#!/bin/blog

December 31, 2011

Zusammenfassung der Congress-Saison

Filed under: Egoblogging — Tags: , , , , — martin @ 3:34 pm

Der 28. Chaos Communication Congress und BerlinSides 0x02 liegen jetzt hinter mir. Zeit zum Rekapitulieren.

Diesmal waren wir einigermaßen zeitig am Abend des 2. Weihnachtstags in Frankfurt mit dem Auto gestartet, so daß wir gut ausgeschlafen an Tag 1 zum Congress losziehen konnten. Am Ende bin ich mit etwas Grummeln im Bauch nach Hause gefahren; dazu aber unten mehr.

Tag 1

The Atari 2600 Video Computer System: The Ultimate Talk – Ich bin mit diesem, wie ich finde, sehr relevanten Vortrag in den Congress gestartet, der einen wunderbaren Überblick über die Historie der Konsolen gegeben hat, über ihre technischen Grenzen, und wie sie umgangen wurden und auch noch werden. In meiner Altersklasse fühlt man sich beim Atari 2600 schon heimisch, allerdings habe ich selbst nie eines besessen. Der Vortrag war es auf jeden Fall wert.

Datamining for Hackers – Hier ging es um die Frage, ob sich in der verschlüsselten Skype-Kommunikation Sätze und Wörter allein anhand anhand einer Auswertung der Paketgrößen erkennen lassen. Das liegt, wenn man mal 1-2 Minuten darüber nachdenkt, nicht zu fern, und erinnert mich ein wenig ans Van-Eck-Phreaking. Viele Leute, mit denen ich gesprochen habe, waren hier von der eher unspektakulären Erkennungsrate enttäuscht, mir hat das Konzept aber gut gefallen. Es handelt sich definitiv um ein Problem, das Skype zu lösen haben wird.

802.11 Packets in Packets – Das war ein ganz erstaunlicher Vortrag. Ich bezweifle, daß irgendjemand vorher damit gerechnet hätte, daß man im Zigbee-Protokoll einfach den Layer-2-Header in der Payload nachbauen muß, und dann nur noch ein kippendes Bit im Originalheader braucht, um erfolgreich den Link Layer zu spoofen. Leider ist die Überleitung zu 802.11b am Ende etwas sperrig geraten. Ich bin in der Annahme aus dem Vortrag gegangen, daß der Angriff für das etwas exotischere Zigbee-Protokoll relevanter ist als für aktuelle WLAN-Generationen.

Defending mobile phones – Offen gesagt haben wir diesen Vortrag nur mitgenommen, um uns Sitze für die folgende Kaminsky-Show warmzuhalten. Der Vortrag wäre auf der technischen Seite durchaus verbesserungswürdig gewesen. In affenartiger Geschwindigkeit zwischen xterms hin- und herzuschalten, ein Handy in die Luft zu halten und zu sagen, daß die Zuschauer jetzt glauben müssen, daß ein Spoofing stattgefunden hat, ist jedenfalls nicht sehr mitreißend. Hier kann man entweder eine Kamera aufs Handy richten, um die Show zu verbessern, oder die Vorführung weglassen. Letzteres hat bei “Packets in Packets” schließlich auch funktioniert, ohne daß ich mich um einen Beweis der Machbarkeit betrogen gefühlt hätte.

Black Ops of TCP/IP 2011 – Dan Kaminsky war dieses Jahr endlich wieder mit einem Vortrag auf dem Congress vertreten, blieb aber leider hinter den großen Erwartungen zurück. Er machte einen sehr langen Exkurs zu Bitcoin, aus dem hervorging, daß IP-Spoofing eine interessante Sache ist, um dann dazu überzuleiten, wie man per IP-Spoofing erkennen könnte, ob ein sonst unerkanntes Bandbreitenmanagement vorgenommen wird. Ich bin mir allerdings nicht zu 100% sicher, ob ich das als Konsequenz des Vortrags richtig verstanden habe, und habe mir ehrlich gesagt nicht die Mühe gemacht, mir das Ding nochmal anzuschauen. Ich mag Dan sehr, aber ich habe schon deutlich dichtere und fesselndere Vorträge von ihm gesehen.

Tag 2 / Berlin Sides

An Tag 2 haben wir uns ausschließlich der parallel stattfindenden BerlinSides gewidmet, die in der Universal Hall stattfand. Die Distanz zwischen Publikum und Vortragendem war hier immer noch sehr viel kleiner als beim Congress, aber ich merke an, daß am neuen Veranstaltungsort eine Bühne vorhanden war, während der Vortragende vor einem Jahr noch direkt vor der ersten Stuhlreihe auf selber Höhe stand. Der Charme war noch da, aber ich glaube, daß er Schwierigkeiten haben könnte, die nächsten 1-2 Expansionsschübe zu überstehen.

x86 oddities – Ich habe diesen Vortrag tapfer im Auditorium durchgehalten, aber hier ging es um x86-Maschinencode, und ich müßte massiv schwindeln, wenn ich behaupten wollte, daß ich nicht schon auf der dritten Folie komplett abgehängt war.

Protecting Software – Diesen Vortrag habe ich in der Übertragung zum Thekenbereich verfolgt, und war eher enttäuscht. Zum einen hat mich das Thema etwas gegen den Strich erwischt, denn ich will eigentlich nichts darüber hören, wie man Löhnware geschlossen hält. Zum anderen hatte ich den Eindruck, daß der Vortragende seine eigene Geschichte mit allen Besonderheiten (automatisches Lizenzmanagement per E-Mail, srsly?) erzählt hat, ohne sich so weit mit dem Thema auseinandergesetzt zu haben, daß er zu einer vom aktuellen Anwendungsfall abstrahierten Betrachtungsweise gekommen wäre.

Turning the TabLeS – Hier wurde das Crossbear-Projekt vorgestellt, das ein weiteres Reputationssystem für SSL-Zertifikate etablieren will. Ich halte mich in SSL-Fragen schon für einigermaßen kompetent und war mit dem Vortrag eher unzufrieden. Im persönlichen Gespräch wurde das aber wieder etwas relativiert. Was die beiden deutschen Wissenschaftler hier betreiben, hat in meinen Augen keinesfalls das Potenzial, um zu der Lösung für das SSL-Problem zu werden; man kann aber nur schwer abstreiten, daß der Erkenntnisgewinn einen durchaus beträchtlichen Wert hat im Hinblick auf Projekte, die in späteren Jahren kommen werden.

A Salesman’s Guide to SE – Ein inhaltlich großartiger Vortrag von einem Referenten, der von Verkäuferschulungen auf Social Engineering umgestiegen ist. Seinen Vortrag hat er mangels Routine leider nicht so sehr gut an den Mann gebracht, aber die aufgezeigten Parallelen zwischen Verkaufen und Social Engineering waren sehr gut nachzuvollziehen.

How not to blow up your customer – Hier hat Andreas eher aus dem Nähkästchen geplaudert, als sich um gut aufbereitete Vermittlung irgendwelcher Erkenntnise zu kümmern. Dank Unterhaltungswert ging der Vortrag über die Risiken bei Penetration Tests aber in Ordnung.

Tag 3

CCC-Jahresrückblick (28C3) – Hier habe ich nach einer Stunde abgebrochen. Die Veranstaltung gehört natürlich wie jedes Jahr dazu, aber wer die Aktivitäten des CCC einigermaßen im Alltag verfolgt, kann sie sich in meinen Augen eigentlich sparen. Danach sind wir wieder zu BerlinSides rübergemacht.

Silent web app testing by example (BerlinSides) – Das war für mich der Vortrag, für den sich alles gelohnt hat. Mir laufen im Tagesgeschäft immer grausige automatisierte Penetration Tests über den Weg, mit tausenden von Log-Einträgen im Webserverlog, die zweifelsfrei irgendwelchen Scan-Tools zugeordnet werden können. Hier ging es aber darum, wie man Sicherheitsprobleme auf Websites mit einfachsten Mitteln durch reguläre und legitime Benutzung erkennen kann. Jede einzelne Folie des Vortrags stellte ein Konzept vor, über dessen vollkommen lächerliche Offensichtlichkeit man für sich genommen jeweils mit den Schultern zucken würde. In der vorliegenden verdichteten Form haben all diese relativ klein und trivial erscheinen Maßnahmen jedoch nochmal eine ganz eigene Dynamik angenommen. Ich kann kaum erwarten, daß die Slides dazu online gehen.

How to enhance geeks (BerlinSides) – Hier trug eine charmante Dame vor, die Trinity aus Matrix als eins der Idole ihrer Kindheit vorstellte, und mir damit zeigte, wo ich altersmäßig so hingehöre. Der Vortrag handelte vom geistigen und körperlichen Wohlbefinden, um das unsereins sich leider viel zu selten kümmert. Interessant, aber ich weiß noch nicht, was ich vom sehr stark auf Meditation liegenden Schwerpunkt halten soll.

Am frühen Abend haben wir dann eine private Führung durch den Bundestag mitgemacht, die mich leider einige interessante Vorträge gekostet hat. Auch wenn der Besuch im Bundestag wirklich super war, werde ich solche vorbestimmten Doppel- oder in diesem Fall sogar Dreifachtermine in Zukunft entschieden meiden.

Workshop: Esperanto por kodumuloj (28C3) – “Esperanto für Nerds”. Nachdem ich mich in den vergangenen Monaten intensiv mit der internationalen Plansprache Esperanto beschäftigt habe, war ich ganz froh darüber, hier einen Esperanto-Workshop mitnehmen zu können. Würfel und Maha hatten eine Liste mit Fachbegriffen der IT zusammengestellt, die durchgearbeitet wurde. Leider ist mir bei keinem Workshopteilnehmer aufgefallen, daß er signalisiert hätte, über Esperanto-Kenntnisse zu verfügen. (Eine evtl. Vorstellungsrunde hätte ich verpaßt, aber ich war wirklich nur 5 Minuten zu spät im Workshop.) Noch dazu verabschiedete sich etwa ein Drittel der Teilnehmer aus dem laufenden Workshop, was etwas auf die Stimmung drückte. Am Ende wurde dann die Zeit knapp, die nächste Gruppe begehrte Einlaß und alles rannte auseinander, ohne daß man mal hätte Saluton sagen können. Ich hatte mich wirklich riesig vorgefreut und war am Ende ziemlich enttäuscht. Wenn ich trotz dieses Vorfalls bis Herbst 2012 noch bei der Sache bin, werde ich versuchen, einen der erfahreneren Esperanto-Profis aus dem Club dazu zu bewegen, daß ich ihn bei einem Workshop unterstützen darf. Ich bin kein Sprachgenie und kein Linguist, aber vielleicht kann ich mich als Anfänger doch besser in die Sicht der potenziellen Anfänger hineinversetzen.

Tag 4

Your Disaster/Crisis/Revolution just got Pwned – Mir ist nicht ganz klar, auf was dieser Vortrag hinauswollte. Wer ist dieser “you”, dem die Revolution kaputtgemacht wird? Was hat das mit Naturkatastrophen zu tun? Es wurde, kurz gesagt, eine Art politischer und strategischer Leitfaden an die Hand gegeben für den Fall, daß man das nächste Telecomix aufbauen will. Ich bin nicht ganz unbefangen und fürchte, in diesem Moment einem Freund und Kollegen auf den Leim zu gehen, der mir seit Monaten unmißverständlich klarmacht, daß er den Herrn Urbach nicht leiden kann. Dennoch schien ein Geschmäckle nach dem Muster “so toll haben wir das gemacht, und nun schaut mal zu, ob ihr auch irgendwas so toll hinbekommt” objektiv unübersehbar zu sein. Mir hat das jedenfalls nicht so wirklich gut gefallen. Ich bin bei Beginn der Fragerunde ausgestiegen.

Danach wurde die Lage kompliziert. Saal 2 mit dem deutschsprachigen Vortrag zu Antiforensik war brechend voll, also habe ich mich in Saal 1 mit From Press Freedom to the Freedom of information gesetzt, der wirklich nur locker gefüllt war. Andere schreiben “fast voll”, aber 30-40 leere Plätze allein in den Reihen direkt vor mir sprechen eine andere Sprache. Ich traue nach den vergangenen Jahren keinem Journalisten zu, daß er bereit ist, Freiheit weiter zu tragen, als er es tun muß, um seine Pressefreiheit sicherzustellen. Aus diesem Grund will ich keinen Journalisten auf der Hauptbühne vor einem nur zu 70% besetzten Saal sehen, während an anderer Stelle Leute aus einem voll und ganz für Hacker relevanten technischen Talk rausgeschickt werden, der, wie aus der Aufzeichnung hervorgeht, auch noch in einen zu kurzen Zeitslot gepresst worden war. Mein Eindruck war, daß es, wenn eine internationale Organisation von Presseleuten vorträgt, wohl einfach de-facto nicht unter Saal 1 geht.

Leider mußten wir früh abreisen, und so reiste ich dann ab und hatte an Tag 4 nur politische Vorträge gesehen.

Fazit

Schon vor 30 Jahren beim BTX-Hack hat der CCC eine politische Rolle gespielt, und das darf, soll und muß er auch heute noch. Dennoch, und das werden mir viele als Ignoranz und Kaltschnäuzigkeit auslegen, will ich auf einem Hackercongress nicht ununterbrochen mit politischem und pazifistischem Aktivismus beschallt werden.

Wieder andere werden noch dazu einwenden, daß es sich – Stichwort Esperanto – auch nicht um einen Linguistikcongress gehandelt hat, und da haben sie auch voll und ganz recht. Allerdings gab es in der Vergangenheit auch Esperanto-Vorträge, von denen vermutlich noch nie ein halb voller Saal 1 belegt wurde, während Leute aus knallharten Security-Veranstaltungen herausgeschickt wurden. Solange sie nicht aufgrund des Zeitgeists massiv in den Mittelpunkt geschoben werden, halte ich solche Randgebiete auf jeden Fall für betrachtenswert. (Das “Konzert” beim 27C3 in Saal 1 handelte mit Creative Commons übrigens von einem zentraleren Hackerthema und hatte einen hohen Unterhaltungswert.)

Ich bin zwar schon seit den 1990er Jahren Mitglied im Club, verfüge aber nur über wenig Congresserfahrung und weiß daher nicht, ob es mir zusteht, mich so aufzuspielen. Ich bin auf der anderen Seite auch nicht der Überflieger, der für etwas anderes als elitärste Hackerthemen nicht aus dem Bett aufsteht, und für neue Sichtweisen bekannter Sachverhalte bin ich sogar immer dankbar. Tatsache ist aber, daß ich einen großen Teil meines Lebensunterhalts mit IT-Sicherheit verdiene, und ich vom Congress kein Schaulaufen potentieller Friedensnobelpreisträger erwarte.

Noch kann man nicht behaupten, daß die Kernthemen unmittelbar zu kurz kamen, aber wenn sie ohne Not auch nur punktuell an den Rand gedrängt werden, stimmt mich das nachdenklich. Das Karussell der gefeierten Protagonisten dreht sich seit Wikileaks und Assange einfach zu schnell, um nicht den Eindruck entstehen zu lassen, daß Hackerthemen vor lauter mit aktuellem Bezug hektisch vorgetragenem politischem Aktivismus irgendwann kürzer kommen könnten, als sie eigentlich sollten.

Auch wenn es im Keller irgendwie kultiger war, hat mir die Lounge im Zelt dieses Jahr sehr gut gefallen, und ich habe kichernd dringesessen (es war nur Alkohol im Spiel), und mich über die dörfliche Zeltdisco mitten in der Stadt gefreut. Leider wird es dieses Jahr nach meinen Informationen keine Recordings aus der Lounge geben, was ich sehr schade finde.

Nach der ACAB-Archivbildmaschine des vergangenen Jahrs kam das Catering-Rondell dieses Jahr wieder ohne größere Installation aus und wirkte dadurch weniger beengt, was mir auch gut gefiel.

Nachdem ich mich ins Engelsystem eingetragen hatte, aber nicht geengelt habe, werde ich auch nächstes Jahr wieder am Drama um den Ticketkauf teilnehmen müssen. Das ist nicht zu ändern, aber vielleicht wird ja alles auch viel weniger schrecklich. 😉

Mein Vorsatz für den nächsten Congress ist, ihm meine weniger geteilte Aufmerksamkeit zukommen zu lassen. BerlinSides findet 2012 an einem anderen Termin statt, und das ist nach der Lauferei der beiden Vorjahre aus meiner Sicht auch gut so. Irgendwie habe ich dieses Jahr gemerkt, daß ich es überhaupt niemandem wirklich habe recht machen können. Und davon am allerwenigsten mir selbst.

Leave a Comment »

No comments yet.

RSS feed for comments on this post. TrackBack URI

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Create a free website or blog at WordPress.com.

%d bloggers like this: