#!/bin/blog

December 31, 2011

Zusammenfassung der Congress-Saison

Filed under: Egoblogging — Tags: , , , , — martin @ 3:34 pm

Der 28. Chaos Communication Congress und BerlinSides 0x02 liegen jetzt hinter mir. Zeit zum Rekapitulieren.

Diesmal waren wir einigermaßen zeitig am Abend des 2. Weihnachtstags in Frankfurt mit dem Auto gestartet, so daß wir gut ausgeschlafen an Tag 1 zum Congress losziehen konnten. Am Ende bin ich mit etwas Grummeln im Bauch nach Hause gefahren; dazu aber unten mehr.

Tag 1

The Atari 2600 Video Computer System: The Ultimate Talk – Ich bin mit diesem, wie ich finde, sehr relevanten Vortrag in den Congress gestartet, der einen wunderbaren Überblick über die Historie der Konsolen gegeben hat, über ihre technischen Grenzen, und wie sie umgangen wurden und auch noch werden. In meiner Altersklasse fühlt man sich beim Atari 2600 schon heimisch, allerdings habe ich selbst nie eines besessen. Der Vortrag war es auf jeden Fall wert.

Datamining for Hackers – Hier ging es um die Frage, ob sich in der verschlüsselten Skype-Kommunikation Sätze und Wörter allein anhand anhand einer Auswertung der Paketgrößen erkennen lassen. Das liegt, wenn man mal 1-2 Minuten darüber nachdenkt, nicht zu fern, und erinnert mich ein wenig ans Van-Eck-Phreaking. Viele Leute, mit denen ich gesprochen habe, waren hier von der eher unspektakulären Erkennungsrate enttäuscht, mir hat das Konzept aber gut gefallen. Es handelt sich definitiv um ein Problem, das Skype zu lösen haben wird.

802.11 Packets in Packets – Das war ein ganz erstaunlicher Vortrag. Ich bezweifle, daß irgendjemand vorher damit gerechnet hätte, daß man im Zigbee-Protokoll einfach den Layer-2-Header in der Payload nachbauen muß, und dann nur noch ein kippendes Bit im Originalheader braucht, um erfolgreich den Link Layer zu spoofen. Leider ist die Überleitung zu 802.11b am Ende etwas sperrig geraten. Ich bin in der Annahme aus dem Vortrag gegangen, daß der Angriff für das etwas exotischere Zigbee-Protokoll relevanter ist als für aktuelle WLAN-Generationen.

Defending mobile phones – Offen gesagt haben wir diesen Vortrag nur mitgenommen, um uns Sitze für die folgende Kaminsky-Show warmzuhalten. Der Vortrag wäre auf der technischen Seite durchaus verbesserungswürdig gewesen. In affenartiger Geschwindigkeit zwischen xterms hin- und herzuschalten, ein Handy in die Luft zu halten und zu sagen, daß die Zuschauer jetzt glauben müssen, daß ein Spoofing stattgefunden hat, ist jedenfalls nicht sehr mitreißend. Hier kann man entweder eine Kamera aufs Handy richten, um die Show zu verbessern, oder die Vorführung weglassen. Letzteres hat bei “Packets in Packets” schließlich auch funktioniert, ohne daß ich mich um einen Beweis der Machbarkeit betrogen gefühlt hätte.

Black Ops of TCP/IP 2011 – Dan Kaminsky war dieses Jahr endlich wieder mit einem Vortrag auf dem Congress vertreten, blieb aber leider hinter den großen Erwartungen zurück. Er machte einen sehr langen Exkurs zu Bitcoin, aus dem hervorging, daß IP-Spoofing eine interessante Sache ist, um dann dazu überzuleiten, wie man per IP-Spoofing erkennen könnte, ob ein sonst unerkanntes Bandbreitenmanagement vorgenommen wird. Ich bin mir allerdings nicht zu 100% sicher, ob ich das als Konsequenz des Vortrags richtig verstanden habe, und habe mir ehrlich gesagt nicht die Mühe gemacht, mir das Ding nochmal anzuschauen. Ich mag Dan sehr, aber ich habe schon deutlich dichtere und fesselndere Vorträge von ihm gesehen.

Tag 2 / Berlin Sides

An Tag 2 haben wir uns ausschließlich der parallel stattfindenden BerlinSides gewidmet, die in der Universal Hall stattfand. Die Distanz zwischen Publikum und Vortragendem war hier immer noch sehr viel kleiner als beim Congress, aber ich merke an, daß am neuen Veranstaltungsort eine Bühne vorhanden war, während der Vortragende vor einem Jahr noch direkt vor der ersten Stuhlreihe auf selber Höhe stand. Der Charme war noch da, aber ich glaube, daß er Schwierigkeiten haben könnte, die nächsten 1-2 Expansionsschübe zu überstehen.

x86 oddities – Ich habe diesen Vortrag tapfer im Auditorium durchgehalten, aber hier ging es um x86-Maschinencode, und ich müßte massiv schwindeln, wenn ich behaupten wollte, daß ich nicht schon auf der dritten Folie komplett abgehängt war.

Protecting Software – Diesen Vortrag habe ich in der Übertragung zum Thekenbereich verfolgt, und war eher enttäuscht. Zum einen hat mich das Thema etwas gegen den Strich erwischt, denn ich will eigentlich nichts darüber hören, wie man Löhnware geschlossen hält. Zum anderen hatte ich den Eindruck, daß der Vortragende seine eigene Geschichte mit allen Besonderheiten (automatisches Lizenzmanagement per E-Mail, srsly?) erzählt hat, ohne sich so weit mit dem Thema auseinandergesetzt zu haben, daß er zu einer vom aktuellen Anwendungsfall abstrahierten Betrachtungsweise gekommen wäre.

Turning the TabLeS – Hier wurde das Crossbear-Projekt vorgestellt, das ein weiteres Reputationssystem für SSL-Zertifikate etablieren will. Ich halte mich in SSL-Fragen schon für einigermaßen kompetent und war mit dem Vortrag eher unzufrieden. Im persönlichen Gespräch wurde das aber wieder etwas relativiert. Was die beiden deutschen Wissenschaftler hier betreiben, hat in meinen Augen keinesfalls das Potenzial, um zu der Lösung für das SSL-Problem zu werden; man kann aber nur schwer abstreiten, daß der Erkenntnisgewinn einen durchaus beträchtlichen Wert hat im Hinblick auf Projekte, die in späteren Jahren kommen werden.

A Salesman’s Guide to SE – Ein inhaltlich großartiger Vortrag von einem Referenten, der von Verkäuferschulungen auf Social Engineering umgestiegen ist. Seinen Vortrag hat er mangels Routine leider nicht so sehr gut an den Mann gebracht, aber die aufgezeigten Parallelen zwischen Verkaufen und Social Engineering waren sehr gut nachzuvollziehen.

How not to blow up your customer – Hier hat Andreas eher aus dem Nähkästchen geplaudert, als sich um gut aufbereitete Vermittlung irgendwelcher Erkenntnise zu kümmern. Dank Unterhaltungswert ging der Vortrag über die Risiken bei Penetration Tests aber in Ordnung.

Tag 3

CCC-Jahresrückblick (28C3) – Hier habe ich nach einer Stunde abgebrochen. Die Veranstaltung gehört natürlich wie jedes Jahr dazu, aber wer die Aktivitäten des CCC einigermaßen im Alltag verfolgt, kann sie sich in meinen Augen eigentlich sparen. Danach sind wir wieder zu BerlinSides rübergemacht.

Silent web app testing by example (BerlinSides) – Das war für mich der Vortrag, für den sich alles gelohnt hat. Mir laufen im Tagesgeschäft immer grausige automatisierte Penetration Tests über den Weg, mit tausenden von Log-Einträgen im Webserverlog, die zweifelsfrei irgendwelchen Scan-Tools zugeordnet werden können. Hier ging es aber darum, wie man Sicherheitsprobleme auf Websites mit einfachsten Mitteln durch reguläre und legitime Benutzung erkennen kann. Jede einzelne Folie des Vortrags stellte ein Konzept vor, über dessen vollkommen lächerliche Offensichtlichkeit man für sich genommen jeweils mit den Schultern zucken würde. In der vorliegenden verdichteten Form haben all diese relativ klein und trivial erscheinen Maßnahmen jedoch nochmal eine ganz eigene Dynamik angenommen. Ich kann kaum erwarten, daß die Slides dazu online gehen.

How to enhance geeks (BerlinSides) – Hier trug eine charmante Dame vor, die Trinity aus Matrix als eins der Idole ihrer Kindheit vorstellte, und mir damit zeigte, wo ich altersmäßig so hingehöre. Der Vortrag handelte vom geistigen und körperlichen Wohlbefinden, um das unsereins sich leider viel zu selten kümmert. Interessant, aber ich weiß noch nicht, was ich vom sehr stark auf Meditation liegenden Schwerpunkt halten soll.

Am frühen Abend haben wir dann eine private Führung durch den Bundestag mitgemacht, die mich leider einige interessante Vorträge gekostet hat. Auch wenn der Besuch im Bundestag wirklich super war, werde ich solche vorbestimmten Doppel- oder in diesem Fall sogar Dreifachtermine in Zukunft entschieden meiden.

Workshop: Esperanto por kodumuloj (28C3) – “Esperanto für Nerds”. Nachdem ich mich in den vergangenen Monaten intensiv mit der internationalen Plansprache Esperanto beschäftigt habe, war ich ganz froh darüber, hier einen Esperanto-Workshop mitnehmen zu können. Würfel und Maha hatten eine Liste mit Fachbegriffen der IT zusammengestellt, die durchgearbeitet wurde. Leider ist mir bei keinem Workshopteilnehmer aufgefallen, daß er signalisiert hätte, über Esperanto-Kenntnisse zu verfügen. (Eine evtl. Vorstellungsrunde hätte ich verpaßt, aber ich war wirklich nur 5 Minuten zu spät im Workshop.) Noch dazu verabschiedete sich etwa ein Drittel der Teilnehmer aus dem laufenden Workshop, was etwas auf die Stimmung drückte. Am Ende wurde dann die Zeit knapp, die nächste Gruppe begehrte Einlaß und alles rannte auseinander, ohne daß man mal hätte Saluton sagen können. Ich hatte mich wirklich riesig vorgefreut und war am Ende ziemlich enttäuscht. Wenn ich trotz dieses Vorfalls bis Herbst 2012 noch bei der Sache bin, werde ich versuchen, einen der erfahreneren Esperanto-Profis aus dem Club dazu zu bewegen, daß ich ihn bei einem Workshop unterstützen darf. Ich bin kein Sprachgenie und kein Linguist, aber vielleicht kann ich mich als Anfänger doch besser in die Sicht der potenziellen Anfänger hineinversetzen.

Tag 4

Your Disaster/Crisis/Revolution just got Pwned – Mir ist nicht ganz klar, auf was dieser Vortrag hinauswollte. Wer ist dieser “you”, dem die Revolution kaputtgemacht wird? Was hat das mit Naturkatastrophen zu tun? Es wurde, kurz gesagt, eine Art politischer und strategischer Leitfaden an die Hand gegeben für den Fall, daß man das nächste Telecomix aufbauen will. Ich bin nicht ganz unbefangen und fürchte, in diesem Moment einem Freund und Kollegen auf den Leim zu gehen, der mir seit Monaten unmißverständlich klarmacht, daß er den Herrn Urbach nicht leiden kann. Dennoch schien ein Geschmäckle nach dem Muster “so toll haben wir das gemacht, und nun schaut mal zu, ob ihr auch irgendwas so toll hinbekommt” objektiv unübersehbar zu sein. Mir hat das jedenfalls nicht so wirklich gut gefallen. Ich bin bei Beginn der Fragerunde ausgestiegen.

Danach wurde die Lage kompliziert. Saal 2 mit dem deutschsprachigen Vortrag zu Antiforensik war brechend voll, also habe ich mich in Saal 1 mit From Press Freedom to the Freedom of information gesetzt, der wirklich nur locker gefüllt war. Andere schreiben “fast voll”, aber 30-40 leere Plätze allein in den Reihen direkt vor mir sprechen eine andere Sprache. Ich traue nach den vergangenen Jahren keinem Journalisten zu, daß er bereit ist, Freiheit weiter zu tragen, als er es tun muß, um seine Pressefreiheit sicherzustellen. Aus diesem Grund will ich keinen Journalisten auf der Hauptbühne vor einem nur zu 70% besetzten Saal sehen, während an anderer Stelle Leute aus einem voll und ganz für Hacker relevanten technischen Talk rausgeschickt werden, der, wie aus der Aufzeichnung hervorgeht, auch noch in einen zu kurzen Zeitslot gepresst worden war. Mein Eindruck war, daß es, wenn eine internationale Organisation von Presseleuten vorträgt, wohl einfach de-facto nicht unter Saal 1 geht.

Leider mußten wir früh abreisen, und so reiste ich dann ab und hatte an Tag 4 nur politische Vorträge gesehen.

Fazit

Schon vor 30 Jahren beim BTX-Hack hat der CCC eine politische Rolle gespielt, und das darf, soll und muß er auch heute noch. Dennoch, und das werden mir viele als Ignoranz und Kaltschnäuzigkeit auslegen, will ich auf einem Hackercongress nicht ununterbrochen mit politischem und pazifistischem Aktivismus beschallt werden.

Wieder andere werden noch dazu einwenden, daß es sich – Stichwort Esperanto – auch nicht um einen Linguistikcongress gehandelt hat, und da haben sie auch voll und ganz recht. Allerdings gab es in der Vergangenheit auch Esperanto-Vorträge, von denen vermutlich noch nie ein halb voller Saal 1 belegt wurde, während Leute aus knallharten Security-Veranstaltungen herausgeschickt wurden. Solange sie nicht aufgrund des Zeitgeists massiv in den Mittelpunkt geschoben werden, halte ich solche Randgebiete auf jeden Fall für betrachtenswert. (Das “Konzert” beim 27C3 in Saal 1 handelte mit Creative Commons übrigens von einem zentraleren Hackerthema und hatte einen hohen Unterhaltungswert.)

Ich bin zwar schon seit den 1990er Jahren Mitglied im Club, verfüge aber nur über wenig Congresserfahrung und weiß daher nicht, ob es mir zusteht, mich so aufzuspielen. Ich bin auf der anderen Seite auch nicht der Überflieger, der für etwas anderes als elitärste Hackerthemen nicht aus dem Bett aufsteht, und für neue Sichtweisen bekannter Sachverhalte bin ich sogar immer dankbar. Tatsache ist aber, daß ich einen großen Teil meines Lebensunterhalts mit IT-Sicherheit verdiene, und ich vom Congress kein Schaulaufen potentieller Friedensnobelpreisträger erwarte.

Noch kann man nicht behaupten, daß die Kernthemen unmittelbar zu kurz kamen, aber wenn sie ohne Not auch nur punktuell an den Rand gedrängt werden, stimmt mich das nachdenklich. Das Karussell der gefeierten Protagonisten dreht sich seit Wikileaks und Assange einfach zu schnell, um nicht den Eindruck entstehen zu lassen, daß Hackerthemen vor lauter mit aktuellem Bezug hektisch vorgetragenem politischem Aktivismus irgendwann kürzer kommen könnten, als sie eigentlich sollten.

Auch wenn es im Keller irgendwie kultiger war, hat mir die Lounge im Zelt dieses Jahr sehr gut gefallen, und ich habe kichernd dringesessen (es war nur Alkohol im Spiel), und mich über die dörfliche Zeltdisco mitten in der Stadt gefreut. Leider wird es dieses Jahr nach meinen Informationen keine Recordings aus der Lounge geben, was ich sehr schade finde.

Nach der ACAB-Archivbildmaschine des vergangenen Jahrs kam das Catering-Rondell dieses Jahr wieder ohne größere Installation aus und wirkte dadurch weniger beengt, was mir auch gut gefiel.

Nachdem ich mich ins Engelsystem eingetragen hatte, aber nicht geengelt habe, werde ich auch nächstes Jahr wieder am Drama um den Ticketkauf teilnehmen müssen. Das ist nicht zu ändern, aber vielleicht wird ja alles auch viel weniger schrecklich. 😉

Mein Vorsatz für den nächsten Congress ist, ihm meine weniger geteilte Aufmerksamkeit zukommen zu lassen. BerlinSides findet 2012 an einem anderen Termin statt, und das ist nach der Lauferei der beiden Vorjahre aus meiner Sicht auch gut so. Irgendwie habe ich dieses Jahr gemerkt, daß ich es überhaupt niemandem wirklich habe recht machen können. Und davon am allerwenigsten mir selbst.

Advertisements

January 2, 2010

C3 for absolute beginners

Filed under: Egoblogging — Tags: , , , — martin @ 8:49 pm

After months-long constant prodding by my dear friend and colleague G., I attended 2009’s 26th Chaos Communication Congress (26C3) last week. A first-time C3 visit for me.

Because of family reasons, I was only able to arrive on the second day around noon. This caused unexpected problems regarding the acquisition of a ticket for me, but thanks to the tireless effort of another valued colleague (B.), I got my ticket on day 2 and everything was fine.

Day 2

Day 2 (which was the first for G. and me) was dominated by our attempts to find our way around BCC, the Berlin Conference Center. Pressured by B., the first talk we attended was “A part time scientists’ perspective of getting to the moon“. I was the first one from our little group to walk out of this after about 15 minutes, due to the bad english and the constant presentation issues.

After lunch (around 15:00), we went to see the big Fefe show event “Vier Fäuste für ein Halleluja“, which was fairly funny. It must have been that afternoon that I registered my GSM phone on the congress network, which worked without any problems whatsoever. Somewhat later, we discovered the “Lounge” in the basement next to the Hackcenter, where we spent all of the early evening. Lots of cool music. G. had a few smokes and I achieved a new high score at FlightControl on the iPhone. 😉

Exciting Tales of Journalists Getting Spied on, Arrested and Deported” at 23:00 was entertaining, but my impression was that it didn’t quite live up to the expectations of the audience. After the second round of “Hacker Jeopardy“, we left the venue and went back to the Hotel. After some hanging around in the lobby, everyone was in bed at three in the morning.

Day 3

Got up early after far too few hours of sleep, but due to fuzzy coordination with the others and spending too much time for breakfast, missed the 11:30 CCC retrospective for 2009. Went to see “Vom Kreationismus zum Kollektivismus“, a great talk about creationism, which was unfortunately timed rather badly. As far as I’m concerned, time was up before the speaker was able to reach a palpable conclusion.

Next in the same room was “Kunstfreiheit statt Hackerparagraph“. A great subject, entirely wasted. About one-third of the audience left the room during the talk, which was quite embarassing.

After lunch, we attended the “Lost Cosmonauts” talk, which was somewhat puzzling. Being about “Critical Thinking”, I started to expect the speaker to sell us his version of the truth, to later reveal how he had fooled us. Unfortunately, this was not the case and the conclusion was that one point of the “lost cosmonauts” story was mostly caused by a faulty translation. Honestly: Where’s the beef, sir?

The next talk, ““Yes We Can’t!” – on kleptography and cryptovirology“, is a highly interesting topic. In plain english, it was about how computer criminals utilize cryptographic techniques. Unfortunately, it was presented in a very boring, academic way, with crypto-theoretic formula talk that didn’t do the subject any justice at all. Also, the slides were in desperate need of an overhaul as they contained an excessive amount of references to floppy-disk vintage computing. Give this subject to the “Tales of Journalists” guy from Day 2 and everyone in the room will have a great time. I left about 20 minutes before the end of the talk.

After dinner, we absolutely had to get into Room 1 for the big Fefe and Kaminsky shows that were to follow later that evening. We were late for Bre Pettis’ talk about “Peanut Butter and Plastic: Industrial Revolution“, but happened to be in a small group that the brilliant Nick Farr allowed into the room to stand on the side until the end of Bre’s Talk.

We stood through the “Fnord Retrospective 2009” as well, and were able to grab two great seats for Dan Kaminsky’s “Black ops of PKI” talk. Dan’s talk was stellar, as it detailed a number of serious flaws in the practical application of SSL that I had already encountered in my work for a client. This was downright marvellous, as I had never heard someone speak out these issues outside my work environment. I really had a hard time believing that this was actually happening and sat through a few passages of the talk with a dropped jaw.

We skipped the game show event that day and everyone went to bed early.

Day 4

Day 4 was departure day. We only attended one talk before we left, and that that was “Wikipedia – Wegen Irrelevanz gelöscht” about the German Wikipedia’s deletion policy, which was somewhat nightmarish. I was surprised to see Usenet-style flame warfare adopted in a real life setting. Quite a few facepalms there, with more than one person from the auditorium asking unrelated feisty questions.

Conclusion

As you’ve seen, there have been a number of talks I was dissatisfied with. However, this has been more than made up by Dan Kaminsky, who confirmed my SSL troubles and gave me an impression of how deeply SSL and X.509 are really flawed.

The wireless LAN was working okay for me most of the time. I had registered a spare mobile phone with the local GSM network, which worked surprisingly well, including DECT interoperation, call-out, call-in and SMS. Other than the few hundred people in the Hackcenter, I opted not to use the 26C3 as a cheap opportunity for re-stocking my pr0n collection. I regret that we missed to pay a visit to C-Base. Also, it’s a shame that I failed to meet a few of my Twitter followers despite them being in the same building as me.

(On the other hand, I had an interesting encounter at the chinese fast food place over at the train station. I asked Melle about this t-shirt, but he wasn’t able to explain it quickly to me. Seconds later, an unknown lady from the other side of the table discretely handed me her iPhone with this XKCD cartoon loaded. Nice. Yes, the chinese restaurant was that crowded with CCC people.)

See you next December at 27C3, folks. 🙂

May 28, 2008

Mit Plan planlos

Filed under: Egoblogging — Tags: — martin @ 7:22 pm

Mitte der Neunziger habe ich mal kurze Zeit in Berlin gearbeitet. Und weil es diese neckischen portablen Navigationssysteme noch nicht gab, hatte ich mir damals gleich als erstes einen Stadtplan besorgt. Das damals auf ein halbes Jahr angesetzte Projekt wurde, weil der Kunde plötzlich pleite war, nach zwei Wochen abgeblasen, und so lag der druckfrische Stadtplan mehr als 10 Jahre lang bei mir zuhause herum.

Heute war der große Tag, an dem er wieder zum Einsatz kommen sollte. Und, was soll ich sagen? Es war zwecklos. Der Berliner Verkehrslinienplan aus meinem Stadplan hat mit der Realität nicht das geringste gemein. Bahn- und Buslinien sind neu hinzugekommen. Neue Bahnhöfe. Umbenannte Bahnhöfe. Da, wo es im modernen Berlin einiges zu sehen gibt, war damals noch Brachland. Ein Glück nur, daß am neuen Berliner Hauptbahnhof praktisch alle Sehenswürdigkeiten fußgängerfreundlich ausgeschildert sind. So hat es dann mit der kleinen Sightseeing-Tour im Alleingang doch noch geklappt. 🙂

Kahlgeschorene U-Bahn-Kontrollöre in Nazikleidern

Filed under: Egoblogging — Tags: — martin @ 4:30 pm

Nach vielen Jahren wieder in Berlin. Und dann gleich ein Stoßtrupp Kontrollöre in szenetypischen Markenklamotten, alle Mann. Herzlich willkommen in der Hauptstadt der Bundesrepublik Deutschland!

Create a free website or blog at WordPress.com.