Exkursion in die FH St. Pölten zum IT-Security Day 2019

Security Day

Ein Teil der Klasse 4HMB besuchte im Rahmen der Veranstaltung einen Workshop namens „Internet Security“. Es wurde vermittelt, wie bedeutsam die Privatsphäre und der Datenschutz in der heutigen Zeit ist und wie man sich als Nutzer sicher im Web bewegen kann.

Grundsätzlich sollte man immer beachten, welche Inhalte man über sich im Internet veröffentlicht, da die Sammlung von nutzerbezogenen Daten und somit die Erstellung eines individuellen Kundenprofils das Ziel der meisten Online-Unternehmen (z.B.: Amazon, Facebook) ist. Mit dem Einsatz von benutzerbezogenen Daten (z.B. für personalisierte Werbeschaltungen) oder mit dem Verkauf dieser Daten kann sehr viel Geld verdient werden. Dabei werden die ethischen Aspekte oft ignoriert. Der User wird als Produkt gesehen. Er zahlt somit für die Gratisdienste wie z.B.: Gmail mit der Weitergabe vieler persönlicher Daten.

Wenn man Linux als Betriebssystem wählt, schützt man seine Privatsphäre am besten, da nicht wie bei vielen anderen Betriebssystemen, ein Profil erstellt werden muss. Besonders Windows steht dafür in der Kritik. Linux ist jedoch nicht weit verbreitet, da einige Programme nicht mit Linux kompatibel sind. Bei Windows sollte man zumindest seine Privatsphäreneinstellungen überprüfen. Als Browser sollte man Firefox verwenden, wenn man hohe Upload- und Downloadgeschwindigkeit von Daten benötigt (z.B.: TV-Streaming). Der private Modus eines Browsers löscht den aktuellen Verlauf und die gespeicherten Cookies nach dem Schließen des Fensters. Vollkommene Anonymität erhält man mit der Verwendung des Tor-Browsers. Dieser verschlüsselt die IP-Adresse des Benutzers. Man kann somit nicht mehr beispielsweise von Behörden verfolgt werden. Dies nutzen einerseits Kriminelle aber vor allem auch Whistleblowers, Aktivisten und Journalisten von diktatorischen Ländern. Dieser Browser weist aber oft Geschwindigkeitsmängel auf, z.B.: bei Streaming. Ebenfalls muss auf den Einsatz von Anti-Viren-Software und Ad-Blockern geachtet werden.

Bei Messenger-Apps ist der Facebook-Messenger die schlechteste Wahl, weil Facebook sämtliche persönliche Daten speichert, auswertet und für seinen Vorteil verwendet. Wenn man anonym chatten möchte, benutzt man am besten die kostenlose App „Signal“ oder den kostenpflichtigen Schweizer Dienst „Threema“. Signal legt seinen Quellcode offen. WhatsApp weist zwar auch eine Ende-zu-Ende-Verschlüsselung der Nachrichten auf, aber der Quellcode liegt nicht offen und es wird von vielen Experten angenommen, dass Facebook auch hier Daten sammelt.

Zum Abschluss des Workshops beschäftigten wir uns mit dem Thema Metadaten. Das sind Daten, die andere Daten beschreiben. Bei einem Foto sind zum Beispiel der Aufnahmeort und die eingestellte Brennweite usw. die Metadaten. Dadurch muss man sich bewusst sein, dass gewisse Daten in fast allen Fällen mehr Informationen enthalten als wir denken.

Phebe Wegscheider, 4HMB


Wir haben am Workshop “Privacy Diskussion - Wie viel sind Sie wert?” teilgenommen. 

Dort hat uns ein Experte der FH St. Pölten näher erklärt, wie viel unsere Daten wert sind. Wir haben erfahren, dass Daten im Darknet illegal verkauft werden, jedoch die meisten Daten von Apps, Kundenkarten und Internetbrowsern verwendet werden. Diese Daten werden hauptsächlich an Unternehmen verkauft, damit diese  gezielt Werbung schalten und Studien durchführen können. Ob wohl viele Befragte angeben, dass sie nicht  möchten, dass ihre Daten veröffentlicht bzw. verkauft werden, schreckt in der Regel niemand davor zurück, seine Daten beispielsweise beim Abschliessen von Versicherungen, Online-Einkäufen, runter laden von Apps oder  Anmelden in öffentlichen WLAN’s bekannt zu geben.

Daher sollte jeder bewusster darauf achten, wo er seine Daten angibt und was in Folge dann damit geschieht.

Carola, Lena & Christiana, 4HMB

Day

Bericht von Alina Valenta, Bianca Nagl

Am 29.1 fuhren die 4HKMA und die 4HMB mit dem Herr Professor Thöner und dem Herr Professor Berger auf den Security Day 2019 an der FH St. Pölten. Dort wurden verschiede Workshops angeboten,  für welche wir uns im Vorhinein anmelden mussten.

Vor und nach dem jeweiligen Workshop hörten  wir uns Vorträge im Festsaal der FH an.

Ein paar meiner Klassenkollegen und ehemaligen Klassenkollegen und Schüler der 4A, aber auch Schüler von anderen Schulen besuchten den Workshop iOS FORENSIK – UNLOCKING iPHONE SECRETS.

Zuerst sprach der vortragende Professor über die verschiedenen iOS-Versionen, über die App-Security, App-Codesiding  =d.h.: alles  was  auf das iOS-Gerät geht muss über Apple rennen d.h.: wenn man ein Entwickler ist muss man sich als erstes bei Apple registrieren und nachweisen wer man ist, dann bekommt man eine Develop-ID und ein eigenes Zertifikat. Mit diesem Zertifikat kann man dann eine App signen, diese dann an Apple schicken und erst wenn Apple sagt es ist O.K. kommt die App in den App-Store.

Danach sprach er über Sandboxes, d.h.: alles rennt über einen abgeschirmten Bereich und es gibt keine App zu App Kommunikationen außer die, die Apple vorgesehen hat.

Der Begriff Readingonly bedeutet, dass das Betriebssystem während es rennt nicht zu ändern ist. Nur bei einem Update ist dies nicht der Fall, aber nach dem das Update abgeschlossen ist, ist es wieder der Fall.

Kurz darauf sprach er über das Hacken eines Handy über iCloud mithilfe von Fishing-Mails.

Später erklärte der Professor den Begriff „ Jailbreaking“, also den sogenannten Ausbruch aus dem Apple-Gefängnis. Das heißt, dass ich mit meinem Gerät machen will, was ich will und es geht darum, dass man den Root-Zugriff auf seinem Gerät bekommt und selbstständig eine Software nachladen kann oder das Betriebssystem mauten kann.

Eine Liste der Jailbreaks

  • iOS 7: evasi0n, Pangu iOS 7: evasi0n, Pangu
  • iOS 8: TaiG iOS 8: TaiG
  • iOS 9: Pangu iOS 9: Pangu
  • iOS 10: Yalu, Saigon, doubleH3lix, Meridian, g0blin iOS 10: Yalu, Saigon, doubleH3lix, Meridian, g0blin
  • iOS 11: Electra, LineriOS iOS 11: Electra, LineriOS

Nun zur iOS system backups are (and always were) the fastest and easiest way to obtain most data from the iPhone.iOS-Systemsicherungen, sie sind der schnellste und einfachste Weg, um die meisten Daten vom iPhone abzurufen. Technically speaking, iOS has a special backup service running.Technisch gesehen hat iOS einen speziellen Sicherungsdienst, der ausgeführt wird. The role of iTunes (or that open-source library) is simply connecting to that service and sending the “backup” command. Die Rolle von iTunes (oder dieser Open-Source-Bibliothek) besteht einfach darin, eine Verbindung zu diesem Dienst herzustellen und den Befehl „Backup“ zu senden. If a backup password is set (see below), then the service returns an encrypted stream, and there is exactly nothing the app (iTunes or library) can do about it. Wenn ein Sicherungskennwort festgelegt ist, gibt der Dienst einen verschlüsselten Stream zurück und die App kann nichts dagegen tun. A Word on iTunes Backup Encryption

Starting with iOS 3, iTunes backups may have a password – just like the Office documents or ZIP archives.Ab iOS 3 haben iTunes-Sicherungen möglicherweise ein Kennwort - genau wie die Office-Dokumente oder ZIP-Archive. Yet, there are two very special things about iTunes backups. Es gibt jedoch zwei ganz besondere Dinge zu iTunes-Backups.

First, the backup password is the property of the device and not of the backup file (well, the iTunes backup is normally split to multiple files, but in this context it doesn't really matter).Erstens ist das Sicherungskennwort Eigentum des Geräts und nicht der Sicherungsdatei (die iTunes-Sicherung wird normalerweise in mehrere Dateien aufgeteilt, aber in diesem Zusammenhang spielt es keine Rolle). What does that mean for us? If you set a password on one computer (the iPhone must be connected to that computer), all future backups you make from that iPhone will be encrypted with that password regardless of the tool or computer you use to make the backup.Wenn man auf einem Computer ein Kennwort festlegen (das iPhone muss mit diesem Computer verbunden sein), werden alle zukünftigen Sicherungen, die man von diesem iPhone aus erstellen, mit diesem Kennwort verschlüsselt, unabhängig davon, welches Tool oder Computer man für die Sicherung verwenden. Now, if you want to change that password, you'll need to type the old one first.Wenn man dieses Kennwort jetzt ändern möchten, muss man zuerst das alte eingeben.

Second, backups created with and without password have a major difference in how they handle encryption of the keychain and some other critical data (such as related to Health).Zweitens: Sicherungen, die mit und ohne Kennwort erstellt wurden, unterscheiden sich erheblich darin, wie sie mit der Verschlüsselung des Schlüsselbundes und einigen anderen kritischen Daten umgehen (z. B. im Zusammenhang mit der Gesundheit). Keep reading to learn about keychain secrets and the difference between backups with and without a password.

The keychain is system-wide storage (available also in macOS) designed to keep the most sensitive data such as passwords, encryption keys, authentication tokens, and credit card numbers.Der Schlüsselbund ist ein systemweiter Speicher, der die empfindlichsten Daten wie Kennwörter, Verschlüsselungsschlüssel, Authentifizierungs-Token und Kreditkartennummern enthält.

Zwischendurch zeigte er uns ein Video wo zwei Burschen ein Handy anhand des Scannens seines Fingers entsperrte.

Zum Schluss durften wir auf einem Computer ein „gehacktes“ Handy durchstöbern.