(Vorsicht, das wird diesmal etwas länger!)
Heute fing der Tag etwas chaotischer an. Bei “Lighnting Talks” bekamen sie zuerst den Beamer nicht in den Griff. Es referierten also Leute ohne Präsentation am Anfang. Der Brasilianer Julio Cesar Fort berichtete über Wardialing, einer Kunst, die hierzulande schon fast als vergessen gilt. Aber das Ganze hatte auch einen Vorteil: ein LinuxTag-Mann erzälte, daß der nächste LinuxTag in Berlin stattfinden würde und zwar vom 30.5.-2.6.2007 im ICC. Das werde ich gleich mal in meiner Terminliste vormerken.
Es folgte ein Italiener namens Alessio L.R. Pennasilico, der über diverse Hacking-Gefahren und Cybercrime-Analyse berichtete. Er war schwer zu verstehen, weshalb im IRC-Chat, den Anselm zufällig offen hatte, gefordert wurde: “No more coffee for the Italian!” oder “He needs a different breathing technique”, denn in der Tat war er vor Aufregung fast am hyperventilieren. Der gleiche Mann mußte nach diesem Vortrag nochmal ran. Thema diesmal: VoIP Insecurity. Hier scheint es gravierende Mängel zu geben: IP-Phones nutzen DHCP, TFTP, senden alles im Klartext und benutzen kaum oder oftmals sogar gar keine Paßworte. Zum Hacken im SIP-Bereich gibt’s mittlerweile zig Tools was bedeutet, wir werden wohl auch bald Firewalls für Telefone haben. Oder? Vor allem: wird es uns etwas nützen?
Beim nächsten Beitrag ging es um Game-Face, einer Online-Spiele-Fachzeitschrift. Der Referator sprach auch darüber, wie Spiele für die Linux-Community geschrieben oder portiert werden, auf den Seiten scheint es viele Tips zu geben. Klar, die Spiele-Welt ist das einzige, was Windows der Linux-Welt noch voraus hat, aber ob Game-Face hier weiterhelfen kann, wird sich wohl erst in fernerer Zukunft zeigen.
Übrigens war zwischendurch Nils aufgetaucht, der aber eine andere Veranstaltung besuchen wollte. Ich erwähne das deshalb, weil einer seiner Freunde den nächsten Talk hielt. Es war Hendrik Scholz und er sprach über ein Tool namens SMAP, einem Mix aus NMAP und SIPSAK (welches übrigens von Nils stammt). Hiermit kann man SIP-Hosts scannen, also im Grunde jeden DSL-Router. Das deutet wiederum ebenfalls auf kommende VoIP-Probleme hin, ich hatte Alessios Talk oben über VoIP-Insecurities schon erwähnt…
Ab jetzt wurde es schräger. Ein Mann namens Thomas Waldmann behandelte den seltsamen Vortrag “What you have in common with a guinea pig”, also: “Was haben wir gemeinsam mit einem Meerschweinchen”
Das Ganze gab’s nur als Text-Datei, wobei mir die Präsentationsform ziemlich am A… vorbeigeht. Anselm fand es lustig, weil die “Präsentation” auf einem Apple (huh, Design, alta!) lief, aber egal, es war lesbar. Der Grundgedanke des Vortrags basierte darauf, daß die Empfehlungen der Gesundheitsorganisationen für die Einnahme von Vitamin C (zwischen 60 und 100 mg sind empfohlen) viel zu niedrig sind. Und, daß wir früher Vitamin C wohl mal selbst produzieren konnten, aber dieses Gen bei uns defekt sei (wie eben auch beim Meerschweinchen). Deshalb müßten wir mehr zu uns nehmen, so hat eine Ziege bei 35 kg Gewicht eine Tagesproduktion von 13 Gramm (also 13000 mg!). Auf den Menschen übertragen würde das bedeuten, bei 70 kg Gewicht müßten wir also täglich 26 Gramm Ascorbinsäure zu uns nehmen. Und wenn die Ziege krank ist, produziert sie noch mehr! Das wage ich gar nicht hochzurechnen! Ich bezweifle, daß uns das bekommen würde, mal abgesehen davon, daß wir das meiste davon sowieso wieder ausschwemmen würden. Ich denke mal, 2-3 Gramm (huh, sehe ich hier eine 23?) dürften ausreichen pro Tag. War jedenfalls ein lustiger Vortrag und Herr Waldmann verwies auch noch auf VitaminCFoundation.org. Bloßer Zufall, daß die das Zeug auch verkaufen…
Aber es kam noch besser. Ein Amerikaner namens Dan erzählte etwas über eine Datenbank namens 4D. Und er ließ kein gutes Haar an ihr. Oder eher: mit jedem Satz wurde seine Ansicht zu dieser Art Software schlimmer, sie funktioniert nicht, macht Fehler, speichert alles in proprietären Formaten, ist nicht debugbar und und und. Es war total irre! So ein Bashing hat die Welt noch nicht gesehen. Ich dachte mir die ganze Zeit: Und? Wo will er hin? Am Schluß gab es außer Beschimpfungen kein Ergebnis, also ging ich hin und fragte ihn, was das Ganze soll. Er wollte einfach mal Luft ablassen, weil seine Firma diesen Scheiß gekauft hatte und er sich mit dem Mist befassen mußte. Und da denke ich manchmal, wenn ich meine Zeiterfassung auf einem Windows-Terminal-Server machen muß, habe ich’s schwer. Tz.
Dann kam nochmal ein Typ, der Propaganda für den 100$-Laptop machte. Näheres dazu findet sich auch auf meinem gestrigen Blog-Eintrag. Jedenfalls hieß er SJ Klein und erzählte noch ein paar weitere Eckdaten, wie man den Kindern in der dritten Welt mit diesem Gerät helfen will. Eigentlich ein Klasse Projekt, ich habe nur die Befürchtung, daß die die Dinger als erstes verticken werden, für 100$ bekommt man in Entwicklungsländern viel zu beißen…
Damit war der heutige Lightning Talk beendet und ich widmete mich dem Thema “Subverting AJAX”. Denn schließlich mag ich Ajax, ich habe ja sogar im aktüllen Linux-Magazin über ein Tool namens AjaxTerm geschrieben. 
Stefano Di Paola und Giorgio Fedon zeigten Angriffe auf XSS, aber auch Angriffe auf andere Teile des Webs. Da wurde einem richtig mulmig, wie Scheiße diese Applikationen alle geschrieben sind. Arobat Reader, Macromedia Flash und sogar Java schnitten wirklich nicht gut ab, es ging also weit über den Ajax-Teil hinaus. Außerdem konnte man nicht nur den Internet-Explorer überlisten, auch der Firefox macht vom User unbemerkt Verbindungen auf, wenn der Angreifer das will. Größtenteils waren es aber Attacken auf die Client-Welt, es wurde meistens XMLHttpRequest genutzt. Ok, man klinkt sich auch in den Server-Betrieb mit ein, aber das dürfte schwieriger sein. Ich denke, für den Client wird die Sache schlimmer, vor allem, weil man über verrückte URLs die Browser überlisten kann… Es war also mehr ein Global-Angriff gegen das Web 2.0, Ajax und JavaScript spielten dabei mehr eine Nebenrolle, aber heftig war es trotzdem. Ich denke, i
ch
werde aber trotzdem meine Pro-Einstellung zu Ajax nicht aufgeben, schließlich gab es keine echten Proof-of-Concepts und PHP ist immer noch deutlich schlimmer.
Ich begab mich nun in Saal 4, wo Harald Welte einen freien RFID-Scanner vorführte. Er machte am Schluß dann den kleinen Fehler, das Ding in Aktion zu zeigen, wobei er Karten mit RFID-Chips davorhielt. Prompt kamen alle möglichen Leute auf die Idee, ihm Karten mit solchen Chips hinzuhalten. Ob nach dem Kuddelmuddel jeder noch genau seine Karte zurückbekam, weiß ich nicht. 
Weiter ging’s im Saal 2. Die österreichischen Jungs von Quintessenz, die schon letztes Jahr durch das Hacken einer Überwachungskamera hervorstachen, versuchten diesmal, die Überwachung mehr aus sozologischem Blickwinkel zu sehen. Sie verwiesen auf die Probleme der Ausuferung, die dazu führt, daß die Unschuldsvermutung umgekehrt wird. Man muß mittlerweile beweisen, daß man unschuldig ist. Auch die Sprache würde sich in der Gesellschaft anpassen, man redet nicht mehr von “Überwachungskamera” sondern von “Sicherheitskamera”. Der Überwachungsdruck führt natürlich auch zu Verhaltensänderungen. Menschen, die sich beobachtet fühlen, reagieren nunmal anders als normalerweise und fühlen sich unwohl. Um das zu beweisen, hatten sie ein Experiment gemacht. Denn die meisten Leute antworten auf Überwachung mit den Worten: “Ich habe nix zu verbergen.”
Dazu muß man erstmal sagen, daß in Wien Zeitungen in Taschen rumliegen, an denen eine Dose zum Geldeinwurf hängt. Die Dose ist meistens wenig bis gar nicht gefüllt, im Schnitt zahlen 10% der Leute ihre Zeitung. Es geht hier also um Diebstahl. Man hatte übrigens auch Versuche mit Kisten wie in England und USA gemacht. Entweder wurde gar nicht gekauft oder für den nächsten wurde einfach eine Zeitung in die Tür gesteckt, daß sie nicht mehr zufällt. Sind Österreicher also ein Volk der Gangster? Als Test hängten die Quintessenzer also eine Tasche mit Zeitungen auf und hängten Warnungen dran: Achtung, Kameraüberwacht. Inklusive dem passenden Strafrechtsparagrafen und der Belehrung, daß auf Diebstahl 6 Monate Haft angesetzt sind. Die Ergebnisse waren mehr als lustig. Da der Preis bei 90 Cent lag und man also mehr als ein Geldstück reinwerfen müßte, warfen die “ehrlicheren Kunden” nur ein Geldstück rein. Dann gab es ein paar, die nach der Kamera suchten und unschlüssig weggingen. Und dann gab es welche, die schnell im Vorbeihuschen eine klauten. Übrigens kann man das Unrechtsbewußtsein nachweisen, denn bei viel Publikumsverkehr waren oft noch Zeitungen in den Taschen, während die in dunklen Ecken leer waren. Gelegenheit macht Diebe. Nun wurde eingewandt: ist doch gut, wenn keiner mehr klaut. Andererseits hat es die Zeitungen bisher nicht umgebracht, sie leben wohl trotzdem recht gut, theoretisch könnten die ihre Blätter also auch umsonst verteilen. Und: die, die sagen “ist doch gut, wenn keiner klaut”, würden sich vielleicht an totaler Verkehrsüberwachung stören, wenn alle 5 Minuten ein Ticket einflattert. Oder anders ausgedrückt: jeder hat irgendwelche Leichen im Keller. Folglich ist also der Sicherheitswahn der Behörden Overkill.
Die Wiener Verkehrsbetriebe rüsten nun auf Druck der öffentlichen Meinung ihre Bahnen mit Kameras aus. Interessanterweise werden auch hier wohl Handtaschendiebe wohl kaum zur Rechenschaft gezogen, weil der Aufwand groß wäre, deswegen bauen sie die nur ein wegen Vandalismus. Der liegt aber in Wien bei 200000 Euro, also nichtmal im Promille-Bereich der jährlichen Betriebskosten, wogegen die Kamera-Ausrüstung und Wartung wohl ein paar Millionen kosten wird. Also: die brauchen die Überwachung gar nicht, aber der Bürger will es so. Letztlich geht es also um ein subjektives Sicherheitsgefühl. Daß mehr Leute im Verkehr als durch Terror umkommen, interessiert den Bürger nicht. Die unbekannte Gefahr scheint schlimmer als die bekannte zu sein. Komischerweise wird bei der bekannten Gefahr keine 100%-Prävention gefordert, bei der unbekannten dagegen schon. Diese subjektiv tief sitzende und unbegründete Angst (sowohl in Deutschland als auch in Österreich geht die Verbrechensrate runter) kann man tatsächlich durch mehr Licht, mehr Sichtebenen in Parks und gepflegtere Stadtbereiche verbessern. Der Witz bei Überwachung scheint zu sein: Sind wir in der Gruppe, fühlen wir uns sicher, die Kamera gibt das Gefühl der Gruppe wieder. Habe ich mehr Licht und Sichtebenen, so daß mich mehr Leute sehen können, ist ebenfalls das Gruppengefühl wieder da: das subjektive Sicherheitsgefühl verbessert sich. Wir sind schon eine komische Spezies. Übrigens: am besten ausgerüstet mit Überwachungskameras sind Banken. In Österreich ist das der einzige Kriminalitätsbereich, der um 25% gestiegen ist…
Zwischendurch tauchte Tube auf, den hatte ich die letzten zwei Tage auf dem Congress schon vermißt. Aber irgendwie wollte er noch einen anderen Vortrag sehen, also verlor ich ihn wieder aus den Augen.
Beim nächsten Beitrag habe ich schon ein wenig mit mir gerungen, ob ich das hier wirklich erwähnen soll. Schließlich versuche ich schon, hier einigermaßen clean zu bleiben aufgrund des netten Domain-Namens. Aber: wenn ich schon berichte, dann richtig! Es ging also diesmal um 
Pornografie und Technologie. Referentin war eine Dame namens Tina Lorenz. Sie fing geschichtlich an, wann fing das alles an (Gutenberg ist schuld) und wie entwickelte sich Pornografie über die Jahrhunderte, ein wirklich sehr altes Thema. Sie sprach natürlich nicht nur die alte Technologie wie den Buchdruck an, sondern auch die Fotografie, dan die Stereo-Fotografie, dann das Kinematoscope, wo man Geld einwirft und einen 5-Minütigen Film durch ein Guckloch sieht. Und schließlich den Film, sowohl den mit den laufenden Bildern als auch den Negativ-Film, der einfach zu reproduzieren war. Schließlich kam dann das Video-Zeug für zu Hause und so wi’s aussieht, gewann VHS gegen Betamax, weil einfach längere Filme draufpaßten. Es ging also nicht nur um Sex-Filmchen, um dem Mythos “Betamax hat gegen VHS wegen Sex verloren” ein wenig den Wind zu nehmen. Heute sind laut Heise 60% aller Dateien in P2P-Netzen mit pornografischem Inhalt, wobei Google bei Webseiten darauf besteht, maximal 1% der Webseiten seien mit sexuellem Inhalt gefüllt. Sie widmete sich auch der Frage der Definition von Pornografie. Ich gleube nicht, daß das lösbar ist, schließlich ändert sich ständig die öffentliche Moral, da kann man eigentlich keine klare Antwort geben. Schön fand ich aber den Satz: “If I like it, it’s erotic, if you like it, it’s porn.” Oder ihr Aufkleber auf ihrem Laptop: “It’s just Porn, Mum.” Danach gab es dann den Ausflug in die Zukunft. Teledildoing und Interactive Porn scheinen im Kommen zu sein, sie zeigte ein Beispiel für einen “Wiibrator” und die anschließende Diskussion war sehr lebhaft. Auch wenn Frau Lorenz meinte, jeder könne heutzutage seinen Fetisch ausleben, so war der Einwand “Children?” durchaus gerechtfertigt. Also: es gibt durchaus Limits und dazu gehöre
n wohl nicht nur Kinder, sondern alle Formen von “Partner will das oder das nicht”. Das war dann schon ein wenig kurz gekommen, schließlich bedeutet Freiheit auch immer die Freiheit der anderen, Zwang jeder Art sollte grundsätzlich als verwerflich gelten. Einigkeit herrschte wohl in der Frage, daß unsere Bandbreiten wohl nie so kraß gewachsen wären, ohne den immensen Porno-Konsum der Nutzer des Netzes. Schräges Thema für so einen Kongreß.
Am Schluß ging ich dann in Saal 1, zum 
Hacker Jeopardy (hier: Ende von Runde 1). Ein echtes Highlight in jedem Jahr. Man bekommt Antworten vorgegeben und muß die passende Frage dazu finden. Durchaus witzig. Es gibt 3 normale Runden mit Freiwilligen und der Gewinner jeder Runde muß dann nochmal in eine 4. Runde, das Finale. Dort kommt dann auch der Champion des letzten Jahres dazu, um seinen Titel zu verteidigen. Mittendrin wird man immer wieder durch 
Begriffe wie diesen verwirrt. Oder diesem.
Ach ja, bei diesem Event traf ich dann noch auf Bonzo, der immer noch eine steinalte Webseite hat und mal dringend was daran machen sollte (hint, hint!)…:)
Aber weiter im Text…
Obwohl es diesmal eine Kategorie namens TFDK (Things Fefe doesn’t know) gab, damit der ständige Dauersieger Fefe nicht schon wieder gewinnt, hat er dennoch gewonnen.
Der Spaßfaktor war jedenfalls groß und man kann den Machern dieser Veranstaltung nicht genug danken. Vielleicht durch Ersteigerung 
dieses formschönen Kunstwerks?
Für heute bin ich jedenfalls fertig. Fix und fertig…
Nachtrag:
Im Delirium habe ich CTF (Cpture the Flag) fast vergessen. Es gab am Schluß jedenfalls noch dieses Hacker-Game in Saal 3. Ich hatte mal gefragt, wie es denn abläuft. Also: jeder bekommt eine CD mit einem Betriebssystem-Image und muß bestimmte darauf vordefinierte Dienste am Laufen halten. Während die andere Seite versucht, sie runterzureißen. Wer am längsten durchhält hat gewonnen und das Ganze natürlich auch noch in Teamarbeit. Lustige Idee. Aber leider für Zuschauer ohne Spaßfaktor. Man muß schon selber mitmachen, sonst bringt das nix.
RSS-Futter
Letzte Kommentare