#!/bin/blog

April 14, 2014

Die Täuschung

Filed under: Open Source, Paranoia, Sicherheit — Tags: , — martin @ 7:15 am

heartbleedDer Begriff “Perfect Forward Secrecy” ist in dieser Zeit enorm populär. Ohne geht es einfach nicht mehr. Perfect. Perfektion. In Teilbereichen der Informationsverarbeitung ist Perfektion möglich. “Höchste Vollendung in der technischen Beherrschung und Ausführung von etwas. Vollkommene Meisterschaft.” (Duden)

Es scheint, als hätte es einen ähnlich absoluten Begriff wie “Wired Equivalent Privacy” nie gegeben. Es ist 2014 und Perfektion in Algorithmen und Software ist möglich.

Mitten in dieses Idyll platzt ein profaner und in wenigen dürren Worten beschreibbarer Bug in OpenSSL, bei dem ein paar Kilobyte aus dem Speicher des Webservers abgegriffen werden können. Das bedeutet: Updates installieren, SSL-Zertifikate tauschen, Kunden auffordern, ihre Passwörter zu ändern. Unangenehmes Zeugs.

Aber mit welcher Wahrnehmung. Der Super-GAU (noch dazu der “erste des Internets”) ist da. Der Horror-Bug. Die 11 auf einer Skala von 10. Und dabei ist es doch nur ein Bug, ein Implementierungsfehler, den ein normaler Mensch an einem normalen Tag in den Sand gesetzt hat.

Wer wirklich geglaubt hat, dass es Perfektion geben kann, dass in Sicherheit und Software so etwas wie Vollkommenheit existieren kann und dass man existenzielle Dinge von Perfektion in äußerst komplexer Software wie OpenSSL abhängig machen darf, sollte sich glücklich schätzen, wenn er rechtzeitig durch Heartbleed schonend auf den Boden der Tatsachen zurückgeholt wurde, ohne dass jemand an Leib und Leben Schaden genommen hat.

Macht weiter. Bleibt so sicher, wie ihr es im Hier und Jetzt könnt. Fallt nicht auf falsche Versprechungen rein. Lasst die Finger von der verdammten Hybris.

Alles ist nicht nur genauso in Ordnung, wie vor dem 7. April 2014, sondern sogar besser.

August 31, 2013

Alles mit dem Handy filmen, alles, alles!

Filed under: Irrsinn Online — martin @ 4:49 pm

Die junge Frau hat ihr Handy vergessen:

Bei Licht betrachtet, haben wir uns das aber wirklich selbst eingebrockt. Vor 25 Jahren lief das CB-Funkgerät immer mit, und gleich danach haben wir uns auch gefragt, warum man über den D-Kanal unserer ISDN-Anschlüsse, über die wir stündlich unsere Mails aus dem Fidonet gepollt haben, nicht umsonst Messaging machen kann. Als es mit dem Web so richtig losging, war immer ICQ am Blinken, während wir noch sehnsüchtig darauf warteten, endlich SMS-fähige Handys zu bekommen. Heute sind wir einfach bei der aktuellen Entwicklungsstufe dieser Evolution angekommen: Jeder hat Facebook auf seinem Handy, alles muss zu einem Handyvideo (vorzugsweise hochkant) verarbeitet werden. Und alle sitzen am Tisch und wischen auf ihren Displays rum, weil sie ja was verpassen könnten.

Ich kann das nicht wirklich verurteilen, denn ich mache es selbst ständig, werde dabei aber schon als leicht rückständig betrachtet, weil ich das Handy nachts grundsätzlich stummschalte.

Die Frage ist, wie sieht die nächste Entwicklungsstufe aus?

June 26, 2013

Amazon AutoRip und die Wasserzeichen

Filed under: Paranoia — Tags: , — martin @ 9:11 pm

Amazon hat ja heute angefangen, als CD gekaufte Alben im Rahmen des AutoRip-Service als MP3-Download anzubieten. Natürlich kommt da gleich wieder die Frage auf, ob “Wasserzeichen” im Spiel sind. Die Nutzungsbedingungen des Amazon Cloud-Player sagen dazu folgendes:

Einige Plattenfirmen verlangen von uns, Kennungen in die Metadaten einzufügen, die zu Musik von diesen Firmen gehören und die sie eindeutig als Musik, die Sie von uns erhalten haben, kennzeichnen (“eindeutige Kennung”). [...] Diese eindeutigen Kennungen können Informationen enthalten, mit denen Sie als Inhaber [...] identifiziert werden. Zum Beispiel können diese eindeutigen Kennungen eine Zufallszahl enthalten, die wir Ihrer Bestellung oder Ihrem Exemplar zuordnen, Datum und Zeit des Einkaufs, eine Anzeige, dass die Musik von Amazon heruntergeladen wurde, Codes, die das Album und den Song identifizieren (UPC und ISRC), die digitale Unterschrift von Amazon und eine Kennung, mit der sich feststellen lässt, ob das Audio modifiziert wurde, und eine Anzeige, ob die Musik im MP3-Shop erworben oder in den Cloud Player importiert wurde. Im Amazon MP3 Store verkaufte Songs, die diese eindeutigen Kennungen enthalten, sind auf der jeweiligen Produktseite gekennzeichnet. Diese eindeutigen Kennungen beeinträchtigen keinesfalls die Wiedergabequalität.

“Kennungen in die Metadaten einfügen” ist hier ein starker Hinweis darauf, dass keine steganographischen Wasserzeichen gemeint sind, die in der Musik selbst versteckt sind. Vielmehr legt diese Formulierung die Vermutung nahe, dass die Informationen über den Käufer in den MP3-Metadaten, den sogenannten ID3-Tags hinterlegt sind.

Wir erinnern uns in dem Zusammenhang an die Einführung DRM-freier AAC-Dateien durch Apple im Jahr 2007. Damals konnten wir bereits experimentell ermitteln, dass die Dateien zwar in den Metadaten mit Name und Mailadresse des Käufers getaggt sind, aber beim Brennen auf CD oder konvertieren in WAV identische Dateien entstehen. Damit konnte als erwiesen gelten, dass kein unsichtbares Wasserzeichen in der Datei enthalten war.

Um zu prüfen, wie das mit der Kennzeichnung heruntergeladener Dateien bei AutoRip funktioniert, habe ich mich erneut mit wildfremden Leuten aus dem Internet zusammengetan und in ungesetzlicher Weise ungeschützte MP3-Dateien zwecks Konvertierung in WAV ausgetauscht.

Schaut man sich die ID3-Tags eines AutoRip-MP3 an, sieht man folgende Tags, die zunächst keinen Hinweis auf den Käufer der Datei enthalten:

id3v1 tag info for 01 - Hört ihr die Signale.mp3:
Title  : H▒rt ihr die Signale            Artist: Deichkind
Album  : Arbeit nervt                    Year: 2008, Genre: Unknown (255)
Comment: Amazon.com Song ID: 20947135    Track: 1
id3v2 tag info for 01 - Hört ihr die Signale.mp3:
PRIV (Private frame):  (unimplemented)
TIT2 (Title/songname/content description): Hvrt ihr die Signale
TPE1 (Lead performer(s)/Soloist(s)): Deichkind
TALB (Album/Movie/Show title): Arbeit nervt
TCON (Content type): Dance & DJ (255)
TCOM (Composer): Sebastian Hackert
TPE3 (Conductor/performer refinement):
TRCK (Track number/Position in set): 1/14
TYER (Year): 2008
COMM (Comments): ()[eng]: Amazon.com Song ID: 209471352
TPE2 (Band/orchestra/accompaniment): Deichkind
TCOP (Copyright message): (C) 2008 Universal Music Domestic Rock/Urban, a division of Universal Music GmbH
TPOS (Part of a set): 1/1
APIC (Attached picture): ()[, 3]: image/jpeg, 244997 bytes

Die hier sichtbaren Informationen sind bei von anderen Kunden heruntergeladenen Dateien identisch. Der Aufmerksamkeit leicht entgehen kann jedoch das PRIV-Tag, das vom hier verwendeten Tool nicht decodiert werden kann. Schaut man in die MP3-Datei hinein, findet sich ein Stück XML:

<?xml version="1.0" encoding="UTF-8"?>
<uits:UITS xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:uits="http://www.udirector.net/schemas/2009/uits/1.1">
<metadata>
<nonce>XXXXXXXXXXXXX</nonce>
<Distributor>Amazon.com</Distributor>
<Time>2010-05-XXXXXXXXXXXX</Time>
<ProductID type="UPC" completed="false">00602517860049</ProductID>
<AssetID type="ISRC">DEUM70806185</AssetID>
<TID version="1">XXXXXXXXXXXXX</TID>
<Media algorithm="SHA256">b10c5dc78e1d2228a2a435b8786f7cd73fe47f87230de75ee84250203d00a905</Media>
</metadata>
<signature algorithm="RSA2048" canonicalization="none" keyID="dd0af29b41cd7d6d82593caf1ba9eaa6b756383f">XXXXXXXXXXXXX</signature>
</uits:UITS>

Mit XXXXXXXXXXXXX habe ich hier die Stellen unkenntlich gemacht, die sich von Datei zu Datei unterscheiden. Dem UITS-Schema bin ich nicht weiter nachgegangen. Wer näheres wissen will, mag per Suchmaschine fündig werden.

Ärgerlich ist, dass hier sehr leicht, selbst von gut informierten Kunden, übersehen werden kann, dass eine Verknüpfung zum Kunden in der Datei eincodiert ist. Ganz im Gegensatz zu Apple, wo dem interessierten Kunden beinahe unmittelbar (iTunes -> Titel auswählen -> Kontextmenü -> Informationen) gezeigt wird, dass sein Name mit der Datei in Verbindung steht.

Positiv ist, dass die Konvertierung von MP3-Dateien aus verschiedenen Quellen in WAV zu binär identischen Dateien führt. Die mit unsichtbaren steganographischen Wasserzeichen versehene Datei bleibt damit weiter ein Schreckgespenst, das noch keiner gesehen hat. Meine eigenen diesbezüglichen Befürchtungen sind also nach wie vor nicht eingetreten, und selbst das Fraunhofer-Institut spricht heute vom “psychologischen Kopierschutz”.

Ein unsichtbares und unhörbares Wasserzeichen scheint bis heute nicht im großen Maßstab machbar zu sein. Es bleibt beim “psychologischen Kopierschutz”, oder, wie manche Leute das nennen, einer Deppenbremse.

June 15, 2013

Unfair, teilfair, ganz fair?

Filed under: Hardware — Tags: — martin @ 9:36 am

Vor einem halben Jahr auf dem 29. Chaos Communication Congress hatte ich mir unter dem Eindruck des Vortrags “Sind faire Computer möglich?” die Frage gestellt:

Faire Elektronikherstellung ist so unerforscht, dass Hardware schon als Durchbruch gilt, wenn sie nur “teilweise fair” ist. “Teilweise fair”, ob das dann überhaupt noch “fair” ist?

Nun wurde es ernst und gestern endete die Vorverkaufsphase für das damals im Vortrag kurz gezeigte “Fairphone“. Ich habe mir dazu mal die bei Wikipedia auf der Fairphone-Seite verlinkten Presseberichte angeschaut und fand die Sichtweisen, die da gezeigt wurden, ziemlich ernüchternd:

  • Das Smartphone für das gute Gewissen (Hessischer Rundfunk)
  • dieses kleine Ding in seinen Händen, das so gar nicht zum ethisch korrekten Selbstbild passen will (DiePresse.com)
  • politically-correct smartphone (The Register)

Und natürlich wird von den Heise-Kommentarstrategen ohne Unterlass kritisiert, dass es sich nur um ein “teilfaires” Gerät ohne “Fair-Trade-Siegel” handelt, und unterstellt, dass es sich bei der Fairness lediglich um eine Masche der Macher des Projekts handle.

Ich pfeife auf diesen ganzen Kram mit reinem Gewissen, ethisch korrektem Selbstbild und political correctness. Es gibt bis heute kein einziges Stück Hardware auf dem Markt, das zu Bedingungen hergestellt wurde, die man in unserem Verständnis von Zivilisation für annähernd vertretbar halten würde. Von bewaffneten Söldnern bedrohte Kinder kratzen mit bloßen Händen Rohstoffe aus irgendwelchen Drecklöchern in Zentralafrika, in Gegenden, aus denen vorher frei lebende Gorillas verjagt, erschossen und auf den Grill gelegt wurden, und Auftragsfertiger in China haben Fangnetze an ihren Gebäuden, damit sie nicht pro Woche das Blut eines Selbstmörders vom Pflaster schrubben müssen. Wenn mein Gewissen hier eine Rolle spielen würde und ich Angst vorm Fegefeuer hätte, dürfte ich mir die Bude nicht so mit Elektronik vollstopfen, wie sie es schon lange ist.

Die Frage, ob man einfach widerspruchslos hinnehmen und für alle Zeiten akzeptieren will, dass Elektronik unter solchen Bedingungen hergestellt wird, darf man sich aber dennoch stellen.

Wer sich den genannten Vortrag vom 29. C3 (PDF) anschaut, wird erkennen, dass es unglaublich schwer sein wird, an der herrschenden Situation etwas zu ändern. Es gibt für die meisten Materialien schlicht keine auch nur ansatzweise fairen Liefer- und Produktionsketten. Man kann durch die Welt reisen und faire Lieferverträge mit landwirtschaftlichen Genossenschaften abschließen, aber für die gesamte Fertigungstiefe elektronischer Geräte ist das derzeit kaum vorstellbar.

“Teilfair” ist natürlich als ganzes gesehen überhaupt nicht fair. Und es liest sich vollkommen lächerlich, dass gerade mal Tantal, Gold und Zinn für das Fairphone aus Minen mit fairen Arbeitsbedingungen kommen sollen. Und, dass doch wieder in China gefertigt wird, wenn auch zu hoffentlich besseren Arbeitsbedingungen als bei anderen Auftragsfertigern. Und dennoch bleibt am Ende vielleicht ein Fortschritt für die Beteiligten am anderen Ende der Produktion übrig.

Ich habe das Fairphone gestern auf den letzten Drücker der Vorbestellphase bestellt. 9400 Geräte wurden vorbestellt, 20000 sollen fürs erste gebaut werden. Im Herbst soll es kommen und ich bin schon allein gespannt, zu sehen, was in so verschwindend niedrigen Stückzahlen überhaupt auf die Beine gestellt werden kann.

Das Fairphone ist ein ganz kleiner Schritt, und ich kann verstehen, wenn man darüber lächelt. Von einem Fair-Trade-Siegel für Elektronikprodukte scheint die Welt ebenfalls noch weit entfernt. Aber wer den ersten Schritt verdammt, obwohl die Richtung stimmt, beweist damit nicht, dass er das Interesse hat, ihn überhaupt jemals zu gehen. Wer jede Ausbeutung im Elektronikbereich ausschließlich über Nacht beenden will, wird sie niemals beenden.

April 21, 2013

Die Romantik der Überwachung

Filed under: Paranoia — Tags: , — martin @ 4:05 pm

Mein Aufreger dieses Tages ist ja dieser Spot von Coca-Cola:

Die Getränkefirma zeigt, “was Überwachungskameras sonst nicht zeigen”. Unter anderem:

  • Menschen, die Küsse stehlen – Ein sich küssendes Paar auf einer Bank.
  • Ehrliche Finder – Die anderen Menschen verlorene Gegenstände zurückgeben.
  • Liebende – Die es im Aufzug treiben.
  • Friedliche Kämpfer – Die “PEACE” an Wände sprühen.
  • Einige verrückte Menschen – Die bei der Arbeit lustige Tänze vollführen.

Das Problem dabei ist, dass die Überwachungskamera das vielleicht sonst nicht “zeigen”, aber es in jedem Fall filmen. Fragt sich, warum Leute überhaupt beim Küssen und beim Putzen gefilmt werden müssen. Warum stehen Menschen, die nichts verbotenes tun, unter Kamerabeobachtung?

Der Abgrund liegt hier übrigens direkt vor unseren Fußspitzen, denn der friedliche Kämpfer mit seiner Sprühdose ist dank Überwachung vielleicht im Folterknast seines politisch instabilen Heimatlandes gelandet und der tanzende Putzmann hat vielleicht seinen Job verloren. Die Widerstandskämpfer und verrückten Menschen des einen sind die Chaoten und arbeitsscheuen faulen Säcke des anderen.

Ich will hoffen, dass es sich hier um für den Werbespot gestellte Aufnahmen handelt, denn sonst wären alle Videos gleichzeitig perfekte Anschauungsstücke dafür, dass Videoüberwachung immer falsch ist. Wie sonst könnte es der Film mit den beiden Liebenden im Aufzug in die Öffentlichkeit geschafft haben? Coca-Cola tut jedenfalls nichts, um sich davon zu distanzieren, dass intime Momente hier (vorgeblich) rechtswidrig veröffentlich wurden. Empfindsamkeit für Privates: Null.

“Lasst uns die Welt mit anderen Augen sehen.” – Schade, dass Coca-Cola zu einem solchen Motto nichts besseres einfällt, als ein verharmlosendes und romantisierendes Bild der allgegenwärtigen Videoüberwachung zu zeichnen.

April 4, 2013

Essential Mac Tools

Filed under: Software — Tags: — martin @ 10:43 am

Ich wurde gefragt, welche Tools ich unter MacOS am häufigsten benutze. Also, hier der gefühlt drölfmilliardste Post zum Thema, und das, obwohl ich bis heute auf MacOS 10.7 unterwegs bin.

Vorweg, es fehlen ein paar Dinge auf der Liste:

  • 20130404113441Ein Texteditor. Die Frage nach dem besten Texteditor ist ein beliebtes Diskussionsthema unter Mac-Usern. Ich bearbeite aber alle Texte mit vim in der Shell. In absoluten Grenzfällen, wo es aufgrund fremdsprachlicher Schriftzeichen zu Darstellungsproblemen mit den Mac-Fonts im Terminal kommt, greife ich auf TextWrangler zurück.
  • Ein alternatives Terminal. Dafür habe ich beim besten Willen noch keinen Anwendungsfall gefunden.
  • Eine Firewall. Wenn ich vor CCC-Veranstaltungen im unumkehrbar paranoiden Schub bin und glaube, dass das Abschalten von Diensten und das aktivieren der MacOS-Firewall nicht reichen, spiele ich hier und da mit WaterRoof oder IceFloor rum. Das Überwachen ausgehender Verbindungen, etwa mit Little Snitch, überlasse ich generell anderen.

Hier jetzt aber die Liste meiner wichtigsten Mac-Tools. Mit (€) sind die markiert, für die ich meiner Erinnerung nach bezahlt habe.

  • XCode und Homebrew – Wenn man ein brauchbares System für die UNIX-/Linux-Administration haben will, führt an Homebrew derzeit kein Weg vorbei, da selbst einfache Tools wie GnuPG, git oder wget in der Standardinstallation von MacOS fehlen.
  • XQuartz – Tja, um X11-Applikationen anzuzeigen.
  • Adium – Der wohl bekannteste Instant-Messaging-Client für die verschiedensten Netze.
  • Alfred (€) – Ein Launcher-Tool für Apps und sonst alles mögliche, auch mit eigenen Keywords und Hotkeys.
  • AppCleaner – Es gibt viele Workarounds für die fehlende Paketverwaltung unter MacOS, an diesem hier bin ich hängen geblieben.
  • Burn – Ein Open-Source CD-Brennprogramm. Seit Jahren ohne Weiterentwicklung, macht aber was es soll.
  • ClamXav – Die MacOS-Version des Open-Source Virenscanners. Ich scanne mit ClamXav Sentry aber tatsächlich nur meinen Download-Ordner.
  • coconutBattery – Das Schätzeisen für den Penisvergleich mittels Batteriekapazität.
  • ControlPlane – Ein kontextsensitiver Switcher für Netzwerkumgebungen. Tolle Software, hieß früher Marco Polo und hat seit kurzem einen neuen Namen und neue Entwickler.
  • Cyberduck (€) – Ein Multiprotokoll-Filetransfer-Client. Ich komme für gelegentliche FTP-Transfers gut damit klar, und habe sogar gespendet.
  • Dropbox und Evernote – Na klar.
  • Firefox – Ich habe damals die Firefox-1.0-Werbekampagne mit gesponsort, und bis heute führt kein ernsthafter Weg an Firefox vorbei. Chrome ist zu sehr Google, und Safari ist zu sehr Spielzeug. Außerdem bin ich für jedes plattformübergreifend verfügbare Tool dankbar.
  • GrandPerspective – Ein Tool, um die Festplattenbelegung als Tree Map zu visualisieren ist auf kleinen SSDs ein Muss.
  • Keka – Ein Archivierungstool für ZIP und RAR. Kann auch passwortgeschützte Archive erstellen. Wahrscheinlich bin ich deshalb dabei hängen geblieben.
  • Language Switcher – Ein Hilfsprogramm, um Programme fallweise in anderen Sprachen zu starten.
  • Linkinus (€) – Der am wenigsten schlechte IRC-Client für den Mac.
  • OpenOffice.org – Um Lock-In durch Bürosoftware von Microsoft oder gar Apple zu vermeiden. Den Absprung zu LibreOffice habe ich irgendwie verpasst.
  • Password Gorilla – Ein grottenhässlicher Password Manager, den es auch unter Linux gibt, und dessen Datenbank dank Kompatibilität zu Password Safe auch unter Windows, iOS und Android benutzbar ist.
  • SuperDuper (€) – Irgendwann bin ich mal an dieser Alternative zu Carbon Copy Cloner hängen geblieben, benutze sie aber, seit es TimeMachine gibt, nur noch gelegentlich bei Festplatten-Umbauten.
  • Thunderbird – Plattformübergreifender Mail-Client. Aktuelle Releases sind etwas stabiler als noch vor einigen Monaten. In zwölf Jahren unter MacOS habe ich ehrlich gesagt noch nicht einmal versucht, das eingebaute Mailprogramm zu benutzen.
  • TinkerTool und TinkerTool System – Die einschlägig bekannten Basteltools für superkrasse Poweruser, die ich aber nur für absolute Kleinigkeiten benutze.
  • uTorrent – Macht mir auf dem Mac von allen Bittorrent-Clients den rundesten Eindruck.
  • Viscosity (€) – Ein wirklich super funktionierendes Frontend für OpenVPN. Vorsicht, IPv6 per TAP funktioniert auch damit unter MacOS nicht.
  • VLC – Spielt im Gegensatz zu Quicktime einfach alles ab.
  • Wireshark – Gefällt mir als Standalone-App etwas besser als per Homebrew, sieht aber per X11 erwartungsgemäß grottig aus.

Viel Spaß damit!

March 3, 2013

app.net – Die spießige Sehnsucht nach Ruhe

Filed under: Internet — Tags: , , — martin @ 11:47 am

Ich bin ja nicht der älteste, und so habe ich Anfang der 1990er Jahre als armer Schüler und Azubi noch CB-Funk gemacht. Da kaufte man sich Hardware, schraubte die Antenne aufs Haus- oder Autodach und konnte ohne jede Zugangsbeschränkung (die Anmeldepflicht beim Amt war bereits abgeschafft) in die Kommunikation mit anderen einsteigen. Vollkommen anonym übrigens, denn das Ausplaudern von Klarnamen war praktisch geächtet.

So etwa Anfang 1993 habe ich dann von einem Computerflohmarkt ein 2400-Baud-Modem mitgebracht. Ab da ging es ganz schön rund. Von heute betrachtet, ist es fast unvorstellbar, wie schnell sich die Dinge damals für mich weiterentwickelten und änderten.

Zu der Zeit hatte ich schon 10 Jahre in Zeitungen von diesen Mailboxen gelesen, aber jetzt konnte ich mich endlich selbst einwählen. Mein Zuhause waren bald das MausNet, und FidoNet, das damals eben gerade den großen Fido-Putsch hinter sich hatte und in Deutschland in zwei bis aufs Blut verfeindete Netze gespalten war. Das war eine ziemlich gesellige Zeit mit wirklich großen regelmäßigen Mailboxtreffen der beiden MausNet-Mailboxen aus Wiesbaden und der Mailbox aus dem Rhein-Lahn-Kreis, bei der ich FidoNet-Point war.

Nach dem Ende meiner Lehre hatte ich ein Einkommen und bald auch meine eigene FidoNet-Mailbox. Das müßte so Ende 1994 gewesen sein. Der Putsch wirkte noch nach. Es gab zahlungskräftige Mailboxbetreiber, die per Ferngespräch nachts das Routing in andere Länder abwickelten und von den in der Hierarchie unterhalb von ihnen angesiedelten Mailboxen wahlweise Anerkennung oder Geld forderten, eigentlich aber beides. Kürzlich habe ich auf meinem Fileserver die Digitalfotos von einem Treffen in Frankfurt-Bockenheim im Jahr 1995 wiedergefunden, wo es genau um dieses Thema ging.

Parallel hatte ich im Frühjahr 1995 mit Compuserve angefangen. Im “Compuserve Information Manager”, der proprietären Zugangssoftware, hatte man themenbezogene sogenannte “Foren” (etwa: “Deutschland” oder “Filme”), die aus einem Chatbereich, einem Messagebereich und einem Download-Bereich bestanden. In Compuserve herrschte Ruhe. Anders als im nervigen FidoNet gab keine Diskussionen darüber, wer Geber und Nehmer war, sondern alle bezahlten in einer Richtung ihre monatlichen und stündlichen Beiträge an Compuserve und ihre Telefongebühren an die Post.

Nachdem ich per Compuserve die ersten Schritte ins WWW gemacht hatte, tauchte die erste Reklame eines örtlichen ISP auf, bei dem ich Kunde wurde. Das Mailboxthema habe ich dann bald an den Nagel gehängt. Nach den Querelen der FidoNet-Zeit empfand ich es als Erleichterung, die Infrastruktur nicht mehr nach Gutsherrenart vom lokalen Netzfürsten zu bekommen, sondern einfach dafür zu bezahlen. Wie es weiterging, kann man sich ausrechnen: Noch 1995 die erste Homepage, 1996 die erste eigene Domain, bei meinem Arbeitgeber das Internetthema komplett betreut, 1997 selbständig mit meiner eigenen Firma.

Das Social Networking lief in dieser Zeit per Mailinglisten, IRC und Newsgroups. Wer einen Internetzugang hatte, konnte ohne jede Zugangsbeschränkung in die Kommunikation mit anderen einsteigen.

Als es Anfang der 2000er Jahre mit den Blogs losging, dachte ich ernsthaft, wir hätten es geschafft und hätten die öffentliche Meinung im Internet wirklich befreit. Die Grenzen von Mailboxen oder Uni-Rechnern waren gesprengt, jeder konnte frei sein Ding machen und seine Meinung veröffentlichen. Man hatte das Gefühl, richtig was bewegen zu können, aber die realistischeren Mitglieder der Szene wussten ehrlich gesagt immer, dass es außerhalb der “Bloggeria” eigentlich gar keine Anteilnahme an unseren großen Aufregern gab.

Und dann kamen Facebook und vor allem Twitter. Gerade Twitter, am Anfang noch aufgrund seines speziellen Funktionsumfangs belächelt, wurde zum Zentralorgan der engagierten Netzbewohner. Der CB-Funk des Netzes. Wer es schaffte, sich vor einen Rechner mit Internetzugang zu setzen, oder ein Smartphone in die Hand zu nehmen, hatte plötzlich ein weltweites Publikum und konnte ohne Zugangsbeschränkung in die Kommunikation mit anderen einsteigen. Als 2009 das Flugzeug im Hudson gewassert war, stammelte der Nachrichtensprecher in den deutschen Abendnachrichten noch, während die Bilder der geretteten Passagiere bereits seit einer halben Stunde per Twitter um die Welt gingen. Von 2010-2012 rollte eine Welle von Revolutionen  durch Nordafrika, auch getragen durch Twitter und Facebook. 2012 hat Twitter es geschafft, tausende für Occupy und gegen ACTA auf die Straße zu bringen.

Mahnende Stimmen wegen dieser kostenlosen Dienste hatte es schon länger gegeben: “Wenn ihr für das Produkt nichts bezahlt, seid ihr selbst das Produkt.” Ob das stimmt? Es fällt mir schwer, es abschließend zu beurteilen. Aber gerade in 2012 wurden mehrere vermeintlich seriösere, offenere und verteiltere Twitter-Alternativen mit ungeheuer großem Enthusiasmus angekündigt und frenetisch begrüßt, die anschließend in Rekordgeschwindigkeit vergessen wurden. Eine kam durch, und die war weder offen noch verteilt: Das kostenpflichtige app.net will eine vielfältig benutzbare Plattform sein, und kein reiner Dienst fürs Microblogging. Für 3 US-Dollar im Monat schmorten ein halbes Jahr lang die ausgewiesensten Spezialisten für Social Networking im exklusiven eigenen Saft.

Dass app.net mit diesem reinen Bezahlsystem lebensunfähig geboren war, wurde nur von wenigen erkannt, jedoch immerhin von app.net selbst. Und so wurden die Tore Anfang 2013 geöffnet und es durften auch nicht-zahlende Benutzer mitspielen, jedoch nicht ohne Zugangsbeschränkungen, sondern zu bestimmten Bedingungen, die die Möglichkeiten zur Kommunikation mit anderen reglementieren. Das war der Tag, an dem app.net für mich interessant wurde und ich meine 36 US-Dollar für 12 Monate bezahlt habe, um mir die Sache anzuschauen. Gleich nach dem ersten Anmelden war erkennbar, dass diese Freigabe für reichlich Aufruhr bei den zahlenden Usern der ersten Stunde sorgte. Viele waren sichtlich nicht begeistert waren vom Anblick der einfallenden Usermengen. Der Untergang der Diskussionskultur und eine Welle an Fernseh- und Fussballtweets wurden herbeibeschworen.

Viele halten app.net für das nächste große “Ding”, das die Netzwerkkommunikation revolutionieren wird. Ich melde Zweifel an. Und ich habe die Geduld in dem Moment verloren, als ich einen Chat-Dienst auf Basis von app.net gesehen habe. Hier gibt es in der Außenwelt Protokolle wie XMPP und IRC, die bereits für Millionen von Nutzern etabliert sind – teils seit Jahrzehnten – und deren Benutzung jedermann offensteht. Die hier erkennbare Tendenz, sich nach der totalen Offenheit von Twitter in ein geschlossenes Netzwerk zurückziehen zu wollen, um den Anblick des Pöbels nicht mehr ertragen zu müssen, erschreckt mich. App.net ist für mich ein Rückschritt um 20 Jahre, in die abgeriegelte Umgebung von Compuserve. Aus Angst vor der Kränkung, vermeintlich das Produkt zu sein, verkriechen sich vermeintlich erleuchtete Experten in einen kostenpflichtigen privaten Zirkel.

Bereits heute klafft die Schere weit auseinander: Auf Twitter werden Menschenrechtsdemos organisiert, während sich auf dem intellektuell ausgebluteten Facebook schonmal Lynchmobs bilden. Als die erfahrensten Netznutzer müssen wir das verstehen, handeln und Verantwortung übernehmen. Die freie Kommunikation für jedermann muss geschützt werden.

Wie sollen sich ein Schüler aus einfachen Verhältnissen, ein arbeitsloser junger Mensch oder ein Rentner am Rand des Existenzminimums gut vernetzen, wenn alles, wo sie gehört werden würden, app.net mit seinen rigiden Limits für kostenlose User ist? Welcher Sache ist gedient, wenn sich eine selbsternannte netzintellektuelle Oberschicht in ihrem Club einsperrt, vom dem aus die normalen Menschen nicht mehr sichtbar sind? Und selbst wenn kostenlose User mit viel mehr Möglichkeiten ausgestattet werden: Was, wenn ein solcher Bezahlservice pleite geht, oder wir ihm aufgrund der Rechtslage in seinem Land nicht mehr vertrauen können? Ein “Fork” wie er zur Zeit des unseligen Fido-Putsch möglich war, wird dann undenkbar sein.

Jedermann sollte ohne Zugangsbeschränkung mit anderen kommunizieren können. Freie Software für verteilte soziale Netze ist seit Jahren verfügbar und wird aktiv entwickelt. Der Weg zurück in die Steinzeit der sozial undurchlässigen bezahlten Datennetze ist der falsche.

February 10, 2013

Dear Apple, we need to talk about iOS security.

Filed under: Security — Tags: , , — martin @ 11:01 am

Dear Apple, we need to talk about iOS security.

First of all, you need to understand that many people out here, with me being one of them, really have a good time living in the closed and well-regulated iOS world that you built for us. The devices work as desired, they are highly reliable, we have working backup and restore, and the platform is free from malware. Everything is very fine, most of the time, at least according to me.

Still, security problems do exist. I have programmed, and just like everyone who has programmed, I have built security holes. Every piece of software contains security holes, gets some fixed and breeds new ones, all the time: Linux, Firefox, Windows, MacOS and of course iOS. Thankfully, there are countless security researchers out there, who research not only open-source software, but also closed systems such as the iOS environment.

Most of the time, security researchers are good guys. Nowadays, we have this thing called responsible disclosure and most reasonable software vendors, including you, have learned to listen to security reports. This majority of researchers takes pride in disclosing security issues. But what about the others? Everyone knows they do exist. Some may use their exploits for criminal activities, others may work for governments.

4852847095_466bc90184_oI had an insight a few years ago. While I was on vacation, jailbreakme.com started to trend on Twitter. Right after breakfast, I went to the website, swiped the slider, and, behold, the phone was jailbroken. A bug in the PDF rendering engine of iOS enabled administrative access for exploit code hidden in a PDF received from the website. I was quite negatively surprised to see my iPhone being exploited through a link on some web site. You fixed this fantastically dangerous exploit in a matter of days and I wondered how long it had been discovered already before it emerged in the form of this jailbreak.

Which brings us from white hat hackers, who diligently report what they have found, and black hat hackers, who abuse their findings for dishonorable motives, to those grey hats, who hold back their findings to earn jailbreak fame. And many end users actually do appreciate those jailbreaks. In other words, they profit directly from withheld security issues, while at the same time, all users have to face the risks from those same withheld security issues.

As far as I can tell, this culture, where users profit from withheld security issues, is unique to iOS. Similar situations, on a smaller scale and with a close focus on warez, may exist around gaming consoles, but iOS is the only general-purpose operating system where security issues regularly have a potential benefit for the user.

Please understand that it would be beneficial for all users of iOS if you ended this misguided culture of withheld security exploits. Please offer a way to run user-supplied software on iOS. You don’t want to find a place in history for having established “that OS” where users regularly waited out security exploits just to see if they can profit from them.

Please be nice and reasonable. Thank you!

(Historical screenshot credit: Micky.! on Flickr, licensed under CC-BY 2.0)

January 26, 2013

Kinderzimmer-Crypto by Telekom & Verisign

Filed under: Internet, Sicherheit — Tags: , , — martin @ 3:49 pm

Ich muss ja gestehen, obwohl ich mich sporadisch mit Sicherheitsgedöns auseinandersetze, war mir bisher nicht bewusst, dass der Zugriff auf das Konfigurations-Interface meines VDSL-Routers “Speedport W 722V” SSL-verschlüsselt erfolgt. Bis heute der Browser eine Fehlermeldung auswarf. Mal schauen:

20130126151658

Was ist hier passiert? Das SSL-Zertifikat ist vor 3 Wochen nach 4 Jahren Gültigkeit abgelaufen. Naja. Kommt vor. Aber Moment? Nochmal genau hinschauen:

Issuer: O=VeriSign Trust Network, OU=VeriSign, Inc., OU=VeriSign International Server CA – Class 3, OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
Validity
Not Before: Jan  7 00:00:00 2009 GMT
Not After : Jan  6 23:59:59 2013 GMT
Subject: C=DE, ST=Hessen, L=Darmstadt, O=Deutsche Telekom AG, OU=P&I PSO/DCS, CN=speedport.ip

Die Deutsche Telekom besorgt sich also beim SSL-Weltmarktführer Symantec/Verisign ein SSL-Zertifikat, ausgestellt auf einen Fantasie-Hostnamen, mit fetten 4 Jahren Laufzeit, obwohl eigene SSL-Root-Zertifikate der Telekom in jedem Browser hinterlegt sind. Da wollten die hausinternen Kollegen wohl nicht mitspielen, so dass man irgendeinen windigen Deal mit Verisign abwickeln musste. Abenteuerlich Nummer 1.

Zum anderen hat der Telekom-Support im hauseigenen Forum bereits verlautbart, dass für solche alten Geräte kein Firmware-Update kommen wird. Ist ja auch nur ein VDSL-Router, sowas benutzt heute bestimmt niemand mehr. Abenteuerlich Nummer 2:

20130126153228

Verlinkt ist ein Artikel, in dem beschrieben ist, wie man den Zertifikatshinweis im Browser dauerhaft unterdrücken kann. Abenteuerlich Nummer 3.

Die Deutsche Telekom wirft also auf ein Web-Interface im privaten LAN, oder gar im verschlüsselten WLAN, eine aufgrund des fehlenden Angriffsszenario sowieso schon unnötige Transportverschlüsselung drauf, versucht es mit dieser Verisign-Nummer halbwegs richtig zu machen, hat aber keinen Plan für den Fall, dass das Gerät länger als 3-4 Jahre beim Kunden im Einsatz ist. (Das ist nebenbei bemerkt der Grund, warum ich meinen Kunden von länger als 1 Jahr laufenden SSL-Zertifikaten abrate: Schon allein, damit man nicht in die Versuchung kommt, keinen Prozess für den Zertifikatsablauf zu etablieren.)

Als Workaround werden die Telekom-Kunden schließlich mit einer Klickanleitung trainiert dafür, wie man den Browser zwingt, auf Webseiten mit kaputten SSL-Zertifikaten zuzugreifen. Diese Zivilisationstechnik kann man ja immer mal gebrauchen. Dafür herzlichen Dank.

Endnutzer zu einem verantwortungsvollen und aufmerksamen Umgang mit solchen Sicherheitsverfahren zu erziehen, geht aber anders, liebe Telekom.

January 2, 2013

29C3 Dot Log

Filed under: Egoblogging — Tags: , — martin @ 2:23 pm

IMG_1254Auch dieses Jahr war ich wieder beim Chaos Communication Congress. Dieses Jahr fand der 29. Congress nicht in Berlin statt, sondern im Congress-Centrum-Hamburg.

Während des Schreibens dieses Blogpost fingen Schreiber auf Presse, Twitter und Blogs an, sich geradezu gegenseitig zu übertrumpfen, was die Berichte über den Congress angeht. Ich weiß nicht, ob ich da mit meinem stur runtergeschriebenen Congresstagebuch mithalten kann. Auf das bis zur Absurdität aufgebauschte zentrale Reizthema des Congress werde ich in diesem Post jedenfalls nicht eingehen und es auch nicht beim Namen nennen.

IMG_1256Viele meiner Mitreisenden aus den vergangenen Jahren waren aufgrund familiärer Verpflichtungen abgesprungen, so dass ich am dritten Advent noch Trübsal blasend zuhause gesessen habe und nicht nach Hamburg fahren wollte. Ein Glück, dass mich ein wirklich treuer Freund und Kollege aus alten Zeiten aus diesem Tief rausgeholt hat, denn, meine Fresse, wer nicht in Hamburg war, hat wirklich was verpasst.

Am Ende fanden sich anstelle der Bekannten, die schon langfristig abgesagt hatten, doch noch einige, die kurzfristig hingefahren waren. Ich hätte es wirklich bereut, den Congressbesuch abgesagt zu haben.

IMG_1263Das CCH war zu großen Teilen durch den Congress belegt, und ich kann euch sagen, das Rumgetue von wegen intergalaktischer Gemeinschaft und Raumschiff usw., wurde noch nie so gut in die Realität umgesetzt, wie hier. Selbst an Tag 4 habe ich noch Ecken entdeckt, wo ich vorher noch nicht gewesen war, und bin auf Treppen abgebogen, die mich in Gegenden brachten, wo ich vorher noch nie war. Die Aussicht von der gemütlichen Nichtraucher-Lounge “Ten Forward” (ein Star-Trek-Begriff, mit dem ich wie üblich nichts anfangen kann; auf Esperanto habe ich sie “Dek Antaŭen” getauft), war spektakulär. Vielleicht war sie ein wenig entlegen, aber das muss man bei der Lage ganz oben wohl akzeptieren.

Ich habe diesmal überhaupt kein Rahmenprogramm für mich gehabt und den Congress nur zum Schlafen und Frühstücken verlassen. Und das hat sich gelohnt, denn so ganz ohne Ablenkung wurde die Veranstaltung echt zum stressfreien Erlebnis. Socializing ist für mich kein großes Thema, denn ich kann Leute im allgemeinen ja nicht so gut leiden. Also habe ich mir einen Talk nach dem anderen angeschaut. Die will ich hier mal rekapitulieren.

Tag 1

IMG_1273An Tag 1 hatte ich es pünktlich zur Keynote “Not my department” (Youtube) in Saal 1 geschafft, und, meine Fresse, der ist riesig. In den Reihen wurde spekuliert, ob das Berliner Congress Center (BCC), in dem der Congress in den Jahren vorher stattfand, allein in diesen Saal vielleicht komplett, inklusive Kuppel und altem Hackcenter, hineinpassen würde. Jacob Appelbaums Keynote selbst hat mich persönlich nicht wirklich inspiriert. Wir werden ausspioniert, die Paranoia ist berechtigt, alles ganz schlimm. Ein positiver Ausblick hat gefehlt, aber wahrscheinlich gibt es auch keinen.

Der nächste Vortrag in Saal 6, von der Größe etwa vergleichbar mit den beiden kleinen Sälen im BCC: “What accessibility has to do with security” (Youtube). Der Sound im Saal war hier etwas fragwürdig und machte es zusammen mit dem schnellen Vortragsstil der Referentin etwas schwer beim Thema zu bleiben. Kein uninteressantes Thema, aber meistens ging es um die Diskrepanzen zwischen Webseiten im grafischen Browser und im textbasierten Browser und der Security-Aspekt schien nur vereinzelt durch.

Weiter ging es in Saal 4, hinter dessen etwas verstecktem Zugang sich ein Saal von der Größe des großen Saals 1 in Berlin verbarg mit dem Thema “Defend your Freedoms Online: It’s Political, Stupid!” (Youtube), Untertitel “A Positive agenda against the next ACTA, SOPA, and such”. Das Thema hat mich im vergangenen Jahr natürlich sehr stark beschäftigt. Jérémie Zimmermann von LQDN ist mit dem, was bei ACTA geschafft wurde, genauso zufrieden, wie die meisten von uns auch. Ich bin aber pessimistisch und bezweifle, dass unser Aktivismus mit der Bürokratie Schritt halten können wird, und wir durch immer mehr Hintertüren immer mehr Gesetze und Regelungen gegen die Freiheit im Netz bekommen werden.

Mit “The Ethics of Activist DDOS Actions” (Youtube) ging es weiter. Mir wurde hier etwas zuviel über DDoS-Aktionen aus den späten 1990er und frühen 2000er Jahren gesprochen, obwohl es hier gerade in den letzten 5 Jahren viele neue Entwicklungen aus dem Anonymous-Bereich gegeben hat.

Mein letzter Talk für Tag 1 war dann “SCADA Strangelove” (Youtube). In schwer russisch gefärbtem Englisch ging es hier um Sicherheitslücken und Patchmanagement in industriellen Steuerungssystemen. Als Erkenntnis blieb, dass man hier, was die Awareness gegenüber Sicherheitsproblemen angeht, etwa auf dem Stand befindet, wo der Rest der IT etwa bis zum Jahr 2000 war. Wie die meisten anderen Referenten, die später noch Live-Hacks vorführten, hatte man hier Videos vorbereitet, statt wirklich live zu arbeiten. Das finde ich eigentlich okay, denn wenn hektisch live gearbeitet wird und irgendwelcher Output rasend schnell vorbeiscrollt, bleibt den Zuschauern genauso nichts anderes übrig, als dem Referenten zu glauben, dass er sie nicht verschaukelt.

Tag 2

IMG_1276An Tag 2 habe ich den Talk über das seinerzeit in 57 Sekunden verabschiedete “Meldegesetz” (Youtube) gemütlich vom Hackcenter aus im Stream angeschaut. Eine gut aufbereitete Zusammenfassung der Ereignisse, natürlich ohne vernünftiges Ergebnis, da das Verfahren noch läuft.

Beim Rüberzappen zu den Lightning Talks bin ich dann bei “The Internet Innovation Paradox” (Youtube) hängengeblieben. Hier ging es um die Frage, warum das Netz so innovationsfeindlich ist (man denke nur an IPv6 oder an Sachen wie OpenID) und wie man aus dem Dilemma herauskommen kann: “What ISPs and hosting providers let you run is the default firmware of the net.” – Leider fehlte hier ein vernünftiger Ausblick, aber vielleicht ist es ja auch schonmal ein Anfang, das Problem beim Namen zu nennen.

Anschließend bin ich zum “Certificate Authority Collapse” (Youtube) in Saal 1 aufgebrochen. Über das Scheitern des SSL-Systems wurde schon viel gesprochen. Der Referent hat hier in erster Linie herausgearbeitet, dass es keine Lösung sein kann, SSL-CAs zu regulieren, da Software, Serverbetreiber und Endbenutzer im Sicherheitssystem eine genauso wichtige Rolle spielen. Ich bin nicht ganz vom Unsinn einer CA-Regulierung überzeugt, fürchte aber, dass sie den SSL-Markt anbieterseitig verkleinern und das Angebot verteuern wird, und uns in dunkle Zeiten zurückwerfen wird, in denen noch viel mehr mit selbstsignierten Zertifikaten gearbeitet wurde, als das heute noch der Fall ist.

Der anschließende Vortrag “Trojaner-Blindflug” (Youtube) über die Zeit nach der Enthüllung des Bundestrojaners durch den CCC war ganz okay und hat die Entwicklungen seit dem letzten Congress zusammengefasst. Bahnbrechend neues war hier aber nicht zu erfahren.

Das nicht wirklich bekannt gewordene “Saal-6-Gate” mit äußerst relevanten Vorträgen im viel zu kleinen Saal 6 warf seine Schatten beim Vortrag “Sharing Access – Risiken beim Betrieb offener (WLAN-)Netze” (kein Video gefunden) voraus, bei dem bereits einige Leute vor der Tür bleiben mussten. Der Vortrag von Reto Mantz, einem Richter aus Frankfurt, hat mir das übliche ungute Gefühl gebracht, das sich bei mir einstellt, wenn Juristen Vorträge zu solchen Themen machen. Denn dabei kommt nie eine positive Message raus, sondern nur noch mehr Unsicherheit. So war die Konsequenz auch hier: Wer sein WLAN öffnet ist grundsätzlich der unklaren Rechtsprechung ausgeliefert und soll auf gute Anwälte und einen gnädigen Richter hoffen. Viel Erfolg.

Bei “The Tor software ecosystem” (Youtube) war die DoS-Attacke gegen Saal 6 dann komplett. Jacob Appelbaum und Roger Dingledine stellten hier die ganze Palette an Software vor, die um Tor herum entstanden ist. Leider scheinen die meisten Projekte nicht mehr gepflegt zu werden; mit mindestens jeder zweiten Vorstellung war die Suche nach einem Maintainer verbunden.

IMG_1266Einer der zentralen Vorträge des Abends in Saal 1 war dann “Hackers As A High-Risk Population” (Youtube), dessen Referentin wirklich extrem lange gebraucht hat, um auf den Punkt zu kommen. Am Ende hat sie Strategien vorgestellt, um “Risiken” zu minimieren, damit man nicht in Depressionen und sonstige Schwierigkeiten gestürzt wird, wenn man, ja, was eigentlich? Auf der letzten Folie war die benannte Tätigkeit als “Freedom Fighting” deklariert (siehe Foto), also vermute ich, dass es um Hacker ging, die spezifisch mit Staaten und Geheimdiensten kämpfen. So kann man z.B. an Telecomix denken und sich diesen Talk als fundierteren und weniger subjektiven Gegenpol zum letztjährigen Telecomix-Talk vorstellen, bei dem außer “do epic shit and dance” nicht viel Aussage rüberkam. Wenn das die aktuelle Bedeutungsverschiebung des Worts “Hacker” ist, bin ich nicht restlos begeistert, aber es ist zumindest mal ein Fortschritt.

Im Anschluß habe ich mir dann “Let Me Answer That for You” (Youtube) in Saal4 angeschaut. Obwohl Bekannte und Presse mir immer wieder GSM-Talks (und es folgten noch weitere) als die große Sensation verkaufen wollen, scheint mir das nicht mehr ganz zeitgemäß. Das Thema ist durch, und wird nur noch in neuen Variationen aufgearbeitet. Wenn Informatiker damit ihre Diplomarbeiten bestreiten, freut mich das zwar für sie, aber “25 Jahre alter unsicherer Mobilfunkstandard ist unsicher” reicht mir langsam als Erkenntnis.

IMG_1267“Hacker Jeopardy” (Youtube) als große Abendgala habe ich dann aufgrund des Platzangebots zum ersten mal in voller Länge gesehen.

Tag 3

An Tag 3 habe ich bis zur Nachmittagspause nicht sehr viel getan. Den “CCC Jahresrückblick” (Youtube) habe ich nebenbei im Stream verfolgt. Anschließend dann “Analytical Summary of the BlackHole Exploit Kit” (Youtube), der mich aber nicht wirklich fesseln konnte.

Anschließend war eins meiner heimlichen Lieblingsthemen an der Reihe: “Sind faire Computer möglich?” (Youtube) – Anders als uns die Anti-Apple-Presse glauben machen will, gibt es derzeit überhaupt kein einziges Stück Hardware, das “fair”, im Sinne von fairen Löhnen und Arbeitsbedingungen für alle an der Produktion beteiligten, hergestellt wurde. Faire Elektronikherstellung ist so unerforscht, dass die vom Referenten vorgestellte Maus von Nager-IT schon als Durchbruch gilt, obwohl sie nur “teilweise fair” ist. “Teilweise fair”, ob das dann überhaupt noch “fair” ist? Man arbeitet sich an vielen nicht-technischen Themen ab, aber die Tatsache, dass Rohmaterialien für Elektronik unter problematischsten Umwelt- und Arbeitsbedingungen und mit Kinderarbeit gewonnen werden, ist bisher bei kaum jemandem als Thema angekommen. Danke also für diesen Talk, der aber leider nur einen zu ganz kleinen Teilen positiven Ausblick liefern konnte.

IMG_1269“Russia’s Surveillance State” (Youtube) in Saal 1 lieferte mir dann keine neuen Erkenntnisse. Es ist ja schon hinreichend bekannt, dass die selbe Technologie zur Deep-Packet-Inspection, die in Russland zur Zensur benutzt wird, schon längst zu “friedlichen” Zwecken, wie etwa zur Filterung bestimmter Protokolle, bei deutschen Providern eingesetzt wird.

Den “Rambling Walk Through an EMV Transaction” (Youtube) habe ich dann leider nur mit einem halben Ohr im Stream verfolgt. Hier werde ich nochmal in die Aufzeichnung reinschauen.

Anschließend habe ich mich dann etwas widerwillig in “Further hacks on the Calypso platform” (Youtube), einen weiteren Talk aus der Reihe “GSM ist unsicher”, gesetzt, um gut für die zentrale Kundgebung des Congress, den “Fnord-Jahresrückblick” (Youtube) positioniert zu sein.

Tag 4

Hier ging es für mich im Stream los mit Anne Roth in Saal 1 und “Best of … Verfassungsschutz” (Youtube). Ich stehe diesen politischen Themen in größten Saal immer etwas skeptisch gegenüber, und dank Stream hatte ich leider keinen Eindruck vom Publikum im Saal. Der Talk war in jedem Fall sehr aufschlussreich und gerade noch spannend vorgetragen.

IMG_1276Der Talk “Technology in Post-Revolution Tunisia and Egypt” über nachrevolutionäre Internetinfrastruktur in Ägypten und Tunesien entfiel dann leider kurzfristig, was ich sehr schade fand. Noch mehr schade ist, dass jeder Hinweis darauf, dass er jemals geplant war, ebenfalls spurlos verschwunden ist. Der o.g. Link führt zum Google Cache.

Und damit näherte sich mein 29C3 auch schon dem Ende. Inhaltlich war ich bei “Proximax, Telex, Flashproxy oder Tor Bridges” (Youtube) schnell abgehängt. Zensurumgehungssoftware in mathematische Formeln zu packen, ist kein sehr packendes Konzept und hilft auch Leuten, die nach brauchbaren Informationen dazu suchen, nicht wirklich weiter.

Fazit

Als ich an Tag 1 in der Schlange vorm Einlass stand, bekam ich hinter mir eine Unterhaltung darüber mit, dass die Themen manchmal etwas sperrig seien, und man einfach keine Talks über Escaping-Probleme in Scriptsprachen mehr halten könne. Ich bin mir da nicht so sicher, denn für gleich mehrere neue GSM-Talks ist ja auch immer Raum genug. Vielleicht sollten Speaker zu mehr technischen Talks ermutigt, bzw. ins Programm aufgenommen werden.

IMG_1280Die kleineren Säle 4 und 6 waren deutliche Steigerungen gegenüber den kleinen Sälen, die es in Berlin gab. Zum einen aufgrund der schöneren und weniger schlauchförmigen Architektur, zum anderen wegen der größeren Kapazität. Im kleinsten Saal 6 hat mir die Atmosphäre aufgrund der Nähe zum Referenten besonders gut gefallen.

Schade ist, dass zwei der drei Säle mit Teppich ausgelegt sind, so dass das traditionelle Umwerfen von Mateflaschen nicht in gewohnter Weise zur Geltung kommen konnte.

Das LAN hat diesmal von Tag 1 an zuverlässiger funktioniert, als in vergangenen Jahren. Talks im Stream zu schauen, kommt dennoch immer wieder einem Lotteriespiel gleich. Der in den vergangenen Jahren vorhandene DVB-T-Broadcast als vom Congress-LAN losgelöster Übertragungsweg mir gefehlt.

Bei Stichwort LAN fällt mir auf, dass IPv6 dieses Jahr tatsächlich ein kleineres Thema war, als in den Jahren davor. Ich habe im Netz grade mal zwei bis drei Server auf IPv6 gesichtet, die dann auch nur sporadisch funktioniert haben. So wird das nix mit dem Aufbruch in die Zukunft.

Der Umzug nach Hamburg war für mich der erste Expansionsschub, den ich beim Congress miterleben durfte. Ein Teil meiner Befürchtung war, in sterilen Messehallen zu landen, so wie man das vom Linuxtag aus Berlin kennt. Trotz der etwas öden Umgebung des Congress-Centers ist das Gegenteil eingetreten, und der 29C3 im CCH dürfte in der Community unmittelbar Kultstatus erreicht haben. Vielen Dank an alle Organisatoren und Helfer, die das möglich gemacht haben!

Older Posts »

The Shocking Blue Green Theme. Blog at WordPress.com.

Follow

Get every new post delivered to your Inbox.