Hallo zusammen,
bitte entschuldigt, dass ich so schleppend reagiere, aber bis heute Vormittag war nicht einmal klar, ob ich am Freitag überhaupt frei bekomme, und zu allem Überfluss lief auch noch mit dem Abonnieren der Mailingliste etwas schief. Ich bitte nochmals um Entschuldigung. OK, dann eben etwas komprimiert:
Zum mir vorliegenden Programm:
17:30 - 18:15 Begrüßung
18:30 - 19:30 Einführung
20:00 - 21:00 Vortragsblock 1
21:30 - 22:30 Vortragsblock 2
Zuerst wird es das übliche Vorgeplänkel einer Begrüßung geben, zusammen
mit Informationen, wer oder was Entropia, CCC, GPN, Cryptoparty usw.
überhaupt sind. Eventuell wird hier auch auch der Vorstand des ZKMs,
Peter Weibel, sprechen. Wir rechnen mit 30-45 Minuten
Die Einführung ist zweigeteilt: Zuerst gibt es einen Vortrag, in dem die
Grundlagen dargelegt werden sollen: Warum überhaupt, wie ist die
Situation, und, eine sehr schöne Idee, "Liste von Geheimdiensten von USA
und Deutschland auf Wikipedia kurz durchscrollen". Für diesen Vortrag
würde ich 20-30 Minuten ansetzen.
Im Rest der Einführung werden die einzelnen Themen vorgestellt
(Auflistung weiter unten): Zu jedem Thema soll in einem kleinen "Hack"
das Problem verdeutlicht werden, am liebsten kurz, knackig und
realitätsnah (ohne, dass der Verdacht aufkommt, man habe das ja
absichtlich viel unsicherer gemacht als in Wirklichkeit). Weiterer
Bonuspunkt, wenn die Besucher diese Demos auch zu Hause nachbauen können.
Dafür bauen wir ein kleines Demonetzwerk auf:
"das Internet" "mein böser ISP" "bei mir zu Hause"
(Netzwerkanschluss <---> (ein Switch mit <---> (ein Rechner, dazu
im Vortragssaal) Mirror-Port) Router mit WLAN-AP)
In den beiden eigentlichen Vortragsblöcken werden dann jeweils
Lösungsansätze zu den in der Einführung gezeigten Problemen gezeigt.
Hier haben wir mit 2-3 Themen pro 60-Minuten-Block gerechnet, die
Vortragszeit sollte also bei 15-20 Minuten liegen.
In den Pausen wollen wir Trolle abstellen, die den Besuchern Fragen
beantworten können, die während der Vorträge aufkamen.
Zu den Themen: Wir haben im Entropia schon eine Liste zusammengestellt,
sind aber natürlich für weitere Vorschläge offen.
0. Windows XP
Problem: Finger davon! Wirklich!
Hack: Abwarten, ob noch was kommt?
(dazu ist bisher kein Vortrag vorgesehen. Hat jemand eine Idee, worüber
man sprechen könnte?)
---------------
Zu diesem Thema hatte ich im April einen Vortrag gehalten, in dem ich die Idee der c't, die Architektur von XP mit einer Burg zu vergleichen, aufgegriffen und etwas erläutert hatte. Ich könnte also dazu etwas erzählen. Laienkompatibel ist das allemal.l
---------------
1. Festplattenkrypto
Problem: Das Betriebssystempasswort ist wertlos für den Schutz der Daten
Hack: Einfach mal die Festplatte in einen anderen Rechner einbauen und
alles lesen können.
Lösung: Festplatte verschlüsseln (an dieser Stelle kommt uns die
plötzliche Implosion von TrueCrypt äußerst ungelegen...)
---------------
Das habe ich bei meiner letzten Cryptoparty ebenfalls aufgegriffen. Ich vertrete kurz gesagt den Ansatz, dass sich an der Sicherheit von Truecrypt nichts geändert hat und somit die gleichen Chancen und Risiken weiterhin gelten. Wenn man sich darüber im Klaren ist, kann man meiner Ansicht nach das Programm weiter einsetzen.
---------------
2. E-Mail-Sicherheit
Problem 1: E-Mails kann jeder mitlesen
Hack: Wireshark beim "bösen ISP"
Problem 2: Absender lässt sich fälschen
Hack: Einem Besucher eine Mail von Angela Merkel o.Ä. schicken
Lösung: PGP
---------------
Früher hatte ich zur Demonstration einen SMTP-Dialog mit einem schlampig konfigurierten Mailprovider durchgeführt. Hat jemand von Euch so einen zur Hand? Ich könnte zur Not vom Mailgateway unserer Firma so eine Mail losschicken (was insofern keine echte Sicherheitslücke darstellt, als längst nicht jeder auf dieses Gateway Zugriff hat und die Zugriffe geloggt werden), bräuchte dafür aber VPN-Zugang auf unsere Infrastruktur. Sollte meiner Einschätzung nach kein großes Problem darstellen.
Wenn jemand von Euch noch Zugriff auf einen Mailserver hat, der unverschlüsselten Transfer zulässt, könnten wir dort einen POP3- oder SMTP-Dialog mitschneiden. Danach könnte man zeigen, wie es aussieht, wenn man die Mail verschlüsselt und wie Transportverschlüsselung schützt. Wir sollten aber darauf hinweisen, dass Transportverschlüsselung eben nur die Übertragung sichert, nicht jedoch die Mail an sich. Alternativ können wir uns einen Mailheader einer verschlüsselten Mail ansehen, um festzustellen, dass die Metadaten auch noch viel zu viele Informationen enthalten. Ich habe hierzu auch einen Stapel Folien.
---------------
3. Browser-Sicherheit
Problem: HTTP kann jeder mitlesen
Hack: Wireshark
Lösung: HTTPS benutzen. Gerne auch mit einem Teil über das CA-System.
---------------
Da könnte man zur Not mit Wireshark mitlesen. Es gab mal für ganz Faule ein schönes Tool, das die angesurften Seiten des belauschten Zugangs sogar grafisch dargestellt hat. Erinnert sich jemand an den Namen?
---------------
4. WLAN-Tracking
Problem 1: Was ein Gerät in einem WLAN über sich verrät
Hack: Smartphone mit AP verbinden, Wireshark ("Schon wieder dieses böse
Hackertool!" - "Ach übrigens, können Sie hier runterladen")
Problem 2: Was ein Gerät über WLANs verrät die es kennt
Hack: Das gleiche
Lösung: ?
(von Mobile-Zeugs hab ich leider quasi keine Ahnung, deswegen bin ich
mir nicht mehr 100% sicher, was unsere Notizen bedeuten sollen...)
5. Mobile Datenschutz
Probleme: Location Tracking, Ständige Spracherkennung, schlechte
Passwortmanager, Daten in der Cloud...
Hack: ?
Lösung: ?
---------------
Zum Passwortraten könnte man John auf ein vorbereitetes Hashfile loslassen.
---------------
6. Mobile Security
Problem 1: Fettflecken auf dem Touchscreen verraten die PIN/das
Entsperrmuster
Hack: Smartphone aus dem Publikum entsperren (TODO: wie viele Leute muss
man fragen, bis man ein brauchbares findet?)
Problem 2: Authentifikation mit Fingerabdruck
Hack: Finger nachbauen (zu viel Vorbereitung nötig?)
weitere Probleme: GSM ist unsicher, alte Androids sind unsicher (findet
man da einfache Exploits?)
Lösung: ?
---------------
Für den Fingerabdruckhack braucht man meiner Erfahrung nach etwas mehr Zeit als uns hier vorschwebt
---------------
7. WhatsApp sniffen
Problem: Die Verschlüsselung von WhatsApp ist schlecht bis nicht vorhanden
Hack: Es gibt da wohl ein fertiges Sniffing-Tool
Lösung: TextSecure? (ist das cool?)
---------------
TextSecure und Threema haben beide ihre Vor- und Nachteile. Uneingeschränkt empfehlen kann ich keins, aber besser als Whatsapp sollten sie allemal sein.
---------------
weitere mögliche Themen:
- Cold Boot (kriegt man das vorgeführt?)
- Lockpicking
---------------
Cold Boot geht leider deutlich über mein Können hinaus. Lockpicking kann ich zwar etwas, aber da sind diverse Leute um Längen besser als ich.
Was ich noch vorstellen kann:
- Tails als Rundum-sorglos-System mit Fehlern (Fingerabdrucküberprüfung funktioniert unter 1.0 nicht sauber, Schlüssel werden nur mit 1024 Bit erzeugt)
- Tor Browser Bundle (Ich habe hierfür auch einen Stapel Folien) und seine Schwächen (Browser-Fingerprinting, keine automatische Aktualisierung)
- Was ist ein gutes Passwort? (Kurzfassung: Es gibt keine eindeutige Antwort)
---------------
Viele Grüße
Jochim
Huhu,
ich arbeite gerade an meinen Folien, warte noch auf meine Freundin und
werde dann gegen 23:23 auf die GPN kommen. Können wir uns dann
vielleicht wegen morgen noch mal in Ruhe zusammensetzen?
Mit Blick auf den aktuellen Foliensatz sehe ich noch nicht, wie wir das
Programm morgen Abend füllen wollen... ich hoffe, da liegt noch was im
Verborgenen. ;)
Viele Grüße und bis später
Flo
Moin,
ich habe gerade mit Obelix gesprochen. An den Beamer/die Information wie
groß die Auflösung ist kommen wir nicht ohne Techniker ran. Ein
Techniker ist heute ab 18 Uhr in den anderen Vortragsräumen anwesend.
Den können wir dann fragen. Sonst erst morgen ab Beginn des
Vortragsprogramms.
Gruß
Jan
Hallo,
momentan sieht unsere Einteilung für die Cryptoparty folgendermaßen aus:
Moderation: Andi (oder will jemand anders gerne?)
Einführung: Martin (machst du das auch ohne Boris)
Windows XP: -
Festplattenverschlüsselung: -
HTTPS: -
E-Mail-Sicherheit: Florian
WLAN-Tracking: -
Mobile Datenschutz: -
Mobile Security: -
WhatsApp: Lukas
Weiterhin haben wir mit goldfisch aus heiterem Himmel einen neuen
Mitstreiter bekommen, müssen aber auf Boris leider verzichten.
viele Grüße,
Andi
Hallo,
vielen Dank, dass ihr bei der Cryptoparty auf der GPN14 helfen möchtet.
In dieser Mail will ich versuchen, unser Konzept zu erklären.
Zweck der Veranstaltung ist es, "normalen" Leuten etwas über
IT-Sicherheit (insbesondere Verschlüsselung) zu erklären. Wir haben
dafür 4 Blöcke am Freitag Abend der GPN14 zur Verfügung:
17:30 - 18:15 Begrüßung
18:30 - 19:30 Einführung
20:00 - 21:00 Vortragsblock 1
21:30 - 22:30 Vortragsblock 2
Zuerst wird es das übliche Vorgeplänkel einer Begrüßung geben, zusammen
mit Informationen, wer oder was Entropia, CCC, GPN, Cryptoparty usw.
überhaupt sind. Eventuell wird hier auch auch der Vorstand des ZKMs,
Peter Weibel, sprechen. Man sagt ihm nach, ein ausdauernder Redner zu
sein, also gehen dafür wahrscheinlich schon mal 30-45 Minuten drauf.
Die Einführung ist zweigeteilt: Zuerst gibt es einen Vortrag, in dem die
Grundlagen dargelegt werden sollen: Warum überhaupt, wie ist die
Situation, und, eine sehr schöne Idee, "Liste von Geheimdiensten von USA
und Deutschland auf Wikipedia kurz durchscrollen". Für diesen Vortrag
würde ich 20-30 Minuten ansetzen.
Im Rest der Einführung werden die einzelnen Themen vorgestellt
(Auflistung weiter unten): Zu jedem Thema soll in einem kleinen "Hack"
das Problem verdeutlicht werden, am liebsten kurz, knackig und
realitätsnah (ohne, dass der Verdacht aufkommt, man habe das ja
absichtlich viel unsicherer gemacht als in Wirklichkeit). Weiterer
Bonuspunkt, wenn die Besucher diese Demos auch zu Hause nachbauen können.
Dafür bauen wir ein kleines Demonetzwerk auf:
"das Internet" "mein böser ISP" "bei mir zu Hause"
(Netzwerkanschluss <---> (ein Switch mit <---> (ein Rechner, dazu
im Vortragssaal) Mirror-Port) Router mit WLAN-AP)
In den beiden eigentlichen Vortragsblöcken werden dann jeweils
Lösungsansätze zu den in der Einführung gezeigten Problemen gezeigt.
Hier haben wir mit 2-3 Themen pro 60-Minuten-Block gerechnet, die
Vortragszeit sollte also bei 15-20 Minuten liegen.
In den Pausen wollen wir Trolle abstellen, die den Besuchern Fragen
beantworten können, die während der Vorträge aufkamen.
Zu den Themen: Wir haben im Entropia schon eine Liste zusammengestellt,
sind aber natürlich für weitere Vorschläge offen.
0. Windows XP
Problem: Finger davon! Wirklich!
Hack: Abwarten, ob noch was kommt?
(dazu ist bisher kein Vortrag vorgesehen. Hat jemand eine Idee, worüber
man sprechen könnte?)
1. Festplattenkrypto
Problem: Das Betriebssystempasswort ist wertlos für den Schutz der Daten
Hack: Einfach mal die Festplatte in einen anderen Rechner einbauen und
alles lesen können.
Lösung: Festplatte verschlüsseln (an dieser Stelle kommt uns die
plötzliche Implosion von TrueCrypt äußerst ungelegen...)
2. E-Mail-Sicherheit
Problem 1: E-Mails kann jeder mitlesen
Hack: Wireshark beim "bösen ISP"
Problem 2: Absender lässt sich fälschen
Hack: Einem Besucher eine Mail von Angela Merkel o.Ä. schicken
Lösung: PGP
3. Browser-Sicherheit
Problem: HTTP kann jeder mitlesen
Hack: Wireshark
Lösung: HTTPS benutzen. Gerne auch mit einem Teil über das CA-System.
4. WLAN-Tracking
Problem 1: Was ein Gerät in einem WLAN über sich verrät
Hack: Smartphone mit AP verbinden, Wireshark ("Schon wieder dieses böse
Hackertool!" - "Ach übrigens, können Sie hier runterladen")
Problem 2: Was ein Gerät über WLANs verrät die es kennt
Hack: Das gleiche
Lösung: ?
(von Mobile-Zeugs hab ich leider quasi keine Ahnung, deswegen bin ich
mir nicht mehr 100% sicher, was unsere Notizen bedeuten sollen...)
5. Mobile Datenschutz
Probleme: Location Tracking, Ständige Spracherkennung, schlechte
Passwortmanager, Daten in der Cloud...
Hack: ?
Lösung: ?
6. Mobile Security
Problem 1: Fettflecken auf dem Touchscreen verraten die PIN/das
Entsperrmuster
Hack: Smartphone aus dem Publikum entsperren (TODO: wie viele Leute muss
man fragen, bis man ein brauchbares findet?)
Problem 2: Authentifikation mit Fingerabdruck
Hack: Finger nachbauen (zu viel Vorbereitung nötig?)
weitere Probleme: GSM ist unsicher, alte Androids sind unsicher (findet
man da einfache Exploits?)
Lösung: ?
7. WhatsApp sniffen
Problem: Die Verschlüsselung von WhatsApp ist schlecht bis nicht vorhanden
Hack: Es gibt da wohl ein fertiges Sniffing-Tool
Lösung: TextSecure? (ist das cool?)
weitere mögliche Themen:
- Cold Boot (kriegt man das vorgeführt?)
- Lockpicking
Damit eröffne ich nun das Hauen und Stechen um die Themenvergabe. Wie
gesagt: Eure eigenen Vorschläge sind uns ebenso willkommen.
nochmals vielen Dank und viele Grüße,
Andi