Digitale Selbstverteidigung. ein Überblick

Transkript

1 Digitale Selbstverteidigung ein Überblick

2 #NEULAND Grafik von Nivatius & Cheatha

3 #NEULAND Internet-Anbieter Internes Netzwerk (Heim- / Firmennetzwerk) Grafik von Nivatius & Cheatha

4 #NEULAND Knotenpunkt (zb. DE-CIX) Grafik von Nivatius & Cheatha

5 #NEULAND ISP der Seite XY Rec h enz ent rum Grafik von Nivatius & Cheatha

6 #NEULAND Server im Rechenzentrum Grafik von Nivatius & Cheatha

7 #NEULAND Grafik von Nivatius & Cheatha

8 Grundsätzliches Ausländische Geheimdienste werden selbst durch gesetzliche Änderungen in Deutschland ihre Arbeit nicht einstellen. Die Digitale Selbstverteidigung ist ein Baustein des freien demokratischen Meinungsaustauschs Um die geheimdienstliche Überwachung abzustellen, sind politische Lösungen notwendig.

9 Überwachungsprogramme #1 PRISM (US) [1] ein unter Top Secret eingestuftes Programm zur Überwachung und Auswertung von elektronischen Medien und gespeicherten Daten Beteiligung: Microsoft (u.a. mit Skype), Google (u.a. mit YouTube), Facebook, Yahoo, Apple, AOL und Paltalk soll umfassende Überwachung von Personen innerund außerhalb der USA durch direkten Zugriff der USBehörden auf die Server ermöglichen

10 Überwachungsprogramme #2 Tempora (UK) [2] Codename einer britischen Geheimdienstoperation zur Überwachung des weltweiten Telekommunikations- und Internet-Datenverkehrs Anzapfen von Internetknotenpunkten und transatlantischen Datenverbindungen & Speicherung der Daten bis zu 30 Tage Überwachung von s, Einträgen in sozialen Netzwerken, Telefongesprächen und persönlichen Informationen von Internetnutzern

11 Überwachungsprogramme #3 Technikaufwuchsprogramm (DE) möglichst umfassende Überwachung des grenzüberschreitenden Datenverkehrs an zentralen Knotenpunten des Internets in Deutschland (zb. Frankfurt am Main) unterhält der BND eigene Räume für Zugriff auf Daten bisher auf Grund technischer Probleme werden bisher nur ca. 5% aller s, Telefongespräche, Facebook-Konversationen oder Skype-Gespräche ausgewertet angeblich keine Speicherung auf Verdacht, sondern Kommunikation wird lediglich (bisher) gesiebt

12 Ausspähmöglichkeiten Trojaner, Viren, Würmer bei Infektion werden Daten gesammelt, versendet zb. Zugangsdaten (Online Banking), Adressen Gezielte Ermittlungsarbeit Bundes-Trojaner & andere Software Telefon / Mobiltelefon Standortdaten (Funkzelle, WLAN-Netze, stille SMS, Funktion als Wanze)

13 Was tun, um sicher zu sein? die wirklich geheimen Dinge bespricht man ohne technische Geräte in der Pampa bzw. im freien Gelände

14 Verschlüsselung heißt nicht, dass man nicht abgehört werden kann. der Aufwand und die Kosten steigen dafür immens. eingebaute Hintertüren (Backdoors) in Software / Hardware Trojaner & Rootkits & Keylogger Wanzen Erfassen elektromagnetischer Abstrahlung (Kabel / Monitor usw.) Human Intelligence

15 Daten bei externen Anbietern Daten bei Dritten sind nie sicher man hat keinen Einblick / Einfluss darauf, was mit den Daten passiert (zb. Weitergabe unter welchen Bedingungen) aktuell zeigt PRISM, dass direkter Zugriff auf Daten möglich ist Microsoft, Yahoo, Google, Facebook, PalTalk, YouTube, Skype, AOL, Apple

16 Welche Software nutzen? OpenSource: Quellen können von jedem Menschen eingesehen werden Quellen werden auch von Sicherheitsforschern begutachtet leider auch Lücken in Software vorhanden, auf die aber zeitnah reagiert und die Lücken behoben werden Alternative ClosedSource: Was die Software macht, kann kaum geprüft werden

17 Heutiges Ziel? Sicher s senden & Empfangen Anonymes Surfen Daten verschlüsseln Sichere

18 Passwörter Wo sind Probleme? Sicherheitslücken bei Passwort-Übermittlung oder Speicherung auf mglw. unverschlüsseltem Weg durch das Internet oder durch Sicherheitslücken besuchter Webseiten können Passwörter in falsche Hände geraten Phishing: Passwörter werden durch gefälschte Webseiten abgefangen Wörterbuch-Angriff + Brute-Force: Wörter mit häufig vorkommenen Passwörtern bzw. Zeichen mit Zeichen probiert (aufwendig) Bestandsdatenauskunft (seit 1. Juli 2013): Unternehmen müssen Passwörter ihrer Kunden in vage begründeten Fällen an die Behörden herausgeben

19 Passwörter Wo sind Probleme? (C) passwordscloud.png by Mark Burnett - licensed under a Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Unported License. - xato.net

20 Passwörter Was tun? ideal: für jeden Dienst unterschiedliche Passwörter zufällig generierte Passwörter Verlust/Diebstahl eines Passwortes wirkt sich nicht auf andere Dienste aus keine Namen, keine Wörter aus Wörterbuch keine Anfangsbuchstaben zb. Des Lieblings-Songs nicht nur einfache Ersetzungen ( o durch 0 o.ä.) Knacken durch systematisches Probieren fast unmöglich mehrere, unabhängige Wörter kombinieren 1000 Wörter können schnell durch Rechner probiert werden, aber 1000 * 1000 * 1000 Kombinationen nicht mehr leicht zu merken, schwer zu knacken

21 Passwörter Was tun? licensed under a Creative Commons Attribution-NonCommercial 2.5 License.

22 Passwörter Ist das nicht aufwändig? Nutzung von Passwort-Safe, zb. KeePassX [12] Windows, Linux, Mac OS X viele Passwörter durch ein gemerktes Haupt-Kennwort geschützt wenn Haupt-Kennwort sicher genug, wäre zb. auch eine Online-Sicherung unbedenklich ermöglicht zufällige Generierung von einzigartigen Passwörtern für jede einzelne Webseite und/oder Dienst KeePassX üben

23 Wo sind Probleme? s sind offen wie Postkarten Jeder auf dem Weg, den die nimmt, kann sie lesen IT-Abteilung des Arbeitgebers, Google, andere Knoten zb. Tempora: Geheimdienst schneidet gesamten Transatlantik-Datenverkehr mit

24 Was können wir tun? PGP ( Pretty Good Privacy ) bzw. GPG ( GNU Privacy Guard ) Asymmetrische Verschlüsselung keine Verabredung eines geheimen Schlüssels nötig Verschlüsselung mit öffentlich bekannt gegebenen Schlüssel Entschlüsselung nur mit passenden privaten Schlüssel möglich auch für digitale Unterschriften geeignet Unterschreiben mit privatem, Prüfen mit öffentlichem Schlüssel

25 Was bleibt an Problemen? beide Seiten müssen Verschlüsselung eingerichtet haben immer noch recht niedrige Verbreitung, trotz Anstieg privater Schlüssel muss vor Dritten geschützt werden Meta-Daten ( Wer schreibt wann an wen? ) und Betreff bleiben unverschlüsselt eventuell erwecken gerade verschlüsselte Mails Interesse

26 Public-Key Kryptographie jeder Teilnehmer besitzt: Privaten Schlüssel Öffentlichen Schlüssel verschlüsselt wird mit dem öffentlichen Schlüssel des Empfängers entschlüsselt wird mit dem eigenen privaten Schlüssel signiert wird mit dem eigenen privaten Schlüssel

27 Probleme öffentlicher Schlüssel zur Sicherstellung, dass der richtige Schlüssel genutzt und dieser echt ist: Vergleich des Fingerprints (Fingerabdruck) Überprüfen von Signaturen anderer Menschen auf dem Schlüssel Problem bei Signaturen von Schlüssel der Kontaktkreis / das soziale Netzwerk zur Person wird sichtbar

28 Verschlüsselung #1 Pretty Good Privacy (PGP) GnuPG als OpenSource-Implementation Public-Key Verfahren Enigmail Plugin für Thunderbird und SeaMonkey benötigt GnuPG-Installation [3]

29 Verschlüsselung #2 GnuPG installieren Linux (Debian / Ubuntu) Windows apt-get install gnupg GPG4Win [4] Mac OS X GPGSuite [5]

30 Verschlüsselung #3 Enigmail installieren (Thunderbird muss bereits installiert sein, um Enigmail nutzen zu können) Download [3] Plugin installieren (Tools, Addons, Install) Schlüssel erstellen (OpenPGP, Key Management, Generate, New Key Pair) Passphrase setzen Revocation Certificate erstellen eigenen Schlüssel signieren Schlüssel veröffentlichen

31 Verschlüsselung #4 andere Systeme Outlook (nicht empfohlen) Desktop Encryption von Symantec [6] (kostenpflichtig) Outlook Privacy Plugin (für Outlook 2010 & GPG4Win + Net. V4.5) [7] GpgOL in GPG4Win enthalten (für Outlook 2003 & 2007) [4] Mac OS X GPGSuite [5] PGP üben

32 Anonymisiertes Surfen #1 Anwendungsszenarien anonyme Mails schreiben anonyme Veröffentlichungen (zb. Whistleblower) Besuch von zb. Regimekritischen Webseiten

33 Anonymisiertes Surfen #2 Wo sind die Probleme? das Internet ist nicht anonym jede Webseite erhält bei Aufruf die IP-Adresse, die einem Anschlussinhaber zugeordnet ist Dritte, deren Inhalte auf einer Seite eingebunden werden (Google, Facebook, etc.) erhalten diese Informationen automatisch Behörden können sich heute oder in Zukunft Zugang zu diesen Daten verschaffen, auch für sehr unspezifische Gefährdungen weitere Daten zb. durch Bekanntgabe durch Browser

34 Anonymisiertes Surfen #3 Wo sind die Probleme? #2 Erkennen durch Browser (Browser Identification) [8] Erkennen durch spezifische Plugins, Versionen, Fonts, Bildschirmgrößen etc. Erkennen durch IP-Adresse bei Einwahl ins Internet wird IP zugewiesen Zuordnung der IP zum Anschluss kann gespeichert werden ( Vorratsdatenspeicherung / Mindestspeicherfrist ) IP einer Anfrage wird zum großen Teil bei fast allen Webanbietern gespeichert

35 Anonymisiertes Surfen #4 Was kann man tun? Verhindern von Speicherung zb. Von Cookies, HTML5 Local Storage, Flash Local Storage nirgendwo einloggen, außer mit gesonderten Accounts den eigenen Namen nicht unter Beiträge schreiben keine unnötige private Korrespondenz längere Texte in für sich atypischen Stil verfassen (Duktus)

36 Anonymisiertes SURFEN #5 Was kann man tun? #2 TOR ( The Onion Router ) Anfragen werden nicht direkt an Webseite geschickt, sondern über 3 Zwischenstationen Anfragen und zugehörige Antworten werden schichtweise verschlüsselt daher Onion = Zwiebel Erste Zwischenstation ( Entry-Knoten ) sieht zwar die Anfrage im Klartext, aber nicht, wohin sie geht, da sie mit den nächsten beiden Schichten verschlüsselt ist Letzte Zwischenstation ( Exit-Knoten ) sieht zwar die Anfrage im Klartext, aber nicht. Woher sie stammt, da ausschließlich mit der mittleren Zwischenstation kommuniziert

37 Anonymisiertes Surfen #6 Tor Browser Bundle [9] Onion Routing Software TOR + Browser + Voreinstellungen Angepasste Version von Mozilla Firefox als Browser Nutzung von TOR mit einem Klick Achtung: kaum Schutz gegen Browser-Version Tracking TOR nicht für Aktionen benutzen, die Identifizierung ermöglichen genügend Exit Nodes werden von Sicherheitsforschern, Geheimdiensten und auch Kriminellen betrieben

38 Anonymisiertes Surfen #7 Welche Probleme bleiben? Surfen über das TOR-Netzwerk ist SEHR langsam Exit-Knoten kann aus aufgerufenen Webseiten (zb. Eigenes Facebook-Profil o.ä.) eventuell Informationen ableiten VORSICHT bei personalisierten Webseiten in der Theorie ist ein Angreifer möglich, der sowohl Entry- als auch Exit-Knoten kontrolliert geeignete Auswahl und häufiger Wechsel der Zwischenstationen wichtig auch Geheimdienste, Kriminelle, Sicherheitsforscher usw. können Knoten betreiben TOR üben

39 Verschlüsselung Wo sind die Probleme? diverse sensible Daten auf Festplatten / Speichermedien zb. private Fotos, Dokumente, Geschäftsgeheimnisse Bei mobilen Geräten / Medien besteht größere Gefahr, dass Daten in falsche Hände geraten

40 Verschlüsselung Was können wir tun? TrueCrypt Festplatten-Verschlüsselung entweder ganze Festplatte oder Partition oder innerhalb einer Datei (Container) Verschlüsselung mit Passwort oder Schlüssel-Datei Problem: Zwang zur Herausgabe Passwort Lösung Hidden Container bei Zwang Herausgabe des Schlüssels für äußeren Container und Abstreiten Existenz des Hidden Container weniger kritische Daten im äußeren Container (zb. Kontoauszüge), hochsensible im inneren (zb. Gesundheit / Behörden)

41 Verschlüsselung Alternativen Ubuntu: Benutzerverzeichnis standardmäßig verschlüsselt alle Linux-Distributionen dm-crypt zur Verschlüsselung ganzer Festplatten und Partitionen Windows allerdings auf Dateiebene somit Anzahl, Größe und Verteilung der Dateien erkennbar Bitlocker / TrueCrypt Mac OS X Filevault TrueCrypt üben

42 Wir üben PGP #1 Verschlüsselung von Mails Installieren Schlüssel erzeugen Schlüssel veröffentlichen Verschlüsselte und signierte Mails versenden Verschlüsselte und signierte Antwort erhalten

43 Wir üben PGP #2 Schlüssel erzeugen

44 Wir üben PGP #3 Schlüssel veröffentlichen

45 Wir üben PGP #4 Mail signieren und verschlüsseln

46 Wir üben PGP #5 Schlüsselauswahl bei Versand

47 Wir üben PGP #6 Korrekt signerte Mail

48 Wir üben PGP #7 Nicht-vertrauenswürdig signierte Mail

49 Wir üben PGP #8 Unbekannt signierte Mail

50 Wir üben PGP #9 Fehlerhaft signierte Mail Themenwahl

51 Wir üben TOR Browser TOR Browser Bundle herunterladen [11] TOR Browser Bundle entpacken TOR starten TOR verbindet sich automatisch und startet Browser (Firefox) Surfen zb. Themenwahl

52 Wir üben Truecrypt #1

53 Wir üben Truecrypt #2

54 Wir üben Truecrypt #3

55 Wir üben Truecrypt #4

56 Wir üben Truecrypt #5

57 Wir üben Truecrypt #6 Themenwahl

58 Wir üben KeePassX #1

59 Wir üben KeePassX #2

60 Wir üben KeePassX #3 Themenwahl

61 QUELLEN [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13]

62 LIZENZ Dank für seine Vorlage unter der WTFPL-Lizenz [10]. Diese Vorlage wird somit bis auf die explizit gekennzeichneten Grafiken - auch unter WTFPL gestellt und es kann damit gemacht werden, was man möchte :).