35C3 Vorspannmusik Herald: Herzlich willkommen zum nächsten Talk "Du kannst alles hacken – du darfst dich nur nicht erwischen lassen". Kleine Umfrage: Wer von euch hat schonmal eine Sicherheitslücke gefunden und gedacht: "Oh Scheisse, wenn ich das jetzt jemandem erzähle, dann stecke ich aber ganz schön tief drin, das könnte Ärger geben"? Bitte Handzeichen, für wen trifft das zu? Zwischenruf aus dem Publikum: Kamera aus Gelächter Herald: Andere Frage: Wer von euch würde denn gern mal eine Sicherheitslücke finden, auch Handzeichen. Gelächter Alles klar, ich erkläre euch alle hiermit zu Betroffenen und diesen Talk für relevant für euch, denn viele Hackerinnen und Hacker stehen irgendwann im Laufe ihrer Karriere vor dem Problem oder in der Situation dass sie irgendwas gefunden haben oder irgendwo reingekommen sind, sich irgendwo reinverlaufen haben, und wissen, wenn die betroffenen Leute, in deren Architektur sie gerade drinstehen das mitkriegen, dann gibt's so richtig Ärger, das wird großes Missfallen erregen. Und in diesem Talk geht es darum, welche Worst-Case-Szenarien auf euch zukommen können, wie ihr damit umgeht, und am aller besten, wie ihr euch gar nicht erst erwischen lasst. Und unsere Speaker, Linus Neumann und Thorsten Schröder, sind Experten für IT-Sicherheit. Ihr kennt sie vielleicht noch von dem PC-Wahl-Hack. Da gings darum, dass sie Sicherheitlücken in der Bundestags-Wahl-Software gefunden haben, da gibt es eine sehr empfehlenswerte Folge. Alles klar, alles Quatsch was ich erzählt habe, ich empfehle euch die Folge von logbuch-netzpolitik.org trotzdem, die ist nämlich hörenswert, nämlich die Nummer 228 "Interessierte Bürger". Jetzt erstmal einen ganz herzlichen Applaus für Linus Neumann und Thorsten Schröder, Viel Spass Applaus Linus Neumann: Vielen Dank, dass ihr alle da seid. Vielen Dank für das herzliche Willkommen. Ich fand das auch schön, dass grad da einige von euch direkt den ersten OpSec fail gemacht haben und sich erstmal gemeldet haben. Wir haben noch nie irgendwas gehackt, wir haben mit nichts was zu tun. In unserem kleinen Talk soll es darüber gehen, über das Thema über das hier alle reden ist Hacking. Wir sehen über die Jahre viele feine, junge Hacker landen irgendwie im Knast, und es gibt einfach viele Risiken, die den Hacksport begleiten, und den Genuss trüben, zum Beispiel sowas wie Hausdurchsuchungen, eingetretene Türen, hohe Anwaltskosten, alles das muss nicht sein. Es lohnt sich für euch vielleicht, zu überlegen, wie auch ihr weiterhin freie Menschen bleiben könnt. Denn wir wissen, Hacker, das sind freie Menschen, so wie Künstler, die stehen morgens auf, und wenn sie in Stimmung sind, dann setzen sie sich hin und malen ihre Bilder. Und wir möchten, dass ihr noch viele schöne Bilder malen könnt. Und der Weg dahin ist: OpSec. Und darüber wollen wir heute mit euch reden. OpSec ist eigentlich sehr einfach zusammengefasst, hier auch übrigens... Schönes, schönes... Schönes Lehrmaterial auch wieder aus Russland, das scheint da die irgendwie umzutreiben. Wir haben, fangen wir mal ganz einfach im ganz normalen, den ersten Computerwurm an: Übermut tut selten gut, das ist eine der wichtigsten Lehren eurer operational Security, denn Angeberei und Übermut bringen euch gern das ein oder andere Problem ein. Und das wissen wir ungefähr seitdem es Computerwürmer überhaupt gibt. Der erste große Computerwurm, der so international unterwegs war, und die Hälfte des Internets lahmgelegt hat, war der Morris- Wurm, der mehrere Schwachstellen in Sendmail, Finger, Remote-SH und ein paar schwache Passwörter ausgenutzt hat, um sich selber zu verbreiten, war halt ein Computerwurm. Das führte also zu einem Internetausfall 1988. Und ihr fragt euch wahrscheinlich: Warum heißt der Wurm denn Morris-Wurm? Naja, weil sein Erfinder sehr sehr stolz war auf seinen Wurm, und gerne davon erzählt hat, wie er funktioniert hat. Und zu einem Zeitpunkt stand er wohl irgendwann in der Harward-Universität auf dem Tisch, und predigte, wie sein Wurm funktionierte in alle möglichen Details. Es war aber auch klar, dass die ursprüngliche Infektion dort stattgefunden hat, er hat allen davon erzählt. Irgendwann hats jemand einem Journalisten erzählt, er musste es dann zugeben. Er hat bekommen, dass der Computerwurm immerhin seinen Namen trägt. Allerdings auch 3 Jahre Bewährung, 400 Stunden soziale Arbeit, und 10.000 Dollar Geldstrafe, ohne den eigenen Geltungsdrang wäre es ihm unter Umständen erspart geblieben. Aber nicht nur bei Hackern haben wir so kleine Probleme mit Operational Security und Geltungsdrang, das haben wir auch bei Bankräubern. Und zwar haben wir hier einen jungen Mann, der hat eine Bank ausgeraubt. Und was macht man so, wenn man spannendes erlebt hat, und gerade so das ganz große Geld abgesahnt hat: Natürlich erstmal ein Selfie. Ja. Wenn das nicht reicht, kann man auch noch ein anderes Selfie machen. Gelächter Oder die Komplizin. Und auch Essen. Und dann gehts ganz schnell ins InstaJail. Und man denk, das wär jetzt so ein Einzelfall, ne, denkt so: OK, so blöd kann ja eigentlich keiner sein, aber wenn man sich so im Internet umschaut, braucht man echt nicht lange, um immer mehr Spezialexperten zu finden, die solche Bilder posten. Und das endet auch immer gleich: Hier der junge Mann mit den, also der muss ganz schreckliche Zähne haben, der hat alle Zähne schon aus Gold jetzt, die wurden auch verurteilt, weil sie auf Facebook damit angegeben haben, das sie Geld haben. Nun, wenn wir uns das anschauen, in den Pionieren des Car-Hackings, da haben wir im Prinzip das gleich Phänomen. Man muss dazu sagen, die ersten Unternehmungen im Car-Hacking waren eher so analoger Natur und eher Brute-Force. Und die Pioniere in diesem Bereich waren also diese beiden jungen Männer, die hier einen ganz großen Hack geleistet haben, nämlich die Fahrerscheibe eingeschlagen, 5000 Dollar und ein iPad aus einem Truck geklaut haben. Und, was macht man als erstes, wenn man ein iPad hat und so: Naja, erstmal in den Burger-King gehen, weil da gibts WLAN. Und ein bischen mit dem iPad daddeln. Und dann haben sie festgestellt: Ey, geil da kann man Videos mit machen. [Video wird abgespielt] .... This is my brother Dylan.. This.... good nights hassle L: Und weil sie in dieses gestohlene iPad mit dem WLAN vom Burger King verbunden hatten, passierte das, was passieren musste.... Gelächter L: Und der Eigner des Fahrzeuges hat dann eine Woche später das Video der Polizei übergeben, und die Polizei meinte, die sind ihnen auch gar nicht so unbekannt. Und haben sich um die jungen Männer gekümmert. Thorsten Schröder: Aber kommen wir mal zurück in die Computerhacker-Ecke, über die wir heute eigentlich sprechen wollen, jetzt haben wir einen kleinen Ausflug in die analoge Welt gemacht. Was kann denn alles schief gehen wenn man sich als interessierter Surfer oder sonstwas auf Online-Shopping-Portalen herumtreibt. Zunächst will man zunächst vielleicht doch irgendwelche Waren erwerben, dann fängt man da an, irgendwie im Online-Shop rumzuklicken. Plötzlich rutscht man mit der Maustaste aus, das passiert ja manchmal, dass man da vielleicht irgendwie aus Versehen ein falsches Zeichen eingibt, und was hier halt wichtig ist: Wir reden hier von einem Threat-Level, ein Level eines Bedrohungsszenarios für den Hacker, also wenn ihr da irgendiwe mit dem Online- Shopping-Portal unterwegs seid, und da aus Versehen auf der Maus ausrutscht, dann habt ihr ein gewisses Bedrohungsszenario. Das wird natürlich ein bischen höher wenn ihr da aus Versehen irgendwelche komischen Zeichen eingegeben habt, ihr seid da wahrscheinlich ohne Anonymisierungsdienste unterwegs, weil ihr wolltet ja bloß irgendwas einkaufen. Und jetzt denkt ihr so: Hmm, ich bin ja ein bischen verspielt und neugierig, ich mach jetzt mal Tor an oder irgendwas, und besuch jetzt diese Webseite später nochmal mit einem Anonymisierungsdienst. Und, ja, über die Zeit findet man dann vielleicht aus Versehen noch ein Cross-Site-Scriping, das Bedrohungslevel wächst so allmählich, aber man hat ja jetzt Tor am Start. Das Bedrohungs-Threat-Level wächst weiter, wenn man jetzt vielleicht noch eine etwas kritischere Schwachstelle wie eine SQL- Injection gefunden hat. Und es wächst weiter, wenn man vielleicht auch noch eine Remote-Code-Execution gefunden hat, dann sind wir schon recht hoch. Also wenn man jetzt erwischt wird, wäre es relativ ungünstig, weil man hat ja auch bewiesen, dass man direkt nicht nach einem Cross- Site-Scripting oder irgendeiner anderen banalen Schwachstelle direkt mal zu dem Portal gegangen ist und Bescheid gesagt hat. Na ja, was passiert dann, wenn man da weiter stöbert. Je nachdem was man da für so Ziele hat. Vielleicht findet man auch noch ein paar Kreditkarten. Jetzt sind wir schon recht hoch in unserem Threat-Level, und das geht rapide runter weil das Threat-Level ist jetzt wieder... Es wird entspannter. Man braucht jetzt keine Angst mehr haben, dass man irgendwann nochmal für diesen Hack da erwischt wird. Ja, warum wird da überhaupt jemand erwischt? Weil ich an die OpSec erst viel zu spät gedacht habe. In dem Moment, in dem ich auf der Maus ausgerutscht bin, hätte ich im Grunde genommen schon einen Anonymisierungsdienst, irgendnen Tor- Service oder so, am Start haben müssen, denn in dem Moment, wo irgendwann der Betreiber des Portals mitkriegt, dass da was passiert ist, werden die einfach gucken: Alles klar, wir verfolgen das zurück, ist eine Tor-Session, schlecht, aber irgendwann stossen sie auf diesen Fall, wo man halt "Ups" sagt. Und dann werden sie dich halt finden. L: Es ist eigentlich auch regelmäßig tatsächlich so, dass man irgendwie Leute irgendwie sagen: Ach, guck mal hier, da hab ich mal was entdeckt, und jetzt geh ich mal auf Tor. Ne Leute, ist zu spät, müsst ihr vorher machen. T: Tschuldigung, wenn euch sowas was auffällt, ihr könnt euch natürlich mal überlegen, wie haben ja jetzt die Datenschutzgrundverordnung, dann könntet ihr mal schauen was die so für Datenschutzrichtlinien haben, also manche Unternehmen geben ja dann auch Auskunft daüber, wie lange die Logfiles zum Beispiel aufbewahrt werden, und es soll ja.... L: Vielleicht habt ihr ja ein Recht auf Vergessen werden T: Ja, es gibt ja Unternehmen, die speichern ihre Logdaten nur 7 Tage, dann muss man einfach nochmal ne Woche warten vielleicht. L: Also es gilt allgemeine Vorsicht bei Datenreisen, so auch bei unserem Freund Alberto aus Uruguay, der mit seiner Freundin irgendwie nichts ahnend am Nachmittag am Computer saß, und sie gab irgendwelche Gesundheitsdaten in irgend so eine Cloud ein, weil: modern. Und Alberto sagte so: Ah, Gesunderheitsdaten, zeig mal her. admin admin, oh! Gelächter T: Ups L: Ups. Da war das Ups. Und er schrieb dann eine Mail an das CERT Uruguay, also die zentrale Meldestelle des Landes, weil es sich ja hier um sensible Patientendaten handelte, und Gesundheitsdaten, und er bekam innerhalb von Stunden eine Antwort von dem Leiter des CERT, also das war ganz klar, wir haben hier ein ernst zu nehmenden Fall, der auch eben ernst genommen wurde. T: Dieser "Ups" Fall ist vielleicht nicht ganz so dramatisch, möchte man meinen, weil der Hacker ja nichts böses vor hatte, der wollte gar nicht weiterstöbern, der hat einfach gesagt so: "Uh, denen muss ich schnell Bescheid sagen". L: Für den war der Fall auch erledigt, der hatte das ja jetzt dem CERT gemeldet, das CERT hat sich drum gekümmert, hat die Verantwortung übernommen, die kümmern sich jetzt drum. Schalten die Plattform ab, oder was auch immer. Alberto geht seinem Leben ganz normal weiter, bis er ein Jahr später feststellt: Oh, ahhh, das admin:admin haben sie inzwischen geschlossen, das ist schonmal gut, aber jetzt haben sie unauthenticated file access, auch nicht so gut, melde ich doch am besten einmal dem CERT. Und wieder vergeht einige lange Zeit, in diesem Fall um die zwei Jahre Schweigen im Walde. Er hatte die ganzen Sachen selbst längst vergessen, und dann bekommt das betroffene Unternehmen mit den Gesundheitsdaten plötzlich eine E-Mail, von irgendwem: Gib mal Bitcoin. Gelächter L: Der wollte "gibt mal Bitcoin", weil der Angreifer oder der Erpresser hier sagte, er sei im Besitz dieser Gesundheitsdaten, die diese Plattform geleaked hat. Und wenn jetzt nicht 15 Bitcoin innerhalb von $Zeitraum überwiesen würden, dann würde er an die Presse berichten: Alle Menschen in diesem Datensatz, die HIV-infiziert sind. T: Was die Presse bestimmt total interessiert hätte. L: Ich weiß nicht, ob das die Presse interessiert hätte, wen es auf jeden Fall interessiert hat, ist die Polizei. An die Polizei müsst ihr übrigens immer denken... T: Die erkennt man an diesen Kleidungsstücken hier L: Die erkennt man an diesen Hüten... Gelächter und Applaus L: Die haben vorne auch so einen Stern drauf. Nur damit ihr die nicht vergesst. So, irgendwer will also Bitcoin. Es passiert wieder längere Zeit nichts, bis auf einmal bei Alberto die Tür eingetreten wird. Es gibt eine Hausdurchsuchung, wieder mit Brute-Force. Und, jetzt passiert folgendes: Die Polizei traut ihren Augen nicht, als sie diese Wohnung betritt, und findet so viele spannende Sachen, dass sie nachher auf einem eigenen Pressetermin ihre Fundstücke so bischen drapiert, und damit angibt. Sah nämlich so aus: Da hatten wir also einen ganzen Stapel Kreditkarten und Blanko- Kreditkarten. Blanko-Kreditkarten machen immer gar nicht so einen guten Eindruck. Gelächter T: Meistens nicht. L: Sowohl im Supermarkt, als auch im Schrank wenn ihr die Polizei vorbeischaut. Außerdem finden sie Kartenlesegeräte und ein paar Wallet-Fails. T: Allo nedos L: Haben sie dann alles schön drapiert. Kartenlesegeräte, Zahlungsmittel und so. T: Ist dann halt die Frage, ob die Polizei an OpSec gedacht hat, und die Kreditkartennummern vielleicht auch noch gültig waren, als sie die Fotos veröffentlicht haben. Man weiß es nicht, man wird es auch nicht herausfinden. L: Und sie finden natürlich, was man bei jedem Hacker finden muss, bei jedem Kriminellen, was braucht man da? Murmeln im Raum L: Anonymous-Maske, klar Gelächter L: Anonymous-Maske drapieren die schön. Wir haben auch noch eine dabei.. Nein, wir haben keine Anonymous-Maske. Paar strategische Bargeld-Reserven. Und, das war natürlich sehr verräterisch, sie finden Bitcoin. Gelächter und Applaus L: Und die wollte der Erpresser ja haben. T: Dann ist der Fall wohl abgeschlossen. L: Ein Bitcoin und ein Bitcoin zusammengezählt. Verhör, ein paar Drohungen, und in Anbetracht der völlig inkompetenten Polizei flüchtet sich Alberto in das falsche Geständnis, in der Hoffnung, dass er im weiteren Verlauf des Verfahrens mit kompetenten Personen in Kontakt kommt. Dies Hoffnung erfüllt sich nicht, er ist erstmal im weiteren Verlauf 8 Monate im Knast, und gerade nur auf Kaution raus. Er ist absolut sicher und ehrlich, dass er das nicht getan hat. Hätte er es getan, wäre er auch ziemlich dämlich, nachdem du zwei Mal responsible Disclosure gemacht hast, schickst du keine Erpresser-E-Mail mehr. Vor allem nicht eine in der du sagst "Ich möchte 15 Bitcoin auf folgendes Konto..." ohne die Kontonummer anzugeben. Gelächter und Applaus L: Da wir jetzt ein paar Scherze über Alberto gemacht haben, haben wir ihn einfach mal kontaktiert, und Alberto hat auch noch ein paar Sachen zu seinem Fall zu sagen, und wir begrüßen ihn bei uns auf der Videoleinwand Applaus [Video] Hello Germany. .... ...... Applaus L: Also das Gerät, mit dem er da kurz hantiert hat, was irgendwie ein bischen so aussah wie ein GSM-Jammer, das ist ein ganz bedauerliches Missverständnis. Das hatte die Polizei nämlich nicht mitgenommen bei der Durchsuchung, ebenso wie 30 Festplatten, und er bekommt jetzt seine Geräte deshalb nicht zurück, weil die Polizei sagt, das würde zu lange dauern, den ganzen Kram anzuschauen. Aber wir lernen aus dieser Sache: Es hat schon irgendwie Sinn, 127.0.0.1 als Ort der vorbildlichen Ordnung, Sicherheit, Sauberkeit, und Disziplin zu pflegen, und wenn ihr euch mal überlegt, wie das aussieht wenn bei euch mal die Tür aufgemacht wird und ein paar Geräte rausgetragen werden, in den falschen Augen kann das alle ganz komisch aussehen. Und auch da fängt OpSec schon an. T: Nämlich viel früher, bevor ihr den Browser in die Hand nehmt, oder irgendwelche Logins ausprobiert. Ja, was gibt es denn noch auf einer technischen Ebene, was uns verraten kann. Jetzt haben wir sehr viel darüber gesprochen, dass Hacker sich selbst in die Pfanne hauen, weil sie zu geschwätzig sind, weil sie vielleicht sogar zu ehrlich sind, und irgendwelche Lücken melden. Was gibt es wirklich für Bedrohungsszenarien, die den Hackern gefährlich werden können: Das sind, man könnte sagen das sind Metadaten, die ja auch ein Stückweit so ähnlich sind wie Fingerabdrücke, wie auf diesem Metadaten-Aufkleber. Es gibt heute kaum noch irgendwelche Dinge, die keine Metadaten hinterlassen. Die Frage, wie man Metadaten vermeidet, oder was mit Metadaten angestellt werden kann, ist immer sehr stark abhängig vom Kontext, also auch irgendwelche Ermittler müssen sich natürlich immer den Kontext mit anschauen, wo Metadaten anfallen. Deshalb ist natürlich einer der wichtigsten Punkte, über die man sich bevor irgendwie auch nur irgendwas anhackt, muss man sich mal darüber im Klaren sein, was hinterlasse ich eigentlich für Spuren. Und das ist ist so der Teil, wo wir ein bischen versuchen wollen, den jüngeren Hackern oder Leute, die halt jetzt anfangen, auch mal Sachen zu hacken, mal ein paar Ideen mit auf den Weg geben, sich Gedanken darüber zu machen, was benutze ich für Geräte, was benutze ich für Software, was für Spuren hinterlasse ich. Selbst wenn ich jetzt gerade nicht am Rechner sitze, hinterlasse ich ja irgendwo Spuren, weil ich ein Smartphone mit mir rumschleppe. Und das ist einfach wichtig, einfach mal herauszufinden, wo hinterlasse ich eigentlich Logs. Was sind Identitäten, also wenn ich auch unter Pseudonym im Netz unterwegs bin, und vielleicht sogar noch Anonymisierungsdienste verwende, und eigentlich die technische Voraussetzung dafür geschaffen ist, dass ich auch anonym bleibe, benutzt man als Hacker, oder als Gruppe, vielleicht auch einfach Pseudonyme, oder man verwendet vielleicht irgendwelche kryptografischen Keys mehrfach auf verschiedenen Systemen L: Das ist immer sehr schlecht, kryptografische Keys gibt es halt nur einmal, das ist ja die Idee bei Key T: Das ist ja der Sinn der Sache. Wenn ich aber meine VMWares kopiere, und dann vielleicht irgendwelche Hidden Services aufmache und da Rückschlüsse auf die Keys zu ziehen sind. Oder was ich verschiedene Hostnamen dann auf ein und den selben Key, SSH-Key-oder was auch immer, zurückführen. L: Logs übrigens auch so ein Klassiker, immer wieder Strategen, die Dateien dann auf Truecrypt Volumes vorhalten, weil sie gehört haben, dass das ja dann besser ist, und dann in ihrem Betriebssystem aber das Logging anhaben, mit welchem Player und Viewer sie welche Dateien geöffnet haben, so dass dann auf der unverschlüsselten Partition des Betriebssystems schön noch draufsteht, welche Videos und Dateien sich vielleicht in den verschlüsselten Bereichen befinden. T: Ja, und da so, dieses Feature, für die meisten Leute ist das halt ein Feature, die wollen halt ihre recently used Apps oder was auch immer schön im Zugriff haben, damit sie weniger Tipp- und Klickarbeit haben, könnte aber euch das Genick brechen, wenn ihr dieses Betriebssystem einfach nutzen wollt, um einfach nur mal eben so rumzuhacken. Wichtig ist halt hier, so können irgendwelche Ermittler oder Leute, die euch hinterher recherchieren, Identitäten über euch erstellen, also über das, was ihr da gerade, unter welchem Pseudonym auch immer ihr da unterwegs seid. Die können Profile anlegen, die können euren Coding-Stil analysieren, eure Rechtschreibung wenn ihr irgendwelche Texte hinterlasst, oder euch in irgendwelchen Foren anonym oder unter Pseudonym mit irgendwelchen Sachen brüstet, die Leute, die sich die Rechner, die Server anschauen, die hops genommen wurden, die schauen sich halt auch die Bash-History an, wenn ihr die liegen lasst, dann gucken die halt, wie geht ihr mit so einer Konsole um, habt ihr Ahnung, darauf kann man schliessen wie viele, wieviel Erfahrung ihr im Umgang mit dem Betriebssystem habt, und so weiter. Das sind alles Sachen, auf die müsst ihr achten, die müssen beseitigt werden, und auch der Coding-Stil, wenn ihr irgendwo, kann ja durchaus sein, dass ihr meint, ihr müsst eine Funktionserweiterung im Kernel hinterlassen, der Code wird später analysiert, und, es gibt Software, die tut das, also so wie man Plagiate erkennt. Da gabs glaube ich vor zwei Jahren mal auch einen Kongress-Talk darüber, wie man anhand von Binary-Code quasi Rückschlüsse auf den ursprünglichen Autor ziehen kann, so dass man eben, Malware beispielweise attributieren kann, oder leichter attributieren kann. Wie auch immer, es gibt unglaublich viele Dinge, auf die man achten muss, und ihr müsst im Grunde genommen selber rausfinden, mit was für Werkzeugen hantiere ich hier eigentlich, und was öffnen die für Seitenkanäle. Was für Tracking und Telemetrie gibt es dort, und wie kann ich es möglicherweise abschalten. Es gibt irgendwie die Rules of the Internet von Anonymous L: ... von denen inzwischen keiner mehr anonymous ist, aber dazu kommen wir noch... T: Die haben halt irgendwie schöne Regeln aufgestellt, "Tits or get the fuck out" lautet eine, und das ist halt genau eine Regel, für die, die anonym bleiben wollten... Übrigens, das ist die Nummer falsch, aber ist egal... Ja, hier kommen wir zu einem schönen Fail eines Hackers mit dem Namen w0rmer, der hatte nämlich ein Foto seiner... der Brüste seiner Freundin veröffentlicht, und war er ganz stolz drauf "Tits or get the fuck out" dachten sich auch die Herren von der Polizei, denn in dem... L: In dem von iPhone aufgenommenen Bild war die GPS-Metadaten von dem Zuhause der Fotografierten T: Dumm gelaufen... L: Und deswegen kriegt w0rmer von uns den Mario Barth Award für den überflüssigsten OpSec-Fail Applaus T: Kennt ihr? Kennta kennta! L: Fragen sich natürlich, wie geht denn überhaupt Anonymität im Internet, wenn schon Anonymous das nicht hinkriegt. Wir wollen nicht entdeckt werden. Problem: Unsere IP-Adresse verrät unsere Herkunft. Das heißt, wir suchen nach etwas, was unsere IP-Adresse verschleiert, und wenn wir das bei Google eingeben, landen wir… T: ... bei VPN-Anbietern, das ist so das erste, was man findet. Du willst anonym im Internet unterwegs sein? Dann benutze halt ein VPN, wir auch oftmals als Ratschlag nahegelegt. Nagut, da benutzen wir also jetzt einen VPN-Provider, mit dem verbinden wir uns, das wird dann wahrscheinlich eine OpenVPN- oder was auch immer Connection sein, die dafür sorgt, dass unsere ursprüngliche IP-Adresse verschleiert wird, so dass niemand auf Serverseite quasi Rückschlüsse auf uns direkt ziehen kann. Alles, was wir an Traffic ins Internet senden, geht also über dieses VPN, und von da aus zu unserem Angriffsziel. Das ist hier eine böse Firma, die hier jetzt angehackt wird. Und die denkt sich so: "Whoa, was ist denn hier los, komischer Traffic, ah, das ist so ein VPN-Endpunkt". Und was haben wir jetzt so davon, also wissen wir jetzt, sind wir jetzt sicher? Wir treffen irgendeine Annahme, nämlich die Annahme, dass der VPN-Provider die Klappe hält. Und dem glauben wir, dem vertrauen wir, obwohl wir den noch nie gesehen haben. Aber eigentlich ist ja der Sinn, dass wir niemandem vertrauen müssen/wollen, wir wollen niemandem vertrauen, weil was passiert bei so einem VPN-Anbieter, wir haben da einen Account, wir bezahlen da möglicherweise für, warum sollte so ein VPN-Anbieter sein VPN für lau anbieten. Also, da liegt im Zweifelsfall eine E-Mail-Adresse von uns, da liegen unsere Kreditkartendaten oder Bitcoin-Wallet oder was auch immer. Es gibt möglicherweise Logs, aber wissen nichts davon. Vielleicht hat der VPN-Provider beim nächsten Betriebssystemupdate eine Logging-Option an, die er vorher nicht an hatte, und so weiter. Also es kann ganz viel passieren, das kann halt auch eine Quellen-TKÜ bei diesem Anbieter geben, und wir wollen das aber nicht, wir wollen niemandem vertrauen. Also ... L: ... fangen wir nochmal von vorne an. Bei dem Fall ist es halt schief gegangen, wir müssen also irgendwie einen Weg finden, wo wir nicht darauf angewiesen sind, anderen zu vertrauen. Das heißt nicht, dass wir denen nicht vertrauen können, es ist heißt nur, dass wir es nicht wollen. Aber, wir brauchen auf jeden Fall erstmal ein anderes Angriffsziel, ich würde sagen wir nehmen einfach mal irgendeine Alternative Gelächter und Applaus L: Und dieses Mal nutzen wir Tor. Habt ihr bestimmt schonmal von gehört, Tor ist eigentlich relativ einfach. Euer Datentraffic geht mehrmals über verschiedene Stationen im Internet und ist mehrmals verschlüsselt. Ihr sendet also an einen sogenannten Tor Entry erstmal einen mehrfach verschlüsselten... euren mehrfach verschlüsselten Traffic und dieser Tor Entry, der weiß ja jetzt wer ihr seid, der weiß aber sieht aber nur in der an ihn verschlüsselten Botschaft, dass die, dass er die weitergeben soll an einen nächste Node im Tor Netz, in diesem Fall die Middle-Node, und die Middle-Node gibt das vielleicht noch an andere Middle-Nodes weiter, das wurde von euch vorher festgelegt, bis ihr dann irgendwann beim Tor Exit seid, und der Tor Exit macht dann "hacke die hack hack". Und wenn jetzt unser Angriffsziel schaut "was ist denn los", da weiß der Tor Exit zwar "Ja, der Traffic der kam wohl von mir, aber ich habe keine Ahnung wo der her kommt, die Middle-Node weiß eh nix, und der Tor Entry weiß "Ja OK, der weiß zwar wer ihr seid, aber er hat keine Ahnung, welchen weiteren Verlauf die IP-Pakete und Datenpakete, die ihr geschickt habt, gegangen sind. Da seid ihr jetzt schon mal besser dran und müsst nicht so vielen Leuten vertrauen, weil ihr ... weil sie es einfach nicht wissen können. Es sei denn, ihr habt es mit einem globalen Angreifer zu tun, dann seid ihr natürlich etwas schlechter dran, aber so für die kleine Datenreise kann man hier auf jeden Fall noch ohne Reisewarnung auf die Reise gehen. Es sei denn, man ist zu blöd... T: Jetzt haben wir quasi die technische Voraussetzungen dafür, uns relativ anonym im Internet zu bewegen. Wir brauchen niemanden vertrauen und so weiter. Aber jetzt kommt halt so die eigene Intelligenz ins Spiel. L: Das ist eigentlich erst das Level, an dem wir Operational Security brauchen, vorher brauchen wir gar nicht erst anzufangen mit OpSec. Dachte sich auch ein Student der Harvard University, der irgendwie ein bisschen nicht gut vorbereitet war für die Prüfung die an dem Tag anstand. Und ihr kennt das, was macht man, man überlegt sich so "Wie könnte ich jetzt diese Prüfung noch zum ausfallen bringen". Da gibt es eigentlich relativ wenig Optionen, eine die aber immer ganz gut funktioniert ist eine Bombendrohung. Wer kennt das nicht. Gelächter L: Und hier, Harvard University Stratege sagt: "Ich habe ja gelernt, wie das mit der Anonymität im Internet ist, ich benutze Tor". Und er schickt seine Erpresser E-Mails, in denen steht "Ich habe eine Bombe da da da oder da positioniert". Einer davon der Räume in dem er die Klausur schreibt um auch ganz sicher zu gehen, dass auf jeden Fall der geräumt wird, wenn schon nicht die ganze Uni. Datenpaket kommt an, und was sagt die Harward Universität, die ruft natürlich die Polizei. Lalülala. Die Polizei sagt "Ach guck mal hier, ist über Tor gekommen, liebes NOC, schau doch mal bitte kurz ob irgendjemand von den Studenten hier in dem fraglichen Zeitpunkt Tor genutzt hat". Und in dem Uni Netzwerk haben die sich natürlich alle namentlich anmelden müssen. Und da gab es dann eine kostenlose Fahrt im Polizeiauto, weil wir hier eine wunderschöne Anonymisierungs technologie gehabt hätten, wenn wir uns nicht vorher angemeldet hätten, und nur für den genau den kleinen Zeitraum Tor genutzt haben, in dem genau diese Erpressungs-E-Mails bei der Uni ankamen. Aber wir bleiben ein bisschen bei Anonymisierungsdiensten, was ja auch insbesondere in der Öfentlichkeit sehr viel die Menschen bewegt: Hidden Services. Wir wollen also jetzt das ganze Anonymisierungsnetzwerk umdrehen, wir wollen nicht quasi als Angreifer versteckt sein, sondern wir wollen unseren Server da drin verstecken. Und das machen wir ganz einfach, indem wir die Leute zwingen, dass sie uns nur über Tor erreichen können. Das heißt, unser Polizist muss auf jeden Fall in ein Tor Entry, dann durch mehrere Middle-Nodes, und irgendwann kommen die Datenpakete bei uns an, ohne Tor jemals wieder zu verlassen. Die Middle-Nodes wissen nie, dass sie die erste oder die letzte sind, und so routen wir unsere Pakete immer irgendwie anders herum, und haben jetzt einen Server im Internet, zu dem viele Wege führen, aber nie wirklich herauszufinden ist, auf welchem Weg wir ... wo wir diesen Server stehen haben. Immer unter der Voraussetzung, dass nicht jemand das gesamte Internet überwacht, oder wir ein bischen zu blöd sind. Das können wir verhindern, indem wir auf unserem Hidden Service anfangen, keine Logs zu schreiben, wir benutzen keine bekannten SSH Keys. Relativ schlecht, wenn ihr da den gleichen SSH Key wie bei der Arbeit benutzt. Wir geben unserem Hidden Service nur ein lokales Netz, fangen den in irgendeinem RFC 1918, schaffen getrennt davor einen Tor-Router, der also dann mit dem Internet verbunden ist, und diesen ... den Hidden Service freigibt, und dann die Verbindung zu unserem Hidden Service herstellt. Das schöne ist, unser Hidden Service kann gar nicht mit dem Internet verbunden, werden wenn er also versucht, wenn ihn da so ein kleines Ping entfleuchen würde oder so, das könnte niemals in das große böse Internet gelangen. Gelächter L: Und jetzt haben wir also unseren Hidden Service da und sind total happy, denn das große böse Internet kommt nur über das Tor Netz zu uns. Aufwand zum Aufsetzen, wenn man weiß wie man es macht und ein bisschen geübt hat, würde ich sagen 1-2 Tage, und schon bist du einen Drogenkönig. Und jetzt sind die technischen Voraussetzungen da, dass du deine OpSec wieder so richtig schön verkacken kannst. Gelächter T: Es gibt da, um auch im Darknet zu bleiben, diesen Fall "Deutschland im Deep Web". Der Herr hatte sich da so ein Forum und Marketplace aufgemacht, und der Betrieb von solchen Diensten kostet ja Geld. Also hat er um Spenden gebeten, damit er seine Dienste weiterhin auch gesichert anbieten kann. Und die Spenden sammelt man natürlich in Bitcoin einer, eine schön anonyme Bezahlvariante passend zum Darknet. Ich habe Hidden Service, ich kann nicht gefunden werden. Ich habe ein anonymes Zahlungsmittel, ohne dass mein Name daran klebt. Also haben wir den Weg dass wir unsere Bitcoins irgendwann auch nochmal versilbern wollen. L: Irgendwann haste genug Burger im Room77 gegessen, dann musst du... dann willst du vielleicht auch mal Euro haben, oder so. T: Dann verlässt dieses anonyme Geld irgendwann die digitale Welt und wandert über so ein Bitcoin Exchange Portal auf dein Sparbuch, und in dem Fall hat es genau da schon "Knacks" gemacht, denn deine Identität ... Gelächter T: ... ist genau in diesem Fall aufgeflogen, weil wir hier über einen ... auch noch einen deutschen Anbieter Bitcoin Marketplace getauscht haben, und wie soll es anders sein, da wird natürlich Auskunft gegeben, wer denn der eigentliche Empfänger ist, und auf welches Sparbuch das ganze überwiesen wurde. Das heißt hier kommen wir jetzt zum Satoshi Nakamoto Award für anonyme Auszahlungen ... Gelächter T: ... für eine wohldurchdachte Spendenplattform ist. Wirklich wirklich gut gemacht. L: Bitcoin ist anonym. T: Ja, ja Bitcoin ist anonym. L: Und was eigentlich ganz interessant ist an den Fall, durch eigentlich einfach mal saubere Polizeiarbeit ohne Vorratsdatenspeicherung, ohne Responsible Encryption, ohne Verbot von Anonymisierungsdiensten hat die Polizei hier ihre Arbeit geleistet. Es ging ja hier dann auch nicht mehr nur um Kleinigkeiten, sondern auf dieser Plattform wurden Waffen gehandelt. Mit den Waffen, die dort gehandelt wurden, wurden Menschen getötet. Und ich denke hier kann doch einfach mal sagen, die Polizei, die ja gerne mal quengelt, das irgendwie alle Daten von ihnen weg sind, und sie immer mehr brauchen, hat hier einfach mal eine gute Arbeit geleistet... Applaus L: ... ohne uns die ganze Zeit zu überwachen, ist doch auch mal was das. Ist doch Schön! T: Brauchen gar keine Vorratsdatenspeicherung L: Können wir anonym bleiben... Aber man hat natürlich noch sehr viel schönere Metadaten, mit denen man zum Opfer fallen kann. Sehr beliebt ist WLAN. Wer von euch benutzt WLAN? Jetzt melden sich die, die sich gerade schon gemeldet haben, als die Frage war, ob sie schon mal eine Sicherheitslücke gefunden haben. T: Es heißt ja auch, man soll zum Hacken irgendwie zu irgendwelchen Kaffeeketten gehen. Vielleicht keine so gute Idee. L: WLAN ist nicht mehr nur in eurer Wohnung, die Signale die ihr da ausstrahlt, die kommen relativ weit. Das hat auch ein Mitglied von Anonymous gelernt, der nämlich am Ende darüber überführt wurde, dass man einfach vor seinem Haus so einen Empfangswagen hingestellt hat, und geguckt hat, wann denn sein WLAN so aktiv ist. Wann also sein Computer, wenn auch verschlüsselte Pakete, durch das WPA verschlüsselte WLAN und durchs Tor Netz und sieben Proxies und hast du alles nicht gesehen, die am Ende einfach nur korreliert: Wann ist der gute Mann im IRC aktiv, und wenn er aktiv ist, kann das sein, dass zufällig auch diese Wohnung, auf die wir unsere Richtantenne ausgerichtet haben, ein paar WLAN Paketchen emittiert. Stellte sich heraus, das war der Fall. Hat ihn am Ende in den Knast gebracht. Und das spannende ist, wir haben wir die Unverletzlichkeit der Wohnung, die brauchten gar nicht rein zu gehen, weil ihnen der Mensch, der sich hier anonym halten wollte, quasi seine Datenpakete frei Haus geliefert hat. Also man könnte sagen: Ethernet ist OpSec-Net. Applaus T: Ein weiterer Killer für Anonymität ist auch die Möglichkeit, dass so ein Smartphone, wenn man rumrennt, oder eine Uhr mit WLAN Funktionalität oder Bluetooth, die hinterlassenen Spuren wo man hingeht. Also es gibt ja auch Marketingfirmen, die Lösungen anbieten, was sich die MAC Adressen von den Endgeräten auch zu tracken, also diese Spuren hinterlässt man, auch wenn man einfach so auf die Straße geht, und hinterlässt damit natürlich auch Spuren, die irgendwie korreliert werden können mit dem eigenen Verhalten. Und wenn es einfach nur darum geht, man ist irgendwie zum bestimmten Zeitpunkt gerade nicht zu Hause, ... L: Aber ich bin voll klug, ich kann meine MAC-Adresse randomisieren. MAC-Changer. Voll geil. T: Super. Dein Telefon ist aber auch nicht nur einfach so an, das kennt irgendwie so 10, 15 oder 20 verschiedene SSIDs, also verschiedene WLAN Netze, in die du dich regelmäßig einbuchst, und selbst wenn du deine MAC-Adresse regelmäßig änderst, wird dieses Gerät diese Probes regelmäßig raussenden und hinterlässt damit ein Profil über dich. Ja, da rechnest du erst mal nicht mit. Es eigentlich viel einfacher, dich über so ein Set an bekannten SSIDs Probes zu identifizieren als über eine MAC-Adresse. Du hinterlässt eine sehr starke Identität, egal wo du hingehst und wo du dich da aufhälst. L: Ich seh gerade, hier haben wir offenbar jemanden gefangen in der vierten SSID von oben, der war sogar schonmal im Darknet. T: Und im St. Oberholz. Das ist eigentlich fast das gleiche, oder? L: Ein echt ärgerliches Phänomen, was die Hersteller eigentlich meinten beseitigt zu haben, indem sie dann die MAC Adressen bei den Probe Requests randomisieren. Aber einfach nur die Anzahl der WLANs, die eure Geräte kennen, ist mit wenigen WLANs sofort eindeutig und spezifisch auf euch in dieser Kombination. Und nach dieser Kombination kann man eben überall suchen. T: Also was kann man hier so ganz grundsätzlich mal sagen, wenn man irgendwie Sorge hat, getracked zu werden, dann sollte man dafür sorgen dass das WLAN auf allen im Alltag genutzten Devices ausgeschaltet wird, wenn man die Wohnung verlässt, oder wenn du irgendwas hackst. L: Kommt ja manchmal vor.... T: Manchmal. L: Auch sehr schön, habe ich einen Fall gehabt, manchmal berate ich Leute, in dem Fall war das eine Gruppe von ehrenamtlichen U-Bahn Lackierern ... Gelächter und Applaus L: ... die sich dafür interessierten, wie denn so ihre Arbeitsabläufe zu bewerten sind. Und die hatten Diensthandys, die sie nur für den Einsatz beim Kunden benutzt haben. Was ja erstmal, also es war ja schön gedacht. Das einzige Problem war natürlich, sie haben die auch wirklich nur beim Kunden eingesetzt. Und wenn man jetzt einmal in so eine Funkzellenabfrage damit gerät, und die Polizei spitz kriegt: "Oh, wunderbar, wir machen jetzt einfach jedes Mal, wenn die ein neues Bild gemalt haben, so wie die Hacker von Putin, dann machen wir einfach eine kleine Funkzellenabfrage und schauen uns mal, welche IMEIs, welche IMSIs waren denn so in welchen Funkzellen eingeloggt. Das macht ihr 2, 3 Mal, dann seid ihr das nächste Mal, wenn ihr im Einsatz seit, ehrenamtlich, wartet die Polizei schon an eurem Einsatzort. Denn Mobiltelefone lassen sich einfach live tracken, wenn man weiß nach welchen man sucht. Und auch hier eben ein wunderschöner Fall von OpSec Fail. Übrigens wollte ich nur darauf hinweisen, das ist kein Bild von der angesprochenen Gruppe. So klug waren die schon, ich habe einfach irgendeins gegoogelt. T: Und hier wird ein Pseudonym, also was weiß ich, irgendein Name dieser Gruppe, wird dann irgendwann aufgelöst und wird einer bestimmten Person oder Personengruppe zugeordnet, und weil halt über einen längeren Zeitraum immer wieder diese Metadaten angefallen sind, immer mit diesem Bild, mit diesem Schriftzug, mit dem Namen, also diesem Pseudonym assoziiert werden können, und irgendwann kommt der Tag, und wenn es nach fünf oder nach zehn Jahren ist, da wird man das dann quasi alles auf eine Person zurückführen können. L: Das ist echt so dieser Geltungsdrang, der den Graffiti Sprüher irgendwie immer wieder zum Verhängnis wird so. Einmal so eine Bahn zu besprühen, und diese wieder sauber machen zu lassen, das kriegste vielleicht noch geschultert, aber wenn du das irgendwie 20 Mal gemacht hast, und dann erwischt wirst... Schlecht. T: Beim 19. Mal denkt man noch: Ey, ich wurde jetzt 20 mal nicht erwischt, oder 19 Mal... L: Sie könnten jedes Mal einen anderen Namen malen oder so. T: Ja okay, aber das ist ja unter Hacker ja auch so, es gab ja auch Defacement Organisationen, die das quasi in der digitalen Welt ähnlich gemacht haben. Wie auch immer, wie ich schon am Anfang angesprochen habe, ist eigentlich das wichtigste, dass man weiß, was für Werkzeuge man verwendet. Dass man die Werkzeuge beherrscht, dass man nicht einfach irgendwas herunterlädt, weil man hat davon mal irgend etwas gehört oder ein Kumpel hat mal was gesagt, oder man hat im Internet irgendwas gelesen. Kenne dein Gerät. Setze sich mit der Technik auseinander, die du da benutzt, und benutze halt die Technik, die du am besten beherrscht. Beispielsweise Web Browser. Das ist schon ein ganz wichtiges Thema, ich meine viele dieser ganzen Web Application Geschichten, über die stolpert man hauptsächlich mit Browsern. Und heutzutage ist eigentlich völlig egal, was für einen Browser man benutzt, die haben alle irgendwelche Macken, irgendwelches Tracking, oder Telemetry enabled. Das ist zum Beispiel auch bei Mozilla ein großes Ding, Wenn man halt eine sehr beliebte Extension installiert hat, und die zum Beispiel den Besitzer wechselt, und dieser neue Besitzer dann einfach klammheimlich irgendein Tracking einbaut, das alles schon vorgekommen, kann euch das .... L: ... da haben wir einen Vortrag drüber gehabt ... T: Kann euch das irgendwann den Kopf kosten, und deswegen müssen ihr ganz genau wissen: Was benutze ich hier für Tools, was ändert sich wenn ich dieses Tool vielleicht mal update, oder irgendwie eine kleine Extension update. Setzt euch einfach damit auseinander, denn was die Werbeindustrie ganz gut drauf hat, ist euch zu tracken, egal ob ihr jetzt Cookies akzeptiert oder irgendwie Tracking disabled habt, die können das ganz gut mit Browser Footprinting, da gibt es verschiedene Methoden auf einem ganz anderen Weg. So wie man eben diese WLAN Probe Requests irgendwie nutzen kann um da einen Footprint zur identifizieren, kann deshalb bei Browsern genauso funktionieren. Also, was kann man da machen? Man verwendet vielleicht Wegwerf- Profile, man sorgt dafür, dass die Daten zuverlässig von der Festplatte wieder verschwinden. Idealerweise hat man ja ohnehin einen Laptop, mit dem man dann hackt, den mann regelmäßig mal platt macht. Und man muss dafür sorgen, dass egal was für einen Browser ihr verwendet, dass alle Datenlecks zuverlässig gestoppt werden. Ein Serviervorschlag für so ein Setup, anonym und mit möglichst wenig Datenlecks unterwegs zu sein, ist einfach alles zu trennen, was man trennen kann. Wenn ihr grundsätzlich davon ausgeht, dass irgendwo etwas schief gehen kann, und es wird irgendwo etwas schief gehen, dann müsst ihr einfach dafür sorgen, dass dieses Risiko möglichst minimal gehalten wird. Also wäre eine Möglichkeit: Ihr benutzt einen Rechner, als Hardware oder VM, wo ihr eure Hacking Workstation drin habt, irgend ein Kali oder BSD, oder was auch immer, und über meinetwegen Hunix Installation dafür sorgt, dass keine Datenlecks nach außen gelangen können. Es wird immer noch irgendwelche Datenlecks geben, die so ein Hunix nicht abhalten kann, aber es minimiert zumindest bestimmte Risiken bevor irgendwelche Pakete fahrlässig ins große böse Internet gesendet werden, wo eine Menge Leute darauf warten. Also deine Geräte, lass dich nicht beeinflussen von irgendwelchen Leuten, die halt sagen: "Ne, du musst das Betriebssystem benutzen, sonst bist du nicht cool oder sonst kann es ja nicht mitmachen". Ihr müsst genau das Betriebssystem benutzen, mit dem ihr euch am besten auskennt, denn nur wenn ihr euer System beherrscht und gut kennt, könnt ihr auch, wisst ihr halt über all diese Nachteile, die hier eine Rolle spielen, wisst ihr darüber Bescheid, ihr könnt das berücksichtigen in eurem Verhalten. Faulheit ist auch ein großer Killer von Anonymität, ebenso dieses vorausschauende OpSec, dass man sagt, ich benutze von vornherein Tor, auch wenn ich jetzt gerade nur was im Onlineshop was einkaufen will. Einfach nur um sicher zu sein, dass man nirgendwo einfach nur aus Faulheit irgend einen Schutzmechanismus mal weglässt. Kann ja auch sein, dass irgendein Target Server einfach sagt: "Nöö, ich blockier aber Tor Exit Nodes". Kommt vor. Oder dass zum Beispiel die Captchas immer lästiger werden, wenn man über einen Tor Exit Node kommt. Das ist einfach alles nur dafür da, euch zu nerven und einfach mal für einen kleinen Augenblick Tor abzuschalten und vielleicht normalen VPN-Anbieter zu benutzen, oder komplett auf irgendeine Verschleierung zu verzichten. Und ja, diese Faulheit wird euch im Zweifelsfall auch das Genick brechen. Was wir in Zukunft eventuell auch häufiger sehen könnten ist etwas, das sind Canaries. Colin Malena hat letztes Jahr auch schon auf dem Kongress glaube ich über Canaries in Embedded Devices gesprochen. Das sind einfach nur irgendwelche Pattern, die in der Firmware hinterlassen werden, die dann gemonitored werden, ob jemand danach googelt. Das heißt, ich kann also auch auf einem Produktionssystem so eine Art Pseudo Honeypot installieren, und eine Datenbank mit scheinbar realen Daten füllen, und irgendein Angreifer, der halt sehr neugierig ist, wird das möglicherweise ausprobieren, ob das Login von der Frau Merkel dann auch wirklich funktioniert, oder er wird vielleicht nach irgendeinem Pattern auch googeln und herauszufinden, ob sich dann noch mehr holen lässt, um die Qualität und vielleicht auch den Wert der erbeuteten Daten auszukundschaften. Das heißt, da ist auch Neugier dann der Killer was Anonymität angeht. Und ja, das sind halt einfach Fallen, die ausgelegt werden, und man sollte grundsätzlich so eine gewisse Grundparanoia haben. Man sollte immer davon ausgehen, das jemand einem eine Falle stellt. L: Zum Beispiel auch, wenn das Männchen vom Elektroversorger kommt, und so was mitbringt; Wisst ihr, was das ist? Das ist ein Smart Meter. Auch das natürlich ein Gerät, was unter der Maßgabe des "Digital First, Bedenken Second" gerade ausgerollt wird und eine ganze Menge Metadaten über euer Verhalten sammelt. Müsst ihr euch aber nicht unbedingt Sorgen machen, weil das ist ja vom Bundesamt für Sicherheit in der Informationstechnik abgenommen, da kann eigentlich nichts schief gehen. Außer natürlich, dass Geräte mit Deutschlandflagge und Adler für die hacksportliche Nutzung grundsätzlich ungeeignet sind, deswegen raten wir davon ab. Und sind gespannt, was wir noch alles für Metadatenquellen in unserer Zukunft sehen werden. T: Ja, und ihr seht schon, es sind nicht immer nur die technischen Probleme, die ihr nicht berücksichtigt, das seid auch ihr selbst, eben dieses ungeduldig sein oder faul sein, oder wenn man sich gerne Sachen schön redet und sagt "So naja, nu, ist jetzt irgendwie 19 Mal gut gegangen, warum sollte ich jetzt irgendwie immer und immer wieder den gleichen Aufwand betreiben, das wird schon schiefgehen. Warum sollte jemand in dieses Log gucken". Ist so vergleichbar mit "Warum sollte irgendjemand diesen Unsinn in dieses Formularfeld eintragen". Also man trifft hier Annahmen, die halt fatal sind, und da muss man halt auch sehr stark darauf achten, dass man selbst nicht sich selbst verrät. Die Frage ist zum Beispiel auch: Geht man oft gerne feiern und brüstet sich dann vielleicht auf einer Feier beim Bier irgendwie mit Erfolgen oder gibt man sich gerne geheimnisvoll? So gibt man immer wieder gerne auch mal Geheimnisse preis, die einem das Genick brechen. Da gibt es auch Fälle, wo dann Leute aus dem Freundeskreis eben angefangen haben, Daten auch nach außen sickern zu lassen. Ansonsten sind das noch Kleinigkeiten wie ich schon sagte der Coding-Stil kann ein verraten, das ist wie eine Handschrift, aber deine Rechtschreibung und Grammatik ist es auch. Vielleicht kann man da irgendwelche Translation-Services benutzen und hin und her übersetzen, wenn man schon in irgendwelchen Foren schreiben muss. Bestimmte Skills, Eigenschaften, die ihr technisch beherrscht, die andere vielleicht nicht so gut beherrschen, können euch auch genausogut verraten. Das sind am Ende einfach nur einzelne Indizien, die von Ermittlern oder Leuten, die euch jagen, kombiniert werden, um nem plausiblen Beweis zu finden, um euch zu finden. Ja, ansonsten ist auch oft, wenn ihr irgendwo was zerhackt habt, dann hinterlasst hier vielleicht auch irgendwelche Funktionserweiterer und Werkzeuge, die es euch erlauben, Sachen hoch oder runter zu laden. Diese Sachen bleiben im Zweifelsfall dort liegen, weil euch jemand die Internetleitung kappt, und diese Daten können dann halt analysiert werden. Rechnet immer damit, dass dieser Fall eintreten kann, und sorgt dafür, dass sich eure Tools, dass es da keinen Zusammenhang ergibt zu euch. Ja, ansonsten eben einfach mal tief durchatmen, vielleicht ein bisschen diskreter an die Sache rangehen, und versuchen unter dem Radar zu bleiben, nicht herum zu posen, keine Andeutungen zu machen, um damit irgendwie ein Geheimnis geheimnisvoller da zu stehen. Nicht übermütig zu werden, das ist einer der wichtigsten Punkte, und eben, dieser Geldfall, nicht gierig zu werden, klar. Geld macht eh nicht glücklich, also von daher, werde einfach nicht übermütig. Ich glaube, das ist am Ende auch ein ganz großer Faktor, wenn man irgendwie jahrelang irgendwelche Sachen zerhackt hat, dass man da übermütig wird. Und, verhaltet euch einfach so wie ihr euren Eltern das immer auch empfohlen habt: Klickt nicht auf irgendwelche Links, die ihr per Spam E-Mail zugeschickt bekommt. Klickt nicht auf irgendwelche Anhänge, die euch zugeschickt werden ungefragt. Und seid einfach nicht so leichtfertig. L: Was auch noch zu verräterischen Schwächen gehört ist auch ein Fall aus dem Anonymous-Umfeld: Dein Kumpel hat Kind und Familie, ist erpressbar, und versuchte dich, ans Messer zu liefern. T: Ich habe kein Messer dabei... L: OK. Es gibt eigentlich, wenn ihr euch das so anschaut, niemanden der das so mit dem Hacking länger durchgehalten hat, will man meinen. Aber es gibt einen, das ist Fisher, kein Mensch weiß wie er aussieht, kein Mensch weiß ob es mehrere oder wenige sind. Und diese Person, dieses Pseudonym, ist ein Staatstrojaner-Jäger, hat einfach mal Gamma Finfisher aufgemacht, hat in Italien das Hacking Team aufgemacht, und vor kurzem gab es dann die frohe Kunde, dass die Ermittlungsverfahren eingestellt wurden, weil es keine Spuren gibt, um irgendwie diese Person oder diesen Hacker zu finden. Und dafür gibt es von uns natürlich die lobende Erwähnung und den Hat-Tip.... Applaus L: Kommen wir zum Fazit: Pseudonym ist nicht anonym. Verratet nicht eure Pläne, seid nicht in der Situation, dass ihr jemandem vertrauen müsst. Seid vor allem vorher paranoid, weil nachher geht das nicht mehr. Kennt eure Geräte, trennt Aktivitäten und Geräte, es ist sehr sinnvoll mehrere Geräte zu haben, vor allem wenn man von der Polizei durchsucht wird wie Alberto, und die nur die Hälfte mitnehmen, habt ihr danach vielleicht noch ein Gerät über. Haltet euer Zuhause rein, und vor allem lasst die Finger vom Cybercrime. Andere waren besser als ihr und haben es auch nicht geschafft. Bitcoin ist eh im Keller. Also lasst es sein. Applaus L: Und dann bleibt uns eigentlich nur noch ein ein allerletzter wichtiger Rat, und das ist nie ohne Skimaske hacken. T: Und immer auch nie ohne Ethik hacken. L: Und bitte bitte bitte bitte nie ohne Ethik hacken, den Vortrag über die Hackerethik, auch dass ein Einführungsvortrag, den gab es an Tag eins von Frank Rieger. Ihr könnt euch auch den Seiten des CCC darüber informieren, spart euch den Ärger, arbeitet auch der leuchtend glänzenden Seite der Macht und seid gute Hacker. Macht keinen Scheiß, dann aber auch keine Sorgen. Vielen Dank ! Applaus T: Ich hab auch noch eine. Applaus T: Ist bald wieder Fasching, ne Applaus Abspannmusik Untertitel erstellt von c3subtitles.de im Jahr 2019. Mach mit und hilf uns!