Inhaltsverzeichnis
CryptoParty Graz - //Das Blog//
Neues aus der Welt der sicheren Kommunikation so wie aktuelles rund um die Grazer CryptoParty. Am Laufenden bleibt ihr auch mit unserer Mailingliste so wie unserem Twitter-Account.
Security-GAU: Meltdown & Spectre - Erste Hilfe Maßnahmen
Nach dem Bekanntwerden der Sicherheitslücken „Meltdown“ & „Spectre“, die so ziemlich alle Computer betreffen, gibt es mittlerweile ein paar Erste-Hilfe-Tipps um Schlimmeres zu verhindern
- Betriebssystem (egal ob Android, Linux, macOS / iOS, Windows) updaten!
- Browser (Chrome/Chromium, Firefox, Safari, Edge) updaten!
- Falls ihr Chrome/Chromium verwendet, solltet ihr auch noch zusätzlich die „Site-Isolation“ aktivieren[1]!
Best Practices - oder was ihr immer tun solltet:
- generell solltet ihr immer euer Betriebssystem, Browser und (bei Windows-Systemen) euren Virenscanner aktualisieren, sobald es Updates gibt.
- Klickt auf keine dubiosen Links, Werbung oder Gewinnspiele.
- Ladet euch Software/Apps nur von der Herstellerseite bzw, aus den Appstores von Google und Apple.
- Installiert auf euren Smartphones/Tablets nur Apps die ihr wirklich braucht.
- Checkt die Berechtigungen (Permission Details) eurer Apps. Wofür braucht eine Taschenlampen-App Zugriff auf euer Adressbuch um zu funktionieren?
- Verwendet sichere Passwörter.
Links und weitere Infos:
https://meltdownattack.com/
https://danielmiessler.com/blog/simple-explanation-difference-meltdown-spectre/
https://futurezone.at/produkte/tu-graz-hat-zentrale-rolle-im-kampf-gegen-sicherheitsluecke/304.927.277
https://www.heise.de/security/meldung/Prozessor-Bug-Browser-Hersteller-reagieren-auf-Meltdown-und-Spectre-3933043.html
https://www.chromium.org/Home/chromium-security/site-isolation[1]
Wichtig für alle Email-VerschlüsslerInnen !
Ein Sicherheits-Audit der von uns empfohlenen Software-Kombination Thunderbird/Enigmail zum Verschlüsseln von Emails hat einige Schwachstellen zutage gefördert.
Genauere Details und Tipps, die unbedingt berücksichtigt werden sollen, bitte hier nachlesen:
https://netzpolitik.org/2017/sicherheitsaudit-fuer-enigmail-und-thunderbird-posteo-warnt-vor-schwachstellen/
'Wer kontrolliert die digitale Welt': Nachhören & Zusammenfassung
2016-11-16
Wer bei der Veranstaltung „Wer kontrolliert die digitale Welt“ nicht dabei sein konnte, findet hier eine Zusammenfassung der wichtigsten Statements.
Am Podium waren Peter Pilz, Andreas Krisch, Thomas Riesenecker-Caba und Daniela Grabe. Moderiert hat Gunter Bauer von der Cryptoparty Graz.
Die Veranstaltung gibt es auch in einem 1-stündigen Mitschnitt hier zum Nachhören!
"In Graz verstrickt" mit der CryptoParty Graz
2016-03-10
Brigitte und Gunter waren in der Sendung „In Graz verstrickt“ auf Radio Helsinki zu Gast und haben über Datenschutz, Privatsphäre und digitale Selbstverteidigung bei der CryptoParty Graz geredet.
Die Sendung gibts hier zum nachhören!
CryptoParty Graz im Radio
2015-02-26
Teile des CryptoParty Graz Organisationsteams waren diese Woche im Radio. In der Sendung #Substral (vom Spektral Graz), die alle 4 Wochen auf Radio Helsinki läuft, ging es dieses Mal 1 Stunde lang um die CryptoParty.
Die Sendung könnt ihr hier anhören und runterladen!
Es geht u.a. um die CryptoParty Graz, Überwachung und Gegenmaßnahmen, und unsere 2-Jahresfeier.
Diebstahl SIM Kis durch NSA und GCHQ: Gegenmaßnahmen
2015-02-20
Wie gestern durch den Intercept bekannt wurde, sind NSA und GCHQ unter anderem bei den Herstellern Gemalto und Giesecke & Devrient eingebrochen und haben gleich millionenfach die Kis von neuen SIM Karten gestohlen. Das sind die Schlüssel, mit denen der Funkverkehr zwischen Mobilgeräten und Funkmasten verschlüsselt wird.
Hat man diese Schlüssel, braucht man gar keinen IMSI Catcher mehr zum Abhören: Man kann passiv an beliebig vielen Stellen allen GSM Funkverkehr mitschneiden (das merkt niemand) und weiterleiten. In der Zentrale werden die Signale dann alle entschlüsselt und maschinell ausgewertet.
Das CERT.at hat beschrieben, was sich daraus für Konsequenzen ergeben. Allerdings sind die Kis nur einer von mehreren Wegen, Handytelefonate abzuhören, wie die EDV Journalisten von DER ZEIT aufzeigen.
Kurz gesagt: Die Vertraulichkeit des gesprochenen Wortes ist bei Telefonaten nicht mehr gewährleistet. Es gilt die „Zeitungsregel“:
- Man kommuniziert etwas elektronisch und unverschlüsselt (Telefonat, SMS, E-Mail, Facebook-Chat etc.).
- Der komplette Kommunikationsvorgang oder Auszüge davon stehen am nächsten Tag in der Zeitung.
- Niemand bekommt Probleme oder wird wegen des Verstoßes gegen gesellschaftliche Normen schief angeguckt: Die beiden Kommunikationspartner und evtl. dritte Personen, über die gesprochen wurde.
Hält man diese Regel ein, ist automatisierte Massenüberwachung immer noch lästig, aber nicht mehr gefährlich.
Wer dennoch sensible Inhalte elektronisch kommunizieren möchte oder muss, sollte verschlüsseln. Für Mobiltelefonate empfehlen sich VoIP Clients, die Verschlüsselung anbieten. Bei allen Cryptoprogrammen sollte generell der Quelltext offenliegen und von Fachleuten geprüft worden sein. Nur so ist die Wahrscheinlichkeit hoch, dass die Algorithmen richtig programmiert und vor allem keine Backdoors von wem auch immer eingebaut wurden. Einen Überblick über verschlüsselnde Kommunikationsprogramme und den Stand der Prüfung gibt die EFF Secure Messaging Scorecard. Bevor man sich Gedanken über Kommunikationsverschlüsselung macht, sollte man erstmal die Endgeräte kritisch beäugen. Einen guten Überblick zu Sicherheitsmaßnahmen für Android Smartphones gab Ralf Staudemeyer auf den DroidCon 5/2014: Android beyond Snowden.
Wenn man auf dem eigenen Smartphone wieder Herrin oder Herr im Hause sein und das nicht Google überlassen möchte, sollte man rooten und auf Replicant oder CyanogenMod umsteigen. Das bringt schonmal ein deutliches Sicherheitsplus, weil man auf dem wichtigsten Kommunikationsgerät wieder Root ist und diese Hoheitsrechte nicht mehr dem großen G überlässt. Es ist allerdings mit einiger (nervigen) Bastelei verbunden, wie nicht verschwiegen werden darf.
Statt des Google Playstores nimmt man den Appstore F-Droid, der nur freie Software ohne Tracking-Libraries enthält und von der Free Software Foundation Europe unterstützt wird. Darin gibt es aktuell die Crypto-VoIP Apps
- Lumicall
- CSipSimple
Beide Apps gibt es auch im Playstore. Darin ist ebenfalls
- Redphone von Whispersystems
zu finden. Des Weiteren gibt es noch
- Acrobits Softphone
für Google Play und iPhone, mit einem kostenpflichtigen Verschlüsselungsaufsatz.
Unsichtbare Mächte beobachten uns
2014-08-31
Kurzvortrag beim Show + Tell im realraum
Javascript, Browserfingerprinting und Webtracking, oder: „Unsichtbare Mächte beobachten uns - besonders bei aktiviertem Javascript!“
Hier die Folien
Seiten zum Testen des Browser Fingerprints:
https://panopticlick.eff.org
http://letmetrackyou.org
http://browserspy.dk
CryptoParty Graz stands with Edward Snowden!
2014-06-14
Die Courage Foundation zur Unterstützung von Whistleblowern hat am 2014-06-11 die Stand with Snowden Kampagne ins Leben gerufen, um einen Asylplatz für ihn zu organisieren. Außerdem werden Spenden für seine Anwaltskosten gesammelt.
Wir InternetnutzerInnen wüssten ohne seine mutige Tat nichts von der automatisierten Totalüberwachung unseres elektronischen Lebens (Inhalt und Metadaten: E-Mails, Chats, SMS, Telefonate; Browserverlauf; Handy-Standort; elektron. Geldtransfer; Gesichtserkennung auf Fotos; auf Anfrage alle Cloud-Daten …). Des Weiteren hat Edward Snowden am 2012-12-11 eine CryptoParty in Honolulu abgehalten, zusammen mit Runa Sandvik vom Tor Projekt.
Daher unterstützt die Grazer CryptoParty die Kampagne und ruft zum Mitmachen auf: Flagge und Gesicht zeigen gegen Massenüberwachung!
Wer von den Grazern mitmachen möchte: Hier das Schild (.odt) | Schild (.pdf).
Cryptopaths from other towns and countries are welcome to download the template (.odt) | template (.pdf) and fill in their own location.
Und nicht vergessen: Verschlüsseln macht sexy!
Die PrivacyMachine ist online!
Januar 2014
Ein paar Leute haben sich von der Grazer Cryptoparty zusammengefunden und arbeiten an der PrivacyMachine. Wenn die mal fertig ist, wird das eine komfortable Möglichkeit zum schnellen anonymen Surfen. Aktuell sitzen die Programmierer noch schimpfend am ersten Alpha-Release und fragen sich, warum nur die Hälfte funktioniert. Jedenfalls soll die erste Version bis Mitte 2014 rauskommen.
Um die Wartezeit zu überbrücken, gibt es schonmal das DataSeal (= Datendichtung), auf der gleichen Seite. Das ist ein Workshop zum Selbermachen, um den eigenen Firefox Browser weitestgehend datendicht zu bekommen. Es ist ein Massnahme gegen das Fingerprinting, womit ohne Cookies oder IP Adresse die SurferInnen eindeutig identifiziert werden können.