digitale selbstverteidigung (v0.1b)2 / 115 wir peter • arbeitet seit 4 jahren beim hrz • hat...
TRANSCRIPT
1 / 115
Digitale Selbstverteidigung (v0.1b)
Ein Workshop von und mitPeter Bertz + Sören Kupjetz
Unter Mitwirkung von Klaas Rüggeberg
2 / 115
Wir
Peter
• Arbeitet seit 4 Jahren beim HRZ
• Hat seiner Mutter Mailverschlüsselung und Linux beigebracht
• Kann Computer, bastelt gerne mit Software rum
Sören
• Seit 5 Jahren IT-Heini
• Hat seiner Mutter Mailverschlüsselung und Linux beigebracht
• HackSpace-Mensch, Hard- und Software-Bastler
3 / 115
Übersicht
● Einleitung● Datensparsamkeit
– Browser
● Datenverschlüsselung– Mails, Dateien & Festplatte
● Smartphone
4 / 115
Historische Perspektive I
● Tarnung des/der Bot*In
● Tarnung der Botschaft– Lederriemen– Caesar-Verschlüsselung
6 / 115
Historische Perspektive II
– Caesar-Verschlüsselung: ● Beispiel: Verschiebung um 3 Buchstaben
7 / 115
Historische Perspektive III
● Guter Überblick über die historische Entwicklung der Geheimdienste:– Alternativlos, Folge 30:
http://alternativlos.org/30/
9 / 115
Aktuelle Situation I
● Jegliche Kommunikation wird automatisiert...– Überwacht
– mitgeschnitten
● Diverse Verschlüsselungen...– werden ohne Probleme geknackt
– können in Echtzeit mitgelesen werden
10 / 115
Aktuelle Situation II
● Gemeindienste kooperieren:– lückenloses Netz
– Jeder tauscht mit Jedem
– Auch Telefon, Fax und Post werden automatisiert erfasst
11 / 115
Aktuelle Situation III
● Internetanbieter und Softwarehersteller:– Kooperieren freiwillig mit den Diensten
– werden gezwungen
● Profile:– Aus: Facebook, Google, Microsoft, Twitter, Skype,
Whatsapp, ...
– Speicherung über Jahrzehnte (15+ Jahre)
– Zusammensetzen eines Puzzles
12 / 115
Aktuelle Situation IV
● Argumentation:– Freiheit < Sicherheit!
● Mögliche Folgen:– Bewusstsein für Überwachung
– Selbstzensur
– Kontrollverlust
– Massiver Eingriff in Rechtsstaat
16 / 115
Aktuelle Situation V
● OpenSource-Community● Dieser Workshop soll euch befähigen, einen
Teil eurer Privatsphäre zurückzuerlangen– Sensibilität für Überwachungsmechanismen
erhöhen
– Datensparsamkeit praktizieren
– Verschlüsselungstechniken anwenden
– Sorgenfrei(er) kommunizieren
19 / 115
Passwörter
● Gute Passwörter sind notwendig für sinnvolles Verschlüsseln!
● 2 Methoden:– Passwort über Eselsbrücken merken und variieren
– DBGe:SwbUd7Zhnd7B.1
– Passwortmanager● KeePass
21 / 115
Browser I
● Plugins für mehr Privatsphäre und Datensparsamkeit
● Suchmaschinen: Alternativen zu Google● TOR: Weitgehend anonym surfen
23 / 115
Browser-Plugins I
● https://www.eff.org/Https-everywhere● Versucht, wann immer möglich, eine verschlüsselte
Verbindung zu einer Website herzustellen
24 / 115
Browser-Plugins II
● Verhindert Tracking (=Verfolgung über Webseiten und große Zeitfenster)
25 / 115
Browser-Plugins III
● Blockt Werbung im Internet● Automatisierte Aktualisierung von Blockier-Regeln
26 / 115
Browser-Plugins IV
● Blockt und verhindert „Cookies“
→ Cookies: Miniakten, die Websites über Besuchende anlegen
29 / 115
Browser-Plugins V
● Blockt im Hintergrund einer Webseite laufende Anwendungen– U.a. Flash, Java, Java-Script
32 / 115
Suchmaschinen I
● Google, Bing, Yahoo – Sitz in den USA
– Datenschutzbestimmungen weniger streng → Suchmaschinen legen Benutzer*Innen-Profile an
– Unterliegen dem Zugriff der Geheimdienste und von Dritt-Firmen
33 / 115
Suchmaschinen II
● Alternativen (u.a.): Startpage, Ixquick, DuckDuckGo– Nutzen anonymisierten Suchvorgang
– Speichern keine Daten zwischen
– ABER: Suchergebnisse oftmals weniger brauchbar, da nicht “personalisiert”
35 / 115
TOR I
● = The Onion Router● Internetzugriff wird:
– anonymisiert
– dezentralisiert
● Rechner verbindet sich:– 1. mit diversen zufälligen Servern
– 2. darüber mit dem Internet
38 / 115
TOR IV
● Vorteil:– Stark erschwerte Zurückverfolgbarkeit
– Für Webseiten ist nur der letzte Server der Verbindung sichtbar (ein TOR-Server)
● ABER: Aufpassen!– Unsachgemäße Nutzung macht
Verschleierungstaktik zunichte
45 / 115
PGP III
C
K
K
hQEMA1PUVhZb8UnsAQf+KS9PNvkWYFONnoStveMc4KwvGT7WlRFv/ZACvdyFsKDO icurhL57uh56KCof1m5drfftwjDQWgNyMy0cixqV/2WzeQgjZILE0Z1FDg7cgAbs UZvy2hmaJf0dhHEUziALotfUMhoSeHeObxmomzb7vovJv5tWDtQ9W+p2tbQ4tiin LAsJtwQhEVPNltootBteC0dTgOdISe6kfqUSoN3A22SiSUihmjxMPiiO6iZB8gBS hhfiSPa4khNwODncRe2BjqW+YQHf7L6CfLjx2S1BCSr+KWLmUnVdWSUonhHPF9mI
48 / 115
Exkurs: Warum Thunderbird? I
● Microsoft Outlook– Prinzipiell nicht zu
empfehlen– Theoretisch: PGP
mit gpgO
● Apple Mail● Prinzipiell nicht zu
empfehlen● Erkennt PGP und kann
damit umgehen
49 / 115
Exkurs: Warum Thunderbird? II
● Webmail– Keine sinnvolle
Verschlüsselung möglich
– Mails können beim Verfassen mitgelesen werden
● Google → Tippgeschwindigkeit
● Thunderbird– OpenSource– Erweiterungen– Seit Jahren nur
Reparaturen, keine neuen Features
66 / 115
Testen der PGP-Einrichtung
● Mail an [email protected] – Fingerprint: 19C5 B4FF A99C 5446 189A– 4385 C335 76C6 36C8 7D08
68 / 115
Weiterführendes II
● DE-Mail– Keine Ende-zu-
Ende-Verschlüsselung
– Gesetzliche Definition von „sicher“ wird an unsichere Umsetzung angepasst
– Bundesinnenministerium: PGP nur für „Hacker und versierte IT-Spezialisten verwendbar“
● E-Mail Made in Germany
● Zum Teil Kommunikation zwischen Servern von Telekom, web.de verschlüsselt
71 / 115
Cloud I
● Buzzword; Sammelbegriff für diffusen Krams● Auslagerung ins Internet:
– Intensiven Rechenprozessen
– Datenspeicherung
● U.a. durch:– Dropbox
– Apple iCloud
– MicrosoftSkydrive
72 / 115
Cloud II
● Problem:– Daten liegen außerhalb des eigenen Zugriffsbereich
● Folge:– Dritte können Privates
mitlesen und speichern
– Hilfe zur Profilverfeinerung
73 / 115
Cloud III
● Smartphones– WLAN-Passwörter bei Google hinterlegt
– Auslagerung von rechenintensiven Aufgaben
● Private Daten...– ….nur im Container hochladen!
→ siehe TrueCrypt
75 / 115
Einige Formen der Verschlüsselung
● BitLocker– Microsoft, proprietär
● Bordmittel unter Linux (LUKS, dmcrypt)– Erfordert oft Fachwissen
● TrueCrypt– Entwicklung eingestellt– 2. Sichtung des Quellcodes läuft gerade
98 / 115
Smartphones I
● Überwachungswanzen mit überraschenden Fähigkeiten (etwa: Blutzucker messen)
● SS7 etc. → Jedes Mobiltelefon betroffen● Viele Sensoren● Baseband kann Dinge tun
100 / 115
Smartphones III
● Clueful Privacy Advisor
– Untersucht Apps auf ihre Sicherheitslücken und Berechtigungen
101 / 115
Smartphones IV
● LBE Privacy Guard– Handy muss
gerootet sein
→ Möglicherweise Garantieverlust!
102 / 115
Smartphones V
Stand: Anfang Dezember 2014; Quelle: http://de.statista.com/statistik/daten/studie/180113/umfrage/anteil-der-verschiedenen-android-versionen-auf-geraeten-mit-android-os/
103 / 115
Smartphones VI
● Empfehlungen von mobilen Betriebssystemen:
– Android (vorinstalliert): NEIN!– Apple iOS: NEIN!– Windows Phone 7/8: NEIN!– Blackberry: NEIN!
→ Veraltete Software, keine Kontrollmöglichkeiten, partiell: Hintertüren!
104 / 115
Smartphones VII
● Alternativen für ausgewählte Androiden– Cyanogenmod → Privacy Guard
– Replicant ● Firefox OS
● SailfishOS
● Alternativen für WinPhone & iPhone
– Keine uns bekannten
105 / 115
Exkurs Whatsapp I
● kommerzielle Software aus den USA
– Kein Quelltext einsehbar● Sicherheitslücken
● Privatsphäre– Speicherung privater Konversationen
– Zugriffsmöglichkeiten durch Dritte– Ausnutzen von Sicherheitslücken– Direkter Zugriff auf Daten
106 / 115
Exkurs Whatsapp II
Alternativen:
● Threema● Geschlossener Quellcode
● Keine Überprüfung der Verschlüsselungstechniken möglich
● Telegram– Clients sind quelloffen– Server Code ist geschlossen– Ende-zu-Ende– Kostenfrei
109 / 115
Fazit I
● Benutzt OpenSource-Software!– Betriebssystem, Anwendungen
● Verschlüsselt ALLES!– Rechner, Mail, Chat, Smartphone
● Weitergehende Hilfe– (Partiell HRZ)
– Örtlicher HackSpace: https://bytespeicher.org/
111 / 115
Weiterführendes I
● Horchert, Judith: Automatisierte Überwachung: Ich habe etwas zu verbergen. http://www.spiegel.de/netzwelt/netzpolitik/prism-und-tempora-das-gefuehl-der-ueberwachung-a-908245.html
● Hollmer, Karin: Was heißt hier "nichts zu verbergen"? http://jetzt.sueddeutsche.de/texte/anzeigen/572852/Was-heisst-hier-nichts-zu-verbergen
● Allgemeines Persönlichkeitsrecht. http://de.wikipedia.org/wiki/Allgemeines_Pers%C3%B6nlichkeitsrecht
112 / 115
Weiterführendes II
● Fefes Blog: http://blog.fefe.de● HackSpace Erfurt: http://technikkultur-
erfurt.de/start● Hackerspace Marburg: https://hsmr.cc● Frank Rieger im NSA-UA:
https://www.youtube.com/watch?v=OLp5EtPk3cg
113 / 115
Weiterführendes III
● Prying Eyes: Inside the NSA's War on Internet Security. http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html
● Mitschnitte vom Congress des CCC im Dezember 2014: http://media.ccc.de/browse/congress/2014
● Prism Break: https://prism-break.org
115 / 115
Kontakt
PETER
Fingerabdruck:
82B5 0651 B9C3 E054 FCF5 6C8F 130C 9E78 8C0D 0713
SÖREN
Fingerabdruck:
3D60 4E3A CF7F D87B 0165 4C9D 9508 26A8 F99B F728
Jabber: [email protected]