ein workshop von und mit peter bertz & sören kupjetz powered by the legendary hrz
TRANSCRIPT
Digitale Selbstverteidigung
im Netz (V3.0)Ein Workshop von und mitPeter Bertz & Sören Kupjetz
Powered by the legendary HRZ
Peter◦ Arbeitet seit 3 Jahren beim HRZ◦ Hat seiner Mutter Mailverschlüsselung beigebracht◦ Kann Computer
Sören◦ Arbeitet seit 4 Jahren beim HRZ◦ Gründungsmitglied im Hackerspace Marburg◦ Hat seiner Mutter ein verschlüsseltes Linux auf dem
Laptop installiert
Wir
● Erwartungen● Einleitung● Websicherheit
– Browser– Mails– Chat
● Rechner● Smartphone● Offene Fragen
Übersicht
Erwartungen
● Tarnung des/der Bot*In– Tattoo auf Schädel, Haare verdecken Nachricht– Nachrichtenübermittler*In nimmt geheime Wege
zur Überbringung der Botschaft
● Tarnung der Botschaft– Sicherung der Nachrichtenübermittlung nicht
möglich/sehr aufwendig● Dritten das Mitlesen so aufwendig wie möglich machen● Beispiel: Lederriemen, Caesar-Verschlüsselung
Historische Perspektive I
Historische Perspektive II
http://commons.wikimedia.org/wiki/File:Verschl%C3%BCsselung_%28symmetrisches_Kryptosystem%29_Schema.svg
● Beliebte Methoden der (analogen) Botschafts-Verschlüsselung:– Caesar: Buchstaben des Alphabets verschieben
● Beispiel: Verschiebung um 3 Buchstaben
Historische Perspektive III
Guter Überblick über die historische Entwicklung der Geheimdienste:◦ Alternativlos, Folge 30: http://alternativlos.org/30/
Historische Perspektive IV
Aktuelle Situation
● Aktuelle Situation:– Jegliche Kommunikation im Internet wird in
Echtzeit mitgeschnitten– Automatisierte Kompromittierung von Rechnern– Einfache Verschlüsselungsmethoden sind
innerhalb von Sekundenbruchteilen überwunden
Aktuelle Situation I
● Geheimdienste in der ganzen Welt arbeiten soweit zusammen, dass eine flächendeckende Überwachung stattfindet:– Austausch-Verträge zwischen Diensten– NSA in D: 500 Mio. Verbindungen / Monat– Sämtliche (Massen-)Kommunikationskanäle sind
überwacht: Internet, Telefon, Post
Aktuelle Situation II
● Große Internetdiensleister und Softwarefirmen arbeiten (mehr oder weniger freiwillig) mit den Geheimdiensten zusammen
● Profilerstellung aus Daten von Facebook, Google, Microsoft, Twitter, Skype, Whatsapp, etc. + personenbezogene Daten von Banken etc
● Zusammensetzen eines Puzzles über große Zeiträume hinweg (15 Jahre +)
● Argumentation: Sicherheit > Freiheit
Aktuelle Situation III
● Wissen um Abhören/Mitlesen/... beeinflusst Kommunikation– Selbstzensur, Angst, Gefühl von Kontrollverlust
Aktuelle Situation IV
● OpenSource-Community entwickelt frei zugängliche Verschlüsselungssysteme zur Kommunikation in einer überwachten Welt
● Dieser Workshop soll euch befähigen, einen Teil eurer Privatsphäre zurückzuerlangen– Sensibilität für Überwachungsmechanismen
erhöhen– Verschlüsselungstechniken anwenden– Sorgenfrei(er) kommunizieren
Aktuelle Situation IV
Aktuelle Situation V
Passwörter
Gute Passwörter sind notwendig für sinnvolles Verschlüsseln!
2 Methoden:◦ Passwort über Eselsbrücken merken und variieren◦ Passwortmanager
KeePassX
Passwörter
Cloud
● Cloud (engl.: Wolke) beschreibt u.a. IT-Infrastrukturen, die Dienste wie Datenspeicherung oder Software ins Internet auslagern
● Beispiele: Dropbox, Microsoft Skydrive, Amazon Cloud, Apple iCloud
Cloud I
● Beispiel iCloud: Musik, Fotos und Dokumente werden zwischen Geräten ausgetauscht– Die Daten werden hierzu auf Rechner der Firma
Apple hochgeladen und mit den angeschlossenen Geräten der Nutzenden abgeglichen
● Problematisch daran?– Persönliche Daten liegen außerhalb des eigenen
Zugriffsbereichs
Cloud II
● Resultat: Privatfotos, Kontoauszüge, Bewerbungen etc liegen Dritten vor und werden für die Erstellung von Profilen genutzt
● Abgabe des Besitzes von Daten an Dritte
Cloud III
● Andere Beispiele:– Windows 8
● Live-Account gleicht Daten online ab
– Smartphones● WLAN-Passwörter liegen bei Google● Auslagerung von rechenintensiven Aufgaben
Cloud IV
● Private Daten nur im Container hochladen!● siehe TrueCrypt (kommt noch dran)
Cloud IV
Gegenmaßnahmen
● Plugins für mehr Privatsphäre● Suchmaschinen: Alternativen zu Google● TOR: Weitgehend anonym surfen
Browser
Browser PlugIns
Blockt Werbung im Internet Automatisierte Aktualisierung von Blockier-Regeln
Blockt und verwaltet Skripte, Flash und JAVA
Verhindert Verfolgung über mehrere Seiten hinweg
Blockt und verhindert „Cookies“◦ Cookies: Miniakten, die Websites über einen anlegen
https://www.eff.org/Https-everywhere Versucht, wann immer möglich, eine
verschlüsselte Verbindung zu einer Website herzustellen
Plugins sortieren
Suchmaschinen
● Google, Bing, Yahoo etc. haben ihren Sitz meist in den USA– Datenschutzbestimmungen weniger streng →
Suchmaschinen legen Benutzer*Innen-Profile an– Unterliegen dem Zugriff der Geheimdienste und
von Dritt-Firmen
Suchmaschinen I
● Alternativen: Startpage, Ixquick, DuckDuckGo– Nutzen anonymisierten Suchvorgang– Speichern keine Daten zwischen– ABER: Suchergebnisse oftmals weniger
brauchbar, da nicht “personalisiert”
Suchmaschinen II
The Onion Router (TOR)
● TOR ist ein Versuch, einen dezentralen, anonymisierten Zugang zum Internet zu betreiben
● Rechner verbindet sich zum Netzwerk, wird dort nacheinander mit diversen Servern verbunden und dann ins Internet geleitet– Zurückverfolgen des Nutzenden erschwert– Internetdienste sehen nur den Namen des letzten
Rechners im Netzwerk
TOR
● Installation etc.
TOR-Bundle
Tor
Flashblock aktivieren
Zu langsam?Neue Identität
TOR
Mail/PGP/etc.
Ende-zu-Ende-Verschlüsselung
PGP
hQEMA1PUVhZb8UnsAQf+KS9PNvkWYFONnoStveMc4KwvGT7WlRFv/ZACvdyFsKDO icurhL57uh56KCof1m5drfftwjDQWgNyMy0cixqV/2WzeQgjZILE0Z1FDg7cgAbs UZvy2hmaJf0dhHEUziALotfUMhoSeHeObxmomzb7vovJv5tWDtQ9W+p2tbQ4tiin LAsJtwQhEVPNltootBteC0dTgOdISe6kfqUSoN3A22SiSUihmjxMPiiO6iZB8gBS hhfiSPa4khNwODncRe2BjqW+YQHf7L6CfLjx2S1BCSr+KWLmUnVdWSUonhHPF9mI
PGP
http://www.mozilla.org/de/thunderbird/
Beispiel Stud-Account
Thunderbird einrichten
Thunderbird einrichten
Thunderbird einrichten
Thunderbird einrichten
Thunderbird einrichten
Assistent startet automatisch nach Installation Geben Sie Ihren vollständigen Namen und die E-Mail-Adresse
vollständig ein([email protected]) 'Benutzerdefinierte Einstellungen...
◦ Verbindungssicherheit: SSL/TLS◦ Port: 993◦ Der Punkt 'Sichere Authentifizierung verwenden' darf nicht aktiviert sein!◦ Benutzername: Groß-/Kleinschreibung beachten!
'Postausgang-Server (SMTP)' ◦ Port: 465◦ Server: smtp.uni-marburg.de◦ Verbindungssicherheit: SSL/TLS◦ Aktivieren Sie die Option 'Benutzernamen und Passwort verwenden' und
geben Sie Ihren Benutzernamen nochmal ein.◦ Der Punkt 'Sichere Authentifizierung verwenden' darf nicht aktiviert sein!
Thunderbird einrichten – Zusammenfassung
Verwaltet PGP in Thunderbird
Thunderbird einrichten - Enigmail
Macht Thunderbird meistens automatisch, sonst Damit gesendet Mails weiter lesbar bleiben und
nicht nur mit Schlüssel des Empfängers verschlüsselt werden:
OpenPGP-Einstellungen Senden Zusätzlich mit eigenem Schlüssel verschlüsseln
Thunderbird einrichten - Enigmail
Prinzipiell nicht zu empfehlen PGP mit gpgOL
Prinzipiell nicht zu empfehlen Erkennt PGP und kann damit umgehen
Apple Mail
Microsoft Outlook
Web of Trust – Mails signieren • Unvertraute Unterschrift?
Keine Ende-zu-Ende-Verschlüsselung Definition von „sicher“ wird angepasst
Bundesinnenministerium: PGP nur für „Hacker und versierte IT-Spezialisten verwendbar“
Zum Teil Kommunikation zwischen Servern von Telekom, web.de verschlüsselt
E-Mail Made in Germany
DE-Mail
Festplattenverschlüsselung
Festplattenverschlüsselung mit Truecrypt
Sprachdatei herunterladen (www.truecrypt.org/localizations)
.zip öffnen und daraus Language.de.xml in Truecrypt-Ordner schieben
Truecrypt auf deutsch
Ruhig verstecken◦ Z. B. „Diss.pdf“
So viel Hintergrund und Mausaktivität wie möglich während der Erstellung
Lieber NTFS
Container einbinden
Automatisch trennen, bei längerer Abwesenheit möglich
Systemverschlüsselung
Truecrypt - System
Kann sehr lange dauern!
Smartphones
Android (vorinstalliert): NEIN! Apple iOS: NEIN! Windows Phone 7/8: NEIN! Blackberry: NEIN!
Alternativen:◦ Cyanogen ◦ Replicant ◦ Firefox OS Vorher Backup mit Titanium Backup
Smartphones
● Whatsapp:– Whatsapp ist eine kommerzielle Software aus den
USA– Kein Quelltext einsehbar– Sicherheitslücken– Privatsphäre
● Speicherung privater Konversationen● Zugriffsmöglichkeiten durch Dritte
– Ausnutzen von Sicherheitslücken– Direkter Zugriff auf Daten
Smartphones
Threema:● Geschlossener Quellcode
– Keine Überprüfung der Verschlüsselungstechniken möglich
Telegram:● Clients sind quelloffen● Server Code ist geschlossen● Ende-zu-Ende
Smartphones
Chat
● ICQ, MSN, Skype, etc. sind nicht sicher● Jabber (OpenSource)
– Dezentraler Aufbau, eigener Server möglich– Mit Verschlüsselung (OTR)– Plattformübergreifende Nutzung
Hoheit über eigene Daten bleibt gewahrt
Chat
● Jabbernutzung:– PC: Pidgin mit OTR
● Auf Uni-PCs installiert, aber: Passwort unverschlüsselt, kein OTR
– Android: Xabber
Chat
FazitLasst euch nicht überwachen und
verschlüsselt immer schön eure Backups!
● Benutzt OpenSource-Software!– Betriebssystem, Anwendungen
● Verschlüsselt ALLES!– Rechner, Mail, Chat, Smartphone
● Weitergehende Hilfe– (Partiell HRZ)– Örtlicher Hackerspace ([hsmr]; https://hsmr.cc)
Fazit
● Horchert, Judith: Automatisierte Überwachung: Ich habe etwas zu verbergen. http://www.spiegel.de/netzwelt/netzpolitik/prism-und-tempora-das-gefuehl-der-ueberwachung-a-908245.html
● Hollmer, Karin: Was heißt hier "nichts zu verbergen"? http://jetzt.sueddeutsche.de/texte/anzeigen/572852/Was-heisst-hier-nichts-zu-verbergen
● Allgemeines Persönlichkeitsrecht. http://de.wikipedia.org/wiki/Allgemeines_Pers%C3%B6nlichkeitsrecht#Allgemeines_Pers.C3.B6nlichkeitsrecht
● Prism Break: https://prism-break.org● Fefes Blog: http://blog.fefe.de● Browser-Fingerabdruck testen: https://panopticlick.eff.org/● Hackerspace Marburg: https://hsmr.cc
Weiterführende Literatur
Fertig!
Kontakt
Peter Sören
◦ Fingerabdruck: 3D60 4E3A CF7F D87B 0165 4C9D 9508 26A8 F99B F728
Jabber: [email protected] Homepage: binbash.biz
[email protected]◦ Fingerabdruck: 82B5 0651 B9C3 E054 FCF5 6C8F 130C 9E78 8C0D 0713
Jabber: [email protected]