26C3 – Der Bericht + Bilder

Hier nun der angekündigte Bericht vom 26C3 + unserer Erlebnisse in Berlin.

Nachdem wir über nix-wie-weg.de den Flug und die Unterkunft in Berlin zum Schnäppchenpreis bekommen haben, rechnete ich ja eigentlich mit Komplikationen.

Lief aber alles reibungslos – den Checkin machte ich bereits 24 Stunden vor der Abreise direkt bei german-wings, die Flughafenkontrolle dauerte insgesamt 5 Minuten pro Person und auch mit dem Reisegepäck gab es keine Probleme.

Im Hotel angekommen Frühstückten wir erst mal ausgiebig – 12 Euro pro Nase sind zwar recht teuer – nett vom Hotel, dass Sie uns dazu mehr oder weniger freiwillig eingeladen haben

Da wir (meine Perle und ich) die Nacht zuvor nur 2 Stunden geschlafen hatten, wollten wir uns noch ein wenig ausruhen, bevor es abends mit skskilL und snag auf Kneipentour ging.

Ich machte jedoch einen gravierenden Fehler – trotz meiner UMTS-Fonic Card, loggte ich mich ins offene Hotel-WLan ein um mal zu schauen ob man den Beitreibern “Sicherheitstechnisch” nicht den einen oder anderen Tipp geben kann.

Eine XSS im Zugangspanel war nach 1 Minute gefunden – danach machte ich den Lapi aus um zu … schlafen.

Fuck – schlafen geht nicht.

In meinem Kopf spukten zig Angriffszenarios die ich noch gerne getestet hätte.

SQL Anbindung, DNS Filterung, connect auf anderen Ports, Surfen über Javascript generierte iframes, Login bypass, file unclusions, arp spoofing etc. … schlafen war also nicht mehr drin -.-

Auch doof, dass ich den Lapi dem Padawan ausgeliehen hatte und dieser nun doch am pennen war.

Also begab ich mich mit meiner Perle zum Brandenburger Tor – zu Fuss versteht sich.

Etwa 4 Stunden später waren wir zurück, dann ging es auch schon wieder los um uns mit skskilL und snag zu einer kleinen Kneipentour zu treffen.

Da snag bekanntlich Berliner ist, zeigte er uns die coolsten Locations (Bier-Börse, Curry 36 und noch einige andere).

Weitere Erinnerungen an den Abend habe ich leider keine mehr, dafür aber am nächsten Tag einen ordentlichen Kater *g.

Beim 26C3 besuchten wir einige Vorträgen, hier nun ein kleiner Zusammenschnitt der Vorträge auf denen wir anwesend waren:

Der Hackerparagraph beim Bundesverfassungsgericht (Dominik Boecker)

Themenschwerpunkt waren dual use tools – sprich Programme die sowohl für legale als auch illegale Dinge eingesetz werden dürfen.

Besonders zu diesem Thema gibt es im Netz zahlreiche Dokumentationen, zum großteil von selbstgefälligen möchtegern Juristen, die als Grundlage Ihre persönliche Rechtsauffassung zu dem Thema bis aufs Blut verteidigen.

Wie die aktuelle Gesetzeslage aussieht:

* Programme die zum überwinden von  Sicherheitsvorkehrungen eingesetzt werden können, sind verboten.

* Es gibt jedoch eine Ausnahme – sobald so ein “tool” auch zu einem legalen Zweck genutzt werden kann, ist dieses wieder erlaubt (mit Einschränkungen).

1. Das “tool” darf nicht aus zweifelhafter Quelle stammen – sprich, ein Exploit der über milw* geladen wurde ist verboten, sollte der Code z.Bsp. über eine Uni vertrieben worden sein – ist es legal (wenn Punkt 2 zutrifft).

2. Der Programmierer muss mindestens einen legalen Zweck für das “tool” vorgesehen haben und dieses in einer Dokumentation auch so festhalten.

Die Empfehlung von Dominik – zu allen selbst geschrieben Codeschnipsel, Programmen etc., die missbräuchlich verwendet werden könnten eine Dokumentation schreiben und die legalen Einsatzpunkte dort festhalten.

Ein Zuhörer stellte eine interessante Frage:

“Was ist, wenn ich einen Virus schreibe, eine Dokumentation beilege und dort festhalte, dass der Virus zum testen des Virenscanners oder einer virtuellen Umgebung geschrieben wurde?”.

Antwort: “Nach der aktuellen Gesetzeslage dürfte der reine Besitz des Virus nicht ausreichen, eine Verurteilung zu rechtfertigen”.

Internetsperren

In diesem Vortrag wurde die Unfähigkeit des BKA angeprangert – es darf nicht sein, dass ein Server der Kinderpornografie vertreibt, mehrere Monate on bleibt um Verdächte zu finden.

Die Empfehlung – Meldung an INHOPE schicken, diese kümmern sich in der Regel binnen 24 Stunden um die Löschung des Servers.

Ferner plant der Redner ein P2P-DNS-Netzwerk – evtl. über ein Browserplugin etc..

GSM: SRSLY Chris Pagnet, Karsten Nohl

Weltweit setzen die Mobilfunkbetreiber auf den GSM Standard – hier wurde anschaulich gezeigt, dass dieser Standard als geknackt gilt, sprich sms mitlesen, Gespräche mithören oder einfach mal das Mobiltelefon per m-i-m abschalten.

Für Fäuste für ein Halleuja Erdgeist, Felix von Leitner

Der eher unterhaltsame Beitrag von Erdgeist und Fefe zum Thema Api und Sinnlosigkeit am Code  an sich.

Die Beispiele waren zum Großteil an die Programmiersprache C gerichtet und ernteten einiges an Lachern und Applaus.

Die Schlacht um die Vorratsdatenspeicherung Constanze Kurz, Frank Rieger

Gegen die Vorratsdatenspeicherung an sich wurde Klage beim Bundesverfassungsgericht erhoben.

Wie unfähig unsere Bundesregierung und das BKA argumentierte und das zum Schluss niemand mehr für den Gesetzeserlass verantwortlich sein wollte, wurde hier dargelegt.

Constanze und Frank überzeugten durch Fachkompetenz und auch die Ironie kam nicht zu kurz.

Bevor in den Kommetaren die Frage aufkommt – Constanze ging wärend Ihres Vortrages nicht auf meine email ein und ich denke auch, sie hat die email nicht persönlich genommen (im Gegensatz zu einigen Kommetarschreibern ).

Am 2. Tag gingen Padawan, skskilL und ich noch runter in die Hackbase um mit rem0ve und Babbage noch ein wenig Spass zu haben.

Ich freute mich tierisch rem0ve mal wieder live zu treffen, der Typ ist absolut cool und geht ab wie “Schmitz Katze”

Zum Schluss noch einige Bilder (im Congress habe ich die Cam zum Großteil stecken lassen – aus Datenschutzrechtlichen Gründen).

Dunkin Donuts:

Die besten Donuts der Welt – weil Perfektion kann man nicht verbessern.

Du wirst Video überwacht:

defense flash-exploiting:

Ein alter Bekannter :

In der Kneipe:

In der Kneipe 2:

Gruß an dieser Stelle an skskilL und snag – ohne euch wäre es nur halb so lustig gewesen.

Padawan beim penetrieren der Berliner Mauer:

Retro:

Mal Tourist spielen – quasi:

KaDeWe – 17.500 € für ne Pulle Fusel:

sweet freedom:

Am letzten Abend, Padawan gönnt sich eine “kleine Suppe” als Vorspeise:

Bevor Gerüchte aufkommen, ich habe keine illegalen Substanzen zu mir genommen.

5 Tage, insgesamt 8 Stunden gepennt – wie man sieht:

Das Video werde ich erst morgen zusammen schneiden und dann uppen.

Hoffe der Beitrag entspricht euren Erwartungen – ich gehe jetzt erst mal ne runde pennen.