xiala.net

News

BÜPF Revision im Ständerat

Vor ziemlich genau einem Jahr wurde der Entwurf dazu veröffentlicht. Wir hatten darüber berichtet.

In der Zwischenzeit haben etliche Organisationen Kritik am Entwurf zum neuen BÜPF geäussert. Die Digitale Gesellschaft hat eine ausführliche Stellungnahme dazu veröffentlich.

Die Rechtskommission des Ständerats folgte undifferenziert dem Bundesrat.

Nun steht morgen die BÜPF Revision auf der Traktandenliste des Ständerats. Die Digitale Gesellschaft fordert vom Ständerat die Sistierung der Vorratsdatenspeicherung nachdem vor 3 Wochen beim Dienst ÜPF ein Gesuch auf Unterlassung der Vorratsdatenspeicherung eingereicht wurde.

Wenn du die Entwicklung weiterverfolgen willst, dann lies den Blog der Digitalen Gesellschaft.

Mailserver update

Nachdem wir gestern unseren Mailserver offline genommen haben, durfte unsere in die Jahre gekommene Zimbra- Installation doch noch eine gröbere Aktualisierung erfahren und ist nach guten 24h wieder online.
Bekannte Sicherheitslücken sind damit nun auch geschlossen. Wie schon erwähnt arbeiten wir an einer neuen Mail- Infrastruktur, damit solche Vorfälle in Zukunft weniger passieren.

Wichtig: Ändert bitte euer Login-Passwort.

Das Update äussert sich auch in einem neuen Erscheinungsbild des Webmail- Clients. Zudem haben wir im gleichen Zug auch ein neues Zertifikat installiert. Beim nächsten Verbindungsversuch mit eurem Mailclient sollted ihr darauf aufmerksam gemacht werden und müsst eventuell eine Ausnahme hinzufügen. Ihr könnt das Zertifikat aber überprüfen, indem ihr den angezeigten Fingerprint mit dem hier vergleicht:

SHA1 Fingerprint=7F:03:66:11:9A:A2:7A:95:33:BC:E9:2E:9B:1B:55:D1:17:3B:EC:8C

Ansonsten sollte alles wieder wie gehabt funktionieren. Falls eure Mails nicht nach und nach eintrudeln oder sonst etwas nicht richtig funktioniert, meldet euch einfach bei uns.

Mailserver gehackt, Wartungs-Downtime

Gestern Abend haben wir festgestellt, dass unser Zimbra-Mailserver gehackt wurde.
Wir gehen nicht davon aus, dass eure Emails und Passwörter davon betroffen sind, wir wissen es aber nicht. Die eingedrungene Person hätte die Möglichkeit gehabt. Es sieht allerdings danach aus, als hätte sie lediglich an der Rechenleistung Interesse gehabt.
Trotzdem: Wir empfehlen euch, sobald wie möglich euer Mailpasswort zu ändern.

Für den Hack wurde ein Update bereitgestellt, welches wir heute auf einem neuen Mailserver installieren. Deshalb ist heute durch den Tag mit Downtime zu rechnen. Wir werden euch informieren, sobald alles wieder läuft.

Um künftig ähnliche Angriffe bestmöglich zu vermeiden, hoffen wir im Sommer den seit längerer Zeit geplanten Wechseln auf die neue Mail-Infrastruktur machen zu können. Wir halten euch diesbezüglich auf dem
laufenden.

Eure Xiala Admins

P.S. Status-Updates werden auch über Twitter publiziert.

xiala.net ist signiert mit DNSSEC

Nach einem erfolgreichen Umzug Ende Jahr ist seit Anfang Jahr die DNS Zone xiala.net mit DNSSEC signiert.
Wenn du einen DNS Resolver verwendest, der DNSSEC unterstützt, wird die Zone also nicht mehr aufgelöst, falls jemand mittels einer Man-in-the-middle Attacke die Antwort fälschen würde.

Die Swiss Privacy Foundation bietet solche DNS Resolver an. Ihr findet die IP Addressen unter Server

Um zu überprüfen, ob dein DNS Resolver DNSSEC unterstüzt, kannst du versuchen, die Seite http://www.dnssec-failed.org/ zu öffnen. Wenn das klappt, dann hast du kein DNSSEC.

Zusätzlich ist auch das TLS Zertifikat von www.xiala.net und xiala.net in einem TLSA Record hinterlegt. Damit kann bei einer HTTPS Verbindung zu https://xiala.net überprüft werden, ob das Zertifikat gültig ist. Leider haben die Browser diese Prüfung nicht integriert, Du kannst aber die Extension DNSSEC Validator für Firefox oder Chrome (Chromium) installieren. Diese Extension überprüft für dich, ob das Zertifikat gültig ist.

Wenn du die Extension installiert hast und die Seite https://www.xiala.net aufrufst, sollte deine Addressleiste ungefähr so aussehen:

Im Zukunft werden wir weitere DNS Zonen mit DNSSEC signieren und auch sämtliche TLS Zertifikate in TLSA Records hinterlegen.

Wenn dir das alles jetzt gar nicht klar ist, dann kannst du dich gerne bei uns melden, und wir erklären dir das.

Nein zum Überwachungsstaat

Schon am 2. und 3. Mai diskutiert die Rechtskommission des Ständerates die BÜPF Revision. Bereits in der Sommersession (Juni) könnte es dann in den erstbehandelnden Rat kommen.

Auf der Seite der Digitalen Gesellschaft Schweiz gibt es eine Zusammenfassung der wichtigsten Punkte zu lesen, die auch an die Mitglieder der Kommission versandt wurde. Ebenso existiert eine ausführlichere Zusammenfassung der Argumentation.

In der WOZ Nr. 12/2013 erschien ein Artikel inkl. Infografik zum Thema: Wir sind alle verdächtig

Heute Mittag wurde auch die Online Petition NEIN zum Überwachungsstaat lanciert.

BÜPF Revision

Am 27. Februar hat Simonetta Sommaruga den Entwurf des neuen BÜPF vorgestellt.

Nachdem bereits am darauf folgenden Donnerstag ein ausführlicher Artikel zum neuen BÜPF auf digitale-gesellschaft.ch erschienen ist, wurde am letzten Sonntag die Pressemitteilung der Digitalen Gesellschaft, die xiala.net mitunterschrieben hat, versendet.

Hier zeigen wir die Aspekte des neuen Gesetzes auf, die xiala.net direkt betreffen.

Die Stossrichtung ist klar. Die Überwacher in Bern haben gemerkt, dass sie nicht alles mitlesen können, wenn Sie nur bei den ISPs die Daten abfangen und damit quasi auf der Leitung mithören können. Wird die Kommunikation nämlich verschlüsselt, so können damit höchsten die Kommunikationspartner definiert, nicht aber der Inhalt abgehört werden.

Nun gibt es im Gesetz zwei Ansätze um die Überwachung auszuweiten. Der eine ist der GovWare genannte Trojaner, der schon länger im Gespräch ist. Der Dienst ÜPF möchte also auf eueren Rechnern einen Trojaner installieren, um dann die Kommunikation vor der Verschlüsselung abzufangen.
Wieviel die Überwacher von der ganzen Thematik verstanden haben, zeigt sich schön am folgenden Zitat aus der Botschaft:

Eine andere Alternative zum Einsatz von Gov-Ware würde darin bestehen, dass alle Unternehmen, welche die Verschlüsselung des Fernmeldeverkehrs ermöglichen, verpflichtet würden, ihre Verschlüsselungsalgorithmen herauszugeben, damit der betreffende Fernmeldeverkehr entschlüsselt werden kann.
Botschaft zum neuen BÜPF

Der andere ist die massive Ausweitung des Geltungsbereichs des BÜPF. Neu wird die Kategorie der “Anbieterinnen abgeleiteter Dienste” geschaffen. Damit sind Betreiberinnen von Chats, Foren, Mailserver etc. gemeint. Also Anbieter von Diensten, die auf den Dienst eines Zugangsanbieters angewiesen sind.

Artikel 27 definiert die Pflichten der Anbieterinnen abgeleiteter Kommunikationsdienste:

Wir sollen also gezwungen werden, eine Überwachung deiner Kommunikation zu dulden. Das werden wir nicht tun.

Ohne Personenbezogene Logfiles, keine Randdaten.

Da wir wohl weder gross noch wirtschaftlich bedeutend sind, trifft uns Abs. 3 nicht.

Art. 39 behandelt dann noch die Strafbestimmungen. Wer z.B. vorsätzlich die Überwachung gegenüber Dritten nicht geheimhält, kann mit Busse bis 100’000 Franken bestraft werden.

In der Essenz wird der Geltunsbereich des BÜPF damit auf alle Akteure im Internet ausgeweitet. Damit erhält der Dienst die Handhabe zur totalen Überwachung der Kommunikation. Wie das dann im Cloud-Zeitalter wirklich umgesetzt werden soll, wenn kaum jemand weiss, wo die Daten liegen, erscheint uns nicht ganz klar. Es ist allerdings zu befürchten, dass die grossen Player im Cloud-Business mitmachen werden. Und mit Art. 27 Abs. 3 können diese auch gezwungen werden, die Echtzeitüberwachung mit Onlineanbindung für den Dienst genau wie die Zugangsanbieterinnen auf eigene Kosten zu implementieren.

Klar ist, dass dieses neue Schnüffel-Gesetz bekämpft werden muss. Wir wollen keinen Schnüffelstaat. Kommunikation jenseits der Überwachung ist für die Gesellschaft essenziell.

Klar ist auch, dass nur du selbst für den Schutz deiner Kommunikation verantwortlich sein kannst. Nur wenn du die Kontrolle über deine Daten möglichst selbst behält, kannst du dich vor dem Zugriff darauf durch die Schnüffler vom Dienst selber schützen.
Verschlüssle deine Festplatten, Mails, Chats, SMS, Telefongespräche! Hilf mit, eine Kommunikation jenseits der Überwachung zu ermöglichen. Melde dich bei uns, wenn du Hilfe dabei brauchst.

xiala.net ist wieder online

Der Umzug hat ohne grössere Probleme geklappt. Um 16.30 hat mit dem Hostingserver der letzte Dienst seine Arbeit wieder aufgenommen.
In den nächsten Tagen kann es durch kleinere Anpassungen, die wir noch vornehmen müssen, zu kurzen Unterbrüchen kommen.

Solltet ihr mit einem der Dienste ein Problem haben, so meldet euch bitte.

xiala.net zieht um / Downtime

Nach 5 Jahren ziehen wir mit unserem Haupt-Server um in ein anderes Datencenter. Verschiedene Gründe haben uns schlussendlich dazu bewogen, diesen Schritt zu machen.

Bedingt durch den Umzug werden unsere Dienste am 24.7 ab 12:30 bis ca. 15:30 nicht verfügbar sein.

Am neuen Ort werden wir eine bessere Leitung haben, IPv6 endlich implementieren können und etwas mehr bezahlen. Das heisst, xiala.net ist umso mehr auf deine Spende angewiesen.

neues Zertifikat für mail.xiala.net

Unser Mailserver verwendet nun ein neues Zertifikat, da das alte abgelaufen ist.
Das Zertifikat ist von CACert signiert und für die Domains mail.xiala.net und webmail.xiala.net gültig.
Hier die Fingerprints:

SHA1 Fingerprint=20:D6:11:65:FA:33:F6:D9:6B:ED:A1:37:A7:A4:83:46:29:99:82:C9
MD5 Fingerprint=36:54:27:29:59:B7:63:D1:9D:42:EA:E1:B7:40:86:CD

Netzwerkprobleme

Gestern Abend um ca. 21:15 gingen unsere Dienste offline. Der Grund war ein Netzwerkproblem in unserem Rechenzentrum.
Seite heute Abend um 18.45 läuft alles wieder wie gewohnt. Was genau die Ursache war, wird noch untersucht.

Vieles ist neu bei Xiala

Einiges davon ist für euch sichtbar, anderes erleichtert uns die Arbeit.

  • Wir haben diese Website erstellt. Hier möchten wir einen Überblick über das Projekt xiala.net bieten. Das Wiki bleibt bestehen.
  • Die automatische Konfiguration wird nun mit SaltStack, nicht mehr mit Puppet organisiert.
  • Um die verschlüsselten LUKS – Devices zu verwalten verwenden wir arver.
  • Seit einiger Zeit betreiben wir auch einen Jabber Server.

Diese und andere Änderungen bieten die Grundlage für weitere Dienste, die wir in Zukunft anbieten wollen.

Wir sind auch dabei die Mailinfrastruktur neu zu organisieren. Nach einigen Jahren wollen wir endlich weg von Zimbra. Die Migration ist nicht ganz simpel, darum suchen wir noch Leute, die Lust haben, uns beim testen zu helfen. Du kannst dich gerne bei uns melden

Bei dieser Gelegenheit möchten wir nochmal allen danken, die uns Geld gespendet haben und rufen alle anderen User dazu auf, dies doch auch zu tun.