Hallo,
vielen Dank, dass ihr bei der Cryptoparty auf der GPN14 helfen möchtet. In dieser Mail will ich versuchen, unser Konzept zu erklären.
Zweck der Veranstaltung ist es, "normalen" Leuten etwas über IT-Sicherheit (insbesondere Verschlüsselung) zu erklären. Wir haben dafür 4 Blöcke am Freitag Abend der GPN14 zur Verfügung:
17:30 - 18:15 Begrüßung 18:30 - 19:30 Einführung 20:00 - 21:00 Vortragsblock 1 21:30 - 22:30 Vortragsblock 2
Zuerst wird es das übliche Vorgeplänkel einer Begrüßung geben, zusammen mit Informationen, wer oder was Entropia, CCC, GPN, Cryptoparty usw. überhaupt sind. Eventuell wird hier auch auch der Vorstand des ZKMs, Peter Weibel, sprechen. Man sagt ihm nach, ein ausdauernder Redner zu sein, also gehen dafür wahrscheinlich schon mal 30-45 Minuten drauf.
Die Einführung ist zweigeteilt: Zuerst gibt es einen Vortrag, in dem die Grundlagen dargelegt werden sollen: Warum überhaupt, wie ist die Situation, und, eine sehr schöne Idee, "Liste von Geheimdiensten von USA und Deutschland auf Wikipedia kurz durchscrollen". Für diesen Vortrag würde ich 20-30 Minuten ansetzen.
Im Rest der Einführung werden die einzelnen Themen vorgestellt (Auflistung weiter unten): Zu jedem Thema soll in einem kleinen "Hack" das Problem verdeutlicht werden, am liebsten kurz, knackig und realitätsnah (ohne, dass der Verdacht aufkommt, man habe das ja absichtlich viel unsicherer gemacht als in Wirklichkeit). Weiterer Bonuspunkt, wenn die Besucher diese Demos auch zu Hause nachbauen können.
Dafür bauen wir ein kleines Demonetzwerk auf:
"das Internet" "mein böser ISP" "bei mir zu Hause" (Netzwerkanschluss <---> (ein Switch mit <---> (ein Rechner, dazu im Vortragssaal) Mirror-Port) Router mit WLAN-AP)
In den beiden eigentlichen Vortragsblöcken werden dann jeweils Lösungsansätze zu den in der Einführung gezeigten Problemen gezeigt. Hier haben wir mit 2-3 Themen pro 60-Minuten-Block gerechnet, die Vortragszeit sollte also bei 15-20 Minuten liegen.
In den Pausen wollen wir Trolle abstellen, die den Besuchern Fragen beantworten können, die während der Vorträge aufkamen.
Zu den Themen: Wir haben im Entropia schon eine Liste zusammengestellt, sind aber natürlich für weitere Vorschläge offen.
0. Windows XP Problem: Finger davon! Wirklich! Hack: Abwarten, ob noch was kommt? (dazu ist bisher kein Vortrag vorgesehen. Hat jemand eine Idee, worüber man sprechen könnte?)
1. Festplattenkrypto Problem: Das Betriebssystempasswort ist wertlos für den Schutz der Daten Hack: Einfach mal die Festplatte in einen anderen Rechner einbauen und alles lesen können. Lösung: Festplatte verschlüsseln (an dieser Stelle kommt uns die plötzliche Implosion von TrueCrypt äußerst ungelegen...)
2. E-Mail-Sicherheit Problem 1: E-Mails kann jeder mitlesen Hack: Wireshark beim "bösen ISP" Problem 2: Absender lässt sich fälschen Hack: Einem Besucher eine Mail von Angela Merkel o.Ä. schicken Lösung: PGP
3. Browser-Sicherheit Problem: HTTP kann jeder mitlesen Hack: Wireshark Lösung: HTTPS benutzen. Gerne auch mit einem Teil über das CA-System.
4. WLAN-Tracking Problem 1: Was ein Gerät in einem WLAN über sich verrät Hack: Smartphone mit AP verbinden, Wireshark ("Schon wieder dieses böse Hackertool!" - "Ach übrigens, können Sie hier runterladen") Problem 2: Was ein Gerät über WLANs verrät die es kennt Hack: Das gleiche Lösung: ?
(von Mobile-Zeugs hab ich leider quasi keine Ahnung, deswegen bin ich mir nicht mehr 100% sicher, was unsere Notizen bedeuten sollen...)
5. Mobile Datenschutz Probleme: Location Tracking, Ständige Spracherkennung, schlechte Passwortmanager, Daten in der Cloud... Hack: ? Lösung: ?
6. Mobile Security Problem 1: Fettflecken auf dem Touchscreen verraten die PIN/das Entsperrmuster Hack: Smartphone aus dem Publikum entsperren (TODO: wie viele Leute muss man fragen, bis man ein brauchbares findet?) Problem 2: Authentifikation mit Fingerabdruck Hack: Finger nachbauen (zu viel Vorbereitung nötig?) weitere Probleme: GSM ist unsicher, alte Androids sind unsicher (findet man da einfache Exploits?) Lösung: ?
7. WhatsApp sniffen Problem: Die Verschlüsselung von WhatsApp ist schlecht bis nicht vorhanden Hack: Es gibt da wohl ein fertiges Sniffing-Tool Lösung: TextSecure? (ist das cool?)
weitere mögliche Themen: - Cold Boot (kriegt man das vorgeführt?) - Lockpicking
Damit eröffne ich nun das Hauen und Stechen um die Themenvergabe. Wie gesagt: Eure eigenen Vorschläge sind uns ebenso willkommen.
nochmals vielen Dank und viele Grüße, Andi