27C3 – Tag 4 – Abschluss

Ein WLAN Roaming Bug von Mac OS X, wenn 802.11n MCS0 am Cisco Wireless Controller disabled ist, liess Mac Laptops am WLAN grad reihenweise abstürzen.

Ein WLAN Roaming Bug von Mac OS X, wenn 802.11n MCS0 am Cisco Wireless Controller disabled ist, liess Mac Laptops am WLAN grad reihenweise abstürzen.

Schliesslich ist auch die Zusammenfassung des vierten und letzten Kongresstages fertiggestellt worden. Der letzte Tag war gespickt mit interessanten Vorträgen, von denen ich hier nur einen kleinen Auszug geben kann. Im Hauptsaal begann der Tag mit dem Vortrag “OMG WTF PDF” von Julia Wolf, in dem sie eindrücklich das Hackpotential des Portable Document Format (PDF) von Adobe Systems aufzeigte. Das hauptsächliche Problem beim PDF liegt darin, dass die grundlegende Spezifikation aus den 1990er stammt und viele Features (bzw. Bugs) beinhaltet, die von sich aus unsicher sind oder in Kombination mit den heute verfügbaren Möglichkeiten die Sicherheit eines Systems kompromittieren können. Als ungefähres Mass für das Code-Chaos vergleicht Wolf die Anzahl der Code-Zeilen von Adobe Acrobat mit anderen Programmen: beinhaltet Mozilla Firefox 3.5 rund 2,7 Millionen Code-Zeilen, sind es bei Linux 2.6.32 zwischen 8 – 12,6 Millionen (je nach dem wer zählt) und bei Adobe Acrobat sage und schreibe 15 Millionen Code-Zeilen. Ein gutes Beispiel für unverhoffte Funktionalität ist die Einbindung von Javascript, welches aus dem PDF-Dokument heraus Schreibzugriffe auf die Festplatte und das Ausführen von Programmen ermöglichen kann. Zwar wurde einige dieser Sicherheitslücke in der neusten Version des Adobe Acrobat Readers geschlossen, doch immer noch sind viele alte Versionen im Umlauf (mal abgesehen von den PDF-Readern, die nicht von Adobe stammen). Die wenigsten wissen, dass in ein PDF auch OpenGL, Datenbank Connectivity (ohne Gewährleistung irgendwelcher Sicherheit für die Datenbank), Adobe Flash, Sound- und Videodateien eingebunden werden können. Die Vermischung von PDF- und ZIP-Dateien wäre eigentlich nicht vorgesehen, Wolf zeigte jedoch an einem praktischen Beispiel, wie es durch die Ausnützung der fehlenden Überprüfung des korrekten Datei-Format von ZIP und PDF trotzdem gelingt. Wird ein solches “Zombie-Datei” mit einem PDF-Reader geöffnet, so erscheint der Text – mit einem Unzipper geöffnet wird der Inhalt des ZIP-Datei entpackt. Solche Datei-Vermischungen gelingen auch mit GIF-, JPEG- und EXE-Dateien. Interessanterweise werden viele Computerschädlinge in PDF-Dateien von Antiviren-Programmen nicht entdeckt. (Videomitschnitt)

Annalee Newitz ist eine amerikanische Journalistin und Chefredakteurin des Blogs io9, welches sich mit Technik und Science Fiction befasst. In den USA verlieren die klassischen Massenmedien Marktanteile an alternative und neue Medien. Wie es auch bei der Musik- und Filmindustrie zu beobachten war, sind die grossen Medienkonzerne nicht flexibel genug, sich den neuen Herausforderungen zu stellen und bejammern den anscheinend sterbenden Journalismus. Newitz ist nicht dieser Meinung, sondern glaubt, dass sich der Job des Journalisten bis 2050 verändern wird. Sie sieht insbesondere drei Tätigkeitsfelder, welche durch den Journalisten der Zukunft erledigt werden:

  • Developer- oder Hackerjournalisten: sie erstellen Programme zum Finden und Analysieren von Daten und zur Verbreitung von Neuigkeiten. Ushahidi kann beispielsweise als Produkt dieser neuen Berufssparte genannt werden oder das Perl-Skript eines Wired Journalisten zum Auffinden von Myspace-Profile von Triebtäter in den USA. Hackerjournalisten sind vergleichbar mit den frühen Kriegsfotografen, welche noch eigene Methoden und Techniken zur Entwicklung ihres Filmmaterials an ihrem Einsatzort entwickelten. Sie boten damals der Öffentlichkeit erstmals ein realistisches Bild des Krieges und prägten den Journalismus nachhaltig.
  • Data Mining Reporter: sie beschaffen, pflegen und analysieren Daten (womöglich mit den Tools der Hackerjournalisten). Ein typisches Beispiel dafür ist der Datablog des Guardiens, welcher Datenmaterial beschafft, aufarbeitet, analysiert und zur Verfügung stellt. Zum Data Mining Journalismus könnte auch Wikileaks gezählt werden, wobei Wikileaks jedoch die Analyse der Daten Drittpersonen überlässt. Data Mining Reporter sind vergleichbar mit den Muckraker, einer sehr frühen Form des investigativen Journalismus.
  • Crowd Engineers: sie erfassen und bearbeiten Fakten bzw. Meinungen vieler Personen. Als Beispiel kann die Nachrichten-Verdichtung genannt werden, wie sie Reddit oder Digg machen. Bei diesen beiden Plattformen können Benutzer Artikel bewerten, was schliesslich zu einer Rangliste der Wichtigkeit der Nachrichten führen soll. Gemäss Newitz gehören auch Forums- und Kommentar-Moderation zum Crowd Engineering, weil mit der Durchsetzung von sozialen Regeln ein wirklicher Meinungsaustausch sichergestellt wird und sich Spammer sowie Trolle nicht durchsetzen können.

Journalism brings truthful information and conscientious analysis to the public, so that individuals can make informed decisions about their lives and communities. It is an independent monitor of power. — Definition von Journalismus gemäss Annalee Newitz, adaptiert von “The Elements of Journalism” von Bill Kovach and Tom Rosenstiel.

Bereits das elfte Mal präsentierten Frank Rieger und Ron die Security Nightmares, liessen dabei Sicherheitslöcher des Jahres 2010 Revue passieren und prognostizieren noch kommende Sicherheitsprobleme. Das E-Governement nimmt zu – wenn die Anzahl der verlorenen Daten als Massstab herangezogen werden. Nachdem England lange vorne lag, hat sich die USA beim Datenverlieren an die Spitze gesetzt. Mit den Daten, die bei Nacktscannern erhoben werden (natürlich können Bilder gespeichert und transferiert werden), wurden neue Felder des Datenverlierens erschlossen (vgl.: “One Hundred Naked Citizens: One Hundred Leaked Body Scans“, Gizmodo, November 2010). Im Mai 2010 wurde ausserdem bekannt gegeben, dass die Phishing-Fälle in Deutschland 2009 zugenommen haben. Insgesamt wurden 6’800 Fälle von Identitätsdiebstahls festgestellt. Dazu zählen neben der Übernahmen von Konten in sozialen Netzwerk auch das Ausspähen von E-Mail-Kontodaten und Kreditkartendaten. 2’923 Fälle betrafen das Online-Banking, wobei die durchschnittliche Schadenssumme bei 4’000 Euro lag (Quelle: “BKA: Phishing-Fälle haben weiter zugenommen“, Heise, 12.05.2010). Im letztjährigen Security Nightmares prognostiziert, ist die Zerlegung von GSM auch tatsächlich eingetroffen. Nicht eingetroffen sind die prognostizierten Spielereien mit der Stromversorgung von Neubauten. Eigentlich hiess es 2009, dass für Neubauten in Deutschland ab 2010 intelligenten Stromzähler zwingend seien, bis anhin wurde dies jedoch nicht umgesetzt. Die Drone für den privaten Gebrauch machten 2010 unvorhersehbare Fortschritte: Die Firma Parrot bietet für rund 400 SFr eine komplette Drone mit zwei Videokameras, Ultraschall-Höhenmessung, Wireless-Steuerung mittels iPod touch, iPhone oder iPad und mit installiertem Linux an. Nach dem diese Drohne drei Monate lang in Deutschland zu kaufen war, stellte die Deutsche Bundesverbraucherministerin Ilse Aigner fest, dass sie die Nutzung dieser Drohne zu privaten Zwecken für eine rechtliche Grauzone halte. Im Gespräch mit der Deutschen Presseagentur in Berlin sagte sie, dass Drohnen früher nur militärisch genutzt wurden, dass künftig jedoch auch der Einsatz ziviler Drohnen an Bedeutung gewinne, beispielsweise für Luftbilder. Angesichts der Flugdauer der “Parrot AR.Drone” von rund 12 Minuten scheint der Vergleich momentan noch etwas weit hergeholt. (Videomitschnitt)

Der 27. Chaos Communication Congress wurde wie gewohnt hervorragend vorbereitet und durchgeführt. Alle verfügbaren 4’000 Tickets wurden verkauft, wobei sich maximum rund 3’000 Besucher im Gebäude aufhielten, was ungefähr dem maximalen Fassungsvermögen des Berliner Congress Centrum entspricht. Weil wegen dem Ticket-Vorverkauf nicht alle Interessierten am Kongress teilnehmen konnten, wurden die Vorträge an 31 organisierten Treffen in Deutschland und 18 im Rest der Welt gestreamt. Natürlich konnte auch jeder von zu Hause aus den Vorträgen via Stream mitverfolgen. Durchschnittlich verzeichnete der Videostream 1’200 Clients, wobei ein Spitzenwert von 5’807 Clients erreicht wurde. Im eingerichteten Kindergarten wurden 12 Kinder betreut und der älteste Teilnehmer am Kongress war 86 Jahre alt.

Weitere Informationen

Pressereviews

This entry was posted in Gut zu wissen.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Comment Spam Protection by WP-SpamFree