– fordi tiden kræver et MODSPIL

15. Dec 2013

CryptoParty i Aarhus i dag

 
Løbende referat:

Update: Vi skifter nu til hardkodet. Tak til FSFEs pad-tjeneste for hjælpen.
Afholdes i Enhedslistens lokaler i Mindegade, Aarhus.

Foredragsrække

Emil: Initiativtager, oplægsholder
Merete: Hjælpelærer og medarrangør

Ikke-teknisk 
Vil begynde basic - senere kan vi dække mere grundlæggende ting

Blev interesseret i sikkerhed, da han arbejdede med menneskerettigheder i Colombia
Fik harddiske konfiskeret begyndte så at kryptere harddiske

Navnerunde

Kønsfordeling ca. 60/40 (12 deltagere)

Anarkister mv. Mange/de fleste GNU/Linux-brugere

#1. Intro til IT-sikkerhed

* Hvorfor?
* NSA-skandalen
* Skikkerhed, hvordan?
* Hvordan gør vi nettet godt igen?
* Overfladisk gennemgang af teknologi
* Hjælp til selvhjælp

* Hvorfor?
* tekno spiller større rolle i vore liv
* låste døre, åben teknologi.
* teknologi er magt
* demokratisk problem med statslig og firma- kontrol
* Overvågning: Politistat uden historisk fortilfælde
* historisk mulighed for vidensdeling og nye magtstrukturer


Principielt
* privatlivet opholdet bag om ryggen
* "private" emails kan læses
* rager ikke andre, hvem man snakker med mv

Opsummering: Teknologi kan redde verden men kan også lægge os i lænker.
Det skal blive løgn.

#2. Specifikke trusler - hackere, tyve, inkriminerende adfærd, politisk pres mod journalister og sociale bevægelser.

* Salg af private data: Google og Facebook
* Censur, ensretning


#3. NSA

* Overvåger og gemmer al elektronisk kommunikation
* Bagdøre til styresystemer mv (Google, FB osv)
* $250.000.000.000 til at svække sikkerhedsprotokoller
* verdensomspændende kortlægning af, hvem der taler med hverm (personer og IP-adresser)
* oplysninger deles med andre lande og 800.000 medarbejdere.
* større høstak

Styr på alt og alle, men egentlig ikke rigtig på noget. Du kan ikke stole på din elektronik.

#4. Kryptering

* Kryptering virker, men det er ikke nok
* NSA er ikke guder - de arbejder inden for en ramme, et budget, fysiske love
* Trust the math (Schneier)
* Kryptering er din ven. Brug det & få andre til at bruge det
* Kan ikke stå alene - mange led i sikkerhedskæden
* sikkerhedspolitik kan ikke bygge på én teknologisk løsning
* sikkerhedsniveau skal svare til trusselsniveau

#5. Sikkerhed, hvordan?

* Redskaber til sikkerhedsanalyse
* Balance mellem værdien af det, der skal beskyttes, med prisen for beskyttelsen
* Analyse:
    - hvad vil du beskytte?
    - hvad er truslerne?
    - hvor godt imødekommer du risici?
    - hvad er farerne ved dine løsninger?
    - er det prisen værd?
* Eksempel: Krydse en vej:
    - beskytter vores krop
    - truslen er biler mv
    - refkleksvest, cykelhjelm, blive på cykelsti
    - udgør det andre trusler?
    - er det prisen værd?
* Sex:
    - beskytte mod graviditet, sygdomme osv
    - afhængig af mange faktorer
    - prævention, kondom, osv.
    - kan være besværligt, nedsætter nydelsen
    - hvad er prisen værd?
    
Analysen foretages fra gang til gang.
Der er ingen universalløsninger.

* Værdier - hvad vil vi beskytte?
* Privatliv
* Personlige data 
* Mange andre ting
* Vores netværk
* Eksempler på netværkskort
* Netværkskort kan laves ud fra relationer på Facebook og andre netværk.

* Trusler - ting, der er truet:
    * Hemmeligholdelse
    * Integritet
    * Tilgængeliged
    * mv

Risiko:
    * sandsynligheden for at angreb finder sted
    * svær at vurdere
    * kontekstafhængigt
    * vi overvurderer risikoen for usædvanlige trusler (folk frygter at flyve, men ikke at køre bil, selv om det er mere sikkert at flyve)
    
Modstandere:
    * Angribere
    * Vigtige for trusselsvurderingen
    * Hackere
    * Bekendte
    * Ansatte hos udbydere (Google, FB)
    * Din chef
    * Er du direkte mål eller kan du rammes tilfældigt?
    * Virusangreb, botnets er eksempler på tilfældige angreb
    
    Google-ansatte har læst folks private mails. Chefer mange steder har læst medarbejderneds private mails eller overvåget deres brug af nettet.
    
* Lav samlet analyse af Internetbrug ud fra ovennævnte principper.

Eksempel. Industrispionage
* Værdier: Forretningshemmeligheder
* Trussel: Dårlige passwords
* Risiko: Høj
* Modstandere: Konkurrenter
* Løsning: Svære, computergenererede passwords
* Evaluering: Gamle trussel er væk
* Ny og værre trussel: Folk skriver gule sedler med deres passwords

Spørgsmål?

Efter pausen: Hvordan gør vi Internettet godt igen?

Let's start the CryptoParty!

#5. Internetsikkerhed

Overfladisk gennemgang:
    * Data, der bevæger sig
    * Data, der står stille
    * Data hos tredjeparter
    * The MeatWare!
    
    Data i bevægelse: 
        * Omfatter email, hjemmesider, IP-telefoni, chat mv, men også fysisk post, SMS, telefonsamtaler mv.
        
        Trusler:
            
        * Aflytning
        * Besøg på hjemmesider inkl DNS-opslag
        * man in the middle-angreb
        * fusk med destinationen (phishing-sites)
        
Trusselsbillede for data i bevægelse

Værdier der er truet: 
    * indhold
    * lokation
    * identitet
    * netværk

Data i stilstand

* filer, CD'er, USB-drev mv
* Midlertidige filer, slettede filer, papiraffald, logfiler
* indbygger hukommelse i routere, printere, kameraer osv.

Data lagret hos tredjepart

* Uploads til Facebook, GMail, DropBox osv.
* Disse tjenester logger alt
* Hjemmesider, du besøger
* Emails
* Mobildata

Meatware - den menneskelige faktor.
Ofte det svageste led.
Ikke mindst i tekniske/sikkerhedsbevidste miljøer.

Generelle anbefalinger:
    * Krypter så meget som muligt
    * Brug altid fri og open source software, så du undgår bagdøre i styresystem og programmer
For de paranoide:
    * Krypter alt
    * STFU
    * Air gap: Arbejd på en computer uden netforbindelse, med krypteret harddisk

#6. Hvad kan kryptering hjælpe os med?

Overfladisk gennemgang af krypterings- og anonymiserings-teknologi

Kryptering:
    * At gøre data utilgængelige
    * Afhænger af kompliceret matematik
    
Anonymisering:
    * At din internettrafik ikke kan spores til dig
    
Data i bevægelse:
    * Email og chat krypteres med public key
    * Hjemmesider med TLS/SSL
    * VPN mellem to maskiner
    
Data i stilstand:
    * kryptering af harddisk
    * kryptering af enkelte filer
    
    
Anonymisering:
    * VPN - Virtual Private Network
    * TOR - The Onion Router
    
    Fine grafiske fremstillinger af
    * Internetforbindelse uden og med VPN
    * TOR (billeder fra EFF.org's "How Tor Works")
    
    Kort: Tor skjuler identiteten på dem, der snakker sammen, ved at pakke kommunikationen ind i tre lag af kryptering.
    
Sikker kommunikation imellem to forskellige parter
* Email, char mm.
* Problem: Vi ved ikke, hvem vores computer snakker med
* Løsning: Digitale signaturer, krypteret kommunikation
* Kan forebygge Man In The Middle-angreb
* Signering sikrer integriteten - man ved, hvem man taler med
* Kryptering sikrer mod aflytning

Spørgsmål?

Hjælp til selvhjælp
Udleveret liste med links

Især:
    
    cryptoparty.in
    prism-break.org
    

Kommentarer:

Skriv kommentar:

Angiv linjeskift ved <br> eller <p>. Du kan formattere teksten med <i>...</i> (kursiv) eller <b>...<b> (fed), ligesom du kan angive links med <a href="http://dit.link">...</a>. Andre HTML-tags kan ikke bruges.
Feltet "URL/Email" skal udfyldes, men du må gerne "camouflere" dig, hvis du ikke vil skrive din rigtige adresse.
ANTI-SPAM: Sæt et flueben i checkboxen for at angive, at du er et menneske og ikke en spamrobot.
 
Name:
URL/Email:
Comments:
ANTI-SPAM: Markér denne box/Please check this box.