847 views
# IT Sicherheit @ rC3 **Vortrag auf dem rC3 27.12.2021 - 18:00** Lizenz soweit nicht anders angegben: [CC BY Ralf Anske](https://creativecommons.org/licenses/by/4.0/deed.de) Kontakt: ralf@cyber4edu.org oder Twitter: @Ralf_Anske Quellcode hier: https://ralfanske.de/bq.zip (Achtung: ältere PHP-Version nutzen, getestet mit 5.6) ## Experimente ### Teil 1 - Phishing ### Teil 2 - SQL-Injection und Brute Force ## Grundlagen der IT-Sicherheit Da die Digitalisierung in den Schulen immer stärkeren Einzug nimmt, gewinnt die IT-Sicherheit für Lehrkräfte an Bedeutung. In der Fortbildung werden folgende Schwerpunkte gesetzt: 1. Welche Programme benötige ich auf Rechnern / Smartphones / Tablets? 2. Sicherheit durch geeignete Wahl von Passwörtern ◦ Nutzung eines Passwortmanagers ◦ Nutzung von Zwei-Faktor-Authentisierung zur Erhöhung der Sicherheit 1. Was macht ein sicheres WLAN aus? 2. Sicherheit mit E-Mails (Phishing, Authentizität) 3. Webbrowser-Einstellungen für ein sichereres Surfen im Internet 4. Was ist ein Virus, wie arbeitet er und was tue ich, wenn mein Rechner infiziert ist? 5. Wie erstelle ich eine Sicherungskopie meiner Daten? ___ ## :memo: Programme + Firewall + Anti-VirenScanner + aktuelle Programme -> Updates + Schauen, dass keine Adware heruntergeladen wird ___ ## :memo: Was ist ein sicheres Passwort? + Passwortwahl + Rücksetzungs-Optionen + 2 Faktor Authentifizierung + keine Biometrischen Passwörter: + https://media.ccc.de/v/biometrie-s8-iris-fun ### wie sicher ist mein Passwort + https://checkdeinpasswort.de + https://haveibeenpwned.com + https://www.youtube.com/watch?v=jtFc6B5lmIM ### Hilfe beim Ausdenken von Passwörtern + https://passwort-schluessel.de + https://passwort-schluessel.de/fileadmin/media/documents/Passwort-Schluessel-Automat/Passwort-Schluessel_Uebung-Beispiel.pdf + https://passwort-schluessel.de/fileadmin/media/documents/Passwort-Schluessel-Automat/Passwort-Schluessel_Lehrerhandzettel.pdf + Diceware - Methode https://theworld.com/~reinhold/diceware_german.txt 5x würfeln und wort nehmen 5 - 6 Wörter nutzen ### Passwortmanager - https://www.youtube.com/watch?v=zLTJaf1Weq4 -> so many tabs + https://keepassxc.org -> Passwortmanager + https://www.kuketz-blog.de/keepassxc-auto-type-und-browser-add-on-im-alltag-nutzen-passwoerter-teil1/ - KeePassXC (Win, Mac, Linux, Android) https://keepassxc.org/download/ ___ ## :memo: WLAN + Webinterface abdichten (sicheres Passwort wählen) + WLAN Vorkehrungen + WLAN-Namen ändern + WLAN Passwort ändern + kein WPA2 mehr nutzen, besser WPA3 + ansonsten Passwort von 20 bis 30 Zeichen + Brute-Force Angriff sonst möglich + bei WPA3 lässt sich jeweils nur ein PW testen + ist aber nicht immer möglich ___ ## :memo: E-Mails + Demonstration + wie fälsche ich Emails + Option: Emailverschlüsselung + Authentifizierung + https://www.youtube.com/watch?v=4mbryW8fZrA + keine Links anklicken + vorsicht bei Anhängen + doc und co vermeiden ___ ## :memo: Webbrowser-Einstellungen + Aktuell bleiben + Add-ons ausmisten + Berechtigungen checken + Tracker blockieren + Einstellen unter Datenschutz und Sicherheit + auf Adressen achten + ist die ULR auch die richtige? + Einstellungen: + https://www.internet-abc.de/eltern/browser-sicherheit-beim-surfen/ + JavaScript + Cookies + Drittanbieter-Cookies + Tracker + prüfen + Lightbean - Vorführung + welche Tracker schauen mir gerade beim Surfen zu + Empfehlungen: + https://www.torproject.org/download/ + https://brave.com/de/ + https://www.kuketz-blog.de/empfehlungsecke/ + 3-Browser-Prinzip + https://www.kuketz-blog.de/das-3-browser-konzept-not-my-data-teil2/ + auf HTTPS achten + https://www.youtube.com/watch?v=tW1-CmggG9s + Anonym Surfen + https://www.youtube.com/watch?v=OpSUmuG3Bp8 --- ## :memo: Datenschutz / Datensicherheit + Was ist was: https://www.youtube.com/watch?v=eO7p5_3bVu4 + Datenschutz: https://www.youtube.com/watch?v=JwgHfM5pEAM + nur notwendige Daten erhaben + WhatsApp Adressbuch + Daten vor fremden Zugriff nutzen + https://www.youtube.com/watch?v=FhGD_lelxmY + Updates -> OS, Browser, Email + Adblocker + Firewall + Virenscanner + Verschlüsselung + Windows: + https://www.heise.de/tipps-tricks/BitLocker-auf-Windows-10-Festplatte-richtig-verschluesseln-4325375.html + https://support.microsoft.com/de-de/windows/aktivieren-der-geräteverschlüsselung-0c453637-bc88-5f74-5105-741561aae838 + Mac: https://www.maceinsteiger.de/how-to/festplatte-verschlusseln/ + Backup ___ ## :memo: Viren - https://www.internet-abc.de/lehrkraefte/unterrichtsmaterialien-lernmodul-viren-computerkrankheiten/ - CD zum Prüfen auf Viren https://www.heise.de/download/product/desinfect-71642 - Übersichten - https://www.chip.de/bestenlisten/Bestenliste-Antivirenprogramme-Windows--index/index/id/1451/ - https://www.heise.de/download/specials/Virenschutz-Antivirus-Programme-im-Vergleich-5061832 ___ ## :memo: Sicherungskopie - Wie mache ich ein Backup meiner Daten - Daten verschlüsseln - https://www.youtube.com/watch?v=IhoG37uis3k ___ ## :memo: Literaturhinweise - https://www.internet-abc.de/lehrkraefte/internet-abc-fuer-lehrkraefte/ - https://www.lehrer-online.de/fokusthemen/dossier/do/it-sicherheit-und-datenschutz-in-schule-und-unterricht/ - https://linus-neumann.de/2019/02/zu-gast-beim-kinderkanal/#more-3302 - https://media.ccc.de/v/35c3-9716-du_kannst_alles_hacken_du_darfst_dich_nur_nicht_erwischen_lassen - Checkliste der CT: https://ftp.heise.de/ct/listings/2020/20/checkliste2021.pdf - Videos: - Tincon 2019 https://www.youtube.com/watch?v=fOsKt1HXQZU - https://media.ccc.de/v/36c3-11175-hirne_hacken - https://linus-neumann.de/2019/01/lehren-aus-den-doxing-angriffen/ ## Zusammenfassung von Linus Neumann (Quelle: https://linus-neumann.de/2019/01/lehren-aus-den-doxing-angriffen/) + Passwörter + nicht erratbar! (am besten zufällig und ohne jegliches System) + so lang wie möglich + überall ein unterschiedliches + die verschiedenen Passwörter im Password-Safe verschlüsselt und gut gesichert aufbewahren. + Regelmäßiges, räumlich getrenntes Backup vom Password-Safe pflegen! + 2-Faktor-Authentisierung bei den wichtigsten Accounts aktivieren + besonders wichtig ist der E-Mail-Account, aber auch Facebook, Twitter, etc. bieten entsprechende Optionen! + Fragen zur Passwortwiederherstellung + unbrauchbare, möglichst lange Antworten, die nichts mit der Frage zu tun haben! Der Zoo der Lieblingstiere ist klein, der Geburtsname der Mutter leicht herauszufinden! + Aufbewahrung der wirren Antworten im Password-Safe (für den Fall der Fälle) + niemals Facebook nutzen + niemals Facebook-Authentication nutzen + sie erleichtert es einem Angreifer, weitere Accounts zu übernehmen + Am besten separate Accounts für Passwortwiederherstellung nutzen + eine andere E-Mail-Adresse als die Primäradresse zur Anmeldung von Accounts nutzen. + Diese Adresse kann geheim bleiben und sollte nicht zur Kommunikation genutzt werden. + Konfiguration des E-mail-Clients (falls einer genutzt wird) + HTML deaktivieren + externe Inhalte nachladen deaktivieren + Vorsicht bei Anhänge und Links in unerwarteten E-Mails + Am besten angewöhnen, NIE Links in E-Mails zu klicken, sondern immer manuell zum Anbieter zu surfen. + Systeme und Software immer auf dem aktuellen Stand halten: + Updates kommen nicht umsonst – und kosten in der Regel nichts! + So oft wie möglich Backups machen + Nichts anderes hilft, wenn das Gerät verloren geht, Kaffee reingegossen wird, oder doch mal eine Ransomware zuschlägt! + Full Disk Encryption + Die Vollverschlüsselung aller Datenträger sollte aktiviert sein. Sehr wichtig, wenn das Gerät verloren geht, gestohlen wird, o.ä. + Lokale Platte + USB-Sticks + Backups ## Unterrichtsreihe – Gefahren für Webseiten | Inhalt | Material | Status :smile: :expressionless: :worried: | | -------- | -------- | -------- | | Aufbau des Internets | Film: Sendung mit der Maus https://www.youtube.com/watch?v=fpqhjEtznVk | | | Komponenten des Internets | AB mit den Komponenten | | | Wie ist ein kleines Netzwerk aufgebaut | Filius + Anleitung: https://www.lernsoftware-filius.de/ | | | Einstellen von IP-Adressen | Filius + Anleitung https://www.lernsoftware-filius.de/ | | | Bauen eines kleinen Netzwerkes | Filius + Anleitung https://www.lernsoftware-filius.de/ | | | Was ist XAMPP | https://www.apachefriends.org/index.html | | | Starten von XAMPP und erstes kleines Beispiel | | | | Grundlagen von HTML | | | | Formulare mit HTML | | | | Verarbeitung von Formularen mit PHP | Beispiel | | | Wie ist die Webseite unserer Schule aufgebaut? | | | | Grundlagen von SQL | AB SQL und https://sql-island.informatik.uni-kl.de | | | Zusammenspiel von PHP und SQL | | | | Hacker-Ehtik | https://media.ccc.de/v/35c3-10011-hackerethik_-_eine_einfuhrung | | Was ist ein Phishing-Angriff? | | | | Rechtliche Grundlagen: Phishing | z.B. https://www.recht-freundlich.de/phishing-online-banking/alles-wichtige-phishing | | | Phishing-Angriff im geschützten Rahmen starten | | | | Manipulation von URLs | | | | Was sind GET / POST Variablen in PHP | | | | Was ist eine SQL – Injection? | | | | Durchführen einer SQL – Injection im geschützten Rahmen zum Erlangen von Passwörtern | | | |Was sind sichere Passwörter?| | | | Knacken von Passwörtern mit Brute Force | | | | Kleines Programm zur Automatisierung schreiben | | | # Seminarkurs Computersicherheit ## Spuren im Netz 13.08.21 - Übersicht - Supren im Netz ## Wo gibt es überall Daten von mir? ### Einstellungen auf dem Smartphone 20.08.21 - Apps / Zugriffsrechte - GPS, Kamera, Mikrofon - Film Apps zeigen - Whatsapp -> Datenschutz - Andere Apps -> Datenschutz - Benachrichtigungen einstellen ### Was verraten Bilder über mich 20.08.21 - Metadaten - Bilder manipulieren - Bilder-Rückwärtssuche ### gesprächiger Webbrowser 20.08.21 * https://www.ndr.de/nachrichten/netzwelt/Nackt-im-Netz-Millionen-Nutzer-ausgespaeht,nacktimnetz100.html ### Mein Browser ist gesprächig 27.08.21 + https://media.ccc.de/v/33c3-8034-build_your_own_nsa + was verraten Browser über mich + Webkoll datasky + exodus privacty ### 03.09.21 + Browser-Check: https://www.kuketz-blog.de/brave-datensendeverhalten-desktop-version-browser-check-teil1/ -> Gruppenarbeit -> 2 Personen ein Browser -> Präsentation https://pads.cyber4edu.org/CieMDGPGQCypRyl_01-S1w ## Luca vs CWA 10.09.21 ### Vergleich der Apps zur Kontaktverfolgung eigenes Pad: https://ogy.de/wjug ### Corona Warn App * was macht die App? * wie macht die App das? * Welche Kritikpunkte gibt es? ### Luca App * was macht die App? * wie macht die App das? * Welche Kritikpunkte gibt es? ### Links (bitte ergänzen): * https://www.ardmediathek.de/video/landesschau-rheinland-pfalz/so-funktionieren-luca-und-die-corona-warn-app/swr-rheinland-pfalz/Y3JpZDovL3N3ci5kZS9hZXgvbzE0NDkxMjk/ * https://www.ccc.de/de/updates/2020/contact-tracing-requirements * https://www.zeit.de/digital/datenschutz/2021-04/luca-app-luecke-software-datenschutz-corona-kontaktverfolgung * https://www.zeit.de/digital/datenschutz/2021-03/corona-app-luca-kontaktverfolgung-einsatz-umstritten-kontakte-politik-lobbyismus * https://www.spiegel.de/netzwelt/apps/coronakrise-darf-ich-ohne-luca-app-jetzt-nicht-mehr-zu-ikea-a-cab0558a-5c7d-4f84-80d2-451eebe95836 * https://www.spiegel.de/netzwelt/apps/luca-chaos-computer-club-fordert-stopp-der-app-a-072c7828-604c-48ff-add0-09040cef481f * https://sbamueller.com/2021/04/08/offener-brief-nutzung-der-luca-app-bedenklich/amp/ * https://www.chip.de/news/Luca-App-Smudos-Kontaktverfolgung-im-Check_183148498.html * https://www.faz.net/aktuell/wirtschaft/digitec/luca-app-zur-corona-kontaktverfolgung-von-ccc-scharf-kritisiert-17292621.html * https://www.ccc.de/de/updates/2021/luca-app-ccc-fordert-bundesnotbremse * https://netzpolitik.org/2021/digitale-kontaktverfolgung-fast-20-millionen-euro-fuer-luca/ * https://netzpolitik.org/2021/neue-version-der-corona-warn-app-einchecken-per-qr-code/ * https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/WarnApp/Warn_App.html * https://www.heise.de/news/Digitaler-EU-Impfnachweis-soll-in-die-Corona-Warn-App-integriert-werden-6017119.html * https://www.heise.de/thema/Coronavirus * https://www.mdr.de/nachrichten/thueringen/corona-luca-app-kontaktnachverfolgung-100.html#sprung0 * https://www.fr.de/politik/corona-warn-app-schwachstellen-forschung-kritik-wissenschaft-90074139.html * https://www.sr.de/sr/home/nachrichten/politik_wirtschaft/luca-app_im_saarland_bislang_ein_flop_100.html * https://luca.denken.io/ * https://www.ardmediathek.de/video/mdr-thueringen-journal/hoher-aufwand-kaum-nutzen-weimar-will-einsatz-von-luca-app-beenden/mdr-thueringen/Y3JpZDovL21kci5kZS9iZWl0cmFnL2Ntcy9iMTdlN2Q2YS00ZTA5LTRiNzQtYWVkMS03ZmI2ZTUxNDM3OTM/ * https://www.ardmediathek.de/video/nordmagazin/immer-wieder-aerger-mit-der-luca-app/ndr-mecklenburg-vorpommern/Y3JpZDovL25kci5kZS82ODdlM2ZkNy1kM2Q2LTRjNjQtYTlhNy0zM2UwZmE1MTM5ZjA/ * https://www.ardmediathek.de/video/hamburg-journal/corona-wie-laeuft-die-kontaktnachverfolgung-mit-der-luca-app/ndr-hamburg/Y3JpZDovL25kci5kZS81YWVhYzA5ZS00MTY3LTRiMjktOGNiMS0zM2IzNjg1MjBiNGQ/ * https://www.ardmediathek.de/video/mex/luca-app-warum-die-kritik-nicht-abreisst/hr-fernsehen/Y3JpZDovL2hyLW9ubGluZS8xMzk5NzI/ * https://www.ardmediathek.de/video/plusminus/luca-app-mehr-kosten-als-nutzen/das-erste/Y3JpZDovL2Rhc2Vyc3RlLmRlL3BsdXNtaW51cy8wOTgyNGJmNS1iOThjLTQ1OGItYWFhMy1lMGEzMjY2ZGJhZTg/ * https://www.ardmediathek.de/video/hallo-niedersachsen/datenschutz-beauftragte-kritisiert-luca-app/ndr-niedersachsen/Y3JpZDovL25kci5kZS8zYjYyZTY0Ny1iM2MwLTQxN2ItODgzYi0xYWUxYjIwYmJiZDQ/ * https://www.ardmediathek.de/video/abendschau/was-taugt-die-luca-app/br-fernsehen/Y3JpZDovL2JyLmRlL3ZpZGVvLzlmZjE2MjQwLTY4MDYtNGM3ZC1hZTcxLWM5YWJhMWNiNzc3ZA/ * https://www.ardmediathek.de/video/aktueller-bericht/luca-app-und-corona-warnapp-im-vergleich/sr-fernsehen/Y3JpZDovL3NyLW9ubGluZS5kZS9BQl8xMDIwNTY/ * https://www.ardmediathek.de/video/mex/luca-app-was-an-der-kritik-dran-ist/hr-fernsehen/Y3JpZDovL2hyLW9ubGluZS8xMzM5NjE/ * https://www.ardmediathek.de/video/nordmagazin/kritik-an-der-corona-app-luca-waechst/ndr-mecklenburg-vorpommern/Y3JpZDovL25kci5kZS8xYmMxNzcxMy04M2I5LTQ5NmMtOTljZi1hMDczMjQ2YzRmZWU/ * https://www.ardmediathek.de/video/swr-aktuell-baden-wuerttemberg/diskussion-um-luca-app-zur-corona-kontaktverfolgung/swr-baden-wuerttemberg/Y3JpZDovL3N3ci5kZS9hZXgvbzE0NDU3ODA/ # Datamining / BigData ### Teil 1: Spiegelmining 24.09. https://media.ccc.de/v/33c3-7912-spiegelmining_reverse_engineering_von_spiegel-online von David Kriesel -> Wir hinterlassen mehr Daten als wir wollen / als uns bewusst ist ### Teil 2 - Big Data 01.10. https://pads.cyber4edu.org/Z8_-3ewhSK2HAvjXtxOIZQ?view {%youtube z2wjW15DWrw %} {%youtube KIwWLat-254 %} https://crackedlabs.org/ ### Teil 3 - Big Data 08.10. https://www.bpb.de/lernen/digitale-bildung/medienpaedagogik/bigdata/253471/life-profiler #### Diesen Kurs bearbeiten: https://lernen.cloud/courses/cs4s-bigdata-und-datenschutz ### Teil 3 - Big Data 19.11. / 26.11. #### Diesen Kurs bearbeiten: https://lernen.cloud/courses/cs4s-bigdata-und-datenschutz * Wir schreiben am 3.12. einen Test über die Inhalte * Ihr könnt selbst erstelle Mitschriften verwenden ### KI #### 3.12. - Test zum Kurs - beißende Affen -> Entscheidungsbaum erstellen #### 10.12. KI Anwendungen - https://www1.wdr.de/mediathek/video/sendungen/video-der-grosse-umbruch--wie-kuenstliche-intelligenz-unser-leben-veraendert-100.html - Welche Anwendungsgebiete hat KI? - Welche Vor- und Nachteile gibt es jeweils? #### 17.12. - KI Techniken - KI ausprobieren - Links: - https://www.medien-in-die-schule.de/unterrichtseinheiten/machine-learning-intelligente-maschinen/ - https://www.heise.de/newsticker/meldung/Google-Mitarbeiter-veroeffentlichen-Neuronales-Netz-Spielplatz-3176144.html - http://playground.tensorflow.org/#activation=tanh&batchSize=10&dataset=xor&regDataset=reg-plane&learningRate=0.03&regularizationRate=0&noise=0&networkShape=5,3&seed=0.60154&showTestData=false&discretize=false&percTrainData=50&x=true&y=true&xTimesY=false&xSquared=false&ySquared=false&cosX=false&sinX=false&cosY=false&sinY=false&collectStats=false&problem=classification&initZero=false&hideText=false - https://www.stefanseegerer.de/schlag-das-krokodil/ - https://www.youtube.com/watch?v=qv6UVOQ0F44&index=12&list=WL - https://www.youtube.com/watch?v=u934Lek0YXM - https://www.youtube.com/watch?v=3P6Tu4ckA-E - https://www.moralmachine.net/hl/de #### 07.01. Aufgabe (mit Note) Erstellt eine Übersicht (A4) zur KI: Techniken, Anwendungen, Risiken Nutzt das Material aus dem Unterricht Bewertungskriterien: - Korrektheit - Übersichtlichkeit (Aufteilung der Fläche, Lesbarkeit) - Anschaulichkeit (grafische Gestaltung) - Vollständigkeit (Inhalte der 3 KI-Unterrichtsblöcke) ## Grundlagen der IT-Sicherheit ### Was machen Angreifer? ### Exkurs Viren ## Wie schütze ich mich davor? ### Datenschutz und freie Software - Auswahlkriterien - Android befreien - Linux nutzen ### persönlicher Schutz + Backup + https://restic.net/ + Emailverschlüsselung + Nutzung eines Passwortmanagers + Nutzung von Open-Source-Software ## Überwachung von Staaten + China + NSA ## Fake News ## Wo kann ich mehr erfahren - chaosradio - media.ccc.de - digital-courgage - cyber4edu.org ## Zugangsdaten BQ