33C3 Vorspannmusik
Linus: Also, als wir heute morgen hierher
gefahren sind, sagte der Taxifahrer:
Linus + Engel: "Die erlauben sich zu viel."
L: zu viel
E: zu viel
zu viel
L: Mit dieser ganzen Informatik
E: Nein, nein! Die Informatiker
mit ihrem Internet
Gelächter
L: Jetzt hast Du …
Ich wollte …
Gelächter
E: Habe ich Dir jetzt den
Joke kaputt gemacht?
E: Naja, gut.
L: Viel Spaß bei den Security Nightmares.
Applaus
Ron: Haaallo?
Publikum: Hallo
R: Hallo!
Publikum: Hallo
Frank: Hallo, seid Ihr alle da?
Publikum: Ja
R: Wir haben noch 4 Minuten,
bevor es losgeht.
Oder wir fangen
einfach früher an.
Publikum: ja
Applaus
R: Oder wir machen die ganze Zeit Android-Witze.
Gelächter
Applaus
R: Dies sind nicht die Updates,
nach denen ihr sucht.
Gelächter
R: OK. Schön.
Schaut Euch nochmal um.
F: Genau, genießt den Saal nochmal.
R: Ihr dürft nichts mitnehmen.
Wir sollen das hier besenrein übergeben
und das heißt so, wie es
jetzt ist, nicht als Parkplatz.
Gelächter
F: Das machen die dann schon
selber mit dem Parkplatz.
R: Genau.
F: Ja
R: 17. Veranstaltung
Wir haben das Zählverfahren
geändert, sind jetzt beim Binären
because, why not.
51,5% Marktanteil, glaube ich.
F: 51,5?
R: oder so.
F: 33 Kongresse,
17 Veranstaltungen: ja
R: kommt grob hin.
Der Fortschritt ist schmal.
Wenig Fortschritt pro
Veranstaltung ab jetzt.
F: Konvergiert gegen Null.
Ist eigentlich wie im richtigen Leben,
der Fortschritt konvergiert auch
langsam gegen Null.
R: Genau. So schön, dass Ihr
es alle wieder geschafft habt
und schön, dass Ihr 4 Tage
Kongress überlebt habt.
Ich habe dieses Jahr nichts von einer
grässlichen Seuche gehört.
Applaus
R: Klopf auf Holz
Applaus
R: Und offensichtlich seid Ihr alle von
zuhause weggekommen und dem
IT-Security-, IT-Maintenance-
Marathon zu Hause.
Wer hat über die Feiertage noch
ein Windows XP weggemacht?
Gelächter
R: Ihr seid die Helden!
Applaus
R: Wer wurde daran gehindert,
noch eins wegzumachen?
Gelächter
Applaus
R: Das sind zu viele,
das sind zu viele.
F: Wer hat seine Familie schon
Flash-frei bekommen?
R: Ah ja, den Rest erledigt dann Google
Chrome nächstes Jahr, glaube ich.
F: Und, wer hat es zu Java-frei geschafft?
… Schwieriger.
R: Ja nicht so viele. — F: Ja, ich glaube,
Oracle tut da jetzt langsam was.
Gelächter
F: Die haben jetzt angefangen
mit dem Inkasso.
R: Ja richtig, genau. Oracle
tut auch was. Fein.
Wir sagen gar nicht mehr an, dass
wir nicht mehr alles ernst meinen,
was wir hier sagen, weil …
F: Ihr kennt das. — R: Es löst sich
alles in Realsatire auf, da draußen.
Die Bildredaktion ist auch nicht
hinterhergekommen, deswegen haben
wir nur ein Bild mitgebracht, das
für uns das Jahr 2016 symbolisiert.
Gelächter
Applause
F: Ja, man beachte die
Campingstühle im Vordergrund,
Gelächter
F: Weil eigentlich sieht beim Brennen,
die Welt ja doch ganz entertaining aus.
R: Das ist so meditativ, in die
Flammen zu schauen, nicht wahr?
F: Also der Vorteil, das nur als
Bild zu genießen ist, dass man
den olfaktorischen Anteil nicht hat
Gelächter
R: Genau
Ja, genau
R: Android Witze machen wir jetzt keine.
F: Nein nur die ganze Zeit. — R: OK.
Das meinen wir ja gar nicht
bösartig, das mit dem Andoid.
Sondern das ist halt jetzt
die Platform von Milliarden
und damit ist sie relevant,
hochgradig relevant
und dann schlagen so Dinge, wie
diese Qualcomm-Chip-Bugs
in den Androids, die auch LTE konnten
schon ganz schön rein
das waren dann mal 900 Millionen Geräte,
die betroffen waren und von denen nur ein
Bruchteil tatsächlich Updates bekommen hat
Und dann gab es diesen Werbebanner-Klicker
Das waren wie viele Millionen?
F: 90 oder so — R: Ja, 85…90
Millionen, da sind wir immer gleich
bei ordentlich Kleinkram.
F: Aber ich meine auch, so funktioniert ja
die Wirtschaft. Irgendjemand muss diese
Banner ja klicken und im Zuge der
allgemeinen Automatisierung machen
das dann halt die Trojaner.
Gelächter
R: Ja … Ich wundere mich ja, dass
die Server die Banner noch nicht
selber klicken, dass man dafür
immer noch Endgeräte braucht.
Gelächter + Applaus
F: Stimmt, eigentlich wäre es solche
Appliance, die man so bei einem ISP
hinstellt, die halt einfach nur klickt.
R: Du meinst jetzt Firewall?
F: Gerüchteweise soll es sowas
geben, eine klickende Firewall.
R: … eine klickende Firewall
Ist da vielleicht noch Potential.
Nicht wahr?
Genau, das ist ja immer die Schwierigkeit
der Elektronik-Auswahl auch wenn man
gefragt wird im Familien-/Bekanntenkreis,
ist wahrscheinlich schwieriger geworden,
oder wie seht Ihr das? Wer findet, dass es
leichter geworden ist, etwas zu empfehlen?
Nokia 3310 geht immer.
Das sehe ich auch so
Applaus
F: Obwohl davon gibt es
auch schon China-Fakes.
R: Genau, gar nichts kaufen, geht auch.
Damit macht man sich nur nicht
so viele Freunde, erstaunlicherweise
Denen kribbelt es immer allen so.
Eigentlich hätte ich da gern so ein
Vulnerability-Barometer für die 10
meistverkauften Smartphones pro Jahr
oder so, wo man dann immer gucken kann,
wie offen das ist und … aber ist
wahrscheinlich auch zu viel verlangt.
F: Du meinst so eine
Risiko-Level 5 Anzeige.
Gelächter
R: Das ist ja jetzt ein Insider-Joke,
oder? Wie ist denn das definiert?
Risiko-Level 5 – wie ist
denn das definiert?
Wir fragen das BSI wieder im
Januar, habe ich mir sagen lassen.
F: Mir wurde versprochen, auf dem Flur,
dass von betroffenen Mitarbeitern, dass
da noch eine Erklärung dazu kommt
R: Das war ja eine bemerkenswerte Sache,
eine Produktwarnung vom BSI dieses Jahr
zu Routern, Netgear Routern
F: Plasterouterapokalypse.
R: Plasterouterapokalypse und das ist
schon bemerkenswert, schauen wir mal.
F: Wie sah es denn vor 10 Jahren aus?
R: Genau, wir machen das ja jetzt schon
eine Weile, deswegen 10 Jahre
zurückschauen, die Archive sind
auch noch da; nichts depubliziert.
Wir haben da mehr Transparenz
in der Politik gefordert,
weil das ja Problemgruppen sind.
F: Kriminalitätsgeneigte Soziotope
war, glaube ich, der Begriff.
Genau, und was wir vielleicht hätten
dazusagen sollen, dass wir nicht
Nacktbilder gemeint hatten.
F: Wir hatten dieses Jahr relativ viel
Politiktransparenz, insofern …
R: Ja, der Bundestag war sehr transparent-
Die nächste Sache, die wir angesagt hatten
war die Selfservice-Hausdurchsuchung.
Wir hatten damals gedacht an so niedliche
Hunderoboter, die von Bundestrojanern
befallen sind und Kameras in den Augen
haben und durch die Wohnung schleichen.
Interessanterweise braucht es das ja gar
nicht, weil sich offensichtlich alle so
einen digitalen Assistenten reinstellen.
F: Wer hat denn so was unter dem
Weihnachtsbaum vorgefunden?
R: Nein, Du musst das anders fragen:
Wer kennt denn jemand, der sein …
Gelächter
R: Aha, doch ein paar. Aber echt
wenig eigentlich. Warum denn?
F: Wer hat denn zu Hause einen Fernseher
vorgefunden, der zuhören kann?
Gibt es auch immer mal wieder.
R: Kamera ist ja alt – Mikrofon ist neu.
F: Ja, Mikrofon ist neu.
R: Und wer muss die immer
mit der Bohrmaschine behandeln?
Gelächter
R: Traut sich noch keiner.
F: Ist mittlerweile richtig aufwändig,
weil da ist nicht nur ein Mikrofon drin.
So, Stereo und Quadro und so.
R: OK.
F: Wer guckt denn, wenn er neue Hardware
kauft, ob da ein Mikrofon drin ist?
Sehr gut.
R: Zu wenig. Aber einige. OK.
Genau, die Selfservice-Hausdurchsuchung.
Spannend war, dass in dem einen Fall, der
gerade durch die Presse geht, ja gar nicht
Also, natürlich ist da Alexa ganz vorne
in den Schlagzeilen. Weil das kennt jemand
Aber erhebliche Details beigesteuert haben
soll der Wasserzähler. Der IoT-Wasserzähler,
der genau gesehen hat, wann besonders viel
Wasser verbraucht worden ist. Und es war
wohl irgendwie zwischen nachts um 1 und 3.
Und das ist deutlich ungewöhnlich, dass da
sehr viele Wassermengen verbraucht werden
und man dann Leichen in der Badewanne
findet. Irgendwie so war das, glaube ich.
F: Es ging, glaube ich, um die Blutspuren.
R: Ja.
F: Also jedenfalls sind wir jetzt bei
Geräten, die uns verraten. Im Zweifel.
R: Genau, so Verräter-Hardware mit IP-Adresse.
Ich meine in Deutschland hatten wir diese
Aldi-IP-Cams. Von denen weiß ja auch
keiner, wie viele davon noch
ungepatcht im Betrieb sind.
F: Wer hat sowas neulich gesehen?
R: Wer von Euch kennt …
Ja OK, lassen wir das…
Das mit den Plasteroutern hat jeder
mitbekommen. Das waren ja auch
wieviele Hunderttausend?
F: 900.000
R: 900 000 — F: Wie ist denn
eure Mirai-Quote so zu Hause?
Kann man eigentlich mittlerweile fragen.
R: Ja, OK.
R: Genau, vor 10 Jahren Geräetetreiber-
Sicherheitsrelevanz. Auch das poppt
immer mal wieder hoch. Ich glaube,
dieses Jahr gab es das Beispiel von einem
signierten Gerätetreiber, in dem
irgendwie ein Bug drin war, sodass man
andere Gerätetreiber unsignierterweise
nachladen konnte oder sowas.
Das Thema ist also auch immer
noch nicht tot. 10 Jahre später.
Die gute Nachricht hier ist jetzt, glaube
ich, dass Microsoft mit diesen Rollup-
Patches loslegt und es nicht mehr
freistellt, sich die Patches, die man noch
installiert, sich selber auszusuchen.
F: Ist nur doof, wenn hinterher
das DHCP nicht mehr geht.
Gelächter
F: Also andersrum betrachtet,
ist das Gerät dann wirklich sicher.
Gelächter + Applaus
R: Ja, die Plasterouterapokalypse
Ja, genau, das war’s.
Standardpasswörter. Wie vor 10 Jahren
und auch dieses Jahr wieder hochgepoppt.
Und teilweise macht es einen
dann ja fertig, wie wirklich auch
Sicherheitinfrastrukturhersteller damit
umgehen. Die machen dann schnell ein
Update. Das natürlich zu erwarten ist.
Und in dem Update ist dann ein besseres
Standardpasswort.
F: Mit mehr Sonderzeichen.
R: Applaus, Applaus.
Applaus
F: Ja, da hatten wir damals Computer
Aided Industriespionage genannt.
Mittlerweile heißt das,
glaube ich, … Wie heißt das …?
R: Industrie 4.0
Dankeschön
Gelächter + Applaus
R: Die Frage war vor 10 Jahren, ob man
sich schon vors Opel-Werk stellen kann
und vom Parkplatz mit dem WiFi dann sich
irgendwie sein Traumauto zurecht
konfigurieren kann. So, und die Antwort
ist: geht noch nicht, aber die Industrie
arbeitet hart daran.
Gelächter + Applaus
Unverständliches aus dem Publikum
F: Kommen wir noch zu. Ja
genau: LAN/WAN in der Fertigung.
Das nimmt einfach nur
zu. Nicht wahr?
F: Und, wer kennt denn so auswendig die
Affengriffe, die man so bei displaylosen
Internet-enthaltenden
Geräten machen muss?
R: Ja, das was das Standardpasswort ist
von etwas, was Tastatureingaben oder
Telnet oder so was akzeptiert, ist ja der
Affengriff, die Tastaturkombination,
die man braucht, um ein Gerät
in den Servicemode zu setzen
und da sind eben schon ein paar Hände
hochgegangen und das ist ja einmal dieses
Thema Servicemode und auf der anderen
Seite ist es dieses Thema Easter-Eggs
und bei vielen Technologien kann man
ja Easter-Eggs erst dann unterbringen,
wenn sie eine gewisse Komplexität erreicht
haben und da habe ich dann zwischendurch,
als ich an einer Ampel stand und gedacht
habe, wie ist denn eigentlich diese
Auflösung von diesen Buttons früher, diese
gelben dicken Dinger, die waren sicherlich
hoch, da konnte man schnell einen guten
Rhythmus tippen, aber auf der anderen
Seite waren die sicherlich so simpel, dass
man da keine lustigen Sachen verstecken
konnte. Es sei denn jemand möchte gern zum
Mikrofon greifen und das Gegenteil erklären
Und jetzt gibt es die, die induktiv sind
und da denke ich, da ist die Auflösung
vielleicht nicht so gut, da kann man
vielleicht nur einmal die Sekunde oder
alle zwei Sekunden oder irgendwas, muss
man halt schon echt gutes Rhythmusgefühl
haben … Ist das bei Servicetechnikern
schon eine Anforderung?
Gutes Rhythmusgefühl?
F: Um den Servicemode zu triggern?
Vielleicht geht das bei so ’nem
Atomkraftwerk? So mit rhythmischem
Reinfahren der Kontrollstäbe?
Gelächter
R: Aber die Komplexität dieser
Ampelanlagen ist doch inzwischen so,
dass man da locker irgendwas unterbringen
kann; ich mein, die haben Lichter,
die aben diese Klopfsignale …
F: Aber die haben … Internet.
R: Da geht noch was.
F: Ja, das Internet of Things.
Und die haben Funk, ne? Also in Berlin
zum Beispiel können die Straßenbahnen
sich an den großen Trassen die
Ampeln schalten per Funk.
Sehr hübsches Protokoll, haben sie
sich sehr gut ausgedacht.
R: Wieviel Megahertz?
F: Na, eines der Üblichen.
R: Alles das Übliche.
F: Ja, genau.
R: Wenn man nur günstig software defined
radios bekommen könnte …
Gelächter + Applaus
Wenn die nur quasi
irgendwo verschenkt würden!
Gelächter
Quasi … ja … ach, das würde so schnell
nicht passieren, nicht wahr?
F: Nee, es besteht kein Risiko. Jedenfalls
nicht aus der Perspektive von vor 10 Jahren
R: Gut, machen wir mal weiter. Das
Internetnormalitätsupdate 2016 …
dazu zu sagen ist, dass ja im Jahr 2016
üblicherweise die Zahlen von 2015
publiziert werden, das heißt,
die Zahlen sind zum Teil von 2015.
Genau, Flash-Exploits sind jetzt bei
$100'000 das Stück, iOS Exploits > $1M.
Das FBI hat $1,3M bezahlt, wobei keiner
weiß, ob sie das gezahlt haben für den
Exploit oder für die
Bedienung des Exploits.
Gelächter
Also OP-Hacks VS Cap-Hacks oder so …
Wenn ihr darüber nicht lachen könnt,
dann beglückwünsche ich euch.
Leiser Applaus
Das vereinzelte Klatschen der
verzweifelten Seelen!
Gelächter + Applaus
Ja, Bug Bounties! Google hat
im letzten Jahr $2M ausgezahlt,
so viel wie in 2-4 Jahren davor,
so was in der Richtung …
Apple ist jetzt auch mit eingestiegen.
Spät sind sie dran.
F: Wobei man sagen muss, warum sind die
Preise jetzt auf dem grauen Markt so hoch?
Und ich glaube, dass es damit zu tun hat,
dass durch die Ransomware Trojaner ja
diese Umstellung, die wir letztes Jahr
schon erklärt hatten von so Vermarktung
von so Exploits von Business2Business
jetzt auf Business2Consumer umgestiegen ist
weil mit den Ransomware Trojanern jetzt ja
das Geld von allen genommen werden kann.
Und ich glaube, dass das damit zu tun hat,
dadurch sind die Preise da gestiegen, weil
die Monetarisierung einer ordentlichen
Exploit-Chain über so Trojaner inzwischen
doch recht gut funktioniert.
R: Ja, das soll noch Thema sein.
Machen wir mal mit den Zahlen weiter.
Bugs im Linuxkernel haben wohl im
Durchschnitt eine Lebenszeit von 5 Jahren,
für anderen Code haben wir die Zahlen nicht.
Applaus
Man sollte doch mehr ausschalten … Ja.
F: Also wir sehen, Open Source
ist eine tolle Sache!
R: Nee, ich mein, das ist jetzt nur
ein wertfreier Fakt oder so ähnlich.
Die Frage ist halt, der Code, der
jetzt ausgerollt wird …
Applaus
R: Mach mal … Netz aus …
Hey ich mach das jetz hier platt,
weiss du … Gelächter
Rufe aus dem Publikum
Jeopardy-Melodie wird gepfiffen
F: Wisst ihr, wie man so was nennt?
Resilienz! Ihr könnt die Pausenmusik
selber machen, ihr braucht
gar keine Technik dafür!
R: Die Cyberschadenssummen sind gestiegen,
auch in Deutschland. Von €10k auf €18k,
die Versicherungszahlen gehen nach oben,
die Betroffenen steigen … Spannend auch
die Überweisungen, die durch Trojaner
ausgeführt worden sind. Dridex soll wohl
insgesamt einen Schaden erzeugt haben
von 10 Millionen Dollar in den USA und
Einzelüberweisungen sollen bis
zu $2,1M betragen haben. Wohooo!
Applaus
Nur geschlagen durch so Phishing/Chef-
Maschen, wo Mattel, also die, die so
Barbie machen und so was, die haben einen
neuen Chef gekriegt und dann hat sich
jemand als dieser neue Chef ausgegeben
und da sind wohl $3M überwiesen worden.
Applaus
F: Also man kann auch sagen,
Onlinekriminalität ist auf jeden Fall
ein Betätigungsfeld, wo ein weites
Feld von Talenten anwendbar ist.
R: Genau. Geschlagen wurde das wieder nur
durch die Zahlen, die im Rahmen von diesen
„Swift-Hacks“ gehandelt worden sind, wo
wohl eine ganze Milliarde Dollar von der
Zentralbank von Bangladesh irgendwie
wegüberwiesen worden ist und dann haben
sie aufgeräumt und das Geld zurückgeholt
und da geht wohl erstaunlicherweise
ziemlich viel und am Ende
waren nur 81 Millionen Dollar weg.
Super.
Applaus
Genau. Deutsche Zahlen: 4% sind Opfer
von Identitätsdiebstahl, 8% von Phishing,
15% nutzen Ad-Blocking – das soll
ein Drittel der 18-24-Jährigen sein.
Wie ist denn das hier
so im Saal? Ad-Blocker?
Gelächter
OK, das scheinen mir 101% zu sein.
F: Wer musste denn zu Weihnachten noch
einen Ad-Blocker zuhause bei den Eltern
installieren? … Sehr gut.
R: Wer musste einen abschalten?
… weil er sonst keinen Kuchen
gekriegt hätte? … Auch drei. Gut, OK.
F: Da habe ich gerade noch eine kurze
Frage: Wer von euch benutzt denn einen
mehr als einstufigen Ad-Blocker?
R: 10%. F: 10%, ja.
Ihr seid weit vorn, ihr seid die Zukunft.
R: Genau, die Werbebannerklickzahlen sind
Fake, die Up-/Downloadzahlen sind Fake,
die Bewertungen sind Fake, News ist Fake,
wenn euch einer von Microsoft anruft,
ist das Fake. Von Dell auch. Der Typ
von 1&1 ist auch gar nicht von 1&1 …
Wen hat’s noch …? Telekom – wer ist
von der Telekom angerufen worden,
„Guten Tag, Sie haben einen Virus!“ –
Tschuldigung: Wer kennt jemanden,
der angerufen worden ist?
F: Also mittlerweile hat das Ausmaße
angenommen, dass ich tatsächlich dieses
Jahr zum ersten Mal eine Mail von PayPal,
also eine echte Mail von PayPal – so was
soll es geben! – bekommen habe und die nur
durch Zufall nicht gelöscht habe, dachte:
„Ey, die ist aber wirklich
echt gut gefaked!“ und sie dann
halt aufheben wollte, so als Beispiel,
wie gut das mittlerweile alles ist und
dann feststellte, die
ist tatsächlich echt!
R: Ja, neulich habe ich einen Screenshot
gesehen von so einer UPS-Mail, die sie
wohl in den USA verschicken und die echten
UPS-Mails sind ja von Phishing-Mails nicht
mehr zu unterscheiden! Das ist ja …
„Klicken Sie hier, um irgendwas
downzuloaden, was dann da …
linksrum, rechtsrum …“
Erstaunlich! Ja …
Die Frage, die ich mir zwischendurch
stelle: Warum ist denn das eigentlich
mit den Supportanrufen nicht schlimmer in
Deutschland? Wo es doch wohl in den USA
ziemlich schlimm ist? Und ich glaube, das
liegt einfach daran, dass wir halt hier
Deutsch sprechen, und wenn du diese Anrufe
nicht auf Deutsch machen kannst, dann
kriegst du nicht die Leute ans Telefon,
die dir das glauben, was du da erzählst.
Gelächter
So, und da haben wir dann
ja große Hoffnung für die Echtzeit-
übersetzungssoftwarebranche.
Applaus
R: Die 0-Days, die im Einsatz waren,
oder die, die eingesetzt worden sind
F: —in der Wildnis beobachtet wurden …
R: Genau. Die waren wohl 2013, 2014
ungefähr gleich und haben sich
dann von dort zu 2015 verdoppelt.
F: Lohnt jetzt halt mehr.
R: Ja, naja, die Frage ist:
Werden die nicht immer erst an
Regierungen verkauft oder was?
Oder hatten die Regierungen das …
Wussten die noch nicht, wie man
dafür bezahlt in 2015 oder was?
F: Ich glaube einfach, dass wenn
du überlegst, wie viel du aus so einer
Ransomware-Kampagne herauskriegst,
so einer ordentlich
gebauten, das lohnt mehr.
Und ist moralisch wahrscheinlich
weniger verwerflich oder so.
Gelächter + Applaus
R: Noch eine Theorie könnte sein,
dass die allererste Welle keiner
mitkriegt, weil die allererste Welle
tatsächlich dann so gegen politische
Gegner, Dissidenten und so
weiter und so fort geht.
Und das kriegt keiner mit und dann wird
das, wenn es dort weg ist, verheizt. Oder?
F: Ist möglich, ja. So Zweitverwertungen
sind immer schwer zu tracken. Ist halt …
R: Ja, also wissen wir auch nicht.
Wenn ihr mehr wisst …
F: E-Government.
R: Genau, E-Government.
Wählerregister. Viele Wählerregister hat es
erwischt dieses Jahr. 93 Millionen mexikanische,
55M philippinische, 49M türkische Wähler,
und das war dann wohl immer so einmal
komplett. Mal war das eine Dingsdatenbank
– ich hatte mir eine Notiz gemacht … –
F: Einwohnermeldedatenbank?
R: Nee, Mongo-Datenbank!
Eine von 35.000 offenen Datenbanken da
draußen im Internet, die nicht ordentlich
abgesichert waren, war wohl so was.
Und da kommen ja ganz schön viele
Daten mit, das ist echt erstaunlich!
F: Also ihr seht schon so, unsere
Regierung hat immer gesagt, unsere
Daten sind das Öl des 21. Jahrhunderts
und wir sehen jetzt ja so dieses
Zusammenfließen von E-Government und
Datenreichtum, ist also nicht zu vermeiden
Dementsprechend, je mehr Daten so
eine Regierung anhäuft, desto mehr
Datenreichtum kann es da natürlich geben.
R: Genau. Es sei denn, sie haben ihre
Backup-Strategie nicht im Griff. Ich
glaube es gab auch so eine Umfrage wie
„Haben Sie einen Computervorfall gehabt?“
„Ja, so und so viele“ und dann wurde auch
noch gefragt, ob die Unternehmen ihre
Daten klassifiziert haben und 64% der
Unternehmen haben ihre Daten nicht
klassifiziert und nur 52% der Unternehmen
haben keine Probleme mit Backups.
F: Das sind die, die noch nicht probiert
haben, ob sie ihr Backup
wieder restoren können.
Gelächter + Applaus
R: Das war ja, als ich vor 1-2 Jahren
den Telefonanbieter wechseln wollte
und die dann meinten, „Sie müssen erstmal
belegen, dass Sie es sind“, und dann habe
ich gesagt: „Ja, ich bin das und so
ist mein Geburtsdatum“ und die dann
„Ähh, das können wir nicht verifizieren.“
– „Wieso können Sie nicht verifizieren,
was mein Geburtsdatum ist?“ – „Ja, ähm,
das ist uns leider verloren gegangen.“
Gelächter
R: OK, nicht schlecht …
F: Wahrscheinlich hattest du dann einen
Nachbarkunden namens JOHNNY DROP TABLE;
Gelächter + Applaus
R: Ja, das Wahlcomputermassaker …
Wahlcomputer sind immer noch nicht weg
und man hat auch den Eindruck,
dass so ein bisschen, das ist jetzt das
Asbest der Demokratie oder
so an einigen Stellen, ja?
Applaus
Das ist jetzt da, es dachten ein paar
Leute, das wäre eine gute Idee, die die
das nicht gleich sofort rausgerissen
haben, die werden es jetzt nicht mehr los.
Und da ist dann so eine gewisse Trägheit
oder so, mir ist da die Dynamik nicht klar
Die einzige Hoffnung, die ich habe: Das
mit Asbest auf Baustellen war auch mal
ein großes Problem und inzwischen
ist das Routine. Also vielleicht wird
das Wahlcomputerabbauen und durch
Papierwahlen ersetzen auch irgendwann
mal Routine da draußen.
Ja, das ist auch noch E-Government
im Sinne von … Einkaufen.
F: Genau, die FBIs dieser
Welt, die ja mal so gerne
auf die Telefone gucken wollen …
R: Ist ja auf dem Kongress eigentlich
in vielen Vorträgen breitgetreten worden,
analysiert worden, müssen wir gar nicht
weiter ausführen vielleicht;
war hysterisch genug, oder?
Und auch das, was da überhaupt bei den
Demokraten passiert ist oder in Wahlen …
F: Naja gut, da sollte man vielleicht mal
noch ein Wort zu sagen, genau, was bei
diesen Demokraten passiert ist. Was es ja
quasi bedeutet, was dieses Jahr passierte,
ist, dass die Funktion von IT-Security
in einer politischen Organisation, die
Geheimnisse hat, darüber bestimmt, wie
viele Geheimnisse diese Organisation
eigentlich tatsächlich haben kann
und ob das nun halt das – was war es? –
das Risottorezept ist oder tatsächlich
irgendwelche richtigen Geheimnisse ist
dann eigentlich egal. Und wenn man sich
so anguckt, wie dieser Hack passiert ist,
so mit irgendwie Phishingmails, dann
war das jetzt keine Rocket Surgery, das
war halt eher so die untere Klasse von so
Bankingtrojanern, würde ich mal so sagen.
R: Ich denke, interessant wird, zu sehen,
wie die darauf reagieren. Also auf diese
Gefahr, dieses Risiko, dass alles, was in
einer E-Mail steht irgendwann geleakt
werden kann, geleakt werden wird
oder sonst wie wegkommen wird.
Macht man das dann alles per SMS?
Gelächter
Nach Zuruf aus Publikum
R: Bitte? F: Codebücher!
R: Codebücher, ja, ok … F: Njaa, die sind
im Alltag relativ hinderlich, glaube ich.
Außerdem verliert man die glaube ich.
R: Wahrscheinlich werden sie es nicht
hinkriegen, ohne Geheimnisse klarzukommen.
Ist aber der einzige Weg
nach vorne, vielleicht?
Wir werden es sehen.
Was auffällt, wenn Daten ständig wegkommen
und man das so betrachtet und denkt,
„Wow, da sind irgendwie die Wählerregister
weggekommen und in denen war nicht nur der
Vorname, Nachname und Wohnort drin,
und die Personalausweisnummer und
Sozialnummer und’s Geburtsdatum, sondern
auch noch die Namen der Eltern, also war
jetzt nicht Deutschland, aber so…“ und da
fragt man sich, „Wie viele Daten haben die
denn da eigentlich? Und wie viele Daten
haben andere und sind die vielleicht schon
weggekommen oder noch nicht?“ Und da fällt
einem auf, dass dieser Datenreichtum da
sehr asymmetrisch ist. Also viele da
draußen haben Daten über uns und wir
wissen’s nicht. Und wenn wir’s wissen, so
grob eine Idee haben, dann ist das aber
trotzdem kein Stück anschaulich. Also für
den Einzelnen kein Stück anschaulich und
man braucht so Beispiele wie, wenn
dann mal einer losgeht und mit einem
Journalisten was aufarbeitet, z. B. …
F: Was Malte Spitz gemacht hat.
R: Genau, seine Handydaten aufarbeitet,
um tatsächlich zu sehen, was das bedeutet.
Und da fehlt mir schon diese
Feedbackfunktion, da sind wir
auch wieder bei der Forderung Datenbrief.
F: Genau, die alte Forderung des
Datenbriefs müssen wir glaube ich mal
wieder auflegen, nämlich zu sagen, wenn
Unternehmen oder Behörden Daten über
einen Bürger haben, müssen sie ihn einmal
im Jahr darüber in Kenntnis
setzen, dass dem so ist.
Applaus
R: In dem Kontext auch sehr erbaulich,
der Vortrag über die Abfrage oder das
Einfordern von Daten vom Staat, der hier
auf dem Kongress gelaufen ist, ich glaube
am ersten oder am zweiten …
F: Du meinst den über Polizeiregister?
R: Genau, der mit den Polizeiregistern …
iPhone-Fehler 53. Thema – wer hat das
mitgekriegt? Das war dieses Ding, dass
– ach ja, wer war denn betroffen oder
kennt jemanden, der betroffen war?
Och ja, doch, so ein paar …!
Das war das Thema, dass es bei
den neueren iPhones dieses Touch-ID
gibt, diesen Fingerabdrucksensor, und
wenn man den austauschen lassen will,
dann muss der wieder gekoppelt werden
mit der restlichen Kryptohardware, also
mit dieser Secure Enclave, weil der mit zu
diesem Trusted Chain gehört, der da
etabliert wird. Und das können die
Nicht-Apple-Stores nicht. Und das ist
von daher bemerkenswert, dass hier
Kryptografie und Gerätesicherheit den
Teiletausch ver- oder behindert, weil das
sicherlich mehr werden wird. Ja.
F: Also immer mehr Geräte bestehen
ja aus vielen Komponenten und wenn diese
Komponenten sicherheitsrelevant sind,
was ja bei Mobilgeräten dann schon langsam
fast alles ist, weil auch der Touchscreen
mittlerweile dazugehört, wo man sein
Passwort eingibt oder so, dann wird
diese Verkopplung von Komponenten
innerhalb der Geräte definitiv zunehmen.
Also da sehen wir einen ganz klaren Trend,
was dann bedeutet, dass nur noch die
Werkstätten, die entweder die Software vom
Hersteller haben oder die entsprechende
Reverse-Engineering Box aus China haben,
in der Lage sind, diese Verkopplung dieser
Reparaturaustauschkomponenten
wieder vorzunehmen.
Was ähnliches sehen wir interessanterweise
bei Autos – so Autos enthalten ja
mittlerweile auch tonnenweise Sensoren
und da gibt’s so ein paar Sensoren, die
sind so gut, dass sie unter
Exportkontrolle fallen, also
zum Beispiel so was wie schnelle
Infrarotkameras mit hoher Framerate.
Und die müssen dann mit diesem Auto
verbunden sein, also elektronisch. Die
dürfen dann halt nur mit einem bestimmten
Bordcomputer funktionieren und da muss man
dann inzwischen schon einen ziemlichen
Kryptosignaturtanz aufführen, um so eine
Komponente an einem Auto
tauschen zu können.
Das wird dann richtig
interessant bei Autotrojanern.
R: Genau. Wo wir dann wieder beim
Thema Ransomware sind, weil man
sich ja als Ransomware-Autor auch
überlegen muss, wie man seine Prioritäten
setzt, nicht wahr? Und wo es sich denn
lohnt – und es lohnt sich halt da, wo man
viele Daten abgreifen kann oder Daten
als Geisel nehmen kann, ja?
Und da, wo das Gerät, das man einnimmt,
einfach zu teuer ist. Und wo die Leute
nicht einfach losgehen und sagen „Ja, mein
Gott, dann parke ich das Auto eben an der
nächsten Ecke und gehe weg
und kaufe mir ein Neues!“
Wenn man da nicht einfach die Hauptplatine
rausreißen kann und eine neue reinstecken
kann, dann … muss man halt zahlen.
F: Ich glaube, wenn ich so einen
Autotrojaner schreiben würde, dann
würde ich einfach verhindern, dass die
Leute ihr Auto abschließen können.
Gelächter + Applaus
Da kann man sich dann unterschiedliche
Variationen von vorstellen. Also man
könnte z. B. noch eine App da dranhängen,
die sagt, wo diese Autos stehen, und schon
hat man instant ein
Car-Sharing-Unternehmen.
Gelächter + Applaus
R: Genau, ihr Auto fährt jetzt Pizza
aus, so lange, bis sie bezahlt haben.
Gelächter
Publikum aus dem off: Wie sieht das denn
bei autonomen Fahrzeugen aus?
R: Ja bei autonomen Fahrzeugen sieht es
so aus … Ist es dein autonomes Fahrzeug
oder jemand anderes autonomes Fahrzeug?
Die Antwort ist natürlich: Wenn es ein
autonomes Fahrzeug ist, dann gehört
sich das Fahrzeug hoffentlich selbst!
Gelächter + Applaus
Und die Frage ist, ob ein
Lenkradschloss oder eine
Reifenkralle Freiheitsberaubung ist.
Gelächter
Genau. F: Also ich glaube, bei dieser
Ransome gibt es noch echt Potential.
Also da kommen wir bestimmt
noch mal drauf zurück.
R: Also ich finde, Ransomware, hatten wir
glaube ich schon letztes Jahr gesagt, aber
das ist echt ein weites Feld, das ist hoch
spannend sich anzuschauen, wie die damit
umgehen alle. Also dieses Thema, also
Ransomware verschlüsselt den Rechner, OK!
Aber da ist ja noch gar nichts passiert!
Also das interessante ist ja noch nicht
passiert, nämlich die Transaktion,
das Geldzahlen, wie kommt denn der
Durchschnittsbürger an Bitcoins?
Haben die Bösen dann da
entsprechend eine Supporthotline?
F: Nee, ich glaube, die machen …
Was ich machen würde: Ich würde einfach so
die am besten bedienbare Bitcoin-Exchange
ever bauen. Also so eine Bitcoin-Exchange,
die so richtig durchdesignt ist, so super
einfach ist, so „Schieb hier deinen 10€
Schein rein, da vorne kommen Bitcoin raus“
und du kannst gleich die Adresse deines
Trojaners reinpasten. Und der Vorteil
davon wäre, wenn man die dann auch noch
selber betreibt als Ransomwarebetreiber,
dann hat man sozusagen plausible liablity
und obendrein gleich das Bargeld in der
Tasche.
R: Uhhhh!
Genau. Also eine neue Dimension dort war
ja dieses Thema: Du kannst nicht zahlen?
Kein Problem: Schicke diesen Trojaner
einfach an 2 Freunde und wenn die dann
zahlen …
Applaus
Und ich meine, ihr lacht jetzt, aber das
ist ja unglaublich perfide! Weil die Leute
sich dann wirklich große Gedanken machen,
wie sie diese Mail schreiben müssen, damit
das Opfer auf der anderen
Seite draufklickt!
Ich habe auch erst nur die Überschrift
gelesen und gedacht: Wie, ich muss 2 Leute
infizieren, um selber meine Daten
wiederzubekommen? Ey, habe ich eine
eingetragene Domain, habe ich so
viele Freunde wie du willst!
Und dann habe ich zu Ende gelesen und dann
steht da, nee, irgendwer muss dann zahlen
am Ende. Da hab ich gedacht, okay …
F: Zum Glück haben die Leute mit facebook
ja ganz viele „Freunde“.
Lachen
R: Aber auch—F: positiv—
R: Let’s Encrypt. Die schönen Zahlen.
Applaus!
Applaus
F: Genau! Bemerkenswertes 2016.
R: Da heizen wir jetzt durch, ne?
F: Da müssen wir ein bisschen durchheizen.
R: Es gibt diesen Mirai, der hinter sich
den Port zugemacht hat. Ne? Verseuchen,
Port hinter sich zumachen. Gut bis zum
nächsten Reboot. … Das war auch eine
schöne Aktion, da hat sich jemand, dem das
Handy geklaut wurde dann ein neues Handy
gekauft, das mit einem Trojaner verseucht
und sich das dann klauen lassen und dann
alle Daten, die da angefallen sind über den
Trojaner/Überwachungssoftware abgegriffen
und dann daraus was gemacht und das hilft
ja auch sehr bei der Verbildlichung
dessen, was passiert, wenn das eigene
Telefon trojanerverseucht wird.
Ganz schön für die Anschaulichkeit.
F: Makroviren sind immer noch nicht tot.
Im Gegenteil – sie kommen wieder neu.
Wir haben eine Weile überlegt, woran das
liegt, bis ich mich dann so daran erinnert
habe, was ich denn so dieses Jahr alles an
Makroviren … nee, Makros in irgendwelchen
Word-Dokumenten im ganz normalen
Berufsalltag irgendwie hatte … ich habe
da so eine extra eigene VM für, in der
man solche Makros dann ausführen kann
und es ist erstaunlich, ja? Also der Grund
dafür ist einfach: Da hängt das Herzblut
von Leuten dran. Das sind halt so Leute,
die Probleme in Excelmakros gelöst haben,
und um die abzulösen bräuchte man ein
richtiges Softwareprojekt, dafür hat
niemand das Geld und die Zeit und dafür
müsste man Spezifikationen schreiben …
und deswegen werden Makros und damit
Makroviren glaube ich auch nicht sterben.
R: Geht nicht weg.
F: ZigBee! — R: Wer von euch
hat denn ZigBee zuhause?
Also wirklich …
F: Nein, moment – wer von euch
hat denn ’ne Philips-Hue-Birne zuhause?
R: Auch keiner …
F: Kennt jemand einen, der eine
Philips Hue Birne zuhause hat?
Die Leute haben ZigBee zuhause.
R: Genau, das schleicht sich jetzt
von hinten an. In die Glühbirnenfassung.
F: Ist so ’ne Zombietechnologie irgendwie.
Geht nie … ist so ’ne untote Angelegenheit
R: Aber dafür gab es dieses Jahr einen
astreinen Exploit, oder?
F: Ja, der war sehr schön.
R: Vulnerability oder Exploit?
F: Ja, beides.
… und was sich dann auch so vom einen
zum anderen verbreiten kann und die hatten
eine sehr schöne Idee für die Verbreitung:
Nämlich einfach einen relativ kräftigen
ZigBee-Transmitter nehmen und den einfach
an eine Drohne schnallen und die Straße
runterfliegen.
Gelächter + Applaus
Das Schöne daran ist: Da kann man dann
nicht nur normales Blinkenlights machen,
sondern RGB-Blinkenlights!
Applaus
R: Ja, bemerkenswert fanden wir das
Malware-Museum auf archive.org, das
es dort jetzt gibt. Das ist zwar viel
entkernte Malware, aber dafür sind dort
auch gleich die Emulatoren, also die DOS
Emulatoren, die man braucht, um dann dem
Bootsektorvirus beim Arbeiten zuschauen
zu können. Sehr hübsch. — Applaus
F: Diese Geschichte war sehr interessant.
Auch sehr inspirierend. Also Samsung hat
ja dieses kleine Problem
mit diesen Telefonen,
die plötzlich cyberphysikalische Systeme
wurden, also sprich: einen exothermen
Einfluss auf ihre Umgebung nehmen konnten.
Gelächter
Und dann mussten sie die ja zurückrufen.
Und dann haben die sie halt zurückgerufen
und die kamen nicht alle zurück, weil ein
paar Leute mochten diese Telefone, meinen,
„Ja, meins wird schon nicht explodieren.“
und dann haben sie angefangen, die
Daumenschreiben anzuziehen. Haben
erst gesagt, sie reduzieren erstmal die
Möglichkeit der Akkuladung auf 80%, dass
das Telefon nie ganz voll wird, da kommt
dann immer so ’ne Warnung, beim nächsten
Mal waren es 60% mit der nächsten Software
und am Schluss haben sie das Laden
komplett kaputtgemacht, nach dem Motto:
„So, dein Telefon ist jetzt leider nur
noch ein Türstopper. Bring es mal
zurück in den Laden“. Was wiederum dieses
„gehört das Gerät dir oder irgendjemand
anders“ doch wieder arg reinreibt. Und da
kam mir so die … eigentlich könnte man
doch auch einen schönen Ransomware
Trojaner draus machen, ne?
Gelächter + Applaus
So einen Trojaner, der einfach hingeht
und sagen wir mal die Akkuladung auf
60% begrenzt und sonst nichts weiter tut.
Publikum aus dem off: Gibt’s schon. iOS!
Gelächter + Applaus
R: Ja, es meinte gerade jemand aus dem
Publikum, das wäre doch die Apple Strategie
F: Und dann – Inkasso haben wir ja gerade
gehört ist so ein Problem bei Ransomware –
alles was man dann tun muss, ist,
eine App verkaufen im App Store, die den
Ladecontroller wieder dazu bringt,
100% zuzulassen, und schon hat man
sein Inkasso komplett legal, kann das
prima versteuern, muss nicht mit Bitcoins
rummachen, alles prima.
Gelächter + Applaus
R: Letztendlich ist es bemerkenswert
deswegen, weil es jetzt schlicht und
einfach öfter passieren wird. Das wird
nicht das letzte Mal gewesen sein, dass
das die Sache ist, die man tun muss als
Hersteller, um sich nicht irre rechtliche
Risiken ins Haus zu holen.
F: Weiß noch jemand, wann Conficker war?
R: Wann war Conficker?
F: Na? – R: Na?
Publikumsruf: 2006
R: 2006 sagt er … na, etwas später!
Publikumsruf: 2009
R: Ja, 2008, 2009, so was in der Richtung.
Und der ist noch nicht tot und der hat
es bis ins Atomkraftwerk Grundremmingen
geschafft dieses Jahr. Applaus.
Applaus
F: Genau. Es bestand nie eine Gefahr für
die Bevölkerung. — Gelächter
Ja, Paketdrohnen, ihr habt das bestimmt
gesehen, da gab es so verschiedene; diese
Fliegedinger waren uninteressant, so
Quadcopter mit Paket drunter, hatten wir
alles schon vor Jahren. Neu waren diese
„rollt auf dem Bürgersteig rum und liefert
dein Paket zu dir nach Hause“-Experimente.
R: Genau, da gab es ja Pilotprojekte in
Berlin und Hamburg und die Artikel – habt
ihr die Artikel dazu gesehen? Die waren ja
zum Schreien! Dann steht da im Artikel
drin: Ja, wir haben herausgefunden, dass
wenn die Drohne über den Bürgersteig
kriecht, dann setzen sich da kleine Kinder
drauf. Wow!
Gelächter + Applaus
F: Und ich meine, so der erste Gedanke als
ich davon las, war irgendwie so … habe ich
jetzt noch genug Kupfergase im Haus, um
eine Kiste dafür zu bauen? — Lachen
R: Nein, Herr Wachtmeister – das ist kein
faraday’scher Käfig für Drohnen, das ist
mein Kaninchenstall!
Gelächter + Applaus
Warum ich auf dieser Klappe stehe?
Nein nein, da geht es zum …
das ist der Abwasserkanal, das
ist keine Fallgrube für Drohnen!
Gelächter + Applaus
So irre, ja?! Gut, Paketdrohnen …
Das war noch beeindruckend; ich weiß
nicht, wie viele von euch das mitgekriegt
haben, das lief jetzt gerade durch
die News, dass der Lastwagen vom
Breitscheidplatz wohl früher gestoppt ist
als es ein herkömmlicher Lastwagen getan
hätte, weil er ein Unfallwarnsystem hatte.
Und von daher denke ich irgendwie, das ist
so eine Notiz in den Geschichtsbüchern
wert, weil das wahrscheinlich das erste
Mal war, dass ein Roboter
ein Attentat behindert hat.
Applaus
F: Mittlerweile sind solche Bremssysteme
bei neu zugelassenen LKW in der EU
Vorschrift, die Frage ist jetzt nur noch,
wie schnell diese Flotten erneuert werden.
Mal gucken.
R: Gut – 2017 …
Schauen wir mal nach vorn. Hardware,
Software, wisst ihr eh. Wie wird sich denn
das weiterentwickeln …?
F: Wer von euch weiß denn,
wie viele Geräte er im Haus hat, die
zumindest prinzipiell mal ein Firmware
Update brauchen könnten?
Oder eins empfangen können? … OK.
R: Moment: Das sind 20 Leute, die von sich
behaupten, sie wüssten, wie viel Hardware
sie bei sich zuhause haben
mit einer IP-Adresse.
F: Wir fragen mal ab: Wer von euch glaubt
denn, das sei bei sich weniger als zehn?
Weniger als 20 …?
… weniger als 30 …?
… weniger als 40 …?
… weniger als 50 …?
R: OK, weniger als 20 war die Mehrheit.
Und wer hat dieses Jahr einen Zensus
durchgeführt? — Gelächter — Und eine
IoT-Befragung im eigenen Netzwerk?
Gelächter
Andere Leute nennen das nmap-Scan, glaube
ich. Wer musste dafür Gewalt anwenden?
Gelächter
OK, ja. Das häuft sich an, oder?
Wer hat Dinge, von denen er weiß,
dass sie eigentlich weg müssten?
Gelächter
Oh! Alle!
F: Vorsätze fürs neue Jahr …?
R: Die technischen Schulden …
die Tablets eurer Kinder, oder? Wahlweise
die Tablets eurer Großeltern …
Wie viele davon haben einen Akku? Ach
so, tschuldigung, wer hat welche, die auch
’nen Akku haben und eine IP-Adresse? OK …
F: Alle anderen lügen!
R: Weiß das eure Versicherung? Genau,
das sind alles kinetische Aktoren jetzt.
Oder dorment cyber pathogens.
Gelächter + Applaus
F: Wobei ich auf diesem Kongress was
interessantes gelernt habe. Ihr kennt
ja alle diese komischen Hoverboards, mit
denen hier auch viele Leute rumgefahren
sind, die ja so einen interessanten Ruf
haben, dass sie gelegentlich einem stark
exotherm die Füße wärmen — Gelächter
— und ich wurde belehrt, dass das
tatsächlich nur ein Problem der
mechanischen Verarbeitung ist.
Das ist ein Produkt, das beim Kunden reift
Man muss es vor erster Benutzung erstmal
aufschrauben und dann mit’nem Schleifgerät
erstmal die ganzen Grate entfernen, die
sich sonst so in Kabel und Akku
bohren können und danach ist
es wohl perfectly safe.
Gelächter
R: So einfach! Is so einfach alles!
Ja … das ist ja was, wo wir überlegt
haben: Sind die eigentlich schon vorbei,
die Auto-Update-Religionskriege?
Kommen die erst noch? Haben
die nur gefühlt stattgefunden?
Also diese Fragestellung, ob etwas im
Auslieferungszustand Auto-Updates
eingeschaltet haben sollte – Ja oder Nein?
Wer findet, dass Dinge, die verkauft
werden in so Standard-Consumer-
Elektronik-Läden per Default Auto-Updates
eingeschaltet haben sollten?
Das ist die Mehrheit!
Publikumsruf: Es braucht einen Ausschalter!
R: Es braucht immer alles einen Ausschalter!
Applaus
Ja, einverstanden.
F: Also ich denke, für 2017 können wir
glaube ich annehmen, dass sich Ende
2017 dieser Glaubenskrieg um
Auto-Updates erledigt haben sollte.
Also manchmal geht
das DHCP nicht, aber pffff …
Gelächter
R: Genau …
Und jetzt ist eben die Frage, wie erkenne
ich vorher, ob das geht oder nicht geht?
F: Also ich finde ja, Security Updates
sollten verpflichtend Auto-Updates sein
und sie müssten von Feature-Updates
getrennt werden. Sodass man sagen kann …
Applaus
… dass so Dinge nachinstallieren, die dann
dazu führen, dass es entweder Funktions-
einschränkungen gibt oder neue
Überwachungsmöglichkeiten, dass
man die sich separat überlegen kann.
R: Ja, eindeutig.
unverständlicher Publikumszuruf
R: Ja, natürlich ist das nicht
immer einfach. Ich mein, ich habe auch auf
meiner Fritz!Box andere Sachen gemacht als
nur Internetpakete zu routen und dann
war plötzlich das Telnet weg mit so einem
Security-Update, natürlich
ist das kein Spaß. Aber hey!
Der nächste Schritt ist dann natürlich,
dass das auf die Packung muss. Es muss
auf die Packung: Dieses Produkt hat
ein Mindesthaltbarkeitsdatum von …
Applaus
R: Und das entspricht dann der Zeit,
die man Security-Updates kriegt, ja?
Wobei das noch spannend wird dann in den
Details. Ich hatte dieses Jahr mit einem
großen Security-Software-Hersteller auch
einen interessanten Dialog, so nach dem
Motto: Ihr habt doch da in dem Produkt
was gepatcht, warum gibt’s denn dazu kein
Security-Bulletin oder wie auch immer ihr
das nennt? – Ja, das war ja nicht ein
Fehler in unserem Code. Nee, nur in dem
Tomcat, das wir benutzt haben … Okay …
Und das muss ich jetzt wissen, dass ihr da
ein Tomcat drin versteckt habt oder was?
Und solche Sachen … also das wird dann
noch lustig. Das ist doch nicht mein Code,
sondern nur die 23.000 Libraries,
die ich linke … Ja, works for you, okay
Applaus
R: Aber es wird ja noch schlimmer kommen!
F: Genau. Dinge, die denken!
R: Die Dinge, die denken. Die Dinge,
die für sich in Anspruch nehmen,
für euch zu denken. unverständlicher
Publikumszuruf – Applaus + Gelächter
R: Nee, wir reden von Dingen.
Gibt es da, ist da eine Analogie
versteckt in Politikern, die
für mich zu denken denken?
Weiß nicht, da fällt mir
gerade nichts ein.
Dinge … also dieses mit den neuronalen
Netzen irgendwas vielleicht. Oder sonstwie
Und dann wird es glaube ich lustig, wenn
man an denen nicht vorbeikommt, weil die
irgendwo eingebaut sind und man sie nicht
wegpatchen, ausschalten oder sonst wie
neutralisieren kann.
F: Vor ein paar Jahren hatten wir
auf dem Kongress eine Flut von Aufklebern,
so Warning Signs for the 21. century.
Und da drin war „Contains AI“,
war auch so ein schönes …
Also wir brauchen „Contains Internet“,
„ContainsCloud“, „Contains AI“ – ja …
hört ihr zu?
Publikumszuruf: Cyber!
R: „Contains Cyber“ …
Gelächter + Applaus
F: Ja, nur so als Ansage, ne? Also für
Leute, die sich um Correlation-Attacken
in Anonymisierungsnetzwerken
Gedanken machen, der Stand der Technik
ist mittlerweile 4ns genaues Timestamping
auf 100 Gbit Traffic im Durchfluss.
Heißt, so alles was low latency anonymity
Sachen sind, wird langsam ein bisschen eng
Ist nicht lustig.
R: Was uns dazu führt …
Also die Technik, die da ist und die Dinge
untersuchen kann, wird immer besser,
das heißt, das was da ist wird immer
billiger. Das, was so ein ISP inzwischen
alles sich anschaut, nur um zu sehen, ob
er und seine Kunden noch im grünen Bereich
sind, wird auch immer mehr und da sind wir
dann auch bei dem Thema Asynchronität
dieser Datensammlung und dass man
so wenig weiß darüber, was die anderen
eigentlich über einen wissen.
Und die Diskussion, die wir
zwischendurch hatten, war halt: Will ich
nicht wissen, was mein ISP über mich weiß
oder wissen kann? Wäre es nicht vielleicht
ganz praktisch, wenn es so einen Popup
gäbe, wo mir der ISP sagt, dass sich aus
meinem Netz Geräte anmelden wollen bei
jemandem, der vor vier Wochen pleite
gegangen ist und die Cloud weg ist oder so
Und, naja, auf der anderen Seite werden
die Daten dann auch wieder angehäuft,
wenn es dem ISP dann schlecht geht,
verkauft er sie auch meistbietend oder so,
will man vielleicht auch alles nicht. Ja.
F: Was wir 2017 auch noch sehen werden
ist definitiv, dass Ad-Blocker
zu Realitätstunneln werden.
Weil wir haben ja sozusagen eine
Content-Filtering-Engine in unserem
Hauptdatenstrom und eigentlich können
wir die auch verwenden, um andere Dinge
zu tun, außer nur die Werbung
rauszumachen, also z. B. diese
Kommentare will sowieso keiner lesen
meistens, ist eh überflüssig, und Sport
News braucht auch eigentlich niemand …
Applaus
R: Und so fängt es dann an …
Also fängt dann an …
F: Und ich glaube, wenn man so ein
bisschen vorausguckt – vielleicht nicht
nächstes Jahr, aber übernächstes Jahr
so langsam, die Werbeblocker-Blocker
werden ja immer besser, deswegen brauchen
wir bald Werbeblocker-Blocker-Blocker und
die müssen natürlich auch so langsam
intelligent werden, d. h., wir werden so
eine verteilte Intelligenz bauen, die uns
die Werbeblocker-Blocker blockt und
dann wird auf der anderen Seite
wahrscheinlich auch AI eingesetzt werden,
die die Blocker-Blocker-Blocker versucht
zu umgehen und dann haben wir sozusagen
so zwei Lager von Maschinenintelligenzen,
die um unsere Aufmerksamkeit kämpfen.
Gelächter + leichter Applaus
R: Das kumuliert dann in diesem „Hey, hast
du diese lustige, was weiß ich … Coca-Cola-
Werbung gesehen?“ – „Wie, Coca-Cola-
Werbung? Hey Siri, zeig mir mal die
Coca-Cola-Werbung von gestern“
– „I’m sorry Dave, I can’t do that.“
Gelächter + Applaus
R: Gut, letzte Seite. … vorletzte
Seite … letzte Seite …
Geschäftsfelder, Crypto und Sport.
Also … genau – Schattendatenbanken.
Also diese … des einen Not ist ja des
anderen Geschäftsidee, oder so ähnlich.
Wenn da so viele Datenbanken
überall wegkommen …
F: Datenreichtumsaggregation.
R: Genau. Dann gibt es bestimmt
jemanden, der denkt, dass es doch toll
wäre, das alles einzusammeln. Es gibt
da ein paar, die gehören zu den Guten.
Was weiß ich … HaveIBeenPwned.com
wo man nachgucken kann, ob die eigene
E-Mail-Adresse schon weggekommen ist.
Und die sich sehr viel Mühe geben, zu
verifizieren, ob die Datendumps, die sie
so im Internet finden echt sind oder
nicht, aber da findet ja noch mehr statt.
Also ganz viele Sachen sind weggekommen,
die Preise für Krankenakten, ich glaube
amerikanische Krankenakten sind dieses
Jahr gecrasht auf $10 das Stück – ja, das
ist alles nix mehr wert! Und dann gibt’s
bestimmt jemanden, der das aufkauft
und sich dann überlegt: Vielleicht
kann man damit später was machen, ja?
Und wenn’s nur ist, bessere
Phishingmails … ja?
Also mit den LinkedIn-Daten ist das ja
schon passiert! Die LinkedIn-Daten, die
weggekommen sind – wann war das, letztes
Jahr oder dieses Jahr? Nee, dieses Jahr im
Mai oder so – die sind ja dann hinterher
eingesetzt worden, um noch bessere
Phishingmails verschicken zu können.
F: Ja, neue Berufsfelder:
IoT-Wünschelrutenläufer.
Gelächter + Applaus
Wie wir festgestellt haben, weiß niemand
so richtig mehr, was er alles an Geräten
zuhause hat und – ich mein –, ihr könnt
das ja vielleicht noch rauskriegen, so den
Kabeln nachgehen oder mal gucken, ob es
irgendwo rhythmisch blinkt oder so, aber
so Leute, die so keine Ahnung davon haben
und da nichts wissen, da könnte man so ’ne
Wünschelrute bauen, mit der man
dann halt so IoT-Geräte suchen geht.
R: Genau, die gibt’s ja eigentlich schon:
Das sind die Wanzenjäger oder so und
die haben jetzt einfach
ein größeres Betätigungsfeld,
nech? Die können da ausbranchen.
Publikumszuruf: Who you gonna call?
F: lachend Genau.
R: Who you gonna call, mhhhm!
Ja, gut.
F: Was wir auch sicherlich annehmen
können: Storafee-Crypto ist nur taktisch.
Weil irgendwas geht halt immer kaputt.
Entweder war der Random-Number-Generator
kaputt oder das Passwort, mit dem das
Backup des Telefons auf dem Notebook
gesichert wurde war
leider nur so mittelgut;
jedenfalls: Irgendwas
ist immer.
Das heißt also, wir müssen wohl davon
ausgehen erstmal, bis auf weiteres
Storage-Crypto als nur taktische
Sicherheit zu betrachten.
R: Naja, also du hast da so ’ne Plattform
wie iOS, dafür kosten dann die Exploits
schon ’ne Million, und trotzdem ist es so,
dass wenn du deine Passphrase vergisst
oder was, dann musst du dir das Ding
eigentlich nur ein halbes bis Dreiviertel
Jahr hinlegen und dann kommst du
an die Daten wieder ran, ja?
Und … das ist alles nur zwischenzeitlich.
Wenn man dann sagt: Wir haben hier extra
hingeschrieben „Storage-Crypto“, aber für
die, die an Perfect-Forward-Security
glauben, was ja im Moment noch
gut aussieht, für die dann noch mal der
Hinweis, dass euer Firefox und so auch
eine Funktion hat, um die SSL-Session-Keys
lokal zu speichern. Guckt doch mal nach,
ob das ein- oder ausgeschaltet ist.
F: Gerade in Firmen sehr beliebt.
Genau, neue Sportarten: Digital Prepping.
Das überlassen wir euch mal, was ihr
daraus macht. Ne, denkt mal so nach:
Prepper sind so die Leute, die bereiten
sich auf die Zombieapokalypse vor, so
mit irgendwie Trockenmahlzeiten in großen
Mengen und Generator in
der Garage und so und …
R: Und zum Digital Prepping gehört
sicherlich das Thema Stromversorgung,
nicht?! Ist klar. Photovoltaik, die
netzunabhängig funktioniert oder
zumindest mal den USB-Lader
laden kann, keine Frage.
Publikumszuruf: Freifunk
R: … wat-funk?
F: Jaja, Freifunk, ganz richtig. So
Mesh-Netzwerke, mit denen man halt
irgendwie auch nach der Zombieapokalypse
noch Porn gucken kann … – Gelächter
Applaus
R: Und die notwendigen
Verstärker dafür …
F: Genau, wie gesagt – Digital Prepping,
ich glaube, dazu gehört dummerweise
mittlerweile auch ein YouTube-Archiv,
weil gerade so dieses „Wie häute ich so
ein Tier oder so, was ich gerade in meinem
Hinterhof erschlagen habe“ steht halt
nicht in der Wikipedia, ne?
Gelächter + Applaus
R: Ja, und der letzte Punkt ist dass wir
den Eindruck haben, dass es doch immer
mehr Robotor gibt. Also das fängt an mit
Rasenmäherrobotern, die am Internet hängen
und Drohnen, die vielleicht Pakete
ausliefern oder damit jonglieren …
F: Genau, also da gibt’s ein großes
Betätigungsfeld für Kunst, z. B. man
stelle sich mal vor, was man für tolle
Kornkreise machen kann mit so einem
Mähdrescher, wenn man den umprogrammiert!
Gelächter + Applaus
R: Genau … — F: Ja, dann sind wir
auch glaube ich am Ende.
R: Ja, damit gehen wir los und wir
haben nur fünf Minuten überzogen
und wünschen euch allen einen schönen
Abbautag – wie gesagt: nehmt nichts mit,
was zum Gebäude gehört und
einen guten Rutsch ins Jahr 1984.
Applaus
Abspannmusik
Untertitel erstellt von c3subtitles.de
im Jahr 2017. Mach mit und hilf uns!