Dieses Jahr hab ich mich - unter anderem, weil ich mich jetzt räumlich mit Düsseldorf doch n bisschen näher an Berlin befinde als vorher - nun endlich mal dazu aufgerafft, mal einen C3 nicht nur per Stream, sondern live mitzuverfolgen. Was ich jetzt nach den ersten 2 Tagen auf jeden Fall sagen kann ist: es wird nicht der Letzte sein ;-)
Das Ganze kann man sich im Grunde wie ne LAN-Party für Erwachsene vorstellen, nur weitgehend ohne Kiddies und dafür mit umfangreichem Vortragsprogramm und mit mindestens so viel Spaß. Die Vorträge waren es auch in erster Linie, die mich interessiert haben; großartig viele Leute kannte ich dort ja nun nicht, und coden kann ich auch zuhause. Nichtsdestotrotz konnte ich abseits der Vorträge die eine oder andere interessante Unterhaltung verbuchen, spontan Leute finden die gerade an ähnlichen Themen wie ich arbeiten und - ganz wichtig, weil das hatte ich mir mehr oder weniger vorgenommen - mal als Kandidat am Hacker Jeopardy teilnehmen.
Tag 1
Mit geilen Vorträgen wurde diesmal wirklich nicht gegeizt, gleich in den ersten beiden Tagen waren zahllose Perlen dabei. Das ging los mit der sehr schönen Keynote und dann gleich in eine "Rundreise durch die Welt der Zensur" - ich dachte ja, grob zu wissen, wo auf der Welt das Internet wie zensiert wird (und damit die Länder zu kennen, die niemals als Urlaubsziel in Frage kommen), aber in diesem Vortrag gab es doch noch ne Menge zu lernen abseits der üblichen Verdächtigen wie China oder Kuba. Martin Haase, quasi der Neusprech-Experte des CCC, nahm anschließend ähnlich wie auf dem letzten Congress wieder Politiker-Rabulistik auseinander, diesmal sehr anschaulich an aktuellen Beispielen von der Leyen (haha, fast so ein gutes Wortspiel wie der Titel des Vortrags: "Leyen-Rhetorik"!). Extrem sehenswert für jeden, der sich fragt, wie Medienprofis es immer wieder schaffen, ganze Säle geradeheraus zu belügen, ohne dass das überhaupt irgendwem auffällt. Leider lief parallel ein Vortrag zur Debatte um die Computerspiele, in der ich ja auch irgendwie persönlich involviert bin und den ich daher gern verfolgt hätte, aber wozu gibt es die Aufzeichnungen ;-)
Danach folgte ein Griff ins Klo: es sollte um Wikipedia gehen, genauer um die Methoden, die von den Wikipedia-Autoren und Administratoren intern genutzt werden, um Störenfriede draußen zu halten. Durchaus interessant für jeden, der die Wikipedia-Debatte in den letzten Monaten mitverfolgt hat, weil da eben die Chance bestand, "die andere Seite" mal live und in Farbe zu betrachten, ohne sich dafür in den begehbaren Kleiderschrank in Berlin stehlen zu müssen, in dem Wikimedia Deutschland seine "Debatte" zu dem Thema abhielt. Die Betonung liegt aber auf "Chance", denn der Redner ist leider nicht besonders brauchbar gewesen: mit einer an Monotonie kaum zu überbietenden, unverständlichen englischen Stimme hangelte er sich quer durch überfrachtete und unverständliche Folien, während sein Publikum sich über die Zeit des Vortrags hinweg einmal komplett auszutauschen schien. Na ja, reden wir nicht weiter drüber...
Anschließend folgte aber ein echtes Juwel: der Wikileaks-Vortrag, den ich jedem, der ihn verpasst hat, auch als Aufzeichnung noch ans Herz lege. Wikileaks ist ja als Website mittlerweile sehr bekannt, aber die Personen hinter Wikileaks waren zumindest für mich immer eher Mysterien (was sicher auch so gewollt ist, um möglichst wenig Angriffsfläche für gelangweilte Rechtsabteilungen zu bieten). Nach diesem Vortrag gibt es zu Wikileaks nun immerhin mal zwei Gesichter :o). Die beiden konnten sich der uneingeschränkten Aufmerksamkeit des Publikums während ihres packenden Vortrags absolut sicher sein, ja, manch einer sah sie gar als Helden, und irgendwo ist da wahrscheinlich auch etwas Wahres drin, auch wenn sie selbst bescheiden bemerkten, dass die "wahren Helden" ja eigentlich diejenigen seien, welche die Gruppe um Wikileaks mit den geheimen Dokumenten versorgen, ohne die Wikileaks nichts zu publizieren hätte. Sehr lohnenswerter Vortrag in jedem Fall!
Philippe Oechslin, ein nicht ganz unbekannter Kryptographieexperte, nahm anschließend einige Krypto-Implementationen sprichwörtlich "auseinander", um zu zeigen, dass Produkte mit echten, guten Krypto-Algorithmen oftmals gar nicht durch Brechen der meist sehr starken Algorithmen selbst, sondern durch Finden von Implementationsschwächen geknackt werden können. Die Lehre aus diesem ebenfalls sehr gut moderierten Vortrag ist offensichtlich: Die Verwendung guter Krypto-Algorithmen ist gut, aber nur die halbe Miete, die Einbindung der Algos in die eigene Anwendung muss ebenso sorgfältig beschaffen sein wie die Algorithmen selbst. Auch dieser Vortrag ist ein klarer Watch-Tip!
Wie voll es im Saal 1 tatsächlich werden kann zeigte anschließend der Talk "GSM: SRSLY?", der mal eben trotz zwei parallel laufender (und durchaus äußerst interessanter, zumindest den Titeln nach, das Anschauen der Recordings steht bei mir noch aus...) Vorträge den Saal zum Bersten brachte. Zwar nutzte ein offenbar amerikanischer "Einpeitscher" - ich weiß bis heute leider nicht, wer das genau war, doch er hatte das und die Unterhaltung während der Vortragspausen echt drauf! - diese erste richtige Gelegenheit, um die Zuhörer auf sehr humorvolle aber bestimmte Art auf die übrigen Sitz- und Stehplätze zu verteilen, ohne dass die Gänge dabei verstopfen, aber letztlich bildeten sich vor den Türen beachtliche Schlangen und gemäß der "whoever leaves his seat is gone"-Policy wurde nur noch für jeden, der den Saal verließ, ein neuer Zuhörer reingelassen. Nachdem jeder Millimeter ausgenutzt war, lieferten die beiden Vortragenden (unter anderem der nicht ganz unbekannte Karsten Nohl) einen hervorragenden und interessanten Report über die Fortschritte beim Knacken des in GSM genutzten A5/1-Algorithmus per geschickt berechneter Rainbow Tables ab.
Eigentlich hätte ich mir anschließend gern in Saal 3 "Wireless Power Transfer" gegeben, aber bedingt dadurch, dass ich einen exzellenten Platz in Saal 1 gesichert hatte und die letzten zwei Events des Tages dort mitbekommen wollte blieb ich in Saal 1 und ließ mir von Christoph Faulhaber, einer Art Aktionskünstler, erzählen, wie er durch sein eigentlich harmloses Kunstprojekt "Mister Security" unversehens aufs Radar des FBI gelangte. Alles in Allem recht interessant und unterhaltsam, wenn auch sehr "Einspiel-Film-Lastig" und manchmal hart an der Grenze zur Lächerlichkeit (ein Einspieler zeigt den Künstler z.B., wie er in einem selbst gedichteten Rap-Song die Geschichte seiner fiktiven Figur "Mister Security" erzählt - vom Text hab ich nicht viel verstanden, aber der Film war...nun ja...ich hatte ein Dauergrinsen ;-) ).
Das bewiesene Sitzfleisch zahlte sich aber aus: Fabian Yamaguchi von der in Security-Kreisen nicht ganz unbekannten Gruppe Phenoelit stellte im folgenden Vortrag einen sehr ausgeklügelten Angriff auf ein fiktives Unternehmensnetz vor und demonstrierte, wie einzelne, für sich genommen wenig kritische Softwarefehler in geschickter Kombination das Aushebeln eines ganzen Netzwerks ermöglichen können. Auch ein Stream-Tip für jeden, der sich im Bereich Netzwerksicherheit tummelt!
Den Tag beendet hat dann ein auf diesem C3 erstmalig präsentiertes Spiel: das Chaos-Familienduell. Die Regeln kennt man ja aus der uralten RTL-Gameshow, nur hieß es hier eben: "Wir haben 100 Hacker gefragt...". Das Spiel wurde sehr cool moderiert und mit Hilfe einer schönen Fake-Familienduell-Software (in Java geschrieben, das freut den Java-Freak in mir :D ) originalgetreu präsentiert - ein großer Spaß auf jeden Fall, wenn auch gegen Ende vielleicht etwas langgezogen. Lohnt sich auch als Aufzeichnung!
Tag 2
Der zweite Tag begann für mich mit dem Vortrag einer Amerikanerin: "Why Germany Succeeded Where America Has Failed in Achieving Meaningful Voting Computer Changes". Der Titel weckt Erwartungen, die leider nur teilweise erfüllt wurden. Es war zwar alles in allem interessant, aber leider wird irgendwie zumindest für mich nicht ganz hinreichend erklärt, warum denn nun das höchste Gericht in Deutschland den Wahlcomputern in der bisherigen Form den Garaus gemacht hat und in Amerika nichts dergleichen passiert ist. Die Tatsache, dass ein guter Teil des Vortrags aus einer Filmvorführung bestand und im Rest irgendwie doch sehr auf die Tränendrüse gedrückt wurde machte die Sache nicht unbedingt besser. Ein Reinfall war es zwar nicht, aber ich hätte rückblickend doch lieber den JTAG-Mikrocontroller-Vortrag live verfolgt.
Dann kam aber wieder ein Juwel. Die "Part Time Scientists", ein Zusammenschluss von über 30 Leuten weltweit und Teilnehmer am Google Lunar X Prize, stellten ihr Konzept vor, mit dem sie in den nächsten Jahren mit relativ gesehen fast lächerlich geringem Budget (ich meine mich an 20 oder 25 Millionen Dollar zu erinnern) einen selbst entwickelten Rover auf den Mond transportieren und von dort einen HD-Videostream zur Erde senden lassen wollen. Ein hehres Ziel, aber der exzellent und professionell geführte Vortrag schaffte es tatsächlich, auch bei eher skeptischeren Zeitgenossen wie mir das Gefühl zu erzeugen, dass die da vorne das tatsächlich schaffen könnten! Auch auf kritische Detailfragen (von denen es zur Genüge gab, ich hab unter anderem auch eine gestellt) kamen plausible Antworten, es war vollkommen klar: das ist keine Schnapsidee, diese Leute haben ihr Vorhaben von vorne bis hinten durchgedacht. Ein besonderes Highlight stellte eine Skype-Liveschaltung mit einem Veteranen aus dem alten Apollo-Team (ja, dem Team, das die Apollo-Missionen technisch konzipiert hat!) dar: der pensionierte Ingenieur, dessen Namen ich leider schon wieder vergessen habe, arbeitet aktiv am Projekt mit und bringt seine Erfahrung in das Team der "Part Time Scientists" ein. Leider musste man bedingt durch die nicht ganz optimale Audioübertragung sehr viel Konzentration aufwenden, um das nicht leicht verständliche Englisch des "Remote-Speakers" zu entschlüsseln, aber allein das Event hatte irgendwie was und ein paar fachliche Dinge konnte man durchaus mitnehmen. Definitiv angucken!
Einen spontanen Applaus erzeugte btw die Anmerkung des Lead Speakers, die recht animationslastigen Präsentationen des Teams seien nicht mit Powerpoint, wie man ob der Optik vielleicht meinen könnte, sondern mit einer selbstgebastelten Präsentationssoftware auf OpenGL-Basis erstellt. In mir zündete diese Anmerkung neben der besagten rhythmischen Handbewegung auch noch eine sehr interessante Idee für ein neues "Pet-Project" ;-) aber ich weiß nicht ob ich dazu kommen werde das umzusetzen, mein momentaner Zeitmangel ist echt unschön :(
Der nächste Vortrag "Privacy and Stylometry" klang zunächst vielversprechend, konnte die hohen Erwartungen von meiner Seite aber leider nicht ganz befriedigen. Lag aber evtl. auch an mir - schon beim Wikileaks-Vortrag am Vortag fand ich die (durchaus auch von einigen Zuhörern gestellte bzw. gestreifte) Frage sehr interessant, wie man ausschließen kann, dass individuelle Markierungen jedweder Art in sensiblen Dokumenten eine Spur zum wahren Urheber eines Leaks legen. Ich erhoffte mir hierzu ein paar mehr Erkenntnisse aus diesem durchaus thematisch verwandten Vortrag, aber der Vortragende konzentrierte sich (durchaus zu Recht) eher auf den Bereich der Erkennung einzelner Autoren an ihrem natürlichen Schreibfluss.
Eher in die Kategorie "Fun" gehörte das anschließende Bashing diverser Protokoll- und API-Kuriositäten in "Vier Fäuste für ein Halleluja". Fefe und Erdgeist beackerten von C-Socket-APIs bis HTTP mehrere Themenbereiche der Softwareentwicklung, in denen teils vollkommen blödsinnige, aber durch ständiges Wiederholen mit dem biologischen Äquivalent zu Sekundenkleber im Programmiererhirn festbetonierte Codeschnipsel mit vollem Erfolg dafür sorgen, dass Code, der "hard to write" war, auch weiterhin "hard to read" bleibt - und Copy-and-paste aus alten Projekten eine der wichtigsten Kernkompetenzen. Unbedingt empfehlenswert für jegliches humorbegabtes menschliches Wesen!
Als Teilnehmer an der Massenverfassungsklage gegen die Vorratsdatenspeicherung interessierte mich natürlich der darauffolgende Vortrag besonders: es sollte um den aktuellen Verfahrensstand gehen, aber Constanze Kurz und Frank Rieger, die beide live bei der Anhörung in Karlsruhe zugegen waren, nutzten die Gelegenheit auch, um einige für uns lustige Seitenhiebe an die anderen Verfahrensbeteiligten wie etwa den BKA-Präsidenten zu verteilen und über ihre persönlichen Eindrücke und Schlussfolgerungen zu berichten.
Anschließend folgte ein Vortrag von Phenoelit-Head FX über einen neuen Ansatz, durch ein auf Basis von .NET entwickeltes Filterprogramm schädliche Programmteile in Flash-Animationen noch vor deren Ausführung im Flash-Player aufzuspüren und nach Möglichkeit unschädlich zu machen. Sehr interessanter Ansatz, für den ich durchaus Potenzial sehe - entweder als Komponente im Browser, dem eigentlichen Closed-Source-Flash-Player vorgeschaltet, oder als Bestandteil des Players selbst (Adobe hat laut dem Vortragenden schon ein gewisses Interesse an der Arbeit bekundet).
Äußerst interessant war auch der darauffolgende Vortrag über das (erfolgreiche) Knacken der Security des "Legic Prime" RFID-Systems. Karsten Nohl und Henryk Plötz zerlegten die "Security by Extreme Obscurity" des Systems sehr anschaulich; der Vortrag ist definitiv ein Tipp für alle, die mit RFID-Techniken zu tun haben oder sich dafür interessieren. Dieser Vortrag ist unter anderem deshalb sehr brisant, weil auf Legic Prime eine ganze Reihe von Kleinbetrags-Zahlungssystemen z.B. in Mensen oder Kantinen beruhen, in denen es durchaus um veritable Geldbeträge gehen kann. Vermutlich haben sich die beiden Vortragenden auch deshalb etwas zurückgehalten mit Details - ungewohnt für einen Hacker-Vortrag, normalerweise ist es durchaus erwünscht, dass die Zuhörer anschließend theoretisch in der Lage sind, den beschriebenen Angriff selbst durchzuführen, weil dies den gewünschten Druck auf die das kompromittierte System einsetzenden bzw. vertreibenden Unternehmen enorm erhöht und eher dazu führt, dass Fehler korrigiert bzw. sicherere Verfahren eingesetzt werden. Die Ausführungen der Beiden waren nichtsdestotrotz nachvollziehbar genug, dass nun sicher keiner im Auditorium mehr länger als eine Sekunde über den Einsatz eines Legic-Prime-Systems mehr nachdenken wird. Großes Security-Kino in jedem Fall!
Ein etwas unkonventioneller Beitrag folgte anschließend, in welchem Bicyclemark einige interessante bis lustige bis haarsträubende Geschichten zum Besten gab, wie Journalisten im Ausland über die Schulter geguckt wird - häufig, ohne dass diese sich dessen bewusst sind. Die Kernbotschaft dieses Talks war denn auch, dass Journalisten heutzutage im Grunde schon während ihrer Ausbildung (so sie denn eine solche zu ihrem Beruf brachte) zumindest die Grundlagen der IT-Security lernen müssten, um abhör- und manipulationssicher mit ihren Redaktionen kommunizieren zu können und mit den Wegen vertraut zu sein, wie ihre Rechercheergebnisse möglicherweise in falsche Hände geraten könnten. Dieses Wissen ist wohl laut dem Redner selbst bei sehr kritisch recherchierenden, auf Enthüllungen spezialisierten Top-Journalisten viel zu selten vorhanden.
Abgeschlossen wurde dieser zweite Tag mit meinem persönlichen Highlight: dem Hacker Jeopardy! Im Stream habe ich dieses fast schon legendäre Congress-Event immer sehr gern verfolgt, so dass ich es mir nicht nehmen lassen konnte, diesmal die erweiterten Möglichkeiten der Live-Version zu nutzen - sprich: selbst mitzuspielen :D. Sicher hatte auch die Überdosis Koffein durch ununterbrochenen Konsum von Club Mate (ich muss mich echt mal umsehen, wo ich den Kram in Düsseldorf herbekommen kann) einen gewissen Einfluss, aber der schien mir bei fast allen anderen Teilnehmern ebenfalls vorhanden zu sein ;-) War jedenfalls sehr spaßig; in der ersten Runde konnte ich doch glatt dank der Kategorie "DFÜ", in der man Ton gewordene Datenübertragungen erkennen musste, haushoch gewinnen, um dann aber das Finale mit einer falsch beantworteten 500-Punkte-Double-Jeopardy-Frage (natürlich standesgemäß erhöht auf 1000 Punkte!) glorios zu versemmeln. Hätte ich doch mal lieber den Fefe-Joker eingesetzt ;-)
So viel erst mal zu den ersten zwei Tagen, die anderen beiden kommentiere ich später in einem zweiten Posting (hoffentlich jedenfalls :D)