Skip to content

Sigint 2009 in Köln: Kongress für Datenreisende

Der CCC hat einen neuen Kongress gestartet: Sigint in Köln. Dieser Kongress soll ein Alternative zum Chaos Communication Congress darstellen, sich mehr auf politische Themen konzentrieren und einfach auch "Otto-Normal-Verbraucher" anlocken.
Ich hatte hier auch einen Vortrag eingereicht - Datenschutz für Systemadministratoren. Ich wurde erstaunlicherweise auch genommen und durfte heute dann diesen Vortrag halten.
Der Raum war erstaunlich voll - und im Gegensatz zur FFG waren diesmal eher "Hacker" da (wie zu erwarten), die dann auch durchaus technische Diskussionen starteten was erlaubt ist und was nicht. Eine gute Diskussion, spannend weil mindestens zwei Leute aus einem medizinischen Umfeld kommen und ein bisschen beschreiben wie es bei ihnen läuft.
Danach gabs tatsächlich noch ein Telefoninterview mit Radio Fritz! über den Vortrag, "nur" 5 Minuten, war aber lustig.
Mal sehen was das jetzt noch gibt ;-)

Thilo Weichert im Morgenmagazin

Also ich weiss nicht. Ich habe heute morgen beim Fitnessen Thilo Weichert im Morgenmagazin erleben dürfen - und war ziemlich erschreckt. Bisher kannte ich ihn durchaus als jemanden der Klartext spricht und auch offen Sachen anspricht. Heute hat er eher wie ein Politiker geredet - ausweichend, nicht auf Fragen eingehend.
Die Moderatorin hat ihn zweimal gefragt (aufgrund der Lidl-Affäre, wo Krankendaten der Mitarbeiter aufgeschrieben wurden) ob die Mitarbeiter ihrem Arbeitgeber überhaupt diese Informationen geben müssen - eine wie ich finde sehr wichtige Information für den normalen Angestellten.

Thilo Weichert ist auf diese Frage beide Male gar nicht eingegangen. Er hat gesagt dass diese Datensammlung rechtswidrig war, dass Lidl da bereits reagiert hätte und dass er hoffe dass nun ein Datenschutzgremium kommen würde. Aber die korrekte Antwort (die da im übrigen "Nein" lautet, der Arbeitgeber darf so etwas nicht fragen) hat er nicht gegeben.

Das stimmt mich nachdenklich. Hat Thilo Weichert die Frage einfach nicht verstanden?

FFG 2009: Kleiner aber feiner Kongress

Dieses Jahr hatte ich mir für die Frühjahrsfachgespräche vorgenommen, selbst (wieder) einen Vortrag einzureichen. Zuerst war die Überlegung etwas zu nagios, doch dann habe ich meinen zweiten "Zweig" mir überlegt - und Datenschutz für Systemadministratoren angegeben. Zu meiner Überraschung wurde der Vortrag angenommen.

Nun hatte ich durch ein Projekt in der Firma leider nur Zeit, am Donnerstag und Freitag hinzugehen - mein eigener Vortrag war erst am Freitag abend dran, daher hatte ich genug Zeit mir die anderen Vorträge anzuschauen und mich mit Freunden zu treffen; einen großen Teil auch als Besucher der FFG.
Die Vorträge waren sehr bunt gemischt - das fing an mit Netzwerk-Themen wie "best practices für Härten von Ciscos" und ging über social Engineering und die psychologische Seite davon bis hin zum Thema Datenschutz. Virtualisierung gab es auch in vielen Facetten; dabei reichte aber auch das Niveau von "Werbeveranstaltung" bis hin zum Hardcore-Virtualisierer der wirklich jede Frage beantworten konnte. Sofern seine Virtualisierung funktionierte :-)

Mein eigener Vortrag (Datenschutz für Administratoren) lief erstaunlich gut - knapp 50 Leute da, es gab eine interessante Diskussion die - zum Glück - nicht pauschalisiert wurde. Es gab einige Frage zu konkreten Setups, einige eher ethische Fragen, aber alles in allem lief das eigentlich recht gut. Ich hatte zumindest meinen Spass dabei und die Zuhörer wohl auch.

Die Gesundheitskarte und die Sicherheit

Gerade im IRC gelesen:

jetzt wird der server von der swiss post betrieben, und das erste was mich
anspringt, ist eine sql injection

da machen wir unssorgen, ob mit der elektronischen gesundheitskarte unsere
daten auch wirklich sicher sind... pah, hier liegen versichertennummern, namen,
bilder und alles andere

Die neue Cyber-Überwachung

Ich lese gerade bei Heise den neuen Artikel zum Bundestrojaner und finde einen Satz daraus bemerkenswert:


Dieser sei aber nicht Thema der Veranstaltung. Als großes Hindernis bei der Aufklärung von Verbrechen im Internet machte der Vorstandsvorsitzende der DATEV den Einsatz von Verschlüsselungstechniken durch Angreifer aus: "Wenn nur die Kryptographie nutzen, die etwas verbergen wollen, haben wir ein Riesenproblem."


Ich weiss nicht ob der Vorstandsvorsitzende der DATEV das so ausdrücken wollte, aber ich bin auch der Meinung es sollte möglichst viel verschlüsselten Datenverkehr geben - und zwar unabhängig davon was man macht. Ob Chatten, Mails schreiben, im web surfen - alles sollte verschlüsselt sein. Es fehlen nur die entsprechenden Kommunikationspartner - also IRC mit SSL verschlüsselt (okay, bringt nicht viel..), SMTP-Server die SSL verschlüsseln (also nicht nur die Nachricht selbst verschlüsseln mit GnuPG sondern den Transportweg auch), HTTPS nutzen so oft wie möglich und auch alles andere nur über einen verschlüsselten Tunnel machen.

Macht es!

Der Shopblogger und seine Videoanlage

Das ich den Shopblogger gerne lese ist eine Sache. Das ich in Kommentaren bei ihm geschrieben habe dass ich es für zweifelhaft halte hochauflösende Videoaufnahmen seiner Kunden zu machen ohne diese zu informieren und eine Haltefrist zu setzen hatte ich zwar nicht hier geschrieben, aber dies doch getan.

Und was lese ich nun in einem neuen Artikel? Er nutzt die Videoanlage um Kunden zu identifizieren und ihnen etwas zurückzugeben. Und verfolgt deren Weg durch den Laden damit. Er erwähnt sogar dass er dafür die Videoanlage missbraucht.

Wenn schon der normale Bürger das macht, warum sollten das die Wachdienste oder "Aufpasser" öffentlicher Kameras anders halten? Ich überlege gerade ernsthaft den Bremer Datenschützer darauf anzusprechen und den Shopblogger zu fragen ob er für die Kamera-Installation eine entsprechende Verfahrensliste hat, wo drinsteht mit welchem Ziel er sie aufgebaut hat. Auch wenn meine entsprechende Frage bei ihm vermutlich einfach ignoriert wird.

25C3: Ein weiterer Kongress in Berlin

Der Chaos Computer Congress hat dieses Jahr ein Vierteljahrhundert-Jubiläum - einerseits erstaunlich dass er sich so lange gehalten hat, andererseits wird er immer größer und voller.

Am Besten kann man die Bekanntheit daran erkennen dass bereits am ersten Tag (27ster) die Dauerkarten ausverkauft waren - das dürften so um die 3500-4000 Tickets gewesen sein. Auch während des Kongresses konnte man dies gut sehen; das BCC war so gut besucht dass praktisch alle Vorlesungen überfüllt waren. Ich glaube die einzige Ausnahme waren die eher Europa-politischen Talks wo es viele Interessierte Zuhörer gab, aber weniger Überfüllung.
Für mich bedeutete das letztendlich, die Vorträge per Stream zu sehen oder einfach zu warten bis fem fertig ist mit den offiziellen Streams. Stattdessen habe ich mich darauf konzentriert, viele Bekannte wieder zu treffen - S0krates, Risktaker, Tempo und andere Leute des Ministry of Information, wie auch die anderen Chaoten die sich immer wieder beim Congress wiedersehen.

Eine Richtung sieht man beim Congress sehr stark: Für viele Leute wird einfach aus praktischen Erwägungen das Treffen viel interessanter als die Vorträge. Für letztere muss man entweder den ganzen Tag in einem Saal bleiben oder halt Streams mitnehmen. Stände wie in früheren Jahren (Wikipedia zB) gab es diesmal weniger; was ich persönlich eher schade finde. Ich habe zwar auch einige Wikipedianer getroffen, aber leider viel zu kurz :-)
Im Hackcenter wurde - meinem Empfinden nach - durchaus auf gute Luft geachtet; zumindest den aus früheren Zeiten mir bekannten Geruch nach Gras oder ähnlichem habe ich dort nicht gefunden (okay, den einen speziellen Raum habe ich auch nicht betreten :-) dafür konnte man dort wohl ganz gut sitzen.

Mich haben besonders die Mikrokopter interessiert - eine tolle Variante des Modellbaus und ich überlege hier einen davon zu bauen. Mal sehen wann und wie :-)

Letztendlich sehe ich (so wie in früheren Jahren :-) das bcc als zu klein für den Kongress an - vielleicht aber auch das ganze Konzept. Ich denke man sollte den Congress teilen: Ein Teil Hackcenter (eine Turnhalle oder ähnliches?) für den man relativ wenig Geld verlangt und einen Teil Vorträge + Workshops + Diskussionsrunden für den man mehr zahlt, dafür gibt es mehr Tracks gleichzeitig. Beides zusammen dann für 100EUR oder so? :-) Ich zumindest fände das als Experiment interessant; wieviele Leute würden beides machen wollen und wieviele "nur" Hackcenter oder "nur" Vorträge?

Migrationen

Ob mir das zu denken geben sollte? Es gibt zwar laut $Suchmaschine Anleitungen um von Opera zu Firefox zu migrieren, aber nicht andersrum. Eigentlich hatte ich überlegt auf Opera umzusteigenum ihn mal zu testen und zu sehen wie er tut. Aber wenn ich da nicht meine Tabs und Bookmarks sauber übernehmen kann... ;-)

Heute ist der "Einmal nur mit Profis arbeiten"-Tag...

Irgendwie ist heute überall der Wurm drin.

Aber den Vogel abgeschossen haben $Admins, die für Support einen sogenannten Explorer brauchten - ein Programm was die wichtigsten Informationen über ein System sammelt und an den Support schickt, wenn man das will.

In der Anleitung stand dass man das via "ftp" machen muss und es war angegeben wo die Datei liegt die man herunterladen muss. Und es steht dabei dass man die Verzeichnisse nicht lesen kann; das ist Absicht.

Sie haben es nicht geschafft. Sobald sie in das Verzeichnis gehen wollten weigerte sich das Programm weil es das Verzeichnis nicht lesen konnte.

Nimmt man einen zeilenbasierten FTP-Client geht das wunderbar. Man kann die Datei auch herunterladen. Mn darf halt nur nicht versuchen das Verzeichnis lesen zu wollen - eine Vorgehensweise die durchaus schon Dekaden benutzt wird: Man sagt den Leuten gezielt was sie herunterladen sollen - den Rest können sie nicht sehen und demzufolge auch nicht herunterladen. Es ist kein "sicherer" Schutz, aber man kann so leicht den Leuten erklären was sie sich herunterladen sollen.

Moderne Browser wollen wohl unbedingt immer das Verzeichnis lesen und wenn das nicht geht werden sie bockig. Und die $Admins waren nicht in der Lage einen zeilenbasierten FTP-Client zu nutzen.

25C3: OpenAMD und Technikverliebte

Wie die Gerüchteküche schon länger und das C3-Weblog nun auch offiziell verkündet: Die Sputnik-Leute haben sich wieder was interessantes ausgedacht. Ihren Sputnik-Erfolg aus dem letzten und vorletzten Jahr wiederholen und verbessern.

Nun weiss ich wie im vorletzten Jahr der Run auf die Sputniks war - die Leute die sonst am Lautesten gegen Überwachung schreien haben uns am Infotresen die entsprechenden Gerätchen quasi aus der Hand gerissen und sind damit durch die Gegend gelaufen. Den Leuten war wahrscheinlich zwar klar dass sie damit trackbar waren (und dies wurde auch gezeigt wenn man genauer hinschaute); dass damals auch shcon die Trackingdaten gesammelt und später ausgewertet wurden (wieviele getrackte Geräte waren in welchem Vortrag; wieviele der personalisierten Geräte waren in welchem Vortrag, wie lange ist man bie welchem Stand stehengeblieben) ist wohl nicht so wirklich bekannt geworden, aber das wurde durchaus schon damals gemacht. Dieses Jahr? Keine Ahnung; ich gehe von aus dass auch alle Daten erstmal gespeichert werden und lustige Auswertungen probiert werden. Hat jemand viel Ahnung von der Technik und Lust, ein Störgerät zu bauen? Oder eines das randomisiert Seriennummern rausbläst und somit verwirrt? ;-)

Künstler wird von der Bundesstaatsanwaltschaft gewarnt: Call Wolfgang ist abgebrochen

Ich finde die Idee witzig: Zwei Rechner telefonieren miteinander und nutzen dabei Textfragmente die beim BND vermutlich auf einer Warn-Liste stehen - und damit wird vermutlich diese Installation vom BND abgehört.

Und seit kurzem ist auf der entsprechenden Webseite zu lesen dass die Aktion abgebrochen wurde wegen einer Warnung der Bundesstaatsanwaltschaft.

Hat er es geschafft da blanke Nerven zu treffen? ;-)

Update: Anscheinend ist die Installation wieder freigegeben; zumindest ist der Hinweis darauf von der Webseite verschwunden und die ursprünglichen Informationen sind wieder verfügbar.

Das BKA-Gesetz und seine Folgen

Der Spiegel ist meistens weniger kritisch, aber manche Interviews sind erschreckend gut. Da wird der rheinland-pfälzische Innenminister Karl-Peter Bruch eine sehr wichtige Frage gestellt - eine Frage bei der sich die Juristen selbst nicht einig sind; nämlich die Definition von Terrorismus. Die Antwort ist ... nun ja, lest selbst:


SPIEGEL ONLINE: Und wann ist Terrorismus international? Schon wenn ein Verdächtiger eine Mail aus Pakistan erhält oder ausländische Zeitungen liest?

Bruch: Eine Mail reicht aus. Wenn das Mainzer LKA erfährt, dass jemand eine verdächtige Nachricht aus Pakistan bekommt, melden wir das ans BKA und verständigen uns, wer in diesem Fall den Hut aufhat. Das wiederum bemisst sich an den eben genannten drei Aspekten.


Das heisst im Endeffekt, wir haben Denunziation Tür und Tor geöffnet. Gerade das unsichere Medium Emai dafür...