-
33C3 Vorspannmusik
-
Linus: Also, als wir heute morgen hierher
gefahren sind, sagte der Taxifahrer:
-
Linus + Engel: "Die erlauben sich zu viel."
L: zu viel
-
E: zu viel
zu viel
-
L: Mit dieser ganzen Informatik
-
E: Nein, nein! Die Informatiker
mit ihrem Internet
-
Gelächter
-
L: Jetzt hast Du …
Ich wollte …
-
Gelächter
-
E: Habe ich Dir jetzt den
Joke kaputt gemacht?
-
E: Naja, gut.
-
L: Viel Spaß bei den Security Nightmares.
-
Applaus
-
Ron: Haaallo?
Publikum: Hallo
-
R: Hallo!
Publikum: Hallo
-
Frank: Hallo, seid Ihr alle da?
Publikum: Ja
-
R: Wir haben noch 4 Minuten,
bevor es losgeht.
-
Oder wir fangen
einfach früher an.
-
Publikum: ja
Applaus
-
R: Oder wir machen die ganze Zeit Android-Witze.
-
Gelächter
Applaus
-
R: Dies sind nicht die Updates,
nach denen ihr sucht.
-
Gelächter
-
R: OK. Schön.
Schaut Euch nochmal um.
-
F: Genau, genießt den Saal nochmal.
-
R: Ihr dürft nichts mitnehmen.
Wir sollen das hier besenrein übergeben
-
und das heißt so, wie es
jetzt ist, nicht als Parkplatz.
-
Gelächter
-
F: Das machen die dann schon
selber mit dem Parkplatz.
-
R: Genau.
-
F: Ja
R: 17. Veranstaltung
-
Wir haben das Zählverfahren
geändert, sind jetzt beim Binären
-
because, why not.
-
51,5% Marktanteil, glaube ich.
F: 51,5?
-
R: oder so.
-
F: 33 Kongresse,
17 Veranstaltungen: ja
-
R: kommt grob hin.
Der Fortschritt ist schmal.
-
Wenig Fortschritt pro
Veranstaltung ab jetzt.
-
F: Konvergiert gegen Null.
Ist eigentlich wie im richtigen Leben,
-
der Fortschritt konvergiert auch
langsam gegen Null.
-
R: Genau. So schön, dass Ihr
es alle wieder geschafft habt
-
und schön, dass Ihr 4 Tage
Kongress überlebt habt.
-
Ich habe dieses Jahr nichts von einer
grässlichen Seuche gehört.
-
Applaus
R: Klopf auf Holz
-
Applaus
-
R: Und offensichtlich seid Ihr alle von
zuhause weggekommen und dem
-
IT-Security-, IT-Maintenance-
Marathon zu Hause.
-
Wer hat über die Feiertage noch
ein Windows XP weggemacht?
-
Gelächter
-
R: Ihr seid die Helden!
-
Applaus
-
R: Wer wurde daran gehindert,
noch eins wegzumachen?
-
Gelächter
Applaus
-
R: Das sind zu viele,
das sind zu viele.
-
F: Wer hat seine Familie schon
Flash-frei bekommen?
-
R: Ah ja, den Rest erledigt dann Google
Chrome nächstes Jahr, glaube ich.
-
F: Und, wer hat es zu Java-frei geschafft?
… Schwieriger.
-
R: Ja nicht so viele. — F: Ja, ich glaube,
Oracle tut da jetzt langsam was.
-
Gelächter
-
F: Die haben jetzt angefangen
mit dem Inkasso.
-
R: Ja richtig, genau. Oracle
tut auch was. Fein.
-
Wir sagen gar nicht mehr an, dass
wir nicht mehr alles ernst meinen,
-
was wir hier sagen, weil …
-
F: Ihr kennt das. — R: Es löst sich
alles in Realsatire auf, da draußen.
-
Die Bildredaktion ist auch nicht
hinterhergekommen, deswegen haben
-
wir nur ein Bild mitgebracht, das
für uns das Jahr 2016 symbolisiert.
-
Gelächter
Applause
-
F: Ja, man beachte die
Campingstühle im Vordergrund,
-
Gelächter
-
F: Weil eigentlich sieht beim Brennen,
die Welt ja doch ganz entertaining aus.
-
R: Das ist so meditativ, in die
Flammen zu schauen, nicht wahr?
-
F: Also der Vorteil, das nur als
Bild zu genießen ist, dass man
-
den olfaktorischen Anteil nicht hat
-
Gelächter
-
R: Genau
Ja, genau
-
R: Android Witze machen wir jetzt keine.
F: Nein nur die ganze Zeit. — R: OK.
-
Das meinen wir ja gar nicht
bösartig, das mit dem Andoid.
-
Sondern das ist halt jetzt
die Platform von Milliarden
-
und damit ist sie relevant,
hochgradig relevant
-
und dann schlagen so Dinge, wie
diese Qualcomm-Chip-Bugs
-
in den Androids, die auch LTE konnten
schon ganz schön rein
-
das waren dann mal 900 Millionen Geräte,
-
die betroffen waren und von denen nur ein
Bruchteil tatsächlich Updates bekommen hat
-
Und dann gab es diesen Werbebanner-Klicker
Das waren wie viele Millionen?
-
F: 90 oder so — R: Ja, 85…90
Millionen, da sind wir immer gleich
-
bei ordentlich Kleinkram.
-
F: Aber ich meine auch, so funktioniert ja
die Wirtschaft. Irgendjemand muss diese
-
Banner ja klicken und im Zuge der
allgemeinen Automatisierung machen
-
das dann halt die Trojaner.
Gelächter
-
R: Ja … Ich wundere mich ja, dass
die Server die Banner noch nicht
-
selber klicken, dass man dafür
immer noch Endgeräte braucht.
-
Gelächter + Applaus
-
F: Stimmt, eigentlich wäre es solche
Appliance, die man so bei einem ISP
-
hinstellt, die halt einfach nur klickt.
R: Du meinst jetzt Firewall?
-
F: Gerüchteweise soll es sowas
geben, eine klickende Firewall.
-
R: … eine klickende Firewall
-
Ist da vielleicht noch Potential.
Nicht wahr?
-
Genau, das ist ja immer die Schwierigkeit
der Elektronik-Auswahl auch wenn man
-
gefragt wird im Familien-/Bekanntenkreis,
ist wahrscheinlich schwieriger geworden,
-
oder wie seht Ihr das? Wer findet, dass es
leichter geworden ist, etwas zu empfehlen?
-
Nokia 3310 geht immer.
Das sehe ich auch so
-
Applaus
-
F: Obwohl davon gibt es
auch schon China-Fakes.
-
R: Genau, gar nichts kaufen, geht auch.
-
Damit macht man sich nur nicht
so viele Freunde, erstaunlicherweise
-
Denen kribbelt es immer allen so.
-
Eigentlich hätte ich da gern so ein
Vulnerability-Barometer für die 10
-
meistverkauften Smartphones pro Jahr
oder so, wo man dann immer gucken kann,
-
wie offen das ist und … aber ist
wahrscheinlich auch zu viel verlangt.
-
F: Du meinst so eine
Risiko-Level 5 Anzeige.
-
Gelächter
-
R: Das ist ja jetzt ein Insider-Joke,
oder? Wie ist denn das definiert?
-
Risiko-Level 5 – wie ist
denn das definiert?
-
Wir fragen das BSI wieder im
Januar, habe ich mir sagen lassen.
-
F: Mir wurde versprochen, auf dem Flur,
dass von betroffenen Mitarbeitern, dass
-
da noch eine Erklärung dazu kommt
-
R: Das war ja eine bemerkenswerte Sache,
eine Produktwarnung vom BSI dieses Jahr
-
zu Routern, Netgear Routern
F: Plasterouterapokalypse.
-
R: Plasterouterapokalypse und das ist
schon bemerkenswert, schauen wir mal.
-
F: Wie sah es denn vor 10 Jahren aus?
R: Genau, wir machen das ja jetzt schon
-
eine Weile, deswegen 10 Jahre
zurückschauen, die Archive sind
-
auch noch da; nichts depubliziert.
-
Wir haben da mehr Transparenz
in der Politik gefordert,
-
weil das ja Problemgruppen sind.
-
F: Kriminalitätsgeneigte Soziotope
war, glaube ich, der Begriff.
-
Genau, und was wir vielleicht hätten
dazusagen sollen, dass wir nicht
-
Nacktbilder gemeint hatten.
-
F: Wir hatten dieses Jahr relativ viel
Politiktransparenz, insofern …
-
R: Ja, der Bundestag war sehr transparent-
Die nächste Sache, die wir angesagt hatten
-
war die Selfservice-Hausdurchsuchung.
Wir hatten damals gedacht an so niedliche
-
Hunderoboter, die von Bundestrojanern
befallen sind und Kameras in den Augen
-
haben und durch die Wohnung schleichen.
-
Interessanterweise braucht es das ja gar
nicht, weil sich offensichtlich alle so
-
einen digitalen Assistenten reinstellen.
F: Wer hat denn so was unter dem
-
Weihnachtsbaum vorgefunden?
-
R: Nein, Du musst das anders fragen:
Wer kennt denn jemand, der sein …
-
Gelächter
-
R: Aha, doch ein paar. Aber echt
wenig eigentlich. Warum denn?
-
F: Wer hat denn zu Hause einen Fernseher
vorgefunden, der zuhören kann?
-
Gibt es auch immer mal wieder.
-
R: Kamera ist ja alt – Mikrofon ist neu.
F: Ja, Mikrofon ist neu.
-
R: Und wer muss die immer
mit der Bohrmaschine behandeln?
-
Gelächter
-
R: Traut sich noch keiner.
-
F: Ist mittlerweile richtig aufwändig,
weil da ist nicht nur ein Mikrofon drin.
-
So, Stereo und Quadro und so.
R: OK.
-
F: Wer guckt denn, wenn er neue Hardware
kauft, ob da ein Mikrofon drin ist?
-
Sehr gut.
R: Zu wenig. Aber einige. OK.
-
Genau, die Selfservice-Hausdurchsuchung.
Spannend war, dass in dem einen Fall, der
-
gerade durch die Presse geht, ja gar nicht
Also, natürlich ist da Alexa ganz vorne
-
in den Schlagzeilen. Weil das kennt jemand
Aber erhebliche Details beigesteuert haben
-
soll der Wasserzähler. Der IoT-Wasserzähler,
der genau gesehen hat, wann besonders viel
-
Wasser verbraucht worden ist. Und es war
wohl irgendwie zwischen nachts um 1 und 3.
-
Und das ist deutlich ungewöhnlich, dass da
sehr viele Wassermengen verbraucht werden
-
und man dann Leichen in der Badewanne
findet. Irgendwie so war das, glaube ich.
-
F: Es ging, glaube ich, um die Blutspuren.
R: Ja.
-
F: Also jedenfalls sind wir jetzt bei
Geräten, die uns verraten. Im Zweifel.
-
R: Genau, so Verräter-Hardware mit IP-Adresse.
Ich meine in Deutschland hatten wir diese
-
Aldi-IP-Cams. Von denen weiß ja auch
keiner, wie viele davon noch
-
ungepatcht im Betrieb sind.
F: Wer hat sowas neulich gesehen?
-
R: Wer von Euch kennt …
Ja OK, lassen wir das…
-
Das mit den Plasteroutern hat jeder
mitbekommen. Das waren ja auch
-
wieviele Hunderttausend?
F: 900.000
-
R: 900 000 — F: Wie ist denn
eure Mirai-Quote so zu Hause?
-
Kann man eigentlich mittlerweile fragen.
R: Ja, OK.
-
R: Genau, vor 10 Jahren Geräetetreiber-
Sicherheitsrelevanz. Auch das poppt
-
immer mal wieder hoch. Ich glaube,
dieses Jahr gab es das Beispiel von einem
-
signierten Gerätetreiber, in dem
irgendwie ein Bug drin war, sodass man
-
andere Gerätetreiber unsignierterweise
nachladen konnte oder sowas.
-
Das Thema ist also auch immer
noch nicht tot. 10 Jahre später.
-
Die gute Nachricht hier ist jetzt, glaube
ich, dass Microsoft mit diesen Rollup-
-
Patches loslegt und es nicht mehr
freistellt, sich die Patches, die man noch
-
installiert, sich selber auszusuchen.
-
F: Ist nur doof, wenn hinterher
das DHCP nicht mehr geht.
-
Gelächter
-
F: Also andersrum betrachtet,
ist das Gerät dann wirklich sicher.
-
Gelächter + Applaus
-
R: Ja, die Plasterouterapokalypse
Ja, genau, das war’s.
-
Standardpasswörter. Wie vor 10 Jahren
und auch dieses Jahr wieder hochgepoppt.
-
Und teilweise macht es einen
dann ja fertig, wie wirklich auch
-
Sicherheitinfrastrukturhersteller damit
umgehen. Die machen dann schnell ein
-
Update. Das natürlich zu erwarten ist.
Und in dem Update ist dann ein besseres
-
Standardpasswort.
F: Mit mehr Sonderzeichen.
-
R: Applaus, Applaus.
Applaus
-
F: Ja, da hatten wir damals Computer
Aided Industriespionage genannt.
-
Mittlerweile heißt das,
glaube ich, … Wie heißt das …?
-
R: Industrie 4.0
Dankeschön
-
Gelächter + Applaus
-
R: Die Frage war vor 10 Jahren, ob man
sich schon vors Opel-Werk stellen kann
-
und vom Parkplatz mit dem WiFi dann sich
irgendwie sein Traumauto zurecht
-
konfigurieren kann. So, und die Antwort
ist: geht noch nicht, aber die Industrie
-
arbeitet hart daran.
Gelächter + Applaus
-
Unverständliches aus dem Publikum
-
F: Kommen wir noch zu. Ja
genau: LAN/WAN in der Fertigung.
-
Das nimmt einfach nur
zu. Nicht wahr?
-
F: Und, wer kennt denn so auswendig die
Affengriffe, die man so bei displaylosen
-
Internet-enthaltenden
Geräten machen muss?
-
R: Ja, das was das Standardpasswort ist
von etwas, was Tastatureingaben oder
-
Telnet oder so was akzeptiert, ist ja der
Affengriff, die Tastaturkombination,
-
die man braucht, um ein Gerät
in den Servicemode zu setzen
-
und da sind eben schon ein paar Hände
hochgegangen und das ist ja einmal dieses
-
Thema Servicemode und auf der anderen
Seite ist es dieses Thema Easter-Eggs
-
und bei vielen Technologien kann man
ja Easter-Eggs erst dann unterbringen,
-
wenn sie eine gewisse Komplexität erreicht
haben und da habe ich dann zwischendurch,
-
als ich an einer Ampel stand und gedacht
habe, wie ist denn eigentlich diese
-
Auflösung von diesen Buttons früher, diese
gelben dicken Dinger, die waren sicherlich
-
hoch, da konnte man schnell einen guten
Rhythmus tippen, aber auf der anderen
-
Seite waren die sicherlich so simpel, dass
man da keine lustigen Sachen verstecken
-
konnte. Es sei denn jemand möchte gern zum
Mikrofon greifen und das Gegenteil erklären
-
Und jetzt gibt es die, die induktiv sind
und da denke ich, da ist die Auflösung
-
vielleicht nicht so gut, da kann man
vielleicht nur einmal die Sekunde oder
-
alle zwei Sekunden oder irgendwas, muss
man halt schon echt gutes Rhythmusgefühl
-
haben … Ist das bei Servicetechnikern
schon eine Anforderung?
-
Gutes Rhythmusgefühl?
F: Um den Servicemode zu triggern?
-
Vielleicht geht das bei so ’nem
Atomkraftwerk? So mit rhythmischem
-
Reinfahren der Kontrollstäbe?
Gelächter
-
R: Aber die Komplexität dieser
Ampelanlagen ist doch inzwischen so,
-
dass man da locker irgendwas unterbringen
kann; ich mein, die haben Lichter,
-
die aben diese Klopfsignale …
F: Aber die haben … Internet.
-
R: Da geht noch was.
F: Ja, das Internet of Things.
-
Und die haben Funk, ne? Also in Berlin
zum Beispiel können die Straßenbahnen
-
sich an den großen Trassen die
Ampeln schalten per Funk.
-
Sehr hübsches Protokoll, haben sie
sich sehr gut ausgedacht.
-
R: Wieviel Megahertz?
F: Na, eines der Üblichen.
-
R: Alles das Übliche.
F: Ja, genau.
-
R: Wenn man nur günstig software defined
radios bekommen könnte …
-
Gelächter + Applaus
-
Wenn die nur quasi
irgendwo verschenkt würden!
-
Gelächter
-
Quasi … ja … ach, das würde so schnell
nicht passieren, nicht wahr?
-
F: Nee, es besteht kein Risiko. Jedenfalls
nicht aus der Perspektive von vor 10 Jahren
-
R: Gut, machen wir mal weiter. Das
Internetnormalitätsupdate 2016 …
-
dazu zu sagen ist, dass ja im Jahr 2016
üblicherweise die Zahlen von 2015
-
publiziert werden, das heißt,
die Zahlen sind zum Teil von 2015.
-
Genau, Flash-Exploits sind jetzt bei
$100'000 das Stück, iOS Exploits > $1M.
-
Das FBI hat $1,3M bezahlt, wobei keiner
weiß, ob sie das gezahlt haben für den
-
Exploit oder für die
Bedienung des Exploits.
-
Gelächter
-
Also OP-Hacks VS Cap-Hacks oder so …
-
Wenn ihr darüber nicht lachen könnt,
dann beglückwünsche ich euch.
-
Leiser Applaus
-
Das vereinzelte Klatschen der
verzweifelten Seelen!
-
Gelächter + Applaus
-
Ja, Bug Bounties! Google hat
im letzten Jahr $2M ausgezahlt,
-
so viel wie in 2-4 Jahren davor,
so was in der Richtung …
-
Apple ist jetzt auch mit eingestiegen.
Spät sind sie dran.
-
F: Wobei man sagen muss, warum sind die
Preise jetzt auf dem grauen Markt so hoch?
-
Und ich glaube, dass es damit zu tun hat,
dass durch die Ransomware Trojaner ja
-
diese Umstellung, die wir letztes Jahr
schon erklärt hatten von so Vermarktung
-
von so Exploits von Business2Business
jetzt auf Business2Consumer umgestiegen ist
-
weil mit den Ransomware Trojanern jetzt ja
das Geld von allen genommen werden kann.
-
Und ich glaube, dass das damit zu tun hat,
dadurch sind die Preise da gestiegen, weil
-
die Monetarisierung einer ordentlichen
Exploit-Chain über so Trojaner inzwischen
-
doch recht gut funktioniert.
R: Ja, das soll noch Thema sein.
-
Machen wir mal mit den Zahlen weiter.
Bugs im Linuxkernel haben wohl im
-
Durchschnitt eine Lebenszeit von 5 Jahren,
für anderen Code haben wir die Zahlen nicht.
-
Applaus
-
Man sollte doch mehr ausschalten … Ja.
-
F: Also wir sehen, Open Source
ist eine tolle Sache!
-
R: Nee, ich mein, das ist jetzt nur
ein wertfreier Fakt oder so ähnlich.
-
Die Frage ist halt, der Code, der
jetzt ausgerollt wird …
-
Applaus
R: Mach mal … Netz aus …
-
Hey ich mach das jetz hier platt,
weiss du … Gelächter
-
Rufe aus dem Publikum
Jeopardy-Melodie wird gepfiffen
-
F: Wisst ihr, wie man so was nennt?
Resilienz! Ihr könnt die Pausenmusik
-
selber machen, ihr braucht
gar keine Technik dafür!
-
R: Die Cyberschadenssummen sind gestiegen,
auch in Deutschland. Von €10k auf €18k,
-
die Versicherungszahlen gehen nach oben,
die Betroffenen steigen … Spannend auch
-
die Überweisungen, die durch Trojaner
ausgeführt worden sind. Dridex soll wohl
-
insgesamt einen Schaden erzeugt haben
von 10 Millionen Dollar in den USA und
-
Einzelüberweisungen sollen bis
zu $2,1M betragen haben. Wohooo!
-
Applaus
-
Nur geschlagen durch so Phishing/Chef-
Maschen, wo Mattel, also die, die so
-
Barbie machen und so was, die haben einen
neuen Chef gekriegt und dann hat sich
-
jemand als dieser neue Chef ausgegeben
und da sind wohl $3M überwiesen worden.
-
Applaus
-
F: Also man kann auch sagen,
Onlinekriminalität ist auf jeden Fall
-
ein Betätigungsfeld, wo ein weites
Feld von Talenten anwendbar ist.
-
R: Genau. Geschlagen wurde das wieder nur
durch die Zahlen, die im Rahmen von diesen
-
„Swift-Hacks“ gehandelt worden sind, wo
wohl eine ganze Milliarde Dollar von der
-
Zentralbank von Bangladesh irgendwie
wegüberwiesen worden ist und dann haben
-
sie aufgeräumt und das Geld zurückgeholt
und da geht wohl erstaunlicherweise
-
ziemlich viel und am Ende
waren nur 81 Millionen Dollar weg.
-
Super.
Applaus
-
Genau. Deutsche Zahlen: 4% sind Opfer
von Identitätsdiebstahl, 8% von Phishing,
-
15% nutzen Ad-Blocking – das soll
ein Drittel der 18-24-Jährigen sein.
-
Wie ist denn das hier
so im Saal? Ad-Blocker?
-
Gelächter
OK, das scheinen mir 101% zu sein.
-
F: Wer musste denn zu Weihnachten noch
einen Ad-Blocker zuhause bei den Eltern
-
installieren? … Sehr gut.
R: Wer musste einen abschalten?
-
… weil er sonst keinen Kuchen
gekriegt hätte? … Auch drei. Gut, OK.
-
F: Da habe ich gerade noch eine kurze
Frage: Wer von euch benutzt denn einen
-
mehr als einstufigen Ad-Blocker?
R: 10%. F: 10%, ja.
-
Ihr seid weit vorn, ihr seid die Zukunft.
-
R: Genau, die Werbebannerklickzahlen sind
Fake, die Up-/Downloadzahlen sind Fake,
-
die Bewertungen sind Fake, News ist Fake,
wenn euch einer von Microsoft anruft,
-
ist das Fake. Von Dell auch. Der Typ
von 1&1 ist auch gar nicht von 1&1 …
-
Wen hat’s noch …? Telekom – wer ist
von der Telekom angerufen worden,
-
„Guten Tag, Sie haben einen Virus!“ –
-
Tschuldigung: Wer kennt jemanden,
der angerufen worden ist?
-
F: Also mittlerweile hat das Ausmaße
angenommen, dass ich tatsächlich dieses
-
Jahr zum ersten Mal eine Mail von PayPal,
also eine echte Mail von PayPal – so was
-
soll es geben! – bekommen habe und die nur
durch Zufall nicht gelöscht habe, dachte:
-
„Ey, die ist aber wirklich
echt gut gefaked!“ und sie dann
-
halt aufheben wollte, so als Beispiel,
wie gut das mittlerweile alles ist und
-
dann feststellte, die
ist tatsächlich echt!
-
R: Ja, neulich habe ich einen Screenshot
gesehen von so einer UPS-Mail, die sie
-
wohl in den USA verschicken und die echten
UPS-Mails sind ja von Phishing-Mails nicht
-
mehr zu unterscheiden! Das ist ja …
-
„Klicken Sie hier, um irgendwas
downzuloaden, was dann da …
-
linksrum, rechtsrum …“
Erstaunlich! Ja …
-
Die Frage, die ich mir zwischendurch
stelle: Warum ist denn das eigentlich
-
mit den Supportanrufen nicht schlimmer in
Deutschland? Wo es doch wohl in den USA
-
ziemlich schlimm ist? Und ich glaube, das
liegt einfach daran, dass wir halt hier
-
Deutsch sprechen, und wenn du diese Anrufe
nicht auf Deutsch machen kannst, dann
-
kriegst du nicht die Leute ans Telefon,
die dir das glauben, was du da erzählst.
-
Gelächter
So, und da haben wir dann
-
ja große Hoffnung für die Echtzeit-
übersetzungssoftwarebranche.
-
Applaus
-
R: Die 0-Days, die im Einsatz waren,
oder die, die eingesetzt worden sind
-
F: —in der Wildnis beobachtet wurden …
R: Genau. Die waren wohl 2013, 2014
-
ungefähr gleich und haben sich
dann von dort zu 2015 verdoppelt.
-
F: Lohnt jetzt halt mehr.
R: Ja, naja, die Frage ist:
-
Werden die nicht immer erst an
Regierungen verkauft oder was?
-
Oder hatten die Regierungen das …
Wussten die noch nicht, wie man
-
dafür bezahlt in 2015 oder was?
F: Ich glaube einfach, dass wenn
-
du überlegst, wie viel du aus so einer
Ransomware-Kampagne herauskriegst,
-
so einer ordentlich
gebauten, das lohnt mehr.
-
Und ist moralisch wahrscheinlich
weniger verwerflich oder so.
-
Gelächter + Applaus
-
R: Noch eine Theorie könnte sein,
dass die allererste Welle keiner
-
mitkriegt, weil die allererste Welle
tatsächlich dann so gegen politische
-
Gegner, Dissidenten und so
weiter und so fort geht.
-
Und das kriegt keiner mit und dann wird
das, wenn es dort weg ist, verheizt. Oder?
-
F: Ist möglich, ja. So Zweitverwertungen
sind immer schwer zu tracken. Ist halt …
-
R: Ja, also wissen wir auch nicht.
Wenn ihr mehr wisst …
-
F: E-Government.
R: Genau, E-Government.
-
Wählerregister. Viele Wählerregister hat es
erwischt dieses Jahr. 93 Millionen mexikanische,
-
55M philippinische, 49M türkische Wähler,
und das war dann wohl immer so einmal
-
komplett. Mal war das eine Dingsdatenbank
– ich hatte mir eine Notiz gemacht … –
-
F: Einwohnermeldedatenbank?
R: Nee, Mongo-Datenbank!
-
Eine von 35.000 offenen Datenbanken da
draußen im Internet, die nicht ordentlich
-
abgesichert waren, war wohl so was.
-
Und da kommen ja ganz schön viele
Daten mit, das ist echt erstaunlich!
-
F: Also ihr seht schon so, unsere
Regierung hat immer gesagt, unsere
-
Daten sind das Öl des 21. Jahrhunderts
und wir sehen jetzt ja so dieses
-
Zusammenfließen von E-Government und
Datenreichtum, ist also nicht zu vermeiden
-
Dementsprechend, je mehr Daten so
eine Regierung anhäuft, desto mehr
-
Datenreichtum kann es da natürlich geben.
R: Genau. Es sei denn, sie haben ihre
-
Backup-Strategie nicht im Griff. Ich
glaube es gab auch so eine Umfrage wie
-
„Haben Sie einen Computervorfall gehabt?“
„Ja, so und so viele“ und dann wurde auch
-
noch gefragt, ob die Unternehmen ihre
Daten klassifiziert haben und 64% der
-
Unternehmen haben ihre Daten nicht
klassifiziert und nur 52% der Unternehmen
-
haben keine Probleme mit Backups.
F: Das sind die, die noch nicht probiert
-
haben, ob sie ihr Backup
wieder restoren können.
-
Gelächter + Applaus
-
R: Das war ja, als ich vor 1-2 Jahren
den Telefonanbieter wechseln wollte
-
und die dann meinten, „Sie müssen erstmal
belegen, dass Sie es sind“, und dann habe
-
ich gesagt: „Ja, ich bin das und so
ist mein Geburtsdatum“ und die dann
-
„Ähh, das können wir nicht verifizieren.“
– „Wieso können Sie nicht verifizieren,
-
was mein Geburtsdatum ist?“ – „Ja, ähm,
das ist uns leider verloren gegangen.“
-
Gelächter
R: OK, nicht schlecht …
-
F: Wahrscheinlich hattest du dann einen
Nachbarkunden namens JOHNNY DROP TABLE;
-
Gelächter + Applaus
-
R: Ja, das Wahlcomputermassaker …
Wahlcomputer sind immer noch nicht weg
-
und man hat auch den Eindruck,
dass so ein bisschen, das ist jetzt das
-
Asbest der Demokratie oder
so an einigen Stellen, ja?
-
Applaus
-
Das ist jetzt da, es dachten ein paar
Leute, das wäre eine gute Idee, die die
-
das nicht gleich sofort rausgerissen
haben, die werden es jetzt nicht mehr los.
-
Und da ist dann so eine gewisse Trägheit
oder so, mir ist da die Dynamik nicht klar
-
Die einzige Hoffnung, die ich habe: Das
mit Asbest auf Baustellen war auch mal
-
ein großes Problem und inzwischen
ist das Routine. Also vielleicht wird
-
das Wahlcomputerabbauen und durch
Papierwahlen ersetzen auch irgendwann
-
mal Routine da draußen.
-
Ja, das ist auch noch E-Government
im Sinne von … Einkaufen.
-
F: Genau, die FBIs dieser
Welt, die ja mal so gerne
-
auf die Telefone gucken wollen …
R: Ist ja auf dem Kongress eigentlich
-
in vielen Vorträgen breitgetreten worden,
analysiert worden, müssen wir gar nicht
-
weiter ausführen vielleicht;
war hysterisch genug, oder?
-
Und auch das, was da überhaupt bei den
Demokraten passiert ist oder in Wahlen …
-
F: Naja gut, da sollte man vielleicht mal
noch ein Wort zu sagen, genau, was bei
-
diesen Demokraten passiert ist. Was es ja
quasi bedeutet, was dieses Jahr passierte,
-
ist, dass die Funktion von IT-Security
in einer politischen Organisation, die
-
Geheimnisse hat, darüber bestimmt, wie
viele Geheimnisse diese Organisation
-
eigentlich tatsächlich haben kann
und ob das nun halt das – was war es? –
-
das Risottorezept ist oder tatsächlich
irgendwelche richtigen Geheimnisse ist
-
dann eigentlich egal. Und wenn man sich
so anguckt, wie dieser Hack passiert ist,
-
so mit irgendwie Phishingmails, dann
war das jetzt keine Rocket Surgery, das
-
war halt eher so die untere Klasse von so
Bankingtrojanern, würde ich mal so sagen.
-
R: Ich denke, interessant wird, zu sehen,
wie die darauf reagieren. Also auf diese
-
Gefahr, dieses Risiko, dass alles, was in
einer E-Mail steht irgendwann geleakt
-
werden kann, geleakt werden wird
oder sonst wie wegkommen wird.
-
Macht man das dann alles per SMS?
Gelächter
-
Nach Zuruf aus Publikum
R: Bitte? F: Codebücher!
-
R: Codebücher, ja, ok … F: Njaa, die sind
im Alltag relativ hinderlich, glaube ich.
-
Außerdem verliert man die glaube ich.
R: Wahrscheinlich werden sie es nicht
-
hinkriegen, ohne Geheimnisse klarzukommen.
-
Ist aber der einzige Weg
nach vorne, vielleicht?
-
Wir werden es sehen.
-
Was auffällt, wenn Daten ständig wegkommen
und man das so betrachtet und denkt,
-
„Wow, da sind irgendwie die Wählerregister
weggekommen und in denen war nicht nur der
-
Vorname, Nachname und Wohnort drin,
und die Personalausweisnummer und
-
Sozialnummer und’s Geburtsdatum, sondern
auch noch die Namen der Eltern, also war
-
jetzt nicht Deutschland, aber so…“ und da
fragt man sich, „Wie viele Daten haben die
-
denn da eigentlich? Und wie viele Daten
haben andere und sind die vielleicht schon
-
weggekommen oder noch nicht?“ Und da fällt
einem auf, dass dieser Datenreichtum da
-
sehr asymmetrisch ist. Also viele da
draußen haben Daten über uns und wir
-
wissen’s nicht. Und wenn wir’s wissen, so
grob eine Idee haben, dann ist das aber
-
trotzdem kein Stück anschaulich. Also für
den Einzelnen kein Stück anschaulich und
-
man braucht so Beispiele wie, wenn
dann mal einer losgeht und mit einem
-
Journalisten was aufarbeitet, z. B. …
F: Was Malte Spitz gemacht hat.
-
R: Genau, seine Handydaten aufarbeitet,
um tatsächlich zu sehen, was das bedeutet.
-
Und da fehlt mir schon diese
Feedbackfunktion, da sind wir
-
auch wieder bei der Forderung Datenbrief.
F: Genau, die alte Forderung des
-
Datenbriefs müssen wir glaube ich mal
wieder auflegen, nämlich zu sagen, wenn
-
Unternehmen oder Behörden Daten über
einen Bürger haben, müssen sie ihn einmal
-
im Jahr darüber in Kenntnis
setzen, dass dem so ist.
-
Applaus
-
R: In dem Kontext auch sehr erbaulich,
der Vortrag über die Abfrage oder das
-
Einfordern von Daten vom Staat, der hier
auf dem Kongress gelaufen ist, ich glaube
-
am ersten oder am zweiten …
F: Du meinst den über Polizeiregister?
-
R: Genau, der mit den Polizeiregistern …
-
iPhone-Fehler 53. Thema – wer hat das
mitgekriegt? Das war dieses Ding, dass
-
– ach ja, wer war denn betroffen oder
kennt jemanden, der betroffen war?
-
Och ja, doch, so ein paar …!
Das war das Thema, dass es bei
-
den neueren iPhones dieses Touch-ID
gibt, diesen Fingerabdrucksensor, und
-
wenn man den austauschen lassen will,
dann muss der wieder gekoppelt werden
-
mit der restlichen Kryptohardware, also
mit dieser Secure Enclave, weil der mit zu
-
diesem Trusted Chain gehört, der da
etabliert wird. Und das können die
-
Nicht-Apple-Stores nicht. Und das ist
von daher bemerkenswert, dass hier
-
Kryptografie und Gerätesicherheit den
Teiletausch ver- oder behindert, weil das
-
sicherlich mehr werden wird. Ja.
F: Also immer mehr Geräte bestehen
-
ja aus vielen Komponenten und wenn diese
Komponenten sicherheitsrelevant sind,
-
was ja bei Mobilgeräten dann schon langsam
fast alles ist, weil auch der Touchscreen
-
mittlerweile dazugehört, wo man sein
Passwort eingibt oder so, dann wird
-
diese Verkopplung von Komponenten
innerhalb der Geräte definitiv zunehmen.
-
Also da sehen wir einen ganz klaren Trend,
was dann bedeutet, dass nur noch die
-
Werkstätten, die entweder die Software vom
Hersteller haben oder die entsprechende
-
Reverse-Engineering Box aus China haben,
in der Lage sind, diese Verkopplung dieser
-
Reparaturaustauschkomponenten
wieder vorzunehmen.
-
Was ähnliches sehen wir interessanterweise
bei Autos – so Autos enthalten ja
-
mittlerweile auch tonnenweise Sensoren
und da gibt’s so ein paar Sensoren, die
-
sind so gut, dass sie unter
Exportkontrolle fallen, also
-
zum Beispiel so was wie schnelle
Infrarotkameras mit hoher Framerate.
-
Und die müssen dann mit diesem Auto
verbunden sein, also elektronisch. Die
-
dürfen dann halt nur mit einem bestimmten
Bordcomputer funktionieren und da muss man
-
dann inzwischen schon einen ziemlichen
Kryptosignaturtanz aufführen, um so eine
-
Komponente an einem Auto
tauschen zu können.
-
Das wird dann richtig
interessant bei Autotrojanern.
-
R: Genau. Wo wir dann wieder beim
Thema Ransomware sind, weil man
-
sich ja als Ransomware-Autor auch
überlegen muss, wie man seine Prioritäten
-
setzt, nicht wahr? Und wo es sich denn
lohnt – und es lohnt sich halt da, wo man
-
viele Daten abgreifen kann oder Daten
als Geisel nehmen kann, ja?
-
Und da, wo das Gerät, das man einnimmt,
einfach zu teuer ist. Und wo die Leute
-
nicht einfach losgehen und sagen „Ja, mein
Gott, dann parke ich das Auto eben an der
-
nächsten Ecke und gehe weg
und kaufe mir ein Neues!“
-
Wenn man da nicht einfach die Hauptplatine
rausreißen kann und eine neue reinstecken
-
kann, dann … muss man halt zahlen.
-
F: Ich glaube, wenn ich so einen
Autotrojaner schreiben würde, dann
-
würde ich einfach verhindern, dass die
Leute ihr Auto abschließen können.
-
Gelächter + Applaus
-
Da kann man sich dann unterschiedliche
Variationen von vorstellen. Also man
-
könnte z. B. noch eine App da dranhängen,
die sagt, wo diese Autos stehen, und schon
-
hat man instant ein
Car-Sharing-Unternehmen.
-
Gelächter + Applaus
-
R: Genau, ihr Auto fährt jetzt Pizza
aus, so lange, bis sie bezahlt haben.
-
Gelächter
-
Publikum aus dem off: Wie sieht das denn
bei autonomen Fahrzeugen aus?
-
R: Ja bei autonomen Fahrzeugen sieht es
so aus … Ist es dein autonomes Fahrzeug
-
oder jemand anderes autonomes Fahrzeug?
Die Antwort ist natürlich: Wenn es ein
-
autonomes Fahrzeug ist, dann gehört
sich das Fahrzeug hoffentlich selbst!
-
Gelächter + Applaus
-
Und die Frage ist, ob ein
Lenkradschloss oder eine
-
Reifenkralle Freiheitsberaubung ist.
Gelächter
-
Genau. F: Also ich glaube, bei dieser
Ransome gibt es noch echt Potential.
-
Also da kommen wir bestimmt
noch mal drauf zurück.
-
R: Also ich finde, Ransomware, hatten wir
glaube ich schon letztes Jahr gesagt, aber
-
das ist echt ein weites Feld, das ist hoch
spannend sich anzuschauen, wie die damit
-
umgehen alle. Also dieses Thema, also
Ransomware verschlüsselt den Rechner, OK!
-
Aber da ist ja noch gar nichts passiert!
Also das interessante ist ja noch nicht
-
passiert, nämlich die Transaktion,
das Geldzahlen, wie kommt denn der
-
Durchschnittsbürger an Bitcoins?
Haben die Bösen dann da
-
entsprechend eine Supporthotline?
F: Nee, ich glaube, die machen …
-
Was ich machen würde: Ich würde einfach so
die am besten bedienbare Bitcoin-Exchange
-
ever bauen. Also so eine Bitcoin-Exchange,
die so richtig durchdesignt ist, so super
-
einfach ist, so „Schieb hier deinen 10€
Schein rein, da vorne kommen Bitcoin raus“
-
und du kannst gleich die Adresse deines
Trojaners reinpasten. Und der Vorteil
-
davon wäre, wenn man die dann auch noch
selber betreibt als Ransomwarebetreiber,
-
dann hat man sozusagen plausible liablity
und obendrein gleich das Bargeld in der
-
Tasche.
R: Uhhhh!
-
Genau. Also eine neue Dimension dort war
ja dieses Thema: Du kannst nicht zahlen?
-
Kein Problem: Schicke diesen Trojaner
einfach an 2 Freunde und wenn die dann
-
zahlen …
Applaus
-
Und ich meine, ihr lacht jetzt, aber das
ist ja unglaublich perfide! Weil die Leute
-
sich dann wirklich große Gedanken machen,
wie sie diese Mail schreiben müssen, damit
-
das Opfer auf der anderen
Seite draufklickt!
-
Ich habe auch erst nur die Überschrift
gelesen und gedacht: Wie, ich muss 2 Leute
-
infizieren, um selber meine Daten
wiederzubekommen? Ey, habe ich eine
-
eingetragene Domain, habe ich so
viele Freunde wie du willst!
-
Und dann habe ich zu Ende gelesen und dann
steht da, nee, irgendwer muss dann zahlen
-
am Ende. Da hab ich gedacht, okay …
F: Zum Glück haben die Leute mit facebook
-
ja ganz viele „Freunde“.
Lachen
-
R: Aber auch—F: positiv—
R: Let’s Encrypt. Die schönen Zahlen.
-
Applaus!
Applaus
-
F: Genau! Bemerkenswertes 2016.
R: Da heizen wir jetzt durch, ne?
-
F: Da müssen wir ein bisschen durchheizen.
R: Es gibt diesen Mirai, der hinter sich
-
den Port zugemacht hat. Ne? Verseuchen,
Port hinter sich zumachen. Gut bis zum
-
nächsten Reboot. … Das war auch eine
schöne Aktion, da hat sich jemand, dem das
-
Handy geklaut wurde dann ein neues Handy
gekauft, das mit einem Trojaner verseucht
-
und sich das dann klauen lassen und dann
alle Daten, die da angefallen sind über den
-
Trojaner/Überwachungssoftware abgegriffen
und dann daraus was gemacht und das hilft
-
ja auch sehr bei der Verbildlichung
dessen, was passiert, wenn das eigene
-
Telefon trojanerverseucht wird.
Ganz schön für die Anschaulichkeit.
-
F: Makroviren sind immer noch nicht tot.
Im Gegenteil – sie kommen wieder neu.
-
Wir haben eine Weile überlegt, woran das
liegt, bis ich mich dann so daran erinnert
-
habe, was ich denn so dieses Jahr alles an
Makroviren … nee, Makros in irgendwelchen
-
Word-Dokumenten im ganz normalen
Berufsalltag irgendwie hatte … ich habe
-
da so eine extra eigene VM für, in der
man solche Makros dann ausführen kann
-
und es ist erstaunlich, ja? Also der Grund
dafür ist einfach: Da hängt das Herzblut
-
von Leuten dran. Das sind halt so Leute,
die Probleme in Excelmakros gelöst haben,
-
und um die abzulösen bräuchte man ein
richtiges Softwareprojekt, dafür hat
-
niemand das Geld und die Zeit und dafür
müsste man Spezifikationen schreiben …
-
und deswegen werden Makros und damit
Makroviren glaube ich auch nicht sterben.
-
R: Geht nicht weg.
-
F: ZigBee! — R: Wer von euch
hat denn ZigBee zuhause?
-
Also wirklich …
F: Nein, moment – wer von euch
-
hat denn ’ne Philips-Hue-Birne zuhause?
R: Auch keiner …
-
F: Kennt jemand einen, der eine
Philips Hue Birne zuhause hat?
-
Die Leute haben ZigBee zuhause.
R: Genau, das schleicht sich jetzt
-
von hinten an. In die Glühbirnenfassung.
F: Ist so ’ne Zombietechnologie irgendwie.
-
Geht nie … ist so ’ne untote Angelegenheit
R: Aber dafür gab es dieses Jahr einen
-
astreinen Exploit, oder?
F: Ja, der war sehr schön.
-
R: Vulnerability oder Exploit?
F: Ja, beides.
-
… und was sich dann auch so vom einen
zum anderen verbreiten kann und die hatten
-
eine sehr schöne Idee für die Verbreitung:
Nämlich einfach einen relativ kräftigen
-
ZigBee-Transmitter nehmen und den einfach
an eine Drohne schnallen und die Straße
-
runterfliegen.
Gelächter + Applaus
-
Das Schöne daran ist: Da kann man dann
nicht nur normales Blinkenlights machen,
-
sondern RGB-Blinkenlights!
Applaus
-
R: Ja, bemerkenswert fanden wir das
Malware-Museum auf archive.org, das
-
es dort jetzt gibt. Das ist zwar viel
entkernte Malware, aber dafür sind dort
-
auch gleich die Emulatoren, also die DOS
Emulatoren, die man braucht, um dann dem
-
Bootsektorvirus beim Arbeiten zuschauen
zu können. Sehr hübsch. — Applaus
-
F: Diese Geschichte war sehr interessant.
Auch sehr inspirierend. Also Samsung hat
-
ja dieses kleine Problem
mit diesen Telefonen,
-
die plötzlich cyberphysikalische Systeme
wurden, also sprich: einen exothermen
-
Einfluss auf ihre Umgebung nehmen konnten.
Gelächter
-
Und dann mussten sie die ja zurückrufen.
Und dann haben die sie halt zurückgerufen
-
und die kamen nicht alle zurück, weil ein
paar Leute mochten diese Telefone, meinen,
-
„Ja, meins wird schon nicht explodieren.“
und dann haben sie angefangen, die
-
Daumenschreiben anzuziehen. Haben
erst gesagt, sie reduzieren erstmal die
-
Möglichkeit der Akkuladung auf 80%, dass
das Telefon nie ganz voll wird, da kommt
-
dann immer so ’ne Warnung, beim nächsten
Mal waren es 60% mit der nächsten Software
-
und am Schluss haben sie das Laden
komplett kaputtgemacht, nach dem Motto:
-
„So, dein Telefon ist jetzt leider nur
noch ein Türstopper. Bring es mal
-
zurück in den Laden“. Was wiederum dieses
„gehört das Gerät dir oder irgendjemand
-
anders“ doch wieder arg reinreibt. Und da
kam mir so die … eigentlich könnte man
-
doch auch einen schönen Ransomware
Trojaner draus machen, ne?
-
Gelächter + Applaus
-
So einen Trojaner, der einfach hingeht
und sagen wir mal die Akkuladung auf
-
60% begrenzt und sonst nichts weiter tut.
Publikum aus dem off: Gibt’s schon. iOS!
-
Gelächter + Applaus
-
R: Ja, es meinte gerade jemand aus dem
Publikum, das wäre doch die Apple Strategie
-
F: Und dann – Inkasso haben wir ja gerade
gehört ist so ein Problem bei Ransomware –
-
alles was man dann tun muss, ist,
eine App verkaufen im App Store, die den
-
Ladecontroller wieder dazu bringt,
100% zuzulassen, und schon hat man
-
sein Inkasso komplett legal, kann das
prima versteuern, muss nicht mit Bitcoins
-
rummachen, alles prima.
Gelächter + Applaus
-
R: Letztendlich ist es bemerkenswert
deswegen, weil es jetzt schlicht und
-
einfach öfter passieren wird. Das wird
nicht das letzte Mal gewesen sein, dass
-
das die Sache ist, die man tun muss als
Hersteller, um sich nicht irre rechtliche
-
Risiken ins Haus zu holen.
F: Weiß noch jemand, wann Conficker war?
-
R: Wann war Conficker?
F: Na? – R: Na?
-
Publikumsruf: 2006
R: 2006 sagt er … na, etwas später!
-
Publikumsruf: 2009
R: Ja, 2008, 2009, so was in der Richtung.
-
Und der ist noch nicht tot und der hat
es bis ins Atomkraftwerk Grundremmingen
-
geschafft dieses Jahr. Applaus.
Applaus
-
F: Genau. Es bestand nie eine Gefahr für
die Bevölkerung. — Gelächter
-
Ja, Paketdrohnen, ihr habt das bestimmt
gesehen, da gab es so verschiedene; diese
-
Fliegedinger waren uninteressant, so
Quadcopter mit Paket drunter, hatten wir
-
alles schon vor Jahren. Neu waren diese
„rollt auf dem Bürgersteig rum und liefert
-
dein Paket zu dir nach Hause“-Experimente.
R: Genau, da gab es ja Pilotprojekte in
-
Berlin und Hamburg und die Artikel – habt
ihr die Artikel dazu gesehen? Die waren ja
-
zum Schreien! Dann steht da im Artikel
drin: Ja, wir haben herausgefunden, dass
-
wenn die Drohne über den Bürgersteig
kriecht, dann setzen sich da kleine Kinder
-
drauf. Wow!
Gelächter + Applaus
-
F: Und ich meine, so der erste Gedanke als
ich davon las, war irgendwie so … habe ich
-
jetzt noch genug Kupfergase im Haus, um
eine Kiste dafür zu bauen? — Lachen
-
R: Nein, Herr Wachtmeister – das ist kein
faraday’scher Käfig für Drohnen, das ist
-
mein Kaninchenstall!
Gelächter + Applaus
-
Warum ich auf dieser Klappe stehe?
Nein nein, da geht es zum …
-
das ist der Abwasserkanal, das
ist keine Fallgrube für Drohnen!
-
Gelächter + Applaus
-
So irre, ja?! Gut, Paketdrohnen …
-
Das war noch beeindruckend; ich weiß
nicht, wie viele von euch das mitgekriegt
-
haben, das lief jetzt gerade durch
die News, dass der Lastwagen vom
-
Breitscheidplatz wohl früher gestoppt ist
als es ein herkömmlicher Lastwagen getan
-
hätte, weil er ein Unfallwarnsystem hatte.
Und von daher denke ich irgendwie, das ist
-
so eine Notiz in den Geschichtsbüchern
wert, weil das wahrscheinlich das erste
-
Mal war, dass ein Roboter
ein Attentat behindert hat.
-
Applaus
-
F: Mittlerweile sind solche Bremssysteme
bei neu zugelassenen LKW in der EU
-
Vorschrift, die Frage ist jetzt nur noch,
wie schnell diese Flotten erneuert werden.
-
Mal gucken.
R: Gut – 2017 …
-
Schauen wir mal nach vorn. Hardware,
Software, wisst ihr eh. Wie wird sich denn
-
das weiterentwickeln …?
F: Wer von euch weiß denn,
-
wie viele Geräte er im Haus hat, die
zumindest prinzipiell mal ein Firmware
-
Update brauchen könnten?
Oder eins empfangen können? … OK.
-
R: Moment: Das sind 20 Leute, die von sich
behaupten, sie wüssten, wie viel Hardware
-
sie bei sich zuhause haben
mit einer IP-Adresse.
-
F: Wir fragen mal ab: Wer von euch glaubt
denn, das sei bei sich weniger als zehn?
-
Weniger als 20 …?
… weniger als 30 …?
-
… weniger als 40 …?
… weniger als 50 …?
-
R: OK, weniger als 20 war die Mehrheit.
Und wer hat dieses Jahr einen Zensus
-
durchgeführt? — Gelächter — Und eine
IoT-Befragung im eigenen Netzwerk?
-
Gelächter
-
Andere Leute nennen das nmap-Scan, glaube
ich. Wer musste dafür Gewalt anwenden?
-
Gelächter
OK, ja. Das häuft sich an, oder?
-
Wer hat Dinge, von denen er weiß,
dass sie eigentlich weg müssten?
-
Gelächter
Oh! Alle!
-
F: Vorsätze fürs neue Jahr …?
R: Die technischen Schulden …
-
die Tablets eurer Kinder, oder? Wahlweise
die Tablets eurer Großeltern …
-
Wie viele davon haben einen Akku? Ach
so, tschuldigung, wer hat welche, die auch
-
’nen Akku haben und eine IP-Adresse? OK …
F: Alle anderen lügen!
-
R: Weiß das eure Versicherung? Genau,
das sind alles kinetische Aktoren jetzt.
-
Oder dorment cyber pathogens.
Gelächter + Applaus
-
F: Wobei ich auf diesem Kongress was
interessantes gelernt habe. Ihr kennt
-
ja alle diese komischen Hoverboards, mit
denen hier auch viele Leute rumgefahren
-
sind, die ja so einen interessanten Ruf
haben, dass sie gelegentlich einem stark
-
exotherm die Füße wärmen — Gelächter
— und ich wurde belehrt, dass das
-
tatsächlich nur ein Problem der
mechanischen Verarbeitung ist.
-
Das ist ein Produkt, das beim Kunden reift
Man muss es vor erster Benutzung erstmal
-
aufschrauben und dann mit’nem Schleifgerät
erstmal die ganzen Grate entfernen, die
-
sich sonst so in Kabel und Akku
bohren können und danach ist
-
es wohl perfectly safe.
Gelächter
-
R: So einfach! Is so einfach alles!
Ja … das ist ja was, wo wir überlegt
-
haben: Sind die eigentlich schon vorbei,
die Auto-Update-Religionskriege?
-
Kommen die erst noch? Haben
die nur gefühlt stattgefunden?
-
Also diese Fragestellung, ob etwas im
Auslieferungszustand Auto-Updates
-
eingeschaltet haben sollte – Ja oder Nein?
Wer findet, dass Dinge, die verkauft
-
werden in so Standard-Consumer-
Elektronik-Läden per Default Auto-Updates
-
eingeschaltet haben sollten?
Das ist die Mehrheit!
-
Publikumsruf: Es braucht einen Ausschalter!
R: Es braucht immer alles einen Ausschalter!
-
Applaus
Ja, einverstanden.
-
F: Also ich denke, für 2017 können wir
glaube ich annehmen, dass sich Ende
-
2017 dieser Glaubenskrieg um
Auto-Updates erledigt haben sollte.
-
Also manchmal geht
das DHCP nicht, aber pffff …
-
Gelächter
R: Genau …
-
Und jetzt ist eben die Frage, wie erkenne
ich vorher, ob das geht oder nicht geht?
-
F: Also ich finde ja, Security Updates
sollten verpflichtend Auto-Updates sein
-
und sie müssten von Feature-Updates
getrennt werden. Sodass man sagen kann …
-
Applaus
-
… dass so Dinge nachinstallieren, die dann
dazu führen, dass es entweder Funktions-
-
einschränkungen gibt oder neue
Überwachungsmöglichkeiten, dass
-
man die sich separat überlegen kann.
R: Ja, eindeutig.
-
unverständlicher Publikumszuruf
R: Ja, natürlich ist das nicht
-
immer einfach. Ich mein, ich habe auch auf
meiner Fritz!Box andere Sachen gemacht als
-
nur Internetpakete zu routen und dann
war plötzlich das Telnet weg mit so einem
-
Security-Update, natürlich
ist das kein Spaß. Aber hey!
-
Der nächste Schritt ist dann natürlich,
dass das auf die Packung muss. Es muss
-
auf die Packung: Dieses Produkt hat
ein Mindesthaltbarkeitsdatum von …
-
Applaus
-
R: Und das entspricht dann der Zeit,
die man Security-Updates kriegt, ja?
-
Wobei das noch spannend wird dann in den
Details. Ich hatte dieses Jahr mit einem
-
großen Security-Software-Hersteller auch
einen interessanten Dialog, so nach dem
-
Motto: Ihr habt doch da in dem Produkt
was gepatcht, warum gibt’s denn dazu kein
-
Security-Bulletin oder wie auch immer ihr
das nennt? – Ja, das war ja nicht ein
-
Fehler in unserem Code. Nee, nur in dem
Tomcat, das wir benutzt haben … Okay …
-
Und das muss ich jetzt wissen, dass ihr da
ein Tomcat drin versteckt habt oder was?
-
Und solche Sachen … also das wird dann
noch lustig. Das ist doch nicht mein Code,
-
sondern nur die 23.000 Libraries,
die ich linke … Ja, works for you, okay
-
Applaus
-
R: Aber es wird ja noch schlimmer kommen!
F: Genau. Dinge, die denken!
-
R: Die Dinge, die denken. Die Dinge,
die für sich in Anspruch nehmen,
-
für euch zu denken. unverständlicher
Publikumszuruf – Applaus + Gelächter
-
R: Nee, wir reden von Dingen.
Gibt es da, ist da eine Analogie
-
versteckt in Politikern, die
für mich zu denken denken?
-
Weiß nicht, da fällt mir
gerade nichts ein.
-
Dinge … also dieses mit den neuronalen
Netzen irgendwas vielleicht. Oder sonstwie
-
Und dann wird es glaube ich lustig, wenn
man an denen nicht vorbeikommt, weil die
-
irgendwo eingebaut sind und man sie nicht
wegpatchen, ausschalten oder sonst wie
-
neutralisieren kann.
F: Vor ein paar Jahren hatten wir
-
auf dem Kongress eine Flut von Aufklebern,
so Warning Signs for the 21. century.
-
Und da drin war „Contains AI“,
war auch so ein schönes …
-
Also wir brauchen „Contains Internet“,
„ContainsCloud“, „Contains AI“ – ja …
-
hört ihr zu?
Publikumszuruf: Cyber!
-
R: „Contains Cyber“ …
Gelächter + Applaus
-
F: Ja, nur so als Ansage, ne? Also für
Leute, die sich um Correlation-Attacken
-
in Anonymisierungsnetzwerken
Gedanken machen, der Stand der Technik
-
ist mittlerweile 4ns genaues Timestamping
auf 100 Gbit Traffic im Durchfluss.
-
Heißt, so alles was low latency anonymity
Sachen sind, wird langsam ein bisschen eng
-
Ist nicht lustig.
R: Was uns dazu führt …
-
Also die Technik, die da ist und die Dinge
untersuchen kann, wird immer besser,
-
das heißt, das was da ist wird immer
billiger. Das, was so ein ISP inzwischen
-
alles sich anschaut, nur um zu sehen, ob
er und seine Kunden noch im grünen Bereich
-
sind, wird auch immer mehr und da sind wir
dann auch bei dem Thema Asynchronität
-
dieser Datensammlung und dass man
so wenig weiß darüber, was die anderen
-
eigentlich über einen wissen.
Und die Diskussion, die wir
-
zwischendurch hatten, war halt: Will ich
nicht wissen, was mein ISP über mich weiß
-
oder wissen kann? Wäre es nicht vielleicht
ganz praktisch, wenn es so einen Popup
-
gäbe, wo mir der ISP sagt, dass sich aus
meinem Netz Geräte anmelden wollen bei
-
jemandem, der vor vier Wochen pleite
gegangen ist und die Cloud weg ist oder so
-
Und, naja, auf der anderen Seite werden
die Daten dann auch wieder angehäuft,
-
wenn es dem ISP dann schlecht geht,
verkauft er sie auch meistbietend oder so,
-
will man vielleicht auch alles nicht. Ja.
F: Was wir 2017 auch noch sehen werden
-
ist definitiv, dass Ad-Blocker
zu Realitätstunneln werden.
-
Weil wir haben ja sozusagen eine
Content-Filtering-Engine in unserem
-
Hauptdatenstrom und eigentlich können
wir die auch verwenden, um andere Dinge
-
zu tun, außer nur die Werbung
rauszumachen, also z. B. diese
-
Kommentare will sowieso keiner lesen
meistens, ist eh überflüssig, und Sport
-
News braucht auch eigentlich niemand …
Applaus
-
R: Und so fängt es dann an …
Also fängt dann an …
-
F: Und ich glaube, wenn man so ein
bisschen vorausguckt – vielleicht nicht
-
nächstes Jahr, aber übernächstes Jahr
so langsam, die Werbeblocker-Blocker
-
werden ja immer besser, deswegen brauchen
wir bald Werbeblocker-Blocker-Blocker und
-
die müssen natürlich auch so langsam
intelligent werden, d. h., wir werden so
-
eine verteilte Intelligenz bauen, die uns
die Werbeblocker-Blocker blockt und
-
dann wird auf der anderen Seite
wahrscheinlich auch AI eingesetzt werden,
-
die die Blocker-Blocker-Blocker versucht
zu umgehen und dann haben wir sozusagen
-
so zwei Lager von Maschinenintelligenzen,
die um unsere Aufmerksamkeit kämpfen.
-
Gelächter + leichter Applaus
-
R: Das kumuliert dann in diesem „Hey, hast
du diese lustige, was weiß ich … Coca-Cola-
-
Werbung gesehen?“ – „Wie, Coca-Cola-
Werbung? Hey Siri, zeig mir mal die
-
Coca-Cola-Werbung von gestern“
– „I’m sorry Dave, I can’t do that.“
-
Gelächter + Applaus
-
R: Gut, letzte Seite. … vorletzte
Seite … letzte Seite …
-
Geschäftsfelder, Crypto und Sport.
Also … genau – Schattendatenbanken.
-
Also diese … des einen Not ist ja des
anderen Geschäftsidee, oder so ähnlich.
-
Wenn da so viele Datenbanken
überall wegkommen …
-
F: Datenreichtumsaggregation.
R: Genau. Dann gibt es bestimmt
-
jemanden, der denkt, dass es doch toll
wäre, das alles einzusammeln. Es gibt
-
da ein paar, die gehören zu den Guten.
Was weiß ich … HaveIBeenPwned.com
-
wo man nachgucken kann, ob die eigene
E-Mail-Adresse schon weggekommen ist.
-
Und die sich sehr viel Mühe geben, zu
verifizieren, ob die Datendumps, die sie
-
so im Internet finden echt sind oder
nicht, aber da findet ja noch mehr statt.
-
Also ganz viele Sachen sind weggekommen,
die Preise für Krankenakten, ich glaube
-
amerikanische Krankenakten sind dieses
Jahr gecrasht auf $10 das Stück – ja, das
-
ist alles nix mehr wert! Und dann gibt’s
bestimmt jemanden, der das aufkauft
-
und sich dann überlegt: Vielleicht
kann man damit später was machen, ja?
-
Und wenn’s nur ist, bessere
Phishingmails … ja?
-
Also mit den LinkedIn-Daten ist das ja
schon passiert! Die LinkedIn-Daten, die
-
weggekommen sind – wann war das, letztes
Jahr oder dieses Jahr? Nee, dieses Jahr im
-
Mai oder so – die sind ja dann hinterher
eingesetzt worden, um noch bessere
-
Phishingmails verschicken zu können.
F: Ja, neue Berufsfelder:
-
IoT-Wünschelrutenläufer.
Gelächter + Applaus
-
Wie wir festgestellt haben, weiß niemand
so richtig mehr, was er alles an Geräten
-
zuhause hat und – ich mein –, ihr könnt
das ja vielleicht noch rauskriegen, so den
-
Kabeln nachgehen oder mal gucken, ob es
irgendwo rhythmisch blinkt oder so, aber
-
so Leute, die so keine Ahnung davon haben
und da nichts wissen, da könnte man so ’ne
-
Wünschelrute bauen, mit der man
dann halt so IoT-Geräte suchen geht.
-
R: Genau, die gibt’s ja eigentlich schon:
Das sind die Wanzenjäger oder so und
-
die haben jetzt einfach
ein größeres Betätigungsfeld,
-
nech? Die können da ausbranchen.
-
Publikumszuruf: Who you gonna call?
F: lachend Genau.
-
R: Who you gonna call, mhhhm!
Ja, gut.
-
F: Was wir auch sicherlich annehmen
können: Storafee-Crypto ist nur taktisch.
-
Weil irgendwas geht halt immer kaputt.
Entweder war der Random-Number-Generator
-
kaputt oder das Passwort, mit dem das
Backup des Telefons auf dem Notebook
-
gesichert wurde war
leider nur so mittelgut;
-
jedenfalls: Irgendwas
ist immer.
-
Das heißt also, wir müssen wohl davon
ausgehen erstmal, bis auf weiteres
-
Storage-Crypto als nur taktische
Sicherheit zu betrachten.
-
R: Naja, also du hast da so ’ne Plattform
wie iOS, dafür kosten dann die Exploits
-
schon ’ne Million, und trotzdem ist es so,
dass wenn du deine Passphrase vergisst
-
oder was, dann musst du dir das Ding
eigentlich nur ein halbes bis Dreiviertel
-
Jahr hinlegen und dann kommst du
an die Daten wieder ran, ja?
-
Und … das ist alles nur zwischenzeitlich.
-
Wenn man dann sagt: Wir haben hier extra
hingeschrieben „Storage-Crypto“, aber für
-
die, die an Perfect-Forward-Security
glauben, was ja im Moment noch
-
gut aussieht, für die dann noch mal der
Hinweis, dass euer Firefox und so auch
-
eine Funktion hat, um die SSL-Session-Keys
lokal zu speichern. Guckt doch mal nach,
-
ob das ein- oder ausgeschaltet ist.
F: Gerade in Firmen sehr beliebt.
-
Genau, neue Sportarten: Digital Prepping.
Das überlassen wir euch mal, was ihr
-
daraus macht. Ne, denkt mal so nach:
Prepper sind so die Leute, die bereiten
-
sich auf die Zombieapokalypse vor, so
mit irgendwie Trockenmahlzeiten in großen
-
Mengen und Generator in
der Garage und so und …
-
R: Und zum Digital Prepping gehört
sicherlich das Thema Stromversorgung,
-
nicht?! Ist klar. Photovoltaik, die
netzunabhängig funktioniert oder
-
zumindest mal den USB-Lader
laden kann, keine Frage.
-
Publikumszuruf: Freifunk
R: … wat-funk?
-
F: Jaja, Freifunk, ganz richtig. So
Mesh-Netzwerke, mit denen man halt
-
irgendwie auch nach der Zombieapokalypse
noch Porn gucken kann … – Gelächter
-
Applaus
-
R: Und die notwendigen
Verstärker dafür …
-
F: Genau, wie gesagt – Digital Prepping,
ich glaube, dazu gehört dummerweise
-
mittlerweile auch ein YouTube-Archiv,
weil gerade so dieses „Wie häute ich so
-
ein Tier oder so, was ich gerade in meinem
Hinterhof erschlagen habe“ steht halt
-
nicht in der Wikipedia, ne?
Gelächter + Applaus
-
R: Ja, und der letzte Punkt ist dass wir
den Eindruck haben, dass es doch immer
-
mehr Robotor gibt. Also das fängt an mit
Rasenmäherrobotern, die am Internet hängen
-
und Drohnen, die vielleicht Pakete
ausliefern oder damit jonglieren …
-
F: Genau, also da gibt’s ein großes
Betätigungsfeld für Kunst, z. B. man
-
stelle sich mal vor, was man für tolle
Kornkreise machen kann mit so einem
-
Mähdrescher, wenn man den umprogrammiert!
Gelächter + Applaus
-
R: Genau … — F: Ja, dann sind wir
auch glaube ich am Ende.
-
R: Ja, damit gehen wir los und wir
haben nur fünf Minuten überzogen
-
und wünschen euch allen einen schönen
Abbautag – wie gesagt: nehmt nichts mit,
-
was zum Gebäude gehört und
einen guten Rutsch ins Jahr 1984.
-
Applaus
-
Abspannmusik
-
Untertitel erstellt von c3subtitles.de
im Jahr 2017. Mach mit und hilf uns!
