Nächstes "gruseliges" Treffen

Dankeschön an die fleißigen Helferlein, die in den vergangenen Tagen die Pinsel geschwungen haben. An Halloween ist unser nächstes reguläres Treffen im hackerspace. Dann könnt Ihr Euch vom Ergebnis überzeugen. Bis dahin ist auch unser neuer Partnerverein der Förderkreis innovatives Spiel e.V. in seinen Raum eingezogen. Wir freuen uns auf gute Nachbarschaft.
Datum: 31. Oktober – Halloween
Ort: hackerspace – Geleitstraße 10, Coburg
Zeit: 19:30 Uhr
Sonstiges: Wenn Ihr etwas Deko übrig habt, immer her damit.

Space 2013 – Das Jahr in dem wir Wände streichen

Die Suche hat ein Ende. Das hackzogtum hat einen Gruppenraum, einen sogenannten Hackerspace. Zumindest haben wir Wände, Boden und Decke gemietet. Es wird uns noch etwas Arbeit und Schweiß kosten. Aber in wenigen Wochen wird der erste Coburger Hackerspace in der Geleitstraße im Kürengrund offiziell eröffnet. Falls Du uns unterstützen willst als (Förder-)Mitglied, mit Sachspenden oder deiner Hände Arbeit, dann scheue dich nicht und schreibe uns eine E-Mail.

Digitale Selbstverteidigung – Sicher unterwegs im Internet

An unserem Infoabend haben wir vom Hackzogtum Coburg versucht das Internet zu übersetzen – in Bilder, die auch ein Laie versteht. Das Internet ist keine Zauberei, auch wenn es manchmal so aussieht. Mit ein paar kleinen Handgriffen können wir es Gaunern, Ganoven und Agenten schwieriger machen im Internet an unsere Daten zu kommen. Das wichtigste Mittel dazu haben wir als Nutzer immer selbst in der Hand. Wir müssen sparsam mit unseren Daten umgehen. Nicht jeder Internetseitenbetreiber muss auch unsere Adresse und das Geburtsdatum wissen.

Die Resonanz ist groß
Die Resonanz ist groß

Das „s“ steht für mehr Sicherheit.
Stellen Sie sich das Internet wie eine überfüllte Fußgängerzone vor. Alles was Sie machen, kann von jedem gesehen werden. Damit Sie aber in Ruhe unterwegs sein können, sollten Sie sich einfach einen Weg reservieren lassen, den nur Sie nutzen können. Die anderen sehen zwar noch wo Sie hinwollen, aber nicht mehr was Sie in den Geschäften machen. Im Internet erkennen Sie diese sicheren Verbindungen am „s“ hinter „http“ in der Adressenzeile Ihres Browsers (Firefox, Chrome, Internet Explorer, usw.)https://www.facebook.com ist sicherer als http://www.facebook.com. Mit kleinen Zusatzprogrammen für den Browser (Firefox, Chrome) können Sie sichergehen, dass Sie immer die verschlüsselte Verbindung nutzen, wenn eine vorhanden ist. Ein solches Programm ist https everywhere. Informationen, die Sie auf einer ungesicherten Verbindung übertragen sind quasi für jeden sichtbar.
Das Internet übersetzt
Das Internet übersetzt – der SSL-Tunnel

Der digitale Briefumschlag heißt „Schlüssel“.
Eine klassische E-Mail ist eine Postkarte. Wenn Sie diese wegschicken, kann jeder mitlesen, wie schlecht das Wetter in Ihrem Urlaub war. Und die Familie zuhause bekommt gar nicht mit, dass jemand mitgelesen hat. Um das zu verhindern, stecken Sie ihre Nachricht in einen Briefumschlag. Den kann dann der Empfänger aufmachen. Bei der E-Mail ist es etwas komplizierter.
Sie selbst können nämlich E-Mails gar nicht pauschal verschlüsseln. Denn der Empfänger hat ja keinen Schlüssel um die E-Mail wieder lesbar zu machen. Sie können aber an jede E-Mail die sie verschicken – bildlich gesprochen – ein Schloss dranhängen. Wenn Ihnen jetzt der Empfänger antworten will, dann kann er seine E-Mail mit diesem Schloss verschließen – sprich verschlüsseln. Jetzt kann unterwegs keiner mitlesen und nur Sie bekommen diese E-Mail wieder entschlüsselt. Alles was Sie machen können ist das Angebot: „Schicken Sie mir bitte verschlüsselte E-Mails.“
Es gibt aktuell zwei Möglichkeiten an diese „Schlösser“, sogenannte „Public Keys“ oder öffentliche Schlüssel, zu kommen. Ein Verfahren nennt sich PGP. Die Alternative ist S/MIME. Beide arbeiten unterschiedlich. Während PGP darauf setzt, dass Sie den Menschen vertrauen, die Ihnen ihren öffentlichen Schlüssel schicken, kommen bei S/MIME Zertifikate, also digitale Unterschriften zum Einsatz, die von einem Anbieter ausgestellt werden. Diesem müssen Sie dann vertrauen. Im Grunde ist das wie beim Personalausweis. Hier vertrauen Sie auch darauf, dass alle Daten stimmen, weil die Bundesdruckerei den Ausweis ausgestellt hat. Anbieter für Zertifikate sind www.trustcenter.de oder www.cacert.org.
Egal welche Verschlüsselung Sie nutzen wollen, Sie benötigen dafür ein E-Mail-Programm auf Ihrem Computer (Mozilla Thunderbird, Mircosoft Outlook, Apple Mail). Wenn Sie Ihre E-Mails über die Internetseite des Anbieters abrufen (www.gmx.de, www.web.de) ist eine Verschlüsselung so ohne Tricks nicht möglich.
Ohne Schlüssel kommt niemand ran
Das Internet übersetzt – die verschlüsselte E-Mail

Wie Hänsel und Gretel – Spuren im Internet
Im Märchen haben die Geschwister absichtlich Brotkrumen ausgelegt um den Weg zurück nach Hause zu finden. Im Internet hinterlassen wir ebenfalls solche Spuren, auch wenn wir es gar nicht wollen. Die meisten Spuren sind sogenannte Cookies. Die sorgen dafür, dass sich die Internetseiten merken wer wir sind. Wir müssen uns dann nicht immer wieder neu anmelden, sehen welche Artikel wir schon gelesen haben. Wenn wir aber eine Internetseite wie www.spiegel.de aufrufen bekommen wir nicht nur das Cookie von www.spiegel.de auch facebook, die Werbeabteilung von Google und viele mehr fragen unsere Daten ab. Das erkennen wir daran, dass Werbung von Artikeln erscheint, die ich mir gerade bei Amazon oder einem anderen Onlineshop gerade angeschaut habe.
Nimm niemals Süßigkeiten von Fremden an!
Ein Weg weniger Spuren zu hinterlassen, ist die Anzahl der Cookies einzuschränken. Im allen Browsern (Firefox, Chrome, Internet Explorer, usw.) lassen sich Cookies von Drittanbietern verbieten. Machen Sie einfach einen Haken in den Einstellungen bei „Third-Party-Cookies nicht zulassen“. Sie können auch generell Cookies verbieten oder einstellen, dass immer gefragt wird, bevor die Internetseite ein Cookie vergeben will.
Gestatten, mein Name ist TOR.
Wenn wir im Internet unterwegs sind haben wir eine Nummer mit der wir identifizierbar sind. Das ist die IP-Adresse. Die brauchen wir auch, denn die Internetseiten müssen ja wissen, auf welchen Rechner sie sollen. Doch können Unternehmen, Geheimdienste oder Verbrecher damit auch ein Profil anlegen, welche Seiten Sie im Internet besucht haben. Aber Sie können sich auch einen Tarnmantel zu legen.
Die Zwiebel macht’s.
Bei Kontaktanzeige schalten Sie einen Mittelsmann ein. Der leitet dann die Anfragen potenzieller Bewerber oder Bewerberinnen an Sie weiter – Sie bleiben unerkannt. Auch im Internet gibt es solche Mittelsmänner. Einer ist das TOR-Netzwerk. Hier werden Ihre Anfragen an einen anderen Rechner weitergeleitet. Dieser schickt es dann wieder weiter an eine andere Zwischenstation. So geht die Reise weiter, bis der Letzte dann die Anfrage an die Internetseite weiterleitet. Wie bei einer Zwiebel legen sich viele Schichten um Ihren Computer. Daher auch der Name „The Onion Router“. Um nun durch die Schichten zum Kern vorzustoßen braucht es viel Zeit. Und damit ist es wie mit der Einbruchssicherung an Ihrer Wohnung. Sie machen es dem Einbrecher einfach so schwierig, dass er es gleich sein lässt. Für das TOR-Netzwerk gibt es ein Programm, dass Sie sich hier herunterladen können. Hier sind alle wichtigen Einstellungen schon gemacht und damit brauchen Sie keine Computerfachkenntnisse um TOR zu nutzen. Allerdings kann es etwas länger dauern bis sich die Internetseiten dann auf Ihrem heimischen Computer aufbauen.
Es sind Ihre Daten
Sie sehen, es ist auch mit kleinen Schritten möglich, etwas sicherer im Internet unterwegs zu sein. Aber solange Sie Ihre Daten freiwillig heraus geben, nützt die beste Sicherheit nichts. Das Hackzogtum Coburg hat das bei unserem Infoabend getestet. Wir haben eine Anwesenheitsliste herum gegeben auf wir nach Namen, Alter, Wohnort, Beruf und E-Mail-Adresse gefragt haben. Diese Liste wurde fleißig ausgefüllt. Das Hackzogtum Coburg dankt für Ihr Vertrauen, dass wir damit kein Schindluder betreiben. Aber die Botschaft kam an – passen Sie auf Ihre Daten auf. (Die Liste haben wir natürlich ungelesen vernichtet.)
Wichtige Links:
https everywhere – https://www.eff.org/https-everywhere – Browsererweiterung für verschlüsselte Verbindungen
Trustcenter – http://www.trustcenter.de – Hier bekommen Sie Ihr Zertifikat für verschlüsselte E-Mails
TOR-Bundle – https://www.torproject.org/download/download-easy.html.en – Browserpaket für anonymes Surfen

Auf Expedition im #Neuland – Serie auf RadioEINS

Das Internet ist für viele Menschen #Neuland – oder zumindest wie ein Urlaubsland. Man kennt ein paar Ecken, war mal da. Aber wie Land und Leute ticken, dass weiß man kaum. Das Hackzogtum Coburg will Ihnen zusammen mit RadioEINS einen kleinen Reiseführer für das #Neuland anbieten. Auch als Vorbereitung auf den Informationsabend “Digitale Selbstverteidigung” am kommenden Donnerstag, den 25. Juli um 19:30 Uhr im Raum 5-1 der Hochschule Coburg.
Tag 5: Auf Expedition im #Neuland – Der Erstkontakt

Tag 4: Auf Expedition im #Neuland – Wie werde ich ein Schlüsselkind

Tag 3: Auf Expedition im #Neuland – Internet, das S steht für Gefahr

Tag 2: Auf Expedition im #Neuland – Wie kommt meine E-Mail zu meiner Tante
Tag 1: Auf Expedition im #Neuland – Was ist dieses “Internet”-Dings

Digitale Selbstverteidigung – Verschlüsselte E-Mails und anonymes Surfen

„Jeder muss sich selbst um die Sicherheit seiner Daten kümmern“, so hat es Bundesinnenminister Friedrich nach seinem USA-Besuch in einem Interview gesagt. Für den normalen Computernutzer ist Datensicherheit wirklich Neuland: Wie funktioniert eigentlich eine E-Mail? Wie können Unbefugte darauf zugreifen? Wie können Sie Ihre E-Mails verschlüsseln?
Das Hackzogtum Coburg, eine Vereinigung von Coburger Technikinteressierten aus dem Umfeld des Chaos Computer Clubs, will hier weiter helfen. Daher laden wir zusammen mit den Wirtschaftsjunioren Coburg e.V. interessierte Computernutzer aller Altersgruppen am kommenden Donnerstag, den 25. Juli ab 19:30 Uhr zu einer Informationsveranstaltung im Raum 5-1 der Hochschule Coburg (Campus Friedrich-Streib-Straße 2) ein.
Durch Vorträge und Beispiele von Experten aus dem Bereich Computersicherheit zeigen wir Ihnen, wie Sie es Unberechtigten schwer machen, Ihre E-Mails zu lesen oder Ihren Spuren im Internet zu folgen. Anschließend stehen Ihnen unsere Mitglieder helfend zur Seite, wenn Sie auf Ihrem mitgebrachten Laptop selbst eine E-Mail- oder Festplattenverschlüsselung einrichten möchten.

Nächste Treffen

Doodle hat entschieden und unsere nächsten Treffen sind am:
Donnerstag, 13. Juni 2013 19:30
und
Donnerstag, 11. Juli 2013 19:30
jeweils im Müncher Hofbräu (Kleine Johannisgasse 8 96450 Coburg – http://www.coburg-muenchnerhofbraeu.de/)
Aufgrund der Kürze bis zum 13. wird das erste Treffen eher einen informellen und spontanen Charakter haben;
trotzdem ist natürlich jedes interessierte Wesen zum Quatschen, Kennenlernen und Ideenspinnen herzlich willkommen.
Das zweite Treffen wird wieder einen etwas formelleren Touch haben und mit ein wenig Glück können wir dann ja schon auf die Eintragung anstoßen. Hier werden wir wahrscheinlich auch ein paar offiziellere Dinge besprechen.
Bitte tragt Euch im Pad (http://etherpad.netluchs.de/BulLPmdURR) als Teilnehmer ein, damit wir entsprechend reservieren können (Die Paranoiden unter uns gerne auch mit “Anon” oder “+1”).
Im Pad könnt ihr auch Themenvorschläge für den 11.07. eintragen.
Es grüßt legion

Gründung vollzogen!!!

Wir sind nun offiziell ein Verein. 19 Gründer haben gestern, am Abend des 25. April 2013 im Münchner Hofbräu das “Hackzogtum Coburg” ausgerufen.
Moderne Technik greift immer mehr in den Alltag des Einzelnen und der Gesellschaft ein. In der Tradition des CCC (Chaos Computer Club e.V.) wollen wir diese Entwicklung begleiten, Chancen nutzen und auf Gefahren aufmerksam machen. Die aktuellen Diskussionen in der Politik über die Rolle des Internets und der automatischen Datenverarbeitung zeigen, wie wichtig kritische aber auch gesprächsbereite Stimmen sind. Wir wollen eine solche sein und sehen uns als Ansprechpartner für Schulen sowie andere Bildungseinrichtungen, interessierte Bürger, Politiker und alle anderen Wesen.
Das “Hackzogtum Coburg” versteht sich als galaktische Vereinigung von Lebewesen. Unter den 19 Gründungsmitgliedern sind IT-Experten, Studenten, Journalisten, Bastler und Technikenthusiasten. Vorkenntnisse sind für Mitglieder nicht erforderlich. Jeder, der Lust an Technik hat, ist willkommen. Mit den Namen “Hackzogtum Coburg” zeigen wir unsere Verbundenheit zur Region und ihrer Geschichte – mit einem Augenzwinkern.
Als ersten Schritt wollen wir in Coburg einen sogenannten Hackerspace eröffnen. Hier können sich die Mitglieder austauschen, Rat einholen und experimentieren. Der kreative Umgang mit der aktueller Technik ist uns wichtig. Nur wer sie versteht, kann auch die Risiken und den Nutzen richtig einschätzen. Da wir den positiven Einfluss dieser Arbeit für unsere Gesellschaft sehen, werden wir die Anerkennung der Gemeinnützigkeit beantragen. Sobald der Eintrag ins Vereinsregister der Stadt Coburg erfolgt ist, wird der erster Vorsitzende – unser Hackzog – Dennis Busch im Namen des Vereins zu einer öffentlichen Feier einladen.

PlaidCTF2013

Am letzten Wochenende 19. – 21.04.2013  fand die PlaidCTF2013 – eine der größten und bekanntesten Hackingchallenges – statt. Das Team des backspace Bamberg hat dabei Platz 37 von ca. 900 belegt, wofür ich hier erst einmal einen großen Glückwunsch loswerden möchte: well played oder fränkisch: “ned schlechd”.
Warum erzähle ich das Ganze? Nun ja ich hatte die Ehre für ein paar Stunden als Gast teilzunehmen und Mischa, der wohl auch bei uns mitmischen wird, ist quasi für 3 Tage bei backspace eingezogen. Für mich gab es zwei große Lehren die ich ziehen konnte: a) “Noch viel zu lernen Du hast”  -> Es wird also Zeit, dass wir ihn Coburg was hochziehen. b) “Es macht unglaublich viel Spass” -> Folgerung analog.
Um was geht’s denn überhaupt?
Eine Security CTF (CTF = capture the flag, http://ctftime.org/ctf-wtf/) ist ein Spiel bei dem man Flags ergattern muss, die man sich durch aktives Hacken verdient. Je nach Komplexität der Aufgabe erhält man für ein Flag mehr oder weniger Punkte. Dabei treten mehrere Teams gegeneinander an und wer am Ende die meisten Punkte hat, gewinnt. Gehackt wird natürlich nicht im offenen Netz sondern auf dafür vorbereiteten Servern die extra für das Spiel angelegt sind und auch für die entsprechenden Aufgaben vorbereitet sind. Teilweise erhält man auch Programme, für die man einen Exploit finden muss, um an das begehrte Flag zu kommen. Die Schwachstellen sind dabei meist extra eingebaut, orientieren sich aber an echten Szenarien. Die Schwerpunkte sind also:
1.) Herausfinden, womit man es zu tun hat
2.) Schwachstellen finden
3.) Exploit basteln
Beispiele:
Man erhält ein Programm, das einem das Flag einfach so ausgibt – allerdings ist es künstlich so programmiert, dass es Tage lang laufen würde, bevor es das tut. Um dies zu lösen musste der Maschinencode des Programms per Hand manipuliert werden, um die unnötigen Teile des Programs zu überspringen.
Man erhält den Mitschnitt einer USB-Schnittstelle; Mit viel Geduld stellt man fest, dass darin eine Firmware auf einen Chip installiert wird. 2 Teammitglieder aus München haben daraufhin diese Firmware extrahiert, auf einen echten Chip übetragen, festgestellt, dass sie diesen noch etwas umlöten müssen, um dann zu erkennen, was das Ganze eigentlich tut.
Man erhält ein Program und den Hinweis, es könne mit Hilfe von ROP (Return oriented Programming) exploited werden. Nach 16-stündigem Studium einschlägiger Papers konnte eines der Teammitglieder einen Exploit schreiben.
Man erhält ein ausführbares Programm. Mangels meiner Erfahrung konnte ich allerdings nicht feststellen, dass dieses durch das Ein- und Ausschalten der Capslock-Taste einen Morsecode mit der Kontroll-LED der Tastatur blinken lässt, den man hätte auslesen müssen.
Bei Interesse an Details, sollte man mit ein wenig Googlen detaillierte Write-Ups (Lösungen) von verschiedenen Teams finden. Oder einfach hier schauen: http://ctftime.org/event/64/tasks/
Wer Interesse hat, sich selbst darin zu üben, für den gibt es auch Internetseiten die permanent Challenges anbieten und die einen Schritt für Schritt die Grundlagen und verschiedene Techniken beibringen.
Beispiele sind:
Hier finden sich verschiedene “Wargames” zu verschiedenen Themenbereichen. Statt Flags erhält man hier als Lösung immer das Passwort für das nächst-schwierigere Level.
Viel Spass – aber Vorsicht Suchtgefahr!!!
legion