# Pentaradio vom 25. August 2020

Titel-Ideen:

- 202 und Spaß dabei
- 202 Polizei
- 202c ich glaub es hackt.
- 0x202c

## News

* Feedback per Mail zum Leistungsschutzrecht (Folge 2020-02): Google News ist in Spanien immer noch nicht vollständig verfügbar
* seltener Einblick: [Chatlog eines Geschäftskunden, der mit dem Support-Desk einer Ransomware verhandelt](https://twitter.com/jc_stubbs/status/1289199296328298497)
* Patch-Notes: [Gene umbenannt wegen Bug in Excel](https://www.theverge.com/2020/8/6/21355674/human-genes-rename-microsoft-excel-misreading-dates)
    * Beispiel: "MARCH1" heißt jetzt "MARCHF1", damit Excel es beim CSV-Import nicht zu "1. März" kaputt korrigiert
    * "Microsoft did not respond to a request for comment, but \[the scientist’s] theory is that it’s simply not worth the trouble \[for Microsoft] to change."
* [Windows Defender zensiert /etc/hosts, wenn Microsoft-Domains betroffen sind](https://www.heise.de/-4863355)
    * passend dazu: [Microsoft Hosts File Blocklist](http://www.angelfire.com/comics2/fatboy9175/MShosts.txt)
* [Apple verbietet Cloud-Gaming-Dienste (Google Stadia, Microsoft xCloud) im iOS App Store](https://www.theverge.com/2020/8/6/21357771/apple-cloud-gaming-microsoft-xcloud-google-stadia-ios-app-store-guidelines-violations)
    * Begründung: Apple möchte jedes Spiel einzeln reviewen können.
* Apple EPIC Fortnite Problem
    * [Epic to host a "Free Fortnite" tournament with anti-Apple prizes](https://www.theverge.com/2020/8/20/21394834/epic-fortnite-apple-freefortnite-tournament-prizes)
    * Buchtipp: Neal Stephenson - Snow Crash (ohne Tracking :)
* Agentur für Innovation in der Cybersicherheit [frisch gegründet mit 350 Mio. € Budget](https://www.heise.de/-4867476)
    * schöner Kommentar: [Digitale Souveränität zum Schnäppchenpreis – von Europa und Mozilla](https://www.heise.de/-4874038)
* [US-Strafverfolger greifen auf App-Daten zu](https://www.heise.de/-4873234)
* [Google meldet Nutzerdaten unaufgefordert an Behörden](https://www.golem.de/news/blueleaks-google-meldet-nutzerdaten-unaufgefordert-an-behoerden-2008-150328.html)
* US vs Tiktok & Wechat; Twitter-Hacks
    * beides ausführlich besprochen in [LNP 356](https://logbuch-netzpolitik.de/lnp356-gesegneter-entscheidungswahn)
* "(Persönliche) Daten sind die ~~Umweltverschmutzung~~ Radioaktivität des 21 Jahrhunderts"

## Musik

- ["Mt Fox Shop", BoxCat Games (2015)](https://freemusicarchive.org/music/BoxCat_Games/Nameless_the_Hackers_RPG_Soundtrack/BoxCat_Games_-_Nameless-_the_Hackers_RPG_Soundtrack_-_02_Mt_Fox_Shop)
- ["Hacker", Errorbeauty and Serge Geyzel (2019)](https://freemusicarchive.org/music/Errorbeauty__Serge_Geyzel/S27-X_I/Errorbeauty__Serge_Geyzel_-_S27-X_I_-_07_Hacker_1021)
- ["Eighth", Hackerblinks (2015)](https://freemusicarchive.org/music/Hackerblinks/The_Age_of_Reason/Eighth)

## Thema: Hackertools

https://dejure.org/gesetze/StGB/202c.html

https://de.wikipedia.org/wiki/Vorbereiten_des_Aussp%C3%A4hens_und_Abfangens_von_Daten 

https://media.ccc.de/v/36c3-10977-hackerparagraph_202c_stgb_reality_check


§ 202c Vorbereiten des Ausspähens und Abfangens von Daten

> (1) Wer eine Straftat nach § [202a](https://www.gesetze-im-internet.de/stgb/__202a.html) oder § [202b](https://www.gesetze-im-internet.de/stgb/__202b.html) vorbereitet, indem er
> 
> 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
> 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
>
> herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
>
> (2) § 149 Abs. 2 und 3 gilt entsprechend
    
Capture the Flags
eigene Hardware

Programme haben keinen objektiven Zweck (Pistole schießen -> Zielscheibe vs. Mensch) -> unklar

Programme die auch andere Zwecke erfüllen (DualUse-Programme) sollen nicht darunter fallen, zweck also dann subjektiv = Problem

Es gab Verfassungsbeschwerden, wurden aber nicht angenommen (aus formaleren Gründen) Hochschullehrer im Unterricht, Sicherheitsfirma für Penetrationstests, RA Ulrich Kerner Linuxnutzer 
    - dual use tools sind nicht erfasst
    - zweck nicht objektiv sondern Handlung ist subjektiv

Programme deren Zweck nicht eindeutig kriminell ist, ist der Tatbestand nach 202c nicht verwirklicht 

Seit 12 Jahren aktiv, es gibt laut Webseiten (Juris) nur 8 Entscheidung (1 Verfassungsgericht, 6 Zivil, 1 Straf OLG Köln Klageerzwingungsverfahren) alles eher so mäh.

8762 Fälle für 202 und 303. (inkl Vorbereitung) 
554k für Körperverletzung
Quelle: 2018 Polizeiliche Kriminalstatistik

Um ganz sauber zu sein:

-> nicht im falschen Forum posten
-> nur legale Nutzungsmöglichkeit darstellen
-> überhaupt nicht auf illegale Nutzungsmöglichkeiten hinweisen
-> vorsicht bei warnhinweisen auf Strafbarkeit bei falscher Verwendung

Blueteam / Redteam

### Hackertools

- Browser
    - NoScript
    - Decentraleyes
    - uBlock Origin
    - Development Console
    - HTTPS Everywhere

#### Scanning
- nmap (inkl. Scripting Tools)
    - Drucker finden
- TCPDump/Wireshark
    - Saves analysis for offline inspection
    - Packet browser
    - Powerful GUI
    - Rich VoIP analysis
    - Inspects and decompresses gzip files
    - Reads other capture files formats including Sniffer Pro, Tcpdump, Microsoft network monitor, Cisco Secure IDS IPlog, etc.
    - Exports results to XML, PostScript, CSV, or plain text
- wget/curl
- nc
    - https://resources.infosecinstitute.com/netcat-tcpip-swiss-army-knife/
- Android https://f-droid.org/en/packages/org.secuso.privacyfriendlynetmonitor/
- Android https://f-droid.org/de/packages/com.samebits.beacon.locator/ (Bluetooth beacon locator)
- Android SnoopSnitch (security patch level, stille sms, etc) https://media.ccc.de/v/31c3_-_6122_-_en_-_saal_1_-_201412271830_-_mobile_self-defense_-_karsten_nohl

##### WLAN/Wifi
- aircrack-ng
- kismet
    - network and device detector, sniffer, gps tool, and WIDS (wireless intrusion detection) framework.
    - https://www.kismetwireless.net/
- metageek [inSSIDer](https://www.metageek.com/)
- Netstumbler
- Android  https://f-droid.org/en/packages/com.vrem.wifianalyzer/

### Cracking & Exploiting

- john the ripper
    - password cracker
- thc hydra
    -  brute force password cracking
- metasploit
    - open-source pen-testing framework written in Ruby
    - alternative Canvas
- WPScan / Skipfish / BurpSuite / BeEF
- https://github.com/arthepsy/ssh-audit
- Chess: https://leahneukirchen.org/blog/archive/2019/10/ken-thompson-s-unix-password.html
- vault7 ?
- kalilinux
    - with Nikto
        - used to scan web servers and perform different types of tests against the specified remote host. Its clean and simple command line interface makes it really easy to launch any vulnerability testing
    - SQLninja
    - Lynis
- Testdisk Photorec
- Apktool
    - reverse engineering Android apps

### Hardware Hacking:
- multimeter
- osziloskop
- logic analyser
    - (jTAG)
    - RS232
    - i2c
    - isp
- spectrometer
- clampometer (Stromzange)

### Hardening:
- fail2ban
- ufw
- SSH https://medium.com/@jasonrigden/hardening-ssh-1bcb99cd4cef
- SSL/TLS https://wiki.mozilla.org/Security/Server_Side_TLS
- [BetterCrypto.org](https://bettercrypto.org/)
- ssllabs.com
- linpeas.sh

### Information is Power:

- media.ccc.de
- John Hammond
    - https://www.youtube.com/user/RootOfTheNull
- Hak5
    - https://www.youtube.com/channel/UC3s0BtrBJpwNDaflRSoiieQ
- EEVBlog
    - https://www.youtube.com/channel/UC2DjFE7Xf11URZqWBigcVOQ
- scihub
- libgen
- Podcasts
    - Security Now
    - Logbuch Netzpolitik
- heise.de
- golem.de