WEBVTT

00:00:00.000 --> 00:00:17.420
<i>35C3 Vorspannmusik</i>


00:00:17.420 --> 00:00:19.649
Herald:
Herzlich willkommen zum nächsten Talk

00:00:19.649 --> 00:00:22.689
"Du kannst alles hacken – 
du darfst dich nur nicht erwischen lassen".

00:00:22.689 --> 00:00:24.590
Kleine Umfrage:
Wer von euch

00:00:24.590 --> 00:00:26.710
hat schonmal eine Sicherheitslücke gefunden

00:00:26.710 --> 00:00:27.940
und gedacht:
"Oh Scheisse, wenn ich das jetzt jemandem

00:00:27.940 --> 00:00:31.530
erzähle, dann stecke ich aber ganz schön
tief drin, das könnte Ärger geben"?

00:00:31.530 --> 00:00:34.100
Bitte Handzeichen, für wen trifft das zu?

00:00:34.100 --> 00:00:36.910
<i>Zwischenruf aus dem Publikum</i>: Kamera aus
<i>Gelächter</i>

00:00:36.910 --> 00:00:40.489
Herald: Andere Frage: Wer von euch würde
denn gern mal eine Sicherheitslücke

00:00:40.489 --> 00:00:45.100
finden, auch Handzeichen.
<i>Gelächter</i>

00:00:45.100 --> 00:00:48.769
Alles klar, ich erkläre euch alle hiermit
zu Betroffenen und diesen Talk für

00:00:48.769 --> 00:00:52.830
relevant für euch, denn viele Hackerinnen
und Hacker stehen irgendwann im Laufe

00:00:52.830 --> 00:00:57.249
ihrer Karriere vor dem Problem oder in der
Situation dass sie irgendwas gefunden

00:00:57.249 --> 00:01:01.000
haben oder irgendwo reingekommen sind,
sich irgendwo reinverlaufen haben, und

00:01:01.000 --> 00:01:04.709
wissen, wenn die betroffenen Leute, in
deren Architektur sie gerade drinstehen

00:01:04.709 --> 00:01:08.540
das mitkriegen, dann gibt's so richtig
Ärger, das wird großes Missfallen erregen.

00:01:08.540 --> 00:01:12.070
Und in diesem Talk geht es darum,
welche Worst-Case-Szenarien auf euch

00:01:12.070 --> 00:01:16.310
zukommen können, wie ihr damit umgeht, und
am aller besten, wie ihr euch gar nicht

00:01:16.310 --> 00:01:20.350
erst erwischen lasst. Und unsere Speaker,
Linus Neumann und Thorsten Schröder, sind

00:01:20.350 --> 00:01:24.290
Experten für IT-Sicherheit. Ihr kennt sie
vielleicht noch von dem PC-Wahl-Hack.

00:01:24.290 --> 00:01:28.800
Da gings darum, dass sie Sicherheitlücken
in der Bundestags-Wahl-Software gefunden

00:01:28.800 --> 00:01:32.261
haben, da gibt es eine sehr
empfehlenswerte Folge.

00:01:32.261 --> 00:01:35.101
Alles klar, alles Quatsch was ich
erzählt habe, ich empfehle

00:01:35.121 --> 00:01:37.080
euch die Folge von logbuch-netzpolitik.org

00:01:37.080 --> 00:01:39.920
trotzdem, die ist nämlich
hörenswert, nämlich die Nummer 228

00:01:39.920 --> 00:01:43.630
"Interessierte Bürger". Jetzt erstmal
einen ganz herzlichen Applaus für Linus

00:01:43.630 --> 00:01:50.360
Neumann und Thorsten Schröder, Viel Spass
<i>Applaus</i>

00:01:50.360 --> 00:01:54.140
Linus Neumann: Vielen Dank, dass ihr alle
da seid. Vielen Dank für das herzliche

00:01:54.140 --> 00:01:57.690
Willkommen. Ich fand das auch schön, dass
grad da einige von euch direkt den ersten

00:01:57.690 --> 00:02:01.880
OpSec fail gemacht haben und sich erstmal
gemeldet haben. Wir haben noch nie

00:02:01.880 --> 00:02:05.650
irgendwas gehackt, wir haben mit nichts
was zu tun. In unserem kleinen Talk soll

00:02:05.650 --> 00:02:10.630
es darüber gehen, über das Thema über das
hier alle reden ist Hacking. Wir sehen

00:02:10.630 --> 00:02:15.690
über die Jahre viele feine, junge Hacker
landen irgendwie im Knast, und es gibt

00:02:15.690 --> 00:02:20.441
einfach viele Risiken, die den Hacksport
begleiten, und den Genuss trüben,

00:02:20.441 --> 00:02:24.290
zum Beispiel sowas wie Hausdurchsuchungen,
eingetretene Türen, hohe Anwaltskosten,

00:02:24.290 --> 00:02:31.830
alles das muss nicht sein. Es lohnt sich
für euch vielleicht, zu überlegen, wie

00:02:31.830 --> 00:02:39.760
auch ihr weiterhin freie Menschen bleiben
könnt. Denn wir wissen, Hacker, das sind

00:02:39.760 --> 00:02:43.900
freie Menschen, so wie Künstler, die
stehen morgens auf, und wenn sie in

00:02:43.900 --> 00:02:48.960
Stimmung sind, dann setzen sie sich hin
und malen ihre Bilder. Und wir möchten,

NOTE Paragraph

00:02:48.960 --> 00:02:56.580
dass ihr noch viele schöne Bilder malen
könnt. Und der Weg dahin ist: OpSec.

00:02:56.580 --> 00:02:59.530
Und darüber wollen wir heute
mit euch reden.

00:02:59.530 --> 00:03:02.610
OpSec ist eigentlich 
sehr einfach zusammengefasst,

00:03:02.610 --> 00:03:12.740
hier auch übrigens...
Schönes, schönes...

00:03:12.740 --> 00:03:14.480
Schönes Lehrmaterial auch wieder

00:03:14.480 --> 00:03:24.099
aus Russland, das scheint da die irgendwie
umzutreiben. Wir haben, fangen wir mal

00:03:24.099 --> 00:03:30.880
ganz einfach im ganz normalen, den ersten
Computerwurm an: Übermut tut selten gut,

00:03:30.880 --> 00:03:36.291
das ist eine der wichtigsten Lehren eurer
operational Security, denn Angeberei und

00:03:36.291 --> 00:03:41.630
Übermut bringen euch gern das ein oder
andere Problem ein. Und das wissen wir

00:03:41.630 --> 00:03:47.100
ungefähr seitdem es Computerwürmer
überhaupt gibt. Der erste große

00:03:47.100 --> 00:03:51.579
Computerwurm, der so international
unterwegs war, und die Hälfte des

00:03:51.579 --> 00:03:56.879
Internets lahmgelegt hat, war der Morris-
Wurm, der mehrere Schwachstellen in

00:03:56.879 --> 00:04:02.629
Sendmail, Finger, Remote-SH und ein paar
schwache Passwörter ausgenutzt hat, um

00:04:02.629 --> 00:04:07.050
sich selber zu verbreiten, war halt ein
Computerwurm. Das führte also zu einem

00:04:07.050 --> 00:04:12.840
Internetausfall 1988. Und ihr fragt euch
wahrscheinlich: Warum heißt der Wurm denn

00:04:12.840 --> 00:04:21.440
Morris-Wurm? Naja, weil sein Erfinder sehr
sehr stolz war auf seinen Wurm, und gerne

00:04:21.440 --> 00:04:26.120
davon erzählt hat, wie er funktioniert
hat. Und zu einem Zeitpunkt stand er wohl

00:04:26.120 --> 00:04:31.790
irgendwann in der Harward-Universität auf
dem Tisch, und predigte, wie sein Wurm

00:04:31.790 --> 00:04:36.320
funktionierte in alle möglichen Details.
Es war aber auch klar, dass die

00:04:36.320 --> 00:04:40.639
ursprüngliche Infektion dort stattgefunden
hat, er hat allen davon erzählt.

00:04:40.639 --> 00:04:45.320
Irgendwann hats jemand einem Journalisten
erzählt, er musste es dann zugeben. Er hat

00:04:45.320 --> 00:04:49.630
bekommen, dass der Computerwurm immerhin
seinen Namen trägt. Allerdings auch

00:04:49.630 --> 00:04:56.630
3 Jahre Bewährung, 400 Stunden soziale
Arbeit, und 10.000 Dollar Geldstrafe, ohne

00:04:56.630 --> 00:05:01.930
den eigenen Geltungsdrang wäre es ihm
unter Umständen erspart geblieben. Aber

00:05:01.930 --> 00:05:05.250
nicht nur bei Hackern haben wir so kleine
Probleme mit Operational Security und

00:05:05.250 --> 00:05:09.840
Geltungsdrang, das haben wir auch bei
Bankräubern. Und zwar haben wir hier einen

00:05:09.840 --> 00:05:15.160
jungen Mann, der hat eine Bank ausgeraubt.
Und was macht man so, wenn man spannendes

00:05:15.160 --> 00:05:19.180
erlebt hat, und gerade so das ganz große
Geld abgesahnt hat: Natürlich erstmal ein

00:05:19.180 --> 00:05:25.920
Selfie. Ja. Wenn das nicht reicht, kann
man auch noch ein anderes Selfie machen.

00:05:25.920 --> 00:05:27.520
<i>Gelächter</i>

00:05:27.520 --> 00:05:36.880
Oder die Komplizin. Und auch Essen. Und
dann gehts ganz schnell ins InstaJail. Und

00:05:36.880 --> 00:05:41.610
man denk, das wär jetzt so ein Einzelfall,
ne, denkt so: OK, so blöd kann ja

00:05:41.610 --> 00:05:46.250
eigentlich keiner sein, aber wenn man sich
so im Internet umschaut, braucht man echt

00:05:46.250 --> 00:05:52.869
nicht lange, um immer mehr Spezialexperten
zu finden, die solche Bilder posten. Und

00:05:52.869 --> 00:05:56.470
das endet auch immer gleich: Hier der
junge Mann mit den, also der muss ganz

00:05:56.470 --> 00:06:00.639
schreckliche Zähne haben, der hat alle
Zähne schon aus Gold jetzt, die wurden

00:06:00.639 --> 00:06:07.010
auch verurteilt, weil sie auf Facebook
damit angegeben haben, das sie Geld haben.

00:06:07.010 --> 00:06:11.899
Nun, wenn wir uns das anschauen, in den
Pionieren des Car-Hackings, da haben wir

00:06:11.899 --> 00:06:18.190
im Prinzip das gleich Phänomen. Man muss
dazu sagen, die ersten Unternehmungen im

00:06:18.190 --> 00:06:27.220
Car-Hacking waren eher so analoger Natur
und eher Brute-Force. Und die Pioniere in

00:06:27.220 --> 00:06:32.750
diesem Bereich waren also diese beiden
jungen Männer, die hier einen ganz großen

00:06:32.750 --> 00:06:38.479
Hack geleistet haben, nämlich die
Fahrerscheibe eingeschlagen, 5000 Dollar

00:06:38.479 --> 00:06:44.171
und ein iPad aus einem Truck geklaut
haben. Und, was macht man als erstes, wenn

00:06:44.171 --> 00:06:49.810
man ein iPad hat und so: Naja, erstmal in
den Burger-King gehen, weil da gibts WLAN.

00:06:51.494 --> 00:06:55.640
Und ein bischen mit dem iPad daddeln. Und
dann haben sie festgestellt: Ey, geil da

00:06:55.640 --> 00:06:59.909
kann man Videos mit machen.

00:06:59.909 --> 00:07:06.209
[Video wird abgespielt]

00:07:06.209 --> 00:07:18.900
.... This is my brother Dylan.. This....
good nights hassle

00:07:18.900 --> 00:07:24.639
L: Und weil sie in dieses gestohlene iPad
mit dem WLAN vom Burger King verbunden

00:07:24.639 --> 00:07:29.310
hatten, passierte das, was passieren
musste....

00:07:29.310 --> 00:07:33.950
<i>Gelächter</i>

00:07:33.950 --> 00:07:39.310
L: Und der Eigner des Fahrzeuges hat dann

00:07:39.310 --> 00:07:44.450
eine Woche später das Video der Polizei
übergeben, und die Polizei meinte, die

00:07:44.450 --> 00:07:48.021
sind ihnen auch gar nicht so unbekannt.
Und haben sich um die jungen Männer

00:07:48.021 --> 00:07:52.780
gekümmert.
Thorsten Schröder: Aber kommen wir mal

00:07:52.780 --> 00:07:58.160
zurück in die Computerhacker-Ecke, über
die wir heute eigentlich sprechen wollen,

00:07:58.160 --> 00:08:02.210
jetzt haben wir einen kleinen Ausflug in
die analoge Welt gemacht. Was kann denn

00:08:02.210 --> 00:08:09.319
alles schief gehen wenn man sich als
interessierter Surfer oder sonstwas auf

00:08:09.319 --> 00:08:14.659
Online-Shopping-Portalen herumtreibt.
Zunächst will man zunächst vielleicht doch

00:08:14.659 --> 00:08:18.950
irgendwelche Waren erwerben, dann fängt
man da an, irgendwie im Online-Shop

00:08:18.950 --> 00:08:24.510
rumzuklicken. Plötzlich rutscht man mit
der Maustaste aus, das passiert ja

00:08:24.510 --> 00:08:28.760
manchmal, dass man da vielleicht irgendwie
aus Versehen ein falsches Zeichen eingibt,

00:08:28.760 --> 00:08:35.578
und was hier halt wichtig ist: Wir reden
hier von einem Threat-Level, ein Level

00:08:35.578 --> 00:08:39.840
eines Bedrohungsszenarios für den Hacker,
also wenn ihr da irgendiwe mit dem Online-

00:08:39.840 --> 00:08:43.789
Shopping-Portal unterwegs seid, und da aus
Versehen auf der Maus ausrutscht, dann

00:08:43.789 --> 00:08:48.510
habt ihr ein gewisses Bedrohungsszenario.
Das wird natürlich ein bischen höher wenn

00:08:48.510 --> 00:08:51.700
ihr da aus Versehen irgendwelche komischen
Zeichen eingegeben habt,

00:08:51.700 --> 00:08:52.420
ihr seid da

00:08:52.420 --> 00:08:55.460
wahrscheinlich ohne Anonymisierungsdienste
unterwegs, weil ihr wolltet ja bloß irgendwas

00:08:55.460 --> 00:09:01.540
einkaufen. Und jetzt denkt ihr so: Hmm,
ich bin ja ein bischen verspielt und

00:09:01.540 --> 00:09:06.640
neugierig, ich mach jetzt mal Tor an oder
irgendwas, und besuch jetzt diese Webseite

00:09:06.640 --> 00:09:12.140
später nochmal mit einem
Anonymisierungsdienst. Und, ja, über die

00:09:12.140 --> 00:09:17.450
Zeit findet man dann vielleicht aus
Versehen noch ein Cross-Site-Scriping, das

00:09:17.450 --> 00:09:22.680
Bedrohungslevel wächst so allmählich, aber
man hat ja jetzt Tor am Start. Das

00:09:22.680 --> 00:09:27.881
Bedrohungs-Threat-Level wächst weiter,
wenn man jetzt vielleicht noch eine etwas

00:09:27.881 --> 00:09:32.140
kritischere Schwachstelle wie eine SQL-
Injection gefunden hat. Und es wächst

00:09:32.140 --> 00:09:37.850
weiter, wenn man vielleicht auch noch eine
Remote-Code-Execution gefunden hat, dann

00:09:37.850 --> 00:09:41.530
sind wir schon recht hoch. Also wenn man
jetzt erwischt wird, wäre es relativ

00:09:41.530 --> 00:09:45.340
ungünstig, weil man hat ja auch bewiesen,
dass man direkt nicht nach einem Cross-

00:09:45.340 --> 00:09:49.310
Site-Scripting oder irgendeiner anderen
banalen Schwachstelle direkt mal zu dem

00:09:49.310 --> 00:09:53.831
Portal gegangen ist und Bescheid gesagt
hat. Na ja, was passiert dann, wenn man da

00:09:53.831 --> 00:09:57.940
weiter stöbert. Je nachdem was man da für
so Ziele hat. Vielleicht findet man auch

00:09:57.940 --> 00:10:03.140
noch ein paar Kreditkarten. Jetzt sind wir
schon recht hoch in unserem Threat-Level,

00:10:03.140 --> 00:10:10.000
und das geht rapide runter weil das
Threat-Level ist jetzt wieder... Es wird

00:10:10.000 --> 00:10:14.880
entspannter. Man braucht jetzt keine Angst
mehr haben, dass man irgendwann nochmal

00:10:14.880 --> 00:10:20.550
für diesen Hack da erwischt wird. Ja,
warum wird da überhaupt jemand erwischt?

00:10:20.550 --> 00:10:26.080
Weil ich an die OpSec erst viel zu spät
gedacht habe. In dem Moment, in dem ich

00:10:26.080 --> 00:10:30.320
auf der Maus ausgerutscht bin, hätte ich
im Grunde genommen schon einen

00:10:30.320 --> 00:10:35.450
Anonymisierungsdienst, irgendnen Tor-
Service oder so, am Start haben müssen,

00:10:35.450 --> 00:10:40.920
denn in dem Moment, wo irgendwann der
Betreiber des Portals mitkriegt, dass da

00:10:40.920 --> 00:10:47.669
was passiert ist, werden die einfach
gucken: Alles klar, wir verfolgen das

00:10:47.669 --> 00:10:51.320
zurück, ist eine Tor-Session, schlecht,
aber irgendwann stossen sie auf diesen Fall,

00:10:51.320 --> 00:10:56.380
wo man halt "Ups" sagt. Und dann werden
sie dich halt finden.

00:10:57.700 --> 00:11:01.990
L: Es ist eigentlich auch regelmäßig
tatsächlich so, dass man irgendwie Leute

00:11:01.990 --> 00:11:06.230
irgendwie sagen: Ach, guck mal hier, da
hab ich mal was entdeckt, und jetzt geh

00:11:06.230 --> 00:11:10.650
ich mal auf Tor. Ne Leute, ist zu spät,
müsst ihr vorher machen.

00:11:10.650 --> 00:11:14.640
T: Tschuldigung, wenn euch sowas was
auffällt, ihr könnt euch natürlich mal

00:11:14.640 --> 00:11:18.149
überlegen, wie haben ja jetzt die
Datenschutzgrundverordnung, dann könntet

00:11:18.149 --> 00:11:22.450
ihr mal schauen was die so für
Datenschutzrichtlinien haben, also manche

00:11:22.450 --> 00:11:25.960
Unternehmen geben ja dann auch Auskunft
daüber, wie lange die Logfiles zum

00:11:25.960 --> 00:11:28.110
Beispiel aufbewahrt werden, und es soll
ja....

00:11:28.110 --> 00:11:30.750
L: Vielleicht habt ihr ja ein Recht auf
Vergessen werden

00:11:30.750 --> 00:11:34.010
T: Ja, es gibt ja Unternehmen, die
speichern ihre Logdaten nur 7 Tage, dann

00:11:34.010 --> 00:11:36.760
muss man einfach nochmal ne Woche warten
vielleicht.

00:11:36.760 --> 00:11:42.700
L: Also es gilt allgemeine Vorsicht bei
Datenreisen, so auch bei unserem Freund

00:11:42.700 --> 00:11:47.599
Alberto aus Uruguay, der mit seiner
Freundin irgendwie nichts ahnend am

00:11:47.599 --> 00:11:51.540
Nachmittag am Computer saß, und sie gab
irgendwelche Gesundheitsdaten in irgend so

00:11:51.540 --> 00:11:57.600
eine Cloud ein, weil: modern. Und Alberto
sagte so: Ah, Gesunderheitsdaten, zeig mal

00:11:57.600 --> 00:12:01.829
her. admin admin, oh!
<i>Gelächter</i>

00:12:01.829 --> 00:12:05.720
T: Ups
L: Ups. Da war das Ups. Und er schrieb

00:12:05.720 --> 00:12:11.960
dann eine Mail an das CERT Uruguay, also
die zentrale Meldestelle des Landes, weil

00:12:11.960 --> 00:12:15.830
es sich ja hier um sensible Patientendaten
handelte, und Gesundheitsdaten, und er

00:12:15.830 --> 00:12:19.760
bekam innerhalb von Stunden eine Antwort
von dem Leiter des CERT, also das war ganz

00:12:19.760 --> 00:12:23.030
klar, wir haben hier ein ernst zu
nehmenden Fall, der auch eben ernst

00:12:23.030 --> 00:12:26.490
genommen wurde.
T: Dieser "Ups" Fall ist vielleicht nicht

00:12:26.490 --> 00:12:30.340
ganz so dramatisch, möchte man meinen,
weil der Hacker ja nichts böses vor hatte,

00:12:30.340 --> 00:12:33.500
der wollte gar nicht weiterstöbern, der
hat einfach gesagt so: "Uh, denen muss ich

00:12:33.500 --> 00:12:36.150
schnell Bescheid sagen".
L: Für den war der Fall auch erledigt, der

00:12:36.150 --> 00:12:39.839
hatte das ja jetzt dem CERT gemeldet, das
CERT hat sich drum gekümmert, hat die

00:12:39.839 --> 00:12:43.870
Verantwortung übernommen, die kümmern sich
jetzt drum. Schalten die Plattform ab,

00:12:43.870 --> 00:12:48.000
oder was auch immer. Alberto geht seinem
Leben ganz normal weiter, bis er ein Jahr

00:12:48.000 --> 00:12:51.389
später feststellt: Oh, ahhh, das
admin:admin haben sie inzwischen

00:12:51.389 --> 00:12:54.500
geschlossen, das ist schonmal gut, aber
jetzt haben sie unauthenticated file

00:12:54.500 --> 00:13:00.100
access, auch nicht so gut, melde ich doch
am besten einmal dem CERT. Und wieder

00:13:00.100 --> 00:13:06.830
vergeht einige lange Zeit, in diesem Fall
um die zwei Jahre Schweigen im Walde.

00:13:06.830 --> 00:13:11.120
Er hatte die ganzen Sachen selbst längst
vergessen, und dann bekommt das betroffene

00:13:11.120 --> 00:13:16.730
Unternehmen mit den Gesundheitsdaten
plötzlich eine E-Mail, von irgendwem:

00:13:16.730 --> 00:13:21.070
Gib mal Bitcoin.
<i>Gelächter</i>

00:13:21.070 --> 00:13:26.570
L: Der wollte "gibt mal Bitcoin", weil der
Angreifer oder der Erpresser hier sagte,

00:13:26.570 --> 00:13:31.040
er sei im Besitz dieser Gesundheitsdaten,
die diese Plattform geleaked hat. Und wenn

00:13:31.040 --> 00:13:36.660
jetzt nicht 15 Bitcoin innerhalb von
$Zeitraum überwiesen würden, dann würde er

00:13:36.660 --> 00:13:43.690
an die Presse berichten: Alle Menschen in
diesem Datensatz, die HIV-infiziert sind.

00:13:43.690 --> 00:13:46.750
T: Was die Presse bestimmt total
interessiert hätte.

00:13:46.750 --> 00:13:50.579
L: Ich weiß nicht, ob das die Presse
interessiert hätte, wen es auf jeden Fall

00:13:50.579 --> 00:13:54.850
interessiert hat, ist die Polizei. An die
Polizei müsst ihr übrigens immer denken...

00:13:54.850 --> 00:13:58.689
T: Die erkennt man an diesen
Kleidungsstücken hier

00:13:58.689 --> 00:14:03.580
L: Die erkennt man an diesen Hüten...
<i>Gelächter</i> und <i>Applaus</i>

00:14:03.580 --> 00:14:10.053
L: Die haben vorne auch so einen Stern
drauf. Nur damit ihr die nicht vergesst.

00:14:10.053 --> 00:14:14.029
So, irgendwer will also Bitcoin. Es
passiert wieder längere Zeit nichts, bis

00:14:14.029 --> 00:14:19.740
auf einmal bei Alberto die Tür eingetreten
wird. Es gibt eine Hausdurchsuchung,

00:14:19.740 --> 00:14:27.640
wieder mit Brute-Force. Und, jetzt
passiert folgendes: Die Polizei traut

00:14:27.640 --> 00:14:32.410
ihren Augen nicht, als sie diese Wohnung
betritt, und findet so viele spannende

00:14:32.410 --> 00:14:38.970
Sachen, dass sie nachher auf einem eigenen
Pressetermin ihre Fundstücke so bischen

00:14:38.970 --> 00:14:44.500
drapiert, und damit angibt. Sah nämlich so
aus: Da hatten wir also einen ganzen

00:14:44.500 --> 00:14:49.829
Stapel Kreditkarten und Blanko-
Kreditkarten. Blanko-Kreditkarten machen

00:14:49.829 --> 00:14:52.760
immer gar nicht so einen guten Eindruck.
<i>Gelächter</i>

00:14:52.760 --> 00:14:57.519
T: Meistens nicht.
L: Sowohl im Supermarkt, als auch im

00:14:57.519 --> 00:15:03.470
Schrank wenn ihr die Polizei vorbeischaut.
Außerdem finden sie Kartenlesegeräte und

00:15:03.470 --> 00:15:08.519
ein paar Wallet-Fails.
T: Allo nedos

00:15:08.519 --> 00:15:14.540
L: Haben sie dann alles schön drapiert.
Kartenlesegeräte, Zahlungsmittel und so.

00:15:14.540 --> 00:15:17.870
T: Ist dann halt die Frage, ob die Polizei
an OpSec gedacht hat, und die

00:15:17.870 --> 00:15:20.910
Kreditkartennummern vielleicht auch noch
gültig waren, als sie die Fotos

00:15:20.910 --> 00:15:24.830
veröffentlicht haben. Man weiß es nicht,
man wird es auch nicht herausfinden.

00:15:24.830 --> 00:15:28.399
L: Und sie finden natürlich, was man bei
jedem Hacker finden muss, bei jedem

00:15:28.399 --> 00:15:32.250
Kriminellen, was braucht man da?
<i>Murmeln im Raum</i>

00:15:32.250 --> 00:15:36.419
L: Anonymous-Maske, klar
<i>Gelächter</i>

00:15:36.419 --> 00:15:40.520
L: Anonymous-Maske drapieren die schön.
Wir haben auch noch eine dabei.. Nein, wir

00:15:40.520 --> 00:15:51.420
haben keine Anonymous-Maske. Paar
strategische Bargeld-Reserven. Und, das

00:15:51.420 --> 00:15:54.300
war natürlich sehr verräterisch, sie
finden Bitcoin.

00:15:54.300 --> 00:16:03.600
<i>Gelächter</i> und <i>Applaus</i>
L: Und die wollte der Erpresser ja haben.

00:16:03.600 --> 00:16:07.949
T: Dann ist der Fall wohl abgeschlossen.
L: Ein Bitcoin und ein Bitcoin

00:16:07.949 --> 00:16:17.430
zusammengezählt. Verhör, ein paar
Drohungen, und in Anbetracht der völlig

00:16:17.430 --> 00:16:22.960
inkompetenten Polizei flüchtet sich
Alberto in das falsche Geständnis, in der

00:16:22.960 --> 00:16:27.160
Hoffnung, dass er im weiteren Verlauf des
Verfahrens mit kompetenten Personen in

00:16:27.160 --> 00:16:34.649
Kontakt kommt. Dies Hoffnung erfüllt sich
nicht, er ist erstmal im weiteren Verlauf

00:16:34.649 --> 00:16:42.910
8 Monate im Knast, und gerade nur auf
Kaution raus. Er ist absolut sicher und

00:16:42.910 --> 00:16:46.670
ehrlich, dass er das nicht getan hat.
Hätte er es getan, wäre er auch ziemlich

00:16:46.670 --> 00:16:50.481
dämlich, nachdem du zwei Mal responsible
Disclosure gemacht hast, schickst du keine

00:16:50.481 --> 00:16:58.699
Erpresser-E-Mail mehr. Vor allem nicht
eine in der du sagst "Ich möchte 15

00:16:58.699 --> 00:17:04.400
Bitcoin auf folgendes Konto..." ohne die
Kontonummer anzugeben.

00:17:04.400 --> 00:17:11.630
<i>Gelächter</i> und <i>Applaus</i>
L: Da wir jetzt ein paar Scherze über

00:17:11.630 --> 00:17:15.368
Alberto gemacht haben, haben wir ihn
einfach mal kontaktiert, und Alberto hat

00:17:15.368 --> 00:17:19.829
auch noch ein paar Sachen zu seinem Fall
zu sagen, und wir begrüßen ihn bei uns auf

00:17:19.829 --> 00:17:22.409
der Videoleinwand
<i>Applaus</i>

00:17:22.409 --> 00:17:24.179
[Video] Hello Germany. ....
......

00:18:11.339 --> 00:18:20.620
<i>Applaus</i>
L: Also das Gerät, mit dem er da kurz

00:18:20.620 --> 00:18:25.899
hantiert hat, was irgendwie ein bischen so
aussah wie ein GSM-Jammer, das ist ein

00:18:25.899 --> 00:18:31.059
ganz bedauerliches Missverständnis. Das
hatte die Polizei nämlich nicht

00:18:31.059 --> 00:18:36.659
mitgenommen bei der Durchsuchung, ebenso
wie 30 Festplatten, und er bekommt jetzt

00:18:36.659 --> 00:18:40.730
seine Geräte deshalb nicht zurück, weil
die Polizei sagt, das würde zu lange

00:18:40.730 --> 00:18:49.159
dauern, den ganzen Kram anzuschauen. Aber
wir lernen aus dieser Sache: Es hat schon

00:18:49.159 --> 00:18:55.689
irgendwie Sinn, 127.0.0.1 als Ort der
vorbildlichen Ordnung, Sicherheit,

00:18:55.689 --> 00:19:00.210
Sauberkeit, und Disziplin zu pflegen, und
wenn ihr euch mal überlegt, wie das

00:19:00.210 --> 00:19:03.600
aussieht wenn bei euch mal die Tür
aufgemacht wird und ein paar Geräte

00:19:03.600 --> 00:19:07.949
rausgetragen werden, in den falschen Augen
kann das alle ganz komisch aussehen. Und

00:19:07.949 --> 00:19:12.130
auch da fängt OpSec schon an.
T: Nämlich viel früher, bevor ihr den

00:19:12.130 --> 00:19:19.820
Browser in die Hand nehmt, oder
irgendwelche Logins ausprobiert. Ja, was

00:19:19.820 --> 00:19:24.099
gibt es denn noch auf einer technischen
Ebene, was uns verraten kann. Jetzt haben

00:19:24.099 --> 00:19:28.149
wir sehr viel darüber gesprochen, dass
Hacker sich selbst in die Pfanne hauen,

00:19:28.149 --> 00:19:31.830
weil sie zu geschwätzig sind, weil sie
vielleicht sogar zu ehrlich sind, und

00:19:31.830 --> 00:19:37.460
irgendwelche Lücken melden. Was gibt es
wirklich für Bedrohungsszenarien, die den

00:19:37.460 --> 00:19:43.600
Hackern gefährlich werden können: Das
sind, man könnte sagen das sind Metadaten,

00:19:43.600 --> 00:19:48.509
die ja auch ein Stückweit so ähnlich sind
wie Fingerabdrücke, wie auf diesem

00:19:48.509 --> 00:19:56.260
Metadaten-Aufkleber. Es gibt heute kaum
noch irgendwelche Dinge, die keine

00:19:56.260 --> 00:20:02.650
Metadaten hinterlassen. Die Frage, wie man
Metadaten vermeidet, oder was mit

00:20:02.650 --> 00:20:06.219
Metadaten angestellt werden kann, ist
immer sehr stark abhängig vom Kontext,

00:20:06.219 --> 00:20:09.560
also auch irgendwelche Ermittler müssen
sich natürlich immer den Kontext mit

00:20:09.560 --> 00:20:16.940
anschauen, wo Metadaten anfallen. Deshalb
ist natürlich einer der wichtigsten

00:20:16.940 --> 00:20:21.100
Punkte, über die man sich bevor irgendwie
auch nur irgendwas anhackt, muss man sich

00:20:21.100 --> 00:20:24.880
mal darüber im Klaren sein, was
hinterlasse ich eigentlich für Spuren. Und

00:20:24.880 --> 00:20:31.169
das ist ist so der Teil, wo wir ein
bischen versuchen wollen, den jüngeren

00:20:31.169 --> 00:20:35.149
Hackern oder Leute, die halt jetzt
anfangen, auch mal Sachen zu hacken, mal

00:20:35.149 --> 00:20:41.850
ein paar Ideen mit auf den Weg geben, sich
Gedanken darüber zu machen, was benutze

00:20:41.850 --> 00:20:46.049
ich für Geräte, was benutze ich für
Software, was für Spuren hinterlasse ich.

00:20:46.049 --> 00:20:49.859
Selbst wenn ich jetzt gerade nicht am
Rechner sitze, hinterlasse ich ja irgendwo

00:20:49.859 --> 00:20:53.661
Spuren, weil ich ein Smartphone mit mir
rumschleppe. Und das ist einfach wichtig,

00:20:53.661 --> 00:20:57.799
einfach mal herauszufinden, wo hinterlasse
ich eigentlich Logs. Was sind Identitäten,

00:20:57.799 --> 00:21:03.120
also wenn ich auch unter Pseudonym im Netz
unterwegs bin, und vielleicht sogar noch

00:21:03.120 --> 00:21:06.999
Anonymisierungsdienste verwende, und
eigentlich die technische Voraussetzung

00:21:06.999 --> 00:21:11.729
dafür geschaffen ist, dass ich auch anonym
bleibe, benutzt man als Hacker, oder als

00:21:11.729 --> 00:21:16.439
Gruppe, vielleicht auch einfach
Pseudonyme, oder man verwendet vielleicht

00:21:16.439 --> 00:21:20.649
irgendwelche kryptografischen Keys
mehrfach auf verschiedenen Systemen

00:21:20.649 --> 00:21:23.659
L: Das ist immer sehr schlecht,
kryptografische Keys gibt es halt nur

00:21:23.659 --> 00:21:26.369
einmal, das ist ja die Idee bei Key
T: Das ist ja der Sinn der Sache. Wenn ich

00:21:26.369 --> 00:21:30.199
aber meine VMWares kopiere, und dann
vielleicht irgendwelche Hidden Services

00:21:30.199 --> 00:21:35.389
aufmache und da Rückschlüsse auf die Keys
zu ziehen sind. Oder was ich verschiedene

00:21:35.389 --> 00:21:40.769
Hostnamen dann auf ein und den selben Key,
SSH-Key-oder was auch immer, zurückführen.

00:21:40.769 --> 00:21:46.970
L: Logs übrigens auch so ein Klassiker,
immer wieder Strategen, die Dateien dann

00:21:46.970 --> 00:21:52.349
auf Truecrypt Volumes vorhalten, weil sie
gehört haben, dass das ja dann besser ist,

00:21:52.349 --> 00:21:56.410
und dann in ihrem Betriebssystem aber das
Logging anhaben, mit welchem Player und

00:21:56.410 --> 00:22:00.229
Viewer sie welche Dateien geöffnet haben,
so dass dann auf der unverschlüsselten

00:22:00.229 --> 00:22:05.019
Partition des Betriebssystems schön noch
draufsteht, welche Videos und Dateien sich

00:22:05.019 --> 00:22:07.519
vielleicht in den verschlüsselten
Bereichen befinden.

00:22:07.519 --> 00:22:11.379
T: Ja, und da so, dieses Feature, für die
meisten Leute ist das halt ein Feature,

00:22:11.379 --> 00:22:15.009
die wollen halt ihre recently used Apps
oder was auch immer schön im Zugriff

00:22:15.009 --> 00:22:19.519
haben, damit sie weniger Tipp- und
Klickarbeit haben, könnte aber euch das

00:22:19.519 --> 00:22:23.170
Genick brechen, wenn ihr dieses
Betriebssystem einfach nutzen wollt, um

00:22:23.170 --> 00:22:28.929
einfach nur mal eben so rumzuhacken.
Wichtig ist halt hier, so können

00:22:28.929 --> 00:22:32.339
irgendwelche Ermittler oder Leute, die
euch hinterher recherchieren, Identitäten

00:22:32.339 --> 00:22:36.369
über euch erstellen, also über das, was
ihr da gerade, unter welchem Pseudonym

00:22:36.369 --> 00:22:39.659
auch immer ihr da unterwegs seid. Die
können Profile anlegen, die können euren

00:22:39.659 --> 00:22:42.310
Coding-Stil analysieren, eure
Rechtschreibung wenn ihr irgendwelche

00:22:42.310 --> 00:22:45.989
Texte hinterlasst, oder euch in
irgendwelchen Foren anonym oder unter

00:22:45.989 --> 00:22:52.009
Pseudonym mit irgendwelchen Sachen
brüstet, die Leute, die sich die Rechner,

00:22:52.009 --> 00:22:56.249
die Server anschauen, die hops genommen
wurden, die schauen sich halt auch die

00:22:56.249 --> 00:23:00.190
Bash-History an, wenn ihr die liegen
lasst, dann gucken die halt, wie geht ihr

00:23:00.190 --> 00:23:03.540
mit so einer Konsole um, habt ihr Ahnung,
darauf kann man schliessen wie viele,

00:23:03.540 --> 00:23:07.249
wieviel Erfahrung ihr im Umgang mit dem
Betriebssystem habt, und so weiter. Das

00:23:07.249 --> 00:23:10.510
sind alles Sachen, auf die müsst ihr
achten, die müssen beseitigt werden, und

00:23:10.510 --> 00:23:14.820
auch der Coding-Stil, wenn ihr irgendwo,
kann ja durchaus sein, dass ihr meint, ihr

00:23:14.820 --> 00:23:18.859
müsst eine Funktionserweiterung im Kernel
hinterlassen, der Code wird später

00:23:18.859 --> 00:23:24.879
analysiert, und, es gibt Software, die tut
das, also so wie man Plagiate erkennt. Da

00:23:24.879 --> 00:23:28.850
gabs glaube ich vor zwei Jahren mal auch
einen Kongress-Talk darüber, wie man

00:23:28.850 --> 00:23:34.259
anhand von Binary-Code quasi Rückschlüsse
auf den ursprünglichen Autor ziehen kann,

00:23:34.259 --> 00:23:38.080
so dass man eben, Malware beispielweise
attributieren kann, oder leichter

00:23:38.080 --> 00:23:41.869
attributieren kann. Wie auch immer, es
gibt unglaublich viele Dinge, auf die man

00:23:41.869 --> 00:23:47.059
achten muss, und ihr müsst im Grunde
genommen selber rausfinden, mit was für

00:23:47.059 --> 00:23:51.330
Werkzeugen hantiere ich hier eigentlich,
und was öffnen die für Seitenkanäle. Was

00:23:51.330 --> 00:23:55.419
für Tracking und Telemetrie gibt es dort,
und wie kann ich es möglicherweise

00:23:55.419 --> 00:24:02.760
abschalten. Es gibt irgendwie die Rules of
the Internet von Anonymous

00:24:02.760 --> 00:24:06.999
L: ... von denen inzwischen keiner mehr
anonymous ist, aber dazu kommen wir

00:24:06.999 --> 00:24:10.259
noch...
T: Die haben halt irgendwie schöne Regeln

00:24:10.259 --> 00:24:15.229
aufgestellt, "Tits or get the fuck out"
lautet eine, und das ist halt genau eine

00:24:15.229 --> 00:24:20.479
Regel, für die, die anonym bleiben
wollten... Übrigens, das ist die Nummer

00:24:20.479 --> 00:24:27.090
falsch, aber ist egal... Ja, hier kommen
wir zu einem schönen Fail eines Hackers

00:24:27.090 --> 00:24:34.139
mit dem Namen w0rmer, der hatte nämlich
ein Foto seiner... der Brüste seiner

00:24:34.139 --> 00:24:41.830
Freundin veröffentlicht, und war er ganz
stolz drauf "Tits or get the fuck out"

00:24:41.830 --> 00:24:45.269
dachten sich auch die Herren von der
Polizei, denn in dem...

00:24:45.269 --> 00:24:50.760
L: In dem von iPhone aufgenommenen Bild
war die GPS-Metadaten von dem Zuhause der

00:24:50.760 --> 00:24:52.779
Fotografierten
T: Dumm gelaufen...

00:24:52.779 --> 00:24:59.649
L: Und deswegen kriegt w0rmer von uns den
Mario Barth Award für den überflüssigsten

00:24:59.649 --> 00:25:04.639
OpSec-Fail
<i>Applaus</i>

00:25:04.639 --> 00:25:14.820
T: Kennt ihr? Kennta kennta!
L: Fragen sich natürlich, wie geht denn

00:25:14.820 --> 00:25:19.859
überhaupt Anonymität im Internet, wenn
schon Anonymous das nicht hinkriegt. Wir

00:25:19.859 --> 00:25:25.729
wollen nicht entdeckt werden. Problem:
Unsere IP-Adresse verrät unsere Herkunft.

00:25:25.729 --> 00:25:30.719
Das heißt, wir suchen nach etwas, was
unsere IP-Adresse verschleiert, und wenn

00:25:30.719 --> 00:25:33.620
wir das bei Google eingeben, landen wir…

00:25:33.620 --> 00:25:39.969
T: ... bei VPN-Anbietern, das ist so das
erste, was man findet. Du willst anonym im

00:25:39.969 --> 00:25:45.809
Internet unterwegs sein? Dann benutze halt
ein VPN, wir auch oftmals als Ratschlag

00:25:45.809 --> 00:25:52.259
nahegelegt. Nagut, da benutzen wir also
jetzt einen VPN-Provider, mit dem

00:25:52.259 --> 00:25:55.720
verbinden wir uns, das wird dann
wahrscheinlich eine OpenVPN- oder was auch

00:25:55.720 --> 00:25:59.949
immer Connection sein, die dafür sorgt,
dass unsere ursprüngliche IP-Adresse

00:25:59.949 --> 00:26:03.929
verschleiert wird, so dass niemand auf
Serverseite quasi Rückschlüsse auf uns

00:26:03.929 --> 00:26:08.149
direkt ziehen kann. Alles, was wir an
Traffic ins Internet senden, geht also

00:26:08.149 --> 00:26:15.001
über dieses VPN, und von da aus zu unserem
Angriffsziel. Das ist hier eine böse

00:26:15.001 --> 00:26:20.129
Firma, die hier jetzt angehackt wird. Und
die denkt sich so: "Whoa, was ist denn

00:26:20.129 --> 00:26:29.399
hier los, komischer Traffic, ah, das ist
so ein VPN-Endpunkt". Und was haben wir

00:26:29.399 --> 00:26:34.719
jetzt so davon, also wissen wir jetzt,
sind wir jetzt sicher? Wir treffen

00:26:34.719 --> 00:26:40.100
irgendeine Annahme, nämlich die Annahme,
dass der VPN-Provider die Klappe hält. Und

00:26:40.100 --> 00:26:46.140
dem glauben wir, dem vertrauen wir, obwohl
wir den noch nie gesehen haben. Aber

00:26:46.140 --> 00:26:52.070
eigentlich ist ja der Sinn, dass wir
niemandem vertrauen müssen/wollen, wir

00:26:52.070 --> 00:26:57.929
wollen niemandem vertrauen, weil was
passiert bei so einem VPN-Anbieter, wir

00:26:57.929 --> 00:27:02.039
haben da einen Account, wir bezahlen da
möglicherweise für, warum sollte so ein

00:27:02.039 --> 00:27:07.809
VPN-Anbieter sein VPN für lau anbieten.
Also, da liegt im Zweifelsfall eine

00:27:07.809 --> 00:27:13.100
E-Mail-Adresse von uns, da liegen unsere
Kreditkartendaten oder Bitcoin-Wallet oder

00:27:13.100 --> 00:27:18.910
was auch immer. Es gibt möglicherweise
Logs, aber wissen nichts davon. Vielleicht

00:27:18.910 --> 00:27:24.800
hat der VPN-Provider beim nächsten
Betriebssystemupdate eine Logging-Option

00:27:24.800 --> 00:27:28.749
an, die er vorher nicht an hatte, und so
weiter. Also es kann ganz viel passieren,

00:27:28.749 --> 00:27:34.119
das kann halt auch eine Quellen-TKÜ bei
diesem Anbieter geben, und wir wollen das

00:27:34.119 --> 00:27:37.140
aber nicht, wir wollen niemandem
vertrauen. Also ...

00:27:37.140 --> 00:27:41.849
L: ... fangen wir nochmal von vorne an.
Bei dem Fall ist es halt schief gegangen,

00:27:41.849 --> 00:27:45.169
wir müssen also irgendwie einen Weg
finden, wo wir nicht darauf angewiesen

00:27:45.169 --> 00:27:48.139
sind, anderen zu vertrauen. Das heißt
nicht, dass wir denen nicht vertrauen

00:27:48.139 --> 00:27:53.099
können, es ist heißt nur, dass wir es
nicht wollen. Aber, wir brauchen auf jeden

00:27:53.099 --> 00:27:56.410
Fall erstmal ein anderes Angriffsziel, ich
würde sagen wir nehmen einfach mal

00:27:56.410 --> 00:28:07.170
irgendeine Alternative
<i>Gelächter</i> und <i>Applaus</i>

00:28:07.170 --> 00:28:11.400
L: Und dieses Mal nutzen wir Tor. Habt ihr
bestimmt schonmal von gehört, Tor ist

00:28:11.400 --> 00:28:15.210
eigentlich relativ einfach. Euer
Datentraffic geht mehrmals über

00:28:15.210 --> 00:28:20.369
verschiedene Stationen im Internet und ist
mehrmals verschlüsselt. Ihr sendet also an

00:28:20.369 --> 00:28:24.479
einen sogenannten Tor Entry erstmal einen
mehrfach verschlüsselten... euren mehrfach

00:28:24.479 --> 00:28:28.880
verschlüsselten Traffic und dieser Tor
Entry, der weiß ja jetzt wer ihr seid, der

00:28:28.880 --> 00:28:34.029
weiß aber sieht aber nur in der an ihn
verschlüsselten Botschaft, dass die, dass

00:28:34.029 --> 00:28:38.600
er die weitergeben soll an einen nächste
Node im Tor Netz, in diesem Fall die

00:28:38.600 --> 00:28:42.409
Middle-Node, und die Middle-Node gibt das
vielleicht noch an andere Middle-Nodes

00:28:42.409 --> 00:28:46.179
weiter, das wurde von euch vorher
festgelegt, bis ihr dann irgendwann beim

00:28:46.179 --> 00:28:52.619
Tor Exit seid, und der Tor Exit macht dann
"hacke die hack hack". Und wenn jetzt

00:28:52.619 --> 00:28:57.769
unser Angriffsziel schaut "was ist denn
los", da weiß der Tor Exit zwar "Ja, der

00:28:57.769 --> 00:29:02.630
Traffic der kam wohl von mir, aber ich
habe keine Ahnung wo der her kommt, die

00:29:02.630 --> 00:29:07.119
Middle-Node weiß eh nix, und der Tor Entry
weiß "Ja OK, der weiß zwar wer ihr seid,

00:29:07.119 --> 00:29:11.470
aber er hat keine Ahnung, welchen weiteren
Verlauf die IP-Pakete und Datenpakete, die

00:29:11.470 --> 00:29:16.589
ihr geschickt habt, gegangen sind. Da seid
ihr jetzt schon mal besser dran und müsst

00:29:16.589 --> 00:29:21.649
nicht so vielen Leuten vertrauen, weil ihr
... weil sie es einfach nicht wissen

00:29:21.649 --> 00:29:28.400
können. Es sei denn, ihr habt es mit einem
globalen Angreifer zu tun, dann seid ihr

00:29:28.400 --> 00:29:34.539
natürlich etwas schlechter dran, aber so
für die kleine Datenreise kann man hier

00:29:34.539 --> 00:29:41.800
auf jeden Fall noch ohne Reisewarnung auf
die Reise gehen. Es sei denn, man ist zu

00:29:41.800 --> 00:29:44.699
blöd...
T: Jetzt haben wir quasi die technische

00:29:44.699 --> 00:29:49.209
Voraussetzungen dafür, uns relativ anonym
im Internet zu bewegen. Wir brauchen

00:29:49.209 --> 00:29:53.129
niemanden vertrauen und so weiter. Aber
jetzt kommt halt so die eigene Intelligenz

00:29:53.129 --> 00:29:55.799
ins Spiel.
L: Das ist eigentlich erst das Level, an

00:29:55.799 --> 00:29:59.340
dem wir Operational Security brauchen,
vorher brauchen wir gar nicht erst

00:29:59.340 --> 00:30:05.869
anzufangen mit OpSec. Dachte sich auch ein
Student der Harvard University, der

00:30:05.869 --> 00:30:09.709
irgendwie ein bisschen nicht gut
vorbereitet war für die Prüfung die an dem

00:30:09.709 --> 00:30:16.499
Tag anstand. Und ihr kennt das, was macht
man, man überlegt sich so "Wie könnte ich

00:30:16.499 --> 00:30:20.889
jetzt diese Prüfung noch zum ausfallen
bringen". Da gibt es eigentlich relativ

00:30:20.889 --> 00:30:25.919
wenig Optionen, eine die aber immer ganz
gut funktioniert ist eine Bombendrohung.

00:30:25.919 --> 00:30:29.589
Wer kennt das nicht.
<i>Gelächter</i>

00:30:29.589 --> 00:30:34.500
L: Und hier, Harvard University Stratege
sagt: "Ich habe ja gelernt, wie das mit

00:30:34.500 --> 00:30:39.919
der Anonymität im Internet ist, ich
benutze Tor". Und er schickt seine

00:30:39.919 --> 00:30:43.259
Erpresser E-Mails, in denen steht "Ich
habe eine Bombe da da da oder da

00:30:43.259 --> 00:30:47.070
positioniert". Einer davon der Räume in
dem er die Klausur schreibt um auch ganz

00:30:47.070 --> 00:30:51.149
sicher zu gehen, dass auf jeden Fall der
geräumt wird, wenn schon nicht die ganze

00:30:51.149 --> 00:30:57.330
Uni. Datenpaket kommt an, und was sagt die
Harward Universität, die ruft natürlich

00:30:57.330 --> 00:31:02.919
die Polizei. Lalülala. Die Polizei sagt
"Ach guck mal hier, ist über Tor gekommen,

00:31:02.919 --> 00:31:10.000
liebes NOC, schau doch mal bitte kurz ob
irgendjemand von den Studenten hier in dem

00:31:10.000 --> 00:31:14.869
fraglichen Zeitpunkt Tor genutzt hat". Und
in dem Uni Netzwerk haben die sich

00:31:14.869 --> 00:31:20.039
natürlich alle namentlich anmelden müssen.
Und da gab es dann eine kostenlose Fahrt

00:31:20.039 --> 00:31:24.289
im Polizeiauto, weil wir hier eine
wunderschöne Anonymisierungs technologie

00:31:24.289 --> 00:31:29.129
gehabt hätten, wenn wir uns nicht vorher
angemeldet hätten, und nur für den genau

00:31:29.129 --> 00:31:33.119
den kleinen Zeitraum Tor genutzt haben, in
dem genau diese Erpressungs-E-Mails bei

00:31:33.119 --> 00:31:38.899
der Uni ankamen. Aber wir bleiben ein
bisschen bei Anonymisierungsdiensten, was

00:31:38.899 --> 00:31:45.999
ja auch insbesondere in der Öfentlichkeit
sehr viel die Menschen bewegt: Hidden

00:31:45.999 --> 00:31:50.719
Services. Wir wollen also jetzt das ganze
Anonymisierungsnetzwerk umdrehen, wir

00:31:50.719 --> 00:31:54.529
wollen nicht quasi als Angreifer versteckt
sein, sondern wir wollen unseren Server

00:31:54.529 --> 00:32:00.070
da drin verstecken. Und das machen wir ganz
einfach, indem wir die Leute zwingen, dass

00:32:00.070 --> 00:32:04.580
sie uns nur über Tor erreichen können. Das
heißt, unser Polizist muss auf jeden Fall

00:32:04.580 --> 00:32:08.039
in ein Tor Entry, dann durch mehrere
Middle-Nodes, und irgendwann kommen die

00:32:08.039 --> 00:32:12.879
Datenpakete bei uns an, ohne Tor jemals
wieder zu verlassen. Die Middle-Nodes

00:32:12.879 --> 00:32:16.559
wissen nie, dass sie die erste oder die
letzte sind, und so routen wir unsere

00:32:16.559 --> 00:32:21.691
Pakete immer irgendwie anders herum, und
haben jetzt einen Server im Internet, zu

00:32:21.691 --> 00:32:28.579
dem viele Wege führen, aber nie wirklich
herauszufinden ist, auf welchem Weg wir

00:32:28.579 --> 00:32:34.109
... wo wir diesen Server stehen haben.
Immer unter der Voraussetzung, dass nicht

00:32:34.109 --> 00:32:40.040
jemand das gesamte Internet überwacht,
oder wir ein bischen zu blöd sind. Das

00:32:40.040 --> 00:32:43.590
können wir verhindern, indem wir auf
unserem Hidden Service anfangen, keine

00:32:43.590 --> 00:32:47.679
Logs zu schreiben, wir benutzen keine
bekannten SSH Keys. Relativ schlecht, wenn

00:32:47.679 --> 00:32:52.830
ihr da den gleichen SSH Key wie bei der
Arbeit benutzt. Wir geben unserem Hidden

00:32:52.830 --> 00:32:59.610
Service nur ein lokales Netz, fangen den
in irgendeinem RFC 1918, schaffen getrennt

00:32:59.610 --> 00:33:06.679
davor einen Tor-Router, der also dann mit
dem Internet verbunden ist, und diesen ...

00:33:06.679 --> 00:33:10.790
den Hidden Service freigibt, und dann die
Verbindung zu unserem Hidden Service

00:33:10.790 --> 00:33:15.100
herstellt. Das schöne ist, unser Hidden
Service kann gar nicht mit dem Internet

00:33:15.100 --> 00:33:19.260
verbunden, werden wenn er also versucht,
wenn ihn da so ein kleines Ping

00:33:19.260 --> 00:33:24.580
entfleuchen würde oder so, das könnte
niemals in das große böse Internet

00:33:24.580 --> 00:33:29.130
gelangen.
<i>Gelächter</i>

00:33:29.130 --> 00:33:34.499
L: Und jetzt haben wir also unseren Hidden
Service da und sind total happy, denn das

00:33:34.499 --> 00:33:40.019
große böse Internet kommt nur über das Tor
Netz zu uns. Aufwand zum Aufsetzen, wenn

00:33:40.019 --> 00:33:45.559
man weiß wie man es macht und ein bisschen
geübt hat, würde ich sagen 1-2 Tage, und

00:33:45.559 --> 00:33:52.839
schon bist du einen Drogenkönig. Und jetzt
sind die technischen Voraussetzungen da,

00:33:52.839 --> 00:33:56.190
dass du deine OpSec wieder so richtig
schön verkacken kannst.

00:33:56.190 --> 00:34:02.569
<i>Gelächter</i>
T: Es gibt da, um auch im Darknet zu

00:34:02.569 --> 00:34:10.580
bleiben, diesen Fall "Deutschland im Deep
Web". Der Herr hatte sich da so ein Forum

00:34:10.580 --> 00:34:15.750
und Marketplace aufgemacht, und der
Betrieb von solchen Diensten kostet ja

00:34:15.750 --> 00:34:22.440
Geld. Also hat er um Spenden gebeten,
damit er seine Dienste weiterhin auch

00:34:22.440 --> 00:34:29.460
gesichert anbieten kann. Und die Spenden
sammelt man natürlich in Bitcoin einer,

00:34:29.460 --> 00:34:35.158
eine schön anonyme Bezahlvariante passend
zum Darknet. Ich habe Hidden Service, ich

00:34:35.158 --> 00:34:38.989
kann nicht gefunden werden. Ich habe ein
anonymes Zahlungsmittel, ohne dass mein

00:34:38.989 --> 00:34:50.619
Name daran klebt. Also haben wir den Weg
dass wir unsere Bitcoins irgendwann auch

00:34:50.619 --> 00:34:57.279
nochmal versilbern wollen.
L: Irgendwann haste genug Burger im Room77

00:34:57.279 --> 00:35:02.530
gegessen, dann musst du... dann willst du
vielleicht auch mal Euro haben, oder so.

00:35:02.530 --> 00:35:07.690
T: Dann verlässt dieses anonyme
Geld irgendwann die digitale Welt und

00:35:07.690 --> 00:35:16.549
wandert über so ein Bitcoin Exchange
Portal auf dein Sparbuch, und in dem Fall

00:35:16.549 --> 00:35:21.171
hat es genau da schon "Knacks" gemacht,
denn deine Identität ...

00:35:21.171 --> 00:35:30.010
<i>Gelächter</i>
T: ... ist genau in diesem Fall

00:35:30.010 --> 00:35:34.519
aufgeflogen, weil wir hier über einen ...
auch noch einen deutschen Anbieter Bitcoin

00:35:34.519 --> 00:35:40.180
Marketplace getauscht haben, und wie soll
es anders sein, da wird natürlich Auskunft

00:35:40.180 --> 00:35:43.779
gegeben, wer denn der eigentliche
Empfänger ist, und auf welches Sparbuch

00:35:43.779 --> 00:35:49.240
das ganze überwiesen wurde. Das heißt hier
kommen wir jetzt zum Satoshi Nakamoto

00:35:49.240 --> 00:35:52.970
Award für anonyme Auszahlungen ...
<i>Gelächter</i>

00:35:52.970 --> 00:36:04.250
T: ... für eine wohldurchdachte
Spendenplattform ist. Wirklich wirklich

00:36:04.250 --> 00:36:06.650
gut gemacht.


00:36:06.650 --> 00:36:11.420
L: Bitcoin ist anonym.
T: Ja, ja Bitcoin ist anonym.

00:36:11.420 --> 00:36:13.260
L: Und was eigentlich ganz interessant ist

00:36:13.260 --> 00:36:17.350
an den Fall, durch eigentlich einfach mal
saubere Polizeiarbeit ohne

00:36:17.350 --> 00:36:22.629
Vorratsdatenspeicherung, ohne Responsible
Encryption, ohne Verbot von

00:36:22.629 --> 00:36:28.309
Anonymisierungsdiensten hat die Polizei
hier ihre Arbeit geleistet. Es ging ja

00:36:28.309 --> 00:36:31.089
hier dann auch nicht mehr nur um
Kleinigkeiten, sondern auf dieser

00:36:31.089 --> 00:36:35.631
Plattform wurden Waffen gehandelt. Mit den
Waffen, die dort gehandelt wurden, wurden

00:36:35.631 --> 00:36:42.520
Menschen getötet. Und ich denke hier kann
doch einfach mal sagen, die Polizei, die

00:36:42.520 --> 00:36:46.200
ja gerne mal quengelt, das irgendwie alle
Daten von ihnen weg sind, und sie immer

00:36:46.200 --> 00:36:49.869
mehr brauchen, hat hier einfach mal eine
gute Arbeit geleistet...

00:36:49.869 --> 00:36:55.299
<i>Applaus</i>
L: ... ohne uns die ganze Zeit zu

00:36:55.299 --> 00:36:57.660
überwachen, ist doch auch mal was das. Ist
doch Schön!

00:36:57.660 --> 00:36:59.320
T: Brauchen gar keine
Vorratsdatenspeicherung

00:36:59.320 --> 00:37:04.620
L: Können wir anonym bleiben... Aber man
hat natürlich noch sehr viel schönere

00:37:04.620 --> 00:37:11.900
Metadaten, mit denen man zum Opfer fallen
kann. Sehr beliebt ist WLAN. Wer von euch

00:37:11.900 --> 00:37:15.579
benutzt WLAN? Jetzt melden sich die, die
sich gerade schon gemeldet haben, als die

00:37:15.579 --> 00:37:18.840
Frage war, ob sie schon mal eine
Sicherheitslücke gefunden haben.

00:37:18.840 --> 00:37:22.170
T: Es heißt ja auch, man soll zum Hacken
irgendwie zu irgendwelchen Kaffeeketten

00:37:22.170 --> 00:37:28.890
gehen. Vielleicht keine so gute Idee.
L: WLAN ist nicht mehr nur in eurer

00:37:28.890 --> 00:37:33.220
Wohnung, die Signale die ihr da
ausstrahlt, die kommen relativ weit. Das

00:37:33.220 --> 00:37:38.471
hat auch ein Mitglied von Anonymous
gelernt, der nämlich am Ende darüber

00:37:38.471 --> 00:37:44.620
überführt wurde, dass man einfach vor
seinem Haus so einen Empfangswagen

00:37:44.620 --> 00:37:49.009
hingestellt hat, und geguckt hat, wann
denn sein WLAN so aktiv ist. Wann also

00:37:49.009 --> 00:37:54.760
sein Computer, wenn auch verschlüsselte
Pakete, durch das WPA verschlüsselte WLAN

00:37:54.760 --> 00:37:59.000
und durchs Tor Netz und sieben Proxies und
hast du alles nicht gesehen, die am Ende

00:37:59.000 --> 00:38:06.029
einfach nur korreliert: Wann ist der gute
Mann im IRC aktiv, und wenn er aktiv ist,

00:38:06.029 --> 00:38:10.859
kann das sein, dass zufällig auch diese
Wohnung, auf die wir unsere Richtantenne

00:38:10.859 --> 00:38:16.779
ausgerichtet haben, ein paar WLAN
Paketchen emittiert. Stellte sich heraus,

00:38:16.779 --> 00:38:22.290
das war der Fall. Hat ihn am Ende in den
Knast gebracht. Und das spannende ist, wir

00:38:22.290 --> 00:38:25.320
haben wir die Unverletzlichkeit der
Wohnung, die brauchten gar nicht rein zu

00:38:25.320 --> 00:38:29.530
gehen, weil ihnen der Mensch, der sich
hier anonym halten wollte, quasi seine

00:38:29.530 --> 00:38:38.330
Datenpakete frei Haus geliefert hat. Also
man könnte sagen: Ethernet ist OpSec-Net.

00:38:38.330 --> 00:38:47.040
<i>Applaus</i>
T: Ein weiterer Killer für Anonymität ist

00:38:47.040 --> 00:38:52.431
auch die Möglichkeit, dass so ein
Smartphone, wenn man rumrennt, oder eine

00:38:52.431 --> 00:38:58.411
Uhr mit WLAN Funktionalität oder
Bluetooth, die hinterlassenen Spuren wo

00:38:58.411 --> 00:39:07.820
man hingeht. Also es gibt ja auch
Marketingfirmen, die Lösungen anbieten,

00:39:07.820 --> 00:39:11.340
was sich die MAC Adressen von den
Endgeräten auch zu tracken, also diese

00:39:11.340 --> 00:39:15.100
Spuren hinterlässt man, auch wenn man
einfach so auf die Straße geht, und

00:39:15.100 --> 00:39:17.720
hinterlässt damit natürlich auch Spuren,
die irgendwie korreliert werden können mit

00:39:17.720 --> 00:39:21.029
dem eigenen Verhalten. Und wenn es einfach
nur darum geht, man ist irgendwie zum

00:39:21.029 --> 00:39:23.119
bestimmten Zeitpunkt gerade nicht zu
Hause, ...

00:39:23.119 --> 00:39:27.049
L: Aber ich bin voll klug, ich kann meine
MAC-Adresse randomisieren. MAC-Changer.

00:39:27.049 --> 00:39:32.859
Voll geil.
T: Super. Dein Telefon ist aber auch nicht

00:39:32.859 --> 00:39:40.849
nur einfach so an, das kennt irgendwie so
10, 15 oder 20 verschiedene SSIDs, also

00:39:40.849 --> 00:39:44.510
verschiedene WLAN Netze, in die du dich
regelmäßig einbuchst, und selbst wenn du

00:39:44.510 --> 00:39:52.690
deine MAC-Adresse regelmäßig änderst, wird
dieses Gerät diese Probes regelmäßig

00:39:52.690 --> 00:39:58.940
raussenden und hinterlässt damit ein
Profil über dich. Ja, da rechnest du erst

00:39:58.940 --> 00:40:03.890
mal nicht mit. Es eigentlich viel
einfacher, dich über so ein Set an

00:40:03.890 --> 00:40:09.190
bekannten SSIDs Probes zu identifizieren
als über eine MAC-Adresse. Du hinterlässt

00:40:09.190 --> 00:40:13.380
eine sehr starke Identität, egal wo du
hingehst und wo du dich da aufhälst.

00:40:13.380 --> 00:40:17.980
L: Ich seh gerade, hier haben wir offenbar
jemanden gefangen in der vierten SSID von

00:40:17.980 --> 00:40:21.169
oben, der war sogar schonmal im Darknet.
T: Und im St. Oberholz.

00:40:21.169 --> 00:40:27.479
Das ist eigentlich fast das gleiche, oder?
L: Ein echt ärgerliches Phänomen, was die

00:40:27.479 --> 00:40:31.890
Hersteller eigentlich meinten beseitigt zu
haben, indem sie dann die MAC Adressen bei

00:40:31.890 --> 00:40:38.840
den Probe Requests randomisieren. Aber
einfach nur die Anzahl der WLANs, die eure

00:40:38.840 --> 00:40:43.650
Geräte kennen, ist mit wenigen WLANs
sofort eindeutig und spezifisch auf euch

00:40:43.650 --> 00:40:47.849
in dieser Kombination. Und nach dieser
Kombination kann man eben überall suchen.

00:40:47.849 --> 00:40:51.289
T: Also was kann man hier so ganz
grundsätzlich mal sagen, wenn man

00:40:51.289 --> 00:40:56.109
irgendwie Sorge hat, getracked zu werden,
dann sollte man dafür sorgen dass das WLAN

00:40:56.109 --> 00:41:00.710
auf allen im Alltag genutzten Devices
ausgeschaltet wird, wenn man die Wohnung

00:41:00.710 --> 00:41:05.900
verlässt, oder wenn du irgendwas hackst.
L: Kommt ja manchmal vor....

00:41:05.900 --> 00:41:11.950
T: Manchmal.
L: Auch sehr schön, habe ich einen Fall

00:41:11.950 --> 00:41:17.619
gehabt, manchmal berate ich Leute, in dem
Fall war das eine Gruppe von

00:41:17.619 --> 00:41:28.010
ehrenamtlichen U-Bahn Lackierern ...
<i>Gelächter</i> und <i>Applaus</i>

00:41:28.010 --> 00:41:33.490
L: ... die sich dafür interessierten, wie
denn so ihre Arbeitsabläufe zu bewerten

00:41:33.490 --> 00:41:39.109
sind. Und die hatten Diensthandys, die sie
nur für den Einsatz beim Kunden benutzt

00:41:39.109 --> 00:41:48.169
haben. Was ja erstmal, also es war ja
schön gedacht. Das einzige Problem war

00:41:48.169 --> 00:41:52.690
natürlich, sie haben die auch wirklich nur
beim Kunden eingesetzt. Und wenn man jetzt

00:41:52.690 --> 00:41:57.330
einmal in so eine Funkzellenabfrage damit
gerät, und die Polizei spitz kriegt: "Oh,

00:41:57.330 --> 00:42:01.540
wunderbar, wir machen jetzt einfach jedes
Mal, wenn die ein neues Bild gemalt haben,

00:42:01.540 --> 00:42:06.000
so wie die Hacker von Putin, dann machen
wir einfach eine kleine Funkzellenabfrage

00:42:06.000 --> 00:42:10.990
und schauen uns mal, welche IMEIs, welche
IMSIs waren denn so in welchen Funkzellen

00:42:10.990 --> 00:42:16.779
eingeloggt. Das macht ihr 2, 3 Mal, dann
seid ihr das nächste Mal, wenn ihr im

00:42:16.779 --> 00:42:24.369
Einsatz seit, ehrenamtlich, wartet die
Polizei schon an eurem Einsatzort. Denn

00:42:24.369 --> 00:42:28.420
Mobiltelefone lassen sich einfach live
tracken, wenn man weiß nach welchen man

00:42:28.420 --> 00:42:33.980
sucht. Und auch hier eben ein
wunderschöner Fall von OpSec Fail.

00:42:33.980 --> 00:42:38.789
Übrigens wollte ich nur darauf hinweisen,
das ist kein Bild von der angesprochenen

00:42:38.789 --> 00:42:43.950
Gruppe. So klug waren die schon, ich habe
einfach irgendeins gegoogelt.

00:42:43.950 --> 00:42:49.240
T: Und hier wird ein Pseudonym, also was
weiß ich, irgendein Name dieser Gruppe,

00:42:49.240 --> 00:42:53.640
wird dann irgendwann aufgelöst und wird
einer bestimmten Person oder

00:42:53.640 --> 00:42:57.909
Personengruppe zugeordnet, und weil halt
über einen längeren Zeitraum immer wieder

00:42:57.909 --> 00:43:01.880
diese Metadaten angefallen sind, immer mit
diesem Bild, mit diesem Schriftzug, mit

00:43:01.880 --> 00:43:06.139
dem Namen, also diesem Pseudonym
assoziiert werden können, und irgendwann

00:43:06.139 --> 00:43:10.180
kommt der Tag, und wenn es nach fünf oder
nach zehn Jahren ist, da wird man das dann

00:43:10.180 --> 00:43:12.450
quasi alles auf eine Person zurückführen
können.

00:43:12.450 --> 00:43:15.700
L: Das ist echt so dieser Geltungsdrang,
der den Graffiti Sprüher irgendwie immer

00:43:15.700 --> 00:43:19.500
wieder zum Verhängnis wird so. Einmal so
eine Bahn zu besprühen, und diese wieder

00:43:19.500 --> 00:43:22.610
sauber machen zu lassen, das kriegste
vielleicht noch geschultert, aber wenn du

00:43:22.610 --> 00:43:27.029
das irgendwie 20 Mal gemacht hast, und
dann erwischt wirst... Schlecht.

00:43:27.029 --> 00:43:30.999
T: Beim 19. Mal denkt man noch: Ey, ich
wurde jetzt 20 mal nicht erwischt, oder 19

00:43:30.999 --> 00:43:33.150
Mal...
L: Sie könnten jedes Mal einen anderen

00:43:33.150 --> 00:43:36.960
Namen malen oder so.
T: Ja okay, aber das ist ja unter Hacker

00:43:36.960 --> 00:43:41.839
ja auch so, es gab ja auch Defacement
Organisationen, die das quasi in der

00:43:41.839 --> 00:43:47.760
digitalen Welt ähnlich gemacht haben. Wie
auch immer, wie ich schon am Anfang

00:43:47.760 --> 00:43:52.480
angesprochen habe, ist eigentlich das
wichtigste, dass man weiß, was für

00:43:52.480 --> 00:43:56.020
Werkzeuge man verwendet. Dass man die
Werkzeuge beherrscht, dass man nicht

00:43:56.020 --> 00:44:00.520
einfach irgendwas herunterlädt, weil man
hat davon mal irgend etwas gehört oder ein

00:44:00.520 --> 00:44:06.100
Kumpel hat mal was gesagt, oder man hat im
Internet irgendwas gelesen. Kenne dein

00:44:06.100 --> 00:44:10.550
Gerät. Setze sich mit der Technik
auseinander, die du da benutzt, und

00:44:10.550 --> 00:44:17.380
benutze halt die Technik, die du am besten
beherrscht. Beispielsweise Web Browser.

00:44:17.380 --> 00:44:22.689
Das ist schon ein ganz wichtiges Thema,
ich meine viele dieser ganzen Web

00:44:22.689 --> 00:44:28.370
Application Geschichten, über die stolpert
man hauptsächlich mit Browsern. Und

00:44:28.370 --> 00:44:32.432
heutzutage ist eigentlich völlig egal, was
für einen Browser man benutzt, die haben

00:44:32.432 --> 00:44:38.789
alle irgendwelche Macken, irgendwelches
Tracking, oder Telemetry enabled. Das ist

00:44:38.789 --> 00:44:46.440
zum Beispiel auch bei Mozilla ein großes
Ding, Wenn man halt eine sehr beliebte

00:44:46.440 --> 00:44:50.300
Extension installiert hat, und die zum
Beispiel den Besitzer wechselt, und dieser

00:44:50.300 --> 00:44:53.962
neue Besitzer dann einfach klammheimlich
irgendein Tracking einbaut, das alles

00:44:53.962 --> 00:44:56.310
schon vorgekommen, kann euch das ....
L: ... da haben wir einen Vortrag drüber

00:44:56.310 --> 00:44:59.330
gehabt ...
T: Kann euch das irgendwann den Kopf

00:44:59.330 --> 00:45:02.840
kosten, und deswegen müssen ihr ganz genau
wissen: Was benutze ich hier für Tools,

00:45:02.840 --> 00:45:05.580
was ändert sich wenn ich dieses Tool
vielleicht mal update, oder irgendwie eine

00:45:05.580 --> 00:45:12.600
kleine Extension update. Setzt euch
einfach damit auseinander, denn was die

00:45:12.600 --> 00:45:17.359
Werbeindustrie ganz gut drauf hat, ist
euch zu tracken, egal ob ihr jetzt Cookies

00:45:17.359 --> 00:45:21.730
akzeptiert oder irgendwie Tracking
disabled habt, die können das ganz gut mit

00:45:21.730 --> 00:45:25.501
Browser Footprinting, da gibt es
verschiedene Methoden auf einem ganz

00:45:25.501 --> 00:45:30.120
anderen Weg. So wie man eben diese WLAN
Probe Requests irgendwie nutzen kann um da

00:45:30.120 --> 00:45:33.870
einen Footprint zur identifizieren, kann
deshalb bei Browsern genauso

00:45:33.870 --> 00:45:40.150
funktionieren. Also, was kann man da
machen? Man verwendet vielleicht Wegwerf-

00:45:40.150 --> 00:45:43.880
Profile, man sorgt dafür, dass die Daten
zuverlässig von der Festplatte wieder

00:45:43.880 --> 00:45:47.650
verschwinden. Idealerweise hat man ja
ohnehin einen Laptop, mit dem man dann

00:45:47.650 --> 00:45:51.839
hackt, den mann regelmäßig mal platt
macht. Und man muss dafür sorgen, dass

00:45:51.839 --> 00:45:56.309
egal was für einen Browser ihr verwendet,
dass alle Datenlecks zuverlässig gestoppt

00:45:56.309 --> 00:46:04.130
werden. Ein Serviervorschlag für so ein
Setup, anonym und mit möglichst wenig

00:46:04.130 --> 00:46:08.660
Datenlecks unterwegs zu sein, ist einfach
alles zu trennen, was man trennen kann.

00:46:08.660 --> 00:46:13.620
Wenn ihr grundsätzlich davon ausgeht, dass
irgendwo etwas schief gehen kann, und es

00:46:13.620 --> 00:46:16.240
wird irgendwo etwas schief gehen, dann
müsst ihr einfach dafür sorgen, dass

00:46:16.240 --> 00:46:20.319
dieses Risiko möglichst minimal gehalten
wird. Also wäre eine Möglichkeit: Ihr

00:46:20.319 --> 00:46:26.390
benutzt einen Rechner, als Hardware oder
VM, wo ihr eure Hacking Workstation drin

00:46:26.390 --> 00:46:32.950
habt, irgend ein Kali oder BSD, oder was
auch immer, und über meinetwegen Hunix

00:46:32.950 --> 00:46:39.180
Installation dafür sorgt, dass keine
Datenlecks nach außen gelangen können. Es

00:46:39.180 --> 00:46:44.030
wird immer noch irgendwelche Datenlecks
geben, die so ein Hunix nicht abhalten

00:46:44.030 --> 00:46:48.720
kann, aber es minimiert zumindest
bestimmte Risiken bevor irgendwelche

00:46:48.720 --> 00:46:55.220
Pakete fahrlässig ins große böse Internet
gesendet werden, wo eine Menge Leute

00:46:55.220 --> 00:47:01.469
darauf warten. Also deine Geräte, lass
dich nicht beeinflussen von irgendwelchen

00:47:01.469 --> 00:47:05.560
Leuten, die halt sagen: "Ne, du musst das
Betriebssystem benutzen, sonst bist du

00:47:05.560 --> 00:47:08.740
nicht cool oder sonst kann es ja nicht
mitmachen". Ihr müsst genau das

00:47:08.740 --> 00:47:13.409
Betriebssystem benutzen, mit dem ihr euch
am besten auskennt, denn nur wenn ihr euer

00:47:13.409 --> 00:47:17.620
System beherrscht und gut kennt, könnt ihr
auch, wisst ihr halt über all diese

00:47:17.620 --> 00:47:22.040
Nachteile, die hier eine Rolle spielen,
wisst ihr darüber Bescheid, ihr könnt das

00:47:22.040 --> 00:47:27.930
berücksichtigen in eurem Verhalten.
Faulheit ist auch ein großer Killer von

00:47:27.930 --> 00:47:35.920
Anonymität, ebenso dieses vorausschauende
OpSec, dass man sagt, ich benutze von

00:47:35.920 --> 00:47:40.130
vornherein Tor, auch wenn ich jetzt gerade
nur was im Onlineshop was einkaufen will.

00:47:40.130 --> 00:47:44.380
Einfach nur um sicher zu sein, dass man
nirgendwo einfach nur aus Faulheit irgend

00:47:44.380 --> 00:47:50.699
einen Schutzmechanismus mal weglässt. Kann
ja auch sein, dass irgendein Target Server

00:47:50.699 --> 00:47:56.020
einfach sagt: "Nöö, ich blockier aber Tor
Exit Nodes". Kommt vor. Oder dass zum

00:47:56.020 --> 00:48:01.210
Beispiel die Captchas immer lästiger
werden, wenn man über einen Tor Exit Node

00:48:01.210 --> 00:48:05.270
kommt. Das ist einfach alles nur dafür da,
euch zu nerven und einfach mal für einen

00:48:05.270 --> 00:48:09.449
kleinen Augenblick Tor abzuschalten und
vielleicht normalen VPN-Anbieter zu

00:48:09.449 --> 00:48:13.630
benutzen, oder komplett auf irgendeine
Verschleierung zu verzichten. Und ja,

00:48:13.630 --> 00:48:21.779
diese Faulheit wird euch im Zweifelsfall
auch das Genick brechen. Was wir in

00:48:21.779 --> 00:48:29.079
Zukunft eventuell auch häufiger sehen
könnten ist etwas, das sind Canaries.

00:48:29.079 --> 00:48:34.780
Colin Malena hat letztes Jahr auch schon
auf dem Kongress glaube ich über Canaries

00:48:34.780 --> 00:48:41.460
in Embedded Devices gesprochen. Das sind
einfach nur irgendwelche Pattern, die in

00:48:41.460 --> 00:48:45.680
der Firmware hinterlassen werden, die dann
gemonitored werden, ob jemand danach

00:48:45.680 --> 00:48:51.309
googelt. Das heißt, ich kann also auch auf
einem Produktionssystem so eine Art Pseudo

00:48:51.309 --> 00:48:57.079
Honeypot installieren, und eine Datenbank
mit scheinbar realen Daten füllen, und

00:48:57.079 --> 00:49:00.090
irgendein Angreifer, der halt sehr
neugierig ist, wird das möglicherweise

00:49:00.090 --> 00:49:03.549
ausprobieren, ob das Login von der Frau
Merkel dann auch wirklich funktioniert,

00:49:03.549 --> 00:49:06.930
oder er wird vielleicht nach irgendeinem
Pattern auch googeln und herauszufinden,

00:49:06.930 --> 00:49:10.349
ob sich dann noch mehr holen lässt, um die
Qualität und vielleicht auch den Wert der

00:49:10.349 --> 00:49:16.529
erbeuteten Daten auszukundschaften. Das
heißt, da ist auch Neugier dann der Killer

00:49:16.529 --> 00:49:22.779
was Anonymität angeht. Und ja, das sind
halt einfach Fallen, die ausgelegt werden,

00:49:22.779 --> 00:49:27.650
und man sollte grundsätzlich so eine
gewisse Grundparanoia haben. Man sollte

00:49:27.650 --> 00:49:32.699
immer davon ausgehen, das jemand einem
eine Falle stellt.

00:49:32.699 --> 00:49:40.039
L: Zum Beispiel auch, wenn das Männchen
vom Elektroversorger kommt, und so was

00:49:40.039 --> 00:49:48.899
mitbringt; Wisst ihr, was das ist? Das ist
ein Smart Meter. Auch das natürlich ein

00:49:48.899 --> 00:49:53.930
Gerät, was unter der Maßgabe des "Digital
First, Bedenken Second" gerade ausgerollt

00:49:53.930 --> 00:49:59.420
wird und eine ganze Menge Metadaten über
euer Verhalten sammelt. Müsst ihr euch

00:49:59.420 --> 00:50:03.430
aber nicht unbedingt Sorgen machen, weil
das ist ja vom Bundesamt für Sicherheit in

00:50:03.430 --> 00:50:09.869
der Informationstechnik abgenommen, da
kann eigentlich nichts schief gehen. Außer

00:50:09.869 --> 00:50:13.681
natürlich, dass Geräte mit
Deutschlandflagge und Adler für die

00:50:13.681 --> 00:50:19.170
hacksportliche Nutzung grundsätzlich
ungeeignet sind, deswegen raten wir davon

00:50:19.170 --> 00:50:23.859
ab. Und sind gespannt, was wir noch alles
für Metadatenquellen in unserer Zukunft

00:50:23.859 --> 00:50:30.240
sehen werden.
T: Ja, und ihr seht schon, es sind nicht

00:50:30.240 --> 00:50:34.770
immer nur die technischen Probleme, die
ihr nicht berücksichtigt, das seid auch

00:50:34.770 --> 00:50:41.340
ihr selbst, eben dieses ungeduldig sein
oder faul sein, oder wenn man sich gerne

00:50:41.340 --> 00:50:45.109
Sachen schön redet und sagt "So naja, nu,
ist jetzt irgendwie 19 Mal gut gegangen,

00:50:45.109 --> 00:50:48.190
warum sollte ich jetzt irgendwie immer und
immer wieder den gleichen Aufwand

00:50:48.190 --> 00:50:52.070
betreiben, das wird schon schiefgehen.
Warum sollte jemand in dieses Log

00:50:52.070 --> 00:50:57.080
gucken". Ist so vergleichbar mit "Warum
sollte irgendjemand diesen Unsinn in

00:50:57.080 --> 00:51:02.800
dieses Formularfeld eintragen". Also man
trifft hier Annahmen, die halt fatal sind,

00:51:02.800 --> 00:51:06.470
und da muss man halt auch sehr stark
darauf achten, dass man selbst nicht sich

00:51:06.470 --> 00:51:10.369
selbst verrät. Die Frage ist zum Beispiel
auch: Geht man oft gerne feiern und

00:51:10.369 --> 00:51:14.170
brüstet sich dann vielleicht auf einer
Feier beim Bier irgendwie mit Erfolgen

00:51:14.170 --> 00:51:17.980
oder gibt man sich gerne geheimnisvoll? So
gibt man immer wieder gerne auch mal

00:51:17.980 --> 00:51:24.249
Geheimnisse preis, die einem das Genick
brechen. Da gibt es auch Fälle, wo dann

00:51:24.249 --> 00:51:28.359
Leute aus dem Freundeskreis eben
angefangen haben, Daten auch nach außen

00:51:28.359 --> 00:51:38.420
sickern zu lassen. Ansonsten sind das noch
Kleinigkeiten wie ich schon sagte der

00:51:38.420 --> 00:51:40.920
Coding-Stil kann ein verraten, das ist wie
eine Handschrift, aber deine

00:51:40.920 --> 00:51:44.230
Rechtschreibung und Grammatik ist es auch.
Vielleicht kann man da irgendwelche

00:51:44.230 --> 00:51:47.940
Translation-Services benutzen und hin und
her übersetzen, wenn man schon in

00:51:47.940 --> 00:51:53.250
irgendwelchen Foren schreiben muss.
Bestimmte Skills, Eigenschaften, die ihr

00:51:53.250 --> 00:51:56.899
technisch beherrscht, die andere
vielleicht nicht so gut beherrschen,

00:51:56.899 --> 00:52:00.039
können euch auch genausogut verraten. Das
sind am Ende einfach nur einzelne

00:52:00.039 --> 00:52:05.720
Indizien, die von Ermittlern oder Leuten,
die euch jagen, kombiniert werden, um

00:52:05.720 --> 00:52:12.799
nem plausiblen Beweis zu finden, um euch
zu finden. Ja, ansonsten ist auch oft,

00:52:12.799 --> 00:52:17.960
wenn ihr irgendwo was zerhackt habt, dann
hinterlasst hier vielleicht auch

00:52:17.960 --> 00:52:22.070
irgendwelche Funktionserweiterer und
Werkzeuge, die es euch erlauben, Sachen

00:52:22.070 --> 00:52:26.380
hoch oder runter zu laden. Diese Sachen
bleiben im Zweifelsfall dort liegen, weil

00:52:26.380 --> 00:52:29.880
euch jemand die Internetleitung kappt, und
diese Daten können dann halt analysiert

00:52:29.880 --> 00:52:34.800
werden. Rechnet immer damit, dass dieser
Fall eintreten kann, und sorgt dafür, dass

00:52:34.800 --> 00:52:44.460
sich eure Tools, dass es da keinen
Zusammenhang ergibt zu euch. Ja, ansonsten

00:52:44.460 --> 00:52:49.939
eben einfach mal tief durchatmen,
vielleicht ein bisschen diskreter an die

00:52:49.939 --> 00:52:56.219
Sache rangehen, und versuchen unter dem
Radar zu bleiben, nicht herum zu posen,

00:52:56.219 --> 00:52:59.540
keine Andeutungen zu machen, um damit
irgendwie ein Geheimnis geheimnisvoller

00:52:59.540 --> 00:53:03.860
da zu stehen. Nicht übermütig zu werden,
das ist einer der wichtigsten Punkte, und

00:53:03.860 --> 00:53:11.860
eben, dieser Geldfall, nicht gierig zu
werden, klar. Geld macht eh nicht

00:53:11.860 --> 00:53:15.010
glücklich, also von daher, werde einfach
nicht übermütig. Ich glaube, das ist am

00:53:15.010 --> 00:53:18.850
Ende auch ein ganz großer Faktor, wenn man
irgendwie jahrelang irgendwelche Sachen

00:53:18.850 --> 00:53:25.769
zerhackt hat, dass man da übermütig wird.
Und, verhaltet euch einfach so wie ihr

00:53:25.769 --> 00:53:31.039
euren Eltern das immer auch empfohlen
habt: Klickt nicht auf irgendwelche Links,

00:53:31.039 --> 00:53:35.160
die ihr per Spam E-Mail zugeschickt
bekommt. Klickt nicht auf irgendwelche

00:53:35.160 --> 00:53:40.030
Anhänge, die euch zugeschickt werden
ungefragt. Und seid einfach nicht so

00:53:40.030 --> 00:53:43.829
leichtfertig.
L: Was auch noch zu verräterischen

00:53:43.829 --> 00:53:49.710
Schwächen gehört ist auch ein Fall aus dem
Anonymous-Umfeld: Dein Kumpel hat Kind und

00:53:49.710 --> 00:53:54.640
Familie, ist erpressbar, und versuchte
dich, ans Messer zu liefern.

00:53:56.160 --> 00:54:01.079
T: Ich habe kein Messer dabei...
L: OK. Es gibt eigentlich, wenn ihr euch

00:54:01.079 --> 00:54:05.319
das so anschaut, niemanden der das so mit
dem Hacking länger durchgehalten hat, will

00:54:05.319 --> 00:54:12.640
man meinen. Aber es gibt einen, das ist
Fisher, kein Mensch weiß wie er aussieht,

00:54:12.640 --> 00:54:18.950
kein Mensch weiß ob es mehrere oder wenige
sind. Und diese Person, dieses Pseudonym,

00:54:18.950 --> 00:54:24.080
ist ein Staatstrojaner-Jäger, hat einfach
mal Gamma Finfisher aufgemacht, hat in

00:54:24.080 --> 00:54:29.779
Italien das Hacking Team aufgemacht, und
vor kurzem gab es dann die frohe Kunde,

00:54:29.779 --> 00:54:35.580
dass die Ermittlungsverfahren eingestellt
wurden, weil es keine Spuren gibt, um

00:54:35.580 --> 00:54:40.131
irgendwie diese Person oder diesen Hacker
zu finden. Und dafür gibt es von uns

00:54:40.131 --> 00:54:44.439
natürlich die lobende Erwähnung und den
Hat-Tip....

00:54:44.439 --> 00:54:59.099
<i>Applaus</i>
L: Kommen wir zum Fazit: Pseudonym ist

00:54:59.099 --> 00:55:03.890
nicht anonym. Verratet nicht eure Pläne,
seid nicht in der Situation, dass ihr

00:55:03.890 --> 00:55:09.390
jemandem vertrauen müsst. Seid vor allem
vorher paranoid, weil nachher geht das

00:55:09.390 --> 00:55:16.019
nicht mehr. Kennt eure Geräte, trennt
Aktivitäten und Geräte, es ist sehr

00:55:16.019 --> 00:55:20.200
sinnvoll mehrere Geräte zu haben, vor
allem wenn man von der Polizei durchsucht

00:55:20.200 --> 00:55:23.289
wird wie Alberto, und die nur die Hälfte
mitnehmen, habt ihr danach vielleicht noch

00:55:23.289 --> 00:55:30.720
ein Gerät über. Haltet euer Zuhause rein,
und vor allem lasst die Finger vom

00:55:30.720 --> 00:55:35.600
Cybercrime. Andere waren besser als ihr
und haben es auch nicht geschafft. Bitcoin

00:55:35.600 --> 00:55:47.050
ist eh im Keller. Also lasst es sein.
<i>Applaus</i>

00:55:47.050 --> 00:55:52.069
L: Und dann bleibt uns eigentlich nur noch
ein ein allerletzter wichtiger Rat, und

00:55:52.069 --> 00:56:00.180
das ist nie ohne Skimaske hacken.
T: Und immer auch nie ohne Ethik hacken.

00:56:00.180 --> 00:56:08.839
L: Und bitte bitte bitte bitte nie ohne
Ethik hacken, den Vortrag über die

00:56:08.839 --> 00:56:12.300
Hackerethik, auch dass ein
Einführungsvortrag, den gab es an Tag eins

00:56:12.300 --> 00:56:17.730
von Frank Rieger. Ihr könnt euch auch den
Seiten des CCC darüber informieren, spart

00:56:17.730 --> 00:56:22.319
euch den Ärger, arbeitet auch der
leuchtend glänzenden Seite der Macht und

00:56:22.319 --> 00:56:27.310
seid gute Hacker. Macht keinen Scheiß,
dann aber auch keine Sorgen. Vielen Dank !

00:56:27.310 --> 00:56:36.250
<i>Applaus</i>

00:56:36.250 --> 00:56:41.750
T: Ich hab auch noch eine.
<i>Applaus</i>

00:56:41.750 --> 00:56:43.042
T: Ist bald wieder Fasching, ne
<i>Applaus</i>

00:56:43.042 --> 00:56:48.097
<i>Abspannmusik</i>

00:56:48.097 --> 00:57:05.852
Untertitel erstellt von c3subtitles.de
im Jahr 2019. Mach mit und hilf uns!