tiny little gizmos

Recap 33C3

Das Jahr 2017 ist schon ein paar Tage alt und der 33. Chaos Communication Congress ist bereits seit einer Woche Geschichte. Mit etwas Abstand möchte ich meine Eindrücke zusammenfassen.

Entspanne und genieße

Im Gegensatz zu meinen letzten Besuchen bin ich dieses Mal etwas anders vorgegangen. Während des Kongresses habe ich so gut wie nichts veröffentlicht; Nicht auf meinem Blog und auch auf Facebook nur ein paar Bilder. Ich habe auch nicht so viele Veranstaltungen besucht, sondern mich eher entspannt treiben lassen. Der Kongress ist mit seinen 12.000 Besuchern derart groß und wuselig, dass man mit Gelassenheit viel weiter kommt, als wenn man ständig zwischen den Säälen hin und her rennt. Einige interessante Vorträge habe ich mir erst später in Ruhe zu Hause angesehen. So konnte ich in Ruhe das tolle, bunte, lustige, anregende Ambiente genießen.

33C3 Dekoration

33C3 Dekoration

33C3 Hackcenter

33C3 Hackcenter

33C3 - 3D Drucker en masse

33C3 – 3D Drucker en masse

33C3 Partyzone

33C3 Partyzone

Traditionsgemäß waren auch diesmal wieder die ganzen Zwischengeschosse und Aufenthaltsbereiche bunt und fantasievoll dekoriert. Mal im Stil eines englischen Salons, mal sind es Beduinenzelte, dann wiederum feinstes 70er Jahre Kunststoffblasen Ambiente á la Barbarella. Die Assemblies und das Hackcenter lagen wie immer im halbdunkel, was die ganzen Spielereien mit LEDs, Projektoren und Elektrolumineszentbändern richtig zur Geltung kommen ließ. In der großen Halle war wie in den Vorjahren wieder eine clubmäßige Partyzone. Die riesigen Installationen erinnerten diesmal an Tetris und Minecraft und es wurde bereits am frühen Abend feinster chilliger Elektrobeat gespielt.

33C3 Organisation

33C3 Organisation

Die Organisation ist mittlerweile unfassbar gut eingespielt. Es wurde an tausend Details gedacht, ein eigenes Telefonnetz installiert und das WLAN war immer gut. Das ist um so bemerkenswerter, weil die ganze Arbeit von Freiwilligen (Engeln) gemacht wird. In diesem Jahr hatten sich sage und schreibe 2.500 Leute dafür gemeldet – mehr als benötigt wurden.

Natürlich wimmelte es auch wieder von kleinen Späßchen: Am Eingang der Toiletten hingen Zettel, die den WLAN-Empfang mit 0-5 Sternen bewerteten, ich habe ein Wettrennen zwischen zwei Jungs auf einem rollenden grünen Cordsessel und einer Matekiste gesehen, eine Polonaise von 15 Leuten auf Hoverboards und noch viele andere lustige Sachen.

Vorsicht: CYBER!

Der Running-Gag der Veranstaltung war aber der Begriff Cyber. Ein Begriff, den seit Ende der 70er Jahre eigentlich keiner mehr benutzt, aber in letzter Zeit von Leuten, die überhaupt kein Fachwissen haben, für ihre politische Propaganda genutzt.
Folgerichtig wurde mit zwinkerndem Auge alles, was irgendwie “gefährlich” war mit gelbem Cyber-Absperrband gekennzeichnet: Von fiktiven Tatorten über Laptops, bis zu den Besuchern selber, die sich die Bänder auf ihre Klamotten geklebt haben.

33C3 - Vorsicht: Cyber!

33C3 – Vorsicht: Cyber!

Auch diesmal gab es natürlich wieder sehr viele spannende Vorträge mit Themen irgendwo zwischen Politik, tollen Basteleien und Raumfahrt. Einige waren lustig (wie baue ich einen Flipper selber) und einige wiederum extrem ernst (wie tötet man Menschen aus tausenden Kilometer Entfernung mit einer Drohne, wenn man nur ihre Telefonnummer hat).

Für mich waren in diesem die folgenden Schwerpunkte wichtig:

  • Messenger
  • Vertrauenswürdige Hardware
  • Datenanalyse

Messenger

Messenger sind in den letzten Jahren ein großes Ding geworden. Ich habe so einen seltsamen Walled-Garden-Zwitter zwischen E-Mail und SMS zwar nie vermisst, aber zu meiner Verblüffung haben sich die breiten Massen auf WhatsApp und Co gestürzt und man wird mittlerweile dumm angeguckt, wenn man so etwas nicht hat. Also muss man sich wohl damit beschäftigen. Aus diversen Gründen halte ich zur Zeit keinen einzigen Messenger für gut, aber ich bin ja lernwillig. Also habe ich mir zwei Veranstaltungen angesehen.

In einem kleineren Workshop Raum fanden sich ca. 100 Zuhörer ein, um einen Vergleich der folgenden Messenger zu hören: WhatsApp, Signal, Viber, Threema, Wire, Kontalk, Facebook Messenger, Telegram, Allo und Skype. Alleine die Vielfalt zeigt schon ein Grundproblem aller Angebote: Sie sind abgeschottet. Keiner kann mit dem anderen kommunizieren, wenn der ein anderes System nutzt.

In dem Vortrag ging es nur um einen kleinen, aber wichtigen Teilaspekt: Die Sicherheit. Der Laie hört nur “WhatsApp ist ja verschlüsselt” und damit ist alles gut. Leider ist die Realität nicht so einfach. Um es kurz zu machen:
Es gab keine Lösung, die als wirklich sicher und vertrauenswürdig einzustufen ist. Skype ist bereits in der Vorrunde mangels End-to-end Verschlüsselung ausgeschieden, Threema konnte sich als “vermutlich sicher, aber nicht völlig vertrauenwürdig” noch relativ gut behaupten.

Threema war auch Untersuchungsgegenstand der Vortrags “A look into the Mobile Messaging Black Box” von Rolan Schilling, der hier zu sehen ist:

Hier wurde der Threema Messenger per reverse-Engeneering untersucht: Die Verschlüsselung selber, das Schlüssel Management und das Kommunikationsprotokoll. Das Fazit ist, dass alles handwerklich sauber zu sein scheint. Das letzte bestehende Problem ist die Vertrauenswürdigkeit des Programms selber. Die Vortragenden ermutigen Threema deshalb, den Source Code des Clients als Open Source freizugeben. Dazu haben sie bereits selber Code auf Github eingestellt, den sie qualitativ als “lediglich akademisch” eingestuft haben: https://github.com/o3ma

Vertrauenswürdige Hardware

Eine der größten momentanen Herausforderung betreffs der Sicherheit ist aktuell aber, dass es prinzipiell unmöglich ist, sicher über eine Hardware zu kommunizieren, die auf unterster Ebene von Backdoors verseucht ist. Das gilt zur Zeit für alle PC, Router, Smartphones und sonstige Geräte.

Der Vortrag “Virtual Secure Boot” von Gerd Hoffmann zielte darauf ab, wie man einen PC sicher bootet. Das ist erstaunlicherweise mit sehr viel Aufwand verbunden und kann nur bei sehr wenigen Modellen nachgerüstet werden.

Der Vortrag “Untrusting the CPU” von Jaseg handelte davon, wie auf einem nicht vertrauenswürdigen Computer sicher und verschlüsselt kommuniziert werden könnte. Der Vorschlag ist im Prinzip ein Gerät, das zwischen die Ein- und Ausgabe gehängt wird. Der Computer bekäme von den verschlüsselten Nachrichten gar nichts mit.

Der Ansatz ist auf technischem Level sehr interessant, aber auf einer höheren Ebene ziemlich am Thema vorbei. Denn die eigentliche Frage ist:

“Wie stelle ich sicher, dass ich einen Rechner ohne Backdoors habe?”

Das kann mit den Standardcomputern, die heutzutage erhältlich sind prinzipiell nicht erreicht werden. Wenn man schon so ein technisch aufwendiges Zwischengerät, wie Jaseg es vorschlägt, herstellen würde – wieso baut man dann nicht stattdessen einen einfachen und sicheren Computer?

Komplexität nicht durch noch komplexere Ansätze ersetzen

Mir ist in letzter Zeit ohnehin aufgefallen, dass es generell eine Neigung gibt, Dinge die aufgrund übergroßer Komplexität unsicher oder unbedienbar werden, durch das Hinzufügen weiterer Elemente zu reparieren. Leider wird das zugrunde liegende Problem dadurch nicht gelöst und die Komplexität steigt weiter.

Als sinnvoller empfinde ich es, eine Sicherheitslücke mit einfachen Mitteln anzugehen. In ihrem Vortrag “Hochsicherheits-Generalschlüssel Marke Eigenbau” erläutern Michael Weiner und RFGuy über eine Dreiviertelstunde lang, wie sie sich für ein bestimmtes mechanisches Schließsystem einen Generalschlüssel berechnet und angefertigt haben.

Verblüffenderweise weisen sie am Schluss darauf hin, dass das System gut sei, obwohl sie es knacken konnten. Man müsse nur aufpassen, dass die Schlüssel nicht fotografiert werden können und empfehlen daher, die Schlüssel stets in einem Mäppchen zu transportieren.

 

Datenanalyse

Der Satz “Ich habe doch nichts zu verbergen” zeugte schon immer von naiver Unwissenheit. Ich habe dann häufig geantwortet “Das kannst Du nicht beurteilen, weil Du nicht weißt wer wann was aus Deinen Daten herausliest.”

Genau hierzu gab es einen wundervollen Beitrag von David Kriesel: “SpiegelMining – Reverse Engineering von Spiegel-Online”, in dem eine Datenanalyse der Veröffentlichungen von Spiegel Online vorgestellt wird. Interessant sind hier bei die Erkenntnisse, die quasi “um die Ecke” gewonnen wurden. Das sind Dinge, die in den Rohdaten eigentlich gar nicht drinstecken, wie Inhaltepräferenzen der Leser, Kommentartätigkeiten, verändertes gesellschaftliches Bewusstsein und eine Abschätzung, welche Redakteure miteinander ein Verhältnis haben könnten. Absolut sehenswert!

Noch beklemmender, weil es jeden von uns angeht, ist die Datenanalyse im Vortrag “Build your own NSA” von SVeckert und Andreas Dewes auf der Basis von Webtracking. Aus einem Datensample konnten Personen de-anonymisiert werden. Als die Politikerin Valerie Wilms (MdB, Die Grünen) über die Erkenntnisse zu ihrem Tagesablauf, den Bankverbindungen, Interessen und zur Struktur ihrer Einkommensteuererklärung informiert wurde, meinte sie “Is echt alles zu sehen, ne? Scheisse!”

Fazit

Auch der 33. Chaos Communication Congress hat wieder eine Gefühlsmischung aus Neugier, Ratlosigkeit und Niedergeschlagenheit – aber auch Faszination und einer Menge Spass bei mir hinterlassen. Es war auf jeden Fall eine großartige Veranstaltung.

In diesem Jahr muss sich der CCC jedoch nach einem anderen Veranstaltungsort umsehen, da das Congress Centrum Hamburg saniert und 2019 wiedereröffnet werden soll.