Day 0
Im Gegensatz zu früheren Jahren musste ich diesmal nicht schon am Tag 0 ins Zentrum fahren. Ich war einer der Glücklichen, die schon in der ersten Runde eine Dauerkarte bekommen haben. Allerdings habe ich mit Interesse die Diskussion um die Dauerkartenvergabe verfolgt. Ich muss zugeben, dass ich die Personen verstehen kann, die zwar Hotel und Flug buchen konnten, aber keine Karte abbekommen haben. Ich würde auch eine größere Lokation bevorzugen, um mehr Leuten die Teilnahme zu ermöglichen; aber Fefe hat in seinem Blog zwei interessante Einwände gebracht. Zuerst einmal sitzen die Organisatoren wohl zum größten Teil in Berlin und es ist niemand zuzumuten, zur Vorbereitung der Konferenz über einen längeren Zeitraum in eine andere Stadt zu reisen; zumindest nicht, solange die Leute das ehrenamtlich machen. Damit ist der Umzug in eine andere Stadt vom Tisch. Nun stellt sich noch die Frage, ob es innerhalb von Berlin noch eine bessere Lokation gibt. Jedem fällt hierzu sofort das ICC ein; aber laut Fefe wird das abgerissen. Solange also niemand einen besseren Vorschlag hat, werden wir mit dem BCC leben müssen. Mein Vorschlag wäre aber, den Vorverkauf zwei Monate eher starten zu lassen. Dann muss man zwar mit dem Risiko leben, dass man den Fahrplan nicht kennt; aber bisher habe ich immer eine ausreichende Anzahl von guten Talks gefunden.
Soviel also zu Day 0…
Day 1
Da ich prinzipiell nichts von Keynotes halte, bin ich am ersten Tag erst später angereist. Den ersten Vortrag konnte ich nicht besuchen, da der Saal bereits voll war. Endlich wurde das Verfahren von der DEFCON übernommen; wenn der Saal voll ist, kommt keiner mehr rein; Leute an der Tür stellen sicher, dass das auch durchgezogen wird. Damit entfällt auch der größte Teil des Türenklapperns während der Vorträge. Vor der Tür war ein großer Schirm aufgestellt (allerdings mit Tonproblemen), so daß man dort dem Talk folgen konnte. Ich habe aber drauf verzichtet, da dieser Talk als Einstige wohl etwas heftig gewesen wäre (es handelte sich um „Code deobfuscation by optimization“).
Der nächste Vortrag war dann mal wieder ein Augenöffner. In „Contemporary Profiling of Web users“ wurde schön dargelegt, wie sich Profile sammeln lassen, auch wenn man Anonymisierungstools wie z.B. TOR nutzt. Es lässt sich, je nach Nutzerverhalten, mit einer gewissen Treffergenauigkeit ein Profil erstellen, was auch anhand eines Tests nachvollzogen wurde. Dieser Vortrag ist einen Blick wert!
Die knappe Mittagspause hätte fast dazu geführt, dass ich den nächsten Vortrag verpasst hätte; ich habe den letzten Sitzplatz bekommen;-) Der Vortragende (der übrigens in Bochum studiert) hat sehr schön dargelegt, wie man auch bei Binary-only Software erkennen kann, welche Kryptoalgorithmen zum Einsatz kommen („Automatic identification of cryptographic primitives in software“). Vom Inhalt her keine leichte Kost, aber dieser Vortrag gehört definitiv auf die Must-see Liste!
Da das dann doch etwas heftig war, habe ich mich (ausgerüstet mit einem Kaffee) für etwas leichtere Koste entschieden: „Friede sei mit euren Daten“. In diesem Vortrag erzählte ein Datenschutzbeauftragter der evangelischen Kirche etwas über die Gemeinsamkeiten und Unterschiede zwischen normalem und krichlichen Datenschutzrecht und über die Probleme, auf die er gestossen ist. Da in der Kirche IT-Spezialisten wohl noch seltener sind als im Rest der Welt hat er mit teilwesie größeren Widrigkeiten zu kämpfen. Allerdings begründet die (evangelische) Kirche ihren Datenschutz auch aus theologischer Sicht heraus und er schlug vor, dass man die Kirche zu einem Verbündeten beim Thema Datenschutz machen soll. Der Vortrag war doch wohl eher ein Spezialthema, aber nicht uninteressant. Man muss ihn sich nicht ansehen, aber es ist auch keine verschwendete Zeit.
Der nächste Vortrag ist „Hacking Smart phones“. Er war nicht schlecht, aber beim BackTrack Day 2010 bin ich da schon ausreichend informiert worden. Oder um meine Notizen (erstellt auf meinem ARCHOS 70) zu zitieren: ich habe schon bessere Vorträge gehört.
Dank des großen Andrangs beim Essen reicht es nur für einen Kaffee und eine große Brezel, denn nun muss ich mich zwischen zwei Vorträgen entscheiden. Da der Vortrag über Desktop Linux rappelvoll war, entschied ich mich für „Data retention in the EU five years after the directive“. Der Linux-Vortrag muss wohl ganz amüsant gewesen sein, da sich der Vortragende mit dem Publikum angelegt hat (oder umgekehrt). Leider kann man den von mir gewählten Vortrag nicht als amüsant bezeichnen. Obwohl bisher kein Land Belege für den positiven Nutzen von Vorratsdatenspeicherung vorlegen konnte (oder wollte), sieht es wohl so aus als sollte die Massnahme verlängert werden. Um den Vortrag mit einem Wort zu beschreiben: Scary. Dieser Vortrag ist ebenfalls ein Must-see!
Der letzte Vortrag für mich an dem Tag ist die Fortsetzung eines Vortrages vom Kongress aus dem Jahr 2005: „Recent advances in IPv6 insecurity“. Wenn man dem Vortragenden Glauben schenken darf, bietet IPv6 noch reichlich Platz für Angriffe. Man merkt dem Protokoll wohl an, dass es schon 15 Jahre auf dem Buckel hat. Tipp: anschauen!
Da ich noch einen längeren Nach-Hause-Weg hatte, habe ich mich um 23 Uhr auf den Weg gemacht. Leider habe ich dadurch den Vortrag „Adventures in analyzing STUXNET“ verpasst, der (u.a.) von einem Microsoft-Mitarbeiter gehalten wurde. Der Vortrag soll sehr gut gewesen sein.
Day 2
Der Tag fing mit einem Vortrag an, der nostalgische Gefühle in mir weckte: „Reverse Engineering the 6502 MOS CPU“. Ich konnte zwar nur eingeschränkt folgen, aber dieser Vortrag ist für alle alten Säcke wie mich Pflichtprogramm! Allein für diesen Vortrag hat sich das Kommen gelohnt.
Beim nächsten Vortrag reicht eigentlich schon der Name des einen Vortragenden: Karsten Nohl. Und wir wurden nicht enttäuscht;-) Seit Jahren sind Vorträge zur (Un-)Sicherheit von GSM auf dem Kongress ja schon Tradition. Die GSM-Industrie hat bisher die Praktikabilität der Abhörmöglichkeit von GSM geleugnet, da die technische Umsetzung zu teuer wäre.
EPIC FAIL!
Wir sind dann jetzt bei Kosten von unter 100 EURO…
Ansehen („Wideband GSM Sniffing“) und Demo geniessen!
Der nächste Vortrag „Is the SSLiverse a safe place?“ berichtete von Ergebnissen des Projektes SSL Observatory der EFF. Ich hörte Dinge über SSL-Zertifikate, die ich gar nicht wissen wollte… (wie vielen Zertifizierungsstellen vertraut mein Browser?) Unbedingt anschauen!
Der Titel „Building custom dissasemblers“ ist eigentlich etwas irreführend, da es sich eigentlich um eine Analyse von STUXNET handelte. FX hat sich aber den Teil des Codes angeschaut, der die Schadsoftware für die Anlagensteuerung enthielt. Heftiger Stoff, aber durchaus sehenswert.
Nach so viel heftigem Stoff habe ich mir dann mal eine Auszeit gegönnt und habe den nächsten Vortragsblock geschwänzt. Es gab ja auch endlich einen Stand für aktuelle Kongressbekleidung und ich konnte eine passende Jacke ergattern. Die Schlange am stand war übrigens an diesem und dem folgenden Tag länger als bei der Essensausgabe.
Nun kam ein Vortrag, den ich mir eigentlich wegen des Vortragenden angeschaut habe: Dan J. Bernstein. DJB nutze den ersten Teil des Vortrags („High-speed high-security cryptography: encrypting and authenticating the whole Internet“) zu einem Rant über DNSSEC; aufgrund mangelnden Wissens muss ich die Aussagen mal so hinnehmen. Er stellte dann seine Lösung des Problems dar: jedes Paket wird einzeln verschlüsselt und per UDP(!) verschickt (für Details verweise ich auf das Video). Eins wurde zumindest klar: DJB leidet nicht unter mangelhaftem Selbstbewusstsein. Ob seine Lösung technisch sinnvoll ist, wird nun die Annalyse durch Andere zeigen; mir scheinen da noch einige Punkte angreifbar zu sein. Aber trotzdem: ansehen!
Kommen wir zum letzten Vortrag des Tages: „Data Recovery Techniques“. Erster Kritikpunkt: wenn die Folien nicht korrekt angezeit werden, dann korrigiert man das bitte. Es nervt, wenn man Teile nicht lesen kann. Ich fand den Vortrag schwach und bin, wenn ich mich richtig erinnere, früher rausgegangen. Da ich das nur in absoluten Ausnahmefällen mache, kann man erkennen wie schwach der Vortrag war.
Day 3
Der erste Vortragstitel lautete „Ignorance and Peace Narratives in Cyberspace (Cloud Computing, Assessment, and Fools like Me.)“ Klingt seltsam? Seid froh dass ihr nicht dabei wart. Das Ganze war mehr eine (Ab-)Lesung und ich habe dann auch irgendwann abgeschaltet. Positiv ist zu bemerken dass nach einer halben Stunde Schluss war.
Danach folgte dann ein Vortrag über SIP in Heimroutern („SIP home gateways under fire“). Leider litt der Vortrag am Anfang unter dem Abgeschnittene-Folien-Problem und einem zu leisen Redner. Das besserte sich dann auch, aber ansonsten ist von dem Vortrag nicht viel hängen geblieben. Ich werde mir den Vortrag aber noch mal anschauen.
Nun kam es zu einer Premiere (für mich): ich habe Vorträge zugunsten eines Workshops geschwänzt. Eigentlichw ar es kein Workshop; eher ein nettes zusammen sitzen. Aber ich habe gelernt, dass Schlösser öffnen einen gewissen meditativen Charakter hat und, da man nicht unbedingt hingucken muss, eigentlich auch beim Fernsehen gemacht werden kann;-)
Ich wollte eigentlich noch an einem Workshop zum Thema DNA teilnehmen, der aber ausfiel. Das mit den Workshops scheint wohl eh nicht so gut geklappt zu haben, da aus verschiedenen Gründen Workshops ausfielen. Schade.
Der nächste Vortrag hatte mal wieder was mit Krypto zu tun: „Analyzing a modern cryptographic RFID system“. Diesen Vortrag muss ich mir noch mal anschauen, da das mengen- und inhaltsmässig etwas viel war. Ich kann noch nicht mal eine vernünftige Inhaltsangabe wiedergeben.
Danach folgte dann ein weiteres Highlight: „Running your own GSM stack on a phone“. Hier wurde dann noch mal genauer ein Baustein des GSM Abhörens erklärt. Einige Leute bauen jetzt einen offenen GSM-Stack, mit dem amn mittlerweile sogar schon telefonieren kann. Wenn man bedenkt, wie abgeschottet diese GSM-Welt ist, dann ist das eine unglaubliche Leistung. An dieser Stelle mal ein Lob an Harald Welte, der sehr gut vorgetragen hat. Sein Aufruf ist übrigens, sich mal vom TCP/IP-Stack weg- und zu anderen Netzwerken (wie GSM) hinzubewegen, da dort reichlich Potential ist.
Was dann als Vortrag folgte, eignet sich prima zum Fremdschämen: „Chip and PIN is broken“. Ein Forscher aus Cambridge zeigte, wie leicht sich das System des Bezahlens mit Karte (und PIN-Eingabe) austricksen lässt. Mit ein bisschen Hard- und Software denkt das Terminal, dass die PIN korrekt wäre (und schreibt auch auf die Quittung, das mit PIN bezahlt wurde); die Karte denkt, dass mit einer Unterschrift bezahlt wurde. So was ergibt sich, wenn die Spezifikation unsauber ist. Der eigentliche Grund fürs Fremdschämen waren die Abwiegelungen und Verdunklungsmassnahmen der Industrie. Ich glaube mittlerweile dass WORD schon Textbausteine für die Ausreden eingebaut hat. Anschauen!
Den Tag abgeschlossen hat dann der „FNORD Jahresrückblick“. Ganz amüsant, aber der Anfang war etwas lahm und irgendwie fehlte das Feuer. Aber sie haben wie immer überzogen;-)
Aufgrund der späten Stunde habe ich mich dann für den Nach-Hause-Weg entschieden und gegen den Vortrag „FrozenCache“. Sorry Jürgen;-)
Day 4
Der letzte Tag startete mit dem Vortrag „OMG WTF PDF“. Leider war die Vortragende zeitweise schlecht zu verstehen, da sich Kopfmikrone und Kopfdrehen nicht vertragen; dadurch war es manchaml nicht ganz einfach, dem Vortrag zu folgen. Aber ansonsten war der Vortrag sehr gut. Wer denkt sich solche Spezifikationen aus? Eigentlich sollte man um PDF jetzt einen großen Bogen machen. Pflichtvortrag!
Der nächste Vortrag („Ich sehe nicht, dass wir nicht zustimmen werden“) beschäftigte sich mit den Feinheiten der deutschen Sprache und ihrer Ausnutzung durch Politiker. Stellenweise fand ich es sehr pingelig betrachtet, aber Alles in Allem interessant und unterhaltsam. Fazit: durchaus sehenswert.
Bleiben wir bei etwas „anderen“ Vorträgen: „Hackers and Computer Science“. Der Vortragende referierte über die Vorteile der Hacker-Herangehensweise gegenüber dem akademischen Weg. Der Vortrag war durch persönliche Erfahrungen geprägt; man muss dem Vortragenden also nicht unbedingt Recht geben. Aber interessant war es allemal.
Nach einer ausgiebigen Mittagspause habe ich mir einen Platz in Saal 1 erkämpft, um den letzten beiden Vorträgen (zumindest für mich) zu lauschen. Der erste Vortrag „How the Internet sees you“ ging in dieselbe Richtung wie der Vortrag über das Profiling (Tag 1); große Provider können auch hier User identifizieren; insbesondere wenn deren Nutzungsverhalten von dem der Masse abweicht. Kann man sich noch mal anschauen, muss man aber nicht.
Ich beende persönlich den Kongress immer mit den „Security Nightmares“. Die Vortragenden witzelten darüber, dass sie doch mal die Folien aus dem letzten Jahr oder von vor zehn Jahren auflegen könnten um zu sehen, ob es jemand bemerkt. Wenn man sich die Themen aus 2010 und die für 2011 ansieht, dann findet man das nicht mehr so lustig. Es werden immer noch dieselben Fehler gemacht und wenn es dann in die Hose geht, hört man dieselben Sprüche. Auch wie jedes Jahr: eine halbe Stunde überzogen;-)
Fazit
Am Anfang hatte ich die Befürchtung, dass es nur wenig interessante Vorträge geben würde; hier wurde ich (wie immer) eines Besseren belehrt. Die Organisation war wieder etwas besser als beim letzten Mal, auch wenn ich Opfer der „wir überfüllen die Räume nicht“-Politik geworden bin. Ich habe den einen oder anderen Bekannten getroffen, habe mich nett unterhalten und einzig der ausgefallene Workshop ist negativ zu bewerten. Ich würde mich auch darüber freuen, wenn die Projekte im Hack-Center an den jeweiligen Tischen ein A3-Schild anbringen würden, was sie da gerade machen.
Mein Dank an dieser Stelle wieder an alle Helfer: toller Job!
Nachtrag
Was mich wirklich gestört hat, war das Benehmen von Leuten ausserhalb des Gebäudes. Es zeugt von sehr schlechtem Benehmen, wenn man abgenagte Hühnerbeine von KFC quer durch die S-Bahn wirft. Am dritten Tag gar habe ich mich in der Bahn umgesetzt, weil mir nicht klar war ob einige Typen einfach nur laut waren und ob es nicht doch plötzlich in Agression umschlägt. So macht S-Bahn fahren keinen Spass. Und seit wann laufen eigentlich so viele Leute mit Bierflaschen in der Hand durch die Gegend? Man mag mich spiessig nennen, aber ich finde das prollig.
]]>