Return to Video

ruedi: Microsofts Windows 10 Botnet

  • 0:01 - 0:08
    Vorspann-Musik
  • 0:09 - 0:11
    Engel: Ich freue mich besonders
  • 0:11 - 0:14
    meinen Freund ruedi hier zu präsentieren,
  • 0:14 - 0:16
    den vielleicht der eine oder andere
    Mensch von euch
  • 0:16 - 0:18
    ja schon mal auf so 'ner Bühne gesehen hat.
  • 0:18 - 0:21
    Ich hab den ruedi kennengelernt
    bei einem Vortrag,
  • 0:21 - 0:23
    da kam ein Tiername drin vor,
  • 0:23 - 0:26
    und vielleicht kennt den noch jemand,
    diesen Tiernamen, und zwar
  • 0:26 - 0:28
    ist der hei… heißen diese Tiere
    Longhorn.
  • 0:28 - 0:33
    Kann sich noch jemand daran erinnern? Ne?
  • 0:33 - 0:37
    Da hat der ruedi aufm Camp
    einen Vortrag drüber gehalten,
  • 0:37 - 0:40
    ein Jahr später hat Microsoft
    das Produkt eingestellt.
  • 0:40 - 0:43
    Lachen
  • 0:43 - 0:49
    Applaus
    Danke ruedi!
  • 0:49 - 0:53
    Es war leider ein Pyrrhussieg;
    sie haben dann Vista daraus gemacht.
  • 0:53 - 0:57
    Aber… ok. Für die, die's nicht wissen,
  • 0:57 - 1:02
    - Einwurf von außen -
    Engel: …geht? Ja. Ok.
  • 1:02 - 1:04
    Rüdiger Weis…
  • 1:04 - 1:07
    - ruedi: Habt ihr den Monitor aus
    oder ich den Monitor… ah, alles in Ordnung, gut.
  • 1:07 - 1:09
    Engel: Sollen wir improvisieren?
    ruedi: Nein.
  • 1:09 - 1:11
    Engel: Achso. Das gehört nicht zum Vortrag.
  • 1:11 - 1:14
    ruedi: Gehört nicht zum Vortrag.
    Engel: Gehört nicht zum Vortrag.
  • 1:14 - 1:16
    Engel: Rüdiger Weis, Professor für Krypto…
  • 1:16 - 1:19
    was soll ich noch über dich sagen…
  • 1:19 - 1:22
    begeisterter Vortragender.
    Ich geh jetzt von der Bühne,
  • 1:22 - 1:25
    ok, vielen Dank.
    ruedi: Ok.
  • 1:25 - 1:28

    Applaus
  • 1:30 - 1:33
    Herzlichen Dank, und wie ich von meinem Freund
    Markus Beckedahl gelernt habe,
  • 1:33 - 1:35
    auch einen wunderschönen guten Morgen,
  • 1:35 - 1:39
    einen Gruß, der hier glaub ich bei allen
    Sachen passt,
  • 1:39 - 1:41
    und Elmar hat ja schon erzählt,
  • 1:41 - 1:44
    dass das ne ziemlich lange Geschichte ist,
  • 1:44 - 1:49
    und ich musste dann auch wirklich grinsen,
    dass ich irgendwie in einigen Bereichen
  • 1:49 - 1:54
    offensichtlich in einer Zeitschleife
    steckengeblieben bin.
  • 1:54 - 1:59
    Ganz zentral wird der Punkt sein, dass ein
    Großteil der Kryptokatastrophen die wir haben
  • 1:59 - 2:05
    wirklich Kryptozombies sind die seit etwa
    20 Jahren ihr Unwesen treiben,
  • 2:05 - 2:10
    die seit 20 Jahren ganz klar als
    nicht mehr nutzbar bezeichnet werden,
  • 2:10 - 2:15
    und die heute jetzt von Microsoft
    freundlicherweise teilweise ersetzt werden.
  • 2:15 - 2:20
    Wir werden noch dazu kommen, dass
    das leider auch ein nicht nur freundlich
  • 2:20 - 2:23
    gemeintes Lob darstellt.
  • 2:23 - 2:27
    Auch der Text zu sagen
    "Haben wir jetzt ein Windows-10-Botnetz
  • 2:27 - 2:29
    oder ist das noch ne Gated Community?
  • 2:29 - 2:33
    Will Microsoft schlicht und einfach
    ihr eigenes Ökosystem bauen?"
  • 2:33 - 2:35
    Da ist die Antwort "Ja".
  • 2:35 - 2:40
    Andererseits, Entschuldigung, ich guck
    da immer als Informatiker in die Definition rein,
  • 2:40 - 2:42
    Botnetz ist ein System wo
    fremde Leute ohne Fragen
  • 2:42 - 2:46
    Code auf meiner Maschine
    ausführen können.
  • 2:46 - 2:51
    Und das sind genau die Endlizenzer-
    bedingungen, die Microsoft im Moment reindrückt.
  • 2:51 - 2:57
    Und mich haben Leute, die sich damit
    nich beschäftigen, …gedacht, ich nehm' sie hoch,
  • 2:57 - 3:02
    wo ich gesagt hab: Ja, aber man kann die Updates
    nicht verhindern, aber verzögern.
  • 3:02 - 3:05
    Da guckt er mich erstmal komisch an,
    und dann hab ich gesagt: Ja, aber
  • 3:05 - 3:09
    das kostet relativ viel Geld, wenn man irgendwie
    Zeit haben will, um ungefragte Updates
  • 3:09 - 3:11
    irgendwie zu überprüfen.
  • 3:11 - 3:15
    Da hat er echt dann angefangen zu lachen
    und hat gemeint, ich soll auch
  • 3:15 - 3:20
    nicht übertreiben und das ist auch irgendwie
    ein Eindruck den ich teilweise habe,
  • 3:20 - 3:25
    wenn man sich die Lizenzen anguckt,
    insbesondere die Lizenzen bei der Testversion,
  • 3:25 - 3:30
    wo Microsoft so außer dem Erstgeborenen
    eigentlich alle Rechte gefordert hat,
  • 3:30 - 3:32
    die man auf Computersystemen vergeben kann.
  • 3:32 - 3:39
    Lachen Und, das ist…
    Applaus
  • 3:39 - 3:43
    …schon ein wenig schräg, muss ich sagen.
  • 3:43 - 3:47
    Und in meiner hartnäckigen
    Lieblingspublikation c't,
  • 3:47 - 3:51
    da musste ich auch grinsen,
  • 3:51 - 3:54
    ist eine Titelstory:
    Anderthalb Seiten Beschreibung
  • 3:54 - 3:58
    wie man das Textadventure des Updates
    verhindern kann.
  • 3:58 - 4:03
    Also es ist kein nötiges Update,
    es ist ein nötigendes Update,
  • 4:03 - 4:08
    so nötigend und so penetrant
    dass wenn die Verbraucherverbände
  • 4:08 - 4:11
    sich darauf stürzen,
    und ich weiß nicht,
  • 4:11 - 4:16
    kam vielleicht mit fortgeschrittenem Alter,
    dass man irgendwie ein bisschen Verdacht hat,
  • 4:16 - 4:19
    wenn irgendjemand sagt,
    nimm das, kostet nichts,
  • 4:19 - 4:22
    kostet wirklich nichts,
    und du willst es wirklich nehmen,
  • 4:22 - 4:25
    ich weiß nicht genau,
    also meine Lebenserfahrung
  • 4:25 - 4:28
    macht mich da immer etwas kritisch,
    wenn mir so Leute mit derartigen
  • 4:28 - 4:30
    Marketingmaßnahmen kommen.
  • 4:30 - 4:36
    Aber offensichtlich hat Microsoft beschlossen,
    dass das eine gute Herangehensweise ist.
  • 4:36 - 4:40
    Und, um es mal ganz klar zu sagen,
    während wir früher diskutiert haben,
  • 4:40 - 4:43
    ob einige Windows-Probleme missbraucht
    werden können,
  • 4:43 - 4:48
    haben wir es jetzt irgendwie eigentlich
    gestempelt, Microsoft entzieht mit Windows 10
  • 4:48 - 4:51
    den Nutzern weitgehen die Kontrolle über
    ihre eigenen Hardware und Software.
  • 4:51 - 4:58
    Da ist es in der Tat eine Kombination,
    dass Microsoft da wirklich auch
  • 4:58 - 5:01
    diesen Trusted-Computing-Chip, den
    man vielleicht auch aus den alten
  • 5:01 - 5:07
    Zeiten noch kennt, nutzt, um hier eine
    zusätzliche Hardware-Verdongelung vorzunehmen,
  • 5:07 - 5:12
    mit dem Ergebnis, dass praktisch Microsoft
    entscheidet ob Systeme sicher sind.
  • 5:12 - 5:17
    Nun bin ich in der Wissenschaft zuhause,
    und da versucht man dann halt auch immer
  • 5:17 - 5:20
    die anderen Motive zu verstehen. Und
    es ist schon durchaus nachvollziehbar
  • 5:20 - 5:24
    dass Microsoft sagt: Wir patchen das besser
    als der Durchschnittsanwender.
  • 5:24 - 5:30
    Das ist durchaus ne Sache, die
    man diskutieren kann, aber
  • 5:30 - 5:33
    wie immer in der Welt ist es kritisch,
    wenn irgendwelche Leute
  • 5:33 - 5:38
    zu ihrem Glück gezwungen werden sollen,
    und sich, das ist was, nicht mehr wehren können.
  • 5:38 - 5:42
    Also ich hab das wirklich, den c't-Artikel
    mir mal irgendwie aus diesem Update-Zyklus
  • 5:42 - 5:47
    rauskam, mit einigem Amusement gelesen,
    und war kurz davor wirklich so eine,
  • 5:47 - 5:50
    ein Textadventure dazu zu schreiben,
    um das mal ein bisschen
  • 5:50 - 5:54
    nachvollziehbarer zu machen.
    Das ist eigentlich keine Art,
  • 5:54 - 6:00
    wie man mit Endkunden umgeht,
    und nochmal, versuchen wir einfach nochmal,
  • 6:00 - 6:05
    hier in der Webhistorie zurückzugehen.
    2002 war die Diskussion
  • 6:05 - 6:08
    mit dem Trusted-Computing-Chip,
    der heute jetzt wirklich
  • 6:08 - 6:12
    ein zentraler Punkt in dieser
    Windows-10-Architektur ist,
  • 6:12 - 6:17
    war die Stellungname von Ron Rivest,
    dem R von RSA,
  • 6:17 - 6:22
    von 2002, dass es einfach die richtige
    Art und Weise, die Sache anzusehen ist,
  • 6:22 - 6:27
    dass sie hier praktisch ihren personal computer,
    ihren persöhnlichen Rechner,
  • 6:27 - 6:32
    mit einem System tauscht, das
    eine Setup-Box ist.
  • 6:32 - 6:35
    Da wird irgendwie Code ausgeführt,
    es ist nicht mehr der persöhnliche Computer,
  • 6:35 - 6:39
    sondern ich hab ihn irgendwie
    von Microsoft scheinbar geleast.
  • 6:39 - 6:44
    Wer dieses Windows-als-Service-Konzept
    ansieht, der wird das auch, sagen wir mal,
  • 6:44 - 6:48
    schon in dieser betriebswirtschaftlichen
    Herangehensweise auch abgebildet sehen.
  • 6:48 - 6:50
    Das kann man alles angeben,
    ist schön und gut,
  • 6:50 - 6:53
    aber wenn Leute in irgendwas reinzwingt,
    ist es kritisch,
  • 6:53 - 6:56
    und wir sind ja Hacker
    und Sicherheitsforscher
  • 6:56 - 6:59
    und insofern schauen wir uns mal an,
    wie sieht das aus?
  • 6:59 - 7:02
    Wir übergeben jetzt unsere
    ganze Sicherheit an Microsoft.
  • 7:02 - 7:06
    Und die Frage ist:
    Können die das?
  • 7:06 - 7:13
    Und ich hab jetzt die letzten Kongresse
    immer irgendwie einen Großteil meiner
  • 7:13 - 7:19
    Folien mit Microsofts Sicherheitsproblemen,
    zum Teil denkenswerterweise zitiert
  • 7:19 - 7:24
    aus der Heise-Security-Ticker,
    damit man was einigermaßen Objektives
  • 7:24 - 7:29
    jetzt nochmal voransetzt,
    und leider haben die wieder
  • 7:29 - 7:34
    einen großen Teil meiner Folien aufgefressen,
    um wirklich aktuelle Probleme zu haben,
  • 7:34 - 7:38
    die wirklich aus einer anderen Zeit kommen.
  • 7:38 - 7:43
    Diese Krypto-Zombie-Sache kommt daher,
    dass wirklich veralterte Algorithmen drin sind,
  • 7:43 - 7:48
    wie SHA-1, oder, ein ungeahnter Horror,
    der vielleicht,
  • 7:48 - 7:51
    schön ist vielleicht wirklich ein Kongress,
  • 7:51 - 7:57
    wo ein beträchtlicher Anteil der Leute
    in Jahren geboren ist, wo der Krypto-War,
  • 7:57 - 8:00
    also die Diskussion ob man Krypto
    betreiben kann, schon vorüber war,
  • 8:00 - 8:02
    oder wir gemeint haben, dass die vorüber,
  • 8:02 - 8:06
    und die kommen jetzt immer wieder,
    und insbesondere sehen wir auch da,
  • 8:06 - 8:10
    wenn wir Backdoors oder Schwächung einbauen,
    dann gefährdet das nicht nur
  • 8:10 - 8:16
    das aktuelle System, sondern, bissl
    hart formuliert, so gut wie alle zukünftigen,
  • 8:16 - 8:21
    weil dieses Problem der Backward-Compatibility
    ist genau das was in diesem Phreak-Attack
  • 8:21 - 8:26
    irgendwie durchgeführt wurden,
    und beim Thema Krypto-Export-Restriction
  • 8:26 - 8:31
    sei mir auch noch ein Seitenhieb oder
    massiver Seitenhieb auf eine andere
  • 8:31 - 8:35
    Gated-Community-Firma gestattet,
    nämlich die Firma Apple, die
  • 8:35 - 8:40
    wirklich es als gute Idee angesehen hat,
    eine App zu sperren,
  • 8:40 - 8:43
    die aus dem CCC-Umfeld
    programmiert wurde,
  • 8:43 - 8:47
    die anstößige Inhalte präsentiert.
    Anstößige Inhalte, habe ich natürlich
  • 8:47 - 8:52
    als Hacker immer Interesse dran,
    und was ich am Anstößigen-Lustigen fand,
  • 8:52 - 8:58
    war Krypto-Hacking-Export-Restriction.
    Ich klick drauf und hab dann wieder so ein
  • 8:58 - 9:03
    Alt-Internet-Gefühl, dass ich in einer
    Zeitschleife da bin, weil das war ein
  • 9:03 - 9:08
    Vortrag von 1999, der dann von Apple
    dazu missbraucht wurde,
  • 9:08 - 9:12
    als anstößiger Vortrag
    für eine Zensur herzuhalten.
  • 9:12 - 9:14
    Vielleicht um auch mal ganz klar zu sagen,
  • 9:14 - 9:17
    wenn ich mir die Zensurvorfälle
    von Apple anguck,
  • 9:17 - 9:20
    ist Microsoft wirklich ein Mitglied
    im deutschen Pfadfinderverband.
  • 9:20 - 9:25
    Das ist wirklich boshaft
    an einem Punkt, und nicht nur,
  • 9:25 - 9:29
    dass ich hier ne Gelegenheit hab,
    mal wieder ein Jugendbild von mir aufzulegen,
  • 9:29 - 9:33
    sondern, Lachen
    es ist wirklich auch so,
  • 9:33 - 9:37
    ihr seht, in der Zeit hatten wir nichts,
    keine Computer, und keine Beamer,
  • 9:37 - 9:42
    das ganze, was wir machen mussten,
    ist, harmlose Mathematik auf ein Flipboard
  • 9:42 - 9:45
    zu schreiben mit einem schrecklichen Englisch,
    aber ich kann nur Werbung
  • 9:45 - 9:48
    für den Vortrag machen, den bisher,
    bevor Apple sich darum gekümmert hat,
  • 9:48 - 9:52
    von 280 Leuten in den letzten
    15 Jahren angesehen worden ist.
  • 9:52 - 9:55
    Ich kann da nur Werbung machen.
    Selbst das T-Shirt ist lustig, aber
  • 9:55 - 9:59
    ihr müsst dann schon rauskriegen
    was genau da draufgedruckt ist,
  • 9:59 - 10:02
    aber ich fands damals witzig
    und es hat sich niemand drum gekümmert,
  • 10:02 - 10:08
    aber 15 Jahre später macht sich dann
    die größte amerikanische Firma zum Idioten.
  • 10:08 - 10:13
    Neben dem natürlich gewollten Möglichkeit
    Jugendbilder von mir zu präsentieren,
  • 10:13 - 10:16
    ist das wirklich auch ein Punkt
    den man sich mal klar machen muss:
  • 10:16 - 10:20
    Apple zensiert jetzt harmlose
    Diplommathematiker,
  • 10:20 - 10:23
    die wissenschaftliche Vorträge machen,
    nennen das explizit als anrüchige Sache.
  • 10:23 - 10:29
    Das ist einfach n Ding, wo man sich
    irgendwie an den Kopf greift, weil,
  • 10:29 - 10:33
    kleine Randnotiz, Apple war auch nie
    begeistert über die Export-Restriktion.
  • 10:33 - 10:38
    Was wir auch wieder sehen dass Zensorinnen
    und Zensoren schlicht in einfach
  • 10:38 - 10:40
    in ner bösen Zone sind.
  • 10:40 - 10:44
    Wenn wir irgendwie anfangen,
    irgenwas zu zensieren zu lassen,
  • 10:44 - 10:48
    ob wir dann irgendwie aus religiösen Gründen
    oder pseudo-religiösen Gründen
  • 10:48 - 10:50
    wie die Kreuzberger Grünen
    auf einmal anfangen,
  • 10:50 - 10:55
    unseren Geschmack allgemeinverantwortlich
    zu definieren, anderes zu zensieren,
  • 10:55 - 10:59
    ist man auf einer Rutsche nach unten,
    die nicht aufhaltbar sind,
  • 10:59 - 11:03
    und diese Leute, die Zensur betreiben,
    sollen sich nicht wundern,
  • 11:03 - 11:05
    dass sie dann nicht nur von den
    üblichen Verdächtigen, sondern auch
  • 11:05 - 11:09
    von der Hackerszene mit entsprechendem
    Hohn und Spott bearbeitet werden.
  • 11:09 - 11:12
    Das sollten wir auch weiterhin tun.
  • 11:12 - 11:18
    Applaus
  • 11:18 - 11:21
    Aber zurück zur Technik.
  • 11:21 - 11:23
    Also die Phreak-Attacke
    ist schlicht und einfach
  • 11:23 - 11:28
    ein Rollback zur der alten Sicherheitsproblem
    und Microsoft hat das schnell erkannt
  • 11:28 - 11:32
    und hat gesagt, ok, Update kriegen wir
    nicht so hin, aber wir präsentieren
  • 11:32 - 11:34
    einen Work-around, der
    das System sicherer macht.
  • 11:34 - 11:36
    Was passierte dann?
  • 11:36 - 11:39
    Naja, es wurde runtergeladen.
    Das Problem war, dann ging erstmal
  • 11:39 - 11:42
    so gut wie nichts mehr.
    Also, nach dem Herunterladen
  • 11:42 - 11:45
    konnte man keine weiteren Updates
    irgendwie vernünftig machen,
  • 11:45 - 11:52
    das war am, nicht am 6., sondern am 7…
    Am 13. wurd's aber dann so, dass
  • 11:52 - 11:56
    ich es immer nimmer weniger lustig fand,
    weil, das Problem ist,
  • 11:56 - 12:01
    Microsoft war dann auch schon dabei,
    wenn sie sowieso problematische
  • 12:01 - 12:05
    Altkryptografie rausschmeißen wollen,
    dass sie auch SHA-1 rausschmeißen wollen.
  • 12:05 - 12:08
    Nach nur 20 Jahren ne gute Entscheidung.
  • 12:08 - 12:12
    Selbst bei diesem Versuch sind sie dann
    hergegangen und haben einfach dann
  • 12:12 - 12:16
    auch die Dualboot-Einstellung
    für Linux zerschossen,
  • 12:16 - 12:22
    mit dem Ergebnis, das also Systeme, die,
    ja, irgendwie ordentliche Linuxsysteme haben
  • 12:22 - 12:27
    dann von der Parallelinstallation von Windows
    zerschossen werden.
  • 12:27 - 12:30
    Also, die Sache bootet nicht,
    einfach nicht mehr,
  • 12:30 - 12:32
    und da möchte ich nochmal drauf hinweisen,
  • 12:32 - 12:34
    wenn wir dran denken, dass
    so gut wie alle unsere Linuxsysteme
  • 12:34 - 12:40
    umgeschmiedete Windows-Rechner sind,
    und wir durchaus diese Linuxsysteme
  • 12:40 - 12:43
    im Bereich von Steuerung verwenden,
    ist es keine schöne Perspektive,
  • 12:43 - 12:46
    dass wenn irgendwie ein Windows-Update-Mensch,
    irgendein Admin, sagt,
  • 12:46 - 12:50
    ich tue nur mal das System sicherer machen,
    und dann ist irgendwie
  • 12:50 - 12:56
    die parallele Linux-Installation beschädigt,
    ist mehr als ärgerlich, und zeigt auch
  • 12:56 - 12:59
    dass da Microsoft im Moment
    die Sache schlicht und einfach
  • 12:59 - 13:02
    gar nicht im Griff hat.
    Harmlosere Sache war auch,
  • 13:02 - 13:05
    dass die Leute nicht in der Lage sind,
    irgendwie eine Änderung im Update zu machen,
  • 13:05 - 13:09
    ohne Privacy-Einstellungen zu ruinieren.
  • 13:09 - 13:13
    Und das ist 'n bisschen 'n
    schauerlicher Moment.
  • 13:13 - 13:16
    Wir Hacker lieben es ja wenn man
    irgendwelche Verschwörungstheorien
  • 13:16 - 13:20
    draus triggern können.
    Das haut mit den meisten Sicherheitsproblemen,
  • 13:20 - 13:23
    die ich jetzt hier anschmeiß,
    einfach nicht mehr hin.
  • 13:23 - 13:26
    Das klingt zwar irgendwie beruhigend,
    ist aber nicht beruhigend,
  • 13:26 - 13:31
    wenn man irgendwie nachvollziehen kann,
    dass im Moment einfach Fehler gemacht werden,
  • 13:31 - 13:34
    die nicht politisch hinterfragt werden müssen,
    sondern Fehler gemacht werden,
  • 13:34 - 13:38
    die einfach schlicht und einfach
    handwerkliche Katastrophen darstellen.
  • 13:38 - 13:46
    Und eine besonders skurile war dann
    kurz bevor ich den Camp-Vortrag gemacht hab,
  • 13:46 - 13:51
    musste ich dann einbauen:
    auf der Blackhat-Konferenz wurde präsentiert,
  • 13:51 - 13:58
    dass es möglich ist, dieses Updatesystem
    von Windows zu verseuchen und ich dachte,
  • 13:58 - 14:01
    klingt schonmal schlecht,
    aber schauen wir mal, wie's weiter läuft.
  • 14:01 - 14:05
    Und dann kam eine meiner
    absoluten Lieblingsfolien.
  • 14:05 - 14:10
    Weiß jemand, wer… was das ist?
  • 14:10 - 14:13
    Eigentlich sollten wir uns
    den Namen merken können,
  • 14:13 - 14:15
    der ist ja relativ eindeutig.
  • 14:15 - 14:17
    Lachen
  • 14:17 - 14:23
    So, von euch weiß es niemand.
    Kleiner Tipp, also, Sie müssen möglicherweise
  • 14:23 - 14:26
    oder wir müssen möglicherweise
    den Rechner neustarten,
  • 14:26 - 14:32
    damit das da ist, und Sie sollten das auch
    nicht ignorieren, weil Microsoft sagt ja Ihnen:
  • 14:32 - 14:37
    Update Typ is important und nochmal,
    wir sind jetzt etwas verwirrt von der Sache.
  • 14:37 - 14:40
    Insofern will ich nicht so unfair sein,
    nicht den zweiten Teil dieser
  • 14:40 - 14:45
    Microsoft-Meldung zu präsentieren,
    der natürlich ungeheuer hilfreich ist.
  • 14:45 - 14:49
    Lachen
  • 14:49 - 14:52
    Und… das ist wieder 'ne Phase,
    wo ich für dumme Witze doch
  • 14:52 - 14:57
    durchaus zugänglich bin. Also… Lachen
    Wenn wir mehr Informationen lesen,
  • 14:57 - 15:00
    können wir uns immernoch
    an die US-Regierung wenden.
  • 15:00 - 15:04
    Wenn wir der US-Regierung misstrauen,
    können wir natürlich auch das edu,
  • 15:04 - 15:08
    also das Wissenschaftsnetz, machen,
    aber wenn's kritisch wird, und wir sagen,
  • 15:08 - 15:10
    das kommt wir alles komisch vor,
    wen ruft man dann,
  • 15:10 - 15:16
    wenn man Help und Support haben will?
    Das US-Militär.
  • 15:16 - 15:19
    Also, ich hab jetzt mal angezeigt,
    die wenigen Buchstaben,
  • 15:19 - 15:22
    die an der richtigen Stelle waren,
    haben es irgendwie noch hingekriegt,
  • 15:22 - 15:26
    mir mindestens 2 1/2 dumme Witze
    möglich zu machen.
  • 15:26 - 15:27
    Lachen
  • 15:27 - 15:31
    Ich werde noch eine Folie
    schlechte Witze darüber machen,
  • 15:31 - 15:33
    aber dann nachmal erklären,
    warum das eigentlich
  • 15:33 - 15:35
    alles andere als lustig ist.
  • 15:35 - 15:39
    Zunächst mal der übliche Witz,
    das Problem ist,
  • 15:39 - 15:41
    wenn ich diese Folien mache,
    kriege ich schlicht und einfach ein Warning
  • 15:41 - 15:44
    in meinem Latex-Programm.
    Lachen
  • 15:44 - 15:49
    So. Jetzt genug Hacker-Humor.
    Was bedeutet das?
  • 15:49 - 15:56
    Wenn Microsoft so ein Update
    mit einem völlig kaputten Namen raussendet,
  • 15:56 - 15:59
    bedeutet das, dass kein menschliches Wesen
    reingeguckt hat, weil jedes
  • 15:59 - 16:03
    menschliche Wesen würde sagen,
    hm, das ist aber ein sehr komischer Name,
  • 16:03 - 16:05
    seid ihr euch ganz sicher?
  • 16:05 - 16:10
    Es hat kein elektronisches Wesen reingeguckt,
    weil auch dieses elektronische Wesen
  • 16:10 - 16:12
    hätte eine Warnung gekriegt.
  • 16:12 - 16:16
    Es war auch kein elektronisches Wesen da,
    der gesagt hat, da sind ULRs drin,
  • 16:16 - 16:18
    können wir einfach mal einen einfach Test
    machen,
  • 16:18 - 16:19
    ob diese URLs richtig geschrieben sind?
  • 16:19 - 16:24
    Mit anderen Worten, vergessen wir mal
    wirklich die ganzen lustigen Witze.
  • 16:24 - 16:30
    Wir haben jetzt die Situation,
    dass da von Microsoft bisher
  • 16:30 - 16:34
    keine Erklärung kam.
    Äh, es kam irgendwie keine Erklärung.
  • 16:34 - 16:38
    Warum kam eigentlich da keine Erklärung?
    Heise hat angekündigt,
  • 16:38 - 16:39
    dass sie nachfragen,
    ist aber auch nichts geworden.
  • 16:39 - 16:49
    Lautes Lachen Ich hab inzwischen…
    Applaus
  • 16:52 - 16:58
    Ich hab inzwischen den Verdacht, also,
    dass wie gesagt ein Teil der Antworten
  • 16:58 - 17:01
    die Bevölkerung verunsichern würden,
    insofern hab ich gedacht, naja,
  • 17:01 - 17:04
    jetzt bin ich aber durch,
    jetzt kann ich meine Folien machen,
  • 17:04 - 17:09
    ohne dass ich irgendwie wenige Tage
    im Dezember nochmal eine weitere Sache krieg.
  • 17:09 - 17:13
    Also, was sollte jetzt noch passieren,
    dass es irgendwie nötig ist, nach diesem
  • 17:13 - 17:18
    lustigen Ding mit diesen randomisierten Sachen
    nochmal eine weitere Folie einzupflegen,
  • 17:18 - 17:23
    und wir haben schon den Verdacht,
    das einzige… es klingt zwar ein bissel arrogant,
  • 17:23 - 17:27
    aber es ist wirklich so,
    das wir Kryptographen so 'nen Ethos haben,
  • 17:27 - 17:29
    zu sagen, wir helfen Leuten.
  • 17:29 - 17:34
    Und wir sagen, ok. Jetzt könnt ihr überlegen,
    was brauchen wir, damit wir euch helfen können,
  • 17:34 - 17:38
    braucht ihr irgendein Geheimnis,
    dass ihr euch von 'nem Angreifer unterscheidet?
  • 17:38 - 17:43
    Das kriegen wir nicht weg.
    Wir optimieren das, das es wenige Bits sind,
  • 17:43 - 17:45
    aber bitte passt auf die auf,
    veröffentlicht die nicht.
  • 17:45 - 17:50
    Alles alles andere kümmern wir uns.
    Und wenn Microsoft jetzt hergeht
  • 17:50 - 17:53
    und von ihrem X-Box-Live-System
    - ich weiß nicht
  • 17:53 - 17:55
    wie viel Millionen Rechner daran hängen -
  • 17:55 - 17:59
    einen Signierschlüssel irgendwie,
    wie heißt's so schön,
  • 17:59 - 18:03
    versehentlich einen privaten Schlüssel weitergeben,
    es war einer der wenigen Momente,
  • 18:03 - 18:06
    wo ich irgendwie beruhigt war,
    weil es ist eine gute Nachricht,
  • 18:06 - 18:10
    dass sowas bei Microsoft
    nur versehentlich passiert.
  • 18:10 - 18:15
    Lachen und Applaus
  • 18:17 - 18:22
    Also insofern würd ich mich jetzt heute
    mal aus dem Fenster legen, dass ich,
  • 18:22 - 18:24
    wenn ich nächstes Jahr wieder
    einen Vortrag machen muss,
  • 18:24 - 18:28
    wahrscheinlich Schwierigkeiten habe
    das noch zu toppen,
  • 18:28 - 18:33
    weil, was soll man noch machen
    als einen privaten Schlüssel zu leaken
  • 18:33 - 18:38
    der irgendwie ein System
    aus X-Boxen aus Rechnern,
  • 18:38 - 18:41
    und ich will ja nicht irgendwie lästern,
    sind das nicht die Dingern, die irgendwie
  • 18:41 - 18:45
    Infrarot, also, die ganze Wohnung checken?
  • 18:45 - 18:47
    Also die wissen nicht nur,
    was wir gucken, sondern was wir
  • 18:47 - 18:49
    möglicherweise unter 'ner Decke machen, oder…?
    Lachen
  • 18:49 - 18:54
    Ok, das sind die. Ok.
    Also das bedeutet, da sollten Leute
  • 18:54 - 18:56
    sich auch mal überlegen,
    ob der updated.
  • 18:56 - 18:59
    Anderseits ist wahrscheinlich
    auch nur Zugriff mit einer
  • 18:59 - 19:04
    ordentlichen signierten Zertifikat
    von X-Box Live möglich.
  • 19:04 - 19:08
    Gut! Kommen wir
    zu der zweiten traurigen Sache.
  • 19:08 - 19:14
    Also ich möchte nochmal betonen,
    diese lustigen Witze über die Microsoftupdateprobleme
  • 19:14 - 19:17
    sind alles andere als lustig,
    weil das bedeutet, dass es eine komplette
  • 19:17 - 19:21
    Scheitern jeglicher Art
    von Qualitätskontrolle ist.
  • 19:21 - 19:25
    Ich hab mich mit genug depressiven
    Informatikprofessoren zusammengesetzt
  • 19:25 - 19:31
    und hab versucht, da 'ne Erklärung zu finden,
    wie man irgendwie Tests programmieren könnte,
  • 19:31 - 19:33
    damit das durchrutscht,
    und es ist uns nicht gelungen.
  • 19:33 - 19:37
    Also noch einmal,
    wenn ein Mensch dasitzt, der irgendwie sieht,
  • 19:37 - 19:41
    da kommt ein Update mit dem Namen,
    tschuldigung, der merkt das.
  • 19:41 - 19:46
    Jedes Script, was man sich vorstellen kann,
    was irgendwie Sachen testet und so weiter,
  • 19:46 - 19:47
    wird das merken.
  • 19:47 - 19:51
    Das bedeutet, diese ganzen lustigen Witze
    wo wir immer gelacht haben,
  • 19:51 - 19:55
    sind alles andere als witzig,
    wenn wir Systeme haben, die wichtig sind.
  • 19:55 - 19:57
    Und ich muss nochmal sagen,
    selbst wenn man kein Windows außer
  • 19:57 - 20:02
    X-Box verwendet, haben wir das Problem,
    dass in den Feuerwach-Zentralen
  • 20:02 - 20:04
    halt noch Windows-Rechner sitzen.
  • 20:04 - 20:10
    In Berlin wahrscheinlich noch Windows XP-Rechner,
    aber das ist ein Berlin-internes Problem,
  • 20:10 - 20:14
    das ich jetzt in Hamburg nicht mehr
    auf die Tagesordnung bringen kann.
  • 20:14 - 20:20
    Kommen wir zu der zweiten Problematik.
    Also, Microsoft kann es nicht,
  • 20:20 - 20:24
    hat das Updatesystem nicht im Griff,
    hat dieses neue Geschäftsmodell nicht im Griff.
  • 20:24 - 20:28
    Kann man dann, das ist
    unser Streben als Hacker,
  • 20:28 - 20:30
    kann man die Situation
    selbst irgendwie retten?
  • 20:30 - 20:34
    Und das ist natürlich der zweite
    kritische Punkt.
  • 20:34 - 20:41
    Microsoft tut seit Windows 8
    Microsoft Trusted-Computing-Module…
  • 20:41 - 20:44
    verlangen.
    Einen Ausschalter, dass man irgendwie
  • 20:44 - 20:48
    sagen kann, wir machen anstatt der
    Microsoft-Sicherheitsarchitektur
  • 20:48 - 20:53
    eine eigene Architektur, war
    bei Windows 8 vorgesehen,
  • 20:53 - 20:56
    also Möglichkeit Systeme ohne
    die Sache zu booten.
  • 20:56 - 21:00
    Das ist aus den Windows-10-Requirements
    rausgeflogen.
  • 21:00 - 21:07
    Unter Windows 10 lassen sich immer
    weniger Systeme abschalten.
  • 21:07 - 21:10
    Schon unter Windows 8 haben sie
    das probiert, aber wir haben halt
  • 21:10 - 21:15
    die Situation, und da muss ich zum
    ersten Mal wirklich Heise ein bissl kritisieren,
  • 21:15 - 21:19
    Heise hat geäußert, dass wir uns
    keine Sorgen machen sollen,
  • 21:19 - 21:23
    denn für alle Linuxdistribitionen, gängige,
    gibts doch unterschriebene Bootloader,
  • 21:23 - 21:26
    die das System zum Starten bringen.
  • 21:26 - 21:29
    Das ist richtig, aber es gibt natürlich
    das erste Argument:
  • 21:29 - 21:35
    Microsoft unterschreibt einen Windows-Bootloader
    und dann booten die Linux-Systeme.
  • 21:35 - 21:38
    Kann Microsoft den Schlüssel zurückziehen?
    Ja.
  • 21:38 - 21:43
    Hat Microsoft schon Sachen deaktiviert?
    Äh, ja.
  • 21:43 - 21:49
    Hat Microsoft schon Sachen ohne
    ordentliche Begründung deaktiviert? Ja.
  • 21:49 - 21:54
    Ist schonmal ein schlechter Teil.
    Der zweite schlechte Teil ist natürlich,
  • 21:54 - 21:58
    dass es schön und gut ist, dass Microsoft,
    und Microsoft ist eine nette Firma,
  • 21:58 - 22:04
    ist eine der größten Beiträger des Linux-Kernels,
    hat auch Interesse,
  • 22:04 - 22:09
    dass das ökonomisch voran geht,
    unterschreibt einzelne Distributionen,
  • 22:09 - 22:12
    unterschreibt aber nur das,
    was irgendwie vorgelegt ist.
  • 22:12 - 22:16
    Und Entschuldigung, hier geht es nicht um
    ältere und exotische Software,
  • 22:16 - 22:20
    sondern um das gesamte Entwicklungskonzept
    von freier Software.
  • 22:20 - 22:24
    Freie Software bedeutet, dass wir
    nicht jeden Schritt vorantreiben müssen.
  • 22:24 - 22:30
    Das wir uns richtig verstehen, es wird erfolgreiche
    Open-Source-Softwareprojekte geben,
  • 22:30 - 22:35
    aber der eigentliche Entwicklungssache,
    das nun jeder dazu beitragen kann,
  • 22:35 - 22:40
    ist wirklich dann komplett konterkariert,
    wenn man wirklich jede Änderung
  • 22:40 - 22:42
    praktisch von Microsoft
    nochmal genehmigen muss.
  • 22:42 - 22:45
    Und noch einmal, diese Kombination:
    Sie haben's nicht drauf,
  • 22:45 - 22:50
    sie lassen's uns nicht reparieren,
    sie zerschießen unsere Booteinstellung,
  • 22:50 - 22:53
    ist einfach eine Sache, die ich,
    obwohl ich in den letzten Jahren
  • 22:53 - 22:56
    mit Microsoft doch irgendwie
    etwas Frieden geschlossen habe,
  • 22:56 - 23:00
    einfach nicht, in keiner Weise,
    bereit bin zu akzeptieren,
  • 23:00 - 23:04
    und habe mit einem Grinsen festgestellt,
    dass sie sich jetzt offensichtlich mit ihrer Sache
  • 23:04 - 23:08
    da auch mit den baden-württhembergischen
    Verbraucherschützern angelegt haben,
  • 23:08 - 23:12
    was glaub ich auch ein
    relevanter Gegner sein könnte.
  • 23:12 - 23:18
    Hier nochmal 'ne kleine Zeitreise:
    2003 dieser Microsoft-Ansatz,
  • 23:18 - 23:24
    der führt zu einer Markt-Domination,
    zu einem Lock-out, dass man
  • 23:24 - 23:28
    aus einem eigenen System ausgesperrt ist
    faktisch, und wir besitzen
  • 23:28 - 23:31
    unseren Computer nicht mehr richtig,
    und das ist eine Sache von Whit Diffie,
  • 23:31 - 23:36
    ein weiterer Erfinder der Public-Key-Kryptographie.
    Und er sagt's halt ganz kurz:
  • 23:36 - 23:40
    "Es ist einfach notwendig, dass wir von
    unseren persönlichen Geräten
  • 23:40 - 23:43
    die Schlüssel selber unter Kontrolle haben."
  • 23:43 - 23:47
    Um mal was positives zu sagen,
    US-Firmen und auch Apple muss man da loben,
  • 23:47 - 23:51
    haben durchaus teilweise
    diese Probleme adressiert,
  • 23:51 - 23:56
    das zum Beispiel End-zu-End-Verschlüsselung,
    da für viele Systeme
  • 23:56 - 23:58
    die richtige Entscheidung ist.
    Und hier haben wir halt
  • 23:58 - 24:01
    eine gegenläufige Entwicklung.
  • 24:01 - 24:05
    Um noch einmal zu sagen,
    das ist keine abstrakte Sache.
  • 24:05 - 24:09
    Ich hab jetzt nur mal eine Sache rausgesucht:
    Microsoft hat mehrfach schon,
  • 24:09 - 24:13
    hier zum ersten mal in 2013,
    ist auch schon ein Weilchen her,
  • 24:13 - 24:16
    ist hergegangen und hat
    bootende Systeme deaktiviert,
  • 24:16 - 24:18
    ohne günstige Begründung.
  • 24:18 - 24:22
    Ist vielleicht ganz gut, wenn sie
    keine Begründungen angeben,
  • 24:22 - 24:24
    weil sie, als sie das letzte Mal versucht haben,
    'ne Begründung anzugeben,
  • 24:24 - 24:27
    sind die Haare immer grauer geworden,
    also, nach dem Motto:
  • 24:27 - 24:29
    Ey, wir wissen nicht genau,
    was wir unterschrieben haben
  • 24:29 - 24:31
    und ob es raus ist
    und hast-du-nicht-gesehen.
  • 24:31 - 24:38
    Also, noch einmal, das Problem ist Windows
    - äh Microsoft ändert seine ganze Strategie,
  • 24:38 - 24:41
    es ist Windows als Service,
    es sagt, wir verdienen nur noch Geld,
  • 24:41 - 24:46
    indem wir auf eure Daten aufpassen.
    Und das ist halt natürlich halt das Problem,
  • 24:46 - 24:50
    wenn handwerkliche Fehler in diesem
    katastrophalen Mensch(?) gemacht werden,
  • 24:50 - 24:54
    dass Microsoft vielleicht irgendwie
    dann zurückommen kann mit den Ideen,
  • 24:54 - 24:56
    wenn das einigermaßen steht.
  • 24:56 - 25:00
    Auch 'ne historische Folie.
    Was haben wir drin?
  • 25:00 - 25:02
    Wir haben in diesem TPM-Chip
    einen geheimen Schlüssel, den…
  • 25:02 - 25:04
    auf den man nicht zugreifen kann.
  • 25:04 - 25:07
    Standardfrage: Wer kann
    auf den geheimen Schlüssel zugreifen?
  • 25:07 - 25:09
    Hoffentlich niemand.
  • 25:09 - 25:15
    Andererseits werden die Schlüssel außerhalb
    erzeugt und dann werden sie eingefügt
  • 25:15 - 25:20
    in den Produktionsprozess,
    das bedeutet, ich mach eine Kopie
  • 25:20 - 25:23
    einer Schlüsseldatei und habe damit
    die Generalschlüssel auf alle Systeme
  • 25:23 - 25:25
    in einem Land.
  • 25:25 - 25:28
    Und das ist natürlich eine Sache,
    die für die NSA interessant ist.
  • 25:28 - 25:32
    Wir wissen, dass es Druck auf Hardware-
    hersteller gab, Backdoors einzufügen.
  • 25:32 - 25:36
    Ist ne historische Folie, die hätte
    ich vielleicht sogar streichen können,
  • 25:36 - 25:42
    vor allem die Realität hat das
    in den letzten Tagen wirklich derart überrollt,
  • 25:42 - 25:46
    dass ich diese Folie eigentlich hätte wirklich
    auch schon fast einstampfen sollen,
  • 25:46 - 25:51
    aber trotzdem, noch einmal der Hinweis:
    Das eine Hauptproblem ist:
  • 25:51 - 25:54
    Die Hersteller der Sachen
    sitzen nicht unbedingt in Amerika,
  • 25:54 - 25:56
    sondern meistens in China.
  • 25:56 - 26:00
    Und wenn ich kein verschärftes
    Vertrauen mehr hab
  • 26:00 - 26:04
    auf das ordentliche Vorgehen
    in 'ner Demokratie wie Amerika,
  • 26:04 - 26:09
    ist meine Sorge über Backdoors
    in autoritär geführten Ländern natürlich
  • 26:09 - 26:12
    nochmal deutlich größer.
  • 26:12 - 26:17
    Und aus dem Grund hier auch
    nochmal der Hinweis:
  • 26:17 - 26:20
    Es kann nicht angehen, dass wir
    'ne Infrastruktur haben,
  • 26:20 - 26:23
    wo jemand, der einfach 'ne Datei
    kopieren kann, nachher
  • 26:23 - 26:26
    Generalschlüssel für alles
    zur Verfügung hat.
  • 26:26 - 26:29
    Ja, letzte Tage,
    muss ich auch nicht rumtanzen.
  • 26:29 - 26:34
    Die ganzen Sachen was wir gesagt haben,
    UEFI-Backdoor, also unterhalb des Radars,
  • 26:34 - 26:39
    also wirklich unter den Virenscannern
    und anderer Sicherheitsfolklore,
  • 26:39 - 26:42
    auf der untersten Ebene.
    Ich hab' mit Leuten geredet,
  • 26:42 - 26:45
    Was kann man machen,
    wenn man sich in UEFI was eingefangen hat?
  • 26:45 - 26:48
    Antwort: Hardware einschmelzen,
    neue kaufen.
  • 26:48 - 26:54
    Das war von jemand, der eine
    sehr große Sicherheitsabteilung
  • 26:54 - 26:56
    einer sehr großen deutschen
    Firma geleitet hat,
  • 26:56 - 27:02
    also insofern finde ich das immer
    etwas besorgniserregend,
  • 27:02 - 27:04
    wenn Leute, die in der Industrie
    in hohen Positionen sind,
  • 27:04 - 27:08
    langsam ähnlichen Zynismus
    entwicklen wie hier in der Hackergemeinde
  • 27:08 - 27:12
    seit Jahren vor sich hingetragen wird.
    Wir hatten die Lenovo-Backdoor,
  • 27:12 - 27:15
    machen wir uns keine Sorgen,
    der Hauptaktionär von Lenovo
  • 27:15 - 27:19
    ist die Universität of Peking,
    und ich bin mir sicher,
  • 27:19 - 27:23
    dass die mit der Regierung
    überhaupt keine Kontakte hat.
  • 27:23 - 27:27
    Lachen und Applaus
  • 27:29 - 27:33
    Wir hatten 'ne Bell, äh, Dell-Backdoor,
    die auch irgendwie diese Microsoft-Strategie
  • 27:33 - 27:36
    über "Wir veröffentlichen mal
    unsere privaten Schlüssel,
  • 27:36 - 27:39
    vielleicht kann ja auch jemand
    anders was damit anfangen."
  • 27:39 - 27:42
    Ist scary, und das einzige,
  • 27:42 - 27:45
    was mir als Kryptograph
    gute Laune gemacht hat,
  • 27:45 - 27:47
    war diese Juniper-Backdoor.
    Wenn wir uns erinnern, hatte ich ja
  • 27:47 - 27:53
    letztes Jahr mal elliptische-Kurven-
    Randomgenerator vorgestellt und gesagt,
  • 27:53 - 27:57
    da ist eine NSA-Backdoor da.
    Wir Kryptographen haben seit Jahren
  • 27:57 - 28:00
    paar Stunden nach der Veröffentlichung
    gewarnt, haben gesagt, Leute,
  • 28:00 - 28:04
    das ist ein System, das ist hundertmal langsamer
    und hier ist 'ne offenen Tür,
  • 28:04 - 28:06
    wo man was reinmachen…
    macht das nicht.
  • 28:06 - 28:09
    Trotzdem haben es halt Firmen gemacht,
    unter anderem Juniper,
  • 28:09 - 28:13
    und was jetzt wirklich schön war,
    so 'ne Backdoor in elliptischen Kurven
  • 28:13 - 28:17
    sind nur ein paar Bytes.
    Irgendjemand ist hergegangen und
  • 28:17 - 28:21
    hat diese Bytes, die für 'ne NSA-Backdoor
    da waren, weggeworfen, und hat
  • 28:21 - 28:26
    seine eigene Backdoor eingebaut.
    Und das ist irgendwie großartig.
  • 28:26 - 28:31
    Also man hat irgendwie das Tür
    zu Fort Knox und geht her mit dem Trennschleifer,
  • 28:31 - 28:34
    zieht die raus und macht
    'ne neue Tresortür da vorne dran.
  • 28:34 - 28:38
    Lachen
    Eh, ist wirklich scary, und ich möcht
  • 28:38 - 28:42
    nur mal betonen:
    Diese Problematik ist natürlich ganz da,
  • 28:42 - 28:45
    wenn wir unsere ganze EDV an Microsoft
    delegieren und sagen:
  • 28:45 - 28:50
    Die updaten, die wissen, was läuft,
    die machen das, was nötig ist.
  • 28:50 - 28:54
    Bedeutet das, dass wir, wenn wir da
    Druck auf Microsoft haben,
  • 28:54 - 28:58
    Backdoors oder sonstige Sachen einzubauen,
    von jetzt auf nachher völlig hilflos sind.
  • 28:58 - 29:04
    Und das ist natürlich eine Sache,
    die nur wenig erfreulich ist.
  • 29:04 - 29:09
    Ich komm' zur letzten Folie,
    die auch nur zum Teil cut-und-pasted ist.
  • 29:09 - 29:14
    Es gab das Eckpunktepapier von Trusted Computing
    der Bundesregierung, die ganz klar gesagt hat,
  • 29:14 - 29:17
    wenn irgendjemand ein sicheres
    Environment bauen will,
  • 29:17 - 29:22
    ein geschlossenes Ökosystem,
    in Ordnung, darf man,
  • 29:22 - 29:25
    aber die Leute müssen frei entscheiden können,
    ob sie da rein wollen.
  • 29:25 - 29:30
    Und sie müssen die Möglichkeit haben,
    da auch wieder einigermaßen gesund rauszukommen.
  • 29:30 - 29:35
    Das war schon sehr lange
    in dem Forderungskatalog.
  • 29:35 - 29:37
    Wir haben das Problem:
    Wenn wir jetzt Sachen an den Staat bringen,
  • 29:37 - 29:40
    dass wir jetzt zeitgemäße Kryptographie
    verwenden sollen.
  • 29:40 - 29:43
    Microsoft hat SHA-2 an ein paar
    Stellen rausgeworfen.
  • 29:43 - 29:48
    In der Trusted-Computing-Spezifikation
    ist immer noch Hooks für SHA-1 da.
  • 29:48 - 29:51
    Wir brauchen datenfreundliche Kryptographie.
  • 29:51 - 29:58
    Da hatten wir direct anonymous attestation
    und perfect forward secrecy-Sachen
  • 29:58 - 30:03
    in alten Normdokumenten schon drin,
    die müssten wir halt wieder mal
  • 30:03 - 30:05
    ein bisschen pflegen und nach vorne stellen.
  • 30:05 - 30:09
    Wir brauchen eine internationale Kontrolle
    und Zertifizierung des TPM-Herstellungskonzepts.
  • 30:09 - 30:12
    Noch einmal, ich bin eine Firma,
    ich stelle TPM her,
  • 30:12 - 30:16
    ich habe eine Datei mit allen Schlüsseln,
    ich kopier die und ich hab
  • 30:16 - 30:19
    einen Generalschlüssel für alles.
    Dat geht net.
  • 30:19 - 30:21
    Kleine Fußnote:
    Wenn ich eine Firma hatten würd,
  • 30:21 - 30:25
    würd ich das auch gar nicht wollen,
    weil ein derartiges Maß an Macht,
  • 30:25 - 30:29
    das tut irgendwie unangenehme
    Mitmenschen glaub ich magisch anziehen.
  • 30:29 - 30:33
    Also insofern ist es auch ein Schutz
    für die Firmen,
  • 30:33 - 30:36
    dass man hier die Sachen
    irgendwie ordentlich offenlegt,
  • 30:36 - 30:41
    und das Zertifizierungs-Codes,
    also dieses Boot-Codes für relevante Software
  • 30:41 - 30:43
    in Windows-10 und 8-Bereich.
  • 30:43 - 30:47
    Wir müssen kartellrechtlich prüfen,
    nochmal, Microsoft ist nicht mehr
  • 30:47 - 30:53
    die über… die dominierende Firma.
    In der Zeit, wo Elmar grade gesagt hat,
  • 30:53 - 30:57
    das wir zum ersten Mal die Windows-Talks
    angekuckt haben,
  • 30:57 - 31:01
    da hat man eine 90-prozentige Durchdringung,
    heute spielt Microsoft in einigen Bereichen
  • 31:01 - 31:03
    nicht mehr diese dominante Rolle.
  • 31:03 - 31:08
    Nichtsdestotrotz ist unsere ganze Hardware,
    die wir als normale Personal Computer haben,
  • 31:08 - 31:12
    naja, Windows-Hardware, im Prinzip,
    die wir dann halt
  • 31:12 - 31:15
    mit vernünftigen Systemen
    hier umgelenkt haben.
  • 31:15 - 31:17
    Naja, außer ihr macht jetzt
    die Apple-Welt, das ist 'ne andere Sache,
  • 31:17 - 31:22
    aber die wirklich große Menge an
    Personal Computern
  • 31:22 - 31:24
    ist immernoch aus dem Bereich.
  • 31:24 - 31:27
    Und ich möchte schließen mit was
    vielleicht ganz Überraschendem:
  • 31:27 - 31:32
    Ich werde mich jetzt mal positiv über
    die Deutsche Telekom, noch interessanter
  • 31:32 - 31:35
    T-Systems und Microsoft äußern.
  • 31:35 - 31:38
    Lachen
  • 31:38 - 31:41
    Es gab 'ne kleine Meldung,
    die vielleicht die meisten von euch auch
  • 31:41 - 31:48
    gar nicht so wahrgenommen haben,
    dass Microsoft und T-System 'ne Konstruktion
  • 31:48 - 31:51
    einer deutschen Cloud gemacht haben.
  • 31:51 - 31:56
    Und ich zuck ja immer zusammen,
    wenn in der Internet-Zeit die Leute
  • 31:56 - 31:59
    nationale Clouds und so weiter
    irgendwie ausrufen.
  • 31:59 - 32:03
    Allerdings ist halt das für Firmen
    natürlich interessant, dass sie sagen,
  • 32:03 - 32:05
    sie haben einen Serverstandort
    in Deutschland.
  • 32:05 - 32:10
    Es ist nicht ausreichend nach den,
    jetzigen Regelungen,
  • 32:10 - 32:14
    weil irgendwie Firmen, die in Amerika sitzen,
    haben dann irgendwie möglicherweise
  • 32:14 - 32:17
    den Zwang, auch die Daten schlicht und einfach
    nach Amerika zu entführen.
  • 32:17 - 32:22
    Diese Konstruktion, dass da 'ne deutsche Firma
    die betreibt, bedeutet auch nicht,
  • 32:22 - 32:25
    dass der Weltfrieden ausbricht,
    aber das bedeutet einfach,
  • 32:25 - 32:28
    dass für Firmen da 'ne rechtliche
    Sicherheit da ist,
  • 32:28 - 32:29
    dass sie nur belangt werden,
  • 32:29 - 32:31
    wenn sie gegen deutsches
    Recht verstoßen, und nicht,
  • 32:31 - 32:33
    weil irgendwie eine amerikanische Firma
  • 32:33 - 32:37
    grad mal schlechte Laune hat
    oder die NSA alles mitlesen will.
  • 32:37 - 32:42
    Insofern möchte ich einfach mal fordern,
    dass diese Rechtssicherheit
  • 32:42 - 32:46
    auch für Privatanwender
    stärker geöffnet wird.
  • 32:46 - 32:52
    Ich glaub es ist nicht zu viel verlangt,
    dass man sagt, dass man wirklich die Regeln,
  • 32:52 - 32:55
    die in der normalen Welt gelten,
    dass man Rechtsschutz und Rechtswege hat,
  • 32:55 - 33:00
    die einigermaßen auch nachvollziebar sind,
    wir die in die digitale Welt retten kann.
  • 33:00 - 33:06
    Und ich glaube auch, dass der… das Urteil
    des Europäischen Gerichtshofs
  • 33:06 - 33:11
    zu sicheren Datenhäfen hier eine Änderung
    voranbringen muss,
  • 33:11 - 33:14
    und in diesem Sinne möcht ich
    nochmal Aufforderung,
  • 33:14 - 33:19
    sorgen wir dafür, dass die erkämpften
    datenrechtlichen Standards,
  • 33:19 - 33:23
    auch diese Migration der
    Windows-Geschäftspolitik überleben.
  • 33:23 - 33:25
    Vielen Dank für eure Aufmerksamkeit.
  • 33:25 - 33:28
    Applaus
  • 33:28 - 33:30
    Engel: Danke Rudi!
  • 33:30 - 33:31
    Applaus
  • 33:33 - 33:37
    Abspann-Musik
  • 33:37 - 33:43
    subtitles created by c3subtitles.de
    Join, and help us!
Title:
ruedi: Microsofts Windows 10 Botnet
Description:

more » « less
Video Language:
German
Duration:
33:43

German subtitles

Revisions Compare revisions