Comic and quotes: why you should use Open Standards

In a few hours Document Freedom Day will start with the event in Tokyo organised by the Japanese LibreOffice team. During the whole day, people around the world will explain why Open Standards matters. This year we can provide you a comic to make the topic a bit more catchy:

Comic about why to use Open Standards
Next Time Choose Open Standards Jamie Casley CC BY-SA

Furthermore, during the last days I had a look at our testimonials page. I liked reading them again. Here is a small selection with highlighting by me, but have a look at the others, too.

Build so the whole world — and all of history to come — can build upon what you make. (Lawrence Lessig)

I know a smart business decision when I see one – choosing open standards is a very smart business decision indeed. (Neelie Kroes, Vice-President, European Commission)

People have grown used to the idea that files can only be opened with the same program that saved it, as if it were the natural state of affairs. And it was, long ago, in the dark ages of processor- and memory-starved eight-bit computers. Today, a program that doesn’t use open standards to exchange data with whichever other program you wish to use should be considered as defective as one that crashes on startup. (Federico Heinz, President, Fundación Vía Libre)

Distribute those quotes, use them in your presentations, e-mail signatures, whatever you think helps to distribute the message, and for tomorrow I wish you all a good Document Freedom Day!

Why Open Standards aren’t enough: the minimal principle

Although a good data-format can only be an Open Standard, FSFE’s Bernhard Reiter argues that this requirement alone is not enough. Originally written for last year’s Document Freedom Day in German, the article “The minimal principle: because being an open standard is not enough” is now available in English. In a nutshell Bernhard argues that the data-format needs to solve a problem adequately: It should be a good fit from a functional point of view, as well as on a technical level. In order to judge this, there are a number of things to consider: efficiency, maintainability, accessibility, extensibility, learnability, simplicity, longevity and a few more. Two central questions here are: How well does the data-format solve the problem and –more interesting– is there a simpler format that could solve the problem just as well?

Read the article, discuss it on our public mailing lists, and if you are a developer always ask yourself if it can be done simpler.

This does not mean that every time you stumble over an existing standards, you should develop your own, even smaller one.

xkcd-standards xkcd CC BY-NC

German FSFE activities in 2013

Looking back to 2013, the German FSFE team had an active year. Lots of volunteers spent their time to promote Free Software at events, meetings, by giving speeches, or online. Some highlights of our work in 2013 include:

  • We continued to defend the rights of device owners to change software on their computers.
  • We informed politicians about the danger of software patents with the result that the German Parliament told the government to strictly limit patents on software. I was invited as expert in the German Parliament for this hearing.
  • Soeren organised a Hacking for Compliance workshop in cooperation with gplviolations.org.
  • We have active Fellowship meetings in Berlin, Düsseldorf, Hamburg, new ones in Munich organised by Christian Kalkhoff, and Guido Arnold reactivated the Rhein/Main Fellowship meetings. Furthermore there is also a good perspective for regular meetings in Bonn and Cologne for 2014.
  • We participated at every meeting of the “Enquete Commission Internet and Digital Society” (Enquete Kommission Internet und Digitale Gesellschaft) of the German Bundestag. We answered questions from the politicians and send them background information. The final report from the working group “interoperability, standards, and Free Software” will help political staff to learn more about the topic. It includes a texts by us (e.g. about “Secure Boot”), and there was a thank you note to FSFE in the introduction.
  • For DFD with 59 events in 30 countries worldwide we again helped people to understand the importance of Open Standards. The German award went to the newspaper TAZ.
  • We again gave lots of talks and participated in panel discussions. E.g. Michael Stehmann in the local parliament, and of course at Free Software events. We organise a conference track at Linuxtag, and where present in new locations, e.g. the street festivals in Munich from our newly activated Fellowship group there. Especially Torsten and Erik were active giving radio interview.
  • We send questions to political parties for all elections, and evaluated the answers to follow-up with the politicians.

Why I love mpd, ncmpcpp, and MPDroid

Today we celebrate the I love Free Software Day, and it was a difficult to decide what I want to write about. Finally I decided to dedicate it to the developers of Music Player Daemon, ncmpcpp and MPDroid. Why? Because I love music, and those applications enable me to enjoy music every day!

The Music Player Daemon (MPD) is a server-side application for playing music. You can access it with different clients on my laptop. In my case Hannes recommended ncmpcpp, a ncurses based client, to me several years ago. I like it because I can use it exclusively by keyboard.

ilovefs-ncmpcpp Matthias Kirschner CC BY-SA

On my media computer at home, I use ncmpcpp either directly or through ssh. But most of the time I use MPDroid (to whom I donated last year) which I installed through the Free Software repository F-Droid on my tablet and phone. This way I can also let others browse through my music and add songs to the playlist.

ilovefs-mpddroid-small Matthias Kirschner CC BY-SA

Those programs improved my quality of life. So dear developers: thank you very much!!! I love Free Software!

Memories about some old Free Software floppies and CDs

During the holiday season I visited my parents and wanted to get rid of some old boxes with my stuff there. One of them contained old Free Software distributions, and I remembered how I got involved in Free Software. In 1999, after a Thomsen and an Amiga 500, we had two computers at home: an Intel Pentium II MMX and an Intel 486. For the Pentium we had a modem, and there was an ethernet connection to the 486. One day I wanted to sent e-mails from the Pentium to the 486. It did not make a lot of sense, as both computers were in the same room, but I wanted to achieve that. Well, first I did not succeed, because although both computers had “email programs” installed, I could not directly send mails from one computer to the other.

Lots of Free Software floppies and CDs
fs-distributions-small Matthias Kirschner CC BY-SA

When I complained about this in school, a friend told me that there is a solution and the next day he brought me some SuSE 6.0 floppies, CDs, and books. That was when it all started. Several hours later I had a GNU/Linux installation. Not like today after less than 30 minutes, with a running X server, audio, printer, and everything. There was just the command line. It still took me a long time reading and asking my friend for help to set up X. Being an optimist, this time I decided I like command line more than all those graphical programs. So when I finally had a running X window system, I mainly used it to run more terminal emulators. I think my problems setting up X at that time is still the reason why I like command line tools.

What happened next? I installed every GNU/Linux distribution I could get my hands on. I did not have dual boot on these computers, but quintuple or sextuple boot. I loved playing around with new distributions. With some friends we visited the Linuxtag in Stuttgart and afterwards founded a local Free Software user group. We helped each other to install GNU/Linux on our computers, configuring them to be routers, mail-, print- and file servers. It was so much fun learning how this technology works. Looking at the floppies and CDs from the box, each one of them made me remember some story: visiting a conference, trying to get audio output, compiling software for hours on an old laptop, finding out there are other kernels beside Linux, or how we negotiated who has to pay how much for a new box of CDs and who can keep them for how long.

Then I read the GNU GPL the first time, and afterwards a lot of texts from the GNU philosophy pages. This made me realise: Free Software is a political issue much more than it is a technical issue. The more I thought about it, the more I realised that I in order to help the Free Software movement I needed to learn more about politics. Later I studied politics and management. At university I got in contact with Debian developers, who pointed me to FSFE when I was looking for an internship. I became FSFE’s first intern and found out that this is exactly the kind of work I had always dreamed about. That is why I love it here.

Vulnerability economics and Free Software

David Wheeler wrote an interesting article about the economics of vulnerabilities. He fears that the current “‘vulnerability bidding wars’ [...] will create an overwhelming tsunami of zero-days available to a wide variety of malicious actors.” Beside describing some general problems of bounties in the security field, the main point of his article is the idea to increase security by criminalising the selling of “vulnerability information to anyone other than the supplier or the reporter’s government.”

About the effects of the vulnerability economics on Free Software Wheeler writes:

The current situation might impede the peer review of open source software (OSS), since currently people can make more money selling an exploit than in helping the OSS project fix the problem. Thankfully, OSS projects are still widely viewed as public goods, so there are still many people who are willing to take the pay cut and help OSS projects find and fix vulnerabilities. I think proprietary and custom software are actually in much more danger than OSS; in those cases it’s a lot easier for people to think “well, they wrote this code for their financial gain, so I may as well sell my vulnerability information for my financial gain”.

Status of compulsory routers in Germany

In Germany ISPs started to force customers to use specific routers, and did not offer them the usernames and passwords to use routers of their own choice. Together with dedicated volunteers from OpenWRT, IPFire and other volunteers, our current intern Max Mehl and I worked on this issue.

First we wrote a letter to the German Federal Network Agency (BNetzA) highlighting the most important points. When the BNetzA officially asked for comments we published the letter which we have sent them. This already gave us good press coverage in the IT media and also got a lot of feedback from different communities, which we included in our further work.

For the last weeks Max and our volunteers did an amazing job answering 14 detailed questions and several subquestions from the BNetzA.

On the 4 November we published a press release together with the 14 pages reply. Other organisations also published their statements step by step (see the CCC’s paper, or the statement from 19 router vendors. It resulted in good press coverage, most of the time mentioning FSFE, starting with Heise, Golem, and Netzpolitik. Then it also reached the newspapers, magazines and and television news sites: Sueddeutsche, Stern, Focus, Frankfurter Rundschau, Zeit, ZDNET, and several local newspapers.

A little bit later Heise reported that the topic made it into the draft for the coalition agreement between CDU/CSU and SPD. They want to forbid compulsory routers in future, and make sure that the BNetzA has to act in future. So if this part stays in there, and they act upon it later, it is a good result for the Free Software community, and all individuals and companies who wants to control their own IT.

In the next weeks Max will summarise our main points into English, so in case you have or will have similar problems in your countries you can reuse them. In case that happens, please inform us.

Again a big thank you to all the volunteers working with us on this!!

Routerzwang: FSFEs Schreiben zur Konsultation der Bundesnetzagentur

Immer mehr Provider untersagen, beliebigen Router verwenden zu dürfen. Nach einem Workshop im Juni bittet die Bundesnetzagentur nun um Stellungnahme. Die Free Software Foundation Europe hat zusammen mit Mirko Vogt von OpenWrt schon mal vorab folgendes Schreiben an die Bundesnetzagentur geschickt:

Sehr geehrte Damen und Herren,

das Ziel der FSFE ist es, sicherzustellen, dass Benutzer selbstbestimmt Computer einsetzen können. Dieses grundlegende Prinzip wird von den Maßnahmen der ISPs in Frage gestellt.

ISPs bündeln Router mit ihren Angeboten und streben danach, dauerhaft diese IT-Geräte zu kontrollieren. Daher sind die Router dafür ausgerichtet das zu machen was der ISP möchte, aber nicht zwangsläufig an den Interessen der Benutzer. Durch die Kontrolle der Router haben ISPs und Hersteller die Möglichkeit auf die privaten Netzwerke hinter den Routern zuzugreifen. Dies ist kein theoretisches Problem: Die Router sind meist so konfiguriert, dass nur noch der Hersteller/ISP diese konfigurieren kann. Damit hat dieser auch uneingeschränkten Zugriff in das eigentlich private Heimnetzwerk (LAN) des Kunden.

Die derzeitige Rechtsprechung nimmt den Kunden in die Pflicht, seinen Internetanschluss abzusichern. Der Kunde haftet an seinem Anschluss für alle Aktivitäten, die über seinen Anschluss passieren (Prinzip der Störerhaftung, siehe BGH-Urteil “Sommer unseres Lebens”). Kontrolle kann effektiv nur am Router erfolgen. Durch die Zwangsverwaltung und Vorschrift der zu verwendenden Hardware der ISPs verliert der Kunde jedoch die volle Kontrolle über seinen Internetanschluss.

Daher müsste der Provider auch im Fall einer unerlaubten Handlung nachweisen, dass der Router – beispielsweise durch unbemerkten Einbruch von außerhalb in die Firmware – nicht Teil des Problems war: Dem Kunden soll dieser Beweis ja in Zukunft verwehrt werden. Ohne die volle und alleinige Verfügungsgewalt über den Router, kann der Anschlussinhaber nicht verantwortlich gemacht werden. Die Haftung für eventuelle Schäden kann daher nur noch der ISP verantworten.

Auf Grund von sich deckenden Interessen der ISPs, beziehen diese Hard- und Software von identischen Herstellern. Die dadurch entstehende Monokultur ist ein Problem: Das Beispiel der im Juni 2012 bekannt gewordene WLAN-Sicherheitslücke bei von Arcadyan gerfertigen Geräten, welche unter anderem als “Telekom Speedport” oder “Vodafone Easybox” von den jeweiligen ISPs vertrieben werden, zeigt, dass diese Problematik real existiert. Der Zugang zum Internet sowie zum privaten Heimnetzwerk stand jedem offen. Benutzer waren hilflos und mussten auf ein Update hoffen (siehe dazu Heise “Wlan Hintertür in Telekom Routern” und “Wlan Lücke – Weitere Speedport Modelle betroffen”.) Ähnliche Vorfälle gab es auch bei anderen Herstellern wie z.B. Asus und D-Link.

Naturbedingt liegt der Angriffsvektor auf der breiten Masse. Nicht zuletzt aus diesem Grund besteht eines der größten Botnetze aus Routern. Router stellen das Tor zum Internet dar, da sie die Interneteinwahl vornehmen und entsprechend die einzige öffentliche, von außen erreichbare IP-Adresser erhalten, und müssen dementsprechend abgesichert und gepflegt werden.

Die Situation verschärft sich durch die bisherige Updatepolitik der Provider bei Ihren ausgelieferten Routern. Bedingt durch interne Prozesse sowie maßiven Einsparungen bei Einkauf und Entwicklung werden neue Revisionen der Routerfirmware zumindest mit erheblicher zeitlicher Verzögerung an den Endkunden ausgliefert. Dadurch besteht ein bekanntes und ausnutzbares Sicherheitsloch mehrere Monate, bis ein entsprechende Fehler am Router durch Aufspielen neuer Firmware geschlossen werden. Der Kunde ist in dieser Zeit schutzlos. Durch die Zwangshardware bleibt ihm keine Möglichkeit, das Problem selbsttätig oder mit Hilfe Dritter zu beheben.

Die Anforderungen der ISPs an einen Router unterscheiden sich stark von denen der Nutzer: Der ISP versucht ein möglichst günstiges Gerät zu produzieren, welches ein möglichst an das Angebot vom ISP angepasstes und beschränktes Funktionsset enthält.

Des Weiteren schränken ISPs durch die Bündelung von Routern mit ihren Angeboten den Wettbewerb für den Markt von Routern ein. Schon heute werden Router, welche mittlerweile vollwertige Computer sind, für mehr Aufgaben als das Routing verwendet. So können diese Geräte zusätzlich Dateien im Heimnetzwerk oder im Internet bereitstellen, Musik abspielen, als Druckerserver dienen oder Haushaltsgeräte steuern. Wenn jedoch der ISP bestimmt, welche Funktionen diese Geräte haben und welche verboten sind, schränken sie zukünftige Entwicklungen in diesen Bereichen ein. Da der ISP, aus Kosten- und Supportgründen, das Funktionsset bewusst so klein wie möglich hält, wird der Nutzer stark limitiert. Genannte, bei anderen Herstellern seit Jahren gängige Zusatzfunktionen, findet man bei den Routern der ISPs vergeblich. Nutzer müssen sich Zusatzgeräte kaufen und anschließen — sofern diese überhaupt kompatibel erstellt werden können.

Die Free Software Foundation Europe sieht durch das Bundling die Gefahr, dass Wettbewerber von Router-Hardware und -Software aus dem Markt verdrängt werden, die Preise für Router-Hardware stark steigen und nur wenige Anbieter verbleiben werden.

Prinzipiell kann aber jeder Computer mit Netzwerkschnittstelle die Funktion eines Routers übernehmen. Das Zurückhalten der Nutzerdaten durch den ISP hat schädliche Auswirkungen:

  • Verbraucher können keine Geräte mehr von Herrstellern kaufen, denen sie mehr Vertrauen entgegenbringen. Durch die Presseberichte der letzten Wochen werden Verbraucher ein starkes Bedürfnis haben sich abzusichern und ihre Privatsphäre zu schützen. Dazu zählt vor allem die Verwendung von Hardware und Software von entsprechend erfahrenen und spezialisierten Unternehmen. In den Wahlumfragen der FSFE fordern viele Parteien Privacy by Default bzw. Privacy by Design. Wenn die Internet-Zugangs-Passwörter oder auch die Passwörter für Internettelefonie nicht herausgegeben werden, können Verbraucher keine Geräte von Drittanbietern verwenden.
  • Verbraucher müssen viele unterschiedliche Geräte betreiben, obwohl Hersteller Funktionen, wie oben beschrieben, von Media-Center, über Druckserver bis zum Wlan-Access-Point, etc., mit der Router-Funktion kombinieren könnten. Verbraucher sollten selbst entscheiden können, welche Funktionen und welchen Stromverbrauch sie bei Computer in ihrem Haushalt haben wollen.
  • Verbraucher werden bei Anbieterwechsel zu einem Hardwarewechsel gezwungen während die alte Hardware für sie nutzlos wird und entsorgt werden muss.

Aus diesen Gründen fordert die FSFE, dass ISPs den Verbrauchern die Zugangsdaten standardmäßig zur Verfügung stellen müssen. Es muss für den Verbraucher möglich sein, die alleinige Kontrolle über alle Computer nach der TAE-Dose zu haben.

And there was light…

After four years we moved with our Berlin office. Our office in the Linienstraße on the ground floor in the second backyard had its advantages: no sun on your screen and when all people outside wail because of heat, we were sitting in the office with our hoodies. The downside was, it was cold, and the only time we had a bit more light in the office, was when the snow in the backyard reflected the sun.

But now we found a new office, which is cheaper, on the same floor as netzpolitik.org, and there is light! It was perfect timing; earlier this week they started building an underground parking directly next to the old office. Working under those conditions would have been painful.

So here we are: two days in the new office in Schönhauser Allee 6/7, 10119 Berlin, Germany enjoying the light and nice neighbours. And as I was already asked several times over the past hours, below some pictures.

there-was-light-1 Matthias Kirschner CC BY-SA

there-was-light-2 Matthias Kirschner CC BY-SA

there-was-light-3 Matthias Kirschner CC BY-SA

there-was-light-4 Matthias Kirschner CC BY-SA

“brand eins” kontert “Ich habe nichts zu verbergen”

Im Wirtschaftsmagazin “brand eins” hat Steffan Heuer in 37 Wörtern wunderbar zusammengefasst, was einem bei Datenmissbrauch passieren kann:

Was kann mir schon passieren? Ich habe nichts zu verbergen.

Missbräuchlich verwendete Daten können der Karriere schaden. Oder sie machen Versicherungen teurer. Sie verhindern, dass man einen Kredit oder eine Wohnung bekommt. Sie gefährden Beziehungen. Uns sie sind Nadelstiche gegen eine offene Gesellschaft, die auf Vertrauen baut. (“Privat”, Heft 8, August 2013, Artikel “Was tun” von Steffan Heuer, S. 28-32)

Gut als prägnante kurze Antwort geeignet, um weiter in die Diskussion einzusteigen.

Das Heft, welches bereits vor den Leaks von Edward Snowden geplant war, beinhaltet noch andere lesenswerte Artikel.