 Er hat etwas geflackert zum Anfang meines Vortrags. Hallo und mein Name ist Markus Schuhrer. Ich komme von der Universität Alben-Sankt-Hölten im Bereich IT-Sectuality. Der Vortrag heute ist über Tracker und wie man sie wieder los wird. Unsere Mission als Silky-Dee-Leute ist, die Tracker los zu werden. Ich werde ein bisschen Forschung vorstellen und wie man effektiv Tracker blocken kann. Und von einem anderen Projekt, dem ich arbeite, wie man diese Trackerblocking leichter benutzt werden kann. Ich weiß nicht, wer von euch den Vortrag über Privacy-Patcher gesehen hat. Ein paar Hände sehe ich. Ich bin sehr bei dem Thema. Und ich werde jetzt nur kurz über diese Bedrohung des Online-Entstechenings sprechen. Dieses Bild hier ist der Klassiker. Man sah es schon vor zehn Jahren. Und nach zehn Jahren trifft das alles nicht mehr in einem zukünftigen Vorträgen. Ist das jetzt hier der neue Karton, den ich benutze? Über die Privatsphäre auch im Internet. Es ist ziemlich cool, weil es das ganze Problem des Online-Entstechenings darstellt. Wenn ich vor meinem Kamin mein Artikel lese, früher war das mein Privat. Und heutzutage gucken alle zu Facebook, NSA. Google ist natürlich dabei und observiert das gesamte System. Ihr gebt eine ganze Menge private Information und Preise. Das sicherlich das schmussigste Beispiel für dieses Thema ist. Ein Beispiel aus Wien. Das ist jetzt von einem Kollegen eine Übersetzung ins Englische. Es ist nicht für jeden offensichtlich Daniel Krabb. Ebenfalls ein Österreicher. Und er hat dann nachdem er Google-Anfragen gemacht hat zu Krebs, hat der Werbung bekommen, Online-Werbung für Bestattung, Beerdigung. Und das ist so ziemlich der grösste, episches Versagen, Epic Fail, dass wir für Werbe-Netzwerke beobachtet haben, weil es einfach geschmacklos ist. Aber natürlich sind auch Regierungsorganisationen ein Problem. Was wir durch die Snowden-Aufdeckung gelernt haben, dass die NSA Cookies abhört. Und dadurch dann halt die ganzen Werbeunternehmen tracked. Und dadurch auch die User dieser Leute, die von den Werbe-Netzwerken getrackt haben, tracked. Und dadurch haben wir halt das Problem, und dann gab es natürlich auch Pläne, die Identität von Tor-Nutzern aufzudecken. Und man muss natürlich bedenken, dass diese Leute, die Tor benutzen, in der Regel ihre und mit Hilfe der Werbe-Cookies, können sie halt auch Tor-Nutzer identifizieren. Und dann gibt es natürlich noch Zielauswahl, um bestimmte Personen, um bestimmte Netzwerke anzugreifen, indem sie halt die Admins angreifen, indem sie versuchen zu verstehen, wie denkt das Ziel, was bewegt das Ziel, um halt mehr über das Ziel, das sie angreifen wollen, auf persönlicher Ebene herauszufinden. Und das funktioniert dann auch über Daten, die durch das mobile Telefon geleckt werden. Und das sind so die größten Gefahren für uns durch Trapping-Firm, die Profile von deinem Surfer-Halten machen, deine E-Mail-Gesichte und dann natürlich auch noch die Regierungsorganisation andererseits. Der andere Teil meines Vortrags-Fokus beschäftigt sich mit, um dieses Wettrüsten zwischen Trackern und Blockern zu beleuchten, weil ich werde über Brausarbeitung später sprechen. Was das Effizienteste ist am Moment ist, ist eine Brausextension. Also es gibt so viele davon. Und hier auf der Folie sind die am beliebtesten, ich denke mal die meisten von euch benutzen einige davon, von diesen Blockern auf der Liste. Und ich werde mehr in Details gehen. Und ich werde auf den nächsten Seiten mehr ins Detail gehen. Das beliebteste worden ist Adblock Plus. Und wir sehen einige Extensions. Und die Filterrogel von Adblock Plus werden auch bei anderen Filtern benutzt. Und ein neues, und da gibt es auch noch Hublock, welches relativ neu ist, und natürlich Privacy Badger. Weil nicht jeder den Talk über Privacy Badger gehört hat, werde ich Ihnen noch kurz erklären. Wir sehen, dass es Adblock Plus 20 Millionen Nutzer hat. Und es ist deswegen sehr weit verbreitet. Das Problem mit Adblock Plus ist aber, ihre Regeln zum Blocken sind sehr gut, aber das Kontroverse ist, weil 2012 dieses akzeptable Werbung-Programm gestartet haben, wo sie dann Abmachungen gemacht haben mit Google und Amazon, sodass deren Tracking-Code und Werbung nicht geblockt wird. Und wenn man jetzt Adblock Platz benutzt, dann kann man halt nicht Google oder Amazon Werbung blocken. Und deswegen geht das Tracking weiter. Dann gibt es noch Adblock, welches sehr ähnlich zu Adblock Plus ist, was einfach dazu da ist, um Chrome zu nutzen, weil Adblock Plus nicht in Chrome läuft. Hublock ist eine neue Browser-Weitung, die die Regeln von Adblock Plus nutzt und auch den S-Listen benutzt. Und es gibt also auch keine akzeptable Werbung. Und das ist alles Open Source auf GitHub. Und diese Erweiterung empfehle ich daher. Die anderen Extensions, die ebenfalls noch richtig interessant sind, neben Adblockern sind Extensions, und die Tracker ist der Populäst des Coastery. Wer hat hier Coastery installiert? Ja, eine ganze Menge. Coastery funktioniert eigentlich relativ gut. Das Problem ist, dass man einen Optimt für Blocking machen muss. Aber ich denke, dass jeder bereits weiß, wie man das anschaltet. Nur, dass man drüber nachdenkt. Das andere ist DisconnectMe, ähnlich zu Coastery. Es ist auch in Firefox bereits enthalten. Ein eingebauter Trackerblocker und Privacy Batchel, wo ich auch nochmal darauf hinweise, dass man sich den Privacy Batchel Vortrag anguckt. Privacy Batchel basiert auf Horistik, auf Regeln, und Antart auf Filterregeln. Privacy Batchel ist eine wirklich tolle Idee. Und die Sache, und mit uns meine ich, wir Forscher, wir fragen uns, wie effektiv diese Tools sind. Mit Coastery haben wir diese Blasen, mit AdWords Blast haben wir einige Werbungen, die halt weg ist. Und dann sieht das natürlich so aus, als wenn es gut funktioniert. Aber dann wollen wir wissen, wie effizient die wirklich sind. Das ist in einer Kollaboration mit Georg Maskovnik. Georg Maskovnik ist ein sehr talentierter Programmierer, der das alles implementiert hat. Und da haben wir jetzt 200.000 Websites gekreut und verschiedene Subseiten und ungefähr halb eine Milliarde Websiten. Und wir haben diese Browser automatisiert, den Traffic zu analysieren und wir haben den Traffic gesammelt, um zu schauen, wie effektiv das alles ist, um die Leute davon zu schützen, getrackt zu werden. Die nächsten Parfolien, das ist alles sehr frische Forschung. Die Abbildungen sind nicht unbedingt so schön zu lesen und nicht so gut gelöst, wie wir es gerne hätten. Aber was man hier halt sieht, ist, wer sind die stärksten Tracker? Was sind die Firmen, die am meisten tracken? Wenn man auf diese Tabelle schaut, auf der rechten Seite, oben rechts, man sieht wirklich, dass Google wirklich der größte Player in Web ist. Dann natürlich der App Provider. Da beklickt ebenfalls von Google, Facebook ist ebenfalls sehr beliebt und die Grafen schauen. Und deswegen macht es wirklich Sinn, große Datenmengen zu analysieren, um das Ganze zu verstehen und andere Forschungsgruppen arbeiten nur mit 100 Website und damit wirklich ein großes Probe haben. Und in Asien gibt es für Baidu halt einen größeren Market Share und deswegen ist es halt, also sieht man halt, wo die ganze Google-Service ist, weniger sind da bei Baidu mehr, weil das eine halt in China beliebt, da ist alles andersrum. Die andere Tabelle, diese Tabelle ist leider sehr schwer zu lesen, mit dem großen Projektor ist es vielleicht doch zu lesen, aber die Sache ist, dass die Haupt-Tracking-Domains, und wir wollten sehen, wie effektiv die verschiedenen Tools da drin sind, die Sachen zu blocken und zu unserer Überraschung oder nicht zu Überraschung. Und Ghost Stories wirklich am besten hier. Die erste Spalte ist, wie viele, wenn man halt keine Blocking-Exensions benutzt, also wer Tracked ein und dann kann man halt sehen, dass einige diese Domains zu 0% gehen bei einigen Blockern. Und Ghost Stories ist effektiv darin, alles zu blocken. Ich bin mir nicht sicher. Und da gibt es einige Domains, die Ghost Stories nicht blockt, also zum Beispiel hier API, so von APIs und einige wichtige Funktional-Elemente. Aber es ist nicht wirklich Tracking. Das war jetzt um den, für den letzten Teil vorzubereiten, über den ich jetzt sprechen möchte. Ich habe euch diese ganzen Extensions gezeigt, was ich aber wirklich tun wollte, war in diesem Projekt. Wir wollten das Tracker-Blocking ein bisschen leichter benutzbar machen und auch über gewisse Nachteile und Vorteile, solcher Lösungen zu reden. Und das ist jetzt die Usable Privacy Box. Es ist ein Open Source Projekt und ich hatte kurz Glück, dass ich von der Internet-Fordation in Österreich Unterstützung und Finanzierung bekommen. Die Idee dahinter ist, eine Commodity-Hardware, also ein Raspberry Pi mit einem Wifi-Dongel zu benutzen und das Ganze mit möglichst ohne Konfiguration benutzbar zu machen. Dieser Hype für Raspberry Pi geht immer in Wellen rauf und runter. Meine Freunde haben jetzt 5 Stück gekauft, jetzt liegen die alle unbenutzt herum. Wenn wir benutzen, um TV zu gucken oder so etwas, ich möchte, dass ihr ein Pi nimmt und unsere Software rauf tut und wir hoffen, dass Leute das ausprobieren. Die ersten Prototypen auf der linken Seite sind auf einem Schreibtisch in St. Pölten. Das andere ist live und will. In den Niederlanden im Camp. Auch großartiges Camp. Auch großartig geht dahin, wenn ihr Zeit habt. Ich habe jetzt einfach nur ein paar Kabelbinder benutzt, um meinen Hotspot aufzubauen. Das könnt ihr auch ausprobieren. Was wir als Nächstes produzieren wollen, ist ein schönes Case. Wir wollen an der Software arbeiten, was mich zum nächsten Punkt bringt. Was tut das Ganze jetzt? Wir wollen eine Art DNS Blacklist benutzen, die Google Analytics als Beispiel auf ein anderes Haus geleitet wird und setzt die Kokis dieser Domänen zurück. Das heißt, verbindest dich einfach nur aus Wienland und wirst deine ganzen Kokis los. Ebenfalls ein transparenter Proxy. Einige von euch kennen das vielleicht. Google das mal. Das indiziert auch noch CSS in die Webseite und blockt damit Werbung und dann noch ein weiterer Werbe- und Schleckerblocker, die auch in App funktionieren für Websites und auch für Mobilfone funktionieren. Netzwerksblockieren ist schwierig. Du verbindest dich mit deinem Netzwerk und wenn man ein altes Telefon hat mit WLAN, dann kann man einfach das an den Access Point verbinden und dann funktioniert es, weil der Access Point alles blockiert und nicht das Handy. Das Ding ist natürlich, man kann nicht so einfach Drittparteien erkennen, also Dritte. Mit einer Brausextension ist es wesentlich einfacher, man kann nicht so einfach drittparteien erkennen, was geblockt wird. Das ist schwieriger bei Netzwerkblocking. Es gibt noch ein weiteres Problem. Das ist vielleicht ein Privatsphäre, das Problem ist natürlich auch, dass viele Webseiten jetzt Verschlüsselung verwenden. Was gut ist, weil man keine Verschlüsselung weil das alles verschlüsselt ist, dass man die Extension den Traffic nicht analysieren kann, weil er verschlüsselt ist und einen auch nicht schützen kann. Deswegen sind einige Tracker schwieriger zu blocken, zum Beispiel der Facebook Like Button, weil er komplett verschlüsselt ist. Es ist auf derselben Domäne, wie die Haupt-Facebook-Webseite, man kann die Webseite nicht blocken. Ich würde es gerne tun, aber dann wären die Leute sauer, die Facebook nicht mehr anzuerfen können. Das andere ist Tor, also Onion Routing mit Tor. Wir haben uns entschieden, das zu deaktivieren, also dieses Feature zu deaktivieren. Und da ist keine Magie, es gibt also keine magischen Dropboxen, es kann immer schief gehen, weil was wir halt machen ist, und wir sorgen einfach dafür, dass der das Tor-Browser-Bundl runterlädt, was gut vorkonfiguriert ist. Und das ist eben der effektivste Weg, um Tracker zu blockieren, weil das alles gut konfiguriert ist dafür. Wenn man also etwas Kritisches macht, sollte man halt nicht die normalen Browser benutzen, sondern etwas vorgefertigt ist, wie das Tor-Bundl. Und dann gibt es auch noch einen VPN-Service, der von der Privacybox angeboten wird. Also es ist mit OpenVPN installiert. Wir versuchen IP6 zum Laufen zu bringen, es gibt einige Netzwerke, Leute hier auf dem Camp, die das hassen, damit zu arbeiten. Aber OpenVPN ist wirklich nett, man kann es mit einem Proxy-Brau benutzen. Und deswegen ist es eine gute Option, um, okay, das habe ich nicht ganz verstanden. Die Herausforderung hier ist, die Installation ist nicht so einfach, man muss halt das Port-Forwarding einrichten und man muss sich natürlich darum kümmern, die wechselnden IPs beim Provider zu managen. Und der Plan für das nächste Projekt ist, dass wir es auf GitHub veröffentlichen. Nächste Folie. Nur, dass das Image ein bisschen kleiner machen kann. Wir wollen es am Ende des Jahres veröffentlichen. Da sind viele begabte Studenten und Leute, die mir helfen. Ich mache das nicht alles selbst. Aaron, Alex, Anton, die machen ganz Netzwerk und Härtung machen. Jürgen Tübers, die zwei Bachelorstudenten, die sehr gute Programmierer sind. Auch begeistert von dem Thema, dann haben wir usability Leute, einige, die mich den Case helfen. Ich bin sehr froh, mit einem kleinen guten Team zu arbeiten. Das führt mich jetzt zu meiner letzten Folie. Was soll ihr jetzt mitnehmen von dieser Präsentation? Kurz und knapp. Wir haben einen Rüstungswettlauf zwischen Tracker und Blocker angefangen. At Block Class hat jetzt ein Gericht erfahren in Deutschland. Dadurch, dass es eben Werbung blockiert, verlieren Herausgeber 5. Die Einnahmen werden reduziert. Ein ehemaliger Google-Mitarbeiter arbeitet daran, Tracking und Werbemethoden zu entwickeln, die schwieriger zu blocken sind. Da sind eine ganze Menge Sachen passieren jetzt. Ich glaube, bis zu einem gewissen Grenze sind diese Browser-Extension relativ effektiv. Privacy Berger und U-Blocks sind relativ gut. Mit Disconnect sind Open-Sources funktionieren gut. Dann habe ich über User-Block berichtet, wo das Stil ist, die Sachen Zero-Contract zu machen, sodass man nichts konfigurieren muss, sodass man eben das alles nicht machen muss. Wo man eben Ghostry einschaltet und wo man mit all diesen Sachen nicht mit At Block Class herum zu formeln, irgendetwas, was ich eben auch meinen Eltern zu Hause geben könnte und die schließen das an und dann sind sie zufrieden. Und wie ich bereits sagte, wenn ihr also einen Raspberry Pi irgendwo rumliegen habt, macht das auf der Dual-Pri-Box drauf und benutzt das. Das ist offensichtlich für jeden, der programmiert. Prototyping ist leicht. Produktives Set-Up ist relativ schwer. Wenn ihr jetzt noch an Other-Fluid denkt, es gibt einen Onion-Pi, einen Blocker, wenn ihr jetzt für diesen kleinen Autos zu einer hilfreichen und stabile Version zu kommen, das ist eben nicht einfach. Das ist aber jetzt auch nicht überraschend. Ihr werdet wissen, wir arbeiten hart daran. Wenn ihr also informiert bleiben wollt, wann auch der Public Release kommt, das hier ist unser Twitter-Account. Wenn ihr nicht die Chance habt, mit mir heute noch zu sprechen, das ist .org hier auf der E-Mail-Adresse, markus.apprybox.org. Vielen Dank für's Zuhören. Ich hoffe, ihr habt etwas Neues gelernt und hoffentlich habt ihr auch ein paar interessante Fragen. Applaus aus dem Publikum. Vielen Dank. Vielen Dank fürs Huber für deinen Vortrag. Wir sind etwas kurz in der Zeit, deswegen nur kurze Fragen. Und wenn ihr mehr Fragen habt, dann geht bitte draußen vor das Zelt. Ein bis zwei Fragen, bitte. Eine Frage. Hat ihr eine Kombination mit NoScript versucht, mit einigen von diesen Tools? NoScript und Request Policy sind das, was die meisten Leute auf dem Camp nutzen. Aber es ist einfach nicht brauchbar für die normalen Menschen. Die meisten Leute hier mögen NoScript sehr gerne. Es ist sehr effektiv, aber jeder nicht vom Camp hat Probleme, das zu benutzen. Deswegen haben wir es nicht mit raufgenommen. Hat das deine Frage beantwortet? Ich wollte wissen, ob ihr irgendwelche Vorschläge für die Publisher habt. Ich habe die Frage nicht verstanden. Vorschläge für Publisher, die Werbung haben und Einnahmen damit erzeugen wollen, die davon einhalten. Ich habe die Frage nicht verstanden. Ich habe die Frage nicht verstanden. Ich habe die Frage nicht verstanden. Ich habe die Frage nicht verstanden. Ich habe die Frage nicht verstanden. Ich sehe das Problem. Es gibt auch etwas wie Grasloots-Campagnes und OpenStars Leute, die von Werbung abhängig sind. Ich schlage Micro-Primand-Systeme, die ichrzyme vor. Ich glaube es ist Es ist nicht gut, wenn jemand Tracking einzuschalten, ist nicht so gut. Für großen Medienhäuser ist es ein Problem, die Leute blockieren. Wenn man jetzt eine große Publisher ist, dann poliziert man eigentlich Filme oder Nachrichten mit Werbung. Inzwischen guckt man Filme, die mit Product Placement und Werbung geflastert sind. Für kleinere Webseiten schlage ich vor, mit Spenden zu arbeiten und keine Werbung zu machen. Weitere Fragen könnt ihr euch draußen austauschen. Vielen Dank für diesen Vortrag.