-
Herald: Wer hat letztes Jahr einen
Security Nightmare erlebt, von euch?
-
Publikum: jemand ruft
Herald: Lacht Nee, glaube ich nicht.
-
Alles sicher. Wer von euch hat in der
Familie einen Security Nightmare erlebt?
-
Und wer von euch war sein eigener Security
Nightmare?
-
Publikum: Gelächter
Herald: Ausreichend. Jetzt kommen:
-
Ron und Frank - Security Nightmares.
Publikum: Applaus
-
Frank: Ja, Herzlich Willkommen zu den
Security Nightmares.
-
Ron: Hallo Leipzig!
Publikum: Jucht! Applaus
-
R: Ich glaub, das ist das erste mal, wo
ich Sorgen hatte, ob ich rechtzeitig
-
reinkomm'.
Publikum: Gelächter
-
F: Die wievielte Ausgabe ist das
eigentlich?
-
R: Genau, ich habe da § 2 hingeschrieben.
Das ist § 2 BGB, der regelt die
-
Volljährigkeit.
Und diese Veranstaltung ist 18.
-
Publikum Applaus
R: ruft Die Veranstaltung darf jetzt
-
heiraten. Und zwar seit Oktober Jeden.
Publikum: Lachen, Jubel, Applaus
-
F: Sie darf jetzt auch selber Mobilfunk
Verträge abschließen und hochprozentigen
-
Alkohol und Tabakwaren kaufen
R: und konsumieren!
-
F: und sich auch an jugendgefährdenden
Orten aufhalten.
-
R: Also hier!
Publikum: Lachen, Applaus
-
R: Und Glücksspielen, das heißt? -
Bitcoin, hat jemand Bitcoin gesagt.
-
Publikum: gemeinsames Gelächter
R: Ja genau und die Datenschleuder
-
abonnieren, ne, ist klar.
Frank Ja, wir hoffen, ihr hattet eine gute
-
Zeit auf dem Kongress, wir sind immer
traditionell der Rauskehrer hier, vor der
-
Abschlussveranstaltung. Also die
Veranstaltung, die dafür sorgt, dass ihr
-
zur Abschlussveranstaltung alle da seid .
Publikum: vereinzelte Lacher
-
F: Und ihr konntet euch von dem Support-
Marathon über Weihnachten so ein bisschen
-
erholen. Wie schlimm war's denn so dieses
mal? Da wollten wir nochmal so zwei, drei
-
Fragen zu stellen.
R: Wer hatte denn noch einen XP weg
-
gemacht? Eins, Zwei ...
Publikum: vereinzelte JuchtzerLachen
-
Einzelapplaus
F: Oh, oh.
-
Publikum: Applaus Saal
R: Und wer durfte auch dieses Jahr das XP
-
nicht wegmachen, weil es läuft so gut?
Publikum: Saal lacht
-
R: Ah, oh je! Dann können wir eigentlich
alle gleich nach hause gehen, oder?
-
Publikum: Zwischenrufe
R: Was ich so witzig fand, dieses Jahr,
-
ich mein, wir sagen immer: man kann sich
ja dann hier erholen von dem Support-
-
Marathon, den andere Leute Weihnachten
nennen. Und was ich jetzt aber gehört habe
-
ist, dass dann der eine oder andere
Teenager nicht hergekommen ist, weil der
-
Rest der Familie kommt ja sowieso immer
hierher,
-
Publikum: verhaltenes Lachen
Ron.: und die hatte man ja gerade drei
-
Tage. lachen und das schafft man dann
halt nicht mehr, so und ja da muss man
-
dann mal nachdenken, wie man damit umgeht,
denn streaming ist ja keine Antwort auf
-
alles, oder?
F: Ja, wer hatte denn so einen Virus oder
-
Trojaner zu entsorgen über Weihnachten?
R: Du musst höher einsteigen. Bei wem
-
waren es mehr als 10?
Publikum: lacht auf
-
F: Keiner? OK?
R: Da ist was los!?
-
F: Mehr als 5? Auch nicht, okay. Wer weiß
nicht, wie viele es waren?
-
Publikum. Gelächter
Ron. Ahh, okay, die Methode hat sich
-
geändert. Ihr setzt die einfach gleich neu
auf die Kisten, ne? Ja, fair enough. Gut,
-
steigen wir ein.
F: Das ist ein Bild, was mein Freund Pavel
-
Mayer gemacht hat, der kümmert sich darum,
Maschinen das Sehen beizubringen. Und er
-
hat festgestellt, dass Ampeln für
Maschinen zwischendurch so aussehen, weil
-
wenn man mit so einer Ampel mit 60 Hertz
Framerate aufnimmt, dann passiert beim
-
Umschalten zwischen gelb und grün der
lustige Effekt, den wir gerade im Bild
-
beobachten, dass es nämlich einen Frame
lang so aussieht.
-
R: Ups.
F: Und das, damit fahren wir dann Auto.
-
Publikum: Gelächter
F: Nein, also falsch, damit fahren dann
-
Autos mit uns.
Publikum: Gelächter
-
R: Die beliebte Rebublik ääähm Rubrik: Vor
zehn Jahren. Da ist ja viel passiert vor
-
zehn Jahren. Wir forderten damals Bürger-
Trojaner für mehr Bürgerbeteiligung. Das
-
war so ein bisschen mau, aber die
Digitalisierung hat ja auch vor den
-
Parteien nicht halt gemacht, vor allen
Dingen WhatsApp hat vor den Parteien nicht
-
halt gemacht und da gabs dann diese
hübschen Leaks, nicht wahr? Habt ihr alle
-
mitgekriegt, wie sich Die Partei da
reingehängt hat, ich glaube, das ist einen
-
Saalapplaus wert.
Publikum: Saalapplaus
-
R: Die die andere Sache in Sachen
Bürgertrojaner für mehr Bürgerbeteiligung,
-
die so in die Richtung geht, ist diese
Android-App: Haven von The Guardian
-
Project und Freedom of the Press
Foundation. Der Edward Snowden hat auch
-
ein bisschen Werbung dafür gemacht, wenn
mich nicht alles täuscht. Und das ist ja
-
so ein Wir-überwachen-den-öffentlichen-
Raum-Gerät.. Also etwas, was natürlich in
-
Deutschland verboten wäre, wenn man es
hier aufstellen würde. Aber, genau, ich
-
denke, wir werden sehen, wo das hinführt.
F: Naja, also ich glaube, dass dieses so
-
eines der ersten Anzeichen dafür ist, dass
so Evidence Collection Systeme, also
-
eigentlich ist ja / wird es dafür beworben
zu sagen, wenn man sein Hotelzimmer
-
verlässt, dass also der öffentliche Raum
dieses Hotelzimmers, dass man die Frage
-
sich stellen kann, welche Öffentlichkeit
sich denn darin aufhält, während man
-
gerade nicht da ist und um das zu
dokumentieren soll das Gerät ja benutzt
-
werden, aber ich glaube, dass genau dieser
Punkt: öffentliche, gute Software zur
-
Evidenz-Generierung, die wird uns noch
eine Weile beschäftigen.
-
Remote Government, ja, da hatten wir ja,
vor zehn Jahren war Estland ...
-
R: kurz weg
F: 20 Tage lang oder so, ne?
-
R: 20 Tage genau.
F: Und damals fing ja dieser ganze Cyber-
-
Cyber so ein bisschen an, auch wenn er
damals noch nicht so hieß.
-
R: Und es sollen ja Privatpersonen gewesen
sein.
-
F: Also patriotisch gesinnte
Privatpersonen, die damals Estland runter
-
genommen haben. Und irgendwie hat sich
dieser Trend so ein bisschen verfestigt,
-
dass also patriotisch gesinnte
Privatbürger, dann auch was wir damals ja
-
schon vorher gesagt hatten, wenn man halt
anfängt so ein ganzes Land runter zu
-
fahren, dann kann man sich auch relativ
problemlos sich um deren Wahlsystem
-
kümmern. Nur, dass es dann halt nicht
Estland war, sondern andere Länder.
-
R: Genau, aber Putin hat gesagt, das waren
Freigeister. Also das war keinesfalls eine
-
gesteuerte Aktion, was da in Amerika
gelaufen ist. Nicht wahr? Ne genau, ja,
-
das war der Punkt. Die
F: modularen Superwürmer
-
R: Genau und das ist ja etwas, was uns
hier schon eine Weile begleitet, dass die
-
Superworms als solche modularer werden und
auch das Ökosystem drumherum modularer
-
wird, man jetzt inzwischen so Ransomeware
as a Service - gibt's hier auch schon und
-
das hat sich nur weiterentwickelt, ne?
Keine große Sache. Dann gab's das Thema
-
Bio-Hacking. Ich glaub vor ein paar
Jahren hatten wir dann noch welche da, die
-
hatten auch mal Ebola auf einer Powerpoint
Folie dabei, das ist aber nicht
-
10 Jahre her, das ist nur so 5 Jahre her,
ne?
-
F: Ungefähr so was R: Und ja...
Publikum: Lacht R: Inzwischen hat die FDA
-
Publikum: Applaus F: Also wie wir sehen
können hat Bio-Hacking enorme Fortschritte
-
gemacht. Wir sind... R: lacht
Publikum: Applaus F: Also ich
-
weiß nicht ob die Damen und Herren
irgendwie schon mit crispr/cas9
-
modifiziert wurden, aber das werden wir
dann wohl demnächst auch sehen. Also, die
-
crispr/cas9 ist eine Methode, mit der man
Gen-Editing sehr weit treiben kann und,
-
also die FDA hat gerade davor gewarnt,
dass man das an sich selber ausprobiert.
-
Und ich hatte eigentlich auch so ein
bisschen erwart, dass wir für den Congress
-
schon so ein paar Einreichungen dazu
kriegen, so was wie, also ich könnt mir da
-
so viele Dinge vorstellen, so zum Beispiel
so kleine Elfenohren züchten oder so. Oder
-
mal die Augenfarbe ändern so. Da gibt es
so viele kleine, einfache Möglichkeiten
-
zum Patchen, aber bisher hatten wir noch
keine Einreichung. Mal sehen, wie es
-
nächstes Jahr wird.
R: Genau, für nächstes Jahr wünschen wir
-
uns das. Und dann hatten wir das Thema
Industrie-IT, Kinderzimmer-IT und
-
Krankenhaus-IT. Und ich weiß noch, dass
wir uns schlapp gelacht haben über diesen
-
Dinosaurier, den wir mitgebracht haben.
Ich weiß nicht, ob ihr euch noch erinnert:
-
das war so ein Spielzeug-Dinosaurier, den
man streicheln konnte und dann hat er so
-
"mmmmmmmmhm" gemacht. Und der hatte auch
schon eine Kamera drin und Mikrofon und
-
wie gesagt so kleine Geräusche konnte der
auch machen. Ja und dieses Jahr hat die
-
Bundesnetzagentur tatsächlich eine
Kinderpuppe verboten, ja, weil das eben
-
auch als Wanze klassifiziert wurde. Da
wurde der Verkauf verboten. Ich glaube,
-
400 Shops oder so mussten das Angebot
rausnehmen. Und Kinderuhren mit Mikro
-
wurden auch verboten von der
Bundesnetzagentur, ja, also es ist
-
entwickelt sich wirklich irre und dann das
schönste war aus meiner Sicht dieses Ding
-
mit den Furbys. Furbys kennt ihr ja auch
alle und die sind ja auch technologisch
-
nicht stehengeblieben. Es gibt ein Furby-
Connect, der spricht Bluetooth und der
-
braucht keine Authentisierung. Und der
spielt dann Audiodateien ab. Das heißt,
-
ihr müsst nur dicht genug rankommen an die
Kinderzimmer.
-
Publikum: Lachen
R: Da hätten wir gerne von euch jetzt
-
einen Audiotrack. Wenn ihr also alle mal
kurz 10 Sekunden „cybercybercybercybery…“
-
Publikum: flüsternd cybercybercyber…
F: Sehr schön. Dankeschön.
-
R: Dankeschön.
F: Länger darf der Loop sowieso nicht
-
sein.
Publikum: Applaus
-
R: Also wenn die Spielzeugeläden, wenn die
dann alle anfangen zu cybern da drin, dann
-
wissen wir Bescheid, ne.
F: Heutzutage ist ja dieses Furby, das
-
scheint so ein bisschen wie so der
Urgroßvater von irgendwie den Werbewanzen,
-
die sich die Menschen ins Wohnzimmer
stellen.
-
R: Hast du Alexa gesagt?
Publikum: Gelächter
-
F: Alexa, time my therapist, ist ein
ernsthafter Skill. Es gibt tatsächlich für
-
Alexa mehrere, also für dieses Amazon-
Werbewanzen-Gerät, aber auch für die
-
anderen Konkurrenzprodukte gibt es mehrere
Implementierungen, mehr oder weniger
-
fortgeschritten, von Elisa, dem
ursprünglichen Weizenbaum-Programm. Und es
-
gibt tatsächlich natürlich
selbstverständlich gibt es auch
-
mittlerweile schon so Machine-Learning-
basierte Therapiesysteme, über die man
-
sich mit seiner Werbewanze unterhalten
kann. Wenn wir es uns überlegen so, Daniel
-
Suarez hatte damals gesagt: „the human
mind is a stationary target“. Das heißt
-
also, der menschliche Geist entwickelt
sich nicht so schnell vorwärts wie die
-
Maschinen, die ihn versuchen zu
manipulieren. Da ergeben sich völlig
-
ungeahnte Möglichkeiten. So den
Zusammenfluss von so Gesprächstherapie und
-
Werbung in einem Gerät, da gibt es endlose
Möglichkeiten.
-
Publikum: leises Lachen R: Genau,
was soll da schon schiefgehen oder?
-
Publikum: Applaus
R: Den CloudPad-Leuten sind dann auch
-
gleich 2,2 Millionen Sprachdateien von
Kinderspielzeug weggekommen. Das waren
-
800.000 User, ja genau. Genau, die nächste
Nummer war hier die Cloudvorhersagen, die
-
wir gemacht haben. Und das irre ist ja
immer, wenn man da sitzt und sich Gedanken
-
macht über die Zukunft und sich vorstellt,
wie schwierig das sein wird, Dinge zu
-
tun, also wenn wir sagen, irgendwie das
mit Cloud wird problematisch, dann denken
-
wir an das, was dann irgendwann mal als
Rowhammer oder so präsentiert wird, ja?
-
Irgendwie aus einer VM ausbrechen, in die
andere reinschleichen und solche
-
Geschichten über irgendwie Hardcore, was
weiß ich, irgendwas Fehler in den
-
Hauptspeichersystemen, whatever. Aber wie
sieht die Realität aus? Die Realität sieht
-
so aus, dass es da AWS-Buckets gibt, wo
halt keiner das Rechtemanagement
-
eingeschaltet hat. So. Rowhammer. Ist ja
albern, braucht man gar nicht, einfach
-
reinklicken, downloaden und Spaß haben.
F: Also die größten Datenleaks dieses Jahr
-
waren tatsächlich so was.
R: Terrabytes.
-
F: Terrabytes von Kundendaten.
R: Kommen noch ein paar Beispiele.
-
F: Von allen möglichen … ja.
R: Kommen noch ein paar Beispiele. Das
-
andere Ding war irgendwie das Gelächter
über das iPhone in 2007. Ja so, haha ein
-
iPhone, haha, ein Telefon irgendwie, wo
man alles mögliche drauf ausführen kann,
-
ohne dass irgendwer was fragt und solche
Geschichten. Und jetzt? Jetzt gibt es
-
Sicherheitsexperten, die sagen, das ist
für den Consumer die sinnvollste
-
Plattform, was die Sicherheit angeht.
F: Obwohl ich ja glaube, dass diese
-
Sicherheit vom iPhone ist so ein
marktgetriebenes Ding. Vor allem, wenn die
-
Exploids einmal teuer sind, und für iPhone
sind die Exploids am Teuersten momentan,
-
dann haben alle Interesse daran, dass sie
teuer bleiben. Das heißt also, dann werden
-
die nicht so häufig und nicht so schnell
releast, weil das wäre ja nicht gut für
-
alle anderen, die auch noch auf welchen
sitzen.
-
R: Ja, da haben wir gleich noch was zu.
F: Ja.
-
R: Gut, und den wollte ich nochmal
bringen, weil ich den so gut fand, der
-
Bufferoverflow durch zu breites Grinsen
bei Biometrie. Das ist dann so, wenn die
-
Mundwinkel aus dem Gesicht sich heraus
bewegen, ja, was passiert dann eigentlich?
-
Gibt es da einen Bufferoverflow oder
nicht? Hat jemand mal ein iPhone X und
-
kann das ausprobieren?
Publikum: Gelächter
-
R: Gut. Ja und da braucht man nichts mehr
zu sagen oder? Ich meine, Vista, Vista,
-
Vista Vista ist dieses Jahr noch gepatcht
worden mit wannacry.
-
F: Gerade so.
R: Und MacOSX hat seit dem letzten Patch
-
jetzt wieder 2-Faktor-Authentisierung.
Username und Passwort.
-
Publikum: Gelächter und Applaus
R: Aber ich meine, die Dinge gehen einem
-
nicht aus, sie gehen einem überhaupt nicht
aus. Outlook hat ein halbes Jahr bei
-
SMIME-Mails, also bei verschlüsselten
Mails, den Klartext mitgeschickt.
-
Publikum: Gelächter und leichter Applaus
R: So und jetzt kommt es, der Schlag ist
-
natürlich, also der Schlag in den Bauch,
das ist nur passiert, wenn die Mails nicht
-
html waren.
F: Also nur Mails, wie man sie eigentlich
-
verschicken sollte, waren betroffen.
R: Genau, nur plaintext-Mails. Gut, dass
-
Normalitätsupdate. Ein Username-Passwort-
Combo für einen funktionierenden
-
Mailaccount kostet 8-15 Dollar. Wir hatten
in Deutschland 83.000 Cybercrimefälle in
-
2016 und 51 Millionen Euro Schaden.
F: Ich frage mich ja immer, wo diese
-
Zahlen herkommen.
R: Ja, also ich meine, ist da jetzt
-
wannacry schon reingerechnet und der
Anteil von den 300 Milliarden Maersk
-
schon drin oder nicht?
F: Und sind die geklauten Bitcoins dabei
-
und deren Wertzuwachs? Publikum: Lachen
R: Das ist ja eh die interessante Frage.
-
Es gibt in Hamburg immer diese schönen
Witz, weil vor zwei Jahren, nein vor 20
-
Jahren gefühlt, wurde da mal ein Container
Koks oder so im Hafen beschlagnahmt und
-
dann hieß es, „ein Container Koks wurde im
Hafen beschlagnahmt, fünf Tonnen wurden
-
beschlagnahmt“. Und am nächsten Tag heißt
es dann, „alle vier Tonnen Koks wurden in
-
die Asservatenkammer der Polizei
eingelagert." Und vier Wochen später heißt
-
es, dass alle zwei Tonnen Koks vernichtet
worden sind. Und hier ist es ja mehr so
-
umgekehrt. Wir haben für 51 Millionen Euro
Bitcoin beschlagnahmt und übermorgen
-
werden wir das für hm…
F: Entweder irgendwas zwischen 5 und 500
-
verkaufen. Geldautomatenmanipulation, das
Witzige daran ist irgendwie 56% in Berlin,
-
was ist da los?
F: Ach so das ist erklärbar.
-
R: Ja?
F: Weil in Berlin stehen diese ganzen
-
Geldautomaten rum, wo du schon immer
denkst, das kann nur ein Scamming-Device
-
sein.
Publikum: Gelächter
-
F: Diese Dinger, die da so als kleine
Säulen auf der Straße stehen, die man
-
sonst eher so in etwas ärmeren Ländern
kannte und die stehen in Berlin so überall
-
rum. Du kannst eigentlich so in den etwas
beliebteren Gebieten nicht eine Straße
-
runterlaufen, ohne mindestens über fünf
Geldautomaten zu stolpern. Und da ist halt
-
die Möglichkeit halt aus einem Gerät, was
aussieht wie ein Scamming-Device, ein
-
Scamming-Device zu machen, ist halt
offensichtlich zu verlockend.
-
R: Wer hat hier da oben Geld abgehoben?
Publikum: Gelächter
-
F: Kennt jemand jemanden, der da oben Geld
abgehoben hat?
-
Publikum: vereinzelt Lachen und Applaus
F: War es wenigstens... Roch es noch gut
-
das Geld, war es frisch?
R: Genau, 50.000 MongoDBs …
-
F: 27.000.
R: Ne, 50.000 bis August, in einer Woche
-
im August davon 27.000, das war ein
Massaker. Die DDos-Angriffe, die
-
öffentlich dokumentiert worden waren,
dieses Jahr, glaube ich, 510. Letztes Jahr
-
hatte ich schon mal was von 600 gelesen.
F: Und hinter den Kulissen gibt es so
-
einzelne Angriffe, die wohl mal kurz mit
800 Gigabit ausprobiert wurden, wobei man
-
da einfach nur sagen muss, es handelt sich
dabei eigentlich um einen Fortschritt bei
-
der Cloudentwicklung. Weil der typische
Weg, wie halt so ein Denial of Service
-
monetarisiert wird ist halt, man schickt
dann eine Mail und sagt, guten Tag,
-
schönes Business haben Sie da. Sie haben
am - nehmen wir mal an - irgendeinen
-
Freitag haben Sie Ihren offenen
Verkaufstag, wo es irgendwie möglichst
-
viel Umsatz geben soll, es wäre doof, wenn
Sie da einen Denial of Service bekommen
-
würden, wir demonstrieren gerade mal, wie
das funktioniert. Und dann bekommt man so
-
eine Viertelstunde Denial of Service mit
irgendwie durchaus mehreren Dutzend oder
-
hundert Gigabit und dann hört es auch
pünktlich wieder auf. Und dann bekommt man
-
eine, momentan interessanterweise
meistens, Bitcoinadresse, was ich nicht so
-
besonders klug finde, aber jedenfalls
irgendeine Zahlungsadresse, mit der man
-
dann halt sich daraus freikaufen können
soll. Und die Leute, die schon ein
-
bisschen länger in dem Business sind sagen
so, naja wenn es genau eine Viertelstunde
-
ist und der Traffic von AWS oder
JourCloudinstanzen kommt, dann zahlen wir
-
nicht, weil dann wissen wir, dass die
Leute einfach nur die freien Accounts von
-
diesen Cloudplattformen benutzen, um sich
halt den DDos-Traffic zusammen zu
-
schnorren und das halten die sowieso nicht
länger als eine Viertelstunde, bevor
-
Amazon da eingreift oder Microsoft, dann
brauchen wir halt nicht zahlen. So ist
-
heutzutage die Logik des Geschäfts im
Internet.
-
R: Genau... Ein Saal Applaus bitte für
Publikum: Applaus
-
100 Millionen Zertifikate von Lets
Encrypt. Überhaupt ist der verschlüsselte
-
Traffic ja inzwischen über 50 Prozent,
wenn ich das richtig im Kopf habe, was ja
-
schon mal eine echte Leistung für sich
ist, ja.
-
Publikum: Applaus
F: Ja, Apps faken is a thing now, also
-
gerade insbesondere im Google Play Store,
die ja da eher so bisschen mehr
-
nachsichtig sind mit Apps.
R: Aus dem Appple Store mussten sie auch
-
diverse Ethereum, Etherum...
F: Stimmt, Ethereum Wallets, ja, richtig.
-
R: Genau, Dinger rauskehren, genau.
Letztes Jahr haben wir noch gesagt alle
-
alle App Bewertung sind fake, aber nicht
nur die App Bewertungen sind fake, die
-
Apps sind vielleicht auch fake.
F: Aber dann gibt es bestimmt jetzt fake
-
Apps mit echten Bewertungen.
*Gelächter.
-
R: kommt drauf an was du dir leisten
kannst. Genau, und die ernüchternde
-
Prozentzahl des Tages ist, dass Google
Android Sicherheitsupdates nur 50 Prozent
-
der Geräte erreichen, sagen deren eigenen
Statistiken.
-
Ruf aus dem Publikum
R: Ja, das ist, ja, wenn man wenn man's
-
glauben kann, das sehe ich auch so. Da
sind wir beim nächsten Punkt, ja,
-
Statistiken die man nicht selber gefälscht
hat. Des gab mindestens zwei Zero-Day
-
Studien und eine der interessanten Zahlen
war dieses: Ein Zero-Day, wenn er denn als
-
solcher bekannt wird, lebt der schon
sieben Jahre, ja, also die Verwundbarkeit
-
ist schon sieben Jahre im Feld und wird
auch benutzt. Also ist schon sieben Jahre
-
entdeckt, bevor bevor sie dann öffentlich
wird und der Hersteller aber trotzdem
-
noch kein Patch hat. Okay, so, und jetzt
kommt's: Definiert wurde hier aber diese
-
Lebensdauer als, die Lebensdauer hört auf,
wenn der Hersteller den Patch raus gibt
-
und das finde ich persönlich absurd, wenn
man sich anschaut, wie viele Leute einfach
-
immer noch nicht patchen, ja, und wie
viele Runden WannaCry schon gedreht hat
-
durch die Systeme dieser Welt und noch
drehen wird, weil die immer noch nicht
-
fertig sind mit patchen. Also dieses
irgendwie Microsoft patcht das-und-das
-
oder Google patcht jetzt das-und-das oder
wer auch immer patcht das-und-das, das
-
dann immer so Schlagzeilen wo ich denk
"gar nicht!", ja, Microsoft stellt den zur
-
Verfügung und ob das dann irgendwo ankommt
ist echt eine zweite Frage, die leider
-
nicht immer positiv zu beantworten ist.
F: Wobei dieses Patching Business ist ja,
-
das erzeugt ja so'n, also je länger so
diese Mechanismen, dass die Hersteller zu
-
bestimmten Tagen ihre Patches ausrollen
und was dann so passiert. Es hat ja
-
mittlerweile so eine gewisse Routine
entwickelt, also ist halt so'n: Microsoft
-
rollt einen patch aus, dann irgendwie
schmeißen alle Leute IDA Pro an, reverse
-
engineeren diesen Patch, figuren also
finden heraus, was der Bug ist, der
-
gepatched wurde, und da gibt es dafür zwei
Märkte: Der eine Markt ist natürlich
-
daraus einen Exploit zu entwickeln und der
Andere ist festzustellen, warum die
-
Software, die man mit dem Patch verwenden
wollte, leider crasht. So, weil der Grund,
-
warum viele Leute nicht patchen ist ja,
dass sie halt Software haben, die halt
-
nicht dann nicht mehr funktioniert. So,
obwohl Microsoft sich eigentlich viel Mühe
-
gibt dabei.
R: Ja, und also die Problematik ist: Wie
-
kriegt man die Leute zum patchen?
Natürlich indem man die Qualität hoch hält
-
und so und da gibt es ja dieses schöne
Gerücht, dass einigen Leuten aufgefallen
-
ist, dass bei iOS die richtig schicken
Emojis, also die echt richtig schicken
-
neuen Emojis, immer nur an den wirklich
wichtigen Security Updates dranhängen. Ja,
-
also damit die Leute auch motiviert sind
zu patchen.
-
Publikum: Applaus
R: Und es handelt sich natürlich über eine
-
eine wilde, haltlose Verschwörungstheorie,
aber ich glaube wer beantworten kann, wie
-
das für IOT funktioniert, ja, dem müssen
wir dann echt dankbar sein.
-
F: Also bei Apple, ist eigentlich so Apple
hat erkannt "the human mind is a
-
stationary target" und haben einen
Optimierungsvektor gefunden mit den
-
Emojis, den ich eigentlich ganz
bewunderungswürdig finde. Bei IOT wird's
-
glaube ich nur funktionieren über "geht
wieder". "Mein Licht geht wieder an nach
-
dem Patch."
R: Ja, vielleicht könnte man ja an jedes
-
IOT Gerät so'n kleines Display machen wo
dann irgend so ein niedliches Kätzchen
-
blinzelt oder so, oder eine neue Grirmasse
ziehen kann, was weiß ich.
-
F: Du meinst sowas wie so Crypto Cats als
Upgrade Bonus so? Collect them all?
-
Publikum: Gelächter und Applaus
F: Hmm, ich glaube, da sind wir an einem
-
guten Geschäftsmodell.
R: Ja, collect them...
-
Publikum: Tamagochi!
F: Ja, Pokemon patching.
-
R: Wir brauchen die Gamification des
Patchings, nicht?
-
Applaus
F: Ja, das Wahlcomputer-Massaker ging auch
-
dieses jahr noch ziemlich ungebremst
weiter.
-
R: Am schönsten sind die Sprüche, oder?
Also, wenn die Leute nach einer Metapher
-
suchen, für das was da passiert ist in
diesem Voting Computer Village.
-
F: Genau, da hörte, sprach ich mit jemand
der da war und meinte "Ist ungefähr so als
-
wenn man Fische, also in einem Fass auf
Fische in einem Fass schießt, aber mit
-
einer Gatling Gun mit Explodierenden
Kugeln und das Fass ist nicht mit Wasser
-
gefüllt sondern mit Benzin."
Publikum: Gelächter
-
R: Genau, dann gab es noch PC-Wahl und wie
hieß das andere Ding? Iwo? Iwu?
-
F: IVU Elect meinst du? Ja, ja ja, das
steht noch aus. Also, ja.
-
R: Genau, das gab's noch nicht, richtig?
F: Das gab's noch nicht so richtig.
-
R: Ja, wie kann das denn sein?
F: Ja, was denn schon? Es war kurz vor der
-
Bundestagswahl. Die Abende waren lang. Der
Sommer war ganz okay. "Shadow Brokers",
-
genau. Dieses Phänomen, dass wir Malware
haben, die weaponized exploits sind, also
-
die halt von Geheimdiensten gebaut wurden,
um anderer Leute Rechner aufzumachen, wird
-
glaub ich auch noch eine Weile bei uns
bleiben.
-
R: Genau. Wir haben das hier unter
"E-Government" aufgehängt, weil das ja
-
Waffenschränke der NSA waren, die da
einfach mal en gros weggekommen sind. Und
-
ja. Das sind dann wieder diese Zero-Day-
Dinger, die uns halt noch Jahre begleiten
-
werden, ja.
F: Die sind dann halt schon seit zehn
-
Jahren bekannt, nur halt nicht allen. Und
Shadow Brokers sorgen halt dafür, dass sie
-
dann doch mehr Menschen bekannt werden.
R: Ja, der Umgang damit, wie so eine
-
Government Malware in die freie Wildbahn
kommt - ob die jetzt irgendwie über den
-
Umweg von Antivirus-Software geht, oder ob
sie durch Zufall ihren Weg fand in die
-
freie Wildbahn, oder ob's irgendwie sich
um eine Geheimdienstoperation handelt, hat
-
uns ja diskussionsmäßig dieses Jahr
relativ viel beschäftigt. Und klar ist
-
halt, dass jetzt also der...
Nationalstaaten betrachten Antivirus-
-
Firmen jetzt als National Asset. Also,
allen ist klar geworden, dass das was bei
-
so einer Antivirus-Engine nach Hause in
die Cloud geschickt wird, dass da durchaus
-
interessante Sachen bei sind. Ob jetzt nun
irgendwie die Exploit Toolkits der
-
Konkurrenz, oder interessante Daten und
Dokumente; könnte alles mögliche sein. Und
-
diese, sagen wir mal Strategiesierung und
Politisierung des Anti-Malware-Business'
-
zeigt sich dann eben auch im Umgang mit
den Menschen, die da irgendwie in dem
-
Bereich unterwegs sind.
F: Genau. Und dann kommt noch dazu diese
-
Problematik, dass Attribution schwierig
ist und dann hat man plötzlich so eine
-
Situation wie... Wie heißt er, Michael
Hutchins? Oder so ähnlich... Also
-
@malwaretechblog auf Twitter, immer noch
nicht aus der USA wieder ausreisen darf.
-
Aber immerhin ist er schon mal wieder auf
freiem Fuß. Ja, was gab's noch Ulkiges?
-
Muss man sich noch mal genauer anschauen,
was da eigentlich passiert, aber das
-
scrollte an mir so vorbei, dass sich Leute
in ihrem Twitter-Account auf Region
-
irgendwas in Deutschland setzen, weil dann
gewisse Leute sie nicht mehr nerven.
-
R: Also, weil die Twitter-
Zensurmechanismen für die Locale
-
Deutschland offenbar ihrem persönlichen
Geschmack besser entsprechen, weil sie
-
dann viele von den Nazis einfach los sind.
F: Ja, erstaunlich, oder?
-
R: Ja, das erinnert mich so...
F: Also man erbt jetzt auf den sozialen
-
Plattformen mit dem Standort - und den
kann man noch frei selber bestimmen -
-
irgendwie so eine Filterwolke und da fehlt
mir die Dokumentation, ja.
-
Publikum: Applaus
F: Ich meine, vielleicht wollen wir ja
-
alle virtuelle Bürger von ich-weiß-nicht-
was werden. Ja, also vielleicht ist das ja
-
dann schön. Aber was man dann hat und was
man dann nicht hat, das wüsste man
-
eigentlich ganz gerne, aber das
wahrscheinlich wird man das
-
reverse-engineeren müssen
oder so, mmh?
-
R: Ich glaube, Machine Learning könnte
da helfen.
-
F: Ja. Machine learning to the rescue!
Vereinzeltes Gelächter
-
Apache Struts war glaube ich bei Equifax
angeblich die Vulnerability, die dafür
-
gesorgt hat, dass die aufhebelt worden
sind. Das ist sowas änliches wie die
-
SCHUFA in den USA; einer von den großen
drei, mit ungefähr 150 Millionen
-
amerikanischen Datensätzen plus ungezählte
in England und ein, zwei anderen Ländern.
-
Also, komplette Profile. Cellebrite...
"Cellebrit", "Celebrite"?
-
(Ist sich der Aussprache unsicher)
R: "Cellebrite."
-
F: ...war deswegen ulkig, weil das ja
eine... Wie nennt man sowas?
-
R: Das ist so ein Dienstleister, der
Regierungen dabei hilft, anderer Leute
-
Telefone aufzumachen. Kann man wohl
einfach so sagen.
-
F: Genau, eine Überwachungsfirma. Aber die
ist ja zur Überwachung da und nicht zum
-
Schutz von Daten. 900 GB waren das.
R: Wahrer Datenreichtum.
-
F: Ja, wahrer Datenreichtum. Und viel
einfach so AWS buckets voll mit Zeug. Die
-
Republikaner haben auch ungefähr 198
Millionen Datensätze verloren und die
-
Frage ist: Wie viel ist denn das? Und die
Antwort ist das war einmal alles, ja,
-
einmal alle Wähler, ja. Und 1,1 Terabyte
Daten zugreifbar, 24 Terabyte Daten nicht
-
zugreifbar. So, ist das jetzt
bemerkenswert? Naja, kommt darauf an,
-
womit man das vergleicht, weil das ist ja
2015 schon mal passiert und damals waren
-
das weniger Daten, weil was hatten sie
damals noch nicht hinzugefügt zu ihren
-
Wählerdaten? Na die Information darüber,
welche Hautfarbe jemand hat und welche
-
politische Einstellung er hat. Das ist
jetzt aber dabei bei den Daten, die da
-
weggekommen sind. Also man sieht, wie sich
das weiterentwickelt, das wird dann für
-
Targeting benutzt, hat es geheißen und das
ist die Richtung, das kann man so raus
-
extrapolieren. Wir sehen mit Freude, dass
auch Ransomware ganz vorne dabei ist bei
-
Crypto.
R: Genau, also ordentliche Crypto Routinen
-
zu verwenden. Allerdings gilt auch bei
Ransomware: Crypto Implementierung sind
-
schwierig, also lieber die
Referenzimplementierung verwenden, wenn es
-
möglich ist. Jedes mal, wenn man es selber
macht geht's eigentlich schief. Oder
-
andersrum, wenn man sagt okay, man steht
nicht so auf ungefragte Crypto-Sicherheit
-
für seine eigenen Daten mit den Keys
anderer Leute, dann sollte man sich
-
wünschen, dass Malware-Authoren in der
Informatik Vorlesung nicht aufgepasst
-
haben und einfach sich irgendein Crypto-
Aalgorithmus ausdenken, das dann viel
-
lustiger. Also Vollbit-Verschlüsselung
ist eine tolle Sache.
-
Publikum: Applaus
F: Genau, überhaupt sehen wir ja so eine
-
Entwicklung und die Entwicklung orientiert
sich an dem, womit man Geld machen kann,
-
also ich glaube das haben wir letztes oder
vorletztes Jahr festgestellt, dass
-
Ransomware im Moment eins der
Geschäftsmodelle der Wahl ist, weil man
-
halt so Geld verdienen kann. Aber es gibt
da so ulkige Dinge wie WannaCry, wo das ja
-
nicht so richtig funktioniert hat und
andere, die danach kamen und wo sich eh
-
die Frage stellte, ob das echte Ransomware
war oder nicht einfach Wyper, also die die
-
Aufgabe hatten, die Rechner unbrauchbar zu
machen.
-
R: Und diese Ungewissheit ist eigentlich
strategisch ziemlich clever, weil wenn du
-
halt denkst "So ok, hey, ist ja nur eine
Ransomware, kann ja nicht so schlimm sein"
-
und dann feststellst, dass diese
Ransomware gar keinen Customer Support
-
hat, also dass das Payment einfach nicht
funktioniert und irgendwie da auch keine
-
Keys kommen und das es irgendwie keine
Hotline gibt, die man anrufen kann; also
-
es gibt ja so gewisse Standards für
ordentliche Ransomware. Also erstens so
-
Payment muss funktionieren, so zweitens
der Turnaround, mit dem man den Key da
-
raus bekommt, der muss in Ordnung sein, so
drittens man braucht halt irgendwie die
-
Digitalwährung der Wahl, muss halt einfach
erreichbar sein, ob jetzt in Bitcoin oder
-
Monero oder was auch immer. So, also haben
sich so gewisse Industriestandards
-
etabliert, an die man sich eigentlich als
Malware-Author, also als Ransomware-Author
-
halten sollte. Und so Abweichung von
diesem Industriestandard, also non-
-
compliance, kann man auch sagen, sind
eigentlich dann doch mittlerweile so'n
-
Indikator dafür, dass es entweder totale
Stümper sind, oder eine andere Absicht
-
dahinter steht. Und diese Frage zu
beantworten fällt halt nicht immer so
-
leicht, weil es gibt da draußen auch
wirklich Stümper.
-
Publikum: Gelächter
F: Tja, nicht jeder weiß was er tut. Aber
-
da ist so dieses schöne Thema
Kundensupport und wie wir alle wissen sind
-
Kunden anstrengend und man will mit ihnen
eigentlich nichts zu tun haben und
-
deswegen werfen sich alle gerade mit so
großer Begeisterung auf Coin-Miner, ja,
-
weil das dann wieder, da wird die
Rechenleistung einfach von dem
-
übernommenen Computer verwendet um Coins
zu generieren. Die werden dann nach Hause
-
geschickt und die kann man dann
hoffentlich in Geld umtauschen und muss
-
überhaupt den Leuten am Telefon nicht
erklären, wie sie jetzt Bitcoins kaufen.
-
Also extrem günstig, ja, die ganze
Operations wird viel billiger auf diese
-
Art und Weise.
R: Also, diese...
-
F: Und Ransomware hat glaube ich irgendwie
ein Drittel, ein Drittel der Malware ist
-
irgendwie
Ransomware, Stand irgendeine Studie von
-
Mitte des Jahres, oder August oder sowas
und jetzt bin ich mal gespannt wie schnell
-
sich Coin-Miner entwickeln werden, weil
da die Ggesamtkosten einfach günstiger
-
sind.
R: Also ist eigentlich dann so die Frage,
-
jetzt wo wir ja so viele neue Coins haben,
also es gibt ja quasi jede Woche noch ein
-
paar Dutzend neue Coins, wie viel davon
Coins sind, die Ransomware friendly sind.
-
Weil wenn man sich so ein bisschen
überlegt so wie, so Rasomware hat ja so
-
wenn man mal an Mobiltelefone denkt, so
bestimmte Beschränkungen, also man kann ja
-
denn nur abends minen, wenn das Telefon am
Strom hängt und hat vielleicht auch nicht
-
so viel Bandbreite und so und will
vielleicht die CPU nicht übermäßig
-
belasten. Das heißt also eigentlich sollte
es doch möglich sein Coins zu designen,
-
deren Eigenschaften besonders Malware
friendly sind. Und dann ist natürlich die
-
interessante Frage: Wie entwickelt sich
dann deren Kurs? Oder gibt es vielleicht
-
auch sowas wie Ransom-Coinmining-ware?
"Dein computer gehört dir leider für die
-
nächsten zwei Wochen nicht, danach ist
wieder alles okay. Solange sind deine
-
Daten leider verschlüsselt"
F: "Und du darfst ihn nicht ausschalten."
-
R: Genau.
F: "Und wir wollen grünen strom."
-
Publikum: Gelächter und Applaus
-
F: Gut, ab und zu werden diese Bitcoins ja
beschlagnahmt, also WhateverCoins, ja, ist
-
immer nur ein Beispiel, beschlagnahmt und
dann stellt sich ja die Frage, wie geht
-
man damit um, so als Land, oder man darf
ja dann irgendwann beschlagnahmte Dinge
-
auch zu Geld machen. Und die erste Frage
ist natürlich ob dann, wie heißt das? Der
-
Bund der Steuerzahler, kommt und sagt
irgendwie "das hättet ihr aber viel später
-
verkaufen sollen!"
R: Oder früher, je nachdem. Und dann
-
hatte, also ich hatte dann so die Frage an
einem befreundeten Anwalt, so wie, so rein
-
rechtlich, wie ist denn das? Und der
meinte "ja ja, ist ziemlich lustig, da
-
wäre halt in Juristenkreisen eine Weile
darüber diskutiert worden, weil man dafür
-
natürlich noch keine Präzedenzfälle
hätte." So, also was macht man mit
-
sozusagen, ist ungefähr so wie, bewertet
man das jetzt so wie beschlagnahmte Aktien
-
oder so? Ist halt relativ selten, so,
kommt eigentlich selten vor und, um ganz
-
sicher zu sein, haben sie dann wohl auch
geprüft, wie es eigentlich ist, wenn man
-
bei so einer Vermögensbeschlagnahme noch
nicht eingelöste Lottoscheine
-
beschlagnahmt und das war dann eine
Analogie, die sie zu Bitcoin relativ
-
passend fanden.
Publikum: Gelächter und Applaus
-
R: Also die Antwort lautete "Ja klar, sie
können es dann halt verkaufen." Ist halt
-
also beschlagnahmtes Vermögen, kann
verwertet werden.
-
F: Gut, jetzt müssen wir aber reinhauen.
Das Bemerkenswerte aus 2017, also noch
-
mehr Bemerkenswertes aus 2017 waren diese
Bluetooth, Broadcom und andere Radio
-
Vulnerabilities und ...
R: Du meinst der andere Computer in deinem
-
Telefon?
F: Genau, dieses andere Betriebssystem mit
-
dem anderen Dingens, das da auch immer
noch überall drin steckt. Weil in jedem
-
Computer steckt ja inzwischen ein
Computer, der dann noch einen Computer
-
hat, auf dem noch ein Betriebssystem
steckt. Da gibt's auch was von Intel, ne?
-
Publikum: leichtes Gelächter
F: Lass mich überlegen, ich weiß, ich weiß
-
es fällt mir gleich wieder ein. Intel ME.
Das, wofür steht das noch gleich? Für,
-
für, ich weiß es, ich weiß es: Minix
Embedded.
-
Publikum: Gelächter und Applaus
F: Oder war es die Minix Engine, oder die
-
...
Zwischenruf: Malware Engine.
-
Publikum: Gelächter
F: Ja, naja. Okay, wir können den auch zu
-
tode prügeln.
Zwischenruf: Millennium Edition.
-
F: Die Millennium Edition, danke Publikum.
Publikum: Gelächter und Applaus
-
F: So, aber eigentlich wollte ich hierfür
noch ein kleines Mengendiagramm machen,
-
also Bluetooth, Broadcom, also WiFi, das
ist ja dann, wird ja dann lustig in dem
-
Moment, wo man eine gewisse Dichte
erreicht, ja, ihr habt die Menge aller
-
Bluetooth oder WiFfi
Sender-/Empfängeranlagen, ihr habt die
-
Vulnerabilities in diesen, ja, also die
Verwundbarkeiten, und dann die dritte
-
Menge ist wie dicht die nebeneinander
stehen. Ja, und das muss natürlich eine
-
gewisse Überlappung haben, damit es dann
von Punkt zu Punkt springen kann. Wann
-
werden wir das erreichen?
R: Hier?
-
Publikum: Gelächter
F: Ja, hier.
-
R: Bei wem ist das Telefon in der Tasche
gerade so ein bisschen wärmer geworden?
-
R: Wer kennt jemanden, dessen Telefon...
F: Genau, schauen wir mal. Nur einen Satz
-
hierzu: Es gab mal wieder einen Facebook
Schattenprofile-Artikel, was ich immer
-
witzig finde, weil das so selten hoch
poppt das Thema. Es gab auch keine neuen
-
Erkenntnisse. Facebook hat Schattenprofile
und wofür sie die verwenden, weiß kein
-
Mensch.
R: Doch.
-
F: Was mich irritiert hat war, dass in
diesem ganzen Artikel nicht ein einziges
-
Mal das Stichwort "Geburtsdatum"
auftauchte.
-
R: Also wofür sie verwendet werden ist
eigentlich ziemlich klar. Na sie werden
-
halt monetarisiert.
F: Gut.
-
R: Ja, interessant waren, also wir haben
ja so diese Rubrik so, wo man so morgens
-
irgendwie so News liest und denkt sich so
"Also eigentlich doch lieber vielleicht
-
irgendwas mit Holz oder Orchideen oder so,
nicht so dieses IT Security Ding so." Und
-
da waren in dieser, in diesem Jahr waren
da so einige dabei die halt so Sensor
-
Side-Channel Attacks waren, also wo man
Sensoren anders benutzt, als der Erbauer
-
dieses Sensors darüber nachdachte. Also
zum Beispiel diese DolphinAttack, bei der
-
man die Werbewanzen wie Alexa mit
Ultraschall dazu bringt Dinge zu tun, die
-
der Mensch gar nicht hört, also man hört
da als Mensch vielleicht nur so'n Pfeifen
-
und plötzlich bestellt Alexa eine große
Ladung Katzenstreu, oder so. Und da stellt
-
sich natürlich die Frage wie lange dauert
es eigentlich bis so Tiere, die halt zum
-
Beispiel auch Ultraschall absondern
können, also wie lange dauert es bis man
-
eine Fledermaus darauf trainiert
bekommt...
-
Publikum: Gelächter und Applaus
-
F: Welche Angriffsoberfläche bietet ein
Papagei, ne? Aber ich dachte wir hätten
-
geklärt, dass man das gar nicht braucht
mit dem Ultraschall, wenn man dafür sorgen
-
kann, dass der Furby das Katzenstreu
bestellt.
-
Publikum: Gelächter
F: Ja, dieses DolphinAttack ist schon
-
total irre. Da sind ja auch noch andere
Dinge wie man z.B. Machine Learning
-
überlisten kann, indem man in Bilder noch
weitere Informationen rein kodiert, die
-
ein Mensch nicht sehen kann, die die
Maschine aber sehen kann, ja. Auch schöne
-
Artikel darüber im Netz.
R: Ja, das war so mein Liebling dieses
-
Jahr. Ihr wisst ja Ethereum ist ja so ein
Smart Contract System, also die Idee, man
-
könne Verträge in Software gießen und das
wäre, soll eine gute Idee sein. Und so
-
nach, ich glaube mittlerweile über drei
Jahren, wo irgendwie diese Währung nun
-
schon irgendwie so diverse Dutzend
Milliarden Dollar virtuell Wert ist, kam
-
denn mal jemand auf die Idee, dass man
vielleicht mal gucken könnte, ob die
-
zugrunde liegende Programmiersprache,
nämlich dies Solidity, ob man darin auch
-
Sachen schreiben kann, die auf den ersten
Blick ganz normal aussehen, aber dann halt
-
irgendwie Dinge tun, wo man halt nicht so
ohne Weiteres sehen kann, dass sie die
-
ausführen. Und ...
F: Also Javascript?
-
R: Ja. Und das, die Bugs, die da submitted
wurden waren halt alle ganz schön
-
langweilig, also es war jetzt nichts
ernsthaftes dabei. Und...
-
F: Moment, die die öffentlich gemacht
wurden?
-
R: Oder, ja die die öffentlich gemacht...
F: Die, die eingereicht wurden?
-
R: Die eingereicht wurden.
F: Ich meine welcher Irre reicht etwas
-
ein, wo er weiß, dass es funktioniert.
R: Wenn der Preis irgendwie nur so ein
-
paar tausend Dollar sind.
F: Oder?
-
R: Ja, ist also ein klarer Fall von man
kann mit sowas auch zu spät sein. Der Bug
-
Bounty muss in irgendeinem Verhältnis zum
erzielbaren Gewinn stehen, den man halt
-
irgendwie, wenn man ihn einfach verwendet
hat und Ethereum ist da leider nicht so
-
weit vorne. Eine der schönsten Geschichten
wo so ein bisschen unklar ist, ob sie wahr
-
ist, war die Geschichte dieses Jahr von
der djane tor, der eine schöne Geschichte
-
auf einem Blog, einer Blogplattform
schrieb darüber, wie er angefangen hat
-
Plaste-Router, also die Plaste-Router-
Apocalypse quasi im Alleingang
-
aufzuräumen. Also halt sozusagen wie so
eine Art Batman oder so, der halt
-
irgendwie den, angefangen hat, dann
Plaste-Router en masse zu exploiten und
-
irgendwie vom Netz zu nehmen, damit sie
nicht als DDOS-Vehikel benutzt werden
-
können. Da gab es dann einiges an
Diskussion darüber, wie viel davon wahr
-
ist, wieviel nicht, was eigentlich auch
egal ist, eine schöne Geschichte. Und wir
-
wissen ja: die schöne Geschichte gewinnt
eigentlich immer. Und die interessante
-
Frage ist so, was passiert eigentlich wenn
man das Maschinen machen lässt. Also was
-
passiert, wenn es dann plötzlich eine KI
im Netz gibt, die einfach nur aus
-
pädagogischen Gründen angreifbare Kisten
aufmacht und runter fährt.
-
Gelächter
So, wir sind davon nicht allzu weit
-
entfernt. Ja also ich meine das ist halt
so ... so also ... Exploit Automation, das
-
ist mittlerweile eine ganze Ecke weit
gekommen und irgenwie so ein Ding einfach
-
ins Netz zu stellen, was nichts weiter
tut, als einfach dafür sorgen, dass
-
irgendwie Systeme, die am Netz sind die
halt irgendwie einfach angreifbar sind,
-
nicht mehr allzu lange am Netz sind. Ich
vermute, da werden wir relativ bald sein.
-
Applaus
R: Das ist nur mal so ein Datenpunkt. Ja,
-
es wurde ein Botnet gefunden: das
Starwars-Botnet mit 350.000 Accounts. Das
-
hat, scheint aber irgendwie nix gemacht zu
haben irgendwie auf Twitter. Und dann sind
-
wir hier bei der, bei der Steilvorlage für
dies hier, ja, also dieses, der, der
-
Roboter, der Ios... oder die KI oder was auch
immer Algorithmen-Sammlung, die losgeht
-
und selber Systeme angreift, für diese
Systeme, die sie zu verteidigen hat, auch
-
Patches produziert und die dann auch
einspielt. Dafür gibt es jetzt ein
-
OpenSource, eine OpenSource-Vorlage, die
rausgekommen ist aus dieser DARPA Cyber
-
Grand Challenge von dem Team Shellfish.
Schöne Artikel in der FRACK. Schaut euch
-
das mal an. Da ging es also bei dieser
Cyper Grand Challenge, ging es darum, eine
-
Maschine zu entwickeln, also ein, ein,
ein, ein Programm zu entwickeln, das dann
-
andere Programme angreift und eben auch
für die eigenen, zu schützenden Systeme
-
Patches produziert. Ja das macht dann, das
macht dann das mit den Plaste-Routern
-
klar, wenn wir Glück haben.
F: Ja, "Tote durch Autokorrektur" war so
-
ein Problempunkt, der dieses Jahr hoch
kam. Der Hintergrund ist, dass
-
zumindest ein Fall bekannt geworden ist,
wo die Autokorrektur in einer
-
Textverarbeitung den Namen von
Medikamenten replaced hat. Also in dem
-
Fall ging es halt um Antibiotika, die, wo
die Autokorrektur halt nur eines dieser
-
Antibiotika kannte, aber nicht das andere
und dann halt die das Wort korrigiert hat.
-
Dummerweise ist bei Antibiotika die
Auswahl dieses präzisen Medikaments
-
relativ wichtig, weil es durchaus eine
Menge Leute gibt, die so Allergien haben
-
oder Unverträglichkeiten haben die auch
gerne mal fatal sein können. Und wir haben
-
wir versucht, irgendwie raus zu kriegen,
wie weit dieses Problem so reicht, so. Es
-
geht ja noch ein bisschen weiter, also
nicht nur Autokorrektur, sondern so Ärzte
-
diktieren ja auch ganz schön viel und dann
haben wir mal gefragt, so: Siri wie viele
-
Leute hast du schon umgebracht?
Gelächter
-
Aber sie hat die Antwort verweigert.
Ich finde es sehr verdächtig.
-
Gelächter
R: Und Autowaschstraßen auch. 150 Stück
-
... also irgendein Autowaschstraßen-Typ
ist mal durchgetestet worden und, das, ich
-
glaube, die Videos davon durften dann
nicht veröffentlicht werden oder so. Aber
-
angeblich gibt es da schöne Videos, wie
die auf und zu fahrende Tür irgendwie
-
versucht, das Auto zu zertrümmern, das
gerade raus will aus der Waschstraße und
-
Aussagen von den Leuten, die das gemacht
haben, dass wenn sie es schaffen würden,
-
einen Menschen einzuklemmen mit der Tür,
dann könnten sie auch die Wasserstrahlen
-
korrekt ausrichten auf den ... Also die
Autowaschstraßen ...
-
F: Das wäre dann zwar kein perfektes
Verbrechen, aber immerhin ein sauberes.
-
GelächterApplaus
-
R: Genau, schauen wir mal nach Vorne.
-
Auf die letzten sieben Minuten, das wird hart.
Das Sensor- und Sensor-Qualitätsproblem:
-
Ist ja immer schön, wenn die Kameras immer
besser werden und ich glaube wir hatten
-
vor ein paar Jahren mal auf so eine App
hingewiesen, die alleine mit der Selfie-
-
Videokamera sehen kann, wie man atmet,
weil die einfach auf die Schatten achtet,
-
hier auf dem, auf der Brust, ja, und die
auch den Puls messen kann und zwar über
-
die Kamera, über das Pulsieren des Blutes
hier oben in den in den Wangen und solche
-
Sachen. Und die, was passiert hier? Die
Sensorik wird immer besser, die
-
Bildwiederholraten steigen und dann sind
wir jetzt bei dem Thema Micro-Expressions
-
aufnehmen und eben gucken, ob da einer
sich wohlfühlt, unwohl fühlt, nervös ist,
-
nicht so nervös ist, etc. Da geht jetzt
immer mehr und das wird auch nicht
-
aufhören.
F: Und diese, was dabei ebend rauskommt
-
sind so Sachen, wie, was wir gerade ebend
hatten mit Ultraschall und den
-
Werbewanzen: Dass bei etlichen Sensoren
man halt auch nicht mehr direkt sagen
-
kann, auf was die dann noch alles so
reagieren. Das heißt also, so etwas
-
surreal Sensor-Input wird auf jeden Fall
ein sehr interessantes Problem werden,
-
insbesondere, weil natürlich immer mehr,
wie hieß das schöne Wort, Cyber-
-
Pphysikalische Aktor Systeme, also sprich:
Dinge, die dich beschädigen können und von
-
einem Computer gesteuert werden, sich in
der freien Wildbahn befinden und die
-
werden natürlich von Sensoren gesteuert,
indirekt.
-
R: Genau und dann sind wir wieder bei dem
Thema "Was ist da eigentlich verbaut und
-
inwiefern wurde das gebaut mit dem Zweck,
für den es jetzt eingesetzt wird?" Es gibt
-
diesen schönen Spruch "Wir stehen auf den
Schultern von Riesen und können weiter
-
schauen, als die vor uns." Und das ist
halt so, wegen wie wenn ich die Library da
-
drüben einbinde dann habe ich jetzt tolle
Crypto, glaub ich. Ja und wenn ich diese
-
Library da drüben einbinde dann kann ich
jetzt einen Sensor, Ultraschallsensor
-
einbinden und er sagt mir, wie viele
Zentimeter Abstand das noch sind, bis zum
-
Fußgänger da vorne
F: Oder wenn ich..
-
R: glaube ich.
F: diese Library einbinde dann brauche ich
-
leider Internet, damit mein
Küchenthermometer mir die Temperatur
-
anzeigen kann, weil es leider sich seinen
Fung(?) von Google holt, aber dafür
-
schafft man es möglicherweise eine
Temperatur- und Feuchtigkeitsanzeige unter
-
zehn millionen Zeilen Code zu bauen.
Gelächter
-
F: Vielleicht.
Applaus
-
R: So und, also wir stehen da schon auf
den Schultern von Riesen und können weiter
-
schauen als Andere und das heißt ja auch
immer "Don't roll your own crypto", ja,
-
mach deine Crypto-Software nicht selber,
nimm ne Library, die gut ist, aber wer
-
patcht die denn dann später mal? Und das
ist eben das Problem: Die Riesen sind
-
nicht so, die sind nicht so gesund. Die
haben vielleicht nur ein Auge, ja, und
-
stehen eigentlich auf Krücken, aber das
ist so schlecht zu sehen, weil die
-
Hosenbeine so lang sind. Weiß auch nicht,
also da fehlen mir so ein bisschen die
-
Bilder, aber letztendlich, irgendwie, die,
wir stehen vielleicht gar nicht auf den
-
Schultern von Riesen, sondern mehr so ...
F: Kartenhäuser?
-
R: Kartenhäusern. Müllhalden?
F: Ja, die hat die Allwissende Müllhalde,
-
wir stehen auf den Schultern der
Allwissenden Müllhalde, ich glaube das ist
-
die richtige Analogie dafür.
Applaus
-
R: So, und jetzt kommt, jetzt kommt die
schlechte Nachricht: Das ist das Best-Case
-
Szenario. Weil wir haben auf diesem
Congress schöne Beispiele dafür gesehen,
-
was passiert wenn einer sagt "Riesen? Die
sind mir zu teuer! Der ist außerdem zu
-
groß! Und der isst so viel!"
F: "Und ist ein Riese, der ist gar nicht
-
von hier."
R: "Ja, ich lehne ja Riesen grundsätzlich
-
ab, aus religiösen Gründen." Oder, oder
"Ich will auch ein Riese sein! Ich will
-
auch ein Riese sein! Du bist nur 1,30, das
das das ist diskriminierend!" Also, wenn
-
dann jemand auf die Idee kommt, dass er
das einfach selber implementieren kann,
-
weil wie schwer kann das sein, ja, so'n
Bezahlsystem zu implementieren, wie schwer
-
kann's denn sein?
F: Hey, man könnte ja Mifare-Classic dafür
-
benutzen.
Gelächter
-
F: Ist schon da. Funktioniert ganz super.
Applaus
-
R: Und Classic heißt doch eigenentlich, es ist ein Klassiker und Klassiker sind doch immer gut, oder?
-
F: Gut abgehangen. Gut abgehangene Riesen.
R: Genau.
-
F: Also dieses Problem, was passiert, wenn
wir anfangen mit Machine Learning auf den
-
Menschen loszugehen begleitet uns ja
diesen ganzen Congress so ein bisschen,
-
so, seit der Keynote von Charles Dross
hier und wir haben das halt auch das ganze
-
Jahr so in den Vorhersagen für nächstes
Jahr gesehen, so es gibt ja diese Youtube-
-
Videos dieser autogenerierten Kinder-
anfix-Videos und wir haben da, glaube ich,
-
den Anfang überhaupt noch nicht gesehen.
Wir wissen, also wenn wir uns es jetzt mal
-
die Technologie-Komponenten überlegen: Wir
haben mittlerweile ziemlich gute Text-to-
-
Speech und relativ gut funktionierendes
Speech-to-Text und das heißt also mit
-
einer Maschine telefonieren, das erste
mal, dass wir mit einer Maschine
-
telefonieren wird wahrscheinlich ein
Werbeanruf sein, der dich anruft und
-
sagt...
Publikum: Hatte ich schon!
-
F: Oh, gab's schon? Und war's okay,
oder..?
-
Gelächter
F: Hatte sie Verständnis mit dir?
-
R: Also, was ich glaube, das wird daran
scheitern, dass kein Mensch mehr sein
-
Telefon zum telefonieren benutzt.
Applaus
-
F: Ja, dieses "Daten sind das Öl, oder was
auch immer, des einundzwanzigsten
-
Jahrhunderts" war ja so letztes Jahr so
einer dieser Sprüche, über die wir uns
-
doch so ein bisschen irgendwie den Kopf
gekratzt haben, so als was war jetzt an Öl
-
eigentlich so gut, ja? Wir haben irgendwie
angefangen darüber Kriege zu führen, wir
-
haben damit unseren Planeten im
wesentlichen vernichtet..
-
R: Also eigentlich schreiben sich die
Witze von selber, ja, also Daten sind das
-
Öl, oder was auch immer, des
einundzwanzigsten Jahrhunderts, ok, also
-
das mit den Kriegen ist klar, so, wir
werden die Ozeane damit voll müllen... Was
-
ist denn da das Äquivalent? AWS Buckets?
Gelächter
-
Einruf aus dem Publikum
F: Und die, naja, also also Halver hat da
-
was schönes neulich geschrieben. Der
meinte so, also Daten sind zwar, also sind
-
eigentlich nicht so sehr das Öl des
einundzwanzigsten Jahrhunderts,
-
Daten sind mehr so wie so'n,
-
so das Fass, irgendwie, mit brennendem
Benzin, was du im Vorgarten stehen hast
-
und man kann sich zwar ein bisschen daran
wärmen, aber sonst hat's nur Nachteile.
-
GelächterApplaus
R: Man kann das auch noch weiter spinnen,
-
nicht, wenn Data the new oil ist, dann ist
ja Data auch the new snake oil...
-
Gelächter
R: und da sind wir dann wieder beim Thema
-
Statistik ist hart, also das, was man aus
Daten rauslesen kann, das muss man auch
-
erstmal können und wenn man das eben nicht
kann, dann kann man einem mit Daten ja
-
auch alles mögliche verkaufen. Ja, und was
ist dann Zucker im Tank?
-
F: Hmm.
R: Hmm...
-
Wir haben da noch ein bisschen was.
F: Social Media Facelifting wird
-
sicherlich, also wird ja zum Teil schon
betrieben. Es gibt da so Professionals,
-
die einem so den Instagram Account
aufhübschen und dafür sorgen, dass man
-
irgendwie schön und beliebt aussieht. So,
zusätzliche, alternative IDs werden immer
-
wichtiger, weil, also es gibt da so
Länder, wo man zum Beispiel halt irgendwie
-
Schwierigkeit hat in ein Hostel
einzuchenken, wenn man keine Facebook-ID
-
hat und da will man natürlich eine
besonders schöne, gecleante,
-
disneyfizierte, familienfreundliche,
unkontroverse ID für haben. Die braucht
-
man dann wohl.
R: Genau. Und für die, die das nicht
-
kaufen wollen, die können sich ja dann
eine App zulegen, die das, die ihnen dann
-
dabei hilft ihr Social Score Management zu
optimieren, am besten AI-gestützt, oder?
-
Vereinzelter Applaus
R: Ich mein, China steigt da jetzt voll in
-
das Thema ein, oder?
F: In diese Social Score Geschichte, ja.
-
R: Und dann wird der Social Score benutzt,
um zu gucken, ob man einen Kredit kriegt
-
oder nicht, weil mit Geld kriegt man ja
die Leute und da soll dann alles mögliche
-
rein, so auch was die Regierung gerne
hätte, im Sinne von wenn einer ein Parking
-
Ticket nicht bezahlt hat, dann ist das
sehr viel schwerwiegender, als wenn er
-
seine letzte Telefonrechnung nicht bezahlt
hat.Und jetzt habe ich auch was gehört
-
von, von Gesundheitsdaten sollen da auch
einfließen. Und dann fragt man sich ja
-
immer: Was werden die Konsequenzen daraus
sein? Und die Antwort da ist klar
-
Schokolade-Schwarzmarkt.
Gelächter, Applaus
-
F: Also angesichts der Arbeitsteilung am
Malware-Sektor, wo man sich dann mal
-
fragt, okay, die machen irgendwie das
Backend und irgendwie das Payment, und
-
dann gibt es noch irgendwie die
Command-&-Control-Leute, und dann gibt es
-
die Leute, die die Exploits bauen und
denen die eigentlichen Dropper bauen und
-
irgendwie die sagen, wo es hin und her
gehen soll. Es wird da mittlerweile so ein
-
richtig komplexes Environment. Und wir
vermuten, dass es das schon gibt: den
-
Malware-Wertschöpfungsketten-Prüfer. Weil
jeder dieser Arbeitsteile kriegt ja was
-
davon ab, von dem Coinminer oder was auch
immer der gerade deployt hat. Das heißt
-
also, der ... Das muss man ja auch
irgendwie auditen. Also man hat ja,
-
braucht so Standards. So die Compliance im
Malware-Sektor wird sicherlich ein großer
-
Arbeitsmarkt werden. Also ... Die haben ja
auch immer gesagt, so dieses: "Ja,
-
Automatisierung ist nicht so schlimm, weil
es wird ja neue Arbeitsplätze geben." Und
-
möglicherweise sehen wir hier gerade den
Anfang von sowas. So neue Arbeitsplätze,
-
an die wie früher noch nicht dachten. So
Compliance-Auditor im Malware-Sektor.
-
Gelächter, Applaus
F: Ja das ist so ne ...
-
Gelächter
R: So, wo ist ...
-
Applaus
R: Der IoT-Geisterjäger, ja? Und wir
-
hatten letztes jahr den IoT-
Wünschelrutengänger. Ein IoT-
-
Wünschelrutengänger ist einer, der die
IoT-Geräte findet, die überhaupt da sind,
-
ja? So und der Geisterjäger ist, wie Ihr
aus den Filmen wisst, derjenige, der die
-
dann einfängt auf eine Art und Weise, wo
man dann sie noch hinterher analysieren
-
kann. Also ich meine, wenn, wenn, wenn so
ein Gerät mit Malware, also ein IoT-Gerät
-
mit Malware befallen ist und man dann
rauskriegen will, was da eigentlich Böses
-
drauf läuft, dann darf man da ja nicht den
Stecker ziehen. Weil dann ist es ja weg.
-
Heißt, man braucht da so einen
Strahlungskreuzungs... nee,
-
Entschuldigung,
F: Nicht die Strahlen kreuzen! Das ist so
-
wie bei 230 Volt, linke Leitung, rechte
Leitung, ist wie Strahlen kreuzen, nicht
-
Strahlen kreuzen.
R: Genau. 5 Volt, 12 Volt
-
Gleichstromdinger ... Muss man das
abgreifen können, um das rauszutragen, um
-
dann den Speicher auszulesen und ...
F: Na also diese, dieses ...
-
R: Das könnt ihr dann in der
Verwandtschaft üben. Also ich finde ja
-
immer Jobs gut, wo man klein anfangen
kann, ja?
-
F: Genau. Erstmal das Sample auf dem
Plasterouter bei der Verwandtschaft
-
isolieren, damit man schon mal für später
üben kann. Auch unter ...
-
R: Das sind alles gebrauchte Jobs, ja?
Industrie 4.0 kommt.
-
F: Guten Tag, ich muss gerade mal Ihr
Fertigungscenter mitnehmen.
-
Gelächter
Ja und ich muss den Drehstrom dran lassen,
-
damit die Malware drauf bleibt. Ich brauch
das Sample.
-
Gelächter, Applaus
F: Ja, Quantencomputer in Silizium. Wissen
-
wir natürlich nicht, ne? Also
Quantenunschärfe kennen wir ja, ne? Also
-
das ist halt irgendwie schwer zu sagen,
ob's jetzt nun kommt oder nicht. Aber
-
zumindest sieht's so aus, als wenn wir
nächstes Jahr da mehr Fortschritt sehen
-
könnten. Wenn es da nicht fundamentale
Probleme gibt, mit denen wir heute noch,
-
also heute noch nicht wissen, ob sie
lösbar sind. Also insbesondere, ob das
-
Rauschen in den Griff zu bekommen ist.
Aber wenn das passiert, könnte es sein,
-
dass wir nächstes Jahr relativ große
Fortschritte daran sehen, dass man
-
Quantencomputer mit traditionellen
Fertigungsmethoden der Halbleiterindustrie
-
bauen kann. Oder zumindest irgendwas, was
sich so anfühlt und so aussieht, wie ein
-
Quantencomputer. Mal gucken. Dann haben
wir so ein bisschen rumgefragt und gefragt
-
so: Was geht denn so nächstes Jahr schief,
so? Ne? Also was sind denn so die Sachen,
-
die wo bei Crypto halt jetzt irgendwie
noch so die nächsten Apokalypsen drohen
-
werden? Und die Antwort war eigentlich so
von allen, die wir so gefragt haben, die
-
früher auch schon mal für so kleine
Apokalypsen gesorgt haben. Also es wird
-
halt mehr so was wie Bleichenbacher geben,
es wird halt mehr schlechten Zufall geben,
-
insbesondere auch gerne in Hardware
implementierten schlechten Zufall. Wir
-
erinnern uns an dieses kleine Problem mit
Infineon und Estland dieses Jahr.
-
R: Zusammengefasst kann man sagen: Was
gibt es Neues? Es gibt nix Neues. Das Alte
-
ist noch nicht alle.
F: Ja.
-
Gelächter, Applaus
F: Der Cloud-Exorzismus ist natürlich
-
etwas, was man ... Also wir haben ja so in
den letzten Jahren immer wieder so gesagt,
-
ok, man braucht dann so Altenheime für
Geräte, die halt irgendwie mit dem
-
Internet nicht mehr so ganz klarkommen.
Und mittlerweile haben wir bei Hardware,
-
wo man sagt: "Eigentlich geile Hardware!",
also zum Beispiel halt so 'ne Werbewanze,
-
so 'ne Alexa ist ja eigentlich ganz geil.
So schicke Mikrofone, ordentlicher
-
Lautsprecher, dicker Prozessor, so. Leider
mit diesem lästigen
-
Nach-Hause-telefonieren-Problem. Und da braucht man
eigentlich so'n Exorzisten, der dann mit
-
dem Kreuz dafür sorgt, das Ding halt sich
seine schlechten Gewohnheiten, seine
-
schlechte Seele entweicht und man ihm eine
neue Seele ...
-
R: Genau, wir haben das hier noch unter
der Abteilung Sport, weil wir noch nicht
-
sicher sind, dass man sich damit, dass man
damit wirklich eine Familie ernähren kann,
-
ja? Wenn ihr euch noch mal den Vortrag
anschaut über den Staubsaugeroboter
-
aufmachen, hier, wo man dann sehen kann,
dass Staubsaugerroboter bessere Security
-
haben als manche Banken.
Gelächter, Applaus
-
Da ging es ja auch um das Thema "Wie macht
man da die Cloud raus?", weil das Gerät
-
ist vielleicht gar nicht so schlecht. Und
ja, das wird noch mehr werden. Und wenn
-
man das dann einmal gemacht hat, dann kann
man daraus vielleicht auch ein
-
Geschäftsmodell, das von Sport upgraden in
Richtung Geschäftsmodell, dass man dann
-
sagt: "Ich hätte gerne den Staubsauger,
aber ohne Cloud." Und keine Ahnung, ob man
-
den dann da kauft und dann da einschickt,
um die Cloud entfernen zu lassen, oder ob
-
das mit Hausbesuchen funktioniert, ja?
Oder mit Fernwartung, oh nein ...
-
Gelächter, Applaus
F: Oder mit so kleinen Prothesen, ja?
-
Also sozusagen wie so ein Aluhut,
der die Cloud fernhält.
-
Gelächter
R: Genau. Ja also, da geht was.
-
Tja und die letzte Sache war ...
F: Sind ja relativ viele Bitcoins, die da
-
draußen sind, von denen Leute sagen, so –
ich habs aufm Kongress schon so glaub
-
ich fünfmal gehört, so – "Ja, eigentlich
habe ich ja auch noch ein paar." Aber
-
entweder ist die Platte kaputt, man weiß
nicht mehr, wo die Platte ist, ja ok. Und
-
dann gibt es auch eine ganze Menge: "Ich
kann mich echt ums Verplatzen nicht mehr
-
an diese Passphrase erinnern."
Gelächter
-
Und nun muss man dazu sagen: Hypnotiseur
ist im Gegensatz zu Rechtsanwalt ein
-
Beruf, bei der es irgendwie nicht nur eine
Tarifierung nach Stundensatz geben kann.
-
Da ist eine Erfolgsbeteiligung möglich.
Gelächter, Applaus
-
R: Genau. Damit sind wir schon rum.
Wünschen euch allen einen guten Weg nach
-
Hause und wie immer einen schönen Rutsch
in das Jahr 1984.
-
Applaus
-
Untertitel erstellt von c3subtitles.de
im Jahr 2019. Mach mit und hilf uns!
