powerpoint-folien
Download
Report
Transcript powerpoint-folien
Ein Workshop von und mit
Peter Bertz & Sören Kupjetz
Powered by the legendary HRZ
Peter
◦ Arbeitet seit 3 Jahren beim HRZ
◦ Hat seiner Mutter Mailverschlüsselung beigebracht
◦ Kann Computer
Sören
◦ Arbeitet seit 4 Jahren beim HRZ
◦ Gründungsmitglied im Hackerspace Marburg
◦ Hat seiner Mutter ein verschlüsseltes Linux auf dem
Laptop installiert
●
●
●
Erwartungen
Einleitung
Websicherheit
–
–
–
●
●
●
Browser
Mails
Chat
Rechner
Smartphone
Offene Fragen
●
Tarnung des/der Bot*In
–
–
●
Tattoo auf Schädel, Haare verdecken Nachricht
Nachrichtenübermittler*In nimmt geheime Wege
zur Überbringung der Botschaft
Tarnung der Botschaft
–
Sicherung der Nachrichtenübermittlung nicht
möglich/sehr aufwendig
●
●
Dritten das Mitlesen so aufwendig wie möglich machen
Beispiel: Lederriemen, Caesar-Verschlüsselung
http://commons.wikimedia.org/wiki/File:Verschl%C3%BCsselung_%28symmetrisches_Kryptosystem%29_Schema.svg
●
Beliebte Methoden der (analogen) BotschaftsVerschlüsselung:
–
Caesar: Buchstaben des Alphabets verschieben
●
Beispiel: Verschiebung um 3 Buchstaben
Guter Überblick über die historische Entwicklung
der Geheimdienste:
◦ Alternativlos, Folge 30: http://alternativlos.org/30/
●
Aktuelle Situation:
–
Jegliche Kommunikation im Internet wird in
Echtzeit mitgeschnitten
–
Automatisierte Kompromittierung von Rechnern
–
Einfache Verschlüsselungsmethoden sind
innerhalb von Sekundenbruchteilen überwunden
●
Geheimdienste in der ganzen Welt arbeiten
soweit zusammen, dass eine flächendeckende
Überwachung stattfindet:
–
Austausch-Verträge zwischen Diensten
–
NSA in D: 500 Mio. Verbindungen / Monat
–
Sämtliche (Massen-)Kommunikationskanäle sind
überwacht: Internet, Telefon, Post
●
●
●
●
Große Internetdiensleister und Softwarefirmen
arbeiten (mehr oder weniger freiwillig) mit den
Geheimdiensten zusammen
Profilerstellung aus Daten von Facebook, Google,
Microsoft, Twitter, Skype, Whatsapp, etc. +
personenbezogene Daten von Banken etc
Zusammensetzen eines Puzzles über große
Zeiträume hinweg (15 Jahre +)
Argumentation: Sicherheit > Freiheit
●
Wissen um Abhören/Mitlesen/... beeinflusst
Kommunikation
–
Selbstzensur, Angst, Gefühl von Kontrollverlust
●
●
OpenSource-Community entwickelt frei
zugängliche Verschlüsselungssysteme zur
Kommunikation in einer überwachten Welt
Dieser Workshop soll euch befähigen, einen
Teil eurer Privatsphäre zurückzuerlangen
–
Sensibilität für Überwachungsmechanismen
erhöhen
–
Verschlüsselungstechniken anwenden
–
Sorgenfrei(er) kommunizieren
Gute Passwörter sind notwendig für sinnvolles
Verschlüsseln!
2 Methoden:
◦ Passwort über Eselsbrücken merken und variieren
◦ Passwortmanager
KeePassX
●
●
Cloud (engl.: Wolke) beschreibt u.a. ITInfrastrukturen, die Dienste wie
Datenspeicherung oder Software ins Internet
auslagern
Beispiele: Dropbox, Microsoft Skydrive,
Amazon Cloud, Apple iCloud
●
Beispiel iCloud: Musik, Fotos und Dokumente
werden zwischen Geräten ausgetauscht
–
●
Die Daten werden hierzu auf Rechner der Firma
Apple hochgeladen und mit den angeschlossenen
Geräten der Nutzenden abgeglichen
Problematisch daran?
–
Persönliche Daten liegen außerhalb des eigenen
Zugriffsbereichs
●
●
Resultat: Privatfotos, Kontoauszüge,
Bewerbungen etc liegen Dritten vor und
werden für die Erstellung von Profilen genutzt
Abgabe des Besitzes von Daten an Dritte
●
Andere Beispiele:
–
Windows 8
●
–
Live-Account gleicht Daten online ab
Smartphones
●
WLAN-Passwörter liegen bei Google
●
Auslagerung von rechenintensiven Aufgaben
●
Private Daten nur im Container hochladen!
●
siehe TrueCrypt (kommt noch dran)
●
Plugins für mehr Privatsphäre
●
Suchmaschinen: Alternativen zu Google
●
TOR: Weitgehend anonym surfen
Blockt Werbung im Internet
Automatisierte Aktualisierung von Blockier-Regeln
Blockt und verwaltet Skripte, Flash und JAVA
Verhindert Verfolgung über mehrere Seiten
hinweg
Blockt und verhindert „Cookies“
◦ Cookies: Miniakten, die Websites über einen anlegen
https://www.eff.org/Https-everywhere
Versucht, wann immer möglich, eine
verschlüsselte Verbindung zu einer Website
herzustellen
●
Google, Bing, Yahoo etc. haben ihren Sitz
meist in den USA
–
Datenschutzbestimmungen weniger streng →
Suchmaschinen legen Benutzer*Innen-Profile an
–
Unterliegen dem Zugriff der Geheimdienste und
von Dritt-Firmen
●
Alternativen: Startpage, Ixquick, DuckDuckGo
–
Nutzen anonymisierten Suchvorgang
–
Speichern keine Daten zwischen
–
ABER: Suchergebnisse oftmals weniger
brauchbar, da nicht “personalisiert”
●
●
TOR ist ein Versuch, einen dezentralen,
anonymisierten Zugang zum Internet zu
betreiben
Rechner verbindet sich zum Netzwerk, wird
dort nacheinander mit diversen Servern
verbunden und dann ins Internet geleitet
–
Zurückverfolgen des Nutzenden erschwert
–
Internetdienste sehen nur den Namen des letzten
Rechners im Netzwerk
●
Installation etc.
Flashblock aktivieren
Zu langsam?
Neue Identität
Ende-zu-Ende-Verschlüsselung
hQEMA1PUVhZb8UnsAQf+KS9PNvkW
YFONnoStveMc4KwvGT7WlRFv/ZACvd
yFsKDO
icurhL57uh56KCof1m5drfftwjDQWgNyM
y0cixqV/2WzeQgjZILE0Z1FDg7cgAbs
UZvy2hmaJf0dhHEUziALotfUMhoSeHe
Obxmomzb7vovJv5tWDtQ9W+p2tbQ4tii
n
LAsJtwQhEVPNltootBteC0dTgOdISe6kf
qUSoN3A22SiSUihmjxMPiiO6iZB8gBS
hhfiSPa4khNwODncRe2BjqW+YQHf7L6
CfLjx2S1BCSr+KWLmUnVdWSUonhHP
F9mI
http://www.mozilla.org/de/thunderbird/
Beispiel Stud-Account
Assistent startet automatisch nach Installation
Geben Sie Ihren vollständigen Namen und die E-Mail-Adresse
vollständig ein([email protected])
'Benutzerdefinierte Einstellungen...
◦
◦
◦
◦
Verbindungssicherheit: SSL/TLS
Port: 993
Der Punkt 'Sichere Authentifizierung verwenden' darf nicht aktiviert sein!
Benutzername: Groß-/Kleinschreibung beachten!
'Postausgang-Server (SMTP)'
◦
◦
◦
◦
Port: 465
Server: smtp.uni-marburg.de
Verbindungssicherheit: SSL/TLS
Aktivieren Sie die Option 'Benutzernamen und Passwort verwenden' und
geben Sie Ihren Benutzernamen nochmal ein.
◦ Der Punkt 'Sichere Authentifizierung verwenden' darf nicht aktiviert sein!
Verwaltet PGP in Thunderbird
Macht Thunderbird meistens automatisch, sonst
Damit gesendet Mails weiter lesbar bleiben und
nicht nur mit Schlüssel des Empfängers
verschlüsselt werden:
OpenPGP-Einstellungen Senden Zusätzlich
mit eigenem Schlüssel verschlüsseln
Microsoft Outlook
Prinzipiell nicht zu empfehlen
PGP mit gpgOL
Apple Mail
Prinzipiell nicht zu empfehlen
Erkennt PGP und kann damit umgehen
• Unvertraute Unterschrift?
Keine Ende-zu-Ende-Verschlüsselung
Definition von „sicher“ wird angepasst
Bundesinnenministerium: PGP nur für „Hacker
und versierte IT-Spezialisten verwendbar“
Zum Teil Kommunikation zwischen Servern von
Telekom, web.de verschlüsselt
Sprachdatei herunterladen
(www.truecrypt.org/localizations)
.zip öffnen und daraus Language.de.xml in
Truecrypt-Ordner schieben
Ruhig verstecken
◦ Z. B. „Diss.pdf“
Lieber NTFS
So viel Hintergrund und Mausaktivität wie
möglich während der Erstellung
Automatisch trennen, bei längerer
Abwesenheit möglich
Kann sehr lange dauern!
Android (vorinstalliert): NEIN!
Apple iOS: NEIN!
Windows Phone 7/8: NEIN!
Blackberry: NEIN!
Alternativen:
◦ Cyanogen
◦ Replicant
◦ Firefox OS
Vorher Backup mit Titanium Backup
●
Whatsapp:
–
–
–
–
Whatsapp ist eine kommerzielle Software aus den
USA
Kein Quelltext einsehbar
Sicherheitslücken
Privatsphäre
●
●
Speicherung privater Konversationen
Zugriffsmöglichkeiten durch Dritte
–
–
Ausnutzen von Sicherheitslücken
Direkter Zugriff auf Daten
Threema:
●
Geschlossener Quellcode
–
Keine Überprüfung der Verschlüsselungstechniken
möglich
Telegram:
●
Clients sind quelloffen
●
Server Code ist geschlossen
●
Ende-zu-Ende
●
ICQ, MSN, Skype, etc. sind nicht sicher
●
Jabber (OpenSource)
–
Dezentraler Aufbau, eigener Server möglich
–
Mit Verschlüsselung (OTR)
–
Plattformübergreifende Nutzung
Hoheit über eigene Daten bleibt gewahrt
●
Jabbernutzung:
–
PC: Pidgin mit OTR
●
–
Auf Uni-PCs installiert, aber: Passwort unverschlüsselt,
kein OTR
Android: Xabber
Lasst euch nicht überwachen und
verschlüsselt immer schön eure Backups!
●
Benutzt OpenSource-Software!
–
●
Verschlüsselt ALLES!
–
●
Betriebssystem, Anwendungen
Rechner, Mail, Chat, Smartphone
Weitergehende Hilfe
–
(Partiell HRZ)
–
Örtlicher Hackerspace ([hsmr]; https://hsmr.cc)
●
●
●
Horchert, Judith: Automatisierte Überwachung: Ich habe etwas zu
verbergen. http://www.spiegel.de/netzwelt/netzpolitik/prism-undtempora-das-gefuehl-der-ueberwachung-a-908245.html
Hollmer, Karin: Was heißt hier "nichts zu verbergen"?
http://jetzt.sueddeutsche.de/texte/anzeigen/572852/Was-heisst-hiernichts-zu-verbergen
Allgemeines Persönlichkeitsrecht.
http://de.wikipedia.org/wiki/Allgemeines_Pers%C3%B6nlichkeitsrec
ht#Allgemeines_Pers.C3.B6nlichkeitsrecht
●
Prism Break: https://prism-break.org
●
Fefes Blog: http://blog.fefe.de
●
Browser-Fingerabdruck testen: https://panopticlick.eff.org/
●
Hackerspace Marburg: https://hsmr.cc
Fertig!
modi@onenetbeyond.
org
◦ Fingerabdruck:
82B5 0651 B9C3 E054
FCF5 6C8F 130C 9E78
8C0D 0713
Jabber:
[email protected]
Peter
[email protected]
◦ Fingerabdruck:
3D60 4E3A CF7F D87B
0165 4C9D 9508 26A8
F99B F728
Jabber: [email protected]
Homepage:
binbash.biz
Sören