Digitale Selbstverteidigung

im Netz (V3.0)Ein Workshop von und mitPeter Bertz & Sören Kupjetz

Powered by the legendary HRZ

Peter◦ Arbeitet seit 3 Jahren beim HRZ◦ Hat seiner Mutter Mailverschlüsselung beigebracht◦ Kann Computer

Sören◦ Arbeitet seit 4 Jahren beim HRZ◦ Gründungsmitglied im Hackerspace Marburg◦ Hat seiner Mutter ein verschlüsseltes Linux auf dem

Laptop installiert

Wir

● Erwartungen● Einleitung● Websicherheit

– Browser– Mails– Chat

● Rechner● Smartphone● Offene Fragen

Übersicht

Erwartungen

● Tarnung des/der Bot*In– Tattoo auf Schädel, Haare verdecken Nachricht– Nachrichtenübermittler*In nimmt geheime Wege

zur Überbringung der Botschaft

● Tarnung der Botschaft– Sicherung der Nachrichtenübermittlung nicht

möglich/sehr aufwendig● Dritten das Mitlesen so aufwendig wie möglich machen● Beispiel: Lederriemen, Caesar-Verschlüsselung

Historische Perspektive I

Historische Perspektive II

http://commons.wikimedia.org/wiki/File:Verschl%C3%BCsselung_%28symmetrisches_Kryptosystem%29_Schema.svg

● Beliebte Methoden der (analogen) Botschafts-Verschlüsselung:– Caesar: Buchstaben des Alphabets verschieben

● Beispiel: Verschiebung um 3 Buchstaben

Historische Perspektive III

Guter Überblick über die historische Entwicklung der Geheimdienste:◦ Alternativlos, Folge 30: http://alternativlos.org/30/

Historische Perspektive IV

Aktuelle Situation

● Aktuelle Situation:– Jegliche Kommunikation im Internet wird in

Echtzeit mitgeschnitten– Automatisierte Kompromittierung von Rechnern– Einfache Verschlüsselungsmethoden sind

innerhalb von Sekundenbruchteilen überwunden

Aktuelle Situation I

● Geheimdienste in der ganzen Welt arbeiten soweit zusammen, dass eine flächendeckende Überwachung stattfindet:– Austausch-Verträge zwischen Diensten– NSA in D: 500 Mio. Verbindungen / Monat– Sämtliche (Massen-)Kommunikationskanäle sind

überwacht: Internet, Telefon, Post

Aktuelle Situation II

● Große Internetdiensleister und Softwarefirmen arbeiten (mehr oder weniger freiwillig) mit den Geheimdiensten zusammen

● Profilerstellung aus Daten von Facebook, Google, Microsoft, Twitter, Skype, Whatsapp, etc. + personenbezogene Daten von Banken etc

● Zusammensetzen eines Puzzles über große Zeiträume hinweg (15 Jahre +)

● Argumentation: Sicherheit > Freiheit

Aktuelle Situation III

● Wissen um Abhören/Mitlesen/... beeinflusst Kommunikation– Selbstzensur, Angst, Gefühl von Kontrollverlust

Aktuelle Situation IV

● OpenSource-Community entwickelt frei zugängliche Verschlüsselungssysteme zur Kommunikation in einer überwachten Welt

● Dieser Workshop soll euch befähigen, einen Teil eurer Privatsphäre zurückzuerlangen– Sensibilität für Überwachungsmechanismen

erhöhen– Verschlüsselungstechniken anwenden– Sorgenfrei(er) kommunizieren

Aktuelle Situation IV

Aktuelle Situation V

Passwörter

Gute Passwörter sind notwendig für sinnvolles Verschlüsseln!

2 Methoden:◦ Passwort über Eselsbrücken merken und variieren◦ Passwortmanager

KeePassX

Passwörter

Cloud

● Cloud (engl.: Wolke) beschreibt u.a. IT-Infrastrukturen, die Dienste wie Datenspeicherung oder Software ins Internet auslagern

● Beispiele: Dropbox, Microsoft Skydrive, Amazon Cloud, Apple iCloud

Cloud I

● Beispiel iCloud: Musik, Fotos und Dokumente werden zwischen Geräten ausgetauscht– Die Daten werden hierzu auf Rechner der Firma

Apple hochgeladen und mit den angeschlossenen Geräten der Nutzenden abgeglichen

● Problematisch daran?– Persönliche Daten liegen außerhalb des eigenen

Zugriffsbereichs

Cloud II

● Resultat: Privatfotos, Kontoauszüge, Bewerbungen etc liegen Dritten vor und werden für die Erstellung von Profilen genutzt

● Abgabe des Besitzes von Daten an Dritte

Cloud III

● Andere Beispiele:– Windows 8

● Live-Account gleicht Daten online ab

– Smartphones● WLAN-Passwörter liegen bei Google● Auslagerung von rechenintensiven Aufgaben

Cloud IV

● Private Daten nur im Container hochladen!● siehe TrueCrypt (kommt noch dran)

Cloud IV

Gegenmaßnahmen

● Plugins für mehr Privatsphäre● Suchmaschinen: Alternativen zu Google● TOR: Weitgehend anonym surfen

Browser

Browser PlugIns

Blockt Werbung im Internet Automatisierte Aktualisierung von Blockier-Regeln

Blockt und verwaltet Skripte, Flash und JAVA

Verhindert Verfolgung über mehrere Seiten hinweg

Blockt und verhindert „Cookies“◦ Cookies: Miniakten, die Websites über einen anlegen

https://www.eff.org/Https-everywhere Versucht, wann immer möglich, eine

verschlüsselte Verbindung zu einer Website herzustellen

Plugins sortieren

Suchmaschinen

● Google, Bing, Yahoo etc. haben ihren Sitz meist in den USA– Datenschutzbestimmungen weniger streng →

Suchmaschinen legen Benutzer*Innen-Profile an– Unterliegen dem Zugriff der Geheimdienste und

von Dritt-Firmen

Suchmaschinen I

● Alternativen: Startpage, Ixquick, DuckDuckGo– Nutzen anonymisierten Suchvorgang– Speichern keine Daten zwischen– ABER: Suchergebnisse oftmals weniger

brauchbar, da nicht “personalisiert”

Suchmaschinen II

The Onion Router (TOR)

● TOR ist ein Versuch, einen dezentralen, anonymisierten Zugang zum Internet zu betreiben

● Rechner verbindet sich zum Netzwerk, wird dort nacheinander mit diversen Servern verbunden und dann ins Internet geleitet– Zurückverfolgen des Nutzenden erschwert– Internetdienste sehen nur den Namen des letzten

Rechners im Netzwerk

TOR

● Installation etc.

TOR-Bundle

Tor

Flashblock aktivieren

Zu langsam?Neue Identität

TOR

Mail/PGP/etc.

Ende-zu-Ende-Verschlüsselung

PGP

hQEMA1PUVhZb8UnsAQf+KS9PNvkWYFONnoStveMc4KwvGT7WlRFv/ZACvdyFsKDO icurhL57uh56KCof1m5drfftwjDQWgNyMy0cixqV/2WzeQgjZILE0Z1FDg7cgAbs UZvy2hmaJf0dhHEUziALotfUMhoSeHeObxmomzb7vovJv5tWDtQ9W+p2tbQ4tiin LAsJtwQhEVPNltootBteC0dTgOdISe6kfqUSoN3A22SiSUihmjxMPiiO6iZB8gBS hhfiSPa4khNwODncRe2BjqW+YQHf7L6CfLjx2S1BCSr+KWLmUnVdWSUonhHPF9mI

PGP

http://www.mozilla.org/de/thunderbird/

Beispiel Stud-Account

Thunderbird einrichten

Thunderbird einrichten

Thunderbird einrichten

Thunderbird einrichten

Thunderbird einrichten

Assistent startet automatisch nach Installation Geben Sie Ihren vollständigen Namen und die E-Mail-Adresse

vollständig ein(Muellerx@students.uni-marburg.de) 'Benutzerdefinierte Einstellungen...

◦ Verbindungssicherheit: SSL/TLS◦ Port: 993◦ Der Punkt 'Sichere Authentifizierung verwenden' darf nicht aktiviert sein!◦ Benutzername: Groß-/Kleinschreibung beachten!

'Postausgang-Server (SMTP)' ◦ Port: 465◦ Server: smtp.uni-marburg.de◦ Verbindungssicherheit: SSL/TLS◦ Aktivieren Sie die Option 'Benutzernamen und Passwort verwenden' und

geben Sie Ihren Benutzernamen nochmal ein.◦ Der Punkt 'Sichere Authentifizierung verwenden' darf nicht aktiviert sein!

Thunderbird einrichten – Zusammenfassung

Verwaltet PGP in Thunderbird

Thunderbird einrichten - Enigmail

Macht Thunderbird meistens automatisch, sonst Damit gesendet Mails weiter lesbar bleiben und

nicht nur mit Schlüssel des Empfängers verschlüsselt werden:

OpenPGP-Einstellungen Senden Zusätzlich mit eigenem Schlüssel verschlüsseln

Thunderbird einrichten - Enigmail

Prinzipiell nicht zu empfehlen PGP mit gpgOL

Prinzipiell nicht zu empfehlen Erkennt PGP und kann damit umgehen

Apple Mail

Microsoft Outlook

Web of Trust – Mails signieren • Unvertraute Unterschrift?

Keine Ende-zu-Ende-Verschlüsselung Definition von „sicher“ wird angepasst

Bundesinnenministerium: PGP nur für „Hacker und versierte IT-Spezialisten verwendbar“

Zum Teil Kommunikation zwischen Servern von Telekom, web.de verschlüsselt

E-Mail Made in Germany

DE-Mail

Festplattenverschlüsselung

Festplattenverschlüsselung mit Truecrypt

Sprachdatei herunterladen (www.truecrypt.org/localizations)

.zip öffnen und daraus Language.de.xml in Truecrypt-Ordner schieben

Truecrypt auf deutsch

Ruhig verstecken◦ Z. B. „Diss.pdf“

So viel Hintergrund und Mausaktivität wie möglich während der Erstellung

Lieber NTFS

Container einbinden

Automatisch trennen, bei längerer Abwesenheit möglich

Systemverschlüsselung

Truecrypt - System

Kann sehr lange dauern!

Smartphones

Android (vorinstalliert): NEIN! Apple iOS: NEIN! Windows Phone 7/8: NEIN! Blackberry: NEIN!

Alternativen:◦ Cyanogen ◦ Replicant ◦ Firefox OS Vorher Backup mit Titanium Backup

Smartphones

● Whatsapp:– Whatsapp ist eine kommerzielle Software aus den

USA– Kein Quelltext einsehbar– Sicherheitslücken– Privatsphäre

● Speicherung privater Konversationen● Zugriffsmöglichkeiten durch Dritte

– Ausnutzen von Sicherheitslücken– Direkter Zugriff auf Daten

Smartphones

Threema:● Geschlossener Quellcode

– Keine Überprüfung der Verschlüsselungstechniken möglich

Telegram:● Clients sind quelloffen● Server Code ist geschlossen● Ende-zu-Ende

Smartphones

Chat

● ICQ, MSN, Skype, etc. sind nicht sicher● Jabber (OpenSource)

– Dezentraler Aufbau, eigener Server möglich– Mit Verschlüsselung (OTR)– Plattformübergreifende Nutzung

Hoheit über eigene Daten bleibt gewahrt

Chat

● Jabbernutzung:– PC: Pidgin mit OTR

● Auf Uni-PCs installiert, aber: Passwort unverschlüsselt, kein OTR

– Android: Xabber

Chat

FazitLasst euch nicht überwachen und

verschlüsselt immer schön eure Backups!

● Benutzt OpenSource-Software!– Betriebssystem, Anwendungen

● Verschlüsselt ALLES!– Rechner, Mail, Chat, Smartphone

● Weitergehende Hilfe– (Partiell HRZ)– Örtlicher Hackerspace ([hsmr]; https://hsmr.cc)

Fazit

● Horchert, Judith: Automatisierte Überwachung: Ich habe etwas zu verbergen. http://www.spiegel.de/netzwelt/netzpolitik/prism-und-tempora-das-gefuehl-der-ueberwachung-a-908245.html

● Hollmer, Karin: Was heißt hier "nichts zu verbergen"? http://jetzt.sueddeutsche.de/texte/anzeigen/572852/Was-heisst-hier-nichts-zu-verbergen

● Allgemeines Persönlichkeitsrecht. http://de.wikipedia.org/wiki/Allgemeines_Pers%C3%B6nlichkeitsrecht#Allgemeines_Pers.C3.B6nlichkeitsrecht

● Prism Break: https://prism-break.org● Fefes Blog: http://blog.fefe.de● Browser-Fingerabdruck testen: https://panopticlick.eff.org/● Hackerspace Marburg: https://hsmr.cc

Weiterführende Literatur

Fertig!

Kontakt

Peter Sören

mail@binbash.biz

◦ Fingerabdruck: 3D60 4E3A CF7F D87B 0165 4C9D 9508 26A8 F99B F728

Jabber: bb@0l3.de Homepage: binbash.biz

modi@onenetbeyond.org◦ Fingerabdruck: 82B5 0651 B9C3 E054 FCF5 6C8F 130C 9E78 8C0D 0713

Jabber: Bertz@students.uni-marburg.de