ChaosPad V1.1
Full screen

Server Notice:

hide

Public Pad Latest text of pad C3D2-Pentaradio Saved July 27, 2022

 
Sendezeit: 21:30-23:00 Uhr, jeden vierten Dienstag im Monat
= Pentaradio-Sammelpad =
 
Aufgaben dieses Pads: 
  • Vorbereiten von Sendungen (Themenvorschläge, News, Kommentare, Infosammlung, usw.)
  • Begleiten von Sendungen (Shownotes, TopicPicking)
  • Sendungshistory für vergangene Sendung vorhalten bis diese im Anschluss anderweitig abgelegt werden
 
Studio-Telefon (während der Sendung): 0351-32054711, Skype:coloradio
Feedback erwünscht unter: https://pentamedia.org
 
Es  wäre zu überlegen, ob wir die Sendungsvorbereitung gleich so weit wie  möglich im Open Shownotes Format machen, um dann wärend der Sendung nur noch die Timestamps einzufügen.
 
 
== Themenvorschläge ==
 
Mediawiki, Semantic Wiki, Extensions (honky)
Arbeiten bei Mozilla (Xyrill, Henrik Skupin)
MRT (Xyrill, Jens) - siehe unten
Sailfish OS (honky)
OpenTechSchool Leipzig wären schöne Interviewgäste
Politik im Hackerspace: Anarchismus, Liberalismus und der Zahn der Zeit
 
==2022==
 
 
==2021==
 
 
 
== 2020==
 
 
== Seit April 2019 ==
 
und so weiter
 
== März 2019: Wir sind die Bots, Uploadfilter sind zwecklos ==
 
Pentapad ist ziemlich buggy bei mir (Xyrill). Lasst uns mal HackMD probieren: https://hackmd.c3d2.de/pentaradio-2019-03
 
== Februar 2019 ==
"Roboter - machines serving somebody"
 
News:
- GesellschaftMachtTechnik erwähnen (oder einladen?), siehe https://hackmd.c3d2.de/plenum-2019-2
- Verweis auf die Gesprächsrunde beim MDR: https://www.mdr.de/sachsenradio/podcast/audio-956750.html
- Apple Is Blocking Linux User-Agent on appleid.apple.com: https://fosstodon.org/@alexbuzzbee/101633318704187857
- Aktionstag gegen Uploadfilter am 23. März - (oder am 2. in Berlin) - Europaparlament entscheidet März / April   https://netzpolitik.org/tag/uploadfilter/ https://juliareda.eu
Erstmals unter Verschluss
       * die Bundespolizei im 2. Halbjahr 50.654 „Stille SMS“, vorher waren es noch 38.990. 
       * BKA 21.337 „Stille SMS“ versandt, rund ein Drittel weniger als im Jahr zuvor.
       * Bundesamt für Verfassungsschutz (BfV) letztes Jahr 180  000
       * Zoll ähnlich
       * Die Zahlen zum Bundesnachrichtendienst waren hingegen schon immer geheim.
- Funkzellenabfragen-Informationssystem in Berlin -> https://fts.berlin.de/
 
Definition Roboter:
Ein Roboter ist eine technische Apparatur, die üblicherweise dazu dient, dem Menschen häufig wiederkehrende mechanische Arbeit abzunehmen. Roboter können sowohl ortsfeste als auch mobile Maschinen sein und werden von Computerprogrammen gesteuert. Die Wortbedeutung hat sich im Laufe der Zeit gewandelt. 
 
Roboter in der Populärkultur:
- Maria (Metropolis)
- Westworld
- T-800
- TARS & CASE
- HAL 9000 (noch Roboter?)
 
Robotwars/Roboteers: http://forum.roboteers.org/
Hebocon!
 
Beispiele für Roboter im Alltag:
Kaffeemaschine
Geschirrspülmaschine
Staubsauger
3D Drucker
CNC Fräse
HoverBoards
Autonome Autos?
 
 
Beispiele militärisch:
- Vorläufer Goliath (Leichter Ladungsträger im MhM in Dresden im Original zu sehen!)
- Samsung SGR-A1 (erster vollautomatischer Kampfroboter)
- SWORDS, Gardium, Predator,
 ...
sand flea
hexapod
bigdog 
LS3
atlas
spot mini
 
Beispiele Wissenschaft/Raumfahrt:
Robonaut 2 ( https://de.wikipedia.org/wiki/Robonaut ) Macht Wartungsarbeiten an der ISS
Cimon ( https://de.wikipedia.org/wiki/Cimon_(Roboter) ) Basiert auf IBM Watson
Erkundung von anderen Planeten: Spirit, Opportunity, Curiosity, ...
 
Beispiele Wirtschaft:
Amazon Robotics, formerly Kiva Systems https://www.youtube.com/watch?v=cLVCGEmkJs0
 
Geschichte der Robotik:
 
Theater und Musikmaschinen aus der Antike
1205 "Automata"  (Buch des Wissens von sinnreichen mechanischen Vorrichtungen)
1740   Jacques de Vaucanson (Erfinder programmierbarer Webstuhl)
Ende 19Jh. militärisches Interesse
Jules Verne schrieb eine Geschichte über eine Menschmaschine
1920 führte der Schriftsteller Karel Čapek den Begriff Roboter für einen Androiden ein
 
Erfindung des Transistors 1947
 
1955 kamen erste NC-Maschinen auf den Markt (Geräte zur Steuerung von Maschinen) 
1954 meldet George Devol in den USA ein Patent für einen programmierbaren Manipulator 
 
Um 1970 wurde auch der erste autonome mobile Roboter Shakey (der Zittrige) am Stanford Research Institute entwickelt. 
 
 
---- Musik? ----
 
Robotik Mischung aus Elektrotechnik, Informatik, Mathematik
 
Actoren
- Motortypen, DC, Stepper, Servo, Getriebevarianten allgemein
- Motortreiber mit H-Brücken z.B. ln298, VNH2SP30, TMC2130
- PWM
 
Accumulatoren:
- AAA
- LiPo
- NiMh
- Autobarrerien
- klassische Flüssigtreibstoffe ala Diesel, Benzin etc.
 
Sensoren & Prozessoren
- Distanzsensoren: HCSR04 (Ultraschall), VL53L0X (ToF mit IR-Pulsen)
- Sensoren: IMUs, Temperaturfühler, encoder, 
- Xtion, Kinect, Laserscanner, Lidar
- Arduino, ESP32, Raspberry Pi, Odroid-H2
 
Mathematik in der Robotik:
- Matrizentransformationen 
- SLAM (Simultaneous localization and mapping)
- Richtungsangaben:
 
Software
- Einzelsystem bis Verteiltes System 
- Wiederbenutzbarkeit von Funktionalität
- Simulierbarkeit
- Lizenzen
- Robot Frameworks Microsoft Robotics Developer Studio, Cyberbotics Webbots, Player Project and
- ROS [1] ros.org
turag.de
 
 
 
Gesellschaftlich
 
Die Asimov’schen Gesetze lauten: https://de.wikipedia.org/wiki/Robotergesetze
  • Ein Roboter darf kein menschliches Wesen (wissentlich) verletzen oder durch Untätigkeit (wissentlich]) zulassen, dass einem menschlichen Wesen Schaden zugefügt wird.
  • Ein Roboter muss den ihm von einem Menschen gegebenen Befehlen  gehorchen – es sei denn, ein solcher Befehl würde mit Regel eins  kollidieren.
  • Ein Roboter muss seine Existenz beschützen, solange dieser Schutz nicht mit Regel eins oder zwei kollidiert.
 
 
Sources:
 
== Januar 2019 ==
"Boxxing gegen Doxxing"
 
Zum Einspielen: Gar nicht so einfach #4 -> https://xyrillian.de/noises/gnse/004-color-spaces/
 
News:
 
35c3:
- es war kongress, bund, farbe, yeahhhhhhh
- buehne chaoszone
- vorträge unter media.ccc.de
 
Content:
- Doxing - veröffentlichung von Dokumenten (https://de.wikipedia.org/wiki/Doxing
- Was genau ist passiert.
  • „@G0D” Adventskalender, veröffentlicht Türchenweise
  • neben Kopien von Ausweisen, privaten Familien-Chats, Handy-Nummern und  E-Mail-Adressen, Mietverträgen etwa auch eine Tageskarte für die  Berliner Erotik-Messe "Venus" 
  • „Die Angreifer scheinen ein paar Nachlässigkeiten begangen zu haben,  indem Sie die Zeitpunkte des Zugriffs in den veröffentlichten Daten  hinterlassen haben, ebenso wie charakteristische Grammatikfehler oder  persönliche Ansichten zu bestimmten Vertretern”
  • Promi-Doxxer 0rbit, Nullr0uter in Hessen festgenommen
  • 07.01.2019 03:00 Uhr Hausdurchsuchung 
  • 19-Jährigen. Jan S. werde derzeit als Zeuge im Verfahren zum Hackerangriff geführt
  • kennt 0rbit nur, sagt er sei es selbst nicht
  • Es wurden sehr viele Metadaten, Zugriffszeiten und Motivationen,  Rechtschreibfehler, eigene Gedanken in diesen Daten hinterlassen", sagte  CCC-Sprecher Linus Neumann
  • "Cyber-Abwehrzentrum plus"
  • Staatsanwälte ermittelten schon dreimal gegen Tatverdächtigen
  • Doxing: Der Kampf um Datensicherheit wird auf unseren Computern entschieden
 
Bewertung danach, Reaktion der Politik, Cyber-Polizei, 
 
  • Within  a day, Brian Krebs, a cybersecurity journalist, had been in  contact  with one of those selling Collection #1, and learned there were  seven  additional collections of similar username/password combinations,  with  the total contents of the collections being more than 500 GB,  compared  to the 87 GB from Collection #1. The additional contents of  these  additional collections is not yet known.
 
Doxxing vorbeugen oder gegensteuern:
- Welche daten könnten weg sein?
    - have i been pawned (https://haveibeenpwned.com/)
    - Daten aus Darknet
- Wie weiter bei datenverlust?
    - incident response management (https://de.wikipedia.org/wiki/Incident_Management)
- Wie sollten gute Passwörter aussehen?
    - viele zeichen
    - passwort manager
    - kein passwort recycling
- Absicherung der eigenen Daten!
  • Nicht alles zu facebook  -> auch wenn es mir egal ist, kommunikation hat immer mehrere partner  und dennen muß es nicht egal sein 
  • Full disk encryption -> schon mal einen laptop liegen gelassen? Handy weg? etc.
  • E-Mail Passwort ist Zentrallschlüssel
  • Daten signieren und signaturen überprüfen
- Datenschutz für fremde Daten!
  • DSGVO
  • Offline Datenschutz
  • Adressen auf Papier (Schreddern!)
- Updates Updates Updates
    - Wer heute noch auto updates deaktiviert sollte sich strafbar machen
    
== geplant für Januar 2019, aber zurückgestellt wegen Terminkonflikt ==
"MRT - Magnet-Resonanztomografie"
 
Vorgeschlagen von unserem Gast Jens, der mehrere Jahre an einem MRT im Patientenkontakt gearbeitet hat.
 
Musik
 
Note to self: Den physikalischen Teil eher kurz fassen, kann man auch bei Wikipedia nachlesen.
 
  • physikalisches Prinzip
  • Längsmagnetisierung:  Schichtprobe in statischem Magnetfeld -> Protonen-Spins richten sich  aus, leichtes Ungleichgewicht zwischen Up- und Down-Spins aufgrund  Deuteriumanteil im Wasserstoff
  • deuterierte Lösungsmittel erhöhen die Signalstärke
  • Quermagnetisierung: Hochfrequenz-Impuls lässt Spins umklappen und im Gleichschritt rotieren
  • pro  Gewebe unterschiedliches Verhältnis der Relaxationszeiten zwischen  Quer- und Längsmagnetisierung -> Messung mit RF-Antennen
  • Ortskodierung: Gradientenmagnetfeld variiert entlang aller Achsen -> ortsveränderliche Frequenzen
  • Arten der Messung
  • T1-Messung: schaut nur Längsmagn. an -> Wasser hell, Fett dunkel
  • kontrastmittel-sensitiv
  • T2-Messung: schaut nur Quermagn. an -> Wasser und Fett hell
  • mit und ohne Fettsättigung: Fettanteile können unterdrückt werden
  • Subtraktion von Bildern in der Nachbearbeitung (z.B. um Kontrastmittel zu sehen: Blutgefäße, Tumore, etc.)
  • Angiografie  (Gefäßdarstellung) ohne Kontrastmittel: Anregung des Blutes in einer  Schicht, dann Messung in der nächsten Schicht (denn Blut fließt in die  nächste Schicht)
 
Musik
 
  • aus Sicht des Betreibers/Patienten
  • starke Kühlung
  • Quenching in Notfallsituationen; aber manchmal gibt es auch Helium-Engpässe
  • Helium verdrängt Luft
  • Fall: aktuelle iPhones haben Timing-Chips, die durch Helium verstopfen und aussetzen -> super Helium-Leck-Detektor
  • Fall: Quench-Rohr von einem nistenden Vogel blockiert
  • starke Magnetfelder
  • bitte nicht mit Kreditkarten, Herzschrittmachern, Schlüssel, Taschenmessern
  • Büroklammern reinwerfen: pendeln entlang der Röhrenachse
  • Wirbelströme bremsen Aluminium-Objekte
  • laute Geräusche
  • nicht durch bewegliche Teile
  • Spulen vibrieren durch die stark veränderlichen Magnetfelder, trotz Kunstharz-Einschluss
  • Hochspannung
  • TODO: Wieviel?
 
Musik
 
== November 2018 ==
"Auf der Himbeere Arbeiten"
 
News:
 
  • Wissenschafts-News:
 
Ich höre jetzt einfach mal auf, Nachrichten zu sammeln. Das ist schon genug für ne halbe Stunde, und wir wollen ja auch noch ein Thema machen. :)
 
----
 
 
 pentaradio24: Raspberry PI -> Astro       @       Montag, 21. Januar 2013 um 15:23 Uhr
 
 ===Raspberry Pi Geschichte und Modelle===
 
 
 
Raspberry Pi Foundation:
- Die  ist eine (wohltätige) Stiftung, ihr gehört Raspberry Pi Trading (Spaltung 2013)
- gegründet  5. Mai 2009
- Ziel: das Studium der Informatik und verwandter Themen zu fördern, besonders an Schulen. 
- The Foundation is supported by the University of Cambridge Computer Laboratory and Broadcom
 
 2006 angefangen mit der Entwicklung "Cambridge’s Computer Laboratory" 
 Prototyp mit einem Atmel-ATmega644-Mikrocontroller
The board uses an Atmel ATmega644 microcontroller clocked at 22.1MHz,  and a 512K SRAM. Nineteen of the Atmel's 32 general-purpose input/output  pin lines are used to drive the SRAM address bus. The board could  output a 320×240 resolution image to a display.
 
 2008 kam der BBC micro game Elite Entwickler David Braben dazu
 
 - kam Anfang 2012 auf den Markt
- Produktion von China nach Wales, in eine Fabrik des Unternehmens Sony
- Am 14. Mai 2013 kam ein Kameramodul für den Raspberry Pi in den Handel
- 9. Juni 2014 lieferbar[32] ist das Raspberry Pi Compute Module (Pi im DDR2-SODIMM)
- Am 14. Juli 2014 wurde das Modell B+ (Anzahl der GPIO- und der USB-Ports erhöht, die Leistungsaufnahme verringert und die Audioausgabe verbessert)
- 10. November 2014 wurde das Modell A+
- 2. Februar 2015 wurde der Raspberry Pi 2 Model B (1 GB Arbeitsspeicher und einen Vierkernprozessor vom Typ Broadcom BCM2836 auf ARM-Cortex-A7-Basis mit einer Taktfrequenz von bis zu 900 MHz)
- 26. November 2015 wurde der Raspberry Pi Zero (wi A+ nur schmal, mini HDMI, mikro usb
- Raspberry Pi 3A+
 - Bis Ende 2017 wurden mehr als 17 Millionen Geräte verkauft
 
 
 
===Raspberry Pi Randwissen===
 
HATs (HAT: Hardware attached on top)
kein SATA Raspberry Pi USB 2.0 > mSATA Konverter Board
kein ADC?
läuft auch bei 3.5V
Das „Pi“ steht für „Python interpreter“
Pi-Day 3.14
the UK's best-selling PC of all time. 
Extrem stromsparend
 
Raspberry Pi 4 mit Google AI > https://www.bbc.com/news/technology-38742762
 artificial intelligence and machine learning
 
 Made in UK <> Made in PRC
 14 million sold, 10 million in UK
 
 Raspberry Pi B+ kann Netboot ohne SD-Karte
 
  Commodore 64 Units Sold: About 17 Million
  had a 1MHz CPU and two big draws: a powerful, programmable sound chip  and powerful graphics for a 1982 computer. Even better, the Commodore 64  cost a reasonable $595 and had 64KB of RAM (hence the name). And the Commodore 64 could be plugged into a TV, making it a hybrid computer/video game console.
  
Commodore Amiga 500 Units Sold: About 6 Million
NEC PC-98xx series: etwa 15 Millionen
 
Raspberry Pi Bootprocess
 
===Raspberry Pi Shields===
PoE
StromPi
Motortreiberboards
Gertboard -  Gert van Loo - an IO expansion board
Raspberry Pi to Arduino Shields Connection Bridge
SX1272 LoRa Shield for Raspberry Pi - 868 MHz
4G + GPS Shield for Raspberry Pi – LE910 - (4G / 3G / GPRS / GSM / GPS / LTE / WCDMA / HSPA+) 
RFID 13,56 Mhz shield for Raspberry Pi
CAN Bus Shield for Raspberry Pi
RS232 / RS-485 / Modbus Shield for Raspberry Pi                                                                
Radiation shield for Raspberry Pi + Geiger Tube
HVAC IR Remote Shield for Raspberry Pi                                                                
WiFi shield for Raspberry Pi 
HiFiBerry AMP2 Verstärker
Raspberry Pi TV HAT (uHAT) Modul für DVB-T2
Pi-Top Lautsprecher (Speaker)
MEGA-IO 8-fach Relais Karte
PiXtend ePLC Basic V2
8 x 8 LED Matrix Modul 
Soundkarten
 
 
 
 
===Raspberry-Pi Betriebssysteme===
ArchLinux
CentOS
Fedora Workstation
Raspbian Stretch
FreeBSD
NetBSD
OpenSUSE
Q4OS
RaspAND
Sparky Linux
Ubuntu Mate
SliTAZ
DietPi
Funtoo
LibreELEC
Sabayon Base
OpenELEC
OSMC
Volumino
Max2Play
PiMusicbox
OpenMediaVault
Ubos
ZeroShell
OpenWRT
YunoHost
IPFire
AlpineLinux
KaliLinux
ParrotSecurity
Hypriot
RetroPie
Lakka
PiPlay
IchigoJam Basic Ppi
Kano OS
Windows 10 IoT Core
openHAB
Rasplex
Tizen
OctoPi
RiscOS Open
MagicMirror 2
Raspberry Slideshow
 
===Raspberry Anwendungen===
* Heimserver (openHAB)
* Adblocker
* Webserver
* Sensordaten
* Anlagensteuerung
* IOT
 
=== eigene Projekte ===
* Netzwerk eingangspunkt
* Torserver
* Heizungssteuerung
* Küchenradio
 
== Oktober 2018 ==
 
zum Einspielen: Gar nicht so einfach #3 -> https://xyrillian.de/dl/gnse-003-power-network-frequency.flac (Laufzeit 00:07:34)
 
"Vermischtes"
"Chaosausblick, Code, Steuern, Whois DSGVO"
 
Gerade laeuft die Privacy week in Wien - noch bis Sonntag im Naturkundemuseum
 
Letzte Kongresse
nächstes Jahr Camp
 
ChaosZone 
 
 
Linus zieht sich zurück? https://www.pro-linux.de/news/1/26306/linus-torvalds-nimmt-auszeit-vom-kernel.html -> irgendwelche Treffen kollidierten mit FamilienUrlaub, deswegen kurze Auszeit und komischerweise neueEigenbaukombinatr Code of Conduct
 
20.09.2018 GitLab streicht 100 Millionen US-Dollar Risikokapital ein
- 145 Millionen US-Dollar an Fördermitteln. Sie mögen beim für November 2020 geplanten Börsengang 
- Wert des Unternehmens jedoch auf 1,1 Milliarden US-Dollar geschätzt. 
 
Github
Gruenes Licht fuer Uebernahme
Endlich der DOS sourcecode mit freier lizenz
lesen konnte man ihn schon
 
-> Massive Probleme mit Speichersystem Gists sind verloren gegangen usw 
 
---------------------
 
Schweizer Steuer-App speicherte alle Daten öffentlich in der Cloud       
                  
Apple- Tim Cook mag die DSGVO
 
DSGVO-Verstoß: Krankenhaus in Portugal soll 400.000 Euro zahlen
- Großteil davon ist die Strafe dafür, dass viel zu viele Personen Zugriff auf Patientendaten hatten
- Für einen anderen Verstoß wurden 100.000 Euro Strafe verhängt
- zuviele Nutzer mit dem Profil "Techniker"
- 985 aktive Benutzer mit einem Profil "Arzt" -> lediglich 296 Ärzte eingeteilt
 
DSGVO Keine Namen mehr auf Klingeln in Wien
 
DSGVO: ICANN debattiert zentrales Whois und schon den Zugriff darauf 
gerade kein richtigen Zugriff auf Whois-Daten
Schwierigkeiten bei der Strafverfolgung
Gefahr wegen Abmahnindustrie
 
 
Vodafone-Kunden in Leipzig in den Genuss von Verbindungen von bis zu 1000 Megabit pro Sekunde im Download
Leipzig 280.000 Haushalte für diese Geschwindigkeit freigeschaltet. Bis Ende 2019 sollen es sachsenweit mehr als 600.000 sein vor allem in den drei Großstädten und in Görlitz
Gegenzug habe Sachsen zugesagt, die Mobilfunknetzbetreiber durch Bereitstellung geeigneter BOS (Behördenfunk)-Standorte
 
                  
Für Weltoffenheit, gegen Pegida: Mehr als 10.000 Bürger demonstrieren in Dresden
waren 560 Beamte am Sonntag im Einsatz
Überwiegend störungsfreie Demos
Gastwirte Sauer weil weniger Verkauf
Die Forschungsgruppe Durchgezählt aus Sachsen schätzt, dass zwischen 3.200 bis 4.100 Menschen bei Pegida demonstriert haben. Auf der Gegenseite haben die Forscher per Flächenschätzung etwa 5.200 bis 6.300 Demonstranten festgestellt.
 
Auffällig unauffällig: Das Tor-Netzwerk – Interview mit Jens Kubieziel
 
Brasilien vor der Wahl: Desinformation und Gerüchte millionenfach über WhatsApp verbreitet
-werden millionenfach WhatsApp-Nachrichten mit Verschwörungstheorien über Fernando Haddad und seine Arbeiterpartei PT an brasilianische Wähler
- mehrere hunderttausend Chat-Gruppen
-auch in Bildern (Memes)
Forderungen der Forscher: Weiterleitungen von Nachrichten einschränken, Sammelnachrichten beschränken, Die Größe von neuen Gruppen beschränken
 
 
Facebook im Bundestag: Mehr als 300.000 deutsche Nutzer unter erbeuteten Profilen bei Daten-Leck
 
führt zu :
 
Laut Facebook soll eine Kombination aus drei voneinander unabhängigen Software-Fehlern zu der Sicherheitslücke geführt haben. Eine wesentliche Rolle spielte dabei die Funktion „Anzeigen aus der Sicht von…“, die den Zugriff auf sogenannte Access Tokens von Profilen ermöglichte. Solche Access Tokens funktionieren praktisch wie Passwörter und ermöglichen die Übernahme der entsprechenden Profile. Die Funktion „Anzeigen aus der Sicht von…“ wurde nun sicherheitshalber deaktiviert.
 
Für Deutschland 173.229 Nutzer*innen seien Namen und Kontaktinformationen inklusive Handynummern und E-Mail-Adresse 
Bei 142.721 anderen wurden weitere hochsensible Daten erbeutet. Welche das sind, weiß man aus früheren Angaben von Facebook: Geschlecht, Sprache, Beziehungsstatus, Religion, Herkunftsstadt, Wohnort, Geburtsdatum, Bildung und Arbeitsplatz, außerdem eine Liste der Seiten, denen die Personen folgen, und ihre fünfzehn letzten Suchanfragen auf der Plattform.
 
Fake review factories that run on Facebook and post five-star Amazon reviews 
 
Britisches Python-Paket klaut Bitcoin
colourama in PyPi zu finden, eine Abwandlung eines bekannten Pakets namens colorama.
-> macht Terminalausgaben unter Windows bunt :|
 
Termine: 
 
=== News ===
 
  • AMD funtionierender 7nm Prozess im Labor
  • Intel soll 10-nm-Node eingestampft haben
  • Dementi
  • Soyus Fehlstart
  • Eine der meist geflogenen Raketen
  • Rettung per Rettungsrakete
  • Einziger bemannter Zugang zum All derzeit nicht verfuegbar
  • koennte Mission von Alexander Gerst verlaengern
  • verringerte Besatzung auch der ISS
  • Messwerte und Statistik 
  • Aktuelles Beispiel Stickoxide
  • Am Auto
  • In der Stadt
  • Messorte bzw. -bedingungen sollten representativ gewaehlt sein
  • Ist das der Fall sollte eine geringfuegige Aenderung dieser wenig Aenderung im Ergebnis bewirken
  • Ist das der Fall sind kleinraeumige Fahrverbote nicht representativ und daher nicht zielfuehrend
 
== September 2018 ==
 
Ich mache gern per call-in mit, wenn das funktiooniert, mal kurz für 10 minuten, wir haben heute abend congressmeeting @ c-base, aber da kann ichEigenbaukombinat kurz weggehen. Nur falls ihr dazu lust habt. dank und grusz, ajuvo 0163 63 61 555
 
"Datenspuren - Hinter den Kulissen".
 
*  zum Einspielen: "Gar nicht so einfach #2" -> https://xyrillian.de/dl/gnse-002-time.flac
 
* Es waren Datenspuren
 
Interessante Dinge&Talks:
 
Talks
    Politik
        Kontrollinstanzen Nachrichtendienste
        DEMOCRACY
    Coding & Hacking
        Spieleentwicklung in Haskell
        Freeing the Binary Format of the reMarkable e-ink Tablet 
    Unterhaltung
        Pentanews Gameshow
        Hebocon Finale
    u.a.
Workshops
    Wie surfe ich sicher im Internet?
    Arduino: 8 Beine für ein kleines Halleluja
    Crimpworkshop
    GNUnet Work­shop
    u.a.
Kunst
    SSID Sniffer
    Tetris (Kazoosh)
    Lion Hofmann (Motorad im Hof)
    Spiegelbild (drehende Scheibe mit LEDs) Sebastian Hempel
    Lion Hoffmann
    Grische Lichtenberger
    Fabien Zocco 
    Bauhaus Fm (inkl. Anlage i.V.) 
    Kazoosh 
    Bilder Kerstin
    Karsten
 
    u.a.
Zentralwerk
Fabmobil
Hebocon
Baozi
 
Statistiken:
 
~X Besucher aus ganz Deutschland
~18+1 gestreamte und aufgenommenen Vorträge (https://datenspuren.de/2018/mitschnitte.html) 
~>= 8 Workshops
~250m Nähgarn vernäht
~200 Unique MAC Adresses
~15KG Kartoffeln für Pufferoverflow
~100L Mate -> 0.5 KG Koffein
   zum Vergleich Koffein pro 100 ml  
  • Club Mate       20,0 mg
  • Kaffee             80,0 mg
  • Coca Cola       10,0 mg
  • Schwarzer Tee 35,0 mg
~641 Baozi gesamt, davon:
    184 Hirtentäschelkraut
    256 Gemüse Minis (2x128)
    179 Schwarzer Sesam
    102 Azuki Bohne
    48 Taro
 
Behind the scences:
 
ORGA Treffen allgemein
Poeple behind the scences
    Pentaradio hörer helft nach aufruf intensiv bei DS
    Danke an alle
    Entschuldigung für Chaos (?! Molton !?)
Corporate Identity
    T-Shirt Auswahl und Bestellprozess
    Plakate drucken und beantragen, auf- und abhängen
    Flyer (1x CFP, 1x Final)
Speaker organisieren
Bestellung Hardware Hebocon (aliexpress, yeah)
Catering - Chinesisch und Indisch (vegan, vegetatrisch etc)
Versicherung
Antrag Kunst und Kulturstiftung
VOC
    VOC erklären
    SD Karte mit Urlaubsfotos
    defektes HDMI Kabel
    Danke VOC
 
Ausblick:
 
Next CCC Event
    FIFFCon (httpis://2018.fiffkon.de/)
Upcomming
    Congress 35c3
    Camp 2019
nächste Datenspuren
 
=== News ===
 "Clear all cookies" löscht ab Chrome 69 die Google-Cookies nicht mehr.  
 
== August 2018 ==
 
* zum Einspielen: "Gar nicht so einfach #1" -> https://garnichtsoeinfach-podcast.de
* Simon ist gerade in Liverpool geht danach zum EMF: at Eastnor Castle Deer Park, Ledbury. 
* Pufferoverflow: Sonntag, 5. August 2018 um 19:30 Uhr
 
=== News ===
 
* Let's Encrypt Root trusted by all major Root Programs: https://letsencrypt.org/2018/08/06/trusted-by-all-major-root-programs.html
 
## Browser/Internet
 
* Twitter macht API für Drittclients kaputt. Mastodon explodiert.
 
 
## Sprachen
 
 
 
## Boulevard
 
 
* Twitter sperrte Parodie der Polizei Sachsen für mehrere Stunden wegen "der vermeintlich im Namen der Polizei rechtliche Schritte gegen Schmähungen ihres Mitarbeiters in den Raum stellte" https://netzpolitik.org/2018/twitter-sperrte-parodie-der-polizei-sachsen-fuer-mehrere-stunden/
 
* Twitter geht gegen "Streaming Apps" vor http://apps-of-a-feather.com/ (und dreht damit third party Apps quasi ab)  15 Nutzer sind frei, Pricing for Premium access is $2,899 per month for 250 users. (was 12$ wären pro Nutzer)
 
zwei Mal im Jahr tagende Gremium 
10 Leute, fehlende Zivilgesellschaft
 
 
* Meanwhile in a different part of the Planet: China überwacht Minderheiten mit Dronen https://netzpolitik.org/2018/chinesische-regierung-weitet-ueberwachung-von-religioesen-minderheiten-aus/ 
 
* NEC Platforms, Ltd. and Waffle Computer, Ltd.,
* weltweit estimated 25 Millionen Nutzer die Daten mit anderen Servern teilen können
* Nextcloud 14 ist angekündigt und bringt Federation 2.0
 
* Testla Firmware entwickler mit auslaufendem NDA:
- alles in einem Datencenter, wenig Redundanz
- komischer umgang mit den Mitarbeitern
 
## Science
 
 
## Law and Order
 
 
 
 
* DSGVO: Keine Abmahnwelle aber mehr Selbstanzeigen bei Datenverlußt: https://netzpolitik.org/2018/meldepflicht-bei-datenschutzpannen-deutlich-gestiegene-zahlen/
 
 
## Sicherheitslücken
 
* Pwnie-Awards: John McAfee erhält Hacker-Oscar
 
## MSFT
 
* Windows 7 noch immer weiter verbreitet als Windows 10: https://data.firefox.com/dashboard/hardware
 
=== Datenspuren === 
22-23. September im Zentralwerk
gleichzeitig Regiotreffen
zwei Sääle, Workshops, Fabmobil im Hof, 
erstmalig Kunst mit unterstützung der Kulturstiftung
 
 
Einblick ins Frabs:
 
Arduino: 8 Beine für ein kleines Halleluja 
Attiny85 Einsteiger Kurs für 10 Leute 
by honky 
 
Hebocon Finale 
Zwei Roboter, ein Tisch - Fight! 
by honky 
 
Pentalöten bis was bilnkt 
PentaBlink bis PentaStump es wird gelötet 
by honky 
 
Hebocon? 
Zwei Roboter, ein Tisch - Fight! 
by honky 
 
Spieleentwicklung in Haskell 
oder: Wie verbringt man die Zeit, die man auf den Compiler wartet. 
by nek0 
 
live coding music 
Use SonicPi to make your crowd dance! 
by hejn 
 
Wie surfe ich sicher im Internet? 
ein Demo-Workshop 
by nek0 
 
Hausvernetzung 
Mehr als 1 Wohnung mit mehr als 1 LAN/WLAN 
by Astro 
 
Intertech 
live coded music and visuals 
by hejn 
 
Wie man in 69 Jahren einen Überwachungsstaat aufbaut 
by Lennart Mühlenmeier 
 
NAT Gateways for the Masses 
by Simon Hanisch 
 
Augmented Reality in der Gesellschaft: Möglicher Nutzen und Gefahren 
by preip 
 
Irgendwas mit Blockhain 
Auf Wunsch von honky 
by vv01f 
 
Verfassungsschutz und was er* uns wissen lassen will 
Ein tiefer Blick in die Verfassungsschutzberichte 2017, im Vergleich. 
by Projekt Seehilfe 
 
WPIA - ein Trust Service Provider 
Das Audit kommt - was tun? 
by Reinhard Mutz 
 
Autonomes Fahren 
eine Technikfolgenabschätzung 
by Johannes Ritz 
 
Der Weg zur eigenen GnuPG Smartcard 
by Volker 
 
Freeing the Binary Format of the reMarkable e-ink Tablet 
by ax3l 
 
DEMOCRACY 
Vom Weg, alle BundesbürgerInnen zu Bundestagsabegordneten zu machen 
by visionmakery, Ulf Gebhardt 
 
netphil-dummy 
Ein Beitrag der Dresdner Technikphilosophie 
by ajuvo 
 
Irgendwas 
cooles 
by Martin Christian 
 
Dämonenhonig 
Das ist nur zu Ihrer Sicherheit 
by Sebastian Huncke 
 
Pentanews Gameshow 
Penta News Game Show 
by klobs 
 
Level Up your Monitoring 
ein monitoring-techtree walkthrough 
by André Niemann 
 
Lightningtalks 
5 Minuten für Deine Ideen 
by bigalex 
 
Program verification with SPARK 
When your code must not fail 
by JK 
 
 
 
 
== Juli 2018 ==
I � Unicode
"insert topic here" Unicode ?!  -> Mojibake! 
ooder I � Unicode :)
 
Vorstellung
 
===News: ===
 
* Datenspuren rücken näher -> CFP So 29. Juli 2018 https://frab.cccv.de/en/DS2018/cfp
* die neue Datenschleuder ist da! (20.Juli.2018)
* Hausdurchsuchungen im Chaosumfeld (Zwiebelfreunde)
    
* Arbeitseinsatz im Zentralwerk am 28.
* 30K fuer heisse Luft erfolgreich
   * Fast 40k erreicht
   * weiterer Plan?
   * Dank an alle Spender
 
 
* Google Rant
 
   * Öffi app wird bei google ausgeworfen (jetzt exklusiv bei F-Droid) - google monopol problem
   
        Außerdem untersagt es Google  den Herstellern, Geräte mit Android zu verkaufen, wenn sie gleichzeitig  auch Modelle mit abgewandelten Versionen des Betriebssystems im Angebot  haben. 
   
 
Optional
// PeerTube!
   
"Nach der Musik geht es weiter mit..." Morse-Code vom Wort "Unicode"
 
Musik
 
=== Encoding  Geschichte ===
 
Morse Code
https://de.wikipedia.org/wiki/Morsezeichen -> auch mal vorspielen und erklären
->  konstantes Signal ein- und ausgeschaltet
-> Ton Funk, Mechanisch oder Licht
 
Samuel  Morse 1833  Der verwendete Code umfasste damals nur die zehn Ziffern;  die  übertragenen Zahlen mussten mit Hilfe einer Tabelle in Buchstaben  und  Wörter übersetzt werden. 
Alfred  Lewis Vail,  ein Mitarbeiter Morses, entwickelte ab 1838 den ersten  Code, der auch  Buchstaben umfasste. Er bestand aus Zeichen von drei  verschiedenen  Längen und unterschiedlich langen Pausen. 
 
Ein Seenotruf wurde erstmals 1909 über Funk gemorst. ... --- ...
Bis 2003 vorgeschrieben für Amateurfunk für unter 30MHZ
heute noch für Funkfeuer und UNESCO KulturErbe
 
----- Soundfile morse_A abspielen ----
A  · −
 
binary  - Wie werden Zahlen am Computer dargestellt?
 
A chr(65) 01000001
 
ASCII 
 
ANSI 
Windows Codeseite 1252 auf einem ANSI-Entwurf beruhte, der später weitgehend zum ISO Standard 8859-1 wurde
windows1252 -> word files
 
Unicode (Wikipedia)
 
UTF-8 (Wikipedia) 
vorher UCS-2, UTF-16, UTF-32
 
Musik
 
Technical Reports/Annexes
 
* Normalisierung
* Textsegmentierung (Wörter, Zeilen, Absätze)
* Collation (Textsortierung)
 
Herausforderungen beim Rendering
* bidirektionales Textlayout
* Ligaturen, Glyphenwahl
* Graphem-Cluster
* Font-Auswahl
 
List of Unicode characters (Wikipedia) https://en.wikipedia.org/wiki/List_of_Unicode_characters
Search for character(s) in Unicode 10.0.0 https://unicode-search.net/
 
=== Sicherheitslücken und Bugs auf Grund von Textencoding ===
 
Apple Shutdown wenn xy in Nachricht
effective. Power لُلُصّبُلُلصّبُررً ॣ ॣh ॣ ॣ 冗
 
 
Mojibake (文字化け; IPA: [mod͡ʑibake]) is the garbled text that is the result of text being decoded using an unintended character encoding.[1] The result is a systematic replacement of symbols with completely unrelated ones, often from a different writing system.
 
Rechts nach Links Unicode 202e
 
big list of naughty strings:
 
 
0000 0000 as end of text
 
 mysql utf8 types utf8mb4 (four bytes)
 
Musik
 
 
== Juni 2018 ==
 
"Cloud Computing"
 
Vorstellung 
 
===News und Nachtrag ===
 
* Auch mit DSGVO noch nicht alle gestorben
* Aussagen zu Fotos in der letzten Sendung etwas zu generell
    * Kunsturhebergesetz von WTF 1907 nicht wirklich anwendbar
    * Aussage nicht wirklich sicher möglich - Praxis muss das zeigen
    
* Microsoft kauft github 7.5 Mrd $
* Blender und MIT Open Courseware von Youtube verbannt
* Bestandsdatenauskunft 2017: Behörden haben alle zweieinhalb Sekunden abgefragt, wem eine Telefonnummer gehört https://netzpolitik.org/2018/bestandsdatenauskunft-2017-behoerden-haben-alle-zweieinhalb-sekunden-abgefragt-wem-eine-telefonnummer-gehoert/
* Barley fordert Offenlegung der Schnittstellen von Messengern
 
Musik 
    
===Cloud Computing ===
 
* The NIST definition of cloud computing: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf mit fünf Grundanforderungen
  * on-demand self-service: Nutzer kann selber Ressourcen klicken, ohne Support-Mitarbeiter zu involvieren
  * broad network access: kein anbieterspezifischer Client erforderlich, erstmal alle Ports offen
  * resource pooling: Ressourcen werden unter mehreren/allen Kunden nach Bedarf aufgeteilt
  * rapid elasticity: Ressourcen können kurzfristig zugeteilt und zurückgegeben werden
  * measured service: leider zu vage für eine Kurzzusammenfassung :-)
 
==== Aspekte ====
 
* IaaS - Infrastructure as a Service
  * Compute (Hetzner)
  * Network (Akamai, Cloudflare)
  * Storage (Backblaze)
* alles aus einer Hand und beliebig viel: Hyperscaler
  * Amazon Web Services
  * Google Cloud Platform
  * Microsoft Azure
 
* PaaS - Platform as a Service (Heroku)
* SaaS - Software as a Service
  * B2B (Firmensoftware aus der Cloud: Salesforce, SAP)
  * Build Server (Travis CI)
  * Website-Hosting (1&1, Strato)
  * Gaming (NVidia Grid)
  
* 4 Liefermodelle
  * Private Cloud: innerhalb einer Organisation für verschiedene Teams
  * Community Cloud: innerhalb einer Gruppe von Organisationen
  * Public Cloud: für jedermann zugänglich
  * Hybrid Cloud: mehrere Clouds, die miteinander verknüpft sind
 
* Auch die meisten der Services die du online nutzt laufen letztendlich auf cloud infrastruktur.
    * Mailprovider
    * Twitter 
    * Facebook
    * Github, Gitlab, bitbucket
* Je nachdem betreibt die der Anbieter selber oder auch er mietet das von einem der großen Anbieter
    
Musik
   
==== Effekte von Virtualisierung ====
 
* Formal kann der Nutzer Admin des eigenen Systems sein
* Läuft partiell Hardwareunabhängig
* Direkte Hardwareunterstützung nicht möglich
* Einfacher Umzug in eine andere Cloud moeglich
 
==== Cloud zum Selbermachen ====
 
* OpenStack
* Container (Docker)
* Kubernetes
* hier noch Ausblick: Serverless Computing
 
==== Vorteile für den Servicebetreiber ====
 
* Je nach Bedarf kann die Anzahl der Systeme schnell skalliert werden.
    * Keine Wartezeiten auf Hardware
    * überschüssige Hardware muss nicht verkauft werden.
* weniger eigenes IT-Personal notwendig
 
==== Nachteile ====
 
* Hardware steht irgendwo
* Teilweise schwer zu kontrollieren wo die eigenen Daten jetzt sind
* Nutzung von Cloud braucht andere Konzepte: einfach VM in die Cloud schieben bringt nichts (mehr Kosten) -> skalierende Micro-Services
* Abhängigkeit von fremder Infrastruktur
* Netz-Ausfälle können ganze Plattformen lahm legen (S3 -> Netflix, Github)
 
====High perfomance computing ====
 
* Im Gegensatz zu den meisten anderen Anwendungen wird im Bereich des HPC wenig  virtualisiert
* Würde zu viel Verzögerung auslösen
 
==== Ankuendigungen ====
 
* cfp for Datenspuren 2018 im Zentralwerk https://datenspuren.de/2018/ 22./23.09. 
 
Verabschiedung
 
There is no cloud, just someone else's computer.
 
Musik
 
 
== Mai 2018 ==
 
"Datenschutz und Bürokratiechaos"
„Datenschutzgrundverordnung“ 
"EU-DSGVO: die neue europäische Datenschutzgrundverordnung"
 
 
=== News ===
 
* Auf Facebook der DSGVO zustimmen schließt Aktivierung der neuen Gesichtserkennung ein 
** Gesichtserkennung Dritter? 
* Zuckerberg moeglicherweise zu Aussage vor EU Parlament bereit -- jetzt anscheinend sogar doch oeffentlich
* Nein, SMalm und PGP sind nicht kaputt und auch nicht schwer
* Google jetzt nicht mehr "nicht boese" 
* Max Schremms darf nicht mehr bei Facebook mitmachen, sei denn er akzeptiert die neuen Bedingungen "freiwillig" https://mobile.twitter.com/maxschrems/status/998681336427827201?s=21
    ** konnte mit seiner Klage vor dem Europäischen Gerichtshof das transnationale Safe-Harbor-Abkommen zwischen der EU und den USA beenden, was als starkes Signal für den Grundrechtsschutz in Europa angesehen wird.
    **Isn’t this illegal according to GDPR? YES!
 
Stefan Möller‏ @hdoniker Die CDU Hannover verschickt anlässlich der #DSGVO eine Mail zwecks weiterem Newsletterbezug. Mit allen 900 Empfängern in CC.
 
--- ganz kurze Musik?? ---
 
=== Einleitung ===
 
E-Mail Betreffs der letzten Tage:
 
-[Action Required] Important updates on Google Analytics Data Retention and the General Data Protection Regulation (GDPR) 
- Updates to our Terms of Use and Privacy Policy (Udemy)
- Would you like to stay or go? (Ryte)
- Am 25.5 verarbeitet die 
 
Umfassendes Thema, hier nur angerissen. 
 
Dies ist keine Rechtberatung! Keine Rechtsbelehrung, wir sammeln nur Tipps und Hilfen zusammen
 
 
=== Was ist Datenschutz (und warum)? ===
 
* Europäische Menschenrechtscharta (Artikel 8)
* Volkszählungsurteil (abgeleitet von Artikel 1 GG)
 
* Warum Daten schützen? -> Überwachung/Kontrolle vs Demokratie
 
Erwägungsgrund #1:
 
Der   Schutz natürlicher Personen bei der Verarbeitung personenbezogener   Daten ist ein Grundrecht. Gemäß  Artikel 8 Absatz 1 der Charta der   Grundrechte der Europäischen Union  (im Folgenden „Charta“) sowie   Artikel 16 Absatz 1 des Vertrags über die  Arbeitsweise der  Europäischen  Union (AEUV) hat jede Person das Recht auf  Schutz der sie  betreffenden  personenbezogenen Daten.
 
-Informationsgrundverordnung
  • Artikel 8 der Europäischen Menschenrechtskonvention allgemeinen Persönlichkeitsrechts
  • Eingriff nur erlaubt wenn  “in einer demokratischen Gesellschaft notwendig” 
  • der öffentlichen Sicherheit und Ordnung (einschließlich der Moral,)
  • der öffentlichen Gesundheit,
  • der nationalen Sicherheit,
  • des wirtschaftlichen Wohls des Staates,
  • der Kriminalprävention oder
  • zum Schutz der Rechte und Freiheiten anderer.
 
## Historie 
*** Richtlinie = Handlungsvorschrift einer Institution, jedoch kein förmliches Gesetz
    Verordnung = In der EU ist eine Verordnung ein Rechtsakt, der nach seiner Verabschiedung in den Mitgliedstaaten unmittelbar Geltung hat, d. h. nicht wie eine Richtlinie erst in nationales Recht umgewandelt werden muss
    ( Gesetz =  formelles und materielles Recht, eine Rechtsnorm )
 
Ausgehend von Richtlinie 95/46/EG von 1995
 
Inkrafttreten: 24. Mai 2016 (seitdem hätte man es beachten müssen)
Anzuwenden ab: 25. Mai 2018 
 
-  enthält die Verordnung  verschiedene Öffnungsklauseln, bestimmte  Aspekte des Datenschutzes auch  im nationalen Alleingang zu regeln.  Daher wird die Datenschutz-Grundverordnung auch als „Hybrid“ zwischen  Richtlinie und Verordnung bezeichnet.
 
-  ersetzt das alte Bundesdatenschutzgesetz (Gesetz vom 30. Juni 2017), es  gibt aber auch ein neues Bundesdatenschutzgesetz (quasi Ergänzung der  EU-DSGVO)
 
  • DSGVO - Datenschutz-Grundverordnung
  • GDPR - General Data Protection Regulation
  • BDSG - Bundesdatenschutzgesetz
  • ePV  - E-privacy-Verdordnung des Bundesverbandes der Digitalen Wirtschaft,  evtl ab 2019 (es geht um Cookies, OfflineTracking, E-Mails als  Webseitenbetreiber, OvertheTop-Dienste +Whatsapp,  )
  • EMRK - Europäischen Menschenrechtskonvention
  • TMG - Telemediengesetz
 
## Inhalte 
// nur überfliegen...
Die DSGVO besteht aus:
  • 99 Artikeln in elf Kapiteln.
  • 173 Erwägungsgründe
  • "Interpretationshilfen" des Gesetzgebers, Absichten
 * 3.100 Abänderungsanträge gegenüber dem Entwurf der EU-Kommission
    *  Bits of Freedom + EDRi + Jan Philipp Albrecht +  Eva Lichtenberger + Amelia Andersdotter vs  Amazon, eBay,  Apple, Microsoft, Cisco, Intel, IBM, Oracle, Texas Instruments,  Dell, …
  • + 84§ BDSG (neu)
 
--- MUSIKPAUSE ?
 
 
## Worum geht es?
 
- Schutz "der personenbezogenen Daten"?
- Was sind Daten, was ist Information, was ist Privatsphäre
 
 
### Was sind personenbezogene Daten?
 
Artikel 4 weiterhin weit gefasst:
 
„personenbezogene Daten“ [sind]:
alle Informationen, die sich auf eine  identifizierte oder identifizierbare natürliche Person (im Folgenden  „betroffene Person“) beziehen; als identifizierbar wird eine natürliche  Person angesehen, die direkt oder indirekt, insbesondere mittels  Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu  Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren  besonderen Merkmalen, die Ausdruck der physischen, physiologischen,  genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen  Identität dieser natürlichen Person sind, identifiziert werden kann; …
 
Name in der Regel Personenbezogen? 
Pseudonym personenbezogen? Pseudonym ist nicht anonym!
IP-Adresse Personenbezogen? (-> ist eine Onlinekennung)
Cookies personenbezogen! 
 
Fast alle Daten die einen Bezug zu einer Person haben könnten sind wohl personenbezogen.
 
- Verbotsvorschrift mit Erlaubnisvorbehalt, d.h. "Alles ist verboten, es sei denn es ist erlaubt."
 
nur Verarbeitung (quasi alles außer Privat) nur erlaubt wenn Erlaubnistatbestand aus Artikel 6:
 
  • Die betroffene Person hat ihre Einwilligung gegeben;
  • #PP muss ausdrücklich erklärt und nachgewiesen werden (Zeitpunkt, IP-Adresse?)
  • Nicht-Mündige -> z.B. Minderjährige? -> Nur wenn Eltern zustimmen ("Dieser Dienst ist erst ab 16. verfügbar")
  • schwer prüfbar
  • verpflichtend bei Newsletter
  • verpflichtend bei besondere Arten personenbezogener Daten: z.B. Religion, Biometrik, Genetik, Sexualität, Gesundheit -> Wie sieht es aus mit Fotos? Einwilligung!
  • denkbar schlechteste Zustimmungsform, außer vorgegeben
  • Einwilligung widerrufbar -> Recht auf Löschung
  • Kopplungsverbot: Einwilligung muss freiwillig sein, darf also nicht Vertragsvorraussetzung sein -> nur wenn man sich gezwungen fühlt.
  • die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich;
  • z.B. Onlineshop-Adresse zu Spedition weitergeben wohl drin
  • aber nur "vernünftige" Aspekte der Vertragserfüllung, keine AGB Klauseln die überrumpeln
  • Bonussysteme wie Payback, oder Check24 zu Marketingzwecke abgedeckt
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich;
  • Steuerdaten müssen 10 Jahre gespeichert werden (z.B. Rechnungen für Kunden)
  • brauchen nicht gelöscht werden, selbst wenn es ein Kunde fordert
  • die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen;
  • Krankenhaus? 
  • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt;
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich
  • z.B. Waage zwischen Marketing und Schutzinteressen der Nutzer 
  • Marketing (Tracking und Targeting) steht explizit mit drin
  • Einfallstor?! Die Abwägung hat noch nicht stattgefunden
  • Erwägnungsgrund 47, Absatz 7: Die Verarbeitung personenbezogener Daten zum Zwecke der  Direktwerbung kann als eine einem berechtigten Interesse dienende  Verarbeitung betrachtet werden.
 
Grundsätze der Verarbeitung personenbezogener Daten Artikel 5 (bloß überfliegen)
 
  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)
  • Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“)
  • Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit  [unrichtige] personenbezogene Daten unverzüglich gelöscht oder  berichtigt werden“)
  • Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden,  die die Identifizierung der betroffenen Personen nur so lange  ermöglicht, wie es […] erforderlich ist“)
  • Integrität und Vertraulichkeit („angemessene Sicherheit der  personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder  unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust,  unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)
 
- MUSIKPAUSE 
 
## Was sich ändert (müssten wir noch sortieren)
 
  • Genaue Erklärung was mit den Daten gemacht werden soll
  • Austausch personenbezogener Daten in der EU nun einfacher (weil Verordnung gleich)
 
  • Marktortprinzip
  • Das europäische Datenschutzrecht gilt auch für außereuropäische  Unternehmen, soweit diese ihre Waren oder Dienstleistungen im  europäischen Markt anbieten. 
  • betrifft vor allem größere Konzerne z.B. Google, Apple, Facebook etc
  • CDNs?
  • Privacy by Design - (opt in statt opt out!)
  • Cookies müssen nun auch in Deutschland entsprehend opt-in! ("Diese Seite verwendet cookies)
  • in der ePV nochmal verschärft (außer bei SessionCookies)-Einwilligung nötig
  • (z.B. alle Cookies zulassen / nur firstParty-Cookies)
  • muss auch bei der Programmierung beachtet werden!
  • höhere Bußgelder 
  • bis 20Mio bei natürlichen Personen, gilt z.B. bei Geschäftsführern
  • bzw. 4% des weltweiten Umsatzes eines Unternehmens
  • vorher 300 000 also oftmals Peanuts (z.B. im Vergleich zu Anwaltskosten)
  • auch bei ADV Partnern / Zertifikate und Audits z.B. bei AWS
  • aber Gefahr durch Abmahnungen für z.B. Webseitenbetreiber 
  • Anspruch auf Schadensersatz (nun auch materiell nicht nur Anwaltskosten)
  • Höhe noch nicht ganz klar
  • Geschäftsmodell? vor allem gegen kleinere Freiberufler, da weniger Anwälte
  • Artikel 17. Recht auf Vergessenwerden
  • Personen haben Recht auf Löschung der Daten wenn Erhebungsgründe entfallen
  • Verarbeiter müssen dann aktiv löschen
  • Recht auf Datenübertragbarkeit (Artikel 20)
  • betreffende Daten in einem „strukturierten, gängigen und maschinenlesbaren Format zu erhalten“ (d.h. dessen Format ist nicht weiter vorgeschrieben)
  • z.B. Umzug zwischen Apps, Sozialen Netzwerken
  • Recht auf Information
  • Verbraucher müssen künftig von Beginn  an darüber informiert werden, wer ihre persönlichen Daten wie Name,  Adresse, Email-Adresse und Ausweisnummer aus welchem Grund erhebt - und  sie müssen zustimmen. Zudem muss klar sein, wie lange die Daten  aufbewahrt werden sollen. Die Einwilligung muss jederzeit zurückgezogen  werden können.
  • Daten Dritter? z.B. bei Freundschaftslisten etc.
  • Nachfragender muss sich ausreichend ausweisen (z.B. durch Login oder persönlich)
  • Auskunftsperson muss ausreichend kommuniziert sein
  • 1mal pro Jahr? 
  • Nein, auch mehr außer missbräuchlich (nicht definiert dann Geld verlangen).
  • Datenminimierung
  • nur notwendige Daten sollen erhoben werden
  • gabs auch schon vorher
  • Weitergabe der Daten an Dritte: Auftragsdatenverarbeitung
  • wenn für Nutzer nicht ersichtlich das vertraglich notwendig (oder theoretisch selbst ausgeführt)
  • wenn Unternehmen außerhalb EU dann Garantien-nötig (Datenschutzniveau muss garantiert sein, Schweiz, Canada Israel etc) oder Privacy-Shield (EU/USA)
  • wenn nicht vorhanden haften beide Parteien (Freelancer Consultant Webhoster)
  • z.B. für Google-Analytics, Buchhalter usw.
 
  • Mehr Sicherheit
  • Daten müssen so sicher gespeichert werden, dass unbefugter Zugriff, aber auch versehentlicher Verlust nicht möglich ist. Über Datenschutz-Verstöße müssen die Verbraucher informiert werden. Wenn ein Risiko für sie entstanden ist, müssen Unternehmen die Verstöße zudem bei nationalen Behörden melden. (Handelsblatt)
  • SSL Zugriff auf der Webseite aktivieren!
 
  • weniger Ausnahmen
  • keine Außnahme mehr (altes BDSG) für Journalisten oder Kleinunternehmer, sobald nicht mehr Privat alle betroffen
  • Pressefreiheit in der neuen BDSG? Bisher keine oder zuwenige Regelungen
  • z.B. Fotos, Informanten, Kunden etc
  • Unterscheidet nicht mehr zwischen Öffentlichen und nicht-öffentliche Stellen
 
  • Erwägungsgrund 82:
  • Zum  Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche   oder der Auftragsverarbeiter ein Verzeichnis der   Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen.  Jeder  Verantwortliche und jeder Auftragsverarbeiter sollte  verpflichtet sein,  mit der Aufsichtsbehörde zusammenzuarbeiten und  dieser auf Anfrage das  entsprechende Verzeichnis vorzulegen, damit die  betreffenden  Verarbeitungsvorgänge anhand dieser Verzeichnisse  kontrolliert werden  können.
 
  • Datenschutzbeauftragter
  • nicht viel verändert
  • nicht ganz vorgeschrieben bei Risiko
  • ab mehr als 9 Personen braucht man einen Datenschutzbeauftragten (es zählen alle mit Teil der Datenverarbeitung)
  • dieser muss angemeldet werden, sonst Verstoß!
  • es darf kein Mitarbeiter sein mit Interessenkonflikt:
  • kein Geschäftsführer
  • kein leitender Angestellter
  • gern auch externer
  • Prokurist (Handlungsbevollmächtigte)
  • Besondere Fähigkeiten haben:
  • Rechtlich sich auskennen
  • Technisch in der Lage sein
  • kein Zertifikat notwendig, aber empfehlenswert (man lernt dort praktischen Datenschutz)
  • keine bestimmte Ausbildung nötig
  • Der muss sicherstellen:
  • Sicherheit der Verarbeitung
  • Stand der Technik muss gewährleistet sein
  • nach möglichkeit Daten psyeudonymisieren
  • Integrität der Daten sicherstellen (Backup)
  • Datenschutzfolgenabschätzung (unklar z.B. Gesundheitsdaten)
  • Personenbezogene Daten auf Schreibtisch für Besucher einsehbar)
  • alles muss nachgewiesen werden, rechenschaftspflicht
  • Verzeichnis von Verarbeitungsbelegen 
  • Ausnahmen wenn weniger als 250 Mitarbeitern es sei denn nur Gelegentlich 
  • E-Mails, Cloud
  • eigentlich immer Verpflichtend, gerade wenn man Mitarbeiter hat
  • Religion für Steuerzwecke
  • Schlösser, Mitarbeiter müssen auch AGVs?
 
--- MUSIKPAUSE
 
## Was sich nicht ändert
 
  • Pflicht zur Transparenz (bisschen erweitert)
  • Informationspflicht (bisschen erweitert)
  • Rechenschaftspflichen  (bisschen erweitert)
 
  • Bei Fotos ist auch jetzt schon die Zustimmung der Abgebildeten notwendig
  • Offensichtlich für die Dienstleistung notwenige Verarbeitung zulässig ohne extra Einwilligung
  • für Familäre und Persönliche Verarbeitung ist das weiterhin erlaubt 
  • Social Media Profile? Öffentlich / Freunde / "echte Freunde"
  • Online frei zugänglich (eher nicht)
  • Fotos in der Cloud?
 
## Was habt ihr in Vorbereitung getan? (5-10Min)
 
  • Webseiten von Cookies befreit
  • ADV-Verträge gecheckt
  • Weblogs nach 7 Tagen löschen
  • Verarbeitungstätigkeiten dokumentieren (bsp. E-Mail, Webseite) 
  • Whatsapp zur Kommunikation von Eltern zustimmen lassen
  • Datenschutzerklärung in den Footer der Webseite gepackt
  • - Auskunftsverantwortlicher muss klar sein
  • - bei Rückfragen muss Fragender ausreichend nachgewiesen werden
  •  
 
## Datenschutzerklärung auf Webseite
 
- Ausnahme für ausschließlich persönliche Webseiten ohne Kommentare, Newsletter etc.
 
- Grundsätzlich bei den meisten nötig. 
    - zb. bei Wordpress (Bei Kommentaren SPAM Schutz)
    - als Account bei großen Anbietern
         -> z.B. Medium und Blogger trotzdem besser eine eigene anlegen
         -> sobald eigene Domain dann definitiv
         -> bei Facebook-Seiten auch (bei nur Profil eher nicht) (Verfahren bei EUGH läuft dies zu klären)
             -> Gewinnspiele, Kommunikation mit dem Kunden über FB
         -> Instagramm? -> wahrscheinlich nicht
         -> Twitter eher nicht? -> nur zur Sicherheit
 
- Geld verdienen -> Datenschutz? Nein. Datenschutz auch nötig wenn kein "kommerzielle" Absicht
 
- Datenschutzverlinkung wo immer es geht z.B. im Datenfooter
- beim Impressum reichen zwei Klicks
- beim Datenschutz direkt, muss ins Auge fallen, darf nicht nur Teil eines "Impressums"-Link sein
besser "Impressum/Datenschutz" oder zwei Links
- wenn Nutzereingaben z.B. Kommentar und Kontaktformularen besser wenn Link zur Datenschutzerklärung
- wenn nur Lesen reicht Link im Footer (Achtung Cookies- davon Ausgenommen
 
## rundes Ende 10 - 15min.
* Bewusstsein für Datenschutz schaffen
* BEOBACHTUNG von Menschen/Bürgern durch Daten --> Nutzung dieser Daten für egoistische Zwecke /Missbrauch --> KONTROLLE von menschlichem Verhalten
* wer dazu noch keine genauen Vorstellungen hat, wie so eine Kontrolle aussehen kann -> Westworld schauen 
* Worum geht es in WW?
1 Was unterscheidet den Mensch von der KI?
2 Frage nach dem freien Willen und der Möglichkeit von Freiheit
3 Aktuelle Season von WW wird DS Thema aufgemacht; es geht darum den Wesebskern von Menschen sichtbar zu machen, um sie von Außen optimal kontollieren zu können
Dies ist genau die Grenze zwischen Privatheit und Öffentlichkeit, wenn der Mensch kein Recht mehr hat Grenzen für sich zu bestimmen, ist er auch nicht mehr frei
--> Gegen Kontrolle von menschlichem Verhalten durch Daten
 
Datenschutz ist ein Grundrecht
Verhalten auf Grund von Daten beeinflussbar (Cambridge Analytica)
Künstliche Intelligenz
 
Speichert nur Daten die ihr wirklich braucht und löscht diese anschließend
## Quellen
 
grundlegendes zum Recht
tips für Webseitenbetreiber
 
Sächsischer Datenschutzbeauftragter:
 
 
 
 
==April 2018 ==
 
Hinweis  von Rob: Diese komischen CMS-Leute planen einen VHS Kurs. Der  Vermutlich auf Debian oder falls es kein Popcorn enthält auch Linux Mint  (Ubuntu) basieren wird -> https://hackmd.c3d2.de/gnubie-shaving#  https://wiki.c3d2.de/GNUbie_shaving
 
 
"Linux ist mir zu kompliziert - nein ist es nicht"
"Linux ist nicht kompliziert - versprochen "
 
"Lochkarte, Unix, Linux, Debian, Ubuntu 18.04"
 
FollowUP bzw. News zu den letzten Sendungen
 
  • 1 April 2018, 1.1.1.1 DNS Cloudflare 
  • DDos-Protection
  • Privacy TLS Crypto foo
  • DNS-over-TLS
  • DNS-over-HTTPs
  • APNIC's research group held the IP addresses 1.1.1.1 and 1.0.0.1. 
  • APNIC is a Regional Internet Registery (RIR) responsible for handing out IPs in the Asia Pacific region
  • continuously overwhelmed by a flood of garbage traffic.
  •  Cloudflare is sharing DNS query data with APNIC Labs,
  • Zuckerbergs Aussage vor dem Senat
  • neue Datenschutzregelung in sicht
  • Facebook hat die Gesichtserkennung in Europa angeschalten:
 
 
Einleitung: Den Computer anschalten und nun?
 
  • Einschaltknopf und dann?
  • Mainboard
  • Bios Basic input output system / UEFI
  • master boot record (MBR) bzw. GUID Partition Table (GPT)  / UEFI
  • Bootloader
  • Betriebssystem (Kernel, Programme)
 
  • die meisten bekannten Programme laufen nicht direkt auf der Hardware, sondern brauchen andere Programme (z.b. libraries) damit sie mit der Hardware interagieren können = Darum kümmert sich das Betriebssystem
 
 
kleiner historischer Abriss über Betriebssysteme / Unix / BSD / Linux / Debian / Ubuntu
 
  • ersten Computer kamen ohne echtes Betriebssystem weil Programme über Lochkarten etc eingelesen wurden
  • 1956 GM-NAA I/O bei General Motors für die IBM 704 erfundene resident monitor (startete einfach nächsten Lochkartenstapel im Anschluss)
  • 1959 entstand daraus das SHARE Operating System (SOS)
  • allowed execution of programs written in assembly language.
  • share programms
  • 1961 entstand mit dem Compatible Timesharing System (CTSS) für die IBM 7094 am MIT das erste Betriebssystem für Mehrbenutzerbetrieb
  • IBM  1964 OS/360  in verschiedenen Versionen (OS/360 für rein  lochkartenbasierte Systeme,  TOS/360 für Maschinen mit Bandlaufwerken,  DOS/360 für solche mit  Festplatten)
  •  das erste Betriebssystem, das modellreihenübergreifend eingesetzt wurde,
  • Ab 1963 wurde Multics in Zusammenarbeit von MIT, General Electric und den Bell Laboratories (Bell Labs) von AT&T entwickelt, das jedoch erst ab 1969 bis 2000 im Einsatz war.
  • setzte den Grundstein für Unix
  • Unix 
  • August 1969[1] von Bell Laboratories (später AT&T)
  • 1980er Jahre als quelloffenes Betriebssystem
  •  Ken Thompson und Dennis  Ritchie, die es zunächst in Assemblersprache, dann in der von Ritchie  entwickelten Programmiersprache C geschrieben
  • erstmalig hierarchische, baumartig aufgebaute Dateisystem mit Ordnerstruktur
 
  • Quellcode / Binaries
  • CPU  braucht maschinenlesbaren Code, Programmierer brauchen menschenlesbaren Code
  • Hin- und Zurückübersetzung schwierig
 
  • ab 1980 kommerzialisiert (fehlender Quellcode), was zu Abspaltungen führte (Unix-Wars)
  • Berkley brachte TCP/IP, damit wars für die Darpa interessant
  • 1983 begann Richard Stallman GNU’s Not Unix (‚GNU ist Nicht Unix‘)-Projekt zu entlwickeln (da fehlte ein freier Kernel)
  • Shell, Coreutils, Compiler wie GCC, Bibliotheken wie glibc, as 
  • Anspruch  die Funktionalität eines Unixsystems zur Verfügung zu stellen
  • Freiheit #0: Programm ausführen wann und wo man will
  • Freiheit #1: Quellcode studiern / überprüfen
  • Freiheit #2: weiterverbreitung des Programmes
  • Freiheit #3: veränderte version verbreiten dürfen
  • 1985 Open Software-Foundation (Sun, Siemens, HP, IBM etc)
  • 1987 entwickelte der in Amsterdam lehrende amerikanische Informatiker Professor Andrew S. Tanenbaum ein unixoides Betriebssystem namens Minix
  • Studenten die Grundlagen eines Betriebssystems zu veranschaulichen
  • 1989 wurde „UNIX System V Release 4“ angekündigt und herausgebracht. Es folgten später noch „Release 4.2“ und „Release 5“ nach. 
  • 1990 erschien „4.3BSD Reno“. 
  •  - nur kurz -BSD Zweig, welcher später dann auch zu Apple führte
  •  - nur kurz -92 386BSD, eine Portierung von 4.3BSD NET/2 auf den Intel-i386-Prozessor
  •  - nur kurz -1993 erschien die Version „4.4BSD“, und es begann die Entwicklung von FreeBSD und NetBSD, 
  •  - nur kurz - 2000 wurde Darwin, der Unterbau des Mac OS X veröffentlicht, mit Mach als Kernel.
  •  freies Unix-Betriebssystem des Unternehmens Apple. Es wurde als Darwin 0.1 am 16. März 1999[1], gemeinsam mit Mac OS X Server 1.0, erstmals verfügbar gemacht.
  • 1991 stellte Linus Torvalds am 5. Oktober seinen Kernel Linux mit der Versionsnummer 0.02 vor.
  • Finnish computer science student (mittlerweile seit 2010 Amerikaner)
  • January 5, 1991[22] he purchased an Intel 80386-based clone of IBM PC[23] before receiving his MINIX copy, which in turn enabled him to begin work on Linux
  • His M.Sc. thesis was titled Linux: A Portable Operating System.
  • from scratch, benötigte teilweise von Minix
  • seit Dezember komplett ohne Minix (fsck)
  • 1992 im Januar kam 0.12 benutzte GNU GPL - CopyLeft Lizenz
  • 1993 X11 (und damit erste Distribution, zwei Disketten bestehend aus Kernel und GNU Projekt Utilities)
  • erster Grafischer Window Manager
  • 1993 Debian by Ian Murdock, Debian 0.01 was released on September 15, 1993
  • Freundin Deborah Lynn (Deb + Ian) = Debian
  • reines community Projekt, kein Kommerzieller Hintergrund
  • sehr Gnu-nah
  • Free Software Foundation, which sponsored the project for one year from November 1994 to November 1995
  • laufen auch mit andern Kerneln: such as those based on BSD kernels and the GNU Hurd microkernel.
  • Ubuntu 2004
 
--- Potentielle Pause ---
 
Der Linux-Kernel heute: 
 
 
  • Betriebssystem: Linux-Kernel (vmlinuz) damalsTM Podcast Folge DTM_016_Linuxkernel  (7.3MB)
  • good kommt etwa 4745, nice 1369, love 763 mal vor
  • crap 192, shit 145, fuck 40,
  • Firefox 56 enthalten 31.342.142 Zeilen LibreOffice 5.4 kommen auf 17.171.162
  • Contributors (ca.) 4.16 by changesets
  • Intel    1424    10.6%
  • Red Hat    971    7.2%
  • (Unknown)    962    7.2%
  • (None)    895    6.7%
  • AMD    677    5.0%
  • IBM    566    4.2%
  • Contributors (ca.) 4.16 by changed lines
  • AMD    97644    14.2%
  • Intel    73566    10.7%
  • (Unknown)    33700    4.9%
  • Red Hat    33027    4.8%
  • (None)    31155    4.5%
  • IBM    26329    3.8%
  • Linaro    25245    3.7%
  • (Consultant)    20772    3.0%
  • 75% Treibercode (/drivers 14.966.279 Zeilen + /arch mit 3.722.764) (schwer zu testen ohne Hardware, Deswegen delegation)
  • 20% Netzwerk
  • 2017 Global Stats (Achtung nur Webtraffic!): 
  • Windows Kernel 36,8% Geräte, 
  • Apple XNU 18,46%
  • Linux Kernel (mit Android) 40,41%
  • 7,21% andere
  • Intel IBM etc stellen ebenfalls Entwickler
  • Interesse der betreibbarkeit ihrer Hardware
  • Bei Intel und IBM oftmals weit im Voraus zur Auslieferung
  • wenn ein Programm den Kernel etwas fragt ist das ein SystemCall (Bezug auf Meltdown und Spectre)
  • hat selbst einen geschützten Speicherbereich
  • Kernelspace
  • Modular
  • Userspace
  • Programme
  • andere Kernels: BSD, Unix System  DOS (DR-DOS, MS-DOS (auf dem Windows 95 bis ME basierte), FreeDos, OpenVMS,
 
 
  • Geht zu tief in den Linux Boot-Prozess, passt wahrscheinlich nicht zu Ubuntu
  • Linux ist das weitverbreiteste Betriebssystem 
  • Server
  • Router
  • Banken, Züge, Flugsicherung
  • Embedded
  • Android
 
--> Erinnerung an Bootprozess, wir sind nun nach dem Bootloader:
    
    
  • Einschaltknopf und dann?
  • Mainboard
  • Bios Basic input output system / UEFI
  • master boot record (MBR) bzw. GUID Partition Table (GPT)  / UEFI
  • Bootloader  z.B. Grub, PXE oder WindowsBootloader
  • Betriebssystem (Kernel, Programme)
       
    
 
  • initrd.img (40MB)
  • initrd provides the capability to load a RAM disk by the boot loader.
  • initrd is mainly designed to allow system startup to occur in two phases, where the kernel comes up with a minimum set of compiled-in drivers, and where additional modules are loaded from initrd.
  • lädt das richtige / Root File System (z.b. ext4 auf Festplatte)
  • und die entsprechenden Kernelmodule
  • Login-Manager
  • lightdm
  • gdm
  • Window Manager
  • Unity? X11 kompatibilität nicht gegeben
 
  • Programme
  • FireFox, Chrome, Thunderbird, Gimp, Pidgin, LibreOffice, FreeCad, KiCad etc.
 
Allgemeine Vorstellung Ubuntu
 
Ubuntu  (Zulu pronunciation: [ùɓúntʼù])[1][2] is a Nguni Bantu  term meaning  "humanity". It is often translated as "I am because we  are," and also  "humanity towards others", but is often used in a more  philosophical  sense to mean "the belief in a universal bond of sharing  that connects  all humanity"
 
  • Entwickler: Canonical Ltd. 
  • UK-based privately held computer software company founded  5 March 2004
  • funded by South African entrepreneur Mark Shuttleworth (2. Weltraumtourist mit Sojus TM-34/Sojus TM-33 (2002)8 Tage ISS ca 20 Mill. $, einzigster Afrikaner im All ??)
  • provided an initial funding of US$10 million 
  • Net worth£160 million (2015)
  • Time in space: 9d 21h 25m
  • He was a member of the crew of Soyuz TM-34, launched from Baikonur in  Kazakhstan and docked with the International Space Station two days  later.
  • tendenziell kein Bart (maximal 3 Tage)
  • Shuttleworth  founded Thawte Consulting in 1995, a currently running company which  specialized in digital certificates and Internet security. In December  1999, Thawte was acquired by VeriSign, earning Shuttleworth R3.5 billion  (about US$575 (equivalent to $844.70 in 2017) million).
  • Thawte was one of the first companies to be recognized by both Netscape  and Microsoft as a trusted third party for web site certification,
  • Business Model?
  • Einkommen US $125.97 million (2017),  aber nur US $2M Profit
  • Number of employees 566 (2017)
  • Spenden der Nutzer
  • Shuttleworth "funds it"
  • providing enterprise software services, training, support, consultancy, and various other services directly related to Ubuntu
  • Amazon Suche in Unity? Nutzerdaten?
  • Ursprung in Debian (September 1993), Ubuntu cooperates with Debian by pushing changes back to Debian
  • teilweise kompatibel, aber nicht völlig
  • Initial release: 20 October 2004 (13 years ago)
  • Updates ca aller 6 Monate
  • Ab ubuntu 6.06 gerade Versionen .04 LTS 
  • Updates for new hardware, security patches and updates to the 'Ubuntu stack'
  • sonst  .10 und  ungrade 04 rollend erst 9 nun 18 Monate 
  • security fixes, high-impact bug fixes and conservative, substantially beneficial low-risk bug fixes
  • Ubuntu Derivate über den Window Manager : Wayland
  • xubuntu (XFCE)
  • kubuntu (KDE)
  • lubuntu (LXDE)
  • Ubuntu Gnome (Gnome)
  • Ubuntu Mate (Mate)
  • Ubuntu Budgie (Budgie)
  • Linux mint etc
  • i3wm
  • awesome
  • - läuft auf:
  • I386, IA-32, AMD64; ARMhf (ARMv7 + VFPv3-D16), ARM64; Power, ppc64le; s390x[4]
  • itauch Tablets und Smartphones -> Ubuntu Touch
  • GPL
  • + blob Hardware Treiber
  • Security "out of the box":
  • FullDisk/Folder/HomeDir Encryption
  • sudo
  • Network Ports sind per default geschlossen -> UFW
  • Ubuntu compiles its packages using GCC features such as PIE and buffer overflow protection to harden its software
  • security performance expense of 1% in 32-bit and 0.01% in 64-bit.
 
 
removed in 16.04
 
 
 
Änderungen in 18.04
 
 
  • Bionic Beaver
  • 26th April: Stable Ubuntu 18.04 LTS release
  • GNOME 3.28 
  • Boot speed boost
  • Using systemd’s features, bottlenecks will be identified and tackled to boot Bionic as quickly as possible.
  •  A new minimal installation option
  • regular Ubuntu install without most of the regular software. You’ll just get a web browser and a handful of utilities.
  • Using PPA is slightly easier now
  • im wesentlichen autoupdate nach dem adden
  • Linux Kernel 4.15
  • Xorg becomes the default display server again
  • Ubuntu 17.10 switched to the newer Wayland
  • viele Probleme
  • Minor changes in the looks of Nautilus File Manager
  • sieht mal wieder ein wenig schicker aus
  • Ubuntu will be collecting system usage data (unless you choose to stop that)
  •  criticized in the past for including Amazon web app
  • online search by default
  • Ubuntu 18.04 will be collecting some system usage data unless you choose to opt out of it. 
  • Version and flavor of Ubuntu you’re installing 
  • Whether you have network connectivity at install time
  • Hardware statistics such as CPU, RAM, GPU, etc
  • Device manufacturer
  • Your country
  • Time taken to complete the installation
  • Whether you choose auto login, installing third-party codecs, downloading updates during install
  • Disk layout
  • Ubuntu Popcon service will track the popularity of applications and packages
  • Crash reports
  • New installer for Ubuntu 18.04 Server edition
  • subiquity installer
  • schicker
  • 10. Native support for color emojis
  • Until now, only monochrome emojis are supported out of the box on Ubuntu. 
  •  same open source emojis that are being used on Android. 
  • The proposed brand new theme and icons developed by the community will no longer be the default
  • vorher wenig Änderungen im Design, (jetzt ehrlich gesagt auch kein riesen Sprung aber egal)
  • 12. Easier live patching
  • Kernel live patching is an essential feature on Linux server. Basically,  you install a critical Linux kernel update without rebooting the  system. This saves downtime on servers.
  • Default wallpapers of Ubuntu 18.04 (for hardcore Ubuntu fans)
  • naja anderere Hintergrundbilder halt
  • Default Applications
  •  Category     Top Voted Default Application 
  •  Browser      Mozilla Firefox
  •  Video Player      VLC
  •  IDE      Visual Studio Code 
  •  Video Editor      Kdenlive 
  •  Screen Recorder      Open Broadcaster Software (OBS)  
  •  Email Client      Thunderbird 
  •  Text Editor      gedit
  •  Office Suite      LibreOffice 
  •  Music Player      VLC 
  •  Photo Viewer      Shotwell 
  •  Terminal      GNOME Terminal 
  •  PDF Reader      Evince 
  •  Photo Editor      Gimp 
  •  IRC/IM      Pidgin
  •  Calendar      GNOME Calendar 
 
 
Fazit 
 
- Ubuntu ist umstritten, weil kommerzielle Verwertung von freier Software
- Geld spenden 
- Maintainer bekommen Geld von Investoren
- Debian vs. ubuntu
- Ubuntu Pakete die ich immer runterschmeiße: apport, whoopsie,unity
 
 
 
 
 
- Mediawiki 1.30, Extensions, Semantic Wiki, Ziele, Einschränkungen, Praxistauglichkeit
- OpenSource Anwender-Software -> LibreOffice, FreeCad, KiCad, Thunderbird, Firefox etc. vorstellen erklären
- Robot Operating System (ROS) -> Roboterfunktionen in Paketen, OpenSource und verbreitet
- Mikrocontroller -> von Arduino über ESP32 zu PSoC und FPGA
- wir haben natürlich noch die verschollene IoT-Sendung aus dem Februar ausgearbeitet da
 
 
Hinweis auf Podcast zur Geschichte vor Linux / des Linux-Kernels: damals(tm) Folge 016 Linuxkernel
 
 
 
== März 2018 ==
 
Wir suchen die Sendung vom Februar. Falls sie jemand ausversehen aufgenommen hat, möge er sich bitte bei uns melden.
honky@c3d2.de 
c3d2@lists.c3d2.de
 
  • 2012 erbringt Kosinski (Professor at Stanford University Graduate School of Business. Computational Psychologist and Big Data Scientist.) den Nachweis, dass man aus durchschnittlich 68  Facebook-Seiten-Likes eines Users vorhersagen kann:
  • welche Hautfarbe er  hat (95-prozentige Treffsicherheit), 
  • ob er homosexuell ist  (88-prozentige Wahrscheinlichkeit),
  • ob Demokrat oder Republikaner (85  Prozent)
  • Intelligenz,  Religionszugehörigkeit, Alkohol-, Zigaretten- und  Drogenkonsum lassen  sich berechnen. Sogar, ob die Eltern einer Person  bis zu deren 21.  Lebensjahr zusammengeblieben sind oder nicht
  • Am   Tag, als Kosinski diese Erkenntnisse publiziert, erhält er zwei    Anrufe. Eine Klageandrohung und ein Stellenangebot. Beide von Facebook.
 
  • 2012 Kosinski baut App " My-Personality" für OCEAN Profile für Nutzer
  • OCEAN-Modell 
  • Offenheit für Erfahrungen (Aufgeschlossenheit),
  • Gewissenhaftigkeit (Perfektionismus),
  • Extraversion (Geselligkeit),
  • Verträglichkeit (Rücksichtnahme, Kooperationsbereitschaft, Empathie) und
  • Neurotizismus (emotionale Labilität und Verletzlichkeit)
 
  • (als  das im institut) Aleksandr Kogan zieht erst einmal nach Singapur,  heiratet und nennt sich  fortan Dr. Spectre. Michal Kosinski wechselt an  die Stanford University  in den USA
  • Kosinski: Persönliches Targeting kann die Klickraten von Facebook-Anzeigen um über  60 Prozent steigern und die sogenannte Conversion-Rate um bis zu 1400  Prozent
 
 
- Cambridge Analytica?!
  • Cambridge ist eine ostenglische Stadt am Fluss Cam und Heimat der renommierten University of Cambridge aus dem Jahr 1209
  • 2012/13 von der britischen SCL Group gegründetes Datenanalyse-Unternehmen
  • Als Gründer gelten 
  • Robert Mercer (Hauptfinanzier)  ist ein amerikanischer rechtskonservativer Informatiker, der als erfolgreicher  Hedgefonds-Manager zum Multimilliardär aufstieg. Er war bei der  Präsidentschaftswahl 2016 einer der wichtigsten Unterstützer Donald  Trumps. 
  • Steve Bannon: (Vizepräsident) US-amerikanischer Publizist, Filmproduzent und politischer  Berater. Er leitete von 2012 bis August 2016 und von August 2017 bis  Anfang 2018 die Website Breitbart News Network.  (Er gab nach Angaben von Christopher Wylie 2014 die Million für den Ankauf der Facebookdaten frei.)
  • Alexander Nix. Nix, einer der bisherigen Direktoren von SCL, übernahm die Leitung. 
  • besuchte das Eton College und studierte an der University of Manchester Kunstgeschichte. 
  • CA-Slogan: Data drives all we do. („Daten treiben alles an, was wir tun.“)
  • Zusammenarbeit mit Psychometrikern (psychologischen Messens) der University of Cambridge -> daher der Name
  • überwiegend in den USA tätig (Datenschutz)
  • im Vorwahlkampf zur Präsidentschaftswahl in den Vereinigten Staaten 2016 für Ted Cruz tätig
  • nach dessen Ausscheiden mit der Unterstützung von Donald Trump beauftragt.
 
  • SCL Group (Abkürzung für Strategic Communication Laboratories Group) ist ein britisch-US-amerikanisches Unternehmen für Verhaltensforschung und strategische Kommunikation
  • 1993 in London gegründet
  •  New York Times befasste sich SCL im Auftrag der britischen Regierung mit pakistanischen Dschihadisten und unterstützte die USA bei der militärischen Aufklärung im Iran, in Libyen und in Syrien.
  • Datenbeschaffung:
  • März 2018 wurde durch den Whistleblower Christopher Wylie
  • former Director of Research at Cambridge Analytica
  • giving The Guardian documents
  • He left school at 16 without a qualification, but by 17 was working for the Canadian opposition leader Michael Ignatieff. He taught himself to code at age 19. At 20, he began studying law at the London School of Economics.
  • Global Science Research (GSR) erworben von Aleksandr Kogan (aus Cambrigde)
 
  • 320.000 solcher Tests zur Erstellung von psychologischen Profilen (100k?! REF)
  •  (psychographic profiles)
  •  (Nutzer stimmten freiwillig zu)
  • Facebook 160-fachte diese Datensätze wobei Inhaber davon keine Kenntnis hatten
  • Nix behauptete Profile von 220 Millionen US-Bürgern erstellt zu haben per 
  • Kritiker bezweifeln das
  • 32 Persönlichkeitstypen, man konzentriert sich nur auf 17 Staaten. 
  • «Cambridge Analytica does not use data from Facebook. It has had no  dealings with Dr. Michal Kosinski. It does not subcontract research. It  does not use the same methodology. Psychographics was hardly used at  all. Cambridge Analytica did not engage in efforts to discourage any  Americans from casting their vote in the presidential election. Its  efforts were solely directed towards increasing the number of voters in  the election.»
 
Auftragsarbeiten in Wahlkämpfen:
  • Jahr 2014 war Cambridge Analytica (CA) laut Nix an 44 US-Wahlkampf-Kandidaturen beteiligt.
  • Ted Cruz 2015 (ging auf das Drängen von Rebekah Mercer (Tochter) zurück, da millionenschwerer Spender)
  • erhielt mindestens 5,8 Millionen Dollar
  •  Brexit-Kampagne in Großbritannien (Leave.eu) nutzten angeblich die Dienste
  • wurde aber dementiert
  • danach Mercers für Trump (per SuperPAC)
  • Das Trump-Team überwies laut offiziellen Berichten von Juli bis Dezember 2016 insgesamt 5,9 Millionen Dollar an CA
  • Insgesamt, so sagt Nix, habe man etwa 15 Millionen Dollar eingenommen.
  •  Juli 2016 wird für Trump-Wahlhelfer eine App bereitgestellt, mit der  sie erkennen können, welche politische Einstellung und welchen  Persönlichkeitstyp die Bewohner eines Hauses haben. 
  • angepasste Gesprächsleitfaden für Hausbesuche
  • (Nix wollte die Hillary Mails für Trumps Wahlkampf, Wikileaks verweigerte die Freigabe für ihn)
 
Alexander Nix als CEO Suspendiert 20. März 2018
Nachdem Channel 4  heimlich mitgeschnittene Gespräche gezeigt hatte, in denen Nix  geschildert hatte, dass die Firma Politiker unter Druck setze, indem sie  sie durch Angebote von Bestechungsgeldern oder durch den Einsatz von Prostituierten in kompromittierende Situationen bringe, suspendierte der Vorstand von Cambridge Analytica ihn als CEO am 20. März 2018
 
 
Kampagne erklären
microtargeting
dark adds
 
Medienecho
„Daten-Skandal“, „Daten-Leck“ oder „Daten-Diebstahl“
  • Facebook Geschäftsmodell
  • Schattenprofile und Like-Buttons
  • etwa 2 Milliarden Accounts
 
  • Mark Zuckerberg sagt sorry (CNN)
  • This was a major breach of Trust
  • basic responsibility to protect peoples data
  • make sure it doesn't happen again
  • Kogan inproper use
  • restrict amount of access a developer can get
  • make sure there aren't more CAs out there
  • investigate any big dataset app
  •  
 
Simon, wirst du Facebook weiter benutzen?
 
Sollten Leute Facebook löschen?
 
Gibt es Alternativen? -> eigene Sendung gab es vielleicht mal ansonsten seid gespannt
 
Hinterfragt geschäftsmodelle,  
 
Wenn es nichts kostet seid ihr mind. Teil des Produkt!
 
 
  • Unterschiede zur Online-Kampagne von Obama
  • Änderung der Rechtslage ? 
  • Nur Netzwerkabfrage ?!
  • führenden Big-Data-Bude «BlueLabs» und bekam Unterstützung von Google und DreamWorks
  • BETSY HOOVER online organizing director for Barack Obama's 2012 presidential campaign
  • So in 2008, Facebook was one-tenth the size of what it was in 2012, for  example. But Facebook was a huge part of our digital strategy
  • Targeted Sharing
  • fully followed Facebook's terms of service
  • You're giving us access to your friends on Facebook.
  • Facebook changed its terms of service, so that is no longer possible
  • So you gave them names of their friends that might be persuadable?     HOOVER: Yeah.
  • People do not understand how the privacy settings work
  • needs to be legislated
 
  • Weg der Daten
  • Übermittlung zu Forschungszwecken -> zulässig?
  • Weitergabe an externe Fima -> Problem?
  • Screening nach vermuteten politischen Interessen
  • Zielgruppenspezifische Botschaften (microtarget) (dark ads)
  • Vielfalt der Aussagen nicht nachvollziehbar
 
 
## Quellen:
microtargeting 
 
 
## eigene Facebook daten
 
## weiterer Skandal:
* Alter Cambridge analytica article
 
  • “Facebook ist aus jedem Blickwinkel Täter”: IT-Blogger Fefe über die Lehren aus dem Cambridge-Analytica-Debakel (meedia)
  • Die Medien sprechen wahlweise von einem „Daten-Skandal“,  „Daten-Leck“ oder „Daten-Diebstahl“. Um was handelt es sich beim  Facebook/Cambridge Analytica-Komplex Ihrer Meinung nach?
  • Sascha Lobo schreibt in  seiner Spiegel Online-Kolumne, dass der eigentliche Skandal im System  Facebook liege, weil Facebook selbst gar nicht genau wisse, wie es  wirklich wirke.
  • Was ist Ihre Einschätzung: Konnte eine Firma wie Cambridge Analytica überhaupt die US-Wahl beeinflussen?
  • Wäre eine solche Beeinflussung von Wählergruppen auch in Deutschland möglich?
  • Wie sollten die deutschen Medien mit dem Fall Facebook/Cambridge Analytica umgehen?
  • Like Buttons, deren Veröffentlichungen auf FB überdenken
  • Stichwort #DeleteFacebook: Sollten die Menschen ihre Facebook-Accounts löschen?
  • What the F*** Was Facebook Thinking? (medium)
  •  Facebook-Chef über Datenskandal Was Zuckerberg gesagt hat – und was nicht (SPON)
  • Mark Zuckerberg: ‘I’m sure someone’s trying’ to disrupt 2018 midterm elections (CNN)
  • Cambridge Analytica: Warrant sought to inspect company (Channel 4)
 
* Facebook and Brexit
* Facebook sammelt Telefondaten
 
Kommentar Frank Nord: 
 
Inhaltlich ging es um folgendes: Wenn wir von Alternativen sprechen  wollen, müssen wir mal realistisch herangehen und erheben, welche  Funktionalität es bräuchte, um FB wirklich Konkurenz zu machen. Ich habe  darüber öfter mit einem Bekannten Gespräche. Vor allem würde er ein  "soziales Netz" nicht nutzen, dass 
 
a) einen hohen Installationsaufwand hat 
 
und b) den anonymen Gedanken zu konsequent zuende denkt. Argument: "Ich  nutze Facebook doch ganz bewusst, um mit mir bekannten Freunden leicht  Kontakt zu halten. Dazu gehört auch, persönlich erkennbar zu sein, auch  für neue Leute, die mich suchen. Diskussionsgruppen sind nicht das  Hauptanwendungsgebiet. Der Punkt ist, dass ich netten Menschen einfach  sagen kann 'du findest mich auf Facebook'. Der Punkt ist, dass ich  leicht meine Einladungsliste für den Geburtstag zusammenklicken und alle  auf dem aktuellen Stand halten kann. Es ist die Einfachheit und die Nähe  am Leben, die Facebook stark macht." 
 
Hintergrund: Es gab mal ein Webcomic, dass simplifiziert dezentrale,  anonyme soziale Netze erklären wollte. Sein Kommentar lautete, dass  diese Idee völlig an der Realität der Nutzer vorbeigeht, die wir  möglicherweise überzeugen wollen. 
 
Kommentar Frank Nord Ende
 
-> Welche Daten fallen bei der Nutzung von Facebook so an?
-> Was kann man daraus so machen? 
-> Wer bekommt diese Daten wofür?
-> Welche Daten kauft Facebook sonst noch?
 
-> Wer sind andere Player, welche Produkte könnten noch betroffen sein?
 
-> Ähnliches Programm gab es auch in Deutschland (wo war das gleich, wo man einen Facebook API Key spenden konnte und dann damit geschaut wird, wer welche Wahlwerbung angezeigt bekommt?)
 
Diskussion: Ist Transparenz der Schlüssel zum Erfolg? PostPrivacy vs. Datenschutz
  • Privatperson
  • Kandidat oder Firma
 
"Private Daten schützen, öffentliche Daten nützen"
 
 
Alternativen zu Facebook?
 
 
- falsch gehende Uhren und die schwankende Netzfrequenz
 
-> Es gibt auch noch eine fertig vorbereitete IoT-Sendung, welche es nicht in den Podcast geschafft hat
 
== Februar 2018 ==
 
Sendungstitel "Das S in IoT steht für Sicherheit" (Thema IoT allgemein).
 
Übersetzung
Definition: Vision einer globalen Infrastruktur der Informationsgesellschaften, die es ermöglicht, physische und virtuelle Gegenstände miteinander zu vernetzen und sie durch Informations- und Kommunikationstechniken zusammenarbeiten zu lassen (https://de.wikipedia.org/wiki/Internet_der_Dinge )
 
Beispiele: 
 
Eingangsbereich:
    - Videokameras
    - Automatische Schlösser
    - Bewegungsmelder
    - ferngesteuerte Steckdosen z.B. FritzBox
 
- Amazon Echo and Echo Dot "Alexa"
- Apple HomeKit "Siri"
- Google Home "OK Google"
 
Wohnzimmer:
    - Heizungssteuerung (Nest) Thermostate
    - Logitech Harmony Elite
    - Philips Hue (mit deren Batterielosen Schaltern) / MiLight / gibt auch ESP Varianten
    - Staubsaugerroboter
 
- Küche: 
    - Thermomix(Thermofix), Waagen, Kochtöpfe, Eierkocher/Waagen
    - Kühlschränke mit Internet ---> unsere Matemat
    - Kaffeemaschinen
 
Bad:
    - intelligente Toilette
    - Amazon Dash Button
    - Smarte Waage (Withings WiFi Body Scale Digitale Personenwaage)
        - https://www.prolixium.com/mynews?id=915 nichtmal HTTPS!
    - Waschmaschine
    
Garten:
    - Rasenmäherroboter, Poolreinigung, Gartenbewässerung
    - Eierverschenkmaschine
    - Feinstaubmessgeräte
    - Temperaturfühler, Wetterstationen
 
- Smartphones mit Geofencing
- Smarte Spiegel
- FitBit
- Autonome Fahrzeuge
 
Bedeutung für die Gesellschaft
- Datenschutz (Wem gehören die Daten? Warum werden sie überhaupt gesammelt?)
- "Wo ein Trog ist, kommen die Schweine" 
    - Hoheit über die Privatsphäre in den eigenen vier Wänden
    - Smartphone als eh vorhandene Wanze?
- Updatebarkeit
- Laufzeit der Software
- Sicherheitslücken (z.B UDP Wellen für Denial of Service Attacken)
- IPv4 vs. IPv6 Adressverbrauch
    - IPv4 (2^32 = 256^4 = 4.294.967.296), von denen 3.707.764.736 verwendet werden können, um Computer und andere Geräte direkt anzusprechen.
    - IPv6 Vergrößerung des Adressraums von IPv4 mit 2^32 (≈ 4,3 Milliarden = 4,3·10^9) Adressen auf 2^128 (≈ 340 Sextillionen = 3,4·10^38) Adressen bei IPv6, d. h. Vergrößerung um den Faktor 2^96 (≈7,9·10^28). (bisher nur bei 30% der Zugriffe auf google.com benutzt)
 
[Musik]
 
Technik dahinter:  3 Wege: Kaufen und Nutzen, Bestehendes Öffnen oder Komplett Selberbauen:
 
- Original Xiaomi MIJIA Mi Roboter
    - 34c3 "Unleash your smart-home devices: Vacuum Cleaning Robot Hacking"
         - Lücke sind schlecht signierte Updates md5 hashes \o/
        - Dustcloud (in /etc/hosts anstatt der "richtigen Cloud"
        -  Player Stage Framework (vorläufer von ROS)
        - gute Wegfindung
        - eigene MP3s
        - Abhörbefehl in der Software fürs WLAN
        - Upload der Wohnungskarten auf 5cm genau (+ Log Dateien)
- Feinstaubsensor: 
 
 
- Matemat
 
- Smartmirror: 
    venezianisches Spiegel (wie bei der Polizei)
    - Raspberry Pi Einplatinenkomputer 12,5 Millionen mal verkauft, ähnlich viel wie C64
    - Alter Monitor
    - Magic Mirror OS    
 
HQ Schalter
LED Streifen
 
- FitBit
    - Lücke sind schlecht signierte Updates
    - BLE
    - 34c3 "Doping your Fitbit"
 
 
DIY-IoT: Was braucht man, wo fängt man an?
 
-> Arduino Projekt + Ethernet/Wifi Shield
    -  Name: Das erste Board wurde 2005 von Massimo Banzi und David Cuartielles entwickelt. Der Name „Arduino“ wurde von einer Bar in Ivrea übernommen, in der sich einige der Projektgründer gewöhnlich trafen. (Die Bar selbst wurde nach Arduin von Ivrea benannt, der von 1002 bis 1014 auch König von Italien war.)[4] David Mellis entwickelte die auf C/C++ basierende Diktion dazu. Das Schema wurde im Netz veröffentlicht und unter eine Creative-Commons-Lizenz gestellt. Die erste Auflage betrug 200 Stück, davon gingen 50 an eine Schule. Bis 2008 wurden etwa 50.000 Boards verkauft
    ->  Atmel-AVR-Mikrocontroller aus der megaAVR-Serie wie dem ATmega328
    - Programmierung in C-Slang, oder Visuell, oder anderer runtercompilter Programmiersprache 
 
-> GPIO erklären (general purpose input output)
 
-> ESP8266 - ESP32 
 
-> Webcam am PC
 
-> Raspberry Pi (Zero W) -> 
 
PentaLight
PentaBug
Pentablink
 
Great Scott
Alexander Spieß
Defendtheplanet.net :)
 
 
 
Softwarebrücken: 
If this than that (IFTT)
MQTT
Eigener Webserver
 
 
#InternetOfThings is when your toaster mines bitcoins to pay off its gambling debts to the fridge
 
== Januar 2018 ==
Sendungstitel: Prozessor gib mir alle deine Daten! (Meltdown und Spectre)
Willkommen zur ersten Folge Pentaradio 2018
 
News
  • Es war Congress
  • Danach kamen Spectre und Meltdown
  • Vorstellung Gast
  • Pentaradio übernimmt coloRadio-TKs jeden vierten Dienstag im Monat :P
Thema Meltdown / Spectre
  • Geschichte
  • Weg von der Endeckung bis zur Veroeffentlichung
  • Technische Details
  • Seitenkanal attacke Unterschied zum Exploit
  • speculative execution
  • out-of-order execution
  • Prozessor Schutzmechanismen
  • Konkretes Problem im Prozessor und Exploit
  • Wer ist betroffen
  • fast jeder da Hardware-Lücke (Meltdown Intel, Spectre viele mehr)
  • nicht nur x86 auch ARM und Power
  • Exploits
  •  schwer zu erkennen
  • Debug von Software auf gehäufte "Syscalls", weil Caching etc erforced werden?
  • Gegenmassnahmen
  • KAISER / KPTI - Updated euere Betriebssysteme
  • Updatet Browser und Grafikkartentreiber
  • Virenscanner? (Sollten wir zumindest nennen, falls Laien nicht schon verloren wurden)
  • Microcode patches koennen unter Linux zur Laufzeit ausrollen
  • Microsoft und Apple kann das nicht. Da muesste der Nutzen ein BIOS Update machen um ein Microcode update zu erhalten.
  • 1000 Usablitiy Sternchen fuer Linux \o/
  • (Oder auch nicht? Einige Updates werden gerade zurückgezogen)
  • Schadensbeseitgung
  • Prozessor Patchen
  • Betriebssystem Update
  • Compiler Update
  • Alle Anwendungen neu uebersetzen
  • Performance Implikationen
  • TLB-Flushes durch context switches
  • syscalls
  • IPC
  • I/O
  • reine compute performance ist nicht so betroffen
  • Folgen fuer die Prozessorhersteller und Prozessoren der Zukunft
  • x86 ist end of live
  • Prozessordesign mit Security als Anforderung ist notwendig 
  • Zukunft solcher Attacken - mehr Hardware Bugs
  • Das ist erst der Anfang, es wird noch viel mehr side-channels geben in der Zukunft
  • Gute Schlussfolgerungen
Wir brauchen offene Hardware und offene Software fuer alles und alle!
 
 
Vorschläge:
- einem 2017 IT-Jahresrückblick (schlimmste Lücken, Probleme,  beste Neuigkeiten)
- Robot Operating System (ROS)
 
  • Alles Scheiße - Lass uns ranten…
  • Wikipedia
  • Mobilfunk (Deutschland, andere Länder)
  • Vectoring
  • Netzpolitik
  • Cyber
 
== Dezember 2017 ==
Sendungstitel: NEIN.NEIN.NEIN.NEIN. (DNS und quad9)
Willkommen zum Pentaradio Folge
* Kurze Anmerkung aus der letzten Sendung:Google evtl. nicht alle TOR Nodes :)
* Einleitung - Wo sind wir: Eigenbaukombinat, denn es ist Congress in Leipzig 27.12.
    * Kühlraum des Fleischkombinats in Halle
* Anlass für die heutige Sendung ist das neugegründeten DNS Provider Quad9
DNS Provider?
* Wie komme ich zu einer Webseite wenn ich das im Browser eintippe?
Probleme: Wo im Internet ist https://eigenbaukombinat.de? Spreche ich wirklich mit C3D2.de ?
  • Pakete (7-Schichtmodell) 
  • Physikal am Bsp. Webseite Kupfer 1500(?), Funk (2,312bytes?), CAN-Bus,
  • DataLink am Bsp. Webseite EthernetFrames / Fast Ehternet / PPP (danach nur noch 1.492) / FDDI, Token Ring etc
  • Network am Bsp. Webseite IPv4((inkl. ICMP ARP RARP) IPv6 IPSec IPX RIP 
  • Transport am Bsp. Webseite TCP / UDP -> 
  • ---- Wo ist denn mein Kommunikationspartner im Internet???? --> DNS
  • (Session am Bsp. Webseite & Transportation am Bsp. Webseite)
  • Application am Bsp. Webseite FTP, HTTP, POP3, IMAP, telnet, SMTP, DNS, TFTP
  • Überleitung: in den Paketen stehen dann nur Nummern, keine www.c3d2.de
  • DNS Domain Name System
  • Telefonbuch des Internets
  • Was steht da so drin?
  • A Record 217.197.84.51
  • AAAA Record 2001:67c:1400:2240::3
  • TXT "v=spf1 mx -all"
  • NS (Secondary Nameserver)
  • MX MX 10 mail.c3d2.de.
  • SOA?
  • ISDN :)
  • dig +nocmd defendtheplanet.net any +multiline +noall +answer
  • Anfällig gegen Zensur 
  • Normalerweise durch den provider angeboten 
  • Telekom  Suchseite
  • Kabeldeutschland?
  • manchmal etwas langsam 
  • Es gibt auch Alternativen:
  • Telekom (langsam, zensiert)
  • Comodo, Yandex, Verisign, Norton,
  • OpenDNS (Cisco?)
  •  8.8.8.8 (manchmal als Grafitti an der Wand, weil lokale Provider zensiert) 
  • Google DNS (bzw. 8.8.4.4)
  • Discuss
 
  • 100+ nodes
  • 2620:fe::fe
  • 9.9.9.9
  • Unsecure Option (No blocklist, no DNSSEC, send EDNS Client-Subnet)
  • 2620:fe::10
  • 9.9.9.10
  • sind schnell
  • soll vor Botnetzattacken, Malware, Download-Seiten schützen
  • Kein-Logging
  • als Collaborationspartner zählen
  • PCH (Packet Clearing House)
  • non profit research institute von 1994
  • steckten 2013 in 1/3 der 350 weltweiten Internet exchange Points
  • arbeiten daran ROOT-DNS stabiler, schneller, sicherer zu machen
  • geben workshops etc
  • bieten Peerings an 164 Internet Exchange Points
  • Partners und Geldgeber
  • Cisco
  • LevelOne
  • Comcast
  • CBS Interact
  • Verizon
  • VMWare
  • amsix
  • decix 
  • amazon
  • Goldman Sachs
  • United Nations Development Programm (UNDP)
  • Global Cyber Alliance
  • Partner
  • United States Secret Service
  • CERT EU (weil BSI usw) 
  • Frauenhofer Aisec (Angewandte integrierte Sicherheit)
  • NH-isac 
  • Prometeus (wurden kurz vor Quad 9 gegründet)
  • Banken VirginMoney - komisch
  • Sophos
  • industry
  • Lockheed Martin
  • Goverment
  • City of London Police
  • France Ministry of Justice: Division of Criminal Affairs & Pardon
  • France National Police
  • Manhattan District Attorney’s Office
  • Multi-State Information Sharing and Analysis Center
  • National Information Technology Authority – Uganda
  • New York City Department of Information Technology and Telecommunications (NYC DOITT)
  • Procureur de la Republique Paris
  • Sioux County, Iowa
  • United States Secret Service
  • IBM (International Business Machines)
  • IBM Funding (insgesamt 25 Milllion Dollars)
  • Warum machen die Das?
  • IBM X-Force
  • commercial security research
  • 32 Milliarden Analysed Web Pages and images
  • 8 M Spam and Fishing
  • IBM X-Force Exchange is a threat intelligence sharing platform
  • Kritik:
  • "White- und Gold"-Listen für die Großen
  • Das Versprechen einer DNS Firewall
  • Alternativen
  • Https-everywhere als SSL-Pinning (sobald erster Versuch durch ist)
  • TOR?
  • DNSMasq
  • eigener DNS Server für Organisation / WG / Familie
 
--- optional ---
 
  • Congress 34C3
  • Wann und Wo?
  • Vorträge auf die man sich freut
  • Intel Managing Engine
  • KRACK
  • keine FnordNewsShow?!?!
  • Assemblies
  • TUWAT.txt
        Daß die innere Sicherheit erst durch Komputereinsatz möglich wird, glauben die Mächtigen heute alle. Daß Komputer nicht streiken, setzt sich als Erkenntnis langsam auch bei mittleren Unternehmen durch. Daß durch Komputereinsatz das Telefon noch schöner wird, glaubt die Post heute mit ihrem Bildschirmtextsystem in "Feldversuchen" beweisen zu müssen. Daß der "personal computer" nun in Deutschland den videogesättigten BMW-Fahrer angedreht werden soll, wird durch die nun einsetzenden Anzeigenkampagnen klar. Daß sich mit Kleinkomputern trotzalledem sinnvolle Sachen machen lassen, die keine zentralisierten Großorganisationen erfordern, glauben wir. Damit wir als Komputerfrieks nicht länger unkoordiniert vor uns hinwuseln, tun wir wat und treffen uns am 12.9.81 in Belin. Wattstr. (TAZ-Hauptgebäude) ab 11:00 Uhr. Wir reden über internationale Netzwerke – Kommunikationsrecht – Datenrecht (Wem gehören meine Daten(?) – Copyright – Informations- u. Lernsysteme – Datenbanken – Encryption – Komputerspiele – Programmiersprachen – processcontrol – Hardware – und was auch immer.
Tom Twiddlebit, Wau Wolf Ungenannt(-2)
 
 
== November 2017 ==
 
* neue Onion-Services ((Zwiebel)dienste 3.0)
 
An wen richten wir uns? 
- an die Szene und an die Leute von Außerhalb, beide sollen vom Radio nicht verschreckt werden
 
TODO 
  • honky
  • [x] kürzbare (z.B. ohne Text) Music raussuchen - so 5 Stück mit Autor
  • freemusicarchive top 100
  • [x] Onion Service 5 Satz Erklärung
  • Simon
  • Anfänge von Tor wo Navy drauf aufsetzt
  • Ich hab nichts gefunden .... lassen wir dann wohl weg
 
  • Was ist Tor?
  • anonymes Internet im Internet
  • *hand wave* Deep web *still waving* Dark Web
  • Tor kann derzeit theoretisch 200GB/s pushen, effektiv ist es weniger als die Hälfte
  • davon sind etwa 3% Onion Service Traffic
  • in Zahlen: ~1GB/s
  • Das ist ein Schneeball vom Eisberg
  • Funktionsweise
  • als Nutzer einfach runterladen, ein Firefox ohne Install
  • Zwiebelschalenprinzip
  • Verteilung von Traffic auf verschiedene Relays
  • Gründe für Tor
  • Politische Systeme / Zensur, Überwachung
  • Werbenetzwerke / Malware
  • Diversität der Nutzerschaft (nicht nur politische Aktivisten!)
  • Geschichte Tors
  • Ausgangspunkt: »Untraceable electronic mail, return addresses, and digital pseudonyms« von Chaum
  • Später anon.penet.fi von Julf Helsingius
  • danach Cypherpunks-Remailer und Mixmaster-Remailer als praktische Anwendungen
  • Pfitzmann mit ISDN-Mixen
  • Einer der ersten Ideen zu Tor is »Hiding Routing Information« von Goldschlag, Reed und Syverson
  • Ursprungsidee aus Slovenien? 87/88 Mailboxen? 
  • dann der Community übergeben
  • seit 15 Jahren in freier Hand und 
  • überprüft und vertrauenswürdig
  • 200Gbit/s advertised Bandwith / 100 genutzt / 3% davon Onion Service
  • Anzahl der Nutzer
  • Gründe gegen Tor
  • Performance (in Deutschland und USA geringeres Hindernis als in Asien/Afrika)
  • Einschränkungen bei der Nutznug
  • Wikipedia nicht editierbar; Man kann Beantragen, dass der eigene Account von den IP-Blockierungen ausgenommen wird
  • weil man was anderes nutzt und das dem Zweck genügt
  • SPAM Lister
  • Tor is not foolproof
  • opsec mistakes
  • browser metadata fingerprints (chrome has proxy bypasses by design)
  • browser exploits
  • traffic analysis
  • Mythen über Tor
  • Navy wrote it ("Dingledine did it") ... but partly at NRL
  • NSA runs half the relays (they simply don't and if they don't have an incentive)
  • Tor is slow (it was but it's fasten when more happen to use it)
  • 80% of Tor users are doing bad things (normal users at 80% mostly facebook und google)
  • Nur 3% des Tor traffics sind onion services  (Mai 2017)
  • doing it, makes NSA watching me (they are watching anything)
  • i heard Tor is broken
 
  • Onion Services
  • Beispiele
  • Protokolle  (http,https,ssh,irc,mail,); Tor ist egal, was du transportierst (solange es TCP ist)
  • Secure Drop (New Yorker Strongbox, Guardian etc) WhistleBlowing Plattforms
  • Ricochet/briar/Tor Messenger, decentralised instant message; Jeder Nutzer ist ein onion service sind
  • OnionShare OneTime-Website for Sharing files as e.g. Journalist
  • anonymous Updates (z.B. für Debian-Packete) apt-tor-transport
  • Facebook (largest "deep web" site) 1 Million people use Facebook over tor April 2016
  • Arbeitgeber soll nicht sehen, dass ich den ganzen Tag nur Facebook nutze ;-)
  • NYTimes
  • Google
  • Benutzung durch z.B. zensierende Systeme
  • Funktionsweise
  • Step 1: Bob picks some introduction points and builds circuits to them
  • Step 2: Bob advertises his hidden service XYZ.onion at the Database "in the sky" (HSDIR all 96 hour relays)
  • Step 3: Alice hears that XYZ.onion exists and she requests more info at the database. She also sets up a rendevous point at a non IP relay.
  • Step 4: Alice writes a message to Bob (encrypted to PK) listing the rendevous point and a one-time secret and asks an introduction point to deliver it to bob
  • Step 5: Bob connects to the Alice's rendezvous point and provides her one-time secret (handshake + encryption)
  • Step 6: Bob and alice proceed to use there tor circuits like normal
 
Zusammenfassung der Funktionsweise in wenigen Sätzen:
 
Bob möchte für eine in seinem Land Absurdistan verbotene Demo/Partei/Religion eine unsperrbare Webseite anbieten. Hierfür legt er auf einem Server einen Onion-Service an, welcher sich eine Adresse generiert und es an 3-bzw.6 Relays (den Knotenpunkten des Tor Netzwerkes) bekannt gibt - die sogenannten Introduction Points. Anschließend druckt er diese Adresse auf einen Zettel und verteilt diesen in seiner Gruppe/Partei/Gemeinde.
 
Alice bekommt einen dieser Zettel und tippt die Adresse in ihren Tor-Browser. Dieser kann  anhand der Adresse und dem HSDir einen der 3. bzw. 6  Introduction Points kontaktierten. Außerdem gibt Alice ein anderes Relay als Treffpunkt mit (Rendevouz Point) vor und unterschreibt alles kryptografisch. Der kontaktierte Introduktionpoint gibt Bobs Onion-Service die Information "Da ist jemand, der deine Daten will und er wartet übrigends an Rendevouz Point dort drüben". Nun kontaktiert Bobs Service den RP und kann durch die Signatur beider Services sicherstellen nur mit Alice zu kommunizieren.
 
Vorteile des Systems:
- Alice kennt die Adresse/Guard von Bob nicht.
- Bob kennt die Adresse/Guard von Alice nicht.
- der Introductionpoint weiß nicht ob und welche Daten ausgetauscht wurden.
- der Rendevouz Point weiß nichts von Alice und Bob
- niemand in Absurdistan kann wissen, was über Bobs Seite ausgetauscht wurde, selbst wenn der Geheimdienst tor exit nodes betreibt.
 
 
Cool things about it: Rendezvous Point doesn't know who alice or bob is, it is beeing used once knows nothing
 
  • Neuerungen (am besten auf das Beispiel beziehen)
  • each onion service picks 6 tor relays each day uses HS Directory
  • #1 old onion keys are weak
  • was first 80 bits of SHA-1 of the 1024-bit RSA key (each word is bad news) short 16 chars
  • now: ED25519 long 52 chars (ed25519 public key base32 encoded)
  • #2 Global shared random value (not predictable)
  • HSDir relays were predictable, and therefore bad guy runs 6 relays that would have been picted
  • #3 new crypto hides the address
  • HSDirs get to learn onion addresses by running relays and learn unpublished onion addresses
  • now signing by subkey
  • implizites Signing 
  • #4 Rendevouz single onion services
  • 3hops by alice just one hop for bob (which can be located)
  • e.g. for Facebook, debian, …
  • #5 Guard discovery is a big deal
  • Tor client uses a single relay (called guard) for the first hop
  • really bad for onion services
  • really good against other attacks -> 
  • Vanguards proposel
 
 
  • Motivation
  • Erreichbarkeit 
  • NAT Punching
  • Anonymität != Verschlüsselung
  • "We kill people based on metadata"
  • Anbieter des Service
  • Nutzer des Service
  • Serverzugriff
  • Angriffe auf Onion Services
 
  • Tor Adresse vorlesen
  • Wohin soll diese zeigen?
  •  
 
* Warum nutzen wir Tor?
 
* congress vom 27.-30. in Leipzig
* congress everywhere
* chaosZone assembly
 
 
Links: 
 
 
https://github.com/katmagic/Shallot <- onion address (version 2) berechnen
für die Zukunft
         
 
== Oktober 2017==
 
== September 2017 ==
* Entfallen wegen Fnord
 
== August 2017==
* Lief eine Folge von Damals TM 
 
== Juli 2017 ==
 
* Was sonst noch in unseren Rechnern steckt
  • Block 1:
  • Hardware
  • Einleitung zum Themen-Beispiel: Intel baut noch eine CPU (Intel ME) auf seine Mainboards, die man weder auditen noch abschalten kann, die aber Netzwerkzugriff hat.
  • Nicht auditierbare Prozessoren in Handys (Baseband etc)
  • Openmoko
  • Trusted-Platfrom-Chips (separater Chip der sagt, was gut und was schlecht ist)
  • Hersteller?, unauditierbar
  • Drucker hinterlässt unique Fingerprint beim Drucken
  • Smartphones: Sensoren verraten viele kombinierbare Daten über Nutzer
  • Autos: regelmäßige Standortmeldungen (Kundenservice) -> kann aber im Notfall auch helfen
  • Navis loggen die Position, auch wenn sie nicht aktiv sind
  • Versteckte Webinterfaces/Wartungszugänge (Router -> Telekom!, IoT, Webcams…)
  • (Windräder-Steuerungen über unsichere Webinterfaces, Smart Grid vgl. IoT) NICHT SICHER
  • Software
  • Kleinweich macht, dass man in Windows10 Cortana nicht mehr deaktivieren kann, inkl. Mikrofonzugriff
  • Datensammlung von Handy-Sensoren
  • Secure Boot (nur signierte Sachen starten, aber Fail weil Keys im Netz gelandet...) << welcher Key
  • Amazon Alexa und ähnliche
  • Roombas kartieren die eigene Wohnung (Geschäftsidee: API für IKEA), Internet of Shit
  • Google recaptcha trainiert Bildererkennungs-Algos
  • Smartphones: 
  • OK Google (Now)
  • Smartphones scannen nach Wifi-Netzen, Location durch Wifi-Ortung (manche Browser machen das auch) -> verbessert aber dafür Lokalisierung, zusätzlich zu GPS
  • IDEs und Libs bauen Dinge in Software, von denen weder Entwickler noch User etwas wissen, teils von Herstellerseite, teils weil manipulierte in Umlauf gebracht wurden
  • Libraries, die vllt Open Source sind, aber nicht gecheckt werden (Beispiel Javascript/Einbinden fremder Quellen?)
  • Websites, die SaaS-Backends verwenden (Dropbox, hosted in USA)
  • Warum ist das eigentlich schlecht? (Datenschutz, Integrität, Zuverlässigkeit, Einfallstor für Malware) 
  • Warum wird das eingebaut?  Bessere Produkte durch Personalisierung, Management von großen Netzwerken
  • Block 2: Beispiel Intel Management Engine
  • Gehört zur vPro-Produktfamilie, ist der Hardware-Chip, welcher von anderen Features verwendet wird
  • Coprozessor direkt am NIC, always-on, Mikrokernel, Zugriff auf CPU, RAM, NIC
  • Eigene Firmware, root of trust ist eingebrannter Intel-Signierkey
  • Alternativen: AMD Secure Processor, ARM TrustZone
  • TPM, DRM (PAVP, auch mit Cloud-Anbindung, kopiert dann encrypted video direkt in GPU), MEI-Treiber für Windows für Java-Applets in DAL
  • Probleme: 
  • Unverhältnismäßigkeit
  • Erfolgreiche Attacken
  • 2009: „Ring -3“ rootkits by Invisible Things Lab. Targets memory remapping in Series 3
  • 2010: „Zero touch“ enforced configuration by Vassilios Ververis. Targets unsecured deployment via DHCP in Series 4
  • Mai 2017: „Silent Bob is Silent“ by Maksim Malyutin from Embedi. Exploits broken HTTP digest authentication in AMT
  • Juni 2017: Misuse of Serial over LAN (SOL) by the PLATINUM group. Redirects malware traffic on compromised host through ME, bypassing OS firewall
  • Patching ein Problem
  • Kaufen von gebrauchter Hardware ist ein Problem, AMT könnte provisioned sein (CompuTrace)
  • ME könnte missbraucht werden
  • Signaturkey könnte geknackt/gestohlen werden und Malware als Applets in der ME landen
  • Schutz
  • Ausschalten der ME meist nicht möglich, wenn dann nur Software-„Versprechen“, Funktionalität muss von BIOS implementiert werden
  • Hardwarezugriff auf Speicherchip ist nur mit speziellen Kenntnissen möglich
  • Gesetze, Regularien…
  • Keine Produkte kaufen, die den Kunden so in Gefahr bringen
  • Pros 
  • Management-Features für Firmen
  • Trusted Computing gegen Malware
  • Block 3: 
  • Was sind Audits?
  • Warum sind die wichtig? (Admins müssen wissen was bei ihnen läuft)
  • Anwender müssen Quellcode und Binary vergleichen können (was nützt AGPL, wenn ich nicht den fremden Server einsehen kann?)
  • Nur freie und offene system sind auditierbar (Verifizierbarkeit)
 
Hersteller der es anders machen will: https://puri.sm/ bis hin zu RYF Zertifizierung durch die FSF
 
 
Musik
Empfehlung:
Opening: LukHash (den muss man aber ausspielen ;-) ) 
Mitte: Muciojad   
              ggf. noch StrangeZero
Ende: Krazis
 
== Mai 2017 ==
 
=== Thema OStatus ===
 
* Abgrenzung Topologien verteilter Systeme: Föderiert != P2P
* StatusNet als Twitter-Alternative
* Linked Data, W3-Bemühungen
* Super-erfolgreiches Crowdfunding: Diaspora, the Facebook Killa oder halt auch nicht
* Inkompatibilitäten
* Neuer Hype: Mastodon
* Spezielles Umfeld
* Caching von Inhalten
* Schwäche von federation: Inhalte müssen explizit zugestellt werden, sonst nicht sichtbar
** Hashtags
** alteToots/ Posts
* Pods ohne Aufsicht
* die Zukunft: W3C und Activitypub
 
Shownotes:
 
- [Hugs for Chelsea Sampler](https://hugsforchelsea.bandcamp.com/ )
- [Epicenter.works -aktiv für Netzneutralität](https://epicenter.works/ )
- [Irisscanner im Samsung Galaxy S8 ausgetrickst](https://media.ccc.de/v/biometrie-s8-iris-fun )
- Musik: [Kubbi - Ember](https://kubbi.bandcamp.com/album/ember )
 
== April 2017 ==
 
Musik: ParagonX9 - Chaoz Fantasy (8-bit)
 
Thema
"Leaking NSA's and CIA's secrets - Shadow Brokers and Vault7"
 
Begriffserkläungen / "Bingokarte"
- Vault 7
- Confluence
- Shadow Brokers
- konstruierte Sprache
- Wikileaks
- Leak
- NSA
- CIA
- Exploit
- Zero-Day
- Smart TV
- Wheeping Angel
- (Project Dark Matter)
- (Marble Framework)
- (Grashopper Framework)
- (HIVE)
- Snowden
- Doublepulsar
- White Hat
- Black Hat
- Solaris
- Kriminelle nutzen 0-days aus
- Microsoft patcht im März (vor Release)
- Updaten hilft
- Bezug zueinander
- SWIFT Hack
 
Veranstaltungshinweis:
 
Was ist was?
Vault 7
    - CIA, Wikileaks
Shadow Brokers
    - NSA, Gruppe,..
    - Anlehnung an...
 
Einordung
  • Shadow Brokers / Vault 7 = Werkzeugkiste
  • Snowden Leaks = Masterplan
 
Was wurde eigentlich geleakt?
 
  • Vault 7 auf Wikileaks (CIA)
  • Angriffe auf Endgeräte 
  • erklärt wie Exploits laufen
 
  • Shadow Brokers
  • sieht nach internen Dokumenten aus .docs Ordner "not for release"
  • keiner Hackergruppe, sondern Konstrukt
  • sehr eigenartige Sprache
  • immer auf komplett anderen Medien publiziert
  • box.com, mega,  Medium, Twitter und Github (NSA)
  • vergleichbar mit Snowdenleaks, aber in Presse runter gespielt
  • Welch Leaks gab es (Name, was für ein Angriff ist es)?
  • eher auf Infrastruktur, Unis, Telcos
 
Blick auf Mainstreampresse
  • Spiegel & co, Heise
 
Reaktion in der Nerdszene
 
großes Interesse, aber kaum Reflexion in der Nerdpresse, dafür um so mehr in kleinen Blogs und Twitter
 
 
"Pressemitteilung":
 
Arbeit der Geheimdienste
NSA - strategische Ausrichtung
CIA - taktische Spoinage
 
CIA nennt Wikileaks einen "feindlichen Geheimdienst"
 
Man sieht an den Exploits schön deren Ausrichtung und Arbeitsweise
Klar: Agencies horten Exploits, sie tauschen bestimme Dinge aus
Misstrauen zwischen den Diensten durch die Leaks -> Hinderlich für die Zusammenarbeit -> Ineffizienz!
Shadow Brokers:
Theorie: Whistleblower, russischer Geheimdienst, von Russen engagierte Söldnerhacker
 
Beispiel Exploits:
 
Vault7:
Ausrichtung der Hacks an dem was in Szene (black + white) diskutiert wird
 
Shadow Brokers: z.B. Solaris Exploits
Warum eigentlich Solaris?
 
Bewertung
 
Warum kommt beides zur ungefähr gleichen Zeit?
Hängt es miteinander zusammen, auch wenn unterschiedlich bearbeitet und untersch. Quellen?
 
Geheimdienste kochen auch nur mit Wasser, gut aber keine magic
Schaden für Dienste ähnlich groß wie bei Snowden
andere Dienste lernen davon
bisherige Angriffe können dagegen getestet werden
 
Leider wahr: Schwachstellen werden nun gegen Bevölkerung eingesetzt (Botnetze, Kriminelle, ...)
 
Egal, wie esoterisch Sicherheitslücke sein mag, sie wird ausgenutzt
Aber: kein Hexenwerk; Übermächtigkeit beruht teilweise auf Mythos
 
#Musik: Bajo Calle - Wait 
 
Wie kann sich schützen?
 
  • Updaten hilft; immer neustes OS einsetzen
  • Sinnvoll konfigurieren hilft
  • Kryptographie hilft
 
#Musik: J.O.R.B.I - Thunder and War
 
Links:
 
Analyse zu Leaks, die nicht von Snowden zu stammen scheinen:
 
Zu Shadowbrokers
 
Zu Vault7
  •  
Veranstaltungshinweise: 
GPN 25.05. -28.05. Karlsruhe
 
Bitte Feedback unter:
 
== März ==
 
Thema: 10 Jahre Pentaradio
Aufzeichnungstermin: 14. März 2017 um 21:00 Uhr (?!)
 
Mit im Studio: Astro, a8, Friedemann, Blastmaster
 
Nachrichten
  • Release OpenBSD 6.1 zum Ende März (Virtualisierung (vm) und Aktualisierung (upgrade) nun möglich (patch))
 
 
10 Jahre Pentaradio
 
Ausschnitt Sendung vom 26. Januar 2010
Zitat Tim: Bingokarte bei Themen, nicht zu viel vorbereiten, Gespräch muss natürlich bleiben
Timestamp: ca. 52:30 bis 55:37
 
Story Apple: Support lässt uns wieder in den iTunes Store
Let's Encrypt Certs, Apple meldet sich, wenn es wieder geht ;-)
Feeds wurden getunt, neues Artwork (1400x1400px), wir haben jetzt "Clean Lyrics"
 
Ausschnitt aus Sendung von 2006
(meine ersten Datenspuren...)
 
Ausschnitt aus Sendung vom 26. Juni 2012
Skype "könnte Backdoor einbauen" -> hat sich bewahrheitet
 
Aufruf zu mehr Sendungsfeedback! Schreib uns bitte Kommentare und Bewertungen.
Möglichkeiten:
 
Hörertreffen?
 
 
== Februar ==
 
Nächstes Mumble: Mi 22.02.1017  20:00 Uhr
 
Vorstellung
 
#Musik: Highmas - Hey Jade 
 
* Heimautomatisierung
* Wozu eigentlich? Aufhänger: Was kann man selber machen?
* Protokolle und Techniken
    Was gibt es ? (proprietär/open, Hardware/Software, lokal/Cloud)
        ** IOT-Botnet-Welle für Angriffe
            *** bei billigen Geräten die Gefahr dass es keine Updates mehr gibt und dann mit offenen Lücken am Netz
            *** klappte bei Phillips gut
    Kabel:
    ** KNX "professionell" und total veraltet, nicht mal richtiges Auth
    ** CAN eher im Industriebereich
    Funk: 
    ** ZigBee, Bluetooth LE, WIFI, DECT
        *** kaputtes Zigbee, fest implementierte Keys geleakt
        Hue Wurm: http://iotworm.eyalro.net
    ** Z-Wave auch kaputt (Keys geleakt) --> Alex sagt was zu Sicherheit
    ** Homematic - http://www.homematic.com
    ** EQ3 - http://www.eq-3.de
    ** OpenHAB (Java) - http://www.openhab.org
    ** HomeAssistant (Python) - https://home-assistant.io
    ** FHEM (Perl) - https://fhem.de/fhem.html
    ** HomeKit von Apple - https://www.apple.com/de/ios/home/
        *** sah gut aus was Sicherheit betrifft, jemand der keinen zweiten Faktor hatte konnte nicht zugreifen trotz Einladung
        *** funktioniert sehr gut
        *** Zubehörteile doch recht teuer
        *** Daten wandern nicht über die Cloud
        
Do I Wanna Go Home ( Remix ) - Dysfunction_AL
 
* Services, Vor- und Nachteile
    ** oft in der Cloud und damit problematisch
    *** mangelde Sicherheit
    *** no privacy
    *** Anbieter verschwinden, Technik dann nur noch Elektroschrott
* Selber machen
    ** Server wird gebraucht, kann meist ein Raspi sein
    ** freie Implementationen (Calos etc)
    ** Strom sparen, Komfort (Heizung, Licht)
    ** Welche Sensoren
    ** Welche Aktoren
    ** Friedemann: Erfahrungsbericht HomeAssistant, FHEM (kurz), HomeKit (kurz)
        *** Friedemann hat 2 Lampen mit Temparaturregelung
             und 2 mit hell und dunkel Einstellung + Zigbee hub 
             **** mit Apple Homekit --> geht gut, auch mit Siri
             **** mit App Philips Hue --> geht gut
             **** geplant Ansteuerung mit HomeAssistent auf Raspi
        ***2 Steckdosen eine über DECT und Stromesseung
            **** Fritzbox klappt gut, sehr genau 
            **** geplant Ansteuerung mit HomeAssistent
        *** 433 mHz für Funksteckdosen
            **** geplant Ansteuerung mit HomeAssistent,aber nicht so smart
    ** Alex: Erfahrungsbericht OpenHAB
        *** Installiert auf Raspi, Raspi 2 zu langsam --> VM Virtual Box
        *** OpenHAB2 Alex wird damit nicht warm
        *** wirkt unfertig (Dinge geplant aber nicht implementiert), lieber HomeAssistent als selbst gebautes
        *** man kann damit funkt. SmartHome bauen
        *** Ersatz für kommerzielle Produkte
        *** Beschreibungssprache hat unschönen Syntax
        *** scheint kommerzielles Interesse zu verfolgen, bzgl. Cloudservice (erst Mal kostenlos)
            **** jetzt mit Amazon Echo und Push Notifications von Smartwatches, OAuth über Facebook 
        *** HA: bessere GUI, flexibler, höhere Hackfaktor
    ** Alex Ansatz zum komplett selber bauen
* Zukunftsausblick
    ** Probleme von Funk --> vll Überlastung wie bei WLAN
    ** vll Wardriving wie bei WLAN mapping
    
Home - Platinum Butterfly
 
 
==  Januar ==
 
Fake News
Einleitung
# MUSIK: Alan Walker - Fade
 
  • Was sind Fakenews?
  • schwammiger Begriff, Zusammenfassung von vielen versch. Dingen, 
            erklären wir dann bei den versch. Arten
            wird alles in einen Topf geworfen (Alex)
            Ambitionen und Hintergründe werden nicht hinterfragt, obwohl essentiell für Ursachenbekämpfung
  • Warum machen wir jetzt die Sendung
  • seit November wieder mehr Aufmerksamkeit, gerade wieder mehr Konjunktur, Angst wegen Bundestagswahl (Lutz)
  • September 15 Balkanruhe, viele Geflüchtete
  • Silverster 15/16
  • Trump
  • Polizei hat jetzt wichtige Aufgabe, ordentlich zu informieren (z.B. Breitscheidplatz)
     oder Fakenews entgegenzuwirken (...das ist so nie 0passiert)
 
  • Seit wann gibt es sie?
  • kein neues Phänomen
  • Mittelalter: Konstantinische Schenkung 
  • 1994 Microsoft kauft Vatikan und Bibelverfilmung 
 
  • Beispiele:
  • Migrantenschreck Großbestellung Charite Chefarzt [1] (Friedemann)
  • u.a. Renate Künast verklagt jmd wegen Fakenews [2] (Friedemann)
  • Brutkastenlüge Irgakrieg (Anne)
  • Kosovokrieg Lüge über angebliche KZs (Alex)
 
  • Inwiefern unterscheiden sich die Hoaxmapberichte von Fakenews (Lutz)
  • Beispiele oben sind was anderes
  • kam auch unerwartetes
 
  • Was ist Hoaxmap --> kurze Vorstellung (Lutz)
  • Beispiele von Lutz von Hoaxmap
  •  
# MUSIK: Jonathan Mann - Living In The Age of The Hoax
 
  • Arten:
  • Kommerzielles Interesse
  • Verweis auf Pentaradio zu Werbenetzen, kurze Funktionsweise
  • Soziale Netze, Filterblasen, Social Bots, YouTube
  • Werbebanner -> Währung des Internets
  • Es geht um Klicks auf ihren Seiten, um Geld zu verdienen (hohe Conversion Rate)
  • Worauf klicken Leute gerne? Seichte Stories, Katzenbilder, etc.
 
  • Von Privatpersonen (-> Facebook, Twitter, private YouTuber, Gerüchte aus Offlinewelt, Lutz)
  • Aufmerksamkeit generieren
  • Politische Agenda
  • Kettenbriefe, Petitionen
 
  • Von politischen Organisation herausgegeben (Partien, Dienste, ...)
  • Propaganda
  • Fakenews von Privatpersonen und aus kommerziellem Interesse weiterverbreiten
  • Nachrichten werden ggf. immer weiter optimiert
  • Breitbart News deckt alles ab
 
  • Genaue Zahlen schwierig:
  • 75-95% Kommerzielles Interesse
  • 5-15% Privatpersonen
  • 1-5% Propaganda
 
  • Anknüpfung zu Werbenetzesendung
  • z.B. via Facebook zielgerichtet streuen
  • Sachen werden nicht runter genommen, weil sie viele Klicks generieren
  • Verweis: "Build your own NSA"  vom 33C3
  • Filterblasen in sozialen Netzwerken, Social Bots in sozialen Medien
  •     Leute teilen das, was sie denken dass es gut passt, was sie hören wollen
  • Ausflug: Was sind Social Bots, jetzt auch in Messengern (Whatsapp, Telegramm,...)
  • Was machen die, wie arbeiten die,...?
 
  • Grenzen fließend in welchen Stufen Leute auf Seiten gezogen werden (Alex)
  • Ausflug zu Internetrökonomie, zeigt schön wie kaputt alles ist
 
  • Lösungsvorschlag:
  • in Medien Rufe nach übergeördneter Kontrolle durch Fakebook oder Staat
  • man läuft schnell unmittelbar ins alte Zensurproblem
  • Leute, die vom Bloggen leben
  • Werbenetzwerke entkernen, man braucht Alternative, wie man Kontent bezahlt
  • alte Idee des CCC Kulturwertmarke, Flattr
  • Medienkompetenz
 
Zukunft der Fakenews
    schon jetzt sind Photoshop etc in der Lage Bilder zu manipulieren, AI wird das nochmal verschärfen, insbesondere bei Video
    
#MUSIK
urmymuse - i don't believe you (ft. Kaer Trouz)
    
auf Weiterführendes verweisen
    vll Ausflug in Psychologie, gesellschaftlich-soziale Effekte
        Aufbringen von Leuten
        Destabilisierung
    vll Ausflug in Data Science
 
Zur Vorbereitung mal Folgendes anschauen:
Logbuch Netzpolitik "Fakebook" hat das thematisiert
auch vom 33C3 Talks dazu, u.a. Spiegelmining
Heiseshow gab es auch zum Thema
Fakenews sammel seite: http://hoaxmap.org/ --> Karolin Schwarz kann man evtl zum Podcast einladen
 
Vortrag zu Hoaxmap auf dem 33C3:
 
Vortrag zu Hoaxmap auf der Cryptocon:
 
 
== Dezember ==
Thema: 33C3
Anmerkung
Achtung! Termin der Sendung (27.12.) fällt genau auf den 1. Tag des Kongresses.
Da wird sicherlich keiner Zeit haben, eine Sendung aufzunehmen.
Aufzeichnung am 20.12.2016
 
Musik:
 
* Warum wir besprechen das Thema jetzt?
    ** Kongress ausverkauft
    ** Leute regen sich auf, dass Vouchers bei Ebay liegen --> Alex
    ** "state of the hacker nation" 33c3, Kartenvorverkauf und ausverkaufte 
    Congresse, die Szene ist plötzlich hip und der Kommerz ist auch angekommen 
    usw. --> Alex
        *** Anzahl Ebay: 900 Euro teuerste, 6-7 selber gesehen
        *** andererseits kein neues Phänomen
    ** Gegenmeinung: Astro:  Ich habe da eine andere Meinung. Ich begrüsse die Öffnung
    der Veranstaltungen für ein breiteres Publikum. Zeit zum Nichtverpeilen gabs genug
    ** Gegenmeinung: Friedemann: man sieht dort keine Firmenlogos, Sponsoren bleiben
    ungenannt
    ** offizielle Ansage auf dem Congress "Leave your damn business at home."
 
* Entwicklung der Szene / Probleme
    ** es beschäftigen sich einfach mehr Leute mit dem Thema Computer, 
        so fühlt sich Erfolg halt an
    ** Öffnung der Szene
        *** Chaospaten
    ** Firmenhackspaces
    ** Hipster, Leute mit Profilierungsbedarf
    ** Firmen die auf der Trendwelle mitschwimmen, Adafruit, Makerbots und ausnutzen
 
* Entwicklung der Besucherzahlen, Geschichte des Kongress allgemein
    ** Geschichte --> Alex
 
* Was ist der Kongress?
    ** Familientreffen
    ** Zerforschen und Ausblicke geben, Helden ehren
    ** 6/2/1 Regel
    ** Unterschied zu Veranstaltungen in den USA
        *** Entertainmentcharakter
        *** keine Firmen / Werbung
        *** keine Dienste / Behörden
    ** Unterschied zum Camp
    ** Einfluss auf Mainstream
    
* Wie muss ich mir einen Congress vorstellen?
    ** Engel
    ** DECT 
    ** Kidsspace
    ** Tracks
    ** Assemblies
    ** Self Organized Sessions
    ** Lounge
    ** Blinkenarea, Sendezentrum
    ** CTF
    ** Lightning Talks
 
* andere Treffen des CCC über das Jahr
    ** Datenspuren Dresden
    ** Gulasch-Programmiernacht Karlsruhe Entropia
    ** Easter Hack Netz 39 Magdeburg und Stratum 
 
* Besprechung interessanter Vorträge aus dem Fahrplan,
** was sollte man sich ansehen, was wird spannend
 
== November ==
 
Datenschutz und Datensicherheit im Auto
#Musik: AlexBeroza - Just Drive
 
Hintergrund: Wollte Elektroauto kaufen und habe mich in dem Rahmen mal mit dem Kleingedruckten befasst, bzw. erst mal das Kleingedruckte überhaupt  in die Finger zu bekommen
und Heiseartikel
 
* Siehe auch: Hinweis auf Pentacast zu CAN-Bus im Auto
    
* immer schon wichtiges Thema gewesen, aber gerade sehr akutelles Thema mit Internet im Auto und conneted car
* aktuelles Beispiel:
    ** Herausgabe von Bewegungsprofil bei illegalem Straßenrennen / 
        fahrlässiger Tötung von Radfahrer: Fall BMW / DriveNow
        Daten von BMW die Wegstrecke, gefahrenen Geschwindigkeiten, Außentemperatur oder die Position Mobiltelefons
        *** nicht ganz klar wie BWM an die Daten kam, woher kamen Bewegungsdaten
    ** Jeep-Hack
        *** hat viel zur Sensibilisierung der Hersteller beigetragen
    
* ODB-2 Schnittstelle an K-Leitung / CAN Bus recht altes System
    **War ursprünglich standardisierte Schnittstelle für TÜV, vorher haben alle so ein bischen ihr eigenes Ding gemacht; ist gesetzlich vorgeschrieben (weltweit), muss verbaut werden
    ** leicht angreifbar, System rechnet nicht mit Angriffen
    ** hat keine Sicherheit wie Authentizität
    ** Vollzugriff auf viele Steuergeräte und viele Sensoren
    ** jeder OEM kocht sein eigenes Süppchen
    ** Protokolle sind alle propietär
 
* welche Sensoren gibt es im Auto, welche Informationen lassen sich darau gewinnen
    ** Heise: 
         ***  ADAC bei 4 Fahrzeugen von BMW, Mercedes, Renault  untersucht, welche  
         Daten sammeln. Ergebnis: Von Informationen über techn. Zustand bis zu  
         Nutzungsprofil des Fahrers
        *** neben , schadstoffbezogenen, Muss-Daten erheben Automobilhersteller  
        weitere Daten – ohne dass ihre Kunden  wissen, was da aufgezeichnet wird
        *** Mercedes:   GPS-Position, Kilometerstands, Kraftstoffverbrauch, Reifendruck,
        Gurtstraffungen (Indiz für starkes Bremsen)
          *** Renault: via Mobilfunk beliebige Informationen, im Pannenfall  
          Ferndiagnosen. Ist  der Käufer mit den Leasing-Raten im Verzug, wird  das 
          Aufladen der  Batterie verhindert
        ***BMW: Anzahl der eingelegten CDs + DVDs , 100 letzten Abstellpositionen
    ** weiterhin: Lenkeinschlag, Gaspedalwinkel, welche Verbraucher an
    ** Sensoren sollen schnell und einfach Daten rausgeben
        *** komplexere Berechnungen (z.B. für Verschlüsselung)  können gefährlich
        werden,
             z.B. Aufgehen des Airbag oder Rückmeldung Abstandsmesser
    ** je komplexer eine Software, desto geringer Wahrscheinlichkeit alles zu
        überblicken, somit alle Fehler zu finden
        *** Fahrzeugsteuerungskomponenten deutlich mehr Sicherheitsvorschirften
            als für Infotainmentsysteme
            **** Infotainment eigenes System so komplex wie Betriebssystem und 
                    zusätzlich neuer Angriffsvektor aus dem Internet
 
                    
#Musik: scomber - I Spy (with my little eye)
 
* Daten als künftiges Geschäftsmodell für Autohersteller / wirtschaftliches Interesse
    ** Ablesen von psychischen Zuständen (Lenkeinschlag, Gaspedaldruckverhalten)
    ** Ablesen von Fehlerverhalten
    ** wer sind die Interessenten:
        *** Hersteller 
            **** Cloudinfrastrukturen bei Herstellern vorhanden (Mercedes, BMW,...)
        *** Versicherer (wirklich Garagenwagen?, Fahrverhalten, versch. Fahrer?)
        *** Behörden
            **** Schutz vor "terroristischen Angriffen" Fernabschaltung von Autos möglich
            **** Szenario: Verhinderung von Fahrt zu Demo
            **** bei Renault wenn Raten nicht gezahlt, Diebstahlschutz bei Opel
            **** Notrufsystem im Auto, gesetzl. vorgeschrieben, aber getrennt!
        *** Mautabrechnung und Fahrtenbuchersatz (über Abgasdatenschnittstelle)
            **** Beispiele Vimcar - https://vimcar.de und Automatic https://www.automatic.com
                ***** Protokoll wurde reverse engeeniert
                ***** komplette Bewegungsprofile erstellbar
                ***** sehr unsicher über diese Schnittstelle so viele Daten auszulesen          
            **** Welche Produkte gibt es heute "einfach zum Anstecken" zu kaufen?
                ***** Head Up Displays
        ***künftiges Einnahmemodell für Werkstätten?
            ****egal ob selber oder durch Datenweitergabe an Interessenten
        *** Ferndiagnose
        *** Kriminelle 
            **** vll nächste Welle von Verschlüsselungstrojanern
            **** kann wirklich großer Schaden damit angerichtet werden
            **** * Hacks (Multimediasystem aufmachen und 
            sehen was leute im Auto machen, Ransomware?)
        *** Tuner
            **** für Kenner! Zuschaltung weiterer Features möglich
       
* Wie kann Kunde herausfinden, welche Daten erhoben werden?
    ** Peter Schaar: 
        "Bewegungsprofile sind ohne ausdrückliche Einwilligung des Kunden unzulässig"
    ** Datenschutzgrundverordnung 
        *** technische Daten vom Fahrzeug nicht geschützt
        *** greift nur für persönliche/personenbezogene Daten
    ** Erfahrungsbericht Alex
        *** BMW
           **** nur Auskunft über aktuelles Datenschutzrecht
        *** Nissan 
            **** gab Auskunft, bei Start Zustimmung zu Datenweiterleitung erforderlich,
            Ja/Nein-Möglichkeiten
            **** keine Aussage ob Daten später noch irgendwie übertragen werden
        *** Renault
        *** bei anderen Herstellern
            **** Teilweise keine Datenübertragung über mobiles netz
                ***** Nicht nachprüfbar ob das wirklich erfolgt
        ** im eigenen Test Auslesung der Daten der letzten 3 Monate bei Subaro auslesbar
           *** Uhrzeit, Ort, Temparatur- und Luftfeuchtigkeit
 
* Welche Rechte hat der Kunde seine Daten löschen zu lassen?
    ** Man ist Autoeigentümer, aber muss zwangsweise Lizenzbedingungen akzeptieren.
        *** z.B. somit verboten in bestimmte Länder zu fahren
    ** Hersteller kann Sachen aus der Ferne, over the air, deaktivieren
* Zukunftsprognose
    ** Kunden ist es egal, wie schon beim Mobiltelefon, 
    "Ich hab doch nichts zu verbergen"
    ** Effekte bei Carsharing wahrscheinlich besonders 
    
* auch sinnvolle Anwendungen denkbar, wenn dem User die Daten unterliegen
    ** Messung und Optimierung von Kraftstoffverbrauch
    ** Fahrkollonen die Sprit sparen
    ** sowas wie ParkNow von BMW
    ** Verkehrsoptimierung in Städten
    ** Car to X
    
    Zapac - Test Drive
Wired Ant - Travel by Night (Border Ride) feat. Javolenus
 
 
* Hack des Monats: der ZigBee-Wurm <http://iotworm.eyalro.net/>
 
== Oktober ==
* FreeBSD und seine Abarten - bewährte Konzepte und aktuelle Entwicklungen:
* Was ist BSD?
    ** (Haupt-)Unterschied zu Linux
        *** UNIX und nicht GNU (is) Not UNIX (mit dem Kernel Linux)
        *** Linenz
* heute speziell FreeBSD (Besonderheiten von FreeBSD, gegenüber anderen *BSD, aber auch GNU/Linux)
      **gab schon mal Sendung über BSDs allgemein https://www.c3d2.de/news/pentaradio24-20141125.html
* Warum einsetzen?(ALH)
* Welche 4 (Haupt-)Arten?
    *: siehe auch https://wiki.c3d2.de/BSD
    ** NetBSD
    ** FreeBSD
    ** OpenBSD (fork von NetBSD)
    ** DragonflyBSD (fork von FreeBSD)
* Nutzung auf Endgeräten (Vater)
    ** nicht alle alle alle Treiber vorhanden, Zeit für Installation, Virtualisierungen die nicht laufen?, ACPI/Suspend to Disk (sucks)
* Nutzung auf Servern (ALH) 
    ** aktueller Anlass
        *** FreeBSD 11 erschien im Oktober 2016
            *** Sicherheitszeug
                ****Grundeinstellungen besser 
            *** haufen neue Treiber, 64 bit ARM-Prozessoren
            *** bhyve kann nativ Grafik wieder geben
    ** Konzepte
        *** Jails (bewährtes Pronzip für Container)
        *** ZFS
        *** bhyve (Daniel)
        *** pkg vs. ports
        *** Kombatibilität mit Linux
        *** Docker, Xen, KVM, usw.
    ** Abarten
        *** Vorstellung einzelner einzelne Abarten
            **** FreeNAS
                ***** FreeNAS 10 erscheint wohl erst im Februar 2017
            **** TrueOS (bisher auch PC-BSD)
                ***** basiert nun auf (current) 12
            **** CBSD
            **** CloneBSD
            **** GhostBSD
            **** DesktopBSD 
            **** Apple MacOS (entfernt verwandt. die haben sich das userland genommen und Darwin draus gebaut) und (Open)Darwin
            **** Tote
        *** Vorstellung von Ideen von weitren Abarten
    ** Software zur Verwaltung
        *** Verwaltung von Jailsiocage
            **** ezjail
            **** iocage (aktuell rewrite von sh zu go)
        *** Verwaltung vom system
            **** sysadm (von PC-BSD)
        *** Provisionierung & Co
            **** BSDploy
            **** Tredly
            **** fractal cells
 
== September ==
 
News:
Roaming-Gebühren
LSR
DDOS on Brian Krebs
 
 
* Sendung zu den Datenspuren
 
== August==
 
News:
 
* Apple vs. FBI
Kommentar:
Kein Applebashing, aber von Apple auch nicht uneigennützig, sondern Marketing
aber interessante Lösungen
technisch vertieft, aber für Normalos verständlich erklären
 
Rollenverteilung:
Experte: Friedemann (eher pro Apple), Alex (eher contra Apple)
Nachfrager/Moderator: Anne
#Musik: Mizuki's Last Chance -Holy Bleeb
 
 
Einleitung/Aufhänger: ...
Was ist überhaupt passiert? (Anne)
- genereller Streit, wie Firmen vom Staat gezwungen können (ihre eigene) Sicherheit (durch Verschlüsselung) zu brechen
- Apple sollten helfen Daten über Kriminellen zur Verbrechensaufklärung bereit zu stellen
    - ging um Attentäter von San Bernerdino, 14 Leute erschossen, 22 verletzt, Mann und Frau Attentäter, Telefone vorher zerstört, Attentäter 
      am Ende von Polizei erschossen
    - ging um Arbeitstelfon des Attentäters
- haben sie auch gemacht, haben Daten der ICloud, wo alles hin sync. rausgegeben
- aber Sync. war nicht aktuell, FBI wollte an lokale Daten auf dem Telefon
- aber das war PIN geschützt und nach 10 Fehleingaben dauerhaft gesperrt
- haben ICloud Zugangsdaten zurückgesetzt, damit Dritte keinen Zugriff haben (z.B. Komplizen es löschen) und sich damit ausversehens 
  ausgesperrt
- Apple hat Mithilfe verweigert eine Version des Betriebssystems zu erstellen auf dem ds umgangen werden kann
    - nach eigenen Angaben derzeit keine Möglichkeit von Apple selber an die Daten zu kommen
    - Forderung ging nach deren Ansicht und auch die einiger Juristen viel weiter als Gesetzesgrundlage
- FBI hat NSA gefragt, die haben aber nicht helfen wollen/können
- großes mediales Aufsehen
- FBI dann Firma für wohl 1,3 Mio für Hack beauftragt
- viele Leute die sich mit Apple sehr sicher fühlen, wie wollen beleuchten, ob das wirklich so ist
    
Wer waren Akteure, wer war auf wessen Seite?
Was ist FBI (interbundesstaatliche Polizei)?
 
Architektur vom Apple Secure Enclave - ab A7-Prozessor im iPhone 5S 
                                                   
    Was heißt das?
            Geräteindividueller Schlüssel (Hardware), Secure Enclave Processor (Software) redet 
            mit weiteren Komponenten
                UID --> Masterkey wird generiert vom Gerät, mit echtem Zufall (Osilator)
                        physikalisch, einmalilg erzeugt, kennt Apple nicht, kriegt man nicht raus
                        Was macht denn Masterkey? Grundlage Erstellung aller weiteren abgeleiteten Keys...
    Welche Bestandteile? Welche Schlüssel?
        macht, dass nach 10 Fehlversuchen Gerät final gesperrt (Schlüssel zum Entschlüsseln Speicher werden verworfen)...
    Welche Auswirkungen auf Bootprocess/ Gesamtsystem?
        Hat eine Art Secure Boot (Was ist Secure Boot?)...
        "Sicherer Startvorgang"
        Signiert sind: Bootloader, Kernel, Kernel-Erweiterungen und Baseband-Firmware 
                                                   
    Wie wird es gespeichert?
        Hätte man es auch aufschleifen können?
    Einfaches Design, unwahrscheinlich, dass Fehler drin aus Cryptografen sicht
 
#Musik: Gridline - Astro Infinity
 
Was passierte? (technisch detailierter)
    BackUp aus Could rausgeben, FBI wollte aber aktuelle Daten vom Gerät --> Datensparsamkeit
    Am Tatort Prozess eingeleitet, dass PW zurücksetzt, damit keine Komplizen Zugriff
        --> IPhone hat sich mit flaschen Zugangsdaten nicht mehr bei ICloud einloggen --> haben sich selber ausgesperrt
    Apple wehrte sich angepasstes IOS mit Backdoor zu erstellen
        könnte weitere Institutionen fordern, wollen Software sicher machen, nicht zahlreiche Sicherheitslückeneinbauen
    juristische Lage (Alex)
        national security letters usw., könnten schon gezwungen worden sein Sicherheitslücken einzubauen
        NSA arbeitet im geheimen, FBI muss vor Gericht was beweisen...
        Sollte auch nicht raus kommen was Dienste können oder nicht...
        Wollen nicht Verbrechen aufklären, sondern Lagebild vorhersagen
        
Warum hat es überhaupt so viel Aufsehen erregt?
    gute PR, viele Applebegeisterte, Unterstützer/Gegner, Rede Tim Cook
    Unterstützer: Facebook, Yahoo, Twitter,
    Apple (und andere Silicon Valley Firmen) schlechtes Image durch Snowden Veröffentlichungen, Sicherheit jetzt wichtiges Argument
    Warum so ins Zeug gelegt?
        Theorie: gesättigter Mark, wichtig für Zielgruppe (in Security auch interessiert), Alleinstellungsmerkmal, 
        in manchen Ländern in gewissen öffentl. Berufen verboten 
    Was ist Motivation von Apple?
        FBI hat ja gesagt, geht nur um das eine Telefon, Software kann danach vernichtet werden
        Nicht Sicherheit, sondern Geheimhaltung, Abschirmung (Wallet Garden)
            trotzdem sichere Plattform, liegt aber in der Hand von Apple, könnten sie ändern
                keine Gegenwehr bei National Security Letter, möglich bei Updates, keine Kontrolle über Geräte
                Diskussionspunkt: Wie sicher ist IOS im Vergleich zu anderen Systemen?   
                keine Kontrolle welche Apps was backupen --> ICloud Backup besser ausschalten?
    Backdoor ist halt auch hohes Level an Gefährlichkeit
        könnte passieren, dass Leute in abgeschirmten Garten eindrungen, auch andere kommen rein durch Backdoor
            aktuelles Beispiel Shadowbrokers
        Raubkopien von kostenpflichtig Apps, ganzes Finanzierungsmodell gefährdet...  
    Bugbounty lobenswerter Punkt, kaum Exploits und wenn dann teuer     (Annekdote von Black Hat Vortragsrückfrage)
    
# Musik: Magna -Divide
 
Was ist iCloud?
                iCloud Drive (= ähnlich wie Dropbox, aber in iOS integriert)
                Photos
                Mail (Empfehlung: kann man selbst hosten)
                Contacts (Empfehlung: kann man selbst hosten)
                Calendar (Empfehlung: kann man selbst hosten)
                Reminders (Empfehlung: kann man selbst hosten)
                Safari
                Notes (alt und neu, verschlüsselt)
                Wallet
                Backup (Achtung!)
                    problematische Schwachstelle, kann/konnte remote angeschaltet werden
                    "the Fappening"...Bilder 
                Keychain (gutes Konzept, bei allen iCloud Services wünschenswert)
                Find my iPhone / Mac (hilfreich bei Diebstahl)
            
Wie haben sie es dann doch geschafft, was vermuted man?
    nie in Gerichtsakten aufgetaucht, was auf Telefon war... vll nie wirklich geknackt
    Gerüchte im Netz sagen:
        private isralelische Firma engagiert (Cellebrite - https://en.wikipedia.org/wiki/Cellebrite)
        auf alten IOS basierende Sicherheitslücke, Nantmirroring in Kombination mit...
                Flash rausgelötet, kopiert in Mirror, dann Brutforce irgendwie in Kombination mit Zählerrücksetzung mit Keys
        auf dieses Gerät zugeschnitten, wahrscheinlich kurze PIN
    Es gibt aber keine Fakten, nicht mal ob sie es tatsächlich geknackt haben oder ob das nur PR ist!
    --> Empfehlung alphanumerischen Code verwenden
    Exkurs: bei PIN haben es viele nicht verwendet, oder oft einfachen Code, bei Touch ID die Mehrheit
    
# Musik: Boogie Belgique - A little while
   
    
Pufferthema:
    FBI nutzt 2D Fingerabdrücke zum knacken
        akuteller Fall...
        nicht secure enclave sondern Touch ID, Biometrie und typische Biometrieangriffe
        nach 3 mal falsch gegen Abdruck gesperrt, dann nur mit Passphrase (auch bei Neustart)
        sagen auch man kann, nicht soll es nutzen, genau richtig, für bequeme User
    
    iMessage 
        gab Brut Force Angriff dagegen, aber dann gefixt
        Apple kann Metadaten rausgeben, Inhalt theoretisch nicht, weil Ende zu Ende verschlüsselt
            Apple könnte theoretisch sich Keys holen
        cryptografisch recht weit fortgeschritten
            
    Mobiltelefonsicherheit allgemein
        App Sicherheit
        Mikrofonkontrolle
        Standortübermittlung
        
 
Quellen:
 
Vorträge
 
Ivan Krstic: Behind the Scenes with iOS Security (Blackhat 2016)
 
Ivan Krstic: How iOS Security Really Works (WWDC 2016)
 
Demystifying the Secure Enclave Processor
 
Pangu 9 Internals
 
Discovering & Exploiting Novel Security Vulnerabilities in Apple Zeroconf
 
Technische Dokumentation
List of available trusted root certificates in iOS 9: https://support.apple.com/en-us/HT205205
 
Podcast Security Now
Nachweis BackUp Remote aktivieren - Kontext Big Fappening, IDict...
https://en.wikipedia.org/wiki/FBI–Apple_encryption_dispute
 
 
iMessage
    
iDict
 
== Juli ==
 
News:
 
#Musik
Intro: Klamm - Dragon Fire
 
Klamm -Crusing
 
Pornophonique - I want to be a robot
 
Pornophonique - Space Invaders
 
Outro: Kraftfuttermischwerk - Am Wolkenberg (instrumental)
 
Was heißt sicher kommunizieren?
- Ende zu Ende
- wichtigste keiner darf dazwischen mithören 
 
--> Abhörsicherheit
- Methode:
    - Crypto
    - Stasi Leitung sichern, Leitung in Rohren mit Unterdruck
--> Bietet aber auch Whatapp
- Beispiel Tiefseekabel 
 
--> Authentifizierung
- rede ich wirklich mit dem anderen
- kein man in the middle
- kann Whatsapp nicht
 
--> Integrität
- einzelne Nachrichten werden nicht gesendet
- einzelne Nachrichten werden hinzugefügt
- einzelne Nachrichten werden manipuliert
 
Beispiele anhand der Kriterien durchgehen
- Whatsapp
- Signal
    - Telefonbuchsyncfoo
- E-Mail made in Germany --> Transportverschlüsselung
    - Ziel war: sicher, zuverlässig, vertraulicher Geschäftsverkehr, im Internet, für jederman
    - Problem: jeder kann sich Mailadresse, Max Mustermann holen 
                    --> DE-Mail: Ausweis vorzeigen
    - Problem: Empfangsbestätigung kann verweigert werden 
                    --> Empfang automatisch bestätigt
    - Versand einer DE-Mail kostet 0,39 Cent
    - wenige Anbieter, wegen teurer Zertifizierung
    - Problem: nicht immer Transportverschlüsselung --> DE-Mail immer SSL
    - Problem: nicht jeder hat Verschlüsselung --> DE-Mail: keine Verschlüsselung :-)
    - Problem: Viren, Trojaner --> Virenscan beim Anbieter
            - Wer schickt denn für 0,39€, auf seinen Namenregistriert Malware?
            - andererseits wiegen sich Nutzer in flascher Sicherheit --> Indiv. Angriff möglich
            - Traum für Angreifer: sensible Daten, nur wenige Anbieter, unverschlüsselt
            - Traum für Behörden: sensible Daten,nur wenige Anbieter,unverschlüsselt,kein      Spam
    --> Ziel: Wirtschaftsförderung und Abhörbarkeit --> Statt kein Interesse an Sicherheit
- OTR, Omemo
- PGP
Achtung Metadaten
 
--> Perfect Forward Secrecy
- wenn ein Key bekannt wird, bedeutet nicht, dass komplette Kommunikation offen liegt
    - in Vergangenheit als auch Zukunft
    
--> (plausible) Deniability
 
--> Vertrauenswürdige Basis
- Passwörter auf Rechner verschlüsseln
    - OS, z.B. Windows oder Programme - Gefahr Viren, Trojaner, und Co.
        - wenn Open Source
            - auch möglich, aber durch Möglichkeit zu Audits vertrauenswürdiger
    - Hardware (min. Geheimdienst nötig)
- kann ich meinem Handy vertrauen?
    - nein
    - warum nicht?
        - Hardware
        - OS / Provider
        - Hersteller (Verzögerung von Updates, eigene Apps)
        - Provider (Verzögerung von Updates, eigene Apps) http://heise.de/-1337858
        - Apps
        - GSM /Baseband
- Passwortzettel nicht rumliegen lassen 
- Trust no one- Ansatz
 
 
== Juni ==
 
Koeart - Begrüßung
 
#IT Crowd
 
* Einleitung / Begriffserklärung
    ** Wer ist eigentlich die mächtigste Person im Unternehmen? Der CEO? 
    Nein, der komische Typ im Keller mit den Wanderschuhen... (Alex)
    ** Beispiel Terry Childs (Alex)
 
    ** Merkt man eigentlich nur wenn was kaputt ist 
    --> Klopapierprinzip
    --> undankbarer Job, Einschränkungen durch Security, 
    Störungen bei der Arbeit wenn was kaputt
    
    ** gibt verschiedene Typen
        *** z.B. Systemadministrator, Netzwerkadministrator, Systemmanager, Operator,
        Web Administrator, Datenbankadministrator, Anwendungsadministrator  
        *** sind für sich spezialisiert
        *** haben aber auch viele Gemeinsamkeiten, wie im folgenden erklärt
 
    ** Organisation und Technik (alex)
        *** Admin der nichts zu tun hat macht alles richtig
        *** kleine IT -> viel Technik, sehr individuell, breit gefächert
        *** große IT -> viel Organisation, standardisiert, Spezialisierung
            **** weil: je größer die IT um so mehr Standardisierung und Normierung
            **** je kleiner kleiner die IT um so mehr Hands on und Sonderlösungen
            **** bei großen IT-Umgebungen prozessorientiert
 
#Musik - "Ambient Background" soundshrim 
 
    ** aus Sicht aus Usersicht, aus Firmensicht, eines Admins
    ** Was machen eigentlich Admins um die IT einer Firma, 
    Uni oder ähnlichem am Laufen zu halten?
* Konflikte Firmensicht und Adminsicht und Usersicht
    ** was kostet Ausfall, was kostet wenn es läuft --> Optimum finden --> IT-Leiter
        ***Automatisierungen, Redundanzen, manuelle Tätigkeiten, Back Up Strategien
 
* Strategie und Taktitk (Alex)
    ** Vier-Augen-Prinzip
        *** wichtige Änderungen werden immer nach diesem Prinzip gemacht
        *** schöne Theorie, selten in der Praxis
    ** KISS
        *** keep it simple, stupid (zu deutsch: mach es so einfach wie es geht, blödmann! http://catb.org/jargon/html/K/KISS-Principle.html )
        *** komplex kann jeder, führt in der Praxis früher oder später zu Problemen 
        (Upgrades, Migration… )
        *** Nerds raffen das leider erst viel zu spät
    ** Spannungsfeld zwischen sicher und anwenderfreundlich
        *** die Interessen von Admins und Users sind selten deckungsgleich
        *** letztlich muss der Admin dafür sorgen, dass die User arbeiten können, auch wenn es bedeutet sie einzuschränken
 
Uptime Funk
 
* Aufgabenbereiche und Werkzeuge        
    ** Monitoring - Infrastruktur am laufen halten
        ***was ist passiert gerade, wie ist akuteller Zustand
        ***Icinga
        *** Logserver
    ** Dokumentation
        *** wo ist was, wie ist Konfig, Zuständigkeiten, Change log
    ** Incident Mangement
        ***Ticketsystem (OTRS, Redmine)
        *** Prioritäten
        *** Aufgabenverteilung
    ** ITLM (IT Livecycle Management) (Alex)
        ***kaufen, warten, ...
        *** Lizenzmanagement
                *** Updatemanagement
            **** Tests und Evaluation
        *** Softwareverteilung
            **** Tests und Evaluation
    ** ITSM (IT Service Management)
        ***Usermanagement
            **** Rechtemanagement
            **** AD, LDAP
            **** Groupware/Colaboration Tools
    ** Testing, Evaluation (Alex)
        *** Welche Produkte erfüllen die Anforderungen
        *** Wie müssen sie konfiguriert werden
    ** IT-Sicherheit (Alex)
        *** Datenschutz
        *** Datensicherheit
        *** Nur ein sicheres System ist auch ein zuverlässiges System
        
# Day Routers Died
                        
Wie wird man Admin? 
Welche Voraussetzungen braucht man für den Beruf?
    
* the dark side (Alex)
        ** ITIL (Infrastructure Libary)  https://de.wikipedia.org/wiki/IT_Infrastructure_Library  
            ***Managementtechniken in IT übertragen um messbar zu machen, 
                **** z.B. Prozesse einführen, Begriffe eindeutig bestimmen
            **** nicht als Regel, kein Standard, Kann-Regelungen, Best Pratice
    ** Zertifikate
        Nachweis von Fähigkeiten
        Firmen mach Schulungsprogramme für ihre Produkte 
        --> daraus erwuchs eigener Industriezweig, 
        Firmen wie Microsoft oder Cisco hohe Gewinne damit
        ursprünglich Nachweis von Wissen/Fertigkeiten
        später eher als Marketinglabel um eigene Produkte zu vermarkten
            Firmen stellen Leute mit Microsoft zertifikaten ein, 
            ist am weitesten verbreitet,       
            hoher bedarf an Leuten mit Zertifikaten, 
            dafür gesorgt das (teils kostenlos) weit verbreitet
            Schulungsinhalte: nicht nur wissensvermitteln, sondern auch meinungsbildend
            auch unabhängige Zertifikate als wirklicher Wissensnachweis
        *** Herstellerzertifizierung
            **** MCSE/MSCDBA/MSCA, Cisco etc
            **** Marketing-Brainwash
            **** manchmal sogar kostelos oder sehr billig um die eigenen Produkte im Markt 
            zu platzieren
        *** herstellerunabhängige Zertifikate
            **** LPIC, BSDCG
    ** Wartungsverträge
        ***komplexes Produkt, dass allein nicht verwaltet werden kann
        --> Abhängigkeit von Lieferanten
            **** Das ist das, was große Teile der IT-Industrie am Laufen (und Leben) hält
                *****sichere über zeit laufende Einnahmen
            **** man schafft sich selber Arbeit, indem man eine Ideologie etabliert, 
            dass nur das professionell ist, wofür es herstellerseits Wartungsverträge gibt
            **** führt dazu, dass in den Organisationen know how fehlt 
            und mittelfristig zu vendor lock in
                ***** z.B. Microsoft speichert Office in eigenen Formaten statt in freien
                *****Venor lock-in: Kundenbindung/Herstellerabhängigkeit, 
                Wechsel schwer gemacht, hohe Kosten,
            **** Strategie gegen FOSS, weil da gibts sowas ja nicht 
            und so garantiert ein Unternehmen für das Produkt/Service (FUD)
            
 
# Musik - Intro: "System Administrator Song" von Three Dead Trolls in a Baggie
 
 
 
Links:
 
* 1 Admin oder Adminteams/Zusammenarbeit mit anderen
    Security
    sich nicht in die quere kommen
    redundanz wenn ein admin ausfällt
 
== May(hem) ==
 
#Musik: Intro Broke for Free - At the count http://brokeforfree.bandcamp.com/track/at-the-count
 
News:
* Windows 10 interrupts a live TV broadcast with an unwanted upgrade
 
* ImageMagick Br0k3n!1elf
    *** wozu dienst dieses Tool und wo wird es eingesetzt
    *** warum ist es problematisch wenn das kaputt ist?
    
* Gnu Hurd aktualisiert
    *** Hurd kurz erklären
    *** totgesagte leben länger
    *** ein Microkernel-System könnte durchaus die FOSS-Landschaft bereichern
 
* Oracle vs. Google (Java)
    *** der wohl wichtigste IT-Prozess derzeit
    *** Oracle hat Java mit Sun gekauft
    *** Sun war eine Firma, die viel auf offene Standards gesetzt hat
    *** Oracle ist einfach nur böse (mehr Anwälte als Entwickler etc)
    *** Google nutzt Java-APIs
    *** Oracle an das Java im Android ran, auch wenn das nicht ihres ist
    *** Entscheidung kann viele (negative) Auswirkungen auch auf FOSS haben, Firmen können Entwickler verklagen, wenn sie ihre APIs nutzen, auch wenn sie offen sind wie beim JavaSE
 
 # Musik: Broke for free - Nothing like captain crunch http://brokeforfree.bandcamp.com/track/nothing-like-captain-crunch
 
Es wird zwei Teile geben.
Im ersten Teil würden wir über Passwörter allgemein sprechen. (ca. 30min)
 
*Arten von Identifikationsverfahren
    ** Wissen/ Etwas das ich weiß
        *** Eigenschaften: Vergessen, Weitergeben/Duplizieren/Verraten, Erraten, Preisgabe erzwingen, schnell, einfach
        *** Beispiele: PIN (z.B. EC_Karte), Passwort, Passphrase (länger als PW),Sicherheitsfrage
    ** Besitz / Etwas das ich habe
        *** Eigenschaften: Produktionsaufwand, muss es immer rumtragen, kann ich verlieren, kann gestohlen werden
        *** Beispiele: Schlüssel (phys. oder virt.), Karten (Magnetstreifen, RFID, Smart), TAN-Liste, Token
    ** Körperliches Merkmal/Biometrie - Etwas das ich bin
        *** Eigenschaften: immer dabei, dadurch missbrauchbar, z.B. Daten Gescihtserkennung auch Nutzung bei Überwachungskameras und 
            nicht nur Ausweis, teils leicht abnehmbar (Schäubles Fingerabdruck), techn. Aufwand zur Erkennung, immer Brücke 
            zwischen fehlerhafte Erkennung ist möglich (False Acceptance) und fehlerhafte Zurückweisung ist möglich (False Rejection), 
            Datenschutz, Auschluss bestimmter Gruppen möglich, z.B. Probleme bei Fingerabdruck erkennung asiatische Frauen [1]
        *** Beispiele: Fingerabdruck, Gesichtserkennung, Tippverhalten, Stimmerkennung, Iriserkennung, Retinamerkmale, 
                Handvenenscannen, DNS
                
* Woher kommen Passwörter?
    ** ursprünglich Parolen beim Militär um bei Dunkelheit zu entscheiden ob Freund oder Feind
    ** Ganz früher gabs einen Pförtner an der Tür, der geregelt hat wer reinkam
     ** Passwörter sind nicht dafür da Daten freizugeben, sondern den User  gegenüber dem Computer zu authentizieren. Wer auf was     
         zugreifen darf,  wird vom Rechtesystem geregelt. (Wird oft falsch verstanden)
 
* Wie werden Passwörter gehackt?
    ** Nutzer ist Schuld
        *** zu einfach
        ***zu kurz, kann man durchprobieren, wie beim Fahrradzahlenschloss
            **** gibt auch Sperrmechanismen wie EC-Karten
        *** überall das gleiche
            ****Problem wenn eins bekannt wird, liegen auch alle anderen Zugange offen
        *** Statistiken zu häufigsten Passwörtern
            **** über Jahre hinweg immer wieder die gleichen häufigsten Passwörter
            Rank    Password     [2]     
            1     123456        
            2      password
            3      12345
            4      12345678
            5      qwerty
            6      123456789
            7      1234
            8      baseball     
            10    football  
            11    1234567   
            13     letmein   
            14    abc123     
            15    111111
            17    access      
            20    michael        
            21    superman
            22    696969
            23    123123
            24    batman
        oft auch Seitenname...
        ****linked in: "123456", das über  eine Million mal genutzt wurde (von 140 Mio)  
            "linkedin", "password", "123456789"  weit über  hunderttausend Mal 
        *** Brute Force
        *** Umgang mit dem Passwort (Post it am Monitor, unverschlüsselte Passwortlisten oder Passwortmanager ohne Masterpasswort)
            ****ALH: Trojaner suchen nach PW-Datenbanken
            ****ALH: Leute mit Feldstechern vor Firmen
    ** Betreiber ist Schuld
        *** unverschlüsselte Übertragung, kein https, Schlüsselsymbol    --> meckert mit dem Betreiber
        *** Passwörter im Klartext speichern
        *** Hash, vgl. Prüfsumme, Quersumme, 
            **** eindeutig: wenn man das gleiche rein tut, kommt das  gleiche raus, tut man was anderes rein, kommt was anderes raus
            **** passiert serverseitig
        *** Passwörter gehasht, aber ohne Salt
            **** aktuelles Beispiel Linked In  [3] 180 Mio PW 2012 geklaut, jetzt größtenteils entschlüsselt
        *** Rainbow Tables [4]
        *** Keylogger oder andere Malware
        
* Tipps zum Umgang mit Passwörtern (abgeleitet aus Angriffen)
    ** Was sind starke/schwache Passwörter?
    ** Wie erstelle ich mir ein sicheres Passwort, dass ich mir merken kann?
        *** Staple Horse Battery Coorect [5]
        *** Snowden Interview
    ** Wie verwalte ich meine Passwörter? (Passwortendatenbanken)
       ***Keepass(X)
            ***ALH: Plugins
        ***Broswer-PW-DB
    **Warum soll ich überall verschiedene Passwörter verwenden?
    ** usw.
 
#Musik: Jonathan Mann - How To Choose A Password   https://www.youtube.com/watch?v=oBBk_dpOX7w
    
    
Im zweiten Teil kämen wir dann zu Alernativen zu Passwörtern.
Welche Alternativen zu Passwörtern gibt es, was sind deren Vor- und Nachteile? (Ca. 45min)
* OAuth/OpenID
    ** ursprüngliche Idee
        ***eigentlich keine wirkliche Alternative zu Passwörtern, eher der Versuch Passwörter nicht im ganzen Netz zu verteilen
    ** heutige Kritik (OAuth zu komplex, zieht Consulting etc hinter sich her)
* Zertifikate
    ** Statt einfach zu ratender Passwörter wird ein Crypto-Key benutzt
    ** Problem: Kommt der weg, gibt es keinen zusätzlichen Schutz
* Zwei-Faktor-Authentifizierung
        *** neben dem Passwort muss man auch den Besitz eines weiteren Tokens nachweisen
            **** Token kann ein Gerät sein, ein Zertifikat, TAN usw.
            **** Weitere Faktoren: Uhrzeit, Lokation, Gerät usw.
        *** sehr unwahrscheinlich, dass Passwort und Token gemeinsam gestohlen werden
        *** die Token müssen gegen Ausspähen, Kopieren etc geschützt sein
    ** Trust Scores by Google
        *** Kombination aus Faktoren (Sprache, Nähe zu WLANs etc) errechnet Score
        *** je nach Dienst muss der höher oder niedriger sein
    ** Tippverhalten
    ** Biometrie
    ** Äpps
    **Zertifikate
        *** als zusätzlicher Faktor, nicht zu verwechseln mit Zertifikat als "Login-Passwort"
    ** SmartCards / Dongles
        *** Was SmartCards nicht sind
            **** Transponder- und RFID-Cards
            **** Speicherkarten
            **** Mifare-Karten etc.
        *** Wie funktioniert so eine Smartcard?
            **** Meist als Chipkarte oder USB-Dongle ausgeführt, es gibt aber auch andere Bauarten, zum Beispiel NFC, auf Mainboard oder in CPU integriert oder als externes Gerät
            **** Nicht einfach nur ein Speicher für Keys, sondern eher ein kleiner Computer, der die Zugriffe auf den eigentlichen Speicher regelt
        *** Warum sind die Keys etc darin sicher?
            **** Das OS und auch der User haben keinen direkten Zugriff auf die Geheimnisse
            **** Sicherheitsprobleme auf dem OS beeinflussen nicht die Smartcard
            **** Smartcards sind leicht auditierbar und damit unwahrscheinlich, dass es Fehler gibt, zumindest in der Theorie
            **** In der Praxis muss man dem Hersteller trauen
        *** Zeitabhängige Verfahren vs. Challenge-Response
    ** Mobile TAN, TAN Generatoren
    ** Umsetzungen
        *** propietäre Lösungen (RSA Security, ID Control, Vasco, Kobil etc)
            **** geht dauernd kaputt
            **** benötigt Infrastruktur des Herstellers
            **** zieht meistens Wartungsverträge und Vendor-Lockin nach sich
            **** teuer und komplex
        *** Fido U2F
            **** nicht zu verwechseln mit Fido UAF, einem Biometrie-Auth-Protokoll
            **** sehr günstig (ab ca. 5€, war von Anfang an Designziel)
            **** herstellerunabhängig
            **** offener Standard (bereits integriert in diverse Produkte, zum Beispiel Google, diverse Sachen von Microsoft und auch FOSS-Software wie PAM)
            **** kann nicht viel, aber ist perfekt um den Besitz des 2. Faktors nachzuweisen
        *** OTP
            **** one time password
            **** nicht zu verwechseln mit "one time pad"
            **** zeitabhängig/zählerabhängig & andere mathematische Verfahren, TOTP/HOTP (https://netknights.it/hotp-oder-totp/) am weitesten verbreitet
            **** sowohl in Hardware (diverse Smartcards) als auch Software (Keepass)
        *** Tan-Generatoren via Chip-Karte (Smartcard oder ePerso)
        *** OpenPGP-Card (Crypto finden auf Karte statt und Kommunkation mit OS über API)
            **** ist eigentlich für GnuPG-Verschlüsselung gedacht, kann aber über Umwege zur Authentizierung bzw als Besitzbeweis genutzt werden
    ** Yubi-Key, NitroKey, Software-Lösungen auf Java-Cards
    
#Musik: Outro -Triplexity Invited with Jennifer Greer https://www.jamendo.com/track/189568/triplexity-invited-with-jennifer-greer
 
Quellen:
 
== April(, April) ==
Topic: Werbenetzwerke - Targeted Ad Attacks
 
Aufbau:
* Vorstellung Gäste => H.A.T.E.O.T.U. ?!
* Werbenetze
        **Warum Werbung im Netz?
        **Arten von Werbung im Netz   
        **Wie wird man durchs Netz verfolgt?
        ***Veranschaulichungen: Lightbeam (Firefoxplugin) [1], Datenblumen [2]
        ***Cookies
        ****HTTP - Cookies, Flash-Cookies, Supercookies, Evercookies
        ***Cache- und Browser-Fingerprinting
        **Was ist das?
            ***Erklärung
            ***Beispiele: Google, Doubleclick (inzwischen Google), Facebook, Twitter , Yahoo, Adobe, Microsoft 
                nicht nur Werbebanner und Cookies tracken, Google etc nutzen auch Content wie Youtube, Gmail etc
                Bei Apps was wird getrackt? (auf was sie Zugriff bekommen)
 
                Browserspezifische optimieren
        Werbenetzwerke sammeln infos
                → dann kann man zu Google sagen was wird wo angezeigt
                → nur Gruppe von Leuten wird das angezeigt
                → dann wird es nicht mitbekommen, es wird zielgerichtet angegriffen, deshalb nicht in Virenscannern und Co. auffindbar
                → Exploit kann auch erst nach gewisser zeit aktiv werden
                → Angriffe auch über normale Seiten, da alle gleiche Werbenetze suchen
                --> wenn man mit Adminrechten arbeitet wie es viele machen, dann GAU
        Trackingtechniken
        SSL nützt da nix, weil das Tracking über die Server läuft und nicht über die Verbindung
        Identification als Person, nicht nur an einem Gerät
                Google: „egal ob wir deinen Namen kennen, Hauptsache können dich identifizieren“
Targeted Ad attacks
        Warum?
        Wie geht das?
Was kann man dagegen tun?
        Nicht nur nervig auch Sicherheitsrisiko
        Werbefreie Äpps (aka FOSS) => [librejs](https://www.gnu.org/software/librejs/)
                Studie Werbebannerfilter – Effizienz der einzelnen Tools
        Empfehlung panopticlick.eff.org --> Fingerprinting eindämmen
        Tor => [tor-browser](http://torproject.org/)
        Do not track (hier auch Nachteile nennen) §15 III TMG (nur in D)
        Ghostery (umstritten, Default-Einstellungen, Firmenzweck)
        Adblock (umstritten, Default-Einstellungen, Firmenzweck)
                Hilft nicht gegen alle Arten,...
        NoScript 
        Privacy Badger
        UBlock origin
 
Zeit ca. 1h
 
Veranstaltungshinweis: [Linux Presentation Day]
  • 30.04.2016 in den Räumen der HTW Dresden
 
Links:
 
News:
* Microsoft chatbot is taught to swear on Twitter <http://www.bbc.com/news/technology-35890188>
* The Internet routes around censorship, this time with Wikipedia Zero <http://motherboard.vice.com/read/wikipedia-zero-facebook-free-basics-angola-pirates-zero-rating>
* Linus Neumann benennt große Herausforderungen für Trolle, PremiumCola erklärt sein Erfolgsrezept, das Easterhegg war ein Spaß: https://eh16.easterhegg.eu/, https://media.ccc.de/c/eh16
* Auch Microsoft macht uns das trollen schwer, seit einiger Zeit schon wird dort Open Source (MIT) gebaut (s.a. SQL Server 2016 für Linux http://www.heise.de/newsticker/meldung/Spaete-Freundschaft-Microsoft-plant-SQL-Server-fuer-Linux-3130161.html) und nun basht man dort sein Windows höchstselbst: http://blog.dustinkirkland.com/2016/03/ubuntu-on-windows.html
* Dezentrale eBay-Alternative seit 3 Wochen live https://openbazaar.org/
 
== M(ehr H)erz ==
 
Begrüßung: Heute ist Pinguintag! Alles Gute euch allen! :)
 
Musik:
Partiion 36 - I Love Penguins https://archive.org/details/jamendo-058962
 
News:
* Debian wieder mit Firefox statt Iceweasel
* StartSSL noch immer kaputt http://oalmanna.blogspot.de/2016/03/startssl-domain-validation.html und CAcert hoffentlich im April wieder geschlichtet, immerhin schonmal neue Signaturen https://blog.cacert.org/2016/03/successful-root-re-sign/
 
Thema: Verbreitung von Linux und Freier Software
Chemnitzer Linux Tage: Waren letztes Wochenende.
 
Warum Linux?
  • Paketverwaltung
  • Vollständig anpassbar / Konfigurierbar
  • verschiedene GUIs
  • Open Source
  • Vielfalt an Distros
  • Updates & upgrades (Stable / Rolling Release)
  • Probleme kann man selbst beheben
  • nachvollziehbarkeit
  • eher für Fortgeschrittene (?)
  • Hardware schränkt ein (Treiber, etc.)
  • aber bringt in der Standardinstallation mehr Treiber als jedes anderes Betriebssystem mit
  • Community
  • Events
  • Foren
  • Chats
  • keine "Utilities" / Virenscanner & co. nötig
  • System muss dennoch sicher benutzt/gewartet werden
  • Wie siehts mit Gaming aus?
 
 
Lug-DD:
  • Ort und Zeit der lug-Treffen
  • GAG18, 2. und 4. Mittwoch im Monat, 20:00 Uhr
  • WLAN vorhanden
  • Guenstige Getraenke (Studentenclub)
  •  (Alters-)Struktur der Mitglieder
  • Zur Zeit wenig Studenten dabei
  • Auch die lug-dd unterliegt dem demografischen Wandel :)
  • Themen/Selbstverstaendnis
  • Kein Verein, jeder kann vorbeikommen
  • Vortraege momentan eher selten
  • Support #1: Wir helfen gern, aber es muss auch ein [minimaler]
          Lerneffekt sichtbar sein.
  • Support #2: Wir helfen gern, haben aber was gegen Anspruchshaltung.
          "Konfigurier' mir das mal richtig, sonst geh ich zurueck zu Windows"
          wird nicht akzeptiert.
  • Viele Fragen/Antworten laufen auch ueber die Mailingliste
          (lug-dd@schlittermann.de)
 
fsfw-Dresden
  • aktiv seit etwas mehr als einem Jahr
  • Ziele:
  • Dokumentation für freie Software zur Verfügung stellen
  • Einsatz für die Verwendung freier Software an der Univeristät
  • sichere Kommunikation an der Uni fördern (E-Mail Verschlüsselung)
  • freien Zugang zu Wissen fördern
  • mehr Details: Programmpapier
  • Aktivitäten:
  • verschiedene Veranstaltungen (z.B. Linux-Install-Parties, Cryptoparties), oft in kooperation mit anderen Organisationen (c3d2, Datenkollektiv, ifsr, it4r, StuRa der HTW, SLUB)
  • GPG-Gewinnspiel um zum E-Mail verschlüsseln motivieren
  • monatlicher LaTeX-Helpdesk in der SLUB
  • Newsletter (Hinweise auf Veranstaltungen und relevante Neuigkeiten)
  • Interessierte sind beim Plenum in der SLUB willkommen (die Termine finden sich auf der Website)
 
Linux Presentation Day
  • 30.04.2016 in den Räumen der HTW Dresden
  • Ablauf
  • Vortrag
  • Linux Install Party
 
 
== Fairbrew ==
 
Thema Perl6
 
News:
Anlass: SW des BKA jetzt einsatzbereit und genehmigt, fuer Mobile und PCs.
"According to a 2008 decision by the German Constitutional Court, remote access to a citizen's computer is permissible only if there is life-threatening danger or suspicion of criminal activity against the state." (i.e. "Verfassungsfeinde"). Beschwerde anhaengig, im April in Karlsruhe.  http://www.deutschlandfunk.de/gerhart-baum-zum-bundestrojaner-der-staat-wird-hier-zum.694.de.html?dram:article_id=346287
 
glibc resolver luecke, remote attackable!
 
Tim Cook gegen das FBI, Apple weigert sich Telefone fuer das FBI zu entschluesseln.
Bill Gates steht hinter dem FBI.
Die Mehrheit des Internet ist dagegen, die Presse veroeffentlicht Statistiken, dass die mehrheit der Bevoelkerung hinter dem FBI stehe.
 
Firefox zeigt in Zukunft bei Passwortformularen eine Warnung an, wenn diese über http gehen: <https://hacks.mozilla.org/2016/01/login-forms-over-https-please/>
 
Bitcoin
- Euro-Preis schwankt wiedermal stark
 
Sicherheitslücke in Linux Mint: http://blog.linuxmint.com/?p=2994
 
(Optional)
- Hacker Publishes Personal Info of 20,000 FBI Agents <http://motherboard.vice.com/read/hacker-publishes-personal-info-of-20000-fbi-agents>
- Elektronische Fahrkarten doch nicht so gut? wieder Papier?  <http://www.golem.de/news/vbb-fahrcard-der-fehler-steckt-im-system-1602-118840-4.html>
 
 
Thema:
* Vorstellung Gaeste
* Warum Perl?
Generell wo fuer ist das gut und wo wird es verwendet?
* Warum jetzt Perl6?
Endlich veroeffentlich nach 16 Jahren.
Features und Unterschiede
 
* Geschichte
Milestones, zwischen Versionen
Warum hat die Entwicklung so lange gedauert?
<
 
 
*  Soll man umsteigen von Perl5
* Projekte mir Perl6
* Wo faengt man an.
 
* Wird Perl6 irgendwann noch schnell?
* CPAN für Perl5. Pendant für Perl6?
 
 
== Janvier ==
 
News:
 
(Mic92 - hats gelesen)
 
Was duckduckgo und facebook können, können wir doch auch ...
http://rvy6qmlqfstv6rlz.onion/ c3d2 ist über einen onion service erreichbar
 
 
TrumpScript: https://github.com/samshadwell/TrumpScript (Artikel dazu sind am Ende der README verlinkt)
- Falls seine Reden als Text verfügbar sind, müsste man die mal in den Interpreter stopfen und schauen was bei rauskommt :)
 
Niederländische Regierung sponsert OpenSSL $540,000
- Gegen Spionage und Krimnielle Energien
 
Niederländische Regierung spricht sich gegen Krypto-Hintertüren aus
 
Französische Regierung spricht sich gegen Krypto-Hintertüren aus
 
- Ian Murdock: Debian Maintainer, letzter Maintainer Docker
 
 
https://bitcoin.org/en/bitcoin-core/capacity-increases-faq das Core Team und die Menschen, die leise echte Lösungen haben verbreiten ihre Roadmap
http://money.cnn.com/2016/01/21/technology/china-digital-currency/index.html die Chinesische Zentralbank will eine eigene CryptoCurrency
https://z.cash/ Zerocoin nimmt Gestalt an
 
Thema: Linuxkernel . community
 
- Erstveröffentlichung:
   - just a hobby, won’t be big and professional like gnu
   - Newsgroups: comp.os.minix
   - Entwicklung auf seinem 386-PC
   - bash & gcc
- Tanenbaum–Torvalds debate:
  - 1992 on the Usenet discussion groupcomp.os.minix, arguing that microkernels are superior to monolithic kernels and therefore Linux was, even in 1992,obsoletee
- 1991 - 2002: 
  - Entwicklung ohne Versionskontrollsystem (Erklären anhand von 
  - Tarballs + Patchest
- 2002 - 2005:
  - Bitkeeper
  - propritäres verteiltes Versionssystem
  - Kostenlos für Kernelentwicklung
  - Andrew Tridgell (Entwickler v. Samba u. rsync) entwickelte "SourcePuller" als kompatible Implementierung -> Larry McVoy: zieht Lizenz zurück
  - 2005: 
   - Linus Torvalds stellt Kernelenwicklung ein und entwickelt innerhalb weniger Wochen git
   - Monotone erfüllte 2/3 Kritieren (Verteiltheit, Sicherheit)
    aber war zu langsam
 
# Wie reiche ich einen Patch ein?
- doc/CodingStyle
    - wie setze Klammern, dokumentiere ich, verhindere ich Komplexität (Funktionen)
- scripts/checkpatch.pl
  - Whitespace, Checkt Stil
 - scripts/get_maintainer.pl
   - liefert Maintainer aber auch passende Mailinglisten
   - ist manchmal übereifrig, Liste nachkontrollieren
- Maintainer (Zu sehen in https://git.kernel.org/cgit/)
   - Baumstruktur (hierarisch)
   - Aufgabenteilung
   - Architekturen: 31 an der Zahl
     - ARM (vielleicht weiter ausführen)
     - X86
  - Treibersubsysteme (USB, Block, Bluetooth, Sound)
  - Dateisysteme
  - Grafik (DRM, Nvidea-Rant: https://www.youtube.com/watch?v=MShbP3OpASA)
 
 
- Mailingliste:
  - Linux Kernel Mainlinglist (LKML) als Catchall (wird meißt nur als Referenz verwendet, liest aber keiner)
  - einzelne Subsysteme haben eigene Mailinglisten für Patches/Diskussionen
  - Ausführliche Commitbeschreibung / kurzer Betreff
  - Patches - werden inline verschickt und vom Maintainer inline kommentiert
  - Pull-Request (Unterschied zu Github)
  - Developer Certificate of Origin (Signed-off-by: ... in Commitnachricht) ... Einsender bestätigt, dass er berechtig ist die Änderung einzubringen
 - Patchversionen im Betreffeld der Email
 - Documentation/SubmittingPatches
 
- Releaseablauf
 - Maintainer sind ein Release weiter (wenn 4.4 released, Arbeiten Maintainer an 4.6)
  - Merge-Window: 2 Wochen in denen die Hauptänderungen in den Hauptkernel einfliessen
  - 6-8 Wochen Stabilisierung + Aufnahme neuer Features durch Maintainer
  - Heise KernelLog als Zusammenfassung
 
 
- We don't break Userspace!
 - Betriebssystemschnittstellen müssen kompatible zu alten Versionen bleiben
 -> sonst wird Torvalds böse
 
 
- Medien
    - Sarah Sharp (USB-3) - Closing a door
    - Generelles Problem unterschiedlicher Kulturen (europäisch, asiatisch, amerikanisch, ...)
    - Größte Opensourceprojekt überhaupt (Code + Contributor) >7.7 Änderungen pro Stunde 24/7 (http://www.linuxfoundation.org/news-media/announcements/2015/02/linux-foundation-releases-linux-development-report)
    
 
- Konferenzen?
 
 - LinuxCon + LinuxCon Europe (Docker, Docker, Cloud, Cloud, ...)
   - Fragerunde mit Torvalds
 - embedded Linux Conference (+Europe) ... da wo die Profis sind
   - Leute von der Mailingliste in RL treffen
 - Kernel Summit
   - intern invitation only
   - Kernentwickler/Maintainer
  - Arbeitstreffen -> Entscheidungsfindung
 - Chemnitzer LinuxTage
 - FrosCon
 - FOSDEM (5000 Menschen)
 - LinuxTag (RIP?)
 - kleinere/größere Konferenzen auf allen Kontinenten (LinuxCon AU, Japan)...
 
 
- Talkempfehlung:
  - 
  - Geschichte von Git: Google I/O Talk https://www.youtube.com/watch?v=4XpnKHJAok8
 
 
== Schneezember ==
 
Thema: Letsencrypt
 
NSA to shut down bulk phone surveillance program by Sunday Nov 29
 
Überwachung für alle: Open Source License Plate Reader
 
Brazil verbietet Whatsapp, 1.5 Mio. neue Telegram-User an 1 Tag
 
 
 
 
Doubled Paid Traffic (Hetzer)
 
 
 
Der SAP-Konkurrent Oracle muss nach Ermittlungen der US-Aufsichtsbehörde Federal Trade Commission (FTC) das Verfahren beim Stopfen von Sicherheitslücken in Java nachbessern. Java soll auf mehr als 850 Millionen Computern zum Einsatz kommen.
 
Die FTC hatte angeprangert, dass bei Sicherheits-Updates von Java jeweils nur die aktuelle Version ausgetauscht worden sei. Ältere Varianten seien dabei schlicht ignoriert worden und weiter auf den Geräten der Nutzer geblieben; was ein Sicherheitsrisiko ist.
Auf ältere Java-Versionen hinweisen
 
 
Der Jurist [Meinhard Starostik] wies darauf hin, dass Bayern bereits dem Landesamt für Verfassungsschutz Zugriff auf die Metadaten geben wolle, obwohl die Tinte unter dem Gesetz noch gar nicht getrocknet sei.
 
Lücke im Linux-Bootloader: Backspace-Taste umgeht Grub-Passwort <
 
=== Letsencrypt ===
 
  - Einführung:
      - 
  - TLS:
    - Häufigster Anwendungsfall von Zertifikaten
    - Verweiß auf Sendung SSL Juni 2010:
      (hier wird die Verschlüsselung erklärt - symmetrische/asymmetrische
      Verschlüsselung, Deffi-Helmann)
    - TLS
    - Begriffe-Bingo: SSL, TLS, STARTTLS
      - oft im Zusammenhang mit Emailclientkonfiguration
      - SSL, TLS: eigentlich Protokollversionen (keine Varianten)
          - (SSLv1 nie veröffentlicht)
          - SSLv2, SSLv3, TLS 1.0, TLS 1.2
          - SSLv2: 1995, definitiv lange kaputt (MD5, Truncation Attacke)
          - SSLv3: 1996, POODLE
      - On Tuesday, October 14, 2014, Google released details on the POODLE attack, 
        a padding oracle attack that targets CBC-mode ciphers in SSLv3. 
        The vulnerability allows an active MITM attacker to decrypt content transferred an SSLv3 connection. 
        While secure connections primarily use TLS (the successor to SSL), 
        most users were vulnerable because web browsers and servers will 
        downgrade to SSLv3 if there are problems negotiating a TLS session.
      - TLS spezifiert nur das Protokoll des Sitzungsaufbaus, 
        die Verschlüsselungsalgorithmen - Cipher genannt, sind austauschbar
 
 
  - Was CAs sind und wie das Vertrauensmodell aufgebaut ist 
     (vielleicht will $jemand dabei noch ein paar Sätze zu CAcert erzählen)
   - "Domain Validation" (DV)
   - "Organization Validation" (OV)
   - "Extended Validation" (EV)
   -  PKCS#10 Certificate Signing Request
    - Json Web Security
  - Was Zertifikate sind (X.509) und wie man dazu kommt
  
  - Wie letsencrypt und ACME letztendlich funktioniert
    - Anwendungsfall:
      - Häufig sehr zeitaufwendig, Zertifikate zu erstellen, Domains zu validieren und Zertifikate zu aktualisieren
      - Ziel Zertifikat ohne Eingriff eines Menschen
      - 
    - Acme bietet die Möglichkeit dies zu automatisieren:
        - HTTP basiertapplication/jose+json
        - Austausch von JSON-Nachrichten auf spezifizierten Pfaden
        - Account automatisch erstellbar (durch erzeugung eines Schlüsselbundes)
    - Domain-Validierung:
        - HTTP 01:
            - {scheme}://{domain}/.well-known/acme-challenge/{token}
            -  http/https 
            - application/jose+json
 
        - DVSNI: Domain Validation with Server Name Indication
            - dNSName “<Z[0:32]>.<Z[32:64]>.acme.invalid
            - auch für nicht webserver interessant
        - DNS: TXT _acme-challenge.example.com.  "gfj9Xq...Rg85nM"
 
  - evtl. noch ein paar Dinge zur Infrastruktur und auf die Talks auf dem 32c3 hinweisen:
  - caddy: 
    $ caddy -agree=true -host "higgsboson.tk"
 
== Movember ==
 
Thema: Elasticsearch
 
News:
 
(Migration auf shownot.es?)
 
 
 
Während Europa im Katastrophenmodus ist, wird die Überwachung hochgefahren
  • VDS
  • Netzneutralität
  • Zwangsrouter
  • Zwangsentschlüsselungsvorschläge
 
IT4Refuges:
 
Elaticsearch (ca. 1h)
 
------------ Schnipp - fb, martin, t-lo notizen zur Sendung ------------
Vorbereitung Pentaradio 2015-11-24: Elastic Search
 
Q: Warum Elastic Search? Warum nicht Dynamic Search oder irgendwas search?
        
Ich kenne die Geschichte hinter dem Namen nicht, würde search aber auf ursprünglich Volltextsuche beziehen, Elastic auf elastisches skalieren, ähnlich zu EC2
        
  • Was meint Search?
  • Warum Elastic?
  • Ähnliche Projekte
  • Solr
  • Heliosearch
  • Sphinx
  • vormals: Fast (jetzt M$ gekauft), Endeca, Blast (neofonie) u.a.
  • Welches Problem wird gelöst?
  • Volltextsuche
  • Key/Value Store
        
  • Intro-Beispiel: Suchmaschine Webshop.
  • Recommodation Ding (https://github.com/MaineC/recsys, bitte nicht als machine learning verkaufen, das sind Ansätze um Empfehlungssysteme (im Sinne von "welche Produkte zeige ich in meinem Webshop wann an, um potenzielle Käufer zum Kauf zu verlocken") zu bauen. Machine learning als Begriff ist IMHO ein Fall von "wenn das jemand hört, weiß jeder sofort worum es geht ohne Ahnung zu haben was es ist" was insb. außerhalb von Machine Learning Akademikerkreisen oft dazu führt, dass die Leute wunderhübsch aneinender vorbeireden.)
        
  • Wie funktioniert 'Suche'?
  • Warum sucht man?
  • Invertierter Index (Was ist das?)
  • so wie z. B. im Index/Stichwortverzeichnis im Buch
  • Lucene vorstellen
  • Wie füttert man ES mit Daten?
  • Was passiert dann?
  • Architektur von ES
 
  • Installation von ES
  • Daten laden
  • PUT API, Bulk API - in den meisten Fällen insb. für Logs aber Logstash
  • Was suchen
  • Cluster aufsetzen
  • Anekdote: Wie vermeide ich, dass mein Dev Notebook Elasticsearch von meinem Production Cluster Elasticsearch gefunden wird? Hint, hint: Man ändere mind. den Namen des Clusters.
                
  • Verteiltes ES, advanced Features
  • Sharding
  • Unterscheide primary und replica shards.
  • Primary = in wieviele Teile wird der gesamtindex aufgeteilt, default = 5, jeder einzelne primary shard muss auf einen hostenden Knoten passen; je höher die Anzahl primary shards desto mehr Daten passen insg. in den Index, aber über desto mehr shards muss auch gesucht werden (https://www.elastic.co/guide/en/elasticsearch/guide/current/kagillion-shards.html ); Anzahl primary shards verändert erfordert ein komplettes neu-indexieren der Daten im Index.
  • Aggregations
  • Ich fürchte das ist ein komplett eigener Podcast
  • Cluster
  • Plug-ins
        APIs
  •                         - stabile REST API, diverse Endpunkte für Java Plugin extensions
                
 
 
Links:
 
------------- Schnapp - fb, martin, t-lo notizen ----------------------------
 
- Kurze Vorstellung des Themas/ (Gäste?)
- Wie funktioniert Volltextsuche in Elasticsearch 
    (Vom Webbrowser zur Suche und Zurück)
    - Schnittstelle
    - Verarbeitung der Sucheingabe (N-Gramm, Stemming)
    - TF/IDF, Lucene
    - Sortierung/Bewertung der Treffer
- Elasticsearchterminolgie:
    - Dokumente
    - Typen
    - Indices
- Verteilte Architektur
    - Clustering, Shards
    - Indexpartionierung
    - Netzwerkdiscovery
- Andere Anwendungen (Neben Volltextsuche)
    - Zeitreihen
    - Geosuche
- Coole Projekte/Erweiterungen:
    - Kibana
    - Logstash
    - Marvel
- Wie kann ich Elasticsearch installieren/ausprobieren?
   - Bibliotheken
   - Dokumentation mit Volltextsuche: 
 
 
== Oktober ==
 
Thema: FPGA
 
Musik-Ideen:
 
News
  • Phrack.org hat jetzt paper feed und ist wieder aktiver
  • SODD The Next Level:
  • Datenspuren:
  • Keynote
  • SDR
  • Podiumsdiskussion (Verfassungsschutz looking at Kollemate)
  • Fen­ster ein­schla­gen für Dummys
  • Rise of the Ma­chi­nes: Sie be­gin­nen zu ler­nen.
  • Let's Encrypt Beta:
  • Reaktion auf Content-Filter-Api von Safarie?
 
Thema:
  • Was ist ein FPGA?
  • field programmable gate array (field=im "Feld"; vom Anwender)
  • Logische Schaltungen können darauf 'programmiert' werden
  • Was war euer 1. Kontakt mit FPGAs
  • Christian: Taschenrechner, 2048
  • Alfred: Prozessor (Uni-Projekt) aus ASIC-Entwurf portiert
  • Poly: Erweiterung des BladeRF Software Defined Rado
  • Funktionsweise
  • Entwicklerboard -> Bestandteile (Eingänge/Ausgänge/andere Bauteile)
  • LUTS
  • z.B. Bauteil mit 4 Eingängen und einem Ausgang
  • alle möglich Eingänge mit dem richtigen Ausgang belegt.
  • Beispiel am Addierer
  • Platzverbrauch gegenüber fertige Schaltungen
  • Register
  • Verdrahtung
  • Für bestimmte Operationen/Aufgaben sind häufig bereits fertige Bauteile auf dem Board / SOC
  • Multiplizierer
  • Speicher (z.B. SDRAM)
  • (ARM-)Prozessor
  • IO: GPIOs/VGA/PCI-Express/Analog-Digitalwandler/LEDs/Taster/Switches/Sensoren
  • Wozu braucht man einen FPGA? Welche programmierbare Hardware gibt es sonst noch? (CPLDs? weiß jemand was dazu?)
  • Abgrenzung zu Prozessoren
  • Gegensatz zu ASICs:
  • kurze Erläuterung wie Chips entwickelt/hergestellt werden -> Kosten
  • Prototyping:
  • Workflow FPGA <-> ASIC praktisch identisch
  • Javaprozessor (Uniprojekt): SHAP (Secure Hardware Agent Platform)
  • 'Echtzeit'-Anforderungen
  • Industrie -> Bussysteme -> Timing wichtig
  • Kleinserien
  • siehe Kosten ASICs
  • z.B. bei manchen Fernsehgeräten, Mobilfunk-Basisstationen
  • Flexibilität (Updates!)
  • Konfiguration nicht dauerhaft -> manche Geräte verfügen über Flashspeicher
  • Militär benutzt nicht-auslesbare Speicher (z.B. AES-Verschlüsselung mit Keys nicht-lesbar auf FPGA hinterlegt)
  • Parallelität
  • Energieeffizienz:
  • Bitcoin 600 MH/s Grafikkarte -> 400 Watt, FPGA mit einer Hashrate von 826 MH/s nur 80 Watt (5mal höhere Energieeffizienz); Asics: 60 GH/s bei einem Stromverbrauch von 60 Watt
  • Zahlen:
  • Taktfrequenz typisch: 20 Mhz - 500 MHz
  • Bis zu 20 Milliarden Transistoren
  •  
  • Wie 'programmiert' man einen FPGA?
  • Very High Speed Integrated Circuit Hardware Description Language
  • Statemachine (Kaffeeautomat / Drehkreuz)
  • KombinatorikFunktionsweise
  • Synthese -> Place & Route -> Bitstream
  • Dauert z.T. recht lang (Erfahrungswerte: 20min+x)
  • vgl. ASIC: Stunden  bis Wochen
  • Freie Software
  • Simulatoren (Icarus Verilog, GHDL)
  • GTK-Wave
  • Wesentlich mehr Tests notwendig, durch Simulation (Asserts)
  • IP-Cores: (Soft-Cores/Hard-Cores)
  • github
  • Kommerziell (Altera, Xilinix, ...)
  • Was gibt es für coole Projekte mit FPGAs
  • Novenaboard, Bitcoinminer (legacy)
  • Wie kann ich einsteigen in das Thema
  • xilinx/Quartus webpack
  • kostenlos
  • Kaufempfehlung ? 
  • Retrocomputing: mist-board (ca. 200€)
  • Einsteigerprojekte?
  • Cyclone?
 
 
Termine
  •  
 
== September ==
News:
  • Bitcoin akzeptieren für jeden, Dev-Edition verfügbar: https://21.co
  • BMVg will die Bundeswehr für Cyberkrieg rüsten http://www.bmvg.de/portal/a/bmvg/!ut/p/c4/NYuxDsIwDET_yE5gKWwtZWBhYIGypW0UGTVOZZyy8PEkA3fSG-7p8Iml7DYKTimxW_CBw0TH8QNj3AK8UpayQiSmt3qhHPFeP7OHKbHXSvWsVBjEaRJYk-hSTRYpBmjGwdi-M9b8Y7_t7nw9nJpm31-6G64xtj-fkO2W/
  •  
  • Interfug:
  • 29. & 30.08.2015
  • Chaostreff Chemnitz
  • lokomov
  • Sichere Kontaktdatenverteilung mit Sm@rtRNS (Tesla42)
  • Suckless.org (Zwansch)
  • Torrenting on the Interwebs (astro)
  • Wir kochen Hagebuttenmarmelade (kusanowsky)
  • Hackerspace -> Vollgestellt mit Rechner und 3D-Drucker
 
Thema: Datenspuren!
- Datenspuren
* Wann? Wo? Thema?
- Wann: Oktober
- Technische Sammlungen: Mehr Platz (3 Räume)
* Was ist neu?
 - Workshops
    * Enigma Bastelworkshop
    * 2 Kryptoworkshops: 
        - PGP-Email
        - Was kommt nach der Email (Datenkollektiv)
 - Party im Turmkaffee am Samstag (min. 2 Dj)
* Wobei brauchen wir Hilfe?
    * 
* Warum mach ich das?
    * Motiviation von mc
    * Astro (A8) erzählt alte Geschichten (?)
* Stand:
    * Erlebnisland Mathematik
    * Sniffing-Collage
    * Infostände: Cacert, Freifunk, Openwrt
* Vorträge
    * Netztechnologien, Verschlüsselung, Smartcards
    * Keynote: Linus Neumann
    * Podiumsdiskussion: Die Grenzen des Geheimen mit Anna Biselli, Constanze Kurz und Gordian Meyer-Plath (Präsident des Landesamt für Verfassungsschutz)
    * E-Call: 
        - Gesetzentwurf für automatischen Anruf nach dem Unfall
    * Ligthning Talks: am Samstag
* Kooperation mit Zukunftsstadt
    * Visionen einreichen und umsetzbar machen
    * OpenData
    
- T-Shirts
- Spenden
- Keynote
- Party
- E-Mail
 
- Codeweek:
* 24.09. Treffen der FSFW https://fsfw-dresden.de/
*  Erstes Wochenende (10. und 11. Oktober 2015)
  • Von GeekGirlsCarrots
  • am 10. oder 11. Oktober 2015 erstmalig eine Veranstaltung unter dem Motto Code Carrots
  • isbesondere programmierbegeisterte Frauen
* Zweites Wochenende (17. und 18. Oktober 2015)
  • Vom Medienkulturzentrum Dresden und dem OK Lab Dresden 
  • am 17. Oktober 2015 Veranstaltungen für Jugendliche
  • Jugend hackt (Ost),  was im Juni stattfand, hat gezeigt wie viel Spaß junge Menschen im  kreativen Umgang mit Technik haben. 
  • Workshop mit Mini-Computern (Raspberry Pi)
  • Technik mit  elektronischen Schaltkreisen, die sich für den kreativen Einsatz als  Klanginstrument eignet, soll bearbeitet werden.
  • Von OffenesDresden.de wird es ergänzend Hackathon zu Open Data geben. 
  • Als Open Data Dresden möchten wir über den C3D2 hinaus Menschen für Code zu Open Data begeistern.
* Debugging-Themenabend am Freitag
  * strace, ltrace,  gdb, sysdig und co
  * es werden eine Reihe von  Programmen vorgestellt mit dem man sein System besser verstehen  und  Fehler finden kann. Es soll dabei weniger auf konkrete  Programmiersprachen,  sondern gezeigt werden wie man Programme von außen  debuggt.
* 15.10. Bitcoin Stammtisch in Leipzig
 
 
== Juli ==
 
News:
 
  • Hacking Team hacked: 
  • mailaender "security firma"
  • 400GB daten auf Wikileaks gelandet:
  • Geschäftsberichte, Exceltabellen + 1mio emails
  • deren Passwörter ("passw0rd")
  • aber auch ZeroDays (Flash, Chrome, Windows!)
  • Kaufen ZeroDays hauptsaechlich ein
 
  • Joshua Drake von Zimperium zLabs gegenüber Forbes erklärt,
  • muss der Angreifer seinem Opfer in spe lediglich eine MMS- oder  Hangouts-Nachricht schicken, in der sich Exploit-Code befindet.
  • Angriff ohne Spuren
  • Smartphone als Wanze
  • Android 2.2 bis 5.1 verwundbar
  • Hersteller sind gefragt
  • Full Disclosure auf der BlackHat
  • Zumindest das Google-Referenzgerät Nexus 6 und das Blackphone sollen bereits gegen einige der Schwachstellen gewappnet sein.
  • Die Entwickler der alternativen Android-Distribution CyanogenMod erklären, dass sie die Lücken bereits vor Wochen in CM 12 und der Nightly Build von 12.1 geschlossen haben
  •  vor allem Android-Versionen, die  älter als 4.1 sind. Neuere Versionen mit Schutzfunktionen  ausgestattet, die das Ausnutzen über MMS erschweren
  • Mac OS X Priviledge Escalation in 300 Zeichen
  • echo 'echo "$(whoami) ALL=(ALL) NOPASSWD:ALL" >&3' | DYLD_PRINT_TO_FILE=/etc/sudoers newgrp; sudo -s
  • OS X Yosemite Mac using code that fits in a tweet. (El Capitan)
  • Jeep
 
Thema: Rust
* Fmt standards
* Pkg registry
* Coole Projekte?
 
 
 
 
 
 
== Juni 2015 ==
 
Ankündigung:
 
Das 21. Jahrhundert liefert neue Herausforderungen für Programmierer: Multicore-Prozessoren, immer komplexer werdende Software, verteilte Systeme.
Die Entwickler der Programmiersprache Go verfolgen den Ansatz, es einfach zu machen, sichere und effiziente Software zu schreiben. In dieser Sendung wollen wir euch die Programmiersprache näher vorstellen.
 
Shownotes:
 
Edward Snowden Platz in Dresden http://edward-snowden-platz.de/
Bibliotheken in Go: http://awesome-go.com/
Go 1.5:  Go in Go geschrieben http://talks.golang.org/2015/gogo.slide#2
 
News
 
http://www.heise.de/newsticker/meldung/Nach-Trojaner-Angriff-Bundestag-soll-neues-Computer-Netzwerk-benoetigen-2687521.html (BSI) sei zu dem Ergebnis gekommen, dass das Netz nicht mehr gegen den  Angriff verteidigt werden könne und aufgegeben werden müsse.
2015-06-30T23:59:60
* am 17.06. war 200. Datenbankstammtisch, vorgestellt wurden Datenbankerweiterungen in ad-hoc vernetzter Hardware. Künftig werden Datenbank also nicht nur schon im  Hauptspeicher residieren, sondern auch schneller rechnen
* http://edward-snowden-platz.de/ Edward Snowden Platz in Dresden, auch mit Freifunk
 
=== Go ===
 
- 2007 by Robert Griesemer (V8 Code generation, Java Hotspot), 
  Rob Pike (UTF-8, Unix, Plan 9, Limbo), and Ken Thompson (B, Regular Expression, ed, UTF-8 encoding, Plan 9) in Google
  -> generft von C++ (Systemsprache bei Google)
- Kompilierte, Statisch typisierte Programmiersprache
-> statisch gelinkt, keine Libc-Abhängigkeit, nur Syscalls
- Garbage Collection (parallel/stop the world, mark-and-sweep)
- Typinterference -> foo := "string"; 
- Objektorientierung durch Interfaces (virtual inheritance) und Types
  - Typen können Methoden haben:
    type ip4addr uint32
    func (ip4addr a) String() {
        ....
    }
- Mixins -> Objektorientierung?
- Interface conversions and type assertions (Reflexion)
      type Stringer interface { String() string  }
      var value interface{} // Value provided by caller.
      switch str := value.(type) {
      case string:
          return str
      case Stringer:
          return str.String()
      }
- Lambdas
- Error as Value -> Methoden mit mehreren Rückgabewerten
- Slices, Maps
- string === UTF-8 Strings (Rob Pike hat UTF-8 mit geprägt)
- binary data? -> []byte
- explizite Typenkonvertierung (int32 -> int)
- Goroutinen (Greenthreads)
- Channels -> Warteschlange
  kanal := make(chan string)
  go func{ fmt.Print(<-kanal) }
  kanal <- "Hallo"  
- Share by communicating
- Defer
- Modulekonzept -> package main
    Methoden/Variablen mit beginnt Großbuchstaben -> nach außen sichtbare Methode
 
- Eingebauter C-Compiler -> Einbinden in C-Header Files + Linker Flags in 
Go-Kommentar
  // #include <stdio.h>
  ...
  C.printf
- Plattformabhängiger Code in eignen Dateien -> (keine #ifdef Hölle)
   // +build linux,386 darwin,!cgo
   <name>[_GOOS][_GOARCH].go -> taskbar_windows.go
 
====Packetmanagement====
 
export GOPATH=~/go
~/go
├── bin
│   ├── gore
├── pkg
│   └── linux_amd64
│       └── github.com
│           ├── Mic92
│           │   └── lock
│           │       ├── filter.a
│           │       └── flag.a
└── src
    ├── github.com
    │   ├── Mic92
    │   │   ├── lock
 
go get github.com/<User>/<Project -> import "github.com.<User>.<Projekt>
 
=== Coole Bibliotheken ===
 
- Batteries included: 
  -> Webserver, json, xml, template engine, ssl, kompression, http/smtp/json rpc
  -> testing, syscalls, bildformate
- Standartbibliothek gut lesbar (kurze Methoden, wenige Verschachtelungen, verlinkt von der Dokumentation) <-> glibc
- häufig reine Go-Biblioteken (keine C-Wrapper) -> tls
-> C verbannt
 
- webanwendungen? -> Ähnlich Express.js/sinatra/Flask, kleine Modulare Frameworks
 
==== Triva ====
 
- Gopher Team bei Google http://www.wired.com/2013/07/gopher/
- Subject von #go auf freenode.net: Go, the game (not the silly language) -> #go-nuts
- golang als Stichwort in Suchmaschinen
- keine Stackoverflows -> continous/resizeable stack
 
Tooling:
AST-Parser in stdlib + einfache Syntax ->
 
eingebaut:
- gofmt -> Codeformatierung
- pprof -> profiler mit Webansicht (CPU, Speicher, Goroutinen Locks
(- gofix -> Apirefactoring)
- gdb -> debugger
- godoc -> Dokumentationsserver, Dokumentation in Kommentaren
- go test
- go generate:
  //go:generate stringer -type=Pill
 
- go race detector: http://blog.golang.org/race-detector (Speicherzugriffe)
- gocode -> Codevervollständigung
- go oracle
- vet/lint -> Statische Codeanalyse
- gorename -> Refactoring
- goxc -> Cross-Compiler + statische gelinkte Standartbibliothek 
  -> einfaches Deployen auf mehreren Plattformen
- vim-go
 
Projekte in Go:
 
- play.golang.org - Ausführbare Codesnippets
- CloudFlare built their distributed DNS service entirely with Go
- gern für Kommandozeilenprogramme (heroku, hub, direnv) -> schneller  Start/wenig Laufzeitabhängigkeiten
- für Serveranwendungen (Backend) -> einfach zu Deployen
- SoundCloud is an audio distribution service that has "dozens of systems in Go
- docker
- The raft package provides an implementation of the Raft distributed consensus protocol. It is the basis of Go projects like etcd and SkyDNS.
- Packer is a tool  for automating the creation of machine images for deployment to virtual  machines or cloud services. 
- Bitly's NSQ  is a realtime distributed messaging platform designed for  fault-tolerance and high-availability, and is used in production at  bitly and a bunch of other companies.
-  Canonical's JuJu  infrastructure automation system was rewritten in Go.
 
unterstützte Plattformen:
  Linux, Mac OS X, FreeBSD, NetBSD, OpenBSD, Plan 9, and Microsoft Windows
Architekturen:
  i386, amd64, ARM and IBM POWER
 
(android und ios)
 
=== Termine ===
 
MORGEN
  • Orga-Meeting Datenspuren
26-28. Jardin Entropique in Rennes
03.07. Lange Nacht der Wissenschaften
10.07. Staat 2.0 an der TU Leipzig: Interdisziplinäres Gespräch: Der Staat und seine Bürger im digitalen Zeitalter
 
 
 
== Mai 2015 ==
Opener:
"Filesharing ist die Nachbarschaftshilfe des Internets"
 
Musik
 
News:
* Fedora 22 jetzt mit Wayland  Login
Dnf statt Yum neuer Paketmanager:
* Aehnliche Bedienung
* Besseres API
 
* Auch die Mandriva Leute glauben jetzt das Mandriva tot ist!
 
* JavaScript ist 20 Jahre alt geworden
 
    - crossplattform
    - Atom mit Intellisense
    - mehrere Sprachen -> Schwerpunkt auf Web
 
* Die Amis sind sauer!
Weil die deutsche Regierungsopposition aufklaerung fordert!
Was sagen dazu Politiker?
"Die Zusammenarbeit mit den Amerikanern ist wichtig .... blablabla"
"Die Welt ist in den letzten Jahren doch nicht sicherer geworden ... "
 
 - erste stabile Version (Sprache/Standardlibary)
 - sichere Sprache (Highlevel, abstrakt), kommt ohne Garbage Collection und Runtime aus -> Kernel (viele auf github: rustboot...), Spiele, neuer Mozillabrowser (servo)
 
Filesharing:
 
"When you pirate MP3's You're downloading Communism"
"Filesharing ist die Nachbarschaftshilfe des Internets"
 
Client-Server-Prinzip
    Web
    Usenet: 
     - Dienst älter als das Web
     - Hierachische Gruppen
  • comp.*, news.*, sci.*, 
      - Entwicklung: text -> base64 -> binary
      - Server die sich untereinander synchen (schnell große Datenmengen bei binary -> gebannt von den meisten Server -> kommerzielle)  
      -  Binary grabber/plucker: auf Download spezialisierte NewsReader
      - Par2: Herunterladen oft Unzuverlässig, Parchive, parity files, index der Dateien mit Checksumme
    Mailboxen
    Sharehoster (Rapidshare, Megaupload, Upload.to)
    Turnschuhlaufwerk (Platten)
    NAS/Windows Dateifreigabe
    Sync (Dropbox, Seafile, Bittorrent Sync)
    Soziale Netzwerke (Flickr)
    IRC 
Peer-to-Peer mit Koordinationsserver
    BitTorrent-Netzwerk
Peer-to-Peer: vollständig dezentrales Filesharing
    eMule-Kademlia-Netzwerk
    gnutella- und Gnutella2-Netzwerke
    Manolito P2P network (MP2PN)
    FastTrack-Netzwerk
    Multi-Netzwerk-Clients
Anonymes P2P
    I2P-Netzwerk
  • Open Source, anonymes und zensurresistentes P2P Mix-Netzwerk für diverse Internet-Anwendungen, aktive Weiterentwicklung
    Andere Netzwerke
  • Freenet – Open Source, anonyme und zensurresistente Plattform für diverse Internet-Anwendungen (aktive Weiterentwicklung)
  • GNUnet – Open Source, anonymer Filesharing-Client mit fakultativem Caching von Inhalten (aktive Weiterentwicklung)
  • RetroShare – Open Source, anonymes und zensurresistentes Turtle-Routing-Netzwerk für verschiedene Anwendungen (aktive Weiterentwicklung)
 
Was lädt man sich über Filesharing?
- CC-Musik
- freie Software
- Bitlove
- Opendata (größere Datenbanken wie Wikidata, Openstreetmap)
- Im HQ
 
Ankündigungen:
Am Samstagabend ist der 100. Wikipedia-Stammtisch in der Gaststätte Narrenhäusel <https://de.wikipedia.org/wiki/Narrenh%C3%A4usel> : https://de.wikipedia.org/wiki/Wikipedia:Dresden
 
== April 2015 ==
 
News:
* gitter
* HRZ HTW Dresden dreht der KSS die selfhosted cloud ab
* Oettinger 4 VDS
* BND-foo
* debian updaten, jessie outdated und als stable veröffentlicht
* DRM demnächst mit Hardware-Dongelung dank großer Firmen
    - ubuntu bekommt transaktionale Updates -> Zurückrollen 
    -> Familiensupport wird einfacher
    - Kernsystem doppelt installiert (system-a/system-b, nur lesbar)
    - erinnert an systemd
    - Neues Packetformat:
        - differentielle Updates
        - Ports/Services
Thema: DN42
Internet im Internet
Motivation: IPv6-Tunnelbroker eingerichtet, und nun? Weiterlernen!
technische Hintergründe
  • lokaler Rechner: einfache Routingtabelle mit Default Gateway zum Router
     -> ISPs: viele Netze, viele Organsiationen -> Bedarf für Protokoll
  • BGP:
  • Jeder Teilnehmer paart mit einer Anzahl von anderen Peers und gibt seine eigenen Netze (Netz erklären) bekannt und die Netze die er erreicht. (Routing by Rumor)
  • dezentral
  • Filter (nicht blind jede Route akzeptieren), Gewichtsparameter (unterschiedliche Bandbreiten zwischen den Peers)
  • VPN-Tunnel:
  • die wenigsten Peers im DN42 haben direkte Verbindung zueinander -> Abhilfe Tunnel über VPN schaffen Verbindungen über das Internet
  • openvpn, ipsec, GRE, fastd, tinc
  • DNS: eigene tld
 
Wie kann ich mitmachen? (wolf)
  • Wiki öffnen: dn42.net (projektseite)
  • Anmelden auf io.nixnodes.net (interface zur registry)
  • AS-Nummer: 418
  • Subnet: ipv4 172.22.0.0/15, ipv6 fd00/8
  • Domain: .dn42
  • IRC/Peerfinder ...
  • VPN Tunnel aufsetzen
  • BGP Dienst aufsetzen (Bird, Quagga) -> Filterregeln (wichtig! böse Routen)
  • Bonus: DNS integrieren (eigener DNS oder bestehenden verwenden)
 
Dienste:
  • Howto wiki
  • looking glasses, map
  • Anycast DNS, whois, tor
  • irc-server, hackint
  • suchmaschinen
  • Peering mit einzelnen Freifunk Projekte, ChaosVPN peering
  • Package Mirrors für Linux Distros
  • VCR
  • Free Music Radio (mit CC-Music), Streaming
  • git hosting
  • VMs, shell-accounts
 
  • Datenspuren
  • Termine
 
 
== März 2015 ==
News:
  • Chemnitzer Linuxtage:
  • vergangenes Wochenende (21. - 22. März)
  • Vortragsprogramm für breites Publikum (Vom wie man von Windows auf Kubuntu wechselt bis zum x86_64 Assembler)
  • Workshops (blastermaster: Debianpaketierungen)
  • Stände für Projekte
  • Linuxnacht: Chipmunkmusik -> Musik auf dem Taschenrechner/Gameboy
  • Es wird Aufzeichnungen
  • Programm, welches den RAM der Grafikkarte ausliest
  • Vram nicht resettet
  • Virtualboxmaschine konnte bei 3D-Beschleunigung Bildschirminhalte vom Host auslesen
  • Windows 10 verlangt nicht deaktivierbares Secure Boot von OEMs:
  • Secureboot erklären -> aktuelle Situation mit Windows 8
  • fuses
  • nicht mehr deaktivierbar bei Windows 10 zertifizierten OEMs
  • mögliche Lösungen:
 
Thema: Unicode
 
  • Ursprung der Textkodierung: Fernschreiber
  • Morsecode: Mehre Symbole pro Zeichen
  •  5-Tasten: Ein Symbol pro Zeichen
 
  • Ascii (Das Computerzeitalter und die rasch zunehmende Globalisierung der Kommunikation)
  • alle programme machen was anderes mit dem ersten bit 
  • Latin-1 (Sprachspezifische Varianten), Oktetts
  • dutzende Kodierungen für nichtlateinische Schriften (Big5, MS-874,…)
  • Unicodestandard und Umsetzungen (UTF-8, UTF-16)
  • UCS - Universal Character Set
  • Mojibake und warum alle gefälligst UTF-8 benutzen sollen KTHXBYE
  • -> Unterschied zwischen 
  • UTF-8 (Rob Pike, verwendet für Internetprotokolle)
  • UTF-16 (High-Surrogate, Low-Surrogate, BOM - Byte Order Mark, verwendet für programminterne Repräsentation)
  • PUA “Private Use Area” - Klingonisch, MUFI (Medieval Unicode Font Initiative)
 
Probleme bei
 
Ankündigungen:
- CfP f. CryptoCon http://sublab.org/cryptocon15 - Ideen für den 7.-10. Mai
- CfP f. Linux Tage in Tübingen am 13.06.15: http://www.tuebix.org/callforpapers/
- Freie Software & Freies Wissen fsfw) morgen 18:30 im Zentralgebäude -2.115 (sublevel 2)
- Samstag ab 09:45 , Electronics OpenSpace & Arduino Day in der CoFab
- Wikipediastammtisch am Samstag ab 18:00 Uhr:  in der BuchBar in der Neustadt. https://de.wikipedia.org/wiki/Wikipedia:Dresden
- easterhegg!!! 3.-6.april in Braunschweig
- DN42 Themenabend im April
- 18.04. Tag der Offenen Tür an der HTW (u.a. Programmierung von Microcontrollern)
Termine, Ort und ggf. Links bei uns im Kalender auf c3d2.de
 
 
== Februar 2015 ==
News:
* http://www.heise.de/newsticker/meldung/AT-T-macht-Googles-Glasfaserangebot-weiter-Konkurrenz-2550938.html nur dort wo Google Fiber schon ist und mit Tracking-Opt-out für $29
 
== Januar 2015 ==
 
News:
die EU reguliert jetzt Dual-Use für Intrusion Software/ip network surveillance equipment: “Intrusion-Software” (4) (intrusion software): “Software”, besonders entwickelt oder geändert, um die Erkennung
durch ‘Überwachungsinstrumente’ zu vermeiden, oder ‘Schutzmaßnahmen’ eines Rechners oder eines netzfähigen Gerä­
tes zu umgehen, und die eine der folgenden Operationen ausführen kann:
a) Extraktion von Daten oder Informationen aus einem Rechner oder einem netzfähigen Gerät oder Veränderung von
System- oder Benutzerdaten oder
b) Veränderung des Standard-Ausführungspfades eines Programms oder Prozesses, um die Ausführung externer Befehle
‎[09:31:44 PM] ‎Аstrо‎: the security ap0calypse continues!
‎[09:36:08 PM] ‎Аstrо‎: wow, ein john!
Anmerkungen:
1. “Intrusion-Software” erfasst nicht Folgendes:
a) Hypervisoren, Fehlersuchprogramme oder Tools für Software Reverse Engineering (SRE),
b) “Software” für das digitale Rechtemanagement (DRM) oder
c) “Software”, entwickelt zur Installation durch Hersteller, Administratoren oder Benutzer zu Ortungs- und Wiederauffindungs­
zwecken.
2. Netzfähige Geräte schließen mobile Geräte und intelligente Zähler ein.
Technische Anmerkungen:
1. ‘Überwachungsinstrumente’: “Software” oder Hardware-Geräte, die Systemverhalten oder auf einem Gerät laufende Prozesse über­
wachen. Dies beinhaltet Antiviren (AV)-Produkte, End Point Security Products, Personal Security Products (PSP), Intrusion
Detection Systems (IDS), Intrusion-Prevention-Systems (IPS) oder Firewalls.
2. ‘Schutzmaßnahmen’: zur Gewährleistung der sicheren Code-Ausführung entwickelte Techniken, wie Data Execution Prevention
(DEP), Address Space Layout Randomisation (ASLR) oder Sandboxing.
“Isolierte lebende Kulturen” (1) (isolated live cultures): schließen lebende Kulturen in gefrorener Form und als Trocken­
präparat ein.
bzw.
j) Systeme oder Ausrüstung zur Überwachung der Kommunikation in IP-Netzen (Internet-Protokoll) und
besonders konstruierte Bestandteile hierfür mit allen folgenden Eigenschaften:
1. für die Ausführung aller folgenden Operationen in einem Carrier-Class Internet Protocol Network (z.
B. nationales IP-Backbone):
a) Analyse auf der Anwendungsschicht (application layer) (z. B. Schicht 7 des OSI-Modells (Open
Systems Interconnection) (ISO/IEC 7498-1));
b) Extraktion ausgewählter Metadaten und Anwendungsinhalte (z. B.Sprache, Video, Nachrichten,
Anhänge) und
 
 
 
Ankuendigungen:
31.1 - 1.2. Fosdem Bruessel
3. - 6. April Easterhegg in Braunschweig
 
== Dezember 2014 ==
 
News:
 
  - Forscher der University of Jerusalem
  - 34 Versuchspersonen
  - 88% richtig bei Zwölf-Sekunden-Videos
  - Polizisten in den USA zukünftig zum Tragen einer Body-Cam verpflichtet
 
===Thema===
Nebenläufigkeit
Asynchrone Programmierung
Promises
npm
modularization
node forward/io.js
 
== November 2014 ==
 
News:
Github des Monats: ($Dinge goes github)
  - Boldmove von Microsoft, C# besser als Java!
  - Wird mit dem Monoprojekt zusammen geführt
  - Webentwicklung/mobile Plattformen (besser als HTML-Apps) werden wieder interssanter
- go: https://groups.google.com/forum/#!topic/golang-dev/sckirqOWepg
 - Rob Pike (Alter Unix-Hacker und Oberguru von go)
 - von Mercurial zu git
 - Google-hosted instance of Gerrit
 - Anfang December
 
-> Diskussion über Github (zentral)
 
Debian bleibt bei systemd - Entwickler treten zurueck
 
Mozilla stellt auf Yahoo als Standardsuchmaschine um
 
  • Schadsoftware:
  • Trojaner (back door)
  • Geheimdienste NSA und GCHQ beim belgischen Telekommunikations-Anbieter Belgacom eingebrochen
  • Seit September 2013 ist öffentlich belegt
  • seit 2008
 
  • Treffen am 08.12.2014 1. Opensource-Initiative Dresden
     "Latex statt kommerziellen Scheiß"
     Weiterentwicklung von Opensource an der TU Dresden
  • Ticketsverkauf 31C3, Assembly vom C3D2
 
Thema:
* BSD
  • gesamte Quellcode in einem Sourcecodeverwaltung
  • Ports
  • Forken nicht so beliebt
 
* Geschichte
- 1970: Unix Timesharing System
    - entwickelt in den Bell Labs bei AT&T
    - Programmiersprache C, statt wie bisher Assembler -> portable
    - alles ist eine Datei (auch Geräte über Datei ansprechbar)
    - Multiuser fähig (Terminals -> Rechner) statt Batchverarbeitung
- 1970 + 7 Jahre: Universität von Kalifornien in Berkeley:
  - AT&T -> Telekommunikationsmonopol, durfte keine Software verkaufen
  - Sofware zum Preis der Datenträger zur Verfügung gestellt
  - Bill Joy (Erfinder von vi) -> erste Berkeley-Software-Distribution
  - Darpa brachte 1. TCP/IP-Implementierung ein
  - Umgeschrieben bis keine einzige Zeile AT&T-Quelltext -> unter BSD Lizenz gestellt (Sparen von Lizenskosten -> Networking Release/2)
- 4.3BSD-Lite auf Intel i386 -> führte zur Entwicklung von NetBSD und FreeBSD
 
  • FreeBSD
  • verbreitestes BSD-Variante
  • Jails
  • stabilste ZFS-Implementierung
  • Whatsapp: nutzt selber Freebsd, 1 Million Spende an die Foundation
  • pkgng
  • ZFS
  • FreeNAS
  • PC-BSD
  • Werkzeuge
  • Life Preserver
  • Warden
  • pbi
  • AppCafe
  • TrueOS
  • Lumina
  • DesktopBSD/GhostBSD
  • OpenBSD:
  • Aus dem NetBSD-Projekt entstanden
  • Entwickler Theo de Raadt ausgeschlossen
  • Fokus auf Sicherheit und offene Quellen
  • Sicherheitsaudits
  • pf, openssh, libressl
  • gehärtete Libc (static bounds checker)
  • Dragonfly BSD
  • Entwickler: Matt Dillon und andere
  • fork von FreeBSD
  • features:
  • HAMMER FS
  • schenller zugriffb
  • mit integriertem Spiegelung und Historien zugriff
  • seit 3.6 version 2
  • kompressionsalgorithmen, darunter LZ4 und zlib
  • Hybrid Kernel
  • ausgeprägte nutzung von Synchronizationsmechanismus
  • Deadlock frei
  • leicht zusammensetzbar
  • Lightweight Kernel Threads:
  • jeder Prozessor seinen eigenen Prozess-Scheduler
  • Prozessor wechsel nur durch Inter Prozessor Interrupts (IPI) Prozessen
  • Beste Ausnutzung von swap partitionen auf SSDs
  • NetBSD
  • Fokus auf Portierbarkeit: Toaster (2005 von der Firma Technologic Systems)
  • Beliebt in Embedded-Systemen -> Crosskompilieren einfach mit einem Befehl
  • Portable Gerätetreiber: PCI-Treiber für ein Gerät muss nicht für jede Archtitektur angepasst werden
  • Rumpkernel -> neue Treiber als Programm laufen lassen und später in den Kernel portieren
  • Lua Module im Kernel laufen
  • KGDB: Kernel Zeile für Zeile debuggen
 
 
weiterführende Medien:
 - BSD Now http://bsdnow.tv/
 
=== Ankündigungen ===
  • Tref­fen EDV-Struk­tur für So­li­da­rische In­i­ti­a­ti­ven in Dresden
  • 27. November 2014 um 18:30 Uhr
  • HQ
  • OpenSource-Initiative an der TU
  • Ort?
 
== Octobre 2014 ==
 
* http://www.heise.de/newsticker/meldung/Radikale-Islamisten-bekommen-eigenes-Ausweisdokument-ohne-Chip-2427815.html -- ich will auch einen ohne Chip, muss ich deshalb radikaler Islamist[tm] werden?
 
Themenabend über Systemd, dem neuen Servicemanager für Linux, am Donnerstag den 30. Oktober um 19:33 Uhr
 
 
=== Thema ===
 
Shells: sh, dash, bash, ksh, tcsh, zsh, fish
 
Was ist eine Shell?
- GUI vs CLI
 
Geschichte:
- RUNCOM (Multics) / IBM JCL
- Thompson Shell -> Redirect, Pipe -> Bourne Shell
 -> C-Code durch Shellskripte ersetzt
- C-Shell: History, Aliases, ~, Job Control, Path hashing
- Posix-Standard
 
Wie funktioniert eine Unixshell?
- parser -> fork() -> execvp() -> wait()
- Standarteingabe, Standarausgabe, Fehlerausgabe,
- Pipe
- Redirect
- Umgebungsvariablen ($PATH/$HOME)
- Functions/Aliases
- coreutils (cp, rm, cat) vs builtins (cd, read)
- interaktive Shell <-> Skripte
- PROMPT
- shebang
- globs
- Shell history
- job control (Ctrl-C) fg bg
- Kontrollstrukturen (If, while)
- Mathe: $((2+2)) let expressions
 
sh:
 
bash:
Standardshell unter Linux
Entwickelt von Brain Fox 1989
Seit Version 1.13 Chat Ramey Maintainer bis heute
angestellt von der FSF: Stallman sagte es sollte nur ein paar Monate dauern
arrays, assziative-arrays im gegensatz zur sh
 
dash:
- Debian Shell
- schnell zum booten gedacht (ausfuehren von init scripten)
- macht Shellskripte kaputt, wenn man sie portiert
 
zsh:
- Rechtschreibkontrolle
- loadable modules: zftp, zcalc
- global aliases
- prompt themes
- shell history zwischen shell sharen
- oh-my-zsh
- grml
- zshuery
 
fish:
- Autovervollständigung (vom Ordner abhängig)
- Syntaxhighlighting (rot, falls kein gültiger Befehl -> grün)
- modernere Shell-Syntax <-> Posix-Kompatibiltät
- Auch ohne lange Konfiguration schon gut benutzbar (ver
- fishd: verteilt globale Variablen an alle Shells
- baut Vervollständigung von Commandlineswitchen aus der manpage zusammen
- C++
- substring search (Ctrl-p)
 
Ausblick:
Powershell:
- Module
- Remote Code ausführen
- Pipeline -> Objekte statt Text, exception handling
- Code signing
- Events
- IDE
- Debugger
-
- definitv interessant, da gerade der arme Verwandte, der bei WIndows immer helfen muss, damit vieles erreichen kann
 
== September 2014 ==
 
* NEWS NR #1 Datenspuren ... die waren glaub ich
- Pentabug löten
 
 
 
 
 
 
 
 
* http://www.heise.de/newsticker/meldung/IT-Direktor-im-Innenministerium-wettert-gegen-Outsourcing-2390165.html Innenministerium verwendet FreieSoftware und OpenSource synonym - Sie haben es nicht verstanden.
 
* Apple Watch ist (bisher) ein sehr gut vermarkteter Witz - Nicht einmal wasserdicht, trotz Induktionsladung und modularem Design ist auch noch eine geringe Akkulaufzeit absehbar - die wirkliche Innivation ist ApplePay für Nicht-Digitalgüter http://www.golem.de/news/nfc-apple-pay-koennte-sich-auszahlen-1409-109181.html, endlich etwas privatsphärefreundlicher digitales Bezahlen, leider nur mit iPhone und bisher nur in den USA; dennoch: Cash bleibt Trumpf
 
 Bitcoin: Braintree integriert derzeit für deinen Zahlungsdienst und macht die Probe aud's Exempel für PayPal
 
 
 
=== NSA ===
 
 
(pentacast 48: Dateisysteme)
 
=== Thema ===
 
Containerloesungen: {LXC, Docker, BSD-Jails, systemd-nspawn}
 
* Was sind Container
* Abgrenzung der Betriebsystemvirtualsierung von Voll/Para-Virtualisierung (Virtualbox, VMware, KVM)
  • Normale sytemcall Schnittstelle kann genutzt werden keine emulation oder virtuelle Maschine nötig wie bei Voll/Para - Virtualizierung
* Vorteile: Leichtgewichtig und Schnell
  • Leichtgewichtig und Schnell
  • file-level copy on write
* Nachteile:
  • Gebunden an das Betriebsystem/Architektur
* Anwendungsfälle:
  • Dienste auf einem Server von einander trennen, z.B. im HQ
  • Ressourcen Verwaltung
  • Migration (Load Balancing)
* Containerlösungen:
  • chroot
  • Linux: lxc, docker, libvirt-lxc, systemd-nspawn(1), openvz
  • Solaris: zones
  • Freebsd: jails
  • Windows: virtuosso
* Technische Grundlagen Linux:
  • Linux Namespaces (unshare syscall):
  • mount, UTS, network, SysV IPC, user
  • Kommandozeile: nsenter/unshare
  • Resourcenzuteilung (RAM, IO, CPU), Priorisierung, Accounting
  • CONFIG_CGROUP_FREEZER
  • Apparmor and SELinux
* Freebsd: VIMAGE
* Solaris: Crossbow
* Apple App Sandboxing
 
* Apple App-Sandboxing
* chroot:
  • Linuxinstallation, Debian Packetierung, bind
* lxc:
  • lxc-create -> Templates für Distributionen
  • Menge von Kommandozeilenprogramme zum Verwalten
  • lxc-start/lxc-stop, lxc-attach/lxc-console
  • lxc-clone (zfs/btrfs)
  • /var/lib/lxc/C1/rootfs (backingstore)
  • macvlan, bridge,...
  • liblxc, Sprachbindings API
  • Auch als Nutzer startbar, Isolierung von Desktopanwendungen
  • eingesetzt bei uberspace.de
  • unprivileged containers
  • failover lxcs mit uCARP 
* docker:
  • aus propritären Proktukt von dotcloud entstanden -> 1. Release
  • Dockerfile, Einzelne Shell-Befehle Schritt für Schritt ausgeführt -> Snapshot basiert (btrfs, zfs, aufs, lvm thin provisioning) -> docker images -t
  • geschrieben in der Programmiersprache Go
  • volatile Container -> Data-Container
  • Einzelne Container Netzwerkdienste können gelinkt werden -> Umgebungsvariablen
  • Entwicklerfreundlich: Testen auf dem eigenem System, Upload von Deltas (git für container)
  • docker registry
  • coreos (systemd, kein Packetmanager, etcd, fleetd, failover, service discovery)
* jails:
  • since FreeBSD 4.X / stable 5.X
  • security police (global/local jail bezogen) sysctls
  • license fuckup bei ezjail / qjail
  • Ressourcenlimitierung (RCTL/RACCT)
  • network alias konzept
  • VIMAGE (virtualized network stack)
  • if_bridge/if_epair entwicklung vs NetGraph vs OpenVSwitch (userland)
  • Massendeployment mit ZFS basierten Jails
  • failover Jails mit CARP
  • MAC (Mandatory Access Control)
* systemd-nspawn:
  • wird zum Entwickeln von systemd genutzt
  • gelinktes journald
  • socket-activation
  • systemd-networkd (dhcp)
  • nsswitch (mymachines) -> Automatisch Host auflösen
  • momentan noch nicht ausbruchsicher
* Solaris Zones
  • Crossbow (virtualized network stack)
  • globale / nicht globale zones
  • RessourcePool (Prozesspriorität/CPU Core Zuweisung)
  • RBAC (Role-Based Access Control)
  • sparse/whole/-root/branded zones
 
* Ankündigung
  • Themenabend über Container im HQ vorraussichtlich 10.10
 
== August 2014 ==
 
wieder im pad oder demnächst im $portal?!
* ist noch kaputt (505 on submitting news)
* ggf wird eine neue instanz im hq aufgesetzt und um features für shownotes erweitert
-> erstmal pad
 
=== Thema: Datenspuren ===
 
=== News ===
  * Forscher der University of Michigan veroeffentlichen grosse Sicherheitsluecken ueber Ampelanlagen in der USA.
* Tor Browser soll sicherer werden:
* Google Forscher finden Fehler in Glibc
 
 
 
ALX:
* Synology hat ein Trojanerproblem
 * und F-Secure hilft bei der Entwanzung, man braucht aber den Schlüssel der Erpresser (Pricetag: 0,6 BTC ~ 240€) http://www.heise.de/newsticker/meldung/F-Secure-mit-zweischneidiger-Hilfe-fuer-SynoLocker-Opfer-2301886.html
 
BM
* Saechsische Piraten bringen ersten dauerhaften Online Parteitag:
 
 
* Huawei macht keine Windows Phones mehr:
 
 
* CCC Ehrenmitglied Snowden (+ Chelsa M.- angefragt) + Spende ans Anwaltsteam
 
 
* internet.org? Um Zensur routet das Internet herum: http://www.jpginternet.org/
 
ALX
* Globale Handy-Standortüberwachung per SS7
 
 
 
 * Digitale Agenda & IT-Sicherheitsgesetz
  • höhere it-standarts
  • meldepflicht für betreiber (auch anonym) = an bsi nicht bürger
  • mehr geld und rechte für bka,bnd,vfs
  • gewerkschaft der polizei fordert vds, de maiziere auch
  • anonymität im internet soll angeschaft werden
  • 100 it spezialisten für die sächsische polizei (de maiziere zu ulbig)
 
  • * Kripo will endlich mit Mautdaten Verbrecher jagen
bdk  & bka wollen zugriff auf mautdaten - dürfen bisher nicht, geforder  wegen verbrechensaufklärung - fall des autobahnschützen bewiese da  (gefunden durch kfz scanner & handynr. abgleich)
  • * Besser Handyortung für Polizei 
76 neue Beweissicherungs- und Dokumentationskraftwagen (BeDokW) für 4,2 millionen zur präzisions-lokalisierung
bka , antennenbauer, frauenhofer institut und tu ilmenau zusammen an dem projekt
 
* Zensur bei Twitter - Foley Video ---> demnächst automatische erkennung & zensur
 
* Automatische Suche nach Kinderpornos in Google, Twitter, Facebook & M$
 
* Blogklauerei
blogs werden gespiegelt um mit werbebannern $$$ zu machen
 
* FinFisher Hack
 
* Upcoming: Freiheit statt Angst am 30. August in Berlin
** momentan ist da auch der Link auf http://c3d2.de/ relativ weit vorn (dynamisch!)
 
* Schneller US-Einreise mit dem IPhone
 
* $75,000-Armprothese nutzlos wenn das gepairte iPad gestohlen wurde
** Deshalb Open Hardware auch für Prothesen!
 
 
=== 11. DS 2014 ===
 
am Sa+So 13.+14. September, start jeweils 10:00, Samstag mehr oder weniger Open End, Sonntag bis ca. 18:00
ORT: Scheune Dresden (wie gehabt)
ANREISE: Aufs Bahnticket hinweisen, weitere Infos unter
 
VORHER: Warmup im Dings,... Stilbruch - am Freitag  (Neustadt)
(12.09. 20:00)
bitte Anmelden: Teilnehmerzahlen grob planen!
eventuell kein Essen, wir geben nochmal Bescheid ob man vorher was mampfen muss
Link auch in den News auf datenspuren.de
 
 
Für wen ist die Veranstaltung was? Zielgruppe? - Alle!?
 
Worum geht es, Themen?
- Open Data, Überwachung , Privatsphäre, Datenschutz
 
 
Was machen wir so (Überblick)?
- Vorträge (Details später)
- Workshops/Diskussionsrunden
- Lightning Talks!!!!
- Basteln für JunghackerInnen
- Info-Stände zu einigen Vorträgen
- Installationen
 
*rumnörgeln* über den Vorbereitungsaufwand, was gehört da alles dazu
- Termine festmachen, Orga mit Veranstaltungsort (mieten)
- CfP rumschicken
- Logos,Website, Flyer, T-Shirts, Versicherung
- Vorträge einsammeln, bewerten, Fahrplan aufstellen
- Netzwerk (WLAN-APs, Anschluss mieten)
- Streaming sicherstellen
- Detailplanung, Logistik bis zum Essen/Trinken
 
 
Details zu den Vorträgen:
WICHTIG! bei p≡p - pretty Easy privacy  nur Titel/Untertitel, keine Details
Wir haben noch keinen endgültigen Fahrplan: weil: - würde ich so nicht sagen. einfach final fahrplan coming soon - lasst euch überraschen
 
Highlights:
Support aus Berlin: Constanze Kurz: 
Five Eyes - Welche Handlungsoptionen haben wir gegen Überwachung und Geheimgerichte
 
Yes we can – monitor you . wie geht das so mit dem Abhören im Internet, Live-Demo
 
Wie kannst du wissen wer ich bin?
"Was verraten deine Daten über mich?"
 
Freifunk in Dresden
 
Open-Data-Stadtrat - Podiumsdiskussion
 
Digitale Selbstverteidigung, Wie schuetze ich mich vor Ueberwachung
mit Infostand
Lücken in der Digitalen Selbstverteidigung
 
Workshop zu digitalen Lernmaterialien
 
digitale verbrauchergemeinschaft
 
Pentanews Gameshow!!!
 
Lighning Talks:
Was ist das?
Mitmachen!!! submit datenspuren@c3d2.de oder vor ort
 
Basteln? Was geht und für wen?
 
ZUM SCHLUSS:
Daten nennen
- Veranstaltung 13+14, ab 1000
- Warmup 12.9., Anmeldung bis 10.9.
- finde eine kollemate mit dem seltenen datenspuren-etikett
 
Ankuendigungen:
FSA 
Landtagswahlen ... Geht waehlen!
 
=== Termine ===
 
== Juli - 2014 ==
 
=== Themenvorschläge: ===
  • VPN
 
=== News Aggegation Juli ===
* Dresden De-Mail City, mit grosser Marketingkampanie und angeblich "sichere Kommunikation" zwischen Buerger und Behoerden will Dresden jetzt weitreichend De-Mail Bullshit einfuehren. Wir erinnern uns das fuer De-Mail das Gesetz welches beschreibt was "sicher" ist angepasst wurde.
 
* Sillicon Saxony:
 
* Microsoft macht NoIP Platt
Hier sollten wir vllt. auch alternativen aufzeigen, erklären warum das wertvolle Infrastruktur zerstört.
 
* NSA deklariert Tor Nutzer als Extremisten - also kennzeichnet euch doch einfach direkt:: https://www.trycelery.com/shop/torrorist
Alle ip addressen von Suchanfrage nach Schluesselworten wie "tor" oder "tails" werden von der nsa gespeichert und als "Extremist" vermerkt.
Das geht wohl aus Quellcode teilen (snort-regeln) der Ueberwachungssoftware Xkeyscore hervor
Die Grundsaetzliche Sicherheit von Tor scheint nicht gefaehrdet zu sein
aber anonym == boese ... liebe hacker merkt euch das
Bundesregierung->Reaktion()  == NULL // sollten wir garbage collecten!
 
* Meson neues Buildsystem
Bekanntlich haben ja alle Buildsysteme eins gemein ... sie suxXxen!!!
Als technische News und mal was positives könnten wir mal darueber Sprechen.
 
* Nach 43 Jahren: Andrew S. Tanenbaum gibt Abschiedsvorlesung - heise online 
A. S. Tanenbaum entwickler von Minix, was die Inspiration von Linus war als der Linux entwickelte
Doktorvater von 23 Wissenschaftlern
zwei Ehrendoktorwuerden
 
* Open Knowledge Festival für freies Wissen 15.07. - 17.07 in Berlin - heise online http://heise.de/-2258105
 
 
==== NSA Skandal / Snowden (die "Snowdens der Woche") ===
 
 
==== other ====
 
 
 
 
=== Thema ===
 
Juli 2014
 
VPN - Virtual Private Networks
 
Zweck
* LAN over WAN for Applications
* Privacy
 
Arten
* Nach OSI-Layer
 
Protokolle
* PPTP
* OpenVPN
* IPSec
 
 
Vorteile/Nachteile/Schwerpunkte
* Routing
* Bandbreite
* Vertraulichkeit
* Obfuscation
 
Anbieter
* $self
* ipredator