https://privatsphaere-leipzig.org/ @privacy_leipzig @CryptoPartyLE
Dozenten: Rainer R. | Tobias R.
Das Bündnis Privatsphäre Leipzig e. V. ist eine überparteiliche Bürgerinitiative mit dem Ziel, Überwachung, Rechtsstaatlichkeit und Demokratie in einem breiten öffentlichen Diskurs zu thematisieren.
Wir treffen jeden ersten, dritten und fünften Dienstag des Monats immer 19:00 Uhr aktuell in der Ganzen Bäckerei. (Öffentliches Plenum)
CryptoParty is a decentralized, global initiative to introduce the most basic cryptography programs and the fundamental concepts of their operation to the general public.
Wir verstehen Cyptoparties als Vermittlung von Wissen zur „Digitale Selbstverteidigung“.
»Wenn wir nichts Falsches tun, dann haben wir das Recht, alles in unserer Macht Stehende zu unternehmen, um das traditionelle Gleichgewicht zwischen uns und der lauschenden Macht aufrechtzuerhalten.«
„Darunter sind gewusste und gewollte Praktiken zu verstehen, mit denen die Menschen nicht nur die Regeln ihres Verhaltens festlegen, sondern sich selber zu transformieren, sich in ihrem besonderen Sein zu modifizieren und aus ihrem Leben ein Werk zu machen suchen, das gewisse ästhetische Werte trägt und gewissen Stilkriterien entspricht.“
Habe Mut, dich deines eigenen Verstandes zu bedienen!
Beantwortung der Frage: Was ist Aufklärung?
→ Selbstbestimmung erfordert Wissen und Erfahrung.
Risiko: Überforderung des Individuums
»Der Dataismus tritt mit der Emphase einer zweiten Aufklärung auf. […] Der Imperativ der zweiten Aufklärung lautet: Alles muss Daten und Information werden.[…] Der Dataismus führt zu einem digitalen Totalitarismus.Notwendig ist daher eine dritte Aufklärung, die uns darüber aufklärt, daß die digitale Aufklärung in Knechtschaft umschlägt.«
Prinzip | Praxisformen |
---|---|
Überwachung vermeiden | Selbstdatenschutz |
Überwachung blockieren | Selbstdatenschutz, Transportverschlüsselung, Ende-zu-Ende-Verschlüsselung |
Überwachung verfälschen | Verschleierung, Transportverschlüsselung, Ende-zu-Ende-Verschlüsselung |
»Von Überwachungskapitalisten zu verlangen, sie sollten die Privatsphäre achten oder der kommerziellen Überwachung im Internet ein Ende setzen, wäre so, als hätte man Henry Ford dazu aufgefordert, jedes T-Modell von Hand zu fertigen.«
»Wenn Big Data Zugang zum unbewussten Reich unserer Handlungen und Neigungen böte, so wäre eine Psychopolitik denkbar, die tief in unsere Psyche eingreifen und sie ausbeuten würde.«
Wendet sich gegen Massenüberwachung
Verschlüsselung funktioniert. Richtig implementierte, starke Crypto-Systeme sind eines der wenigen Dinge, auf die man sich verlassen kann.
Bedrohungsmodelle:
Risiken | Gegenmaßnahmen (Empfehlung) |
---|---|
Personenüberwachung | ✘ | Passwortdiebstahl und Identitätsdiebstahl | Ein Passwort pro Dienst verwenden
(→ CyptoParty zu Passwörtern) |
Einbruch in Anbieter-Datenbanken
(Zugänge, Bankdaten, Kreditkarteninformationen) |
✘ |
Risiken | Gegenmaßnahmen (Empfehlung) |
---|---|
Viren | neue Dateien direkt scannen, Virenscanner (bedingt) |
Würmer | keine unbekannten E-Mail-Anhänge öffnen, Virenscanner (bedingt) |
Trojaner (z. B. Ransomware, Keylogger, Videoüberwachung) | Backups; Kamera abkleben; Virenscanner (bedingt) |
What is a Digital Shadow from Tactical Technology Collective on Vimeo.
Technische Umsetzung:
You never read alone. Use this tool to explore how the global tracking industry is reading your online behavior.
»A Data Broker is a business that aggregates information from a variety of sources; processes it to enrich, cleanse or analyze it; and licenses it to other organizations.[…] Data is typically accessed via an application programming interface (API), and frequently involves subscription type contracts. Data typically is not “sold” (i.e., its ownership transferred), but rather it is licensed for particular or limited uses.«
“Mit Differential Privacy lassen sich Muster aus großen Datenmengen gewinnen, ohne dabei Rückschlüsse auf einzelne Individuen zu ziehen zu können.”
Verwundbarkeit | Attacke |
---|---|
TLS 1.2 | SLOTH |
TLS 1.0 (RC4) | Beast |
SSL 3.0 | POODLE |
SSL 2.0 | DROWN |
Verwundbarkeit | Attacke |
---|---|
RSA-Export-Keys | FREAK |
Downgrading-Attacken | Logjam, SSL-Strip |
Kompression | CRIME and BREACH attacks |
Cache-Timining-Attacke/Implementierung | CREAM, Heartbleet |
Das Problem mit den Root Zertifikaten
Risiko | Gegenmaßnahmen |
---|---|
Cookies, Fingerprinting, Behavioral-Profiling | begrenzt: Browser-Einstellungen, vertrauenswürdige Browser-Erweiterungen (Plugins/Extensions) |
Ultrasound-Cross-Device-Tracking (uXDT) | ? |
Evercookies | ? |
SSL-Verwundbarkeiten (Client) | aktuellste Browser verwenden, Betriebssystem aktualisieren |
SSL-Verwundbarkeiten (Anbieter/Server) | auf HSTS-Wert legen, Seiten mit veralteter Verschlüsselung nicht vertrauen |
Risikopotentiale | Gegenmaßnahmen |
---|---|
Profilbildung, Surfhistorie bei Brokern |
|
Phishing | Selbstdatenschutz (→ never trust anyone), Echtheit von SSL/TLS-Zertifikaten prüfen |
Identitätsdiebstahl | Transportverschlüsselung (SSL/TLS), sichere Passwörter, Selbstdatenschutz (→ never trust anyone) |
Quelle: Are Your Details Secure? In: What the revelations mean for you. www.theguardian.com/
Weitere Infos: Tor. Hidden Service Protocol
Protokoll | Empfehlung |
---|---|
IKEv2 (IPSec) | ? (? min. AES 256 verwenden!) |
OpenVPN | ✔ (? min. AES 256 verwenden!) |
L2TPv3 | ? (nur mit IPsec) |
propritäres SSL-VPN | ✘ |
PPTP | ✘ |
SSTP | ✘ (SSL 3.0) |
MS-CHAPv2 | ✘ (Authentifizierungsprotokoll, bitte vermeiden) |
VPNs are good, but their weakness is the single point of failure: hack or subpoena that one point to see everything. https://t.co/iUxkbJsoK2
— Edward Snowden (@Snowden) 30. Dezember 2015
Achtung: Nicht alle Rechner können von jedem Medium booten!