1 00:00:00,000 --> 00:00:17,420 *35C3 Vorspannmusik* 2 00:00:17,420 --> 00:00:19,649 Herald: Herzlich willkommen zum nächsten Talk 3 00:00:19,649 --> 00:00:22,689 "Du kannst alles hacken – du darfst dich nur nicht erwischen lassen". 4 00:00:22,689 --> 00:00:24,590 Kleine Umfrage: Wer von euch 5 00:00:24,590 --> 00:00:26,710 hat schonmal eine Sicherheitslücke gefunden 6 00:00:26,710 --> 00:00:27,940 und gedacht: "Oh Scheisse, wenn ich das jetzt jemandem 7 00:00:27,940 --> 00:00:31,530 erzähle, dann stecke ich aber ganz schön tief drin, das könnte Ärger geben"? 8 00:00:31,530 --> 00:00:34,100 Bitte Handzeichen, für wen trifft das zu? 9 00:00:34,100 --> 00:00:36,910 *Zwischenruf aus dem Publikum*: Kamera aus *Gelächter* 10 00:00:36,910 --> 00:00:40,489 Herald: Andere Frage: Wer von euch würde denn gern mal eine Sicherheitslücke 11 00:00:40,489 --> 00:00:45,100 finden, auch Handzeichen. *Gelächter* 12 00:00:45,100 --> 00:00:48,769 Alles klar, ich erkläre euch alle hiermit zu Betroffenen und diesen Talk für 13 00:00:48,769 --> 00:00:52,830 relevant für euch, denn viele Hackerinnen und Hacker stehen irgendwann im Laufe 14 00:00:52,830 --> 00:00:57,249 ihrer Karriere vor dem Problem oder in der Situation dass sie irgendwas gefunden 15 00:00:57,249 --> 00:01:01,000 haben oder irgendwo reingekommen sind, sich irgendwo reinverlaufen haben, und 16 00:01:01,000 --> 00:01:04,709 wissen, wenn die betroffenen Leute, in deren Architektur sie gerade drinstehen 17 00:01:04,709 --> 00:01:08,540 das mitkriegen, dann gibt's so richtig Ärger, das wird großes Missfallen erregen. 18 00:01:08,540 --> 00:01:12,070 Und in diesem Talk geht es darum, welche Worst-Case-Szenarien auf euch 19 00:01:12,070 --> 00:01:16,310 zukommen können, wie ihr damit umgeht, und am aller besten, wie ihr euch gar nicht 20 00:01:16,310 --> 00:01:20,350 erst erwischen lasst. Und unsere Speaker, Linus Neumann und Thorsten Schröder, sind 21 00:01:20,350 --> 00:01:24,290 Experten für IT-Sicherheit. Ihr kennt sie vielleicht noch von dem PC-Wahl-Hack. 22 00:01:24,290 --> 00:01:28,800 Da gings darum, dass sie Sicherheitlücken in der Bundestags-Wahl-Software gefunden 23 00:01:28,800 --> 00:01:32,261 haben, da gibt es eine sehr empfehlenswerte Folge. 24 00:01:32,261 --> 00:01:35,101 Alles klar, alles Quatsch was ich erzählt habe, ich empfehle 25 00:01:35,121 --> 00:01:37,080 euch die Folge von logbuch-netzpolitik.org 26 00:01:37,080 --> 00:01:39,920 trotzdem, die ist nämlich hörenswert, nämlich die Nummer 228 27 00:01:39,920 --> 00:01:43,630 "Interessierte Bürger". Jetzt erstmal einen ganz herzlichen Applaus für Linus 28 00:01:43,630 --> 00:01:50,360 Neumann und Thorsten Schröder, Viel Spass *Applaus* 29 00:01:50,360 --> 00:01:54,140 Linus Neumann: Vielen Dank, dass ihr alle da seid. Vielen Dank für das herzliche 30 00:01:54,140 --> 00:01:57,690 Willkommen. Ich fand das auch schön, dass grad da einige von euch direkt den ersten 31 00:01:57,690 --> 00:02:01,880 OpSec fail gemacht haben und sich erstmal gemeldet haben. Wir haben noch nie 32 00:02:01,880 --> 00:02:05,650 irgendwas gehackt, wir haben mit nichts was zu tun. In unserem kleinen Talk soll 33 00:02:05,650 --> 00:02:10,630 es darüber gehen, über das Thema über das hier alle reden ist Hacking. Wir sehen 34 00:02:10,630 --> 00:02:15,690 über die Jahre viele feine, junge Hacker landen irgendwie im Knast, und es gibt 35 00:02:15,690 --> 00:02:20,441 einfach viele Risiken, die den Hacksport begleiten, und den Genuss trüben, 36 00:02:20,441 --> 00:02:24,290 zum Beispiel sowas wie Hausdurchsuchungen, eingetretene Türen, hohe Anwaltskosten, 37 00:02:24,290 --> 00:02:31,830 alles das muss nicht sein. Es lohnt sich für euch vielleicht, zu überlegen, wie 38 00:02:31,830 --> 00:02:39,760 auch ihr weiterhin freie Menschen bleiben könnt. Denn wir wissen, Hacker, das sind 39 00:02:39,760 --> 00:02:43,900 freie Menschen, so wie Künstler, die stehen morgens auf, und wenn sie in 40 00:02:43,900 --> 00:02:48,960 Stimmung sind, dann setzen sie sich hin und malen ihre Bilder. Und wir möchten, 41 00:02:48,960 --> 00:02:56,580 dass ihr noch viele schöne Bilder malen könnt. Und der Weg dahin ist: OpSec. 42 00:02:56,580 --> 00:02:59,530 Und darüber wollen wir heute mit euch reden. 43 00:02:59,530 --> 00:03:02,610 OpSec ist eigentlich sehr einfach zusammengefasst, 44 00:03:02,610 --> 00:03:12,740 hier auch übrigens... Schönes, schönes... 45 00:03:12,740 --> 00:03:14,480 Schönes Lehrmaterial auch wieder 46 00:03:14,480 --> 00:03:24,099 aus Russland, das scheint da die irgendwie umzutreiben. Wir haben, fangen wir mal 47 00:03:24,099 --> 00:03:30,880 ganz einfach im ganz normalen, den ersten Computerwurm an: Übermut tut selten gut, 48 00:03:30,880 --> 00:03:36,291 das ist eine der wichtigsten Lehren eurer operational Security, denn Angeberei und 49 00:03:36,291 --> 00:03:41,630 Übermut bringen euch gern das ein oder andere Problem ein. Und das wissen wir 50 00:03:41,630 --> 00:03:47,100 ungefähr seitdem es Computerwürmer überhaupt gibt. Der erste große 51 00:03:47,100 --> 00:03:51,579 Computerwurm, der so international unterwegs war, und die Hälfte des 52 00:03:51,579 --> 00:03:56,879 Internets lahmgelegt hat, war der Morris- Wurm, der mehrere Schwachstellen in 53 00:03:56,879 --> 00:04:02,629 Sendmail, Finger, Remote-SH und ein paar schwache Passwörter ausgenutzt hat, um 54 00:04:02,629 --> 00:04:07,050 sich selber zu verbreiten, war halt ein Computerwurm. Das führte also zu einem 55 00:04:07,050 --> 00:04:12,840 Internetausfall 1988. Und ihr fragt euch wahrscheinlich: Warum heißt der Wurm denn 56 00:04:12,840 --> 00:04:21,440 Morris-Wurm? Naja, weil sein Erfinder sehr sehr stolz war auf seinen Wurm, und gerne 57 00:04:21,440 --> 00:04:26,120 davon erzählt hat, wie er funktioniert hat. Und zu einem Zeitpunkt stand er wohl 58 00:04:26,120 --> 00:04:31,790 irgendwann in der Harward-Universität auf dem Tisch, und predigte, wie sein Wurm 59 00:04:31,790 --> 00:04:36,320 funktionierte in alle möglichen Details. Es war aber auch klar, dass die 60 00:04:36,320 --> 00:04:40,639 ursprüngliche Infektion dort stattgefunden hat, er hat allen davon erzählt. 61 00:04:40,639 --> 00:04:45,320 Irgendwann hats jemand einem Journalisten erzählt, er musste es dann zugeben. Er hat 62 00:04:45,320 --> 00:04:49,630 bekommen, dass der Computerwurm immerhin seinen Namen trägt. Allerdings auch 63 00:04:49,630 --> 00:04:56,630 3 Jahre Bewährung, 400 Stunden soziale Arbeit, und 10.000 Dollar Geldstrafe, ohne 64 00:04:56,630 --> 00:05:01,930 den eigenen Geltungsdrang wäre es ihm unter Umständen erspart geblieben. Aber 65 00:05:01,930 --> 00:05:05,250 nicht nur bei Hackern haben wir so kleine Probleme mit Operational Security und 66 00:05:05,250 --> 00:05:09,840 Geltungsdrang, das haben wir auch bei Bankräubern. Und zwar haben wir hier einen 67 00:05:09,840 --> 00:05:15,160 jungen Mann, der hat eine Bank ausgeraubt. Und was macht man so, wenn man spannendes 68 00:05:15,160 --> 00:05:19,180 erlebt hat, und gerade so das ganz große Geld abgesahnt hat: Natürlich erstmal ein 69 00:05:19,180 --> 00:05:25,920 Selfie. Ja. Wenn das nicht reicht, kann man auch noch ein anderes Selfie machen. 70 00:05:25,920 --> 00:05:27,520 *Gelächter* 71 00:05:27,520 --> 00:05:36,880 Oder die Komplizin. Und auch Essen. Und dann gehts ganz schnell ins InstaJail. Und 72 00:05:36,880 --> 00:05:41,610 man denk, das wär jetzt so ein Einzelfall, ne, denkt so: OK, so blöd kann ja 73 00:05:41,610 --> 00:05:46,250 eigentlich keiner sein, aber wenn man sich so im Internet umschaut, braucht man echt 74 00:05:46,250 --> 00:05:52,869 nicht lange, um immer mehr Spezialexperten zu finden, die solche Bilder posten. Und 75 00:05:52,869 --> 00:05:56,470 das endet auch immer gleich: Hier der junge Mann mit den, also der muss ganz 76 00:05:56,470 --> 00:06:00,639 schreckliche Zähne haben, der hat alle Zähne schon aus Gold jetzt, die wurden 77 00:06:00,639 --> 00:06:07,010 auch verurteilt, weil sie auf Facebook damit angegeben haben, das sie Geld haben. 78 00:06:07,010 --> 00:06:11,899 Nun, wenn wir uns das anschauen, in den Pionieren des Car-Hackings, da haben wir 79 00:06:11,899 --> 00:06:18,190 im Prinzip das gleich Phänomen. Man muss dazu sagen, die ersten Unternehmungen im 80 00:06:18,190 --> 00:06:27,220 Car-Hacking waren eher so analoger Natur und eher Brute-Force. Und die Pioniere in 81 00:06:27,220 --> 00:06:32,750 diesem Bereich waren also diese beiden jungen Männer, die hier einen ganz großen 82 00:06:32,750 --> 00:06:38,479 Hack geleistet haben, nämlich die Fahrerscheibe eingeschlagen, 5000 Dollar 83 00:06:38,479 --> 00:06:44,171 und ein iPad aus einem Truck geklaut haben. Und, was macht man als erstes, wenn 84 00:06:44,171 --> 00:06:49,810 man ein iPad hat und so: Naja, erstmal in den Burger-King gehen, weil da gibts WLAN. 85 00:06:51,494 --> 00:06:55,640 Und ein bischen mit dem iPad daddeln. Und dann haben sie festgestellt: Ey, geil da 86 00:06:55,640 --> 00:06:59,909 kann man Videos mit machen. 87 00:06:59,909 --> 00:07:06,209 [Video wird abgespielt] 88 00:07:06,209 --> 00:07:18,900 .... This is my brother Dylan.. This.... good nights hassle 89 00:07:18,900 --> 00:07:24,639 L: Und weil sie in dieses gestohlene iPad mit dem WLAN vom Burger King verbunden 90 00:07:24,639 --> 00:07:29,310 hatten, passierte das, was passieren musste.... 91 00:07:29,310 --> 00:07:33,950 *Gelächter* 92 00:07:33,950 --> 00:07:39,310 L: Und der Eigner des Fahrzeuges hat dann 93 00:07:39,310 --> 00:07:44,450 eine Woche später das Video der Polizei übergeben, und die Polizei meinte, die 94 00:07:44,450 --> 00:07:48,021 sind ihnen auch gar nicht so unbekannt. Und haben sich um die jungen Männer 95 00:07:48,021 --> 00:07:52,780 gekümmert. Thorsten Schröder: Aber kommen wir mal 96 00:07:52,780 --> 00:07:58,160 zurück in die Computerhacker-Ecke, über die wir heute eigentlich sprechen wollen, 97 00:07:58,160 --> 00:08:02,210 jetzt haben wir einen kleinen Ausflug in die analoge Welt gemacht. Was kann denn 98 00:08:02,210 --> 00:08:09,319 alles schief gehen wenn man sich als interessierter Surfer oder sonstwas auf 99 00:08:09,319 --> 00:08:14,659 Online-Shopping-Portalen herumtreibt. Zunächst will man zunächst vielleicht doch 100 00:08:14,659 --> 00:08:18,950 irgendwelche Waren erwerben, dann fängt man da an, irgendwie im Online-Shop 101 00:08:18,950 --> 00:08:24,510 rumzuklicken. Plötzlich rutscht man mit der Maustaste aus, das passiert ja 102 00:08:24,510 --> 00:08:28,760 manchmal, dass man da vielleicht irgendwie aus Versehen ein falsches Zeichen eingibt, 103 00:08:28,760 --> 00:08:35,578 und was hier halt wichtig ist: Wir reden hier von einem Threat-Level, ein Level 104 00:08:35,578 --> 00:08:39,840 eines Bedrohungsszenarios für den Hacker, also wenn ihr da irgendiwe mit dem Online- 105 00:08:39,840 --> 00:08:43,789 Shopping-Portal unterwegs seid, und da aus Versehen auf der Maus ausrutscht, dann 106 00:08:43,789 --> 00:08:48,510 habt ihr ein gewisses Bedrohungsszenario. Das wird natürlich ein bischen höher wenn 107 00:08:48,510 --> 00:08:51,700 ihr da aus Versehen irgendwelche komischen Zeichen eingegeben habt, 108 00:08:51,700 --> 00:08:52,420 ihr seid da 109 00:08:52,420 --> 00:08:55,460 wahrscheinlich ohne Anonymisierungsdienste unterwegs, weil ihr wolltet ja bloß irgendwas 110 00:08:55,460 --> 00:09:01,540 einkaufen. Und jetzt denkt ihr so: Hmm, ich bin ja ein bischen verspielt und 111 00:09:01,540 --> 00:09:06,640 neugierig, ich mach jetzt mal Tor an oder irgendwas, und besuch jetzt diese Webseite 112 00:09:06,640 --> 00:09:12,140 später nochmal mit einem Anonymisierungsdienst. Und, ja, über die 113 00:09:12,140 --> 00:09:17,450 Zeit findet man dann vielleicht aus Versehen noch ein Cross-Site-Scriping, das 114 00:09:17,450 --> 00:09:22,680 Bedrohungslevel wächst so allmählich, aber man hat ja jetzt Tor am Start. Das 115 00:09:22,680 --> 00:09:27,881 Bedrohungs-Threat-Level wächst weiter, wenn man jetzt vielleicht noch eine etwas 116 00:09:27,881 --> 00:09:32,140 kritischere Schwachstelle wie eine SQL- Injection gefunden hat. Und es wächst 117 00:09:32,140 --> 00:09:37,850 weiter, wenn man vielleicht auch noch eine Remote-Code-Execution gefunden hat, dann 118 00:09:37,850 --> 00:09:41,530 sind wir schon recht hoch. Also wenn man jetzt erwischt wird, wäre es relativ 119 00:09:41,530 --> 00:09:45,340 ungünstig, weil man hat ja auch bewiesen, dass man direkt nicht nach einem Cross- 120 00:09:45,340 --> 00:09:49,310 Site-Scripting oder irgendeiner anderen banalen Schwachstelle direkt mal zu dem 121 00:09:49,310 --> 00:09:53,831 Portal gegangen ist und Bescheid gesagt hat. Na ja, was passiert dann, wenn man da 122 00:09:53,831 --> 00:09:57,940 weiter stöbert. Je nachdem was man da für so Ziele hat. Vielleicht findet man auch 123 00:09:57,940 --> 00:10:03,140 noch ein paar Kreditkarten. Jetzt sind wir schon recht hoch in unserem Threat-Level, 124 00:10:03,140 --> 00:10:10,000 und das geht rapide runter weil das Threat-Level ist jetzt wieder... Es wird 125 00:10:10,000 --> 00:10:14,880 entspannter. Man braucht jetzt keine Angst mehr haben, dass man irgendwann nochmal 126 00:10:14,880 --> 00:10:20,550 für diesen Hack da erwischt wird. Ja, warum wird da überhaupt jemand erwischt? 127 00:10:20,550 --> 00:10:26,080 Weil ich an die OpSec erst viel zu spät gedacht habe. In dem Moment, in dem ich 128 00:10:26,080 --> 00:10:30,320 auf der Maus ausgerutscht bin, hätte ich im Grunde genommen schon einen 129 00:10:30,320 --> 00:10:35,450 Anonymisierungsdienst, irgendnen Tor- Service oder so, am Start haben müssen, 130 00:10:35,450 --> 00:10:40,920 denn in dem Moment, wo irgendwann der Betreiber des Portals mitkriegt, dass da 131 00:10:40,920 --> 00:10:47,669 was passiert ist, werden die einfach gucken: Alles klar, wir verfolgen das 132 00:10:47,669 --> 00:10:51,320 zurück, ist eine Tor-Session, schlecht, aber irgendwann stossen sie auf diesen Fall, 133 00:10:51,320 --> 00:10:56,380 wo man halt "Ups" sagt. Und dann werden sie dich halt finden. 134 00:10:57,700 --> 00:11:01,990 L: Es ist eigentlich auch regelmäßig tatsächlich so, dass man irgendwie Leute 135 00:11:01,990 --> 00:11:06,230 irgendwie sagen: Ach, guck mal hier, da hab ich mal was entdeckt, und jetzt geh 136 00:11:06,230 --> 00:11:10,650 ich mal auf Tor. Ne Leute, ist zu spät, müsst ihr vorher machen. 137 00:11:10,650 --> 00:11:14,640 T: Tschuldigung, wenn euch sowas was auffällt, ihr könnt euch natürlich mal 138 00:11:14,640 --> 00:11:18,149 überlegen, wie haben ja jetzt die Datenschutzgrundverordnung, dann könntet 139 00:11:18,149 --> 00:11:22,450 ihr mal schauen was die so für Datenschutzrichtlinien haben, also manche 140 00:11:22,450 --> 00:11:25,960 Unternehmen geben ja dann auch Auskunft daüber, wie lange die Logfiles zum 141 00:11:25,960 --> 00:11:28,110 Beispiel aufbewahrt werden, und es soll ja.... 142 00:11:28,110 --> 00:11:30,750 L: Vielleicht habt ihr ja ein Recht auf Vergessen werden 143 00:11:30,750 --> 00:11:34,010 T: Ja, es gibt ja Unternehmen, die speichern ihre Logdaten nur 7 Tage, dann 144 00:11:34,010 --> 00:11:36,760 muss man einfach nochmal ne Woche warten vielleicht. 145 00:11:36,760 --> 00:11:42,700 L: Also es gilt allgemeine Vorsicht bei Datenreisen, so auch bei unserem Freund 146 00:11:42,700 --> 00:11:47,599 Alberto aus Uruguay, der mit seiner Freundin irgendwie nichts ahnend am 147 00:11:47,599 --> 00:11:51,540 Nachmittag am Computer saß, und sie gab irgendwelche Gesundheitsdaten in irgend so 148 00:11:51,540 --> 00:11:57,600 eine Cloud ein, weil: modern. Und Alberto sagte so: Ah, Gesunderheitsdaten, zeig mal 149 00:11:57,600 --> 00:12:01,829 her. admin admin, oh! *Gelächter* 150 00:12:01,829 --> 00:12:05,720 T: Ups L: Ups. Da war das Ups. Und er schrieb 151 00:12:05,720 --> 00:12:11,960 dann eine Mail an das CERT Uruguay, also die zentrale Meldestelle des Landes, weil 152 00:12:11,960 --> 00:12:15,830 es sich ja hier um sensible Patientendaten handelte, und Gesundheitsdaten, und er 153 00:12:15,830 --> 00:12:19,760 bekam innerhalb von Stunden eine Antwort von dem Leiter des CERT, also das war ganz 154 00:12:19,760 --> 00:12:23,030 klar, wir haben hier ein ernst zu nehmenden Fall, der auch eben ernst 155 00:12:23,030 --> 00:12:26,490 genommen wurde. T: Dieser "Ups" Fall ist vielleicht nicht 156 00:12:26,490 --> 00:12:30,340 ganz so dramatisch, möchte man meinen, weil der Hacker ja nichts böses vor hatte, 157 00:12:30,340 --> 00:12:33,500 der wollte gar nicht weiterstöbern, der hat einfach gesagt so: "Uh, denen muss ich 158 00:12:33,500 --> 00:12:36,150 schnell Bescheid sagen". L: Für den war der Fall auch erledigt, der 159 00:12:36,150 --> 00:12:39,839 hatte das ja jetzt dem CERT gemeldet, das CERT hat sich drum gekümmert, hat die 160 00:12:39,839 --> 00:12:43,870 Verantwortung übernommen, die kümmern sich jetzt drum. Schalten die Plattform ab, 161 00:12:43,870 --> 00:12:48,000 oder was auch immer. Alberto geht seinem Leben ganz normal weiter, bis er ein Jahr 162 00:12:48,000 --> 00:12:51,389 später feststellt: Oh, ahhh, das admin:admin haben sie inzwischen 163 00:12:51,389 --> 00:12:54,500 geschlossen, das ist schonmal gut, aber jetzt haben sie unauthenticated file 164 00:12:54,500 --> 00:13:00,100 access, auch nicht so gut, melde ich doch am besten einmal dem CERT. Und wieder 165 00:13:00,100 --> 00:13:06,830 vergeht einige lange Zeit, in diesem Fall um die zwei Jahre Schweigen im Walde. 166 00:13:06,830 --> 00:13:11,120 Er hatte die ganzen Sachen selbst längst vergessen, und dann bekommt das betroffene 167 00:13:11,120 --> 00:13:16,730 Unternehmen mit den Gesundheitsdaten plötzlich eine E-Mail, von irgendwem: 168 00:13:16,730 --> 00:13:21,070 Gib mal Bitcoin. *Gelächter* 169 00:13:21,070 --> 00:13:26,570 L: Der wollte "gibt mal Bitcoin", weil der Angreifer oder der Erpresser hier sagte, 170 00:13:26,570 --> 00:13:31,040 er sei im Besitz dieser Gesundheitsdaten, die diese Plattform geleaked hat. Und wenn 171 00:13:31,040 --> 00:13:36,660 jetzt nicht 15 Bitcoin innerhalb von $Zeitraum überwiesen würden, dann würde er 172 00:13:36,660 --> 00:13:43,690 an die Presse berichten: Alle Menschen in diesem Datensatz, die HIV-infiziert sind. 173 00:13:43,690 --> 00:13:46,750 T: Was die Presse bestimmt total interessiert hätte. 174 00:13:46,750 --> 00:13:50,579 L: Ich weiß nicht, ob das die Presse interessiert hätte, wen es auf jeden Fall 175 00:13:50,579 --> 00:13:54,850 interessiert hat, ist die Polizei. An die Polizei müsst ihr übrigens immer denken... 176 00:13:54,850 --> 00:13:58,689 T: Die erkennt man an diesen Kleidungsstücken hier 177 00:13:58,689 --> 00:14:03,580 L: Die erkennt man an diesen Hüten... *Gelächter* und *Applaus* 178 00:14:03,580 --> 00:14:10,053 L: Die haben vorne auch so einen Stern drauf. Nur damit ihr die nicht vergesst. 179 00:14:10,053 --> 00:14:14,029 So, irgendwer will also Bitcoin. Es passiert wieder längere Zeit nichts, bis 180 00:14:14,029 --> 00:14:19,740 auf einmal bei Alberto die Tür eingetreten wird. Es gibt eine Hausdurchsuchung, 181 00:14:19,740 --> 00:14:27,640 wieder mit Brute-Force. Und, jetzt passiert folgendes: Die Polizei traut 182 00:14:27,640 --> 00:14:32,410 ihren Augen nicht, als sie diese Wohnung betritt, und findet so viele spannende 183 00:14:32,410 --> 00:14:38,970 Sachen, dass sie nachher auf einem eigenen Pressetermin ihre Fundstücke so bischen 184 00:14:38,970 --> 00:14:44,500 drapiert, und damit angibt. Sah nämlich so aus: Da hatten wir also einen ganzen 185 00:14:44,500 --> 00:14:49,829 Stapel Kreditkarten und Blanko- Kreditkarten. Blanko-Kreditkarten machen 186 00:14:49,829 --> 00:14:52,760 immer gar nicht so einen guten Eindruck. *Gelächter* 187 00:14:52,760 --> 00:14:57,519 T: Meistens nicht. L: Sowohl im Supermarkt, als auch im 188 00:14:57,519 --> 00:15:03,470 Schrank wenn ihr die Polizei vorbeischaut. Außerdem finden sie Kartenlesegeräte und 189 00:15:03,470 --> 00:15:08,519 ein paar Wallet-Fails. T: Allo nedos 190 00:15:08,519 --> 00:15:14,540 L: Haben sie dann alles schön drapiert. Kartenlesegeräte, Zahlungsmittel und so. 191 00:15:14,540 --> 00:15:17,870 T: Ist dann halt die Frage, ob die Polizei an OpSec gedacht hat, und die 192 00:15:17,870 --> 00:15:20,910 Kreditkartennummern vielleicht auch noch gültig waren, als sie die Fotos 193 00:15:20,910 --> 00:15:24,830 veröffentlicht haben. Man weiß es nicht, man wird es auch nicht herausfinden. 194 00:15:24,830 --> 00:15:28,399 L: Und sie finden natürlich, was man bei jedem Hacker finden muss, bei jedem 195 00:15:28,399 --> 00:15:32,250 Kriminellen, was braucht man da? *Murmeln im Raum* 196 00:15:32,250 --> 00:15:36,419 L: Anonymous-Maske, klar *Gelächter* 197 00:15:36,419 --> 00:15:40,520 L: Anonymous-Maske drapieren die schön. Wir haben auch noch eine dabei.. Nein, wir 198 00:15:40,520 --> 00:15:51,420 haben keine Anonymous-Maske. Paar strategische Bargeld-Reserven. Und, das 199 00:15:51,420 --> 00:15:54,300 war natürlich sehr verräterisch, sie finden Bitcoin. 200 00:15:54,300 --> 00:16:03,600 *Gelächter* und *Applaus* L: Und die wollte der Erpresser ja haben. 201 00:16:03,600 --> 00:16:07,949 T: Dann ist der Fall wohl abgeschlossen. L: Ein Bitcoin und ein Bitcoin 202 00:16:07,949 --> 00:16:17,430 zusammengezählt. Verhör, ein paar Drohungen, und in Anbetracht der völlig 203 00:16:17,430 --> 00:16:22,960 inkompetenten Polizei flüchtet sich Alberto in das falsche Geständnis, in der 204 00:16:22,960 --> 00:16:27,160 Hoffnung, dass er im weiteren Verlauf des Verfahrens mit kompetenten Personen in 205 00:16:27,160 --> 00:16:34,649 Kontakt kommt. Dies Hoffnung erfüllt sich nicht, er ist erstmal im weiteren Verlauf 206 00:16:34,649 --> 00:16:42,910 8 Monate im Knast, und gerade nur auf Kaution raus. Er ist absolut sicher und 207 00:16:42,910 --> 00:16:46,670 ehrlich, dass er das nicht getan hat. Hätte er es getan, wäre er auch ziemlich 208 00:16:46,670 --> 00:16:50,481 dämlich, nachdem du zwei Mal responsible Disclosure gemacht hast, schickst du keine 209 00:16:50,481 --> 00:16:58,699 Erpresser-E-Mail mehr. Vor allem nicht eine in der du sagst "Ich möchte 15 210 00:16:58,699 --> 00:17:04,400 Bitcoin auf folgendes Konto..." ohne die Kontonummer anzugeben. 211 00:17:04,400 --> 00:17:11,630 *Gelächter* und *Applaus* L: Da wir jetzt ein paar Scherze über 212 00:17:11,630 --> 00:17:15,368 Alberto gemacht haben, haben wir ihn einfach mal kontaktiert, und Alberto hat 213 00:17:15,368 --> 00:17:19,829 auch noch ein paar Sachen zu seinem Fall zu sagen, und wir begrüßen ihn bei uns auf 214 00:17:19,829 --> 00:17:22,409 der Videoleinwand *Applaus* 215 00:17:22,409 --> 00:17:24,179 [Video] Hello Germany. .... ...... 216 00:18:11,339 --> 00:18:20,620 *Applaus* L: Also das Gerät, mit dem er da kurz 217 00:18:20,620 --> 00:18:25,899 hantiert hat, was irgendwie ein bischen so aussah wie ein GSM-Jammer, das ist ein 218 00:18:25,899 --> 00:18:31,059 ganz bedauerliches Missverständnis. Das hatte die Polizei nämlich nicht 219 00:18:31,059 --> 00:18:36,659 mitgenommen bei der Durchsuchung, ebenso wie 30 Festplatten, und er bekommt jetzt 220 00:18:36,659 --> 00:18:40,730 seine Geräte deshalb nicht zurück, weil die Polizei sagt, das würde zu lange 221 00:18:40,730 --> 00:18:49,159 dauern, den ganzen Kram anzuschauen. Aber wir lernen aus dieser Sache: Es hat schon 222 00:18:49,159 --> 00:18:55,689 irgendwie Sinn, 127.0.0.1 als Ort der vorbildlichen Ordnung, Sicherheit, 223 00:18:55,689 --> 00:19:00,210 Sauberkeit, und Disziplin zu pflegen, und wenn ihr euch mal überlegt, wie das 224 00:19:00,210 --> 00:19:03,600 aussieht wenn bei euch mal die Tür aufgemacht wird und ein paar Geräte 225 00:19:03,600 --> 00:19:07,949 rausgetragen werden, in den falschen Augen kann das alle ganz komisch aussehen. Und 226 00:19:07,949 --> 00:19:12,130 auch da fängt OpSec schon an. T: Nämlich viel früher, bevor ihr den 227 00:19:12,130 --> 00:19:19,820 Browser in die Hand nehmt, oder irgendwelche Logins ausprobiert. Ja, was 228 00:19:19,820 --> 00:19:24,099 gibt es denn noch auf einer technischen Ebene, was uns verraten kann. Jetzt haben 229 00:19:24,099 --> 00:19:28,149 wir sehr viel darüber gesprochen, dass Hacker sich selbst in die Pfanne hauen, 230 00:19:28,149 --> 00:19:31,830 weil sie zu geschwätzig sind, weil sie vielleicht sogar zu ehrlich sind, und 231 00:19:31,830 --> 00:19:37,460 irgendwelche Lücken melden. Was gibt es wirklich für Bedrohungsszenarien, die den 232 00:19:37,460 --> 00:19:43,600 Hackern gefährlich werden können: Das sind, man könnte sagen das sind Metadaten, 233 00:19:43,600 --> 00:19:48,509 die ja auch ein Stückweit so ähnlich sind wie Fingerabdrücke, wie auf diesem 234 00:19:48,509 --> 00:19:56,260 Metadaten-Aufkleber. Es gibt heute kaum noch irgendwelche Dinge, die keine 235 00:19:56,260 --> 00:20:02,650 Metadaten hinterlassen. Die Frage, wie man Metadaten vermeidet, oder was mit 236 00:20:02,650 --> 00:20:06,219 Metadaten angestellt werden kann, ist immer sehr stark abhängig vom Kontext, 237 00:20:06,219 --> 00:20:09,560 also auch irgendwelche Ermittler müssen sich natürlich immer den Kontext mit 238 00:20:09,560 --> 00:20:16,940 anschauen, wo Metadaten anfallen. Deshalb ist natürlich einer der wichtigsten 239 00:20:16,940 --> 00:20:21,100 Punkte, über die man sich bevor irgendwie auch nur irgendwas anhackt, muss man sich 240 00:20:21,100 --> 00:20:24,880 mal darüber im Klaren sein, was hinterlasse ich eigentlich für Spuren. Und 241 00:20:24,880 --> 00:20:31,169 das ist ist so der Teil, wo wir ein bischen versuchen wollen, den jüngeren 242 00:20:31,169 --> 00:20:35,149 Hackern oder Leute, die halt jetzt anfangen, auch mal Sachen zu hacken, mal 243 00:20:35,149 --> 00:20:41,850 ein paar Ideen mit auf den Weg geben, sich Gedanken darüber zu machen, was benutze 244 00:20:41,850 --> 00:20:46,049 ich für Geräte, was benutze ich für Software, was für Spuren hinterlasse ich. 245 00:20:46,049 --> 00:20:49,859 Selbst wenn ich jetzt gerade nicht am Rechner sitze, hinterlasse ich ja irgendwo 246 00:20:49,859 --> 00:20:53,661 Spuren, weil ich ein Smartphone mit mir rumschleppe. Und das ist einfach wichtig, 247 00:20:53,661 --> 00:20:57,799 einfach mal herauszufinden, wo hinterlasse ich eigentlich Logs. Was sind Identitäten, 248 00:20:57,799 --> 00:21:03,120 also wenn ich auch unter Pseudonym im Netz unterwegs bin, und vielleicht sogar noch 249 00:21:03,120 --> 00:21:06,999 Anonymisierungsdienste verwende, und eigentlich die technische Voraussetzung 250 00:21:06,999 --> 00:21:11,729 dafür geschaffen ist, dass ich auch anonym bleibe, benutzt man als Hacker, oder als 251 00:21:11,729 --> 00:21:16,439 Gruppe, vielleicht auch einfach Pseudonyme, oder man verwendet vielleicht 252 00:21:16,439 --> 00:21:20,649 irgendwelche kryptografischen Keys mehrfach auf verschiedenen Systemen 253 00:21:20,649 --> 00:21:23,659 L: Das ist immer sehr schlecht, kryptografische Keys gibt es halt nur 254 00:21:23,659 --> 00:21:26,369 einmal, das ist ja die Idee bei Key T: Das ist ja der Sinn der Sache. Wenn ich 255 00:21:26,369 --> 00:21:30,199 aber meine VMWares kopiere, und dann vielleicht irgendwelche Hidden Services 256 00:21:30,199 --> 00:21:35,389 aufmache und da Rückschlüsse auf die Keys zu ziehen sind. Oder was ich verschiedene 257 00:21:35,389 --> 00:21:40,769 Hostnamen dann auf ein und den selben Key, SSH-Key-oder was auch immer, zurückführen. 258 00:21:40,769 --> 00:21:46,970 L: Logs übrigens auch so ein Klassiker, immer wieder Strategen, die Dateien dann 259 00:21:46,970 --> 00:21:52,349 auf Truecrypt Volumes vorhalten, weil sie gehört haben, dass das ja dann besser ist, 260 00:21:52,349 --> 00:21:56,410 und dann in ihrem Betriebssystem aber das Logging anhaben, mit welchem Player und 261 00:21:56,410 --> 00:22:00,229 Viewer sie welche Dateien geöffnet haben, so dass dann auf der unverschlüsselten 262 00:22:00,229 --> 00:22:05,019 Partition des Betriebssystems schön noch draufsteht, welche Videos und Dateien sich 263 00:22:05,019 --> 00:22:07,519 vielleicht in den verschlüsselten Bereichen befinden. 264 00:22:07,519 --> 00:22:11,379 T: Ja, und da so, dieses Feature, für die meisten Leute ist das halt ein Feature, 265 00:22:11,379 --> 00:22:15,009 die wollen halt ihre recently used Apps oder was auch immer schön im Zugriff 266 00:22:15,009 --> 00:22:19,519 haben, damit sie weniger Tipp- und Klickarbeit haben, könnte aber euch das 267 00:22:19,519 --> 00:22:23,170 Genick brechen, wenn ihr dieses Betriebssystem einfach nutzen wollt, um 268 00:22:23,170 --> 00:22:28,929 einfach nur mal eben so rumzuhacken. Wichtig ist halt hier, so können 269 00:22:28,929 --> 00:22:32,339 irgendwelche Ermittler oder Leute, die euch hinterher recherchieren, Identitäten 270 00:22:32,339 --> 00:22:36,369 über euch erstellen, also über das, was ihr da gerade, unter welchem Pseudonym 271 00:22:36,369 --> 00:22:39,659 auch immer ihr da unterwegs seid. Die können Profile anlegen, die können euren 272 00:22:39,659 --> 00:22:42,310 Coding-Stil analysieren, eure Rechtschreibung wenn ihr irgendwelche 273 00:22:42,310 --> 00:22:45,989 Texte hinterlasst, oder euch in irgendwelchen Foren anonym oder unter 274 00:22:45,989 --> 00:22:52,009 Pseudonym mit irgendwelchen Sachen brüstet, die Leute, die sich die Rechner, 275 00:22:52,009 --> 00:22:56,249 die Server anschauen, die hops genommen wurden, die schauen sich halt auch die 276 00:22:56,249 --> 00:23:00,190 Bash-History an, wenn ihr die liegen lasst, dann gucken die halt, wie geht ihr 277 00:23:00,190 --> 00:23:03,540 mit so einer Konsole um, habt ihr Ahnung, darauf kann man schliessen wie viele, 278 00:23:03,540 --> 00:23:07,249 wieviel Erfahrung ihr im Umgang mit dem Betriebssystem habt, und so weiter. Das 279 00:23:07,249 --> 00:23:10,510 sind alles Sachen, auf die müsst ihr achten, die müssen beseitigt werden, und 280 00:23:10,510 --> 00:23:14,820 auch der Coding-Stil, wenn ihr irgendwo, kann ja durchaus sein, dass ihr meint, ihr 281 00:23:14,820 --> 00:23:18,859 müsst eine Funktionserweiterung im Kernel hinterlassen, der Code wird später 282 00:23:18,859 --> 00:23:24,879 analysiert, und, es gibt Software, die tut das, also so wie man Plagiate erkennt. Da 283 00:23:24,879 --> 00:23:28,850 gabs glaube ich vor zwei Jahren mal auch einen Kongress-Talk darüber, wie man 284 00:23:28,850 --> 00:23:34,259 anhand von Binary-Code quasi Rückschlüsse auf den ursprünglichen Autor ziehen kann, 285 00:23:34,259 --> 00:23:38,080 so dass man eben, Malware beispielweise attributieren kann, oder leichter 286 00:23:38,080 --> 00:23:41,869 attributieren kann. Wie auch immer, es gibt unglaublich viele Dinge, auf die man 287 00:23:41,869 --> 00:23:47,059 achten muss, und ihr müsst im Grunde genommen selber rausfinden, mit was für 288 00:23:47,059 --> 00:23:51,330 Werkzeugen hantiere ich hier eigentlich, und was öffnen die für Seitenkanäle. Was 289 00:23:51,330 --> 00:23:55,419 für Tracking und Telemetrie gibt es dort, und wie kann ich es möglicherweise 290 00:23:55,419 --> 00:24:02,760 abschalten. Es gibt irgendwie die Rules of the Internet von Anonymous 291 00:24:02,760 --> 00:24:06,999 L: ... von denen inzwischen keiner mehr anonymous ist, aber dazu kommen wir 292 00:24:06,999 --> 00:24:10,259 noch... T: Die haben halt irgendwie schöne Regeln 293 00:24:10,259 --> 00:24:15,229 aufgestellt, "Tits or get the fuck out" lautet eine, und das ist halt genau eine 294 00:24:15,229 --> 00:24:20,479 Regel, für die, die anonym bleiben wollten... Übrigens, das ist die Nummer 295 00:24:20,479 --> 00:24:27,090 falsch, aber ist egal... Ja, hier kommen wir zu einem schönen Fail eines Hackers 296 00:24:27,090 --> 00:24:34,139 mit dem Namen w0rmer, der hatte nämlich ein Foto seiner... der Brüste seiner 297 00:24:34,139 --> 00:24:41,830 Freundin veröffentlicht, und war er ganz stolz drauf "Tits or get the fuck out" 298 00:24:41,830 --> 00:24:45,269 dachten sich auch die Herren von der Polizei, denn in dem... 299 00:24:45,269 --> 00:24:50,760 L: In dem von iPhone aufgenommenen Bild war die GPS-Metadaten von dem Zuhause der 300 00:24:50,760 --> 00:24:52,779 Fotografierten T: Dumm gelaufen... 301 00:24:52,779 --> 00:24:59,649 L: Und deswegen kriegt w0rmer von uns den Mario Barth Award für den überflüssigsten 302 00:24:59,649 --> 00:25:04,639 OpSec-Fail *Applaus* 303 00:25:04,639 --> 00:25:14,820 T: Kennt ihr? Kennta kennta! L: Fragen sich natürlich, wie geht denn 304 00:25:14,820 --> 00:25:19,859 überhaupt Anonymität im Internet, wenn schon Anonymous das nicht hinkriegt. Wir 305 00:25:19,859 --> 00:25:25,729 wollen nicht entdeckt werden. Problem: Unsere IP-Adresse verrät unsere Herkunft. 306 00:25:25,729 --> 00:25:30,719 Das heißt, wir suchen nach etwas, was unsere IP-Adresse verschleiert, und wenn 307 00:25:30,719 --> 00:25:33,620 wir das bei Google eingeben, landen wir… 308 00:25:33,620 --> 00:25:39,969 T: ... bei VPN-Anbietern, das ist so das erste, was man findet. Du willst anonym im 309 00:25:39,969 --> 00:25:45,809 Internet unterwegs sein? Dann benutze halt ein VPN, wir auch oftmals als Ratschlag 310 00:25:45,809 --> 00:25:52,259 nahegelegt. Nagut, da benutzen wir also jetzt einen VPN-Provider, mit dem 311 00:25:52,259 --> 00:25:55,720 verbinden wir uns, das wird dann wahrscheinlich eine OpenVPN- oder was auch 312 00:25:55,720 --> 00:25:59,949 immer Connection sein, die dafür sorgt, dass unsere ursprüngliche IP-Adresse 313 00:25:59,949 --> 00:26:03,929 verschleiert wird, so dass niemand auf Serverseite quasi Rückschlüsse auf uns 314 00:26:03,929 --> 00:26:08,149 direkt ziehen kann. Alles, was wir an Traffic ins Internet senden, geht also 315 00:26:08,149 --> 00:26:15,001 über dieses VPN, und von da aus zu unserem Angriffsziel. Das ist hier eine böse 316 00:26:15,001 --> 00:26:20,129 Firma, die hier jetzt angehackt wird. Und die denkt sich so: "Whoa, was ist denn 317 00:26:20,129 --> 00:26:29,399 hier los, komischer Traffic, ah, das ist so ein VPN-Endpunkt". Und was haben wir 318 00:26:29,399 --> 00:26:34,719 jetzt so davon, also wissen wir jetzt, sind wir jetzt sicher? Wir treffen 319 00:26:34,719 --> 00:26:40,100 irgendeine Annahme, nämlich die Annahme, dass der VPN-Provider die Klappe hält. Und 320 00:26:40,100 --> 00:26:46,140 dem glauben wir, dem vertrauen wir, obwohl wir den noch nie gesehen haben. Aber 321 00:26:46,140 --> 00:26:52,070 eigentlich ist ja der Sinn, dass wir niemandem vertrauen müssen/wollen, wir 322 00:26:52,070 --> 00:26:57,929 wollen niemandem vertrauen, weil was passiert bei so einem VPN-Anbieter, wir 323 00:26:57,929 --> 00:27:02,039 haben da einen Account, wir bezahlen da möglicherweise für, warum sollte so ein 324 00:27:02,039 --> 00:27:07,809 VPN-Anbieter sein VPN für lau anbieten. Also, da liegt im Zweifelsfall eine 325 00:27:07,809 --> 00:27:13,100 E-Mail-Adresse von uns, da liegen unsere Kreditkartendaten oder Bitcoin-Wallet oder 326 00:27:13,100 --> 00:27:18,910 was auch immer. Es gibt möglicherweise Logs, aber wissen nichts davon. Vielleicht 327 00:27:18,910 --> 00:27:24,800 hat der VPN-Provider beim nächsten Betriebssystemupdate eine Logging-Option 328 00:27:24,800 --> 00:27:28,749 an, die er vorher nicht an hatte, und so weiter. Also es kann ganz viel passieren, 329 00:27:28,749 --> 00:27:34,119 das kann halt auch eine Quellen-TKÜ bei diesem Anbieter geben, und wir wollen das 330 00:27:34,119 --> 00:27:37,140 aber nicht, wir wollen niemandem vertrauen. Also ... 331 00:27:37,140 --> 00:27:41,849 L: ... fangen wir nochmal von vorne an. Bei dem Fall ist es halt schief gegangen, 332 00:27:41,849 --> 00:27:45,169 wir müssen also irgendwie einen Weg finden, wo wir nicht darauf angewiesen 333 00:27:45,169 --> 00:27:48,139 sind, anderen zu vertrauen. Das heißt nicht, dass wir denen nicht vertrauen 334 00:27:48,139 --> 00:27:53,099 können, es ist heißt nur, dass wir es nicht wollen. Aber, wir brauchen auf jeden 335 00:27:53,099 --> 00:27:56,410 Fall erstmal ein anderes Angriffsziel, ich würde sagen wir nehmen einfach mal 336 00:27:56,410 --> 00:28:07,170 irgendeine Alternative *Gelächter* und *Applaus* 337 00:28:07,170 --> 00:28:11,400 L: Und dieses Mal nutzen wir Tor. Habt ihr bestimmt schonmal von gehört, Tor ist 338 00:28:11,400 --> 00:28:15,210 eigentlich relativ einfach. Euer Datentraffic geht mehrmals über 339 00:28:15,210 --> 00:28:20,369 verschiedene Stationen im Internet und ist mehrmals verschlüsselt. Ihr sendet also an 340 00:28:20,369 --> 00:28:24,479 einen sogenannten Tor Entry erstmal einen mehrfach verschlüsselten... euren mehrfach 341 00:28:24,479 --> 00:28:28,880 verschlüsselten Traffic und dieser Tor Entry, der weiß ja jetzt wer ihr seid, der 342 00:28:28,880 --> 00:28:34,029 weiß aber sieht aber nur in der an ihn verschlüsselten Botschaft, dass die, dass 343 00:28:34,029 --> 00:28:38,600 er die weitergeben soll an einen nächste Node im Tor Netz, in diesem Fall die 344 00:28:38,600 --> 00:28:42,409 Middle-Node, und die Middle-Node gibt das vielleicht noch an andere Middle-Nodes 345 00:28:42,409 --> 00:28:46,179 weiter, das wurde von euch vorher festgelegt, bis ihr dann irgendwann beim 346 00:28:46,179 --> 00:28:52,619 Tor Exit seid, und der Tor Exit macht dann "hacke die hack hack". Und wenn jetzt 347 00:28:52,619 --> 00:28:57,769 unser Angriffsziel schaut "was ist denn los", da weiß der Tor Exit zwar "Ja, der 348 00:28:57,769 --> 00:29:02,630 Traffic der kam wohl von mir, aber ich habe keine Ahnung wo der her kommt, die 349 00:29:02,630 --> 00:29:07,119 Middle-Node weiß eh nix, und der Tor Entry weiß "Ja OK, der weiß zwar wer ihr seid, 350 00:29:07,119 --> 00:29:11,470 aber er hat keine Ahnung, welchen weiteren Verlauf die IP-Pakete und Datenpakete, die 351 00:29:11,470 --> 00:29:16,589 ihr geschickt habt, gegangen sind. Da seid ihr jetzt schon mal besser dran und müsst 352 00:29:16,589 --> 00:29:21,649 nicht so vielen Leuten vertrauen, weil ihr ... weil sie es einfach nicht wissen 353 00:29:21,649 --> 00:29:28,400 können. Es sei denn, ihr habt es mit einem globalen Angreifer zu tun, dann seid ihr 354 00:29:28,400 --> 00:29:34,539 natürlich etwas schlechter dran, aber so für die kleine Datenreise kann man hier 355 00:29:34,539 --> 00:29:41,800 auf jeden Fall noch ohne Reisewarnung auf die Reise gehen. Es sei denn, man ist zu 356 00:29:41,800 --> 00:29:44,699 blöd... T: Jetzt haben wir quasi die technische 357 00:29:44,699 --> 00:29:49,209 Voraussetzungen dafür, uns relativ anonym im Internet zu bewegen. Wir brauchen 358 00:29:49,209 --> 00:29:53,129 niemanden vertrauen und so weiter. Aber jetzt kommt halt so die eigene Intelligenz 359 00:29:53,129 --> 00:29:55,799 ins Spiel. L: Das ist eigentlich erst das Level, an 360 00:29:55,799 --> 00:29:59,340 dem wir Operational Security brauchen, vorher brauchen wir gar nicht erst 361 00:29:59,340 --> 00:30:05,869 anzufangen mit OpSec. Dachte sich auch ein Student der Harvard University, der 362 00:30:05,869 --> 00:30:09,709 irgendwie ein bisschen nicht gut vorbereitet war für die Prüfung die an dem 363 00:30:09,709 --> 00:30:16,499 Tag anstand. Und ihr kennt das, was macht man, man überlegt sich so "Wie könnte ich 364 00:30:16,499 --> 00:30:20,889 jetzt diese Prüfung noch zum ausfallen bringen". Da gibt es eigentlich relativ 365 00:30:20,889 --> 00:30:25,919 wenig Optionen, eine die aber immer ganz gut funktioniert ist eine Bombendrohung. 366 00:30:25,919 --> 00:30:29,589 Wer kennt das nicht. *Gelächter* 367 00:30:29,589 --> 00:30:34,500 L: Und hier, Harvard University Stratege sagt: "Ich habe ja gelernt, wie das mit 368 00:30:34,500 --> 00:30:39,919 der Anonymität im Internet ist, ich benutze Tor". Und er schickt seine 369 00:30:39,919 --> 00:30:43,259 Erpresser E-Mails, in denen steht "Ich habe eine Bombe da da da oder da 370 00:30:43,259 --> 00:30:47,070 positioniert". Einer davon der Räume in dem er die Klausur schreibt um auch ganz 371 00:30:47,070 --> 00:30:51,149 sicher zu gehen, dass auf jeden Fall der geräumt wird, wenn schon nicht die ganze 372 00:30:51,149 --> 00:30:57,330 Uni. Datenpaket kommt an, und was sagt die Harward Universität, die ruft natürlich 373 00:30:57,330 --> 00:31:02,919 die Polizei. Lalülala. Die Polizei sagt "Ach guck mal hier, ist über Tor gekommen, 374 00:31:02,919 --> 00:31:10,000 liebes NOC, schau doch mal bitte kurz ob irgendjemand von den Studenten hier in dem 375 00:31:10,000 --> 00:31:14,869 fraglichen Zeitpunkt Tor genutzt hat". Und in dem Uni Netzwerk haben die sich 376 00:31:14,869 --> 00:31:20,039 natürlich alle namentlich anmelden müssen. Und da gab es dann eine kostenlose Fahrt 377 00:31:20,039 --> 00:31:24,289 im Polizeiauto, weil wir hier eine wunderschöne Anonymisierungs technologie 378 00:31:24,289 --> 00:31:29,129 gehabt hätten, wenn wir uns nicht vorher angemeldet hätten, und nur für den genau 379 00:31:29,129 --> 00:31:33,119 den kleinen Zeitraum Tor genutzt haben, in dem genau diese Erpressungs-E-Mails bei 380 00:31:33,119 --> 00:31:38,899 der Uni ankamen. Aber wir bleiben ein bisschen bei Anonymisierungsdiensten, was 381 00:31:38,899 --> 00:31:45,999 ja auch insbesondere in der Öfentlichkeit sehr viel die Menschen bewegt: Hidden 382 00:31:45,999 --> 00:31:50,719 Services. Wir wollen also jetzt das ganze Anonymisierungsnetzwerk umdrehen, wir 383 00:31:50,719 --> 00:31:54,529 wollen nicht quasi als Angreifer versteckt sein, sondern wir wollen unseren Server 384 00:31:54,529 --> 00:32:00,070 da drin verstecken. Und das machen wir ganz einfach, indem wir die Leute zwingen, dass 385 00:32:00,070 --> 00:32:04,580 sie uns nur über Tor erreichen können. Das heißt, unser Polizist muss auf jeden Fall 386 00:32:04,580 --> 00:32:08,039 in ein Tor Entry, dann durch mehrere Middle-Nodes, und irgendwann kommen die 387 00:32:08,039 --> 00:32:12,879 Datenpakete bei uns an, ohne Tor jemals wieder zu verlassen. Die Middle-Nodes 388 00:32:12,879 --> 00:32:16,559 wissen nie, dass sie die erste oder die letzte sind, und so routen wir unsere 389 00:32:16,559 --> 00:32:21,691 Pakete immer irgendwie anders herum, und haben jetzt einen Server im Internet, zu 390 00:32:21,691 --> 00:32:28,579 dem viele Wege führen, aber nie wirklich herauszufinden ist, auf welchem Weg wir 391 00:32:28,579 --> 00:32:34,109 ... wo wir diesen Server stehen haben. Immer unter der Voraussetzung, dass nicht 392 00:32:34,109 --> 00:32:40,040 jemand das gesamte Internet überwacht, oder wir ein bischen zu blöd sind. Das 393 00:32:40,040 --> 00:32:43,590 können wir verhindern, indem wir auf unserem Hidden Service anfangen, keine 394 00:32:43,590 --> 00:32:47,679 Logs zu schreiben, wir benutzen keine bekannten SSH Keys. Relativ schlecht, wenn 395 00:32:47,679 --> 00:32:52,830 ihr da den gleichen SSH Key wie bei der Arbeit benutzt. Wir geben unserem Hidden 396 00:32:52,830 --> 00:32:59,610 Service nur ein lokales Netz, fangen den in irgendeinem RFC 1918, schaffen getrennt 397 00:32:59,610 --> 00:33:06,679 davor einen Tor-Router, der also dann mit dem Internet verbunden ist, und diesen ... 398 00:33:06,679 --> 00:33:10,790 den Hidden Service freigibt, und dann die Verbindung zu unserem Hidden Service 399 00:33:10,790 --> 00:33:15,100 herstellt. Das schöne ist, unser Hidden Service kann gar nicht mit dem Internet 400 00:33:15,100 --> 00:33:19,260 verbunden, werden wenn er also versucht, wenn ihn da so ein kleines Ping 401 00:33:19,260 --> 00:33:24,580 entfleuchen würde oder so, das könnte niemals in das große böse Internet 402 00:33:24,580 --> 00:33:29,130 gelangen. *Gelächter* 403 00:33:29,130 --> 00:33:34,499 L: Und jetzt haben wir also unseren Hidden Service da und sind total happy, denn das 404 00:33:34,499 --> 00:33:40,019 große böse Internet kommt nur über das Tor Netz zu uns. Aufwand zum Aufsetzen, wenn 405 00:33:40,019 --> 00:33:45,559 man weiß wie man es macht und ein bisschen geübt hat, würde ich sagen 1-2 Tage, und 406 00:33:45,559 --> 00:33:52,839 schon bist du einen Drogenkönig. Und jetzt sind die technischen Voraussetzungen da, 407 00:33:52,839 --> 00:33:56,190 dass du deine OpSec wieder so richtig schön verkacken kannst. 408 00:33:56,190 --> 00:34:02,569 *Gelächter* T: Es gibt da, um auch im Darknet zu 409 00:34:02,569 --> 00:34:10,580 bleiben, diesen Fall "Deutschland im Deep Web". Der Herr hatte sich da so ein Forum 410 00:34:10,580 --> 00:34:15,750 und Marketplace aufgemacht, und der Betrieb von solchen Diensten kostet ja 411 00:34:15,750 --> 00:34:22,440 Geld. Also hat er um Spenden gebeten, damit er seine Dienste weiterhin auch 412 00:34:22,440 --> 00:34:29,460 gesichert anbieten kann. Und die Spenden sammelt man natürlich in Bitcoin einer, 413 00:34:29,460 --> 00:34:35,158 eine schön anonyme Bezahlvariante passend zum Darknet. Ich habe Hidden Service, ich 414 00:34:35,158 --> 00:34:38,989 kann nicht gefunden werden. Ich habe ein anonymes Zahlungsmittel, ohne dass mein 415 00:34:38,989 --> 00:34:50,619 Name daran klebt. Also haben wir den Weg dass wir unsere Bitcoins irgendwann auch 416 00:34:50,619 --> 00:34:57,279 nochmal versilbern wollen. L: Irgendwann haste genug Burger im Room77 417 00:34:57,279 --> 00:35:02,530 gegessen, dann musst du... dann willst du vielleicht auch mal Euro haben, oder so. 418 00:35:02,530 --> 00:35:07,690 T: Dann verlässt dieses anonyme Geld irgendwann die digitale Welt und 419 00:35:07,690 --> 00:35:16,549 wandert über so ein Bitcoin Exchange Portal auf dein Sparbuch, und in dem Fall 420 00:35:16,549 --> 00:35:21,171 hat es genau da schon "Knacks" gemacht, denn deine Identität ... 421 00:35:21,171 --> 00:35:30,010 *Gelächter* T: ... ist genau in diesem Fall 422 00:35:30,010 --> 00:35:34,519 aufgeflogen, weil wir hier über einen ... auch noch einen deutschen Anbieter Bitcoin 423 00:35:34,519 --> 00:35:40,180 Marketplace getauscht haben, und wie soll es anders sein, da wird natürlich Auskunft 424 00:35:40,180 --> 00:35:43,779 gegeben, wer denn der eigentliche Empfänger ist, und auf welches Sparbuch 425 00:35:43,779 --> 00:35:49,240 das ganze überwiesen wurde. Das heißt hier kommen wir jetzt zum Satoshi Nakamoto 426 00:35:49,240 --> 00:35:52,970 Award für anonyme Auszahlungen ... *Gelächter* 427 00:35:52,970 --> 00:36:04,250 T: ... für eine wohldurchdachte Spendenplattform ist. Wirklich wirklich 428 00:36:04,250 --> 00:36:06,650 gut gemacht. 429 00:36:06,650 --> 00:36:11,420 L: Bitcoin ist anonym. T: Ja, ja Bitcoin ist anonym. 430 00:36:11,420 --> 00:36:13,260 L: Und was eigentlich ganz interessant ist 431 00:36:13,260 --> 00:36:17,350 an den Fall, durch eigentlich einfach mal saubere Polizeiarbeit ohne 432 00:36:17,350 --> 00:36:22,629 Vorratsdatenspeicherung, ohne Responsible Encryption, ohne Verbot von 433 00:36:22,629 --> 00:36:28,309 Anonymisierungsdiensten hat die Polizei hier ihre Arbeit geleistet. Es ging ja 434 00:36:28,309 --> 00:36:31,089 hier dann auch nicht mehr nur um Kleinigkeiten, sondern auf dieser 435 00:36:31,089 --> 00:36:35,631 Plattform wurden Waffen gehandelt. Mit den Waffen, die dort gehandelt wurden, wurden 436 00:36:35,631 --> 00:36:42,520 Menschen getötet. Und ich denke hier kann doch einfach mal sagen, die Polizei, die 437 00:36:42,520 --> 00:36:46,200 ja gerne mal quengelt, das irgendwie alle Daten von ihnen weg sind, und sie immer 438 00:36:46,200 --> 00:36:49,869 mehr brauchen, hat hier einfach mal eine gute Arbeit geleistet... 439 00:36:49,869 --> 00:36:55,299 *Applaus* L: ... ohne uns die ganze Zeit zu 440 00:36:55,299 --> 00:36:57,660 überwachen, ist doch auch mal was das. Ist doch Schön! 441 00:36:57,660 --> 00:36:59,320 T: Brauchen gar keine Vorratsdatenspeicherung 442 00:36:59,320 --> 00:37:04,620 L: Können wir anonym bleiben... Aber man hat natürlich noch sehr viel schönere 443 00:37:04,620 --> 00:37:11,900 Metadaten, mit denen man zum Opfer fallen kann. Sehr beliebt ist WLAN. Wer von euch 444 00:37:11,900 --> 00:37:15,579 benutzt WLAN? Jetzt melden sich die, die sich gerade schon gemeldet haben, als die 445 00:37:15,579 --> 00:37:18,840 Frage war, ob sie schon mal eine Sicherheitslücke gefunden haben. 446 00:37:18,840 --> 00:37:22,170 T: Es heißt ja auch, man soll zum Hacken irgendwie zu irgendwelchen Kaffeeketten 447 00:37:22,170 --> 00:37:28,890 gehen. Vielleicht keine so gute Idee. L: WLAN ist nicht mehr nur in eurer 448 00:37:28,890 --> 00:37:33,220 Wohnung, die Signale die ihr da ausstrahlt, die kommen relativ weit. Das 449 00:37:33,220 --> 00:37:38,471 hat auch ein Mitglied von Anonymous gelernt, der nämlich am Ende darüber 450 00:37:38,471 --> 00:37:44,620 überführt wurde, dass man einfach vor seinem Haus so einen Empfangswagen 451 00:37:44,620 --> 00:37:49,009 hingestellt hat, und geguckt hat, wann denn sein WLAN so aktiv ist. Wann also 452 00:37:49,009 --> 00:37:54,760 sein Computer, wenn auch verschlüsselte Pakete, durch das WPA verschlüsselte WLAN 453 00:37:54,760 --> 00:37:59,000 und durchs Tor Netz und sieben Proxies und hast du alles nicht gesehen, die am Ende 454 00:37:59,000 --> 00:38:06,029 einfach nur korreliert: Wann ist der gute Mann im IRC aktiv, und wenn er aktiv ist, 455 00:38:06,029 --> 00:38:10,859 kann das sein, dass zufällig auch diese Wohnung, auf die wir unsere Richtantenne 456 00:38:10,859 --> 00:38:16,779 ausgerichtet haben, ein paar WLAN Paketchen emittiert. Stellte sich heraus, 457 00:38:16,779 --> 00:38:22,290 das war der Fall. Hat ihn am Ende in den Knast gebracht. Und das spannende ist, wir 458 00:38:22,290 --> 00:38:25,320 haben wir die Unverletzlichkeit der Wohnung, die brauchten gar nicht rein zu 459 00:38:25,320 --> 00:38:29,530 gehen, weil ihnen der Mensch, der sich hier anonym halten wollte, quasi seine 460 00:38:29,530 --> 00:38:38,330 Datenpakete frei Haus geliefert hat. Also man könnte sagen: Ethernet ist OpSec-Net. 461 00:38:38,330 --> 00:38:47,040 *Applaus* T: Ein weiterer Killer für Anonymität ist 462 00:38:47,040 --> 00:38:52,431 auch die Möglichkeit, dass so ein Smartphone, wenn man rumrennt, oder eine 463 00:38:52,431 --> 00:38:58,411 Uhr mit WLAN Funktionalität oder Bluetooth, die hinterlassenen Spuren wo 464 00:38:58,411 --> 00:39:07,820 man hingeht. Also es gibt ja auch Marketingfirmen, die Lösungen anbieten, 465 00:39:07,820 --> 00:39:11,340 was sich die MAC Adressen von den Endgeräten auch zu tracken, also diese 466 00:39:11,340 --> 00:39:15,100 Spuren hinterlässt man, auch wenn man einfach so auf die Straße geht, und 467 00:39:15,100 --> 00:39:17,720 hinterlässt damit natürlich auch Spuren, die irgendwie korreliert werden können mit 468 00:39:17,720 --> 00:39:21,029 dem eigenen Verhalten. Und wenn es einfach nur darum geht, man ist irgendwie zum 469 00:39:21,029 --> 00:39:23,119 bestimmten Zeitpunkt gerade nicht zu Hause, ... 470 00:39:23,119 --> 00:39:27,049 L: Aber ich bin voll klug, ich kann meine MAC-Adresse randomisieren. MAC-Changer. 471 00:39:27,049 --> 00:39:32,859 Voll geil. T: Super. Dein Telefon ist aber auch nicht 472 00:39:32,859 --> 00:39:40,849 nur einfach so an, das kennt irgendwie so 10, 15 oder 20 verschiedene SSIDs, also 473 00:39:40,849 --> 00:39:44,510 verschiedene WLAN Netze, in die du dich regelmäßig einbuchst, und selbst wenn du 474 00:39:44,510 --> 00:39:52,690 deine MAC-Adresse regelmäßig änderst, wird dieses Gerät diese Probes regelmäßig 475 00:39:52,690 --> 00:39:58,940 raussenden und hinterlässt damit ein Profil über dich. Ja, da rechnest du erst 476 00:39:58,940 --> 00:40:03,890 mal nicht mit. Es eigentlich viel einfacher, dich über so ein Set an 477 00:40:03,890 --> 00:40:09,190 bekannten SSIDs Probes zu identifizieren als über eine MAC-Adresse. Du hinterlässt 478 00:40:09,190 --> 00:40:13,380 eine sehr starke Identität, egal wo du hingehst und wo du dich da aufhälst. 479 00:40:13,380 --> 00:40:17,980 L: Ich seh gerade, hier haben wir offenbar jemanden gefangen in der vierten SSID von 480 00:40:17,980 --> 00:40:21,169 oben, der war sogar schonmal im Darknet. T: Und im St. Oberholz. 481 00:40:21,169 --> 00:40:27,479 Das ist eigentlich fast das gleiche, oder? L: Ein echt ärgerliches Phänomen, was die 482 00:40:27,479 --> 00:40:31,890 Hersteller eigentlich meinten beseitigt zu haben, indem sie dann die MAC Adressen bei 483 00:40:31,890 --> 00:40:38,840 den Probe Requests randomisieren. Aber einfach nur die Anzahl der WLANs, die eure 484 00:40:38,840 --> 00:40:43,650 Geräte kennen, ist mit wenigen WLANs sofort eindeutig und spezifisch auf euch 485 00:40:43,650 --> 00:40:47,849 in dieser Kombination. Und nach dieser Kombination kann man eben überall suchen. 486 00:40:47,849 --> 00:40:51,289 T: Also was kann man hier so ganz grundsätzlich mal sagen, wenn man 487 00:40:51,289 --> 00:40:56,109 irgendwie Sorge hat, getracked zu werden, dann sollte man dafür sorgen dass das WLAN 488 00:40:56,109 --> 00:41:00,710 auf allen im Alltag genutzten Devices ausgeschaltet wird, wenn man die Wohnung 489 00:41:00,710 --> 00:41:05,900 verlässt, oder wenn du irgendwas hackst. L: Kommt ja manchmal vor.... 490 00:41:05,900 --> 00:41:11,950 T: Manchmal. L: Auch sehr schön, habe ich einen Fall 491 00:41:11,950 --> 00:41:17,619 gehabt, manchmal berate ich Leute, in dem Fall war das eine Gruppe von 492 00:41:17,619 --> 00:41:28,010 ehrenamtlichen U-Bahn Lackierern ... *Gelächter* und *Applaus* 493 00:41:28,010 --> 00:41:33,490 L: ... die sich dafür interessierten, wie denn so ihre Arbeitsabläufe zu bewerten 494 00:41:33,490 --> 00:41:39,109 sind. Und die hatten Diensthandys, die sie nur für den Einsatz beim Kunden benutzt 495 00:41:39,109 --> 00:41:48,169 haben. Was ja erstmal, also es war ja schön gedacht. Das einzige Problem war 496 00:41:48,169 --> 00:41:52,690 natürlich, sie haben die auch wirklich nur beim Kunden eingesetzt. Und wenn man jetzt 497 00:41:52,690 --> 00:41:57,330 einmal in so eine Funkzellenabfrage damit gerät, und die Polizei spitz kriegt: "Oh, 498 00:41:57,330 --> 00:42:01,540 wunderbar, wir machen jetzt einfach jedes Mal, wenn die ein neues Bild gemalt haben, 499 00:42:01,540 --> 00:42:06,000 so wie die Hacker von Putin, dann machen wir einfach eine kleine Funkzellenabfrage 500 00:42:06,000 --> 00:42:10,990 und schauen uns mal, welche IMEIs, welche IMSIs waren denn so in welchen Funkzellen 501 00:42:10,990 --> 00:42:16,779 eingeloggt. Das macht ihr 2, 3 Mal, dann seid ihr das nächste Mal, wenn ihr im 502 00:42:16,779 --> 00:42:24,369 Einsatz seit, ehrenamtlich, wartet die Polizei schon an eurem Einsatzort. Denn 503 00:42:24,369 --> 00:42:28,420 Mobiltelefone lassen sich einfach live tracken, wenn man weiß nach welchen man 504 00:42:28,420 --> 00:42:33,980 sucht. Und auch hier eben ein wunderschöner Fall von OpSec Fail. 505 00:42:33,980 --> 00:42:38,789 Übrigens wollte ich nur darauf hinweisen, das ist kein Bild von der angesprochenen 506 00:42:38,789 --> 00:42:43,950 Gruppe. So klug waren die schon, ich habe einfach irgendeins gegoogelt. 507 00:42:43,950 --> 00:42:49,240 T: Und hier wird ein Pseudonym, also was weiß ich, irgendein Name dieser Gruppe, 508 00:42:49,240 --> 00:42:53,640 wird dann irgendwann aufgelöst und wird einer bestimmten Person oder 509 00:42:53,640 --> 00:42:57,909 Personengruppe zugeordnet, und weil halt über einen längeren Zeitraum immer wieder 510 00:42:57,909 --> 00:43:01,880 diese Metadaten angefallen sind, immer mit diesem Bild, mit diesem Schriftzug, mit 511 00:43:01,880 --> 00:43:06,139 dem Namen, also diesem Pseudonym assoziiert werden können, und irgendwann 512 00:43:06,139 --> 00:43:10,180 kommt der Tag, und wenn es nach fünf oder nach zehn Jahren ist, da wird man das dann 513 00:43:10,180 --> 00:43:12,450 quasi alles auf eine Person zurückführen können. 514 00:43:12,450 --> 00:43:15,700 L: Das ist echt so dieser Geltungsdrang, der den Graffiti Sprüher irgendwie immer 515 00:43:15,700 --> 00:43:19,500 wieder zum Verhängnis wird so. Einmal so eine Bahn zu besprühen, und diese wieder 516 00:43:19,500 --> 00:43:22,610 sauber machen zu lassen, das kriegste vielleicht noch geschultert, aber wenn du 517 00:43:22,610 --> 00:43:27,029 das irgendwie 20 Mal gemacht hast, und dann erwischt wirst... Schlecht. 518 00:43:27,029 --> 00:43:30,999 T: Beim 19. Mal denkt man noch: Ey, ich wurde jetzt 20 mal nicht erwischt, oder 19 519 00:43:30,999 --> 00:43:33,150 Mal... L: Sie könnten jedes Mal einen anderen 520 00:43:33,150 --> 00:43:36,960 Namen malen oder so. T: Ja okay, aber das ist ja unter Hacker 521 00:43:36,960 --> 00:43:41,839 ja auch so, es gab ja auch Defacement Organisationen, die das quasi in der 522 00:43:41,839 --> 00:43:47,760 digitalen Welt ähnlich gemacht haben. Wie auch immer, wie ich schon am Anfang 523 00:43:47,760 --> 00:43:52,480 angesprochen habe, ist eigentlich das wichtigste, dass man weiß, was für 524 00:43:52,480 --> 00:43:56,020 Werkzeuge man verwendet. Dass man die Werkzeuge beherrscht, dass man nicht 525 00:43:56,020 --> 00:44:00,520 einfach irgendwas herunterlädt, weil man hat davon mal irgend etwas gehört oder ein 526 00:44:00,520 --> 00:44:06,100 Kumpel hat mal was gesagt, oder man hat im Internet irgendwas gelesen. Kenne dein 527 00:44:06,100 --> 00:44:10,550 Gerät. Setze sich mit der Technik auseinander, die du da benutzt, und 528 00:44:10,550 --> 00:44:17,380 benutze halt die Technik, die du am besten beherrscht. Beispielsweise Web Browser. 529 00:44:17,380 --> 00:44:22,689 Das ist schon ein ganz wichtiges Thema, ich meine viele dieser ganzen Web 530 00:44:22,689 --> 00:44:28,370 Application Geschichten, über die stolpert man hauptsächlich mit Browsern. Und 531 00:44:28,370 --> 00:44:32,432 heutzutage ist eigentlich völlig egal, was für einen Browser man benutzt, die haben 532 00:44:32,432 --> 00:44:38,789 alle irgendwelche Macken, irgendwelches Tracking, oder Telemetry enabled. Das ist 533 00:44:38,789 --> 00:44:46,440 zum Beispiel auch bei Mozilla ein großes Ding, Wenn man halt eine sehr beliebte 534 00:44:46,440 --> 00:44:50,300 Extension installiert hat, und die zum Beispiel den Besitzer wechselt, und dieser 535 00:44:50,300 --> 00:44:53,962 neue Besitzer dann einfach klammheimlich irgendein Tracking einbaut, das alles 536 00:44:53,962 --> 00:44:56,310 schon vorgekommen, kann euch das .... L: ... da haben wir einen Vortrag drüber 537 00:44:56,310 --> 00:44:59,330 gehabt ... T: Kann euch das irgendwann den Kopf 538 00:44:59,330 --> 00:45:02,840 kosten, und deswegen müssen ihr ganz genau wissen: Was benutze ich hier für Tools, 539 00:45:02,840 --> 00:45:05,580 was ändert sich wenn ich dieses Tool vielleicht mal update, oder irgendwie eine 540 00:45:05,580 --> 00:45:12,600 kleine Extension update. Setzt euch einfach damit auseinander, denn was die 541 00:45:12,600 --> 00:45:17,359 Werbeindustrie ganz gut drauf hat, ist euch zu tracken, egal ob ihr jetzt Cookies 542 00:45:17,359 --> 00:45:21,730 akzeptiert oder irgendwie Tracking disabled habt, die können das ganz gut mit 543 00:45:21,730 --> 00:45:25,501 Browser Footprinting, da gibt es verschiedene Methoden auf einem ganz 544 00:45:25,501 --> 00:45:30,120 anderen Weg. So wie man eben diese WLAN Probe Requests irgendwie nutzen kann um da 545 00:45:30,120 --> 00:45:33,870 einen Footprint zur identifizieren, kann deshalb bei Browsern genauso 546 00:45:33,870 --> 00:45:40,150 funktionieren. Also, was kann man da machen? Man verwendet vielleicht Wegwerf- 547 00:45:40,150 --> 00:45:43,880 Profile, man sorgt dafür, dass die Daten zuverlässig von der Festplatte wieder 548 00:45:43,880 --> 00:45:47,650 verschwinden. Idealerweise hat man ja ohnehin einen Laptop, mit dem man dann 549 00:45:47,650 --> 00:45:51,839 hackt, den mann regelmäßig mal platt macht. Und man muss dafür sorgen, dass 550 00:45:51,839 --> 00:45:56,309 egal was für einen Browser ihr verwendet, dass alle Datenlecks zuverlässig gestoppt 551 00:45:56,309 --> 00:46:04,130 werden. Ein Serviervorschlag für so ein Setup, anonym und mit möglichst wenig 552 00:46:04,130 --> 00:46:08,660 Datenlecks unterwegs zu sein, ist einfach alles zu trennen, was man trennen kann. 553 00:46:08,660 --> 00:46:13,620 Wenn ihr grundsätzlich davon ausgeht, dass irgendwo etwas schief gehen kann, und es 554 00:46:13,620 --> 00:46:16,240 wird irgendwo etwas schief gehen, dann müsst ihr einfach dafür sorgen, dass 555 00:46:16,240 --> 00:46:20,319 dieses Risiko möglichst minimal gehalten wird. Also wäre eine Möglichkeit: Ihr 556 00:46:20,319 --> 00:46:26,390 benutzt einen Rechner, als Hardware oder VM, wo ihr eure Hacking Workstation drin 557 00:46:26,390 --> 00:46:32,950 habt, irgend ein Kali oder BSD, oder was auch immer, und über meinetwegen Hunix 558 00:46:32,950 --> 00:46:39,180 Installation dafür sorgt, dass keine Datenlecks nach außen gelangen können. Es 559 00:46:39,180 --> 00:46:44,030 wird immer noch irgendwelche Datenlecks geben, die so ein Hunix nicht abhalten 560 00:46:44,030 --> 00:46:48,720 kann, aber es minimiert zumindest bestimmte Risiken bevor irgendwelche 561 00:46:48,720 --> 00:46:55,220 Pakete fahrlässig ins große böse Internet gesendet werden, wo eine Menge Leute 562 00:46:55,220 --> 00:47:01,469 darauf warten. Also deine Geräte, lass dich nicht beeinflussen von irgendwelchen 563 00:47:01,469 --> 00:47:05,560 Leuten, die halt sagen: "Ne, du musst das Betriebssystem benutzen, sonst bist du 564 00:47:05,560 --> 00:47:08,740 nicht cool oder sonst kann es ja nicht mitmachen". Ihr müsst genau das 565 00:47:08,740 --> 00:47:13,409 Betriebssystem benutzen, mit dem ihr euch am besten auskennt, denn nur wenn ihr euer 566 00:47:13,409 --> 00:47:17,620 System beherrscht und gut kennt, könnt ihr auch, wisst ihr halt über all diese 567 00:47:17,620 --> 00:47:22,040 Nachteile, die hier eine Rolle spielen, wisst ihr darüber Bescheid, ihr könnt das 568 00:47:22,040 --> 00:47:27,930 berücksichtigen in eurem Verhalten. Faulheit ist auch ein großer Killer von 569 00:47:27,930 --> 00:47:35,920 Anonymität, ebenso dieses vorausschauende OpSec, dass man sagt, ich benutze von 570 00:47:35,920 --> 00:47:40,130 vornherein Tor, auch wenn ich jetzt gerade nur was im Onlineshop was einkaufen will. 571 00:47:40,130 --> 00:47:44,380 Einfach nur um sicher zu sein, dass man nirgendwo einfach nur aus Faulheit irgend 572 00:47:44,380 --> 00:47:50,699 einen Schutzmechanismus mal weglässt. Kann ja auch sein, dass irgendein Target Server 573 00:47:50,699 --> 00:47:56,020 einfach sagt: "Nöö, ich blockier aber Tor Exit Nodes". Kommt vor. Oder dass zum 574 00:47:56,020 --> 00:48:01,210 Beispiel die Captchas immer lästiger werden, wenn man über einen Tor Exit Node 575 00:48:01,210 --> 00:48:05,270 kommt. Das ist einfach alles nur dafür da, euch zu nerven und einfach mal für einen 576 00:48:05,270 --> 00:48:09,449 kleinen Augenblick Tor abzuschalten und vielleicht normalen VPN-Anbieter zu 577 00:48:09,449 --> 00:48:13,630 benutzen, oder komplett auf irgendeine Verschleierung zu verzichten. Und ja, 578 00:48:13,630 --> 00:48:21,779 diese Faulheit wird euch im Zweifelsfall auch das Genick brechen. Was wir in 579 00:48:21,779 --> 00:48:29,079 Zukunft eventuell auch häufiger sehen könnten ist etwas, das sind Canaries. 580 00:48:29,079 --> 00:48:34,780 Colin Malena hat letztes Jahr auch schon auf dem Kongress glaube ich über Canaries 581 00:48:34,780 --> 00:48:41,460 in Embedded Devices gesprochen. Das sind einfach nur irgendwelche Pattern, die in 582 00:48:41,460 --> 00:48:45,680 der Firmware hinterlassen werden, die dann gemonitored werden, ob jemand danach 583 00:48:45,680 --> 00:48:51,309 googelt. Das heißt, ich kann also auch auf einem Produktionssystem so eine Art Pseudo 584 00:48:51,309 --> 00:48:57,079 Honeypot installieren, und eine Datenbank mit scheinbar realen Daten füllen, und 585 00:48:57,079 --> 00:49:00,090 irgendein Angreifer, der halt sehr neugierig ist, wird das möglicherweise 586 00:49:00,090 --> 00:49:03,549 ausprobieren, ob das Login von der Frau Merkel dann auch wirklich funktioniert, 587 00:49:03,549 --> 00:49:06,930 oder er wird vielleicht nach irgendeinem Pattern auch googeln und herauszufinden, 588 00:49:06,930 --> 00:49:10,349 ob sich dann noch mehr holen lässt, um die Qualität und vielleicht auch den Wert der 589 00:49:10,349 --> 00:49:16,529 erbeuteten Daten auszukundschaften. Das heißt, da ist auch Neugier dann der Killer 590 00:49:16,529 --> 00:49:22,779 was Anonymität angeht. Und ja, das sind halt einfach Fallen, die ausgelegt werden, 591 00:49:22,779 --> 00:49:27,650 und man sollte grundsätzlich so eine gewisse Grundparanoia haben. Man sollte 592 00:49:27,650 --> 00:49:32,699 immer davon ausgehen, das jemand einem eine Falle stellt. 593 00:49:32,699 --> 00:49:40,039 L: Zum Beispiel auch, wenn das Männchen vom Elektroversorger kommt, und so was 594 00:49:40,039 --> 00:49:48,899 mitbringt; Wisst ihr, was das ist? Das ist ein Smart Meter. Auch das natürlich ein 595 00:49:48,899 --> 00:49:53,930 Gerät, was unter der Maßgabe des "Digital First, Bedenken Second" gerade ausgerollt 596 00:49:53,930 --> 00:49:59,420 wird und eine ganze Menge Metadaten über euer Verhalten sammelt. Müsst ihr euch 597 00:49:59,420 --> 00:50:03,430 aber nicht unbedingt Sorgen machen, weil das ist ja vom Bundesamt für Sicherheit in 598 00:50:03,430 --> 00:50:09,869 der Informationstechnik abgenommen, da kann eigentlich nichts schief gehen. Außer 599 00:50:09,869 --> 00:50:13,681 natürlich, dass Geräte mit Deutschlandflagge und Adler für die 600 00:50:13,681 --> 00:50:19,170 hacksportliche Nutzung grundsätzlich ungeeignet sind, deswegen raten wir davon 601 00:50:19,170 --> 00:50:23,859 ab. Und sind gespannt, was wir noch alles für Metadatenquellen in unserer Zukunft 602 00:50:23,859 --> 00:50:30,240 sehen werden. T: Ja, und ihr seht schon, es sind nicht 603 00:50:30,240 --> 00:50:34,770 immer nur die technischen Probleme, die ihr nicht berücksichtigt, das seid auch 604 00:50:34,770 --> 00:50:41,340 ihr selbst, eben dieses ungeduldig sein oder faul sein, oder wenn man sich gerne 605 00:50:41,340 --> 00:50:45,109 Sachen schön redet und sagt "So naja, nu, ist jetzt irgendwie 19 Mal gut gegangen, 606 00:50:45,109 --> 00:50:48,190 warum sollte ich jetzt irgendwie immer und immer wieder den gleichen Aufwand 607 00:50:48,190 --> 00:50:52,070 betreiben, das wird schon schiefgehen. Warum sollte jemand in dieses Log 608 00:50:52,070 --> 00:50:57,080 gucken". Ist so vergleichbar mit "Warum sollte irgendjemand diesen Unsinn in 609 00:50:57,080 --> 00:51:02,800 dieses Formularfeld eintragen". Also man trifft hier Annahmen, die halt fatal sind, 610 00:51:02,800 --> 00:51:06,470 und da muss man halt auch sehr stark darauf achten, dass man selbst nicht sich 611 00:51:06,470 --> 00:51:10,369 selbst verrät. Die Frage ist zum Beispiel auch: Geht man oft gerne feiern und 612 00:51:10,369 --> 00:51:14,170 brüstet sich dann vielleicht auf einer Feier beim Bier irgendwie mit Erfolgen 613 00:51:14,170 --> 00:51:17,980 oder gibt man sich gerne geheimnisvoll? So gibt man immer wieder gerne auch mal 614 00:51:17,980 --> 00:51:24,249 Geheimnisse preis, die einem das Genick brechen. Da gibt es auch Fälle, wo dann 615 00:51:24,249 --> 00:51:28,359 Leute aus dem Freundeskreis eben angefangen haben, Daten auch nach außen 616 00:51:28,359 --> 00:51:38,420 sickern zu lassen. Ansonsten sind das noch Kleinigkeiten wie ich schon sagte der 617 00:51:38,420 --> 00:51:40,920 Coding-Stil kann ein verraten, das ist wie eine Handschrift, aber deine 618 00:51:40,920 --> 00:51:44,230 Rechtschreibung und Grammatik ist es auch. Vielleicht kann man da irgendwelche 619 00:51:44,230 --> 00:51:47,940 Translation-Services benutzen und hin und her übersetzen, wenn man schon in 620 00:51:47,940 --> 00:51:53,250 irgendwelchen Foren schreiben muss. Bestimmte Skills, Eigenschaften, die ihr 621 00:51:53,250 --> 00:51:56,899 technisch beherrscht, die andere vielleicht nicht so gut beherrschen, 622 00:51:56,899 --> 00:52:00,039 können euch auch genausogut verraten. Das sind am Ende einfach nur einzelne 623 00:52:00,039 --> 00:52:05,720 Indizien, die von Ermittlern oder Leuten, die euch jagen, kombiniert werden, um 624 00:52:05,720 --> 00:52:12,799 nem plausiblen Beweis zu finden, um euch zu finden. Ja, ansonsten ist auch oft, 625 00:52:12,799 --> 00:52:17,960 wenn ihr irgendwo was zerhackt habt, dann hinterlasst hier vielleicht auch 626 00:52:17,960 --> 00:52:22,070 irgendwelche Funktionserweiterer und Werkzeuge, die es euch erlauben, Sachen 627 00:52:22,070 --> 00:52:26,380 hoch oder runter zu laden. Diese Sachen bleiben im Zweifelsfall dort liegen, weil 628 00:52:26,380 --> 00:52:29,880 euch jemand die Internetleitung kappt, und diese Daten können dann halt analysiert 629 00:52:29,880 --> 00:52:34,800 werden. Rechnet immer damit, dass dieser Fall eintreten kann, und sorgt dafür, dass 630 00:52:34,800 --> 00:52:44,460 sich eure Tools, dass es da keinen Zusammenhang ergibt zu euch. Ja, ansonsten 631 00:52:44,460 --> 00:52:49,939 eben einfach mal tief durchatmen, vielleicht ein bisschen diskreter an die 632 00:52:49,939 --> 00:52:56,219 Sache rangehen, und versuchen unter dem Radar zu bleiben, nicht herum zu posen, 633 00:52:56,219 --> 00:52:59,540 keine Andeutungen zu machen, um damit irgendwie ein Geheimnis geheimnisvoller 634 00:52:59,540 --> 00:53:03,860 da zu stehen. Nicht übermütig zu werden, das ist einer der wichtigsten Punkte, und 635 00:53:03,860 --> 00:53:11,860 eben, dieser Geldfall, nicht gierig zu werden, klar. Geld macht eh nicht 636 00:53:11,860 --> 00:53:15,010 glücklich, also von daher, werde einfach nicht übermütig. Ich glaube, das ist am 637 00:53:15,010 --> 00:53:18,850 Ende auch ein ganz großer Faktor, wenn man irgendwie jahrelang irgendwelche Sachen 638 00:53:18,850 --> 00:53:25,769 zerhackt hat, dass man da übermütig wird. Und, verhaltet euch einfach so wie ihr 639 00:53:25,769 --> 00:53:31,039 euren Eltern das immer auch empfohlen habt: Klickt nicht auf irgendwelche Links, 640 00:53:31,039 --> 00:53:35,160 die ihr per Spam E-Mail zugeschickt bekommt. Klickt nicht auf irgendwelche 641 00:53:35,160 --> 00:53:40,030 Anhänge, die euch zugeschickt werden ungefragt. Und seid einfach nicht so 642 00:53:40,030 --> 00:53:43,829 leichtfertig. L: Was auch noch zu verräterischen 643 00:53:43,829 --> 00:53:49,710 Schwächen gehört ist auch ein Fall aus dem Anonymous-Umfeld: Dein Kumpel hat Kind und 644 00:53:49,710 --> 00:53:54,640 Familie, ist erpressbar, und versuchte dich, ans Messer zu liefern. 645 00:53:56,160 --> 00:54:01,079 T: Ich habe kein Messer dabei... L: OK. Es gibt eigentlich, wenn ihr euch 646 00:54:01,079 --> 00:54:05,319 das so anschaut, niemanden der das so mit dem Hacking länger durchgehalten hat, will 647 00:54:05,319 --> 00:54:12,640 man meinen. Aber es gibt einen, das ist Fisher, kein Mensch weiß wie er aussieht, 648 00:54:12,640 --> 00:54:18,950 kein Mensch weiß ob es mehrere oder wenige sind. Und diese Person, dieses Pseudonym, 649 00:54:18,950 --> 00:54:24,080 ist ein Staatstrojaner-Jäger, hat einfach mal Gamma Finfisher aufgemacht, hat in 650 00:54:24,080 --> 00:54:29,779 Italien das Hacking Team aufgemacht, und vor kurzem gab es dann die frohe Kunde, 651 00:54:29,779 --> 00:54:35,580 dass die Ermittlungsverfahren eingestellt wurden, weil es keine Spuren gibt, um 652 00:54:35,580 --> 00:54:40,131 irgendwie diese Person oder diesen Hacker zu finden. Und dafür gibt es von uns 653 00:54:40,131 --> 00:54:44,439 natürlich die lobende Erwähnung und den Hat-Tip.... 654 00:54:44,439 --> 00:54:59,099 *Applaus* L: Kommen wir zum Fazit: Pseudonym ist 655 00:54:59,099 --> 00:55:03,890 nicht anonym. Verratet nicht eure Pläne, seid nicht in der Situation, dass ihr 656 00:55:03,890 --> 00:55:09,390 jemandem vertrauen müsst. Seid vor allem vorher paranoid, weil nachher geht das 657 00:55:09,390 --> 00:55:16,019 nicht mehr. Kennt eure Geräte, trennt Aktivitäten und Geräte, es ist sehr 658 00:55:16,019 --> 00:55:20,200 sinnvoll mehrere Geräte zu haben, vor allem wenn man von der Polizei durchsucht 659 00:55:20,200 --> 00:55:23,289 wird wie Alberto, und die nur die Hälfte mitnehmen, habt ihr danach vielleicht noch 660 00:55:23,289 --> 00:55:30,720 ein Gerät über. Haltet euer Zuhause rein, und vor allem lasst die Finger vom 661 00:55:30,720 --> 00:55:35,600 Cybercrime. Andere waren besser als ihr und haben es auch nicht geschafft. Bitcoin 662 00:55:35,600 --> 00:55:47,050 ist eh im Keller. Also lasst es sein. *Applaus* 663 00:55:47,050 --> 00:55:52,069 L: Und dann bleibt uns eigentlich nur noch ein ein allerletzter wichtiger Rat, und 664 00:55:52,069 --> 00:56:00,180 das ist nie ohne Skimaske hacken. T: Und immer auch nie ohne Ethik hacken. 665 00:56:00,180 --> 00:56:08,839 L: Und bitte bitte bitte bitte nie ohne Ethik hacken, den Vortrag über die 666 00:56:08,839 --> 00:56:12,300 Hackerethik, auch dass ein Einführungsvortrag, den gab es an Tag eins 667 00:56:12,300 --> 00:56:17,730 von Frank Rieger. Ihr könnt euch auch den Seiten des CCC darüber informieren, spart 668 00:56:17,730 --> 00:56:22,319 euch den Ärger, arbeitet auch der leuchtend glänzenden Seite der Macht und 669 00:56:22,319 --> 00:56:27,310 seid gute Hacker. Macht keinen Scheiß, dann aber auch keine Sorgen. Vielen Dank ! 670 00:56:27,310 --> 00:56:36,250 *Applaus* 671 00:56:36,250 --> 00:56:41,750 T: Ich hab auch noch eine. *Applaus* 672 00:56:41,750 --> 00:56:43,042 T: Ist bald wieder Fasching, ne *Applaus* 673 00:56:43,042 --> 00:56:48,097 *Abspannmusik* 674 00:56:48,097 --> 00:57:05,852 Untertitel erstellt von c3subtitles.de im Jahr 2019. Mach mit und hilf uns!