Hallo zusammen,
bitte entschuldigt, dass ich so schleppend reagiere, aber bis heute Vormittag war nicht einmal klar, ob ich am Freitag überhaupt frei bekomme, und zu allem Überfluss lief auch noch mit dem Abonnieren der Mailingliste etwas schief. Ich bitte nochmals um Entschuldigung. OK, dann eben etwas komprimiert:
Zum mir vorliegenden Programm:
17:30 - 18:15 Begrüßung 18:30 - 19:30 Einführung 20:00 - 21:00 Vortragsblock 1 21:30 - 22:30 Vortragsblock 2
Zuerst wird es das übliche Vorgeplänkel einer Begrüßung geben, zusammen mit Informationen, wer oder was Entropia, CCC, GPN, Cryptoparty usw. überhaupt sind. Eventuell wird hier auch auch der Vorstand des ZKMs, Peter Weibel, sprechen. Wir rechnen mit 30-45 Minuten
Die Einführung ist zweigeteilt: Zuerst gibt es einen Vortrag, in dem die Grundlagen dargelegt werden sollen: Warum überhaupt, wie ist die Situation, und, eine sehr schöne Idee, "Liste von Geheimdiensten von USA und Deutschland auf Wikipedia kurz durchscrollen". Für diesen Vortrag würde ich 20-30 Minuten ansetzen.
Im Rest der Einführung werden die einzelnen Themen vorgestellt (Auflistung weiter unten): Zu jedem Thema soll in einem kleinen "Hack" das Problem verdeutlicht werden, am liebsten kurz, knackig und realitätsnah (ohne, dass der Verdacht aufkommt, man habe das ja absichtlich viel unsicherer gemacht als in Wirklichkeit). Weiterer Bonuspunkt, wenn die Besucher diese Demos auch zu Hause nachbauen können.
Dafür bauen wir ein kleines Demonetzwerk auf:
"das Internet" "mein böser ISP" "bei mir zu Hause" (Netzwerkanschluss <---> (ein Switch mit <---> (ein Rechner, dazu im Vortragssaal) Mirror-Port) Router mit WLAN-AP)
In den beiden eigentlichen Vortragsblöcken werden dann jeweils Lösungsansätze zu den in der Einführung gezeigten Problemen gezeigt. Hier haben wir mit 2-3 Themen pro 60-Minuten-Block gerechnet, die Vortragszeit sollte also bei 15-20 Minuten liegen.
In den Pausen wollen wir Trolle abstellen, die den Besuchern Fragen beantworten können, die während der Vorträge aufkamen.
Zu den Themen: Wir haben im Entropia schon eine Liste zusammengestellt, sind aber natürlich für weitere Vorschläge offen.
0. Windows XP Problem: Finger davon! Wirklich! Hack: Abwarten, ob noch was kommt? (dazu ist bisher kein Vortrag vorgesehen. Hat jemand eine Idee, worüber man sprechen könnte?)
--------------- Zu diesem Thema hatte ich im April einen Vortrag gehalten, in dem ich die Idee der c't, die Architektur von XP mit einer Burg zu vergleichen, aufgegriffen und etwas erläutert hatte. Ich könnte also dazu etwas erzählen. Laienkompatibel ist das allemal.l ---------------
1. Festplattenkrypto Problem: Das Betriebssystempasswort ist wertlos für den Schutz der Daten Hack: Einfach mal die Festplatte in einen anderen Rechner einbauen und alles lesen können. Lösung: Festplatte verschlüsseln (an dieser Stelle kommt uns die plötzliche Implosion von TrueCrypt äußerst ungelegen...)
--------------- Das habe ich bei meiner letzten Cryptoparty ebenfalls aufgegriffen. Ich vertrete kurz gesagt den Ansatz, dass sich an der Sicherheit von Truecrypt nichts geändert hat und somit die gleichen Chancen und Risiken weiterhin gelten. Wenn man sich darüber im Klaren ist, kann man meiner Ansicht nach das Programm weiter einsetzen. ---------------
2. E-Mail-Sicherheit Problem 1: E-Mails kann jeder mitlesen Hack: Wireshark beim "bösen ISP" Problem 2: Absender lässt sich fälschen Hack: Einem Besucher eine Mail von Angela Merkel o.Ä. schicken Lösung: PGP
--------------- Früher hatte ich zur Demonstration einen SMTP-Dialog mit einem schlampig konfigurierten Mailprovider durchgeführt. Hat jemand von Euch so einen zur Hand? Ich könnte zur Not vom Mailgateway unserer Firma so eine Mail losschicken (was insofern keine echte Sicherheitslücke darstellt, als längst nicht jeder auf dieses Gateway Zugriff hat und die Zugriffe geloggt werden), bräuchte dafür aber VPN-Zugang auf unsere Infrastruktur. Sollte meiner Einschätzung nach kein großes Problem darstellen.
Wenn jemand von Euch noch Zugriff auf einen Mailserver hat, der unverschlüsselten Transfer zulässt, könnten wir dort einen POP3- oder SMTP-Dialog mitschneiden. Danach könnte man zeigen, wie es aussieht, wenn man die Mail verschlüsselt und wie Transportverschlüsselung schützt. Wir sollten aber darauf hinweisen, dass Transportverschlüsselung eben nur die Übertragung sichert, nicht jedoch die Mail an sich. Alternativ können wir uns einen Mailheader einer verschlüsselten Mail ansehen, um festzustellen, dass die Metadaten auch noch viel zu viele Informationen enthalten. Ich habe hierzu auch einen Stapel Folien. ---------------
3. Browser-Sicherheit Problem: HTTP kann jeder mitlesen Hack: Wireshark Lösung: HTTPS benutzen. Gerne auch mit einem Teil über das CA-System.
--------------- Da könnte man zur Not mit Wireshark mitlesen. Es gab mal für ganz Faule ein schönes Tool, das die angesurften Seiten des belauschten Zugangs sogar grafisch dargestellt hat. Erinnert sich jemand an den Namen? ---------------
4. WLAN-Tracking Problem 1: Was ein Gerät in einem WLAN über sich verrät Hack: Smartphone mit AP verbinden, Wireshark ("Schon wieder dieses böse Hackertool!" - "Ach übrigens, können Sie hier runterladen") Problem 2: Was ein Gerät über WLANs verrät die es kennt Hack: Das gleiche Lösung: ?
(von Mobile-Zeugs hab ich leider quasi keine Ahnung, deswegen bin ich mir nicht mehr 100% sicher, was unsere Notizen bedeuten sollen...)
5. Mobile Datenschutz Probleme: Location Tracking, Ständige Spracherkennung, schlechte Passwortmanager, Daten in der Cloud... Hack: ? Lösung: ?
--------------- Zum Passwortraten könnte man John auf ein vorbereitetes Hashfile loslassen. ---------------
6. Mobile Security Problem 1: Fettflecken auf dem Touchscreen verraten die PIN/das Entsperrmuster Hack: Smartphone aus dem Publikum entsperren (TODO: wie viele Leute muss man fragen, bis man ein brauchbares findet?) Problem 2: Authentifikation mit Fingerabdruck Hack: Finger nachbauen (zu viel Vorbereitung nötig?) weitere Probleme: GSM ist unsicher, alte Androids sind unsicher (findet man da einfache Exploits?) Lösung: ?
--------------- Für den Fingerabdruckhack braucht man meiner Erfahrung nach etwas mehr Zeit als uns hier vorschwebt ---------------
7. WhatsApp sniffen Problem: Die Verschlüsselung von WhatsApp ist schlecht bis nicht vorhanden Hack: Es gibt da wohl ein fertiges Sniffing-Tool Lösung: TextSecure? (ist das cool?)
--------------- TextSecure und Threema haben beide ihre Vor- und Nachteile. Uneingeschränkt empfehlen kann ich keins, aber besser als Whatsapp sollten sie allemal sein. ---------------
weitere mögliche Themen: - Cold Boot (kriegt man das vorgeführt?) - Lockpicking
--------------- Cold Boot geht leider deutlich über mein Können hinaus. Lockpicking kann ich zwar etwas, aber da sind diverse Leute um Längen besser als ich.
Was ich noch vorstellen kann: - Tails als Rundum-sorglos-System mit Fehlern (Fingerabdrucküberprüfung funktioniert unter 1.0 nicht sauber, Schlüssel werden nur mit 1024 Bit erzeugt) - Tor Browser Bundle (Ich habe hierfür auch einen Stapel Folien) und seine Schwächen (Browser-Fingerprinting, keine automatische Aktualisierung) - Was ist ein gutes Passwort? (Kurzfassung: Es gibt keine eindeutige Antwort) ---------------
Viele Grüße
Jochim
Huhu,
bin gerade nach Hause gekommen und ohne das ich die Mail nun komplett durchdrungen hätte frage ich mich, was sie für mich bedeutet... ;)
Es war ja mal ein Treffen im Club am späteren Abend heute angedacht. Gibt es diesen Plan noch? Wenn ja, würde ich dazu einfach vorbeikommen.
Viele Grüße
Flo
On Wed, Jun 18, 2014 at 09:31:37PM +0200, Jochim Rolf Selzer wrote:
Hallo zusammen,
bitte entschuldigt, dass ich so schleppend reagiere, aber bis heute Vormittag war nicht einmal klar, ob ich am Freitag überhaupt frei bekomme, und zu allem Überfluss lief auch noch mit dem Abonnieren der Mailingliste etwas schief. Ich bitte nochmals um Entschuldigung. OK, dann eben etwas komprimiert:
Zum mir vorliegenden Programm:
17:30 - 18:15 Begrüßung 18:30 - 19:30 Einführung 20:00 - 21:00 Vortragsblock 1 21:30 - 22:30 Vortragsblock 2
Zuerst wird es das übliche Vorgeplänkel einer Begrüßung geben, zusammen mit Informationen, wer oder was Entropia, CCC, GPN, Cryptoparty usw. überhaupt sind. Eventuell wird hier auch auch der Vorstand des ZKMs, Peter Weibel, sprechen. Wir rechnen mit 30-45 Minuten
Die Einführung ist zweigeteilt: Zuerst gibt es einen Vortrag, in dem die Grundlagen dargelegt werden sollen: Warum überhaupt, wie ist die Situation, und, eine sehr schöne Idee, "Liste von Geheimdiensten von USA und Deutschland auf Wikipedia kurz durchscrollen". Für diesen Vortrag würde ich 20-30 Minuten ansetzen.
Im Rest der Einführung werden die einzelnen Themen vorgestellt (Auflistung weiter unten): Zu jedem Thema soll in einem kleinen "Hack" das Problem verdeutlicht werden, am liebsten kurz, knackig und realitätsnah (ohne, dass der Verdacht aufkommt, man habe das ja absichtlich viel unsicherer gemacht als in Wirklichkeit). Weiterer Bonuspunkt, wenn die Besucher diese Demos auch zu Hause nachbauen können.
Dafür bauen wir ein kleines Demonetzwerk auf:
"das Internet" "mein böser ISP" "bei mir zu Hause" (Netzwerkanschluss <---> (ein Switch mit <---> (ein Rechner, dazu im Vortragssaal) Mirror-Port) Router mit WLAN-AP)
In den beiden eigentlichen Vortragsblöcken werden dann jeweils Lösungsansätze zu den in der Einführung gezeigten Problemen gezeigt. Hier haben wir mit 2-3 Themen pro 60-Minuten-Block gerechnet, die Vortragszeit sollte also bei 15-20 Minuten liegen.
In den Pausen wollen wir Trolle abstellen, die den Besuchern Fragen beantworten können, die während der Vorträge aufkamen.
Zu den Themen: Wir haben im Entropia schon eine Liste zusammengestellt, sind aber natürlich für weitere Vorschläge offen.
- Windows XP
Problem: Finger davon! Wirklich! Hack: Abwarten, ob noch was kommt? (dazu ist bisher kein Vortrag vorgesehen. Hat jemand eine Idee, worüber man sprechen könnte?)
Zu diesem Thema hatte ich im April einen Vortrag gehalten, in dem ich die Idee der c't, die Architektur von XP mit einer Burg zu vergleichen, aufgegriffen und etwas erläutert hatte. Ich könnte also dazu etwas erzählen. Laienkompatibel ist das allemal.l
- Festplattenkrypto
Problem: Das Betriebssystempasswort ist wertlos für den Schutz der Daten Hack: Einfach mal die Festplatte in einen anderen Rechner einbauen und alles lesen können. Lösung: Festplatte verschlüsseln (an dieser Stelle kommt uns die plötzliche Implosion von TrueCrypt äußerst ungelegen...)
Das habe ich bei meiner letzten Cryptoparty ebenfalls aufgegriffen. Ich vertrete kurz gesagt den Ansatz, dass sich an der Sicherheit von Truecrypt nichts geändert hat und somit die gleichen Chancen und Risiken weiterhin gelten. Wenn man sich darüber im Klaren ist, kann man meiner Ansicht nach das Programm weiter einsetzen.
- E-Mail-Sicherheit
Problem 1: E-Mails kann jeder mitlesen Hack: Wireshark beim "bösen ISP" Problem 2: Absender lässt sich fälschen Hack: Einem Besucher eine Mail von Angela Merkel o.Ä. schicken Lösung: PGP
Früher hatte ich zur Demonstration einen SMTP-Dialog mit einem schlampig konfigurierten Mailprovider durchgeführt. Hat jemand von Euch so einen zur Hand? Ich könnte zur Not vom Mailgateway unserer Firma so eine Mail losschicken (was insofern keine echte Sicherheitslücke darstellt, als längst nicht jeder auf dieses Gateway Zugriff hat und die Zugriffe geloggt werden), bräuchte dafür aber VPN-Zugang auf unsere Infrastruktur. Sollte meiner Einschätzung nach kein großes Problem darstellen.
Wenn jemand von Euch noch Zugriff auf einen Mailserver hat, der unverschlüsselten Transfer zulässt, könnten wir dort einen POP3- oder SMTP-Dialog mitschneiden. Danach könnte man zeigen, wie es aussieht, wenn man die Mail verschlüsselt und wie Transportverschlüsselung schützt. Wir sollten aber darauf hinweisen, dass Transportverschlüsselung eben nur die Übertragung sichert, nicht jedoch die Mail an sich. Alternativ können wir uns einen Mailheader einer verschlüsselten Mail ansehen, um festzustellen, dass die Metadaten auch noch viel zu viele Informationen enthalten. Ich habe hierzu auch einen Stapel Folien.
- Browser-Sicherheit
Problem: HTTP kann jeder mitlesen Hack: Wireshark Lösung: HTTPS benutzen. Gerne auch mit einem Teil über das CA-System.
Da könnte man zur Not mit Wireshark mitlesen. Es gab mal für ganz Faule ein schönes Tool, das die angesurften Seiten des belauschten Zugangs sogar grafisch dargestellt hat. Erinnert sich jemand an den Namen?
- WLAN-Tracking
Problem 1: Was ein Gerät in einem WLAN über sich verrät Hack: Smartphone mit AP verbinden, Wireshark ("Schon wieder dieses böse Hackertool!" - "Ach übrigens, können Sie hier runterladen") Problem 2: Was ein Gerät über WLANs verrät die es kennt Hack: Das gleiche Lösung: ?
(von Mobile-Zeugs hab ich leider quasi keine Ahnung, deswegen bin ich mir nicht mehr 100% sicher, was unsere Notizen bedeuten sollen...)
- Mobile Datenschutz
Probleme: Location Tracking, Ständige Spracherkennung, schlechte Passwortmanager, Daten in der Cloud... Hack: ? Lösung: ?
Zum Passwortraten könnte man John auf ein vorbereitetes Hashfile loslassen.
- Mobile Security
Problem 1: Fettflecken auf dem Touchscreen verraten die PIN/das Entsperrmuster Hack: Smartphone aus dem Publikum entsperren (TODO: wie viele Leute muss man fragen, bis man ein brauchbares findet?) Problem 2: Authentifikation mit Fingerabdruck Hack: Finger nachbauen (zu viel Vorbereitung nötig?) weitere Probleme: GSM ist unsicher, alte Androids sind unsicher (findet man da einfache Exploits?) Lösung: ?
Für den Fingerabdruckhack braucht man meiner Erfahrung nach etwas mehr Zeit als uns hier vorschwebt
- WhatsApp sniffen
Problem: Die Verschlüsselung von WhatsApp ist schlecht bis nicht vorhanden Hack: Es gibt da wohl ein fertiges Sniffing-Tool Lösung: TextSecure? (ist das cool?)
TextSecure und Threema haben beide ihre Vor- und Nachteile. Uneingeschränkt empfehlen kann ich keins, aber besser als Whatsapp sollten sie allemal sein.
weitere mögliche Themen:
- Cold Boot (kriegt man das vorgeführt?)
- Lockpicking
Cold Boot geht leider deutlich über mein Können hinaus. Lockpicking kann ich zwar etwas, aber da sind diverse Leute um Längen besser als ich.
Was ich noch vorstellen kann:
- Tails als Rundum-sorglos-System mit Fehlern (Fingerabdrucküberprüfung funktioniert unter 1.0 nicht sauber, Schlüssel werden nur mit 1024 Bit erzeugt)
- Tor Browser Bundle (Ich habe hierfür auch einen Stapel Folien) und seine Schwächen (Browser-Fingerprinting, keine automatische Aktualisierung)
- Was ist ein gutes Passwort? (Kurzfassung: Es gibt keine eindeutige Antwort)
Viele Grüße
Jochim
gpn-crypto mailing list gpn-crypto@bl0rg.net https://lists.bl0rg.net/cgi-bin/mailman/listinfo/gpn-crypto
Moin zusammen,
da ich am Freitag noch arbeiten muss, treffe ich erst gegen 15 h auf der GPN ein. Tut mir leid, früher schaffe ich es nicht, aber dafür kann ich morgen wegen des Feiertags vernünftig Mails beantworten.
Viele Grüße
Jochim
Hallo zusammen,
noch einige Tools:
http://www.monkey.org/~dugsong/dsniff/ http://www.ex-parrot.com/~chris/driftnet/ http://chaosreader.sourceforge.net/
Viele Grüße
Jochim
Hey Joachim,
kool, schön Dich zu hören :)
Also wir sitzen hier gerade zusammen. Hast Du denn noch Zeit, so von remote was vorzubereiten? Also ein paar Worte zur XP (5-10min) wären super, magste da einfach slides im Pad anfangen? Und dann evtl auch noch ganz kurz zu Tails, also dass es existiert und was es ist, nicht doll in die Tiefe (unter 5min würd ich sagen).
https://entropia.pads.ccc.de/kryptoparty-folien Das Ergebnis sieht man dann hier: https://f.vietz.eu/crypto_gpn/
Leere Zeilen sind auch relevant... steht gleich oben im Pad ne kleine Doku drin.
Tor wollte ich was machen, hab da aber nicht viel und wollte nicht besonders in die Tiefe gehen, also koennen wir dann gern zusammen machen. Wo haste da Deine Slides, und haste noch Zeit die in das Pad zu tun? Ich arbeite da eigentlich nur mit bissl Diagramm, siehe zb https://brezn.muc.ccc.de/~sva/cryptoparty-immenstaad.pdf slide 38-46.
Slides zu Passwort sind schon drin, auch von mir, bin aber über Kommentare sehr dankbar. Können wir dann auch gern zusammen machen wenn Du magst.
Gruss und Dank, sva.
On 19.06.2014 01:01, Jochim Rolf Selzer wrote:
Hallo zusammen,
bitte entschuldigt, dass ich so schleppend reagiere, aber bis heute Vormittag war nicht einmal klar, ob ich am Freitag überhaupt frei bekomme, und zu allem Überfluss lief auch noch mit dem Abonnieren der Mailingliste etwas schief. Ich bitte nochmals um Entschuldigung. OK, dann eben etwas komprimiert:
Zum mir vorliegenden Programm:
17:30 - 18:15 Begrüßung 18:30 - 19:30 Einführung 20:00 - 21:00 Vortragsblock 1 21:30 - 22:30 Vortragsblock 2
Zuerst wird es das übliche Vorgeplänkel einer Begrüßung geben, zusammen mit Informationen, wer oder was Entropia, CCC, GPN, Cryptoparty usw. überhaupt sind. Eventuell wird hier auch auch der Vorstand des ZKMs, Peter Weibel, sprechen. Wir rechnen mit 30-45 Minuten
Die Einführung ist zweigeteilt: Zuerst gibt es einen Vortrag, in dem die Grundlagen dargelegt werden sollen: Warum überhaupt, wie ist die Situation, und, eine sehr schöne Idee, "Liste von Geheimdiensten von USA und Deutschland auf Wikipedia kurz durchscrollen". Für diesen Vortrag würde ich 20-30 Minuten ansetzen.
Im Rest der Einführung werden die einzelnen Themen vorgestellt (Auflistung weiter unten): Zu jedem Thema soll in einem kleinen "Hack" das Problem verdeutlicht werden, am liebsten kurz, knackig und realitätsnah (ohne, dass der Verdacht aufkommt, man habe das ja absichtlich viel unsicherer gemacht als in Wirklichkeit). Weiterer Bonuspunkt, wenn die Besucher diese Demos auch zu Hause nachbauen können.
Dafür bauen wir ein kleines Demonetzwerk auf:
"das Internet" "mein böser ISP" "bei mir zu Hause" (Netzwerkanschluss <---> (ein Switch mit <---> (ein Rechner, dazu im Vortragssaal) Mirror-Port) Router mit WLAN-AP)
In den beiden eigentlichen Vortragsblöcken werden dann jeweils Lösungsansätze zu den in der Einführung gezeigten Problemen gezeigt. Hier haben wir mit 2-3 Themen pro 60-Minuten-Block gerechnet, die Vortragszeit sollte also bei 15-20 Minuten liegen.
In den Pausen wollen wir Trolle abstellen, die den Besuchern Fragen beantworten können, die während der Vorträge aufkamen.
Zu den Themen: Wir haben im Entropia schon eine Liste zusammengestellt, sind aber natürlich für weitere Vorschläge offen.
- Windows XP
Problem: Finger davon! Wirklich! Hack: Abwarten, ob noch was kommt? (dazu ist bisher kein Vortrag vorgesehen. Hat jemand eine Idee, worüber man sprechen könnte?)
Zu diesem Thema hatte ich im April einen Vortrag gehalten, in dem ich die Idee der c't, die Architektur von XP mit einer Burg zu vergleichen, aufgegriffen und etwas erläutert hatte. Ich könnte also dazu etwas erzählen. Laienkompatibel ist das allemal.l
- Festplattenkrypto
Problem: Das Betriebssystempasswort ist wertlos für den Schutz der Daten Hack: Einfach mal die Festplatte in einen anderen Rechner einbauen und alles lesen können. Lösung: Festplatte verschlüsseln (an dieser Stelle kommt uns die plötzliche Implosion von TrueCrypt äußerst ungelegen...)
Das habe ich bei meiner letzten Cryptoparty ebenfalls aufgegriffen. Ich vertrete kurz gesagt den Ansatz, dass sich an der Sicherheit von Truecrypt nichts geändert hat und somit die gleichen Chancen und Risiken weiterhin gelten. Wenn man sich darüber im Klaren ist, kann man meiner Ansicht nach das Programm weiter einsetzen.
- E-Mail-Sicherheit
Problem 1: E-Mails kann jeder mitlesen Hack: Wireshark beim "bösen ISP" Problem 2: Absender lässt sich fälschen Hack: Einem Besucher eine Mail von Angela Merkel o.Ä. schicken Lösung: PGP
Früher hatte ich zur Demonstration einen SMTP-Dialog mit einem schlampig konfigurierten Mailprovider durchgeführt. Hat jemand von Euch so einen zur Hand? Ich könnte zur Not vom Mailgateway unserer Firma so eine Mail losschicken (was insofern keine echte Sicherheitslücke darstellt, als längst nicht jeder auf dieses Gateway Zugriff hat und die Zugriffe geloggt werden), bräuchte dafür aber VPN-Zugang auf unsere Infrastruktur. Sollte meiner Einschätzung nach kein großes Problem darstellen.
Wenn jemand von Euch noch Zugriff auf einen Mailserver hat, der unverschlüsselten Transfer zulässt, könnten wir dort einen POP3- oder SMTP-Dialog mitschneiden. Danach könnte man zeigen, wie es aussieht, wenn man die Mail verschlüsselt und wie Transportverschlüsselung schützt. Wir sollten aber darauf hinweisen, dass Transportverschlüsselung eben nur die Übertragung sichert, nicht jedoch die Mail an sich. Alternativ können wir uns einen Mailheader einer verschlüsselten Mail ansehen, um festzustellen, dass die Metadaten auch noch viel zu viele Informationen enthalten. Ich habe hierzu auch einen Stapel Folien.
- Browser-Sicherheit
Problem: HTTP kann jeder mitlesen Hack: Wireshark Lösung: HTTPS benutzen. Gerne auch mit einem Teil über das CA-System.
Da könnte man zur Not mit Wireshark mitlesen. Es gab mal für ganz Faule ein schönes Tool, das die angesurften Seiten des belauschten Zugangs sogar grafisch dargestellt hat. Erinnert sich jemand an den Namen?
- WLAN-Tracking
Problem 1: Was ein Gerät in einem WLAN über sich verrät Hack: Smartphone mit AP verbinden, Wireshark ("Schon wieder dieses böse Hackertool!" - "Ach übrigens, können Sie hier runterladen") Problem 2: Was ein Gerät über WLANs verrät die es kennt Hack: Das gleiche Lösung: ?
(von Mobile-Zeugs hab ich leider quasi keine Ahnung, deswegen bin ich mir nicht mehr 100% sicher, was unsere Notizen bedeuten sollen...)
- Mobile Datenschutz
Probleme: Location Tracking, Ständige Spracherkennung, schlechte Passwortmanager, Daten in der Cloud... Hack: ? Lösung: ?
Zum Passwortraten könnte man John auf ein vorbereitetes Hashfile loslassen.
- Mobile Security
Problem 1: Fettflecken auf dem Touchscreen verraten die PIN/das Entsperrmuster Hack: Smartphone aus dem Publikum entsperren (TODO: wie viele Leute muss man fragen, bis man ein brauchbares findet?) Problem 2: Authentifikation mit Fingerabdruck Hack: Finger nachbauen (zu viel Vorbereitung nötig?) weitere Probleme: GSM ist unsicher, alte Androids sind unsicher (findet man da einfache Exploits?) Lösung: ?
Für den Fingerabdruckhack braucht man meiner Erfahrung nach etwas mehr Zeit als uns hier vorschwebt
- WhatsApp sniffen
Problem: Die Verschlüsselung von WhatsApp ist schlecht bis nicht vorhanden Hack: Es gibt da wohl ein fertiges Sniffing-Tool Lösung: TextSecure? (ist das cool?)
TextSecure und Threema haben beide ihre Vor- und Nachteile. Uneingeschränkt empfehlen kann ich keins, aber besser als Whatsapp sollten sie allemal sein.
weitere mögliche Themen:
- Cold Boot (kriegt man das vorgeführt?)
- Lockpicking
Cold Boot geht leider deutlich über mein Können hinaus. Lockpicking kann ich zwar etwas, aber da sind diverse Leute um Längen besser als ich.
Was ich noch vorstellen kann:
- Tails als Rundum-sorglos-System mit Fehlern (Fingerabdrucküberprüfung funktioniert unter 1.0 nicht sauber, Schlüssel werden nur mit 1024 Bit erzeugt)
- Tor Browser Bundle (Ich habe hierfür auch einen Stapel Folien) und seine Schwächen (Browser-Fingerprinting, keine automatische Aktualisierung)
- Was ist ein gutes Passwort? (Kurzfassung: Es gibt keine eindeutige Antwort)
Viele Grüße
Jochim
gpn-crypto mailing list gpn-crypto@bl0rg.net https://lists.bl0rg.net/cgi-bin/mailman/listinfo/gpn-crypto
Hallo Bernardette,
die bisher von mir verwendeten Folien findest Du in grafisch abgespeckter Form unter https://www.cryptoparty.in/cryptopartykbn#foliensaetze_und_flugblaetter Zu Tails habe ich bisher noch keine Folien, weil ich bisher einfach die Distribution am Projektor vorgeführt habe. Ins Pad schreibe ich entweder heute Abend oder morgen früh noch hinein. Ich weiß, das ist alles etwas kurzatmig von mir, aber zu den meisten Cryptopartythemen habe ich häufig Vorträge gehalten, weswegen ich auf Zuruf etwas erzählen kann und wir uns meiner Einschätzung nach vor allem um die Rollenverteilung kümmen müssen. Wir sehen uns morgen Nachmittag
Alles Gute
Jochim
Hallo Bernadette und Liste,
das Pad sieht richtig beeindruckend aus. Ich weiß kaum, was ich noch groß hinzufügen soll, aber da findet sich bestimmt noch was.
Zwei Aussagen fielen mir auf: Erstens werden, wenn ich den Text richtig interpretiere, Liedanfänge für Passwörter empfohlen. Diese Empfehlung spreche ich auf Cryptoparties nicht mehr aus, weil es für diese Art Passwörter inzwischen Datenbanken gibt. Zweitens bin ich mit der Aussage, ein bestimmter Verschlüsselungsalgrorithmus sei sicher, vorsichtiger. Beweisbar sicher sind bisher nur One-Time-Pads. Alle anderen Verfahren beruhen auf sehr soliden Annahmen, aber theoretisch könnte ein großer Teil der heutigen Verschlüsselungsverfahren zusammenbrechen, wenn wider Erwarten jemand auf einmal ganz schnell Primfaktorzerlegung schafft. Dass dieser Fall eintritt, ist zwar deutlich weniger wahrscheinlich als der nächste Heartbleed-Bug, aber möglich.
Natürlich wird bei einer solchen Bemerkung immer irgendwer im Publikum auf die Idee kommen, zu sagen, dann könne man die ganze Verschlüsselung doch gleich bleiben lassen. In solchen Fällen frage ich zurück, ob der Fragesteller denn ein Türschloss in der Wohnungstür hätte, obwohl die doch auch unsicher sind.
Ich weiß nicht, ob das den Rahmen sprengt, aber ich habe noch ein paar Texte zum Thema "ich habe nichts zu verbergen", was in meinen Augen drei Fehlannahmen beinhaltet (1: Wer etwas zu verbergen hat, ist ein Übeltäter, 2: Wenn ich nichts zu verbergen habe, dürfen Andere auch nichts zu verbergen haben, 3: Ich habe tatsächlich nichts zu verbergen). Zum Thema "ich bezahle mit meinen Daten" könnte man vielleicht noch anmerken, dass aus harmlosen Daten in den falschen Händen schnell gefährliche werden können (Beispiel Volkszählung in den Niederlanden Ende der 30er Jahre).
Alles Gute
Jochim
Hey,
danke für den Input, wir sitzen auch grad schon wieder zusammen. Kannst ja auch mal im Pad sein, und da auch im Chat kommentieren. Ich selbst setze mich dann gleich mal an die TOR slides und klicke Deine mal durch, danke dafür!
On 20.06.2014 02:12, Jochim Rolf Selzer wrote:
Liedanfänge für Passwörter empfohlen. Diese Empfehlung spreche ich auf Cryptoparties nicht mehr aus, weil es für diese Art Passwörter inzwischen Datenbanken gibt.
Jo das hatte ich auch gemacht ne Zeitlang, aber es ist nunmal ne gute Möglichkeit sich was zu merken, wenn man eine Melodie dazu hat, insbesondere wenn es dann um ne Phrase geht. Ich sage das stets dazu, dass man da nicht die üblichen Phrasen nehmen soll. Und es geht auch nicht um Liedanfänge, sondern Lieder, das kann ja alles mögliche sein. Schreibe ja auch dazu, dass man da ggf was abkürzen kann etc. Ausserdem kommt ja im nächsten Schritt die Ent-dudisierung via Sonderzeichen und/oder zb das Übersetzen einzelner Wörter in andere Sprachen sowie das hinzufügen von Sonderzeichen sage ich das schon immer dazu.
Ist das mit diesen Kommentaren, die dann auch auf der Bühne gesagt werden, okay?
Aussage, ein bestimmter Verschlüsselungsalgrorithmus sei sicher, vorsichtiger. Beweisbar sicher sind bisher nur One-Time-Pads. Alle anderen Verfahren beruhen auf sehr soliden Annahmen, aber theoretisch könnte ein großer Teil der heutigen Verschlüsselungsverfahren zusammenbrechen, wenn wider Erwarten jemand auf einmal ganz schnell Primfaktorzerlegung schafft. Dass dieser Fall eintritt, ist zwar deutlich weniger wahrscheinlich als der nächste Heartbleed-Bug, aber möglich.
Ja, da hast Du natürlich recht. Die Jungs haben das auch schon ausführlich diskutiert und sind zu dem Schluss gekommen, dass man das schon so sagen kann. Kannste ja dann morgen nochmal anhören die Argumentation mag ich jetzt nicht niederschreiben ;)
Natürlich wird bei einer solchen Bemerkung immer irgendwer im Publikum auf die Idee kommen, zu sagen, dann könne man die ganze Verschlüsselung doch gleich bleiben lassen. In solchen Fällen frage ich zurück, ob der Fragesteller denn ein Türschloss in der Wohnungstür hätte, obwohl die doch auch unsicher sind.
Jo, das Beispiel ist immer schön, und wir machen wohl auch noch ne ganz kurze Lockpickvorführung :D
Gruss, be.
Moin,
On 06/19/2014 07:35 PM, Bernadette Langle wrote:
Ist das mit diesen Kommentaren, die dann auch auf der Bühne gesagt werden, okay?
Perfekt :)
Ja, da hast Du natürlich recht. Die Jungs haben das auch schon ausführlich diskutiert und sind zu dem Schluss gekommen, dass man das schon so sagen kann. Kannste ja dann morgen nochmal anhören die Argumentation mag ich jetzt nicht niederschreiben ;)
Beim Durchlesen des Pads hatte ich ohnehin den Eindruck, dass die Beteiligten schon einige Cryptoparties hinter sich haben und genau wissen, warum sie wann was wie ausdrücken. Ich beschreibe es mal flapsig so: Man kann falsche Dinge sagen, weil man keine Ahnung hat, oder man sagt bewusst falsche Dinge, weil sie in einem ganz bestimmten Kontext mehr helfen als die reine Wahrheit. Bei Cryptoparties muss man eben ab und zu vereinfachen. Oder kurz: Passt schon.
Jo, das Beispiel ist immer schön, und wir machen wohl auch noch ne ganz kurze Lockpickvorführung :D
Ich bringe mein Besteck mit :)
Alles Gute
Jochim
Hry,
Sorry, hänge hier gerade etwas fest.. Denkt jemand noch daran, die wiki-Seite für die Liste mit Software noch anzulegen? Gulas.CH/crypto oder so? Wir müssten dann halt auch noch ~400 Zettel oder so damit drucken...
Bin gleich wieder da, Lukas
On 19. Juni 2014 23:33:44 MESZ, Jochim Rolf Selzer jselzer@vorratsdatenspeicherung.de wrote:
Moin,
On 06/19/2014 07:35 PM, Bernadette Langle wrote:
Ist das mit diesen Kommentaren, die dann auch auf der Bühne gesagt werden, okay?
Perfekt :)
Ja, da hast Du natürlich recht. Die Jungs haben das auch schon ausführlich diskutiert und sind zu dem Schluss gekommen, dass man das schon so sagen kann. Kannste ja dann morgen nochmal anhören die Argumentation mag ich jetzt nicht niederschreiben ;)
Beim Durchlesen des Pads hatte ich ohnehin den Eindruck, dass die Beteiligten schon einige Cryptoparties hinter sich haben und genau wissen, warum sie wann was wie ausdrücken. Ich beschreibe es mal flapsig so: Man kann falsche Dinge sagen, weil man keine Ahnung hat, oder man sagt bewusst falsche Dinge, weil sie in einem ganz bestimmten Kontext mehr helfen als die reine Wahrheit. Bei Cryptoparties muss man eben ab und zu vereinfachen. Oder kurz: Passt schon.
Jo, das Beispiel ist immer schön, und wir machen wohl auch noch ne ganz kurze Lockpickvorführung :D
Ich bringe mein Besteck mit :)
Alles Gute
Jochim
gpn-crypto mailing list gpn-crypto@bl0rg.net https://lists.bl0rg.net/cgi-bin/mailman/listinfo/gpn-crypto
https://entropia.de/Crypto it is :)
On 20.06.2014 17:52, Lukas Barth mail@tinloaf.de wrote:
Hry,
Sorry, hänge hier gerade etwas fest.. Denkt jemand noch daran, die wiki-Seite für die Liste mit Software noch anzulegen? Gulas.CH/crypto oder so? Wir müssten dann halt auch noch ~400 Zettel oder so damit drucken...
Bin gleich wieder da, Lukas
On 19. Juni 2014 23:33:44 MESZ, Jochim Rolf Selzer jselzer@vorratsdatenspeicherung.de wrote:
Moin,
On 06/19/2014 07:35 PM, Bernadette Langle wrote:
Ist das mit diesen Kommentaren, die dann auch auf der Bühne gesagt werden, okay?
Perfekt :)
Ja, da hast Du natürlich recht. Die Jungs haben das auch schon ausführlich diskutiert und sind zu dem Schluss gekommen, dass man das schon so sagen kann. Kannste ja dann morgen nochmal anhören die Argumentation mag ich jetzt nicht niederschreiben ;)
Beim Durchlesen des Pads hatte ich ohnehin den Eindruck, dass die Beteiligten schon einige Cryptoparties hinter sich haben und genau wissen, warum sie wann was wie ausdrücken. Ich beschreibe es mal flapsig so: Man kann falsche Dinge sagen, weil man keine Ahnung hat, oder man sagt bewusst falsche Dinge, weil sie in einem ganz bestimmten Kontext mehr helfen als die reine Wahrheit. Bei Cryptoparties muss man eben ab und zu vereinfachen. Oder kurz: Passt schon.
Jo, das Beispiel ist immer schön, und wir machen wohl auch noch ne ganz kurze Lockpickvorführung :D
Ich bringe mein Besteck mit :)
Alles Gute
Jochim
gpn-crypto mailing list gpn-crypto@bl0rg.net https://lists.bl0rg.net/cgi-bin/mailman/listinfo/gpn-crypto
Moin Jochim,
Am 19.06.2014 22:42, schrieb Jochim Rolf Selzer:
Ich weiß nicht, ob das den Rahmen sprengt, aber ich habe noch ein paar Texte zum Thema "ich habe nichts zu verbergen", was in meinen Augen drei Fehlannahmen beinhaltet (1: Wer etwas zu verbergen hat, ist ein Übeltäter, 2: Wenn ich nichts zu verbergen habe, dürfen Andere auch nichts zu verbergen haben, 3: Ich habe tatsächlich nichts zu verbergen). Zum Thema "ich bezahle mit meinen Daten" könnte man vielleicht noch anmerken, dass aus harmlosen Daten in den falschen Händen schnell gefährliche werden können (Beispiel Volkszählung in den Niederlanden Ende der 30er Jahre).
Sehr gut. Den Teil bereite ich gerade vor. Gib mal alles her dazu was du hast?
Gruß Jan
-
Bernadette Langle -
Florian Boehl -
Jan Girlich -
Jochim Rolf Selzer -
Lukas Barth <mail@tinloaf.de>