0:00:00.000,0:00:17.420
<i>35C3 Vorspannmusik</i>[br]

0:00:17.420,0:00:19.649
Herald:[br]Herzlich willkommen zum nächsten Talk

0:00:19.649,0:00:22.689
"Du kannst alles hacken – [br]du darfst dich nur nicht erwischen lassen".

0:00:22.689,0:00:24.590
Kleine Umfrage:[br]Wer von euch

0:00:24.590,0:00:26.710
hat schonmal eine Sicherheitslücke gefunden

0:00:26.710,0:00:27.940
und gedacht:[br]"Oh Scheisse, wenn ich das jetzt jemandem

0:00:27.940,0:00:31.530
erzähle, dann stecke ich aber ganz schön[br]tief drin, das könnte Ärger geben"?

0:00:31.530,0:00:34.100
Bitte Handzeichen, für wen trifft das zu?

0:00:34.100,0:00:36.910
<i>Zwischenruf aus dem Publikum</i>: Kamera aus[br]<i>Gelächter</i>

0:00:36.910,0:00:40.489
Herald: Andere Frage: Wer von euch würde[br]denn gern mal eine Sicherheitslücke

0:00:40.489,0:00:45.100
finden, auch Handzeichen.[br]<i>Gelächter</i>

0:00:45.100,0:00:48.769
Alles klar, ich erkläre euch alle hiermit[br]zu Betroffenen und diesen Talk für

0:00:48.769,0:00:52.830
relevant für euch, denn viele Hackerinnen[br]und Hacker stehen irgendwann im Laufe

0:00:52.830,0:00:57.249
ihrer Karriere vor dem Problem oder in der[br]Situation dass sie irgendwas gefunden

0:00:57.249,0:01:01.000
haben oder irgendwo reingekommen sind,[br]sich irgendwo reinverlaufen haben, und

0:01:01.000,0:01:04.709
wissen, wenn die betroffenen Leute, in[br]deren Architektur sie gerade drinstehen

0:01:04.709,0:01:08.540
das mitkriegen, dann gibt's so richtig[br]Ärger, das wird großes Missfallen erregen.

0:01:08.540,0:01:12.070
Und in diesem Talk geht es darum,[br]welche Worst-Case-Szenarien auf euch

0:01:12.070,0:01:16.310
zukommen können, wie ihr damit umgeht, und[br]am aller besten, wie ihr euch gar nicht

0:01:16.310,0:01:20.350
erst erwischen lasst. Und unsere Speaker,[br]Linus Neumann und Thorsten Schröder, sind

0:01:20.350,0:01:24.290
Experten für IT-Sicherheit. Ihr kennt sie[br]vielleicht noch von dem PC-Wahl-Hack.

0:01:24.290,0:01:28.800
Da gings darum, dass sie Sicherheitlücken[br]in der Bundestags-Wahl-Software gefunden

0:01:28.800,0:01:32.261
haben, da gibt es eine sehr[br]empfehlenswerte Folge.

0:01:32.261,0:01:35.101
Alles klar, alles Quatsch was ich[br]erzählt habe, ich empfehle

0:01:35.121,0:01:37.080
euch die Folge von logbuch-netzpolitik.org

0:01:37.080,0:01:39.920
trotzdem, die ist nämlich[br]hörenswert, nämlich die Nummer 228

0:01:39.920,0:01:43.630
"Interessierte Bürger". Jetzt erstmal[br]einen ganz herzlichen Applaus für Linus

0:01:43.630,0:01:50.360
Neumann und Thorsten Schröder, Viel Spass[br]<i>Applaus</i>

0:01:50.360,0:01:54.140
Linus Neumann: Vielen Dank, dass ihr alle[br]da seid. Vielen Dank für das herzliche

0:01:54.140,0:01:57.690
Willkommen. Ich fand das auch schön, dass[br]grad da einige von euch direkt den ersten

0:01:57.690,0:02:01.880
OpSec fail gemacht haben und sich erstmal[br]gemeldet haben. Wir haben noch nie

0:02:01.880,0:02:05.650
irgendwas gehackt, wir haben mit nichts[br]was zu tun. In unserem kleinen Talk soll

0:02:05.650,0:02:10.630
es darüber gehen, über das Thema über das[br]hier alle reden ist Hacking. Wir sehen

0:02:10.630,0:02:15.690
über die Jahre viele feine, junge Hacker[br]landen irgendwie im Knast, und es gibt

0:02:15.690,0:02:20.441
einfach viele Risiken, die den Hacksport[br]begleiten, und den Genuss trüben,

0:02:20.441,0:02:24.290
zum Beispiel sowas wie Hausdurchsuchungen,[br]eingetretene Türen, hohe Anwaltskosten,

0:02:24.290,0:02:31.830
alles das muss nicht sein. Es lohnt sich[br]für euch vielleicht, zu überlegen, wie

0:02:31.830,0:02:39.760
auch ihr weiterhin freie Menschen bleiben[br]könnt. Denn wir wissen, Hacker, das sind

0:02:39.760,0:02:43.900
freie Menschen, so wie Künstler, die[br]stehen morgens auf, und wenn sie in

0:02:43.900,0:02:48.960
Stimmung sind, dann setzen sie sich hin[br]und malen ihre Bilder. Und wir möchten,

0:02:48.960,0:02:56.580
dass ihr noch viele schöne Bilder malen[br]könnt. Und der Weg dahin ist: OpSec.

0:02:56.580,0:02:59.530
Und darüber wollen wir heute[br]mit euch reden.

0:02:59.530,0:03:02.610
OpSec ist eigentlich [br]sehr einfach zusammengefasst,

0:03:02.610,0:03:12.740
hier auch übrigens...[br]Schönes, schönes...

0:03:12.740,0:03:14.480
Schönes Lehrmaterial auch wieder

0:03:14.480,0:03:24.099
aus Russland, das scheint da die irgendwie[br]umzutreiben. Wir haben, fangen wir mal

0:03:24.099,0:03:30.880
ganz einfach im ganz normalen, den ersten[br]Computerwurm an: Übermut tut selten gut,

0:03:30.880,0:03:36.291
das ist eine der wichtigsten Lehren eurer[br]operational Security, denn Angeberei und

0:03:36.291,0:03:41.630
Übermut bringen euch gern das ein oder[br]andere Problem ein. Und das wissen wir

0:03:41.630,0:03:47.100
ungefähr seitdem es Computerwürmer[br]überhaupt gibt. Der erste große

0:03:47.100,0:03:51.579
Computerwurm, der so international[br]unterwegs war, und die Hälfte des

0:03:51.579,0:03:56.879
Internets lahmgelegt hat, war der Morris-[br]Wurm, der mehrere Schwachstellen in

0:03:56.879,0:04:02.629
Sendmail, Finger, Remote-SH und ein paar[br]schwache Passwörter ausgenutzt hat, um

0:04:02.629,0:04:07.050
sich selber zu verbreiten, war halt ein[br]Computerwurm. Das führte also zu einem

0:04:07.050,0:04:12.840
Internetausfall 1988. Und ihr fragt euch[br]wahrscheinlich: Warum heißt der Wurm denn

0:04:12.840,0:04:21.440
Morris-Wurm? Naja, weil sein Erfinder sehr[br]sehr stolz war auf seinen Wurm, und gerne

0:04:21.440,0:04:26.120
davon erzählt hat, wie er funktioniert[br]hat. Und zu einem Zeitpunkt stand er wohl

0:04:26.120,0:04:31.790
irgendwann in der Harward-Universität auf[br]dem Tisch, und predigte, wie sein Wurm

0:04:31.790,0:04:36.320
funktionierte in alle möglichen Details.[br]Es war aber auch klar, dass die

0:04:36.320,0:04:40.639
ursprüngliche Infektion dort stattgefunden[br]hat, er hat allen davon erzählt.

0:04:40.639,0:04:45.320
Irgendwann hats jemand einem Journalisten[br]erzählt, er musste es dann zugeben. Er hat

0:04:45.320,0:04:49.630
bekommen, dass der Computerwurm immerhin[br]seinen Namen trägt. Allerdings auch

0:04:49.630,0:04:56.630
3 Jahre Bewährung, 400 Stunden soziale[br]Arbeit, und 10.000 Dollar Geldstrafe, ohne

0:04:56.630,0:05:01.930
den eigenen Geltungsdrang wäre es ihm[br]unter Umständen erspart geblieben. Aber

0:05:01.930,0:05:05.250
nicht nur bei Hackern haben wir so kleine[br]Probleme mit Operational Security und

0:05:05.250,0:05:09.840
Geltungsdrang, das haben wir auch bei[br]Bankräubern. Und zwar haben wir hier einen

0:05:09.840,0:05:15.160
jungen Mann, der hat eine Bank ausgeraubt.[br]Und was macht man so, wenn man spannendes

0:05:15.160,0:05:19.180
erlebt hat, und gerade so das ganz große[br]Geld abgesahnt hat: Natürlich erstmal ein

0:05:19.180,0:05:25.920
Selfie. Ja. Wenn das nicht reicht, kann[br]man auch noch ein anderes Selfie machen.

0:05:25.920,0:05:27.520
<i>Gelächter</i>

0:05:27.520,0:05:36.880
Oder die Komplizin. Und auch Essen. Und[br]dann gehts ganz schnell ins InstaJail. Und

0:05:36.880,0:05:41.610
man denk, das wär jetzt so ein Einzelfall,[br]ne, denkt so: OK, so blöd kann ja

0:05:41.610,0:05:46.250
eigentlich keiner sein, aber wenn man sich[br]so im Internet umschaut, braucht man echt

0:05:46.250,0:05:52.869
nicht lange, um immer mehr Spezialexperten[br]zu finden, die solche Bilder posten. Und

0:05:52.869,0:05:56.470
das endet auch immer gleich: Hier der[br]junge Mann mit den, also der muss ganz

0:05:56.470,0:06:00.639
schreckliche Zähne haben, der hat alle[br]Zähne schon aus Gold jetzt, die wurden

0:06:00.639,0:06:07.010
auch verurteilt, weil sie auf Facebook[br]damit angegeben haben, das sie Geld haben.

0:06:07.010,0:06:11.899
Nun, wenn wir uns das anschauen, in den[br]Pionieren des Car-Hackings, da haben wir

0:06:11.899,0:06:18.190
im Prinzip das gleich Phänomen. Man muss[br]dazu sagen, die ersten Unternehmungen im

0:06:18.190,0:06:27.220
Car-Hacking waren eher so analoger Natur[br]und eher Brute-Force. Und die Pioniere in

0:06:27.220,0:06:32.750
diesem Bereich waren also diese beiden[br]jungen Männer, die hier einen ganz großen

0:06:32.750,0:06:38.479
Hack geleistet haben, nämlich die[br]Fahrerscheibe eingeschlagen, 5000 Dollar

0:06:38.479,0:06:44.171
und ein iPad aus einem Truck geklaut[br]haben. Und, was macht man als erstes, wenn

0:06:44.171,0:06:49.810
man ein iPad hat und so: Naja, erstmal in[br]den Burger-King gehen, weil da gibts WLAN.

0:06:51.494,0:06:55.640
Und ein bischen mit dem iPad daddeln. Und[br]dann haben sie festgestellt: Ey, geil da

0:06:55.640,0:06:59.909
kann man Videos mit machen.

0:06:59.909,0:07:06.209
[Video wird abgespielt]

0:07:06.209,0:07:18.900
.... This is my brother Dylan.. This....[br]good nights hassle

0:07:18.900,0:07:24.639
L: Und weil sie in dieses gestohlene iPad[br]mit dem WLAN vom Burger King verbunden

0:07:24.639,0:07:29.310
hatten, passierte das, was passieren[br]musste....

0:07:29.310,0:07:33.950
<i>Gelächter</i>

0:07:33.950,0:07:39.310
L: Und der Eigner des Fahrzeuges hat dann

0:07:39.310,0:07:44.450
eine Woche später das Video der Polizei[br]übergeben, und die Polizei meinte, die

0:07:44.450,0:07:48.021
sind ihnen auch gar nicht so unbekannt.[br]Und haben sich um die jungen Männer

0:07:48.021,0:07:52.780
gekümmert.[br]Thorsten Schröder: Aber kommen wir mal

0:07:52.780,0:07:58.160
zurück in die Computerhacker-Ecke, über[br]die wir heute eigentlich sprechen wollen,

0:07:58.160,0:08:02.210
jetzt haben wir einen kleinen Ausflug in[br]die analoge Welt gemacht. Was kann denn

0:08:02.210,0:08:09.319
alles schief gehen wenn man sich als[br]interessierter Surfer oder sonstwas auf

0:08:09.319,0:08:14.659
Online-Shopping-Portalen herumtreibt.[br]Zunächst will man zunächst vielleicht doch

0:08:14.659,0:08:18.950
irgendwelche Waren erwerben, dann fängt[br]man da an, irgendwie im Online-Shop

0:08:18.950,0:08:24.510
rumzuklicken. Plötzlich rutscht man mit[br]der Maustaste aus, das passiert ja

0:08:24.510,0:08:28.760
manchmal, dass man da vielleicht irgendwie[br]aus Versehen ein falsches Zeichen eingibt,

0:08:28.760,0:08:35.578
und was hier halt wichtig ist: Wir reden[br]hier von einem Threat-Level, ein Level

0:08:35.578,0:08:39.840
eines Bedrohungsszenarios für den Hacker,[br]also wenn ihr da irgendiwe mit dem Online-

0:08:39.840,0:08:43.789
Shopping-Portal unterwegs seid, und da aus[br]Versehen auf der Maus ausrutscht, dann

0:08:43.789,0:08:48.510
habt ihr ein gewisses Bedrohungsszenario.[br]Das wird natürlich ein bischen höher wenn

0:08:48.510,0:08:51.700
ihr da aus Versehen irgendwelche komischen[br]Zeichen eingegeben habt,

0:08:51.700,0:08:52.420
ihr seid da

0:08:52.420,0:08:55.460
wahrscheinlich ohne Anonymisierungsdienste[br]unterwegs, weil ihr wolltet ja bloß irgendwas

0:08:55.460,0:09:01.540
einkaufen. Und jetzt denkt ihr so: Hmm,[br]ich bin ja ein bischen verspielt und

0:09:01.540,0:09:06.640
neugierig, ich mach jetzt mal Tor an oder[br]irgendwas, und besuch jetzt diese Webseite

0:09:06.640,0:09:12.140
später nochmal mit einem[br]Anonymisierungsdienst. Und, ja, über die

0:09:12.140,0:09:17.450
Zeit findet man dann vielleicht aus[br]Versehen noch ein Cross-Site-Scriping, das

0:09:17.450,0:09:22.680
Bedrohungslevel wächst so allmählich, aber[br]man hat ja jetzt Tor am Start. Das

0:09:22.680,0:09:27.881
Bedrohungs-Threat-Level wächst weiter,[br]wenn man jetzt vielleicht noch eine etwas

0:09:27.881,0:09:32.140
kritischere Schwachstelle wie eine SQL-[br]Injection gefunden hat. Und es wächst

0:09:32.140,0:09:37.850
weiter, wenn man vielleicht auch noch eine[br]Remote-Code-Execution gefunden hat, dann

0:09:37.850,0:09:41.530
sind wir schon recht hoch. Also wenn man[br]jetzt erwischt wird, wäre es relativ

0:09:41.530,0:09:45.340
ungünstig, weil man hat ja auch bewiesen,[br]dass man direkt nicht nach einem Cross-

0:09:45.340,0:09:49.310
Site-Scripting oder irgendeiner anderen[br]banalen Schwachstelle direkt mal zu dem

0:09:49.310,0:09:53.831
Portal gegangen ist und Bescheid gesagt[br]hat. Na ja, was passiert dann, wenn man da

0:09:53.831,0:09:57.940
weiter stöbert. Je nachdem was man da für[br]so Ziele hat. Vielleicht findet man auch

0:09:57.940,0:10:03.140
noch ein paar Kreditkarten. Jetzt sind wir[br]schon recht hoch in unserem Threat-Level,

0:10:03.140,0:10:10.000
und das geht rapide runter weil das[br]Threat-Level ist jetzt wieder... Es wird

0:10:10.000,0:10:14.880
entspannter. Man braucht jetzt keine Angst[br]mehr haben, dass man irgendwann nochmal

0:10:14.880,0:10:20.550
für diesen Hack da erwischt wird. Ja,[br]warum wird da überhaupt jemand erwischt?

0:10:20.550,0:10:26.080
Weil ich an die OpSec erst viel zu spät[br]gedacht habe. In dem Moment, in dem ich

0:10:26.080,0:10:30.320
auf der Maus ausgerutscht bin, hätte ich[br]im Grunde genommen schon einen

0:10:30.320,0:10:35.450
Anonymisierungsdienst, irgendnen Tor-[br]Service oder so, am Start haben müssen,

0:10:35.450,0:10:40.920
denn in dem Moment, wo irgendwann der[br]Betreiber des Portals mitkriegt, dass da

0:10:40.920,0:10:47.669
was passiert ist, werden die einfach[br]gucken: Alles klar, wir verfolgen das

0:10:47.669,0:10:51.320
zurück, ist eine Tor-Session, schlecht,[br]aber irgendwann stossen sie auf diesen Fall,

0:10:51.320,0:10:56.380
wo man halt "Ups" sagt. Und dann werden[br]sie dich halt finden.

0:10:57.700,0:11:01.990
L: Es ist eigentlich auch regelmäßig[br]tatsächlich so, dass man irgendwie Leute

0:11:01.990,0:11:06.230
irgendwie sagen: Ach, guck mal hier, da[br]hab ich mal was entdeckt, und jetzt geh

0:11:06.230,0:11:10.650
ich mal auf Tor. Ne Leute, ist zu spät,[br]müsst ihr vorher machen.

0:11:10.650,0:11:14.640
T: Tschuldigung, wenn euch sowas was[br]auffällt, ihr könnt euch natürlich mal

0:11:14.640,0:11:18.149
überlegen, wie haben ja jetzt die[br]Datenschutzgrundverordnung, dann könntet

0:11:18.149,0:11:22.450
ihr mal schauen was die so für[br]Datenschutzrichtlinien haben, also manche

0:11:22.450,0:11:25.960
Unternehmen geben ja dann auch Auskunft[br]daüber, wie lange die Logfiles zum

0:11:25.960,0:11:28.110
Beispiel aufbewahrt werden, und es soll[br]ja....

0:11:28.110,0:11:30.750
L: Vielleicht habt ihr ja ein Recht auf[br]Vergessen werden

0:11:30.750,0:11:34.010
T: Ja, es gibt ja Unternehmen, die[br]speichern ihre Logdaten nur 7 Tage, dann

0:11:34.010,0:11:36.760
muss man einfach nochmal ne Woche warten[br]vielleicht.

0:11:36.760,0:11:42.700
L: Also es gilt allgemeine Vorsicht bei[br]Datenreisen, so auch bei unserem Freund

0:11:42.700,0:11:47.599
Alberto aus Uruguay, der mit seiner[br]Freundin irgendwie nichts ahnend am

0:11:47.599,0:11:51.540
Nachmittag am Computer saß, und sie gab[br]irgendwelche Gesundheitsdaten in irgend so

0:11:51.540,0:11:57.600
eine Cloud ein, weil: modern. Und Alberto[br]sagte so: Ah, Gesunderheitsdaten, zeig mal

0:11:57.600,0:12:01.829
her. admin admin, oh![br]<i>Gelächter</i>

0:12:01.829,0:12:05.720
T: Ups[br]L: Ups. Da war das Ups. Und er schrieb

0:12:05.720,0:12:11.960
dann eine Mail an das CERT Uruguay, also[br]die zentrale Meldestelle des Landes, weil

0:12:11.960,0:12:15.830
es sich ja hier um sensible Patientendaten[br]handelte, und Gesundheitsdaten, und er

0:12:15.830,0:12:19.760
bekam innerhalb von Stunden eine Antwort[br]von dem Leiter des CERT, also das war ganz

0:12:19.760,0:12:23.030
klar, wir haben hier ein ernst zu[br]nehmenden Fall, der auch eben ernst

0:12:23.030,0:12:26.490
genommen wurde.[br]T: Dieser "Ups" Fall ist vielleicht nicht

0:12:26.490,0:12:30.340
ganz so dramatisch, möchte man meinen,[br]weil der Hacker ja nichts böses vor hatte,

0:12:30.340,0:12:33.500
der wollte gar nicht weiterstöbern, der[br]hat einfach gesagt so: "Uh, denen muss ich

0:12:33.500,0:12:36.150
schnell Bescheid sagen".[br]L: Für den war der Fall auch erledigt, der

0:12:36.150,0:12:39.839
hatte das ja jetzt dem CERT gemeldet, das[br]CERT hat sich drum gekümmert, hat die

0:12:39.839,0:12:43.870
Verantwortung übernommen, die kümmern sich[br]jetzt drum. Schalten die Plattform ab,

0:12:43.870,0:12:48.000
oder was auch immer. Alberto geht seinem[br]Leben ganz normal weiter, bis er ein Jahr

0:12:48.000,0:12:51.389
später feststellt: Oh, ahhh, das[br]admin:admin haben sie inzwischen

0:12:51.389,0:12:54.500
geschlossen, das ist schonmal gut, aber[br]jetzt haben sie unauthenticated file

0:12:54.500,0:13:00.100
access, auch nicht so gut, melde ich doch[br]am besten einmal dem CERT. Und wieder

0:13:00.100,0:13:06.830
vergeht einige lange Zeit, in diesem Fall[br]um die zwei Jahre Schweigen im Walde.

0:13:06.830,0:13:11.120
Er hatte die ganzen Sachen selbst längst[br]vergessen, und dann bekommt das betroffene

0:13:11.120,0:13:16.730
Unternehmen mit den Gesundheitsdaten[br]plötzlich eine E-Mail, von irgendwem:

0:13:16.730,0:13:21.070
Gib mal Bitcoin.[br]<i>Gelächter</i>

0:13:21.070,0:13:26.570
L: Der wollte "gibt mal Bitcoin", weil der[br]Angreifer oder der Erpresser hier sagte,

0:13:26.570,0:13:31.040
er sei im Besitz dieser Gesundheitsdaten,[br]die diese Plattform geleaked hat. Und wenn

0:13:31.040,0:13:36.660
jetzt nicht 15 Bitcoin innerhalb von[br]$Zeitraum überwiesen würden, dann würde er

0:13:36.660,0:13:43.690
an die Presse berichten: Alle Menschen in[br]diesem Datensatz, die HIV-infiziert sind.

0:13:43.690,0:13:46.750
T: Was die Presse bestimmt total[br]interessiert hätte.

0:13:46.750,0:13:50.579
L: Ich weiß nicht, ob das die Presse[br]interessiert hätte, wen es auf jeden Fall

0:13:50.579,0:13:54.850
interessiert hat, ist die Polizei. An die[br]Polizei müsst ihr übrigens immer denken...

0:13:54.850,0:13:58.689
T: Die erkennt man an diesen[br]Kleidungsstücken hier

0:13:58.689,0:14:03.580
L: Die erkennt man an diesen Hüten...[br]<i>Gelächter</i> und <i>Applaus</i>

0:14:03.580,0:14:10.053
L: Die haben vorne auch so einen Stern[br]drauf. Nur damit ihr die nicht vergesst.

0:14:10.053,0:14:14.029
So, irgendwer will also Bitcoin. Es[br]passiert wieder längere Zeit nichts, bis

0:14:14.029,0:14:19.740
auf einmal bei Alberto die Tür eingetreten[br]wird. Es gibt eine Hausdurchsuchung,

0:14:19.740,0:14:27.640
wieder mit Brute-Force. Und, jetzt[br]passiert folgendes: Die Polizei traut

0:14:27.640,0:14:32.410
ihren Augen nicht, als sie diese Wohnung[br]betritt, und findet so viele spannende

0:14:32.410,0:14:38.970
Sachen, dass sie nachher auf einem eigenen[br]Pressetermin ihre Fundstücke so bischen

0:14:38.970,0:14:44.500
drapiert, und damit angibt. Sah nämlich so[br]aus: Da hatten wir also einen ganzen

0:14:44.500,0:14:49.829
Stapel Kreditkarten und Blanko-[br]Kreditkarten. Blanko-Kreditkarten machen

0:14:49.829,0:14:52.760
immer gar nicht so einen guten Eindruck.[br]<i>Gelächter</i>

0:14:52.760,0:14:57.519
T: Meistens nicht.[br]L: Sowohl im Supermarkt, als auch im

0:14:57.519,0:15:03.470
Schrank wenn ihr die Polizei vorbeischaut.[br]Außerdem finden sie Kartenlesegeräte und

0:15:03.470,0:15:08.519
ein paar Wallet-Fails.[br]T: Allo nedos

0:15:08.519,0:15:14.540
L: Haben sie dann alles schön drapiert.[br]Kartenlesegeräte, Zahlungsmittel und so.

0:15:14.540,0:15:17.870
T: Ist dann halt die Frage, ob die Polizei[br]an OpSec gedacht hat, und die

0:15:17.870,0:15:20.910
Kreditkartennummern vielleicht auch noch[br]gültig waren, als sie die Fotos

0:15:20.910,0:15:24.830
veröffentlicht haben. Man weiß es nicht,[br]man wird es auch nicht herausfinden.

0:15:24.830,0:15:28.399
L: Und sie finden natürlich, was man bei[br]jedem Hacker finden muss, bei jedem

0:15:28.399,0:15:32.250
Kriminellen, was braucht man da?[br]<i>Murmeln im Raum</i>

0:15:32.250,0:15:36.419
L: Anonymous-Maske, klar[br]<i>Gelächter</i>

0:15:36.419,0:15:40.520
L: Anonymous-Maske drapieren die schön.[br]Wir haben auch noch eine dabei.. Nein, wir

0:15:40.520,0:15:51.420
haben keine Anonymous-Maske. Paar[br]strategische Bargeld-Reserven. Und, das

0:15:51.420,0:15:54.300
war natürlich sehr verräterisch, sie[br]finden Bitcoin.

0:15:54.300,0:16:03.600
<i>Gelächter</i> und <i>Applaus</i>[br]L: Und die wollte der Erpresser ja haben.

0:16:03.600,0:16:07.949
T: Dann ist der Fall wohl abgeschlossen.[br]L: Ein Bitcoin und ein Bitcoin

0:16:07.949,0:16:17.430
zusammengezählt. Verhör, ein paar[br]Drohungen, und in Anbetracht der völlig

0:16:17.430,0:16:22.960
inkompetenten Polizei flüchtet sich[br]Alberto in das falsche Geständnis, in der

0:16:22.960,0:16:27.160
Hoffnung, dass er im weiteren Verlauf des[br]Verfahrens mit kompetenten Personen in

0:16:27.160,0:16:34.649
Kontakt kommt. Dies Hoffnung erfüllt sich[br]nicht, er ist erstmal im weiteren Verlauf

0:16:34.649,0:16:42.910
8 Monate im Knast, und gerade nur auf[br]Kaution raus. Er ist absolut sicher und

0:16:42.910,0:16:46.670
ehrlich, dass er das nicht getan hat.[br]Hätte er es getan, wäre er auch ziemlich

0:16:46.670,0:16:50.481
dämlich, nachdem du zwei Mal responsible[br]Disclosure gemacht hast, schickst du keine

0:16:50.481,0:16:58.699
Erpresser-E-Mail mehr. Vor allem nicht[br]eine in der du sagst "Ich möchte 15

0:16:58.699,0:17:04.400
Bitcoin auf folgendes Konto..." ohne die[br]Kontonummer anzugeben.

0:17:04.400,0:17:11.630
<i>Gelächter</i> und <i>Applaus</i>[br]L: Da wir jetzt ein paar Scherze über

0:17:11.630,0:17:15.368
Alberto gemacht haben, haben wir ihn[br]einfach mal kontaktiert, und Alberto hat

0:17:15.368,0:17:19.829
auch noch ein paar Sachen zu seinem Fall[br]zu sagen, und wir begrüßen ihn bei uns auf

0:17:19.829,0:17:22.409
der Videoleinwand[br]<i>Applaus</i>

0:17:22.409,0:17:24.179
[Video] Hello Germany. ....[br]......

0:18:11.339,0:18:20.620
<i>Applaus</i>[br]L: Also das Gerät, mit dem er da kurz

0:18:20.620,0:18:25.899
hantiert hat, was irgendwie ein bischen so[br]aussah wie ein GSM-Jammer, das ist ein

0:18:25.899,0:18:31.059
ganz bedauerliches Missverständnis. Das[br]hatte die Polizei nämlich nicht

0:18:31.059,0:18:36.659
mitgenommen bei der Durchsuchung, ebenso[br]wie 30 Festplatten, und er bekommt jetzt

0:18:36.659,0:18:40.730
seine Geräte deshalb nicht zurück, weil[br]die Polizei sagt, das würde zu lange

0:18:40.730,0:18:49.159
dauern, den ganzen Kram anzuschauen. Aber[br]wir lernen aus dieser Sache: Es hat schon

0:18:49.159,0:18:55.689
irgendwie Sinn, 127.0.0.1 als Ort der[br]vorbildlichen Ordnung, Sicherheit,

0:18:55.689,0:19:00.210
Sauberkeit, und Disziplin zu pflegen, und[br]wenn ihr euch mal überlegt, wie das

0:19:00.210,0:19:03.600
aussieht wenn bei euch mal die Tür[br]aufgemacht wird und ein paar Geräte

0:19:03.600,0:19:07.949
rausgetragen werden, in den falschen Augen[br]kann das alle ganz komisch aussehen. Und

0:19:07.949,0:19:12.130
auch da fängt OpSec schon an.[br]T: Nämlich viel früher, bevor ihr den

0:19:12.130,0:19:19.820
Browser in die Hand nehmt, oder[br]irgendwelche Logins ausprobiert. Ja, was

0:19:19.820,0:19:24.099
gibt es denn noch auf einer technischen[br]Ebene, was uns verraten kann. Jetzt haben

0:19:24.099,0:19:28.149
wir sehr viel darüber gesprochen, dass[br]Hacker sich selbst in die Pfanne hauen,

0:19:28.149,0:19:31.830
weil sie zu geschwätzig sind, weil sie[br]vielleicht sogar zu ehrlich sind, und

0:19:31.830,0:19:37.460
irgendwelche Lücken melden. Was gibt es[br]wirklich für Bedrohungsszenarien, die den

0:19:37.460,0:19:43.600
Hackern gefährlich werden können: Das[br]sind, man könnte sagen das sind Metadaten,

0:19:43.600,0:19:48.509
die ja auch ein Stückweit so ähnlich sind[br]wie Fingerabdrücke, wie auf diesem

0:19:48.509,0:19:56.260
Metadaten-Aufkleber. Es gibt heute kaum[br]noch irgendwelche Dinge, die keine

0:19:56.260,0:20:02.650
Metadaten hinterlassen. Die Frage, wie man[br]Metadaten vermeidet, oder was mit

0:20:02.650,0:20:06.219
Metadaten angestellt werden kann, ist[br]immer sehr stark abhängig vom Kontext,

0:20:06.219,0:20:09.560
also auch irgendwelche Ermittler müssen[br]sich natürlich immer den Kontext mit

0:20:09.560,0:20:16.940
anschauen, wo Metadaten anfallen. Deshalb[br]ist natürlich einer der wichtigsten

0:20:16.940,0:20:21.100
Punkte, über die man sich bevor irgendwie[br]auch nur irgendwas anhackt, muss man sich

0:20:21.100,0:20:24.880
mal darüber im Klaren sein, was[br]hinterlasse ich eigentlich für Spuren. Und

0:20:24.880,0:20:31.169
das ist ist so der Teil, wo wir ein[br]bischen versuchen wollen, den jüngeren

0:20:31.169,0:20:35.149
Hackern oder Leute, die halt jetzt[br]anfangen, auch mal Sachen zu hacken, mal

0:20:35.149,0:20:41.850
ein paar Ideen mit auf den Weg geben, sich[br]Gedanken darüber zu machen, was benutze

0:20:41.850,0:20:46.049
ich für Geräte, was benutze ich für[br]Software, was für Spuren hinterlasse ich.

0:20:46.049,0:20:49.859
Selbst wenn ich jetzt gerade nicht am[br]Rechner sitze, hinterlasse ich ja irgendwo

0:20:49.859,0:20:53.661
Spuren, weil ich ein Smartphone mit mir[br]rumschleppe. Und das ist einfach wichtig,

0:20:53.661,0:20:57.799
einfach mal herauszufinden, wo hinterlasse[br]ich eigentlich Logs. Was sind Identitäten,

0:20:57.799,0:21:03.120
also wenn ich auch unter Pseudonym im Netz[br]unterwegs bin, und vielleicht sogar noch

0:21:03.120,0:21:06.999
Anonymisierungsdienste verwende, und[br]eigentlich die technische Voraussetzung

0:21:06.999,0:21:11.729
dafür geschaffen ist, dass ich auch anonym[br]bleibe, benutzt man als Hacker, oder als

0:21:11.729,0:21:16.439
Gruppe, vielleicht auch einfach[br]Pseudonyme, oder man verwendet vielleicht

0:21:16.439,0:21:20.649
irgendwelche kryptografischen Keys[br]mehrfach auf verschiedenen Systemen

0:21:20.649,0:21:23.659
L: Das ist immer sehr schlecht,[br]kryptografische Keys gibt es halt nur

0:21:23.659,0:21:26.369
einmal, das ist ja die Idee bei Key[br]T: Das ist ja der Sinn der Sache. Wenn ich

0:21:26.369,0:21:30.199
aber meine VMWares kopiere, und dann[br]vielleicht irgendwelche Hidden Services

0:21:30.199,0:21:35.389
aufmache und da Rückschlüsse auf die Keys[br]zu ziehen sind. Oder was ich verschiedene

0:21:35.389,0:21:40.769
Hostnamen dann auf ein und den selben Key,[br]SSH-Key-oder was auch immer, zurückführen.

0:21:40.769,0:21:46.970
L: Logs übrigens auch so ein Klassiker,[br]immer wieder Strategen, die Dateien dann

0:21:46.970,0:21:52.349
auf Truecrypt Volumes vorhalten, weil sie[br]gehört haben, dass das ja dann besser ist,

0:21:52.349,0:21:56.410
und dann in ihrem Betriebssystem aber das[br]Logging anhaben, mit welchem Player und

0:21:56.410,0:22:00.229
Viewer sie welche Dateien geöffnet haben,[br]so dass dann auf der unverschlüsselten

0:22:00.229,0:22:05.019
Partition des Betriebssystems schön noch[br]draufsteht, welche Videos und Dateien sich

0:22:05.019,0:22:07.519
vielleicht in den verschlüsselten[br]Bereichen befinden.

0:22:07.519,0:22:11.379
T: Ja, und da so, dieses Feature, für die[br]meisten Leute ist das halt ein Feature,

0:22:11.379,0:22:15.009
die wollen halt ihre recently used Apps[br]oder was auch immer schön im Zugriff

0:22:15.009,0:22:19.519
haben, damit sie weniger Tipp- und[br]Klickarbeit haben, könnte aber euch das

0:22:19.519,0:22:23.170
Genick brechen, wenn ihr dieses[br]Betriebssystem einfach nutzen wollt, um

0:22:23.170,0:22:28.929
einfach nur mal eben so rumzuhacken.[br]Wichtig ist halt hier, so können

0:22:28.929,0:22:32.339
irgendwelche Ermittler oder Leute, die[br]euch hinterher recherchieren, Identitäten

0:22:32.339,0:22:36.369
über euch erstellen, also über das, was[br]ihr da gerade, unter welchem Pseudonym

0:22:36.369,0:22:39.659
auch immer ihr da unterwegs seid. Die[br]können Profile anlegen, die können euren

0:22:39.659,0:22:42.310
Coding-Stil analysieren, eure[br]Rechtschreibung wenn ihr irgendwelche

0:22:42.310,0:22:45.989
Texte hinterlasst, oder euch in[br]irgendwelchen Foren anonym oder unter

0:22:45.989,0:22:52.009
Pseudonym mit irgendwelchen Sachen[br]brüstet, die Leute, die sich die Rechner,

0:22:52.009,0:22:56.249
die Server anschauen, die hops genommen[br]wurden, die schauen sich halt auch die

0:22:56.249,0:23:00.190
Bash-History an, wenn ihr die liegen[br]lasst, dann gucken die halt, wie geht ihr

0:23:00.190,0:23:03.540
mit so einer Konsole um, habt ihr Ahnung,[br]darauf kann man schliessen wie viele,

0:23:03.540,0:23:07.249
wieviel Erfahrung ihr im Umgang mit dem[br]Betriebssystem habt, und so weiter. Das

0:23:07.249,0:23:10.510
sind alles Sachen, auf die müsst ihr[br]achten, die müssen beseitigt werden, und

0:23:10.510,0:23:14.820
auch der Coding-Stil, wenn ihr irgendwo,[br]kann ja durchaus sein, dass ihr meint, ihr

0:23:14.820,0:23:18.859
müsst eine Funktionserweiterung im Kernel[br]hinterlassen, der Code wird später

0:23:18.859,0:23:24.879
analysiert, und, es gibt Software, die tut[br]das, also so wie man Plagiate erkennt. Da

0:23:24.879,0:23:28.850
gabs glaube ich vor zwei Jahren mal auch[br]einen Kongress-Talk darüber, wie man

0:23:28.850,0:23:34.259
anhand von Binary-Code quasi Rückschlüsse[br]auf den ursprünglichen Autor ziehen kann,

0:23:34.259,0:23:38.080
so dass man eben, Malware beispielweise[br]attributieren kann, oder leichter

0:23:38.080,0:23:41.869
attributieren kann. Wie auch immer, es[br]gibt unglaublich viele Dinge, auf die man

0:23:41.869,0:23:47.059
achten muss, und ihr müsst im Grunde[br]genommen selber rausfinden, mit was für

0:23:47.059,0:23:51.330
Werkzeugen hantiere ich hier eigentlich,[br]und was öffnen die für Seitenkanäle. Was

0:23:51.330,0:23:55.419
für Tracking und Telemetrie gibt es dort,[br]und wie kann ich es möglicherweise

0:23:55.419,0:24:02.760
abschalten. Es gibt irgendwie die Rules of[br]the Internet von Anonymous

0:24:02.760,0:24:06.999
L: ... von denen inzwischen keiner mehr[br]anonymous ist, aber dazu kommen wir

0:24:06.999,0:24:10.259
noch...[br]T: Die haben halt irgendwie schöne Regeln

0:24:10.259,0:24:15.229
aufgestellt, "Tits or get the fuck out"[br]lautet eine, und das ist halt genau eine

0:24:15.229,0:24:20.479
Regel, für die, die anonym bleiben[br]wollten... Übrigens, das ist die Nummer

0:24:20.479,0:24:27.090
falsch, aber ist egal... Ja, hier kommen[br]wir zu einem schönen Fail eines Hackers

0:24:27.090,0:24:34.139
mit dem Namen w0rmer, der hatte nämlich[br]ein Foto seiner... der Brüste seiner

0:24:34.139,0:24:41.830
Freundin veröffentlicht, und war er ganz[br]stolz drauf "Tits or get the fuck out"

0:24:41.830,0:24:45.269
dachten sich auch die Herren von der[br]Polizei, denn in dem...

0:24:45.269,0:24:50.760
L: In dem von iPhone aufgenommenen Bild[br]war die GPS-Metadaten von dem Zuhause der

0:24:50.760,0:24:52.779
Fotografierten[br]T: Dumm gelaufen...

0:24:52.779,0:24:59.649
L: Und deswegen kriegt w0rmer von uns den[br]Mario Barth Award für den überflüssigsten

0:24:59.649,0:25:04.639
OpSec-Fail[br]<i>Applaus</i>

0:25:04.639,0:25:14.820
T: Kennt ihr? Kennta kennta![br]L: Fragen sich natürlich, wie geht denn

0:25:14.820,0:25:19.859
überhaupt Anonymität im Internet, wenn[br]schon Anonymous das nicht hinkriegt. Wir

0:25:19.859,0:25:25.729
wollen nicht entdeckt werden. Problem:[br]Unsere IP-Adresse verrät unsere Herkunft.

0:25:25.729,0:25:30.719
Das heißt, wir suchen nach etwas, was[br]unsere IP-Adresse verschleiert, und wenn

0:25:30.719,0:25:33.620
wir das bei Google eingeben, landen wir…

0:25:33.620,0:25:39.969
T: ... bei VPN-Anbietern, das ist so das[br]erste, was man findet. Du willst anonym im

0:25:39.969,0:25:45.809
Internet unterwegs sein? Dann benutze halt[br]ein VPN, wir auch oftmals als Ratschlag

0:25:45.809,0:25:52.259
nahegelegt. Nagut, da benutzen wir also[br]jetzt einen VPN-Provider, mit dem

0:25:52.259,0:25:55.720
verbinden wir uns, das wird dann[br]wahrscheinlich eine OpenVPN- oder was auch

0:25:55.720,0:25:59.949
immer Connection sein, die dafür sorgt,[br]dass unsere ursprüngliche IP-Adresse

0:25:59.949,0:26:03.929
verschleiert wird, so dass niemand auf[br]Serverseite quasi Rückschlüsse auf uns

0:26:03.929,0:26:08.149
direkt ziehen kann. Alles, was wir an[br]Traffic ins Internet senden, geht also

0:26:08.149,0:26:15.001
über dieses VPN, und von da aus zu unserem[br]Angriffsziel. Das ist hier eine böse

0:26:15.001,0:26:20.129
Firma, die hier jetzt angehackt wird. Und[br]die denkt sich so: "Whoa, was ist denn

0:26:20.129,0:26:29.399
hier los, komischer Traffic, ah, das ist[br]so ein VPN-Endpunkt". Und was haben wir

0:26:29.399,0:26:34.719
jetzt so davon, also wissen wir jetzt,[br]sind wir jetzt sicher? Wir treffen

0:26:34.719,0:26:40.100
irgendeine Annahme, nämlich die Annahme,[br]dass der VPN-Provider die Klappe hält. Und

0:26:40.100,0:26:46.140
dem glauben wir, dem vertrauen wir, obwohl[br]wir den noch nie gesehen haben. Aber

0:26:46.140,0:26:52.070
eigentlich ist ja der Sinn, dass wir[br]niemandem vertrauen müssen/wollen, wir

0:26:52.070,0:26:57.929
wollen niemandem vertrauen, weil was[br]passiert bei so einem VPN-Anbieter, wir

0:26:57.929,0:27:02.039
haben da einen Account, wir bezahlen da[br]möglicherweise für, warum sollte so ein

0:27:02.039,0:27:07.809
VPN-Anbieter sein VPN für lau anbieten.[br]Also, da liegt im Zweifelsfall eine

0:27:07.809,0:27:13.100
E-Mail-Adresse von uns, da liegen unsere[br]Kreditkartendaten oder Bitcoin-Wallet oder

0:27:13.100,0:27:18.910
was auch immer. Es gibt möglicherweise[br]Logs, aber wissen nichts davon. Vielleicht

0:27:18.910,0:27:24.800
hat der VPN-Provider beim nächsten[br]Betriebssystemupdate eine Logging-Option

0:27:24.800,0:27:28.749
an, die er vorher nicht an hatte, und so[br]weiter. Also es kann ganz viel passieren,

0:27:28.749,0:27:34.119
das kann halt auch eine Quellen-TKÜ bei[br]diesem Anbieter geben, und wir wollen das

0:27:34.119,0:27:37.140
aber nicht, wir wollen niemandem[br]vertrauen. Also ...

0:27:37.140,0:27:41.849
L: ... fangen wir nochmal von vorne an.[br]Bei dem Fall ist es halt schief gegangen,

0:27:41.849,0:27:45.169
wir müssen also irgendwie einen Weg[br]finden, wo wir nicht darauf angewiesen

0:27:45.169,0:27:48.139
sind, anderen zu vertrauen. Das heißt[br]nicht, dass wir denen nicht vertrauen

0:27:48.139,0:27:53.099
können, es ist heißt nur, dass wir es[br]nicht wollen. Aber, wir brauchen auf jeden

0:27:53.099,0:27:56.410
Fall erstmal ein anderes Angriffsziel, ich[br]würde sagen wir nehmen einfach mal

0:27:56.410,0:28:07.170
irgendeine Alternative[br]<i>Gelächter</i> und <i>Applaus</i>

0:28:07.170,0:28:11.400
L: Und dieses Mal nutzen wir Tor. Habt ihr[br]bestimmt schonmal von gehört, Tor ist

0:28:11.400,0:28:15.210
eigentlich relativ einfach. Euer[br]Datentraffic geht mehrmals über

0:28:15.210,0:28:20.369
verschiedene Stationen im Internet und ist[br]mehrmals verschlüsselt. Ihr sendet also an

0:28:20.369,0:28:24.479
einen sogenannten Tor Entry erstmal einen[br]mehrfach verschlüsselten... euren mehrfach

0:28:24.479,0:28:28.880
verschlüsselten Traffic und dieser Tor[br]Entry, der weiß ja jetzt wer ihr seid, der

0:28:28.880,0:28:34.029
weiß aber sieht aber nur in der an ihn[br]verschlüsselten Botschaft, dass die, dass

0:28:34.029,0:28:38.600
er die weitergeben soll an einen nächste[br]Node im Tor Netz, in diesem Fall die

0:28:38.600,0:28:42.409
Middle-Node, und die Middle-Node gibt das[br]vielleicht noch an andere Middle-Nodes

0:28:42.409,0:28:46.179
weiter, das wurde von euch vorher[br]festgelegt, bis ihr dann irgendwann beim

0:28:46.179,0:28:52.619
Tor Exit seid, und der Tor Exit macht dann[br]"hacke die hack hack". Und wenn jetzt

0:28:52.619,0:28:57.769
unser Angriffsziel schaut "was ist denn[br]los", da weiß der Tor Exit zwar "Ja, der

0:28:57.769,0:29:02.630
Traffic der kam wohl von mir, aber ich[br]habe keine Ahnung wo der her kommt, die

0:29:02.630,0:29:07.119
Middle-Node weiß eh nix, und der Tor Entry[br]weiß "Ja OK, der weiß zwar wer ihr seid,

0:29:07.119,0:29:11.470
aber er hat keine Ahnung, welchen weiteren[br]Verlauf die IP-Pakete und Datenpakete, die

0:29:11.470,0:29:16.589
ihr geschickt habt, gegangen sind. Da seid[br]ihr jetzt schon mal besser dran und müsst

0:29:16.589,0:29:21.649
nicht so vielen Leuten vertrauen, weil ihr[br]... weil sie es einfach nicht wissen

0:29:21.649,0:29:28.400
können. Es sei denn, ihr habt es mit einem[br]globalen Angreifer zu tun, dann seid ihr

0:29:28.400,0:29:34.539
natürlich etwas schlechter dran, aber so[br]für die kleine Datenreise kann man hier

0:29:34.539,0:29:41.800
auf jeden Fall noch ohne Reisewarnung auf[br]die Reise gehen. Es sei denn, man ist zu

0:29:41.800,0:29:44.699
blöd...[br]T: Jetzt haben wir quasi die technische

0:29:44.699,0:29:49.209
Voraussetzungen dafür, uns relativ anonym[br]im Internet zu bewegen. Wir brauchen

0:29:49.209,0:29:53.129
niemanden vertrauen und so weiter. Aber[br]jetzt kommt halt so die eigene Intelligenz

0:29:53.129,0:29:55.799
ins Spiel.[br]L: Das ist eigentlich erst das Level, an

0:29:55.799,0:29:59.340
dem wir Operational Security brauchen,[br]vorher brauchen wir gar nicht erst

0:29:59.340,0:30:05.869
anzufangen mit OpSec. Dachte sich auch ein[br]Student der Harvard University, der

0:30:05.869,0:30:09.709
irgendwie ein bisschen nicht gut[br]vorbereitet war für die Prüfung die an dem

0:30:09.709,0:30:16.499
Tag anstand. Und ihr kennt das, was macht[br]man, man überlegt sich so "Wie könnte ich

0:30:16.499,0:30:20.889
jetzt diese Prüfung noch zum ausfallen[br]bringen". Da gibt es eigentlich relativ

0:30:20.889,0:30:25.919
wenig Optionen, eine die aber immer ganz[br]gut funktioniert ist eine Bombendrohung.

0:30:25.919,0:30:29.589
Wer kennt das nicht.[br]<i>Gelächter</i>

0:30:29.589,0:30:34.500
L: Und hier, Harvard University Stratege[br]sagt: "Ich habe ja gelernt, wie das mit

0:30:34.500,0:30:39.919
der Anonymität im Internet ist, ich[br]benutze Tor". Und er schickt seine

0:30:39.919,0:30:43.259
Erpresser E-Mails, in denen steht "Ich[br]habe eine Bombe da da da oder da

0:30:43.259,0:30:47.070
positioniert". Einer davon der Räume in[br]dem er die Klausur schreibt um auch ganz

0:30:47.070,0:30:51.149
sicher zu gehen, dass auf jeden Fall der[br]geräumt wird, wenn schon nicht die ganze

0:30:51.149,0:30:57.330
Uni. Datenpaket kommt an, und was sagt die[br]Harward Universität, die ruft natürlich

0:30:57.330,0:31:02.919
die Polizei. Lalülala. Die Polizei sagt[br]"Ach guck mal hier, ist über Tor gekommen,

0:31:02.919,0:31:10.000
liebes NOC, schau doch mal bitte kurz ob[br]irgendjemand von den Studenten hier in dem

0:31:10.000,0:31:14.869
fraglichen Zeitpunkt Tor genutzt hat". Und[br]in dem Uni Netzwerk haben die sich

0:31:14.869,0:31:20.039
natürlich alle namentlich anmelden müssen.[br]Und da gab es dann eine kostenlose Fahrt

0:31:20.039,0:31:24.289
im Polizeiauto, weil wir hier eine[br]wunderschöne Anonymisierungs technologie

0:31:24.289,0:31:29.129
gehabt hätten, wenn wir uns nicht vorher[br]angemeldet hätten, und nur für den genau

0:31:29.129,0:31:33.119
den kleinen Zeitraum Tor genutzt haben, in[br]dem genau diese Erpressungs-E-Mails bei

0:31:33.119,0:31:38.899
der Uni ankamen. Aber wir bleiben ein[br]bisschen bei Anonymisierungsdiensten, was

0:31:38.899,0:31:45.999
ja auch insbesondere in der Öfentlichkeit[br]sehr viel die Menschen bewegt: Hidden

0:31:45.999,0:31:50.719
Services. Wir wollen also jetzt das ganze[br]Anonymisierungsnetzwerk umdrehen, wir

0:31:50.719,0:31:54.529
wollen nicht quasi als Angreifer versteckt[br]sein, sondern wir wollen unseren Server

0:31:54.529,0:32:00.070
da drin verstecken. Und das machen wir ganz[br]einfach, indem wir die Leute zwingen, dass

0:32:00.070,0:32:04.580
sie uns nur über Tor erreichen können. Das[br]heißt, unser Polizist muss auf jeden Fall

0:32:04.580,0:32:08.039
in ein Tor Entry, dann durch mehrere[br]Middle-Nodes, und irgendwann kommen die

0:32:08.039,0:32:12.879
Datenpakete bei uns an, ohne Tor jemals[br]wieder zu verlassen. Die Middle-Nodes

0:32:12.879,0:32:16.559
wissen nie, dass sie die erste oder die[br]letzte sind, und so routen wir unsere

0:32:16.559,0:32:21.691
Pakete immer irgendwie anders herum, und[br]haben jetzt einen Server im Internet, zu

0:32:21.691,0:32:28.579
dem viele Wege führen, aber nie wirklich[br]herauszufinden ist, auf welchem Weg wir

0:32:28.579,0:32:34.109
... wo wir diesen Server stehen haben.[br]Immer unter der Voraussetzung, dass nicht

0:32:34.109,0:32:40.040
jemand das gesamte Internet überwacht,[br]oder wir ein bischen zu blöd sind. Das

0:32:40.040,0:32:43.590
können wir verhindern, indem wir auf[br]unserem Hidden Service anfangen, keine

0:32:43.590,0:32:47.679
Logs zu schreiben, wir benutzen keine[br]bekannten SSH Keys. Relativ schlecht, wenn

0:32:47.679,0:32:52.830
ihr da den gleichen SSH Key wie bei der[br]Arbeit benutzt. Wir geben unserem Hidden

0:32:52.830,0:32:59.610
Service nur ein lokales Netz, fangen den[br]in irgendeinem RFC 1918, schaffen getrennt

0:32:59.610,0:33:06.679
davor einen Tor-Router, der also dann mit[br]dem Internet verbunden ist, und diesen ...

0:33:06.679,0:33:10.790
den Hidden Service freigibt, und dann die[br]Verbindung zu unserem Hidden Service

0:33:10.790,0:33:15.100
herstellt. Das schöne ist, unser Hidden[br]Service kann gar nicht mit dem Internet

0:33:15.100,0:33:19.260
verbunden, werden wenn er also versucht,[br]wenn ihn da so ein kleines Ping

0:33:19.260,0:33:24.580
entfleuchen würde oder so, das könnte[br]niemals in das große böse Internet

0:33:24.580,0:33:29.130
gelangen.[br]<i>Gelächter</i>

0:33:29.130,0:33:34.499
L: Und jetzt haben wir also unseren Hidden[br]Service da und sind total happy, denn das

0:33:34.499,0:33:40.019
große böse Internet kommt nur über das Tor[br]Netz zu uns. Aufwand zum Aufsetzen, wenn

0:33:40.019,0:33:45.559
man weiß wie man es macht und ein bisschen[br]geübt hat, würde ich sagen 1-2 Tage, und

0:33:45.559,0:33:52.839
schon bist du einen Drogenkönig. Und jetzt[br]sind die technischen Voraussetzungen da,

0:33:52.839,0:33:56.190
dass du deine OpSec wieder so richtig[br]schön verkacken kannst.

0:33:56.190,0:34:02.569
<i>Gelächter</i>[br]T: Es gibt da, um auch im Darknet zu

0:34:02.569,0:34:10.580
bleiben, diesen Fall "Deutschland im Deep[br]Web". Der Herr hatte sich da so ein Forum

0:34:10.580,0:34:15.750
und Marketplace aufgemacht, und der[br]Betrieb von solchen Diensten kostet ja

0:34:15.750,0:34:22.440
Geld. Also hat er um Spenden gebeten,[br]damit er seine Dienste weiterhin auch

0:34:22.440,0:34:29.460
gesichert anbieten kann. Und die Spenden[br]sammelt man natürlich in Bitcoin einer,

0:34:29.460,0:34:35.158
eine schön anonyme Bezahlvariante passend[br]zum Darknet. Ich habe Hidden Service, ich

0:34:35.158,0:34:38.989
kann nicht gefunden werden. Ich habe ein[br]anonymes Zahlungsmittel, ohne dass mein

0:34:38.989,0:34:50.619
Name daran klebt. Also haben wir den Weg[br]dass wir unsere Bitcoins irgendwann auch

0:34:50.619,0:34:57.279
nochmal versilbern wollen.[br]L: Irgendwann haste genug Burger im Room77

0:34:57.279,0:35:02.530
gegessen, dann musst du... dann willst du[br]vielleicht auch mal Euro haben, oder so.

0:35:02.530,0:35:07.690
T: Dann verlässt dieses anonyme[br]Geld irgendwann die digitale Welt und

0:35:07.690,0:35:16.549
wandert über so ein Bitcoin Exchange[br]Portal auf dein Sparbuch, und in dem Fall

0:35:16.549,0:35:21.171
hat es genau da schon "Knacks" gemacht,[br]denn deine Identität ...

0:35:21.171,0:35:30.010
<i>Gelächter</i>[br]T: ... ist genau in diesem Fall

0:35:30.010,0:35:34.519
aufgeflogen, weil wir hier über einen ...[br]auch noch einen deutschen Anbieter Bitcoin

0:35:34.519,0:35:40.180
Marketplace getauscht haben, und wie soll[br]es anders sein, da wird natürlich Auskunft

0:35:40.180,0:35:43.779
gegeben, wer denn der eigentliche[br]Empfänger ist, und auf welches Sparbuch

0:35:43.779,0:35:49.240
das ganze überwiesen wurde. Das heißt hier[br]kommen wir jetzt zum Satoshi Nakamoto

0:35:49.240,0:35:52.970
Award für anonyme Auszahlungen ...[br]<i>Gelächter</i>

0:35:52.970,0:36:04.250
T: ... für eine wohldurchdachte[br]Spendenplattform ist. Wirklich wirklich

0:36:04.250,0:36:06.650
gut gemacht.[br]

0:36:06.650,0:36:11.420
L: Bitcoin ist anonym.[br]T: Ja, ja Bitcoin ist anonym.

0:36:11.420,0:36:13.260
L: Und was eigentlich ganz interessant ist

0:36:13.260,0:36:17.350
an den Fall, durch eigentlich einfach mal[br]saubere Polizeiarbeit ohne

0:36:17.350,0:36:22.629
Vorratsdatenspeicherung, ohne Responsible[br]Encryption, ohne Verbot von

0:36:22.629,0:36:28.309
Anonymisierungsdiensten hat die Polizei[br]hier ihre Arbeit geleistet. Es ging ja

0:36:28.309,0:36:31.089
hier dann auch nicht mehr nur um[br]Kleinigkeiten, sondern auf dieser

0:36:31.089,0:36:35.631
Plattform wurden Waffen gehandelt. Mit den[br]Waffen, die dort gehandelt wurden, wurden

0:36:35.631,0:36:42.520
Menschen getötet. Und ich denke hier kann[br]doch einfach mal sagen, die Polizei, die

0:36:42.520,0:36:46.200
ja gerne mal quengelt, das irgendwie alle[br]Daten von ihnen weg sind, und sie immer

0:36:46.200,0:36:49.869
mehr brauchen, hat hier einfach mal eine[br]gute Arbeit geleistet...

0:36:49.869,0:36:55.299
<i>Applaus</i>[br]L: ... ohne uns die ganze Zeit zu

0:36:55.299,0:36:57.660
überwachen, ist doch auch mal was das. Ist[br]doch Schön!

0:36:57.660,0:36:59.320
T: Brauchen gar keine[br]Vorratsdatenspeicherung

0:36:59.320,0:37:04.620
L: Können wir anonym bleiben... Aber man[br]hat natürlich noch sehr viel schönere

0:37:04.620,0:37:11.900
Metadaten, mit denen man zum Opfer fallen[br]kann. Sehr beliebt ist WLAN. Wer von euch

0:37:11.900,0:37:15.579
benutzt WLAN? Jetzt melden sich die, die[br]sich gerade schon gemeldet haben, als die

0:37:15.579,0:37:18.840
Frage war, ob sie schon mal eine[br]Sicherheitslücke gefunden haben.

0:37:18.840,0:37:22.170
T: Es heißt ja auch, man soll zum Hacken[br]irgendwie zu irgendwelchen Kaffeeketten

0:37:22.170,0:37:28.890
gehen. Vielleicht keine so gute Idee.[br]L: WLAN ist nicht mehr nur in eurer

0:37:28.890,0:37:33.220
Wohnung, die Signale die ihr da[br]ausstrahlt, die kommen relativ weit. Das

0:37:33.220,0:37:38.471
hat auch ein Mitglied von Anonymous[br]gelernt, der nämlich am Ende darüber

0:37:38.471,0:37:44.620
überführt wurde, dass man einfach vor[br]seinem Haus so einen Empfangswagen

0:37:44.620,0:37:49.009
hingestellt hat, und geguckt hat, wann[br]denn sein WLAN so aktiv ist. Wann also

0:37:49.009,0:37:54.760
sein Computer, wenn auch verschlüsselte[br]Pakete, durch das WPA verschlüsselte WLAN

0:37:54.760,0:37:59.000
und durchs Tor Netz und sieben Proxies und[br]hast du alles nicht gesehen, die am Ende

0:37:59.000,0:38:06.029
einfach nur korreliert: Wann ist der gute[br]Mann im IRC aktiv, und wenn er aktiv ist,

0:38:06.029,0:38:10.859
kann das sein, dass zufällig auch diese[br]Wohnung, auf die wir unsere Richtantenne

0:38:10.859,0:38:16.779
ausgerichtet haben, ein paar WLAN[br]Paketchen emittiert. Stellte sich heraus,

0:38:16.779,0:38:22.290
das war der Fall. Hat ihn am Ende in den[br]Knast gebracht. Und das spannende ist, wir

0:38:22.290,0:38:25.320
haben wir die Unverletzlichkeit der[br]Wohnung, die brauchten gar nicht rein zu

0:38:25.320,0:38:29.530
gehen, weil ihnen der Mensch, der sich[br]hier anonym halten wollte, quasi seine

0:38:29.530,0:38:38.330
Datenpakete frei Haus geliefert hat. Also[br]man könnte sagen: Ethernet ist OpSec-Net.

0:38:38.330,0:38:47.040
<i>Applaus</i>[br]T: Ein weiterer Killer für Anonymität ist

0:38:47.040,0:38:52.431
auch die Möglichkeit, dass so ein[br]Smartphone, wenn man rumrennt, oder eine

0:38:52.431,0:38:58.411
Uhr mit WLAN Funktionalität oder[br]Bluetooth, die hinterlassenen Spuren wo

0:38:58.411,0:39:07.820
man hingeht. Also es gibt ja auch[br]Marketingfirmen, die Lösungen anbieten,

0:39:07.820,0:39:11.340
was sich die MAC Adressen von den[br]Endgeräten auch zu tracken, also diese

0:39:11.340,0:39:15.100
Spuren hinterlässt man, auch wenn man[br]einfach so auf die Straße geht, und

0:39:15.100,0:39:17.720
hinterlässt damit natürlich auch Spuren,[br]die irgendwie korreliert werden können mit

0:39:17.720,0:39:21.029
dem eigenen Verhalten. Und wenn es einfach[br]nur darum geht, man ist irgendwie zum

0:39:21.029,0:39:23.119
bestimmten Zeitpunkt gerade nicht zu[br]Hause, ...

0:39:23.119,0:39:27.049
L: Aber ich bin voll klug, ich kann meine[br]MAC-Adresse randomisieren. MAC-Changer.

0:39:27.049,0:39:32.859
Voll geil.[br]T: Super. Dein Telefon ist aber auch nicht

0:39:32.859,0:39:40.849
nur einfach so an, das kennt irgendwie so[br]10, 15 oder 20 verschiedene SSIDs, also

0:39:40.849,0:39:44.510
verschiedene WLAN Netze, in die du dich[br]regelmäßig einbuchst, und selbst wenn du

0:39:44.510,0:39:52.690
deine MAC-Adresse regelmäßig änderst, wird[br]dieses Gerät diese Probes regelmäßig

0:39:52.690,0:39:58.940
raussenden und hinterlässt damit ein[br]Profil über dich. Ja, da rechnest du erst

0:39:58.940,0:40:03.890
mal nicht mit. Es eigentlich viel[br]einfacher, dich über so ein Set an

0:40:03.890,0:40:09.190
bekannten SSIDs Probes zu identifizieren[br]als über eine MAC-Adresse. Du hinterlässt

0:40:09.190,0:40:13.380
eine sehr starke Identität, egal wo du[br]hingehst und wo du dich da aufhälst.

0:40:13.380,0:40:17.980
L: Ich seh gerade, hier haben wir offenbar[br]jemanden gefangen in der vierten SSID von

0:40:17.980,0:40:21.169
oben, der war sogar schonmal im Darknet.[br]T: Und im St. Oberholz.

0:40:21.169,0:40:27.479
Das ist eigentlich fast das gleiche, oder?[br]L: Ein echt ärgerliches Phänomen, was die

0:40:27.479,0:40:31.890
Hersteller eigentlich meinten beseitigt zu[br]haben, indem sie dann die MAC Adressen bei

0:40:31.890,0:40:38.840
den Probe Requests randomisieren. Aber[br]einfach nur die Anzahl der WLANs, die eure

0:40:38.840,0:40:43.650
Geräte kennen, ist mit wenigen WLANs[br]sofort eindeutig und spezifisch auf euch

0:40:43.650,0:40:47.849
in dieser Kombination. Und nach dieser[br]Kombination kann man eben überall suchen.

0:40:47.849,0:40:51.289
T: Also was kann man hier so ganz[br]grundsätzlich mal sagen, wenn man

0:40:51.289,0:40:56.109
irgendwie Sorge hat, getracked zu werden,[br]dann sollte man dafür sorgen dass das WLAN

0:40:56.109,0:41:00.710
auf allen im Alltag genutzten Devices[br]ausgeschaltet wird, wenn man die Wohnung

0:41:00.710,0:41:05.900
verlässt, oder wenn du irgendwas hackst.[br]L: Kommt ja manchmal vor....

0:41:05.900,0:41:11.950
T: Manchmal.[br]L: Auch sehr schön, habe ich einen Fall

0:41:11.950,0:41:17.619
gehabt, manchmal berate ich Leute, in dem[br]Fall war das eine Gruppe von

0:41:17.619,0:41:28.010
ehrenamtlichen U-Bahn Lackierern ...[br]<i>Gelächter</i> und <i>Applaus</i>

0:41:28.010,0:41:33.490
L: ... die sich dafür interessierten, wie[br]denn so ihre Arbeitsabläufe zu bewerten

0:41:33.490,0:41:39.109
sind. Und die hatten Diensthandys, die sie[br]nur für den Einsatz beim Kunden benutzt

0:41:39.109,0:41:48.169
haben. Was ja erstmal, also es war ja[br]schön gedacht. Das einzige Problem war

0:41:48.169,0:41:52.690
natürlich, sie haben die auch wirklich nur[br]beim Kunden eingesetzt. Und wenn man jetzt

0:41:52.690,0:41:57.330
einmal in so eine Funkzellenabfrage damit[br]gerät, und die Polizei spitz kriegt: "Oh,

0:41:57.330,0:42:01.540
wunderbar, wir machen jetzt einfach jedes[br]Mal, wenn die ein neues Bild gemalt haben,

0:42:01.540,0:42:06.000
so wie die Hacker von Putin, dann machen[br]wir einfach eine kleine Funkzellenabfrage

0:42:06.000,0:42:10.990
und schauen uns mal, welche IMEIs, welche[br]IMSIs waren denn so in welchen Funkzellen

0:42:10.990,0:42:16.779
eingeloggt. Das macht ihr 2, 3 Mal, dann[br]seid ihr das nächste Mal, wenn ihr im

0:42:16.779,0:42:24.369
Einsatz seit, ehrenamtlich, wartet die[br]Polizei schon an eurem Einsatzort. Denn

0:42:24.369,0:42:28.420
Mobiltelefone lassen sich einfach live[br]tracken, wenn man weiß nach welchen man

0:42:28.420,0:42:33.980
sucht. Und auch hier eben ein[br]wunderschöner Fall von OpSec Fail.

0:42:33.980,0:42:38.789
Übrigens wollte ich nur darauf hinweisen,[br]das ist kein Bild von der angesprochenen

0:42:38.789,0:42:43.950
Gruppe. So klug waren die schon, ich habe[br]einfach irgendeins gegoogelt.

0:42:43.950,0:42:49.240
T: Und hier wird ein Pseudonym, also was[br]weiß ich, irgendein Name dieser Gruppe,

0:42:49.240,0:42:53.640
wird dann irgendwann aufgelöst und wird[br]einer bestimmten Person oder

0:42:53.640,0:42:57.909
Personengruppe zugeordnet, und weil halt[br]über einen längeren Zeitraum immer wieder

0:42:57.909,0:43:01.880
diese Metadaten angefallen sind, immer mit[br]diesem Bild, mit diesem Schriftzug, mit

0:43:01.880,0:43:06.139
dem Namen, also diesem Pseudonym[br]assoziiert werden können, und irgendwann

0:43:06.139,0:43:10.180
kommt der Tag, und wenn es nach fünf oder[br]nach zehn Jahren ist, da wird man das dann

0:43:10.180,0:43:12.450
quasi alles auf eine Person zurückführen[br]können.

0:43:12.450,0:43:15.700
L: Das ist echt so dieser Geltungsdrang,[br]der den Graffiti Sprüher irgendwie immer

0:43:15.700,0:43:19.500
wieder zum Verhängnis wird so. Einmal so[br]eine Bahn zu besprühen, und diese wieder

0:43:19.500,0:43:22.610
sauber machen zu lassen, das kriegste[br]vielleicht noch geschultert, aber wenn du

0:43:22.610,0:43:27.029
das irgendwie 20 Mal gemacht hast, und[br]dann erwischt wirst... Schlecht.

0:43:27.029,0:43:30.999
T: Beim 19. Mal denkt man noch: Ey, ich[br]wurde jetzt 20 mal nicht erwischt, oder 19

0:43:30.999,0:43:33.150
Mal...[br]L: Sie könnten jedes Mal einen anderen

0:43:33.150,0:43:36.960
Namen malen oder so.[br]T: Ja okay, aber das ist ja unter Hacker

0:43:36.960,0:43:41.839
ja auch so, es gab ja auch Defacement[br]Organisationen, die das quasi in der

0:43:41.839,0:43:47.760
digitalen Welt ähnlich gemacht haben. Wie[br]auch immer, wie ich schon am Anfang

0:43:47.760,0:43:52.480
angesprochen habe, ist eigentlich das[br]wichtigste, dass man weiß, was für

0:43:52.480,0:43:56.020
Werkzeuge man verwendet. Dass man die[br]Werkzeuge beherrscht, dass man nicht

0:43:56.020,0:44:00.520
einfach irgendwas herunterlädt, weil man[br]hat davon mal irgend etwas gehört oder ein

0:44:00.520,0:44:06.100
Kumpel hat mal was gesagt, oder man hat im[br]Internet irgendwas gelesen. Kenne dein

0:44:06.100,0:44:10.550
Gerät. Setze sich mit der Technik[br]auseinander, die du da benutzt, und

0:44:10.550,0:44:17.380
benutze halt die Technik, die du am besten[br]beherrscht. Beispielsweise Web Browser.

0:44:17.380,0:44:22.689
Das ist schon ein ganz wichtiges Thema,[br]ich meine viele dieser ganzen Web

0:44:22.689,0:44:28.370
Application Geschichten, über die stolpert[br]man hauptsächlich mit Browsern. Und

0:44:28.370,0:44:32.432
heutzutage ist eigentlich völlig egal, was[br]für einen Browser man benutzt, die haben

0:44:32.432,0:44:38.789
alle irgendwelche Macken, irgendwelches[br]Tracking, oder Telemetry enabled. Das ist

0:44:38.789,0:44:46.440
zum Beispiel auch bei Mozilla ein großes[br]Ding, Wenn man halt eine sehr beliebte

0:44:46.440,0:44:50.300
Extension installiert hat, und die zum[br]Beispiel den Besitzer wechselt, und dieser

0:44:50.300,0:44:53.962
neue Besitzer dann einfach klammheimlich[br]irgendein Tracking einbaut, das alles

0:44:53.962,0:44:56.310
schon vorgekommen, kann euch das ....[br]L: ... da haben wir einen Vortrag drüber

0:44:56.310,0:44:59.330
gehabt ...[br]T: Kann euch das irgendwann den Kopf

0:44:59.330,0:45:02.840
kosten, und deswegen müssen ihr ganz genau[br]wissen: Was benutze ich hier für Tools,

0:45:02.840,0:45:05.580
was ändert sich wenn ich dieses Tool[br]vielleicht mal update, oder irgendwie eine

0:45:05.580,0:45:12.600
kleine Extension update. Setzt euch[br]einfach damit auseinander, denn was die

0:45:12.600,0:45:17.359
Werbeindustrie ganz gut drauf hat, ist[br]euch zu tracken, egal ob ihr jetzt Cookies

0:45:17.359,0:45:21.730
akzeptiert oder irgendwie Tracking[br]disabled habt, die können das ganz gut mit

0:45:21.730,0:45:25.501
Browser Footprinting, da gibt es[br]verschiedene Methoden auf einem ganz

0:45:25.501,0:45:30.120
anderen Weg. So wie man eben diese WLAN[br]Probe Requests irgendwie nutzen kann um da

0:45:30.120,0:45:33.870
einen Footprint zur identifizieren, kann[br]deshalb bei Browsern genauso

0:45:33.870,0:45:40.150
funktionieren. Also, was kann man da[br]machen? Man verwendet vielleicht Wegwerf-

0:45:40.150,0:45:43.880
Profile, man sorgt dafür, dass die Daten[br]zuverlässig von der Festplatte wieder

0:45:43.880,0:45:47.650
verschwinden. Idealerweise hat man ja[br]ohnehin einen Laptop, mit dem man dann

0:45:47.650,0:45:51.839
hackt, den mann regelmäßig mal platt[br]macht. Und man muss dafür sorgen, dass

0:45:51.839,0:45:56.309
egal was für einen Browser ihr verwendet,[br]dass alle Datenlecks zuverlässig gestoppt

0:45:56.309,0:46:04.130
werden. Ein Serviervorschlag für so ein[br]Setup, anonym und mit möglichst wenig

0:46:04.130,0:46:08.660
Datenlecks unterwegs zu sein, ist einfach[br]alles zu trennen, was man trennen kann.

0:46:08.660,0:46:13.620
Wenn ihr grundsätzlich davon ausgeht, dass[br]irgendwo etwas schief gehen kann, und es

0:46:13.620,0:46:16.240
wird irgendwo etwas schief gehen, dann[br]müsst ihr einfach dafür sorgen, dass

0:46:16.240,0:46:20.319
dieses Risiko möglichst minimal gehalten[br]wird. Also wäre eine Möglichkeit: Ihr

0:46:20.319,0:46:26.390
benutzt einen Rechner, als Hardware oder[br]VM, wo ihr eure Hacking Workstation drin

0:46:26.390,0:46:32.950
habt, irgend ein Kali oder BSD, oder was[br]auch immer, und über meinetwegen Hunix

0:46:32.950,0:46:39.180
Installation dafür sorgt, dass keine[br]Datenlecks nach außen gelangen können. Es

0:46:39.180,0:46:44.030
wird immer noch irgendwelche Datenlecks[br]geben, die so ein Hunix nicht abhalten

0:46:44.030,0:46:48.720
kann, aber es minimiert zumindest[br]bestimmte Risiken bevor irgendwelche

0:46:48.720,0:46:55.220
Pakete fahrlässig ins große böse Internet[br]gesendet werden, wo eine Menge Leute

0:46:55.220,0:47:01.469
darauf warten. Also deine Geräte, lass[br]dich nicht beeinflussen von irgendwelchen

0:47:01.469,0:47:05.560
Leuten, die halt sagen: "Ne, du musst das[br]Betriebssystem benutzen, sonst bist du

0:47:05.560,0:47:08.740
nicht cool oder sonst kann es ja nicht[br]mitmachen". Ihr müsst genau das

0:47:08.740,0:47:13.409
Betriebssystem benutzen, mit dem ihr euch[br]am besten auskennt, denn nur wenn ihr euer

0:47:13.409,0:47:17.620
System beherrscht und gut kennt, könnt ihr[br]auch, wisst ihr halt über all diese

0:47:17.620,0:47:22.040
Nachteile, die hier eine Rolle spielen,[br]wisst ihr darüber Bescheid, ihr könnt das

0:47:22.040,0:47:27.930
berücksichtigen in eurem Verhalten.[br]Faulheit ist auch ein großer Killer von

0:47:27.930,0:47:35.920
Anonymität, ebenso dieses vorausschauende[br]OpSec, dass man sagt, ich benutze von

0:47:35.920,0:47:40.130
vornherein Tor, auch wenn ich jetzt gerade[br]nur was im Onlineshop was einkaufen will.

0:47:40.130,0:47:44.380
Einfach nur um sicher zu sein, dass man[br]nirgendwo einfach nur aus Faulheit irgend

0:47:44.380,0:47:50.699
einen Schutzmechanismus mal weglässt. Kann[br]ja auch sein, dass irgendein Target Server

0:47:50.699,0:47:56.020
einfach sagt: "Nöö, ich blockier aber Tor[br]Exit Nodes". Kommt vor. Oder dass zum

0:47:56.020,0:48:01.210
Beispiel die Captchas immer lästiger[br]werden, wenn man über einen Tor Exit Node

0:48:01.210,0:48:05.270
kommt. Das ist einfach alles nur dafür da,[br]euch zu nerven und einfach mal für einen

0:48:05.270,0:48:09.449
kleinen Augenblick Tor abzuschalten und[br]vielleicht normalen VPN-Anbieter zu

0:48:09.449,0:48:13.630
benutzen, oder komplett auf irgendeine[br]Verschleierung zu verzichten. Und ja,

0:48:13.630,0:48:21.779
diese Faulheit wird euch im Zweifelsfall[br]auch das Genick brechen. Was wir in

0:48:21.779,0:48:29.079
Zukunft eventuell auch häufiger sehen[br]könnten ist etwas, das sind Canaries.

0:48:29.079,0:48:34.780
Colin Malena hat letztes Jahr auch schon[br]auf dem Kongress glaube ich über Canaries

0:48:34.780,0:48:41.460
in Embedded Devices gesprochen. Das sind[br]einfach nur irgendwelche Pattern, die in

0:48:41.460,0:48:45.680
der Firmware hinterlassen werden, die dann[br]gemonitored werden, ob jemand danach

0:48:45.680,0:48:51.309
googelt. Das heißt, ich kann also auch auf[br]einem Produktionssystem so eine Art Pseudo

0:48:51.309,0:48:57.079
Honeypot installieren, und eine Datenbank[br]mit scheinbar realen Daten füllen, und

0:48:57.079,0:49:00.090
irgendein Angreifer, der halt sehr[br]neugierig ist, wird das möglicherweise

0:49:00.090,0:49:03.549
ausprobieren, ob das Login von der Frau[br]Merkel dann auch wirklich funktioniert,

0:49:03.549,0:49:06.930
oder er wird vielleicht nach irgendeinem[br]Pattern auch googeln und herauszufinden,

0:49:06.930,0:49:10.349
ob sich dann noch mehr holen lässt, um die[br]Qualität und vielleicht auch den Wert der

0:49:10.349,0:49:16.529
erbeuteten Daten auszukundschaften. Das[br]heißt, da ist auch Neugier dann der Killer

0:49:16.529,0:49:22.779
was Anonymität angeht. Und ja, das sind[br]halt einfach Fallen, die ausgelegt werden,

0:49:22.779,0:49:27.650
und man sollte grundsätzlich so eine[br]gewisse Grundparanoia haben. Man sollte

0:49:27.650,0:49:32.699
immer davon ausgehen, das jemand einem[br]eine Falle stellt.

0:49:32.699,0:49:40.039
L: Zum Beispiel auch, wenn das Männchen[br]vom Elektroversorger kommt, und so was

0:49:40.039,0:49:48.899
mitbringt; Wisst ihr, was das ist? Das ist[br]ein Smart Meter. Auch das natürlich ein

0:49:48.899,0:49:53.930
Gerät, was unter der Maßgabe des "Digital[br]First, Bedenken Second" gerade ausgerollt

0:49:53.930,0:49:59.420
wird und eine ganze Menge Metadaten über[br]euer Verhalten sammelt. Müsst ihr euch

0:49:59.420,0:50:03.430
aber nicht unbedingt Sorgen machen, weil[br]das ist ja vom Bundesamt für Sicherheit in

0:50:03.430,0:50:09.869
der Informationstechnik abgenommen, da[br]kann eigentlich nichts schief gehen. Außer

0:50:09.869,0:50:13.681
natürlich, dass Geräte mit[br]Deutschlandflagge und Adler für die

0:50:13.681,0:50:19.170
hacksportliche Nutzung grundsätzlich[br]ungeeignet sind, deswegen raten wir davon

0:50:19.170,0:50:23.859
ab. Und sind gespannt, was wir noch alles[br]für Metadatenquellen in unserer Zukunft

0:50:23.859,0:50:30.240
sehen werden.[br]T: Ja, und ihr seht schon, es sind nicht

0:50:30.240,0:50:34.770
immer nur die technischen Probleme, die[br]ihr nicht berücksichtigt, das seid auch

0:50:34.770,0:50:41.340
ihr selbst, eben dieses ungeduldig sein[br]oder faul sein, oder wenn man sich gerne

0:50:41.340,0:50:45.109
Sachen schön redet und sagt "So naja, nu,[br]ist jetzt irgendwie 19 Mal gut gegangen,

0:50:45.109,0:50:48.190
warum sollte ich jetzt irgendwie immer und[br]immer wieder den gleichen Aufwand

0:50:48.190,0:50:52.070
betreiben, das wird schon schiefgehen.[br]Warum sollte jemand in dieses Log

0:50:52.070,0:50:57.080
gucken". Ist so vergleichbar mit "Warum[br]sollte irgendjemand diesen Unsinn in

0:50:57.080,0:51:02.800
dieses Formularfeld eintragen". Also man[br]trifft hier Annahmen, die halt fatal sind,

0:51:02.800,0:51:06.470
und da muss man halt auch sehr stark[br]darauf achten, dass man selbst nicht sich

0:51:06.470,0:51:10.369
selbst verrät. Die Frage ist zum Beispiel[br]auch: Geht man oft gerne feiern und

0:51:10.369,0:51:14.170
brüstet sich dann vielleicht auf einer[br]Feier beim Bier irgendwie mit Erfolgen

0:51:14.170,0:51:17.980
oder gibt man sich gerne geheimnisvoll? So[br]gibt man immer wieder gerne auch mal

0:51:17.980,0:51:24.249
Geheimnisse preis, die einem das Genick[br]brechen. Da gibt es auch Fälle, wo dann

0:51:24.249,0:51:28.359
Leute aus dem Freundeskreis eben[br]angefangen haben, Daten auch nach außen

0:51:28.359,0:51:38.420
sickern zu lassen. Ansonsten sind das noch[br]Kleinigkeiten wie ich schon sagte der

0:51:38.420,0:51:40.920
Coding-Stil kann ein verraten, das ist wie[br]eine Handschrift, aber deine

0:51:40.920,0:51:44.230
Rechtschreibung und Grammatik ist es auch.[br]Vielleicht kann man da irgendwelche

0:51:44.230,0:51:47.940
Translation-Services benutzen und hin und[br]her übersetzen, wenn man schon in

0:51:47.940,0:51:53.250
irgendwelchen Foren schreiben muss.[br]Bestimmte Skills, Eigenschaften, die ihr

0:51:53.250,0:51:56.899
technisch beherrscht, die andere[br]vielleicht nicht so gut beherrschen,

0:51:56.899,0:52:00.039
können euch auch genausogut verraten. Das[br]sind am Ende einfach nur einzelne

0:52:00.039,0:52:05.720
Indizien, die von Ermittlern oder Leuten,[br]die euch jagen, kombiniert werden, um

0:52:05.720,0:52:12.799
nem plausiblen Beweis zu finden, um euch[br]zu finden. Ja, ansonsten ist auch oft,

0:52:12.799,0:52:17.960
wenn ihr irgendwo was zerhackt habt, dann[br]hinterlasst hier vielleicht auch

0:52:17.960,0:52:22.070
irgendwelche Funktionserweiterer und[br]Werkzeuge, die es euch erlauben, Sachen

0:52:22.070,0:52:26.380
hoch oder runter zu laden. Diese Sachen[br]bleiben im Zweifelsfall dort liegen, weil

0:52:26.380,0:52:29.880
euch jemand die Internetleitung kappt, und[br]diese Daten können dann halt analysiert

0:52:29.880,0:52:34.800
werden. Rechnet immer damit, dass dieser[br]Fall eintreten kann, und sorgt dafür, dass

0:52:34.800,0:52:44.460
sich eure Tools, dass es da keinen[br]Zusammenhang ergibt zu euch. Ja, ansonsten

0:52:44.460,0:52:49.939
eben einfach mal tief durchatmen,[br]vielleicht ein bisschen diskreter an die

0:52:49.939,0:52:56.219
Sache rangehen, und versuchen unter dem[br]Radar zu bleiben, nicht herum zu posen,

0:52:56.219,0:52:59.540
keine Andeutungen zu machen, um damit[br]irgendwie ein Geheimnis geheimnisvoller

0:52:59.540,0:53:03.860
da zu stehen. Nicht übermütig zu werden,[br]das ist einer der wichtigsten Punkte, und

0:53:03.860,0:53:11.860
eben, dieser Geldfall, nicht gierig zu[br]werden, klar. Geld macht eh nicht

0:53:11.860,0:53:15.010
glücklich, also von daher, werde einfach[br]nicht übermütig. Ich glaube, das ist am

0:53:15.010,0:53:18.850
Ende auch ein ganz großer Faktor, wenn man[br]irgendwie jahrelang irgendwelche Sachen

0:53:18.850,0:53:25.769
zerhackt hat, dass man da übermütig wird.[br]Und, verhaltet euch einfach so wie ihr

0:53:25.769,0:53:31.039
euren Eltern das immer auch empfohlen[br]habt: Klickt nicht auf irgendwelche Links,

0:53:31.039,0:53:35.160
die ihr per Spam E-Mail zugeschickt[br]bekommt. Klickt nicht auf irgendwelche

0:53:35.160,0:53:40.030
Anhänge, die euch zugeschickt werden[br]ungefragt. Und seid einfach nicht so

0:53:40.030,0:53:43.829
leichtfertig.[br]L: Was auch noch zu verräterischen

0:53:43.829,0:53:49.710
Schwächen gehört ist auch ein Fall aus dem[br]Anonymous-Umfeld: Dein Kumpel hat Kind und

0:53:49.710,0:53:54.640
Familie, ist erpressbar, und versuchte[br]dich, ans Messer zu liefern.

0:53:56.160,0:54:01.079
T: Ich habe kein Messer dabei...[br]L: OK. Es gibt eigentlich, wenn ihr euch

0:54:01.079,0:54:05.319
das so anschaut, niemanden der das so mit[br]dem Hacking länger durchgehalten hat, will

0:54:05.319,0:54:12.640
man meinen. Aber es gibt einen, das ist[br]Fisher, kein Mensch weiß wie er aussieht,

0:54:12.640,0:54:18.950
kein Mensch weiß ob es mehrere oder wenige[br]sind. Und diese Person, dieses Pseudonym,

0:54:18.950,0:54:24.080
ist ein Staatstrojaner-Jäger, hat einfach[br]mal Gamma Finfisher aufgemacht, hat in

0:54:24.080,0:54:29.779
Italien das Hacking Team aufgemacht, und[br]vor kurzem gab es dann die frohe Kunde,

0:54:29.779,0:54:35.580
dass die Ermittlungsverfahren eingestellt[br]wurden, weil es keine Spuren gibt, um

0:54:35.580,0:54:40.131
irgendwie diese Person oder diesen Hacker[br]zu finden. Und dafür gibt es von uns

0:54:40.131,0:54:44.439
natürlich die lobende Erwähnung und den[br]Hat-Tip....

0:54:44.439,0:54:59.099
<i>Applaus</i>[br]L: Kommen wir zum Fazit: Pseudonym ist

0:54:59.099,0:55:03.890
nicht anonym. Verratet nicht eure Pläne,[br]seid nicht in der Situation, dass ihr

0:55:03.890,0:55:09.390
jemandem vertrauen müsst. Seid vor allem[br]vorher paranoid, weil nachher geht das

0:55:09.390,0:55:16.019
nicht mehr. Kennt eure Geräte, trennt[br]Aktivitäten und Geräte, es ist sehr

0:55:16.019,0:55:20.200
sinnvoll mehrere Geräte zu haben, vor[br]allem wenn man von der Polizei durchsucht

0:55:20.200,0:55:23.289
wird wie Alberto, und die nur die Hälfte[br]mitnehmen, habt ihr danach vielleicht noch

0:55:23.289,0:55:30.720
ein Gerät über. Haltet euer Zuhause rein,[br]und vor allem lasst die Finger vom

0:55:30.720,0:55:35.600
Cybercrime. Andere waren besser als ihr[br]und haben es auch nicht geschafft. Bitcoin

0:55:35.600,0:55:47.050
ist eh im Keller. Also lasst es sein.[br]<i>Applaus</i>

0:55:47.050,0:55:52.069
L: Und dann bleibt uns eigentlich nur noch[br]ein ein allerletzter wichtiger Rat, und

0:55:52.069,0:56:00.180
das ist nie ohne Skimaske hacken.[br]T: Und immer auch nie ohne Ethik hacken.

0:56:00.180,0:56:08.839
L: Und bitte bitte bitte bitte nie ohne[br]Ethik hacken, den Vortrag über die

0:56:08.839,0:56:12.300
Hackerethik, auch dass ein[br]Einführungsvortrag, den gab es an Tag eins

0:56:12.300,0:56:17.730
von Frank Rieger. Ihr könnt euch auch den[br]Seiten des CCC darüber informieren, spart

0:56:17.730,0:56:22.319
euch den Ärger, arbeitet auch der[br]leuchtend glänzenden Seite der Macht und

0:56:22.319,0:56:27.310
seid gute Hacker. Macht keinen Scheiß,[br]dann aber auch keine Sorgen. Vielen Dank !

0:56:27.310,0:56:36.250
<i>Applaus</i>

0:56:36.250,0:56:41.750
T: Ich hab auch noch eine.[br]<i>Applaus</i>

0:56:41.750,0:56:43.042
T: Ist bald wieder Fasching, ne[br]<i>Applaus</i>

0:56:43.042,0:56:48.097
<i>Abspannmusik</i>

0:56:48.097,0:57:05.852
Untertitel erstellt von c3subtitles.de[br]im Jahr 2019. Mach mit und hilf uns!