Skip to content

Mein Vortrag beim 35C3

Der diesjährige 35. Chaos Communication Congress ist leider schon wieder vorbei. In den Leipziger Messehallen fanden sich 17.000 Hackerinnen und Hacker zusammen, um Vorträgen zu lauschen, neue Ideen zu probieren, zu hacken oder einfach eine schöne Zeit zu haben.

Ich hatte das Vergnügen zusammen mit Kristin Pietrzyk einen Vortrag zu halten: Unter findet ihr einen Mitschnitt. Viel Spaß beim Anhören.

TLS-Bingo -- Wer bietet mehr?

Ich hatte heute den verwegenen Plan und wollte die Webseite des sächsischen Landtages per HTTPS aufrufen. Der Browser stoppte mich und zeigte eine schöne Fehlermeldung:

Edas
Fehlermeldung zum Zertifikat von edas.landtag.sachsen.de

Also dem Zertifikat traut der Browser nicht. Außerdem fehlen dem weitere Bestandteile. Das Zertifikat ist eigentlich für eine andere Domain und schon längst abgelaufen.

Hier frage ich mich, ob jemand schon mal eine Liste von Zertifikatsfehlern gesehen hat, die länger ist, als die obige. :-)

Kryptografie mit Barbie

Das wunderbare Projekt »Chaos macht Schule« des CCC versucht, Medienkompetenz und Technikverständnis von Kindern und Jugendlichen zu fördern. Verschlüsselung gehört mit in diesen Bereich und Bruce Schneier wies kürzlich auf ein Gerät hin, das in jedes Kinderzimmer gehört. ;-)

Von Mattel gibt es eine Schreibmaschine für Kinder, die eine einfache Verschlüsselung beherrscht. Das Modell E-118 wird von der slowenischen Firma Mehano hergestellt. Mittels der Tastenkombination Shift-Lock und 1, 2, 3 oder 4 wird die Verschlüsselung aktiviert. Die Nachricht kann dann über die Tastatur eingegeben werden und die Maschine druckt den Geheimtext aus. Die Schreibmaschine führt dabei eine einfache Ersetzung (Substitution) aus. Aber für einen Einstieg in die Welt der geheimen Kommunikation ist das sicher sehr gut.

Kryptografie auf einem Schwert

Was hat der Text NDXOXCHWDRGHDXORVI zu bedeuten? Diese Frage stellt das British Museum sich und der Allgemeinheit.

Ein etwa 700 Jahre altes Schwert wird derzeit ausgestellt. Auf der Klinge findet sich die obige Inschrift. Laut der Webseite des Museums vermutet man, dass es die Initialen einer religiösen Handlung darstellt. So steht die Abkürzung ND für Nostrum Dominus (unser Herr) und das X könnte für Christus stehen.

Das Museum ist an weiteren Deutungen sehr interessiert. Wenn ihr etwas wisst oder ahnt, wendet euch an das Museum.

via Ancient Origins: Medieval Sword contains Cryptic Code. British Library appeals for help to crack it.

Das BfV und die Spionageabwehr

Gestern war ich auf dem IT-Sicherheitstag bei der IHK Gera eingeladen. Dort hielten verschiedene Fachleute Vorträge oder Workshop. Die einleitenden Vorträge kamen von einem Experten für Spionageabwehr beim Bundesamt für Verfassungsschutz und von mir.

Der Referent des Verfassungsschutzes erklärte, woher die Bedrohungen für die Wirtschaft kommen, wie die aussehen können und was die Firmen dagegen tun können.

Woher kommen die Bedrohungen? Anfangs wurden insbesondere Russland und China mit ihren diversen Einheiten genannt. Die im weiteren Vortrag folgenden Beispiele wurden immer von chinesischen Bürgern ausgeführt. Zum Abschluss stellte der Redner fest, dass der Verfassungsschutz ja einen 360°-Blick hat und es keine Bedrohungen von westlichen Diensten gibt. Hauptgrund war die Tatsache, dass es keine Anzeigen aus der Wirtschaft gibt. Bedeutet das, dass Spionageabwehr nur aus dem Warten auf Anzeigen besteht?

Ich griff den Ball dann in meinem Vortrag nochmal auf und verwies auf den Fall Enercon, wo die NSA spionierte. Daneben verwies ich auf den DGSE und andere Dienste, deren Ziel Wirtschaftsspionage ist und in deren Fokus auch westliche Unternehmen stehen.

Der Vortrag des BfV-Referenten hatte viele Filme zur Illustration dabei. Wenn es dabei um Wirtschaftsspionage ging, kamen die Beispiele aus der Schweiz oder Österreich. Ich fragte mich, warum es keine Beispiele deutscher Unternehmen gibt und was das BfV mit schweizer oder österreicher Unternehmen zu tun hat. Eigentlich soll die Behörde Informationen sammeln, die sich gegen die FDGO richten oder deutsche Unternehmen gefährden.

Den Abschluss des Vortrages bildete ein wenig Werbung für die Behörde. Den schließlich würde diese diskret mit Informationen umgehen und, was dem Vortragenden wichtig zu sein schien, sie unterliegt nicht dem Legalitätsprinzip. Das heißt, bei Kenntnis von Straftaten müssen diese nicht angezeigt werden.

Insgesamt hinterließ der Vortrag bei mir einen recht faden Beigeschmack und bestätigte mein Bild von den »Verfassungsschützern«.

Pidgin mit dem Hidden Service von jabber.ccc.de nutzen

Erweiterte Einstellungen bei PidginIch hatte kürzlich eine Diskussion, wie und ob man das Programm Pidgin mit dem Hidden Service des XMPP-Service jabber.ccc.de nutzen kann. Im Web gibt es recht wenige Anleitungen dazu. Daher will ich das hier kurz aufschreiben.

Der Hidden Service hat die Adresse okj7xc6j2szr2y75.onion. Dieser wird in Pidgin als Verbindungsserver benutzt. Um derartige Adressen nutzen zu können, muss auf eurem Rechner Tor installiert und gestartet sein. Das kann in Form des Tor Browser Bundle oder als eigene Software sein.

Zum Einrichten eures Accounts wählt ihr Konten -> Konten verwalten. Das geht auch kurz über Strg+A. Im folgenden Menü könnt ihr einen neuen Account hinzufügen oder einen existierenden Account bearbeiten. Im nun folgenden Fenster gebt ihr in das Feld Benutzer euren Benutzernamen ein. Der hat die Form euername@jabber.ccc.de.

Wechselt nun in den nächsten Reiter »Erweitert«. Das dritte Eingabefenster heißt »Verbindungsserver«. Dort tragt ihr die Onion-Adresse okj7xc6j2szr2y75.onion ein. Speichert die Einstellungen und verbindet euch mit dem Konto.

Im letzten Schritt benötigt Pidgin eine Information über den Tor-Proxy. Denn um euch mit der Onion-Adresse von oben verbinden zu können, muss die Verbindung über Tor gehen. Im Reiter »Proxy« wählt ihr aus der Liste der Proxy-Typen »SOCKS5« aus. Bei »Host« kommt 127.0.0.1 oder localhost rein. Im Feld »Port« hängt es davon ab, ob ihr das Tor Browser Bundle (Port 9150) oder einen systemweiten Tor-Daemon (Port 9050) benutzt. Im Falle des Tor Browser Bundles muss dieses noch laufen. Tragt den richtigen Port ein und speichert die Einstellungen. Nun läuft die Verbindung über den Hidden Service.

Das wars dann schon. Viel Spass beim anonymen Chatten. :-)

Update: Nach einem Hinweis von @publictorsten Tor als Voraussetzung erwähnt.

Podiumsdiskussion zur NSA mit Martina Renner

Heute gibt es wieder eine Veranstaltungsankündigung. Am morgigen Dienstag, dem 09. September 2014, werde ich zusammen mit Martina Renner einen Vortrag mit anschließender Podiumsdiskussion in Jena halten. In der Veranstaltung geht es um den NSA-Untersuchungsausschuss. Zu Anfang werden wir einige Details zur NSA, zu deren Überwachungsprogrammen und zu den Entwicklungen beim Untersuchungsausschuss erzählen. Anschließend stellen wir uns den Fragen aus dem Publikum.

Wer teilnehmen mag, sollte vor 18 Uhr im Hörsaal 8 im Unigebäude in der Carl-Zeiss-Str. 3 sein.

tweetbackcheckcronjob