Dirk Ollmetzer | Monday, 29 December 2008 |
MiscTag 3 des Kongresses fing mit einem echten Highlight an: “Running your own GSM Network”. Na gut, ein ganz kleines bischen übertrieben war der Titel schon. Eigentlich hätte es “Running your own GSM basestation” heissen müssen. Seis drum – beeindruckend war die Vorführung allemal.
Nach einer Einführung, wie ein GSM Mobilfunknetz aufgebaut ist, ging es ans Eingemachte. Zunächst einmal die Frage, weshalb man so etwas überhaupt tun möchte. Neugier, die Suche nach Sicherheitslücken und die Schaffung eines Bewusstseins, daß überhaupt Schwachpunkte in der Netzsicherheit existieren. Insbesondere, wenn man bedenkt, daß viele Mobilfunkdienste, wie Payment auf der Grundannahme basieren, daß Mobilfunknetze sicher sind.
Um es kurz zu machen: Die Referenten haben während des Kongresses eine eigene Basisstation laufen lassen. Davon konnten sich die Anwesenden ganz einfach überzeugen, indem sie an ihren Handies ein anderes Mobilfunknetz auswählten. Neben den bekannten Deutschen Netzen wurde das Netz “001 01” sichtbar. Und da die Kongressbesucher sehr experimentierfreudig sind, haben bereits über 1000 Einbuchungen stattgefunden. Es wurde der laufende Netzwerkverkehr gezeigt, aus dem sich Herkunftsländer und Heimatnetzwerke, SMS-Verkehr im Klartext, Telefontyp und IMEI Nummer (eindeutige Gerätekennung der Handies) herauslesen liessen.
Ein grundlegendes Sicherheitsproblem scheint bei GSM darin zu liegen, daß die Intelligenz fast vollständig im Netzwerk liegt. Das Netzwerk authentifiziert zwar das Handy, aber nicht umgekehrt. Das Handy vertraut dem Netzwerk, das es findet.
Jedenfalls ein extrem interessanter Vortrag, in dem die Zuschauer auch viel zu lachen hatten.
Den anschließenden Vortrag zur (un)Sicherheit von eletronischen Wahlsystemen habe ich nicht zu Ende gesehen, weil mir die Einwände bereits bekannt waren. Unabhängig von der konkreten Umsetzung sind elektronische Wahlen prinzipiell nicht überprüfbar und somit grundsätzlich abzulehnen.
Dirk Ollmetzer | Sunday, 28 December 2008 |
MiscZum Ende des Tages gab es soeben einen richtig guten Vortrag zu Schadsoftware, die für Angriffe auf Bankkonten entwickelt wurde. Aus gegebenem Anlaß hatte ich natürlich einiges Interesse an dieser Veranstaltung und wurde auch nicht enttäuscht.
Angriffsszenarien
Der Vortrag begann mit dem schon klassischen Angriff per phishing. Dabei wurde eine fingierte Mail benutzt, die vorgeblich von eBay kam, um den User zur Eingabe seiner Accountdaten auf einer gefakten Seite zu bewegen.
Aus Angreifersicht ist solch ein Vorgehen jedoch ineffizient. Deshalb nehmen Angriffe mit Keyloggern zu, die zunächst nichts anderes tun, als Benutzereingaben nach bestimmten Kriterien zu Filtern und auf speziellen Servern (Dropzones) zu sammeln. Einige der verbreitetsten Tools wurden kurz vorgestellt – geradezu ein Gruselkabinett. Das reichte von Browserplugins, manipulierten Browserplugins und ging bis zu Software, die sich tief in das Betriebssystem eingräbt oder sogar schon vor dem Start des Betriebssystems hochfährt, weil sie im Master Boot Record sitzt.
Angriffsanalyse
Nachdem die verschiedenen Angriffstools vorgestellt wurden, zeigte der Referent, wie man diese Angriffe analysieren kann. Mittels Honeypots wird die Schadsoftware sozusagen “angelockt” und anschließend in mehreren Stufen analysiert. Sehr interessant.
Datenschwarzmarkt
Neben den technischen Aspekten beleuchtete der Referent auch die ökonomische Seite des dahinterstehenden Schwarzmarktes. Das betraf sowohl die Dimensionen (Anzahl der Geschädigten u.v.m.), als auch die mutmaßlichen Preise der Tools und der erbeuteten Zugangsdaten.
In der anschließenden Diskussion in kleiner Runde fragte ich, welche Möglichkeiten auf Seiten der Bank besteht, herauszufinden, ob Kunden möglicherweise gerade ausspioniert werden. Der Hinweis, daß in Deutschland mit dem mTAN Verfahren bereits ein – im Gegensatz zu Banken in anderen Ländern – relativ hoher Sicherheitsstandard besteht, kann nicht so recht zufriedenstellen. Da sollte man nochmal genauer drüber nachdenken.
Dirk Ollmetzer | Sunday, 28 December 2008 |
MiscHeute scheinen noch wesentlich mehr Menschen anwesend zu sein, was zwar irgendwie gut ist, die ganze Sache aber leider auch sehr anstrengend macht. Außerhalb der Säle kann man kaum treten und in den Vorträgen ist konzentriertes Zuhören ist sehr schwierig, weil immer irgendjemand raus- oder rein rennt, Türen im 15 Sekunden-Takt laut klappen, Mateflaschen umfallen oder sonstwas nerviges passiert.
Positiv ist dafür, daß heute generell mehr Frauen anwesend sind, was ich sehr begrüße. Eben saß neben mir (Im Gang, auf dem Fußboden in Steckdosennähe) ein nettes, junges Mädel mit seine Macbook. Speziell und ungewöhnlich war, daß sie sehtr konzentriert Nethack gespielt hat. Falls es jemand nicht kennt: Höhlen durchstriefen, Schatz suchen, Monster erschlagen. Alles ohne Grafik – die reinste Buchstabensuppe.
Zwei Vorträge habe ich schon gehört.
Im ersten wurde bewusst provokant eine positive Utopie über die transparente Gesellschaft gezeichnet. Einiges davon ist sicherlich nicht so ganz falsch, aber ob das die “bösen Jungs” im Zweifelsfall auch so sehen… Ich weiss ja nicht.
Der zweite Vortrag war technischer Natur und hatte mögliche Angriffe auf Web2.0 Applikationen zum Thema. Das hat mir leider nicht soviel gegeben, wie ich mir gewünscht hätte. Zum Einen lag das etwas am Vortragsstil, zum Anderen aber auch daran, daß ich in Javascript nicht so richtig fit bin, wenn es ans Eingemachte geht.
Dirk Ollmetzer | Saturday, 27 December 2008 |
MiscGerade den ersten wirklich technischen Vortrag gehört: “Locating mobile phones using signalling system #7”. Gleich zu Beginn wurde ein ausländischer Zuhörer aufgefordert, seine Telefonnummer in ein Tool einzugeben. Kurz darauf bekam der Saal zu sehen, über welche Netze er in Deutschland geroutet wird und wo er sich ungefähr aufhält. Nach der Praxis folgte die Theorie.
Positiv war, daß sehr anschaulich und verständlich dargelegt wurde, worin die Schwachstelle in GSM Netzwerken (also fast jedem Mobilfunknetz der Welt mit Ausnahme von USA und Japan) besteht. Die Funktion und das ganze Protokoll ist eigentlich nur Mobilfunkprovidern für Roamingzwecke zugänglich. Interessant ist nicht nur die Tatsache, daß es dem Vortragenden überhaupt gelang, sich die entsprechende Information zu beschaffen, sondern auch die Antwort auf seine Frage, weshalb das überhaupt möglich ist. Die Antwort war, daß diese Lücke mutmaßlich von Spam-Versendern genutzt wird und einige daran sehr gut verdienen.
Auf die Frage, wie man sich als normaler Nutzer davor schützen kann, lautet die ernüchternde Antwort: “gar nicht”. Die Carrier arbeiten aber daran, diese Lücke zu schließen. Und das aus zwei Gründen: Erstens geht ihnen über manipuliertes SMS Routing enorm viel Geld verloren und zweitens können bestimmte SMS aufgrund dieser Lücke nicht von den Geheimdiensten des Landes mitgelesen werden, aus der der Mobilfunkkunde kommt.
Ich habe eben eine Menge über die Funktion von GSM Mobilfunknetzen gelernt. Dies war definitiv eines der Highlights des Tages – trotz des gnadenlos überfüllten Vortragssaals und den drei Kaspern vor mir, die sich die ganze Zeit unterhalten mussten und ausserdem noch den Blick zur Leinwand versperrt haben.
Dirk Ollmetzer | Saturday, 27 December 2008 |
MiscSeit heute Mittag bin ich auf dem 25. Chaos Computer Congress – die Jahresabschlussveranstaltung der Deutschen Nerd-Szene. Ich schreibe jetzt absichtlich nicht “Hackerkongress”, weil es das meines Erachtens nach nicht so recht trifft.
Hacker? Bürgerrechtler? Nerds, Bastler?
Natürlich geht es hier auch um Hacking bzw. Computer- und Datensicherheit, aber auch genauso um Bürgerrechte im Informationszeitalter. Das Thema ist natürlich bei den Computerfreaks zuerst angekommen, weil sie sich mit der abstrakten Bedeutung von Daten hervorragend auskennen, während Otto Normalverbraucher nichts versteht, was er nicht sehen und anfassen kann. Das ist auch nach etlichen Datenskandalen leider noch immer so, wie ich neulich an der üblichen unqualifizierten Äußerung (“Ich habe doch nichts zu verbergen”) einer Person, die ansonsten wirklich nicht dumm ist, feststellen musste. Insbesondere, weil diese Person ohne eigenes Zutun in einer Sitiation war, die durchaus unangenehm werden kann.
Es gibt aber neben diversen Vorträgen zu Technik, Gesellschaft und Recht auch die üblichen leicht abgedrehten Workshops und Bastelecken. Von Laserharfen, balancierenden Robotern, Musikwettbewerben, selbstgebauten Quadrocoptern (oder wie die Dinger heissen). Insgesamt geht es noch immer um den kreativen Umgang mit Technik; darum, auszuprobieren, was noch so geht und Spass macht.
Ambiente und Stimmung
Das Berliner Congress Center ist extrem cool, stylish und knackvoll. Nerds sehen noch immer wie Nerds aus, die Frauenquote liegt unter 10%. Das Catering ist bemerkenswert preisgünstig, wie auch der Eintritt. €80,- für einen viertägigen Kongress ist extrem wohlfeil, wie ich finde. Deshalb habe ich mir natürlich auch gerade noch das T-Shirt zur Konferenz besorgt. Natürlich in schwarz. Zum Dresscode gehört hier unbedingt auch ein Kapuzenshirt.
Die bevorzugten Computertypen sind ungefähr zu gleichen Teilen Netbooks, Apple, Thinkpads und irgendwas undefinierbares, das von Aufklebern zusammengehalten und mit selbstkompilierten Betriebssystemen angetrieben wird.
Weiteres später
Bilder und Zusammenfassungen von Vorträgen, die ich gehört habe (bis jetzt zum Thema “Hackerparagraf” §202c StGB und wearable computing) folgen später.
Dirk Ollmetzer | Friday, 26 December 2008 |
MiscJedes Jahr wird man von Weihnachten überrumpelt – und jedes Jahr stelle ich zum Jahresende fest: “Ach ja, da war ja gerade der Chaos Communication Congress…”.
Im letzten Jahr habe ich mich geärgert, für einen eher flauen Kongress rund um die Welt geflogen zu sein, aber einen hochwertigen Kongress, der erstens viel billiger ist und zweitens direkt vor der Haustür stattfindet verpasst zu haben. Dieses Jahr habe ich endlich mal rechtzeitig dran gedacht. Ich war gerade am Alex um mir ein Ticket Badge zu besorgen.
25C3 Badge
25C3: Sichtbare Zeichen vor dem Berliner Congress Center
Der 25. Chaos Communication Congress, der vom 27. bis zum 30. im BCC am Alexanderplatz stattfindet, steht unter dem Motto “nothing to hide”. Ich freue mich schon auf interessante Vorträge in den Bereichen Technik und Gesellschaft.
Informationen zum Kongress gibt es auf dem 25C3-Wiki.
Weiteres zum Verlauf kann man auf dem 25C3-Blog in Erfahrung bringen.
P.S.: Natürlich war ich 2007 – Gott sei Dank – nicht nur wegen der Web 2.0 Expo in San Francisco. So gesehen hatte es sich unter dem Strich natürlich doch gelohnt ;-)
Dirk Ollmetzer | Thursday, 18 December 2008 |
MiscFrüher, kurz nachdem der Strom erfunden war und kleine picklige Nerds noch richtige kleine picklige Nerds waren, da gab es noch Computerspiele. Die hießen wirklich so – nicht “games”. Und sie sahen ungefähr so aus:
Wie geil, daß es immer noch abgefahrene Freaks gibt. Dieses Computerspiel ist nämlich brandneu. :-)
Auf dem Blog von Doomlaser gibt es noch diverses anderes abgefahrene Semi-Retro Zeug zu sehen. Passend dazu noch dieser Lesetip: kokoromi::gamma256.
Dirk Ollmetzer | Friday, 12 December 2008 |
MiscIn letzter Zeit interessiere ich mich wieder verstärkt für alternative Wohnformen, wie man an meinen kleinen Artikeln über Minihäuser sehen kann. Nun bin ich über ein interessantes Special auf 3Sat gestoßen: “Schwimmende Städte“.
Was in Deutschland eher wie eine skurile Vision von durchgeknallten Architekten wirkt, kann für die Niederlande oder andere Gebiete die in einem großen Flussdelta liegen angesichts des Klimawandels und eines steigenden Meeresspiegels zu einer Frage des Überlebens werden. In dem Film werden interessante Ideen, Forschungen und Prototypen vorgestellt. Die Spannbreite reicht von künstlich gezüchteten Korallenriffen über Einfamilienhäuser in Überschwemmungsgebieten, die bei Hochwasser aufschwimmen bis hin zu großen Strukturen wie z.B. Siedlungen, die vollständig schwimmen. Als Beweis für die Machbarkeit wurde bereits ein kleiner Flughafen in der Bucht von Tokyo realisiert.
Bei solchen Planungen spielen Umweltverträglichkeit und größtmögliche Unabhängigkeit bei der Ver- und Endsorgung zwangsläufig eine noch viel stärkere Rolle, als bei konventionellen Bauvorhaben. Alles sehr interessant, wie ich finde.
Dirk Ollmetzer | Monday, 1 December 2008 |
MiscIch bin gerade über wirklich tolle Websites zum Thema “ökologisch, kompakt und mobil wohnen” gestoßen.
Zum Beispiel bei Mini Home von sustain | design | studio aus Kanada. Das ist so ziemlich genau das, wovon ich seit längerem träume. Vor allem: das Design, ist wirklich zum niederknieen schön. Kaum zu glauben, daß das eigentlich – nun ja, ich traue mich kaum das Wort zu benutzen – Wohnwagen sind.
Auf die Seite gestoßen bin ich auf den Umweg über diese Seite bei inhabitat. Dort sind ebenfalls sehr schöne Anregungen zu finden. Falls es eine halbe Nummer größer sein soll und nicht unbedingt mobil sein muß, hat Studio804 auch sehr geschmackvolle, kompakte Häuser zu bieten. Das Wort “Fertighaus” scheint hier auch irgendwie fehl am Platz.
Interessante Grundrissvarianten für Prefabs (Fertighaus – nicht zu verwechseln mit Fertigteilhaus) kann man bei weehouse finden. Das finish überzeugt mich hier weniger, aber als Anregung ist die Seite trotzdem toll. Jetzt wäre natürlich noch interessant zu prüfen, inwieweit solche Lösungen mit dem Deutschen Baurecht vereinbar sind. Wenn man die Materialien und solche Sachen wie die Wäremeschutzverordnung einhält, sollte man aber eigentlich keine größeren Schwierigkeiten bekommen, denke ich.
Dirk Ollmetzer | Monday, 24 November 2008 |
MiscAhhh, der Artikel spricht mir aus der Seele: “A Call for Revolution Against Beta Culture“. Jesus Diaz schreibt, daß er es einfach leid ist, ständig mit fehlerhaften und halb fertigen Produkten und Diensten hantieren zu müssen. Nie ist etwas fertig, nie funktioniert etwas zu 100%. Ist ja auch egal, kommt ja bald ein Update…
Im Web 2.0 (erinnert sich noch jemand an diesen Begriff?) kokettierte man regelrecht damit, ein Angebot niemals wirklich fertig zu haben. Aber da musste man sich als Nutzer wenigstens nicht selbst drum kümmern, den Dienst am Laufen zu halten – im Gegensatz zum eigenen Computer. Mehrmals täglich ein Update vom Virenscanner, alle paar Wochen etliche -zig Megabyte Betriebssystemupdates. Wenn man ein Programm mal ‘ne Woche nicht benutzt, ist das erste nach dem Start eine Zwangspause, weil wieder ein Sicherheitsupdate heruntergeladen werden muss. Wieso kann man heutzutage eigentlich keinen Computer mehr benutzen, ohne eine Megabit schnelle DSL Leitung zu haben?
Daß man so einen nervtötenden Mist seit längerem bei Computern ertragen muss ist schon schlimm genug, aber es greift eben auch bei allen möglichen technischen Geräten um sich. Alles was irgendwie vernetzt ist (zum Beispiel Handies, MP3-Player) braucht laufend irgendein Update. Aber auch normale Elektrogeräte werden zunehmend so konstruiert, daß sie nicht so funktionieren, wie es zu erwarten wäre.
Das ging auch alles mal anders. Diaz schreibt, daß der Telefunken(!) Videorekorder von seinen Eltern aus den 70ern immer noch funktioniert. Auch der ebenso alte Braun-Wecker läuft noch immer ohne Upgrade. Selbst die alten Homecomputer (Apple II und ZX Spectrum) funktionieren heutzutage noch.
Was sind die Ursachen? Zeitdruck und Schlampigkeit bei der Entwicklung und das Verlangen der Konsumenten alle vier Wochen das neueste Gadget haben zu müssen. Letzten Endes ist es aber der Konsument, der sich das Gefallen lässt. Vielleicht liegt es auch einfach an der totalen Resignation – ist ja egal was man kauft; Funktioniert eh nicht richtig. An Tagen, die ich mit der Bändigung zickiger Technik vergeudet habe kam mir jedenfalls immer häufiger der Gedanke, daß ich mich in absehbarer Zeit in eine Holzhütte im Wald zurückziehen möchte. So eine ganz einfache mit Ziehbrunnen und gemauertem Holzofen.
« Previous Page — Next Page »