<i>33C3 Vorspannmusik</i>

Linus: Also, als wir heute morgen hierher
gefahren sind, sagte der Taxifahrer:

Linus + Engel: "Die erlauben sich zu viel."
L: zu viel

E: zu viel
zu viel

L: Mit dieser ganzen Informatik

E: Nein, nein! Die Informatiker
mit ihrem Internet

<i> Gelächter </i>

L: Jetzt hast Du …
Ich wollte …

<i> Gelächter </i>

E: Habe ich Dir jetzt den
Joke kaputt gemacht?

E: Naja, gut.

L: Viel Spaß bei den Security Nightmares.

<i> Applaus </i>

Ron: Haaallo?
Publikum: Hallo

R: Hallo!
Publikum: Hallo

Frank: Hallo, seid Ihr alle da?
Publikum: Ja

R: Wir haben noch 4 Minuten,
bevor es losgeht.

Oder wir fangen
einfach früher an.

Publikum: ja
<i> Applaus </i>

R: Oder wir machen die ganze Zeit Android-Witze.

<i> Gelächter </i>
<i> Applaus </i>

R: Dies sind nicht die Updates,
nach denen ihr sucht.

<i> Gelächter </i>

R: OK. Schön.
Schaut Euch nochmal um.

F: Genau, genießt den Saal nochmal.

R: Ihr dürft nichts mitnehmen.
Wir sollen das hier besenrein übergeben

und das heißt so, wie es
jetzt ist, nicht als Parkplatz.

<i> Gelächter </i>

F: Das machen die dann schon
selber mit dem Parkplatz.

R: Genau.

F: Ja
R: 17. Veranstaltung

Wir haben das Zählverfahren
geändert, sind jetzt beim Binären

because, why not.

51,5% Marktanteil, glaube ich.
F: 51,5?

R: oder so.

F: 33 Kongresse,
17 Veranstaltungen: ja

R: kommt grob hin.
Der Fortschritt ist schmal.

Wenig Fortschritt pro
Veranstaltung ab jetzt.

F: Konvergiert gegen Null.
Ist eigentlich wie im richtigen Leben,

der Fortschritt konvergiert auch
langsam gegen Null.

R: Genau. So schön, dass Ihr
es alle wieder geschafft habt

und schön, dass Ihr 4 Tage
Kongress überlebt habt.

Ich habe dieses Jahr nichts von einer
grässlichen Seuche gehört.

<i> Applaus </i>
R: Klopf auf Holz

<i> Applaus </i>

R: Und offensichtlich seid Ihr alle von
zuhause weggekommen und dem

IT-Security-, IT-Maintenance-
Marathon zu Hause.

Wer hat über die Feiertage noch
ein Windows XP weggemacht?

<i> Gelächter </i>

R: Ihr seid die Helden!

<i> Applaus </i>

R: Wer wurde daran gehindert,
noch eins wegzumachen?

<i> Gelächter </i>
<i> Applaus </i>

R: Das sind zu viele,
das sind zu viele.

F: Wer hat seine Familie schon
Flash-frei bekommen?

R: Ah ja, den Rest erledigt dann Google
Chrome nächstes Jahr, glaube ich.

F: Und, wer hat es zu Java-frei geschafft?
… Schwieriger.

R: Ja nicht so viele. — F: Ja, ich glaube,
Oracle tut da jetzt langsam was.

<i> Gelächter </i>

F: Die haben jetzt angefangen
mit dem Inkasso.

R: Ja richtig, genau. Oracle
tut auch was. Fein.

Wir sagen gar nicht mehr an, dass
wir nicht mehr alles ernst meinen,

was wir hier sagen, weil …

F: Ihr kennt das. — R: Es löst sich
alles in Realsatire auf, da draußen.

Die Bildredaktion ist auch nicht
hinterhergekommen, deswegen haben

wir nur ein Bild mitgebracht, das
für uns das Jahr 2016 symbolisiert.

<i> Gelächter </i>
<i> Applause </i>

F: Ja, man beachte die
Campingstühle im Vordergrund,

<i> Gelächter </i>

F: Weil eigentlich sieht beim Brennen,
die Welt ja doch ganz entertaining aus.

R: Das ist so meditativ, in die
Flammen zu schauen, nicht wahr?

F: Also der Vorteil, das nur als
Bild zu genießen ist, dass man

den olfaktorischen Anteil nicht hat

<i>Gelächter</i>

R: Genau
Ja, genau

R: Android Witze machen wir jetzt keine.
F: Nein nur die ganze Zeit. — R: OK.

Das meinen wir ja gar nicht
bösartig, das mit dem Andoid.

Sondern das ist halt jetzt
die Platform von Milliarden

und damit ist sie relevant,
hochgradig relevant

und dann schlagen so Dinge, wie
diese Qualcomm-Chip-Bugs

in den Androids, die auch LTE konnten
schon ganz schön rein

das waren dann mal 900 Millionen Geräte,

die betroffen waren und von denen nur ein
Bruchteil tatsächlich Updates bekommen hat

Und dann gab es diesen Werbebanner-Klicker
Das waren wie viele Millionen?

F: 90 oder so — R: Ja, 85…90
Millionen, da sind wir immer gleich

bei ordentlich Kleinkram.

F: Aber ich meine auch, so funktioniert ja
die Wirtschaft. Irgendjemand muss diese

Banner ja klicken und im Zuge der
allgemeinen Automatisierung machen

das dann halt die Trojaner.
<i>Gelächter</i>

R: Ja … Ich wundere mich ja, dass
die Server die Banner noch nicht

selber klicken, dass man dafür
immer noch Endgeräte braucht.

<i> Gelächter + Applaus</i>

F: Stimmt, eigentlich wäre es solche
Appliance, die man so bei einem ISP

hinstellt, die halt einfach nur klickt.
R: Du meinst jetzt Firewall?

F: Gerüchteweise soll es sowas
geben, eine klickende Firewall.

R: … eine klickende Firewall

Ist da vielleicht noch Potential.
Nicht wahr?

Genau, das ist ja immer die Schwierigkeit
der Elektronik-Auswahl auch wenn man

gefragt wird im Familien-/Bekanntenkreis,
ist wahrscheinlich schwieriger geworden,

oder wie seht Ihr das? Wer findet, dass es
leichter geworden ist, etwas zu empfehlen?

Nokia 3310 geht immer.
Das sehe ich auch so

<i> Applaus </i>

F: Obwohl davon gibt es
auch schon China-Fakes.

R: Genau, gar nichts kaufen, geht auch.

Damit macht man sich nur nicht
so viele Freunde, erstaunlicherweise

Denen kribbelt es immer allen so.

Eigentlich hätte ich da gern so ein
Vulnerability-Barometer für die 10

meistverkauften Smartphones pro Jahr
oder so, wo man dann immer gucken kann,

wie offen das ist und … aber ist
wahrscheinlich auch zu viel verlangt.

F: Du meinst so eine
Risiko-Level 5 Anzeige.

<i> Gelächter </i>

R: Das ist ja jetzt ein Insider-Joke,
oder? Wie ist denn das definiert?

Risiko-Level 5 – wie ist
denn das definiert?

Wir fragen das BSI wieder im
Januar, habe ich mir sagen lassen.

F: Mir wurde versprochen, auf dem Flur,
dass von betroffenen Mitarbeitern, dass

da noch eine Erklärung dazu kommt

R: Das war ja eine bemerkenswerte Sache,
eine Produktwarnung vom BSI dieses Jahr

zu Routern, Netgear Routern
F: Plasterouterapokalypse.

R: Plasterouterapokalypse und das ist
schon bemerkenswert, schauen wir mal.

F: Wie sah es denn vor 10 Jahren aus?
R: Genau, wir machen das ja jetzt schon

eine Weile, deswegen 10 Jahre
zurückschauen, die Archive sind

auch noch da; nichts depubliziert.

Wir haben da mehr Transparenz
in der Politik gefordert,

weil das ja Problemgruppen sind.

F: Kriminalitätsgeneigte Soziotope
war, glaube ich, der Begriff.

Genau, und was wir vielleicht hätten
dazusagen sollen, dass wir nicht

Nacktbilder gemeint hatten.

F: Wir hatten dieses Jahr relativ viel
Politiktransparenz, insofern …

R: Ja, der Bundestag war sehr transparent-
Die nächste Sache, die wir angesagt hatten

war die Selfservice-Hausdurchsuchung.
Wir hatten damals gedacht an so niedliche

Hunderoboter, die von Bundestrojanern
befallen sind und Kameras in den Augen

haben und durch die Wohnung schleichen.

Interessanterweise braucht es das ja gar
nicht, weil sich offensichtlich alle so

einen digitalen Assistenten reinstellen.
F: Wer hat denn so was unter dem

Weihnachtsbaum vorgefunden?

R: Nein, Du musst das anders fragen:
Wer kennt denn jemand, der sein …

<i> Gelächter </i>

R: Aha, doch ein paar. Aber echt
wenig eigentlich. Warum denn?

F: Wer hat denn zu Hause einen Fernseher
vorgefunden, der zuhören kann?

Gibt es auch immer mal wieder.

R: Kamera ist ja alt – Mikrofon ist neu.
F: Ja, Mikrofon ist neu.

R: Und wer muss die immer
mit der Bohrmaschine behandeln?

<i> Gelächter </i>

R: Traut sich noch keiner.

F: Ist mittlerweile richtig aufwändig,
weil da ist nicht nur ein Mikrofon drin.

So, Stereo und Quadro und so.
R: OK.

F: Wer guckt denn, wenn er neue Hardware
kauft, ob da ein Mikrofon drin ist?

Sehr gut.
R: Zu wenig. Aber einige. OK.

Genau, die Selfservice-Hausdurchsuchung.
Spannend war, dass in dem einen Fall, der

gerade durch die Presse geht, ja gar nicht
Also, natürlich ist da Alexa ganz vorne

in den Schlagzeilen. Weil das kennt jemand
Aber erhebliche Details beigesteuert haben

soll der Wasserzähler. Der IoT-Wasserzähler,
der genau gesehen hat, wann besonders viel

Wasser verbraucht worden ist. Und es war
wohl irgendwie zwischen nachts um 1 und 3.

Und das ist deutlich ungewöhnlich, dass da
sehr viele Wassermengen verbraucht werden

und man dann Leichen in der Badewanne
findet. Irgendwie so war das, glaube ich.

F: Es ging, glaube ich, um die Blutspuren.
R: Ja.

F: Also jedenfalls sind wir jetzt bei
Geräten, die uns verraten. Im Zweifel.

R: Genau, so Verräter-Hardware mit IP-Adresse.
Ich meine in Deutschland hatten wir diese

Aldi-IP-Cams. Von denen weiß ja auch
keiner, wie viele davon noch

ungepatcht im Betrieb sind.
F: Wer hat sowas neulich gesehen?

R: Wer von Euch kennt …
Ja OK, lassen wir das…

Das mit den Plasteroutern hat jeder
mitbekommen. Das waren ja auch

wieviele Hunderttausend?
F: 900.000

R: 900 000 — F: Wie ist denn
eure Mirai-Quote so zu Hause?

Kann man eigentlich mittlerweile fragen.
R: Ja, OK.

R: Genau, vor 10 Jahren Geräetetreiber-
Sicherheitsrelevanz. Auch das poppt

immer mal wieder hoch. Ich glaube,
dieses Jahr gab es das Beispiel von einem

signierten Gerätetreiber, in dem
irgendwie ein Bug drin war, sodass man

andere Gerätetreiber unsignierterweise
nachladen konnte oder sowas.

Das Thema ist also auch immer
noch nicht tot. 10 Jahre später.

Die gute Nachricht hier ist jetzt, glaube
ich, dass Microsoft mit diesen Rollup-

Patches loslegt und es nicht mehr
freistellt, sich die Patches, die man noch

installiert, sich selber auszusuchen.

F: Ist nur doof, wenn hinterher
das DHCP nicht mehr geht.

<i> Gelächter </i>

F: Also andersrum betrachtet,
ist das Gerät dann wirklich sicher.

<i>Gelächter + Applaus</i>

R: Ja, die Plasterouterapokalypse
Ja, genau, das war’s.

Standardpasswörter. Wie vor 10 Jahren
und auch dieses Jahr wieder hochgepoppt.

Und teilweise macht es einen
dann ja fertig, wie wirklich auch

Sicherheitinfrastrukturhersteller damit
umgehen. Die machen dann schnell ein

Update. Das natürlich zu erwarten ist.
Und in dem Update ist dann ein besseres

Standardpasswort.
F: Mit mehr Sonderzeichen.

R: Applaus, Applaus.
<i>Applaus</i>

F: Ja, da hatten wir damals Computer
Aided Industriespionage genannt.

Mittlerweile heißt das,
glaube ich, … Wie heißt das …?

R: Industrie 4.0
Dankeschön

<i>Gelächter + Applaus</i>

R: Die Frage war vor 10 Jahren, ob man
sich schon vors Opel-Werk stellen kann

und vom Parkplatz mit dem WiFi dann sich
irgendwie sein Traumauto zurecht

konfigurieren kann. So, und die Antwort
ist: geht noch nicht, aber die Industrie

arbeitet hart daran.
<i>Gelächter + Applaus</i>

<i>Unverständliches aus dem Publikum</i>

F: Kommen wir noch zu. Ja
genau: LAN/WAN in der Fertigung.

Das nimmt einfach nur
zu. Nicht wahr?

F: Und, wer kennt denn so auswendig die
Affengriffe, die man so bei displaylosen

Internet-enthaltenden
Geräten machen muss?

R: Ja, das was das Standardpasswort ist
von etwas, was Tastatureingaben oder

Telnet oder so was akzeptiert, ist ja der
Affengriff, die Tastaturkombination,

die man braucht, um ein Gerät
in den Servicemode zu setzen

und da sind eben schon ein paar Hände
hochgegangen und das ist ja einmal dieses

Thema Servicemode und auf der anderen
Seite ist es dieses Thema Easter-Eggs

und bei vielen Technologien kann man
ja Easter-Eggs erst dann unterbringen,

wenn sie eine gewisse Komplexität erreicht
haben und da habe ich dann zwischendurch,

als ich an einer Ampel stand und gedacht
habe, wie ist denn eigentlich diese

Auflösung von diesen Buttons früher, diese
gelben dicken Dinger, die waren sicherlich

hoch, da konnte man schnell einen guten
Rhythmus tippen, aber auf der anderen

Seite waren die sicherlich so simpel, dass
man da keine lustigen Sachen verstecken

konnte. Es sei denn jemand möchte gern zum
Mikrofon greifen und das Gegenteil erklären

Und jetzt gibt es die, die induktiv sind
und da denke ich, da ist die Auflösung

vielleicht nicht so gut, da kann man
vielleicht nur einmal die Sekunde oder

alle zwei Sekunden oder irgendwas, muss
man halt schon echt gutes Rhythmusgefühl

haben … Ist das bei Servicetechnikern
schon eine Anforderung?

Gutes Rhythmusgefühl?
F: Um den Servicemode zu triggern?

Vielleicht geht das bei so ’nem
Atomkraftwerk? So mit rhythmischem

Reinfahren der Kontrollstäbe?
<i>Gelächter</i>

R: Aber die Komplexität dieser
Ampelanlagen ist doch inzwischen so,

dass man da locker irgendwas unterbringen
kann; ich mein, die haben Lichter,

die aben diese Klopfsignale …
F: Aber die haben … Internet.

R: Da geht noch was.
F: Ja, das Internet of Things.

Und die haben Funk, ne? Also in Berlin
zum Beispiel können die Straßenbahnen

sich an den großen Trassen die
Ampeln schalten per Funk.

Sehr hübsches Protokoll, haben sie
sich sehr gut ausgedacht.

R: Wieviel Megahertz?
F: Na, eines der Üblichen.

R: Alles das Übliche.
F: Ja, genau.

R: Wenn man nur günstig software defined
radios bekommen könnte …

<i>Gelächter + Applaus</i>

Wenn die nur quasi
irgendwo verschenkt würden!

<i>Gelächter</i>

Quasi … ja … ach, das würde so schnell
nicht passieren, nicht wahr?

F: Nee, es besteht kein Risiko. Jedenfalls
nicht aus der Perspektive von vor 10 Jahren

R: Gut, machen wir mal weiter. Das
Internetnormalitätsupdate 2016 …

dazu zu sagen ist, dass ja im Jahr 2016
üblicherweise die Zahlen von 2015

publiziert werden, das heißt,
die Zahlen sind zum Teil von 2015.

Genau, Flash-Exploits sind jetzt bei
$100'000 das Stück, iOS Exploits &gt; $1M.

Das FBI hat $1,3M bezahlt, wobei keiner
weiß, ob sie das gezahlt haben für den

Exploit oder für die
Bedienung des Exploits.

<i>Gelächter</i>

Also OP-Hacks VS Cap-Hacks oder so …

Wenn ihr darüber nicht lachen könnt,
dann beglückwünsche ich euch.

<i>Leiser Applaus</i>

Das vereinzelte Klatschen der
verzweifelten Seelen!

<i>Gelächter + Applaus</i>

Ja, Bug Bounties! Google hat
im letzten Jahr $2M ausgezahlt,

so viel wie in 2-4 Jahren davor,
so was in der Richtung …

Apple ist jetzt auch mit eingestiegen.
Spät sind sie dran.

F: Wobei man sagen muss, warum sind die
Preise jetzt auf dem grauen Markt so hoch?

Und ich glaube, dass es damit zu tun hat,
dass durch die Ransomware Trojaner ja

diese Umstellung, die wir letztes Jahr
schon erklärt hatten von so Vermarktung

von so Exploits von Business2Business
jetzt auf Business2Consumer umgestiegen ist

weil mit den Ransomware Trojanern jetzt ja
das Geld von allen genommen werden kann.

Und ich glaube, dass das damit zu tun hat,
dadurch sind die Preise da gestiegen, weil

die Monetarisierung einer ordentlichen
Exploit-Chain über so Trojaner inzwischen

doch recht gut funktioniert.
R: Ja, das soll noch Thema sein.

Machen wir mal mit den Zahlen weiter.
Bugs im Linuxkernel haben wohl im

Durchschnitt eine Lebenszeit von 5 Jahren,
für anderen Code haben wir die Zahlen nicht.

<i>Applaus</i>

Man sollte doch mehr ausschalten … Ja.

F: Also wir sehen, Open Source
ist eine tolle Sache!

R: Nee, ich mein, das ist jetzt nur
ein wertfreier Fakt oder so ähnlich.

Die Frage ist halt, der Code, der
jetzt ausgerollt wird …

<i>Applaus</i>
R: Mach mal … Netz aus …

Hey ich mach das jetz hier platt,
weiss du … <i>Gelächter</i>

<i>Rufe aus dem Publikum</i>
<i>Jeopardy-Melodie wird gepfiffen</i>

F: Wisst ihr, wie man so was nennt?
Resilienz! Ihr könnt die Pausenmusik

selber machen, ihr braucht
gar keine Technik dafür!

R: Die Cyberschadenssummen sind gestiegen,
auch in Deutschland. Von €10k auf €18k,

die Versicherungszahlen gehen nach oben,
die Betroffenen steigen … Spannend auch

die Überweisungen, die durch Trojaner
ausgeführt worden sind. Dridex soll wohl

insgesamt einen Schaden erzeugt haben
von 10 Millionen Dollar in den USA und

Einzelüberweisungen sollen bis
zu $2,1M betragen haben. Wohooo!

<i>Applaus</i>

Nur geschlagen durch so Phishing/Chef-
Maschen, wo Mattel, also die, die so

Barbie machen und so was, die haben einen
neuen Chef gekriegt und dann hat sich

jemand als dieser neue Chef ausgegeben
und da sind wohl $3M überwiesen worden.

<i>Applaus</i>

F: Also man kann auch sagen,
Onlinekriminalität ist auf jeden Fall

ein Betätigungsfeld, wo ein weites
Feld von Talenten anwendbar ist.

R: Genau. Geschlagen wurde das wieder nur
durch die Zahlen, die im Rahmen von diesen

„Swift-Hacks“ gehandelt worden sind, wo
wohl eine ganze Milliarde Dollar von der

Zentralbank von Bangladesh irgendwie
wegüberwiesen worden ist und dann haben

sie aufgeräumt und das Geld zurückgeholt
und da geht wohl erstaunlicherweise

ziemlich viel und am Ende
waren nur 81 Millionen Dollar weg.

Super.
<i>Applaus</i>

Genau. Deutsche Zahlen: 4% sind Opfer
von Identitätsdiebstahl, 8% von Phishing,

15% nutzen Ad-Blocking – das soll
ein Drittel der 18-24-Jährigen sein.

Wie ist denn das hier
so im Saal? Ad-Blocker?

<i>Gelächter</i>
OK, das scheinen mir 101% zu sein.

F: Wer musste denn zu Weihnachten noch
einen Ad-Blocker zuhause bei den Eltern

installieren? … Sehr gut.
R: Wer musste einen abschalten?

… weil er sonst keinen Kuchen
gekriegt hätte? … Auch drei. Gut, OK.

F: Da habe ich gerade noch eine kurze
Frage: Wer von euch benutzt denn einen

mehr als einstufigen Ad-Blocker?
R: 10%. F: 10%, ja.

Ihr seid weit vorn, ihr seid die Zukunft.

R: Genau, die Werbebannerklickzahlen sind
Fake, die Up-/Downloadzahlen sind Fake,

die Bewertungen sind Fake, News ist Fake,
wenn euch einer von Microsoft anruft,

ist das Fake. Von Dell auch. Der Typ
von 1&amp;1 ist auch gar nicht von 1&amp;1 …

Wen hat’s noch …? Telekom – wer ist
von der Telekom angerufen worden,

„Guten Tag, Sie haben einen Virus!“ –

Tschuldigung: Wer kennt jemanden,
der angerufen worden ist?

F: Also mittlerweile hat das Ausmaße
angenommen, dass ich tatsächlich dieses

Jahr zum ersten Mal eine Mail von PayPal,
also eine echte Mail von PayPal – so was

soll es geben! – bekommen habe und die nur
durch Zufall nicht gelöscht habe, dachte:

„Ey, die ist aber wirklich
echt gut gefaked!“ und sie dann

halt aufheben wollte, so als Beispiel,
wie gut das mittlerweile alles ist und

dann feststellte, die
ist tatsächlich echt!

R: Ja, neulich habe ich einen Screenshot
gesehen von so einer UPS-Mail, die sie

wohl in den USA verschicken und die echten
UPS-Mails sind ja von Phishing-Mails nicht

mehr zu unterscheiden! Das ist ja …

„Klicken Sie hier, um irgendwas
downzuloaden, was dann da …

linksrum, rechtsrum …“
Erstaunlich! Ja …

Die Frage, die ich mir zwischendurch
stelle: Warum ist denn das eigentlich

mit den Supportanrufen nicht schlimmer in
Deutschland? Wo es doch wohl in den USA

ziemlich schlimm ist? Und ich glaube, das
liegt einfach daran, dass wir halt hier

Deutsch sprechen, und wenn du diese Anrufe
nicht auf Deutsch machen kannst, dann

kriegst du nicht die Leute ans Telefon,
die dir das glauben, was du da erzählst.

<i>Gelächter</i>
So, und da haben wir dann

ja große Hoffnung für die Echtzeit-
übersetzungssoftwarebranche.

<i>Applaus</i>

R: Die 0-Days, die im Einsatz waren,
oder die, die eingesetzt worden sind

F: —in der Wildnis beobachtet wurden …
R: Genau. Die waren wohl 2013, 2014

ungefähr gleich und haben sich
dann von dort zu 2015 verdoppelt.

F: Lohnt jetzt halt mehr.
R: Ja, naja, die Frage ist:

Werden die nicht immer erst an
Regierungen verkauft oder was?

Oder hatten die Regierungen das …
Wussten die noch nicht, wie man

dafür bezahlt in 2015 oder was?
F: Ich glaube einfach, dass wenn

du überlegst, wie viel du aus so einer
Ransomware-Kampagne herauskriegst,

so einer ordentlich
gebauten, das lohnt mehr.

Und ist moralisch wahrscheinlich
weniger verwerflich oder so.

<i>Gelächter</i> + <i>Applaus</i>

R: Noch eine Theorie könnte sein,
dass die allererste Welle keiner

mitkriegt, weil die allererste Welle
tatsächlich dann so gegen politische

Gegner, Dissidenten und so
weiter und so fort geht.

Und das kriegt keiner mit und dann wird
das, wenn es dort weg ist, verheizt. Oder?

F: Ist möglich, ja. So Zweitverwertungen
sind immer schwer zu tracken. Ist halt …

R: Ja, also wissen wir auch nicht.
Wenn ihr mehr wisst …

F: E-Government.
R: Genau, E-Government.

Wählerregister. Viele Wählerregister hat es
erwischt dieses Jahr. 93 Millionen mexikanische,

55M philippinische, 49M türkische Wähler,
und das war dann wohl immer so einmal

komplett. Mal war das eine Dingsdatenbank
– ich hatte mir eine Notiz gemacht … –

F: Einwohnermeldedatenbank?
R: Nee, Mongo-Datenbank!

Eine von 35.000 offenen Datenbanken da
draußen im Internet, die nicht ordentlich

abgesichert waren, war wohl so was.

Und da kommen ja ganz schön viele
Daten mit, das ist echt erstaunlich!

F: Also ihr seht schon so, unsere
Regierung hat immer gesagt, unsere

Daten sind das Öl des 21. Jahrhunderts
und wir sehen jetzt ja so dieses

Zusammenfließen von E-Government und
Datenreichtum, ist also nicht zu vermeiden

Dementsprechend, je mehr Daten so
eine Regierung anhäuft, desto mehr

Datenreichtum kann es da natürlich geben.
R: Genau. Es sei denn, sie haben ihre

Backup-Strategie nicht im Griff. Ich
glaube es gab auch so eine Umfrage wie

„Haben Sie einen Computervorfall gehabt?“
„Ja, so und so viele“ und dann wurde auch

noch gefragt, ob die Unternehmen ihre
Daten klassifiziert haben und 64% der

Unternehmen haben ihre Daten nicht
klassifiziert und nur 52% der Unternehmen

haben keine Probleme mit Backups.
F: Das sind die, die noch nicht probiert

haben, ob sie ihr Backup
wieder restoren können.

<i>Gelächter + Applaus</i>

R: Das war ja, als ich vor 1-2 Jahren
den Telefonanbieter wechseln wollte

und die dann meinten, „Sie müssen erstmal
belegen, dass Sie es sind“, und dann habe

ich gesagt: „Ja, ich bin das und so
ist mein Geburtsdatum“ und die dann

„Ähh, das können wir nicht verifizieren.“
– „Wieso können Sie nicht verifizieren,

was mein Geburtsdatum ist?“ – „Ja, ähm,
das ist uns leider verloren gegangen.“

<i>Gelächter</i>
R: OK, nicht schlecht …

F: Wahrscheinlich hattest du dann einen
Nachbarkunden namens JOHNNY DROP TABLE;

<i>Gelächter + Applaus</i>

R: Ja, das Wahlcomputermassaker …
Wahlcomputer sind immer noch nicht weg

und man hat auch den Eindruck,
dass so ein bisschen, das ist jetzt das

Asbest der Demokratie oder
so an einigen Stellen, ja?

<i>Applaus</i>

Das ist jetzt da, es dachten ein paar
Leute, das wäre eine gute Idee, die die

das nicht gleich sofort rausgerissen
haben, die werden es jetzt nicht mehr los.

Und da ist dann so eine gewisse Trägheit
oder so, mir ist da die Dynamik nicht klar

Die einzige Hoffnung, die ich habe: Das
mit Asbest auf Baustellen war auch mal

ein großes Problem und inzwischen
ist das Routine. Also vielleicht wird

das Wahlcomputerabbauen und durch
Papierwahlen ersetzen auch irgendwann

mal Routine da draußen.

Ja, das ist auch noch E-Government
im Sinne von … Einkaufen.

F: Genau, die FBIs dieser
Welt, die ja mal so gerne

auf die Telefone gucken wollen …
R: Ist ja auf dem Kongress eigentlich

in vielen Vorträgen breitgetreten worden,
analysiert worden, müssen wir gar nicht

weiter ausführen vielleicht;
war hysterisch genug, oder?

Und auch das, was da überhaupt bei den
Demokraten passiert ist oder in Wahlen …

F: Naja gut, da sollte man vielleicht mal
noch ein Wort zu sagen, genau, was bei

diesen Demokraten passiert ist. Was es ja
quasi bedeutet, was dieses Jahr passierte,

ist, dass die Funktion von IT-Security
in einer politischen Organisation, die

Geheimnisse hat, darüber bestimmt, wie
viele Geheimnisse diese Organisation

eigentlich tatsächlich haben kann
und ob das nun halt das – was war es? –

das Risottorezept ist oder tatsächlich
irgendwelche richtigen Geheimnisse ist

dann eigentlich egal. Und wenn man sich
so anguckt, wie dieser Hack passiert ist,

so mit irgendwie Phishingmails, dann
war das jetzt keine Rocket Surgery, das

war halt eher so die untere Klasse von so
Bankingtrojanern, würde ich mal so sagen.

R: Ich denke, interessant wird, zu sehen,
wie die darauf reagieren. Also auf diese

Gefahr, dieses Risiko, dass alles, was in
einer E-Mail steht irgendwann geleakt

werden kann, geleakt werden wird
oder sonst wie wegkommen wird.

Macht man das dann alles per SMS?
<i>Gelächter</i>

<i>Nach Zuruf aus Publikum</i>
R: Bitte? F: Codebücher!

R: Codebücher, ja, ok … F: Njaa, die sind
im Alltag relativ hinderlich, glaube ich.

Außerdem verliert man die glaube ich.
R: Wahrscheinlich werden sie es nicht

hinkriegen, ohne Geheimnisse klarzukommen.

Ist aber der einzige Weg
nach vorne, vielleicht?

Wir werden es sehen.

Was auffällt, wenn Daten ständig wegkommen
und man das so betrachtet und denkt,

„Wow, da sind irgendwie die Wählerregister
weggekommen und in denen war nicht nur der

Vorname, Nachname und Wohnort drin,
und die Personalausweisnummer und

Sozialnummer und’s Geburtsdatum, sondern
auch noch die Namen der Eltern, also war

jetzt nicht Deutschland, aber so…“ und da
fragt man sich, „Wie viele Daten haben die

denn da eigentlich? Und wie viele Daten
haben andere und sind die vielleicht schon

weggekommen oder noch nicht?“ Und da fällt
einem auf, dass dieser Datenreichtum da

sehr asymmetrisch ist. Also viele da
draußen haben Daten über uns und wir

wissen’s nicht. Und wenn wir’s wissen, so
grob eine Idee haben, dann ist das aber

trotzdem kein Stück anschaulich. Also für
den Einzelnen kein Stück anschaulich und

man braucht so Beispiele wie, wenn
dann mal einer losgeht und mit einem

Journalisten was aufarbeitet, z. B. …
F: Was Malte Spitz gemacht hat.

R: Genau, seine Handydaten aufarbeitet,
um tatsächlich zu sehen, was das bedeutet.

Und da fehlt mir schon diese
Feedbackfunktion, da sind wir

auch wieder bei der Forderung Datenbrief.
F: Genau, die alte Forderung des

Datenbriefs müssen wir glaube ich mal
wieder auflegen, nämlich zu sagen, wenn

Unternehmen oder Behörden Daten über
einen Bürger haben, müssen sie ihn einmal

im Jahr darüber in Kenntnis
setzen, dass dem so ist.

<i>Applaus</i>

R: In dem Kontext auch sehr erbaulich,
der Vortrag über die Abfrage oder das

Einfordern von Daten vom Staat, der hier
auf dem Kongress gelaufen ist, ich glaube

am ersten oder am zweiten …
F: Du meinst den über Polizeiregister?

R: Genau, der mit den Polizeiregistern …

iPhone-Fehler 53. Thema – wer hat das
mitgekriegt? Das war dieses Ding, dass

– ach ja, wer war denn betroffen oder
kennt jemanden, der betroffen war?

Och ja, doch, so ein paar …!
Das war das Thema, dass es bei

den neueren iPhones dieses Touch-ID
gibt, diesen Fingerabdrucksensor, und

wenn man den austauschen lassen will,
dann muss der wieder gekoppelt werden

mit der restlichen Kryptohardware, also
mit dieser Secure Enclave, weil der mit zu

diesem Trusted Chain gehört, der da
etabliert wird. Und das können die

Nicht-Apple-Stores nicht. Und das ist
von daher bemerkenswert, dass hier

Kryptografie und Gerätesicherheit den
Teiletausch ver- oder behindert, weil das

sicherlich mehr werden wird. Ja.
F: Also immer mehr Geräte bestehen

ja aus vielen Komponenten und wenn diese
Komponenten sicherheitsrelevant sind,

was ja bei Mobilgeräten dann schon langsam
fast alles ist, weil auch der Touchscreen

mittlerweile dazugehört, wo man sein
Passwort eingibt oder so, dann wird

diese Verkopplung von Komponenten
innerhalb der Geräte definitiv zunehmen.

Also da sehen wir einen ganz klaren Trend,
was dann bedeutet, dass nur noch die

Werkstätten, die entweder die Software vom
Hersteller haben oder die entsprechende

Reverse-Engineering Box aus China haben,
in der Lage sind, diese Verkopplung dieser

Reparaturaustauschkomponenten
wieder vorzunehmen.

Was ähnliches sehen wir interessanterweise
bei Autos – so Autos enthalten ja

mittlerweile auch tonnenweise Sensoren
und da gibt’s so ein paar Sensoren, die

sind so gut, dass sie unter
Exportkontrolle fallen, also

zum Beispiel so was wie schnelle
Infrarotkameras mit hoher Framerate.

Und die müssen dann mit diesem Auto
verbunden sein, also elektronisch. Die

dürfen dann halt nur mit einem bestimmten
Bordcomputer funktionieren und da muss man

dann inzwischen schon einen ziemlichen
Kryptosignaturtanz aufführen, um so eine

Komponente an einem Auto
tauschen zu können.

Das wird dann richtig
interessant bei Autotrojanern.

R: Genau. Wo wir dann wieder beim
Thema Ransomware sind, weil man

sich ja als Ransomware-Autor auch
überlegen muss, wie man seine Prioritäten

setzt, nicht wahr? Und wo es sich denn
lohnt – und es lohnt sich halt da, wo man

viele Daten abgreifen kann oder Daten
als Geisel nehmen kann, ja?

Und da, wo das Gerät, das man einnimmt,
einfach zu teuer ist. Und wo die Leute

nicht einfach losgehen und sagen „Ja, mein
Gott, dann parke ich das Auto eben an der

nächsten Ecke und gehe weg
und kaufe mir ein Neues!“

Wenn man da nicht einfach die Hauptplatine
rausreißen kann und eine neue reinstecken

kann, dann … muss man halt zahlen.

F: Ich glaube, wenn ich so einen
Autotrojaner schreiben würde, dann

würde ich einfach verhindern, dass die
Leute ihr Auto abschließen können.

<i>Gelächter + Applaus</i>

Da kann man sich dann unterschiedliche
Variationen von vorstellen. Also man

könnte z. B. noch eine App da dranhängen,
die sagt, wo diese Autos stehen, und schon

hat man instant ein
Car-Sharing-Unternehmen.

<i>Gelächter + Applaus</i>

R: Genau, ihr Auto fährt jetzt Pizza
aus, so lange, bis sie bezahlt haben.

<i>Gelächter</i>

Publikum <i>aus dem off</i>: Wie sieht das denn
bei autonomen Fahrzeugen aus?

R: Ja bei autonomen Fahrzeugen sieht es
so aus … Ist es dein autonomes Fahrzeug

oder jemand anderes autonomes Fahrzeug?
Die Antwort ist natürlich: Wenn es ein

autonomes Fahrzeug ist, dann gehört
sich das Fahrzeug hoffentlich selbst!

<i>Gelächter + Applaus</i>

Und die Frage ist, ob ein
Lenkradschloss oder eine

Reifenkralle Freiheitsberaubung ist.
<i>Gelächter</i>

Genau. F: Also ich glaube, bei dieser
Ransome gibt es noch echt Potential.

Also da kommen wir bestimmt
noch mal drauf zurück.

R: Also ich finde, Ransomware, hatten wir
glaube ich schon letztes Jahr gesagt, aber

das ist echt ein weites Feld, das ist hoch
spannend sich anzuschauen, wie die damit

umgehen alle. Also dieses Thema, also
Ransomware verschlüsselt den Rechner, OK!

Aber da ist ja noch gar nichts passiert!
Also das interessante ist ja noch nicht

passiert, nämlich die Transaktion,
das Geldzahlen, wie kommt denn der

Durchschnittsbürger an Bitcoins?
Haben die Bösen dann da

entsprechend eine Supporthotline?
F: Nee, ich glaube, die machen …

Was ich machen würde: Ich würde einfach so
die am besten bedienbare Bitcoin-Exchange

ever bauen. Also so eine Bitcoin-Exchange,
die so richtig durchdesignt ist, so super

einfach ist, so „Schieb hier deinen 10€
Schein rein, da vorne kommen Bitcoin raus“

und du kannst gleich die Adresse deines
Trojaners reinpasten. Und der Vorteil

davon wäre, wenn man die dann auch noch
selber betreibt als Ransomwarebetreiber,

dann hat man sozusagen plausible liablity
und obendrein gleich das Bargeld in der

Tasche.
R: Uhhhh!

Genau. Also eine neue Dimension dort war
ja dieses Thema: Du kannst nicht zahlen?

Kein Problem: Schicke diesen Trojaner
einfach an 2 Freunde und wenn die dann

zahlen …
<i>Applaus</i>

Und ich meine, ihr lacht jetzt, aber das
ist ja unglaublich perfide! Weil die Leute

sich dann wirklich große Gedanken machen,
wie sie diese Mail schreiben müssen, damit

das Opfer auf der anderen
Seite draufklickt!

Ich habe auch erst nur die Überschrift
gelesen und gedacht: Wie, ich muss 2 Leute

infizieren, um selber meine Daten
wiederzubekommen? Ey, habe ich eine

eingetragene Domain, habe ich so
viele Freunde wie du willst!

Und dann habe ich zu Ende gelesen und dann
steht da, nee, irgendwer muss dann zahlen

am Ende. Da hab ich gedacht, okay …
F: Zum Glück haben die Leute mit facebook

ja ganz viele „Freunde“.
<i>Lachen</i>

R: Aber auch—F: positiv—
R: Let’s Encrypt. Die schönen Zahlen.

Applaus!
<i>Applaus</i>

F: Genau! Bemerkenswertes 2016.
R: Da heizen wir jetzt durch, ne?

F: Da müssen wir ein bisschen durchheizen.
R: Es gibt diesen Mirai, der hinter sich

den Port zugemacht hat. Ne? Verseuchen,
Port hinter sich zumachen. Gut bis zum

nächsten Reboot. … Das war auch eine
schöne Aktion, da hat sich jemand, dem das

Handy geklaut wurde dann ein neues Handy
gekauft, das mit einem Trojaner verseucht

und sich das dann klauen lassen und dann
alle Daten, die da angefallen sind über den

Trojaner/Überwachungssoftware abgegriffen
und dann daraus was gemacht und das hilft

ja auch sehr bei der Verbildlichung
dessen, was passiert, wenn das eigene

Telefon trojanerverseucht wird.
Ganz schön für die Anschaulichkeit.

F: Makroviren sind immer noch nicht tot.
Im Gegenteil – sie kommen wieder neu.

Wir haben eine Weile überlegt, woran das
liegt, bis ich mich dann so daran erinnert

habe, was ich denn so dieses Jahr alles an
Makroviren … nee, Makros in irgendwelchen

Word-Dokumenten im ganz normalen
Berufsalltag irgendwie hatte … ich habe

da so eine extra eigene VM für, in der
man solche Makros dann ausführen kann

und es ist erstaunlich, ja? Also der Grund
dafür ist einfach: Da hängt das Herzblut

von Leuten dran. Das sind halt so Leute,
die Probleme in Excelmakros gelöst haben,

und um die abzulösen bräuchte man ein
richtiges Softwareprojekt, dafür hat

niemand das Geld und die Zeit und dafür
müsste man Spezifikationen schreiben …

und deswegen werden Makros und damit
Makroviren glaube ich auch nicht sterben.

R: Geht nicht weg.

F: ZigBee! — R: Wer von euch
hat denn ZigBee zuhause?

Also wirklich …
F: Nein, moment – wer von euch

hat denn ’ne Philips-Hue-Birne zuhause?
R: Auch keiner …

F: Kennt jemand einen, der eine
Philips Hue Birne zuhause hat?

Die Leute haben ZigBee zuhause.
R: Genau, das schleicht sich jetzt

von hinten an. In die Glühbirnenfassung.
F: Ist so ’ne Zombietechnologie irgendwie.

Geht nie … ist so ’ne untote Angelegenheit
R: Aber dafür gab es dieses Jahr einen

astreinen Exploit, oder?
F: Ja, der war sehr schön.

R: Vulnerability oder Exploit?
F: Ja, beides.

… und was sich dann auch so vom einen
zum anderen verbreiten kann und die hatten

eine sehr schöne Idee für die Verbreitung:
Nämlich einfach einen relativ kräftigen

ZigBee-Transmitter nehmen und den einfach
an eine Drohne schnallen und die Straße

runterfliegen.
<i>Gelächter + Applaus</i>

Das Schöne daran ist: Da kann man dann
nicht nur normales Blinkenlights machen,

sondern RGB-Blinkenlights!
<i>Applaus</i>

R: Ja, bemerkenswert fanden wir das
Malware-Museum auf archive.org, das

es dort jetzt gibt. Das ist zwar viel
entkernte Malware, aber dafür sind dort

auch gleich die Emulatoren, also die DOS
Emulatoren, die man braucht, um dann dem

Bootsektorvirus beim Arbeiten zuschauen
zu können. Sehr hübsch. — <i>Applaus</i>

F: Diese Geschichte war sehr interessant.
Auch sehr inspirierend. Also Samsung hat

ja dieses kleine Problem
mit diesen Telefonen,

die plötzlich cyberphysikalische Systeme
wurden, also sprich: einen exothermen

Einfluss auf ihre Umgebung nehmen konnten.
<i>Gelächter</i>

Und dann mussten sie die ja zurückrufen.
Und dann haben die sie halt zurückgerufen

und die kamen nicht alle zurück, weil ein
paar Leute mochten diese Telefone, meinen,

„Ja, meins wird schon nicht explodieren.“
und dann haben sie angefangen, die

Daumenschreiben anzuziehen. Haben
erst gesagt, sie reduzieren erstmal die

Möglichkeit der Akkuladung auf 80%, dass
das Telefon nie ganz voll wird, da kommt

dann immer so ’ne Warnung, beim nächsten
Mal waren es 60% mit der nächsten Software

und am Schluss haben sie das Laden
komplett kaputtgemacht, nach dem Motto:

„So, dein Telefon ist jetzt leider nur
noch ein Türstopper. Bring es mal

zurück in den Laden“. Was wiederum dieses
„gehört das Gerät dir oder irgendjemand

anders“ doch wieder arg reinreibt. Und da
kam mir so die … eigentlich könnte man

doch auch einen schönen Ransomware
Trojaner draus machen, ne?

<i>Gelächter + Applaus</i>

So einen Trojaner, der einfach hingeht
und sagen wir mal die Akkuladung auf

60% begrenzt und sonst nichts weiter tut.
Publikum <i>aus dem off</i>: Gibt’s schon. iOS!

<i>Gelächter + Applaus</i>

R: Ja, es meinte gerade jemand aus dem
Publikum, das wäre doch die Apple Strategie

F: Und dann – Inkasso haben wir ja gerade
gehört ist so ein Problem bei Ransomware –

alles was man dann tun muss, ist,
eine App verkaufen im App Store, die den

Ladecontroller wieder dazu bringt,
100% zuzulassen, und schon hat man

sein Inkasso komplett legal, kann das
prima versteuern, muss nicht mit Bitcoins

rummachen, alles prima.
<i>Gelächter + Applaus</i>

R: Letztendlich ist es bemerkenswert
deswegen, weil es jetzt schlicht und

einfach öfter passieren wird. Das wird
nicht das letzte Mal gewesen sein, dass

das die Sache ist, die man tun muss als
Hersteller, um sich nicht irre rechtliche

Risiken ins Haus zu holen.
F: Weiß noch jemand, wann Conficker war?

R: Wann war Conficker?
F: Na? – R: Na?

Publikumsruf: 2006
R: 2006 sagt er … na, etwas später!

Publikumsruf: 2009
R: Ja, 2008, 2009, so was in der Richtung.

Und der ist noch nicht tot und der hat
es bis ins Atomkraftwerk Grundremmingen

geschafft dieses Jahr. Applaus.
<i>Applaus</i>

F: Genau. Es bestand nie eine Gefahr für
die Bevölkerung. — <i>Gelächter</i>

Ja, Paketdrohnen, ihr habt das bestimmt
gesehen, da gab es so verschiedene; diese

Fliegedinger waren uninteressant, so
Quadcopter mit Paket drunter, hatten wir

alles schon vor Jahren. Neu waren diese
„rollt auf dem Bürgersteig rum und liefert

dein Paket zu dir nach Hause“-Experimente.
R: Genau, da gab es ja Pilotprojekte in

Berlin und Hamburg und die Artikel – habt
ihr die Artikel dazu gesehen? Die waren ja

zum Schreien! Dann steht da im Artikel
drin: Ja, wir haben herausgefunden, dass

wenn die Drohne über den Bürgersteig
kriecht, dann setzen sich da kleine Kinder

drauf. Wow!
<i>Gelächter + Applaus</i>

F: Und ich meine, so der erste Gedanke als
ich davon las, war irgendwie so … habe ich

jetzt noch genug Kupfergase im Haus, um
eine Kiste dafür zu bauen? — <i>Lachen</i>

R: Nein, Herr Wachtmeister – das ist kein
faraday’scher Käfig für Drohnen, das ist

mein Kaninchenstall!
<i>Gelächter + Applaus</i>

Warum ich auf dieser Klappe stehe?
Nein nein, da geht es zum …

das ist der Abwasserkanal, das
ist keine Fallgrube für Drohnen!

<i>Gelächter + Applaus</i>

So irre, ja?! Gut, Paketdrohnen …

Das war noch beeindruckend; ich weiß
nicht, wie viele von euch das mitgekriegt

haben, das lief jetzt gerade durch
die News, dass der Lastwagen vom

Breitscheidplatz wohl früher gestoppt ist
als es ein herkömmlicher Lastwagen getan

hätte, weil er ein Unfallwarnsystem hatte.
Und von daher denke ich irgendwie, das ist

so eine Notiz in den Geschichtsbüchern
wert, weil das wahrscheinlich das erste

Mal war, dass ein Roboter
ein Attentat behindert hat.

<i>Applaus</i>

F: Mittlerweile sind solche Bremssysteme
bei neu zugelassenen LKW in der EU

Vorschrift, die Frage ist jetzt nur noch,
wie schnell diese Flotten erneuert werden.

Mal gucken.
R: Gut – 2017 …

Schauen wir mal nach vorn. Hardware,
Software, wisst ihr eh. Wie wird sich denn

das weiterentwickeln …?
F: Wer von euch weiß denn,

wie viele Geräte er im Haus hat, die
zumindest prinzipiell mal ein Firmware

Update brauchen könnten?
Oder eins empfangen können? … OK.

R: Moment: Das sind 20 Leute, die von sich
behaupten, sie wüssten, wie viel Hardware

sie bei sich zuhause haben
mit einer IP-Adresse.

F: Wir fragen mal ab: Wer von euch glaubt
denn, das sei bei sich weniger als zehn?

Weniger als 20 …?
… weniger als 30 …?

… weniger als 40 …?
… weniger als 50 …?

R: OK, weniger als 20 war die Mehrheit.
Und wer hat dieses Jahr einen Zensus

durchgeführt? — <i>Gelächter</i> — Und eine
IoT-Befragung im eigenen Netzwerk?

<i>Gelächter</i>

Andere Leute nennen das nmap-Scan, glaube
ich. Wer musste dafür Gewalt anwenden?

<i>Gelächter</i>
OK, ja. Das häuft sich an, oder?

Wer hat Dinge, von denen er weiß,
dass sie eigentlich weg müssten?

<i>Gelächter</i>
Oh! Alle!

F: Vorsätze fürs neue Jahr …?
R: Die technischen Schulden …

die Tablets eurer Kinder, oder? Wahlweise
die Tablets eurer Großeltern …

Wie viele davon haben einen Akku? Ach
so, tschuldigung, wer hat welche, die auch

’nen Akku haben und eine IP-Adresse? OK …
F: Alle anderen lügen!

R: Weiß das eure Versicherung? Genau,
das sind alles kinetische Aktoren jetzt.

Oder dorment cyber pathogens.
<i>Gelächter + Applaus</i>

F: Wobei ich auf diesem Kongress was
interessantes gelernt habe. Ihr kennt

ja alle diese komischen Hoverboards, mit
denen hier auch viele Leute rumgefahren

sind, die ja so einen interessanten Ruf
haben, dass sie gelegentlich einem stark

exotherm die Füße wärmen — <i>Gelächter</i>
— und ich wurde belehrt, dass das

tatsächlich nur ein Problem der
mechanischen Verarbeitung ist.

Das ist ein Produkt, das beim Kunden reift
Man muss es vor erster Benutzung erstmal

aufschrauben und dann mit’nem Schleifgerät
erstmal die ganzen Grate entfernen, die

sich sonst so in Kabel und Akku
bohren können und danach ist

es wohl perfectly safe.
<i>Gelächter</i>

R: So einfach! Is so einfach alles!
Ja … das ist ja was, wo wir überlegt

haben: Sind die eigentlich schon vorbei,
die Auto-Update-Religionskriege?

Kommen die erst noch? Haben
die nur gefühlt stattgefunden?

Also diese Fragestellung, ob etwas im
Auslieferungszustand Auto-Updates

eingeschaltet haben sollte – Ja oder Nein?
Wer findet, dass Dinge, die verkauft

werden in so Standard-Consumer-
Elektronik-Läden per Default Auto-Updates

eingeschaltet haben sollten?
Das ist die Mehrheit!

Publikumsruf: Es braucht einen Ausschalter!
R: Es braucht immer alles einen Ausschalter!

<i>Applaus</i>
Ja, einverstanden.

F: Also ich denke, für 2017 können wir
glaube ich annehmen, dass sich Ende

2017 dieser Glaubenskrieg um
Auto-Updates erledigt haben sollte.

Also manchmal geht
das DHCP nicht, aber pffff …

<i>Gelächter</i>
R: Genau …

Und jetzt ist eben die Frage, wie erkenne
ich vorher, ob das geht oder nicht geht?

F: Also ich finde ja, Security Updates
sollten verpflichtend Auto-Updates sein

und sie müssten von Feature-Updates
getrennt werden. Sodass man sagen kann …

<i>Applaus</i>

… dass so Dinge nachinstallieren, die dann
dazu führen, dass es entweder Funktions-

einschränkungen gibt oder neue
Überwachungsmöglichkeiten, dass

man die sich separat überlegen kann.
R: Ja, eindeutig.

<i> unverständlicher Publikumszuruf</i>
R: Ja, natürlich ist das nicht

immer einfach. Ich mein, ich habe auch auf
meiner Fritz!Box andere Sachen gemacht als

nur Internetpakete zu routen und dann
war plötzlich das Telnet weg mit so einem

Security-Update, natürlich
ist das kein Spaß. Aber hey!

Der nächste Schritt ist dann natürlich,
dass das auf die Packung muss. Es muss

auf die Packung: Dieses Produkt hat
ein Mindesthaltbarkeitsdatum von …

<i>Applaus</i>

R: Und das entspricht dann der Zeit,
die man Security-Updates kriegt, ja?

Wobei das noch spannend wird dann in den
Details. Ich hatte dieses Jahr mit einem

großen Security-Software-Hersteller auch
einen interessanten Dialog, so nach dem

Motto: Ihr habt doch da in dem Produkt
was gepatcht, warum gibt’s denn dazu kein

Security-Bulletin oder wie auch immer ihr
das nennt? – Ja, das war ja nicht ein

Fehler in unserem Code. Nee, nur in dem
Tomcat, das wir benutzt haben … Okay …

Und das muss ich jetzt wissen, dass ihr da
ein Tomcat drin versteckt habt oder was?

Und solche Sachen … also das wird dann
noch lustig. Das ist doch nicht mein Code,

sondern nur die 23.000 Libraries,
die ich linke … Ja, works for you, okay

<i>Applaus</i>

R: Aber es wird ja noch schlimmer kommen!
F: Genau. Dinge, die denken!

R: Die Dinge, die denken. Die Dinge,
die für sich in Anspruch nehmen,

für euch zu denken. <i>unverständlicher 
Publikumszuruf</i> – <i>Applaus + Gelächter</i>

R: Nee, wir reden von Dingen.
Gibt es da, ist da eine Analogie

versteckt in Politikern, die
für mich zu denken denken?

Weiß nicht, da fällt mir
gerade nichts ein.

Dinge … also dieses mit den neuronalen
Netzen irgendwas vielleicht. Oder sonstwie

Und dann wird es glaube ich lustig, wenn
man an denen nicht vorbeikommt, weil die

irgendwo eingebaut sind und man sie nicht
wegpatchen, ausschalten oder sonst wie

neutralisieren kann.
F: Vor ein paar Jahren hatten wir

auf dem Kongress eine Flut von Aufklebern,
so Warning Signs for the 21. century.

Und da drin war „Contains AI“,
war auch so ein schönes …

Also wir brauchen „Contains Internet“,
„ContainsCloud“, „Contains AI“ – ja …

hört ihr zu?
Publikumszuruf: Cyber!

R: „Contains Cyber“ …
<i>Gelächter + Applaus</i>

F: Ja, nur so als Ansage, ne? Also für
Leute, die sich um Correlation-Attacken

in Anonymisierungsnetzwerken
Gedanken machen, der Stand der Technik

ist mittlerweile 4ns genaues Timestamping
auf 100 Gbit Traffic im Durchfluss.

Heißt, so alles was low latency anonymity
Sachen sind, wird langsam ein bisschen eng

Ist nicht lustig.
R: Was uns dazu führt …

Also die Technik, die da ist und die Dinge
untersuchen kann, wird immer besser,

das heißt, das was da ist wird immer
billiger. Das, was so ein ISP inzwischen

alles sich anschaut, nur um zu sehen, ob
er und seine Kunden noch im grünen Bereich

sind, wird auch immer mehr und da sind wir
dann auch bei dem Thema Asynchronität

dieser Datensammlung und dass man
so wenig weiß darüber, was die anderen

eigentlich über einen wissen.
Und die Diskussion, die wir

zwischendurch hatten, war halt: Will ich
nicht wissen, was mein ISP über mich weiß

oder wissen kann? Wäre es nicht vielleicht
ganz praktisch, wenn es so einen Popup

gäbe, wo mir der ISP sagt, dass sich aus
meinem Netz Geräte anmelden wollen bei

jemandem, der vor vier Wochen pleite
gegangen ist und die Cloud weg ist oder so

Und, naja, auf der anderen Seite werden
die Daten dann auch wieder angehäuft,

wenn es dem ISP dann schlecht geht,
verkauft er sie auch meistbietend oder so,

will man vielleicht auch alles nicht. Ja.
F: Was wir 2017 auch noch sehen werden

ist definitiv, dass Ad-Blocker
zu Realitätstunneln werden.

Weil wir haben ja sozusagen eine
Content-Filtering-Engine in unserem

Hauptdatenstrom und eigentlich können
wir die auch verwenden, um andere Dinge

zu tun, außer nur die Werbung
rauszumachen, also z. B. diese

Kommentare will sowieso keiner lesen
meistens, ist eh überflüssig, und Sport

News braucht auch eigentlich niemand …
<i>Applaus</i>

R: Und so fängt es dann an …
Also fängt dann an …

F: Und ich glaube, wenn man so ein
bisschen vorausguckt – vielleicht nicht

nächstes Jahr, aber übernächstes Jahr
so langsam, die Werbeblocker-Blocker

werden ja immer besser, deswegen brauchen
wir bald Werbeblocker-Blocker-Blocker und

die müssen natürlich auch so langsam
intelligent werden, d. h., wir werden so

eine verteilte Intelligenz bauen, die uns
die Werbeblocker-Blocker blockt und

dann wird auf der anderen Seite
wahrscheinlich auch AI eingesetzt werden,

die die Blocker-Blocker-Blocker versucht
zu umgehen und dann haben wir sozusagen

so zwei Lager von Maschinenintelligenzen,
die um unsere Aufmerksamkeit kämpfen.

<i>Gelächter + leichter Applaus</i>

R: Das kumuliert dann in diesem „Hey, hast
du diese lustige, was weiß ich … Coca-Cola-

Werbung gesehen?“ – „Wie, Coca-Cola-
Werbung? Hey Siri, zeig mir mal die

Coca-Cola-Werbung von gestern“
– „I’m sorry Dave, I can’t do that.“

<i>Gelächter + Applaus</i>

R: Gut, letzte Seite. … vorletzte
Seite … letzte Seite …

Geschäftsfelder, Crypto und Sport.
Also … genau – Schattendatenbanken.

Also diese … des einen Not ist ja des
anderen Geschäftsidee, oder so ähnlich.

Wenn da so viele Datenbanken
überall wegkommen …

F: Datenreichtumsaggregation.
R: Genau. Dann gibt es bestimmt

jemanden, der denkt, dass es doch toll
wäre, das alles einzusammeln. Es gibt

da ein paar, die gehören zu den Guten.
Was weiß ich … HaveIBeenPwned.com

wo man nachgucken kann, ob die eigene
E-Mail-Adresse schon weggekommen ist.

Und die sich sehr viel Mühe geben, zu
verifizieren, ob die Datendumps, die sie

so im Internet finden echt sind oder
nicht, aber da findet ja noch mehr statt.

Also ganz viele Sachen sind weggekommen,
die Preise für Krankenakten, ich glaube

amerikanische Krankenakten sind dieses
Jahr gecrasht auf $10 das Stück – ja, das

ist alles nix mehr wert! Und dann gibt’s
bestimmt jemanden, der das aufkauft

und sich dann überlegt: Vielleicht
kann man damit später was machen, ja?

Und wenn’s nur ist, bessere
Phishingmails … ja?

Also mit den LinkedIn-Daten ist das ja
schon passiert! Die LinkedIn-Daten, die

weggekommen sind – wann war das, letztes
Jahr oder dieses Jahr? Nee, dieses Jahr im

Mai oder so – die sind ja dann hinterher
eingesetzt worden, um noch bessere

Phishingmails verschicken zu können.
F: Ja, neue Berufsfelder:

IoT-Wünschelrutenläufer.
<i>Gelächter + Applaus</i>

Wie wir festgestellt haben, weiß niemand
so richtig mehr, was er alles an Geräten

zuhause hat und – ich mein –, ihr könnt
das ja vielleicht noch rauskriegen, so den

Kabeln nachgehen oder mal gucken, ob es
irgendwo rhythmisch blinkt oder so, aber

so Leute, die so keine Ahnung davon haben
und da nichts wissen, da könnte man so ’ne

Wünschelrute bauen, mit der man
dann halt so IoT-Geräte suchen geht.

R: Genau, die gibt’s ja eigentlich schon:
Das sind die Wanzenjäger oder so und

die haben jetzt einfach
ein größeres Betätigungsfeld,

nech? Die können da ausbranchen.

Publikumszuruf: Who you gonna call?
F: <i>lachend</i> Genau.

R: Who you gonna call, mhhhm!
Ja, gut.

F: Was wir auch sicherlich annehmen
können: Storafee-Crypto ist nur taktisch.

Weil irgendwas geht halt immer kaputt.
Entweder war der Random-Number-Generator

kaputt oder das Passwort, mit dem das
Backup des Telefons auf dem Notebook

gesichert wurde war
leider nur so mittelgut;

jedenfalls: Irgendwas
ist immer.

Das heißt also, wir müssen wohl davon
ausgehen erstmal, bis auf weiteres

Storage-Crypto als nur taktische
Sicherheit zu betrachten.

R: Naja, also du hast da so ’ne Plattform
wie iOS, dafür kosten dann die Exploits

schon ’ne Million, und trotzdem ist es so,
dass wenn du deine Passphrase vergisst

oder was, dann musst du dir das Ding
eigentlich nur ein halbes bis Dreiviertel

Jahr hinlegen und dann kommst du
an die Daten wieder ran, ja?

Und … das ist alles nur zwischenzeitlich.

Wenn man dann sagt: Wir haben hier extra
hingeschrieben „Storage-Crypto“, aber für

die, die an Perfect-Forward-Security
glauben, was ja im Moment noch

gut aussieht, für die dann noch mal der
Hinweis, dass euer Firefox und so auch

eine Funktion hat, um die SSL-Session-Keys
lokal zu speichern. Guckt doch mal nach,

ob das ein- oder ausgeschaltet ist.
F: Gerade in Firmen sehr beliebt.

Genau, neue Sportarten: Digital Prepping.
Das überlassen wir euch mal, was ihr

daraus macht. Ne, denkt mal so nach:
Prepper sind so die Leute, die bereiten

sich auf die Zombieapokalypse vor, so
mit irgendwie Trockenmahlzeiten in großen

Mengen und Generator in
der Garage und so und …

R: Und zum Digital Prepping gehört
sicherlich das Thema Stromversorgung,

nicht?! Ist klar. Photovoltaik, die
netzunabhängig funktioniert oder

zumindest mal den USB-Lader
laden kann, keine Frage.

Publikumszuruf: Freifunk
R: … wat-funk?

F: Jaja, Freifunk, ganz richtig. So
Mesh-Netzwerke, mit denen man halt

irgendwie auch nach der Zombieapokalypse
noch Porn gucken kann … – <i>Gelächter</i>

<i>Applaus</i>

R: Und die notwendigen
Verstärker dafür …

F: Genau, wie gesagt – Digital Prepping,
ich glaube, dazu gehört dummerweise

mittlerweile auch ein YouTube-Archiv,
weil gerade so dieses „Wie häute ich so

ein Tier oder so, was ich gerade in meinem
Hinterhof erschlagen habe“ steht halt

nicht in der Wikipedia, ne?
<i>Gelächter + Applaus</i>

R: Ja, und der letzte Punkt ist dass wir
den Eindruck haben, dass es doch immer

mehr Robotor gibt. Also das fängt an mit
Rasenmäherrobotern, die am Internet hängen

und Drohnen, die vielleicht Pakete
ausliefern oder damit jonglieren …

F: Genau, also da gibt’s ein großes
Betätigungsfeld für Kunst, z. B. man

stelle sich mal vor, was man für tolle
Kornkreise machen kann mit so einem

Mähdrescher, wenn man den umprogrammiert!
<i>Gelächter + Applaus</i>

R: Genau … — F: Ja, dann sind wir
auch glaube ich am Ende.

R: Ja, damit gehen wir los und wir
haben nur fünf Minuten überzogen

und wünschen euch allen einen schönen
Abbautag – wie gesagt: nehmt nichts mit,

was zum Gebäude gehört und
einen guten Rutsch ins Jahr 1984.

<i>Applaus</i>

<i>Abspannmusik</i>

Untertitel erstellt von c3subtitles.de
im Jahr 2017. Mach mit und hilf uns!