Rückblick: 39C3

Volker: Moin Moin und herzlich willkommen zur Sicherheitslücke live.

Volker: Theoretisch vom 39C3 als kleinen Rückblick.

Volker: Es sind jetzt ein paar Tage ins Land gestrichen aus verschiedenen Gründen,

Volker: sodass wir hier erst vom 5.1.26 aussenden.

Volker: Aber trotzdem wollen wir nochmal einfach diesen Fahrplan, also den Tages-Event-Plan,

Volker: einmal für euch, mit euch durchgehen und auf ein paar Highlights zum Nachhören,

Volker: zum Nachschauen hinweisen.

Volker: Wir, das sind Volker Skwarek von der HRW Hamburg und Monina.

Monina: Schwarz vom LSI.

Volker: Hallo Monina, schön dich mal wieder zu sehen. Ich meine, immerhin sind jetzt

Volker: schon fast eine Woche her, dass wir uns das letzte Mal gesehen haben live.

Monina: Ja, schön auch dich wieder zu hören, nachdem wir uns ja die letzten zwei Tage

Monina: auf dem Kongress einfach nicht getroffen haben, weil einfach zu viel los war.

Volker: Ja, naja, wir wollten ja theoretisch auch online noch senden,

Volker: aber wir haben es schlicht und einfach nicht mehr geschafft.

Volker: Deswegen jetzt hier im Nachklapp und anfangen, also für alle die,

Volker: die Lust haben, uns irgendwie am PC zu folgen.

Volker: Wir gehen hier den Fahrplan durch, wir schicken euch aber auch die einzelnen

Volker: Events in die Shownotes,

Volker: dann aber nicht mehr mit Verweis aufs Video, das müsst ihr euch dann aus Media

Volker: CCC selbst raussuchen und laufen so ein bisschen diese Hauptvorträge durch.

Volker: Ich fange einfach mal an mit der Opening Ceremony.

Volker: Die fand ich dieses Mal tatsächlich sehr beeindruckend,

Volker: weil sie gestaltet war als so eine Mischung aus Vortrag von Pajowu und Stella

Volker: und Vortrag und Parallel,

Volker: so eine Art Animationsfilm aus recht geschnittenen Figuren, die ja sozusagen

Volker: zu diesem Thema, das jeweils in der Vorschau oder in der Begrüßung eingeleitet wurde,

Volker: dann so wie so ein kleines Daumenkino oder Animationsvideo oder sowas im Hintergrund

Volker: über so einen Bildschirmprojektor gezeigt wurden.

Volker: Ich fand ihn erfreulich, erfrischend. Also ich treibe mich ja sehr viel auch

Volker: auf wissenschaftlichen Konferenzen

Volker: rum und wenn ich mir da so die Openings oder die Grußworte anhöre,

Volker: ja, da ist man auch ganz gerne mal froh, wenn die dann durch sind.

Volker: Hier muss ich ganz ehrlich sagen, ich hätte da echt noch ein bisschen länger

Volker: zu hören können, oder? Was sagst du, Monina?

Monina: Ich habe den leider nicht live mitbekommen, aber wenn man eines dem C39C3 nicht

Monina: vorwerfen kann oder generell den Veranstaltungen beim Chaos Kongress ist mangelnde Kreativität.

Monina: Also ich fand vieles da einfach von den Leuten, die es vorgetragen haben und

Monina: wie es vorgetragen war, erfrischend und schön zu folgen.

Monina: Muss ich mir definitiv noch anschauen, wenn ich mir das online noch anschauen kann.

Volker: Ja, das wäre der erste Vortrag, den wir mal in die Shownotes mit reinwerfen.

Volker: Aber ich glaube, das ist der, der auch noch am einfachsten zu finden ist mit der Opening Ceremony.

Volker: Danach habe ich geschaut auf der Zero, also im Saalen Z.

Volker: A Tale of Two Leaks, How Hacker Breached the Great Firewall of China um 11 Uhr.

Volker: Das war sehr beeindruckend, weil die Firewall, also die Zensur,

Volker: die staatliche Zensur-Firewall in China tatsächlich wohl etwas hemmdärmlich implementiert wurde.

Volker: Und das Protokoll, also das IP-Protokoll, das sie dort genutzt haben und implementiert

Volker: haben, um, keine Ahnung, IP-Adressen oder URLs zu filtern oder umzuleiten,

Volker: wohl ein paar kleine Implementierungslücken hatte.

Volker: Ich habe im Vortrag tatsächlich nicht vollständig folgen können. Ja.

Volker: Jedes Detail. Aber vom Konzept her war es so,

Volker: dass die für die Nerds unter uns so eine Art Buffer-Overflow,

Volker: also nicht Buffer-Overflow, aber einfach so einen Bereichsüberlauf genutzt haben

Volker: und dass sie einfach mehr Felder in dem IP-Protokoll beschrieben haben,

Volker: als sie angegeben haben, dass es belegt waren oder umgekehrt.

Volker: Dass sie quasi der Zensur, der Firewall vorgemacht haben, dass sie auf eine

Volker: legitime Adresse zugreifen und alles, was illegitim war, einfach außerhalb dieses

Volker: Bereiches geschrieben haben. Super, super genial.

Volker: Insbesondere, und da muss ich sagen, da hat mir so ein bisschen dann der Zusammenhang

Volker: gefehlt, da müsste ich den Vortrag nochmal gucken,

Volker: konnten sie irgendwie über diesen Mechanismus auch den gesamten IP,

Volker: oder große Teile des unverschlüsselten IP-Verkehrs mitverfolgen,

Volker: der durch diese Firewall durchgelaufen war.

Volker: Das war äußerst, äußerst beeindruckend, bis hin zu der Frage an Jay Chaffee,

Volker: der das vorgetragen hat, ob er dann jetzt irgendwie Angst hätte,

Volker: in autoritäre Staaten reinzureisen, weil wohl China diese Firewall auch an andere

Volker: Staaten lizenziert und verkauft.

Volker: Und da meinte er auch, da mache er sich gar keine Gedanken mehr drüber.

Volker: Er wisse, dass er auf eine Blacklist stünde und dass er wahrscheinlich sowieso

Volker: gar nicht viel mehr bekäme.

Monina: Ja gut, man muss ja auch nicht in alle Staaten reisen können.

Monina: Ja, der wurde mir aber auch empfohlen.

Monina: Also den muss ich auch definitiv noch nachschauen. Ich bin ja leider erst mittags

Monina: angekommen. Das heißt, den habe ich auch verpasst.

Monina: Aber ich habe bisher auch viel Gutes über den Vertrag gehört.

Volker: Okay, dann hast du auch das Zentrum für politische Schönheit dir nicht angesehen. Einer noch nicht.

Volker: Da bin ich hin und her gerissen und habe auch so ein bisschen,

Volker: ich sage mal, mentale Probleme, den so richtig zu kommentieren.

Volker: Denn ich versuche ich für meine Person und ich sag mal wir auch als Podcast

Volker: versuchen die immer so ein bisschen wissenschaftlich neutral immer so von beiden

Volker: Seiten auch mal Dinge zu berücksichtigen also haben zwar schon durchaus Begeisterung

Volker: für bestimmte Sachen aber,

Volker: versuchen dann auch immer so die Balance zwischen verschiedenen Meinungen zu

Volker: halten und hier muss man einfach sagen das Zentrum für politische Schönheit,

Volker: steht mit seinen Aktionen Einfach gegen Rechtstotalitarismus,

Volker: insbesondere, so dass es jetzt keine Meinungsäußerung von uns,

Volker: sondern einfach Faktenwiedergabe aus dem Vortrag gegen Maßnahmen der AfD zum

Volker: Beispiel, wofür die stehen.

Volker: Und haben dort auch nette Aktionen gezeigt,

Volker: womit sie die Grenzen der Rechtsstaatlichkeit sehr gut austesteten,

Volker: indem sie einfach mal nicht von der Intention her nachweisbare Graubereiche des Rechts betraten.

Volker: Zum Beispiel in Demonstrationsverbot-Zonen mit ihrem Adenauer-Bus reinfahren,

Volker: der dann einfach liegen geblieben ist aufgrund eines technischen Defekts.

Volker: Ich meine, Zufall, Wahnsinnszufall, dass der gerade da liegt und die Hauptzufahrtsstraße

Volker: zur Parteitagszentrale der AfD blockiert.

Volker: Genau.

Volker: Da kann man jetzt persönliche Begeisterung für haben und sagen,

Volker: hey, gut gemacht und sonst irgendwas oder auch das Ganze ausbuhnen oder sonst

Volker: was und sagen, wie kann man nur.

Volker: Ich jetzt als Person möchte einfach gar nichts sagen, was die Politik dazu angeht,

Volker: sondern einfach mal darauf hinweisen, der Vortrag war gut gemacht,

Volker: die Aktionen, die sie gefahren haben, waren interessant.

Volker: War aber auch interessant, wie, sagen wir mal, rechtsstaatlich dagegen die vorgegangen

Volker: wurde, weil ja dieser Adenauer Bus,

Volker: also halt ein Reisebus, den die mit bestimmter Technik versehen haben und sowas,

Volker: sehr viel Zusatz an Bauten hatte, die natürlich alle freigegeben sein müssen über DEKRA-Gutachten.

Volker: Und das ist schon spannend, wie oft eine jeweilige Landespolizei,

Volker: und man muss durch viele Bundesländer von Hamburg nach Bayern fahren,

Volker: eine Landespolizei die Möglichkeit hat, einen Bus anzuhalten,

Volker: um eine Inspektion oder eine Dekra-Freikabe eines Busses zu haben.

Volker: Und ich glaube, die hatten irgendwie kein Fahrzeit, also kein Lenkzeitenproblem,

Volker: weil sie von Hamburg nach München mit dem Bus 48 Stunden oder sowas gebraucht haben.

Monina: Wow.

Volker: Ja, genau. Die wurden also im Mittel zu aller 150 Kilometer jeweils von der

Volker: Polizei wieder angehalten und für mehrere Stunden außer Verkehr gesetzt und

Volker: bis wieder ein neues DKA-Gutachten vorlag.

Volker: Ich sag mal, auch dieser Teil war gut dargestellt und war amüsant dargestellt

Volker: und deswegen lohnt es sich in Summe einfach dieser gesamte Vortrag mal anzusehen, sei es,

Volker: weil man einfach die Comedy dahinter mag sei es, weil auch die politische Einstellung

Volker: dahinter gefällt und das mag aber jedem und jeder selbst da überlassen sein.

Monina: Klingt gut muss ich auch noch nachschauen, steht auf meiner sehr langen Liste

Monina: an Talks, die ich mir noch anschauen möchte.

Volker: Ja, wo bist du denn eingestiegen?

Monina: Ich bin tatsächlich erst drei Talks später eingestiegen, um 14,

Monina: ein Talk, der nach 14 Uhr angefangen hat.

Volker: Ah, dann steige ich nochmal vorher ein. Dann mach dein gleich,

Volker: weil dann habe ich dazwischen noch ein bisschen Pause gemacht.

Volker: Aber ich habe noch mir angehört, den 12.50 Talk im Saal F oder Fuse,

Volker: Who Cares About Baltic Jammer.

Volker: Ja, das war ein sehr, sehr technischer Vortrag, der vom DLR gehalten wurde und

Volker: das DLR hat sich dem Problem angenommen,

Volker: dass die GPS-Kommunikation auf der Ostsee stark gejammt wird,

Volker: gerade wenn es um diese russische Exklave Kaliningrad geht.

Volker: Und das Problem ist halt, das sieht man auch regelmäßig auf Jamming-Webseiten,

Volker: GPS-Jamming-Webseiten, die verlinken wir auch, dass teilweise die Reichweite der Jammer,

Volker: Bis nach Berlin geht, das heißt also der GPS-Empfang mindestens seiner Qualität

Volker: sogar noch in Berlin, in Deutschland gestört wird.

Volker: Was aber heißt natürlich quer über Polen bis hin über den gesamten baltischen Raum.

Volker: Und da haben sie ein System aufgesetzt, das spontan auf Schiffs- und Bojenbasis aufgebaut werden kann.

Volker: Im Prinzip GPS emuliert, so wie ich das verstanden habe.

Volker: Und immerhin eine Ortungsabweichung von 10 Metern lässt im horizontalen Modus.

Volker: Das ist jetzt im Vergleich zu GPS so poidürftig.

Volker: Also sicherlich nicht für militärische Navigation sinnvoll.

Volker: Also quasi Zielortung oder sonst was. aber definitiv für Schiffsnavigation.

Volker: Und dafür, dass man das mal so ad hoc aus der Hosentasche zaubern kann und damit

Volker: ein GPS-System emulieren kann für normale Navigationszwecke,

Volker: fand ich cool. Also kann man auch gut folgen.

Volker: Ja, Monina, wie geht es bei dir weiter?

Monina: Ich hatte mir dann den Opening Pandora's Box in Unleashing a Thousand Paths

Monina: und in Journey to Play Beatsy bei Custom Songs angeschaut.

Monina: Der war recht lustig. Ich mag diese doch auch Hardware-Systeme,

Monina: betrachtenden Talks oft gerne, wo,

Monina: in denen sich die Person sowohl anschaut, was für Code man vielleicht da überwinden

Monina: muss oder welche Schwachstellen man finden muss, um irgendwie weiterzukommen,

Monina: als auch dann Hardware-Glitches anzuwenden.

Monina: Und das war in dem Talk auch schön der Fall. Also die Person hat hier einen

Monina: Chip auseinandergenommen von der Konsole, von dem VR-Headset,

Monina: um wieder bestimmte Beat Saber, ich weiß nicht, wer es kennt,

Monina: ein beliebtes VR-Spiel, Beat Saber-Custom-Songs spielen zu können.

Monina: Und das war auch recht amüsant, dem Talk zu folgen, inklusive Dingen wie,

Monina: na, wir haben hier mal den Code aufgelegt, wer sieht denn hier auf die Schnelle den Feder?

Monina: Ist natürlich klar, dass man den nicht auf die Schnelle sieht,

Monina: wenn man da jetzt einfach mal nur drauf schaut.

Monina: Aber das hat durchaus auch Spaß gemacht, da zuzuhören. Den werde ich mir wahrscheinlich

Monina: auch nochmal anhören, weil man dann doch auf die Schnelle nicht allem so genau

Monina: folgen kann, wie das da denn vorgestellt wird.

Volker: Konnte da grundsätzlich, also Glitching heißt ja, dass man dort Spannungsimpulse,

Volker: mit Spannungsimpulsen versucht, den Prozessor bei einer bestimmten Codezeilenausführung,

Volker: also im Assembler-Modus, dann quasi außer Takt zu bringen, sodass er diese Assembler-Funktion

Volker: dann nicht sauber ausführt, also dieser Code quasi in der Code-Sequenz fehlt.

Volker: Also das verstehe ich unter Glitching. Also eben Spannungsschwankungen auf den

Volker: Prozessor zu bringen, um Codeausführung zu vermeiden, ohne dass der Prozessor abstürzt.

Volker: Das ist ja gerade die Kunst. Ging das da auch um sowas?

Monina: Ja. Wenn ich es jetzt nicht durcheinander bringe, bei den vielen Talks in meinem

Monina: Kopf war hier auch einmal ein Hardware-Glitch mit benutzt.

Volker: Okay. Und was haben die dann genau gemacht mit dem Glitch?

Monina: Aber der ganze Talk hier hat eine Aneinanderreihung von mehreren,

Monina: sie haben Zero Day Exploits und

Monina: Unpatchable Bugs genannt, auch immer schön beschrieben, was welcher tut.

Monina: Ich habe sie nicht mehr auswendig im Kopf. Ich müsste mir den Vortrag anschauen

Monina: und den Folien, um genau zu sagen, was sie jetzt mit welchem Teil gemacht haben.

Monina: Aber sie hat sich da, glaube ich, hauptsächlich durchmanövriert durch die verschiedenen

Monina: Hindernisse im Weg, um dann am Ende zu seinem Ziel zu kommen.

Monina: Custom Songs ausführen zu können.

Volker: Cool. Also ich habe das ja vor zwei Jahren gehört auf einer anderen Konferenz

Volker: von jemandem, der das mit Reprotected-Prozessoren gemacht hat,

Volker: sodass man einen Code da nicht auslesen kann aus den Prozessoren.

Volker: Und was mir gar nicht klar war, war, dass diese Reprotection eine Software-Codezeile ist.

Volker: Also die bringst du ganz am Anfang vom Code, wodurch du den Prozessor in so

Volker: einen Reprotect-Modus setzt, dass du den von externen nicht mehr auslesen kannst.

Volker: Und wenn du in dieser ausgeführten Codezeile einen Glitch in den Prozessor reinbringst,

Volker: dann kannst du den also hochfahren, der Reprotect wird nicht aktiviert und du

Volker: kannst ihn dann im Betrieb quasi auslesen.

Volker: Das ist, finde ich einfach ziemlich cool, vor allen Dingen, das hat er gemacht

Volker: mit einem, nicht Arduino, mit einem Raspberry Pi.

Volker: Ja, also das Timing von dem, was war saumäßig schlecht,

Volker: sodass er dann irgendwie tausend Versuche gebraucht hat, um den einmal auszulesen,

Volker: aber das hat er automatisiert und das hat dann insgesamt irgendwie zehn Sekunden

Volker: gebraucht, bis die tausend Versuche durch waren und dann hat er den Code aus dem Prozessor gehabt.

Volker: Ja, so viel zu Security und wie ich sie umgehen kann.

Monina: Ja, ich finde gerade Hardware-Methoden, um Mechanismen zu umgehen,

Monina: immer besonders einfach beeindruckend.

Monina: Ich meine, es ist im Prinzip auch nur, also es ist nicht schwieriger oder eine

Monina: andere Ebene als Software manchmal, mal, aber es ist einfach,

Monina: ich weiß nicht, ich mag den Aspekt, dass man das Ganze auch nochmal hardware-technisch angreifen kann.

Monina: Da gab es auch nochmal einen sehr spannenden Talk, tatsächlich am Tag 3,

Monina: der in eine sehr ähnliche Richtung geht.

Volker: Wollen wir den gleich jetzt nehmen oder wollen wir den an Tag 3 bringen?

Monina: Das ist eine gute Frage. Wir können ihn auch an Tag 3 kurz ansprechen.

Volker: Aber wenn es die ähnliche Richtung war, ach komm, dann bringen doch einfach

Volker: jetzt. 29. Dezember, wann war der?

Monina: Der war mittags, 14.45 Uhr auch. Da ging es um Nvidia,

Monina: Tegra X2. Trip.

Monina: Der wohl unter anderem in Tesla-Autopilot steckt und der Talk war technisch

Monina: so tief, dass ich da an manchen Stellen auch ausgestiegen bin,

Monina: aber er war fantastisch gehalten.

Monina: Die Person, die ihn hielt, mit dem Namen Elise Emberkatze, zumindest laut Beschreibung hier,

Monina: hat sich da beeindruckend durchgearbeitet, mit sowohl auch wieder die Software

Monina: oder die Firmware auslesen und dann angreifen,

Monina: als auch Hardware-Glitches zu benutzen, um da durchzukommen.

Monina: Und der komplette Vortrag war einfach technisch auf einem sehr tiefen Niveau.

Monina: Es war anstrengend zu folgen, aber es hat sehr, sehr viel Spaß gemacht zuzuhören.

Monina: Und es hat sich am Ende auch noch am Publikum jemand gemeldet,

Monina: der meinte, man könnte es ja auch mal einem Tesla probieren und vielleicht hätte

Monina: er sogar einen, den man zur Verfügung stellen kann.

Monina: Also ich bin gespannt, ob man dann im Nachhinein nochmal was hört dazu,

Monina: ob das funktioniert hat oder nicht.

Volker: Das ist cool. So ein Tesla mit so einem Hardware-Glitch starten.

Volker: Ich meine, das ist ja eh so eine rollende Versuchsplattform für Hacker, dieser Tesla.

Volker: Da findest du irgendwie auf jedem Vortrag was.

Volker: Aber Glitches gab es nämlich noch einen mehr und das war der, den ich meinte.

Volker: Also nicht der, den ich meinte mit dem Vortrag, sondern den ich als Autor des

Volker: vorletzten, den ich gehört habe. Das war nämlich Stack Smashing.

Volker: Von dem habe ich diesen Vortrag gehört. Und der hatte nach deinem Montag 14.45

Volker: Uhr Opening PAMDORAS Box,

Volker: hatte um 16 Uhr Boot Vectors and Double Glitches.

Volker: Und das ist jetzt seine Spezialität, Bypassing Secure Boot.

Monina: Ah, schön.

Volker: So, und da hat er dann wieder scheinbar einen Update-Vortrag gehalten.

Volker: Ich war nicht mit dabei, aber ich hatte ihn eigentlich auf meiner Liste.

Volker: Und noch zu erwähnen, dass wir ihn auf keinen Fall vergessen,

Volker: wir hatten ja am Tag zwei zusammengesessen mit Gerd Beuster und Christoph Saathjohan.

Volker: Christoph Saathjohann war einer der Supporter bei dem, nach KIM,

Volker: also Gesundheitsmanagement,

Volker: also elektronische Gesundheitskarte und dieser Datenbank dahinter.

Volker: Das war ja im letzten Jahr schon ein Vortrag, was da so gehackt wurde und dieses Jahr halt wieder.

Volker: So, ich sag mal, Hacking on Demand oder Gesundheitsdaten on Demand.

Volker: Ich finde das einfach ganz cool.

Volker: Die haben ja verhindert, dass du...

Volker: Quasi fremde Gesundheitskarten abfragen kannst, indem sie die Gesundheitskartennummer,

Volker: also deine Versicherungsnummer, jetzt noch mit einer Signatur versehen.

Volker: Und die Signatur besteht aus irgendwie deinem Namen, deiner Anschrift,

Volker: deinem Geburtsdatum und deiner Nummer.

Volker: Interessanterweise, deine Nummer habe ich ja jetzt gerade geraten.

Volker: Deinen Namen oder gesehen von deiner Karte, deinen Namen kenne ich,

Volker: deine Adresse kriege ich ziemlich schnell raus.

Volker: Und irgendwie Geburtsdatum ist jetzt auch jetzt durch Raten nicht so schwer rauszufinden.

Volker: Also du wirst irgendwie zwischen 10 und 50 sein und so viele Tage sind das nicht, die ich da fragen kann.

Volker: Das Coole daran ist aber, mithilfe die Gematik macht es einfach viel einfacher.

Volker: Die hat nämlich so ein Service und da kann ich deine Kartennummer hinschicken

Volker: und die schickt mir diese Daten gleich als Standarddatensatz zurück.

Volker: Die muss ich also nur noch hashen und dann habe ich hier die Signatur, die ich brauche.

Monina: Der Talk dazu war am Tag 2, oder? Da gab es einen Talk, wo das genauso auch

Monina: nochmal aufbereitet worden ist.

Volker: Das war sehr witzig. Genau, da hat dann Christoph Saathjohan,

Volker: der hier am Tag 1 im Saal Zero mitgeredet hat, das war ja auch unser Talkgast

Volker: am zweiten Tag, auch nochmal wieder noch einen Vortrag zugehalten,

Volker: weil der nämlich ursprünglich von seiner Profession, der ist jetzt Professor,

Volker: aber der hat vorher genau an der Stelle in der Branche gearbeitet.

Volker: Genau, das ist Christoph. Wer ein Foto von ihm sehen will, der gucke sich einfach

Volker: im Fahrplan mal den Vortrag an und sieht dann,

Volker: wie er mit Arztkittel und Stethoskop dann am Prozessor hängt und die Gesundheitskarte

Volker: auseinander nimmt. Sehr, sehr cool.

Monina: So, aber jetzt sind wir endgültig aus der Reihenfolge ausgebrochen.

Volker: Jetzt sind wir wieder drin. Jetzt sind wir wieder am Tag 1, aber mach mal.

Monina: Also das Schöne ist ja einerseits, dass man sich die Vorträge eh alle online

Monina: anschauen kann, die wir hier erwähnen. Und ganz viele werde ich auch nochmal

Monina: nachschauen und nochmal anschauen.

Monina: Den nächsten, den ich live gesehen habe, war der To Sign or Not To Sign,

Monina: die Practical Vulnerabilities in GPG and Friends. Ich glaube,

Monina: den hattest du auch gesehen, oder?

Volker: Ich hatte ihn auf meiner Liste, da habe ich allerdings mich schon vorbereitet

Volker: auf unseren abendlichen Podcast.

Volker: Das heißt, ich habe den dann nicht mehr wirklich gesehen.

Volker: Und ich hatte parallel gesehen Handy weg bis zur Ausreise, das war der politische Vortrag.

Volker: Wo es darum ging, dürfen Handys von Asylbewerbern und Bewerberinnen eingezogen

Volker: werden zur Datenanalyse und zwar nicht generell zur Analyse,

Volker: sondern einbehalten werden bis zum letzten Tag,

Volker: bis sie abgeschoben werden oder ausreisen.

Volker: Also war eher so ein politisch motivierter Vortrag, ist ja auch unter dieser

Volker: roten Kategorie im Fahrplan aufgelistet, Ethics, Society and Politics.

Volker: Wie gesagt, den höre ich immer auf zwei Ebenen. Das eine ist so das technisch Legale.

Volker: Das zweite ist, welche Nachricht soll mir damit übertragen werden?

Volker: Auch da empfehle ich immer bei diesen roten Vorträgen, sich nicht einfach nur

Volker: mitreißen zu lassen, sondern auch einfach immer zu kritisch zu hinterfragen,

Volker: eben diese beiden Ebenen.

Volker: Ist das denn technisch wirklich gut und legitim, was der Staat da tut?

Volker: Und handelt er im Rahmen seiner gesetzlichen Kompetenzen oder überschreitet er diese?

Volker: Das sind ja immer diese beiden Ebenen, die hier gezeigt werden.

Volker: Also 17.15, Handy weg bis zur Ausreise.

Volker: Ja, und dann kamen zwei Highlights des Abends.

Monina: Moment, Moment, ich lasse mich noch zwei, drei Worte zu dem GPG-Talk verlieren.

Volker: Oh, sorry, sorry.

Monina: Das war schön. Die haben sehr anschaulich gezeigt bei verschiedenen PGP-Implementierungen,

Monina: was man da alles machen konnte oder also welche Bugs sie gefunden haben und

Monina: was man damit für Unfug anstellen konnte und auch tatsächlich,

Monina: wie dann darauf reagiert wurde, wenn sie diese Schwachstellen gemeldet haben.

Monina: Also das war sehr schön, auch einmal durchgearbeitet und auch anschaulich einfach

Monina: immer wieder gezeigt, was das für Auswirkungen ganz tatsächlich hat.

Monina: Also selbst wenn man technisch nicht so tief drin ist, konnte man dem Talk sehr gut folgen.

Monina: Ist auch nur empfehlenswert anzuschauen. Dass man sich vielleicht dann doch

Monina: nicht blind auf irgendwas verlässt, nur weil da eine Signatur angeblich funktioniert

Monina: hat, aber man gar nicht so genau weiß, was jetzt signiert worden ist.

Volker: Wie war denn das mit der, also du hast gesagt, so dieses Responsible Disclosure

Volker: war da dargestellt und die Reaktion, wie waren da die Reaktionen der Gegenseiten?

Monina: Sehr unterschiedlich, also teilweise wurde nicht reagiert oder sehr spät reagiert.

Monina: Eins war sehr niedlich, der von einer Schwachstätte, die sie gefunden haben

Monina: in der Implementierung, war der Developer da und hat dann live vor Ort das Debug-Bounty

Monina: übergeben. Das war sehr schön.

Volker: Das ist mal cool.

Monina: Da kamen also wirklich verschiedenste Reaktionen sozusagen, direkt mit Live-Reaktionen.

Volker: Das ist cool. Aber dann verweise ich jetzt auf die 19 Uhr Sessions.

Volker: Das sind nämlich die zwei Highlights des Tages. Das eine Highlight des Tages

Volker: war natürlich unsere Aufzeichnung, die Sicherheitslücke.

Volker: Natürlich mit einem brechend vollen, jedem dritten Stuhl besetzten Mini-Vortragssaal im Sendezentrum.

Volker: Trotzdem für uns schon mal ein richtig cooles Live-Event mit Live-Aufzeichnung

Volker: und Live-Übertragung. Gleich mal als kleiner Teaser.

Volker: Wir planen dieses Jahr mindestens noch zwei mehr.

Volker: Das eine ist auf der GI-Sicherheitstagung 2026 hier in Hamburg.

Volker: Da eine Live-Übertragung aus dem Publikum und wir haben uns gerade gestern noch

Volker: für eine weitere beworben, um den Bewerbungsprozess jetzt neutral zu gestalten.

Volker: Sage ich noch nicht genau welche, aber es ist eine Art verwandte Tagung im dritten

Volker: Quartal diesen Jahres, wo wir hoffentlich dann auch mit euch,

Volker: für euch auf der Bühne sitzen können.

Volker: Aber der zweite, mindestens genauso gut wie unsere Übertragung,

Volker: war der mit Marc-Uwe Kling und seinem Känguru.

Volker: Digital Independence Day und der lief halt auf zwei Ebenen ab.

Volker: Monina, hast du den live gesehen?

Monina: Ja, ich habe den live gesehen. Einerseits, was natürlich Marc-Uwe Kling,

Monina: der immer sehr unterhaltsam ist.

Monina: Linus, der hier mit draufsteht, Linus Neumann, war tatsächlich quasi nur wirklich

Monina: sehr kurz zur Ansage mit dabei.

Monina: Den Rest hat dann Marc-Uwe Kling gehalten. Aber abgesehen von dem witzigen Programm,

Monina: wenn man die Witze von Marc-Uwe Kling mag, hat das sehr viel Spaß gemacht, das auch live zu sehen.

Monina: Was ich gut fand, war am Ende der Aufruf zu diesem Digital Independence Day,

Monina: der im Prinzip darauf hinaus möchte, dass man von diesen großen Tech-Gigantenfirmen

Monina: weggeht hin zu kleineren und unabhängigeren Medien.

Monina: Zum Beispiel, dass man weggeht von Outlook und von Microsoft als E-Mail und

Monina: hingeht zu einem kleinen E-Mail-Anbieter.

Monina: Und da gibt es auch im Kooperation mit dem CCC eine Webseite,

Monina: die gedroppt worden ist sozusagen, auf der dann geholfen wird,

Monina: dass man diesen Umstieg auch schafft.

Monina: Und es soll jetzt, ich glaube, jeden, jetzt müsste ich kurz nachschauen,

Monina: jeden ersten Sonntag oder jeden ersten Samstag im Monat oder so dazu aufgerufen

Monina: werden, dass das alle zusammen machen.

Monina: Also, dass sie sich irgendwas raussuchen, sei es jetzt was wie X hin zu einem

Monina: anderen oder eben E-Mail oder sonst was.

Monina: So ein Rezept zu benutzen, zu sagen, okay, hey, wir halten alle zusammen,

Monina: wir helfen uns gegenseitig, wenn jemand Fragen hat und nicht versteht,

Monina: wie man die E-Mail wechselt, gibt es Leute, die dann Fragen beantworten und

Monina: die dafür da sind und wenn man das dann geschafft hat, dann postet man das irgendwo

Monina: in sozialen Medien, um zu zeigen, hey,

Monina: wir haben es jetzt geschafft und damit vielleicht noch weitere Leute mitzuziehen. Also das soll so eine.

Monina: So eine Kampagne werden für digitale Unabhängigkeit, um von diesen großen,

Monina: teilweise auch wirklich anstrengenden Tech-Giganten wegzukommen.

Monina: Das fand ich ziemlich cool.

Monina: Da verlinken wir die Seite auch mal in den Shownotes. Kann nicht schaden.

Monina: Umso mehr damit zu machen, umso cooler.

Volker: Was ich noch danach geguckt habe, war jetzt muss ich einmal kurz gucken,

Volker: Bit Unlocker, 20.30 Uhr.

Volker: Das war dann auch für den Tag, obwohl ich mir mehr vorgenommen habe,

Volker: mein letzter Vortrag, weil ich einfach dann durch war nach 10 Stunden oder 11

Volker: Stunden, aber Bit Unlocker,

Volker: sehr spannend gemacht von einem von einem brasilianischen Martial-Eid-Arts Fighter und,

Volker: Pokal und keine Ahnung.

Volker: Weltmeisterschaftsinhaber wie auch immer,

Volker: aber eben auch einem Hacker Und der hat ganz toll gezeigt,

Volker: wie man über den Microsoft Recovery Mode es schafft,

Volker: BitLocker auszuhebeln, weil der Recovery Mode ja auf eine unverschlüsselte Festplattenpartition

Volker: für sich erstmal zugreifen muss.

Volker: Die BitLocker-Partition ist natürlich verschlüsselt und an die Schlüssel kommen

Volker: wir nicht so ohne weiteres ran.

Volker: Es ist aber dann möglich, dass ich irgendwie, wenn ich diesen Recovery-Mode,

Volker: wenn ich es schaffe, meine BitLocker-Partition

Volker: direkt hinter die Recovery-Mode-Partition zu schreiben...

Volker: Und dem Betriebssystem vorgaukle, dass sie ein Teil der Recovery-Installation

Volker: wäre, dass sie dann gleich mit entschlüsselt wird.

Volker: Das ist ziemlich cool.

Volker: Im Detail, er hat gezeigt mit Videoaufnahmen, wie das funktioniert hat und er

Volker: hat so ein bisschen Pseudocode auch dargestellt.

Volker: Er hat aber auch im Rahmen von Responsible Disclosure, weil das wohl nicht so

Volker: ohne weiteres von Microsoft fixbar ist, das ist wohl mehr ein Feature als ein

Volker: Bug, hat er nicht im Detail gezeigt, wie es geht.

Volker: Und das ist jetzt, da bin ich jetzt zwiegespalten.

Volker: Das eine, sehr verantwortungsvoll, weil es wohl nicht sehr viel,

Volker: wenn man dann weiß, wie es geht, sehr viel hackerische Fähigkeiten braucht,

Volker: jetzt jegliche Festplatten zu entschlüsseln.

Volker: Zum anderen war der Vortrag nachher aber auch auf einer Ebene,

Volker: wo ich es einfach glauben musste,

Volker: weil einfach Screenshot-Videos gezeigt wurden und diese Screen-Videos,

Volker: Screen-Recordings natürlich irgendwie entstanden sein könnten.

Volker: Also nicht, dass ich es anzweifle, dass das funktioniert und dass es dann auch

Volker: relativ einfach möglich ist, aber dieses, ich habe halt einfach immer ein Problem

Volker: mit dem, das muss ich dann so glauben.

Volker: Das ist so ein bisschen meine Kritik an dem Vortrag, ohne jetzt auch ehrlich

Volker: zu sein, zu wissen, wie ich es hätte besser machen können.

Monina: Ja, ich muss sagen, so Hardware live, gerade Hardware-Hacks oder so live zu

Monina: zeigen, ist meistens immer so ein bisschen tricky, weil es was super gerne in

Monina: meinem Vorführeffekt leitet.

Monina: Das fand ich auch nochmal sehr cool an dem NVIDIA-Vortrag.

Monina: Die hat es auch einfach live vorgemacht. Das hat einmal nicht funktioniert,

Monina: dann hat es nochmal probiert, dann hat es funktioniert.

Monina: Auch inklusive irgendwo eine Spannung anlegen, wo sie nicht hingehört,

Monina: um, ich glaube, die CPU zu belisten.

Monina: Ich weiß nicht mehr genau, wo genau die Spannung dann angelegt wurde.

Monina: Aber das war schön, das dann auch wirklich live mal vorgeführt zu bekommen.

Monina: Das macht es natürlich auch eindrucksvoller. Aber es ist natürlich immer ein

Monina: bisschen schwierig, weil es braucht dann teilweise einfach Zeit, sowas.

Volker: Hast du noch was an Tag 1 gehört oder wollen wir auf Tag 2 übergehen?

Monina: Ja, ich habe tatsächlich noch den Hacking Wash Machines gehört.

Monina: Der war auch sehr amüsant.

Monina: Das waren zwei Leute, die den Vortrag gehalten haben,

Monina: wo es darum ging, eine alte Waschmaschine eigentlich ursprünglich mal zu reparieren

Monina: und danach auseinanderzunehmen, eigentlich die Firmware auszulesen und da ranzukommen,

Monina: dann natürlich ganz viel an der Hardware rumzubasteln und zu gucken,

Monina: wie sich jetzt wo was auslesen lässt an dieser Hardware, um letztendlich dann

Monina: auch eine Methode zu bauen, diese uralte Waschmaschine in ein Smart-Home-System einbinden zu können.

Monina: Oder, wo sie sich dann den Scherz erlaubt haben, eine Miele-Waschmaschine in

Monina: die Bosch-Siemens-App mit einzubinden.

Monina: Das war auch sehr charmant gehalten, der Vortrag.

Monina: Genau, aber das war dann mein letzter auch an dem Tag, der auf der großen Liste stand.

Monina: Ich habe dann noch einen kleinen gehört und habe dann auch aufgegeben.

Monina: Ich wollte mir eigentlich noch das Bluetooth-Headphone-Checking anhören,

Monina: aber das habe ich nicht mehr geschafft an dem Tag.

Volker: Ja, gegen mir ganz genauso. Da war ich dann schon zu Hause und ich glaube,

Volker: da habe ich auch schon geschlafen zu dem Moment.

Volker: Aber das war tatsächlich auch das Ding. Ich muss mal kurz gucken,

Volker: von welcher Firma die Leute sind.

Volker: Nee, das ist eine andere, als ich meine. Ich meinte die Firma, ich glaube, Sys Wars.

Volker: Die hat dieses Bluetooth-Headphone-Hijacking entwickelt,

Volker: wo die Bluetooth-Chips aufgrund einer Fehlkonfiguration,

Volker: wir haben ja irgendwie jetzt nur zwei Hersteller weltweit oder zwei große Hersteller

Volker: und du konntest ja irgendwie dich auf fremde Kopfhörer einloggen,

Volker: um dann deren Sound quasi abzugreifen.

Volker: Aber die Firma war das hier jetzt nicht. Aber okay, Biodynamics.

Volker: Dynamics. Na gut, wir sind zum Glück Kabel gebunden hier bei unseren.

Volker: Okay, den verlinke ich auch nochmal ganz kurz, aber dann gehen wir mal auf Tag 2.

Volker: Hey, wir reden schon 30 Minuten, nur über den Tag 1.

Monina: Wir haben ja nur über die Talks geredet. Das ist ja alles, was drumherum ist,

Monina: noch so viel größer und man kann es sich nicht mehr im Nachhinein anschauen,

Monina: als die Talks, die man hier live auch nochmal nachschauen kann.

Monina: Diese ganzen Events, die nebenher stattfanden. Ich habe es tatsächlich Tag 2

Monina: auch, glaube ich, erst um 16

Monina: Uhr zu den Talks geschafft, weil ich davor unterwegs war auf dem Gelände.

Volker: Ja, ich war vorher schon da. Jetzt muss ich mal gucken, wo ich eingestiegen bin.

Volker: Hier, dieses Agentic Problems, also Prop LLMs, Agentic Problems um 13.30 Uhr,

Volker: den habe ich voll gehört und neue Chaos Events, da bin ich dann so eingestiegen um 12 Uhr.

Volker: Aber ich rede mal über diese Agentic Problems, wo im Wesentlichen eigentlich

Volker: über das allgemeine Thema Prompt Injection gesprochen wurde.

Volker: Und es wird einfach, ich fasse es hier einfach mal zusammen,

Volker: es wird immer kritischer, weil mittlerweile

Volker: KI auf mehr oder weniger Betriebssystemebene implementiert wird.

Volker: Und wenn aber nicht ganz, also sie sind schon informationstechnisch voll deterministisch,

Volker: also wir wissen schon, wenn der Eingangsvektor reingeht, wird das hinten rausgehen,

Volker: aber es ist für uns halt doch chaotisch deterministisch, auch wenn sie das widerspricht.

Volker: Weil wir die ganzen Randbedingungen gar nicht überschauen können.

Volker: Wir wissen also nicht genau, was wird herauskommen.

Volker: Und wenn ein Betriebssystem auf einer nicht deterministischen Ebene arbeitet,

Volker: ist es natürlich sehr aus Security-Sicht immer sehr schwierig,

Volker: wie ich das Betriebssystem jetzt sicher mache, weil ich ja gar nicht weiß,

Volker: was genau rauskommen wird, wenn ich irgendwas reingebe.

Volker: Und ich sage mal, auf dieser Richtung und wie KI-basierte Code-Generierung,

Volker: da war der Vortrag drüber.

Volker: Ja, dein nächster. Warst du da schon da oder soll ich noch was über die Chaos-Pager erzählen?

Monina: Nee, wie gesagt, der nächste, den ich gesehen habe, war der Jahresrückblick.

Volker: Okay, dann mache ich noch kurz die Chaos-Pager und dann gehst du einfach in

Volker: den Jahresrückblick rein.

Volker: Also Chaos-Pager war okay, der Vortrag.

Volker: Da ging es jetzt eigentlich darum, wie sie ein eigenes Paging-System bauen.

Volker: Das waren Studierende und Forschende von der TU Hamburg, also TUHH.

Volker: Und die bauen im Prinzip so für die Sicherheitskräfte beim Chaos Computer Club

Volker: die Sicherheitsengel vom ZERT und alles sowas, wie sie ein Pager-System haben.

Volker: Und da war eine interessante Frage, die fand ich lustig beantwortet,

Volker: gerade für so einen Sicherheitskongress.

Volker: Da wurde nämlich gefragt, wie man die denn gegen Manipulation schützen wolle,

Volker: wie zum Beispiel Fehlalarme oder Hijacking der Pager oder sonst was.

Volker: Und da wurde gesagt, naja, das wäre ja nicht so kritisch, weil die Sicherheitskräfte

Volker: würden sich dann erst nochmal informieren, wenn sie eine Einsatzmeldung gekriegt

Volker: haben über eine Telefonnummer, worum es denn ginge.

Volker: Und zweitens, sie würden ja nur festgelegte Meldungen, also Meldung 1,

Volker: Meldung 2, Meldung 3 oder sowas rüberschicken.

Volker: Ja, da finde ich, da hat den Vortragenden so ein bisschen die Kreativität von Hackern gefehlt.

Volker: Denn wenn ich das Ding jetzt alle zehn Sekunden piepsen lasse,

Volker: einfach nur, weil ich es kann, ist das sicherlich ein bisschen kritisch.

Volker: Und wenn dann unterschiedlich dringende Alarme gesendet werden und ich schaffe

Volker: es zum Beispiel einen dringenden Alarm runter zu priorisieren oder nur hochpriore

Volker: Alarme zu schicken, sodass jedes Mal gleich der Puls bei den Leuten hochgeht,

Volker: schmeißen sie diese Dinger wahrscheinlich irgendwann auch in die Ecke.

Volker: Also da können die Forscher sicherlich da noch ein bisschen arbeiten.

Volker: So, jetzt Monina, Jahresrückblick.

Monina: Genau. Der Jahresrückblick war nett. Also das war eine schöne Übersicht über

Monina: verschiedenste Themen, politisch, als auch alles aus dem Bereich IT und Gesetze

Monina: dazu, die dieses Jahr so passiert sind.

Monina: Also es war schön anzuschauen, war jetzt nichts Neues natürlich dabei,

Monina: weil es ja ein Rückblick per Definition war.

Monina: Aber natürlich auch sehr kurzlebig, dadurch, dass die Leute so ein bisschen

Monina: wie auch in so einer Podcastrunde einfach miteinander am Tisch saßen und geredet

Monina: haben und sich gegenseitig auch ein bisschen angestichelt haben gelegentlich.

Monina: Also es war schön, das anzuhören. Ich möchte kürzlich noch darauf angehen,

Monina: es gab gleichzeitig einen Talk, der relativ belustigend in der Kategorie Art

Monina: and Beauty gelandet ist.

Monina: Persist, Resistance, Stitch. Den habe ich nicht gesehen, aber ich habe schon

Monina: einen Teil nachgeschaut.

Monina: Der hat entgegen dem Hamel, das ist ein Thema Sticken, auch ein sehr spannendes, sehr spannenden,

Monina: sehr spannende Message, was das bisher oder früher zum Beispiel auch an geheimen

Monina: Botschaften übertragen wurde durch dieses harmlose Hobby.

Monina: Also sozusagen Seitenkanäle mal in Hardware, mal anders, mal ohne Computer.

Monina: Das hat mir auch sehr gut gefallen, den muss ich mir noch vorhin anschauen.

Volker: Kannst du dazu was sagen, so als Teaser?

Monina: Wie gesagt, es gab wohl früher auch schon Nachrichten, die übers Sticken übertragen

Monina: worden sind, wie als Seitenkanal,

Monina: weil das natürlich als Frauenhobby sehr unwichtig gesehen wurde und deswegen

Monina: niemand darauf oder relevante oder gefährliche Personen darauf nicht geschaut

Monina: haben und das sich dadurch angeboten hat, darüber Nachrichten zu übertragen.

Monina: Ich meine, letztendlich kann man so eine, wenn man es aus Informatik-Sicht betrachtet,

Monina: ist es ja auch nur ein Haufen von Bits, die auf einer großen Platte stehen,

Monina: so ein Kreuzstich-Pattern beispielsweise.

Monina: Da kann man schon schön Nachrichten reinbringen, auf die verschiedensten Arten und Weise.

Monina: Bisschen wie Bildstegonografie für mich. Deswegen, aber ich müsste mir den Talk

Monina: auch noch fertig anhören. Ich fand ihn bloß sehr spannend tatsächlich.

Monina: So vom Hintergrundgedanken dafür, dass er hier in Art & Beauty steht,

Monina: dem man das ja erstmal gar nicht zutraut, dass es hier um doch auch politische Themen geht quasi.

Volker: Okay, ja, hiernach war ich wieder in der Podcast-Vor- und Nachbereitung.

Volker: Das heißt, ich habe im Prinzip bis 21 Uhr war ich beschäftigt.

Volker: Hast du da noch Empfehlungen?

Monina: Ich habe tatsächlich als nächstes hier auch wieder von den großen Talks erst

Monina: um 21 Uhr die verlorenen Domains auf den Türen, alte Behörden-Domains gehört.

Monina: Der war auch belustigend, gerade wenn man im Behördenumfeld arbeitet und sich

Monina: denkt, ja, das klingt jetzt nicht unglaubwürdig.

Monina: Es war ein bisschen schade, dass die Person, die die entdeckt hat,

Monina: nicht weitergegangen ist beim Untersuchen, finde ich.

Monina: Also teilweise hätte man noch mehr Informationen aus den Domains,

Monina: die da gefunden worden sind, rausholen können. Andererseits hat die Person natürlich

Monina: auch sehr verantwortungsvoll gehandelt,

Monina: da nicht auszusehend irgendwelche Kollateralschäden in Kauf zu nehmen.

Monina: Aber auf jeden Fall auch ein recht lustiger Talk oder kurzweilig, sagen wir mal so.

Volker: Worum ging es denn da?

Monina: Dass es einen Haufen jemals genutzte Domains gibt von Behörden,

Monina: weil Behörden sich halt gelegentlich doch umnennen oder umgenannt werden,

Monina: zusammengelegt werden, aus verschiedensten Gründen irgendwie mal die Domains

Monina: erneuern und dass die Domains natürlich irgendwann auslaufen,

Monina: also dass die irgendwann nicht mehr in öffentlicher Hand sind,

Monina: Aber dann doch vielleicht alte Sachen laufen, die diese Domains noch ansprechen.

Volker: Also die Mails, die da hingeschickt werden oder sowas.

Monina: Zum Beispiel. Oder Dienste, die das anfragen, die da irgendwelche Anfragen hinstellen.

Monina: Und da gibt es wohl relativ viele.

Monina: Also es sind mehrere tausend hier in der Liste gefunden worden.

Monina: Es gibt ganz bestimmt noch mehr.

Volker: Das ist spannend. Das muss ich auch mal ausprobieren.

Volker: Darf man sowas ja nicht. Aber okay, es ist spannend darüber zu hören. Was hast du noch gehört?

Monina: Das war mein Tag, wo ich sehr viel anderweitig unterwegs war.

Monina: Ich glaube, da habe ich sonst keinen großen Talk mehr gehört.

Volker: Okay, dann gehen wir jetzt auf den dritten Tag. Fing an mit Lightning Talks.

Volker: Ja, da merkt man so ein bisschen, finde ich auch,

Volker: wo am Programm vom 39C3 vielleicht ein bisschen geschraubt werden kann,

Volker: weil am ersten Tag oder in den ersten beiden weiß ich gar nicht,

Volker: wo ich parallel überall zugleich hingehen soll.

Volker: Und danach ist das doch schon so ein bisschen exponentieller Abfall und damit

Volker: meine ich jetzt nicht Abfall, wir sind von Müllsorn exponentielles Abfallen

Volker: der spannenden Themen und das ist keine Kritik an den Vorträgen.

Volker: Die Vorträge sind an sich alle super interessant,

Volker: aber diese Titel, die da sind, das sind schon, das ist so ein bisschen Nerdfeeling,

Volker: da muss man ja schon sagen, das wollte ich schon immer mal gehört haben.

Volker: Und da war es dann bei mir so, dass mich vom Titel her erstmal so richtig kaum was angesprochen hat.

Volker: Und dann bin ich so in einzelne Vorträge reingegangen und dachte mir auch,

Volker: Mensch, eigentlich spannend, darüber auch mal was zu hören.

Monina: Aber das ist ja das Problem. Also diese Talks, die sind natürlich aus verschiedensten Gebieten.

Monina: Wir haben hier Art & Beauty, Science, CCC & Community, Hardware, IT, Security.

Monina: Das ist wahnsinnig vielfältig und das kann natürlich jemand anders ganz anders

Monina: gehen, dass den vielleicht jetzt an dem Tag alle Talks gleichzeitig interessiert

Monina: hätten und dafür an einem anderen Tag nicht.

Monina: Also es ist, glaube ich, auch gar nicht so trivial, dieses Programm zusammenzustellen.

Monina: Zusätzlich sind ja in den Assemblies auch lauter Veranstaltungen irgendwelche

Monina: Workshops beispielsweise, dass man sich mit NixOS,

Monina: Developern mal irgendwie ein paar Stunden zusammensitzt und da an Sachen schraubt

Monina: und da hält er dann den Matrix-Leuten. Es waren ja auch wahnsinnig viele,

Monina: Wahnsinnig viele Workshops, zu denen man eigentlich gehen möchte.

Monina: Insofern, diese Vorträge sind ja, weil man die auch nachhören kann,

Monina: wirklich das, was zeitlich am wenigsten fest ist, wenn man auf dem CCC-Kongress ist.

Volker: Also hier will ich mal auf zwei hinweisen, die möchte ich aber gar nicht inhaltlich

Volker: kommentieren, weil ich da auch in moralische Probleme für mich komme.

Volker: Es ist 1445, der rote Vortrag im Saal Ground,

Volker: im Saal G, Ethics, Society, Politics und zwar programmierte Kriegsverbrechen

Volker: über KI-Systeme im Kriegseinsatz in Gaza und warum IT-Fachleute sich dazu äußern müssen.

Volker: Sehr spannender Vortrag, auch zu einem Thema, das ich mit meinen Studierenden

Volker: im Rahmen von Software Engineering und Ethik, ganz, ganz kurze Passage darin, immer einspiele,

Volker: wo ich immer darauf hinweise, nicht alles, was geht, ist gut.

Volker: Und das ist hier noch geschmeichelt.

Volker: Also ich selbst KI-gesteuerte oder supportete Kriegsgeräte, wo ein Mensch nachher

Volker: noch den finalen Knopf drücken muss aufgrund eines Vorschlages,

Volker: Halte ich ähnlich wie dieser Vortrag für sehr schwierig, weil ein gewisser Gewöhnungsprozess

Volker: in Menschen oder mindestens Mensch-Generationen auftreten wird.

Volker: Die erste Generation, die noch vollständig selbst verarbeiten und entscheiden

Volker: muss, wird die KI-unterstützten Entscheidungen sehr stark hinterfragen.

Volker: Die zweite Generation wird schon von der ersten durch Zuschauen trainiert und

Volker: sieht, ach ja, in der Regel passt es ja. und die dritte Generation sagt,

Volker: ja, die KI wird schon recht haben.

Volker: Ich musste ja nie selbst entscheiden und das passt schon.

Volker: Dieser Vortrag, ich finde ihn sehr hörenswert, macht mich auch sehr betroffen,

Volker: dass es solche Systeme gibt und dass die Welt meint, Konflikte und Auseinandersetzungen

Volker: über diesen Weg für sich entscheiden zu müssen, macht mich traurig und betroffen, sage ich es mal so.

Volker: Ja, sehr hörenswerter Vortrag, insbesondere auch auf der Meta-Ebene.

Monina: Das glaube ich, um ein bisschen das Ganze wieder aufzulockern,

Monina: War kurz vorher der Vortrag, war ein komplett anderes Thema.

Monina: Celestial Navigation with Very Little Marps.

Monina: Ein enthusiastischer Segler-Schiffsfahrer, der gezeigt hat, wie man mit verschiedenen

Monina: Methoden, die man auch sich selber basteln kann oder zur Hand haben kann,

Monina: wenn man kein GPS hat, sich berechnen kann, wo man sich auf der Welt aufhält.

Monina: Hat auch ein paar Schablonen gebaut, die einem dabei helfen,

Monina: verschiedene breiten Denkgraden vorzustellen. War also ein, könnte man tätig

Monina: mal selber nachmachen und mitmachen.

Monina: Der Vertrag war auch sehr schön, einfach mal thematisch wo ganz anders angesiedelt.

Monina: Wobei jetzt GPS und Location an sich ja doch ein Thema ist, was üblich vorkommt.

Monina: Aber wie gesagt, hier rein ohne Computer mal, wie man Navigation bestimmen könnte.

Monina: War mal ein bisschen was anderes.

Monina: Welcher Vortrag mir noch empfohlen worden ist, den ich aber auch noch nicht

Monina: geschafft habe nachzuhören, ist nach dem von dir erwähnten Vortrag Upped Down

Monina: in the Mystery of the Burning Data Center.

Monina: Der hat ja irgendjemand gemeint, war wohl auch recht lustig zu hören,

Monina: aber ich habe ihn mir selber noch nicht angehört, deswegen kann ich es da nicht so richtig dazu sagen.

Monina: Und was dann natürlich danach kam, was auch eins von zwei Punkten war,

Monina: die nochmal auch wieder an die elektronische Patientenakte und unser Gesundheitssystem

Monina: und deren Digitalisierung angeknüpft haben,

Monina: war der Vortrag Schlechte Karten, IT-Sicherheit im Jahr, null der EPA für alle.

Monina: Der hat, was du vorhin auch erwähnt hast, teils damit angesprochen,

Monina: diese Schwachstellen in der EPA,

Monina: wie man Daten von Leuten einfach abfragen kann und hat übergeleitet zu einem

Monina: Talk, der dann auch am Tag, ich glaube, vier war,

Monina: der dann auch nochmal auf die Schwachstellen in der EPA geschaut hat.

Volker: Ja, und hier sage ich auch immer, Mensch,

Volker: im Moment habe ich relativ wenig Angst, weil, ich sage mal, im Großen und Ganzen

Volker: funktioniert noch unser Demokratiesystem in Europa und in der Welt.

Volker: Aber was ist, wenn es mal nicht mehr funktioniert und wir jetzt schon durch

Volker: Gesetze und technische Maßnahmen einfach Tür und Tor geöffnet haben,

Volker: dafür, dass es andere Leute machen können,

Volker: die mir vielleicht nicht mehr so wohlgesonnen sind und sie müssen dafür nicht

Volker: mal mehr Gesetze ändern, sondern bewegen sich auf voll legitimen Boden.

Volker: Und da frage ich mich, ob so persönliche Daten wie in einer EPA abrufbar sind,

Volker: ob es die Pseudo-Effizienzerhöhung, die wir uns davon versprechen im Gesundheitssystem,

Volker: rechtfertigt zu den Kosten und zu den Sicherheitsrisiken, die wir immer haben werden.

Monina: Ich finde, das ist ein sehr gutes Beispiel für, hier wäre Security by Design

Monina: einfach wahnsinnig wichtig.

Monina: Es hat sehr viel Sinn in der ganzen Entwicklung.

Monina: Es ist durchaus sinnvoll zu sagen, wir sind in einem Zeitalter,

Monina: wo das einfach mal mitgedacht werden muss, wie man das digitalisiert verwaltet

Monina: und wie man das digitalisiert, was man damit vielleicht sinnvoll machen kann oder auch nicht.

Monina: Wie man Daten übergeben kann, einfach weil das notwendig sein wird,

Monina: um irgendwie hinterher zu kommen und das Ganze ordentlich aufbereitet zu haben für die Leute.

Monina: Das hat einen großen Nutzen, aber nur wenn man von vornherein,

Monina: Security mitdenkt. Also wenn man von vornherein sagt, Security und Privacy ist

Monina: das Hauptziel, dass wir damit auch erfüllen wollen, das ist genauso wichtig

Monina: wie die eigentliche Funktionalität. Und das ist hier irgendwie scheinbar nicht passiert.

Monina: Was sehr schade ist, gerade dadurch, dass es ja öffentlich irgendwie hier finanziert

Monina: ist in letzter Hinsicht.

Volker: Ja, das ist auch tatsächlich mein offener Vorwurf an Politiker.

Volker: Also sie kümmern sich natürlich aufgrund ihrer persönlichen Aufgabe sehr viel

Volker: um Gesetzgebung, natürlich aufgrund ihrer Wähler und ihrer Mandate auch sehr

Volker: viel um Wählerstimmen und um Lobbygruppen.

Volker: Finde ich jetzt gar nicht mal schlimm, den Begriff Lobbygruppe,

Volker: weil das einfach nur erstmal eine Versammlung von Wählerstimmen ist.

Volker: Also es ist okay, solange die keine illegitimen Methoden oder sich einkaufen nutzen.

Volker: Aber mein Vorwurf an Politiker ist, dass wir immer über Gesellschaftsautomatisierung,

Volker: Digitalisierung, Effizienzgewinne reden und diese durch IT machen wollen und

Volker: die Politiker sich leider...

Volker: Ja doch in großem Maße nicht mehr auf dem Niveau von zehnjährigen Grundschulkindern

Volker: in ihren IT-Kenntnissen bewegen.

Volker: Und das finde ich sehr schlimm, weil sie Entscheidungen auf Basis treffen,

Volker: die sie nicht verstehen, diese Entscheidung.

Volker: Und Security by Design sollte für NIS-Systeme, also kritische Infrastruktur,

Volker: eigentlich für alle IT-Systeme, sollte eine verpflichtende Zulassungsvoraussetzung werden.

Volker: Also Security by Design, für die Leute, die sich nicht mit auseinandersetzen,

Volker: heißt das im Softwareentwicklungsprozess.

Volker: Sicherheitsanforderungen im Sinne von Angriffen, die wir uns schon gleich als

Volker: Abwehrmaßnahme vornehmen oder Sicherheitslücken, bekannte Sicherheitslücken,

Volker: gegen die wir unsere Software gezielt stießen wollen, als Anforderungen.

Volker: Also wie Nutzer und Nutzerinnen Anforderungen in die Bedienbarkeit und in die

Volker: Funktion von Systemen gehört bei Security by Design,

Volker: das schon in die Anforderungen herein, gegen die das System nachher auch verpflichtend

Volker: getestet wird und diese Test dann eventuell auch nicht besteht und nicht auf den Markt kommt.

Volker: Ja, dieses Denken ist noch nicht in der Politik beim Gesetzgeber angekommen

Volker: und deswegen werden wir immer solche Lücken in solchen kritischen Systemen haben, was sehr schade ist.

Volker: Ja, was ich von mir aus noch dann gehört habe und dann ist für mich der Tag

Volker: drei auch leider schon wieder vorbei, vielleicht für Monina noch nicht.

Volker: Ich habe mir noch diesen Palantir-Vortrag um 20.30 Uhr im Saal One angehört.

Volker: Ja, ich hoffe, vielleicht hören auch die Vortragenden, Konstanze Kurz und Franziska

Volker: Görlitz, dass ich fand ihn jetzt nicht gut. Also ich fand ihn nicht spannend.

Volker: Er war, vielleicht setzt er mich damit auch zu sehr auseinander,

Volker: aber er war irgendwie Public Information nochmal aufbereitet.

Volker: Für mich war da jetzt nichts Überraschendes drin.

Volker: Palantir ist nicht gut als System.

Volker: Es macht automatisierte Auswertungen, die möglicherweise intransparent und schwierig sind.

Volker: Sorry, nichts, was mich als Informatiker und das sind ja IT-interessierte Personen

Volker: und das sind ja die Leute auf dem Kongress ernsthaft jetzt überrascht hat.

Volker: Insbesondere wenn man die Diskussion über Palantir sowieso irgendwie mitkriegt aus den Medien.

Volker: Also ich habe mir echt deutlich mehr erhofft an Oh Gott oder Oh Hilfe oder Ach wirklich?

Volker: Aber nö, ich hätte den Vortrag jetzt ganz ehrlich auch nicht hören müssen.

Monina: Ja, die Vorträge sind unterschiedlich technisch tief. Also ich fand auch ein

Monina: paar, hätte ich mir auch mehr technische Tiefe gewünscht, aber das ist halt

Monina: auch immer unterschiedlich, wer die Vorträge hört. Für manche mag das ja sehr spannend gewesen sein.

Monina: Für mich war der Tag tatsächlich da noch nicht ganz rum. Ich habe mir noch kleine

Monina: Vorträge, unter anderem ein gutes Konzert von einer Band am Späti angehört.

Monina: Und bin dann noch als Abschluss an dem Tag zu dem Vortrag von Nico Semstrott

Monina: über die Prüfdemos gegangen.

Monina: Der war natürlich, wenn man Nico Semstrott kennt und mag, amüsant.

Monina: Und endete mit gemeinsamen Singen der Zuhörenden.

Volker: Was macht der Vortrag? Was hat der? Also Prüf heißt Prüfung rettet übrigens Freiheit.

Monina: Genau, also das geht bei der Kampagne, die Nico Semsrott da humoristisch vorstellt,

Monina: darum, alle Parteien zu prüfen, ob sie gesichert rechtsextrem sind und ob man sie verbieten müsste.

Monina: Also eigentlich geht es hier hauptsächlich um das Prüfen und nicht um das Verbieten

Monina: als Schwerpunkt, Und weil die Aussage ist, nur das Prüfen kann ja nicht schaden,

Monina: weil wenn eine Partei entsprechend nicht rechtsextrem ist, wird ihr ja nichts passieren.

Monina: Letztendlich muss man, glaube ich, nicht viel mehr dazu sagen.

Volker: Was ich jetzt spannend fand, das ging aber um rechtsextrem oder ging das um

Volker: extremistisch, also auch linksextrem?

Monina: Es geht hier gezielt um die rechtsextremen Verdachtsfälle oder die gesichert rechtsextremen.

Monina: Es gibt da die Demos jeden zweiten Samstag im Monat, denen sollen wohl alle

Monina: Landeshauptstädte kommen, ist bisher glaube ich in drei Bundesländern waren die.

Monina: Und damit sind wir auch schon bei Tag 4, ne?

Volker: Genau, Tag 4. Und da muss ich jetzt ganz offen zugeben,

Volker: also ich habe tatsächlich von Anfang an gefolgt, dass um 11 Uhr,

Volker: dann habe ich leider so ein bisschen aus Rückenschmerzproblemen dann um gegen

Volker: 13 Uhr den Kongress verlassen,

Volker: habe aber noch remote mir angehört,

Volker: Security Nightmares und Closing Ceremony.

Volker: Auch da, hier will ich jetzt gar keinen Vortrag mehr hervorheben,

Volker: aus meiner Sicht, ist so eine Fortsetzung aus diesem Aha-Highlight-Erlebnis

Volker: von Tag 1, so, oh Gott, ja, das hätte ich ja nie gedacht, über Tag 2, Tag 3, naja,

Volker: ach ja, es sind ja auch interessante Vorträge, bis Tag 4, spannende Themen,

Volker: aber jetzt nichts mehr, wo man sagt,

Volker: boah, das war jetzt aber noch so ein Exploding-Highlight oder sowas, Also für mich.

Volker: Nachher Security Nightmares, so die Zusammenfassung um 14.30 Uhr in Saal 1 und

Volker: die Closing Ceremony waren wieder ganz nett anzusehen, sagen wir es mal so.

Monina: Ja, ich habe tatsächlich an dem Tag noch zwei andere Talks gehört.

Monina: Ich habe mir morgens den I hated all the cross-stitch software,

Monina: so I made my own angehört. Der war recht nett.

Monina: Ein bisschen chaotisch, aber auch ganz, ganz süß dargestellt,

Monina: wie kleine Probleme einem dazu, die ein bisschen Zeitkosten dazu führen können,

Monina: dass man sehr viel Zeit rein investiert,

Monina: Programme für Sachen zu schreiben, die dann genau für einen selber nutzbar sind.

Monina: Also das ganz klassische Informatiker-Problem.

Monina: Also der hat mir sehr viel Spaß gemacht zuzuhören, auch wenn er jetzt,

Monina: sage ich mal, für mich wahrscheinlich keinen Wert in der Zukunft bietet,

Monina: dass ich darauf irgendwas aufbauen kann.

Volker: Da habe ich eine tolle Karte von der Chaos Post gesehen, eine neue.

Volker: Die haben ja immer so diese tollen Sprüche-Postkarten, meine ich auch tatsächlich so.

Volker: Und eine hieß Hours of Debugging saved me minutes of reading the documentation.

Monina: Genau, sowas. Aber den fand ich trotzdem sehr schön. Der hat mir sehr Spaß gemacht.

Monina: Als Talk am Morgen war der schön.

Monina: Dann habe ich danach noch den Security of Cardiac im Plan der Electronic Devices angehört.

Monina: Aber zumindest zu Teil, ich glaube, da bin ich spät eingestiegen,

Monina: deswegen hat mir ein bisschen der Zusammenhang an manchen Stellen gefehlt.

Monina: Deswegen konnte ich dem auch nicht ganz so gut folgen.

Monina: Werde ich mir aber auch nochmal nachhören, um den nochmal komplett im Kopf zu haben.

Monina: War auch ansonsten ganz interessant, wobei nein, stimmt, ich glaube,

Monina: der ist tatsächlich gar nicht aufgezeichnet worden aus dem Hintergedanken heraus,

Monina: dass es Sachen gibt, auf die man Leute nicht auf Ideen bringen möchte,

Monina: was man mit Sachen anstehen könnte.

Volker: Bei Herzschrittmachern, muss ich sagen, da hört jegliche Art,

Volker: selbst Späße drüber zu machen, auf.

Monina: Ja, ich meine, es muss jemand untersuchen, um zu sagen, da wären Schwachstellen,

Monina: die muss man beseitigen. Aber es ist natürlich ein...

Volker: Das wäre ein tolles Stichwort. Security by Design, ne? Hatten wir da, glaube ich, gerade.

Monina: Das sind ganz klassische Sachen, wo man nicht leichtfertig mit umgehen sollte.

Volker: Und feine Lifehacks, bitte. Also, ja.

Volker: Genau.

Monina: Genau,

Monina: du hast ja schon gemeint, Security Nightmares habe ich auch gesehen,

Monina: der war leicht gewichtig gut zu folgen. Die Closing Ceremony habe ich dann verpasst.

Monina: Ich fand aber den Security Nightmares ganz nett, aber jetzt natürlich auch nichts weltbewegend Neues.

Monina: War eine Zusammenfassung, was es dieses Jahr an Sicherheitslücken gab und was

Monina: man da nächstes Jahr vielleicht erwarten kann.

Volker: Ja, und dann die Closing Ceremony. Ich sag mal, das war das schön gemachte Pendant

Volker: zur Opening Ceremony, auch wieder von Stella und Pajowu vorgetragen.

Volker: Sehr schön, war noch eine nette Zusammenfassung.

Volker: Stella hat auch schon diverse Designs für,

Volker: also ist die Grafikerin, die quasi diese Animationsfiguren im Hintergrund dann

Volker: noch mit entworfen hat und vorgeführt hat, um das nochmal ein bisschen zu illustrieren

Volker: und natürlich dann noch mit vorgetragen hat.

Volker: Ja und das war irgendwie auch schon die Zusammenfassung von dem Kongress.

Volker: Sehr bunt, sehr unterschiedlich. Auf jeden Fall bin ich beim nächsten wieder mit dabei.

Volker: Das freut mich auch, dass ich dieses Mal zum ersten Mal vom Kongress auch live

Volker: übertragen durfte. Auch wirklich vielen, vielen herzlichen Dank,

Volker: auch wenn ich es tausendmal gesagt habe, an das Sendezentrum,

Volker: dass wir unsere gesamte Ausrüstung nicht mitschleppen mussten.

Volker: Auch das erste Mal, dass ich so ein bisschen das Glück hatte,

Volker: als Presse da akkreditiert zu sein, was, ich sag mal, ein ganz klein bisschen,

Volker: nicht Freiheit, aber Möglichkeiten noch gegeben hat. Das fand ich sehr schön.

Volker: Ja, Monina, wie ist deine Zusammenfassung?

Monina: Ich habe am letzten Tag auch noch ein paar Leute gefragt, was ihre Highlights

Monina: waren und ich stimme dem durchaus zu.

Monina: Also die Talks sind cool, aber das Highlight ist natürlich, dort vor Ort zu

Monina: sein, mit den Leuten zu reden, zu sehen, wie viel Kreativität alle mitbringen.

Monina: Es sind so viele Projekte, die da durch die Luft fliegen, wo Leute auch spontan

Monina: was aus dem Boden stampfen oder sich Mühe gemacht haben, da wochenlang Vorbereitungen

Monina: zu treffen, um Sachen mitzubringen.

Monina: Die ganzen Workshops, die stattfinden, die kleinen Talks, die noch irgendwo

Monina: zwischen Tür und Angel stattfinden, die Gespräche, die da sind,

Monina: also die ganze Atmosphäre und die Leute, mit denen man in Kontakt kommen kann,

Monina: die alle wahnsinnig toll kreativ und bunt sind,

Monina: das ist so das eigentliche Highlight für mich gewesen, auch vom CCC,

Monina: also vom Kongress dieses Jahr.

Monina: Einfach diese Atmosphäre mitzunehmen, das alles mitzuerleben.

Volker: Och, 16.000 Leute da. Also ich könnte nicht mal sagen, ob es 10.000 oder 16.000

Volker: oder 20.000 waren, aber es war einfach überwältigend brechend voll.

Volker: Ich habe auch versucht, dann immer mal wieder Leute zu treffen.

Volker: Ja, es hat auch wirklich funktioniert mit. Wir treffen uns zu dieser Zeit an

Volker: diesem Punkt und ich springe hoch und leuchte mit dem Laserpointer,

Volker: weil ansonsten hast du keine Chance, irgendwie jemanden zufällig mal über den Weg zu laufen.

Monina: Ich finde, das hat am besten funktioniert, wenn man nicht nach Leuten gesucht

Monina: hat, dann Leute zu treffen. Das hat bei mir am besten funktioniert.

Monina: Ich habe immer Leute gefunden, wenn ich niemanden gesucht habe.

Volker: Also die meisten Leute habe ich getroffen, da vielleicht ein ganz kleiner schmunzelnder

Volker: Kommentar in Richtung Konferenzorganisation,

Volker: wenn ich auf den Rolltreppen gestanden habe, kurz vor Beginn eines Vortrags,

Volker: weil die Leute nämlich immer in Bubbles vor den Vortragssaal Türen gestanden

Volker: haben, bis in den Rolltreppen-Ausfahrbereich,

Volker: sodass du quasi Rugby- oder Football-Player-mäßig da runterrennen musstest von

Volker: der Rolltreppe, Weil natürlich die restlichen 30 Leute auf der Rolltreppe auch

Volker: dich auch in diese Bubble reingeschubst haben.

Volker: Also da vielleicht ein ganz klein bisschen mehr diese Rolltreppenbereiche frei

Volker: halten, damit man auch von dieser Rolltreppe runterkommt.

Volker: Aber na gut, nicht scherz beiseite. Aber ja, Monina, hast du noch was zu sagen?

Monina: Nächstes Jahr gerne wieder.

Volker: Ja, ich auch.

Monina: Ansonsten, also ich kann jedem nur empfehlen, das auch mal mitzumachen,

Monina: der sich für irgendwas davon an Themen interessiert. Das ist eine tolle Erfahrung.

Monina: Und ansonsten hoffe ich, dass ich alle tollen Menschen da nächstes Jahr auch wiedersehe.

Monina: Das war die Sicherheitslücke mit unserer Folge live, oder was heißt live,

Monina: oder Nachblick vom CCC-Zusammenfassung unserer Highlights vom 39C3-Chaos-Kongress.

Monina: Unser Podcast, die Sicherheitsdicke, den könnt ihr überall dort hören,

Monina: wo ihr Podcasts hört, hört gerne auch in unsere anderen Folgen rein.

Monina: Unsere Kapitelbildchen normalerweise und auch sonst immer von der fantastischen

Monina: Anne und produziert von Christian und ansonsten gefördert von der Hamburg Open Online University.

Monina: Vielen Dank, dass wir das machen können. Ich wünsche euch allen einen wunderschönen Januar.

Volker: Ja, ich euch auch. Tschüss.