1 / 115

Digitale Selbstverteidigung (v0.1b)

Ein Workshop von und mitPeter Bertz + Sören Kupjetz

Unter Mitwirkung von Klaas Rüggeberg

2 / 115

Wir

Peter

• Arbeitet seit 4 Jahren beim HRZ

• Hat seiner Mutter Mailverschlüsselung und Linux beigebracht

• Kann Computer, bastelt gerne mit Software rum

Sören

• Seit 5 Jahren IT-Heini

• Hat seiner Mutter Mailverschlüsselung und Linux beigebracht

• HackSpace-Mensch, Hard- und Software-Bastler

3 / 115

Übersicht

● Einleitung● Datensparsamkeit

– Browser

● Datenverschlüsselung– Mails, Dateien & Festplatte

● Smartphone

4 / 115

Historische Perspektive I

● Tarnung des/der Bot*In

● Tarnung der Botschaft– Lederriemen– Caesar-Verschlüsselung

5 / 115

Symmetrische Verschlüsselung

6 / 115

Historische Perspektive II

– Caesar-Verschlüsselung: ● Beispiel: Verschiebung um 3 Buchstaben

7 / 115

Historische Perspektive III

● Guter Überblick über die historische Entwicklung der Geheimdienste:– Alternativlos, Folge 30:

http://alternativlos.org/30/

8 / 115

Aktuelle Situation

9 / 115

Aktuelle Situation I

● Jegliche Kommunikation wird automatisiert...– Überwacht

– mitgeschnitten

● Diverse Verschlüsselungen...– werden ohne Probleme geknackt

– können in Echtzeit mitgelesen werden

10 / 115

Aktuelle Situation II

● Gemeindienste kooperieren:– lückenloses Netz

– Jeder tauscht mit Jedem

– Auch Telefon, Fax und Post werden automatisiert erfasst

11 / 115

Aktuelle Situation III

● Internetanbieter und Softwarehersteller:– Kooperieren freiwillig mit den Diensten

– werden gezwungen

● Profile:– Aus: Facebook, Google, Microsoft, Twitter, Skype,

Whatsapp, ...

– Speicherung über Jahrzehnte (15+ Jahre)

– Zusammensetzen eines Puzzles

12 / 115

Aktuelle Situation IV

● Argumentation:– Freiheit < Sicherheit!

● Mögliche Folgen:– Bewusstsein für Überwachung

– Selbstzensur

– Kontrollverlust

– Massiver Eingriff in Rechtsstaat

13 / 115

14 / 115

15 / 115

16 / 115

Aktuelle Situation V

● OpenSource-Community● Dieser Workshop soll euch befähigen, einen

Teil eurer Privatsphäre zurückzuerlangen– Sensibilität für Überwachungsmechanismen

erhöhen

– Datensparsamkeit praktizieren

– Verschlüsselungstechniken anwenden

– Sorgenfrei(er) kommunizieren

17 / 115

18 / 115

Passwörter

19 / 115

Passwörter

● Gute Passwörter sind notwendig für sinnvolles Verschlüsseln!

● 2 Methoden:– Passwort über Eselsbrücken merken und variieren

– DBGe:SwbUd7Zhnd7B.1

– Passwortmanager● KeePass

20 / 115

Browser

21 / 115

Browser I

● Plugins für mehr Privatsphäre und Datensparsamkeit

● Suchmaschinen: Alternativen zu Google● TOR: Weitgehend anonym surfen

22 / 115

Browser II

https://panopticlick.eff.org/

23 / 115

Browser-Plugins I

● https://www.eff.org/Https-everywhere● Versucht, wann immer möglich, eine verschlüsselte

Verbindung zu einer Website herzustellen

24 / 115

Browser-Plugins II

● Verhindert Tracking (=Verfolgung über Webseiten und große Zeitfenster)

25 / 115

Browser-Plugins III

● Blockt Werbung im Internet● Automatisierte Aktualisierung von Blockier-Regeln

26 / 115

Browser-Plugins IV

● Blockt und verhindert „Cookies“

→ Cookies: Miniakten, die Websites über Besuchende anlegen

27 / 115

Exkurs Cookies

28 / 115

Browser-Plugins IV

● Löscht Cookies automatisiert

29 / 115

Browser-Plugins V

● Blockt im Hintergrund einer Webseite laufende Anwendungen– U.a. Flash, Java, Java-Script

30 / 115

Firefox aufräumen

31 / 115

Suchmaschinen

32 / 115

Suchmaschinen I

● Google, Bing, Yahoo – Sitz in den USA

– Datenschutzbestimmungen weniger streng → Suchmaschinen legen Benutzer*Innen-Profile an

– Unterliegen dem Zugriff der Geheimdienste und von Dritt-Firmen

33 / 115

Suchmaschinen II

● Alternativen (u.a.): Startpage, Ixquick, DuckDuckGo– Nutzen anonymisierten Suchvorgang

– Speichern keine Daten zwischen

– ABER: Suchergebnisse oftmals weniger brauchbar, da nicht “personalisiert”

34 / 115

TOR

35 / 115

TOR I

● = The Onion Router● Internetzugriff wird:

– anonymisiert

– dezentralisiert

● Rechner verbindet sich:– 1. mit diversen zufälligen Servern

– 2. darüber mit dem Internet

36 / 115

TOR II

37 / 115

TOR III

38 / 115

TOR IV

● Vorteil:– Stark erschwerte Zurückverfolgbarkeit

– Für Webseiten ist nur der letzte Server der Verbindung sichtbar (ein TOR-Server)

● ABER: Aufpassen!– Unsachgemäße Nutzung macht

Verschleierungstaktik zunichte

39 / 115

TOR V

● Installation vs. Browser-Bundle

40 / 115

TOR-Bundle I

https://torproject.org/download

41 / 115

TOR-Bundle II

42 / 115

Mail / PGP / etc.

43 / 115

PGP I

44 / 115

PGP II

● Ende-zu-Ende-Verschlüsselung

45 / 115

PGP III

C

K

K

hQEMA1PUVhZb8UnsAQf+KS9PNvkWYFONnoStveMc4KwvGT7WlRFv/ZACvdyFsKDO icurhL57uh56KCof1m5drfftwjDQWgNyMy0cixqV/2WzeQgjZILE0Z1FDg7cgAbs UZvy2hmaJf0dhHEUziALotfUMhoSeHeObxmomzb7vovJv5tWDtQ9W+p2tbQ4tiin LAsJtwQhEVPNltootBteC0dTgOdISe6kfqUSoN3A22SiSUihmjxMPiiO6iZB8gBS hhfiSPa4khNwODncRe2BjqW+YQHf7L6CfLjx2S1BCSr+KWLmUnVdWSUonhHPF9mI

46 / 115

PGP mit Thunderbird I

47 / 115

PGP mit Thunderbird II

IMAP

48 / 115

Exkurs: Warum Thunderbird? I

● Microsoft Outlook– Prinzipiell nicht zu

empfehlen– Theoretisch: PGP

mit gpgO

● Apple Mail● Prinzipiell nicht zu

empfehlen● Erkennt PGP und kann

damit umgehen

49 / 115

Exkurs: Warum Thunderbird? II

● Webmail– Keine sinnvolle

Verschlüsselung möglich

– Mails können beim Verfassen mitgelesen werden

● Google → Tippgeschwindigkeit

● Thunderbird– OpenSource– Erweiterungen– Seit Jahren nur

Reparaturen, keine neuen Features

50 / 115

PGP mit Thunderbird III

51 / 115

PGP mit Thunderbird IV

52 / 115

PGP mit Thunderbird V

53 / 115

PGP mit Thunderbird VI

54 / 115

PGP mit Thunderbird VII

55 / 115

PGP mit Thunderbird VIII

56 / 115

PGP mit Thunderbird IX

57 / 115

PGP mit Thunderbird X

58 / 115

PGP mit Thunderbird XI

59 / 115

PGP mit Thunderbird XII

60 / 115

PGP mit Thunderbird XIII

61 / 115

PGP mit Thunderbird XIV

Unterschrift Verschlüsselung

62 / 115

PGP mit Thunderbird XV

63 / 115

Exkurs Schlüsselexport I

64 / 115

Exkurs Schlüsselexport II

65 / 115

Exkurs Schlüsselexport III

66 / 115

Testen der PGP-Einrichtung

● Mail an pgp-test@binbash.biz – Fingerprint: 19C5 B4FF A99C 5446 189A– 4385 C335 76C6 36C8 7D08

67 / 115

Weiterführendes I

68 / 115

Weiterführendes II

● DE-Mail– Keine Ende-zu-

Ende-Verschlüsselung

– Gesetzliche Definition von „sicher“ wird an unsichere Umsetzung angepasst

– Bundesinnenministerium: PGP nur für „Hacker und versierte IT-Spezialisten verwendbar“

● E-Mail Made in Germany

● Zum Teil Kommunikation zwischen Servern von Telekom, web.de verschlüsselt

69 / 115

70 / 115

71 / 115

Cloud I

● Buzzword; Sammelbegriff für diffusen Krams● Auslagerung ins Internet:

– Intensiven Rechenprozessen

– Datenspeicherung

● U.a. durch:– Dropbox

– Apple iCloud

– MicrosoftSkydrive

72 / 115

Cloud II

● Problem:– Daten liegen außerhalb des eigenen Zugriffsbereich

● Folge:– Dritte können Privates

mitlesen und speichern

– Hilfe zur Profilverfeinerung

73 / 115

Cloud III

● Smartphones– WLAN-Passwörter bei Google hinterlegt

– Auslagerung von rechenintensiven Aufgaben

● Private Daten...– ….nur im Container hochladen!

→ siehe TrueCrypt

74 / 115

Festplattenverschlüsselung

75 / 115

Einige Formen der Verschlüsselung

● BitLocker– Microsoft, proprietär

● Bordmittel unter Linux (LUKS, dmcrypt)– Erfordert oft Fachwissen

● TrueCrypt– Entwicklung eingestellt– 2. Sichtung des Quellcodes läuft gerade

76 / 115

TrueCrypt I

● Verschlüsselung des gesamten Systems oder “Container”

77 / 115

TrueCrypt II

78 / 115

TrueCrypt III

79 / 115

TrueCrypt IV

80 / 115

TrueCrypt V

81 / 115

TrueCrypt VI

82 / 115

TrueCrypt VII

83 / 115

TrueCrypt VIII

84 / 115

TrueCrypt IX

85 / 115

TrueCrypt X

86 / 115

TrueCrypt XI

87 / 115

TrueCrypt XII

Für Windows ggf. NTFS auswählenZufallszahlen durch Mausbewegung generieren

88 / 115

TrueCrypt XIII

89 / 115

TrueCrypt XIV

90 / 115

TrueCrypt XV

91 / 115

TrueCrypt XVI

92 / 115

TrueCrypt XVII

93 / 115

TrueCrypt XVIII

94 / 115

TrueCrypt XIX

95 / 115

TrueCrypt XX

Dauert üblicherweise diverse Stunden...

96 / 115

TrueCrypt XXI

97 / 115

Smartphones

98 / 115

Smartphones I

● Überwachungswanzen mit überraschenden Fähigkeiten (etwa: Blutzucker messen)

● SS7 etc. → Jedes Mobiltelefon betroffen● Viele Sensoren● Baseband kann Dinge tun

99 / 115

Smartphones II

● Softwaremanagement, Updatepolitik und Rechteverwaltung oft ungenügend

100 / 115

Smartphones III

● Clueful Privacy Advisor

– Untersucht Apps auf ihre Sicherheitslücken und Berechtigungen

101 / 115

Smartphones IV

● LBE Privacy Guard– Handy muss

gerootet sein

→ Möglicherweise Garantieverlust!

102 / 115

Smartphones V

Stand: Anfang Dezember 2014; Quelle: http://de.statista.com/statistik/daten/studie/180113/umfrage/anteil-der-verschiedenen-android-versionen-auf-geraeten-mit-android-os/

103 / 115

Smartphones VI

● Empfehlungen von mobilen Betriebssystemen:

– Android (vorinstalliert): NEIN!– Apple iOS: NEIN!– Windows Phone 7/8: NEIN!– Blackberry: NEIN!

→ Veraltete Software, keine Kontrollmöglichkeiten, partiell: Hintertüren!

104 / 115

Smartphones VII

● Alternativen für ausgewählte Androiden– Cyanogenmod → Privacy Guard

– Replicant ● Firefox OS

● SailfishOS

● Alternativen für WinPhone & iPhone

– Keine uns bekannten

105 / 115

Exkurs Whatsapp I

● kommerzielle Software aus den USA

– Kein Quelltext einsehbar● Sicherheitslücken

● Privatsphäre– Speicherung privater Konversationen

– Zugriffsmöglichkeiten durch Dritte– Ausnutzen von Sicherheitslücken– Direkter Zugriff auf Daten

106 / 115

Exkurs Whatsapp II

Alternativen:

● Threema● Geschlossener Quellcode

● Keine Überprüfung der Verschlüsselungstechniken möglich

● Telegram– Clients sind quelloffen– Server Code ist geschlossen– Ende-zu-Ende– Kostenfrei

107 / 115

Exkurs Whatsapp III

● Sicher(er), aber wenig verbreitet: Jabber– OTR

108 / 115

Fazit

109 / 115

Fazit I

● Benutzt OpenSource-Software!– Betriebssystem, Anwendungen

● Verschlüsselt ALLES!– Rechner, Mail, Chat, Smartphone

● Weitergehende Hilfe– (Partiell HRZ)

– Örtlicher HackSpace: https://bytespeicher.org/

110 / 115

Fazit II

Lasst euch nicht überwachen und verschlüsselt immer schön eure Backups!

111 / 115

Weiterführendes I

● Horchert, Judith: Automatisierte Überwachung: Ich habe etwas zu verbergen. http://www.spiegel.de/netzwelt/netzpolitik/prism-und-tempora-das-gefuehl-der-ueberwachung-a-908245.html

● Hollmer, Karin: Was heißt hier "nichts zu verbergen"? http://jetzt.sueddeutsche.de/texte/anzeigen/572852/Was-heisst-hier-nichts-zu-verbergen

● Allgemeines Persönlichkeitsrecht. http://de.wikipedia.org/wiki/Allgemeines_Pers%C3%B6nlichkeitsrecht

112 / 115

Weiterführendes II

● Fefes Blog: http://blog.fefe.de● HackSpace Erfurt: http://technikkultur-

erfurt.de/start● Hackerspace Marburg: https://hsmr.cc● Frank Rieger im NSA-UA:

https://www.youtube.com/watch?v=OLp5EtPk3cg

113 / 115

Weiterführendes III

● Prying Eyes: Inside the NSA's War on Internet Security. http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html

● Mitschnitte vom Congress des CCC im Dezember 2014: http://media.ccc.de/browse/congress/2014

● Prism Break: https://prism-break.org

114 / 115

Fertig!

115 / 115

Kontakt

PETER

modi@onenetbeyond.org

Fingerabdruck:

82B5 0651 B9C3 E054 FCF5 6C8F 130C 9E78 8C0D 0713

SÖREN

mail@binbash.biz

Fingerabdruck:

3D60 4E3A CF7F D87B 0165 4C9D 9508 26A8 F99B F728

Jabber: bb@0l3.de