Daten schützen Informationen gewinnen Mitschreiben? - Nicht notwendig Folien, Linkindex und Tutorials unter ab 15:00www.josec.de Folien und Linkindex später auch im Profil von Michael G. Schmidt Fragen nach der Veranstaltung? Einfach ansprechen oder
Daten schützen Informationen gewinnen Josec = IT-Security für Journalisten Michael G. Schmidt – Texte, redaktionell Verantwortlicher Claudia Jentsch – Assistenz, technische Realisierung
Referent: Michael G. Schmidt Linux Professional Datenschützer seit 1992 Journalist Schwerpunkte Datenschutz und IT-Sicherheit Autos – aus Leidenschaft
Assistenz: Claudia Jentsch Recherche Schwerpunkte Soziale Netzwerke und Personenrecherche Archivrecherchen
Themen Passwörter Dateien und s verschlüsseln s anonym senden s im „nur Text“ Modus Sicherer surfen Programme und Virenschutz aktuell halten
Gute Passwörter ▪GROSS- und kleinbuchstaben ▪Sonderzeichen § % ) „ ;<| ▪Ziffern 0 bis 9 ▪Mindestens 8 Zeichen – besser 20> Zeichen ▪Sicherheit steigt pro Zeichen exponentiell ▪Hilfe – pwgen - KeePass(X) Thema: Passwörter
Passwortgenerator PWGen erzeugt Passwörter nach Maß Thema: Passwörter
KeePass(X) ▪ KeePass(X) verwaltet Passwörter ▪ KeePass(X) ist ein Passworttresor ▪KeePassX hat gesicherte Updates ▪ KeePassDroid für das Smartphone Thema: Passwörter
Passwort für Bildschirmschoner - Warum? ▪ Datendiebstahl ▪Zugriff mit Forensikprogrammen wie DART, deft oder Photorec Thema: Passwörter
DART Digital Advanced Response Toolkit Thema: Passwörter
DART - Browser History Thema: Passwörter
DART Die Grafiken sind mit freundlicher Genehmigung von Hannes Schurig von seinem Blog IMA – Informationen Mal Anders kopiert. advanced-response-toolkit-eine-forensik-und-analyse- toolsammlung/ Thema: Passwörter
… noch mehr Forensik Thema: Passwörter
… noch mehr Forensik deft Thema: Passwörter
Forensik grundsätzlich NIE! das Original-Medium untersuchen Immer vorher eine Kopie davon erstellen Mit Linuxprogramm dd Thema: Passwörter
Forensik… wie geht das? Thema: Passwörter
Daten löschen Thema: Passwörter
Daten endgültig löschen Thema: Passwörter
… aber Thema: Passwörter
Daten „richtig“ löschen BSI empfiehlt DBAN Parted Magic Thema: Passwörter
Themen Passwörter Dateien und s verschlüsseln s anonym senden s im „nur Text“ Modus Sicherer surfen Programme und Virenschutz aktuell halten
Dateien verschlüsseln mit TrueCrypt 7.1a Thema: Dateien verschlüsseln
Dateien verschlüsseln mit TrueCrypt 7.1a ▪ Verschlüsseln können Sie ▪ Dateien ▪Ordner ▪Partitionen ▪Festplatten und externe Medien Thema: Dateien verschlüsseln
Dateien verschlüsseln mit TrueCrypt 7.1a Thema: Dateien verschlüsseln Vorteil Daten vor unbefugtem Zugriff geschützt Nachteil Ein fehlerhaftes Bit verhindert Zugriff endgültig
Themen Passwörter Dateien und s verschlüsseln s anonym senden s im „nur Text“ Modus Sicherer surfen Programme und Virenschutz aktuell halten
s verschlüsseln → s sind wie Postkarten → Transportweg Verschlüsselung → Verschlüsselung Thema: s verschlüsseln
Transportwegverschlüsselung ▪ transport ist sicher ab Einlieferung ▪ Angriff zwischen Rechner und Router ▪ Gilt für Absender- und Empfängerseite Thema: s verschlüsseln
Ende-zu-Ende-Verschlüsselung ▪ Verschlüsselung beim Erstellen ▪ Entschlüsselung beim rechtmäßigen Empfänger Thema: s verschlüsseln
Tools für Ende-zu-Ende-Verschlüsselung OpenPGP/GnuPG/(PGP) Thunderbird + Enigmail Outlook + Gpg4win web.de/GMX mit Firefox oder Chrome Tutanota/roundcube Thema: s verschlüsseln
… mit asymmetrischen Schlüsseln Verfahren mit OpenPGP/GnuPG/Gpg4win Dazu gehören Thunderbird+Enigmail, Outlook+GpG4win, web.de und GMX Öffentlicher Schlüssel ist allen bekannt Damit wird verschlüsselt Privater Schlüssel ist geheim Nur damit kann etnschlüsselt werden Thema: s verschlüsseln
Thunderbird + Add-on Enigmail Thema: s verschlüsseln
Add-on für Thunderbird Torbirdy Stellt verbindungen über TOR her Thema: s verschlüsseln
Outlook + GpG4win Thema: s verschlüsseln
web.de + GMX Thema: s verschlüsseln
roundcube als Webmailer Thema: s verschlüsseln
… mit OpenPGP & Co hat den Vorteil Gilt als eines der zur Zeit sichersten Verfahren Thema: s verschlüsseln
… mit asymmetrischen Schlüsseln - ist irgendwann mit Quantencomputern knackbar Kompliziert zu bedienen Sender und Empfänger müssen entsprechend ausgestattet sein. Bei web.de und GMX liegen die Schlüssel beim Anbieter Keine Kontrolle über Schlüssel Thema: s verschlüsseln
… mit hybriden Verfahren Mit öffentlichem/privatem Schlüssel findet Austausch eines Sitzungsschlüssels statt Am besten RSA 4096 Asymmetrischer Teil Sitzungsschlüssel ist symmetrisch Am besten AES 256 Symmetrischer Teil Thema: s verschlüsseln
… mit hybriden Verfahren wie Tutanota Thema: s verschlüsseln
… mit Tutanota Vorteile ▪Einfach zu handhaben ▪Absender entscheidet allein ob er verschlüsseln will ▪Abgefangene Nachrichten sind in absehbarer Zeit nicht knackbar Thema: s verschlüsseln
… mit Tutanota Speichert die Schlüssel beim Anbieter: Wenn es sicher sein soll – ein Passwort pro Empfänger Thema: s verschlüsseln
Themen Passwörter Dateien und s verschlüsseln s anonym senden s im „nur Text“ Modus Sicherer surfen Programme und Virenschutz aktuell halten
Anonymouse Thema: s anonym senden
Spamgourmet Thema: s anonym senden
Themen Passwörter Dateien und s verschlüsseln s anonym senden s im „nur Text“ Modus Sicherer surfen Programme und Virenschutz aktuell halten
Warum kein HTML? →HTML ist eine Programmiersprache →Schadprogramme einfach einzuschleusen → -Tracking für Angreifer leicht gemacht Thema: s im „nur Text“ Modus
-Tracking? Anbieter wie readnotify.com ergänzen s mit HTML-Code Thema: s im „nur Text“ Modus
Trackingtabelle von readnotify.com Thema: s im „nur Text“ Modus
Trackingtabelle von readnotify.com Diese Standardanzeige enthält wichtige Informationen für einen Hacker-Angriff Thema: s im „nur Text“ Modus
Weitere „Services“ die readnotify anbietet ▪Wurde eine weitergeleitet? ▪Klicks auf enthaltene URLs dokumentieren ▪Dokumentieren, welche Seiten eines PDF-Dokuments gelesen wurden ▪Das Gleiche für MS-Office-Dateien Thema: s im „nur Text“ Modus
s im „nur Text“ Modus Viele andere Angriffsszenarien für HTML- s sind denkbar Thema: s im „nur Text“ Modus
Themen Passwörter Dateien und s verschlüsseln s anonym senden s im „nur Text“ Modus Sicherer surfen Programme und Virenschutz aktuell halten
Mit dem „richtigen“ Browser Thema: Sicherer surfen
Was der Browser verrät Thema: Sicherer surfen
Mit den Add-ons No ScriptGhosteryHTTPS-EverywhereAddblock Plus Location Guard Refcontrol Privacy Badger Thema: Sicherer surfen
Add-ons sind gut… aber es gibt das Browser-Fingerprinting Thema: Sicherer surfen
Wie einmalig ist mein Browser? Testen mit Panopticlick Thema: Sicherer surfen
Mit dem Tor Browser Bundle Thema: Sicherer surfen
Vorteile des ▪IP-Adresse ist verborgen ▪Dadurch Verfolgung erschwert ▪Zugang zu „hidden Services“ ▪Hilfe für Dissidenten Thema: Sicherer surfen
Vorsicht bei der Nutzung des ▪Der Weg vom Rechner zum Eingangs-Node muss verschlüsselt sein ▪Nachrichtendienste betreiben Eingangs- und Exit-Nodes ▪FBI hat Torsploit Thema: Sicherer surfen
Beispiele für identifizierte Tor-Dienste Tormail Silk Road Silk Road 2 Und weitere 25 enttarnte Nutzer Davon sind 19 im Gefängnis Thema: Sicherer surfen
Alternative zu Tor Thema: Sicherer surfen
Tarnidentitäten können sinnvoll sein Thema: Sicherer surfen
Themen Passwörter Dateien und s verschlüsseln s anonym senden s im „nur Text“ Modus Sicherer surfen Programme und Virenschutz aktuell halten
Nie mehr als ein AV-Programm zur Zeit ▪Programme mindestens täglich aktualisieren Am besten automatisch ▪Bis zu neue Schadprogramme am Tag (Angabe scheint deutlich überhöht zu sein) Thema: Programme und Virenschutz aktuell halten
ExploitDB werden laufend aktualisiert ▪Sobald Schwachstelle bekannt werden, sind Angriffe wahrscheinlich ▪Programmaktualisierungen beugen Angriffen oft vor. Thema: Programme und Virenschutz aktuell halten
Zusammenfassung ▪Sichere Passwörter verwenden ▪Dateien und s verschlüsseln ▪ s im „nurText“ Format ▪Addons verwenden ▪AV/Programme aktuell halten Thema: Programme und Virenschutz aktuell halten
Spione mit Mikrofon
Spione mit Kamera
Allround Spione
Spione ▪Smartphones und Notebooks, die mit dem Programm Stealthrecorder ausgestattet sind ▪Mikrofonempfindlichkeit um das bis zu 100 fache erhöht ▪ Nimmt geflüsterte Gespräche aus bis zu zehn Metern Entfernung auf
Linkindex
Linkindex
Fragen Danke für Ihre Aufmerksamkeit! Sie erreichen uns unter