marcs blog

Zwar ein paar Tage später als geplant, aber hier ist dennoch eine kurze Zusammenfassung des vierten Tages auf dem 27C3.

Nach dem Auschecken aus unserer Unterkunft und dem Verstauen des Gepäcks im Auto, machten wir uns zum letzten Mal auf zum bcc. Wir waren heute Mal relativ früh dran, so daß wir uns zwei Plätze an einem Tisch im ersten Stock sichern konnten, wo wir auch kabelgebundenen Netzzugang hatten und uns nicht auf das WLAN verlassen mußten.

Den ersten Vortrag, den ich mir angeschaut habe, war "Ich sehe nicht, dass wir nicht zustimmen werden", ein sprachanalytischer Vortrag von maha, in dem er die Rechtfertigungen so mancher Entscheidungsträger auf Herz und Nieren abklopft. Sehr sehenswerter Vortrag, genauso wie die Diskussionsrunde hinterher.

Am Nachmittag habe ich mich dann noch etwas im Hackcenter aufgehalten. Dort habe ich mir eine Live-Demonstration von i3 zeigen lassen, einem Tiling Window Manager. Wer sich für sowas interessiert, der kann sich auf Youtube einen kleinen Screencast zu i3 angucken.

Rein zufällig hab ich dann noch entdeckt, daß das PSYC Projekt einen Tisch im Hackcenter hatte und habe dann die Gelegenheit genutzt, mich mit einem der Entwickler eine Weile zu unterhalten.
Wir hatten ja vor fast zwei Jahren selber mal einen PSYC Server in Betrieb und es war interessant zu erfahren was sich in der Zwischenzeit getan hat, bzw. wie der Verlauf der weiteren Entwicklung geplant ist.
Derzeit laufen wohl Überlegungen von der Client-Server Architektur Abstand zu nehmen und das ganze dezentral neu aufzuziehen. Eine Überlegung geht in die Richtung, daß man GNUnet als Basis nehmen könnte wo dann das Messaging drüber läuft.

Der Aufbau dezentraler Kommunikations-Infrastruktur ist ja nie verkehrt. Jedenfalls ist ein eigener PSYC-Server auf meiner Todo-Liste wieder einige Punkte nach oben gerutscht. Schaunmermal.

Zum Abschluß haben wir uns dann noch die Security Nightmares angeschaut. Ebenfalls sehenswert, auch wenn ich das Gefühl hatte, daß dieses Jahr nicht so die wirklichen Kracher wie die letzten Jahre dabei waren.

Als Fazit für mich kann ich sagen, daß sich der Besuch gelohnt hat. Anfangs hatte ich etwas einen Eindruck wie "Sollte man mal gesehen haben, aber das reicht dann auch". Aber da ich ja doch einige interessante Gespräche und einen Workshop mitgenommen habe, was über die Streams ja schlecht funktioniert, bin ich doch froh, daß ich mal vor Ort gewesen bin.
Zukünftig werd ich meinen Fokus aber vielleicht eher auf kleinere Veranstaltungen lenken und mal öfter an so etwas teilnehmen. Der Congress war ja doch sehr überfüllt was gelegentlich durchaus etwas Streß induziert hat.
Es gab übrigens einen schönen Running Gag auf dem gesamten Congress: Es ist gefühlt alle 10 Minuten irgendwo klirrenderweise eine Flasche Club Mate umgefallen.

Die Nacht zwischen dem ersten und zweiten Tag war leider etwas kurz, da irgendjemand es für eine gute Idee hielt, zwischen 3 und 4 Uhr nachts vor den Hotelfenstern in gängiger Schaufel-auf-Asphalt-kratzender Art und Weise Schnee zu schüppen.
Nach der morgendlichen Dusche begrüßte mich der fest angebrachte Fön im Badezimmer mit einer spontanen Selbstentzündung und spuckte eine Rauchwolke heraus. Der Tag fing schonmal gut an...

Aber wir machten uns ohne große Eile auf in Richtung bcc, und haben uns als erstes die Lightning Talks angeschaut, wo einige durchaus interessante Projekte vorgestellt wurden. Hiervon waren Starfish, FreedomBox und Telecomix die für mich interessantesten der vorgestellten Projekte.

Nachmittags hatte ich mir eine längere Auszeit gegönnt, um meinen Laptop wieder funktionsfähig zu machen. Die WLAN-Situation im bcc hat den Broadcom-Treiber wohl etwas zu sehr überfordert, was sich je nach Aufenthaltsort im Gebäude in spontanen System-Freezes äußerte.

Der nächste Vortrag, den wir uns anschauten war "Defense is not dead" von Andreas Bogk. Nach einer Einführung über die aktuellen Sicherheitsproblematiken, folgte eine Erläuterung zu formalen Korrektheitsbeweisen. Mit entsprechender Hardware (basierend auf der Lisp-Maschine), ließen sich so tatsächlich 100%ig sichere Computer bauen. Der Vortrag hatte teils ein recht hohes Niveau, was aber auch daran liegen mag, daß Themen wie Korrektheitsbeweise, Lambda-Kalkül und Komplexitätstheorie nicht jedermanns Sache sind. Bei mir ist es ja mittlerweile auch schon ca. 7-8 Jahre her, daß ich mich mit sowas beschäftigt habe.

Hiernach war eine Stunde Pause zwischen den Vorträgen und unsere nächste Wahl fiel auf den Vortrag von D.J.Bernstein - "Highspeed high-security cryptography".
Vor dem Vortrag gab es im Saal 1 eine halbstündige Musikeinlage mit Geige und Klavier, was ich als sehr angenehme Abwechslung empfand.

D.J.Bs Vortrag war wohl das Highlight des Tages. Das Video werde ich mir nachträglich nochmal in Ruhe anschauen müssen. Neben einem Verriß von DNSSEC, stellte er ein Konzept vor um den kompletten Internetverkehr ohne große Umstellung in den Applikationen kryptographisch abzusichern, indem jedes einzelne Datenpaket mit Public-Key Kryptographie auf Basis elliptischer Kurven verschlüsselt wird. Die entsprechenden Suchbegriffe wären hier DNSCurve und CurveCP. Leider fiel die Fragerunde am Ende etwas kurz aus, und man hat die Fragen leider überhaupt nicht mehr verstanden, weil im Saal eine recht große Unruhe herrschte.

Eine Frage, die ich mir momentan stelle, wäre inwieweit CurveCP Auswirkungen auf Onion-Routing hat, da die Public-Key End-zu-End Verschlüsselung ja jetzt auf einem anderen OSI-Layer stattfindet. Meine Vermutung ist, daß es sogar eher vorteilhaft wäre, wenn sich Projekte wie Tor oder I2P dem CurveCP bedienen könnten und die Verschlüsselung auf dem Application-Layer entfallen würde. Falls das die Anonymität nicht beeinträchtigt, wäre hier einiges an Komplexitätsreduktion möglich. Aber um dies zu beantworten fehlen mir momentan noch so einige Details.

Zum Abschluß des Tages schauten wir uns noch das audiovisuelle Stanislaw Lem Feature an, quasi ein Projektor-unterstütztes Hörspiel. Der Vortrag war sehr ansprechend aufbereitet und durchaus interessant. War jedenfalls Mal etwas anderes. Da ich leider bisher noch gar nichts von Lem gelesen habe, wurde mir jedenfalls deutlich, daß ich da noch etwas nachzuholen habe.

• Jobcenter-Chronologie
  Nur auf nüchternen Magen lesen!
  Passend dazu und dort aus den Kommentaren gefischt: Produktion von Parias
  (via)


• Smashing the stack in 2010
  Schönes Paper. Sieht nach einem würdigen Nachfolger aus.
  (via)


• Die Ministerin und die leidenden Puten
  "Niedersachsens Tierschutzministerin Grotelüschen setzt auf Massentierhaltung."
  Mit dem letzten Satz im Artikel hat sie von ihrem Standpunkt aus gesehen wohl leider recht, aber die richtigen Konsequenzen werden daraus vermutlich nur die wenigsten ziehen.
  (via)


• Im Googlegnadentum
  "Google greift mit hoheitlichem Duktus in die Privatsphäre ein, und die Politik schaut zu."
  (via)


• Vokabeln für Netzneutralität und Netzwerk-Überlast vs. Netzwerkneutralität
  Zwei Artikel, die sich zum einen mit dem technischen Hintergrund der Netzneutralität befassen und zum anderen mit dem aktuellen Google-Verizon-Deal.

Da es für das Adobe Flash Plugin in der Version Schweizer Käse kein Update für 64-Bit Linux-Systeme gibt, hatte ich dieses Plugin nach Bekanntwerden der eklatanten Lücken erstmal deinstalliert.

Das hindert natürlich niemanden daran mir weiterhin Links auf Youtube-Videos oder ähnliches zu schicken , also wollte ich gerade einnmal Gnash ausprobieren, eine freie Alternative zu Adobes Trashplayer. Die Umgebung ist hier ein 64-Bit Arch Linux System und Gnash findet sich dort auch in aktueller Version im Repository.
Ein pacman -S gnash hat allerdings keinerlei Auswirkung auf das Firefox-Verhalten, das Plugin ist für diesen schlicht nicht vorhanden. Lösung ist die zusätzliche Installation des Pakets gnash-gtk. Et voila, Firefox erkennt das Plugin.

Der erste Test wird mit einem beliebigen Youtube-Video durchgeführt. Das Video wird zwar abgespielt, allerdings erscheint eine Fehlermeldung, daß der Audio-Stream nicht dekodiert werden kann. Gnash verwendet das GStreamer Framework und für den verwendeten Audio-Stream fehlten letztendlich die Bad Plugins, welche hier noch nicht installiert waren.
Ein weiteres pacman -S gstreamer0.10-bad-plugins zur Installation des Plugin-Pakets inklusive entsprechend mitinstallierter Dependencies löst auch dieses Problem und das Video wird wie erwartet abgespielt.

Als mittelfristige Lösung, bis Youtube endlich vollständig auf HTML5 umsteigt, ist Gnash hier demnach vollkommen ausreichend und gerade auf 64-Bit Systemen eine vermutlich sicherere Alternative.

Update:Es gibt doch noch weitere Probleme, so funktionieren nur eingebettete Videos, aber direkt auf Youtube abspielen kann ich nicht. Scheint ein Problem mit Cookies oder ähnlichem zu sein. Wär ja auch zu schön gewesen.

wird ja im Allgemeinen behauptet. Nun gibt es aber Leute, die offensichtlich zu wenig davon gegessen haben, so daß sie selbige mit Sprengstoff verwechseln.

"Carrots cause Swedish bomb scare" titelt die BBC in einem Artikel über ein schwedisches Kunst-Projekt, in dem jemand Möhren mit schwarzem Klebeband und einer Alarm-Uhr versehen hat.

The carrot bombs had been placed around the city at the request of a local art gallery, as part of an open-air arts festival.

They had only been in place for an hour before police received their first call.

"We received a call ... from a person who said they saw two real bombs placed outside the public library," Ronny Hoerman from the Orebro police force, was quoted as saying by the AFP news agency.

"It was hard to tell if they were real or not. We find this inappropriate," he said.

Es gibt auch ein großartiges Foto dieses bedrohlichen Gemüses.

(via)

Wer bei der Überschrift an ein großes asiatisches Land gedacht hat, sollte seine Assoziationsketten neu kalibrieren.

Es gibt in dem Bereich der IT-Sicherheit ein paar Grundpfeiler, auf denen alles weitere aufbaut. Gemeint sind hier diverse Eigenschaften wie Vertraulichkeit, Integrität, Authentizität oder Verfügbarkeit.
Vertraulichkeit besagt z.B., daß bestimmte Informationen nur für bestimmte Empfänger zugänglich sind.
Integrität garantiert, daß Informationen nicht verändert wurden.
Authentizität stellt sicher, daß eine Information von dem richtigen Absender kommt.
Und Verfügbarkeit gibt die Erreichbarkeit eines Systems oder einer Information an.
Hier will ich jetzt aber nicht weiter in's Detail gehen, da sich mit diesen Themen ganze Bücherregale oder viele Webseiten füllen lassen.

Nun gibt es eine relativ bekannte Firma, die vorgibt etwas von IT-Sicherheit zu verstehen. Eine Firma, die ihre Sicherheitsprodukte (aka snake oil) an leichtgläubige Kunden verramscht, die es nicht besser wissen.
Eine Firma, der wir 2006 eines der größten Botnetze zu verdanken hatten.
Und ganz aktuell:
Eine Firma, die offen zugibt, daß ihr die Vertraulichkeit der Internet-Nutzer am Allerwertesten vorbeigeht und gerne komplette Nutzerprofile ihr Eigen nennen möchte.

"Man schaut, was ist das für ein Anwender, welche Seiten hat er besucht, welche Gefahr geht von ihm aus", sagte John W. Thompson den VDI Nachrichten. "Auf Basis dieser Infos lässt sich dann ein Profil erstellen und Unternehmen können darauf entsprechend reagieren."

Da fehlen einem die Worte, angesichts der Dreistigkeit mit der aufgrund von Profitgier und Kontrollwahn die eigenen Kunden seziert werden sollen.

• The Ineffectiveness of Security Cameras
Eine Studie über den Einfluß von Überwachungskameras auf die Verbrechensrate in San Francisco.
Ergebnis: Die Rate ist nicht gesunken, aber angeblich würden sich die Bürger sicherer fühlen. Also nur rausgeschmissenes Geld für ein Sicherheits-Theater ohne effektiven Nutzen, dafür mit Kollateralschäden in der informationellen Selbstbestimmung.


• Wie man einen Staat zerstört
Ein 20 Punkte Plan. 19 davon wurden so wie's aussieht schon ziemlich gut umgesetzt.


• Der Humanist der Physik - zum 150. Geburtstag von Max Planck
Interessanter Artikel, auch das dort verlinkte Video-Selbstporträt war mir neu. Standing on the shoulders of giants.


• unsubscribe-me.org
Eine Aktion von Amnesty International gegen Folter. Die Videos sollen u.a. verdeutlichen was beim harmlos klingenden Waterboarding wirklich passiert.
Das Video kommt allerdings, wie ich finde, nicht annähernd an diese Beschreibung eines Waterboarding-Selbstversuchs ran.

In diesem Zusammenhang auch interessant war eine Fragerunde mit dem US-Justizminister Ashcroft, dessen Argumentation bezüglich Waterboarding von einer 20-jährigen Studentin zerpflückt wurde, und der sich dann brüllend in Wortklaubereien verliert. (via)
Daß Bush ja ein Veto gegen ein Gesetz eingelegt hat, das der CIA das Waterboarden verbieten soll, erwähne ich mal noch der Vollständigkeit halber hier.
Da macht die Menschheit unglaubliche technische Fortschritte, aber gesellschaftlich gesehen sind wir immer noch im finstersten Mittelalter.
Ich möchte übrigens wetten, daß es nicht mehr lange dauert, bis auch hierzulande soetwas von diversen Behörden gefordert wird. Würde sich als Ergänzung zum BKA-Gesetz ja anbieten. Ich tippe mal darauf, daß das noch in diesem Jahr geschieht.
Der ursprüngliche Kandidat für das Vizepräsidentenamt des Bundesverfassungsgericht war ja z.B. ein Befürworter von solchen Foltermethoden, aber der wurde glücklicherweise erstmal abgesägt.


• I2P release 0.6.1.33
Für I2P gibt es ein Update. Die .32er hatte einige Performanceprobleme, die hier wohl behoben wurden.
"The 0.6.1.33 release contains several important bug fixes and performance improvements in SSU reachability detection, floodfill peer selection, tunnel peer selection, tunnel testing, NTCP idle detection, the streaming lib, and news fetching."


• CERT Secure Coding Standards
Eine Sammlung von Ratschlägen zum sicheren Programmieren unter C und C++. Inklusive Risiko-Abschätzung und Wahrscheinlichkeit des Auftretens der sicherheitskritischen Programmierfehler und wie man sie vermeidet.


• Der Konvent für Deutschland und unsere Verfassung
Chris von F!xmbr nimmt die Buchveröffentlichung des Konvents zum Anlass einen kritischen Rundumschlag gegen diese Leute abzuliefern.
(Bei diesem Thema sei auch noch auf das INSM Watchblog verwiesen, das ich hier noch nicht verlinkt hatte.)

• Drahtlos-Einbruch trotz WPA dank WLAN-Automatik


• Gesundheitspolitik: Was derzeit wirklich passiert
Ein Artikel der nur an der Oberfläche kratzt, was die wirklichen Machtstrukturen in diesem Land betrifft, und das ist nicht negativ gemeint. Lesebefehl.


• Verkettung digitaler Identitäten
Das Buch gibt's dort als pdf zum Download. (via)


• Der letzte Service: zum Tode von Joseph Weizenbaum
Sehr schade. Ich hatte gehofft, ihn noch irgendwann einmal live sehen und hören zu können.


• Blick hinter die schöne Olympia-Fassade in China
Unglaublich. Ich frage mich, wann wir hier auch wieder soweit sind. Sind ja auf dem besten Wege dahin.


• Kinderbuch "Wo bitte geht's zu Gott? fragte das kleine Ferkel" nicht indiziert
Das Ferkelbuch wurde doch nicht indiziert. Daß der CDU/CSU das ganz und gar nicht gefällt war klar. Der von der Leyen hat man diese tolle Werbung für das Buch ja erst zu verdanken.

Ich habe das Blog um eine Kontakt-Seite ergänzt. Anhand des tollen Artikels im Ravenhorst über I2PMail, habe ich mir jetzt endlich mal einen I2P internen eMail-Account eingerichtet. Dieser ist zwar auch über das normale Netz erreichbar, aber wird über diverse MXe in das I2P-Netz geroutet.

Das ist allerdings nur die halbe Miete. Innerhalb des I2P-Netzes ist man zwar anonym, aber da ich hier diese Adresse bekanntgebe, und man auch so etwas wie ein Impressum hat, ist die Anonymität der eMail Adresse natürlich nicht gegeben.
Wo ist dann der Sinn dieser Aktion? Der Vorteil ist einfach die vorratsdatenspeicherungsunabhängige Speicherung.
Zumindest von meiner Hälfte der Verbindung aus. Natürlich ist man wieder halb im Raster, wenn man nach "außen" hin Mails verschickt. Und natürlich sollte man auch nicht dem I2P Mailserver unbedingt vertrauen, weshalb GPG-Verwendung einfach mal zur Pflicht wird. (Das sollte es eigentlich generell werden, unabhängig ob I2P verwendet wird, oder nicht.)

Diesen Absatz möchte ich noch zitieren:

Der Idealfall würde so aussehen, dass jeder Internetnutzer I2P (oder eine entspechende Anon-Plattform mit den nötigen Funktionalitäten) installiert hat und darüber Sites hostet und ansurft, Mails versendet, chattet und Daten austauscht. Aber so groß ist der Wille, das Bewußtsein und der Überwachungsdruck noch nicht. Aber gut, einige Leute haben erst jetzt damit begonnen aufzuwachen und eigentlich, ja eigentlich, sollten wir Europäer in Rechtsstaaten leben, in denen wir es überhaupt nicht nötig haben, derartige Maßnahmen ergreifen zu müssen.

Ich denke mittelfristig wird es genau darauf hinauslaufen. Der Überwachungsdruck wird mit einer Geschwindigkeit wachsen, daß einem schlecht wird. Die normalen Kommunikationsmittel werden mehr und mehr totreguliert und mißbraucht, sei es durch Spammer, Scammer oder sammelwütige Überwacher. Anonyme Netze im Netz wie I2P sind da eine vorübergehende technische Alternative, um wenigstens so seine Grundrechte zu wahren. Zumindest solange, bis auch diese Tools verboten werden.

Wie heißt es doch so schön?
"If privacy is outlawed, only outlaws will have privacy."
-- Phil Zimmermann

Ich muß da auch immer an Stallmans Dystopie The Right to Read denken. Bis jetzt hat einen die Realität teilweise ja schon schneller eingeholt, als man sich solche Gruselgeschichten ausdenken kann.

Aber um nochmal kurz auf I2P zurückzukommen. Das ist im Prinzip genau das, wonach ich seit Jahren suche. Leider habe ich mich erst viel zu spät damit auseinandergesetzt. Ich habe mir schon so einige P2P Sachen angeschaut, sei es Freenet, Gnunet und wie sie alle heißen. Aber bis jetzt bietet eigentlich nur I2P eine Infrastruktur, die es einem ermöglicht die bisher verwendeten Kommunikationsmittel fast 1:1 über das I2P Netz zu tunneln.
Gut, die I2P Software ist immer noch in der Entwicklung und hat auch ihre Probleme (unabhängig davon, daß sie in Java programmiert ist ). Und wenn es nur um's anonyme Surfen geht, wäre Tor wahrscheinlich die bessere Alternative, aber auch im I2P-Netz gibt es In- und Out-Proxys.

Mal schauen, vielleicht gibt es zu I2P hier in Zukunft auch noch ein paar Beiträge.

- Offizielle I2P Webseite, ein Handbuch gibt es hier
- GnuPG Webseite, Anleitung auf deutsch hier

Ich wollte mal schauen, welche Alternativen und sonstige Möglichkeiten es so zu Truecrypt gibt. Das soll jetzt nicht heißen, daß Truecrypt schlecht ist, im Gegenteil, aber man ist ja neugierig.
(Zu Truecrypt gibt es auf f!xmbr übrigens ein paar nette Anleitungen, gerade für Anfänger leicht verständlich und mit vielen Bildern.)

Man sucht also zum Thema Festplattenverschlüsselung im Netz herum und findet auch direkt ein Forum, wo sich jemand nach verschiedenen Programmen diesbezüglich erkundigt.
Die darauf folgende Diskussion läßt einem die Haare zu Berge stehen. Da sind doch tatsächlich mehrere Leute der Meinung, daß Freie Software in der Kryptographie nicht zu gebrauchen sei, weil man damit ja anhand des Quellcodes rauskriegen könne, wie die Verschlüsselung funktioniere und sie folglich auch knacken könne.

Das ist so falsch, daß es weh tut.

Immerhin wurde in der weiteren Diskussion von anderen Nutzern diese Auffassung widerlegt, aber ich möchte dennoch mal kurz die wichtigsten kryptographischen Grundsätze hier archivieren.

1. Kerckhoffs' Maxime:

"Die Sicherheit eines Kryptosystems darf nicht von der Geheimhaltung des Algorithmus abhängen. Die Sicherheit gründet sich nur auf die Geheimhaltung des Schlüssels."

Bitte ausdrucken und einrahmen.
Zu gut deutsch, kryptographischen Verfahren darf man nur vertrauen, wenn sie bekannt sind, sich über Jahre hinweg bewährt haben und zahlreichen kryptanalytischen (und erfolglosen) Angriffen ausgesetzt waren.
Jeder, der einem eine Kryptosoftware andrehen will, ohne das Verfahren offenzulegen, handelt mit nichts anderem als Schlangenöl und hat per definitionem kein Vertrauen verdient.
Man erfindet nicht mal eben so einen Verschlüsselungsalgorithmus, und denkt der sei sicher, nur weil man das Verfahren unter Verschluß hält.

Es kommt darauf an, daß die Anzahl der möglichen Schlüssel, also der verwendete Schlüsselraum, groß genug ist, um ein Durchprobieren aller Schlüssel unmöglich zu machen. Bei symmetrischen Verfahren ist das üblicherweise mit einer Schlüssellänge von 128 bis 256 Bit gewährleistet (noch länger ist aus physikalischen Gründen sinnlos ).
Das ist allerdings nur eine notwendige, und keine hinreichende Bedingung.
Der verwendete Algorithmus darf es natürlich nicht durch kryptanalytische Angriffe ermöglichen, daß der Schlüsselraum in irgendeiner Form eingeschränkt wird. Einfaches Beispiel wäre hier die Häufigkeitsanalyse bei monoalphabetischer Verschlüsselung.

2. Shannons Maxime:

"Der Feind kennt das benutzte Verfahren."

ist eine weitere Variante dieser Aussage, die es nochmal auf den Punkt bringt, daß security through obscurity keine Option ist.