Transcript powerpoint-folien

Ein Workshop von und mit
Peter Bertz & Sören Kupjetz
Powered by the legendary HRZ

Peter
◦ Arbeitet seit 3 Jahren beim HRZ
◦ Hat seiner Mutter Mailverschlüsselung beigebracht
◦ Kann Computer

Sören
◦ Arbeitet seit 4 Jahren beim HRZ
◦ Gründungsmitglied im Hackerspace Marburg
◦ Hat seiner Mutter ein verschlüsseltes Linux auf dem
Laptop installiert
●
●
●
Erwartungen
Einleitung
Websicherheit
–
–
–
●
●
●
Browser
Mails
Chat
Rechner
Smartphone
Offene Fragen
●
Tarnung des/der Bot*In
–
–
●
Tattoo auf Schädel, Haare verdecken Nachricht
Nachrichtenübermittler*In nimmt geheime Wege
zur Überbringung der Botschaft
Tarnung der Botschaft
–
Sicherung der Nachrichtenübermittlung nicht
möglich/sehr aufwendig
●
●
Dritten das Mitlesen so aufwendig wie möglich machen
Beispiel: Lederriemen, Caesar-Verschlüsselung
http://commons.wikimedia.org/wiki/File:Verschl%C3%BCsselung_%28symmetrisches_Kryptosystem%29_Schema.svg
●
Beliebte Methoden der (analogen) BotschaftsVerschlüsselung:
–
Caesar: Buchstaben des Alphabets verschieben
●
Beispiel: Verschiebung um 3 Buchstaben

Guter Überblick über die historische Entwicklung
der Geheimdienste:
◦ Alternativlos, Folge 30: http://alternativlos.org/30/
●
Aktuelle Situation:
–
Jegliche Kommunikation im Internet wird in
Echtzeit mitgeschnitten
–
Automatisierte Kompromittierung von Rechnern
–
Einfache Verschlüsselungsmethoden sind
innerhalb von Sekundenbruchteilen überwunden
●
Geheimdienste in der ganzen Welt arbeiten
soweit zusammen, dass eine flächendeckende
Überwachung stattfindet:
–
Austausch-Verträge zwischen Diensten
–
NSA in D: 500 Mio. Verbindungen / Monat
–
Sämtliche (Massen-)Kommunikationskanäle sind
überwacht: Internet, Telefon, Post
●
●
●
●
Große Internetdiensleister und Softwarefirmen
arbeiten (mehr oder weniger freiwillig) mit den
Geheimdiensten zusammen
Profilerstellung aus Daten von Facebook, Google,
Microsoft, Twitter, Skype, Whatsapp, etc. +
personenbezogene Daten von Banken etc
Zusammensetzen eines Puzzles über große
Zeiträume hinweg (15 Jahre +)
Argumentation: Sicherheit > Freiheit
●
Wissen um Abhören/Mitlesen/... beeinflusst
Kommunikation
–
Selbstzensur, Angst, Gefühl von Kontrollverlust
●
●
OpenSource-Community entwickelt frei
zugängliche Verschlüsselungssysteme zur
Kommunikation in einer überwachten Welt
Dieser Workshop soll euch befähigen, einen
Teil eurer Privatsphäre zurückzuerlangen
–
Sensibilität für Überwachungsmechanismen
erhöhen
–
Verschlüsselungstechniken anwenden
–
Sorgenfrei(er) kommunizieren


Gute Passwörter sind notwendig für sinnvolles
Verschlüsseln!
2 Methoden:
◦ Passwort über Eselsbrücken merken und variieren
◦ Passwortmanager
 KeePassX
●
●
Cloud (engl.: Wolke) beschreibt u.a. ITInfrastrukturen, die Dienste wie
Datenspeicherung oder Software ins Internet
auslagern
Beispiele: Dropbox, Microsoft Skydrive,
Amazon Cloud, Apple iCloud
●
Beispiel iCloud: Musik, Fotos und Dokumente
werden zwischen Geräten ausgetauscht
–
●
Die Daten werden hierzu auf Rechner der Firma
Apple hochgeladen und mit den angeschlossenen
Geräten der Nutzenden abgeglichen
Problematisch daran?
–
Persönliche Daten liegen außerhalb des eigenen
Zugriffsbereichs
●
●
Resultat: Privatfotos, Kontoauszüge,
Bewerbungen etc liegen Dritten vor und
werden für die Erstellung von Profilen genutzt
Abgabe des Besitzes von Daten an Dritte
●
Andere Beispiele:
–
Windows 8
●
–
Live-Account gleicht Daten online ab
Smartphones
●
WLAN-Passwörter liegen bei Google
●
Auslagerung von rechenintensiven Aufgaben
●
Private Daten nur im Container hochladen!
●
 siehe TrueCrypt (kommt noch dran)
●
Plugins für mehr Privatsphäre
●
Suchmaschinen: Alternativen zu Google
●
TOR: Weitgehend anonym surfen


Blockt Werbung im Internet
Automatisierte Aktualisierung von Blockier-Regeln

Blockt und verwaltet Skripte, Flash und JAVA
Verhindert Verfolgung über mehrere Seiten
hinweg

Blockt und verhindert „Cookies“
◦ Cookies: Miniakten, die Websites über einen anlegen


https://www.eff.org/Https-everywhere
Versucht, wann immer möglich, eine
verschlüsselte Verbindung zu einer Website
herzustellen
●
Google, Bing, Yahoo etc. haben ihren Sitz
meist in den USA
–
Datenschutzbestimmungen weniger streng →
Suchmaschinen legen Benutzer*Innen-Profile an
–
Unterliegen dem Zugriff der Geheimdienste und
von Dritt-Firmen
●
Alternativen: Startpage, Ixquick, DuckDuckGo
–
Nutzen anonymisierten Suchvorgang
–
Speichern keine Daten zwischen
–
ABER: Suchergebnisse oftmals weniger
brauchbar, da nicht “personalisiert”
●
●
TOR ist ein Versuch, einen dezentralen,
anonymisierten Zugang zum Internet zu
betreiben
Rechner verbindet sich zum Netzwerk, wird
dort nacheinander mit diversen Servern
verbunden und dann ins Internet geleitet
–
Zurückverfolgen des Nutzenden erschwert
–
Internetdienste sehen nur den Namen des letzten
Rechners im Netzwerk
●
Installation etc.
Flashblock aktivieren
Zu langsam?
Neue Identität


Ende-zu-Ende-Verschlüsselung
hQEMA1PUVhZb8UnsAQf+KS9PNvkW
YFONnoStveMc4KwvGT7WlRFv/ZACvd
yFsKDO
icurhL57uh56KCof1m5drfftwjDQWgNyM
y0cixqV/2WzeQgjZILE0Z1FDg7cgAbs
UZvy2hmaJf0dhHEUziALotfUMhoSeHe
Obxmomzb7vovJv5tWDtQ9W+p2tbQ4tii
n
LAsJtwQhEVPNltootBteC0dTgOdISe6kf
qUSoN3A22SiSUihmjxMPiiO6iZB8gBS
hhfiSPa4khNwODncRe2BjqW+YQHf7L6
CfLjx2S1BCSr+KWLmUnVdWSUonhHP
F9mI
http://www.mozilla.org/de/thunderbird/

Beispiel Stud-Account



Assistent startet automatisch nach Installation
Geben Sie Ihren vollständigen Namen und die E-Mail-Adresse
vollständig ein([email protected])
'Benutzerdefinierte Einstellungen...
◦
◦
◦
◦

Verbindungssicherheit: SSL/TLS
Port: 993
Der Punkt 'Sichere Authentifizierung verwenden' darf nicht aktiviert sein!
Benutzername: Groß-/Kleinschreibung beachten!
'Postausgang-Server (SMTP)'
◦
◦
◦
◦
Port: 465
Server: smtp.uni-marburg.de
Verbindungssicherheit: SSL/TLS
Aktivieren Sie die Option 'Benutzernamen und Passwort verwenden' und
geben Sie Ihren Benutzernamen nochmal ein.
◦ Der Punkt 'Sichere Authentifizierung verwenden' darf nicht aktiviert sein!

Verwaltet PGP in Thunderbird



Macht Thunderbird meistens automatisch, sonst
Damit gesendet Mails weiter lesbar bleiben und
nicht nur mit Schlüssel des Empfängers
verschlüsselt werden:
OpenPGP-Einstellungen  Senden  Zusätzlich
mit eigenem Schlüssel verschlüsseln
Microsoft Outlook


Prinzipiell nicht zu empfehlen
PGP mit gpgOL
Apple Mail


Prinzipiell nicht zu empfehlen
Erkennt PGP und kann damit umgehen
• Unvertraute Unterschrift?


Keine Ende-zu-Ende-Verschlüsselung
Definition von „sicher“ wird angepasst

Bundesinnenministerium: PGP nur für „Hacker
und versierte IT-Spezialisten verwendbar“

Zum Teil Kommunikation zwischen Servern von
Telekom, web.de verschlüsselt


Sprachdatei herunterladen
(www.truecrypt.org/localizations)
.zip öffnen und daraus Language.de.xml in
Truecrypt-Ordner schieben

Ruhig verstecken
◦ Z. B. „Diss.pdf“
Lieber NTFS

So viel Hintergrund und Mausaktivität wie
möglich während der Erstellung

Automatisch trennen, bei längerer
Abwesenheit möglich
Kann sehr lange dauern!

Android (vorinstalliert): NEIN!
Apple iOS: NEIN!
Windows Phone 7/8: NEIN!
Blackberry: NEIN!

Alternativen:



◦ Cyanogen
◦ Replicant
◦ Firefox OS
 Vorher Backup mit Titanium Backup
●
Whatsapp:
–
–
–
–
Whatsapp ist eine kommerzielle Software aus den
USA
Kein Quelltext einsehbar
Sicherheitslücken
Privatsphäre
●
●
Speicherung privater Konversationen
Zugriffsmöglichkeiten durch Dritte
–
–
Ausnutzen von Sicherheitslücken
Direkter Zugriff auf Daten
Threema:
●
Geschlossener Quellcode
–
Keine Überprüfung der Verschlüsselungstechniken
möglich
Telegram:
●
Clients sind quelloffen
●
Server Code ist geschlossen
●
Ende-zu-Ende
●
ICQ, MSN, Skype, etc. sind nicht sicher
●
Jabber (OpenSource)
–
Dezentraler Aufbau, eigener Server möglich
–
Mit Verschlüsselung (OTR)
–
Plattformübergreifende Nutzung
 Hoheit über eigene Daten bleibt gewahrt
●
Jabbernutzung:
–
PC: Pidgin mit OTR
●
–
Auf Uni-PCs installiert, aber: Passwort unverschlüsselt,
kein OTR
Android: Xabber
Lasst euch nicht überwachen und
verschlüsselt immer schön eure Backups!
●
Benutzt OpenSource-Software!
–
●
Verschlüsselt ALLES!
–
●
Betriebssystem, Anwendungen
Rechner, Mail, Chat, Smartphone
Weitergehende Hilfe
–
(Partiell HRZ)
–
Örtlicher Hackerspace ([hsmr]; https://hsmr.cc)
●
●
●
Horchert, Judith: Automatisierte Überwachung: Ich habe etwas zu
verbergen. http://www.spiegel.de/netzwelt/netzpolitik/prism-undtempora-das-gefuehl-der-ueberwachung-a-908245.html
Hollmer, Karin: Was heißt hier "nichts zu verbergen"?
http://jetzt.sueddeutsche.de/texte/anzeigen/572852/Was-heisst-hiernichts-zu-verbergen
Allgemeines Persönlichkeitsrecht.
http://de.wikipedia.org/wiki/Allgemeines_Pers%C3%B6nlichkeitsrec
ht#Allgemeines_Pers.C3.B6nlichkeitsrecht
●
Prism Break: https://prism-break.org
●
Fefes Blog: http://blog.fefe.de
●
Browser-Fingerabdruck testen: https://panopticlick.eff.org/
●
Hackerspace Marburg: https://hsmr.cc
Fertig!

modi@onenetbeyond.
org

◦ Fingerabdruck:
82B5 0651 B9C3 E054
FCF5 6C8F 130C 9E78
8C0D 0713

Jabber:
[email protected]
Peter
[email protected]
◦ Fingerabdruck:
3D60 4E3A CF7F D87B
0165 4C9D 9508 26A8
F99B F728


Jabber: [email protected]
Homepage:
binbash.biz
Sören