Eine weitere Unart tat sich aber erst nach Veröffentlichung des Collateral Murder-Videos auf: Die Tendenz, die eigenen Leaks in ihrem Wert zu überschätzen.[1][2] Obwohl Julian Assange auch heute auf die Frage nach anstehenden Veröffentlichungen stets das Mantra herunterbetet, keine Leaks voranzukündigen, um den Betroffenen nicht die Möglichkeit zu geben, sich darauf vorzubereiten, wurde unentwegt darüber gesprochen, welche Asse man noch im Ärmel hat. 2009, pünktlich zu Weihnachten, ging WikiLeaks medienwirksam vom Netz. Spenden mussten her, das Projekt drohte sonst finanziell zu scheitern. Um zu betonen, wie wichtig WikiLeaks ist, wurde das Wiki abgeschaltet und stattdessen begrüßte ein Spendenaufruf die Besucher von wikileaks.org. Aus angekündigten 2 Wochen wurden etwa 6 Monate Wiki-Downtime. Während dieser Zeit hielten Julian Assange und Daniel Schmitt, wie er sich damals nannte, einige Reden vor laufender Kamera, traten auf Konferenzen auf, betrieben Lobbyarbeit für ihr Projekt und rissen an, welche Informationen sich noch auf ihren Servern befänden. Jetzt liege es an den Spendern, die nötigen Mittel zur Verfügung zu stellen um WikiLeaks wieder durchstarten zu lassen.

Noch vor Collateral Murder im April stellte Julian Assange die Behauptung an, Dokumente über korrupte Banken und geheime Dokumente über China und die UN zu besitzen. Im gleichen Atemzug nannte er auch Informationen über den Irak, bei denen es sich um die Iraq War Logs handeln dürfte, die im August vergangenen Jahres veröffentlicht wurden. Dokumente über die UN oder China wurden bis heute nicht publiziert. Im Küchenradio[3] kündigte Daniel Domscheit-Berg den Leak von 37000 Emails der NPD an. Man sollte lange Zeit nichts mehr von diesen Emails hören, bis die Emails im Januar 2011 auch anderen Quellen zugespielt wurden.[4][5] Die Original-Dokumente wurden weder vom Spiegel, der ARD noch von WikiLeaks veröffentlicht.

Im Juni kündigte Assange an, ein Video von einem Luftangriff beim afghanischen Garani zu besitzen.[6] Ein Video, das zeigen soll, wie Zivilisten bei einem amerikanischen Luftangriff ums Leben kamen. Bis heute fand diese Aufnahme nicht ihren Weg auf die Enthüllungplattform und damit an die Öffentlichkeit. Julian Assange wurde auch nie wieder dazu befragt. Daniel Domscheit-Berg erwähnte das Video ebenfalls in einem Interview mit der Springerpresse.[7]

Auch er wurde damit nicht mehr konfrontiert, nachdem das Interesse an von US-Helikoptern niedergeschossenen irakischen Zivilisten und Reuters-Journalisten abgeklungen war. Ebenfalls im Juni 2010 sprach Julian Assange in einem Interview von einer an Echelon erinnernden Massenüberwachung, die er anhand von Dokumenten belegen wollte.[8] Man kann es vielleicht ahnen: Nachgehakt wurde nicht, obwohl die Aussage bald vor einem Jahr getätigt wurde. Auch in einer Auflistung von WikiLeaks-Veröffentlichungen der deutschen Wikipedia[6] ist von dieser kryptischen Ankündigung keine Rede. Die 15000 zurückgehaltenen Berichte aus Afghanistan sind bis heute gleichermaßen unveröffentlicht.

Inmitten des Trubels um die Kriegsberichte über Afghanistan und den Irak hieß es, WikiLeaks würde sich Russland zuwenden.[9] Es wurden einige Russland-Experten über den potenziellen Impact befragt, danach verstummte jedwede Berichterstattung über den Teaser-Leak zu Gunsten von Cablegate und den Vorwürfen gegen Assange, ohne Verhütung mit zwei Schwedinnen geschlafen zu haben.

In einem Interview mit Forbes[1] nahm Assange eine nicht näher spezifizierte amerikanische Bank ins Visier. Gerüchten zufolge soll WikiLeaks im Besitz einer kopierten Partition eines ranghohen Bank of America-Angestellten sein. Von einem Leak „Anfang 2011“ war die Rede. Doch wieder einmal kam es zu „Verzögerungen“, diesmal in Form einer Pressekonferenz mit Julian Assange und dem ehemaligen Julias Bär-Angestellten Rudolf Elmer.[10] Übergeben wurden WikiLeaks zwei CDs, die Kontodaten von reichen Steuerhinterziehern enthalten sollen. Die Analyse dieser CDs soll laut WikiLeaks Priorität haben, wodurch der Banken-Leak auf Eis liegen soll.

Es stimmt traurig, live zu mit zu erleben, wie Journalisten ihren Job konsequent ignorieren und wie wir alle dem kollektiven Vergessen erliegen, uns von all dem Drumherum davon ablenken lassen, was WikiLeaks noch zu bieten hat, sich nun aber darüber ausschweigt und zwei ehemals gute Freunde ihre Anwälte vor Gericht entscheiden lassen müssen, wer ein Anrecht auf noch nicht veröffentlichtes Material hat.

Ergänzungen, Kritik, Richtigstellung editiere ich gerne nach.

Bei Twitter hüllt sich WikiLeaks erwartungsgemäß in Schweigen.

[1] http://blogs.forbes.com/andygreenberg/2010/11/29/an-interview-with-wikileaks-julian-assange/
[2] https://twitter.com/#!/wikileaks/status/6581472060252160
[3] https://twitter.com/#!/wikileaks/status/11297255152
[4] http://www.tagesschau.de/inland/nazileaks100.html
[5] http://www.spiegel.de/politik/deutschland/0,1518,745040,00.html
[6] https://secure.wikimedia.org/wikipedia/de/wiki/Ver%C3%B6ffentlichungen_von_WikiLeaks#Luftangriff_bei_Garani
[7] http://www.welt.de/wirtschaft/webwelt/article7214769/Wikileaks-will-sein-eigenes-Geheimnis-lueften.html
[8] http://www.abc.net.au/news/stories/2010/06/22/2933892.htm
[9] http://www.tagesspiegel.de/politik/assange-kuendigt-enthuellungen-ueber-russland-an/3590642.html
[10] http://www.spiegel.de/wirtschaft/soziales/0,1518,740018,00.html

Eine ePetition im Petitionsportal des Bundestags nimmt sich dessen gerade an und es wäre immens nützlich, wenn sich ausreichend Personen finden, die sich bereiterklären, die Petitions ebenfalls mitzuzeichnen. Spätestens, wenn ihr irgendwann einmal in einer fremden Stadt seid und zu einer ungewöhnlichen Uhrzeit ganz dringend mal ins Netz müsst und ein offenes Wireless-Netzwerk seht, lohnt sich das ganze doch schon, oder?

Update: Weil’s sich durchaus falsch interpretieren lässt, will ich klarstellen, dass ich nicht beurteilen kann, inwieweit die Rechtssicherheit von freiem WLAN auch Exitnode-Betreibern helfen könnte.

Mein Wecker sollte um 10:15 schellen. Hat er wohl auch, nur habe ich davon nichts mitbekommen, so dass mich Gerrit um 11:40 nochmal darauf hinweisen musste, dass es klug wäre, jetzt mal aufzustehen, weil wir in 20 Minuten auschecken müssten. Auf die Frage, warum ihm das erst jetzt auffällt und der Hinweis so kurz vor knapp kommt, hieß es, er habe mich da im 20-Minuten-Takt auf dem Laufenden gehalten. Oh.

Schnell unter die Dusche, umgezogen, die genervten Blicke von den Hotel-Angestellten ertragen, als ich um 12:05 immer noch nicht ganz fertig war. Tut mir ja Leid, wirklich. :-)

Mit dem Auto haben wir dann noch schnell in der Hasenheide einen Kaffee getrunken und gefrühstückt. Leider konnten wir nicht lange im BCC bleiben, weil Dorfhuhn noch eine etwa sechstündige Fahrt vor sich hatte. Es reichte zeitlich also noch so gerade für den Vortrag über Traffic-Analyse- und Monitoring-Appliances, die gestackt Terabit(!)-Traffic analysieren können – in Echtzeit. Füttert man die Dinger mit einer Liste von Mail-Adressen schneiden die fleissig sämtlichen Mailverkehr von gelisteten Personen mit – zu bequem, für meinen Geschmack. Mit einem SSL-Terminator, z.B. für’s Loadbalancing, führt das auch SSL ad absurdum, wenn der ISP sowohl die Anbindung als auch den Mailserver kontrolliert, dann terminiert die SSL-Verschlüsselung nämlich einfach und die Netzwerk-Tap-Blackbox snifft den Traffic nach erfolter Entschlüsselung mit, ohne dass dem Nutzer das auffallen könnte. Das macht ganz deutlich: Richtet eure eigenen Mailserver ein, verlasst euch nicht auf irgendwelche multi-redundanten Mailcluster von großen ISPs – schon gar nicht, wenn ihr SSL aus Naivität heraus für “sicher genug” haltet und kein PGP/GPG verwendet. Die Crypto bringt nichts, wenn der SSL-Traffic Provider-seitig schon vor der eigentlichen Kommunikation mit dem Mailserver den Traffic entschlüsselt wird. Der Sprecher beschrieb dann noch die Web-Interfaces der einzelnen Appliances, die alle nicht sonderlich sicher seien und rief dazu auf, eventuell eingetragene Blacklisten unter keinen Umständenabzugreifen (und wohl auch zu veröffentlichen!), wenn man Zugriff darauf hat. Sowas macht man einfach nicht. :-)

Allgemein scheinen die Web-Zugänge zu diesen System nicht sonderlich sicher zu sein, so dass er auch dazu riet, nicht zu gucken, wie man solche Systeme findet, um sich daran auszutoben. :-)

Kurzfristig wurde ein Talk zu OpenLeaks, dem Whistleblowing-Projekt vom ehemaligen WikiLeaks-Sprecher Daniel Domscheit-Berg anberaumt. Leider befanden wir uns da bereits auf dem Rückweg. Der Versuch, die Slides mit Audio auf der Autobahn über eine zwischen GPRS und UMTS fluktuierende Verbindung zu gucken, war nicht von Erfolg gekrönt, weil der Stream ständig abbrach, wenn das entknastete iPhone seine Funkzelle wechselte.

Der Chaos Communication Congress wird jedenfalls zu einer Pflichtveranstaltung. Dieses Jahr, wir schreiben mittlerweile 2011, werde ich mich aber bemühen, nicht wieder irgendwelche hoch interessanten Vorträge zu verschlafen.

In Saal 1 haben die Overfl0w-Leute den Homebrew-Status von Konsolen aufgezeigt und vorgestellt, wie sie die PS3 dazu gebracht haben, ihren Code auszuführen, weil sie den Private Key von Sony berechnen konnten. Ich habe kein großes Interesse an Konsolen, das war aber wirklich interessant. Daniel Domscheit-Berg, ehemaliger Sprecher von WikiLeaks hat eine viertel Stunde später IMMI vorgestellt, die Islandic Modern Media Initiative, die Island zur Datenschweiz machen soll. Bei den Fragen und Antworten ging’s dann aber doch zentral um WikiLeaks und OpenLeaks. Was mich an Daniel so fasziniert ist dieses sehr ehrlich wirkende Unbehagen, wenn ihm applaudiert wird und er daraufhin sagt, dass er das gar nicht verdiene, sondern die vielen Mitarbeiter von OpenLeaks. Er ist kein zweiter Assange und das ist gut so.

Im Nachhinein bereue ich es sehr, mir um 18:30 nicht den INDECT-Talk angesehen zu haben. Via Twitter habe ich mitbekommen, dass da ein INDECT-Beteiligter Fragen beantwortet hat und sich über all die Gefahren von INDECT nicht wirklich bewusst zu sein. Das sei alles nicht schlimm.

Erst sah alles danach aus, als wäre Saal 1 mal wieder überfüllt, als ich mit dem Dorfhuhn gegen 20:15 vor dem Eingang stand, um “Chip and PIN is broken” von Steven Murdoch anzusehen. Nach kurzer Diskussion mit den gestressten aber dennoch freundlichen CERT-Leuten ließen sie dann doch noc 10 Leute rein. Banken berufen sich bei Disputen um nicht vom Kontoinhaber authorisierte Buchungen auf die Sicherheit ihres Chip-Systems, um den Kunden das Geld nicht zurückzahlen zu müssen. Wie sich herausstellt, ist das erlogener Blödsinn. Mit einem Kamera-Team vom, ich glaube es war der BBC, haben sie nachgewiesen, dass sie mit einer gefälschten Karte einkaufen können, indem sie dem Terminal sagen, man sei dazu authorisiert worden. Ich stecke da nicht so wirklich drin, das ist eher das Metier vom Dorfhuhn. Vielleicht schreibt der dazu noch was unter dorfhuhn.de. Die Banken wissen jedenfalls seit Herbst 2009 davon und haben in einer Pressemitteilung wenige Monate später verlauten lassen, dass sei alles nur theoretisch möglich und praktisch nicht umsetzbar, weil die Technik dafür nicht ausreichend kompakt gebaut werden kann. Weil Murdoch zuvor aber ein Device gezeigt hat, das nicht viel größer als zwei Kippenschachteln ist, sorgte das für jede Menge Gelächter im Saal. Ein Student hat dazu auch noch was geschrieben, was die Banken zensieren lassen wollten. Die Antwort vom Security-Expterten Ross Anderson von der Universität Cambridge wurde auszugsweise vorgelesen. Nachlesen lässt sich das hier: http://www.cl.cam.ac.uk/~rja14/Papers/ukca.pdf

Für Gelächter sorgte dann wieder der Download-Graph, der kurz nach dem Zensur-Versuch der Banken einen ziemlichen Peak zeigte. Gab es vor der Veröffentlichung des Antwort-Schreibens nur etwa 50 Downloads am Tag, schnellte die Zahl rapide nach oben, nachdem Slashdot und Reddit darüber berichtet haben. Hach. :-)

Ohne einen vernünftigen Platz wuselte ich dann durch den Saal, in der Hoffnung, noch einen Stuhl zu ergattern, aber das war erwartungsgemäß nicht so einfach, weil Fefe und Frank die Fnord News Show abhielten. Das will nunmal jeder sehen. Einzelfälle jetzt herauszupicken ist eigentlich sinnlos. Schaut euch einfach die Aufnahme an, sobald sie verfügbar ist, das lohnt sich schon für die wirklich grausigen Bilder von der Clinton.

Dummerweise musste ich danach dringend Mate entsorgen – und als ich wieder hoch wollte, war der Saal natürlich völlig überfüllt, weil das Hacker Jeopardy auf dem Plan stand. Fuck. Frustriert bin ich mit dem Dorfhuhn dann zu McDonalds, weil wir das Auto ohnehin aus dem Parkhaus holen mussten, das um 0 Uhr die Pforten schliesst. Mein Vorschlag, noch kurz in die c-base zu fahren kam gut an, so dass wir da noch eine Mate getrunken haben und letztendlich bis halb drei da blieben. Die haben da einen runden Firefox-Tisch. Geil!

Gegen drei waren wir im Hotel, wo ich noch ein bisschen über den Hotspot online war und mir was zu DNSCurve durchgelesen habe. Zu lange, wie sich morgens herausstellen sollte.

Update: Ist ein bisschen untergegangen hier. Der Bericht für den 4. Tag folgt noch, auch wenn wir schon relativ früh abfahren mussten. Die unzähligen Typos in den bereits veröffentlichen Berichten werden in Kürze gefixt.

Bis 11 geschlafen, schnell unter die Dusche, dann im Alexa Asia-Fastfood gefuttert und erst gegen 13 Uhr beim BCC eingeschlagen und der erste interessante Vortrag zum distribuierten Knacken von Crypto-Algorithmen verpasst. Gut, dass es die Stream-Aufnahmen gibt. Gilt auch für den BitTorrent-Vortrag “Lying to the Neighbors”. Der GSM-Sniffing-Talk war überfült – tolle Wurst. Also ab ins Hackcenter, freien Platz erkämpft und das etwas wirr laufende OpenVPN gefixt. Den Service nach jedem Disconnect einmal durchzustarten war auf Dauer keine Lösung. Von der Electronig Frontier Foundation gab’s dann eine Fortsetzung von den Ergebnisen des SSL Observatory. Die haben einfach alle öffentlichen Ranges gescannt, verfügbare SSL-Zertifikate geladen, daraus eine Datenbank gestrickt und das analysiert. Angefangen hat das ja auf der Defcon 18 dieses Jahr. Die Ergebnisse waren erwartungsgemäß katastrophal. Wir werden per default erstmal dazu genötigt, viel zu vielen CAs zu vertrauen, die wiederrum wieder CA-Fähigkeiten vererben – sogar völlig undursichtig über Intermediate-CAs, denen Firefox und IE nur vertrauen, wenn man vorher bestimmte Seiten mit bestimmter CA besucht hat. Katastrophal. Man muss sich wirklich anstrengen, den Vortrag vor lauter Fazialpalmierung zu verfolgen. Der letzte Schrei sind ja die Extended Validation-Zertifikate, die für teures Geld grüne Balken in den Adresszeilen darstellen. Die CAs gehen da ähnlich umsichtig mit ihrer Verantwortung um, wie bei den normalen Zertifikaten. Wieder landen sinnlose Bezeichnungen anstatt FQDN in der Common Name-Zeile, wieder wurden Zertifikate auf private IP-Adressen ausgestellt und besonders amüsant und traurig zugleich war dann ein vor 3 Monaten ausgestelltes 512bit-EV mit einer Gültigkeit bis 2012, obwohl dieses Jahr bereits von der Ausstellung von 1024bittigen Zertifikaten abgeraten wird. Fefe basht diesen ganzen SSL-Snakeoil-Dreck wirklich nicht ohne Grund. An sich reicht da ein Blick auf die Übersicht aller CAs und deren Ursprünge, um mit dem Kopf in Richtung der nächten Wand zu marschieren.

Zeitlich ist der Fahrplan dann etwas durcheinander geraten. Ich weß aber, dass ich noch rund 90% vom Vortrag über Netzmedienrecht, Lobbyismus und Korruption mitbekommen habe. Das war spannend und konzentrierte sich vor allem auf die Verflechtungen von Bertelsmann, die ihre Hand u.a. bei Studiengebühren und Hartz IV im Spiel hatten – um dann z.B. Kindern aus Hartz IV-Familien Online-Nachhilfe anzubieten, wenn die sich keine richtige Nachhilfe mehr leisten können. Das Bachelor-/Master-Studiensystem kam auch nicht gut weg.

Unter dem Titel “High-speed high-security cryptography: encrypting and authenticating the whole Internet” präsentierte Kryptografie-Experte und Qmail-Autor Daniel Bergstein die Probleme von DNSSEC und und stellte ein System vor, das über Public-Keys im Domainnamen, z.B. als CNAME und auf den Clients generiertem Private Key Crypto ohne großartigen Overhead ermöglichen soll. Statt DNSSEC setzt er auf DNScurve, das DoS-Attacken erschwert und die Probleme von DNSSEC umgeht. Seine Lösung verschlüsselt im Handumdrehen den gesamten Netzverkehr auf Public-Key-Basis mit elliptischen Kurven als Cypher. Die zusätzliche Verschlüsselung addiert bei einer aktuellen CPU eine zusätzliche Load von ca. 0.15 und soll sich daher auch auf großen Seiten wie Google umsetzen lassen, ohne deren Server abrauchen zu lassen. Er hat das bereits software-seitig umgesetzt, so dass man das auch selbst implementieren kann, ohne dass die bestehende Infrastruktur (Firewall, DNS, Browser, Webserver, etc) Anpassung bedürfen. Ich befürchte, das wird daran scheitern, dass es einfach keine Verbreitung finden wird. Das ist schade.

“Data Recovery Techniques” wäre auch interessant gewesen, aber da war der Hunger schlichtweg zu groß und der Saal nach verspeister Pizza bereits geschlossen. Bei Twitter hieß es aber, es sei völlig nutzlos, Daten mehr als einmal zu überschreiben, um sie unwiederherstellbar zu löschen. Da entbrennen ja immer mal wieder die Streits, was da bei magnetischen Laufwerken nun dran ist. Der Vortrag wird auf jeden Fall nochmal als Aufnahme angeschaut.

23 Uhr – und leider der letzte Vortrag am Dienstag: “The importance of resisting Excessive Government Surveillance” von Nicholas Merrill, der in den frühen Neunzigern einen Internet Service Provider gegründet hat. Nach den Anschlägen auf das World Trade Center begann die große Terrorpanik und damit verbunden eine Vielzahl von Überwachungsmaßnahmen. Anfänglich etwas zurückhaltend berichtet er von einem FBI-Agenten, der ihn telefonisch darauf hinweist, dass er in Kürze einen National Security Letter erhalten würde. Das hielt er natürlich erst für einen Scherz – wer hätte schon damit gerechnet, dass wenige Tage später tatsächlich jemand vom FBI vor der Tür steht und ihm diesen ominösen NSL unter die Nase hält, der keine richterliche Unterschrift enthält und ihm gleichzeitig verbietet, auch nur ein Wort über den Erhalt dieser Anweisung zu verlieren. Es ging speziell um einen Kunden, über den er eine unbekannte Menge an Informationen sammeln sollte, um diese dem FBI mitzuteilen. Bis heute darf er nicht über diese Details berichten. Erst seit Mitte dieses Jahres wird es ihm gestattet, überhaupt ein Wort über diesen National Security Letter zu verlieren. Vorher musste er jahrelang seine Frau, seine Freunde, seine Kunden und Kollegen belügen. Kurz nach Erhalt der NSL-Anweisungen wandte er sich entgegen des Verbots an die amerikanische Bürgerrechtsvereingung ACLU, um gerichtlich dagegen vorzugehen. Selbst die ACLU hatte bis dahin noch nie von diesen Briefen gehört, so dass sich Merrill und die ACLU-Anwälte in völlig unbekannten Gewässern bewegten: Er lege sich mit dem “National Security Staat” an, was neben Gefängnisstrafen auch erheblichen Druck auf ihn ausüben könne. Trotz dieser Ungewissheit zog er von Gericht zu Gericht. Dass in den USA geheime Beweise, die nur der Richter zu sehen bekommt zulässig sind, war mir jedenfalls neu. Ich muss mal recherchieren, ob das auch in Deutschland möglich ist. Für ihn gab’s – völlig zu Recht – stehende Ovationen, was wohl zuletzt bei WikiLeaks bzw. Julian Assange der Fall war.

Schon 2009 hatte ich mir vorgenommen, den Congress zu besuchen. Spontan wäre ich mit einem Freund auch durchaus hingefahren, die schlechten Nachrichten vom nicht auszuschliessenden Risiko, bei Ankunft keine Tickets mehr zu bekommen, war aber eher Motivation dafür, bei den Streams zu bleiben. Dieses Jahr mussten wir einfach hin und so ergab sich’s auch. Jetzt sitze ich hier, den ersten Tag so halb überstanden und seit geschätzen 36 Stunden wach. Club Mate macht’s möglich. Heute übrigens zum ersten Mal getrunken und trotz aller Warnungen vor dem angeblich so miesen Geschmack, hat’s mich sofort überzeugt. Wollte ich während der knapp 7-stündigen Fahrt eigentlich noch schlafen, hatte sich das nach dem ersten Schluck erledigt.

Aus einem Schluck wurde eine Flasche. Den Rest kann man sich denken. Ich dürfte beim Tippen dieser Zeilen bei der wohl 10. oder 12. Flasche sein. (bzw. gewesen sein.)

Ärgerlicherweise habe ich die Keynote von Rop verpasst, was mich nach seinem Blog-Eintrag ziemlich stört. Schon sein Gespräch mit Tim Pritlove im Chaosradio Express war enorm aufschlussreich. Weil danach dann der Vortrag von Alvar Freude zum JJugendmedienschutzstaatsvertrag, Censilia und anderen Internetzensuroperationen überfüllt war, muss ich mir den wohl auch im Stream ansehen, wenn ich wieder zuhause bin. Richtig los ging es am Montag also erst mit Guido Stracks Whistleblowing-Vortrag, eingeleitet und begleitet von einem Johannes Ludwig, der mir bis dato unbekannt war. Die Folien waren zwar in höchstem Grade chaotisch, wurden übersprungen oder nur kurz angeschnitten und so schnell weitergescrollt, dass man nichtmal richtig skimmen konnte. Immerhin, der Vortrag war dafür wirklich solide und betrachtet ein paar Aspekte zum Whistleblower, die man durch reinen Interessensfokus auf WikiLeaks und technische Aspekte nicht bedenkt.

Am ersten Tag war ich relativ Vortrags-faul, muss ich gestehen. “Friede sei mit euren Daten” hätte ich mir ansehen sollen, selbiges gilt auch für die Smartphone-Hackery. Um 20:30 gab’s Einblicke in die Vorratsdatenspeicherung und die völlig übertriebenen Implementierungen in allen europäischen Ländern, die erwartungsgemäß weitaus mehr speichern, als die ohnehin gefährliche EU-Richtlinie vorschreibt. Die vier haben noch die Digital Civil Rights in Europe vorgestellt: Ein seit 8 Jahren bestehender Dachverband, dem insgesamt 29 Vereine und Initiativen angehören, die sich für Bürgerrechte und das Recht auf Privatsphäre einsetzen. Hat sich gelohnt, wenngleich die meisten Informationen bereits bekannt sind, wenn man sich schon länger damit beschäftigt. Wenn mich meine etwas schlaftrunkene Erinnerung nicht trügt, war die Quintessenz, dass sich Widerstand gegen derartige Gesetze lohnt, auch wenn der Triumph nur von kurzer Dauer ist und man sich nicht einfach zurücklehnen darf, wenn der guten Suche Zugeständnisse gemacht wurden.

Zwei Stunden haben eine halbe Stunde später Relay-Angriffe auf den neuen Personalausweis, kurz nPA, vorgeführt. Erst wurden die Angriffsvektoren theoretisch aufgezeigt, dann praktisch in Form eines Python-Scripts live vorgeführt. Sehr interessant. Setzt sicherlich noch voraus, dass man eine gewisse Kontroller über das System des Opfers hat, das ist ein berechtigter Kritikpunkt an den derzeitigen Szenarien, die die Sicherheit des neuen Personalausweises betreffen – aber man sollte bedenken, was nach ein paar Monaten bereits möglich ist. Zu allem Überfluss gab’s ja noch die schwer peinlichen Lücken in der “AusweisApp”, die seit Veröffentlichung nicht mehr angeboten wird. Das ist junge Technologie, die schon jetzt zu bröckeln beginnt, obwohl sie uns über Jahrzente begleiten wird – wenn auch notgedrungen, wenn sich die letzten Ausweise nicht mehr verlängern lassen. Das wird noch spannend, prophezeie ich.

Ausgerechnet bei dem letzten Vortrag trieb mich mein Mate-Konsum in die lange Schlange vor dem Männerklo – eine rauchen wollte ich auch und stand dann vor verschlossener Tür von Saal 1. Ätzend. Etwas frustriert ging es dann mit der S-Bahn in Hotel-Nähe und zu Fuß weiter, über einige Kilometer durch ungeräumte, verschneite Strassen. Im Hotel angekommen wurde noch fix das Book an die Strippe gelegt, die Mails über den Hotspot gecheckt und dann war’s nach etwa 38 Stunden auch an der Zeit zu schlafen.

Irgendwann.

Wer ACTA noch nicht kennt und gar nicht weiß, was mit einem solchen Gesetz auf ihn zukommt, der kann sich auf dem von den Piratenparteien unterstützten stopp-acta.info-Portal informieren. Für einen schnellen Überblick haben die Betreiber Fakten über ACTA zusammengetragen. Wer nun feststellt, dass ihm das so gar nicht zusagt, der kann sich darüber informieren, wie er gegen ACTA aktiv werden kann.

Informiert euch, klärt Freunde und Familie auf, zeichnet die ePetition mit. ACTA ist zu bekämpfenswürdig, um aufs Beste zu hoffen und die von der Contentmafia gesponsorten Regierungen nach eigenem Doppelplusungutdünken walten zu lassen. Wenn Provider, deren Dienstleistung vor allem daraus besteht, eine Internetverbindung bereitzustellen, für die Aktivitäten ihrer Kunden haften sollen, führt für diese kein Weg an einer permanenten Überwachung aller Aktivitäten der Kunden vorbei. Als Überwachungsmaßnahme wiederrum kommt für die Provider nur die sogenannte Deep Packet Inspection in Frage, wenn er nicht als Mitstörer haften möchte. Und wie mit allen Überwachungstechniken wird auch DPI zu neuen Begehrlichkeiten führen, gegen die die geplanten DNS-Sperren zur Ausblendung des visuellen Kindesmissbrauchs allenfalls als lachhaft zu bezeichnen sind.

Wehret den Anfängen.

Seinen Vortrag mit ”Child pornography is great, [...]” einzuleiten, das kann man sich wohl nur leisten, wenn man bei einer großen Lobby-Organisation angestellt ist. Seinen feuchtesten Traum teilte Johan Schlüter von der Anti-Piracy Group dem Publikum seines Vortrags auch gleich mit:

”One day we will have a giant filter that we develop in close cooperation with IFPI and MPA. We continuously monitor the child porn on the net, to show the politicians that filtering works. Child porn is an issue they understand,”

Übersetzt heisst das:

Eines Tages werden wir einen gigantischen Filter haben, den wir in enger Zusammenarbeit mit der IFPI und der MPA entwickeln. Wir werden Kinderpornographie im Netz überwachen und den Politikern zeigen, dass Filtern funktioniert. Kinderpornographie ist etwas, das sie verstehen.

Spätestens jetzt sollte auch eine Censilia verstanden haben, dass sie und die Befürworter ihrer Sperrabsichten hier gewaltig instrumentalisiert werden. Schon aus reinem Stolz sollte sie sich von ihren Plänen abwenden und das Gespräch mit den Kritikern suchen, die sowohl das technische Sachverständnis haben, als auch tatsächlich die Absicht haben, den Missbrauch von Kindern zu verringern. Nun aber, wo der Ruf ohnehin ruiniert ist, wird sie konsequent bleiben. Stolz, das Eingeständnis von Fehlern und Kompetenz scheinen sowieso überholt. Gerade in der Politik.

Von der tatsächlichen Prüfung aber einmal abgesehen, gab es heute ein ganz amüsantes Vorkommnis: Auf dem Plan stand unter anderem eine Prüfung zum Leseverständnis. Vorgesehen war eine Audio-Aufnahme, die ein bestimmtes Thema beschreibt. Zweimal sollte die Aufnahme abgespielt werden, dann sollte der Inhalt sitzen, um darauf basierend Fragen beantworten. So viel dazu. Was ich mit Highlight meine: Es lief darauf hinaus, dass unser Lehrer den Text vorlesen musste. Irgendein Internetausdrucker hielt es nämlich für nötig, ihm eine .cdr-Datei zu mailen. Ja, ihr denkt richtig: Da hat jemand tatsächlich eine wenige KB große Datei verschickt und sich nicht gewundert, warum die Datei denn so klein ist.

Das erinnert mich an meine Jugend, als mein Bruder mir Bomberman 3D kopieren sollte und er mir die Verknüpfung davon auf einer Floppy in die Hand gedrückt hat.

Update: Ich verlasse mich bei der Dateiendung mal auf die Aussage des Lehrers. Ich habe kein Windows hier, um zu überprüfen, ob die Endung wirklich .cdr lautet, wenn man versucht, via Drag/Drop eine Datei von einer gemounteten AudioCD zu kopieren.

Google, ihr habt hier die Macht, den großen Verlägen eins auszuwischen: Nehmt deren Inhalte aus eurem Index, kickt vor allem Springer und die Rupert Murdoch-Portale einfach aus den Suchergebnissen und wertet deren “News” nicht mehr aus. Die merken dann schon, wie wichtig deren Content ist.

Für mich steht fest: Jedes Nachrichtenportal, das von mir Geld für minderwertigen bis unterdurchschnittlichen Journalismus sehen will, wird konsequent boykottiert.