Ich lade mir mal das Video runter Urheberrechtsverletzungen über private Internetanschlüsse Technischer Teil

Transkript

1 Ich lade mir mal das Video runter Urheberrechtsverletzungen über private Internetanschlüsse Technischer Teil Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

2 Agenda WLAN-Sicherheit Technik von Filesharing-Systemen

3 WLAN-Sicherheit BGH, Sommer unseres Lebens (Urteil vom , I ZR 121/08) Störerhaftung bei unzureichender Sicherung eines WLANs Fragliche Aussagen zur technischen Seite der WLAN- Sicherheit Konsequenz dennoch klar: Als Privatnutzer WLANs gegen unbefugte Benutzung sichern

4 MAC-Adress-Filter

5 MAC-Adress-Filter MAC-Adress-Filter bei WLANs Nur Geräte mit bestimmter Hardware-Adresse (MAC- Adresse) in einem WLAN zulassen Problem: MAC-Adressen lassen sich (oft) beliebig setzen Herausfinden der MAC-Adressen zugelassener Endgeräte durch Mithören problemlos möglich entsprechende Software leicht im Internet erhältlich, Dokumentationen über den Einsatz auf Youtube MAC-Adress-Filter bei WLANs nahezu wirkungslos

6 SSID verstecken SSID (Service Set Identifier): Identifikation eines WLANs Wird von einem WLAN in regelmäßigen Abständen als Broadcast (d.h. an alle ) ausgesendet Hilft bei der Unterscheidung verschiedener WLANs Wird auch als Name des WLAN angesehen Versteckte SSID: Verzicht auf Aussendung der SSID durch den WLAN Access Point

7 SSID: Normale Funktionsweise Hier WLAN eduroam Verbindungswunsch zu eduroam

8 Vorgehen bei versteckter SSID Verbindungswunsch zu geheim1 Verbindungswunsch zu geheim2 ja

9 Folgen versteckter SSID Für den Angreifer, der sich mit einem WLAN verbinden will Abwarten, bis legitimer Teilnehmer in Reichweite kommt Dann SSID mitlesen und selbst weiterverwenden Alternative: Gängige SSIDs ausprobieren Für den Angreifer, der Inhalte mitlesen will (Ständig erfolgende) Aussendungen der SSID durch den suchenden Teilnehmer mitlesen Eigene SSID entsprechend abändern und automatische Verbindung des suchenden Teilnehmers abwarten Kommunikation dieses Teilnehmers als man in the middle mitlesen Versteckte SSID ist in aller Regel keine sinnvolle Sicherheitsmaßnahme

10 Kryptographische Schutzmaßnahmen WEP (Wired Equivalent Privacy) Erster WLAN-Sicherheitsstandard Heute: Lehrbuchbeispiel zur Demonstration von fehlerhaftem Entwurf eines Sicherheitsprotokolls Bietet keinen nennenswerten Schutz gegen Mitnutzung eines WLANs durch Dritte (oder Abhören von Kommunikation) Zeit zum Herausfinden eines WEP-Schlüssels: < 1 Minute

11 Nachfolgestandard Reaktion auf WEP-Debakel: Neuer Standard i (mittlerweile Teil des WLAN-Standards ) TKIP(+Michael)-Verfahren als vorübergehende Notlösung oft (fälschlich) gleichgesetzt mit WPA Einsatz nicht mehr zu empfehlen Bekannte Sicherheitslücken erlauben aber (noch) keine Mitnutzung von WLANs durch Dritte AES-CCMP als dauerhaft sichere Lösung oft fälschlich gleichgesetzt mit WPA2 Nach heutigem Stand sicher

12 Authentifizierung in bzw. WPA(2) Authentifizierung mit EAP (Extensible Authentication Protocol) Nur für Unternehmensnetze relevant Authentifizierung mit Pre-shared key (PSK) Passwort dient zur Ableitung gemeinsamen Geheimnisses zwischen Client und Access Point Mithörender Angreifer kann Brute-Force-Angriff auf Passwort starten sicheres Passwort wählen Voreingestellte Passwörter sind meist sicher gewählt aber: manchmal auch nicht ändern!

13 WPS WiFi Protected Setup Möglichkeit zur vereinfachten Einrichtung eines WLAN 4 Arten, WLAN anzulernen Push-Button NFC USB PIN Dezember 2011: Schwachstelle bei der PIN-Methode veröffentlicht 8stellige PIN, davon eine Prüfziffer effektiv nur sieben Stellen Problem: Getrennte Validierung der ersten vier und der letzten drei bzw. vier Stellen nur Versuche zum Raten notwendig

14 Empfehlungen WLAN-Teil Verwendung von AES-CCMP (meist als WPA2 bezeichnet) mit sicherem Passwort (gemeint: WLAN-Passwort, nicht Router-Konfigurations-Passwort) Faustregeln(!) für Passwörter Nicht das vom Hersteller gesetzte Passwort Mindestens 10 Stellen, besser mehr Möglichst zufällig Verwendung von Groß- und Kleinbuchstaben, Ziffern, Sonderzeichen Keine Wörter aus dem Wörterbuch Manche WLAN-Router erlauben zweites Passwort für Gastzugang trotzdem kein Schutz gegen Filesharing durch Gäste MAC-Filter, versteckte SSID, WEP: Kein nennenswerter Schutz Randbemerkung: Verwendung seltener SSIDs bringt etwas Gewinn für die Sicherheit (Verlangsamung des Ausprobierens von Passwörtern)

15 Agenda WLAN-Sicherheit Technik von Filesharing-Systemen

16 Clipart source: users Machovka and Keistutis Peer-to-Peer-Netze Klassisches Modell für Dienste in Netzwerken: Client/Server Server bietet eine Dienstleistung an Clients nutzen diese Dienstleistung Trend seit den späten 1990ern: Peer-to-Peer Kein zentraler Server (oder Server mit nur begrenzter Funktionalität) Bereitstellung des Service und Nutzung des Service sind nicht länger getrennt Netzwerkteilnehmer können gleichzeitig Client und Server sein C. Sorge

17 Informatik-Fragestellungen in Peer-to-Peer-Netzen (Beispiele) Wie Struktur des Netzes gestalten, um mit Ausfällen von Peers umgehen zu können? effizient bestimmte Peers oder bestimmte Daten finden zu können? Wie Verlässlichkeit von Peers einschätzen und Anreize für Mitwirkung gestalten? Wie kann Anonymität von Teilnehmern in Peer-to-Peer- Netzen gewährleistet werden? Viele Ansätze zur Lösung dieser Fragen für uns aber: Konzentration auf praxisrelevante Gemeinsamkeiten der meisten Peer-to-Peer-Netze

18 Peer-to-Peer-Filesharing-Netze Organisation Anfänglich: Meist zentraler Server mit Verzeichnisdienst, eigentliches Filesharing meist untereinander Heute: Vollständig dezentrale Netze (zumindest als Option, Bittorrent alternativ auch mit Tracker) Identifikation von Dateien i.d.r. über Hashwert der Datei (Prüfsumme) Ablauf Meist Aufteilung von Dateien in kleine Teile (chunks) Chunks können von einem oder mehreren Peers heruntergeladen werden Download über direkte (IP-)Verbindung mit diesen Peers Eigener Upload startet i.d.r. ab vollständigem Download des ersten Chunks

19 Ermittlungen Ablauf der Ermittlung Suche nach urheberrechtlich geschützten Daten (abhängig von konkretem Filesharing-System) Download dieser Dateien, IP-Adresse des Uploaders somit bekannt Vergleich der Dateien mit Referenz-Dateien Ermittlung des Anschlussinhabers anhand der IP-Adresse (Auskunftsanspruch gg. ISP gemäß 101 Abs. 2 UrhG) Fehlerquellen? IP-Adress-Spoofing? in Filesharing-Fällen kaum denkbar Zeitstempel denkbare Fehlerquelle (falsch eingestellte Zeitzonen beim Ermittler etc.) Hash-Kollision (gleiche Prüfsumme zweier Dateien) nicht bei aktuellen, kryptographisch sicheren Hashfunktionen Zuordnung IP-Adresse/Anschlussinhaber denkbare Fehlerquelle

20 Randbemerkung Web-basierte Downloads (One-Click-Hoster) und Streams: IP-Adresse nur für beteiligte Kommunikationspartner (und ISPs) sichtbar Ggf. bei eingebetteten Inhalten von Drittanbietern (Werbebanner, Facebook-Like-Buttons etc.) auch für diese Redtube -Fall: Software soll angeblich ohne Beteiligung an der Kommunikation IP-Adressen ermittelt haben unplausibles Szenario (mittlerweile allgemein anerkannt)

21 Empfehlung Filesharing-Teil Empfehlung zu Peer-to-Peer-Filesharing urheberrechtlich geschützter Inhalte Bleiben lassen! Streaming, Downloads von Websites Aus technischer Sicht geringeres Entdeckungsrisiko Rechtliche Bewertung Vortrag Prof. Borges