Digitale Selbstverteidigung im Netz (V3.0) Ein Workshop von und mit Peter Bertz & Sören Kupjetz Powered by the legendary HRZ
Wir Peter Sören Arbeitet seit 3 Jahren beim HRZ Hat seiner Mutter Mailverschlüsselung beigebracht Kann Computer Sören Arbeitet seit 4 Jahren beim HRZ Gründungsmitglied im Hackerspace Marburg Hat seiner Mutter ein verschlüsseltes Linux auf dem Laptop installiert
Übersicht Erwartungen Einleitung Websicherheit Rechner Smartphone Browser Mails Chat Rechner Smartphone Offene Fragen
Erwartungen
Historische Perspektive I Tarnung des/der Bot*In Tattoo auf Schädel, Haare verdecken Nachricht Nachrichtenübermittler*In nimmt geheime Wege zur Überbringung der Botschaft Tarnung der Botschaft Sicherung der Nachrichtenübermittlung nicht möglich/sehr aufwendig Dritten das Mitlesen so aufwendig wie möglich machen Beispiel: Lederriemen, Caesar-Verschlüsselung
Historische Perspektive II http://commons.wikimedia.org/wiki/File:Verschl%C3%BCsselung_%28symmetrisches_Kryptosystem%29_Schema.svg
Historische Perspektive III Beliebte Methoden der (analogen) Botschafts- Verschlüsselung: Caesar: Buchstaben des Alphabets verschieben Beispiel: Verschiebung um 3 Buchstaben
Historische Perspektive IV Guter Überblick über die historische Entwicklung der Geheimdienste: Alternativlos, Folge 30: http://alternativlos.org/30/
Aktuelle Situation
Aktuelle Situation I Aktuelle Situation: Jegliche Kommunikation im Internet wird in Echtzeit mitgeschnitten Automatisierte Kompromittierung von Rechnern Einfache Verschlüsselungsmethoden sind innerhalb von Sekundenbruchteilen überwunden
Aktuelle Situation II Geheimdienste in der ganzen Welt arbeiten soweit zusammen, dass eine flächendeckende Überwachung stattfindet: Austausch-Verträge zwischen Diensten NSA in D: 500 Mio. Verbindungen / Monat Sämtliche (Massen-)Kommunikationskanäle sind überwacht: Internet, Telefon, Post
Aktuelle Situation III Große Internetdiensleister und Softwarefirmen arbeiten (mehr oder weniger freiwillig) mit den Geheimdiensten zusammen Profilerstellung aus Daten von Facebook, Google, Microsoft, Twitter, Skype, Whatsapp, etc. + personenbezogene Daten von Banken etc Zusammensetzen eines Puzzles über große Zeiträume hinweg (15 Jahre +) Argumentation: Sicherheit > Freiheit
Aktuelle Situation IV Wissen um Abhören/Mitlesen/... beeinflusst Kommunikation Selbstzensur, Angst, Gefühl von Kontrollverlust
Aktuelle Situation IV OpenSource-Community entwickelt frei zugängliche Verschlüsselungssysteme zur Kommunikation in einer überwachten Welt Dieser Workshop soll euch befähigen, einen Teil eurer Privatsphäre zurückzuerlangen Sensibilität für Überwachungsmechanismen erhöhen Verschlüsselungstechniken anwenden Sorgenfrei(er) kommunizieren
Aktuelle Situation V
Passwörter
Passwörter Gute Passwörter sind notwendig für sinnvolles Verschlüsseln! 2 Methoden: Passwort über Eselsbrücken merken und variieren Passwortmanager KeePassX
Cloud
Cloud I Cloud (engl.: Wolke) beschreibt u.a. IT- Infrastrukturen, die Dienste wie Datenspeicherung oder Software ins Internet auslagern Beispiele: Dropbox, Microsoft Skydrive, Amazon Cloud, Apple iCloud
Cloud II Beispiel iCloud: Musik, Fotos und Dokumente werden zwischen Geräten ausgetauscht Die Daten werden hierzu auf Rechner der Firma Apple hochgeladen und mit den angeschlossenen Geräten der Nutzenden abgeglichen Problematisch daran? Persönliche Daten liegen außerhalb des eigenen Zugriffsbereichs
Cloud III Resultat: Privatfotos, Kontoauszüge, Bewerbungen etc liegen Dritten vor und werden für die Erstellung von Profilen genutzt Abgabe des Besitzes von Daten an Dritte
Cloud IV Andere Beispiele: Windows 8 Smartphones Live-Account gleicht Daten online ab Smartphones WLAN-Passwörter liegen bei Google Auslagerung von rechenintensiven Aufgaben
Cloud IV Private Daten nur im Container hochladen! siehe TrueCrypt (kommt noch dran)
Gegenmaßnahmen
Browser Plugins für mehr Privatsphäre Suchmaschinen: Alternativen zu Google TOR: Weitgehend anonym surfen
Browser PlugIns
Blockt Werbung im Internet Automatisierte Aktualisierung von Blockier-Regeln
Blockt und verwaltet Skripte, Flash und JAVA
Verhindert Verfolgung über mehrere Seiten hinweg
Blockt und verhindert „Cookies“ Cookies: Miniakten, die Websites über einen anlegen
https://www.eff.org/Https-everywhere Versucht, wann immer möglich, eine verschlüsselte Verbindung zu einer Website herzustellen
Plugins sortieren
Suchmaschinen
Suchmaschinen I Google, Bing, Yahoo etc. haben ihren Sitz meist in den USA Datenschutzbestimmungen weniger streng → Suchmaschinen legen Benutzer*Innen-Profile an Unterliegen dem Zugriff der Geheimdienste und von Dritt-Firmen
Suchmaschinen II Alternativen: Startpage, Ixquick, DuckDuckGo Nutzen anonymisierten Suchvorgang Speichern keine Daten zwischen ABER: Suchergebnisse oftmals weniger brauchbar, da nicht “personalisiert”
The Onion Router (TOR)
TOR TOR ist ein Versuch, einen dezentralen, anonymisierten Zugang zum Internet zu betreiben Rechner verbindet sich zum Netzwerk, wird dort nacheinander mit diversen Servern verbunden und dann ins Internet geleitet Zurückverfolgen des Nutzenden erschwert Internetdienste sehen nur den Namen des letzten Rechners im Netzwerk
TOR-Bundle Installation etc.
Tor
Flashblock aktivieren
TOR Zu langsam? Neue Identität
Mail/PGP/etc.
PGP Ende-zu-Ende-Verschlüsselung
PGP hQEMA1PUVhZb8UnsAQf+KS9PNvkWYFONnoStveMc4KwvGT7WlRFv/ZACvdyFsKDO icurhL57uh56KCof1m5drfftwjDQWgNyMy0cixqV/2WzeQgjZILE0Z1FDg7cgAbs UZvy2hmaJf0dhHEUziALotfUMhoSeHeObxmomzb7vovJv5tWDtQ9W+p2tbQ4tiin LAsJtwQhEVPNltootBteC0dTgOdISe6kfqUSoN3A22SiSUihmjxMPiiO6iZB8gBS hhfiSPa4khNwODncRe2BjqW+YQHf7L6CfLjx2S1BCSr+KWLmUnVdWSUonhHPF9mI
http://www.mozilla.org/de/thunderbird/
Thunderbird einrichten Beispiel Stud-Account
Thunderbird einrichten
Thunderbird einrichten
Thunderbird einrichten
Thunderbird einrichten Um das Abhören von Passwort-Informationen durch Dritte bei der Übertragung zu verhindern empfiehlt es sich, einmalig das Wurzelzertifikat der DFN-PCA zu laden, falls es nicht bereits vorhanden ist (vgl. Importieren des Wurzelzertifikats in ein Mail-Programm). Die unverschlüsselte Datenübertragung wird in absehbarer Zeit durch den Mailbox-Server nicht mehr unterstützt werden.
Thunderbird einrichten – Zusammenfassung Assistent startet automatisch nach Installation Geben Sie Ihren vollständigen Namen und die E-Mail-Adresse vollständig ein(Muellerx@students.uni-marburg.de) 'Benutzerdefinierte Einstellungen... Verbindungssicherheit: SSL/TLS Port: 993 Der Punkt 'Sichere Authentifizierung verwenden' darf nicht aktiviert sein! Benutzername: Groß-/Kleinschreibung beachten! 'Postausgang-Server (SMTP)' Port: 465 Server: smtp.uni-marburg.de Aktivieren Sie die Option 'Benutzernamen und Passwort verwenden' und geben Sie Ihren Benutzernamen nochmal ein.
Thunderbird einrichten - Enigmail Verwaltet PGP in Thunderbird
Thunderbird einrichten - Enigmail Macht Thunderbird meistens automatisch, sonst Damit gesendet Mails weiter lesbar bleiben und nicht nur mit Schlüssel des Empfängers verschlüsselt werden: OpenPGP-Einstellungen Senden Zusätzlich mit eigenem Schlüssel verschlüsseln
Microsoft Outlook Apple Mail Prinzipiell nicht zu empfehlen PGP mit gpgOL Erkennt PGP und kann damit umgehen Apple Mail
Web of Trust – Mails signieren Unvertraute Unterschrift?
E-Mail Made in Germany DE-Mail Keine Ende-zu-Ende-Verschlüsselung Definition von „sicher“ wird angepasst Bundesinnenministerium: PGP nur für „Hacker und versierte IT-Spezialisten verwendbar“ Zum Teil Kommunikation zwischen Servern von Telekom, web.de verschlüsselt E-Mail Made in Germany
Festplattenverschlüsselung
Festplattenverschlüsselung mit Truecrypt
Truecrypt auf deutsch Sprachdatei herunterladen (www.truecrypt.org/localizations) .zip öffnen und daraus Language.de.xml in Truecrypt-Ordner schieben
Ruhig verstecken Z. B. „Diss.pdf“
So viel Hintergrund und Mausaktivität wie möglich während der Erstellung Lieber NTFS
Container einbinden
Automatisch trennen, bei längerer Abwesenheit möglich
Systemverschlüsselung
Truecrypt - System Kann sehr lange dauern!
Smartphones
Smartphones Android (vorinstalliert): NEIN! Apple iOS: NEIN! Windows Phone 7/8: NEIN! Blackberry: NEIN! Alternativen: Cyanogen Replicant Firefox OS Vorher Backup mit Titanium Backup
Smartphones Whatsapp: Whatsapp ist eine kommerzielle Software aus den USA Kein Quelltext einsehbar Sicherheitslücken Privatsphäre Speicherung privater Konversationen Zugriffsmöglichkeiten durch Dritte Ausnutzen von Sicherheitslücken Direkter Zugriff auf Daten
Smartphones Threema: Geschlossener Quellcode Telegram: Keine Überprüfung der Verschlüsselungstechniken möglich Telegram: Clients sind quelloffen Server Code ist geschlossen Ende-zu-Ende
Chat
Chat ICQ, MSN, Skype, etc. sind nicht sicher Jabber (OpenSource) Dezentraler Aufbau, eigener Server möglich Mit Verschlüsselung (OTR) Plattformübergreifende Nutzung Hoheit über eigene Daten bleibt gewahrt
Chat Jabbernutzung: PC: Pidgin mit OTR Android: Xabber Auf Uni-PCs installiert, aber: Passwort unverschlüsselt, kein OTR Android: Xabber
Fazit Lasst euch nicht überwachen und verschlüsselt immer schön eure Backups!
Fazit Benutzt OpenSource-Software! Verschlüsselt ALLES! Betriebssystem, Anwendungen Verschlüsselt ALLES! Rechner, Mail, Chat, Smartphone Weitergehende Hilfe (Partiell HRZ) Örtlicher Hackerspace ([hsmr]; https://hsmr.cc)
Weiterführende Literatur Horchert, Judith: Automatisierte Überwachung: Ich habe etwas zu verbergen. http://www.spiegel.de/netzwelt/netzpolitik/prism-und- tempora-das-gefuehl-der-ueberwachung-a-908245.html Hollmer, Karin: Was heißt hier "nichts zu verbergen"? http://jetzt.sueddeutsche.de/texte/anzeigen/572852/Was-heisst-hier- nichts-zu-verbergen Allgemeines Persönlichkeitsrecht. http://de.wikipedia.org/wiki/Allgemeines_Pers%C3%B6nlichkeitsrec ht#Allgemeines_Pers.C3.B6nlichkeitsrecht Prism Break: https://prism-break.org Fefes Blog: http://blog.fefe.de Browser-Fingerabdruck testen: https://panopticlick.eff.org/ Hackerspace Marburg: https://hsmr.cc
Fertig!
Kontakt Jabber: Bertz@students.uni-marburg.de modi@onenetbeyond.org Fingerabdruck: 82B5 0651 B9C3 E054 FCF5 6C8F 130C 9E78 8C0D 0713 Jabber: Bertz@students.uni-marburg.de mail@binbash.biz Fingerabdruck: 3D60 4E3A CF7F D87B 0165 4C9D 9508 26A8 F99B F728 Jabber: bb@0l3.de Homepage: binbash.biz Peter Sören