zurück zur Übersicht

36C3: Resource exhaustion

Der ehrenamtlich organisierte 36. Chaos Communication Congress (36C3) bot dieses Jahr unter dem Motto „Resource exhaustion“ wieder am Veranstaltungsort Messe Leipzig für schätzungsweise mehr als 16.000 Besucher Neuigkeiten und Austausch über die Themen des vergangenen und nächsten Jahres.

Nicht nur Technik, sondern auch Gesellschaftspolitisches und Kunst bereitete vom 27. bis zum 30. Dezember 2019 ein wahres Feuerwerk zum Jahresabschluss der Hackerszene. Dieses Jahr waren mindestens drei SecureLinker vor Ort, um sich über die interessantesten Neuigkeiten im IT-Sicherheitsbereich zu informieren. Das Beste möchte ich hier mit unseren Lesern teilen.

Programm

Aus den 690 Einreichungen wurden die besten Vortragsideen aus folgenden Bereichen ausgewählt:

  • Art & Culture
  • Ethics, Society & Politics
  • Hardware & Making
  • Resilience & Sustainability
  • Science
  • Security

In diesem Jahr neu war – entsprechend dem Congress-Motto – die explizite Nennung von „Sustainability“ als Vortragskategorie! Die zeitliche Anordnung der Vorträge, der „Fahrplan“, versucht so gut wie möglich zu vermeiden, dass Vorträge zeitgleich stattfinden (Kollisionen), die jeweils viele Personen besuchen möchten. Tausende vorab abgegebene Präferenzen der Besucher wurden hierzu mit dem Tool halfnarp halbautomatisch ausgewertet.

Weiters luden

zum offenen Austausch mit Gleichgesinnten ein.

Messe Leipzig wieder restlos gefüllt

Leider reichte der Platz der vielen angemieteten Messehallen leider nicht für alle Interessierten: Die Eintrittskarten für CCC-nahe Personen wurden über ein Vouchersystem verkauft und der Vorverkauf der an jedermann verkauften Tickets fand in drei Tranchen an verschiedenen Tagen im November statt. Für Kaufwillige galt es, sich in der ersten Sekunde nach Eröffnung der virtuellen Warteschlange des Webshops anzustellen, um dann an der Reihe zu sein, bevor die aktuelle Tranche ausverkauft war. Auch die Tickets der dritten Vorverkaufstranche wurden wieder restlos verkauft, sodass es wiederum keine Abendkasse vor Ort gegeben hat.

Der Ticketpreis wurde nach dem Prinzip pay-what-you-want mit einem Minimum von 120 € gestaltet. Für Business-Kunden wurde ein spezielles Ticket angeboten, welches durch höheren Mindestpreis den Kongress stark unterstützt und eine sofortige Rechnungsstellung bietet. Erreicht wurde ein durchschnittlicher Preis von 148,26 €, was somit 3,26 € über dem Ziel von 145 € liegt, die nötig sein werden, um den Kongress wie gewünscht ausgestalten zu können. Zudem ist dieser erreichte Durchschnitt 1,27 € höher als letztes Jahr.

Dieses Jahr waren wieder die vergünstigten Nahverkehrstickets im Ticket inkludiert. Wer seine eigene Unterkunft mitbrachte, konnte sich einen Wohnmobilstellplatz auf dem Messegelände reservieren. Für geringes Budget gab es Schlafplätze in Schulen.

Bezüglich Fotos wird auf dem Event deutsches Recht sehr strikt angewandt: Es hängen viele Hinweise aus, dass auf Fotos alle sichtbaren Personen ausdrücklich zugestimmt haben müssen. Fotos einer Menschenmenge sind somit nicht praktikabel und daher hier im Blogpost auch nicht zu sehen.

Danke an alle ehrenamtlichen Helfer!

Vorträge – congress everywhere

Die Vorträge in den vier Messehallen bzw. Konferenzsälen wurden simultan nach Deutsch beziehungsweise Englisch und teilweise auch nach Französisch und Russisch übersetzt.

Wie jedes Jahr gab es wieder für alle, die nicht anwesend sein konnten, (als teilweisen Ersatz) eine Live-Übertragung ins Internet. Während der Vorträge konnten auch aus dem Internet via IRC Fragen gestellt werden, die genauso wie Vor-Ort-Fragen live am Ende der Vorträge beantwortet wurden.

Nun, nach dem Kongress, sind die Aufzeichnungen der Vorträge verfügbar: Beste 1080p-Qualität, Split-Screen mit Folien und Video, Untertitel und Übersetzungen wartet darauf angesehen zu werden.

Vor Ort besuchte ich circa 20 Vorträge und werde sicher noch viele weitere per Aufzeichnung ansehen. Von den vielen sehenswerten Vorträgen möchte ich besonders jene empfehlen:

  • ZombieLoad Attack“ (Michael Schwarz, Moritz Lipp, Daniel Gruss): Eine unterhaltsame Vorstellung der CPU-Lücke ZombieLoad inklusive deren drei Varianten mit der eigentlich nicht zugängliche Daten anderer Prozesse auf einem Computersystem ausgelesen werden können. Das Problem tritt auch in den CPUs auf, in denen beispielsweise der Angriff „Meltdown“ in Hardware gefixt ist. [Fahrplan; Aufzeichnung]
  • Human Rights at a Global Crossroads“ (Robert Tibbo, Edward Snowden): Im ersten Teil des Vortrags wird ein Überblick über die internationalen Normen der UN zu Menschenrechten (vor allem in Bezug auf Flucht) gegeben. Weiterhin berichtet Robert Tibbo über die massiven, fortgesetzten Verstöße vieler Länder gegen Art. 33 der Genfer Flüchtlingskonvention. Im zweiten Teil wird über die aktuelle Situation der Personen berichtet, die Edward während seines Fluchtabschnitts in Hong Kong Unterschlupf in ihrer Wohnung gewährten. Folgend zitiert Edward aus seinem (neuen) Buch und gibt einen emotionalen Aufruf „unser“ Internet zurückzuerobern. [Fahrplan; Aufzeichnung]
  • Open Source is Insufficient to Solve Trust Problems in Hardware“ (bunnie): Über die vielen Möglichkeiten (für niedriges und für hohes Budget) böswillig Chips zu modifizieren. Open Hardware wird von einigen Personen als Lösung gesehen, doch wäre dies hauptsächlich ein Check des Designs, aber danach folgen üblicherweise viele weitere Möglichkeiten der Manipulation (z. B. in der Chipfabrik). Open Hardware könnte aber Bugs wie Spectre verhindern. Der Vortragende stellt eine Eigenentwicklung eines mobilen Gerätes vor, welches von möglichst einfach von jedermann verifizierbar ist. Die CPU ist FPGA-basiert mit randomisiertem Logic Mapping (wie Address Space Layout Randomization [ASLR]), sodass Hardwaremodifikationen schwierig auszuführen wären. [Fahrplan; Aufzeichnung]
  • What’s left for private messaging?“ (Will Scott): Eine Einführung in die Grundlagen und Anforderungen an Secure Messaging. Übliche Möglichkeiten (z.B. Transportverschlüsselung, Ende-zu-Ende-Verschlüsselung) diese Anforderungen zu erfüllen, aber auch die Probleme, die dabei auftreten. Vorstellung bekannter Angriffe auf Messagingsysteme. [Fahrplan; Aufzeichnung]
  • Messenger Hacking: Remotely Compromising an iPhone through iMessage“ (Samuel Groß): Vorstellung einer Lücke in Apples iMessage auf iPhone: 0-click, optional komplett unsichtbar, dass etwas geschieht. Das iMessage-Nachrichtenformat ist komplex mit vielen Funktionen, woraus einige Angriffsmöglichkeiten erwachsen. Hier muss der Angreifer nur die Mailadresse oder Telefonnummer kennen. Vorstellung von Details, wie aus dem Bug ein Exploit entwickelt wurde. Der Vortrag schließt mit Tipps die grundlegenden Probleme zu fixen (z. B. schwaches ASLR). [Fahrplan; Aufzeichnung]
  • Boeing 737MAX: Automated Crashes“ (Bernd Sieker): Geschichte der Entwicklung des Flugzeugs Boeing 737 MAX, Gründe für das eventuell zu hastige Herausbringen der MAX, Analyse von Flugschreiberdaten eines Crashs. Details wie das Crash-verantwortliche System Maneuvering Characteristics Augmentation System (MCAS) funktioniert, Hintergründe zu Flugzeugtyp-Zulassungsverfahren in den USA und Europa (das Übernehmen der Genehmigung der vorhergehenden Flugzeugmodelle war nur durch Einsatz von MCAS möglich), eindrucksvolle Demo der Kräfte, die die Piloten bei MCAS-Fehlfunktion aufbringen müssen. [Fahrplan; Aufzeichnung]
  • The ecosystem is moving“ (Moxie Marlinspike): Das Signal-Messaging-System ist absichtlich nicht dezentralisiert – Moxie führt die/seine Gründe dafür an: Änderungen in dezentralen Systemen seien nur schwierig umzusetzen; jene Systeme seien daher häufig veraltet – „stuck in time“. Fürsprecher führten für Dezentralisierung folgende Gründe an: Privacy. Censorship Resistance, Availability, Control. Moxie erwidert dies mit einer Vorstellung von Signals neuen Techniken, um auch mit einem zentralisierten System diese Attribute zu erreichen. [Fahrplan; es fand keine Aufzeichnung statt – siehe ersatzweise Reflections: The ecosystem is moving (Mai 2016) und zu den neuen Techniken die Erwähnungen im ersten Absatz von Technology Preview for secure value recovery (Dezember 2019) im Signal Blog]
  • Build you own Quantum Computer @ Home – 99% of discount – Hacker Style !“ (Yann ALLAIN): Amüsante Einblicke in ein Quantencomputer-Selbstbauprojekt eines kleinen Unternehmens mit simplen 3D-Druckern & Co. [Fahrplan; Aufzeichnung]
  • Quantum Computing: Are we there yet?“ (Andreas Dewes): Einführung in Quantum Computing, Messung von Qubit-Zuständen in Quantenprozessoren, Grover-Suchalgorithmus. Vorstellung eines Quantenprozessors von Google und dessen experimenteller Verwendung um die Quantum Supremacy nachzuweisen (also ein Problem, bei dem ein klassischer Supercomputer sehr sehr lange brauchen würde, aber ein Quantencomputer es in übersichtlicher Zeit lösen kann). Auch die Kritik an diesem Experiment wird vorgestellt. Basierend auf der Geschichte der Forschung wird das Moor’sche Gesetz „quantum edition“ vorgestellt, welches die Anzahl der verfügbaren Qubits in Quantencomputern mit dem Verstreichen der Forschungsjahre korreliert) [Fahrplan; Aufzeichnung]
  • 15 Jahre deutsche Telematikinfrastruktur (TI)“ (Christoph Saatjohann): Über die deutsche Telematik-Infrastruktur für Kommunikation im Gesundheitswesen. Der Vortrag räumt mit Halbwahrheiten auf, indem Spezifikationen und Praxiserfahrung dargestellt werden. Es gibt eine Anwendungsübersicht – unter anderem die elektronische Patientenakte und deren Absicherung.
    [Fahrplan; Aufzeichnung]

Aus den Self-Organized Sessions empfehle ich:

  • Freedom to go“ (Dreirik): Vorstellung des alternativen Android App-Repositorys F-Droid; Vor- und Nachteile von F-Droid gegenüber der alternativen Oberfläche G-Droid. Die Session ging dann in Empfehlungen des Organisators und der Workshopteilnehmer von freien Apps aus F-Droid über. [Ankündigung (kein Material verfügbar)]
  • 3.8 Billion users‘ future: Email 3.0“ (Sam Tuke): Wieso E-Mail so erfolgreich war und(!) ist und welche aktuellen Entwicklungen die Zukunft von E-Mail bedrohen.
    [Ankündigung (Folien verfügbar)]

Bemerkenswerte Infrastrukturdienste vor Ort

Bereitgestellt wurden wieder, mithilfe großen Engagements (und mehrerer Sponsoren für die Netzwerkhardware) für alle Kongressteilnehmer, die (teil-)insularen Netzwerkservices LAN, WLAN, DECT, VoIP, Mobilfunk, Rohrpostsystem „Seidenstraße“ und Briefpostzustellung auf dem Event „ChaosPost“.

Informationsdrehscheibe

Das 36C3-Wiki verweist auf alle weiteren Detailinformationen zum Kongress. Besondere Ankündigungen aus der Zeit während des Kongresses sind weiterhin im Event-Blog zu finden.

Danke!

Danke an alle Organisatoren und „Engel“, die den Kongress in dieser Form mit ihrer ehrenamtlichen Arbeit erst ermöglichen.

SecureLink an vorderster Front

Wir nehmen regelmäßig an besten Hacker-Kongressen teil, um uns über die neusten Innovationen, Trends, Hintergründe, Schwachstellen und Absicherungsansätze zu informieren. Auch auf dem Jahreskongress des CCC sind wir regelmäßig mit dabei und bleiben an der vordersten Front, wenn es darum geht, die Security weiterzutreiben. Auch in den letzten Jahren („Refreshing Memories“, „tuwat!“, „Chaos Computer Christmas“, „Ordnung aus dem Chaos“) waren wir beim Kongress vertreten.

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer