Digitale Selbstverteidigung

Transkript

1 xkcd.com

2 Digitale Selbstverteidigung Konzepte und Metaphern By Thorsten Sick...der im Bereich Computersicherheit forscht...

3 Inhalt Selbstverteidigungstechniken Programme und Tipps zur Verschlüsselung Grundlagen Hintergründe für das Große Bild Projekte Für Studenten zum Mitnehmen: Interessant, Welt verbessernd und es gibt evtl. einen Schein <warnung>ich werde bewusst polarisieren</warnung>

4 Reality Check - Bedrohungsszenarien Vermarktung (schon vor Snowden bekannt) Vollautomatischer Grundrechtsbruch Hier ist die Politik gefragt Industriespionage (+ Trojaner) Dissidenten, Journalisten, Demokraten (+ Trojaner, + Physischer Zugriff) Hier braucht man mehr

5 Don't Panic. Vertraue den Nerds Die ahnten schon immer, dass da was nicht gut läuft Haben mit Open Source und Crypto schon vor Jahren begonnen Es gibt niemanden Paranoideren als Cryptologen...come with me, if you want to live

6 Vertraue nicht dem Internet Egal wer dir was verspricht, wenn es außerhalb deines Rechners stattfindet, vertraue dem nicht blind Facebook, Datei Clouds, Chats Techniker wollen es reparieren, das wird aber noch dauern Du bezahlst immer. Kenne den Business Case

7 Vertraue nicht der Politik Jetzt, wo Merkels Handy gehackt wurde, wollen sie etwas tun, oder auch nicht Wollen selber mit dem Bundestrojaner jeden abhören Vorratsdatenspeicherung = Prism light Handy Ortung mittels Stiller SMS Strategische Überwachung statt taktischer

8 Handle selbst!

9 Crypto(graphie) Verschlüsseln Schon seit 2000 Jahren Jetzt aber in funktionstüchtig Benutzt Mathe Vodoo Jeder nutzt es längst Online Banking, Shopping, Chipkarte, Fernöffner für Autos, https, Türöffner...aber es ist unauffällig

10 Verdammte Metadaten Absender Empfänger Datum Orte Größe

11 Basics: Authentifizierung - bist du der, der ich denke, der du bist? Was man hat Dateien, Chipkarten, Ausweise Was man weiß - Passwörter Was man ist Fingerabdruck: untauglich (IPhone Hack) Und, Trommelwirbel:

12 Schäubles Abdruck

13 Basics: Closed Source Das Auto mit zugeschweißter Motorhaube Jemand mit Einfluss kann heimlich...dinge... einbauen Passierte sogar bei Microsoft (Skype) Closed Source ist zu meiden!

14 Basics: Open Source Baupläne mitgeliefert (wie bei alten Fernsehern) Heimlich Schwachstellen einbauen ist schwierig Firefox, Thunderbird, OpenOffice, LibreOffice, Ubuntu Animiert zum mitmachen Open Source ist gut

15 Basics: Algorithmen - Die Mathematik ist sicher Algorithmus = Kochrezept für Computer Schichten eines Verschlüsselungsprogramms: Algorithmus (AES, DES) Protokoll (IPSEC, HTTPS) Implementierung (IE, Windows, Skype, WhatsApp) User und Institutionen (Google, Heim-PC) Algorithmen werden offen entwickelt und beschossen Open Source ist Pflicht!

16 Algorithmen altern Brute Force (Millionen von Jahren) Mathematik Tricks machen das irgendwann einfacher, halbieren die Zeit, Findet man genügend Tricks, ist ein bestimmter Algorithmus irgendwann knackbar Also: Schnell genug auf einen modernen Algorithmus wechseln. Das tut dann euer Verschlüsselungsprogramm nach einem Update für euch (alle 10 Jahre)

17 Schlechte Passwörter = 1666 (0.38%) password = 780 (0.18%) welcome = 436 (0.1%) ninja = 333 (0.08%) abc123 = 250 (0.06%) = 222 (0.05%) = 208 (0.05%) sunshine = 205 (0.05%) princess = 202 (0.05%) qwerty = 172 (0.04%)

18 Gute Passwörter

19 Warum Passwort? Schlüssel bei der Verschlüsselung werden mit Passwörtern gesichert Egal wie gut euer Programm ist, nehmt ihr ein schlechtes Passwort, überall dasselbe oder schreibt ihr es auf, war es das.

20 Angriff: Prism Zugriff bei den Anbietern Aufbereitete Daten Verschlüsselung zwischen User und Anbieter nutzlos Kollateralschaden: Vertrauensverlust in Firmen Klagen, Klagen, Klagen (wenn die Firmen Schmerzen spüren)

21 Angriff: Tempora Full Take Wirklich alle Daten Verschlüsselung macht Probleme (MITM?) Daten müssen aufbereitet werden Wirklich alle Daten Politischer Fallout möglich...

22 Dateien im Fokus USB Sticks und CDs gehen verloren Dateien werden über Mails und die Cloud getauscht Enthalten alles von Bauplänen bis Musik

23 Action: Dateien verschlüsseln - Truecrypt Alles oder nichts (entschlüsseln). Also hat UK gelogen Kann auf der Platte oder auf einem Stick angelegt werden Truecrypt gleich mit auf den Stick speichern

24 Basics: s Postkarten werden weitergegeben bis zum Ziel

25 Basics: D Und wo kann die NSA lesen? Anti Tempora Leider nicht Anti-Prism...von führenden Informatikern verdammt

26 Basics: Public Key Crypto Vorhängeschlösser verteilen Geheimer Schlüssel bleibt geheim

27 Basics: Ende zu Ende Anti- Tempora, Anti-Prism...verdammte Metadaten... Absender Ziel Zeit Betreff

28 Action: Thunderbird, Enigmail und GPG Alles Open Source für die Eigentlich einfach Usability zwischen einfach und Optionen-für-Nerds Es nutzt kaum jemand weil es kaum jemand nutzt

29 Action: Chat, Pidgin und OTR Pidgin ist ein Chat für alle Protokolle (Facebook, Jabber, ICQ, IRC) Hat das OTR Plugin, das über alle Services Verschlüsselung schicken kann Ist Portabel (Stick)

30 Ende-zu-Ende vs. NSA Enden müssen angegriffen werden Virenscanner Updates Open Source OS Nicht in die UK/USA mit dem Rechner (Firewire) Angriffe gehen aber nicht vollautomatisch Angreifer läuft Gefahr, sich zu verraten

31 xkcd.com

32 Für Fortgeschrittene: TOR Umschläge in Umschlägen Dann keine Cookies und Facebook Selbst vor längerer Zeit mal genutzt, keine aktuellen Erfahrungen

33 Für Gründliche: Ubuntu Open Source Kostenlos Bringt gleich die ganze Software mit Kann parallel installiert werden Bald auch mit Spielen

34 Was noch übrig bleibt: Threema Schwer, was Gutes für Handys zu finden Kein Open Source Kostet Geld Konzept hört sich gut an Usability überzeugt Evtl. fehlen noch Features

35 Der geheime Masterplan Virale Verschlüsselung Wenn jemand eine Mail von jemandem erhält, der schon verschlüsselt, installiert ihm Thunderbird automatisch Enigmail Verschlüsselung wird dann ansteckend :-) Alle finden es toll. ABER: Erst muss die Enigmail Usability was taugen

36 Projektarbeiten Enigmail Open Source ist zum Mitmachen Enigmail benötigt Anleitung (Video?) und Usability Verbesserungen Es ist in Javascript und XUL (HTML ähnlich) programmiert Enigmail hat noch kein Logo Der Programmierer sitzt in der Schweiz und ist ein netter Kerl Macht sich gut im Lebenslauf

37 Fotografier mich Mail: Thunderbird + Enigmail Dateien: Truecrypt Chat: Pidgin + OTR Handy Chat: Threema

38 Informationen

39 Improvisation Ihr fragt, ich improvisiere