xkcd.com
Digitale Selbstverteidigung Konzepte und Metaphern By Thorsten Sick...der im Bereich Computersicherheit forscht...
Inhalt Selbstverteidigungstechniken Programme und Tipps zur Verschlüsselung Grundlagen Hintergründe für das Große Bild Projekte Für Studenten zum Mitnehmen: Interessant, Welt verbessernd und es gibt evtl. einen Schein <warnung>ich werde bewusst polarisieren</warnung>
Reality Check - Bedrohungsszenarien Vermarktung (schon vor Snowden bekannt) Vollautomatischer Grundrechtsbruch Hier ist die Politik gefragt Industriespionage (+ Trojaner) Dissidenten, Journalisten, Demokraten (+ Trojaner, + Physischer Zugriff) Hier braucht man mehr
Don't Panic. Vertraue den Nerds Die ahnten schon immer, dass da was nicht gut läuft Haben mit Open Source und Crypto schon vor Jahren begonnen Es gibt niemanden Paranoideren als Cryptologen...come with me, if you want to live
Vertraue nicht dem Internet Egal wer dir was verspricht, wenn es außerhalb deines Rechners stattfindet, vertraue dem nicht blind Facebook, Datei Clouds, Chats Techniker wollen es reparieren, das wird aber noch dauern Du bezahlst immer. Kenne den Business Case
Vertraue nicht der Politik Jetzt, wo Merkels Handy gehackt wurde, wollen sie etwas tun, oder auch nicht Wollen selber mit dem Bundestrojaner jeden abhören Vorratsdatenspeicherung = Prism light Handy Ortung mittels Stiller SMS Strategische Überwachung statt taktischer
Handle selbst!
Crypto(graphie) Verschlüsseln Schon seit 2000 Jahren Jetzt aber in funktionstüchtig Benutzt Mathe Vodoo Jeder nutzt es längst Online Banking, Shopping, Chipkarte, Fernöffner für Autos, https, Türöffner...aber es ist unauffällig
Verdammte Metadaten Absender Empfänger Datum Orte Größe
Basics: Authentifizierung - bist du der, der ich denke, der du bist? Was man hat Dateien, Chipkarten, Ausweise Was man weiß - Passwörter Was man ist Fingerabdruck: untauglich http://istouchidhackedyet.com/ (IPhone Hack) Und, Trommelwirbel:
Schäubles Abdruck http://www.ccc.de/updates/2008/schaubles-finger
Basics: Closed Source Das Auto mit zugeschweißter Motorhaube Jemand mit Einfluss kann heimlich...dinge... einbauen Passierte sogar bei Microsoft (Skype) Closed Source ist zu meiden!
Basics: Open Source Baupläne mitgeliefert (wie bei alten Fernsehern) Heimlich Schwachstellen einbauen ist schwierig Firefox, Thunderbird, OpenOffice, LibreOffice, Ubuntu Animiert zum mitmachen Open Source ist gut
Basics: Algorithmen - Die Mathematik ist sicher Algorithmus = Kochrezept für Computer Schichten eines Verschlüsselungsprogramms: Algorithmus (AES, DES) Protokoll (IPSEC, HTTPS) Implementierung (IE, Windows, Skype, WhatsApp) User und Institutionen (Google, Heim-PC) Algorithmen werden offen entwickelt und beschossen Open Source ist Pflicht!
Algorithmen altern Brute Force (Millionen von Jahren) Mathematik Tricks machen das irgendwann einfacher, halbieren die Zeit, Findet man genügend Tricks, ist ein bestimmter Algorithmus irgendwann knackbar Also: Schnell genug auf einen modernen Algorithmus wechseln. Das tut dann euer Verschlüsselungsprogramm nach einem Update für euch (alle 10 Jahre)
Schlechte Passwörter 123456 = 1666 (0.38%) password = 780 (0.18%) welcome = 436 (0.1%) ninja = 333 (0.08%) abc123 = 250 (0.06%) 123456789 = 222 (0.05%) 12345678 = 208 (0.05%) sunshine = 205 (0.05%) princess = 202 (0.05%) qwerty = 172 (0.04%)
Gute Passwörter
Warum Passwort? Schlüssel bei der Verschlüsselung werden mit Passwörtern gesichert Egal wie gut euer Programm ist, nehmt ihr ein schlechtes Passwort, überall dasselbe oder schreibt ihr es auf, war es das.
Angriff: Prism Zugriff bei den Anbietern Aufbereitete Daten Verschlüsselung zwischen User und Anbieter nutzlos Kollateralschaden: Vertrauensverlust in Firmen Klagen, Klagen, Klagen (wenn die Firmen Schmerzen spüren)
Angriff: Tempora Full Take Wirklich alle Daten Verschlüsselung macht Probleme (MITM?) Daten müssen aufbereitet werden Wirklich alle Daten Politischer Fallout möglich...
Dateien im Fokus USB Sticks und CDs gehen verloren Dateien werden über Mails und die Cloud getauscht Enthalten alles von Bauplänen bis Musik
Action: Dateien verschlüsseln - Truecrypt Alles oder nichts (entschlüsseln). Also hat UK gelogen Kann auf der Platte oder auf einem Stick angelegt werden Truecrypt gleich mit auf den Stick speichern
Basics: E-Mails Postkarten werden weitergegeben bis zum Ziel
Basics: De-Mail Und wo kann die NSA lesen? Anti Tempora Leider nicht Anti-Prism...von führenden Informatikern verdammt
Basics: Public Key Crypto Vorhängeschlösser verteilen Geheimer Schlüssel bleibt geheim
Basics: Ende zu Ende Anti- Tempora, Anti-Prism...verdammte Metadaten... Absender Ziel Zeit Betreff
Action: Thunderbird, Enigmail und GPG Alles Open Source für die E-Mail Eigentlich einfach Usability zwischen einfach und Optionen-für-Nerds Es nutzt kaum jemand weil es kaum jemand nutzt
Action: Chat, Pidgin und OTR Pidgin ist ein Chat für alle Protokolle (Facebook, Jabber, ICQ, IRC) Hat das OTR Plugin, das über alle Services Verschlüsselung schicken kann Ist Portabel (Stick)
Ende-zu-Ende vs. NSA Enden müssen angegriffen werden Virenscanner Updates Open Source OS Nicht in die UK/USA mit dem Rechner (Firewire) Angriffe gehen aber nicht vollautomatisch Angreifer läuft Gefahr, sich zu verraten
xkcd.com
Für Fortgeschrittene: TOR Umschläge in Umschlägen Dann keine Cookies und Facebook Selbst vor längerer Zeit mal genutzt, keine aktuellen Erfahrungen
Für Gründliche: Ubuntu Open Source Kostenlos Bringt gleich die ganze Software mit Kann parallel installiert werden Bald auch mit Spielen
Was noch übrig bleibt: Threema Schwer, was Gutes für Handys zu finden Kein Open Source Kostet Geld Konzept hört sich gut an Usability überzeugt Evtl. fehlen noch Features
Der geheime Masterplan Virale Verschlüsselung Wenn jemand eine Mail von jemandem erhält, der schon verschlüsselt, installiert ihm Thunderbird automatisch Enigmail Verschlüsselung wird dann ansteckend :-) Alle finden es toll. ABER: Erst muss die Enigmail Usability was taugen
Projektarbeiten Enigmail Open Source ist zum Mitmachen Enigmail benötigt Anleitung (Video?) und Usability Verbesserungen Es ist in Javascript und XUL (HTML ähnlich) programmiert Enigmail hat noch kein Logo Der Programmierer sitzt in der Schweiz und ist ein netter Kerl Macht sich gut im Lebenslauf
Fotografier mich Mail: Thunderbird + Enigmail http://www.mozilla.org/de/thunderbird/ Dateien: Truecrypt http://www.truecrypt.org/ Chat: Pidgin + OTR http://www.pidgin.im/ Handy Chat: Threema https://threema.ch/de/
Informationen https://netzpolitik.org/ http://blog.fefe.de/ http://logbuch-netzpolitik.de/ http://alternativlos.org/
Improvisation Ihr fragt, ich improvisiere