Digitale Selbstverteidigung V0.1b12 14.03.2017

Über mich Seit >15 Jahren Spaß mit IT, seit >6 Lohnsklave Hab meiner Mutter Mailverschlüsselung und Linux „beigebracht“ HackSpace-Mensch, Hard- und Software-Bastler Gelegentlich Crypto-Workshops

Gliederung Grundlegendes Datensparsamkeit Verschlüsselungstechniken Mail Festplatten/Dateien Chat TOR / TAILS Smartphones Exkurs Messenger

Grundlegendes (1) Betriebssysteme Die Grundlage an Software, die einen PC funktionieren lässt Beispiele: Linux, OSX, Windows OSX und Windows sind kommerzielle Produkte Unterliegen Fremdzugriffsmöglichkeiten Sicherheitsfeature? Komfort? Anlaufstelle für Staaten zur Überwachung Beispiel USA: National Security Letters verbieten das Reden über staatliche Einmischung in Produkte „Vault 7“: Betriebssysteme knacken = Verschlüsselung umgehen

Grundlegendes (2) Virenscanner Expert*Innen: Vergrößerung der Angriffsfläche, Selbst Sicherheitslücken Empfehlung: System mit regelmäßigen Updates aktuell halten und Nachrichten zum Thema verfolgen

Grundlegendes (3) Online-Dienste Passwort regelmäßig ändern Zwei-Faktor-Authentifizierung

Grundlegendes (4) 2 Methoden: Passwörter Passwort über Eselsbrücken merken und variieren DBGe:SwbUd7Zhnd7B.1 Passwortmanager KeePassX2

Grundlegendes (4) Weiterführendes zur grundlegenden Datensicherheit https://security.googleblog.com/2015/07/new-research-comparing-how-security.html

Selbstermächtigung?! Fragen an euch: Was ist für mich ein selbstbestimmter Umgang mit Technik? Will ich das? Wem bringe ich wieviel Vertrauen bzgl. Daten entgegen? Wie kann ich Abhängigkeiten reduzieren? Was ist der Stand der Technik und wie gehe ich damit um? Habe ich vertrauenswürdige Quellen für meine Nachrichten zum Thema?

Datensparsamkeit

Datensparsamkeit Offline Bar zahlen Persönliche Gespräche Daten persönlich überreichen Verschlüsselte USB-Sticks per Post schicken Online Verschlüsselung Verschiedene Accounts Mal die Suchmaschine wechseln Erweiterungen für Browser Die Auflistung ist selbstverständlich unvollständig

Datensparsamkeit (2) Browser Firefox Quelloffen Erweiterbar Kein kommerzielles Interesse der Stiftung, die hinter dem Projekt steht Test der eigenen Identifizierbarkeit: https://panopticlick.eff.org

Datensparsamkeit (3) PrivacyBadger Ein Produkt der EFF (https://www.eff.org/) Selbstlernende Erweiterung gegen Tracking mit Schiebereglern Läuft im Hintergrund

Exkurs Tracking Tracking Verfolgen von User*innen über Zeiträume und Webseiten hinweg Scripte (kleine Programme innerhalb der Webseite) Schriftarten, Bildschirmauflösung, Erweiterungen

Datensparsamkeit (4) Ublock origin Werbeblocker / Anti-Tracking Filterlisten Sicherheitserweiterung Werbenetzwerke liefern immer wieder Schadsoftware aus Geringer Konfigurationsaufwand, flexibel erweiterbar

Datensparsamkeit (5) https everywhere Fordert bei Auswahl zwischen verschlüsselter und unverschlüsselter Version einer Webseite automatisch die verschlüsselte Variante an Läuft im Hintergrund

Datensparsamkeit (6) Cookies Kleine Textdateien, die z.B. Logins speichern Mit Bordmitteln von Firefox gut reduzierbar, sonst Self Destructing Cookies und/oder Privacy Badger

Verschlüsselungstechniken

Verschlüsselungstechniken (2) Mail Thunderbird als Mailsoftware Ende-zu-Ende-Verschlüsselung mit Enigmail Asymmetrische Kryptografie mit Schlüsselpaar Schlüssel 1 verschlüsselt, Schlüssel 2 entschlüsselt

Verschlüsselungstechniken (3)

Verschlüsselungstechniken (5)

Verschlüsselungstechniken (6)

Verschlüsselungstechniken (7)

Verschlüsselungstechniken (8)

Verschlüsselungstechniken (9)

Verschlüsselungstechniken (10)

Verschlüsselungstechniken (11)

Verschlüsselungstechniken (12)

Verschlüsselungstechniken (13)

Verschlüsselungstechniken (14)

Verschlüsselungstechniken (15)

Verschlüsselungstechniken (16)

Verschlüsselungstechniken (17)

Verschlüsselungstechniken (18)

Verschlüsselungstechniken (19)

Verschlüsselungstechniken (20)

Verschlüsselungstechniken (21)

Verschlüsselungstechniken (22)

Verschlüsselungstechniken (23)

Verschlüsselungstechniken (24)

Verschlüsselungstechniken (25)

Verschlüsselungstechniken (26)

Verschlüsselungstechniken (27)

Verschlüsselungstechniken (28)

Verschlüsselungstechniken (29)

Verschlüsselungstechniken (30)

Verschlüsselungstechniken (31)

Verschlüsselungstechniken (32)

Verschlüsselungstechniken (33)

Verschlüsselungstechniken (34) Mail an pgp-test@binbash.biz Fingerprint: 19C5 B4FF A99C 5446 189A 4385 C335 76C6 36C8 7D08

Verschlüsselungstechniken (35) DE-Mail Keine Ende-zu-Ende- Verschlüsselung Gesetzliche Definition von „sicher“ wird an unsichere Umsetzung angepasst Bundesinnenministerium: PGP nur für „Hacker und versierte IT- Spezialisten verwendbar“ 'E-Mail Made in Germany' Zum Teil Kommunikation zwischen Servern von Telekom, web.de etc. verschlüsselt

Verschlüsselung von Dateien & PCs

Verschlüsselung von Dateien & PCs BitLocker Microsoft, proprietär Bordmittel unter Linux (LUKS, dmcrypt) Erfordert teilweise Fachwissen, teilweise Klickiklicki- Buntibunti verfügbar TrueCrypt/VeraCrypt Entwicklung von TrueCrypt ist eingestellt Diverse Sichtungen des Quellcodes durch Fachmenschen Nachfolge: VeraCrypt (Linux/OSX/Windows)

Verschlüsselung von Dateien & PCs (2) VeraCrypt Container Virtuelle USB-Sticks / Schatztruhe

Verschlüsselung von Dateien & PCs (3)

Verschlüsselung von Dateien & PCs (4)

Verschlüsselung von Dateien & PCs (5)

Verschlüsselung von Dateien & PCs (6)

Verschlüsselung von Dateien & PCs (7)

Verschlüsselung von Dateien & PCs (8)

Verschlüsselung von Dateien & PCs (9)

Verschlüsselung von Dateien & PCs (10)

Verschlüsselung von Dateien & PCs (11) Für Windows ggf. NTFS auswählen Zufallszahlen durch Mausbewegung generieren

Verschlüsselung von Dateien & PCs (12)

Verschlüsselung von Dateien & PCs (13)

Verschlüsselung von Dateien & PCs (14)

Verschlüsselung von Dateien & PCs (15)

Verschlüsselung von Dateien & PCs (16)

Verschlüsselung von Dateien & PCs (17)

Verschlüsselung von Dateien & PCs (18)

Verschlüsselung von Dateien & PCs (19)

Chat

Chat (2) Jabber OpenSource Dezentrale Chatsoftware Eigener Server nutzbar Alternativ z.B. 0l3.de (Null-Ell-Drei) Verschlüsselung mit „OTR“

Chat (3) Pidgin OpenSource Plattformübergreifend verfügbar Konfigurationsaufwand übersichtlich OTR-Plugin verfügbar

Chat (4) Download u.a. unter https://www.pidgin.im Accounts anlegen Nicht abgesprochen: 0l3.de

Chat (5)

Chat (6)

Chat (7) Benutzer*Innenname Server (z.B. 0l3.de) Arbeitsgerät Bei Neuerstellung

Chat (8)

Chat (9)

Chat (10)

TOR

TOR (2)

TOR (3)

TOR (4) https://torproject.org/download

TOR (5)

TAILS (2)

TAILS Live-System (USB-Stick/DVD) Basiert auf Debian GNU/Linux Anonymisierungstools (TOR, I2P) Mailverschlüsselung USB-Stick-Verschlüsselung (LUKS) HTTPSeverywhere

Smartphones

Smartphones Ein modernes Smartphone ist meist auf Lebensberatung hin konzipiert. Smartwatches, Pulsmesser, Navigationssystem, Wettervorhersage Smartphones vereinen meist gut zwei Dutzend Computer gepaart mit jeder Menge Sensoren. Sie sind selten ausgeschaltet und haben meist dauerhaft eine Internetverbindung.

Smartphones (2) https://de.statista.com/statistik/daten/studie/76081/umfrage/weltweite-marktanteile-der-betriebssysteme-fuer-smartphones/ https://de.statista.com/statistik/daten/studie/180113/umfrage/anteil-der-verschiedenen-android-versionen-auf-geraeten-mit-android-os/

Smartphones (3) Android: Habe ich Vertrauen zu Google? Ist das System aktuell? / Welche Sicherheitslücke bedroht mich heute? Apple: Habe ich Vertrauen zu Apple? Microsoft: Habe ich Vertrauen zu Microsoft? Bekomme ich meine Lieblingsapp auch für WindowsPhone?

Smartphones (7) Fragen an euch: Welcher Firma oder welchen Entwickler*innen traue ich? Ziehe ich Kontrolle über mein Gerät vor oder überlasse ich wichtige Entscheidungen Außenstehenden?

Exkurs Messenger Whatsapp Mehr als 1 Mrd. Menschen nutzen diesen Service Subunternehmen von Facebook Metadaten gehen an Großkonzern mit Profitinteresse Crypto scheint solide zu sein Technik von Signal unter der Haube Ende-zu-Ende-Verschlüsselung „Hintertür“ ist eine Designentscheidung https://whispersystems.org/blog/there-is-no-whatsapp- backdoor/ Closed Source

Exkurs Messenger (3) Telegram >100 Mio Menschen nutzen Telegram (Stand 2015) Crypto ist optional und in Desktop-Version nicht vorgesehen Die App ist Open Source, die Infrastruktur nicht API (Schnittstelle zu Server-Software) ist offen, kann von anderen Programmen genutzt werden

Exkurs Messenger (4) Signal Keine genauen Zahlen zu Anzahl der Nutzer*innen Open Source, Ende-zu-Ende-Verschlüsselung Empfehlung von Snowden Benötigt teilweise Google- oder Apple-Technik zur Nachrichtenzustellung FSFE: About backdoors in Signal and other apps https://blogs.fsfe.org/larma/2017/signal-backdoors/

Exkurs Messenger (6) Jabber Siehe Kapitel „Chat“

Exkurs Messenger (7) Weitere Informationen Secure Messaging Scorecard: https://www.eff.org/node/82654 Whatsapp-Alternativen: http://t3n.de/news/whatsapp- alternativen-blick-430632/

Fazit Benutz Software, der du vertraust. Sorg dich um deine Daten genauso wie um die anderer Menschen. Frag im Zweifel die*den Nerd*in des Vertrauens um Hilfe. In diesem Internet gibt es genug Informationen um sich selbst weiterzubilden. Wenn Technologie den Alltag so sehr bestimmt, bietet sich an, die Grundlangen davon zu verstehen und beherrschen.

Weiterführendes HackSpace Marburg: https://hsmr.cc Artikel zu Virenscannern: https://www.heise.de/security/artikel/Ex-Firefox-Entwickler- raet-zur-De-Installation-von-AV-Software-3609009.html Browser-Fingerabdruck-Test: https://panopticlick.eff.org

Kontakt Mail: mail@binbash.biz Fingerabdruck: 3D60 4E3A CF7F D87B 0165 4C9D 9508 26A8 F99B F728 Jabber: bb@0l3.de Homepage: binbash.biz