NEWS / BLOG auf DICKE-AERSCHE.DE

UK-Flag Click here to access my english BLOG US-Flag

Anzeige:
blog.dicke-aersche.de in 2D-QR-Barcode T-Shirt Shop von Dicke-Aersche.de blog.dicke-aersche.de in 2D-QR-Barcode



search 2013 adfgs

Zeh Ce Tse, Teil 2

2009-12-28, 02:00 CET

Diesmal war ich schlauer, ich blieb einfach erstmal zu Hause, um die Lightning Talks zu sehen. Da war natürlich wieder Banane bei. Aber auch interessante Sachen. So z.B. StaLi, das statische Linux. Mit statisch meinen sie vor allem statisch gelinkte Binaries (naja, bis auf 2 Mini-Libs wohl) Die Vorteile wurden beschrieben mit:

  • kleinere Binaries
  • schnellerer Start und schnellerer Lauf der Programme
  • weniger RAM-Verbrauch
  • sicherer als glibc-gelinkte Programme

Ok, kleinere Binaries und weniger RAM-Verbrauch sind logisch, aber schnellerer Start? Letztlich macht ja gerade die von anderen Tools gestartete Library einen Start von weiteren Programmen schneller. Der letzte Punkt hat aber etwas für sich, die libc ist kein Hort der Freude. Fefes dietlibc ist ja auch nicht aus Jux und Dollerei entstanden, sondern, weil die normale libc so ein Monster ist. Ich denke, der Ansatz klingt vielversprechend.

Putzig, 2 Talks danach kam das Gegenteil: dyncall. Hier wird versucht, ganze Libraries Plattform- und CPU-übergreifend nutzbar zu machen, indem einem Library-Function-Call einfach die Methode des Aufrufs vorangestellt wird. Ehrlich gesagt, das sah ziemlich simpel aus, fast schon zu simpel. Ich glaube nicht, daß das wirklich geht. Wenn es aber jemals funktioniert, wäre das ein wundervoller Schritt zur Interoperabilität von Systemen.

Die Idee eines Do-it-yourself-Book-Scanners war zwar nett, aber irgendwie in einem doch recht frühen Stadium. Was interessant war: die vorgestellten Scanner hatten meistens eine Digicam eingebaut. Und so wie sich’s anhörte, war das größte Problem auch das, was mir am meisten Sorgen macht: automatisches Umblättern. Also da muß noch viel passieren…

Den GPF Crypto Stick fand ich eher uninteressant. Irgendwie finde ich persönlich SmartCard-Lösungen nervig. Ich will kein Gerät für Identifikation haben. Oder für Verschlüsselung. Das sind Dinge, die muß Software leisten, dazu will ich nicht noch Plastik rumschleppen. Gerade für sowas ist das Internet perfekt: die Schlüssel verschlüsselt (Haha!) auf eine Seite pappen, wo man sie jederzeit im Zugriff hat. DAS ist eine Lösung. Ein Gerät ist keine, egal in welcher Form. Ich denke, ich beschränke mich mal ab jetzt auf die für mich wertvollen Talks.
(Achtung: MEINE Wertung! Ich besitze keinen Allgemeingeschmack!)

Eine im Hören herausgeforderte Dame forderte dazu auf, Hörgeräte zu hacken. Gründe gibt es vielfältige, z.B. geschlossener Markt oder teure Geräte. Schön fand ich den Satz: wenn Du es nicht hacken kannst, gehört es Dir auch nicht. Tja, vielleicht ist das von den Herstellern so gewollt? Sehr schräge Idee. Doof, wenn man beim Hacken sein eigenes Hörgerät zerstört. Sie hatte lustige Ideen, z.B. einen Filter für Stimmen, so daß man Leute, die einen nerven, ausblenden kann. Eijeijei…

Free Rainbow Tables mittels BOINC? Wat? So, wie ich das verstanden habe, geht es um Verschlüsselung, aber irgendwie blieb hier viel im Dunkeln… Trotzdem muß ich mir das mal ansehen, das hier ist quasi ein Marker für mich. :)

Tja, dann geht’s weiter mit dem lustigen Vortrag 4 Fäuste für ein Halleluja von Fefe und Erdgeist. Es ging um API-Verbrechen und war sehr unterhaltsam. Interessanterweise habe ich dabei etwas gelernt. Es gab das Problem, daß FastCGI Verbindungen offenhält, weil es auf das Backend wartet (z.B. eine DB). Leider gibt’s da keine Kommunikation mit dem Webserver, der wartet also, verbrät RAM & Ressourcen und das Ganze schaukelt sich hoch. Sowas haben wir tatsächlicherweise auf der Arbeit: Dutzende von wartenden Apaches, die alle FastCGI gestartet haben. Welch eine Krampfe. In diesem Vortrag war es wirklich lustig, in der Realität kotzt man bei solchen Problemen echt ab… Und manche Funktions-Variablen-Namen, da faßt man sich echt an den Kopf! Ich glaube, ich muß mal aktiv bei Google-Code nach Schwachsinn suchen. Wahrscheinlich wird man in Sekunden fündig. Auch die Error-Codes: ERROR_INTERNET_INSERT_CDROM. Hallo? Geht’s noch? In der Praxis ist sowas echt NICHT lustig! Also dieser Vortrag ist echt empfehlenswert, wobei man zwischen Lachen & Weinen hin und hergerissen ist…

Zur Vorratsdatenspeicherung läßt sich sagen: eine echte Verteidigung des Gesetzes von Seiten der Regierung scheint nicht stattgefunden zu haben. Manchmal frage ich mich: wenn die das selbst alles Scheiße finden, wer drückt das da eigentlich gegen alle Widerstände durch? Das scheint ja eher eine Einzelperson zu sein. Die Gegner des Gesetzes dagegen waren extrem zahlreich vertreten bei der Anhörung des Verfassungsgerichts. Ich hatte zwar vorher schon von Burkhard Hirschs Kämpfen für die Bürgerrechte gehört, daß er sich aber so sehr ins Zeug legt, wußte ich nicht. Frank Rieger und Constanze Kurzu sprachen ihm jedenfalls viel respekt aus. Einer der wenigen Leute aus der FDP, der hinter dem Buchstaben F steht. Dürfte recht einsam sein an der Position. Schön ist trotzdem immer diese menschlichen Kleinigkeiten, die im politischen Betrieb sonst durch die Nachrichten fallen. Z.B., daß Herr Papier mit seinem Gesicht den ganzen Raum im Griff hatte, ohne groß Worte machen zu müssen. Sowas finde ich echt Klasse, diese Informationen hört man immer nur bei CCC-Vorträgen. Also das war wirklich ein substanzreicher, sehr interessanter Vortrag! Ein Highlight des Congresses!
Ein schönes Detail: Rumänien (!) lehnt die Vorratsdatenspeicherung ab! Da ist die alte Horch-und-Guck-Fraktion wohl noch zu gut in Erinnerung, daß man die schon wieder am Hals haben will. Sehr verständlich!

So, mal sehen, ob hier heute noch Updates kommen…

UPDATE: 22:00

Ohoh, Anselm und ein unbekannter Dvorak-Tastatur-Liebhaber standen rum und diskutierten ein wenig über Tastaturlayouts (Anselm liebt Keyboards OHNE Beschriftung! UAH!), da kam so eine Tante auf uns zu. Sie sei von 3sat und würde gerne ein kurzes Interview machen. Ich sagte blauäugig “OK” und Anselm und der andere Typ traten einen Schritt zurück und ließen mich im Regen stehen. Naja, ich hoffe, ich hab’s nicht total vermasselt. Ich bin schließlich kein CCC-Mitglied und habe mich vielleicht etwas aus dem Fenster gelehnt mit meiner Hacker-Anbiederung, aber wenn sie wirklich von 3sat war (könnte ja auch gelogen haben, weil sie weiß, daß nur noch wenig Leute mit RTL rummachen würden und bestimmt niemand mit Sat1), kann’s mir auch egal sein. Dann guckt’s ja sowieso so gut wie keiner, Haha.

Wie auch immer, nach einer kurzen Freßpause (vorher Tube getroffen, CX2 bringen bald ein neues Album raus! YIPPEE!) tat ich mir Phenolits Vortrag (schöner Titel: Defending the Poor) an, welcher sich darum drehte, Flash sicherer zu machen. Der Witz ist, man schaltet einen Parser davor, welcher dann, wenn der Code wirklich sauber ist, die Daten an den echten Player weitergibt. Klingt sehr gut, da würde selbst ich öfter mal Flash einsetzen. Wobei immer noch der Punkt “Closed Software” im Raum steht…
Jedenfalls ist IMHO dieses Methode immer noch auf
wendig genug. Die Alternative will natürlich keiner: den Player selbst neu schreiben. Und die, die es versuchen (siehe Gnash), scheitern bisher relativ heftig. Schöner Name des Tools: Blitzableiter. Diese Sprache hinter dem ganzen Flash-Schnickschnack ist irgendwie heftig: sie steigt so gut wie nie aus, was natürlich potentiell gefährlich ist. Software, die weiterläuft, obwohl schwere Fehler passiert sind, stehen meistens offen wie ein Scheunentor für Angreifer. Übrigens werden die Flash-Statements nicht nur geparsed, sondern auch gepatched, damit so wie bisher möglichst sichergestellt werden kann, daß der Code möglichst läuft. Dann aber ohne böse Überraschungen. Noch ist das Ganze nicht fertig, aber ich denke, nach diesem Vortrag dürfte Phenolit massivst Zulauf haben, das wird! Ach ja, natürlich ist es OpenSource…
Immerhin, das Frage- und Antwort-Spiel brachte den interessanten Punkt: AVM1 (die grundlegende Sprache hinter Flash) ist zur Zeit nicht in der Lage, selbstverändernden Code zu liefern. Bei AVM2 sieht die Sache schon anders aus: hier können Bytes in einem Buffer erstellt und danach ausgeführt werden. Phenolit meinte aber: Null Problem, kann man patchen. Interessant war, daß ein Adobe-Mitarbeiter danach auch noch Fragen beantwortete. Cool, hätte ich so nicht erwartet.

Danach wollte ich eigentlich einen IPv4-Hacking-Vortrag hören, aber der war so grottenöde wie auch die Konkurrenzvorträge…
Am Ende wird noch Hacker Jeopardy kommen, aber ich denke, darüber muß man nix berichten.

Kommentar schreiben


5 − drei =

Kategorien

Archiv

Februar 2018
M D M D F S S
« Jun    
 1234
567891011
12131415161718
19202122232425
262728  
-->


Blog-Seiten aufgerufen seit 9. Januar 2006:
digit digit digit digit digit digit digit digit
  Impressum