Digitale Selbstverteidigung V0.1b10 15.01.2017

Über mich Seit >10 Jahren in der IT, seit >5 Lohnsklave Hab meiner Mutter Mailverschlüsselung und Linux beigebracht HackSpace-Mensch, Hard- und Software-Bastler Gelegentlich Crypto-Workshops

Gliederung Warum aktiv werden? Datensparsamkeit Verschlüsselungstechniken Mail Festplatten/Dateien Chat TOR / TAILS Smartphones Exkurs Messenger

Warum aktiv werden? Technologie und ihre Grenzen werden in der Regel nicht demokratisch ausgehandelt. Internet, Satelliten, künstliche Intelligenz, etc. sind meist Projekte von Firmen (u.a. Facebook, Google, Apple) oder des Militärs (z.B. DARPA). Die Agenda der Entwickelnden muss nicht mit den Zielen einer Gesellschaft übereinstimmen. vgl. etwa Xavier Flory: The Transhumanist Paradox (https://media.ccc.de/v/33c3-8064-the_transhumanist_paradox)

Warum aktiv werden? (2) Computer bestimmen den Alltag von Menschen in westlichen Gesellschaften – auch wenn diese keinen PC nutzen. Es gibt eine große Asymmetrie zwischen Datensammelnen und denen, über die Daten erhoben werden.

Warum aktiv werden? (3) Asymmetrie bei Datensammlungen = Wissenshierarchien = Machtgefälle = Gefahr für Demokratie Trend zu digitaler Lebensberatung durch Assistenten, welche auf große Datenmengen angewiesen sind. Regelmäßiger „Datenreichtum“ und Wellen von sogenannten „CryptoLockern“. Quellcode ist in Konkurrenzsituationen von Firmen deren Geheimnis. Es gibt Alternativen dazu.

Warum aktiv werden? (4) Fragen an euch: Was ist für mich ein selbstbestimmter Umgang mit Technik? Will ich das? Wem bringe ich wieviel Vertrauen bzgl. Daten entgegen? Wie kann ich Abhängigkeiten reduzieren? Was ist der Stand der Technik und wie gehe ich damit um?

Datensparsamkeit Offline Bar zahlen Auch mal Fake-Daten in Formulare eintragen Payback-Karten teilen Persönliche Gespräche Online Verschlüsselung Verschiedene Accounts Mal die Suchmaschine wechseln Erweiterungen für Browser Auflistung ist unvollständig

Datensparsamkeit (2) Browser Firefox Quelloffen Erweiterbar Kein kommerzielles Interesse der Stiftung, die hinter dem Projekt steht

Datensparsamkeit (3) PrivacyBadger Ein Produkt der EFF (https://www.eff.org/) Selbstlernende Erweiterung gegen Tracking mit Schiebereglern Läuft im Hintergrund

Exkurs Tracking Tracking Verfolgen von User*innen über Zeiträume und Webseiten hinweg Scripte (kleine Programme innerhalb der Webseite) Schriftarten, Bildschirmauflösung, Erweiterungen

Datensparsamkeit (4) Ublock origin Werbeblocker / Anti-Tracking Filterlisten Sicherheitserweiterung Werbenetzwerke liefern immer wieder Schadsoftware aus Geringer Konfigurationsaufwand, flexibel erweiterbar

Datensparsamkeit (5) https everywhere Fordert bei Auswahl zwischen verschlüsselter und unverschlüsselter Version einer Webseite automatisch die verschlüsselte Variante an Läuft im Hintergrund

Datensparsamkeit (6) Cookies Kleine Textdateien, die z.B. Logins speichern Mit Bordmitteln von Firefox gut reduzierbar, sonst Self Destructing Cookies und/oder Privacy Badger

Verschlüsselungstechniken

Exkurs Passwörter Gute Passwörter sind notwendig für sinnvolles Verschlüsseln! 2 Methoden: Passwort über Eselsbrücken merken und variieren DBGe:SwbUd7Zhnd7B.1 Passwortmanager KeePassX2

Verschlüsselungstechniken (2) Mail Thunderbird als Mailsoftware Ende-zu-Ende-Verschlüsselung mit Enigmail Asymmetrische Kryptografie mit Schlüsselpaar

Verschlüsselungstechniken (3)

Verschlüsselungstechniken (5)

Verschlüsselungstechniken (6)

Verschlüsselungstechniken (7)

Verschlüsselungstechniken (8)

Verschlüsselungstechniken (9)

Verschlüsselungstechniken (5)

Verschlüsselungstechniken (10)

Verschlüsselungstechniken (11) Unterschrift

Verschlüsselungstechniken (12)

Exkurs Schlüsselexport

Exkurs Schlüsselexport (2)

Exkurs Schlüsselexport (3)

Verschlüsselungstechniken (13) Mail an pgp-test@binbash.biz Fingerprint: 19C5 B4FF A99C 5446 189A 4385 C335 76C6 36C8 7D08

Verschlüsselungstechniken (14) DE-Mail Keine Ende-zu-Ende- Verschlüsselung Gesetzliche Definition von „sicher“ wird an unsichere Umsetzung angepasst Bundesinnenministerium: PGP nur für „Hacker und versierte IT- Spezialisten verwendbar“ 'E-Mail Made in Germany' Zum Teil Kommunikation zwischen Servern von Telekom, web.de etc. verschlüsselt

Verschlüsselung von Dateien & PCs BitLocker Microsoft, proprietär Bordmittel unter Linux (LUKS, dmcrypt) Erfordert teilweise Fachwissen, teilweise Klickiklicki- Buntibunti verfügbar TrueCrypt/VeraCrypt Entwicklung von TrueCrypt ist eingestellt Diverse Sichtungen des Quellcodes durch Fachmenschen Nachfolge: VeraCrypt (Linux/OSX/Windows)

Verschlüsselung von Dateien & PCs (2) VeraCrypt Container Virtuelle USB-Sticks

Verschlüsselung von Dateien & PCs (3)

Verschlüsselung von Dateien & PCs (4)

Verschlüsselung von Dateien & PCs (5)

Verschlüsselung von Dateien & PCs (6)

Verschlüsselung von Dateien & PCs (7)

Verschlüsselung von Dateien & PCs (8)

Verschlüsselung von Dateien & PCs (9)

Verschlüsselung von Dateien & PCs (10)

Verschlüsselung von Dateien & PCs (11) Für Windows ggf. NTFS auswählen Zufallszahlen durch Mausbewegung generieren

Verschlüsselung von Dateien & PCs (12)

Verschlüsselung von Dateien & PCs (13)

Verschlüsselung von Dateien & PCs (14)

Verschlüsselung von Dateien & PCs (15)

Verschlüsselung von Dateien & PCs (16)

Verschlüsselung von Dateien & PCs (17)

Verschlüsselung von Dateien & PCs (18) Dauert üblicherweise diverse Stunden...

Verschlüsselung von Dateien & PCs (19)

Chat

Chat (2) Jabber OpenSource Dezentrale Chatsoftware Eigener Server nutzbar Alternativ z.B. 0l3.de (Null-Ell-Drei) Verschlüsselung mit „OTR“

Chat (3) Pidgin OpenSource Plattformübergreifend verfügbar Konfigurationsaufwand übersichtlich OTR-Plugin verfügbar

Chat (4) Download u.a. unter https://www.pidgin.im Accounts anlegen Nicht abgesprochen: 0l3.de

Chat (5)

Chat (6)

Chat (7) Benutzer*Innenname Server (z.B. 0l3.de) Arbeitsgerät Bei Neuerstellung

Chat (8)

Chat (9)

Chat (10)

TOR

TOR (2)

TOR (3)

TOR (4) https://torproject.org/download

TOR (5)

TAILS Live-System (USB-Stick/DVD) Anonymisierung (TOR, I2P) Mailverschlüsselung USB-Stick-Verschlüsselung (LUKS) HTTPSeverywhere

Smartphones

Smartphones Ein modernes Smartphone ist auf Lebensberatung hin konzipiert. Smartwatches, Pulsmesser, Navigationssystem, Wettervorhersage Smartphones vereinen meist gut zwei Dutzend Computer gepaart mit jeder Menge Sensoren. Sie sind selten ausgeschaltet und haben meist dauerhaft eine Internetverbindung.

Smartphones (2) https://de.statista.com/statistik/daten/studie/76081/umfrage/weltweite-marktanteile-der-betriebssysteme-fuer-smartphones/ https://de.statista.com/statistik/daten/studie/180113/umfrage/anteil-der-verschiedenen-android-versionen-auf-geraeten-mit-android-os/

Smartphones (3) Android: Habe ich Vertrauen zu Google? Ist das System aktuell? / Welche Sicherheitslücke bedroht mich heute? Apple: Habe ich Vertrauen zu Apple? Microsoft: Habe ich Vertrauen zu Microsoft? Bekomme ich meine Lieblingsapp auch für WindowsPhone?

Smartphones (4) Versuche der Selbstbestimmung nach Plattform iOS (Apple): Jailbreak (Admin-Zugang) Garantieverlust Sicherheitslücken + Hintertüren in Jailbreak-Software Abgeschottetes Ökosystem nicht mehr nutzbar

Smartphones (5) Versuche der Selbstbestimmung nach Plattform Windows Phone (Microsoft): Keine Kenntnis der Plattform, sorry :)

Smartphones (6) Versuche der Selbstbestimmung nach Plattform Android (Google): Root (Admin-Zugang) Kontrolle über genutztes System Einige Apps verweigern den Dienst (z.B. Banking) Custom ROM (Eigene Variante des Betriebssystems) Vertrauen in Anbieter der ROM? Einige Apps verweigern den Dienst Support auch nach Ende der offiziellen Garantie durch Herstellerfirma Teils aufwändig zu installieren, Fachkenntnis nötig

Smartphones (7) Fragen an euch: Welcher Firma oder welchen Entwickler*innen traue ich? Ziehe ich Kontrolle über mein Gerät vor oder überlasse ich wichtige Entscheidungen Außenstehenden?

Exkurs Messenger Whatsapp Mehr als 1 Mrd. Menschen nutzen diesen Service Hoher Verbreitungsgrad = Gute Erreichbarkeit vieler Menschen Subunternehmen von Facebook Metadaten gehen an Großkonzern mit Profitinteresse Crypto scheint solide zu sein Technik von Signal unter der Haube Ende-zu-Ende „Hintertür“ ist eine Designentscheidung https://whispersystems.org/blog/there-is-no-whatsapp- backdoor/ Closed Source

Exkurs Messenger (2) Threema 2,99€ + Zugang zu offiziellen App-Stores, alternativ: Bastel-Lösung Closed Source 3,5 Mio. User (Stand 2015, Quelle: Threema)

Exkurs Messenger (3) Telegram >100 Mio Menschen nutzen Telegram Crypto ist optional und in Desktop-Version nicht vorgesehen Die App ist Open Source, die Infrastruktur nicht API (Schnittstelle zu Server-Software) ist offen, kann von anderen Programmen genutzt werden

Exkurs Messenger (4) Signal Keine genauen Zahlen zu Anzahl der Nutzer*innen Open Source, Ende-zu-Ende-Verschlüsselung Empfehlung von Snowden Benötigt Google- oder Apple-Technik zur Nachrichtenzustellung FSFE: About backdoors in Signal and other apps https://blogs.fsfe.org/larma/2017/signal-backdoors/

Exkurs Messenger (6) Jabber Siehe Kapitel „Chat“

Exkurs Messenger (7) Weitere Informationen Secure Messaging Scorecard: https://www.eff.org/node/82654 Whatsapp-Alternativen: http://t3n.de/news/whatsapp- alternativen-blick-430632/

Fazit Benutz Software, der du vertraust. Sorg dich um deine Daten genauso wie um die anderer Menschen. Frag im Zweifel die*den Nerd*in des Vertrauens um Hilfe. In diesem Internet gibt es genug Informationen um sich selbst weiterzubilden. Wenn Technologie den Alltag so sehr bestimmt, bietet sich an, die Grundlangen davon zu verstehen und beherrschen.

Weiterführendes HackSpace Marburg: https://hsmr.cc Anleitung Enigmail: https://www.thunderbird- mail.de/lexicon/entry/17-enigmail Browser-Fingerabtruck-Test: https://panopticlick.eff.org

Kontakt Mail: mail@binbash.biz Fingerabdruck: 3D60 4E3A CF7F D87B 0165 4C9D 9508 26A8 F99B F728 Jabber: bb@0l3.de Homepage: binbash.biz