(Bloggen vom Chaos Communication Congress)
20.30 Uhr: Security Nightmares 2008 oder: Worüber wir nächstes Jahr lachen werden
Obgleich ich mich bereits ein Weilchen vor Acht eingefunden habe, war der Saal schon voll genug, um die Sitzplatzsuche zur Herausforderung zu machen. Nun ist der Saal so berstend voll, wie das Saal 1 zu seinen besten Zeiten nunmal sein soll, d.h. es sitzen ungefähr genauso viele Menschen neben und zwischen wie auf den Stühlen. Es ist erstaunlich, dass die Luft dennoch atembar bleibt.
Die traditionell vorletzte Congress-Veranstaltung ist die Vor- und Rückschau und Saal-Brainstorming-Diskussion zu den IT-Sicherheitsalpträumen des vergangenen wie des kommenden Jahres.
Was war
‘Ron’ und Frank Rieger legen mit einem Rückblick fürs “told you so”-Karma los, was hat sich denn 2007 so den Weg in die Wirklichkeit gebissen? Datamining-Fahndung (Aktion Mikado etc.pp.) der deutschen Behörden und Späße mit dem E-Government: “Estland war down. 20 Tage.” Im Jahr 2007 kann man als nichtstaatliche Personengruppe bereits die staatliche IT-infrastruktur eines kleinen Landes plattmachen (und ich denke mir, Estland vor allem, die leben ja auch schließlich IT-technisch nicht gerade hinterm Mond, gelle, Cervus?). Witz zwischendurch, wie misst man die Adoption von E-Government in einem Staat? An der Daten-Verlustrate! Wer liegt vorn? England! Haha.
Ansonsten, Wahlcomputer wurden weg massakriert, in Social Networks hat sich die “Falsche-Freunde-Problematik” etabliert (d.h. man kommt in die Verlegenheit, sich für das dort abgebildete eigene soziale Umfeld zu rechtfertigen; und die Freundin schäumt, wenn man andere Personen weiblichen Geschlechts in der Freundesliste hat). Uralt-Exploits und -Viren werden wieder aktuell, weil die Antivirenhersteller aus Performance-Gründen die Archive in ihrer Software ausmisten. Ein Google-Ad wurde gesichtet, “Is your PC virus-free? Get infected here”, und 419x angeklickt. Fürs Führen von Exit-Nodes kann man inzwischen mit Einschüchterung-durch-Hausdurchsuchung rechnen, der CCC hilft in solchen Fällen, wenn’s geschieht, dann “ruft uns an”, Applaus.
Der Hackerparagraph kam und die Vorratsdatenspeicherung steht vor der Tür. Der Staat will rein in unsere Rechner. “Wer von euch glaubte, dass die automatische Rechtschreibkontrolle wirklich im Computer stattfindet?” Datt is’ E-Government, Dienst am Bürger. Am WLAN des Nachbarn kann man sich weiterhin erfreuen, das wird inzwischen zwar öfter gesichert, aber nur mit WEP. Die Forderung nach OSS-Mobiltelephonen steht und Navigationssysteme von Autos lassen sich inzwischen auch hacken.
Was wird (mit Entschuldigung an Hal Faber ;) )
2008, was erwartet uns da?
Der DNA-/Bio-Hacking-Vortrag von Drew Endy scheint bleibende Eindrücke hinterlassen zu haben, “Das war nun wirklich nicht das, was man hören wollte” (keine Transhumanisten da, auf dem Podium), zwar heißt es “Computer Aided DNS Fuzzing, Patches und Mods kommt noch nicht 2008”, aber auf alle Fälle sollte man sich den Krams im Bewusstsein halten und unbedingt nächstes Jahr mehr Platz für Bio-Hacking-Fragen auf dem Congress aufräumen (yay, wo darf ich mein +1 geben?). Kinderzimmer werden sich dann in Zukunft von selbst einräumen. (Späterer Einwurf: Durch das DNA-Hacking bekommen die Potentiale des Begriffs ‘einen Virus übers Internet bekommen’ ganz neue Bedeutung. Uah.)
Lustig wird’s bei der roboterisierten Industrieproduktion, die stellt nämlich auf TCP/IP um, “Industrial Internet u.a.”, Maschinen, die schwere Dinge bewegen, übers Internet steuerbar, na wenn das mal nicht Potentiale eröffnet, uh, uh. Wer sich dran macht, bitte checken, ob’s eine Webcam gibt, die ihm die Folgen seines Handelns anschaulich macht (apropos Webcam, Baden-Württemberg unterhielt dieses Jahr das Ansinnen, sich auch in private Webcams reinzuhacken, um damit Einblick in das Treiben Verdächtiger zu gewinnen). Medizinische Systeme setzen auch vermehrt auf IP, hackenwa mal zwischendurch automatische Medikamentendosiersysteme.
Das Navigationssysteme-Hacken von Autos wird weiter gedacht, “freie Fahrt für freie Hacker” und “einen Karren mit WLAN kann ich mir nicht leisten, ein Notebook mit WLAN schon”, muahaha. GPS-Forensik über Navigationssysteme.
Dann werden Leute verhaftet werden, weil der Logger ihrer angeblichen IP die falsche Zeitzone eingestellt hatte. Die “Anzahl der Gerüchte-Blogs steigt logarithmisch” und man wird vermehrt fürs Blogschweigen Geld geboten bekommen (“siehe Think Secret”).
Dann wird der Siegeszug von Flash zu neuen Alpträumen führen, wir hatten ja 2007 schon die “devnull devices”, die vorgeblichen 4-Gigabyte-Sticks, die nur 256 Megabyte aufnahmen; wenn 2008 große Teile des Festplattenmarktes von Flash verdrängt werden (Notebooks nur noch mit Flash, z.B.) wird die Flash-Forensik heiß, denn die ganz eigenen Datenschreibestrukturen bei Flash machen den Umgang mit scheinbar gelöschten Daten ziemlich interessant. Datenhygiene insgesamt wird sowieso schwieriger und schwieriger.
“VoIP: Entdecke die Möglichkeiten”, Skype-Telephonitis mag gehackt werden, und wenn dann noch die bisher so abgeschlossene klassische Telephonierwelt mit der VoIP-Welt und ihren Exploit-Möglichkeiten sich verschaltet, auaua. Kommt die “mobile malware jetzt langsam?!”, wird das iPhone als attraktiver Plattformtraum den Weg ebenen?
Dann der Höhepunkt der Show, ein supersüßer, pseudolebendiger Spielzeugdinosaurier wird auf den Tisch gehievt, “Furby 2.0” + Bundestrojaner 3.0, “die niedlichste Wanze aller Zeiten”, mit Kamera, Mikro und Speicher ausgestattet, dem erzählt man seine Geheimnisse doch schon wegen seiner Niedlichkeit, ein sich einschmeichelndes Überwachungsinstrument, zugleich kann man ihn auch dazu hacken, Kabel durchzubeißen oder andere Roboteragentenaufträge in seinem Besitzerhaushalt zu verrichten. Die Roboterisierung der Lebenswelt schafft ganz neue Hackerbaustellen.
Vista Exploits gibbet’s noch kaum, “denn man verdient mit der Menge der verseuchten Rechner Geld und nicht mit einem Betriebssystem, das niemand nutzt”, “ich mein, MacOS X hat doch größeren Marktanteil als Vista, oder?” IT-Firmen geben schon heute Geld aus, um Exploits vom Exploit-Markt wegzukaufen, nur Apple weigert sich bisher, werden sie sich durch die Masse aufkommender MacOS-X-Exploits eines Besseren belehren lassen?
Auftrag, erbringe den “Nachweis, dass Terroristen ihre Kommunikation in SPAM codieren”, um sie nach Guantanamo zu bringen.
Wenn sich biometrische Systeme verbreiten, kann man dann irgendwann durch zu breites Grinsen Buffer Overflows erzeugen? Oder: Ein bestimmtes Pixelmuster auf die Brille, oder die richtige Frisur, um das System zum Abstürzen / Dinge tun zu bringen. Für die Toll-Collect-Maschinerie “SQL Injection über Nummernschilder?” Desgleichen mit bösen Domainnamen und E-Mail-Adressen für die Vorratsdatenspeicherung. Die Fingerkuppen künstlerisch verändern, den Exploit für den media parser gleich in die Fingerkuppe eingeätzt haben. Es gibt lauter tolle Ideen für realweltliche Exploits virtueller Datenerfassungssysteme. (Und ich sag ja, wir müssen die Digitalität überwinden, sieht so aus, als wäre es grade so weit. Auch Rapid Prototyping wird erwähnt, der 3d-Drucker. Digitalität ist ja sowas von gestern, denk ich mir.)
Werden Fingerabdrücken ihren Beweisstatus verlieren, wo sie doch inzwischen so leicht zu fälschen sind? (Biometrie-Datenspenden populärer Politiker würden weiter gerne entgegen genommen, “wir speichern auch gerne auf Vorrat die zweite Riege, die in fünf Jahren interessant wird”, auch DNA-Spuren nimmt man gerne … Zur produktiven Weiterverwendung.) Lohne es sich nicht inzwischen, den eigenen Fingerabdruck öffentlich zu machen, für “Deniability”, um zu sagen: das sind zwar meine Fingerabdrücke, aber die kann ja jeder mit künstlichen Fingerkuppen darauf gemacht haben, schließlich kann man sie von meiner Website laden? Well, auf einen Musterprozess käme es an, der CCC würde es dann von der Art des verhandelten Verbrechens abhängig machen, ob er da seine Unterstützung mit rein werfe, ein Einruf meint zur Art des Verbrechens, Majestätsbeleidigung biete sich an.
Zuletzt wünschen sie:
Einen guten Rutsch ins Jahr 1984!
Sunday December 30, 2007
Werbung
(hier war mal AdSense-Werbung, heute aber nicht mehr)
Kommentare
Kommentarfunktion für diesen Artikel geschlossen.
Danke schön für die Erwähnung und weiter so. Der für mich schönste Bericht war #25, ich sehe da einen Anschlusspunkt an meine Weihnachtslektüre von Dirk Baecker, Studien zur nächsten Gesellschaft und werde das natürlich verlinken.
@Hal Faber: :-)