericht kann man hier herunterladen. Er ist ganz gut geschrieben wobei imo bei Jondonym nicht richtig über das Backdoor aufgeklärt wird.

Bundesregierung will Speicherung von IP-Adressen explizit erlauben

In einem neuen Gesetzesentwurf möchte die Bundesregierung durch Hinzufügen eines Absatzes 9 in den §15 des TMG die Speicherung von „Nutzungsdaten“ zukünftig für gewisse Zwecke explizit erlauben:

(9) Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Dienstes genutzten technischen Einrichtungen erheben und verwenden. Absatz 8 Satz 2 und Satz 3 gilt entsprechend.

Unter Nutzungsdaten fallen natürlich auch IP-Adressen. Über diese gibt es nach wie vor eine rege Diskussion ob sie personenbezogene Daten sind (und deswegen nach §15 Abs.1 TMG nur und ausschliesslich zu Abrechnungszwecken gespeichert werden dürften) oder eben nicht. Die Bundesregierung will diese Diskussion nun auf diesem Wege beenden.

Mit dem neuen Absatz 9 klärt sie zwar nicht die Frage ob es sich bei IP-Adressen um personenbezogene Daten nun handelt oder nicht, aber sie macht die Diskussion darüber doch zumindest in weiten Teilen obsolet.

Interessant ist an der Lösung jedoch, dass auch hier schon wieder die Probleme losgehen. Auf www.ip-adressen-recht.de wird zurecht bemängelt, dass die Dauer der Speicherung der IP-Adressen sehr ungenau definiert ist da einfach nur auf den Absatz 8 des §15 TMG verwiesen wird:

[...] Der Diensteanbieter hat die Daten unverzüglich zu löschen, wenn die Voraussetzungen nach Satz 1 nicht mehr vorliegen oder die Daten für die Rechtsverfolgung nicht mehr benötigt werden. Der betroffene Nutzer ist zu unterrichten, sobald dies ohne Gefährdung des mit der Maßnahme verfolgten Zweckes möglich ist.

Sprich sobald die Daten nicht mehr benötigt werden müssen sie gelöscht werden. Wenn sie also zum Beispiel um eventuelle DOS-Attacken abzuwehren gespeichert werden, dürften sie wohl maximal zwischen 1-10 Sekunde gespeichert werden. Denn bei einer DOS-Attacke werden Requests von einer IP wohl niemals weiter als 10 Sekunden auseinanderfallen. Wohlwollend könnte man das auf 60 Sekunden auslegen um auch unwahrscheinliche Fälle zu erfassen aber damit hat es sich auch schon. Andererseits lässt sich das aber wie bei www.ip-adressen-recht.de erläutert auch beliebig lange auslegen.

Alles in allem eine sehr unbefriedigende Lösung: Einmal weil die große Frage damit eher umschifft als beantwortet wurde, zum anderen weil diese Lösung anstatt die Sache entgültig zu klären noch mehr Fragen aufwirft und natürlich nicht zuletzt weil die Speicherung von IP-Adressen generell eine schlechte Sache ist und einiges an Mißbrauchspotential wie Usertracking mit sich bringt.

Die Bundesregierung hat aus den zahlreichen, in den letzten Monaten an die Öffentlichkeit gelangten Fällen des Datenmißbrauchs anscheinend überhaupt nichts gelernt. Merkbefreitheit ist wohl das Alleinstellungsmerkmal der Regierung Merkel, wenn es um IT-Recht geht.

Fast alle kostenlose JAP/Jondo-Mixe haben gestern zu loggen angefangen

Obwohl die Rechtslage unklar und noch lange nichts entschieden haben die meisten Betreiber von Jondo Mixen seit gestern begonnen im Sinne von §113 TKG, also der Vorratsdatenspeicherung die Verbindungsdaten ihrer Benutzer zu loggen.

Betroffen sind davon (laut AN.ON Dresden) beide Mixe der Dresden-Dresden Kaskade und der ULD Mix. Die kostenlose GPF-Backupsolutions Kaskade (von der zumindest die GPF bereits zugesagt hat nicht zu loggen) ist auf Grund von Problemen bei Backupsolutions immernoch down. Ob die kostenlose CCC-Kaskade jemals wieder online kommt steht in den Sternen.

Somit existiert im Moment keine einzige kostenlose Kaskade mehr in der nicht mindestens ein Mix seine Verbindungsdaten loggt.

Wenn ein Mix loggt ist es immer besser, unter Anonymitäts-Aspekten, wenn der letzte Mix loggt. So im Moment der Fall bei Speedpartner-ULD. Die Betreiber dürfen nur speichern wer sich mit einem verbindet, zu welcher Uhrzeit und was der Quellport war. Das bedeutet ULD wird immer nur loggen um wieviel Uhr sich Speedpartner mit ihm verbunden hat. Diese Informationen dürften absolut nutzlos sein solange Speedpartner weiterhin nicht loggt. Leider ist Speedpartner-ULD fast immer ausgelastet und man kommt nur in Dresden-Dresden rein. Da loggen wie bereits gesagt beide Mixe. Die Anonymität ist damit zum grössten Teil futsch.

Auch unter den Kostenpflichtigen haben einige mit dem 01.01.2009 begonnen zu loggen.

Das ist sehr schade und könnte zumindest Image-mässig gesehen das Aus für Jondo/Jap bedeuten. So stirbt die einzig brauchbare Alternative von Tor…

Einziger Ausweg in meinen Augen für Jondo: sämtliche Mixe die loggen rauswerfen. Das würde sicherlich anfangs Probleme geben weil die wenigen übrigen Mixe die dann eine Kaskade bilden könnten sicher ausgelastet sein werden aber dafür bleibt es ein brauchbarer Service und die Menschen werden ihn unterstützten. Doch wer unterstützt schon einen Anonymitätsdienst wenn der Großteil der anderen Mix-Betreiber Verbindungsdaten loggt?

Update: Gerade im Forum der German Privacy Foundation gelesen, dass Jondo sich dazu geäußert hat:

… Das ULD und die TU Dresden haben eine erste, unverbindliche Auskunft von der Bundesnetzagentur erhalten, welche sie entsprechend umsetzen wollen. Problematisch ist, dass die Auskunft der Bundesnetzagentur teils deutlich über die gesetzlichen Vorgaben hinausgeht. Dadurch könnten sich die Betreiber unter Umständen strafbar machen, wenn sie die Technik entsprechend einsetzen. Wir stehen deswegen weiter im Dialog mit der Behörde.

und

Wir raten allen Mixbetreibern vor einer solchen Speicherung derzeit ab, da sie möglicherweise über die gesetzlichen Verpflichtungen hinausgeht, und damit unter Umständen rechtswidrig wäre.

Fingerabdrucksensoren sind nach wie vor nicht sicher

Der CCC hat ja schon mehrmals bewiesen, wie leicht es ist einen Fingerabdruck zu fälschen. Die beste Erklärung findet man wohl in diesem Video:

Das gibt es hier auch als mpeg zum Download: klick.

In der anschliessenden Diskussion wurde oft gesagt, dass diese Technik nur bei diesen billig Sensoren möglich ist wie sie in Mäusen, Tastaturen und Laptops vorkommen.

Jedoch sind auch die „richtigen“, also die die Länder zum Beispiel an Grenzen nutzen, genauso leicht zu fälschen. So ist jetzt herausgekommen, dass es anscheinend in Japan bereits normal ist für illegale Einwanderer sich Fingerabdrücke auf Folie zu besorgen um somit die Sensoren an den Grenzen aus zu tricksen.

Interessant vor allem weil auch auf deutschen Reisepässen solch ein Fingerabdruck verpflichtend ist und er für die neuen Personalausweise, zumindest vorerst noch nur auf freiwilliger Abgabe, gespeichert wird.

In den japanischen Medien wird jetzt bereits darauf gedrängt das System zu überdenken und nach Alternativen zu suchen. Man lässt sich imo da auf ein Rennen ein, welches man nicht gewinnen kann. Dieser Wettbewerb: Kontrollmaßnahmen gegen die die sie aushebeln können wird kein Ende finden. Wenn das biometrische Bild nicht gut genug ist, der Fingerabdruck zu leicht zu fälschen, dann bleibt nichtmehr viel außer der Iris (mit Kontaktlinsen eventuell genauso leicht zu fälschen) und natürlich als Ultima Ratio der genetische Fingerabdruck..Ich weiss nicht wie leicht letzterer zu fälschen ist. Wenn sich da ein Standard etabliert, wie dass nur Speichel aus dem Mundraum genommen wird lässt sich dies eventuell auch irgendwie austricksen. Und selbst angenommen der genetische Fingerabdruck wäre sicher, so wäre die genetische Totalerfassung der Bevölkerung wohl ein teurer Pyrus-Sieg für die Zivilisation um ein paar illegale Einwanderer und Terroristen zu überführen.

Eine Sicherheitsanalyse von XMPP: sicher chatten mit Jabber, oder doch nicht?

In der neusten Datenschleuder (#93) welche seit dieser Woche in die Briefkästen ihrer Abonnenten befördet wird ist ein sehr interessanter Artikel von Hannes Mehnert mit dem Titel: „Secure Instant Messaging – am Beispiel XMPP“ .

In diesem Artikel wird sehr schön das XMPP-Protokoll an sich erläutert und dann ausführlich auf verschiedene Sicherheitsaspekte eingegangen. Sowohl die Client – Server, wie auch die Server – Server Verbindung wird dabei analysiert. Dann folgt eine Erläuterung der beiden verbreitesten Verschlüsselungsarten beim IM: OpenPGP und OTR, wie sie funktionieren und was ihre Vor-/Nachteile sind. Danach folgt noch eine kurze Beschreibung über die Funktionsweise und Probleme beim anonymen chatten über XMPP mit Hilfe von Tor.

Bei der Analyse wird auch jeweils auf die Implementationen innerhalb der Clienten: Adium, Gajim, Pidgin und Psi eingegangen, als auch auf die unterschiedlichen Serverimplemenationen ejabberd, jabberd-2 und jabberdI.

Kurze Zusammenfassung des Artikels: Keine momentane Serverimplementation besitzt einen verlässlichen Zufallszahlengenerator welcher Vorraussetzung für eine sichere Authentifizierung mit SASL (DIGEST-MD5) oder Digest-Authentifizierung ist. ejabberd hat jedoch die Nase etwas vorne, da sein Zufallszahlengenerator auch die Millisekunden des Zeitpunktes vom Server-Startup miteinbezieht. Bei den Client-Implementationen sieht es sicherheitstechnisch noch etwas schlechter aus, als bei den Server-Implementationen. So ist zum Beispiel laut Artikel keine stable-Version eines der oben genannten Clienten in der Lage ein Zertifikat für die nächste Verbindung zu speichern und somit die Integrität des Servers zu überprüfen. Psi, Audium und Gajim scheinen dem jedoch in den neusten Versionen in Subversion abgeholfen zu haben, weswegen es sich anbietet die Development-Versionen eines dieser Clienten zu nutzen.

Zu den Verschlüsselungsmethoden: OpenPGP hat den Nachteil, dass sollte jemals der private Schlüssel in die Hände eines Unbefugten gelangen, dieser jede jemals mit ihm verschlüsselte Nachricht entschlüsseln kann. Bei OTR besteht diese Gefahr nicht da bei jeder Verbindung ein neuer Schlüssel ausgehandelt wird. Dafür hat OTR Probleme mit Latenzen, also wenn zum Beispiel eine Nachricht erst ankommt, nachdem bereits ein neuer Schlüssel ausgehandelt wurde kann sie nichtmehr entschlüsselt werden. Dies wird momentan von den Clienten nur bedingt durch einen Nachrichten- und OTR-Schlüsselcache verhindert , welcher aber wiederum die Sicherheit von OTR gefährdet. Offline-Nachrichten sind mit einer sicheren OTR-Implementation auch nicht möglich.

Fazit: Das offene XMPP-Protokoll an sich ist sehr geeignet für eine sichere Kommunikation, doch die momentanen Implementationen lassen noch etwas zu wünschen übrig, auch wenn Fortschritte eindeutig zu verzeichnen sind.

Freundlicherweise stellt Hannes diesen Artikel nicht nur den Lesern der Datenschleuder zur Verfügung (denn die PDF-Variante dieser wird wahrscheinlich erst in ein paar Monaten erscheinen) sondern bietet den vollständigen Artikel auch als Download an: https://berlin.ccc.de/~hannes/secure-instant-messaging.pdf .

anonyme SIM-Karten und Weiterverkauf von SIM-Karten

Gerade bei gulli gelesen, dass dem Betrieber von simonym wohl nun doch ein Prozess bevorsteht. Wer es nicht kennt: auf simonym konnte man Prepaid-SIM-Karten für sein Handy kaufen, welche nicht auf den eigenen Namen registriert sind.

Dadurch konnte man sich trotzt Besitz eines Handys ein kleines bischen Anonymität erkaufen. Denn wenn die SIM-Karte auf den eigenen Namen registriert ist, ist es für den Netzprovider durch Triangulation möglich den Besitzer der Karte auf 150m genau zu lokalisieren und ein komplettes Bewegungsprofil einer Person zu erstellen. Offiziell braucht es dafür natürlich einen richterlichen Beschluss, trotzdem bleibt das Unbehagen, dass mein Provider genau herausfinden kann, dass ich Rorschach mich genau an dem und dem Ort zu dieser Uhrzeit aufhalte.

Durch eine anonym registrierte SIM-Karte bleiben zwar noch eine Menge andere Risiken, wie zB dass wenn diese SIM-Karte jeden Tag zu meinem Haus getrackt werden kann wohl relativ klar ist wer der Besitzer ist (zu 100% jedoch nur wenn man alleine wohnt und sich sonst keiner in einem Umkreis von 150m, in ländlichen Gegenden noch weiter, befindet), sie die Telefonate abhören und jemand den Namen am Telefon nennt ebenfalls der Besitzer enttarnt ist usw.. und doch kann man mit einer anonym registrierten SIM-Karte wenn man sie intelligent benutzt tatsächlich anonym telefonieren.

Der Telekom gefällt das allerdings anscheinend nicht. Ein Grund hierfür ist mir jedoch, egal wie angestrengt ich nachgedacht habe nicht eingefallen. Ich meine es sind keine Verträge wo sie Angst haben müssen, dass ein anonymer Kunde die Zeche prellt sondern Prepaid-Karten, also der Kunde zahlt erst und dann bekommt er erst die Leistung. Haben sie vielleicht Angst, dass Vater Staat in seinem Überwachungswahn sie mit restriktiven Gesetzen diesbezüglich überschütten würde, wenn sie es nicht von sich aus unterbingen würden? Aber wenn würde sich Vater Staat doch an simonym und nicht die DT wenden oder doch?

Naja ich weiss nicht warum sie was dagegen haben und kann da nur spekulieren. Lieber zurück zu den Fakten: Die Telekom hatte also eine Unterlassungserklärung gefordert und auch bekommen, doch jetzt will sie natürlich noch die Anwaltsgebühren haben. Der Betreiber kann und will sie nicht zahlen, hat nun eine Mahnung bekommen und wird wohl vor Gericht gehen. Die Telekom meint er hätte im Weiterverkauf gegen ihre AGB’s verstossen, was er sicherlich auch getan hat, vor allem in Hinblick auf Punkt 13.1 (Satz 1) und 14.1 der AGB’s. Fraglich ist jedoch ob diese Klauseln gültig sind.

Die Telekom verkauft diese Prepaid-SIM-Karten nach §433 I BGB an ihre Kunden womit diese nach der Übereignung das Eigentum an den Karten erlangen. Nach §307 I Nr.1 BGB sind jedoch Klauseln unzulässig, wenn sie mit wesentlichen Grundgedanken der gesetzlichen Regelungen die sie abändern nicht im Einklang stehen. Die Telekom möchte dem Eigentümer durch ihre AGB’s untersagen sein Eigentum, also die SIM-Karte weiterzuverkaufen. Ich meine, dass sie das nicht so ohne weiteres tun kann hab jetzt aber auch kein BGB-Kommentar zur Hand um das weiter zu prüfen. Vielleicht will sie auch die gleiche Argumentation wie manche Software-Hersteller anführen sie würden die SIM-Karten garnicht verkaufen sondern nur lizenzieren oder vermieten… Das halte ich für abwägig, sowohl für Software wie auch für SIM-Karten. Meiner Meinung nach wird beides verkauft und der neue Eigentümer kann damit machen was er will. Juristisch problematisch an der Sache ist jedoch, dass an den Kauf der SIM-Karte auch noch ein Dienst-Vertrag mit der DT abgeschlossen wird. Wie es mit dessen Übertragbarkeit aussieht ist fraglich. Der Betreiber von simonym will die Rechtslage nun jedoch von einem Gericht klarstellen lassen.

Jetzt hab ich schon wieder mehr geschrieben als ich schreiben wollte. Was ich eigentlich schreiben wolle ist: Also ich hab mir vor ein paar Wochen in der Stadt in einem von diesen Internetcafé, Internettelefonie, Handykarten & Zubehör Läden eine SIM Karte von Ortel gekauft. Ortel ist eine Tochterfirma von E-Plus und ziemlich unbekannt. Bei der SIM-Karte war ein Zettel dabei, dass ich mich telefonisch oder über ein Webformular erst registrieren muss bevor ich die SIM-Karte nutzen kann. Ich hab die SIM-Karte in mein Handy eingelegt und eine x-beliebige Nummer gewählt. Da kam dann eine Stimme die mir sagte, dass meine Karte nicht registriert sei und ich das irgendwann mal nachholen sollte. Aber das wars. Ich konnte ohne irgendwo meinen Namen, Anschrift, etc.. anzugeben von nun an mit der SIM-Karte ohne Probleme telefonieren.

Ich würde gerne wissen ob auch andere Leute solche Erfahrungen mit Ortel gemacht haben und bin mal gespannt wie der T-Mobil Fall ausgehen wird.

kostenloses ebook: HOW TO BYPASS INTERNET CENSORSHIP

Eben bin ich auf HOW TO BYPASS INTERNET CENSORSHIP aufmerksam gemacht worden.

Das ist ein englisches Buch unter der GPL-Lizenz welches es einmal als richtiges Buch zu kaufen gibt, aber auch kostenlos als PDF zum Download.

Es erklärt auf 200 Seiten die Benutzung von Proxys, VPN-/SSH-Tunneln, Tor und Jondo um Internet-Zensurmassnahmen wie Blockierung oder Paketfilterungen von Webseiten zu verhindern.

Es ist damit ähnlich jedoch nicht ganz so umfangreich und auch nicht auf deutsch, wie das Privacy-Handbuch der GPF, welches ebenfalls als PDF heruntergeladen werden kann und neben dem anonymen Surfen auch noch Themen wie Email-, Daten- und Festplattenverschlüsselung behandelt.