# Pentaradio vom 26. April 2022
# Titel: "Ethisches Hacken in privaten Netzen"

Mit Simon und Xyrill.

Unsere Nachrichten bestehen fast komplett aus Leaks und Hacks. Wir halten dagegen, und liefern technische Tipps zu VPN-Software sowie ethische Tipps für angehende Hacker. (Aufgezeichnet am 16. April 2022.)

## News

Kalender:

* bereits gelaufen: [DiVOC: Bridging Bubbles](https://di.c3voc.de/bb3:start), [Revision](https://2022.revision-party.net/)
* im Mai: [GPN20](https://entropia.de/GPN20)

News:

* [Linux Foundation beschließt Ethikrichtlinie für Forscher](https://www.golem.de/news/linux-kernel-hacker-veroeffentlichen-richtlinie-fuer-forschung-2203-164093.html) 
    * "Es sei schlicht gängige ethische Praxis, nicht ohne Einverständnis an oder mit Menschen zu experimentieren."
    * [Pentaradio berichtete](https://c3d2.de/news/pentaradio24-20210525.html)
* [Datenerpressungsgruppe veröffentlicht 190-GB-Archiv mit internem Code und Daten von Samsung](https://www.bleepingcomputer.com/news/security/hackers-leak-190gb-of-alleged-samsung-data-source-code/)
    * Mehr Freiheit für Samsung-Telefone und Fernseher? Oder nur mehr Zerodays?
* [Leaks aus der russischen Ransomware-Gruppe "Conti" zeigen eine Struktur wie in einem normalen Startup](https://research.checkpoint.com/2022/leaks-of-conti-ransomware-group-paint-picture-of-a-surprisingly-normal-tech-start-up-sort-of/)
* apropos Russland: [Ukraine identifiziert tote Russen mittels Clearview-KI](https://www.n-tv.de/politik/Ukraine-identifiziert-tote-Russen-mit-umstrittener-KI-article23271637.html)
    * ["Some experts call it 'classic psychological warfare' that sets a gruesome precedent."](https://www.washingtonpost.com/technology/2022/04/15/ukraine-facial-recognition-warfare/)
* [Schnittstellen für "Lawful Interception" von Angreifern ausgenutzt](https://heise.de/-6659288)
* [Videokonferenz-Programme lauschen auch bei Stummschaltung auf das Mikrofon](https://news.wisc.edu/youre-muted-or-are-you-videoconferencing-apps-may-listen-even-when-mic-is-off/)
    * Darum lieben wir Hardware-Schalter, Schiebeblenden etc.
    * Wissenschaft mit abgedeckter Kamera: [Kosmische Strahlung am Telefon detektieren](https://credo.science/)

Fundstücke:

* [Hacking-Projekt: Kleinstes HDMI-Display](https://mitxela.com/projects/ddc-oled)
    * [DEMO C64 floppy reader](https://hackaday.com/2021/07/08/c64-demo-no-c64/) etwas ähnlich mit dem Widerstand am offenen Kabel
    * [Mathias Kramm](http://www.quiss.org/freespin/)

Ankündigungen:

* [Prototype Fund Hardware: Bewerbungsfrist startet am 15. April](https://hardware.prototypefund.de/)
* Leute mit Sprachkenntnissen in Ukrainisch/Russisch gesucht! Bitte bei uns per E-Mail melden!

## Musik

Beides aus dem Album ["Boatman Is The Hero EP" von "To Leave A Trace"](https://www.jamendo.com/album/87944/boatman-is-the-hero-ep) (CC-BY-NC-SA, empfohlen von Schmittlauch).

* (05:40) [The Endless Song Of One Day](https://www.jamendo.com/track/751725/the-endless-song-of-one-day)
* (05:46) [Boatman Is The Hero](https://www.jamendo.com/track/751598/boatman-is-the-hero)

## Thema: VPN

* **Virtuelles Privates Netzwerk**
    * direkte Datenverbindung zwischen (mindestens) zwei weit auseinanderliegenden Endpunkten
    * mittels Verschlüsselung gegen äußeren Einblick und Manipulation geschützt
* VPN-Anwendungsfälle
    * für Admins: Direktverbindung zwischen verschiedenen Rechenzentren, Isolation verschiedener Kunden in einem Rechenzentrum
    * für Privatanwender: Umgehung von Zensur und Geoblocking (oft juristische Grauzone)
    * im Freifunk-Bereich zur Vermeidung von Abmahnanwälten
* Sind VPN-Anbieter vertrauenswürdig?
    * grundsätzlich: VPN-Anbieter benötigt genauso viel Vertrauen wie sonst der ISP
    * kostenlose VPN-Angebote wahrscheinlich dubios (ist man der Kunde oder das Produkt?)
* Alternativen
    * gegen DNS-Sperren reicht ein alternativer DNS-Server, z.B. `9.9.9.10`

## Thema: Hacking-Ethik

* kurz nach Beginn des Krieges: [Ukraine will eine Hacker-Brigade aufstellen](https://www.reuters.com/world/exclusive-ukraine-calls-hacker-underground-defend-against-russia-2022-02-24/)
    * wurde bereits im März besprochen in [LNP424](https://logbuch-netzpolitik.de/lnp424-spezialisierung-auf-spezialexperte)
    * Welche Optionen gäbe es für einen militärischen Einsatz von Hacking?
    * Option 1: DoS-Angriffe auf Low-Profile-Ziele (z.B. Webseiten von Ministerien oder Zeitungen), meist unter dem Label "Anonymous"
        * schnell und einfach, da diese Ziele nicht besonders gesichert sind
        * kein großer militärischer Effekt, mehr eine Sitzblockade als ein echter Angriff
        * s.a. Reporter ohne Grenzen: [Angriffe auf Presse sind Kriegsverbrechen](https://www.reporter-ohne-grenzen.de/pressemitteilungen/meldung/gezielte-angriffe-auf-medien-sind-kriegsverbrechen)
    * Option 2: gezielte Angriffe auf kritische Infrastruktur des Gegners (entweder zur Spionage oder Sabotage)
        * erfordert meist detaillierte Kenntnis des Zielsystems, Größenordnung eher Monate als Tage (siehe auch, warum Hackback ne Quatschidee ist)
    * Option 3: als Defensiv-Brigade analog zum THW ("Cyberwehr"), das Wiederaufbauhilfe leistet
        * schwierig, Wiederaufbau erfordert Erfahrung mit dem System
        * [Positionspapier der AG KRITIS zum Aufbau einer "Cyberwehr"](https://ag.kritis.info/chw-konzept/)
* Risiken bei Cyberangriffen
    * Vergeltungsschlag auch mit konventionellen militärischen Mitteln (der Gegner ist im Zweifel flexibel bei der Attribution eines Cyberangriffs)
    * Kollateralschäden, siehe z.B. Newsmeldung: [NPM-Paket sabotiert Rechner aus Russland und Belarus](https://www.golem.de/news/open-source-npm-paket-loescht-dateien-aus-protest-gegen-ukrainekrieg-2203-163958.html)
* Forderung: nicht noch mehr Zensur, sondern jetzt Zensurinfrastruktur abbauen
    * Internet Society: ["Once large network operators start demonstrating an ability to make routing decisions on political grounds, other governments will notice. \[...\] We must not ease the path for those who hate the Internet and its ability to empower people."](https://www.internetsociety.org/blog/2022/03/why-the-world-must-resist-calls-to-undermine-the-internet/)
        * Gegenposition: [Früherer Reddit-Mitarbeiter zur Notwendigkeit von Zensur in sozialen Netzwerken](https://threadreaderapp.com/thread/1514938507407421440.html)
    * tekkub: ["When I worked for \[GitHub, they\] implemented a way for the Russian government to block repos they didn't like. I processed quite a few of those requests. \[GitHub needs\] to turn that system off. Right now."](https://web.archive.org/web/20220301201452/twitter.com/tekkub/status/1498753501526069248)