Monthly archives "Januar 2014"

30C3 – Chaos Communication Congress in Hamburg

Da wir am Ende des Jahres aus familiären Gründen oft in Berlin sind, konnte ich den Besuch des Kongresses oft mit diesen Besuchen verbinden. Die letzten beiden Jahre hatte ich aber ausgesetzt; insbesondere letztes Jahr habe ich nur virtuell teilgenommen. Da es in diesem Jahr aber ein besonderes Jubiläum war (30 Jahre Kongress), war ein Besuch dieses Jahr quasi Pflicht. Dieses Mal wollte ich den Besuch auch dazu nutzen einige Leute zu treffen, die ich bisher nur virtuell kannte (z.B. via Twitter). Ich kann schon mal vorwegnehmen, dass das sehr gut geklappt hat; ich habe auch einige Leute getroffen, die ich gar nicht auf meiner Liste hatte. Leider reichte die Zeit oft nicht für längere Gespräche; hieran muss ich noch arbeiten;-)

Die Anfahrt per ICE am ersten Tag war sehr angenehm, da der Zug nur mäßig gefüllt war. Ich hatte mir ein Hotel in der Nähe des CCH rausgesucht. Als ich davorstand, war ich überrascht: in einem Haus befanden sich mehrere Hotels, was ich so noch nie gesehen hatte. Ich war dann auch etwas skeptisch; aber ziemlich schnell wurde klar, dass ich eine gute Wahl getroffen hatte. Das Zimmer war ausreichend groß und sehr sauber und beim Frühstück beharrte man auch nicht auf den angegebenen Zeiten. Beim nächsten Kongress, den ich besuche, werde ich sicherlich wieder im Hotel Wagner übernachten. Es stellte sich beim Frühstück am zweiten Tag zudem heraus, dass neben dem Kollegen, dem ich das Hotel empfohlen hatte, noch zwei Leute dort nächtigten, die ich entweder persönlich oder über Twitter kannte. Deshalb zog sichd as Frühstück auch so hin;-)

Aber genug abgeschweift; zurück zum Kongress. Da ich meine Karte schon vorab bestellt hatte, konnte ich die Kasse für Vorbesteller nutzen und war so nach wenigen Minuten schon im Gebäude. Das Gebäude ist übrigens eine Herausforderung; ich habe einige Zeit gebraucht, bis ich mich einigermassen zurechtgefunden hatte. Mehr Platz hat eben seinen Preis…

Vorträge Tag 1

An introduction to Firmware Analysis

Reverse engineering of CHIASMUS from GSTOOL

In diesem Vortrag wurden die Fehler bei der Implementierung der Chiasmus-Chiffre im GSTOOL des BSI beschrieben. CHIASMUS ist eine vom BSI entwickelte Chiffre, die nicht offengelegt ist (was ich, im Gegensatz zum Vortragenden, für ein Problem halte). Der Vortrag zeigte zum Einen sehr schön, was man bei der Implementierung einer eigentlich sicheren Chiffre alles falsch machen kann; zudem wurde dargestellt, wie man als Firma/Behörde auf hilfreiche Hinweise nicht reagieren sollte. wer sich für das Thema interessiert, sollte sich das Video anschauen.

Electronic Bank Robberies

Die beiden Vortragenden berichteten hier über Malware-Attacken auf Geldautomaten, wobei die Malware per USB-Stick(!) übertragen wurde. Sie haben sehr schön die einzelnen Schritte erklärt und ich kann diesen Vortrag nur wärmstens empfehlen. Mittlerweile ist dieser Vortrag ja auch durch die Mainstream-Presse gegangen.

Basics of Digital Wireless Communication

Ich hatte diesem Vortrag den Vorzug vor anderen Vorträgen gegeben, weil ich mal was für mein Basiswissen tun wollte. Lieder war der Vortragende entweder furchtbar nervös oder hatte einfach einens chlechten Tag; jedenfalls kam der Vortrag ziemlich uninspiriert rüber. Der Inhalt war m.E. für einen Einführungsvortrag stellenweise zu ambitioniert, so dass ich keinen großen Erkenntnisgewinn aus dem Vortrag ziehen konnte.

Ich habe erst mal eine Pause eingelegt, mit ein paar Leuten gesprochen und bin ein bisschen durch die Hallen gelaufen.

Keynote von Glen Greenwald

Eigentlich bin ich ja kein Freund von Keynotes, aber in diesem Fall habe ich eine Ausnahme gemacht. Glen Greenwald hat unter persönlichen Risiken eine Menge für die IT-Sicherheit und den Journalismus getan und ich dachte mir, dann kann ich ihm auch mal eine Stunde meiner Zeit opfern. Er hat noch mal die Ereignisse des letzten halben Jahres beschrieben und sich dabei auch zu der Rolle der Journalisten in unserer Gesellschaft geäussert. Gerade diese Teile seiner rede fand ich sehr wichtig, da ich häufiger das Gefühl habe, dass zwar von Qualitäts-Journalismus geredet wird, dem aber wenig Taten folgen.

Am Ende seines Vortrags bekam er Standing Ovations, was ihn sichtlich berührt hat.

Essen muss man ja auch mal und keiner der Vorträge in diesem Slot hat mich wirklich interessiert; also habe ich hier eine Pause eingelegt.

World War II Hackers

Da ich mich sehr für Geschichte interessiere, schien mir dieser Vortrag gut geeignet zu sein, mein Interesse an Geschichte mit der an Spionage und Verschlüsselung zu verbinden. In dem Vortrag ging es um den Kreis der Spione um Richard Sorge und die von Ihnen benutzte Verschlüsselung. Der Vortrag war ganz nett, hätte aber ruhig länger dauern dürfen. Grundsätzlich fände ich es aber gut, wenn es mehr von solchen Vorträgen gäbe.

HbbTV Security

Da wir selbst zu Hause einen sogenannten Smart Fernseher haben, war dieser Vortrag meine erste Wahl für den Ausklang des Tages. Hier wurde noch mal schön dargelegt, dass man eigentlich nicht mehr von Fernsehern, sondern von Rechnern sprechen muss; unglücklicherweise aber von Rechnern mit mehr oder weniger schweren Sicherheitslücken. Unter Anderem wurde dargelegt, was diese Fernseher so alles in das Internet schicken. Ich sollte hier mal ernsthaft über einen Proxy für unseren Fernseher nachdenken. Die vorgestellte Lösung eines gehosteten Proxies gefiel mir nicht so gut, da hier die Daten wieder über einen Server laufen, den ich nicht kontrollieren kann.

Hacker Jeopardy habe ich mir geschenkt, was wohl auch wegen der Dauer eine gute Idee war. Zumindest gab es in diesem Jahr wohl keine größeren Peinlichkeiten…

Vorträge Tag 2

Im Hotel waren wir nicht die einzigen Besucher des Kongresses; wir trafen einen Bekannten (vom BackTrack Day) und dann konnte ich noch einem Twitter-Nick ein Geischt zuordnen. Vor lauter Reden haben wir dann die offizoielle Frühstückszeit im Hotel etwas ausgeweitet. Die Mitarbeiter nahmen es aber gelassen hin;-) Wir waren dann auch an den folgenden Tagen die Letzten am Frühstückstisch…

Extracting keys from FPGAs, OTP Tokens and Door Locks

Hillbilly Tracking of Low Earth Orbit

Diesen Vortrag habe ich mir vor allem deswegen angeschaut, weil ich Travis Goodspeed mal live sehen wollte; und ich wurde nicht enttäuscht. Die Idee hinters einem Vortrag war, wie man die Signale von Satelliten empfangen kann, wenn diese nicht geostationär sind. Da man heute so ziemlich alles bei eBay kaufen kann, kaufte er eine Satellitenschüssel, die ursprünglich mal auf einem Kriegsschiff eingesetzt wurde. Diese baute er dann in seinem Garten auf. Mit einem Wort: Abgefahren!

My journey into FM-RDS

Der nächste Vortrag war ein schönes Beispiel für Hacker Spirit. Die Hackerin Oona Räisänen entdeckte in öffentlichen Radiosignalen etwas, dass sie sich zuerst nicht erklären konnte. Ihr Vortrag zeigt sehr schön, wie sie sich dem Problem näherte und zum Schluss herausfand, dass die örtliche Nahverkehrsgesellschaft damit Daten übertrug. Definitiv ein Highlight des Kongresses.

FGPA 101

Diesen Vortrag habe ich besucht, weil ich schon immer mal wissen wollte, was genau ein FGPA ist. Der Vortrag war ein schöner Einstieg in das Thema. Nichts übermäßig Spektakuläres, aber ein solider Einstieg.

The Year in Crypto

Dieser Vortrag ist schon fast ein Klassiker: Nadja Henninger, Tanja Lange und Dan Bernstein liessen das letzte Jahr, bezogen auf Kryptographie, Revue passieren. Ich bin mir zwar manchmal nicht sicher, ob ihre Sicht (bezogen auf die Mathematik) die einzig Richtige ist, aber wer sich für das Thema nur halbwegs interessiert, sollte sich das Video anschauen. Aber Vorsicht: da gibt es Folien mit Formeln;-)

25 Jahre Chipkarten-Angriffe

Der nächste Vortrag war dann nicht ganz so anspruchsvoll, aber trotzdem interessant. Man bekam hier einen Überblick über 25 Jahre Chipkartenangriffe und es wurde gezeigt, was man als Nerd so alles zu Hause an Equipment haben kann. Genau der richtige Vortrag für einen verregneten Sonntagsnachmittag.

Security of the IC Backside

Etwas anspruchsvoller ward ann der nächste Vortrag. In vergangenen Jahren gab es ja einige Vorträge die zeigten, wie man durch z.B. Abschleifen von Chips Rückschlüsse auf die Funktionsweise ziehen kann. Da Hersteller dagegen mittlerweile Gegenmassnahmen einbauen (was ich schon sehr interessant fand), werden Chips nun von unten angegriffen. Sehr spannend!

SCADA StrangeLove 2

Vorträge Tag 3

Drones

In diesem Vortrag ging es nicht um militärische Drohnen, sondern um Drohnen für Privatpersonen. Was mich an diesem Vortrag besonders fasziniert hat waren die Möglichkeiten, die es selbst hier für (semi-)autonomen Flug gibt. Prinzipiell ist das kostengünstig für Flüge im Freien möglich und es wird sogar schon an Indoor-Lösungen gearbeitet. Das hat michs ehr beeindruckt. Wer sich für Quadcopter (und Ähnliches) interessiert, sollte sich diesen Vortrag auf jeden Fall ansehen.

RFID Treehouse of Horror

Damit die Kopf-interne Festplatte nicht überläuft, habe ich im nächsten Slot mal keinen Vortrag angeschaut. Wir entschlossen uns stattdessen mal wieder vernünftige Nahrung zu uns zu nehmen und sind Steak essen gegangen. Da wir nicht wussten, wie weit es zum Restaurant war, haben wir uns ein Taxi genommen. Der seltsame Blick des Taxifahrers hätte uns klar machen sollen, dass er das übertrieben fand. Auf dem Rückweg sind wir dann zu Fuss gegangen;-)

Even more Tamagotchis Were Harmed in the Making of this Presentation

Dieser Vortrag war die Fortsetzung eines Vortrages aus dem letzten Jahr (den ich nicht gesehen hatte). Es ging hier um Reverse Engineering von Tamagotchis. Klingt seltsam? Ist es auch. Aber alleine schon die Idee, sich damit zu beschäftigen, ist wieder Hacker Spirit pur. Vermutlich komplett nutzlos, aber spannend.Und ich musste mich ja auf den dazu gehörigen Workshop vorzubereiten.

Da mir zwei Stunden Workshop bevorstanden, habe ich im folgenden Slot keinen Vortrag besucht.

Tamagotchi Workshop

Der Workshop war sehr gut besucht und ich war froh, dass ich mein Kit (Tamagotchi und Arduino Board) schon vorher bestellt hatte. Das Board war extra gestaltet („Hello Kitty“ Motiv), was schon ein Hingucker ist. Leider „vergassen“ einige Leute darüber wohl, ihre Boards zu bezahlen. Das fand ich, gerade für die Organisatorin, sehr ärgerlich; letztendlich erlitt sie aber wohl keinen finanziellen Verlust (aber eben auch keinen Gewinn). Der Workshop selbst itt darunter, dass es sehr knifflig war das Tamagotchi so auf das Board zu drücken, dass ein Kontakt hergestellt wurde. Abere s gelang uns zumindest ein Mal einen neuen Hintergrund einzurichten. Spass hat es auf jeden Fall gemacht.

Da noch ein Vortrag und die Fnord News Show bevorstand, habe ich erst mal eine Pause eingelegt.

Zwischen supersicherer Verschlüsselung und Klartext liegt nur ein falsches Bit

Anhand ausgewählter Beispiele zeigte Jens Kubieziel auf, welche Fehler man im Bereich der Kryptographie (gerade bei der Implementierung) machen kann. Ein Vortrag, den sich eigentlich jeder mal ansehen sollte.

Da ich sowieso schon mal in Saal 2 war und ein freier Platz in Saal 1 Utopie war, sah ich die Fnord News Show nicht live, sondern als Stream.

Fnord News Show

Wenn ich anderen Leuten die Fnord News Show erklären soll, weiss ich nie so genau wie ich sie beschreiben soll. Frank und Fefe präsentieren Meldungen (vor allem aus der Nicht-IT-Welt); witzig aufbereitet u.a. durch selbst erfundene Auszeichnungen. Vielleicht nicht jedermanns Sache, aber sie füllten zwei Säle mit insgesamt 3500 Besuchern. Da es wohl die zehnte Show war, hatte man sich für die Beiden einige Überraschungen ausgedacht. Leider führte das dazu, dass der Fluss des Vortrags etwas litt. Ich sass in Saal 2, wohin die Show übertragen wurde. Eine Künstlerin machte Vortragsnotizen in Form von Bildern; eigentlich eine nette Idee, aber die häufige Einblendung wirkte sich ebenfalls störend aus. Trotzdem aber wieder ein Video, dass man sich anschauen sollte.

Danach sind wir noch ein bisschen durch den Partyraum gelaufen; aber Schlaf war uns dann doch wichtiger. Aber der Raum war schon interessant gestaltet.

Vorträge Tag 4

Coding your body

Der Vortrag war nichts Technisches, aber gerade für Schreibtischtäter interessant. Es ging um den eigenen Bewegungsapparat, häufig auftretende Probleme und wie man sie angehen kann. Die Vortragende brachte das Thema sehr verständlich rüber; leider war der Vortrag mit 30 Minuten etwas kurz. Ich hätte aber nichts dagegen, wenn Sie beim nächsten Kongress das Thema noch mal aufgreift.

Interessant wären auch mal Vorträge darüber, wie das menschliche Gehirn so funktioniert und wie man sich davor schützen kann, dass es sich in die Irre führen lässt. Ich habe zwar schon Einiges zu dem Thema gelesen, aber ein Vortrag bzw. ein Workshop zu dem Thema wäre mal interessant.

Thwarting Evil Maid Attacks

Through a PRISM, Darkly

Attacking HomeMatic

Security Nightmares

Buchtipp: Kill Decision

Das Buch Kill Decision von Daniel Suarez lag nun schon etwas länger auf meinem Schreibtisch und dank einer längeren Zugfahrt und der Feiertage bin ich endlich dazu gekommen es auch mal zu lesen.

Eigentlich reicht als Empfehlung schon die Nennung des Autoren, da Daniel Suarez schon mit den bisher erschienenen Büchern gezeigt hat, dass er spannende Geschichten rund um aktuelle Technik schreiben kann. Aber dieses Buch sollte auch von nicht so Technik-affinen Menschen gelesen werden, da hier einige interessante Probleme angesprochen werden. Ich will nicht zu viel verraten, aber zumindest die Ausgangssituation kann ohne Spannungsverlust geschildert werden. In den USA kommt es zu mehreren Anschlägen mit unbemannten Flugkörpern. Die Urheber können nicht sofort ermittelt werden und als dann auch noch ein Anschlag im mittleren Osten erfolgt, ist nicht klar ob die USA Täter oder Opfer sind. Hauptprotagonisten sind die Mitglieder einer US-Spezialeinheit sowie eine Ameisenforscherin. Wem nicht sofort klar ist, was eine Ameisenforscherin mit Drohnen zu tun hat, dem sei versichert: das wird im Laufe des Buches erklärt. Mehr möchte ich über die Geschichte nicht verraten. Mich hat das Buch so gefesselt, dass ich es sehr schnell durchgelesen hatte.

Bei einigen Sachen im Buch fragt man sich „ist das nicht nur Fiktion“? Passend zum Buch hörte ich auf dem 30C3 in Hamburg einen Vortrag über (zivile) Drohnen. Was mich hier doch erstaunt hat: schon in diesem Bereich gibt es Möglichkeiten für den Quasi-autonomen Flug (zumindest outdoor). Nimmt man jetzt noch die Meldung dazu, dass das US-Militär (und sie sind da bestimmt nicht die Einzigen) über die Anschaffung autonomer bewaffneter Drohnen, die auch die Tötung von Menschen quasi-autonom durchführen sollen, dazunimmt, dann ist das Buch plötzlich näher an der Realität als gedacht. Und das ist kein beruhigender Gedanke…

Ein weiteres Problem bei der Nutzung von bewaffneten Drohnen wird im Buch gut dargestellt: Drohnen können gut verschleiern, von wo ein Angriff kommt. Und wie soll man sich gegen einen Angreifer verteidigen, wenn man gar nicht weiss, wer der Angreifer ist?

Daniel Suarez spricht zudem (in Dialogen) einige weitere Probleme gerade von verdeckt operierenden Militäreinheiten an; er gibt hier aber nur Argumente vor und überlässt die Meinungsbildung dem Leser.

Fazit: Ich kann dieses Buch nur wärmstens weiterempfehlen.