Am Android Tablet oder Telefon mit LineageOS für Privatsphäre sorgen. (Teil 2)

LineageOS, ein alternatives Android Betriebssystem für Tablet und Telefon!

LineageOS ist ein Betriebssystem für Smartphones und Tabletcomputer. Es ist eine Modifizierung des von Google entwickelten freien Betriebssystems Android und der Nachfolger des eingestellten Custom-ROMs CyanogenMod. LineageOS ist Freie Software und wird von einer Gemeinschaft Freiwilliger entwickelt, die das Betriebssystem gratis zum Herunterladen bereitstellen. Mehr Infos auf der Wikipedia Seite (https://de.wikipedia.org/wiki/LineageOS)

Vorraussetzung ist ein Geräte welches offiziell unterstützt wird (https://wiki.lineageos.org/devices/) oder ein Custom Rom, z.B. von https://forum.xda-developers.com/ existiert.

WICHTIG: Mit diesem Vorgang verlieren Sie Ihre Garantie, können Ihr Gerät zerstören und niemand wird Ihnen helfen. Ich beschreibe hier den Vorgang meiner Umstellung und ermutige Sie in keinem Fall den Vorgang an Ihrem Gerät durchzuführen. Wenn Sie es machen, dann sind Sie auf sich alleine gestellt und für den Fall dass Sie das Gerät zerstören sind einzig und alleine Sie selbst verantwortlich. Niemand und schon gar nicht ich, hafte für Dinge die Sie mit Ihrem Gerät tun!

Teil 2

Basierend auf dem ersten Tests von LineageOS auf einem Samsung SM-T585 Tablet (https://kmj.at/2018-09-12-android-lineageos-samsung-sm-t585-privacy/) wurde nun noch ein Samsung A5 2017 (SM-A520F) Mobiltelefon für einen Test angeschafft. Mit ca. 250 € ein Schnäppchen und dann noch IP68 wasserdicht und gegen Staub geschützt.

Abgesehen von dem Problem, dass die Auslieferung des Telefons, entgegen der Angabe von Android 7, bereits mit Android 8 erfolgte, war die Installation ein Kinderspiel. Ein wirkliches Problem war das Downgrade des Telefons von Android 8 auf Android 7 um die SIM Karte zu erkennen.

Kurzinfo, da vermutlich für wenige User interessant: Da ich kein Windows verwende, kam Odin nicht in Frage und es wurde auf die Heimdall Flash Software zurückgegriffen. Diese war bereits zum Flashen vom TWRP am Linux Notebook installiert. Zusätzlich wurde nun noch das Heimdall-Frontend Package installiert, welches Heimdall ROMs erzeugen kann. Danach von z.B. sammobile.com das Android 7 Stock ROM laden und in einem Verzeichnis extrahieren. Über das Heimdall-Frontend alle Dateien zuweisen und dann ein Heimdall-ROM erzeugen. Wenn alles erledigt ist, geht das Flashen ziemlich einfach. Handy in den Download Mode booten, das ROM laden und mit Start flashen. Danach das TWRP neu flashen, in den Recovery Mode booten und der Anweisung aus dem LineageOS.org Wiki zur Installation auf diesem, voll supporteten Gerät, folgen.

Basierend auf der Todo von Teil 1 wurde nun noch folgendes installiert

  • Keepass2Android mit WebDAV Unterstützung
  • Traccar und Traccar Manager als Ersatz für Owntracks (läuft ohne Google Libraries)
  • K9 Mailer mit PGP Unterstützung Openkeychain
  • xBrowserSync Bookmark Syncer (gegen meinen eigenen Server)
  • FreeOPT als Client für 2FA Authentifizierung
  • OwnCloud Client für den Zugriff auf meine eigene Cloud, inkl. Voll automatischen Foto Upload und sync zwischen den Geräten
  • LinPhone SIP CLient als Nebenstelle für meinen Asterisk Server

Wichtige Hinweise

  • VERY IMPORTANT: Whenever you finish using adb, always remember to disable USB Debugging and restore Root Access to Apps only. While Android 4.2+ ROMs now prompt you to authorize an RSA key fingerprint before allowing a debugging connection (thus mitigating adb exploit tools that bypass screen lock and can install root apps), you still risk additional vulnerability surface by leaving debugging enabled.

Bilder

 

 

 

Für mich ist es eine ziemlich perfekte Lösung, da die Privatsphäre nun wieder gesichert ist und alle Funktionen einwandfrei funktionieren. In dieser Form ist Android auch für Firmen mit smarten Mitarbeitern verwendbar.

Selbst gehostetes Open Source GPS Tracking für viele GPS Tracker, sowie Android und IOS

Professionelles GPS Tracking für Privat und Business ohne Lizenzkosten und ohne Daten an Dritte zu senden!

Nachdem mein Android Tablet nun mit LineageOS von Bloatware und Software der Datensilo-Betreiber befreit ist (https://kmj.at/2018-09-12-android-lineageos-samsung-sm-t585-privacy/) blieb als offener Punkt einen Ersatz für Owntracks zu finden. Leider ist die Android Version von Owntracks mit einer Abhängigkeit von der Google Play Library versehen und damit am Tablet nicht mehr funktionsfähig. Die Frage, diese Library zu installieren stellte sich, nach dem Aufwand zur Erreichung von mehr Privatsphäre natürlich nicht.

Nach längerer Suche blieb ich bei der Traccar GPS Tracking Lösung hängen.

Die Punkte die sich gut gelesen haben:

  • Open Souce, inkl. Der Clients für IOS und Android
  • Server ist in Java geschrieben und läuft damit unter FreeBSD und Linux
  • Vollständiges Berechtigungssystem, damit auch für Firmen verwendbar
  • Client für extrem viele GPS Tracker
  • Client für Android und IOS
  • Datenbank MySQL unterstützt

Damit sollte eine vollständige, auf eigenen Systemen installierte, Open Source Lösung installierbar sein, ohne Daten an Dritte zu senden.

Die Server Installation

Aktuell läuft eine, die in meinem IoT Buch (https://www.amazon.com/dp/B01N21U0AA) beschriebene MQTT Lösung, welche die Positionen mit Owntracks Recorder sammelt und anzeigt. Zusätzlich ist es möglich, im auch dahinter liegenden Home Assistant, Events für Aktionen auszulösen. Home Assistant ist eine selbst gehostete, intelligente Open Source Home Automation Plattform, mit der es möglich ist, ohne Daten an Dritte zu senden, das Zuhause dementsprechend zu steuern.

Die beiden MQTT Server werden für andere IoT Datenübertragungen weiter laufen, der Owntracks Recorder wird aber abgeschaltet. Zusätzlich muss eine andere Einbindung der Tracker in den Home Assistant erfolgen.

Als Betriebssystem für den Server habe ich mich, wie in den meisten Fällen im Serverbereich, für FreeBSD entschieden. FreeBSD hat seit den 90ern, beginnend bei FreeBSD 2.11 meine Präferenz. Aktuell befinden wir uns bei der Version 11.2. Alternativ, insbesondere in Fällen, wo Sonderlösungen notwendig sind, wird auf Debian Linux gesetzt.

Das Projekt bietet im Dokumentationsbereich auch eine Anleitung für FreeBSD an:

Der Server wird auf der ProxMox Virtualisierungsplattform, welche meine frühere Installation abgelöst hat, eingerichtet. Die Installation des FreeBSD LAMP Servers ist nicht Inhalt dieses Blog Eintrages. Bei mir läuft FreeBSD 11.2 mit einer IP Adresse und MySQL auf einer Standard Installation, welche die CTS GMBH (https://cts-solutions.at) in gleicher Form seit vielen Jahren für Kunden installiert.

Die Installation des Servers wird nach Anleitung durchgeführt und verläuft komplett unproblematisch. Die Freigabe nach außen erfolgt über einen Reversed-Proxy. Anleitungen für die Proxy Settings für Anfänger finden sich in der Dokumentation. Für die jeweiligen Tracker gibt es eigene Ports. Der Server selbst bindet auf das Port 8082 und man sollte den Daemon auf die IP 127.0.0.1 beschränken. Damit ist der Dienst von außen nur über den Proxy erreichbar.

Tip beim rc.d Script auf das root Directory achten!

Tip in der traccar.xml das Binding mit

127.0.0.1

auf den Localhost stellen. Damit ist das Port 8082 nur am Host selbst und via Reversed Proxy erreichbar. Die Tracker-Ports sind weiterhin auf allen Interfaces erreichbar. Ich habe diese aber in der Firewall disabled und es werden nur die jeweils benötigten Ports erlaubt.

Tip Die mobilen Clients connecten per Default zum Port 5055.

Tip Im rc.d Script

stop_cmd=“kill cat ${pidfile}

einfügen.

Links zum Apache Setup:

https://www.traccar.org/secure-connection/

Nachdem wir auch ein SSL Zertifikat am Reversed-Proxy Server installiert haben, können wir das erste Login durchführen. Verwenden Sie nie einen Zugriff ohne https-Verschlüsselung. Etwas unschön ist, dass einige Scripts von Cloudflare nachgeladen werden und damit ein Tracking durch Cloudflare erlauben. Ein Patch für lokales Laden der Scripts muss unbedingt her.

Das Default Login ist admin/admin.

Sofort stellen wir in den Server Einstellungen die Karte auf OpenStreetMaps und disablen die Registrierung.

Danach ändern wir über Benutzerkonto sofort das admin Passwort und tragen eine E-Mail Adresse ein. Eine neuerliche Anmeldung erfolgt nun mit der E-Mail Adresse und dem neuen Passwort.

Nun wird es Zeit den ersten Benutzer anzulegen. Testweise lege ich einen Benutzer an, welcher dann selbst weitere User und Geräte einrichten kann. Eine Art Sub-Manager für z.B. eine Abteilung.

Wie in der Dokumentation beschrieben, wird man mit einem User Limit -1 (ohne Begrenzung), bzw. einem Limit größer 0, zum Manager. Andernfalls ist mal ein normaler Benutzer.

Um ein erstes Gerät aktiv zu haben installieren wir auf dem LineageOS Tablet (https://kmj.at/2018-09-12-android-lineageos-samsung-sm-t585-privacy/) den Traccar Client aus dem F-Droid Store und stellen die Server URL auf den eingerichteten Hostnamen und das Port 5055. Alle anderen Einstellungen bleiben gleich und dann aktivieren wir den Dienst über den Schieberegler.

Tip Am LineageOS oder anderen sicheren Installationen das Öffnen des Ports 5055 in der Firewall nicht vergessen.

Als Problem hat sich das Android/LineageOS Tablet erwiesen, welches im ersten Schritt keine Updates sendet. Ein Test mit einer Installation unter IOS mit einem Iphone funktionierte sofort.

Nach dem Login mit dem ersten Manager User fügen wir die Geräte hinzu. Die Device ID dafür sieht man im Client. Andernfalls im Log File nach „unknown device“ suchen. Die Anzeige erfolgt einwandfrei und wenn man im eigenen Benutzerkonto seine GPS Koordinaten und den Zoom Faktor 10 einstellt, kann man sich das Zoomen immer einsparen. Mit den Geofences kann man verschiedene Bereiche einrichten und auch Events auslösen.

Bevor wir uns dem Problem mit dem Android/LineageOS Tablet kümmern, richten wir die Notifications noch ein. Dazu verwenden wir die Einträge aus der Dokumentation im Punkt Notifications und passen alle Parameter für unseren Server an. Damit ist ein globaler Parameter für die Benachrichtigung gesetzt und wir können eine Testbenachrichtigung senden.

Dazu gehen wir einfach über das Menü auf das Benutzerkonto und klicken in der unteren Leiste auf das E-Mail Symbol. Danach sollte im Posteingang das Mail erscheinen. Andernfalls muss das Traccar Log, bzw. das Log des SMTP Servers geprüft werden.

Tip traccar.xml Mustereinträge für den Versand über localhost:

<entry key='mail.smtp.host'>127.0.0.1</entry>
<entry key='mail.smtp.port'>25</entry>
<entry key='mail.smtp.ssl.enable'>false</entry>
<entry key='mail.smtp.from'>noreply@traccar.yourdomain.tld</entry>
<entry key='mail.smtp.auth'>false</entry>

Der Test funktionierte problemlos und wir können einen Schritt weiter gehen.

Am Android Tablet wurde einerseits die AFWAll+ Firewall für Traccar geöffnet und eine Ausnahme in der Batterieoptimierung eingerichtet. Andernfalls würde der Client das Update beenden, wenn Android der Meinung ist, es wird zu viel Strom verbraucht.

Leider löst das unser Übertragungsproblem noch nicht und nach einer Unterhaltung mit dem Entwickler über Github bleibt aktuell offen, warum der Client den Standort nicht übermittelt.

Als Apps bietet sich der Traccar Manager noch an. Links zu den aktuellen Versionen finden sich auf der Traccar.org Webseite im Downloadbereich.

Nach ein paar weiteren Tests funktioniert der Android Client nun auch sauber. Die GPS Status App ist eine große Hilfe und das Problem war eher Gerätespezifisch.

Nun kommt das System in den Testbetrieb und man wird sehen, ob die Owntracks Lösung damit ablösbar ist. Insbesondere die Einbindung in den Home Assistant wird spannend.

Fortsetzung folgt

Am Android Tablet oder Telefon mit LineageOS für Privatsphäre sorgen.

LineageOS, ein alternatives Android Betriebssystem für Tablet und Telefon!

LineageOS ist ein Betriebssystem für Smartphones und Tabletcomputer. Es ist eine Modifizierung des von Google entwickelten freien Betriebssystems Android und der Nachfolger des eingestellten Custom-ROMs CyanogenMod. LineageOS ist Freie Software und wird von einer Gemeinschaft Freiwilliger entwickelt, die das Betriebssystem gratis zum Herunterladen bereitstellen. Mehr Infos auf der Wikipedia Seite (https://de.wikipedia.org/wiki/LineageOS)

Vorraussetzung ist ein Geräte welches offiziell unterstützt wird (https://wiki.lineageos.org/devices/) oder ein Custom Rom, z.B. von https://forum.xda-developers.com/ existiert.

WICHTIG: Mit diesem Vorgang verlieren Sie Ihre Garantie, können Ihr Gerät zerstören und niemand wird Ihnen helfen. Ich beschreibe hier den Vorgang meiner Umstellung und ermutige Sie in keinem Fall den Vorgang an Ihrem Gerät durchzuführen. Wenn Sie es machen, dann sind Sie auf sich alleine gestellt und für den Fall dass Sie das Gerät zerstören sind einzig und alleine Sie selbst verantwortlich. Niemand und schon gar nicht ich, hafte für Dinge die Sie mit Ihrem Gerät tun!

Die Problemstellung

Nicht wirklich glücklich mit Apples IOS Geräten auf denen einiges an notwendiger Software, z.B. Tor, nicht funktioniert, oder von Apple verboten wurde machte ich mich schon länger auf die Suche nach einer Alternative. Die Voraussetzungen waren klar und unverrückbar:

  • Es darf zur Inbetriebnahme keine Registrierung beim Hersteller erfolgen müssen. Es ist gelinde gesagt eine Frechheit, dass die Hersteller eine Inbetriebnahme des Geräte ohne Registrierung untersagen. Der erste Schritt zum Datensammeln muss bereits unterbunden werden

  • Es muss eine Firewall, ala IPTables, PF, IPFW oder ähnliches, installierbar sein. Der gesamte Traffic des Gerätes muss so kontrollierbar sein, dass Datensammler keine Verbindung aufbauen können.

  • Ein Open Source VPN Client ist Pflicht, bevorzugt OpenVPN.

  • Zusätzlich benötigt wird ein vernünftiger RDP Client um auf den Linux XRDP Terminal Server via RDP zugreifen zu können. Im Business Bereich ist damit auch der Zugriff auf Windows Systeme gewährleistet.

  • Tor muss als Dienst, inkl. Hidden Services und Tor Browser funktionieren

  • Email, Kalender und Kontakte müssen mit ActiveSync, IMAP, CalDAV, CardDAV, PGP Verschlüsselung vernünftig funktionieren.

  • Riot als Matrix Messenger Client muss verfügbar sein. Damit ist eine sichere E2E verschlüsselte Kommunikation ohne Mitleser gewährleistet.

  • Verschiedene Browser und Addons sind Pflicht. Firefox mit NoScript und Ublock, Brave Browser und Firefox Klar wären die Minimumanforderungen. Für Privatshpäre ist es wingend notwendig seine Zugriffe, insbesondere welche mit Login und ohne Login auf verschiedene Browser zu verteilen.

  • Es darf keine Software installiert sein, die Daten an Dritte überträgt und damit Inhalte, Vorgänge, oder noch schlimmer Daten des Gerätes an Dritte überträgt. Alls Daten dürfen nur mit den eigenen Servern ausgetauscht werden. Hersteller Bloatware muss deinstallierbar, bzw. von Haus aus gar nicht installiert sein. Möglichst alle Software Komponenten sollten Open Source sein.

  • Zusätzlich muss ein richtiges Backup der Applikationen und Settings, inkl. Separiertem und gesamtem Restore möglich sein. Alle Einstellungen müssen mit Hilfe des Backups auf ein neues Geräte übertragen werden können.

Das Gerät

Zum Test wurde ein Samsung SM-T585 Galaxy Tab A Tablet angeschafft und mit dem vorinstallierten Android ein Versuch vorgenommen.

Schon nach kurzer Zeit stellte sich heraus, dass so ein Tablet oder Telefon die Anforderungen in keinem Fall erfüllt. Ganz abgesehen davon, dass der Hersteller verhindert, dass man der System Administrator wird (rooting), gibt es dadurch keine Möglichkeit IPTables, ein vernünftiges Backup und vieles mehr zu nutzen.

Wenn man ein Paket das sich Firewall nennt, ohne rooting aber nur ein VPN ist, installiert, sieht man zumindest, dass die vorinstallierte Software von Google und Samsung ohne Ende nach Hause telefoniert und undefinierte Daten überträgt.

In Summe, obwohl lange versucht wurde diese Software zu deaktivieren und deinstallieren, keine Lösung. Der Hersteller sperrt die Deinstallation, Deaktivierung so, dass im Hintergrund immer Dienst laufen, welche man nicht haben will. Zumindest, wenn man kein forensisches Datenfutter sein will und auf seine Privatsphäre einen hohen Wert legt.

Es war klar, es musste etwas anderes werden, jedoch haben diese Android Tablets in Punkto Größe, Suspend und Resume und einiges mehr durchaus Vorteile gegenüber Notebooks.

Nach monatelanger Recherche stand fest, dass das Samsung Tablet mit LinageOS betrieben werden soll. Da das Gerät leider offiziell noch nicht unterstützt ist, musste ich auf ein Custom Rom von XDA-Developers zurückgreifen.

Vorab sei gesagt, dass ein Versuch mit der Version 15.1 (Android 8.1) zwar erfolgreich war, aber einige Programme (heute Apps genannt) noch nicht stabil funktionierten.

Deswegen wurde auf die Version 14.1 (Android 7.1) von Valera1978 mit den neuesten Patches von cschsz zurückgegriffen.

https://forum.xda-developers.com/galaxy-tab-a/development/rom-lineageos-14-1-android-7-1-2-t3777266

Das Setup

Ich habe mich noch nie wirklich mit diesen mobilen Endgeräten auseinandergesetzt und alles bis jetzt gelesene war immer so, dass man annahm, nur Spezialisten für diese Geräte mit dementsprechender Hardware können diese umprogrammieren und einrichten. Nachdem ich mich eingelesen habe, ist vollkommen klar, dass das ganze eigentlich recht einfach funktioniert.

Wissen muss man

Lesen Sie die Install-Anleitung für das Gerät auf LinaegeOS.org durch, lesen Sie mehrfach, damit Sie schon vorher wissen, welche Schritte Sie benötigen. Insbesondere Wischerkönige können damit einiges an Problemen vermeiden.

Die meisten Geräte kann man anders booten. In etwa so, wie man einen PC ins Bios booten kann. Dieser Vorgang wird über Telefontasten gesteuert und beim Samsung sind diese:

  • HOME + Lautstärke+ + Power bootet in den sogenannten Recovery Mode. Hier arbeiten wir dann mit dem TWRP Paket. So etwas wie das Bios mit ein paar Extra Funktionen.

  • HOME + Lautstärke- + Power bootet in Download Mode. Diesen benötigen wir einmal um das Custom Recovery Paket zu laden. Ohne dieses funktioniert der Recovery Mode nicht.

  • Am Gerät muss USB Debugging aufgedreht werden. Detail dazu in den einzelnen Anleitungen. Im wesentlichen geht das überall mit 7 mal, über Einstellungen-Über das Gerät-Buildnummer, auf die Buildnummer tippen. Danach ist das Entwicklermenü sichtbar.

TIP Einige Geräte haben im Entwicklermenü – „Enable Custom OEM unlocking“. Unbedingt aufdrehen, sonst könnte es sein, dass das Gerät nie mehr bootet.

TIP Kaufen Sie sich eine extra 32GB Micro SD Karte für diesen Vorgang. Details dazu später. Damit wird alles viel einfacher! Geiz ist nie Geil!

Installation von adb und fastboot

adb ist die Android Debugging Bridge und diese ist zur Kommunikation zwischen PC und Android Gerät notwendig. Eine gute Anleitung zur Installation findet sich hier:

https://wiki.lineageos.org/adb_fastboot_guide.html

TIP Ich selbst verwende ja kein Windows mehr und bei Debian Linux sind die Pakete adb und fastboot im Paket Verzeichnis verfügbar. Für das Samsung Tablet wird nur adb benötigt, da weitere Schritte mit heimdall durchgeführt werden.

TIP Das Paket installiert auch die udev Einstellungen. Trotzdem musste adb als root ausgeführt werden, damit adb devices das Tablet erkannte. Da ich nur das Custom Recovery Package geladen habe und alles weitere mit der SD Karte erledigt wurde, kein wirkliches Problem.

Danach installiert man für das Samsung Tablet die heimdall Suite für das jeweilige Betriebssystem. Downloads finden sich hier:

https://glassechidna.com.au/heimdall/#downloads

Mit der heimdall Suite kann dann das Custom Recovery am Tablet installiert werden. Dazu verwendet man, nachdem das Gerät in den Download Modus gebootet wurde ( HOME + Lautstärke- + Power), beim Samsung den Befehl:

heimdall flash –RECOVERY twrp-x.x.x-x-gtleeilte.img –no-reboot

WICHTIG Die twrp Datei wird bei Ihnen, je nach Gerät anders heißen, jedoch ist der –noreboot unbedingt notwendig! Sollte das Image in einem Archiv sein, extrahieren Sie es unbedingt vorher!

Danach muss sofort in den Recovery Mode gebootet werden ( HOME + Lautstärke+ + Power) sonst überschreibt das System das Image wieder!

Das ganze sollte dann in etwa so aussehen:

Wenn nicht, wiederholt man den Vorgang solange, bis der Boot Vorgang sauber ist und das Menü erscheint.

Nun wird es einfach. Nachdem klar wurde, dass das Custom Recovery im wesentlichen nichts anderes ist, als ein Bios mit Extra Funktionen, insbesondere für Partition Management und Partition Backup, konnte die weitere Anleitung abgeändert werden.

Ich habe danach das LineageOS ROM auf die SD Karte kopiert und hierher auch das Backup über das Menü ausgeführt. Das Backup liegt im Ordner TWRP und darunter in mit Datum und Uhrzeit markierten Ordnern. So geht es leicht retour, falls Probleme auftauchen.

Über Install kann man das Lineage-ROM-Zip File über die SD-Karte auch einfach und ohne PC Anschluss installieren. Ein Zeitgewinn und viel einfacher.

Wichtig ist immer, alle Partition des Originalsystems zu sichern, das Wipe (Löschen der Partitions) laut Anleitung über die Advanced Funktion durchzuführen und am Bildschirm immer alle Meldungen auch wirklich zu lesen. Wenn man etwas nicht versteht, am besten im XDA-Developers Forum suchen, oder Fragen.

Nach der Installation, bzw. nach dem Setup mit LineageOS hilft ein Wipe des Dalvik Caches bei Problemen. Bei mir funktionierte die Bluetooth Tastatur nur in Englisch, nach dem Wipe erfolgte die Umschaltung auf Deutsch sehr sauber.

Um nun ohne Google Play Store auszukommen, installiert man das F-Droid apk, welches von F-Droid Store (https://f-droid.org/) geladen werden kann. Da es meist nicht ohne Programme (Apps) aus dem Google Play Store geht, kann man über F-Droid den „Yalp Store“ installieren. Dieser lädt Programme (Apps) ohne Registrierung bei Google von dort. Optional zur Anonymisierung auch über Tor.

Interessante Programme (Apps) sind:

  • TermUX
  • ConnectBot
  • Orbot / Orfox und der neue Tor Browser (Beta)
  • Firefox mit NoScript und Ublock Addon
  • Firefox Klar
  • Brave Browser

Die Standard Mail, Kalender und Kontakte Apps funktionieren sehr gut gegen unserem Mail Server, welcher unter FreeBSD ActiveSync bereitstellt. Damit sollten hier keine zusätzlichen Programme notwendig sein. Alternativ K9 Mailer und DavDroid.

Zur Verbindung mit meinem eigenen Owncloud Server, den Owncloud Client. Damit können Fotos sofort beim Erstellen zum Server geladen werden. Durch die eigene OwnCloud natürlich so, dass das Foto nie auf anderen Servern im Internet gespeichert wird.

Nicht zu vergessen, auch wenn mit einer gewissen Lernkurve verbunden, AFWall+ als Firewall Frontend zur IPTables Verwendung und Titanium Backup für eine professionelle Sicherung, welche Sie auch auf der SD Karte ablegen können. Wenn Sie die SD Karte öfters auf den PC kopieren, haben Sie ein zusätzliches Backup, falls das Gerät gestohlen wird, oder ausfällt.

Für die Verwendung von AFWall+ und Titanium muss root aktiviert werden. Einfach wieder 7-mal auf die Build Nummer hämmern und dann in den Entwicklereinstellungen root für ADB und APPS erlauben.

Am Ende wird das in etwa so aussehen:

Für mich ist es eine ziemlich perfekte Lösung, da die Privatsphäre nun wieder gesichert ist und alle Funktionen einwandfrei funktionieren. In dieser Form ist Android auch für Firmen mit smarten Mitarbeitern verwendbar.

Natürlich gehört noch der OpenVPN Client fürs VPN nach Hause installiert, welcher sich gegen die Open Source PFSense Firewall mit 4096 Bit Zertifikaten und Passwort authentifiziert. Damit sind Sie immer in der Lage, ohne Daten an Dritte zu senden, auf Ihre Daten zu Hause oder im Büro zuzugreifen. Privatsphäre wie sie sein sollte!

TODO

Aktuell noch fehlende Punkte sind:

  • Owntracks: Die Owntracks App hat eine Abhängigkeit von Google Play und funktioniert dadurch nicht. Natürlich bleibt die Installation Google-frei und es wird nach einer Alternative gesucht. Da ich ein Setup mit 2 MQTT Servern, welche die Positionen an den Home Assistant (Intelligente Home Automatisierung ohne Daten an Dritte zu senden) und den dort auch laufenden Owntracks Recorder sendet, wird ein Versuch mit einer Open Source Library (https://github.com/microg) unternommen um die Gesamtinstallation, welche perfekt funktioniert, nicht verändern zu müssen.

  • KeePass mit WebDAV Unterstützung: Hier muss noch eine passendes Programm (App) gefunden werden.

Alles in allem eine sehr gelungene Lösung, welche bei mehreren Geräten sehr einfach über Titanium dupliziert werden kann.

Der nächste Schritt ist die Anschaffung eines Android Telefons, welches sofort nach dem Kauf, LineageOS installiert bekommt. Danach sollte eine perfekte Lösung gefunden sein, welche alle Anforderungen abdeckt.

UPDATE Link zum Teil 2

Digitale Revolution von Messenger und Sozialen Medien (Fediverse / ActivityPub / Matrix / Mastodon / Hubzilla / Tor)

KMJ.at nun auch im Fediverse

Nachdem im Juni im Rahmen eines Tests der neuen Tor v3 Adressen ein Tor-Hidden-Service entstand, welcher unter:

http://wmv7y4tehgsvghaabiqvrm76uag7c6vdxufzoorjso3escefkiwo4tid.onion/

die KMJ.at Webseite abbildet, mussten nun noch alle Teile der vollständigen Privatsphäre zusammengefügt werden. Zusätzlich entstand mit einem eigenen Hubzilla-Hub das letzte fehlende Service.

Webseite

Erstellt mit Hugo, voll automatisch verteilt auf die Clear-Net Seite und den Server für den Tor-Hidden-Service. Zuallererst wurde die private Webseite auf statische Seiten, welche mit dem Hugo ( https://gohugo.io/ ) Framework erstellt werden, umgestellt. Dadurch gibt es keine Probleme mit Hacks, Bots und Spidern und zusätzlich wird die Webseite extrem schnell.

Updates erfolgen sehr einfach durch eine neue Datei im Markdown Format und einer Übertragung auf die Webseiten. Die Übertragung erfolgt vollautomatisch durch Aufruf eines Scripts, welches die Webseite erstellt und sicher auf die Server verteilt. Updates sind in weniger als zwei Minuten auf allen Servern. Natürlich inklusive der Möglichkeit mit einem RSS Feed die Webseite abzugreifen, einer Liste neuester Posts, einer Tag Cloud und vielem mehr. Ich vermute, dass sich 70%, insbesondere der kleineren Webseiten, so umstellen lassen. Damit entfallen die aufwändigen Updates der verschiedenen CMS, welche aktuell im Schnitt alle 14 Tage gepatcht werden müssen.

Messenger / CRM / Teamworking Tool

Das wichtigste war es, die Kommunikation auf sichere Beine zu stellen und in keinem Fall proprietäre Dienste von zentral gesteuerten Anbietern zu verwenden. Es musst sichergestellt sein, dass niemand die Kommunikation mitlesen kann und dann Daten,wie bei E-Mail auch, nur zwischen beteiligten Servern ausgetauscht werden. Nur so ist eine hohe Sicherheit gegeben und Meta-Daten, welche protokollieren, wer mit wem kommuniziert, werden ganz nebenbei vermieden. Wie immer war ich wieder einmal einer der ersten, der die Matrix Lösung gefunden und angewandt hat. Mittlerweile kommuniziere ich mit so gut wie allen mir wichtigen Menschen über den Matrix Messenger (https://matrix.org/docs/projects/try-matrix-now.html ). Es freut mich, dass auch innovative Regierungen, wie zum Beispiel die in Frankreich, gelernt haben, dass eine Kommunikation nur sicher ist, wenn es keinen zentralen Anbieter gibt, insbesondere keine, welche 97% ihres Umsatzes damit machen, möglichst viel über die Benutzer zu wissen. ( https://matrix.org/blog/2018/04/26/matrix-and-riot-confirmed-as-the-basis-for-frances-secure-instant-messenger-app/) .

Matrix / Riot ist nicht nur ein perfekter, dezentraler, end-to-end verschlüsselter Messenger, sondern auch ein großartiges Tool für CRM, Kundensupport, den Erhalt von Benachrichtigungen und die Zusammenführung von RSS Feeds in einem, oder mehreren Räumen. Alle, die sich damit nur ein klein wenig befasst haben, wollen nichts mehr anderes.

Matrix Registrierung:

Aktuell wechseln extrem viele von anderen Messengern zu Riot/Matrix. Um Überlastungen des Projektservers zu verhindern empfiehlt sich für Organisationen, Computer Semi-Pros und Pros die Einrichten eines eigenen Homeservers, siehe https://matrix.org

Für Benutzer ohne EDV Kenntnisse stehen kostenlose öffentliche Server zur Verfügung:

Wichtig: Nicht mit dem Browser arbeiten, denn sobald die Verschlüsselung aktiviert wird, besteht für Anfänger und EDV Laien die Möglichkeit die privaten Schlüssel zu verlieren. Sofort nach der Registrierung App oder Linux, MAC, bzw. Windows Version nutzen!

Hinweis: Sicherheit hat immer auch ein klein wenig mehr an Aufwand. Sobald die Verschlüsselung in einem Raum aktiviert wird müssen Sie die Geräte des/der Gesprächspartner bestätigen. Nur so ist es möglich, dass keine Key-Injection vorgenommen werden kann. Nehmen Sie diese kleine Hürde in Kauf, denn Ihre Sicherheit sollte Ihnen ein paar Sekunden wert sein. Am Anfang helfen ihnen sicher Matrix Pros.

Es gibt auf meinem Matrix-Server einen Hilfe-Raum. Geben Sie in der Box, wo Sie normalerweise Nachrichten schreiben folgendes ein:

/j #kmj:matrix.ctseuro.com

und sie betreten den Raum. Eine kleine, freundliche Community hilft Ihnen sicher gerne.

Fediverse / ActivityPub Lösungen

Mastodon

Natürlich benötigt man für einen vernünftigen Internet Auftritt mit einem Maximum an Privatsphäre auch eine Micro Blogging Plattform (Kurznachrichtendienst Alternative).

Soziales Netzwerken wieder in den Händen der Benutzer. Folgen Sie Freunden und entdecken Sie neue. Veröffentlichen Sie alles, was Sie möchten: Links, Bilder, Text, Video. Das alles auf einer Plattform, die ohne zentrale Filter, mit intransparenter Moderation und Algorithmen, Beiträge an die Follower verteilt.

Endlich finden Ihre Beiträge die Beachtung, welche ihnen zusteht und niemand priorisiert oder filtert Beiträge. Die Darstellung bei den Followern ist in chronologischer Reihenfolge.

Ein Auftritt auf Mastodon im Fediverse ist mittlerweile Pflicht. Seien Sie vom Beginn an dabei und nutzen Sie Ihre Chancen jetzt. Firmen und Pros sollten natürlich eine eigene Instanz (Server) einrichten. Dadurch sind Sie der Admin der Instanz, welche Sie nur für sich - Ihre Beiträge werden über die Federation an die anderen Server verteilt -, oder auch für Ihre Freunde, Kunden und andere öffnen können. Freie Software gibt Ihnen alle Freiheiten! Und lassen Sie sich nicht von Menschen die nichts Neues mehr lernen, oder Neues versuchen wollen, bremsen. Das digitale Leben ändert sich für Pros bereits seit längerem, für alle anderen beginnt die Digitale Revolution zu mehr Privatsphäre, ohne dass jemand vorgibt was Sie oder andere sehen,jetzt!

Ein Einstieg bei Mastodon geht sehr leicht über einen der öffentlichen Server:

Mastodon für Einzelpersonen

Ohne den Anreiz, Ihnen Dinge verkaufen zu müssen, ermöglicht es Mastodon, Inhalte, die Ihnen gefallen, ungestört zu konsumieren. Ihre Zeitleiste ist chronologisch, frei von Werbeanzeigen und nicht-algorithmisch. Sie entscheiden, was Sie sehen wollen!

https://joinmastodon.org/#getting-started

Mastodon für Organisationen

Hosten Sie Ihre eigene Soziale-Medien-Platform auf Ihrer eigenen Infrastruktur. Lassen Sie Ihr Unternehmen oder Ihre gemeinnützige Organisation nicht von einer Firma abhängig sein, die die Spielregeln verändern könnte – schreiben Sie Ihre eigenen Regeln!

https://joinmastodon.org/#install

Hubzilla

Wirklich gefehlt hat mir bis vor Kurzem eine echte alternative zum zur Zeit führenden sozialen Netzwerk. Hier im Blog finden Sie eine Möglichkeit alle Postings und Aktivitäten dort mir einem Script zu löschen. ( https://kmj.at/2018-04-24-facebook-history-automatisiert-loeschen/ )

Ich habe meinen Account dort noch nicht gelöscht, aber er beinhaltet keine Posting, Like oder sonstiges mehr. Eine App hatte ich nie verwendet, da ich Dienste immer nur per Broswer verwende. Damit ist die Gefahr, dass noch mehr Daten (Standorte, Micro, Kamera, etc) über mich gesammelt werden geringer. Der leere Account bleibt noch bestehen, da mit diesem auch einige Seiten im dortigen System verbunden sind. Diese wurden aber aufgrund eines kritischen Gerichtsurteiles bereits offline genommen. (https://kmj.at/2018-06-05-eu-gerichtshof-gemeinsame-verandwortung-facebook-und-nutzer/ ).

Mastodon und Matrix waren keine echte Alternative, denn es sollte auf jeden Fall dezentralisiert sein, auch Bildergalerien, verschiedene Channels (Webseiten, Info Pages, Foren, etc.) von dieser Software unterstützt werden. Zusätzlich bestand die Hoffnung, dass die Lösung über das ActivityPub Protokoll mit anderen Lösungen und damit Benutzern kommunizieren kann. Einfach ausgedrückt soll ein Account des Sozialen Netzwerkes, einem Account der Micro Blogging Plattform folgen können und umgekehrt. Die jeweiligen Posts sollten im Activity Stream aufscheinen.

Monatelang war nicht zu finden, aber seit 2018 gibt es bei den dezentralen Lösungen riesige Fortschritte. Alle wollen raus aus den Datensilos und wieder Herr über Ihre Daten sein. Sponsoren spenden viel Geld an Open Source Projekte um die Lösungen rascher fertigstellen zu können.

Die Lösung fand ich in Hubzilla ( https://hubzilla.org/ ). Eine geniale Lösung, welche mit ein bischen Lernaufwand alles abdeckt.

Hier finden Sie die Projektvorstellung (Lesezeit ca. 1 Minute) um sich ein Bild zu machen:

https://project.hubzilla.org/page/hubzilla/hubzilla-project#learn

Auch hier stehen für Endanwender öffentliche Server zur Verfügung, Organisationen und Pros sollten eigene Systeme einrichten. Das Setup ist mehr als einfach. Wer schon einmal Wordpress installiert hat, der schafft die Basisinstallation von Hubzilla in weniger als 30 Minuten. Danach sollte man sich etwas mit der Dokumentation auseinandersetzen und unter 3-4 Stunden haben Sie eine perfekte Alternative! Zensurfrei, ohne zentralen Anbieter der filtert oder priorisiert. Und Sie sind Herr über Ihre Daten! Versuchen Sie einfach die Demo des Projektes:

https://demo.hubzilla.org/

Ich bin begeistert, Newsstreams, Dateiaustausch, WebDAV, Fotos, Galerien, Messenging, auch verschlüsselt, Kalender, CalDAV, CardDAV, Apps und vieles mehr. Und das genialste, Sie können mit Mastodon, Diaspora, Friendica, Pleroma, Pixelfe und vielen weiteren Systemen, welche ActivityPub unterstützen kommunizieren, Benutzern folgen, Liken, Kommentieren und vieles mehr.

Zusätzlich bietet Hubzilla die Möglichkeit von cloned Accounts, d.h. Sie erstellen einen Account auf einem Hub (Server) und einen oder mehrere Clones auf anderen Hubs. Hubzilla synchronisiert diese Account so, dass alle immer auf dem gleichen Stand sind.Damit bleiben Sie bei Ausfall eines Hubs immer noch erreichbar und haben gleichzeitig eine Datensicherung. Nie mehr wieder alle Daten verlieren, weil ein Anbieter den Stecker zieht, oder Ihren Account sperrt!

Die intelligenteste Frage aller Fragen

Immer wieder hört man, ist da schon wer den ich kenne? Seien Sie keiner der Lemminge die alle Verantwortung für sich selbst abgeben und Ihre Daten an Datensilos und fremde Menschen verschenken. Registrieren Sie einen Account und schauen Sie sich um. Sie werden neue Leute treffen und wenn Ihnen jemand diese Frage dann stellt, sagen Sie einfach, „Ja, ich bin bereits dort!“. Nur so wird sich die Bewegung in Richtung dezentraler Lösungen, welche bereits viele Millionen User hat, dramatisch beschleunigen. Seinen Sie cool und smart und bereits jetzt dabei!

Meine Accounts

Riot-Messenger-Adresse:

@karl:matrix.ctseuro.com

Hubzilla

https://hubzilla.ctseuro.com/profile/kmj

kmj@hubzilla.ctseuro.com

Mastodon

https://mastodon.ctseuro.com/@kmj

@kmj@mastodon.ctseuro.com

Tor Netzwerk

http://wmv7y4tehgsvghaabiqvrm76uag7c6vdxufzoorjso3escefkiwo4tid.onion/

Web:

https://gohugo.io - The world’s fastest framework for building websites Hugo is one of the most popular open-source static site generators. With its amazing speed and flexibility, Hugo makes building websites fun again.

Messenger / CRM / Teamworking Tool

https://matrix.org – Die Open Source Serversoftware für Messenger, CRM und Collaboration.

https://matrix.org/docs/projects/try-matrix-now.html die verschiedenen Matrix Clients, wobei ich Riot empfehle. Dieser läuft Multi-Device-in-Sync fähig unter Windows, Mac, Linux, IOS und Android.

https://riot.im – die Webseite für den Client

https://kmj.at/categories/matrix/ - Hier im Blog verfügbare Informationen über die geniale Matrix Lösung.

Fediverse / ActivityPub Lösungen

Micro Blogging

https://joinmastodon.org/ - Mastodon, die kostenlose Open Source Lösung bei der Sie Herr über Ihre Daten sind!.

Soziales Netzwerken

https://hubzilla.org/ - Connecting free and independent communities across the web. Das dezentrale Identitäts-, Kommunikations- und Berechtigungskonzept basiert auf weitverbreiteter Webserver-Technologie.

https://demo.hubzilla.org/ - Hubzilla Demo

Speck Algorithmus in Linux Kernels ab 4.17 blacklisten

Speck Algorithmus in Linux Kernels ab 4.17 blacklisten

In den Linux Kernels ab 4.17, welche die meisten Leser aktuell vermutlich noch nicht verwenden, ist der Speck Algorithmus als loadable Kernel Modul verfügbar. Um den Speck Algorithmus ranken sich viele Gerüchte im Zusammenhang mit der amerikanischen NSA.

Ein Google Ingenieur hat den Commit des Moduls in den Linux Kernel beantragt um auf den billigen Android Go Geräten, welche zur Zeit noch nicht verschlüsselt sind, die Verschlüsselung zu ermöglichen. Aktuelle Verschlüsselungsstandards würden diese Geräte überfordern.

Gleich vorab, brechen Sie nicht in Panik aus, das ist keine Backdoor oder ähnliches, sondern es ist nur eine schwächere Verschlüsselung, die ich auf meinen Geräten nicht erlaube. Um jede Verwendung bereits im Voraus zu verhindern, blacklisten wir das Modul, so dass es beim Systemboot gar nicht geladen werden kann.

Lösung

Dazu erstellen wir die Datei:

/etc/modprobe.d/speck-blacklist.conf

und fügen die Zeile:

blacklist CONFIG_CRYPTO_SPECK

ein. Danach rebooten wir das System und prüfen mit

cat /proc/modules

dass das Modul nicht geladen ist.

Damit brauchen wir uns nicht über den Sinn, oder Unsinn eines Modules weiter den Kopf zerbrechen und können beruhigt eine starke, sichere Verschlüsselung wählen, ohne das Risiko einzugehen, versehentlich Speck zu verwenden.

Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich

Aufsehenerregendes Urteil des Gerichtshof der Europäischen Union

Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich

https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081de.pdf

Basierend auf dem vom Gerichtshof der Europäischen Union veröffentlichtem Urteil haben tausende Ihre Fanseiten und Gruppen auf Facebook Offline genommen. Wie weit sich die eher weltfremde Entscheidung über die gemeinsame Verantwortung des Seitenbetreibers und Facebook auswirkt, bleibt abzuwarten, aber dieses Urteil öffnet Tür und Tor um Seitenbetreiber anzugreifen.

Alleine der Ansatz des Urteils, einen Facebook Nutzer gemeinsam mit Facebook zur Verantwortung zu ziehen, ist in jeder Hinsicht falsch, denn Facebook wird dem Seitenbetreiber in keinem Fall die Internas von Facebook offenbaren. Dadurch bleibt der Seitenbetreiber auf der Strecke und kann nie eine Auskunft zu einer Datenschutzanfrage erstellen.

Als Verfechter der Dezentralisierung sehe ich das Urteil dann wieder etwas positiver, denn dadurch werden viele Menschen auf den schon fahrenden Zug der Dezentralisierung aufspringen. Smarte Benutzer und Firmen sind bereits seit langem auf den neuen, dezentralen, Plattformen und bauen dort Ihre Privatsphäre und den massiven Vorteil im Geschäftsleben aus.

Wie bereits im Blog mehrfach beschrieben setzen sich aktuell die Lösungen:

an die Spitze. Viele weitere Lösungen sind gerade im Entstehen. Natürlich bin auch ich und alle Firmen bei denen ich involviert bin, schon lange auf diesen Lösungen vertreten.

  • Matrix: @karl:matrix.ctseuro.com
  • Public room KMJ & friends (DE/EN), eintreten mit; /j #kmj:matrix.ctseuro.com
  • Mastodon: @kmj@mastodon.ctseuro.com
  • Pleroma: @karl@pleroma.ctseuro.com

Alle Facebook Seiten bei denen ich direkt oder indirekt involviert war, wurden heute vom Netz genommen. Ein weiterer Schrit zur finalen Löschung des Facebook Accounts.

Sollten Sie Hilfe benötigen stehen Ihnen die Spezialisten für Open Source Lösungen und Dezentralisierung auf der https://ctssupport.de Webseite gerne zur Verfügung. Erfahrung uns Spezialisierung seit 1985 können nur wenige toppen!

Mit Linux IPhone sichern und auf Daten zugreifen

IOS Geräte mit Linux Boardmittel sichern und auf Daten zugreifen

Ein weiterer Schritt zu mehr Privatsphäre ist es, die Sicherung von IOS Geräten, ohne Daten an externe Cloud Anbieter zu übermitteln, durchzuführen. Hier im Haus gibt es keine proprietären Betriebssysteme mehr. Virtualisierung mit Promox, Server FreeBSD und Debian Linux, Arbeitsplätze Debian Linux. LibreOffice als Office System, Thunderbird für E-Mail, Firefox-ESR und Tor als Browser, Matrix/Riot als Messenger, Mastodon als Micro Blogging System.

Ich habe folgendes für mich eingerichtet:

Mein Systeme

  • Debian Stretch und Debian Sid

Setup der libimobiledevice Umgebung

apt-get install libimobiledevice6 libimobiledevice-utils libusbmuxd4 ifuse gvfs-fuse

  • Hinweis: Für IOS 11.x muss es die Version 1.2.1 oder höher sein

Zugriff auf die Daten

  • das Telefon wird mit dem USB Kabel an das System angeschlossen
  • Telefon entsperren
  • Kommando: idevicepair pair
  • Computer vertrauen und Pin am Telefon eingeben

  • Mounten des Telefonspeichers mit: ifuse /dein/mountpoint (z.B. /home/DU/Telefon, Verzeichnis vorher anlegen)

Danach steht der Datenspeicher des Telefons zur Verfügung. Fotos können direkt kopiert, angesehen, etc. werden.

  • Unmounten mit: fusermount -u /dein/mountpoint

HINWEIS: Immer unmounten und erst danach das Telefon abstecken ist sinnvoll.

Backup

Wenn der Datenzugriff sauber funktioniert, dann kann das Telefon auch gesichert werden.

  • Telefon verbinden
  • Telefon entsperren
  • Kommando: idevicebackup2 backup /Dein/Sicherungsordner
  • mit idevicebackup2 info /Dein/Sicherungsordner kann man die aktuellen Informationen anzeigen.
  • Restore eines Backups siehe: man idevicebackup2

Natürlich sollte man jetzt noch alle Daten von der Cloud entfernen und die Verwendung von Cloud und Drive deaktivieren. Danach sollten keine Daten mehr nach Extern gesendet werden.

Und wieder ist ein Schritt zu mehr Privatsphäre getan und bis zum Erscheinen des Librem5 Telefons sollte man damit IOS Geräte noch weiter verwenden können.

Die Facebook History automatisiert löschen!

Nachdem die Entscheidung gefallen war, die eigenen Social Network Aktivitäten und den verwendeten Messenger auf dezentrale und kostenlose Open Source Lösungen umzustellen, blieb noch das Problem, den alten Facebook Account aufzuräumen und alle Daten zu entfernen.

Generell ist natürlich davon auszugehen, dass dadurch die Daten nur für Facebook Besucher nicht mehr sichtbar sind, Facebook selbst die Daten aber noch vorrätig hat. Auf keinen Fall sollten meine Bilder und Texte auf Facebook verbleiben.

Leider bemerkt man rasch, dass man im Laufe der letzten neun Jahre doch einiges an Daten an Facebook weitergereicht hat und ein manuelles Löschen so gut wie aussichtslos ist. Insbesondere, da Facebook zum Löschen mehrere Klicks verlangt und ein Massenlöschvorgang nicht vorgesehen ist. Zusätzlich wird das Aktivitätenprotokoll, je weiter man nach hinten geht, auch langsamer. Facebook dürfte es nicht lieben, wenn Menschen die App nicht installiert haben und nur mit dem Browser zugreifen.

Die Idee

Nachdem die eigenen Instanzen für Mastodon, Riot.Im/Matrix und xBrowserSync eingerichtet waren, ich mich mit vielen guten Kontakten auf Mastodon (Open Source Twitter/Facebook Alternative) und dem Riot.IM Messenger verbunden habe, war es der Plan, alle Facebook Postings, Likes, Kommentare und anderes mehr möglichst vollautomatisch zu löschen.

Ein komplettes Löschen des Accounts ist aktuell, aufgrund einiger verwalteten Facebook Fan Seiten, noch nicht möglich, aber ein Profilbild und ein Titelbild mit Hinweisen sollte genügen um, bei Interesse durch einen meiner Facebook Kontakte, eine Kontaktaufnahme mit mir zu ermöglichen.

Alle Kontakte mit denen ich regelmäßig schreibe, bzw. telefoniere sind bereits seit längerer Zeit auf dem Riot.Im Messenger mit mir verbunden. Öffentliches Micro Blogging läuft über Mastodon, wobei so gut wie alle meine Kontakte für diesen Bereich dort bereits verfügbar sind und die dezentrale Lösung, ohne jeden Algorithmus eines zentralen Datensammlers, sehr schätzen.

Die Lösung

Nach langem Suchen und testen bin ich auf das Plugin:

gestoßen. Viele zehn-tausende Bewertungen und 4.5 Sterne ermutigten dazu hier weiter zu testen. Das Plugin verspricht auch, dass der Sourcecode in der JavaScript Konsole des Browsers lesbar ist, es frei ist und nichts trackt, bzw. speichert.

Nach dem Motto - Vertrauen ist gut, Sicherheit ist besser – wurde eine nackte virtuelle Maschine unter Debian Linux eingerichtet. Eine virtuelle Maschine kann sich jeder auf seinem PC selbst einrichten. Dazu benötogt man eine kostenlose Virtualisierungssoftware (VMWare Player, Virtualbox, oder ähliches) und die Betriebssystem Installations-CD.

Damit können Sie einen virtuellen 2. PC, getrennt vom Originalsystem, starten und dort ein 2 System laufen lassen. Durch die Einrichtung eines Debian Linux Systems können Sie, ohne jegliche Installation auf Ihrem Basissystem, ein sicheres System, parallel zu Ihrer Basisinstallation, betreiben. Beide Systeme laufen gleichzeitig.

Egal wie Sie vorgehen möchten, es sollte in jedem Fall ein eigenes System zur Löschung verwendet werden, welches danach wieder gelöscht wird.

Auf dem nun in der virtuellen Umgebung laufenden Linux System installiert man noch den Chromium Browser, welche mit den Add-Ons aus dem Chrome Store arbeitet. Hier installiert man das „Social Book Post Manager“ Plugin. Dieses System und den Browser verwenden Sie nur zum Löschen. Ändern Sie das Passwort Ihres Facebook Accounts bevor Sie sich mit dem Browser des neuen Systems anmelden und noch einmal, nachdem das Löschsystem entfernt wurde.

Danach gehen Sie auf die Aktivitätenprotokoll-Seite und klicken auf das Symbol mit dem roten Punkt um die Reinigung des Accounts zu beginnen. Versuchen Sie zuerst kleine Bereiche um die Einstellungen zu testen. Ich haben mit den Einstellungen:

  • Jahr ausgewählt
  • Monat – Select all
  • das Häckchen zur Preview wegmachen
  • Delete Button und OK
  • Speed 0.25

meine History in mehreren Durchläufen sauber bereinigt und bin mit dem Ergebnis sehr zufrieden. Da Facebook verschiedene Limits hat, werden Sie für jedes Jahr mehrere Durchläufe benötigen, aber durch die eigene virtuelle Maschine sich Sie in Ihrer Arbeit während des Laufes nicht gestört. Lesen Sie die Add-On Beschreibung wirklich gut durch.

Werden dadurch Kontakte verloren gehen?

Ich persönlich glaube nicht, dass ich durch die Verwendung des Facebook Accounts zur reinen Administration der Fan Seiten, Kontakte verliere. Alle Kontakte mit denen ich regelmäßig kommuniziere haben den Riot.Im Messenger bereits installiert und bei vielen geht der Trend dahin, andere Messenger, bei denen am zentralen Server jemand mitlesen kann, zu deaktivieren. Eine gewisse Zeit werden viele natürlich mehrere Messenger verwenden. Ich persönlich habe nur mehr den Riot.Im Messenger am Handy und am PC installiert und vermisse den Facebook Messenger, welcher nur im Browser, nie als App, teilweise verwendet wurde, nicht. Die Möglichkeit Notifies wirklich sehr gezielt einzustellen sind ein weiterer Pluspunkt des Riot.Im Messengers.

Ich persönlich habe Twitter nie verwendet, aber mit Mastodon als Twitter ähnlicher Facebook Ersatz bin ich sehr zufrieden. Wirklich coole Leute, sehr hohe Verbreitung auch ohne Followers, vollkommen dezentralisiert und Open Source.

Und um alle Bookmarks zwischen den Systemen auszutauschen, ohne jemals unverschlüsselte Daten auf einen Fremdserver zu senden hat sich xBrowserSync angeboten. Eine wirklich perfekte Lösung. Open Source und kostenlos.

Zusätzlich haben die meisten meiner Facebook Kontakte meine Telefnnummer, bzw. meine E-Mail Adresse und können mich gegebenfalls auch so kontaktieren.

Zusammenfassen denke ich, dass keine Kontakte verloren werden und die wichtigen Kontakte vollständig erhalten bleiben. Einige, mit denen auch auf Facebook nur sporadischer Kontakt gepflegt wurde, werden sich vielleicht verlieren, aber der Verlust ist gegen den Gewinn an Privatsphäre,die Kontrolle über die eigenen Daten, sowie der nicht durch Algorithmen von zentralen Datensammlern priorisierten Streams marginal.

In jedem Fall finden so gut wie alle nach den ersten Versuchen mit Riot.Im und Mastodon, dass Sie nicht mehr zurück wollen, bzw. die beiden die Standard Tools werden.

Professionelles Service

Für eine professionelle Enterprise Lösung sollten Sie sich an die Open Source Spezialisten der CTS GMBH (https://CTS-Solutions.at) wenden.

Facebook History Löschen

Riot.im / Matrix / Synapse

(Meine Kontaktdaten sind im Footer dieser Seite)

Mastodon

(Meine Kontaktdaten sind im Footer dieser Seite)

xBrowserSync

Fortsetzung folgt