"Interaktive Lichtinstallation „AllColoursAreBeautiful“ erstmals in Farbe – Projekt aus Kunst und Wissenschaft kommt nach München. Der Chaos Computer Club (CCC) lädt am 10. August 2010 zur Einweihung.

Der CCC München bringt das ehemalige Kaufhaus in der Tegernseer Landstraße 64 zum Leuchten: Die Fassade wird zu einem interaktiven Bildschirm, der über das Internet gesteuert wird. Über eine Webseite können Menschen aus der ganzen Welt ihre eigenen Texte, Bilder und Animationen auf der Hauswand abspielen."
Click

Ein interessantes TAZ Interview mit Constanze Kurz (CCC)

"Am Freitag Vormittag machen die Internetausdrucker Ernst: Der erste deutsche Zensurvertrag soll unter Dach und Fach gebracht werden. Wir wollen dabei und präsent sein, wenn die größten deutschen Internetprovider händchenhaltend mit Bundesfamilienministerin Ursula von der Leyen den Vertrag unterzeichnen werden, mit dem sie sich ohne jegliche gesetzliche Grundlage verpflichten, unliebsame Inhalte nach Gutdünken des Bundeskriminalamtes (BKA) zu sperren und zu filtern.

Die Internetanbieter werden dabei knallhart erpresst: Um nicht in einem Atemzug mit Kinderschändern erwähnt zu werden, sollen sie am offenen Verstoß gegen das Grundgesetz mitwirken. Dabei soll es vorerst nur um die Erschwerung des Zugangs zu strafbaren Inhalten gehen. Zur Erweiterung des Systems auf die Zensur beliebiger anderer Webseiten ist lediglich eine Anpassung der Filterliste notwendig.

Jeder weiß, dass Kindesmissbrauch mit den geplanten Geheimlisten nicht bekämpft werden kann. Auch die Verbreitung von Bildern und Filmen missbrauchter Kinder ließe sich einfacher verhindern: Ginge es ihr wirklich darum, könnte Zensursula die Betreiber der Server mit den Mitteln des Rechtsstaats belangen. Die Strafverfolgungsbehörden könnten die Anbieter und Produzenten zwar effektiv verfolgen, tun es aber nicht. Denn eine bessere Ausstattung und mehr Zusammenarbeit der Ermittler sind nicht geplant. Damit entsteht erst der angeblich rechtsfreie Raum, von dem die Internetausdrucker so gern reden. Deswegen:

Wer keine Lust mehr hat auf die dreisten Lügen, wer was dagegen hat, dass Zensursula mit dem BKA geheime Sperrlisten ohne jegliche Gesetzesgrundlage vereinbart, wer offenen Verfassungsbruch nicht toleriert, wer ein unzensiertes Internet genauso wichtig findet wie wir, der nimmt seinen Hund, seine Kinder und alle seine Freunde und Kollegen am Freitag, dem 17. April 2009, mit zum Reichstagsufer am S-Bahnhof Friedrichstraße in Berlin-Mitte."
Quelle: CCC.de

"Die ursprünglich von Familienministerin von der Leyen vorgeschlagene Ausblendung bzw. Sperrung von Webseiten soll durch einen Vertrag zwischen dem Bundeskriminalamt (BKA) und den Internet-Service-Providern (ISPs) als Zugangsanbieter zum Internet durchgeführt werden. Der dem CCC zugespielte Vertrag, der den ISPs bereits unterschriftsreif zugestellt wurde, verpflichtet die ISPs, ihren Kunden den Zugang zu einer geheimen und somit nicht rechtsmittelfähigen Liste von Domains zu verwehren.

Der Vertragsentwurf verpflichtet die ISPs, die nur werktags vom BKA übermittelten Zensurlisten geheimzuhalten. Somit sieht sich der CCC in seinen Befürchtungen [2] bestätigt, dass Frau von der Leyen zusammen mit Innenminister Schäuble und dem BKA eine Vorzensur ohne gesetzliche Grundlage einzuführen versucht.

"Der hier vorliegende Versuch des Bundesinnenministers, eine ´freiwillige´ Vorzensur ohne gesetzliche Grundlage zu schaffen, ist ungeheuerlich. Flankiert durch die Bundesfamilienministerin von der Leyen wird hier das Thema Kinderpornographie instrumentalisiert, um eine Zensurautomatik für Internetseiten einzuführen. Mit dem vorliegenden Vertragsentwurf wird nicht nur deutlich, dass das Bundesinnenministerium offenbar überhaupt kein Interesse an einer Strafverfolgung gegen die Täter hat, sondern eine geheime Infrastruktur für das Zensieren von Internetseiten plant", sagte CCC-Sprecher Andy Müller-Maguhn."
Quelle: CCC
Vertragsentwurf vom 11.02.2009

"Die Bereitstellung der Listen erfolgt in verschlüsselter Form, deren Art und Weise einvernehmlich in einer Anlage zu diesem Vertrag festzulegen ist."

Ah hat man gelernt, dass unverschlüsselte E-Mails kinderleicht zu faken sind?

"Die Sperrmaßnahmen erfolgen mindestens auf Ebene des VDN. Der ISP entscheidet auf der Grundlage des jeweiligen Stands der Technik, auf welche Weise die Erschwerung des Zugangs vorgenommen wird. Dabei stellt der ISP sicher, dass eine mögliche Beeinträchtigung der Rechte unbeteiligter Dritter auf
das nach dem jeweiligen Stand der Technik unvermeidbare Minimum begrenzt wird."

Und das DNS-Sperren ebenfalls kinderleicht zu umgehen sind?

Btw in dem Vertrag, der insgesamt 6 Seiten umfasst, davon 2 Seiten Standard-Blabla, geht es eine ganze Seite nur darum, dass niemand sehen und wissen darf was das BKA zensiert. Wenn das mal nicht, neben der Grundlosigkeit und der Grundgesetzwidrigkeit zum Himmel stinkt, dann weiss ich auch nicht...
Ist die neue Parole der "Familienministerin": Schützt Kinderschänder durch Ausblendung? Dann ist das wohl Verblendung.
Niemand will eine Zensur-Infrastruktur im Internet aufbauen!!
Und morgen und übermorgen werden garantiert niemals andere schon seit Jahren sehr interessierte Wirtschaftsvertreter auf den Rücken des Zensurrosses aufspringen und eigene VdN comitten, die nie wer ankucken darf...
Ich glaube das, denn Sarkasmus und Ironie sind mir fern wie nie. Alles wird schön aussehn. Und bunt. Mit Blumen.
Für ein floristisch, fröhlich erfreuliches Fernkommunikationsnetz!

Zypries: "Es ist ein weit verbreiteter Irrglaube, dass man im Internet irgendetwas verbieten könnte (...). Das ist, als ob man das Regnen verbieten wollte"

"Auf dem Kongress des Chaos Computer Clubs bauten IT-Experten ihr eigenes Mobilfunknetz auf.
[...]
Bei ihren Tests bemerkten die Hacker mehrere problematische Sicherheitslücken im aktuellen GSM-Netz: Handys verbinden sich offenbar widerspruchslos mit jeder Basisstation, die nur stark genug funkt und eine Nutzung erlaubt. Das ermöglicht einem Angreifer zunächst, sowohl Geräte- als auch Kartennummern aller Handys im Umfeld mitzuzeichnen, die diese frei preisgeben.
[...]
Die GSM-Hacker konnten bislang allerdings noch nicht demonstrieren, wie sich auf diese Art Sprache mitzeichnen lässt. Weit entfernt sind sie davon aber nicht: "Ich glaube, zwei Tage Programmierarbeit würden noch fehlen", sagte Welte. SMS-Botschaften konnten die Tüftler hingegen bereits entgegennehmen.
Quelle: TAZ
Passend dazu gibt es noch die Chaosradio Express Folge 56 zum Thema GSM Hacking

"Mit einer aufgebohrten Laptop-Karte für 23 Euro lassen sich laut Sicherheitsexperten Telefonate auf Basis des weit verbreiteten Standards Digital Enhanced Cordless Telecommunication einfach abhören."
Quelle: Heise

"Auf dem Kongress "25C3", der vom Chaos Computer Club organisiert wird, fordern Hacker die Einführung eines Bürger-Trojaners, um Volksvertreter und "Problempolitiker" heimlich online durchsuchen zu können. Zweck des Trojaners soll "mehr Transparenz und Teilnahmemöglichkeiten" in einer Demokratie sein. Wie sein Vorbild, der Bundestrojaner des Innenministeriums, verstößt auch der Bürger-Trojaner gegen den ohnehin umstrittenen "Hacker-Paragrafen"
Quelle: Indymedia

"Sicherheitsforschern ist es gelungen, das Zertifikatsystem SSL für vertrauenswürdige Internet-Verbindungen zu kompromittieren. Durch eine sogenannte MD5-Kollision konnten sie ein Herausgeberzwischenzertifikat erstellen, das alle wichtigen Internet-Browser als vertrauenswürdig einstufen."
Quelle: Heise

"Vom 25. Chaos Communication Congress (25C3) in Berlin gehen derzeit konzertierte Hackerangriffe auf Webseiten und Server der NPD aus. So haben Sicherheitstester aus dem Umfeld des Treffens, das am heutigen Dienstagabend zu Ende geht, nicht nur die Internetauftritte des Landesverbands Schleswig-Holsteins der "Nationalen" und der NPD Südwestpfalz mit dem Bild eines Affen "geschmückt", der die Hand wie zum Hitlergruss erhebt und eine Nazi-Armbinde trägt. Alternativ lädt der NPD-Server im hohen Norden auch die Website der CDU in einem Frame ein. Darüber hinaus haben die Hacker auch einen niederbayerischen NPD-Server "aufgemacht" und sich Datenbankzugang zu NPD.de verschafft."
Heise

Ich glaub ich bin Silvester krank... Zumindest bin ich mit Kopf- und Halsschmerzen aufgewacht. Berlin ist eindeutig zu kalt.
Nach dem mittaglichen Frühstück am Alex ging es dann etwas mehr als eine Stunde lang in eisiger Kälte auf der "Freiheit statt Angst"-Demo im großen Kreis Parolen ("SPD und CDU lasst das Grundgesetz in Ruh!") rufend um den Alex. Dieses Jahr war die Demo gut auffindbar im Gegensatz zum letzten Congress.
"Für die Freiheit für das Leben! Schäuble aus dem Amt entheben!"
Irgendwie bin ich jetzt heiser. Egal erstmal ne Mate ^^




Marcel hat einen Lightning Talk über "Agile System-Administration" gehalten. Wer ihn nicht gesehen hat, hier sind die Slides und die dazu passende Diplomarbeit und Gesprächssituation.


Und natürlich war ich in der netten Plauschrunde von FX zum Thema "State of the art Cisco IOS exploits". Sehr interessant das IOS keine Prozesse kennt sondern jeder Prozess in Wirklichkeit ein Thread ist und somit in den Shared Memory Bereich der anderen Threads schreiben kann, man fühlt sich an alte Windowsexploits erinnert. Desweiteren hat Pheoelit IOS-Image-independent Shellcode, sowie einen Remote-Code-Execution Exploit in Form eines ICMP Echo Request Packets entwickelt. Früher haben IOS Exploits immer nur für ein bestimmtes Image funktioniert, weil die Anfangadresse des Heap Speichers, in dem auch der Stack liegt, abhängig ist von der Größe der Code- und Data-Segmente, auf Deutsch wenn Cisco etwas an derem Programmcode ändert, variieren diese Adressen. Aber FX hat nicht nur neue Angriffsmethoden präsentiert, sondern auch ein durchaus interessantes Tool mit dem Namen CIR, mit dem man IOS Core Dumps analysieren kann. Ein solches Core Dump enthält neben dem aktuellen Stack und Prozessor Registers auch eine Packet History für alle Interfaces, was zur Folge hat, dass man das Packet in PCAP dumpen kann, das den Core erzeugt hat. Sowohl nützlich für Computer Forensik als auch für Fuzzing.

Tag zwei ist vorbei. Heute habe ich mir u.a. den Vortrag über Symbian Sicherheit von Collin Mulliner angehört und interessante Details über das meist verbreitete Mobile Phone OS erfahren.
Symbian ist ein Single-User-System, basierend auf einem Micro-Kernel. Der OS-Code ist von der UI separiert, was u.a. zur Folge hat, dass mehrere Anbieter ihre eigene Oberfläche schreiben und man somit vielleicht gar nicht weiß, dass man ein Symbian OS hat. Als Sicherheitsfeatures bietet es Capabilities, aller Code, der ausgeführt werden soll, muss signiert sein, der Stack ist allerdings nur non-executable auf neuen ARMv6 CPUs und auf allen Prozessoren nicht randomisiert (Start Adresse ist 0x00400000).
Mittlerweile wird die Posix API unterstützt und eine Hand voll gängige Libs wurden portiert wie Libc, Libssl, Libcrypto, Libm, Glib. Als IDE / Remote Debugger wird Carbide in Verbindung mit Idapro empfohlen.



Ansonsten war ich verdutzt, dass schon am Hacker-Vormittag (ca 13:00) des 2. Tages (korrigiere! am Abend des ersten Tages!) alle Dauerkarten ausverkauft waren! Man merkt áuf jeden Fall es ist sehr voll dieses Jahr und findet nur noch schwer einen Platz wo man sich mal hinpflacken und in Ruhe bloggen oder gar Strom tanken kann. Was ansonsten noch auffällt ist, dass die meisten Vorträge in Englisch sind (es wird gemunkelt, dass das etwas mit dem Hackerparagraphen zu tun hat) und dass die Anzahl der Netbooks explosionsartig angestiegen ist.

Der zweite Vortrag, den ich mitgenommen habe, war über das neue Grundrecht auf digitale Intimsphäre, vorgetragen von Constanze Kurz und einem Richter, der mal ein wenig erzählt hat was "richterlicher Vorbehalt" in der Praxis zu bedeuten hat. Z.B. hat in Bayern ein Richter sage und schreibe 2 Minuten Zeit, um sich die Aktenstapel "durch zu lesen", die die Durchsuchung rechtfertigen sollen und um seine Unterschrift unter das Formular zu kritzeln, in anderen Bundesländern sind es wenigstens eine halbe Stunde. Alles in allem viel zu wenig Zeit um wirklich beurteilen zu können ob eine Durchsuchung gerechtfertig ist oder nicht. Das sollte man immer im Hinterkopf haben, wenn die Politik behauptet eine Maßnahme sei ja gar nicht so schlimm, weil da ja ein richterlicher Beschluss zu notwenidig sei (siehe Online Durchsuchung oder Zugriff auf Vorratsdaten).
Desweiteren war nett zu erfahren, dass eine Urheberrechtsverletzung von 39.95 Euro "verhältnismäßig" ist, um eine Durchsuchung anzuordnen. Das schockt mich jetzt nicht soo sehr schließlich hat früher in einem Fall schon mal eine unbeschriftete Cd bei einer routinemäßigen PKW-Kontrolle als Verdachtsmoment ausgereicht.
Ansonsten gehen die beiden Vortragenden davon aus, dass das neue Grundrecht dazu führt, dass das LKA / BKA / Bedarfsträger nicht mehr bei einer normalen Hausdurchsuchung auch gleich alle Festplatten beschlagnahmen dürfen. Sollte Euch das passieren und wertet ihr die Beschlagnahmung der Datenträger als unverhältnismäßig, solltet ihr neben Eurem Anwalt vielleicht ebenfalls den CCC kontaktieren, denn der würde solch einen Präzedenzfall gerne einmal durchfechten.

10:34. Von der Müllabfuhr geweckt. Es ist kalt in Berlin zumindest verglichen zu Freiburg, aber das war ja zu erwarten. Was ebenfalls zu erwarten war wie jedes Jahr die Frühstück-Pilgerfahrt zum Alex! Und wie gewohnt verpeilt man den ersten Vortrag, den man sich anhören will. Also alles im normalen Bereich :)



Der erste Vortrag, den ich dann gesehen habe, war der zum Thema Hackerparagraph und dessen Auswirkungen. Auf dem Podium waren zwei Menschen aus IT-Security Firmen, einer aus Lehre und Forschung und einer von Heise Sec. Alle sind sich einig, dass der Paragraph sie in ihrem Beruf einschränkt oder gar behindert und er somit eine immense Verschlechterung für den IT-Standort Deutschland darstellt. Es gibt zwar reale Anzeigen wie gegen das BSI oder die Firma Nruns oder die Selstanzeige des iX Chefredakteurs, allerdings noch keine Verurteilung und es wurde dazu aufgerufen den Paragraphen zu ignorieren und weiter zu machen wie bisher, denn, so witzelt man, schlimmstenfalls wird man angezeigt und dann braucht der Richter einen Gutachter und dieser wird höchstwahrscheinlich vom CCC gestellt werden.

Und nun sitzt man gemütlich in ner Couch und kuckt nem Typen zu, der auf einer Lasergitarre klimpert.

Zur Projektseite oder einfach mal live kucken

"In einem umfangreichen Bericht an das Bundesverfassungsgericht (BVerfG) hat der Chaos Computer Club (CCC) die Auswirkungen der Strafrechtsänderung des sog. Hackerparagraphen untersucht. Der CCC kommt zu dem Ergebnis, dass der § 202c StGB ungeeignet ist und sogar dem geplanten Ziel des Gesetzgebers zuwiderläuft.
Das Programmieren, Überlassen, Verbreiten oder Verschaffen von sog. Hackertools, die für die tägliche Arbeit von Netzwerkadministratoren und Sicherheitsexperten notwendig sind, wird durch den § 202c StGB unter Strafe gestellt. Das BVerfG geht aufgrund einer Verfassungsbeschwerde gegen den Paragraphen der Frage auf den Grund, ob es prinzipiell möglich ist, sog. Hackertools von vermeintlich harmloser Software zu unterscheiden."
Quelle: CCC.de

"Sie hacken Wahlcomputer und Firmenrechner, kopieren den Fingerabdruck von Minister Schäuble. Sie wollen beweisen, wie angreifbar die digitale Welt ist - die Hacker vom Chaos Computer Club haben die Rolle des obersten Datenschützers übernommen."
Quelle: Spiegel

Ein sehr schöner Artikel über die aktuellen Arbeitsbereiche des Chaos Computer Clubs.
Prädikat: Lesenwert! :)

"Der Chaos Computer Club und Wolfgang Schäuble sind natürliche Gegner. In seinem Magazin publiziert der Hacker-Club jetzt einen Fingerabdruck des Bundesinnenministers - mitsamt einer Folie, die als Attrappe ausreichen soll, um Fingerabdruck-Scanner zu täuschen.
[...]
Schäubles Fingerabdruck ist der erste Eintrag. Aber dabei will der CCC es nicht belassen, sondern auch die Fingerabdrücke anderer Politiker erfassen, darunter Schäubles Vorgänger Otto Schily, Kanzlerin Angela Merkel, Bayerns Ministerpräsident Günther Beckstein sowie Jörg Ziercke, Präsident des Bundeskriminalamtes"
Quelle: Spiegel

Meiner einer hält heut Abend im KTS (Freiburg) einen Vortrag zum Thema Internetsicherheit aus Clientsicht also was kann einem neben Viren- / Würmerbefall im Internet noch passieren. Der Vortrag behandelt u.a. Network Sniffing, DNS Spoofing, Man in the middle Attacken und Cross Site Scripting.
Leute in und um Freiburg sind herzlich eingeladen. Die Folien gibts dann später auch hier.
Mehr zum Thema bei Fudder

Update: Vortrag is vorbei und hier jetzt die Folien als OpenOffice Präsentation oder als PDF.