< Return to Video

34C3 - Security Nightmares 0x12

  • 0:01 - 0:23
    Herald: Wer hat letztes Jahr einen
    Security Nightmare erlebt, von euch?
  • 0:23 - 0:27
    Publikum: jemand ruft
    Herald: Lacht Nee, glaube ich nicht.
  • 0:27 - 0:35
    Alles sicher. Wer von euch hat in der
    Familie einen Security Nightmare erlebt?
  • 0:35 - 0:40
    Und wer von euch war sein eigener Security
    Nightmare?
  • 0:40 - 0:44
    Publikum: Gelächter
    Herald: Ausreichend. Jetzt kommen:
  • 0:44 - 0:55
    Ron und Frank - Security Nightmares.
    Publikum: Applaus
  • 0:55 - 1:00
    Frank: Ja, Herzlich Willkommen zu den
    Security Nightmares.
  • 1:00 - 1:05
    Ron: Hallo Leipzig!
    Publikum: Jucht! Applaus
  • 1:05 - 1:11
    R: Ich glaub, das ist das erste mal, wo
    ich Sorgen hatte, ob ich rechtzeitig
  • 1:11 - 1:14
    reinkomm'.
    Publikum: Gelächter
  • 1:14 - 1:18
    F: Die wievielte Ausgabe ist das
    eigentlich?
  • 1:18 - 1:23
    R: Genau, ich habe da § 2 hingeschrieben.
    Das ist § 2 BGB, der regelt die
  • 1:23 - 1:28
    Volljährigkeit.
    Und diese Veranstaltung ist 18.
  • 1:28 - 1:37
    Publikum Applaus
    R: ruft Die Veranstaltung darf jetzt
  • 1:37 - 1:48
    heiraten. Und zwar seit Oktober Jeden.
    Publikum: Lachen, Jubel, Applaus
  • 1:48 - 1:57
    F: Sie darf jetzt auch selber Mobilfunk
    Verträge abschließen und hochprozentigen
  • 1:57 - 2:00
    Alkohol und Tabakwaren kaufen
    R: und konsumieren!
  • 2:00 - 2:07
    F: und sich auch an jugendgefährdenden
    Orten aufhalten.
  • 2:07 - 2:12
    R: Also hier!
    Publikum: Lachen, Applaus
  • 2:12 - 2:21
    R: Und Glücksspielen, das heißt? -
    Bitcoin, hat jemand Bitcoin gesagt.
  • 2:21 - 2:26
    Publikum: gemeinsames Gelächter
    R: Ja genau und die Datenschleuder
  • 2:26 - 2:30
    abonnieren, ne, ist klar.
    Frank Ja, wir hoffen, ihr hattet eine gute
  • 2:30 - 2:35
    Zeit auf dem Kongress, wir sind immer
    traditionell der Rauskehrer hier, vor der
  • 2:35 - 2:39
    Abschlussveranstaltung. Also die
    Veranstaltung, die dafür sorgt, dass ihr
  • 2:39 - 2:41
    zur Abschlussveranstaltung alle da seid .
    Publikum: vereinzelte Lacher
  • 2:41 - 2:46
    F: Und ihr konntet euch von dem Support-
    Marathon über Weihnachten so ein bisschen
  • 2:46 - 2:50
    erholen. Wie schlimm war's denn so dieses
    mal? Da wollten wir nochmal so zwei, drei
  • 2:50 - 2:53
    Fragen zu stellen.
    R: Wer hatte denn noch einen XP weg
  • 2:53 - 2:57
    gemacht? Eins, Zwei ...
    Publikum: vereinzelte JuchtzerLachen
  • 2:57 - 2:59
    Einzelapplaus
    F: Oh, oh.
  • 2:59 - 3:04
    Publikum: Applaus Saal
    R: Und wer durfte auch dieses Jahr das XP
  • 3:04 - 3:07
    nicht wegmachen, weil es läuft so gut?
    Publikum: Saal lacht
  • 3:07 - 3:12
    R: Ah, oh je! Dann können wir eigentlich
    alle gleich nach hause gehen, oder?
  • 3:12 - 3:18
    Publikum: Zwischenrufe
    R: Was ich so witzig fand, dieses Jahr,
  • 3:18 - 3:22
    ich mein, wir sagen immer: man kann sich
    ja dann hier erholen von dem Support-
  • 3:22 - 3:28
    Marathon, den andere Leute Weihnachten
    nennen. Und was ich jetzt aber gehört habe
  • 3:28 - 3:34
    ist, dass dann der eine oder andere
    Teenager nicht hergekommen ist, weil der
  • 3:34 - 3:37
    Rest der Familie kommt ja sowieso immer
    hierher,
  • 3:37 - 3:40
    Publikum: verhaltenes Lachen
    Ron.: und die hatte man ja gerade drei
  • 3:40 - 3:47
    Tage. lachen und das schafft man dann
    halt nicht mehr, so und ja da muss man
  • 3:47 - 3:52
    dann mal nachdenken, wie man damit umgeht,
    denn streaming ist ja keine Antwort auf
  • 3:52 - 3:58
    alles, oder?
    F: Ja, wer hatte denn so einen Virus oder
  • 3:58 - 4:03
    Trojaner zu entsorgen über Weihnachten?
    R: Du musst höher einsteigen. Bei wem
  • 4:03 - 4:07
    waren es mehr als 10?
    Publikum: lacht auf
  • 4:07 - 4:12
    F: Keiner? OK?
    R: Da ist was los!?
  • 4:12 - 4:18
    F: Mehr als 5? Auch nicht, okay. Wer weiß
    nicht, wie viele es waren?
  • 4:18 - 4:23
    Publikum. Gelächter
    Ron. Ahh, okay, die Methode hat sich
  • 4:23 - 4:29
    geändert. Ihr setzt die einfach gleich neu
    auf die Kisten, ne? Ja, fair enough. Gut,
  • 4:29 - 4:37
    steigen wir ein.
    F: Das ist ein Bild, was mein Freund Pavel
  • 4:37 - 4:43
    Mayer gemacht hat, der kümmert sich darum,
    Maschinen das Sehen beizubringen. Und er
  • 4:43 - 4:49
    hat festgestellt, dass Ampeln für
    Maschinen zwischendurch so aussehen, weil
  • 4:49 - 4:54
    wenn man mit so einer Ampel mit 60 Hertz
    Framerate aufnimmt, dann passiert beim
  • 4:54 - 4:59
    Umschalten zwischen gelb und grün der
    lustige Effekt, den wir gerade im Bild
  • 4:59 - 5:02
    beobachten, dass es nämlich einen Frame
    lang so aussieht.
  • 5:02 - 5:06
    R: Ups.
    F: Und das, damit fahren wir dann Auto.
  • 5:06 - 5:09
    Publikum: Gelächter
    F: Nein, also falsch, damit fahren dann
  • 5:09 - 5:18
    Autos mit uns.
    Publikum: Gelächter
  • 5:18 - 5:24
    R: Die beliebte Rebublik ääähm Rubrik: Vor
    zehn Jahren. Da ist ja viel passiert vor
  • 5:24 - 5:34
    zehn Jahren. Wir forderten damals Bürger-
    Trojaner für mehr Bürgerbeteiligung. Das
  • 5:34 - 5:38
    war so ein bisschen mau, aber die
    Digitalisierung hat ja auch vor den
  • 5:38 - 5:42
    Parteien nicht halt gemacht, vor allen
    Dingen WhatsApp hat vor den Parteien nicht
  • 5:42 - 5:52
    halt gemacht und da gabs dann diese
    hübschen Leaks, nicht wahr? Habt ihr alle
  • 5:52 - 5:58
    mitgekriegt, wie sich Die Partei da
    reingehängt hat, ich glaube, das ist einen
  • 5:58 - 6:06
    Saalapplaus wert.
    Publikum: Saalapplaus
  • 6:06 - 6:12
    R: Die die andere Sache in Sachen
    Bürgertrojaner für mehr Bürgerbeteiligung,
  • 6:12 - 6:20
    die so in die Richtung geht, ist diese
    Android-App: Haven von The Guardian
  • 6:20 - 6:25
    Project und Freedom of the Press
    Foundation. Der Edward Snowden hat auch
  • 6:25 - 6:28
    ein bisschen Werbung dafür gemacht, wenn
    mich nicht alles täuscht. Und das ist ja
  • 6:28 - 6:34
    so ein Wir-überwachen-den-öffentlichen-
    Raum-Gerät.. Also etwas, was natürlich in
  • 6:34 - 6:41
    Deutschland verboten wäre, wenn man es
    hier aufstellen würde. Aber, genau, ich
  • 6:41 - 6:46
    denke, wir werden sehen, wo das hinführt.
    F: Naja, also ich glaube, dass dieses so
  • 6:46 - 6:51
    eines der ersten Anzeichen dafür ist, dass
    so Evidence Collection Systeme, also
  • 6:51 - 6:54
    eigentlich ist ja / wird es dafür beworben
    zu sagen, wenn man sein Hotelzimmer
  • 6:54 - 6:58
    verlässt, dass also der öffentliche Raum
    dieses Hotelzimmers, dass man die Frage
  • 6:58 - 7:01
    sich stellen kann, welche Öffentlichkeit
    sich denn darin aufhält, während man
  • 7:01 - 7:05
    gerade nicht da ist und um das zu
    dokumentieren soll das Gerät ja benutzt
  • 7:05 - 7:10
    werden, aber ich glaube, dass genau dieser
    Punkt: öffentliche, gute Software zur
  • 7:10 - 7:16
    Evidenz-Generierung, die wird uns noch
    eine Weile beschäftigen.
  • 7:16 - 7:23
    Remote Government, ja, da hatten wir ja,
    vor zehn Jahren war Estland ...
  • 7:23 - 7:26
    R: kurz weg
    F: 20 Tage lang oder so, ne?
  • 7:26 - 7:32
    R: 20 Tage genau.
    F: Und damals fing ja dieser ganze Cyber-
  • 7:32 - 7:34
    Cyber so ein bisschen an, auch wenn er
    damals noch nicht so hieß.
  • 7:34 - 7:38
    R: Und es sollen ja Privatpersonen gewesen
    sein.
  • 7:38 - 7:42
    F: Also patriotisch gesinnte
    Privatpersonen, die damals Estland runter
  • 7:42 - 7:45
    genommen haben. Und irgendwie hat sich
    dieser Trend so ein bisschen verfestigt,
  • 7:45 - 7:50
    dass also patriotisch gesinnte
    Privatbürger, dann auch was wir damals ja
  • 7:50 - 7:53
    schon vorher gesagt hatten, wenn man halt
    anfängt so ein ganzes Land runter zu
  • 7:53 - 7:56
    fahren, dann kann man sich auch relativ
    problemlos sich um deren Wahlsystem
  • 7:56 - 8:01
    kümmern. Nur, dass es dann halt nicht
    Estland war, sondern andere Länder.
  • 8:01 - 8:07
    R: Genau, aber Putin hat gesagt, das waren
    Freigeister. Also das war keinesfalls eine
  • 8:07 - 8:16
    gesteuerte Aktion, was da in Amerika
    gelaufen ist. Nicht wahr? Ne genau, ja,
  • 8:16 - 8:21
    das war der Punkt. Die
    F: modularen Superwürmer
  • 8:21 - 8:27
    R: Genau und das ist ja etwas, was uns
    hier schon eine Weile begleitet, dass die
  • 8:27 - 8:35
    Superworms als solche modularer werden und
    auch das Ökosystem drumherum modularer
  • 8:35 - 8:43
    wird, man jetzt inzwischen so Ransomeware
    as a Service - gibt's hier auch schon und
  • 8:43 - 8:49
    das hat sich nur weiterentwickelt, ne?
    Keine große Sache. Dann gab's das Thema
  • 8:49 - 8:54
    Bio-Hacking. Ich glaub vor ein paar
    Jahren hatten wir dann noch welche da, die
  • 8:54 - 8:59
    hatten auch mal Ebola auf einer Powerpoint
    Folie dabei, das ist aber nicht
  • 8:59 - 9:01
    10 Jahre her, das ist nur so 5 Jahre her,
    ne?
  • 9:01 - 9:15
    F: Ungefähr so was R: Und ja...
    Publikum: Lacht R: Inzwischen hat die FDA
  • 9:15 - 9:29
    Publikum: Applaus F: Also wie wir sehen
    können hat Bio-Hacking enorme Fortschritte
  • 9:29 - 9:46
    gemacht. Wir sind... R: lacht
    Publikum: Applaus F: Also ich
  • 9:46 - 9:50
    weiß nicht ob die Damen und Herren
    irgendwie schon mit crispr/cas9
  • 9:50 - 9:56
    modifiziert wurden, aber das werden wir
    dann wohl demnächst auch sehen. Also, die
  • 9:56 - 10:03
    crispr/cas9 ist eine Methode, mit der man
    Gen-Editing sehr weit treiben kann und,
  • 10:03 - 10:07
    also die FDA hat gerade davor gewarnt,
    dass man das an sich selber ausprobiert.
  • 10:07 - 10:12
    Und ich hatte eigentlich auch so ein
    bisschen erwart, dass wir für den Congress
  • 10:12 - 10:16
    schon so ein paar Einreichungen dazu
    kriegen, so was wie, also ich könnt mir da
  • 10:16 - 10:20
    so viele Dinge vorstellen, so zum Beispiel
    so kleine Elfenohren züchten oder so. Oder
  • 10:20 - 10:23
    mal die Augenfarbe ändern so. Da gibt es
    so viele kleine, einfache Möglichkeiten
  • 10:23 - 10:26
    zum Patchen, aber bisher hatten wir noch
    keine Einreichung. Mal sehen, wie es
  • 10:26 - 10:30
    nächstes Jahr wird.
    R: Genau, für nächstes Jahr wünschen wir
  • 10:30 - 10:40
    uns das. Und dann hatten wir das Thema
    Industrie-IT, Kinderzimmer-IT und
  • 10:40 - 10:46
    Krankenhaus-IT. Und ich weiß noch, dass
    wir uns schlapp gelacht haben über diesen
  • 10:46 - 10:50
    Dinosaurier, den wir mitgebracht haben.
    Ich weiß nicht, ob ihr euch noch erinnert:
  • 10:50 - 10:55
    das war so ein Spielzeug-Dinosaurier, den
    man streicheln konnte und dann hat er so
  • 10:55 - 10:59
    "mmmmmmmmhm" gemacht. Und der hatte auch
    schon eine Kamera drin und Mikrofon und
  • 10:59 - 11:05
    wie gesagt so kleine Geräusche konnte der
    auch machen. Ja und dieses Jahr hat die
  • 11:05 - 11:11
    Bundesnetzagentur tatsächlich eine
    Kinderpuppe verboten, ja, weil das eben
  • 11:11 - 11:16
    auch als Wanze klassifiziert wurde. Da
    wurde der Verkauf verboten. Ich glaube,
  • 11:16 - 11:25
    400 Shops oder so mussten das Angebot
    rausnehmen. Und Kinderuhren mit Mikro
  • 11:25 - 11:29
    wurden auch verboten von der
    Bundesnetzagentur, ja, also es ist
  • 11:29 - 11:36
    entwickelt sich wirklich irre und dann das
    schönste war aus meiner Sicht dieses Ding
  • 11:36 - 11:41
    mit den Furbys. Furbys kennt ihr ja auch
    alle und die sind ja auch technologisch
  • 11:41 - 11:48
    nicht stehengeblieben. Es gibt ein Furby-
    Connect, der spricht Bluetooth und der
  • 11:48 - 11:56
    braucht keine Authentisierung. Und der
    spielt dann Audiodateien ab. Das heißt,
  • 11:56 - 11:59
    ihr müsst nur dicht genug rankommen an die
    Kinderzimmer.
  • 11:59 - 12:04
    Publikum: Lachen
    R: Da hätten wir gerne von euch jetzt
  • 12:04 - 12:13
    einen Audiotrack. Wenn ihr also alle mal
    kurz 10 Sekunden „cybercybercybercybery…“
  • 12:13 - 12:23
    Publikum: flüsternd cybercybercyber…
    F: Sehr schön. Dankeschön.
  • 12:23 - 12:28
    R: Dankeschön.
    F: Länger darf der Loop sowieso nicht
  • 12:28 - 12:34
    sein.
    Publikum: Applaus
  • 12:34 - 12:44
    R: Also wenn die Spielzeugeläden, wenn die
    dann alle anfangen zu cybern da drin, dann
  • 12:44 - 12:49
    wissen wir Bescheid, ne.
    F: Heutzutage ist ja dieses Furby, das
  • 12:49 - 12:53
    scheint so ein bisschen wie so der
    Urgroßvater von irgendwie den Werbewanzen,
  • 12:53 - 12:55
    die sich die Menschen ins Wohnzimmer
    stellen.
  • 12:55 - 12:59
    R: Hast du Alexa gesagt?
    Publikum: Gelächter
  • 12:59 - 13:05
    F: Alexa, time my therapist, ist ein
    ernsthafter Skill. Es gibt tatsächlich für
  • 13:05 - 13:09
    Alexa mehrere, also für dieses Amazon-
    Werbewanzen-Gerät, aber auch für die
  • 13:09 - 13:13
    anderen Konkurrenzprodukte gibt es mehrere
    Implementierungen, mehr oder weniger
  • 13:13 - 13:20
    fortgeschritten, von Elisa, dem
    ursprünglichen Weizenbaum-Programm. Und es
  • 13:20 - 13:23
    gibt tatsächlich natürlich
    selbstverständlich gibt es auch
  • 13:23 - 13:27
    mittlerweile schon so Machine-Learning-
    basierte Therapiesysteme, über die man
  • 13:27 - 13:33
    sich mit seiner Werbewanze unterhalten
    kann. Wenn wir es uns überlegen so, Daniel
  • 13:33 - 13:38
    Suarez hatte damals gesagt: „the human
    mind is a stationary target“. Das heißt
  • 13:38 - 13:42
    also, der menschliche Geist entwickelt
    sich nicht so schnell vorwärts wie die
  • 13:42 - 13:45
    Maschinen, die ihn versuchen zu
    manipulieren. Da ergeben sich völlig
  • 13:45 - 13:51
    ungeahnte Möglichkeiten. So den
    Zusammenfluss von so Gesprächstherapie und
  • 13:51 - 13:54
    Werbung in einem Gerät, da gibt es endlose
    Möglichkeiten.
  • 13:54 - 13:58
    Publikum: leises Lachen R: Genau,
    was soll da schon schiefgehen oder?
  • 13:58 - 14:04
    Publikum: Applaus
    R: Den CloudPad-Leuten sind dann auch
  • 14:04 - 14:11
    gleich 2,2 Millionen Sprachdateien von
    Kinderspielzeug weggekommen. Das waren
  • 14:11 - 14:23
    800.000 User, ja genau. Genau, die nächste
    Nummer war hier die Cloudvorhersagen, die
  • 14:23 - 14:28
    wir gemacht haben. Und das irre ist ja
    immer, wenn man da sitzt und sich Gedanken
  • 14:28 - 14:33
    macht über die Zukunft und sich vorstellt,
    wie schwierig das sein wird, Dinge zu
  • 14:33 - 14:38
    tun, also wenn wir sagen, irgendwie das
    mit Cloud wird problematisch, dann denken
  • 14:38 - 14:45
    wir an das, was dann irgendwann mal als
    Rowhammer oder so präsentiert wird, ja?
  • 14:45 - 14:50
    Irgendwie aus einer VM ausbrechen, in die
    andere reinschleichen und solche
  • 14:50 - 14:54
    Geschichten über irgendwie Hardcore, was
    weiß ich, irgendwas Fehler in den
  • 14:54 - 15:00
    Hauptspeichersystemen, whatever. Aber wie
    sieht die Realität aus? Die Realität sieht
  • 15:00 - 15:06
    so aus, dass es da AWS-Buckets gibt, wo
    halt keiner das Rechtemanagement
  • 15:06 - 15:13
    eingeschaltet hat. So. Rowhammer. Ist ja
    albern, braucht man gar nicht, einfach
  • 15:13 - 15:19
    reinklicken, downloaden und Spaß haben.
    F: Also die größten Datenleaks dieses Jahr
  • 15:19 - 15:22
    waren tatsächlich so was.
    R: Terrabytes.
  • 15:22 - 15:26
    F: Terrabytes von Kundendaten.
    R: Kommen noch ein paar Beispiele.
  • 15:26 - 15:30
    F: Von allen möglichen … ja.
    R: Kommen noch ein paar Beispiele. Das
  • 15:30 - 15:35
    andere Ding war irgendwie das Gelächter
    über das iPhone in 2007. Ja so, haha ein
  • 15:35 - 15:40
    iPhone, haha, ein Telefon irgendwie, wo
    man alles mögliche drauf ausführen kann,
  • 15:40 - 15:47
    ohne dass irgendwer was fragt und solche
    Geschichten. Und jetzt? Jetzt gibt es
  • 15:47 - 15:52
    Sicherheitsexperten, die sagen, das ist
    für den Consumer die sinnvollste
  • 15:52 - 15:56
    Plattform, was die Sicherheit angeht.
    F: Obwohl ich ja glaube, dass diese
  • 15:56 - 16:02
    Sicherheit vom iPhone ist so ein
    marktgetriebenes Ding. Vor allem, wenn die
  • 16:02 - 16:07
    Exploids einmal teuer sind, und für iPhone
    sind die Exploids am Teuersten momentan,
  • 16:07 - 16:11
    dann haben alle Interesse daran, dass sie
    teuer bleiben. Das heißt also, dann werden
  • 16:11 - 16:15
    die nicht so häufig und nicht so schnell
    releast, weil das wäre ja nicht gut für
  • 16:15 - 16:18
    alle anderen, die auch noch auf welchen
    sitzen.
  • 16:18 - 16:23
    R: Ja, da haben wir gleich noch was zu.
    F: Ja.
  • 16:23 - 16:29
    R: Gut, und den wollte ich nochmal
    bringen, weil ich den so gut fand, der
  • 16:29 - 16:34
    Bufferoverflow durch zu breites Grinsen
    bei Biometrie. Das ist dann so, wenn die
  • 16:34 - 16:42
    Mundwinkel aus dem Gesicht sich heraus
    bewegen, ja, was passiert dann eigentlich?
  • 16:42 - 16:46
    Gibt es da einen Bufferoverflow oder
    nicht? Hat jemand mal ein iPhone X und
  • 16:46 - 16:50
    kann das ausprobieren?
    Publikum: Gelächter
  • 16:50 - 17:01
    R: Gut. Ja und da braucht man nichts mehr
    zu sagen oder? Ich meine, Vista, Vista,
  • 17:01 - 17:06
    Vista Vista ist dieses Jahr noch gepatcht
    worden mit wannacry.
  • 17:06 - 17:12
    F: Gerade so.
    R: Und MacOSX hat seit dem letzten Patch
  • 17:12 - 17:16
    jetzt wieder 2-Faktor-Authentisierung.
    Username und Passwort.
  • 17:16 - 17:28
    Publikum: Gelächter und Applaus
    R: Aber ich meine, die Dinge gehen einem
  • 17:28 - 17:32
    nicht aus, sie gehen einem überhaupt nicht
    aus. Outlook hat ein halbes Jahr bei
  • 17:32 - 17:37
    SMIME-Mails, also bei verschlüsselten
    Mails, den Klartext mitgeschickt.
  • 17:37 - 17:45
    Publikum: Gelächter und leichter Applaus
    R: So und jetzt kommt es, der Schlag ist
  • 17:45 - 17:49
    natürlich, also der Schlag in den Bauch,
    das ist nur passiert, wenn die Mails nicht
  • 17:49 - 17:55
    html waren.
    F: Also nur Mails, wie man sie eigentlich
  • 17:55 - 18:02
    verschicken sollte, waren betroffen.
    R: Genau, nur plaintext-Mails. Gut, dass
  • 18:02 - 18:10
    Normalitätsupdate. Ein Username-Passwort-
    Combo für einen funktionierenden
  • 18:10 - 18:21
    Mailaccount kostet 8-15 Dollar. Wir hatten
    in Deutschland 83.000 Cybercrimefälle in
  • 18:21 - 18:28
    2016 und 51 Millionen Euro Schaden.
    F: Ich frage mich ja immer, wo diese
  • 18:28 - 18:32
    Zahlen herkommen.
    R: Ja, also ich meine, ist da jetzt
  • 18:32 - 18:37
    wannacry schon reingerechnet und der
    Anteil von den 300 Milliarden Maersk
  • 18:37 - 18:40
    schon drin oder nicht?
    F: Und sind die geklauten Bitcoins dabei
  • 18:40 - 18:46
    und deren Wertzuwachs? Publikum: Lachen
    R: Das ist ja eh die interessante Frage.
  • 18:46 - 18:50
    Es gibt in Hamburg immer diese schönen
    Witz, weil vor zwei Jahren, nein vor 20
  • 18:50 - 18:57
    Jahren gefühlt, wurde da mal ein Container
    Koks oder so im Hafen beschlagnahmt und
  • 18:57 - 19:01
    dann hieß es, „ein Container Koks wurde im
    Hafen beschlagnahmt, fünf Tonnen wurden
  • 19:01 - 19:07
    beschlagnahmt“. Und am nächsten Tag heißt
    es dann, „alle vier Tonnen Koks wurden in
  • 19:07 - 19:13
    die Asservatenkammer der Polizei
    eingelagert." Und vier Wochen später heißt
  • 19:13 - 19:18
    es, dass alle zwei Tonnen Koks vernichtet
    worden sind. Und hier ist es ja mehr so
  • 19:18 - 19:26
    umgekehrt. Wir haben für 51 Millionen Euro
    Bitcoin beschlagnahmt und übermorgen
  • 19:26 - 19:32
    werden wir das für hm…
    F: Entweder irgendwas zwischen 5 und 500
  • 19:32 - 19:44
    verkaufen. Geldautomatenmanipulation, das
    Witzige daran ist irgendwie 56% in Berlin,
  • 19:44 - 19:47
    was ist da los?
    F: Ach so das ist erklärbar.
  • 19:47 - 19:51
    R: Ja?
    F: Weil in Berlin stehen diese ganzen
  • 19:51 - 19:54
    Geldautomaten rum, wo du schon immer
    denkst, das kann nur ein Scamming-Device
  • 19:54 - 19:56
    sein.
    Publikum: Gelächter
  • 19:56 - 20:00
    F: Diese Dinger, die da so als kleine
    Säulen auf der Straße stehen, die man
  • 20:00 - 20:04
    sonst eher so in etwas ärmeren Ländern
    kannte und die stehen in Berlin so überall
  • 20:04 - 20:08
    rum. Du kannst eigentlich so in den etwas
    beliebteren Gebieten nicht eine Straße
  • 20:08 - 20:13
    runterlaufen, ohne mindestens über fünf
    Geldautomaten zu stolpern. Und da ist halt
  • 20:13 - 20:18
    die Möglichkeit halt aus einem Gerät, was
    aussieht wie ein Scamming-Device, ein
  • 20:18 - 20:21
    Scamming-Device zu machen, ist halt
    offensichtlich zu verlockend.
  • 20:21 - 20:27
    R: Wer hat hier da oben Geld abgehoben?
    Publikum: Gelächter
  • 20:27 - 20:34
    F: Kennt jemand jemanden, der da oben Geld
    abgehoben hat?
  • 20:34 - 20:39
    Publikum: vereinzelt Lachen und Applaus
    F: War es wenigstens... Roch es noch gut
  • 20:39 - 20:45
    das Geld, war es frisch?
    R: Genau, 50.000 MongoDBs …
  • 20:45 - 20:50
    F: 27.000.
    R: Ne, 50.000 bis August, in einer Woche
  • 20:50 - 20:59
    im August davon 27.000, das war ein
    Massaker. Die DDos-Angriffe, die
  • 20:59 - 21:05
    öffentlich dokumentiert worden waren,
    dieses Jahr, glaube ich, 510. Letztes Jahr
  • 21:05 - 21:10
    hatte ich schon mal was von 600 gelesen.
    F: Und hinter den Kulissen gibt es so
  • 21:10 - 21:16
    einzelne Angriffe, die wohl mal kurz mit
    800 Gigabit ausprobiert wurden, wobei man
  • 21:16 - 21:20
    da einfach nur sagen muss, es handelt sich
    dabei eigentlich um einen Fortschritt bei
  • 21:20 - 21:28
    der Cloudentwicklung. Weil der typische
    Weg, wie halt so ein Denial of Service
  • 21:28 - 21:33
    monetarisiert wird ist halt, man schickt
    dann eine Mail und sagt, guten Tag,
  • 21:33 - 21:37
    schönes Business haben Sie da. Sie haben
    am - nehmen wir mal an - irgendeinen
  • 21:37 - 21:41
    Freitag haben Sie Ihren offenen
    Verkaufstag, wo es irgendwie möglichst
  • 21:41 - 21:44
    viel Umsatz geben soll, es wäre doof, wenn
    Sie da einen Denial of Service bekommen
  • 21:44 - 21:49
    würden, wir demonstrieren gerade mal, wie
    das funktioniert. Und dann bekommt man so
  • 21:49 - 21:52
    eine Viertelstunde Denial of Service mit
    irgendwie durchaus mehreren Dutzend oder
  • 21:52 - 21:58
    hundert Gigabit und dann hört es auch
    pünktlich wieder auf. Und dann bekommt man
  • 21:58 - 22:02
    eine, momentan interessanterweise
    meistens, Bitcoinadresse, was ich nicht so
  • 22:02 - 22:05
    besonders klug finde, aber jedenfalls
    irgendeine Zahlungsadresse, mit der man
  • 22:05 - 22:10
    dann halt sich daraus freikaufen können
    soll. Und die Leute, die schon ein
  • 22:10 - 22:13
    bisschen länger in dem Business sind sagen
    so, naja wenn es genau eine Viertelstunde
  • 22:13 - 22:20
    ist und der Traffic von AWS oder
    JourCloudinstanzen kommt, dann zahlen wir
  • 22:20 - 22:24
    nicht, weil dann wissen wir, dass die
    Leute einfach nur die freien Accounts von
  • 22:24 - 22:29
    diesen Cloudplattformen benutzen, um sich
    halt den DDos-Traffic zusammen zu
  • 22:29 - 22:32
    schnorren und das halten die sowieso nicht
    länger als eine Viertelstunde, bevor
  • 22:32 - 22:37
    Amazon da eingreift oder Microsoft, dann
    brauchen wir halt nicht zahlen. So ist
  • 22:37 - 22:40
    heutzutage die Logik des Geschäfts im
    Internet.
  • 22:40 - 22:47
    R: Genau... Ein Saal Applaus bitte für
    Publikum: Applaus
  • 22:47 - 22:57
    100 Millionen Zertifikate von Lets
    Encrypt. Überhaupt ist der verschlüsselte
  • 22:57 - 23:02
    Traffic ja inzwischen über 50 Prozent,
    wenn ich das richtig im Kopf habe, was ja
  • 23:02 - 23:07
    schon mal eine echte Leistung für sich
    ist, ja.
  • 23:07 - 23:20
    Publikum: Applaus
    F: Ja, Apps faken is a thing now, also
  • 23:20 - 23:25
    gerade insbesondere im Google Play Store,
    die ja da eher so bisschen mehr
  • 23:25 - 23:30
    nachsichtig sind mit Apps.
    R: Aus dem Appple Store mussten sie auch
  • 23:30 - 23:33
    diverse Ethereum, Etherum...
    F: Stimmt, Ethereum Wallets, ja, richtig.
  • 23:33 - 23:39
    R: Genau, Dinger rauskehren, genau.
    Letztes Jahr haben wir noch gesagt alle
  • 23:39 - 23:45
    alle App Bewertung sind fake, aber nicht
    nur die App Bewertungen sind fake, die
  • 23:45 - 23:48
    Apps sind vielleicht auch fake.
    F: Aber dann gibt es bestimmt jetzt fake
  • 23:48 - 23:51
    Apps mit echten Bewertungen.
    *Gelächter.
  • 23:51 - 23:59
    R: kommt drauf an was du dir leisten
    kannst. Genau, und die ernüchternde
  • 23:59 - 24:05
    Prozentzahl des Tages ist, dass Google
    Android Sicherheitsupdates nur 50 Prozent
  • 24:05 - 24:08
    der Geräte erreichen, sagen deren eigenen
    Statistiken.
  • 24:08 - 24:13
    Ruf aus dem Publikum
    R: Ja, das ist, ja, wenn man wenn man's
  • 24:13 - 24:20
    glauben kann, das sehe ich auch so. Da
    sind wir beim nächsten Punkt, ja,
  • 24:20 - 24:25
    Statistiken die man nicht selber gefälscht
    hat. Des gab mindestens zwei Zero-Day
  • 24:25 - 24:30
    Studien und eine der interessanten Zahlen
    war dieses: Ein Zero-Day, wenn er denn als
  • 24:30 - 24:37
    solcher bekannt wird, lebt der schon
    sieben Jahre, ja, also die Verwundbarkeit
  • 24:37 - 24:43
    ist schon sieben Jahre im Feld und wird
    auch benutzt. Also ist schon sieben Jahre
  • 24:43 - 24:47
    entdeckt, bevor bevor sie dann öffentlich
    wird und der Hersteller aber trotzdem
  • 24:47 - 24:52
    noch kein Patch hat. Okay, so, und jetzt
    kommt's: Definiert wurde hier aber diese
  • 24:52 - 25:01
    Lebensdauer als, die Lebensdauer hört auf,
    wenn der Hersteller den Patch raus gibt
  • 25:01 - 25:07
    und das finde ich persönlich absurd, wenn
    man sich anschaut, wie viele Leute einfach
  • 25:07 - 25:14
    immer noch nicht patchen, ja, und wie
    viele Runden WannaCry schon gedreht hat
  • 25:14 - 25:19
    durch die Systeme dieser Welt und noch
    drehen wird, weil die immer noch nicht
  • 25:19 - 25:25
    fertig sind mit patchen. Also dieses
    irgendwie Microsoft patcht das-und-das
  • 25:25 - 25:30
    oder Google patcht jetzt das-und-das oder
    wer auch immer patcht das-und-das, das
  • 25:30 - 25:35
    dann immer so Schlagzeilen wo ich denk
    "gar nicht!", ja, Microsoft stellt den zur
  • 25:35 - 25:41
    Verfügung und ob das dann irgendwo ankommt
    ist echt eine zweite Frage, die leider
  • 25:41 - 25:48
    nicht immer positiv zu beantworten ist.
    F: Wobei dieses Patching Business ist ja,
  • 25:48 - 25:54
    das erzeugt ja so'n, also je länger so
    diese Mechanismen, dass die Hersteller zu
  • 25:54 - 25:58
    bestimmten Tagen ihre Patches ausrollen
    und was dann so passiert. Es hat ja
  • 25:58 - 26:01
    mittlerweile so eine gewisse Routine
    entwickelt, also ist halt so'n: Microsoft
  • 26:01 - 26:06
    rollt einen patch aus, dann irgendwie
    schmeißen alle Leute IDA Pro an, reverse
  • 26:06 - 26:10
    engineeren diesen Patch, figuren also
    finden heraus, was der Bug ist, der
  • 26:10 - 26:14
    gepatched wurde, und da gibt es dafür zwei
    Märkte: Der eine Markt ist natürlich
  • 26:14 - 26:17
    daraus einen Exploit zu entwickeln und der
    Andere ist festzustellen, warum die
  • 26:17 - 26:24
    Software, die man mit dem Patch verwenden
    wollte, leider crasht. So, weil der Grund,
  • 26:24 - 26:28
    warum viele Leute nicht patchen ist ja,
    dass sie halt Software haben, die halt
  • 26:28 - 26:32
    nicht dann nicht mehr funktioniert. So,
    obwohl Microsoft sich eigentlich viel Mühe
  • 26:32 - 26:35
    gibt dabei.
    R: Ja, und also die Problematik ist: Wie
  • 26:35 - 26:40
    kriegt man die Leute zum patchen?
    Natürlich indem man die Qualität hoch hält
  • 26:40 - 26:45
    und so und da gibt es ja dieses schöne
    Gerücht, dass einigen Leuten aufgefallen
  • 26:45 - 26:51
    ist, dass bei iOS die richtig schicken
    Emojis, also die echt richtig schicken
  • 26:51 - 26:59
    neuen Emojis, immer nur an den wirklich
    wichtigen Security Updates dranhängen. Ja,
  • 26:59 - 27:03
    also damit die Leute auch motiviert sind
    zu patchen.
  • 27:03 - 27:08
    Publikum: Applaus
    R: Und es handelt sich natürlich über eine
  • 27:08 - 27:16
    eine wilde, haltlose Verschwörungstheorie,
    aber ich glaube wer beantworten kann, wie
  • 27:16 - 27:23
    das für IOT funktioniert, ja, dem müssen
    wir dann echt dankbar sein.
  • 27:23 - 27:27
    F: Also bei Apple, ist eigentlich so Apple
    hat erkannt "the human mind is a
  • 27:27 - 27:31
    stationary target" und haben einen
    Optimierungsvektor gefunden mit den
  • 27:31 - 27:37
    Emojis, den ich eigentlich ganz
    bewunderungswürdig finde. Bei IOT wird's
  • 27:37 - 27:42
    glaube ich nur funktionieren über "geht
    wieder". "Mein Licht geht wieder an nach
  • 27:42 - 27:48
    dem Patch."
    R: Ja, vielleicht könnte man ja an jedes
  • 27:48 - 27:53
    IOT Gerät so'n kleines Display machen wo
    dann irgend so ein niedliches Kätzchen
  • 27:53 - 27:58
    blinzelt oder so, oder eine neue Grirmasse
    ziehen kann, was weiß ich.
  • 27:58 - 28:03
    F: Du meinst sowas wie so Crypto Cats als
    Upgrade Bonus so? Collect them all?
  • 28:03 - 28:08
    Publikum: Gelächter und Applaus
    F: Hmm, ich glaube, da sind wir an einem
  • 28:08 - 28:10
    guten Geschäftsmodell.
    R: Ja, collect them...
  • 28:10 - 28:13
    Publikum: Tamagochi!
    F: Ja, Pokemon patching.
  • 28:13 - 28:20
    R: Wir brauchen die Gamification des
    Patchings, nicht?
  • 28:20 - 28:29
    Applaus
    F: Ja, das Wahlcomputer-Massaker ging auch
  • 28:29 - 28:32
    dieses jahr noch ziemlich ungebremst
    weiter.
  • 28:32 - 28:38
    R: Am schönsten sind die Sprüche, oder?
    Also, wenn die Leute nach einer Metapher
  • 28:38 - 28:43
    suchen, für das was da passiert ist in
    diesem Voting Computer Village.
  • 28:43 - 28:47
    F: Genau, da hörte, sprach ich mit jemand
    der da war und meinte "Ist ungefähr so als
  • 28:47 - 28:54
    wenn man Fische, also in einem Fass auf
    Fische in einem Fass schießt, aber mit
  • 28:54 - 29:01
    einer Gatling Gun mit Explodierenden
    Kugeln und das Fass ist nicht mit Wasser
  • 29:01 - 29:05
    gefüllt sondern mit Benzin."
    Publikum: Gelächter
  • 29:05 - 29:16
    R: Genau, dann gab es noch PC-Wahl und wie
    hieß das andere Ding? Iwo? Iwu?
  • 29:16 - 29:21
    F: IVU Elect meinst du? Ja, ja ja, das
    steht noch aus. Also, ja.
  • 29:21 - 29:25
    R: Genau, das gab's noch nicht, richtig?
    F: Das gab's noch nicht so richtig.
  • 29:25 - 29:29
    R: Ja, wie kann das denn sein?
    F: Ja, was denn schon? Es war kurz vor der
  • 29:29 - 29:37
    Bundestagswahl. Die Abende waren lang. Der
    Sommer war ganz okay. "Shadow Brokers",
  • 29:37 - 29:47
    genau. Dieses Phänomen, dass wir Malware
    haben, die weaponized exploits sind, also
  • 29:47 - 29:53
    die halt von Geheimdiensten gebaut wurden,
    um anderer Leute Rechner aufzumachen, wird
  • 29:53 - 29:56
    glaub ich auch noch eine Weile bei uns
    bleiben.
  • 29:56 - 29:59
    R: Genau. Wir haben das hier unter
    "E-Government" aufgehängt, weil das ja
  • 29:59 - 30:06
    Waffenschränke der NSA waren, die da
    einfach mal en gros weggekommen sind. Und
  • 30:06 - 30:14
    ja. Das sind dann wieder diese Zero-Day-
    Dinger, die uns halt noch Jahre begleiten
  • 30:14 - 30:17
    werden, ja.
    F: Die sind dann halt schon seit zehn
  • 30:17 - 30:23
    Jahren bekannt, nur halt nicht allen. Und
    Shadow Brokers sorgen halt dafür, dass sie
  • 30:23 - 30:34
    dann doch mehr Menschen bekannt werden.
    R: Ja, der Umgang damit, wie so eine
  • 30:34 - 30:38
    Government Malware in die freie Wildbahn
    kommt - ob die jetzt irgendwie über den
  • 30:38 - 30:47
    Umweg von Antivirus-Software geht, oder ob
    sie durch Zufall ihren Weg fand in die
  • 30:47 - 30:50
    freie Wildbahn, oder ob's irgendwie sich
    um eine Geheimdienstoperation handelt, hat
  • 30:50 - 30:55
    uns ja diskussionsmäßig dieses Jahr
    relativ viel beschäftigt. Und klar ist
  • 30:55 - 30:59
    halt, dass jetzt also der...
    Nationalstaaten betrachten Antivirus-
  • 30:59 - 31:04
    Firmen jetzt als National Asset. Also,
    allen ist klar geworden, dass das was bei
  • 31:04 - 31:09
    so einer Antivirus-Engine nach Hause in
    die Cloud geschickt wird, dass da durchaus
  • 31:09 - 31:15
    interessante Sachen bei sind. Ob jetzt nun
    irgendwie die Exploit Toolkits der
  • 31:15 - 31:19
    Konkurrenz, oder interessante Daten und
    Dokumente; könnte alles mögliche sein. Und
  • 31:19 - 31:26
    diese, sagen wir mal Strategiesierung und
    Politisierung des Anti-Malware-Business'
  • 31:26 - 31:30
    zeigt sich dann eben auch im Umgang mit
    den Menschen, die da irgendwie in dem
  • 31:30 - 31:33
    Bereich unterwegs sind.
    F: Genau. Und dann kommt noch dazu diese
  • 31:33 - 31:39
    Problematik, dass Attribution schwierig
    ist und dann hat man plötzlich so eine
  • 31:39 - 31:46
    Situation wie... Wie heißt er, Michael
    Hutchins? Oder so ähnlich... Also
  • 31:46 - 31:52
    @malwaretechblog auf Twitter, immer noch
    nicht aus der USA wieder ausreisen darf.
  • 31:52 - 32:00
    Aber immerhin ist er schon mal wieder auf
    freiem Fuß. Ja, was gab's noch Ulkiges?
  • 32:00 - 32:07
    Muss man sich noch mal genauer anschauen,
    was da eigentlich passiert, aber das
  • 32:07 - 32:15
    scrollte an mir so vorbei, dass sich Leute
    in ihrem Twitter-Account auf Region
  • 32:15 - 32:22
    irgendwas in Deutschland setzen, weil dann
    gewisse Leute sie nicht mehr nerven.
  • 32:22 - 32:28
    R: Also, weil die Twitter-
    Zensurmechanismen für die Locale
  • 32:28 - 32:35
    Deutschland offenbar ihrem persönlichen
    Geschmack besser entsprechen, weil sie
  • 32:35 - 32:39
    dann viele von den Nazis einfach los sind.
    F: Ja, erstaunlich, oder?
  • 32:39 - 32:43
    R: Ja, das erinnert mich so...
    F: Also man erbt jetzt auf den sozialen
  • 32:43 - 32:49
    Plattformen mit dem Standort - und den
    kann man noch frei selber bestimmen -
  • 32:49 - 32:57
    irgendwie so eine Filterwolke und da fehlt
    mir die Dokumentation, ja.
  • 32:57 - 33:04
    Publikum: Applaus
    F: Ich meine, vielleicht wollen wir ja
  • 33:04 - 33:10
    alle virtuelle Bürger von ich-weiß-nicht-
    was werden. Ja, also vielleicht ist das ja
  • 33:10 - 33:14
    dann schön. Aber was man dann hat und was
    man dann nicht hat, das wüsste man
  • 33:14 - 33:16
    eigentlich ganz gerne, aber das
    wahrscheinlich wird man das
  • 33:16 - 33:18
    reverse-engineeren müssen
    oder so, mmh?
  • 33:18 - 33:20
    R: Ich glaube, Machine Learning könnte
    da helfen.
  • 33:20 - 33:30
    F: Ja. Machine learning to the rescue!
    Vereinzeltes Gelächter
  • 33:30 - 33:40
    Apache Struts war glaube ich bei Equifax
    angeblich die Vulnerability, die dafür
  • 33:40 - 33:43
    gesorgt hat, dass die aufhebelt worden
    sind. Das ist sowas änliches wie die
  • 33:43 - 33:51
    SCHUFA in den USA; einer von den großen
    drei, mit ungefähr 150 Millionen
  • 33:51 - 33:58
    amerikanischen Datensätzen plus ungezählte
    in England und ein, zwei anderen Ländern.
  • 33:58 - 34:05
    Also, komplette Profile. Cellebrite...
    "Cellebrit", "Celebrite"?
  • 34:05 - 34:07
    (Ist sich der Aussprache unsicher)
    R: "Cellebrite."
  • 34:07 - 34:13
    F: ...war deswegen ulkig, weil das ja
    eine... Wie nennt man sowas?
  • 34:13 - 34:16
    R: Das ist so ein Dienstleister, der
    Regierungen dabei hilft, anderer Leute
  • 34:16 - 34:20
    Telefone aufzumachen. Kann man wohl
    einfach so sagen.
  • 34:20 - 34:24
    F: Genau, eine Überwachungsfirma. Aber die
    ist ja zur Überwachung da und nicht zum
  • 34:24 - 34:29
    Schutz von Daten. 900 GB waren das.
    R: Wahrer Datenreichtum.
  • 34:29 - 34:38
    F: Ja, wahrer Datenreichtum. Und viel
    einfach so AWS buckets voll mit Zeug. Die
  • 34:38 - 34:49
    Republikaner haben auch ungefähr 198
    Millionen Datensätze verloren und die
  • 34:49 - 34:53
    Frage ist: Wie viel ist denn das? Und die
    Antwort ist das war einmal alles, ja,
  • 34:53 - 35:04
    einmal alle Wähler, ja. Und 1,1 Terabyte
    Daten zugreifbar, 24 Terabyte Daten nicht
  • 35:04 - 35:09
    zugreifbar. So, ist das jetzt
    bemerkenswert? Naja, kommt darauf an,
  • 35:09 - 35:16
    womit man das vergleicht, weil das ist ja
    2015 schon mal passiert und damals waren
  • 35:16 - 35:20
    das weniger Daten, weil was hatten sie
    damals noch nicht hinzugefügt zu ihren
  • 35:20 - 35:26
    Wählerdaten? Na die Information darüber,
    welche Hautfarbe jemand hat und welche
  • 35:26 - 35:30
    politische Einstellung er hat. Das ist
    jetzt aber dabei bei den Daten, die da
  • 35:30 - 35:35
    weggekommen sind. Also man sieht, wie sich
    das weiterentwickelt, das wird dann für
  • 35:35 - 35:43
    Targeting benutzt, hat es geheißen und das
    ist die Richtung, das kann man so raus
  • 35:43 - 35:53
    extrapolieren. Wir sehen mit Freude, dass
    auch Ransomware ganz vorne dabei ist bei
  • 35:53 - 35:58
    Crypto.
    R: Genau, also ordentliche Crypto Routinen
  • 35:58 - 36:06
    zu verwenden. Allerdings gilt auch bei
    Ransomware: Crypto Implementierung sind
  • 36:06 - 36:11
    schwierig, also lieber die
    Referenzimplementierung verwenden, wenn es
  • 36:11 - 36:16
    möglich ist. Jedes mal, wenn man es selber
    macht geht's eigentlich schief. Oder
  • 36:16 - 36:21
    andersrum, wenn man sagt okay, man steht
    nicht so auf ungefragte Crypto-Sicherheit
  • 36:21 - 36:27
    für seine eigenen Daten mit den Keys
    anderer Leute, dann sollte man sich
  • 36:27 - 36:30
    wünschen, dass Malware-Authoren in der
    Informatik Vorlesung nicht aufgepasst
  • 36:30 - 36:34
    haben und einfach sich irgendein Crypto-
    Aalgorithmus ausdenken, das dann viel
  • 36:34 - 36:40
    lustiger. Also Vollbit-Verschlüsselung
    ist eine tolle Sache.
  • 36:40 - 36:45
    Publikum: Applaus
    F: Genau, überhaupt sehen wir ja so eine
  • 36:45 - 36:50
    Entwicklung und die Entwicklung orientiert
    sich an dem, womit man Geld machen kann,
  • 36:50 - 36:55
    also ich glaube das haben wir letztes oder
    vorletztes Jahr festgestellt, dass
  • 36:55 - 36:59
    Ransomware im Moment eins der
    Geschäftsmodelle der Wahl ist, weil man
  • 36:59 - 37:08
    halt so Geld verdienen kann. Aber es gibt
    da so ulkige Dinge wie WannaCry, wo das ja
  • 37:08 - 37:14
    nicht so richtig funktioniert hat und
    andere, die danach kamen und wo sich eh
  • 37:14 - 37:20
    die Frage stellte, ob das echte Ransomware
    war oder nicht einfach Wyper, also die die
  • 37:20 - 37:25
    Aufgabe hatten, die Rechner unbrauchbar zu
    machen.
  • 37:25 - 37:29
    R: Und diese Ungewissheit ist eigentlich
    strategisch ziemlich clever, weil wenn du
  • 37:29 - 37:33
    halt denkst "So ok, hey, ist ja nur eine
    Ransomware, kann ja nicht so schlimm sein"
  • 37:33 - 37:36
    und dann feststellst, dass diese
    Ransomware gar keinen Customer Support
  • 37:36 - 37:41
    hat, also dass das Payment einfach nicht
    funktioniert und irgendwie da auch keine
  • 37:41 - 37:44
    Keys kommen und das es irgendwie keine
    Hotline gibt, die man anrufen kann; also
  • 37:44 - 37:48
    es gibt ja so gewisse Standards für
    ordentliche Ransomware. Also erstens so
  • 37:48 - 37:53
    Payment muss funktionieren, so zweitens
    der Turnaround, mit dem man den Key da
  • 37:53 - 37:57
    raus bekommt, der muss in Ordnung sein, so
    drittens man braucht halt irgendwie die
  • 37:57 - 38:01
    Digitalwährung der Wahl, muss halt einfach
    erreichbar sein, ob jetzt in Bitcoin oder
  • 38:01 - 38:07
    Monero oder was auch immer. So, also haben
    sich so gewisse Industriestandards
  • 38:07 - 38:10
    etabliert, an die man sich eigentlich als
    Malware-Author, also als Ransomware-Author
  • 38:10 - 38:15
    halten sollte. Und so Abweichung von
    diesem Industriestandard, also non-
  • 38:15 - 38:20
    compliance, kann man auch sagen, sind
    eigentlich dann doch mittlerweile so'n
  • 38:20 - 38:25
    Indikator dafür, dass es entweder totale
    Stümper sind, oder eine andere Absicht
  • 38:25 - 38:30
    dahinter steht. Und diese Frage zu
    beantworten fällt halt nicht immer so
  • 38:30 - 38:33
    leicht, weil es gibt da draußen auch
    wirklich Stümper.
  • 38:33 - 38:38
    Publikum: Gelächter
    F: Tja, nicht jeder weiß was er tut. Aber
  • 38:38 - 38:43
    da ist so dieses schöne Thema
    Kundensupport und wie wir alle wissen sind
  • 38:43 - 38:48
    Kunden anstrengend und man will mit ihnen
    eigentlich nichts zu tun haben und
  • 38:48 - 38:53
    deswegen werfen sich alle gerade mit so
    großer Begeisterung auf Coin-Miner, ja,
  • 38:53 - 38:57
    weil das dann wieder, da wird die
    Rechenleistung einfach von dem
  • 38:57 - 39:02
    übernommenen Computer verwendet um Coins
    zu generieren. Die werden dann nach Hause
  • 39:02 - 39:06
    geschickt und die kann man dann
    hoffentlich in Geld umtauschen und muss
  • 39:06 - 39:13
    überhaupt den Leuten am Telefon nicht
    erklären, wie sie jetzt Bitcoins kaufen.
  • 39:13 - 39:18
    Also extrem günstig, ja, die ganze
    Operations wird viel billiger auf diese
  • 39:18 - 39:20
    Art und Weise.
    R: Also, diese...
  • 39:20 - 39:24
    F: Und Ransomware hat glaube ich irgendwie
    ein Drittel, ein Drittel der Malware ist
  • 39:24 - 39:28
    irgendwie
    Ransomware, Stand irgendeine Studie von
  • 39:28 - 39:32
    Mitte des Jahres, oder August oder sowas
    und jetzt bin ich mal gespannt wie schnell
  • 39:32 - 39:37
    sich Coin-Miner entwickeln werden, weil
    da die Ggesamtkosten einfach günstiger
  • 39:37 - 39:39
    sind.
    R: Also ist eigentlich dann so die Frage,
  • 39:39 - 39:43
    jetzt wo wir ja so viele neue Coins haben,
    also es gibt ja quasi jede Woche noch ein
  • 39:43 - 39:49
    paar Dutzend neue Coins, wie viel davon
    Coins sind, die Ransomware friendly sind.
  • 39:49 - 39:54
    Weil wenn man sich so ein bisschen
    überlegt so wie, so Rasomware hat ja so
  • 39:54 - 39:58
    wenn man mal an Mobiltelefone denkt, so
    bestimmte Beschränkungen, also man kann ja
  • 39:58 - 40:02
    denn nur abends minen, wenn das Telefon am
    Strom hängt und hat vielleicht auch nicht
  • 40:02 - 40:05
    so viel Bandbreite und so und will
    vielleicht die CPU nicht übermäßig
  • 40:05 - 40:11
    belasten. Das heißt also eigentlich sollte
    es doch möglich sein Coins zu designen,
  • 40:11 - 40:17
    deren Eigenschaften besonders Malware
    friendly sind. Und dann ist natürlich die
  • 40:17 - 40:22
    interessante Frage: Wie entwickelt sich
    dann deren Kurs? Oder gibt es vielleicht
  • 40:22 - 40:28
    auch sowas wie Ransom-Coinmining-ware?
    "Dein computer gehört dir leider für die
  • 40:28 - 40:31
    nächsten zwei Wochen nicht, danach ist
    wieder alles okay. Solange sind deine
  • 40:31 - 40:35
    Daten leider verschlüsselt"
    F: "Und du darfst ihn nicht ausschalten."
  • 40:35 - 40:40
    R: Genau.
    F: "Und wir wollen grünen strom."
  • 40:40 - 40:51
    Publikum: Gelächter und Applaus
  • 40:51 - 40:59
    F: Gut, ab und zu werden diese Bitcoins ja
    beschlagnahmt, also WhateverCoins, ja, ist
  • 40:59 - 41:04
    immer nur ein Beispiel, beschlagnahmt und
    dann stellt sich ja die Frage, wie geht
  • 41:04 - 41:11
    man damit um, so als Land, oder man darf
    ja dann irgendwann beschlagnahmte Dinge
  • 41:11 - 41:18
    auch zu Geld machen. Und die erste Frage
    ist natürlich ob dann, wie heißt das? Der
  • 41:18 - 41:21
    Bund der Steuerzahler, kommt und sagt
    irgendwie "das hättet ihr aber viel später
  • 41:21 - 41:27
    verkaufen sollen!"
    R: Oder früher, je nachdem. Und dann
  • 41:27 - 41:32
    hatte, also ich hatte dann so die Frage an
    einem befreundeten Anwalt, so wie, so rein
  • 41:32 - 41:36
    rechtlich, wie ist denn das? Und der
    meinte "ja ja, ist ziemlich lustig, da
  • 41:36 - 41:41
    wäre halt in Juristenkreisen eine Weile
    darüber diskutiert worden, weil man dafür
  • 41:41 - 41:44
    natürlich noch keine Präzedenzfälle
    hätte." So, also was macht man mit
  • 41:44 - 41:49
    sozusagen, ist ungefähr so wie, bewertet
    man das jetzt so wie beschlagnahmte Aktien
  • 41:49 - 41:53
    oder so? Ist halt relativ selten, so,
    kommt eigentlich selten vor und, um ganz
  • 41:53 - 41:57
    sicher zu sein, haben sie dann wohl auch
    geprüft, wie es eigentlich ist, wenn man
  • 41:57 - 42:01
    bei so einer Vermögensbeschlagnahme noch
    nicht eingelöste Lottoscheine
  • 42:01 - 42:05
    beschlagnahmt und das war dann eine
    Analogie, die sie zu Bitcoin relativ
  • 42:05 - 42:14
    passend fanden.
    Publikum: Gelächter und Applaus
  • 42:14 - 42:18
    R: Also die Antwort lautete "Ja klar, sie
    können es dann halt verkaufen." Ist halt
  • 42:18 - 42:22
    also beschlagnahmtes Vermögen, kann
    verwertet werden.
  • 42:22 - 42:29
    F: Gut, jetzt müssen wir aber reinhauen.
    Das Bemerkenswerte aus 2017, also noch
  • 42:29 - 42:36
    mehr Bemerkenswertes aus 2017 waren diese
    Bluetooth, Broadcom und andere Radio
  • 42:36 - 42:43
    Vulnerabilities und ...
    R: Du meinst der andere Computer in deinem
  • 42:43 - 42:49
    Telefon?
    F: Genau, dieses andere Betriebssystem mit
  • 42:49 - 42:54
    dem anderen Dingens, das da auch immer
    noch überall drin steckt. Weil in jedem
  • 42:54 - 42:57
    Computer steckt ja inzwischen ein
    Computer, der dann noch einen Computer
  • 42:57 - 43:02
    hat, auf dem noch ein Betriebssystem
    steckt. Da gibt's auch was von Intel, ne?
  • 43:02 - 43:06
    Publikum: leichtes Gelächter
    F: Lass mich überlegen, ich weiß, ich weiß
  • 43:06 - 43:11
    es fällt mir gleich wieder ein. Intel ME.
    Das, wofür steht das noch gleich? Für,
  • 43:11 - 43:15
    für, ich weiß es, ich weiß es: Minix
    Embedded.
  • 43:15 - 43:23
    Publikum: Gelächter und Applaus
    F: Oder war es die Minix Engine, oder die
  • 43:23 - 43:25
    ...
    Zwischenruf: Malware Engine.
  • 43:25 - 43:30
    Publikum: Gelächter
    F: Ja, naja. Okay, wir können den auch zu
  • 43:30 - 43:33
    tode prügeln.
    Zwischenruf: Millennium Edition.
  • 43:33 - 43:39
    F: Die Millennium Edition, danke Publikum.
    Publikum: Gelächter und Applaus
  • 43:39 - 43:44
    F: So, aber eigentlich wollte ich hierfür
    noch ein kleines Mengendiagramm machen,
  • 43:44 - 43:49
    also Bluetooth, Broadcom, also WiFi, das
    ist ja dann, wird ja dann lustig in dem
  • 43:49 - 43:53
    Moment, wo man eine gewisse Dichte
    erreicht, ja, ihr habt die Menge aller
  • 43:53 - 44:01
    Bluetooth oder WiFfi
    Sender-/Empfängeranlagen, ihr habt die
  • 44:01 - 44:05
    Vulnerabilities in diesen, ja, also die
    Verwundbarkeiten, und dann die dritte
  • 44:05 - 44:12
    Menge ist wie dicht die nebeneinander
    stehen. Ja, und das muss natürlich eine
  • 44:12 - 44:17
    gewisse Überlappung haben, damit es dann
    von Punkt zu Punkt springen kann. Wann
  • 44:17 - 44:20
    werden wir das erreichen?
    R: Hier?
  • 44:20 - 44:24
    Publikum: Gelächter
    F: Ja, hier.
  • 44:24 - 44:29
    R: Bei wem ist das Telefon in der Tasche
    gerade so ein bisschen wärmer geworden?
  • 44:29 - 44:37
    R: Wer kennt jemanden, dessen Telefon...
    F: Genau, schauen wir mal. Nur einen Satz
  • 44:37 - 44:44
    hierzu: Es gab mal wieder einen Facebook
    Schattenprofile-Artikel, was ich immer
  • 44:44 - 44:50
    witzig finde, weil das so selten hoch
    poppt das Thema. Es gab auch keine neuen
  • 44:50 - 44:55
    Erkenntnisse. Facebook hat Schattenprofile
    und wofür sie die verwenden, weiß kein
  • 44:55 - 44:57
    Mensch.
    R: Doch.
  • 44:57 - 45:00
    F: Was mich irritiert hat war, dass in
    diesem ganzen Artikel nicht ein einziges
  • 45:00 - 45:03
    Mal das Stichwort "Geburtsdatum"
    auftauchte.
  • 45:03 - 45:10
    R: Also wofür sie verwendet werden ist
    eigentlich ziemlich klar. Na sie werden
  • 45:10 - 45:15
    halt monetarisiert.
    F: Gut.
  • 45:15 - 45:19
    R: Ja, interessant waren, also wir haben
    ja so diese Rubrik so, wo man so morgens
  • 45:19 - 45:23
    irgendwie so News liest und denkt sich so
    "Also eigentlich doch lieber vielleicht
  • 45:23 - 45:29
    irgendwas mit Holz oder Orchideen oder so,
    nicht so dieses IT Security Ding so." Und
  • 45:29 - 45:32
    da waren in dieser, in diesem Jahr waren
    da so einige dabei die halt so Sensor
  • 45:32 - 45:41
    Side-Channel Attacks waren, also wo man
    Sensoren anders benutzt, als der Erbauer
  • 45:41 - 45:44
    dieses Sensors darüber nachdachte. Also
    zum Beispiel diese DolphinAttack, bei der
  • 45:44 - 45:52
    man die Werbewanzen wie Alexa mit
    Ultraschall dazu bringt Dinge zu tun, die
  • 45:52 - 45:56
    der Mensch gar nicht hört, also man hört
    da als Mensch vielleicht nur so'n Pfeifen
  • 45:56 - 46:03
    und plötzlich bestellt Alexa eine große
    Ladung Katzenstreu, oder so. Und da stellt
  • 46:03 - 46:09
    sich natürlich die Frage wie lange dauert
    es eigentlich bis so Tiere, die halt zum
  • 46:09 - 46:13
    Beispiel auch Ultraschall absondern
    können, also wie lange dauert es bis man
  • 46:13 - 46:16
    eine Fledermaus darauf trainiert
    bekommt...
  • 46:16 - 46:24
    Publikum: Gelächter und Applaus
  • 46:24 - 46:30
    F: Welche Angriffsoberfläche bietet ein
    Papagei, ne? Aber ich dachte wir hätten
  • 46:30 - 46:33
    geklärt, dass man das gar nicht braucht
    mit dem Ultraschall, wenn man dafür sorgen
  • 46:33 - 46:37
    kann, dass der Furby das Katzenstreu
    bestellt.
  • 46:37 - 46:41
    Publikum: Gelächter
    F: Ja, dieses DolphinAttack ist schon
  • 46:41 - 46:46
    total irre. Da sind ja auch noch andere
    Dinge wie man z.B. Machine Learning
  • 46:46 - 46:52
    überlisten kann, indem man in Bilder noch
    weitere Informationen rein kodiert, die
  • 46:52 - 46:58
    ein Mensch nicht sehen kann, die die
    Maschine aber sehen kann, ja. Auch schöne
  • 46:58 - 47:03
    Artikel darüber im Netz.
    R: Ja, das war so mein Liebling dieses
  • 47:03 - 47:11
    Jahr. Ihr wisst ja Ethereum ist ja so ein
    Smart Contract System, also die Idee, man
  • 47:11 - 47:16
    könne Verträge in Software gießen und das
    wäre, soll eine gute Idee sein. Und so
  • 47:16 - 47:20
    nach, ich glaube mittlerweile über drei
    Jahren, wo irgendwie diese Währung nun
  • 47:20 - 47:24
    schon irgendwie so diverse Dutzend
    Milliarden Dollar virtuell Wert ist, kam
  • 47:24 - 47:27
    denn mal jemand auf die Idee, dass man
    vielleicht mal gucken könnte, ob die
  • 47:27 - 47:30
    zugrunde liegende Programmiersprache,
    nämlich dies Solidity, ob man darin auch
  • 47:30 - 47:36
    Sachen schreiben kann, die auf den ersten
    Blick ganz normal aussehen, aber dann halt
  • 47:36 - 47:39
    irgendwie Dinge tun, wo man halt nicht so
    ohne Weiteres sehen kann, dass sie die
  • 47:39 - 47:43
    ausführen. Und ...
    F: Also Javascript?
  • 47:43 - 47:49
    R: Ja. Und das, die Bugs, die da submitted
    wurden waren halt alle ganz schön
  • 47:49 - 47:52
    langweilig, also es war jetzt nichts
    ernsthaftes dabei. Und...
  • 47:52 - 47:56
    F: Moment, die die öffentlich gemacht
    wurden?
  • 47:56 - 47:59
    R: Oder, ja die die öffentlich gemacht...
    F: Die, die eingereicht wurden?
  • 47:59 - 48:01
    R: Die eingereicht wurden.
    F: Ich meine welcher Irre reicht etwas
  • 48:01 - 48:06
    ein, wo er weiß, dass es funktioniert.
    R: Wenn der Preis irgendwie nur so ein
  • 48:06 - 48:08
    paar tausend Dollar sind.
    F: Oder?
  • 48:08 - 48:15
    R: Ja, ist also ein klarer Fall von man
    kann mit sowas auch zu spät sein. Der Bug
  • 48:15 - 48:20
    Bounty muss in irgendeinem Verhältnis zum
    erzielbaren Gewinn stehen, den man halt
  • 48:20 - 48:23
    irgendwie, wenn man ihn einfach verwendet
    hat und Ethereum ist da leider nicht so
  • 48:23 - 48:31
    weit vorne. Eine der schönsten Geschichten
    wo so ein bisschen unklar ist, ob sie wahr
  • 48:31 - 48:36
    ist, war die Geschichte dieses Jahr von
    der djane tor, der eine schöne Geschichte
  • 48:36 - 48:41
    auf einem Blog, einer Blogplattform
    schrieb darüber, wie er angefangen hat
  • 48:41 - 48:44
    Plaste-Router, also die Plaste-Router-
    Apocalypse quasi im Alleingang
  • 48:44 - 48:49
    aufzuräumen. Also halt sozusagen wie so
    eine Art Batman oder so, der halt
  • 48:49 - 48:53
    irgendwie den, angefangen hat, dann
    Plaste-Router en masse zu exploiten und
  • 48:53 - 48:56
    irgendwie vom Netz zu nehmen, damit sie
    nicht als DDOS-Vehikel benutzt werden
  • 48:56 - 48:59
    können. Da gab es dann einiges an
    Diskussion darüber, wie viel davon wahr
  • 48:59 - 49:02
    ist, wieviel nicht, was eigentlich auch
    egal ist, eine schöne Geschichte. Und wir
  • 49:02 - 49:06
    wissen ja: die schöne Geschichte gewinnt
    eigentlich immer. Und die interessante
  • 49:06 - 49:11
    Frage ist so, was passiert eigentlich wenn
    man das Maschinen machen lässt. Also was
  • 49:11 - 49:14
    passiert, wenn es dann plötzlich eine KI
    im Netz gibt, die einfach nur aus
  • 49:14 - 49:18
    pädagogischen Gründen angreifbare Kisten
    aufmacht und runter fährt.
  • 49:18 - 49:21
    Gelächter
    So, wir sind davon nicht allzu weit
  • 49:21 - 49:25
    entfernt. Ja also ich meine das ist halt
    so ... so also ... Exploit Automation, das
  • 49:25 - 49:28
    ist mittlerweile eine ganze Ecke weit
    gekommen und irgenwie so ein Ding einfach
  • 49:28 - 49:31
    ins Netz zu stellen, was nichts weiter
    tut, als einfach dafür sorgen, dass
  • 49:31 - 49:34
    irgendwie Systeme, die am Netz sind die
    halt irgendwie einfach angreifbar sind,
  • 49:34 - 49:41
    nicht mehr allzu lange am Netz sind. Ich
    vermute, da werden wir relativ bald sein.
  • 49:41 - 49:51
    Applaus
    R: Das ist nur mal so ein Datenpunkt. Ja,
  • 49:51 - 49:55
    es wurde ein Botnet gefunden: das
    Starwars-Botnet mit 350.000 Accounts. Das
  • 49:55 - 50:00
    hat, scheint aber irgendwie nix gemacht zu
    haben irgendwie auf Twitter. Und dann sind
  • 50:00 - 50:04
    wir hier bei der, bei der Steilvorlage für
    dies hier, ja, also dieses, der, der
  • 50:04 - 50:10
    Roboter, der Ios... oder die KI oder was auch
    immer Algorithmen-Sammlung, die losgeht
  • 50:10 - 50:17
    und selber Systeme angreift, für diese
    Systeme, die sie zu verteidigen hat, auch
  • 50:17 - 50:24
    Patches produziert und die dann auch
    einspielt. Dafür gibt es jetzt ein
  • 50:24 - 50:30
    OpenSource, eine OpenSource-Vorlage, die
    rausgekommen ist aus dieser DARPA Cyber
  • 50:30 - 50:37
    Grand Challenge von dem Team Shellfish.
    Schöne Artikel in der FRACK. Schaut euch
  • 50:37 - 50:42
    das mal an. Da ging es also bei dieser
    Cyper Grand Challenge, ging es darum, eine
  • 50:42 - 50:46
    Maschine zu entwickeln, also ein, ein,
    ein, ein Programm zu entwickeln, das dann
  • 50:46 - 50:52
    andere Programme angreift und eben auch
    für die eigenen, zu schützenden Systeme
  • 50:52 - 51:01
    Patches produziert. Ja das macht dann, das
    macht dann das mit den Plaste-Routern
  • 51:01 - 51:08
    klar, wenn wir Glück haben.
    F: Ja, "Tote durch Autokorrektur" war so
  • 51:08 - 51:13
    ein Problempunkt, der dieses Jahr hoch
    kam. Der Hintergrund ist, dass
  • 51:13 - 51:18
    zumindest ein Fall bekannt geworden ist,
    wo die Autokorrektur in einer
  • 51:18 - 51:24
    Textverarbeitung den Namen von
    Medikamenten replaced hat. Also in dem
  • 51:24 - 51:30
    Fall ging es halt um Antibiotika, die, wo
    die Autokorrektur halt nur eines dieser
  • 51:30 - 51:35
    Antibiotika kannte, aber nicht das andere
    und dann halt die das Wort korrigiert hat.
  • 51:35 - 51:39
    Dummerweise ist bei Antibiotika die
    Auswahl dieses präzisen Medikaments
  • 51:39 - 51:42
    relativ wichtig, weil es durchaus eine
    Menge Leute gibt, die so Allergien haben
  • 51:42 - 51:47
    oder Unverträglichkeiten haben die auch
    gerne mal fatal sein können. Und wir haben
  • 51:47 - 51:51
    wir versucht, irgendwie raus zu kriegen,
    wie weit dieses Problem so reicht, so. Es
  • 51:51 - 51:55
    geht ja noch ein bisschen weiter, also
    nicht nur Autokorrektur, sondern so Ärzte
  • 51:55 - 52:02
    diktieren ja auch ganz schön viel und dann
    haben wir mal gefragt, so: Siri wie viele
  • 52:02 - 52:04
    Leute hast du schon umgebracht?
    Gelächter
  • 52:04 - 52:09
    Aber sie hat die Antwort verweigert.
    Ich finde es sehr verdächtig.
  • 52:09 - 52:23
    Gelächter
    R: Und Autowaschstraßen auch. 150 Stück
  • 52:23 - 52:28
    ... also irgendein Autowaschstraßen-Typ
    ist mal durchgetestet worden und, das, ich
  • 52:28 - 52:32
    glaube, die Videos davon durften dann
    nicht veröffentlicht werden oder so. Aber
  • 52:32 - 52:37
    angeblich gibt es da schöne Videos, wie
    die auf und zu fahrende Tür irgendwie
  • 52:37 - 52:43
    versucht, das Auto zu zertrümmern, das
    gerade raus will aus der Waschstraße und
  • 52:43 - 52:47
    Aussagen von den Leuten, die das gemacht
    haben, dass wenn sie es schaffen würden,
  • 52:47 - 52:52
    einen Menschen einzuklemmen mit der Tür,
    dann könnten sie auch die Wasserstrahlen
  • 52:52 - 52:56
    korrekt ausrichten auf den ... Also die
    Autowaschstraßen ...
  • 52:56 - 53:01
    F: Das wäre dann zwar kein perfektes
    Verbrechen, aber immerhin ein sauberes.
  • 53:01 - 53:11
    GelächterApplaus
  • 53:11 - 53:14
    R: Genau, schauen wir mal nach Vorne.
  • 53:14 - 53:25
    Auf die letzten sieben Minuten, das wird hart.
    Das Sensor- und Sensor-Qualitätsproblem:
  • 53:25 - 53:29
    Ist ja immer schön, wenn die Kameras immer
    besser werden und ich glaube wir hatten
  • 53:29 - 53:35
    vor ein paar Jahren mal auf so eine App
    hingewiesen, die alleine mit der Selfie-
  • 53:35 - 53:42
    Videokamera sehen kann, wie man atmet,
    weil die einfach auf die Schatten achtet,
  • 53:42 - 53:48
    hier auf dem, auf der Brust, ja, und die
    auch den Puls messen kann und zwar über
  • 53:48 - 53:55
    die Kamera, über das Pulsieren des Blutes
    hier oben in den in den Wangen und solche
  • 53:55 - 54:02
    Sachen. Und die, was passiert hier? Die
    Sensorik wird immer besser, die
  • 54:02 - 54:08
    Bildwiederholraten steigen und dann sind
    wir jetzt bei dem Thema Micro-Expressions
  • 54:08 - 54:15
    aufnehmen und eben gucken, ob da einer
    sich wohlfühlt, unwohl fühlt, nervös ist,
  • 54:15 - 54:20
    nicht so nervös ist, etc. Da geht jetzt
    immer mehr und das wird auch nicht
  • 54:20 - 54:26
    aufhören.
    F: Und diese, was dabei ebend rauskommt
  • 54:26 - 54:29
    sind so Sachen, wie, was wir gerade ebend
    hatten mit Ultraschall und den
  • 54:29 - 54:33
    Werbewanzen: Dass bei etlichen Sensoren
    man halt auch nicht mehr direkt sagen
  • 54:33 - 54:37
    kann, auf was die dann noch alles so
    reagieren. Das heißt also, so etwas
  • 54:37 - 54:42
    surreal Sensor-Input wird auf jeden Fall
    ein sehr interessantes Problem werden,
  • 54:42 - 54:46
    insbesondere, weil natürlich immer mehr,
    wie hieß das schöne Wort, Cyber-
  • 54:46 - 54:50
    Pphysikalische Aktor Systeme, also sprich:
    Dinge, die dich beschädigen können und von
  • 54:50 - 54:55
    einem Computer gesteuert werden, sich in
    der freien Wildbahn befinden und die
  • 54:55 - 54:59
    werden natürlich von Sensoren gesteuert,
    indirekt.
  • 54:59 - 55:08
    R: Genau und dann sind wir wieder bei dem
    Thema "Was ist da eigentlich verbaut und
  • 55:08 - 55:16
    inwiefern wurde das gebaut mit dem Zweck,
    für den es jetzt eingesetzt wird?" Es gibt
  • 55:16 - 55:20
    diesen schönen Spruch "Wir stehen auf den
    Schultern von Riesen und können weiter
  • 55:20 - 55:25
    schauen, als die vor uns." Und das ist
    halt so, wegen wie wenn ich die Library da
  • 55:25 - 55:34
    drüben einbinde dann habe ich jetzt tolle
    Crypto, glaub ich. Ja und wenn ich diese
  • 55:34 - 55:39
    Library da drüben einbinde dann kann ich
    jetzt einen Sensor, Ultraschallsensor
  • 55:39 - 55:45
    einbinden und er sagt mir, wie viele
    Zentimeter Abstand das noch sind, bis zum
  • 55:45 - 55:48
    Fußgänger da vorne
    F: Oder wenn ich..
  • 55:48 - 55:52
    R: glaube ich.
    F: diese Library einbinde dann brauche ich
  • 55:52 - 55:55
    leider Internet, damit mein
    Küchenthermometer mir die Temperatur
  • 55:55 - 56:01
    anzeigen kann, weil es leider sich seinen
    Fung(?) von Google holt, aber dafür
  • 56:01 - 56:04
    schafft man es möglicherweise eine
    Temperatur- und Feuchtigkeitsanzeige unter
  • 56:04 - 56:08
    zehn millionen Zeilen Code zu bauen.
    Gelächter
  • 56:08 - 56:14
    F: Vielleicht.
    Applaus
  • 56:14 - 56:21
    R: So und, also wir stehen da schon auf
    den Schultern von Riesen und können weiter
  • 56:21 - 56:26
    schauen als Andere und das heißt ja auch
    immer "Don't roll your own crypto", ja,
  • 56:26 - 56:32
    mach deine Crypto-Software nicht selber,
    nimm ne Library, die gut ist, aber wer
  • 56:32 - 56:41
    patcht die denn dann später mal? Und das
    ist eben das Problem: Die Riesen sind
  • 56:41 - 56:50
    nicht so, die sind nicht so gesund. Die
    haben vielleicht nur ein Auge, ja, und
  • 56:50 - 56:53
    stehen eigentlich auf Krücken, aber das
    ist so schlecht zu sehen, weil die
  • 56:53 - 56:57
    Hosenbeine so lang sind. Weiß auch nicht,
    also da fehlen mir so ein bisschen die
  • 56:57 - 57:01
    Bilder, aber letztendlich, irgendwie, die,
    wir stehen vielleicht gar nicht auf den
  • 57:01 - 57:04
    Schultern von Riesen, sondern mehr so ...
    F: Kartenhäuser?
  • 57:04 - 57:09
    R: Kartenhäusern. Müllhalden?
    F: Ja, die hat die Allwissende Müllhalde,
  • 57:09 - 57:12
    wir stehen auf den Schultern der
    Allwissenden Müllhalde, ich glaube das ist
  • 57:12 - 57:19
    die richtige Analogie dafür.
    Applaus
  • 57:19 - 57:23
    R: So, und jetzt kommt, jetzt kommt die
    schlechte Nachricht: Das ist das Best-Case
  • 57:23 - 57:30
    Szenario. Weil wir haben auf diesem
    Congress schöne Beispiele dafür gesehen,
  • 57:30 - 57:36
    was passiert wenn einer sagt "Riesen? Die
    sind mir zu teuer! Der ist außerdem zu
  • 57:36 - 57:40
    groß! Und der isst so viel!"
    F: "Und ist ein Riese, der ist gar nicht
  • 57:40 - 57:43
    von hier."
    R: "Ja, ich lehne ja Riesen grundsätzlich
  • 57:43 - 57:50
    ab, aus religiösen Gründen." Oder, oder
    "Ich will auch ein Riese sein! Ich will
  • 57:50 - 57:57
    auch ein Riese sein! Du bist nur 1,30, das
    das das ist diskriminierend!" Also, wenn
  • 57:57 - 58:00
    dann jemand auf die Idee kommt, dass er
    das einfach selber implementieren kann,
  • 58:00 - 58:05
    weil wie schwer kann das sein, ja, so'n
    Bezahlsystem zu implementieren, wie schwer
  • 58:05 - 58:09
    kann's denn sein?
    F: Hey, man könnte ja Mifare-Classic dafür
  • 58:09 - 58:11
    benutzen.
    Gelächter
  • 58:11 - 58:16
    F: Ist schon da. Funktioniert ganz super.
    Applaus
  • 58:16 - 58:20
    R: Und Classic heißt doch eigenentlich, es ist ein Klassiker und Klassiker sind doch immer gut, oder?
  • 58:20 - 58:27
    F: Gut abgehangen. Gut abgehangene Riesen.
    R: Genau.
  • 58:27 - 58:37
    F: Also dieses Problem, was passiert, wenn
    wir anfangen mit Machine Learning auf den
  • 58:37 - 58:40
    Menschen loszugehen begleitet uns ja
    diesen ganzen Congress so ein bisschen,
  • 58:40 - 58:44
    so, seit der Keynote von Charles Dross
    hier und wir haben das halt auch das ganze
  • 58:44 - 58:48
    Jahr so in den Vorhersagen für nächstes
    Jahr gesehen, so es gibt ja diese Youtube-
  • 58:48 - 58:54
    Videos dieser autogenerierten Kinder-
    anfix-Videos und wir haben da, glaube ich,
  • 58:54 - 58:57
    den Anfang überhaupt noch nicht gesehen.
    Wir wissen, also wenn wir uns es jetzt mal
  • 58:57 - 59:04
    die Technologie-Komponenten überlegen: Wir
    haben mittlerweile ziemlich gute Text-to-
  • 59:04 - 59:09
    Speech und relativ gut funktionierendes
    Speech-to-Text und das heißt also mit
  • 59:09 - 59:12
    einer Maschine telefonieren, das erste
    mal, dass wir mit einer Maschine
  • 59:12 - 59:17
    telefonieren wird wahrscheinlich ein
    Werbeanruf sein, der dich anruft und
  • 59:17 - 59:19
    sagt...
    Publikum: Hatte ich schon!
  • 59:19 - 59:23
    F: Oh, gab's schon? Und war's okay,
    oder..?
  • 59:23 - 59:27
    Gelächter
    F: Hatte sie Verständnis mit dir?
  • 59:27 - 59:32
    R: Also, was ich glaube, das wird daran
    scheitern, dass kein Mensch mehr sein
  • 59:32 - 59:36
    Telefon zum telefonieren benutzt.
    Applaus
  • 59:36 - 59:47
    F: Ja, dieses "Daten sind das Öl, oder was
    auch immer, des einundzwanzigsten
  • 59:47 - 59:51
    Jahrhunderts" war ja so letztes Jahr so
    einer dieser Sprüche, über die wir uns
  • 59:51 - 59:55
    doch so ein bisschen irgendwie den Kopf
    gekratzt haben, so als was war jetzt an Öl
  • 59:55 - 59:58
    eigentlich so gut, ja? Wir haben irgendwie
    angefangen darüber Kriege zu führen, wir
  • 59:58 - 60:02
    haben damit unseren Planeten im
    wesentlichen vernichtet..
  • 60:02 - 60:06
    R: Also eigentlich schreiben sich die
    Witze von selber, ja, also Daten sind das
  • 60:06 - 60:09
    Öl, oder was auch immer, des
    einundzwanzigsten Jahrhunderts, ok, also
  • 60:09 - 60:15
    das mit den Kriegen ist klar, so, wir
    werden die Ozeane damit voll müllen... Was
  • 60:15 - 60:19
    ist denn da das Äquivalent? AWS Buckets?
    Gelächter
  • 60:19 - 60:26
    Einruf aus dem Publikum
    F: Und die, naja, also also Halver hat da
  • 60:26 - 60:30
    was schönes neulich geschrieben. Der
    meinte so, also Daten sind zwar, also sind
  • 60:30 - 60:33
    eigentlich nicht so sehr das Öl des
    einundzwanzigsten Jahrhunderts,
  • 60:33 - 60:34
    Daten sind mehr so wie so'n,
  • 60:34 - 60:39
    so das Fass, irgendwie, mit brennendem
    Benzin, was du im Vorgarten stehen hast
  • 60:39 - 60:44
    und man kann sich zwar ein bisschen daran
    wärmen, aber sonst hat's nur Nachteile.
  • 60:44 - 60:52
    GelächterApplaus
    R: Man kann das auch noch weiter spinnen,
  • 60:52 - 60:56
    nicht, wenn Data the new oil ist, dann ist
    ja Data auch the new snake oil...
  • 60:56 - 61:01
    Gelächter
    R: und da sind wir dann wieder beim Thema
  • 61:01 - 61:05
    Statistik ist hart, also das, was man aus
    Daten rauslesen kann, das muss man auch
  • 61:05 - 61:09
    erstmal können und wenn man das eben nicht
    kann, dann kann man einem mit Daten ja
  • 61:09 - 61:16
    auch alles mögliche verkaufen. Ja, und was
    ist dann Zucker im Tank?
  • 61:16 - 61:20
    F: Hmm.
    R: Hmm...
  • 61:20 - 61:25
    Wir haben da noch ein bisschen was.
    F: Social Media Facelifting wird
  • 61:25 - 61:31
    sicherlich, also wird ja zum Teil schon
    betrieben. Es gibt da so Professionals,
  • 61:31 - 61:35
    die einem so den Instagram Account
    aufhübschen und dafür sorgen, dass man
  • 61:35 - 61:43
    irgendwie schön und beliebt aussieht. So,
    zusätzliche, alternative IDs werden immer
  • 61:43 - 61:45
    wichtiger, weil, also es gibt da so
    Länder, wo man zum Beispiel halt irgendwie
  • 61:45 - 61:49
    Schwierigkeit hat in ein Hostel
    einzuchenken, wenn man keine Facebook-ID
  • 61:49 - 61:53
    hat und da will man natürlich eine
    besonders schöne, gecleante,
  • 61:53 - 61:58
    disneyfizierte, familienfreundliche,
    unkontroverse ID für haben. Die braucht
  • 61:58 - 62:04
    man dann wohl.
    R: Genau. Und für die, die das nicht
  • 62:04 - 62:10
    kaufen wollen, die können sich ja dann
    eine App zulegen, die das, die ihnen dann
  • 62:10 - 62:19
    dabei hilft ihr Social Score Management zu
    optimieren, am besten AI-gestützt, oder?
  • 62:19 - 62:27
    Vereinzelter Applaus
    R: Ich mein, China steigt da jetzt voll in
  • 62:27 - 62:30
    das Thema ein, oder?
    F: In diese Social Score Geschichte, ja.
  • 62:30 - 62:35
    R: Und dann wird der Social Score benutzt,
    um zu gucken, ob man einen Kredit kriegt
  • 62:35 - 62:39
    oder nicht, weil mit Geld kriegt man ja
    die Leute und da soll dann alles mögliche
  • 62:39 - 62:46
    rein, so auch was die Regierung gerne
    hätte, im Sinne von wenn einer ein Parking
  • 62:46 - 62:50
    Ticket nicht bezahlt hat, dann ist das
    sehr viel schwerwiegender, als wenn er
  • 62:50 - 62:55
    seine letzte Telefonrechnung nicht bezahlt
    hat.Und jetzt habe ich auch was gehört
  • 62:55 - 63:00
    von, von Gesundheitsdaten sollen da auch
    einfließen. Und dann fragt man sich ja
  • 63:00 - 63:05
    immer: Was werden die Konsequenzen daraus
    sein? Und die Antwort da ist klar
  • 63:05 - 63:16
    Schokolade-Schwarzmarkt.
    Gelächter, Applaus
  • 63:16 - 63:20
    F: Also angesichts der Arbeitsteilung am
    Malware-Sektor, wo man sich dann mal
  • 63:20 - 63:23
    fragt, okay, die machen irgendwie das
    Backend und irgendwie das Payment, und
  • 63:23 - 63:25
    dann gibt es noch irgendwie die
    Command-&-Control-Leute, und dann gibt es
  • 63:25 - 63:28
    die Leute, die die Exploits bauen und
    denen die eigentlichen Dropper bauen und
  • 63:28 - 63:31
    irgendwie die sagen, wo es hin und her
    gehen soll. Es wird da mittlerweile so ein
  • 63:31 - 63:35
    richtig komplexes Environment. Und wir
    vermuten, dass es das schon gibt: den
  • 63:35 - 63:39
    Malware-Wertschöpfungsketten-Prüfer. Weil
    jeder dieser Arbeitsteile kriegt ja was
  • 63:39 - 63:43
    davon ab, von dem Coinminer oder was auch
    immer der gerade deployt hat. Das heißt
  • 63:43 - 63:46
    also, der ... Das muss man ja auch
    irgendwie auditen. Also man hat ja,
  • 63:46 - 63:49
    braucht so Standards. So die Compliance im
    Malware-Sektor wird sicherlich ein großer
  • 63:49 - 63:53
    Arbeitsmarkt werden. Also ... Die haben ja
    auch immer gesagt, so dieses: "Ja,
  • 63:53 - 63:57
    Automatisierung ist nicht so schlimm, weil
    es wird ja neue Arbeitsplätze geben." Und
  • 63:57 - 64:01
    möglicherweise sehen wir hier gerade den
    Anfang von sowas. So neue Arbeitsplätze,
  • 64:01 - 64:06
    an die wie früher noch nicht dachten. So
    Compliance-Auditor im Malware-Sektor.
  • 64:06 - 64:14
    Gelächter, Applaus
    F: Ja das ist so ne ...
  • 64:14 - 64:19
    Gelächter
    R: So, wo ist ...
  • 64:19 - 64:30
    Applaus
    R: Der IoT-Geisterjäger, ja? Und wir
  • 64:30 - 64:34
    hatten letztes jahr den IoT-
    Wünschelrutengänger. Ein IoT-
  • 64:34 - 64:40
    Wünschelrutengänger ist einer, der die
    IoT-Geräte findet, die überhaupt da sind,
  • 64:40 - 64:47
    ja? So und der Geisterjäger ist, wie Ihr
    aus den Filmen wisst, derjenige, der die
  • 64:47 - 64:55
    dann einfängt auf eine Art und Weise, wo
    man dann sie noch hinterher analysieren
  • 64:55 - 64:58
    kann. Also ich meine, wenn, wenn, wenn so
    ein Gerät mit Malware, also ein IoT-Gerät
  • 64:58 - 65:04
    mit Malware befallen ist und man dann
    rauskriegen will, was da eigentlich Böses
  • 65:04 - 65:10
    drauf läuft, dann darf man da ja nicht den
    Stecker ziehen. Weil dann ist es ja weg.
  • 65:10 - 65:13
    Heißt, man braucht da so einen
    Strahlungskreuzungs... nee,
  • 65:13 - 65:16
    Entschuldigung,
    F: Nicht die Strahlen kreuzen! Das ist so
  • 65:16 - 65:18
    wie bei 230 Volt, linke Leitung, rechte
    Leitung, ist wie Strahlen kreuzen, nicht
  • 65:18 - 65:23
    Strahlen kreuzen.
    R: Genau. 5 Volt, 12 Volt
  • 65:23 - 65:28
    Gleichstromdinger ... Muss man das
    abgreifen können, um das rauszutragen, um
  • 65:28 - 65:33
    dann den Speicher auszulesen und ...
    F: Na also diese, dieses ...
  • 65:33 - 65:36
    R: Das könnt ihr dann in der
    Verwandtschaft üben. Also ich finde ja
  • 65:36 - 65:40
    immer Jobs gut, wo man klein anfangen
    kann, ja?
  • 65:40 - 65:44
    F: Genau. Erstmal das Sample auf dem
    Plasterouter bei der Verwandtschaft
  • 65:44 - 65:49
    isolieren, damit man schon mal für später
    üben kann. Auch unter ...
  • 65:49 - 65:57
    R: Das sind alles gebrauchte Jobs, ja?
    Industrie 4.0 kommt.
  • 65:57 - 66:00
    F: Guten Tag, ich muss gerade mal Ihr
    Fertigungscenter mitnehmen.
  • 66:00 - 66:04
    Gelächter
    Ja und ich muss den Drehstrom dran lassen,
  • 66:04 - 66:06
    damit die Malware drauf bleibt. Ich brauch
    das Sample.
  • 66:06 - 66:15
    Gelächter, Applaus
    F: Ja, Quantencomputer in Silizium. Wissen
  • 66:15 - 66:19
    wir natürlich nicht, ne? Also
    Quantenunschärfe kennen wir ja, ne? Also
  • 66:19 - 66:22
    das ist halt irgendwie schwer zu sagen,
    ob's jetzt nun kommt oder nicht. Aber
  • 66:22 - 66:26
    zumindest sieht's so aus, als wenn wir
    nächstes Jahr da mehr Fortschritt sehen
  • 66:26 - 66:30
    könnten. Wenn es da nicht fundamentale
    Probleme gibt, mit denen wir heute noch,
  • 66:30 - 66:32
    also heute noch nicht wissen, ob sie
    lösbar sind. Also insbesondere, ob das
  • 66:32 - 66:36
    Rauschen in den Griff zu bekommen ist.
    Aber wenn das passiert, könnte es sein,
  • 66:36 - 66:39
    dass wir nächstes Jahr relativ große
    Fortschritte daran sehen, dass man
  • 66:39 - 66:43
    Quantencomputer mit traditionellen
    Fertigungsmethoden der Halbleiterindustrie
  • 66:43 - 66:48
    bauen kann. Oder zumindest irgendwas, was
    sich so anfühlt und so aussieht, wie ein
  • 66:48 - 66:54
    Quantencomputer. Mal gucken. Dann haben
    wir so ein bisschen rumgefragt und gefragt
  • 66:54 - 66:58
    so: Was geht denn so nächstes Jahr schief,
    so? Ne? Also was sind denn so die Sachen,
  • 66:58 - 67:02
    die wo bei Crypto halt jetzt irgendwie
    noch so die nächsten Apokalypsen drohen
  • 67:02 - 67:06
    werden? Und die Antwort war eigentlich so
    von allen, die wir so gefragt haben, die
  • 67:06 - 67:11
    früher auch schon mal für so kleine
    Apokalypsen gesorgt haben. Also es wird
  • 67:11 - 67:14
    halt mehr so was wie Bleichenbacher geben,
    es wird halt mehr schlechten Zufall geben,
  • 67:14 - 67:19
    insbesondere auch gerne in Hardware
    implementierten schlechten Zufall. Wir
  • 67:19 - 67:21
    erinnern uns an dieses kleine Problem mit
    Infineon und Estland dieses Jahr.
  • 67:21 - 67:27
    R: Zusammengefasst kann man sagen: Was
    gibt es Neues? Es gibt nix Neues. Das Alte
  • 67:27 - 67:33
    ist noch nicht alle.
    F: Ja.
  • 67:33 - 67:45
    Gelächter, Applaus
    F: Der Cloud-Exorzismus ist natürlich
  • 67:45 - 67:51
    etwas, was man ... Also wir haben ja so in
    den letzten Jahren immer wieder so gesagt,
  • 67:51 - 67:55
    ok, man braucht dann so Altenheime für
    Geräte, die halt irgendwie mit dem
  • 67:55 - 67:58
    Internet nicht mehr so ganz klarkommen.
    Und mittlerweile haben wir bei Hardware,
  • 67:58 - 68:01
    wo man sagt: "Eigentlich geile Hardware!",
    also zum Beispiel halt so 'ne Werbewanze,
  • 68:01 - 68:05
    so 'ne Alexa ist ja eigentlich ganz geil.
    So schicke Mikrofone, ordentlicher
  • 68:05 - 68:09
    Lautsprecher, dicker Prozessor, so. Leider
    mit diesem lästigen
  • 68:09 - 68:15
    Nach-Hause-telefonieren-Problem. Und da braucht man
    eigentlich so'n Exorzisten, der dann mit
  • 68:15 - 68:21
    dem Kreuz dafür sorgt, das Ding halt sich
    seine schlechten Gewohnheiten, seine
  • 68:21 - 68:25
    schlechte Seele entweicht und man ihm eine
    neue Seele ...
  • 68:25 - 68:29
    R: Genau, wir haben das hier noch unter
    der Abteilung Sport, weil wir noch nicht
  • 68:29 - 68:33
    sicher sind, dass man sich damit, dass man
    damit wirklich eine Familie ernähren kann,
  • 68:33 - 68:39
    ja? Wenn ihr euch noch mal den Vortrag
    anschaut über den Staubsaugeroboter
  • 68:39 - 68:44
    aufmachen, hier, wo man dann sehen kann,
    dass Staubsaugerroboter bessere Security
  • 68:44 - 68:56
    haben als manche Banken.
    Gelächter, Applaus
  • 68:56 - 69:00
    Da ging es ja auch um das Thema "Wie macht
    man da die Cloud raus?", weil das Gerät
  • 69:00 - 69:05
    ist vielleicht gar nicht so schlecht. Und
    ja, das wird noch mehr werden. Und wenn
  • 69:05 - 69:09
    man das dann einmal gemacht hat, dann kann
    man daraus vielleicht auch ein
  • 69:09 - 69:14
    Geschäftsmodell, das von Sport upgraden in
    Richtung Geschäftsmodell, dass man dann
  • 69:14 - 69:18
    sagt: "Ich hätte gerne den Staubsauger,
    aber ohne Cloud." Und keine Ahnung, ob man
  • 69:18 - 69:23
    den dann da kauft und dann da einschickt,
    um die Cloud entfernen zu lassen, oder ob
  • 69:23 - 69:29
    das mit Hausbesuchen funktioniert, ja?
    Oder mit Fernwartung, oh nein ...
  • 69:29 - 69:39
    Gelächter, Applaus
    F: Oder mit so kleinen Prothesen, ja?
  • 69:39 - 69:45
    Also sozusagen wie so ein Aluhut,
    der die Cloud fernhält.
  • 69:45 - 69:50
    Gelächter
    R: Genau. Ja also, da geht was.
  • 69:50 - 69:57
    Tja und die letzte Sache war ...
    F: Sind ja relativ viele Bitcoins, die da
  • 69:57 - 70:01
    draußen sind, von denen Leute sagen, so –
    ich habs aufm Kongress schon so glaub
  • 70:01 - 70:05
    ich fünfmal gehört, so – "Ja, eigentlich
    habe ich ja auch noch ein paar." Aber
  • 70:05 - 70:09
    entweder ist die Platte kaputt, man weiß
    nicht mehr, wo die Platte ist, ja ok. Und
  • 70:09 - 70:12
    dann gibt es auch eine ganze Menge: "Ich
    kann mich echt ums Verplatzen nicht mehr
  • 70:12 - 70:14
    an diese Passphrase erinnern."
    Gelächter
  • 70:14 - 70:17
    Und nun muss man dazu sagen: Hypnotiseur
    ist im Gegensatz zu Rechtsanwalt ein
  • 70:17 - 70:22
    Beruf, bei der es irgendwie nicht nur eine
    Tarifierung nach Stundensatz geben kann.
  • 70:22 - 70:33
    Da ist eine Erfolgsbeteiligung möglich.
    Gelächter, Applaus
  • 70:33 - 70:40
    R: Genau. Damit sind wir schon rum.
    Wünschen euch allen einen guten Weg nach
  • 70:40 - 70:47
    Hause und wie immer einen schönen Rutsch
    in das Jahr 1984.
  • 70:47 - 71:03
    Applaus
  • 71:03 - 71:25
    Untertitel erstellt von c3subtitles.de
    im Jahr 2019. Mach mit und hilf uns!
Title:
34C3 - Security Nightmares 0x12
Description:

more » « less
Video Language:
German
Duration:
01:11:25

German subtitles

Revisions