Allgemein

34. Chaos Communication Congress – Tag 4

Mit Tag 4 sind wir nun am letzten Tag des Chaos Communication Congresses angekommen. Dieser war zwar auch wieder mit interessanten Vorträgen gefüllt, aber so langsam machte sich doch das unangenehme Gefühl bemerkbar, dass es bald vorbei ist. Aber von so etwas darf man sich nicht beeinflussen lassen! Die aufgezeichneten Videos und andere Veröffentlichungen des CCC begleiten uns ja über das ganze nächste Jahr weiter! Und auch ich habe mir vorgenommen, mal beim C3D2 vorbeizuschauen. Dieser ist, durch eine glückliche Fügung, auch direkt bei mir um die Ecke.

Mit diesen Gedanken habe ich mich direkt zum ersten Vortrag “Mietshäusersyndikat: den Immobilienmarkt hacken” begeben. In diesem ging es um eines der grundlegenden Probleme am Immobilienmarkt, dass Häuser in Privatbesitz sind und mit der Absicht Gewinn zu erzielen vermietet werden. Die dadurch steigenden Mieten haben wohl schon jeden irgendwann in seinem Leben betroffen. Das Mietshäusersyndikat hat es sich dabei zum Ziel gemacht, private Häuser in Gemeinschaftseigentum zu überführen und diese auch so abzusichern, dass diese nie wieder privatisiert werden.  Dabei steht das Syndikat mit ganz viel Know-how und Beratungsleistungen für interessierte Hausgemeinschaften zur Verfügung. Alles in allem ein interessantes Modell und vielleicht für den ein oder anderen informativ anzusehen.

Weiter ging es, ganz alternativ, mit “Schreibtisch-Hooligans” oder “Informationsfreiheit trotz CSU”.  Dieser Vortrag richtete sich an Politikverdrossene, die es nicht weiter ertragen wollen, dass Gesetzentwürfe eher durch Lobbyverbände öffentlich gemacht werden, als von Journalisten und öffentlichen Einrichtungen, deren Aufgabe es eigentlich wäre. Allein schon die Tatsache, dass Gesetzentwürfe und Stellungnahmen dazu generell nicht öffentlich sind, ist vielen ein Dorn im Auge. Aber dafür gibt es inzwischen eine mögliche Abhilfe, nämlich das Informationsfreiheitsgesetz. Mit dessen Hilfe kann man Anfragen an alle Bundesministerien stellen und auf Herausgabe der – eigentlich – öffentlichen Informationen drängen. Im Vortrag wurden einige Erfolge vorgestellt und auch die Möglichkeiten selbst solche Anfragen zu stellen beschrieben. Am Ende wurde noch der Dienst https://transparenzklagen.de/ vorgestellt, den man als aufrechter Bürger nutzen kann, um weitere Transparenz in unsere Regierung zu bringen.

Bildergebnis für openPower - the current state of commercial openness in CPU developmentNach diesen zwei eher alternativen Themen wurde es wieder technischer. Ich habe mir bei “openPower – the current state of commercial openness in CPU development” eine Alternative zu den aktuell marktbeherrschenden x86 CPUs (Intel und AMD) angesehen. Bei den ganzen Schwachstellen und Patzern im letzten und diesem Jahr, ist eine sinnvolle Alternative sicher keine verkehrte Idee. Und ich wurde beim Vortrag nicht enttäuscht! Der Vortragende kam aus Chemnitz, wo er direkt an der Entwicklung der openPOWER Architektur mitwirkt. Bei dieser steht vor allem das “open” im Mittelpunkt, alle Komponenten sind vollkommen offen gelegt. Das schließt die Software und auch die gesamte Hardware-Implementierung mit ein. Zusammen mit Partnern wie IBM, Google, Mellanox und Nvidia sind auch gewichtige Namen mit an Bord, wobei darauf geachtet wurde, dass die openPOWER Foundation unabhängig und als Non-Profit Unternehmen geführt wird. In dem Vortrag wurden auch viele technische Aspekte betrachtet, vor allem die Workload Accelerators waren dabei interessant, diese Schnittstelle ist z.B. für GPUs und Krypto-Beschleuniger konzipiert und ermöglicht eine effizientere Einbindung dieser in das System.

In diesem sehr schönen Vortrag habe ich festgestellt, dass einige meiner Kollegen im gleichen Raum sind und als Engel arbeiten. Also bin ich noch etwas da geblieben und habe mir auch noch “Organisational Structures for Sustainable Free Software Development” angesehen. In diesem ging es darum, wie man Projekte und Organisationen im OpenSource Bereich gründen kann. Das Offensichtliche, dass es eine Menge Aufwand bedeutet, der eigentlich nur zunimmt, muss man ja keinem sagen. Aber wie man so eine Organisation strukturieren und wo man (anwaltliche) Hilfe bekommen kann, war schon sehenswert. Generell war der Vortrag schön aufgebaut und die Folien sind sehr empfehlenswert. Auch aufgrund der Buchempfehlungen, die darin enthalten sind. Zwei wichtige Zitate will ich hier unbedingt noch unterbringen:

Geld kann zerstörerisch auf OpenSource Projekte wirken

Die Erfolgsmetrik sollte Community Wachstum sein und nicht Deliverables

Kurz vor dem Ende des Kongresses gibt es traditionell das Infrastructure Review. In diesem wird erklärt, wie die für den Kongress verwendete Technik aufgebaut und was alles im NOC passiert ist . Zuerst wurde die Messe Leipzig gelobt, es gab überall Singlemode Glasfaserkabel und generell waren die technischen Vorbedingungen sehr gut. So hat es der CCC geschafft insgesamt 400GBit/s Internetbandbreite anzuschließen und das auch noch über 3 geografisch redundanten Uplinks an die Messe. Einer dieser Uplinks wurde mit Hilfe von Laborequipment auf Basis einer 200Gbit/s Alien Wavelength Technologie betrieben. Der Hersteller hat sich über dieses realistische Testszenario sehr gefreut und gerne die entsprechende Hardware bereitgestellt. Verteilt über den Kongress haben über 1000 Access Points ihren Job getan. Leider waren aber nur 180 davon vom CCC selbst, der Rest waren rogue APs und SSID Spammer, die versucht haben, das Netzwerk lahm zu legen. Eher belustigend war einer der Teilnehmer, der es geschafft hatte alleine ca. 5GBit/s Traffic zu machen und damit einen Morsecode im Monitoring unterzubringen. Zusätzlich zum normalen IP Netz und WLAN wurde auch ein lokales GSM/UMTS Netz betrieben. Dafür wurde die OpenSource Software Osmocom eingesetzt, mit der es leider relativ viele Probleme gab. Aber über die Tage konnten einige sehr wichtige Daten zum weiteren debuggen gesammelt werden. Wieder einmal hat sich gezeigt, dass der CCC ein guter Stresstest für neue Software und neues Equipment ist.

Neben all den Netzwerk Themen waren auch Video und Audio mit berichtenswerten Fakten präsent. So wurde dieses Jahr zum ersten Mal in 4k gestreamt. Und es gab bis zu 6800 Zuschauer im Internet. Damit das alles reibungslos funktioniert, gab es ein eigenes, isoliertes Audio- und Video-Studio. Alles in allem sehr imposante Technik in allen Bereichen, besonders wenn man sich vor Augen führt, dass all dies von Freiwilligen organisiert und teilweise mit einem wirklich knappen – oder ganz ohne – Budget realisiert wird.

Bildergebnis für security nightmares 0x12Nun ging es zum inhaltlich letzten Vortrag. Dafür hatte ich mir “Security Nightmares 0x12” ausgesucht. Dieser Vortrag ist ein alter Bekannter unter den Besuchern des Kongresses und da er sich dieses Mal zum 18. Mal jährt: Endlich volljährig! Ändert sich dadurch etwas? Die Antwort ist zum Glück, und gleichzeitig leider, nein! Der Talk selbst war genial, aber es ist gleichzeitig doch erschreckend, wie viele Software und IT Systeme – mit Ansage – kaputt sind. Da wäre z. B. die “Passwort Hilfe” von MacOS, die direkt das gesuchte Passwort anzeigt. Oder Outlook, welches bei verschlüsselten Mails auch gleich den Klartext mitschickt, damit man verifizieren kann, ob die Verschlüsselung wirklich funktioniert hat.

Weiter ging es mit einer Betrachtung von aktuellen Straftaten. Da waren z. B. 27.000 verschlüsselte MongoDB Instanzen, die frei im Internet standen. Obwohl sich die Fachleute nicht ganz einig sind, ob das als Straftat oder Dienst an der Allgemeinheit zählen sollte. Oder DDoS Angriffe zu nennen, die inzwischen Peaks von 500-800 GBit/s erreichen. In diesem Kontext gab es auch noch einen praktischen Tipp. Wenn der erste DDoS Angriff kürzer als 15 Minuten ist und von Amazon IPs kommt, dann kann der Angreifer das nicht durchhalten. Amazons Schutzmaßnahmen greifen erst nach ca. 15 Minuten und würden den DDoS automatisch beenden. Solche Aktionen sind also nur “Dummenfang” und man sollte genau überlegen, ob man sich erpressen lässt.

Weiter ging es mit dem aktuell angesagten Themenblock IoT und einer gehörigen Portion entmutigender Skepsis. Generell wird den Herstellern nicht zugetraut ein funktionierendes Patchkonzept auf die Beine zu stellen. Wobei damit gemeint ist, dass ausgelieferte Geräte auch mit den aktuellen Patches versorgt werden und das, auch wenn sie älter als ein Jahr sind! Interessant ist auch das Konzept einer Plasterouter-Bürgerwehr, also Hackern, die billige IoT-Geräte knacken und sie dann sicher Patchen, damit diese nicht von Botnetzen oder anderer Schadsoftware übernommen werden.
Neben IoT-Geräten werden auch immer mehr Angriffe auf die Computer in unseren Computern bekannter, die Intel Management Engine, Qualcom oder Bluetooth Modems sind sicherlich nur der Anfang einer neuen Art von Schwachstellen. Um so interessanter ist es, dass Forscher aktuell an Methoden arbeiten, mit denen sich Computer selbst verteidigen können, dabei ging es nämlich bei der DARPA Cyber Grand Challenge. Es wurden KIs getestet, die sich gegenseitig angreifen und verteidigen sollten. Den kompletten Artikel dazu gibt es in der Phrak und alle Quellcodes sind veröffentlicht worden.

Danach folgte eine Betrachtung von zukünftigen Problemen. Bei dem aktuellen Cloud Trend und dem Motto “auf den Schultern von Riesen stehen” wird eines sehr vernachlässigt, man kann die Systeme nicht mehr bis auf ihre Basis Analysieren und durchschauen. So wird aus einer Ingenieurskunst oder Wissenschaft schließlich etwas, was einer Religion gleicht. Man muss einfach daran glauben, dass die Systeme funktionieren. Und wenn etwas nicht geht, dann betet man im Tempel von *Cloudprovider und alles wird wieder gut! Außerdem wird immer wieder gesagt “Daten sind das Öl des 21. Jahrhunderts”, was war an Öl eigentlich so gut? Wir haben die Umwelt verpestet, es wurden Kriege darum geführt. Sollte uns dieser Vergleich nachdenklich stimmen?
Zum Abschluss gab es noch einen spaßigen Ausblick auf neue Geschäftsfelder:

  • Social ID Optimierer – Damit das Facebook Profil immer gut sitzt
  • IoT-Geisterjäger– findet auch das älteste Smart-Meter
  • Cloud-Exorzist – falls es mal nicht so günstig mit den Göttern steht

Zum Abschluss noch ein sehr bestimmendes und warnendes Zitat aus dem Vortrag:

Es gibt kaum neue Schwachstellen, weil die alten noch nicht alle sind.

Bildergebnis für 34c3 abschluss

Und jetzt war es auch schon so weit, das einzige was jetzt noch blieb war die Abschlussveranstaltung. Da ich schon die Eröffnung verpasst hatte, war diese für mich eine Pflicht! Und ich musste mich auch ein wenig durch die Masse wühlen, um noch einen Platz zu bekommen – Und das hat sich sehr gelohnt. Zuerst gab es einen kleinen Rückblick auf das vergangene Jahr und auch auf den Kongress selbst. Bei der Frage, wer denn zum ersten Mal hier war, gingen fast die Hälfte der Hände hoch. Nach dieser Einleitung ging es mit einem Appell über die Verantwortung von Hackern und IT-Spezialisten geladen weiter: Zuerst im Teilbereich Netzneutralität, für diese muss gekämpft werden. Dieser Kampf kann auch bedeuten, anderen Menschen die Konsequenzen von fehlender Netzneutralität zu erklären.
Weiter ging es mit Wahlcomputern, bei solchen Diskussionen wird der CCC immer mit der Frage konfrontiert, “Warum denn jetzt die Computer Freaks gerade gegen Computer sind?” Und der kessen Antwort darauf: “Ja, merkste was? Wir kennen uns damit aus und sagen dir, es ist keine gute Idee!” Als nächsten kam ein, für mich, sehr inspirierendes Zitat von Arthur C. Clarke:

Jede hinreichend fortschrittliche Technologie ist von Magie nicht zu unterscheiden.

Wir sind also die Magier, die die Zukunft gestalten, und dabei fühlen wir uns selbst oft so machtlos! Dennoch sollten wir uns bei allem, was wir tun, fragen, ob wir das Richtige tun. Gestalten wir Systeme, die Menschen helfen, oder bauen wir Algorithmen, die Firmen nur reicher machen? Es muss dabei nicht immer eine Mitarbeit am Linux Kernel sein, es gibt auch viele andere kleinere Aufgaben, die man sich suchen kann, die genauso wichtig sind:

  • Einen Freifunk Router betreiben
  • Anderen Projekten helfen
  • Den Erklärbär in der Schule spielen und unseren Kindern etwas beibringen

Lasst euch eure Ideen nicht ausreden und nutzt eure Zeit um etwas Schönes und Sinnvolles zu schaffen! Sucht euch Hilfe, wenn ihr es nicht alleine schafft und zieht das durch, was ihr euch in den Kopf gesetzt habt! Falls ihr einen Ansatz sucht, gab es den guten Tipp sich aktuelle Themen und deren Lösung anzusehen. Oftmals wird in diesen nur Symptombekämpfung betrieben, aber eigentlich wäre eine Wurzelbehandlung nötig. Findet Lösungen und keine Workarounds!
Zum Abschluss wurde noch einmal konstatiert, dass wir alle sehr “pflegeleicht” sind und es generell kaum Probleme auf dem Kongress gab. Auch die Atmosphäre unter den Teilnehmern war immer entspannt und wenn es mal Streitigkeiten gab, konnten diese sachlich geklärt werden. Dabei ist es überraschend, wie viel einfacher sich Probleme lösen lassen, wenn man wirklich von Angesicht zu Angesicht miteinander redet, statt immer nur zu chatten. Und wenn es mal wirklich gar nicht zu einer Einigung kommen will, kann man sich auch darauf einigen, eine andere Meinung zu haben.

So gingen für mich 4 sehr anstrengende und gefüllte Tage zu Ende. Ich habe auf jeden Fall viele Ideen mitgenommen, denen ich, hoffentlich dieses Jahr, noch nachgehen werde. Und kann nur jedem empfehlen, sich einige der Vorträge anzusehen, oder im nächsten Jahr in Persona vorbeizukommen. Es ist in keinem Fall verschwendete Zeit.
Mit diesen Worten möchte ich diesen doch recht langen Bericht abschließen. Ich hoffe, es ist beim Lesen niemandem langweilig geworden und ihr habt euch viele der genannten Videos angesehen, sie sind eure Zeit bestimmt wert gewesen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.