Sendezeit: 21:30-23:00 Uhr, jeden vierten Dienstag im Monat = Pentaradio-Sammelpad = Aufgaben dieses Pads: * Vorbereiten von Sendungen (Themenvorschläge, News, Kommentare, Infosammlung, usw.) * Begleiten von Sendungen (Shownotes, TopicPicking) * Sendungshistory für vergangene Sendung vorhalten bis diese im Anschluss anderweitig abgelegt werden Studio-Telefon (während der Sendung): 0351-32054711, Skype:coloradio Feedback erwünscht unter: https://pentamedia.org Es wäre zu überlegen, ob wir die Sendungsvorbereitung gleich so weit wie möglich im Open Shownotes Format machen, um dann wärend der Sendung nur noch die Timestamps einzufügen. - https://github.com/shownotesArchive/OSF-in-a-Nutshell/blob/master/OSF-in-a-Nutshell.de.md - https://shownot.es/doc/pentaradio-Jan16/ Statistiken: http://www.hq.c3d2.de/p-Ideenfindungentastats/ == Themenvorschläge == Mediawiki, Semantic Wiki, Extensions (honky) Arbeiten bei Mozilla (Xyrill, Henrik Skupin) MRT (Xyrill, Jens) - siehe unten Sailfish OS (honky) OpenTechSchool Leipzig wären schöne Interviewgäste Politik im Hackerspace: Anarchismus, Liberalismus und der Zahn der Zeit cryptospass: https://hedgedoc.c3d2.de/pentaradio-bitcoin update backup: https://hedgedoc.c3d2.de/pentaradio-backup-nas ==2022== https://codimd.c3d2.de/pentaradio-2022-01 https://codimd.c3d2.de/pentaradio-2022-02 https://codimd.c3d2.de/pentaradio-2022-03 https://codimd.c3d2.de/pentaradio-2022-04 https://codimd.c3d2.de/pentaradio-2022-05 https://codimd.c3d2.de/pentaradio-2022-06 https://codimd.c3d2.de/pentaradio-2022-07 https://codimd.c3d2.de/pentaradio-2022-08 https://codimd.c3d2.de/pentaradio-2022-09 https://codimd.c3d2.de/pentaradio-2022-10 https://codimd.c3d2.de/pentaradio-2022-11 https://codimd.c3d2.de/pentaradio-2022-12 ==2021== https://codimd.c3d2.de/pentaradio-2021-01 https://codimd.c3d2.de/pentaradio-2021-02 https://codimd.c3d2.de/pentaradio-2021-03 https://codimd.c3d2.de/pentaradio-2021-04 https://codimd.c3d2.de/pentaradio-2021-05 https://codimd.c3d2.de/pentaradio-2021-06 https://codimd.c3d2.de/pentaradio-2021-07 https://codimd.c3d2.de/pentaradio-2021-08 https://codimd.c3d2.de/pentaradio-2021-09 https://codimd.c3d2.de/pentaradio-2021-10 https://codimd.c3d2.de/pentaradio-2021-11 https://codimd.c3d2.de/pentaradio-2021-12 == 2020== https://hackmd.c3d2.de/pentaradio-2020-01 https://codimd.c3d2.de/pentaradio-2020-02 https://codimd.c3d2.de/pentaradio-2020-03 https://codimd.c3d2.de/pentaradio-2020-04 https://codimd.c3d2.de/pentaradio-2020-05 https://codimd.c3d2.de/pentaradio-2020-06 https://codimd.c3d2.de/pentaradio-2020-07 https://codimd.c3d2.de/pentaradio-2020-08 https://codimd.c3d2.de/pentaradio-2020-09 https://codimd.c3d2.de/pentaradio-2020-10 https://codimd.c3d2.de/pentaradio-2020-11 https://codimd.c3d2.de/pentaradio-2020-12 == Seit April 2019 == https://hackmd.c3d2.de/pentaradio-2019-04 https://hackmd.c3d2.de/pentaradio-2019-05 https://hackmd.c3d2.de/pentaradio-2019-06 https://hackmd.c3d2.de/pentaradio-2019-07 https://hackmd.c3d2.de/pentaradio-2019-08 https://hackmd.c3d2.de/pentaradio-2019-09 https://codimd.c3d2.de/pentaradio-2019-10 https://codimd.c3d2.de/pentaradio-2019-11 https://codimd.c3d2.de/pentaradio-2019-12 und so weiter == März 2019: Wir sind die Bots, Uploadfilter sind zwecklos == Pentapad ist ziemlich buggy bei mir (Xyrill). Lasst uns mal HackMD probieren: https://hackmd.c3d2.de/pentaradio-2019-03 == Februar 2019 == "Roboter - machines serving somebody" News: - GesellschaftMachtTechnik erwähnen (oder einladen?), siehe https://hackmd.c3d2.de/plenum-2019-2 - Verweis auf die Gesprächsrunde beim MDR: https://www.mdr.de/sachsenradio/podcast/audio-956750.html - neuer Podcast von Xyrill: https://xyrillian.de/noises/st/001-eigenbaukombinat-halle/ - Apple Is Blocking Linux User-Agent on appleid.apple.com: https://fosstodon.org/@alexbuzzbee/101633318704187857 - Aktionstag gegen Uploadfilter am 23. März - (oder am 2. in Berlin) - Europaparlament entscheidet März / April https://netzpolitik.org/tag/uploadfilter/ https://juliareda.eu - viel zu viele stille SMS: https://netzpolitik.org/2019/deutlich-mehr-stille-sms-auch-in-bundeslaendern/ Erstmals unter Verschluss * die Bundespolizei im 2. Halbjahr 50.654 „Stille SMS“, vorher waren es noch 38.990. * BKA 21.337 „Stille SMS“ versandt, rund ein Drittel weniger als im Jahr zuvor. * Bundesamt für Verfassungsschutz (BfV) letztes Jahr 180 000 * Zoll ähnlich * Die Zahlen zum Bundesnachrichtendienst waren hingegen schon immer geheim. - Funkzellenabfragen-Informationssystem in Berlin -> https://fts.berlin.de/ Definition Roboter: https://de.wikipedia.org/wiki/Roboter Ein Roboter ist eine technische Apparatur, die üblicherweise dazu dient, dem Menschen häufig wiederkehrende mechanische Arbeit abzunehmen. Roboter können sowohl ortsfeste als auch mobile Maschinen sein und werden von Computerprogrammen gesteuert. Die Wortbedeutung hat sich im Laufe der Zeit gewandelt. https://de.wikipedia.org/wiki/Roboter#Definition_nach_VDI-Richtlinie_2860 Roboter in der Populärkultur: - Maria (Metropolis) - Westworld - T-800 - TARS & CASE - HAL 9000 (noch Roboter?) Robotwars/Roboteers: http://forum.roboteers.org/ Hebocon! Beispiele für Roboter im Alltag: Kaffeemaschine Geschirrspülmaschine Staubsauger 3D Drucker CNC Fräse HoverBoards Autonome Autos? https://www.turag.de/ http://www.teamhector.de/ https://github.com/PaulPetring/amosero/ amosero :) Beispiele militärisch: - Vorläufer Goliath (Leichter Ladungsträger im MhM in Dresden im Original zu sehen!) https://de.wikipedia.org/wiki/Goliath_(Panzer) - Samsung SGR-A1 (erster vollautomatischer Kampfroboter) https://de.wikipedia.org/wiki/Samsung_SGR-A1 - SWORDS, Gardium, Predator, ... https://www.youtube.com/watch?v=hMtABzjslXA sand flea hexapod bigdog LS3 atlas spot mini Beispiele Wissenschaft/Raumfahrt: Robonaut 2 ( https://de.wikipedia.org/wiki/Robonaut ) Macht Wartungsarbeiten an der ISS Cimon ( https://de.wikipedia.org/wiki/Cimon_(Roboter) ) Basiert auf IBM Watson Erkundung von anderen Planeten: Spirit, Opportunity, Curiosity, ... PTScientist Lunar-Rover/Asimov: https://de.wikipedia.org/wiki/Part-Time_Scientists#Audi_lunar_quattro Mars Rover Curiosity https://en.wikipedia.org/wiki/Curiosity_(rover) Beispiele Wirtschaft: Amazon Robotics, formerly Kiva Systems https://www.youtube.com/watch?v=cLVCGEmkJs0 Kuka Robotics https://www.kuka.com/en-de/products/robot-systems Geschichte der Robotik: https://de.wikipedia.org/wiki/Robotik#Geschichte Theater und Musikmaschinen aus der Antike 1205 "Automata" (Buch des Wissens von sinnreichen mechanischen Vorrichtungen) 1495 Leonardo da vinci Pläne für Androiden https://upload.wikimedia.org/wikipedia/commons/4/45/Leonardo-Robot3.jpg 1740 Jacques de Vaucanson (Erfinder programmierbarer Webstuhl) Ende 19Jh. militärisches Interesse Jules Verne schrieb eine Geschichte über eine Menschmaschine 1920 führte der Schriftsteller Karel Čapek den Begriff Roboter für einen Androiden ein Erfindung des Transistors 1947 1955 kamen erste NC-Maschinen auf den Markt (Geräte zur Steuerung von Maschinen) 1954 meldet George Devol in den USA ein Patent für einen programmierbaren Manipulator https://de.wikipedia.org/wiki/Industrieroboter Um 1970 wurde auch der erste autonome mobile Roboter Shakey (der Zittrige) am Stanford Research Institute entwickelt. https://de.wikipedia.org/wiki/Shakey_(Roboter) 1973 KUKA Famulus https://de.wikipedia.org/wiki/Famulus_(Roboter) ---- Musik? ---- Robotik Mischung aus Elektrotechnik, Informatik, Mathematik Actoren - Motortypen, DC, Stepper, Servo, Getriebevarianten allgemein - Motortreiber mit H-Brücken z.B. ln298, VNH2SP30, TMC2130 - PWM Accumulatoren: - AAA - LiPo - NiMh - Autobarrerien - klassische Flüssigtreibstoffe ala Diesel, Benzin etc. Sensoren & Prozessoren - Distanzsensoren: HCSR04 (Ultraschall), VL53L0X (ToF mit IR-Pulsen) - Sensoren: IMUs, Temperaturfühler, encoder, - Xtion, Kinect, Laserscanner, Lidar - Arduino, ESP32, Raspberry Pi, Odroid-H2 Mathematik in der Robotik: - Trajektorien https://de.wikipedia.org/wiki/Trajektorie_(Physik) - Matrizentransformationen - Kalman Filter https://en.wikipedia.org/wiki/Kalman_filter - SLAM (Simultaneous localization and mapping) - Richtungsangaben: * http://wiki.ros.org/Robots/TIAGo/Tutorials/motions/cmd_vel * http://docs.ros.org/api/geometry_msgs/html/index-msg.html Software - Einzelsystem bis Verteiltes System - Wiederbenutzbarkeit von Funktionalität - Simulierbarkeit - Lizenzen - Robot Frameworks Microsoft Robotics Developer Studio, Cyberbotics Webbots, Player Project and - ROS [1] ros.org turag.de Gesellschaftlich Die Asimov’schen Gesetze lauten: https://de.wikipedia.org/wiki/Robotergesetze * Ein Roboter darf kein menschliches Wesen (wissentlich) verletzen oder durch Untätigkeit (wissentlich]) zulassen, dass einem menschlichen Wesen Schaden zugefügt wird. * Ein Roboter muss den ihm von einem Menschen gegebenen Befehlen gehorchen – es sei denn, ein solcher Befehl würde mit Regel eins kollidieren. * Ein Roboter muss seine Existenz beschützen, solange dieser Schutz nicht mit Regel eins oder zwei kollidiert. Sources: [1] https://defendtheplanet.net/wp-content/uploads/2015/03/amosero.pdf == Januar 2019 == "Boxxing gegen Doxxing" Zum Einspielen: Gar nicht so einfach #4 -> https://xyrillian.de/noises/gnse/004-color-spaces/ News: * https://www.heise.de/newsticker/meldung/Mailbox-org-kritisiert-Formfehler-bei-Datenabfragen-von-Sicherheitsbehoerden-4270258.html * https://www.heise.de/newsticker/meldung/Polizeigesetz-Brandenburg-Scharfe-Kritik-an-heimlicher-Wohnungsdurchsuchung-4270176.html * https://www.mdr.de/sachsen/politik/neues-polizeigesetz-kabinett-sachsen-100.html * https://www.heise.de/newsticker/meldung/DSGVO-Verstoesse-Frankreich-verhaengt-Millionen-Strafe-gegen-Google-4283765.html 35c3: - es war kongress, bund, farbe, yeahhhhhhh - buehne chaoszone - vorträge unter media.ccc.de * https://media.ccc.de/v/35c3-10011-hackerethik_-_eine_einfuhrung * https://media.ccc.de/v/35c3-9972-funkzellenabfrage_die_alltagliche_rasterfahndung_unserer_handydaten * https://media.ccc.de/v/35c3-9858-archaologische_studien_im_datenmull * https://media.ccc.de/v/35c3-9716-du_kannst_alles_hacken_du_darfst_dich_nur_nicht_erwischen_lassen * https://media.ccc.de/v/35c3-9486-hebocon * https://media.ccc.de/v/35c3-34-hebocon-finale Content: - Doxing - veröffentlichung von Dokumenten (https://de.wikipedia.org/wiki/Doxing - Was genau ist passiert. * „@G0D” Adventskalender, veröffentlicht Türchenweise * „Es befinden sich liberal positionierte Youtuber und Prominente darunter, bei den Parteien wurde einzig die AFD ausgespart. " https://www.mopo.de/hamburg/hackerangriff--chaos-computer-club-gibt-antworten--so-lief-der-daten-raub-ab-31827902 * neben Kopien von Ausweisen, privaten Familien-Chats, Handy-Nummern und E-Mail-Adressen, Mietverträgen etwa auch eine Tageskarte für die Berliner Erotik-Messe "Venus" * „Die Angreifer scheinen ein paar Nachlässigkeiten begangen zu haben, indem Sie die Zeitpunkte des Zugriffs in den veröffentlichten Daten hinterlassen haben, ebenso wie charakteristische Grammatikfehler oder persönliche Ansichten zu bestimmten Vertretern” * http://www.fr.de/politik/bundestag-hackerangriff-auf-hunderte-politiker-a-1648327 * https://www.mopo.de/hamburg/hackerangriff--chaos-computer-club-gibt-antworten--so-lief-der-daten-raub-ab-31827902 * https://www.rbb24.de/politik/beitrag/2019/01/hackerangriff-btleaks-belin-was-wir-wissen.html * https://www.huffingtonpost.de/entry/wieso-der-grosse-hackerangriff-auf-politiker-vielleicht-gar-keiner-war_de_5c3077b0e4b0bcb4c25bf66b * https://www.heise.de/newsticker/meldung/Politiker-und-Promi-Hack-Taeter-hat-sich-wohl-schon-2016-verraten-4271251.html * Promi-Doxxer 0rbit, Nullr0uter in Hessen festgenommen * https://www.heise.de/newsticker/meldung/Gehackte-Daten-Politiker-beklagen-schweren-Angriff-auf-die-Demokratie-4265847.html * 07.01.2019 03:00 Uhr Hausdurchsuchung * https://www.tagesschau.de/inland/datendiebstahl-durchsuchung-hackerangriff-101.html * 19-Jährigen. Jan S. werde derzeit als Zeuge im Verfahren zum Hackerangriff geführt * kennt 0rbit nur, sagt er sei es selbst nicht * https://www.zdf.de/nachrichten/heute/chaos-computer-club-angreifer-hat-viele-fehler-gemacht-durchsuchungen-in-heilbronn-nach-datenklau-100.html * Es wurden sehr viele Metadaten, Zugriffszeiten und Motivationen, Rechtschreibfehler, eigene Gedanken in diesen Daten hinterlassen", sagte CCC-Sprecher Linus Neumann * "Cyber-Abwehrzentrum plus" * https://www.tagesschau.de/inland/datendiebstahl-115.html * Staatsanwälte ermittelten schon dreimal gegen Tatverdächtigen * http://www.spiegel.de/netzwelt/web/daten-leak-staatsanwaelte-ermittelten-schon-dreimal-gegen-tatverdaechtigen-a-1247544.html * Doxing: Der Kampf um Datensicherheit wird auf unseren Computern entschieden * https://netzpolitik.org/2019/doxing-doxing-der-kampf-um-datensicherheit-wird-auf-unseren-computern-entschieden/ Bewertung danach, Reaktion der Politik, Cyber-Polizei, * https://www.independent.co.uk/life-style/gadgets-and-tech/news/collection-1-data-breach-latest-more-information-cyber-security-a8734736.html * Within a day, Brian Krebs, a cybersecurity journalist, had been in contact with one of those selling Collection #1, and learned there were seven additional collections of similar username/password combinations, with the total contents of the collections being more than 500 GB, compared to the 87 GB from Collection #1. The additional contents of these additional collections is not yet known. Doxxing vorbeugen oder gegensteuern: - Welche daten könnten weg sein? - have i been pawned (https://haveibeenpwned.com/) - Daten aus Darknet - Wie weiter bei datenverlust? - incident response management (https://de.wikipedia.org/wiki/Incident_Management) - Wie sollten gute Passwörter aussehen? - viele zeichen - passwort manager - kein passwort recycling - Absicherung der eigenen Daten! * Nicht alles zu facebook -> auch wenn es mir egal ist, kommunikation hat immer mehrere partner und dennen muß es nicht egal sein * Full disk encryption -> schon mal einen laptop liegen gelassen? Handy weg? etc. * E-Mail Passwort ist Zentrallschlüssel * Daten signieren und signaturen überprüfen - Datenschutz für fremde Daten! * DSGVO * Offline Datenschutz * Adressen auf Papier (Schreddern!) - Updates Updates Updates - Wer heute noch auto updates deaktiviert sollte sich strafbar machen == geplant für Januar 2019, aber zurückgestellt wegen Terminkonflikt == "MRT - Magnet-Resonanztomografie" Vorgeschlagen von unserem Gast Jens, der mehrere Jahre an einem MRT im Patientenkontakt gearbeitet hat. Musik Note to self: Den physikalischen Teil eher kurz fassen, kann man auch bei Wikipedia nachlesen. * physikalisches Prinzip * Längsmagnetisierung: Schichtprobe in statischem Magnetfeld -> Protonen-Spins richten sich aus, leichtes Ungleichgewicht zwischen Up- und Down-Spins aufgrund Deuteriumanteil im Wasserstoff * deuterierte Lösungsmittel erhöhen die Signalstärke * Quermagnetisierung: Hochfrequenz-Impuls lässt Spins umklappen und im Gleichschritt rotieren * pro Gewebe unterschiedliches Verhältnis der Relaxationszeiten zwischen Quer- und Längsmagnetisierung -> Messung mit RF-Antennen * Ortskodierung: Gradientenmagnetfeld variiert entlang aller Achsen -> ortsveränderliche Frequenzen * Arten der Messung * T1-Messung: schaut nur Längsmagn. an -> Wasser hell, Fett dunkel * kontrastmittel-sensitiv * T2-Messung: schaut nur Quermagn. an -> Wasser und Fett hell * mit und ohne Fettsättigung: Fettanteile können unterdrückt werden * Subtraktion von Bildern in der Nachbearbeitung (z.B. um Kontrastmittel zu sehen: Blutgefäße, Tumore, etc.) * Angiografie (Gefäßdarstellung) ohne Kontrastmittel: Anregung des Blutes in einer Schicht, dann Messung in der nächsten Schicht (denn Blut fließt in die nächste Schicht) Musik * aus Sicht des Betreibers/Patienten * starke Kühlung * Quenching in Notfallsituationen; aber manchmal gibt es auch Helium-Engpässe * Helium verdrängt Luft * Fall: aktuelle iPhones haben Timing-Chips, die durch Helium verstopfen und aussetzen -> super Helium-Leck-Detektor * Fall: Quench-Rohr von einem nistenden Vogel blockiert * starke Magnetfelder * bitte nicht mit Kreditkarten, Herzschrittmachern, Schlüssel, Taschenmessern * Büroklammern reinwerfen: pendeln entlang der Röhrenachse * Wirbelströme bremsen Aluminium-Objekte * laute Geräusche * nicht durch bewegliche Teile * Spulen vibrieren durch die stark veränderlichen Magnetfelder, trotz Kunstharz-Einschluss * Hochspannung * TODO: Wieviel? Musik == November 2018 == "Auf der Himbeere Arbeiten" News: * IBM kauft Red Hat: https://www.redhat.com/en/blog/red-hat-ibm-creating-leading-hybrid-cloud-provider * Microsoft war gestern kurzzeitig die wertvollste Firma der Welt: https://markets.businessinsider.com/news/stocks/microsoft-dethrones-apple-as-the-most-valuable-us-company-2018-11-1027756092 * apropos Microsoft: 3000 Steam games (incl. Windows-only titles) reported as working on Linux https://www.protondb.com/ * Hintergrund: Steam für Linux enthält jetzt Wine plus Direct-X-11/12-Implementationen auf Vulkan-Basis https://arstechnica.com/gaming/2018/08/valves-steam-play-uses-vulkan-to-bring-more-windows-games-to-linux/ * apropos "Microsoft acquires Github": sr.ht, the hacker's forge, now open for public beta https://drewdevault.com/2018/11/15/sr.ht-general-availability.html * Facebook-Exodus: 44% der jungen Facebook-Nutzer haben die App gelöscht https://www.cnbc.com/2018/09/05/facebook-exodus-44-percent-of-americans-age-18-29-have-deleted-app.html * apropos Social Media: erste DSGVO-Strafe verhängt gegen Knuddels.de https://www.netzwoche.ch/news/2018-11-27/erste-dsgvo-strafe-in-deutschland-verhaengt * https://www.heise.de/security/meldung/Instagram-DSGVO-Tool-verraet-Nutzerpasswoerter-im-Klartext-4224308.html * Wissenschafts-News: * NASA-Sonde auf Mars gelandet https://www.heise.de/newsticker/meldung/NASA-Sonde-gelandet-InSight-schickt-erstes-Foto-vom-Mars-4233093.html * Wendelstein 7-X erzielt bei Testlauf neue Rekorde in Plasmadichte und Energieinhalt: https://www.ipp.mpg.de/de/aktuelles/presse/pi/2018/11_18 Ich höre jetzt einfach mal auf, Nachrichten zu sammeln. Das ist schon genug für ne halbe Stunde, und wir wollen ja auch noch ein Thema machen. :) ---- https://www.c3d2.de/news/pentaradio24-20130122.html pentaradio24: Raspberry PI -> Astro @ Montag, 21. Januar 2013 um 15:23 Uhr ===Raspberry Pi Geschichte und Modelle=== https://de.wikipedia.org/wiki/Raspberry_Pi Raspberry Pi Foundation: - Die ist eine (wohltätige) Stiftung, ihr gehört Raspberry Pi Trading (Spaltung 2013) - gegründet 5. Mai 2009 - Ziel: das Studium der Informatik und verwandter Themen zu fördern, besonders an Schulen. - The Foundation is supported by the University of Cambridge Computer Laboratory and Broadcom 2006 angefangen mit der Entwicklung "Cambridge’s Computer Laboratory" Prototyp mit einem Atmel-ATmega644-Mikrocontroller https://www.zdnet.com/pictures/photos-of-the-raspberry-pi-through-the-ages-from-the-prototype-to-pi-3/ The board uses an Atmel ATmega644 microcontroller clocked at 22.1MHz, and a 512K SRAM. Nineteen of the Atmel's 32 general-purpose input/output pin lines are used to drive the SRAM address bus. The board could output a 320×240 resolution image to a display. 2008 kam der BBC micro game Elite Entwickler David Braben dazu - kam Anfang 2012 auf den Markt - Produktion von China nach Wales, in eine Fabrik des Unternehmens Sony - Am 14. Mai 2013 kam ein Kameramodul für den Raspberry Pi in den Handel - 9. Juni 2014 lieferbar[32] ist das Raspberry Pi Compute Module (Pi im DDR2-SODIMM) - Am 14. Juli 2014 wurde das Modell B+ (Anzahl der GPIO- und der USB-Ports erhöht, die Leistungsaufnahme verringert und die Audioausgabe verbessert) - 10. November 2014 wurde das Modell A+ - 2. Februar 2015 wurde der Raspberry Pi 2 Model B (1 GB Arbeitsspeicher und einen Vierkernprozessor vom Typ Broadcom BCM2836 auf ARM-Cortex-A7-Basis mit einer Taktfrequenz von bis zu 900 MHz) - 26. November 2015 wurde der Raspberry Pi Zero (wi A+ nur schmal, mini HDMI, mikro usb - Raspberry Pi 3A+ - Bis Ende 2017 wurden mehr als 17 Millionen Geräte verkauft ===Raspberry Pi Randwissen=== HATs (HAT: Hardware attached on top) kein SATA Raspberry Pi USB 2.0 > mSATA Konverter Board kein ADC? läuft auch bei 3.5V Das „Pi“ steht für „Python interpreter“ Pi-Day 3.14 the UK's best-selling PC of all time. Extrem stromsparend Raspberry Pi 4 mit Google AI > https://www.bbc.com/news/technology-38742762 artificial intelligence and machine learning Made in UK <> Made in PRC 14 million sold, 10 million in UK https://www.raspberrypi.org/forums/viewtopic.php?f=63&t=75996 https://www.zdnet.com/article/14-million-raspberry-pis-sold-10-million-made-in-the-uk/ Raspberry Pi B+ kann Netboot ohne SD-Karte Commodore 64 Units Sold: About 17 Million had a 1MHz CPU and two big draws: a powerful, programmable sound chip and powerful graphics for a 1982 computer. Even better, the Commodore 64 cost a reasonable $595 and had 64KB of RAM (hence the name). And the Commodore 64 could be plugged into a TV, making it a hybrid computer/video game console. Commodore Amiga 500 Units Sold: About 6 Million NEC PC-98xx series: etwa 15 Millionen Raspberry Pi Bootprocess https://raspberrypi.stackexchange.com/questions/10442/what-is-the-boot-sequence ===Raspberry Pi Shields=== PoE StromPi Motortreiberboards Gertboard - Gert van Loo - an IO expansion board Raspberry Pi to Arduino Shields Connection Bridge SX1272 LoRa Shield for Raspberry Pi - 868 MHz 4G + GPS Shield for Raspberry Pi – LE910 - (4G / 3G / GPRS / GSM / GPS / LTE / WCDMA / HSPA+) RFID 13,56 Mhz shield for Raspberry Pi CAN Bus Shield for Raspberry Pi RS232 / RS-485 / Modbus Shield for Raspberry Pi Radiation shield for Raspberry Pi + Geiger Tube HVAC IR Remote Shield for Raspberry Pi WiFi shield for Raspberry Pi HiFiBerry AMP2 Verstärker Raspberry Pi TV HAT (uHAT) Modul für DVB-T2 Pi-Top Lautsprecher (Speaker) MEGA-IO 8-fach Relais Karte PiXtend ePLC Basic V2 8 x 8 LED Matrix Modul Soundkarten ===Raspberry-Pi Betriebssysteme=== ArchLinux CentOS Fedora Workstation Raspbian Stretch FreeBSD NetBSD OpenSUSE Q4OS RaspAND Sparky Linux Ubuntu Mate SliTAZ DietPi Funtoo LibreELEC Sabayon Base OpenELEC OSMC Volumino Max2Play PiMusicbox OpenMediaVault Ubos ZeroShell OpenWRT YunoHost IPFire AlpineLinux KaliLinux ParrotSecurity Hypriot RetroPie Lakka PiPlay IchigoJam Basic Ppi Kano OS Windows 10 IoT Core openHAB Rasplex Tizen OctoPi RiscOS Open MagicMirror 2 Raspberry Slideshow ===Raspberry Anwendungen=== * Heimserver (openHAB) * Adblocker * Webserver * Sensordaten * Anlagensteuerung * IOT === eigene Projekte === * Netzwerk eingangspunkt * Torserver * Heizungssteuerung * Küchenradio == Oktober 2018 == zum Einspielen: Gar nicht so einfach #3 -> https://xyrillian.de/dl/gnse-003-power-network-frequency.flac (Laufzeit 00:07:34) "Vermischtes" "Chaosausblick, Code, Steuern, Whois DSGVO" Gerade laeuft die Privacy week in Wien - noch bis Sonntag im Naturkundemuseum https://privacyweek.at/ Letzte Kongresse nächstes Jahr Camp ChaosZone https://hackmd.c3d2.de/ChaosZone35C3 https://c3d2.de/news/35c3-chaos-zone.html https://chaoszone.cz http://www.spiegel.de/panorama/gesellschaft/halle-mann-stirbt-bei-explosion-von-fahrkartenautomat-a-1234310.html https://www.t-online.de/nachrichten/panorama/kriminalitaet/id_84656650/halle-an-der-saale-fahrkartenautomat-explodiert-mit-todesfall.html Linus zieht sich zurück? https://www.pro-linux.de/news/1/26306/linus-torvalds-nimmt-auszeit-vom-kernel.html -> irgendwelche Treffen kollidierten mit FamilienUrlaub, deswegen kurze Auszeit und komischerweise neueEigenbaukombinatr Code of Conduct 20.09.2018 GitLab streicht 100 Millionen US-Dollar Risikokapital ein https://www.heise.de/developer/meldung/GitLab-streicht-100-Millionen-US-Dollar-Risikokapital-ein-4168549.html - 145 Millionen US-Dollar an Fördermitteln. Sie mögen beim für November 2020 geplanten Börsengang - Wert des Unternehmens jedoch auf 1,1 Milliarden US-Dollar geschätzt. Github Gruenes Licht fuer Uebernahme https://windowsunited.de/eu-gibt-gruenes-licht-microsoft-darf-github-uebernehmen/ Endlich der DOS sourcecode mit freier lizenz https://www.golem.de/news/microsoft-quellcode-von-ms-dos-frei-auf-github-verfuegbar-1810-136872.html lesen konnte man ihn schon https://www.golem.de/news/ms-dos-und-word-for-windows-microsoft-gibt-source-code-frei-1403-105372.html https://status.github.com/messages -> Massive Probleme mit Speichersystem Gists sind verloren gegangen usw --------------------- Schweizer Steuer-App speicherte alle Daten öffentlich in der Cloud https://www.heise.de/newsticker/meldung/Schweizer-Steuer-App-speicherte-alle-Daten-oeffentlich-in-der-Cloud-4167240.html Apple- Tim Cook mag die DSGVO https://www.heise.de/mac-and-i/meldung/Apple-Boss-in-Deutschland-Grosser-Fan-der-Datenschutzgrundverordnung-4197911.html DSGVO-Verstoß: Krankenhaus in Portugal soll 400.000 Euro zahlen https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-Krankenhaus-in-Portugal-soll-400-000-Euro-zahlen-4198972.html - Großteil davon ist die Strafe dafür, dass viel zu viele Personen Zugriff auf Patientendaten hatten - Für einen anderen Verstoß wurden 100.000 Euro Strafe verhängt - zuviele Nutzer mit dem Profil "Techniker" - 985 aktive Benutzer mit einem Profil "Arzt" -> lediglich 296 Ärzte eingeteilt DSGVO Keine Namen mehr auf Klingeln in Wien https://www.heise.de/newsticker/meldung/Anonymer-Wohnen-mit-DSGVO-Wiener-Mieter-kriegen-Klingelschilder-ohne-Namen-4190060.html DSGVO: ICANN debattiert zentrales Whois und schon den Zugriff darauf https://www.heise.de/newsticker/meldung/DSGVO-ICANN-debattiert-zentrales-Whois-und-schon-den-Zugriff-darauf-4198916.html Internet Corporation fohttps://www.heise.de/mac-and-i/meldung/Apple-Boss-in-Deutschland-Grosser-Fan-der-Datehttps://www.heise.de/mac-and-i/meldung/Apple-Boss-in-Deutschland-Grosser-Fan-der-Datenschutzgrundverordnung-4197911.htmlnschutzgrundverordnung-4197911.htmlrhttps://www.heise.de/mac-and-i/meldung/Apple-Boss-in-Deutschland-Grosser-Fan-der-Datenschutzgrundverordnung-4197911.html Assigned Names and Numbers gerade kein richtigen Zugriff auf Whois-Daten Schwierigkeiten bei der Strafverfolgung Gefahr wegen Abmahnindustrie Vodafone-Kunden in Leipzig in den Genuss von Verbindungen von bis zu 1000 Megabit pro Sekunde im Download https://www.heise.de/newsticker/meldung/Highspeed-Internet-fuer-Sachsen-Gigabit-Anschluesse-fuer-600-000-Haushalte-4200422.html Leipzig 280.000 Haushalte für diese Geschwindigkeit freigeschaltet. Bis Ende 2019 sollen es sachsenweit mehr als 600.000 sein vor allem in den drei Großstädten und in Görlitz Gegenzug habe Sachsen zugesagt, die Mobilfunknetzbetreiber durch Bereitstellung geeigneter BOS (Behördenfunk)-Standorte Für Weltoffenheit, gegen Pegida: Mehr als 10.000 Bürger demonstrieren in Dresden https://www.mdr.de/sachsen/dresden/dresden-radebeul/ticker-dresden-pegida-jahrestag-gegendemos-100.html waren 560 Beamte am Sonntag im Einsatz Überwiegend störungsfreie Demos Gastwirte Sauer weil weniger Verkauf Die Forschungsgruppe Durchgezählt aus Sachsen schätzt, dass zwischen 3.200 bis 4.100 Menschen bei Pegida demonstriert haben. Auf der Gegenseite haben die Forscher per Flächenschätzung etwa 5.200 bis 6.300 Demonstranten festgestellt. Auffällig unauffällig: Das Tor-Netzwerk – Interview mit Jens Kubieziel https://netzpolitik.org/2018/auffaellig-unauffaellig-das-tor-netzwerk-interview-mit-jens-kubieziel/ Brasilien vor der Wahl: Desinformation und Gerüchte millionenfach über WhatsApp verbreitet https://netzpolitik.org/2018/brasilien-vor-der-wahl-desinformation-und-geruechte-millionenfach-ueber-whatsapp-verbreitet/ -werden millionenfach WhatsApp-Nachrichten mit Verschwörungstheorien über Fernando Haddad und seine Arbeiterpartei PT an brasilianische Wähler - mehrere hunderttausend Chat-Gruppen -auch in Bildern (Memes) Forderungen der Forscher: Weiterleitungen von Nachrichten einschränken, Sammelnachrichten beschränken, Die Größe von neuen Gruppen beschränken Facebook im Bundestag: Mehr als 300.000 deutsche Nutzer unter erbeuteten Profilen bei Daten-Leck https://netzpolitik.org/2018/facebook-im-bundestag-hunderttausende-deutsche-nutzer-unter-erbeuteten-profilen-bei-daten-leck/ führt zu : https://netzpolitik.org/2018/facebook-datenleck-drei-fehler-30-millionen-erbeutete-profile/ Laut Facebook soll eine Kombination aus drei voneinander unabhängigen Software-Fehlern zu der Sicherheitslücke geführt haben. Eine wesentliche Rolle spielte dabei die Funktion „Anzeigen aus der Sicht von…“, die den Zugriff auf sogenannte Access Tokens von Profilen ermöglichte. Solche Access Tokens funktionieren praktisch wie Passwörter und ermöglichen die Übernahme der entsprechenden Profile. Die Funktion „Anzeigen aus der Sicht von…“ wurde nun sicherheitshalber deaktiviert. Für Deutschland 173.229 Nutzer*innen seien Namen und Kontaktinformationen inklusive Handynummern und E-Mail-Adresse Bei 142.721 anderen wurden weitere hochsensible Daten erbeutet. Welche das sind, weiß man aus früheren Angaben von Facebook: Geschlecht, Sprache, Beziehungsstatus, Religion, Herkunftsstadt, Wohnort, Geburtsdatum, Bildung und Arbeitsplatz, außerdem eine Liste der Seiten, denen die Personen folgen, und ihre fünfzehn letzten Suchanfragen auf der Plattform. Fake review factories that run on Facebook and post five-star Amazon reviews https://www.theguardian.com/money/2018/oct/20/facebook-fake-amazon-review-factories-uncovered-which-investigation Britisches Python-Paket klaut Bitcoin https://www.golem.de/news/pypi-malware-britisches-python-paket-klaut-bitcoin-1810-137260.html colourama in PyPi zu finden, eine Abwandlung eines bekannten Pakets namens colorama. -> macht Terminalausgaben unter Windows bunt :| Termine: https://c3d2.de/calendar.html === News === * AMD funtionierender 7nm Prozess im Labor * https://www.fudzilla.com/news/graphics/47435-amd-has-7nm-navi-gpu-up-and-running-in-its-lab * Intel soll 10-nm-Node eingestampft haben * https://www.golem.de/news/fertigungsprozess-intel-soll-10-nm-node-eingestampft-haben-1810-137250.html * Dementi * https://twitter.com/intelnews/status/1054397715071651841 * Soyus Fehlstart * Eine der meist geflogenen Raketen * Rettung per Rettungsrakete * Einziger bemannter Zugang zum All derzeit nicht verfuegbar * koennte Mission von Alexander Gerst verlaengern * verringerte Besatzung auch der ISS * Messwerte und Statistik * Aktuelles Beispiel Stickoxide * Am Auto * In der Stadt * Messorte bzw. -bedingungen sollten representativ gewaehlt sein * Ist das der Fall sollte eine geringfuegige Aenderung dieser wenig Aenderung im Ergebnis bewirken * Ist das der Fall sind kleinraeumige Fahrverbote nicht representativ und daher nicht zielfuehrend == September 2018 == Ich mache gern per call-in mit, wenn das funktiooniert, mal kurz für 10 minuten, wir haben heute abend congressmeeting @ c-base, aber da kann ichEigenbaukombinat kurz weggehen. Nur falls ihr dazu lust habt. dank und grusz, ajuvo 0163 63 61 555 "Datenspuren - Hinter den Kulissen". * zum Einspielen: "Gar nicht so einfach #2" -> https://xyrillian.de/dl/gnse-002-time.flac * Es waren Datenspuren Interessante Dinge&Talks: Talks Politik Kontrollinstanzen Nachrichtendienste DEMOCRACY Coding & Hacking Spieleentwicklung in Haskell Freeing the Binary Format of the reMarkable e-ink Tablet Unterhaltung Pentanews Gameshow Hebocon Finale u.a. Workshops Wie surfe ich sicher im Internet? Arduino: 8 Beine für ein kleines Halleluja Crimpworkshop GNUnet Work­shop u.a. Kunst SSID Sniffer Tetris (Kazoosh) Lion Hofmann (Motorad im Hof) Spiegelbild (drehende Scheibe mit LEDs) Sebastian Hempel Lion Hoffmann Grische Lichtenberger Fabien Zocco Bauhaus Fm (inkl. Anlage i.V.) Kazoosh Bilder Kerstin Karsten u.a. Zentralwerk Fabmobil Hebocon Baozi Statistiken: ~X Besucher aus ganz Deutschland ~18+1 gestreamte und aufgenommenen Vorträge (https://datenspuren.de/2018/mitschnitte.html) ~>= 8 Workshops ~250m Nähgarn vernäht ~200 Unique MAC Adresses ~15KG Kartoffeln für Pufferoverflow ~100L Mate -> 0.5 KG Koffein zum Vergleich Koffein pro 100 ml * Club Mate 20,0 mg * Kaffee 80,0 mg * Coca Cola 10,0 mg * Schwarzer Tee 35,0 mg ~641 Baozi gesamt, davon: 184 Hirtentäschelkraut 256 Gemüse Minis (2x128) 179 Schwarzer Sesam 102 Azuki Bohne 48 Taro Behind the scences: ORGA Treffen allgemein Poeple behind the scences Pentaradio hörer helft nach aufruf intensiv bei DS Danke an alle Entschuldigung für Chaos (?! Molton !?) Corporate Identity T-Shirt Auswahl und Bestellprozess Plakate drucken und beantragen, auf- und abhängen Flyer (1x CFP, 1x Final) Speaker organisieren Bestellung Hardware Hebocon (aliexpress, yeah) Catering - Chinesisch und Indisch (vegan, vegetatrisch etc) Versicherung Antrag Kunst und Kulturstiftung VOC VOC erklären SD Karte mit Urlaubsfotos defektes HDMI Kabel Danke VOC Ausblick: Next CCC Event FIFFCon (httpis://2018.fiffkon.de/) Upcomming Congress 35c3 Camp 2019 nächste Datenspuren === News === "Clear all cookies" löscht ab Chrome 69 die Google-Cookies nicht mehr. == August 2018 == * zum Einspielen: "Gar nicht so einfach #1" -> https://garnichtsoeinfach-podcast.de * Simon ist gerade in Liverpool geht danach zum EMF: at Eastnor Castle Deer Park, Ledbury. * Pufferoverflow: Sonntag, 5. August 2018 um 19:30 Uhr * Hebocon vorbasteln: https://media.c3d2.de/u/honky/collection/2018-08-05/ === News === * Bomben und andere Waffen durch WiFi erkennen: https://gizmodo.com/a-group-of-engineers-say-theyve-created-a-way-to-detect-1828361739 * Let's Encrypt Root trusted by all major Root Programs: https://letsencrypt.org/2018/08/06/trusted-by-all-major-root-programs.html ## Browser/Internet * Firefox mag Symatec Certs nicht mehr: Wer nutzt das? bahn.de https://www.heise.de/security/meldung/Transportverschluesselung-Firefox-misstraut-TLS-Zertifikaten-von-Symantec-4146077.html * Demo gegen Uploadfilter: https://www.heise.de/newsticker/meldung/EU-Urheberrechtsreform-Rund-200-Buerger-demonstrieren-gegen-Upload-Filter-4145948.html * Twitter macht API für Drittclients kaputt. Mastodon explodiert. ## Sprachen * Java wird endlich kostenpflichtig: https://www.heise.de/developer/artikel/Wird-Java-jetzt-kostenpflichtig-4144533.html * Go kompiliert zu WebAssembly: https://www.heise.de/developer/meldung/Programmiersprache-Go-1-11-laesst-sich-nach-WebAssembly-kompilieren-4145941.html ## Boulevard * Melania mahnt mehr Anstand im Netz an: https://www.heise.de/newsticker/meldung/Trump-beleidigt-Gegner-auf-Twitter-First-Lady-fordert-mehr-Anstand-im-Netz-4142349.html * Twitter sperrte Parodie der Polizei Sachsen für mehrere Stunden wegen "der vermeintlich im Namen der Polizei rechtliche Schritte gegen Schmähungen ihres Mitarbeiters in den Raum stellte" https://netzpolitik.org/2018/twitter-sperrte-parodie-der-polizei-sachsen-fuer-mehrere-stunden/ * Twitter geht gegen "Streaming Apps" vor http://apps-of-a-feather.com/ (und dreht damit third party Apps quasi ab) 15 Nutzer sind frei, Pricing for Premium access is $2,899 per month for 250 users. (was 12$ wären pro Nutzer) * Merkel beruft "Digitalrat" https://www.heise.de/newsticker/meldung/Digitalisierung-Merkel-beruft-Digitalrat-4141214.html https://netzpolitik.org/2018/digitalrat-diese-zehn-sollen-merkels-verkorkste-netzpolitik-retten/ zwei Mal im Jahr tagende Gremium 10 Leute, fehlende Zivilgesellschaft * Firefox entfernt RSS Reader: https://www.heise.de/newsticker/meldung/Mozilla-entfernt-RSS-Reader-aus-Firefox-4121155.html * Meanwhile in a different part of the Planet: China überwacht Minderheiten mit Dronen https://netzpolitik.org/2018/chinesische-regierung-weitet-ueberwachung-von-religioesen-minderheiten-aus/ * Japan fügt millionen neuer Nextcloud Instanzen hinzu : https://nextcloud.com/blog/japan-to-add-millions-of-new-nodes-to-federated-nextcloud-network/ * NEC Platforms, Ltd. and Waffle Computer, Ltd., * weltweit estimated 25 Millionen Nutzer die Daten mit anderen Servern teilen können * Nextcloud 14 ist angekündigt und bringt Federation 2.0 * Testla Firmware entwickler mit auslaufendem NDA: https://twitter.com/atomicthumbs/status/1032939617404645376 - alles in einem Datencenter, wenig Redundanz - komischer umgang mit den Mitarbeitern ## Science * Mars Rover versandet: https://www.heise.de/newsticker/meldung/Verstummt-fuer-immer-Mars-Rover-Opportunity-nach-Staubsturm-still-4145874.html * ## Law and Order * immer wieder Staatstrojaner: https://www.heise.de/newsticker/meldung/Staatstrojaner-Anwaelte-und-Journalisten-ziehen-vors-Bundesverfassungsgericht-4144936.html * Zwiebelfreunde: Hausdurchsuchungen bei Datenschutz-Aktivisten rechtswidrig https://www.heise.de/newsticker/meldung/Zwiebelfreunde-Hausdurchsuchungen-bei-Datenschutz-Aktivisten-rechtswidrig-4144826.html * Reality Winner verurteilt: https://www.heise.de/newsticker/meldung/NSA-Whistleblowerin-Reality-Winner-verurteilt-4144653.html * Störerhaftung immer noch unklar: https://www.heise.de/newsticker/meldung/BGH-urteilt-zur-Haftung-fuer-offene-WLAN-Hotspots-4120784.html * DSGVO: Keine Abmahnwelle aber mehr Selbstanzeigen bei Datenverlußt: https://netzpolitik.org/2018/meldepflicht-bei-datenschutzpannen-deutlich-gestiegene-zahlen/ * Killerdrohnen kann man bald aus dem Flugzeug sehen: https://netzpolitik.org/2018/automatisches-ausweichen-militaerische-drohnen-sollen-bald-neben-zivilen-flugzeugen-fliegen/ ## Sicherheitslücken * Windows local root: https://www.heise.de/security/meldung/Zero-Day-Luecke-in-Windows-Microsoft-Statement-steht-noch-aus-4147028.html * Foreshadow:https://www.heise.de/security/meldung/Spectre-NG-Foreshadow-gefaehrdet-Intel-Prozessoren-4137209.html * SegmentSmack/FragmentSmack: https://www.heise.de/security/meldung/Jetzt-patchen-Linux-Kernel-anfaellig-fuer-Denial-of-Service-Angriffe-4130697.html * Intels neue CPUs nur gegen Meltdown+L1TF geschützt: https://www.heise.de/newsticker/meldung/Intel-erklaert-Hardware-Schutz-gegen-Spectre-Meltdown-Luecken-4144368.html * nach 19 Jahren OpenSSH Lücke zum Nutzer raten: https://www.heise.de/security/meldung/Updates-schliessen-19-Jahre-alte-Sicherheitsluecke-in-Remote-Tool-OpenSSH-4144267.html * Postscript: https://www.heise.de/security/meldung/Bislang-kein-Patch-Gefaehrliche-Sicherheitsluecken-im-PDF-Postscript-Interpreter-Ghostscript-4143153.html * Pwnie-Awards: John McAfee erhält Hacker-Oscar https://www.heise.de/security/meldung/Pwnie-Awards-John-McAfee-erhaelt-Hacker-Oscar-4132321.html * Android AT-Commands: https://www.heise.de/security/meldung/Android-Smartphones-durch-AT-Modembefehle-aus-den-80ern-angreifbar-4147013.html ## MSFT * Windows 7 noch immer weiter verbreitet als Windows 10: https://data.firefox.com/dashboard/hardware * Ungepatchte Lücke in Win 10 https://www.heise.de/security/meldung/Zero-Day-Luecke-in-Windows-Microsoft-Statement-steht-noch-aus-4147028.html === Datenspuren === 22-23. September im Zentralwerk gleichzeitig Regiotreffen zwei Sääle, Workshops, Fabmobil im Hof, erstmalig Kunst mit unterstützung der Kulturstiftung Einblick ins Frabs: Arduino: 8 Beine für ein kleines Halleluja Attiny85 Einsteiger Kurs für 10 Leute by honky Hebocon Finale Zwei Roboter, ein Tisch - Fight! by honky Pentalöten bis was bilnkt PentaBlink bis PentaStump es wird gelötet by honky Hebocon? Zwei Roboter, ein Tisch - Fight! by honky Spieleentwicklung in Haskell oder: Wie verbringt man die Zeit, die man auf den Compiler wartet. by nek0 live coding music Use SonicPi to make your crowd dance! by hejn Wie surfe ich sicher im Internet? ein Demo-Workshop by nek0 Hausvernetzung Mehr als 1 Wohnung mit mehr als 1 LAN/WLAN by Astro Intertech live coded music and visuals by hejn Wie man in 69 Jahren einen Überwachungsstaat aufbaut by Lennart Mühlenmeier NAT Gateways for the Masses by Simon Hanisch Augmented Reality in der Gesellschaft: Möglicher Nutzen und Gefahren by preip Irgendwas mit Blockhain Auf Wunsch von honky by vv01f Verfassungsschutz und was er* uns wissen lassen will Ein tiefer Blick in die Verfassungsschutzberichte 2017, im Vergleich. by Projekt Seehilfe WPIA - ein Trust Service Provider Das Audit kommt - was tun? by Reinhard Mutz Autonomes Fahren eine Technikfolgenabschätzung by Johannes Ritz Der Weg zur eigenen GnuPG Smartcard by Volker Freeing the Binary Format of the reMarkable e-ink Tablet by ax3l DEMOCRACY Vom Weg, alle BundesbürgerInnen zu Bundestagsabegordneten zu machen by visionmakery, Ulf Gebhardt netphil-dummy Ein Beitrag der Dresdner Technikphilosophie by ajuvo Irgendwas cooles by Martin Christian Dämonenhonig Das ist nur zu Ihrer Sicherheit by Sebastian Huncke Pentanews Gameshow Penta News Game Show by klobs Level Up your Monitoring ein monitoring-techtree walkthrough by André Niemann Lightningtalks 5 Minuten für Deine Ideen by bigalex Program verification with SPARK When your code must not fail by JK == Juli 2018 == I � Unicode "insert topic here" Unicode ?! -> Mojibake! ooder I � Unicode :) Vorstellung ===News: === * Datenspuren rücken näher -> CFP So 29. Juli 2018 https://frab.cccv.de/en/DS2018/cfp * die neue Datenschleuder ist da! (20.Juli.2018) * Hausdurchsuchungen im Chaosumfeld (Zwiebelfreunde) https://www.ccc.de/de/updates/2018/unrechtmaige-hausdurchsuchung-polizei-reitet-erneut-beim-chaos-computer-club-ein https://logbuch-netzpolitik.de/lnp260-eine-hausdurchsuchung-kommt-selten-allein * Arbeitseinsatz im Zentralwerk am 28. * 30K fuer heisse Luft erfolgreich * Fast 40k erreicht * weiterer Plan? * Dank an alle Spender * Upload Filter https://www.heise.de/tp/features/Ein-trauriger-Tag-fuer-das-Internet-und-Europa-4087651.html * Google Rant * Öffi app wird bei google ausgeworfen (jetzt exklusiv bei F-Droid) - google monopol problem * https://www.heise.de/newsticker/meldung/Google-entfernt-Nahverkehrs-App-Oeffi-aus-dem-Play-Store-4104626.html * https://www.heise.de/newsticker/meldung/4-3-Milliarden-Euro-EU-Kommission-verhaengt-Rekordstrafe-gegen-Google-4113754.html Außerdem untersagt es Google den Herstellern, Geräte mit Android zu verkaufen, wenn sie gleichzeitig auch Modelle mit abgewandelten Versionen des Betriebssystems im Angebot haben. * https://de.statista.com/infografik/10029/strafen-fuer-wettbewerbsverstoesse-in-der-eu/ https://bitwarden.com/ https://www.mail-archive.com/python-committers@python.org/msg05628.html Optional // https://www.theregister.co.uk/2018/07/03/stork_mobile_theft/ // Macmoon http://www.worldofindie.co.uk/?p=682 // PeerTube! "Nach der Musik geht es weiter mit..." Morse-Code vom Wort "Unicode" Musik === Encoding Geschichte === Morse Code https://de.wikipedia.org/wiki/Morsezeichen -> auch mal vorspielen und erklären -> konstantes Signal ein- und ausgeschaltet -> Ton Funk, Mechanisch oder Licht Samuel Morse 1833 Der verwendete Code umfasste damals nur die zehn Ziffern; die übertragenen Zahlen mussten mit Hilfe einer Tabelle in Buchstaben und Wörter übersetzt werden. Alfred Lewis Vail, ein Mitarbeiter Morses, entwickelte ab 1838 den ersten Code, der auch Buchstaben umfasste. Er bestand aus Zeichen von drei verschiedenen Längen und unterschiedlich langen Pausen. Ein Seenotruf wurde erstmals 1909 über Funk gemorst. ... --- ... Bis 2003 vorgeschrieben für Amateurfunk für unter 30MHZ heute noch für Funkfeuer und UNESCO KulturErbe ----- Soundfile morse_A abspielen ---- A · − binary - Wie werden Zahlen am Computer dargestellt? A chr(65) 01000001 ASCII https://de.wikipedia.org/wiki/American_Standard_Code_for_Information_Interchange ANSI https://de.wikipedia.org/wiki/ANSI-Zeichencode Windows Codeseite 1252 auf einem ANSI-Entwurf beruhte, der später weitgehend zum ISO Standard 8859-1 wurde windows1252 -> word files Unicode (Wikipedia) https://de.wikipedia.org/wiki/Unicode UTF-8 (Wikipedia) https://de.wikipedia.org/wiki/UTF-8 vorher UCS-2, UTF-16, UTF-32 Musik Technical Reports/Annexes https://www.unicode.org/reports/index.html * Normalisierung * Textsegmentierung (Wörter, Zeilen, Absätze) * Collation (Textsortierung) Herausforderungen beim Rendering * bidirektionales Textlayout * Ligaturen, Glyphenwahl * Graphem-Cluster * Font-Auswahl * Emoji: https://unicode.org/emoji/proposals.html List of Unicode characters (Wikipedia) https://en.wikipedia.org/wiki/List_of_Unicode_characters Search for character(s) in Unicode 10.0.0 https://unicode-search.net/ === Sicherheitslücken und Bugs auf Grund von Textencoding === Apple Shutdown wenn xy in Nachricht effective. Power لُلُصّبُلُلصّبُررً ॣ ॣh ॣ ॣ 冗 WhatsApp -> Schwarzer Punkt -> https://bgr.com/2018/05/07/whatsapp-emoji-crashes-app-android-fix/ Mojibake (文字化け; IPA: [mod͡ʑibake]) is the garbled text that is the result of text being decoded using an unintended character encoding.[1] The result is a systematic replacement of symbols with completely unrelated ones, often from a different writing system. Rechts nach Links Unicode 202e big list of naughty strings: https://github.com/minimaxir/big-list-of-naughty-strings https://gojko.net/2017/11/07/five-things-about-unicode.html relevant XKCD https://xkcd.com/1137/ https://www.joelonsoftware.com/2003/10/08/the-absolute-minimum-every-software-developer-absolutely-positively-must-know-about-unicode-and-character-sets-no-excuses/ 0000 0000 as end of text mysql utf8 types utf8mb4 (four bytes) Musik == Juni 2018 == "Cloud Computing" Vorstellung ===News und Nachtrag === * Auch mit DSGVO noch nicht alle gestorben * Aussagen zu Fotos in der letzten Sendung etwas zu generell * Kunsturhebergesetz von WTF 1907 nicht wirklich anwendbar * Aussage nicht wirklich sicher möglich - Praxis muss das zeigen * Weitere Folge Rechtsbelehrung: https://rechtsbelehrung.com/dsgvo-einschraenkungen-fuer-fotografen-rechtsbelehrung-folge-56-jura-podcast/ * Bundestrojaner wurde freigegeben https://netzpolitik.org/2018/geheime-dokumente-das-bundeskriminalamt-kann-jetzt-drei-staatstrojaner-einsetzen/ * Microsoft kauft github 7.5 Mrd $ * Blender und MIT Open Courseware von Youtube verbannt * LazyFPU http://blog.cyberus-technology.de/posts/2018-06-06-intel-lazyfp-vulnerability.html * 30k für Heiße Luft: https://www.startnext.com/30000-fuer-heisseluft * Der Rechtsausschuss des EU-Parlaments entschied sich am Mittwoch für die Einführung von Uploadfiltern und Leistungsschutzrecht. https://netzpolitik.org/2018/netzpolitischer-wochenrueckblick-kw-25-uploadfilter-und-ueberwachungsausbau/ https://netzpolitik.org/2018/schlag-gegen-die-netzfreiheit-eu-abgeordnete-treffen-vorentscheid-fuer-uploadfilter-und-leistungsschutzrecht/ * R.I.P. Netzneutralität https://netzpolitik.org/2018/netzneutralitaet-usa-verabschieden-sich-vom-offenen-internet/ * Massenüberwachung am DE-CIX rechtswidrig?: Nein https://netzpolitik.org/2018/bnd-vor-dem-bundesverwaltungsgericht-massenueberwachung-am-de-cix-rechtswidrig/ * Bestandsdatenauskunft 2017: Behörden haben alle zweieinhalb Sekunden abgefragt, wem eine Telefonnummer gehört https://netzpolitik.org/2018/bestandsdatenauskunft-2017-behoerden-haben-alle-zweieinhalb-sekunden-abgefragt-wem-eine-telefonnummer-gehoert/ * Barley fordert Offenlegung der Schnittstellen von Messengern Musik ===Cloud Computing === * The NIST definition of cloud computing: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf mit fünf Grundanforderungen * on-demand self-service: Nutzer kann selber Ressourcen klicken, ohne Support-Mitarbeiter zu involvieren * broad network access: kein anbieterspezifischer Client erforderlich, erstmal alle Ports offen * resource pooling: Ressourcen werden unter mehreren/allen Kunden nach Bedarf aufgeteilt * rapid elasticity: Ressourcen können kurzfristig zugeteilt und zurückgegeben werden * measured service: leider zu vage für eine Kurzzusammenfassung :-) ==== Aspekte ==== * IaaS - Infrastructure as a Service * Compute (Hetzner) * Network (Akamai, Cloudflare) * Storage (Backblaze) * alles aus einer Hand und beliebig viel: Hyperscaler * Amazon Web Services * Google Cloud Platform * Microsoft Azure * PaaS - Platform as a Service (Heroku) * SaaS - Software as a Service * B2B (Firmensoftware aus der Cloud: Salesforce, SAP) * Build Server (Travis CI) * Website-Hosting (1&1, Strato) * Gaming (NVidia Grid) * 4 Liefermodelle * Private Cloud: innerhalb einer Organisation für verschiedene Teams * Community Cloud: innerhalb einer Gruppe von Organisationen * Public Cloud: für jedermann zugänglich * Hybrid Cloud: mehrere Clouds, die miteinander verknüpft sind * Auch die meisten der Services die du online nutzt laufen letztendlich auf cloud infrastruktur. * Mailprovider * Twitter * Facebook * Github, Gitlab, bitbucket * Je nachdem betreibt die der Anbieter selber oder auch er mietet das von einem der großen Anbieter Musik ==== Effekte von Virtualisierung ==== * Formal kann der Nutzer Admin des eigenen Systems sein * Läuft partiell Hardwareunabhängig * Direkte Hardwareunterstützung nicht möglich * Einfacher Umzug in eine andere Cloud moeglich ==== Cloud zum Selbermachen ==== * OpenStack * Container (Docker) * Kubernetes * hier noch Ausblick: Serverless Computing ==== Vorteile für den Servicebetreiber ==== * Je nach Bedarf kann die Anzahl der Systeme schnell skalliert werden. * Keine Wartezeiten auf Hardware * überschüssige Hardware muss nicht verkauft werden. * weniger eigenes IT-Personal notwendig ==== Nachteile ==== * Hardware steht irgendwo * Teilweise schwer zu kontrollieren wo die eigenen Daten jetzt sind * Nutzung von Cloud braucht andere Konzepte: einfach VM in die Cloud schieben bringt nichts (mehr Kosten) -> skalierende Micro-Services * Abhängigkeit von fremder Infrastruktur * Netz-Ausfälle können ganze Plattformen lahm legen (S3 -> Netflix, Github) ====High perfomance computing ==== * Im Gegensatz zu den meisten anderen Anwendungen wird im Bereich des HPC wenig virtualisiert * Würde zu viel Verzögerung auslösen * ==== Ankuendigungen ==== * cfp for Datenspuren 2018 im Zentralwerk https://datenspuren.de/2018/ 22./23.09. * Funding for Lueftung ?! https://www.startnext.com/30000-fuer-heisseluft Verabschiedung There is no cloud, just someone else's computer. Musik == Mai 2018 == "Datenschutz und Bürokratiechaos" „Datenschutzgrundverordnung“ https://programm.coloradio.org/programm/sendung/23535.html#Pentaradio24-EU-DSGVO "EU-DSGVO: die neue europäische Datenschutzgrundverordnung" === News === * Auf Facebook der DSGVO zustimmen schließt Aktivierung der neuen Gesichtserkennung ein ** Gesichtserkennung Dritter? * Zuckerberg moeglicherweise zu Aussage vor EU Parlament bereit -- jetzt anscheinend sogar doch oeffentlich * Nein, SMalm und PGP sind nicht kaputt und auch nicht schwer * Google jetzt nicht mehr "nicht boese" * Max Schremms darf nicht mehr bei Facebook mitmachen, sei denn er akzeptiert die neuen Bedingungen "freiwillig" https://mobile.twitter.com/maxschrems/status/998681336427827201?s=21 ** konnte mit seiner Klage vor dem Europäischen Gerichtshof das transnationale Safe-Harbor-Abkommen zwischen der EU und den USA beenden, was als starkes Signal für den Grundrechtsschutz in Europa angesehen wird. **Isn’t this illegal according to GDPR? YES! Stefan Möller‏ @hdoniker Die CDU Hannover verschickt anlässlich der #DSGVO eine Mail zwecks weiterem Newsletterbezug. Mit allen 900 Empfängern in CC. --- ganz kurze Musik?? --- === Einleitung === E-Mail Betreffs der letzten Tage: -[Action Required] Important updates on Google Analytics Data Retention and the General Data Protection Regulation (GDPR) - Updates to our Terms of Use and Privacy Policy (Udemy) - Would you like to stay or go? (Ryte) - Am 25.5 verarbeitet die Umfassendes Thema, hier nur angerissen. Dies ist keine Rechtberatung! Keine Rechtsbelehrung, wir sammeln nur Tipps und Hilfen zusammen === Was ist Datenschutz (und warum)? === * Europäische Menschenrechtscharta (Artikel 8) * Volkszählungsurteil (abgeleitet von Artikel 1 GG) * Warum Daten schützen? -> Überwachung/Kontrolle vs Demokratie Erwägungsgrund #1: Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. -Informationsgrundverordnung * Artikel 8 der Europäischen Menschenrechtskonvention allgemeinen Persönlichkeitsrechts * Eingriff nur erlaubt wenn “in einer demokratischen Gesellschaft notwendig” * der öffentlichen Sicherheit und Ordnung (einschließlich der Moral,) * der öffentlichen Gesundheit, * der nationalen Sicherheit, * des wirtschaftlichen Wohls des Staates, * der Kriminalprävention oder * zum Schutz der Rechte und Freiheiten anderer. ## Historie *** Richtlinie = Handlungsvorschrift einer Institution, jedoch kein förmliches Gesetz Verordnung = In der EU ist eine Verordnung ein Rechtsakt, der nach seiner Verabschiedung in den Mitgliedstaaten unmittelbar Geltung hat, d. h. nicht wie eine Richtlinie erst in nationales Recht umgewandelt werden muss ( Gesetz = formelles und materielles Recht, eine Rechtsnorm ) Ausgehend von Richtlinie 95/46/EG von 1995 Inkrafttreten: 24. Mai 2016 (seitdem hätte man es beachten müssen) Anzuwenden ab: 25. Mai 2018 - enthält die Verordnung verschiedene Öffnungsklauseln, bestimmte Aspekte des Datenschutzes auch im nationalen Alleingang zu regeln. Daher wird die Datenschutz-Grundverordnung auch als „Hybrid“ zwischen Richtlinie und Verordnung bezeichnet. - ersetzt das alte Bundesdatenschutzgesetz (Gesetz vom 30. Juni 2017), es gibt aber auch ein neues Bundesdatenschutzgesetz (quasi Ergänzung der EU-DSGVO) * DSGVO - Datenschutz-Grundverordnung * GDPR - General Data Protection Regulation * BDSG - Bundesdatenschutzgesetz * ePV - E-privacy-Verdordnung des Bundesverbandes der Digitalen Wirtschaft, evtl ab 2019 (es geht um Cookies, OfflineTracking, E-Mails als Webseitenbetreiber, OvertheTop-Dienste +Whatsapp, ) * EMRK - Europäischen Menschenrechtskonvention * TMG - Telemediengesetz ## Inhalte // nur überfliegen... Die DSGVO besteht aus: * 99 Artikeln in elf Kapiteln. * 173 Erwägungsgründe * "Interpretationshilfen" des Gesetzgebers, Absichten * 3.100 Abänderungsanträge gegenüber dem Entwurf der EU-Kommission * Bits of Freedom + EDRi + Jan Philipp Albrecht + Eva Lichtenberger + Amelia Andersdotter vs Amazon, eBay, Apple, Microsoft, Cisco, Intel, IBM, Oracle, Texas Instruments, Dell, … * + 84§ BDSG (neu) --- MUSIKPAUSE ? ## Worum geht es? - Schutz "der personenbezogenen Daten"? - Was sind Daten, was ist Information, was ist Privatsphäre ### Was sind personenbezogene Daten? Artikel 4 weiterhin weit gefasst: „personenbezogene Daten“ [sind]: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; … Name in der Regel Personenbezogen? Pseudonym personenbezogen? Pseudonym ist nicht anonym! IP-Adresse Personenbezogen? (-> ist eine Onlinekennung) Cookies personenbezogen! Fast alle Daten die einen Bezug zu einer Person haben könnten sind wohl personenbezogen. - Verbotsvorschrift mit Erlaubnisvorbehalt, d.h. "Alles ist verboten, es sei denn es ist erlaubt." nur Verarbeitung (quasi alles außer Privat) nur erlaubt wenn Erlaubnistatbestand aus Artikel 6: * Die betroffene Person hat ihre Einwilligung gegeben; * #PP muss ausdrücklich erklärt und nachgewiesen werden (Zeitpunkt, IP-Adresse?) * Nicht-Mündige -> z.B. Minderjährige? -> Nur wenn Eltern zustimmen ("Dieser Dienst ist erst ab 16. verfügbar") * schwer prüfbar * verpflichtend bei Newsletter * verpflichtend bei besondere Arten personenbezogener Daten: z.B. Religion, Biometrik, Genetik, Sexualität, Gesundheit -> Wie sieht es aus mit Fotos? Einwilligung! * denkbar schlechteste Zustimmungsform, außer vorgegeben * Einwilligung widerrufbar -> Recht auf Löschung * Kopplungsverbot: Einwilligung muss freiwillig sein, darf also nicht Vertragsvorraussetzung sein -> nur wenn man sich gezwungen fühlt. * die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich; * z.B. Onlineshop-Adresse zu Spedition weitergeben wohl drin * aber nur "vernünftige" Aspekte der Vertragserfüllung, keine AGB Klauseln die überrumpeln * Bonussysteme wie Payback, oder Check24 zu Marketingzwecke abgedeckt * die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich; * Steuerdaten müssen 10 Jahre gespeichert werden (z.B. Rechnungen für Kunden) * brauchen nicht gelöscht werden, selbst wenn es ein Kunde fordert * die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen; * Krankenhaus? * die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt; * die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich * z.B. Waage zwischen Marketing und Schutzinteressen der Nutzer * Marketing (Tracking und Targeting) steht explizit mit drin * Einfallstor?! Die Abwägung hat noch nicht stattgefunden * https://www.pingdigital.de/blog/2017/08/21/berechtigte-interessen-nach-der-dsgvo/1186 * Erwägnungsgrund 47, Absatz 7: Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden. Grundsätze der Verarbeitung personenbezogener Daten Artikel 5 (bloß überfliegen) * Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz * Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke) * Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“) * Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“) * Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“) * Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“) - MUSIKPAUSE ## Was sich ändert (müssten wir noch sortieren) * Genaue Erklärung was mit den Daten gemacht werden soll * Austausch personenbezogener Daten in der EU nun einfacher (weil Verordnung gleich) * Marktortprinzip: * Das europäische Datenschutzrecht gilt auch für außereuropäische Unternehmen, soweit diese ihre Waren oder Dienstleistungen im europäischen Markt anbieten. * betrifft vor allem größere Konzerne z.B. Google, Apple, Facebook etc * CDNs? * Privacy by Design - (opt in statt opt out!) * Cookies müssen nun auch in Deutschland entsprehend opt-in! ("Diese Seite verwendet cookies) * in der ePV nochmal verschärft (außer bei SessionCookies)-Einwilligung nötig * (z.B. alle Cookies zulassen / nur firstParty-Cookies) * muss auch bei der Programmierung beachtet werden! * höhere Bußgelder * bis 20Mio bei natürlichen Personen, gilt z.B. bei Geschäftsführern * bzw. 4% des weltweiten Umsatzes eines Unternehmens * vorher 300 000 also oftmals Peanuts (z.B. im Vergleich zu Anwaltskosten) * auch bei ADV Partnern / Zertifikate und Audits z.B. bei AWS * aber Gefahr durch Abmahnungen für z.B. Webseitenbetreiber * Anspruch auf Schadensersatz (nun auch materiell nicht nur Anwaltskosten) * Höhe noch nicht ganz klar * Geschäftsmodell? vor allem gegen kleinere Freiberufler, da weniger Anwälte * Artikel 17. Recht auf Vergessenwerden * Personen haben Recht auf Löschung der Daten wenn Erhebungsgründe entfallen * Verarbeiter müssen dann aktiv löschen * Recht auf Datenübertragbarkeit (Artikel 20) * betreffende Daten in einem „strukturierten, gängigen und maschinenlesbaren Format zu erhalten“ (d.h. dessen Format ist nicht weiter vorgeschrieben) * z.B. Umzug zwischen Apps, Sozialen Netzwerken * Recht auf Information * Verbraucher müssen künftig von Beginn an darüber informiert werden, wer ihre persönlichen Daten wie Name, Adresse, Email-Adresse und Ausweisnummer aus welchem Grund erhebt - und sie müssen zustimmen. Zudem muss klar sein, wie lange die Daten aufbewahrt werden sollen. Die Einwilligung muss jederzeit zurückgezogen werden können. * https://selbstauskunft.net/ * Daten Dritter? z.B. bei Freundschaftslisten etc. * Nachfragender muss sich ausreichend ausweisen (z.B. durch Login oder persönlich) * Auskunftsperson muss ausreichend kommuniziert sein * 1mal pro Jahr? * Nein, auch mehr außer missbräuchlich (nicht definiert dann Geld verlangen). * Datenminimierung * nur notwendige Daten sollen erhoben werden * gabs auch schon vorher * Weitergabe der Daten an Dritte: Auftragsdatenverarbeitung * wenn für Nutzer nicht ersichtlich das vertraglich notwendig (oder theoretisch selbst ausgeführt) * wenn Unternehmen außerhalb EU dann Garantien-nötig (Datenschutzniveau muss garantiert sein, Schweiz, Canada Israel etc) oder Privacy-Shield (EU/USA) * wenn nicht vorhanden haften beide Parteien (Freelancer Consultant Webhoster) * https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verfahrensregister/Inhalt/Verarbeitungstaetigkeiten/Muster-Verarbeitungsverzeichnis-Auftragsverarbeiter.pdf * z.B. für Google-Analytics, Buchhalter usw. * Google Opt Out Plugin: https://de.wordpress.org/plugins/goog... * Google Analytics ADV: https://static.googleusercontent.com/... * Google Analytics Germanized Plugin: https://wordpress.org/plugins/ga-germ... * Aktuelle Übersicht! https://www.blogmojo.de/av-vertraege/ * Mehr Sicherheit * Daten müssen so sicher gespeichert werden, dass unbefugter Zugriff, aber auch versehentlicher Verlust nicht möglich ist. Über Datenschutz-Verstöße müssen die Verbraucher informiert werden. Wenn ein Risiko für sie entstanden ist, müssen Unternehmen die Verstöße zudem bei nationalen Behörden melden. (Handelsblatt) * SSL Zugriff auf der Webseite aktivieren! * weniger Ausnahmen * keine Außnahme mehr (altes BDSG) für Journalisten oder Kleinunternehmer, sobald nicht mehr Privat alle betroffen * Pressefreiheit in der neuen BDSG? Bisher keine oder zuwenige Regelungen * z.B. Fotos, Informanten, Kunden etc * Unterscheidet nicht mehr zwischen Öffentlichen und nicht-öffentliche Stellen * Erwägungsgrund 82: * Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können. * https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verfahrensregister/Inhalt/Verarbeitungstaetigkeiten/Muster-Verarbeitungsverzeichnis-Verantwortlicher.pdf * Datenschutzbeauftragter * nicht viel verändert * nicht ganz vorgeschrieben bei Risiko * ab mehr als 9 Personen braucht man einen Datenschutzbeauftragten (es zählen alle mit Teil der Datenverarbeitung) * dieser muss angemeldet werden, sonst Verstoß! * es darf kein Mitarbeiter sein mit Interessenkonflikt: * kein Geschäftsführer * kein leitender Angestellter * gern auch externer * Prokurist (Handlungsbevollmächtigte) * Besondere Fähigkeiten haben: * Rechtlich sich auskennen * Technisch in der Lage sein * kein Zertifikat notwendig, aber empfehlenswert (man lernt dort praktischen Datenschutz) * keine bestimmte Ausbildung nötig * Der muss sicherstellen: * Sicherheit der Verarbeitung * Stand der Technik muss gewährleistet sein * nach möglichkeit Daten psyeudonymisieren * Integrität der Daten sicherstellen (Backup) * Datenschutzfolgenabschätzung (unklar z.B. Gesundheitsdaten) * Personenbezogene Daten auf Schreibtisch für Besucher einsehbar) * alles muss nachgewiesen werden, rechenschaftspflicht * Verzeichnis von Verarbeitungsbelegen * Ausnahmen wenn weniger als 250 Mitarbeitern es sei denn nur Gelegentlich * E-Mails, Cloud * eigentlich immer Verpflichtend, gerade wenn man Mitarbeiter hat * Religion für Steuerzwecke * Schlösser, Mitarbeiter müssen auch AGVs? --- MUSIKPAUSE ## Was sich nicht ändert * Pflicht zur Transparenz (bisschen erweitert) * Informationspflicht (bisschen erweitert) * Rechenschaftspflichen (bisschen erweitert) * Bei Fotos ist auch jetzt schon die Zustimmung der Abgebildeten notwendig * Offensichtlich für die Dienstleistung notwenige Verarbeitung zulässig ohne extra Einwilligung * für Familäre und Persönliche Verarbeitung ist das weiterhin erlaubt * Social Media Profile? Öffentlich / Freunde / "echte Freunde" * Online frei zugänglich (eher nicht) * Fotos in der Cloud? ## Was habt ihr in Vorbereitung getan? (5-10Min) * Webseiten von Cookies befreit * ADV-Verträge gecheckt * Weblogs nach 7 Tagen löschen * Verarbeitungstätigkeiten dokumentieren (bsp. E-Mail, Webseite) * Whatsapp zur Kommunikation von Eltern zustimmen lassen * Datenschutzerklärung in den Footer der Webseite gepackt * https://datenschutz-generator.de/ Schwenke * - Auskunftsverantwortlicher muss klar sein * - bei Rückfragen muss Fragender ausreichend nachgewiesen werden * https://www.saechsdsb.de/handlungsbedarf-zur-umsetzung-ds-gvo-fuer-vereine * ## Datenschutzerklärung auf Webseite - Ausnahme für ausschließlich persönliche Webseiten ohne Kommentare, Newsletter etc. - Grundsätzlich bei den meisten nötig. - zb. bei Wordpress (Bei Kommentaren SPAM Schutz) - als Account bei großen Anbietern -> z.B. Medium und Blogger trotzdem besser eine eigene anlegen -> sobald eigene Domain dann definitiv -> bei Facebook-Seiten auch (bei nur Profil eher nicht) (Verfahren bei EUGH läuft dies zu klären) -> Gewinnspiele, Kommunikation mit dem Kunden über FB -> Instagramm? -> wahrscheinlich nicht -> Twitter eher nicht? -> nur zur Sicherheit - Geld verdienen -> Datenschutz? Nein. Datenschutz auch nötig wenn kein "kommerzielle" Absicht - Datenschutzverlinkung wo immer es geht z.B. im Datenfooter - beim Impressum reichen zwei Klicks - beim Datenschutz direkt, muss ins Auge fallen, darf nicht nur Teil eines "Impressums"-Link sein besser "Impressum/Datenschutz" oder zwei Links - wenn Nutzereingaben z.B. Kommentar und Kontaktformularen besser wenn Link zur Datenschutzerklärung - wenn nur Lesen reicht Link im Footer (Achtung Cookies- davon Ausgenommen ## rundes Ende 10 - 15min. * Bewusstsein für Datenschutz schaffen * BEOBACHTUNG von Menschen/Bürgern durch Daten --> Nutzung dieser Daten für egoistische Zwecke /Missbrauch --> KONTROLLE von menschlichem Verhalten * wer dazu noch keine genauen Vorstellungen hat, wie so eine Kontrolle aussehen kann -> Westworld schauen * Worum geht es in WW? 1 Was unterscheidet den Mensch von der KI? 2 Frage nach dem freien Willen und der Möglichkeit von Freiheit 3 Aktuelle Season von WW wird DS Thema aufgemacht; es geht darum den Wesebskern von Menschen sichtbar zu machen, um sie von Außen optimal kontollieren zu können Dies ist genau die Grenze zwischen Privatheit und Öffentlichkeit, wenn der Mensch kein Recht mehr hat Grenzen für sich zu bestimmen, ist er auch nicht mehr frei --> Gegen Kontrolle von menschlichem Verhalten durch Daten Datenschutz ist ein Grundrecht Verhalten auf Grund von Daten beeinflussbar (Cambridge Analytica) Künstliche Intelligenz Speichert nur Daten die ihr wirklich braucht und löscht diese anschließend ## Quellen grundlegendes zum Recht https://rechtsbelehrung.com/dsgvo-alles-zur-eu-datenschutzgrundverordnung-rechtsbelehrung-folge-54-jura-podcast/ tips für Webseitenbetreiber https://rechtsbelehrung.com/dsgvo-datenschutzerklaerung-faq-rechtsbelehrung-folge-55/ https://dsgvo-gesetz.de/ https://datenschutz-generator.de/ Sächsischer Datenschutzbeauftragter: https://www.saechsdsb.de/ https://www.saechsdsb.de/handlungsbedarf-zur-umsetzung-ds-gvo-fuer-vereine ==April 2018 == Hinweis von Rob: Diese komischen CMS-Leute planen einen VHS Kurs. Der Vermutlich auf Debian oder falls es kein Popcorn enthält auch Linux Mint (Ubuntu) basieren wird -> https://hackmd.c3d2.de/gnubie-shaving# https://wiki.c3d2.de/GNUbie_shaving "Linux ist mir zu kompliziert - nein ist es nicht" "Linux ist nicht kompliziert - versprochen " "Lochkarte, Unix, Linux, Debian, Ubuntu 18.04" FollowUP bzw. News zu den letzten Sendungen * 1 April 2018, 1.1.1.1 DNS Cloudflare * DDos-Protection * Privacy TLS Crypto foo * DNS-over-TLS * DNS-over-HTTPs * APNIC's research group held the IP addresses 1.1.1.1 and 1.0.0.1. * APNIC is a Regional Internet Registery (RIR) responsible for handing out IPs in the Asia Pacific region * continuously overwhelmed by a flood of garbage traffic. * Cloudflare is sharing DNS query data with APNIC Labs, * Zuckerbergs Aussage vor dem Senat * neue Datenschutzregelung in sicht * Facebook hat die Gesichtserkennung in Europa angeschalten: * https://techcrunch.com/2018/04/20/just-say-no/ Einleitung: Den Computer anschalten und nun? * Einschaltknopf und dann? * Mainboard * Bios Basic input output system / UEFI * master boot record (MBR) bzw. GUID Partition Table (GPT) / UEFI * Bootloader * Betriebssystem (Kernel, Programme) * die meisten bekannten Programme laufen nicht direkt auf der Hardware, sondern brauchen andere Programme (z.b. libraries) damit sie mit der Hardware interagieren können = Darum kümmert sich das Betriebssystem kleiner historischer Abriss über Betriebssysteme / Unix / BSD / Linux / Debian / Ubuntu * ersten Computer kamen ohne echtes Betriebssystem weil Programme über Lochkarten etc eingelesen wurden * 1956 GM-NAA I/O bei General Motors für die IBM 704 erfundene resident monitor (startete einfach nächsten Lochkartenstapel im Anschluss) * 1959 entstand daraus das SHARE Operating System (SOS) * allowed execution of programs written in assembly language. * share programms * 1961 entstand mit dem Compatible Timesharing System (CTSS) für die IBM 7094 am MIT das erste Betriebssystem für Mehrbenutzerbetrieb * sogar quasi gleichzeitig per Terminal (Mother of all demos. https://www.youtube.com/watch?v=yJDv-zdhzMY) * IBM 1964 OS/360 in verschiedenen Versionen (OS/360 für rein lochkartenbasierte Systeme, TOS/360 für Maschinen mit Bandlaufwerken, DOS/360 für solche mit Festplatten) * das erste Betriebssystem, das modellreihenübergreifend eingesetzt wurde, * Ab 1963 wurde Multics in Zusammenarbeit von MIT, General Electric und den Bell Laboratories (Bell Labs) von AT&T entwickelt, das jedoch erst ab 1969 bis 2000 im Einsatz war. * setzte den Grundstein für Unix * Unix * August 1969[1] von Bell Laboratories (später AT&T) * 1980er Jahre als quelloffenes Betriebssystem * Ken Thompson und Dennis Ritchie, die es zunächst in Assemblersprache, dann in der von Ritchie entwickelten Programmiersprache C geschrieben * erstmalig hierarchische, baumartig aufgebaute Dateisystem mit Ordnerstruktur * Quellcode / Binaries * CPU braucht maschinenlesbaren Code, Programmierer brauchen menschenlesbaren Code * Hin- und Zurückübersetzung schwierig * ab 1980 kommerzialisiert (fehlender Quellcode), was zu Abspaltungen führte (Unix-Wars) * Berkley brachte TCP/IP, damit wars für die Darpa interessant * 1983 begann Richard Stallman GNU’s Not Unix (‚GNU ist Nicht Unix‘)-Projekt zu entlwickeln (da fehlte ein freier Kernel) * Shell, Coreutils, Compiler wie GCC, Bibliotheken wie glibc, as * Anspruch die Funktionalität eines Unixsystems zur Verfügung zu stellen * Freiheit #0: Programm ausführen wann und wo man will * Freiheit #1: Quellcode studiern / überprüfen * Freiheit #2: weiterverbreitung des Programmes * Freiheit #3: veränderte version verbreiten dürfen * 1985 Open Software-Foundation (Sun, Siemens, HP, IBM etc) * 1987 entwickelte der in Amsterdam lehrende amerikanische Informatiker Professor Andrew S. Tanenbaum ein unixoides Betriebssystem namens Minix * Studenten die Grundlagen eines Betriebssystems zu veranschaulichen * 1989 wurde „UNIX System V Release 4“ angekündigt und herausgebracht. Es folgten später noch „Release 4.2“ und „Release 5“ nach. * 1990 erschien „4.3BSD Reno“. * - nur kurz -BSD Zweig, welcher später dann auch zu Apple führte * - nur kurz -92 386BSD, eine Portierung von 4.3BSD NET/2 auf den Intel-i386-Prozessor * - nur kurz -1993 erschien die Version „4.4BSD“, und es begann die Entwicklung von FreeBSD und NetBSD, * - nur kurz - 2000 wurde Darwin, der Unterbau des Mac OS X veröffentlicht, mit Mach als Kernel. * freies Unix-Betriebssystem des Unternehmens Apple. Es wurde als Darwin 0.1 am 16. März 1999[1], gemeinsam mit Mac OS X Server 1.0, erstmals verfügbar gemacht. * 1991 stellte Linus Torvalds am 5. Oktober seinen Kernel Linux mit der Versionsnummer 0.02 vor. * Finnish computer science student (mittlerweile seit 2010 Amerikaner) * January 5, 1991[22] he purchased an Intel 80386-based clone of IBM PC[23] before receiving his MINIX copy, which in turn enabled him to begin work on Linux * His M.Sc. thesis was titled Linux: A Portable Operating System. * from scratch, benötigte teilweise von Minix * seit Dezember komplett ohne Minix (fsck) * 1992 im Januar kam 0.12 benutzte GNU GPL - CopyLeft Lizenz * 1993 X11 (und damit erste Distribution, zwei Disketten bestehend aus Kernel und GNU Projekt Utilities) * erster Grafischer Window Manager * 1993 Debian by Ian Murdock, Debian 0.01 was released on September 15, 1993 * Freundin Deborah Lynn (Deb + Ian) = Debian * reines community Projekt, kein Kommerzieller Hintergrund * sehr Gnu-nah * Free Software Foundation, which sponsored the project for one year from November 1994 to November 1995 * laufen auch mit andern Kerneln: such as those based on BSD kernels and the GNU Hurd microkernel. * Ubuntu 2004 --- Potentielle Pause --- Der Linux-Kernel heute: https://de.wikipedia.org/wiki/Datei:Linux_Kernel_Struktur.svg * Betriebssystem: Linux-Kernel (vmlinuz) damalsTM Podcast Folge DTM_016_Linuxkernel (7.3MB) * 4.15.4 hat 20,3 Millionen Zeilen Code https://www.linuxcounter.net/statistics/kernel * good kommt etwa 4745, nice 1369, love 763 mal vor * crap 192, shit 145, fuck 40, * Firefox 56 enthalten 31.342.142 Zeilen LibreOffice 5.4 kommen auf 17.171.162 * Contributors (ca.) 4.16 by changesets * Intel 1424 10.6% * Red Hat 971 7.2% * (Unknown) 962 7.2% * (None) 895 6.7% * AMD 677 5.0% * IBM 566 4.2% * Contributors (ca.) 4.16 by changed lines * AMD 97644 14.2% * Intel 73566 10.7% * (Unknown) 33700 4.9% * Red Hat 33027 4.8% * (None) 31155 4.5% * IBM 26329 3.8% * Linaro 25245 3.7% * (Consultant) 20772 3.0% * 75% Treibercode (/drivers 14.966.279 Zeilen + /arch mit 3.722.764) (schwer zu testen ohne Hardware, Deswegen delegation) * 20% Netzwerk * 2017 Global Stats (Achtung nur Webtraffic!): * Windows Kernel 36,8% Geräte, * Apple XNU 18,46% * Linux Kernel (mit Android) 40,41% * 7,21% andere * Intel IBM etc stellen ebenfalls Entwickler * Interesse der betreibbarkeit ihrer Hardware * Bei Intel und IBM oftmals weit im Voraus zur Auslieferung * wenn ein Programm den Kernel etwas fragt ist das ein SystemCall (Bezug auf Meltdown und Spectre) * hat selbst einen geschützten Speicherbereich * Kernelspace * Modular * Userspace * Programme * andere Kernels: BSD, Unix System DOS (DR-DOS, MS-DOS (auf dem Windows 95 bis ME basierte), FreeDos, OpenVMS, * Geht zu tief in den Linux Boot-Prozess, passt wahrscheinlich nicht zu Ubuntu * Linux ist das weitverbreiteste Betriebssystem * Server * Router * Banken, Züge, Flugsicherung * Embedded * Android --> Erinnerung an Bootprozess, wir sind nun nach dem Bootloader: * Einschaltknopf und dann? * Mainboard * Bios Basic input output system / UEFI * master boot record (MBR) bzw. GUID Partition Table (GPT) / UEFI * Bootloader z.B. Grub, PXE oder WindowsBootloader * Betriebssystem (Kernel, Programme) * initrd.img (40MB) * initrd provides the capability to load a RAM disk by the boot loader. * initrd is mainly designed to allow system startup to occur in two phases, where the kernel comes up with a minimum set of compiled-in drivers, and where additional modules are loaded from initrd. * lädt das richtige / Root File System (z.b. ext4 auf Festplatte) * und die entsprechenden Kernelmodule * Login-Manager * lightdm * gdm * Window Manager * Unity? X11 kompatibilität nicht gegeben * Programme * FireFox, Chrome, Thunderbird, Gimp, Pidgin, LibreOffice, FreeCad, KiCad etc. Allgemeine Vorstellung Ubuntu Ubuntu (Zulu pronunciation: [ùɓúntʼù])[1][2] is a Nguni Bantu term meaning "humanity". It is often translated as "I am because we are," and also "humanity towards others", but is often used in a more philosophical sense to mean "the belief in a universal bond of sharing that connects all humanity" * Entwickler: Canonical Ltd. * UK-based privately held computer software company founded 5 March 2004 * funded by South African entrepreneur Mark Shuttleworth (2. Weltraumtourist mit Sojus TM-34/Sojus TM-33 (2002)8 Tage ISS ca 20 Mill. $, einzigster Afrikaner im All ??) * provided an initial funding of US$10 million * Net worth£160 million (2015) * Time in space: 9d 21h 25m * He was a member of the crew of Soyuz TM-34, launched from Baikonur in Kazakhstan and docked with the International Space Station two days later. * tendenziell kein Bart (maximal 3 Tage) * Shuttleworth founded Thawte Consulting in 1995, a currently running company which specialized in digital certificates and Internet security. In December 1999, Thawte was acquired by VeriSign, earning Shuttleworth R3.5 billion (about US$575 (equivalent to $844.70 in 2017) million). * Thawte was one of the first companies to be recognized by both Netscape and Microsoft as a trusted third party for web site certification, * Business Model? * Einkommen US $125.97 million (2017), aber nur US $2M Profit * https://www.phoronix.com/scan.php?page=news_item&px=Canonical-2009-2017-Fin-Perf * Number of employees 566 (2017) * Spenden der Nutzer * Shuttleworth "funds it" * providing enterprise software services, training, support, consultancy, and various other services directly related to Ubuntu * Amazon Suche in Unity? Nutzerdaten? * Ursprung in Debian (September 1993), Ubuntu cooperates with Debian by pushing changes back to Debian * teilweise kompatibel, aber nicht völlig * Initial release: 20 October 2004 (13 years ago) * Updates ca aller 6 Monate * Ab ubuntu 6.06 gerade Versionen .04 LTS * Updates for new hardware, security patches and updates to the 'Ubuntu stack' * sonst .10 und ungrade 04 rollend erst 9 nun 18 Monate * security fixes, high-impact bug fixes and conservative, substantially beneficial low-risk bug fixes * Ubuntu Derivate über den Window Manager : Wayland * xubuntu (XFCE) * kubuntu (KDE) * lubuntu (LXDE) * Ubuntu Gnome (Gnome) * Ubuntu Mate (Mate) * Ubuntu Budgie (Budgie) * Linux mint etc * i3wm * awesome * - läuft auf: * I386, IA-32, AMD64; ARMhf (ARMv7 + VFPv3-D16), ARM64; Power, ppc64le; s390x[4] * itauch Tablets und Smartphones -> Ubuntu Touch * GPL * + blob Hardware Treiber * Security "out of the box": * FullDisk/Folder/HomeDir Encryption * sudo * Network Ports sind per default geschlossen -> UFW * Ubuntu compiles its packages using GCC features such as PIE and buffer overflow protection to harden its software * security performance expense of 1% in 32-bit and 0.01% in 64-bit. * Abkömmlinge: https://upload.wikimedia.org/wikipedia/commons/7/79/UbuntuFamilyTree1210.svg Rant Stallman https://www.youtube.com/watch?v=DXnfa0H30L4 https://arstechnica.com/information-technology/2012/12/richard-stallman-calls-ubuntu-spyware-because-it-tracks-searches/?utm_source=omgubuntu removed in 16.04 Änderungen in 18.04 https://itsfoss.com/ubuntu-18-04-release-features/ * Bionic Beaver * 26th April: Stable Ubuntu 18.04 LTS release * GNOME 3.28 * Boot speed boost * Using systemd’s features, bottlenecks will be identified and tackled to boot Bionic as quickly as possible. * A new minimal installation option * regular Ubuntu install without most of the regular software. You’ll just get a web browser and a handful of utilities. * Using PPA is slightly easier now * im wesentlichen autoupdate nach dem adden * Linux Kernel 4.15 * Xorg becomes the default display server again * Ubuntu 17.10 switched to the newer Wayland * viele Probleme * Minor changes in the looks of Nautilus File Manager * sieht mal wieder ein wenig schicker aus * Ubuntu will be collecting system usage data (unless you choose to stop that) * criticized in the past for including Amazon web app * online search by default * Ubuntu 18.04 will be collecting some system usage data unless you choose to opt out of it. * Version and flavor of Ubuntu you’re installing * Whether you have network connectivity at install time * Hardware statistics such as CPU, RAM, GPU, etc * Device manufacturer * Your country * Time taken to complete the installation * Whether you choose auto login, installing third-party codecs, downloading updates during install * Disk layout * Ubuntu Popcon service will track the popularity of applications and packages * Crash reports * New installer for Ubuntu 18.04 Server edition * subiquity installer * schicker * 10. Native support for color emojis * Until now, only monochrome emojis are supported out of the box on Ubuntu. * same open source emojis that are being used on Android. * The proposed brand new theme and icons developed by the community will no longer be the default * vorher wenig Änderungen im Design, (jetzt ehrlich gesagt auch kein riesen Sprung aber egal) * 12. Easier live patching * Kernel live patching is an essential feature on Linux server. Basically, you install a critical Linux kernel update without rebooting the system. This saves downtime on servers. * Default wallpapers of Ubuntu 18.04 (for hardcore Ubuntu fans) * naja anderere Hintergrundbilder halt * Default Applications * Category Top Voted Default Application * Browser Mozilla Firefox * Video Player VLC * IDE Visual Studio Code * Video Editor Kdenlive * Screen Recorder Open Broadcaster Software (OBS) * Email Client Thunderbird * Text Editor gedit * Office Suite LibreOffice * Music Player VLC * Photo Viewer Shotwell * Terminal GNOME Terminal * PDF Reader Evince * Photo Editor Gimp * IRC/IM Pidgin * Calendar GNOME Calendar Fazit - Ubuntu ist umstritten, weil kommerzielle Verwertung von freier Software - Geld spenden - Maintainer bekommen Geld von Investoren - Debian vs. ubuntu - Ubuntu Pakete die ich immer runterschmeiße: apport, whoopsie,unity - Mediawiki 1.30, Extensions, Semantic Wiki, Ziele, Einschränkungen, Praxistauglichkeit - OpenSource Anwender-Software -> LibreOffice, FreeCad, KiCad, Thunderbird, Firefox etc. vorstellen erklären - Robot Operating System (ROS) -> Roboterfunktionen in Paketen, OpenSource und verbreitet - Mikrocontroller -> von Arduino über ESP32 zu PSoC und FPGA - wir haben natürlich noch die verschollene IoT-Sendung aus dem Februar ausgearbeitet da Hinweis auf Podcast zur Geschichte vor Linux / des Linux-Kernels: damals(tm) Folge 016 Linuxkernel https://damals-tm-podcast.de/index.php/2015/10/15/dtm_016_linuxkernel/ http://damalstm.capella.uberspace.de/episoden/DTM016_Linuxkernel.mp3 == März 2018 == Wir suchen die Sendung vom Februar. Falls sie jemand ausversehen aufgenommen hat, möge er sich bitte bei uns melden. honky@c3d2.de c3d2@lists.c3d2.de * 2012 erbringt Kosinski (Professor at Stanford University Graduate School of Business. Computational Psychologist and Big Data Scientist.) den Nachweis, dass man aus durchschnittlich 68 Facebook-Seiten-Likes eines Users vorhersagen kann: * welche Hautfarbe er hat (95-prozentige Treffsicherheit), * ob er homosexuell ist (88-prozentige Wahrscheinlichkeit), * ob Demokrat oder Republikaner (85 Prozent) * Intelligenz, Religionszugehörigkeit, Alkohol-, Zigaretten- und Drogenkonsum lassen sich berechnen. Sogar, ob die Eltern einer Person bis zu deren 21. Lebensjahr zusammengeblieben sind oder nicht * Am Tag, als Kosinski diese Erkenntnisse publiziert, erhält er zwei Anrufe. Eine Klageandrohung und ein Stellenangebot. Beide von Facebook. * 2012 Kosinski baut App " My-Personality" für OCEAN Profile für Nutzer * OCEAN-Modell * Offenheit für Erfahrungen (Aufgeschlossenheit), * Gewissenhaftigkeit (Perfektionismus), * Extraversion (Geselligkeit), * Verträglichkeit (Rücksichtnahme, Kooperationsbereitschaft, Empathie) und * Neurotizismus (emotionale Labilität und Verletzlichkeit) * (als das im institut) Aleksandr Kogan zieht erst einmal nach Singapur, heiratet und nennt sich fortan Dr. Spectre. Michal Kosinski wechselt an die Stanford University in den USA * Kosinski: Persönliches Targeting kann die Klickraten von Facebook-Anzeigen um über 60 Prozent steigern und die sogenannte Conversion-Rate um bis zu 1400 Prozent - Cambridge Analytica?! * Cambridge ist eine ostenglische Stadt am Fluss Cam und Heimat der renommierten University of Cambridge aus dem Jahr 1209 * 2012/13 von der britischen SCL Group gegründetes Datenanalyse-Unternehmen * Als Gründer gelten * Robert Mercer (Hauptfinanzier) ist ein amerikanischer rechtskonservativer Informatiker, der als erfolgreicher Hedgefonds-Manager zum Multimilliardär aufstieg. Er war bei der Präsidentschaftswahl 2016 einer der wichtigsten Unterstützer Donald Trumps. * Steve Bannon: (Vizepräsident) US-amerikanischer Publizist, Filmproduzent und politischer Berater. Er leitete von 2012 bis August 2016 und von August 2017 bis Anfang 2018 die Website Breitbart News Network. (Er gab nach Angaben von Christopher Wylie 2014 die Million für den Ankauf der Facebookdaten frei.) * Alexander Nix. Nix, einer der bisherigen Direktoren von SCL, übernahm die Leitung. * besuchte das Eton College und studierte an der University of Manchester Kunstgeschichte. * CA-Slogan: Data drives all we do. („Daten treiben alles an, was wir tun.“) * Zusammenarbeit mit Psychometrikern (psychologischen Messens) der University of Cambridge -> daher der Name * überwiegend in den USA tätig (Datenschutz) * im Vorwahlkampf zur Präsidentschaftswahl in den Vereinigten Staaten 2016 für Ted Cruz tätig * nach dessen Ausscheiden mit der Unterstützung von Donald Trump beauftragt. * SCL Group (Abkürzung für Strategic Communication Laboratories Group) ist ein britisch-US-amerikanisches Unternehmen für Verhaltensforschung und strategische Kommunikation * 1993 in London gegründet * New York Times befasste sich SCL im Auftrag der britischen Regierung mit pakistanischen Dschihadisten und unterstützte die USA bei der militärischen Aufklärung im Iran, in Libyen und in Syrien. * Datenbeschaffung: * März 2018 wurde durch den Whistleblower Christopher Wylie * former Director of Research at Cambridge Analytica * giving The Guardian documents * He left school at 16 without a qualification, but by 17 was working for the Canadian opposition leader Michael Ignatieff. He taught himself to code at age 19. At 20, he began studying law at the London School of Economics. * Global Science Research (GSR) erworben von Aleksandr Kogan (aus Cambrigde) * 320.000 solcher Tests zur Erstellung von psychologischen Profilen (100k?! REF) * (psychographic profiles) * (Nutzer stimmten freiwillig zu) * Facebook 160-fachte diese Datensätze wobei Inhaber davon keine Kenntnis hatten * Nix behauptete Profile von 220 Millionen US-Bürgern erstellt zu haben per * Kritiker bezweifeln das * 32 Persönlichkeitstypen, man konzentriert sich nur auf 17 Staaten. * «Cambridge Analytica does not use data from Facebook. It has had no dealings with Dr. Michal Kosinski. It does not subcontract research. It does not use the same methodology. Psychographics was hardly used at all. Cambridge Analytica did not engage in efforts to discourage any Americans from casting their vote in the presidential election. Its efforts were solely directed towards increasing the number of voters in the election.» Auftragsarbeiten in Wahlkämpfen: * Jahr 2014 war Cambridge Analytica (CA) laut Nix an 44 US-Wahlkampf-Kandidaturen beteiligt. * Ted Cruz 2015 (ging auf das Drängen von Rebekah Mercer (Tochter) zurück, da millionenschwerer Spender) * erhielt mindestens 5,8 Millionen Dollar * Brexit-Kampagne in Großbritannien (Leave.eu) nutzten angeblich die Dienste * wurde aber dementiert * danach Mercers für Trump (per SuperPAC) * Das Trump-Team überwies laut offiziellen Berichten von Juli bis Dezember 2016 insgesamt 5,9 Millionen Dollar an CA * Insgesamt, so sagt Nix, habe man etwa 15 Millionen Dollar eingenommen. * Juli 2016 wird für Trump-Wahlhelfer eine App bereitgestellt, mit der sie erkennen können, welche politische Einstellung und welchen Persönlichkeitstyp die Bewohner eines Hauses haben. * angepasste Gesprächsleitfaden für Hausbesuche * (Nix wollte die Hillary Mails für Trumps Wahlkampf, Wikileaks verweigerte die Freigabe für ihn) Alexander Nix als CEO Suspendiert 20. März 2018 Nachdem Channel 4 heimlich mitgeschnittene Gespräche gezeigt hatte, in denen Nix geschildert hatte, dass die Firma Politiker unter Druck setze, indem sie sie durch Angebote von Bestechungsgeldern oder durch den Einsatz von Prostituierten in kompromittierende Situationen bringe, suspendierte der Vorstand von Cambridge Analytica ihn als CEO am 20. März 2018 Kampagne erklären microtargeting dark adds Medienecho - „Daten-Skandal“, „Daten-Leck“ oder „Daten-Diebstahl“ * Facebook Geschäftsmodell * https://de.wikipedia.org/wiki/Facebook * Schattenprofile und Like-Buttons * etwa 2 Milliarden Accounts * Mark Zuckerberg sagt sorry (CNN) * https://www.youtube.com/watch?v=0fJ3YfcRbp8 * This was a major breach of Trust * basic responsibility to protect peoples data * make sure it doesn't happen again * Kogan inproper use * restrict amount of access a developer can get * make sure there aren't more CAs out there * investigate any big dataset app * Simon, wirst du Facebook weiter benutzen? Sollten Leute Facebook löschen? Gibt es Alternativen? -> eigene Sendung gab es vielleicht mal ansonsten seid gespannt Hinterfragt geschäftsmodelle, Wenn es nichts kostet seid ihr mind. Teil des Produkt! * Unterschiede zur Online-Kampagne von Obama * Änderung der Rechtslage ? * Nur Netzwerkabfrage ?! * führenden Big-Data-Bude «BlueLabs» und bekam Unterstützung von Google und DreamWorks * https://www.npr.org/2018/03/25/596805347/how-does-cambridge-analytica-flap-compare-with-obama-s-campaign-tactics * BETSY HOOVER online organizing director for Barack Obama's 2012 presidential campaign * So in 2008, Facebook was one-tenth the size of what it was in 2012, for example. But Facebook was a huge part of our digital strategy * Targeted Sharing * fully followed Facebook's terms of service * You're giving us access to your friends on Facebook. * Facebook changed its terms of service, so that is no longer possible * So you gave them names of their friends that might be persuadable? HOOVER: Yeah. * People do not understand how the privacy settings work * needs to be legislated * http://www.chicagotribune.com/news/opinion/page/ct-perspec-page-facebook-zuckerberg-obama-20180323-story.html * Weg der Daten * Übermittlung zu Forschungszwecken -> zulässig? * Weitergabe an externe Fima -> Problem? * Screening nach vermuteten politischen Interessen * Zielgruppenspezifische Botschaften (microtarget) (dark ads) * Vielfalt der Aussagen nicht nachvollziehbar ## Quellen: microtargeting https://www.youtube.com/watch?v=bl_Vh9UR5L4 https://www.youtube.com/watch?v=n8Dd5aVXLCc http://cgvr.informatik.uni-bremen.de/teaching/vr_literatur/Wahlmanipulation%20mittels%20Psychometrik%20und%20Social%20Media%20-%20Das%20Magazin,%202016.pdf https://motherboard.vice.com/en_us/article/mg9vvn/how-our-likes-helped-trump-win https://www.tagesanzeiger.ch/ausland/europa/Ich-habe-nur-gezeigt-dass-es-die-Bombe-gibt/story/17474918 http://www.zeit.de/digital/internet/2016-12/us-wahl-donald-trump-facebook-big-data-cambridge-analytica http://www.bbc.com/news/uk-43522775 https://www.bloomberg.com/view/articles/2018-03-21/cambridge-analytica-s-real-business-isn-t-data ## eigene Facebook daten http://www.chip.de/news/Was-weiss-Facebook-Ihre-persoenlichen-Daten-als-ZIP-Datei-herunterladen_136575430.html https://www.j-berkemeier.de/ShowGPX.html ## weiterer Skandal: * Alter Cambridge analytica article * “Facebook ist aus jedem Blickwinkel Täter”: IT-Blogger Fefe über die Lehren aus dem Cambridge-Analytica-Debakel (meedia) * http://meedia.de/2018/03/22/facebook-ist-aus-jedem-blickwinkel-taeter-it-blogger-fefe-ueber-die-lehren-aus-dem-cambridge-analytica-debakel/ * Die Medien sprechen wahlweise von einem „Daten-Skandal“, „Daten-Leck“ oder „Daten-Diebstahl“. Um was handelt es sich beim Facebook/Cambridge Analytica-Komplex Ihrer Meinung nach? * Sascha Lobo schreibt in seiner Spiegel Online-Kolumne, dass der eigentliche Skandal im System Facebook liege, weil Facebook selbst gar nicht genau wisse, wie es wirklich wirke. * Was ist Ihre Einschätzung: Konnte eine Firma wie Cambridge Analytica überhaupt die US-Wahl beeinflussen? * Wäre eine solche Beeinflussung von Wählergruppen auch in Deutschland möglich? * Wie sollten die deutschen Medien mit dem Fall Facebook/Cambridge Analytica umgehen? * Like Buttons, deren Veröffentlichungen auf FB überdenken * Stichwort #DeleteFacebook: Sollten die Menschen ihre Facebook-Accounts löschen? * What the F*** Was Facebook Thinking? (medium) * https://medium.com/@jamesallworth/what-the-f-was-facebook-thinking-a1c49dbf29c2 * Facebook-Chef über Datenskandal Was Zuckerberg gesagt hat – und was nicht (SPON) * http://www.spiegel.de/netzwelt/web/facebook-und-cambridge-analytica-was-mark-zuckerberg-eigentlich-gesagt-hat-a-1199360.html * Mark Zuckerberg: ‘I’m sure someone’s trying’ to disrupt 2018 midterm elections (CNN) * http://money.cnn.com/2018/03/21/technology/facebook-and-2018-midterm-elections/index.html * Cambridge Analytica: Warrant sought to inspect company (Channel 4) * http://www.bbc.com/news/technology-43465700 * Facebook and Brexit https://www.welt.de/politik/ausland/article174906355/Cambridge-Analytica-Christopher-Wylie-bringt-Facebook-ins-Wanken.html * Facebook sammelt Telefondaten https://www.heise.de/newsticker/meldung/Kontakte-synchronisieren-Facebook-sammelte-jahrelang-Anrufdaten-4003916.html Kommentar Frank Nord: Inhaltlich ging es um folgendes: Wenn wir von Alternativen sprechen wollen, müssen wir mal realistisch herangehen und erheben, welche Funktionalität es bräuchte, um FB wirklich Konkurenz zu machen. Ich habe darüber öfter mit einem Bekannten Gespräche. Vor allem würde er ein "soziales Netz" nicht nutzen, dass a) einen hohen Installationsaufwand hat und b) den anonymen Gedanken zu konsequent zuende denkt. Argument: "Ich nutze Facebook doch ganz bewusst, um mit mir bekannten Freunden leicht Kontakt zu halten. Dazu gehört auch, persönlich erkennbar zu sein, auch für neue Leute, die mich suchen. Diskussionsgruppen sind nicht das Hauptanwendungsgebiet. Der Punkt ist, dass ich netten Menschen einfach sagen kann 'du findest mich auf Facebook'. Der Punkt ist, dass ich leicht meine Einladungsliste für den Geburtstag zusammenklicken und alle auf dem aktuellen Stand halten kann. Es ist die Einfachheit und die Nähe am Leben, die Facebook stark macht." Hintergrund: Es gab mal ein Webcomic, dass simplifiziert dezentrale, anonyme soziale Netze erklären wollte. Sein Kommentar lautete, dass diese Idee völlig an der Realität der Nutzer vorbeigeht, die wir möglicherweise überzeugen wollen. Kommentar Frank Nord Ende -> Welche Daten fallen bei der Nutzung von Facebook so an? -> Was kann man daraus so machen? -> Wer bekommt diese Daten wofür? -> Welche Daten kauft Facebook sonst noch? -> Wer sind andere Player, welche Produkte könnten noch betroffen sein? -> Ähnliches Programm gab es auch in Deutschland (wo war das gleich, wo man einen Facebook API Key spenden konnte und dann damit geschaut wird, wer welche Wahlwerbung angezeigt bekommt?) Diskussion: Ist Transparenz der Schlüssel zum Erfolg? PostPrivacy vs. Datenschutz * Privatperson * Kandidat oder Firma "Private Daten schützen, öffentliche Daten nützen" Alternativen zu Facebook? - falsch gehende Uhren und die schwankende Netzfrequenz - https://www.theguardian.com/technology/2018/mar/20/child-abuse-imagery-bitcoin-blockchain-illegal-content -> Es gibt auch noch eine fertig vorbereitete IoT-Sendung, welche es nicht in den Podcast geschafft hat == Februar 2018 == Sendungstitel "Das S in IoT steht für Sicherheit" (Thema IoT allgemein). Übersetzung Definition: Vision einer globalen Infrastruktur der Informationsgesellschaften, die es ermöglicht, physische und virtuelle Gegenstände miteinander zu vernetzen und sie durch Informations- und Kommunikationstechniken zusammenarbeiten zu lassen (https://de.wikipedia.org/wiki/Internet_der_Dinge ) Beispiele: Eingangsbereich: - Videokameras - Automatische Schlösser - Bewegungsmelder - ferngesteuerte Steckdosen z.B. FritzBox - Amazon Echo and Echo Dot "Alexa" - Apple HomeKit "Siri" - Google Home "OK Google" Wohnzimmer: - Heizungssteuerung (Nest) Thermostate - Logitech Harmony Elite - Philips Hue (mit deren Batterielosen Schaltern) / MiLight / gibt auch ESP Varianten - Staubsaugerroboter - Küche: - Thermomix(Thermofix), Waagen, Kochtöpfe, Eierkocher/Waagen - Kühlschränke mit Internet ---> unsere Matemat - Kaffeemaschinen Bad: - intelligente Toilette - Amazon Dash Button - Smarte Waage (Withings WiFi Body Scale Digitale Personenwaage) - https://www.prolixium.com/mynews?id=915 nichtmal HTTPS! - Waschmaschine Garten: - Rasenmäherroboter, Poolreinigung, Gartenbewässerung - Eierverschenkmaschine - Feinstaubmessgeräte https://luftdaten.info/ - Temperaturfühler, Wetterstationen - Smartphones mit Geofencing - Smarte Spiegel - FitBit - Autonome Fahrzeuge Bedeutung für die Gesellschaft - Datenschutz (Wem gehören die Daten? Warum werden sie überhaupt gesammelt?) - "Wo ein Trog ist, kommen die Schweine" - Hoheit über die Privatsphäre in den eigenen vier Wänden - Smartphone als eh vorhandene Wanze? - Updatebarkeit - Laufzeit der Software - Sicherheitslücken (z.B UDP Wellen für Denial of Service Attacken) - IPv4 vs. IPv6 Adressverbrauch - IPv4 (2^32 = 256^4 = 4.294.967.296), von denen 3.707.764.736 verwendet werden können, um Computer und andere Geräte direkt anzusprechen. - IPv6 Vergrößerung des Adressraums von IPv4 mit 2^32 (≈ 4,3 Milliarden = 4,3·10^9) Adressen auf 2^128 (≈ 340 Sextillionen = 3,4·10^38) Adressen bei IPv6, d. h. Vergrößerung um den Faktor 2^96 (≈7,9·10^28). (bisher nur bei 30% der Zugriffe auf google.com benutzt) http://www.thomas--schaefer.de/HochschuleninDeutschlandmitinternet.html [Musik] Technik dahinter: 3 Wege: Kaufen und Nutzen, Bestehendes Öffnen oder Komplett Selberbauen: - Original Xiaomi MIJIA Mi Roboter - 34c3 "Unleash your smart-home devices: Vacuum Cleaning Robot Hacking" - Lücke sind schlecht signierte Updates md5 hashes \o/ - Dustcloud (in /etc/hosts anstatt der "richtigen Cloud" - Player Stage Framework (vorläufer von ROS) - gute Wegfindung - eigene MP3s - Abhörbefehl in der Software fürs WLAN - Upload der Wohnungskarten auf 5cm genau (+ Log Dateien) https://fahrplan.events.ccc.de/congress/2017/Fahrplan/events/9147.html - Feinstaubsensor: - Matemat - Smartmirror: venezianisches Spiegel (wie bei der Polizei) - Raspberry Pi Einplatinenkomputer 12,5 Millionen mal verkauft, ähnlich viel wie C64 - Alter Monitor - Magic Mirror OS HQ Schalter LED Streifen - FitBit - Lücke sind schlecht signierte Updates - BLE - 34c3 "Doping your Fitbit" DIY-IoT: Was braucht man, wo fängt man an? -> Arduino Projekt + Ethernet/Wifi Shield - Name: Das erste Board wurde 2005 von Massimo Banzi und David Cuartielles entwickelt. Der Name „Arduino“ wurde von einer Bar in Ivrea übernommen, in der sich einige der Projektgründer gewöhnlich trafen. (Die Bar selbst wurde nach Arduin von Ivrea benannt, der von 1002 bis 1014 auch König von Italien war.)[4] David Mellis entwickelte die auf C/C++ basierende Diktion dazu. Das Schema wurde im Netz veröffentlicht und unter eine Creative-Commons-Lizenz gestellt. Die erste Auflage betrug 200 Stück, davon gingen 50 an eine Schule. Bis 2008 wurden etwa 50.000 Boards verkauft -> Atmel-AVR-Mikrocontroller aus der megaAVR-Serie wie dem ATmega328 - Programmierung in C-Slang, oder Visuell, oder anderer runtercompilter Programmiersprache -> GPIO erklären (general purpose input output) -> ESP8266 - ESP32 -> Webcam am PC -> Raspberry Pi (Zero W) -> PentaLight PentaBug Pentablink Great Scott Alexander Spieß Defendtheplanet.net :) Softwarebrücken: If this than that (IFTT) MQTT Eigener Webserver #InternetOfThings is when your toaster mines bitcoins to pay off its gambling debts to the fridge https://chemnitzer.linux-tage.de/2018/en/programm/vortraege == Januar 2018 == Sendungstitel: Prozessor gib mir alle deine Daten! (Meltdown und Spectre) Willkommen zur ersten Folge Pentaradio 2018 News * Es war Congress * Danach kamen Spectre und Meltdown * Vorstellung Gast * Pentaradio übernimmt coloRadio-TKs jeden vierten Dienstag im Monat :P Thema Meltdown / Spectre * Geschichte * Weg von der Endeckung bis zur Veroeffentlichung * Technische Details * Seitenkanal attacke Unterschied zum Exploit * speculative execution * out-of-order execution * Prozessor Schutzmechanismen * Konkretes Problem im Prozessor und Exploit * Wer ist betroffen * fast jeder da Hardware-Lücke (Meltdown Intel, Spectre viele mehr) * nicht nur x86 auch ARM und Power * Exploits * schwer zu erkennen * Debug von Software auf gehäufte "Syscalls", weil Caching etc erforced werden? * Gegenmassnahmen * KAISER / KPTI - Updated euere Betriebssysteme * Updatet Browser und Grafikkartentreiber * Virenscanner? (Sollten wir zumindest nennen, falls Laien nicht schon verloren wurden) * Microcode patches koennen unter Linux zur Laufzeit ausrollen * Microsoft und Apple kann das nicht. Da muesste der Nutzen ein BIOS Update machen um ein Microcode update zu erhalten. * 1000 Usablitiy Sternchen fuer Linux \o/ * (Oder auch nicht? Einige Updates werden gerade zurückgezogen) * https://www.heise.de/newsticker/meldung/Meltdown-und-Spectre-Intel-zieht-Microcode-Updates-fuer-Prozessoren-zurueck-3948447.html * Schadensbeseitgung * Prozessor Patchen * Betriebssystem Update * Compiler Update * Alle Anwendungen neu uebersetzen * Performance Implikationen * TLB-Flushes durch context switches * syscalls * IPC * I/O * reine compute performance ist nicht so betroffen * Folgen fuer die Prozessorhersteller und Prozessoren der Zukunft * x86 ist end of live * Prozessordesign mit Security als Anforderung ist notwendig * http://libresilicon.com/ * Zukunft solcher Attacken - mehr Hardware Bugs * Das ist erst der Anfang, es wird noch viel mehr side-channels geben in der Zukunft * Gute Schlussfolgerungen Wir brauchen offene Hardware und offene Software fuer alles und alle! Vorschläge: - einem 2017 IT-Jahresrückblick (schlimmste Lücken, Probleme, beste Neuigkeiten) - Robot Operating System (ROS) - https://defendtheplanet.net/2014/11/06/a-short-introduction-into-ros/ * Alles Scheiße - Lass uns ranten… * Wikipedia * Mobilfunk (Deutschland, andere Länder) * Vectoring * Netzpolitik * Cyber == Dezember 2017 == Sendungstitel: NEIN.NEIN.NEIN.NEIN. (DNS und quad9) Willkommen zum Pentaradio Folge * Kurze Anmerkung aus der letzten Sendung:Google evtl. nicht alle TOR Nodes :) * Einleitung - Wo sind wir: Eigenbaukombinat, denn es ist Congress in Leipzig 27.12. * Kühlraum des Fleischkombinats in Halle * Anlass für die heutige Sendung ist das neugegründeten DNS Provider Quad9 DNS Provider? * Wie komme ich zu einer Webseite wenn ich das im Browser eintippe? Probleme: Wo im Internet ist https://eigenbaukombinat.de? Spreche ich wirklich mit C3D2.de ? * Pakete (7-Schichtmodell) * Physikal am Bsp. Webseite Kupfer 1500(?), Funk (2,312bytes?), CAN-Bus, * DataLink am Bsp. Webseite EthernetFrames / Fast Ehternet / PPP (danach nur noch 1.492) / FDDI, Token Ring etc * Network am Bsp. Webseite IPv4((inkl. ICMP ARP RARP) IPv6 IPSec IPX RIP * Transport am Bsp. Webseite TCP / UDP -> * ---- Wo ist denn mein Kommunikationspartner im Internet???? --> DNS * (Session am Bsp. Webseite & Transportation am Bsp. Webseite) * Application am Bsp. Webseite FTP, HTTP, POP3, IMAP, telnet, SMTP, DNS, TFTP * Überleitung: in den Paketen stehen dann nur Nummern, keine www.c3d2.de * DNS Domain Name System * Telefonbuch des Internets * Was steht da so drin? * A Record 217.197.84.51 * AAAA Record 2001:67c:1400:2240::3 * TXT "v=spf1 mx -all" * NS (Secondary Nameserver) * MX MX 10 mail.c3d2.de. * SOA? * ISDN :) * dig +nocmd defendtheplanet.net any +multiline +noall +answer * Anfällig gegen Zensur * Normalerweise durch den provider angeboten * Telekom Suchseite * Kabeldeutschland? * manchmal etwas langsam * Es gibt auch Alternativen: * Telekom (langsam, zensiert) * Comodo, Yandex, Verisign, Norton, * OpenDNS (Cisco?) * 8.8.8.8 (manchmal als Grafitti an der Wand, weil lokale Provider zensiert) * Google DNS (bzw. 8.8.4.4) * Discuss * https://jussiparikka.files.wordpress.com/2014/03/bjpcj1diqaazkgm.jpg * https://www.quad9.net ( 9.9.9.9 ) * 100+ nodes * 2620:fe::fe * 9.9.9.9 * Unsecure Option (No blocklist, no DNSSEC, send EDNS Client-Subnet) * 2620:fe::10 * 9.9.9.10 * sind schnell * soll vor Botnetzattacken, Malware, Download-Seiten schützen * Kein-Logging * https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alternative-zum-Google-DNS-3890741.html * https://www.theinquirer.net/inquirer/news/3021536/ibm-teams-with-global-cyber-alliance-to-launch-quad9-a-free-public-domain-name-service-system * als Collaborationspartner zählen * PCH (Packet Clearing House) * non profit research institute von 1994 * steckten 2013 in 1/3 der 350 weltweiten Internet exchange Points * arbeiten daran ROOT-DNS stabiler, schneller, sicherer zu machen * geben workshops etc * bieten Peerings an 164 Internet Exchange Points * Partners und Geldgeber * Cisco * LevelOne * Comcast * CBS Interact * Verizon * VMWare * amsix * decix * amazon * Goldman Sachs * United Nations Development Programm (UNDP) * Global Cyber Alliance * Partner * United States Secret Service * CERT EU (weil BSI usw) * Frauenhofer Aisec (Angewandte integrierte Sicherheit) * NH-isac * Prometeus (wurden kurz vor Quad 9 gegründet) * Banken VirginMoney - komisch * Sophos * industry * Lockheed Martin * Goverment * City of London Police * France Ministry of Justice: Division of Criminal Affairs & Pardon * France National Police * Manhattan District Attorney’s Office * Multi-State Information Sharing and Analysis Center * National Information Technology Authority – Uganda * New York City Department of Information Technology and Telecommunications (NYC DOITT) * Procureur de la Republique Paris * Sioux County, Iowa * United States Secret Service * IBM (International Business Machines) * IBM Funding (insgesamt 25 Milllion Dollars) * Warum machen die Das? * IBM X-Force * commercial security research * 32 Milliarden Analysed Web Pages and images * 8 M Spam and Fishing * IBM X-Force Exchange is a threat intelligence sharing platform * Kritik: * "White- und Gold"-Listen für die Großen * Das Versprechen einer DNS Firewall * Alternativen * Https-everywhere als SSL-Pinning (sobald erster Versuch durch ist) * TOR? * DNSMasq * eigener DNS Server für Organisation / WG / Familie --- optional --- * Congress 34C3 * Wann und Wo? * Vorträge auf die man sich freut * Intel Managing Engine * KRACK * keine FnordNewsShow?!?! * Assemblies * TUWAT.txt Daß die innere Sicherheit erst durch Komputereinsatz möglich wird, glauben die Mächtigen heute alle. Daß Komputer nicht streiken, setzt sich als Erkenntnis langsam auch bei mittleren Unternehmen durch. Daß durch Komputereinsatz das Telefon noch schöner wird, glaubt die Post heute mit ihrem Bildschirmtextsystem in "Feldversuchen" beweisen zu müssen. Daß der "personal computer" nun in Deutschland den videogesättigten BMW-Fahrer angedreht werden soll, wird durch die nun einsetzenden Anzeigenkampagnen klar. Daß sich mit Kleinkomputern trotzalledem sinnvolle Sachen machen lassen, die keine zentralisierten Großorganisationen erfordern, glauben wir. Damit wir als Komputerfrieks nicht länger unkoordiniert vor uns hinwuseln, tun wir wat und treffen uns am 12.9.81 in Belin. Wattstr. (TAZ-Hauptgebäude) ab 11:00 Uhr. Wir reden über internationale Netzwerke – Kommunikationsrecht – Datenrecht (Wem gehören meine Daten(?) – Copyright – Informations- u. Lernsysteme – Datenbanken – Encryption – Komputerspiele – Programmiersprachen – processcontrol – Hardware – und was auch immer. Tom Twiddlebit, Wau Wolf Ungenannt(-2) == November 2017 == * neue Onion-Services ((Zwiebel)dienste 3.0) An wen richten wir uns? - an die Szene und an die Leute von Außerhalb, beide sollen vom Radio nicht verschreckt werden TODO * honky * [x] kürzbare (z.B. ohne Text) Music raussuchen - so 5 Stück mit Autor * https://www.openbsd.org/lyrics.html * freemusicarchive top 100 * [x] Onion Service 5 Satz Erklärung * Simon * Anfänge von Tor wo Navy drauf aufsetzt * Ich hab nichts gefunden .... lassen wir dann wohl weg * Was ist Tor? * anonymes Internet im Internet * *hand wave* Deep web *still waving* Dark Web * Tor kann derzeit theoretisch 200GB/s pushen, effektiv ist es weniger als die Hälfte * davon sind etwa 3% Onion Service Traffic * in Zahlen: ~1GB/s * Das ist ein Schneeball vom Eisberg * Ein Zählung der Onion Adressen (https://metrics.torproject.org/hidserv-dir-onions-seen.html) ergibt ähnliches * Funktionsweise * als Nutzer einfach runterladen, ein Firefox ohne Install * Zwiebelschalenprinzip * Verteilung von Traffic auf verschiedene Relays * Gründe für Tor * Politische Systeme / Zensur, Überwachung * Werbenetzwerke / Malware * Diversität der Nutzerschaft (nicht nur politische Aktivisten!) * Geschichte Tors * Ausgangspunkt: »Untraceable electronic mail, return addresses, and digital pseudonyms« von Chaum * Später anon.penet.fi von Julf Helsingius * danach Cypherpunks-Remailer und Mixmaster-Remailer als praktische Anwendungen * Pfitzmann mit ISDN-Mixen * Einer der ersten Ideen zu Tor is »Hiding Routing Information« von Goldschlag, Reed und Syverson * Ursprungsidee aus Slovenien? 87/88 Mailboxen? * von Navy Geheimdienst Naval Research Lab (Forschungszweig der US Navy und USMC) https://en.wikipedia.org/wiki/United_States_Naval_Research_Laboratory * dann der Community übergeben * seit 15 Jahren in freier Hand und * überprüft und vertrauenswürdig * 200Gbit/s advertised Bandwith / 100 genutzt / 3% davon Onion Service * Anzahl der Nutzer * Gründe gegen Tor * Performance (in Deutschland und USA geringeres Hindernis als in Asien/Afrika) * Einschränkungen bei der Nutznug * Google Captchas --> https://privacypass.github.io/ * Wikipedia nicht editierbar; Man kann Beantragen, dass der eigene Account von den IP-Blockierungen ausgenommen wird * weil man was anderes nutzt und das dem Zweck genügt * SPAM Lister * Tor is not foolproof * opsec mistakes * browser metadata fingerprints (chrome has proxy bypasses by design) * browser exploits * traffic analysis * Mythen über Tor * Navy wrote it ("Dingledine did it") ... but partly at NRL * NSA runs half the relays (they simply don't and if they don't have an incentive) * Tor is slow (it was but it's fasten when more happen to use it) * 80% of Tor users are doing bad things (normal users at 80% mostly facebook und google) * Nur 3% des Tor traffics sind onion services (Mai 2017) * https://www.youtube.com/watch?v=AkoyCLAXVsc * doing it, makes NSA watching me (they are watching anything) * i heard Tor is broken * Onion Services * Beispiele * Protokolle (http,https,ssh,irc,mail,…); Tor ist egal, was du transportierst (solange es TCP ist) * Secure Drop (New Yorker Strongbox, Guardian etc) WhistleBlowing Plattforms * Ricochet/briar/Tor Messenger, decentralised instant message; Jeder Nutzer ist ein onion service sind * https://en.wikipedia.org/wiki/Tor_(anonymity_network)#Tor_Messenger * OnionShare OneTime-Website for Sharing files as e.g. Journalist * anonymous Updates (z.B. für Debian-Packete) apt-tor-transport * Facebook (largest "deep web" site) 1 Million people use Facebook over tor April 2016 * https://facebookcorewwwi.onion will direct tracking canvas malen :D * Arbeitgeber soll nicht sehen, dass ich den ganzen Tag nur Facebook nutze ;-) * NYTimes * https://www.nytimes3xbfgragh.onion/ * Google * Benutzung durch z.B. zensierende Systeme * https://metrics.torproject.org/userstats-relay-table.html * Funktionsweise * Step 1: Bob picks some introduction points and builds circuits to them * Step 2: Bob advertises his hidden service XYZ.onion at the Database "in the sky" (HSDIR all 96 hour relays) * Step 3: Alice hears that XYZ.onion exists and she requests more info at the database. She also sets up a rendevous point at a non IP relay. * Step 4: Alice writes a message to Bob (encrypted to PK) listing the rendevous point and a one-time secret and asks an introduction point to deliver it to bob * Step 5: Bob connects to the Alice's rendezvous point and provides her one-time secret (handshake + encryption) * Step 6: Bob and alice proceed to use there tor circuits like normal Zusammenfassung der Funktionsweise in wenigen Sätzen: Bob möchte für eine in seinem Land Absurdistan verbotene Demo/Partei/Religion eine unsperrbare Webseite anbieten. Hierfür legt er auf einem Server einen Onion-Service an, welcher sich eine Adresse generiert und es an 3-bzw.6 Relays (den Knotenpunkten des Tor Netzwerkes) bekannt gibt - die sogenannten Introduction Points. Anschließend druckt er diese Adresse auf einen Zettel und verteilt diesen in seiner Gruppe/Partei/Gemeinde. Alice bekommt einen dieser Zettel und tippt die Adresse in ihren Tor-Browser. Dieser kann anhand der Adresse und dem HSDir einen der 3. bzw. 6 Introduction Points kontaktierten. Außerdem gibt Alice ein anderes Relay als Treffpunkt mit (Rendevouz Point) vor und unterschreibt alles kryptografisch. Der kontaktierte Introduktionpoint gibt Bobs Onion-Service die Information "Da ist jemand, der deine Daten will und er wartet übrigends an Rendevouz Point dort drüben". Nun kontaktiert Bobs Service den RP und kann durch die Signatur beider Services sicherstellen nur mit Alice zu kommunizieren. Vorteile des Systems: - Alice kennt die Adresse/Guard von Bob nicht. - Bob kennt die Adresse/Guard von Alice nicht. - der Introductionpoint weiß nicht ob und welche Daten ausgetauscht wurden. - der Rendevouz Point weiß nichts von Alice und Bob - niemand in Absurdistan kann wissen, was über Bobs Seite ausgetauscht wurde, selbst wenn der Geheimdienst tor exit nodes betreibt. Cool things about it: Rendezvous Point doesn't know who alice or bob is, it is beeing used once knows nothing * Neuerungen (am besten auf das Beispiel beziehen) * each onion service picks 6 tor relays each day uses HS Directory * #1 old onion keys are weak * was first 80 bits of SHA-1 of the 1024-bit RSA key (each word is bad news) short 16 chars * now: ED25519 long 52 chars (ed25519 public key base32 encoded) * #2 Global shared random value (not predictable) * HSDir relays were predictable, and therefore bad guy runs 6 relays that would have been picted * #3 new crypto hides the address * HSDirs get to learn onion addresses by running relays and learn unpublished onion addresses * now signing by subkey * implizites Signing * #4 Rendevouz single onion services * 3hops by alice just one hop for bob (which can be located) * e.g. for Facebook, debian, … * #5 Guard discovery is a big deal * Tor client uses a single relay (called guard) for the first hop * really bad for onion services * really good against other attacks -> * Vanguards proposel * https://www.youtube.com/watch?v=AkoyCLAXVsc * Motivation * Erreichbarkeit * NAT Punching * Anonymität != Verschlüsselung * "We kill people based on metadata" * Anbieter des Service * Nutzer des Service * Serverzugriff * Angriffe auf Onion Services * Tor Adresse vorlesen * Wohin soll diese zeigen? * * Warum nutzen wir Tor? * congress vom 27.-30. in Leipzig * congress everywhere * chaosZone assembly Links: Vortrag: https://www.youtube.com/watch?v=Di7qAVidy1Y auch gut: https://www.youtube.com/watch?v=AkoyCLAXVsc (ab Minute 30) https://metrics.torproject.org/ https://metrics.torproject.org/bandwidth.html?start=2000-01-01&end=2017-11-22 <- 200 GBit/s advertised, 100 GBit/s used) https://metrics.torproject.org/hidserv-dir-onions-seen.html <- 1 to 2 GBit/s used for onion traffic https://www.heise.de/newsticker/meldung/IETF-Streit-ueber-Verschluesselung-Darfs-ein-bisschen-weniger-sein-3889800.html https://trac.torproject.org/projects/tor/wiki/doc/NextGenOnions https://blog.torproject.org/tors-fall-harvest-next-generation-onion-services https://github.com/katmagic/Shallot <- onion address (version 2) berechnen für die Zukunft https://www.anon-next.de/ == Oktober 2017== == September 2017 == * Entfallen wegen Fnord == August 2017== * Lief eine Folge von Damals TM * http://damals-tm-podcast.de/index.php/2017/07/28/dtm044_fernschreiber/ == Juli 2017 == * Was sonst noch in unseren Rechnern steckt * Block 1: * Hardware * Einleitung zum Themen-Beispiel: Intel baut noch eine CPU (Intel ME) auf seine Mainboards, die man weder auditen noch abschalten kann, die aber Netzwerkzugriff hat. * Nicht auditierbare Prozessoren in Handys (Baseband etc) * Openmoko * Trusted-Platfrom-Chips (separater Chip der sagt, was gut und was schlecht ist) * Hersteller?, unauditierbar * Drucker hinterlässt unique Fingerprint beim Drucken * Smartphones: Sensoren verraten viele kombinierbare Daten über Nutzer * Autos: regelmäßige Standortmeldungen (Kundenservice) -> kann aber im Notfall auch helfen * Navis loggen die Position, auch wenn sie nicht aktiv sind * Versteckte Webinterfaces/Wartungszugänge (Router -> Telekom!, IoT, Webcams…) * (Windräder-Steuerungen über unsichere Webinterfaces, Smart Grid vgl. IoT) NICHT SICHER * Software * Kleinweich macht, dass man in Windows10 Cortana nicht mehr deaktivieren kann, inkl. Mikrofonzugriff * Datensammlung von Handy-Sensoren * Secure Boot (nur signierte Sachen starten, aber Fail weil Keys im Netz gelandet...) << welcher Key * Amazon Alexa und ähnliche * Roombas kartieren die eigene Wohnung (Geschäftsidee: API für IKEA), Internet of Shit * Google recaptcha trainiert Bildererkennungs-Algos * Smartphones: * OK Google (Now) * Smartphones scannen nach Wifi-Netzen, Location durch Wifi-Ortung (manche Browser machen das auch) -> verbessert aber dafür Lokalisierung, zusätzlich zu GPS * IDEs und Libs bauen Dinge in Software, von denen weder Entwickler noch User etwas wissen, teils von Herstellerseite, teils weil manipulierte in Umlauf gebracht wurden * Libraries, die vllt Open Source sind, aber nicht gecheckt werden (Beispiel Javascript/Einbinden fremder Quellen?) * Websites, die SaaS-Backends verwenden (Dropbox, hosted in USA) * Warum ist das eigentlich schlecht? (Datenschutz, Integrität, Zuverlässigkeit, Einfallstor für Malware) * Warum wird das eingebaut? Bessere Produkte durch Personalisierung, Management von großen Netzwerken * Block 2: Beispiel Intel Management Engine * Gehört zur vPro-Produktfamilie, ist der Hardware-Chip, welcher von anderen Features verwendet wird * Coprozessor direkt am NIC, always-on, Mikrokernel, Zugriff auf CPU, RAM, NIC * Eigene Firmware, root of trust ist eingebrannter Intel-Signierkey * Alternativen: AMD Secure Processor, ARM TrustZone * TPM, DRM (PAVP, auch mit Cloud-Anbindung, kopiert dann encrypted video direkt in GPU), MEI-Treiber für Windows für Java-Applets in DAL * Probleme: * Unverhältnismäßigkeit * Erfolgreiche Attacken * 2009: „Ring -3“ rootkits by Invisible Things Lab. Targets memory remapping in Series 3 * 2010: „Zero touch“ enforced configuration by Vassilios Ververis. Targets unsecured deployment via DHCP in Series 4 * Mai 2017: „Silent Bob is Silent“ by Maksim Malyutin from Embedi. Exploits broken HTTP digest authentication in AMT * Juni 2017: Misuse of Serial over LAN (SOL) by the PLATINUM group. Redirects malware traffic on compromised host through ME, bypassing OS firewall * Patching ein Problem * Kaufen von gebrauchter Hardware ist ein Problem, AMT könnte provisioned sein (CompuTrace) * ME könnte missbraucht werden * Signaturkey könnte geknackt/gestohlen werden und Malware als Applets in der ME landen * Schutz * Ausschalten der ME meist nicht möglich, wenn dann nur Software-„Versprechen“, Funktionalität muss von BIOS implementiert werden * Hardwarezugriff auf Speicherchip ist nur mit speziellen Kenntnissen möglich * Gesetze, Regularien… * Keine Produkte kaufen, die den Kunden so in Gefahr bringen * Pros * Management-Features für Firmen * Trusted Computing gegen Malware * Block 3: * Was sind Audits? * Warum sind die wichtig? (Admins müssen wissen was bei ihnen läuft) * Anwender müssen Quellcode und Binary vergleichen können (was nützt AGPL, wenn ich nicht den fremden Server einsehen kann?) * Nur freie und offene system sind auditierbar (Verifizierbarkeit) Siehe http://boingboing.net/2016/06/15/intel-x86-processors-ship-with.html http://www.pcworld.com/article/3100358/windows/you-cant-turn-off-cortana-in-the-windows-10-anniversary-update.html https://www.heise.de/security/meldung/Linux-Tueftler-wollen-Intels-Management-Engine-abschalten-3596075.html https://www.scmagazineuk.com/debugging-mechanism-in-intel-cpus-allows-seizing-control-via-usb-port/article/630340/ Hersteller der es anders machen will: https://puri.sm/ bis hin zu RYF Zertifizierung durch die FSF http://www.rubos.com/ https://www.heise.de/newsticker/meldung/Roomba-Hersteller-der-Staubsaugerroboter-will-Karten-der-Wohnungen-verkaufen-3782216.html https://googleprojectzero.blogspot.de/2017/07/trust-issues-exploiting-trustzone-tees.html https://www.intel.com/content/dam/www/public/us/en/documents/datasheets/9-series-chipset-pch-datasheet.pdf Musik Empfehlung: Opening: LukHash (den muss man aber ausspielen ;-) ) Mitte: Muciojad ggf. noch StrangeZero Ende: Krazis == Mai 2017 == === Thema OStatus === * Abgrenzung Topologien verteilter Systeme: Föderiert != P2P * StatusNet als Twitter-Alternative * Linked Data, W3-Bemühungen * Super-erfolgreiches Crowdfunding: Diaspora, the Facebook Killa oder halt auch nicht * Inkompatibilitäten * Neuer Hype: Mastodon * Spezielles Umfeld * Caching von Inhalten * Schwäche von federation: Inhalte müssen explizit zugestellt werden, sonst nicht sichtbar ** Hashtags ** alteToots/ Posts * Pods ohne Aufsicht * die Zukunft: W3C und Activitypub Shownotes: - [Hugs for Chelsea Sampler](https://hugsforchelsea.bandcamp.com/ ) - [Epicenter.works -aktiv für Netzneutralität](https://epicenter.works/ ) - [Irisscanner im Samsung Galaxy S8 ausgetrickst](https://media.ccc.de/v/biometrie-s8-iris-fun ) - Musik: [Kubbi - Ember](https://kubbi.bandcamp.com/album/ember ) == April 2017 == Musik: ParagonX9 - Chaoz Fantasy (8-bit) https://soundcloud.com/paragonx9/paragonx9-chaoz-fantasy-8-bit Thema "Leaking NSA's and CIA's secrets - Shadow Brokers and Vault7" Begriffserkläungen / "Bingokarte" - Vault 7 - Confluence - Shadow Brokers - konstruierte Sprache - Wikileaks - Leak - NSA - CIA - Exploit - Zero-Day - Smart TV - Wheeping Angel - (Project Dark Matter) - (Marble Framework) - (Grashopper Framework) - (HIVE) - Snowden - Doublepulsar - White Hat - Black Hat - Solaris - Kriminelle nutzen 0-days aus - Microsoft patcht im März (vor Release) - Updaten hilft - Bezug zueinander - SWIFT Hack Veranstaltungshinweis: https://entropia.de/GPN17 Was ist was? Vault 7 - CIA, Wikileaks Shadow Brokers - NSA, Gruppe,.. - Anlehnung an... Einordung * Shadow Brokers / Vault 7 = Werkzeugkiste * Snowden Leaks = Masterplan Was wurde eigentlich geleakt? * Vault 7 auf Wikileaks (CIA) * Angriffe auf Endgeräte * z.B. Samsung Smart TVs https://wikileaks.org/vault7/document/EXTENDING_User_Guide/EXTENDING_User_Guide.pdf * erklärt wie Exploits laufen * erklärt wer die Infos kommen (NSA, UK, gekauft), wie lange es lief https://wikileaks.org/ciav7p1/cms/page_13205587.html * Shadow Brokers * sieht nach internen Dokumenten aus .docs Ordner "not for release" * keiner Hackergruppe, sondern Konstrukt * sehr eigenartige Sprache * immer auf komplett anderen Medien publiziert * box.com, mega, Medium, Twitter und Github (NSA) * vergleichbar mit Snowdenleaks, aber in Presse runter gespielt * Welch Leaks gab es (Name, was für ein Angriff ist es)? * eher auf Infrastruktur, Unis, Telcos Blick auf Mainstreampresse * Spiegel & co, Heise Reaktion in der Nerdszene großes Interesse, aber kaum Reflexion in der Nerdpresse, dafür um so mehr in kleinen Blogs und Twitter "Pressemitteilung": https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1 Arbeit der Geheimdienste NSA - strategische Ausrichtung CIA - taktische Spoinage CIA nennt Wikileaks einen "feindlichen Geheimdienst" https://www.heise.de/security/meldung/CIA-Chef-sieht-in-Wikileaks-einen-feindlichen-Geheimdienst-3686088.html Man sieht an den Exploits schön deren Ausrichtung und Arbeitsweise Klar: Agencies horten Exploits, sie tauschen bestimme Dinge aus Misstrauen zwischen den Diensten durch die Leaks -> Hinderlich für die Zusammenarbeit -> Ineffizienz! Shadow Brokers: Theorie: Whistleblower, russischer Geheimdienst, von Russen engagierte Söldnerhacker Beispiel Exploits: Vault7: Ausrichtung der Hacks an dem was in Szene (black + white) diskutiert wird Shadow Brokers: z.B. Solaris Exploits Warum eigentlich Solaris? Bewertung Warum kommt beides zur ungefähr gleichen Zeit? Hängt es miteinander zusammen, auch wenn unterschiedlich bearbeitet und untersch. Quellen? Geheimdienste kochen auch nur mit Wasser, gut aber keine magic Schaden für Dienste ähnlich groß wie bei Snowden andere Dienste lernen davon bisherige Angriffe können dagegen getestet werden Leider wahr: Schwachstellen werden nun gegen Bevölkerung eingesetzt (Botnetze, Kriminelle, ...) Egal, wie esoterisch Sicherheitslücke sein mag, sie wird ausgenutzt Aber: kein Hexenwerk; Übermächtigkeit beruht teilweise auf Mythos #Musik: Bajo Calle - Wait https://www.jamendo.com/track/1380782/wait Wie kann sich schützen? * Updaten hilft; immer neustes OS einsetzen * Sinnvoll konfigurieren hilft * Kryptographie hilft #Musik: J.O.R.B.I - Thunder and War https://www.jamendo.com/track/1440190/thunder-and-war Links: Analyse zu Leaks, die nicht von Snowden zu stammen scheinen: * https://electrospaces.blogspot.com/2015/12/leaked-documents-that-were-not.html Zu Shadowbrokers * http://www.zeit.de/digital/internet/2017-04/shadow-brokers-nsa-passwort * https://www.heise.de/security/meldung/Geleakte-NSA-Hackersoftware-Offenbar-hunderttausende-Windows-Computer-infiziert-3692106.html * https://zerosum0x0.blogspot.de/2017/04/doublepulsar-initial-smb-backdoor-ring.html * https://community.rapid7.com/community/infosec/blog/2017/04/18/the-shadow-brokers-leaked-exploits-faq * https://en.wikipedia.org/wiki/The_Shadow_Brokers * https://habrahabr.ru/company/infosecurity/blog/327114/ Zu Vault7 * https://wikileaks.org/vault7/document/EXTENDING_User_Guide/page-1/#pagination * https://www.heise.de/security/meldung/Sicherheitsupdate-Angreifer-koennten-Inhalte-von-Confluence-Wikis-einsehen-3692816.html * Veranstaltungshinweise: GPN 25.05. -28.05. Karlsruhe Bitte Feedback unter: https://pentamedia.org/pentaradio https://twitter.com/pentaradio https://itun.es/i67G7RS == März == Thema: 10 Jahre Pentaradio Aufzeichnungstermin: 14. März 2017 um 21:00 Uhr (?!) Mit im Studio: Astro, a8, Friedemann, Blastmaster Nachrichten * Release OpenBSD 6.1 zum Ende März (Virtualisierung (vm) und Aktualisierung (upgrade) nun möglich (patch)) Auswertung CLT: https://chemnitzer.linux-tage.de/2017 10 Jahre Pentaradio Ausschnitt Sendung vom 26. Januar 2010 Zitat Tim: Bingokarte bei Themen, nicht zu viel vorbereiten, Gespräch muss natürlich bleiben Timestamp: ca. 52:30 bis 55:37 Audiodatei: http://ftp.c3d2.de/pentaradio/pentaradio-2010-01-26.mp3 Story Apple: Support lässt uns wieder in den iTunes Store Let's Encrypt Certs, Apple meldet sich, wenn es wieder geht ;-) Feeds wurden getunt, neues Artwork (1400x1400px), wir haben jetzt "Clean Lyrics" Ausschnitt aus Sendung von 2006 Audiodatei: https://c3d2.de/news/pentaradio24-20060608-mitschnitt.html (meine ersten Datenspuren...) Ausschnitt aus Sendung vom 26. Juni 2012 Skype "könnte Backdoor einbauen" -> hat sich bewahrheitet Audiodatei: http://ftp.c3d2.de/pentaradio/pentaradio-2012-06-26-skype.mp3 Aufruf zu mehr Sendungsfeedback! Schreib uns bitte Kommentare und Bewertungen. Möglichkeiten: Pentamedia: https://pentamedia.org/ iTunes Store (Sternchen und Reviews): https://itunes.apple.com/de/podcast/pentaradio/id350873124?mt=2 Twitter: https://twitter.com/pentaradio Hörertreffen? == Februar == Nächstes Mumble: Mi 22.02.1017 20:00 Uhr Vorstellung #Musik: Highmas - Hey Jade https://www.jamendo.com/track/1326833/hey-jade-instrumental-version * Heimautomatisierung * Wozu eigentlich? Aufhänger: Was kann man selber machen? * Protokolle und Techniken Was gibt es ? (proprietär/open, Hardware/Software, lokal/Cloud) ** IOT-Botnet-Welle für Angriffe *** bei billigen Geräten die Gefahr dass es keine Updates mehr gibt und dann mit offenen Lücken am Netz *** klappte bei Phillips gut Kabel: ** KNX "professionell" und total veraltet, nicht mal richtiges Auth ** CAN eher im Industriebereich Funk: ** ZigBee, Bluetooth LE, WIFI, DECT *** kaputtes Zigbee, fest implementierte Keys geleakt OSRAM Lücken: https://community.rapid7.com/community/infosec/blog/2016/07/26/r7-2016-10-multiple-osram-sylvania-osram-lightify-vulnerabilities-cve-2016-5051-through-5059 Hue Wurm: http://iotworm.eyalro.net ** Z-Wave auch kaputt (Keys geleakt) --> Alex sagt was zu Sicherheit ** Homematic - http://www.homematic.com ** EQ3 - http://www.eq-3.de ** OpenHAB (Java) - http://www.openhab.org ** HomeAssistant (Python) - https://home-assistant.io ** FHEM (Perl) - https://fhem.de/fhem.html ** HomeKit von Apple - https://www.apple.com/de/ios/home/ *** sah gut aus was Sicherheit betrifft, jemand der keinen zweiten Faktor hatte konnte nicht zugreifen trotz Einladung *** funktioniert sehr gut *** Zubehörteile doch recht teuer *** Daten wandern nicht über die Cloud # Musik: http://dig.ccmixter.org/files/destinazione_altrove/51585 Do I Wanna Go Home ( Remix ) - Dysfunction_AL * Services, Vor- und Nachteile ** oft in der Cloud und damit problematisch *** mangelde Sicherheit *** no privacy *** Anbieter verschwinden, Technik dann nur noch Elektroschrott * Selber machen ** Server wird gebraucht, kann meist ein Raspi sein ** freie Implementationen (Calos etc) ** Strom sparen, Komfort (Heizung, Licht) ** Welche Sensoren ** Welche Aktoren ** Friedemann: Erfahrungsbericht HomeAssistant, FHEM (kurz), HomeKit (kurz) *** Friedemann hat 2 Lampen mit Temparaturregelung und 2 mit hell und dunkel Einstellung + Zigbee hub **** mit Apple Homekit --> geht gut, auch mit Siri **** mit App Philips Hue --> geht gut **** geplant Ansteuerung mit HomeAssistent auf Raspi ***2 Steckdosen eine über DECT und Stromesseung **** Fritzbox klappt gut, sehr genau **** geplant Ansteuerung mit HomeAssistent *** 433 mHz für Funksteckdosen **** geplant Ansteuerung mit HomeAssistent,aber nicht so smart ** Alex: Erfahrungsbericht OpenHAB *** Installiert auf Raspi, Raspi 2 zu langsam --> VM Virtual Box *** OpenHAB2 Alex wird damit nicht warm *** wirkt unfertig (Dinge geplant aber nicht implementiert), lieber HomeAssistent als selbst gebautes *** man kann damit funkt. SmartHome bauen *** Ersatz für kommerzielle Produkte *** Beschreibungssprache hat unschönen Syntax *** scheint kommerzielles Interesse zu verfolgen, bzgl. Cloudservice (erst Mal kostenlos) **** jetzt mit Amazon Echo und Push Notifications von Smartwatches, OAuth über Facebook ** HomeAssistant vs OpenHAB auf Reddit: https://www.reddit.com/r/homeautomation/comments/4hs86h/home_assistant_vs_openhab_how_do_they_compare/ *** HA: bessere GUI, flexibler, höhere Hackfaktor ** Alex Ansatz zum komplett selber bauen * Zukunftsausblick ** Probleme von Funk --> vll Überlastung wie bei WLAN ** vll Wardriving wie bei WLAN mapping MQTT: https://www.heise.de/security/meldung/MQTT-Protokoll-IoT-Kommunikation-von-Reaktoren-und-Gefaengnissen-oeffentlich-einsehbar-3629650.html Musik: http://dig.ccmixter.org/files/F_Fact/34749 Home - Platinum Butterfly == Januar == Fake News Einleitung # MUSIK: Alan Walker - Fade * Was sind Fakenews? * schwammiger Begriff, Zusammenfassung von vielen versch. Dingen, erklären wir dann bei den versch. Arten wird alles in einen Topf geworfen (Alex) Ambitionen und Hintergründe werden nicht hinterfragt, obwohl essentiell für Ursachenbekämpfung * Warum machen wir jetzt die Sendung * seit November wieder mehr Aufmerksamkeit, gerade wieder mehr Konjunktur, Angst wegen Bundestagswahl (Lutz) * September 15 Balkanruhe, viele Geflüchtete * Silverster 15/16 * Trump * Polizei hat jetzt wichtige Aufgabe, ordentlich zu informieren (z.B. Breitscheidplatz) oder Fakenews entgegenzuwirken (...das ist so nie 0passiert) * Seit wann gibt es sie? * kein neues Phänomen * Mittelalter: Konstantinische Schenkung * 1994 Microsoft kauft Vatikan und Bibelverfilmung * Beispiele: * Migrantenschreck Großbestellung Charite Chefarzt [1] (Friedemann) * u.a. Renate Künast verklagt jmd wegen Fakenews [2] (Friedemann) * Brutkastenlüge Irgakrieg (Anne) * Kosovokrieg Lüge über angebliche KZs (Alex) * Inwiefern unterscheiden sich die Hoaxmapberichte von Fakenews (Lutz) * Beispiele oben sind was anderes * kam auch unerwartetes * Was ist Hoaxmap --> kurze Vorstellung (Lutz) * Beispiele von Lutz von Hoaxmap * # MUSIK: Jonathan Mann - Living In The Age of The Hoax * Arten: * Kommerzielles Interesse * Verweis auf Pentaradio zu Werbenetzen, kurze Funktionsweise * Soziale Netze, Filterblasen, Social Bots, YouTube * Werbebanner -> Währung des Internets * Es geht um Klicks auf ihren Seiten, um Geld zu verdienen (hohe Conversion Rate) * Worauf klicken Leute gerne? Seichte Stories, Katzenbilder, etc. * Von Privatpersonen (-> Facebook, Twitter, private YouTuber, Gerüchte aus Offlinewelt, Lutz) * Aufmerksamkeit generieren * Politische Agenda * Kettenbriefe, Petitionen * Von politischen Organisation herausgegeben (Partien, Dienste, ...) * Propaganda * Fakenews von Privatpersonen und aus kommerziellem Interesse weiterverbreiten * Nachrichten werden ggf. immer weiter optimiert * Breitbart News deckt alles ab * Genaue Zahlen schwierig: * 75-95% Kommerzielles Interesse * 5-15% Privatpersonen * 1-5% Propaganda * Anknüpfung zu Werbenetzesendung * z.B. via Facebook zielgerichtet streuen * Sachen werden nicht runter genommen, weil sie viele Klicks generieren * Verweis: "Build your own NSA" vom 33C3 * Filterblasen in sozialen Netzwerken, Social Bots in sozialen Medien * Leute teilen das, was sie denken dass es gut passt, was sie hören wollen * Ausflug: Was sind Social Bots, jetzt auch in Messengern (Whatsapp, Telegramm,...) * Was machen die, wie arbeiten die,...? * Grenzen fließend in welchen Stufen Leute auf Seiten gezogen werden (Alex) * Ausflug zu Internetrökonomie, zeigt schön wie kaputt alles ist * Lösungsvorschlag: * in Medien Rufe nach übergeördneter Kontrolle durch Fakebook oder Staat * man läuft schnell unmittelbar ins alte Zensurproblem * Leute, die vom Bloggen leben * Werbenetzwerke entkernen, man braucht Alternative, wie man Kontent bezahlt * alte Idee des CCC Kulturwertmarke, Flattr * Medienkompetenz Zukunft der Fakenews schon jetzt sind Photoshop etc in der Lage Bilder zu manipulieren, AI wird das nochmal verschärfen, insbesondere bei Video #MUSIK urmymuse - i don't believe you (ft. Kaer Trouz) auf Weiterführendes verweisen vll Ausflug in Psychologie, gesellschaftlich-soziale Effekte Aufbringen von Leuten Destabilisierung vll Ausflug in Data Science Zur Vorbereitung mal Folgendes anschauen: https://www.dasmagazin.ch/2016/12/03/ich-habe-nur-gezeigt-dass-es-die-bombe-gibt/ --> http://adage.com/article/campaign-trail/cambridge-analytica-toast/305439/ http://jensscholz.com/index.php/2016/12/03/hat-ein-big-data-psychogramm https://www.youtube.com/watch?v=n8Dd5aVXLCc Logbuch Netzpolitik "Fakebook" hat das thematisiert https://logbuch-netzpolitik.de/lnp203-unglueck-im-glueck-im-unglueck auch vom 33C3 Talks dazu, u.a. Spiegelmining Heiseshow gab es auch zum Thema heises beispiel des tages: http://www.spiegel.de/netzwelt/web/fake-news-ermittlungen-gegen-55-jaehrige-wegen-erfundener-vergewaltigung-a-1129223.html Fakenews sammel seite: http://hoaxmap.org/ --> Karolin Schwarz kann man evtl zum Podcast einladen https://theintercept.com/2017/01/04/washpost-is-richly-rewarded-for-false-news-about-russia-threat-while-public-is-deceived/ http://www.theverge.com/2016/12/20/14022958/ai-image-manipulation-creation-fakes-audio-video http://marginalrevolution.com/marginalrevolution/2017/01/authoritarians-distract-rather-debate.html http://www.spiegel.de/netzwelt/web/social-bots-entlarven-so-erkennen-sie-meinungsroboter-a-1129539.html https://www.nytimes.com/2017/01/18/us/fake-news-hillary-clinton-cameron-harris.html?_r=0 https://www.heise.de/newsticker/meldung/Thomson-Reuters-Chefredakteur-Zensur-gefaehrdet-Demokratie-mehr-als-Fake-News-3603080.html?wt_mc=rss.ho.beitrag.rdf https://consortiumnews.com/2016/12/12/us-intel-vets-dispute-russia-hacking-claims/ Vortrag zu Hoaxmap auf dem 33C3: https://media.ccc.de/v/33c3-8288-bonsai_kitten_waren_mir_lieber_-_rechte_falschmeldungen_in_sozialen_netzwerken#video&t=1042 Vortrag zu Hoaxmap auf der Cryptocon: https://media.ccc.de/v/CC16_-_49_-_de_-_sub_lounge_-_201605221300_-_hoaxmap_org_-_lutz [1] http://motherboard.vice.com/de/read/das-ende-von-migrantenschreck-polizei-ermittelt-gegen-kufer-von-waffenversand [2] https://www.heise.de/newsticker/meldung/Fake-News-Kuenast-stellt-Strafanzeige-wegen-Falschnachricht-auf-Facebook-3567961.html == Dezember == Thema: 33C3 Anmerkung: Achtung! Termin der Sendung (27.12.) fällt genau auf den 1. Tag des Kongresses. Da wird sicherlich keiner Zeit haben, eine Sendung aufzunehmen. Aufzeichnung am 20.12.2016 Musik: https://media.sixtopia.net/ccc/pausenmusik/ https://soundcloud.com/alec_empire/alec-empire-atari-teenage?in=alec_empire/sets/alec-empire-30c3-music-for https://www.youtube.com/watch?v=-7jsdj7sqGQ https://www.youtube.com/watch?v=q5w5VX4tAD4 * Warum wir besprechen das Thema jetzt? ** Kongress ausverkauft ** Leute regen sich auf, dass Vouchers bei Ebay liegen --> Alex ** "state of the hacker nation" 33c3, Kartenvorverkauf und ausverkaufte Congresse, die Szene ist plötzlich hip und der Kommerz ist auch angekommen usw. --> Alex *** Anzahl Ebay: 900 Euro teuerste, 6-7 selber gesehen *** andererseits kein neues Phänomen ** Gegenmeinung: Astro: Ich habe da eine andere Meinung. Ich begrüsse die Öffnung der Veranstaltungen für ein breiteres Publikum. Zeit zum Nichtverpeilen gabs genug ** Gegenmeinung: Friedemann: man sieht dort keine Firmenlogos, Sponsoren bleiben ungenannt ** offizielle Ansage auf dem Congress "Leave your damn business at home." * Entwicklung der Szene / Probleme ** es beschäftigen sich einfach mehr Leute mit dem Thema Computer, so fühlt sich Erfolg halt an ** Öffnung der Szene *** Chaospaten ** Firmenhackspaces ** Hipster, Leute mit Profilierungsbedarf ** Firmen die auf der Trendwelle mitschwimmen, Adafruit, Makerbots und ausnutzen * Entwicklung der Besucherzahlen, Geschichte des Kongress allgemein ** Geschichte --> Alex * Was ist der Kongress? ** Familientreffen ** Zerforschen und Ausblicke geben, Helden ehren ** 6/2/1 Regel ** Unterschied zu Veranstaltungen in den USA *** Entertainmentcharakter *** keine Firmen / Werbung *** keine Dienste / Behörden ** Unterschied zum Camp ** Einfluss auf Mainstream * Wie muss ich mir einen Congress vorstellen? ** Engel ** DECT ** Kidsspace ** Tracks ** Assemblies ** Self Organized Sessions ** Lounge ** Blinkenarea, Sendezentrum ** CTF ** Lightning Talks * andere Treffen des CCC über das Jahr ** Datenspuren Dresden ** Gulasch-Programmiernacht Karlsruhe Entropia ** Easter Hack Netz 39 Magdeburg und Stratum * Besprechung interessanter Vorträge aus dem Fahrplan, ** was sollte man sich ansehen, was wird spannend == November == Datenschutz und Datensicherheit im Auto #Musik: AlexBeroza - Just Drive http://ccmixter.org/content/AlexBeroza/AlexBeroza_-_Just_Drive.mp3 Hintergrund: Wollte Elektroauto kaufen und habe mich in dem Rahmen mal mit dem Kleingedruckten befasst, bzw. erst mal das Kleingedruckte überhaupt in die Finger zu bekommen und Heiseartikel http://www.heise.de/newsticker/meldung/ADAC-Untersuchung-Autohersteller-sammeln-Daten-in-grossem-Stil-3227102.html * Siehe auch: Hinweis auf Pentacast zu CAN-Bus im Auto * immer schon wichtiges Thema gewesen, aber gerade sehr akutelles Thema mit Internet im Auto und conneted car * aktuelles Beispiel: ** Herausgabe von Bewegungsprofil bei illegalem Straßenrennen / fahrlässiger Tötung von Radfahrer: Fall BMW / DriveNow http://www.manager-magazin.de/unternehmen/autoindustrie/bmw-autobauer-liefert-gericht-kundendaten-fuer-bewegungsprofil-a-1104050.html Daten von BMW die Wegstrecke, gefahrenen Geschwindigkeiten, Außentemperatur oder die Position Mobiltelefons *** nicht ganz klar wie BWM an die Daten kam, woher kamen Bewegungsdaten ** Jeep-Hack *** hat viel zur Sensibilisierung der Hersteller beigetragen ** FBI warnt vor ODB-2 Dongles: http://www.darkreading.com/informationweek-home/feds-urge-caution-on-aftermarket-devices-that-plug-into-vehicle-diagnostic-ports/d/d-id/1324759 * ODB-2 Schnittstelle an K-Leitung / CAN Bus recht altes System https://de.wikipedia.org/wiki/On-Board-Diagnose **War ursprünglich standardisierte Schnittstelle für TÜV, vorher haben alle so ein bischen ihr eigenes Ding gemacht; ist gesetzlich vorgeschrieben (weltweit), muss verbaut werden ** leicht angreifbar, System rechnet nicht mit Angriffen ** hat keine Sicherheit wie Authentizität ** Vollzugriff auf viele Steuergeräte und viele Sensoren ** jeder OEM kocht sein eigenes Süppchen ** Protokolle sind alle propietär * welche Sensoren gibt es im Auto, welche Informationen lassen sich darau gewinnen ** Heise: *** ADAC bei 4 Fahrzeugen von BMW, Mercedes, Renault untersucht, welche Daten sammeln. Ergebnis: Von Informationen über techn. Zustand bis zu Nutzungsprofil des Fahrers *** neben , schadstoffbezogenen, Muss-Daten erheben Automobilhersteller weitere Daten – ohne dass ihre Kunden wissen, was da aufgezeichnet wird *** Mercedes: GPS-Position, Kilometerstands, Kraftstoffverbrauch, Reifendruck, Gurtstraffungen (Indiz für starkes Bremsen) *** Renault: via Mobilfunk beliebige Informationen, im Pannenfall Ferndiagnosen. Ist der Käufer mit den Leasing-Raten im Verzug, wird das Aufladen der Batterie verhindert ***BMW: Anzahl der eingelegten CDs + DVDs , 100 letzten Abstellpositionen ** weiterhin: Lenkeinschlag, Gaspedalwinkel, welche Verbraucher an ** Sensoren sollen schnell und einfach Daten rausgeben *** komplexere Berechnungen (z.B. für Verschlüsselung) können gefährlich werden, z.B. Aufgehen des Airbag oder Rückmeldung Abstandsmesser ** je komplexer eine Software, desto geringer Wahrscheinlichkeit alles zu überblicken, somit alle Fehler zu finden *** Fahrzeugsteuerungskomponenten deutlich mehr Sicherheitsvorschirften als für Infotainmentsysteme **** Infotainment eigenes System so komplex wie Betriebssystem und zusätzlich neuer Angriffsvektor aus dem Internet #Musik: scomber - I Spy (with my little eye) http://ccmixter.org/content/scomber/scomber_-_I_Spy_(with_my_little_eye).mp3 * Daten als künftiges Geschäftsmodell für Autohersteller / wirtschaftliches Interesse ** Ablesen von psychischen Zuständen (Lenkeinschlag, Gaspedaldruckverhalten) ** Ablesen von Fehlerverhalten ** wer sind die Interessenten: *** Hersteller **** Cloudinfrastrukturen bei Herstellern vorhanden (Mercedes, BMW,...) *** Versicherer (wirklich Garagenwagen?, Fahrverhalten, versch. Fahrer?) *** Behörden **** Schutz vor "terroristischen Angriffen" Fernabschaltung von Autos möglich **** Szenario: Verhinderung von Fahrt zu Demo **** bei Renault wenn Raten nicht gezahlt, Diebstahlschutz bei Opel **** Notrufsystem im Auto, gesetzl. vorgeschrieben, aber getrennt! *** Mautabrechnung und Fahrtenbuchersatz (über Abgasdatenschnittstelle) **** Beispiele Vimcar - https://vimcar.de und Automatic https://www.automatic.com netter Blogeintrag: https://vimcar.de/blog/spots-fahrtenbuchstecker-connected-car-technologie-zum-selbereinstecken/ ***** Protokoll wurde reverse engeeniert ***** komplette Bewegungsprofile erstellbar ***** sehr unsicher über diese Schnittstelle so viele Daten auszulesen **** Welche Produkte gibt es heute "einfach zum Anstecken" zu kaufen? ***** Head Up Displays ***künftiges Einnahmemodell für Werkstätten? ****egal ob selber oder durch Datenweitergabe an Interessenten *** Ferndiagnose *** Kriminelle **** vll nächste Welle von Verschlüsselungstrojanern **** kann wirklich großer Schaden damit angerichtet werden **** * Hacks (Multimediasystem aufmachen und sehen was leute im Auto machen, Ransomware?) *** Tuner **** für Kenner! Zuschaltung weiterer Features möglich * Wie kann Kunde herausfinden, welche Daten erhoben werden? ** Peter Schaar: "Bewegungsprofile sind ohne ausdrückliche Einwilligung des Kunden unzulässig" ** Datenschutzgrundverordnung *** technische Daten vom Fahrzeug nicht geschützt *** greift nur für persönliche/personenbezogene Daten ** Erfahrungsbericht Alex *** BMW **** nur Auskunft über aktuelles Datenschutzrecht *** Nissan **** gab Auskunft, bei Start Zustimmung zu Datenweiterleitung erforderlich, Ja/Nein-Möglichkeiten **** keine Aussage ob Daten später noch irgendwie übertragen werden *** Renault *** bei anderen Herstellern **** Teilweise keine Datenübertragung über mobiles netz ***** Nicht nachprüfbar ob das wirklich erfolgt ** im eigenen Test Auslesung der Daten der letzten 3 Monate bei Subaro auslesbar *** Uhrzeit, Ort, Temparatur- und Luftfeuchtigkeit * Welche Rechte hat der Kunde seine Daten löschen zu lassen? ** Man ist Autoeigentümer, aber muss zwangsweise Lizenzbedingungen akzeptieren. *** z.B. somit verboten in bestimmte Länder zu fahren ** Hersteller kann Sachen aus der Ferne, over the air, deaktivieren * Zukunftsprognose ** Kunden ist es egal, wie schon beim Mobiltelefon, "Ich hab doch nichts zu verbergen" ** Effekte bei Carsharing wahrscheinlich besonders * auch sinnvolle Anwendungen denkbar, wenn dem User die Daten unterliegen ** Messung und Optimierung von Kraftstoffverbrauch ** Fahrkollonen die Sprit sparen ** sowas wie ParkNow von BMW ** Verkehrsoptimierung in Städten ** Car to X Zapac - Test Drive http://ccmixter.org/content/Zapac/Zapac_-_Test_Drive.mp3 Wired Ant - Travel by Night (Border Ride) feat. Javolenus http://ccmixter.org/content/Wired_Ant/Wired_Ant_-_Travel_by_Night_(Border_Ride)_feat._Javolenus.mp3 Further reading: https://resources.sei.cmu.edu/asset_files/WhitePaper/2016_019_001_453877.pdf * Hack des Monats: der ZigBee-Wurm == Oktober == * FreeBSD und seine Abarten - bewährte Konzepte und aktuelle Entwicklungen: * Was ist BSD? ** (Haupt-)Unterschied zu Linux *** UNIX und nicht GNU (is) Not UNIX (mit dem Kernel Linux) *** Linenz * heute speziell FreeBSD (Besonderheiten von FreeBSD, gegenüber anderen *BSD, aber auch GNU/Linux) **gab schon mal Sendung über BSDs allgemein https://www.c3d2.de/news/pentaradio24-20141125.html * Warum einsetzen?(ALH) * Welche 4 (Haupt-)Arten? *: siehe auch https://wiki.c3d2.de/BSD ** NetBSD ** FreeBSD ** OpenBSD (fork von NetBSD) ** DragonflyBSD (fork von FreeBSD) * Nutzung auf Endgeräten (Vater) ** nicht alle alle alle Treiber vorhanden, Zeit für Installation, Virtualisierungen die nicht laufen?, ACPI/Suspend to Disk (sucks), * Nutzung auf Servern (ALH) ** aktueller Anlass *** FreeBSD 11 erschien im Oktober 2016 *** Sicherheitszeug ****Grundeinstellungen besser *** haufen neue Treiber, 64 bit ARM-Prozessoren *** bhyve kann nativ Grafik wieder geben ** Konzepte *** Jails (bewährtes Pronzip für Container) *** ZFS *** bhyve (Daniel) *** pkg vs. ports *** Kombatibilität mit Linux *** Docker, Xen, KVM, usw. ** Abarten *** Vorstellung einzelner einzelne Abarten **** FreeNAS ***** FreeNAS 10 erscheint wohl erst im Februar 2017 **** TrueOS (bisher auch PC-BSD) ***** basiert nun auf (current) 12 **** CBSD **** CloneBSD **** GhostBSD **** DesktopBSD **** Apple MacOS (entfernt verwandt. die haben sich das userland genommen und Darwin draus gebaut) und (Open)Darwin **** Tote *** Vorstellung von Ideen von weitren Abarten ** Software zur Verwaltung *** Verwaltung von Jailsiocage **** ezjail **** iocage (aktuell rewrite von sh zu go) *** Verwaltung vom system **** sysadm (von PC-BSD) *** Provisionierung & Co **** BSDploy **** Tredly **** fractal cells == September == News: Roaming-Gebühren LSR DDOS on Brian Krebs * Sendung zu den Datenspuren == August== News: * Cryptocurrency of the Month: https://tech.slashdot.org/story/16/08/12/2143246/ddoscoin-new-crypto-currency-rewards-users-for-participating-in-ddos-attacks * Apple vs. FBI Kommentar: Kein Applebashing, aber von Apple auch nicht uneigennützig, sondern Marketing aber interessante Lösungen technisch vertieft, aber für Normalos verständlich erklären Rollenverteilung: Experte: Friedemann (eher pro Apple), Alex (eher contra Apple) Nachfrager/Moderator: Anne #Musik: Mizuki's Last Chance -Holy Bleeb http://mizukislastchance.bandcamp.com/track/holy-bleep Einleitung/Aufhänger: ... Was ist überhaupt passiert? (Anne) - genereller Streit, wie Firmen vom Staat gezwungen können (ihre eigene) Sicherheit (durch Verschlüsselung) zu brechen - Apple sollten helfen Daten über Kriminellen zur Verbrechensaufklärung bereit zu stellen - ging um Attentäter von San Bernerdino, 14 Leute erschossen, 22 verletzt, Mann und Frau Attentäter, Telefone vorher zerstört, Attentäter am Ende von Polizei erschossen - ging um Arbeitstelfon des Attentäters - haben sie auch gemacht, haben Daten der ICloud, wo alles hin sync. rausgegeben - aber Sync. war nicht aktuell, FBI wollte an lokale Daten auf dem Telefon - aber das war PIN geschützt und nach 10 Fehleingaben dauerhaft gesperrt - haben ICloud Zugangsdaten zurückgesetzt, damit Dritte keinen Zugriff haben (z.B. Komplizen es löschen) und sich damit ausversehens ausgesperrt - Apple hat Mithilfe verweigert eine Version des Betriebssystems zu erstellen auf dem ds umgangen werden kann - nach eigenen Angaben derzeit keine Möglichkeit von Apple selber an die Daten zu kommen - Forderung ging nach deren Ansicht und auch die einiger Juristen viel weiter als Gesetzesgrundlage - FBI hat NSA gefragt, die haben aber nicht helfen wollen/können - großes mediales Aufsehen - FBI dann Firma für wohl 1,3 Mio für Hack beauftragt - viele Leute die sich mit Apple sehr sicher fühlen, wie wollen beleuchten, ob das wirklich so ist Wer waren Akteure, wer war auf wessen Seite? https://en.wikipedia.org/wiki/FBI%E2%80%93Apple_encryption_dispute Was ist FBI (interbundesstaatliche Polizei)? Architektur vom Apple Secure Enclave - ab A7-Prozessor im iPhone 5S Was heißt das? Geräteindividueller Schlüssel (Hardware), Secure Enclave Processor (Software) redet mit weiteren Komponenten UID --> Masterkey wird generiert vom Gerät, mit echtem Zufall (Osilator) physikalisch, einmalilg erzeugt, kennt Apple nicht, kriegt man nicht raus Was macht denn Masterkey? Grundlage Erstellung aller weiteren abgeleiteten Keys... Welche Bestandteile? Welche Schlüssel? macht, dass nach 10 Fehlversuchen Gerät final gesperrt (Schlüssel zum Entschlüsseln Speicher werden verworfen)... Welche Auswirkungen auf Bootprocess/ Gesamtsystem? Hat eine Art Secure Boot (Was ist Secure Boot?)... "Sicherer Startvorgang" Signiert sind: Bootloader, Kernel, Kernel-Erweiterungen und Baseband-Firmware Wie wird es gespeichert? Hätte man es auch aufschleifen können? Einfaches Design, unwahrscheinlich, dass Fehler drin aus Cryptografen sicht #Musik: Gridline - Astro Infinity https://soundcloud.com/projectgridline/astro-infinity Was passierte? (technisch detailierter) BackUp aus Could rausgeben, FBI wollte aber aktuelle Daten vom Gerät --> Datensparsamkeit Am Tatort Prozess eingeleitet, dass PW zurücksetzt, damit keine Komplizen Zugriff --> IPhone hat sich mit flaschen Zugangsdaten nicht mehr bei ICloud einloggen --> haben sich selber ausgesperrt Apple wehrte sich angepasstes IOS mit Backdoor zu erstellen könnte weitere Institutionen fordern, wollen Software sicher machen, nicht zahlreiche Sicherheitslückeneinbauen juristische Lage (Alex) national security letters usw., könnten schon gezwungen worden sein Sicherheitslücken einzubauen NSA arbeitet im geheimen, FBI muss vor Gericht was beweisen... Sollte auch nicht raus kommen was Dienste können oder nicht... Wollen nicht Verbrechen aufklären, sondern Lagebild vorhersagen Warum hat es überhaupt so viel Aufsehen erregt? gute PR, viele Applebegeisterte, Unterstützer/Gegner, Rede Tim Cook Unterstützer: Facebook, Yahoo, Twitter, Apple (und andere Silicon Valley Firmen) schlechtes Image durch Snowden Veröffentlichungen, Sicherheit jetzt wichtiges Argument Warum so ins Zeug gelegt? Theorie: gesättigter Mark, wichtig für Zielgruppe (in Security auch interessiert), Alleinstellungsmerkmal, in manchen Ländern in gewissen öffentl. Berufen verboten Was ist Motivation von Apple? FBI hat ja gesagt, geht nur um das eine Telefon, Software kann danach vernichtet werden Nicht Sicherheit, sondern Geheimhaltung, Abschirmung (Wallet Garden) trotzdem sichere Plattform, liegt aber in der Hand von Apple, könnten sie ändern keine Gegenwehr bei National Security Letter, möglich bei Updates, keine Kontrolle über Geräte Diskussionspunkt: Wie sicher ist IOS im Vergleich zu anderen Systemen? keine Kontrolle welche Apps was backupen --> ICloud Backup besser ausschalten? Backdoor ist halt auch hohes Level an Gefährlichkeit könnte passieren, dass Leute in abgeschirmten Garten eindrungen, auch andere kommen rein durch Backdoor aktuelles Beispiel Shadowbrokers Raubkopien von kostenpflichtig Apps, ganzes Finanzierungsmodell gefährdet... Bugbounty lobenswerter Punkt, kaum Exploits und wenn dann teuer (Annekdote von Black Hat Vortragsrückfrage) # Musik: Magna -Divide https://soundcloud.com/magna/divide Was ist iCloud? iCloud Drive (= ähnlich wie Dropbox, aber in iOS integriert) Photos Mail (Empfehlung: kann man selbst hosten) Contacts (Empfehlung: kann man selbst hosten) Calendar (Empfehlung: kann man selbst hosten) Reminders (Empfehlung: kann man selbst hosten) Safari Notes (alt und neu, verschlüsselt) Wallet Backup (Achtung!) problematische Schwachstelle, kann/konnte remote angeschaltet werden "the Fappening"...Bilder Keychain (gutes Konzept, bei allen iCloud Services wünschenswert) Find my iPhone / Mac (hilfreich bei Diebstahl) Wie haben sie es dann doch geschafft, was vermuted man? nie in Gerichtsakten aufgetaucht, was auf Telefon war... vll nie wirklich geknackt Gerüchte im Netz sagen: private isralelische Firma engagiert (Cellebrite - https://en.wikipedia.org/wiki/Cellebrite) auf alten IOS basierende Sicherheitslücke, Nantmirroring in Kombination mit... Flash rausgelötet, kopiert in Mirror, dann Brutforce irgendwie in Kombination mit Zählerrücksetzung mit Keys auf dieses Gerät zugeschnitten, wahrscheinlich kurze PIN Es gibt aber keine Fakten, nicht mal ob sie es tatsächlich geknackt haben oder ob das nur PR ist! --> Empfehlung alphanumerischen Code verwenden Exkurs: bei PIN haben es viele nicht verwendet, oder oft einfachen Code, bei Touch ID die Mehrheit # Musik: Boogie Belgique - A little while https://www.jamendo.com/track/1190474/a-little-while?language=en Pufferthema: FBI nutzt 2D Fingerabdrücke zum knacken akuteller Fall... nicht secure enclave sondern Touch ID, Biometrie und typische Biometrieangriffe nach 3 mal falsch gegen Abdruck gesperrt, dann nur mit Passphrase (auch bei Neustart) sagen auch man kann, nicht soll es nutzen, genau richtig, für bequeme User iMessage gab Brut Force Angriff dagegen, aber dann gefixt Apple kann Metadaten rausgeben, Inhalt theoretisch nicht, weil Ende zu Ende verschlüsselt Apple könnte theoretisch sich Keys holen cryptografisch recht weit fortgeschritten Mobiltelefonsicherheit allgemein App Sicherheit Mikrofonkontrolle Standortübermittlung Quellen: Vorträge Ivan Krstic: Behind the Scenes with iOS Security (Blackhat 2016) Slides: https://www.blackhat.com/docs/us-16/materials/us-16-Krstic.pdf Video: https://www.youtube.com/watch?v=BLGFriOKz6U Ivan Krstic: How iOS Security Really Works (WWDC 2016) Slides: http://devstreaming.apple.com/videos/wwdc/2016/705s57mrvm8so193i8c/705/705_how_ios_security_really_works.pdf Video: http://devstreaming.apple.com/videos/wwdc/2016/705s57mrvm8so193i8c/705/705_hd_how_ios_security_really_works.mp4 Demystifying the Secure Enclave Processor Slides: https://www.blackhat.com/docs/us-16/materials/us-16-Mandt-Demystifying-The-Secure-Enclave-Processor.pdf Pangu 9 Internals Slides: https://www.blackhat.com/docs/us-16/materials/us-16-Wang-Pangu-9-Internals.pdf Discovering & Exploiting Novel Security Vulnerabilities in Apple Zeroconf Slides: https://www.blackhat.com/docs/us-16/materials/us-16-Bai-Discovering-And-Exploiting-Novel-Security-Vulnerabilities-In-Apple-Zeroconf.pdf Technische Dokumentation https://www.apple.com/business/docs/iOS_Security_Guide.pdf (Englisch) https://www.apple.com/de/business/docs/iOS_Security_Guide.pdf (Deutsch) https://developer.apple.com/security/ (Entwicklerdoku) List of available trusted root certificates in iOS 9: https://support.apple.com/en-us/HT205205 Corecrypto (Source): https://developer.apple.com/file/?file=security&agree=Yes Podcast Security Now Nachweis BackUp Remote aktivieren - Kontext Big Fappening, IDict... Statement von Apple: http://www.apple.com/customer-letter/ und http://www.apple.com/customer-letter/answers/ https://en.wikipedia.org/wiki/FBI–Apple_encryption_dispute http://www.chip.de/news/13-Millionen-fuer-nichts-So-macht-sich-das-FBI-vor-Apple-laecherlich_90083607.html http://www.teeltech.com/mobile-device-forensic-tools/ip-box-iphone-password-unlock-tool/ http://www.theverge.com/2016/3/9/11186868/apple-fbi-nsa-encryption-exploit-hack iMessage https://www.washingtonpost.com/world/national-security/johns-hopkins-researchers-discovered-encryption-flaw-in-apples-imessage/2016/03/20/a323f9a0-eca7-11e5-a6f3-21ccdbc5f74e_story.html https://www.usenix.org/system/files/conference/usenixsecurity16/sec16_paper_garman.pdf https://www.bishopfox.com/blog/2016/04/if-you-cant-break-crypto-break-the-client-recovery-of-plaintext-imessage-data/ iDict https://github.com/Pr0x13/iDict http://mashable.com/2014/09/04/i-hacked-my-own-icloud-account/#xFxk9QYunsqK == Juli == News: * Bulgaria macht Ernst mit Open Source #Musik Intro: Klamm - Dragon Fire http://chipmusic.org/klamm/music/dragon-fire Klamm -Crusing http://chipmusic.org/Klamm/music/cruising Pornophonique - I want to be a robot https://www.jamendo.com/album/7505/8-bit-lagerfeuer Pornophonique - Space Invaders https://www.jamendo.com/track/81743/space-invaders Outro: Kraftfuttermischwerk - Am Wolkenberg (instrumental) http://www.kraftfuttermischwerk.de/wa/am_wolkenberg_instrumental.mp3 Was heißt sicher kommunizieren? - Ende zu Ende - wichtigste keiner darf dazwischen mithören --> Abhörsicherheit - Methode: - Crypto - Stasi Leitung sichern, Leitung in Rohren mit Unterdruck --> Bietet aber auch Whatapp - Beispiel Tiefseekabel --> Authentifizierung - rede ich wirklich mit dem anderen - kein man in the middle - kann Whatsapp nicht --> Integrität - einzelne Nachrichten werden nicht gesendet - einzelne Nachrichten werden hinzugefügt - einzelne Nachrichten werden manipuliert Beispiele anhand der Kriterien durchgehen - Whatsapp - Signal - Telefonbuchsyncfoo https://de.wikipedia.org/wiki/Liste_von_mobilen_Instant-Messengern - E-Mail made in Germany --> Transportverschlüsselung - Ziel war: sicher, zuverlässig, vertraulicher Geschäftsverkehr, im Internet, für jederman - Problem: jeder kann sich Mailadresse, Max Mustermann holen --> DE-Mail: Ausweis vorzeigen - Problem: Empfangsbestätigung kann verweigert werden --> Empfang automatisch bestätigt - Versand einer DE-Mail kostet 0,39 Cent - wenige Anbieter, wegen teurer Zertifizierung - Problem: nicht immer Transportverschlüsselung --> DE-Mail immer SSL - Problem: nicht jeder hat Verschlüsselung --> DE-Mail: keine Verschlüsselung :-) - Problem: Viren, Trojaner --> Virenscan beim Anbieter - Wer schickt denn für 0,39€, auf seinen Namenregistriert Malware? - andererseits wiegen sich Nutzer in flascher Sicherheit --> Indiv. Angriff möglich - Traum für Angreifer: sensible Daten, nur wenige Anbieter, unverschlüsselt - Traum für Behörden: sensible Daten,nur wenige Anbieter,unverschlüsselt,kein Spam --> Ziel: Wirtschaftsförderung und Abhörbarkeit --> Statt kein Interesse an Sicherheit - OTR, Omemo - PGP Achtung Metadaten --> Perfect Forward Secrecy - wenn ein Key bekannt wird, bedeutet nicht, dass komplette Kommunikation offen liegt - in Vergangenheit als auch Zukunft --> (plausible) Deniability --> Vertrauenswürdige Basis - Passwörter auf Rechner verschlüsseln - OS, z.B. Windows oder Programme - Gefahr Viren, Trojaner, und Co. - wenn Open Source - auch möglich, aber durch Möglichkeit zu Audits vertrauenswürdiger - Hardware (min. Geheimdienst nötig) - kann ich meinem Handy vertrauen? - nein - warum nicht? - Hardware - OS / Provider - Hersteller (Verzögerung von Updates, eigene Apps) - Provider (Verzögerung von Updates, eigene Apps) http://heise.de/-1337858 - Bsp Telekom: http://blog.telekom.com/2014/02/05/so-kommt-das-update-auf-mein-smartphone/ - Apps - GSM /Baseband - Passwortzettel nicht rumliegen lassen - Trust no one- Ansatz == Juni == Koeart - Begrüßung #IT Crowd * Einleitung / Begriffserklärung ** Wer ist eigentlich die mächtigste Person im Unternehmen? Der CEO? Nein, der komische Typ im Keller mit den Wanderschuhen... (Alex) ** Beispiel Terry Childs (Alex) ** Merkt man eigentlich nur wenn was kaputt ist --> Klopapierprinzip --> undankbarer Job, Einschränkungen durch Security, Störungen bei der Arbeit wenn was kaputt ** gibt verschiedene Typen *** z.B. Systemadministrator, Netzwerkadministrator, Systemmanager, Operator, Web Administrator, Datenbankadministrator, Anwendungsadministrator *** sind für sich spezialisiert *** haben aber auch viele Gemeinsamkeiten, wie im folgenden erklärt ** Organisation und Technik (alex) *** Admin der nichts zu tun hat macht alles richtig *** kleine IT -> viel Technik, sehr individuell, breit gefächert *** große IT -> viel Organisation, standardisiert, Spezialisierung **** weil: je größer die IT um so mehr Standardisierung und Normierung **** je kleiner kleiner die IT um so mehr Hands on und Sonderlösungen **** bei großen IT-Umgebungen prozessorientiert #Musik - "Ambient Background" soundshrim https://www.jamendo.com/track/1320383/ambient-background ** aus Sicht aus Usersicht, aus Firmensicht, eines Admins ** Was machen eigentlich Admins um die IT einer Firma, Uni oder ähnlichem am Laufen zu halten? * Konflikte Firmensicht und Adminsicht und Usersicht ** was kostet Ausfall, was kostet wenn es läuft --> Optimum finden --> IT-Leiter ***Automatisierungen, Redundanzen, manuelle Tätigkeiten, Back Up Strategien * Strategie und Taktitk (Alex) ** Vier-Augen-Prinzip *** wichtige Änderungen werden immer nach diesem Prinzip gemacht *** schöne Theorie, selten in der Praxis ** KISS *** keep it simple, stupid (zu deutsch: mach es so einfach wie es geht, blödmann! http://catb.org/jargon/html/K/KISS-Principle.html ) *** komplex kann jeder, führt in der Praxis früher oder später zu Problemen (Upgrades, Migration… ) *** Nerds raffen das leider erst viel zu spät ** Spannungsfeld zwischen sicher und anwenderfreundlich *** die Interessen von Admins und Users sind selten deckungsgleich *** letztlich muss der Admin dafür sorgen, dass die User arbeiten können, auch wenn es bedeutet sie einzuschränken Uptime Funk * Aufgabenbereiche und Werkzeuge ** Monitoring - Infrastruktur am laufen halten ***was ist passiert gerade, wie ist akuteller Zustand ***Icinga *** Logserver ** Dokumentation *** wo ist was, wie ist Konfig, Zuständigkeiten, Change log ** Incident Mangement ***Ticketsystem (OTRS, Redmine) *** Prioritäten *** Aufgabenverteilung ** ITLM (IT Livecycle Management) (Alex) ***kaufen, warten, ... *** Lizenzmanagement *** Updatemanagement **** Tests und Evaluation *** Softwareverteilung **** Tests und Evaluation ** ITSM (IT Service Management) ***Usermanagement **** Rechtemanagement **** AD, LDAP **** Groupware/Colaboration Tools ** Testing, Evaluation (Alex) *** Welche Produkte erfüllen die Anforderungen *** Wie müssen sie konfiguriert werden ** IT-Sicherheit (Alex) *** Datenschutz *** Datensicherheit *** Nur ein sicheres System ist auch ein zuverlässiges System # Day Routers Died Wie wird man Admin? Welche Voraussetzungen braucht man für den Beruf? * the dark side (Alex) ** ITIL (Infrastructure Libary) https://de.wikipedia.org/wiki/IT_Infrastructure_Library ***Managementtechniken in IT übertragen um messbar zu machen, **** z.B. Prozesse einführen, Begriffe eindeutig bestimmen **** nicht als Regel, kein Standard, Kann-Regelungen, Best Pratice ** Zertifikate Nachweis von Fähigkeiten Firmen mach Schulungsprogramme für ihre Produkte --> daraus erwuchs eigener Industriezweig, Firmen wie Microsoft oder Cisco hohe Gewinne damit ursprünglich Nachweis von Wissen/Fertigkeiten später eher als Marketinglabel um eigene Produkte zu vermarkten Firmen stellen Leute mit Microsoft zertifikaten ein, ist am weitesten verbreitet, hoher bedarf an Leuten mit Zertifikaten, dafür gesorgt das (teils kostenlos) weit verbreitet Schulungsinhalte: nicht nur wissensvermitteln, sondern auch meinungsbildend auch unabhängige Zertifikate als wirklicher Wissensnachweis *** Herstellerzertifizierung **** MCSE/MSCDBA/MSCA, Cisco etc **** Marketing-Brainwash **** manchmal sogar kostelos oder sehr billig um die eigenen Produkte im Markt zu platzieren *** herstellerunabhängige Zertifikate **** LPIC, BSDCG ** Wartungsverträge ***komplexes Produkt, dass allein nicht verwaltet werden kann --> Abhängigkeit von Lieferanten **** Das ist das, was große Teile der IT-Industrie am Laufen (und Leben) hält *****sichere über zeit laufende Einnahmen **** man schafft sich selber Arbeit, indem man eine Ideologie etabliert, dass nur das professionell ist, wofür es herstellerseits Wartungsverträge gibt **** führt dazu, dass in den Organisationen know how fehlt und mittelfristig zu vendor lock in ***** z.B. Microsoft speichert Office in eigenen Formaten statt in freien *****Venor lock-in: Kundenbindung/Herstellerabhängigkeit, Wechsel schwer gemacht, hohe Kosten, **** Strategie gegen FOSS, weil da gibts sowas ja nicht und so garantiert ein Unternehmen für das Produkt/Service (FUD) # Musik - Intro: "System Administrator Song" von Three Dead Trolls in a Baggie https://chaosradio.ccc.de/ctv056.html#t=0:29.500 Links: http://www.infoworld.com/article/2653004/misadventures/why-san-francisco-s-network-admin-went-rogue.html https://www.youtube.com/watch?v=rjDSY8LczFw * 1 Admin oder Adminteams/Zusammenarbeit mit anderen Security sich nicht in die quere kommen redundanz wenn ein admin ausfällt == May(hem) == #Musik: Intro Broke for Free - At the count http://brokeforfree.bandcamp.com/track/at-the-count News: * Auch Google lässt Namen durch das Internet erwählen: http://techcrunch.com/2016/05/18/google-asks-the-internet-for-n-words-what-could-possibly-go-wrong/ * https://twitter.com/nblr/status/725277172655611904 * Zur Auswirkung von Überwachung: http://www.reuters.com/article/us-wikipedia-usage-idUSKCN0XO080 * Windows 10 interrupts a live TV broadcast with an unwanted upgrade http://betanews.com/2016/04/27/windows-10-interrupts-live-tv-broadcast/ * ImageMagick Br0k3n!1elf https://imagetragick.com/ http://www.heise.de/open/meldung/Boese-Bilder-Akute-Angriffe-auf-Webseiten-ueber-ImageMagick-3200773.html http://www.heise.de/open/meldung/Webseiten-mit-ImageMagick-Bibliothek-im-Fokus-von-Angreifern-3196901.html *** wozu dienst dieses Tool und wo wird es eingesetzt *** warum ist es problematisch wenn das kaputt ist? * Gnu Hurd aktualisiert http://www.heise.de/ix/meldung/Fortschritte-GNU-Projekt-aktualisiert-Hurd-und-Mach-3211287.html *** Hurd kurz erklären *** totgesagte leben länger *** ein Microkernel-System könnte durchaus die FOSS-Landschaft bereichern * Oracle vs. Google (Java) http://www.heise.de/ix/meldung/Oracle-vs-Google-War-Mobile-Java-schon-vor-Android-im-Niedergang-begriffen-3212056.html *** der wohl wichtigste IT-Prozess derzeit *** Oracle hat Java mit Sun gekauft *** Sun war eine Firma, die viel auf offene Standards gesetzt hat *** Oracle ist einfach nur böse (mehr Anwälte als Entwickler etc) *** Google nutzt Java-APIs *** Oracle an das Java im Android ran, auch wenn das nicht ihres ist *** Entscheidung kann viele (negative) Auswirkungen auch auf FOSS haben, Firmen können Entwickler verklagen, wenn sie ihre APIs nutzen, auch wenn sie offen sind wie beim JavaSE # Musik: Broke for free - Nothing like captain crunch http://brokeforfree.bandcamp.com/track/nothing-like-captain-crunch Es wird zwei Teile geben. Im ersten Teil würden wir über Passwörter allgemein sprechen. (ca. 30min) *Arten von Identifikationsverfahren ** Wissen/ Etwas das ich weiß *** Eigenschaften: Vergessen, Weitergeben/Duplizieren/Verraten, Erraten, Preisgabe erzwingen, schnell, einfach *** Beispiele: PIN (z.B. EC_Karte), Passwort, Passphrase (länger als PW),Sicherheitsfrage ** Besitz / Etwas das ich habe *** Eigenschaften: Produktionsaufwand, muss es immer rumtragen, kann ich verlieren, kann gestohlen werden *** Beispiele: Schlüssel (phys. oder virt.), Karten (Magnetstreifen, RFID, Smart), TAN-Liste, Token ** Körperliches Merkmal/Biometrie - Etwas das ich bin *** Eigenschaften: immer dabei, dadurch missbrauchbar, z.B. Daten Gescihtserkennung auch Nutzung bei Überwachungskameras und nicht nur Ausweis, teils leicht abnehmbar (Schäubles Fingerabdruck), techn. Aufwand zur Erkennung, immer Brücke zwischen fehlerhafte Erkennung ist möglich (False Acceptance) und fehlerhafte Zurückweisung ist möglich (False Rejection), Datenschutz, Auschluss bestimmter Gruppen möglich, z.B. Probleme bei Fingerabdruck erkennung asiatische Frauen [1] *** Beispiele: Fingerabdruck, Gesichtserkennung, Tippverhalten, Stimmerkennung, Iriserkennung, Retinamerkmale, Handvenenscannen, DNS * Woher kommen Passwörter? ** ursprünglich Parolen beim Militär um bei Dunkelheit zu entscheiden ob Freund oder Feind ** Ganz früher gabs einen Pförtner an der Tür, der geregelt hat wer reinkam ** Passwörter sind nicht dafür da Daten freizugeben, sondern den User gegenüber dem Computer zu authentizieren. Wer auf was zugreifen darf, wird vom Rechtesystem geregelt. (Wird oft falsch verstanden) * Wie werden Passwörter gehackt? ** Nutzer ist Schuld *** zu einfach ***zu kurz, kann man durchprobieren, wie beim Fahrradzahlenschloss **** gibt auch Sperrmechanismen wie EC-Karten *** überall das gleiche ****Problem wenn eins bekannt wird, liegen auch alle anderen Zugange offen *** Statistiken zu häufigsten Passwörtern **** über Jahre hinweg immer wieder die gleichen häufigsten Passwörter Rank Password [2] 1 123456 2 password 3 12345 4 12345678 5 qwerty 6 123456789 7 1234 8 baseball 10 football 11 1234567 13 letmein 14 abc123 15 111111 17 access 20 michael 21 superman 22 696969 23 123123 24 batman oft auch Seitenname... ****linked in: "123456", das über eine Million mal genutzt wurde (von 140 Mio) "linkedin", "password", "123456789" weit über hunderttausend Mal *** Brute Force *** Umgang mit dem Passwort (Post it am Monitor, unverschlüsselte Passwortlisten oder Passwortmanager ohne Masterpasswort) ****ALH: Trojaner suchen nach PW-Datenbanken ****ALH: Leute mit Feldstechern vor Firmen ** Betreiber ist Schuld *** unverschlüsselte Übertragung, kein https, Schlüsselsymbol --> meckert mit dem Betreiber *** Passwörter im Klartext speichern *** Hash, vgl. Prüfsumme, Quersumme, **** eindeutig: wenn man das gleiche rein tut, kommt das gleiche raus, tut man was anderes rein, kommt was anderes raus **** passiert serverseitig *** Passwörter gehasht, aber ohne Salt **** aktuelles Beispiel Linked In [3] 180 Mio PW 2012 geklaut, jetzt größtenteils entschlüsselt *** Rainbow Tables [4] *** Keylogger oder andere Malware * Tipps zum Umgang mit Passwörtern (abgeleitet aus Angriffen) ** Was sind starke/schwache Passwörter? ** Wie erstelle ich mir ein sicheres Passwort, dass ich mir merken kann? *** Staple Horse Battery Coorect [5] *** Snowden Interview ** Wie verwalte ich meine Passwörter? (Passwortendatenbanken) ***Keepass(X) ***ALH: Plugins ***Broswer-PW-DB **Warum soll ich überall verschiedene Passwörter verwenden? ** usw. #Musik: Jonathan Mann - How To Choose A Password https://www.youtube.com/watch?v=oBBk_dpOX7w Im zweiten Teil kämen wir dann zu Alernativen zu Passwörtern. Welche Alternativen zu Passwörtern gibt es, was sind deren Vor- und Nachteile? (Ca. 45min) * OAuth/OpenID ** ursprüngliche Idee ***eigentlich keine wirkliche Alternative zu Passwörtern, eher der Versuch Passwörter nicht im ganzen Netz zu verteilen ** heutige Kritik (OAuth zu komplex, zieht Consulting etc hinter sich her) * Zertifikate ** Statt einfach zu ratender Passwörter wird ein Crypto-Key benutzt ** Problem: Kommt der weg, gibt es keinen zusätzlichen Schutz * Zwei-Faktor-Authentifizierung *** neben dem Passwort muss man auch den Besitz eines weiteren Tokens nachweisen **** Token kann ein Gerät sein, ein Zertifikat, TAN usw. **** Weitere Faktoren: Uhrzeit, Lokation, Gerät usw. *** sehr unwahrscheinlich, dass Passwort und Token gemeinsam gestohlen werden *** die Token müssen gegen Ausspähen, Kopieren etc geschützt sein ** Trust Scores by Google *** Kombination aus Faktoren (Sprache, Nähe zu WLANs etc) errechnet Score *** je nach Dienst muss der höher oder niedriger sein http://www.theregister.co.uk/2016/05/24/google_smartphone_password_replacement_trust_scores/ ** Tippverhalten ** Biometrie ** Äpps **Zertifikate *** als zusätzlicher Faktor, nicht zu verwechseln mit Zertifikat als "Login-Passwort" ** SmartCards / Dongles *** Was SmartCards nicht sind **** Transponder- und RFID-Cards **** Speicherkarten **** Mifare-Karten etc. *** Wie funktioniert so eine Smartcard? **** Meist als Chipkarte oder USB-Dongle ausgeführt, es gibt aber auch andere Bauarten, zum Beispiel NFC, auf Mainboard oder in CPU integriert oder als externes Gerät **** Nicht einfach nur ein Speicher für Keys, sondern eher ein kleiner Computer, der die Zugriffe auf den eigentlichen Speicher regelt *** Warum sind die Keys etc darin sicher? **** Das OS und auch der User haben keinen direkten Zugriff auf die Geheimnisse **** Sicherheitsprobleme auf dem OS beeinflussen nicht die Smartcard **** Smartcards sind leicht auditierbar und damit unwahrscheinlich, dass es Fehler gibt, zumindest in der Theorie **** In der Praxis muss man dem Hersteller trauen *** Zeitabhängige Verfahren vs. Challenge-Response ** Mobile TAN, TAN Generatoren ** Umsetzungen *** propietäre Lösungen (RSA Security, ID Control, Vasco, Kobil etc) **** geht dauernd kaputt **** benötigt Infrastruktur des Herstellers **** zieht meistens Wartungsverträge und Vendor-Lockin nach sich **** teuer und komplex *** Fido U2F **** nicht zu verwechseln mit Fido UAF, einem Biometrie-Auth-Protokoll **** sehr günstig (ab ca. 5€, war von Anfang an Designziel) **** herstellerunabhängig **** offener Standard (bereits integriert in diverse Produkte, zum Beispiel Google, diverse Sachen von Microsoft und auch FOSS-Software wie PAM) **** kann nicht viel, aber ist perfekt um den Besitz des 2. Faktors nachzuweisen *** OTP **** one time password **** nicht zu verwechseln mit "one time pad" **** zeitabhängig/zählerabhängig & andere mathematische Verfahren, TOTP/HOTP (https://netknights.it/hotp-oder-totp/) am weitesten verbreitet **** sowohl in Hardware (diverse Smartcards) als auch Software (Keepass) *** Tan-Generatoren via Chip-Karte (Smartcard oder ePerso) *** OpenPGP-Card (Crypto finden auf Karte statt und Kommunkation mit OS über API) **** ist eigentlich für GnuPG-Verschlüsselung gedacht, kann aber über Umwege zur Authentizierung bzw als Besitzbeweis genutzt werden ** Yubi-Key, NitroKey, Software-Lösungen auf Java-Cards #Musik: Outro -Triplexity Invited with Jennifer Greer https://www.jamendo.com/track/189568/triplexity-invited-with-jennifer-greer Quellen: [1] http://www.spiegel.de/netzwelt/tech/biometrie-pannen-die-probleme-kleiner-asiatischer-frauen-a-288462.html [2] https://www.teamsid.com/worst-passwords-of-2014/ [3] http://www.heise.de/newsticker/meldung/LinkedIn-Leck-Mehr-als-80-Prozent-der-Passwoerter-bereits-geknackt-3212075.html [4] http://kestas.kuliukas.com/RainbowTables/ [5] https://xkcd.com/936/ == April(, April) == Topic: Werbenetzwerke - Targeted Ad Attacks Aufbau: * Vorstellung Gäste => H.A.T.E.O.T.U. ?! * Werbenetze **Warum Werbung im Netz? **Arten von Werbung im Netz **Wie wird man durchs Netz verfolgt? ***Veranschaulichungen: Lightbeam (Firefoxplugin) [1], Datenblumen [2] ***Cookies ****HTTP - Cookies, Flash-Cookies, Supercookies, Evercookies ***Cache- und Browser-Fingerprinting **Was ist das? ***Erklärung ***Beispiele: Google, Doubleclick (inzwischen Google), Facebook, Twitter , Yahoo, Adobe, Microsoft nicht nur Werbebanner und Cookies tracken, Google etc nutzen auch Content wie Youtube, Gmail etc Bei Apps was wird getrackt? (auf was sie Zugriff bekommen) Browserspezifische optimieren Werbenetzwerke sammeln infos → dann kann man zu Google sagen was wird wo angezeigt → nur Gruppe von Leuten wird das angezeigt → dann wird es nicht mitbekommen, es wird zielgerichtet angegriffen, deshalb nicht in Virenscannern und Co. auffindbar → Exploit kann auch erst nach gewisser zeit aktiv werden → Angriffe auch über normale Seiten, da alle gleiche Werbenetze suchen --> wenn man mit Adminrechten arbeitet wie es viele machen, dann GAU Trackingtechniken SSL nützt da nix, weil das Tracking über die Server läuft und nicht über die Verbindung Identification als Person, nicht nur an einem Gerät Google: „egal ob wir deinen Namen kennen, Hauptsache können dich identifizieren“ Targeted Ad attacks Warum? Wie geht das? Was kann man dagegen tun? Nicht nur nervig auch Sicherheitsrisiko Werbefreie Äpps (aka FOSS) => [librejs](https://www.gnu.org/software/librejs/) Studie Werbebannerfilter – Effizienz der einzelnen Tools Empfehlung panopticlick.eff.org --> Fingerprinting eindämmen Tor => [tor-browser](http://torproject.org/) Do not track (hier auch Nachteile nennen) §15 III TMG (nur in D) Ghostery (umstritten, Default-Einstellungen, Firmenzweck) Adblock (umstritten, Default-Einstellungen, Firmenzweck) Hilft nicht gegen alle Arten,... NoScript Privacy Badger UBlock origin Zeit ca. 1h Veranstaltungshinweis: [Linux Presentation Day] * 30.04.2016 in den Räumen der HTW Dresden * 27.04.2016 16:00-19:30 Wikipedia-Sprechstunde in der SLUB 0.46 https://www.radiodresden.de/nachrichten/lokalnachrichten/erste-wikipedia-sprechstunde-in-der-slub-1218555/ * 27.04.2016 ab 19:00 LaTeX Helpdesk in der SLUB -2.115 https://fsfw-dresden.de/ Links: [1] https://www.mozilla.org/de/lightbeam/ [2] http://datenblumen.wired.de/ [Linux Presentation Day]: https://veranstaltungen.dresden.de/events/6699?from=1462021200000 http://www.theatlantic.com/technology/archive/2015/11/your-phone-is-literally-listening-to-your-tv/416712/ http://www.bbc.com/news/technology-34732514 https://www.rt.com/usa/flashlight-app-spy-users-815/ http://www.gayadnetwork.com/files/GayAdNetwork_Mobile.pdf https://de.wikipedia.org/wiki/Flash-Cookie https://de.wikipedia.org/wiki/Cookie https://de.wikipedia.org/wiki/Web_Storage https://de.wikipedia.org/wiki/Anonymit%C3%A4t_im_Internet#Techniken_zur_Identifizierung_von_Nutzern_im_Web https://de.wikipedia.org/wiki/Google-Werbenetzwerk https://de.wikipedia.org/wiki/Web_Analytics https://en.wikipedia.org/wiki/Malvertising https://en.wikipedia.org/wiki/Malvertisement http://blog.check-and-secure.com/091015-malvertising-up-325-are-adblockers-working/ News: * Microsoft chatbot is taught to swear on Twitter * The Internet routes around censorship, this time with Wikipedia Zero * Linus Neumann benennt große Herausforderungen für Trolle, PremiumCola erklärt sein Erfolgsrezept, das Easterhegg war ein Spaß: https://eh16.easterhegg.eu/, https://media.ccc.de/c/eh16 * Auch Microsoft macht uns das trollen schwer, seit einiger Zeit schon wird dort Open Source (MIT) gebaut (s.a. SQL Server 2016 für Linux http://www.heise.de/newsticker/meldung/Spaete-Freundschaft-Microsoft-plant-SQL-Server-fuer-Linux-3130161.html) und nun basht man dort sein Windows höchstselbst: http://blog.dustinkirkland.com/2016/03/ubuntu-on-windows.html * http://www.heise.de/newsticker/meldung/Deutsche-Telekom-Smart-Home-System-Qivicon-erneut-ausgefallen-3171968.html * Dezentrale eBay-Alternative seit 3 Wochen live https://openbazaar.org/ * BKA-Gesetz https://netzpolitik.org/2016/bka-gesetz-urteil-de-maiziere-will-gesetzte-grenzen-vollumfaenglich-ausschoepfen/ == M(ehr H)erz == Begrüßung: Heute ist Pinguintag! Alles Gute euch allen! :) Musik: Partiion 36 - I Love Penguins https://archive.org/details/jamendo-058962 News: * LibOTR-Implementation kaputt http://www.heise.de/newsticker/meldung/Kritische-Luecke-in-Jabber-Verschluesselung-OTR-3130396.html * TP-Link blockt custom firmware wg. Regulierung: http://arstechnica.com/information-technology/2016/03/tp-link-blocks-open-source-router-firmware-to-comply-with-new-fcc-rule/ * Mehr "OpenSource" in den Behörden der USA gewünscht: https://www.whitehouse.gov/blog/2016/03/09/leveraging-american-ingenuity-through-reusable-and-open-source-software * Debian wieder mit Firefox statt Iceweasel * https://netzpolitik.org/2016/gerichtsurteil-social-plugins-duerfen-keine-daten-ohne-zustimmung-erheben/ * StartSSL noch immer kaputt http://oalmanna.blogspot.de/2016/03/startssl-domain-validation.html und CAcert hoffentlich im April wieder geschlichtet, immerhin schonmal neue Signaturen https://blog.cacert.org/2016/03/successful-root-re-sign/ * Hack des Monats: https://github.com/fulldecent/system-bus-radio * ctypes.sh: https://github.com/taviso/ctypes.sh Thema: Verbreitung von Linux und Freier Software Chemnitzer Linux Tage: Waren letztes Wochenende. Warum Linux? * Paketverwaltung * Vollständig anpassbar / Konfigurierbar * verschiedene GUIs * Open Source * Vielfalt an Distros * Updates & upgrades (Stable / Rolling Release) * Probleme kann man selbst beheben * nachvollziehbarkeit * eher für Fortgeschrittene (?) * Hardware schränkt ein (Treiber, etc.) * aber bringt in der Standardinstallation mehr Treiber als jedes anderes Betriebssystem mit * Community * Events * Foren * Chats * keine "Utilities" / Virenscanner & co. nötig * System muss dennoch sicher benutzt/gewartet werden * Wie siehts mit Gaming aus? Lug-DD: * Ort und Zeit der lug-Treffen * GAG18, 2. und 4. Mittwoch im Monat, 20:00 Uhr * WLAN vorhanden * Guenstige Getraenke (Studentenclub) * (Alters-)Struktur der Mitglieder * Zur Zeit wenig Studenten dabei * Auch die lug-dd unterliegt dem demografischen Wandel :) * Themen/Selbstverstaendnis * Kein Verein, jeder kann vorbeikommen * Vortraege momentan eher selten * Support #1: Wir helfen gern, aber es muss auch ein [minimaler] Lerneffekt sichtbar sein. * Support #2: Wir helfen gern, haben aber was gegen Anspruchshaltung. "Konfigurier' mir das mal richtig, sonst geh ich zurueck zu Windows" wird nicht akzeptiert. * Viele Fragen/Antworten laufen auch ueber die Mailingliste (lug-dd@schlittermann.de) fsfw-Dresden * aktiv seit etwas mehr als einem Jahr * Ziele: * Dokumentation für freie Software zur Verfügung stellen * Einsatz für die Verwendung freier Software an der Univeristät * sichere Kommunikation an der Uni fördern (E-Mail Verschlüsselung) * freien Zugang zu Wissen fördern * mehr Details: Programmpapier * Aktivitäten: * verschiedene Veranstaltungen (z.B. Linux-Install-Parties, Cryptoparties), oft in kooperation mit anderen Organisationen (c3d2, Datenkollektiv, ifsr, it4r, StuRa der HTW, SLUB) * GPG-Gewinnspiel um zum E-Mail verschlüsseln motivieren * monatlicher LaTeX-Helpdesk in der SLUB * Newsletter (Hinweise auf Veranstaltungen und relevante Neuigkeiten) * Interessierte sind beim Plenum in der SLUB willkommen (die Termine finden sich auf der Website) Linux Presentation Day * 30.04.2016 in den Räumen der HTW Dresden * https://wiki.fsfw-dresden.de/doku.php/events/linux-presentation-day * Ablauf * Vortrag * Linux Install Party == Fairbrew == Thema Perl6 News: Bundestrojaner: http://www.dw.com/en/german-government-to-use-trojan-spyware-to-monitor-citizens/a-19066629 Anlass: SW des BKA jetzt einsatzbereit und genehmigt, fuer Mobile und PCs. "According to a 2008 decision by the German Constitutional Court, remote access to a citizen's computer is permissible only if there is life-threatening danger or suspicion of criminal activity against the state." (i.e. "Verfassungsfeinde"). Beschwerde anhaengig, im April in Karlsruhe. http://www.deutschlandfunk.de/gerhart-baum-zum-bundestrojaner-der-staat-wird-hier-zum.694.de.html?dram:article_id=346287 glibc resolver luecke, remote attackable! glibc: Dramatische Sicherheitslücke in Linux-Netzwerkfunktionen Tim Cook gegen das FBI, Apple weigert sich Telefone fuer das FBI zu entschluesseln. Bill Gates steht hinter dem FBI. Die Mehrheit des Internet ist dagegen, die Presse veroeffentlicht Statistiken, dass die mehrheit der Bevoelkerung hinter dem FBI stehe. Firefox zeigt in Zukunft bei Passwortformularen eine Warnung an, wenn diese über http gehen: Bitcoin - Euro-Preis schwankt wiedermal stark - http://www.coindesk.com/bitcoin-miners-back-proposed-timeline-for-2017-network-hard-fork/ Kein Consens in Sicht Sicherheitslücke in Linux Mint: http://blog.linuxmint.com/?p=2994 (Optional) - Hacker Publishes Personal Info of 20,000 FBI Agents - Elektronische Fahrkarten doch nicht so gut? wieder Papier? Thema: * Vorstellung Gaeste * Warum Perl? Generell wo fuer ist das gut und wo wird es verwendet? * Warum jetzt Perl6? Endlich veroeffentlich nach 16 Jahren. Features und Unterschiede * Geschichte Milestones, zwischen Versionen Warum hat die Entwicklung so lange gedauert? < * Soll man umsteigen von Perl5 * Projekte mir Perl6 * Wo faengt man an. http://perl6.org/ * Wird Perl6 irgendwann noch schnell? * CPAN für Perl5. Pendant für Perl6? == Janvier == News: Net neutrality: https://www.eff.org/deeplinks/2016/01/eff-confirms-t-mobiles-bingeon-optimization-just-throttling-applies (Mic92 - hats gelesen) Was duckduckgo und facebook können, können wir doch auch ... http://rvy6qmlqfstv6rlz.onion/ c3d2 ist über einen onion service erreichbar Buch über das Vermächtnis von AS: http://thenewpress.com/books/boy-who-could-change-world TrumpScript: https://github.com/samshadwell/TrumpScript (Artikel dazu sind am Ende der README verlinkt) - Falls seine Reden als Text verfügbar sind, müsste man die mal in den Interpreter stopfen und schauen was bei rauskommt :) Niederländische Regierung sponsert OpenSSL $540,000 - http://www.theregister.co.uk/2016/01/04/dutch_government_says_no_to_backdoors/ - Gegen Spionage und Krimnielle Energien Niederländische Regierung spricht sich gegen Krypto-Hintertüren aus - http://www.heise.de/security/meldung/Niederlaendische-Regierung-spricht-sich-gegen-Krypto-Hintertueren-aus-3061159.html Französische Regierung spricht sich gegen Krypto-Hintertüren aus - http://www.pro-linux.de/news/1/23161/frankreich-sagt-non-zu-staatlich-verordneten-hintertueren.html https://blog.docker.com/2015/12/ian-murdock/ - Ian Murdock: Debian Maintainer, letzter Maintainer Docker http://www.nytimes.com/2016/01/26/business/marvin-minsky-pioneer-in-artificial-intelligence-dies-at-88.html Marvin Minsky ist tot https://medium.com/@octskyward/the-resolution-of-the-bitcoin-experiment-dabb30201f7 Mit Bitcoin ist es vorbei - sagt Mike Hearn https://bitcoin.org/en/bitcoin-core/capacity-increases-faq das Core Team und die Menschen, die leise echte Lösungen haben verbreiten ihre Roadmap http://www.ibtimes.co.uk/r3-connects-11-banks-distributed-ledger-using-ethereum-microsoft-azure-1539044 Dafür setzen Banken auf Microsoft und Ethereum http://money.cnn.com/2016/01/21/technology/china-digital-currency/index.html die Chinesische Zentralbank will eine eigene CryptoCurrency https://z.cash/ Zerocoin nimmt Gestalt an Thema: Linuxkernel . community - Erstveröffentlichung: - http://www.thelinuxdaily.com/2010/04/the-first-linux-announcement-from-linus-torvalds/ - just a hobby, won’t be big and professional like gnu - Newsgroups: comp.os.minix - Entwicklung auf seinem 386-PC - bash & gcc - Tanenbaum–Torvalds debate: - 1992 on the Usenet discussion groupcomp.os.minix, arguing that microkernels are superior to monolithic kernels and therefore Linux was, even in 1992,obsoletee - 1991 - 2002: - Entwicklung ohne Versionskontrollsystem (Erklären anhand von - Tarballs + Patchest - 2002 - 2005: - Bitkeeper - propritäres verteiltes Versionssystem - Kostenlos für Kernelentwicklung - Andrew Tridgell (Entwickler v. Samba u. rsync) entwickelte "SourcePuller" als kompatible Implementierung -> Larry McVoy: zieht Lizenz zurück - 2005: - Linus Torvalds stellt Kernelenwicklung ein und entwickelt innerhalb weniger Wochen git - Monotone erfüllte 2/3 Kritieren (Verteiltheit, Sicherheit) aber war zu langsam # Wie reiche ich einen Patch ein? - doc/CodingStyle - wie setze Klammern, dokumentiere ich, verhindere ich Komplexität (Funktionen) - scripts/checkpatch.pl - Whitespace, Checkt Stil - scripts/get_maintainer.pl - liefert Maintainer aber auch passende Mailinglisten - ist manchmal übereifrig, Liste nachkontrollieren - Maintainer (Zu sehen in https://git.kernel.org/cgit/) - Baumstruktur (hierarisch) - Aufgabenteilung - Architekturen: 31 an der Zahl - ARM (vielleicht weiter ausführen) - X86 - Treibersubsysteme (USB, Block, Bluetooth, Sound) - Dateisysteme - Grafik (DRM, Nvidea-Rant: https://www.youtube.com/watch?v=MShbP3OpASA) - Mailingliste: - Linux Kernel Mainlinglist (LKML) als Catchall (wird meißt nur als Referenz verwendet, liest aber keiner) - einzelne Subsysteme haben eigene Mailinglisten für Patches/Diskussionen - Ausführliche Commitbeschreibung / kurzer Betreff - Patches - werden inline verschickt und vom Maintainer inline kommentiert - Pull-Request (Unterschied zu Github) - Developer Certificate of Origin (Signed-off-by: ... in Commitnachricht) ... Einsender bestätigt, dass er berechtig ist die Änderung einzubringen - Patchversionen im Betreffeld der Email - Documentation/SubmittingPatches - Releaseablauf - Maintainer sind ein Release weiter (wenn 4.4 released, Arbeiten Maintainer an 4.6) - Merge-Window: 2 Wochen in denen die Hauptänderungen in den Hauptkernel einfliessen - 6-8 Wochen Stabilisierung + Aufnahme neuer Features durch Maintainer - Heise KernelLog als Zusammenfassung - https://lwn.net/ - We don't break Userspace! - Betriebssystemschnittstellen müssen kompatible zu alten Versionen bleiben -> sonst wird Torvalds böse - Medien - Sarah Sharp (USB-3) - Closing a door (http://sarah.thesharps.us/2015/10/05/closing-a-door/) - Generelles Problem unterschiedlicher Kulturen (europäisch, asiatisch, amerikanisch, ...) - Größte Opensourceprojekt überhaupt (Code + Contributor) >7.7 Änderungen pro Stunde 24/7 (http://www.linuxfoundation.org/news-media/announcements/2015/02/linux-foundation-releases-linux-development-report) - Konferenzen? - LinuxCon + LinuxCon Europe (Docker, Docker, Cloud, Cloud, ...) - Fragerunde mit Torvalds - embedded Linux Conference (+Europe) ... da wo die Profis sind - Leute von der Mailingliste in RL treffen - Kernel Summit - intern invitation only - Kernentwickler/Maintainer - Arbeitstreffen -> Entscheidungsfindung - Chemnitzer LinuxTage - FrosCon - FOSDEM (5000 Menschen) - LinuxTag (RIP?) - kleinere/größere Konferenzen auf allen Kontinenten (LinuxCon AU, Japan)... - Talkempfehlung: - - Geschichte von Git: Google I/O Talk https://www.youtube.com/watch?v=4XpnKHJAok8 == Schneezember == Thema: Letsencrypt NSA to shut down bulk phone surveillance program by Sunday Nov 29 http://www.reuters.com/article/2015/11/27/us-usa-nsa-termination-idUSKBN0TG27120151127 Überwachung für alle: Open Source License Plate Reader http://arstechnica.com/business/2015/12/new-open-source-license-plate-reader-software-lets-you-make-your-own-hot-list/ Brazil verbietet Whatsapp, 1.5 Mio. neue Telegram-User an 1 Tag http://www.heise.de/newsticker/meldung/Brasilianisches-Gericht-hebt-WhatsApp-Blockade-auf-3046727.html http://www.heise.de/newsticker/meldung/UK-Staatsanwalt-Suchmaschinen-sollen-Verdaechtiges-melden-muessen-3046768.html Backdoors in Juniper Routern HTTP 451 jetzt offiziell Doubled Paid Traffic (Hetzer) - http://wiki.hetzner.de/index.php/Double_Paid_Traffic Bash sucht ein neues Logo Ha ha, Oracle muss Java löschen (updaten) Der SAP-Konkurrent Oracle muss nach Ermittlungen der US-Aufsichtsbehörde Federal Trade Commission (FTC) das Verfahren beim Stopfen von Sicherheitslücken in Java nachbessern. Java soll auf mehr als 850 Millionen Computern zum Einsatz kommen. Die FTC hatte angeprangert, dass bei Sicherheits-Updates von Java jeweils nur die aktuelle Version ausgetauscht worden sei. Ältere Varianten seien dabei schlicht ignoriert worden und weiter auf den Geräten der Nutzer geblieben; was ein Sicherheitsrisiko ist. Auf ältere Java-Versionen hinweisen Joomla CMS nicht sicher gekriegt, PHP-Version ist schuld Seit 18.12. haben wir wieder VDS Der Jurist [Meinhard Starostik] wies darauf hin, dass Bayern bereits dem Landesamt für Verfassungsschutz Zugriff auf die Metadaten geben wolle, obwohl die Tinte unter dem Gesetz noch gar nicht getrocknet sei. Lücke im Linux-Bootloader: Backspace-Taste umgeht Grub-Passwort < http://www.heise.de/newsticker/meldung/Luecke-im-Linux-Bootloader-Backspace-Taste-umgeht-Grub-Passwort-3046037.html> === Letsencrypt === - Einführung: - - TLS: - Häufigster Anwendungsfall von Zertifikaten - Verweiß auf Sendung SSL Juni 2010: (hier wird die Verschlüsselung erklärt - symmetrische/asymmetrische Verschlüsselung, Deffi-Helmann) http://www.c3d2.de/news/pentaradio24-20100622.html - TLS - Begriffe-Bingo: SSL, TLS, STARTTLS - oft im Zusammenhang mit Emailclientkonfiguration - SSL, TLS: eigentlich Protokollversionen (keine Varianten) - (SSLv1 nie veröffentlicht) - SSLv2, SSLv3, TLS 1.0, TLS 1.2 - SSLv2: 1995, definitiv lange kaputt (MD5, Truncation Attacke) - SSLv3: 1996, POODLE - On Tuesday, October 14, 2014, Google released details on the POODLE attack, a padding oracle attack that targets CBC-mode ciphers in SSLv3. The vulnerability allows an active MITM attacker to decrypt content transferred an SSLv3 connection. While secure connections primarily use TLS (the successor to SSL), most users were vulnerable because web browsers and servers will downgrade to SSLv3 if there are problems negotiating a TLS session. - TLS spezifiert nur das Protokoll des Sitzungsaufbaus, die Verschlüsselungsalgorithmen - Cipher genannt, sind austauschbar - goto fail; https://events.ccc.de/congress/2015/Fahrplan/events/7438.html - Was CAs sind und wie das Vertrauensmodell aufgebaut ist (vielleicht will $jemand dabei noch ein paar Sätze zu CAcert erzählen) - "Domain Validation" (DV) - "Organization Validation" (OV) - "Extended Validation" (EV) - PKCS#10 Certificate Signing Request - Json Web Security - Was Zertifikate sind (X.509) und wie man dazu kommt - Wie letsencrypt und ACME letztendlich funktioniert - Anwendungsfall: - Häufig sehr zeitaufwendig, Zertifikate zu erstellen, Domains zu validieren und Zertifikate zu aktualisieren - Ziel Zertifikat ohne Eingriff eines Menschen - - Acme bietet die Möglichkeit dies zu automatisieren: - HTTP basiertapplication/jose+json - Austausch von JSON-Nachrichten auf spezifizierten Pfaden - Account automatisch erstellbar (durch erzeugung eines Schlüsselbundes) - Domain-Validierung: - HTTP 01: - {scheme}://{domain}/.well-known/acme-challenge/{token} - http/https - application/jose+json - DVSNI: Domain Validation with Server Name Indication - dNSName “..acme.invalid - auch für nicht webserver interessant - DNS: TXT _acme-challenge.example.com. "gfj9Xq...Rg85nM" - IETF-Standard https://letsencrypt.github.io/acme-spec/ - evtl. noch ein paar Dinge zur Infrastruktur und auf die Talks auf dem 32c3 hinweisen: - https://events.ccc.de/congress/2015/Fahrplan/events/7528.html - caddy: $ caddy -agree=true -host "higgsboson.tk" == Movember == Thema: Elasticsearch News: (Migration auf shownot.es?) https://shownot.es/doc/pentaradio-328/edit/ Während Europa im Katastrophenmodus ist, wird die Überwachung hochgefahren * VDS * http://www.heise.de/newsticker/meldung/Bericht-Grossbritannien-plant-Vorratsspeicherung-auch-von-Inhaltsdaten-2866494.html * Netzneutralität * Zwangsrouter * Zwangsentschlüsselungsvorschläge * vs .de soll "Verschlüsselungs-Standort Nr. 1 auf der Welt" werden http://www.heise.de/newsticker/meldung/IT-Gipfel-De-Maiziere-macht-sich-fuer-Ende-zu-Ende-Verschluesselung-stark-2923866.html IT4Refuges: - Elaticsearch (ca. 1h) ------------ Schnipp - fb, martin, t-lo notizen zur Sendung ------------ Vorbereitung Pentaradio 2015-11-24: Elastic Search Q: Warum Elastic Search? Warum nicht Dynamic Search oder irgendwas search? Geschichte zu Elasticsearch: http://thedudeabides.com/articles/the_future_of_compass/ Ich kenne die Geschichte hinter dem Namen nicht, würde search aber auf ursprünglich Volltextsuche beziehen, Elastic auf elastisches skalieren, ähnlich zu EC2 * Was meint Search? * Warum Elastic? * Ähnliche Projekte * Solr * Heliosearch * Sphinx * vormals: Fast (jetzt M$ gekauft), Endeca, Blast (neofonie) u.a. * Welches Problem wird gelöst? * https://www.elastic.co/guide/en/elasticsearch/guide/current/intro.html * Volltextsuche * Realtime Datenanalyse auf Log- und anderen Daten (meist mit Aggregationen (siehe Facetten/Drill Downs bei Webshops) https://www.elastic.co/blog/intro-to-aggregations ) * Key/Value Store * Intro-Beispiel: Suchmaschine Webshop. * Recommodation Ding (https://github.com/MaineC/recsys, bitte nicht als machine learning verkaufen, das sind Ansätze um Empfehlungssysteme (im Sinne von "welche Produkte zeige ich in meinem Webshop wann an, um potenzielle Käufer zum Kauf zu verlocken") zu bauen. Machine learning als Begriff ist IMHO ein Fall von "wenn das jemand hört, weiß jeder sofort worum es geht ohne Ahnung zu haben was es ist" was insb. außerhalb von Machine Learning Akademikerkreisen oft dazu führt, dass die Leute wunderhübsch aneinender vorbeireden.) * Wie funktioniert 'Suche'? * Warum sucht man? * Invertierter Index (Was ist das?) * so wie z. B. im Index/Stichwortverzeichnis im Buch * Lucene vorstellen * Wie füttert man ES mit Daten? * Dynamisches vs. vorgegebenes Mapping - https://www.elastic.co/blog/found-elasticsearch-mapping-introduction * Was passiert dann? * Architektur von ES * @Thilo hier http://www.heise.de/ct/ausgabe/2014-10-Verteilte-Suche-mit-Elasticsearch-2172389.html (Artikel solltest Du haben) hab ich mal den ganzen Sharding usw. Kram erklärt. Das interne Klassendiagramm von ES (falls das hier etwa mit Architektur gemeint ist) will keiner sehen, trust me. * Installation von ES * Daten laden * PUT API, Bulk API - in den meisten Fällen insb. für Logs aber Logstash * Was suchen * Cluster aufsetzen * Anekdote: Wie vermeide ich, dass mein Dev Notebook Elasticsearch von meinem Production Cluster Elasticsearch gefunden wird? Hint, hint: Man ändere mind. den Namen des Clusters. * https://www.elastic.co/guide/en/found/current/preflight-checklist.html (http://asquera.de/opensource/2012/11/25/elasticsearch-pre-flight-checklist/ oder als Video von offizieller Seite hier: https://www.elastic.co/webinars/elasticsearch-pre-flight-checklist ) * Verteiltes ES, advanced Features * Sharding * Unterscheide primary und replica shards. * Primary = in wieviele Teile wird der gesamtindex aufgeteilt, default = 5, jeder einzelne primary shard muss auf einen hostenden Knoten passen; je höher die Anzahl primary shards desto mehr Daten passen insg. in den Index, aber über desto mehr shards muss auch gesucht werden (https://www.elastic.co/guide/en/elasticsearch/guide/current/kagillion-shards.html ); Anzahl primary shards verändert erfordert ein komplettes neu-indexieren der Daten im Index. * Replica = wieviele Kopien existieren pro Primary shard im Cluster. Anzahl kann jederzeit ohne Neuindexierung verändert werden. Cluster wird nur mit mind. einem replica shard als healthy angesehen ( https://www.elastic.co/guide/en/elasticsearch/reference/current/cluster-health.html ) * Aggregations * Ich fürchte das ist ein komplett eigener Podcast * Cluster * vielleicht https://www.elastic.co/guide/en/elasticsearch/guide/current/_important_configuration_changes.html#_minimum_master_nodes erwähnen? * Plug-ins * viele community getriebene Plugins (z.B. kopf zur Visualisierung, https://github.com/lmenezes/elasticsearch-kopf, https://github.com/jprante/elasticsearch-jdbc; mit marvel (ES monitoring), watcher (alerting/notification), shield (security) inzw. auch einige komerzielle Plugins APIs * - stabile REST API, diverse Endpunkte für Java Plugin extensions Links: * https://www.elastic.co/products/elasticsearch * https://github.com/MaineC/recsys * https://en.wikipedia.org/wiki/Elasticsearch * https://de.wikipedia.org/wiki/Elasticsearch ------------- Schnapp - fb, martin, t-lo notizen ---------------------------- - Kurze Vorstellung des Themas/ (Gäste?) - Wie funktioniert Volltextsuche in Elasticsearch (Vom Webbrowser zur Suche und Zurück) - Schnittstelle - Verarbeitung der Sucheingabe (N-Gramm, Stemming) - TF/IDF, Lucene - Sortierung/Bewertung der Treffer - Elasticsearchterminolgie: - Dokumente - Typen - Indices - Verteilte Architektur - Clustering, Shards - Indexpartionierung - Netzwerkdiscovery - Andere Anwendungen (Neben Volltextsuche) - Zeitreihen - Geosuche - Coole Projekte/Erweiterungen: - Kibana - Logstash - Marvel - Wie kann ich Elasticsearch installieren/ausprobieren? - Bibliotheken - Percolator: https://www.elastic.co/guide/en/elasticsearch/reference/current/search-percolate.html#search-percolate - Dokumentation mit Volltextsuche: https://www.elastic.co/guide/en/elasticsearch/reference/current/index.html == Oktober == Thema: FPGA Musik-Ideen: * http://lumenstunde.de/lumenstunde_horchen.xhtml News * Krasse Statistiken aus .au: http://www.theguardian.com/australia-news/2015/sep/24/nearly-half-of-young-people-say-tracking-partners-using-technology-is-acceptable * Angriff auf CPUs: http://www.heise.de/newsticker/meldung/Boesartige-Software-kann-Prozessoren-schneller-altern-lassen-2853329.html https://drive.google.com/file/d/0B9i8WqXLW451MTIyM2lqR1lpZ3M/view?pli=1 [Paper] * EU-Parlament beschließt umstrittene Netzneutralitätsregeln https://netzpolitik.org/2015/eu-parlament-beschliesst-umstrittene-netzneutralitaetsregeln/ * Wal Markt will Dronen! http://www.reuters.com/article/2015/10/27/us-wal-mart-stores-drones-exclusive-idUSKCN0SK2IQ20151027 * Phrack.org hat jetzt paper feed und ist wieder aktiver http://phrack.org/index.html [News] http://phrack.org/papers/attacking_ruby_on_rails.html [Paper-Feed] * SODD The Next Level: https://github.com/arthurnn/howdoi-emacs [Emacs] https://github.com/azac/sublime-howdoi-direct-paste [Sublime Text] https://github.com/laurentgoudet/vim-howdoi [Vim] https://github.com/james9909/stackanswers.vim [Vim] https://github.com/MarounMaroun/SO-Eclipse-Plugin [Eclipse] * Datenspuren: * Keynote * SDR * Podiumsdiskussion (Verfassungsschutz looking at Kollemate) * Fen­ster ein­schla­gen für Dummys * Rise of the Ma­chi­nes: Sie be­gin­nen zu ler­nen. * Let's Encrypt Beta: wurde crossigniert: https://letsencrypt.org/2015/10/19/lets-encrypt-is-trusted.html -> Beta https://community.letsencrypt.org/t/beta-program-announcements/163 * Bild.de verklagt Youtuber: http://www.golem.de/news/streit-ueber-erklaervideo-abgemahnter-youtuber-fordert-bild-de-heraus-1510-117134.html (Urheberrecht §95a) * Reaktion auf Content-Filter-Api von Safarie? Thema: * Was ist ein FPGA? * field programmable gate array (field=im "Feld"; vom Anwender) * Logische Schaltungen können darauf 'programmiert' werden * Was war euer 1. Kontakt mit FPGAs * Christian: Taschenrechner, 2048 * Alfred: Prozessor (Uni-Projekt) aus ASIC-Entwurf portiert * Poly: Erweiterung des BladeRF Software Defined Rado * Funktionsweise * Entwicklerboard -> Bestandteile (Eingänge/Ausgänge/andere Bauteile) * LUTS * z.B. Bauteil mit 4 Eingängen und einem Ausgang * alle möglich Eingänge mit dem richtigen Ausgang belegt. * Beispiel am Addierer * Platzverbrauch gegenüber fertige Schaltungen * Register * Verdrahtung * Für bestimmte Operationen/Aufgaben sind häufig bereits fertige Bauteile auf dem Board / SOC * Multiplizierer * Speicher (z.B. SDRAM) * (ARM-)Prozessor * IO: GPIOs/VGA/PCI-Express/Analog-Digitalwandler/LEDs/Taster/Switches/Sensoren * Wozu braucht man einen FPGA? Welche programmierbare Hardware gibt es sonst noch? (CPLDs? weiß jemand was dazu?) * Abgrenzung zu Prozessoren * Gegensatz zu ASICs: * kurze Erläuterung wie Chips entwickelt/hergestellt werden -> Kosten * Prototyping: * Workflow FPGA <-> ASIC praktisch identisch * Javaprozessor (Uniprojekt): SHAP (Secure Hardware Agent Platform) * 'Echtzeit'-Anforderungen * Industrie -> Bussysteme -> Timing wichtig * Kleinserien * siehe Kosten ASICs * z.B. bei manchen Fernsehgeräten, Mobilfunk-Basisstationen * Flexibilität (Updates!) * Konfiguration nicht dauerhaft -> manche Geräte verfügen über Flashspeicher * Militär benutzt nicht-auslesbare Speicher (z.B. AES-Verschlüsselung mit Keys nicht-lesbar auf FPGA hinterlegt) * Parallelität * DES-Cracker in den Wolken https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ * Energieeffizienz: * https://www.weusecoins.com/de/mining-guide/ * Bitcoin 600 MH/s Grafikkarte -> 400 Watt, FPGA mit einer Hashrate von 826 MH/s nur 80 Watt (5mal höhere Energieeffizienz); Asics: 60 GH/s bei einem Stromverbrauch von 60 Watt * Lightningtalk: letzte Datenspuren: Open Silicon (Aufruf zu einem Chaos Projekt): http://martin.christianix.de/ds15/Open-Silicon.pdf * Zahlen: * Taktfrequenz typisch: 20 Mhz - 500 MHz * Bis zu 20 Milliarden Transistoren * * Wie 'programmiert' man einen FPGA? * Sprachen (VHDL, Verilog , SystemC, myHDL (python), High Level Synthese (z.B. LegUp http://legup.eecg.utoronto.ca), ...), OpenCL * Very High Speed Integrated Circuit Hardware Description Language * Statemachine (Kaffeeautomat / Drehkreuz) * KombinatorikFunktionsweise * Synthese -> Place & Route -> Bitstream * Dauert z.T. recht lang (Erfahrungswerte: 20min+x) * vgl. ASIC: Stunden bis Wochen * Freie Software * Simulatoren (Icarus Verilog, GHDL) * GTK-Wave * Wesentlich mehr Tests notwendig, durch Simulation (Asserts) * IP-Cores: (Soft-Cores/Hard-Cores) * http://opencores.org * github * Kommerziell (Altera, Xilinix, ...) * Was gibt es für coole Projekte mit FPGAs * Novenaboard, Bitcoinminer (legacy) * Retrocomputing: mist-board (open hardware, http://harbaum.org/till/mist/index.shtml ) * Queens@tud (https://de.wikipedia.org/wiki/Damenproblem#Anzahl_der_L.C3.B6sungen_im_klassischen_Damenproblem ) * Intel liefert xeons mit Altera-FPGAs aus: http://www.golem.de/news/serverprozessor-intel-zeigt-xeon-e5-mit-altera-fpga-1508-115873.html -> General Purpose FPGAs (z.B. Datenbankbeschleunigung) * Chaoscampvortrag 2015: FPGAs in PC-Architektur integrieren: https://events.ccc.de/camp/2015/Fahrplan/events/6730.html * Wie kann ich einsteigen in das Thema * xilinx/Quartus webpack * kostenlos * Kaufempfehlung ? * Retrocomputing: mist-board (ca. 200€) * Einsteigerprojekte? * https://www.digikey.com/product-detail/en/410-282P-KIT/1286-1046-ND/4840866 69€ * Cyclone? Termine * == September == News: * http://www.latimes.com/nation/la-na-cyber-spy-20150831-story.html * http://www.spiegel.de/netzwelt/web/mark-zuckerberg-facebook-hat-eine-milliarde-nutzer-pro-tag-a-1050244.html * http://www.heise.de/newsticker/meldung/Snapchat-zeigt-Fotos-doch-nochmal-und-will-dafuer-Geld-haben-2817978.html * http://www.theguardian.com/us-news/2015/sep/20/teen-prosecuted-naked-images-himself-phone-selfies * https://www.eff.org/deeplinks/2015/09/researchers-could-have-uncovered-volkswagens-emissions-cheat-if-not-hindered-dmca * Programm der FSFW zum http://softwarefreedomday.org/ -> https://fsfw-dresden.de/programm.html * Bitcoin akzeptieren für jeden, Dev-Edition verfügbar: https://21.co * VW bescheißt befreundete Nationen https://www.eff.org/deeplinks/2015/09/researchers-could-have-uncovered-volkswagens-emissions-cheat-if-not-hindered-dmca und deutsche Politik weiß es lange http://welt.de/article146711288 * BMVg will die Bundeswehr für Cyberkrieg rüsten http://www.bmvg.de/portal/a/bmvg/!ut/p/c4/NYuxDsIwDET_yE5gKWwtZWBhYIGypW0UGTVOZZyy8PEkA3fSG-7p8Iml7DYKTimxW_CBw0TH8QNj3AK8UpayQiSmt3qhHPFeP7OHKbHXSvWsVBjEaRJYk-hSTRYpBmjGwdi-M9b8Y7_t7nw9nJpm31-6G64xtj-fkO2W/ * Steigt der Kurs wg. DDOS 4 BTC: http://www.heise.de/newsticker/meldung/DD4BC-DDoS-Erpresser-drohen-deutschen-Banken-2823597.html * * Interfug: * 29. & 30.08.2015 * Chaostreff Chemnitz * lokomov * Sichere Kontaktdatenverteilung mit Sm@rtRNS (Tesla42) * Suckless.org (Zwansch) * Torrenting on the Interwebs (astro) * Wir kochen Hagebuttenmarmelade (kusanowsky) * Hackerspace -> Vollgestellt mit Rechner und 3D-Drucker Thema: Datenspuren! - Datenspuren * Wann? Wo? Thema? - Wann: Oktober - Technische Sammlungen: Mehr Platz (3 Räume) * Was ist neu? - Workshops * Enigma Bastelworkshop * 2 Kryptoworkshops: - PGP-Email - Was kommt nach der Email (Datenkollektiv) - Party im Turmkaffee am Samstag (min. 2 Dj) * Wobei brauchen wir Hilfe? * * Warum mach ich das? * Motiviation von mc * Astro (A8) erzählt alte Geschichten (?) * Stand: * Erlebnisland Mathematik * Sniffing-Collage * Infostände: Cacert, Freifunk, Openwrt * Vorträge * Netztechnologien, Verschlüsselung, Smartcards * Keynote: Linus Neumann * Podiumsdiskussion: Die Grenzen des Geheimen mit Anna Biselli, Constanze Kurz und Gordian Meyer-Plath (Präsident des Landesamt für Verfassungsschutz) * E-Call: - Gesetzentwurf für automatischen Anruf nach dem Unfall * Ligthning Talks: am Samstag * Kooperation mit Zukunftsstadt * Visionen einreichen und umsetzbar machen * OpenData - T-Shirts - Spenden - Keynote - Party - E-Mail - Codeweek: * 24.09. Treffen der FSFW https://fsfw-dresden.de/ * Erstes Wochenende (10. und 11. Oktober 2015) * Von GeekGirlsCarrots * am 10. oder 11. Oktober 2015 erstmalig eine Veranstaltung unter dem Motto Code Carrots * isbesondere programmierbegeisterte Frauen * Zweites Wochenende (17. und 18. Oktober 2015) * Vom Medienkulturzentrum Dresden und dem OK Lab Dresden * am 17. Oktober 2015 Veranstaltungen für Jugendliche * Jugend hackt (Ost), was im Juni stattfand, hat gezeigt wie viel Spaß junge Menschen im kreativen Umgang mit Technik haben. * Workshop mit Mini-Computern (Raspberry Pi) * Technik mit elektronischen Schaltkreisen, die sich für den kreativen Einsatz als Klanginstrument eignet, soll bearbeitet werden. * Von OffenesDresden.de wird es ergänzend Hackathon zu Open Data geben. * Als Open Data Dresden möchten wir über den C3D2 hinaus Menschen für Code zu Open Data begeistern. * http://offenesdresden.de/codeweek/ * Debugging-Themenabend am Freitag * strace, ltrace, gdb, sysdig und co * es werden eine Reihe von Programmen vorgestellt mit dem man sein System besser verstehen und Fehler finden kann. Es soll dabei weniger auf konkrete Programmiersprachen, sondern gezeigt werden wie man Programme von außen debuggt. * 15.10. Bitcoin Stammtisch in Leipzig == Juli == News: * http://www.heise.de/netze/meldung/Snowden-Appell-an-die-IETF-Schuetzt-die-Internetnutzer-2753289.html * http://www.heise.de/newsticker/meldung/Neuer-Bitkom-Chef-haelt-Datensparsamkeit-fuer-veraltet-und-hinderlich-2753840.html * http://www.gainesville.com/article/20150720/ARTICLES/150729990 * Hacking Team hacked: * mailaender "security firma" * 400GB daten auf Wikileaks gelandet: * Geschäftsberichte, Exceltabellen + 1mio emails * deren Passwörter ("passw0rd") * aber auch ZeroDays (Flash, Chrome, Windows!) * Kaufen ZeroDays hauptsaechlich ein * http://www.heise.de/ct/ausgabe/2015-17-Die-Spionagesoftware-Firma-Hacking-Team-wurde-gehackt-2755600.html * http://www.heise.de/security/meldung/Super-Spion-Android-Ueberwachungssoftware-von-Hacking-Team-nutzt-allerhand-schmutzige-Tricks-2759365.html * http://www.heise.de/security/meldung/Hacking-Team-Wir-sind-das-Opfer-2763077.html * https://www.grc.com/sn/sn-515.htm * Stagefright http://www.heise.de/security/meldung/Stagefright-Android-Smartphones-ueber-Kurznachrichten-angreifbar-2763764.html * Joshua Drake von Zimperium zLabs gegenüber Forbes erklärt, * muss der Angreifer seinem Opfer in spe lediglich eine MMS- oder Hangouts-Nachricht schicken, in der sich Exploit-Code befindet. * Angriff ohne Spuren * Smartphone als Wanze * Android 2.2 bis 5.1 verwundbar * Hersteller sind gefragt * Full Disclosure auf der BlackHat * Zumindest das Google-Referenzgerät Nexus 6 und das Blackphone sollen bereits gegen einige der Schwachstellen gewappnet sein. * Die Entwickler der alternativen Android-Distribution CyanogenMod erklären, dass sie die Lücken bereits vor Wochen in CM 12 und der Nightly Build von 12.1 geschlossen haben * vor allem Android-Versionen, die älter als 4.1 sind. Neuere Versionen mit Schutzfunktionen ausgestattet, die das Ausnutzen über MMS erschweren * Mac OS X Priviledge Escalation in 300 Zeichen * echo 'echo "$(whoami) ALL=(ALL) NOPASSWD:ALL" >&3' | DYLD_PRINT_TO_FILE=/etc/sudoers newgrp; sudo -s * http://www.theregister.co.uk/2015/07/22/os_x_root_hole/ * OS X Yosemite Mac using code that fits in a tweet. (El Capitan) * Jeep Thema: Rust * Fmt standards * Pkg registry * Coole Projekte? https://gist.github.com/hoodie/b175834afa68104aadbb (WIP) == Juni 2015 == Ankündigung: Das 21. Jahrhundert liefert neue Herausforderungen für Programmierer: Multicore-Prozessoren, immer komplexer werdende Software, verteilte Systeme. Die Entwickler der Programmiersprache Go verfolgen den Ansatz, es einfach zu machen, sichere und effiziente Software zu schreiben. In dieser Sendung wollen wir euch die Programmiersprache näher vorstellen. Shownotes: Drogenkartell benutzt 39 Straßenkameras http://fusion.net/story/139838/this-drug-cartel-used-39-street-cameras-to-spy-on-everyone/ Avast gibt Nutzungsdaten an Analysefimren http://www.heise.de/newsticker/meldung/Avast-gibt-Nutzungsdaten-an-Analysefirma-weiter-2677838.html UN-Beauftragter wirbt für Verschlüsselung http://www.heise.de/newsticker/meldung/UN-Beauftragter-wirbt-fuer-Verschluesselung-und-Anonymitaet-2672561.html http://www.heise.de/-2678065 SSH-Keys auf Github ausgewertet http://www.golem.de/news/ssh-sechs-jahre-alter-bug-bedroht-github-repositories-1506-114449.html Trojaner-Angriff auf den Bundestag http://www.heise.de/newsticker/meldung/Nach-Trojaner-Angriff-Bundestag-soll-neues-Computer-Netzwerk-benoetigen-2687521.html Edward Snowden Platz in Dresden http://edward-snowden-platz.de/ 200. Datenbankstammtisch: https://www.htw-dresden.de/index.php?id=23853&vid=240 Bibliotheken in Go: http://awesome-go.com/ Gopher Team bei Google http://www.wired.com/2013/07/gopher/ Go-Race Detector: http://blog.golang.org/race-detector Go 1.5: Go in Go geschrieben http://talks.golang.org/2015/gogo.slide#2 Projekte in Go: http://blog.golang.org/4years News http://fusion.net/story/139838/this-drug-cartel-used-39-street-cameras-to-spy-on-everyone/ http://www.heise.de/newsticker/meldung/Avast-gibt-Nutzungsdaten-an-Analysefirma-weiter-2677838.html http://www.heise.de/newsticker/meldung/Britische-Polizei-ersucht-alle-zwei-Minuten-um-gespeicherte-Vorratsdaten-2677844.html http://www.heise.de/newsticker/meldung/UN-Beauftragter-wirbt-fuer-Verschluesselung-und-Anonymitaet-2672561.html http://www.heise.de/-2678065 http://www.heise.de/newsticker/meldung/Computex-Smarte-Windel-DiaperPie-2678100.html http://www.golem.de/news/ssh-sechs-jahre-alter-bug-bedroht-github-repositories-1506-114449.html http://www.heise.de/newsticker/meldung/Nach-Trojaner-Angriff-Bundestag-soll-neues-Computer-Netzwerk-benoetigen-2687521.html (BSI) sei zu dem Ergebnis gekommen, dass das Netz nicht mehr gegen den Angriff verteidigt werden könne und aufgegeben werden müsse. http://www.heise.de/newsticker/meldung/Buchhandel-Jugendgefaehrdende-E-Books-duerfen-nur-nachts-verkauft-werden-2717530.html 2015-06-30T23:59:60 * am 17.06. war 200. Datenbankstammtisch, vorgestellt wurden Datenbankerweiterungen in ad-hoc vernetzter Hardware. Künftig werden Datenbank also nicht nur schon im Hauptspeicher residieren, sondern auch schneller rechnen * http://edward-snowden-platz.de/ Edward Snowden Platz in Dresden, auch mit Freifunk === Go === - 2007 by Robert Griesemer (V8 Code generation, Java Hotspot), Rob Pike (UTF-8, Unix, Plan 9, Limbo), and Ken Thompson (B, Regular Expression, ed, UTF-8 encoding, Plan 9) in Google -> generft von C++ (Systemsprache bei Google) - Kompilierte, Statisch typisierte Programmiersprache -> statisch gelinkt, keine Libc-Abhängigkeit, nur Syscalls - Garbage Collection (parallel/stop the world, mark-and-sweep) - Typinterference -> foo := "string"; - Objektorientierung durch Interfaces (virtual inheritance) und Types - Typen können Methoden haben: type ip4addr uint32 func (ip4addr a) String() { .... } - Mixins -> Objektorientierung? - Interface conversions and type assertions (Reflexion) type Stringer interface { String() string } var value interface{} // Value provided by caller. switch str := value.(type) { case string: return str case Stringer: return str.String() } - Lambdas - Error as Value -> Methoden mit mehreren Rückgabewerten - Slices, Maps - string === UTF-8 Strings (Rob Pike hat UTF-8 mit geprägt) - binary data? -> []byte - explizite Typenkonvertierung (int32 -> int) - Goroutinen (Greenthreads) - Channels -> Warteschlange kanal := make(chan string) go func{ fmt.Print(<-kanal) } kanal <- "Hallo" - Share by communicating - Defer - Modulekonzept -> package main Methoden/Variablen mit beginnt Großbuchstaben -> nach außen sichtbare Methode - Eingebauter C-Compiler -> Einbinden in C-Header Files + Linker Flags in Go-Kommentar // #include ... C.printf - Plattformabhängiger Code in eignen Dateien -> (keine #ifdef Hölle) // +build linux,386 darwin,!cgo [_GOOS][_GOARCH].go -> taskbar_windows.go ====Packetmanagement==== export GOPATH=~/go ~/go ├── bin │ ├── gore ├── pkg │ └── linux_amd64 │ └── github.com │ ├── Mic92 │ │ └── lock │ │ ├── filter.a │ │ └── flag.a └── src ├── github.com │ ├── Mic92 │ │ ├── lock go get github.com// import "github.com.. === Coole Bibliotheken === - Batteries included: -> Webserver, json, xml, template engine, ssl, kompression, http/smtp/json rpc -> testing, syscalls, bildformate - Standartbibliothek gut lesbar (kurze Methoden, wenige Verschachtelungen, verlinkt von der Dokumentation) <-> glibc - häufig reine Go-Biblioteken (keine C-Wrapper) -> tls - Seit 1.5: Go in Go (http://talks.golang.org/2015/gogo.slide#2) -> C verbannt - webanwendungen? -> Ähnlich Express.js/sinatra/Flask, kleine Modulare Frameworks ==== Triva ==== - Gopher Team bei Google http://www.wired.com/2013/07/gopher/ - Subject von #go auf freenode.net: Go, the game (not the silly language) -> #go-nuts - golang als Stichwort in Suchmaschinen - keine Stackoverflows -> continous/resizeable stack Tooling: AST-Parser in stdlib + einfache Syntax -> eingebaut: - gofmt -> Codeformatierung - pprof -> profiler mit Webansicht (CPU, Speicher, Goroutinen Locks (- gofix -> Apirefactoring) - gdb -> debugger - godoc -> Dokumentationsserver, Dokumentation in Kommentaren - go test - go generate: //go:generate stringer -type=Pill - go race detector: http://blog.golang.org/race-detector (Speicherzugriffe) - gocode -> Codevervollständigung - go oracle - vet/lint -> Statische Codeanalyse - gorename -> Refactoring - goxc -> Cross-Compiler + statische gelinkte Standartbibliothek -> einfaches Deployen auf mehreren Plattformen - vim-go Projekte in Go: - play.golang.org - Ausführbare Codesnippets - http://blog.golang.org/4years - https://code.google.com/p/go-wiki/wiki/Projects - http://imposm.org/ - CloudFlare built their distributed DNS service entirely with Go - gern für Kommandozeilenprogramme (heroku, hub, direnv) -> schneller Start/wenig Laufzeitabhängigkeiten - für Serveranwendungen (Backend) -> einfach zu Deployen - SoundCloud is an audio distribution service that has "dozens of systems in Go - docker - The raft package provides an implementation of the Raft distributed consensus protocol. It is the basis of Go projects like etcd and SkyDNS. - Packer is a tool for automating the creation of machine images for deployment to virtual machines or cloud services. - Bitly's NSQ is a realtime distributed messaging platform designed for fault-tolerance and high-availability, and is used in production at bitly and a bunch of other companies. - Canonical's JuJu infrastructure automation system was rewritten in Go. unterstützte Plattformen: Linux, Mac OS X, FreeBSD, NetBSD, OpenBSD, Plan 9, and Microsoft Windows Architekturen: i386, amd64, ARM and IBM POWER (android und ios) === Termine === Krypto-Gewinnspiel mit PGP für Anfänger https://wiki.fsfw-dresden.de/doku.php?id=doku:pm_gewinnspiel2015 MORGEN * Kryptoparty an der TU Dresden, in der Fakultät für Informatik - mehr auf ifsr.de -> https://www.ifsr.de/fsr:news:cryptoparty_am_24._juni * Orga-Meeting Datenspuren 26-28. Jardin Entropique in Rennes 03.07. Lange Nacht der Wissenschaften 10.07. Staat 2.0 an der TU Leipzig: Interdisziplinäres Gespräch: Der Staat und seine Bürger im digitalen Zeitalter == Mai 2015 == Opener: "Filesharing ist die Nachbarschaftshilfe des Internets" Musik News: * Fedora 22 jetzt mit Wayland Login http://www.heise.de/newsticker/meldung/Linux-Distribution-Fedora-22-nutzt-Wayland-beim-Log-in-2667523.html?hg=1&hgi=12&hgf=false Dnf statt Yum neuer Paketmanager: * Aehnliche Bedienung * Besseres API * Auch die Mandriva Leute glauben jetzt das Mandriva tot ist! http://www.heise.de/newsticker/meldung/Linux-Distributor-Mandriva-ist-am-Ende-2666744.html * JavaScript ist 20 Jahre alt geworden * Microsoft Launches Visual Studio Code: http://techcrunch.com/2015/04/29/microsoft-shocks-the-world-with-visual-studio-code-a-free-code-editor-for-os-x-linux-and-windows/#.hu0254:vn0U - crossplattform - Atom mit Intellisense - mehrere Sprachen -> Schwerpunkt auf Web * http://internet.org/ * Die Amis sind sauer! Weil die deutsche Regierungsopposition aufklaerung fordert! Was sagen dazu Politiker? "Die Zusammenarbeit mit den Amerikanern ist wichtig .... blablabla" "Die Welt ist in den letzten Jahren doch nicht sicherer geworden ... " http://www.heise.de/newsticker/meldung/Der-grosse-Bruder-reagiert-genervt-2663846.html * Rust 1.0: http://blog.rust-lang.org/2015/05/15/Rust-1.0.html - erste stabile Version (Sprache/Standardlibary) - sichere Sprache (Highlevel, abstrakt), kommt ohne Garbage Collection und Runtime aus -> Kernel (viele auf github: rustboot...), Spiele, neuer Mozillabrowser (servo) Filesharing: "When you pirate MP3's You're downloading Communism" "Filesharing ist die Nachbarschaftshilfe des Internets" Client-Server-Prinzip Web Usenet: - Dienst älter als das Web - Hierachische Gruppen * comp.*, news.*, sci.*, - Entwicklung: text -> base64 -> binary - Server die sich untereinander synchen (schnell große Datenmengen bei binary -> gebannt von den meisten Server -> kommerzielle) - Binary grabber/plucker: auf Download spezialisierte NewsReader - Par2: Herunterladen oft Unzuverlässig, Parchive, parity files, index der Dateien mit Checksumme Mailboxen Sharehoster (Rapidshare, Megaupload, Upload.to) Turnschuhlaufwerk (Platten) NAS/Windows Dateifreigabe Sync (Dropbox, Seafile, Bittorrent Sync) Soziale Netzwerke (Flickr) IRC Peer-to-Peer mit Koordinationsserver BitTorrent-Netzwerk Peer-to-Peer: vollständig dezentrales Filesharing eMule-Kademlia-Netzwerk gnutella- und Gnutella2-Netzwerke Manolito P2P network (MP2PN) FastTrack-Netzwerk Multi-Netzwerk-Clients Anonymes P2P I2P-Netzwerk * Open Source, anonymes und zensurresistentes P2P Mix-Netzwerk für diverse Internet-Anwendungen, aktive Weiterentwicklung Andere Netzwerke * Freenet – Open Source, anonyme und zensurresistente Plattform für diverse Internet-Anwendungen (aktive Weiterentwicklung) * GNUnet – Open Source, anonymer Filesharing-Client mit fakultativem Caching von Inhalten (aktive Weiterentwicklung) * RetroShare – Open Source, anonymes und zensurresistentes Turtle-Routing-Netzwerk für verschiedene Anwendungen (aktive Weiterentwicklung) Was lädt man sich über Filesharing? - CC-Musik - freie Software - Bitlove - Opendata (größere Datenbanken wie Wikidata, Openstreetmap) - Im HQ Ankündigungen: Am Samstagabend ist der 100. Wikipedia-Stammtisch in der Gaststätte Narrenhäusel : https://de.wikipedia.org/wiki/Wikipedia:Dresden == April 2015 == News: * http://www.golem.de/news/darknet-korrupte-ermittler-auf-der-silk-road-1504-113291-2.html * http://www.theguardian.com/technology/2015/apr/22/wi-fi-hack-ios-iphone-ipad-apple * gitter * HRZ HTW Dresden dreht der KSS die selfhosted cloud ab * Oettinger 4 VDS http://www.heise.de/newsticker/meldung/Oettinger-plaediert-fuer-neuen-Anlauf-zur-Vorratsdatenspeicherung-auf-EU-Ebene-2625967.html * BND-foo http://www.tagesschau.de/inland/bnd-177.html http://www.heise.de/newsticker/meldung/BND-Skandal-Kanzleramt-unter-Druck-2625767.html * debian updaten, jessie outdated und als stable veröffentlicht * DRM demnächst mit Hardware-Dongelung dank großer Firmen http://www.golem.de/news/ready-play-3-0-keine-4k-filme-ohne-neues-hardware-drm-fuer-windows-10-1504-113753.html * eCall: http://www.golem.de/news/auto-hilferuf-ecall-wird-ab-2018-pflicht-1504-113775.html * ubuntu snappy: http://developer.ubuntu.com/en/snappy/ - ubuntu bekommt transaktionale Updates -> Zurückrollen -> Familiensupport wird einfacher - Kernsystem doppelt installiert (system-a/system-b, nur lesbar) - erinnert an systemd - Neues Packetformat: - differentielle Updates - Ports/Services Thema: DN42 Internet im Internet Motivation: IPv6-Tunnelbroker eingerichtet, und nun? Weiterlernen! technische Hintergründe * lokaler Rechner: einfache Routingtabelle mit Default Gateway zum Router -> ISPs: viele Netze, viele Organsiationen -> Bedarf für Protokoll * BGP: * Jeder Teilnehmer paart mit einer Anzahl von anderen Peers und gibt seine eigenen Netze (Netz erklären) bekannt und die Netze die er erreicht. (Routing by Rumor) * dezentral * Filter (nicht blind jede Route akzeptieren), Gewichtsparameter (unterschiedliche Bandbreiten zwischen den Peers) * In die Routingtabellen der Provider schauen http://www.bgp4.as/looking-glasses * VPN-Tunnel: * die wenigsten Peers im DN42 haben direkte Verbindung zueinander -> Abhilfe Tunnel über VPN schaffen Verbindungen über das Internet * openvpn, ipsec, GRE, fastd, tinc * DNS: eigene tld Wie kann ich mitmachen? (wolf) * Wiki öffnen: dn42.net (projektseite) * Anmelden auf io.nixnodes.net (interface zur registry) * AS-Nummer: 418 * Subnet: ipv4 172.22.0.0/15, ipv6 fd00/8 * Domain: .dn42 * IRC/Peerfinder ... * VPN Tunnel aufsetzen * BGP Dienst aufsetzen (Bird, Quagga) -> Filterregeln (wichtig! böse Routen) * Bonus: DNS integrieren (eigener DNS oder bestehenden verwenden) Dienste: * Howto wiki * looking glasses, map * Anycast DNS, whois, tor * irc-server, hackint * suchmaschinen * Peering mit einzelnen Freifunk Projekte, ChaosVPN peering * Package Mirrors für Linux Distros * VCR * Free Music Radio (mit CC-Music), Streaming * git hosting * VMs, shell-accounts * Datenspuren * Termine == März 2015 == News: * Chemnitzer Linuxtage: * vergangenes Wochenende (21. - 22. März) * Vortragsprogramm für breites Publikum (Vom wie man von Windows auf Kubuntu wechselt bis zum x86_64 Assembler) * Workshops (blastermaster: Debianpaketierungen) * Stände für Projekte * Linuxnacht: Chipmunkmusik -> Musik auf dem Taschenrechner/Gameboy * Es wird Aufzeichnungen * Liest Virtualbox deine Emails? https://hsmr.cc/palinopsia/?utm_content=buffer553dc&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer: * Programm, welches den RAM der Grafikkarte ausliest * Vram nicht resettet * Virtualboxmaschine konnte bei 3D-Beschleunigung Bildschirminhalte vom Host auslesen * Berliner Senat kaufen teuren Windows XP Support: http://www.heise.de/open/meldung/Extra-Support-laeuft-aus-Berliner-Senat-klebt-an-Windows-XP-2582739.html * Windows 10 verlangt nicht deaktivierbares Secure Boot von OEMs: * http://arstechnica.com/information-technology/2015/03/windows-10-to-make-the-secure-boot-alt-os-lock-out-a-reality/ * Secureboot erklären -> aktuelle Situation mit Windows 8 * fuses * Vortrag auf den Chemnitzer Linuxtagen: Verified Boot auf Arm mit Linux https://chemnitzer.linux-tage.de/2015/en/programm/beitrag/448 * nicht mehr deaktivierbar bei Windows 10 zertifizierten OEMs * mögliche Lösungen: * Shim: http://www.golem.de/news/uefi-secure-boot-shim-mit-integriertem-microsoft-schluessel-veroeffentlicht-1212-96085.html * Keine OEM-Laptop kaufen: System76 https://system76.com/ http://www.heise.de/open/meldung/BIOS-Rootkit-LightEater-In-den-dunklen-Ecken-abseits-des-Betriebssystems-2582782.html Thema: Unicode * Ursprung der Textkodierung: Fernschreiber * Morsecode: Mehre Symbole pro Zeichen * http://de.wikipedia.org/wiki/Baudot-Code * 5-Tasten: Ein Symbol pro Zeichen * Ascii (Das Computerzeitalter und die rasch zunehmende Globalisierung der Kommunikation) * alle programme machen was anderes mit dem ersten bit * Latin-1 (Sprachspezifische Varianten), Oktetts * dutzende Kodierungen für nichtlateinische Schriften (Big5, MS-874,…) * Unicodestandard und Umsetzungen (UTF-8, UTF-16) * UCS - Universal Character Set * Mojibake und warum alle gefälligst UTF-8 benutzen sollen KTHXBYE * -> Unterschied zwischen * UTF-8 (Rob Pike, verwendet für Internetprotokolle) * UTF-16 (High-Surrogate, Low-Surrogate, BOM - Byte Order Mark, verwendet für programminterne Repräsentation) * Windows Sicherheitslücke: RIGHT-TO-LEFT Over-Character in Dateinamen: CORP_INVOICE_08.14.2011_Pr.phylexe.doc http://krebsonsecurity.com/2011/09/right-to-left-override-aids-email-attacks/ * PUA “Private Use Area” - Klingonisch, MUFI (Medieval Unicode Font Initiative) Probleme bei Ankündigungen: - CfP f. CryptoCon http://sublab.org/cryptocon15 - Ideen für den 7.-10. Mai - CfP f. Linux Tage in Tübingen am 13.06.15: http://www.tuebix.org/callforpapers/ - Freie Software & Freies Wissen fsfw) morgen 18:30 im Zentralgebäude -2.115 (sublevel 2) - Samstag ab 09:45 , Electronics OpenSpace & Arduino Day in der CoFab - Wikipediastammtisch am Samstag ab 18:00 Uhr: in der BuchBar in der Neustadt. https://de.wikipedia.org/wiki/Wikipedia:Dresden - easterhegg!!! 3.-6.april in Braunschweig - DN42 Themenabend im April - 18.04. Tag der Offenen Tür an der HTW (u.a. Programmierung von Microcontrollern) Termine, Ort und ggf. Links bei uns im Kalender auf c3d2.de == Februar 2015 == News: * https://www.eff.org/deeplinks/2015/02/7-things-love-about-reddits-first-transparency-report * http://www.heise.de/newsticker/meldung/AT-T-macht-Googles-Glasfaserangebot-weiter-Konkurrenz-2550938.html nur dort wo Google Fiber schon ist und mit Tracking-Opt-out für $29 * http://www.heise.de/newsticker/meldung/Wirtschaftsministerium-Weniger-Haftungsrisiko-fuer-WLAN-Betreiber-aber-nicht-fuer-alle-2557129.html Offiziell: CDU/SPD treibt Störerhaftung in die falsche Richtung == Januar 2015 == News: http://www.heise.de/newsticker/meldung/Europaratsausschuss-Massenverschluesselung-einziger-Schutz-gegen-Massenueberwachung-2529088.html http://www.heise.de/security/meldung/Sicherheitsluecke-in-Millionen-Android-Geraeten-Google-empfiehlt-Chrome-oder-Firefox-als-Abhilfe-2528130.html die EU reguliert jetzt Dual-Use für Intrusion Software/ip network surveillance equipment: “Intrusion-Software” (4) (intrusion software): “Software”, besonders entwickelt oder geändert, um die Erkennung durch ‘Überwachungsinstrumente’ zu vermeiden, oder ‘Schutzmaßnahmen’ eines Rechners oder eines netzfähigen Gerä­ tes zu umgehen, und die eine der folgenden Operationen ausführen kann: a) Extraktion von Daten oder Informationen aus einem Rechner oder einem netzfähigen Gerät oder Veränderung von System- oder Benutzerdaten oder b) Veränderung des Standard-Ausführungspfades eines Programms oder Prozesses, um die Ausführung externer Befehle zu ermöglichen.‎[09:17:33 PM] ‎poelzi‎: http://www.researchgate.net/profile/Stoyan_Sargoytchev/publication/259190910_Theoretical_Feasibility_of_Cold_Fusion_According_to_the_BSM_-_Supergravitation_Unified_Theory/links/0deec52a5c6f45c737000000.pdf?ev=pub_ext_doc_dl&origin=publication_detail&inViewer=true ‎[09:18:20 PM] ‎poelzi‎: http://www.slideshare.net/mobile/stoyansarg/stoyan-sargnanotek4?utm_source=slideshow&utm_medium=ssemail&utm_campaign=post_upload_view_cta ‎[09:31:27 PM] ‎Аstrо‎: for the news: https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability ‎[09:31:44 PM] ‎Аstrо‎: the security ap0calypse continues! ‎[09:36:08 PM] ‎Аstrо‎: wow, ein john! Anmerkungen: 1. “Intrusion-Software” erfasst nicht Folgendes: a) Hypervisoren, Fehlersuchprogramme oder Tools für Software Reverse Engineering (SRE), b) “Software” für das digitale Rechtemanagement (DRM) oder c) “Software”, entwickelt zur Installation durch Hersteller, Administratoren oder Benutzer zu Ortungs- und Wiederauffindungs­ zwecken. 2. Netzfähige Geräte schließen mobile Geräte und intelligente Zähler ein. Technische Anmerkungen: 1. ‘Überwachungsinstrumente’: “Software” oder Hardware-Geräte, die Systemverhalten oder auf einem Gerät laufende Prozesse über­ wachen. Dies beinhaltet Antiviren (AV)-Produkte, End Point Security Products, Personal Security Products (PSP), Intrusion Detection Systems (IDS), Intrusion-Prevention-Systems (IPS) oder Firewalls. 2. ‘Schutzmaßnahmen’: zur Gewährleistung der sicheren Code-Ausführung entwickelte Techniken, wie Data Execution Prevention (DEP), Address Space Layout Randomisation (ASLR) oder Sandboxing. “Isolierte lebende Kulturen” (1) (isolated live cultures): schließen lebende Kulturen in gefrorener Form und als Trocken­ präparat ein. bzw. j) Systeme oder Ausrüstung zur Überwachung der Kommunikation in IP-Netzen (Internet-Protokoll) und besonders konstruierte Bestandteile hierfür mit allen folgenden Eigenschaften: 1. für die Ausführung aller folgenden Operationen in einem Carrier-Class Internet Protocol Network (z. B. nationales IP-Backbone): a) Analyse auf der Anwendungsschicht (application layer) (z. B. Schicht 7 des OSI-Modells (Open Systems Interconnection) (ISO/IEC 7498-1)); b) Extraktion ausgewählter Metadaten und Anwendungsinhalte (z. B.Sprache, Video, Nachrichten, Anhänge) und Ankuendigungen: 31.1 - 1.2. Fosdem Bruessel 3. - 6. April Easterhegg in Braunschweig == Dezember 2014 == News: https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure https://www.eff.org/deeplinks/2014/11/certificate-authority-encrypt-entire-web http://www.sciencealert.com/watch-scientists-have-put-a-worm-s-brain-into-a-lego-robot-s-body-and-it-works -- fährt bei Anstupsen vor & zurück http://www.heise.de/newsticker/meldung/Forscher-identifizieren-GoPro-Filmer-anhand-ihrer-Kamera-Wackler-2497590.html: - Forscher der University of Jerusalem - 34 Versuchspersonen - 88% richtig bei Zwölf-Sekunden-Videos - Polizisten in den USA zukünftig zum Tragen einer Body-Cam verpflichtet ===Thema=== Nebenläufigkeit Asynchrone Programmierung Promises npm modularization node forward/io.js == November 2014 == News: Github des Monats: ($Dinge goes github) - dotnet https://github.com/dotnet/corefx - Boldmove von Microsoft, C# besser als Java! - Wird mit dem Monoprojekt zusammen geführt - Webentwicklung/mobile Plattformen (besser als HTML-Apps) werden wieder interssanter - awesomewm https://github.com/awesomeWM/awesome/commits/master - go: https://groups.google.com/forum/#!topic/golang-dev/sckirqOWepg - Rob Pike (Alter Unix-Hacker und Oberguru von go) - von Mercurial zu git - Google-hosted instance of Gerrit - Anfang December - freifunk dresden https://github.com/ddmesh/firmware-freifunk-dresden -> Diskussion über Github (zentral) Debian bleibt bei systemd - Entwickler treten zurueck http://www.heise.de/open/meldung/Debian-Noch-ein-Ruecktritt-in-der-Systemd-Debatte-2460450.html Mozilla stellt auf Yahoo als Standardsuchmaschine um http://www.heise.de/open/meldung/Mozilla-Partnerschaft-mit-Yahoo-fuer-Default-Suchmaschine-in-Firefox-2460746.html * Regin https://s3.amazonaws.com/tiregin/regin.zip (Achtung: infiziert) * quelle: https://netzpolitik.org/2014/regin-staatstrojaner-enttarnt-mit-denen-nsa-und-gchq-ziele-auch-in-europa-angriffen-haben/ * Schadsoftware: * Trojaner (back door) * Geheimdienste NSA und GCHQ beim belgischen Telekommunikations-Anbieter Belgacom eingebrochen * Seit September 2013 ist öffentlich belegt * seit 2008 * Treffen am 08.12.2014 1. Opensource-Initiative Dresden "Latex statt kommerziellen Scheiß" Weiterentwicklung von Opensource an der TU Dresden * Ticketsverkauf 31C3, Assembly vom C3D2 Thema: * BSD * gesamte Quellcode in einem Sourcecodeverwaltung * Ports * Forken nicht so beliebt * Geschichte - 1970: Unix Timesharing System - entwickelt in den Bell Labs bei AT&T - Programmiersprache C, statt wie bisher Assembler -> portable - alles ist eine Datei (auch Geräte über Datei ansprechbar) - Multiuser fähig (Terminals -> Rechner) statt Batchverarbeitung - 1970 + 7 Jahre: Universität von Kalifornien in Berkeley: - AT&T -> Telekommunikationsmonopol, durfte keine Software verkaufen - Sofware zum Preis der Datenträger zur Verfügung gestellt - Bill Joy (Erfinder von vi) -> erste Berkeley-Software-Distribution - Darpa brachte 1. TCP/IP-Implementierung ein - Umgeschrieben bis keine einzige Zeile AT&T-Quelltext -> unter BSD Lizenz gestellt (Sparen von Lizenskosten -> Networking Release/2) - https://en.wikipedia.org/wiki/BSD_licenses#2-clause_license_.28.22Simplified_BSD_License.22_or_.22FreeBSD_License.22.29 (vorlesen) - Vererbungsbaum Unix: https://de.wikipedia.org/wiki/Berkeley_Software_Distribution#mediaviewer/File:Unix_timeline.de.svg - 4.3BSD-Lite auf Intel i386 -> führte zur Entwicklung von NetBSD und FreeBSD * FreeBSD * verbreitestes BSD-Variante * Jails * stabilste ZFS-Implementierung * Whatsapp: nutzt selber Freebsd, 1 Million Spende an die Foundation * pkgng * ZFS * FreeNAS * PC-BSD * Werkzeuge * Life Preserver * Warden * pbi * AppCafe * TrueOS * Lumina * DesktopBSD/GhostBSD * OpenBSD: * Aus dem NetBSD-Projekt entstanden * Entwickler Theo de Raadt ausgeschlossen * Fokus auf Sicherheit und offene Quellen * Sicherheitsaudits * pf, openssh, libressl * gehärtete Libc (static bounds checker) * Dragonfly BSD * http://www.dragonflybsd.org/ * https://de.wikipedia.org/wiki/DragonFly_BSD * Entwickler: Matt Dillon und andere * fork von FreeBSD * features: * HAMMER FS * schenller zugriffb * mit integriertem Spiegelung und Historien zugriff * seit 3.6 version 2 * kompressionsalgorithmen, darunter LZ4 und zlib * Hybrid Kernel * ausgeprägte nutzung von Synchronizationsmechanismus * Deadlock frei * leicht zusammensetzbar * Lightweight Kernel Threads: * jeder Prozessor seinen eigenen Prozess-Scheduler * Prozessor wechsel nur durch Inter Prozessor Interrupts (IPI) Prozessen * Beste Ausnutzung von swap partitionen auf SSDs * NetBSD * Fokus auf Portierbarkeit: Toaster (2005 von der Firma Technologic Systems) * Beliebt in Embedded-Systemen -> Crosskompilieren einfach mit einem Befehl * Portable Gerätetreiber: PCI-Treiber für ein Gerät muss nicht für jede Archtitektur angepasst werden * Rumpkernel -> neue Treiber als Programm laufen lassen und später in den Kernel portieren * Lua Module im Kernel laufen * KGDB: Kernel Zeile für Zeile debuggen * https://wiki.c3d2.de/BSD weiterführende Medien: - BSD Now http://bsdnow.tv/ === Ankündigungen === * Tref­fen EDV-Struk­tur für So­li­da­rische In­i­ti­a­ti­ven in Dresden * 27. November 2014 um 18:30 Uhr * HQ * OpenSource-Initiative an der TU * Ort? == Octobre 2014 == * Win10 EULA erlaubt Keylogging: http://thehackernews.com/2014/10/download-Windows-10-keylogger.html * Sony verkrüppelt mal wieder Produkte: http://www.androidpolice.com/2014/10/02/unlocking-the-bootloader-on-sonys-xperia-z3-and-z3-compact-causes-poor-low-light-camera-performance-thanks-to-drm/ * http://www.heise.de/newsticker/meldung/The-Snappening-Hunderttausende-privater-Snapchat-Fotos-im-Umlauf-2415252.html * http://www.heise.de/newsticker/meldung/Hewlett-Packard-zieht-bei-WebOS-Geraeten-den-Stecker-2427314.html * http://www.heise.de/newsticker/meldung/Radikale-Islamisten-bekommen-eigenes-Ausweisdokument-ohne-Chip-2427815.html -- ich will auch einen ohne Chip, muss ich deshalb radikaler Islamist[tm] werden? * http://www.heise.de/newsticker/meldung/Supercookie-US-Provider-Verizon-verkauft-Daten-ueber-seine-Kunden-2437242.html * http://www.heise.de/newsticker/meldung/Internet-Steuer-Zehntausend-Ungarn-protestieren-gegen-Regierungsplaene-2432272.html Themenabend über Systemd, dem neuen Servicemanager für Linux, am Donnerstag den 30. Oktober um 19:33 Uhr === Thema === Shells: sh, dash, bash, ksh, tcsh, zsh, fish Was ist eine Shell? - GUI vs CLI Geschichte: - RUNCOM (Multics) / IBM JCL - Thompson Shell -> Redirect, Pipe -> Bourne Shell -> C-Code durch Shellskripte ersetzt http://www.softpanorama.org/People/Shell_giants/introduction.shtml - C-Shell: History, Aliases, ~, Job Control, Path hashing - Posix-Standard Wie funktioniert eine Unixshell? - parser -> fork() -> execvp() -> wait() - Standarteingabe, Standarausgabe, Fehlerausgabe, - Pipe - Redirect - Umgebungsvariablen ($PATH/$HOME) - Functions/Aliases - coreutils (cp, rm, cat) vs builtins (cd, read) - interaktive Shell <-> Skripte - PROMPT - shebang - globs - Shell history - job control (Ctrl-C) fg bg - Kontrollstrukturen (If, while) - Mathe: $((2+2)) let expressions sh: bash: Standardshell unter Linux Entwickelt von Brain Fox 1989 Seit Version 1.13 Chat Ramey Maintainer bis heute angestellt von der FSF: Stallman sagte es sollte nur ein paar Monate dauern arrays, assziative-arrays im gegensatz zur sh dash: - Debian Shell - schnell zum booten gedacht (ausfuehren von init scripten) - macht Shellskripte kaputt, wenn man sie portiert zsh: - Rechtschreibkontrolle - loadable modules: zftp, zcalc - global aliases - prompt themes - shell history zwischen shell sharen - oh-my-zsh - grml - zshuery fish: - Autovervollständigung (vom Ordner abhängig) - Syntaxhighlighting (rot, falls kein gültiger Befehl -> grün) - modernere Shell-Syntax <-> Posix-Kompatibiltät - Auch ohne lange Konfiguration schon gut benutzbar (ver - fishd: verteilt globale Variablen an alle Shells - baut Vervollständigung von Commandlineswitchen aus der manpage zusammen - C++ - substring search (Ctrl-p) Ausblick: Powershell: - Module - Remote Code ausführen - Pipeline -> Objekte statt Text, exception handling - Code signing - Events - IDE - Debugger - - definitv interessant, da gerade der arme Verwandte, der bei WIndows immer helfen muss, damit vieles erreichen kann == September 2014 == * NEWS NR #1 Datenspuren ... die waren glaub ich - Pentabug löten * http://www.golem.de/news/cloud-durchsuchung-microsoft-will-trotz-gerichtsbeschluss-keine-daten-hergeben-1408-108923.html * http://www.heise.de/newsticker/meldung/Anwendervertrauen-in-die-Internet-Sicherheit-konsolidiert-sich-2389948.html * Google und sichere Passwörter: http://www.golem.de/news/nach-kontodaten-veroeffentlichung-google-raeumt-nutzerdaten-und-passwoerter-auf-1409-109195.html * http://www.heise.de/newsticker/meldung/NSA-Ausschuss-Opposition-will-Snowden-Befragung-in-Berlin-einklagen-2390344.html * http://www.heise.de/newsticker/meldung/EU-Datenschutzreform-Arbeitnehmer-haben-das-Nachsehen-2390338.html * http://www.heise.de/newsticker/meldung/EuGH-Bibliotheken-duerfen-Buecher-digitalisieren-2390212.html * http://www.heise.de/newsticker/meldung/NSA-Ausschuss-fordert-von-Bundesregierung-mehr-Offenheit-2390236.html * http://www.heise.de/newsticker/meldung/IT-Direktor-im-Innenministerium-wettert-gegen-Outsourcing-2390165.html Innenministerium verwendet FreieSoftware und OpenSource synonym - Sie haben es nicht verstanden. * Apple Watch ist (bisher) ein sehr gut vermarkteter Witz - Nicht einmal wasserdicht, trotz Induktionsladung und modularem Design ist auch noch eine geringe Akkulaufzeit absehbar - die wirkliche Innivation ist ApplePay für Nicht-Digitalgüter http://www.golem.de/news/nfc-apple-pay-koennte-sich-auszahlen-1409-109181.html, endlich etwas privatsphärefreundlicher digitales Bezahlen, leider nur mit iPhone und bisher nur in den USA; dennoch: Cash bleibt Trumpf * http://www.btc-echo.de/paypal-tochter-braintree-bestaetigt-bitcoin-integration_2014090901/ Bitcoin: Braintree integriert derzeit für deinen Zahlungsdienst und macht die Probe aud's Exempel für PayPal * http://www.heise.de/newsticker/meldung/Amazon-zieht-sich-aus-P2P-Geldtransfers-zurueck-2390386.html * Juristisch komisch: http://www.golem.de/news/urteil-fremde-nackt-selfies-zumailen-ist-nicht-strafbar-1409-109198.html === NSA === * http://www.heise.de/newsticker/meldung/NSA-Ueberwachungsskandal-Millionenstrafe-fuer-Yahoo-bei-Nicht-Herausgabe-von-Nutzerdaten-2390402.html (pentacast 48: Dateisysteme) === Thema === Containerloesungen: {LXC, Docker, BSD-Jails, systemd-nspawn} * Was sind Container * Abgrenzung der Betriebsystemvirtualsierung von Voll/Para-Virtualisierung (Virtualbox, VMware, KVM) * Normale sytemcall Schnittstelle kann genutzt werden keine emulation oder virtuelle Maschine nötig wie bei Voll/Para - Virtualizierung * Vorteile: Leichtgewichtig und Schnell * Leichtgewichtig und Schnell * file-level copy on write * Nachteile: * Gebunden an das Betriebsystem/Architektur * Anwendungsfälle: * Desktopanwendungen isolieren (https://www.stgraber.org/2014/02/09/lxc-1-0-gui-in-containers/ ) * Dienste auf einem Server von einander trennen, z.B. im HQ * Ressourcen Verwaltung * Migration (Load Balancing) * Containerlösungen: * chroot * Linux: lxc, docker, libvirt-lxc, systemd-nspawn(1), openvz * Solaris: zones * Freebsd: jails * Windows: virtuosso * Technische Grundlagen Linux: * Linux Namespaces (unshare syscall): * mount, UTS, network, SysV IPC, user * Kommandozeile: nsenter/unshare * https://en.wikipedia.org/wiki/Cgroups#NAMESPACE-ISOLATION * Cgroups: https://en.wikipedia.org/wiki/Cgroups * Resourcenzuteilung (RAM, IO, CPU), Priorisierung, Accounting * CONFIG_CGROUP_FREEZER * Seccomp (Chrome Sandbox, filtern von Syscalls) https://en.wikipedia.org/wiki/Seccomp * chroot (pivot_root) https://en.wikipedia.org/wiki/Chroot * Kernel capabilities (SYS_ADMIN, NET_ADMIN -> Netzwerkadapter...) http://linux.die.net/man/7/capabilities * Apparmor and SELinux * Freebsd: VIMAGE * Solaris: Crossbow * Apple App Sandboxing * Apple App-Sandboxing * https://developer.apple.com/app-sandboxing/ * chroot: * Linuxinstallation, Debian Packetierung, bind * lxc: * lxc-create -> Templates für Distributionen * Menge von Kommandozeilenprogramme zum Verwalten * lxc-start/lxc-stop, lxc-attach/lxc-console * lxc-clone (zfs/btrfs) * /var/lib/lxc/C1/rootfs (backingstore) * macvlan, bridge,... * liblxc, Sprachbindings API * Auch als Nutzer startbar, Isolierung von Desktopanwendungen * eingesetzt bei uberspace.de * unprivileged containers * failover lxcs mit uCARP * guter Blog: https://www.stgraber.org/tag/containers/ (von lxc Entwickler) * docker: * aus propritären Proktukt von dotcloud entstanden -> 1. Release * microservices: http://martinfowler.com/articles/microservices.html * Dockerfile, Einzelne Shell-Befehle Schritt für Schritt ausgeführt -> Snapshot basiert (btrfs, zfs, aufs, lvm thin provisioning) -> docker images -t * geschrieben in der Programmiersprache Go * volatile Container -> Data-Container * Einzelne Container Netzwerkdienste können gelinkt werden -> Umgebungsvariablen * Entwicklerfreundlich: Testen auf dem eigenem System, Upload von Deltas (git für container) * docker registry * coreos (systemd, kein Packetmanager, etcd, fleetd, failover, service discovery) * jails: * since FreeBSD 4.X / stable 5.X * security police (global/local jail bezogen) sysctls * license fuckup bei ezjail / qjail * Ressourcenlimitierung (RCTL/RACCT) * network alias konzept * VIMAGE (virtualized network stack) * if_bridge/if_epair entwicklung vs NetGraph vs OpenVSwitch (userland) * TrueNAS / PC-BSD Entwicklungsabspaltung von Jails (pbi Warden (http://wiki.pcbsd.org/index.php/Warden/10.0 ) ) * Massendeployment mit ZFS basierten Jails * failover Jails mit CARP * Temporary epair MAC address fix (https://github.com/plitc/freebsd/commit/9215c5850ff562a44d0347fa03be60bd3cdd4b9c ) * MAC (Mandatory Access Control) * systemd-nspawn: * wird zum Entwickeln von systemd genutzt * gelinktes journald * socket-activation * systemd-networkd (dhcp) * nsswitch (mymachines) -> Automatisch Host auflösen * momentan noch nicht ausbruchsicher * Solaris Zones * Crossbow (virtualized network stack) * globale / nicht globale zones * RessourcePool (Prozesspriorität/CPU Core Zuweisung) * RBAC (Role-Based Access Control) * sparse/whole/-root/branded zones * Ankündigung * Themenabend über Container im HQ vorraussichtlich 10.10 == August 2014 == wieder im pad oder demnächst im $portal?! * ist noch kaputt (505 on submitting news) * ggf wird eine neue instanz im hq aufgesetzt und um features für shownotes erweitert -> erstmal pad === Thema: Datenspuren === === News === * Hack des Monats: http://www.heise.de/newsticker/meldung/Hackangriff-auf-Ampeln-2301448.html * Forscher der University of Michigan veroeffentlichen grosse Sicherheitsluecken ueber Ampelanlagen in der USA. * Tor Browser soll sicherer werden: http://www.heise.de/open/meldung/Haertung-des-Tor-Browsers-steht-und-faellt-mit-Firefox-Bugs-2299773.html * Google Forscher finden Fehler in Glibc http://www.golem.de/news/glibc-fehlerhaftes-null-byte-fuehrt-zu-root-zugriff-1408-108814.html ALX: * Synology hat ein Trojanerproblem * http://www.heise.de/newsticker/meldung/Verschluesselungstrojaner-attackiert-Synology-Speichersysteme-2282625.html * und F-Secure hilft bei der Entwanzung, man braucht aber den Schlüssel der Erpresser (Pricetag: 0,6 BTC ~ 240€) http://www.heise.de/newsticker/meldung/F-Secure-mit-zweischneidiger-Hilfe-fuer-SynoLocker-Opfer-2301886.html BM * Saechsische Piraten bringen ersten dauerhaften Online Parteitag: http://www.heise.de/newsticker/meldung/Saechsische-Piraten-installieren-Internet-Parteitag-2301428.html * Huawei macht keine Windows Phones mehr: http://www.heise.de/newsticker/meldung/Huawei-legt-Windows-Phone-auf-Eis-2302036.html * CCC Ehrenmitglied Snowden (+ Chelsa M.- angefragt) + Spende ans Anwaltsteam * http://www.wired.com/2014/08/how-to-use-your-cat-to-hack-your-neighbors-wi-fi/ * internet.org? Um Zensur routet das Internet herum: http://www.jpginternet.org/ * http://www.independent.co.uk/life-style/gadgets-and-tech/florida-man-accused-of-killing-his-roommate-asked-siri-where-to-hide-the-body-9665437.html ALX * Globale Handy-Standortüberwachung per SS7 * http://www.heise.de/newsticker/meldung/Ueberwachungstechnik-Die-globale-Handy-Standortueberwachung-2301494.html * Digitale Agenda & IT-Sicherheitsgesetz * http://www.heise.de/security/meldung/Innenminister-veroeffentlicht-Entwurf-fuer-IT-Sicherheitsgesetz-2294637.html * https://netzpolitik.org/2014/gewerkschaft-der-polizei-will-vorratsdatenspeicherung-zurueck/ * http://www.heise.de/newsticker/meldung/Verfassungsschutz-soll-mehr-zur-IT-Sicherheit-beitragen-2294924.html * http://www.vorratsdatenspeicherung.de/index.php?option=com_content&task=view&id=748&Itemid=55 * http://www.zeit.de/politik/deutschland/2014-08/polizei-bdk-ueberwachung-trolle * höhere it-standarts * meldepflicht für betreiber (auch anonym) = an bsi nicht bürger * mehr geld und rechte für bka,bnd,vfs * gewerkschaft der polizei fordert vds, de maiziere auch * anonymität im internet soll angeschaft werden * 100 it spezialisten für die sächsische polizei (de maiziere zu ulbig) * * Kripo will endlich mit Mautdaten Verbrecher jagen http://www.heise.de/newsticker/meldung/Kripo-will-endlich-mit-Mautdaten-Verbrecher-jagen-2290789.html?wt_mc=rss.ho.beitrag.atom bdk & bka wollen zugriff auf mautdaten - dürfen bisher nicht, geforder wegen verbrechensaufklärung - fall des autobahnschützen bewiese da (gefunden durch kfz scanner & handynr. abgleich) * * Besser Handyortung für Polizei http://www.heise.de/newsticker/meldung/Bessere-Handy-Ortung-fuer-die-deutsche-Polizei-2289542.html 76 neue Beweissicherungs- und Dokumentationskraftwagen (BeDokW) für 4,2 millionen zur präzisions-lokalisierung bka , antennenbauer, frauenhofer institut und tu ilmenau zusammen an dem projekt * Zensur bei Twitter - Foley Video ---> demnächst automatische erkennung & zensur http://www.washingtonpost.com/blogs/the-switch/wp/2014/08/19/foley-video-photos-being-scrubbed-from-twitter/?hpid=z14 * Automatische Suche nach Kinderpornos in Google, Twitter, Facebook & M$ * Blogklauerei http://www.heise.de/newsticker/meldung/Aktuelle-Masche-Krimineller-Blog-Klau-veraergert-viele-Betreiber-2297045.html?wt_mc=sm.feed.tw.ho abhilfe http://niedblog.de/blog-kopiert-name-geklaut/#stopp - ip ranges sperren blogs werden gespiegelt um mit werbebannern $$$ zu machen * FinFisher Hack https://netzpolitik.org/2014/gamma-finfisher-hacked-40-gb-of-internal-documents-and-source-code-of-government-malware-published/ * Upcoming: Freiheit statt Angst am 30. August in Berlin ** Reisegruppe https://wiki.c3d2.de/FSA2014 ** momentan ist da auch der Link auf http://c3d2.de/ relativ weit vorn (dynamisch!) * Schneller US-Einreise mit dem IPhone ** http://www.heise.de/newsticker/meldung/iPhone-App-erlaubt-Umgehen-der-Warteschlange-beim-US-Grenzuebertritt-2302261.html * $75,000-Armprothese nutzlos wenn das gepairte iPad gestohlen wurde ** http://beta.slashdot.org/story/206397 ** Deshalb Open Hardware auch für Prothesen! * kinko-box https://www.indiegogo.com/projects/kinko-me-pretty-easy-privacy === 11. DS 2014 === am Sa+So 13.+14. September, start jeweils 10:00, Samstag mehr oder weniger Open End, Sonntag bis ca. 18:00 ORT: Scheune Dresden (wie gehabt) ANREISE: Aufs Bahnticket hinweisen, weitere Infos unter * Reisehilfe http://c3d2.de/news/ds14-hinreisende.html VORHER: Warmup im Dings,... Stilbruch - am Freitag (Neustadt) (12.09. 20:00) bitte Anmelden: Teilnehmerzahlen grob planen! eventuell kein Essen, wir geben nochmal Bescheid ob man vorher was mampfen muss https://dudle.inf.tu-dresden.de/dswarmup/ Link auch in den News auf datenspuren.de Für wen ist die Veranstaltung was? Zielgruppe? - Alle!? Worum geht es, Themen? - Open Data, Überwachung , Privatsphäre, Datenschutz Was machen wir so (Überblick)? - Vorträge (Details später) - Workshops/Diskussionsrunden - Lightning Talks!!!! - Basteln für JunghackerInnen - Info-Stände zu einigen Vorträgen - Installationen *rumnörgeln* über den Vorbereitungsaufwand, was gehört da alles dazu - Termine festmachen, Orga mit Veranstaltungsort (mieten) - CfP rumschicken - Logos,Website, Flyer, T-Shirts, Versicherung - Vorträge einsammeln, bewerten, Fahrplan aufstellen - Netzwerk (WLAN-APs, Anschluss mieten) - Streaming sicherstellen - Detailplanung, Logistik bis zum Essen/Trinken Details zu den Vorträgen: WICHTIG! bei p≡p - pretty Easy privacy nur Titel/Untertitel, keine Details Wir haben noch keinen endgültigen Fahrplan: weil: - würde ich so nicht sagen. einfach final fahrplan coming soon - lasst euch überraschen Highlights: Support aus Berlin: Constanze Kurz: Five Eyes - Welche Handlungsoptionen haben wir gegen Überwachung und Geheimgerichte Yes we can – monitor you . wie geht das so mit dem Abhören im Internet, Live-Demo Wie kannst du wissen wer ich bin? "Was verraten deine Daten über mich?" Freifunk in Dresden Open-Data-Stadtrat - Podiumsdiskussion Digitale Selbstverteidigung, Wie schuetze ich mich vor Ueberwachung mit Infostand Lücken in der Digitalen Selbstverteidigung Workshop zu digitalen Lernmaterialien digitale verbrauchergemeinschaft Pentanews Gameshow!!! Lighning Talks: Was ist das? Mitmachen!!! submit datenspuren@c3d2.de oder vor ort Basteln? Was geht und für wen? ZUM SCHLUSS: Daten nennen - Veranstaltung 13+14, ab 1000 - Warmup 12.9., Anmeldung bis 10.9. - Spenden http://c3d2.de/unterstuetzen.html - finde eine kollemate mit dem seltenen datenspuren-etikett Ankuendigungen: FSA Landtagswahlen ... Geht waehlen! === Termine === == Juli - 2014 == === Themenvorschläge: === * VPN === News Aggegation Juli === * Dresden De-Mail City, mit grosser Marketingkampanie und angeblich "sichere Kommunikation" zwischen Buerger und Behoerden will Dresden jetzt weitreichend De-Mail Bullshit einfuehren. Wir erinnern uns das fuer De-Mail das Gesetz welches beschreibt was "sicher" ist angepasst wurde. http://www.heise.de/newsticker/meldung/Dresden-wird-De-Mail-City-2243420.html http://computer-oiger.de/2014/06/30/dresden-soll-digitale-verwaltung-vormachen/29073 * Sillicon Saxony: http://www.sz-online.de/nachrichten/ideal-waere-ein-forschungsinstitut-2864707.html * Microsoft macht NoIP Platt Hier sollten wir vllt. auch alternativen aufzeigen, erklären warum das wertvolle Infrastruktur zerstört. http://www.heise.de/newsticker/meldung/Malware-Microsoft-erzwingt-Umleitung-von-Domains-des-DynDNS-Diensts-NoIP-2243605.html * NSA deklariert Tor Nutzer als Extremisten - also kennzeichnet euch doch einfach direkt:: https://www.trycelery.com/shop/torrorist Alle ip addressen von Suchanfrage nach Schluesselworten wie "tor" oder "tails" werden von der nsa gespeichert und als "Extremist" vermerkt. Das geht wohl aus Quellcode teilen (snort-regeln) der Ueberwachungssoftware Xkeyscore hervor Die Grundsaetzliche Sicherheit von Tor scheint nicht gefaehrdet zu sein aber anonym == boese ... liebe hacker merkt euch das Bundesregierung->Reaktion() == NULL // sollten wir garbage collecten! http://www.heise.de/newsticker/meldung/XKeyscore-Quellcode-Tor-Nutzer-werden-von-der-NSA-als-Extremisten-markiert-und-ueberwacht-2248328.html * Meson neues Buildsystem Bekanntlich haben ja alle Buildsysteme eins gemein ... sie suxXxen!!! Als technische News und mal was positives könnten wir mal darueber Sprechen. https://jpakkane.github.io/meson/ https://archive.fosdem.org/2014/schedule/event/meson/ http://www.reddit.com/r/programming/comments/1cbujx/meson_a_new_build_system_designed_to_optimize/ * Nach 43 Jahren: Andrew S. Tanenbaum gibt Abschiedsvorlesung - heise online http://heise.de/-2256970 A. S. Tanenbaum entwickler von Minix, was die Inspiration von Linus war als der Linux entwickelte Doktorvater von 23 Wissenschaftlern zwei Ehrendoktorwuerden * Open Knowledge Festival für freies Wissen 15.07. - 17.07 in Berlin - heise online http://heise.de/-2258105 ==== NSA Skandal / Snowden (die "Snowdens der Woche") === * Die Teilnehmer auf dem Anwaltstag sorgen sich öffentlichkeitswirksam auch wenn noch nicht ernsthafte Bemühungen wie PGP-Schlüssel wahrzunehmen sind http://www.heise.de/newsticker/meldung/Anwaelte-wegen-NSA-Spaehaffaere-besorgt-2237782.html s.a. http://www.heise.de/newsticker/meldung/Befragung-Stand-der-E-Mail-Verschluesselung-ist-desastroes-2243124.html * Dt. Dienste lügen nicht wenn sie dementieren, aber die Wahrheit verbergen sie dennoch http://sz.de/1.2016504 * http://www.heise.de/newsticker/meldung/Zu-Guttenberg-ueber-Big-Data-Die-NSA-Affaere-hat-tiefe-Wunden-geschlagen-2238739.html * http://www.heise.de/newsticker/meldung/NSA-Ausschuss-Experten-fordern-Ende-zu-Ende-Verschluesselung-ein-2239587.html * http://blog.fefe.de/?ts=ad52ca3a * https://www.bmi.bund.de/SharedDocs/Kurzmeldungen/DE/2014/06/bund-wechselt-netzbetreiber.html * http://www.heise.de/newsticker/meldung/NSA-Untersuchungsausschuss-Union-und-SPD-votieren-gegen-Snowden-Befragung-in-Deutschland-2240416.html * http://www.heise.de/newsticker/meldung/NSA-soll-auch-Merkels-neues-Handy-abgehoert-haben-2242848.html * C3 Klagt gegen GCHQ https://www.ccc.de/de/updates/2014/chaos-computer-club-klagt-gegen-gchq * http://www.crackajack.de/2014/07/03/xkeyscore-code-speichert-anonyme-user-als-extremisten/ * http://www.tagesschau.de/inland/nsa-xkeyscore-100~magnifier_pos-0.html * http://www.theguardian.com/world/interactive/2013/oct/04/tor-stinks-nsa-presentation-document * Snowden jetzt Ehrenmitglied der FU Berlin: http://www.tagesschau.de/inland/nsa-xkeyscore-100~magnifier_pos-0.html * ASYL IST KEINE FRAGE VON DANKBARKEIT! -> http://www.golem.de/news/merkel-zu-snowden-asyl-ist-keine-frage-von-dankbarkeit-1407-107975.html ==== other ==== * Übertragngsprotokoll Kleidung: Arbeiter aus Bangladesch bitten per eingenähter Nachricht um Hilfe http://www.n24.de/n24/Nachrichten/Panorama/d/4973364/primark-kunden-finden-eingenaehte-hilferufe-in-kleidung.html -> Achtung: 2 von 3 Fundstücken waren Quatsch * http://www.heise.de/newsticker/meldung/Internet-Verwaltung-ICANN-schaerfere-Kontrollen-fuer-Domainregistrierung-in-Frage-gestellt-2238863.html * http://thehackernews.com/2014/06/researchers-uncover-spying-tool-used-by.html * Den Skandal um Passwörter für WLAN versteht man nicht wirklich, aber bei Sportveranstaltungen werden Passwörter ja gewissermaßen "traditionell" gerne libereal gehandhabt http://thehackernews.com/2014/06/fifa-world-cup-security-team_26.html * Coden ist nicht schwer, (typen)sicher coden aber sehr http://www.golem.de/news/integer-overflow-sicherheitsluecke-in-kompressionsverfahren-lz4-und-lzo-1406-107501.html * Zukunft der ICANN http://www.golem.de/news/internet-governance-das-maerchen-vom-multistakeholderismus-1406-107505.html * Dresden wird De-Mail Brückenkopf http://www.heise.de/newsticker/meldung/Dresden-wird-De-Mail-City-2243420.html * http://www.heise.de/newsticker/meldung/CERT-Bund-Trojaner-Opfer-aendern-Passwoerter-PCs-bleiben-infiziert-2243405.html * http://www.heise.de/newsticker/meldung/Bitcoin-ist-in-Kalifornien-legales-Zahlungsmittel-2243407.html * http://www.heise.de/newsticker/meldung/Verwirrung-um-Microsofts-Sicherheits-Newsletter-2243456.html * Windows 8/8.1 runter, XP rauf: http://www.infoworld.com/t/microsoft-windows/windows-8-usage-declined-in-june-while-xp-usage-increased-245339 * MIT + CERN machen Crowdfunding für Webmail mit E2E-Verschlüsselung, Paypal sperrt dann mal das Konto: http://www.theregister.co.uk/2014/07/01/proton_mail_caught_by_paypal_processing_freeze/ * Polizei NRW schaut jetzt von Berufswegen in die Zukunft: http://www.heise.de/newsticker/meldung/Rheinischer-Minority-Report-Polizei-NRW-will-mit-Predictive-Policing-Einbrueche-aufklaeren-2243936.html * http://www.heise.de/newsticker/meldung/Unbubble-Suchmaschine-sucht-ausserhalb-der-Filterblase-2244363.html * Nach dem Google-Löschurteil lässt sich ex-Boss von Merrill Lynch unliebsame BBC-Stories aus dem Index löschen: http://www.bbc.com/news/business-28130581 * Human Rights Watch: FBI züchtet Terroristen (http://www.heise.de/newsticker/meldung/Human-Rights-Watch-FBI-zuechtet-Terroristen-2264070.html) * Experiment to educate people about the danger of posting data online: http://www.pleasedontrobme.com === Thema === Juli 2014 VPN - Virtual Private Networks Zweck * LAN over WAN for Applications * Privacy Arten * Nach OSI-Layer Protokolle * PPTP * OpenVPN * IPSec Vorteile/Nachteile/Schwerpunkte * Routing * Bandbreite * Vertraulichkeit * Obfuscation Anbieter * $self * ipredator *