1
00:00:00,000 --> 00:00:17,420
35C3 Vorspannmusik
2
00:00:17,420 --> 00:00:19,649
Herald:
Herzlich willkommen zum nächsten Talk
3
00:00:19,649 --> 00:00:22,689
"Du kannst alles hacken –
du darfst dich nur nicht erwischen lassen".
4
00:00:22,689 --> 00:00:24,590
Kleine Umfrage:
Wer von euch
5
00:00:24,590 --> 00:00:26,710
hat schonmal eine Sicherheitslücke gefunden
6
00:00:26,710 --> 00:00:27,940
und gedacht:
"Oh Scheisse, wenn ich das jetzt jemandem
7
00:00:27,940 --> 00:00:31,530
erzähle, dann stecke ich aber ganz schön
tief drin, das könnte Ärger geben"?
8
00:00:31,530 --> 00:00:34,100
Bitte Handzeichen, für wen trifft das zu?
9
00:00:34,100 --> 00:00:36,910
Zwischenruf aus dem Publikum: Kamera aus
Gelächter
10
00:00:36,910 --> 00:00:40,489
Herald: Andere Frage: Wer von euch würde
denn gern mal eine Sicherheitslücke
11
00:00:40,489 --> 00:00:45,100
finden, auch Handzeichen.
Gelächter
12
00:00:45,100 --> 00:00:48,769
Alles klar, ich erkläre euch alle hiermit
zu Betroffenen und diesen Talk für
13
00:00:48,769 --> 00:00:52,830
relevant für euch, denn viele Hackerinnen
und Hacker stehen irgendwann im Laufe
14
00:00:52,830 --> 00:00:57,249
ihrer Karriere vor dem Problem oder in der
Situation dass sie irgendwas gefunden
15
00:00:57,249 --> 00:01:01,000
haben oder irgendwo reingekommen sind,
sich irgendwo reinverlaufen haben, und
16
00:01:01,000 --> 00:01:04,709
wissen, wenn die betroffenen Leute, in
deren Architektur sie gerade drinstehen
17
00:01:04,709 --> 00:01:08,540
das mitkriegen, dann gibt's so richtig
Ärger, das wird großes Missfallen erregen.
18
00:01:08,540 --> 00:01:12,070
Und in diesem Talk geht es darum,
welche Worst-Case-Szenarien auf euch
19
00:01:12,070 --> 00:01:16,310
zukommen können, wie ihr damit umgeht, und
am aller besten, wie ihr euch gar nicht
20
00:01:16,310 --> 00:01:20,350
erst erwischen lasst. Und unsere Speaker,
Linus Neumann und Thorsten Schröder, sind
21
00:01:20,350 --> 00:01:24,290
Experten für IT-Sicherheit. Ihr kennt sie
vielleicht noch von dem PC-Wahl-Hack.
22
00:01:24,290 --> 00:01:28,800
Da gings darum, dass sie Sicherheitlücken
in der Bundestags-Wahl-Software gefunden
23
00:01:28,800 --> 00:01:32,261
haben, da gibt es eine sehr
empfehlenswerte Folge.
24
00:01:32,261 --> 00:01:35,101
Alles klar, alles Quatsch was ich
erzählt habe, ich empfehle
25
00:01:35,121 --> 00:01:37,080
euch die Folge von logbuch-netzpolitik.org
26
00:01:37,080 --> 00:01:39,920
trotzdem, die ist nämlich
hörenswert, nämlich die Nummer 228
27
00:01:39,920 --> 00:01:43,630
"Interessierte Bürger". Jetzt erstmal
einen ganz herzlichen Applaus für Linus
28
00:01:43,630 --> 00:01:50,360
Neumann und Thorsten Schröder, Viel Spass
Applaus
29
00:01:50,360 --> 00:01:54,140
Linus Neumann: Vielen Dank, dass ihr alle
da seid. Vielen Dank für das herzliche
30
00:01:54,140 --> 00:01:57,690
Willkommen. Ich fand das auch schön, dass
grad da einige von euch direkt den ersten
31
00:01:57,690 --> 00:02:01,880
OpSec fail gemacht haben und sich erstmal
gemeldet haben. Wir haben noch nie
32
00:02:01,880 --> 00:02:05,650
irgendwas gehackt, wir haben mit nichts
was zu tun. In unserem kleinen Talk soll
33
00:02:05,650 --> 00:02:10,630
es darüber gehen, über das Thema über das
hier alle reden ist Hacking. Wir sehen
34
00:02:10,630 --> 00:02:15,690
über die Jahre viele feine, junge Hacker
landen irgendwie im Knast, und es gibt
35
00:02:15,690 --> 00:02:20,441
einfach viele Risiken, die den Hacksport
begleiten, und den Genuss trüben,
36
00:02:20,441 --> 00:02:24,290
zum Beispiel sowas wie Hausdurchsuchungen,
eingetretene Türen, hohe Anwaltskosten,
37
00:02:24,290 --> 00:02:31,830
alles das muss nicht sein. Es lohnt sich
für euch vielleicht, zu überlegen, wie
38
00:02:31,830 --> 00:02:39,760
auch ihr weiterhin freie Menschen bleiben
könnt. Denn wir wissen, Hacker, das sind
39
00:02:39,760 --> 00:02:43,900
freie Menschen, so wie Künstler, die
stehen morgens auf, und wenn sie in
40
00:02:43,900 --> 00:02:48,960
Stimmung sind, dann setzen sie sich hin
und malen ihre Bilder. Und wir möchten,
41
00:02:48,960 --> 00:02:56,580
dass ihr noch viele schöne Bilder malen
könnt. Und der Weg dahin ist: OpSec.
42
00:02:56,580 --> 00:02:59,530
Und darüber wollen wir heute
mit euch reden.
43
00:02:59,530 --> 00:03:02,610
OpSec ist eigentlich
sehr einfach zusammengefasst,
44
00:03:02,610 --> 00:03:12,740
hier auch übrigens...
Schönes, schönes...
45
00:03:12,740 --> 00:03:14,480
Schönes Lehrmaterial auch wieder
46
00:03:14,480 --> 00:03:24,099
aus Russland, das scheint da die irgendwie
umzutreiben. Wir haben, fangen wir mal
47
00:03:24,099 --> 00:03:30,880
ganz einfach im ganz normalen, den ersten
Computerwurm an: Übermut tut selten gut,
48
00:03:30,880 --> 00:03:36,291
das ist eine der wichtigsten Lehren eurer
operational Security, denn Angeberei und
49
00:03:36,291 --> 00:03:41,630
Übermut bringen euch gern das ein oder
andere Problem ein. Und das wissen wir
50
00:03:41,630 --> 00:03:47,100
ungefähr seitdem es Computerwürmer
überhaupt gibt. Der erste große
51
00:03:47,100 --> 00:03:51,579
Computerwurm, der so international
unterwegs war, und die Hälfte des
52
00:03:51,579 --> 00:03:56,879
Internets lahmgelegt hat, war der Morris-
Wurm, der mehrere Schwachstellen in
53
00:03:56,879 --> 00:04:02,629
Sendmail, Finger, Remote-SH und ein paar
schwache Passwörter ausgenutzt hat, um
54
00:04:02,629 --> 00:04:07,050
sich selber zu verbreiten, war halt ein
Computerwurm. Das führte also zu einem
55
00:04:07,050 --> 00:04:12,840
Internetausfall 1988. Und ihr fragt euch
wahrscheinlich: Warum heißt der Wurm denn
56
00:04:12,840 --> 00:04:21,440
Morris-Wurm? Naja, weil sein Erfinder sehr
sehr stolz war auf seinen Wurm, und gerne
57
00:04:21,440 --> 00:04:26,120
davon erzählt hat, wie er funktioniert
hat. Und zu einem Zeitpunkt stand er wohl
58
00:04:26,120 --> 00:04:31,790
irgendwann in der Harward-Universität auf
dem Tisch, und predigte, wie sein Wurm
59
00:04:31,790 --> 00:04:36,320
funktionierte in alle möglichen Details.
Es war aber auch klar, dass die
60
00:04:36,320 --> 00:04:40,639
ursprüngliche Infektion dort stattgefunden
hat, er hat allen davon erzählt.
61
00:04:40,639 --> 00:04:45,320
Irgendwann hats jemand einem Journalisten
erzählt, er musste es dann zugeben. Er hat
62
00:04:45,320 --> 00:04:49,630
bekommen, dass der Computerwurm immerhin
seinen Namen trägt. Allerdings auch
63
00:04:49,630 --> 00:04:56,630
3 Jahre Bewährung, 400 Stunden soziale
Arbeit, und 10.000 Dollar Geldstrafe, ohne
64
00:04:56,630 --> 00:05:01,930
den eigenen Geltungsdrang wäre es ihm
unter Umständen erspart geblieben. Aber
65
00:05:01,930 --> 00:05:05,250
nicht nur bei Hackern haben wir so kleine
Probleme mit Operational Security und
66
00:05:05,250 --> 00:05:09,840
Geltungsdrang, das haben wir auch bei
Bankräubern. Und zwar haben wir hier einen
67
00:05:09,840 --> 00:05:15,160
jungen Mann, der hat eine Bank ausgeraubt.
Und was macht man so, wenn man spannendes
68
00:05:15,160 --> 00:05:19,180
erlebt hat, und gerade so das ganz große
Geld abgesahnt hat: Natürlich erstmal ein
69
00:05:19,180 --> 00:05:25,920
Selfie. Ja. Wenn das nicht reicht, kann
man auch noch ein anderes Selfie machen.
70
00:05:25,920 --> 00:05:27,520
Gelächter
71
00:05:27,520 --> 00:05:36,880
Oder die Komplizin. Und auch Essen. Und
dann gehts ganz schnell ins InstaJail. Und
72
00:05:36,880 --> 00:05:41,610
man denk, das wär jetzt so ein Einzelfall,
ne, denkt so: OK, so blöd kann ja
73
00:05:41,610 --> 00:05:46,250
eigentlich keiner sein, aber wenn man sich
so im Internet umschaut, braucht man echt
74
00:05:46,250 --> 00:05:52,869
nicht lange, um immer mehr Spezialexperten
zu finden, die solche Bilder posten. Und
75
00:05:52,869 --> 00:05:56,470
das endet auch immer gleich: Hier der
junge Mann mit den, also der muss ganz
76
00:05:56,470 --> 00:06:00,639
schreckliche Zähne haben, der hat alle
Zähne schon aus Gold jetzt, die wurden
77
00:06:00,639 --> 00:06:07,010
auch verurteilt, weil sie auf Facebook
damit angegeben haben, das sie Geld haben.
78
00:06:07,010 --> 00:06:11,899
Nun, wenn wir uns das anschauen, in den
Pionieren des Car-Hackings, da haben wir
79
00:06:11,899 --> 00:06:18,190
im Prinzip das gleich Phänomen. Man muss
dazu sagen, die ersten Unternehmungen im
80
00:06:18,190 --> 00:06:27,220
Car-Hacking waren eher so analoger Natur
und eher Brute-Force. Und die Pioniere in
81
00:06:27,220 --> 00:06:32,750
diesem Bereich waren also diese beiden
jungen Männer, die hier einen ganz großen
82
00:06:32,750 --> 00:06:38,479
Hack geleistet haben, nämlich die
Fahrerscheibe eingeschlagen, 5000 Dollar
83
00:06:38,479 --> 00:06:44,171
und ein iPad aus einem Truck geklaut
haben. Und, was macht man als erstes, wenn
84
00:06:44,171 --> 00:06:49,810
man ein iPad hat und so: Naja, erstmal in
den Burger-King gehen, weil da gibts WLAN.
85
00:06:51,494 --> 00:06:55,640
Und ein bischen mit dem iPad daddeln. Und
dann haben sie festgestellt: Ey, geil da
86
00:06:55,640 --> 00:06:59,909
kann man Videos mit machen.
87
00:06:59,909 --> 00:07:06,209
[Video wird abgespielt]
88
00:07:06,209 --> 00:07:18,900
.... This is my brother Dylan.. This....
good nights hassle
89
00:07:18,900 --> 00:07:24,639
L: Und weil sie in dieses gestohlene iPad
mit dem WLAN vom Burger King verbunden
90
00:07:24,639 --> 00:07:29,310
hatten, passierte das, was passieren
musste....
91
00:07:29,310 --> 00:07:33,950
Gelächter
92
00:07:33,950 --> 00:07:39,310
L: Und der Eigner des Fahrzeuges hat dann
93
00:07:39,310 --> 00:07:44,450
eine Woche später das Video der Polizei
übergeben, und die Polizei meinte, die
94
00:07:44,450 --> 00:07:48,021
sind ihnen auch gar nicht so unbekannt.
Und haben sich um die jungen Männer
95
00:07:48,021 --> 00:07:52,780
gekümmert.
Thorsten Schröder: Aber kommen wir mal
96
00:07:52,780 --> 00:07:58,160
zurück in die Computerhacker-Ecke, über
die wir heute eigentlich sprechen wollen,
97
00:07:58,160 --> 00:08:02,210
jetzt haben wir einen kleinen Ausflug in
die analoge Welt gemacht. Was kann denn
98
00:08:02,210 --> 00:08:09,319
alles schief gehen wenn man sich als
interessierter Surfer oder sonstwas auf
99
00:08:09,319 --> 00:08:14,659
Online-Shopping-Portalen herumtreibt.
Zunächst will man zunächst vielleicht doch
100
00:08:14,659 --> 00:08:18,950
irgendwelche Waren erwerben, dann fängt
man da an, irgendwie im Online-Shop
101
00:08:18,950 --> 00:08:24,510
rumzuklicken. Plötzlich rutscht man mit
der Maustaste aus, das passiert ja
102
00:08:24,510 --> 00:08:28,760
manchmal, dass man da vielleicht irgendwie
aus Versehen ein falsches Zeichen eingibt,
103
00:08:28,760 --> 00:08:35,578
und was hier halt wichtig ist: Wir reden
hier von einem Threat-Level, ein Level
104
00:08:35,578 --> 00:08:39,840
eines Bedrohungsszenarios für den Hacker,
also wenn ihr da irgendiwe mit dem Online-
105
00:08:39,840 --> 00:08:43,789
Shopping-Portal unterwegs seid, und da aus
Versehen auf der Maus ausrutscht, dann
106
00:08:43,789 --> 00:08:48,510
habt ihr ein gewisses Bedrohungsszenario.
Das wird natürlich ein bischen höher wenn
107
00:08:48,510 --> 00:08:51,700
ihr da aus Versehen irgendwelche komischen
Zeichen eingegeben habt,
108
00:08:51,700 --> 00:08:52,420
ihr seid da
109
00:08:52,420 --> 00:08:55,460
wahrscheinlich ohne Anonymisierungsdienste
unterwegs, weil ihr wolltet ja bloß irgendwas
110
00:08:55,460 --> 00:09:01,540
einkaufen. Und jetzt denkt ihr so: Hmm,
ich bin ja ein bischen verspielt und
111
00:09:01,540 --> 00:09:06,640
neugierig, ich mach jetzt mal Tor an oder
irgendwas, und besuch jetzt diese Webseite
112
00:09:06,640 --> 00:09:12,140
später nochmal mit einem
Anonymisierungsdienst. Und, ja, über die
113
00:09:12,140 --> 00:09:17,450
Zeit findet man dann vielleicht aus
Versehen noch ein Cross-Site-Scriping, das
114
00:09:17,450 --> 00:09:22,680
Bedrohungslevel wächst so allmählich, aber
man hat ja jetzt Tor am Start. Das
115
00:09:22,680 --> 00:09:27,881
Bedrohungs-Threat-Level wächst weiter,
wenn man jetzt vielleicht noch eine etwas
116
00:09:27,881 --> 00:09:32,140
kritischere Schwachstelle wie eine SQL-
Injection gefunden hat. Und es wächst
117
00:09:32,140 --> 00:09:37,850
weiter, wenn man vielleicht auch noch eine
Remote-Code-Execution gefunden hat, dann
118
00:09:37,850 --> 00:09:41,530
sind wir schon recht hoch. Also wenn man
jetzt erwischt wird, wäre es relativ
119
00:09:41,530 --> 00:09:45,340
ungünstig, weil man hat ja auch bewiesen,
dass man direkt nicht nach einem Cross-
120
00:09:45,340 --> 00:09:49,310
Site-Scripting oder irgendeiner anderen
banalen Schwachstelle direkt mal zu dem
121
00:09:49,310 --> 00:09:53,831
Portal gegangen ist und Bescheid gesagt
hat. Na ja, was passiert dann, wenn man da
122
00:09:53,831 --> 00:09:57,940
weiter stöbert. Je nachdem was man da für
so Ziele hat. Vielleicht findet man auch
123
00:09:57,940 --> 00:10:03,140
noch ein paar Kreditkarten. Jetzt sind wir
schon recht hoch in unserem Threat-Level,
124
00:10:03,140 --> 00:10:10,000
und das geht rapide runter weil das
Threat-Level ist jetzt wieder... Es wird
125
00:10:10,000 --> 00:10:14,880
entspannter. Man braucht jetzt keine Angst
mehr haben, dass man irgendwann nochmal
126
00:10:14,880 --> 00:10:20,550
für diesen Hack da erwischt wird. Ja,
warum wird da überhaupt jemand erwischt?
127
00:10:20,550 --> 00:10:26,080
Weil ich an die OpSec erst viel zu spät
gedacht habe. In dem Moment, in dem ich
128
00:10:26,080 --> 00:10:30,320
auf der Maus ausgerutscht bin, hätte ich
im Grunde genommen schon einen
129
00:10:30,320 --> 00:10:35,450
Anonymisierungsdienst, irgendnen Tor-
Service oder so, am Start haben müssen,
130
00:10:35,450 --> 00:10:40,920
denn in dem Moment, wo irgendwann der
Betreiber des Portals mitkriegt, dass da
131
00:10:40,920 --> 00:10:47,669
was passiert ist, werden die einfach
gucken: Alles klar, wir verfolgen das
132
00:10:47,669 --> 00:10:51,320
zurück, ist eine Tor-Session, schlecht,
aber irgendwann stossen sie auf diesen Fall,
133
00:10:51,320 --> 00:10:56,380
wo man halt "Ups" sagt. Und dann werden
sie dich halt finden.
134
00:10:57,700 --> 00:11:01,990
L: Es ist eigentlich auch regelmäßig
tatsächlich so, dass man irgendwie Leute
135
00:11:01,990 --> 00:11:06,230
irgendwie sagen: Ach, guck mal hier, da
hab ich mal was entdeckt, und jetzt geh
136
00:11:06,230 --> 00:11:10,650
ich mal auf Tor. Ne Leute, ist zu spät,
müsst ihr vorher machen.
137
00:11:10,650 --> 00:11:14,640
T: Tschuldigung, wenn euch sowas was
auffällt, ihr könnt euch natürlich mal
138
00:11:14,640 --> 00:11:18,149
überlegen, wie haben ja jetzt die
Datenschutzgrundverordnung, dann könntet
139
00:11:18,149 --> 00:11:22,450
ihr mal schauen was die so für
Datenschutzrichtlinien haben, also manche
140
00:11:22,450 --> 00:11:25,960
Unternehmen geben ja dann auch Auskunft
daüber, wie lange die Logfiles zum
141
00:11:25,960 --> 00:11:28,110
Beispiel aufbewahrt werden, und es soll
ja....
142
00:11:28,110 --> 00:11:30,750
L: Vielleicht habt ihr ja ein Recht auf
Vergessen werden
143
00:11:30,750 --> 00:11:34,010
T: Ja, es gibt ja Unternehmen, die
speichern ihre Logdaten nur 7 Tage, dann
144
00:11:34,010 --> 00:11:36,760
muss man einfach nochmal ne Woche warten
vielleicht.
145
00:11:36,760 --> 00:11:42,700
L: Also es gilt allgemeine Vorsicht bei
Datenreisen, so auch bei unserem Freund
146
00:11:42,700 --> 00:11:47,599
Alberto aus Uruguay, der mit seiner
Freundin irgendwie nichts ahnend am
147
00:11:47,599 --> 00:11:51,540
Nachmittag am Computer saß, und sie gab
irgendwelche Gesundheitsdaten in irgend so
148
00:11:51,540 --> 00:11:57,600
eine Cloud ein, weil: modern. Und Alberto
sagte so: Ah, Gesunderheitsdaten, zeig mal
149
00:11:57,600 --> 00:12:01,829
her. admin admin, oh!
Gelächter
150
00:12:01,829 --> 00:12:05,720
T: Ups
L: Ups. Da war das Ups. Und er schrieb
151
00:12:05,720 --> 00:12:11,960
dann eine Mail an das CERT Uruguay, also
die zentrale Meldestelle des Landes, weil
152
00:12:11,960 --> 00:12:15,830
es sich ja hier um sensible Patientendaten
handelte, und Gesundheitsdaten, und er
153
00:12:15,830 --> 00:12:19,760
bekam innerhalb von Stunden eine Antwort
von dem Leiter des CERT, also das war ganz
154
00:12:19,760 --> 00:12:23,030
klar, wir haben hier ein ernst zu
nehmenden Fall, der auch eben ernst
155
00:12:23,030 --> 00:12:26,490
genommen wurde.
T: Dieser "Ups" Fall ist vielleicht nicht
156
00:12:26,490 --> 00:12:30,340
ganz so dramatisch, möchte man meinen,
weil der Hacker ja nichts böses vor hatte,
157
00:12:30,340 --> 00:12:33,500
der wollte gar nicht weiterstöbern, der
hat einfach gesagt so: "Uh, denen muss ich
158
00:12:33,500 --> 00:12:36,150
schnell Bescheid sagen".
L: Für den war der Fall auch erledigt, der
159
00:12:36,150 --> 00:12:39,839
hatte das ja jetzt dem CERT gemeldet, das
CERT hat sich drum gekümmert, hat die
160
00:12:39,839 --> 00:12:43,870
Verantwortung übernommen, die kümmern sich
jetzt drum. Schalten die Plattform ab,
161
00:12:43,870 --> 00:12:48,000
oder was auch immer. Alberto geht seinem
Leben ganz normal weiter, bis er ein Jahr
162
00:12:48,000 --> 00:12:51,389
später feststellt: Oh, ahhh, das
admin:admin haben sie inzwischen
163
00:12:51,389 --> 00:12:54,500
geschlossen, das ist schonmal gut, aber
jetzt haben sie unauthenticated file
164
00:12:54,500 --> 00:13:00,100
access, auch nicht so gut, melde ich doch
am besten einmal dem CERT. Und wieder
165
00:13:00,100 --> 00:13:06,830
vergeht einige lange Zeit, in diesem Fall
um die zwei Jahre Schweigen im Walde.
166
00:13:06,830 --> 00:13:11,120
Er hatte die ganzen Sachen selbst längst
vergessen, und dann bekommt das betroffene
167
00:13:11,120 --> 00:13:16,730
Unternehmen mit den Gesundheitsdaten
plötzlich eine E-Mail, von irgendwem:
168
00:13:16,730 --> 00:13:21,070
Gib mal Bitcoin.
Gelächter
169
00:13:21,070 --> 00:13:26,570
L: Der wollte "gibt mal Bitcoin", weil der
Angreifer oder der Erpresser hier sagte,
170
00:13:26,570 --> 00:13:31,040
er sei im Besitz dieser Gesundheitsdaten,
die diese Plattform geleaked hat. Und wenn
171
00:13:31,040 --> 00:13:36,660
jetzt nicht 15 Bitcoin innerhalb von
$Zeitraum überwiesen würden, dann würde er
172
00:13:36,660 --> 00:13:43,690
an die Presse berichten: Alle Menschen in
diesem Datensatz, die HIV-infiziert sind.
173
00:13:43,690 --> 00:13:46,750
T: Was die Presse bestimmt total
interessiert hätte.
174
00:13:46,750 --> 00:13:50,579
L: Ich weiß nicht, ob das die Presse
interessiert hätte, wen es auf jeden Fall
175
00:13:50,579 --> 00:13:54,850
interessiert hat, ist die Polizei. An die
Polizei müsst ihr übrigens immer denken...
176
00:13:54,850 --> 00:13:58,689
T: Die erkennt man an diesen
Kleidungsstücken hier
177
00:13:58,689 --> 00:14:03,580
L: Die erkennt man an diesen Hüten...
Gelächter und Applaus
178
00:14:03,580 --> 00:14:10,053
L: Die haben vorne auch so einen Stern
drauf. Nur damit ihr die nicht vergesst.
179
00:14:10,053 --> 00:14:14,029
So, irgendwer will also Bitcoin. Es
passiert wieder längere Zeit nichts, bis
180
00:14:14,029 --> 00:14:19,740
auf einmal bei Alberto die Tür eingetreten
wird. Es gibt eine Hausdurchsuchung,
181
00:14:19,740 --> 00:14:27,640
wieder mit Brute-Force. Und, jetzt
passiert folgendes: Die Polizei traut
182
00:14:27,640 --> 00:14:32,410
ihren Augen nicht, als sie diese Wohnung
betritt, und findet so viele spannende
183
00:14:32,410 --> 00:14:38,970
Sachen, dass sie nachher auf einem eigenen
Pressetermin ihre Fundstücke so bischen
184
00:14:38,970 --> 00:14:44,500
drapiert, und damit angibt. Sah nämlich so
aus: Da hatten wir also einen ganzen
185
00:14:44,500 --> 00:14:49,829
Stapel Kreditkarten und Blanko-
Kreditkarten. Blanko-Kreditkarten machen
186
00:14:49,829 --> 00:14:52,760
immer gar nicht so einen guten Eindruck.
Gelächter
187
00:14:52,760 --> 00:14:57,519
T: Meistens nicht.
L: Sowohl im Supermarkt, als auch im
188
00:14:57,519 --> 00:15:03,470
Schrank wenn ihr die Polizei vorbeischaut.
Außerdem finden sie Kartenlesegeräte und
189
00:15:03,470 --> 00:15:08,519
ein paar Wallet-Fails.
T: Allo nedos
190
00:15:08,519 --> 00:15:14,540
L: Haben sie dann alles schön drapiert.
Kartenlesegeräte, Zahlungsmittel und so.
191
00:15:14,540 --> 00:15:17,870
T: Ist dann halt die Frage, ob die Polizei
an OpSec gedacht hat, und die
192
00:15:17,870 --> 00:15:20,910
Kreditkartennummern vielleicht auch noch
gültig waren, als sie die Fotos
193
00:15:20,910 --> 00:15:24,830
veröffentlicht haben. Man weiß es nicht,
man wird es auch nicht herausfinden.
194
00:15:24,830 --> 00:15:28,399
L: Und sie finden natürlich, was man bei
jedem Hacker finden muss, bei jedem
195
00:15:28,399 --> 00:15:32,250
Kriminellen, was braucht man da?
Murmeln im Raum
196
00:15:32,250 --> 00:15:36,419
L: Anonymous-Maske, klar
Gelächter
197
00:15:36,419 --> 00:15:40,520
L: Anonymous-Maske drapieren die schön.
Wir haben auch noch eine dabei.. Nein, wir
198
00:15:40,520 --> 00:15:51,420
haben keine Anonymous-Maske. Paar
strategische Bargeld-Reserven. Und, das
199
00:15:51,420 --> 00:15:54,300
war natürlich sehr verräterisch, sie
finden Bitcoin.
200
00:15:54,300 --> 00:16:03,600
Gelächter und Applaus
L: Und die wollte der Erpresser ja haben.
201
00:16:03,600 --> 00:16:07,949
T: Dann ist der Fall wohl abgeschlossen.
L: Ein Bitcoin und ein Bitcoin
202
00:16:07,949 --> 00:16:17,430
zusammengezählt. Verhör, ein paar
Drohungen, und in Anbetracht der völlig
203
00:16:17,430 --> 00:16:22,960
inkompetenten Polizei flüchtet sich
Alberto in das falsche Geständnis, in der
204
00:16:22,960 --> 00:16:27,160
Hoffnung, dass er im weiteren Verlauf des
Verfahrens mit kompetenten Personen in
205
00:16:27,160 --> 00:16:34,649
Kontakt kommt. Dies Hoffnung erfüllt sich
nicht, er ist erstmal im weiteren Verlauf
206
00:16:34,649 --> 00:16:42,910
8 Monate im Knast, und gerade nur auf
Kaution raus. Er ist absolut sicher und
207
00:16:42,910 --> 00:16:46,670
ehrlich, dass er das nicht getan hat.
Hätte er es getan, wäre er auch ziemlich
208
00:16:46,670 --> 00:16:50,481
dämlich, nachdem du zwei Mal responsible
Disclosure gemacht hast, schickst du keine
209
00:16:50,481 --> 00:16:58,699
Erpresser-E-Mail mehr. Vor allem nicht
eine in der du sagst "Ich möchte 15
210
00:16:58,699 --> 00:17:04,400
Bitcoin auf folgendes Konto..." ohne die
Kontonummer anzugeben.
211
00:17:04,400 --> 00:17:11,630
Gelächter und Applaus
L: Da wir jetzt ein paar Scherze über
212
00:17:11,630 --> 00:17:15,368
Alberto gemacht haben, haben wir ihn
einfach mal kontaktiert, und Alberto hat
213
00:17:15,368 --> 00:17:19,829
auch noch ein paar Sachen zu seinem Fall
zu sagen, und wir begrüßen ihn bei uns auf
214
00:17:19,829 --> 00:17:22,409
der Videoleinwand
Applaus
215
00:17:22,409 --> 00:17:24,179
[Video] Hello Germany. ....
......
216
00:18:11,339 --> 00:18:20,620
Applaus
L: Also das Gerät, mit dem er da kurz
217
00:18:20,620 --> 00:18:25,899
hantiert hat, was irgendwie ein bischen so
aussah wie ein GSM-Jammer, das ist ein
218
00:18:25,899 --> 00:18:31,059
ganz bedauerliches Missverständnis. Das
hatte die Polizei nämlich nicht
219
00:18:31,059 --> 00:18:36,659
mitgenommen bei der Durchsuchung, ebenso
wie 30 Festplatten, und er bekommt jetzt
220
00:18:36,659 --> 00:18:40,730
seine Geräte deshalb nicht zurück, weil
die Polizei sagt, das würde zu lange
221
00:18:40,730 --> 00:18:49,159
dauern, den ganzen Kram anzuschauen. Aber
wir lernen aus dieser Sache: Es hat schon
222
00:18:49,159 --> 00:18:55,689
irgendwie Sinn, 127.0.0.1 als Ort der
vorbildlichen Ordnung, Sicherheit,
223
00:18:55,689 --> 00:19:00,210
Sauberkeit, und Disziplin zu pflegen, und
wenn ihr euch mal überlegt, wie das
224
00:19:00,210 --> 00:19:03,600
aussieht wenn bei euch mal die Tür
aufgemacht wird und ein paar Geräte
225
00:19:03,600 --> 00:19:07,949
rausgetragen werden, in den falschen Augen
kann das alle ganz komisch aussehen. Und
226
00:19:07,949 --> 00:19:12,130
auch da fängt OpSec schon an.
T: Nämlich viel früher, bevor ihr den
227
00:19:12,130 --> 00:19:19,820
Browser in die Hand nehmt, oder
irgendwelche Logins ausprobiert. Ja, was
228
00:19:19,820 --> 00:19:24,099
gibt es denn noch auf einer technischen
Ebene, was uns verraten kann. Jetzt haben
229
00:19:24,099 --> 00:19:28,149
wir sehr viel darüber gesprochen, dass
Hacker sich selbst in die Pfanne hauen,
230
00:19:28,149 --> 00:19:31,830
weil sie zu geschwätzig sind, weil sie
vielleicht sogar zu ehrlich sind, und
231
00:19:31,830 --> 00:19:37,460
irgendwelche Lücken melden. Was gibt es
wirklich für Bedrohungsszenarien, die den
232
00:19:37,460 --> 00:19:43,600
Hackern gefährlich werden können: Das
sind, man könnte sagen das sind Metadaten,
233
00:19:43,600 --> 00:19:48,509
die ja auch ein Stückweit so ähnlich sind
wie Fingerabdrücke, wie auf diesem
234
00:19:48,509 --> 00:19:56,260
Metadaten-Aufkleber. Es gibt heute kaum
noch irgendwelche Dinge, die keine
235
00:19:56,260 --> 00:20:02,650
Metadaten hinterlassen. Die Frage, wie man
Metadaten vermeidet, oder was mit
236
00:20:02,650 --> 00:20:06,219
Metadaten angestellt werden kann, ist
immer sehr stark abhängig vom Kontext,
237
00:20:06,219 --> 00:20:09,560
also auch irgendwelche Ermittler müssen
sich natürlich immer den Kontext mit
238
00:20:09,560 --> 00:20:16,940
anschauen, wo Metadaten anfallen. Deshalb
ist natürlich einer der wichtigsten
239
00:20:16,940 --> 00:20:21,100
Punkte, über die man sich bevor irgendwie
auch nur irgendwas anhackt, muss man sich
240
00:20:21,100 --> 00:20:24,880
mal darüber im Klaren sein, was
hinterlasse ich eigentlich für Spuren. Und
241
00:20:24,880 --> 00:20:31,169
das ist ist so der Teil, wo wir ein
bischen versuchen wollen, den jüngeren
242
00:20:31,169 --> 00:20:35,149
Hackern oder Leute, die halt jetzt
anfangen, auch mal Sachen zu hacken, mal
243
00:20:35,149 --> 00:20:41,850
ein paar Ideen mit auf den Weg geben, sich
Gedanken darüber zu machen, was benutze
244
00:20:41,850 --> 00:20:46,049
ich für Geräte, was benutze ich für
Software, was für Spuren hinterlasse ich.
245
00:20:46,049 --> 00:20:49,859
Selbst wenn ich jetzt gerade nicht am
Rechner sitze, hinterlasse ich ja irgendwo
246
00:20:49,859 --> 00:20:53,661
Spuren, weil ich ein Smartphone mit mir
rumschleppe. Und das ist einfach wichtig,
247
00:20:53,661 --> 00:20:57,799
einfach mal herauszufinden, wo hinterlasse
ich eigentlich Logs. Was sind Identitäten,
248
00:20:57,799 --> 00:21:03,120
also wenn ich auch unter Pseudonym im Netz
unterwegs bin, und vielleicht sogar noch
249
00:21:03,120 --> 00:21:06,999
Anonymisierungsdienste verwende, und
eigentlich die technische Voraussetzung
250
00:21:06,999 --> 00:21:11,729
dafür geschaffen ist, dass ich auch anonym
bleibe, benutzt man als Hacker, oder als
251
00:21:11,729 --> 00:21:16,439
Gruppe, vielleicht auch einfach
Pseudonyme, oder man verwendet vielleicht
252
00:21:16,439 --> 00:21:20,649
irgendwelche kryptografischen Keys
mehrfach auf verschiedenen Systemen
253
00:21:20,649 --> 00:21:23,659
L: Das ist immer sehr schlecht,
kryptografische Keys gibt es halt nur
254
00:21:23,659 --> 00:21:26,369
einmal, das ist ja die Idee bei Key
T: Das ist ja der Sinn der Sache. Wenn ich
255
00:21:26,369 --> 00:21:30,199
aber meine VMWares kopiere, und dann
vielleicht irgendwelche Hidden Services
256
00:21:30,199 --> 00:21:35,389
aufmache und da Rückschlüsse auf die Keys
zu ziehen sind. Oder was ich verschiedene
257
00:21:35,389 --> 00:21:40,769
Hostnamen dann auf ein und den selben Key,
SSH-Key-oder was auch immer, zurückführen.
258
00:21:40,769 --> 00:21:46,970
L: Logs übrigens auch so ein Klassiker,
immer wieder Strategen, die Dateien dann
259
00:21:46,970 --> 00:21:52,349
auf Truecrypt Volumes vorhalten, weil sie
gehört haben, dass das ja dann besser ist,
260
00:21:52,349 --> 00:21:56,410
und dann in ihrem Betriebssystem aber das
Logging anhaben, mit welchem Player und
261
00:21:56,410 --> 00:22:00,229
Viewer sie welche Dateien geöffnet haben,
so dass dann auf der unverschlüsselten
262
00:22:00,229 --> 00:22:05,019
Partition des Betriebssystems schön noch
draufsteht, welche Videos und Dateien sich
263
00:22:05,019 --> 00:22:07,519
vielleicht in den verschlüsselten
Bereichen befinden.
264
00:22:07,519 --> 00:22:11,379
T: Ja, und da so, dieses Feature, für die
meisten Leute ist das halt ein Feature,
265
00:22:11,379 --> 00:22:15,009
die wollen halt ihre recently used Apps
oder was auch immer schön im Zugriff
266
00:22:15,009 --> 00:22:19,519
haben, damit sie weniger Tipp- und
Klickarbeit haben, könnte aber euch das
267
00:22:19,519 --> 00:22:23,170
Genick brechen, wenn ihr dieses
Betriebssystem einfach nutzen wollt, um
268
00:22:23,170 --> 00:22:28,929
einfach nur mal eben so rumzuhacken.
Wichtig ist halt hier, so können
269
00:22:28,929 --> 00:22:32,339
irgendwelche Ermittler oder Leute, die
euch hinterher recherchieren, Identitäten
270
00:22:32,339 --> 00:22:36,369
über euch erstellen, also über das, was
ihr da gerade, unter welchem Pseudonym
271
00:22:36,369 --> 00:22:39,659
auch immer ihr da unterwegs seid. Die
können Profile anlegen, die können euren
272
00:22:39,659 --> 00:22:42,310
Coding-Stil analysieren, eure
Rechtschreibung wenn ihr irgendwelche
273
00:22:42,310 --> 00:22:45,989
Texte hinterlasst, oder euch in
irgendwelchen Foren anonym oder unter
274
00:22:45,989 --> 00:22:52,009
Pseudonym mit irgendwelchen Sachen
brüstet, die Leute, die sich die Rechner,
275
00:22:52,009 --> 00:22:56,249
die Server anschauen, die hops genommen
wurden, die schauen sich halt auch die
276
00:22:56,249 --> 00:23:00,190
Bash-History an, wenn ihr die liegen
lasst, dann gucken die halt, wie geht ihr
277
00:23:00,190 --> 00:23:03,540
mit so einer Konsole um, habt ihr Ahnung,
darauf kann man schliessen wie viele,
278
00:23:03,540 --> 00:23:07,249
wieviel Erfahrung ihr im Umgang mit dem
Betriebssystem habt, und so weiter. Das
279
00:23:07,249 --> 00:23:10,510
sind alles Sachen, auf die müsst ihr
achten, die müssen beseitigt werden, und
280
00:23:10,510 --> 00:23:14,820
auch der Coding-Stil, wenn ihr irgendwo,
kann ja durchaus sein, dass ihr meint, ihr
281
00:23:14,820 --> 00:23:18,859
müsst eine Funktionserweiterung im Kernel
hinterlassen, der Code wird später
282
00:23:18,859 --> 00:23:24,879
analysiert, und, es gibt Software, die tut
das, also so wie man Plagiate erkennt. Da
283
00:23:24,879 --> 00:23:28,850
gabs glaube ich vor zwei Jahren mal auch
einen Kongress-Talk darüber, wie man
284
00:23:28,850 --> 00:23:34,259
anhand von Binary-Code quasi Rückschlüsse
auf den ursprünglichen Autor ziehen kann,
285
00:23:34,259 --> 00:23:38,080
so dass man eben, Malware beispielweise
attributieren kann, oder leichter
286
00:23:38,080 --> 00:23:41,869
attributieren kann. Wie auch immer, es
gibt unglaublich viele Dinge, auf die man
287
00:23:41,869 --> 00:23:47,059
achten muss, und ihr müsst im Grunde
genommen selber rausfinden, mit was für
288
00:23:47,059 --> 00:23:51,330
Werkzeugen hantiere ich hier eigentlich,
und was öffnen die für Seitenkanäle. Was
289
00:23:51,330 --> 00:23:55,419
für Tracking und Telemetrie gibt es dort,
und wie kann ich es möglicherweise
290
00:23:55,419 --> 00:24:02,760
abschalten. Es gibt irgendwie die Rules of
the Internet von Anonymous
291
00:24:02,760 --> 00:24:06,999
L: ... von denen inzwischen keiner mehr
anonymous ist, aber dazu kommen wir
292
00:24:06,999 --> 00:24:10,259
noch...
T: Die haben halt irgendwie schöne Regeln
293
00:24:10,259 --> 00:24:15,229
aufgestellt, "Tits or get the fuck out"
lautet eine, und das ist halt genau eine
294
00:24:15,229 --> 00:24:20,479
Regel, für die, die anonym bleiben
wollten... Übrigens, das ist die Nummer
295
00:24:20,479 --> 00:24:27,090
falsch, aber ist egal... Ja, hier kommen
wir zu einem schönen Fail eines Hackers
296
00:24:27,090 --> 00:24:34,139
mit dem Namen w0rmer, der hatte nämlich
ein Foto seiner... der Brüste seiner
297
00:24:34,139 --> 00:24:41,830
Freundin veröffentlicht, und war er ganz
stolz drauf "Tits or get the fuck out"
298
00:24:41,830 --> 00:24:45,269
dachten sich auch die Herren von der
Polizei, denn in dem...
299
00:24:45,269 --> 00:24:50,760
L: In dem von iPhone aufgenommenen Bild
war die GPS-Metadaten von dem Zuhause der
300
00:24:50,760 --> 00:24:52,779
Fotografierten
T: Dumm gelaufen...
301
00:24:52,779 --> 00:24:59,649
L: Und deswegen kriegt w0rmer von uns den
Mario Barth Award für den überflüssigsten
302
00:24:59,649 --> 00:25:04,639
OpSec-Fail
Applaus
303
00:25:04,639 --> 00:25:14,820
T: Kennt ihr? Kennta kennta!
L: Fragen sich natürlich, wie geht denn
304
00:25:14,820 --> 00:25:19,859
überhaupt Anonymität im Internet, wenn
schon Anonymous das nicht hinkriegt. Wir
305
00:25:19,859 --> 00:25:25,729
wollen nicht entdeckt werden. Problem:
Unsere IP-Adresse verrät unsere Herkunft.
306
00:25:25,729 --> 00:25:30,719
Das heißt, wir suchen nach etwas, was
unsere IP-Adresse verschleiert, und wenn
307
00:25:30,719 --> 00:25:33,620
wir das bei Google eingeben, landen wir…
308
00:25:33,620 --> 00:25:39,969
T: ... bei VPN-Anbietern, das ist so das
erste, was man findet. Du willst anonym im
309
00:25:39,969 --> 00:25:45,809
Internet unterwegs sein? Dann benutze halt
ein VPN, wir auch oftmals als Ratschlag
310
00:25:45,809 --> 00:25:52,259
nahegelegt. Nagut, da benutzen wir also
jetzt einen VPN-Provider, mit dem
311
00:25:52,259 --> 00:25:55,720
verbinden wir uns, das wird dann
wahrscheinlich eine OpenVPN- oder was auch
312
00:25:55,720 --> 00:25:59,949
immer Connection sein, die dafür sorgt,
dass unsere ursprüngliche IP-Adresse
313
00:25:59,949 --> 00:26:03,929
verschleiert wird, so dass niemand auf
Serverseite quasi Rückschlüsse auf uns
314
00:26:03,929 --> 00:26:08,149
direkt ziehen kann. Alles, was wir an
Traffic ins Internet senden, geht also
315
00:26:08,149 --> 00:26:15,001
über dieses VPN, und von da aus zu unserem
Angriffsziel. Das ist hier eine böse
316
00:26:15,001 --> 00:26:20,129
Firma, die hier jetzt angehackt wird. Und
die denkt sich so: "Whoa, was ist denn
317
00:26:20,129 --> 00:26:29,399
hier los, komischer Traffic, ah, das ist
so ein VPN-Endpunkt". Und was haben wir
318
00:26:29,399 --> 00:26:34,719
jetzt so davon, also wissen wir jetzt,
sind wir jetzt sicher? Wir treffen
319
00:26:34,719 --> 00:26:40,100
irgendeine Annahme, nämlich die Annahme,
dass der VPN-Provider die Klappe hält. Und
320
00:26:40,100 --> 00:26:46,140
dem glauben wir, dem vertrauen wir, obwohl
wir den noch nie gesehen haben. Aber
321
00:26:46,140 --> 00:26:52,070
eigentlich ist ja der Sinn, dass wir
niemandem vertrauen müssen/wollen, wir
322
00:26:52,070 --> 00:26:57,929
wollen niemandem vertrauen, weil was
passiert bei so einem VPN-Anbieter, wir
323
00:26:57,929 --> 00:27:02,039
haben da einen Account, wir bezahlen da
möglicherweise für, warum sollte so ein
324
00:27:02,039 --> 00:27:07,809
VPN-Anbieter sein VPN für lau anbieten.
Also, da liegt im Zweifelsfall eine
325
00:27:07,809 --> 00:27:13,100
E-Mail-Adresse von uns, da liegen unsere
Kreditkartendaten oder Bitcoin-Wallet oder
326
00:27:13,100 --> 00:27:18,910
was auch immer. Es gibt möglicherweise
Logs, aber wissen nichts davon. Vielleicht
327
00:27:18,910 --> 00:27:24,800
hat der VPN-Provider beim nächsten
Betriebssystemupdate eine Logging-Option
328
00:27:24,800 --> 00:27:28,749
an, die er vorher nicht an hatte, und so
weiter. Also es kann ganz viel passieren,
329
00:27:28,749 --> 00:27:34,119
das kann halt auch eine Quellen-TKÜ bei
diesem Anbieter geben, und wir wollen das
330
00:27:34,119 --> 00:27:37,140
aber nicht, wir wollen niemandem
vertrauen. Also ...
331
00:27:37,140 --> 00:27:41,849
L: ... fangen wir nochmal von vorne an.
Bei dem Fall ist es halt schief gegangen,
332
00:27:41,849 --> 00:27:45,169
wir müssen also irgendwie einen Weg
finden, wo wir nicht darauf angewiesen
333
00:27:45,169 --> 00:27:48,139
sind, anderen zu vertrauen. Das heißt
nicht, dass wir denen nicht vertrauen
334
00:27:48,139 --> 00:27:53,099
können, es ist heißt nur, dass wir es
nicht wollen. Aber, wir brauchen auf jeden
335
00:27:53,099 --> 00:27:56,410
Fall erstmal ein anderes Angriffsziel, ich
würde sagen wir nehmen einfach mal
336
00:27:56,410 --> 00:28:07,170
irgendeine Alternative
Gelächter und Applaus
337
00:28:07,170 --> 00:28:11,400
L: Und dieses Mal nutzen wir Tor. Habt ihr
bestimmt schonmal von gehört, Tor ist
338
00:28:11,400 --> 00:28:15,210
eigentlich relativ einfach. Euer
Datentraffic geht mehrmals über
339
00:28:15,210 --> 00:28:20,369
verschiedene Stationen im Internet und ist
mehrmals verschlüsselt. Ihr sendet also an
340
00:28:20,369 --> 00:28:24,479
einen sogenannten Tor Entry erstmal einen
mehrfach verschlüsselten... euren mehrfach
341
00:28:24,479 --> 00:28:28,880
verschlüsselten Traffic und dieser Tor
Entry, der weiß ja jetzt wer ihr seid, der
342
00:28:28,880 --> 00:28:34,029
weiß aber sieht aber nur in der an ihn
verschlüsselten Botschaft, dass die, dass
343
00:28:34,029 --> 00:28:38,600
er die weitergeben soll an einen nächste
Node im Tor Netz, in diesem Fall die
344
00:28:38,600 --> 00:28:42,409
Middle-Node, und die Middle-Node gibt das
vielleicht noch an andere Middle-Nodes
345
00:28:42,409 --> 00:28:46,179
weiter, das wurde von euch vorher
festgelegt, bis ihr dann irgendwann beim
346
00:28:46,179 --> 00:28:52,619
Tor Exit seid, und der Tor Exit macht dann
"hacke die hack hack". Und wenn jetzt
347
00:28:52,619 --> 00:28:57,769
unser Angriffsziel schaut "was ist denn
los", da weiß der Tor Exit zwar "Ja, der
348
00:28:57,769 --> 00:29:02,630
Traffic der kam wohl von mir, aber ich
habe keine Ahnung wo der her kommt, die
349
00:29:02,630 --> 00:29:07,119
Middle-Node weiß eh nix, und der Tor Entry
weiß "Ja OK, der weiß zwar wer ihr seid,
350
00:29:07,119 --> 00:29:11,470
aber er hat keine Ahnung, welchen weiteren
Verlauf die IP-Pakete und Datenpakete, die
351
00:29:11,470 --> 00:29:16,589
ihr geschickt habt, gegangen sind. Da seid
ihr jetzt schon mal besser dran und müsst
352
00:29:16,589 --> 00:29:21,649
nicht so vielen Leuten vertrauen, weil ihr
... weil sie es einfach nicht wissen
353
00:29:21,649 --> 00:29:28,400
können. Es sei denn, ihr habt es mit einem
globalen Angreifer zu tun, dann seid ihr
354
00:29:28,400 --> 00:29:34,539
natürlich etwas schlechter dran, aber so
für die kleine Datenreise kann man hier
355
00:29:34,539 --> 00:29:41,800
auf jeden Fall noch ohne Reisewarnung auf
die Reise gehen. Es sei denn, man ist zu
356
00:29:41,800 --> 00:29:44,699
blöd...
T: Jetzt haben wir quasi die technische
357
00:29:44,699 --> 00:29:49,209
Voraussetzungen dafür, uns relativ anonym
im Internet zu bewegen. Wir brauchen
358
00:29:49,209 --> 00:29:53,129
niemanden vertrauen und so weiter. Aber
jetzt kommt halt so die eigene Intelligenz
359
00:29:53,129 --> 00:29:55,799
ins Spiel.
L: Das ist eigentlich erst das Level, an
360
00:29:55,799 --> 00:29:59,340
dem wir Operational Security brauchen,
vorher brauchen wir gar nicht erst
361
00:29:59,340 --> 00:30:05,869
anzufangen mit OpSec. Dachte sich auch ein
Student der Harvard University, der
362
00:30:05,869 --> 00:30:09,709
irgendwie ein bisschen nicht gut
vorbereitet war für die Prüfung die an dem
363
00:30:09,709 --> 00:30:16,499
Tag anstand. Und ihr kennt das, was macht
man, man überlegt sich so "Wie könnte ich
364
00:30:16,499 --> 00:30:20,889
jetzt diese Prüfung noch zum ausfallen
bringen". Da gibt es eigentlich relativ
365
00:30:20,889 --> 00:30:25,919
wenig Optionen, eine die aber immer ganz
gut funktioniert ist eine Bombendrohung.
366
00:30:25,919 --> 00:30:29,589
Wer kennt das nicht.
Gelächter
367
00:30:29,589 --> 00:30:34,500
L: Und hier, Harvard University Stratege
sagt: "Ich habe ja gelernt, wie das mit
368
00:30:34,500 --> 00:30:39,919
der Anonymität im Internet ist, ich
benutze Tor". Und er schickt seine
369
00:30:39,919 --> 00:30:43,259
Erpresser E-Mails, in denen steht "Ich
habe eine Bombe da da da oder da
370
00:30:43,259 --> 00:30:47,070
positioniert". Einer davon der Räume in
dem er die Klausur schreibt um auch ganz
371
00:30:47,070 --> 00:30:51,149
sicher zu gehen, dass auf jeden Fall der
geräumt wird, wenn schon nicht die ganze
372
00:30:51,149 --> 00:30:57,330
Uni. Datenpaket kommt an, und was sagt die
Harward Universität, die ruft natürlich
373
00:30:57,330 --> 00:31:02,919
die Polizei. Lalülala. Die Polizei sagt
"Ach guck mal hier, ist über Tor gekommen,
374
00:31:02,919 --> 00:31:10,000
liebes NOC, schau doch mal bitte kurz ob
irgendjemand von den Studenten hier in dem
375
00:31:10,000 --> 00:31:14,869
fraglichen Zeitpunkt Tor genutzt hat". Und
in dem Uni Netzwerk haben die sich
376
00:31:14,869 --> 00:31:20,039
natürlich alle namentlich anmelden müssen.
Und da gab es dann eine kostenlose Fahrt
377
00:31:20,039 --> 00:31:24,289
im Polizeiauto, weil wir hier eine
wunderschöne Anonymisierungs technologie
378
00:31:24,289 --> 00:31:29,129
gehabt hätten, wenn wir uns nicht vorher
angemeldet hätten, und nur für den genau
379
00:31:29,129 --> 00:31:33,119
den kleinen Zeitraum Tor genutzt haben, in
dem genau diese Erpressungs-E-Mails bei
380
00:31:33,119 --> 00:31:38,899
der Uni ankamen. Aber wir bleiben ein
bisschen bei Anonymisierungsdiensten, was
381
00:31:38,899 --> 00:31:45,999
ja auch insbesondere in der Öfentlichkeit
sehr viel die Menschen bewegt: Hidden
382
00:31:45,999 --> 00:31:50,719
Services. Wir wollen also jetzt das ganze
Anonymisierungsnetzwerk umdrehen, wir
383
00:31:50,719 --> 00:31:54,529
wollen nicht quasi als Angreifer versteckt
sein, sondern wir wollen unseren Server
384
00:31:54,529 --> 00:32:00,070
da drin verstecken. Und das machen wir ganz
einfach, indem wir die Leute zwingen, dass
385
00:32:00,070 --> 00:32:04,580
sie uns nur über Tor erreichen können. Das
heißt, unser Polizist muss auf jeden Fall
386
00:32:04,580 --> 00:32:08,039
in ein Tor Entry, dann durch mehrere
Middle-Nodes, und irgendwann kommen die
387
00:32:08,039 --> 00:32:12,879
Datenpakete bei uns an, ohne Tor jemals
wieder zu verlassen. Die Middle-Nodes
388
00:32:12,879 --> 00:32:16,559
wissen nie, dass sie die erste oder die
letzte sind, und so routen wir unsere
389
00:32:16,559 --> 00:32:21,691
Pakete immer irgendwie anders herum, und
haben jetzt einen Server im Internet, zu
390
00:32:21,691 --> 00:32:28,579
dem viele Wege führen, aber nie wirklich
herauszufinden ist, auf welchem Weg wir
391
00:32:28,579 --> 00:32:34,109
... wo wir diesen Server stehen haben.
Immer unter der Voraussetzung, dass nicht
392
00:32:34,109 --> 00:32:40,040
jemand das gesamte Internet überwacht,
oder wir ein bischen zu blöd sind. Das
393
00:32:40,040 --> 00:32:43,590
können wir verhindern, indem wir auf
unserem Hidden Service anfangen, keine
394
00:32:43,590 --> 00:32:47,679
Logs zu schreiben, wir benutzen keine
bekannten SSH Keys. Relativ schlecht, wenn
395
00:32:47,679 --> 00:32:52,830
ihr da den gleichen SSH Key wie bei der
Arbeit benutzt. Wir geben unserem Hidden
396
00:32:52,830 --> 00:32:59,610
Service nur ein lokales Netz, fangen den
in irgendeinem RFC 1918, schaffen getrennt
397
00:32:59,610 --> 00:33:06,679
davor einen Tor-Router, der also dann mit
dem Internet verbunden ist, und diesen ...
398
00:33:06,679 --> 00:33:10,790
den Hidden Service freigibt, und dann die
Verbindung zu unserem Hidden Service
399
00:33:10,790 --> 00:33:15,100
herstellt. Das schöne ist, unser Hidden
Service kann gar nicht mit dem Internet
400
00:33:15,100 --> 00:33:19,260
verbunden, werden wenn er also versucht,
wenn ihn da so ein kleines Ping
401
00:33:19,260 --> 00:33:24,580
entfleuchen würde oder so, das könnte
niemals in das große böse Internet
402
00:33:24,580 --> 00:33:29,130
gelangen.
Gelächter
403
00:33:29,130 --> 00:33:34,499
L: Und jetzt haben wir also unseren Hidden
Service da und sind total happy, denn das
404
00:33:34,499 --> 00:33:40,019
große böse Internet kommt nur über das Tor
Netz zu uns. Aufwand zum Aufsetzen, wenn
405
00:33:40,019 --> 00:33:45,559
man weiß wie man es macht und ein bisschen
geübt hat, würde ich sagen 1-2 Tage, und
406
00:33:45,559 --> 00:33:52,839
schon bist du einen Drogenkönig. Und jetzt
sind die technischen Voraussetzungen da,
407
00:33:52,839 --> 00:33:56,190
dass du deine OpSec wieder so richtig
schön verkacken kannst.
408
00:33:56,190 --> 00:34:02,569
Gelächter
T: Es gibt da, um auch im Darknet zu
409
00:34:02,569 --> 00:34:10,580
bleiben, diesen Fall "Deutschland im Deep
Web". Der Herr hatte sich da so ein Forum
410
00:34:10,580 --> 00:34:15,750
und Marketplace aufgemacht, und der
Betrieb von solchen Diensten kostet ja
411
00:34:15,750 --> 00:34:22,440
Geld. Also hat er um Spenden gebeten,
damit er seine Dienste weiterhin auch
412
00:34:22,440 --> 00:34:29,460
gesichert anbieten kann. Und die Spenden
sammelt man natürlich in Bitcoin einer,
413
00:34:29,460 --> 00:34:35,158
eine schön anonyme Bezahlvariante passend
zum Darknet. Ich habe Hidden Service, ich
414
00:34:35,158 --> 00:34:38,989
kann nicht gefunden werden. Ich habe ein
anonymes Zahlungsmittel, ohne dass mein
415
00:34:38,989 --> 00:34:50,619
Name daran klebt. Also haben wir den Weg
dass wir unsere Bitcoins irgendwann auch
416
00:34:50,619 --> 00:34:57,279
nochmal versilbern wollen.
L: Irgendwann haste genug Burger im Room77
417
00:34:57,279 --> 00:35:02,530
gegessen, dann musst du... dann willst du
vielleicht auch mal Euro haben, oder so.
418
00:35:02,530 --> 00:35:07,690
T: Dann verlässt dieses anonyme
Geld irgendwann die digitale Welt und
419
00:35:07,690 --> 00:35:16,549
wandert über so ein Bitcoin Exchange
Portal auf dein Sparbuch, und in dem Fall
420
00:35:16,549 --> 00:35:21,171
hat es genau da schon "Knacks" gemacht,
denn deine Identität ...
421
00:35:21,171 --> 00:35:30,010
Gelächter
T: ... ist genau in diesem Fall
422
00:35:30,010 --> 00:35:34,519
aufgeflogen, weil wir hier über einen ...
auch noch einen deutschen Anbieter Bitcoin
423
00:35:34,519 --> 00:35:40,180
Marketplace getauscht haben, und wie soll
es anders sein, da wird natürlich Auskunft
424
00:35:40,180 --> 00:35:43,779
gegeben, wer denn der eigentliche
Empfänger ist, und auf welches Sparbuch
425
00:35:43,779 --> 00:35:49,240
das ganze überwiesen wurde. Das heißt hier
kommen wir jetzt zum Satoshi Nakamoto
426
00:35:49,240 --> 00:35:52,970
Award für anonyme Auszahlungen ...
Gelächter
427
00:35:52,970 --> 00:36:04,250
T: ... für eine wohldurchdachte
Spendenplattform ist. Wirklich wirklich
428
00:36:04,250 --> 00:36:06,650
gut gemacht.
429
00:36:06,650 --> 00:36:11,420
L: Bitcoin ist anonym.
T: Ja, ja Bitcoin ist anonym.
430
00:36:11,420 --> 00:36:13,260
L: Und was eigentlich ganz interessant ist
431
00:36:13,260 --> 00:36:17,350
an den Fall, durch eigentlich einfach mal
saubere Polizeiarbeit ohne
432
00:36:17,350 --> 00:36:22,629
Vorratsdatenspeicherung, ohne Responsible
Encryption, ohne Verbot von
433
00:36:22,629 --> 00:36:28,309
Anonymisierungsdiensten hat die Polizei
hier ihre Arbeit geleistet. Es ging ja
434
00:36:28,309 --> 00:36:31,089
hier dann auch nicht mehr nur um
Kleinigkeiten, sondern auf dieser
435
00:36:31,089 --> 00:36:35,631
Plattform wurden Waffen gehandelt. Mit den
Waffen, die dort gehandelt wurden, wurden
436
00:36:35,631 --> 00:36:42,520
Menschen getötet. Und ich denke hier kann
doch einfach mal sagen, die Polizei, die
437
00:36:42,520 --> 00:36:46,200
ja gerne mal quengelt, das irgendwie alle
Daten von ihnen weg sind, und sie immer
438
00:36:46,200 --> 00:36:49,869
mehr brauchen, hat hier einfach mal eine
gute Arbeit geleistet...
439
00:36:49,869 --> 00:36:55,299
Applaus
L: ... ohne uns die ganze Zeit zu
440
00:36:55,299 --> 00:36:57,660
überwachen, ist doch auch mal was das. Ist
doch Schön!
441
00:36:57,660 --> 00:36:59,320
T: Brauchen gar keine
Vorratsdatenspeicherung
442
00:36:59,320 --> 00:37:04,620
L: Können wir anonym bleiben... Aber man
hat natürlich noch sehr viel schönere
443
00:37:04,620 --> 00:37:11,900
Metadaten, mit denen man zum Opfer fallen
kann. Sehr beliebt ist WLAN. Wer von euch
444
00:37:11,900 --> 00:37:15,579
benutzt WLAN? Jetzt melden sich die, die
sich gerade schon gemeldet haben, als die
445
00:37:15,579 --> 00:37:18,840
Frage war, ob sie schon mal eine
Sicherheitslücke gefunden haben.
446
00:37:18,840 --> 00:37:22,170
T: Es heißt ja auch, man soll zum Hacken
irgendwie zu irgendwelchen Kaffeeketten
447
00:37:22,170 --> 00:37:28,890
gehen. Vielleicht keine so gute Idee.
L: WLAN ist nicht mehr nur in eurer
448
00:37:28,890 --> 00:37:33,220
Wohnung, die Signale die ihr da
ausstrahlt, die kommen relativ weit. Das
449
00:37:33,220 --> 00:37:38,471
hat auch ein Mitglied von Anonymous
gelernt, der nämlich am Ende darüber
450
00:37:38,471 --> 00:37:44,620
überführt wurde, dass man einfach vor
seinem Haus so einen Empfangswagen
451
00:37:44,620 --> 00:37:49,009
hingestellt hat, und geguckt hat, wann
denn sein WLAN so aktiv ist. Wann also
452
00:37:49,009 --> 00:37:54,760
sein Computer, wenn auch verschlüsselte
Pakete, durch das WPA verschlüsselte WLAN
453
00:37:54,760 --> 00:37:59,000
und durchs Tor Netz und sieben Proxies und
hast du alles nicht gesehen, die am Ende
454
00:37:59,000 --> 00:38:06,029
einfach nur korreliert: Wann ist der gute
Mann im IRC aktiv, und wenn er aktiv ist,
455
00:38:06,029 --> 00:38:10,859
kann das sein, dass zufällig auch diese
Wohnung, auf die wir unsere Richtantenne
456
00:38:10,859 --> 00:38:16,779
ausgerichtet haben, ein paar WLAN
Paketchen emittiert. Stellte sich heraus,
457
00:38:16,779 --> 00:38:22,290
das war der Fall. Hat ihn am Ende in den
Knast gebracht. Und das spannende ist, wir
458
00:38:22,290 --> 00:38:25,320
haben wir die Unverletzlichkeit der
Wohnung, die brauchten gar nicht rein zu
459
00:38:25,320 --> 00:38:29,530
gehen, weil ihnen der Mensch, der sich
hier anonym halten wollte, quasi seine
460
00:38:29,530 --> 00:38:38,330
Datenpakete frei Haus geliefert hat. Also
man könnte sagen: Ethernet ist OpSec-Net.
461
00:38:38,330 --> 00:38:47,040
Applaus
T: Ein weiterer Killer für Anonymität ist
462
00:38:47,040 --> 00:38:52,431
auch die Möglichkeit, dass so ein
Smartphone, wenn man rumrennt, oder eine
463
00:38:52,431 --> 00:38:58,411
Uhr mit WLAN Funktionalität oder
Bluetooth, die hinterlassenen Spuren wo
464
00:38:58,411 --> 00:39:07,820
man hingeht. Also es gibt ja auch
Marketingfirmen, die Lösungen anbieten,
465
00:39:07,820 --> 00:39:11,340
was sich die MAC Adressen von den
Endgeräten auch zu tracken, also diese
466
00:39:11,340 --> 00:39:15,100
Spuren hinterlässt man, auch wenn man
einfach so auf die Straße geht, und
467
00:39:15,100 --> 00:39:17,720
hinterlässt damit natürlich auch Spuren,
die irgendwie korreliert werden können mit
468
00:39:17,720 --> 00:39:21,029
dem eigenen Verhalten. Und wenn es einfach
nur darum geht, man ist irgendwie zum
469
00:39:21,029 --> 00:39:23,119
bestimmten Zeitpunkt gerade nicht zu
Hause, ...
470
00:39:23,119 --> 00:39:27,049
L: Aber ich bin voll klug, ich kann meine
MAC-Adresse randomisieren. MAC-Changer.
471
00:39:27,049 --> 00:39:32,859
Voll geil.
T: Super. Dein Telefon ist aber auch nicht
472
00:39:32,859 --> 00:39:40,849
nur einfach so an, das kennt irgendwie so
10, 15 oder 20 verschiedene SSIDs, also
473
00:39:40,849 --> 00:39:44,510
verschiedene WLAN Netze, in die du dich
regelmäßig einbuchst, und selbst wenn du
474
00:39:44,510 --> 00:39:52,690
deine MAC-Adresse regelmäßig änderst, wird
dieses Gerät diese Probes regelmäßig
475
00:39:52,690 --> 00:39:58,940
raussenden und hinterlässt damit ein
Profil über dich. Ja, da rechnest du erst
476
00:39:58,940 --> 00:40:03,890
mal nicht mit. Es eigentlich viel
einfacher, dich über so ein Set an
477
00:40:03,890 --> 00:40:09,190
bekannten SSIDs Probes zu identifizieren
als über eine MAC-Adresse. Du hinterlässt
478
00:40:09,190 --> 00:40:13,380
eine sehr starke Identität, egal wo du
hingehst und wo du dich da aufhälst.
479
00:40:13,380 --> 00:40:17,980
L: Ich seh gerade, hier haben wir offenbar
jemanden gefangen in der vierten SSID von
480
00:40:17,980 --> 00:40:21,169
oben, der war sogar schonmal im Darknet.
T: Und im St. Oberholz.
481
00:40:21,169 --> 00:40:27,479
Das ist eigentlich fast das gleiche, oder?
L: Ein echt ärgerliches Phänomen, was die
482
00:40:27,479 --> 00:40:31,890
Hersteller eigentlich meinten beseitigt zu
haben, indem sie dann die MAC Adressen bei
483
00:40:31,890 --> 00:40:38,840
den Probe Requests randomisieren. Aber
einfach nur die Anzahl der WLANs, die eure
484
00:40:38,840 --> 00:40:43,650
Geräte kennen, ist mit wenigen WLANs
sofort eindeutig und spezifisch auf euch
485
00:40:43,650 --> 00:40:47,849
in dieser Kombination. Und nach dieser
Kombination kann man eben überall suchen.
486
00:40:47,849 --> 00:40:51,289
T: Also was kann man hier so ganz
grundsätzlich mal sagen, wenn man
487
00:40:51,289 --> 00:40:56,109
irgendwie Sorge hat, getracked zu werden,
dann sollte man dafür sorgen dass das WLAN
488
00:40:56,109 --> 00:41:00,710
auf allen im Alltag genutzten Devices
ausgeschaltet wird, wenn man die Wohnung
489
00:41:00,710 --> 00:41:05,900
verlässt, oder wenn du irgendwas hackst.
L: Kommt ja manchmal vor....
490
00:41:05,900 --> 00:41:11,950
T: Manchmal.
L: Auch sehr schön, habe ich einen Fall
491
00:41:11,950 --> 00:41:17,619
gehabt, manchmal berate ich Leute, in dem
Fall war das eine Gruppe von
492
00:41:17,619 --> 00:41:28,010
ehrenamtlichen U-Bahn Lackierern ...
Gelächter und Applaus
493
00:41:28,010 --> 00:41:33,490
L: ... die sich dafür interessierten, wie
denn so ihre Arbeitsabläufe zu bewerten
494
00:41:33,490 --> 00:41:39,109
sind. Und die hatten Diensthandys, die sie
nur für den Einsatz beim Kunden benutzt
495
00:41:39,109 --> 00:41:48,169
haben. Was ja erstmal, also es war ja
schön gedacht. Das einzige Problem war
496
00:41:48,169 --> 00:41:52,690
natürlich, sie haben die auch wirklich nur
beim Kunden eingesetzt. Und wenn man jetzt
497
00:41:52,690 --> 00:41:57,330
einmal in so eine Funkzellenabfrage damit
gerät, und die Polizei spitz kriegt: "Oh,
498
00:41:57,330 --> 00:42:01,540
wunderbar, wir machen jetzt einfach jedes
Mal, wenn die ein neues Bild gemalt haben,
499
00:42:01,540 --> 00:42:06,000
so wie die Hacker von Putin, dann machen
wir einfach eine kleine Funkzellenabfrage
500
00:42:06,000 --> 00:42:10,990
und schauen uns mal, welche IMEIs, welche
IMSIs waren denn so in welchen Funkzellen
501
00:42:10,990 --> 00:42:16,779
eingeloggt. Das macht ihr 2, 3 Mal, dann
seid ihr das nächste Mal, wenn ihr im
502
00:42:16,779 --> 00:42:24,369
Einsatz seit, ehrenamtlich, wartet die
Polizei schon an eurem Einsatzort. Denn
503
00:42:24,369 --> 00:42:28,420
Mobiltelefone lassen sich einfach live
tracken, wenn man weiß nach welchen man
504
00:42:28,420 --> 00:42:33,980
sucht. Und auch hier eben ein
wunderschöner Fall von OpSec Fail.
505
00:42:33,980 --> 00:42:38,789
Übrigens wollte ich nur darauf hinweisen,
das ist kein Bild von der angesprochenen
506
00:42:38,789 --> 00:42:43,950
Gruppe. So klug waren die schon, ich habe
einfach irgendeins gegoogelt.
507
00:42:43,950 --> 00:42:49,240
T: Und hier wird ein Pseudonym, also was
weiß ich, irgendein Name dieser Gruppe,
508
00:42:49,240 --> 00:42:53,640
wird dann irgendwann aufgelöst und wird
einer bestimmten Person oder
509
00:42:53,640 --> 00:42:57,909
Personengruppe zugeordnet, und weil halt
über einen längeren Zeitraum immer wieder
510
00:42:57,909 --> 00:43:01,880
diese Metadaten angefallen sind, immer mit
diesem Bild, mit diesem Schriftzug, mit
511
00:43:01,880 --> 00:43:06,139
dem Namen, also diesem Pseudonym
assoziiert werden können, und irgendwann
512
00:43:06,139 --> 00:43:10,180
kommt der Tag, und wenn es nach fünf oder
nach zehn Jahren ist, da wird man das dann
513
00:43:10,180 --> 00:43:12,450
quasi alles auf eine Person zurückführen
können.
514
00:43:12,450 --> 00:43:15,700
L: Das ist echt so dieser Geltungsdrang,
der den Graffiti Sprüher irgendwie immer
515
00:43:15,700 --> 00:43:19,500
wieder zum Verhängnis wird so. Einmal so
eine Bahn zu besprühen, und diese wieder
516
00:43:19,500 --> 00:43:22,610
sauber machen zu lassen, das kriegste
vielleicht noch geschultert, aber wenn du
517
00:43:22,610 --> 00:43:27,029
das irgendwie 20 Mal gemacht hast, und
dann erwischt wirst... Schlecht.
518
00:43:27,029 --> 00:43:30,999
T: Beim 19. Mal denkt man noch: Ey, ich
wurde jetzt 20 mal nicht erwischt, oder 19
519
00:43:30,999 --> 00:43:33,150
Mal...
L: Sie könnten jedes Mal einen anderen
520
00:43:33,150 --> 00:43:36,960
Namen malen oder so.
T: Ja okay, aber das ist ja unter Hacker
521
00:43:36,960 --> 00:43:41,839
ja auch so, es gab ja auch Defacement
Organisationen, die das quasi in der
522
00:43:41,839 --> 00:43:47,760
digitalen Welt ähnlich gemacht haben. Wie
auch immer, wie ich schon am Anfang
523
00:43:47,760 --> 00:43:52,480
angesprochen habe, ist eigentlich das
wichtigste, dass man weiß, was für
524
00:43:52,480 --> 00:43:56,020
Werkzeuge man verwendet. Dass man die
Werkzeuge beherrscht, dass man nicht
525
00:43:56,020 --> 00:44:00,520
einfach irgendwas herunterlädt, weil man
hat davon mal irgend etwas gehört oder ein
526
00:44:00,520 --> 00:44:06,100
Kumpel hat mal was gesagt, oder man hat im
Internet irgendwas gelesen. Kenne dein
527
00:44:06,100 --> 00:44:10,550
Gerät. Setze sich mit der Technik
auseinander, die du da benutzt, und
528
00:44:10,550 --> 00:44:17,380
benutze halt die Technik, die du am besten
beherrscht. Beispielsweise Web Browser.
529
00:44:17,380 --> 00:44:22,689
Das ist schon ein ganz wichtiges Thema,
ich meine viele dieser ganzen Web
530
00:44:22,689 --> 00:44:28,370
Application Geschichten, über die stolpert
man hauptsächlich mit Browsern. Und
531
00:44:28,370 --> 00:44:32,432
heutzutage ist eigentlich völlig egal, was
für einen Browser man benutzt, die haben
532
00:44:32,432 --> 00:44:38,789
alle irgendwelche Macken, irgendwelches
Tracking, oder Telemetry enabled. Das ist
533
00:44:38,789 --> 00:44:46,440
zum Beispiel auch bei Mozilla ein großes
Ding, Wenn man halt eine sehr beliebte
534
00:44:46,440 --> 00:44:50,300
Extension installiert hat, und die zum
Beispiel den Besitzer wechselt, und dieser
535
00:44:50,300 --> 00:44:53,962
neue Besitzer dann einfach klammheimlich
irgendein Tracking einbaut, das alles
536
00:44:53,962 --> 00:44:56,310
schon vorgekommen, kann euch das ....
L: ... da haben wir einen Vortrag drüber
537
00:44:56,310 --> 00:44:59,330
gehabt ...
T: Kann euch das irgendwann den Kopf
538
00:44:59,330 --> 00:45:02,840
kosten, und deswegen müssen ihr ganz genau
wissen: Was benutze ich hier für Tools,
539
00:45:02,840 --> 00:45:05,580
was ändert sich wenn ich dieses Tool
vielleicht mal update, oder irgendwie eine
540
00:45:05,580 --> 00:45:12,600
kleine Extension update. Setzt euch
einfach damit auseinander, denn was die
541
00:45:12,600 --> 00:45:17,359
Werbeindustrie ganz gut drauf hat, ist
euch zu tracken, egal ob ihr jetzt Cookies
542
00:45:17,359 --> 00:45:21,730
akzeptiert oder irgendwie Tracking
disabled habt, die können das ganz gut mit
543
00:45:21,730 --> 00:45:25,501
Browser Footprinting, da gibt es
verschiedene Methoden auf einem ganz
544
00:45:25,501 --> 00:45:30,120
anderen Weg. So wie man eben diese WLAN
Probe Requests irgendwie nutzen kann um da
545
00:45:30,120 --> 00:45:33,870
einen Footprint zur identifizieren, kann
deshalb bei Browsern genauso
546
00:45:33,870 --> 00:45:40,150
funktionieren. Also, was kann man da
machen? Man verwendet vielleicht Wegwerf-
547
00:45:40,150 --> 00:45:43,880
Profile, man sorgt dafür, dass die Daten
zuverlässig von der Festplatte wieder
548
00:45:43,880 --> 00:45:47,650
verschwinden. Idealerweise hat man ja
ohnehin einen Laptop, mit dem man dann
549
00:45:47,650 --> 00:45:51,839
hackt, den mann regelmäßig mal platt
macht. Und man muss dafür sorgen, dass
550
00:45:51,839 --> 00:45:56,309
egal was für einen Browser ihr verwendet,
dass alle Datenlecks zuverlässig gestoppt
551
00:45:56,309 --> 00:46:04,130
werden. Ein Serviervorschlag für so ein
Setup, anonym und mit möglichst wenig
552
00:46:04,130 --> 00:46:08,660
Datenlecks unterwegs zu sein, ist einfach
alles zu trennen, was man trennen kann.
553
00:46:08,660 --> 00:46:13,620
Wenn ihr grundsätzlich davon ausgeht, dass
irgendwo etwas schief gehen kann, und es
554
00:46:13,620 --> 00:46:16,240
wird irgendwo etwas schief gehen, dann
müsst ihr einfach dafür sorgen, dass
555
00:46:16,240 --> 00:46:20,319
dieses Risiko möglichst minimal gehalten
wird. Also wäre eine Möglichkeit: Ihr
556
00:46:20,319 --> 00:46:26,390
benutzt einen Rechner, als Hardware oder
VM, wo ihr eure Hacking Workstation drin
557
00:46:26,390 --> 00:46:32,950
habt, irgend ein Kali oder BSD, oder was
auch immer, und über meinetwegen Hunix
558
00:46:32,950 --> 00:46:39,180
Installation dafür sorgt, dass keine
Datenlecks nach außen gelangen können. Es
559
00:46:39,180 --> 00:46:44,030
wird immer noch irgendwelche Datenlecks
geben, die so ein Hunix nicht abhalten
560
00:46:44,030 --> 00:46:48,720
kann, aber es minimiert zumindest
bestimmte Risiken bevor irgendwelche
561
00:46:48,720 --> 00:46:55,220
Pakete fahrlässig ins große böse Internet
gesendet werden, wo eine Menge Leute
562
00:46:55,220 --> 00:47:01,469
darauf warten. Also deine Geräte, lass
dich nicht beeinflussen von irgendwelchen
563
00:47:01,469 --> 00:47:05,560
Leuten, die halt sagen: "Ne, du musst das
Betriebssystem benutzen, sonst bist du
564
00:47:05,560 --> 00:47:08,740
nicht cool oder sonst kann es ja nicht
mitmachen". Ihr müsst genau das
565
00:47:08,740 --> 00:47:13,409
Betriebssystem benutzen, mit dem ihr euch
am besten auskennt, denn nur wenn ihr euer
566
00:47:13,409 --> 00:47:17,620
System beherrscht und gut kennt, könnt ihr
auch, wisst ihr halt über all diese
567
00:47:17,620 --> 00:47:22,040
Nachteile, die hier eine Rolle spielen,
wisst ihr darüber Bescheid, ihr könnt das
568
00:47:22,040 --> 00:47:27,930
berücksichtigen in eurem Verhalten.
Faulheit ist auch ein großer Killer von
569
00:47:27,930 --> 00:47:35,920
Anonymität, ebenso dieses vorausschauende
OpSec, dass man sagt, ich benutze von
570
00:47:35,920 --> 00:47:40,130
vornherein Tor, auch wenn ich jetzt gerade
nur was im Onlineshop was einkaufen will.
571
00:47:40,130 --> 00:47:44,380
Einfach nur um sicher zu sein, dass man
nirgendwo einfach nur aus Faulheit irgend
572
00:47:44,380 --> 00:47:50,699
einen Schutzmechanismus mal weglässt. Kann
ja auch sein, dass irgendein Target Server
573
00:47:50,699 --> 00:47:56,020
einfach sagt: "Nöö, ich blockier aber Tor
Exit Nodes". Kommt vor. Oder dass zum
574
00:47:56,020 --> 00:48:01,210
Beispiel die Captchas immer lästiger
werden, wenn man über einen Tor Exit Node
575
00:48:01,210 --> 00:48:05,270
kommt. Das ist einfach alles nur dafür da,
euch zu nerven und einfach mal für einen
576
00:48:05,270 --> 00:48:09,449
kleinen Augenblick Tor abzuschalten und
vielleicht normalen VPN-Anbieter zu
577
00:48:09,449 --> 00:48:13,630
benutzen, oder komplett auf irgendeine
Verschleierung zu verzichten. Und ja,
578
00:48:13,630 --> 00:48:21,779
diese Faulheit wird euch im Zweifelsfall
auch das Genick brechen. Was wir in
579
00:48:21,779 --> 00:48:29,079
Zukunft eventuell auch häufiger sehen
könnten ist etwas, das sind Canaries.
580
00:48:29,079 --> 00:48:34,780
Colin Malena hat letztes Jahr auch schon
auf dem Kongress glaube ich über Canaries
581
00:48:34,780 --> 00:48:41,460
in Embedded Devices gesprochen. Das sind
einfach nur irgendwelche Pattern, die in
582
00:48:41,460 --> 00:48:45,680
der Firmware hinterlassen werden, die dann
gemonitored werden, ob jemand danach
583
00:48:45,680 --> 00:48:51,309
googelt. Das heißt, ich kann also auch auf
einem Produktionssystem so eine Art Pseudo
584
00:48:51,309 --> 00:48:57,079
Honeypot installieren, und eine Datenbank
mit scheinbar realen Daten füllen, und
585
00:48:57,079 --> 00:49:00,090
irgendein Angreifer, der halt sehr
neugierig ist, wird das möglicherweise
586
00:49:00,090 --> 00:49:03,549
ausprobieren, ob das Login von der Frau
Merkel dann auch wirklich funktioniert,
587
00:49:03,549 --> 00:49:06,930
oder er wird vielleicht nach irgendeinem
Pattern auch googeln und herauszufinden,
588
00:49:06,930 --> 00:49:10,349
ob sich dann noch mehr holen lässt, um die
Qualität und vielleicht auch den Wert der
589
00:49:10,349 --> 00:49:16,529
erbeuteten Daten auszukundschaften. Das
heißt, da ist auch Neugier dann der Killer
590
00:49:16,529 --> 00:49:22,779
was Anonymität angeht. Und ja, das sind
halt einfach Fallen, die ausgelegt werden,
591
00:49:22,779 --> 00:49:27,650
und man sollte grundsätzlich so eine
gewisse Grundparanoia haben. Man sollte
592
00:49:27,650 --> 00:49:32,699
immer davon ausgehen, das jemand einem
eine Falle stellt.
593
00:49:32,699 --> 00:49:40,039
L: Zum Beispiel auch, wenn das Männchen
vom Elektroversorger kommt, und so was
594
00:49:40,039 --> 00:49:48,899
mitbringt; Wisst ihr, was das ist? Das ist
ein Smart Meter. Auch das natürlich ein
595
00:49:48,899 --> 00:49:53,930
Gerät, was unter der Maßgabe des "Digital
First, Bedenken Second" gerade ausgerollt
596
00:49:53,930 --> 00:49:59,420
wird und eine ganze Menge Metadaten über
euer Verhalten sammelt. Müsst ihr euch
597
00:49:59,420 --> 00:50:03,430
aber nicht unbedingt Sorgen machen, weil
das ist ja vom Bundesamt für Sicherheit in
598
00:50:03,430 --> 00:50:09,869
der Informationstechnik abgenommen, da
kann eigentlich nichts schief gehen. Außer
599
00:50:09,869 --> 00:50:13,681
natürlich, dass Geräte mit
Deutschlandflagge und Adler für die
600
00:50:13,681 --> 00:50:19,170
hacksportliche Nutzung grundsätzlich
ungeeignet sind, deswegen raten wir davon
601
00:50:19,170 --> 00:50:23,859
ab. Und sind gespannt, was wir noch alles
für Metadatenquellen in unserer Zukunft
602
00:50:23,859 --> 00:50:30,240
sehen werden.
T: Ja, und ihr seht schon, es sind nicht
603
00:50:30,240 --> 00:50:34,770
immer nur die technischen Probleme, die
ihr nicht berücksichtigt, das seid auch
604
00:50:34,770 --> 00:50:41,340
ihr selbst, eben dieses ungeduldig sein
oder faul sein, oder wenn man sich gerne
605
00:50:41,340 --> 00:50:45,109
Sachen schön redet und sagt "So naja, nu,
ist jetzt irgendwie 19 Mal gut gegangen,
606
00:50:45,109 --> 00:50:48,190
warum sollte ich jetzt irgendwie immer und
immer wieder den gleichen Aufwand
607
00:50:48,190 --> 00:50:52,070
betreiben, das wird schon schiefgehen.
Warum sollte jemand in dieses Log
608
00:50:52,070 --> 00:50:57,080
gucken". Ist so vergleichbar mit "Warum
sollte irgendjemand diesen Unsinn in
609
00:50:57,080 --> 00:51:02,800
dieses Formularfeld eintragen". Also man
trifft hier Annahmen, die halt fatal sind,
610
00:51:02,800 --> 00:51:06,470
und da muss man halt auch sehr stark
darauf achten, dass man selbst nicht sich
611
00:51:06,470 --> 00:51:10,369
selbst verrät. Die Frage ist zum Beispiel
auch: Geht man oft gerne feiern und
612
00:51:10,369 --> 00:51:14,170
brüstet sich dann vielleicht auf einer
Feier beim Bier irgendwie mit Erfolgen
613
00:51:14,170 --> 00:51:17,980
oder gibt man sich gerne geheimnisvoll? So
gibt man immer wieder gerne auch mal
614
00:51:17,980 --> 00:51:24,249
Geheimnisse preis, die einem das Genick
brechen. Da gibt es auch Fälle, wo dann
615
00:51:24,249 --> 00:51:28,359
Leute aus dem Freundeskreis eben
angefangen haben, Daten auch nach außen
616
00:51:28,359 --> 00:51:38,420
sickern zu lassen. Ansonsten sind das noch
Kleinigkeiten wie ich schon sagte der
617
00:51:38,420 --> 00:51:40,920
Coding-Stil kann ein verraten, das ist wie
eine Handschrift, aber deine
618
00:51:40,920 --> 00:51:44,230
Rechtschreibung und Grammatik ist es auch.
Vielleicht kann man da irgendwelche
619
00:51:44,230 --> 00:51:47,940
Translation-Services benutzen und hin und
her übersetzen, wenn man schon in
620
00:51:47,940 --> 00:51:53,250
irgendwelchen Foren schreiben muss.
Bestimmte Skills, Eigenschaften, die ihr
621
00:51:53,250 --> 00:51:56,899
technisch beherrscht, die andere
vielleicht nicht so gut beherrschen,
622
00:51:56,899 --> 00:52:00,039
können euch auch genausogut verraten. Das
sind am Ende einfach nur einzelne
623
00:52:00,039 --> 00:52:05,720
Indizien, die von Ermittlern oder Leuten,
die euch jagen, kombiniert werden, um
624
00:52:05,720 --> 00:52:12,799
nem plausiblen Beweis zu finden, um euch
zu finden. Ja, ansonsten ist auch oft,
625
00:52:12,799 --> 00:52:17,960
wenn ihr irgendwo was zerhackt habt, dann
hinterlasst hier vielleicht auch
626
00:52:17,960 --> 00:52:22,070
irgendwelche Funktionserweiterer und
Werkzeuge, die es euch erlauben, Sachen
627
00:52:22,070 --> 00:52:26,380
hoch oder runter zu laden. Diese Sachen
bleiben im Zweifelsfall dort liegen, weil
628
00:52:26,380 --> 00:52:29,880
euch jemand die Internetleitung kappt, und
diese Daten können dann halt analysiert
629
00:52:29,880 --> 00:52:34,800
werden. Rechnet immer damit, dass dieser
Fall eintreten kann, und sorgt dafür, dass
630
00:52:34,800 --> 00:52:44,460
sich eure Tools, dass es da keinen
Zusammenhang ergibt zu euch. Ja, ansonsten
631
00:52:44,460 --> 00:52:49,939
eben einfach mal tief durchatmen,
vielleicht ein bisschen diskreter an die
632
00:52:49,939 --> 00:52:56,219
Sache rangehen, und versuchen unter dem
Radar zu bleiben, nicht herum zu posen,
633
00:52:56,219 --> 00:52:59,540
keine Andeutungen zu machen, um damit
irgendwie ein Geheimnis geheimnisvoller
634
00:52:59,540 --> 00:53:03,860
da zu stehen. Nicht übermütig zu werden,
das ist einer der wichtigsten Punkte, und
635
00:53:03,860 --> 00:53:11,860
eben, dieser Geldfall, nicht gierig zu
werden, klar. Geld macht eh nicht
636
00:53:11,860 --> 00:53:15,010
glücklich, also von daher, werde einfach
nicht übermütig. Ich glaube, das ist am
637
00:53:15,010 --> 00:53:18,850
Ende auch ein ganz großer Faktor, wenn man
irgendwie jahrelang irgendwelche Sachen
638
00:53:18,850 --> 00:53:25,769
zerhackt hat, dass man da übermütig wird.
Und, verhaltet euch einfach so wie ihr
639
00:53:25,769 --> 00:53:31,039
euren Eltern das immer auch empfohlen
habt: Klickt nicht auf irgendwelche Links,
640
00:53:31,039 --> 00:53:35,160
die ihr per Spam E-Mail zugeschickt
bekommt. Klickt nicht auf irgendwelche
641
00:53:35,160 --> 00:53:40,030
Anhänge, die euch zugeschickt werden
ungefragt. Und seid einfach nicht so
642
00:53:40,030 --> 00:53:43,829
leichtfertig.
L: Was auch noch zu verräterischen
643
00:53:43,829 --> 00:53:49,710
Schwächen gehört ist auch ein Fall aus dem
Anonymous-Umfeld: Dein Kumpel hat Kind und
644
00:53:49,710 --> 00:53:54,640
Familie, ist erpressbar, und versuchte
dich, ans Messer zu liefern.
645
00:53:56,160 --> 00:54:01,079
T: Ich habe kein Messer dabei...
L: OK. Es gibt eigentlich, wenn ihr euch
646
00:54:01,079 --> 00:54:05,319
das so anschaut, niemanden der das so mit
dem Hacking länger durchgehalten hat, will
647
00:54:05,319 --> 00:54:12,640
man meinen. Aber es gibt einen, das ist
Fisher, kein Mensch weiß wie er aussieht,
648
00:54:12,640 --> 00:54:18,950
kein Mensch weiß ob es mehrere oder wenige
sind. Und diese Person, dieses Pseudonym,
649
00:54:18,950 --> 00:54:24,080
ist ein Staatstrojaner-Jäger, hat einfach
mal Gamma Finfisher aufgemacht, hat in
650
00:54:24,080 --> 00:54:29,779
Italien das Hacking Team aufgemacht, und
vor kurzem gab es dann die frohe Kunde,
651
00:54:29,779 --> 00:54:35,580
dass die Ermittlungsverfahren eingestellt
wurden, weil es keine Spuren gibt, um
652
00:54:35,580 --> 00:54:40,131
irgendwie diese Person oder diesen Hacker
zu finden. Und dafür gibt es von uns
653
00:54:40,131 --> 00:54:44,439
natürlich die lobende Erwähnung und den
Hat-Tip....
654
00:54:44,439 --> 00:54:59,099
Applaus
L: Kommen wir zum Fazit: Pseudonym ist
655
00:54:59,099 --> 00:55:03,890
nicht anonym. Verratet nicht eure Pläne,
seid nicht in der Situation, dass ihr
656
00:55:03,890 --> 00:55:09,390
jemandem vertrauen müsst. Seid vor allem
vorher paranoid, weil nachher geht das
657
00:55:09,390 --> 00:55:16,019
nicht mehr. Kennt eure Geräte, trennt
Aktivitäten und Geräte, es ist sehr
658
00:55:16,019 --> 00:55:20,200
sinnvoll mehrere Geräte zu haben, vor
allem wenn man von der Polizei durchsucht
659
00:55:20,200 --> 00:55:23,289
wird wie Alberto, und die nur die Hälfte
mitnehmen, habt ihr danach vielleicht noch
660
00:55:23,289 --> 00:55:30,720
ein Gerät über. Haltet euer Zuhause rein,
und vor allem lasst die Finger vom
661
00:55:30,720 --> 00:55:35,600
Cybercrime. Andere waren besser als ihr
und haben es auch nicht geschafft. Bitcoin
662
00:55:35,600 --> 00:55:47,050
ist eh im Keller. Also lasst es sein.
Applaus
663
00:55:47,050 --> 00:55:52,069
L: Und dann bleibt uns eigentlich nur noch
ein ein allerletzter wichtiger Rat, und
664
00:55:52,069 --> 00:56:00,180
das ist nie ohne Skimaske hacken.
T: Und immer auch nie ohne Ethik hacken.
665
00:56:00,180 --> 00:56:08,839
L: Und bitte bitte bitte bitte nie ohne
Ethik hacken, den Vortrag über die
666
00:56:08,839 --> 00:56:12,300
Hackerethik, auch dass ein
Einführungsvortrag, den gab es an Tag eins
667
00:56:12,300 --> 00:56:17,730
von Frank Rieger. Ihr könnt euch auch den
Seiten des CCC darüber informieren, spart
668
00:56:17,730 --> 00:56:22,319
euch den Ärger, arbeitet auch der
leuchtend glänzenden Seite der Macht und
669
00:56:22,319 --> 00:56:27,310
seid gute Hacker. Macht keinen Scheiß,
dann aber auch keine Sorgen. Vielen Dank !
670
00:56:27,310 --> 00:56:36,250
Applaus
671
00:56:36,250 --> 00:56:41,750
T: Ich hab auch noch eine.
Applaus
672
00:56:41,750 --> 00:56:43,042
T: Ist bald wieder Fasching, ne
Applaus
673
00:56:43,042 --> 00:56:48,097
Abspannmusik
674
00:56:48,097 --> 00:57:05,852
Untertitel erstellt von c3subtitles.de
im Jahr 2019. Mach mit und hilf uns!