trueten.de

"Amerika wird also, angeführt und aufgeweckt von der kubanischen Revolution, eine Aufgabe von großer, entscheidender Bedeutung haben: die Schaffung eines zweiten, dritten Vietnams." Che Guevara

Roborock S5 Max und Firewalls

Wenn man alles verbietet, was nicht erlaubt ist, machen manche Apps oder Smarthomegadgets Probleme. So auch unser Roborock S5 Max, der nach dem Hinzufügen einiger Geoblocking IPs in der FireWall seine Karte nicht mehr findet. Klar, denn das Teil kommt bekanntlich aus dem Reich der Mitte und bei allen derartigen Geräten spioniert Xiaomi, der Mutterkonzern von Roborock im Auftrag von Maos Erben, dem ZK der KPCh meine Dissidentenwohnung aus. Oder so ähnlich, weshalb viele der Blockierlisten, die im Lande des natürlichen Gegners des Reiches Modor, den USA, gepflegt werden, hemmungslos am besten gleich die chinesische Toplevel Domain blockieren.
Nun ist ja nicht jeder Vorwurf an die Chinesen so falsch wie die Behauptung, daß die USA dergleichen selber niemals tun würden. Deshalb ist es eine gute Idee, nur die unbedingt notwendigen Quelle / Zieladressen und Ports in der Firewall zu öffnen.

Das betrifft im Falle des S5Max folgende Urls:

data.mistat.xiaomi.com
fr.app.chat.global.xiaomi.net
s3-eu-west-1.amazonaws.com

sowie den UDP Port 8053 für die folgenden IP Adressen:
3.122.217.21
3.124.122.199
52.28.26.121
52.57.224.199

Für die XiaoMiHome sowie die Roborock App: Die TCP Ports 6668 (XiaoMiHome) 8883 (Roborock) für die folgenden Adressen:
122.0.0.0
18.194.10.142
18.196.142.136
18.197.183.192
3.121.141.195
3.122.208.21

Ein anderer Ansatz wäre das Whitelisten der Adressen, im Gegensatz zum gezielten Öffnen bestimmter Ports für bestimmte Quell und natürlich nur für die in einem separaten Zielnetz arbeitenden Geräte. Letzteres erscheint mir jedenfalls sinnvoller, da durch das Whitelisten die Adressen auf alle Rechner im lokalen Netzwerk chinesische Reklame kommen würde.

Mini-HowTo: Green Cell® UPS USV mit Nagios überwachen

Der Status einer günstigen unterbrechungsfreien Stromversorgung (USV), in dem Fall eine (Green Cell® UPS USV Unterbrechungsfreie Stromversorgung 600VA (360W)soll mittels Nagios abgefragt werden. Das UPS Modell ist mit dem Network UPS Tools (NUT) Treiber blazer_usb kompatibel. Die USV versorgt einen Clientrechner client.lan, Nagios ist auf einem Server server.lan installiert. Unter debian bzw. seinen Ablegern lässt sich die nötige Software auf dem Clientrechner wie gehabt installieren:
sudo apt install nut

Irgendwelche Abhängigkeiten sollten natürlich aufgelöst werden. Danach editieren wir die Datei /etc/nut/ups.conf und fügen am Ende folgende Definition für die GreenCell UPS ein:
[GreenCell]
        driver = "blazer_usb"
        port = "auto"
        desc = "GreenCell USV 600VA"
Die Datei /etc/nut/nut.conf editiert man dann entsprechend dem Verwendungszweck (Standalone/Netzserver/-client)
# Network UPS Tools: example nut.conf
#
##############################################################################
# General section
##############################################################################
# The MODE determines which part of the NUT is to be started, and which
# configuration files must be modified.
#
# This file try to standardize the various files being found in the field, like
# /etc/default/nut on Debian based systems, /etc/sysconfig/ups on RedHat based
# systems, ... Distribution's init script should source this file to see which
# component(s) has to be started.
#
# The values of MODE can be:
# - none: NUT is not configured, or use the Integrated Power Management, or use
#   some external system to startup NUT components. So nothing is to be started.
# - standalone: This mode address a local only configuration, with 1 UPS 
#   protecting the local system. This implies to start the 3 NUT layers (driver,
#   upsd and upsmon) and the matching configuration files. This mode can also
#   address UPS redundancy.
# - netserver: same as for the standalone configuration, but also need
#   some more network access controls (firewall, tcp-wrappers) and possibly a
#   specific LISTEN directive in upsd.conf.
#   Since this MODE is opened to the network, a special care should be applied
#   to security concerns.
# - netclient: this mode only requires upsmon.
#
# IMPORTANT NOTE:
#  This file is intended to be sourced by shell scripts.
#  You MUST NOT use spaces around the equal sign!

MODE=standalone

Auf dem Server wird Nagios am besten aus den Quellen installiert, viele Plugins und auch das Programmpaket selber liegt meistens in recht hm... veralteten Versionen vor. Ich verweise hier mal auf ein recht aktuelles HowTo. ^^

Sobald Nagios läuft, stricken wir uns einen Befehl zum Ansprechen der UPS zusammen und editieren dazu die Datei /usr/local/nagios/etc/objects/commands.cfg
# UPS Check
#
#
define command {

    command_name check_ups
    command_line    $USER1$/check_ups -H $HOSTADDRESS$ -u GreenCell
}

Wie man unschwer erkennen kann, bezieht sich der Befehl in der vorletzten Zeile auf das in der Datei /etc/nut/ups.conf definierte Gerät. Dieser Befehl kann nun in beliebigen Serverkonfigurationen, die Nagios überwacht, angewendet werden. Wir richten nun aber erst einmal die Nagios Konfiguration des Clients ein, der durch die USV versorgt wird und editieren dazu eine neue Datei, in dem Fall nennen wir sie einfach /usr/local/nagios/etc/servers/client.lan.cfg
(...)
define service {
use                     local-service
host_name               client.lan
service_description     GreenCell UPS
check_command           check_ups!-H client.lan -u GreenCell

Ab diesem Zeitpunkt sollte der Status der UPS abgefragt werden können. Welche Werte genau abgefragt werden können ist natürlich von der jeweiligen UPS abhängig und welche Werte von Belang sind. Wie bei den meisten anderen Nagios Plugins können auch bei check_ups die möglichen Parameter durch einen Aufruf auf den Kommandozeile abgefragt werden. Hier man ein wenig Copy & Paste:
nagiosuser@server.lan:/usr/local/nagios/libexec# ./check_ups -h
check_ups v2.3.3 (nagios-plugins 2.3.3)
Copyright (c) 2000 Tom Shields
Copyright (c) 2004 Alain Richard <alain.richard@equation.fr>
Copyright (c) 2004 Arnaud Quette <arnaud.quette@mgeups.com>
Copyright (c) 2000-2014 Nagios Plugin Development Team
    <devel@nagios-plugins.org>

This plugin tests the UPS service on the specified host. Network UPS Tools
from www.networkupstools.org must be running for this plugin to work.

Usage:
check_ups -H host -u ups [-p port] [-v variable] [-w warn_value] [-c crit_value] [-e] [-to to_sec] [-T]

Options:
 -h, --help
    Print detailed help screen
 -V, --version
    Print version information
 --extra-opts=[section][@file]
    Read options from an ini file. See
    https://www.nagios-plugins.org/doc/extra-opts.html
    for usage and examples.
 -H, --hostname=ADDRESS
    Host name, IP Address, or unix socket (must be an absolute path)
 -p, --port=INTEGER
    Port number (default: 3493)
 -u, --ups=STRING
    Name of UPS
 -T, --temperature
    Output of temperatures in Celsius
 -e, --extended-units
    Allow nonstandard units in performance data (used for voltage and temperatures)
 -v, --variable=STRING
    Valid values for STRING are LINE, TEMP, BATTLEFT, BATTPCT or LOADPCT
 -w, --warning=DOUBLE
    Response time to result in warning status (seconds)
 -c, --critical=DOUBLE
    Response time to result in critical status (seconds)
 -t, --timeout=INTEGER:
    Seconds before connection times out (default: 10)
    Optional ":" can be a state integer (0,1,2,3) or a state STRING

This plugin attempts to determine the status of a UPS (Uninterruptible Power
Supply) on a local or remote host. If the UPS is online or calibrating, the
plugin will return an OK state. If the battery is on it will return a WARNING
state. If the UPS is off or has a low battery the plugin will return a CRITICAL
state.

Notes:
 You may also specify a variable to check (such as temperature, utility voltage,
 battery load, etc.) as well as warning and critical thresholds for the value
 of that variable.  If the remote host has multiple UPS that are being monitored
 you will have to use the --ups option to specify which UPS to check.

 This plugin requires that the UPSD daemon distributed with Russell Kroll's
 Network UPS Tools be installed on the remote host. If you do not have the
 package installed on your system, you can download it from
 http://www.networkupstools.org

Send email to help@nagios-plugins.org if you have questions regarding use
of this software. To submit patches or suggest improvements, send email to
devel@nagios-plugins.org

Eine am Server abgesetzte Anfrage ergibt in unserem Fall:
nagiosuser@server.lan:/usr/local/nagios/libexec# ./check_ups -H prusapi.lan -u GreenCell
UPS OK - Status=Online Utility=230,0V Batt=100,0% Load=4,0% |voltage=230,000000;;;0,000000 battery=100,000000%;;;0,000000;100,000000 load=4,000000%;;;0,000000;100,000000

Nagios verwertet diesen Schnipsel so:



Einige Links in diesem Beitrag sind Vorschläge / Einkaufsquellen und sog. Affiliatelinks. Wenn Du etwas über diesen Link kaufst, erhalten wir eine kleine Provision. Der Preis für Dich bleibt derselbe. Vielen Dank für Deine Unterstützung.

Some of the links are suggestions for parts to replicate the thing and affiliate. If you buy something, I get a small commission. The price you pay is the same. Thank you very much.

Mini HowTo: OpenDKIM für Postfix installieren

Foto: Lourdes Cardenal
Campo de Criptana Molinos de Viento / La Mancha.
Foto: Lourdes Cardenal, CC BY-SA 3.0, via Wikimedia Commons
Bekanntlich bin ich der Ansicht, daß alle Spammer an ihren Eiern aufgehängt gehören. Da dieser Wunsch für mich momentan etwas schwierig umzusetzen ist, ich aber trotzdem Interesse an einer weitestgehend Spam bzw. Phishing freien Mailverkehr habe, muss ich wie einst Sisyphos (oder war es Don Quixote?) gegen unerwünschte Mails kämpfen. Da ich nicht der einzige bin, der diesen Wunsch hegt, gibt es eine breite Palette an Tools, die einen dabei unterstützen. Als Domaindiktator setze ich dabei am Mailserver an: "DomainKeys ist ein Identifikationsprotokoll zur Sicherstellung der Authentizität von E-Mail-Absendern, das von Yahoo entwickelt wurde und seit Ende 2013 ein Internet-Standard ist. Es wurde konzipiert, um bei der Eindämmung von unerwünschter E-Mail wie Spam oder Phishing zu helfen."  DKIM-Signaturen machen also Veränderungen an Header und Body einer Mail erkennbar.
Da es einige Stolperfallen bei der Einrichtung gibt, die das korrekte Funktionieren verhindern können, habe ich mir ein kurzes und rudimentäres HowTo verfasst:

Das Szenario: Alle Mails der Doman domainname.de sollen signiert werden. Alle eingehenden Mails sollen verifiziert werden. Wir haben Zugriff auf Nameservereinträge der Domain und ein Postfix Server sowie Amavis und Spamassassin verrichten ihren Dienst auf einem debian System. Den DKIM Dienst soll openDKIM übernehmen, das wir gleich mal in einem Terminal zusammen mit ein paar Tools installieren:
sudo apt install opendkim opendkim-tools

Dann legen wir ein Schlüsselverzeichnis an und generieren den Schlüssel. Wichtig ist die korrekte Rechtevergabe in den Schlüsselverzeichnissen! Zudem sollte der Dienst nicht als root laufen sondern unter dem User opendkim. Dieser darf in keiner anderen Gruppe Mitglied sein, ansonsten quittiert der Dienst den selbigen mit einer Fehlermeldung.
mkdir /etc/opendkim/keys/domainname.de
/usr/bin/opendkim-genkey -D /etc/opendkim/keys/domainname.de/ -d domainname.de -s 2020
chown -R root:opendkim /etc/opendkim/keys/domainname.de
chmod 640 /etc/opendkim/keys/domainname.de/2020.private
chmod 644 /etc/opendkim/keys/domainname.de/2020.txt

Im Anschluss bearbeiten wir die /etc/opendkim.conf:
Domain   domainname.de
Selector 2020                             # Das ist der im vorigen Schritt angegebene Selector. Interessant für diejenigen, die den DKIM Key regelmäßig aktualisieren.
KeyFile  /etc/opendkim/domainname.de/2020.private
Socket   inet:8891@localhost
Canonicalization        relaxed/simple    # Auf Headermodifikationen nicht gleich allergisch reagieren
Mode                    sv                # Mails [s]ignieren und [v]erifizieren

Wir starten den Dienst:  sudo systemctl restart opendkim und regeln, daß der Dienst beim Systemstart gleich gestartet wird:  systemctl enable opendkim. Dann befassen wir uns mit der Integration von openDKIM in Postfix. Dazu editieren wir die /etc/postfix/main.cf:
smtpd_milters = inet:localhost:8891
non_smtpd_milters = $smtpd_milters

Danach muss  Postfix diese Änderung bekannt gegeben werden: sudo systemctl reload postfix.

Das war es im Grunde dann auch schon. Bis auf eine Kleinigkeit: Die Integration des Schlüssels als TXT Record im Nameservereintrag von domainname.de. Diese Einstellung unterscheidet sich von Provider zu Provider, daher an der Stelle auch nur der allgemeine Hinweis:


Record NameRecord TypeText
mail._domainkeyTXTv=DKIM1; k=rsa; p=MI.. (Hier Inhalt von /etc/opendkim/keys/domainname.de/2020.txt einfügen, dabei alle >"< entfernen und alle Zeilen nach p= in einen Schlüssel ohne Leerzeichen verbinden.)

Das korrekte Eintragen des Schlüssels kann kompliziert sein, vor allem der Teil nach "p=" darf weder um- noch unterbrochen sein. Ansonsten wird der Schlüssel nicht erkannt!

Testen des Keys:
# opendkim-testkey -d domainname.de -s mail -vvv

opendkim-testkey: using default configfile /etc/opendkim.conf
opendkim-testkey: checking key 'mail._domainkey.domainname.de'
opendkim-testkey: key not secure
opendkim-testkey: key OK

Sofern keine Fehlermeldungen auftreten, kann man sich nun darum kümmern, eingehenden Spam weiter zu filtern. In Amavis ist der DKIM Filter in einigen Debian Derivaten deaktiviert, lässt sich aber einfach aktivieren. Dazu muss in der Konfigurationsdatei /etc/amavis/conf.d/20-debian-defaults folgender Parameter gesetzt werden:
$enable_dkim_verification = 1;

In der Datei /etc/amavis/conf.d/50-user muss für eine erweitere Anzeige der Überprüfungsergebnisse dann als letztes noch folgender Parameter gesetzt werden:
$allowed_added_header_fields{lc('Authentication-Results')} = 1;

Im täglichen Mailverkehr empfiehlt sich darüber hinaus ein Addon für den freien Mailclient Thunderbird zur Kontrolle der empfangenen Mails: Den DKIM Verifier. Dieses Addon überprüft beim Öffnen einer Mail die Gültigkeit der Signatur. Somit kann man sich (halbwegs) sicher sein, daß die Mail vom signierenden Mailserver stammt. Natürlich nutzen auch einzelne Spammer DKIM. "Es ist wichtig zu beachten, dass eine E-Mail durch eine beliebige Domain signiert seinen kann. Eine gültige Signatur alleine ist daher kein Hinweis auf eine vertrauenswürdige E-Mail. Um zu entscheiden ob eine E-Mail vertrauenswürdig ist sollte immer überprüft werden wer der Signierende ist! In einigen Fällen kann die Abwesenheit einer DKIM Signatur nützlich sein um betrügerische E-Mails zu erkennen. Falls bekannt ist, dass eine Domain alle ihre E-Mails mittels DKIM signiert, ist das Nichtvorhandensein einer DKIM Signatur ein starker Hinweis auf eine gefälschte E-Mail." (Aus der Addon Beschreibung)

Quellen:
debianwiki, Steven Jenkins, Michael Kofler, WikiPediaPhilippe Lieser, Patrick Koetter

Alle Jahre wieder. Oder: Wenn ich doch nur eine Kreditkarte der Sparkasse hätte...

... dann würden mich derartige Mails auch nicht verunsichern1. Wie André Westphal in Caschis Blog berichtet, ist zur Zeit mal wieder eine Welle von Malware unterwegs. Als Vorsichtsmaßnahme empfehle ich wie immer neben einem aktuellen Virenscanner vor allem Brain 1.0 einzuschalten, bevor panisch auf irgendwelchen Links herum geklickt wird.



1 Virusmeldung durch unseren Mailserver:

VIRUS ALERT

Our content checker found
virus: PhishTank.Phishing.5705579.UNOFFICIAL
in an email to you from probably faked sender:
?@[94.130.79.xx]

claiming to be: <SRS0=jvif=JP=sparkasse-ffb.de=sicherheit@sparkasse-ffb.de>
Content type: Virus
Our internal reference code for your message is 03363-15/r_wL7vrsk91x

First upstream SMTP client IP address: [::1] localhost
According to a 'Received:' trace, the message apparently originated at:
[94.130.79.xx], xxxxxxxxx localhost [IPv6:::1]

Return-Path: <SRS0=jvif=JP=sparkasse-ffb.de=sicherheit@sparkasse-ffb.de>
From: Sparkasse sicherheit@sparkasse-ffb.de
Message-ID: 19ca79595280f1549a9fff8886bc1475@localhost.localdomain
X-Mailer: PHPMailer 5.2.7 (https://github.com/PHPMailer/PHPMailer/)
Subject: =?iso-8859-1?Q?Konto:ThomasTr=FCten|Fall:S71548D9?=
The message has been quarantined as: r/virus-rwL7vrsk91x

Please contact your system administrator for details.

#efail: PGP in HTML Mails angreifbar

Mit PGP verschlüsselte eMails im HTML Format sind angreifbar. Dies haben Forscher heute nachgewiesen. Leider sind HTML kodierte Mails sehr verbreitet, obwohl dieses Format ursprünglich eigentlich für das Web und nicht für Mails vorgesehen war. Aber so kann man doch so schön formatierte Mails und anklickbare Links versenden... Eben drum.

Die als #eFail kursierende Sicherheitslücke bezieht sich jedoch wohl nur auf dieses Mailformat und ist vor allem in der Kombination unsichere Mailserver / uralte Mails praktisch gefährlich.  Daher lautet die Devise nicht: "PGP ist schlecht also deaktivieren und niemals verschlüsselte Mails versenden" sondern HTML in Mails deaktivieren, und für  Admins: Ungesicherte Mailserver absichern. Letzteres gibt es offensichtlich immer noch...

Siehe dazu: spiegel.de, netzpolitik.org, heise.de

Nachrichtenansicht HTML deaktivieren in

Thunderbird

Outlook

#W2H / #NoG20: Welcome to Hell - Polizei zerschlägt #G20-Demo in Hamburg

Welcome to Hell – zum Start des G20-Gipfels wollten 12.000 ihre Wut auf die Straße tragen. Nach 50m Demo-Strecke setzte es Wasserwerfer, Schläge und Pfefferspray. Die Hamburger Polizei zerschlug den öffentlichen Protest brutal!

38km² grundrechtsfreie Zone in Hamburg für G20-Gipfel?

Nachdem das zur Unterbringung der G20 GipfelgegnerInnen geplante antikapitalistische Protestcamp im Hamburger Stadtpark Entenwerder von den Behörden juristisch verhindert wurde, sollte das Camp nun im Elbpark Entenwerder im Stadtteil Rothenburgsort aufgebaut werden. Der Aufbau des Camps einschließlich Schlafzelten an diesem Ort war am späten Abend des 1. Juli vom Verwaltungsgericht Hamburg ausdrücklich zugestanden worden. Dennoch setzt sich die Polizei über über den Beschluß des Verwaltungsgerichts hinweg - (1,2,3,4, und so weiter).

Angesichts der Hamburger Zustände dokumentieren wir zwei Pressemitteilungen des anwaltlichen Notdienstes des Republikanischen Anwaltsvereins (RAV) vom 2. Juli und verweisen an der Stelle an Heribert Prantls Kommentar in der Sueddeutschen: "Demonstrationsfreiheit ist ein Grundrecht, kein Gnadenrecht"

Demoverbotszone der Hamburger Polizei zum G20: Mehrere JuristInnen legen Eilantrag ein

Wir haben gestern am späten Abend mehrere Eilanträge von JuristInnen gegen die Allgemeinverfügung vom 01.06.2017 bei dem Hamburger Verwaltungsgericht eingereicht. Unsere MandantInnen sind drei ReferendarInnen und ein Anwalt, die sich seit ihrem Studium mit Fragestellungen des Öffentlichen Rechts – insbesondere des Polizei- und Versammlungsrechts – auseinandersetzen. Als StudentInnen war sie Mitglied einer studentischen Hochschulgruppe rechtspolitisch interessierter und politischer engagierter Jurastudierender. Seit Beginn ihres Referendariats sind die AntragstellerInnen zudem Mitglieder eines Berufsgruppenübergreifenden Zusammenschlusses von linken Juristinnen und Juristen. Die AntragstellerInnen nahmen jeweils in der Vergangenheit gemeinsam mit anderen vernetzten JuristInnen an einer Vielzahl von Versammlungen teil: Beispielsweise gegen die Ausrufung des Gefahrengebietes im Januar 2014.

Vor dem Hintergrund, dass es sich in dem in Rede stehenden Zeitraum um den größten Polizeieinsatz der Geschichte Hamburgs handeln wird, erwarten die AntragstellerInnen massive Rechts- und Grundrechtsverletzung durch Polizeieinsätze. Insbesondere auch im Geltungsbereich der Allgemeinverfügung. Sie haben vor, in dem Fall ihre Meinung in Form von spontanen Versammlungen hierzu auch kundzutun. Dies entspricht jedoch nur den Ansprüchen des Art. 8 GG, wenn sie dies auch in Hör- und Sichtweite der prognostizierten Polizeieinsätze tun können.

Durch die 38km² große Demoverbotszone mitten in der Hamburger Innenstadt wird ihnen dies verboten. Unabhängig vom Anlass wird allen sich in Hamburg aufhaltenden Menschen für 35 Stunden untersagt, ihre Meinung innerhalb dieses großflächigen Stadtgebiets gemeinsam mit mehr als einer anderen Person öffentlich kundzutun. Denn bei der gemeinsamen öffentlichen Meinungskundgabe von mindestens drei Personen liegt bereits eine Versammlung vor. Dies kommt einem Flächenverbot gleich, für welches keine taugliche Rechtsgrundlage existiert. In dem betreffenden Stadtgebiet können (mit Bezug zu dem Gipfels oder auch nicht)eine Vielzahl von verschiedenen Anlässen für Versammlungen entstehen, die sich teils auch widersprechen können (Pro-Erdogan Versammlungen und Anti-G20-Proteste).

Das Ergebnis der Allgemeinverfügung ist aus verfassungsrechtlicher Sicht untragbar: Unseren MandantInnen wäre es untersagt, bspw. bei rechtswidrigen Polizeieinsätzen, mit jeweils zwei anderen JuristInnen zusammen ihre Meinung nahe des Einsatzes öffentlich zu äußern. Wenn sie das doch täten, liefen sie Gefahr, Zwangsmaßnahmen durch die Polizei ausgesetzt zu sein. Rechtsanwältin Alexandra Wichmann äußert sich dazu: „Aus rechtsstaatlicher Sicht höchst bedenklich ist dabei, dass die Polizei als Exekutivorgan eigenmächtig einen Raum von 38 km² schafft, in dem gemeinsame öffentliche Kritik präventiv untersagt wird.“

Polizei unterbindet den Zutritt zum Camp Entenwerder trotz positiver Verwaltungsgerichtsentscheidung

Hamburger Polizei ignoriert Rechtsprechung des Verwaltungsgerichts Hamburg - Anwaltlicher Notdienst fordert die sofortige Ablösung von PD Hartmut Dudde

Trotz positiver Eilentscheidung des Hamburger Verwaltungsgerichts (VG) in der Nacht zum 2. Juli 2017 (Az. 75 G 3/17) hat die Hamburger Polizei den Versammlungsteilnehmern des Antikapitalistischen Camps den Zugang zu dem angemeldeten Gelände Entenwerder verweigert und angekündigt, dass der Gesamteinsatzleiter Dudde persönlich ein absolutes Versammlungsverbot auf dem Gelände durchsetzen werde. Herr Dudde behauptet derzeit ggü. der Presse schlicht, es gebe keine gerichtliche Entscheidung.

Letzteres ist bemerkenswert, so hatte das VG in dem Beschluss auf die Sorge des anwaltlichen Beistandes RA Martin Klingner noch erklärt: „Soweit der Antragsteller ausgeführt hat, dass die [Polizei…] den Aufbau des Camps mittels unmittelbaren Zwangs verhindern werde, ist nicht ersichtlich, dass die [Polizei…] in Ansehung des hiesigen Beschlusses dennoch faktische Verhinderungsmaßnahmen ergreifen wird, solange dieser nicht durch einen entsprechenden Beschluss in einem etwaigen Beschwerdeverfahren aufgehoben worden ist.

Das Gericht war fälschlicherweise davon ausgegangen, dass die Polizei Hamburg sich an den gerichtlichen Beschluss halten wurde.

Der Anwaltliche Notdienst stellt dazu fest: Während der Innensenator Grote trotz aller Verbote nicht müde wird, die angeblich demokratischen und versammlungsfreundlichen Verhältnisse in Hamburg zu beschwören, sieht die Wirklichkeit völlig anders aus. Er bedient sich eines Einsatzleiters, der nicht bereit ist, sich an gerichtliche Entscheidungen zu halten und der aktiv das Recht bricht. Dass der Anmelder des Camps Entenwerder und die TeilnehmerInnen der Versammlung, die das Camp aufbauen wollen, nicht auf das Versammlungsgelände gelassen werden, ist eine rechtswidrige Nötigung. Es ist gleichzeitig eine Ankündigung, wie die Polizei unter PD Hartmut Dudde dem weiteren G 20- Protest zu begegnen gedenkt: nicht durch Schutz, sondern durch Behinderung der Meinungs- und Versammlungsfreiheit.

Dazu Rechtsanwalt Martin Klingner, der die Anmelder des Camps Entenwerder erfolgreich vor dem Verwaltungsgericht vertreten hat: „Die Hamburger Polizei bricht die Verfassung, aber wir werden uns durchsetzen“.

Der Anwaltliche Notdienst sieht in der Maßnahme der Polizei ein vorsätzliches Unterlaufen rechtsstaatlicher Garantien. Ein Polizeidirektor, den eine Gerichtsentscheidung nicht interessiert, ist für den Posten des Gesamteinsatzleiters nicht tragbar und muss unverzüglich abgelöst werden.

Der Beschluss des Hamburger Verwaltungsgericht kann beim Anwaltlichen Notdienst angefragt werden.

Pressegruppe des Anwaltlichen Notdienst beim RAV e.V.
Hamburg, den 02.07.2017

Endlich: LineAgeOS für Google Pixel C auch offiziell verfügbar!

Mein Pixel C mit angedockter Tastatur beim Schreiben dieses Kurzbeitrags
Ab morgen ist es endlich soweit, für Googles High End Tablet Pixel C ist das möglich, was es unter dem inzwischen eingestellten Cyanogen Mod nur als Hack gab: LineAge OS erscheint als offizielle Version. Am 1. April 2017 erschien das erste Posting des Entwicklers, danach ging alles recht schnell, ein angepasstes Recovery wurde veröffentlicht, Probleme bei einigen Anwendern mit speziellen Kerneln gelöst, im offiziellen LineAge OS Wiki wurde vergangene Woche dann eine eigene Seite für das Pixel C unter dessen Devicenamen "Dragon" eingerichtet, der seit dem Nightly vom 12. Juni alle seither erschienenen Versionen enthält. Damit sind endlich auch OTA Updates möglich. Einziges Manko: Die passende vendor.img muss separat geladen werden, man kann leider nicht die Standardversion von Google verwenden. Die Version des Entwicklers findet sich jedoch immer in dessen Google Drive zum Download. Die Datei kann über TWRP / Installation / Image dann auf dem Pixel C installiert werden. Keine Sorge, falls man das vergisst: Eine entsprechende Fehlermeldung verweist auf die zu installierende Version der vendor.img.

Es wird eigentlich auch höchste Zeit, denn das im Dezember 2015 erschienene Tablet ist inzwischen auch nicht mehr das jüngste. Davon abgesehen, dass es auch leistungsfähig durchaus mit den aktuellen Tablets mithalten kann war für mich nach der Verwendung des Vorläufermodells Nexus 9 die überragende Tastatur des Pixel C die magnetisch an den Aluminium Unibody des Pixel C angedockt wird, mitentscheident für den Kauf des Tablets.

Die Tastatur ermöglicht es "mal eben" statt mit einem ausgewachsenen Notebook mit einem wesentlich leichteren Gerät die üblichen Officesachen zu erledigen. Hier verwende ich K9 Mail zusammen mit dem PGP/GPG Äquivalent Openkeychain für alles rund um Email, Firefox bzw. Chrome zum Browser und die aus der SoftMaker Schmiede stammenden TextMaker, PlanMaker und Presentations in der HD Version für die sonstigen Dinge. (Übrigens gibt es die Programme auch kostenlos und ohne nervige Werbung, nur eben nicht in der HD Version. Aber zum kurzen Ansehen oder Bearbeiten eines Textes reichen die Versionen allemal.)

Für soziale Netzwerke stehen ja die diversesten Apps zur Verfügung, auch hier ermöglicht einem ein gerootetes Device einfach mehr Kontrolle über die jeweiligen Apps.

Wenngleich es nach wie vor monatlich durch Updates von Google versorgt wird, hat man mit Lineage OS einfach mehr Möglichkeiten - die nicht nur damit zusammenhängen, dass ein gerootetes Gerät Voraussetzung für die Installation ist. Inzwischen sind - im Gegensatz zu früheren Zeiten - die Abläufe rund um das Rooten von Android Devices auch bei weitem nicht mehr so "tricky" und das Risiko, am Ende mit einem teuren, aber schönen Briefbeschwerer da zu stehen, ist wesentlich geringer.

Trotz Klima der Angst – Blockaden und Großdemonstration setzt eindrucksvolles Zeichen gegen AfD-Rechtsruck und Einschüchterung der Polizei

Über 10.000 Teilnehmende ziehen als Großdemonstration von "Solidarität statt Hetze" durch die Kölner Innenstadt und feiern die erfolgreiche Verzögerung des Auftaktes des AfD-Bundesparteitages im Kölner Maritim Hotel. Am frühen Morgen haben bereits 3.000 Menschen den Zugang zum Tagungsort deutlich erschwert, mit Blockaden an neuralgischen Punkten. Es wurde ein eindrucksvolles Zeichen gegen den Rechtsruck in Deutschland und Europa gesetzt. Tom Wohlfarth von "Solidarität statt Hetze"  sagt: „Wir haben gezeigt: Rechte Hetze und Menschenverachtung hat in unserer Gesellschaft keinen Platz. Dagegen haben wir, mit verschiedenen Protestsformen, ein deutliches Zeichen gesetzt.“ Kritik äußert die Kampagne Solidarität statt Hetze am Kölner Polizeipräsidenten. Reiner Schmidt von Köln gegen Rechts und Anmelder der Großdemonstration sagt: „Wir haben unser Wort gehalten: Von uns ging keine Eskalation aus. Jürgen Mathies blieb ungeachtet dessen leider auch bei seinem Wort und führte einen unverhältnismäßig harten Polizeieinsatz durch.“ Als in den Morgenstunden Demonstrierende aus dem gesamten Bundesgebiet in Köln ankamen, lernten sie das Demonstrationsrecht in der Lesart von Polizeipräsident Jürgen Mathies kennen. Vier vollbesetzte Busse erhielten noch vor dem Aussteigen am Kölner Stadtrand einen Platzverweis und mussten umkehren. Auch vielen Demonstrierenden aus Köln erging es ähnlich: Ihnen wurden der Zugang zu den angemeldeten Kundgebungen von der Polizei verwehrt. Trotz dieser Schikane gelangten 3000 Demonstrant*innen zu den Blockadepunkten. Jan Sperling, Pressesprecher von Solidarität statt Hetze berichtet: „Obwohl von den Blockadepunkten keine Eskalation ausging gab es immer wieder Schlagstockeinsätze der Polizei. Dies zeigt die unbedingte Eskalationswilligkeit, die der Polizeipräsident ja schon im Vorfeld ganz unverhohlen angekündigt hatte."

Quelle: Presseerklärung, Köln, 22.04.2017