Gedankenfluss

Alles fliesst...

« Kapitalkontext: Was Marx in den Grundrissen plante Habari »

"Sichere Kommunikation" in der B-Lage mit H4nnes

2013
14
November

@h4nnes hatte im Vorfeld angedeutet, dass es nicht um Tools gehen würde, was ich prinzipiell interessant finde. Seit einiger Zeit interessiert mich der OpSec Aspekt sehr und wundere mich, wievviele Hacker sich anscheinend damit nicht auskennen.

Details bei Bruce Schneier on the SilkRoad, LulzSec.

Insgesamt war ich sehr angetan von dem Talk, deren message wohl so zusammen gefasst werden kann: "Findet raus, wer euer Gegner ist; was die Angriffsszenarien sind und was euch die Informationen wert sind."

Hier nun mein roher Mitschrieb, den ich später noch ergänzen werde mit Notizen:

Sichere Kommunikation
+++++++++++++++++++++
von H4nnes

Was ist die Motivation fuer Sicherheit? Sicherheit ist relative. Schwammiger Sicherheitsbegriff kann konkretisiert werden ueber Szenarien.

Elemente der Kommunikation:
- Beteiligte
- Vertrauen zwischen Beteiligte
- Inhalt
- Potentielle Mithoerer
- Tatsache der Kommunikation post-hoc

Zum Punk 2: Need to know basis. Z.B.: Militaer, Anarchismus. -> Vertrauen muss auf kleine Gruppen begrenzt werden (max. 5 Personen).

Real Beispiele:
- Gespräch in einer Kneipe (Ironie, Sarkasmus), andere Mithörer könnten das missverstehen, Umgebungsgeräusche
- Gespräch im Büro, Mobiltelefone = Wanzen
- Treffen in der Natur, Zusatzaufwand für Mithörer, leichter zu bemerken.
- Briefe mit Empfänger, Sender aber trotzdem hoher Aufwand. Passierte aber z.b. bei Bekennerschreibensuche.

Analoge Welt:
Personen, Umgebung muss vertraut werden... und Mitteln.

Wie sieht das in der Digitalen Welt aus?
Email
- unklarer Absender
- keine Verschlüsselung
Andere Dienste z.B. Facebook:
- Vertrauen in Firma
- Zentrale Speicherung
- Vertrauen in Server
- Und Menschen, die Computer/Server betreuen.
- Daten sind eh schon digital, daher muss nichts noch digitalisiert werden. Geringer Aufwand.

Bewegungsprofile:
- Mautbrücken
- Flugdaten (über Bonusmeilen?)
- Bahnfahrdaten, z.B. Bahncard, BahnComfort
- Mietauto mit GPS
- Mobiltelefondaten, z.B. Funkzellenabfrage (IMSI/IMEI aber auch Telefonnummer ueber Provider)
- EC und Kreditkarten

Elemente bei digitaler Sicherheit:
- Kommunikationsdaten (Inhalte)
- Kommunikationsnetzstruktur (Wer mit wem)
-> Sicherheit aller beteiligter Computer
- Vertrauen in alle digitale, elektronische und mechanische Komponenten eigentlich notwendig

- Daten: Inhalt und Metadaten
- Services: Zentral vs. dezentral

Eigenschaften sicherer Kommunikation:
- Identifikation/ Authentifizierung - mit wem
- Verschwiegenheit - nur Berechtigte können lesen
- Integrität - Nachricht ist unverändert.
== Alle Eigenschaften zusammen nennt man Verschlüsselung.

Extras:
- Anonymität nach aussen
- Perfect forward secrecy
(- Deniability/ Logging)

Asymmetrische Krypto:
- public/private key, vertrauen extrem wichtig in die Schlüssel, daher das richtig machen. Trefft euch im Park.

TLS/SSL:
- Computer/Server Verschlüsselung
- Hierarchie
- Vertrauen in Server muss hergestellt werden
(- Alternative CaCERT)

PGP:

Forward Secrecy - OTR:
- Perfect Forward Secrecy
-> Kein offline storage
-> Kein Asservat

TOR:
- Keiner kennt den Ursprung oder Ziel der Kommunikation durch
- Perry Rhodan.... ich meine Zwiebelschalenmodell.

VPN:
- Nicht mehr Provider vertrauen, sondern VPN Anbietern. Das ist eine Verschleierung, kein Schutz.
(Aber es gibt auch anonym bezahlbare, nicht loggende VPNs.)

Elemente der physikalische Sicherheit des Computers:
- Ort: Internet Cafe?
- Andere Benutzer am gleichen PC?
- Installierte Software... Cloud?
- Cookies und Ad-Ware
- Andere Viren und Malware
- Infection proxy: Webseiten werden z.B. vom LKA beim Übertragung verändert um Schadcode aufzuspielen.

Hausdurchsuchungen:
- Festplatten verschlüsseln hilft
- (Ihr müsst niemals irgendein Passwort irgend jemanden sagen. Auch nicht der Polizei oder dem Richter!)
- Adressbücher
- Mobiltelefone
- USB Sticks etc.

Was geht schief?
- Lulzsec: Ein TOR/IRC slip up. Ein einziger!
- Silkroad: Verbindungen von Daten aus der Vergangenheit und Gegenwart.
- freedomhost: Einspielen eines Trojaners via JavaScript.

Alternativen - Tool time!
- OpenSource
- nadir, riseup, so26.net statt gmail.
- mumble statt skype
- etherpad
- Und falls es wirklich wichtig ist, trefft euch im Park! ;)

Links: https://basicinternetsecurity.org/
https://prism-break.org/
https://guardianproject.info/
http://www.cryptoparty.in/
https://ssd.eff.org/
https://xmpp.net/index.php

Diskussion:
Und jetzt konkret? (Erinnert mich an den Vorwurf an die Kommunisten ;))
Ihr müsst raus finden, was ihr braucht für das was ihr macht. Was ist euer Szenario? Dann könnt ihr diese Frage besser stellen und besser beantworten.


0 Responses bis "Sichere Kommunikation" in der B-Lage mit H4nnes

Feed für diesen Eintrag

0 Kommentare

  • Es gibt zurzeit keine Kommentare.

Über dich

E-Mail-Adresse ist nicht veröffentlicht

Zur Diskussion hinzufügen