Herald: Wer hat letztes Jahr einen
Security Nightmare erlebt, von euch?
Publikum: jemand ruft
Herald: Lacht Nee, glaube ich nicht.
Alles sicher. Wer von euch hat in der
Familie einen Security Nightmare erlebt?
Und wer von euch war sein eigener Security
Nightmare?
Publikum: Gelächter
Herald: Ausreichend. Jetzt kommen:
Ron und Frank - Security Nightmares.
Publikum: Applaus
Frank: Ja, Herzlich Willkommen zu den
Security Nightmares.
Ron: Hallo Leipzig!
Publikum: Jucht! Applaus
R: Ich glaub, das ist das erste mal, wo
ich Sorgen hatte, ob ich rechtzeitig
reinkomm'.
Publikum: Gelächter
F: Die wievielte Ausgabe ist das
eigentlich?
R: Genau, ich habe da § 2 hingeschrieben.
Das ist § 2 BGB, der regelt die
Volljährigkeit.
Und diese Veranstaltung ist 18.
Publikum Applaus
R: ruft Die Veranstaltung darf jetzt
heiraten. Und zwar seit Oktober Jeden.
Publikum: Lachen, Jubel, Applaus
F: Sie darf jetzt auch selber Mobilfunk
Verträge abschließen und hochprozentigen
Alkohol und Tabakwaren kaufen
R: und konsumieren!
F: und sich auch an jugendgefährdenden
Orten aufhalten.
R: Also hier!
Publikum: Lachen, Applaus
R: Und Glücksspielen, das heißt? -
Bitcoin, hat jemand Bitcoin gesagt.
Publikum: gemeinsames Gelächter
R: Ja genau und die Datenschleuder
abonnieren, ne, ist klar.
Frank Ja, wir hoffen, ihr hattet eine gute
Zeit auf dem Kongress, wir sind immer
traditionell der Rauskehrer hier, vor der
Abschlussveranstaltung. Also die
Veranstaltung, die dafür sorgt, dass ihr
zur Abschlussveranstaltung alle da seid .
Publikum: vereinzelte Lacher
F: Und ihr konntet euch von dem Support-
Marathon über Weihnachten so ein bisschen
erholen. Wie schlimm war's denn so dieses
mal? Da wollten wir nochmal so zwei, drei
Fragen zu stellen.
R: Wer hatte denn noch einen XP weg
gemacht? Eins, Zwei ...
Publikum: vereinzelte JuchtzerLachen
Einzelapplaus
F: Oh, oh.
Publikum: Applaus Saal
R: Und wer durfte auch dieses Jahr das XP
nicht wegmachen, weil es läuft so gut?
Publikum: Saal lacht
R: Ah, oh je! Dann können wir eigentlich
alle gleich nach hause gehen, oder?
Publikum: Zwischenrufe
R: Was ich so witzig fand, dieses Jahr,
ich mein, wir sagen immer: man kann sich
ja dann hier erholen von dem Support-
Marathon, den andere Leute Weihnachten
nennen. Und was ich jetzt aber gehört habe
ist, dass dann der eine oder andere
Teenager nicht hergekommen ist, weil der
Rest der Familie kommt ja sowieso immer
hierher,
Publikum: verhaltenes Lachen
Ron.: und die hatte man ja gerade drei
Tage. lachen und das schafft man dann
halt nicht mehr, so und ja da muss man
dann mal nachdenken, wie man damit umgeht,
denn streaming ist ja keine Antwort auf
alles, oder?
F: Ja, wer hatte denn so einen Virus oder
Trojaner zu entsorgen über Weihnachten?
R: Du musst höher einsteigen. Bei wem
waren es mehr als 10?
Publikum: lacht auf
F: Keiner? OK?
R: Da ist was los!?
F: Mehr als 5? Auch nicht, okay. Wer weiß
nicht, wie viele es waren?
Publikum. Gelächter
Ron. Ahh, okay, die Methode hat sich
geändert. Ihr setzt die einfach gleich neu
auf die Kisten, ne? Ja, fair enough. Gut,
steigen wir ein.
F: Das ist ein Bild, was mein Freund Pavel
Mayer gemacht hat, der kümmert sich darum,
Maschinen das Sehen beizubringen. Und er
hat festgestellt, dass Ampeln für
Maschinen zwischendurch so aussehen, weil
wenn man mit so einer Ampel mit 60 Hertz
Framerate aufnimmt, dann passiert beim
Umschalten zwischen gelb und grün der
lustige Effekt, den wir gerade im Bild
beobachten, dass es nämlich einen Frame
lang so aussieht.
R: Ups.
F: Und das, damit fahren wir dann Auto.
Publikum: Gelächter
F: Nein, also falsch, damit fahren dann
Autos mit uns.
Publikum: Gelächter
R: Die beliebte Rebublik ääähm Rubrik: Vor
zehn Jahren. Da ist ja viel passiert vor
zehn Jahren. Wir forderten damals Bürger-
Trojaner für mehr Bürgerbeteiligung. Das
war so ein bisschen mau, aber die
Digitalisierung hat ja auch vor den
Parteien nicht halt gemacht, vor allen
Dingen WhatsApp hat vor den Parteien nicht
halt gemacht und da gabs dann diese
hübschen Leaks, nicht wahr? Habt ihr alle
mitgekriegt, wie sich Die Partei da
reingehängt hat, ich glaube, das ist einen
Saalapplaus wert.
Publikum: Saalapplaus
R: Die die andere Sache in Sachen
Bürgertrojaner für mehr Bürgerbeteiligung,
die so in die Richtung geht, ist diese
Android-App: Haven von The Guardian
Project und Freedom of the Press
Foundation. Der Edward Snowden hat auch
ein bisschen Werbung dafür gemacht, wenn
mich nicht alles täuscht. Und das ist ja
so ein Wir-überwachen-den-öffentlichen-
Raum-Gerät.. Also etwas, was natürlich in
Deutschland verboten wäre, wenn man es
hier aufstellen würde. Aber, genau, ich
denke, wir werden sehen, wo das hinführt.
F: Naja, also ich glaube, dass dieses so
eines der ersten Anzeichen dafür ist, dass
so Evidence Collection Systeme, also
eigentlich ist ja / wird es dafür beworben
zu sagen, wenn man sein Hotelzimmer
verlässt, dass also der öffentliche Raum
dieses Hotelzimmers, dass man die Frage
sich stellen kann, welche Öffentlichkeit
sich denn darin aufhält, während man
gerade nicht da ist und um das zu
dokumentieren soll das Gerät ja benutzt
werden, aber ich glaube, dass genau dieser
Punkt: öffentliche, gute Software zur
Evidenz-Generierung, die wird uns noch
eine Weile beschäftigen.
Remote Government, ja, da hatten wir ja,
vor zehn Jahren war Estland ...
R: kurz weg
F: 20 Tage lang oder so, ne?
R: 20 Tage genau.
F: Und damals fing ja dieser ganze Cyber-
Cyber so ein bisschen an, auch wenn er
damals noch nicht so hieß.
R: Und es sollen ja Privatpersonen gewesen
sein.
F: Also patriotisch gesinnte
Privatpersonen, die damals Estland runter
genommen haben. Und irgendwie hat sich
dieser Trend so ein bisschen verfestigt,
dass also patriotisch gesinnte
Privatbürger, dann auch was wir damals ja
schon vorher gesagt hatten, wenn man halt
anfängt so ein ganzes Land runter zu
fahren, dann kann man sich auch relativ
problemlos sich um deren Wahlsystem
kümmern. Nur, dass es dann halt nicht
Estland war, sondern andere Länder.
R: Genau, aber Putin hat gesagt, das waren
Freigeister. Also das war keinesfalls eine
gesteuerte Aktion, was da in Amerika
gelaufen ist. Nicht wahr? Ne genau, ja,
das war der Punkt. Die
F: modularen Superwürmer
R: Genau und das ist ja etwas, was uns
hier schon eine Weile begleitet, dass die
Superworms als solche modularer werden und
auch das Ökosystem drumherum modularer
wird, man jetzt inzwischen so Ransomeware
as a Service - gibt's hier auch schon und
das hat sich nur weiterentwickelt, ne?
Keine große Sache. Dann gab's das Thema
Bio-Hacking. Ich glaub vor ein paar
Jahren hatten wir dann noch welche da, die
hatten auch mal Ebola auf einer Powerpoint
Folie dabei, das ist aber nicht
10 Jahre her, das ist nur so 5 Jahre her,
ne?
F: Ungefähr so was R: Und ja...
Publikum: Lacht R: Inzwischen hat die FDA
Publikum: Applaus F: Also wie wir sehen
können hat Bio-Hacking enorme Fortschritte
gemacht. Wir sind... R: lacht
Publikum: Applaus F: Also ich
weiß nicht ob die Damen und Herren
irgendwie schon mit crispr/cas9
modifiziert wurden, aber das werden wir
dann wohl demnächst auch sehen. Also, die
crispr/cas9 ist eine Methode, mit der man
Gen-Editing sehr weit treiben kann und,
also die FDA hat gerade davor gewarnt,
dass man das an sich selber ausprobiert.
Und ich hatte eigentlich auch so ein
bisschen erwart, dass wir für den Congress
schon so ein paar Einreichungen dazu
kriegen, so was wie, also ich könnt mir da
so viele Dinge vorstellen, so zum Beispiel
so kleine Elfenohren züchten oder so. Oder
mal die Augenfarbe ändern so. Da gibt es
so viele kleine, einfache Möglichkeiten
zum Patchen, aber bisher hatten wir noch
keine Einreichung. Mal sehen, wie es
nächstes Jahr wird.
R: Genau, für nächstes Jahr wünschen wir
uns das. Und dann hatten wir das Thema
Industrie-IT, Kinderzimmer-IT und
Krankenhaus-IT. Und ich weiß noch, dass
wir uns schlapp gelacht haben über diesen
Dinosaurier, den wir mitgebracht haben.
Ich weiß nicht, ob ihr euch noch erinnert:
das war so ein Spielzeug-Dinosaurier, den
man streicheln konnte und dann hat er so
"mmmmmmmmhm" gemacht. Und der hatte auch
schon eine Kamera drin und Mikrofon und
wie gesagt so kleine Geräusche konnte der
auch machen. Ja und dieses Jahr hat die
Bundesnetzagentur tatsächlich eine
Kinderpuppe verboten, ja, weil das eben
auch als Wanze klassifiziert wurde. Da
wurde der Verkauf verboten. Ich glaube,
400 Shops oder so mussten das Angebot
rausnehmen. Und Kinderuhren mit Mikro
wurden auch verboten von der
Bundesnetzagentur, ja, also es ist
entwickelt sich wirklich irre und dann das
schönste war aus meiner Sicht dieses Ding
mit den Furbys. Furbys kennt ihr ja auch
alle und die sind ja auch technologisch
nicht stehengeblieben. Es gibt ein Furby-
Connect, der spricht Bluetooth und der
braucht keine Authentisierung. Und der
spielt dann Audiodateien ab. Das heißt,
ihr müsst nur dicht genug rankommen an die
Kinderzimmer.
Publikum: Lachen
R: Da hätten wir gerne von euch jetzt
einen Audiotrack. Wenn ihr also alle mal
kurz 10 Sekunden „cybercybercybercybery…“
Publikum: flüsternd cybercybercyber…
F: Sehr schön. Dankeschön.
R: Dankeschön.
F: Länger darf der Loop sowieso nicht
sein.
Publikum: Applaus
R: Also wenn die Spielzeugeläden, wenn die
dann alle anfangen zu cybern da drin, dann
wissen wir Bescheid, ne.
F: Heutzutage ist ja dieses Furby, das
scheint so ein bisschen wie so der
Urgroßvater von irgendwie den Werbewanzen,
die sich die Menschen ins Wohnzimmer
stellen.
R: Hast du Alexa gesagt?
Publikum: Gelächter
F: Alexa, time my therapist, ist ein
ernsthafter Skill. Es gibt tatsächlich für
Alexa mehrere, also für dieses Amazon-
Werbewanzen-Gerät, aber auch für die
anderen Konkurrenzprodukte gibt es mehrere
Implementierungen, mehr oder weniger
fortgeschritten, von Elisa, dem
ursprünglichen Weizenbaum-Programm. Und es
gibt tatsächlich natürlich
selbstverständlich gibt es auch
mittlerweile schon so Machine-Learning-
basierte Therapiesysteme, über die man
sich mit seiner Werbewanze unterhalten
kann. Wenn wir es uns überlegen so, Daniel
Suarez hatte damals gesagt: „the human
mind is a stationary target“. Das heißt
also, der menschliche Geist entwickelt
sich nicht so schnell vorwärts wie die
Maschinen, die ihn versuchen zu
manipulieren. Da ergeben sich völlig
ungeahnte Möglichkeiten. So den
Zusammenfluss von so Gesprächstherapie und
Werbung in einem Gerät, da gibt es endlose
Möglichkeiten.
Publikum: leises Lachen R: Genau,
was soll da schon schiefgehen oder?
Publikum: Applaus
R: Den CloudPad-Leuten sind dann auch
gleich 2,2 Millionen Sprachdateien von
Kinderspielzeug weggekommen. Das waren
800.000 User, ja genau. Genau, die nächste
Nummer war hier die Cloudvorhersagen, die
wir gemacht haben. Und das irre ist ja
immer, wenn man da sitzt und sich Gedanken
macht über die Zukunft und sich vorstellt,
wie schwierig das sein wird, Dinge zu
tun, also wenn wir sagen, irgendwie das
mit Cloud wird problematisch, dann denken
wir an das, was dann irgendwann mal als
Rowhammer oder so präsentiert wird, ja?
Irgendwie aus einer VM ausbrechen, in die
andere reinschleichen und solche
Geschichten über irgendwie Hardcore, was
weiß ich, irgendwas Fehler in den
Hauptspeichersystemen, whatever. Aber wie
sieht die Realität aus? Die Realität sieht
so aus, dass es da AWS-Buckets gibt, wo
halt keiner das Rechtemanagement
eingeschaltet hat. So. Rowhammer. Ist ja
albern, braucht man gar nicht, einfach
reinklicken, downloaden und Spaß haben.
F: Also die größten Datenleaks dieses Jahr
waren tatsächlich so was.
R: Terrabytes.
F: Terrabytes von Kundendaten.
R: Kommen noch ein paar Beispiele.
F: Von allen möglichen … ja.
R: Kommen noch ein paar Beispiele. Das
andere Ding war irgendwie das Gelächter
über das iPhone in 2007. Ja so, haha ein
iPhone, haha, ein Telefon irgendwie, wo
man alles mögliche drauf ausführen kann,
ohne dass irgendwer was fragt und solche
Geschichten. Und jetzt? Jetzt gibt es
Sicherheitsexperten, die sagen, das ist
für den Consumer die sinnvollste
Plattform, was die Sicherheit angeht.
F: Obwohl ich ja glaube, dass diese
Sicherheit vom iPhone ist so ein
marktgetriebenes Ding. Vor allem, wenn die
Exploids einmal teuer sind, und für iPhone
sind die Exploids am Teuersten momentan,
dann haben alle Interesse daran, dass sie
teuer bleiben. Das heißt also, dann werden
die nicht so häufig und nicht so schnell
releast, weil das wäre ja nicht gut für
alle anderen, die auch noch auf welchen
sitzen.
R: Ja, da haben wir gleich noch was zu.
F: Ja.
R: Gut, und den wollte ich nochmal
bringen, weil ich den so gut fand, der
Bufferoverflow durch zu breites Grinsen
bei Biometrie. Das ist dann so, wenn die
Mundwinkel aus dem Gesicht sich heraus
bewegen, ja, was passiert dann eigentlich?
Gibt es da einen Bufferoverflow oder
nicht? Hat jemand mal ein iPhone X und
kann das ausprobieren?
Publikum: Gelächter
R: Gut. Ja und da braucht man nichts mehr
zu sagen oder? Ich meine, Vista, Vista,
Vista Vista ist dieses Jahr noch gepatcht
worden mit wannacry.
F: Gerade so.
R: Und MacOSX hat seit dem letzten Patch
jetzt wieder 2-Faktor-Authentisierung.
Username und Passwort.
Publikum: Gelächter und Applaus
R: Aber ich meine, die Dinge gehen einem
nicht aus, sie gehen einem überhaupt nicht
aus. Outlook hat ein halbes Jahr bei
SMIME-Mails, also bei verschlüsselten
Mails, den Klartext mitgeschickt.
Publikum: Gelächter und leichter Applaus
R: So und jetzt kommt es, der Schlag ist
natürlich, also der Schlag in den Bauch,
das ist nur passiert, wenn die Mails nicht
html waren.
F: Also nur Mails, wie man sie eigentlich
verschicken sollte, waren betroffen.
R: Genau, nur plaintext-Mails. Gut, dass
Normalitätsupdate. Ein Username-Passwort-
Combo für einen funktionierenden
Mailaccount kostet 8-15 Dollar. Wir hatten
in Deutschland 83.000 Cybercrimefälle in
2016 und 51 Millionen Euro Schaden.
F: Ich frage mich ja immer, wo diese
Zahlen herkommen.
R: Ja, also ich meine, ist da jetzt
wannacry schon reingerechnet und der
Anteil von den 300 Milliarden Maersk
schon drin oder nicht?
F: Und sind die geklauten Bitcoins dabei
und deren Wertzuwachs? Publikum: Lachen
R: Das ist ja eh die interessante Frage.
Es gibt in Hamburg immer diese schönen
Witz, weil vor zwei Jahren, nein vor 20
Jahren gefühlt, wurde da mal ein Container
Koks oder so im Hafen beschlagnahmt und
dann hieß es, „ein Container Koks wurde im
Hafen beschlagnahmt, fünf Tonnen wurden
beschlagnahmt“. Und am nächsten Tag heißt
es dann, „alle vier Tonnen Koks wurden in
die Asservatenkammer der Polizei
eingelagert." Und vier Wochen später heißt
es, dass alle zwei Tonnen Koks vernichtet
worden sind. Und hier ist es ja mehr so
umgekehrt. Wir haben für 51 Millionen Euro
Bitcoin beschlagnahmt und übermorgen
werden wir das für hm…
F: Entweder irgendwas zwischen 5 und 500
verkaufen. Geldautomatenmanipulation, das
Witzige daran ist irgendwie 56% in Berlin,
was ist da los?
F: Ach so das ist erklärbar.
R: Ja?
F: Weil in Berlin stehen diese ganzen
Geldautomaten rum, wo du schon immer
denkst, das kann nur ein Scamming-Device
sein.
Publikum: Gelächter
F: Diese Dinger, die da so als kleine
Säulen auf der Straße stehen, die man
sonst eher so in etwas ärmeren Ländern
kannte und die stehen in Berlin so überall
rum. Du kannst eigentlich so in den etwas
beliebteren Gebieten nicht eine Straße
runterlaufen, ohne mindestens über fünf
Geldautomaten zu stolpern. Und da ist halt
die Möglichkeit halt aus einem Gerät, was
aussieht wie ein Scamming-Device, ein
Scamming-Device zu machen, ist halt
offensichtlich zu verlockend.
R: Wer hat hier da oben Geld abgehoben?
Publikum: Gelächter
F: Kennt jemand jemanden, der da oben Geld
abgehoben hat?
Publikum: vereinzelt Lachen und Applaus
F: War es wenigstens... Roch es noch gut
das Geld, war es frisch?
R: Genau, 50.000 MongoDBs …
F: 27.000.
R: Ne, 50.000 bis August, in einer Woche
im August davon 27.000, das war ein
Massaker. Die DDos-Angriffe, die
öffentlich dokumentiert worden waren,
dieses Jahr, glaube ich, 510. Letztes Jahr
hatte ich schon mal was von 600 gelesen.
F: Und hinter den Kulissen gibt es so
einzelne Angriffe, die wohl mal kurz mit
800 Gigabit ausprobiert wurden, wobei man
da einfach nur sagen muss, es handelt sich
dabei eigentlich um einen Fortschritt bei
der Cloudentwicklung. Weil der typische
Weg, wie halt so ein Denial of Service
monetarisiert wird ist halt, man schickt
dann eine Mail und sagt, guten Tag,
schönes Business haben Sie da. Sie haben
am - nehmen wir mal an - irgendeinen
Freitag haben Sie Ihren offenen
Verkaufstag, wo es irgendwie möglichst
viel Umsatz geben soll, es wäre doof, wenn
Sie da einen Denial of Service bekommen
würden, wir demonstrieren gerade mal, wie
das funktioniert. Und dann bekommt man so
eine Viertelstunde Denial of Service mit
irgendwie durchaus mehreren Dutzend oder
hundert Gigabit und dann hört es auch
pünktlich wieder auf. Und dann bekommt man
eine, momentan interessanterweise
meistens, Bitcoinadresse, was ich nicht so
besonders klug finde, aber jedenfalls
irgendeine Zahlungsadresse, mit der man
dann halt sich daraus freikaufen können
soll. Und die Leute, die schon ein
bisschen länger in dem Business sind sagen
so, naja wenn es genau eine Viertelstunde
ist und der Traffic von AWS oder
JourCloudinstanzen kommt, dann zahlen wir
nicht, weil dann wissen wir, dass die
Leute einfach nur die freien Accounts von
diesen Cloudplattformen benutzen, um sich
halt den DDos-Traffic zusammen zu
schnorren und das halten die sowieso nicht
länger als eine Viertelstunde, bevor
Amazon da eingreift oder Microsoft, dann
brauchen wir halt nicht zahlen. So ist
heutzutage die Logik des Geschäfts im
Internet.
R: Genau... Ein Saal Applaus bitte für
Publikum: Applaus
100 Millionen Zertifikate von Lets
Encrypt. Überhaupt ist der verschlüsselte
Traffic ja inzwischen über 50 Prozent,
wenn ich das richtig im Kopf habe, was ja
schon mal eine echte Leistung für sich
ist, ja.
Publikum: Applaus
F: Ja, Apps faken is a thing now, also
gerade insbesondere im Google Play Store,
die ja da eher so bisschen mehr
nachsichtig sind mit Apps.
R: Aus dem Appple Store mussten sie auch
diverse Ethereum, Etherum...
F: Stimmt, Ethereum Wallets, ja, richtig.
R: Genau, Dinger rauskehren, genau.
Letztes Jahr haben wir noch gesagt alle
alle App Bewertung sind fake, aber nicht
nur die App Bewertungen sind fake, die
Apps sind vielleicht auch fake.
F: Aber dann gibt es bestimmt jetzt fake
Apps mit echten Bewertungen.
*Gelächter.
R: kommt drauf an was du dir leisten
kannst. Genau, und die ernüchternde
Prozentzahl des Tages ist, dass Google
Android Sicherheitsupdates nur 50 Prozent
der Geräte erreichen, sagen deren eigenen
Statistiken.
Ruf aus dem Publikum
R: Ja, das ist, ja, wenn man wenn man's
glauben kann, das sehe ich auch so. Da
sind wir beim nächsten Punkt, ja,
Statistiken die man nicht selber gefälscht
hat. Des gab mindestens zwei Zero-Day
Studien und eine der interessanten Zahlen
war dieses: Ein Zero-Day, wenn er denn als
solcher bekannt wird, lebt der schon
sieben Jahre, ja, also die Verwundbarkeit
ist schon sieben Jahre im Feld und wird
auch benutzt. Also ist schon sieben Jahre
entdeckt, bevor bevor sie dann öffentlich
wird und der Hersteller aber trotzdem
noch kein Patch hat. Okay, so, und jetzt
kommt's: Definiert wurde hier aber diese
Lebensdauer als, die Lebensdauer hört auf,
wenn der Hersteller den Patch raus gibt
und das finde ich persönlich absurd, wenn
man sich anschaut, wie viele Leute einfach
immer noch nicht patchen, ja, und wie
viele Runden WannaCry schon gedreht hat
durch die Systeme dieser Welt und noch
drehen wird, weil die immer noch nicht
fertig sind mit patchen. Also dieses
irgendwie Microsoft patcht das-und-das
oder Google patcht jetzt das-und-das oder
wer auch immer patcht das-und-das, das
dann immer so Schlagzeilen wo ich denk
"gar nicht!", ja, Microsoft stellt den zur
Verfügung und ob das dann irgendwo ankommt
ist echt eine zweite Frage, die leider
nicht immer positiv zu beantworten ist.
F: Wobei dieses Patching Business ist ja,
das erzeugt ja so'n, also je länger so
diese Mechanismen, dass die Hersteller zu
bestimmten Tagen ihre Patches ausrollen
und was dann so passiert. Es hat ja
mittlerweile so eine gewisse Routine
entwickelt, also ist halt so'n: Microsoft
rollt einen patch aus, dann irgendwie
schmeißen alle Leute IDA Pro an, reverse
engineeren diesen Patch, figuren also
finden heraus, was der Bug ist, der
gepatched wurde, und da gibt es dafür zwei
Märkte: Der eine Markt ist natürlich
daraus einen Exploit zu entwickeln und der
Andere ist festzustellen, warum die
Software, die man mit dem Patch verwenden
wollte, leider crasht. So, weil der Grund,
warum viele Leute nicht patchen ist ja,
dass sie halt Software haben, die halt
nicht dann nicht mehr funktioniert. So,
obwohl Microsoft sich eigentlich viel Mühe
gibt dabei.
R: Ja, und also die Problematik ist: Wie
kriegt man die Leute zum patchen?
Natürlich indem man die Qualität hoch hält
und so und da gibt es ja dieses schöne
Gerücht, dass einigen Leuten aufgefallen
ist, dass bei iOS die richtig schicken
Emojis, also die echt richtig schicken
neuen Emojis, immer nur an den wirklich
wichtigen Security Updates dranhängen. Ja,
also damit die Leute auch motiviert sind
zu patchen.
Publikum: Applaus
R: Und es handelt sich natürlich über eine
eine wilde, haltlose Verschwörungstheorie,
aber ich glaube wer beantworten kann, wie
das für IOT funktioniert, ja, dem müssen
wir dann echt dankbar sein.
F: Also bei Apple, ist eigentlich so Apple
hat erkannt "the human mind is a
stationary target" und haben einen
Optimierungsvektor gefunden mit den
Emojis, den ich eigentlich ganz
bewunderungswürdig finde. Bei IOT wird's
glaube ich nur funktionieren über "geht
wieder". "Mein Licht geht wieder an nach
dem Patch."
R: Ja, vielleicht könnte man ja an jedes
IOT Gerät so'n kleines Display machen wo
dann irgend so ein niedliches Kätzchen
blinzelt oder so, oder eine neue Grirmasse
ziehen kann, was weiß ich.
F: Du meinst sowas wie so Crypto Cats als
Upgrade Bonus so? Collect them all?
Publikum: Gelächter und Applaus
F: Hmm, ich glaube, da sind wir an einem
guten Geschäftsmodell.
R: Ja, collect them...
Publikum: Tamagochi!
F: Ja, Pokemon patching.
R: Wir brauchen die Gamification des
Patchings, nicht?
Applaus
F: Ja, das Wahlcomputer-Massaker ging auch
dieses jahr noch ziemlich ungebremst
weiter.
R: Am schönsten sind die Sprüche, oder?
Also, wenn die Leute nach einer Metapher
suchen, für das was da passiert ist in
diesem Voting Computer Village.
F: Genau, da hörte, sprach ich mit jemand
der da war und meinte "Ist ungefähr so als
wenn man Fische, also in einem Fass auf
Fische in einem Fass schießt, aber mit
einer Gatling Gun mit Explodierenden
Kugeln und das Fass ist nicht mit Wasser
gefüllt sondern mit Benzin."
Publikum: Gelächter
R: Genau, dann gab es noch PC-Wahl und wie
hieß das andere Ding? Iwo? Iwu?
F: IVU Elect meinst du? Ja, ja ja, das
steht noch aus. Also, ja.
R: Genau, das gab's noch nicht, richtig?
F: Das gab's noch nicht so richtig.
R: Ja, wie kann das denn sein?
F: Ja, was denn schon? Es war kurz vor der
Bundestagswahl. Die Abende waren lang. Der
Sommer war ganz okay. "Shadow Brokers",
genau. Dieses Phänomen, dass wir Malware
haben, die weaponized exploits sind, also
die halt von Geheimdiensten gebaut wurden,
um anderer Leute Rechner aufzumachen, wird
glaub ich auch noch eine Weile bei uns
bleiben.
R: Genau. Wir haben das hier unter
"E-Government" aufgehängt, weil das ja
Waffenschränke der NSA waren, die da
einfach mal en gros weggekommen sind. Und
ja. Das sind dann wieder diese Zero-Day-
Dinger, die uns halt noch Jahre begleiten
werden, ja.
F: Die sind dann halt schon seit zehn
Jahren bekannt, nur halt nicht allen. Und
Shadow Brokers sorgen halt dafür, dass sie
dann doch mehr Menschen bekannt werden.
R: Ja, der Umgang damit, wie so eine
Government Malware in die freie Wildbahn
kommt - ob die jetzt irgendwie über den
Umweg von Antivirus-Software geht, oder ob
sie durch Zufall ihren Weg fand in die
freie Wildbahn, oder ob's irgendwie sich
um eine Geheimdienstoperation handelt, hat
uns ja diskussionsmäßig dieses Jahr
relativ viel beschäftigt. Und klar ist
halt, dass jetzt also der...
Nationalstaaten betrachten Antivirus-
Firmen jetzt als National Asset. Also,
allen ist klar geworden, dass das was bei
so einer Antivirus-Engine nach Hause in
die Cloud geschickt wird, dass da durchaus
interessante Sachen bei sind. Ob jetzt nun
irgendwie die Exploit Toolkits der
Konkurrenz, oder interessante Daten und
Dokumente; könnte alles mögliche sein. Und
diese, sagen wir mal Strategiesierung und
Politisierung des Anti-Malware-Business'
zeigt sich dann eben auch im Umgang mit
den Menschen, die da irgendwie in dem
Bereich unterwegs sind.
F: Genau. Und dann kommt noch dazu diese
Problematik, dass Attribution schwierig
ist und dann hat man plötzlich so eine
Situation wie... Wie heißt er, Michael
Hutchins? Oder so ähnlich... Also
@malwaretechblog auf Twitter, immer noch
nicht aus der USA wieder ausreisen darf.
Aber immerhin ist er schon mal wieder auf
freiem Fuß. Ja, was gab's noch Ulkiges?
Muss man sich noch mal genauer anschauen,
was da eigentlich passiert, aber das
scrollte an mir so vorbei, dass sich Leute
in ihrem Twitter-Account auf Region
irgendwas in Deutschland setzen, weil dann
gewisse Leute sie nicht mehr nerven.
R: Also, weil die Twitter-
Zensurmechanismen für die Locale
Deutschland offenbar ihrem persönlichen
Geschmack besser entsprechen, weil sie
dann viele von den Nazis einfach los sind.
F: Ja, erstaunlich, oder?
R: Ja, das erinnert mich so...
F: Also man erbt jetzt auf den sozialen
Plattformen mit dem Standort - und den
kann man noch frei selber bestimmen -
irgendwie so eine Filterwolke und da fehlt
mir die Dokumentation, ja.
Publikum: Applaus
F: Ich meine, vielleicht wollen wir ja
alle virtuelle Bürger von ich-weiß-nicht-
was werden. Ja, also vielleicht ist das ja
dann schön. Aber was man dann hat und was
man dann nicht hat, das wüsste man
eigentlich ganz gerne, aber das
wahrscheinlich wird man das
reverse-engineeren müssen
oder so, mmh?
R: Ich glaube, Machine Learning könnte
da helfen.
F: Ja. Machine learning to the rescue!
Vereinzeltes Gelächter
Apache Struts war glaube ich bei Equifax
angeblich die Vulnerability, die dafür
gesorgt hat, dass die aufhebelt worden
sind. Das ist sowas änliches wie die
SCHUFA in den USA; einer von den großen
drei, mit ungefähr 150 Millionen
amerikanischen Datensätzen plus ungezählte
in England und ein, zwei anderen Ländern.
Also, komplette Profile. Cellebrite...
"Cellebrit", "Celebrite"?
(Ist sich der Aussprache unsicher)
R: "Cellebrite."
F: ...war deswegen ulkig, weil das ja
eine... Wie nennt man sowas?
R: Das ist so ein Dienstleister, der
Regierungen dabei hilft, anderer Leute
Telefone aufzumachen. Kann man wohl
einfach so sagen.
F: Genau, eine Überwachungsfirma. Aber die
ist ja zur Überwachung da und nicht zum
Schutz von Daten. 900 GB waren das.
R: Wahrer Datenreichtum.
F: Ja, wahrer Datenreichtum. Und viel
einfach so AWS buckets voll mit Zeug. Die
Republikaner haben auch ungefähr 198
Millionen Datensätze verloren und die
Frage ist: Wie viel ist denn das? Und die
Antwort ist das war einmal alles, ja,
einmal alle Wähler, ja. Und 1,1 Terabyte
Daten zugreifbar, 24 Terabyte Daten nicht
zugreifbar. So, ist das jetzt
bemerkenswert? Naja, kommt darauf an,
womit man das vergleicht, weil das ist ja
2015 schon mal passiert und damals waren
das weniger Daten, weil was hatten sie
damals noch nicht hinzugefügt zu ihren
Wählerdaten? Na die Information darüber,
welche Hautfarbe jemand hat und welche
politische Einstellung er hat. Das ist
jetzt aber dabei bei den Daten, die da
weggekommen sind. Also man sieht, wie sich
das weiterentwickelt, das wird dann für
Targeting benutzt, hat es geheißen und das
ist die Richtung, das kann man so raus
extrapolieren. Wir sehen mit Freude, dass
auch Ransomware ganz vorne dabei ist bei
Crypto.
R: Genau, also ordentliche Crypto Routinen
zu verwenden. Allerdings gilt auch bei
Ransomware: Crypto Implementierung sind
schwierig, also lieber die
Referenzimplementierung verwenden, wenn es
möglich ist. Jedes mal, wenn man es selber
macht geht's eigentlich schief. Oder
andersrum, wenn man sagt okay, man steht
nicht so auf ungefragte Crypto-Sicherheit
für seine eigenen Daten mit den Keys
anderer Leute, dann sollte man sich
wünschen, dass Malware-Authoren in der
Informatik Vorlesung nicht aufgepasst
haben und einfach sich irgendein Crypto-
Aalgorithmus ausdenken, das dann viel
lustiger. Also Vollbit-Verschlüsselung
ist eine tolle Sache.
Publikum: Applaus
F: Genau, überhaupt sehen wir ja so eine
Entwicklung und die Entwicklung orientiert
sich an dem, womit man Geld machen kann,
also ich glaube das haben wir letztes oder
vorletztes Jahr festgestellt, dass
Ransomware im Moment eins der
Geschäftsmodelle der Wahl ist, weil man
halt so Geld verdienen kann. Aber es gibt
da so ulkige Dinge wie WannaCry, wo das ja
nicht so richtig funktioniert hat und
andere, die danach kamen und wo sich eh
die Frage stellte, ob das echte Ransomware
war oder nicht einfach Wyper, also die die
Aufgabe hatten, die Rechner unbrauchbar zu
machen.
R: Und diese Ungewissheit ist eigentlich
strategisch ziemlich clever, weil wenn du
halt denkst "So ok, hey, ist ja nur eine
Ransomware, kann ja nicht so schlimm sein"
und dann feststellst, dass diese
Ransomware gar keinen Customer Support
hat, also dass das Payment einfach nicht
funktioniert und irgendwie da auch keine
Keys kommen und das es irgendwie keine
Hotline gibt, die man anrufen kann; also
es gibt ja so gewisse Standards für
ordentliche Ransomware. Also erstens so
Payment muss funktionieren, so zweitens
der Turnaround, mit dem man den Key da
raus bekommt, der muss in Ordnung sein, so
drittens man braucht halt irgendwie die
Digitalwährung der Wahl, muss halt einfach
erreichbar sein, ob jetzt in Bitcoin oder
Monero oder was auch immer. So, also haben
sich so gewisse Industriestandards
etabliert, an die man sich eigentlich als
Malware-Author, also als Ransomware-Author
halten sollte. Und so Abweichung von
diesem Industriestandard, also non-
compliance, kann man auch sagen, sind
eigentlich dann doch mittlerweile so'n
Indikator dafür, dass es entweder totale
Stümper sind, oder eine andere Absicht
dahinter steht. Und diese Frage zu
beantworten fällt halt nicht immer so
leicht, weil es gibt da draußen auch
wirklich Stümper.
Publikum: Gelächter
F: Tja, nicht jeder weiß was er tut. Aber
da ist so dieses schöne Thema
Kundensupport und wie wir alle wissen sind
Kunden anstrengend und man will mit ihnen
eigentlich nichts zu tun haben und
deswegen werfen sich alle gerade mit so
großer Begeisterung auf Coin-Miner, ja,
weil das dann wieder, da wird die
Rechenleistung einfach von dem
übernommenen Computer verwendet um Coins
zu generieren. Die werden dann nach Hause
geschickt und die kann man dann
hoffentlich in Geld umtauschen und muss
überhaupt den Leuten am Telefon nicht
erklären, wie sie jetzt Bitcoins kaufen.
Also extrem günstig, ja, die ganze
Operations wird viel billiger auf diese
Art und Weise.
R: Also, diese...
F: Und Ransomware hat glaube ich irgendwie
ein Drittel, ein Drittel der Malware ist
irgendwie
Ransomware, Stand irgendeine Studie von
Mitte des Jahres, oder August oder sowas
und jetzt bin ich mal gespannt wie schnell
sich Coin-Miner entwickeln werden, weil
da die Ggesamtkosten einfach günstiger
sind.
R: Also ist eigentlich dann so die Frage,
jetzt wo wir ja so viele neue Coins haben,
also es gibt ja quasi jede Woche noch ein
paar Dutzend neue Coins, wie viel davon
Coins sind, die Ransomware friendly sind.
Weil wenn man sich so ein bisschen
überlegt so wie, so Rasomware hat ja so
wenn man mal an Mobiltelefone denkt, so
bestimmte Beschränkungen, also man kann ja
denn nur abends minen, wenn das Telefon am
Strom hängt und hat vielleicht auch nicht
so viel Bandbreite und so und will
vielleicht die CPU nicht übermäßig
belasten. Das heißt also eigentlich sollte
es doch möglich sein Coins zu designen,
deren Eigenschaften besonders Malware
friendly sind. Und dann ist natürlich die
interessante Frage: Wie entwickelt sich
dann deren Kurs? Oder gibt es vielleicht
auch sowas wie Ransom-Coinmining-ware?
"Dein computer gehört dir leider für die
nächsten zwei Wochen nicht, danach ist
wieder alles okay. Solange sind deine
Daten leider verschlüsselt"
F: "Und du darfst ihn nicht ausschalten."
R: Genau.
F: "Und wir wollen grünen strom."
Publikum: Gelächter und Applaus
F: Gut, ab und zu werden diese Bitcoins ja
beschlagnahmt, also WhateverCoins, ja, ist
immer nur ein Beispiel, beschlagnahmt und
dann stellt sich ja die Frage, wie geht
man damit um, so als Land, oder man darf
ja dann irgendwann beschlagnahmte Dinge
auch zu Geld machen. Und die erste Frage
ist natürlich ob dann, wie heißt das? Der
Bund der Steuerzahler, kommt und sagt
irgendwie "das hättet ihr aber viel später
verkaufen sollen!"
R: Oder früher, je nachdem. Und dann
hatte, also ich hatte dann so die Frage an
einem befreundeten Anwalt, so wie, so rein
rechtlich, wie ist denn das? Und der
meinte "ja ja, ist ziemlich lustig, da
wäre halt in Juristenkreisen eine Weile
darüber diskutiert worden, weil man dafür
natürlich noch keine Präzedenzfälle
hätte." So, also was macht man mit
sozusagen, ist ungefähr so wie, bewertet
man das jetzt so wie beschlagnahmte Aktien
oder so? Ist halt relativ selten, so,
kommt eigentlich selten vor und, um ganz
sicher zu sein, haben sie dann wohl auch
geprüft, wie es eigentlich ist, wenn man
bei so einer Vermögensbeschlagnahme noch
nicht eingelöste Lottoscheine
beschlagnahmt und das war dann eine
Analogie, die sie zu Bitcoin relativ
passend fanden.
Publikum: Gelächter und Applaus
R: Also die Antwort lautete "Ja klar, sie
können es dann halt verkaufen." Ist halt
also beschlagnahmtes Vermögen, kann
verwertet werden.
F: Gut, jetzt müssen wir aber reinhauen.
Das Bemerkenswerte aus 2017, also noch
mehr Bemerkenswertes aus 2017 waren diese
Bluetooth, Broadcom und andere Radio
Vulnerabilities und ...
R: Du meinst der andere Computer in deinem
Telefon?
F: Genau, dieses andere Betriebssystem mit
dem anderen Dingens, das da auch immer
noch überall drin steckt. Weil in jedem
Computer steckt ja inzwischen ein
Computer, der dann noch einen Computer
hat, auf dem noch ein Betriebssystem
steckt. Da gibt's auch was von Intel, ne?
Publikum: leichtes Gelächter
F: Lass mich überlegen, ich weiß, ich weiß
es fällt mir gleich wieder ein. Intel ME.
Das, wofür steht das noch gleich? Für,
für, ich weiß es, ich weiß es: Minix
Embedded.
Publikum: Gelächter und Applaus
F: Oder war es die Minix Engine, oder die
...
Zwischenruf: Malware Engine.
Publikum: Gelächter
F: Ja, naja. Okay, wir können den auch zu
tode prügeln.
Zwischenruf: Millennium Edition.
F: Die Millennium Edition, danke Publikum.
Publikum: Gelächter und Applaus
F: So, aber eigentlich wollte ich hierfür
noch ein kleines Mengendiagramm machen,
also Bluetooth, Broadcom, also WiFi, das
ist ja dann, wird ja dann lustig in dem
Moment, wo man eine gewisse Dichte
erreicht, ja, ihr habt die Menge aller
Bluetooth oder WiFfi
Sender-/Empfängeranlagen, ihr habt die
Vulnerabilities in diesen, ja, also die
Verwundbarkeiten, und dann die dritte
Menge ist wie dicht die nebeneinander
stehen. Ja, und das muss natürlich eine
gewisse Überlappung haben, damit es dann
von Punkt zu Punkt springen kann. Wann
werden wir das erreichen?
R: Hier?
Publikum: Gelächter
F: Ja, hier.
R: Bei wem ist das Telefon in der Tasche
gerade so ein bisschen wärmer geworden?
R: Wer kennt jemanden, dessen Telefon...
F: Genau, schauen wir mal. Nur einen Satz
hierzu: Es gab mal wieder einen Facebook
Schattenprofile-Artikel, was ich immer
witzig finde, weil das so selten hoch
poppt das Thema. Es gab auch keine neuen
Erkenntnisse. Facebook hat Schattenprofile
und wofür sie die verwenden, weiß kein
Mensch.
R: Doch.
F: Was mich irritiert hat war, dass in
diesem ganzen Artikel nicht ein einziges
Mal das Stichwort "Geburtsdatum"
auftauchte.
R: Also wofür sie verwendet werden ist
eigentlich ziemlich klar. Na sie werden
halt monetarisiert.
F: Gut.
R: Ja, interessant waren, also wir haben
ja so diese Rubrik so, wo man so morgens
irgendwie so News liest und denkt sich so
"Also eigentlich doch lieber vielleicht
irgendwas mit Holz oder Orchideen oder so,
nicht so dieses IT Security Ding so." Und
da waren in dieser, in diesem Jahr waren
da so einige dabei die halt so Sensor
Side-Channel Attacks waren, also wo man
Sensoren anders benutzt, als der Erbauer
dieses Sensors darüber nachdachte. Also
zum Beispiel diese DolphinAttack, bei der
man die Werbewanzen wie Alexa mit
Ultraschall dazu bringt Dinge zu tun, die
der Mensch gar nicht hört, also man hört
da als Mensch vielleicht nur so'n Pfeifen
und plötzlich bestellt Alexa eine große
Ladung Katzenstreu, oder so. Und da stellt
sich natürlich die Frage wie lange dauert
es eigentlich bis so Tiere, die halt zum
Beispiel auch Ultraschall absondern
können, also wie lange dauert es bis man
eine Fledermaus darauf trainiert
bekommt...
Publikum: Gelächter und Applaus
F: Welche Angriffsoberfläche bietet ein
Papagei, ne? Aber ich dachte wir hätten
geklärt, dass man das gar nicht braucht
mit dem Ultraschall, wenn man dafür sorgen
kann, dass der Furby das Katzenstreu
bestellt.
Publikum: Gelächter
F: Ja, dieses DolphinAttack ist schon
total irre. Da sind ja auch noch andere
Dinge wie man z.B. Machine Learning
überlisten kann, indem man in Bilder noch
weitere Informationen rein kodiert, die
ein Mensch nicht sehen kann, die die
Maschine aber sehen kann, ja. Auch schöne
Artikel darüber im Netz.
R: Ja, das war so mein Liebling dieses
Jahr. Ihr wisst ja Ethereum ist ja so ein
Smart Contract System, also die Idee, man
könne Verträge in Software gießen und das
wäre, soll eine gute Idee sein. Und so
nach, ich glaube mittlerweile über drei
Jahren, wo irgendwie diese Währung nun
schon irgendwie so diverse Dutzend
Milliarden Dollar virtuell Wert ist, kam
denn mal jemand auf die Idee, dass man
vielleicht mal gucken könnte, ob die
zugrunde liegende Programmiersprache,
nämlich dies Solidity, ob man darin auch
Sachen schreiben kann, die auf den ersten
Blick ganz normal aussehen, aber dann halt
irgendwie Dinge tun, wo man halt nicht so
ohne Weiteres sehen kann, dass sie die
ausführen. Und ...
F: Also Javascript?
R: Ja. Und das, die Bugs, die da submitted
wurden waren halt alle ganz schön
langweilig, also es war jetzt nichts
ernsthaftes dabei. Und...
F: Moment, die die öffentlich gemacht
wurden?
R: Oder, ja die die öffentlich gemacht...
F: Die, die eingereicht wurden?
R: Die eingereicht wurden.
F: Ich meine welcher Irre reicht etwas
ein, wo er weiß, dass es funktioniert.
R: Wenn der Preis irgendwie nur so ein
paar tausend Dollar sind.
F: Oder?
R: Ja, ist also ein klarer Fall von man
kann mit sowas auch zu spät sein. Der Bug
Bounty muss in irgendeinem Verhältnis zum
erzielbaren Gewinn stehen, den man halt
irgendwie, wenn man ihn einfach verwendet
hat und Ethereum ist da leider nicht so
weit vorne. Eine der schönsten Geschichten
wo so ein bisschen unklar ist, ob sie wahr
ist, war die Geschichte dieses Jahr von
der djane tor, der eine schöne Geschichte
auf einem Blog, einer Blogplattform
schrieb darüber, wie er angefangen hat
Plaste-Router, also die Plaste-Router-
Apocalypse quasi im Alleingang
aufzuräumen. Also halt sozusagen wie so
eine Art Batman oder so, der halt
irgendwie den, angefangen hat, dann
Plaste-Router en masse zu exploiten und
irgendwie vom Netz zu nehmen, damit sie
nicht als DDOS-Vehikel benutzt werden
können. Da gab es dann einiges an
Diskussion darüber, wie viel davon wahr
ist, wieviel nicht, was eigentlich auch
egal ist, eine schöne Geschichte. Und wir
wissen ja: die schöne Geschichte gewinnt
eigentlich immer. Und die interessante
Frage ist so, was passiert eigentlich wenn
man das Maschinen machen lässt. Also was
passiert, wenn es dann plötzlich eine KI
im Netz gibt, die einfach nur aus
pädagogischen Gründen angreifbare Kisten
aufmacht und runter fährt.
Gelächter
So, wir sind davon nicht allzu weit
entfernt. Ja also ich meine das ist halt
so ... so also ... Exploit Automation, das
ist mittlerweile eine ganze Ecke weit
gekommen und irgenwie so ein Ding einfach
ins Netz zu stellen, was nichts weiter
tut, als einfach dafür sorgen, dass
irgendwie Systeme, die am Netz sind die
halt irgendwie einfach angreifbar sind,
nicht mehr allzu lange am Netz sind. Ich
vermute, da werden wir relativ bald sein.
Applaus
R: Das ist nur mal so ein Datenpunkt. Ja,
es wurde ein Botnet gefunden: das
Starwars-Botnet mit 350.000 Accounts. Das
hat, scheint aber irgendwie nix gemacht zu
haben irgendwie auf Twitter. Und dann sind
wir hier bei der, bei der Steilvorlage für
dies hier, ja, also dieses, der, der
Roboter, der Ios... oder die KI oder was auch
immer Algorithmen-Sammlung, die losgeht
und selber Systeme angreift, für diese
Systeme, die sie zu verteidigen hat, auch
Patches produziert und die dann auch
einspielt. Dafür gibt es jetzt ein
OpenSource, eine OpenSource-Vorlage, die
rausgekommen ist aus dieser DARPA Cyber
Grand Challenge von dem Team Shellfish.
Schöne Artikel in der FRACK. Schaut euch
das mal an. Da ging es also bei dieser
Cyper Grand Challenge, ging es darum, eine
Maschine zu entwickeln, also ein, ein,
ein, ein Programm zu entwickeln, das dann
andere Programme angreift und eben auch
für die eigenen, zu schützenden Systeme
Patches produziert. Ja das macht dann, das
macht dann das mit den Plaste-Routern
klar, wenn wir Glück haben.
F: Ja, "Tote durch Autokorrektur" war so
ein Problempunkt, der dieses Jahr hoch
kam. Der Hintergrund ist, dass
zumindest ein Fall bekannt geworden ist,
wo die Autokorrektur in einer
Textverarbeitung den Namen von
Medikamenten replaced hat. Also in dem
Fall ging es halt um Antibiotika, die, wo
die Autokorrektur halt nur eines dieser
Antibiotika kannte, aber nicht das andere
und dann halt die das Wort korrigiert hat.
Dummerweise ist bei Antibiotika die
Auswahl dieses präzisen Medikaments
relativ wichtig, weil es durchaus eine
Menge Leute gibt, die so Allergien haben
oder Unverträglichkeiten haben die auch
gerne mal fatal sein können. Und wir haben
wir versucht, irgendwie raus zu kriegen,
wie weit dieses Problem so reicht, so. Es
geht ja noch ein bisschen weiter, also
nicht nur Autokorrektur, sondern so Ärzte
diktieren ja auch ganz schön viel und dann
haben wir mal gefragt, so: Siri wie viele
Leute hast du schon umgebracht?
Gelächter
Aber sie hat die Antwort verweigert.
Ich finde es sehr verdächtig.
Gelächter
R: Und Autowaschstraßen auch. 150 Stück
... also irgendein Autowaschstraßen-Typ
ist mal durchgetestet worden und, das, ich
glaube, die Videos davon durften dann
nicht veröffentlicht werden oder so. Aber
angeblich gibt es da schöne Videos, wie
die auf und zu fahrende Tür irgendwie
versucht, das Auto zu zertrümmern, das
gerade raus will aus der Waschstraße und
Aussagen von den Leuten, die das gemacht
haben, dass wenn sie es schaffen würden,
einen Menschen einzuklemmen mit der Tür,
dann könnten sie auch die Wasserstrahlen
korrekt ausrichten auf den ... Also die
Autowaschstraßen ...
F: Das wäre dann zwar kein perfektes
Verbrechen, aber immerhin ein sauberes.
GelächterApplaus
R: Genau, schauen wir mal nach Vorne.
Auf die letzten sieben Minuten, das wird hart.
Das Sensor- und Sensor-Qualitätsproblem:
Ist ja immer schön, wenn die Kameras immer
besser werden und ich glaube wir hatten
vor ein paar Jahren mal auf so eine App
hingewiesen, die alleine mit der Selfie-
Videokamera sehen kann, wie man atmet,
weil die einfach auf die Schatten achtet,
hier auf dem, auf der Brust, ja, und die
auch den Puls messen kann und zwar über
die Kamera, über das Pulsieren des Blutes
hier oben in den in den Wangen und solche
Sachen. Und die, was passiert hier? Die
Sensorik wird immer besser, die
Bildwiederholraten steigen und dann sind
wir jetzt bei dem Thema Micro-Expressions
aufnehmen und eben gucken, ob da einer
sich wohlfühlt, unwohl fühlt, nervös ist,
nicht so nervös ist, etc. Da geht jetzt
immer mehr und das wird auch nicht
aufhören.
F: Und diese, was dabei ebend rauskommt
sind so Sachen, wie, was wir gerade ebend
hatten mit Ultraschall und den
Werbewanzen: Dass bei etlichen Sensoren
man halt auch nicht mehr direkt sagen
kann, auf was die dann noch alles so
reagieren. Das heißt also, so etwas
surreal Sensor-Input wird auf jeden Fall
ein sehr interessantes Problem werden,
insbesondere, weil natürlich immer mehr,
wie hieß das schöne Wort, Cyber-
Pphysikalische Aktor Systeme, also sprich:
Dinge, die dich beschädigen können und von
einem Computer gesteuert werden, sich in
der freien Wildbahn befinden und die
werden natürlich von Sensoren gesteuert,
indirekt.
R: Genau und dann sind wir wieder bei dem
Thema "Was ist da eigentlich verbaut und
inwiefern wurde das gebaut mit dem Zweck,
für den es jetzt eingesetzt wird?" Es gibt
diesen schönen Spruch "Wir stehen auf den
Schultern von Riesen und können weiter
schauen, als die vor uns." Und das ist
halt so, wegen wie wenn ich die Library da
drüben einbinde dann habe ich jetzt tolle
Crypto, glaub ich. Ja und wenn ich diese
Library da drüben einbinde dann kann ich
jetzt einen Sensor, Ultraschallsensor
einbinden und er sagt mir, wie viele
Zentimeter Abstand das noch sind, bis zum
Fußgänger da vorne
F: Oder wenn ich..
R: glaube ich.
F: diese Library einbinde dann brauche ich
leider Internet, damit mein
Küchenthermometer mir die Temperatur
anzeigen kann, weil es leider sich seinen
Fung(?) von Google holt, aber dafür
schafft man es möglicherweise eine
Temperatur- und Feuchtigkeitsanzeige unter
zehn millionen Zeilen Code zu bauen.
Gelächter
F: Vielleicht.
Applaus
R: So und, also wir stehen da schon auf
den Schultern von Riesen und können weiter
schauen als Andere und das heißt ja auch
immer "Don't roll your own crypto", ja,
mach deine Crypto-Software nicht selber,
nimm ne Library, die gut ist, aber wer
patcht die denn dann später mal? Und das
ist eben das Problem: Die Riesen sind
nicht so, die sind nicht so gesund. Die
haben vielleicht nur ein Auge, ja, und
stehen eigentlich auf Krücken, aber das
ist so schlecht zu sehen, weil die
Hosenbeine so lang sind. Weiß auch nicht,
also da fehlen mir so ein bisschen die
Bilder, aber letztendlich, irgendwie, die,
wir stehen vielleicht gar nicht auf den
Schultern von Riesen, sondern mehr so ...
F: Kartenhäuser?
R: Kartenhäusern. Müllhalden?
F: Ja, die hat die Allwissende Müllhalde,
wir stehen auf den Schultern der
Allwissenden Müllhalde, ich glaube das ist
die richtige Analogie dafür.
Applaus
R: So, und jetzt kommt, jetzt kommt die
schlechte Nachricht: Das ist das Best-Case
Szenario. Weil wir haben auf diesem
Congress schöne Beispiele dafür gesehen,
was passiert wenn einer sagt "Riesen? Die
sind mir zu teuer! Der ist außerdem zu
groß! Und der isst so viel!"
F: "Und ist ein Riese, der ist gar nicht
von hier."
R: "Ja, ich lehne ja Riesen grundsätzlich
ab, aus religiösen Gründen." Oder, oder
"Ich will auch ein Riese sein! Ich will
auch ein Riese sein! Du bist nur 1,30, das
das das ist diskriminierend!" Also, wenn
dann jemand auf die Idee kommt, dass er
das einfach selber implementieren kann,
weil wie schwer kann das sein, ja, so'n
Bezahlsystem zu implementieren, wie schwer
kann's denn sein?
F: Hey, man könnte ja Mifare-Classic dafür
benutzen.
Gelächter
F: Ist schon da. Funktioniert ganz super.
Applaus
R: Und Classic heißt doch eigenentlich, es ist ein Klassiker und Klassiker sind doch immer gut, oder?
F: Gut abgehangen. Gut abgehangene Riesen.
R: Genau.
F: Also dieses Problem, was passiert, wenn
wir anfangen mit Machine Learning auf den
Menschen loszugehen begleitet uns ja
diesen ganzen Congress so ein bisschen,
so, seit der Keynote von Charles Dross
hier und wir haben das halt auch das ganze
Jahr so in den Vorhersagen für nächstes
Jahr gesehen, so es gibt ja diese Youtube-
Videos dieser autogenerierten Kinder-
anfix-Videos und wir haben da, glaube ich,
den Anfang überhaupt noch nicht gesehen.
Wir wissen, also wenn wir uns es jetzt mal
die Technologie-Komponenten überlegen: Wir
haben mittlerweile ziemlich gute Text-to-
Speech und relativ gut funktionierendes
Speech-to-Text und das heißt also mit
einer Maschine telefonieren, das erste
mal, dass wir mit einer Maschine
telefonieren wird wahrscheinlich ein
Werbeanruf sein, der dich anruft und
sagt...
Publikum: Hatte ich schon!
F: Oh, gab's schon? Und war's okay,
oder..?
Gelächter
F: Hatte sie Verständnis mit dir?
R: Also, was ich glaube, das wird daran
scheitern, dass kein Mensch mehr sein
Telefon zum telefonieren benutzt.
Applaus
F: Ja, dieses "Daten sind das Öl, oder was
auch immer, des einundzwanzigsten
Jahrhunderts" war ja so letztes Jahr so
einer dieser Sprüche, über die wir uns
doch so ein bisschen irgendwie den Kopf
gekratzt haben, so als was war jetzt an Öl
eigentlich so gut, ja? Wir haben irgendwie
angefangen darüber Kriege zu führen, wir
haben damit unseren Planeten im
wesentlichen vernichtet..
R: Also eigentlich schreiben sich die
Witze von selber, ja, also Daten sind das
Öl, oder was auch immer, des
einundzwanzigsten Jahrhunderts, ok, also
das mit den Kriegen ist klar, so, wir
werden die Ozeane damit voll müllen... Was
ist denn da das Äquivalent? AWS Buckets?
Gelächter
Einruf aus dem Publikum
F: Und die, naja, also also Halver hat da
was schönes neulich geschrieben. Der
meinte so, also Daten sind zwar, also sind
eigentlich nicht so sehr das Öl des
einundzwanzigsten Jahrhunderts,
Daten sind mehr so wie so'n,
so das Fass, irgendwie, mit brennendem
Benzin, was du im Vorgarten stehen hast
und man kann sich zwar ein bisschen daran
wärmen, aber sonst hat's nur Nachteile.
GelächterApplaus
R: Man kann das auch noch weiter spinnen,
nicht, wenn Data the new oil ist, dann ist
ja Data auch the new snake oil...
Gelächter
R: und da sind wir dann wieder beim Thema
Statistik ist hart, also das, was man aus
Daten rauslesen kann, das muss man auch
erstmal können und wenn man das eben nicht
kann, dann kann man einem mit Daten ja
auch alles mögliche verkaufen. Ja, und was
ist dann Zucker im Tank?
F: Hmm.
R: Hmm...
Wir haben da noch ein bisschen was.
F: Social Media Facelifting wird
sicherlich, also wird ja zum Teil schon
betrieben. Es gibt da so Professionals,
die einem so den Instagram Account
aufhübschen und dafür sorgen, dass man
irgendwie schön und beliebt aussieht. So,
zusätzliche, alternative IDs werden immer
wichtiger, weil, also es gibt da so
Länder, wo man zum Beispiel halt irgendwie
Schwierigkeit hat in ein Hostel
einzuchenken, wenn man keine Facebook-ID
hat und da will man natürlich eine
besonders schöne, gecleante,
disneyfizierte, familienfreundliche,
unkontroverse ID für haben. Die braucht
man dann wohl.
R: Genau. Und für die, die das nicht
kaufen wollen, die können sich ja dann
eine App zulegen, die das, die ihnen dann
dabei hilft ihr Social Score Management zu
optimieren, am besten AI-gestützt, oder?
Vereinzelter Applaus
R: Ich mein, China steigt da jetzt voll in
das Thema ein, oder?
F: In diese Social Score Geschichte, ja.
R: Und dann wird der Social Score benutzt,
um zu gucken, ob man einen Kredit kriegt
oder nicht, weil mit Geld kriegt man ja
die Leute und da soll dann alles mögliche
rein, so auch was die Regierung gerne
hätte, im Sinne von wenn einer ein Parking
Ticket nicht bezahlt hat, dann ist das
sehr viel schwerwiegender, als wenn er
seine letzte Telefonrechnung nicht bezahlt
hat.Und jetzt habe ich auch was gehört
von, von Gesundheitsdaten sollen da auch
einfließen. Und dann fragt man sich ja
immer: Was werden die Konsequenzen daraus
sein? Und die Antwort da ist klar
Schokolade-Schwarzmarkt.
Gelächter, Applaus
F: Also angesichts der Arbeitsteilung am
Malware-Sektor, wo man sich dann mal
fragt, okay, die machen irgendwie das
Backend und irgendwie das Payment, und
dann gibt es noch irgendwie die
Command-&-Control-Leute, und dann gibt es
die Leute, die die Exploits bauen und
denen die eigentlichen Dropper bauen und
irgendwie die sagen, wo es hin und her
gehen soll. Es wird da mittlerweile so ein
richtig komplexes Environment. Und wir
vermuten, dass es das schon gibt: den
Malware-Wertschöpfungsketten-Prüfer. Weil
jeder dieser Arbeitsteile kriegt ja was
davon ab, von dem Coinminer oder was auch
immer der gerade deployt hat. Das heißt
also, der ... Das muss man ja auch
irgendwie auditen. Also man hat ja,
braucht so Standards. So die Compliance im
Malware-Sektor wird sicherlich ein großer
Arbeitsmarkt werden. Also ... Die haben ja
auch immer gesagt, so dieses: "Ja,
Automatisierung ist nicht so schlimm, weil
es wird ja neue Arbeitsplätze geben." Und
möglicherweise sehen wir hier gerade den
Anfang von sowas. So neue Arbeitsplätze,
an die wie früher noch nicht dachten. So
Compliance-Auditor im Malware-Sektor.
Gelächter, Applaus
F: Ja das ist so ne ...
Gelächter
R: So, wo ist ...
Applaus
R: Der IoT-Geisterjäger, ja? Und wir
hatten letztes jahr den IoT-
Wünschelrutengänger. Ein IoT-
Wünschelrutengänger ist einer, der die
IoT-Geräte findet, die überhaupt da sind,
ja? So und der Geisterjäger ist, wie Ihr
aus den Filmen wisst, derjenige, der die
dann einfängt auf eine Art und Weise, wo
man dann sie noch hinterher analysieren
kann. Also ich meine, wenn, wenn, wenn so
ein Gerät mit Malware, also ein IoT-Gerät
mit Malware befallen ist und man dann
rauskriegen will, was da eigentlich Böses
drauf läuft, dann darf man da ja nicht den
Stecker ziehen. Weil dann ist es ja weg.
Heißt, man braucht da so einen
Strahlungskreuzungs... nee,
Entschuldigung,
F: Nicht die Strahlen kreuzen! Das ist so
wie bei 230 Volt, linke Leitung, rechte
Leitung, ist wie Strahlen kreuzen, nicht
Strahlen kreuzen.
R: Genau. 5 Volt, 12 Volt
Gleichstromdinger ... Muss man das
abgreifen können, um das rauszutragen, um
dann den Speicher auszulesen und ...
F: Na also diese, dieses ...
R: Das könnt ihr dann in der
Verwandtschaft üben. Also ich finde ja
immer Jobs gut, wo man klein anfangen
kann, ja?
F: Genau. Erstmal das Sample auf dem
Plasterouter bei der Verwandtschaft
isolieren, damit man schon mal für später
üben kann. Auch unter ...
R: Das sind alles gebrauchte Jobs, ja?
Industrie 4.0 kommt.
F: Guten Tag, ich muss gerade mal Ihr
Fertigungscenter mitnehmen.
Gelächter
Ja und ich muss den Drehstrom dran lassen,
damit die Malware drauf bleibt. Ich brauch
das Sample.
Gelächter, Applaus
F: Ja, Quantencomputer in Silizium. Wissen
wir natürlich nicht, ne? Also
Quantenunschärfe kennen wir ja, ne? Also
das ist halt irgendwie schwer zu sagen,
ob's jetzt nun kommt oder nicht. Aber
zumindest sieht's so aus, als wenn wir
nächstes Jahr da mehr Fortschritt sehen
könnten. Wenn es da nicht fundamentale
Probleme gibt, mit denen wir heute noch,
also heute noch nicht wissen, ob sie
lösbar sind. Also insbesondere, ob das
Rauschen in den Griff zu bekommen ist.
Aber wenn das passiert, könnte es sein,
dass wir nächstes Jahr relativ große
Fortschritte daran sehen, dass man
Quantencomputer mit traditionellen
Fertigungsmethoden der Halbleiterindustrie
bauen kann. Oder zumindest irgendwas, was
sich so anfühlt und so aussieht, wie ein
Quantencomputer. Mal gucken. Dann haben
wir so ein bisschen rumgefragt und gefragt
so: Was geht denn so nächstes Jahr schief,
so? Ne? Also was sind denn so die Sachen,
die wo bei Crypto halt jetzt irgendwie
noch so die nächsten Apokalypsen drohen
werden? Und die Antwort war eigentlich so
von allen, die wir so gefragt haben, die
früher auch schon mal für so kleine
Apokalypsen gesorgt haben. Also es wird
halt mehr so was wie Bleichenbacher geben,
es wird halt mehr schlechten Zufall geben,
insbesondere auch gerne in Hardware
implementierten schlechten Zufall. Wir
erinnern uns an dieses kleine Problem mit
Infineon und Estland dieses Jahr.
R: Zusammengefasst kann man sagen: Was
gibt es Neues? Es gibt nix Neues. Das Alte
ist noch nicht alle.
F: Ja.
Gelächter, Applaus
F: Der Cloud-Exorzismus ist natürlich
etwas, was man ... Also wir haben ja so in
den letzten Jahren immer wieder so gesagt,
ok, man braucht dann so Altenheime für
Geräte, die halt irgendwie mit dem
Internet nicht mehr so ganz klarkommen.
Und mittlerweile haben wir bei Hardware,
wo man sagt: "Eigentlich geile Hardware!",
also zum Beispiel halt so 'ne Werbewanze,
so 'ne Alexa ist ja eigentlich ganz geil.
So schicke Mikrofone, ordentlicher
Lautsprecher, dicker Prozessor, so. Leider
mit diesem lästigen
Nach-Hause-telefonieren-Problem. Und da braucht man
eigentlich so'n Exorzisten, der dann mit
dem Kreuz dafür sorgt, das Ding halt sich
seine schlechten Gewohnheiten, seine
schlechte Seele entweicht und man ihm eine
neue Seele ...
R: Genau, wir haben das hier noch unter
der Abteilung Sport, weil wir noch nicht
sicher sind, dass man sich damit, dass man
damit wirklich eine Familie ernähren kann,
ja? Wenn ihr euch noch mal den Vortrag
anschaut über den Staubsaugeroboter
aufmachen, hier, wo man dann sehen kann,
dass Staubsaugerroboter bessere Security
haben als manche Banken.
Gelächter, Applaus
Da ging es ja auch um das Thema "Wie macht
man da die Cloud raus?", weil das Gerät
ist vielleicht gar nicht so schlecht. Und
ja, das wird noch mehr werden. Und wenn
man das dann einmal gemacht hat, dann kann
man daraus vielleicht auch ein
Geschäftsmodell, das von Sport upgraden in
Richtung Geschäftsmodell, dass man dann
sagt: "Ich hätte gerne den Staubsauger,
aber ohne Cloud." Und keine Ahnung, ob man
den dann da kauft und dann da einschickt,
um die Cloud entfernen zu lassen, oder ob
das mit Hausbesuchen funktioniert, ja?
Oder mit Fernwartung, oh nein ...
Gelächter, Applaus
F: Oder mit so kleinen Prothesen, ja?
Also sozusagen wie so ein Aluhut,
der die Cloud fernhält.
Gelächter
R: Genau. Ja also, da geht was.
Tja und die letzte Sache war ...
F: Sind ja relativ viele Bitcoins, die da
draußen sind, von denen Leute sagen, so –
ich habs aufm Kongress schon so glaub
ich fünfmal gehört, so – "Ja, eigentlich
habe ich ja auch noch ein paar." Aber
entweder ist die Platte kaputt, man weiß
nicht mehr, wo die Platte ist, ja ok. Und
dann gibt es auch eine ganze Menge: "Ich
kann mich echt ums Verplatzen nicht mehr
an diese Passphrase erinnern."
Gelächter
Und nun muss man dazu sagen: Hypnotiseur
ist im Gegensatz zu Rechtsanwalt ein
Beruf, bei der es irgendwie nicht nur eine
Tarifierung nach Stundensatz geben kann.
Da ist eine Erfolgsbeteiligung möglich.
Gelächter, Applaus
R: Genau. Damit sind wir schon rum.
Wünschen euch allen einen guten Weg nach
Hause und wie immer einen schönen Rutsch
in das Jahr 1984.
Applaus
Untertitel erstellt von c3subtitles.de
im Jahr 2019. Mach mit und hilf uns!