While admitting that security measures need to improve, Google officials also claimed that everyone makes mistakes, be it storing confidential data indefinitely or, say, “having a few too many drinks on the evening of Jan. 23, driving home in a haze, striking a pedestrian on the corner of Mercer and Cavendish, speeding off, and then desperately searching online for hit and run laws, right, Karen?”

“Americans have every right to be angry at us,” Google spokesperson Janet Kemper told reporters. “Though perhaps Dale Gilbert should just take a few deep breaths and go sit in his car and relax, like they tell him to do at the anger management classes he attends over at St. Francis Church every Tuesday night.”

Read all of it here: http://www.theonion.com/content/news/google_responds_to_privacy

Ich hoffe doch mal die Österreichische (und auch andere Europäische) Regierung(en) nehmen sich ein Beispiel daran bevor sie blindlings etwas Umsetzen das hauptsächlich einen weiteren Schritt in Richtung 1984 macht.

Seit den frühen 60er Jahren war es ein Ziel Betriebssysteme Multitasking – fähig zu machen. Warum?
1) Um den Prozessor was zu tun zu geben
2) um MEHR ALS EIN PROGRAMM GLEICHZEITIG LAUFEN ZU LASSEN

Genau das ist der Grund für Multitasking, und zwar nicht, wie es von Apple auf dem iP(ap/hone/od Touch) vorgeführt wird (da “dürfen” nur ein paar (von Apple) ausgewählte Programme Multitasken) sondern das freie kombinieren bzw. laufen lassen beliebig vieler (zumindest solange die Hardware mitspielt) Programme. Niemand sollte mir aufzwingen können, welche Programme ich gleichzeitig benutzen kann!

Jetzt kann man natürlich damit argumentieren, dass der Otto-normal-Verbraucher total vom Konzept Multitasking überfordert ist und sowieso nicht zwischen den aktiven Fenstern unterscheiden kann. Aber auch Otto-normal-Bürohengst will gleichzeitig einen Wikipedia Artikel im Browser offen haben und die Definitionen daraus in sein Word hineinkopieren – vielleicht will er ja nebenbei noch Musik hören?

Apple hat es irgendwie geschafft eine so loyale Fangemeinde um sich herum aufzubauen die vehement alle Designentscheidungen (und Schwächen!) verteidigt und immer neuere und kreativere Argumente findet warum die bei anderen Herstellern seit Jahren übliche Praxis eigentlich eh kein Mensch braucht und nur Apple hat es erkannt und macht es richtig.
Apple Fanboys: Nicht alles was Apple macht ist gut! Lasst euch nicht ständig blenden und versucht nicht alle Designschwächen schön zu reden!

Die EFF hat nun ein sehr eindrucksvolles Beispiel online gestellt, wie man mit ein paar Javascripts den Browser selbst relativ eindeutig zuordnen kann. Durch die Auswertung der Daten, die ein Browser freiwillig her gibt (wie zum Beispiel die Anzahl der installierten Plugins samt Version und genauer Bezeichnung, Bildschirmauflösung, Installierten Schriftarten und so weiter) kann ein Browser recht eindeutig identifiziert und damit natürlich auch im Netz aufgespürt werden.

Wer gerne mal ausprobieren mag, wie einzigartig seine Browserkonfiguration ist: https://panopticlick.eff.org

(via Basic Thinking)

When Pete opens his Communication account, he has 12 new messages. Google Communication combines emails, voice messages, collaborative documents and everything else into a single unified stream, ordered by automatically personalized prioritization cues. The top priority right now, Communication decided, was a phone text message from Pete’s boss earlier that morning. “You got to come in early today Pete, the bots are acting crazy.” Pete works from home, as do most of his friends, so he opens up his augmented reality clothing store hooked up to the webcam. He usually works in a simple morning bathrobe but his colleagues won’t ever notice, thanks to the realtime 3D overlays they’ll see instead. It’s nice of Google to release the augmented reality overlays for free, and the AdWords powered sponsor labels on the clothes are a price Pete’s willing to pay.

[…]

All the web’s in Pete’s native tongue, and he can’t remember a time when it was any different. Whichever site he visits, be it originally created in Japanese, Hebrew, Botspeak or whatever language out there, Google Translator transforms into the language Pete’s is most fluently with… not just text, but also imagery, audio content in videos, everything. The Google Translator ships straight with the superbook with no way to switch translation providers, but Pete’s happy with its results. He’s used to encountering strange language on some sites and there’s a constant barrier of cultural misunderstandings, but people by and large got used to all of this, and whenever there’s a verbal fight about to erupt, it’s easy to blame the issue on those “pesky translator software” and make peace.

Der vierte Kongresstag ist aber Traditionell ein sehr ruhiger. Dies bestätigte sich auch als wir, nach viel zu kurzer Nachtruhe, um 11:30 zum geplanten Vortrag zum Thema AS-400 Hacking bemühten. Leider musste der Vortrag auf Grund eines Hardwaredefekts (define irony ) abgesagt werden. Ersatzprogramm war aber schnell gefunden und der Entwickler von Wolpertinger stellte spontan seinen verteilten Portscanner vor.

Danach ging es erst um 16:00 Uhr weiter mit einem Vortrag zum Thema “Photography and the Art of doing it wrong“. Danach kamen (wie jedes Jahr) die “Security Nightmares – oder worüber wir auch nächstes Jahr lachen werden” und Schlussendlich der Abschlussevent der in einer eindrucksvollen Lasershow endete.

Beim Abschlussevent wurden dann noch ein paar Details zum Netzwerk hinter dem 26c3 bekannt. Den 20 Gbit Backbone erwähnte ich ja schon. Zusätzlich gab es im bcc flächendeckend 802.11n WLAN, sowohl im 2.4GHz als auch im 5 GHz Band. Ausserdem hat sich wirklich jemand die Mühe gemacht ein komplettes NAS – Rack zum Kongress mitzubringen (2 x 10 Gbit  Uplink, 24TB Festplatten, rund 125 TB Traffic im internen Netz in vier Tagen (!), 400 kg Gewicht).

Zusätzlich wurden im Hackcenter in den vier Tagen natürlich auch einige Webseiten defaced oder DB Dumps diversester Webseiten erstellt. Eine recht ausführliche auflistung dazu findet ihr hier. Ausserdem gibt es bereits die ersten Videos der Vorträge, die restlichen sollen angeblich in den nächsten Paar Tagen online sein.

Es waren vier anstrengende, aber sehr informative Tage die wir hier verbracht haben, und den letzten Abend in Berlin verbringen wir standesgemäß mit Bier an der Hostel – Bar. Abschließend dazu noch ein Zitat von m1k3, bei dem gerade der Laptop – Akku schlapp gemacht hat: “Wir sind ja keine Geeks, wir haben ja auch noch andere Hobbies” (fing er sein (neues) Lockpicking Set heraus und fing er an das dazugehörige Schloss zu knacken).

Danach gleich zwei Vorträge zum Thema GSM. Beim ersten zeigte Dieter Spaar wie man erfolgreich eine GSM Funkzelle per DoS – Attacke ausser Gefecht setzt. Dazu braucht man lediglich ein Handy mit angepasster Firmware, dass dauerhaft Kanal – Reservierungsnachrichten an die Basisstation schickt. Da jede Anfrage bearbeitet wird und auch für jede ein Kanal reserviert wird (zumindest für ein paar Sekunden) lassen sich so die Kanäle die in einer Funkzelle verfügbar sind dauerhaft belegen. Im darauf folgenden Vortrag wurde uns gezeigt, welche Fehler es im GSM Stack bzw. im Protokoll gibt die eventuell angegriffen werden könnten. Dazu benötigt man allerdings eine etwas ausgefeiltere Hardware – Konfiguration, die von einem OpenBSC System gesteuert wird.

Die gesammelten Erkenntnisse über GSM haben übrigens den CCC dazu veranlasst, eine Pressemitteilung zu dem Thema zu Veröffentlichen, um hier die Verantwortlichen vielleicht ein wenig wach zu rütteln.

Nach einer kurzen Pause waren dann die Biometrische Personenerfassung und die Technik im neuen ePA System Thema.

Den (äußerst amüsanten) Fnord Jahresrückblick mussten wir (durch eine ausgedehntere Essenspause) in der Schlange stehend und den ruckelnden Livestream beobachtend ansehen. Die Schlange für den Vortrag von Dan Kaminsky war bereits eine Stunde vor dem geplanten Beginn erstaunlich lang.

Der Vortrag von Kaminsky, Black Ops of the PKI zeigte einige fundamentale Fehler in der inzwischen schon 10 jahre alten Technik der SSL Verschlüsselung – genauer gesagt der X.509 Zertifikate. Auch ein paar nette Ideen, wie denn die Zertifikate (erfolgreich) gefälscht werden können waren dabei enthalten.

So long, ein Tag ist noch vor uns, das gilt es mit reichlich Bier zu begiessen…

Um 17:15 stand der erste Vortrag des Tages an: “Der digitale Steuerbürger” – ein zweigeteileter Vortrag – zeigte im erten Teil die Verknüpfung des Finanzamtes in Deutschland mit den unterschiedlichsten anderen Ämtern und es wurde versucht die Datenflüsse (wer wem was wann berichten kann/darf/soll/muss) nachzuzeichnen. Im zweiten Teil wurde die “Digitale Unternehmensprüfung” unter die Lupe genommen, bei der auf Grund von statistischen Daten die Bücher der Firmen kontrolliert werden um auf Betrugsversuche aufmerksam zu werden – die grosse Problematik hierin besteht dadurch, dass der durchschnittliche Steuerprüfer keine ausreichende Ausbildung in angewandter Statistik besitzt, und der Steuerprüfer sich das Wissen diesbezüglich auch oft nur durch Learning-by-doing aneignet.

Danach wurde in “Die Schlacht um die Vorratsdatenspeicherung” die Erfahrung der Beteiligten des CCCs beim der Verfassungsbeschwerde gegen das Data – Rtention Gesetz erläutert. Das Urteil in dieser Sache wird im Februar/März 2010 erwartet und es ist noch nicht wirklich absehbar was heraus kommt, allerdings war bei der Anhörung am 15.12. kein Mitglied der Regierung teil nahm.
Weiter ging es dann mit einem weiteren Vortrag der Phenoelit Gruppe die sich diesmal dem Thema “Defending the Poor” widmete und eine mögliche Verteidigungsstrategie gegen Sicherheitslücken im .swf Dateiformat – und davon gibt es nicht zu wenig.

Nach einem kleinen Abendessen ging es in den letzten Vortrag des Tages – ETSI Vorratsdatenspeicherung 2009 von einem hervorragenden Erich Möchel der Versucht hat die anwesende Hackergemeinde ein wenig stärker auf das Thema der ETSI – Überwachungsschnitstelle hinzuweisen – an dieser Stelle möchte ich allen dringend das Stöbern in den Dokumenten die Erich Möchel in den letzten 10 Jahren gesammelt hat.

Auch bei der Keynote zu Mittag platzte Saal 1 förmlich aus allen Nähten. Danach beleuchtete Jens Kubieziel die aktuelle Lage der Internetzensur. Danach ein sehr launiger Ausflug in die tiefen der deutschen Sprache bzw. der Rhetorik, beim Vortrag zur Leyen-Rhetorik, der natürlich die Wortspiele von Deutschlands liebster Ministerin bis ins kleinste auseinandernahm. #Zensursula war wenig später nochmal Thema, als die ganze traurige Geschichte zur Entstehung des Zugangserschwerungsgesetzes nochmal durchleuchtet wurde.

Quasi “Zwischendurch” die sehr Interessante Thematik “Net-Neutrality” wonach sich mir wirklich die Frage stellt, wie zukünftige Bezahl-Modelle der Internetprovider aussehen könnten. Der Sprecher Jérémie Zimmermann skizzierte hier die Gefahr von Modellen die es gegen entsprechende finanzielle Gegenleistungen den Kunden von ISPs erlaubt “Congestion-free” im Internet zu surfen, während die “normalen” Kunden mit teilweise überlasteten (oder schlimmer noch künstlich verknappten) Netzen leben müssen.

Die drei Highlights des heutigen Tages waren aber sicherlich die sehr Techniklastigen Vorträge “Exposing Crypto Bugs through reverse engineering“, bei dem gezeigt wurde dass es oft schon reicht die Implementierung eines Crypto-Algorithmus anzugreifen. Danach die traurige Geschichte der GSM – Verschlüsselung, die seit 20 Jahren ungepatcht arbeitet und dementsprechend angreifbar ist. Als Abschluss des Tages noch ein sehr erheiternder Vortrag zum Thema IPv4 Fuckups der die Ausnutzung mehrerer kleiner Bugs zur erfolgreichen Übernahme eines Firmennetzes dokumentiert.