Beobachte mich nicht

Sicherer Surfen und Anoymisierungsprogramme

https://privatsphaere-leipzig.org/
@privacy_leipzig
@CryptoPartyLE

Dozenten: Xan H. | Tobias R.

Let's have a party!

  1. Einführung
  2. Ein Wort zur Vorsicht: Grenzen
  3. Verschlüsselte und Anonyme Netze: SSL/TLS, Tor und VPNs
  4. Sicherer Surfen: Add-Ons, Tools und Best Practices
  5. Tails
  6. Diskussion

Let's start a party!

Das Bündnis Privatsphäre Leipzig ist eine überparteiliche Bürgerinitiative mit dem Ziel, Überwachung, Rechtsstaatlichkeit und Demokratie in einem breiten öffentlichen Diskurs zu thematisieren.

Wir treffen uns jeden ersten, dritten und fünften Dienstag des Monats immer 19:00 Uhr im Sublab. (Öffentliches Plenum)

CryptoParty is a decentralized, global initiative to introduce the most basic cryptography programs and the fundamental concepts of their operation to the general public.

Weitere Projekte:

  1. Regionale und Überregionale Vernetzung
  2. CryptoCon (Kooperation)
  3. Lesungen
  4. überwachung - die lange Filmnacht
  5. Podiumsdiskussionen
  6. PaperStorms und Aktionen

CryptoParty Sommersemester 2015

  • 14. Januar 2015 - PGP und Passwörter
  • 11. Februar 2015 - Messenger & Chats
  • 11. März 2015 - Datei-/Festplattenverschlüsselung
  • 15. April 2015 - Sicherer Surfen und Anonymisierung
  • 07. bis 10.5.2015 - CryptoCon15 in Kooperation mit dem Sublab
  • 10. Juli 2015 - Alternative Soziale Netzwerke und Cloud-Systeme

CryptoCon 2015

  • 07. Mai - CitzenFour (cineding)
  • 08. Mai - überwachung - die lange Filmnacht (cineding)
  • 09. Mai - Podiumsdiskussion Recht auf Vergessen, Internet Gournace, Vorträge, Offener Workshop
  • 10. Mai - Jugend hackt, Lightning Talks

Digitale Selbstverteigung

Du musst dein Ändern leben?

  • Recht auf informationelle Selbtbestimmung trotz Kontrollverlust wahrnehmen können
  • Selbstveteigung gegen Massenüberwachung und Tracking
  • Technik nur eine Seite der Medallie: Grenzen von Technik und Verhaltensänderung
  • Digitalisierung und Kulturwandel
  • Welche Gesellschaft streben wir an? (Panoptikum, Banoptikum)

CryptoWars 2.0/3.0

Angriff der Nachrichtendienste

Was tun?

Handlungsspielräume jenseits von Technik und Verhaltensänderung

Grenzen von Verschlüsslung und IT-Sicherheitsystemen

Verschlüsselung funktioniert. Richtig implementierte, starke Crypto-Systeme sind eines der wenigen Dinge, auf die man sich verlassen kann.

Grenzen

  1. Sicherheitslücke (heartbleed, shell shock)
  2. Exploits (heartbleed, shell shock)
  3. Schadsoftware: Viren/Würfer/Trojaner
  4. Spionagesoftware: Keylogger, Rootkits, Bundestrojaner
  5. Computerforensik
  6. Sicherheit eines Betriebssystems (Updates, Zufallsgeneratoren, Backdoors)
  7. Hardware (Fehler, Backdoors, cold boot attack)
  8. Gesetzeslage: Patriot Act, CryptoWars

Grenzen

Grundregeln

  1. Update, Updates, Updates
  2. Backups, Backups, Backups
  3. Virenscanner (+/-)
  4. Unplugged: Sensible Daten auf System ohne Netzzugang aufbewahren

Bedrohungsmodelle

Threat models

Verschlüsselte und Anonyme Netze

  1. Sicher Surfen? Phishing, Tracking & Co.
  2. Sicherheit auf wackkligen Beinen? - HTTPS (SSL/TLS)
  3. Anonymer Surfen: Tor (Onion Routing)
  4. Anonymer Surfen: Virtual Private Networks (VPN)

Mein digitaler Schatten

Trace My Shadow

What is a Digital Shadow from Tactical Technology Collective on Vimeo.

HTTP

Was beim Surfen passiert (I)

HTTP

Was beim Surfen passiert (II)

Web Tracking I

Web Analytics

  • Ziel: Quantitative Datenerfassung
  • Erwartung: Rückschlüsse auf Werbeerfolge ziehen können
  • Seiteneffekte
    • Nutzer wird über eine längere Zeit identifizierbar
    • Profilbildung und Analyse über mehrere Profile
    • Relationen, Vernetzung, Big Data
  • Anzahl der erfassten Daten vom genutzen Dienst abhänig

Web Tracking II

Web Analytics

Web Tracking III

Web Analytics

Technische Umsetzung:

  • Seitenabrufe (werden auf dem WebServer gesammelt)
  • Like-Buttons, Tracker JavaScript
  • HTTP Cookies
  • Flash Cookie (LSO, Super Cookies)
  • Verizon's Perma-Cookie (X-UIDH, HTTP Header Injection)
  • Browserfingerprint

Trackography

Visualisierung des Trackings von Onlinemedien

You never read alone. Use this tool to explore how the global tracking industry is reading your online behavior.

Do not track

Gegenmaßnnahmen gegen Cookies

  • Intitative Do not track: Opt-Out-Verfahren
  • Gegenmaßname gegen Cookies:
    • Cookies deaktivieren (häufig keine Option)
    • Browser Addons
  • Gegenmaßname gegen Perma-Cookies (X-UIDH):
    • ISP wechseln, wenn möglich oder Opt-Out (bei Verizon möglich)
    • nur verschlüsselte Verbindungen (SSL/TLS) über VPN, Tor nutzen

Browser Fingerprints

Gefahren (I)

  • Passwortdiebstahl und Identitätsdiebstahl: Ein Passwort pro Dienst verwenden (→ CyptoParty zu Passwörtern)
  • Einbruch in Anbieter-Datenbanken (Zugänge, Bankdaten, Kreditkarteninformationen)
  • Viren und Würmer
  • Trojaner
  • Phishing (Online-Banking)
  • Personenüberwachung: Bundestrojaner, FinFisher

Gefahren (II)

Roche und Böhmermann - Ratgeber Internet (erklärt von William Cohn)

HTTPS (SSL/TLS)

  • HTTPS: Stadardverschlüsselung beim Abruf von Websiten
  • SSL/TLS schützten die Übermittlung der Daten (Transportschicht)
  • Komplexes Protokoll, mit zwei Hauptzielen:
    • Verschlüsslung (Daten vor anderen verbergen)
    • Identifiaktion (Können sich zwei Kommunikationsparnter vertrauen?)
  • Zertifikate auf Anbieterseite (Website, WebServer) notwendig (Vertrauensdilemma)

SSL/TLS Protokoll (I)

  1. Handshake: Server und Client (Browser) vereinbarern Art der Verschlüsselung? (Wie wollen wir miteinander unterhalten?)
  2. Server schickt ein Zertifikat und einen Schlüssel
  3. Client: Beginne zu verschlüsseln
  4. Server: Beginne zu verschlüsseln
  5. SSL/TLS-Verschlüsselung etabliert

SSL/TLS Protokoll (II)

SSL/TLS Protokoll (III)

How SSL works tutorial - with HTTPS example

Broken Wing

SSL/TLS & Sicherheit (I)

Broken Wing

SSL/TLS & Sicherheit (II)

Broken Wing

SSL/TLS & Sicherheit (III)

Das Problem mit den Root Zertifikaten

Fallbeispiel: Online-Banking

SSL/TLS-Zertifikate in der Praxis

Tor

Was ist Tor (I)

  • Anonymisierungs-/Pseudonomisierungsnetzwerk: Darkweb
  • wird von einem Netz von Freiwilligen betrieben

Tor

Was ist Tor (II)

  • Entwicklung in der Vergangenheit stark durch US-Staatsmittel gefördert → Spenden und privates Engagement
  • wird von Aktivst*Innen, Behörden und anderen Netznutzern gleichermaßen verwendet
  • Schattenseite: Silkroad, Silkroad 2.0, Silkroad 3.0

Onion-Routing

Wie Tor funktioniert (I)

Quelle: Are Your Details Secure? In: What the revelations mean for you. www.theguardian.com/

Onion-Routing

Wie Tor funktioniert (II)

Onion-Routing

Wie Tor funktioniert (III)

Onion-Routing

Wie Tor funktioniert (IV)

Exkurs: Hidden-Services

Weitere Infos: Tor. Hidden Service Protocol

Tor Browser-Bundle

Orbot

Tor auf dem Smartphone

Nutzung des Tor-Browser-Bundels

  • Vorteile
    • keine Konfiguration notwendig
    • sichere Verbindung zum Tor Netz
    • Update-Benachrichtigung
  • Nachteile
    • Angriffsziel
    • keine Add-Ons installieren

Tor als Proxy

(z. B. mit Vidalia)

  • Vorteile
    • mehrere Anwendungen über Tor nutzbar (Mails abrufen, Chatten, etc.)
  • Nachteile
    • Konfigurationsaufwand
    • manuelles Updaten
    • hohe Systemsicherheit sinnvoll

Tornutzung (I)

Browser und Surfverhalten

  • Keine Streaming-Dienste verwenden (Tor ohnehin zu ›langsam‹)
  • Verzicht auf JavaScript, Flash, Silverlight, Java
  • Verzicht auf Cookies
  • Walled Gardens meiden → Alternativen
  • Kein Bit-Torrent verwenden

Tornutzung (III)

Symstemvorraussetzungen

  • Möglichst auf Windows verzichten
  • Entsprechend gut, konfiguriertes Linux oder Tails bzw. Whonix verwenden
  • Festplattenvollverschlüsslung (bei Nicht-Live-System)
  • regelmäßige Updates
  • Laptop verweden (Gerät stets mitführen)
  • Google / Bing nicht als Suchmaschine verwenden

Tornutzung

Lokalitäten

  • Tor nicht von Zuhause aus anwenden, es sie denn:
    • man betreibt einen Relay, Exitnode oder eine Bridge
    • der gesammte Netzverkehr wird durch Tor geleitet
  • Einwahlorte wechseln (Starbucks, Freifunk-Netze, etc.)

Tornutzung

Geisteshaltung (Mindset)

  • Pseudonymität: Nutzungsorientierte virtuelle Identitäten erschaffen
  • Neue Nutzerkonten für die virtuelle Identität verweden. Pseudonitäten nicht vermischen
  • Extra/Eigene Pseudonyme Identitäten (Nuzterkonten) für die Tor-Nutzung anlengen

Tornutzung

Mobilität

  • Eigenes Smartphone mit Pre-Paid-Karte nutzen
  • Akku entfernen und erst bei Nutzung einlegen/aktivieren
  • Tor-Phone nicht in der Nähe des eigenen Zuhause nutzen (Faustregel: min. 16km entfernt)

Tornutzung

Fazit

VPN

Personal Virtual Private Network (VPN)

VPN

Personal Virtual Network

  • Verschlüsselte Verbindung zwischen VPN-Anbeiter und VPN-Nuzter
  • außerhalb keine Relation zum Nutzer herstellbar (→ Tor-Exit-Node)
  • hoher Datendurchsatz: Streaming möglich
  • Zentrale Dienste und Social-Media-Anbeiter weiterhin ein Problem (Walled Gardens)
  • Kosten: ab ca. 10 € im Monat

Auswahlkriterien

Wie wähle ich einen Personal-VPN-Provider aus? (I)

Protokoll Empfehlung
IKEv2 (IPSec) ? (? min. AES 256 verwenden!)
OpenVPN ✔ (? min. AES 256 verwenden!)
L2TPv3 ? (nur mit IPsec)
propritäres SSL-VPN
PPTP
SSTP ✘ (SSL 3.0)
MS-CHAPv2 ✘ (Authentifizierungsprofokoll, bitte vermeiden)

Auswahlkriterien

Wie wähle ich einen VPN-Provider aus? (II)

  • Wie vertrauenswürdig ist der Anbieter?
  • In welchen Land/Staat ist der Anbieter ansässig?
  • Wie transparent ist der Anbieter? Werden Zugriffe protokolliert? (Logs)
  • Welche Zahlungsmöglichkeiten habe? z. B. ›anonyme‹(bitcoin, UKESH)
  • EFF: Choosing the VPN That's Right for You

Auswahlkriterien

Wirklich besser als Tor? (III)

Personal VPNs

Fazit

  • Vertrauen/Privatsphäre als Ware (kapitalisiert)
  • CryptoWars: NSA bereibt hohen Aufwand um in VPN-Netze einzubrechen
  • Kompromiss: Anonymität vs. Nutzbarkeit
  • immer mit HTTP (SSL/TLS) nutzen (vgl. Tor): Perfect Forward Secrecy
  • RiseUp VPN (für Aktivisten) → Standort: USA?
  • VPN Vergleich (ARD Ratgeber Internet)
  • OpenVPN Client UI:

Sicherer Surfen

Add-Ons, Tools und Best Practices

Internetnutzung

  • Datensparsamkeit
  • nur in Ausnahmen echte Daten nutzen
  • falsche Mail-Adressen nutzen
  • Weg-Werf-Mail-Adressen
  • verschiedene Dienste: verschiedene Identitäten
  • Pre-Payed SIM
  • keine Chronik (Privater Modus)
  • never trust anyone

before:use

  • Nutzt Firefox!
  • viele der vorgestellten Add-Ons nur unter Firefox verfügbar!

Alternative Suchmaschinen

Jenseits von Google

RC4 deaktivieren

  • veralteter Verschlüsselungsstandard der immer noch akzeptiert wird, von dessen Nutzung jedoch Abgeraten wird
  • how to do
    • In Adressezeile Firefox "about:config" eingeben und versprechen vorsichtig zu sein
    • In Suchfeld "rc4" eingeben
    • Alle 4 Einträge auf "false" setzen

SSL und TLS

  • SSL bis 1999 Verschlüsselungsstandard für Verbindungen
  • 1999 umbenennung in TLS
  • unterschiedliche Versionsbezeichnungen: TLS 1.0 = SSL 3.1
  • Oktober 2014: Poodle Lücke → SSL 3. gebrochen
  • Firefox + Chrome wollen SSL 3.0 mit nächster Version deaktivieren
  • Lücke jetzt beheben
  • Firefox
    • about:config
    • security.tls.version.min“ auf „1“ stellen

NoScript

  • Blockiert Ausführbare Inhalte (Skripte)
    • JavaScript, Java, Silverlight, Flash etc.
  • Vorteil: Skripte oft Sicherheitsrisiko
  • Problem: Beeinflussung von Aussehen und Funktionalität
  • Funktionen
    • Whitelists: von ganzen Seiten oder von einzelnen (Fremd-)Skripten auf Seiten
    • temporäres whitelisten
    • Skripte immer erlauben

RequestPolicy

  • Blockiert Cross-Site-Requests
  • Vorteil: Verbindung nur zur Angeforderten Website
  • Beeinflusst Aussehen der Websites
  • Funktionen
    • Whitelists: von ganzen Seiten oder von einzelnen Requests auf Seiten
    • temporäres whitelisten
    • Requestes immer erlauben (nur temporär)

Self Destructing Cookies

  • Zerstört Cookies nach einer bestimmten Zeit
  • Vorteil: unpersonalisierte Websites
  • Nachteil: Cookies teilweise gewünscht
  • Funktionen
    • Whitelist
    • verschiedene Einstellungen

BleachBit

  • freier Systemcleaner für Windows & Linux
  • löscht
    • Browserdaten
      • Verläufe und Cookies
      • gespeicherte Passwörter und Autocomplete Einträge
    • Temporäre Dateien und zuletzt genutzte Dokumente
    • Papierkorb und Kommandozeilenverlauf
  • Tipp: man will nicht immer alles löschen → überprüfen der Ausgewählten Einträge

BetterPrivacy

  • löscht unlöschbare Langzeitzeit-Cookies (Local Shared Objects → LSO, Flash Cookies)
  • durch normale Cookielöscher nicht gelöscht → andere Verzeichnisse
  • löschen bei schließen des Browsers

Disconnect oder Ghostery

  • Blockiert Trancking-Dienste auf Webseiten
  • Ghostery
    • bei Aktivierung von GhostRank werden Nutzerdaten (zur Werbeanalyse) übermittelt
    • viel Übersichtlicher und besser Aufgebaut
    • subjektiver Eindruck: findet mehr Tracker
  • Disconnect
    • Open Source
    • keine Übermittlung von Daten
    • wirkt seriöser

Adblock Edge

  • Blockiert Werbung auf Grundlage von Filterlisten
  • Fork Adblock Plus, da dies zahlende Werbekunden nicht filtert
  • anlegen von Whitelists möglich

CertificatePatrol

  • Überwacht SSL/TLS-Zertifikate
  • Ziel: Verhinderung von Man-in-the-Middle Angriffen
  • Informiert über Änderungen des Zertifikates
  • Live-System
  • startbar von DVD oder USB-Stick
  • basiert auf Debian
  • kommt mit so gut wie allen Programmen die man zum Leben braucht
  • nutzt von Haus aus das TOR-Netzwerk für Internetzugang

Warum TAILS nutzen?

  • sehr einfache Anonymisierung des ganzen Internetverkehrs
  • nutzbar auf Fremdrechner
  • Persistant-Mode nur auf USB (verschlüsselter Langzeitspeicher)
  • hinterlassen von keinen Spuren

How to do?

  1. Download
  2. GPG-Signatur prüfen
  3. auf DVD/USB-Stick/SD-Karte brennen (Beachtet das nicht alle Rechner von USB und SD booten können)
  4. für Nutzung des Persistant-Mode notwendig nochmal auf USB-Stick zu brennen (von laufendem TAILS)

Bruce Schneier

Is it possible to be safe online?

Playlist: Is it possible to be safe online?

Vielen Dank für ihre Aufmerksamkeit!