Privatsphäre Sofort!

19. Deutscher Perl-Workshop in Hamburg (Wilhelmsburg) 27. Juni 2017










Vor wie vielen Jahren hat Edward Snowden Überwachungsprogramme der Regierungen enthüllt?


Und was ist dann passiert?




























und was jetzt?



(mindestens) 20 je zweiminütige Rezepte, die sofort die Privatsphäre verbessern.




Frankfurt.pm
Sören Laird Sörries


Two-Factor-Authentication ... Zwei-Faktoren-Authentidingenskirchens.


Das heißt, man meldet sich nicht mehr über einen Usernamen und ein Geheimnis an, sondern über zwei (2) Usernamen mit ihren jeweiligen Geheimnissen über zwei (2) voneinander möglichst räumlich ganz getrennte Geräte und voneinander unabhängige Kanäle.

Zu viele Beispiele (zum später lesen):

  • früheres Online-Banking mit TAN-Liste: ein nur dem Kunden und der Bank bekannter Username und ein nur dem Kunden und der Bank bekanntes Geheimnis*, dass nirgends aufgeschrieben ist, und ein gut verstecktes Blatt Papier mit sog. TAN-Nummern, von denen die Bank eine auswählt, und der Kunde diese in kurzer Zeit angeben werden muss.
  • neueres Online-Banking mit TAN-SMS: ein dem Kunden und der Bank bekannter Username und ein nur dem Kunden und der Bank bekanntes Geheimnis, dass nirgends aufgeschrieben ist, und eine große Zahl, die von der Bank an das Mobiltelefon des Kunden geschickt wird, und in kurzer Zeit angeben werden muss.*
  • Token-Authentifizierung: ein beiden Seiten bekannter Username und ein nur dem Anwender und der Gegenseite bekanntes Geheimnis*. Dazu ein Gerät im Besitz des Anwenders, dessen Methodik mit der Zeit wechselnde Zahlen darzustellen möglichst nur der Gegenseite bekannt ist, und dessen Zahl bei der Anmeldung und bei weiterem Bedarf auch später wieder abgefragt wird.
  • ...
  1. *) genaugenommen sind es zwei unterschiedliche Geheimnisse mit einem Trap-Door-Meschanismus, mit dem man theoretisch und beinahe praktisch in Unwissenheit des einen Geheimnisses dieses mit dem anderen Geheimnis beinahe eindeutig gegenprüfen kann. Verzeiht mir die Ungenauigkeit.

Wo auch immer euch Two-Factor-Authentication begegnet, solltet ihr sie vielleicht aktivieren. Ganz besonders bei eurer e-Mail-Inbox. Dafür das gelungene Beispiel von Google Mail: https://myaccount.google.com/security#signin

Und das läßt sich weiter konfigurieren, etwa, wenn man Sorge hat, sein Handy zu verlieren usw.:


ja, und dann?




Frankfurt.pm
Sören Laird Sörries


2. Passwörter nicht wiederverwenden.


Eure Passwörter werden hier und da gehackt werden, und in die Datensenken verschiedener Malware eingehen. Ach was. Sie wurden. Und sie sind.

Wenn ihr also nicht wollt, dass ein Einbrecher mit einem bisschen Glück gleich euren ganzen virtuellen Schlüsselbund raubt, darf keine Passwort je mehrfach Verwendung finden.

Also, wenn ihr mal überlegt, oder eure Passwort-Manager befragt, wo ihr ein Passwort mehrfach vergeben habt, dann ändert es und zwar möglichst sofort an allen Stellen in verschiedene neue einzigartige Passwörter.

Wenn ihr glaubt, das ist zuviel verlangt, dann helfen zwei Dinge: Das Wissen, dass es aber sein muss, und ein Passwort-Manager, damit das nicht in Arbeit ausartet (wir wollen ungeduldig sein, aber faul bleiben).
















Weiter zum Passwort-Manager



Zurück zur Two-Factor-Authentication




Frankfurt.pm
Sören Laird Sörries


3. Passwort-Manager.


Wenn wir also ab sofort Passwörter nicht wiederverwenden, begegnen wir ein-zwei neuen möglichen Schwierigkeiten:

  1. viele verschieden Passwörter sich auszudenken und
  2. viele verschieden Passwörter sich merken zu müssen.

Die Idee dahinter ist, ihr findet einen sicheren Ort, an dem ihr alle eure Passwörter managen könnt, und es von nun an tut.
Diesen Tresor von lauter Passwörtern schützt ihr wiederum mit einem Geheimnis, etwa einem Passwort und/oder einem Keyfile.

Wahrscheinlich sind euch schon der Passwortmanager von Google bei der Benutzung des Chrome Browsers, der des Mozilla Firefox, oder der des Internet Explorers begegnet, wenn ihr im Web ein Passwortfeld ausgefüllt habt. Vielleicht benutzt ihr auch schon welche davon? Gibt es vielleicht einen besonders empfehlenswerten?

Viele Passwort-Manager schlagen euch auch schöne chaotisch Passwörter vor, die man sich erst gar nicht mehr merken sollte. Dazu gehören auch die beliebten Passwort-Manager KeePass (Cross-Platform) und eben KeePassX. KeePassX ist ein Cross-Platform Open Source GNU Projekt.

Kanntet ihr den noch nicht? Gleich ausprobieren!












Ausserdem: Macht Backups von euren Passwort-Datenbanken und, falls vorhanden, den Keyfiles.


Weiter zu besonders wichtigen Passwörtern



Zurück zu 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden




Frankfurt.pm
Sören Laird Sörries


4. Phone-Pin/Passwort.


Euer Mobiltelefon ist möglicherweise schon gesichert mit ...

  • einem Muster
  • einem Klopf-Code
  • einem Fingerabdruck-Sensor
  • einem Retina-Scan
  • einem Augenbewegungsleser
  • einem Ultraschallhandabtaster
  • einer Stimmerkennung
  • ...


Das reiche nicht, sagen Netizens aus dem US-amerikanischen Raum. Dort dürfen verschiedene Behörden jemanden dazu zwingen, biometrische Sicherheitsmerkmale preiszugeben (den Daumen, den Augenblick etc.), aber keine Geheimnisse wie Passwort oder PIN. Daher solle man also zusätzlich noch Passwort oder PIN setzen.

Die gleiche Begründung gilt aber auch in Deutschland: Niemand kann gezwungen werden, sich (möglicherweise) selbst zu belasten.

Workshop-Kommentar: Biometrische Merkmale lassen sich relativ leicht stehlen und replizieren. Wolfgang Schäubles Fingerabdruck etwa.

Falls euer Mobiltelefon es erlauben sollte, ein Passwort/PIN zusätzlich zur biometrischen Anmeldung einzustellen, dann habt ihr sogar noch eine Barriere mehr. Persönlich finde ich allein die Vorstellung vom Stehlen biometrischer Merkmale besonders gruselig und grausam und will das nicht erleben.


Bonus-Tipp SIM-PIN: Sim-Karten kann man übrigens immer noch mit einer eigenen selbst gewählten PIN versehen, falls man das will. Das ist dann eine zusätzliche Barriere gegen die Verwendung für die Mobiltelefonie oder SMS/MMS. Damit kann man womöglich umgehen, dass aus einem gestohlenen Mobiltelefon die Sim-Karten entnommen und damit die Two-Factor-Authentication umgangen werden kann.


Bonus-Tipp zum Bonus-Tipp APP-PIN: Manche Apps, etwa alle Secure-Messenger-Apps bieten PINs oder Passwörter an, die zum Starten und bei längerem Verwenden der Apps abgefragt werden. Damit kann man die Daten in diesen Apps vor jemandem Schützen, der ein bereits entsperrtes Mobiltelefon stiehlt.


Also gut. Ist da noch was?



Zurück zu 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager




Frankfurt.pm
Sören Laird Sörries


5. Das Mobiltelefon verschlüsseln


Je nach Mobiltelefon habt ihr vielleicht die Möglichkeit,
größere Teile eures Telefonspeichers zu verschlüsseln.

Warum also nicht?



(meine Mobiltelefone haben einen voll aufgeladenen Akku und ein angeschlossenes Aufladegerät für diesen Vorgang verlangt. Es kann also sein, dass dieser Schritt nicht während des Vortrags klappt. Ich habe es zumindest gut gemeint, macht es einfach später.)







Alles klar. Und was Mobiltelefone können, können PCs doch schon lange!



Zurück zu 1. 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin




Frankfurt.pm
Sören Laird Sörries


6. Den PC verschlüsseln


Na klar geht das mit dem PC auch, sogar noch besser, wenn es Windows oder MacOS PC ist:

Windows:

  1. Sign in to Windows with an administrator account.
  2. Go to Start, enter encryption, and select Change device encryption settings from the list of results.
  3. Select Manage BitLocker, select Turn on BitLocker, and then follow the instructions.


MacOS:


Soweit, so lokal. Was ist denn mit dem Internet und dem Web?



Zurück zu 1. 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption




Frankfurt.pm
Sören Laird Sörries


7. Tor und Orbot


Tor ist The Onion Router, sein Zwiebelsymbol erscheint Perl-Programmierern ja gleich schon irgendwie vertraut. Auch seine Bedeutung ist analog zu der des Perl-Logos, und steht für die vielen Lagen oder Ummantelungen der verschlüsselten Tunnel. Die wiederum machen es sehr schwer, euer Browsing-Verhalten nachzuvollziehen und schaffen so ein gehöriges Stück Privatsphäre.

Er managet ohne euer Zutun sich ständig ändernde VPN-Tunnel zu unterschiedlichen Ausgängen des TOR-Netzwerks. So kommen zum Beispiel mehrere gleichzeitige eurer Anfragen zu ähnlichen Themen dann anscheinend aus mehreren verschiedenen Ländern bei den Zieladressen an.

Orbot ist im Google Play zu finden, schnell heruntergeladen und installiert, und funktioniert auch ohne euer weiteres Zutun. Und wenn ihr wollt, könnt ihr ihm die Apps nennen, die von nun an das Tor-Netzwerk verwenden sollen, einige auserwählte oder alle, nach Belieben. Er ist kostenlos und Open Source.






Und der Browser selbst?



Zurück zu 1. 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption




Frankfurt.pm
Sören Laird Sörries


8. Browsen mit dem Orfox


Anstelle dem Orbot zu erklären, eure Browserverbindungen zu managen, könnt ihr auch den gleich dafür geschaffenen Orbot verwenden, den ihr ebenfalls auf Google Play findet, und der schnell installiert dann sofort einsatzfähig ist, wenn Orbot läuft.



Um sicherzustellen, dass euer Orbot auch tut, was er verspricht, lohnt es sich, den Orfox zumindest einmal ausprobiert zu haben. Zuerst Orbot starten, ...



... dann den Orfox ... der sollte eine Zwiebel darstellen und etwa sowas sagen wie "Glückwunsch, Ihr Browser verwendet jetzt Tor":


Dann mit dem Orfox zu check.torproject.org surfen, um zu prüfen, dass es funktioniert.


Auch mit Windows möglich. Oder entsprechend mit MacOS oder Linux.



Und wie entgehe ich beim Suchen meiner Google-Filterbubble und dem Browser-Tracking der Suchmaschinen?



Zurück zu 1. 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot




Frankfurt.pm
Sören Laird Sörries


9. Suchen auf DuckDuckGo


DuckDuckGo mit HTTPS verwenden: https://duckduckgo.com



Für DuckDuckGo gibt es allerlei Apps, Browser-Plugins, Search-Bar-Plugins, damit kann man sich einrichten.


Hat man die Google-Suchmaschine liebgewonnen und kann man sich kein Leben mehr ohne vorstellen, dann stellt man einfach !g (oder !gi für google images etc.) seiner DuckDuckGo-Suche voran, und DuckDuckGo leitet die Suche um zu Google.



Und sicheres Messaging?



Zurück zu 1. 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot 8. Browsen mit dem Orfox




Frankfurt.pm
Sören Laird Sörries


10. Messaging mit Threema


Threema (Drei-E für Ende-zu-Ende-Encryption Messaging Applikation) ist eine Open Source Cross-Plattform Applikation (Android, IOS, Windows Phone und Web App), die sich ganz einfach installieren und bedienen läßt.


Ihre Besonderheiten sind, dass der Serverbetrieb soweit wie möglich kein Interesse an Nutzern und ihren voll verschlüsselten Nachrichten hat, und diese nur zwischenlagert, bis ihr Empfänger sie abholt. Verschlüsselung und Entschlüsselung sind reine Client-Sache, der Server macht nichts dergleichen.


Die bei solchem Konzept bisher äußerst komplizierten Key-Signing-Partys löst Threema damit, dass der Client QR-Codes zum Scannen erzeugt.

Man scannt den QR-Code des anderen, und hat sich gegenseitig verifiziert und kann loslegen (Teilnehmer mit drei grünen Punkten). Oder man findet einen Gemeinsamen Bekannten, der bereits beide Teilnehmer verifiziert hat, dann hat man den um 1 entfernten aber über diesen Weg sicher verifizierten Teilnehmer mit zwei orangenen Punkten. Alle anderen unverifizierten Personen erscheinen in Threema mit einem roten Punkt.


Man kann Textnachrichten, Voice-Nachrichten, Videos, Bilder und weiteres teilen und verschicken.



Da war doch was, der Server speichert die sicheren Ende-zu-Ende-verschlüsselten Nachrichten zwischen, ohne etwas über sie zu wissen? Echt so selbstlos? Das kostet doch etwas? Ja, die App kostet ca. € 2


Geht das nicht auch kostenlos?



Zurück zu 1. 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot 8. Browsen mit dem Orfox 9. Suchen auf DuckDuckGo




Frankfurt.pm
Sören Laird Sörries


11. Messaging mit Telegram


Nein, das geht so leider nicht kostenlos. Aber so ähnlich geht es.

Der Telegram Messenger / Telegram Messaging Service ist ein Cross Platform Cloud-basierender Instant Messaging Dienst, der auch verschlüsselte Anrufe ermöglicht.

Clients gibt es für Android, Windows Phone, IOS, macOS, Windows und Linux. Großartige Abdeckung also!



Auch hier werden die Nachrichten zwischengespeichert, allerdings dezentral in der Cloud, und die Server sind im Besitz der symmetrischen Keys. Alle Sicherheit ist somit davon abhängig, das keiner der Server je kompromittiert wird.

Wer das also nicht mag, verwendet besser Threema oder Signal.


Geht das nicht vielleicht noch besser und auch mit SMS?



Zurück zu 1. 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot 8. Browsen mit dem Orfox 9. Suchen auf DuckDuckGo 10. Messaging mit Threema




Frankfurt.pm
Sören Laird Sörries


12. Messaging und SMS mit Signal


Der Signal Private Messenger ist ein Instant Messaging Dienst, der auch als unsicheren Kanal SMS mit dazunimmt, und so die SMS-App auf dem Handy überflüssig macht und auch mit verschlüsselten Voice-Anrufen aufwartet. Wem das nicht reicht, dem wird er noch dazu von Edward Snowden und von der Electronic Fronteer Foundation empfohlen.

Clients gibt es für Android, und IOS.

Ähnlich wie bei Threema haben die Signal-Server nicht die Schlüssel zu den Nachrichten, und noch besser, sie haben nicht einmal eine Userverwaltung. Die basiert einzig auf der Handynummer der jeweiligen Anwender, mehr ist nicht bekannt.



Hat das Mobiltelefon nun nicht zu viel Macht über mich?

Was wird denn aus mir, wenn es verloren geht, gestohlen oder zerstört wird?



Zurück zu 1. 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot 8. Browsen mit dem Orfox 9. Suchen auf DuckDuckGo 10. Messaging mit Threema 11. Messaging mit Telegram




Frankfurt.pm
Sören Laird Sörries


13. Find My Device


Find My Device ist eine App von Google, die es erlaubt, Android-Geräte zu orten oder im Zweifelsfall alle Daten darauf aus der Ferne zu zerstören.



Was ist denn mit unsicheren HTTP-Verbindungen?

Was ist mit verschlüsselten Websites, die durch Dummheit, Schlamperei oder gar Bosheit meinen Browser unverschlüsselte Verbindungen starten lassen?



Zurück zu 1. 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot 8. Browsen mit dem Orfox 9. Suchen auf DuckDuckGo 10. Messaging mit Threema 11. Messaging mit Telegram 12. Messaging und SMS mit Signal




Frankfurt.pm
Sören Laird Sörries


14. Das HTTPS Everywhere Browser-Plugin


HTTPS Everywhere probiert bei jeder HTTP-Verbindung zuerst, ob der Server die Seite nicht auch mit HTTPS liefern kann, und fällt nur auf HTTP zurück, wenn HTTPS abgelehnt wird.

Ganz einfach das HTTPS Everywhere Browser-Plugin installieren. Unverschlüsselte Verbindungen "aus Versehen" gibt es nun nicht mehr.



Prima!

Und wie wird man das ganze Skripte-Geflacker los?



Zurück zu 1. 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot 8. Browsen mit dem Orfox 9. Suchen auf DuckDuckGo 10. Messaging mit Threema 11. Messaging mit Telegram 12. Messaging und SMS mit Signal 13. Find My Device




Frankfurt.pm
Sören Laird Sörries


15. Scriptblocker Browser-Plugin



Firefox: NoScript

Workshop-Kommentar: TBD: inzwischen auch bei Chrome.


Endlich Ruhe.


In Google Chrome geht das nicht so einfach, da hat man die Wahl JavaScript entweder zuzulassen, oder ganz abzustellen. Aber immerhin das.

Workshop-Kommentar: TBD: inzwischen auch bei Chrome.


Im IE und Edge geht es womöglich gar nicht.


Aber trotzdem werden meine Seitenzugriffe weiter getrackt!

Woher weiß Amazon, dass ich eben auf ebay nach Schuhen gesucht habe? (und umgekehrt)



Zurück zu 1. 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot 8. Browsen mit dem Orfox 9. Suchen auf Duck Duck Go 10. Messaging mit Threema 11. Messaging mit Telegram 12. Messaging und SMS mit Signal 13. Find My Device 14. Das HTTPS Everywhere Browser-Plugin




Frankfurt.pm
Sören Laird Sörries


16. Cookie-Zerstörer Browser-Plugin



Firefox: Self-Destructing Cookies










Und die Cookies werden wieder entfernt.

Und da ich schon weiss, was ich kaufen will und was nicht, kann die Werbung auch ganz weg!

Workshop-Kommentar: TBD: inzwischen auch als Firefox-Buildin.

Workshop-Kommentar: TBD: inzwischen auch bei Chrome.



Zurück zu 1. 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot 8. Browsen mit dem Orfox 9. Suchen auf Duck Duck Go 10. Messaging mit Threema 11. Messaging mit Telegram 12. Messaging und SMS mit Signal 13. Find My Device 14. Das HTTPS Everywhere Browser-Plugin 15. Scriptblocker Browser-Plugin




Frankfurt.pm
Sören Laird Sörries


17. Adblocker Browser-Plugin



Firefox: Adblock Plus


Chrome: Adblock Plus

Workshop-Kommentar: TBD: Safari ebenso.

Workshop-Kommentar: TBD: ersetze durch Adblock uBlockOrigin.


Keine Werbung mehr.


Wenn ich gezielt einzelne Addserver loswerden will? Insbesondere auf dem Mobiltelefon oder Tablet?



Zurück zu 1. 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot 8. Browsen mit dem Orfox 9. Suchen auf Duck Duck Go 10. Messaging mit Threema 11. Messaging mit Telegram 12. Messaging und SMS mit Signal 13. Find My Device 14. Das HTTPS Everywhere Browser-Plugin 15. Scriptblocker Browser-Plugin 16. Cookie-Zerstörer Browser-Plugin




Frankfurt.pm
Sören Laird Sörries


18. Hosts file ad block



Unabhängig vom Betriebssystem kann man einzelne Addserver loswerden, indem man ihre Namen auf den eigenen Host umleiten.

Dazu gibt es ein sehr altes aber immer noch praktisches Routingfeature namens Hosts-Datei.

Diese findet sich bei Android, Linux, Unix und MacOS als /etc/hosts im Dateisystem. Um sie zu editieren braucht man allerdings Root-Rechte.

Bei Windows 7, 8 und 10 ist sie als C:\Windows\System32\drivers\etc\hosts zu finden.


Ein schönes Template, das viele hunderte dieser Adressen bereits enthält und nach Belieben angepasst werden kann, findet sich unter Using a Hosts File To Make The Internet Not Suck (as much...) (Dank an Max Maischein für den Tipp!)


Keine Werbung mehr.



Sollte man nicht Flash ausschalten und entfernen?



Zurück zu 1. 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot 8. Browsen mit dem Orfox 9. Suchen auf Duck Duck Go 10. Messaging mit Threema 11. Messaging mit Telegram 12. Messaging und SMS mit Signal 13. Find My Device 14. Das HTTPS Everywhere Browser-Plugin 15. Scriptblocker Browser-Plugin 16. Cookie-Zerstörer Browser-Plugin 17. Adblocker Browser-Plugin




Frankfurt.pm
Sören Laird Sörries


19. Flash ausschalten und entfernen











Wenn man sein Mobiltelefon gerade nicht für Anrufe oder Messaging oder sonstige Netzdienste verwenden will?



Zurück zu 1. 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot 8. Browsen mit dem Orfox 9. Suchen auf Duck Duck Go 10. Messaging mit Threema 11. Messaging mit Telegram 12. Messaging und SMS mit Signal 13. Find My Device 14. Das HTTPS Everywhere Browser-Plugin 15. Scriptblocker Browser-Plugin 16. Cookie-Zerstörer Browser-Plugin 17. Adblocker Browser-Plugin 18. Hosts file ad block




Frankfurt.pm
Sören Laird Sörries


20. Flugmodus oder gleich Ausschalten


Pro-Tipp: sobald ihr Bluetooth nicht mehr braucht, schaltet es aus. Lauschangriffe (und Abfrage des Telefonbuchs, des letzten getätigten bzw. angenommen Anrus etc) über Bluetooth sind noch auf knapp 200m Entfernung möglich, da kommt man nicht drauf, bei einem Dienst, der nur 3m weit reicht. Ausserdem spart es Akku und Bluetooth-verschmutzung der Umgebung.


Verwendet man sein Mobiltelefon für eine Weile nur lokal, etwa zum Musikhören vom lokalen Speicher, Fotografieren, zum Bildbearbeiten, Ebook-Lesen oder Texte-Tippen und will eh nicht gestört werden, einfach den Flugmodus einstellen. Dann hat man seine Ruhe, und die Hacker müssen entweder Pause machen oder sich anderen Zielen widmen.


Die typische Zeit, in der das Mobiltelefon dann selbst Pause machen sollte, ist die Zeit, die man sich zum Schlafen gönnt, oder sich intensiv mit anderen Menschen vor Ort gönnt.

Viele Mobiltelefone unterstützen einen Ausschaltzeitpunkt und einen Einschaltzeitpunkt. Wenn ihr also kein Geld für einen Reisewecker investieren mögt, könnt ihr dem Mobiltelefon einen solchen Einschaltzeitpunkt einstellen.

Oder wenn ihr euch selbst erziehen wollt, abends das Mobiltelefon früher wegzulegen, kann auch ein voreingestellter Ausschaltzeitpunkt helfen.


Bonuspunkt: Akku entfernen



Zurück zu 1. 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot 8. Browsen mit dem Orfox 9. Suchen auf Duck Duck Go 10. Messaging mit Threema 11. Messaging mit Telegram 12. Messaging und SMS mit Signal 13. Find My Device 14. Das HTTPS Everywhere Browser-Plugin 15. Scriptblocker Browser-Plugin 16. Cookie-Zerstörer Browser-Plugin 17. Adblocker Browser-Plugin 18. Hosts file ad block 19. Flash ausschalten und entfernen




Frankfurt.pm
Sören Laird Sörries


21. Bonuspunkt: Akku entfernen


Und wenn man dann Zeiten hat, in denen das Mobiltelefon aus sein soll, kann man, wenn das Gerät das so eingerichtet hat, auch den Akku entfernen. Dann sollte die Wanze wirklich aus sein.

Ab mit Mobiltelefon und Akku in ein offenes Fach ("Handybettchen"), bis man es wieder benötig.

Der Akku entlädt dann auch ein kleines bisschen weniger schnell


Und... Ach ja, das ist leider kein Märchen: Lithium-Ionen-Akkus haben die unangenehme Eigenschaft, irgendwann spontan zu explodieren.
Wenn sie das im Handy tun, zerstören sie es.
Ausserhalb verliert man nur den Akku.
Das soll kein schwacher Trost sein, denn neue Akkus gibt es meist im Rahmen von ca. € 3 bis € 15 nachzubestellen.



Und Mobiltelefone, deren Akkus man nicht entfernen kann? Böses Foul. Da hilft dieser Tipp nicht.
Allerdings gibt es Youtube-Videos, die erklären wie man sie doch entfernen und austauschen kann. Das ist etwas Bastelarbeit, aber falls der Akku ohne zu explodieren den Dienst quittiert, wird sich das lohnen.









Auch die Hardware lässt sich den Sicherheits- und Privatsphärewünschen anpassen...



Zurück zu 1. 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot 8. Browsen mit dem Orfox 9. Suchen auf Duck Duck Go 10. Messaging mit Threema 11. Messaging mit Telegram 12. Messaging und SMS mit Signal 13. Find My Device 14. Das HTTPS Everywhere Browser-Plugin 15. Scriptblocker Browser-Plugin 16. Cookie-Zerstörer Browser-Plugin 17. Adblocker Browser-Plugin 18. Hosts file ad block 19. Flash ausschalten und entfernen 20. Flugmodus oder gleich Ausschalten




Frankfurt.pm
Sören Laird Sörries


22. Hardware-Security-Patches













Humorbefreite aber professionell aussehende bewegliche Webcam-Abdeckungen gibt es im Versandhandel ...



Zurück zu 1. 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot 8. Browsen mit dem Orfox 9. Suchen auf Duck Duck Go 10. Messaging mit Threema 11. Messaging mit Telegram 12. Messaging und SMS mit Signal 13. Find My Device 14. Das HTTPS Everywhere Browser-Plugin 15. Scriptblocker Browser-Plugin 16. Cookie-Zerstörer Browser-Plugin 17. Adblocker Browser-Plugin 18. Hosts file ad block 19. Flash ausschalten und entfernen 20. Flugmodus oder gleich Ausschalten 21. Dazu ein Bonuspunkt: Akku entfernen




Frankfurt.pm
Sören Laird Sörries


23. Webcam-Abdeckungen und Cam Shades (Bonusfolie)


Klein: Cam Shades


Winzig: Webcam-Abdeckungen





Jetzt könntet ihr meinen, ab dieser Folie wird gemogelt, denn wie sollte man innerhalb 2 Minuten an solche Dinger kommen?


(Ich habe wenige davon dabei.)



Noch eine "Mogelfolie": Mails in einer Sandbox lesen (Bonusfolie)



Zurück zu 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot 8. Browsen mit dem Orfox 9. Suchen auf Duck Duck Go 10. Messaging mit Threema 11. Messaging mit Telegram 12. Messaging und SMS mit Signal 13. Find My Device 14. Das HTTPS Everywhere Browser-Plugin 15. Scriptblocker Browser-Plugin 16. Cookie-Zerstörer Browser-Plugin 17. Adblocker Browser-Plugin 18. Hosts file ad block 19. Flash ausschalten und entfernen 20. Flugmodus oder gleich Ausschalten 21. Dazu ein Bonuspunkt: Akku entfernen 22. Hardware-Security-Patches




Frankfurt.pm
Sören Laird Sörries


24. Mails in einer Sandbox lesen (Bonusfolie)


Wenn man die Sandbox Linux nennt, dann ist das nicht so schwer. Da funktionieren Windows-Makros eher nicht, und wenn man keinen Windows-Emulator laufen läßt, auch keine Windows-Programmdateien.


Aber wir würden auch niemals auf E-Mail-Anhängen herumklicken, nicht wahr?






Und dann noch eine "Mogelfolie": Private Cloud ohne externen Anbieter (Bonusfolie)



Zurück zu 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot 8. Browsen mit dem Orfox 9. Suchen auf Duck Duck Go 10. Messaging mit Threema 11. Messaging mit Telegram 12. Messaging und SMS mit Signal 13. Find My Device 14. Das HTTPS Everywhere Browser-Plugin 15. Scriptblocker Browser-Plugin 16. Cookie-Zerstörer Browser-Plugin 17. Adblocker Browser-Plugin 18. Hosts file ad block 19. Flash ausschalten und entfernen 20. Flugmodus oder gleich Ausschalten 21. Dazu ein Bonuspunkt: Akku entfernen 22. Hardware-Security-Patches ... oder 23. Webcam-Abdeckungen und Cam Shades (Bonus Page)




Frankfurt.pm
Sören Laird Sörries


25. Private Cloud ohne externen Anbieter (Bonusfolie)


Daten in der Cloud sind geklaut.


Wenn wir unsere Daten vor anderen verbergen, aber überall verstreuen wollen, dann können wir nicht auf die typischen Cloud-Anbieter zurückgreifen.

Dropbox zum Beispiel scheidet zur Übertragung vertraulicher Daten aus. Schade.

Wir bräuchten entweder den absolut vertrauenswürdigen Cloud-Anbieter; (und den gibt es nur annäherungsweise. Dazu könnte ich später bei Interesse etwas mehr erzählen, denn manchmal könnte ansatzweise schon ausreichen, pauschal genommen tut es das aber nicht). ...

... oder wir machen alles selbst. Etwa auf Basis einer modifizierten WD-MyCloud Plattform, oder mit Lima, oder noch etwas anderem.


Über Meinungen und Wissensaustausch freue ich mich... anschließend.

Workshop-Kommentar: TBD: Selfhosting Owncloud/NextCloud.





Das war es erstmal.


Weiter zu den Quellen und Links


0. Privatsphäre Sofort! 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot 8. Browsen mit dem Orfox 9. Suchen auf Duck Duck Go 10. Messaging mit Threema 11. Messaging mit Telegram 12. Messaging und SMS mit Signal 13. Find My Device 14. Das HTTPS Everywhere Browser-Plugin 15. Scriptblocker Browser-Plugin 16. Cookie-Zerstörer Browser-Plugin 17. Adblocker Browser-Plugin 18. Hosts file ad block 19. Flash ausschalten und entfernen 20. Flugmodus oder gleich Ausschalten 21. Dazu ein Bonuspunkt: Akku entfernen 22. Hardware-Security-Patches ... oder 23. Webcam-Abdeckungen und Cam Shades (Bonus Page)




Frankfurt.pm
Sören Laird Sörries


26. Quellen und Links


  1. Surveillance Self-Defense @ Electronic Frontier Foundation
  2. Secure Messaging Scorecard v1.0 @ Electronic Frontier Foundation
  3. 360 million reasons to destroy all passwords
  4. Chrome: Addblock Plus
  5. Download KeyPassX
  6. Edward Snowden Divulges the 5 Easiest Ways to Protect Yourself Online
  7. FBI director: Cover up your webcam
  8. Firefox: NoScript
  9. Firefox: Self-Destructing Cookies
  10. Firefox: Addblock Plus
  11. How To Encrypt Your Android Phone and why you might want to
  12. How to: Encrypt Your iPhone
  13. How To Encrypt Your Smartphone
  14. How to disable Adobe Flash in your browser
  15. How to Uninstall and Disable Flash in Every Web Browser
  16. How to Protect yourself from Flash attacks in Internet Explorer
  17. How to encrypt your entire life in less than an hour
  18. How to use KeePassX % Surveillance Self-Defense @ Electronic Frontier Foundation
  19. KeePassX Install instruction
  20. Lima ist ein sehr interessanter Ansatz zu einer persönlichen Cross-Platform Cloud. Leider nicht Multi-User.
  21. Using a Hosts File To Make The Internet Not Suck (as much...) (Dank an Max Maischein für den Tipp!)
  22. What you need to know about encryption on your phone


Workshop-Kommentar: TBD: EFF Privacy Badger

Der Vortrag wurde mit Ingy döt Net's CGI::Kwiki erstellt.


Weiter zu Frankfurt.pm


Zurück zu 0. Privatsphäre Sofort! 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot 8. Browsen mit dem Orfox 9. Suchen auf Duck Duck Go 10. Messaging mit Threema 11. Messaging mit Telegram 12. Messaging und SMS mit Signal 13. Find My Device 14. Das HTTPS Everywhere Browser-Plugin 15. Scriptblocker Browser-Plugin 16. Cookie-Zerstörer Browser-Plugin 17. Adblocker Browser-Plugin 18. Hosts file ad block 19. Flash ausschalten und entfernen 20. Flugmodus oder gleich Ausschalten 21. Dazu ein Bonuspunkt: Akku entfernen 22. Hardware-Security-Patches ... oder 23. Webcam-Abdeckungen und Cam Shades (Bonus Page) 24. Mogelseite: Mails in einer Sandbox lesen (Bonus Page) 25. Private Cloud ohne externen Anbieter 26. Quellen und Links 27. Frankfurt.pm 28. Sören Laird Sörries




Frankfurt.pm
Sören Laird Sörries


Frankfurt.pm (Bonusfolie)


Frankfurt.pm ist eine Gruppe von locker-flockigen freundlichen Perl-Anwendern, die sich seit knapp 20 Jahren ungefähr jeden ersten Dienstag im Monat zum Gespräch mit Essen und Trinken trifft. Wo genau, steht auf unserer Website namens frankfurt.pm

Ein-bis-zwei mal jährlich gestalten wir einen kleinen feinen ein-bis-zweitägigen Perl-Workshop in Frankfurt am Main.

Einmal im Jahr gestalten wir einen Deutschen Perl-Workshop mit u.a. internationaler Teilnehmerschar, der üblicherweise 40 bis 110 Teilnehmer über 3 Tage an einem von Jahr zu Jahr wechselnden Ort zusammenbringt.

Mit einem Klick geht es weiter zu Website Frankfurt.pm


Weiter zu Sören Laird Sörries




Frankfurt.pm
Sören Laird Sörries


Sören Laird Sörries


Perl, Open Source & privat:

  • Linux seit 1991, Perl seit 1998 (und etwas Perl 6 seit 2015)
  • Deutsche Perl-Workshops seit dem 2. in Sankt Augustin 2000
  • Perl-Monger in Frankfurt.pm seit ca. 2001
  • verheiratet, 3 Kinder (Uni, Gymnasium, Grundschule), 2 Katzen und ein Pferd
  • Tanzen, Kinderkirche, Menschenrechte, Fremdsprachen, viel Lesestoff

Beruflich

  • seit 18 Jahren bei globalen Telcos, als Software-Entwickler, Application Specialist und demnächst wohl "Consultant UCC" (Unified Communication and Collaboration)
  • Projektbereiche: ISP, Product Management, Insurance, Transportation, Billing, Identity Management, Messaging, Finance, Bid Management, Central Bank Secure Networking & Communications, SLA Assertion, Lync, Secure Data Space, Skype for Business.
  • Aktuell persönlicher Coach für sog. "V.I.P-Mitarbeiter" beim Kunden, insbesondere Vermittlungsarbeitsplätze und Chef-Sekretärinnen-Schaltungen.














Zurück zu 0. Privatsphäre Sofort! 1. Two-Factor-Authentication 2. Passwörter nicht wiederverwenden 3. Passwort-Manager 4. Phone-Pin 5. Phone-Encryption 6. PC File System Encryption 7. Tor und Orbot 8. Browsen mit dem Orfox 9. Suchen auf Duck Duck Go 10. Messaging mit Threema 11. Messaging mit Telegram 12. Messaging und SMS mit Signal 13. Find My Device 14. Das HTTPS Everywhere Browser-Plugin 15. Scriptblocker Browser-Plugin 16. Cookie-Zerstörer Browser-Plugin 17. Adblocker Browser-Plugin 18. Hosts file ad block 19. Flash ausschalten und entfernen 20. Flugmodus oder gleich Ausschalten 21. Dazu ein Bonuspunkt: Akku entfernen 22. Hardware-Security-Patches ... oder 23. Webcam-Abdeckungen und Cam Shades (Bonus Page) 24. Mogelseite: Mails in einer Sandbox lesen (Bonus Page) 25. Private Cloud ohne externen Anbieter 26. Quellen und Links 27. Frankfurt.pm 28. Sören Laird Sörries