TMG2013

aus dem Wiki des Entropia e.V., CCC Karlsruhe


Wecker.jpg


Datum: 11.07.2013
Uhrzeit: 13:45 - 15:20 Uhr
Ort: Thomas-Mann-Gynasium, Stutensee
Beschreibung: CmS



Bilder

Mitschrieb

Wiki: https://entropia.de/TMG2013
Pad: https://schule.pads.ccc.de/tmg
Passwort: tmgtmg
Ort: TMG Stutensee
Datum: 11.07.2013
Uhrzeit: 13:45 - 15:20

Was ist das Internet?
 * ein Netwerk, keine Wolke
 * Nachrichten werden über viele Computer weitergeleitet
 * jeder entscheidet selbst, ob er veraendert, speichert, weiterleitet oder nicht
 * vgl. Papiernachrichten im Klassenzimmer
 * Bild: Tafelanschrieb
 * Problem: Fehler umschiffen kalppt nur, wenn es genügend Ausweichrouten gibt, aber was ist, wenn alle zum selben Konzern gehörn bzw. man sowieso nur auf inhaltlicher Ebene nur die Dienste eines Unternehmens nutzt

Datenschutz:
 * "offensichtlich" private Daten: Adresse,Telefonnummer, Name, Gebursdatum, private Fotos und Videos, eigene Meinung, Passwörter usw.
 * Kommunikations- und Metadaten (mit wem? wann? wo? wie lange? ...)
   * Handy als Ortungswanze
     * Zellenortung
     * GPS
     * WLAN
   * Dystopie: KVV-Aktion "vorne einsteigen und Karte zeigen" => später gar keine Tickets mehr, sondern Einstieg, Ausstieg und Dauer werden automatisch erfasst? => kein Schwarzfahren mehr möglich? => evtl. personalisierte Preise, je nach Zeit, Auslastung usw.?
 * nicht nur auf eigene Daten aufpassen, sondern auch fremde Leute können über mich reden
   * Rechte am eigenen Bild
   * bekommt man evtl. gar nicht mit
 * Empfängerseite:
   * nicht nur der beabsichtigte
   * Daten empfangen oder aktiv sammeln => Auswerten => Entscheidung: nichts tun, Antworten, Entscheidung treffen und informieren, Entscheidungen treffen ohne den Sender (bzw. den Betroffenen) zu informieren => keine Einspruchsmöglichkeit
   * Kommunikation: nicht nur Chats, sondern auch Bilder, oder andere Informationen!

Argumente für/wider Facebook-Nutzung
 * pro:
   * Diskussion / Hausarbeit
 * contra:
   * Diskussion / Hausarbeit

Fragen:
 * NSA: Was kann sie wissen? Wie schützen?
   * Kann? Nach derzeitigem Stand wohl so ziemlich alles was
     * ... an ein amerikanisches Unternehmen wie Facebook, Google, Apple oder Microsoft gesendet wird...
     * ... sie legal oder illegal mitschneiden können
   * Schutz:
     * Wenn man selbst das Ziel ist, wird es schwer. Wenn man nur der Vorratsabschnorchelung entgehen will:
       * Datensparsamkeit und moderne Kryptographie
 * Verschlüsselungstechnik ( z.B. GPG)
   * Weg verschlüsseln
     * gesicherte Verbindungen über unsichere Leitungen
     * HTTPS, "Schloss-Symbol"
     * Problem: Zertifikate
       * Warnungen/Hinweise werden weggeklickt
       * Vertrauensprüfung findet nicht statt
       * "Liste" vertrauenswürdiger Zertifikate bzw. Zertifikataussteller ist standardmäßig vorgegeben und wird vom einzelnen Nutzer normalerweise nicht geprüft
       * Mittelmann könnte mit einem falschen Zertifikat Verschlüsselung vortäuschen, dabei wird nur von mir zum Mittelmann und dann wieder von dort zum Ziel verschlüsselt.
   * Inhalt verschlüsseln
     * Ende-zu-Ende-Verschlüsselung
     * aufwendig:
       * Man muss selbst Software installieren und Schlüssel erzeugen/verwalten.
       * Man muss andere dazu bringen, verschlüsselte Nachrichten zu schreiben, d.h. auch die brauchen die Software.
       * Webmail bzw. Nachrichten von fremden Rechnern zu schicken ist sehr weit verbreitet => Kann ich dort die Software installieren? Auf USB-Stick mitnehmen? Kann ich einem fremden Rechner meine Schlüssel anvertrauen?
       * Wie verbreite ich meine "Schlösser"? 
       * Wie kann jemand wissen, dass 
     * Software (Beispiele):
       * a) Thunderbird, Enigmail, GnuPG
       * b) Komplettpaket: GPG4win
         * https://www.bsi.bund.de/DE/Themen/ProdukteTools/Gpg4win/gpg4win_node.html
         * http://www.gpg4win.de/
         * http://www.gpg4win.de/doc/de/gpg4win-compendium_6.html
     * Cryptoparties
     * Off-The-Record
       * http://de.wikipedia.org/wiki/Off-the-Record_Messaging
 * Wie hackt man?
   * Ziel definieren. Informationen sammeln. Weg suchen. Machen.
 * Einen Facebook Account hacken?
   * Ja. geht. Die Frage ist, was man wirklich machen will: Die Daten sehen? Den Account komplett übernehmen? Versuche ich die Technik anzugreifen oder den Faktor Mensch?
 * Facebook: Löschen möglich?
   * Prinzipiell muss/soll es die Möglichkeit geben, aber wie kann man das kontrollieren?
     * "Backups" von wichtigen Daten
     * Bild: Löschen in Datenbanken
     * "dezentrale Backups", d.h. Daten die von Dritten gepspeichert/koopiert worden sind
     * Chats, Likes, Kommentare: Sind das meine Daten oder gehören die dem Kommunikationspartner?
 * Wie kann man so große Datenmengen speichern?
   * Speichern ist nicht das Problem
   * Bild: 64GB microSD-Karte
 * Facebook tracking
   * Was Facebook i.A. angeht, bitte im Wiki nach alten Vorträgen suchen.
   * Wenn es um den Like-Button geht:
     * Je nachdem, wie er auf der Seite eingebunden ist bekommt FB mit, welche Seite man besucht hat, ob etwas geliket wurde, was geliket wurde und von wem.
     * Das ganze ist noch etwas komplexer, ggf. nachfragen.
 * Videosperren: Gema
   * Zeigen wunderbar, warum man keine Zentralisierung haben will. Es ist viel einfacher, an EINER Stelle zu sperren bzw. die Betreiber einer Website zur Kooperation zu zwingen -- mal kurz an Facebook denken, was das alles sperren könnte -- , als mehrere (Redundanz) oder gar ein verwobenes Netz von gleichberechtigten Knoten (Mesh, Pee2Peer, ...). Umgehen? Man braucht einen Netzwerkknoten im Ausland, fuer den die Videos erreichbar sind. Suchworte: Proxy, YouTube usw. Die echte Lösung ist aber zentralisierte Services nicht zu nutzen und den Musikgeschmack etwas weiter weg vom Mainstream zu bewegen. Gibt sehr viele Künstler, die ihre Werke kostenlos oder zu SEHR günstigen Preisen anbieten. 
   * z.B.: http://www.jamendo.com/de/
 * Bester Virenscanner?
   * Virenscanner funktionieren prinzipbedingt nicht als Ein-Klick-Lösung. Jede Software -- gerade solche, die in die Tiefen des Systems eingreifen, wie eben manche Virenscanner -- hat Fehler und je mehr Software installiert ist, desto angreifbarer ist der Rechner. Kann also der mögliche Mehrwert (Erkennen einiger weniger Virentypen; "Desinfizieren" ist zwar möglich, aber ein einmal komprimitiertes System ist nicht mehr vertrauenswürdig, muss also komplett neu aufgesetzt werden) den möglichen Schaden aufwiegen? Oder muss ich ggf. einen Virenscanner aus rechtlichen Gründen haben (manche Banken verlangen das für Online-Banking)? Das muss jeder selbst entscheiden. Ein Freeware-Virenscanner sollte es aber meist tun.. wenn man sowieso Microsoft vertraut, nimmt man evtl. deren Scanner, auch wenn der häufiger mal nicht ganz so gut abschneidet...
 * Was ist eine Firewall, wie erstellt man sie und was ist der Unterschied zu einem Virenscanner ?
   * Firewall filtert/regelt den Netzwerkverkehr. Auf verschiedenen Ebenen (Protokoll, Programm, Paketinhalt, Ziel, Sender...) wird Kommunikation zugelassen oder abgeblockt. Die meisten Router und auch Windows haben entsprechende Software bereits von Haus aus installiert, sie muss ggf. nur noch konfiguriert werden. Virenscanner: siehe oben,
 * Sind Clouds sicher?
   * Sicher vor was?
   * Wem gebe ich meine Daten? Vertraue ich diesem, dass er sie nicht weitergibt oder vor fremden Zugriff schützen kann?
   * Nicht von "Verschlüsselungsversprechen" blenden lassen: Man kann das Verschlüsseln nicht outsourcen. Man kann Daten selbst verschlüsseln und dann diese in der Cloud speichern... wenn man das wrklich will.
 * Sinnvolle Add-Ons für Firefox etc. (Theme Sicherheit) ?
   * Adblock (ABP ist gerade eher negativ aufgefallen)
   * NoScript
   * RefControl
   * In den Einstellungen die "Chronik" anpassen
   * Wenn Passwörter gespeichert werden, evtl.ein Masterpasswort festlegen.
 * Ist Youtube to MP3-Converter oder Groovedown legal ?
   * Technisch: Streaming ist auch nur ein spezieller Download; am Ende sind die Daten auf dem eigenen Rechner.
   * Manche Gerichte sehen das anders:
     * http://www.heise.de/newsticker/meldung/JDownloader-Gericht-verbietet-Stream-Recorder-1892674.html
     * aber: In der Regel wird hier nicht gegen die Nutzer vorgegangen, sondern gegen die Verbreitung der Software.
 * Freeware Download Möglichkeiten 
   * "Free" hat zwei Bedeutungen, "frei" und "kostenlos". Ich setze nur freie Software ein, d.h. Programme, die ich selbst veraendern und weiterverbreiten kann und darf. Meist sind diese auch kostenlos. Viele nur "kostenlose" Programme haben versteckte Kosten, spionieren einen aus oder blenden Werbung ein o.ae.. Mehr zur freien Software:
     * https://fsfe.org/about/basics/freesoftware.de.html
 * Bezahlmöglichkeiten
   * Im Internet? PayPal-Alternativen? Ich nutz Flattr, auch wenn das eine andere Zielsetzung hat. Ansonsten gibt's noch BitCoins als etwas krude Alternative. Oder war die Frage in Richtung, was sicher ist? Alles relativ. Eher nicht nutzen würde ich Kreditkarten (wenn dann nur Prepaid-Karten), Bankeinzug oder dieses Sofort-Überweisung. Bleibt also Nachname (samt Gebührt), Vorkasse (nur bei vertrauenswürdigen Händlern; das Bürger-BSI hat da imho ne Liste, was man beachten sollte oder welche "Zertifikate" wirklich was taugen. 
     * https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/EinkaufenImInternet/OnlineShoppingbeachten/OnlineShoppingbeachten_node.html#doc1102038bodyText5
     * https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/EinkaufenImInternet/BezahlenImInternet/BezahlenImInternet_node.html
 * Handy Ortung?
   * Smartphones haben eine Vielzahl von Sensoren und Verbindungsmöglichkeiten. Hat jemand Zugriff auf das Gerät, kann man entsprechende Apss installieren, die einem erlauben, im Verlustfall das Handy zu orten oder fernzusteuern. Natürlich kann solche Software auch ohne das Wissen des Besitzers installiert worden sein...
   * ... abgesehen davon: Wenn mein Handy sich mit einem Netz verbindet (Mobilfunkmasten, Bluetooth, WLAN, ...) wissen zumindest die jeweiligen Gegenstellen, dass ein bestimmtes Gerät im Empfangsbereich gewesen sein muss. Je nach Einstellungen verbinden sich Smartphones auch ungefragt zu Netzen oder man kann auf der Gegenseite schon erkennen, dass ein bestimmtes Gerät in der Nähe ist, ohne, dass es explizit eine Verbindung aufbaut.
   * D.h., wer Zugang zu diesen Gegenstellen oder deren Daten hat, kann ohne Veränderungen am Handy wissen wo es sich wann befunden hat. 
   * Man kann inzwischen relativ günstig eigene GSM-Stationen aufmachen, die dem Handy vorspielen, dass sie die Station mit dem besten Empfang sind. Das Handy wird sich dann mit dieser Station verbinden. 
   * Wer mobil Internetdienste nutzt, sendet meist ungefragt relativ genaue Positionsdaten mit, d.h. auch hier kann relativ genau verfolgt werden, in welchem Radius man sich zu welcher Zeit bewegt hat.
   * http://www.openwlanmap.org/
   * http://www.t-online.de/handy/smartphone/id_48574632/handy-orten-fakten-und-tipps-zur-handy-ortung.html
 * Handy rooten?
   * Sollte man nur machen, wenn man es braucht...
   * ...trotzdem sollte jeder die Möglichkeit dazu haben.
   * Beim Kauf darauf achten, dass Bootloader frei sind und auch nachfragen, wie die offizielle Update-Politik aussieht: Smartphones sind Rechner, sie können im Prinzip alles, was auch Desktops können.. und sie haben genauso Sicherheitslücken, die man patchen muss. 
 * Bester Computershop (like ARLT)?
   * Was ist "bester"? Bester Preis? Bester Service? Ohne Werbung zu machen: Alternative mit einem Ladenlokal in Karlsruhe waere z.B. Jacob Elektronik.
 * Empfohlener Internet Browser ?
   * keine Empfehlung
   * Firefox wohl schnell genug und "mehr" offen, gute Addons
   * Opera setzt inzwischen auf den Chrome-Unterbau
   * IE hat wohl dabei wieder den Anschluss zu finden, wenn man Microsoft vertraut..
   * Chrome, wenn man Google vertraut; Chromium als offene Basis

Alternative Software:

 * Instant Messenger / XMPP
   * http://www.pidgin.im/ (Windows, Linux, MacOSX)
   * http://gajim.org/ (Windows, Linux)
   * http://www.miranda-im.org/ (Windows)
   * http://www.xabber.com/ (Android)
 * Videotelefonie:
   * SIP
   * WebRTC
   * Jingle