Sendezeit: 21:30-23:00 Uhr, jeden vierten Dienstag im Monat
= Pentaradio-Sammelpad =
Aufgaben dieses Pads:
- Vorbereiten von Sendungen (Themenvorschläge, News, Kommentare, Infosammlung, usw.)
- Begleiten von Sendungen (Shownotes, TopicPicking)
- Sendungshistory für vergangene Sendung vorhalten bis diese im Anschluss anderweitig abgelegt werden
Studio-Telefon (während der Sendung): 0351-32054711, Skype:coloradio
Feedback erwünscht unter: https://pentamedia.org
Es wäre zu überlegen, ob wir die Sendungsvorbereitung gleich so weit wie möglich im Open Shownotes Format machen, um dann wärend der Sendung nur noch die Timestamps einzufügen.
- https://github.com/shownotesArchive/OSF-in-a-Nutshell/blob/master/OSF-in-a-Nutshell.de.md
- https://shownot.es/doc/pentaradio-Jan16/
Statistiken: http://www.hq.c3d2.de/p-Ideenfindungentastats/
== Themenvorschläge ==
Mediawiki, Semantic Wiki, Extensions (honky)
Arbeiten bei Mozilla (Xyrill, Henrik Skupin)
MRT (Xyrill, Jens) - siehe unten
Sailfish OS (honky)
OpenTechSchool Leipzig wären schöne Interviewgäste
Politik im Hackerspace: Anarchismus, Liberalismus und der Zahn der Zeit
cryptospass: https://hedgedoc.c3d2.de/pentaradio-bitcoin
update backup: https://hedgedoc.c3d2.de/pentaradio-backup-nas
==2022==
https://codimd.c3d2.de/pentaradio-2022-01
https://codimd.c3d2.de/pentaradio-2022-02
https://codimd.c3d2.de/pentaradio-2022-03
https://codimd.c3d2.de/pentaradio-2022-04
https://codimd.c3d2.de/pentaradio-2022-05
https://codimd.c3d2.de/pentaradio-2022-06
https://codimd.c3d2.de/pentaradio-2022-07
https://codimd.c3d2.de/pentaradio-2022-08
https://codimd.c3d2.de/pentaradio-2022-09
https://codimd.c3d2.de/pentaradio-2022-10
https://codimd.c3d2.de/pentaradio-2022-11
https://codimd.c3d2.de/pentaradio-2022-12
==2021==
https://codimd.c3d2.de/pentaradio-2021-01
https://codimd.c3d2.de/pentaradio-2021-02
https://codimd.c3d2.de/pentaradio-2021-03
https://codimd.c3d2.de/pentaradio-2021-04
https://codimd.c3d2.de/pentaradio-2021-05
https://codimd.c3d2.de/pentaradio-2021-06
https://codimd.c3d2.de/pentaradio-2021-07
https://codimd.c3d2.de/pentaradio-2021-08
https://codimd.c3d2.de/pentaradio-2021-09
https://codimd.c3d2.de/pentaradio-2021-10
https://codimd.c3d2.de/pentaradio-2021-11
https://codimd.c3d2.de/pentaradio-2021-12
== 2020==
https://hackmd.c3d2.de/pentaradio-2020-01
https://codimd.c3d2.de/pentaradio-2020-02
https://codimd.c3d2.de/pentaradio-2020-03
https://codimd.c3d2.de/pentaradio-2020-04
https://codimd.c3d2.de/pentaradio-2020-05
https://codimd.c3d2.de/pentaradio-2020-06
https://codimd.c3d2.de/pentaradio-2020-07
https://codimd.c3d2.de/pentaradio-2020-08
https://codimd.c3d2.de/pentaradio-2020-09
https://codimd.c3d2.de/pentaradio-2020-10
https://codimd.c3d2.de/pentaradio-2020-11
https://codimd.c3d2.de/pentaradio-2020-12
== Seit April 2019 ==
https://hackmd.c3d2.de/pentaradio-2019-04
https://hackmd.c3d2.de/pentaradio-2019-05
https://hackmd.c3d2.de/pentaradio-2019-06
https://hackmd.c3d2.de/pentaradio-2019-07
https://hackmd.c3d2.de/pentaradio-2019-08
https://hackmd.c3d2.de/pentaradio-2019-09
https://codimd.c3d2.de/pentaradio-2019-10
https://codimd.c3d2.de/pentaradio-2019-11
https://codimd.c3d2.de/pentaradio-2019-12
und so weiter
== März 2019: Wir sind die Bots, Uploadfilter sind zwecklos ==
Pentapad ist ziemlich buggy bei mir (Xyrill). Lasst uns mal HackMD probieren: https://hackmd.c3d2.de/pentaradio-2019-03
== Februar 2019 ==
"Roboter - machines serving somebody"
News:
- GesellschaftMachtTechnik erwähnen (oder einladen?), siehe https://hackmd.c3d2.de/plenum-2019-2
- Verweis auf die Gesprächsrunde beim MDR: https://www.mdr.de/sachsenradio/podcast/audio-956750.html
- neuer Podcast von Xyrill: https://xyrillian.de/noises/st/001-eigenbaukombinat-halle/
- Apple Is Blocking Linux User-Agent on appleid.apple.com: https://fosstodon.org/@alexbuzzbee/101633318704187857
- Aktionstag gegen Uploadfilter am 23. März - (oder am 2. in Berlin) - Europaparlament entscheidet März / April https://netzpolitik.org/tag/uploadfilter/ https://juliareda.eu
- viel zu viele stille SMS: https://netzpolitik.org/2019/deutlich-mehr-stille-sms-auch-in-bundeslaendern/
Erstmals unter Verschluss
* die Bundespolizei im 2. Halbjahr 50.654 „Stille SMS“, vorher waren es noch 38.990.
* BKA 21.337 „Stille SMS“ versandt, rund ein Drittel weniger als im Jahr zuvor.
* Bundesamt für Verfassungsschutz (BfV) letztes Jahr 180 000
* Zoll ähnlich
* Die Zahlen zum Bundesnachrichtendienst waren hingegen schon immer geheim.
- Funkzellenabfragen-Informationssystem in Berlin -> https://fts.berlin.de/
Definition Roboter:
https://de.wikipedia.org/wiki/Roboter
Ein Roboter ist eine technische Apparatur, die üblicherweise dazu dient, dem Menschen häufig wiederkehrende mechanische Arbeit abzunehmen. Roboter können sowohl ortsfeste als auch mobile Maschinen sein und werden von Computerprogrammen gesteuert. Die Wortbedeutung hat sich im Laufe der Zeit gewandelt.
https://de.wikipedia.org/wiki/Roboter#Definition_nach_VDI-Richtlinie_2860
Roboter in der Populärkultur:
- Maria (Metropolis)
- Westworld
- T-800
- TARS & CASE
- HAL 9000 (noch Roboter?)
Robotwars/Roboteers: http://forum.roboteers.org/
Hebocon!
Beispiele für Roboter im Alltag:
Kaffeemaschine
Geschirrspülmaschine
Staubsauger
3D Drucker
CNC Fräse
HoverBoards
Autonome Autos?
https://www.turag.de/
http://www.teamhector.de/
https://github.com/PaulPetring/amosero/ amosero :)
Beispiele militärisch:
- Vorläufer Goliath (Leichter Ladungsträger im MhM in Dresden im Original zu sehen!)
https://de.wikipedia.org/wiki/Goliath_(Panzer)
- Samsung SGR-A1 (erster vollautomatischer Kampfroboter)
https://de.wikipedia.org/wiki/Samsung_SGR-A1
- SWORDS, Gardium, Predator,
...
https://www.youtube.com/watch?v=hMtABzjslXA
sand flea
hexapod
bigdog
LS3
atlas
spot mini
Beispiele Wissenschaft/Raumfahrt:
Robonaut 2 ( https://de.wikipedia.org/wiki/Robonaut ) Macht Wartungsarbeiten an der ISS
Cimon ( https://de.wikipedia.org/wiki/Cimon_(Roboter) ) Basiert auf IBM Watson
Erkundung von anderen Planeten: Spirit, Opportunity, Curiosity, ...
PTScientist Lunar-Rover/Asimov: https://de.wikipedia.org/wiki/Part-Time_Scientists#Audi_lunar_quattro
Mars Rover Curiosity https://en.wikipedia.org/wiki/Curiosity_(rover)
Beispiele Wirtschaft:
Amazon Robotics, formerly Kiva Systems https://www.youtube.com/watch?v=cLVCGEmkJs0
Kuka Robotics https://www.kuka.com/en-de/products/robot-systems
Geschichte der Robotik:
https://de.wikipedia.org/wiki/Robotik#Geschichte
Theater und Musikmaschinen aus der Antike
1205 "Automata" (Buch des Wissens von sinnreichen mechanischen Vorrichtungen)
1495 Leonardo da vinci Pläne für Androiden https://upload.wikimedia.org/wikipedia/commons/4/45/Leonardo-Robot3.jpg
1740 Jacques de Vaucanson (Erfinder programmierbarer Webstuhl)
Ende 19Jh. militärisches Interesse
Jules Verne schrieb eine Geschichte über eine Menschmaschine
1920 führte der Schriftsteller Karel Čapek den Begriff Roboter für einen Androiden ein
Erfindung des Transistors 1947
1955 kamen erste NC-Maschinen auf den Markt (Geräte zur Steuerung von Maschinen)
1954 meldet George Devol in den USA ein Patent für einen programmierbaren Manipulator
https://de.wikipedia.org/wiki/Industrieroboter
Um 1970 wurde auch der erste autonome mobile Roboter Shakey (der Zittrige) am Stanford Research Institute entwickelt.
https://de.wikipedia.org/wiki/Shakey_(Roboter)
1973 KUKA Famulus https://de.wikipedia.org/wiki/Famulus_(Roboter)
---- Musik? ----
Robotik Mischung aus Elektrotechnik, Informatik, Mathematik
Actoren
- Motortypen, DC, Stepper, Servo, Getriebevarianten allgemein
- Motortreiber mit H-Brücken z.B. ln298, VNH2SP30, TMC2130
- PWM
Accumulatoren:
- AAA
- LiPo
- NiMh
- Autobarrerien
- klassische Flüssigtreibstoffe ala Diesel, Benzin etc.
Sensoren & Prozessoren
- Distanzsensoren: HCSR04 (Ultraschall), VL53L0X (ToF mit IR-Pulsen)
- Sensoren: IMUs, Temperaturfühler, encoder,
- Xtion, Kinect, Laserscanner, Lidar
- Arduino, ESP32, Raspberry Pi, Odroid-H2
Mathematik in der Robotik:
- Trajektorien https://de.wikipedia.org/wiki/Trajektorie_(Physik)
- Matrizentransformationen
- Kalman Filter https://en.wikipedia.org/wiki/Kalman_filter
- SLAM (Simultaneous localization and mapping)
- Richtungsangaben:
* http://wiki.ros.org/Robots/TIAGo/Tutorials/motions/cmd_vel
* http://docs.ros.org/api/geometry_msgs/html/index-msg.html
Software
- Einzelsystem bis Verteiltes System
- Wiederbenutzbarkeit von Funktionalität
- Simulierbarkeit
- Lizenzen
- Robot Frameworks Microsoft Robotics Developer Studio, Cyberbotics Webbots, Player Project and
- ROS [1] ros.org
turag.de
Gesellschaftlich
Die Asimov’schen Gesetze lauten: https://de.wikipedia.org/wiki/Robotergesetze
- Ein Roboter darf kein menschliches Wesen (wissentlich) verletzen oder durch Untätigkeit (wissentlich]) zulassen, dass einem menschlichen Wesen Schaden zugefügt wird.
- Ein Roboter muss den ihm von einem Menschen gegebenen Befehlen gehorchen – es sei denn, ein solcher Befehl würde mit Regel eins kollidieren.
- Ein Roboter muss seine Existenz beschützen, solange dieser Schutz nicht mit Regel eins oder zwei kollidiert.
Sources:
[1] https://defendtheplanet.net/wp-content/uploads/2015/03/amosero.pdf
== Januar 2019 ==
"Boxxing gegen Doxxing"
Zum Einspielen: Gar nicht so einfach #4 -> https://xyrillian.de/noises/gnse/004-color-spaces/
News:
35c3:
- es war kongress, bund, farbe, yeahhhhhhh
- buehne chaoszone
- vorträge unter media.ccc.de
Content:
- Doxing - veröffentlichung von Dokumenten (https://de.wikipedia.org/wiki/Doxing
- Was genau ist passiert.
- „@G0D” Adventskalender, veröffentlicht Türchenweise
- „Es befinden sich liberal positionierte Youtuber und Prominente darunter, bei den Parteien wurde einzig die AFD ausgespart. " https://www.mopo.de/hamburg/hackerangriff--chaos-computer-club-gibt-antworten--so-lief-der-daten-raub-ab-31827902
- neben Kopien von Ausweisen, privaten Familien-Chats, Handy-Nummern und E-Mail-Adressen, Mietverträgen etwa auch eine Tageskarte für die Berliner Erotik-Messe "Venus"
- „Die Angreifer scheinen ein paar Nachlässigkeiten begangen zu haben, indem Sie die Zeitpunkte des Zugriffs in den veröffentlichten Daten hinterlassen haben, ebenso wie charakteristische Grammatikfehler oder persönliche Ansichten zu bestimmten Vertretern”
- http://www.fr.de/politik/bundestag-hackerangriff-auf-hunderte-politiker-a-1648327
- https://www.mopo.de/hamburg/hackerangriff--chaos-computer-club-gibt-antworten--so-lief-der-daten-raub-ab-31827902
- https://www.rbb24.de/politik/beitrag/2019/01/hackerangriff-btleaks-belin-was-wir-wissen.html
- https://www.huffingtonpost.de/entry/wieso-der-grosse-hackerangriff-auf-politiker-vielleicht-gar-keiner-war_de_5c3077b0e4b0bcb4c25bf66b
- https://www.heise.de/newsticker/meldung/Politiker-und-Promi-Hack-Taeter-hat-sich-wohl-schon-2016-verraten-4271251.html
- Promi-Doxxer 0rbit, Nullr0uter in Hessen festgenommen
- https://www.heise.de/newsticker/meldung/Gehackte-Daten-Politiker-beklagen-schweren-Angriff-auf-die-Demokratie-4265847.html
- 07.01.2019 03:00 Uhr Hausdurchsuchung
- https://www.zdf.de/nachrichten/heute/chaos-computer-club-angreifer-hat-viele-fehler-gemacht-durchsuchungen-in-heilbronn-nach-datenklau-100.html
- Es wurden sehr viele Metadaten, Zugriffszeiten und Motivationen, Rechtschreibfehler, eigene Gedanken in diesen Daten hinterlassen", sagte CCC-Sprecher Linus Neumann
- "Cyber-Abwehrzentrum plus"
- Staatsanwälte ermittelten schon dreimal gegen Tatverdächtigen
- Doxing: Der Kampf um Datensicherheit wird auf unseren Computern entschieden
Bewertung danach, Reaktion der Politik, Cyber-Polizei,
Doxxing vorbeugen oder gegensteuern:
- Welche daten könnten weg sein?
- have i been pawned (https://haveibeenpwned.com/)
- Daten aus Darknet
- Wie weiter bei datenverlust?
- incident response management (https://de.wikipedia.org/wiki/Incident_Management)
- Wie sollten gute Passwörter aussehen?
- viele zeichen
- passwort manager
- kein passwort recycling
- Absicherung der eigenen Daten!
- Nicht alles zu facebook -> auch wenn es mir egal ist, kommunikation hat immer mehrere partner und dennen muß es nicht egal sein
- Full disk encryption -> schon mal einen laptop liegen gelassen? Handy weg? etc.
- E-Mail Passwort ist Zentrallschlüssel
- Daten signieren und signaturen überprüfen
- Datenschutz für fremde Daten!
- DSGVO
- Offline Datenschutz
- Adressen auf Papier (Schreddern!)
- Updates Updates Updates
- Wer heute noch auto updates deaktiviert sollte sich strafbar machen
== geplant für Januar 2019, aber zurückgestellt wegen Terminkonflikt ==
"MRT - Magnet-Resonanztomografie"
Vorgeschlagen von unserem Gast Jens, der mehrere Jahre an einem MRT im Patientenkontakt gearbeitet hat.
Musik
Note to self: Den physikalischen Teil eher kurz fassen, kann man auch bei Wikipedia nachlesen.
- physikalisches Prinzip
- Längsmagnetisierung: Schichtprobe in statischem Magnetfeld -> Protonen-Spins richten sich aus, leichtes Ungleichgewicht zwischen Up- und Down-Spins aufgrund Deuteriumanteil im Wasserstoff
- deuterierte Lösungsmittel erhöhen die Signalstärke
- Quermagnetisierung: Hochfrequenz-Impuls lässt Spins umklappen und im Gleichschritt rotieren
- pro Gewebe unterschiedliches Verhältnis der Relaxationszeiten zwischen Quer- und Längsmagnetisierung -> Messung mit RF-Antennen
- Ortskodierung: Gradientenmagnetfeld variiert entlang aller Achsen -> ortsveränderliche Frequenzen
- Arten der Messung
- T1-Messung: schaut nur Längsmagn. an -> Wasser hell, Fett dunkel
- T2-Messung: schaut nur Quermagn. an -> Wasser und Fett hell
- mit und ohne Fettsättigung: Fettanteile können unterdrückt werden
- Subtraktion von Bildern in der Nachbearbeitung (z.B. um Kontrastmittel zu sehen: Blutgefäße, Tumore, etc.)
- Angiografie (Gefäßdarstellung) ohne Kontrastmittel: Anregung des Blutes in einer Schicht, dann Messung in der nächsten Schicht (denn Blut fließt in die nächste Schicht)
Musik
- aus Sicht des Betreibers/Patienten
- starke Kühlung
- Quenching in Notfallsituationen; aber manchmal gibt es auch Helium-Engpässe
- Helium verdrängt Luft
- Fall: aktuelle iPhones haben Timing-Chips, die durch Helium verstopfen und aussetzen -> super Helium-Leck-Detektor
- Fall: Quench-Rohr von einem nistenden Vogel blockiert
- starke Magnetfelder
- bitte nicht mit Kreditkarten, Herzschrittmachern, Schlüssel, Taschenmessern
- Büroklammern reinwerfen: pendeln entlang der Röhrenachse
- Wirbelströme bremsen Aluminium-Objekte
- laute Geräusche
- nicht durch bewegliche Teile
- Spulen vibrieren durch die stark veränderlichen Magnetfelder, trotz Kunstharz-Einschluss
- Hochspannung
Musik
== November 2018 ==
"Auf der Himbeere Arbeiten"
News:
Ich höre jetzt einfach mal auf, Nachrichten zu sammeln. Das ist schon genug für ne halbe Stunde, und wir wollen ja auch noch ein Thema machen. :)
----
https://www.c3d2.de/news/pentaradio24-20130122.html
pentaradio24: Raspberry PI -> Astro @ Montag, 21. Januar 2013 um 15:23 Uhr
===Raspberry Pi Geschichte und Modelle===
https://de.wikipedia.org/wiki/Raspberry_Pi
Raspberry Pi Foundation:
- Die ist eine (wohltätige) Stiftung, ihr gehört Raspberry Pi Trading (Spaltung 2013)
- gegründet 5. Mai 2009
- Ziel: das Studium der Informatik und verwandter Themen zu fördern, besonders an Schulen.
- The Foundation is supported by the University of Cambridge Computer Laboratory and Broadcom
2006 angefangen mit der Entwicklung "Cambridge’s Computer Laboratory"
Prototyp mit einem Atmel-ATmega644-Mikrocontroller
https://www.zdnet.com/pictures/photos-of-the-raspberry-pi-through-the-ages-from-the-prototype-to-pi-3/
The board uses an Atmel ATmega644 microcontroller clocked at 22.1MHz, and a 512K SRAM. Nineteen of the Atmel's 32 general-purpose input/output pin lines are used to drive the SRAM address bus. The board could output a 320×240 resolution image to a display.
2008 kam der BBC micro game Elite Entwickler David Braben dazu
- kam Anfang 2012 auf den Markt
- Produktion von China nach Wales, in eine Fabrik des Unternehmens Sony
- Am 14. Mai 2013 kam ein Kameramodul für den Raspberry Pi in den Handel
- 9. Juni 2014 lieferbar[32] ist das Raspberry Pi Compute Module (Pi im DDR2-SODIMM)
- Am 14. Juli 2014 wurde das Modell B+ (Anzahl der GPIO- und der USB-Ports erhöht, die Leistungsaufnahme verringert und die Audioausgabe verbessert)
- 10. November 2014 wurde das Modell A+
- 2. Februar 2015 wurde der Raspberry Pi 2 Model B (1 GB Arbeitsspeicher und einen Vierkernprozessor vom Typ Broadcom BCM2836 auf ARM-Cortex-A7-Basis mit einer Taktfrequenz von bis zu 900 MHz)
- 26. November 2015 wurde der Raspberry Pi Zero (wi A+ nur schmal, mini HDMI, mikro usb
- Raspberry Pi 3A+
- Bis Ende 2017 wurden mehr als 17 Millionen Geräte verkauft
===Raspberry Pi Randwissen===
HATs (HAT: Hardware attached on top)
kein SATA Raspberry Pi USB 2.0 > mSATA Konverter Board
kein ADC?
läuft auch bei 3.5V
Das „Pi“ steht für „Python interpreter“
Pi-Day 3.14
the UK's best-selling PC of all time.
Extrem stromsparend
Raspberry Pi 4 mit Google AI > https://www.bbc.com/news/technology-38742762
artificial intelligence and machine learning
Made in UK <> Made in PRC
14 million sold, 10 million in UK
https://www.raspberrypi.org/forums/viewtopic.php?f=63&t=75996
https://www.zdnet.com/article/14-million-raspberry-pis-sold-10-million-made-in-the-uk/
Raspberry Pi B+ kann Netboot ohne SD-Karte
Commodore 64 Units Sold: About 17 Million
had a 1MHz CPU and two big draws: a powerful, programmable sound chip and powerful graphics for a 1982 computer. Even better, the Commodore 64 cost a reasonable $595 and had 64KB of RAM (hence the name). And the Commodore 64 could be plugged into a TV, making it a hybrid computer/video game console.
Commodore Amiga 500 Units Sold: About 6 Million
NEC PC-98xx series: etwa 15 Millionen
Raspberry Pi Bootprocess
https://raspberrypi.stackexchange.com/questions/10442/what-is-the-boot-sequence
===Raspberry Pi Shields===
PoE
StromPi
Motortreiberboards
Gertboard - Gert van Loo - an IO expansion board
Raspberry Pi to Arduino Shields Connection Bridge
SX1272 LoRa Shield for Raspberry Pi - 868 MHz
4G + GPS Shield for Raspberry Pi – LE910 - (4G / 3G / GPRS / GSM / GPS / LTE / WCDMA / HSPA+)
RFID 13,56 Mhz shield for Raspberry Pi
CAN Bus Shield for Raspberry Pi
RS232 / RS-485 / Modbus Shield for Raspberry Pi
Radiation shield for Raspberry Pi + Geiger Tube
HVAC IR Remote Shield for Raspberry Pi
WiFi shield for Raspberry Pi
HiFiBerry AMP2 Verstärker
Raspberry Pi TV HAT (uHAT) Modul für DVB-T2
Pi-Top Lautsprecher (Speaker)
MEGA-IO 8-fach Relais Karte
PiXtend ePLC Basic V2
8 x 8 LED Matrix Modul
Soundkarten
===Raspberry-Pi Betriebssysteme===
ArchLinux
CentOS
Fedora Workstation
Raspbian Stretch
FreeBSD
NetBSD
OpenSUSE
Q4OS
RaspAND
Sparky Linux
Ubuntu Mate
SliTAZ
DietPi
Funtoo
LibreELEC
Sabayon Base
OpenELEC
OSMC
Volumino
Max2Play
PiMusicbox
OpenMediaVault
Ubos
ZeroShell
OpenWRT
YunoHost
IPFire
AlpineLinux
KaliLinux
ParrotSecurity
Hypriot
RetroPie
Lakka
PiPlay
IchigoJam Basic Ppi
Kano OS
Windows 10 IoT Core
openHAB
Rasplex
Tizen
OctoPi
RiscOS Open
MagicMirror 2
Raspberry Slideshow
===Raspberry Anwendungen===
* Heimserver (openHAB)
* Adblocker
* Webserver
* Sensordaten
* Anlagensteuerung
* IOT
=== eigene Projekte ===
* Netzwerk eingangspunkt
* Torserver
* Heizungssteuerung
* Küchenradio
== Oktober 2018 ==
zum Einspielen: Gar nicht so einfach #3 -> https://xyrillian.de/dl/gnse-003-power-network-frequency.flac (Laufzeit 00:07:34)
"Vermischtes"
"Chaosausblick, Code, Steuern, Whois DSGVO"
Gerade laeuft die Privacy week in Wien - noch bis Sonntag im Naturkundemuseum
https://privacyweek.at/
Letzte Kongresse
nächstes Jahr Camp
ChaosZone
https://hackmd.c3d2.de/ChaosZone35C3
https://c3d2.de/news/35c3-chaos-zone.html
https://chaoszone.cz
http://www.spiegel.de/panorama/gesellschaft/halle-mann-stirbt-bei-explosion-von-fahrkartenautomat-a-1234310.html
https://www.t-online.de/nachrichten/panorama/kriminalitaet/id_84656650/halle-an-der-saale-fahrkartenautomat-explodiert-mit-todesfall.html
Linus zieht sich zurück? https://www.pro-linux.de/news/1/26306/linus-torvalds-nimmt-auszeit-vom-kernel.html -> irgendwelche Treffen kollidierten mit FamilienUrlaub, deswegen kurze Auszeit und komischerweise neueEigenbaukombinatr Code of Conduct
20.09.2018 GitLab streicht 100 Millionen US-Dollar Risikokapital ein
https://www.heise.de/developer/meldung/GitLab-streicht-100-Millionen-US-Dollar-Risikokapital-ein-4168549.html
- 145 Millionen US-Dollar an Fördermitteln. Sie mögen beim für November 2020 geplanten Börsengang
- Wert des Unternehmens jedoch auf 1,1 Milliarden US-Dollar geschätzt.
Github
Gruenes Licht fuer Uebernahme
https://windowsunited.de/eu-gibt-gruenes-licht-microsoft-darf-github-uebernehmen/
Endlich der DOS sourcecode mit freier lizenz
https://www.golem.de/news/microsoft-quellcode-von-ms-dos-frei-auf-github-verfuegbar-1810-136872.html
lesen konnte man ihn schon
https://www.golem.de/news/ms-dos-und-word-for-windows-microsoft-gibt-source-code-frei-1403-105372.html
https://status.github.com/messages
-> Massive Probleme mit Speichersystem Gists sind verloren gegangen usw
---------------------
Schweizer Steuer-App speicherte alle Daten öffentlich in der Cloud
https://www.heise.de/newsticker/meldung/Schweizer-Steuer-App-speicherte-alle-Daten-oeffentlich-in-der-Cloud-4167240.html
Apple- Tim Cook mag die DSGVO
https://www.heise.de/mac-and-i/meldung/Apple-Boss-in-Deutschland-Grosser-Fan-der-Datenschutzgrundverordnung-4197911.html
DSGVO-Verstoß: Krankenhaus in Portugal soll 400.000 Euro zahlen
https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-Krankenhaus-in-Portugal-soll-400-000-Euro-zahlen-4198972.html
- Großteil davon ist die Strafe dafür, dass viel zu viele Personen Zugriff auf Patientendaten hatten
- Für einen anderen Verstoß wurden 100.000 Euro Strafe verhängt
- zuviele Nutzer mit dem Profil "Techniker"
- 985 aktive Benutzer mit einem Profil "Arzt" -> lediglich 296 Ärzte eingeteilt
DSGVO Keine Namen mehr auf Klingeln in Wien
https://www.heise.de/newsticker/meldung/Anonymer-Wohnen-mit-DSGVO-Wiener-Mieter-kriegen-Klingelschilder-ohne-Namen-4190060.html
DSGVO: ICANN debattiert zentrales Whois und schon den Zugriff darauf
https://www.heise.de/newsticker/meldung/DSGVO-ICANN-debattiert-zentrales-Whois-und-schon-den-Zugriff-darauf-4198916.html
Internet Corporation fohttps://www.heise.de/mac-and-i/meldung/Apple-Boss-in-Deutschland-Grosser-Fan-der-Datehttps://www.heise.de/mac-and-i/meldung/Apple-Boss-in-Deutschland-Grosser-Fan-der-Datenschutzgrundverordnung-4197911.htmlnschutzgrundverordnung-4197911.htmlrhttps://www.heise.de/mac-and-i/meldung/Apple-Boss-in-Deutschland-Grosser-Fan-der-Datenschutzgrundverordnung-4197911.html Assigned Names and Numbers
gerade kein richtigen Zugriff auf Whois-Daten
Schwierigkeiten bei der Strafverfolgung
Gefahr wegen Abmahnindustrie
Vodafone-Kunden in Leipzig in den Genuss von Verbindungen von bis zu 1000 Megabit pro Sekunde im Download
https://www.heise.de/newsticker/meldung/Highspeed-Internet-fuer-Sachsen-Gigabit-Anschluesse-fuer-600-000-Haushalte-4200422.html
Leipzig 280.000 Haushalte für diese Geschwindigkeit freigeschaltet. Bis Ende 2019 sollen es sachsenweit mehr als 600.000 sein vor allem in den drei Großstädten und in Görlitz
Gegenzug habe Sachsen zugesagt, die Mobilfunknetzbetreiber durch Bereitstellung geeigneter BOS (Behördenfunk)-Standorte
Für Weltoffenheit, gegen Pegida: Mehr als 10.000 Bürger demonstrieren in Dresden
https://www.mdr.de/sachsen/dresden/dresden-radebeul/ticker-dresden-pegida-jahrestag-gegendemos-100.html
waren 560 Beamte am Sonntag im Einsatz
Überwiegend störungsfreie Demos
Gastwirte Sauer weil weniger Verkauf
Die Forschungsgruppe Durchgezählt aus Sachsen schätzt, dass zwischen 3.200 bis 4.100 Menschen bei Pegida demonstriert haben. Auf der Gegenseite haben die Forscher per Flächenschätzung etwa 5.200 bis 6.300 Demonstranten festgestellt.
Auffällig unauffällig: Das Tor-Netzwerk – Interview mit Jens Kubieziel
https://netzpolitik.org/2018/auffaellig-unauffaellig-das-tor-netzwerk-interview-mit-jens-kubieziel/
Brasilien vor der Wahl: Desinformation und Gerüchte millionenfach über WhatsApp verbreitet
https://netzpolitik.org/2018/brasilien-vor-der-wahl-desinformation-und-geruechte-millionenfach-ueber-whatsapp-verbreitet/
-werden millionenfach WhatsApp-Nachrichten mit Verschwörungstheorien über Fernando Haddad und seine Arbeiterpartei PT an brasilianische Wähler
- mehrere hunderttausend Chat-Gruppen
-auch in Bildern (Memes)
Forderungen der Forscher: Weiterleitungen von Nachrichten einschränken, Sammelnachrichten beschränken, Die Größe von neuen Gruppen beschränken
Facebook im Bundestag: Mehr als 300.000 deutsche Nutzer unter erbeuteten Profilen bei Daten-Leck
https://netzpolitik.org/2018/facebook-im-bundestag-hunderttausende-deutsche-nutzer-unter-erbeuteten-profilen-bei-daten-leck/
führt zu :
https://netzpolitik.org/2018/facebook-datenleck-drei-fehler-30-millionen-erbeutete-profile/
Laut Facebook soll eine Kombination aus drei voneinander unabhängigen Software-Fehlern zu der Sicherheitslücke geführt haben. Eine wesentliche Rolle spielte dabei die Funktion „Anzeigen aus der Sicht von…“, die den Zugriff auf sogenannte Access Tokens von Profilen ermöglichte. Solche Access Tokens funktionieren praktisch wie Passwörter und ermöglichen die Übernahme der entsprechenden Profile. Die Funktion „Anzeigen aus der Sicht von…“ wurde nun sicherheitshalber deaktiviert.
Für Deutschland 173.229 Nutzer*innen seien Namen und Kontaktinformationen inklusive Handynummern und E-Mail-Adresse
Bei 142.721 anderen wurden weitere hochsensible Daten erbeutet. Welche das sind, weiß man aus früheren Angaben von Facebook: Geschlecht, Sprache, Beziehungsstatus, Religion, Herkunftsstadt, Wohnort, Geburtsdatum, Bildung und Arbeitsplatz, außerdem eine Liste der Seiten, denen die Personen folgen, und ihre fünfzehn letzten Suchanfragen auf der Plattform.
Fake review factories that run on Facebook and post five-star Amazon reviews
https://www.theguardian.com/money/2018/oct/20/facebook-fake-amazon-review-factories-uncovered-which-investigation
Britisches Python-Paket klaut Bitcoin
https://www.golem.de/news/pypi-malware-britisches-python-paket-klaut-bitcoin-1810-137260.html
colourama in PyPi zu finden, eine Abwandlung eines bekannten Pakets namens colorama.
-> macht Terminalausgaben unter Windows bunt :|
Termine:
https://c3d2.de/calendar.html
=== News ===
- AMD funtionierender 7nm Prozess im Labor
- Intel soll 10-nm-Node eingestampft haben
- Soyus Fehlstart
- Eine der meist geflogenen Raketen
- Rettung per Rettungsrakete
- Einziger bemannter Zugang zum All derzeit nicht verfuegbar
- koennte Mission von Alexander Gerst verlaengern
- verringerte Besatzung auch der ISS
- Messwerte und Statistik
- Aktuelles Beispiel Stickoxide
- Am Auto
- In der Stadt
- Messorte bzw. -bedingungen sollten representativ gewaehlt sein
- Ist das der Fall sollte eine geringfuegige Aenderung dieser wenig Aenderung im Ergebnis bewirken
- Ist das der Fall sind kleinraeumige Fahrverbote nicht representativ und daher nicht zielfuehrend
== September 2018 ==
Ich mache gern per call-in mit, wenn das funktiooniert, mal kurz für 10 minuten, wir haben heute abend congressmeeting @ c-base, aber da kann ichEigenbaukombinat kurz weggehen. Nur falls ihr dazu lust habt. dank und grusz, ajuvo 0163 63 61 555
"Datenspuren - Hinter den Kulissen".
* zum Einspielen: "Gar nicht so einfach #2" -> https://xyrillian.de/dl/gnse-002-time.flac
* Es waren Datenspuren
Interessante Dinge&Talks:
Talks
Politik
Kontrollinstanzen Nachrichtendienste
DEMOCRACY
Coding & Hacking
Spieleentwicklung in Haskell
Freeing the Binary Format of the reMarkable e-ink Tablet
Unterhaltung
Pentanews Gameshow
Hebocon Finale
u.a.
Workshops
Wie surfe ich sicher im Internet?
Arduino: 8 Beine für ein kleines Halleluja
Crimpworkshop
GNUnet Workshop
u.a.
Kunst
SSID Sniffer
Tetris (Kazoosh)
Lion Hofmann (Motorad im Hof)
Spiegelbild (drehende Scheibe mit LEDs) Sebastian Hempel
Lion Hoffmann
Grische Lichtenberger
Fabien Zocco
Bauhaus Fm (inkl. Anlage i.V.)
Kazoosh
Bilder Kerstin
Karsten
u.a.
Zentralwerk
Fabmobil
Hebocon
Baozi
Statistiken:
~X Besucher aus ganz Deutschland
~18+1 gestreamte und aufgenommenen Vorträge (https://datenspuren.de/2018/mitschnitte.html)
~>= 8 Workshops
~250m Nähgarn vernäht
~200 Unique MAC Adresses
~15KG Kartoffeln für Pufferoverflow
~100L Mate -> 0.5 KG Koffein
zum Vergleich Koffein pro 100 ml
- Club Mate 20,0 mg
- Kaffee 80,0 mg
- Coca Cola 10,0 mg
- Schwarzer Tee 35,0 mg
~641 Baozi gesamt, davon:
184 Hirtentäschelkraut
256 Gemüse Minis (2x128)
179 Schwarzer Sesam
102 Azuki Bohne
48 Taro
Behind the scences:
ORGA Treffen allgemein
Poeple behind the scences
Pentaradio hörer helft nach aufruf intensiv bei DS
Danke an alle
Entschuldigung für Chaos (?! Molton !?)
Corporate Identity
T-Shirt Auswahl und Bestellprozess
Plakate drucken und beantragen, auf- und abhängen
Flyer (1x CFP, 1x Final)
Speaker organisieren
Bestellung Hardware Hebocon (aliexpress, yeah)
Catering - Chinesisch und Indisch (vegan, vegetatrisch etc)
Versicherung
Antrag Kunst und Kulturstiftung
VOC
VOC erklären
SD Karte mit Urlaubsfotos
defektes HDMI Kabel
Danke VOC
Ausblick:
Next CCC Event
FIFFCon (httpis://2018.fiffkon.de/)
Upcomming
Congress 35c3
Camp 2019
nächste Datenspuren
=== News ===
"Clear all cookies" löscht ab Chrome 69 die Google-Cookies nicht mehr.
== August 2018 ==
* zum Einspielen: "Gar nicht so einfach #1" -> https://garnichtsoeinfach-podcast.de
* Simon ist gerade in Liverpool geht danach zum EMF: at Eastnor Castle Deer Park, Ledbury.
* Pufferoverflow: Sonntag, 5. August 2018 um 19:30 Uhr
* Hebocon vorbasteln: https://media.c3d2.de/u/honky/collection/2018-08-05/
=== News ===
* Bomben und andere Waffen durch WiFi erkennen: https://gizmodo.com/a-group-of-engineers-say-theyve-created-a-way-to-detect-1828361739
* Let's Encrypt Root trusted by all major Root Programs: https://letsencrypt.org/2018/08/06/trusted-by-all-major-root-programs.html
## Browser/Internet
* Firefox mag Symatec Certs nicht mehr: Wer nutzt das? bahn.de https://www.heise.de/security/meldung/Transportverschluesselung-Firefox-misstraut-TLS-Zertifikaten-von-Symantec-4146077.html
* Demo gegen Uploadfilter: https://www.heise.de/newsticker/meldung/EU-Urheberrechtsreform-Rund-200-Buerger-demonstrieren-gegen-Upload-Filter-4145948.html
* Twitter macht API für Drittclients kaputt. Mastodon explodiert.
## Sprachen
* Java wird endlich kostenpflichtig: https://www.heise.de/developer/artikel/Wird-Java-jetzt-kostenpflichtig-4144533.html
* Go kompiliert zu WebAssembly: https://www.heise.de/developer/meldung/Programmiersprache-Go-1-11-laesst-sich-nach-WebAssembly-kompilieren-4145941.html
## Boulevard
* Melania mahnt mehr Anstand im Netz an: https://www.heise.de/newsticker/meldung/Trump-beleidigt-Gegner-auf-Twitter-First-Lady-fordert-mehr-Anstand-im-Netz-4142349.html
* Twitter sperrte Parodie der Polizei Sachsen für mehrere Stunden wegen "der vermeintlich im Namen der Polizei rechtliche Schritte gegen Schmähungen ihres Mitarbeiters in den Raum stellte" https://netzpolitik.org/2018/twitter-sperrte-parodie-der-polizei-sachsen-fuer-mehrere-stunden/
* Twitter geht gegen "Streaming Apps" vor http://apps-of-a-feather.com/ (und dreht damit third party Apps quasi ab) 15 Nutzer sind frei, Pricing for Premium access is $2,899 per month for 250 users. (was 12$ wären pro Nutzer)
* Merkel beruft "Digitalrat" https://www.heise.de/newsticker/meldung/Digitalisierung-Merkel-beruft-Digitalrat-4141214.html
https://netzpolitik.org/2018/digitalrat-diese-zehn-sollen-merkels-verkorkste-netzpolitik-retten/
zwei Mal im Jahr tagende Gremium
10 Leute, fehlende Zivilgesellschaft
* Firefox entfernt RSS Reader: https://www.heise.de/newsticker/meldung/Mozilla-entfernt-RSS-Reader-aus-Firefox-4121155.html
* Meanwhile in a different part of the Planet: China überwacht Minderheiten mit Dronen https://netzpolitik.org/2018/chinesische-regierung-weitet-ueberwachung-von-religioesen-minderheiten-aus/
* Japan fügt millionen neuer Nextcloud Instanzen hinzu : https://nextcloud.com/blog/japan-to-add-millions-of-new-nodes-to-federated-nextcloud-network/
* NEC Platforms, Ltd. and Waffle Computer, Ltd.,
* weltweit estimated 25 Millionen Nutzer die Daten mit anderen Servern teilen können
* Nextcloud 14 ist angekündigt und bringt Federation 2.0
* Testla Firmware entwickler mit auslaufendem NDA:
https://twitter.com/atomicthumbs/status/1032939617404645376
- alles in einem Datencenter, wenig Redundanz
- komischer umgang mit den Mitarbeitern
## Science
* Mars Rover versandet: https://www.heise.de/newsticker/meldung/Verstummt-fuer-immer-Mars-Rover-Opportunity-nach-Staubsturm-still-4145874.html
*
## Law and Order
* immer wieder Staatstrojaner: https://www.heise.de/newsticker/meldung/Staatstrojaner-Anwaelte-und-Journalisten-ziehen-vors-Bundesverfassungsgericht-4144936.html
* Zwiebelfreunde: Hausdurchsuchungen bei Datenschutz-Aktivisten rechtswidrig https://www.heise.de/newsticker/meldung/Zwiebelfreunde-Hausdurchsuchungen-bei-Datenschutz-Aktivisten-rechtswidrig-4144826.html
* Reality Winner verurteilt: https://www.heise.de/newsticker/meldung/NSA-Whistleblowerin-Reality-Winner-verurteilt-4144653.html
* Störerhaftung immer noch unklar: https://www.heise.de/newsticker/meldung/BGH-urteilt-zur-Haftung-fuer-offene-WLAN-Hotspots-4120784.html
* DSGVO: Keine Abmahnwelle aber mehr Selbstanzeigen bei Datenverlußt: https://netzpolitik.org/2018/meldepflicht-bei-datenschutzpannen-deutlich-gestiegene-zahlen/
* Killerdrohnen kann man bald aus dem Flugzeug sehen: https://netzpolitik.org/2018/automatisches-ausweichen-militaerische-drohnen-sollen-bald-neben-zivilen-flugzeugen-fliegen/
## Sicherheitslücken
* Windows local root: https://www.heise.de/security/meldung/Zero-Day-Luecke-in-Windows-Microsoft-Statement-steht-noch-aus-4147028.html
* Foreshadow:https://www.heise.de/security/meldung/Spectre-NG-Foreshadow-gefaehrdet-Intel-Prozessoren-4137209.html
* SegmentSmack/FragmentSmack: https://www.heise.de/security/meldung/Jetzt-patchen-Linux-Kernel-anfaellig-fuer-Denial-of-Service-Angriffe-4130697.html
* Intels neue CPUs nur gegen Meltdown+L1TF geschützt: https://www.heise.de/newsticker/meldung/Intel-erklaert-Hardware-Schutz-gegen-Spectre-Meltdown-Luecken-4144368.html
* nach 19 Jahren OpenSSH Lücke zum Nutzer raten: https://www.heise.de/security/meldung/Updates-schliessen-19-Jahre-alte-Sicherheitsluecke-in-Remote-Tool-OpenSSH-4144267.html
* Postscript: https://www.heise.de/security/meldung/Bislang-kein-Patch-Gefaehrliche-Sicherheitsluecken-im-PDF-Postscript-Interpreter-Ghostscript-4143153.html
* Pwnie-Awards: John McAfee erhält Hacker-Oscar
https://www.heise.de/security/meldung/Pwnie-Awards-John-McAfee-erhaelt-Hacker-Oscar-4132321.html
* Android AT-Commands: https://www.heise.de/security/meldung/Android-Smartphones-durch-AT-Modembefehle-aus-den-80ern-angreifbar-4147013.html
## MSFT
* Windows 7 noch immer weiter verbreitet als Windows 10: https://data.firefox.com/dashboard/hardware
* Ungepatchte Lücke in Win 10 https://www.heise.de/security/meldung/Zero-Day-Luecke-in-Windows-Microsoft-Statement-steht-noch-aus-4147028.html
=== Datenspuren ===
22-23. September im Zentralwerk
gleichzeitig Regiotreffen
zwei Sääle, Workshops, Fabmobil im Hof,
erstmalig Kunst mit unterstützung der Kulturstiftung
Einblick ins Frabs:
Arduino: 8 Beine für ein kleines Halleluja
Attiny85 Einsteiger Kurs für 10 Leute
by honky
Hebocon Finale
Zwei Roboter, ein Tisch - Fight!
by honky
Pentalöten bis was bilnkt
PentaBlink bis PentaStump es wird gelötet
by honky
Hebocon?
Zwei Roboter, ein Tisch - Fight!
by honky
Spieleentwicklung in Haskell
oder: Wie verbringt man die Zeit, die man auf den Compiler wartet.
by nek0
live coding music
Use SonicPi to make your crowd dance!
by hejn
Wie surfe ich sicher im Internet?
ein Demo-Workshop
by nek0
Hausvernetzung
Mehr als 1 Wohnung mit mehr als 1 LAN/WLAN
by Astro
Intertech
live coded music and visuals
by hejn
Wie man in 69 Jahren einen Überwachungsstaat aufbaut
by Lennart Mühlenmeier
NAT Gateways for the Masses
by Simon Hanisch
Augmented Reality in der Gesellschaft: Möglicher Nutzen und Gefahren
by preip
Irgendwas mit Blockhain
Auf Wunsch von honky
by vv01f
Verfassungsschutz und was er* uns wissen lassen will
Ein tiefer Blick in die Verfassungsschutzberichte 2017, im Vergleich.
by Projekt Seehilfe
WPIA - ein Trust Service Provider
Das Audit kommt - was tun?
by Reinhard Mutz
Autonomes Fahren
eine Technikfolgenabschätzung
by Johannes Ritz
Der Weg zur eigenen GnuPG Smartcard
by Volker
Freeing the Binary Format of the reMarkable e-ink Tablet
by ax3l
DEMOCRACY
Vom Weg, alle BundesbürgerInnen zu Bundestagsabegordneten zu machen
by visionmakery, Ulf Gebhardt
netphil-dummy
Ein Beitrag der Dresdner Technikphilosophie
by ajuvo
Irgendwas
cooles
by Martin Christian
Dämonenhonig
Das ist nur zu Ihrer Sicherheit
by Sebastian Huncke
Pentanews Gameshow
Penta News Game Show
by klobs
Level Up your Monitoring
ein monitoring-techtree walkthrough
by André Niemann
Lightningtalks
5 Minuten für Deine Ideen
by bigalex
Program verification with SPARK
When your code must not fail
by JK
== Juli 2018 ==
I � Unicode
"insert topic here" Unicode ?! -> Mojibake!
ooder I � Unicode :)
Vorstellung
===News: ===
* Datenspuren rücken näher -> CFP So 29. Juli 2018 https://frab.cccv.de/en/DS2018/cfp
* die neue Datenschleuder ist da! (20.Juli.2018)
* Hausdurchsuchungen im Chaosumfeld (Zwiebelfreunde)
https://www.ccc.de/de/updates/2018/unrechtmaige-hausdurchsuchung-polizei-reitet-erneut-beim-chaos-computer-club-ein
https://logbuch-netzpolitik.de/lnp260-eine-hausdurchsuchung-kommt-selten-allein
* Arbeitseinsatz im Zentralwerk am 28.
* 30K fuer heisse Luft erfolgreich
* Fast 40k erreicht
* weiterer Plan?
* Dank an alle Spender
* Upload Filter https://www.heise.de/tp/features/Ein-trauriger-Tag-fuer-das-Internet-und-Europa-4087651.html
* Google Rant
* Öffi app wird bei google ausgeworfen (jetzt exklusiv bei F-Droid) - google monopol problem
* https://www.heise.de/newsticker/meldung/Google-entfernt-Nahverkehrs-App-Oeffi-aus-dem-Play-Store-4104626.html
* https://www.heise.de/newsticker/meldung/4-3-Milliarden-Euro-EU-Kommission-verhaengt-Rekordstrafe-gegen-Google-4113754.html
Außerdem untersagt es Google den Herstellern, Geräte mit Android zu verkaufen, wenn sie gleichzeitig auch Modelle mit abgewandelten Versionen des Betriebssystems im Angebot haben.
* https://de.statista.com/infografik/10029/strafen-fuer-wettbewerbsverstoesse-in-der-eu/
https://bitwarden.com/
https://www.mail-archive.com/python-committers@python.org/msg05628.html
Optional
// https://www.theregister.co.uk/2018/07/03/stork_mobile_theft/
// Macmoon http://www.worldofindie.co.uk/?p=682
// PeerTube!
"Nach der Musik geht es weiter mit..." Morse-Code vom Wort "Unicode"
Musik
=== Encoding Geschichte ===
Morse Code
https://de.wikipedia.org/wiki/Morsezeichen -> auch mal vorspielen und erklären
-> konstantes Signal ein- und ausgeschaltet
-> Ton Funk, Mechanisch oder Licht
Samuel Morse 1833 Der verwendete Code umfasste damals nur die zehn Ziffern; die übertragenen Zahlen mussten mit Hilfe einer Tabelle in Buchstaben und Wörter übersetzt werden.
Alfred Lewis Vail, ein Mitarbeiter Morses, entwickelte ab 1838 den ersten Code, der auch Buchstaben umfasste. Er bestand aus Zeichen von drei verschiedenen Längen und unterschiedlich langen Pausen.
Ein Seenotruf wurde erstmals 1909 über Funk gemorst. ... --- ...
Bis 2003 vorgeschrieben für Amateurfunk für unter 30MHZ
heute noch für Funkfeuer und UNESCO KulturErbe
----- Soundfile morse_A abspielen ----
A · −
binary - Wie werden Zahlen am Computer dargestellt?
A chr(65) 01000001
ASCII
https://de.wikipedia.org/wiki/American_Standard_Code_for_Information_Interchange
ANSI
https://de.wikipedia.org/wiki/ANSI-Zeichencode
Windows Codeseite 1252 auf einem ANSI-Entwurf beruhte, der später weitgehend zum ISO Standard 8859-1 wurde
windows1252 -> word files
Unicode (Wikipedia)
https://de.wikipedia.org/wiki/Unicode
UTF-8 (Wikipedia)
https://de.wikipedia.org/wiki/UTF-8
vorher UCS-2, UTF-16, UTF-32
Musik
Technical Reports/Annexes
https://www.unicode.org/reports/index.html
* Normalisierung
* Textsegmentierung (Wörter, Zeilen, Absätze)
* Collation (Textsortierung)
Herausforderungen beim Rendering
* bidirektionales Textlayout
* Ligaturen, Glyphenwahl
* Graphem-Cluster
* Font-Auswahl
* Emoji: https://unicode.org/emoji/proposals.html
List of Unicode characters (Wikipedia) https://en.wikipedia.org/wiki/List_of_Unicode_characters
Search for character(s) in Unicode 10.0.0 https://unicode-search.net/
=== Sicherheitslücken und Bugs auf Grund von Textencoding ===
Apple Shutdown wenn xy in Nachricht
effective. Power لُلُصّبُلُلصّبُررً ॣ ॣh ॣ ॣ 冗
WhatsApp -> Schwarzer Punkt -> https://bgr.com/2018/05/07/whatsapp-emoji-crashes-app-android-fix/
Mojibake (文字化け; IPA: [mod͡ʑibake]) is the garbled text that is the result of text being decoded using an unintended character encoding.[1] The result is a systematic replacement of symbols with completely unrelated ones, often from a different writing system.
Rechts nach Links Unicode 202e
big list of naughty strings:
https://github.com/minimaxir/big-list-of-naughty-strings
https://gojko.net/2017/11/07/five-things-about-unicode.html
relevant XKCD https://xkcd.com/1137/
https://www.joelonsoftware.com/2003/10/08/the-absolute-minimum-every-software-developer-absolutely-positively-must-know-about-unicode-and-character-sets-no-excuses/
0000 0000 as end of text
mysql utf8 types utf8mb4 (four bytes)
Musik
== Juni 2018 ==
"Cloud Computing"
Vorstellung
===News und Nachtrag ===
* Auch mit DSGVO noch nicht alle gestorben
* Aussagen zu Fotos in der letzten Sendung etwas zu generell
* Kunsturhebergesetz von WTF 1907 nicht wirklich anwendbar
* Aussage nicht wirklich sicher möglich - Praxis muss das zeigen
* Weitere Folge Rechtsbelehrung: https://rechtsbelehrung.com/dsgvo-einschraenkungen-fuer-fotografen-rechtsbelehrung-folge-56-jura-podcast/
* Bundestrojaner wurde freigegeben https://netzpolitik.org/2018/geheime-dokumente-das-bundeskriminalamt-kann-jetzt-drei-staatstrojaner-einsetzen/
* Microsoft kauft github 7.5 Mrd $
* Blender und MIT Open Courseware von Youtube verbannt
* LazyFPU http://blog.cyberus-technology.de/posts/2018-06-06-intel-lazyfp-vulnerability.html
* 30k für Heiße Luft: https://www.startnext.com/30000-fuer-heisseluft
* Der Rechtsausschuss des EU-Parlaments entschied sich am Mittwoch für die Einführung von Uploadfiltern und Leistungsschutzrecht. https://netzpolitik.org/2018/netzpolitischer-wochenrueckblick-kw-25-uploadfilter-und-ueberwachungsausbau/ https://netzpolitik.org/2018/schlag-gegen-die-netzfreiheit-eu-abgeordnete-treffen-vorentscheid-fuer-uploadfilter-und-leistungsschutzrecht/
* R.I.P. Netzneutralität https://netzpolitik.org/2018/netzneutralitaet-usa-verabschieden-sich-vom-offenen-internet/
* Massenüberwachung am DE-CIX rechtswidrig?: Nein https://netzpolitik.org/2018/bnd-vor-dem-bundesverwaltungsgericht-massenueberwachung-am-de-cix-rechtswidrig/
* Bestandsdatenauskunft 2017: Behörden haben alle zweieinhalb Sekunden abgefragt, wem eine Telefonnummer gehört https://netzpolitik.org/2018/bestandsdatenauskunft-2017-behoerden-haben-alle-zweieinhalb-sekunden-abgefragt-wem-eine-telefonnummer-gehoert/
* Barley fordert Offenlegung der Schnittstellen von Messengern
Musik
===Cloud Computing ===
* The NIST definition of cloud computing: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf mit fünf Grundanforderungen
* on-demand self-service: Nutzer kann selber Ressourcen klicken, ohne Support-Mitarbeiter zu involvieren
* broad network access: kein anbieterspezifischer Client erforderlich, erstmal alle Ports offen
* resource pooling: Ressourcen werden unter mehreren/allen Kunden nach Bedarf aufgeteilt
* rapid elasticity: Ressourcen können kurzfristig zugeteilt und zurückgegeben werden
* measured service: leider zu vage für eine Kurzzusammenfassung :-)
==== Aspekte ====
* IaaS - Infrastructure as a Service
* Compute (Hetzner)
* Network (Akamai, Cloudflare)
* Storage (Backblaze)
* alles aus einer Hand und beliebig viel: Hyperscaler
* Amazon Web Services
* Google Cloud Platform
* Microsoft Azure
* PaaS - Platform as a Service (Heroku)
* SaaS - Software as a Service
* B2B (Firmensoftware aus der Cloud: Salesforce, SAP)
* Build Server (Travis CI)
* Website-Hosting (1&1, Strato)
* Gaming (NVidia Grid)
* 4 Liefermodelle
* Private Cloud: innerhalb einer Organisation für verschiedene Teams
* Community Cloud: innerhalb einer Gruppe von Organisationen
* Public Cloud: für jedermann zugänglich
* Hybrid Cloud: mehrere Clouds, die miteinander verknüpft sind
* Auch die meisten der Services die du online nutzt laufen letztendlich auf cloud infrastruktur.
* Mailprovider
* Twitter
* Facebook
* Github, Gitlab, bitbucket
* Je nachdem betreibt die der Anbieter selber oder auch er mietet das von einem der großen Anbieter
Musik
==== Effekte von Virtualisierung ====
* Formal kann der Nutzer Admin des eigenen Systems sein
* Läuft partiell Hardwareunabhängig
* Direkte Hardwareunterstützung nicht möglich
* Einfacher Umzug in eine andere Cloud moeglich
==== Cloud zum Selbermachen ====
* OpenStack
* Container (Docker)
* Kubernetes
* hier noch Ausblick: Serverless Computing
==== Vorteile für den Servicebetreiber ====
* Je nach Bedarf kann die Anzahl der Systeme schnell skalliert werden.
* Keine Wartezeiten auf Hardware
* überschüssige Hardware muss nicht verkauft werden.
* weniger eigenes IT-Personal notwendig
==== Nachteile ====
* Hardware steht irgendwo
* Teilweise schwer zu kontrollieren wo die eigenen Daten jetzt sind
* Nutzung von Cloud braucht andere Konzepte: einfach VM in die Cloud schieben bringt nichts (mehr Kosten) -> skalierende Micro-Services
* Abhängigkeit von fremder Infrastruktur
* Netz-Ausfälle können ganze Plattformen lahm legen (S3 -> Netflix, Github)
====High perfomance computing ====
* Im Gegensatz zu den meisten anderen Anwendungen wird im Bereich des HPC wenig virtualisiert
* Würde zu viel Verzögerung auslösen
*
==== Ankuendigungen ====
* cfp for Datenspuren 2018 im Zentralwerk https://datenspuren.de/2018/ 22./23.09.
* Funding for Lueftung ?! https://www.startnext.com/30000-fuer-heisseluft
Verabschiedung
There is no cloud, just someone else's computer.
Musik
== Mai 2018 ==
"Datenschutz und Bürokratiechaos"
„Datenschutzgrundverordnung“
https://programm.coloradio.org/programm/sendung/23535.html#Pentaradio24-EU-DSGVO
"EU-DSGVO: die neue europäische Datenschutzgrundverordnung"
=== News ===
* Auf Facebook der DSGVO zustimmen schließt Aktivierung der neuen Gesichtserkennung ein
** Gesichtserkennung Dritter?
<https://twitter.com/mueller_andi/status/992445316698959878>
* Zuckerberg moeglicherweise zu Aussage vor EU Parlament bereit -- jetzt anscheinend sogar doch oeffentlich
* Nein, SMalm und PGP sind nicht kaputt und auch nicht schwer
* Google jetzt nicht mehr "nicht boese"
<https://www.golem.de/news/verhaltenskodex-google-verabschiedet-sich-von-don-t-be-evil-1805-134479.html>
* Max Schremms darf nicht mehr bei Facebook mitmachen, sei denn er akzeptiert die neuen Bedingungen "freiwillig" https://mobile.twitter.com/maxschrems/status/998681336427827201?s=21
** konnte mit seiner Klage vor dem Europäischen Gerichtshof das transnationale Safe-Harbor-Abkommen zwischen der EU und den USA beenden, was als starkes Signal für den Grundrechtsschutz in Europa angesehen wird.
**Isn’t this illegal according to GDPR? YES!
Stefan Möller @hdoniker Die CDU Hannover verschickt anlässlich der #DSGVO eine Mail zwecks weiterem Newsletterbezug. Mit allen 900 Empfängern in CC.
--- ganz kurze Musik?? ---
=== Einleitung ===
E-Mail Betreffs der letzten Tage:
-[Action Required] Important updates on Google Analytics Data Retention and the General Data Protection Regulation (GDPR)
- Updates to our Terms of Use and Privacy Policy (Udemy)
- Would you like to stay or go? (Ryte)
- Am 25.5 verarbeitet die
Umfassendes Thema, hier nur angerissen.
Dies ist keine Rechtberatung! Keine Rechtsbelehrung, wir sammeln nur Tipps und Hilfen zusammen
=== Was ist Datenschutz (und warum)? ===
* Europäische Menschenrechtscharta (Artikel 8)
* Volkszählungsurteil (abgeleitet von Artikel 1 GG)
* Warum Daten schützen? -> Überwachung/Kontrolle vs Demokratie
Erwägungsgrund #1:
Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
-Informationsgrundverordnung
- Artikel 8 der Europäischen Menschenrechtskonvention allgemeinen Persönlichkeitsrechts
- Eingriff nur erlaubt wenn “in einer demokratischen Gesellschaft notwendig”
- der öffentlichen Sicherheit und Ordnung (einschließlich der Moral,)
- der öffentlichen Gesundheit,
- der nationalen Sicherheit,
- des wirtschaftlichen Wohls des Staates,
- der Kriminalprävention oder
- zum Schutz der Rechte und Freiheiten anderer.
## Historie
*** Richtlinie = Handlungsvorschrift einer Institution, jedoch kein förmliches Gesetz
Verordnung = In der EU ist eine Verordnung ein Rechtsakt, der nach seiner Verabschiedung in den Mitgliedstaaten unmittelbar Geltung hat, d. h. nicht wie eine Richtlinie erst in nationales Recht umgewandelt werden muss
( Gesetz = formelles und materielles Recht, eine Rechtsnorm )
Ausgehend von Richtlinie 95/46/EG von 1995
Inkrafttreten: 24. Mai 2016 (seitdem hätte man es beachten müssen)
Anzuwenden ab: 25. Mai 2018
- enthält die Verordnung verschiedene Öffnungsklauseln, bestimmte Aspekte des Datenschutzes auch im nationalen Alleingang zu regeln. Daher wird die Datenschutz-Grundverordnung auch als „Hybrid“ zwischen Richtlinie und Verordnung bezeichnet.
- ersetzt das alte Bundesdatenschutzgesetz (Gesetz vom 30. Juni 2017), es gibt aber auch ein neues Bundesdatenschutzgesetz (quasi Ergänzung der EU-DSGVO)
- DSGVO - Datenschutz-Grundverordnung
- GDPR - General Data Protection Regulation
- BDSG - Bundesdatenschutzgesetz
- ePV - E-privacy-Verdordnung des Bundesverbandes der Digitalen Wirtschaft, evtl ab 2019 (es geht um Cookies, OfflineTracking, E-Mails als Webseitenbetreiber, OvertheTop-Dienste +Whatsapp, )
- EMRK - Europäischen Menschenrechtskonvention
- TMG - Telemediengesetz
## Inhalte
// nur überfliegen...
Die DSGVO besteht aus:
- 99 Artikeln in elf Kapiteln.
- 173 Erwägungsgründe
- "Interpretationshilfen" des Gesetzgebers, Absichten
* 3.100 Abänderungsanträge gegenüber dem Entwurf der EU-Kommission
* Bits of Freedom + EDRi + Jan Philipp Albrecht + Eva Lichtenberger + Amelia Andersdotter vs Amazon, eBay, Apple, Microsoft, Cisco, Intel, IBM, Oracle, Texas Instruments, Dell, …
--- MUSIKPAUSE ?
## Worum geht es?
- Schutz "der personenbezogenen Daten"?
- Was sind Daten, was ist Information, was ist Privatsphäre
### Was sind personenbezogene Daten?
Artikel 4 weiterhin weit gefasst:
„personenbezogene Daten“ [sind]:
alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; …
Name in der Regel Personenbezogen?
Pseudonym personenbezogen? Pseudonym ist nicht anonym!
IP-Adresse Personenbezogen? (-> ist eine Onlinekennung)
Cookies personenbezogen!
Fast alle Daten die einen Bezug zu einer Person haben könnten sind wohl personenbezogen.
- Verbotsvorschrift mit Erlaubnisvorbehalt, d.h. "Alles ist verboten, es sei denn es ist erlaubt."
nur Verarbeitung (quasi alles außer Privat) nur erlaubt wenn Erlaubnistatbestand aus Artikel 6:
- Die betroffene Person hat ihre Einwilligung gegeben;
- #PP muss ausdrücklich erklärt und nachgewiesen werden (Zeitpunkt, IP-Adresse?)
- Nicht-Mündige -> z.B. Minderjährige? -> Nur wenn Eltern zustimmen ("Dieser Dienst ist erst ab 16. verfügbar")
- schwer prüfbar
- verpflichtend bei Newsletter
- verpflichtend bei besondere Arten personenbezogener Daten: z.B. Religion, Biometrik, Genetik, Sexualität, Gesundheit -> Wie sieht es aus mit Fotos? Einwilligung!
- denkbar schlechteste Zustimmungsform, außer vorgegeben
- Einwilligung widerrufbar -> Recht auf Löschung
- Kopplungsverbot: Einwilligung muss freiwillig sein, darf also nicht Vertragsvorraussetzung sein -> nur wenn man sich gezwungen fühlt.
- die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich;
- z.B. Onlineshop-Adresse zu Spedition weitergeben wohl drin
- aber nur "vernünftige" Aspekte der Vertragserfüllung, keine AGB Klauseln die überrumpeln
- Bonussysteme wie Payback, oder Check24 zu Marketingzwecke abgedeckt
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich;
- Steuerdaten müssen 10 Jahre gespeichert werden (z.B. Rechnungen für Kunden)
- brauchen nicht gelöscht werden, selbst wenn es ein Kunde fordert
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen;
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt;
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich
- z.B. Waage zwischen Marketing und Schutzinteressen der Nutzer
- Marketing (Tracking und Targeting) steht explizit mit drin
- Einfallstor?! Die Abwägung hat noch nicht stattgefunden
- https://www.pingdigital.de/blog/2017/08/21/berechtigte-interessen-nach-der-dsgvo/1186
- Erwägnungsgrund 47, Absatz 7: Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.
Grundsätze der Verarbeitung personenbezogener Daten Artikel 5 (bloß überfliegen)
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)
- Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“)
- Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“)
- Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“)
- Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)
- MUSIKPAUSE
## Was sich ändert (müssten wir noch sortieren)
- Genaue Erklärung was mit den Daten gemacht werden soll
- Austausch personenbezogener Daten in der EU nun einfacher (weil Verordnung gleich)
- Marktortprinzip:
- Das europäische Datenschutzrecht gilt auch für außereuropäische Unternehmen, soweit diese ihre Waren oder Dienstleistungen im europäischen Markt anbieten.
- betrifft vor allem größere Konzerne z.B. Google, Apple, Facebook etc
- CDNs?
- Privacy by Design - (opt in statt opt out!)
- Cookies müssen nun auch in Deutschland entsprehend opt-in! ("Diese Seite verwendet cookies)
- in der ePV nochmal verschärft (außer bei SessionCookies)-Einwilligung nötig
- (z.B. alle Cookies zulassen / nur firstParty-Cookies)
- muss auch bei der Programmierung beachtet werden!
- höhere Bußgelder
- bis 20Mio bei natürlichen Personen, gilt z.B. bei Geschäftsführern
- bzw. 4% des weltweiten Umsatzes eines Unternehmens
- vorher 300 000 also oftmals Peanuts (z.B. im Vergleich zu Anwaltskosten)
- auch bei ADV Partnern / Zertifikate und Audits z.B. bei AWS
- aber Gefahr durch Abmahnungen für z.B. Webseitenbetreiber
- Anspruch auf Schadensersatz (nun auch materiell nicht nur Anwaltskosten)
- Höhe noch nicht ganz klar
- Geschäftsmodell? vor allem gegen kleinere Freiberufler, da weniger Anwälte
- Artikel 17. Recht auf Vergessenwerden
- Personen haben Recht auf Löschung der Daten wenn Erhebungsgründe entfallen
- Verarbeiter müssen dann aktiv löschen
- Recht auf Datenübertragbarkeit (Artikel 20)
- betreffende Daten in einem „strukturierten, gängigen und maschinenlesbaren Format zu erhalten“ (d.h. dessen Format ist nicht weiter vorgeschrieben)
- z.B. Umzug zwischen Apps, Sozialen Netzwerken
- Recht auf Information
- Verbraucher müssen künftig von Beginn an darüber informiert werden, wer ihre persönlichen Daten wie Name, Adresse, Email-Adresse und Ausweisnummer aus welchem Grund erhebt - und sie müssen zustimmen. Zudem muss klar sein, wie lange die Daten aufbewahrt werden sollen. Die Einwilligung muss jederzeit zurückgezogen werden können.
- https://selbstauskunft.net/
- Daten Dritter? z.B. bei Freundschaftslisten etc.
- Nachfragender muss sich ausreichend ausweisen (z.B. durch Login oder persönlich)
- Auskunftsperson muss ausreichend kommuniziert sein
- 1mal pro Jahr?
- Nein, auch mehr außer missbräuchlich (nicht definiert dann Geld verlangen).
Datenminimierungnur notwendige Daten sollen erhoben werdengabs auch schon vorher
- Weitergabe der Daten an Dritte: Auftragsdatenverarbeitung
- Mehr Sicherheit
- Daten müssen so sicher gespeichert werden, dass unbefugter Zugriff, aber auch versehentlicher Verlust nicht möglich ist. Über Datenschutz-Verstöße müssen die Verbraucher informiert werden. Wenn ein Risiko für sie entstanden ist, müssen Unternehmen die Verstöße zudem bei nationalen Behörden melden. (Handelsblatt)
- SSL Zugriff auf der Webseite aktivieren!
- weniger Ausnahmen
- keine Außnahme mehr (altes BDSG) für Journalisten oder Kleinunternehmer, sobald nicht mehr Privat alle betroffen
- Pressefreiheit in der neuen BDSG? Bisher keine oder zuwenige Regelungen
- z.B. Fotos, Informanten, Kunden etc
- Unterscheidet nicht mehr zwischen Öffentlichen und nicht-öffentliche Stellen
- Erwägungsgrund 82:
- Datenschutzbeauftragter
- nicht viel verändert
- nicht ganz vorgeschrieben bei Risiko
- ab mehr als 9 Personen braucht man einen Datenschutzbeauftragten (es zählen alle mit Teil der Datenverarbeitung)
- dieser muss angemeldet werden, sonst Verstoß!
- es darf kein Mitarbeiter sein mit Interessenkonflikt:
- kein Geschäftsführer
- kein leitender Angestellter
- gern auch externer
- Prokurist (Handlungsbevollmächtigte)
- Besondere Fähigkeiten haben:
- Rechtlich sich auskennen
- Technisch in der Lage sein
- kein Zertifikat notwendig, aber empfehlenswert (man lernt dort praktischen Datenschutz)
- keine bestimmte Ausbildung nötig
- Der muss sicherstellen:
- Sicherheit der Verarbeitung
- Stand der Technik muss gewährleistet sein
- nach möglichkeit Daten psyeudonymisieren
- Integrität der Daten sicherstellen (Backup)
- Datenschutzfolgenabschätzung (unklar z.B. Gesundheitsdaten)
- Personenbezogene Daten auf Schreibtisch für Besucher einsehbar)
- alles muss nachgewiesen werden, rechenschaftspflicht
- Verzeichnis von Verarbeitungsbelegen
- Ausnahmen wenn weniger als 250 Mitarbeitern es sei denn nur Gelegentlich
- E-Mails, Cloud
- eigentlich immer Verpflichtend, gerade wenn man Mitarbeiter hat
- Religion für Steuerzwecke
- Schlösser, Mitarbeiter müssen auch AGVs?
--- MUSIKPAUSE
## Was sich nicht ändert
Pflicht zur Transparenz (bisschen erweitert)Informationspflicht (bisschen erweitert)Rechenschaftspflichen (bisschen erweitert)
- Bei Fotos ist auch jetzt schon die Zustimmung der Abgebildeten notwendig
- Offensichtlich für die Dienstleistung notwenige Verarbeitung zulässig ohne extra Einwilligung
- für Familäre und Persönliche Verarbeitung ist das weiterhin erlaubt
- Social Media Profile? Öffentlich / Freunde / "echte Freunde"
- Online frei zugänglich (eher nicht)
- Fotos in der Cloud?
## Was habt ihr in Vorbereitung getan? (5-10Min)
- Webseiten von Cookies befreit
- ADV-Verträge gecheckt
- Weblogs nach 7 Tagen löschen
- Verarbeitungstätigkeiten dokumentieren (bsp. E-Mail, Webseite)
- Whatsapp zur Kommunikation von Eltern zustimmen lassen
- Datenschutzerklärung in den Footer der Webseite gepackt
- - Auskunftsverantwortlicher muss klar sein
- - bei Rückfragen muss Fragender ausreichend nachgewiesen werden
- https://www.saechsdsb.de/handlungsbedarf-zur-umsetzung-ds-gvo-fuer-vereine
## Datenschutzerklärung auf Webseite
- Ausnahme für ausschließlich persönliche Webseiten ohne Kommentare, Newsletter etc.
- Grundsätzlich bei den meisten nötig.
- zb. bei Wordpress (Bei Kommentaren SPAM Schutz)
- als Account bei großen Anbietern
-> z.B. Medium und Blogger trotzdem besser eine eigene anlegen
-> sobald eigene Domain dann definitiv
-> bei Facebook-Seiten auch (bei nur Profil eher nicht) (Verfahren bei EUGH läuft dies zu klären)
-> Gewinnspiele, Kommunikation mit dem Kunden über FB
-> Instagramm? -> wahrscheinlich nicht
-> Twitter eher nicht? -> nur zur Sicherheit
- Geld verdienen -> Datenschutz? Nein. Datenschutz auch nötig wenn kein "kommerzielle" Absicht
- Datenschutzverlinkung wo immer es geht z.B. im Datenfooter
- beim Impressum reichen zwei Klicks
- beim Datenschutz direkt, muss ins Auge fallen, darf nicht nur Teil eines "Impressums"-Link sein
besser "Impressum/Datenschutz" oder zwei Links
- wenn Nutzereingaben z.B. Kommentar und Kontaktformularen besser wenn Link zur Datenschutzerklärung
- wenn nur Lesen reicht Link im Footer (Achtung Cookies- davon Ausgenommen
## rundes Ende 10 - 15min.
* Bewusstsein für Datenschutz schaffen
* BEOBACHTUNG von Menschen/Bürgern durch Daten --> Nutzung dieser Daten für egoistische Zwecke /Missbrauch --> KONTROLLE von menschlichem Verhalten
* wer dazu noch keine genauen Vorstellungen hat, wie so eine Kontrolle aussehen kann -> Westworld schauen
* Worum geht es in WW?
1 Was unterscheidet den Mensch von der KI?
2 Frage nach dem freien Willen und der Möglichkeit von Freiheit
3 Aktuelle Season von WW wird DS Thema aufgemacht; es geht darum den Wesebskern von Menschen sichtbar zu machen, um sie von Außen optimal kontollieren zu können
Dies ist genau die Grenze zwischen Privatheit und Öffentlichkeit, wenn der Mensch kein Recht mehr hat Grenzen für sich zu bestimmen, ist er auch nicht mehr frei
--> Gegen Kontrolle von menschlichem Verhalten durch Daten
Datenschutz ist ein Grundrecht
Verhalten auf Grund von Daten beeinflussbar (Cambridge Analytica)
Künstliche Intelligenz
Speichert nur Daten die ihr wirklich braucht und löscht diese anschließend
## Quellen
grundlegendes zum Recht
https://rechtsbelehrung.com/dsgvo-alles-zur-eu-datenschutzgrundverordnung-rechtsbelehrung-folge-54-jura-podcast/
tips für Webseitenbetreiber
https://rechtsbelehrung.com/dsgvo-datenschutzerklaerung-faq-rechtsbelehrung-folge-55/
https://dsgvo-gesetz.de/
https://datenschutz-generator.de/
Sächsischer Datenschutzbeauftragter:
https://www.saechsdsb.de/
https://www.saechsdsb.de/handlungsbedarf-zur-umsetzung-ds-gvo-fuer-vereine
==April 2018 ==
Hinweis von Rob: Diese komischen CMS-Leute planen einen VHS Kurs. Der Vermutlich auf Debian oder falls es kein Popcorn enthält auch Linux Mint (Ubuntu) basieren wird -> https://hackmd.c3d2.de/gnubie-shaving# https://wiki.c3d2.de/GNUbie_shaving
"Linux ist mir zu kompliziert - nein ist es nicht"
"Linux ist nicht kompliziert - versprochen "
"Lochkarte, Unix, Linux, Debian, Ubuntu 18.04"
FollowUP bzw. News zu den letzten Sendungen
- 1 April 2018, 1.1.1.1 DNS Cloudflare
- DDos-Protection
- Privacy TLS Crypto foo
- DNS-over-TLS
- DNS-over-HTTPs
- APNIC's research group held the IP addresses 1.1.1.1 and 1.0.0.1.
- APNIC is a Regional Internet Registery (RIR) responsible for handing out IPs in the Asia Pacific region
- continuously overwhelmed by a flood of garbage traffic.
- Cloudflare is sharing DNS query data with APNIC Labs,
- Zuckerbergs Aussage vor dem Senat
- neue Datenschutzregelung in sicht
- Facebook hat die Gesichtserkennung in Europa angeschalten:
- https://techcrunch.com/2018/04/20/just-say-no/
Einleitung: Den Computer anschalten und nun?
- Einschaltknopf und dann?
- Mainboard
- Bios Basic input output system / UEFI
- master boot record (MBR) bzw. GUID Partition Table (GPT) / UEFI
- Bootloader
- Betriebssystem (Kernel, Programme)
- die meisten bekannten Programme laufen nicht direkt auf der Hardware, sondern brauchen andere Programme (z.b. libraries) damit sie mit der Hardware interagieren können = Darum kümmert sich das Betriebssystem
kleiner historischer Abriss über Betriebssysteme / Unix / BSD / Linux / Debian / Ubuntu
- ersten Computer kamen ohne echtes Betriebssystem weil Programme über Lochkarten etc eingelesen wurden
- 1956 GM-NAA I/O bei General Motors für die IBM 704 erfundene resident monitor (startete einfach nächsten Lochkartenstapel im Anschluss)
- 1959 entstand daraus das SHARE Operating System (SOS)
- allowed execution of programs written in assembly language.
- share programms
- 1961 entstand mit dem Compatible Timesharing System (CTSS) für die IBM 7094 am MIT das erste Betriebssystem für Mehrbenutzerbetrieb
- IBM 1964 OS/360 in verschiedenen Versionen (OS/360 für rein lochkartenbasierte Systeme, TOS/360 für Maschinen mit Bandlaufwerken, DOS/360 für solche mit Festplatten)
- das erste Betriebssystem, das modellreihenübergreifend eingesetzt wurde,
- Ab 1963 wurde Multics in Zusammenarbeit von MIT, General Electric und den Bell Laboratories (Bell Labs) von AT&T entwickelt, das jedoch erst ab 1969 bis 2000 im Einsatz war.
- setzte den Grundstein für Unix
- Unix
- August 1969[1] von Bell Laboratories (später AT&T)
- 1980er Jahre als quelloffenes Betriebssystem
- Ken Thompson und Dennis Ritchie, die es zunächst in Assemblersprache, dann in der von Ritchie entwickelten Programmiersprache C geschrieben
- erstmalig hierarchische, baumartig aufgebaute Dateisystem mit Ordnerstruktur
- Quellcode / Binaries
- CPU braucht maschinenlesbaren Code, Programmierer brauchen menschenlesbaren Code
- Hin- und Zurückübersetzung schwierig
- ab 1980 kommerzialisiert (fehlender Quellcode), was zu Abspaltungen führte (Unix-Wars)
- Berkley brachte TCP/IP, damit wars für die Darpa interessant
- 1983 begann Richard Stallman GNU’s Not Unix (‚GNU ist Nicht Unix‘)-Projekt zu entlwickeln (da fehlte ein freier Kernel)
- Shell, Coreutils, Compiler wie GCC, Bibliotheken wie glibc, as
- Anspruch die Funktionalität eines Unixsystems zur Verfügung zu stellen
- Freiheit #0: Programm ausführen wann und wo man will
- Freiheit #1: Quellcode studiern / überprüfen
- Freiheit #2: weiterverbreitung des Programmes
- Freiheit #3: veränderte version verbreiten dürfen
- 1985 Open Software-Foundation (Sun, Siemens, HP, IBM etc)
- 1987 entwickelte der in Amsterdam lehrende amerikanische Informatiker Professor Andrew S. Tanenbaum ein unixoides Betriebssystem namens Minix
- Studenten die Grundlagen eines Betriebssystems zu veranschaulichen
- 1989 wurde „UNIX System V Release 4“ angekündigt und herausgebracht. Es folgten später noch „Release 4.2“ und „Release 5“ nach.
- 1990 erschien „4.3BSD Reno“.
- - nur kurz -BSD Zweig, welcher später dann auch zu Apple führte
- - nur kurz -92 386BSD, eine Portierung von 4.3BSD NET/2 auf den Intel-i386-Prozessor
- - nur kurz -1993 erschien die Version „4.4BSD“, und es begann die Entwicklung von FreeBSD und NetBSD,
- - nur kurz - 2000 wurde Darwin, der Unterbau des Mac OS X veröffentlicht, mit Mach als Kernel.
- freies Unix-Betriebssystem des Unternehmens Apple. Es wurde als Darwin 0.1 am 16. März 1999[1], gemeinsam mit Mac OS X Server 1.0, erstmals verfügbar gemacht.
- 1991 stellte Linus Torvalds am 5. Oktober seinen Kernel Linux mit der Versionsnummer 0.02 vor.
- Finnish computer science student (mittlerweile seit 2010 Amerikaner)
- January 5, 1991[22] he purchased an Intel 80386-based clone of IBM PC[23] before receiving his MINIX copy, which in turn enabled him to begin work on Linux
- His M.Sc. thesis was titled Linux: A Portable Operating System.
- from scratch, benötigte teilweise von Minix
- seit Dezember komplett ohne Minix (fsck)
- 1992 im Januar kam 0.12 benutzte GNU GPL - CopyLeft Lizenz
- 1993 X11 (und damit erste Distribution, zwei Disketten bestehend aus Kernel und GNU Projekt Utilities)
- erster Grafischer Window Manager
- 1993 Debian by Ian Murdock, Debian 0.01 was released on September 15, 1993
- Freundin Deborah Lynn (Deb + Ian) = Debian
- reines community Projekt, kein Kommerzieller Hintergrund
- sehr Gnu-nah
- Free Software Foundation, which sponsored the project for one year from November 1994 to November 1995
- laufen auch mit andern Kerneln: such as those based on BSD kernels and the GNU Hurd microkernel.
- Ubuntu 2004
--- Potentielle Pause ---
Der Linux-Kernel heute:
https://de.wikipedia.org/wiki/Datei:Linux_Kernel_Struktur.svg
- Betriebssystem: Linux-Kernel (vmlinuz) damalsTM Podcast Folge DTM_016_Linuxkernel (7.3MB)
- 4.15.4 hat 20,3 Millionen Zeilen Code https://www.linuxcounter.net/statistics/kernel
- good kommt etwa 4745, nice 1369, love 763 mal vor
- crap 192, shit 145, fuck 40,
- Firefox 56 enthalten 31.342.142 Zeilen LibreOffice 5.4 kommen auf 17.171.162
- Contributors (ca.) 4.16 by changesets
- Intel 1424 10.6%
- Red Hat 971 7.2%
- (Unknown) 962 7.2%
- (None) 895 6.7%
- AMD 677 5.0%
- IBM 566 4.2%
- Contributors (ca.) 4.16 by changed lines
- AMD 97644 14.2%
- Intel 73566 10.7%
- (Unknown) 33700 4.9%
- Red Hat 33027 4.8%
- (None) 31155 4.5%
- IBM 26329 3.8%
- Linaro 25245 3.7%
- (Consultant) 20772 3.0%
- 75% Treibercode (/drivers 14.966.279 Zeilen + /arch mit 3.722.764) (schwer zu testen ohne Hardware, Deswegen delegation)
- 20% Netzwerk
- 2017 Global Stats (Achtung nur Webtraffic!):
- Windows Kernel 36,8% Geräte,
- Apple XNU 18,46%
- Linux Kernel (mit Android) 40,41%
- 7,21% andere
- Intel IBM etc stellen ebenfalls Entwickler
- Interesse der betreibbarkeit ihrer Hardware
- Bei Intel und IBM oftmals weit im Voraus zur Auslieferung
- wenn ein Programm den Kernel etwas fragt ist das ein SystemCall (Bezug auf Meltdown und Spectre)
- hat selbst einen geschützten Speicherbereich
- Kernelspace
- Userspace
- andere Kernels: BSD, Unix System DOS (DR-DOS, MS-DOS (auf dem Windows 95 bis ME basierte), FreeDos, OpenVMS,
- Geht zu tief in den Linux Boot-Prozess, passt wahrscheinlich nicht zu Ubuntu
Linux ist das weitverbreiteste Betriebssystem ServerRouterBanken, Züge, FlugsicherungEmbeddedAndroid
--> Erinnerung an Bootprozess, wir sind nun nach dem Bootloader:
Einschaltknopf und dann?MainboardBios Basic input output system / UEFImaster boot record (MBR) bzw. GUID Partition Table (GPT) / UEFIBootloader z.B. Grub, PXE oder WindowsBootloaderBetriebssystem (Kernel, Programme)
initrd.img (40MB)initrd provides the capability to load a RAM disk by the boot loader.initrd is mainly designed to allow system startup to occur in two phases, where the kernel comes up with a minimum set of compiled-in drivers, and where additional modules are loaded from initrd.lädt das richtige / Root File System (z.b. ext4 auf Festplatte)und die entsprechenden Kernelmodule
Login-ManagerWindow ManagerUnity? X11 kompatibilität nicht gegeben
ProgrammeFireFox, Chrome, Thunderbird, Gimp, Pidgin, LibreOffice, FreeCad, KiCad etc.
Allgemeine Vorstellung Ubuntu
Ubuntu (Zulu pronunciation: [ùɓúntʼù])[1][2] is a Nguni Bantu term meaning "humanity". It is often translated as "I am because we are," and also "humanity towards others", but is often used in a more philosophical sense to mean "the belief in a universal bond of sharing that connects all humanity"
- Entwickler: Canonical Ltd.
- UK-based privately held computer software company founded 5 March 2004
- funded by South African entrepreneur Mark Shuttleworth (2. Weltraumtourist mit Sojus TM-34/Sojus TM-33 (2002)8 Tage ISS ca 20 Mill. $, einzigster Afrikaner im All ??)
- provided an initial funding of US$10 million
- Net worth£160 million (2015)
- Time in space: 9d 21h 25m
- He was a member of the crew of Soyuz TM-34, launched from Baikonur in Kazakhstan and docked with the International Space Station two days later.
- tendenziell kein Bart (maximal 3 Tage)
- Shuttleworth founded Thawte Consulting in 1995, a currently running company which specialized in digital certificates and Internet security. In December 1999, Thawte was acquired by VeriSign, earning Shuttleworth R3.5 billion (about US$575 (equivalent to $844.70 in 2017) million).
- Thawte was one of the first companies to be recognized by both Netscape and Microsoft as a trusted third party for web site certification,
- Business Model?
- Einkommen US $125.97 million (2017), aber nur US $2M Profit
- Number of employees 566 (2017)
- Spenden der Nutzer
- Shuttleworth "funds it"
- providing enterprise software services, training, support, consultancy, and various other services directly related to Ubuntu
- Amazon Suche in Unity? Nutzerdaten?
Ursprung in Debian (September 1993), Ubuntu cooperates with Debian by pushing changes back to Debianteilweise kompatibel, aber nicht völlig
- Initial release: 20 October 2004 (13 years ago)
- Updates ca aller 6 Monate
- Ab ubuntu 6.06 gerade Versionen .04 LTS
- Updates for new hardware, security patches and updates to the 'Ubuntu stack'
- sonst .10 und ungrade 04 rollend erst 9 nun 18 Monate
- security fixes, high-impact bug fixes and conservative, substantially beneficial low-risk bug fixes
- Ubuntu Derivate über den Window Manager : Wayland
- xubuntu (XFCE)
- kubuntu (KDE)
- lubuntu (LXDE)
- Ubuntu Gnome (Gnome)
- Ubuntu Mate (Mate)
- Ubuntu Budgie (Budgie)
- Linux mint etc
- i3wm
- awesome
- - läuft auf:
- I386, IA-32, AMD64; ARMhf (ARMv7 + VFPv3-D16), ARM64; Power, ppc64le; s390x[4]
- itauch Tablets und Smartphones -> Ubuntu Touch
- GPL
- Security "out of the box":
- FullDisk/Folder/HomeDir Encryption
- sudo
- Network Ports sind per default geschlossen -> UFW
- Ubuntu compiles its packages using GCC features such as PIE and buffer overflow protection to harden its software
- security performance expense of 1% in 32-bit and 0.01% in 64-bit.
- Abkömmlinge: https://upload.wikimedia.org/wikipedia/commons/7/79/UbuntuFamilyTree1210.svg
Rant Stallman https://www.youtube.com/watch?v=DXnfa0H30L4
https://arstechnica.com/information-technology/2012/12/richard-stallman-calls-ubuntu-spyware-because-it-tracks-searches/?utm_source=omgubuntu
removed in 16.04
Änderungen in 18.04
https://itsfoss.com/ubuntu-18-04-release-features/
- Bionic Beaver
- 26th April: Stable Ubuntu 18.04 LTS release
- GNOME 3.28
- Boot speed boost
- Using systemd’s features, bottlenecks will be identified and tackled to boot Bionic as quickly as possible.
- A new minimal installation option
- regular Ubuntu install without most of the regular software. You’ll just get a web browser and a handful of utilities.
- Using PPA is slightly easier now
- im wesentlichen autoupdate nach dem adden
- Linux Kernel 4.15
- Xorg becomes the default display server again
- Ubuntu 17.10 switched to the newer Wayland
- viele Probleme
- Minor changes in the looks of Nautilus File Manager
- sieht mal wieder ein wenig schicker aus
- Ubuntu will be collecting system usage data (unless you choose to stop that)
- criticized in the past for including Amazon web app
- online search by default
- Ubuntu 18.04 will be collecting some system usage data unless you choose to opt out of it.
- Version and flavor of Ubuntu you’re installing
- Whether you have network connectivity at install time
- Hardware statistics such as CPU, RAM, GPU, etc
- Device manufacturer
- Your country
- Time taken to complete the installation
- Whether you choose auto login, installing third-party codecs, downloading updates during install
- Disk layout
- Ubuntu Popcon service will track the popularity of applications and packages
- Crash reports
- New installer for Ubuntu 18.04 Server edition
- subiquity installer
- schicker
- 10. Native support for color emojis
- Until now, only monochrome emojis are supported out of the box on Ubuntu.
- same open source emojis that are being used on Android.
- The proposed brand new theme and icons developed by the community will no longer be the default
- vorher wenig Änderungen im Design, (jetzt ehrlich gesagt auch kein riesen Sprung aber egal)
- 12. Easier live patching
- Kernel live patching is an essential feature on Linux server. Basically, you install a critical Linux kernel update without rebooting the system. This saves downtime on servers.
- Default wallpapers of Ubuntu 18.04 (for hardcore Ubuntu fans)
- naja anderere Hintergrundbilder halt
- Default Applications
- Category Top Voted Default Application
- Browser Mozilla Firefox
- Video Player VLC
- IDE Visual Studio Code
- Video Editor Kdenlive
- Screen Recorder Open Broadcaster Software (OBS)
- Email Client Thunderbird
- Text Editor gedit
- Office Suite LibreOffice
- Music Player VLC
- Photo Viewer Shotwell
- Terminal GNOME Terminal
- PDF Reader Evince
- Photo Editor Gimp
- IRC/IM Pidgin
- Calendar GNOME Calendar
Fazit
- Ubuntu ist umstritten, weil kommerzielle Verwertung von freier Software
- Geld spenden
- Maintainer bekommen Geld von Investoren
- Debian vs. ubuntu
- Ubuntu Pakete die ich immer runterschmeiße: apport, whoopsie,unity
- Mediawiki 1.30, Extensions, Semantic Wiki, Ziele, Einschränkungen, Praxistauglichkeit
- OpenSource Anwender-Software -> LibreOffice, FreeCad, KiCad, Thunderbird, Firefox etc. vorstellen erklären
- Robot Operating System (ROS) -> Roboterfunktionen in Paketen, OpenSource und verbreitet
- Mikrocontroller -> von Arduino über ESP32 zu PSoC und FPGA
- wir haben natürlich noch die verschollene IoT-Sendung aus dem Februar ausgearbeitet da
Hinweis auf Podcast zur Geschichte vor Linux / des Linux-Kernels: damals(tm) Folge 016 Linuxkernel
https://damals-tm-podcast.de/index.php/2015/10/15/dtm_016_linuxkernel/
http://damalstm.capella.uberspace.de/episoden/DTM016_Linuxkernel.mp3
== März 2018 ==
Wir suchen die Sendung vom Februar. Falls sie jemand ausversehen aufgenommen hat, möge er sich bitte bei uns melden.
honky@c3d2.de
c3d2@lists.c3d2.de
- 2012 erbringt Kosinski (Professor at Stanford University Graduate School of Business. Computational Psychologist and Big Data Scientist.) den Nachweis, dass man aus durchschnittlich 68 Facebook-Seiten-Likes eines Users vorhersagen kann:
- welche Hautfarbe er hat (95-prozentige Treffsicherheit),
- ob er homosexuell ist (88-prozentige Wahrscheinlichkeit),
- ob Demokrat oder Republikaner (85 Prozent)
- Intelligenz, Religionszugehörigkeit, Alkohol-, Zigaretten- und Drogenkonsum lassen sich berechnen. Sogar, ob die Eltern einer Person bis zu deren 21. Lebensjahr zusammengeblieben sind oder nicht
- Am Tag, als Kosinski diese Erkenntnisse publiziert, erhält er zwei Anrufe. Eine Klageandrohung und ein Stellenangebot. Beide von Facebook.
- 2012 Kosinski baut App " My-Personality" für OCEAN Profile für Nutzer
- OCEAN-Modell
- Offenheit für Erfahrungen (Aufgeschlossenheit),
- Gewissenhaftigkeit (Perfektionismus),
- Extraversion (Geselligkeit),
- Verträglichkeit (Rücksichtnahme, Kooperationsbereitschaft, Empathie) und
- Neurotizismus (emotionale Labilität und Verletzlichkeit)
- (als das im institut) Aleksandr Kogan zieht erst einmal nach Singapur, heiratet und nennt sich fortan Dr. Spectre. Michal Kosinski wechselt an die Stanford University in den USA
- Kosinski: Persönliches Targeting kann die Klickraten von Facebook-Anzeigen um über 60 Prozent steigern und die sogenannte Conversion-Rate um bis zu 1400 Prozent
- Cambridge Analytica?!
- Cambridge ist eine ostenglische Stadt am Fluss Cam und Heimat der renommierten University of Cambridge aus dem Jahr 1209
- 2012/13 von der britischen SCL Group gegründetes Datenanalyse-Unternehmen
- Als Gründer gelten
- Robert Mercer (Hauptfinanzier) ist ein amerikanischer rechtskonservativer Informatiker, der als erfolgreicher Hedgefonds-Manager zum Multimilliardär aufstieg. Er war bei der Präsidentschaftswahl 2016 einer der wichtigsten Unterstützer Donald Trumps.
- Steve Bannon: (Vizepräsident) US-amerikanischer Publizist, Filmproduzent und politischer Berater. Er leitete von 2012 bis August 2016 und von August 2017 bis Anfang 2018 die Website Breitbart News Network. (Er gab nach Angaben von Christopher Wylie 2014 die Million für den Ankauf der Facebookdaten frei.)
- Alexander Nix. Nix, einer der bisherigen Direktoren von SCL, übernahm die Leitung.
- besuchte das Eton College und studierte an der University of Manchester Kunstgeschichte.
- CA-Slogan: Data drives all we do. („Daten treiben alles an, was wir tun.“)
- Zusammenarbeit mit Psychometrikern (psychologischen Messens) der University of Cambridge -> daher der Name
- überwiegend in den USA tätig (Datenschutz)
- im Vorwahlkampf zur Präsidentschaftswahl in den Vereinigten Staaten 2016 für Ted Cruz tätig
- nach dessen Ausscheiden mit der Unterstützung von Donald Trump beauftragt.
- SCL Group (Abkürzung für Strategic Communication Laboratories Group) ist ein britisch-US-amerikanisches Unternehmen für Verhaltensforschung und strategische Kommunikation
- 1993 in London gegründet
- New York Times befasste sich SCL im Auftrag der britischen Regierung mit pakistanischen Dschihadisten und unterstützte die USA bei der militärischen Aufklärung im Iran, in Libyen und in Syrien.
- Datenbeschaffung:
- März 2018 wurde durch den Whistleblower Christopher Wylie
- former Director of Research at Cambridge Analytica
- giving The Guardian documents
- He left school at 16 without a qualification, but by 17 was working for the Canadian opposition leader Michael Ignatieff. He taught himself to code at age 19. At 20, he began studying law at the London School of Economics.
- Global Science Research (GSR) erworben von Aleksandr Kogan (aus Cambrigde)
- 320.000 solcher Tests zur Erstellung von psychologischen Profilen (100k?! REF)
- (psychographic profiles)
- (Nutzer stimmten freiwillig zu)
- Facebook 160-fachte diese Datensätze wobei Inhaber davon keine Kenntnis hatten
- Nix behauptete Profile von 220 Millionen US-Bürgern erstellt zu haben per
- Kritiker bezweifeln das
- 32 Persönlichkeitstypen, man konzentriert sich nur auf 17 Staaten.
- «Cambridge Analytica does not use data from Facebook. It has had no dealings with Dr. Michal Kosinski. It does not subcontract research. It does not use the same methodology. Psychographics was hardly used at all. Cambridge Analytica did not engage in efforts to discourage any Americans from casting their vote in the presidential election. Its efforts were solely directed towards increasing the number of voters in the election.»
Auftragsarbeiten in Wahlkämpfen:
- Jahr 2014 war Cambridge Analytica (CA) laut Nix an 44 US-Wahlkampf-Kandidaturen beteiligt.
- Ted Cruz 2015 (ging auf das Drängen von Rebekah Mercer (Tochter) zurück, da millionenschwerer Spender)
- erhielt mindestens 5,8 Millionen Dollar
- Brexit-Kampagne in Großbritannien (Leave.eu) nutzten angeblich die Dienste
- danach Mercers für Trump (per SuperPAC)
- Das Trump-Team überwies laut offiziellen Berichten von Juli bis Dezember 2016 insgesamt 5,9 Millionen Dollar an CA
- Insgesamt, so sagt Nix, habe man etwa 15 Millionen Dollar eingenommen.
- Juli 2016 wird für Trump-Wahlhelfer eine App bereitgestellt, mit der sie erkennen können, welche politische Einstellung und welchen Persönlichkeitstyp die Bewohner eines Hauses haben.
- angepasste Gesprächsleitfaden für Hausbesuche
- (Nix wollte die Hillary Mails für Trumps Wahlkampf, Wikileaks verweigerte die Freigabe für ihn)
Alexander Nix als CEO Suspendiert 20. März 2018
Nachdem Channel 4 heimlich mitgeschnittene Gespräche gezeigt hatte, in denen Nix geschildert hatte, dass die Firma Politiker unter Druck setze, indem sie sie durch Angebote von Bestechungsgeldern oder durch den Einsatz von Prostituierten in kompromittierende Situationen bringe, suspendierte der Vorstand von Cambridge Analytica ihn als CEO am 20. März 2018
Kampagne erklären
microtargeting
dark adds
Medienecho
- „Daten-Skandal“, „Daten-Leck“ oder „Daten-Diebstahl“
- Facebook Geschäftsmodell
- https://de.wikipedia.org/wiki/Facebook
- Schattenprofile und Like-Buttons
- etwa 2 Milliarden Accounts
- Mark Zuckerberg sagt sorry (CNN)
- https://www.youtube.com/watch?v=0fJ3YfcRbp8
- This was a major breach of Trust
- basic responsibility to protect peoples data
- make sure it doesn't happen again
- Kogan inproper use
- restrict amount of access a developer can get
- make sure there aren't more CAs out there
- investigate any big dataset app
Simon, wirst du Facebook weiter benutzen?
Sollten Leute Facebook löschen?
Gibt es Alternativen? -> eigene Sendung gab es vielleicht mal ansonsten seid gespannt
Hinterfragt geschäftsmodelle,
Wenn es nichts kostet seid ihr mind. Teil des Produkt!
- Unterschiede zur Online-Kampagne von Obama
- Weg der Daten
- Übermittlung zu Forschungszwecken -> zulässig?
- Weitergabe an externe Fima -> Problem?
- Screening nach vermuteten politischen Interessen
- Zielgruppenspezifische Botschaften (microtarget) (dark ads)
- Vielfalt der Aussagen nicht nachvollziehbar
## Quellen:
microtargeting
https://www.youtube.com/watch?v=bl_Vh9UR5L4
https://www.youtube.com/watch?v=n8Dd5aVXLCc
http://cgvr.informatik.uni-bremen.de/teaching/vr_literatur/Wahlmanipulation%20mittels%20Psychometrik%20und%20Social%20Media%20-%20Das%20Magazin,%202016.pdf
https://motherboard.vice.com/en_us/article/mg9vvn/how-our-likes-helped-trump-win
https://www.tagesanzeiger.ch/ausland/europa/Ich-habe-nur-gezeigt-dass-es-die-Bombe-gibt/story/17474918
http://www.zeit.de/digital/internet/2016-12/us-wahl-donald-trump-facebook-big-data-cambridge-analytica
http://www.bbc.com/news/uk-43522775
https://www.bloomberg.com/view/articles/2018-03-21/cambridge-analytica-s-real-business-isn-t-data
## eigene Facebook daten
http://www.chip.de/news/Was-weiss-Facebook-Ihre-persoenlichen-Daten-als-ZIP-Datei-herunterladen_136575430.html
https://www.j-berkemeier.de/ShowGPX.html
## weiterer Skandal:
* Alter Cambridge analytica article
- “Facebook ist aus jedem Blickwinkel Täter”: IT-Blogger Fefe über die Lehren aus dem Cambridge-Analytica-Debakel (meedia)
- http://meedia.de/2018/03/22/facebook-ist-aus-jedem-blickwinkel-taeter-it-blogger-fefe-ueber-die-lehren-aus-dem-cambridge-analytica-debakel/
- Die Medien sprechen wahlweise von einem „Daten-Skandal“, „Daten-Leck“ oder „Daten-Diebstahl“. Um was handelt es sich beim Facebook/Cambridge Analytica-Komplex Ihrer Meinung nach?
- Sascha Lobo schreibt in seiner Spiegel Online-Kolumne, dass der eigentliche Skandal im System Facebook liege, weil Facebook selbst gar nicht genau wisse, wie es wirklich wirke.
- Was ist Ihre Einschätzung: Konnte eine Firma wie Cambridge Analytica überhaupt die US-Wahl beeinflussen?
- Wäre eine solche Beeinflussung von Wählergruppen auch in Deutschland möglich?
- Wie sollten die deutschen Medien mit dem Fall Facebook/Cambridge Analytica umgehen?
- Like Buttons, deren Veröffentlichungen auf FB überdenken
- Stichwort #DeleteFacebook: Sollten die Menschen ihre Facebook-Accounts löschen?
- What the F*** Was Facebook Thinking? (medium)
- Facebook-Chef über Datenskandal Was Zuckerberg gesagt hat – und was nicht (SPON)
- Mark Zuckerberg: ‘I’m sure someone’s trying’ to disrupt 2018 midterm elections (CNN)
- Cambridge Analytica: Warrant sought to inspect company (Channel 4)
* Facebook and Brexit
https://www.welt.de/politik/ausland/article174906355/Cambridge-Analytica-Christopher-Wylie-bringt-Facebook-ins-Wanken.html
* Facebook sammelt Telefondaten
https://www.heise.de/newsticker/meldung/Kontakte-synchronisieren-Facebook-sammelte-jahrelang-Anrufdaten-4003916.html
Kommentar Frank Nord:
Inhaltlich ging es um folgendes: Wenn wir von Alternativen sprechen wollen, müssen wir mal realistisch herangehen und erheben, welche Funktionalität es bräuchte, um FB wirklich Konkurenz zu machen. Ich habe darüber öfter mit einem Bekannten Gespräche. Vor allem würde er ein "soziales Netz" nicht nutzen, dass
a) einen hohen Installationsaufwand hat
und b) den anonymen Gedanken zu konsequent zuende denkt. Argument: "Ich nutze Facebook doch ganz bewusst, um mit mir bekannten Freunden leicht Kontakt zu halten. Dazu gehört auch, persönlich erkennbar zu sein, auch für neue Leute, die mich suchen. Diskussionsgruppen sind nicht das Hauptanwendungsgebiet. Der Punkt ist, dass ich netten Menschen einfach sagen kann 'du findest mich auf Facebook'. Der Punkt ist, dass ich leicht meine Einladungsliste für den Geburtstag zusammenklicken und alle auf dem aktuellen Stand halten kann. Es ist die Einfachheit und die Nähe am Leben, die Facebook stark macht."
Hintergrund: Es gab mal ein Webcomic, dass simplifiziert dezentrale, anonyme soziale Netze erklären wollte. Sein Kommentar lautete, dass diese Idee völlig an der Realität der Nutzer vorbeigeht, die wir möglicherweise überzeugen wollen.
Kommentar Frank Nord Ende
-> Welche Daten fallen bei der Nutzung von Facebook so an?
-> Was kann man daraus so machen?
-> Wer bekommt diese Daten wofür?
-> Welche Daten kauft Facebook sonst noch?
-> Wer sind andere Player, welche Produkte könnten noch betroffen sein?
-> Ähnliches Programm gab es auch in Deutschland (wo war das gleich, wo man einen Facebook API Key spenden konnte und dann damit geschaut wird, wer welche Wahlwerbung angezeigt bekommt?)
Diskussion: Ist Transparenz der Schlüssel zum Erfolg? PostPrivacy vs. Datenschutz
- Privatperson
- Kandidat oder Firma
"Private Daten schützen, öffentliche Daten nützen"
Alternativen zu Facebook?
- falsch gehende Uhren und die schwankende Netzfrequenz
- https://www.theguardian.com/technology/2018/mar/20/child-abuse-imagery-bitcoin-blockchain-illegal-content
-> Es gibt auch noch eine fertig vorbereitete IoT-Sendung, welche es nicht in den Podcast geschafft hat
== Februar 2018 ==
Sendungstitel "Das S in IoT steht für Sicherheit" (Thema IoT allgemein).
Übersetzung
Definition: Vision einer globalen Infrastruktur der Informationsgesellschaften, die es ermöglicht, physische und virtuelle Gegenstände miteinander zu vernetzen und sie durch Informations- und Kommunikationstechniken zusammenarbeiten zu lassen (https://de.wikipedia.org/wiki/Internet_der_Dinge )
Beispiele:
Eingangsbereich:
- Videokameras
- Automatische Schlösser
- Bewegungsmelder
- ferngesteuerte Steckdosen z.B. FritzBox
- Amazon Echo and Echo Dot "Alexa"
- Apple HomeKit "Siri"
- Google Home "OK Google"
Wohnzimmer:
- Heizungssteuerung (Nest) Thermostate
- Logitech Harmony Elite
- Philips Hue (mit deren Batterielosen Schaltern) / MiLight / gibt auch ESP Varianten
- Staubsaugerroboter
- Küche:
- Thermomix(Thermofix), Waagen, Kochtöpfe, Eierkocher/Waagen
- Kühlschränke mit Internet ---> unsere Matemat
- Kaffeemaschinen
Bad:
- intelligente Toilette
- Amazon Dash Button
- Smarte Waage (Withings WiFi Body Scale Digitale Personenwaage)
- https://www.prolixium.com/mynews?id=915 nichtmal HTTPS!
- Waschmaschine
Garten:
- Rasenmäherroboter, Poolreinigung, Gartenbewässerung
- Eierverschenkmaschine
- Feinstaubmessgeräte
https://luftdaten.info/
- Temperaturfühler, Wetterstationen
- Smartphones mit Geofencing
- Smarte Spiegel
- FitBit
- Autonome Fahrzeuge
Bedeutung für die Gesellschaft
- Datenschutz (Wem gehören die Daten? Warum werden sie überhaupt gesammelt?)
- "Wo ein Trog ist, kommen die Schweine"
- Hoheit über die Privatsphäre in den eigenen vier Wänden
- Smartphone als eh vorhandene Wanze?
- Updatebarkeit
- Laufzeit der Software
- Sicherheitslücken (z.B UDP Wellen für Denial of Service Attacken)
- IPv4 vs. IPv6 Adressverbrauch
- IPv4 (2^32 = 256^4 = 4.294.967.296), von denen 3.707.764.736 verwendet werden können, um Computer und andere Geräte direkt anzusprechen.
- IPv6 Vergrößerung des Adressraums von IPv4 mit 2^32 (≈ 4,3 Milliarden = 4,3·10^9) Adressen auf 2^128 (≈ 340 Sextillionen = 3,4·10^38) Adressen bei IPv6, d. h. Vergrößerung um den Faktor 2^96 (≈7,9·10^28). (bisher nur bei 30% der Zugriffe auf google.com benutzt)
http://www.thomas--schaefer.de/HochschuleninDeutschlandmitinternet.html
[Musik]
Technik dahinter: 3 Wege: Kaufen und Nutzen, Bestehendes Öffnen oder Komplett Selberbauen:
- Original Xiaomi MIJIA Mi Roboter
- 34c3 "Unleash your smart-home devices: Vacuum Cleaning Robot Hacking"
- Lücke sind schlecht signierte Updates md5 hashes \o/
- Dustcloud (in /etc/hosts anstatt der "richtigen Cloud"
- Player Stage Framework (vorläufer von ROS)
- gute Wegfindung
- eigene MP3s
- Abhörbefehl in der Software fürs WLAN
- Upload der Wohnungskarten auf 5cm genau (+ Log Dateien)
https://fahrplan.events.ccc.de/congress/2017/Fahrplan/events/9147.html
- Feinstaubsensor:
- Matemat
- Smartmirror:
venezianisches Spiegel (wie bei der Polizei)
- Raspberry Pi Einplatinenkomputer 12,5 Millionen mal verkauft, ähnlich viel wie C64
- Alter Monitor
- Magic Mirror OS
HQ Schalter
LED Streifen
- FitBit
- Lücke sind schlecht signierte Updates
- BLE
- 34c3 "Doping your Fitbit"
DIY-IoT: Was braucht man, wo fängt man an?
-> Arduino Projekt + Ethernet/Wifi Shield
- Name: Das erste Board wurde 2005 von Massimo Banzi und David Cuartielles entwickelt. Der Name „Arduino“ wurde von einer Bar in Ivrea übernommen, in der sich einige der Projektgründer gewöhnlich trafen. (Die Bar selbst wurde nach Arduin von Ivrea benannt, der von 1002 bis 1014 auch König von Italien war.)[4] David Mellis entwickelte die auf C/C++ basierende Diktion dazu. Das Schema wurde im Netz veröffentlicht und unter eine Creative-Commons-Lizenz gestellt. Die erste Auflage betrug 200 Stück, davon gingen 50 an eine Schule. Bis 2008 wurden etwa 50.000 Boards verkauft
-> Atmel-AVR-Mikrocontroller aus der megaAVR-Serie wie dem ATmega328
- Programmierung in C-Slang, oder Visuell, oder anderer runtercompilter Programmiersprache
-> GPIO erklären (general purpose input output)
-> ESP8266 - ESP32
-> Webcam am PC
-> Raspberry Pi (Zero W) ->
PentaLight
PentaBug
Pentablink
Great Scott
Alexander Spieß
Defendtheplanet.net :)
Softwarebrücken:
If this than that (IFTT)
MQTT
Eigener Webserver
#InternetOfThings is when your toaster mines bitcoins to pay off its gambling debts to the fridge
https://chemnitzer.linux-tage.de/2018/en/programm/vortraege
== Januar 2018 ==
Sendungstitel: Prozessor gib mir alle deine Daten! (Meltdown und Spectre)
Willkommen zur ersten Folge Pentaradio 2018
News
- Es war Congress
- Danach kamen Spectre und Meltdown
- Vorstellung Gast
- Pentaradio übernimmt coloRadio-TKs jeden vierten Dienstag im Monat :P
Thema Meltdown / Spectre
- Geschichte
- Weg von der Endeckung bis zur Veroeffentlichung
- Technische Details
- Seitenkanal attacke Unterschied zum Exploit
- speculative execution
- out-of-order execution
- Prozessor Schutzmechanismen
- Konkretes Problem im Prozessor und Exploit
- Wer ist betroffen
- fast jeder da Hardware-Lücke (Meltdown Intel, Spectre viele mehr)
- nicht nur x86 auch ARM und Power
- Exploits
- schwer zu erkennen
- Debug von Software auf gehäufte "Syscalls", weil Caching etc erforced werden?
- Gegenmassnahmen
- KAISER / KPTI - Updated euere Betriebssysteme
- Updatet Browser und Grafikkartentreiber
- Virenscanner? (Sollten wir zumindest nennen, falls Laien nicht schon verloren wurden)
- Microcode patches koennen unter Linux zur Laufzeit ausrollen
- Microsoft und Apple kann das nicht. Da muesste der Nutzen ein BIOS Update machen um ein Microcode update zu erhalten.
- 1000 Usablitiy Sternchen fuer Linux \o/
- Schadensbeseitgung
- Prozessor Patchen
- Betriebssystem Update
- Compiler Update
- Alle Anwendungen neu uebersetzen
- Performance Implikationen
- TLB-Flushes durch context switches
- syscalls
- IPC
- I/O
- reine compute performance ist nicht so betroffen
- Folgen fuer die Prozessorhersteller und Prozessoren der Zukunft
- Zukunft solcher Attacken - mehr Hardware Bugs
- Das ist erst der Anfang, es wird noch viel mehr side-channels geben in der Zukunft
- Gute Schlussfolgerungen
Wir brauchen offene Hardware und offene Software fuer alles und alle!
Vorschläge:
- einem 2017 IT-Jahresrückblick (schlimmste Lücken, Probleme, beste Neuigkeiten)
- Robot Operating System (ROS)
- https://defendtheplanet.net/2014/11/06/a-short-introduction-into-ros/
- Alles Scheiße - Lass uns ranten…
- Wikipedia
- Mobilfunk (Deutschland, andere Länder)
- Vectoring
- Netzpolitik
- Cyber
== Dezember 2017 ==
Sendungstitel: NEIN.NEIN.NEIN.NEIN. (DNS und quad9)
Willkommen zum Pentaradio Folge
* Kurze Anmerkung aus der letzten Sendung:Google evtl. nicht alle TOR Nodes :)
* Einleitung - Wo sind wir: Eigenbaukombinat, denn es ist Congress in Leipzig 27.12.
* Kühlraum des Fleischkombinats in Halle
* Anlass für die heutige Sendung ist das neugegründeten DNS Provider Quad9
DNS Provider?
* Wie komme ich zu einer Webseite wenn ich das im Browser eintippe?
Probleme: Wo im Internet ist https://eigenbaukombinat.de? Spreche ich wirklich mit C3D2.de ?
- Pakete (7-Schichtmodell)
- Physikal am Bsp. Webseite Kupfer 1500(?), Funk (2,312bytes?), CAN-Bus,
- DataLink am Bsp. Webseite EthernetFrames / Fast Ehternet / PPP (danach nur noch 1.492) / FDDI, Token Ring etc
- Network am Bsp. Webseite IPv4((inkl. ICMP ARP RARP) IPv6 IPSec IPX RIP
- Transport am Bsp. Webseite TCP / UDP ->
- ---- Wo ist denn mein Kommunikationspartner im Internet???? --> DNS
- (Session am Bsp. Webseite & Transportation am Bsp. Webseite)
- Application am Bsp. Webseite FTP, HTTP, POP3, IMAP, telnet, SMTP, DNS, TFTP
- Überleitung: in den Paketen stehen dann nur Nummern, keine www.c3d2.de
- DNS Domain Name System
- Telefonbuch des Internets
- Was steht da so drin?
- A Record 217.197.84.51
- AAAA Record 2001:67c:1400:2240::3
- TXT "v=spf1 mx -all"
- NS (Secondary Nameserver)
- MX MX 10 mail.c3d2.de.
- SOA?
- ISDN :)
- dig +nocmd defendtheplanet.net any +multiline +noall +answer
- Anfällig gegen Zensur
- Normalerweise durch den provider angeboten
- Telekom Suchseite
- Kabeldeutschland?
- manchmal etwas langsam
- Es gibt auch Alternativen:
- Telekom (langsam, zensiert)
- Comodo, Yandex, Verisign, Norton,
- OpenDNS (Cisco?)
- 8.8.8.8 (manchmal als Grafitti an der Wand, weil lokale Provider zensiert)
- https://www.quad9.net ( 9.9.9.9 )
- 100+ nodes
- Unsecure Option (No blocklist, no DNSSEC, send EDNS Client-Subnet)
- sind schnell
- soll vor Botnetzattacken, Malware, Download-Seiten schützen
- Kein-Logging
- als Collaborationspartner zählen
- PCH (Packet Clearing House)
- non profit research institute von 1994
- steckten 2013 in 1/3 der 350 weltweiten Internet exchange Points
- arbeiten daran ROOT-DNS stabiler, schneller, sicherer zu machen
- geben workshops etc
- bieten Peerings an 164 Internet Exchange Points
- Partners und Geldgeber
- Cisco
- LevelOne
- Comcast
- CBS Interact
- Verizon
- VMWare
- amsix
- decix
- amazon
- Goldman Sachs
- United Nations Development Programm (UNDP)
- Global Cyber Alliance
- Partner
- United States Secret Service
- CERT EU (weil BSI usw)
- Frauenhofer Aisec (Angewandte integrierte Sicherheit)
- NH-isac
- Prometeus (wurden kurz vor Quad 9 gegründet)
- Banken VirginMoney - komisch
- Sophos
- industry
- Goverment
- City of London Police
- France Ministry of Justice: Division of Criminal Affairs & Pardon
- France National Police
- Manhattan District Attorney’s Office
- Multi-State Information Sharing and Analysis Center
- National Information Technology Authority – Uganda
- New York City Department of Information Technology and Telecommunications (NYC DOITT)
- Procureur de la Republique Paris
- Sioux County, Iowa
- United States Secret Service
- IBM (International Business Machines)
- IBM Funding (insgesamt 25 Milllion Dollars)
- Warum machen die Das?
- IBM X-Force
- commercial security research
- 32 Milliarden Analysed Web Pages and images
- 8 M Spam and Fishing
- IBM X-Force Exchange is a threat intelligence sharing platform
- Kritik:
- "White- und Gold"-Listen für die Großen
- Das Versprechen einer DNS Firewall
- Alternativen
- Https-everywhere als SSL-Pinning (sobald erster Versuch durch ist)
- TOR?
- DNSMasq
- eigener DNS Server für Organisation / WG / Familie
--- optional ---
- Congress 34C3
- Wann und Wo?
- Vorträge auf die man sich freut
- Intel Managing Engine
- KRACK
- keine FnordNewsShow?!?!
- Assemblies
- TUWAT.txt
Daß die innere Sicherheit erst durch Komputereinsatz möglich wird, glauben die Mächtigen heute alle. Daß Komputer nicht streiken, setzt sich als Erkenntnis langsam auch bei mittleren Unternehmen durch. Daß durch Komputereinsatz das Telefon noch schöner wird, glaubt die Post heute mit ihrem Bildschirmtextsystem in "Feldversuchen" beweisen zu müssen. Daß der "personal computer" nun in Deutschland den videogesättigten BMW-Fahrer angedreht werden soll, wird durch die nun einsetzenden Anzeigenkampagnen klar. Daß sich mit Kleinkomputern trotzalledem sinnvolle Sachen machen lassen, die keine zentralisierten Großorganisationen erfordern, glauben wir. Damit wir als Komputerfrieks nicht länger unkoordiniert vor uns hinwuseln, tun wir wat und treffen uns am 12.9.81 in Belin. Wattstr. (TAZ-Hauptgebäude) ab 11:00 Uhr. Wir reden über internationale Netzwerke – Kommunikationsrecht – Datenrecht (Wem gehören meine Daten(?) – Copyright – Informations- u. Lernsysteme – Datenbanken – Encryption – Komputerspiele – Programmiersprachen – processcontrol – Hardware – und was auch immer.
Tom Twiddlebit, Wau Wolf Ungenannt(-2)
== November 2017 ==
* neue Onion-Services ((Zwiebel)dienste 3.0)
An wen richten wir uns?
- an die Szene und an die Leute von Außerhalb, beide sollen vom Radio nicht verschreckt werden
TODO
- honky
- [x] kürzbare (z.B. ohne Text) Music raussuchen - so 5 Stück mit Autor
- [x] Onion Service 5 Satz Erklärung
SimonAnfänge von Tor wo Navy drauf aufsetztIch hab nichts gefunden .... lassen wir dann wohl weg
- Was ist Tor?
- anonymes Internet im Internet
*hand wave* Deep web *still waving* Dark Web
- Funktionsweise
- als Nutzer einfach runterladen, ein Firefox ohne Install
- Zwiebelschalenprinzip
- Verteilung von Traffic auf verschiedene Relays
- Gründe für Tor
- Politische Systeme / Zensur, Überwachung
- Werbenetzwerke / Malware
- Diversität der Nutzerschaft (nicht nur politische Aktivisten!)
- Geschichte Tors
- Ausgangspunkt: »Untraceable electronic mail, return addresses, and digital pseudonyms« von Chaum
- Später anon.penet.fi von Julf Helsingius
- danach Cypherpunks-Remailer und Mixmaster-Remailer als praktische Anwendungen
- Pfitzmann mit ISDN-Mixen
- Einer der ersten Ideen zu Tor is »Hiding Routing Information« von Goldschlag, Reed und Syverson
- Ursprungsidee aus Slovenien? 87/88 Mailboxen?
- von
Navy Geheimdienst Naval Research Lab (Forschungszweig der US Navy und USMC) https://en.wikipedia.org/wiki/United_States_Naval_Research_Laboratory - dann der Community übergeben
- seit 15 Jahren in freier Hand und
- überprüft und vertrauenswürdig
- 200Gbit/s advertised Bandwith / 100 genutzt / 3% davon Onion Service
- Anzahl der Nutzer
- Gründe gegen Tor
- Performance (in Deutschland und USA geringeres Hindernis als in Asien/Afrika)
- Einschränkungen bei der Nutznug
- Google Captchas --> https://privacypass.github.io/
- Wikipedia nicht editierbar; Man kann Beantragen, dass der eigene Account von den IP-Blockierungen ausgenommen wird
- weil man was anderes nutzt und das dem Zweck genügt
- SPAM Lister
- Tor is not foolproof
- opsec mistakes
- browser metadata fingerprints (chrome has proxy bypasses by design)
- browser exploits
- traffic analysis
- Mythen über Tor
- Navy wrote it ("Dingledine did it") ... but partly at NRL
- NSA runs half the relays (they simply don't and if they don't have an incentive)
- Tor is slow (it was but it's fasten when more happen to use it)
- 80% of Tor users are doing bad things (normal users at 80% mostly facebook und google)
- doing it, makes NSA watching me (they are watching anything)
- i heard Tor is broken
- Onion Services
- Beispiele
- Protokolle (http,https,ssh,irc,mail,…); Tor ist egal, was du transportierst (solange es TCP ist)
- Secure Drop (New Yorker Strongbox, Guardian etc) WhistleBlowing Plattforms
- Ricochet/briar/Tor Messenger, decentralised instant message; Jeder Nutzer ist ein onion service sind
- OnionShare OneTime-Website for Sharing files as e.g. Journalist
- anonymous Updates (z.B. für Debian-Packete) apt-tor-transport
- Facebook (largest "deep web" site) 1 Million people use Facebook over tor April 2016
- NYTimes
- Google
- Benutzung durch z.B. zensierende Systeme
- Funktionsweise
- Step 1: Bob picks some introduction points and builds circuits to them
- Step 2: Bob advertises his hidden service XYZ.onion at the Database "in the sky" (HSDIR all 96 hour relays)
- Step 3: Alice hears that XYZ.onion exists and she requests more info at the database. She also sets up a rendevous point at a non IP relay.
- Step 4: Alice writes a message to Bob (encrypted to PK) listing the rendevous point and a one-time secret and asks an introduction point to deliver it to bob
- Step 5: Bob connects to the Alice's rendezvous point and provides her one-time secret (handshake + encryption)
- Step 6: Bob and alice proceed to use there tor circuits like normal
Zusammenfassung der Funktionsweise in wenigen Sätzen:
Bob möchte für eine in seinem Land Absurdistan verbotene Demo/Partei/Religion eine unsperrbare Webseite anbieten. Hierfür legt er auf einem Server einen Onion-Service an, welcher sich eine Adresse generiert und es an 3-bzw.6 Relays (den Knotenpunkten des Tor Netzwerkes) bekannt gibt - die sogenannten Introduction Points. Anschließend druckt er diese Adresse auf einen Zettel und verteilt diesen in seiner Gruppe/Partei/Gemeinde.
Alice bekommt einen dieser Zettel und tippt die Adresse in ihren Tor-Browser. Dieser kann anhand der Adresse und dem HSDir einen der 3. bzw. 6 Introduction Points kontaktierten. Außerdem gibt Alice ein anderes Relay als Treffpunkt mit (Rendevouz Point) vor und unterschreibt alles kryptografisch. Der kontaktierte Introduktionpoint gibt Bobs Onion-Service die Information "Da ist jemand, der deine Daten will und er wartet übrigends an Rendevouz Point dort drüben". Nun kontaktiert Bobs Service den RP und kann durch die Signatur beider Services sicherstellen nur mit Alice zu kommunizieren.
Vorteile des Systems:
- Alice kennt die Adresse/Guard von Bob nicht.
- Bob kennt die Adresse/Guard von Alice nicht.
- der Introductionpoint weiß nicht ob und welche Daten ausgetauscht wurden.
- der Rendevouz Point weiß nichts von Alice und Bob
- niemand in Absurdistan kann wissen, was über Bobs Seite ausgetauscht wurde, selbst wenn der Geheimdienst tor exit nodes betreibt.
Cool things about it: Rendezvous Point doesn't know who alice or bob is, it is beeing used once knows nothing
- Neuerungen (am besten auf das Beispiel beziehen)
- each onion service picks 6 tor relays each day uses HS Directory
- #1 old onion keys are weak
- was first 80 bits of SHA-1 of the 1024-bit RSA key (each word is bad news) short 16 chars
- now: ED25519 long 52 chars (ed25519 public key base32 encoded)
- #2 Global shared random value (not predictable)
- HSDir relays were predictable, and therefore bad guy runs 6 relays that would have been picted
- #3 new crypto hides the address
- HSDirs get to learn onion addresses by running relays and learn unpublished onion addresses
- now signing by subkey
- implizites Signing
- #4 Rendevouz single onion services
- 3hops by alice just one hop for bob (which can be located)
- e.g. for Facebook, debian, …
- #5 Guard discovery is a big deal
- Tor client uses a single relay (called guard) for the first hop
- really bad for onion services
- really good against other attacks ->
- Vanguards proposel
- Motivation
- Erreichbarkeit
- Anonymität != Verschlüsselung
- "We kill people based on metadata"
- Anbieter des Service
- Nutzer des Service
- Serverzugriff
- Angriffe auf Onion Services
- Tor Adresse vorlesen
* Warum nutzen wir Tor?
* congress vom 27.-30. in Leipzig
* congress everywhere
* chaosZone assembly
Links:
Vortrag: https://www.youtube.com/watch?v=Di7qAVidy1Y
auch gut: https://www.youtube.com/watch?v=AkoyCLAXVsc (ab Minute 30)
https://metrics.torproject.org/ https://metrics.torproject.org/bandwidth.html?start=2000-01-01&end=2017-11-22 <- 200 GBit/s advertised, 100 GBit/s used) https://metrics.torproject.org/hidserv-dir-onions-seen.html <- 1 to 2 GBit/s used for onion traffic
https://www.heise.de/newsticker/meldung/IETF-Streit-ueber-Verschluesselung-Darfs-ein-bisschen-weniger-sein-3889800.html
https://trac.torproject.org/projects/tor/wiki/doc/NextGenOnions
https://blog.torproject.org/tors-fall-harvest-next-generation-onion-services
https://github.com/katmagic/Shallot <- onion address (version 2) berechnen
für die Zukunft
https://www.anon-next.de/
== Oktober 2017==
== September 2017 ==
* Entfallen wegen Fnord
== August 2017==
* Lief eine Folge von Damals TM
* http://damals-tm-podcast.de/index.php/2017/07/28/dtm044_fernschreiber/
== Juli 2017 ==
* Was sonst noch in unseren Rechnern steckt
- Block 1:
- Hardware
- Einleitung zum Themen-Beispiel: Intel baut noch eine CPU (Intel ME) auf seine Mainboards, die man weder auditen noch abschalten kann, die aber Netzwerkzugriff hat.
- Nicht auditierbare Prozessoren in Handys (Baseband etc)
- Trusted-Platfrom-Chips (separater Chip der sagt, was gut und was schlecht ist)
- Hersteller?, unauditierbar
- Drucker hinterlässt unique Fingerprint beim Drucken
- Smartphones: Sensoren verraten viele kombinierbare Daten über Nutzer
- Autos: regelmäßige Standortmeldungen (Kundenservice) -> kann aber im Notfall auch helfen
- Navis loggen die Position, auch wenn sie nicht aktiv sind
- Versteckte Webinterfaces/Wartungszugänge (Router -> Telekom!, IoT, Webcams…)
- (Windräder-Steuerungen über unsichere Webinterfaces, Smart Grid vgl. IoT) NICHT SICHER
- Software
- Kleinweich macht, dass man in Windows10 Cortana nicht mehr deaktivieren kann, inkl. Mikrofonzugriff
- Datensammlung von Handy-Sensoren
- Secure Boot (nur signierte Sachen starten, aber Fail weil Keys im Netz gelandet...) << welcher Key
- Amazon Alexa und ähnliche
- Roombas kartieren die eigene Wohnung (Geschäftsidee: API für IKEA), Internet of Shit
- Google recaptcha trainiert Bildererkennungs-Algos
- Smartphones:
- OK Google (Now)
- Smartphones scannen nach Wifi-Netzen, Location durch Wifi-Ortung (manche Browser machen das auch) -> verbessert aber dafür Lokalisierung, zusätzlich zu GPS
- IDEs und Libs bauen Dinge in Software, von denen weder Entwickler noch User etwas wissen, teils von Herstellerseite, teils weil manipulierte in Umlauf gebracht wurden
- Libraries, die vllt Open Source sind, aber nicht gecheckt werden (Beispiel Javascript/Einbinden fremder Quellen?)
- Websites, die SaaS-Backends verwenden (Dropbox, hosted in USA)
- Warum ist das eigentlich schlecht? (Datenschutz, Integrität, Zuverlässigkeit, Einfallstor für Malware)
- Warum wird das eingebaut? Bessere Produkte durch Personalisierung, Management von großen Netzwerken
- Block 2: Beispiel Intel Management Engine
- Gehört zur vPro-Produktfamilie, ist der Hardware-Chip, welcher von anderen Features verwendet wird
- Coprozessor direkt am NIC, always-on, Mikrokernel, Zugriff auf CPU, RAM, NIC
- Eigene Firmware, root of trust ist eingebrannter Intel-Signierkey
- Alternativen: AMD Secure Processor, ARM TrustZone
- TPM, DRM (PAVP, auch mit Cloud-Anbindung, kopiert dann encrypted video direkt in GPU), MEI-Treiber für Windows für Java-Applets in DAL
- Probleme:
- Unverhältnismäßigkeit
- Erfolgreiche Attacken
- 2009: „Ring -3“ rootkits by Invisible Things Lab. Targets memory remapping in Series 3
- 2010: „Zero touch“ enforced configuration by Vassilios Ververis. Targets unsecured deployment via DHCP in Series 4
- Mai 2017: „Silent Bob is Silent“ by Maksim Malyutin from Embedi. Exploits broken HTTP digest authentication in AMT
- Juni 2017: Misuse of Serial over LAN (SOL) by the PLATINUM group. Redirects malware traffic on compromised host through ME, bypassing OS firewall
- Patching ein Problem
- Kaufen von gebrauchter Hardware ist ein Problem, AMT könnte provisioned sein (CompuTrace)
- ME könnte missbraucht werden
- Signaturkey könnte geknackt/gestohlen werden und Malware als Applets in der ME landen
- Schutz
- Ausschalten der ME meist nicht möglich, wenn dann nur Software-„Versprechen“, Funktionalität muss von BIOS implementiert werden
- Hardwarezugriff auf Speicherchip ist nur mit speziellen Kenntnissen möglich
- Gesetze, Regularien…
- Keine Produkte kaufen, die den Kunden so in Gefahr bringen
- Pros
- Management-Features für Firmen
- Trusted Computing gegen Malware
- Block 3:
- Was sind Audits?
- Warum sind die wichtig? (Admins müssen wissen was bei ihnen läuft)
- Anwender müssen Quellcode und Binary vergleichen können (was nützt AGPL, wenn ich nicht den fremden Server einsehen kann?)
- Nur freie und offene system sind auditierbar (Verifizierbarkeit)
Siehe http://boingboing.net/2016/06/15/intel-x86-processors-ship-with.html http://www.pcworld.com/article/3100358/windows/you-cant-turn-off-cortana-in-the-windows-10-anniversary-update.html
https://www.heise.de/security/meldung/Linux-Tueftler-wollen-Intels-Management-Engine-abschalten-3596075.html
https://www.scmagazineuk.com/debugging-mechanism-in-intel-cpus-allows-seizing-control-via-usb-port/article/630340/
Hersteller der es anders machen will: https://puri.sm/ bis hin zu RYF Zertifizierung durch die FSF
http://www.rubos.com/
https://www.heise.de/newsticker/meldung/Roomba-Hersteller-der-Staubsaugerroboter-will-Karten-der-Wohnungen-verkaufen-3782216.html
https://googleprojectzero.blogspot.de/2017/07/trust-issues-exploiting-trustzone-tees.html
https://www.intel.com/content/dam/www/public/us/en/documents/datasheets/9-series-chipset-pch-datasheet.pdf
Musik
Empfehlung:
Opening: LukHash (den muss man aber ausspielen ;-) )
Mitte: Muciojad
ggf. noch StrangeZero
Ende: Krazis
== Mai 2017 ==
=== Thema OStatus ===
* Abgrenzung Topologien verteilter Systeme: Föderiert != P2P
* StatusNet als Twitter-Alternative
* Linked Data, W3-Bemühungen
* Super-erfolgreiches Crowdfunding: Diaspora, the Facebook Killa oder halt auch nicht
* Inkompatibilitäten
* Neuer Hype: Mastodon
* Spezielles Umfeld
* Caching von Inhalten
* Schwäche von federation: Inhalte müssen explizit zugestellt werden, sonst nicht sichtbar
** Hashtags
** alteToots/ Posts
* Pods ohne Aufsicht
* die Zukunft: W3C und Activitypub
Shownotes:
- [Hugs for Chelsea Sampler](https://hugsforchelsea.bandcamp.com/ )
- [Epicenter.works -aktiv für Netzneutralität](https://epicenter.works/ )
- [Irisscanner im Samsung Galaxy S8 ausgetrickst](https://media.ccc.de/v/biometrie-s8-iris-fun )
- Musik: [Kubbi - Ember](https://kubbi.bandcamp.com/album/ember )
== April 2017 ==
Musik: ParagonX9 - Chaoz Fantasy (8-bit)
https://soundcloud.com/paragonx9/paragonx9-chaoz-fantasy-8-bit
Thema
"Leaking NSA's and CIA's secrets - Shadow Brokers and Vault7"
Begriffserkläungen / "Bingokarte"
- Vault 7
- Confluence
- Shadow Brokers
- konstruierte Sprache
- Wikileaks
- Leak
- NSA
- CIA
- Exploit
- Zero-Day
- Smart TV
- Wheeping Angel
- (Project Dark Matter)
- (Marble Framework)
- (Grashopper Framework)
- (HIVE)
- Snowden
- Doublepulsar
- White Hat
- Black Hat
- Solaris
- Kriminelle nutzen 0-days aus
- Microsoft patcht im März (vor Release)
- Updaten hilft
- Bezug zueinander
- SWIFT Hack
Veranstaltungshinweis:
https://entropia.de/GPN17
Was ist was?
Vault 7
- CIA, Wikileaks
Shadow Brokers
- NSA, Gruppe,..
- Anlehnung an...
Einordung
- Shadow Brokers / Vault 7 = Werkzeugkiste
- Snowden Leaks = Masterplan
Was wurde eigentlich geleakt?
- Vault 7 auf Wikileaks (CIA)
- Shadow Brokers
- sieht nach internen Dokumenten aus .docs Ordner "not for release"
- keiner Hackergruppe, sondern Konstrukt
- immer auf komplett anderen Medien publiziert
- box.com, mega, Medium, Twitter und Github (NSA)
- vergleichbar mit Snowdenleaks, aber in Presse runter gespielt
- Welch Leaks gab es (Name, was für ein Angriff ist es)?
- eher auf Infrastruktur, Unis, Telcos
Blick auf Mainstreampresse
Reaktion in der Nerdszene
großes Interesse, aber kaum Reflexion in der Nerdpresse, dafür um so mehr in kleinen Blogs und Twitter
"Pressemitteilung":
https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1
Arbeit der Geheimdienste
NSA - strategische Ausrichtung
CIA - taktische Spoinage
CIA nennt Wikileaks einen "feindlichen Geheimdienst"
https://www.heise.de/security/meldung/CIA-Chef-sieht-in-Wikileaks-einen-feindlichen-Geheimdienst-3686088.html
Man sieht an den Exploits schön deren Ausrichtung und Arbeitsweise
Klar: Agencies horten Exploits, sie tauschen bestimme Dinge aus
Misstrauen zwischen den Diensten durch die Leaks -> Hinderlich für die Zusammenarbeit -> Ineffizienz!
Shadow Brokers:
Theorie: Whistleblower, russischer Geheimdienst, von Russen engagierte Söldnerhacker
Beispiel Exploits:
Vault7:
Ausrichtung der Hacks an dem was in Szene (black + white) diskutiert wird
Shadow Brokers: z.B. Solaris Exploits
Warum eigentlich Solaris?
Bewertung
Warum kommt beides zur ungefähr gleichen Zeit?
Hängt es miteinander zusammen, auch wenn unterschiedlich bearbeitet und untersch. Quellen?
Geheimdienste kochen auch nur mit Wasser, gut aber keine magic
Schaden für Dienste ähnlich groß wie bei Snowden
andere Dienste lernen davon
bisherige Angriffe können dagegen getestet werden
Leider wahr: Schwachstellen werden nun gegen Bevölkerung eingesetzt (Botnetze, Kriminelle, ...)
Egal, wie esoterisch Sicherheitslücke sein mag, sie wird ausgenutzt
Aber: kein Hexenwerk; Übermächtigkeit beruht teilweise auf Mythos
#Musik: Bajo Calle - Wait
https://www.jamendo.com/track/1380782/wait
Wie kann sich schützen?
- Updaten hilft; immer neustes OS einsetzen
- Sinnvoll konfigurieren hilft
- Kryptographie hilft
#Musik: J.O.R.B.I - Thunder and War
https://www.jamendo.com/track/1440190/thunder-and-war
Links:
Analyse zu Leaks, die nicht von Snowden zu stammen scheinen:
Zu Shadowbrokers
Zu Vault7
Veranstaltungshinweise:
GPN 25.05. -28.05. Karlsruhe
Bitte Feedback unter:
https://pentamedia.org/pentaradio
https://twitter.com/pentaradio
https://itun.es/i67G7RS
== März ==
Thema: 10 Jahre Pentaradio
Aufzeichnungstermin: 14. März 2017 um 21:00 Uhr (?!)
Mit im Studio: Astro, a8, Friedemann, Blastmaster
Nachrichten
- Release OpenBSD 6.1 zum Ende März (Virtualisierung (vm) und Aktualisierung (upgrade) nun möglich (patch))
Auswertung CLT: https://chemnitzer.linux-tage.de/2017
10 Jahre Pentaradio
Ausschnitt Sendung vom 26. Januar 2010
Zitat Tim: Bingokarte bei Themen, nicht zu viel vorbereiten, Gespräch muss natürlich bleiben
Timestamp: ca. 52:30 bis 55:37
Audiodatei: http://ftp.c3d2.de/pentaradio/pentaradio-2010-01-26.mp3
Story Apple: Support lässt uns wieder in den iTunes Store
Let's Encrypt Certs, Apple meldet sich, wenn es wieder geht ;-)
Feeds wurden getunt, neues Artwork (1400x1400px), wir haben jetzt "Clean Lyrics"
Ausschnitt aus Sendung von 2006
Audiodatei: https://c3d2.de/news/pentaradio24-20060608-mitschnitt.html
(meine ersten Datenspuren...)
Ausschnitt aus Sendung vom 26. Juni 2012
Skype "könnte Backdoor einbauen" -> hat sich bewahrheitet
Audiodatei: http://ftp.c3d2.de/pentaradio/pentaradio-2012-06-26-skype.mp3
Aufruf zu mehr Sendungsfeedback! Schreib uns bitte Kommentare und Bewertungen.
Möglichkeiten:
Pentamedia: https://pentamedia.org/
iTunes Store (Sternchen und Reviews): https://itunes.apple.com/de/podcast/pentaradio/id350873124?mt=2
Twitter: https://twitter.com/pentaradio
Hörertreffen?
== Februar ==
Nächstes Mumble: Mi 22.02.1017 20:00 Uhr
Vorstellung
#Musik: Highmas - Hey Jade
https://www.jamendo.com/track/1326833/hey-jade-instrumental-version
* Heimautomatisierung
* Wozu eigentlich? Aufhänger: Was kann man selber machen?
* Protokolle und Techniken
Was gibt es ? (proprietär/open, Hardware/Software, lokal/Cloud)
** IOT-Botnet-Welle für Angriffe
*** bei billigen Geräten die Gefahr dass es keine Updates mehr gibt und dann mit offenen Lücken am Netz
*** klappte bei Phillips gut
Kabel:
** KNX "professionell" und total veraltet, nicht mal richtiges Auth
** CAN eher im Industriebereich
Funk:
** ZigBee, Bluetooth LE, WIFI, DECT
*** kaputtes Zigbee, fest implementierte Keys geleakt
OSRAM Lücken: https://community.rapid7.com/community/infosec/blog/2016/07/26/r7-2016-10-multiple-osram-sylvania-osram-lightify-vulnerabilities-cve-2016-5051-through-5059
Hue Wurm: http://iotworm.eyalro.net
** Z-Wave auch kaputt (Keys geleakt) --> Alex sagt was zu Sicherheit
** Homematic - http://www.homematic.com
** EQ3 - http://www.eq-3.de
** OpenHAB (Java) - http://www.openhab.org
** HomeAssistant (Python) - https://home-assistant.io
** FHEM (Perl) - https://fhem.de/fhem.html
** HomeKit von Apple - https://www.apple.com/de/ios/home/
*** sah gut aus was Sicherheit betrifft, jemand der keinen zweiten Faktor hatte konnte nicht zugreifen trotz Einladung
*** funktioniert sehr gut
*** Zubehörteile doch recht teuer
*** Daten wandern nicht über die Cloud
# Musik: http://dig.ccmixter.org/files/destinazione_altrove/51585
Do I Wanna Go Home ( Remix ) - Dysfunction_AL
* Services, Vor- und Nachteile
** oft in der Cloud und damit problematisch
*** mangelde Sicherheit
*** no privacy
*** Anbieter verschwinden, Technik dann nur noch Elektroschrott
* Selber machen
** Server wird gebraucht, kann meist ein Raspi sein
** freie Implementationen (Calos etc)
** Strom sparen, Komfort (Heizung, Licht)
** Welche Sensoren
** Welche Aktoren
** Friedemann: Erfahrungsbericht HomeAssistant, FHEM (kurz), HomeKit (kurz)
*** Friedemann hat 2 Lampen mit Temparaturregelung
und 2 mit hell und dunkel Einstellung + Zigbee hub
**** mit Apple Homekit --> geht gut, auch mit Siri
**** mit App Philips Hue --> geht gut
**** geplant Ansteuerung mit HomeAssistent auf Raspi
***2 Steckdosen eine über DECT und Stromesseung
**** Fritzbox klappt gut, sehr genau
**** geplant Ansteuerung mit HomeAssistent
*** 433 mHz für Funksteckdosen
**** geplant Ansteuerung mit HomeAssistent,aber nicht so smart
** Alex: Erfahrungsbericht OpenHAB
*** Installiert auf Raspi, Raspi 2 zu langsam --> VM Virtual Box
*** OpenHAB2 Alex wird damit nicht warm
*** wirkt unfertig (Dinge geplant aber nicht implementiert), lieber HomeAssistent als selbst gebautes
*** man kann damit funkt. SmartHome bauen
*** Ersatz für kommerzielle Produkte
*** Beschreibungssprache hat unschönen Syntax
*** scheint kommerzielles Interesse zu verfolgen, bzgl. Cloudservice (erst Mal kostenlos)
**** jetzt mit Amazon Echo und Push Notifications von Smartwatches, OAuth über Facebook
** HomeAssistant vs OpenHAB auf Reddit: https://www.reddit.com/r/homeautomation/comments/4hs86h/home_assistant_vs_openhab_how_do_they_compare/
*** HA: bessere GUI, flexibler, höhere Hackfaktor
** Alex Ansatz zum komplett selber bauen
* Zukunftsausblick
** Probleme von Funk --> vll Überlastung wie bei WLAN
** vll Wardriving wie bei WLAN mapping
MQTT: https://www.heise.de/security/meldung/MQTT-Protokoll-IoT-Kommunikation-von-Reaktoren-und-Gefaengnissen-oeffentlich-einsehbar-3629650.html
Musik: http://dig.ccmixter.org/files/F_Fact/34749
Home - Platinum Butterfly
== Januar ==
Fake News
Einleitung
# MUSIK: Alan Walker - Fade
- Was sind Fakenews?
- schwammiger Begriff, Zusammenfassung von vielen versch. Dingen,
erklären wir dann bei den versch. Arten
wird alles in einen Topf geworfen (Alex)
Ambitionen und Hintergründe werden nicht hinterfragt, obwohl essentiell für Ursachenbekämpfung
- Warum machen wir jetzt die Sendung
- seit November wieder mehr Aufmerksamkeit, gerade wieder mehr Konjunktur, Angst wegen Bundestagswahl (Lutz)
- September 15 Balkanruhe, viele Geflüchtete
- Silverster 15/16
- Trump
- Polizei hat jetzt wichtige Aufgabe, ordentlich zu informieren (z.B. Breitscheidplatz)
oder Fakenews entgegenzuwirken (...das ist so nie 0passiert)
- Seit wann gibt es sie?
- kein neues Phänomen
- Mittelalter: Konstantinische Schenkung
- 1994 Microsoft kauft Vatikan und Bibelverfilmung
- Beispiele:
- Migrantenschreck Großbestellung Charite Chefarzt [1] (Friedemann)
- u.a. Renate Künast verklagt jmd wegen Fakenews [2] (Friedemann)
- Brutkastenlüge Irgakrieg (Anne)
- Kosovokrieg Lüge über angebliche KZs (Alex)
- Inwiefern unterscheiden sich die Hoaxmapberichte von Fakenews (Lutz)
- Beispiele oben sind was anderes
- kam auch unerwartetes
- Was ist Hoaxmap --> kurze Vorstellung (Lutz)
- Beispiele von Lutz von Hoaxmap
# MUSIK: Jonathan Mann - Living In The Age of The Hoax
- Arten:
- Kommerzielles Interesse
- Verweis auf Pentaradio zu Werbenetzen, kurze Funktionsweise
- Soziale Netze, Filterblasen, Social Bots, YouTube
- Werbebanner -> Währung des Internets
- Es geht um Klicks auf ihren Seiten, um Geld zu verdienen (hohe Conversion Rate)
- Worauf klicken Leute gerne? Seichte Stories, Katzenbilder, etc.
- Von Privatpersonen (-> Facebook, Twitter, private YouTuber, Gerüchte aus Offlinewelt, Lutz)
- Aufmerksamkeit generieren
- Politische Agenda
- Kettenbriefe, Petitionen
- Von politischen Organisation herausgegeben (Partien, Dienste, ...)
- Propaganda
- Fakenews von Privatpersonen und aus kommerziellem Interesse weiterverbreiten
- Nachrichten werden ggf. immer weiter optimiert
- Breitbart News deckt alles ab
- Genaue Zahlen schwierig:
- 75-95% Kommerzielles Interesse
- 5-15% Privatpersonen
- 1-5% Propaganda
Anknüpfung zu Werbenetzesendungz.B. via Facebook zielgerichtet streuenSachen werden nicht runter genommen, weil sie viele Klicks generierenVerweis: "Build your own NSA" vom 33C3
Filterblasen in sozialen Netzwerken, Social Bots in sozialen Medien Leute teilen das, was sie denken dass es gut passt, was sie hören wollenAusflug: Was sind Social Bots, jetzt auch in Messengern (Whatsapp, Telegramm,...)Was machen die, wie arbeiten die,...?
Grenzen fließend in welchen Stufen Leute auf Seiten gezogen werden (Alex)Ausflug zu Internetrökonomie, zeigt schön wie kaputt alles ist
- Lösungsvorschlag:
- in Medien Rufe nach übergeördneter Kontrolle durch Fakebook oder Staat
- man läuft
schnell unmittelbar ins alte Zensurproblem - Leute, die vom Bloggen leben
- Werbenetzwerke entkernen, man braucht Alternative, wie man Kontent bezahlt
- alte Idee des CCC Kulturwertmarke, Flattr
- Medienkompetenz
Zukunft der Fakenews
schon jetzt sind Photoshop etc in der Lage Bilder zu manipulieren, AI wird das nochmal verschärfen, insbesondere bei Video
#MUSIK
urmymuse - i don't believe you (ft. Kaer Trouz)
auf Weiterführendes verweisen
vll Ausflug in Psychologie, gesellschaftlich-soziale Effekte
Aufbringen von Leuten
Destabilisierung
vll Ausflug in Data Science
Zur Vorbereitung mal Folgendes anschauen:
https://www.dasmagazin.ch/2016/12/03/ich-habe-nur-gezeigt-dass-es-die-bombe-gibt/ --> http://adage.com/article/campaign-trail/cambridge-analytica-toast/305439/
http://jensscholz.com/index.php/2016/12/03/hat-ein-big-data-psychogramm
https://www.youtube.com/watch?v=n8Dd5aVXLCc
Logbuch Netzpolitik "Fakebook" hat das thematisiert
https://logbuch-netzpolitik.de/lnp203-unglueck-im-glueck-im-unglueck
auch vom 33C3 Talks dazu, u.a. Spiegelmining
Heiseshow gab es auch zum Thema
heises beispiel des tages: http://www.spiegel.de/netzwelt/web/fake-news-ermittlungen-gegen-55-jaehrige-wegen-erfundener-vergewaltigung-a-1129223.html
Fakenews sammel seite: http://hoaxmap.org/ --> Karolin Schwarz kann man evtl zum Podcast einladen
https://theintercept.com/2017/01/04/washpost-is-richly-rewarded-for-false-news-about-russia-threat-while-public-is-deceived/
http://www.theverge.com/2016/12/20/14022958/ai-image-manipulation-creation-fakes-audio-video
http://marginalrevolution.com/marginalrevolution/2017/01/authoritarians-distract-rather-debate.html
http://www.spiegel.de/netzwelt/web/social-bots-entlarven-so-erkennen-sie-meinungsroboter-a-1129539.html
https://www.nytimes.com/2017/01/18/us/fake-news-hillary-clinton-cameron-harris.html?_r=0
https://www.heise.de/newsticker/meldung/Thomson-Reuters-Chefredakteur-Zensur-gefaehrdet-Demokratie-mehr-als-Fake-News-3603080.html?wt_mc=rss.ho.beitrag.rdf
https://consortiumnews.com/2016/12/12/us-intel-vets-dispute-russia-hacking-claims/
Vortrag zu Hoaxmap auf dem 33C3:
https://media.ccc.de/v/33c3-8288-bonsai_kitten_waren_mir_lieber_-_rechte_falschmeldungen_in_sozialen_netzwerken#video&t=1042
Vortrag zu Hoaxmap auf der Cryptocon:
https://media.ccc.de/v/CC16_-_49_-_de_-_sub_lounge_-_201605221300_-_hoaxmap_org_-_lutz
[1] http://motherboard.vice.com/de/read/das-ende-von-migrantenschreck-polizei-ermittelt-gegen-kufer-von-waffenversand
[2] https://www.heise.de/newsticker/meldung/Fake-News-Kuenast-stellt-Strafanzeige-wegen-Falschnachricht-auf-Facebook-3567961.html
== Dezember ==
Thema: 33C3
Anmerkung:
Achtung! Termin der Sendung (27.12.) fällt genau auf den 1. Tag des Kongresses.
Da wird sicherlich keiner Zeit haben, eine Sendung aufzunehmen.
Aufzeichnung am 20.12.2016
Musik:
https://media.sixtopia.net/ccc/pausenmusik/
https://soundcloud.com/alec_empire/alec-empire-atari-teenage?in=alec_empire/sets/alec-empire-30c3-music-for
https://www.youtube.com/watch?v=-7jsdj7sqGQ
https://www.youtube.com/watch?v=q5w5VX4tAD4
* Warum wir besprechen das Thema jetzt?
** Kongress ausverkauft
** Leute regen sich auf, dass Vouchers bei Ebay liegen --> Alex
** "state of the hacker nation" 33c3, Kartenvorverkauf und ausverkaufte
Congresse, die Szene ist plötzlich hip und der Kommerz ist auch angekommen
usw. --> Alex
*** Anzahl Ebay: 900 Euro teuerste, 6-7 selber gesehen
*** andererseits kein neues Phänomen
** Gegenmeinung: Astro: Ich habe da eine andere Meinung. Ich begrüsse die Öffnung
der Veranstaltungen für ein breiteres Publikum. Zeit zum Nichtverpeilen gabs genug
** Gegenmeinung: Friedemann: man sieht dort keine Firmenlogos, Sponsoren bleiben
ungenannt
** offizielle Ansage auf dem Congress "Leave your damn business at home."
* Entwicklung der Szene / Probleme
** es beschäftigen sich einfach mehr Leute mit dem Thema Computer,
so fühlt sich Erfolg halt an
** Öffnung der Szene
*** Chaospaten
** Firmenhackspaces
** Hipster, Leute mit Profilierungsbedarf
** Firmen die auf der Trendwelle mitschwimmen, Adafruit, Makerbots und ausnutzen
* Entwicklung der Besucherzahlen, Geschichte des Kongress allgemein
** Geschichte --> Alex
* Was ist der Kongress?
** Familientreffen
** Zerforschen und Ausblicke geben, Helden ehren
** 6/2/1 Regel
** Unterschied zu Veranstaltungen in den USA
*** Entertainmentcharakter
*** keine Firmen / Werbung
*** keine Dienste / Behörden
** Unterschied zum Camp
** Einfluss auf Mainstream
* Wie muss ich mir einen Congress vorstellen?
** Engel
** DECT
** Kidsspace
** Tracks
** Assemblies
** Self Organized Sessions
** Lounge
** Blinkenarea, Sendezentrum
** CTF
** Lightning Talks
* andere Treffen des CCC über das Jahr
** Datenspuren Dresden
** Gulasch-Programmiernacht Karlsruhe Entropia
** Easter Hack Netz 39 Magdeburg und Stratum
* Besprechung interessanter Vorträge aus dem Fahrplan,
** was sollte man sich ansehen, was wird spannend
== November ==
Datenschutz und Datensicherheit im Auto
#Musik: AlexBeroza - Just Drive
http://ccmixter.org/content/AlexBeroza/AlexBeroza_-_Just_Drive.mp3
Hintergrund: Wollte Elektroauto kaufen und habe mich in dem Rahmen mal mit dem Kleingedruckten befasst, bzw. erst mal das Kleingedruckte überhaupt in die Finger zu bekommen
und Heiseartikel
http://www.heise.de/newsticker/meldung/ADAC-Untersuchung-Autohersteller-sammeln-Daten-in-grossem-Stil-3227102.html
* Siehe auch: Hinweis auf Pentacast zu CAN-Bus im Auto
* immer schon wichtiges Thema gewesen, aber gerade sehr akutelles Thema mit Internet im Auto und conneted car
* aktuelles Beispiel:
** Herausgabe von Bewegungsprofil bei illegalem Straßenrennen /
fahrlässiger Tötung von Radfahrer: Fall BMW / DriveNow
http://www.manager-magazin.de/unternehmen/autoindustrie/bmw-autobauer-liefert-gericht-kundendaten-fuer-bewegungsprofil-a-1104050.html
Daten von BMW die Wegstrecke, gefahrenen Geschwindigkeiten, Außentemperatur oder die Position Mobiltelefons
*** nicht ganz klar wie BWM an die Daten kam, woher kamen Bewegungsdaten
** Jeep-Hack
*** hat viel zur Sensibilisierung der Hersteller beigetragen
** FBI warnt vor ODB-2 Dongles: http://www.darkreading.com/informationweek-home/feds-urge-caution-on-aftermarket-devices-that-plug-into-vehicle-diagnostic-ports/d/d-id/1324759
* ODB-2 Schnittstelle an K-Leitung / CAN Bus recht altes System
https://de.wikipedia.org/wiki/On-Board-Diagnose
**War ursprünglich standardisierte Schnittstelle für TÜV, vorher haben alle so ein bischen ihr eigenes Ding gemacht; ist gesetzlich vorgeschrieben (weltweit), muss verbaut werden
** leicht angreifbar, System rechnet nicht mit Angriffen
** hat keine Sicherheit wie Authentizität
** Vollzugriff auf viele Steuergeräte und viele Sensoren
** jeder OEM kocht sein eigenes Süppchen
** Protokolle sind alle propietär
* welche Sensoren gibt es im Auto, welche Informationen lassen sich darau gewinnen
** Heise:
*** ADAC bei 4 Fahrzeugen von BMW, Mercedes, Renault untersucht, welche
Daten sammeln. Ergebnis: Von Informationen über techn. Zustand bis zu
Nutzungsprofil des Fahrers
*** neben , schadstoffbezogenen, Muss-Daten erheben Automobilhersteller
weitere Daten – ohne dass ihre Kunden wissen, was da aufgezeichnet wird
*** Mercedes: GPS-Position, Kilometerstands, Kraftstoffverbrauch, Reifendruck,
Gurtstraffungen (Indiz für starkes Bremsen)
*** Renault: via Mobilfunk beliebige Informationen, im Pannenfall
Ferndiagnosen. Ist der Käufer mit den Leasing-Raten im Verzug, wird das
Aufladen der Batterie verhindert
***BMW: Anzahl der eingelegten CDs + DVDs , 100 letzten Abstellpositionen
** weiterhin: Lenkeinschlag, Gaspedalwinkel, welche Verbraucher an
** Sensoren sollen schnell und einfach Daten rausgeben
*** komplexere Berechnungen (z.B. für Verschlüsselung) können gefährlich
werden,
z.B. Aufgehen des Airbag oder Rückmeldung Abstandsmesser
** je komplexer eine Software, desto geringer Wahrscheinlichkeit alles zu
überblicken, somit alle Fehler zu finden
*** Fahrzeugsteuerungskomponenten deutlich mehr Sicherheitsvorschirften
als für Infotainmentsysteme
**** Infotainment eigenes System so komplex wie Betriebssystem und
zusätzlich neuer Angriffsvektor aus dem Internet
#Musik: scomber - I Spy (with my little eye)
http://ccmixter.org/content/scomber/scomber_-_I_Spy_(with_my_little_eye).mp3
* Daten als künftiges Geschäftsmodell für Autohersteller / wirtschaftliches Interesse
** Ablesen von psychischen Zuständen (Lenkeinschlag, Gaspedaldruckverhalten)
** Ablesen von Fehlerverhalten
** wer sind die Interessenten:
*** Hersteller
**** Cloudinfrastrukturen bei Herstellern vorhanden (Mercedes, BMW,...)
*** Versicherer (wirklich Garagenwagen?, Fahrverhalten, versch. Fahrer?)
*** Behörden
**** Schutz vor "terroristischen Angriffen" Fernabschaltung von Autos möglich
**** Szenario: Verhinderung von Fahrt zu Demo
**** bei Renault wenn Raten nicht gezahlt, Diebstahlschutz bei Opel
**** Notrufsystem im Auto, gesetzl. vorgeschrieben, aber getrennt!
*** Mautabrechnung und Fahrtenbuchersatz (über Abgasdatenschnittstelle)
**** Beispiele Vimcar - https://vimcar.de und Automatic https://www.automatic.com
netter Blogeintrag: https://vimcar.de/blog/spots-fahrtenbuchstecker-connected-car-technologie-zum-selbereinstecken/
***** Protokoll wurde reverse engeeniert
***** komplette Bewegungsprofile erstellbar
***** sehr unsicher über diese Schnittstelle so viele Daten auszulesen
**** Welche Produkte gibt es heute "einfach zum Anstecken" zu kaufen?
***** Head Up Displays
***künftiges Einnahmemodell für Werkstätten?
****egal ob selber oder durch Datenweitergabe an Interessenten
*** Ferndiagnose
*** Kriminelle
**** vll nächste Welle von Verschlüsselungstrojanern
**** kann wirklich großer Schaden damit angerichtet werden
**** * Hacks (Multimediasystem aufmachen und
sehen was leute im Auto machen, Ransomware?)
*** Tuner
**** für Kenner! Zuschaltung weiterer Features möglich
* Wie kann Kunde herausfinden, welche Daten erhoben werden?
** Peter Schaar:
"Bewegungsprofile sind ohne ausdrückliche Einwilligung des Kunden unzulässig"
** Datenschutzgrundverordnung
*** technische Daten vom Fahrzeug nicht geschützt
*** greift nur für persönliche/personenbezogene Daten
** Erfahrungsbericht Alex
*** BMW
**** nur Auskunft über aktuelles Datenschutzrecht
*** Nissan
**** gab Auskunft, bei Start Zustimmung zu Datenweiterleitung erforderlich,
Ja/Nein-Möglichkeiten
**** keine Aussage ob Daten später noch irgendwie übertragen werden
*** Renault
*** bei anderen Herstellern
**** Teilweise keine Datenübertragung über mobiles netz
***** Nicht nachprüfbar ob das wirklich erfolgt
** im eigenen Test Auslesung der Daten der letzten 3 Monate bei Subaro auslesbar
*** Uhrzeit, Ort, Temparatur- und Luftfeuchtigkeit
* Welche Rechte hat der Kunde seine Daten löschen zu lassen?
** Man ist Autoeigentümer, aber muss zwangsweise Lizenzbedingungen akzeptieren.
*** z.B. somit verboten in bestimmte Länder zu fahren
** Hersteller kann Sachen aus der Ferne, over the air, deaktivieren
* Zukunftsprognose
** Kunden ist es egal, wie schon beim Mobiltelefon,
"Ich hab doch nichts zu verbergen"
** Effekte bei Carsharing wahrscheinlich besonders
* auch sinnvolle Anwendungen denkbar, wenn dem User die Daten unterliegen
** Messung und Optimierung von Kraftstoffverbrauch
** Fahrkollonen die Sprit sparen
** sowas wie ParkNow von BMW
** Verkehrsoptimierung in Städten
** Car to X
Zapac - Test Drive
http://ccmixter.org/content/Zapac/Zapac_-_Test_Drive.mp3
Wired Ant - Travel by Night (Border Ride) feat. Javolenus
http://ccmixter.org/content/Wired_Ant/Wired_Ant_-_Travel_by_Night_(Border_Ride)_feat._Javolenus.mp3
Further reading: https://resources.sei.cmu.edu/asset_files/WhitePaper/2016_019_001_453877.pdf
* Hack des Monats: der ZigBee-Wurm <http://iotworm.eyalro.net/>
== Oktober ==
* FreeBSD und seine Abarten - bewährte Konzepte und aktuelle Entwicklungen:
* Was ist BSD?
** (Haupt-)Unterschied zu Linux
*** UNIX und nicht GNU (is) Not UNIX (mit dem Kernel Linux)
*** Linenz
* heute speziell FreeBSD (Besonderheiten von FreeBSD, gegenüber anderen *BSD, aber auch GNU/Linux)
**gab schon mal Sendung über BSDs allgemein https://www.c3d2.de/news/pentaradio24-20141125.html
* Warum einsetzen?(ALH)
* Welche 4 (Haupt-)Arten?
*: siehe auch https://wiki.c3d2.de/BSD
** NetBSD
** FreeBSD
** OpenBSD (fork von NetBSD)
** DragonflyBSD (fork von FreeBSD)
* Nutzung auf Endgeräten (Vater)
** nicht alle alle alle Treiber vorhanden, Zeit für Installation, Virtualisierungen die nicht laufen?, ACPI/Suspend to Disk (sucks),
* Nutzung auf Servern (ALH)
** aktueller Anlass
*** FreeBSD 11 erschien im Oktober 2016
*** Sicherheitszeug
****Grundeinstellungen besser
*** haufen neue Treiber, 64 bit ARM-Prozessoren
*** bhyve kann nativ Grafik wieder geben
** Konzepte
*** Jails (bewährtes Pronzip für Container)
*** ZFS
*** bhyve (Daniel)
*** pkg vs. ports
*** Kombatibilität mit Linux
*** Docker, Xen, KVM, usw.
** Abarten
*** Vorstellung einzelner einzelne Abarten
**** FreeNAS
***** FreeNAS 10 erscheint wohl erst im Februar 2017
**** TrueOS (bisher auch PC-BSD)
***** basiert nun auf (current) 12
**** CBSD
**** CloneBSD
**** GhostBSD
**** DesktopBSD
**** Apple MacOS (entfernt verwandt. die haben sich das userland genommen und Darwin draus gebaut) und (Open)Darwin
**** Tote
*** Vorstellung von Ideen von weitren Abarten
** Software zur Verwaltung
*** Verwaltung von Jailsiocage
**** ezjail
**** iocage (aktuell rewrite von sh zu go)
*** Verwaltung vom system
**** sysadm (von PC-BSD)
*** Provisionierung & Co
**** BSDploy
**** Tredly
**** fractal cells
== September ==
News:
Roaming-Gebühren
LSR
DDOS on Brian Krebs
* Sendung zu den Datenspuren
== August==
News:
* Cryptocurrency of the Month: https://tech.slashdot.org/story/16/08/12/2143246/ddoscoin-new-crypto-currency-rewards-users-for-participating-in-ddos-attacks
* Apple vs. FBI
Kommentar:
Kein Applebashing, aber von Apple auch nicht uneigennützig, sondern Marketing
aber interessante Lösungen
technisch vertieft, aber für Normalos verständlich erklären
Rollenverteilung:
Experte: Friedemann (eher pro Apple), Alex (eher contra Apple)
Nachfrager/Moderator: Anne
#Musik: Mizuki's Last Chance -Holy Bleeb
http://mizukislastchance.bandcamp.com/track/holy-bleep
Einleitung/Aufhänger: ...
Was ist überhaupt passiert? (Anne)
- genereller Streit, wie Firmen vom Staat gezwungen können (ihre eigene) Sicherheit (durch Verschlüsselung) zu brechen
- Apple sollten helfen Daten über Kriminellen zur Verbrechensaufklärung bereit zu stellen
- ging um Attentäter von San Bernerdino, 14 Leute erschossen, 22 verletzt, Mann und Frau Attentäter, Telefone vorher zerstört, Attentäter
am Ende von Polizei erschossen
- ging um Arbeitstelfon des Attentäters
- haben sie auch gemacht, haben Daten der ICloud, wo alles hin sync. rausgegeben
- aber Sync. war nicht aktuell, FBI wollte an lokale Daten auf dem Telefon
- aber das war PIN geschützt und nach 10 Fehleingaben dauerhaft gesperrt
- haben ICloud Zugangsdaten zurückgesetzt, damit Dritte keinen Zugriff haben (z.B. Komplizen es löschen) und sich damit ausversehens
ausgesperrt
- Apple hat Mithilfe verweigert eine Version des Betriebssystems zu erstellen auf dem ds umgangen werden kann
- nach eigenen Angaben derzeit keine Möglichkeit von Apple selber an die Daten zu kommen
- Forderung ging nach deren Ansicht und auch die einiger Juristen viel weiter als Gesetzesgrundlage
- FBI hat NSA gefragt, die haben aber nicht helfen wollen/können
- großes mediales Aufsehen
- FBI dann Firma für wohl 1,3 Mio für Hack beauftragt
- viele Leute die sich mit Apple sehr sicher fühlen, wie wollen beleuchten, ob das wirklich so ist
Wer waren Akteure, wer war auf wessen Seite?
https://en.wikipedia.org/wiki/FBI%E2%80%93Apple_encryption_dispute
Was ist FBI (interbundesstaatliche Polizei)?
Architektur vom Apple Secure Enclave - ab A7-Prozessor im iPhone 5S
Was heißt das?
Geräteindividueller Schlüssel (Hardware), Secure Enclave Processor (Software) redet
mit weiteren Komponenten
UID --> Masterkey wird generiert vom Gerät, mit echtem Zufall (Osilator)
physikalisch, einmalilg erzeugt, kennt Apple nicht, kriegt man nicht raus
Was macht denn Masterkey? Grundlage Erstellung aller weiteren abgeleiteten Keys...
Welche Bestandteile? Welche Schlüssel?
macht, dass nach 10 Fehlversuchen Gerät final gesperrt (Schlüssel zum Entschlüsseln Speicher werden verworfen)...
Welche Auswirkungen auf Bootprocess/ Gesamtsystem?
Hat eine Art Secure Boot (Was ist Secure Boot?)...
"Sicherer Startvorgang"
Signiert sind: Bootloader, Kernel, Kernel-Erweiterungen und Baseband-Firmware
Wie wird es gespeichert?
Hätte man es auch aufschleifen können?
Einfaches Design, unwahrscheinlich, dass Fehler drin aus Cryptografen sicht
#Musik: Gridline - Astro Infinity
https://soundcloud.com/projectgridline/astro-infinity
Was passierte? (technisch detailierter)
BackUp aus Could rausgeben, FBI wollte aber aktuelle Daten vom Gerät --> Datensparsamkeit
Am Tatort Prozess eingeleitet, dass PW zurücksetzt, damit keine Komplizen Zugriff
--> IPhone hat sich mit flaschen Zugangsdaten nicht mehr bei ICloud einloggen --> haben sich selber ausgesperrt
Apple wehrte sich angepasstes IOS mit Backdoor zu erstellen
könnte weitere Institutionen fordern, wollen Software sicher machen, nicht zahlreiche Sicherheitslückeneinbauen
juristische Lage (Alex)
national security letters usw., könnten schon gezwungen worden sein Sicherheitslücken einzubauen
NSA arbeitet im geheimen, FBI muss vor Gericht was beweisen...
Sollte auch nicht raus kommen was Dienste können oder nicht...
Wollen nicht Verbrechen aufklären, sondern Lagebild vorhersagen
Warum hat es überhaupt so viel Aufsehen erregt?
gute PR, viele Applebegeisterte, Unterstützer/Gegner, Rede Tim Cook
Unterstützer: Facebook, Yahoo, Twitter,
Apple (und andere Silicon Valley Firmen) schlechtes Image durch Snowden Veröffentlichungen, Sicherheit jetzt wichtiges Argument
Warum so ins Zeug gelegt?
Theorie: gesättigter Mark, wichtig für Zielgruppe (in Security auch interessiert), Alleinstellungsmerkmal,
in manchen Ländern in gewissen öffentl. Berufen verboten
Was ist Motivation von Apple?
FBI hat ja gesagt, geht nur um das eine Telefon, Software kann danach vernichtet werden
Nicht Sicherheit, sondern Geheimhaltung, Abschirmung (Wallet Garden)
trotzdem sichere Plattform, liegt aber in der Hand von Apple, könnten sie ändern
keine Gegenwehr bei National Security Letter, möglich bei Updates, keine Kontrolle über Geräte
Diskussionspunkt: Wie sicher ist IOS im Vergleich zu anderen Systemen?
keine Kontrolle welche Apps was backupen --> ICloud Backup besser ausschalten?
Backdoor ist halt auch hohes Level an Gefährlichkeit
könnte passieren, dass Leute in abgeschirmten Garten eindrungen, auch andere kommen rein durch Backdoor
aktuelles Beispiel Shadowbrokers
Raubkopien von kostenpflichtig Apps, ganzes Finanzierungsmodell gefährdet...
Bugbounty lobenswerter Punkt, kaum Exploits und wenn dann teuer (Annekdote von Black Hat Vortragsrückfrage)
# Musik: Magna -Divide
https://soundcloud.com/magna/divide
Was ist iCloud?
iCloud Drive (= ähnlich wie Dropbox, aber in iOS integriert)
Photos
Mail (Empfehlung: kann man selbst hosten)
Contacts (Empfehlung: kann man selbst hosten)
Calendar (Empfehlung: kann man selbst hosten)
Reminders (Empfehlung: kann man selbst hosten)
Safari
Notes (alt und neu, verschlüsselt)
Wallet
Backup (Achtung!)
problematische Schwachstelle, kann/konnte remote angeschaltet werden
"the Fappening"...Bilder
Keychain (gutes Konzept, bei allen iCloud Services wünschenswert)
Find my iPhone / Mac (hilfreich bei Diebstahl)
Wie haben sie es dann doch geschafft, was vermuted man?
nie in Gerichtsakten aufgetaucht, was auf Telefon war... vll nie wirklich geknackt
Gerüchte im Netz sagen:
private isralelische Firma engagiert (Cellebrite - https://en.wikipedia.org/wiki/Cellebrite)
auf alten IOS basierende Sicherheitslücke, Nantmirroring in Kombination mit...
Flash rausgelötet, kopiert in Mirror, dann Brutforce irgendwie in Kombination mit Zählerrücksetzung mit Keys
auf dieses Gerät zugeschnitten, wahrscheinlich kurze PIN
Es gibt aber keine Fakten, nicht mal ob sie es tatsächlich geknackt haben oder ob das nur PR ist!
--> Empfehlung alphanumerischen Code verwenden
Exkurs: bei PIN haben es viele nicht verwendet, oder oft einfachen Code, bei Touch ID die Mehrheit
# Musik: Boogie Belgique - A little while
https://www.jamendo.com/track/1190474/a-little-while?language=en
Pufferthema:
FBI nutzt 2D Fingerabdrücke zum knacken
akuteller Fall...
nicht secure enclave sondern Touch ID, Biometrie und typische Biometrieangriffe
nach 3 mal falsch gegen Abdruck gesperrt, dann nur mit Passphrase (auch bei Neustart)
sagen auch man kann, nicht soll es nutzen, genau richtig, für bequeme User
iMessage
gab Brut Force Angriff dagegen, aber dann gefixt
Apple kann Metadaten rausgeben, Inhalt theoretisch nicht, weil Ende zu Ende verschlüsselt
Apple könnte theoretisch sich Keys holen
cryptografisch recht weit fortgeschritten
Mobiltelefonsicherheit allgemein
App Sicherheit
Mikrofonkontrolle
Standortübermittlung
Quellen:
Vorträge
Ivan Krstic: Behind the Scenes with iOS Security (Blackhat 2016)
Slides: https://www.blackhat.com/docs/us-16/materials/us-16-Krstic.pdf
Video: https://www.youtube.com/watch?v=BLGFriOKz6U
Ivan Krstic: How iOS Security Really Works (WWDC 2016)
Slides: http://devstreaming.apple.com/videos/wwdc/2016/705s57mrvm8so193i8c/705/705_how_ios_security_really_works.pdf
Video: http://devstreaming.apple.com/videos/wwdc/2016/705s57mrvm8so193i8c/705/705_hd_how_ios_security_really_works.mp4
Demystifying the Secure Enclave Processor
Slides: https://www.blackhat.com/docs/us-16/materials/us-16-Mandt-Demystifying-The-Secure-Enclave-Processor.pdf
Pangu 9 Internals
Slides: https://www.blackhat.com/docs/us-16/materials/us-16-Wang-Pangu-9-Internals.pdf
Discovering & Exploiting Novel Security Vulnerabilities in Apple Zeroconf
Slides: https://www.blackhat.com/docs/us-16/materials/us-16-Bai-Discovering-And-Exploiting-Novel-Security-Vulnerabilities-In-Apple-Zeroconf.pdf
Technische Dokumentation
https://www.apple.com/business/docs/iOS_Security_Guide.pdf (Englisch)
https://www.apple.com/de/business/docs/iOS_Security_Guide.pdf (Deutsch)
https://developer.apple.com/security/ (Entwicklerdoku)
List of available trusted root certificates in iOS 9: https://support.apple.com/en-us/HT205205
Corecrypto (Source): https://developer.apple.com/file/?file=security&agree=Yes
Podcast Security Now
Nachweis BackUp Remote aktivieren - Kontext Big Fappening, IDict...
Statement von Apple: http://www.apple.com/customer-letter/ und http://www.apple.com/customer-letter/answers/
https://en.wikipedia.org/wiki/FBI–Apple_encryption_dispute
http://www.chip.de/news/13-Millionen-fuer-nichts-So-macht-sich-das-FBI-vor-Apple-laecherlich_90083607.html
http://www.teeltech.com/mobile-device-forensic-tools/ip-box-iphone-password-unlock-tool/
http://www.theverge.com/2016/3/9/11186868/apple-fbi-nsa-encryption-exploit-hack
iMessage
https://www.washingtonpost.com/world/national-security/johns-hopkins-researchers-discovered-encryption-flaw-in-apples-imessage/2016/03/20/a323f9a0-eca7-11e5-a6f3-21ccdbc5f74e_story.html
https://www.usenix.org/system/files/conference/usenixsecurity16/sec16_paper_garman.pdf
https://www.bishopfox.com/blog/2016/04/if-you-cant-break-crypto-break-the-client-recovery-of-plaintext-imessage-data/
iDict
https://github.com/Pr0x13/iDict
http://mashable.com/2014/09/04/i-hacked-my-own-icloud-account/#xFxk9QYunsqK
== Juli ==
News:
#Musik
Intro: Klamm - Dragon Fire
http://chipmusic.org/klamm/music/dragon-fire
Klamm -Crusing
http://chipmusic.org/Klamm/music/cruising
Pornophonique - I want to be a robot
https://www.jamendo.com/album/7505/8-bit-lagerfeuer
Pornophonique - Space Invaders
https://www.jamendo.com/track/81743/space-invaders
Outro: Kraftfuttermischwerk - Am Wolkenberg (instrumental)
http://www.kraftfuttermischwerk.de/wa/am_wolkenberg_instrumental.mp3
Was heißt sicher kommunizieren?
- Ende zu Ende
- wichtigste keiner darf dazwischen mithören
--> Abhörsicherheit
- Methode:
- Crypto
- Stasi Leitung sichern, Leitung in Rohren mit Unterdruck
--> Bietet aber auch Whatapp
- Beispiel Tiefseekabel
--> Authentifizierung
- rede ich wirklich mit dem anderen
- kein man in the middle
- kann Whatsapp nicht
--> Integrität
- einzelne Nachrichten werden nicht gesendet
- einzelne Nachrichten werden hinzugefügt
- einzelne Nachrichten werden manipuliert
Beispiele anhand der Kriterien durchgehen
- Whatsapp
- Signal
- Telefonbuchsyncfoo
https://de.wikipedia.org/wiki/Liste_von_mobilen_Instant-Messengern
- E-Mail made in Germany --> Transportverschlüsselung
- Ziel war: sicher, zuverlässig, vertraulicher Geschäftsverkehr, im Internet, für jederman
- Problem: jeder kann sich Mailadresse, Max Mustermann holen
--> DE-Mail: Ausweis vorzeigen
- Problem: Empfangsbestätigung kann verweigert werden
--> Empfang automatisch bestätigt
- Versand einer DE-Mail kostet 0,39 Cent
- wenige Anbieter, wegen teurer Zertifizierung
- Problem: nicht immer Transportverschlüsselung --> DE-Mail immer SSL
- Problem: nicht jeder hat Verschlüsselung --> DE-Mail: keine Verschlüsselung :-)
- Problem: Viren, Trojaner --> Virenscan beim Anbieter
- Wer schickt denn für 0,39€, auf seinen Namenregistriert Malware?
- andererseits wiegen sich Nutzer in flascher Sicherheit --> Indiv. Angriff möglich
- Traum für Angreifer: sensible Daten, nur wenige Anbieter, unverschlüsselt
- Traum für Behörden: sensible Daten,nur wenige Anbieter,unverschlüsselt,kein Spam
--> Ziel: Wirtschaftsförderung und Abhörbarkeit --> Statt kein Interesse an Sicherheit
- OTR, Omemo
- PGP
Achtung Metadaten
--> Perfect Forward Secrecy
- wenn ein Key bekannt wird, bedeutet nicht, dass komplette Kommunikation offen liegt
- in Vergangenheit als auch Zukunft
--> (plausible) Deniability
--> Vertrauenswürdige Basis
- Passwörter auf Rechner verschlüsseln
- OS, z.B. Windows oder Programme - Gefahr Viren, Trojaner, und Co.
- wenn Open Source
- auch möglich, aber durch Möglichkeit zu Audits vertrauenswürdiger
- Hardware (min. Geheimdienst nötig)
- kann ich meinem Handy vertrauen?
- nein
- warum nicht?
- Hardware
- OS / Provider
- Hersteller (Verzögerung von Updates, eigene Apps)
- Provider (Verzögerung von Updates, eigene Apps) http://heise.de/-1337858
- Bsp Telekom: http://blog.telekom.com/2014/02/05/so-kommt-das-update-auf-mein-smartphone/
- Apps
- GSM /Baseband
- Passwortzettel nicht rumliegen lassen
- Trust no one- Ansatz
== Juni ==
Koeart - Begrüßung
#IT Crowd
* Einleitung / Begriffserklärung
** Wer ist eigentlich die mächtigste Person im Unternehmen? Der CEO?
Nein, der komische Typ im Keller mit den Wanderschuhen... (Alex)
** Beispiel Terry Childs (Alex)
** Merkt man eigentlich nur wenn was kaputt ist
--> Klopapierprinzip
--> undankbarer Job, Einschränkungen durch Security,
Störungen bei der Arbeit wenn was kaputt
** gibt verschiedene Typen
*** z.B. Systemadministrator, Netzwerkadministrator, Systemmanager, Operator,
Web Administrator, Datenbankadministrator, Anwendungsadministrator
*** sind für sich spezialisiert
*** haben aber auch viele Gemeinsamkeiten, wie im folgenden erklärt
** Organisation und Technik (alex)
*** Admin der nichts zu tun hat macht alles richtig
*** kleine IT -> viel Technik, sehr individuell, breit gefächert
*** große IT -> viel Organisation, standardisiert, Spezialisierung
**** weil: je größer die IT um so mehr Standardisierung und Normierung
**** je kleiner kleiner die IT um so mehr Hands on und Sonderlösungen
**** bei großen IT-Umgebungen prozessorientiert
#Musik - "Ambient Background" soundshrim
https://www.jamendo.com/track/1320383/ambient-background
** aus Sicht aus Usersicht, aus Firmensicht, eines Admins
** Was machen eigentlich Admins um die IT einer Firma,
Uni oder ähnlichem am Laufen zu halten?
* Konflikte Firmensicht und Adminsicht und Usersicht
** was kostet Ausfall, was kostet wenn es läuft --> Optimum finden --> IT-Leiter
***Automatisierungen, Redundanzen, manuelle Tätigkeiten, Back Up Strategien
* Strategie und Taktitk (Alex)
** Vier-Augen-Prinzip
*** wichtige Änderungen werden immer nach diesem Prinzip gemacht
*** schöne Theorie, selten in der Praxis
** KISS
*** keep it simple, stupid (zu deutsch: mach es so einfach wie es geht, blödmann! http://catb.org/jargon/html/K/KISS-Principle.html )
*** komplex kann jeder, führt in der Praxis früher oder später zu Problemen
(Upgrades, Migration… )
*** Nerds raffen das leider erst viel zu spät
** Spannungsfeld zwischen sicher und anwenderfreundlich
*** die Interessen von Admins und Users sind selten deckungsgleich
*** letztlich muss der Admin dafür sorgen, dass die User arbeiten können, auch wenn es bedeutet sie einzuschränken
Uptime Funk
* Aufgabenbereiche und Werkzeuge
** Monitoring - Infrastruktur am laufen halten
***was ist passiert gerade, wie ist akuteller Zustand
***Icinga
*** Logserver
** Dokumentation
*** wo ist was, wie ist Konfig, Zuständigkeiten, Change log
** Incident Mangement
***Ticketsystem (OTRS, Redmine)
*** Prioritäten
*** Aufgabenverteilung
** ITLM (IT Livecycle Management) (Alex)
***kaufen, warten, ...
*** Lizenzmanagement
*** Updatemanagement
**** Tests und Evaluation
*** Softwareverteilung
**** Tests und Evaluation
** ITSM (IT Service Management)
***Usermanagement
**** Rechtemanagement
**** AD, LDAP
**** Groupware/Colaboration Tools
** Testing, Evaluation (Alex)
*** Welche Produkte erfüllen die Anforderungen
*** Wie müssen sie konfiguriert werden
** IT-Sicherheit (Alex)
*** Datenschutz
*** Datensicherheit
*** Nur ein sicheres System ist auch ein zuverlässiges System
# Day Routers Died
Wie wird man Admin?
Welche Voraussetzungen braucht man für den Beruf?
* the dark side (Alex)
** ITIL (Infrastructure Libary) https://de.wikipedia.org/wiki/IT_Infrastructure_Library
***Managementtechniken in IT übertragen um messbar zu machen,
**** z.B. Prozesse einführen, Begriffe eindeutig bestimmen
**** nicht als Regel, kein Standard, Kann-Regelungen, Best Pratice
** Zertifikate
Nachweis von Fähigkeiten
Firmen mach Schulungsprogramme für ihre Produkte
--> daraus erwuchs eigener Industriezweig,
Firmen wie Microsoft oder Cisco hohe Gewinne damit
ursprünglich Nachweis von Wissen/Fertigkeiten
später eher als Marketinglabel um eigene Produkte zu vermarkten
Firmen stellen Leute mit Microsoft zertifikaten ein,
ist am weitesten verbreitet,
hoher bedarf an Leuten mit Zertifikaten,
dafür gesorgt das (teils kostenlos) weit verbreitet
Schulungsinhalte: nicht nur wissensvermitteln, sondern auch meinungsbildend
auch unabhängige Zertifikate als wirklicher Wissensnachweis
*** Herstellerzertifizierung
**** MCSE/MSCDBA/MSCA, Cisco etc
**** Marketing-Brainwash
**** manchmal sogar kostelos oder sehr billig um die eigenen Produkte im Markt
zu platzieren
*** herstellerunabhängige Zertifikate
**** LPIC, BSDCG
** Wartungsverträge
***komplexes Produkt, dass allein nicht verwaltet werden kann
--> Abhängigkeit von Lieferanten
**** Das ist das, was große Teile der IT-Industrie am Laufen (und Leben) hält
*****sichere über zeit laufende Einnahmen
**** man schafft sich selber Arbeit, indem man eine Ideologie etabliert,
dass nur das professionell ist, wofür es herstellerseits Wartungsverträge gibt
**** führt dazu, dass in den Organisationen know how fehlt
und mittelfristig zu vendor lock in
***** z.B. Microsoft speichert Office in eigenen Formaten statt in freien
*****Venor lock-in: Kundenbindung/Herstellerabhängigkeit,
Wechsel schwer gemacht, hohe Kosten,
**** Strategie gegen FOSS, weil da gibts sowas ja nicht
und so garantiert ein Unternehmen für das Produkt/Service (FUD)
# Musik - Intro: "System Administrator Song" von Three Dead Trolls in a Baggie
https://chaosradio.ccc.de/ctv056.html#t=0:29.500
Links:
http://www.infoworld.com/article/2653004/misadventures/why-san-francisco-s-network-admin-went-rogue.html
https://www.youtube.com/watch?v=rjDSY8LczFw
* 1 Admin oder Adminteams/Zusammenarbeit mit anderen
Security
sich nicht in die quere kommen
redundanz wenn ein admin ausfällt
== May(hem) ==
#Musik: Intro Broke for Free - At the count http://brokeforfree.bandcamp.com/track/at-the-count
News:
* Auch Google lässt Namen durch das Internet erwählen: http://techcrunch.com/2016/05/18/google-asks-the-internet-for-n-words-what-could-possibly-go-wrong/
* https://twitter.com/nblr/status/725277172655611904
* Zur Auswirkung von Überwachung: http://www.reuters.com/article/us-wikipedia-usage-idUSKCN0XO080
* Windows 10 interrupts a live TV broadcast with an unwanted upgrade
http://betanews.com/2016/04/27/windows-10-interrupts-live-tv-broadcast/
* ImageMagick Br0k3n!1elf
https://imagetragick.com/
http://www.heise.de/open/meldung/Boese-Bilder-Akute-Angriffe-auf-Webseiten-ueber-ImageMagick-3200773.html
http://www.heise.de/open/meldung/Webseiten-mit-ImageMagick-Bibliothek-im-Fokus-von-Angreifern-3196901.html
*** wozu dienst dieses Tool und wo wird es eingesetzt
*** warum ist es problematisch wenn das kaputt ist?
* Gnu Hurd aktualisiert
http://www.heise.de/ix/meldung/Fortschritte-GNU-Projekt-aktualisiert-Hurd-und-Mach-3211287.html
*** Hurd kurz erklären
*** totgesagte leben länger
*** ein Microkernel-System könnte durchaus die FOSS-Landschaft bereichern
* Oracle vs. Google (Java)
http://www.heise.de/ix/meldung/Oracle-vs-Google-War-Mobile-Java-schon-vor-Android-im-Niedergang-begriffen-3212056.html
*** der wohl wichtigste IT-Prozess derzeit
*** Oracle hat Java mit Sun gekauft
*** Sun war eine Firma, die viel auf offene Standards gesetzt hat
*** Oracle ist einfach nur böse (mehr Anwälte als Entwickler etc)
*** Google nutzt Java-APIs
*** Oracle an das Java im Android ran, auch wenn das nicht ihres ist
*** Entscheidung kann viele (negative) Auswirkungen auch auf FOSS haben, Firmen können Entwickler verklagen, wenn sie ihre APIs nutzen, auch wenn sie offen sind wie beim JavaSE
# Musik: Broke for free - Nothing like captain crunch http://brokeforfree.bandcamp.com/track/nothing-like-captain-crunch
Es wird zwei Teile geben.
Im ersten Teil würden wir über Passwörter allgemein sprechen. (ca. 30min)
*Arten von Identifikationsverfahren
** Wissen/ Etwas das ich weiß
*** Eigenschaften: Vergessen, Weitergeben/Duplizieren/Verraten, Erraten, Preisgabe erzwingen, schnell, einfach
*** Beispiele: PIN (z.B. EC_Karte), Passwort, Passphrase (länger als PW),Sicherheitsfrage
** Besitz / Etwas das ich habe
*** Eigenschaften: Produktionsaufwand, muss es immer rumtragen, kann ich verlieren, kann gestohlen werden
*** Beispiele: Schlüssel (phys. oder virt.), Karten (Magnetstreifen, RFID, Smart), TAN-Liste, Token
** Körperliches Merkmal/Biometrie - Etwas das ich bin
*** Eigenschaften: immer dabei, dadurch missbrauchbar, z.B. Daten Gescihtserkennung auch Nutzung bei Überwachungskameras und
nicht nur Ausweis, teils leicht abnehmbar (Schäubles Fingerabdruck), techn. Aufwand zur Erkennung, immer Brücke
zwischen fehlerhafte Erkennung ist möglich (False Acceptance) und fehlerhafte Zurückweisung ist möglich (False Rejection),
Datenschutz, Auschluss bestimmter Gruppen möglich, z.B. Probleme bei Fingerabdruck erkennung asiatische Frauen [1]
*** Beispiele: Fingerabdruck, Gesichtserkennung, Tippverhalten, Stimmerkennung, Iriserkennung, Retinamerkmale,
Handvenenscannen, DNS
* Woher kommen Passwörter?
** ursprünglich Parolen beim Militär um bei Dunkelheit zu entscheiden ob Freund oder Feind
** Ganz früher gabs einen Pförtner an der Tür, der geregelt hat wer reinkam
** Passwörter sind nicht dafür da Daten freizugeben, sondern den User gegenüber dem Computer zu authentizieren. Wer auf was
zugreifen darf, wird vom Rechtesystem geregelt. (Wird oft falsch verstanden)
* Wie werden Passwörter gehackt?
** Nutzer ist Schuld
*** zu einfach
***zu kurz, kann man durchprobieren, wie beim Fahrradzahlenschloss
**** gibt auch Sperrmechanismen wie EC-Karten
*** überall das gleiche
****Problem wenn eins bekannt wird, liegen auch alle anderen Zugange offen
*** Statistiken zu häufigsten Passwörtern
**** über Jahre hinweg immer wieder die gleichen häufigsten Passwörter
Rank Password [2]
1 123456
2 password
3 12345
4 12345678
5 qwerty
6 123456789
7 1234
8 baseball
10 football
11 1234567
13 letmein
14 abc123
15 111111
17 access
20 michael
21 superman
22 696969
23 123123
24 batman
oft auch Seitenname...
****linked in: "123456", das über eine Million mal genutzt wurde (von 140 Mio)
"linkedin", "password", "123456789" weit über hunderttausend Mal
*** Brute Force
*** Umgang mit dem Passwort (Post it am Monitor, unverschlüsselte Passwortlisten oder Passwortmanager ohne Masterpasswort)
****ALH: Trojaner suchen nach PW-Datenbanken
****ALH: Leute mit Feldstechern vor Firmen
** Betreiber ist Schuld
*** unverschlüsselte Übertragung, kein https, Schlüsselsymbol --> meckert mit dem Betreiber
*** Passwörter im Klartext speichern
*** Hash, vgl. Prüfsumme, Quersumme,
**** eindeutig: wenn man das gleiche rein tut, kommt das gleiche raus, tut man was anderes rein, kommt was anderes raus
**** passiert serverseitig
*** Passwörter gehasht, aber ohne Salt
**** aktuelles Beispiel Linked In [3] 180 Mio PW 2012 geklaut, jetzt größtenteils entschlüsselt
*** Rainbow Tables [4]
*** Keylogger oder andere Malware
* Tipps zum Umgang mit Passwörtern (abgeleitet aus Angriffen)
** Was sind starke/schwache Passwörter?
** Wie erstelle ich mir ein sicheres Passwort, dass ich mir merken kann?
*** Staple Horse Battery Coorect [5]
*** Snowden Interview
** Wie verwalte ich meine Passwörter? (Passwortendatenbanken)
***Keepass(X)
***ALH: Plugins
***Broswer-PW-DB
**Warum soll ich überall verschiedene Passwörter verwenden?
** usw.
#Musik: Jonathan Mann - How To Choose A Password https://www.youtube.com/watch?v=oBBk_dpOX7w
Im zweiten Teil kämen wir dann zu Alernativen zu Passwörtern.
Welche Alternativen zu Passwörtern gibt es, was sind deren Vor- und Nachteile? (Ca. 45min)
* OAuth/OpenID
** ursprüngliche Idee
***eigentlich keine wirkliche Alternative zu Passwörtern, eher der Versuch Passwörter nicht im ganzen Netz zu verteilen
** heutige Kritik (OAuth zu komplex, zieht Consulting etc hinter sich her)
* Zertifikate
** Statt einfach zu ratender Passwörter wird ein Crypto-Key benutzt
** Problem: Kommt der weg, gibt es keinen zusätzlichen Schutz
* Zwei-Faktor-Authentifizierung
*** neben dem Passwort muss man auch den Besitz eines weiteren Tokens nachweisen
**** Token kann ein Gerät sein, ein Zertifikat, TAN usw.
**** Weitere Faktoren: Uhrzeit, Lokation, Gerät usw.
*** sehr unwahrscheinlich, dass Passwort und Token gemeinsam gestohlen werden
*** die Token müssen gegen Ausspähen, Kopieren etc geschützt sein
** Trust Scores by Google
*** Kombination aus Faktoren (Sprache, Nähe zu WLANs etc) errechnet Score
*** je nach Dienst muss der höher oder niedriger sein
http://www.theregister.co.uk/2016/05/24/google_smartphone_password_replacement_trust_scores/
** Tippverhalten
** Biometrie
** Äpps
**Zertifikate
*** als zusätzlicher Faktor, nicht zu verwechseln mit Zertifikat als "Login-Passwort"
** SmartCards / Dongles
*** Was SmartCards nicht sind
**** Transponder- und RFID-Cards
**** Speicherkarten
**** Mifare-Karten etc.
*** Wie funktioniert so eine Smartcard?
**** Meist als Chipkarte oder USB-Dongle ausgeführt, es gibt aber auch andere Bauarten, zum Beispiel NFC, auf Mainboard oder in CPU integriert oder als externes Gerät
**** Nicht einfach nur ein Speicher für Keys, sondern eher ein kleiner Computer, der die Zugriffe auf den eigentlichen Speicher regelt
*** Warum sind die Keys etc darin sicher?
**** Das OS und auch der User haben keinen direkten Zugriff auf die Geheimnisse
**** Sicherheitsprobleme auf dem OS beeinflussen nicht die Smartcard
**** Smartcards sind leicht auditierbar und damit unwahrscheinlich, dass es Fehler gibt, zumindest in der Theorie
**** In der Praxis muss man dem Hersteller trauen
*** Zeitabhängige Verfahren vs. Challenge-Response
** Mobile TAN, TAN Generatoren
** Umsetzungen
*** propietäre Lösungen (RSA Security, ID Control, Vasco, Kobil etc)
**** geht dauernd kaputt
**** benötigt Infrastruktur des Herstellers
**** zieht meistens Wartungsverträge und Vendor-Lockin nach sich
**** teuer und komplex
*** Fido U2F
**** nicht zu verwechseln mit Fido UAF, einem Biometrie-Auth-Protokoll
**** sehr günstig (ab ca. 5€, war von Anfang an Designziel)
**** herstellerunabhängig
**** offener Standard (bereits integriert in diverse Produkte, zum Beispiel Google, diverse Sachen von Microsoft und auch FOSS-Software wie PAM)
**** kann nicht viel, aber ist perfekt um den Besitz des 2. Faktors nachzuweisen
*** OTP
**** one time password
**** nicht zu verwechseln mit "one time pad"
**** zeitabhängig/zählerabhängig & andere mathematische Verfahren, TOTP/HOTP (https://netknights.it/hotp-oder-totp/) am weitesten verbreitet
**** sowohl in Hardware (diverse Smartcards) als auch Software (Keepass)
*** Tan-Generatoren via Chip-Karte (Smartcard oder ePerso)
*** OpenPGP-Card (Crypto finden auf Karte statt und Kommunkation mit OS über API)
**** ist eigentlich für GnuPG-Verschlüsselung gedacht, kann aber über Umwege zur Authentizierung bzw als Besitzbeweis genutzt werden
** Yubi-Key, NitroKey, Software-Lösungen auf Java-Cards
#Musik: Outro -Triplexity Invited with Jennifer Greer https://www.jamendo.com/track/189568/triplexity-invited-with-jennifer-greer
Quellen:
[1] http://www.spiegel.de/netzwelt/tech/biometrie-pannen-die-probleme-kleiner-asiatischer-frauen-a-288462.html
[2] https://www.teamsid.com/worst-passwords-of-2014/
[3] http://www.heise.de/newsticker/meldung/LinkedIn-Leck-Mehr-als-80-Prozent-der-Passwoerter-bereits-geknackt-3212075.html
[4] http://kestas.kuliukas.com/RainbowTables/
[5] https://xkcd.com/936/
== April(, April) ==
Topic: Werbenetzwerke - Targeted Ad Attacks
Aufbau:
* Vorstellung Gäste => H.A.T.E.O.T.U. ?!
* Werbenetze
**Warum Werbung im Netz?
**Arten von Werbung im Netz
**Wie wird man durchs Netz verfolgt?
***Veranschaulichungen: Lightbeam (Firefoxplugin) [1], Datenblumen [2]
***Cookies
****HTTP - Cookies, Flash-Cookies, Supercookies, Evercookies
***Cache- und Browser-Fingerprinting
**Was ist das?
***Erklärung
***Beispiele: Google, Doubleclick (inzwischen Google), Facebook, Twitter , Yahoo, Adobe, Microsoft
nicht nur Werbebanner und Cookies tracken, Google etc nutzen auch Content wie Youtube, Gmail etc
Bei Apps was wird getrackt? (auf was sie Zugriff bekommen)
Browserspezifische optimieren
Werbenetzwerke sammeln infos
→ dann kann man zu Google sagen was wird wo angezeigt
→ nur Gruppe von Leuten wird das angezeigt
→ dann wird es nicht mitbekommen, es wird zielgerichtet angegriffen, deshalb nicht in Virenscannern und Co. auffindbar
→ Exploit kann auch erst nach gewisser zeit aktiv werden
→ Angriffe auch über normale Seiten, da alle gleiche Werbenetze suchen
--> wenn man mit Adminrechten arbeitet wie es viele machen, dann GAU
Trackingtechniken
SSL nützt da nix, weil das Tracking über die Server läuft und nicht über die Verbindung
Identification als Person, nicht nur an einem Gerät
Google: „egal ob wir deinen Namen kennen, Hauptsache können dich identifizieren“
Targeted Ad attacks
Warum?
Wie geht das?
Was kann man dagegen tun?
Nicht nur nervig auch Sicherheitsrisiko
Werbefreie Äpps (aka FOSS) => [librejs](https://www.gnu.org/software/librejs/)
Studie Werbebannerfilter – Effizienz der einzelnen Tools
Empfehlung panopticlick.eff.org --> Fingerprinting eindämmen
Tor => [tor-browser](http://torproject.org/)
Do not track (hier auch Nachteile nennen) §15 III TMG (nur in D)
Ghostery (umstritten, Default-Einstellungen, Firmenzweck)
Adblock (umstritten, Default-Einstellungen, Firmenzweck)
Hilft nicht gegen alle Arten,...
NoScript
Privacy Badger
UBlock origin
Zeit ca. 1h
Veranstaltungshinweis: [Linux Presentation Day]
Links:
[1] https://www.mozilla.org/de/lightbeam/
[2] http://datenblumen.wired.de/
[Linux Presentation Day]: https://veranstaltungen.dresden.de/events/6699?from=1462021200000
http://www.theatlantic.com/technology/archive/2015/11/your-phone-is-literally-listening-to-your-tv/416712/
http://www.bbc.com/news/technology-34732514
https://www.rt.com/usa/flashlight-app-spy-users-815/
http://www.gayadnetwork.com/files/GayAdNetwork_Mobile.pdf
https://de.wikipedia.org/wiki/Flash-Cookie
https://de.wikipedia.org/wiki/Cookie
https://de.wikipedia.org/wiki/Web_Storage
https://de.wikipedia.org/wiki/Anonymit%C3%A4t_im_Internet#Techniken_zur_Identifizierung_von_Nutzern_im_Web
https://de.wikipedia.org/wiki/Google-Werbenetzwerk
https://de.wikipedia.org/wiki/Web_Analytics
https://en.wikipedia.org/wiki/Malvertising
https://en.wikipedia.org/wiki/Malvertisement
http://blog.check-and-secure.com/091015-malvertising-up-325-are-adblockers-working/
News:
* Microsoft chatbot is taught to swear on Twitter <http://www.bbc.com/news/technology-35890188>
* The Internet routes around censorship, this time with Wikipedia Zero <http://motherboard.vice.com/read/wikipedia-zero-facebook-free-basics-angola-pirates-zero-rating>
* Linus Neumann benennt große Herausforderungen für Trolle, PremiumCola erklärt sein Erfolgsrezept, das Easterhegg war ein Spaß: https://eh16.easterhegg.eu/, https://media.ccc.de/c/eh16
* Auch Microsoft macht uns das trollen schwer, seit einiger Zeit schon wird dort Open Source (MIT) gebaut (s.a. SQL Server 2016 für Linux http://www.heise.de/newsticker/meldung/Spaete-Freundschaft-Microsoft-plant-SQL-Server-fuer-Linux-3130161.html) und nun basht man dort sein Windows höchstselbst: http://blog.dustinkirkland.com/2016/03/ubuntu-on-windows.html
* http://www.heise.de/newsticker/meldung/Deutsche-Telekom-Smart-Home-System-Qivicon-erneut-ausgefallen-3171968.html
* Dezentrale eBay-Alternative seit 3 Wochen live https://openbazaar.org/
* BKA-Gesetz https://netzpolitik.org/2016/bka-gesetz-urteil-de-maiziere-will-gesetzte-grenzen-vollumfaenglich-ausschoepfen/
== M(ehr H)erz ==
Begrüßung: Heute ist Pinguintag! Alles Gute euch allen! :)
Musik:
Partiion 36 - I Love Penguins https://archive.org/details/jamendo-058962
News:
* LibOTR-Implementation kaputt http://www.heise.de/newsticker/meldung/Kritische-Luecke-in-Jabber-Verschluesselung-OTR-3130396.html
* TP-Link blockt custom firmware wg. Regulierung: http://arstechnica.com/information-technology/2016/03/tp-link-blocks-open-source-router-firmware-to-comply-with-new-fcc-rule/
* Mehr "OpenSource" in den Behörden der USA gewünscht: https://www.whitehouse.gov/blog/2016/03/09/leveraging-american-ingenuity-through-reusable-and-open-source-software
* Debian wieder mit Firefox statt Iceweasel
* https://netzpolitik.org/2016/gerichtsurteil-social-plugins-duerfen-keine-daten-ohne-zustimmung-erheben/
* StartSSL noch immer kaputt http://oalmanna.blogspot.de/2016/03/startssl-domain-validation.html und CAcert hoffentlich im April wieder geschlichtet, immerhin schonmal neue Signaturen https://blog.cacert.org/2016/03/successful-root-re-sign/
* Hack des Monats: https://github.com/fulldecent/system-bus-radio
* ctypes.sh: https://github.com/taviso/ctypes.sh
Thema: Verbreitung von Linux und Freier Software
Chemnitzer Linux Tage: Waren letztes Wochenende.
Warum Linux?
- Paketverwaltung
- Vollständig anpassbar / Konfigurierbar
- Open Source
- Vielfalt an Distros
- Updates & upgrades (Stable / Rolling Release)
- Probleme kann man selbst beheben
- nachvollziehbarkeit
- eher für Fortgeschrittene (?)
- Hardware schränkt ein (Treiber, etc.)
- aber bringt in der Standardinstallation mehr Treiber als jedes anderes Betriebssystem mit
- Community
- keine "Utilities" / Virenscanner & co. nötig
- System muss dennoch sicher benutzt/gewartet werden
- Wie siehts mit Gaming aus?
Lug-DD:
- Ort und Zeit der lug-Treffen
- GAG18, 2. und 4. Mittwoch im Monat, 20:00 Uhr
- WLAN vorhanden
- Guenstige Getraenke (Studentenclub)
- (Alters-)Struktur der Mitglieder
- Zur Zeit wenig Studenten dabei
- Auch die lug-dd unterliegt dem demografischen Wandel :)
- Themen/Selbstverstaendnis
- Kein Verein, jeder kann vorbeikommen
- Vortraege momentan eher selten
- Support #1: Wir helfen gern, aber es muss auch ein [minimaler]
Lerneffekt sichtbar sein.
- Support #2: Wir helfen gern, haben aber was gegen Anspruchshaltung.
"Konfigurier' mir das mal richtig, sonst geh ich zurueck zu Windows"
wird nicht akzeptiert.
- Viele Fragen/Antworten laufen auch ueber die Mailingliste
(lug-dd@schlittermann.de)
fsfw-Dresden
- aktiv seit etwas mehr als einem Jahr
- Ziele:
- Dokumentation für freie Software zur Verfügung stellen
- Einsatz für die Verwendung freier Software an der Univeristät
- sichere Kommunikation an der Uni fördern (E-Mail Verschlüsselung)
- freien Zugang zu Wissen fördern
- mehr Details: Programmpapier
- Aktivitäten:
- verschiedene Veranstaltungen (z.B. Linux-Install-Parties, Cryptoparties), oft in kooperation mit anderen Organisationen (c3d2, Datenkollektiv, ifsr, it4r, StuRa der HTW, SLUB)
- GPG-Gewinnspiel um zum E-Mail verschlüsseln motivieren
- monatlicher LaTeX-Helpdesk in der SLUB
- Newsletter (Hinweise auf Veranstaltungen und relevante Neuigkeiten)
- Interessierte sind beim Plenum in der SLUB willkommen (die Termine finden sich auf der Website)
Linux Presentation Day
== Fairbrew ==
Thema Perl6
News:
Bundestrojaner: http://www.dw.com/en/german-government-to-use-trojan-spyware-to-monitor-citizens/a-19066629
Anlass: SW des BKA jetzt einsatzbereit und genehmigt, fuer Mobile und PCs.
"According to a 2008 decision by the German Constitutional Court, remote access to a citizen's computer is permissible only if there is life-threatening danger or suspicion of criminal activity against the state." (i.e. "Verfassungsfeinde"). Beschwerde anhaengig, im April in Karlsruhe. http://www.deutschlandfunk.de/gerhart-baum-zum-bundestrojaner-der-staat-wird-hier-zum.694.de.html?dram:article_id=346287
glibc resolver luecke, remote attackable!
glibc: Dramatische Sicherheitslücke in Linux-Netzwerkfunktionen <http://www.heise.de/newsticker/meldung/glibc-Dramatische-Sicherheitsluecke-in-Linux-Netzwerkfunktionen-3107621.html>
Tim Cook gegen das FBI, Apple weigert sich Telefone fuer das FBI zu entschluesseln.
Bill Gates steht hinter dem FBI.
Die Mehrheit des Internet ist dagegen, die Presse veroeffentlicht Statistiken, dass die mehrheit der Bevoelkerung hinter dem FBI stehe.
Firefox zeigt in Zukunft bei Passwortformularen eine Warnung an, wenn diese über http gehen: <https://hacks.mozilla.org/2016/01/login-forms-over-https-please/>
Bitcoin
- Euro-Preis schwankt wiedermal stark
- http://www.coindesk.com/bitcoin-miners-back-proposed-timeline-for-2017-network-hard-fork/ Kein Consens in Sicht
Sicherheitslücke in Linux Mint: http://blog.linuxmint.com/?p=2994
(Optional)
- Hacker Publishes Personal Info of 20,000 FBI Agents <http://motherboard.vice.com/read/hacker-publishes-personal-info-of-20000-fbi-agents>
- Elektronische Fahrkarten doch nicht so gut? wieder Papier? <http://www.golem.de/news/vbb-fahrcard-der-fehler-steckt-im-system-1602-118840-4.html>
Thema:
* Vorstellung Gaeste
* Warum Perl?
Generell wo fuer ist das gut und wo wird es verwendet?
* Warum jetzt Perl6?
Endlich veroeffentlich nach 16 Jahren.
Features und Unterschiede
* Geschichte
Milestones, zwischen Versionen
Warum hat die Entwicklung so lange gedauert?
<
* Soll man umsteigen von Perl5
* Projekte mir Perl6
* Wo faengt man an.
http://perl6.org/
* Wird Perl6 irgendwann noch schnell?
* CPAN für Perl5. Pendant für Perl6?
== Janvier ==
News:
Net neutrality: https://www.eff.org/deeplinks/2016/01/eff-confirms-t-mobiles-bingeon-optimization-just-throttling-applies
(Mic92 - hats gelesen)
Was duckduckgo und facebook können, können wir doch auch ...
http://rvy6qmlqfstv6rlz.onion/ c3d2 ist über einen onion service erreichbar
Buch über das Vermächtnis von AS: http://thenewpress.com/books/boy-who-could-change-world
TrumpScript: https://github.com/samshadwell/TrumpScript (Artikel dazu sind am Ende der README verlinkt)
- Falls seine Reden als Text verfügbar sind, müsste man die mal in den Interpreter stopfen und schauen was bei rauskommt :)
Niederländische Regierung sponsert OpenSSL $540,000
- http://www.theregister.co.uk/2016/01/04/dutch_government_says_no_to_backdoors/
- Gegen Spionage und Krimnielle Energien
Niederländische Regierung spricht sich gegen Krypto-Hintertüren aus
- http://www.heise.de/security/meldung/Niederlaendische-Regierung-spricht-sich-gegen-Krypto-Hintertueren-aus-3061159.html
Französische Regierung spricht sich gegen Krypto-Hintertüren aus
- http://www.pro-linux.de/news/1/23161/frankreich-sagt-non-zu-staatlich-verordneten-hintertueren.html
https://blog.docker.com/2015/12/ian-murdock/
- Ian Murdock: Debian Maintainer, letzter Maintainer Docker
http://www.nytimes.com/2016/01/26/business/marvin-minsky-pioneer-in-artificial-intelligence-dies-at-88.html Marvin Minsky ist tot
https://medium.com/@octskyward/the-resolution-of-the-bitcoin-experiment-dabb30201f7 Mit Bitcoin ist es vorbei - sagt Mike Hearn
https://bitcoin.org/en/bitcoin-core/capacity-increases-faq das Core Team und die Menschen, die leise echte Lösungen haben verbreiten ihre Roadmap
http://www.ibtimes.co.uk/r3-connects-11-banks-distributed-ledger-using-ethereum-microsoft-azure-1539044 Dafür setzen Banken auf Microsoft und Ethereum
http://money.cnn.com/2016/01/21/technology/china-digital-currency/index.html die Chinesische Zentralbank will eine eigene CryptoCurrency
https://z.cash/ Zerocoin nimmt Gestalt an
Thema: Linuxkernel . community
- Erstveröffentlichung:
- http://www.thelinuxdaily.com/2010/04/the-first-linux-announcement-from-linus-torvalds/
- just a hobby, won’t be big and professional like gnu
- Newsgroups: comp.os.minix
- Entwicklung auf seinem 386-PC
- bash & gcc
- Tanenbaum–Torvalds debate:
- 1992 on the Usenet discussion groupcomp.os.minix, arguing that microkernels are superior to monolithic kernels and therefore Linux was, even in 1992,obsoletee
- 1991 - 2002:
- Entwicklung ohne Versionskontrollsystem (Erklären anhand von
- Tarballs + Patchest
- 2002 - 2005:
- Bitkeeper
- propritäres verteiltes Versionssystem
- Kostenlos für Kernelentwicklung
- Andrew Tridgell (Entwickler v. Samba u. rsync) entwickelte "SourcePuller" als kompatible Implementierung -> Larry McVoy: zieht Lizenz zurück
- 2005:
- Linus Torvalds stellt Kernelenwicklung ein und entwickelt innerhalb weniger Wochen git
- Monotone erfüllte 2/3 Kritieren (Verteiltheit, Sicherheit)
aber war zu langsam
# Wie reiche ich einen Patch ein?
- doc/CodingStyle
- wie setze Klammern, dokumentiere ich, verhindere ich Komplexität (Funktionen)
- scripts/checkpatch.pl
- Whitespace, Checkt Stil
- scripts/get_maintainer.pl
- liefert Maintainer aber auch passende Mailinglisten
- ist manchmal übereifrig, Liste nachkontrollieren
- Maintainer (Zu sehen in https://git.kernel.org/cgit/)
- Baumstruktur (hierarisch)
- Aufgabenteilung
- Architekturen: 31 an der Zahl
- ARM (vielleicht weiter ausführen)
- X86
- Treibersubsysteme (USB, Block, Bluetooth, Sound)
- Dateisysteme
- Grafik (DRM, Nvidea-Rant: https://www.youtube.com/watch?v=MShbP3OpASA)
- Mailingliste:
- Linux Kernel Mainlinglist (LKML) als Catchall (wird meißt nur als Referenz verwendet, liest aber keiner)
- einzelne Subsysteme haben eigene Mailinglisten für Patches/Diskussionen
- Ausführliche Commitbeschreibung / kurzer Betreff
- Patches - werden inline verschickt und vom Maintainer inline kommentiert
- Pull-Request (Unterschied zu Github)
- Developer Certificate of Origin (Signed-off-by: ... in Commitnachricht) ... Einsender bestätigt, dass er berechtig ist die Änderung einzubringen
- Patchversionen im Betreffeld der Email
- Documentation/SubmittingPatches
- Releaseablauf
- Maintainer sind ein Release weiter (wenn 4.4 released, Arbeiten Maintainer an 4.6)
- Merge-Window: 2 Wochen in denen die Hauptänderungen in den Hauptkernel einfliessen
- 6-8 Wochen Stabilisierung + Aufnahme neuer Features durch Maintainer
- Heise KernelLog als Zusammenfassung
- https://lwn.net/
- We don't break Userspace!
- Betriebssystemschnittstellen müssen kompatible zu alten Versionen bleiben
-> sonst wird Torvalds böse
- Medien
- Sarah Sharp (USB-3) - Closing a door
(http://sarah.thesharps.us/2015/10/05/closing-a-door/)
- Generelles Problem unterschiedlicher Kulturen (europäisch, asiatisch, amerikanisch, ...)
- Größte Opensourceprojekt überhaupt (Code + Contributor) >7.7 Änderungen pro Stunde 24/7 (http://www.linuxfoundation.org/news-media/announcements/2015/02/linux-foundation-releases-linux-development-report)
- Konferenzen?
- LinuxCon + LinuxCon Europe (Docker, Docker, Cloud, Cloud, ...)
- Fragerunde mit Torvalds
- embedded Linux Conference (+Europe) ... da wo die Profis sind
- Leute von der Mailingliste in RL treffen
- Kernel Summit
- intern invitation only
- Kernentwickler/Maintainer
- Arbeitstreffen -> Entscheidungsfindung
- Chemnitzer LinuxTage
- FrosCon
- FOSDEM (5000 Menschen)
- LinuxTag (RIP?)
- kleinere/größere Konferenzen auf allen Kontinenten (LinuxCon AU, Japan)...
- Talkempfehlung:
-
- Geschichte von Git: Google I/O Talk https://www.youtube.com/watch?v=4XpnKHJAok8
== Schneezember ==
Thema: Letsencrypt
NSA to shut down bulk phone surveillance program by Sunday Nov 29
http://www.reuters.com/article/2015/11/27/us-usa-nsa-termination-idUSKBN0TG27120151127
Überwachung für alle: Open Source License Plate Reader
http://arstechnica.com/business/2015/12/new-open-source-license-plate-reader-software-lets-you-make-your-own-hot-list/
Brazil verbietet Whatsapp, 1.5 Mio. neue Telegram-User an 1 Tag
http://www.heise.de/newsticker/meldung/Brasilianisches-Gericht-hebt-WhatsApp-Blockade-auf-3046727.html
http://www.heise.de/newsticker/meldung/UK-Staatsanwalt-Suchmaschinen-sollen-Verdaechtiges-melden-muessen-3046768.html
Backdoors in Juniper Routern <http://www.heise.de/newsticker/meldung/Schnueffelcode-in-Juniper-Netzgeraeten-Weitere-Erkenntnisse-und-Spekulationen-3051260.html>
HTTP 451 jetzt offiziell <http://www.heise.de/newsticker/meldung/Neuer-Status-Code-451-zeigt-Zensur-an-3052138.html>
Doubled Paid Traffic (Hetzer)
- http://wiki.hetzner.de/index.php/Double_Paid_Traffic
Bash sucht ein neues Logo <http://www.heise.de/newsticker/meldung/Per-Abstimmung-Bash-sucht-neues-Logo-3054276.html>
Ha ha, Oracle muss Java löschen (updaten) <http://www.heise.de/newsticker/meldung/Oracle-muss-Java-Updates-nachbessern-3052761.html>
Der SAP-Konkurrent Oracle muss nach Ermittlungen der US-Aufsichtsbehörde Federal Trade Commission (FTC) das Verfahren beim Stopfen von Sicherheitslücken in Java nachbessern. Java soll auf mehr als 850 Millionen Computern zum Einsatz kommen.
Die FTC hatte angeprangert, dass bei Sicherheits-Updates von Java jeweils nur die aktuelle Version ausgetauscht worden sei. Ältere Varianten seien dabei schlicht ignoriert worden und weiter auf den Geräten der Nutzer geblieben; was ein Sicherheitsrisiko ist.
Auf ältere Java-Versionen hinweisen
Joomla CMS nicht sicher gekriegt, PHP-Version ist schuld <http://www.heise.de/newsticker/meldung/Neues-Sicherheitsupdate-Joomla-immer-noch-verwundbar-3052441.html>
Seit 18.12. haben wir wieder VDS <http://www.heise.de/newsticker/meldung/Erste-Verfassungsbeschwerde-gegen-neue-Vorratsdatenspeicherung-3049697.html>
Der Jurist [Meinhard Starostik] wies darauf hin, dass Bayern bereits dem Landesamt für Verfassungsschutz Zugriff auf die Metadaten geben wolle, obwohl die Tinte unter dem Gesetz noch gar nicht getrocknet sei.
Lücke im Linux-Bootloader: Backspace-Taste umgeht Grub-Passwort <
http://www.heise.de/newsticker/meldung/Luecke-im-Linux-Bootloader-Backspace-Taste-umgeht-Grub-Passwort-3046037.html>
=== Letsencrypt ===
- Einführung:
-
- TLS:
- Häufigster Anwendungsfall von Zertifikaten
- Verweiß auf Sendung SSL Juni 2010:
(hier wird die Verschlüsselung erklärt - symmetrische/asymmetrische
Verschlüsselung, Deffi-Helmann)
http://www.c3d2.de/news/pentaradio24-20100622.html
- TLS
- Begriffe-Bingo: SSL, TLS, STARTTLS
- oft im Zusammenhang mit Emailclientkonfiguration
- SSL, TLS: eigentlich Protokollversionen (keine Varianten)
- (SSLv1 nie veröffentlicht)
- SSLv2, SSLv3, TLS 1.0, TLS 1.2
- SSLv2: 1995, definitiv lange kaputt (MD5, Truncation Attacke)
- SSLv3: 1996, POODLE
- On Tuesday, October 14, 2014, Google released details on the POODLE attack,
a padding oracle attack that targets CBC-mode ciphers in SSLv3.
The vulnerability allows an active MITM attacker to decrypt content transferred an SSLv3 connection.
While secure connections primarily use TLS (the successor to SSL),
most users were vulnerable because web browsers and servers will
downgrade to SSLv3 if there are problems negotiating a TLS session.
- TLS spezifiert nur das Protokoll des Sitzungsaufbaus,
die Verschlüsselungsalgorithmen - Cipher genannt, sind austauschbar
- goto fail; https://events.ccc.de/congress/2015/Fahrplan/events/7438.html
- Was CAs sind und wie das Vertrauensmodell aufgebaut ist
(vielleicht will $jemand dabei noch ein paar Sätze zu CAcert erzählen)
- "Domain Validation" (DV)
- "Organization Validation" (OV)
- "Extended Validation" (EV)
- PKCS#10 Certificate Signing Request
- Json Web Security
- Was Zertifikate sind (X.509) und wie man dazu kommt
- Wie letsencrypt und ACME letztendlich funktioniert
- Anwendungsfall:
- Häufig sehr zeitaufwendig, Zertifikate zu erstellen, Domains zu validieren und Zertifikate zu aktualisieren
- Ziel Zertifikat ohne Eingriff eines Menschen
-
- Acme bietet die Möglichkeit dies zu automatisieren:
- HTTP basiertapplication/jose+json
- Austausch von JSON-Nachrichten auf spezifizierten Pfaden
- Account automatisch erstellbar (durch erzeugung eines Schlüsselbundes)
- Domain-Validierung:
- HTTP 01:
- {scheme}://{domain}/.well-known/acme-challenge/{token}
- http/https
- application/jose+json
- DVSNI: Domain Validation with Server Name Indication
- dNSName “<Z[0:32]>.<Z[32:64]>.acme.invalid
- auch für nicht webserver interessant
- DNS: TXT _acme-challenge.example.com. "gfj9Xq...Rg85nM"
- IETF-Standard https://letsencrypt.github.io/acme-spec/
- evtl. noch ein paar Dinge zur Infrastruktur und auf die Talks auf dem 32c3 hinweisen:
- https://events.ccc.de/congress/2015/Fahrplan/events/7528.html
- caddy:
$ caddy -agree=true -host "higgsboson.tk"
== Movember ==
Thema: Elasticsearch
News:
(Migration auf shownot.es?)
https://shownot.es/doc/pentaradio-328/edit/
Während Europa im Katastrophenmodus ist, wird die Überwachung hochgefahren
- VDS
- Netzneutralität
- Zwangsrouter
- Zwangsentschlüsselungsvorschläge
IT4Refuges:
-
Elaticsearch (ca. 1h)
------------ Schnipp - fb, martin, t-lo notizen zur Sendung ------------
Vorbereitung Pentaradio 2015-11-24: Elastic Search
Q: Warum Elastic Search? Warum nicht Dynamic Search oder irgendwas search?
Geschichte zu Elasticsearch: http://thedudeabides.com/articles/the_future_of_compass/
Ich kenne die Geschichte hinter dem Namen nicht, würde search aber auf ursprünglich Volltextsuche beziehen, Elastic auf elastisches skalieren, ähnlich zu EC2
- Was meint Search?
- Warum Elastic?
- Ähnliche Projekte
- Solr
- Heliosearch
- Sphinx
- vormals: Fast (jetzt M$ gekauft), Endeca, Blast (neofonie) u.a.
- Welches Problem wird gelöst?
- Intro-Beispiel: Suchmaschine Webshop.
- Recommodation Ding (https://github.com/MaineC/recsys, bitte nicht als machine learning verkaufen, das sind Ansätze um Empfehlungssysteme (im Sinne von "welche Produkte zeige ich in meinem Webshop wann an, um potenzielle Käufer zum Kauf zu verlocken") zu bauen. Machine learning als Begriff ist IMHO ein Fall von "wenn das jemand hört, weiß jeder sofort worum es geht ohne Ahnung zu haben was es ist" was insb. außerhalb von Machine Learning Akademikerkreisen oft dazu führt, dass die Leute wunderhübsch aneinender vorbeireden.)
- Wie funktioniert 'Suche'?
- Warum sucht man?
- Invertierter Index (Was ist das?)
- so wie z. B. im Index/Stichwortverzeichnis im Buch
- Lucene vorstellen
- Wie füttert man ES mit Daten?
- Was passiert dann?
- Architektur von ES
- Installation von ES
- Verteiltes ES, advanced Features
APIs
- - stabile REST API, diverse Endpunkte für Java Plugin extensions
Links:
* https://www.elastic.co/products/elasticsearch
* https://github.com/MaineC/recsys
* https://en.wikipedia.org/wiki/Elasticsearch
* https://de.wikipedia.org/wiki/Elasticsearch
------------- Schnapp - fb, martin, t-lo notizen ----------------------------
- Kurze Vorstellung des Themas/ (Gäste?)
- Wie funktioniert Volltextsuche in Elasticsearch
(Vom Webbrowser zur Suche und Zurück)
- Schnittstelle
- Verarbeitung der Sucheingabe (N-Gramm, Stemming)
- TF/IDF, Lucene
- Sortierung/Bewertung der Treffer
- Elasticsearchterminolgie:
- Dokumente
- Typen
- Indices
- Verteilte Architektur
- Clustering, Shards
- Indexpartionierung
- Netzwerkdiscovery
- Andere Anwendungen (Neben Volltextsuche)
- Zeitreihen
- Geosuche
- Coole Projekte/Erweiterungen:
- Kibana
- Logstash
- Marvel
- Wie kann ich Elasticsearch installieren/ausprobieren?
- Bibliotheken
- Percolator: https://www.elastic.co/guide/en/elasticsearch/reference/current/search-percolate.html#search-percolate
- Dokumentation mit Volltextsuche:
https://www.elastic.co/guide/en/elasticsearch/reference/current/index.html
== Oktober ==
Thema: FPGA
Musik-Ideen:
News
https://drive.google.com/file/d/0B9i8WqXLW451MTIyM2lqR1lpZ3M/view?pli=1 [Paper]
http://phrack.org/index.html [News]
http://phrack.org/papers/attacking_ruby_on_rails.html [Paper-Feed]
https://github.com/arthurnn/howdoi-emacs [Emacs]
https://github.com/azac/sublime-howdoi-direct-paste [Sublime Text]
https://github.com/laurentgoudet/vim-howdoi [Vim]
https://github.com/james9909/stackanswers.vim [Vim]
https://github.com/MarounMaroun/SO-Eclipse-Plugin [Eclipse]
- Datenspuren:
- Keynote
- SDR
- Podiumsdiskussion (Verfassungsschutz looking at Kollemate)
- Fenster einschlagen für Dummys
- Rise of the Machines: Sie beginnen zu lernen.
- Let's Encrypt Beta:
wurde crossigniert: https://letsencrypt.org/2015/10/19/lets-encrypt-is-trusted.html -> Beta https://community.letsencrypt.org/t/beta-program-announcements/163
Thema:
- Was ist ein FPGA?
- field programmable gate array (field=im "Feld"; vom Anwender)
- Logische Schaltungen können darauf 'programmiert' werden
- Was war euer 1. Kontakt mit FPGAs
- Christian: Taschenrechner, 2048
- Alfred: Prozessor (Uni-Projekt) aus ASIC-Entwurf portiert
- Poly: Erweiterung des BladeRF Software Defined Rado
- Funktionsweise
- Entwicklerboard -> Bestandteile (Eingänge/Ausgänge/andere Bauteile)
- LUTS
- z.B. Bauteil mit 4 Eingängen und einem Ausgang
- alle möglich Eingänge mit dem richtigen Ausgang belegt.
- Beispiel am Addierer
- Platzverbrauch gegenüber fertige Schaltungen
- Register
- Verdrahtung
- Für bestimmte Operationen/Aufgaben sind häufig bereits fertige Bauteile auf dem Board / SOC
- Multiplizierer
- Speicher (z.B. SDRAM)
- (ARM-)Prozessor
- IO: GPIOs/VGA/PCI-Express/Analog-Digitalwandler/LEDs/Taster/Switches/Sensoren
- Wozu braucht man einen FPGA? Welche programmierbare Hardware gibt es sonst noch? (CPLDs? weiß jemand was dazu?)
- Abgrenzung zu Prozessoren
- Gegensatz zu ASICs:
- kurze Erläuterung wie Chips entwickelt/hergestellt werden -> Kosten
- Prototyping:
- Workflow FPGA <-> ASIC praktisch identisch
- Javaprozessor (Uniprojekt): SHAP (Secure Hardware Agent Platform)
- 'Echtzeit'-Anforderungen
- Industrie -> Bussysteme -> Timing wichtig
- Kleinserien
- siehe Kosten ASICs
- z.B. bei manchen Fernsehgeräten, Mobilfunk-Basisstationen
- Flexibilität (Updates!)
- Konfiguration nicht dauerhaft -> manche Geräte verfügen über Flashspeicher
- Militär benutzt nicht-auslesbare Speicher (z.B. AES-Verschlüsselung mit Keys nicht-lesbar auf FPGA hinterlegt)
- Parallelität
- Energieeffizienz:
- https://www.weusecoins.com/de/mining-guide/
- Bitcoin 600 MH/s Grafikkarte -> 400 Watt, FPGA mit einer Hashrate von 826 MH/s nur 80 Watt (5mal höhere Energieeffizienz); Asics: 60 GH/s bei einem Stromverbrauch von 60 Watt
- Lightningtalk: letzte Datenspuren: Open Silicon (Aufruf zu einem Chaos Projekt): http://martin.christianix.de/ds15/Open-Silicon.pdf
- Zahlen:
- Taktfrequenz typisch: 20 Mhz - 500 MHz
- Bis zu 20 Milliarden Transistoren
- Wie 'programmiert' man einen FPGA?
- Sprachen (VHDL, Verilog , SystemC, myHDL (python), High Level Synthese (z.B. LegUp http://legup.eecg.utoronto.ca), ...), OpenCL
- Very High Speed Integrated Circuit Hardware Description Language
- Statemachine (Kaffeeautomat / Drehkreuz)
- KombinatorikFunktionsweise
- Synthese -> Place & Route -> Bitstream
- Dauert z.T. recht lang (Erfahrungswerte: 20min+x)
- vgl. ASIC: Stunden bis Wochen
- Freie Software
- Simulatoren (Icarus Verilog, GHDL)
- GTK-Wave
- Wesentlich mehr Tests notwendig, durch Simulation (Asserts)
- IP-Cores: (Soft-Cores/Hard-Cores)
- Was gibt es für coole Projekte mit FPGAs
- Wie kann ich einsteigen in das Thema
Termine
== September ==
News:
Thema: Datenspuren!
- Datenspuren
* Wann? Wo? Thema?
- Wann: Oktober
- Technische Sammlungen: Mehr Platz (3 Räume)
* Was ist neu?
- Workshops
* Enigma Bastelworkshop
* 2 Kryptoworkshops:
- PGP-Email
- Was kommt nach der Email (Datenkollektiv)
- Party im Turmkaffee am Samstag (min. 2 Dj)
* Wobei brauchen wir Hilfe?
*
* Warum mach ich das?
* Motiviation von mc
* Astro (A8) erzählt alte Geschichten (?)
* Stand:
* Erlebnisland Mathematik
* Sniffing-Collage
* Infostände: Cacert, Freifunk, Openwrt
* Vorträge
* Netztechnologien, Verschlüsselung, Smartcards
* Keynote: Linus Neumann
* Podiumsdiskussion: Die Grenzen des Geheimen mit Anna Biselli, Constanze Kurz und Gordian Meyer-Plath (Präsident des Landesamt für Verfassungsschutz)
* E-Call:
- Gesetzentwurf für automatischen Anruf nach dem Unfall
* Ligthning Talks: am Samstag
* Kooperation mit Zukunftsstadt
* Visionen einreichen und umsetzbar machen
* OpenData
- T-Shirts
- Spenden
- Keynote
- Party
- E-Mail
- Codeweek:
* 24.09. Treffen der FSFW https://fsfw-dresden.de/
* Erstes Wochenende (10. und 11. Oktober 2015)
- Von GeekGirlsCarrots
- am 10. oder 11. Oktober 2015 erstmalig eine Veranstaltung unter dem Motto Code Carrots
- isbesondere programmierbegeisterte Frauen
* Zweites Wochenende (17. und 18. Oktober 2015)
- Vom Medienkulturzentrum Dresden und dem OK Lab Dresden
- am 17. Oktober 2015 Veranstaltungen für Jugendliche
- Jugend hackt (Ost), was im Juni stattfand, hat gezeigt wie viel Spaß junge Menschen im kreativen Umgang mit Technik haben.
- Workshop mit Mini-Computern (Raspberry Pi)
- Technik mit elektronischen Schaltkreisen, die sich für den kreativen Einsatz als Klanginstrument eignet, soll bearbeitet werden.
- Von OffenesDresden.de wird es ergänzend Hackathon zu Open Data geben.
- Als Open Data Dresden möchten wir über den C3D2 hinaus Menschen für Code zu Open Data begeistern.
- http://offenesdresden.de/codeweek/
* Debugging-Themenabend am Freitag
* strace, ltrace, gdb, sysdig und co
* es werden eine Reihe von Programmen vorgestellt mit dem man sein System besser verstehen und Fehler finden kann. Es soll dabei weniger auf konkrete Programmiersprachen, sondern gezeigt werden wie man Programme von außen debuggt.
* 15.10. Bitcoin Stammtisch in Leipzig
== Juli ==
News:
Thema: Rust
* Fmt standards
* Pkg registry
* Coole Projekte?
https://gist.github.com/hoodie/b175834afa68104aadbb (WIP)
== Juni 2015 ==
Ankündigung:
Das 21. Jahrhundert liefert neue Herausforderungen für Programmierer: Multicore-Prozessoren, immer komplexer werdende Software, verteilte Systeme.
Die Entwickler der Programmiersprache Go verfolgen den Ansatz, es einfach zu machen, sichere und effiziente Software zu schreiben. In dieser Sendung wollen wir euch die Programmiersprache näher vorstellen.
Shownotes:
Drogenkartell benutzt 39 Straßenkameras http://fusion.net/story/139838/this-drug-cartel-used-39-street-cameras-to-spy-on-everyone/
Avast gibt Nutzungsdaten an Analysefimren http://www.heise.de/newsticker/meldung/Avast-gibt-Nutzungsdaten-an-Analysefirma-weiter-2677838.html
UN-Beauftragter wirbt für Verschlüsselung http://www.heise.de/newsticker/meldung/UN-Beauftragter-wirbt-fuer-Verschluesselung-und-Anonymitaet-2672561.html
http://www.heise.de/-2678065
SSH-Keys auf Github ausgewertet http://www.golem.de/news/ssh-sechs-jahre-alter-bug-bedroht-github-repositories-1506-114449.html
Trojaner-Angriff auf den Bundestag http://www.heise.de/newsticker/meldung/Nach-Trojaner-Angriff-Bundestag-soll-neues-Computer-Netzwerk-benoetigen-2687521.html
Edward Snowden Platz in Dresden http://edward-snowden-platz.de/
200. Datenbankstammtisch: https://www.htw-dresden.de/index.php?id=23853&vid=240
Bibliotheken in Go: http://awesome-go.com/
Gopher Team bei Google http://www.wired.com/2013/07/gopher/
Go-Race Detector: http://blog.golang.org/race-detector
Go 1.5: Go in Go geschrieben http://talks.golang.org/2015/gogo.slide#2
Projekte in Go: http://blog.golang.org/4years
News
http://fusion.net/story/139838/this-drug-cartel-used-39-street-cameras-to-spy-on-everyone/
http://www.heise.de/newsticker/meldung/Avast-gibt-Nutzungsdaten-an-Analysefirma-weiter-2677838.html
http://www.heise.de/newsticker/meldung/Britische-Polizei-ersucht-alle-zwei-Minuten-um-gespeicherte-Vorratsdaten-2677844.html
http://www.heise.de/newsticker/meldung/UN-Beauftragter-wirbt-fuer-Verschluesselung-und-Anonymitaet-2672561.html
http://www.heise.de/-2678065
http://www.heise.de/newsticker/meldung/Computex-Smarte-Windel-DiaperPie-2678100.html
http://www.golem.de/news/ssh-sechs-jahre-alter-bug-bedroht-github-repositories-1506-114449.html
http://www.heise.de/newsticker/meldung/Nach-Trojaner-Angriff-Bundestag-soll-neues-Computer-Netzwerk-benoetigen-2687521.html (BSI) sei zu dem Ergebnis gekommen, dass das Netz nicht mehr gegen den Angriff verteidigt werden könne und aufgegeben werden müsse.
http://www.heise.de/newsticker/meldung/Buchhandel-Jugendgefaehrdende-E-Books-duerfen-nur-nachts-verkauft-werden-2717530.html
2015-06-30T23:59:60
* am 17.06. war 200. Datenbankstammtisch, vorgestellt wurden Datenbankerweiterungen in ad-hoc vernetzter Hardware. Künftig werden Datenbank also nicht nur schon im Hauptspeicher residieren, sondern auch schneller rechnen
* http://edward-snowden-platz.de/ Edward Snowden Platz in Dresden, auch mit Freifunk
=== Go ===
- 2007 by Robert Griesemer (V8 Code generation, Java Hotspot),
Rob Pike (UTF-8, Unix, Plan 9, Limbo), and Ken Thompson (B, Regular Expression, ed, UTF-8 encoding, Plan 9) in Google
-> generft von C++ (Systemsprache bei Google)
- Kompilierte, Statisch typisierte Programmiersprache
-> statisch gelinkt, keine Libc-Abhängigkeit, nur Syscalls
- Garbage Collection (parallel/stop the world, mark-and-sweep)
- Typinterference -> foo := "string";
- Objektorientierung durch Interfaces (virtual inheritance) und Types
- Typen können Methoden haben:
type ip4addr uint32
func (ip4addr a) String() {
....
}
- Mixins -> Objektorientierung?
- Interface conversions and type assertions (Reflexion)
type Stringer interface { String() string }
var value interface{} // Value provided by caller.
switch str := value.(type) {
case string:
return str
case Stringer:
return str.String()
}
- Lambdas
- Error as Value -> Methoden mit mehreren Rückgabewerten
- Slices, Maps
- string === UTF-8 Strings (Rob Pike hat UTF-8 mit geprägt)
- binary data? -> []byte
- explizite Typenkonvertierung (int32 -> int)
- Goroutinen (Greenthreads)
- Channels -> Warteschlange
kanal := make(chan string)
go func{ fmt.Print(<-kanal) }
kanal <- "Hallo"
- Share by communicating
- Defer
- Modulekonzept -> package main
Methoden/Variablen mit beginnt Großbuchstaben -> nach außen sichtbare Methode
- Eingebauter C-Compiler -> Einbinden in C-Header Files + Linker Flags in
Go-Kommentar
// #include <stdio.h>
...
C.printf
- Plattformabhängiger Code in eignen Dateien -> (keine #ifdef Hölle)
// +build linux,386 darwin,!cgo
<name>[_GOOS][_GOARCH].go -> taskbar_windows.go
====Packetmanagement====
export GOPATH=~/go
~/go
├── bin
│ ├── gore
├── pkg
│ └── linux_amd64
│ └── github.com
│ ├── Mic92
│ │ └── lock
│ │ ├── filter.a
│ │ └── flag.a
└── src
├── github.com
│ ├── Mic92
│ │ ├── lock
go get github.com/<User>/<Project -> import "github.com.<User>.<Projekt>
=== Coole Bibliotheken ===
- Batteries included:
-> Webserver, json, xml, template engine, ssl, kompression, http/smtp/json rpc
-> testing, syscalls, bildformate
- Standartbibliothek gut lesbar (kurze Methoden, wenige Verschachtelungen, verlinkt von der Dokumentation) <-> glibc
- häufig reine Go-Biblioteken (keine C-Wrapper) -> tls
- Seit 1.5: Go in Go (http://talks.golang.org/2015/gogo.slide#2)
-> C verbannt
- webanwendungen? -> Ähnlich Express.js/sinatra/Flask, kleine Modulare Frameworks
==== Triva ====
- Gopher Team bei Google http://www.wired.com/2013/07/gopher/
- Subject von #go auf freenode.net: Go, the game (not the silly language) -> #go-nuts
- golang als Stichwort in Suchmaschinen
- keine Stackoverflows -> continous/resizeable stack
Tooling:
AST-Parser in stdlib + einfache Syntax ->
eingebaut:
- gofmt -> Codeformatierung
- pprof -> profiler mit Webansicht (CPU, Speicher, Goroutinen Locks
(- gofix -> Apirefactoring)
- gdb -> debugger
- godoc -> Dokumentationsserver, Dokumentation in Kommentaren
- go test
- go generate:
//go:generate stringer -type=Pill
- go race detector: http://blog.golang.org/race-detector (Speicherzugriffe)
- gocode -> Codevervollständigung
- go oracle
- vet/lint -> Statische Codeanalyse
- gorename -> Refactoring
- goxc -> Cross-Compiler + statische gelinkte Standartbibliothek
-> einfaches Deployen auf mehreren Plattformen
- vim-go
Projekte in Go:
- play.golang.org - Ausführbare Codesnippets
- http://blog.golang.org/4years
- https://code.google.com/p/go-wiki/wiki/Projects
- http://imposm.org/
- CloudFlare built their distributed DNS service entirely with Go
- gern für Kommandozeilenprogramme (heroku, hub, direnv) -> schneller Start/wenig Laufzeitabhängigkeiten
- für Serveranwendungen (Backend) -> einfach zu Deployen
- SoundCloud is an audio distribution service that has "dozens of systems in Go
- docker
- The raft package provides an implementation of the Raft distributed consensus protocol. It is the basis of Go projects like etcd and SkyDNS.
- Packer is a tool for automating the creation of machine images for deployment to virtual machines or cloud services.
- Bitly's NSQ is a realtime distributed messaging platform designed for fault-tolerance and high-availability, and is used in production at bitly and a bunch of other companies.
- Canonical's JuJu infrastructure automation system was rewritten in Go.
unterstützte Plattformen:
Linux, Mac OS X, FreeBSD, NetBSD, OpenBSD, Plan 9, and Microsoft Windows
Architekturen:
i386, amd64, ARM and IBM POWER
(android und ios)
=== Termine ===
Krypto-Gewinnspiel mit PGP für Anfänger https://wiki.fsfw-dresden.de/doku.php?id=doku:pm_gewinnspiel2015
MORGEN
26-28. Jardin Entropique in Rennes
03.07. Lange Nacht der Wissenschaften
10.07. Staat 2.0 an der TU Leipzig: Interdisziplinäres Gespräch: Der Staat und seine Bürger im digitalen Zeitalter
== Mai 2015 ==
Opener:
"Filesharing ist die Nachbarschaftshilfe des Internets"
Musik
News:
* Fedora 22 jetzt mit Wayland Login
http://www.heise.de/newsticker/meldung/Linux-Distribution-Fedora-22-nutzt-Wayland-beim-Log-in-2667523.html?hg=1&hgi=12&hgf=false
Dnf statt Yum neuer Paketmanager:
* Aehnliche Bedienung
* Besseres API
* Auch die Mandriva Leute glauben jetzt das Mandriva tot ist!
http://www.heise.de/newsticker/meldung/Linux-Distributor-Mandriva-ist-am-Ende-2666744.html
* JavaScript ist 20 Jahre alt geworden
* Microsoft Launches Visual Studio Code: http://techcrunch.com/2015/04/29/microsoft-shocks-the-world-with-visual-studio-code-a-free-code-editor-for-os-x-linux-and-windows/#.hu0254:vn0U
- crossplattform
- Atom mit Intellisense
- mehrere Sprachen -> Schwerpunkt auf Web
* http://internet.org/
* Die Amis sind sauer!
Weil die deutsche Regierungsopposition aufklaerung fordert!
Was sagen dazu Politiker?
"Die Zusammenarbeit mit den Amerikanern ist wichtig .... blablabla"
"Die Welt ist in den letzten Jahren doch nicht sicherer geworden ... "
http://www.heise.de/newsticker/meldung/Der-grosse-Bruder-reagiert-genervt-2663846.html
* Rust 1.0: http://blog.rust-lang.org/2015/05/15/Rust-1.0.html
- erste stabile Version (Sprache/Standardlibary)
- sichere Sprache (Highlevel, abstrakt), kommt ohne Garbage Collection und Runtime aus -> Kernel (viele auf github: rustboot...), Spiele, neuer Mozillabrowser (servo)
Filesharing:
"When you pirate MP3's You're downloading Communism"
"Filesharing ist die Nachbarschaftshilfe des Internets"
Client-Server-Prinzip
Web
Usenet:
- Dienst älter als das Web
- Hierachische Gruppen
- Entwicklung: text -> base64 -> binary
- Server die sich untereinander synchen (schnell große Datenmengen bei binary -> gebannt von den meisten Server -> kommerzielle)
- Binary grabber/plucker: auf Download spezialisierte NewsReader
- Par2: Herunterladen oft Unzuverlässig, Parchive, parity files, index der Dateien mit Checksumme
Mailboxen
Sharehoster (Rapidshare, Megaupload, Upload.to)
Turnschuhlaufwerk (Platten)
NAS/Windows Dateifreigabe
Sync (Dropbox, Seafile, Bittorrent Sync)
Soziale Netzwerke (Flickr)
IRC
Peer-to-Peer mit Koordinationsserver
BitTorrent-Netzwerk
Peer-to-Peer: vollständig dezentrales Filesharing
eMule-Kademlia-Netzwerk
gnutella- und Gnutella2-Netzwerke
Manolito P2P network (MP2PN)
FastTrack-Netzwerk
Multi-Netzwerk-Clients
Anonymes P2P
I2P-Netzwerk
- Open Source, anonymes und zensurresistentes P2P Mix-Netzwerk für diverse Internet-Anwendungen, aktive Weiterentwicklung
Andere Netzwerke
- Freenet – Open Source, anonyme und zensurresistente Plattform für diverse Internet-Anwendungen (aktive Weiterentwicklung)
- GNUnet – Open Source, anonymer Filesharing-Client mit fakultativem Caching von Inhalten (aktive Weiterentwicklung)
- RetroShare – Open Source, anonymes und zensurresistentes Turtle-Routing-Netzwerk für verschiedene Anwendungen (aktive Weiterentwicklung)
Was lädt man sich über Filesharing?
- CC-Musik
- freie Software
- Bitlove
- Opendata (größere Datenbanken wie Wikidata, Openstreetmap)
- Im HQ
Ankündigungen:
Am Samstagabend ist der 100. Wikipedia-Stammtisch in der Gaststätte Narrenhäusel <https://de.wikipedia.org/wiki/Narrenh%C3%A4usel> : https://de.wikipedia.org/wiki/Wikipedia:Dresden
== April 2015 ==
News:
* http://www.golem.de/news/darknet-korrupte-ermittler-auf-der-silk-road-1504-113291-2.html
* http://www.theguardian.com/technology/2015/apr/22/wi-fi-hack-ios-iphone-ipad-apple
* gitter
* HRZ HTW Dresden dreht der KSS die selfhosted cloud ab
* Oettinger 4 VDS
http://www.heise.de/newsticker/meldung/Oettinger-plaediert-fuer-neuen-Anlauf-zur-Vorratsdatenspeicherung-auf-EU-Ebene-2625967.html
* BND-foo
http://www.tagesschau.de/inland/bnd-177.html
http://www.heise.de/newsticker/meldung/BND-Skandal-Kanzleramt-unter-Druck-2625767.html
* debian updaten, jessie outdated und als stable veröffentlicht
* DRM demnächst mit Hardware-Dongelung dank großer Firmen
http://www.golem.de/news/ready-play-3-0-keine-4k-filme-ohne-neues-hardware-drm-fuer-windows-10-1504-113753.html
* eCall: http://www.golem.de/news/auto-hilferuf-ecall-wird-ab-2018-pflicht-1504-113775.html
* ubuntu snappy: http://developer.ubuntu.com/en/snappy/
- ubuntu bekommt transaktionale Updates -> Zurückrollen
-> Familiensupport wird einfacher
- Kernsystem doppelt installiert (system-a/system-b, nur lesbar)
- erinnert an systemd
- Neues Packetformat:
- differentielle Updates
- Ports/Services
Thema: DN42
Internet im Internet
Motivation: IPv6-Tunnelbroker eingerichtet, und nun? Weiterlernen!
technische Hintergründe
- lokaler Rechner: einfache Routingtabelle mit Default Gateway zum Router
-> ISPs: viele Netze, viele Organsiationen -> Bedarf für Protokoll
- BGP:
- Jeder Teilnehmer paart mit einer Anzahl von anderen Peers und gibt seine eigenen Netze (Netz erklären) bekannt und die Netze die er erreicht. (Routing by Rumor)
- dezentral
- Filter (nicht blind jede Route akzeptieren), Gewichtsparameter (unterschiedliche Bandbreiten zwischen den Peers)
- In die Routingtabellen der Provider schauen http://www.bgp4.as/looking-glasses
- VPN-Tunnel:
- die wenigsten Peers im DN42 haben direkte Verbindung zueinander -> Abhilfe Tunnel über VPN schaffen Verbindungen über das Internet
- openvpn, ipsec, GRE, fastd, tinc
- DNS: eigene tld
Wie kann ich mitmachen? (wolf)
- Wiki öffnen: dn42.net (projektseite)
- Anmelden auf io.nixnodes.net (interface zur registry)
- AS-Nummer: 418
- Subnet: ipv4 172.22.0.0/15, ipv6 fd00/8
- Domain: .dn42
- IRC/Peerfinder ...
- VPN Tunnel aufsetzen
- BGP Dienst aufsetzen (Bird, Quagga) -> Filterregeln (wichtig! böse Routen)
- Bonus: DNS integrieren (eigener DNS oder bestehenden verwenden)
Dienste:
- Howto wiki
- looking glasses, map
- Anycast DNS, whois, tor
- irc-server, hackint
- suchmaschinen
- Peering mit einzelnen Freifunk Projekte, ChaosVPN peering
- Package Mirrors für Linux Distros
- VCR
- Free Music Radio (mit CC-Music), Streaming
- git hosting
- VMs, shell-accounts
- Datenspuren
- Termine
== März 2015 ==
News:
http://www.heise.de/open/meldung/BIOS-Rootkit-LightEater-In-den-dunklen-Ecken-abseits-des-Betriebssystems-2582782.html
Thema: Unicode
- Ursprung der Textkodierung: Fernschreiber
- Ascii (Das Computerzeitalter und die rasch zunehmende Globalisierung der Kommunikation)
- alle programme machen was anderes mit dem ersten bit
- Latin-1 (Sprachspezifische Varianten), Oktetts
- dutzende Kodierungen für nichtlateinische Schriften (Big5, MS-874,…)
- Unicodestandard und Umsetzungen (UTF-8, UTF-16)
- UCS - Universal Character Set
- Mojibake und warum alle gefälligst UTF-8 benutzen sollen KTHXBYE
- -> Unterschied zwischen
- UTF-8 (Rob Pike, verwendet für Internetprotokolle)
- UTF-16 (High-Surrogate, Low-Surrogate, BOM - Byte Order Mark, verwendet für programminterne Repräsentation)
- Windows Sicherheitslücke: RIGHT-TO-LEFT Over-Character in Dateinamen: CORP_INVOICE_08.14.2011_Pr.phylexe.doc http://krebsonsecurity.com/2011/09/right-to-left-override-aids-email-attacks/
- PUA “Private Use Area” - Klingonisch, MUFI (Medieval Unicode Font Initiative)
Probleme bei
Ankündigungen:
- CfP f. CryptoCon http://sublab.org/cryptocon15 - Ideen für den 7.-10. Mai
- CfP f. Linux Tage in Tübingen am 13.06.15: http://www.tuebix.org/callforpapers/
- Freie Software & Freies Wissen fsfw) morgen 18:30 im Zentralgebäude -2.115 (sublevel 2)
- Samstag ab 09:45 , Electronics OpenSpace & Arduino Day in der CoFab
- Wikipediastammtisch am Samstag ab 18:00 Uhr: in der BuchBar in der Neustadt. https://de.wikipedia.org/wiki/Wikipedia:Dresden
- easterhegg!!! 3.-6.april in Braunschweig
- DN42 Themenabend im April
- 18.04. Tag der Offenen Tür an der HTW (u.a. Programmierung von Microcontrollern)
Termine, Ort und ggf. Links bei uns im Kalender auf c3d2.de
== Februar 2015 ==
News:
* https://www.eff.org/deeplinks/2015/02/7-things-love-about-reddits-first-transparency-report
* http://www.heise.de/newsticker/meldung/AT-T-macht-Googles-Glasfaserangebot-weiter-Konkurrenz-2550938.html nur dort wo Google Fiber schon ist und mit Tracking-Opt-out für $29
* http://www.heise.de/newsticker/meldung/Wirtschaftsministerium-Weniger-Haftungsrisiko-fuer-WLAN-Betreiber-aber-nicht-fuer-alle-2557129.html Offiziell: CDU/SPD treibt Störerhaftung in die falsche Richtung
== Januar 2015 ==
News:
http://www.heise.de/newsticker/meldung/Europaratsausschuss-Massenverschluesselung-einziger-Schutz-gegen-Massenueberwachung-2529088.html
http://www.heise.de/security/meldung/Sicherheitsluecke-in-Millionen-Android-Geraeten-Google-empfiehlt-Chrome-oder-Firefox-als-Abhilfe-2528130.html
die EU reguliert jetzt Dual-Use für Intrusion Software/ip network surveillance equipment: “Intrusion-Software” (4) (intrusion software): “Software”, besonders entwickelt oder geändert, um die Erkennung
durch ‘Überwachungsinstrumente’ zu vermeiden, oder ‘Schutzmaßnahmen’ eines Rechners oder eines netzfähigen Gerä
tes zu umgehen, und die eine der folgenden Operationen ausführen kann:
a) Extraktion von Daten oder Informationen aus einem Rechner oder einem netzfähigen Gerät oder Veränderung von
System- oder Benutzerdaten oder
b) Veränderung des Standard-Ausführungspfades eines Programms oder Prozesses, um die Ausführung externer Befehle
zu ermöglichen.[09:17:33 PM] poelzi: http://www.researchgate.net/profile/Stoyan_Sargoytchev/publication/259190910_Theoretical_Feasibility_of_Cold_Fusion_According_to_the_BSM_-_Supergravitation_Unified_Theory/links/0deec52a5c6f45c737000000.pdf?ev=pub_ext_doc_dl&origin=publication_detail&inViewer=true
[09:18:20 PM] poelzi: http://www.slideshare.net/mobile/stoyansarg/stoyan-sargnanotek4?utm_source=slideshow&utm_medium=ssemail&utm_campaign=post_upload_view_cta
[09:31:27 PM] Аstrо: for the news: https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability
[09:31:44 PM] Аstrо: the security ap0calypse continues!
[09:36:08 PM] Аstrо: wow, ein john!
Anmerkungen:
1. “Intrusion-Software” erfasst nicht Folgendes:
a) Hypervisoren, Fehlersuchprogramme oder Tools für Software Reverse Engineering (SRE),
b) “Software” für das digitale Rechtemanagement (DRM) oder
c) “Software”, entwickelt zur Installation durch Hersteller, Administratoren oder Benutzer zu Ortungs- und Wiederauffindungs
zwecken.
2. Netzfähige Geräte schließen mobile Geräte und intelligente Zähler ein.
Technische Anmerkungen:
1. ‘Überwachungsinstrumente’: “Software” oder Hardware-Geräte, die Systemverhalten oder auf einem Gerät laufende Prozesse über
wachen. Dies beinhaltet Antiviren (AV)-Produkte, End Point Security Products, Personal Security Products (PSP), Intrusion
Detection Systems (IDS), Intrusion-Prevention-Systems (IPS) oder Firewalls.
2. ‘Schutzmaßnahmen’: zur Gewährleistung der sicheren Code-Ausführung entwickelte Techniken, wie Data Execution Prevention
(DEP), Address Space Layout Randomisation (ASLR) oder Sandboxing.
“Isolierte lebende Kulturen” (1) (isolated live cultures): schließen lebende Kulturen in gefrorener Form und als Trocken
präparat ein.
bzw.
j) Systeme oder Ausrüstung zur Überwachung der Kommunikation in IP-Netzen (Internet-Protokoll) und
besonders konstruierte Bestandteile hierfür mit allen folgenden Eigenschaften:
1. für die Ausführung aller folgenden Operationen in einem Carrier-Class Internet Protocol Network (z.
B. nationales IP-Backbone):
a) Analyse auf der Anwendungsschicht (application layer) (z. B. Schicht 7 des OSI-Modells (Open
Systems Interconnection) (ISO/IEC 7498-1));
b) Extraktion ausgewählter Metadaten und Anwendungsinhalte (z. B.Sprache, Video, Nachrichten,
Anhänge) und
Ankuendigungen:
31.1 - 1.2. Fosdem Bruessel
3. - 6. April Easterhegg in Braunschweig
== Dezember 2014 ==
News:
https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure
https://www.eff.org/deeplinks/2014/11/certificate-authority-encrypt-entire-web
http://www.sciencealert.com/watch-scientists-have-put-a-worm-s-brain-into-a-lego-robot-s-body-and-it-works -- fährt bei Anstupsen vor & zurück
http://www.heise.de/newsticker/meldung/Forscher-identifizieren-GoPro-Filmer-anhand-ihrer-Kamera-Wackler-2497590.html:
- Forscher der University of Jerusalem
- 34 Versuchspersonen
- 88% richtig bei Zwölf-Sekunden-Videos
- Polizisten in den USA zukünftig zum Tragen einer Body-Cam verpflichtet
===Thema===
Nebenläufigkeit
Asynchrone Programmierung
Promises
npm
modularization
node forward/io.js
== November 2014 ==
News:
Github des Monats: ($Dinge goes github)
- dotnet https://github.com/dotnet/corefx
- Boldmove von Microsoft, C# besser als Java!
- Wird mit dem Monoprojekt zusammen geführt
- Webentwicklung/mobile Plattformen (besser als HTML-Apps) werden wieder interssanter
- awesomewm https://github.com/awesomeWM/awesome/commits/master
- go: https://groups.google.com/forum/#!topic/golang-dev/sckirqOWepg
- Rob Pike (Alter Unix-Hacker und Oberguru von go)
- von Mercurial zu git
- Google-hosted instance of Gerrit
- Anfang December
- freifunk dresden https://github.com/ddmesh/firmware-freifunk-dresden
-> Diskussion über Github (zentral)
Debian bleibt bei systemd - Entwickler treten zurueck
http://www.heise.de/open/meldung/Debian-Noch-ein-Ruecktritt-in-der-Systemd-Debatte-2460450.html
Mozilla stellt auf Yahoo als Standardsuchmaschine um
http://www.heise.de/open/meldung/Mozilla-Partnerschaft-mit-Yahoo-fuer-Default-Suchmaschine-in-Firefox-2460746.html
"Latex statt kommerziellen Scheiß"
Weiterentwicklung von Opensource an der TU Dresden
- Ticketsverkauf 31C3, Assembly vom C3D2
Thema:
* BSD
- gesamte Quellcode in einem Sourcecodeverwaltung
- Ports
- Forken nicht so beliebt
* Geschichte
- 1970: Unix Timesharing System
- entwickelt in den Bell Labs bei AT&T
- Programmiersprache C, statt wie bisher Assembler -> portable
- alles ist eine Datei (auch Geräte über Datei ansprechbar)
- Multiuser fähig (Terminals -> Rechner) statt Batchverarbeitung
- 1970 + 7 Jahre: Universität von Kalifornien in Berkeley:
- AT&T -> Telekommunikationsmonopol, durfte keine Software verkaufen
- Sofware zum Preis der Datenträger zur Verfügung gestellt
- Bill Joy (Erfinder von vi) -> erste Berkeley-Software-Distribution
- Darpa brachte 1. TCP/IP-Implementierung ein
- Umgeschrieben bis keine einzige Zeile AT&T-Quelltext -> unter BSD Lizenz gestellt (Sparen von Lizenskosten -> Networking Release/2)
- https://en.wikipedia.org/wiki/BSD_licenses#2-clause_license_.28.22Simplified_BSD_License.22_or_.22FreeBSD_License.22.29 (vorlesen)
- Vererbungsbaum Unix: https://de.wikipedia.org/wiki/Berkeley_Software_Distribution#mediaviewer/File:Unix_timeline.de.svg
- 4.3BSD-Lite auf Intel i386 -> führte zur Entwicklung von NetBSD und FreeBSD
- FreeBSD
- verbreitestes BSD-Variante
- Jails
- stabilste ZFS-Implementierung
- Whatsapp: nutzt selber Freebsd, 1 Million Spende an die Foundation
- pkgng
- ZFS
- FreeNAS
- PC-BSD
- Werkzeuge
- Life Preserver
- Warden
- pbi
- AppCafe
- TrueOS
- Lumina
- DesktopBSD/GhostBSD
- OpenBSD:
- Aus dem NetBSD-Projekt entstanden
- Entwickler Theo de Raadt ausgeschlossen
- Fokus auf Sicherheit und offene Quellen
- Sicherheitsaudits
- pf, openssh, libressl
- gehärtete Libc (static bounds checker)
- Dragonfly BSD
- http://www.dragonflybsd.org/
- https://de.wikipedia.org/wiki/DragonFly_BSD
- Entwickler: Matt Dillon und andere
- fork von FreeBSD
- features:
- HAMMER FS
- schenller zugriffb
- mit integriertem Spiegelung und Historien zugriff
- seit 3.6 version 2
- kompressionsalgorithmen, darunter LZ4 und zlib
- Hybrid Kernel
- ausgeprägte nutzung von Synchronizationsmechanismus
- Deadlock frei
- leicht zusammensetzbar
- Lightweight Kernel Threads:
- jeder Prozessor seinen eigenen Prozess-Scheduler
- Prozessor wechsel nur durch Inter Prozessor Interrupts (IPI) Prozessen
- Beste Ausnutzung von swap partitionen auf SSDs
- NetBSD
- Fokus auf Portierbarkeit: Toaster (2005 von der Firma Technologic Systems)
- Beliebt in Embedded-Systemen -> Crosskompilieren einfach mit einem Befehl
- Portable Gerätetreiber: PCI-Treiber für ein Gerät muss nicht für jede Archtitektur angepasst werden
- Rumpkernel -> neue Treiber als Programm laufen lassen und später in den Kernel portieren
- Lua Module im Kernel laufen
- KGDB: Kernel Zeile für Zeile debuggen
- https://wiki.c3d2.de/BSD
weiterführende Medien:
- BSD Now http://bsdnow.tv/
=== Ankündigungen ===
- Treffen EDV-Struktur für Solidarische Initiativen in Dresden
- 27. November 2014 um 18:30 Uhr
- HQ
- OpenSource-Initiative an der TU
== Octobre 2014 ==
* Win10 EULA erlaubt Keylogging: http://thehackernews.com/2014/10/download-Windows-10-keylogger.html
* Sony verkrüppelt mal wieder Produkte: http://www.androidpolice.com/2014/10/02/unlocking-the-bootloader-on-sonys-xperia-z3-and-z3-compact-causes-poor-low-light-camera-performance-thanks-to-drm/
* http://www.heise.de/newsticker/meldung/The-Snappening-Hunderttausende-privater-Snapchat-Fotos-im-Umlauf-2415252.html
* http://www.heise.de/newsticker/meldung/Hewlett-Packard-zieht-bei-WebOS-Geraeten-den-Stecker-2427314.html
* http://www.heise.de/newsticker/meldung/Radikale-Islamisten-bekommen-eigenes-Ausweisdokument-ohne-Chip-2427815.html -- ich will auch einen ohne Chip, muss ich deshalb radikaler Islamist[tm] werden?
* http://www.heise.de/newsticker/meldung/Supercookie-US-Provider-Verizon-verkauft-Daten-ueber-seine-Kunden-2437242.html
* http://www.heise.de/newsticker/meldung/Internet-Steuer-Zehntausend-Ungarn-protestieren-gegen-Regierungsplaene-2432272.html
Themenabend über Systemd, dem neuen Servicemanager für Linux, am Donnerstag den 30. Oktober um 19:33 Uhr
=== Thema ===
Shells: sh, dash, bash, ksh, tcsh, zsh, fish
Was ist eine Shell?
- GUI vs CLI
Geschichte:
- RUNCOM (Multics) / IBM JCL
- Thompson Shell -> Redirect, Pipe -> Bourne Shell
-> C-Code durch Shellskripte ersetzt
http://www.softpanorama.org/People/Shell_giants/introduction.shtml
- C-Shell: History, Aliases, ~, Job Control, Path hashing
- Posix-Standard
Wie funktioniert eine Unixshell?
- parser -> fork() -> execvp() -> wait()
- Standarteingabe, Standarausgabe, Fehlerausgabe,
- Pipe
- Redirect
- Umgebungsvariablen ($PATH/$HOME)
- Functions/Aliases
- coreutils (cp, rm, cat) vs builtins (cd, read)
- interaktive Shell <-> Skripte
- PROMPT
- shebang
- globs
- Shell history
- job control (Ctrl-C) fg bg
- Kontrollstrukturen (If, while)
- Mathe: $((2+2)) let expressions
sh:
bash:
Standardshell unter Linux
Entwickelt von Brain Fox 1989
Seit Version 1.13 Chat Ramey Maintainer bis heute
angestellt von der FSF: Stallman sagte es sollte nur ein paar Monate dauern
arrays, assziative-arrays im gegensatz zur sh
dash:
- Debian Shell
- schnell zum booten gedacht (ausfuehren von init scripten)
- macht Shellskripte kaputt, wenn man sie portiert
zsh:
- Rechtschreibkontrolle
- loadable modules: zftp, zcalc
- global aliases
- prompt themes
- shell history zwischen shell sharen
- oh-my-zsh
- grml
- zshuery
fish:
- Autovervollständigung (vom Ordner abhängig)
- Syntaxhighlighting (rot, falls kein gültiger Befehl -> grün)
- modernere Shell-Syntax <-> Posix-Kompatibiltät
- Auch ohne lange Konfiguration schon gut benutzbar (ver
- fishd: verteilt globale Variablen an alle Shells
- baut Vervollständigung von Commandlineswitchen aus der manpage zusammen
- C++
- substring search (Ctrl-p)
Ausblick:
Powershell:
- Module
- Remote Code ausführen
- Pipeline -> Objekte statt Text, exception handling
- Code signing
- Events
- IDE
- Debugger
-
- definitv interessant, da gerade der arme Verwandte, der bei WIndows immer helfen muss, damit vieles erreichen kann
== September 2014 ==
* NEWS NR #1 Datenspuren ... die waren glaub ich
- Pentabug löten
* http://www.golem.de/news/cloud-durchsuchung-microsoft-will-trotz-gerichtsbeschluss-keine-daten-hergeben-1408-108923.html
* http://www.heise.de/newsticker/meldung/Anwendervertrauen-in-die-Internet-Sicherheit-konsolidiert-sich-2389948.html
* Google und sichere Passwörter: http://www.golem.de/news/nach-kontodaten-veroeffentlichung-google-raeumt-nutzerdaten-und-passwoerter-auf-1409-109195.html
* http://www.heise.de/newsticker/meldung/NSA-Ausschuss-Opposition-will-Snowden-Befragung-in-Berlin-einklagen-2390344.html
* http://www.heise.de/newsticker/meldung/EU-Datenschutzreform-Arbeitnehmer-haben-das-Nachsehen-2390338.html
* http://www.heise.de/newsticker/meldung/EuGH-Bibliotheken-duerfen-Buecher-digitalisieren-2390212.html
* http://www.heise.de/newsticker/meldung/NSA-Ausschuss-fordert-von-Bundesregierung-mehr-Offenheit-2390236.html
* http://www.heise.de/newsticker/meldung/IT-Direktor-im-Innenministerium-wettert-gegen-Outsourcing-2390165.html Innenministerium verwendet FreieSoftware und OpenSource synonym - Sie haben es nicht verstanden.
* Apple Watch ist (bisher) ein sehr gut vermarkteter Witz - Nicht einmal wasserdicht, trotz Induktionsladung und modularem Design ist auch noch eine geringe Akkulaufzeit absehbar - die wirkliche Innivation ist ApplePay für Nicht-Digitalgüter http://www.golem.de/news/nfc-apple-pay-koennte-sich-auszahlen-1409-109181.html, endlich etwas privatsphärefreundlicher digitales Bezahlen, leider nur mit iPhone und bisher nur in den USA; dennoch: Cash bleibt Trumpf
* http://www.btc-echo.de/paypal-tochter-braintree-bestaetigt-bitcoin-integration_2014090901/
Bitcoin: Braintree integriert derzeit für deinen Zahlungsdienst und macht die Probe aud's Exempel für PayPal
* http://www.heise.de/newsticker/meldung/Amazon-zieht-sich-aus-P2P-Geldtransfers-zurueck-2390386.html
* Juristisch komisch: http://www.golem.de/news/urteil-fremde-nackt-selfies-zumailen-ist-nicht-strafbar-1409-109198.html
=== NSA ===
* http://www.heise.de/newsticker/meldung/NSA-Ueberwachungsskandal-Millionenstrafe-fuer-Yahoo-bei-Nicht-Herausgabe-von-Nutzerdaten-2390402.html
(pentacast 48: Dateisysteme)
=== Thema ===
Containerloesungen: {LXC, Docker, BSD-Jails, systemd-nspawn}
* Was sind Container
* Abgrenzung der Betriebsystemvirtualsierung von Voll/Para-Virtualisierung (Virtualbox, VMware, KVM)
- Normale sytemcall Schnittstelle kann genutzt werden keine emulation oder virtuelle Maschine nötig wie bei Voll/Para - Virtualizierung
* Vorteile: Leichtgewichtig und Schnell
- Leichtgewichtig und Schnell
- file-level copy on write
* Nachteile:
- Gebunden an das Betriebsystem/Architektur
* Anwendungsfälle:
* Containerlösungen:
- chroot
- Linux: lxc, docker, libvirt-lxc, systemd-nspawn(1), openvz
- Solaris: zones
- Freebsd: jails
- Windows: virtuosso
* Technische Grundlagen Linux:
* Freebsd: VIMAGE
* Solaris: Crossbow
* Apple App Sandboxing
* Apple App-Sandboxing
* chroot:
- Linuxinstallation, Debian Packetierung, bind
* lxc:
- lxc-create -> Templates für Distributionen
- Menge von Kommandozeilenprogramme zum Verwalten
- lxc-start/lxc-stop, lxc-attach/lxc-console
- lxc-clone (zfs/btrfs)
- /var/lib/lxc/C1/rootfs (backingstore)
- macvlan, bridge,...
- liblxc, Sprachbindings API
- Auch als Nutzer startbar, Isolierung von Desktopanwendungen
- eingesetzt bei uberspace.de
- unprivileged containers
- failover lxcs mit uCARP
- guter Blog: https://www.stgraber.org/tag/containers/ (von lxc Entwickler)
* docker:
- aus propritären Proktukt von dotcloud entstanden -> 1. Release
- microservices: http://martinfowler.com/articles/microservices.html
- Dockerfile, Einzelne Shell-Befehle Schritt für Schritt ausgeführt -> Snapshot basiert (btrfs, zfs, aufs, lvm thin provisioning) -> docker images -t
- geschrieben in der Programmiersprache Go
- volatile Container -> Data-Container
- Einzelne Container Netzwerkdienste können gelinkt werden -> Umgebungsvariablen
- Entwicklerfreundlich: Testen auf dem eigenem System, Upload von Deltas (git für container)
- docker registry
- coreos (systemd, kein Packetmanager, etcd, fleetd, failover, service discovery)
* jails:
* systemd-nspawn:
- wird zum Entwickeln von systemd genutzt
- gelinktes journald
- socket-activation
- systemd-networkd (dhcp)
- nsswitch (mymachines) -> Automatisch Host auflösen
- momentan noch nicht ausbruchsicher
* Solaris Zones
- Crossbow (virtualized network stack)
- globale / nicht globale zones
- RessourcePool (Prozesspriorität/CPU Core Zuweisung)
- RBAC (Role-Based Access Control)
- sparse/whole/-root/branded zones
* Ankündigung
- Themenabend über Container im HQ vorraussichtlich 10.10
== August 2014 ==
wieder im pad oder demnächst im $portal?!
* ist noch kaputt (505 on submitting news)
* ggf wird eine neue instanz im hq aufgesetzt und um features für shownotes erweitert
-> erstmal pad
=== Thema: Datenspuren ===
=== News ===
* Hack des Monats: http://www.heise.de/newsticker/meldung/Hackangriff-auf-Ampeln-2301448.html
* Forscher der University of Michigan veroeffentlichen grosse Sicherheitsluecken ueber Ampelanlagen in der USA.
* Tor Browser soll sicherer werden:
http://www.heise.de/open/meldung/Haertung-des-Tor-Browsers-steht-und-faellt-mit-Firefox-Bugs-2299773.html
* Google Forscher finden Fehler in Glibc
http://www.golem.de/news/glibc-fehlerhaftes-null-byte-fuehrt-zu-root-zugriff-1408-108814.html
ALX:
* Synology hat ein Trojanerproblem
* http://www.heise.de/newsticker/meldung/Verschluesselungstrojaner-attackiert-Synology-Speichersysteme-2282625.html
* und F-Secure hilft bei der Entwanzung, man braucht aber den Schlüssel der Erpresser (Pricetag: 0,6 BTC ~ 240€) http://www.heise.de/newsticker/meldung/F-Secure-mit-zweischneidiger-Hilfe-fuer-SynoLocker-Opfer-2301886.html
BM
* Saechsische Piraten bringen ersten dauerhaften Online Parteitag:
http://www.heise.de/newsticker/meldung/Saechsische-Piraten-installieren-Internet-Parteitag-2301428.html
* Huawei macht keine Windows Phones mehr:
http://www.heise.de/newsticker/meldung/Huawei-legt-Windows-Phone-auf-Eis-2302036.html
* CCC Ehrenmitglied Snowden (+ Chelsa M.- angefragt) + Spende ans Anwaltsteam
* http://www.wired.com/2014/08/how-to-use-your-cat-to-hack-your-neighbors-wi-fi/
* internet.org? Um Zensur routet das Internet herum: http://www.jpginternet.org/
* http://www.independent.co.uk/life-style/gadgets-and-tech/florida-man-accused-of-killing-his-roommate-asked-siri-where-to-hide-the-body-9665437.html
ALX
* Globale Handy-Standortüberwachung per SS7
* http://www.heise.de/newsticker/meldung/Ueberwachungstechnik-Die-globale-Handy-Standortueberwachung-2301494.html
* Digitale Agenda & IT-Sicherheitsgesetz
http://www.heise.de/newsticker/meldung/Kripo-will-endlich-mit-Mautdaten-Verbrecher-jagen-2290789.html?wt_mc=rss.ho.beitrag.atom
bdk & bka wollen zugriff auf mautdaten - dürfen bisher nicht, geforder wegen verbrechensaufklärung - fall des autobahnschützen bewiese da (gefunden durch kfz scanner & handynr. abgleich)
- * Besser Handyortung für Polizei
http://www.heise.de/newsticker/meldung/Bessere-Handy-Ortung-fuer-die-deutsche-Polizei-2289542.html
76 neue Beweissicherungs- und Dokumentationskraftwagen (BeDokW) für 4,2 millionen zur präzisions-lokalisierung
bka , antennenbauer, frauenhofer institut und tu ilmenau zusammen an dem projekt
* Zensur bei Twitter - Foley Video ---> demnächst automatische erkennung & zensur
http://www.washingtonpost.com/blogs/the-switch/wp/2014/08/19/foley-video-photos-being-scrubbed-from-twitter/?hpid=z14
* Automatische Suche nach Kinderpornos in Google, Twitter, Facebook & M$
* Blogklauerei
http://www.heise.de/newsticker/meldung/Aktuelle-Masche-Krimineller-Blog-Klau-veraergert-viele-Betreiber-2297045.html?wt_mc=sm.feed.tw.ho
abhilfe http://niedblog.de/blog-kopiert-name-geklaut/#stopp - ip ranges sperren
blogs werden gespiegelt um mit werbebannern $$$ zu machen
* FinFisher Hack
https://netzpolitik.org/2014/gamma-finfisher-hacked-40-gb-of-internal-documents-and-source-code-of-government-malware-published/
* Upcoming: Freiheit statt Angst am 30. August in Berlin
** Reisegruppe https://wiki.c3d2.de/FSA2014
** momentan ist da auch der Link auf http://c3d2.de/ relativ weit vorn (dynamisch!)
* Schneller US-Einreise mit dem IPhone
** http://www.heise.de/newsticker/meldung/iPhone-App-erlaubt-Umgehen-der-Warteschlange-beim-US-Grenzuebertritt-2302261.html
* $75,000-Armprothese nutzlos wenn das gepairte iPad gestohlen wurde
** http://beta.slashdot.org/story/206397
** Deshalb Open Hardware auch für Prothesen!
* kinko-box https://www.indiegogo.com/projects/kinko-me-pretty-easy-privacy
=== 11. DS 2014 ===
am Sa+So 13.+14. September, start jeweils 10:00, Samstag mehr oder weniger Open End, Sonntag bis ca. 18:00
ORT: Scheune Dresden (wie gehabt)
ANREISE: Aufs Bahnticket hinweisen, weitere Infos unter
VORHER: Warmup im Dings,... Stilbruch - am Freitag (Neustadt)
(12.09. 20:00)
bitte Anmelden: Teilnehmerzahlen grob planen!
eventuell kein Essen, wir geben nochmal Bescheid ob man vorher was mampfen muss
https://dudle.inf.tu-dresden.de/dswarmup/
Link auch in den News auf datenspuren.de
Für wen ist die Veranstaltung was? Zielgruppe? - Alle!?
Worum geht es, Themen?
- Open Data, Überwachung , Privatsphäre, Datenschutz
Was machen wir so (Überblick)?
- Vorträge (Details später)
- Workshops/Diskussionsrunden
- Lightning Talks!!!!
- Basteln für JunghackerInnen
- Info-Stände zu einigen Vorträgen
- Installationen
*rumnörgeln* über den Vorbereitungsaufwand, was gehört da alles dazu
- Termine festmachen, Orga mit Veranstaltungsort (mieten)
- CfP rumschicken
- Logos,Website, Flyer, T-Shirts, Versicherung
- Vorträge einsammeln, bewerten, Fahrplan aufstellen
- Netzwerk (WLAN-APs, Anschluss mieten)
- Streaming sicherstellen
- Detailplanung, Logistik bis zum Essen/Trinken
Details zu den Vorträgen:
WICHTIG! bei p≡p - pretty Easy privacy nur Titel/Untertitel, keine Details
Wir haben noch keinen endgültigen Fahrplan: weil: - würde ich so nicht sagen. einfach final fahrplan coming soon - lasst euch überraschen
Highlights:
Support aus Berlin: Constanze Kurz:
Five Eyes - Welche Handlungsoptionen haben wir gegen Überwachung und Geheimgerichte
Yes we can – monitor you . wie geht das so mit dem Abhören im Internet, Live-Demo
Wie kannst du wissen wer ich bin?
"Was verraten deine Daten über mich?"
Freifunk in Dresden
Open-Data-Stadtrat - Podiumsdiskussion
Digitale Selbstverteidigung, Wie schuetze ich mich vor Ueberwachung
mit Infostand
Lücken in der Digitalen Selbstverteidigung
Workshop zu digitalen Lernmaterialien
digitale verbrauchergemeinschaft
Pentanews Gameshow!!!
Lighning Talks:
Was ist das?
Mitmachen!!! submit datenspuren@c3d2.de oder vor ort
Basteln? Was geht und für wen?
ZUM SCHLUSS:
Daten nennen
- Veranstaltung 13+14, ab 1000
- Warmup 12.9., Anmeldung bis 10.9.
- Spenden http://c3d2.de/unterstuetzen.html
- finde eine kollemate mit dem seltenen datenspuren-etikett
Ankuendigungen:
FSA
Landtagswahlen ... Geht waehlen!
=== Termine ===
== Juli - 2014 ==
=== Themenvorschläge: ===
=== News Aggegation Juli ===
* Dresden De-Mail City, mit grosser Marketingkampanie und angeblich "sichere Kommunikation" zwischen Buerger und Behoerden will Dresden jetzt weitreichend De-Mail Bullshit einfuehren. Wir erinnern uns das fuer De-Mail das Gesetz welches beschreibt was "sicher" ist angepasst wurde.
http://www.heise.de/newsticker/meldung/Dresden-wird-De-Mail-City-2243420.html
http://computer-oiger.de/2014/06/30/dresden-soll-digitale-verwaltung-vormachen/29073
* Sillicon Saxony:
http://www.sz-online.de/nachrichten/ideal-waere-ein-forschungsinstitut-2864707.html
* Microsoft macht NoIP Platt
Hier sollten wir vllt. auch alternativen aufzeigen, erklären warum das wertvolle Infrastruktur zerstört.
http://www.heise.de/newsticker/meldung/Malware-Microsoft-erzwingt-Umleitung-von-Domains-des-DynDNS-Diensts-NoIP-2243605.html
* NSA deklariert Tor Nutzer als Extremisten - also kennzeichnet euch doch einfach direkt:: https://www.trycelery.com/shop/torrorist
Alle ip addressen von Suchanfrage nach Schluesselworten wie "tor" oder "tails" werden von der nsa gespeichert und als "Extremist" vermerkt.
Das geht wohl aus Quellcode teilen (snort-regeln) der Ueberwachungssoftware Xkeyscore hervor
Die Grundsaetzliche Sicherheit von Tor scheint nicht gefaehrdet zu sein
aber anonym == boese ... liebe hacker merkt euch das
Bundesregierung->Reaktion() == NULL // sollten wir garbage collecten!
http://www.heise.de/newsticker/meldung/XKeyscore-Quellcode-Tor-Nutzer-werden-von-der-NSA-als-Extremisten-markiert-und-ueberwacht-2248328.html
* Meson neues Buildsystem
Bekanntlich haben ja alle Buildsysteme eins gemein ... sie suxXxen!!!
Als technische News und mal was positives könnten wir mal darueber Sprechen.
https://jpakkane.github.io/meson/
https://archive.fosdem.org/2014/schedule/event/meson/
http://www.reddit.com/r/programming/comments/1cbujx/meson_a_new_build_system_designed_to_optimize/
* Nach 43 Jahren: Andrew S. Tanenbaum gibt Abschiedsvorlesung - heise online
http://heise.de/-2256970
A. S. Tanenbaum entwickler von Minix, was die Inspiration von Linus war als der Linux entwickelte
Doktorvater von 23 Wissenschaftlern
zwei Ehrendoktorwuerden
* Open Knowledge Festival für freies Wissen 15.07. - 17.07 in Berlin - heise online http://heise.de/-2258105
==== NSA Skandal / Snowden (die "Snowdens der Woche") ===
==== other ====
=== Thema ===
Juli 2014
VPN - Virtual Private Networks
Zweck
* LAN over WAN for Applications
* Privacy
Arten
* Nach OSI-Layer
Protokolle
* PPTP
* OpenVPN
* IPSec
Vorteile/Nachteile/Schwerpunkte
* Routing
* Bandbreite
* Vertraulichkeit
* Obfuscation
Anbieter
* $self
* ipredator
*
