-
35C3 Vorspannmusik
-
Herald:
Herzlich willkommen zum nächsten Talk
-
"Du kannst alles hacken –
du darfst dich nur nicht erwischen lassen".
-
Kleine Umfrage:
Wer von euch
-
hat schonmal eine Sicherheitslücke gefunden
-
und gedacht:
"Oh Scheisse, wenn ich das jetzt jemandem
-
erzähle, dann stecke ich aber ganz schön
tief drin, das könnte Ärger geben"?
-
Bitte Handzeichen, für wen trifft das zu?
-
Zwischenruf aus dem Publikum: Kamera aus
Gelächter
-
Herald: Andere Frage: Wer von euch würde
denn gern mal eine Sicherheitslücke
-
finden, auch Handzeichen.
Gelächter
-
Alles klar, ich erkläre euch alle hiermit
zu Betroffenen und diesen Talk für
-
relevant für euch, denn viele Hackerinnen
und Hacker stehen irgendwann im Laufe
-
ihrer Karriere vor dem Problem oder in der
Situation dass sie irgendwas gefunden
-
haben oder irgendwo reingekommen sind,
sich irgendwo reinverlaufen haben, und
-
wissen, wenn die betroffenen Leute, in
deren Architektur sie gerade drinstehen
-
das mitkriegen, dann gibt's so richtig
Ärger, das wird großes Missfallen erregen.
-
Und in diesem Talk geht es darum,
welche Worst-Case-Szenarien auf euch
-
zukommen können, wie ihr damit umgeht, und
am aller besten, wie ihr euch gar nicht
-
erst erwischen lasst. Und unsere Speaker,
Linus Neumann und Thorsten Schröder, sind
-
Experten für IT-Sicherheit. Ihr kennt sie
vielleicht noch von dem PC-Wahl-Hack.
-
Da gings darum, dass sie Sicherheitlücken
in der Bundestags-Wahl-Software gefunden
-
haben, da gibt es eine sehr
empfehlenswerte Folge.
-
Alles klar, alles Quatsch was ich
erzählt habe, ich empfehle
-
euch die Folge von logbuch-netzpolitik.org
-
trotzdem, die ist nämlich
hörenswert, nämlich die Nummer 228
-
"Interessierte Bürger". Jetzt erstmal
einen ganz herzlichen Applaus für Linus
-
Neumann und Thorsten Schröder, Viel Spass
Applaus
-
Linus Neumann: Vielen Dank, dass ihr alle
da seid. Vielen Dank für das herzliche
-
Willkommen. Ich fand das auch schön, dass
grad da einige von euch direkt den ersten
-
OpSec fail gemacht haben und sich erstmal
gemeldet haben. Wir haben noch nie
-
irgendwas gehackt, wir haben mit nichts
was zu tun. In unserem kleinen Talk soll
-
es darüber gehen, über das Thema über das
hier alle reden ist Hacking. Wir sehen
-
über die Jahre viele feine, junge Hacker
landen irgendwie im Knast, und es gibt
-
einfach viele Risiken, die den Hacksport
begleiten, und den Genuss trüben,
-
zum Beispiel sowas wie Hausdurchsuchungen,
eingetretene Türen, hohe Anwaltskosten,
-
alles das muss nicht sein. Es lohnt sich
für euch vielleicht, zu überlegen, wie
-
auch ihr weiterhin freie Menschen bleiben
könnt. Denn wir wissen, Hacker, das sind
-
freie Menschen, so wie Künstler, die
stehen morgens auf, und wenn sie in
-
Stimmung sind, dann setzen sie sich hin
und malen ihre Bilder. Und wir möchten,
-
dass ihr noch viele schöne Bilder malen
könnt. Und der Weg dahin ist: OpSec.
-
Und darüber wollen wir heute
mit euch reden.
-
OpSec ist eigentlich
sehr einfach zusammengefasst,
-
hier auch übrigens...
Schönes, schönes...
-
Schönes Lehrmaterial auch wieder
-
aus Russland, das scheint da die irgendwie
umzutreiben. Wir haben, fangen wir mal
-
ganz einfach im ganz normalen, den ersten
Computerwurm an: Übermut tut selten gut,
-
das ist eine der wichtigsten Lehren eurer
operational Security, denn Angeberei und
-
Übermut bringen euch gern das ein oder
andere Problem ein. Und das wissen wir
-
ungefähr seitdem es Computerwürmer
überhaupt gibt. Der erste große
-
Computerwurm, der so international
unterwegs war, und die Hälfte des
-
Internets lahmgelegt hat, war der Morris-
Wurm, der mehrere Schwachstellen in
-
Sendmail, Finger, Remote-SH und ein paar
schwache Passwörter ausgenutzt hat, um
-
sich selber zu verbreiten, war halt ein
Computerwurm. Das führte also zu einem
-
Internetausfall 1988. Und ihr fragt euch
wahrscheinlich: Warum heißt der Wurm denn
-
Morris-Wurm? Naja, weil sein Erfinder sehr
sehr stolz war auf seinen Wurm, und gerne
-
davon erzählt hat, wie er funktioniert
hat. Und zu einem Zeitpunkt stand er wohl
-
irgendwann in der Harward-Universität auf
dem Tisch, und predigte, wie sein Wurm
-
funktionierte in alle möglichen Details.
Es war aber auch klar, dass die
-
ursprüngliche Infektion dort stattgefunden
hat, er hat allen davon erzählt.
-
Irgendwann hats jemand einem Journalisten
erzählt, er musste es dann zugeben. Er hat
-
bekommen, dass der Computerwurm immerhin
seinen Namen trägt. Allerdings auch
-
3 Jahre Bewährung, 400 Stunden soziale
Arbeit, und 10.000 Dollar Geldstrafe, ohne
-
den eigenen Geltungsdrang wäre es ihm
unter Umständen erspart geblieben. Aber
-
nicht nur bei Hackern haben wir so kleine
Probleme mit Operational Security und
-
Geltungsdrang, das haben wir auch bei
Bankräubern. Und zwar haben wir hier einen
-
jungen Mann, der hat eine Bank ausgeraubt.
Und was macht man so, wenn man spannendes
-
erlebt hat, und gerade so das ganz große
Geld abgesahnt hat: Natürlich erstmal ein
-
Selfie. Ja. Wenn das nicht reicht, kann
man auch noch ein anderes Selfie machen.
-
Gelächter
-
Oder die Komplizin. Und auch Essen. Und
dann gehts ganz schnell ins InstaJail. Und
-
man denk, das wär jetzt so ein Einzelfall,
ne, denkt so: OK, so blöd kann ja
-
eigentlich keiner sein, aber wenn man sich
so im Internet umschaut, braucht man echt
-
nicht lange, um immer mehr Spezialexperten
zu finden, die solche Bilder posten. Und
-
das endet auch immer gleich: Hier der
junge Mann mit den, also der muss ganz
-
schreckliche Zähne haben, der hat alle
Zähne schon aus Gold jetzt, die wurden
-
auch verurteilt, weil sie auf Facebook
damit angegeben haben, das sie Geld haben.
-
Nun, wenn wir uns das anschauen, in den
Pionieren des Car-Hackings, da haben wir
-
im Prinzip das gleich Phänomen. Man muss
dazu sagen, die ersten Unternehmungen im
-
Car-Hacking waren eher so analoger Natur
und eher Brute-Force. Und die Pioniere in
-
diesem Bereich waren also diese beiden
jungen Männer, die hier einen ganz großen
-
Hack geleistet haben, nämlich die
Fahrerscheibe eingeschlagen, 5000 Dollar
-
und ein iPad aus einem Truck geklaut
haben. Und, was macht man als erstes, wenn
-
man ein iPad hat und so: Naja, erstmal in
den Burger-King gehen, weil da gibts WLAN.
-
Und ein bischen mit dem iPad daddeln. Und
dann haben sie festgestellt: Ey, geil da
-
kann man Videos mit machen.
-
[Video wird abgespielt]
-
.... This is my brother Dylan.. This....
good nights hassle
-
L: Und weil sie in dieses gestohlene iPad
mit dem WLAN vom Burger King verbunden
-
hatten, passierte das, was passieren
musste....
-
Gelächter
-
L: Und der Eigner des Fahrzeuges hat dann
-
eine Woche später das Video der Polizei
übergeben, und die Polizei meinte, die
-
sind ihnen auch gar nicht so unbekannt.
Und haben sich um die jungen Männer
-
gekümmert.
Thorsten Schröder: Aber kommen wir mal
-
zurück in die Computerhacker-Ecke, über
die wir heute eigentlich sprechen wollen,
-
jetzt haben wir einen kleinen Ausflug in
die analoge Welt gemacht. Was kann denn
-
alles schief gehen wenn man sich als
interessierter Surfer oder sonstwas auf
-
Online-Shopping-Portalen herumtreibt.
Zunächst will man zunächst vielleicht doch
-
irgendwelche Waren erwerben, dann fängt
man da an, irgendwie im Online-Shop
-
rumzuklicken. Plötzlich rutscht man mit
der Maustaste aus, das passiert ja
-
manchmal, dass man da vielleicht irgendwie
aus Versehen ein falsches Zeichen eingibt,
-
und was hier halt wichtig ist: Wir reden
hier von einem Threat-Level, ein Level
-
eines Bedrohungsszenarios für den Hacker,
also wenn ihr da irgendiwe mit dem Online-
-
Shopping-Portal unterwegs seid, und da aus
Versehen auf der Maus ausrutscht, dann
-
habt ihr ein gewisses Bedrohungsszenario.
Das wird natürlich ein bischen höher wenn
-
ihr da aus Versehen irgendwelche komischen
Zeichen eingegeben habt,
-
ihr seid da
-
wahrscheinlich ohne Anonymisierungsdienste
unterwegs, weil ihr wolltet ja bloß irgendwas
-
einkaufen. Und jetzt denkt ihr so: Hmm,
ich bin ja ein bischen verspielt und
-
neugierig, ich mach jetzt mal Tor an oder
irgendwas, und besuch jetzt diese Webseite
-
später nochmal mit einem
Anonymisierungsdienst. Und, ja, über die
-
Zeit findet man dann vielleicht aus
Versehen noch ein Cross-Site-Scriping, das
-
Bedrohungslevel wächst so allmählich, aber
man hat ja jetzt Tor am Start. Das
-
Bedrohungs-Threat-Level wächst weiter,
wenn man jetzt vielleicht noch eine etwas
-
kritischere Schwachstelle wie eine SQL-
Injection gefunden hat. Und es wächst
-
weiter, wenn man vielleicht auch noch eine
Remote-Code-Execution gefunden hat, dann
-
sind wir schon recht hoch. Also wenn man
jetzt erwischt wird, wäre es relativ
-
ungünstig, weil man hat ja auch bewiesen,
dass man direkt nicht nach einem Cross-
-
Site-Scripting oder irgendeiner anderen
banalen Schwachstelle direkt mal zu dem
-
Portal gegangen ist und Bescheid gesagt
hat. Na ja, was passiert dann, wenn man da
-
weiter stöbert. Je nachdem was man da für
so Ziele hat. Vielleicht findet man auch
-
noch ein paar Kreditkarten. Jetzt sind wir
schon recht hoch in unserem Threat-Level,
-
und das geht rapide runter weil das
Threat-Level ist jetzt wieder... Es wird
-
entspannter. Man braucht jetzt keine Angst
mehr haben, dass man irgendwann nochmal
-
für diesen Hack da erwischt wird. Ja,
warum wird da überhaupt jemand erwischt?
-
Weil ich an die OpSec erst viel zu spät
gedacht habe. In dem Moment, in dem ich
-
auf der Maus ausgerutscht bin, hätte ich
im Grunde genommen schon einen
-
Anonymisierungsdienst, irgendnen Tor-
Service oder so, am Start haben müssen,
-
denn in dem Moment, wo irgendwann der
Betreiber des Portals mitkriegt, dass da
-
was passiert ist, werden die einfach
gucken: Alles klar, wir verfolgen das
-
zurück, ist eine Tor-Session, schlecht,
aber irgendwann stossen sie auf diesen Fall,
-
wo man halt "Ups" sagt. Und dann werden
sie dich halt finden.
-
L: Es ist eigentlich auch regelmäßig
tatsächlich so, dass man irgendwie Leute
-
irgendwie sagen: Ach, guck mal hier, da
hab ich mal was entdeckt, und jetzt geh
-
ich mal auf Tor. Ne Leute, ist zu spät,
müsst ihr vorher machen.
-
T: Tschuldigung, wenn euch sowas was
auffällt, ihr könnt euch natürlich mal
-
überlegen, wie haben ja jetzt die
Datenschutzgrundverordnung, dann könntet
-
ihr mal schauen was die so für
Datenschutzrichtlinien haben, also manche
-
Unternehmen geben ja dann auch Auskunft
daüber, wie lange die Logfiles zum
-
Beispiel aufbewahrt werden, und es soll
ja....
-
L: Vielleicht habt ihr ja ein Recht auf
Vergessen werden
-
T: Ja, es gibt ja Unternehmen, die
speichern ihre Logdaten nur 7 Tage, dann
-
muss man einfach nochmal ne Woche warten
vielleicht.
-
L: Also es gilt allgemeine Vorsicht bei
Datenreisen, so auch bei unserem Freund
-
Alberto aus Uruguay, der mit seiner
Freundin irgendwie nichts ahnend am
-
Nachmittag am Computer saß, und sie gab
irgendwelche Gesundheitsdaten in irgend so
-
eine Cloud ein, weil: modern. Und Alberto
sagte so: Ah, Gesunderheitsdaten, zeig mal
-
her. admin admin, oh!
Gelächter
-
T: Ups
L: Ups. Da war das Ups. Und er schrieb
-
dann eine Mail an das CERT Uruguay, also
die zentrale Meldestelle des Landes, weil
-
es sich ja hier um sensible Patientendaten
handelte, und Gesundheitsdaten, und er
-
bekam innerhalb von Stunden eine Antwort
von dem Leiter des CERT, also das war ganz
-
klar, wir haben hier ein ernst zu
nehmenden Fall, der auch eben ernst
-
genommen wurde.
T: Dieser "Ups" Fall ist vielleicht nicht
-
ganz so dramatisch, möchte man meinen,
weil der Hacker ja nichts böses vor hatte,
-
der wollte gar nicht weiterstöbern, der
hat einfach gesagt so: "Uh, denen muss ich
-
schnell Bescheid sagen".
L: Für den war der Fall auch erledigt, der
-
hatte das ja jetzt dem CERT gemeldet, das
CERT hat sich drum gekümmert, hat die
-
Verantwortung übernommen, die kümmern sich
jetzt drum. Schalten die Plattform ab,
-
oder was auch immer. Alberto geht seinem
Leben ganz normal weiter, bis er ein Jahr
-
später feststellt: Oh, ahhh, das
admin:admin haben sie inzwischen
-
geschlossen, das ist schonmal gut, aber
jetzt haben sie unauthenticated file
-
access, auch nicht so gut, melde ich doch
am besten einmal dem CERT. Und wieder
-
vergeht einige lange Zeit, in diesem Fall
um die zwei Jahre Schweigen im Walde.
-
Er hatte die ganzen Sachen selbst längst
vergessen, und dann bekommt das betroffene
-
Unternehmen mit den Gesundheitsdaten
plötzlich eine E-Mail, von irgendwem:
-
Gib mal Bitcoin.
Gelächter
-
L: Der wollte "gibt mal Bitcoin", weil der
Angreifer oder der Erpresser hier sagte,
-
er sei im Besitz dieser Gesundheitsdaten,
die diese Plattform geleaked hat. Und wenn
-
jetzt nicht 15 Bitcoin innerhalb von
$Zeitraum überwiesen würden, dann würde er
-
an die Presse berichten: Alle Menschen in
diesem Datensatz, die HIV-infiziert sind.
-
T: Was die Presse bestimmt total
interessiert hätte.
-
L: Ich weiß nicht, ob das die Presse
interessiert hätte, wen es auf jeden Fall
-
interessiert hat, ist die Polizei. An die
Polizei müsst ihr übrigens immer denken...
-
T: Die erkennt man an diesen
Kleidungsstücken hier
-
L: Die erkennt man an diesen Hüten...
Gelächter und Applaus
-
L: Die haben vorne auch so einen Stern
drauf. Nur damit ihr die nicht vergesst.
-
So, irgendwer will also Bitcoin. Es
passiert wieder längere Zeit nichts, bis
-
auf einmal bei Alberto die Tür eingetreten
wird. Es gibt eine Hausdurchsuchung,
-
wieder mit Brute-Force. Und, jetzt
passiert folgendes: Die Polizei traut
-
ihren Augen nicht, als sie diese Wohnung
betritt, und findet so viele spannende
-
Sachen, dass sie nachher auf einem eigenen
Pressetermin ihre Fundstücke so bischen
-
drapiert, und damit angibt. Sah nämlich so
aus: Da hatten wir also einen ganzen
-
Stapel Kreditkarten und Blanko-
Kreditkarten. Blanko-Kreditkarten machen
-
immer gar nicht so einen guten Eindruck.
Gelächter
-
T: Meistens nicht.
L: Sowohl im Supermarkt, als auch im
-
Schrank wenn ihr die Polizei vorbeischaut.
Außerdem finden sie Kartenlesegeräte und
-
ein paar Wallet-Fails.
T: Allo nedos
-
L: Haben sie dann alles schön drapiert.
Kartenlesegeräte, Zahlungsmittel und so.
-
T: Ist dann halt die Frage, ob die Polizei
an OpSec gedacht hat, und die
-
Kreditkartennummern vielleicht auch noch
gültig waren, als sie die Fotos
-
veröffentlicht haben. Man weiß es nicht,
man wird es auch nicht herausfinden.
-
L: Und sie finden natürlich, was man bei
jedem Hacker finden muss, bei jedem
-
Kriminellen, was braucht man da?
Murmeln im Raum
-
L: Anonymous-Maske, klar
Gelächter
-
L: Anonymous-Maske drapieren die schön.
Wir haben auch noch eine dabei.. Nein, wir
-
haben keine Anonymous-Maske. Paar
strategische Bargeld-Reserven. Und, das
-
war natürlich sehr verräterisch, sie
finden Bitcoin.
-
Gelächter und Applaus
L: Und die wollte der Erpresser ja haben.
-
T: Dann ist der Fall wohl abgeschlossen.
L: Ein Bitcoin und ein Bitcoin
-
zusammengezählt. Verhör, ein paar
Drohungen, und in Anbetracht der völlig
-
inkompetenten Polizei flüchtet sich
Alberto in das falsche Geständnis, in der
-
Hoffnung, dass er im weiteren Verlauf des
Verfahrens mit kompetenten Personen in
-
Kontakt kommt. Dies Hoffnung erfüllt sich
nicht, er ist erstmal im weiteren Verlauf
-
8 Monate im Knast, und gerade nur auf
Kaution raus. Er ist absolut sicher und
-
ehrlich, dass er das nicht getan hat.
Hätte er es getan, wäre er auch ziemlich
-
dämlich, nachdem du zwei Mal responsible
Disclosure gemacht hast, schickst du keine
-
Erpresser-E-Mail mehr. Vor allem nicht
eine in der du sagst "Ich möchte 15
-
Bitcoin auf folgendes Konto..." ohne die
Kontonummer anzugeben.
-
Gelächter und Applaus
L: Da wir jetzt ein paar Scherze über
-
Alberto gemacht haben, haben wir ihn
einfach mal kontaktiert, und Alberto hat
-
auch noch ein paar Sachen zu seinem Fall
zu sagen, und wir begrüßen ihn bei uns auf
-
der Videoleinwand
Applaus
-
[Video] Hello Germany. ....
......
-
Applaus
L: Also das Gerät, mit dem er da kurz
-
hantiert hat, was irgendwie ein bischen so
aussah wie ein GSM-Jammer, das ist ein
-
ganz bedauerliches Missverständnis. Das
hatte die Polizei nämlich nicht
-
mitgenommen bei der Durchsuchung, ebenso
wie 30 Festplatten, und er bekommt jetzt
-
seine Geräte deshalb nicht zurück, weil
die Polizei sagt, das würde zu lange
-
dauern, den ganzen Kram anzuschauen. Aber
wir lernen aus dieser Sache: Es hat schon
-
irgendwie Sinn, 127.0.0.1 als Ort der
vorbildlichen Ordnung, Sicherheit,
-
Sauberkeit, und Disziplin zu pflegen, und
wenn ihr euch mal überlegt, wie das
-
aussieht wenn bei euch mal die Tür
aufgemacht wird und ein paar Geräte
-
rausgetragen werden, in den falschen Augen
kann das alle ganz komisch aussehen. Und
-
auch da fängt OpSec schon an.
T: Nämlich viel früher, bevor ihr den
-
Browser in die Hand nehmt, oder
irgendwelche Logins ausprobiert. Ja, was
-
gibt es denn noch auf einer technischen
Ebene, was uns verraten kann. Jetzt haben
-
wir sehr viel darüber gesprochen, dass
Hacker sich selbst in die Pfanne hauen,
-
weil sie zu geschwätzig sind, weil sie
vielleicht sogar zu ehrlich sind, und
-
irgendwelche Lücken melden. Was gibt es
wirklich für Bedrohungsszenarien, die den
-
Hackern gefährlich werden können: Das
sind, man könnte sagen das sind Metadaten,
-
die ja auch ein Stückweit so ähnlich sind
wie Fingerabdrücke, wie auf diesem
-
Metadaten-Aufkleber. Es gibt heute kaum
noch irgendwelche Dinge, die keine
-
Metadaten hinterlassen. Die Frage, wie man
Metadaten vermeidet, oder was mit
-
Metadaten angestellt werden kann, ist
immer sehr stark abhängig vom Kontext,
-
also auch irgendwelche Ermittler müssen
sich natürlich immer den Kontext mit
-
anschauen, wo Metadaten anfallen. Deshalb
ist natürlich einer der wichtigsten
-
Punkte, über die man sich bevor irgendwie
auch nur irgendwas anhackt, muss man sich
-
mal darüber im Klaren sein, was
hinterlasse ich eigentlich für Spuren. Und
-
das ist ist so der Teil, wo wir ein
bischen versuchen wollen, den jüngeren
-
Hackern oder Leute, die halt jetzt
anfangen, auch mal Sachen zu hacken, mal
-
ein paar Ideen mit auf den Weg geben, sich
Gedanken darüber zu machen, was benutze
-
ich für Geräte, was benutze ich für
Software, was für Spuren hinterlasse ich.
-
Selbst wenn ich jetzt gerade nicht am
Rechner sitze, hinterlasse ich ja irgendwo
-
Spuren, weil ich ein Smartphone mit mir
rumschleppe. Und das ist einfach wichtig,
-
einfach mal herauszufinden, wo hinterlasse
ich eigentlich Logs. Was sind Identitäten,
-
also wenn ich auch unter Pseudonym im Netz
unterwegs bin, und vielleicht sogar noch
-
Anonymisierungsdienste verwende, und
eigentlich die technische Voraussetzung
-
dafür geschaffen ist, dass ich auch anonym
bleibe, benutzt man als Hacker, oder als
-
Gruppe, vielleicht auch einfach
Pseudonyme, oder man verwendet vielleicht
-
irgendwelche kryptografischen Keys
mehrfach auf verschiedenen Systemen
-
L: Das ist immer sehr schlecht,
kryptografische Keys gibt es halt nur
-
einmal, das ist ja die Idee bei Key
T: Das ist ja der Sinn der Sache. Wenn ich
-
aber meine VMWares kopiere, und dann
vielleicht irgendwelche Hidden Services
-
aufmache und da Rückschlüsse auf die Keys
zu ziehen sind. Oder was ich verschiedene
-
Hostnamen dann auf ein und den selben Key,
SSH-Key-oder was auch immer, zurückführen.
-
L: Logs übrigens auch so ein Klassiker,
immer wieder Strategen, die Dateien dann
-
auf Truecrypt Volumes vorhalten, weil sie
gehört haben, dass das ja dann besser ist,
-
und dann in ihrem Betriebssystem aber das
Logging anhaben, mit welchem Player und
-
Viewer sie welche Dateien geöffnet haben,
so dass dann auf der unverschlüsselten
-
Partition des Betriebssystems schön noch
draufsteht, welche Videos und Dateien sich
-
vielleicht in den verschlüsselten
Bereichen befinden.
-
T: Ja, und da so, dieses Feature, für die
meisten Leute ist das halt ein Feature,
-
die wollen halt ihre recently used Apps
oder was auch immer schön im Zugriff
-
haben, damit sie weniger Tipp- und
Klickarbeit haben, könnte aber euch das
-
Genick brechen, wenn ihr dieses
Betriebssystem einfach nutzen wollt, um
-
einfach nur mal eben so rumzuhacken.
Wichtig ist halt hier, so können
-
irgendwelche Ermittler oder Leute, die
euch hinterher recherchieren, Identitäten
-
über euch erstellen, also über das, was
ihr da gerade, unter welchem Pseudonym
-
auch immer ihr da unterwegs seid. Die
können Profile anlegen, die können euren
-
Coding-Stil analysieren, eure
Rechtschreibung wenn ihr irgendwelche
-
Texte hinterlasst, oder euch in
irgendwelchen Foren anonym oder unter
-
Pseudonym mit irgendwelchen Sachen
brüstet, die Leute, die sich die Rechner,
-
die Server anschauen, die hops genommen
wurden, die schauen sich halt auch die
-
Bash-History an, wenn ihr die liegen
lasst, dann gucken die halt, wie geht ihr
-
mit so einer Konsole um, habt ihr Ahnung,
darauf kann man schliessen wie viele,
-
wieviel Erfahrung ihr im Umgang mit dem
Betriebssystem habt, und so weiter. Das
-
sind alles Sachen, auf die müsst ihr
achten, die müssen beseitigt werden, und
-
auch der Coding-Stil, wenn ihr irgendwo,
kann ja durchaus sein, dass ihr meint, ihr
-
müsst eine Funktionserweiterung im Kernel
hinterlassen, der Code wird später
-
analysiert, und, es gibt Software, die tut
das, also so wie man Plagiate erkennt. Da
-
gabs glaube ich vor zwei Jahren mal auch
einen Kongress-Talk darüber, wie man
-
anhand von Binary-Code quasi Rückschlüsse
auf den ursprünglichen Autor ziehen kann,
-
so dass man eben, Malware beispielweise
attributieren kann, oder leichter
-
attributieren kann. Wie auch immer, es
gibt unglaublich viele Dinge, auf die man
-
achten muss, und ihr müsst im Grunde
genommen selber rausfinden, mit was für
-
Werkzeugen hantiere ich hier eigentlich,
und was öffnen die für Seitenkanäle. Was
-
für Tracking und Telemetrie gibt es dort,
und wie kann ich es möglicherweise
-
abschalten. Es gibt irgendwie die Rules of
the Internet von Anonymous
-
L: ... von denen inzwischen keiner mehr
anonymous ist, aber dazu kommen wir
-
noch...
T: Die haben halt irgendwie schöne Regeln
-
aufgestellt, "Tits or get the fuck out"
lautet eine, und das ist halt genau eine
-
Regel, für die, die anonym bleiben
wollten... Übrigens, das ist die Nummer
-
falsch, aber ist egal... Ja, hier kommen
wir zu einem schönen Fail eines Hackers
-
mit dem Namen w0rmer, der hatte nämlich
ein Foto seiner... der Brüste seiner
-
Freundin veröffentlicht, und war er ganz
stolz drauf "Tits or get the fuck out"
-
dachten sich auch die Herren von der
Polizei, denn in dem...
-
L: In dem von iPhone aufgenommenen Bild
war die GPS-Metadaten von dem Zuhause der
-
Fotografierten
T: Dumm gelaufen...
-
L: Und deswegen kriegt w0rmer von uns den
Mario Barth Award für den überflüssigsten
-
OpSec-Fail
Applaus
-
T: Kennt ihr? Kennta kennta!
L: Fragen sich natürlich, wie geht denn
-
überhaupt Anonymität im Internet, wenn
schon Anonymous das nicht hinkriegt. Wir
-
wollen nicht entdeckt werden. Problem:
Unsere IP-Adresse verrät unsere Herkunft.
-
Das heißt, wir suchen nach etwas, was
unsere IP-Adresse verschleiert, und wenn
-
wir das bei Google eingeben, landen wir…
-
T: ... bei VPN-Anbietern, das ist so das
erste, was man findet. Du willst anonym im
-
Internet unterwegs sein? Dann benutze halt
ein VPN, wir auch oftmals als Ratschlag
-
nahegelegt. Nagut, da benutzen wir also
jetzt einen VPN-Provider, mit dem
-
verbinden wir uns, das wird dann
wahrscheinlich eine OpenVPN- oder was auch
-
immer Connection sein, die dafür sorgt,
dass unsere ursprüngliche IP-Adresse
-
verschleiert wird, so dass niemand auf
Serverseite quasi Rückschlüsse auf uns
-
direkt ziehen kann. Alles, was wir an
Traffic ins Internet senden, geht also
-
über dieses VPN, und von da aus zu unserem
Angriffsziel. Das ist hier eine böse
-
Firma, die hier jetzt angehackt wird. Und
die denkt sich so: "Whoa, was ist denn
-
hier los, komischer Traffic, ah, das ist
so ein VPN-Endpunkt". Und was haben wir
-
jetzt so davon, also wissen wir jetzt,
sind wir jetzt sicher? Wir treffen
-
irgendeine Annahme, nämlich die Annahme,
dass der VPN-Provider die Klappe hält. Und
-
dem glauben wir, dem vertrauen wir, obwohl
wir den noch nie gesehen haben. Aber
-
eigentlich ist ja der Sinn, dass wir
niemandem vertrauen müssen/wollen, wir
-
wollen niemandem vertrauen, weil was
passiert bei so einem VPN-Anbieter, wir
-
haben da einen Account, wir bezahlen da
möglicherweise für, warum sollte so ein
-
VPN-Anbieter sein VPN für lau anbieten.
Also, da liegt im Zweifelsfall eine
-
E-Mail-Adresse von uns, da liegen unsere
Kreditkartendaten oder Bitcoin-Wallet oder
-
was auch immer. Es gibt möglicherweise
Logs, aber wissen nichts davon. Vielleicht
-
hat der VPN-Provider beim nächsten
Betriebssystemupdate eine Logging-Option
-
an, die er vorher nicht an hatte, und so
weiter. Also es kann ganz viel passieren,
-
das kann halt auch eine Quellen-TKÜ bei
diesem Anbieter geben, und wir wollen das
-
aber nicht, wir wollen niemandem
vertrauen. Also ...
-
L: ... fangen wir nochmal von vorne an.
Bei dem Fall ist es halt schief gegangen,
-
wir müssen also irgendwie einen Weg
finden, wo wir nicht darauf angewiesen
-
sind, anderen zu vertrauen. Das heißt
nicht, dass wir denen nicht vertrauen
-
können, es ist heißt nur, dass wir es
nicht wollen. Aber, wir brauchen auf jeden
-
Fall erstmal ein anderes Angriffsziel, ich
würde sagen wir nehmen einfach mal
-
irgendeine Alternative
Gelächter und Applaus
-
L: Und dieses Mal nutzen wir Tor. Habt ihr
bestimmt schonmal von gehört, Tor ist
-
eigentlich relativ einfach. Euer
Datentraffic geht mehrmals über
-
verschiedene Stationen im Internet und ist
mehrmals verschlüsselt. Ihr sendet also an
-
einen sogenannten Tor Entry erstmal einen
mehrfach verschlüsselten... euren mehrfach
-
verschlüsselten Traffic und dieser Tor
Entry, der weiß ja jetzt wer ihr seid, der
-
weiß aber sieht aber nur in der an ihn
verschlüsselten Botschaft, dass die, dass
-
er die weitergeben soll an einen nächste
Node im Tor Netz, in diesem Fall die
-
Middle-Node, und die Middle-Node gibt das
vielleicht noch an andere Middle-Nodes
-
weiter, das wurde von euch vorher
festgelegt, bis ihr dann irgendwann beim
-
Tor Exit seid, und der Tor Exit macht dann
"hacke die hack hack". Und wenn jetzt
-
unser Angriffsziel schaut "was ist denn
los", da weiß der Tor Exit zwar "Ja, der
-
Traffic der kam wohl von mir, aber ich
habe keine Ahnung wo der her kommt, die
-
Middle-Node weiß eh nix, und der Tor Entry
weiß "Ja OK, der weiß zwar wer ihr seid,
-
aber er hat keine Ahnung, welchen weiteren
Verlauf die IP-Pakete und Datenpakete, die
-
ihr geschickt habt, gegangen sind. Da seid
ihr jetzt schon mal besser dran und müsst
-
nicht so vielen Leuten vertrauen, weil ihr
... weil sie es einfach nicht wissen
-
können. Es sei denn, ihr habt es mit einem
globalen Angreifer zu tun, dann seid ihr
-
natürlich etwas schlechter dran, aber so
für die kleine Datenreise kann man hier
-
auf jeden Fall noch ohne Reisewarnung auf
die Reise gehen. Es sei denn, man ist zu
-
blöd...
T: Jetzt haben wir quasi die technische
-
Voraussetzungen dafür, uns relativ anonym
im Internet zu bewegen. Wir brauchen
-
niemanden vertrauen und so weiter. Aber
jetzt kommt halt so die eigene Intelligenz
-
ins Spiel.
L: Das ist eigentlich erst das Level, an
-
dem wir Operational Security brauchen,
vorher brauchen wir gar nicht erst
-
anzufangen mit OpSec. Dachte sich auch ein
Student der Harvard University, der
-
irgendwie ein bisschen nicht gut
vorbereitet war für die Prüfung die an dem
-
Tag anstand. Und ihr kennt das, was macht
man, man überlegt sich so "Wie könnte ich
-
jetzt diese Prüfung noch zum ausfallen
bringen". Da gibt es eigentlich relativ
-
wenig Optionen, eine die aber immer ganz
gut funktioniert ist eine Bombendrohung.
-
Wer kennt das nicht.
Gelächter
-
L: Und hier, Harvard University Stratege
sagt: "Ich habe ja gelernt, wie das mit
-
der Anonymität im Internet ist, ich
benutze Tor". Und er schickt seine
-
Erpresser E-Mails, in denen steht "Ich
habe eine Bombe da da da oder da
-
positioniert". Einer davon der Räume in
dem er die Klausur schreibt um auch ganz
-
sicher zu gehen, dass auf jeden Fall der
geräumt wird, wenn schon nicht die ganze
-
Uni. Datenpaket kommt an, und was sagt die
Harward Universität, die ruft natürlich
-
die Polizei. Lalülala. Die Polizei sagt
"Ach guck mal hier, ist über Tor gekommen,
-
liebes NOC, schau doch mal bitte kurz ob
irgendjemand von den Studenten hier in dem
-
fraglichen Zeitpunkt Tor genutzt hat". Und
in dem Uni Netzwerk haben die sich
-
natürlich alle namentlich anmelden müssen.
Und da gab es dann eine kostenlose Fahrt
-
im Polizeiauto, weil wir hier eine
wunderschöne Anonymisierungs technologie
-
gehabt hätten, wenn wir uns nicht vorher
angemeldet hätten, und nur für den genau
-
den kleinen Zeitraum Tor genutzt haben, in
dem genau diese Erpressungs-E-Mails bei
-
der Uni ankamen. Aber wir bleiben ein
bisschen bei Anonymisierungsdiensten, was
-
ja auch insbesondere in der Öfentlichkeit
sehr viel die Menschen bewegt: Hidden
-
Services. Wir wollen also jetzt das ganze
Anonymisierungsnetzwerk umdrehen, wir
-
wollen nicht quasi als Angreifer versteckt
sein, sondern wir wollen unseren Server
-
da drin verstecken. Und das machen wir ganz
einfach, indem wir die Leute zwingen, dass
-
sie uns nur über Tor erreichen können. Das
heißt, unser Polizist muss auf jeden Fall
-
in ein Tor Entry, dann durch mehrere
Middle-Nodes, und irgendwann kommen die
-
Datenpakete bei uns an, ohne Tor jemals
wieder zu verlassen. Die Middle-Nodes
-
wissen nie, dass sie die erste oder die
letzte sind, und so routen wir unsere
-
Pakete immer irgendwie anders herum, und
haben jetzt einen Server im Internet, zu
-
dem viele Wege führen, aber nie wirklich
herauszufinden ist, auf welchem Weg wir
-
... wo wir diesen Server stehen haben.
Immer unter der Voraussetzung, dass nicht
-
jemand das gesamte Internet überwacht,
oder wir ein bischen zu blöd sind. Das
-
können wir verhindern, indem wir auf
unserem Hidden Service anfangen, keine
-
Logs zu schreiben, wir benutzen keine
bekannten SSH Keys. Relativ schlecht, wenn
-
ihr da den gleichen SSH Key wie bei der
Arbeit benutzt. Wir geben unserem Hidden
-
Service nur ein lokales Netz, fangen den
in irgendeinem RFC 1918, schaffen getrennt
-
davor einen Tor-Router, der also dann mit
dem Internet verbunden ist, und diesen ...
-
den Hidden Service freigibt, und dann die
Verbindung zu unserem Hidden Service
-
herstellt. Das schöne ist, unser Hidden
Service kann gar nicht mit dem Internet
-
verbunden, werden wenn er also versucht,
wenn ihn da so ein kleines Ping
-
entfleuchen würde oder so, das könnte
niemals in das große böse Internet
-
gelangen.
Gelächter
-
L: Und jetzt haben wir also unseren Hidden
Service da und sind total happy, denn das
-
große böse Internet kommt nur über das Tor
Netz zu uns. Aufwand zum Aufsetzen, wenn
-
man weiß wie man es macht und ein bisschen
geübt hat, würde ich sagen 1-2 Tage, und
-
schon bist du einen Drogenkönig. Und jetzt
sind die technischen Voraussetzungen da,
-
dass du deine OpSec wieder so richtig
schön verkacken kannst.
-
Gelächter
T: Es gibt da, um auch im Darknet zu
-
bleiben, diesen Fall "Deutschland im Deep
Web". Der Herr hatte sich da so ein Forum
-
und Marketplace aufgemacht, und der
Betrieb von solchen Diensten kostet ja
-
Geld. Also hat er um Spenden gebeten,
damit er seine Dienste weiterhin auch
-
gesichert anbieten kann. Und die Spenden
sammelt man natürlich in Bitcoin einer,
-
eine schön anonyme Bezahlvariante passend
zum Darknet. Ich habe Hidden Service, ich
-
kann nicht gefunden werden. Ich habe ein
anonymes Zahlungsmittel, ohne dass mein
-
Name daran klebt. Also haben wir den Weg
dass wir unsere Bitcoins irgendwann auch
-
nochmal versilbern wollen.
L: Irgendwann haste genug Burger im Room77
-
gegessen, dann musst du... dann willst du
vielleicht auch mal Euro haben, oder so.
-
T: Dann verlässt dieses anonyme
Geld irgendwann die digitale Welt und
-
wandert über so ein Bitcoin Exchange
Portal auf dein Sparbuch, und in dem Fall
-
hat es genau da schon "Knacks" gemacht,
denn deine Identität ...
-
Gelächter
T: ... ist genau in diesem Fall
-
aufgeflogen, weil wir hier über einen ...
auch noch einen deutschen Anbieter Bitcoin
-
Marketplace getauscht haben, und wie soll
es anders sein, da wird natürlich Auskunft
-
gegeben, wer denn der eigentliche
Empfänger ist, und auf welches Sparbuch
-
das ganze überwiesen wurde. Das heißt hier
kommen wir jetzt zum Satoshi Nakamoto
-
Award für anonyme Auszahlungen ...
Gelächter
-
T: ... für eine wohldurchdachte
Spendenplattform ist. Wirklich wirklich
-
gut gemacht.
-
L: Bitcoin ist anonym.
T: Ja, ja Bitcoin ist anonym.
-
L: Und was eigentlich ganz interessant ist
-
an den Fall, durch eigentlich einfach mal
saubere Polizeiarbeit ohne
-
Vorratsdatenspeicherung, ohne Responsible
Encryption, ohne Verbot von
-
Anonymisierungsdiensten hat die Polizei
hier ihre Arbeit geleistet. Es ging ja
-
hier dann auch nicht mehr nur um
Kleinigkeiten, sondern auf dieser
-
Plattform wurden Waffen gehandelt. Mit den
Waffen, die dort gehandelt wurden, wurden
-
Menschen getötet. Und ich denke hier kann
doch einfach mal sagen, die Polizei, die
-
ja gerne mal quengelt, das irgendwie alle
Daten von ihnen weg sind, und sie immer
-
mehr brauchen, hat hier einfach mal eine
gute Arbeit geleistet...
-
Applaus
L: ... ohne uns die ganze Zeit zu
-
überwachen, ist doch auch mal was das. Ist
doch Schön!
-
T: Brauchen gar keine
Vorratsdatenspeicherung
-
L: Können wir anonym bleiben... Aber man
hat natürlich noch sehr viel schönere
-
Metadaten, mit denen man zum Opfer fallen
kann. Sehr beliebt ist WLAN. Wer von euch
-
benutzt WLAN? Jetzt melden sich die, die
sich gerade schon gemeldet haben, als die
-
Frage war, ob sie schon mal eine
Sicherheitslücke gefunden haben.
-
T: Es heißt ja auch, man soll zum Hacken
irgendwie zu irgendwelchen Kaffeeketten
-
gehen. Vielleicht keine so gute Idee.
L: WLAN ist nicht mehr nur in eurer
-
Wohnung, die Signale die ihr da
ausstrahlt, die kommen relativ weit. Das
-
hat auch ein Mitglied von Anonymous
gelernt, der nämlich am Ende darüber
-
überführt wurde, dass man einfach vor
seinem Haus so einen Empfangswagen
-
hingestellt hat, und geguckt hat, wann
denn sein WLAN so aktiv ist. Wann also
-
sein Computer, wenn auch verschlüsselte
Pakete, durch das WPA verschlüsselte WLAN
-
und durchs Tor Netz und sieben Proxies und
hast du alles nicht gesehen, die am Ende
-
einfach nur korreliert: Wann ist der gute
Mann im IRC aktiv, und wenn er aktiv ist,
-
kann das sein, dass zufällig auch diese
Wohnung, auf die wir unsere Richtantenne
-
ausgerichtet haben, ein paar WLAN
Paketchen emittiert. Stellte sich heraus,
-
das war der Fall. Hat ihn am Ende in den
Knast gebracht. Und das spannende ist, wir
-
haben wir die Unverletzlichkeit der
Wohnung, die brauchten gar nicht rein zu
-
gehen, weil ihnen der Mensch, der sich
hier anonym halten wollte, quasi seine
-
Datenpakete frei Haus geliefert hat. Also
man könnte sagen: Ethernet ist OpSec-Net.
-
Applaus
T: Ein weiterer Killer für Anonymität ist
-
auch die Möglichkeit, dass so ein
Smartphone, wenn man rumrennt, oder eine
-
Uhr mit WLAN Funktionalität oder
Bluetooth, die hinterlassenen Spuren wo
-
man hingeht. Also es gibt ja auch
Marketingfirmen, die Lösungen anbieten,
-
was sich die MAC Adressen von den
Endgeräten auch zu tracken, also diese
-
Spuren hinterlässt man, auch wenn man
einfach so auf die Straße geht, und
-
hinterlässt damit natürlich auch Spuren,
die irgendwie korreliert werden können mit
-
dem eigenen Verhalten. Und wenn es einfach
nur darum geht, man ist irgendwie zum
-
bestimmten Zeitpunkt gerade nicht zu
Hause, ...
-
L: Aber ich bin voll klug, ich kann meine
MAC-Adresse randomisieren. MAC-Changer.
-
Voll geil.
T: Super. Dein Telefon ist aber auch nicht
-
nur einfach so an, das kennt irgendwie so
10, 15 oder 20 verschiedene SSIDs, also
-
verschiedene WLAN Netze, in die du dich
regelmäßig einbuchst, und selbst wenn du
-
deine MAC-Adresse regelmäßig änderst, wird
dieses Gerät diese Probes regelmäßig
-
raussenden und hinterlässt damit ein
Profil über dich. Ja, da rechnest du erst
-
mal nicht mit. Es eigentlich viel
einfacher, dich über so ein Set an
-
bekannten SSIDs Probes zu identifizieren
als über eine MAC-Adresse. Du hinterlässt
-
eine sehr starke Identität, egal wo du
hingehst und wo du dich da aufhälst.
-
L: Ich seh gerade, hier haben wir offenbar
jemanden gefangen in der vierten SSID von
-
oben, der war sogar schonmal im Darknet.
T: Und im St. Oberholz.
-
Das ist eigentlich fast das gleiche, oder?
L: Ein echt ärgerliches Phänomen, was die
-
Hersteller eigentlich meinten beseitigt zu
haben, indem sie dann die MAC Adressen bei
-
den Probe Requests randomisieren. Aber
einfach nur die Anzahl der WLANs, die eure
-
Geräte kennen, ist mit wenigen WLANs
sofort eindeutig und spezifisch auf euch
-
in dieser Kombination. Und nach dieser
Kombination kann man eben überall suchen.
-
T: Also was kann man hier so ganz
grundsätzlich mal sagen, wenn man
-
irgendwie Sorge hat, getracked zu werden,
dann sollte man dafür sorgen dass das WLAN
-
auf allen im Alltag genutzten Devices
ausgeschaltet wird, wenn man die Wohnung
-
verlässt, oder wenn du irgendwas hackst.
L: Kommt ja manchmal vor....
-
T: Manchmal.
L: Auch sehr schön, habe ich einen Fall
-
gehabt, manchmal berate ich Leute, in dem
Fall war das eine Gruppe von
-
ehrenamtlichen U-Bahn Lackierern ...
Gelächter und Applaus
-
L: ... die sich dafür interessierten, wie
denn so ihre Arbeitsabläufe zu bewerten
-
sind. Und die hatten Diensthandys, die sie
nur für den Einsatz beim Kunden benutzt
-
haben. Was ja erstmal, also es war ja
schön gedacht. Das einzige Problem war
-
natürlich, sie haben die auch wirklich nur
beim Kunden eingesetzt. Und wenn man jetzt
-
einmal in so eine Funkzellenabfrage damit
gerät, und die Polizei spitz kriegt: "Oh,
-
wunderbar, wir machen jetzt einfach jedes
Mal, wenn die ein neues Bild gemalt haben,
-
so wie die Hacker von Putin, dann machen
wir einfach eine kleine Funkzellenabfrage
-
und schauen uns mal, welche IMEIs, welche
IMSIs waren denn so in welchen Funkzellen
-
eingeloggt. Das macht ihr 2, 3 Mal, dann
seid ihr das nächste Mal, wenn ihr im
-
Einsatz seit, ehrenamtlich, wartet die
Polizei schon an eurem Einsatzort. Denn
-
Mobiltelefone lassen sich einfach live
tracken, wenn man weiß nach welchen man
-
sucht. Und auch hier eben ein
wunderschöner Fall von OpSec Fail.
-
Übrigens wollte ich nur darauf hinweisen,
das ist kein Bild von der angesprochenen
-
Gruppe. So klug waren die schon, ich habe
einfach irgendeins gegoogelt.
-
T: Und hier wird ein Pseudonym, also was
weiß ich, irgendein Name dieser Gruppe,
-
wird dann irgendwann aufgelöst und wird
einer bestimmten Person oder
-
Personengruppe zugeordnet, und weil halt
über einen längeren Zeitraum immer wieder
-
diese Metadaten angefallen sind, immer mit
diesem Bild, mit diesem Schriftzug, mit
-
dem Namen, also diesem Pseudonym
assoziiert werden können, und irgendwann
-
kommt der Tag, und wenn es nach fünf oder
nach zehn Jahren ist, da wird man das dann
-
quasi alles auf eine Person zurückführen
können.
-
L: Das ist echt so dieser Geltungsdrang,
der den Graffiti Sprüher irgendwie immer
-
wieder zum Verhängnis wird so. Einmal so
eine Bahn zu besprühen, und diese wieder
-
sauber machen zu lassen, das kriegste
vielleicht noch geschultert, aber wenn du
-
das irgendwie 20 Mal gemacht hast, und
dann erwischt wirst... Schlecht.
-
T: Beim 19. Mal denkt man noch: Ey, ich
wurde jetzt 20 mal nicht erwischt, oder 19
-
Mal...
L: Sie könnten jedes Mal einen anderen
-
Namen malen oder so.
T: Ja okay, aber das ist ja unter Hacker
-
ja auch so, es gab ja auch Defacement
Organisationen, die das quasi in der
-
digitalen Welt ähnlich gemacht haben. Wie
auch immer, wie ich schon am Anfang
-
angesprochen habe, ist eigentlich das
wichtigste, dass man weiß, was für
-
Werkzeuge man verwendet. Dass man die
Werkzeuge beherrscht, dass man nicht
-
einfach irgendwas herunterlädt, weil man
hat davon mal irgend etwas gehört oder ein
-
Kumpel hat mal was gesagt, oder man hat im
Internet irgendwas gelesen. Kenne dein
-
Gerät. Setze sich mit der Technik
auseinander, die du da benutzt, und
-
benutze halt die Technik, die du am besten
beherrscht. Beispielsweise Web Browser.
-
Das ist schon ein ganz wichtiges Thema,
ich meine viele dieser ganzen Web
-
Application Geschichten, über die stolpert
man hauptsächlich mit Browsern. Und
-
heutzutage ist eigentlich völlig egal, was
für einen Browser man benutzt, die haben
-
alle irgendwelche Macken, irgendwelches
Tracking, oder Telemetry enabled. Das ist
-
zum Beispiel auch bei Mozilla ein großes
Ding, Wenn man halt eine sehr beliebte
-
Extension installiert hat, und die zum
Beispiel den Besitzer wechselt, und dieser
-
neue Besitzer dann einfach klammheimlich
irgendein Tracking einbaut, das alles
-
schon vorgekommen, kann euch das ....
L: ... da haben wir einen Vortrag drüber
-
gehabt ...
T: Kann euch das irgendwann den Kopf
-
kosten, und deswegen müssen ihr ganz genau
wissen: Was benutze ich hier für Tools,
-
was ändert sich wenn ich dieses Tool
vielleicht mal update, oder irgendwie eine
-
kleine Extension update. Setzt euch
einfach damit auseinander, denn was die
-
Werbeindustrie ganz gut drauf hat, ist
euch zu tracken, egal ob ihr jetzt Cookies
-
akzeptiert oder irgendwie Tracking
disabled habt, die können das ganz gut mit
-
Browser Footprinting, da gibt es
verschiedene Methoden auf einem ganz
-
anderen Weg. So wie man eben diese WLAN
Probe Requests irgendwie nutzen kann um da
-
einen Footprint zur identifizieren, kann
deshalb bei Browsern genauso
-
funktionieren. Also, was kann man da
machen? Man verwendet vielleicht Wegwerf-
-
Profile, man sorgt dafür, dass die Daten
zuverlässig von der Festplatte wieder
-
verschwinden. Idealerweise hat man ja
ohnehin einen Laptop, mit dem man dann
-
hackt, den mann regelmäßig mal platt
macht. Und man muss dafür sorgen, dass
-
egal was für einen Browser ihr verwendet,
dass alle Datenlecks zuverlässig gestoppt
-
werden. Ein Serviervorschlag für so ein
Setup, anonym und mit möglichst wenig
-
Datenlecks unterwegs zu sein, ist einfach
alles zu trennen, was man trennen kann.
-
Wenn ihr grundsätzlich davon ausgeht, dass
irgendwo etwas schief gehen kann, und es
-
wird irgendwo etwas schief gehen, dann
müsst ihr einfach dafür sorgen, dass
-
dieses Risiko möglichst minimal gehalten
wird. Also wäre eine Möglichkeit: Ihr
-
benutzt einen Rechner, als Hardware oder
VM, wo ihr eure Hacking Workstation drin
-
habt, irgend ein Kali oder BSD, oder was
auch immer, und über meinetwegen Hunix
-
Installation dafür sorgt, dass keine
Datenlecks nach außen gelangen können. Es
-
wird immer noch irgendwelche Datenlecks
geben, die so ein Hunix nicht abhalten
-
kann, aber es minimiert zumindest
bestimmte Risiken bevor irgendwelche
-
Pakete fahrlässig ins große böse Internet
gesendet werden, wo eine Menge Leute
-
darauf warten. Also deine Geräte, lass
dich nicht beeinflussen von irgendwelchen
-
Leuten, die halt sagen: "Ne, du musst das
Betriebssystem benutzen, sonst bist du
-
nicht cool oder sonst kann es ja nicht
mitmachen". Ihr müsst genau das
-
Betriebssystem benutzen, mit dem ihr euch
am besten auskennt, denn nur wenn ihr euer
-
System beherrscht und gut kennt, könnt ihr
auch, wisst ihr halt über all diese
-
Nachteile, die hier eine Rolle spielen,
wisst ihr darüber Bescheid, ihr könnt das
-
berücksichtigen in eurem Verhalten.
Faulheit ist auch ein großer Killer von
-
Anonymität, ebenso dieses vorausschauende
OpSec, dass man sagt, ich benutze von
-
vornherein Tor, auch wenn ich jetzt gerade
nur was im Onlineshop was einkaufen will.
-
Einfach nur um sicher zu sein, dass man
nirgendwo einfach nur aus Faulheit irgend
-
einen Schutzmechanismus mal weglässt. Kann
ja auch sein, dass irgendein Target Server
-
einfach sagt: "Nöö, ich blockier aber Tor
Exit Nodes". Kommt vor. Oder dass zum
-
Beispiel die Captchas immer lästiger
werden, wenn man über einen Tor Exit Node
-
kommt. Das ist einfach alles nur dafür da,
euch zu nerven und einfach mal für einen
-
kleinen Augenblick Tor abzuschalten und
vielleicht normalen VPN-Anbieter zu
-
benutzen, oder komplett auf irgendeine
Verschleierung zu verzichten. Und ja,
-
diese Faulheit wird euch im Zweifelsfall
auch das Genick brechen. Was wir in
-
Zukunft eventuell auch häufiger sehen
könnten ist etwas, das sind Canaries.
-
Colin Malena hat letztes Jahr auch schon
auf dem Kongress glaube ich über Canaries
-
in Embedded Devices gesprochen. Das sind
einfach nur irgendwelche Pattern, die in
-
der Firmware hinterlassen werden, die dann
gemonitored werden, ob jemand danach
-
googelt. Das heißt, ich kann also auch auf
einem Produktionssystem so eine Art Pseudo
-
Honeypot installieren, und eine Datenbank
mit scheinbar realen Daten füllen, und
-
irgendein Angreifer, der halt sehr
neugierig ist, wird das möglicherweise
-
ausprobieren, ob das Login von der Frau
Merkel dann auch wirklich funktioniert,
-
oder er wird vielleicht nach irgendeinem
Pattern auch googeln und herauszufinden,
-
ob sich dann noch mehr holen lässt, um die
Qualität und vielleicht auch den Wert der
-
erbeuteten Daten auszukundschaften. Das
heißt, da ist auch Neugier dann der Killer
-
was Anonymität angeht. Und ja, das sind
halt einfach Fallen, die ausgelegt werden,
-
und man sollte grundsätzlich so eine
gewisse Grundparanoia haben. Man sollte
-
immer davon ausgehen, das jemand einem
eine Falle stellt.
-
L: Zum Beispiel auch, wenn das Männchen
vom Elektroversorger kommt, und so was
-
mitbringt; Wisst ihr, was das ist? Das ist
ein Smart Meter. Auch das natürlich ein
-
Gerät, was unter der Maßgabe des "Digital
First, Bedenken Second" gerade ausgerollt
-
wird und eine ganze Menge Metadaten über
euer Verhalten sammelt. Müsst ihr euch
-
aber nicht unbedingt Sorgen machen, weil
das ist ja vom Bundesamt für Sicherheit in
-
der Informationstechnik abgenommen, da
kann eigentlich nichts schief gehen. Außer
-
natürlich, dass Geräte mit
Deutschlandflagge und Adler für die
-
hacksportliche Nutzung grundsätzlich
ungeeignet sind, deswegen raten wir davon
-
ab. Und sind gespannt, was wir noch alles
für Metadatenquellen in unserer Zukunft
-
sehen werden.
T: Ja, und ihr seht schon, es sind nicht
-
immer nur die technischen Probleme, die
ihr nicht berücksichtigt, das seid auch
-
ihr selbst, eben dieses ungeduldig sein
oder faul sein, oder wenn man sich gerne
-
Sachen schön redet und sagt "So naja, nu,
ist jetzt irgendwie 19 Mal gut gegangen,
-
warum sollte ich jetzt irgendwie immer und
immer wieder den gleichen Aufwand
-
betreiben, das wird schon schiefgehen.
Warum sollte jemand in dieses Log
-
gucken". Ist so vergleichbar mit "Warum
sollte irgendjemand diesen Unsinn in
-
dieses Formularfeld eintragen". Also man
trifft hier Annahmen, die halt fatal sind,
-
und da muss man halt auch sehr stark
darauf achten, dass man selbst nicht sich
-
selbst verrät. Die Frage ist zum Beispiel
auch: Geht man oft gerne feiern und
-
brüstet sich dann vielleicht auf einer
Feier beim Bier irgendwie mit Erfolgen
-
oder gibt man sich gerne geheimnisvoll? So
gibt man immer wieder gerne auch mal
-
Geheimnisse preis, die einem das Genick
brechen. Da gibt es auch Fälle, wo dann
-
Leute aus dem Freundeskreis eben
angefangen haben, Daten auch nach außen
-
sickern zu lassen. Ansonsten sind das noch
Kleinigkeiten wie ich schon sagte der
-
Coding-Stil kann ein verraten, das ist wie
eine Handschrift, aber deine
-
Rechtschreibung und Grammatik ist es auch.
Vielleicht kann man da irgendwelche
-
Translation-Services benutzen und hin und
her übersetzen, wenn man schon in
-
irgendwelchen Foren schreiben muss.
Bestimmte Skills, Eigenschaften, die ihr
-
technisch beherrscht, die andere
vielleicht nicht so gut beherrschen,
-
können euch auch genausogut verraten. Das
sind am Ende einfach nur einzelne
-
Indizien, die von Ermittlern oder Leuten,
die euch jagen, kombiniert werden, um
-
nem plausiblen Beweis zu finden, um euch
zu finden. Ja, ansonsten ist auch oft,
-
wenn ihr irgendwo was zerhackt habt, dann
hinterlasst hier vielleicht auch
-
irgendwelche Funktionserweiterer und
Werkzeuge, die es euch erlauben, Sachen
-
hoch oder runter zu laden. Diese Sachen
bleiben im Zweifelsfall dort liegen, weil
-
euch jemand die Internetleitung kappt, und
diese Daten können dann halt analysiert
-
werden. Rechnet immer damit, dass dieser
Fall eintreten kann, und sorgt dafür, dass
-
sich eure Tools, dass es da keinen
Zusammenhang ergibt zu euch. Ja, ansonsten
-
eben einfach mal tief durchatmen,
vielleicht ein bisschen diskreter an die
-
Sache rangehen, und versuchen unter dem
Radar zu bleiben, nicht herum zu posen,
-
keine Andeutungen zu machen, um damit
irgendwie ein Geheimnis geheimnisvoller
-
da zu stehen. Nicht übermütig zu werden,
das ist einer der wichtigsten Punkte, und
-
eben, dieser Geldfall, nicht gierig zu
werden, klar. Geld macht eh nicht
-
glücklich, also von daher, werde einfach
nicht übermütig. Ich glaube, das ist am
-
Ende auch ein ganz großer Faktor, wenn man
irgendwie jahrelang irgendwelche Sachen
-
zerhackt hat, dass man da übermütig wird.
Und, verhaltet euch einfach so wie ihr
-
euren Eltern das immer auch empfohlen
habt: Klickt nicht auf irgendwelche Links,
-
die ihr per Spam E-Mail zugeschickt
bekommt. Klickt nicht auf irgendwelche
-
Anhänge, die euch zugeschickt werden
ungefragt. Und seid einfach nicht so
-
leichtfertig.
L: Was auch noch zu verräterischen
-
Schwächen gehört ist auch ein Fall aus dem
Anonymous-Umfeld: Dein Kumpel hat Kind und
-
Familie, ist erpressbar, und versuchte
dich, ans Messer zu liefern.
-
T: Ich habe kein Messer dabei...
L: OK. Es gibt eigentlich, wenn ihr euch
-
das so anschaut, niemanden der das so mit
dem Hacking länger durchgehalten hat, will
-
man meinen. Aber es gibt einen, das ist
Fisher, kein Mensch weiß wie er aussieht,
-
kein Mensch weiß ob es mehrere oder wenige
sind. Und diese Person, dieses Pseudonym,
-
ist ein Staatstrojaner-Jäger, hat einfach
mal Gamma Finfisher aufgemacht, hat in
-
Italien das Hacking Team aufgemacht, und
vor kurzem gab es dann die frohe Kunde,
-
dass die Ermittlungsverfahren eingestellt
wurden, weil es keine Spuren gibt, um
-
irgendwie diese Person oder diesen Hacker
zu finden. Und dafür gibt es von uns
-
natürlich die lobende Erwähnung und den
Hat-Tip....
-
Applaus
L: Kommen wir zum Fazit: Pseudonym ist
-
nicht anonym. Verratet nicht eure Pläne,
seid nicht in der Situation, dass ihr
-
jemandem vertrauen müsst. Seid vor allem
vorher paranoid, weil nachher geht das
-
nicht mehr. Kennt eure Geräte, trennt
Aktivitäten und Geräte, es ist sehr
-
sinnvoll mehrere Geräte zu haben, vor
allem wenn man von der Polizei durchsucht
-
wird wie Alberto, und die nur die Hälfte
mitnehmen, habt ihr danach vielleicht noch
-
ein Gerät über. Haltet euer Zuhause rein,
und vor allem lasst die Finger vom
-
Cybercrime. Andere waren besser als ihr
und haben es auch nicht geschafft. Bitcoin
-
ist eh im Keller. Also lasst es sein.
Applaus
-
L: Und dann bleibt uns eigentlich nur noch
ein ein allerletzter wichtiger Rat, und
-
das ist nie ohne Skimaske hacken.
T: Und immer auch nie ohne Ethik hacken.
-
L: Und bitte bitte bitte bitte nie ohne
Ethik hacken, den Vortrag über die
-
Hackerethik, auch dass ein
Einführungsvortrag, den gab es an Tag eins
-
von Frank Rieger. Ihr könnt euch auch den
Seiten des CCC darüber informieren, spart
-
euch den Ärger, arbeitet auch der
leuchtend glänzenden Seite der Macht und
-
seid gute Hacker. Macht keinen Scheiß,
dann aber auch keine Sorgen. Vielen Dank !
-
Applaus
-
T: Ich hab auch noch eine.
Applaus
-
T: Ist bald wieder Fasching, ne
Applaus
-
Abspannmusik
-
Untertitel erstellt von c3subtitles.de
im Jahr 2019. Mach mit und hilf uns!