| Beide Seiten, vorherige ÜberarbeitungVorherige ÜberarbeitungNächste Überarbeitung | Vorherige Überarbeitung |
| graz:blog [2014-09-01 12:20] – "Unsichtbare Mächte beobachten uns" murdelta | graz:blog [2018-01-08 14:36] (aktuell) – [Security-GAU: Meltdown & Spectre - Erste Hilfe Maßnahmen] murdelta |
|---|
| |
| {{:cryptopartygrazlogo.png?nolink&50 |}} Neues aus der Welt der sicheren Kommunikation so wie aktuelles rund um die Grazer CryptoParty. Am Laufenden bleibt ihr auch mit unserer [[http://lists.mur.at/mailman/listinfo/cryptoparty|Mailingliste]] so wie unserem [[https://twitter.com/CryptoPartyGraz/|Twitter-Account]].\\ | {{:cryptopartygrazlogo.png?nolink&50 |}} Neues aus der Welt der sicheren Kommunikation so wie aktuelles rund um die Grazer CryptoParty. Am Laufenden bleibt ihr auch mit unserer [[http://lists.mur.at/mailman/listinfo/cryptoparty|Mailingliste]] so wie unserem [[https://twitter.com/CryptoPartyGraz/|Twitter-Account]].\\ |
| \\ | \\ |
| |
| | ===== Security-GAU: Meltdown & Spectre - Erste Hilfe Maßnahmen ===== |
| | //2018-01-08//\\ |
| | {{ :graz:meltdown-text.png?50|}} {{ :graz:spectre-text.png?75|}} |
| |
| | Nach dem Bekanntwerden der Sicherheitslücken "Meltdown" & "Spectre", die so ziemlich alle Computer betreffen, gibt es mittlerweile ein paar Erste-Hilfe-Tipps um Schlimmeres zu verhindern \\ |
| | \\ |
| | - Betriebssystem (egal ob Android, Linux, macOS / iOS, Windows) updaten! \\ |
| | - Browser (Chrome/Chromium, Firefox, Safari, Edge) updaten! \\ |
| | - Falls ihr Chrome/Chromium verwendet, solltet ihr auch noch zusätzlich die "Site-Isolation" aktivieren//[1]//!\\ |
| |
| | Best Practices - oder was ihr immer tun solltet: |
| | * generell solltet ihr immer euer Betriebssystem, Browser und (bei Windows-Systemen) euren Virenscanner aktualisieren, sobald es Updates gibt. |
| | * Klickt auf keine dubiosen Links, Werbung oder Gewinnspiele. |
| | * Ladet euch Software/Apps nur von der Herstellerseite bzw, aus den Appstores von Google und Apple. |
| | * Installiert auf euren Smartphones/Tablets nur Apps die ihr wirklich braucht. |
| | * Checkt die Berechtigungen (Permission Details) eurer Apps. Wofür braucht eine Taschenlampen-App Zugriff auf euer Adressbuch um zu funktionieren? |
| | * Verwendet sichere [[https://cryptoparty.at/_media/graz:urania_2017_sicherepasswoerter.pdf|Passwörter]]. |
| | |
| | |
| | \\ |
| | Links und weitere Infos:\\ |
| | [[https://meltdownattack.com/]]\\ |
| | [[https://danielmiessler.com/blog/simple-explanation-difference-meltdown-spectre/]]\\ |
| | [[https://futurezone.at/produkte/tu-graz-hat-zentrale-rolle-im-kampf-gegen-sicherheitsluecke/304.927.277]]\\ |
| | [[https://www.heise.de/security/meldung/Prozessor-Bug-Browser-Hersteller-reagieren-auf-Meltdown-und-Spectre-3933043.html]]\\ |
| | [[https://www.chromium.org/Home/chromium-security/site-isolation]]//[1]//\\ |
| | |
| | |
| | ===== Wichtig für alle Email-VerschlüsslerInnen ! ===== |
| | |
| | Ein Sicherheits-Audit der von uns empfohlenen Software-Kombination **Thunderbird/Enigmail** zum Verschlüsseln von Emails hat einige **Schwachstellen** zutage gefördert. \\ |
| | Genauere Details und Tipps, die unbedingt berücksichtigt werden sollen, bitte hier nachlesen: |
| | [[https://netzpolitik.org/2017/sicherheitsaudit-fuer-enigmail-und-thunderbird-posteo-warnt-vor-schwachstellen/]] |
| | |
| | ===== 'Wer kontrolliert die digitale Welt': Nachhören & Zusammenfassung ===== |
| | //2016-11-16//\\ |
| | {{:graz:auge_podium.png?100 |}} |
| | Wer bei der Veranstaltung "Wer kontrolliert die digitale Welt" nicht dabei sein konnte, findet hier eine [[http://www.auge.or.at/ug/48-news-stmk/1566-das-war-die-veranstaltung-wer-kontrolliert-die-digitale-welt|Zusammenfassung]] der wichtigsten Statements.\\ |
| | \\ |
| | Am Podium waren Peter Pilz, Andreas Krisch, Thomas Riesenecker-Caba und Daniela Grabe. Moderiert hat Gunter Bauer von der Cryptoparty Graz.\\ |
| | \\ |
| | Die Veranstaltung gibt es auch in einem 1-stündigen Mitschnitt hier zum [[https://cba.fro.at/326281|Nachhören]]!\\ |
| | \\ |
| | ---- |
| | ===== "In Graz verstrickt" mit der CryptoParty Graz ===== |
| | //2016-03-10//\\ |
| | Brigitte und Gunter waren in der Sendung "[[http://helsinki.at/programm/58390|In Graz verstrickt]]" auf Radio Helsinki zu Gast und haben über Datenschutz, Privatsphäre und digitale Selbstverteidigung bei der CryptoParty Graz geredet.\\ |
| | \\ |
| | Die Sendung gibts hier zum [[http://cba.fro.at/310419|nachhören]]!\\ |
| | \\ |
| | ---- |
| | ===== CryptoParty Graz im Radio ===== |
| | //2015-02-26//\\ |
| | Teile des CryptoParty Graz Organisationsteams waren diese Woche im Radio. In der Sendung [[http://helsinki.at/programm/shows/substral-3|#Substral]] (vom Spektral Graz), die alle 4 Wochen auf Radio Helsinki läuft, ging es dieses Mal 1 Stunde lang um die CryptoParty.\\ |
| | \\ |
| | Die Sendung könnt ihr hier [[http://spektral.at/podcast/sp013-substral-cryptoparty-graz/|anhören und runterladen]]!\\ |
| | \\ |
| | Es geht u.a. um die CryptoParty Graz, Überwachung und Gegenmaßnahmen, und unsere 2-Jahresfeier.\\ |
| | \\ |
| | ---- |
| | ===== Diebstahl SIM Kis durch NSA und GCHQ: Gegenmaßnahmen ===== |
| | //2015-02-20//\\ |
| | Wie gestern durch den Intercept [[https://firstlook.org/theintercept/2015/02/19/great-sim-heist|bekannt wurde]], sind NSA und GCHQ unter anderem bei den Herstellern Gemalto und Giesecke & Devrient eingebrochen und haben gleich millionenfach die [[http://www.itwissen.info/definition/lexikon/individual-subscriber-authentification-key-Ki-Individueller-Authentifizierungsschluessel.html|Kis]] von neuen SIM Karten gestohlen. Das sind die Schlüssel, mit denen der Funkverkehr zwischen Mobilgeräten und Funkmasten verschlüsselt wird.\\ |
| | Hat man diese Schlüssel, braucht man gar keinen IMSI Catcher mehr zum Abhören: Man kann passiv an beliebig vielen Stellen allen GSM Funkverkehr mitschneiden (das merkt niemand) und weiterleiten. In der Zentrale werden die Signale dann alle entschlüsselt und maschinell ausgewertet.\\ |
| | Das CERT.at hat [[https://www.cert.at/services/blog/20150220150747-1386.html|beschrieben]], was sich daraus für Konsequenzen ergeben. Allerdings sind die Kis nur einer von mehreren Wegen, Handytelefonate abzuhören, wie die EDV Journalisten von DER ZEIT [[http://www.zeit.de/digital/datenschutz/2015-02/mobilfunk-sim-karten-ki-hersteller-gemalto-nsa-gchq/komplettansicht|aufzeigen]].\\ |
| | \\ |
| | Kurz gesagt: Die Vertraulichkeit des gesprochenen Wortes ist bei Telefonaten //nicht mehr gewährleistet//. Es gilt die "Zeitungsregel":\\ |
| | - Man kommuniziert etwas elektronisch und unverschlüsselt (Telefonat, SMS, E-Mail, Facebook-Chat etc.).\\ |
| | - Der komplette Kommunikationsvorgang oder Auszüge davon stehen am nächsten Tag in der Zeitung.\\ |
| | - Niemand bekommt Probleme oder wird wegen des Verstoßes gegen gesellschaftliche Normen schief angeguckt: Die beiden Kommunikationspartner und evtl. dritte Personen, über die gesprochen wurde.\\ |
| | Hält man diese Regel ein, ist automatisierte Massenüberwachung immer noch lästig, aber nicht mehr gefährlich.\\ |
| | \\ |
| | Wer dennoch sensible Inhalte elektronisch kommunizieren möchte oder muss, sollte verschlüsseln. Für Mobiltelefonate empfehlen sich VoIP Clients, die Verschlüsselung anbieten. Bei allen Cryptoprogrammen sollte generell der Quelltext offenliegen und //von Fachleuten geprüft// worden sein. Nur so ist die Wahrscheinlichkeit hoch, dass die Algorithmen richtig programmiert und vor allem keine [[https://en.wikipedia.org/wiki/Backdoor_%28computing%29|Backdoors]] von wem auch immer eingebaut wurden. Einen Überblick über verschlüsselnde Kommunikationsprogramme und den Stand der Prüfung gibt die [[https://www.eff.org/secure-messaging-scorecard|EFF Secure Messaging Scorecard]]. Bevor man sich Gedanken über Kommunikationsverschlüsselung macht, sollte man erstmal die Endgeräte kritisch beäugen. Einen guten Überblick zu Sicherheitsmaßnahmen für Android Smartphones gab Ralf Staudemeyer auf den DroidCon 5/2014: [[http://woerter.de/android/droidcon|Android beyond Snowden]].\\ |
| | \\ |
| | Wenn man auf dem eigenen Smartphone wieder Herrin oder Herr im Hause sein und das nicht Google überlassen möchte, sollte man rooten und auf [[https://www.replicant.us|Replicant]] oder [[http://www.cyanogenmod.org|CyanogenMod]] umsteigen. Das bringt schonmal ein deutliches Sicherheitsplus, weil man auf dem wichtigsten Kommunikationsgerät wieder [[https://de.wikipedia.org/wiki/Root-Konto|Root]] ist und diese Hoheitsrechte nicht mehr dem großen G überlässt. Es ist allerdings mit einiger (nervigen) Bastelei verbunden, wie nicht verschwiegen werden darf.\\ |
| | Statt des Google Playstores nimmt man den Appstore [[https://f-droid.org|F-Droid]], der nur freie Software ohne Tracking-Libraries enthält und von der Free Software Foundation Europe [[https://fsfe.org/campaigns/android/liberate.en.html|unterstützt]] wird. Darin gibt es aktuell die Crypto-VoIP Apps\\ |
| | - [[http://www.lumicall.org|Lumicall]]\\ |
| | - [[https://code.google.com/p/csipsimple|CSipSimple]]\\ |
| | Beide Apps gibt es auch im Playstore. Darin ist ebenfalls\\ |
| | - Redphone von [[https://whispersystems.org|Whispersystems]]\\ |
| | zu finden. Des Weiteren gibt es noch\\ |
| | - [[http://www.acrobits.cz/products/retail#tab_softphone|Acrobits Softphone]]\\ |
| | für Google Play und iPhone, mit einem kostenpflichtigen Verschlüsselungsaufsatz. |
| | \\ |
| | ---- |
| ===== Unsichtbare Mächte beobachten uns ===== | ===== Unsichtbare Mächte beobachten uns ===== |
| //2014-08-31//\\ | //2014-08-31//\\ |
