Workshop


Am 5. April 2019 lud das Forschungsteam von Frau Prof. Dr. Margit Scholl im Rahmen des Projektes Informationssicherheitsbewusstsein für den Schulalltag (»SecAware4school«) Schülerinnen und Schüler sowie Lehrende und Schulleitungen aus Berlin und Königs Wusterhausen zum Kreativworkshop an die TH Wildau ein. Das von der Horst Görtz Stiftung geförderte Projekt sensibilisiert spielerisch Schülerinnen und Schüler zum Thema Informationssicherheit. Im ersten Kreativworkshop von SecAware4school entwickelten die 25 Teilnehmenden vielfältige Ideen für Sensibilisierungsmaßnahmen zur Informationssicherheit im Schulalltag. Für die eigene Sensibilisierung und damit für ein besseres Verständnis rund um die Konzeption von Lernszenarien, hatten viele der Teilnehmenden bereits an Informationsveranstaltungen und Awareness-Trainings mit erlebnisorientierten Lernszenarien der Forschungsgruppe teilgenommen. Die neu zu entwickelnden analogen und digitalen Lernszenarien für Informationssicherheit in den Schulen sind nach dem Projektende im August 2020 auf dieser Projektwebsite abrufbar und können auch ausgeliehen werden.

Alter Hut


Manche Sicherheitslücken erreichen ein beachtliches Alter. Gut für alle, die diese Lücken ausnutzen wollen, schlecht für alle, die ihre Daten in Sicherheit wähnen.

Alter [Jahre] Programm/OS/Hardware Link publiziert
19 Winrar golem 2019
10 Linux-Kernel-Kryptofunktion heise 2019
36 SCP gefährdet OpenSSH, PuTTY antary 2019
10 Steam pcgames 2018
13 macOS maclife 2018
30 Windows/SMBv1 admin-mag 2017
21 Windows/NetBios notebookcheck 2016
12 Router standard 2015
20 Windows magmahits 2014

Gold schürfen durch Usertracking


Prolog

Security-Expertin: »Es sieht fast wie ein Wettkampf aus und alle machen mit.«

Schüler: »Welcher Wettkampf soll das sein?«

Security-Expertin: »Der Wettkampf der Werbeindustrie.«

Schüler: »Ich mach da nicht mit!«

Security-Expertin: »Und ob, leider meistens unfreiwillig.«

Was durch einzelne Puzzelestücke zusammengetragen wird und später ein Gemälde mit dem Titel »Du gläserner Bürger bist durchschaut« dargestellt werden könnte, wird im Allgemeinen geheim gehalten!
Wer es doch einmal genauer wissen will, hat verschiedene Möglichkeiten, zu prüfen was die Apps auf einem Smartphone oder anderen Gadjets alles schicken, wenn sie »nach Hause telefonieren« (oft ohne den Benutzer oder die Benutzerin um Erlaubnis zu bitten).

1. Möglichkeit (Aufwand: gering)

https://appcensus.mobi

Die Website Appcensus stellt Prüfergebnisse zur Verfügung. Wenn die App in der Datenbank gefunden wurde, findet man Übersichten, was wohin geschickt wird.

Wire, geprüft von appcensus

2. Möglichkeit (Aufwand: gering)

https://reports.exodus-privacy.eu.org/

Auch auf der Website "Exodus" finden sich Prüfergebnisse.

Wire, geprüft von exodus

3. Möglichkeit (Aufwand: mittel)

Mit dem Programm »mitmproxy« selbst auf Spurensuche gehen. Die folgende Anleitung zeigt, wie es funktioniert:

Spying on Apps: How to Sleuth Back

4. Möglichkeit (Aufwand: hoch)

Zum Entwickler bzw. zur Entwicklerin werden und die Anwendung im Android-Studio analysieren. Es werden Kenntnisse in der Programmiersprache Java benötigt.

Schüler: »Nun wissen wir, was gesendet wird und wie nun weiter?«

Security-Expertin: »Du gehörst doch zu den "digital Natives". Schreib doch mal eine lange E-Mail an die App-Entwicklerin oder den App-Entwickler. Frage nach, ob das sein muss, und sage, dass du es nicht gut findest. Du solltest nicht nur konsumieren, sondern ab und an auch mal was produzieren!« Das nützt dann auch noch anderen Benutzerinnen und Benutzern der gleichen App.

Test: Wer schickt Daten an andere Server, wieviele Cookies werden gesetzt?

Gib auf der folgenden Seite die Domain einer von dir oft besuchten Seite ein:

Netopraph.io macht es sichtbar...

Du hast jetzt spontan keine Idee? Dann vergleiche bitte folgende Suchmaschinen:

    - startpage.com
    - bing.com
    - google.com
    

Fällt dir was auf?

Awareness -- Bewußtseinsbildung


Informationsveranstaltungen

In allen Klassen der Partnerschulen wurden die Schülerinnen und Schüler über die geplanten Awareness-Trainings informiert. Schon die Vorstellung unseres Programmes führte zu interessanten Diskussionen und Fragerunden. Auch das Lächeln des Makaken »Naruto« half bei der Diskussion um Bildrechte und Medienkompetenz. Nicht zuletzt hat der aktuelle Datenschutz-Skandal, die Bedeutung unserer Forschung bestätigt. Wie werden die geplanten Awareness-Trainings mit den Lernszenarien und dem spielebasierten Ansatz wirken? Das herauszufinden wird der Schwerpunkt unserer Untersuchungen im Bereich Awareness, Sicherheitsschulung und digitaler Aufklärung sein.

Ausführliche Erläuterungen zum Fall der »Makaken-Selfies«

Hacken oder Cracken


Hacker oder Cracker?

In unserer ersten Umfrage wurde nach weiteren Themenvorschlägen gefragt. Das Interesse am so genannten »Hacken« bzw. die Programmierung wurden oft genannt!

Leider fehlt uns die Zeit, dieses Thema in unseren Security-Schulungen ausführlich zu behandeln. Es ist ein Thema, das sich nicht in einer Doppelstunde und im »normalen« Unterricht abhandeln läßt. Es ist eher eine Leidenschaft, ein Hobby, das sich über Jahre entwickelt. Um herauszufinden, ob dieses Wissensgebiet interessant genug ist, sollte man in lokalen »User-Groups« vorbei schauen und sich ausprobieren. Wie das Wort »Hacker« und seine Tätigkeit definiert wird, findest Du auf Wikipedia erklärt. Es könnte aber auch der Einstieg zu einer beruflichen Laufbahn sein, z.B. als:

  • Audit-Teamleiter
  • IS-Revisions- und IS-Beratungs-Experte
  • Pentrationstester

Alle Berufe sind für Jungen wie Mädchen geeignet, die sich für organisatorische und technische Fragen interessieren und die Arbeit und Kommunikation mit anderen Mitarbeitern nicht scheuen.

...»Weil ich mein Können für etwas Gutes einsetzen und trotzdem viel Geld damit machen konnte... «, so die Aussage von Santiago Lopez, einem Jugendlichen aus Argentinien, der sich über das Projekt: Hacker101 zu einem guten und erfolgreichen Hacker entwickelt hat. Siehe auch: Interview mit Santiago Lopez für golem.de

Spionage, Kameras, Mikrofone


Es besteht zunehmend die Gefahr, dass Kameras und Mikrofone eingesetzt werden, um dich und andere auszuspionieren. Es sind Dokumente der NSA aufgetaucht die beinhalten, dass mit der Malware CAPTIVATEDAUDIENCE Millionen von Computern infizieren werden sollen. Damit wird das Mikrofon eines Computers in eine Abhörwanze verwandelt. Eine Fotokamera in eine ferngesteuerte Spionagekamera zu verwandeln, ist mit GUMFISH möglich.

Solche Angriffe werden wohl in Zukunft noch häufiger vorkommen!

Smarte Fernsehgeräte und Sprachassistenten sind auch Computer, die Teil moderner Spionageaktivitäten werden können.

Der Hardwarehersteller »Purism« zeigt, dass es auch anders geht, wenn man nur will. Die Entwickler haben entschieden, diese Art von Angriffen vollständig zu unterbinden. Wie funktionert das? Über Schalter können Mikrofon und Kamera physisch vom System getrennt werden. Versuche diese Lösung zu hacken, wird für die NSA und alle »Schwesterunternehmen« schwer werden. Die Firma »Purism« ist ein gutes Beispiel, dass Privatsphäre durch den Hersteller geschützt werden kann, wenn man es will!

Die folgenden Links verweisen auf Berichte zu dem Thema:

Artikel in Deutsch
Superfish: Lizard Squad hackt Lenovo-Seite
WikiLeaks: CIA-Tool Athena kapert jeden Windows-PC
Smart Speaker als Dauerwanze und mehr

Artikel in Englisch

TECHNOLOGY The Webcam Hacking Epidemic
Lenovo's Superfish security snafu blows up in its face
Alexa, what other devices are listening to me?
Wikileaks: CIA has tools to snoop via TVs
Chrome Flaw Allows Sites to Secretly Record Audio/Video Without Indication

Google admits its new smart speaker was eavesdropping on users
HP's stupid audio-driver logs every keystroke you make (and it has an API!)
Spying through strangers' webcams just got easier

About the Project


About the project

SecAware4school is a research project that aims to provide students, teachers and parents are informed about the current state of knowledge on questions of information security in everyday school life and for the topic of sensitized.

The appropriation of the careful handling of personal data at the use of internet services and social networks is a key issue in the the focus is on playful and experience-oriented learning scenarios.

On the basis of the playful and experience-oriented learning scenarios researches the current state of information security awareness and trained.

Password length survey


Our survey contained the following question: Wissen Sie/weißt Du, ab wieviele Zeichen ein Kennwort als relativ sicher gilt?

The perfomance of today's computing power is apparently being underestimated. Die Leistungsfähigkeit heutiger Rechenleistung wird offensichtlich unterschätzt.

/images/umfragen/passwortlaenge.png

Ein Passwort das wichtige Kriterien wie große und kleine Buchstaben, Zahlen und Sonderzeichen enthält, aber nur 8 Zeichen lang ist, lässt sich mit Standard-Rechentechnik, sehr schnell entschlüsseln.

For example: Das?145!

Website Estimated computing time
https://checkdeinpasswort.de 8 days
https://howsecureismypassword.net 2 days
https://wiesicheristmeinpasswort.de 3 days
https://password.kaspersky.com 12 days

Weitere Ergebnisse der ersten Umfrage.