Digitale Selbstverteidigung ein Überblick. Michael Hensel

Transkript

1 Digitale Selbstverteidigung ein Überblick Michael Hensel

2 Grundsätzliches Ausländische Geheimdienste werden selbst durch gesetzliche Änderungen in Deutschland ihre Arbeit nicht einstellen. Die Digitale Selbstverteidigung ist ein Baustein des freien demokratischen Meinungsaustauschs Um die geheimdienstliche Überwachung abzustellen, sind politische Lösungen notwendig.

3 Kleiner Überblick zur Überwachung

4 Überwachungsprogramme #1 PRISM (US) [1] ein unter Top Secret eingestuftes Programm zur Überwachung und Auswertung von elektronischen Medien und gespeicherten Daten Beteiligung: Microsoft (u.a. mit Skype), Google (u.a. mit YouTube), Facebook, Yahoo, Apple, AOL und Paltalk soll umfassende Überwachung von Personen innerund außerhalb der USA durch direkten Zugriff der USBehörden auf die Server ermöglichen

5 Überwachungsprogramme #2 Tempora (UK) [2] Codename einer britischen Geheimdienstoperation zur Überwachung des weltweiten Telekommunikations- und InternetDatenverkehrs Anzapfen von Internetknotenpunkte und transatlantische Datenverbindungen & Speicherung der Daten bis zu 30 Tage Überwachung von s, Einträge in sozialen Netzwerken, Telefongespräche und persönliche Informationen von Internetnutzern

6 Überwachungsprogramme #3 Technikaufwuchsprogramm (DE) möglichst umfassende Überwachung des grenzüberschreitenden Datenverkehrs an zentralen Knotenpunten des Internets in Deutschland (zb. Frankfurt am Main) unterhält der BND eigene Räume für Zugriff auf Daten bisher auf Grund technischer Probleme werden nur ca. 5% aller s, Telefongespräche, FacebookKonversationen oder Skype-Gespräche ausgewertet Angeblich keine Speicherung auf Verdacht, sondern Kommunikation wird lediglich (bisher) gesiebt

7 Weiteres Ausspähen Trojaner, Viren, Würmer bei Infektion werden Daten gesammelt, versendet zb. Zugangsdaten (Online Banking), Adressen Gezielte Ermittlungsarbeit Bundes-Trojaner & andere Software Telefon / Mobiltelefon Standortdaten (Funkzelle, WLAN-Netze, stille SMS, Funktion als Wanze)

8 Was tun bei Unsicherheit? die wirklich geheimen Dinge bespricht man ohne technischen Geräte in der Pampa / im freien Gelände

9 Heutiges Ziel Sicheres Speichern von Daten und Schreiben einer , ohne dass die Geheimdienste diese mit- oder auslesen können.

10 Verschlüsselung... heißt nicht, dass man nicht abgehört werden kann... der Aufwand und die Kosten steigen dafür immens. eingebaute Hintertüren (Backdoors) in Software / Hardware Trojaner & Rootkits & Keylogger Wanzen Erfassen elektromagnetischer Abstrahlung (Kabel / Monitor usw) Human Intelligence

11 Daten bei Diensteanbietern Daten bei Dritten sind nie sicher man hat keinen Einblick / Einfluss darauf, was mit den Daten passiert (zb. Weitergabe unter welchen Bedingungen) aktuell zeigt PRISM, dass direkter Zugriff auf Daten möglich ist Microsoft, Yahoo, Google, Facebook, PalTalk, YouTube, Skype, AOL, Apple

12 Welche Software nutzen? OpenSource: Quellen können von jedem Menschen eingesehen werden Quellen werden auch von Sicherheitsforschern begutachtet leider auch Lücken in Software vorhanden, auf die aber zeitnah reagiert und die Lücken behoben werden Alternative ClosedSource: Was die Software macht, kann kaum geprüft werden

13 unverschlüsselte Mail entspricht einer Postkarte, die mit Bleistift geschrieben wurde signierte Mail entspricht einer Postkarte, die mit Kugelschreiber unterschrieben und mit einer Unterschrift versehen wurde Inhalt kann auf seinem Weg zum Empfänger gelesen und verändert werden Inhalt kann auf seinem Weg zum Empfänger gelesen werden, aber Veränderungen daran fallen auf verschlüsselte Mail entspricht einem zugeklebten Brief

14 #2 Webmailanbieter eine webbasierte Verschlüsselungssoftware ist nicht vertrauenswürdig Admins können mitlesen Geheimdienste können mitlesen Ermittlungsbehörden können mitlesen

15 #3 Achtung: verschlüsselung bezieht sich NUR auf Inhalt der Metadaten sind weiterhin auslesbar Absender, Empfänger, Betreff IP- und sonstige Adressen sämtlicher zwischengeschalteter Server Daten zum benutzten Mailclient und andere identifizierende Merkmale Zeitpunkt der Kommunikation

16 Public-Key Kryptographie jeder Teilnehmer besitzt: Privaten Schlüssel Öffentlichen Schlüssel verschlüsselt wird mit dem öffentlichen Schlüssel des Empfängers entschlüsselt wird mit dem eigenen privaten Schlüssel signiert wird mit dem eigenen privaten Schlüssel

17 Probleme bei öffentlichen Schlüsseln zur Sicherstellung, dass der richtige Schlüssel genutzt und dieser echt ist: Vergleich des Fingerprints (Fingerabdruck) Überprüfen von Signaturen anderer Menschen auf dem Schlüssel Problem bei Signaturen von Schlüssel Der Kontaktkreis / das soziale Netzwerk zur Person wird sichtbar

18 Verschlüsselung: PGP & Enigmail & Co Pretty Good Privacy (PGP) GnuPG als OpenSource-Implementation Public-Key Verfahrens Enigmail PGP-Plugin für Thunderbird und SeaMonkey benötigt GnuPG-Installation [3]

19 Verschlüsselung: PGP & Enigmail & Co #2 GnuPG installieren Linux (Debian / Ubuntu) Windows apt-get install gnupg GPG4Win [4] Mac OS X GPGSuite [5]

20 Verschlüsselung: PGP & Enigmail & Co #3 Enigmail installieren (Thunderbird muss bereits installiert sein, um Enigmail nutzen zu können) Download [3] Plugin installieren (Tools, Addons, Install) Schlüssel erstellen (OpenPGP, Key Management, Generate, New Key Pair) Passphrase setzen Revocation Certificate erstellen eigenen Schlüssel signieren Schlüssel veröffentlichen

21 Verschlüsselung: PGP & Enigmail & Co #4 andere Systeme Outlook (nicht empfohlen) Desktop Encryption von Symantec [6] (kostenpflichtig) Outlook Privacy Plugin (für Outlook 2010 & GPG4Win + Net. V4.5) [7] GpgOL in GPG4Win enthalten (für Outlook 2003 & 2007) [4] Mac OS X GPGSuite [5]

22 Anonymisiertes Browsen #1 Anwendungsszenarien anonyme Mails schreiben anonyme Veröffentlichungen (zb. Whistleblower) Besuch von zb. Regimekritischen Webseiten

23 Anonymisiertes Browsen #2 Wie kann man mit einfachen Mitteln erreichen? Verhindern von Speicherung zb. Von Cookies, HTML5 Local Storage, Flash Local Storage nirgendwo einloggen, außer mit gesonderten Accounts den eigenen Namen nicht unter Beiträge schreiben keine unnötige private Korrespondenz längere Texte in für sich atypischen Stil verfassen (Duktus)

24 Möglichkeit der Identifizierung Erkennen durch Browser (Brwoser Identification) [8] Erkennen durch spezifische Plugins, Versionen, Fonts, Bildschirmgrößen etc. Erkennen durch IP-Adresse bei Einwahl ins Internet wird IP zugewiesen Zuordnung der IP zum Anschluss kann gespeichert werden ( Vorratsdatenspeicherung / Mindestspeicherfrist ) IP einer Anfrage wird zum großen Teil bei fast allen Webanbietern gespeichert

25 Mögliche Maßnahmen #1 Onion Routing Anstatt direkt zum Ziel sich zu verbinden Verbindung zu einem ersten Proxy... von dort zu einem zweiten und von dort zu einem dritten, der zum Ziel verbindet Proxy 1 sieht, wer verbunden ist, aber nicht was dort passiert Proxy 2 sieht, dass überhaupt Netzwerkverkehr existiert Proxy 3 sieht, was das Netzwerk im Internet tut, aber nicht wer ( Exit Nodes )

26 Mögliche Maßnahmen #2 Tor Browser Bundle [9] Onion Routing Software TOR + Browser + Voreinstellungen Achtung: kaum Schutz gegen Browser-Version Tracking TOR nicht für Aktionen benutzen, die Identifizierung ermöglichen genügend Exit Nodes werden von Sicherheitsforschern, Geheimdiensten und auch Kriminellen betrieben deshalb: nirgendwo mit (relevanten) Daten einloggen

27 Wir üben #1 Verschlüsselung von Mails Installieren Schlüssel erzeugen Schlüssel veröffentlichen Verschlüsselte und signierte Mails versenden Verschlüsselte und signierte Antwort erhalten

28 Wir üben #2 Schlüssel erzeugen

29 Wir üben #3 Schlüssel veröffentlichen

30 Wir üben #4 Mail signieren und verschlüsseln

31 Wir üben #5 Schlüsselauswahl bei Versand

32 Wir üben #6 Korrekt signerte Mail

33 Wir üben #7 Nicht-vertrauenswürdig signierte Mail

34 Wir üben #8 Unbekannt signierte Mail

35 Wir üben #9 Fehlerhaft signierte Mail

36 Wir üben #10 TOR Browser Bundle installieren TOR starten zb.

37 Quellen [1] [2] [3] [4] [5] [6] [7] [8] [9] [10]

38 Lizenz Dank für seine Vorlage unter der WTFPL-Lizenz [10]. Diese Vorlage wird somit auch unter WTFPL gestellt und es kann damit gemacht werden, was man möchte :).