Return to Video

35C3 - Du kannst alles hacken – du darfst dich nur nicht erwischen lassen.

  • 0:00 - 0:17
    35C3 Vorspannmusik
  • 0:17 - 0:20
    Herald:
    Herzlich willkommen zum nächsten Talk
  • 0:20 - 0:23
    "Du kannst alles hacken –
    du darfst dich nur nicht erwischen lassen".
  • 0:23 - 0:25
    Kleine Umfrage:
    Wer von euch
  • 0:25 - 0:27
    hat schonmal eine Sicherheitslücke gefunden
  • 0:27 - 0:28
    und gedacht:
    "Oh Scheisse, wenn ich das jetzt jemandem
  • 0:28 - 0:32
    erzähle, dann stecke ich aber ganz schön
    tief drin, das könnte Ärger geben"?
  • 0:32 - 0:34
    Bitte Handzeichen, für wen trifft das zu?
  • 0:34 - 0:37
    Zwischenruf aus dem Publikum: Kamera aus
    Gelächter
  • 0:37 - 0:40
    Herald: Andere Frage: Wer von euch würde
    denn gern mal eine Sicherheitslücke
  • 0:40 - 0:45
    finden, auch Handzeichen.
    Gelächter
  • 0:45 - 0:49
    Alles klar, ich erkläre euch alle hiermit
    zu Betroffenen und diesen Talk für
  • 0:49 - 0:53
    relevant für euch, denn viele Hackerinnen
    und Hacker stehen irgendwann im Laufe
  • 0:53 - 0:57
    ihrer Karriere vor dem Problem oder in der
    Situation dass sie irgendwas gefunden
  • 0:57 - 1:01
    haben oder irgendwo reingekommen sind,
    sich irgendwo reinverlaufen haben, und
  • 1:01 - 1:05
    wissen, wenn die betroffenen Leute, in
    deren Architektur sie gerade drinstehen
  • 1:05 - 1:09
    das mitkriegen, dann gibt's so richtig
    Ärger, das wird großes Missfallen erregen.
  • 1:09 - 1:12
    Und in diesem Talk geht es darum,
    welche Worst-Case-Szenarien auf euch
  • 1:12 - 1:16
    zukommen können, wie ihr damit umgeht, und
    am aller besten, wie ihr euch gar nicht
  • 1:16 - 1:20
    erst erwischen lasst. Und unsere Speaker,
    Linus Neumann und Thorsten Schröder, sind
  • 1:20 - 1:24
    Experten für IT-Sicherheit. Ihr kennt sie
    vielleicht noch von dem PC-Wahl-Hack.
  • 1:24 - 1:29
    Da gings darum, dass sie Sicherheitlücken
    in der Bundestags-Wahl-Software gefunden
  • 1:29 - 1:32
    haben, da gibt es eine sehr
    empfehlenswerte Folge.
  • 1:32 - 1:35
    Alles klar, alles Quatsch was ich
    erzählt habe, ich empfehle
  • 1:35 - 1:37
    euch die Folge von logbuch-netzpolitik.org
  • 1:37 - 1:40
    trotzdem, die ist nämlich
    hörenswert, nämlich die Nummer 228
  • 1:40 - 1:44
    "Interessierte Bürger". Jetzt erstmal
    einen ganz herzlichen Applaus für Linus
  • 1:44 - 1:50
    Neumann und Thorsten Schröder, Viel Spass
    Applaus
  • 1:50 - 1:54
    Linus Neumann: Vielen Dank, dass ihr alle
    da seid. Vielen Dank für das herzliche
  • 1:54 - 1:58
    Willkommen. Ich fand das auch schön, dass
    grad da einige von euch direkt den ersten
  • 1:58 - 2:02
    OpSec fail gemacht haben und sich erstmal
    gemeldet haben. Wir haben noch nie
  • 2:02 - 2:06
    irgendwas gehackt, wir haben mit nichts
    was zu tun. In unserem kleinen Talk soll
  • 2:06 - 2:11
    es darüber gehen, über das Thema über das
    hier alle reden ist Hacking. Wir sehen
  • 2:11 - 2:16
    über die Jahre viele feine, junge Hacker
    landen irgendwie im Knast, und es gibt
  • 2:16 - 2:20
    einfach viele Risiken, die den Hacksport
    begleiten, und den Genuss trüben,
  • 2:20 - 2:24
    zum Beispiel sowas wie Hausdurchsuchungen,
    eingetretene Türen, hohe Anwaltskosten,
  • 2:24 - 2:32
    alles das muss nicht sein. Es lohnt sich
    für euch vielleicht, zu überlegen, wie
  • 2:32 - 2:40
    auch ihr weiterhin freie Menschen bleiben
    könnt. Denn wir wissen, Hacker, das sind
  • 2:40 - 2:44
    freie Menschen, so wie Künstler, die
    stehen morgens auf, und wenn sie in
  • 2:44 - 2:49
    Stimmung sind, dann setzen sie sich hin
    und malen ihre Bilder. Und wir möchten,
  • 2:49 - 2:57
    dass ihr noch viele schöne Bilder malen
    könnt. Und der Weg dahin ist: OpSec.
  • 2:57 - 3:00
    Und darüber wollen wir heute
    mit euch reden.
  • 3:00 - 3:03
    OpSec ist eigentlich
    sehr einfach zusammengefasst,
  • 3:03 - 3:13
    hier auch übrigens...
    Schönes, schönes...
  • 3:13 - 3:14
    Schönes Lehrmaterial auch wieder
  • 3:14 - 3:24
    aus Russland, das scheint da die irgendwie
    umzutreiben. Wir haben, fangen wir mal
  • 3:24 - 3:31
    ganz einfach im ganz normalen, den ersten
    Computerwurm an: Übermut tut selten gut,
  • 3:31 - 3:36
    das ist eine der wichtigsten Lehren eurer
    operational Security, denn Angeberei und
  • 3:36 - 3:42
    Übermut bringen euch gern das ein oder
    andere Problem ein. Und das wissen wir
  • 3:42 - 3:47
    ungefähr seitdem es Computerwürmer
    überhaupt gibt. Der erste große
  • 3:47 - 3:52
    Computerwurm, der so international
    unterwegs war, und die Hälfte des
  • 3:52 - 3:57
    Internets lahmgelegt hat, war der Morris-
    Wurm, der mehrere Schwachstellen in
  • 3:57 - 4:03
    Sendmail, Finger, Remote-SH und ein paar
    schwache Passwörter ausgenutzt hat, um
  • 4:03 - 4:07
    sich selber zu verbreiten, war halt ein
    Computerwurm. Das führte also zu einem
  • 4:07 - 4:13
    Internetausfall 1988. Und ihr fragt euch
    wahrscheinlich: Warum heißt der Wurm denn
  • 4:13 - 4:21
    Morris-Wurm? Naja, weil sein Erfinder sehr
    sehr stolz war auf seinen Wurm, und gerne
  • 4:21 - 4:26
    davon erzählt hat, wie er funktioniert
    hat. Und zu einem Zeitpunkt stand er wohl
  • 4:26 - 4:32
    irgendwann in der Harward-Universität auf
    dem Tisch, und predigte, wie sein Wurm
  • 4:32 - 4:36
    funktionierte in alle möglichen Details.
    Es war aber auch klar, dass die
  • 4:36 - 4:41
    ursprüngliche Infektion dort stattgefunden
    hat, er hat allen davon erzählt.
  • 4:41 - 4:45
    Irgendwann hats jemand einem Journalisten
    erzählt, er musste es dann zugeben. Er hat
  • 4:45 - 4:50
    bekommen, dass der Computerwurm immerhin
    seinen Namen trägt. Allerdings auch
  • 4:50 - 4:57
    3 Jahre Bewährung, 400 Stunden soziale
    Arbeit, und 10.000 Dollar Geldstrafe, ohne
  • 4:57 - 5:02
    den eigenen Geltungsdrang wäre es ihm
    unter Umständen erspart geblieben. Aber
  • 5:02 - 5:05
    nicht nur bei Hackern haben wir so kleine
    Probleme mit Operational Security und
  • 5:05 - 5:10
    Geltungsdrang, das haben wir auch bei
    Bankräubern. Und zwar haben wir hier einen
  • 5:10 - 5:15
    jungen Mann, der hat eine Bank ausgeraubt.
    Und was macht man so, wenn man spannendes
  • 5:15 - 5:19
    erlebt hat, und gerade so das ganz große
    Geld abgesahnt hat: Natürlich erstmal ein
  • 5:19 - 5:26
    Selfie. Ja. Wenn das nicht reicht, kann
    man auch noch ein anderes Selfie machen.
  • 5:26 - 5:28
    Gelächter
  • 5:28 - 5:37
    Oder die Komplizin. Und auch Essen. Und
    dann gehts ganz schnell ins InstaJail. Und
  • 5:37 - 5:42
    man denk, das wär jetzt so ein Einzelfall,
    ne, denkt so: OK, so blöd kann ja
  • 5:42 - 5:46
    eigentlich keiner sein, aber wenn man sich
    so im Internet umschaut, braucht man echt
  • 5:46 - 5:53
    nicht lange, um immer mehr Spezialexperten
    zu finden, die solche Bilder posten. Und
  • 5:53 - 5:56
    das endet auch immer gleich: Hier der
    junge Mann mit den, also der muss ganz
  • 5:56 - 6:01
    schreckliche Zähne haben, der hat alle
    Zähne schon aus Gold jetzt, die wurden
  • 6:01 - 6:07
    auch verurteilt, weil sie auf Facebook
    damit angegeben haben, das sie Geld haben.
  • 6:07 - 6:12
    Nun, wenn wir uns das anschauen, in den
    Pionieren des Car-Hackings, da haben wir
  • 6:12 - 6:18
    im Prinzip das gleich Phänomen. Man muss
    dazu sagen, die ersten Unternehmungen im
  • 6:18 - 6:27
    Car-Hacking waren eher so analoger Natur
    und eher Brute-Force. Und die Pioniere in
  • 6:27 - 6:33
    diesem Bereich waren also diese beiden
    jungen Männer, die hier einen ganz großen
  • 6:33 - 6:38
    Hack geleistet haben, nämlich die
    Fahrerscheibe eingeschlagen, 5000 Dollar
  • 6:38 - 6:44
    und ein iPad aus einem Truck geklaut
    haben. Und, was macht man als erstes, wenn
  • 6:44 - 6:50
    man ein iPad hat und so: Naja, erstmal in
    den Burger-King gehen, weil da gibts WLAN.
  • 6:51 - 6:56
    Und ein bischen mit dem iPad daddeln. Und
    dann haben sie festgestellt: Ey, geil da
  • 6:56 - 7:00
    kann man Videos mit machen.
  • 7:00 - 7:06
    [Video wird abgespielt]
  • 7:06 - 7:19
    .... This is my brother Dylan.. This....
    good nights hassle
  • 7:19 - 7:25
    L: Und weil sie in dieses gestohlene iPad
    mit dem WLAN vom Burger King verbunden
  • 7:25 - 7:29
    hatten, passierte das, was passieren
    musste....
  • 7:29 - 7:34
    Gelächter
  • 7:34 - 7:39
    L: Und der Eigner des Fahrzeuges hat dann
  • 7:39 - 7:44
    eine Woche später das Video der Polizei
    übergeben, und die Polizei meinte, die
  • 7:44 - 7:48
    sind ihnen auch gar nicht so unbekannt.
    Und haben sich um die jungen Männer
  • 7:48 - 7:53
    gekümmert.
    Thorsten Schröder: Aber kommen wir mal
  • 7:53 - 7:58
    zurück in die Computerhacker-Ecke, über
    die wir heute eigentlich sprechen wollen,
  • 7:58 - 8:02
    jetzt haben wir einen kleinen Ausflug in
    die analoge Welt gemacht. Was kann denn
  • 8:02 - 8:09
    alles schief gehen wenn man sich als
    interessierter Surfer oder sonstwas auf
  • 8:09 - 8:15
    Online-Shopping-Portalen herumtreibt.
    Zunächst will man zunächst vielleicht doch
  • 8:15 - 8:19
    irgendwelche Waren erwerben, dann fängt
    man da an, irgendwie im Online-Shop
  • 8:19 - 8:25
    rumzuklicken. Plötzlich rutscht man mit
    der Maustaste aus, das passiert ja
  • 8:25 - 8:29
    manchmal, dass man da vielleicht irgendwie
    aus Versehen ein falsches Zeichen eingibt,
  • 8:29 - 8:36
    und was hier halt wichtig ist: Wir reden
    hier von einem Threat-Level, ein Level
  • 8:36 - 8:40
    eines Bedrohungsszenarios für den Hacker,
    also wenn ihr da irgendiwe mit dem Online-
  • 8:40 - 8:44
    Shopping-Portal unterwegs seid, und da aus
    Versehen auf der Maus ausrutscht, dann
  • 8:44 - 8:49
    habt ihr ein gewisses Bedrohungsszenario.
    Das wird natürlich ein bischen höher wenn
  • 8:49 - 8:52
    ihr da aus Versehen irgendwelche komischen
    Zeichen eingegeben habt,
  • 8:52 - 8:52
    ihr seid da
  • 8:52 - 8:55
    wahrscheinlich ohne Anonymisierungsdienste
    unterwegs, weil ihr wolltet ja bloß irgendwas
  • 8:55 - 9:02
    einkaufen. Und jetzt denkt ihr so: Hmm,
    ich bin ja ein bischen verspielt und
  • 9:02 - 9:07
    neugierig, ich mach jetzt mal Tor an oder
    irgendwas, und besuch jetzt diese Webseite
  • 9:07 - 9:12
    später nochmal mit einem
    Anonymisierungsdienst. Und, ja, über die
  • 9:12 - 9:17
    Zeit findet man dann vielleicht aus
    Versehen noch ein Cross-Site-Scriping, das
  • 9:17 - 9:23
    Bedrohungslevel wächst so allmählich, aber
    man hat ja jetzt Tor am Start. Das
  • 9:23 - 9:28
    Bedrohungs-Threat-Level wächst weiter,
    wenn man jetzt vielleicht noch eine etwas
  • 9:28 - 9:32
    kritischere Schwachstelle wie eine SQL-
    Injection gefunden hat. Und es wächst
  • 9:32 - 9:38
    weiter, wenn man vielleicht auch noch eine
    Remote-Code-Execution gefunden hat, dann
  • 9:38 - 9:42
    sind wir schon recht hoch. Also wenn man
    jetzt erwischt wird, wäre es relativ
  • 9:42 - 9:45
    ungünstig, weil man hat ja auch bewiesen,
    dass man direkt nicht nach einem Cross-
  • 9:45 - 9:49
    Site-Scripting oder irgendeiner anderen
    banalen Schwachstelle direkt mal zu dem
  • 9:49 - 9:54
    Portal gegangen ist und Bescheid gesagt
    hat. Na ja, was passiert dann, wenn man da
  • 9:54 - 9:58
    weiter stöbert. Je nachdem was man da für
    so Ziele hat. Vielleicht findet man auch
  • 9:58 - 10:03
    noch ein paar Kreditkarten. Jetzt sind wir
    schon recht hoch in unserem Threat-Level,
  • 10:03 - 10:10
    und das geht rapide runter weil das
    Threat-Level ist jetzt wieder... Es wird
  • 10:10 - 10:15
    entspannter. Man braucht jetzt keine Angst
    mehr haben, dass man irgendwann nochmal
  • 10:15 - 10:21
    für diesen Hack da erwischt wird. Ja,
    warum wird da überhaupt jemand erwischt?
  • 10:21 - 10:26
    Weil ich an die OpSec erst viel zu spät
    gedacht habe. In dem Moment, in dem ich
  • 10:26 - 10:30
    auf der Maus ausgerutscht bin, hätte ich
    im Grunde genommen schon einen
  • 10:30 - 10:35
    Anonymisierungsdienst, irgendnen Tor-
    Service oder so, am Start haben müssen,
  • 10:35 - 10:41
    denn in dem Moment, wo irgendwann der
    Betreiber des Portals mitkriegt, dass da
  • 10:41 - 10:48
    was passiert ist, werden die einfach
    gucken: Alles klar, wir verfolgen das
  • 10:48 - 10:51
    zurück, ist eine Tor-Session, schlecht,
    aber irgendwann stossen sie auf diesen Fall,
  • 10:51 - 10:56
    wo man halt "Ups" sagt. Und dann werden
    sie dich halt finden.
  • 10:58 - 11:02
    L: Es ist eigentlich auch regelmäßig
    tatsächlich so, dass man irgendwie Leute
  • 11:02 - 11:06
    irgendwie sagen: Ach, guck mal hier, da
    hab ich mal was entdeckt, und jetzt geh
  • 11:06 - 11:11
    ich mal auf Tor. Ne Leute, ist zu spät,
    müsst ihr vorher machen.
  • 11:11 - 11:15
    T: Tschuldigung, wenn euch sowas was
    auffällt, ihr könnt euch natürlich mal
  • 11:15 - 11:18
    überlegen, wie haben ja jetzt die
    Datenschutzgrundverordnung, dann könntet
  • 11:18 - 11:22
    ihr mal schauen was die so für
    Datenschutzrichtlinien haben, also manche
  • 11:22 - 11:26
    Unternehmen geben ja dann auch Auskunft
    daüber, wie lange die Logfiles zum
  • 11:26 - 11:28
    Beispiel aufbewahrt werden, und es soll
    ja....
  • 11:28 - 11:31
    L: Vielleicht habt ihr ja ein Recht auf
    Vergessen werden
  • 11:31 - 11:34
    T: Ja, es gibt ja Unternehmen, die
    speichern ihre Logdaten nur 7 Tage, dann
  • 11:34 - 11:37
    muss man einfach nochmal ne Woche warten
    vielleicht.
  • 11:37 - 11:43
    L: Also es gilt allgemeine Vorsicht bei
    Datenreisen, so auch bei unserem Freund
  • 11:43 - 11:48
    Alberto aus Uruguay, der mit seiner
    Freundin irgendwie nichts ahnend am
  • 11:48 - 11:52
    Nachmittag am Computer saß, und sie gab
    irgendwelche Gesundheitsdaten in irgend so
  • 11:52 - 11:58
    eine Cloud ein, weil: modern. Und Alberto
    sagte so: Ah, Gesunderheitsdaten, zeig mal
  • 11:58 - 12:02
    her. admin admin, oh!
    Gelächter
  • 12:02 - 12:06
    T: Ups
    L: Ups. Da war das Ups. Und er schrieb
  • 12:06 - 12:12
    dann eine Mail an das CERT Uruguay, also
    die zentrale Meldestelle des Landes, weil
  • 12:12 - 12:16
    es sich ja hier um sensible Patientendaten
    handelte, und Gesundheitsdaten, und er
  • 12:16 - 12:20
    bekam innerhalb von Stunden eine Antwort
    von dem Leiter des CERT, also das war ganz
  • 12:20 - 12:23
    klar, wir haben hier ein ernst zu
    nehmenden Fall, der auch eben ernst
  • 12:23 - 12:26
    genommen wurde.
    T: Dieser "Ups" Fall ist vielleicht nicht
  • 12:26 - 12:30
    ganz so dramatisch, möchte man meinen,
    weil der Hacker ja nichts böses vor hatte,
  • 12:30 - 12:34
    der wollte gar nicht weiterstöbern, der
    hat einfach gesagt so: "Uh, denen muss ich
  • 12:34 - 12:36
    schnell Bescheid sagen".
    L: Für den war der Fall auch erledigt, der
  • 12:36 - 12:40
    hatte das ja jetzt dem CERT gemeldet, das
    CERT hat sich drum gekümmert, hat die
  • 12:40 - 12:44
    Verantwortung übernommen, die kümmern sich
    jetzt drum. Schalten die Plattform ab,
  • 12:44 - 12:48
    oder was auch immer. Alberto geht seinem
    Leben ganz normal weiter, bis er ein Jahr
  • 12:48 - 12:51
    später feststellt: Oh, ahhh, das
    admin:admin haben sie inzwischen
  • 12:51 - 12:54
    geschlossen, das ist schonmal gut, aber
    jetzt haben sie unauthenticated file
  • 12:54 - 13:00
    access, auch nicht so gut, melde ich doch
    am besten einmal dem CERT. Und wieder
  • 13:00 - 13:07
    vergeht einige lange Zeit, in diesem Fall
    um die zwei Jahre Schweigen im Walde.
  • 13:07 - 13:11
    Er hatte die ganzen Sachen selbst längst
    vergessen, und dann bekommt das betroffene
  • 13:11 - 13:17
    Unternehmen mit den Gesundheitsdaten
    plötzlich eine E-Mail, von irgendwem:
  • 13:17 - 13:21
    Gib mal Bitcoin.
    Gelächter
  • 13:21 - 13:27
    L: Der wollte "gibt mal Bitcoin", weil der
    Angreifer oder der Erpresser hier sagte,
  • 13:27 - 13:31
    er sei im Besitz dieser Gesundheitsdaten,
    die diese Plattform geleaked hat. Und wenn
  • 13:31 - 13:37
    jetzt nicht 15 Bitcoin innerhalb von
    $Zeitraum überwiesen würden, dann würde er
  • 13:37 - 13:44
    an die Presse berichten: Alle Menschen in
    diesem Datensatz, die HIV-infiziert sind.
  • 13:44 - 13:47
    T: Was die Presse bestimmt total
    interessiert hätte.
  • 13:47 - 13:51
    L: Ich weiß nicht, ob das die Presse
    interessiert hätte, wen es auf jeden Fall
  • 13:51 - 13:55
    interessiert hat, ist die Polizei. An die
    Polizei müsst ihr übrigens immer denken...
  • 13:55 - 13:59
    T: Die erkennt man an diesen
    Kleidungsstücken hier
  • 13:59 - 14:04
    L: Die erkennt man an diesen Hüten...
    Gelächter und Applaus
  • 14:04 - 14:10
    L: Die haben vorne auch so einen Stern
    drauf. Nur damit ihr die nicht vergesst.
  • 14:10 - 14:14
    So, irgendwer will also Bitcoin. Es
    passiert wieder längere Zeit nichts, bis
  • 14:14 - 14:20
    auf einmal bei Alberto die Tür eingetreten
    wird. Es gibt eine Hausdurchsuchung,
  • 14:20 - 14:28
    wieder mit Brute-Force. Und, jetzt
    passiert folgendes: Die Polizei traut
  • 14:28 - 14:32
    ihren Augen nicht, als sie diese Wohnung
    betritt, und findet so viele spannende
  • 14:32 - 14:39
    Sachen, dass sie nachher auf einem eigenen
    Pressetermin ihre Fundstücke so bischen
  • 14:39 - 14:44
    drapiert, und damit angibt. Sah nämlich so
    aus: Da hatten wir also einen ganzen
  • 14:44 - 14:50
    Stapel Kreditkarten und Blanko-
    Kreditkarten. Blanko-Kreditkarten machen
  • 14:50 - 14:53
    immer gar nicht so einen guten Eindruck.
    Gelächter
  • 14:53 - 14:58
    T: Meistens nicht.
    L: Sowohl im Supermarkt, als auch im
  • 14:58 - 15:03
    Schrank wenn ihr die Polizei vorbeischaut.
    Außerdem finden sie Kartenlesegeräte und
  • 15:03 - 15:09
    ein paar Wallet-Fails.
    T: Allo nedos
  • 15:09 - 15:15
    L: Haben sie dann alles schön drapiert.
    Kartenlesegeräte, Zahlungsmittel und so.
  • 15:15 - 15:18
    T: Ist dann halt die Frage, ob die Polizei
    an OpSec gedacht hat, und die
  • 15:18 - 15:21
    Kreditkartennummern vielleicht auch noch
    gültig waren, als sie die Fotos
  • 15:21 - 15:25
    veröffentlicht haben. Man weiß es nicht,
    man wird es auch nicht herausfinden.
  • 15:25 - 15:28
    L: Und sie finden natürlich, was man bei
    jedem Hacker finden muss, bei jedem
  • 15:28 - 15:32
    Kriminellen, was braucht man da?
    Murmeln im Raum
  • 15:32 - 15:36
    L: Anonymous-Maske, klar
    Gelächter
  • 15:36 - 15:41
    L: Anonymous-Maske drapieren die schön.
    Wir haben auch noch eine dabei.. Nein, wir
  • 15:41 - 15:51
    haben keine Anonymous-Maske. Paar
    strategische Bargeld-Reserven. Und, das
  • 15:51 - 15:54
    war natürlich sehr verräterisch, sie
    finden Bitcoin.
  • 15:54 - 16:04
    Gelächter und Applaus
    L: Und die wollte der Erpresser ja haben.
  • 16:04 - 16:08
    T: Dann ist der Fall wohl abgeschlossen.
    L: Ein Bitcoin und ein Bitcoin
  • 16:08 - 16:17
    zusammengezählt. Verhör, ein paar
    Drohungen, und in Anbetracht der völlig
  • 16:17 - 16:23
    inkompetenten Polizei flüchtet sich
    Alberto in das falsche Geständnis, in der
  • 16:23 - 16:27
    Hoffnung, dass er im weiteren Verlauf des
    Verfahrens mit kompetenten Personen in
  • 16:27 - 16:35
    Kontakt kommt. Dies Hoffnung erfüllt sich
    nicht, er ist erstmal im weiteren Verlauf
  • 16:35 - 16:43
    8 Monate im Knast, und gerade nur auf
    Kaution raus. Er ist absolut sicher und
  • 16:43 - 16:47
    ehrlich, dass er das nicht getan hat.
    Hätte er es getan, wäre er auch ziemlich
  • 16:47 - 16:51
    dämlich, nachdem du zwei Mal responsible
    Disclosure gemacht hast, schickst du keine
  • 16:51 - 16:59
    Erpresser-E-Mail mehr. Vor allem nicht
    eine in der du sagst "Ich möchte 15
  • 16:59 - 17:04
    Bitcoin auf folgendes Konto..." ohne die
    Kontonummer anzugeben.
  • 17:04 - 17:12
    Gelächter und Applaus
    L: Da wir jetzt ein paar Scherze über
  • 17:12 - 17:15
    Alberto gemacht haben, haben wir ihn
    einfach mal kontaktiert, und Alberto hat
  • 17:15 - 17:20
    auch noch ein paar Sachen zu seinem Fall
    zu sagen, und wir begrüßen ihn bei uns auf
  • 17:20 - 17:22
    der Videoleinwand
    Applaus
  • 17:22 - 17:24
    [Video] Hello Germany. ....
    ......
  • 18:11 - 18:21
    Applaus
    L: Also das Gerät, mit dem er da kurz
  • 18:21 - 18:26
    hantiert hat, was irgendwie ein bischen so
    aussah wie ein GSM-Jammer, das ist ein
  • 18:26 - 18:31
    ganz bedauerliches Missverständnis. Das
    hatte die Polizei nämlich nicht
  • 18:31 - 18:37
    mitgenommen bei der Durchsuchung, ebenso
    wie 30 Festplatten, und er bekommt jetzt
  • 18:37 - 18:41
    seine Geräte deshalb nicht zurück, weil
    die Polizei sagt, das würde zu lange
  • 18:41 - 18:49
    dauern, den ganzen Kram anzuschauen. Aber
    wir lernen aus dieser Sache: Es hat schon
  • 18:49 - 18:56
    irgendwie Sinn, 127.0.0.1 als Ort der
    vorbildlichen Ordnung, Sicherheit,
  • 18:56 - 19:00
    Sauberkeit, und Disziplin zu pflegen, und
    wenn ihr euch mal überlegt, wie das
  • 19:00 - 19:04
    aussieht wenn bei euch mal die Tür
    aufgemacht wird und ein paar Geräte
  • 19:04 - 19:08
    rausgetragen werden, in den falschen Augen
    kann das alle ganz komisch aussehen. Und
  • 19:08 - 19:12
    auch da fängt OpSec schon an.
    T: Nämlich viel früher, bevor ihr den
  • 19:12 - 19:20
    Browser in die Hand nehmt, oder
    irgendwelche Logins ausprobiert. Ja, was
  • 19:20 - 19:24
    gibt es denn noch auf einer technischen
    Ebene, was uns verraten kann. Jetzt haben
  • 19:24 - 19:28
    wir sehr viel darüber gesprochen, dass
    Hacker sich selbst in die Pfanne hauen,
  • 19:28 - 19:32
    weil sie zu geschwätzig sind, weil sie
    vielleicht sogar zu ehrlich sind, und
  • 19:32 - 19:37
    irgendwelche Lücken melden. Was gibt es
    wirklich für Bedrohungsszenarien, die den
  • 19:37 - 19:44
    Hackern gefährlich werden können: Das
    sind, man könnte sagen das sind Metadaten,
  • 19:44 - 19:49
    die ja auch ein Stückweit so ähnlich sind
    wie Fingerabdrücke, wie auf diesem
  • 19:49 - 19:56
    Metadaten-Aufkleber. Es gibt heute kaum
    noch irgendwelche Dinge, die keine
  • 19:56 - 20:03
    Metadaten hinterlassen. Die Frage, wie man
    Metadaten vermeidet, oder was mit
  • 20:03 - 20:06
    Metadaten angestellt werden kann, ist
    immer sehr stark abhängig vom Kontext,
  • 20:06 - 20:10
    also auch irgendwelche Ermittler müssen
    sich natürlich immer den Kontext mit
  • 20:10 - 20:17
    anschauen, wo Metadaten anfallen. Deshalb
    ist natürlich einer der wichtigsten
  • 20:17 - 20:21
    Punkte, über die man sich bevor irgendwie
    auch nur irgendwas anhackt, muss man sich
  • 20:21 - 20:25
    mal darüber im Klaren sein, was
    hinterlasse ich eigentlich für Spuren. Und
  • 20:25 - 20:31
    das ist ist so der Teil, wo wir ein
    bischen versuchen wollen, den jüngeren
  • 20:31 - 20:35
    Hackern oder Leute, die halt jetzt
    anfangen, auch mal Sachen zu hacken, mal
  • 20:35 - 20:42
    ein paar Ideen mit auf den Weg geben, sich
    Gedanken darüber zu machen, was benutze
  • 20:42 - 20:46
    ich für Geräte, was benutze ich für
    Software, was für Spuren hinterlasse ich.
  • 20:46 - 20:50
    Selbst wenn ich jetzt gerade nicht am
    Rechner sitze, hinterlasse ich ja irgendwo
  • 20:50 - 20:54
    Spuren, weil ich ein Smartphone mit mir
    rumschleppe. Und das ist einfach wichtig,
  • 20:54 - 20:58
    einfach mal herauszufinden, wo hinterlasse
    ich eigentlich Logs. Was sind Identitäten,
  • 20:58 - 21:03
    also wenn ich auch unter Pseudonym im Netz
    unterwegs bin, und vielleicht sogar noch
  • 21:03 - 21:07
    Anonymisierungsdienste verwende, und
    eigentlich die technische Voraussetzung
  • 21:07 - 21:12
    dafür geschaffen ist, dass ich auch anonym
    bleibe, benutzt man als Hacker, oder als
  • 21:12 - 21:17
    Gruppe, vielleicht auch einfach
    Pseudonyme, oder man verwendet vielleicht
  • 21:17 - 21:20
    irgendwelche kryptografischen Keys
    mehrfach auf verschiedenen Systemen
  • 21:20 - 21:23
    L: Das ist immer sehr schlecht,
    kryptografische Keys gibt es halt nur
  • 21:23 - 21:27
    einmal, das ist ja die Idee bei Key
    T: Das ist ja der Sinn der Sache. Wenn ich
  • 21:27 - 21:31
    aber meine VMWares kopiere, und dann
    vielleicht irgendwelche Hidden Services
  • 21:31 - 21:36
    aufmache und da Rückschlüsse auf die Keys
    zu ziehen sind. Oder was ich verschiedene
  • 21:36 - 21:41
    Hostnamen dann auf ein und den selben Key,
    SSH-Key-oder was auch immer, zurückführen.
  • 21:41 - 21:47
    L: Logs übrigens auch so ein Klassiker,
    immer wieder Strategen, die Dateien dann
  • 21:47 - 21:52
    auf Truecrypt Volumes vorhalten, weil sie
    gehört haben, dass das ja dann besser ist,
  • 21:52 - 21:56
    und dann in ihrem Betriebssystem aber das
    Logging anhaben, mit welchem Player und
  • 21:56 - 22:00
    Viewer sie welche Dateien geöffnet haben,
    so dass dann auf der unverschlüsselten
  • 22:00 - 22:05
    Partition des Betriebssystems schön noch
    draufsteht, welche Videos und Dateien sich
  • 22:05 - 22:08
    vielleicht in den verschlüsselten
    Bereichen befinden.
  • 22:08 - 22:11
    T: Ja, und da so, dieses Feature, für die
    meisten Leute ist das halt ein Feature,
  • 22:11 - 22:15
    die wollen halt ihre recently used Apps
    oder was auch immer schön im Zugriff
  • 22:15 - 22:20
    haben, damit sie weniger Tipp- und
    Klickarbeit haben, könnte aber euch das
  • 22:20 - 22:23
    Genick brechen, wenn ihr dieses
    Betriebssystem einfach nutzen wollt, um
  • 22:23 - 22:29
    einfach nur mal eben so rumzuhacken.
    Wichtig ist halt hier, so können
  • 22:29 - 22:33
    irgendwelche Ermittler oder Leute, die
    euch hinterher recherchieren, Identitäten
  • 22:33 - 22:36
    über euch erstellen, also über das, was
    ihr da gerade, unter welchem Pseudonym
  • 22:36 - 22:40
    auch immer ihr da unterwegs seid. Die
    können Profile anlegen, die können euren
  • 22:40 - 22:43
    Coding-Stil analysieren, also
    Rechtschreibung wenn ihr irgendwelche
  • 22:43 - 22:46
    Texte hinterlasst, oder euch in
    irgendwelchen Foren anonym oder unter
  • 22:46 - 22:52
    Pseudonym mit irgendwelchen Sachen
    brüstet, die Leute, die sich die Rechner,
  • 22:52 - 22:56
    die Server anschauen, die hops genommen
    wurden, die schauen sich halt auch die
  • 22:56 - 23:00
    Bash-History an, wenn ihr die liegen
    lasst, dann gucken die halt, wie geht ihr
  • 23:00 - 23:04
    mit so einer Konsole um, habt ihr Ahnung,
    darauf kann man schliessen wie viele,
  • 23:04 - 23:07
    wieviel Erfahrung ihr im Umgang mit dem
    Betriebssystem habt, und so weiter. Das
  • 23:07 - 23:11
    sind alles Sachen, auf die müsst ihr
    achten, die müssen beseitigt werden, und
  • 23:11 - 23:15
    auch der Coding-Stil, wenn ihr irgendwo,
    kann ja durchaus sein, dass ihr meint, ihr
  • 23:15 - 23:19
    müsst eine Funktionserweiterung im Kernel
    hinterlassen, der Code wird später
  • 23:19 - 23:25
    analysiert, und, es gibt Software, die tut
    das, also so wie man Plagiate erkennt. Da
  • 23:25 - 23:29
    gabs glaube ich vor zwei Jahren mal auch
    einen Kongress-Talk darüber, wie man
  • 23:29 - 23:34
    anhand von Binary-Code quasi Rückschlüsse
    auf den ursprünglichen Autor ziehen kann,
  • 23:34 - 23:38
    so dass man eben, Malware beispielweise
    attributieren kann, oder leichter
  • 23:38 - 23:42
    attributieren kann. Wie auch immer, es
    gibt unglaublich viele Dinge, auf die man
  • 23:42 - 23:47
    achten muss, und ihr müsst im Grunde
    genommen selber rausfinden, mit was für
  • 23:47 - 23:51
    Werkzeugen hantiere ich hier eigentlich,
    und was öffnen die für Seitenkanäle. was
  • 23:51 - 23:55
    für Tracking und Telemetrie gibt es dort,
    und wie kann ich es möglicherweise
  • 23:55 - 24:03
    abschalten. Es gibt irgendwie die Rules of
    the Internet von Anonymous
  • 24:03 - 24:07
    L: ... von denen inzwischen keiner mehr
    anonymous ist, aber dazu kommen wir
  • 24:07 - 24:10
    noch...
    T: Die haben halt irgendwie schöne Regeln
  • 24:10 - 24:15
    aufgestellt, "Tits or get the fuck out"
    lautet eine, und das ist halt genau eine
  • 24:15 - 24:20
    Regel, für die, die anonym bleiben
    wollten... Übrigens, das ist die Nummer
  • 24:20 - 24:27
    falsch, aber ist egal... Ja, hier kommen
    wir zu einem schönen Fail eines Hackers
  • 24:27 - 24:34
    mit dem Namen w0rmer, der hatte nämlich
    ein Foto seiner... der Brüste seiner
  • 24:34 - 24:42
    Freundin veröffentlicht, und war er ganz
    stolz drauf "Tits or get the fuck out"
  • 24:42 - 24:45
    dachten sich auch die Herren von der
    Polizei, denn in dem...
  • 24:45 - 24:51
    L: In dem von iPhone aufgenommenen Bild
    war die GPS-Metadaten von dem Zuhause der
  • 24:51 - 24:53
    Fotografierten
    T: Dumm gelaufen...
  • 24:53 - 25:00
    L: Und deswegen kriegt w0rmer von uns den
    Mario Barth Award für den überflüssigsten
  • 25:00 - 25:05
    OpSec-Fail
    Applaus
  • 25:05 - 25:15
    T: Kennt ihr? Kennta kennta!
    L: Fragen sich natürlich, wie geht denn
  • 25:15 - 25:20
    überhaupt Anonymität im Internet, wenn
    schon Anonymous das nicht hinkriegt. Wir
  • 25:20 - 25:26
    wollen nicht entdeckt werden. Problem:
    Unsere IP-Adresse verrät unsere Herkunft.
  • 25:26 - 25:31
    Das heißt, wir suchen nach etwas, was
    unsere IP-Adresse verschleiert, und wenn
  • 25:31 - 25:34
    wir das bei Google eingeben, landen wir…
  • 25:34 - 25:40
    T: ... bei VPN-Anbietern, das ist so das
    erste, was man findet. Du willst anonym im
  • 25:40 - 25:46
    Internet unterwegs sein? Dann benutze halt
    ein VPN, wir auch oftmals als Ratschlag
  • 25:46 - 25:52
    nahegelegt. Nagut, da benutzen wir also
    jetzt einen VPN-Provider, mit dem
  • 25:52 - 25:56
    verbinden wir uns, das wird dann
    wahrscheinlich eine OpenVPN- oder was auch
  • 25:56 - 26:00
    immer Connection sein, die dafür sorgt,
    dass unsere ursprüngliche IP-Adresse
  • 26:00 - 26:04
    verschleiert wird, so dass niemand auf
    Serverseite quasi Rückschlüsse auf uns
  • 26:04 - 26:08
    direkt ziehen kann. Alles, was wir an
    Traffic ins Internet senden, geht also
  • 26:08 - 26:15
    über dieses VPN, und von da aus zu unserem
    Angriffsziel. Das ist hier eine böse
  • 26:15 - 26:20
    Firma, die hier jetzt angehackt wird. Und
    die denkt sich so: "Whoa, was ist denn
  • 26:20 - 26:29
    hier los, komischer Traffic, ah, das ist
    so ein VPN-Endpunkt". Und was haben wir
  • 26:29 - 26:35
    jetzt so davon, also wissen wir jetzt,
    sind wir jetzt sicher? Wir treffen
  • 26:35 - 26:40
    irgendeine Annahme, nämlich die Annahme,
    dass der VPN-Provider die Klappe hält. Und
  • 26:40 - 26:46
    dem glauben wir, dem vertrauen wir, obwohl
    wir den noch nie gesehen haben. Aber
  • 26:46 - 26:52
    eigentlich ist ja der Sinn, dass wir
    niemandem vertrauen müssen/wollen, wir
  • 26:52 - 26:58
    wollen niemandem vertrauen, weil was
    passiert bei so einem VPN-Anbieter, wir
  • 26:58 - 27:02
    haben da einen Account, wir bezahlen da
    möglicherweise für, warum sollte so ein
  • 27:02 - 27:08
    VPN-Anbieter sein VPN für lau anbieten.
    Also, da liegt im Zweifelsfall eine
  • 27:08 - 27:13
    E-Mail-Adresse von uns, da liegen unsere
    Kreditkartendaten oder Bitcoin-Wallet oder
  • 27:13 - 27:19
    was auch immer. Es gibt möglicherweise
    Logs, aber wissen nichts davon. Vielleicht
  • 27:19 - 27:25
    hat der VPN-Provider beim nächsten
    Betriebssystemupdate eine Logging-Option
  • 27:25 - 27:29
    an, die er vorher nicht an hatte, und so
    weiter. Also es kann ganz viel passieren,
  • 27:29 - 27:34
    das kann halt auch eine Quellen-TKÜ bei
    diesem Anbieter geben, und wir wollen das
  • 27:34 - 27:37
    aber nicht, wir wollen niemandem
    vertrauen. Also ...
  • 27:37 - 27:42
    L: ... fangen wir nochmal von vorne an.
    Bei dem Fall ist es halt schief gegangen,
  • 27:42 - 27:45
    wir müssen also irgendwie einen Weg
    finden, wo wir nicht darauf angewiesen
  • 27:45 - 27:48
    sind, anderen zu vertrauen. Das heißt
    nicht, dass wir denen nicht vertrauen
  • 27:48 - 27:53
    können, es ist heißt nur, dass wir es
    nicht wollen. Aber, wir brauchen auf jeden
  • 27:53 - 27:56
    Fall erstmal ein anderes Angriffsziel, ich
    würde sagen wir nehmen einfach mal
  • 27:56 - 28:07
    irgendeine Alternative
    Gelächter und Applaus
  • 28:07 - 28:11
    L: Und dieses Mal nutzen wir Tor. Habt ihr
    bestimmt schonmal von gehört, Tor ist
  • 28:11 - 28:15
    eigentlich relativ einfach. Euer
    Datentraffic geht mehrmals über
  • 28:15 - 28:20
    verschiedene Stationen im Internet und ist
    mehrmals verschlüsselt. Ihr sendet also an
  • 28:20 - 28:24
    einen sogenannten Tor Entry erstmal einen
    mehrfach verschlüsselten... euren mehrfach
  • 28:24 - 28:29
    verschlüsselten Traffic und dieser Tor
    Entry, der weiß ja jetzt wer ihr seid, der
  • 28:29 - 28:34
    weiß aber sieht aber nur in der an ihn
    verschlüsselten Botschaft, dass die, dass
  • 28:34 - 28:39
    er die weitergeben soll an einen nächste
    Node im Tor Netz, in diesem Fall die
  • 28:39 - 28:42
    Middle-Node, und die Middle-Node gibt das
    vielleicht noch an andere Middle-Nodes
  • 28:42 - 28:46
    weiter, das wurde von euch vorher
    festgelegt, bis ihr dann irgendwann beim
  • 28:46 - 28:53
    Tor Exit seid, und der Tor Exit macht dann
    "hacke die hack hack". Und wenn jetzt
  • 28:53 - 28:58
    unser Angriffsziel schaut "was ist denn
    los", da weiß der Tor Exit zwar "Ja, der
  • 28:58 - 29:03
    Traffic der kam wohl von mir, aber ich
    habe keine Ahnung wo der her kommt, die
  • 29:03 - 29:07
    Middle-Node weiß eh nix, und der Tor Entry
    weiß "Ja OK, der weiß zwar wer ihr seid,
  • 29:07 - 29:11
    aber er hat keine Ahnung, welchen weiteren
    Verlauf die IP-Pakete und Datenpakete, die
  • 29:11 - 29:17
    ihr geschickt habt, gegangen sind. Da seid
    ihr jetzt schon mal besser dran und müsst
  • 29:17 - 29:22
    nicht so vielen Leuten vertrauen, weil ihr
    ... weil sie es einfach nicht wissen
  • 29:22 - 29:28
    können. Es sei denn, ihr habt es mit einem
    globalen Angreifer zu tun, dann seid ihr
  • 29:28 - 29:35
    natürlich etwas schlechter dran, aber so
    für die kleine Datenreise kann man hier
  • 29:35 - 29:42
    auf jeden Fall noch ohne Reisewarnung auf
    die Reise gehen. Es sei denn, man ist zu
  • 29:42 - 29:45
    blöd...
    T: Jetzt haben wir quasi die technische
  • 29:45 - 29:49
    Voraussetzungen dafür, uns relativ anonym
    im Internet zu bewegen. Wir brauchen
  • 29:49 - 29:53
    niemanden vertrauen und so weiter. Aber
    jetzt kommt halt so die eigene Intelligenz
  • 29:53 - 29:56
    ins Spiel.
    L: Das ist eigentlich erst das Level, an
  • 29:56 - 29:59
    dem wir Operational Security brauchen,
    vorher brauchen wir gar nicht erst
  • 29:59 - 30:06
    anzufangen mit OpSec. Dachte sich auch ein
    Student der Harvard University, der
  • 30:06 - 30:10
    irgendwie ein bisschen nicht gut
    vorbereitet war für die Prüfung die an dem
  • 30:10 - 30:16
    Tag anstand. Und ihr kennt das, was macht
    man, man überlegt sich so "Wie könnte ich
  • 30:16 - 30:21
    jetzt diese Prüfung noch zum ausfallen
    bringen". Da gibt es eigentlich relativ
  • 30:21 - 30:26
    wenig Optionen, eine die aber immer ganz
    gut funktioniert ist eine Bombendrohung.
  • 30:26 - 30:30
    Wer kennt das nicht.
    Gelächter
  • 30:30 - 30:34
    L: Und hier, Harvard University Stratege
    sagt: "Ich habe ja gelernt, wie das mit
  • 30:34 - 30:40
    der Anonymität im Internet ist, ich
    benutze Tor". Und er schickt seine
  • 30:40 - 30:43
    Erpresser E-Mails, in denen steht "Ich
    habe eine Bombe da da da oder da
  • 30:43 - 30:47
    positioniert". Einer davon der Räume in
    dem er die Klausur schreibt um auch ganz
  • 30:47 - 30:51
    sicher zu gehen, dass auf jeden Fall der
    geräumt wird, wenn schon nicht die ganze
  • 30:51 - 30:57
    Uni. Datenpaket kommt an, und was sagt die
    Harward Universität, die ruft natürlich
  • 30:57 - 31:03
    die Polizei. Lalülala. Die Polizei sagt
    "Ach guck mal hier, ist über Tor gekommen,
  • 31:03 - 31:10
    liebes NOC, schau doch mal bitte kurz ob
    irgendjemand von den Studenten hier in dem
  • 31:10 - 31:15
    fraglichen Zeitpunkt Tor genutzt hat". Und
    in dem Uni Netzwerk haben die sich
  • 31:15 - 31:20
    natürlich alle namentlich anmelden müssen.
    Und da gab es dann eine kostenlose Fahrt
  • 31:20 - 31:24
    im Polizeiauto, weil wir hier eine
    wunderschöne Anonymisierungs technologie
  • 31:24 - 31:29
    gehabt hätten, wenn wir uns nicht vorher
    angemeldet hätten, und nur für den genau
  • 31:29 - 31:33
    den kleinen Zeitraum Tor genutzt haben, in
    dem genau diese Erpressungs-E-Mails bei
  • 31:33 - 31:39
    der Uni ankamen. Aber wir bleiben ein
    bisschen bei Anonymisierungsdiensten, was
  • 31:39 - 31:46
    ja auch insbesondere in der Öfentlichkeit
    sehr viel die Menschen bewegt: Hidden
  • 31:46 - 31:51
    Services. Wir wollen also jetzt das ganze
    Anonymisierungsnetzwerk umdrehen, wir
  • 31:51 - 31:55
    wollen nicht quasi als Angreifer versteckt
    sein, sondern wir wollen unseren Server
  • 31:55 - 32:00
    da drin verstecken. Und das machen wir ganz
    einfach, indem wir die Leute zwingen, dass
  • 32:00 - 32:05
    sie uns nur über Tor erreichen können. Das
    heißt, unser Polizist muss auf jeden Fall
  • 32:05 - 32:08
    in ein Tor Entry, dann durch mehrere
    Middle-Nodes, und irgendwann kommen die
  • 32:08 - 32:13
    Datenpakete bei uns an, ohne Tor jemals
    wieder zu verlassen. Die Middle-Nodes
  • 32:13 - 32:17
    wissen nie, dass sie die erste oder die
    letzte sind, und so routen wir unsere
  • 32:17 - 32:22
    Pakete immer irgendwie anders herum, und
    haben jetzt einen Server im Internet, zu
  • 32:22 - 32:29
    dem viele Wege führen, aber nie wirklich
    herauszufinden ist, auf welchem Weg wir
  • 32:29 - 32:34
    ... wo wir diesen Server stehen haben.
    Immer unter der Voraussetzung, dass nicht
  • 32:34 - 32:40
    jemand das gesamte Internet überwacht,
    oder wir ein bischen zu blöd sind. Das
  • 32:40 - 32:44
    können wir verhindern, indem wir auf
    unserem Hidden Service anfangen, keine
  • 32:44 - 32:48
    Logs zu schreiben, wir benutzen keine
    bekannten SSH Keys. Relativ schlecht, wenn
  • 32:48 - 32:53
    ihr da den gleichen SSH Key wie bei der
    Arbeit benutzt. Wir geben unserem Hidden
  • 32:53 - 33:00
    Service nur ein lokales Netz, fangen den
    in irgendeinem RFC 1918, schaffen getrennt
  • 33:00 - 33:07
    davor einen Tor-Router, der also dann mit
    dem Internet verbunden ist, und diesen ...
  • 33:07 - 33:11
    den Hidden Service freigibt, und dann die
    Verbindung zu unserem Hidden Service
  • 33:11 - 33:15
    herstellt. Das schöne ist, unser Hidden
    Service kann gar nicht mit dem Internet
  • 33:15 - 33:19
    verbunden, werden wenn er also versucht,
    wenn ihn da so ein kleines Ping
  • 33:19 - 33:25
    entfleuchen würde oder so, das könnte
    niemals in das große böse Internet
  • 33:25 - 33:29
    gelangen.
    Gelächter
  • 33:29 - 33:34
    L: Und jetzt haben wir also unseren Hidden
    Service da und sind total happy, denn das
  • 33:34 - 33:40
    große böse Internet kommt nur über das Tor
    Netz zu uns. Aufwand zum Aufsetzen, wenn
  • 33:40 - 33:46
    man weiß wie man es macht und ein bisschen
    geübt hat, würde ich sagen 1-2 Tage, und
  • 33:46 - 33:53
    schon bist du einen Drogenkönig. Und jetzt
    sind die technischen Voraussetzungen da,
  • 33:53 - 33:56
    dass du deine OpSec wieder so richtig
    schön verkacken kannst.
  • 33:56 - 34:03
    Gelächter
    T: Es gibt da, um auch im Darknet zu
  • 34:03 - 34:11
    bleiben, diesen Fall "Deutschland im Deep
    Web". Der Herr hatte sich da so ein Forum
  • 34:11 - 34:16
    und Marketplace aufgemacht, und der
    Betrieb von solchen Diensten kostet ja
  • 34:16 - 34:22
    Geld. Also hat er um Spenden gebeten,
    damit er seine Dienste weiterhin auch
  • 34:22 - 34:29
    gesichert anbieten kann. Und die Spenden
    sammelt man natürlich in Bitcoin einer,
  • 34:29 - 34:35
    eine schön anonyme Bezahlvariante passend
    zum Darknet. Ich habe Hidden Service, ich
  • 34:35 - 34:39
    kann nicht gefunden werden. Ich habe ein
    anonymes Zahlungsmittel, ohne dass mein
  • 34:39 - 34:51
    Name daran klebt. Also haben wir den Weg
    dass wir unsere Bitcoins irgendwann auch
  • 34:51 - 34:57
    nochmal versilbern wollen.
    L: Irgendwann haste genug Burger im Room77
  • 34:57 - 35:03
    gegessen, dann musst du... dann willst du
    vielleicht auch mal Euro haben, oder so.
  • 35:03 - 35:08
    T: Dann verlässt dieses anonyme
    Geld irgendwann die digitale Welt und
  • 35:08 - 35:17
    wandert über so ein Bitcoin Exchange
    Portal auf dein Sparbuch, und in dem Fall
  • 35:17 - 35:21
    hat es genau da schon "Knacks" gemacht,
    denn deine Identität ...
  • 35:21 - 35:30
    Gelächter
    T: ... ist genau in diesem Fall
  • 35:30 - 35:35
    aufgeflogen, weil wir hier über einen ...
    auch noch einen deutschen Anbieter Bitcoin
  • 35:35 - 35:40
    Marketplace getauscht haben, und wie soll
    es anders sein, da wird natürlich Auskunft
  • 35:40 - 35:44
    gegeben, wer denn der eigentliche
    Empfänger ist, und auf welches Sparbuch
  • 35:44 - 35:49
    das ganze überwiesen wurde. Das heißt hier
    kommen wir jetzt zum Satoshi Nakamoto
  • 35:49 - 35:53
    Award für anonyme Auszahlungen ...
    Gelächter
  • 35:53 - 36:04
    T: ... für eine wohldurchdachte
    Spendenplattform ist. Wirklich wirklich
  • 36:04 - 36:07
    gut gemacht.
  • 36:07 - 36:11
    L: Bitcoin ist anonym.
    T: Ja, ja Bitcoin ist anonym.
  • 36:11 - 36:13
    L: Und was eigentlich ganz interessant ist
  • 36:13 - 36:17
    an den Fall, durch eigentlich einfach mal
    saubere Polizeiarbeit ohne
  • 36:17 - 36:23
    Vorratsdatenspeicherung, ohne Responsible
    Encryption, ohne Verbot von
  • 36:23 - 36:28
    Anonymisierungsdiensten hat die Polizei
    hier ihre Arbeit geleistet. Es ging ja
  • 36:28 - 36:31
    hier dann auch nicht mehr nur um
    Kleinigkeiten, sondern auf dieser
  • 36:31 - 36:36
    Plattform wurden Waffen gehandelt. Mit den
    Waffen, die dort gehandelt wurden, wurden
  • 36:36 - 36:43
    Menschen getötet. Und ich denke hier kann
    doch einfach mal sagen, die Polizei, die
  • 36:43 - 36:46
    ja gerne mal quengelt, das irgendwie alle
    Daten von ihnen weg sind, und sie immer
  • 36:46 - 36:50
    mehr brauchen, hat hier einfach mal eine
    gute Arbeit geleistet...
  • 36:50 - 36:55
    Applaus
    L: ... ohne uns die ganze Zeit zu
  • 36:55 - 36:58
    überwachen, ist doch auch mal was das. Ist
    doch Schön!
  • 36:58 - 36:59
    T: Brauchen gar keine
    Vorratsdatenspeicherung
  • 36:59 - 37:05
    L: Können wir anonym bleiben... Aber man
    hat natürlich noch sehr viel schönere
  • 37:05 - 37:12
    Metadaten, mit denen man zum Opfer fallen
    kann. Sehr beliebt ist WLAN. Wer von euch
  • 37:12 - 37:16
    benutzt WLAN? Jetzt melden sich die, die
    sich gerade schon gemeldet haben, als die
  • 37:16 - 37:19
    Frage war, ob sie schon mal eine
    Sicherheitslücke gefunden haben.
  • 37:19 - 37:22
    T: Es heißt ja auch, man soll zum Hacken
    irgendwie zu irgendwelchen Kaffeeketten
  • 37:22 - 37:29
    gehen. Vielleicht keine so gute Idee.
    L: WLAN ist nicht mehr nur in eurer
  • 37:29 - 37:33
    Wohnung, die Signale die ihr da
    ausstrahlt, die kommen relativ weit. Das
  • 37:33 - 37:38
    hat auch ein Mitglied von Anonymous
    gelernt, der nämlich am Ende darüber
  • 37:38 - 37:45
    überführt wurde, dass man einfach vor
    seinem Haus so einen Empfangswagen
  • 37:45 - 37:49
    hingestellt hat, und geguckt hat, wann
    denn sein WLAN so aktiv ist. Wann also
  • 37:49 - 37:55
    sein Computer, wenn auch verschlüsselte
    Pakete, durch das WPA verschlüsselte WLAN
  • 37:55 - 37:59
    und durchs Tor Netz und sieben Proxies und
    hast du alles nicht gesehen, die am Ende
  • 37:59 - 38:06
    einfach nur korreliert: Wann ist der gute
    Mann im IRC aktiv, und wenn er aktiv ist,
  • 38:06 - 38:11
    kann das sein, dass zufällig auch diese
    Wohnung, auf die wir unsere Richtantenne
  • 38:11 - 38:17
    ausgerichtet haben, ein paar WLAN
    Paketchen emittiert. Stellte sich heraus,
  • 38:17 - 38:22
    das war der Fall. Hat ihn am Ende in den
    Knast gebracht. Und das spannende ist, wir
  • 38:22 - 38:25
    haben wir die Unverletzlichkeit der
    Wohnung, die brauchten gar nicht rein zu
  • 38:25 - 38:30
    gehen, weil ihnen der Mensch, der sich
    hier anonym halten wollte, quasi seine
  • 38:30 - 38:38
    Datenpakete frei Haus geliefert hat. Also
    man könnte sagen: Ethernet ist OpSec-Net.
  • 38:38 - 38:47
    Applaus
    T: Ein weiterer Killer für Anonymität ist
  • 38:47 - 38:52
    auch die Möglichkeit, dass so ein
    Smartphone, wenn man rumrennt, oder eine
  • 38:52 - 38:58
    Uhr mit WLAN Funktionalität oder
    Bluetooth, die hinterlassenen Spuren wo
  • 38:58 - 39:08
    man hingeht. Also es gibt ja auch
    Marketingfirmen, die Lösungen anbieten,
  • 39:08 - 39:11
    was sich die MAC Adressen von den
    Endgeräten auch zu tracken, also diese
  • 39:11 - 39:15
    Spuren hinterlässt man, auch wenn man
    einfach so auf die Straße geht, und
  • 39:15 - 39:18
    hinterlässt damit natürlich auch Spuren,
    die irgendwie korreliert werden können mit
  • 39:18 - 39:21
    dem eigenen Verhalten. Und wenn es einfach
    nur darum geht, man ist irgendwie zum
  • 39:21 - 39:23
    bestimmten Zeitpunkt gerade nicht zu
    Hause, ...
  • 39:23 - 39:27
    L: Aber ich bin voll klug, ich kann meine
    MAC-Adresse randomisieren. MAC-Changer.
  • 39:27 - 39:33
    Voll geil.
    T: Super. Dein Telefon ist aber auch nicht
  • 39:33 - 39:41
    nur einfach so an, das kennt irgendwie so
    10, 15 oder 20 verschiedene SSIDs, also
  • 39:41 - 39:45
    verschiedene WLAN Netze, in die du dich
    regelmäßig einbuchst, und selbst wenn du
  • 39:45 - 39:53
    deine MAC-Adresse regelmäßig änderst, wird
    dieses Gerät diese Probes regelmäßig
  • 39:53 - 39:59
    raussenden und hinterlässt damit ein
    Profil über dich. Ja, da rechnest du erst
  • 39:59 - 40:04
    mal nicht mit. Es eigentlich viel
    einfacher, dich über so ein Set an
  • 40:04 - 40:09
    bekannten SSIDs Probes zu identifizieren
    als über eine MAC-Adresse. Du hinterlässt
  • 40:09 - 40:13
    eine sehr starke Identität, egal wo du
    hingehst und wo du dich da aufhälst.
  • 40:13 - 40:18
    L: Ich seh gerade, hier haben wir offenbar
    jemanden gefangen in der vierten SSID von
  • 40:18 - 40:21
    oben, der war sogar schonmal im Darknet.
    T: Und im St. Oberholz.
  • 40:21 - 40:27
    Das ist eigentlich fast das gleiche, oder?
    L: Ein echt ärgerliches Phänomen, was die
  • 40:27 - 40:32
    Hersteller eigentlich meinten beseitigt zu
    haben, indem sie dann die MAC Adressen bei
  • 40:32 - 40:39
    den Probe Requests randomisieren. Aber
    einfach nur die Anzahl der WLANs, die eure
  • 40:39 - 40:44
    Geräte kennen, ist mit wenigen WLANs
    sofort eindeutig und spezifisch auf euch
  • 40:44 - 40:48
    in dieser Kombination. Und nach dieser
    Kombination kann man eben überall suchen.
  • 40:48 - 40:51
    T: Also was kann man hier so ganz
    grundsätzlich mal sagen, wenn man
  • 40:51 - 40:56
    irgendwie Sorge hat, getracked zu werden,
    dann sollte man dafür sorgen dass das WLAN
  • 40:56 - 41:01
    auf allen im Alltag genutzten Devices
    ausgeschaltet wird, wenn man die Wohnung
  • 41:01 - 41:06
    verlässt, oder wenn du irgendwas hackst.
    L: Kommt ja manchmal vor....
  • 41:06 - 41:12
    T: Manchmal.
    L: Auch sehr schön, habe ich einen Fall
  • 41:12 - 41:18
    gehabt, manchmal berate ich Leute, in dem
    Fall war das eine Gruppe von
  • 41:18 - 41:28
    ehrenamtlichen U-Bahn Lackierern ...
    Gelächter und Applaus
  • 41:28 - 41:33
    L: ... die sich dafür interessierten, wie
    denn so ihre Arbeitsabläufe zu bewerten
  • 41:33 - 41:39
    sind. Und die hatten Diensthandys, die sie
    nur für den Einsatz beim Kunden benutzt
  • 41:39 - 41:48
    haben. Was ja erstmal, also es war ja
    schön gedacht. Das einzige Problem war
  • 41:48 - 41:53
    natürlich, sie haben die auch wirklich nur
    beim Kunden eingesetzt. Und wenn man jetzt
  • 41:53 - 41:57
    einmal in so eine Funkzellenabfrage damit
    gerät, und die Polizei spitz kriegt: "Oh,
  • 41:57 - 42:02
    wunderbar, wir machen jetzt einfach jedes
    Mal, wenn die ein neues Bild gemalt haben,
  • 42:02 - 42:06
    so wie die Hacker von Putin, dann machen
    wir einfach eine kleine Funkzellenabfrage
  • 42:06 - 42:11
    und schauen uns mal, welche IMEIs, welche
    IMSIs waren denn so in welchen Funkzellen
  • 42:11 - 42:17
    eingeloggt. Das macht ihr 2, 3 Mal, dann
    seid ihr das nächste Mal, wenn ihr im
  • 42:17 - 42:24
    Einsatz seit, ehrenamtlich, wartet die
    Polizei schon an eurem Einsatzort. Denn
  • 42:24 - 42:28
    Mobiltelefone lassen sich einfach live
    tracken, wenn man weiß nach welchen man
  • 42:28 - 42:34
    sucht. Und auch hier eben ein
    wunderschöner Fall von OpSec Fail.
  • 42:34 - 42:39
    Übrigens wollte ich nur darauf hinweisen,
    das ist kein Bild von der angesprochenen
  • 42:39 - 42:44
    Gruppe. So klug waren die schon, ich habe
    einfach irgendeins gegoogelt.
  • 42:44 - 42:49
    T: Und hier wird ein Pseudonym, also was
    weiß ich, irgendein Name dieser Gruppe,
  • 42:49 - 42:54
    wird dann irgendwann aufgelöst und wird
    einer bestimmten Person oder
  • 42:54 - 42:58
    Personengruppe zugeordnet, und weil halt
    über einen längeren Zeitraum immer wieder
  • 42:58 - 43:02
    diese Metadaten angefallen sind, immer mit
    diesem Bild, mit diesem Schriftzug, mit
  • 43:02 - 43:06
    dem Namen, also diesem Pseudonym
    assoziiert werden können, und irgendwann
  • 43:06 - 43:10
    kommt der Tag, und wenn es nach fünf oder
    nach zehn Jahren ist, da wird man das dann
  • 43:10 - 43:12
    quasi alles auf eine Person zurückführen
    können.
  • 43:12 - 43:16
    L: Das ist echt so dieser Geltungsdrang,
    der den Graffiti Sprüher irgendwie immer
  • 43:16 - 43:20
    wieder zum Verhängnis wird so. Einmal so
    eine Bahn zu besprühen, und diese wieder
  • 43:20 - 43:23
    sauber machen zu lassen, das kriegste
    vielleicht noch geschultert, aber wenn du
  • 43:23 - 43:27
    das irgendwie 20 Mal gemacht hast, und
    dann erwischt wirst... Schlecht.
  • 43:27 - 43:31
    T: Beim 19. Mal denkt man noch: Ey, ich
    wurde jetzt 20 mal nicht erwischt, oder 19
  • 43:31 - 43:33
    Mal...
    L: Sie könnten jedes Mal einen anderen
  • 43:33 - 43:37
    Namen malen oder so.
    T: Ja okay, aber das ist ja unter Hacker
  • 43:37 - 43:42
    ja auch so, es gab ja auch Defacement
    Organisationen, die das quasi in der
  • 43:42 - 43:48
    digitalen Welt ähnlich gemacht haben. Wie
    auch immer, wie ich schon am Anfang
  • 43:48 - 43:52
    angesprochen habe, ist eigentlich das
    wichtigste, dass man weiß, was für
  • 43:52 - 43:56
    Werkzeuge man verwendet. Dass man die
    Werkzeuge beherrscht, dass man nicht
  • 43:56 - 44:01
    einfach irgendwas herunterlädt, weil man
    hat davon mal irgend etwas gehört oder ein
  • 44:01 - 44:06
    Kumpel hat mal was gesagt, oder man hat im
    Internet irgendwas gelesen. Kenne dein
  • 44:06 - 44:11
    Gerät. Setze sich mit der Technik
    auseinander, die du da benutzt, und
  • 44:11 - 44:17
    benutze halt die Technik, die du am besten
    beherrscht. Beispielsweise Web Browser.
  • 44:17 - 44:23
    Das ist schon ein ganz wichtiges Thema,
    ich meine viele dieser ganzen Web
  • 44:23 - 44:28
    Application Geschichten, über die stolpert
    man hauptsächlich mit Browsern. Und
  • 44:28 - 44:32
    heutzutage ist eigentlich völlig egal, was
    für einen Browser man benutzt, die haben
  • 44:32 - 44:39
    alle irgendwelche Macken, irgendwelches
    Tracking, oder Telemetry enabled. Das ist
  • 44:39 - 44:46
    zum Beispiel auch bei Mozilla ein großes
    Ding, Wenn man halt eine sehr beliebte
  • 44:46 - 44:50
    Extension installiert hat, und die zum
    Beispiel den Besitzer wechselt, und dieser
  • 44:50 - 44:54
    neue Besitzer dann einfach klammheimlich
    irgendein Tracking einbaut, das alles
  • 44:54 - 44:56
    schon vorgekommen, kann euch das ....
    L: ... da haben wir einen Vortrag drüber
  • 44:56 - 44:59
    gehabt ...
    T: Kann euch das irgendwann den Kopf
  • 44:59 - 45:03
    kosten, und deswegen müssen ihr ganz genau
    wissen: Was benutze ich hier für Tools,
  • 45:03 - 45:06
    was ändert sich wenn ich dieses Tool
    vielleicht mal update, oder irgendwie eine
  • 45:06 - 45:13
    kleine Extension update. Setzt euch
    einfach damit auseinander, denn was die
  • 45:13 - 45:17
    Werbeindustrie ganz gut drauf hat, ist
    euch zu tracken, egal ob ihr jetzt Cookies
  • 45:17 - 45:22
    akzeptiert oder irgendwie Tracking
    disabled habt, die können das ganz gut mit
  • 45:22 - 45:26
    Browser Footprinting, da gibt es
    verschiedene Methoden auf einem ganz
  • 45:26 - 45:30
    anderen Weg. So wie man eben diese WLAN
    Probe Requests irgendwie nutzen kann um da
  • 45:30 - 45:34
    einen Footprint zur identifizieren, kann
    deshalb bei Browsern genauso
  • 45:34 - 45:40
    funktionieren. Also, was kann man da
    machen? Man verwendet vielleicht Wegwerf-
  • 45:40 - 45:44
    Profile, man sorgt dafür, dass die Daten
    zuverlässig von der Festplatte wieder
  • 45:44 - 45:48
    verschwinden. Idealerweise hat man ja
    ohnehin einen Laptop, mit dem man dann
  • 45:48 - 45:52
    hackt, den mann regelmäßig mal platt
    macht. Und man muss dafür sorgen, dass
  • 45:52 - 45:56
    egal was für einen Browser ihr verwendet,
    dass alle Datenlecks zuverlässig gestoppt
  • 45:56 - 46:04
    werden. Ein Serviervorschlag für so ein
    Setup, anonym und mit möglichst wenig
  • 46:04 - 46:09
    Datenlecks unterwegs zu sein, ist einfach
    alles zu trennen, was man trennen kann.
  • 46:09 - 46:14
    Wenn ihr grundsätzlich davon ausgeht, dass
    irgendwo etwas schief gehen kann, und es
  • 46:14 - 46:16
    wird irgendwo etwas schief gehen, dann
    müsst ihr einfach dafür sorgen, dass
  • 46:16 - 46:20
    dieses Risiko möglichst minimal gehalten
    wird. Also wäre eine Möglichkeit: Ihr
  • 46:20 - 46:26
    benutzt einen Rechner, als Hardware oder
    VM, wo ihr eure Hacking Workstation drin
  • 46:26 - 46:33
    habt, irgend ein Kali oder BSD, oder was
    auch immer, und über meinetwegen Hunix
  • 46:33 - 46:39
    Installation dafür sorgt, dass keine
    Datenlecks nach außen gelangen können. Es
  • 46:39 - 46:44
    wird immer noch irgendwelche Datenlecks
    geben, die so ein Hunix nicht abhalten
  • 46:44 - 46:49
    kann, aber es minimiert zumindest
    bestimmte Risiken bevor irgendwelche
  • 46:49 - 46:55
    Pakete fahrlässig ins große böse Internet
    gesendet werden, wo eine Menge Leute
  • 46:55 - 47:01
    darauf warten. Also deine Geräte, lass
    dich nicht beeinflussen von irgendwelchen
  • 47:01 - 47:06
    Leuten, die halt sagen: "Ne, du musst das
    Betriebssystem benutzen, sonst bist du
  • 47:06 - 47:09
    nicht cool oder sonst kann es ja nicht
    mitmachen". Ihr müsst genau das
  • 47:09 - 47:13
    Betriebssystem benutzen, mit dem ihr euch
    am besten auskennt, denn nur wenn ihr euer
  • 47:13 - 47:18
    System beherrscht und gut kennt, könnt ihr
    auch, wisst ihr halt über all diese
  • 47:18 - 47:22
    Nachteile, die hier eine Rolle spielen,
    wisst ihr darüber Bescheid, ihr könnt das
  • 47:22 - 47:28
    berücksichtigen in eurem Verhalten.
    Faulheit ist auch ein großer Killer von
  • 47:28 - 47:36
    Anonymität, ebenso dieses vorausschauende
    OpSec, dass man sagt, ich benutze von
  • 47:36 - 47:40
    vornherein Tor, auch wenn ich jetzt gerade
    nur was im Onlineshop was einkaufen will.
  • 47:40 - 47:44
    Einfach nur um sicher zu sein, dass man
    nirgendwo einfach nur aus Faulheit irgend
  • 47:44 - 47:51
    einen Schutzmechanismus mal weglässt. Kann
    ja auch sein, dass irgendein Target Server
  • 47:51 - 47:56
    einfach sagt: "Nöö, ich blockier aber Tor
    Exit Nodes". Kommt vor. Oder dass zum
  • 47:56 - 48:01
    Beispiel die Captchas immer lästiger
    werden, wenn man über einen Tor Exit Node
  • 48:01 - 48:05
    kommt. Das ist einfach alles nur dafür da,
    euch zu nerven und einfach mal für einen
  • 48:05 - 48:09
    kleinen Augenblick Tor abzuschalten und
    vielleicht normalen VPN-Anbieter zu
  • 48:09 - 48:14
    benutzen, oder komplett auf irgendeine
    Verschleierung zu verzichten. Und ja,
  • 48:14 - 48:22
    diese Faulheit wird euch im Zweifelsfall
    auch das Genick brechen. Was wir in
  • 48:22 - 48:29
    Zukunft eventuell auch häufiger sehen
    könnten ist etwas, das sind Canaries.
  • 48:29 - 48:35
    Colin Malena hat letztes Jahr auch schon
    auf dem Kongress glaube ich über Canaries
  • 48:35 - 48:41
    in Embedded Devices gesprochen. Das sind
    einfach nur irgendwelche Pattern, die in
  • 48:41 - 48:46
    der Firmware hinterlassen werden, die dann
    gemonitored werden, ob jemand danach
  • 48:46 - 48:51
    googelt. Das heißt, ich kann also auch auf
    einem Produktionssystem so eine Art Pseudo
  • 48:51 - 48:57
    Honeypot installieren, und eine Datenbank
    mit scheinbar realen Daten füllen, und
  • 48:57 - 49:00
    irgendein Angreifer, der halt sehr
    neugierig ist, wird das möglicherweise
  • 49:00 - 49:04
    ausprobieren, ob das Login von der Frau
    Merkel dann auch wirklich funktioniert,
  • 49:04 - 49:07
    oder er wird vielleicht nach irgendeinem
    Pattern auch googeln und herauszufinden,
  • 49:07 - 49:10
    ob sich dann noch mehr holen lässt, um die
    Qualität und vielleicht auch den Wert der
  • 49:10 - 49:17
    erbeuteten Daten auszukundschaften. Das
    heißt, da ist auch Neugier dann der Killer
  • 49:17 - 49:23
    was Anonymität angeht. Und ja, das sind
    halt einfach Fallen, die ausgelegt werden,
  • 49:23 - 49:28
    und man sollte grundsätzlich so eine
    gewisse Grundparanoia haben. Man sollte
  • 49:28 - 49:33
    immer davon ausgehen, das jemand einem
    eine Falle stellt.
  • 49:33 - 49:40
    L: Zum Beispiel auch, wenn das Männchen
    vom Elektroversorger kommt, und so was
  • 49:40 - 49:49
    mitbringt; Wisst ihr, was das ist? Das ist
    ein Smart Meter. Auch das natürlich ein
  • 49:49 - 49:54
    Gerät, was unter der Maßgabe des "Digital
    First, Bedenken Second" gerade ausgerollt
  • 49:54 - 49:59
    wird und eine ganze Menge Metadaten über
    euer Verhalten sammelt. Müsst ihr euch
  • 49:59 - 50:03
    aber nicht unbedingt Sorgen machen, weil
    das ist ja vom Bundesamt für Sicherheit in
  • 50:03 - 50:10
    der Informationstechnik abgenommen, da
    kann eigentlich nichts schief gehen. Außer
  • 50:10 - 50:14
    natürlich, dass Geräte mit
    Deutschlandflagge und Adler für die
  • 50:14 - 50:19
    hacksportliche Nutzung grundsätzlich
    ungeeignet sind, deswegen raten wir davon
  • 50:19 - 50:24
    ab. Und sind gespannt, was wir noch alles
    für Metadatenquellen in unserer Zukunft
  • 50:24 - 50:30
    sehen werden.
    T: Ja, und ihr seht schon, es sind nicht
  • 50:30 - 50:35
    immer nur die technischen Probleme, die
    ihr nicht berücksichtigt, das seid auch
  • 50:35 - 50:41
    ihr selbst, eben dieses ungeduldig sein
    oder faul sein, oder wenn man sich gerne
  • 50:41 - 50:45
    Sachen schön redet und sagt "So naja, nu,
    ist jetzt irgendwie 19 Mal gut gegangen,
  • 50:45 - 50:48
    warum sollte ich jetzt irgendwie immer und
    immer wieder den gleichen Aufwand
  • 50:48 - 50:52
    betreiben, das wird schon schiefgehen.
    Warum sollte jemand in dieses Log
  • 50:52 - 50:57
    gucken". Ist so vergleichbar mit "Warum
    sollte irgendjemand diesen Unsinn in
  • 50:57 - 51:03
    dieses Formularfeld eintragen". Also man
    trifft hier Annahmen, die halt fatal sind,
  • 51:03 - 51:06
    und da muss man halt auch sehr stark
    darauf achten, dass man selbst nicht sich
  • 51:06 - 51:10
    selbst verrät. Die Frage ist zum Beispiel
    auch: Geht man oft gerne feiern und
  • 51:10 - 51:14
    brüstet sich dann vielleicht auf einer
    Feier beim Bier irgendwie mit Erfolgen
  • 51:14 - 51:18
    oder gibt man sich gerne geheimnisvoll? So
    gibt man immer wieder gerne auch mal
  • 51:18 - 51:24
    Geheimnisse preis, die einem das Genick
    brechen. Da gibt es auch Fälle, wo dann
  • 51:24 - 51:28
    Leute aus dem Freundeskreis eben
    angefangen haben, Daten auch nach außen
  • 51:28 - 51:38
    sickern zu lassen. Ansonsten sind das noch
    Kleinigkeiten wie ich schon sagte der
  • 51:38 - 51:41
    Coding-Stil kann ein verraten, das ist wie
    eine Handschrift, aber deine
  • 51:41 - 51:44
    Rechtschreibung und Grammatik ist es auch.
    Vielleicht kann man da irgendwelche
  • 51:44 - 51:48
    Translation-Services benutzen und hin und
    her übersetzen, wenn man schon in
  • 51:48 - 51:53
    irgendwelchen Foren schreiben muss.
    Bestimmte Skills, Eigenschaften, die ihr
  • 51:53 - 51:57
    technisch beherrscht, die andere
    vielleicht nicht so gut beherrschen,
  • 51:57 - 52:00
    können euch auch genausogut verraten. Das
    sind am Ende einfach nur einzelne
  • 52:00 - 52:06
    Indizien, die von Ermittlern oder Leuten,
    die euch jagen, kombiniert werden, um
  • 52:06 - 52:13
    nem plausiblen Beweis zu finden, um euch
    zu finden. Ja, ansonsten ist auch oft,
  • 52:13 - 52:18
    wenn ihr irgendwo was zerhackt habt, dann
    hinterlasst hier vielleicht auch
  • 52:18 - 52:22
    irgendwelche Funktionserweiterer und
    Werkzeuge, die es euch erlauben, Sachen
  • 52:22 - 52:26
    hoch oder runter zu laden. Diese Sachen
    bleiben im Zweifelsfall dort liegen, weil
  • 52:26 - 52:30
    euch jemand die Internetleitung kappt, und
    diese Daten können dann halt analysiert
  • 52:30 - 52:35
    werden. Rechnet immer damit, dass dieser
    Fall eintreten kann, und sorgt dafür, dass
  • 52:35 - 52:44
    sich eure Tools, dass es da keinen
    Zusammenhang ergibt zu euch. Ja, ansonsten
  • 52:44 - 52:50
    eben einfach mal tief durchatmen,
    vielleicht ein bisschen diskreter an die
  • 52:50 - 52:56
    Sache rangehen, und versuchen unter dem
    Radar zu bleiben, nicht herum zu posen,
  • 52:56 - 53:00
    keine Andeutungen zu machen, um damit
    irgendwie ein Geheimnis geheimnisvoller
  • 53:00 - 53:04
    da zu stehen. Nicht übermütig zu werden,
    das ist einer der wichtigsten Punkte, und
  • 53:04 - 53:12
    eben, dieser Geldfall, nicht gierig zu
    werden, klar. Geld macht eh nicht
  • 53:12 - 53:15
    glücklich, also von daher, werde einfach
    nicht übermütig. Ich glaube, das ist am
  • 53:15 - 53:19
    Ende auch ein ganz großer Faktor, wenn man
    irgendwie jahrelang irgendwelche Sachen
  • 53:19 - 53:26
    zerhackt hat, dass man da übermütig wird.
    Und, verhaltet euch einfach so wie ihr
  • 53:26 - 53:31
    euren Eltern das immer auch empfohlen
    habt: Klickt nicht auf irgendwelche Links,
  • 53:31 - 53:35
    die ihr per Spam E-Mail zugeschickt
    bekommt. Klickt nicht auf irgendwelche
  • 53:35 - 53:40
    Anhänge, die euch zugeschickt werden
    ungefragt. Und seid einfach nicht so
  • 53:40 - 53:44
    leichtfertig.
    L: Was auch noch zu verräterischen
  • 53:44 - 53:50
    Schwächen gehört ist auch ein Fall aus dem
    Anonymous-Umfeld: Dein Kumpel hat Kind und
  • 53:50 - 53:55
    Familie, ist erpressbar, und versuchte
    dich, ans Messer zu liefern.
  • 53:56 - 54:01
    T: Ich habe kein Messer dabei...
    L: OK. Es gibt eigentlich, wenn ihr euch
  • 54:01 - 54:05
    das so anschaut, niemanden der das so mit
    dem Hacking länger durchgehalten hat, will
  • 54:05 - 54:13
    man meinen. Aber es gibt einen, das ist
    Fisher, kein Mensch weiß wie er aussieht,
  • 54:13 - 54:19
    kein Mensch weiß ob es mehrere oder wenige
    sind. Und diese Person, dieses Pseudonym,
  • 54:19 - 54:24
    ist ein Staatstrojaner-Jäger, hat einfach
    mal Gamma Finfisher aufgemacht, hat in
  • 54:24 - 54:30
    Italien das Hacking Team aufgemacht, und
    vor kurzem gab es dann die frohe Kunde,
  • 54:30 - 54:36
    dass die Ermittlungsverfahren eingestellt
    wurden, weil es keine Spuren gibt, um
  • 54:36 - 54:40
    irgendwie diese Person oder diesen Hacker
    zu finden. Und dafür gibt es von uns
  • 54:40 - 54:44
    natürlich die lobende Erwähnung und den
    Hat-Tip....
  • 54:44 - 54:59
    Applaus
    L: Kommen wir zum Fazit: Pseudonym ist
  • 54:59 - 55:04
    nicht anonym. Verratet nicht eure Pläne,
    seid nicht in der Situation, dass ihr
  • 55:04 - 55:09
    jemandem vertrauen müsst. Seid vor allem
    vorher paranoid, weil nachher geht das
  • 55:09 - 55:16
    nicht mehr. Kennt eure Geräte, trennt
    Aktivitäten und Geräte, es ist sehr
  • 55:16 - 55:20
    sinnvoll mehrere Geräte zu haben, vor
    allem wenn man von der Polizei durchsucht
  • 55:20 - 55:23
    wird wie Alberto, und die nur die Hälfte
    mitnehmen, habt ihr danach vielleicht noch
  • 55:23 - 55:31
    ein Gerät über. Haltet euer Zuhause rein,
    und vor allem lasst die Finger vom
  • 55:31 - 55:36
    Cybercrime. Andere waren besser als ihr
    und haben es auch nicht geschafft. Bitcoin
  • 55:36 - 55:47
    ist eh im Keller. Also lasst es sein.
    Applaus
  • 55:47 - 55:52
    L: Und dann bleibt uns eigentlich nur noch
    ein ein allerletzter wichtiger Rat, und
  • 55:52 - 56:00
    das ist nie ohne Skimaske hacken.
    T: Und immer auch nie ohne Ethik hacken.
  • 56:00 - 56:09
    L: Und bitte bitte bitte bitte nie ohne
    Ethik hacken, den Vortrag über die
  • 56:09 - 56:12
    Hackerethik, auch dass ein
    Einführungsvortrag, den gab es an Tag eins
  • 56:12 - 56:18
    von Frank Rieger. Ihr könnt euch auch den
    Seiten des CCC darüber informieren, spart
  • 56:18 - 56:22
    euch den Ärger, arbeitet auch der
    leuchtend glänzenden Seite der Macht und
  • 56:22 - 56:27
    seid gute Hacker. Macht keinen Scheiß,
    dann aber auch keine Sorgen. Vielen Dank !
  • 56:27 - 56:36
    Applaus
  • 56:36 - 56:42
    T: Ich hab auch noch eine.
    Applaus
  • 56:42 - 56:43
    Ist bald wieder Fasching, ne
    Applaus
  • 56:43 - 57:06
    Abspannmusik
Title:
35C3 - Du kannst alles hacken – du darfst dich nur nicht erwischen lassen.
Description:

more » « less
Video Language:
German
Duration:
57:06

German subtitles

Revisions Compare revisions