#!/bin/blog

January 2, 2013

29C3 Dot Log

Filed under: Egoblogging — Tags: , — martin @ 2:23 pm

IMG_1254Auch dieses Jahr war ich wieder beim Chaos Communication Congress. Dieses Jahr fand der 29. Congress nicht in Berlin statt, sondern im Congress-Centrum-Hamburg.

Während des Schreibens dieses Blogpost fingen Schreiber auf Presse, Twitter und Blogs an, sich geradezu gegenseitig zu übertrumpfen, was die Berichte über den Congress angeht. Ich weiß nicht, ob ich da mit meinem stur runtergeschriebenen Congresstagebuch mithalten kann. Auf das bis zur Absurdität aufgebauschte zentrale Reizthema des Congress werde ich in diesem Post jedenfalls nicht eingehen und es auch nicht beim Namen nennen.

IMG_1256Viele meiner Mitreisenden aus den vergangenen Jahren waren aufgrund familiärer Verpflichtungen abgesprungen, so dass ich am dritten Advent noch Trübsal blasend zuhause gesessen habe und nicht nach Hamburg fahren wollte. Ein Glück, dass mich ein wirklich treuer Freund und Kollege aus alten Zeiten aus diesem Tief rausgeholt hat, denn, meine Fresse, wer nicht in Hamburg war, hat wirklich was verpasst.

Am Ende fanden sich anstelle der Bekannten, die schon langfristig abgesagt hatten, doch noch einige, die kurzfristig hingefahren waren. Ich hätte es wirklich bereut, den Congressbesuch abgesagt zu haben.

IMG_1263Das CCH war zu großen Teilen durch den Congress belegt, und ich kann euch sagen, das Rumgetue von wegen intergalaktischer Gemeinschaft und Raumschiff usw., wurde noch nie so gut in die Realität umgesetzt, wie hier. Selbst an Tag 4 habe ich noch Ecken entdeckt, wo ich vorher noch nicht gewesen war, und bin auf Treppen abgebogen, die mich in Gegenden brachten, wo ich vorher noch nie war. Die Aussicht von der gemütlichen Nichtraucher-Lounge “Ten Forward” (ein Star-Trek-Begriff, mit dem ich wie üblich nichts anfangen kann; auf Esperanto habe ich sie “Dek Antaŭen” getauft), war spektakulär. Vielleicht war sie ein wenig entlegen, aber das muss man bei der Lage ganz oben wohl akzeptieren.

Ich habe diesmal überhaupt kein Rahmenprogramm für mich gehabt und den Congress nur zum Schlafen und Frühstücken verlassen. Und das hat sich gelohnt, denn so ganz ohne Ablenkung wurde die Veranstaltung echt zum stressfreien Erlebnis. Socializing ist für mich kein großes Thema, denn ich kann Leute im allgemeinen ja nicht so gut leiden. Also habe ich mir einen Talk nach dem anderen angeschaut. Die will ich hier mal rekapitulieren.

Tag 1

IMG_1273An Tag 1 hatte ich es pünktlich zur Keynote “Not my department” (Youtube) in Saal 1 geschafft, und, meine Fresse, der ist riesig. In den Reihen wurde spekuliert, ob das Berliner Congress Center (BCC), in dem der Congress in den Jahren vorher stattfand, allein in diesen Saal vielleicht komplett, inklusive Kuppel und altem Hackcenter, hineinpassen würde. Jacob Appelbaums Keynote selbst hat mich persönlich nicht wirklich inspiriert. Wir werden ausspioniert, die Paranoia ist berechtigt, alles ganz schlimm. Ein positiver Ausblick hat gefehlt, aber wahrscheinlich gibt es auch keinen.

Der nächste Vortrag in Saal 6, von der Größe etwa vergleichbar mit den beiden kleinen Sälen im BCC: “What accessibility has to do with security” (Youtube). Der Sound im Saal war hier etwas fragwürdig und machte es zusammen mit dem schnellen Vortragsstil der Referentin etwas schwer beim Thema zu bleiben. Kein uninteressantes Thema, aber meistens ging es um die Diskrepanzen zwischen Webseiten im grafischen Browser und im textbasierten Browser und der Security-Aspekt schien nur vereinzelt durch.

Weiter ging es in Saal 4, hinter dessen etwas verstecktem Zugang sich ein Saal von der Größe des großen Saals 1 in Berlin verbarg mit dem Thema “Defend your Freedoms Online: It’s Political, Stupid!” (Youtube), Untertitel “A Positive agenda against the next ACTA, SOPA, and such”. Das Thema hat mich im vergangenen Jahr natürlich sehr stark beschäftigt. Jérémie Zimmermann von LQDN ist mit dem, was bei ACTA geschafft wurde, genauso zufrieden, wie die meisten von uns auch. Ich bin aber pessimistisch und bezweifle, dass unser Aktivismus mit der Bürokratie Schritt halten können wird, und wir durch immer mehr Hintertüren immer mehr Gesetze und Regelungen gegen die Freiheit im Netz bekommen werden.

Mit “The Ethics of Activist DDOS Actions” (Youtube) ging es weiter. Mir wurde hier etwas zuviel über DDoS-Aktionen aus den späten 1990er und frühen 2000er Jahren gesprochen, obwohl es hier gerade in den letzten 5 Jahren viele neue Entwicklungen aus dem Anonymous-Bereich gegeben hat.

Mein letzter Talk für Tag 1 war dann “SCADA Strangelove” (Youtube). In schwer russisch gefärbtem Englisch ging es hier um Sicherheitslücken und Patchmanagement in industriellen Steuerungssystemen. Als Erkenntnis blieb, dass man hier, was die Awareness gegenüber Sicherheitsproblemen angeht, etwa auf dem Stand befindet, wo der Rest der IT etwa bis zum Jahr 2000 war. Wie die meisten anderen Referenten, die später noch Live-Hacks vorführten, hatte man hier Videos vorbereitet, statt wirklich live zu arbeiten. Das finde ich eigentlich okay, denn wenn hektisch live gearbeitet wird und irgendwelcher Output rasend schnell vorbeiscrollt, bleibt den Zuschauern genauso nichts anderes übrig, als dem Referenten zu glauben, dass er sie nicht verschaukelt.

Tag 2

IMG_1276An Tag 2 habe ich den Talk über das seinerzeit in 57 Sekunden verabschiedete “Meldegesetz” (Youtube) gemütlich vom Hackcenter aus im Stream angeschaut. Eine gut aufbereitete Zusammenfassung der Ereignisse, natürlich ohne vernünftiges Ergebnis, da das Verfahren noch läuft.

Beim Rüberzappen zu den Lightning Talks bin ich dann bei “The Internet Innovation Paradox” (Youtube) hängengeblieben. Hier ging es um die Frage, warum das Netz so innovationsfeindlich ist (man denke nur an IPv6 oder an Sachen wie OpenID) und wie man aus dem Dilemma herauskommen kann: “What ISPs and hosting providers let you run is the default firmware of the net.” – Leider fehlte hier ein vernünftiger Ausblick, aber vielleicht ist es ja auch schonmal ein Anfang, das Problem beim Namen zu nennen.

Anschließend bin ich zum “Certificate Authority Collapse” (Youtube) in Saal 1 aufgebrochen. Über das Scheitern des SSL-Systems wurde schon viel gesprochen. Der Referent hat hier in erster Linie herausgearbeitet, dass es keine Lösung sein kann, SSL-CAs zu regulieren, da Software, Serverbetreiber und Endbenutzer im Sicherheitssystem eine genauso wichtige Rolle spielen. Ich bin nicht ganz vom Unsinn einer CA-Regulierung überzeugt, fürchte aber, dass sie den SSL-Markt anbieterseitig verkleinern und das Angebot verteuern wird, und uns in dunkle Zeiten zurückwerfen wird, in denen noch viel mehr mit selbstsignierten Zertifikaten gearbeitet wurde, als das heute noch der Fall ist.

Der anschließende Vortrag “Trojaner-Blindflug” (Youtube) über die Zeit nach der Enthüllung des Bundestrojaners durch den CCC war ganz okay und hat die Entwicklungen seit dem letzten Congress zusammengefasst. Bahnbrechend neues war hier aber nicht zu erfahren.

Das nicht wirklich bekannt gewordene “Saal-6-Gate” mit äußerst relevanten Vorträgen im viel zu kleinen Saal 6 warf seine Schatten beim Vortrag “Sharing Access – Risiken beim Betrieb offener (WLAN-)Netze” (kein Video gefunden) voraus, bei dem bereits einige Leute vor der Tür bleiben mussten. Der Vortrag von Reto Mantz, einem Richter aus Frankfurt, hat mir das übliche ungute Gefühl gebracht, das sich bei mir einstellt, wenn Juristen Vorträge zu solchen Themen machen. Denn dabei kommt nie eine positive Message raus, sondern nur noch mehr Unsicherheit. So war die Konsequenz auch hier: Wer sein WLAN öffnet ist grundsätzlich der unklaren Rechtsprechung ausgeliefert und soll auf gute Anwälte und einen gnädigen Richter hoffen. Viel Erfolg.

Bei “The Tor software ecosystem” (Youtube) war die DoS-Attacke gegen Saal 6 dann komplett. Jacob Appelbaum und Roger Dingledine stellten hier die ganze Palette an Software vor, die um Tor herum entstanden ist. Leider scheinen die meisten Projekte nicht mehr gepflegt zu werden; mit mindestens jeder zweiten Vorstellung war die Suche nach einem Maintainer verbunden.

IMG_1266Einer der zentralen Vorträge des Abends in Saal 1 war dann “Hackers As A High-Risk Population” (Youtube), dessen Referentin wirklich extrem lange gebraucht hat, um auf den Punkt zu kommen. Am Ende hat sie Strategien vorgestellt, um “Risiken” zu minimieren, damit man nicht in Depressionen und sonstige Schwierigkeiten gestürzt wird, wenn man, ja, was eigentlich? Auf der letzten Folie war die benannte Tätigkeit als “Freedom Fighting” deklariert (siehe Foto), also vermute ich, dass es um Hacker ging, die spezifisch mit Staaten und Geheimdiensten kämpfen. So kann man z.B. an Telecomix denken und sich diesen Talk als fundierteren und weniger subjektiven Gegenpol zum letztjährigen Telecomix-Talk vorstellen, bei dem außer “do epic shit and dance” nicht viel Aussage rüberkam. Wenn das die aktuelle Bedeutungsverschiebung des Worts “Hacker” ist, bin ich nicht restlos begeistert, aber es ist zumindest mal ein Fortschritt.

Im Anschluß habe ich mir dann “Let Me Answer That for You” (Youtube) in Saal4 angeschaut. Obwohl Bekannte und Presse mir immer wieder GSM-Talks (und es folgten noch weitere) als die große Sensation verkaufen wollen, scheint mir das nicht mehr ganz zeitgemäß. Das Thema ist durch, und wird nur noch in neuen Variationen aufgearbeitet. Wenn Informatiker damit ihre Diplomarbeiten bestreiten, freut mich das zwar für sie, aber “25 Jahre alter unsicherer Mobilfunkstandard ist unsicher” reicht mir langsam als Erkenntnis.

IMG_1267“Hacker Jeopardy” (Youtube) als große Abendgala habe ich dann aufgrund des Platzangebots zum ersten mal in voller Länge gesehen.

Tag 3

An Tag 3 habe ich bis zur Nachmittagspause nicht sehr viel getan. Den “CCC Jahresrückblick” (Youtube) habe ich nebenbei im Stream verfolgt. Anschließend dann “Analytical Summary of the BlackHole Exploit Kit” (Youtube), der mich aber nicht wirklich fesseln konnte.

Anschließend war eins meiner heimlichen Lieblingsthemen an der Reihe: “Sind faire Computer möglich?” (Youtube) – Anders als uns die Anti-Apple-Presse glauben machen will, gibt es derzeit überhaupt kein einziges Stück Hardware, das “fair”, im Sinne von fairen Löhnen und Arbeitsbedingungen für alle an der Produktion beteiligten, hergestellt wurde. Faire Elektronikherstellung ist so unerforscht, dass die vom Referenten vorgestellte Maus von Nager-IT schon als Durchbruch gilt, obwohl sie nur “teilweise fair” ist. “Teilweise fair”, ob das dann überhaupt noch “fair” ist? Man arbeitet sich an vielen nicht-technischen Themen ab, aber die Tatsache, dass Rohmaterialien für Elektronik unter problematischsten Umwelt- und Arbeitsbedingungen und mit Kinderarbeit gewonnen werden, ist bisher bei kaum jemandem als Thema angekommen. Danke also für diesen Talk, der aber leider nur einen zu ganz kleinen Teilen positiven Ausblick liefern konnte.

IMG_1269“Russia’s Surveillance State” (Youtube) in Saal 1 lieferte mir dann keine neuen Erkenntnisse. Es ist ja schon hinreichend bekannt, dass die selbe Technologie zur Deep-Packet-Inspection, die in Russland zur Zensur benutzt wird, schon längst zu “friedlichen” Zwecken, wie etwa zur Filterung bestimmter Protokolle, bei deutschen Providern eingesetzt wird.

Den “Rambling Walk Through an EMV Transaction” (Youtube) habe ich dann leider nur mit einem halben Ohr im Stream verfolgt. Hier werde ich nochmal in die Aufzeichnung reinschauen.

Anschließend habe ich mich dann etwas widerwillig in “Further hacks on the Calypso platform” (Youtube), einen weiteren Talk aus der Reihe “GSM ist unsicher”, gesetzt, um gut für die zentrale Kundgebung des Congress, den “Fnord-Jahresrückblick” (Youtube) positioniert zu sein.

Tag 4

Hier ging es für mich im Stream los mit Anne Roth in Saal 1 und “Best of … Verfassungsschutz” (Youtube). Ich stehe diesen politischen Themen in größten Saal immer etwas skeptisch gegenüber, und dank Stream hatte ich leider keinen Eindruck vom Publikum im Saal. Der Talk war in jedem Fall sehr aufschlussreich und gerade noch spannend vorgetragen.

IMG_1276Der Talk “Technology in Post-Revolution Tunisia and Egypt” über nachrevolutionäre Internetinfrastruktur in Ägypten und Tunesien entfiel dann leider kurzfristig, was ich sehr schade fand. Noch mehr schade ist, dass jeder Hinweis darauf, dass er jemals geplant war, ebenfalls spurlos verschwunden ist. Der o.g. Link führt zum Google Cache.

Und damit näherte sich mein 29C3 auch schon dem Ende. Inhaltlich war ich bei “Proximax, Telex, Flashproxy oder Tor Bridges” (Youtube) schnell abgehängt. Zensurumgehungssoftware in mathematische Formeln zu packen, ist kein sehr packendes Konzept und hilft auch Leuten, die nach brauchbaren Informationen dazu suchen, nicht wirklich weiter.

Fazit

Als ich an Tag 1 in der Schlange vorm Einlass stand, bekam ich hinter mir eine Unterhaltung darüber mit, dass die Themen manchmal etwas sperrig seien, und man einfach keine Talks über Escaping-Probleme in Scriptsprachen mehr halten könne. Ich bin mir da nicht so sicher, denn für gleich mehrere neue GSM-Talks ist ja auch immer Raum genug. Vielleicht sollten Speaker zu mehr technischen Talks ermutigt, bzw. ins Programm aufgenommen werden.

IMG_1280Die kleineren Säle 4 und 6 waren deutliche Steigerungen gegenüber den kleinen Sälen, die es in Berlin gab. Zum einen aufgrund der schöneren und weniger schlauchförmigen Architektur, zum anderen wegen der größeren Kapazität. Im kleinsten Saal 6 hat mir die Atmosphäre aufgrund der Nähe zum Referenten besonders gut gefallen.

Schade ist, dass zwei der drei Säle mit Teppich ausgelegt sind, so dass das traditionelle Umwerfen von Mateflaschen nicht in gewohnter Weise zur Geltung kommen konnte.

Das LAN hat diesmal von Tag 1 an zuverlässiger funktioniert, als in vergangenen Jahren. Talks im Stream zu schauen, kommt dennoch immer wieder einem Lotteriespiel gleich. Der in den vergangenen Jahren vorhandene DVB-T-Broadcast als vom Congress-LAN losgelöster Übertragungsweg mir gefehlt.

Bei Stichwort LAN fällt mir auf, dass IPv6 dieses Jahr tatsächlich ein kleineres Thema war, als in den Jahren davor. Ich habe im Netz grade mal zwei bis drei Server auf IPv6 gesichtet, die dann auch nur sporadisch funktioniert haben. So wird das nix mit dem Aufbruch in die Zukunft.

Der Umzug nach Hamburg war für mich der erste Expansionsschub, den ich beim Congress miterleben durfte. Ein Teil meiner Befürchtung war, in sterilen Messehallen zu landen, so wie man das vom Linuxtag aus Berlin kennt. Trotz der etwas öden Umgebung des Congress-Centers ist das Gegenteil eingetreten, und der 29C3 im CCH dürfte in der Community unmittelbar Kultstatus erreicht haben. Vielen Dank an alle Organisatoren und Helfer, die das möglich gemacht haben!

December 31, 2011

Zusammenfassung der Congress-Saison

Filed under: Egoblogging — Tags: , , , , — martin @ 3:34 pm

Der 28. Chaos Communication Congress und BerlinSides 0x02 liegen jetzt hinter mir. Zeit zum Rekapitulieren.

Diesmal waren wir einigermaßen zeitig am Abend des 2. Weihnachtstags in Frankfurt mit dem Auto gestartet, so daß wir gut ausgeschlafen an Tag 1 zum Congress losziehen konnten. Am Ende bin ich mit etwas Grummeln im Bauch nach Hause gefahren; dazu aber unten mehr.

Tag 1

The Atari 2600 Video Computer System: The Ultimate Talk – Ich bin mit diesem, wie ich finde, sehr relevanten Vortrag in den Congress gestartet, der einen wunderbaren Überblick über die Historie der Konsolen gegeben hat, über ihre technischen Grenzen, und wie sie umgangen wurden und auch noch werden. In meiner Altersklasse fühlt man sich beim Atari 2600 schon heimisch, allerdings habe ich selbst nie eines besessen. Der Vortrag war es auf jeden Fall wert.

Datamining for Hackers – Hier ging es um die Frage, ob sich in der verschlüsselten Skype-Kommunikation Sätze und Wörter allein anhand anhand einer Auswertung der Paketgrößen erkennen lassen. Das liegt, wenn man mal 1-2 Minuten darüber nachdenkt, nicht zu fern, und erinnert mich ein wenig ans Van-Eck-Phreaking. Viele Leute, mit denen ich gesprochen habe, waren hier von der eher unspektakulären Erkennungsrate enttäuscht, mir hat das Konzept aber gut gefallen. Es handelt sich definitiv um ein Problem, das Skype zu lösen haben wird.

802.11 Packets in Packets – Das war ein ganz erstaunlicher Vortrag. Ich bezweifle, daß irgendjemand vorher damit gerechnet hätte, daß man im Zigbee-Protokoll einfach den Layer-2-Header in der Payload nachbauen muß, und dann nur noch ein kippendes Bit im Originalheader braucht, um erfolgreich den Link Layer zu spoofen. Leider ist die Überleitung zu 802.11b am Ende etwas sperrig geraten. Ich bin in der Annahme aus dem Vortrag gegangen, daß der Angriff für das etwas exotischere Zigbee-Protokoll relevanter ist als für aktuelle WLAN-Generationen.

Defending mobile phones – Offen gesagt haben wir diesen Vortrag nur mitgenommen, um uns Sitze für die folgende Kaminsky-Show warmzuhalten. Der Vortrag wäre auf der technischen Seite durchaus verbesserungswürdig gewesen. In affenartiger Geschwindigkeit zwischen xterms hin- und herzuschalten, ein Handy in die Luft zu halten und zu sagen, daß die Zuschauer jetzt glauben müssen, daß ein Spoofing stattgefunden hat, ist jedenfalls nicht sehr mitreißend. Hier kann man entweder eine Kamera aufs Handy richten, um die Show zu verbessern, oder die Vorführung weglassen. Letzteres hat bei “Packets in Packets” schließlich auch funktioniert, ohne daß ich mich um einen Beweis der Machbarkeit betrogen gefühlt hätte.

Black Ops of TCP/IP 2011 – Dan Kaminsky war dieses Jahr endlich wieder mit einem Vortrag auf dem Congress vertreten, blieb aber leider hinter den großen Erwartungen zurück. Er machte einen sehr langen Exkurs zu Bitcoin, aus dem hervorging, daß IP-Spoofing eine interessante Sache ist, um dann dazu überzuleiten, wie man per IP-Spoofing erkennen könnte, ob ein sonst unerkanntes Bandbreitenmanagement vorgenommen wird. Ich bin mir allerdings nicht zu 100% sicher, ob ich das als Konsequenz des Vortrags richtig verstanden habe, und habe mir ehrlich gesagt nicht die Mühe gemacht, mir das Ding nochmal anzuschauen. Ich mag Dan sehr, aber ich habe schon deutlich dichtere und fesselndere Vorträge von ihm gesehen.

Tag 2 / Berlin Sides

An Tag 2 haben wir uns ausschließlich der parallel stattfindenden BerlinSides gewidmet, die in der Universal Hall stattfand. Die Distanz zwischen Publikum und Vortragendem war hier immer noch sehr viel kleiner als beim Congress, aber ich merke an, daß am neuen Veranstaltungsort eine Bühne vorhanden war, während der Vortragende vor einem Jahr noch direkt vor der ersten Stuhlreihe auf selber Höhe stand. Der Charme war noch da, aber ich glaube, daß er Schwierigkeiten haben könnte, die nächsten 1-2 Expansionsschübe zu überstehen.

x86 oddities – Ich habe diesen Vortrag tapfer im Auditorium durchgehalten, aber hier ging es um x86-Maschinencode, und ich müßte massiv schwindeln, wenn ich behaupten wollte, daß ich nicht schon auf der dritten Folie komplett abgehängt war.

Protecting Software – Diesen Vortrag habe ich in der Übertragung zum Thekenbereich verfolgt, und war eher enttäuscht. Zum einen hat mich das Thema etwas gegen den Strich erwischt, denn ich will eigentlich nichts darüber hören, wie man Löhnware geschlossen hält. Zum anderen hatte ich den Eindruck, daß der Vortragende seine eigene Geschichte mit allen Besonderheiten (automatisches Lizenzmanagement per E-Mail, srsly?) erzählt hat, ohne sich so weit mit dem Thema auseinandergesetzt zu haben, daß er zu einer vom aktuellen Anwendungsfall abstrahierten Betrachtungsweise gekommen wäre.

Turning the TabLeS – Hier wurde das Crossbear-Projekt vorgestellt, das ein weiteres Reputationssystem für SSL-Zertifikate etablieren will. Ich halte mich in SSL-Fragen schon für einigermaßen kompetent und war mit dem Vortrag eher unzufrieden. Im persönlichen Gespräch wurde das aber wieder etwas relativiert. Was die beiden deutschen Wissenschaftler hier betreiben, hat in meinen Augen keinesfalls das Potenzial, um zu der Lösung für das SSL-Problem zu werden; man kann aber nur schwer abstreiten, daß der Erkenntnisgewinn einen durchaus beträchtlichen Wert hat im Hinblick auf Projekte, die in späteren Jahren kommen werden.

A Salesman’s Guide to SE – Ein inhaltlich großartiger Vortrag von einem Referenten, der von Verkäuferschulungen auf Social Engineering umgestiegen ist. Seinen Vortrag hat er mangels Routine leider nicht so sehr gut an den Mann gebracht, aber die aufgezeigten Parallelen zwischen Verkaufen und Social Engineering waren sehr gut nachzuvollziehen.

How not to blow up your customer – Hier hat Andreas eher aus dem Nähkästchen geplaudert, als sich um gut aufbereitete Vermittlung irgendwelcher Erkenntnise zu kümmern. Dank Unterhaltungswert ging der Vortrag über die Risiken bei Penetration Tests aber in Ordnung.

Tag 3

CCC-Jahresrückblick (28C3) – Hier habe ich nach einer Stunde abgebrochen. Die Veranstaltung gehört natürlich wie jedes Jahr dazu, aber wer die Aktivitäten des CCC einigermaßen im Alltag verfolgt, kann sie sich in meinen Augen eigentlich sparen. Danach sind wir wieder zu BerlinSides rübergemacht.

Silent web app testing by example (BerlinSides) – Das war für mich der Vortrag, für den sich alles gelohnt hat. Mir laufen im Tagesgeschäft immer grausige automatisierte Penetration Tests über den Weg, mit tausenden von Log-Einträgen im Webserverlog, die zweifelsfrei irgendwelchen Scan-Tools zugeordnet werden können. Hier ging es aber darum, wie man Sicherheitsprobleme auf Websites mit einfachsten Mitteln durch reguläre und legitime Benutzung erkennen kann. Jede einzelne Folie des Vortrags stellte ein Konzept vor, über dessen vollkommen lächerliche Offensichtlichkeit man für sich genommen jeweils mit den Schultern zucken würde. In der vorliegenden verdichteten Form haben all diese relativ klein und trivial erscheinen Maßnahmen jedoch nochmal eine ganz eigene Dynamik angenommen. Ich kann kaum erwarten, daß die Slides dazu online gehen.

How to enhance geeks (BerlinSides) – Hier trug eine charmante Dame vor, die Trinity aus Matrix als eins der Idole ihrer Kindheit vorstellte, und mir damit zeigte, wo ich altersmäßig so hingehöre. Der Vortrag handelte vom geistigen und körperlichen Wohlbefinden, um das unsereins sich leider viel zu selten kümmert. Interessant, aber ich weiß noch nicht, was ich vom sehr stark auf Meditation liegenden Schwerpunkt halten soll.

Am frühen Abend haben wir dann eine private Führung durch den Bundestag mitgemacht, die mich leider einige interessante Vorträge gekostet hat. Auch wenn der Besuch im Bundestag wirklich super war, werde ich solche vorbestimmten Doppel- oder in diesem Fall sogar Dreifachtermine in Zukunft entschieden meiden.

Workshop: Esperanto por kodumuloj (28C3) – “Esperanto für Nerds”. Nachdem ich mich in den vergangenen Monaten intensiv mit der internationalen Plansprache Esperanto beschäftigt habe, war ich ganz froh darüber, hier einen Esperanto-Workshop mitnehmen zu können. Würfel und Maha hatten eine Liste mit Fachbegriffen der IT zusammengestellt, die durchgearbeitet wurde. Leider ist mir bei keinem Workshopteilnehmer aufgefallen, daß er signalisiert hätte, über Esperanto-Kenntnisse zu verfügen. (Eine evtl. Vorstellungsrunde hätte ich verpaßt, aber ich war wirklich nur 5 Minuten zu spät im Workshop.) Noch dazu verabschiedete sich etwa ein Drittel der Teilnehmer aus dem laufenden Workshop, was etwas auf die Stimmung drückte. Am Ende wurde dann die Zeit knapp, die nächste Gruppe begehrte Einlaß und alles rannte auseinander, ohne daß man mal hätte Saluton sagen können. Ich hatte mich wirklich riesig vorgefreut und war am Ende ziemlich enttäuscht. Wenn ich trotz dieses Vorfalls bis Herbst 2012 noch bei der Sache bin, werde ich versuchen, einen der erfahreneren Esperanto-Profis aus dem Club dazu zu bewegen, daß ich ihn bei einem Workshop unterstützen darf. Ich bin kein Sprachgenie und kein Linguist, aber vielleicht kann ich mich als Anfänger doch besser in die Sicht der potenziellen Anfänger hineinversetzen.

Tag 4

Your Disaster/Crisis/Revolution just got Pwned – Mir ist nicht ganz klar, auf was dieser Vortrag hinauswollte. Wer ist dieser “you”, dem die Revolution kaputtgemacht wird? Was hat das mit Naturkatastrophen zu tun? Es wurde, kurz gesagt, eine Art politischer und strategischer Leitfaden an die Hand gegeben für den Fall, daß man das nächste Telecomix aufbauen will. Ich bin nicht ganz unbefangen und fürchte, in diesem Moment einem Freund und Kollegen auf den Leim zu gehen, der mir seit Monaten unmißverständlich klarmacht, daß er den Herrn Urbach nicht leiden kann. Dennoch schien ein Geschmäckle nach dem Muster “so toll haben wir das gemacht, und nun schaut mal zu, ob ihr auch irgendwas so toll hinbekommt” objektiv unübersehbar zu sein. Mir hat das jedenfalls nicht so wirklich gut gefallen. Ich bin bei Beginn der Fragerunde ausgestiegen.

Danach wurde die Lage kompliziert. Saal 2 mit dem deutschsprachigen Vortrag zu Antiforensik war brechend voll, also habe ich mich in Saal 1 mit From Press Freedom to the Freedom of information gesetzt, der wirklich nur locker gefüllt war. Andere schreiben “fast voll”, aber 30-40 leere Plätze allein in den Reihen direkt vor mir sprechen eine andere Sprache. Ich traue nach den vergangenen Jahren keinem Journalisten zu, daß er bereit ist, Freiheit weiter zu tragen, als er es tun muß, um seine Pressefreiheit sicherzustellen. Aus diesem Grund will ich keinen Journalisten auf der Hauptbühne vor einem nur zu 70% besetzten Saal sehen, während an anderer Stelle Leute aus einem voll und ganz für Hacker relevanten technischen Talk rausgeschickt werden, der, wie aus der Aufzeichnung hervorgeht, auch noch in einen zu kurzen Zeitslot gepresst worden war. Mein Eindruck war, daß es, wenn eine internationale Organisation von Presseleuten vorträgt, wohl einfach de-facto nicht unter Saal 1 geht.

Leider mußten wir früh abreisen, und so reiste ich dann ab und hatte an Tag 4 nur politische Vorträge gesehen.

Fazit

Schon vor 30 Jahren beim BTX-Hack hat der CCC eine politische Rolle gespielt, und das darf, soll und muß er auch heute noch. Dennoch, und das werden mir viele als Ignoranz und Kaltschnäuzigkeit auslegen, will ich auf einem Hackercongress nicht ununterbrochen mit politischem und pazifistischem Aktivismus beschallt werden.

Wieder andere werden noch dazu einwenden, daß es sich – Stichwort Esperanto – auch nicht um einen Linguistikcongress gehandelt hat, und da haben sie auch voll und ganz recht. Allerdings gab es in der Vergangenheit auch Esperanto-Vorträge, von denen vermutlich noch nie ein halb voller Saal 1 belegt wurde, während Leute aus knallharten Security-Veranstaltungen herausgeschickt wurden. Solange sie nicht aufgrund des Zeitgeists massiv in den Mittelpunkt geschoben werden, halte ich solche Randgebiete auf jeden Fall für betrachtenswert. (Das “Konzert” beim 27C3 in Saal 1 handelte mit Creative Commons übrigens von einem zentraleren Hackerthema und hatte einen hohen Unterhaltungswert.)

Ich bin zwar schon seit den 1990er Jahren Mitglied im Club, verfüge aber nur über wenig Congresserfahrung und weiß daher nicht, ob es mir zusteht, mich so aufzuspielen. Ich bin auf der anderen Seite auch nicht der Überflieger, der für etwas anderes als elitärste Hackerthemen nicht aus dem Bett aufsteht, und für neue Sichtweisen bekannter Sachverhalte bin ich sogar immer dankbar. Tatsache ist aber, daß ich einen großen Teil meines Lebensunterhalts mit IT-Sicherheit verdiene, und ich vom Congress kein Schaulaufen potentieller Friedensnobelpreisträger erwarte.

Noch kann man nicht behaupten, daß die Kernthemen unmittelbar zu kurz kamen, aber wenn sie ohne Not auch nur punktuell an den Rand gedrängt werden, stimmt mich das nachdenklich. Das Karussell der gefeierten Protagonisten dreht sich seit Wikileaks und Assange einfach zu schnell, um nicht den Eindruck entstehen zu lassen, daß Hackerthemen vor lauter mit aktuellem Bezug hektisch vorgetragenem politischem Aktivismus irgendwann kürzer kommen könnten, als sie eigentlich sollten.

Auch wenn es im Keller irgendwie kultiger war, hat mir die Lounge im Zelt dieses Jahr sehr gut gefallen, und ich habe kichernd dringesessen (es war nur Alkohol im Spiel), und mich über die dörfliche Zeltdisco mitten in der Stadt gefreut. Leider wird es dieses Jahr nach meinen Informationen keine Recordings aus der Lounge geben, was ich sehr schade finde.

Nach der ACAB-Archivbildmaschine des vergangenen Jahrs kam das Catering-Rondell dieses Jahr wieder ohne größere Installation aus und wirkte dadurch weniger beengt, was mir auch gut gefiel.

Nachdem ich mich ins Engelsystem eingetragen hatte, aber nicht geengelt habe, werde ich auch nächstes Jahr wieder am Drama um den Ticketkauf teilnehmen müssen. Das ist nicht zu ändern, aber vielleicht wird ja alles auch viel weniger schrecklich. 😉

Mein Vorsatz für den nächsten Congress ist, ihm meine weniger geteilte Aufmerksamkeit zukommen zu lassen. BerlinSides findet 2012 an einem anderen Termin statt, und das ist nach der Lauferei der beiden Vorjahre aus meiner Sicht auch gut so. Irgendwie habe ich dieses Jahr gemerkt, daß ich es überhaupt niemandem wirklich habe recht machen können. Und davon am allerwenigsten mir selbst.

January 2, 2010

C3 for absolute beginners

Filed under: Egoblogging — Tags: , , , — martin @ 8:49 pm

After months-long constant prodding by my dear friend and colleague G., I attended 2009’s 26th Chaos Communication Congress (26C3) last week. A first-time C3 visit for me.

Because of family reasons, I was only able to arrive on the second day around noon. This caused unexpected problems regarding the acquisition of a ticket for me, but thanks to the tireless effort of another valued colleague (B.), I got my ticket on day 2 and everything was fine.

Day 2

Day 2 (which was the first for G. and me) was dominated by our attempts to find our way around BCC, the Berlin Conference Center. Pressured by B., the first talk we attended was “A part time scientists’ perspective of getting to the moon“. I was the first one from our little group to walk out of this after about 15 minutes, due to the bad english and the constant presentation issues.

After lunch (around 15:00), we went to see the big Fefe show event “Vier Fäuste für ein Halleluja“, which was fairly funny. It must have been that afternoon that I registered my GSM phone on the congress network, which worked without any problems whatsoever. Somewhat later, we discovered the “Lounge” in the basement next to the Hackcenter, where we spent all of the early evening. Lots of cool music. G. had a few smokes and I achieved a new high score at FlightControl on the iPhone. 😉

Exciting Tales of Journalists Getting Spied on, Arrested and Deported” at 23:00 was entertaining, but my impression was that it didn’t quite live up to the expectations of the audience. After the second round of “Hacker Jeopardy“, we left the venue and went back to the Hotel. After some hanging around in the lobby, everyone was in bed at three in the morning.

Day 3

Got up early after far too few hours of sleep, but due to fuzzy coordination with the others and spending too much time for breakfast, missed the 11:30 CCC retrospective for 2009. Went to see “Vom Kreationismus zum Kollektivismus“, a great talk about creationism, which was unfortunately timed rather badly. As far as I’m concerned, time was up before the speaker was able to reach a palpable conclusion.

Next in the same room was “Kunstfreiheit statt Hackerparagraph“. A great subject, entirely wasted. About one-third of the audience left the room during the talk, which was quite embarassing.

After lunch, we attended the “Lost Cosmonauts” talk, which was somewhat puzzling. Being about “Critical Thinking”, I started to expect the speaker to sell us his version of the truth, to later reveal how he had fooled us. Unfortunately, this was not the case and the conclusion was that one point of the “lost cosmonauts” story was mostly caused by a faulty translation. Honestly: Where’s the beef, sir?

The next talk, ““Yes We Can’t!” – on kleptography and cryptovirology“, is a highly interesting topic. In plain english, it was about how computer criminals utilize cryptographic techniques. Unfortunately, it was presented in a very boring, academic way, with crypto-theoretic formula talk that didn’t do the subject any justice at all. Also, the slides were in desperate need of an overhaul as they contained an excessive amount of references to floppy-disk vintage computing. Give this subject to the “Tales of Journalists” guy from Day 2 and everyone in the room will have a great time. I left about 20 minutes before the end of the talk.

After dinner, we absolutely had to get into Room 1 for the big Fefe and Kaminsky shows that were to follow later that evening. We were late for Bre Pettis’ talk about “Peanut Butter and Plastic: Industrial Revolution“, but happened to be in a small group that the brilliant Nick Farr allowed into the room to stand on the side until the end of Bre’s Talk.

We stood through the “Fnord Retrospective 2009” as well, and were able to grab two great seats for Dan Kaminsky’s “Black ops of PKI” talk. Dan’s talk was stellar, as it detailed a number of serious flaws in the practical application of SSL that I had already encountered in my work for a client. This was downright marvellous, as I had never heard someone speak out these issues outside my work environment. I really had a hard time believing that this was actually happening and sat through a few passages of the talk with a dropped jaw.

We skipped the game show event that day and everyone went to bed early.

Day 4

Day 4 was departure day. We only attended one talk before we left, and that that was “Wikipedia – Wegen Irrelevanz gelöscht” about the German Wikipedia’s deletion policy, which was somewhat nightmarish. I was surprised to see Usenet-style flame warfare adopted in a real life setting. Quite a few facepalms there, with more than one person from the auditorium asking unrelated feisty questions.

Conclusion

As you’ve seen, there have been a number of talks I was dissatisfied with. However, this has been more than made up by Dan Kaminsky, who confirmed my SSL troubles and gave me an impression of how deeply SSL and X.509 are really flawed.

The wireless LAN was working okay for me most of the time. I had registered a spare mobile phone with the local GSM network, which worked surprisingly well, including DECT interoperation, call-out, call-in and SMS. Other than the few hundred people in the Hackcenter, I opted not to use the 26C3 as a cheap opportunity for re-stocking my pr0n collection. I regret that we missed to pay a visit to C-Base. Also, it’s a shame that I failed to meet a few of my Twitter followers despite them being in the same building as me.

(On the other hand, I had an interesting encounter at the chinese fast food place over at the train station. I asked Melle about this t-shirt, but he wasn’t able to explain it quickly to me. Seconds later, an unknown lady from the other side of the table discretely handed me her iPhone with this XKCD cartoon loaded. Nice. Yes, the chinese restaurant was that crowded with CCC people.)

See you next December at 27C3, folks. 🙂

April 18, 2008

Der Inside-Job

Filed under: Security — Tags: , — martin @ 10:06 pm

$KUNDE hielt heute mit der Freitagnachmittags-Bierflasche in der Hand eine bewegende Rede ans Volk, an deren Rande er betonte, daß er jedem aus seiner bunten Beratertruppe, der sich auf “Hackerkongressen” aufhält, während gegen seine Infrastruktur irgendwelche Angriffe gefahren werden, auf der Stelle Hausverbot erteilen wird.

Später habe ich dann erfahren, daß ein ehemaliger freier Mitarbeiter des Ladens, kein pickliger Jüngling, sondern ein Kollege im gestandenen Mannesalter (ich durfte ihn vor seinem Abschied noch kurz kennenlernen), es tatsächlich geschafft hat, mit seinem Insiderwissen vom 24. Chaos Communication Congress aus eine Webserverfarm des Kunden auszuknipsen, für deren Inbetriebnahme er zuständig gewesen war. Daraufhin kam die Welt zum Stillstand und wegen der Urlaubssaison war niemand zu erreichen, so daß die Website einen Tag lang offline war. Der Experte, der am meisten über die Serverfarm wußte und sie wieder auf die Beine hätte stellen können, war der Angreifer ja immerhin selbst, und der weilte auf Urlaub in Berlin.

Anschließend hat er alles zugegeben, als “Penetration Test” deklariert und zu seiner Verteidigung vorgebracht, daß der dämliche ISP des Kunden überreagiert habe und das alles doch nur Spaß und Spiel war. (Die Story ist plausibel und ich hatte sie bereits aus anderer Richtung schonmal so ähnlich gehört.)

Oh, verdammt.

1) Hat er als Insider das Vertrauen seiner Kundschaft nicht nur mißbraucht, sondern diese auch noch vorsätzlich geschädigt.
2) Wie das technisch aussah, spielt dabei eigentlich keine Rolle. Wenn er Sicherheitsprobleme kennt, sollte er sie nicht exploiten, sondern fixen. Das ist seine Pflicht.
3) Ist der CCC, der noch nie ein “Chaos-Club” war und sich derzeit notgedrungen vom “Computer-Club” zur techniklastigen Bürgerrechtsorganisation umzubauen scheint, in den Augen dieses Kunden eine kriminelle Chaosgruppe. Wie aus dem dümmsten Klischeebaukasten der Achtziger, und das auch noch verständlicherweise.
4) Hat er dafür gesorgt, daß Personen aus dem CCC-Umfeld bei diesem Kunden nun unter Generalverdacht stehen.

Das schlimme ist nicht, daß er das ganze rumerzählt hat, sondern das schlimme ist, daß er es getan hat. Wirklich eine grandiose Leistung. Eines Hackers ist das nicht würdig.

February 22, 2008

Controller pulen

Filed under: Hardware — Tags: , — martin @ 10:29 pm

Ich war heute dreieinhalb Stunden mit dem Auto unterwegs. Genug für zwei Podcasts von Chaosradio Express. Der erste, aktuelle, ging über Hubschrauber und kann getrost als “bizarr” beschrieben werden.

Der andere Podcast jedoch, über Microcontroller und ein paar Wochen alt, war eine echte Wohltat. Ein Hacker namens fd0 von lochraster.org berichtete da derart leidenschaftlich über seine ersten Schritte und mittlerweile beträchtliche Erfahrung mit Atmel-Microcontrollern, daß es wirklich Spaß gemacht hat, zuzuhören. Da möchte man am liebsten direkt den Lötkolben rausholen, eine Großbestellung bei Reichelt aufgeben und den Assembler anwerfen. Klasse!

(Während ich mir den Assembler noch zutrauen würde, bin ich in Sachen Elektronik aber leider ein völliger Ausfall. Schade.)

Create a free website or blog at WordPress.com.