0:00:01.010,0:00:08.365
Vorspann-Musik
0:00:09.305,0:00:11.450
Engel: Ich freue mich besonders
0:00:11.450,0:00:14.060
meinen Freund ruedi hier zu präsentieren,
0:00:14.060,0:00:16.429
den vielleicht der eine oder andere [br]Mensch von euch
0:00:16.429,0:00:18.380
ja schon mal auf so 'ner Bühne gesehen hat.
0:00:18.380,0:00:21.480
Ich hab den ruedi kennengelernt[br]bei einem Vortrag,
0:00:21.480,0:00:23.089
da kam ein Tiername drin vor,
0:00:23.089,0:00:26.109
und vielleicht kennt den noch jemand,[br]diesen Tiernamen, und zwar
0:00:26.109,0:00:28.230
ist der hei… heißen diese Tiere[br]Longhorn.
0:00:28.230,0:00:32.529
Kann sich noch jemand daran erinnern? Ne?
0:00:32.529,0:00:36.510
Da hat der ruedi aufm Camp[br]einen Vortrag drüber gehalten,
0:00:36.510,0:00:39.810
ein Jahr später hat Microsoft[br]das Produkt eingestellt.
0:00:39.810,0:00:43.309
Lachen
0:00:43.309,0:00:48.740
Applaus[br]Danke ruedi!
0:00:48.740,0:00:53.010
Es war leider ein Pyrrhussieg;[br]sie haben dann Vista daraus gemacht.
0:00:53.010,0:00:56.789
Aber… ok. Für die, die's nicht wissen,
0:00:56.789,0:01:02.260
- Einwurf von außen - [br]Engel: …geht? Ja. Ok.
0:01:02.260,0:01:03.819
Rüdiger Weis…
0:01:03.819,0:01:06.830
- ruedi: Habt ihr den Monitor aus[br]oder ich den Monitor… ah, alles in Ordnung, gut.
0:01:06.830,0:01:09.030
Engel: Sollen wir improvisieren? [br]ruedi: Nein.
0:01:09.030,0:01:10.920
Engel: Achso. Das gehört nicht zum Vortrag.
0:01:10.920,0:01:13.610
ruedi: Gehört nicht zum Vortrag.[br]Engel: Gehört nicht zum Vortrag.
0:01:13.610,0:01:16.490
Engel: Rüdiger Weis, Professor für Krypto…
0:01:16.490,0:01:18.700
was soll ich noch über dich sagen…
0:01:18.700,0:01:21.779
begeisterter Vortragender. [br]Ich geh jetzt von der Bühne,
0:01:21.779,0:01:24.660
ok, vielen Dank.[br]ruedi: Ok.
0:01:24.660,0:01:28.380
[br]Applaus
0:01:29.509,0:01:33.240
Herzlichen Dank, und wie ich von meinem Freund[br]Markus Beckedahl gelernt habe,
0:01:33.240,0:01:35.130
auch einen wunderschönen guten Morgen,
0:01:35.130,0:01:39.020
einen Gruß, der hier glaub ich bei allen[br]Sachen passt,
0:01:39.020,0:01:40.560
und Elmar hat ja schon erzählt,
0:01:40.560,0:01:43.770
dass das ne ziemlich lange Geschichte ist,
0:01:43.770,0:01:49.340
und ich musste dann auch wirklich grinsen,[br]dass ich irgendwie in einigen Bereichen
0:01:49.340,0:01:53.869
offensichtlich in einer Zeitschleife[br]steckengeblieben bin.
0:01:53.869,0:01:59.450
Ganz zentral wird der Punkt sein, dass ein[br]Großteil der Kryptokatastrophen die wir haben
0:01:59.450,0:02:05.170
wirklich Kryptozombies sind die seit etwa[br]20 Jahren ihr Unwesen treiben,
0:02:05.170,0:02:09.810
die seit 20 Jahren ganz klar als[br]nicht mehr nutzbar bezeichnet werden,
0:02:09.810,0:02:15.340
und die heute jetzt von Microsoft[br]freundlicherweise teilweise ersetzt werden.
0:02:15.340,0:02:19.910
Wir werden noch dazu kommen, dass[br]das leider auch ein nicht nur freundlich
0:02:19.910,0:02:22.720
gemeintes Lob darstellt.
0:02:22.720,0:02:26.700
Auch der Text zu sagen [br]"Haben wir jetzt ein Windows-10-Botnetz
0:02:26.700,0:02:29.120
oder ist das noch ne Gated Community?
0:02:29.120,0:02:32.650
Will Microsoft schlicht und einfach[br]ihr eigenes Ökosystem bauen?"
0:02:32.650,0:02:35.069
Da ist die Antwort "Ja".
0:02:35.069,0:02:39.780
Andererseits, Entschuldigung, ich guck[br]da immer als Informatiker in die Definition rein,
0:02:39.780,0:02:42.180
Botnetz ist ein System wo [br]fremde Leute ohne Fragen
0:02:42.180,0:02:45.709
Code auf meiner Maschine[br]ausführen können.
0:02:45.709,0:02:51.190
Und das sind genau die Endlizenzer-[br]bedingungen, die Microsoft im Moment reindrückt.
0:02:51.190,0:02:56.900
Und mich haben Leute, die sich damit [br]nich beschäftigen, …gedacht, ich nehm' sie hoch,
0:02:56.900,0:03:01.989
wo ich gesagt hab: Ja, aber man kann die Updates[br]nicht verhindern, aber verzögern.
0:03:01.989,0:03:04.580
Da guckt er mich erstmal komisch an,[br]und dann hab ich gesagt: Ja, aber
0:03:04.580,0:03:09.420
das kostet relativ viel Geld, wenn man irgendwie[br]Zeit haben will, um ungefragte Updates
0:03:09.420,0:03:11.360
irgendwie zu überprüfen.
0:03:11.360,0:03:14.799
Da hat er echt dann angefangen zu lachen[br]und hat gemeint, ich soll auch
0:03:14.799,0:03:19.549
nicht übertreiben und das ist auch irgendwie[br]ein Eindruck den ich teilweise habe,
0:03:19.549,0:03:24.909
wenn man sich die Lizenzen anguckt,[br]insbesondere die Lizenzen bei der Testversion,
0:03:24.909,0:03:29.890
wo Microsoft so außer dem Erstgeborenen[br]eigentlich alle Rechte gefordert hat,
0:03:29.890,0:03:31.720
die man auf Computersystemen vergeben kann.
0:03:31.720,0:03:39.440
Lachen Und, das ist… [br]Applaus
0:03:39.440,0:03:42.540
…schon ein wenig schräg, muss ich sagen.
0:03:42.540,0:03:47.090
Und in meiner hartnäckigen [br]Lieblingspublikation c't,
0:03:47.090,0:03:50.629
da musste ich auch grinsen,
0:03:50.629,0:03:53.629
ist eine Titelstory:[br]Anderthalb Seiten Beschreibung
0:03:53.629,0:03:57.610
wie man das Textadventure des Updates[br]verhindern kann.
0:03:57.610,0:04:03.489
Also es ist kein nötiges Update,[br]es ist ein nötigendes Update,
0:04:03.489,0:04:07.829
so nötigend und so penetrant[br]dass wenn die Verbraucherverbände
0:04:07.829,0:04:10.989
sich darauf stürzen,[br]und ich weiß nicht,
0:04:10.989,0:04:15.769
kam vielleicht mit fortgeschrittenem Alter,[br]dass man irgendwie ein bisschen Verdacht hat,
0:04:15.769,0:04:19.070
wenn irgendjemand sagt,[br]nimm das, kostet nichts,
0:04:19.070,0:04:22.260
kostet wirklich nichts,[br]und du willst es wirklich nehmen,
0:04:22.260,0:04:24.670
ich weiß nicht genau,[br]also meine Lebenserfahrung
0:04:24.670,0:04:27.980
macht mich da immer etwas kritisch,[br]wenn mir so Leute mit derartigen
0:04:27.980,0:04:29.900
Marketingmaßnahmen kommen.
0:04:29.900,0:04:35.780
Aber offensichtlich hat Microsoft beschlossen,[br]dass das eine gute Herangehensweise ist.
0:04:35.780,0:04:39.530
Und, um es mal ganz klar zu sagen,[br]während wir früher diskutiert haben,
0:04:39.530,0:04:43.400
ob einige Windows-Probleme missbraucht[br]werden können,
0:04:43.400,0:04:47.980
haben wir es jetzt irgendwie eigentlich[br]gestempelt, Microsoft entzieht mit Windows 10
0:04:47.980,0:04:51.460
den Nutzern weitgehen die Kontrolle über[br]ihre eigenen Hardware und Software.
0:04:51.460,0:04:58.180
Da ist es in der Tat eine Kombination,[br]dass Microsoft da wirklich auch
0:04:58.180,0:05:01.320
diesen Trusted-Computing-Chip, den[br]man vielleicht auch aus den alten
0:05:01.320,0:05:06.740
Zeiten noch kennt, nutzt, um hier eine[br]zusätzliche Hardware-Verdongelung vorzunehmen,
0:05:06.740,0:05:11.780
mit dem Ergebnis, dass praktisch Microsoft[br]entscheidet ob Systeme sicher sind.
0:05:11.780,0:05:17.010
Nun bin ich in der Wissenschaft zuhause,[br]und da versucht man dann halt auch immer
0:05:17.010,0:05:20.440
die anderen Motive zu verstehen. Und[br]es ist schon durchaus nachvollziehbar
0:05:20.440,0:05:24.220
dass Microsoft sagt: Wir patchen das besser[br]als der Durchschnittsanwender.
0:05:24.220,0:05:29.930
Das ist durchaus ne Sache, die[br]man diskutieren kann, aber
0:05:29.930,0:05:32.750
wie immer in der Welt ist es kritisch,[br]wenn irgendwelche Leute
0:05:32.750,0:05:38.090
zu ihrem Glück gezwungen werden sollen,[br]und sich, das ist was, nicht mehr wehren können.
0:05:38.090,0:05:42.080
Also ich hab das wirklich, den c't-Artikel[br]mir mal irgendwie aus diesem Update-Zyklus
0:05:42.080,0:05:46.940
rauskam, mit einigem Amusement gelesen,[br]und war kurz davor wirklich so eine,
0:05:46.940,0:05:50.270
ein Textadventure dazu zu schreiben,[br]um das mal ein bisschen
0:05:50.270,0:05:53.580
nachvollziehbarer zu machen.[br]Das ist eigentlich keine Art,
0:05:53.580,0:06:00.470
wie man mit Endkunden umgeht,[br]und nochmal, versuchen wir einfach nochmal,
0:06:00.470,0:06:04.650
hier in der Webhistorie zurückzugehen.[br]2002 war die Diskussion
0:06:04.650,0:06:07.940
mit dem Trusted-Computing-Chip,[br]der heute jetzt wirklich
0:06:07.940,0:06:12.310
ein zentraler Punkt in dieser[br]Windows-10-Architektur ist,
0:06:12.310,0:06:16.520
war die Stellungname von Ron Rivest,[br]dem R von RSA,
0:06:16.520,0:06:21.850
von 2002, dass es einfach die richtige[br]Art und Weise, die Sache anzusehen ist,
0:06:21.850,0:06:27.490
dass sie hier praktisch ihren personal computer,[br]ihren persöhnlichen Rechner,
0:06:27.490,0:06:31.560
mit einem System tauscht, das[br]eine Setup-Box ist.
0:06:31.560,0:06:35.320
Da wird irgendwie Code ausgeführt,[br]es ist nicht mehr der persöhnliche Computer,
0:06:35.320,0:06:38.680
sondern ich hab ihn irgendwie[br]von Microsoft scheinbar geleast.
0:06:38.680,0:06:43.570
Wer dieses Windows-als-Service-Konzept[br]ansieht, der wird das auch, sagen wir mal,
0:06:43.570,0:06:47.560
schon in dieser betriebswirtschaftlichen[br]Herangehensweise auch abgebildet sehen.
0:06:47.560,0:06:50.130
Das kann man alles angeben,[br]ist schön und gut,
0:06:50.130,0:06:53.250
aber wenn Leute in irgendwas reinzwingt,[br]ist es kritisch,
0:06:53.250,0:06:55.780
und wir sind ja Hacker[br]und Sicherheitsforscher
0:06:55.780,0:06:59.460
und insofern schauen wir uns mal an,[br]wie sieht das aus?
0:06:59.460,0:07:02.380
Wir übergeben jetzt unsere[br]ganze Sicherheit an Microsoft.
0:07:02.380,0:07:05.910
Und die Frage ist:[br]Können die das?
0:07:05.910,0:07:13.330
Und ich hab jetzt die letzten Kongresse[br]immer irgendwie einen Großteil meiner
0:07:13.330,0:07:19.450
Folien mit Microsofts Sicherheitsproblemen,[br]zum Teil denkenswerterweise zitiert
0:07:19.450,0:07:24.110
aus der Heise-Security-Ticker,[br]damit man was einigermaßen Objektives
0:07:24.110,0:07:28.520
jetzt nochmal voransetzt,[br]und leider haben die wieder
0:07:28.520,0:07:34.460
einen großen Teil meiner Folien aufgefressen,[br]um wirklich aktuelle Probleme zu haben,
0:07:34.460,0:07:37.640
die wirklich aus einer anderen Zeit kommen.
0:07:37.640,0:07:43.210
Diese Krypto-Zombie-Sache kommt daher,[br]dass wirklich veralterte Algorithmen drin sind,
0:07:43.210,0:07:48.220
wie SHA-1, oder, ein ungeahnter Horror,[br]der vielleicht,
0:07:48.220,0:07:50.850
schön ist vielleicht wirklich ein Kongress,
0:07:50.850,0:07:56.970
wo ein beträchtlicher Anteil der Leute[br]in Jahren geboren ist, wo der Krypto-War,
0:07:56.970,0:08:00.270
also die Diskussion ob man Krypto[br]betreiben kann, schon vorüber war,
0:08:00.270,0:08:01.830
oder wir gemeint haben, dass die vorüber,
0:08:01.830,0:08:05.970
und die kommen jetzt immer wieder,[br]und insbesondere sehen wir auch da,
0:08:05.970,0:08:09.790
wenn wir Backdoors oder Schwächung einbauen,[br]dann gefährdet das nicht nur
0:08:09.790,0:08:16.130
das aktuelle System, sondern, bissl[br]hart formuliert, so gut wie alle zukünftigen,
0:08:16.130,0:08:21.290
weil dieses Problem der Backward-Compatibility[br]ist genau das was in diesem Phreak-Attack
0:08:21.290,0:08:26.050
irgendwie durchgeführt wurden,[br]und beim Thema Krypto-Export-Restriction
0:08:26.050,0:08:30.900
sei mir auch noch ein Seitenhieb oder[br]massiver Seitenhieb auf eine andere
0:08:30.900,0:08:34.950
Gated-Community-Firma gestattet,[br]nämlich die Firma Apple, die
0:08:34.950,0:08:40.440
wirklich es als gute Idee angesehen hat,[br]eine App zu sperren,
0:08:40.440,0:08:42.570
die aus dem CCC-Umfeld[br]programmiert wurde,
0:08:42.570,0:08:47.490
die anstößige Inhalte präsentiert.[br]Anstößige Inhalte, habe ich natürlich
0:08:47.490,0:08:52.210
als Hacker immer Interesse dran,[br]und was ich am Anstößigen-Lustigen fand,
0:08:52.210,0:08:57.890
war Krypto-Hacking-Export-Restriction.[br]Ich klick drauf und hab dann wieder so ein
0:08:57.890,0:09:02.670
Alt-Internet-Gefühl, dass ich in einer[br]Zeitschleife da bin, weil das war ein
0:09:02.670,0:09:08.360
Vortrag von 1999, der dann von Apple[br]dazu missbraucht wurde,
0:09:08.360,0:09:11.960
als anstößiger Vortrag[br]für eine Zensur herzuhalten.
0:09:11.960,0:09:14.320
Vielleicht um auch mal ganz klar zu sagen,
0:09:14.320,0:09:17.130
wenn ich mir die Zensurvorfälle [br]von Apple anguck,
0:09:17.130,0:09:19.840
ist Microsoft wirklich ein Mitglied[br]im deutschen Pfadfinderverband.
0:09:19.840,0:09:25.310
Das ist wirklich boshaft[br]an einem Punkt, und nicht nur,
0:09:25.310,0:09:29.180
dass ich hier ne Gelegenheit hab,[br]mal wieder ein Jugendbild von mir aufzulegen,
0:09:29.180,0:09:32.920
sondern, Lachen[br]es ist wirklich auch so,
0:09:32.920,0:09:37.380
ihr seht, in der Zeit hatten wir nichts,[br]keine Computer, und keine Beamer,
0:09:37.380,0:09:41.530
das ganze, was wir machen mussten,[br]ist, harmlose Mathematik auf ein Flipboard
0:09:41.530,0:09:44.900
zu schreiben mit einem schrecklichen Englisch,[br]aber ich kann nur Werbung
0:09:44.900,0:09:48.270
für den Vortrag machen, den bisher,[br]bevor Apple sich darum gekümmert hat,
0:09:48.270,0:09:52.380
von 280 Leuten in den letzten[br]15 Jahren angesehen worden ist.
0:09:52.380,0:09:55.400
Ich kann da nur Werbung machen.[br]Selbst das T-Shirt ist lustig, aber
0:09:55.400,0:09:58.870
ihr müsst dann schon rauskriegen[br]was genau da draufgedruckt ist,
0:09:58.870,0:10:02.070
aber ich fands damals witzig[br]und es hat sich niemand drum gekümmert,
0:10:02.070,0:10:08.000
aber 15 Jahre später macht sich dann[br]die größte amerikanische Firma zum Idioten.
0:10:08.000,0:10:12.880
Neben dem natürlich gewollten Möglichkeit[br]Jugendbilder von mir zu präsentieren,
0:10:12.880,0:10:15.850
ist das wirklich auch ein Punkt[br]den man sich mal klar machen muss:
0:10:15.850,0:10:19.780
Apple zensiert jetzt harmlose[br]Diplommathematiker,
0:10:19.780,0:10:23.180
die wissenschaftliche Vorträge machen,[br]nennen das explizit als anrüchige Sache.
0:10:23.180,0:10:28.720
Das ist einfach n Ding, wo man sich[br]irgendwie an den Kopf greift, weil,
0:10:28.720,0:10:32.840
kleine Randnotiz, Apple war auch nie[br]begeistert über die Export-Restriktion.
0:10:32.840,0:10:38.170
Was wir auch wieder sehen dass Zensorinnen[br]und Zensoren schlicht in einfach
0:10:38.170,0:10:40.080
in ner bösen Zone sind.
0:10:40.080,0:10:43.670
Wenn wir irgendwie anfangen,[br]irgenwas zu zensieren zu lassen,
0:10:43.670,0:10:47.690
ob wir dann irgendwie aus religiösen Gründen[br]oder pseudo-religiösen Gründen
0:10:47.690,0:10:50.290
wie die Kreuzberger Grünen[br]auf einmal anfangen,
0:10:50.290,0:10:55.390
unseren Geschmack allgemeinverantwortlich[br]zu definieren, anderes zu zensieren,
0:10:55.390,0:10:59.170
ist man auf einer Rutsche nach unten,[br]die nicht aufhaltbar sind,
0:10:59.170,0:11:03.000
und diese Leute, die Zensur betreiben,[br]sollen sich nicht wundern,
0:11:03.000,0:11:05.250
dass sie dann nicht nur von den[br]üblichen Verdächtigen, sondern auch
0:11:05.250,0:11:09.120
von der Hackerszene mit entsprechendem[br]Hohn und Spott bearbeitet werden.
0:11:09.120,0:11:11.680
Das sollten wir auch weiterhin tun.
0:11:11.680,0:11:18.290
Applaus
0:11:18.290,0:11:20.650
Aber zurück zur Technik.
0:11:20.650,0:11:23.000
Also die Phreak-Attacke[br]ist schlicht und einfach
0:11:23.000,0:11:27.890
ein Rollback zur der alten Sicherheitsproblem[br]und Microsoft hat das schnell erkannt
0:11:27.890,0:11:31.740
und hat gesagt, ok, Update kriegen wir[br]nicht so hin, aber wir präsentieren
0:11:31.740,0:11:34.270
einen Work-around, der[br]das System sicherer macht.
0:11:34.270,0:11:36.130
Was passierte dann?
0:11:36.130,0:11:38.730
Naja, es wurde runtergeladen.[br]Das Problem war, dann ging erstmal
0:11:38.730,0:11:41.910
so gut wie nichts mehr.[br]Also, nach dem Herunterladen
0:11:41.910,0:11:44.790
konnte man keine weiteren Updates[br]irgendwie vernünftig machen,
0:11:44.790,0:11:51.850
das war am, nicht am 6., sondern am 7…[br]Am 13. wurd's aber dann so, dass
0:11:51.850,0:11:56.300
ich es immer nimmer weniger lustig fand,[br]weil, das Problem ist,
0:11:56.300,0:12:00.990
Microsoft war dann auch schon dabei,[br]wenn sie sowieso problematische
0:12:00.990,0:12:04.980
Altkryptografie rausschmeißen wollen,[br]dass sie auch SHA-1 rausschmeißen wollen.
0:12:04.980,0:12:07.820
Nach nur 20 Jahren ne gute Entscheidung.
0:12:07.820,0:12:12.160
Selbst bei diesem Versuch sind sie dann[br]hergegangen und haben einfach dann
0:12:12.160,0:12:16.110
auch die Dualboot-Einstellung[br]für Linux zerschossen,
0:12:16.110,0:12:22.110
mit dem Ergebnis, das also Systeme, die, [br]ja, irgendwie ordentliche Linuxsysteme haben
0:12:22.110,0:12:27.050
dann von der Parallelinstallation von Windows[br]zerschossen werden.
0:12:27.050,0:12:29.930
Also, die Sache bootet nicht, [br]einfach nicht mehr,
0:12:29.930,0:12:31.560
und da möchte ich nochmal drauf hinweisen,
0:12:31.560,0:12:34.220
wenn wir dran denken, dass[br]so gut wie alle unsere Linuxsysteme
0:12:34.220,0:12:39.680
umgeschmiedete Windows-Rechner sind,[br]und wir durchaus diese Linuxsysteme
0:12:39.680,0:12:43.279
im Bereich von Steuerung verwenden,[br]ist es keine schöne Perspektive,
0:12:43.279,0:12:46.340
dass wenn irgendwie ein Windows-Update-Mensch,[br]irgendein Admin, sagt,
0:12:46.340,0:12:49.930
ich tue nur mal das System sicherer machen,[br]und dann ist irgendwie
0:12:49.930,0:12:55.570
die parallele Linux-Installation beschädigt,[br]ist mehr als ärgerlich, und zeigt auch
0:12:55.570,0:12:58.720
dass da Microsoft im Moment[br]die Sache schlicht und einfach
0:12:58.720,0:13:01.529
gar nicht im Griff hat.[br]Harmlosere Sache war auch,
0:13:01.529,0:13:05.480
dass die Leute nicht in der Lage sind,[br]irgendwie eine Änderung im Update zu machen,
0:13:05.480,0:13:09.210
ohne Privacy-Einstellungen zu ruinieren.
0:13:09.210,0:13:12.550
Und das ist 'n bisschen 'n[br]schauerlicher Moment.
0:13:12.550,0:13:15.770
Wir Hacker lieben es ja wenn man[br]irgendwelche Verschwörungstheorien
0:13:15.770,0:13:20.430
draus triggern können.[br]Das haut mit den meisten Sicherheitsproblemen,
0:13:20.430,0:13:22.940
die ich jetzt hier anschmeiß, [br]einfach nicht mehr hin.
0:13:22.940,0:13:26.300
Das klingt zwar irgendwie beruhigend,[br]ist aber nicht beruhigend,
0:13:26.300,0:13:30.540
wenn man irgendwie nachvollziehen kann,[br]dass im Moment einfach Fehler gemacht werden,
0:13:30.540,0:13:33.790
die nicht politisch hinterfragt werden müssen,[br]sondern Fehler gemacht werden,
0:13:33.790,0:13:37.850
die einfach schlicht und einfach [br]handwerkliche Katastrophen darstellen.
0:13:37.850,0:13:46.300
Und eine besonders skurile war dann[br]kurz bevor ich den Camp-Vortrag gemacht hab,
0:13:46.300,0:13:50.600
musste ich dann einbauen:[br]auf der Blackhat-Konferenz wurde präsentiert,
0:13:50.600,0:13:58.270
dass es möglich ist, dieses Updatesystem[br]von Windows zu verseuchen und ich dachte,
0:13:58.270,0:14:01.490
klingt schonmal schlecht,[br]aber schauen wir mal, wie's weiter läuft.
0:14:01.490,0:14:05.410
Und dann kam eine meiner [br]absoluten Lieblingsfolien.
0:14:05.410,0:14:09.850
Weiß jemand, wer… was das ist?
0:14:09.850,0:14:12.960
Eigentlich sollten wir uns [br]den Namen merken können,
0:14:12.960,0:14:15.210
der ist ja relativ eindeutig.
0:14:15.210,0:14:17.020
Lachen
0:14:17.020,0:14:23.140
So, von euch weiß es niemand.[br]Kleiner Tipp, also, Sie müssen möglicherweise
0:14:23.140,0:14:26.010
oder wir müssen möglicherweise[br]den Rechner neustarten,
0:14:26.010,0:14:31.600
damit das da ist, und Sie sollten das auch[br]nicht ignorieren, weil Microsoft sagt ja Ihnen:
0:14:31.600,0:14:36.800
Update Typ is important und nochmal,[br]wir sind jetzt etwas verwirrt von der Sache.
0:14:36.800,0:14:39.870
Insofern will ich nicht so unfair sein,[br]nicht den zweiten Teil dieser
0:14:39.870,0:14:44.990
Microsoft-Meldung zu präsentieren,[br]der natürlich ungeheuer hilfreich ist.
0:14:44.990,0:14:49.170
Lachen
0:14:49.170,0:14:52.480
Und… das ist wieder 'ne Phase,[br]wo ich für dumme Witze doch
0:14:52.480,0:14:57.210
durchaus zugänglich bin. Also… Lachen[br]Wenn wir mehr Informationen lesen,
0:14:57.210,0:14:59.720
können wir uns immernoch[br]an die US-Regierung wenden.
0:14:59.720,0:15:03.630
Wenn wir der US-Regierung misstrauen,[br]können wir natürlich auch das edu,
0:15:03.630,0:15:07.540
also das Wissenschaftsnetz, machen,[br]aber wenn's kritisch wird, und wir sagen,
0:15:07.540,0:15:10.440
das kommt wir alles komisch vor,[br]wen ruft man dann,
0:15:10.440,0:15:15.630
wenn man Help und Support haben will?[br]Das US-Militär.
0:15:15.630,0:15:19.430
Also, ich hab jetzt mal angezeigt,[br]die wenigen Buchstaben,
0:15:19.430,0:15:22.420
die an der richtigen Stelle waren,[br]haben es irgendwie noch hingekriegt,
0:15:22.420,0:15:25.870
mir mindestens 2 1/2 dumme Witze[br]möglich zu machen.
0:15:25.870,0:15:27.439
Lachen
0:15:27.439,0:15:31.230
Ich werde noch eine Folie[br]schlechte Witze darüber machen,
0:15:31.230,0:15:33.339
aber dann nachmal erklären,[br]warum das eigentlich
0:15:33.339,0:15:35.349
alles andere als lustig ist.
0:15:35.349,0:15:38.660
Zunächst mal der übliche Witz,[br]das Problem ist,
0:15:38.660,0:15:40.970
wenn ich diese Folien mache,[br]kriege ich schlicht und einfach ein Warning
0:15:40.970,0:15:44.320
in meinem Latex-Programm.[br]Lachen
0:15:44.320,0:15:48.550
So. Jetzt genug Hacker-Humor.[br]Was bedeutet das?
0:15:48.550,0:15:56.260
Wenn Microsoft so ein Update[br]mit einem völlig kaputten Namen raussendet,
0:15:56.260,0:15:59.470
bedeutet das, dass kein menschliches Wesen[br]reingeguckt hat, weil jedes
0:15:59.470,0:16:02.870
menschliche Wesen würde sagen,[br]hm, das ist aber ein sehr komischer Name,
0:16:02.870,0:16:04.850
seid ihr euch ganz sicher?
0:16:04.850,0:16:09.730
Es hat kein elektronisches Wesen reingeguckt,[br]weil auch dieses elektronische Wesen
0:16:09.730,0:16:11.850
hätte eine Warnung gekriegt.
0:16:11.850,0:16:15.570
Es war auch kein elektronisches Wesen da,[br]der gesagt hat, da sind ULRs drin,
0:16:15.570,0:16:17.750
können wir einfach mal einen einfach Test[br]machen,
0:16:17.750,0:16:19.339
ob diese URLs richtig geschrieben sind?
0:16:19.339,0:16:24.160
Mit anderen Worten, vergessen wir mal[br]wirklich die ganzen lustigen Witze.
0:16:24.160,0:16:29.520
Wir haben jetzt die Situation,[br]dass da von Microsoft bisher
0:16:29.520,0:16:34.300
keine Erklärung kam.[br]Äh, es kam irgendwie keine Erklärung.
0:16:34.300,0:16:37.860
Warum kam eigentlich da keine Erklärung?[br]Heise hat angekündigt,
0:16:37.860,0:16:39.360
dass sie nachfragen,[br]ist aber auch nichts geworden.
0:16:39.360,0:16:49.370
Lautes Lachen Ich hab inzwischen… [br]Applaus
0:16:52.440,0:16:57.540
Ich hab inzwischen den Verdacht, also,[br]dass wie gesagt ein Teil der Antworten
0:16:57.540,0:17:00.860
die Bevölkerung verunsichern würden,[br]insofern hab ich gedacht, naja,
0:17:00.860,0:17:04.230
jetzt bin ich aber durch,[br]jetzt kann ich meine Folien machen,
0:17:04.230,0:17:08.809
ohne dass ich irgendwie wenige Tage[br]im Dezember nochmal eine weitere Sache krieg.
0:17:08.809,0:17:12.650
Also, was sollte jetzt noch passieren,[br]dass es irgendwie nötig ist, nach diesem
0:17:12.650,0:17:17.790
lustigen Ding mit diesen randomisierten Sachen[br]nochmal eine weitere Folie einzupflegen,
0:17:17.790,0:17:23.429
und wir haben schon den Verdacht,[br]das einzige… es klingt zwar ein bissel arrogant,
0:17:23.429,0:17:26.740
aber es ist wirklich so,[br]das wir Kryptographen so 'nen Ethos haben,
0:17:26.740,0:17:29.250
zu sagen, wir helfen Leuten.
0:17:29.250,0:17:34.250
Und wir sagen, ok. Jetzt könnt ihr überlegen,[br]was brauchen wir, damit wir euch helfen können,
0:17:34.250,0:17:37.900
braucht ihr irgendein Geheimnis,[br]dass ihr euch von 'nem Angreifer unterscheidet?
0:17:37.900,0:17:43.020
Das kriegen wir nicht weg.[br]Wir optimieren das, das es wenige Bits sind,
0:17:43.020,0:17:45.460
aber bitte passt auf die auf,[br]veröffentlicht die nicht.
0:17:45.460,0:17:50.160
Alles alles andere kümmern wir uns.[br]Und wenn Microsoft jetzt hergeht
0:17:50.160,0:17:52.660
und von ihrem X-Box-Live-System [br]- ich weiß nicht
0:17:52.660,0:17:54.550
wie viel Millionen Rechner daran hängen -
0:17:54.550,0:17:58.730
einen Signierschlüssel irgendwie,[br]wie heißt's so schön,
0:17:58.730,0:18:03.400
versehentlich einen privaten Schlüssel weitergeben,[br]es war einer der wenigen Momente,
0:18:03.400,0:18:06.340
wo ich irgendwie beruhigt war,[br]weil es ist eine gute Nachricht,
0:18:06.340,0:18:10.120
dass sowas bei Microsoft[br]nur versehentlich passiert.
0:18:10.120,0:18:14.510
Lachen und Applaus
0:18:17.180,0:18:21.610
Also insofern würd ich mich jetzt heute[br]mal aus dem Fenster legen, dass ich,
0:18:21.610,0:18:24.350
wenn ich nächstes Jahr wieder[br]einen Vortrag machen muss,
0:18:24.350,0:18:27.860
wahrscheinlich Schwierigkeiten habe[br]das noch zu toppen,
0:18:27.860,0:18:32.660
weil, was soll man noch machen[br]als einen privaten Schlüssel zu leaken
0:18:32.660,0:18:37.559
der irgendwie ein System[br]aus X-Boxen aus Rechnern,
0:18:37.559,0:18:41.309
und ich will ja nicht irgendwie lästern,[br]sind das nicht die Dingern, die irgendwie
0:18:41.309,0:18:44.690
Infrarot, also, die ganze Wohnung checken?
0:18:44.690,0:18:46.660
Also die wissen nicht nur,[br]was wir gucken, sondern was wir
0:18:46.660,0:18:49.190
möglicherweise unter 'ner Decke machen, oder…?[br]Lachen
0:18:49.190,0:18:53.960
Ok, das sind die. Ok.[br]Also das bedeutet, da sollten Leute
0:18:53.960,0:18:56.350
sich auch mal überlegen,[br]ob der updated.
0:18:56.350,0:18:59.010
Anderseits ist wahrscheinlich[br]auch nur Zugriff mit einer
0:18:59.010,0:19:03.660
ordentlichen signierten Zertifikat[br]von X-Box Live möglich.
0:19:03.660,0:19:07.550
Gut! Kommen wir[br]zu der zweiten traurigen Sache.
0:19:07.550,0:19:13.679
Also ich möchte nochmal betonen,[br]diese lustigen Witze über die Microsoftupdateprobleme
0:19:13.679,0:19:16.950
sind alles andere als lustig,[br]weil das bedeutet, dass es eine komplette
0:19:16.950,0:19:21.280
Scheitern jeglicher Art[br]von Qualitätskontrolle ist.
0:19:21.280,0:19:25.220
Ich hab mich mit genug depressiven[br]Informatikprofessoren zusammengesetzt
0:19:25.220,0:19:30.670
und hab versucht, da 'ne Erklärung zu finden,[br]wie man irgendwie Tests programmieren könnte,
0:19:30.670,0:19:32.990
damit das durchrutscht,[br]und es ist uns nicht gelungen.
0:19:32.990,0:19:37.460
Also noch einmal,[br]wenn ein Mensch dasitzt, der irgendwie sieht,
0:19:37.460,0:19:41.360
da kommt ein Update mit dem Namen,[br]tschuldigung, der merkt das.
0:19:41.360,0:19:45.620
Jedes Script, was man sich vorstellen kann,[br]was irgendwie Sachen testet und so weiter,
0:19:45.620,0:19:46.750
wird das merken.
0:19:46.750,0:19:50.670
Das bedeutet, diese ganzen lustigen Witze[br]wo wir immer gelacht haben,
0:19:50.670,0:19:55.040
sind alles andere als witzig,[br]wenn wir Systeme haben, die wichtig sind.
0:19:55.040,0:19:57.460
Und ich muss nochmal sagen,[br]selbst wenn man kein Windows außer
0:19:57.460,0:20:02.040
X-Box verwendet, haben wir das Problem,[br]dass in den Feuerwach-Zentralen
0:20:02.040,0:20:04.090
halt noch Windows-Rechner sitzen.
0:20:04.090,0:20:10.380
In Berlin wahrscheinlich noch Windows XP-Rechner,[br]aber das ist ein Berlin-internes Problem,
0:20:10.380,0:20:14.320
das ich jetzt in Hamburg nicht mehr[br]auf die Tagesordnung bringen kann.
0:20:14.320,0:20:20.120
Kommen wir zu der zweiten Problematik.[br]Also, Microsoft kann es nicht,
0:20:20.120,0:20:24.280
hat das Updatesystem nicht im Griff,[br]hat dieses neue Geschäftsmodell nicht im Griff.
0:20:24.280,0:20:27.860
Kann man dann, das ist [br]unser Streben als Hacker,
0:20:27.860,0:20:29.959
kann man die Situation[br]selbst irgendwie retten?
0:20:29.959,0:20:33.500
Und das ist natürlich der zweite[br]kritische Punkt.
0:20:33.500,0:20:41.150
Microsoft tut seit Windows 8[br]Microsoft Trusted-Computing-Module…
0:20:41.150,0:20:44.420
verlangen.[br]Einen Ausschalter, dass man irgendwie
0:20:44.420,0:20:48.250
sagen kann, wir machen anstatt der[br]Microsoft-Sicherheitsarchitektur
0:20:48.250,0:20:52.620
eine eigene Architektur, war[br]bei Windows 8 vorgesehen,
0:20:52.620,0:20:56.330
also Möglichkeit Systeme ohne[br]die Sache zu booten.
0:20:56.330,0:21:00.049
Das ist aus den Windows-10-Requirements[br]rausgeflogen.
0:21:00.049,0:21:06.600
Unter Windows 10 lassen sich immer[br]weniger Systeme abschalten.
0:21:06.600,0:21:10.059
Schon unter Windows 8 haben sie[br]das probiert, aber wir haben halt
0:21:10.059,0:21:14.700
die Situation, und da muss ich zum[br]ersten Mal wirklich Heise ein bissl kritisieren,
0:21:14.700,0:21:18.700
Heise hat geäußert, dass wir uns[br]keine Sorgen machen sollen,
0:21:18.700,0:21:22.870
denn für alle Linuxdistribitionen, gängige,[br]gibts doch unterschriebene Bootloader,
0:21:22.870,0:21:25.730
die das System zum Starten bringen.
0:21:25.730,0:21:28.770
Das ist richtig, aber es gibt natürlich[br]das erste Argument:
0:21:28.770,0:21:34.670
Microsoft unterschreibt einen Windows-Bootloader[br]und dann booten die Linux-Systeme.
0:21:34.670,0:21:38.460
Kann Microsoft den Schlüssel zurückziehen?[br]Ja.
0:21:38.460,0:21:42.730
Hat Microsoft schon Sachen deaktiviert?[br]Äh, ja.
0:21:42.730,0:21:48.520
Hat Microsoft schon Sachen ohne[br]ordentliche Begründung deaktiviert? Ja.
0:21:48.520,0:21:54.410
Ist schonmal ein schlechter Teil.[br]Der zweite schlechte Teil ist natürlich,
0:21:54.410,0:21:58.090
dass es schön und gut ist, dass Microsoft,[br]und Microsoft ist eine nette Firma,
0:21:58.090,0:22:04.179
ist eine der größten Beiträger des Linux-Kernels,[br]hat auch Interesse,
0:22:04.179,0:22:08.840
dass das ökonomisch voran geht,[br]unterschreibt einzelne Distributionen,
0:22:08.840,0:22:11.540
unterschreibt aber nur das,[br]was irgendwie vorgelegt ist.
0:22:11.540,0:22:16.270
Und Entschuldigung, hier geht es nicht um[br]ältere und exotische Software,
0:22:16.270,0:22:20.440
sondern um das gesamte Entwicklungskonzept[br]von freier Software.
0:22:20.440,0:22:23.670
Freie Software bedeutet, dass wir[br]nicht jeden Schritt vorantreiben müssen.
0:22:23.670,0:22:29.559
Das wir uns richtig verstehen, es wird erfolgreiche[br]Open-Source-Softwareprojekte geben,
0:22:29.559,0:22:35.010
aber der eigentliche Entwicklungssache,[br]das nun jeder dazu beitragen kann,
0:22:35.010,0:22:39.720
ist wirklich dann komplett konterkariert,[br]wenn man wirklich jede Änderung
0:22:39.720,0:22:41.809
praktisch von Microsoft[br]nochmal genehmigen muss.
0:22:41.809,0:22:44.950
Und noch einmal, diese Kombination:[br]Sie haben's nicht drauf,
0:22:44.950,0:22:49.990
sie lassen's uns nicht reparieren,[br]sie zerschießen unsere Booteinstellung,
0:22:49.990,0:22:53.070
ist einfach eine Sache, die ich,[br]obwohl ich in den letzten Jahren
0:22:53.070,0:22:56.130
mit Microsoft doch irgendwie[br]etwas Frieden geschlossen habe,
0:22:56.130,0:22:59.990
einfach nicht, in keiner Weise,[br]bereit bin zu akzeptieren,
0:22:59.990,0:23:03.930
und habe mit einem Grinsen festgestellt,[br]dass sie sich jetzt offensichtlich mit ihrer Sache
0:23:03.930,0:23:08.110
da auch mit den baden-württhembergischen[br]Verbraucherschützern angelegt haben,
0:23:08.110,0:23:12.290
was glaub ich auch ein[br]relevanter Gegner sein könnte.
0:23:12.290,0:23:17.750
Hier nochmal 'ne kleine Zeitreise:[br]2003 dieser Microsoft-Ansatz,
0:23:17.750,0:23:23.500
der führt zu einer Markt-Domination,[br]zu einem Lock-out, dass man
0:23:23.500,0:23:27.760
aus einem eigenen System ausgesperrt ist[br]faktisch, und wir besitzen
0:23:27.760,0:23:31.350
unseren Computer nicht mehr richtig,[br]und das ist eine Sache von Whit Diffie,
0:23:31.350,0:23:35.580
ein weiterer Erfinder der Public-Key-Kryptographie.[br]Und er sagt's halt ganz kurz:
0:23:35.580,0:23:40.320
"Es ist einfach notwendig, dass wir von[br]unseren persönlichen Geräten
0:23:40.320,0:23:42.710
die Schlüssel selber unter Kontrolle haben."
0:23:42.710,0:23:47.410
Um mal was positives zu sagen,[br]US-Firmen und auch Apple muss man da loben,
0:23:47.410,0:23:51.370
haben durchaus teilweise[br]diese Probleme adressiert,
0:23:51.370,0:23:56.179
das zum Beispiel End-zu-End-Verschlüsselung,[br]da für viele Systeme
0:23:56.179,0:23:58.500
die richtige Entscheidung ist.[br]Und hier haben wir halt
0:23:58.500,0:24:01.279
eine gegenläufige Entwicklung.
0:24:01.279,0:24:05.190
Um noch einmal zu sagen,[br]das ist keine abstrakte Sache.
0:24:05.190,0:24:09.240
Ich hab jetzt nur mal eine Sache rausgesucht:[br]Microsoft hat mehrfach schon,
0:24:09.240,0:24:12.929
hier zum ersten mal in 2013,[br]ist auch schon ein Weilchen her,
0:24:12.929,0:24:16.360
ist hergegangen und hat[br]bootende Systeme deaktiviert,
0:24:16.360,0:24:18.270
ohne günstige Begründung.
0:24:18.270,0:24:21.559
Ist vielleicht ganz gut, wenn sie[br]keine Begründungen angeben,
0:24:21.559,0:24:23.740
weil sie, als sie das letzte Mal versucht haben,[br]'ne Begründung anzugeben,
0:24:23.740,0:24:26.559
sind die Haare immer grauer geworden,[br]also, nach dem Motto:
0:24:26.559,0:24:28.610
Ey, wir wissen nicht genau,[br]was wir unterschrieben haben
0:24:28.610,0:24:30.780
und ob es raus ist[br]und hast-du-nicht-gesehen.
0:24:30.780,0:24:37.610
Also, noch einmal, das Problem ist Windows[br]- äh Microsoft ändert seine ganze Strategie,
0:24:37.610,0:24:41.410
es ist Windows als Service,[br]es sagt, wir verdienen nur noch Geld,
0:24:41.410,0:24:46.100
indem wir auf eure Daten aufpassen.[br]Und das ist halt natürlich halt das Problem,
0:24:46.100,0:24:49.740
wenn handwerkliche Fehler in diesem[br]katastrophalen Mensch(?) gemacht werden,
0:24:49.740,0:24:53.630
dass Microsoft vielleicht irgendwie[br]dann zurückommen kann mit den Ideen,
0:24:53.630,0:24:56.150
wenn das einigermaßen steht.
0:24:56.150,0:24:59.570
Auch 'ne historische Folie.[br]Was haben wir drin?
0:24:59.570,0:25:02.319
Wir haben in diesem TPM-Chip[br]einen geheimen Schlüssel, den…
0:25:02.319,0:25:04.290
auf den man nicht zugreifen kann.
0:25:04.290,0:25:06.940
Standardfrage: Wer kann[br]auf den geheimen Schlüssel zugreifen?
0:25:06.940,0:25:08.720
Hoffentlich niemand.
0:25:08.720,0:25:15.169
Andererseits werden die Schlüssel außerhalb[br]erzeugt und dann werden sie eingefügt
0:25:15.169,0:25:19.690
in den Produktionsprozess,[br]das bedeutet, ich mach eine Kopie
0:25:19.690,0:25:22.690
einer Schlüsseldatei und habe damit[br]die Generalschlüssel auf alle Systeme
0:25:22.690,0:25:24.640
in einem Land.
0:25:24.640,0:25:28.390
Und das ist natürlich eine Sache,[br]die für die NSA interessant ist.
0:25:28.390,0:25:32.400
Wir wissen, dass es Druck auf Hardware-[br]hersteller gab, Backdoors einzufügen.
0:25:32.400,0:25:35.920
Ist ne historische Folie, die hätte [br]ich vielleicht sogar streichen können,
0:25:35.920,0:25:42.049
vor allem die Realität hat das[br]in den letzten Tagen wirklich derart überrollt,
0:25:42.049,0:25:45.530
dass ich diese Folie eigentlich hätte wirklich[br]auch schon fast einstampfen sollen,
0:25:45.530,0:25:50.860
aber trotzdem, noch einmal der Hinweis:[br]Das eine Hauptproblem ist:
0:25:50.860,0:25:53.730
Die Hersteller der Sachen[br]sitzen nicht unbedingt in Amerika,
0:25:53.730,0:25:55.800
sondern meistens in China.
0:25:55.800,0:25:59.820
Und wenn ich kein verschärftes [br]Vertrauen mehr hab
0:25:59.820,0:26:04.450
auf das ordentliche Vorgehen[br]in 'ner Demokratie wie Amerika,
0:26:04.450,0:26:09.250
ist meine Sorge über Backdoors[br]in autoritär geführten Ländern natürlich
0:26:09.250,0:26:12.200
nochmal deutlich größer.
0:26:12.200,0:26:17.110
Und aus dem Grund hier auch[br]nochmal der Hinweis:
0:26:17.110,0:26:20.000
Es kann nicht angehen, dass wir[br]'ne Infrastruktur haben,
0:26:20.000,0:26:22.850
wo jemand, der einfach 'ne Datei[br]kopieren kann, nachher
0:26:22.850,0:26:25.770
Generalschlüssel für alles[br]zur Verfügung hat.
0:26:25.770,0:26:29.030
Ja, letzte Tage,[br]muss ich auch nicht rumtanzen.
0:26:29.030,0:26:33.530
Die ganzen Sachen was wir gesagt haben,[br]UEFI-Backdoor, also unterhalb des Radars,
0:26:33.530,0:26:39.280
also wirklich unter den Virenscannern[br]und anderer Sicherheitsfolklore,
0:26:39.280,0:26:42.140
auf der untersten Ebene.[br]Ich hab' mit Leuten geredet,
0:26:42.140,0:26:44.790
Was kann man machen,[br]wenn man sich in UEFI was eingefangen hat?
0:26:44.790,0:26:48.160
Antwort: Hardware einschmelzen,[br]neue kaufen.
0:26:48.160,0:26:53.570
Das war von jemand, der eine[br]sehr große Sicherheitsabteilung
0:26:53.570,0:26:56.410
einer sehr großen deutschen[br]Firma geleitet hat,
0:26:56.410,0:27:01.590
also insofern finde ich das immer[br]etwas besorgniserregend,
0:27:01.590,0:27:04.030
wenn Leute, die in der Industrie[br]in hohen Positionen sind,
0:27:04.030,0:27:07.990
langsam ähnlichen Zynismus[br]entwicklen wie hier in der Hackergemeinde
0:27:07.990,0:27:11.590
seit Jahren vor sich hingetragen wird.[br]Wir hatten die Lenovo-Backdoor,
0:27:11.590,0:27:15.480
machen wir uns keine Sorgen,[br]der Hauptaktionär von Lenovo
0:27:15.480,0:27:18.840
ist die Universität of Peking,[br]und ich bin mir sicher,
0:27:18.840,0:27:22.590
dass die mit der Regierung[br]überhaupt keine Kontakte hat.
0:27:22.590,0:27:27.380
Lachen und Applaus
0:27:29.470,0:27:33.450
Wir hatten 'ne Bell, äh, Dell-Backdoor,[br]die auch irgendwie diese Microsoft-Strategie
0:27:33.450,0:27:35.820
über "Wir veröffentlichen mal[br]unsere privaten Schlüssel,
0:27:35.820,0:27:39.000
vielleicht kann ja auch jemand[br]anders was damit anfangen."
0:27:39.000,0:27:41.620
Ist scary, und das einzige,[br]
0:27:41.620,0:27:44.630
was mir als Kryptograph [br]gute Laune gemacht hat,
0:27:44.630,0:27:47.460
war diese Juniper-Backdoor.[br]Wenn wir uns erinnern, hatte ich ja
0:27:47.460,0:27:52.530
letztes Jahr mal elliptische-Kurven-[br]Randomgenerator vorgestellt und gesagt,
0:27:52.530,0:27:57.049
da ist eine NSA-Backdoor da.[br]Wir Kryptographen haben seit Jahren
0:27:57.049,0:28:00.049
paar Stunden nach der Veröffentlichung [br]gewarnt, haben gesagt, Leute,
0:28:00.049,0:28:03.520
das ist ein System, das ist hundertmal langsamer[br]und hier ist 'ne offenen Tür,
0:28:03.520,0:28:05.910
wo man was reinmachen…[br]macht das nicht.
0:28:05.910,0:28:08.760
Trotzdem haben es halt Firmen gemacht,[br]unter anderem Juniper,
0:28:08.760,0:28:13.440
und was jetzt wirklich schön war,[br]so 'ne Backdoor in elliptischen Kurven
0:28:13.440,0:28:16.610
sind nur ein paar Bytes.[br]Irgendjemand ist hergegangen und
0:28:16.610,0:28:20.830
hat diese Bytes, die für 'ne NSA-Backdoor[br]da waren, weggeworfen, und hat
0:28:20.830,0:28:26.030
seine eigene Backdoor eingebaut.[br]Und das ist irgendwie großartig.
0:28:26.030,0:28:30.830
Also man hat irgendwie das Tür[br]zu Fort Knox und geht her mit dem Trennschleifer,
0:28:30.830,0:28:33.720
zieht die raus und macht[br]'ne neue Tresortür da vorne dran.
0:28:33.720,0:28:37.559
Lachen[br]Eh, ist wirklich scary, und ich möcht
0:28:37.559,0:28:41.539
nur mal betonen:[br]Diese Problematik ist natürlich ganz da,
0:28:41.539,0:28:45.289
wenn wir unsere ganze EDV an Microsoft[br]delegieren und sagen:
0:28:45.289,0:28:49.860
Die updaten, die wissen, was läuft,[br]die machen das, was nötig ist.
0:28:49.860,0:28:54.280
Bedeutet das, dass wir, wenn wir da[br]Druck auf Microsoft haben,
0:28:54.280,0:28:58.480
Backdoors oder sonstige Sachen einzubauen,[br]von jetzt auf nachher völlig hilflos sind.
0:28:58.480,0:29:04.160
Und das ist natürlich eine Sache,[br]die nur wenig erfreulich ist.
0:29:04.160,0:29:08.690
Ich komm' zur letzten Folie,[br]die auch nur zum Teil cut-und-pasted ist.
0:29:08.690,0:29:14.320
Es gab das Eckpunktepapier von Trusted Computing[br]der Bundesregierung, die ganz klar gesagt hat,
0:29:14.320,0:29:17.470
wenn irgendjemand ein sicheres[br]Environment bauen will,
0:29:17.470,0:29:21.620
ein geschlossenes Ökosystem,[br]in Ordnung, darf man,
0:29:21.620,0:29:25.000
aber die Leute müssen frei entscheiden können,[br]ob sie da rein wollen.
0:29:25.000,0:29:29.990
Und sie müssen die Möglichkeit haben,[br]da auch wieder einigermaßen gesund rauszukommen.
0:29:29.990,0:29:34.610
Das war schon sehr lange[br]in dem Forderungskatalog.
0:29:34.610,0:29:37.370
Wir haben das Problem:[br]Wenn wir jetzt Sachen an den Staat bringen,
0:29:37.370,0:29:40.150
dass wir jetzt zeitgemäße Kryptographie[br]verwenden sollen.
0:29:40.150,0:29:43.260
Microsoft hat SHA-2 an ein paar[br]Stellen rausgeworfen.
0:29:43.260,0:29:47.920
In der Trusted-Computing-Spezifikation[br]ist immer noch Hooks für SHA-1 da.
0:29:47.920,0:29:51.070
Wir brauchen datenfreundliche Kryptographie.
0:29:51.070,0:29:58.039
Da hatten wir direct anonymous attestation[br]und perfect forward secrecy-Sachen
0:29:58.039,0:30:02.760
in alten Normdokumenten schon drin,[br]die müssten wir halt wieder mal
0:30:02.760,0:30:05.060
ein bisschen pflegen und nach vorne stellen.
0:30:05.060,0:30:08.600
Wir brauchen eine internationale Kontrolle[br]und Zertifizierung des TPM-Herstellungskonzepts.
0:30:08.600,0:30:12.160
Noch einmal, ich bin eine Firma,[br]ich stelle TPM her,
0:30:12.160,0:30:16.049
ich habe eine Datei mit allen Schlüsseln,[br]ich kopier die und ich hab
0:30:16.049,0:30:19.270
einen Generalschlüssel für alles.[br]Dat geht net.
0:30:19.270,0:30:21.370
Kleine Fußnote:[br]Wenn ich eine Firma hatten würd,
0:30:21.370,0:30:25.289
würd ich das auch gar nicht wollen,[br]weil ein derartiges Maß an Macht,
0:30:25.289,0:30:28.760
das tut irgendwie unangenehme[br]Mitmenschen glaub ich magisch anziehen.
0:30:28.760,0:30:32.789
Also insofern ist es auch ein Schutz[br]für die Firmen,
0:30:32.789,0:30:36.059
dass man hier die Sachen[br]irgendwie ordentlich offenlegt,
0:30:36.059,0:30:40.800
und das Zertifizierungs-Codes,[br]also dieses Boot-Codes für relevante Software
0:30:40.800,0:30:43.020
in Windows-10 und 8-Bereich.
0:30:43.020,0:30:47.120
Wir müssen kartellrechtlich prüfen,[br]nochmal, Microsoft ist nicht mehr
0:30:47.120,0:30:53.460
die über… die dominierende Firma.[br]In der Zeit, wo Elmar grade gesagt hat,
0:30:53.460,0:30:56.830
das wir zum ersten Mal die Windows-Talks[br]angekuckt haben,
0:30:56.830,0:31:01.310
da hat man eine 90-prozentige Durchdringung,[br]heute spielt Microsoft in einigen Bereichen
0:31:01.310,0:31:03.320
nicht mehr diese dominante Rolle.
0:31:03.320,0:31:08.289
Nichtsdestotrotz ist unsere ganze Hardware,[br]die wir als normale Personal Computer haben,
0:31:08.289,0:31:11.500
naja, Windows-Hardware, im Prinzip,[br]die wir dann halt
0:31:11.500,0:31:14.760
mit vernünftigen Systemen [br]hier umgelenkt haben.
0:31:14.760,0:31:17.250
Naja, außer ihr macht jetzt[br]die Apple-Welt, das ist 'ne andere Sache,
0:31:17.250,0:31:21.780
aber die wirklich große Menge an[br]Personal Computern
0:31:21.780,0:31:23.970
ist immernoch aus dem Bereich.
0:31:23.970,0:31:27.250
Und ich möchte schließen mit was[br]vielleicht ganz Überraschendem:
0:31:27.250,0:31:32.130
Ich werde mich jetzt mal positiv über[br]die Deutsche Telekom, noch interessanter
0:31:32.130,0:31:35.020
T-Systems und Microsoft äußern.
0:31:35.020,0:31:38.030
Lachen
0:31:38.030,0:31:41.110
Es gab 'ne kleine Meldung,[br]die vielleicht die meisten von euch auch
0:31:41.110,0:31:47.870
gar nicht so wahrgenommen haben,[br]dass Microsoft und T-System 'ne Konstruktion
0:31:47.870,0:31:50.919
einer deutschen Cloud gemacht haben.
0:31:50.919,0:31:55.830
Und ich zuck ja immer zusammen,[br]wenn in der Internet-Zeit die Leute
0:31:55.830,0:31:58.559
nationale Clouds und so weiter[br]irgendwie ausrufen.
0:31:58.559,0:32:03.110
Allerdings ist halt das für Firmen[br]natürlich interessant, dass sie sagen,
0:32:03.110,0:32:05.110
sie haben einen Serverstandort[br]in Deutschland.
0:32:05.110,0:32:09.940
Es ist nicht ausreichend nach den,[br]jetzigen Regelungen,
0:32:09.940,0:32:13.770
weil irgendwie Firmen, die in Amerika sitzen,[br]haben dann irgendwie möglicherweise
0:32:13.770,0:32:17.120
den Zwang, auch die Daten schlicht und einfach[br]nach Amerika zu entführen.
0:32:17.120,0:32:21.580
Diese Konstruktion, dass da 'ne deutsche Firma[br]die betreibt, bedeutet auch nicht,
0:32:21.580,0:32:24.679
dass der Weltfrieden ausbricht,[br]aber das bedeutet einfach,
0:32:24.679,0:32:27.540
dass für Firmen da 'ne rechtliche [br]Sicherheit da ist,
0:32:27.540,0:32:29.319
dass sie nur belangt werden,
0:32:29.319,0:32:31.320
wenn sie gegen deutsches [br]Recht verstoßen, und nicht,
0:32:31.320,0:32:33.000
weil irgendwie eine amerikanische Firma
0:32:33.000,0:32:36.650
grad mal schlechte Laune hat[br]oder die NSA alles mitlesen will.
0:32:36.650,0:32:42.049
Insofern möchte ich einfach mal fordern,[br]dass diese Rechtssicherheit
0:32:42.049,0:32:46.150
auch für Privatanwender [br]stärker geöffnet wird.
0:32:46.150,0:32:52.169
Ich glaub es ist nicht zu viel verlangt,[br]dass man sagt, dass man wirklich die Regeln,
0:32:52.169,0:32:55.360
die in der normalen Welt gelten,[br]dass man Rechtsschutz und Rechtswege hat,
0:32:55.360,0:32:59.909
die einigermaßen auch nachvollziebar sind,[br]wir die in die digitale Welt retten kann.
0:32:59.909,0:33:05.860
Und ich glaube auch, dass der… das Urteil[br]des Europäischen Gerichtshofs
0:33:05.860,0:33:10.760
zu sicheren Datenhäfen hier eine Änderung[br]voranbringen muss,
0:33:10.760,0:33:13.880
und in diesem Sinne möcht ich[br]nochmal Aufforderung,
0:33:13.880,0:33:18.789
sorgen wir dafür, dass die erkämpften[br]datenrechtlichen Standards,
0:33:18.789,0:33:22.730
auch diese Migration der[br]Windows-Geschäftspolitik überleben.
0:33:22.730,0:33:25.300
Vielen Dank für eure Aufmerksamkeit.
0:33:25.300,0:33:28.130
Applaus
0:33:28.130,0:33:29.560
Engel: Danke Rudi!
0:33:29.560,0:33:31.425
Applaus
0:33:32.565,0:33:36.811
Abspann-Musik
0:33:36.811,0:33:43.000
subtitles created by c3subtitles.de[br]Join, and help us!