 2011. Claudio ist ein Hacker und Open Source Entwickler. Er forscht über private Sachen und Sicherheit. Er ist auch ein Kernmitglied von HaniNet Projekt für Menschenrechte. Er spritzt jetzt sich für Überwachung und hilft Dissidenten und Journalisten. Heute gehen wir durch viele Beispiele von gezielter Überwachung durch Staaten und rund um die Welt. Wir werden sehen, wie wir das konkret verändern können. Vielen Dank und willkommen Claudio. Hallo zusammen. Ich sehe erst mal im Moment noch gar nichts. Ich habe es ein bisschen geändert, worüber ich reden wollte. Ich habe über Überwachungsspreche, Menschenrechtsverteidigung und Angriffe verschiedener Art. In den letzten Jahren haben wir gute Beispiele gesammelt, was das bedeutet und was diese Angriffe machen. Wie die aussehen, wie die durchgeführt werden und haben das erforscht. Ich habe mich unentschieden. Ich werde nicht darüber genau reden, was ich mir über diese Fälle rede. Ich möchte lieber darüber reden, was ich in den letzten Jahren gelernt habe und was es für mich bedeutet hat, dass ich mich damit beschäftigt habe. Kurze Einführung. Ich heiße Claudio, ich bin Hacker und etwas Journalismus mache ich manchmal. Ich arbeite bei CitizenLab als Forscher und arbeite noch beim Center for Internet und Human Rights. Zuerst mal fangen wir damit an mit der Massenüberwachung. Wir haben darüber schon viel gesprochen, viel darüber gelernt in den letzten Jahren. Wir haben viel dafür gekämpft, dass die Öffentlichkeit davon erfährt und sich damit beschäftigt. Snowden hat dafür sehr viel getan und viel Material veröffentlicht. Es wurde viel darüber gesprochen, aber im Allgemeinen war das das Haupte im letzten Jahren. Es gab ein paar Allgemeine Erkenntnisse darüber. Insgesamt kann man sagen, dass ist alles nicht so toll gelaufen. Im Allgemeinen möchte ich sagen, dass wenn man mit der Öffentlichkeit direkt darüber spricht. Dass es mehr um das gezielte Überwachung geht und nicht um die Metadaten. Dass die Metadaten, dass die Sammlung von Metadaten irgendwie okay ist und dass da nichts mit falsch ist. Ich habe dazu gekommen, dass eigentlich ein großer Fehler ist, da so zu denken. Wo es zu Massenüberwachung kommt. Ein paar politische Verbesserungen, ein bisschen politisches Kurs gehabt, zum Beispiel in Deutschland. Wir sind auch die Einzigen, was dagegen gemacht haben. Aber das Größte, was dabei rauskommt, ist auf der Technologie Seite. Da war viel Arbeit dabei, bessere Privattheit, Technologie zu schaffen. Mehr Sicherheit, sicheres Messaging und ganz viel davon wurde bestimmt. Zur Reaktion gegen die Massenüberwachung gemacht? Das Ergebnis davon war, dass Verschlüsselung irgendwie wichtiger wird. Das ist eigentlich eine gute Sache. Man kann nicht alles auf einmal lösen in Sachen Massenüberwachung. Aber das ist die richtige Richtung, in die es geht. Also die Richtung, die gerichtet Überwachung. Wenn man mit spezieller Überwachung oder mit was über Massenüberwachung spricht, dann kann man sie leicht unterscheiden. Aber unter den technischen Aspekten, dann interferieren sie miteinander, die Arbeit miteinander zusammen. Das Beispiel haben wir über große Programme kennengelernt. Innerhalb dieser Programme werden verschiedene Dinge gemacht. Zum einen wird ihn allgemein überwacht, aber auch in spezielle Computer eingebrochen. In End-User oder in die Backbones. Diese verschiedenen Typen von Aktionen hängen im Endeffekt miteinander zusammen. Wenn man dann ein Computer einbricht, dann versucht man im Endeffekt doch wieder an größere Netzwerke zu kommen. Und andersrum werden wir vielleicht nicht an diese Netzwerke gekommen und man sollte vielleicht eigentlich Massenüberwachen. Und meistens wird diese spezielle Überwachung gerechtfertigt mit Terrorismus. Vor einigen Monaten haben wir gelernt, dass es eine Million Menschen gibt auf der FBI-Terror-Watchlist, auf der FBI-Liste. Das sind eine Million Menschen, eine riesige Anzahl. Das richtige Hauptproblem ist, es ist gut, dass wir die Leute zu bringen, zu verschlüsseln. Es ist gut, dass wir sie dazu bringen, darüber nachzudenken, was Anonymität im Netz bedeutet, aber das reicht einfach nicht aus. Nicht vorher erwähnt habe über Verschlüsselung. Sollte man die Angriffe dazu bringen, dass sie nicht mehr so stark das Netz überwachen und dass sie so viel erfahrene mit dem Leben einzeln haben. Die einen, die es nicht schaffen, im Geheim zu kommunizieren und sicher zu sein. Das wird eigentlich nicht funktionieren und es ist nicht übertrieben, wenn wir darüber reden, dass wenn Leute, die außer Alter haben, unseres Feldes kommen, dass es die Leute, die überwacht werden und aus verschiedenen Gründen wissen wir ja nicht, die darüber reden, dass es Paranoid sei, aber das ist es halt eigentlich nicht. Aber diese Leute kriegen ernsthafte Konsequenzen, wenn sie nicht vernünftig verschlüsseln und ernsthafte Gründe. Wir haben dafür drüber lange geredet und wenn ihr euch dafür interessiert und die menschliche Story damit, haben ich und Maureen Morgan vom Lab, das auf dem 30 C3 gezeigt und viele von diesen menschlichen Geschichten präsentiert und wenn dich das interessiert, könnt ihr das auf YouTube und so weiter viel erfinden. Aber ich möchte trotzdem noch ein Beispiel bringen, was wir zu tun haben. In den meisten Fällen, wenn wir darüber nachdenken über Überwachung oder spezielle Überwachung von Einzelpersonen, dann reden wir eben über Regierung, die das tun und es geht um Geheimdienste usw. Von sowohl demokratischen als auch nicht demokratischen Staaten. Ja, und meistens denken wir über das Hacking-Team nach und in der Realität sind das eher Ausnahmen und das ist ein gutes Beispiel, was wir von der Weile gefunden haben. Das Citizen Lab hat etwas im Dezember letzten Jahres veröffentlicht und diese Forschung hat eine neue Art der Überwachung gezeigt. Es ging um Syrien, es geht um eine Stadt in der Nähe von Aleppo und da geht es irgendwie darum, wie diese Region verwaltet werden soll. Also Schulen zu schließen, Dissidenten zu unterdrücken und die Menschen, die gegen das Assad-Regime kämpfen, werden halt unterdrückt. Es gibt eine Gruppe von Aktivisten in Raka, die haben erst mal gesagt, wir waren Aktivisten gegen das Assad-Regime aber irgendwann kam halt ISIS und dann mussten wir halt wechseln und das ist halt irgendwie teilweise noch mutiger, indem wir einfach alles veröffentlichen, was ISIS in unserer Stadt macht und das haben sie gemacht. Sie benutzen das Internet natürlich und sie machen halt Bilder und Videos in den Straßen und zeigen, was da gemacht wird, wenn jemand exekutiert wird, wenn etwas in der Stadt passiert und jetzt zeigen sie dann online und das bekommt ziemlich viel Medienaufmerksamkeit in und außerhalb des Landes und die werden halt stark verfolgt und einer von ihren Mitgliedern wurde angeblich sogar auch gefunden und exekutiert. Also die verstecken sich alle, die können das natürlich nicht öffentlich machen und manche von ihnen mussten sogar schon das Land verlassen und weil sie verstecken vor ihren Feinden, also das kannst du richtig genau so wissen, aber das kann man stark annehmen und sie halt angefangen digital das Digital-Rost zu finden und digital kommst du immer darauf an, die gezielte Überwachung loszuwerden und die Leute benutzen halt E-Mail und dieser E-Mail steht ein ganz fein hergestellter Inhalt und Sony dann sieht sich mit Syrien in Kanada, die damit machen wollen und die wurden halt gefragt, in diesem Entwurf mitzuschreiben und das ist eigentlich eher ein Stück Mailware, Slideshow und Teilgruppe wurden auch durch Facebook verfolgt und wenn das File öffnet, dann kriegen sie es halt ein paar Bilder, Bilder von Syrien unter so ein paar Markierungen, z.B. amerikanische Bomben, also angeblich natürlich und Stellen, wo Exkursionen passieren und man kann da so ein bisschen durch scrollen und wenn man diese Bilder öffnet und diesen Schadcode zu öffnen ist natürlich erstmal rauszufinden, wo die Individuen sind ist erstmal überhaupt nicht sehr fancy, es hat nichts mit Key-Logs zu tun oder Bilder, Snapschüssen oder so was es geht einfach nur um basische Informationen wo sind sie und sind sie online und schicken sie das über E-Mail und das war halt schon genug, um möglicherweise rauszufinden, wo die Leute sind in dieser Gruppe sind und wer das ist und siehst du, wie das fortschreit, es fängt mit einer E-Mail an und dann sterben halt Leute davon, was passiert und sterben wegen irgendwelchen technischen Problemen weil diese Actors halt irgendwie fähig sind, sie online zu verfolgen und das ist sehr interessant, das ist nämlich sehr unkonventionell von dem was wir meistens beobachten und dann sind ein paar Sachen, was wir davon lernen können zum Beispiel, dass wir nicht immer über Regierung reden das sind die großen drei Akteure, die wir da finden wenn wir da suchen, zum Beispiel natürlich erstmal Nation das ist natürlich das Verbreiteste also Regierung, vor allem nicht demokratische, aber auch demokratische die gezielte Überwachung benutzen um Netzwerke von Menschen, die in politischen Aktivismus verstrickt sind auszubringen und sie zu finden und ins Gefängnis zu bringen und das sind natürlich auch seltener Gruppen zum Beispiel Blackhearts, die ihre Dienste natürlich meistens wieder an Nationen verkaufen wo man das zum Beispiel in Iran sieht und anderen Gruppen in den Ländern in den Bereich wo der Staat eigentlich nicht wirklich die Hossosen dafür hat und dann passiert dann das sehr oft und dann haben wir natürlich auch die elektronischen Kriegergruppen Militz Milichas die mit einer bestimmten politischen oder extremistischen Bewegung zusammenhängen und da einfach mitmachen und dann einfach die Opposition zerstören eine Sache, die ich noch verstanden habe noch über die Zeit ist, dass man sich da... dass man... es ist einfach sehr viel bequemer es gezielt zu überwachen als eine Massenüberwachung zu machen weil es einfach viel weniger Bürokratie braucht also wenn du jemanden oder eine Gruppe von Menschen überwachst dann musst du dich nicht mit den Mobilnetzwerk-Providern zusammen tun du musst die ganze Bürokratie nicht durchgehen und die ganze Oberzeit kannst du einfach übergehen und du brauchst einfach nur einen Weg um einen Exploit irgendwie rüberzubringen und den auszunutzen und das funktioniert dann über lange Zeit aus guten Gründen ähnlich haben viele Länder einfach keine richtigen Legislaturrahmenwerke dafür und in Deutschland ist es schon relativ kompliziert aber wenn man zum Beispiel in Italien guckt gibt es halt keine Gesetze, die einfach sagen dass man diese spezielle Technologie benutzt dürfen die haben auch nicht, das ist Technologie und wir müssen wir so unter diesen Kontexten benutzen wie sie das gibt es einfach nicht wie es einfach benutzt wird ist durch Wiretapping und also ähnliche und Archive die hergestellt werden als Boden, als Technologie noch ganz anders war als Politik die wie sie jetzt existiert noch gar nicht und Technologie wie sie jetzt existiert noch gar nicht als möglich wahrgenommen wird und wollen wir das wirklich regulieren das debattieren wir seit ein paar Jahren Italien und Europa und natürlich meistens in den Ländern wo wir rausgefunden haben dass die damit machen und diese Sachen benutzen und sehr viel über Exportkontrollen geredet also wenn die ganze Situation ein bisschen verfolgt dann gibt es auch viele Diskussionen um diese Kontrolle herum und da war nicht so viel Diskussion darüber wie die eigentlich jetzt schon in unseren Ländern benutzt werden also wir reden und umstellen Gesetze her und darum wie wir darum kümmern können dass unsere Länder die Techniken die wir entwickeln nicht benutzen was eigentlich schon ein bisschen höchlerisch ist aber ich selbst finde es eigentlich recht gefährlich Regulation einzuführen und sehr schwerste Kontrollierende und sehr invasive Technologien zu regulieren da muss sehr stark darüber nachgedacht werden also wenn ihr das einmal etabliert dann können wir es nicht wieder wegnehmen und schlimme können natürlich passieren dass es noch mehr die Sensitivität wird und das finden wir nicht sicher ob wir das eigentlich wollen vor allen Dingen wenn die Funktion sehr mit den Betriebssystemen zusammen tun alles abweichen und es einfach keinen guten Weg gibt das Guts überwachen und interessanterweise um diese Diskussion was dazu zufügen gibt es in Italie die ganze Hacking-Team-Situation da war ein großer Artikel von einem Rechtsanwalt in Italien das eigentlich sagte also Italien und andere Länder in Europa die Konvention von Budapest von 2001 unterschrieben haben also eigentlich haben wir beschlossen haben dass alle die Technologie um technische Computersysteme einzubrechen eigentlich verfolgt werden müssen und das machen diese Firmen eigentlich und die Zusammenfassung ist eigentlich das war eigentlich die ganze Zeit illegal es gibt noch eine andere Sache dass diese Dinge von Firmen die nicht Regierungsteile sind hergestellt werden also es wird entweder von einer europäischen Firma hergestellt und gekauft und es kostet vielleicht 100.000 Euro vielleicht 3, 4, 500.000 es ist eigentlich für die Diktatoren nur ein Taschengeld das Problem damit ist dass diese Preise sind so gering dass so viele Regierungen diese Tours verwenden können und wir haben uns ein paar Firmen angeschaut die sowas verkaufen in Deutschland kennt ihr vielleicht einige dieser Firmen es gibt eine Firma eine deutsche Firma in München es gibt verschiedene Exporte aus Deutschland von Fischer und mehrere Infrastrukturen von Fischer über weltweit auch in nicht demokratischen Staaten ähnlich ist es wenn man die letzten Monate beobachtet was da passieren ist mit Hack Team wie diesem League sie sind in Italien, in Mailand und sie haben auch dort wieder in die ganze Welt verkauft und was das passiert ist haben die Leute irgendwie bemerkt da wird ja auch etwas verkauft in die Regimes in die man nicht für demokratisch hält und ja das hat natürlich viel Aufmerksamkeit gebracht eine andere Lehre die wir daraus gezogen haben über unsere Arbeit ist dass diese Tours sehr sehr effektiv sind sie sind ziemlich intelligent geschrieben und entwickelt es sind zwar langweilige Dinge die man beobachtet aber sie sind gut geschrieben wegen der Metadaten, wegen des Kontextes um die Opfer zu identifizieren man kann normalerweise nicht gut feststellen, dass man überwacht wird dass es wirklich schwierig sich dagegen zu wehren und wenn man jemand entdeckt also über das Handy, über den Computer dann kann man wirklich anfangen viel mehr zu finden denn Metadaten verraten viel mehr über einem Benutzer als wirklich die genauen Inhalte von Gesprächen man kann rekonstruieren ganze Netzwerke von Menschen aufdecken anstelle jetzt nur Informationen über Einzelne zu gewinnen und auch das zeigen dass die normalen Leute Verschlüsselung verwenden ist eine gute Idee wie schonmal gesagt aber es reicht halt einfach deswegen nicht aus es ist wirklich auch nicht so einfach was richtig zu tun auch wenn man das immer wieder zeigt es wird immer wieder Fehler gemacht werden wie schon gesagt es ist wirklich schwer dagegen vorzugehen gegen diese Adderüberwachung gegen diese Technik und noch was ich schon erwähnt habe einige Fälle da waren es eigentlich technisch wie immer ohne interessante Sachen nochmal aber es geht um die Metadaten eine andere Sache die wir noch gelernt haben das sind andere in verschiedenen Regionen gibt es verschiedene Arten der Überwachung wenn man die ganze Zeit beobachtet wie die Leute überwacht werden dann gibt es verschiedene Länder die verschiedene Operationen also Wege verfolgen die Leute zu überwachen und zu identifizieren es gibt da verschiedene Beispiele wir haben viel in China beobachtet und in Tibet auch es gab viele Angriffe mit Mailware sie haben immer standardisierte Mailware verwendet manchmal wurde die noch verändert wenn man den Source Code gesehen hat hat man kleine Veränderungen gesehen aber im Endeffekt haben sie eigene Tools verwendet und die konnten wir deswegen gut entdecken und identifizieren und wenn man sieht, dass so etwas passiert dann muss man das unterbinden um diese Mailware unterzubringen haben sie einfache Exploits verwendet also im Prinzip bekannte Exploits man hat verschiedene Angriffe im Prinzip haben sie Briefe verschickt mit Anhängen von Europa oder Amerika mit der Mailware im Anhang das ist so ungefähr die Art in China in Iran läuft das anders da sieht man verschiedene Methoden daran zu gehen zum Beispiel Delfi und dort net wurden angegriffen und da könnte es sein, dass es kleine Gruppen gibt die diese Dinge entwickeln diese Technologien der Überwachung vielleicht schon über 10 Jahre in Syrien ist ein sehr interessanter Fall es ist wirklich schon schwierig für die syrische Regierung überhaupt an Technik heranzukommen sie müssen also Dinge aus dem Iran verwenden oder sie müssen irgendwie freizugängliche Tools aus dem Internet holen Syrien wurde nie trainiert diese Tools auch gut zu verwenden deswegen ist es eigentlich eine gute Sache denn sie haben im Endeffekt immer wieder die gleichen Angriffe die bekannten Angriffe verwendet und im Allgemeinen kann man sich zwar ein bisschen darüber streiten aber es macht etwas schwierig für uns und zu wissen, wer jetzt was machen weil im Prinzip benutzen alle diese Tools weltweit und wenn man so einen Angriff sieht dann ist es schwierig zu entscheiden ob es wirklich mit Syrien zu tun hat in Südamerika es ist ein viel Hacking-Team und Finnfischer wir müssen aber auch viel Java-Rats ganz einfache Hintertüren mit Java basische Dinge, Key-Logging, sowas und das immer über Mobil, Device ist zugreifbar und es ist immer so ein Muster selbst in mehreren Ländern in Südamerika und es ist recht interessant und da erforsche ich noch, wie das läuft ein anderes Beispiel, wo wir ganz viel gearbeitet haben ist Bahrain und Bahrain haben wir eigentlich angefangen diese ganze investigative Forschung zu machen so wie zwischen 2011 und 2012 waren diese Proteste im arabischen Frühling wo viele Angriffe passiert sind gegen politische Präsidenten und Aktivisten die da mitgemacht haben und viele wurden eigentlich schon mit Finnfischer angegriffen und da konnten wir Finnfischer das erste Mal in der Wildnis beobachten das hat eine große, mehrere Jahre lange dauernde Forschungsarbeit ausgelöst wenn wir das ausgucken, ist es schon weniger geworden wahrscheinlich auch durch die Medienaufmerksamkeit die durch unsere Veröffentlichkungen einfach erstanden ist die benutzen es einfach verschiedene Techniken und eine der interessantesten ist einfach soziale Engineering durch soziale Medien zum Beispiel Twitter und Facebook und einfach nicht anderes zu machen als diese Frage Link zu öffnen und der Link wäre einfach eine IP-Spy-Instanz und das kann ganz schnell passieren und überall eingebunden werden wo man dann ganz schnell die IP-Adresse herausfinden von den Leuten die die Seite öffnen und man kann schnell herausfinden welche IP-Adress, wem gehört, dadurch wem die IP-Adress durchstickt wurde und das gilt oft genug gegen Leute die Bilder und Nachrichten und danach protestieren eingesetzt und was auch interessant ist ist eine interessante Lehre ist dass es Leute nicht so häufig sind wie man denkt und Zero Days noch viel weniger die meisten Zero Day Attacks also die meisten Attacks passieren durch Social Engineering und einfach Fishing und Spyber wie Hacky Team, Fintfischer und es gibt da nicht so schrecklich viele Ausnahmen in Pearl Fishing was sehr interessant ist das wird nämlich wenig bedacht wenn man heute anguckt wie Regulation über Exploits und komputer Forschung verwendet werden und natürlich muss man trotzdem Ausnahmen machen es gibt dann immer so ein paar Situationen wo dann trotzdem Zero Days benutzt werden und das sieht man oft in China nicht meistens nicht unbedingt gegen die ziviles Gesellschaft sondern gegen einzelne Akteure wir wissen das Hacky Team und diese ganzen Firmen Zero Days haben aber das benutzen sie wohl nur manchmal um den Profit zu vergrößern durch den Verkauf davon also, Swing or Water kommen wir jetzt so zu dem Part wo ich mich über Dinge beschwere warum ich Sachen tue wie ich es tue was ich oft gefragt werde das erste ist natürlich das alles was wir tun wie ich denke, politische Bedeutung hat und vor allen Dingen wenn ich mit technischen Menschen zu tun habe und komputer Forschern und ich denke alle hier und Leute hier im Camp sind dann eine Ausnahme ich denke Leute die hierher kommen sehen nach was das für Implikation hat für soziale Sachen technische Leute sind es halt nicht man hört halt auch überhaupt nicht und die Firmen ist nicht alle gleich vor allen Dingen nicht in der US-zentrischen Sicherheitsindustrie da sehen wir was was nicht normal ist, ist das irgendwas was sich von einer puren Hardcore Technischen Expecten wegnimmt und dass du dich wegbewegst davon ein Hacker zu sein oder ein Security Typ zu sein dazu ein Aktivist zu sein und das habe ich oft gesehen das finde ich ist doof, dass die Leute nicht politisch sein wollen und ich finde es ist doof weil jeder ist politisch wir haben nicht unbedingt alle hier die gleiche politische Einstellung aber jeder hat eine politische Einstellung und das habe ich daran gesehen, dass applaudiert wurde und es kann nicht so sein dass jeder das gleich macht aber im Endeffekt stellt sich irgendwann heraus dass jeder politisch ist und wir müssen das herausstellen dass wir alle politisch sind und dass wir in einem sehr politischen Kontext tätig sind Cyber Security ist ganz weit oben auf der Liste wir leben in einer Zeit wo wir jeden Tag in den Medien darüber lesen dass es Probleme mit der Internet-Sicherheit gibt mit der Sicherheit in der IT und wenn man die Dinge veröffentlicht die eine Regierung tut auf diesem Gebiet dann ist das politisch und die letzten Jahre etwas nicht zu zeigen ist genauso eine politische Geschichte ich weiß nicht in den letzten 5-6 Jahren wie viele Berichte gab es über die Hacks von Chinesen, von Russen wenn man alles wegnimmt was die Amerikaner die Engländer oder die westlichen Staaten getan haben und es geht darum dass die Leute die darüber Bescheid wissen eventuell auch Dinge nicht veröffentlichen in den letzten 9 Monaten habe ich mich damit beschäftigt mit einigen Veröffentlichungen die sich damit beschäftigen mit der Überwachung und der speziellen Überwachung von den Pfeifeis wir haben zuerst mal darüber geschrieben mit Jakob Appelbaum und wir haben ein Programm enttahnt dass da gehen mit dem Belgerkorps-Hack zusammen zu tun hat was ihr 500-500 schon gehört habt und da gibt es einfach viele Samples bis 2003 zurückreichen oder sogar bis zum Anfang von 2014 reichen wo wir recht sicher waren dass das Überwachungsprogramme waren aus diesen Ländern und ähnlich dazu haben wir ein bisschen danach mit verschiedenen Leuten darüber geredet haben wie gut die NSA exploiting kann und beide von diesen Veröffentlichungen waren sehr interessant wenn es so ein Inwurf vor Sack Community also der Informationssicherheit Industrie kommt, ist das sehr kritisch und ich war sehr erschrocken darüber weil viele Leute beschweren sich über diesen Veröffentlichungen und sagen dass das unverantwortlich wäre aber gleichzeitig veröffentlichen sie Informationen über fremde politische Agenten ohne auch nur mit der Wimper zu zwählen kann und viel kam halt raus darüber dass ich auf Twitter beschwert habe irgendjemand kam dann zu mir über Twitter ich habe hoffentlich gegen Journalisten das sind ihre Jobs ich bin aber anti-snowden aber total dafür Scheiße von ausländischen Diensten zu dropen und wenn er meint wenn er sich fragte ob er voran das hingucken würde wenn seine eigene Regierung das macht dann würde er sagen ja und das ist nicht nur eine Person es ist ein Trend das passiert in der Mehrheit für nicht allen Sicherheitsorganisationen die sich da beschäftigen das ist sehr gefährlich dass dass wir Informationen aus anderen Ländern oder sogar mit uns verbündet sind nicht so auf der politischen Agenda stehen aber es ist ein Problem denn was wir da herstellen ist ein falsches Bild der Welt wir hören den gegen setzlichen Block in dieser politischen Verlandschaft aber wir hören nicht viel über die anderen und wenn wir hören dass unsere Länder noch aggressiver sind und noch mehr diese Sachen benutzen und besonders in der Zeit wo wir über Regulierung und Sanktionen an das Ausland stellen fürs Hacking dann sollten wir das auch selber benutzen in Europa und in westlichen Ländern das ist sonst sehr gefährlich und falsch und besonders für mich finde ich das sehr verstörend denn das ist ein einseitiges sehr enge Blick auf die Sicherheit der Technologie in der Welt in unserer Gesellschaft und im Internet wenn wir alles sehr einseitig herstellen wie die Sicherheit ist und natürlich muss Sicherheit universal sein Leute die in Sicherheitsfirmen arbeiten müssen transnational arbeiten also zwischen Nationen dass Technologie geht über die Grenzen alle das gleiche und die Leute die woanders Hacking kann natürlich genau dasselbe benutzen was die Leute hier gegen uns benutzen dasselbe also Sicherheit ist wenn wir sagen dass Sicherheit nicht universal ist ist es überhaupt keine Sicherheit und die andere Nachricht die ich gelernt habe die andere Lehre die ich gelernt habe ist das was wir machen und manchmal was wir nicht machen als Hackers als Forscherin einen großen Einschluss auf die Gesellschaft und breite Teile der Gesellschaft und wenn es darum geht irgendwelche religiösen Minderheiten oder Bürgerrechtsgruppen die Korruption aufdecken wollen begrenzen ist das sehr wichtig denn nachdem sie wussten dass sie überwacht wurden haben sie einfach aufgehört was sie macht haben sie im Journalismus aufgehört wegen Angst und vor allen Dingen aus Angst das Kontinentswerk nehmen sie sich bewegen zu komprimieren und oft wurde jemand der gezielt beobachtet hat nicht alleine gearbeitet und wenn einer isoliert wird dann wird das meist auf beste Option gesehen es ist es einfach nicht das ist oft so aber gleichzeitig können wir unsere Auswirkungen haben auf die globale Gesellschaft besonders in den letzten paar Jahren Wasenar ist kein Thema was ich sehr mag es ist ein sehr kompliziertes Ding es ist ein bisschen ein Block über Privacy die Kontrollen implementieren wollen aus sehr ernsthaften Gründen es gibt auch ein Block von Sicherheitsresearchern und Technischen Experten die das machen wollen egal was deine Position ist egal ob du das damit einverstanden bist oder nicht ich bin da auch nicht so ganz sicher aber was dabei rauskommt bei der Wasenar Collection das war ein Arrangement von vielen Firmen wo es darum geht Militärequipment zu benutzen und wo auch die Kontrollen dafür eingeführt wurden Intrusen Software also ein brechendes Software sozusagen zu verbreiten und das war meistens ein Resultat der Veröffentlichung die rausgebracht wurden wie diese Sicherheiten von verschiedenen Firmen in verschiedenen Kontexten benutzt wurden und das haben wir daraus genommen wir als Forscher Innen und Hacker diese durch diese Veröffentlichung einen großen Einfluss machen können und dieser Einfluss wurde noch vergrößert auf die höchsten Level von Politik und politischer Arbeit in der Europäischen Union wo es langsam darum geht eine Nation dazu zu bringen ihre Gesetze zu ändern weil diese Gesetze in diesen Missbräuchen mitgemacht haben aber das ist nicht unbedingt gut aber das zeigt, dass wenn wir da wirklich mitmachen dann haben wir diese Informationen veröffentlichen und dann darin aktiv sind und Feedback geben dazu wie Regulation auch für die die gezielt die davon getroffen werden sollen und wir wie Forscher sind einen Einfluss auf diese Gesellschaft haben und ich wiederhole mich da aber besonders jetzt dass diese Regulation gibt ist das sehr kritisch das ist natürlich total langweilig diese scheiß Regulation zu lesen mit diesen hunderten Seiten von der Europäischen Union und eigenen Ländern ist natürlich sehr langweilig aber wenn wir das machen, nicht machen dann macht das halt sonst keiner für uns das ist sehr kritisch, dass wir das machen und damit machen ich komme so langsam hoffentlich zum Ende ich habe noch ein paar bischen Zeit für Fragen, ich hoffe das klappt die warum ich das jetzt so mache ist meistens einfach zweiseitig erstens dass erst mal so menschliche Kosten sind so ich durch die Überwachung, da habe ich drüber geredet aber für mich bin ich auch zu einem Punkt gekommen wo die technische Analyse und die technischen Aspekte einfach viel weniger interessant relevant sind und es einfach mehr an politische Analyse geht und das ist vorallem so, weil ich damit mit diesen Kosten die damit verbunden sind, diese Sachen zu benutzen selber bemerkt habe und der zweite Grund ist das, weil ich mir sehr besorgt bin über die Verbreitung von Überwachung vorallem von gezielter Überwachung generell und das habe ich alles über über Regulation Legitimation aber ich bin auch besorgt über diese Inbalance, die wir da beobachten die zeigt, dass mit genug Mühe und Forschung Software zu knacken Protokolle und Verschlüsselung und so weiter und dass es eher sehr wenig Mühe gibt um Sicherheit zu bauen und Probleme zu fixen und der Strategie zu schaffen und leider ist, weil wir da einfach nicht mit mit nicht mit das meiste kommt aus der Free Software Community und wir können da nicht so richtig was gegenmachen das ist sehr inbalanciert und ich bin da sehr besorgt drüber und was machen wir damit? Natürlich erstmal den Helfen, die gezielt werden das ist natürlich sehr offensichtlich und da sind viele von es gibt große die Gesellschaft braucht viel technische Expertise für Aktivisten, Gruppen, Motten, Journalisten und so weiter und so fort und es ist sehr wichtig, dass wir das verbreiten und das ist vor allen Dingen, weil technischen Leute sollten sich in den politischen Aspekten einbringen das zweite ist, dass in dem wir diese Forschung machen und in dem wir die ganzen Leuten das beibringen und irgendwelche Reporte und Informationen veröffentlichen immer wieder das ist wahrscheinlich das Wichtigste was wir machen können, um dieser Missbrauch von Technologie entgegenzustehen ein bisschen ökonomischen Druck das ist sehr wichtig immer wenn wir irgendwas veröffentlichen immer wenn wir ein bisschen Aktivismus betreiben verbrennen wie es ist und dann wir machen es immer teurer für sie und die gleichen Taktiken wieder gegen uns zu benutzen und es macht es einfach teurer und wenn es das nicht teurer macht macht es das wenigstens nicht billiger meine Hoffnung ist wenigstens dass wir das immer weiter machen und ja manchmal ist das trotzdem sehr langweilig du siehst immer wieder gleichen Sachen wenn du das nicht rein gehst vergiss darüber dass du irgendwelche krassen Software-Teile oder Malware oder Exploits schreibst aber das wird nicht passieren du siehst die langweiligste Scheiße aller Zeiten aber das Wichtige ist nicht dass es nicht technisch sondern es ist politisch in diesem Bereich wo ich das gerade beschrieben habe und wenn wir das immer machen und weiter machen dann kommen wir nicht dahin wo es so einfach ist diese Sachen zu benutzen dass es einfach immer passiert ohne Kontrolle so Menschenrechtsverteidiger werden angegriffen und brauchen viel Technik-Expertise und brauchen viel Software vor allem wegen des Fehlens der Sicherheit der Sichtbarkeit von Bedrohung sorry und das zweite ist dass die meisten einfach nicht so fähig sind da gibt es einfach wenig IT-Stuff oder überhaupt keine Security in diesen Bereichen das reicht einfach nicht also wo ich also hinwöchte ist dass wir als Gemeinschaft wir zusammen wichtige Veränderungen machen können wir haben die Expertise wir haben die Daten die Sichtbarkeit was passiert weil für manche von uns ist das einfach so das Job und geht nicht immer nur darum das zu forschen in der Bürgergesellschaft sondern auch wenn das einfach so sinnlos ist für Sicherheitsfirmen finden wir raus dass jeder Software nutzen gegen Leute die in der Bürgergesellschaft arbeiten also wie wir dieses Problem angehen wollen und eine der Lösung ist lass uns versuchen Leute zu bootstrappen also einfach alle eins zu bringen auch Info-Sag und was auch immer tue dich mit Menschenrecht zusammen zu tun zusammen mit Privatsphäreorganisation diesen ganzen Leuten die da sind und deine Erfahrungen brauchen und lass uns versuchen ein bisschen Bewegung zu machen eine Plattform zu schaffen für Menschen, dass sie zusammenkommen wenn ihr nur 2 Stunden in der Woche habt und da irgendwie mitzumachen zum Beispiel wenn du ein Beta-Tester seid und einfach nur 2 Tage eine Woche im Samstag wo ihr nichts zu tun habt das ist für dich einfach großartig indem ihr einfach eine Webseite von irgendeiner Medienfirma testet weil sie einfach Korruption aufdecken müssen und so weiter und das Klatschen ist genau richtig also wir wollen was Praktisches machen es ist nicht so einfach und ich weiß gar nichts darüber Gewerkschaften zu bauen und ich möchte auch gar nicht in der Position für sein ich möchte diese Situation benutzen um zu diskutieren und rausfinden wie wir das zusammen daran arbeiten können an Dingen die einfach wichtig sind dass irgendwelche blinkenden Kisten für irgendwelche Security Firmen damit sie sich sicher fühlen also haben wir was gemacht es ist ein Anfang wir bauen eine zusammenarbeitende Wissensbasis sozusagen manche wissen was manche arbeiten an Sachen seit einer Weile und da ist jetzt noch kein großer Zentralplatz wo dieses Wissen aufgesammelt wird und die Idee ist zu versuchen diese Information zu sammeln Überwachungsfirmen Verschlüsselungsgesetze alles was irgendwie geschafft eine Geschichte zu bauen wie ist diese negativen Effekte in der Welt passieren wir haben also ein bisschen was aufgebaut wir haben ein bisschen was konstruiert und versuchen das auf dem Technical Contact Village zu diskutieren es ist ganz einfach um Datenstrukturen zu organisieren für Leute die da mitmachen wollen und ich zeige dir euch da gleich ein Beispiel es geht um ein Node.js API Server mit einem Frontend das zeige ich auch gleich und der Anfangspunkt ist eine Plattform zu schaffen für alle Leute die Daten angucken wollen die da interessiert sind und wenn ihr irgendwelche Attacken reden lesen wollt, dann guckt ihr auf dieser Website und könnt es dann öffentlich dokumentieren, das könnt ihr dann analysieren erforschen und mehr Sachen finden und das größere Bild damit zu bauen das wir jetzt noch nicht haben wir haben also ein paar Repositorien also Datenpakete wie wir sie nennen die einfach ein paar Trickdaten präsentieren die irgendwelche File-Hasche extrahieren die vor seit 2 Jahren benutzt werden das war großartig und ich hoffe, dass Leute das benutzen und andere Leute haben geguckt wie Sachen aus Firmen zu extrahieren die Sachen überall in der Welt verkaufen Maria hat gearbeitet an einer Repository-Liste von Security-Herstellern und ein bisschen rauszufinden wie das miteinander zu tun hat und wollen das präsentieren so dass da ein guter Überblick passiert darüber was in verschiedenen Ländern passiert und hoffentlich ein kleines Beispiel dafür wenn du da reingucken willst oder mitmachen willst ist das hier die GitHub-Organisation das ist ein breiter Name wir wollen auch viele Seiten damit zusammenbringen das ist die Karte die wir haben ich habe das jetzt gerade quasi zusammengebaut aber du merkst schon irgendwie wir brauchen halt irgendwas womit wir dann diese Daten angucken kommen wird diese ganze verschiedene Länder in der Welt und suchen dann durch einen API durch GitHub Sachen und extrahieren dann diese Daten über bestimmte Firmen oder Länder oder so und wenn du dann interessiert bist an bestimmten Ländern dann klickst du einfach drauf und guckst was wir da alles haben was wir da alles für verstickte Organisationen haben das war ganz kurz weil wir jetzt keine Zeit mehr haben und ich noch ein paar Fragen antworten wollte zusammen damit das einste großen Problem mit den die ich besprochen habe dass wir noch nicht so sichtbar sind mit Leuten die in der Bürgergesellschaft arbeiten wir sehen keine Angriffe die Leute haben die Expertise und das wissen einfach nicht um herauszufinden wann jemand kompromitiert ist das braucht Zeit und die Leute die zu uns kommen sind meistens false positives und wir wissen was passiert aber Leute die da den Zugang zu haben wir sehen das oft und Leute die in der Info-Seekindustrie arbeiten die eigentlich normalerweise Spione sind aber manche vor diesen Individuen haben eine Verantwortung und veröffentlichen Sachen und kommen oft zu mir und arbeiten mit mir und das ist ein paar Daten die du bestimmt was anfangen kannst dass es wirklich Leute benutzt, Journalisten oder Aktivisten was wir tun und das war sehr hilfreich und gibt andere Situationen in denen so was passieren kann auch mit anderen Instanzen und wir bauen diese Missionsplattform für alle die da mit die nicht ihren Namen auf sensible Teile von Daten bauen stellen gekommen ist dieses Onion dass du versuchen kannst wir akzeptieren alle möglichen Daten ich hoffe dass wir verschiedene Leute und Organisationen aus verschiedenen Backgrounds aus verschiedenen Themen zusammenkriegen und damit machen und diese Daten auch annehmen wenn du zum Beispiel eine Organisation bist die zum Beispiel gegen Zensur arbeitet und wenn ihr dann lernt wie verschiedene Länder versuchen Zensur zu betreiben und könnt es dann organisatorisch erforschen und dadurch eine ganze Community bauen das ist eigentlich ganz einfach da sehe ich ein paar Beispiele du gibst einfach eine kurze Beschreibung darüber was da los ist und das File was du läst und dann geht es auch gut das war es dann auch schon hoffentlich ist das ein Startpunkt und das ist wirklich was sehr einfaches ich hoffe das hilft einfach und über diese Sachen herauszufinden und über die Zeit raus zu schaffen dass diese Community dann aus uns allen wächst und wir dann gute Dinge für sie tun das habe ich nicht alleine gemacht das möchte ich allen Leuten danken die wir da geholfen haben über die Jahre vor allen Dingen Brennan Novak wenn du vielleicht aufstehen könntest die ganzen letzten Tage verbracht mehrere Stunden pro Tag diesen Zeug zu bauen in Javascript wo ich keine Ahnung habe wie das funktioniert also vielen Dank wenn du mehr darüber erfahren willst wie das funktioniert und können wir gerne zusammenkommen darüber zusammen dann diskutieren das war es also vielen Dank fürs kommen also wenn ihr ein paar Fragen habt könnt ihr vielleicht noch ein bisschen Zeit vier Minuten haben wir noch also vielen Dank um Fragen zu stellen wir haben zwei Mikrofone auf der linken und auf der rechten Seite bitte Komfort und stellt eure Fragen ja, gibt es Fragen? ja, dann scheinbar nicht dann danke nochmal also vielen Dank danke an Claudio für seinen Vortrag