8 Jun
2014
8 Jun
'14
2:32 p.m.
Hallo,
vielen Dank, dass ihr bei der Cryptoparty auf der GPN14 helfen möchtet.
In dieser Mail will ich versuchen, unser Konzept zu erklären.
Zweck der Veranstaltung ist es, "normalen" Leuten etwas über
IT-Sicherheit (insbesondere Verschlüsselung) zu erklären. Wir haben
dafür 4 Blöcke am Freitag Abend der GPN14 zur Verfügung:
17:30 - 18:15 Begrüßung
18:30 - 19:30 Einführung
20:00 - 21:00 Vortragsblock 1
21:30 - 22:30 Vortragsblock 2
Zuerst wird es das übliche Vorgeplänkel einer Begrüßung geben, zusammen
mit Informationen, wer oder was Entropia, CCC, GPN, Cryptoparty usw.
überhaupt sind. Eventuell wird hier auch auch der Vorstand des ZKMs,
Peter Weibel, sprechen. Man sagt ihm nach, ein ausdauernder Redner zu
sein, also gehen dafür wahrscheinlich schon mal 30-45 Minuten drauf.
Die Einführung ist zweigeteilt: Zuerst gibt es einen Vortrag, in dem die
Grundlagen dargelegt werden sollen: Warum überhaupt, wie ist die
Situation, und, eine sehr schöne Idee, "Liste von Geheimdiensten von USA
und Deutschland auf Wikipedia kurz durchscrollen". Für diesen Vortrag
würde ich 20-30 Minuten ansetzen.
Im Rest der Einführung werden die einzelnen Themen vorgestellt
(Auflistung weiter unten): Zu jedem Thema soll in einem kleinen "Hack"
das Problem verdeutlicht werden, am liebsten kurz, knackig und
realitätsnah (ohne, dass der Verdacht aufkommt, man habe das ja
absichtlich viel unsicherer gemacht als in Wirklichkeit). Weiterer
Bonuspunkt, wenn die Besucher diese Demos auch zu Hause nachbauen können.
Dafür bauen wir ein kleines Demonetzwerk auf:
"das Internet" "mein böser ISP" "bei mir zu
Hause"
(Netzwerkanschluss <---> (ein Switch mit <---> (ein Rechner, dazu
im Vortragssaal) Mirror-Port) Router mit WLAN-AP)
In den beiden eigentlichen Vortragsblöcken werden dann jeweils
Lösungsansätze zu den in der Einführung gezeigten Problemen gezeigt.
Hier haben wir mit 2-3 Themen pro 60-Minuten-Block gerechnet, die
Vortragszeit sollte also bei 15-20 Minuten liegen.
In den Pausen wollen wir Trolle abstellen, die den Besuchern Fragen
beantworten können, die während der Vorträge aufkamen.
Zu den Themen: Wir haben im Entropia schon eine Liste zusammengestellt,
sind aber natürlich für weitere Vorschläge offen.
0. Windows XP
Problem: Finger davon! Wirklich!
Hack: Abwarten, ob noch was kommt?
(dazu ist bisher kein Vortrag vorgesehen. Hat jemand eine Idee, worüber
man sprechen könnte?)
1. Festplattenkrypto
Problem: Das Betriebssystempasswort ist wertlos für den Schutz der Daten
Hack: Einfach mal die Festplatte in einen anderen Rechner einbauen und
alles lesen können.
Lösung: Festplatte verschlüsseln (an dieser Stelle kommt uns die
plötzliche Implosion von TrueCrypt äußerst ungelegen...)
2. E-Mail-Sicherheit
Problem 1: E-Mails kann jeder mitlesen
Hack: Wireshark beim "bösen ISP"
Problem 2: Absender lässt sich fälschen
Hack: Einem Besucher eine Mail von Angela Merkel o.Ä. schicken
Lösung: PGP
3. Browser-Sicherheit
Problem: HTTP kann jeder mitlesen
Hack: Wireshark
Lösung: HTTPS benutzen. Gerne auch mit einem Teil über das CA-System.
4. WLAN-Tracking
Problem 1: Was ein Gerät in einem WLAN über sich verrät
Hack: Smartphone mit AP verbinden, Wireshark ("Schon wieder dieses böse
Hackertool!" - "Ach übrigens, können Sie hier runterladen")
Problem 2: Was ein Gerät über WLANs verrät die es kennt
Hack: Das gleiche
Lösung: ?
(von Mobile-Zeugs hab ich leider quasi keine Ahnung, deswegen bin ich
mir nicht mehr 100% sicher, was unsere Notizen bedeuten sollen...)
5. Mobile Datenschutz
Probleme: Location Tracking, Ständige Spracherkennung, schlechte
Passwortmanager, Daten in der Cloud...
Hack: ?
Lösung: ?
6. Mobile Security
Problem 1: Fettflecken auf dem Touchscreen verraten die PIN/das
Entsperrmuster
Hack: Smartphone aus dem Publikum entsperren (TODO: wie viele Leute muss
man fragen, bis man ein brauchbares findet?)
Problem 2: Authentifikation mit Fingerabdruck
Hack: Finger nachbauen (zu viel Vorbereitung nötig?)
weitere Probleme: GSM ist unsicher, alte Androids sind unsicher (findet
man da einfache Exploits?)
Lösung: ?
7. WhatsApp sniffen
Problem: Die Verschlüsselung von WhatsApp ist schlecht bis nicht vorhanden
Hack: Es gibt da wohl ein fertiges Sniffing-Tool
Lösung: TextSecure? (ist das cool?)
weitere mögliche Themen:
- Cold Boot (kriegt man das vorgeführt?)
- Lockpicking
Damit eröffne ich nun das Hauen und Stechen um die Themenvergabe. Wie
gesagt: Eure eigenen Vorschläge sind uns ebenso willkommen.
nochmals vielen Dank und viele Grüße,
Andi
8 Jun
8 Jun
2:49 p.m.
New subject: [Gpn-crypto] GPN-Cryptoparty
Hi,
Nur kurz wegen handy: als TextSecure-Fanboy muss ich nicht nur die Frage 'ist das
cool' mit 'Frevler!' beantworten, sondern würde auch gerne den part
übernehmen, falls niemand Einwände hat. Darüber hinaus bin ich für alles zu haben, aber
das können wir ja auch noch persönlich bequatschen.
Viele grüße, Lukas
--
This message has been sent from my phone. Please excuse my brevity.
10 Jun
10 Jun
11:06 p.m.
New subject: [Gpn-crypto] GPN-Cryptoparty
Huhu,
Vielen Dank für den Überblick und fürs Kümmern Andi.
Generell habe ich bei eigentlich allen Themen das Problem, dass es zwar
Lösungen gibt, die ich verwende, aber dass ich nicht unbedingt welche
kenne, die ich einem "normalen" Benutzer empfehlen würde. :)
Dieses Problem, dass die Benutzbarkeit vieler "Lösungen" leider noch
nicht besonders gut ist, werden wir allerdings wohl kaum bis zur GPN
lösen können. :)
Am wohlsten würde ich mich vermutlich mit dem Vortrag zu
E-Mail-Authentifikation/Verschlüsselung fühlen. Neben PGP würde ich in
dem Kontext vermutlich auch S/MIME vorstellen. Natürlich gibt es da die
CA-Problematik, aber wie viele Leute vergleichen schon Fingerprints und
signieren Schlüssel bei PGP? :/ Bei der Benutzerfreundlichkeit hat
S/MIME einige Vorteile.
(Wegen der CA-Sache würde ich diesen Vortrag vermutlich direkt hinter
den zu HTTPS packen.)
Viele Grüße
Flo
On 06/08/2014 04:32 PM, Andreas Fried wrote:
Hallo,
vielen Dank, dass ihr bei der Cryptoparty auf der GPN14 helfen möchtet.
In dieser Mail will ich versuchen, unser Konzept zu erklären.
Zweck der Veranstaltung ist es, "normalen" Leuten etwas über
IT-Sicherheit (insbesondere Verschlüsselung) zu erklären. Wir haben
dafür 4 Blöcke am Freitag Abend der GPN14 zur Verfügung:
17:30 - 18:15 Begrüßung
18:30 - 19:30 Einführung
20:00 - 21:00 Vortragsblock 1
21:30 - 22:30 Vortragsblock 2
Zuerst wird es das übliche Vorgeplänkel einer Begrüßung geben, zusammen
mit Informationen, wer oder was Entropia, CCC, GPN, Cryptoparty usw.
überhaupt sind. Eventuell wird hier auch auch der Vorstand des ZKMs,
Peter Weibel, sprechen. Man sagt ihm nach, ein ausdauernder Redner zu
sein, also gehen dafür wahrscheinlich schon mal 30-45 Minuten drauf.
Die Einführung ist zweigeteilt: Zuerst gibt es einen Vortrag, in dem die
Grundlagen dargelegt werden sollen: Warum überhaupt, wie ist die
Situation, und, eine sehr schöne Idee, "Liste von Geheimdiensten von USA
und Deutschland auf Wikipedia kurz durchscrollen". Für diesen Vortrag
würde ich 20-30 Minuten ansetzen.
Im Rest der Einführung werden die einzelnen Themen vorgestellt
(Auflistung weiter unten): Zu jedem Thema soll in einem kleinen "Hack"
das Problem verdeutlicht werden, am liebsten kurz, knackig und
realitätsnah (ohne, dass der Verdacht aufkommt, man habe das ja
absichtlich viel unsicherer gemacht als in Wirklichkeit). Weiterer
Bonuspunkt, wenn die Besucher diese Demos auch zu Hause nachbauen können.
Dafür bauen wir ein kleines Demonetzwerk auf:
"das Internet" "mein böser ISP" "bei mir zu
Hause"
(Netzwerkanschluss <---> (ein Switch mit <---> (ein Rechner, dazu
im Vortragssaal) Mirror-Port) Router mit WLAN-AP)
In den beiden eigentlichen Vortragsblöcken werden dann jeweils
Lösungsansätze zu den in der Einführung gezeigten Problemen gezeigt.
Hier haben wir mit 2-3 Themen pro 60-Minuten-Block gerechnet, die
Vortragszeit sollte also bei 15-20 Minuten liegen.
In den Pausen wollen wir Trolle abstellen, die den Besuchern Fragen
beantworten können, die während der Vorträge aufkamen.
Zu den Themen: Wir haben im Entropia schon eine Liste zusammengestellt,
sind aber natürlich für weitere Vorschläge offen.
0. Windows XP
Problem: Finger davon! Wirklich!
Hack: Abwarten, ob noch was kommt?
(dazu ist bisher kein Vortrag vorgesehen. Hat jemand eine Idee, worüber
man sprechen könnte?)
1. Festplattenkrypto
Problem: Das Betriebssystempasswort ist wertlos für den Schutz der Daten
Hack: Einfach mal die Festplatte in einen anderen Rechner einbauen und
alles lesen können.
Lösung: Festplatte verschlüsseln (an dieser Stelle kommt uns die
plötzliche Implosion von TrueCrypt äußerst ungelegen...)
2. E-Mail-Sicherheit
Problem 1: E-Mails kann jeder mitlesen
Hack: Wireshark beim "bösen ISP"
Problem 2: Absender lässt sich fälschen
Hack: Einem Besucher eine Mail von Angela Merkel o.Ä. schicken
Lösung: PGP
3. Browser-Sicherheit
Problem: HTTP kann jeder mitlesen
Hack: Wireshark
Lösung: HTTPS benutzen. Gerne auch mit einem Teil über das CA-System.
4. WLAN-Tracking
Problem 1: Was ein Gerät in einem WLAN über sich verrät
Hack: Smartphone mit AP verbinden, Wireshark ("Schon wieder dieses böse
Hackertool!" - "Ach übrigens, können Sie hier runterladen")
Problem 2: Was ein Gerät über WLANs verrät die es kennt
Hack: Das gleiche
Lösung: ?
(von Mobile-Zeugs hab ich leider quasi keine Ahnung, deswegen bin ich
mir nicht mehr 100% sicher, was unsere Notizen bedeuten sollen...)
5. Mobile Datenschutz
Probleme: Location Tracking, Ständige Spracherkennung, schlechte
Passwortmanager, Daten in der Cloud...
Hack: ?
Lösung: ?
6. Mobile Security
Problem 1: Fettflecken auf dem Touchscreen verraten die PIN/das
Entsperrmuster
Hack: Smartphone aus dem Publikum entsperren (TODO: wie viele Leute muss
man fragen, bis man ein brauchbares findet?)
Problem 2: Authentifikation mit Fingerabdruck
Hack: Finger nachbauen (zu viel Vorbereitung nötig?)
weitere Probleme: GSM ist unsicher, alte Androids sind unsicher (findet
man da einfache Exploits?)
Lösung: ?
7. WhatsApp sniffen
Problem: Die Verschlüsselung von WhatsApp ist schlecht bis nicht vorhanden
Hack: Es gibt da wohl ein fertiges Sniffing-Tool
Lösung: TextSecure? (ist das cool?)
weitere mögliche Themen:
- Cold Boot (kriegt man das vorgeführt?)
- Lockpicking
Damit eröffne ich nun das Hauen und Stechen um die Themenvergabe. Wie
gesagt: Eure eigenen Vorschläge sind uns ebenso willkommen.
nochmals vielen Dank und viele Grüße,
Andi
_______________________________________________
gpn-crypto mailing list
gpn-crypto(a)bl0rg.net
https://lists.bl0rg.net/cgi-bin/mailman/listinfo/gpn-crypto
3208
days inactive
3210
days old
2 comments
3 participants
participants (3)
-
Andreas Fried -
Florian Böhl -
Lukas Barth <mail@tinloaf.de>