27C3: Tag 2

Tag 2:

Bis 11 geschlafen, schnell unter die Dusche, dann im Alexa Asia-Fastfood gefuttert und erst gegen 13 Uhr beim BCC eingeschlagen und der erste interessante Vortrag zum distribuierten Knacken von Crypto-Algorithmen verpasst. Gut, dass es die Stream-Aufnahmen gibt. Gilt auch für den BitTorrent-Vortrag “Lying to the Neighbors”. Der GSM-Sniffing-Talk war überfült - tolle Wurst. Also ab ins Hackcenter, freien Platz erkämpft und das etwas wirr laufende OpenVPN gefixt. Den Service nach jedem Disconnect einmal durchzustarten war auf Dauer keine Lösung. Von der Electronig Frontier Foundation gab’s dann eine Fortsetzung von den Ergebnisen des SSL Observatory. Die haben einfach alle öffentlichen Ranges gescannt, verfügbare SSL-Zertifikate geladen, daraus eine Datenbank gestrickt und das analysiert. Angefangen hat das ja auf der Defcon 18 dieses Jahr. Die Ergebnisse waren erwartungsgemäß katastrophal. Wir werden per default erstmal dazu genötigt, viel zu vielen CAs zu vertrauen, die wiederrum wieder CA-Fähigkeiten vererben - sogar völlig undursichtig über Intermediate-CAs, denen Firefox und IE nur vertrauen, wenn man vorher bestimmte Seiten mit bestimmter CA besucht hat. Katastrophal. Man muss sich wirklich anstrengen, den Vortrag vor lauter Fazialpalmierung zu verfolgen. Der letzte Schrei sind ja die Extended Validation-Zertifikate, die für teures Geld grüne Balken in den Adresszeilen darstellen. Die CAs gehen da ähnlich umsichtig mit ihrer Verantwortung um, wie bei den normalen Zertifikaten. Wieder landen sinnlose Bezeichnungen anstatt FQDN in der Common Name-Zeile, wieder wurden Zertifikate auf private IP-Adressen ausgestellt und besonders amüsant und traurig zugleich war dann ein vor 3 Monaten ausgestelltes 512bit-EV mit einer Gültigkeit bis 2012, obwohl dieses Jahr bereits von der Ausstellung von 1024bittigen Zertifikaten abgeraten wird. Fefe basht diesen ganzen SSL-Snakeoil-Dreck wirklich nicht ohne Grund. An sich reicht da ein Blick auf die Übersicht aller CAs und deren Ursprünge, um mit dem Kopf in Richtung der nächten Wand zu marschieren.

Zeitlich ist der Fahrplan dann etwas durcheinander geraten. Ich weß aber, dass ich noch rund 90% vom Vortrag über Netzmedienrecht, Lobbyismus und Korruption mitbekommen habe. Das war spannend und konzentrierte sich vor allem auf die Verflechtungen von Bertelsmann, die ihre Hand u.a. bei Studiengebühren und Hartz IV im Spiel hatten - um dann z.B. Kindern aus Hartz IV-Familien Online-Nachhilfe anzubieten, wenn die sich keine richtige Nachhilfe mehr leisten können. Das Bachelor-/Master-Studiensystem kam auch nicht gut weg.

Unter dem Titel “High-speed high-security cryptography: encrypting and authenticating the whole Internet” präsentierte Kryptografie-Experte und Qmail-Autor Daniel Bergstein die Probleme von DNSSEC und und stellte ein System vor, das über Public-Keys im Domainnamen, z.B. als CNAME und auf den Clients generiertem Private Key Crypto ohne großartigen Overhead ermöglichen soll. Statt DNSSEC setzt er auf DNScurve, das DoS-Attacken erschwert und die Probleme von DNSSEC umgeht. Seine Lösung verschlüsselt im Handumdrehen den gesamten Netzverkehr auf Public-Key-Basis mit elliptischen Kurven als Cypher. Die zusätzliche Verschlüsselung addiert bei einer aktuellen CPU eine zusätzliche Load von ca. 0.15 und soll sich daher auch auf großen Seiten wie Google umsetzen lassen, ohne deren Server abrauchen zu lassen. Er hat das bereits software-seitig umgesetzt, so dass man das auch selbst implementieren kann, ohne dass die bestehende Infrastruktur (Firewall, DNS, Browser, Webserver, etc) Anpassung bedürfen. Ich befürchte, das wird daran scheitern, dass es einfach keine Verbreitung finden wird. Das ist schade.

“Data Recovery Techniques” wäre auch interessant gewesen, aber da war der Hunger schlichtweg zu groß und der Saal nach verspeister Pizza bereits geschlossen. Bei Twitter hieß es aber, es sei völlig nutzlos, Daten mehr als einmal zu überschreiben, um sie unwiederherstellbar zu löschen. Da entbrennen ja immer mal wieder die Streits, was da bei magnetischen Laufwerken nun dran ist. Der Vortrag wird auf jeden Fall nochmal als Aufnahme angeschaut.

23 Uhr - und leider der letzte Vortrag am Dienstag: “The importance of resisting Excessive Government Surveillance” von Nicholas Merrill, der in den frühen Neunzigern einen Internet Service Provider gegründet hat. Nach den Anschlägen auf das World Trade Center begann die große Terrorpanik und damit verbunden eine Vielzahl von Überwachungsmaßnahmen. Anfänglich etwas zurückhaltend berichtet er von einem FBI-Agenten, der ihn telefonisch darauf hinweist, dass er in Kürze einen National Security Letter erhalten würde. Das hielt er natürlich erst für einen Scherz - wer hätte schon damit gerechnet, dass wenige Tage später tatsächlich jemand vom FBI vor der Tür steht und ihm diesen ominösen NSL unter die Nase hält, der keine richterliche Unterschrift enthält und ihm gleichzeitig verbietet, auch nur ein Wort über den Erhalt dieser Anweisung zu verlieren. Es ging speziell um einen Kunden, über den er eine unbekannte Menge an Informationen sammeln sollte, um diese dem FBI mitzuteilen. Bis heute darf er nicht über diese Details berichten. Erst seit Mitte dieses Jahres wird es ihm gestattet, überhaupt ein Wort über diesen National Security Letter zu verlieren. Vorher musste er jahrelang seine Frau, seine Freunde, seine Kunden und Kollegen belügen. Kurz nach Erhalt der NSL-Anweisungen wandte er sich entgegen des Verbots an die amerikanische Bürgerrechtsvereingung ACLU, um gerichtlich dagegen vorzugehen. Selbst die ACLU hatte bis dahin noch nie von diesen Briefen gehört, so dass sich Merrill und die ACLU-Anwälte in völlig unbekannten Gewässern bewegten: Er lege sich mit dem “National Security Staat” an, was neben Gefängnisstrafen auch erheblichen Druck auf ihn ausüben könne. Trotz dieser Ungewissheit zog er von Gericht zu Gericht. Dass in den USA geheime Beweise, die nur der Richter zu sehen bekommt zulässig sind, war mir jedenfalls neu. Ich muss mal recherchieren, ob das auch in Deutschland möglich ist. Für ihn gab’s - völlig zu Recht - stehende Ovationen, was wohl zuletzt bei WikiLeaks bzw. Julian Assange der Fall war.