Kategorie: Netzpolitik

Zu Besuch beim 36C3 in Leipzig – Motto „36C3: Resource Exhaustion“


36C3 wieder die CCC-Rakete

36C3 wieder die CCC-Rakete

 

Auch in diesem Jahr habe ich den Chaos Communication Congress besucht und wieder allerhand neues zu IT-Security, KI, Netzpolitik und  Medienkunst erfahren. Eine kleine Auswahl an Vorträgen, die ich sehr empfehlen kann,  möchte ich Euch hier nicht vorenthalten.

Zum Thema IT-Security gab es einen Vortrag von Linus Neuman, dem aus Funk und Fernsehen bekannte Pressesprecher des CCC, der wegen der aktuellen Bedrohung mit EMOTET für uns alle sehr interessant ist. Da Linus Neuman als ausgebildeter Psychologe nicht nur IT-spezifische Dinge anspricht, ist der Vortrag auch allgemeinverständlich und sehr sehenswert. Es geht dort um Angst und Lageweile, zwei Faktoren, die uns dazu bringen auf Phishing-Mails hereinzufallen.

Linus Neumann Hirne Hacken – Menschliche Faktoren der IT-Sicherheit

Einen umfassenden Blick auf die IT-(Un)sicherheit der elektronischen Patientenakte bekommt Ihr in dem Vortrag von  Martin Tschirsich, Dr. med. Christian Brodowski und Dr. André Zilch.

“Hacker hin oder her”: Die elektronische Patientenakte kommt!

Was passiert, wenn man Intel-CPUs per Software „undervoltet“, d.h. mit einer niedrigen Spannung betreibt, sieht man im Vortrag von Daniel Gruss und Kit Murdock. Ein Seitenkanalangriff per Software.

Plundervolt: Flipping Bits from Software without Rowhammer

Wer bei der Bahn sparen möchte und wichtige Tipps mitnehmen möchte, wann und ob sich Reservierungen und Sparpreise lohnen, kann sich den  sehr sehenswerten Vortrag ist der von David Kriesel anhören. David Krisel ist wegen seiner Talks auf den Kongressen schon eine Berühmtheit.

BahnMining – Pünktlichkeit ist eine Zier

Wie man aus einer virtuellen Maschine ausbrechen kann, erfahrt Ihr hier im Vortrag von “f1yyy”.

The Great Escape of ESXi - Breaking Out of a Sandboxed Virtual Machine

Wie SQLITE, dass sowohl in jedem IOS und  Android-Device, in Firefox, Chrome als auch in Windows 10 enthalten ist, angegriffen werden kann, kann sich diesen Vortrag von Omer Gull anschauen.

SELECT code_execution FROM * USING SQLite; -Gaining code execution using a malicious SQLite database

Alles was Ihr jemals über SIM-Karten wissen wolltet, beantwortet Euch der Mobilfunkspezialist  Harald Welte aka „Laforge“ in seinem Vortrag.

SIM card technology from A-Z

Wer demnächst in den Urlaub fliegt, kann sich den Spaß am Fliegen durch den spannenden Vortrag von Bernd Sieker verderben lassen.

Boeing 737MAX: Automated Crashes - Underestimating the dangers of designing a protection system

Wer etwas zu den illegalen Überwachungsmaßnamen der US-Geheimdienste  in der Botschaft Ecuadors in London, in der Julian Assange Asyl gewährt worden ist erfahren möchte, kann sich diesen verstörenden Vortrag von Andy Müller-Maguhn anschauen.

Technical aspects of the surveillance in and around the Ecuadorian embassy in London - Details about the man hunt for Julian Assange and Wikileaks

Wie sich die radikalen Rechten im Netz austoben, erfahrt Ihr hier im Vortrag von Arne Vogelsang. Verstörend, aber sehr informativ.

Let’s play Infokrieg - Wie die radikale Rechte (ihre) Politik gamifiziert

Wie man mit WLAN so richtig weit einen Videostream für Drohnen oder überhaupt beliebige Daten übertragen kann, sieht man hier (Spoiler: 10Km Live-HD Video von einer Drohne!) im Vortrag von „befi2.

Wifibroadcast – How to convert standard wifi dongles into digital broadcast transmitters

Für die Fans von Retro-Computing  gibt es hier von Matt Evens den Talk:

The Ultimate Acorn Archimedes talk

Medienkunst bzw. Musik von Frauen gibt es in den Talks von Helen Leight und Jasmine Guffond zu sehen. Hellen Light erwähnt u.A. die Komponistin der original  Dr. Who Titelmelodie:

Hackers & makers changing music technology

Und Jasmine Guffond verwandelt Browser-Cockies in Sounds:

Listening Back Browser Add-On Tranlates Cookies Into Sound - The Sound of Surveillance

Wie man die Verkehrwende selber hacken kann, wie Sharebike und E-Scooteranbieter bei Ihrer Software pfuschen und wie man Open Data in die Stadtverwaltungen bringt, findet sich in diesem großartigen Vortrag von „robbi5“ und „ubahnverleih“, der auch zum Kongressthema Nachhaltigkeit passt:

Verkehrswende selber hacken

Wie man in seiner Garage eine Quantencomputer selber bauen kann erfährt man in dem großartigen Talk von Yann Allain:

Build you own Quantum Computer @ Home – 99% of discount – Hacker Style !

Viel über die Sicherheitslücken in iMessage auf IOS erfährt man im ausgezeichneten Talk von Samuel Groß vom Google Project Zero. Außerdem eine Menge zu Heap-Spraying und ASLR :

Messenger Hacking: Remotely Compromising an iPhone through iMessage

Was sonst alles noch so beim Instant messaging schiefgehen kann, erfährt man bei Will Scott:
What’s left for private messaging?

Alle interessanten Talks kann ich hier gar nicht aufführen, aber unter  https://media.ccc.de/c/36c3 gibt es fast alle Vorträge als Video-Konserven. Viel Spaß damit!

Der 35C3 in Leipzig


Größer, schneller, weiter – das Wachstum setzt sich fort! Mit über 17 Tausend Besuchern war der 35. Chaos Communication Congress unter dem Motto „refreshing memories“(*) Ende Dezember 2018 der bisher größte. Die neuen Räumlichkeiten bieten auch noch ein wenig Reserven für ein weiteres Wachstum.

Der 35C3 in Leipzig in den Hallen der neuen Leipziger Messe. Laserprojektion in der zentralen Messehalle.

Der 35C3 in Leipzig in den Hallen der neuen Leipziger Messe. Laserprojektion in der zentralen Messehalle.

Die Organisation war wie immer perfekt. Über 5000 freiwillige „Engel“ halfen in unzähligen Arbeitsstunden mit, den 35C3 zu einem unvergesslichen Erlebnis zu machen.

Meine Lieblingstalks dort in recht zufälliger Auswahl nach eigenen Präferenzen habe ich hier zusammengestellt. Thematisch ist von KI, Smart Home, Kryptographie, Kryptowährungen, Gesundheits-Apps, Datenschutz und Hardware-Hacking für jede/jeden Interessierten etwas dabei. In der fachlichen Tiefe gab es sowohl Vorträge für Anfänger als auch hochtechnische Talks für echte Nerds.

Alles kann man wegen der vielen parallelen Sessions gar nicht anschauen, aber da helfen wie immer die Aufzeichnungen vom Kongress die vom großartigen VOC-Team (Video Operation Center) unter https://media.ccc.de/b/congress/2018 nachhaltig zur Verfügung gestellt werden. Thematisch reicht der Kongress weit von Algorithmen in der Kryptographie, Angriffen auf Apps, Software, Hardware bis hin zu Auswirkungen von Netzpolitik und Datenschutz auf unser gesellschaftliches Zusammenleben.

Sehr sehenswert waren die vielen Aufbauten (Assemblies) der Regionalgruppen (Erfta-Kreise) des CCC. Da Fotos von Personen auf dem Kongress wegen Einhaltung der Privatsphäre verpönt sind, gibt es hier nur einige Fotos von Exponaten zu sehen.

In der Blog-Version dieses Artikels werde ich noch Vorträge ergänzen, die ich mir zwischenzeitlich noch als Aufzeichnung angeschaut habe.

Das Hauptthema des Kongresses war natürlich Security:

Nexus 5-Besitzer aufgepasst: Einen technisch anspruchsvollen Bluetooth-Angriff auf Broadcom Chipsatz kann man sich im Vortrag „ Dissecting Broadcom Bluetooth“ von jiska und mantz anschauen.

https://media.ccc.de/v/35c3-9498-dissecting_broadcom_bluetooth (en)

Biometrie ist so ziemlich auf allen Gebieten gebrochen. Auf diesem Kongress war die Venenerkennung dran:  „Venenerkennung hacken

Vom Fall der letzten Bastion biometrischer Systeme“ -  ein sehr sehenswerter Vortrag von starbug und Julian.

https://media.ccc.de/v/35c3-9545-venenerkennung_hacken

Festplattenverschlüsselung in Hardware – warum manchmal Bitlocker gar nicht nützt, erfährt man hier:  „Self-encrypting deception weaknesses in the encryption of solid state drives (SSDs) von Carlo Meijer“.

https://media.ccc.de/v/35c3-9671-self-encrypting_deception  (en)

Warum Lampen nicht in die Cloud gehören, erläuterte Michael Steigerwald in seinem Talk „Smart Home – Smart Hack -Wie der Weg ins digitale Zuhause zum Spaziergang wird“. Viele dieser Geräte nutzen ein und dieselbe Software eines chinesischen Herstellers, welche leicht angreifbar ist. Vielen Nutzern ist unklar welche Risiken daraus entstehen. Sie nehmen an, dass dann ein Hacker nur auf dem Internet eine Lampe an- und ausschalten kann. Viel schlimmer ist aber ein Eindringling, der ein Gerät im eigenen Netzwerk übernehmen und von dort aus Rechner im LAN angreifen kann.

https://media.ccc.de/v/35c3-9723-smart_home_-_smart_hack

Wer (glücklicher oder unglücklicher ;-) Besitzer einer Cryptowährung ist, sollte sich diesen Angriff auf Hardware-Wallets einmal anschauen. Eine Besonderheit ist dort, dass auch ein reiner Hardwareangriff mittels Glitches durchgeführt wurde:

„wallet.fail – Hacking the most popular cryptocurrency hardware wallets“von Thomas Roth, Dmitry Nedospasov und Josh Datko.

https://media.ccc.de/v/35c3-9563-wallet_fail

„Open Source Firmware – Eine Liebesgeschichte“ von zaolin bringt Euch Coreboot näher, in das sich der Vortragende wohl verliebt hat.

https://media.ccc.de/v/35c3-9778-open_source_firmware

Das Facebook uns allen DSGVO-widrig hinterherspioniert, auch wenn wir gar keinen Account dort haben zeigt:

„How Facebook tracks you on Android (even if you don’t have a Facebook account)“ von Frederike Kaltheuner und Christopher Weatherhead.

https://media.ccc.de/v/35c3-9941-how_facebook_tracks_you_on_android (en)

“All Your Gesundheitsakten Are Belong To Us – So sicher wie beim Online-Banking”: Die elektronische Patientenakte kommt – für alle.  Warum es keine gute Idee ist Gesundheitsdaten einer App anzuvertrauen zeigt Martin Tschirsich in seinem deutschsprachigen Vortrag. So ganz nebenbei erfährt die Zuschauerin, wie Angriffe auf Apps und auf Webseiten funktionieren und warum Public-Private-Key Verschlüsselungsverfahren auf Smartphones immer wieder versagen.

https://media.ccc.de/v/35c3-9992-all_your_gesundheitsakten_are_belong_to_us

Wer ein bisschen Retrocomputing mag, interessiert sich vielleicht für den Talk von Yaniv Balmas und Eyal Itkin. Der Angriff ist allerdings hochmodern und betrifft jeden HP-Multifunktionsdrucker, der FAX kann! Wenn der Angreifer einmal auf diesem Weg im LAN ist, kann er weitere Rechner infizieren. „What The Fax?! Hacking your network likes it’s 1980 again“:

https://media.ccc.de/v/35c3-9462-what_the_fax (en)

Mobilfunk:

„Die verborgene Seite des Mobilfunks – HF-Störquellen im Uplink“ von Peter Schmidt. Viel über Störquellen beim Uplink in den Mobilfunknetzen erfährt man hier von einem echten Experten aus erster Hand. Man lernt viel über Mobilfunkmasten und kann im Vortrag Tipps abgreifen, wie man einen kostenpflichtigen und ungebetenen Besuch der Bundesnetzagentur vermeiden kann.

https://media.ccc.de/v/35c3-9407-die_verborgene_seite_des_mobilfunks

KI:

Für mich der wahre KI-Experte schlechthin ist Joscha Bach, über dessen Vorträge ich schon einmal berichtet hatte. Der letzte Vortrag dieser Reihe zu Bewusstsein, also starker KI, schlägt in der Einführung einen Bogen von Denkern und Philosophen wie Wittgenstein, Russel zu Turing und Minski zu seinen eigenen Ideen zum künstlichen Bewusstsein.

Auch seine Folien sind ein Genuss – vom kleinem Prinzen bis zur einfachen Erklärung von neuronalen Netzwerken mit einem mechanischen Modell ist alles dabei.

“The Ghost in the Machine – An Artificial Intelligence Perspective on the Soul”

https://media.ccc.de/v/35c3-10030-the_ghost_in_the_machine (en)

Wer Lust auf mehr bekommt, hier sind alle Vorträge von Joscha Bach zu finden:

https://media.ccc.de/search?q=Joscha

Post Quantum Cryptography:

Was mit Kryptographie passiert, wenn es in Zukunft einmal Quantencomputer gibt, kann man sich in diesem Talk anhören (es schadet nicht, wenn man Mathematiker ist ;-).  „The year in post-quantum crypto“ von djb und Tanja Lange.

https://media.ccc.de/v/35c3-9926-the_year_in_post-quantum_crypto (en)

Wissenschaft:

Im Talk „Inside the Fake Science Factories“ von @sveckert, @tillkrause, Peter Hornung and Dr Dade Murphy, kann man sich einmal für die RWTH-Aachen fremdschämen und bekommt einen Einblick in das pervertierte Publikationssystem der Wissenschaft. Eine Warnung vor Fake Science und Fake Konferenzenan alle Wissenschaftler:

https://media.ccc.de/v/35c3-9744-inside_the_fake_science_factories (en)

Kunst:

Auch Kunst und Musik sind in diesem Jahr nicht zu kurz gekommen.

Einen sehr schönen Talk zum Thema Digital Painting hat der Künstler Jeffrey Alan Scudder „Radical Digital Painting – Fantastic Media Manipulation“ gehalten. Er mischt analoge mit digitalen Dingen in seine spannenden Live-Präsentation:

https://media.ccc.de/v/35c3-9774-radical_digital_painting (en)

Eine Installation aus Monoblock Stühlen.

Eine Installation aus Monoblock Stühlen.

Netzpolitik:

Zu Netzpolitik, DSGVO, den Polizeigesetzen und dem Staatstrojaner gab es natürlich auch eine Menge an Vorträgen. Vielleicht ein recht handfester Ratschlag: “Verhalten bei Hausdurchsuchungen

Praktische Hinweise für den Kontakt mit der Staatsmacht” von qbi und Kristin Pietrzyk.

https://media.ccc.de/v/35c3-10018-verhalten_bei_hausdurchsuchungen

Metainformationen zum Hacken

Wer nun jetzt selber Lust aufs Hacken bekommt, sollte sich erst die beiden folgenden Vorträge anschauen.

Wie einen Metadaten verraten (und beim aktuellen Hack von Politiker-Daten den Verursacher verraten haben) erfährt man vom CCC-Sprecher Linus Neumann und Thorsten Schröder im Vortrag „Du kannst alles hacken – du darfst dich nur nicht erwischen lassen – OpSec für Datenreisende“.

https://media.ccc.de/v/35c3-9716-du_kannst_alles_hacken_du_darfst_dich_nur_nicht_erwischen_lassen

Wenn der “Hacker” Orbit diesen Talk gehört und beherzigt hätte, wäre er wohl nicht so schnell geschnappt worden.

Und Frank Riegers (auch einer der Sprecher des CCC) Vortrag:

„Hackerethik – eine Einführung

Verantwortung und Ethik beim schöpferisch-kritischen Umgang mit Technologie“

https://media.ccc.de/v/35c3-10011-hackerethik_-_eine_einfuhrung

Ein Tipp für Besucher des nächsten Kongresses: Das Messegelände ist sehr ausgedehnt – ohne Tretroller macht man dort Kilometer und der Besuch artet in Sport aus!

(*) Dynamisches RAM muss regelmäßig “refreshed” werden. „Memory is RAM!“ –  IT-Crowd ;-)

https://www.youtube.com/watch?v=NdREEcfaihg

KinderUni-Vortrag auf der IdeenExpo 2017 in Hannover


Die IdeenExpo (mehr dazu in der Wikipedia) wird auch als das größte Klassenzimmer der Welt bezeichnet. Sie wird im zweijährigen Rhythmus seit 2007 auf dem Messegelände in Hannover ausgerichtet. Eins der Formate dort ist der Campus der Ideen mit der Kinderuni.  In diesem Jahr konnten Andreas Michels und ich zu diesem Format mit einem interaktiven Vortrag mit dem Titel “Was jeder über Smartphones, das Internet und digitale Privatsphäre unbedingt wissen sollte” beitragen.

Pixelaktion Pixelaktion mit dem Publikum

Andreas Michels und Andreas Bischoff beim Livehacking
Andreas Michels und Andreas Bischoff beim Livehacking (Foto A. Michels – GOPRO Snapshot)

Die Kinder hatten dort großen Spaß und wir konnten auf sehr unterhaltsame Weise  einiges an know how zu Bildrechten, Cybermobbing, Computersicherheit, Passwortregeln, Fake-News, Apps und Sicherheitseinstellungen für Smartphones “an das Kind bringen”. Aufgelockert durch eine eindrucksvolle Smartphone-Live-Hacking-Aktion, einem Versuch zur Funkwellenabschirmung, einem Computerspiel mit echten Menschen und einer Mittmach-Augmented-Reality-Pixel-Aktion haben wir das junge Publikum für das Thema Daten- und Privatsphärenschutz sensibilisiert.

Wir tauchen im “Best of the Day Video” der IdeenExpo 2017 vom 14.7.2017 auf (1:38):

Hier der Link zum youtube-Video (kein embed mehr wegen Google/doubleclick Tracking): https://www.youtube.com/watch?time_continue=137&v=IIDWDxA6rl0

Mehr Informationen zu der Thematik und eine Linksammlung hatte ich in meinem Blog-Artikel zur UniKids-Veranstaltung an der Universität Duisburg-Essen zusammengestellt.

Smartphones in Uni-Netz – die mobile Herausforderung


Im Jahre 2005 war noch kein iPhone in Sicht, trotzdem gab es schon lange vorher innovative Smartphones. Verbreitet waren vor 10 Jahren Geräte der Hersteller HTC mit Windows Mobile 2003 oder Nokia mit Symbian als Betriebssystem, die per Stift oder Tastatur bedient wurden. Die “Windows Mobile” Geräte hatten Bezeichnungen wie MDA oder XDA. Das Webforum XDA-Developers stammt übrigens aus dieser Zeit. Einer der Benutzer des Forums mit dem Namen Cyanogen veröffentlichte dort 2009 eine Android-Modifikation, die heute Basis für die führende Open-Source Android-Distribution ist. Der Marktführer bei Feature- und Smartphones war Nokia mit Geräten, die schon 2005 sowohl WLAN als auch Voice over IP unterstützten. Smartphones waren damals aber sehr teuer und Managern bzw. Firmenkunden vorbehalten. UMTS-Datenverträge schlugen mit wenig studierendenkompatiblen Preisen von weit über 60 € im Monat zu Buche.

Und heute?

Heute ist gibt es Datenflats für 2,95 € monatlich und das mobile Internet ist in den Ballungsräumen überall verfügbar. Es gibt kaum noch Mobilfunknutzer/-innen, die kein Smartphone verwenden. Für viele junge Menschen ist das Smartphone das zentrale Gerät für den Internetzugang und die Kommunikation. Ortsbezogene Dienste sind heute allgegenwärtig. Nutzerdaten für ortsbezogene Werbeprofile sind die Währung, in der heute Dienste und Apps bezahlt werden.

Wo geht es in Zukunft hin?

In der Rückschau sieht man, dass neue Technologien nicht von heute auf morgen etabliert werden, sondern dass sich die Entwicklung immer lange vorher abzeichnet. Allerdings ist immer schwer zu erraten, wohin die Reise wirklich geht. Während 2006 angenommen wurde, dass Mobiltelefone immer kleiner werden, ist derzeit das Gegenteil der Fall. Die Displays werden größer und hochauflösender. Die Nutzer wollen nicht irgendwelche Mobilseiten sehen, sondern “das ganze Internet”. Das ist übrigens das Argument, mit dem das erste iPhone beworben wurde. Andererseitshaben sich andere Vorhersagen bezüglich der Sprachein- und ausgabe für Smartphones bewahrheitet (Andreas Bischoff, Virtual Reality und Streaming-Technologien in der webbasierten multimedialen Lehre und für Ubiquitous Computing, BoD 2006.).

Die Zukunft von gestern, eine Celluon Lasertastatur an einem Campaq iPaq im Jahre 2005 - heute baut diese Firma Laser-Projektoren

Die Zukunft von gestern, eine Celluon Lasertastatur an einem Campaq iPaq im Jahre
2005 – heute baut diese Firma Laser-Projektoren

Neue mobile Anwendungen auch fürs lernen
Mobile Augmented Reality Anwendungen werden in Zukunft den Endkundenmarkt erreichen. Google bereitet mit den Produkten Glaces und Cardboard den Markt für solche Applikationen. Die Rechen- und Grafikleistung der mobilen Geräte öffnet diesen Technologien den Einsatz auf Geräten. Für die Hochschule können diese Entwicklungen im Bereich mobiles Lernen zukünftig sehr interessant werden. Mit ein wenig Fantasie lassen sich ganz neue mobile ortsbezogene Lernszenarien realisieren. In wenigen Jahren werden möglicherweise AR-Brillen mit Mobilfunkanbindung den Campusalltag dominieren. Interessant ist auch die mögliche Integration von neuen laserbasierten Projektoren in Mobiltelefonen.

VR-Brille realisiert mit DIVE und Smartphone     VR-Brille realisiert mit DIVE und Smartphone

VR-Brille realisiert mit DIVE und Smartphone

Also alles gut?

Ein weiteres Zukunftsthema wird mobile Security werden. Ähnlich wie Windows auf dem Desktop ab Ende der 90er Jahre Ziel von Angriffen über das Internet wurde, blüht dieses Schicksal nun Android als dominierender Betriebssystemplattform für Smartphones. Ist ein Smartphone erst einmal von Malware durchdrungen, ist es ein Leichtes, diese Geräte und so die Nutzer zu verfolgen, persönliche Kontaktdaten und Passwörter abzugreifen oder das Telefon gar als Abhörwanze zu betreiben. Die Hersteller haben wenig Interesse daran, für Security-Updates zu sorgen, nachdem die Geräte erst einmal verkauft worden sind. Die großen Gewinner der Smartphone-Welle sind Konzerne wie Apple, Google und Amazon, die Nutzerdaten aggregieren und verkaufen. Die digitale Spaltung der Gesellschafft setzt sich im Mobilbereich fort. Aufgeklärte, kreative Nutzer beherrschen die Technologie, „rooten“ ihre Geräte, sind in der Lage Security-Fixes zu installieren und Werbeangebote zu blockieren, während das Gros der Anwender der Technologie und den Konzernen hilflos ausgeliefert sein wird. Information ist der Rohstoff des
21. Jahrhunderts und die Nutzer/-innen sind, wie auch in den sozialen Netzwerken, die eigentliche Ware. Ein erschreckendes Beispiel dafür ist Google. Der Dienst Google Now speichert beispielsweise die „Ok Google“ Sprachsuchen aller Nutzer für immer als Audio-Datei ab, sofern der Suchverlauf in den Benutzereinstellungen aktiviert ist.

Der große Datendurst


Die attraktiven neuen mobilen Dienste benötigen höhere Übertragungsbandbreiten und der mobile Datendurst steigt rasant an. Die Netze lassen sich aber nicht beliebig leicht ausbauen. Bezüglich der für den Mobilfunk freien Frequenzen setzt die Physik Grenzen durch die notwendigen Antennengrößen bei niedrigeren und der höheren Dämpfung bei höheren Frequenzen. Die Deregulierung der nutzbaren Frequenzbänder kann da nur wenig Abhilfe schaffen. Der prognostizierte exponentielle Anstieg der Datenmenge in den mobilen Netzen kann nur durch eine erhöhte Dichte von Mobilfunkantennen mit kleinerer Reichweite, mit sogenannten Femtozellen realisiert werden. Es ist durchaus denkbar, dass in einigen Jahren das ZIM neben WLAN-Accesspoints auch solche Femtozellen am Campus installieren wird. Die Mobilfunkprovider reagieren auf den Kapazitätsengpass mit einer Kontingentierung des Datenvolumens. Das Argument, durch das immer verfügbare schnelle LTE-Mobilfunknetz werde die „alte“ WLANTechnologie überflüssig, relativiert sich durch die Limitierung durch Volumentarife. Daraus folgt für die Hochschule, dass der Ausbau von WLAN als Alternative zu LTE mit hoher Priorität vorangetrieben werden muss. In Zukunft muss dabei auf den 5GHz-Frequenzbereich mit seinen höheren Datentransferraten und Kanälen fokussiert werden, um eine hohe Qualität für die Nutzung zu gewährleisten. Es ist zu erwarten, dass bald alle Smartphone-Hersteller den überlegenen 5GHz 802.11ac-Standard unterstützen werden. Innovative Verfahren, wie die auch für das „Freifunk“ eingesetzte WLAN-Mesh-Funktechnik werden zukünftig auch auf dem Campus eine große Rolle spielen. Vielleicht wird das Bandbreitenproblem auch durch sich selbst organisierende Mesh-Netze, bestehend aus den Smartphones der Nutzer, zu lösen sein. Die technischen Voraussetzungen bringt das Linux-basierte Android zumindest theoretisch mit. Man darf gespannt sein!

Diesen Artikel hatte ich ursrünglich für die Broschüre 10 Jahre ZIM an der Universität Duisburg-Essen erstellt.

 

33C3 – der 33. Chaos Communication Congress vom 27, bis zum 30.12.2016 in Hamburg


Der Chaos Communication Congress (CCC) ist ein anerkannter internationaler Kongress, der sowohl technische als auch gesellschaftliche und politische Aspekte von IT-Sicherheit adressiert. Motto war dieses Jahr „works for me“, eine Kritik an der häufigen Einstellung, dass nur die eigene Plattform bzw. Umgebung entscheidend ist.

Der 33C3, das letzte Mal im HCC (links) in Hamburg, rechts das Logo projiziert an das Radisson-Hotel.

Der 33C3, das letzte Mal im HCC (links) in Hamburg, rechts das Logo projiziert an das Radisson-Hotel.

Weil das Hamburger Congress Centrum (HCC) in den nächsten Jahren renoviert wird, was u. A. zu einer Verkleinerung der Vortragssäle führen wird, fand der Congress im Jahr 2016 leider zum letzten Mal in dieser großartigen Location statt. Der nächste Kon-ferenzort steht noch nicht fest, allerdings gibt es kein weiteres Konferenzzentrum in Deutschland mit einer Kapazität für ca. 13000 Besucher. Der große Saal 1 fasste 3000 Zuhörer und war, wie auch die weiteren Säle bei fast allen Vorträgen gerammelt voll.

Dieses Jahr hat der 33. Chaos Communication Congress für ein sehr großes Medienecho, nicht nur in den IT-Medien, gesorgt. Der Deutschlandfunk hat beispielsweise durchgängig vom 33C3 berichtet. Auch die Tageschau berichtete vom Congress und hat auch ein fünfminütiges Interview mit Linus Neumann, einem der Pressesprecher des Chaos Computer Clubs (CCC), zu Fake-News ausgestrahlt. IT-Security und Datenschutz sind nun also endlich Themen, die bei fortschreitender Digitalisierung in den Fokus einer breiteren Öffentlichkeit gelangen.  Die aus meiner Sicht (es gab drei parallel Sessions, auch ich habe bisher nur etwa ein Drittel der Vorträge gesehen) interessantesten technischen Vorträge waren:

Everything you always wanted to know about Certificate Transparency von Martin Schmiedecker.

Der Vortrag enthält einen Ansatz, mit dem von Root-CAs falsch ausgestellte Zertifikate enttarnt werden können.  Für die Mathematiker unter uns vielleicht interessant ist der Einsatz von Merkle Hash Trees.

Predicting and Abusing WPA2/802.11 Group Keys von Mathy Vanhoef.

Hier werden auch alte Angriffe auf WPA2-Enterprise wie z.B. eduroam vorgestellt. Es geht aber in erster Linie um WPA2-Group-Keys.

Shut Up and Take My Money von Vincent Haupert.

Warum Mobile Banking mit der N26-App keine gute Idee ist, wird hier beleuchtet. Für alle App-Entwickler interessant, weil man eine Menge über TLS Man in the Middle-Angriffe auf mobilen Geräten lernen kann.

Lockpicking in the IoT von Ray.

Hier erfährt man, dass es keine gute Idee ist, Schlösser zu kaufen, die per App geöffnet werden können.

You can -j REJECT but you can not hide: Global scanning of the IPv6 Internet von Tobias Fiebig.

Was herauskommt, wenn der ganze IPv6-Adressbereich gescannt wird, kann man hier  erfahren.

Gone in 60 Milliseconds von Rich Jones.

Zeigt Angriffe auf Amazon Webservices.

 

David Kriesel beim Vortrag zu SpiegelMining

David Kriesel beim Vortrag zu SpiegelMining.

Ein großartiger Vortrag in deutscher Sprache zu Big Data und Data Mining. Was Spiegel Online alles noch so verrät.

Machine Dreams von Joscha.

Wie es mit der KI weitergehen kann und in welche Richtung geforscht werden sollte, erfährt man beim dritten Vortrag in Folge beim CCC (31C2, 32C3) von Joscha Bach. Aus meiner Sicht ein Highlight des 33C3, lohnt sich sehr! Wer auch noch einen sehr schönen vertiefenden Podcast mit Joscha Bach in Deutsch hören möchte, sei dieses 2 1/2  stündige Interview ans Herz gelegt : http://www.wrint.de/2013/03/09/wr156-ortsgesprach-joscha-bach-wg-kunstlicher-intelligenz/

Aber auch gesellschaftliche und netzpolitische Themen waren im Fokus. Empfehlen möchte ich:

 Nicht öffentlich. Ein Geheimdienst als Zeuge. Szenen aus dem NSA-Untersuchungsausschuss von anna, Kai Biermann, Felix Betzin, Elisabeth Pleß, Johannes Wolf, vieuxrenard

Ein Lehrstück/Trauerspiel auf unsere Demokratie. Zu beachten ist, dass das kürzlich von der großen Koalition verabschiedete BND-Gesetz nun eine Überwachung auch ohne „Weltraumtheorie“ zulässt.

The Clash of Digitalizations von Saud Al-Zaid

In diesem interessanten Vortrag geht es sowohl um die Repräsentation von arabischen Männern in Videospielen und die politischen Auswirkungen solcher Stereotypen. Ganz nebenbei gibt es einen schönen Überblick zu First-Person-Shootern.

Recount 2016: An Uninvited Security Audit of the U.S. Presidential Election von Matt Bernhard, J. Alex Halderman

Wer dem Ausgang der US-Wahl nicht vertraut, kann sich hier Informationen aus erster Hand anschauen.

Edward Snowden live auf dem 33C3

Edward Snowden war als Überraschungsgast live hinzu geschaltet.

3 Years After Snowden: Is Germany fighting State Surveillance? Von anna, Andre Meister

Ein schöner Vortrag von den Mitarbeitern von Netzpolitik.org, in dem auch unangekündigt Edward Snowden höchstpersönlich live zugeschaltet worden ist.

The Untold Story of Edward Snowden’s Escape from Hong Kong von Lena Rohrbach, Sönke Iwersen, Robert Tibbo

Wie es Edward Snowden in Honkong ergangen ist, nachdem er auf dem Hotel geflohen war, wird in diesem Vortrag berichtet.

The Transhumanist Paradox von Xavier Flory

Welche Auswirkungen neue Technologien auf die Gesellschaft haben können, wird in diesem sehr interessanten Vortrag adressiert.

Auch wer sich für Weltraumfahrt und Astrophysik interessiert, kam auf dem 33C3 auf seine Kosten:

Interplanetary Colonization von Liz George and Peter Buschkamp

Warum ein Raumschiff im interstellaren Raum ca. 1 cm pro Jahr von seiner Aluminiumhülle verliert, wir hier geklärt.

Eavesdropping on the Dark Cosmos, Dark Matter and Gravitational Waves von Simon Barke

Allein schon wegen der großartigen Folien sehenswert.

Lasers in the sky (with asteroids) von Peter Buschkamp

Was man mit Lasern im Weltraum noch alles so anstellen kann.

 

Die CCC-Rakete am beleuchted Abend

:Ohne Rakete und ohne Weltraum gibt es keinen Chaos Communication Congress.

Die Universität Duisburg-Essen war in diesem Jahr übrigens auch sehr prominent im Programm vertreten. Zwar waren die Podcaster Nicolas Wöhrl und Reinhard Remfort (ehemals UDE) von „Methodisch Inkorrekt“ schon auf dem 31C3 und dem 32C3 dabei, aber in diesem Jahr habe Sie es mit ihrem sehenswerten Programm sowohl in den Saal 2 als auch in die Abschlussveranstaltung geschafft.  Außerdem war Antonia Hmaidi mit ihrem exzellenten Talk zu  “The Economic Consequences of Censorship” im Vortragsprogramm vertreten. Erst auf der letzten Folie ist mir wegen der E-Mailadresse aufgefallen, dass Frau Hmaidi an der UDE forscht. Ich hatte sie wegen des ausgezeichneten Englisch für einen native speaker gehalten.

Unabhängig von meiner sehr subjektiven Auswahl können alle Vorträge des 33C3 als Video-Stream angeschaut werden: https://media.ccc.de/c/33c3. Zur Orientierung kann das Tagungsprogramm, der sogenannte  „Fahrplan“, dienen, der hier zu finden ist.

Zu Besuch beim 32C3 Chaos Communication Congress (CCC) in Hamburg


In einem Tweet wurde der 32C2 als „indoor burning man“ bezeichnet. Ein Vergleich der vielleicht etwas übertrieben scheint, aber der Eindruck des Kongresses im CCH in Hamburg auf Erstbesucher ist enorm, wie ich in Jahre 2014 selbst feststellen konnte. Es handelt sich um den führenden Kongress zum Thematik Security in Deutschland.
https://de.wikipedia.org/wiki/Chaos_Communication_Congress

In diesem Jahr war das Motto „gated communities“, also abgeschlossene Wohnkomplexe oder Benutzergruppen, wie sie derzeit in den großen abgeschlossenen Ökosystemen von Apple, Facebook, Amazon und Microsoft zu finden sind, die immer weiter die Benutzer einschränken, um sie in einem goldenen Käfig abzuschirmen. Ein Trend dem die Open Source Community Offenheit der Schnittstellen, Freiheit der Wahl und Privatsphäre entgegensteht.

Ein sehr interessanter Vortrag dort wurde von LaForge (Harald Welte, einem der Entwickler von netfilter/iptables und OpenBSC) zum Thema „Running your own 3G/3.5G Network “ präsentiert. Dort ging es um die Weiterentwicklung der OpenBSC-Open-Source GSMSoftware für 3G und LTE.

Viel zu lernen zu Wireless Security gab es im Vortrag „Building and Breaking Wireless
Security“ von Jiska.

Der Hack mit dem höchsten Medienecho dort war von der Gruppe um Karsten Nohl zu
sehen. Es handelte sich um einen Angriff auf „point of sale“-Bezahlsysteme für Kreditkartenzahlungen in Geschäften. Der Vortrag zu „Shopshifting – The potential for
payment system abuse“ ist unter https://media.ccc.de/v/32c3-7368-shopshifting zu finden.

Ebenfalls hochinteressant war der Vortrag zum weltweiten Iridium-Satellitetelefonienetzwerk:

https://media.ccc.de/v/32c3-7154-iridium_update

Abbilung der CCC-Rakete

Das Maskottchen des CCC ist die CCC-Rakete

Auch in diesem Jahr gab es einen Talk zur verwendeten Netzwerk und WLAN-Infrastruktur in Bezug auf Auslastung. Dort wurde unter Anderem ein großer Saal mit 3000 Sitzplätzen mit WLAN versorgt. Insgesamt wurde das ganze Gebäude mit nur 145 AP des Herstellers Aruba versorgt. Der Peak bei den gleichzeitig versorgten Clients lag bei 8150 bei insgesamt 20000 Unique Clients.
https://media.ccc.de/v/32c3-7555-32c3_infrastructure_review
Was Ruedi (Rüdiger Weis), ein Kryptograph und Professor an der Beuth-Hochschule Berlininteressantes zum Thema Windows 10 zu sagen hat, kann man im Vortrag „Microsofts Windows 10 Botnet “ nachlesen.

Alle Vorträge sind hier im Video-Archiv zum Kongress zu finden:
https://media.ccc.de/c/32c3

Bericht vom 31C3 Chaos Communication Congress in Hamburg 2014 – „A new dawn“.


Man stelle sich so etwas einmal vor! 13000 Menschen aus aller Welt treffen sich auf einer Konferenz. Alles ist perfekt organisiert und sprüht trotzdem geradezu vor Kreativität. Es sind Flächen und Arbeitsplätze und Hackspaces für alle möglichen Hard- und Softwareprojekte vorhanden und man kann allen über die Schulter schauen, fragen und bekommt nette Antworten – überall steht Medienkunst herum! Über 1000 Menschen arbeiten als Freiwillige und niemals kommt Stress oder Frust auf, alle sind freundlich zueinander und helfen sich mit Strom- und Netzwerkkabeln aus. Es gibt ein eigenes GSM-, SIP- und DECT-Telefonnetz. Schon ohne die spannenden Themen der Vorträge auf der Konferenz lohnt der Besuch und hinterlässt einen nachhaltigen Eindruck.

 

CCC-Rakete
Der Kongress fand im Hamburger Congress Center HCC statt. Als Maskottchen dient eine 5 m große Rakete.

Im Programm tummeln sich allerdings Berühmtheiten wie Richard Stallman (EMACS Autor und GNU-Aktivist, der Vater freier Software), Jacob Appelbaum und Laura Poitras höchstpersönlich, deren Film Citizenfour über die Snowden-Enthüllungen ebenfalls auf den 31C3 gezeigt wurde. Was Security-Themen angeht, ist das Niveau dort sehr hoch und es gibt viel zu lernen über Sicherheitslücken und Möglichkeiten sie zu beheben. Neben den technischen Vorträgen kommen auch gesellschaftliche, ethische und politische Aspekte der IT dort nicht zu kurz.

Alle Kongressvorträge können als Konserve abgerufen werden unter

http://media.ccc.de/browse/congress/2014/.

Einige interessante Vorträge möchte ich hier aber explizit empfehlen:

Iris-Detektion und Fingerabdruckscanner

Angriffe auf Iris-Detektion und Fingerabdruckscanner wurden in Starbugs sehr unterhaltsamen Vortrag „Ich sehe, also bin ich … Du – Gefahren von Kameras für (biometrische) Authentifizierungsverfahren“ vorgestellt. Unter Anderem wurde der Fingerabdruck von Ursula von der Leyen aus einem Foto extrahiert.

Scannergate

Was passieren kann, wenn die Digitalisierung dazu führt, dass (wie im modernen Dokumentenmanagement üblich) analoge Vorlagen gescannt und anschließend vernichtet werden, zeigt David Krisel in seinem unterhaltsamen Vortrag.

Freie Software

Richard Stallman hat in seinem sehr spannenden Vortrag den Unterschied zwischen freier Software und Open Source Software erläutert. Mit „frei“ ist hier nicht gratis sondern frei in Hinsicht auf Modifizierbarkeit und Weiterverwendbarkeit gemeint. Den Begriff „freie Software“ definiert Stallman als quelloffene Software die unter GPL-Lizenz die Weiterverwendung in Closed Source Software untersagt.
Proprietäre Closed Source Software hält Stallman generell für eine schädliche Entwicklung. Er sprach in diesem Zusammenhang von einer zwangsläufigen Entwicklung von propritärer Software hin zu Malware.

Stallman kritisierte insbesondere die i-Devices von Apple, welche die Nutzer in einem (bequemen) Gefängnis einsperren, aus dem erst ausgebrochen werden muss, damit das Gerät dem Nutzer und nicht dem Produzenten gehorcht. Er sprach von der „universal backdoor“ die Firmen wie Apple und Amazon in ihre Geräte einbauen, um die „Gewalt“ über diese Geräte ihren Nutzern vorzuenthalten. Diese universellen Hintertüren können die Hersteller jederzeit verwenden um die Nutzer Geheimdiensten wie der NSA oder dem GCHQ auszuliefern. Privatsphäre, die Möglichkeit vertraulich zu kommunizieren und den Schutz von Whistleblowern wie Snowden hält Stallman essentiell wichtig in einer freiheitlichen Gesellschaft. Er hält freie Software aus diesen Gründen für eine unverzichtbare Voraussetzung zum Erhalt von freiheitlichen Demokratien.

Microsoft / Apple

Warum Stallman sehr recht hat zeigen die beiden folgen Vorträge, die ich hier empfehlen möchte. Weshalb vor Windows 8 gewarnt werden muss erläutert Ruedi in seinem Vortrag zu Secure Boot. Aber die auch die Apple-Fraktion kann sich nicht in Sicherheit wiegen, wie der Vortrag von Trammel Hudson zum Thema „Thunderstrike: EFI bootkits for Apple MacBooks“ zeigt.


Netzpolitik

Zum Thema Microsofts Firmenpolitik in Sachen Cloud-Technologie versus europäisches Datenschutzrecht und die FISA-Court-Regelungen der amerikanischen Regierung sprach der Ex-Microsoft-Anwalt Caspar Bowden in seinem Vortrag „The Cloud Conspiracy 2008-2014“. Die Essenz ist: Kein Datenschutz für nicht Amerikaner in den USA!

Was sonst noch so alles aus den USA kommt, z.B. die mögliche Untergrabung unseres Datenschutzgrundrechte durch die derzeit im TTIP-Abkommen geheim (!) verhandelte “Schiedsgerichtsbarkeit”, wird im Vortrag von Katharina Nocun und Maritta Strasser klar.

Scada

Warum bei IT-Sicherheit der Fokus nur auf Banken, Webdiensten und Onlineshops liegt und warum Embedded Systems in großen Industrieanlagen vernachlässigt werden, treibt die Gruppe „Strangelove“ um, die sich mit Scada Sicherheitslücken beschäftigt.

Im Vortrag von Eireann Leverett „Switches got glitches“ zeigt der Autor wie er hartkodierte
Private Keys in Firmware Images findet. Er verwendet einfach grep (26:50)!

Netz

Für alle IT-Profis hochinteressant war der Vortrag zu der Infrastruktur auf dem 31C3-Kongressgelände. Dort stand insgesamt eine Bandbreite zur Verfügung die höher ist, als die einiger Staaten. Im letzten Jahr war die verfügbare Gesamtbandbreite auf dem Kongress sogar höher als die Bandbreite des Kontinents Afrika! Möglich wurde dies durch gesponserte Anbindung durch mehrere Internet-Provider. Auch die Hardware bestand aus großzügigen Leihgaben z.B. von Juniper. Das WLAN wurde mit Hardware des Herstellers Aruba betrieben, und war mittels aufgehängter Accesspoints in der Lage, vollbesetzte Veranstaltungsräume mit bis zu 3000 Sitzplätzen zu versorgen. Der Großteil der Besucher war mit PCs ausgestattet und im 5GHz mit 802.11a Band unterwegs (60 Prozent der dort verwendeten Endgeräte, im Konferenzwiki war vorsorglich darauf hingewiesen worden, nur solche Geräte mitzubringen). Die WLAN Netze im 2,4 GHz-Bereich waren dort konsequent mit dem Addendum „-legacy“ bezeichnet, um deutlich zu machen, dass diese Frequenzen nicht mehr verwendet werden sollen.

Der Vortrag ist hier zu finden (ab 8:10 zum Thema Wireless).

Raketen

Wer gerne einmal die Erde verlassen möchte (sicher alle Leser), oder wie ich schon immer mal eine Rakete bauen wollte, wird sich auch für die Technik dahinter interessieren. Warum Raketentechnik keine „Rocket Science“ sein muss, erklärt David Madlener in seinem lehrreichen Vortrag „Rocket science – how hard can it be?“. Auf seiner zweiten Folie taucht auch das Raketenmaskottchen des CCC wieder auf.

Wahlen digital im Netz – die Landtagswahl NRW 2012 am 13. Mai


Wahlergebnisse im Netz schneller und aktueller erfahren – leider eine Illusion, die Forschungsgruppe Wahlen und Infratest Dimap publizieren Ihre Ergebnisse am Wahlabend zunächst immer exklusiv (aber nicht mehr analog) im Fernsehen.

Dafür haben aber die Sender spezielle Themenseiten für die Landtagswahl eingerichtet:

Bei Twitter lässt sich der Wahlkampf unter dem Hashtag #NRW12 verfolgen. Im Vorfeld kann man sich aber im Netz ganz hervorragend auch über seine Direktkandidaten im Wahlkreis informieren. Bei Wahlrecht.de kann genaueres über das eingesetzte Wahlverfahren (Erst- und Zweitstimme), das Sitzverteilungsverfahren und über aktuelle Umfrageergebnisse in Erfahrung gebracht werden:

http://www.wahlrecht.de/umfragen/landtage/nrw.htm

Auch die Wahlergebnisse finden sich dort nach der Wahl. Abgeordnetenwatch hat es sich zur Aufgabe gemacht Direktkandidaten zentral und öffentlich ansprechbar zu machen. Dort können Anfragen mit den Kandidaten transparent diskutiert werden. Es gibt auch dort ein spezielles Portal für die Landtagswahl NRW:

http://www.abgeordnetenwatch.de/landtagswahl_nrw-610-0.html

Wer sich dann immer noch nicht entscheiden kann wo das Kreuzchen hingehört, dem hilft der Wahl-O-Mat vielleicht weiter. Den gibt es wohl für Android auch sogar als App, diese hinkt aber noch hinterher und meint in Schleswig Holstein sei die nächste Landtagswahl.

Abgeordnetenwatch hat einen lokalen “Wahl-O-Mat” realisiert, der Ihre Ansichten mit denen Ihrer Direktkandidaten vergleicht:

http://kandidatencheck.abgeordnetenwatch.de/landtagswahl_nrw-610-0.html

Für die Netzpolitik interessierten Leser können auch die Wahlprüfsteine für die Landtagswahl der Free Software Foundation Europe und die entsprechenden Wahlprüfsteine von Wikimedia Deutschland eine Entscheidungshilfe sein.

Viel Spaß und einen spannenden Wahlabend im Netz oder doch besser auf dem Sofa vor der Glotze – dann natürlich mit Smartphone oder Tablet griffbereit!