====== CryptoParty Graz - //Das Blog// ====== {{:cryptopartygrazlogo.png?nolink&50 |}} Neues aus der Welt der sicheren Kommunikation so wie aktuelles rund um die Grazer CryptoParty. Am Laufenden bleibt ihr auch mit unserer [[http://lists.mur.at/mailman/listinfo/cryptoparty|Mailingliste]] so wie unserem [[https://twitter.com/CryptoPartyGraz/|Twitter-Account]].\\ \\ ===== Security-GAU: Meltdown & Spectre - Erste Hilfe Maßnahmen ===== //2018-01-08//\\ {{ :graz:meltdown-text.png?50|}} {{ :graz:spectre-text.png?75|}} Nach dem Bekanntwerden der Sicherheitslücken "Meltdown" & "Spectre", die so ziemlich alle Computer betreffen, gibt es mittlerweile ein paar Erste-Hilfe-Tipps um Schlimmeres zu verhindern \\ \\ - Betriebssystem (egal ob Android, Linux, macOS / iOS, Windows) updaten! \\ - Browser (Chrome/Chromium, Firefox, Safari, Edge) updaten! \\ - Falls ihr Chrome/Chromium verwendet, solltet ihr auch noch zusätzlich die "Site-Isolation" aktivieren//[1]//!\\ Best Practices - oder was ihr immer tun solltet: * generell solltet ihr immer euer Betriebssystem, Browser und (bei Windows-Systemen) euren Virenscanner aktualisieren, sobald es Updates gibt. * Klickt auf keine dubiosen Links, Werbung oder Gewinnspiele. * Ladet euch Software/Apps nur von der Herstellerseite bzw, aus den Appstores von Google und Apple. * Installiert auf euren Smartphones/Tablets nur Apps die ihr wirklich braucht. * Checkt die Berechtigungen (Permission Details) eurer Apps. Wofür braucht eine Taschenlampen-App Zugriff auf euer Adressbuch um zu funktionieren? * Verwendet sichere [[https://cryptoparty.at/_media/graz:urania_2017_sicherepasswoerter.pdf|Passwörter]]. \\ Links und weitere Infos:\\ [[https://meltdownattack.com/]]\\ [[https://danielmiessler.com/blog/simple-explanation-difference-meltdown-spectre/]]\\ [[https://futurezone.at/produkte/tu-graz-hat-zentrale-rolle-im-kampf-gegen-sicherheitsluecke/304.927.277]]\\ [[https://www.heise.de/security/meldung/Prozessor-Bug-Browser-Hersteller-reagieren-auf-Meltdown-und-Spectre-3933043.html]]\\ [[https://www.chromium.org/Home/chromium-security/site-isolation]]//[1]//\\ ===== Wichtig für alle Email-VerschlüsslerInnen ! ===== Ein Sicherheits-Audit der von uns empfohlenen Software-Kombination **Thunderbird/Enigmail** zum Verschlüsseln von Emails hat einige **Schwachstellen** zutage gefördert. \\ Genauere Details und Tipps, die unbedingt berücksichtigt werden sollen, bitte hier nachlesen: [[https://netzpolitik.org/2017/sicherheitsaudit-fuer-enigmail-und-thunderbird-posteo-warnt-vor-schwachstellen/]] ===== 'Wer kontrolliert die digitale Welt': Nachhören & Zusammenfassung ===== //2016-11-16//\\ {{:graz:auge_podium.png?100 |}} Wer bei der Veranstaltung "Wer kontrolliert die digitale Welt" nicht dabei sein konnte, findet hier eine [[http://www.auge.or.at/ug/48-news-stmk/1566-das-war-die-veranstaltung-wer-kontrolliert-die-digitale-welt|Zusammenfassung]] der wichtigsten Statements.\\ \\ Am Podium waren Peter Pilz, Andreas Krisch, Thomas Riesenecker-Caba und Daniela Grabe. Moderiert hat Gunter Bauer von der Cryptoparty Graz.\\ \\ Die Veranstaltung gibt es auch in einem 1-stündigen Mitschnitt hier zum [[https://cba.fro.at/326281|Nachhören]]!\\ \\ ---- ===== "In Graz verstrickt" mit der CryptoParty Graz ===== //2016-03-10//\\ Brigitte und Gunter waren in der Sendung "[[http://helsinki.at/programm/58390|In Graz verstrickt]]" auf Radio Helsinki zu Gast und haben über Datenschutz, Privatsphäre und digitale Selbstverteidigung bei der CryptoParty Graz geredet.\\ \\ Die Sendung gibts hier zum [[http://cba.fro.at/310419|nachhören]]!\\ \\ ---- ===== CryptoParty Graz im Radio ===== //2015-02-26//\\ Teile des CryptoParty Graz Organisationsteams waren diese Woche im Radio. In der Sendung [[http://helsinki.at/programm/shows/substral-3|#Substral]] (vom Spektral Graz), die alle 4 Wochen auf Radio Helsinki läuft, ging es dieses Mal 1 Stunde lang um die CryptoParty.\\ \\ Die Sendung könnt ihr hier [[http://spektral.at/podcast/sp013-substral-cryptoparty-graz/|anhören und runterladen]]!\\ \\ Es geht u.a. um die CryptoParty Graz, Überwachung und Gegenmaßnahmen, und unsere 2-Jahresfeier.\\ \\ ---- ===== Diebstahl SIM Kis durch NSA und GCHQ: Gegenmaßnahmen ===== //2015-02-20//\\ Wie gestern durch den Intercept [[https://firstlook.org/theintercept/2015/02/19/great-sim-heist|bekannt wurde]], sind NSA und GCHQ unter anderem bei den Herstellern Gemalto und Giesecke & Devrient eingebrochen und haben gleich millionenfach die [[http://www.itwissen.info/definition/lexikon/individual-subscriber-authentification-key-Ki-Individueller-Authentifizierungsschluessel.html|Kis]] von neuen SIM Karten gestohlen. Das sind die Schlüssel, mit denen der Funkverkehr zwischen Mobilgeräten und Funkmasten verschlüsselt wird.\\ Hat man diese Schlüssel, braucht man gar keinen IMSI Catcher mehr zum Abhören: Man kann passiv an beliebig vielen Stellen allen GSM Funkverkehr mitschneiden (das merkt niemand) und weiterleiten. In der Zentrale werden die Signale dann alle entschlüsselt und maschinell ausgewertet.\\ Das CERT.at hat [[https://www.cert.at/services/blog/20150220150747-1386.html|beschrieben]], was sich daraus für Konsequenzen ergeben. Allerdings sind die Kis nur einer von mehreren Wegen, Handytelefonate abzuhören, wie die EDV Journalisten von DER ZEIT [[http://www.zeit.de/digital/datenschutz/2015-02/mobilfunk-sim-karten-ki-hersteller-gemalto-nsa-gchq/komplettansicht|aufzeigen]].\\ \\ Kurz gesagt: Die Vertraulichkeit des gesprochenen Wortes ist bei Telefonaten //nicht mehr gewährleistet//. Es gilt die "Zeitungsregel":\\ - Man kommuniziert etwas elektronisch und unverschlüsselt (Telefonat, SMS, E-Mail, Facebook-Chat etc.).\\ - Der komplette Kommunikationsvorgang oder Auszüge davon stehen am nächsten Tag in der Zeitung.\\ - Niemand bekommt Probleme oder wird wegen des Verstoßes gegen gesellschaftliche Normen schief angeguckt: Die beiden Kommunikationspartner und evtl. dritte Personen, über die gesprochen wurde.\\ Hält man diese Regel ein, ist automatisierte Massenüberwachung immer noch lästig, aber nicht mehr gefährlich.\\ \\ Wer dennoch sensible Inhalte elektronisch kommunizieren möchte oder muss, sollte verschlüsseln. Für Mobiltelefonate empfehlen sich VoIP Clients, die Verschlüsselung anbieten. Bei allen Cryptoprogrammen sollte generell der Quelltext offenliegen und //von Fachleuten geprüft// worden sein. Nur so ist die Wahrscheinlichkeit hoch, dass die Algorithmen richtig programmiert und vor allem keine [[https://en.wikipedia.org/wiki/Backdoor_%28computing%29|Backdoors]] von wem auch immer eingebaut wurden. Einen Überblick über verschlüsselnde Kommunikationsprogramme und den Stand der Prüfung gibt die [[https://www.eff.org/secure-messaging-scorecard|EFF Secure Messaging Scorecard]]. Bevor man sich Gedanken über Kommunikationsverschlüsselung macht, sollte man erstmal die Endgeräte kritisch beäugen. Einen guten Überblick zu Sicherheitsmaßnahmen für Android Smartphones gab Ralf Staudemeyer auf den DroidCon 5/2014: [[http://woerter.de/android/droidcon|Android beyond Snowden]].\\ \\ Wenn man auf dem eigenen Smartphone wieder Herrin oder Herr im Hause sein und das nicht Google überlassen möchte, sollte man rooten und auf [[https://www.replicant.us|Replicant]] oder [[http://www.cyanogenmod.org|CyanogenMod]] umsteigen. Das bringt schonmal ein deutliches Sicherheitsplus, weil man auf dem wichtigsten Kommunikationsgerät wieder [[https://de.wikipedia.org/wiki/Root-Konto|Root]] ist und diese Hoheitsrechte nicht mehr dem großen G überlässt. Es ist allerdings mit einiger (nervigen) Bastelei verbunden, wie nicht verschwiegen werden darf.\\ Statt des Google Playstores nimmt man den Appstore [[https://f-droid.org|F-Droid]], der nur freie Software ohne Tracking-Libraries enthält und von der Free Software Foundation Europe [[https://fsfe.org/campaigns/android/liberate.en.html|unterstützt]] wird. Darin gibt es aktuell die Crypto-VoIP Apps\\ - [[http://www.lumicall.org|Lumicall]]\\ - [[https://code.google.com/p/csipsimple|CSipSimple]]\\ Beide Apps gibt es auch im Playstore. Darin ist ebenfalls\\ - Redphone von [[https://whispersystems.org|Whispersystems]]\\ zu finden. Des Weiteren gibt es noch\\ - [[http://www.acrobits.cz/products/retail#tab_softphone|Acrobits Softphone]]\\ für Google Play und iPhone, mit einem kostenpflichtigen Verschlüsselungsaufsatz. \\ ---- ===== Unsichtbare Mächte beobachten uns ===== //2014-08-31//\\ Kurzvortrag beim [[https://events.titanpad.com/21|Show + Tell]] im [[https://realraum.at|realraum]]\\ Javascript, Browserfingerprinting und Webtracking, oder: "Unsichtbare Mächte beobachten uns - besonders bei aktiviertem Javascript!"\\ Hier die [[https://cryptoparty.at/_media/graz:unsichtbare_maechte.pdf|Folien]]\\ Seiten zum Testen des Browser Fingerprints:\\ [[https://panopticlick.eff.org|https://panopticlick.eff.org]]\\ [[http://letmetrackyou.org/identify.php|http://letmetrackyou.org]]\\ [[http://browserspy.dk/|http://browserspy.dk]]\\ \\ ---- ===== CryptoParty Graz stands with Edward Snowden! ===== //2014-06-14//\\ Die [[https://couragefound.org|Courage Foundation]] zur Unterstützung von Whistleblowern hat am 2014-06-11 die [[https://couragefound.org/stand-with-snowden/|Stand with Snowden]] Kampagne ins Leben gerufen, um einen Asylplatz für ihn zu organisieren. Außerdem werden Spenden für seine Anwaltskosten gesammelt.\\ Wir InternetnutzerInnen wüssten ohne seine mutige Tat nichts von der automatisierten Totalüberwachung unseres elektronischen Lebens (Inhalt und Metadaten: E-Mails, Chats, SMS, Telefonate; Browserverlauf; Handy-Standort; elektron. Geldtransfer; Gesichtserkennung auf Fotos; auf Anfrage alle Cloud-Daten ...). Des Weiteren hat Edward Snowden am 2012-12-11 eine [[http://www.forbes.com/sites/runasandvik/2014/05/27/that-one-time-i-threw-a-cryptoparty-with-edward-snowden|CryptoParty in Honolulu]] abgehalten, zusammen mit [[http://encrypted.cc|Runa Sandvik]] vom [[https://www.torproject.org|Tor Projekt]].\\ Daher unterstützt die Grazer CryptoParty die Kampagne und ruft zum Mitmachen auf: Flagge und Gesicht zeigen gegen Massenüberwachung!\\ Wer von den Grazern mitmachen möchte: Hier das {{:cryptoparty_graz_stands_with_e-snowden.odt|Schild (.odt)}} | {{:cryptoparty_graz_stands_with_e-snowden.pdf|Schild (.pdf)}}.\\ \\ //Cryptopaths from other towns and countries are welcome to download the {{:cryptoparty_xyz_stands_with_e-snowden.odt|template (.odt)}} | {{:cryptoparty_xyz_stands_with_e-snowden.pdf|template (.pdf)}} and fill in their own location.//\\ \\ Und nicht vergessen: Verschlüsseln macht sexy!\\ ---- ===== Die PrivacyMachine ist online! ===== //Januar 2014//\\ Ein paar Leute haben sich von der Grazer Cryptoparty zusammengefunden und arbeiten an der [[https://www.privacymachine.eu|PrivacyMachine]]. Wenn die mal fertig ist, wird das eine komfortable Möglichkeit zum schnellen anonymen Surfen. Aktuell sitzen die Programmierer noch schimpfend am ersten Alpha-Release und fragen sich, warum nur die Hälfte funktioniert. Jedenfalls soll die erste Version bis Mitte 2014 rauskommen.\\ Um die Wartezeit zu überbrücken, gibt es schonmal das DataSeal (= Datendichtung), auf der gleichen Seite. Das ist ein Workshop zum Selbermachen, um den eigenen Firefox Browser weitestgehend datendicht zu bekommen. Es ist ein Massnahme gegen das Fingerprinting, womit //ohne Cookies oder IP Adresse// die SurferInnen eindeutig identifiziert werden können.\\