![[FSF
Associate Member]](http://www.modspil.dk/images/fsfMembergetButton.png){kind=small}
CryptoParty i Aarhus i dag
Løbende referat:
Update: Vi skifter nu til hardkodet. Tak til FSFEs pad-tjeneste for hjælpen.
Afholdes i Enhedslistens lokaler i Mindegade, Aarhus.
Foredragsrække
Emil: Initiativtager, oplægsholder
Merete: Hjælpelærer og medarrangør
Ikke-teknisk
Vil begynde basic - senere kan vi dække mere grundlæggende ting
Blev interesseret i sikkerhed, da han arbejdede med menneskerettigheder i Colombia
Fik harddiske konfiskeret begyndte så at kryptere harddiske
Navnerunde
Kønsfordeling ca. 60/40 (12 deltagere)
Anarkister mv. Mange/de fleste GNU/Linux-brugere
#1. Intro til IT-sikkerhed
* Hvorfor?
* NSA-skandalen
* Skikkerhed, hvordan?
* Hvordan gør vi nettet godt igen?
* Overfladisk gennemgang af teknologi
* Hjælp til selvhjælp
* Hvorfor?
* tekno spiller større rolle i vore liv
* låste døre, åben teknologi.
* teknologi er magt
* demokratisk problem med statslig og firma- kontrol
* Overvågning: Politistat uden historisk fortilfælde
* historisk mulighed for vidensdeling og nye magtstrukturer
Principielt
* privatlivet opholdet bag om ryggen
* "private" emails kan læses
* rager ikke andre, hvem man snakker med mv
Opsummering: Teknologi kan redde verden men kan også lægge os i lænker.
Det skal blive løgn.
#2. Specifikke trusler - hackere, tyve, inkriminerende adfærd, politisk pres mod journalister og sociale bevægelser.
* Salg af private data: Google og Facebook
* Censur, ensretning
#3. NSA
* Overvåger og gemmer al elektronisk kommunikation
* Bagdøre til styresystemer mv (Google, FB osv)
* $250.000.000.000 til at svække sikkerhedsprotokoller
* verdensomspændende kortlægning af, hvem der taler med hverm (personer og IP-adresser)
* oplysninger deles med andre lande og 800.000 medarbejdere.
* større høstak
Styr på alt og alle, men egentlig ikke rigtig på noget. Du kan ikke stole på din elektronik.
#4. Kryptering
* Kryptering virker, men det er ikke nok
* NSA er ikke guder - de arbejder inden for en ramme, et budget, fysiske love
* Trust the math (Schneier)
* Kryptering er din ven. Brug det & få andre til at bruge det
* Kan ikke stå alene - mange led i sikkerhedskæden
* sikkerhedspolitik kan ikke bygge på én teknologisk løsning
* sikkerhedsniveau skal svare til trusselsniveau
#5. Sikkerhed, hvordan?
* Redskaber til sikkerhedsanalyse
* Balance mellem værdien af det, der skal beskyttes, med prisen for beskyttelsen
* Analyse:
- hvad vil du beskytte?
- hvad er truslerne?
- hvor godt imødekommer du risici?
- hvad er farerne ved dine løsninger?
- er det prisen værd?
* Eksempel: Krydse en vej:
- beskytter vores krop
- truslen er biler mv
- refkleksvest, cykelhjelm, blive på cykelsti
- udgør det andre trusler?
- er det prisen værd?
* Sex:
- beskytte mod graviditet, sygdomme osv
- afhængig af mange faktorer
- prævention, kondom, osv.
- kan være besværligt, nedsætter nydelsen
- hvad er prisen værd?
Analysen foretages fra gang til gang.
Der er ingen universalløsninger.
* Værdier - hvad vil vi beskytte?
* Privatliv
* Personlige data
* Mange andre ting
* Vores netværk
* Eksempler på netværkskort
* Netværkskort kan laves ud fra relationer på Facebook og andre netværk.
* Trusler - ting, der er truet:
* Hemmeligholdelse
* Integritet
* Tilgængeliged
* mv
Risiko:
* sandsynligheden for at angreb finder sted
* svær at vurdere
* kontekstafhængigt
* vi overvurderer risikoen for usædvanlige trusler (folk frygter at flyve, men ikke at køre bil, selv om det er mere sikkert at flyve)
Modstandere:
* Angribere
* Vigtige for trusselsvurderingen
* Hackere
* Bekendte
* Ansatte hos udbydere (Google, FB)
* Din chef
* Er du direkte mål eller kan du rammes tilfældigt?
* Virusangreb, botnets er eksempler på tilfældige angreb
Google-ansatte har læst folks private mails. Chefer mange steder har læst medarbejderneds private mails eller overvåget deres brug af nettet.
* Lav samlet analyse af Internetbrug ud fra ovennævnte principper.
Eksempel. Industrispionage
* Værdier: Forretningshemmeligheder
* Trussel: Dårlige passwords
* Risiko: Høj
* Modstandere: Konkurrenter
* Løsning: Svære, computergenererede passwords
* Evaluering: Gamle trussel er væk
* Ny og værre trussel: Folk skriver gule sedler med deres passwords
Spørgsmål?
Efter pausen: Hvordan gør vi Internettet godt igen?
Let's start the CryptoParty!
#5. Internetsikkerhed
Overfladisk gennemgang:
* Data, der bevæger sig
* Data, der står stille
* Data hos tredjeparter
* The MeatWare!
Data i bevægelse:
* Omfatter email, hjemmesider, IP-telefoni, chat mv, men også fysisk post, SMS, telefonsamtaler mv.
Trusler:
* Aflytning
* Besøg på hjemmesider inkl DNS-opslag
* man in the middle-angreb
* fusk med destinationen (phishing-sites)
Trusselsbillede for data i bevægelse
Værdier der er truet:
* indhold
* lokation
* identitet
* netværk
Data i stilstand
* filer, CD'er, USB-drev mv
* Midlertidige filer, slettede filer, papiraffald, logfiler
* indbygger hukommelse i routere, printere, kameraer osv.
Data lagret hos tredjepart
* Uploads til Facebook, GMail, DropBox osv.
* Disse tjenester logger alt
* Hjemmesider, du besøger
* Emails
* Mobildata
Meatware - den menneskelige faktor.
Ofte det svageste led.
Ikke mindst i tekniske/sikkerhedsbevidste miljøer.
Generelle anbefalinger:
* Krypter så meget som muligt
* Brug altid fri og open source software, så du undgår bagdøre i styresystem og programmer
For de paranoide:
* Krypter alt
* STFU
* Air gap: Arbejd på en computer uden netforbindelse, med krypteret harddisk
#6. Hvad kan kryptering hjælpe os med?
Overfladisk gennemgang af krypterings- og anonymiserings-teknologi
Kryptering:
* At gøre data utilgængelige
* Afhænger af kompliceret matematik
Anonymisering:
* At din internettrafik ikke kan spores til dig
Data i bevægelse:
* Email og chat krypteres med public key
* Hjemmesider med TLS/SSL
* VPN mellem to maskiner
Data i stilstand:
* kryptering af harddisk
* kryptering af enkelte filer
Anonymisering:
* VPN - Virtual Private Network
* TOR - The Onion Router
Fine grafiske fremstillinger af
* Internetforbindelse uden og med VPN
* TOR (billeder fra EFF.org's "How Tor Works")
Kort: Tor skjuler identiteten på dem, der snakker sammen, ved at pakke kommunikationen ind i tre lag af kryptering.
Sikker kommunikation imellem to forskellige parter
* Email, char mm.
* Problem: Vi ved ikke, hvem vores computer snakker med
* Løsning: Digitale signaturer, krypteret kommunikation
* Kan forebygge Man In The Middle-angreb
* Signering sikrer integriteten - man ved, hvem man taler med
* Kryptering sikrer mod aflytning
Spørgsmål?
Hjælp til selvhjælp
Udleveret liste med links
Især:
cryptoparty.in
prism-break.org