LNP325 Besser der Hund bellt einmal zu viel

Feedback — FinFisher Hack — gematik — Gesichtserkennung — Anna Biselli — 36C3

Die Congress-Pause ist vorbei und wir nehmen wieder den Regelbetrieb auf. Aber natürlich nicht ohne ein paar Rückblicke auf die Veranstaltung zwischen den Jahren in Leipzig zu nehmen und vor allem ein paar der weithin berichteten "Hacks" genauer zu erläutern. Wir geben ein paar Empfehlungen für aufgezeichnete Vorträge, die man sich mal anschauen sollte und gratulieren Anna Biselli zu dem von ihr gewonnenen Journalistenpreis.

avatar
Linus Neumann
avatar
Tim Pritlove

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Linus Neumann
Guten morgen guten morgen tim. Oft bei one kann jedem mal passieren.
Tim Pritlove
Logbuch netzpolitik nummer dreihundertfünfundzwanzig vom neunten januar zwanzig zwanzig.
Linus Neumann
Zwanzig zwanzig.
Tim Pritlove
Zwanzig zwanzig da sind sie die goldenen zwanziger heiß ersehnt endlich sind sie da aber die diskussion wie das mit den jahrzehnten ist ist ein nerd kreisen generell schwierig zu.
Linus Neumann
Die dauerhaft jetzt auch gerade wieder in unserem podcast gehört ich weiß das ding ist einfach das jahrzehnt, ist das was wir definieren und es ist jetzt halt ein jahrzehnt her dass wir dass es zweitausend war zweitausendzehn war also ich meine wir können auch sagen der logbuch netzpolitik ist noch nicht ganz ein jahrzehnt alt so relevant welche zeitrechnung.
Tim Pritlove
Ja dass man und dieses fehlende jahr null da kann ich einfach nur zu sagen.
Linus Neumann
Kommt drauf an.
Tim Pritlove
Das erste jahrzehnt war halt eine peter version das hat halt nur neun jahre.
Linus Neumann
Es war noch nicht ganz fertig.
Tim Pritlove
Ja da musste man nochmal dran arbeiten.
Linus Neumann
Ich weiß gar nicht ob das ja null gefehlt hat wer weiß ob ob irgendwie die familie christus nicht irgendwie auch so eher aus dem coding style kommt wo man halt einfach mal mit null anfängt zu zählen ja.
Tim Pritlove
Die gastronomen haben ja auch das gefixt indem sie einfach sagen naja das jahr minus eins ist unser jahr null also die korrigieren sozusagen nach hinten raus und von daher alles gut.
Linus Neumann
Ja also können sich andere darüber streiten wir machen das nicht.
Tim Pritlove
Wir machen das nicht ist jetzt hier ein neues. Was es herrscht einigkeit sehr schön.
Linus Neumann
Feedback haben wir bekommen.
Tim Pritlove
Feedback achso da willst du darauf eingehen.
Linus Neumann
Oder bitte witze achso kongress war auch ja.
Tim Pritlove
Na ich wollte nur noch kurz genau wir haben ja jetzt eine kleine pause gehabt wie lange war jetzt unsere pause zwei wochen oder sowas drei.
Linus Neumann
Drei.
Tim Pritlove
Genau warum.
Linus Neumann
Fühlte sich nicht wie eine pause an.
Tim Pritlove
Es war nur eine sendung pause keine wirklichen pause pause und es war natürlich wie ihr wahrscheinlich alle, wisst der sechsunddreißigste chaos comunication kongress in leipzig und der ist jetzt vorbei und das zieht natürlich jede nur erdenkliche ressource und dementsprechend, bleibt uns jetzt hier nur noch, einen kurzen rückblick zu machen aber bevor wir das tun wollen picknick machen oder willst du noch was zum kongress sagen weil wir haben ja sonst hier überhaupt gar kein kapitel für den kongress vorgesehen in unserem tollen sendung plan doch.
Linus Neumann
Doch das hier das ist alles.
Tim Pritlove
Ah ganz am ende ja okay alles klar dann machen wir das am ende.
Linus Neumann
Ja also wir können ich würde sagen lass uns das mal ans ende machen dann haben die leute was so außer sich freuen können.
Tim Pritlove
Jetzt kommen wir erstmal die schlechten.
Linus Neumann
Ich glaube ich glaube wir haben ganz gute nachrichten.
Tim Pritlove
Okay das ist doch mal was.
Linus Neumann
Feedback. Kleine amy schreibt uns eine kleine korrektur zu dem beitrag über den angriff auf die uni gießen es sind nicht achtunddreißigtausend rechner betroffen sondern achtunddreißig, studierende der universität ich habe selber freunde die an der uni studieren und für die es momentan der pure stress ist da viele jetzt nicht mehr an die vorlesungs- unterlagen kommen hausarbeiten hausarbeiten et cetera deswegen nicht richtig bearbeiten können jo, stimmt als ich das sagte achtunddreißigtausend habe ich auch selber gedacht boah jetzt schon groß so weil man ja nicht mit so vielen computern und da hat amy, gut korrigiert. Und dann haben wir in einer früheren sendung über ich weiß gar nicht was die letzte war oder die vorletzte über diesen crypt audit des gesprochen wo der artikel veröffentlicht wurde mit den mit den ergebnissen, die hanno bock über ich glaube frag den staat bekommen hatte wo es irgendwo das thema war okay warum hat das ps das nicht veröffentlicht. Hat uns eine e-mail erreicht. Das bsi suchte nach einer software um v f d daten zu verschlüsseln verschlussache nur für den dienst mitgebraucht dazu sollte true grip evaluiert werden. Es gab dazu eine öffentliche ausschreibung teil der analyse war es zu ermitteln ob es auch möglich wäre druck rückt um eigene krypto algorithmen zu erweitern. Dazu gab es parallel auch ein gutachten von juristen inwiefern es lizenz probleme gibt. Als wir die schwachstellen gefunden haben die meiner meinung nach alle nicht relevant sind. Wurde eine meldung an trug crypt abgesendet also sie haben diese ergebnisse gemeldet, die antwort kam schnell und überraschend schaut mal in unser security target das sind keine ziele von zum beispiel ist das meer benutzer szenario nicht abgedeckt. So die haben also im prinzip gesagt diese schwachstellen sind out of scope und jetzt war guter rat teuer. Wir hätten die fundings natürlich veröffentlichen können aber dagegen sprach erstens sie sind kaum relevant, zweitens sie sind nicht im security target der ziel software erfasst. Aber diskutiert doch gerne was ein besseres verhalten gewesen wäre wenn man kenntnis von einer schwachstelle hat. Das projekt so groß ist wie und die entwickler die fehler nicht beheben wollen, und das projekt und einer komischen lizenz steht zukunft hatte eine relativ komische lizenz das weiß ich irgendwie eine der klassischen ich weiß nur dass sie bestimmt also die entwickler haben sich ja irgendwie im dunkeln gehalten und es wurde nicht so wirklich gesagt was man mit druck drauf davon was nicht es war nicht irgendwie so eine standard lizenz wurde jetzt hätte sagen können okay wir folgen oder sowas. Tja ganz ehrlich ich hätte also mein urteil ist da relativ einfach ich hätte empfohlen die fittings oder so zu veröffentlichen wenn nichts dagegen spricht, um so einfach auch für die historie die, die möglichkeit zu schaffen also dieses typische schwachstellen aus dem scope rausdiskutieren kenne ich ja das ist so ein klassiker ich habe, gestern noch mich sehr sehr geärgert weil ich zu einem spezifischen server system, gelesen habe diese server system, ist dafür designt in einem sicheren netz betrieben zu werden wenn du nicht für die sicherheit deines netzes sorge tragen kannst solltest du diese server system dort nicht betreiben wurde diese sache alter dessen server, der muss sicher sein es geht nicht darum dass du sagst es gibt ein sicheres netz und da finde ich natürlich auch mit dieser, mit einer solchen mit einem solchen postulate kannst du letztendlich jede schwachstelle wegdiskutieren ja und das deswegen sollten schwachstellen nicht aus dem scope raus diskutiert werden weil. Es kann ja immer noch sein dass dein software produkt von anderen leuten in einem anderen scott mit anderen schutz bedürfnissen betrieben wird und die kann das ja trotzdem interessieren insbesondere wenn die schwachstelle dann nicht so relevant ist dass sie jetzt unmittelbare gefahr durch eine veröffentlichung birgt für betroffene personen dann hätte ich im zweifelsfall gesagt okay wir veröffentlichen jetzt halt, in der e-mail steht weiter dass es dann auch, bei denen leuten nicht die höchste priorität hatte aus den genannten gründen sie war nicht wirklich relevant. Und so wurde sie halt dann ist sie halt im nächsten projekt und halbes jahr später halt einfach auch in vergessenheit geraten so die person die uns das jetzt hier geschildert hat ich denke ja. Also vielen dank für das feedback und ich denke, unter den bedingungen wenn wir es jetzt hier diskutieren sollen dann hätte ich es tatsächlich veröffentlicht über sowas kann man blogpost schreiben oder sonst was und dann sowas macht man ja primär um sich dann eben auch den, den druck. Den druck aufzubauen oder eben auch zu offenbaren wie die programmierer oder hersteller eben dagegen arbeiten dass so etwas anzuerkennen und das klang jetzt für mich nicht nach einer einer schwachstelle die man nicht, also wo ich mich manchmal halt frage ist so ey der ding einfach zu fixen ist manchmal einfacher als die e-mail antwort zu zu formulieren kann ich jetzt bei dieser bei dieser schwachstelle nicht sagen aber ja.
Tim Pritlove
Gut auch wenn wir uns in gewisser hinsicht ein kurzes kongress review hier fürs ende aufgehoben haben ist ja trotz alledem eine ganze menge rund um den kongress passiert was nochmal separate medienaufmerksamkeit erzeugt hat.
Linus Neumann
Und auch für uns relevant ist.
Tim Pritlove
Und uns auch für uns relevant ist unter anderem gab es ja auch ein preis release des c. Und ich habe so die vermutung weiß da ein bisschen mehr darüber als ich.
Linus Neumann
Ja also das war ich habe das hier in der sendung wer ganz genau hingehört hat habe ich das sogar zweimal in der sendung angemerkt dass ich vermute dass da noch was kommen könnte, leider kann ich auch glaube ich zugeben dieses projekt hat sich um, ja doch wochen und monate verzögert. Aus vielen unterschiedlichen gründen der kongress selber ist einer davon und ja das ist aber auch egal entscheidend ist es gibt eine veröffentlichung des c durchgeführt von thorsten schröder und mia mit dem c analysiert münchner staatstrojaner finns bei. Und die vorgeschichte ist natürlich, elf war das glaube ich als der c zum ersten mal ein staatstrojaner analysiert hat das war der staat zu einer aus dem hause, digitale hieß damals als unternehmen es war ein staatstrojaner der auf desktop rechnern eingesetzt wurde und, der war auf irgendeinem komischen brauner umschlag irgendwie mal im c gelandet dort wurde er von einigen leuten analysiert, die analyse ergebnisse veröffentlicht schwachstellen in dem staatstrojaner nachgewiesen nicht, den gesetzlichen regularien entsprechendes verhalten des staatstrojanern nachgewiesen und der staatstrojaner veröffentlicht sodass er in wien scanner mit aufgenommen werden konnte, das hatte zur folge dass die deutschen strafverfolgungsbehörden ich will jetzt mal übertrieben sagen entwaffnet waren. Die konnten das ding nicht mehr einsetzen und insbesondere das halt auch unser schon vor diesem vor dieser analyse immer wieder gebracht das argument das ist nicht möglich ist, einen staatstrojaner zu bauen der diesen gesetzmäßigen anforderungen die eben im gesetz stehen entspricht. Das wurde dadurch eben gezeigt so das war.
Tim Pritlove
Hatte ja auch eine interessante kulturelle auswirkung die veröffentlichung des source kurz auf so 'ner riesigen doppelseite seite im feuilleton.
Linus Neumann
Titelseite seite der fatz war ausschnitte also es händler code das war's.
Tim Pritlove
Auf der titelseite auch noch.
Linus Neumann
Allgemeine sonntagszeitung zeile.
Tim Pritlove
Ja aber es gab dann im faktor nochmal so richtig dicke fette also wo ich finde halt absolut zurecht security analyse im prinzip auch als kunstform ein ausdruck fand.
Linus Neumann
Das waren das waren die das waren die guten alten zeiten schirmacher lebte noch willy brandt der bundeskanzler so kam alles zusammen und.
Tim Pritlove
Letzte jahrzehnt von dem immer alle reden.
Linus Neumann
Das war dieses frühjahr und. Die genau das war ich denke nach wie vor wohl die, ja doch die die referenz veröffentlichung des c an die so. In der liga spielen halt vielleicht noch der x und, zwei drei andere sachen aber das staatstrojaner hektisch c war schon einfach mal das das ei und ziemlich geile sache. Ja situation zweitausendelf war also deutschland deutsche strafverfolgungsbehörden wurde ihre auch nach nachweislich und auch unbestrittene weise nicht verfassungsgemäß, staatstrojaner nummer weggenommen wir haben seitdem viel gerudert es hat sich gesetzlich viel getan ich habe ja hier auch immer wieder darüber berichtet dass dann eben der staatsräson einer trojaner einsatz wieder auf irgendeine weise legitimiert wurde dann wurden. Die hürden abgebaut das war, ich glaube dazu war ich zwanzigsiebzehn im bundestag wo es darum ging okay jetzt machen wir es mehr oder weniger bei alltags kriminalität und nicht mehr nur bei terroristen und und schweren straftaten und, die situation in deutschland war jetzt folgende es gibt ein unternehmen mit dem namen finden fischer und die haben ein produkt mit dem namen finden bei und dieses produkt wird an die wird anders verkauft und auch an landeskriminalämter dass beim bestätigt bei den landeskriminalämter ist es berichtet und nicht widersprochen worden und, das wäre jetzt so die situation in deutschland zwanzig neunzehn sehr kurz gefasst dann kam diese sache, die wir auch hier berichtet haben nämlich die strafanzeige gegen dieses unternehmen weil. Ein produkt ein staatstrojaner der dehnen zugeordnet wird in der türkei gegen oppositionelle eingesetzt wird da beginnt jetzt quasi, meine geschichte und die beginnt irgendwie im juni zwanzig neunzehn klingelt telefon. Und ulf buchmeier ist dran kam kam erstmal werbung und dann haben wir, dann haben wir gequatscht nein, alles gut ich sehe alles klar wie ist es und was kann ich gegen dich tun und dann haben wir im gequatscht sagt er ja ich habe hier so so software könnt ihr die mal euch angucken sag aha software was hast du denn da ja könnte staatsdiener sein ich sage ach je hast du jetzt irgendwie auch inzwischen so ein aluhut auf nee weiter wer nicht von ihm sondern weil also hintergrund ist es passiert jetzt nicht selten dass leute zu uns kommen und sagen sie haben den staatstrojaner auf ihren telefon, das ist eine sehr sehr regelmäßig und wir versuchen die dann auch, also wenn wir versuchen den dann halt zu helfen indem wir ihnen sagen hier kaufst dein neues telefon als er nicht drauf und. Oder wir helfen denen dann auch in der weiteren behandlung und ja genau jetzt kommt er. Kam also an und sagte ja hier so und so sag aha was hast du denn da ja könnte finns bei sein ich sag okay, habe ich auch noch hast du noch mehr dazu zu sagen ja sagt er wurde in der türkei eingesetzt und es gibt halt diese exporte restriktionen das heißt dass wenn das ding irgendwie aus münchen wo das unternehmen finn fischer sitzt seinen weg gefunden hat gegen türkische oppositionelle eingesetzt zu werden dann gibt's entweder eine export genehmigung. Die haben aber nachgefragt es gibt keine oder ein verstoß gegen das gesetz oder einen. Ein schlupfloch dass dieses unternehmen genutzt hat sagt pass auf das super weil wenn, hersteller von staatstrojaner gegen die gesetze verstoßen da ist es ja meine bürgerpflicht dass wir uns sowas angucken na da bin ich ja ganz interessiert dran habe dann eben, thorsten gefragt sagt thorsten hier, ich weiß was viel zu tun aber es tut mir leid wir müssen die band nochmal zusammenbringen und haben dann ja zwei samples bekommen die. Von der gesellschaft für freiheitsrechte in der rolle hat ja ulf, mich da angerufen und haben wir jetzt zwei samples bekommen paar analyse fragen dazu, was so könnt ihr sagen ob die von unterschiedlichen oder gleichen hersteller kommen wann wurde die hergestellt und diese frage der herstellung ist halt sehr entscheidend weil. Diese exportkontrolle sind irgendwann in kraft getreten und wenn jetzt quasi das datum das festlicht wann diese schadsoftware erstellt wurde dahinter liegt, dann ist das eben ein starkes indiz dafür dass eben hier eine exportkontrolle verstoß vorliegen könnte. Ja und dann haben wir uns irgendwie hingesetzt haben angefangen uns die dinge anzuschauen und jetzt gibt's halt das problem dass der thorsten so, ja wie soll ich das sagen wenn man sagt wir analysieren jetzt was denn da gibt es ja nicht eher ruhe als derzeit analysiert ist und, dummerweise hat er dann immer mehr sachen und eigenschaften von diesen samples gefunden die ist ihm ermöglicht haben wiederum weitere zu finden, so dass wir am ende mit einem haufen von achtundzwanzig staatstrojaner varianten da saßen, und du hast irgendwie durchgewühlt hat muss mehr finden und ich so nein wir müssen eigentlich nur zwei fragen beantworten lass uns doch jetzt mal hier bericht schreiben und ja ja dadurch hat sich dieses.
Tim Pritlove
Hatte die den gefunden also wo findet man denn sowas.
Linus Neumann
Internet.
Tim Pritlove
Internet da das stimmt im internet.
Linus Neumann
Gibt es gibt unterschiedliche quellen es gibt sagen wir mal eine reihe an schadsoftware datenbanken analyse möglichkeiten man kennt ja auch den einen oder anderen der sich mit dem thema auch auseinandersetzt und gerade wenn du dann weiß wonach du suchen musst.
Tim Pritlove
Dann wird's einfacher diese müllhalden.
Linus Neumann
Wird's einfacher mal durch müllhalden zu wühlen und dann nicht alle davon übrigens muss ich auch sagen sind jetzt irgendwie neu na also viele davon du findest, in den meisten berichten findest du halt die die zweihundertsechsundfünfzig prüft summe. Aber nicht das sample selber das ist also die die prüfung haben wir überprüfung sprechen wir ja relativ häufig also quasi die eindeutige kennung eines stückes daten und sehr häufig finden werden halt die, die prüfungen veröffentlicht nicht aber das sample selber, wenn du aber die prüft summe weißt dann ist es wenn du jetzt irgendwie weiß wie du suchen muss und wenn du fragen muss halt relativ einfach, du hast wenigstens einen anhaltspunkt wo du weißt okay jetzt habe ich es und wenn ich mich nicht täusche stamm von den achtundzwanzig samples allein, zwölf oder vierzehn ich glaube zwölf aus dem leag von chinas fischer ja fitness fischer hat. Bei uns ja auch viel besonnener hält, zwanzig vierzehn glaube ich find fischer gehackt und. Die dort gefundenen daten. Veröffentlicht in einem großen torrent vierzig gigabyte torrent und allein dort findest du halt eine reihe dieser samples drin ja das heißt, nicht also viele von diesen samples sind von anderen vorher auch schon veröffentlicht worden oder analysiert worden ja sind nicht alle neu aber. Na das ist so ein bisschen wie bei slowing der koffer ja wenn du halt irgendwie anfängst dir eine ordentliche staatstrojaner sammlung anzulegen dann legst du irgendwann wert auf vollständigkeit ja und dass dieses das hat uns da da halt auch befallen ich gucke gerade mal hier sind eins zwei drei vier fünf sechs sieben acht neun zehn, zwölf zwölf waren in dem lied von, fitness fischer dran so dann haben wir die uns alle angeschaut und haben halt gemeinsamkeiten dadrin entdeckt und unterschiedlichkeiten und haben diese ergebnisse alle so ein bisschen, zusammengetragen jetzt ist das entscheidende wir hatten quasi zwei fragen die die eine frage war. Herstellungs zeitraum wann ist das sample produziert worden, und eingesetzt worden aber produzieren ist das entscheidende weil es hätte ja theoretisch sein können dass die alle vor in kraft treten der, exportkontrolle aus europa raus exportiert worden ohne eine notwendigkeit einer genehmigung und alles ist gut. Oder sie wurden danach hergestellt achtzehnte juli war das relevante datum. So jetzt mussten wir also gucken finden wir in diesen samples etwas das, daraufhin deutet dass sie nach diesem datum hergestellt wurden und das also da gab es indizien, die hatte auch die gesellschaft für freiheitsrechte in ihrer strafanzeige eingebracht die gesellschaft für freiheitsrechte hat nämlich dann ihre staats ihre strafanzeige aus sorge vor verjährung quasi eingebracht bevor wir fertig waren mit der analyse. Und die hatten halt in indizien, sehr viele konsistente indizien dass es nach zwanzig fünfzehn erstellt wurde aber, muss ich jetzt so sagen diese indizien hatten keine beweiskraft das waren alles auch dinge die man hätte ändern können es hätte es wäre nicht unmöglich gewesen auch wenn keine motivation da ist oder so diese dinge in, quasi in die zukunft zu debattieren auch wenn überhaupt gar keinen sinn dafür kein anlass dafür bestehen würde aber sie hatten keine beweiskraft. Aber eben sehr starke indizien kraft und was wir dann halt herausgefunden haben ist dass, in den objekt falls von von dem fraglichen sample was in der türkei oder gegen die türkische opposition eingesetzt wurde dass sich dort quasi libraries drin befinden, die auch erst zwanzig sechzehn existiert haben ja also die wo quasi drin steht so diese version von. Light, gibt es erst seit diesem und jenem datum und sie hat einen hash wert ja und dieser hashtag wiederum den hatte halt diese library sodass wir sagen konnten ok es ist einfach nicht möglich, dass jemand die software aus der zukunft verwendet hat beim bau seiner schadsoftware und deswegen ist diese sample, frühestens zwanzigsechzehn entstanden im zweifelsfall noch sehr viel später. So das war die frage nach dem herstellungs traum und dann ist eben die frage nach dem, nach der herkunft also wer hat's denn produziert so da kannst du natürlich auf viele wege vergleiche machen wir haben. In unserer sammlung noch drei weitere samples gefunden die zum beispiel signiert waren mit dem gleichen zertifikat wie samples die in dem fingers fischer league waren, signatur zertifikate immer nur einer hat und diese signatur zertifikate nicht geliebt sind war klar dass diese anderen drei samples die wir auch hatten aus der gleichen quelle stammen nämlich von finn fischer, weil die zertifikate war nicht gelegt mit anderen worten wir konnten jetzt noch drei weitere samples auch über die zertifikate eindeutig fischer zuordnen es hat aber nicht. Es war jetzt quasi bei dem fraglichen sample was eben gegen die türkischen leute eingesetzt wurde nicht, möglich diesen also weil das quasi dieser einsatz war ja zwanzig siebzehn wurde das erstmalig an gesendet und. Das war ja quasi nach dem großen heck von veneers fischer und danach haben die angefangen nie mehr, als einmal das gleiche zertifikat zu verwenden ja klar ne wenn du weißt das zertifikat ist ein beweis gegen dich dann fängst du halt an und nimmst einfach jedes mal ein anderes. Was ihr aber herausgefunden haben ist dass diese ganzen samples von, zweitausendzwölf bis zweitausendneunzehn. Die wir dort hatten einen sehr spezifischen sehr findigen mechanismus nutzen um ihre, konfiguration zu verstecken also, ja wir haben es mit einem ganz normalen trojaner zu tun trojaner führt irgendwelche für irgendwelche überwachungsaufnahmen auf dem system durch und, extrahiert dort informationen die dann weg schickt ja der braucht also ein sogenannten command and control server da geht der quartal schickte die daten hin. Und. Die herausforderungen für diese für diese hersteller ist oder für finn fischer ist jetzt so wir müssen diesen trojaner eine konfiguration mitgeben, so und zwar an folgende ip-adresse sendest du die ergebnisse und du machst keine ahnung du löscht dich selber nach so und so viel einsetzen oder du machst ne oder du du hast dieses modul aktiv und dieses modul nicht und so weiter.
Tim Pritlove
Quasi der auftrag.
Linus Neumann
Ich würde es ich nenne es halt im bericht habe ich provisioniert als so ne das ist also quasi du hast dieses gerät das ist irgendwie fertig und jetzt muss das irgendwie noch konfiguriert werden.
Tim Pritlove
Ja klar aber wenn man's mal zum james bond movie style vergleich zu und kommt dann halt rein sagt schön guten tag bist moneypenny und dann so hier macht dies berichtet nach da.
Linus Neumann
So und diese es gibt natürlich verschiedene gründe warum man diese daten möglichst gut verstecken möchte. Weil wenn jetzt irgendwie jeder diese schadsoftware aufmacht und da steht sofort die ip-adresse von dem kommando control drin und so ne schlecht. Also haben die so und das andere problem ist wenn du den. Als produkt auslieferst ich gebe dir jetzt meinen start zu hören. Dann musst du den ja unter umständen noch konfigurieren der ist aber von mir signiert, mit anderen worten du kannst an dem eigentlich nichts nennenswertes mehr ändern ohne ihn fundamental quasi zu ändern und damit die signatur zu stören. Es ist halt die frage für den entwickler gewesen. Wo in diesem android-app ich rede die ganze zeit nur von android software kann ich die konfiguration verstecken so dass sie nicht gefunden wird. B auf eine weise teil der software wird die nicht die signatur der software selber verletzt. Und die signatur bei android funktioniert primär darüber dass du ein manifest pfeil hast also ein eine datei in der alle dateien drin stehen die in diesem applikator sind.
Tim Pritlove
Also quasi so ein inhaltsverzeichnis.
Linus Neumann
Genau du hast ein inhaltsverzeichnis neben jeder datei hast du die summe stehen. Und du signiert am ende einfach nur dieses manifest fall also du hast eine signatur auf eine datei diese datei ist eine inhaltsangabe aller anderen mit ihren prüf summen. Und jetzt gehst du quasi bei der prüfung gehst du hin gucks dir das manifest pfeil an prüft die signatur prüft dann die integrität aller dateien die dem manifest fall stehen und weißt okay dieses afrika ist integer. Ein appel ist aber ein silberpfeil. Also eine ein komprimiertes archiv von diesen dateien, so kriegt man das ganze ding in ein in eine datei also eine afrika ist ein fall von dateien die ein insgesamt ein programm ausmachen die dann dieses android-telefon ausführt. Leuchtet noch ein so jetzt.
Tim Pritlove
So jetzt.
Linus Neumann
Gibt es eine und ich muss sagen hut ab das ist eine sehr kluge idee gewesen in zip dateien. Gibt es also in dem format gibt es quasi, optionale felder für metadaten zu dateien die internen und externen tribut die.
Tim Pritlove
Nicht bestandteil des ausgepackten.
Linus Neumann
Genau die sind nicht bestandteil des ausgepackten.
Tim Pritlove
Sind aber trotzdem dabei und man kann sie wieder auslesen.
Linus Neumann
Genau und jetzt haben die halt die sind einfach hingegangen und du kannst irgendwie ich glaube pro pfeil hast du sechs beide, und da kannst du prinzipiell erst mal reinschreiben was du willst. Du musst das nämlich nicht berücksichtigen ist einfach nur ein attribut so da wird das betriebssystem oder wer auch immer schon was mitmachen oder eben nicht.
Tim Pritlove
Was heißt das betriebssystem überprüft nicht alle daten dieses applikator falls sondern nur die von denen dieses applikator sagt das ist mein inhalt trotzdem hat denn der ausgeführte code später zugriff auf das volle afrika.
Linus Neumann
Der nicht ganz der ausgeführte code sagt einfach nur kann ich mich mal kann ich mal ganz kurz mein sitzball sehen und natürlich kann er sich selber sehen der muss sich ja auch selber lesen können also der code kann ja nur die rechte haben sich selber zu sehen sonst würde er ja nicht sie sein können.
Tim Pritlove
Ja gut aber ich würde ja erwarten dass er dann auch nur auf den signierten teil zugreifen kann also.
Linus Neumann
Kann er ja auch ist ja also.
Tim Pritlove
Auch noch auf die metadaten.
Linus Neumann
Die ja in dem fall stehen.
Tim Pritlove
Dir aber nicht teil der überprüfung sind sozusagen.
Linus Neumann
Südpfalz spielt in der ganzen kette keine rolle es völlig in ordnung in diesem fall irgendwas reinzuschreiben weil thema scope die signatur gilt ja für die inhalte, und solange die inhalte in ordnung sind völlig ist es sehr gut ja inhalte sind in ordnung das ist das ziel dieser integritätsprojekts des android, der der signatur prüfung der integrität der android software wenn du aber sagst meine android software hat noch fünfundachtzig lehre dateien die mit in dem fall sind, für dich pro beiden paar meter daten mitschreiben kann und jetzt kommt am ende meine android software und sagt jo, ich gucke mir mal kurz die südpfalz an und lese quasi durch die metadaten dieser dateien. Hol mir da jeweils meine bits raus packt die alle hintereinander und da steht meine konfiguration drin. Dann hast du einen relativ geilen mechanismus um ohne signatur verletzungen dein trojaner um programmieren zu können. Gehst ja kein ausfahrbaren code denn der liest ja nur aus sich selber aus den metadaten in dem fall diese sachen und sagt okay meine konfiguration ist folgendes schreibt sich die speicher und schickt dann den den kram schön rüber ziemlich geniale idee. Muss ich wirklich neidlos anerkennen. Und die idee ist sogar so gut dass sie niemand anders hatte auf diesem planeten. Und das ist natürlich scheiße für finn fischer weil die machen das seit zweitausendzwölf auf diese weise und wir haben quasi über jetzt von zweitausendzwölf bis zweitausendneunzehn, durchgängig durch unsere samples genau diesen mechanismus gefunden und da niemand anderes das macht, ist das natürlich ein sehr guter marker dass alle diese samples, von diesem unternehmen stamm es müsste zumindest erklärt werden wie samples mit in großen teilen gleichen coach strukturen der code entwickelt sich halt über die jahre auch weiter da siehst du halt mal okay, da wurde mal eine normale check eingebaut hier wurde meine funktion anders gebaut aber wenn du dir diese flowcharts anschaust siehst du ja gut der code ist halt gleich geblieben das kannst du mir zu flowchart indikatoren schön sehen die firmen die das ein damit du als du siehst die stelle dir im prinzip den code da als so ein, entscheidungsbasis, und wenn du halt siehst na ja okay der baum ist ist halt der gleiche baum ja der hat halt jetzt noch einen gast hier oder so aber letztendlich sind die veränderungen die wir dort sehen über die jahre quasi so dass du das hier hat jemand. Auch weitergearbeitet hier findet eine kontinuierliche weiterentwicklung statt während andere sachen gleichbleibend. Und diese kontinuität ist halt über die achtundzwanzig samples die wir hier untersuchen konnten. Auf der einen seite einige sachen bleiben immer gleich andere entwickeln sich über die zeit weiter und wenn du die samples halt nach ihrem herstellungsdatum beziehungsweise ersten entdecken sortierst dann siehst du dass du quasi in einer reihe ist so dass du hier einer einer schadsoftware variante eben über die jahre beim entwickeln zu siehst was du nicht siehst oder was wir nicht gefunden haben sind irgendwelche sachen wie dass es auf einmal sich in zwei familien, splittet na dass du siehst ach okay es gibt den einen baum der geht in die richtung weiter, und jetzt hast du auf einmal zwei entwickler familien das hat sich gefolgt oder sowas wie man vermuten würde wenn jemand. Beispielsweise ich meine alle samples aus dem fitness fischer liegt muss ja annehmen die stehe theoretisch auch allen anderen zur verfügung das heißt, ich würde jetzt quasi irgendwas was in diesem lied war in freier wildbahn gegen irgendjemand eingesetzt werden hast du gar keine beweiskraft weil das ist frei aus dem internet herunterladbaren du kannst nur sagen naja das provisioniert zu können mit diesem spezifischen geheimcode. Und die kommando control server dafür zu bauen die du ja vorher nicht hattest, sind alles sehr hohe einstiegshürden die im prinzip bedeuten dass jemand das ist sehr unwahrscheinlich ist dass jemand sich den aufwand macht den, trojaner aus dem zwanzig vierzehner league. Zu für sich selber einzusetzen weil du hast nur eine hälfte was gelegt wurde sind nur die trojaner also die implantate nicht aber die ganze kommando controlling struktur dahinter nämlich wenn der jetzt, nach hause funkt wie punkt der mir die sachen wie kommen die an was sagt er was muss ich am anderen ende hinbauen um mit dem reden zu können um den befehle geben zu können um die inhalte zu sortieren so den ganzen kram musst du ja auch nochmal bauen das heißt jemand der sich dort bedient würde im zweifelsfall teile dieser routinen nehmen. Aber sich zum beispiel eine andere kommando control dingens dahinter bauen weil es viel einfacher ist sich eine eigene zu bauen als die existente nach zu implementieren die du nicht hast, ja also ende vom lied wir haben eine lange kette über die entwicklung dieser software über in dem fall jetzt sieben jahre. Und können dann quasi nicht aus, schließen nicht aus einzelverkauf gleichen sondern aus einer ungebrochenes kontinuität von veränderungen die eben auch jeweils sinnvoll sind dazu dass es sich hier um ein entwicklerteam handelt, und nicht irgendwie um alternative prothese jemand anders hatte die gleiche idee oder so oder nach dem diebstahl splittet sich das in zwei familien die eine ist illegal die anderes legal oder so all das haben wir nicht gefunden. Der thorsten der primär den kram analysiert hat und vor allem diese, diesen teil mit den versteckten metadaten sich angeschaut hat hat jetzt noch eine das hat er glaube ich gestern abend gemacht oder vorgestern eine jara regel geschrieben also im prinzip eine deduktionen regel die genau bei, die bei bei samples sucht nach gibt es hier base vierundsechzig kollidierte inhalte in den pfeil review von, diesen daten, und die hatte auch veröffentlicht wir haben das ja alles eher auf github veröffentlicht sodass man jetzt quasi sehr gezielt und besser mit dieser regel nach finns bei suchen kann. Wir haben die regel auch schon angewendet die funktioniert relativ gut, hat aber relativ also sie hat noch einige positives aber. Das entscheidende ist obwohl sie positives hat haben wir keine einzige andere schadsoftware gefunden die, diese spezifische art des verstecken anwendet und, um das zu verstecken brauchst du eben auch auf der anderen seite wieder ein tool was nicht gelegt wurde und es deutet halt alles sehr darauf hin dass es alles aus diesem. Hause und aus diesem entwicklerteam stammt.
Tim Pritlove
Jara ist von research tool für malware.
Linus Neumann
Sprache in der du quasi delegationsreise schreibst ich muss kurz gucken wofür die abkürzung steht das also darin schreibst du quasi.
Tim Pritlove
So regional express mit dem man halt irgendwie nach sachen sucht.
Linus Neumann
Ja das genau also du das ist quasi eine die die typischen.
Tim Pritlove
Soll ich dir sagen was sie abkürzung ist von jara.
Linus Neumann
Nee.
Tim Pritlove
Records.
Linus Neumann
Ja
Tim Pritlove
Das ist wirklich gut oder auch jetzt mehr ja das ist wirklich gut.
Linus Neumann
Aber es ist eine quasi eine formalisiert sprache in der man. Übliche prüfungen die man zur deduktion von. Von schadsoftware anwendet ausdrücken kann.
Tim Pritlove
Und.
Linus Neumann
Da kannst du eben so etwas ausdrücken wie guck mal ob es ein fall ist guck mal ob es, externe attribut gibt guck mal ob der block dann auch wirklich so lange ist wie ich ihn erwarte und dann guck mal ob da wirklich nur hacks daten bei rauskommt wenn du den sohn so dekodieren ja und dann kannst du quasi eine sehr also ja was ja eigentlich eine sehr komplexe suchanfrage ist durchführen mit.
Tim Pritlove
Und automatisch durchführen lassen.
Linus Neumann
Genau und da kannst du dann einen großen und mittelgroßen viren datenbanken oder datenbestände.
Tim Pritlove
Man muss nur wissen wonach man suchen soll und wenn man das dann halt einmal in so eine regel gepackt hat dann sucht sich das quasi von alleine.
Linus Neumann
Also das was thorsten da gemacht hat ist.
Tim Pritlove
Das heißt ja dass er ja das heißt ja dass dann sozusagen finn fischer jetzt auch wirklich so ein echtes problem hat weil sie ja sozusagen ihre ganze coach.
Linus Neumann
Ich würde ja nicht zugeben dass das unser ziel war den probleme zu machen. Tut uns natürlich sehr leid dass wir hier im rahmen der forschung das ist schon.
Tim Pritlove
Es ist wirklich also vieles.
Linus Neumann
Also das das ding ist diese regel in der jetzigen form thorsten arbeitet da noch dran produziert er voll positiv das ist aber auch okay also du willst ja lieber vor wenn du wenn es darum geht ob du gerade von irgendwelchen, demokratie touren irgendwie.
Tim Pritlove
Es schlägt es schlägt schneller an als es angemessen wäre aber besser so als anders rum.
Linus Neumann
Genau besser besser.
Tim Pritlove
Als.
Linus Neumann
Bellt war einmal zu viel als einmal zu wenig und genau ansonsten haben wir alle samples die wir in dem rahmen, untersucht haben die achtundzwanzig stück haben wir alle veröffentlicht, auch das ermöglicht eben 'ne soll halt darum gehen dass halt zukünftige analysen nicht diese diese sammeln arbeit machen müssen die wir uns da irgendwie über längere zeit angetan haben, und hat vor allem würde ich mir sehr wünschen dass leute halt unsere ergebnisse sich halt anschauen das überprüfen weitere sachen finden ja das ist ich meine. Muss jetzt wir haben da jetzt irgendwie insgesamt ein paar monate, online dran gearbeitet wir haben beide irgendwie normale alltage und normale, jobs so diese freizeit muss man sich irgendwie freischaufeln insbesondere bei thorsten ist das noch schwieriger als bei mir, so das sind halt ein paar sehr harte nachtschichten die da rein geflossen sind und ganz ohne zweifel ist da noch mehr zu holen. Und deswegen haben wir in unserer analysen vollständig veröffentlicht die tools die dabei entstanden sind veröffentlicht und, auch die samples veröffentlicht und freuen uns jetzt halt wenn leute sagen ja geil guck ich mir jetzt auch mal an und. Ja hoffe ich dass das dass es irgendwie stattfindet ne also ich meine den antiviren herstellern, die sind natürlich angehalten sich die regeln anzuschauen und bei ihnen noch mal zu gucken ob sie das noch besser hinkriegen die ich meine die sind ja, profis darin wir sind am mateus eure es gibt. Samples zum analysieren für leute die es interessiert und natürlich auch ganz wichtig den, die bitte diese sachen halt auch zu überprüfen dass man das jetzt nicht alle sagen oh die hohen waisen vom tc sagen das so sondern es geht natürlich auch darum zu gucken gibt's da irgendwo löcher da haben wir was übersehen gibt das sind ja, viele megabyte die da angeschaut werden müssen. Ja darüber haben ulf und thorsten auch einen vortrag gehalten beim kongress der bericht der dabei rausgefallen ist, ist ich glaube um die dreißig seiten, ist der primär bericht und dann kommt noch der anhang sodass das ein pdf mit sechzig seiten ist sind sehr schön wir haben zum beispiel diese konfigurationen halt auch alle gedankt für die meisten samples die also das was wir extrahieren konnten war ja auch so bei den alten samples irgendwie noch so deutsche handynummern und münchner festnetz nummern drin stehen na wo dann wurde siehst ah ok demo minus eins punkt gamma international de gamma hieß damals noch das unternehmen also die haben natürlich relativ viele, ein firmengeflecht deswegen schreiben wir in einem artikel in dem bericht auch immer nur firmengruppe finn fischer weil, die so viele unterschiedliche unternehmensname haben das.
Tim Pritlove
Hi
Linus Neumann
Einem schwindelig wird genau gibt's einen schönen vortrag darüber von ulf und thorsten beim sechsunddreißig ich freue mich wenn ihr unsere in unsere reports schaut da dran dass euch anschaut, was weiß ich schritte nachvollziehen und um selber was zu lernen oder, hoffentlich eben über unsere ergebnisse hinaus zu kommen, und ja habe ich auch schon in meinem blog geschrieben ist immer eine freude und ehre mit thorsten sowas zu machen weil. Das schon wirklich eine beeindruckende, hingabe ist wie der sich halt in so sachen festbeißen ich habe ja manchmal ist es ja so im nord leben so dass man denkt dass ich muss auch wieder loslassen können und halt mit in dem fall halt wo nee wir lassen dich los wir geben auch nicht eher ruhe als dass das hier verbrannte erde ist und guck mal da liegt auch noch was das ist sehr sehr, schön das, hat mich sehr freude erfüllt war aber auch muss ich echt sagen ein ein stress das jetzt ausgerechnet noch beim kongress zu veröffentlichen hat's jetzt nicht. Einfacher gemacht so.
Tim Pritlove
Ja wer sich ja auch schön an so etwas festbeißen kann ist noch ein anderer alter bekannter der auch schon bei logbuch netzpolitik zu gast war nämlich.
Linus Neumann
Thorsten und martin waren beide hier als wir den wahlkampf gemacht haben.
Tim Pritlove
Richtig genau die assoziationen kette habe ich jetzt gerade gar nicht zu ende geführt.
Linus Neumann
Es sind immer die gleichen schlimm finger.
Tim Pritlove
Genau max und moritz diese beiden nee thorsten und martin, cheers ich der auch auf dem kongress was präsentiert hat und hier ging es um, tja wie hieß es so schön dann später in den nachrichten c hakt digitale patientenakte wenn man sich den vortrag dann anschaut es ist eigentlich eher wieder mal so ein neues armutszeugnis von durch behörden geschaffene sicherheitsarchitekturen wo man eigentlich nur noch ein bisschen mit dem stock rein pieksen muss und schon fällt das gerüst komplett auseinander.
Linus Neumann
Ja der martin genau der hat zwanzig siebzehn sich diese infrastruktur der bundestagswahl angeschaut zwanzig sechzehn, sitzen oder wenn wir diese wahl wahrscheinlich zwanzig siebzehn und, da dann erstmal in hessen alles aufgemacht dann ist das thema irgendwie mit zu thorsten und mir gekommen dann haben wir das da auseinander genommen noch den rest dieser software pc- wahl und das war die veröffentlichung die wir dann hatten vor zwei jahren beim kongress und seitdem hat der martin ja das nächste hobby, nämlich dass da wo es auch weh tut aber auch wichtige daten sind und das gesellschaftliche relevant ist wie es eben die manier des chaos computer clubs ist nämlich gesundheitsdaten er hat ja dann schon beim letzten kongress bei, fünfunddreißig drei hat er ja schon über diese ganzen apps, vorgetragen wie wie und mad live und wie die ganzen dinge alle hießen. Und hat da bergeweise schwachstellen drin gefunden und daten rausgeholt und jetzt geht's eben um die, thematik so die thematik ist das mamutprojekt deutschlands in dem bereich wir vernetzen die deutsche gesundheit sicher ist so deren claim und im prinzip, so wie das so ist so riesensport dinger aber sie haben zumindest eine sache sehr richtig gemacht nämlich darauf zu achten dass kein krypto schlüssel irgendwo. In form einer datei hängt sondern alle krypto schlüssel immer hardware gesichert sind hardware gesichert ist ein großes wort heißt am ende einfach nur der schlüssel ist auf einem gerät aufbewahrt, welches die funktion hat den schlüssel anwenden zu können nicht aber die funktion hat den schlüssel verraten zu können also eine smartcar am ende das ist das was wir zum beispiel als als gesundheitskarte haben ja wenn wir jetzt irgendwie so eine von der krankenkasse so eine karte kriegen ist ein chip drauf ist eine smartcar und das ist quasi schon die vorbereitung darauf. Dass wir damit zukünftig auf unsere digitalen patientendaten zugreifen können beziehungsweise anderen in zukunft auf gestatten können verschlüsselt diese daten hin und her schicken so zu diesen karten gibt es ein äquivalent. Und das ist die die arzt karte oder die praxis karte und mit diesem, karten ist dann eben der zugriff auf diese daten, möglich also wenn du quasi das okay ich teile folgende daten mit folgender praxis dann kann mit dieser praxis karte mit dem praxis ausweis können diese daten dann entschlüsselt werden und mit einem bestimmten arzt dann eben mit diesem arzt und so weiter ja das heißt du hast diese vertrauensankers sind auf diesen hardware karten das ist eine sehr gute idee weil dadurch sichergestellt wird dass du nur an diese person, oder institutionen mit der du teilen möchtest gezielt verschlüsselt. Stellt sich aber raus es ist sehr einfach diese karten zu bekommen. Ohne tatsächlich die richtige person zu sein also die haben dann mehrere angriffe demonstriert wie du. Sagst ich bin übrigens arzt so und so und schickt mir mal bitte eine neue karte. Aber, nicht schick die mal an die käsetheke nebenan weil am montag hat meine praxis immer zu ja so so so ungefähr auf dem niveau ist dann leider und das haben diese prozesse alles zugelassen ja so dass der so dass es den gelungen ist. So ein connector zu bekommen also den den das im prinzip der vpn router ja von der praxis so ungefähr diese karten zu bekommen und dann quasi als arzt, in diesem netzwerk rum zu fuchteln.
Tim Pritlove
Dazu muss man sagen ist natürlich jetzt nicht so dass man nicht bestimmte informationen hinterlassen muss um diesen antrag erstmal zu stellen allerdings bis auf das geburtsdatum stehen alle diese informationen auf rezepten die ein arzt ausstellt das heißt man kriegt einmal so ein rezept von so einem arzt und hat man, all diese ganzen identifikationsnummer die eigentlich dazu da sind ein öffentlich zu identifizieren die kann man dann irgendwie einfach da abtippen und das geburtsdatum kriegt man's halt voll auch noch relativ easy raus.
Linus Neumann
Geburtsdatum gibt's ja ein pro jahr halt nur dreihundertfünfundsechzig optionen und, noch dazu will ich jetzt mir gar nicht so sicher sein wie genau die überhaupt prüfen am anderen ende wollen wir gar nicht erst mit anfangen genau also jetzt ist es den quasi gelungen ohne. Also der angriff den sie demonstriert haben funktioniert ohne technische schwachstellen er ist ja quasi ein und das klingt jetzt erstmal, minderwertig ist aber das fundamental problem weil wenn der angriff sogar ohne technische schwachstelle funktioniert dann heißt das ein kompletter kompromiss ist so nicht haltbar, er hat in dem zusammenhang auch technische schwachstellen gefunden gemeldet und so weiter das. Weiß ich aber nicht genau oder ich glaube nicht dass die alle auch in dem vortrag vorkam, da waren also nicht dass ihr jetzt denkt der martin hätte technisch nix mehr drauf dem ein oder anderen identitätsarmbänder hat er da auf dem weg auch noch kurz ein paar nachhilfestunden gegeben. Die muss man aber auch sagen dann sehr, auch wirklich gut reagiert haben also diese schwachstellen wurden sofort anerkannt gefixt und so weiter systeme ausgeschaltet pipapo aber das was er hier gezeigt hat ist eben, zusammen übrigens mit christian podolski und andre zilch christian podolski zebra aus dem, zerrt also hat den rest jetzt beim kongress was anderes zu tun gehabt und andere zisch ist einer der in dem bereich länger sich schon geäußert hat als diese ganzen thematik spezifikationen umgerechnet sind, ja und hat halt diese schwachstellen demonstriert das jetzt quasi die prozesse kaputt sind muss man jetzt halt fixen ist auch okay, aber da müssen natürlich sehr viel höhere sicherheitsstandards gelten und des fundamental problem ist eben die, anbieter diese identität prüfungsangst die ihm da diese falschen ausweise oder die ausweise an die falsche person gegeben haben, die haben keine der regeln verletzt die für sie gelten das ist das das problem was jetzt hier eben einer nachbesserung. Einer nachbesserung bedarf und. Weil ich ja wusste. Dass dieser vortrag an tag eins stattfindet haben wir ja den staatstrojaner kram eben sofort auf tag zwei gelegt und was uns aber dann alle auch tatsächlich, so überrascht hat ist dieses thema war nicht nur an tag eins der tagesschau ist auch der erste beitrag guten abend meine damen und herren. Martin und das ist natürlich schon. Ja ein cooler erfolg einfach auch für den für den kongress und für den club halt dieses so wirklich halt einfach mal so. Research von. Höchster relevanz irgendwie dort vorstellen zu können und am nächsten tag des staatstrojaner ding hat's auch noch mal in die tagesschau geschafft ist der tagesschau ist immer so der messwert weil das ist quasi die pressen in fünfzehn minuten den tag und je nachdem wie lange dein beitrag da ist und wie weit vorne weißt du wie wie groß das ei ist dass du gelegt hast und halt der erste beitrag und dann war es gar keine ahnung zweieinhalb minüter oder so was größeres kriegst du nicht, was größeres gibt's nicht.
Tim Pritlove
Und liebe zuhörerinnen und zuhörer falls euch mal jemand mal fragt irgendwie wenn ihr das mit dem hacken ist und ob das nicht immer nur was mit computern zu tun hat dass es hier wieder mal ein sehr schönes beispiel dafür was hacken nämlich auch ist nämlich generell einfach, eine prozessanlage löse was passiert hier eigentlich und welche wege müssen hier genommen werden und wo kann man da mal an einer bestimmten stelle einfach falsch abbiegen und trotzdem zum ziel kommen ohne dass ihr irgendwie ein einziges bild geflickt wurde einfach wirklich nicht mehr gemacht als rezepte abzug tippen und adressen in formulare einzugeben, und ja gut wenn das dann auch schon von der tagesschau als gehackt gewürdigt wird ist das dann glaube ich ein sehr schöner belegte.
Linus Neumann
Du ist ein fundamentales problem ne die werden also sie müssen da jetzt dran arbeiten ähm ich glaube auch dass die, das den vielleicht nach und nach erst bekannt wird was das eigentlich bedeutet wenn man, kennst du die sachen ja jemandem ist es gelungen an so einen ausweis zu kommen ne ja kann man den ich auch einfach jemand wegnehmen nein weil die sind ja die sind ja mit einer pin gesichert die pin haben wir aber auch bekommt muss er immer noch irgendwo okay und ich denke mal das sickert da jetzt gerade so.
Tim Pritlove
Ja und nicht nur dass man es bekommen hat ist auch so dass die person die betroffen sind ja noch nicht mal eine e-mail bekommen haben mit hallo, wir haben jetzt uns gerade mal was zugeschickt an diese adresse dass das dass man auch nur kenntnis davon hätte dass jemand da quasi die eigene identität geklaut hat also da da fehlt wirklich an allen ecken und enden.
Linus Neumann
Das ist schon so, ja nicht nicht ohne grund eben gewürdigt und anders erstmal schön immerhin haben wir mal hier wenigstens jetzt ein beitrag bevor das kind in brunnen ist ne und tja, das einzige worüber ich mir jetzt an deren stelle sorgen machen würde ist dass martin ja nächstes jahr auch noch zeit hat, oder dieses jahr und der muss ja nächstes jahr also muss ja beim ende des jahres wieder einen vortrag halten und jetzt bleibt eigentlich nur noch die technik der thematik. Und da bin ich mal gespannt da hat bisher noch keiner so richtig draufgeschaut.
Tim Pritlove
Ja und vor allem es war ja nicht nur so dass.
Linus Neumann
Er braucht ja erst mal so einen ausweis zum connector ist quasi hat sich jetzt das sind nur die ergebnisse die er brauchte um das labor sich aufzubauen ich bin mal gespannt wie die wie die wie die sache weitergeht.
Tim Pritlove
Wir machen mal weiter.
Linus Neumann
Dann haben wir gesichtserkennung.
Tim Pritlove
Hallo.
Linus Neumann
Ja das bundesinnenministerium hat verkündet sie wollen jetzt an hundertfünfunddreißig deutschen bahnhöfen und vierzehn flughäfen die gesichtserkennung ausrollen die sie hier im sommer zwanzig siebzehn bis sommer zwanzig achtzehn am südkreuz getestet haben ne also, diese software die eben wo du quasi nach einem gesicht fahren kannst und der scannt einfach alles was wir im gesicht aussieht und. Gleich das dann mit einer biometrie datenbank ab. Dass dieser südkreuz versucht der ging eigentlich noch von dem aus jetzt haben wir halt den, horst da am start und der möchte da jetzt halt vorangehen es gibt eine ja eine zivilgesellschaftliche bewegung dagegen unter gesichtserkennung minus stoppen de ja komm. C digitale freiheit pfiff digitalcourage und so weiter zusammen um sich dagegen zu positionieren. Und jetzt stellt sich natürlich die frage oder vielleicht muss man das nochmal erklären warum das ein problem ist eine der typischen mythen ist ja dass wenn da eine gesichtserkennung stattfindet das. Quasi nur diejenigen erkannt werden nach denen gesucht wird aber um, diesen vergleich zu machen muss ja jede person die an der kamera vorbeiläuft erfasst werden und. Was an einer solchen biometrischen erfassung und identifikations- möglichkeit das problem es ist eigentlich das hier diese daten in ein, verarbeitbar wares niveau gebracht werden also normalerweise ist der datenströme von so einer kamera ne wenn man sich jetzt überlegt die kamera zu uns so viele pixel auflösung, wenn du da drin keine muster erkennen kannst dann ist das einfach zu viel, um das weg zu speichern und um es zu analysieren wenn jetzt aber etwas hast was gesichter erkennen kann was in der lage ist die auf den biometrischen fingerabdruck, zu reduzieren und mit datenbanken abzugleichen dann hast du auch etwas was quasi eine verarbeitbarkeit. Sinnvoll zu verstehende und damit auch speichern ware datenmenge ist. Du musst also nicht mehr gigabytes von film videos speichern sondern du hast am ende so etwas wie einen einfachen kennzeichen scanner das kennzeichen ist da nur dann da vorbeigefahren wenn ich danach suche, ist der datenbank den ich mir anschauen muss eine liste aus kennzeichnen und uhrzeiten und orten und nicht gigabytes oder terabytes ein video das heißt du hast hier, eine eine sehr viel. Weitreichendere datenerfassung als du auf anhieb meinst wenn man sich das so anschaut dann wird natürlich gesagt ja aber wir speichern die daten nicht, aber genau das ist ja das was wir immer sagen wir speichern die daten nicht bis wir das bei der nächsten gesetzesnovelle damit anfangen dann gibt's halt eben die vorrats nichts datenspeicherung, so und.
Tim Pritlove
Und.
Linus Neumann
Dass da soll eben den anfängen gewehrt werden ja es gibt verschiedene argumente die hier in der kampagne vorgebracht werden so erstens okay falsche erkennung ist ein problem, ja die systeme funktionieren mangelhaft das wissen wir ja südkreuz waren damals ja auch die ergebnisse. Lächerlich fehlerhafte würde irgendwie fast jeder mensch wurde fälschlicherweise als gesuchte person erkannt, das ist natürlich etwas was ich in zukunft ändern wird wichtiger denke ich ist das argument einfache umgehung, drehst du dein gesicht um ein paar grad von den kameras weg kann kann die kamera dich schon nicht mehr erkennen. Und kannst du auch dein gesicht teilweise bedecken oder so ne sehr einfach zu umgehen also wenn du eine gesuchte person bist hindert dich diese gesichtserkennung nicht am besuchen des bahnhofes, ganz im gegenteil jetzt ist natürlich der andere punkt, dann kommt wieder der punkt dass du dich verdächtig machst ne hast du irgendwie den schal zu hoch ins gesicht gezogen oder eine dunkle hautfarbe dass es aussieht als hättest du vielleicht dein gesicht verdeckt sackgasse probleme das ist genau der punkt diese gesichtserkennung ist diskriminierend für unterschiedliche hautfarben gesichtsformen und so weiter. Gefahr für die demokratie selbst wenn das ding funktioniert und das ist ja der punkt den ich gerade auch gesagt habe dann werden kannst du, zehntausende hunderttausende menschen gleichzeitig erfassen effizient weg speichern und die beobachtung die vorher vielleicht hätte auf jede kamera ein mensch achten müssen so hast du dann halt die die bewegungsprofile die du bei google maps sonst hinterlässt auf einmal mit deinem gesicht auf videokameras, aus der ferne wo du nicht weißt ob da wurde überhaupt videokamera stehen wenn du um die nächste ecke gehst und damit geht natürlich auch ein sehr hohes, missbrauchspotenzial einher deswegen hier diese kampagne, hatte ich glaube ich schon gesagt ch digitale gesellschaft pfiff digitale freiheit und digitalcourage gibt's noch paar testimonials dazu und es wird da jetzt auch denke ich. Weitergehen mit entsprechenden pressemitteilung und. Wie nennt man das petitionen und was es da nicht alles noch kommen kann da kann man also mal, durchaus sein sein auge draufhalten ist nicht so als wäre das jetzt hier oft wird ja gesagt german datenschutz oder german angst oder sowas ganz im gegenteil in san francisco wurde es ja schon als hochrisiko technologie, abgelehnt und jemand san francisco bay area ne das ist de facto da ist die speerspitze, der des silicon valley so ungefähr und wenn wenn da wo die leute wohnen die davon ahnung haben sagen so ey weißt du was.
Tim Pritlove
Nicht so eine geile idee.
Linus Neumann
Lass mal weg ist okay reicht wenn man es auf facebook haben sieht schon, sieht ganz kritisch aus insofern da werden wir jetzt dank des vorstoßes von horst seehofer da direkt mal auf hundertfünfunddreißig bahnhof und vierzehn flughäfen zu machen ist das offenbar der eines der bestimmenden themen zwanzig zwanzig.
Tim Pritlove
Genau initiator des projektes uns die digitale freiheit die hatten wir auch zwei vertreterinnen bei unserer sendung vom camp. Logbuch netzpolitik drei i love you johnson datenschutz ich glaube das bezog sich auch damals konkret auf ihre motivation in dieser hinsicht haben wir auch konkret über diese.
Linus Neumann
Immer noch nicht fassen dass wir die drei elf nicht für workshops genannt.
Tim Pritlove
So ist das halt ne.
Linus Neumann
Also das kann man eigentlich nicht angesicht entgehen lassen also der wird auf jeden fall für workshop sein dafür sorge ich.
Tim Pritlove
Da wir gerade über überwachung sprechen sollten wir vielleicht auch kurz erwähnen.
Linus Neumann
Müssen gratulieren.
Tim Pritlove
Du musst mal gratulieren denn es wurde ein preis vergeben einen journalisten preis ausgelobt von telepolis und dann wurde darüber befunden wer denn hier in diesem bereich, also in der berichterstattung über überwachung, besondere verdienste vorzuweisen hat und die wahl viel auf unsere bekannte anna die auch hier bei logbuch netzpolitik ja schon mal zu gast war, sogar mehr als einmal oder.
Linus Neumann
Ja ich war auf jeden fall öfter hier.
Tim Pritlove
Und das finden wir gut.
Linus Neumann
Genau und zwar.
Tim Pritlove
Herzlichen glückwunsch dazu.
Linus Neumann
Für ihr projekt zur sprache des bamf fehler vorprogrammiert wo es also darum ging eigentlich, akzente zu erkennen wo sie sagte nur üblicherweise wenn du wenn man herausfinden möchte wo jemand her ist dann wird halt eine ortskundig person, bestellt die sagt hey und wie war das da hier damals als ach so als sie da und da gewohnt hat wie war das denn was weiß ich vierundachtzig mit ausbruch des hustens oder sowas ne und wird dann eine realistische lösung gemacht und dann haben sie jetzt eine sehr schlechte spracherkennungssoftware die sagt wo letztendlich jemand in dieses bamf reinkommt eine irgendwas sagt, und dann dauert dann sagte eine software ja nee der kommt da der kommt aus der und der ecke oder so was hätte total totaler irrsinn ist das auf diese weise zu machen und das war ja eine, eine der großen veröffentlichung auf jeden fall, von anna zwanzigachtzehn ende zwanzig achtzehn ich glaube sie hat ja auch einen vortrag dann damals noch beim kongress drüber gehalten wenn ich mich nicht täusche ja herzlichen glückwunsch.
Tim Pritlove
So die zeit ist ein bisschen knapp aber vielleicht sollten wir dann uns doch noch kurz zum sechsunddreißig drei nochmal äußern zumindest mal ein paar tipps geben zeit ist knapp.
Linus Neumann
Ja zwanzig minuten haben wir noch aber das wird ist knapp ja ja also ein tipp für kongress. Also ich war wie jedes jahr nehme ich mir vor möglichst nicht ganz so viel stress zu haben jetzt mit den. Verschiedenen veröffentlichungen und so pressemitteilung und find fischer sind zwei veröffentlichung und eigenen vortrag und so war das nicht so.
Tim Pritlove
Hallo.
Linus Neumann
Hat es mal wieder nicht so gut geklappt ich habe ja eigentlich noch gebettelt dass ich alle vorträge und so am ersten tag am zweiten tag machen kann damit ich den den dritten und vierten wenigstens frei hätte, und hat nicht so nicht so hingehauen was ich noch ganz erwähnenswert fand vom kongress war wir haben ein eingangs- benner gehabt.
Tim Pritlove
Ja da wollte ich gerade das wollte ich gerade an.
Linus Neumann
Wie fandest du das denn.
Tim Pritlove
Groß in jeder hinsicht.
Linus Neumann
Ich war ich muss sagen ich war ein bisschen enttäuscht dass dort dann in der glashalle zu sehen da war es dann gar nicht mehr so groß. Also das banner hatte ein format von drei mal zwölf meter quadratmeter ist größer als meine erste wohnung.
Tim Pritlove
Hallo.
Linus Neumann
Und es besteht quasi in meiner wohnung nicht die möglichkeit dieses banner, auszurollen weil es nicht ich kann in der wohnung glaube ich keine zwölf meter distanz in einem raum.
Tim Pritlove
Ich glaube dass es bei den meisten wohnungen so.
Linus Neumann
Ja ich find's defizit oder. Und die drei meter höhe die kriegst du noch rein aber letztendlich sag mal den kleineren raum kannst du damit komplett einmal, um katze podcaster vorhand machen damit er nicht so halt relativ großes gerät. Hätte aber muss ich sagen in der glashalle es war rechts und links noch ein bisschen platz da hätte man den zollstock nochmal besser dran halten können. Das war übrigens also das banner hat gestaltet die stella das war so ein kleines projekt was wir geheim am rande gemacht haben und.
Tim Pritlove
Stand da drauf.
Linus Neumann
Wer es darauf anlegt das zusammenleben in dieser gesellschaft zu zerstören und auf eine alternative gesellschaft hinarbeitet deren grundsätze auf und nationalismus beruhen, arbeitet gegen die moralischen grundsätze die uns als club verbinden, und natürlich also dass der satz legte es natürlich auch so ein bisschen darauf an dass die leute meinen habt ihr keinen griffigeren gefunden, teil der scheune warum das ding zwölf meter breit ist ist halt dass der satz halt etwas länger ist aber. Die kommissare und konditorinnen haben natürlich erkannt dass es ein satz aus der unvereinbarkeitserklärungen des chaos computer clubs aus dem jahre zweitausendfünf, und damit ein kleiner zeig an all jene die sich vor offenbar irgendwie meinen früher, wäre der chaos computer club irgendwie politisch gewesen also bevor er an dem, in der tat am tisch der kommune eins gegründet wurde gab es offenbar irgendwie so eine unpolitische vergangenheit ist chaos computer club sein die sich kaum noch jemand erinnert. Da gab es eben hier in kleine erinnerung eben, zweitausendfünf schon die unfall unvereinbarkeitserklärungen in der ihm der c das vertreten von rassismus und von der verharmlosung der historischen, und aktuellen verschiss zwischen gewalt für unvereinbar mit seiner mitgliedschaft erklärt, also wir haben quasi eine erklärung die das faschisten raus. Wird es schon relativ lange in diesem verein. Etabliert hat ja da hießen die noch anders diese gruppierungen freie kameradschaften deutsche liga für volk und heimat deutsche volksmund fpö hilfsgesellschaften nationaler gefangener die liste pimp vor toi toi, die npd pro köln und die republikaner wir haben überlegt ob wir das jetzt mal anlässlich dieses bannas nochmal updaten. Weil es größere teile von diesen gruppierungen nicht mehr gibt aber wir haben uns überlegt die anderen geht's leider auch nicht mehr insofern, in der historischen form lassen. Wanne wanne war eine große freude dass zu gestalten und dort aufzuhängen und jetzt kann ich's ja auch erzählen das war also das habe ich unter sehr. Habe ich sehr geheim gehalten diese produktion des banner und natürlich auch wie wie alles so ein bisschen zu spät dann in auftrag gegeben und dann war es irgendwie so dass es in gelsenkirchen irgendwann lag, kurz vor dem kongress und diese sachen ja schicken wir mit dhl und ich sind die kriegen mein vater nicht hier die hat ich glaube keine lust irgendwie blut und wasser zu schwitzen ob das ding ankommt oder irgendwo unter der oder eine fußmatte landet so ungefähr wobei für unter der fußball ist ein bisschen zu groß gewesen und dann habe ich das habe ich dafür gesorgt dass ein privat korea abholt vielen dank. Und der erzählte dann als er daraus war sagt er ja ich war gerade das banner abholen und da waren so zwei mitarbeiter. Die meinten so geiles banner ein deutscher und türkischer mitarbeiter geiles banner finden wir korrekt. Ihr seid der chaos computer club was für eine ehre dass wir für euch arbeiten dürfen. Alle irgendwie so mit tränen und und gänsehaut irgendwie so aus der nummer raus das banner hat auf verschiedenen wegen seinen weg zum kongress gefunden und wir haben's dann. An abend null wurde es dann eben feierlich dort aufgehängt direkt am eingang. Und war sehr schön weil es haben sich alle alle darüber gefreut es gab also niemand hat an dem ding irgendwelchen missfallen gefunden was ich auch so ein bisschen schade fand ich hätte ich habe mir gewünscht dass schon irgendein irgendein idioten gibt der sich entblödet daran noch irgendwelche kritik zu üben aber ja leider wurde der köder nicht wurde nicht wurde nicht gefressen, ne aber ja war eine schöne schöne aktion stelle hat er schön gestaltet ich hatte sie gebeten keine maskottchen hat sie einfach drei genommen und damit war klar die verhandlung braucht man nicht mehr zu führen es gibt ein känguru eine maus und eine eule und die wir haben's extra deshalb anders gestaltet also es hat tatsächlich also stella hat es deshalb gemacht weil sie es auch nicht in dem kongress design, weil es nicht im kongress design haben wollten weil so ein großes banner ist dann doch etwas wo du dir sagst jetzt muss ein paar jahre halten. Und ich hoffe dass das noch öfter irgendwo hängt.
Tim Pritlove
Wenn man zwölf meter hat.
Linus Neumann
Wenn man also zwölf meter und drei ja beides die drei klingen jetzt irgendwie nicht so wie der große akt aber die sind auch einer, es hängt von der brücke fast runter es dürfte nicht höher als drei meter sein weil sonst hätte man sorge haben müssen dass irgendein.
Tim Pritlove
Im zweifelsfall kriegt man es immer noch in so einer altbau einzimmerwohnung an allen vier wänden in berlin unter das ist dann meistens deckenhöhe vorhanden.
Linus Neumann
Man kann das auch falten das wiegt fünf kilo oder so ne das geht doch tragen.
Tim Pritlove
Neue mode.
Linus Neumann
Aber also dass das dinge als wir bevor wir den druck auftrag gegeben haben habe ich dann halt so im im wohnzimmer aufm beamer deshalb mal so skaliert mit dem zollstock bis die buchstaben halt so groß waren wie es dann halt in echt ist so ein paar buchstaben auf dem biber und ich dachte okay das ist ziemlich groß. Das hat mir spaß gemacht danke stella.
Tim Pritlove
Hallo, ja kommen wir dann vielleicht zu den talks also nicht allen talks aber vielleicht so ein paar sollten wir erwähnen und da sollten wir auf jeden fall deinen erwähnen der war nämlich gut habe ich gesehen mal wieder sehr unterhaltsam und auch sehr insightful wenn ich das mal so sagen darf hirne haken hieß die veranstaltung, und was zu finden mit dem ergebnis.
Linus Neumann
Ja also der vortrag war am abend von tag drei und davor hatte ich irgendwie einen tag eins mit, der ganzen pressevertreter und dem medizin ding, danach hatte ich einen tag zwei wo unser release war mit dem staatstrojaner an dem tag drei selber gab's auch noch den vortrag den dann eben ulf und thorsten gehalten haben ich glaube man merkt so ein bisschen dass ich, dass ich schon zwei fehlende nächte in den knochen habe aber ich glaube es ganz gut angekommen und wird jetzt, wird auch ganz gut also kriegt ganz gutes feedback kann ich wahrscheinlich zufrieden sein.
Tim Pritlove
Ja ich fand's ich fand's super also für mich war es so ein bisschen so eine zusammenfassung aller sendung der letzten ein zwei jahre wurde immer mal wieder zu dem ein oder was anderen gesagt hast so die aus ausführung zu den indikation und fishing haben wir ja hier auch gerade in letzter zeit auch nochmal ausführlich besprochen was da so für angriff punkte gibt et cetera und das ist hier, dann alles schön zusammengefasst.
Linus Neumann
Ja ich glaube es also es unterhaltsam es sind aber auch tatsächlich neue sachen drin muss ich wirklich sagen also das da sind sachen drin die über die habe ich nur bisher nicht öffentlich gesprochen.
Tim Pritlove
Wäre jetzt auch noch schöner wenn überhaupt nichts neues zu.
Linus Neumann
Meine studienergebnisse die ich da vorstelle also es ist ja ja genau also herzliche empfehlung freue ich mich wenn ihr euch den anschaut.
Tim Pritlove
Ja dann gab es viel zu verkehr.
Linus Neumann
Ja also auch ein wirklich dem war auch ein vortrag den ich ja, kannte oder wo ich die inhalte kannte und die mit dem team feuer viel gesprochen habe die verkehrswende selber hatten. Ein echt schöner vortrag der so auch so richtig schön c ist im sinne von hier kommen halt mehr sachen zusammen ja also so, also robbie und bahn verleiht haben den gehalten wo, sie mal so insgesamt über verkehrswende sich gedanken machen, irgendwann so mittendrin mal ganz kurz zeigen übrigens diese live-fahrräder die sind kaputt die können wir alle aufmachen und und ach so und dann gibt's noch hier das ist also wirklich von vorne bis hinten richtig schöner vortrag und die waren anfangs natürlich auch sehr nett oder eben unnatürlich ja aufgeregt nervös oder so mit ihrem vortrag und haben den so dermaßen geahnt dass er echt ja der.
Tim Pritlove
Gut ankam und es geht aber wie der name jetzt nicht unbedingt von vornherein verrät nur um das hacken für existierende systeme ganz im gegenteil sondern, einfach mal eine demonstration wie man im prinzip so ein sharing system mit fahrrädern selber aufziehen kann und wie sie da auch schon erste erfolge erzielt haben also wirklich lohnenswert da mal reinzuschauen dass wie du schon sagst es, atmet atmet sozusagen das kongress flair und club realitäten ziemlich umfangreich.
Linus Neumann
Dann wäre auch glaube ich sehr gute feedback bekommt ist arne vogelgesang.
Tim Pritlove
Oh ja.
Linus Neumann
Let's play info krieg auch so ein mit dem habe ich auch vorher noch gequatscht weil was überlegt habe okay wie weit können wir gehen was das kann man da zeigen er handelt ja im prinzip ab also, den info krieg von rassistischen bewegungen bis hin zu den mordanschläge die sich in diese gamification. Einfügen wie war denn dein blick darauf.
Tim Pritlove
Ich fand es erstmal fand ich ihn von also vom vortragstitel her vom flo her sehr gut also das das ist so so so will man bespielt werden und er hat ja dann schwerpunkte gelegt also es geht ja grundsätzlich dadrum so wie eben diese ganzen rechts gerichteten radikalen wie auch immer man es nennen möchte bewegung die wir so im netz in den letzten jahren gesehen haben die dann eben die dynamiken des netzes für sich zu eigen gemacht haben und hat ein bestimmtes schwerpunkte draufgelegt und auch erläutert wie dort eben vorgegangen wird ein schwerpunkt ist zum beispiel gamer gate das haben wir ja hier auch schon mehrfach angesprochen und, fühlte mich da in der hinsicht auch, ja bestätigt das richtige wort aber er hat also sagen wir mal ähnliche tonlage dort angesprochen aber eben auch konkret mal aufgezeigt was eigentlich dort stattfindet, das ist auf jeden fall so ein mast sie veranstaltung dieses kongresses.
Linus Neumann
Hat er übrigens nicht zum ersten mal gemacht ne wer aufmerksam podcasts hört kennt anne vogelgesang schon als jemand der sich mit diesen unangenehmen kulturellen phänomenen auseinandersetze vor vielen jahren, daher kannte ich ihnen auch schon vom hören den podcast metropole fünfundzwanzig kultur des hat wo er sich irgendwie mit den team da auseinandersetzt mit den ganzen magazinen und, den der musik mit der quasi der und diese radikale islamisten eben um mörderinnen und mörder werben. Das das war auch schon sehr interessant wie er sich damit auseinander gesetzt hat und jetzt eben mit nazi mördern. Inside the fake-likes factory ist im zweifelsfall auch hier natürlich für logbuch netzpolitik hörerinnen und hörer ein sehr interessanter vortrag. Total also das hätte ich echt nicht gedacht ja das ist also das ist eine recherche von zwei eckhardt und, ich glaube die fangen an der ruhr-uni bochum ihre beiden ko vortragenden dennis und patrick ist glaube ich. Die sich, also muss man einfach nur mal machen ne haben halt sich likes gekauft haben irgendwelche facebook-posts gemacht und haben dann leute dafür bezahlt, die, oder haben sich dann eben likes bestellt wo man sich eben facebook fans kaufen kann gibt's in webseiten kostet facebook likes ja für vier neunundneunzig kriegst du halt irgendwie zwanzig likes oder sowas ja und.
Tim Pritlove
Ja wenn wenn wenn ihr da interesse habt wie man daran kommt dann könnt ihr sicherlich bei eurer lokalen cdu büro nachfragen sind da auch ganz gut unterwegs.
Linus Neumann
So was ihr da gemacht haben ist quasi haben sich mal irgendwie auf so auf irgendwas was wirklich keine sau liked einfach mal die likes gekauft und wussten dann halt dass jeder der den mist geliked hat hat dafür geld bekommen haben sie halt mit den leuten gesprochen haben gesagt hör mal wie ist das denn und. Dann sagen die die verdienen halt damit geld dass sie quasi pro link kriegen sie halt irgendwie wirklich cent beträge. Und die setzte sich dann da abends hin und klicken in einem liken halt durch was, ihnen vorgegeben wird und da es ja auf facebook ist und öffentlich kann es halt relativ kann man da relativ einfache abrechnungen machen und die verdienen halt wenn ich das richtig erinnere hat sie gesagt irgendwie zwischen, fünfzehn und knapp unter tausend euro im monat, er klicken die leute sich indem sie halt irgendein scheiß liken mal diese schritte optimum die arbeiten nicht mit irgendwelchen fake-profilen sondern arbeiten einfach mit ihren eigenen absurd.
Tim Pritlove
Ja wozu dann noch hartz iv ne also.
Linus Neumann
Noch flaschen sammeln wenn du irgendwie auf facebook sachen liken.
Tim Pritlove
Wenn man auch einfach das system ja und das einfach das system destabilisieren und dabei überleben.
Linus Neumann
Krasser also er ist wirklich naja also absurd und unterhaltsam und also ja auch sowas halt ne guck sie dir an und denkst dir so was haben wir gemacht hier. Dann.
Tim Pritlove
Habe ich noch nicht gesehen aber klingt auf jeden fall interessant.
Linus Neumann
Auf jeden fall die affäre hannibal ja so eine der, einer der wahrscheinlich unter berichtet skandale überhaupt in den letzten jahren ist er wirklich sehr sehr erstaunlich dass da so wenige also der, es ist eine wahnsinnige recherche leistung die er stattgefunden hat, von der tat und erstaunlich dass halt kaum andere darauf.
Tim Pritlove
Eingestiegen sind.
Linus Neumann
Eingestiegen sind ja insofern auch das ein thema was. Sich hier von sebastian und daniel schulz beide von der tat vorgetragen wurde es ist durchaus sehr interessant und etwas wo man noch viel mehr drauf achten sollte als wir das aktuell tun.
Tim Pritlove
Gut dass das auf dem kongress auch sowas platz findet das ist auf jeden fall schön habe ich aber auch noch nicht gesehen.
Linus Neumann
Constanze kurz hat über geheimdienstliche massenüberwachung noch einmal vorgetragen noch einmal weil dieses thema uns ja im prinzip seit edward snowden. Begleitet und verfolgt und die gesellschaft mal mehr mal weniger interessiert die gerichtsverfahren insbesondere das in großbritannien bei dem bei dem sie eine der beschwerde beschwerdeführer drinnen ist, laufen natürlich so vor sich hin und es gibt ja auch das denke ich werden wir in der nächsten sendung nochmal vertiefen. Die verfassungsbeschwerde der gesellschaft für freiheitsrechte in dem bereich die am fünfzehnten und sechzehnten glaube ich januar in karlsruhe, verhandelt wird wenn ich mich jetzt nicht täusche es noch richtig im kopf habe, vierzehn fünfzehn also sehr zeitnah gibt es da eben dann auch das verfahren über die massenüberwachung in karlsruhe was dieses thema eben aktuell hält, und um wer sich da schon mal das bild nochmal in das internationale bild dieser auseinandersetzung ein, lesen möchte bevor wir dieses thema jetzt eben auch denke ich in deutschland in diesem jahr nochmal sehr breit diskutieren werden und eben auch ein höchstrichterliches urteil da erwarten. Hat da natürlich von der absoluten expertin in dem bereich den vortrag dann, den nächsten traue ich mich kaum zu empfehlen.
Tim Pritlove
Ja
Linus Neumann
Der ich denke meist gesehene vortrag aber auch jedes mal wenn david krise vorträgt ist das eine irgendwie sechs siebenstellige anzahl, views die da irgendwie in kürzester zeit erreicht.
Tim Pritlove
Zurecht da kommt einiges zusammen.
Linus Neumann
Frage ja das war ne das ist so wenn von david 'ne einreichung kommt reicht auch nur glaube ich allenfalls alle zwei jahre ein wenn ich das jetzt richtig sehe.
Tim Pritlove
Das weiß glaube ich der dritte talk.
Linus Neumann
Am dreißig drei vorgetragen. Mit dem trockenen scannt den und ich selbst gefälscht hast dann weiß ich nicht genau wann spiegel mining war und dann jetzt bahn mining pünktlichkeit ist eine ziehe. Wo er ja die fahrplan daten der, deutschen bahn sich mal gescreente hat und da versucht mal mehr aus den daten zu holen als die deutsche bahn da vielleicht selber darüber berichtet. Und ja. Das war du hast gerade guck mal da kannst du nochmal kurz zur a dreiunddreißig drei war spiegel mining und da ist noch einer gerade gewesen. Ah okay das ist der das ist der trau kein scannen auf englisch ja okay verstehe nein der hat aber der frosch nochmal gehalten also einunddreißig sorry einunddreißig dreiunddreißig wann seine vorträge und einmal der frosch. Ich glaube ich sollte man gar nicht so viel vorher verraten zehntausende und hunderttausende youtube klicker können nicht irren.
Tim Pritlove
Ja er ist einfach, also genau ist gute unterhaltung weil er weil er weil er seine seine vorträge schön strukturiert einfach interessante themen aufgreift und das dann sehr elegant macht und schön vorträgt und allein schon wegen seines abschlusses dieses talks sollte man sich den auf jeden fall mal angeschaut haben.
Linus Neumann
Dann hatten wir beim c dieses jahr beim jahresrückblick eine neuerung, unterschiedlichen gründen zwar haben wir den jahresrückblick mal in dezentraler form abgehalten. Dezentral heiße das klassische format des c jahresrückblick ist ja vorne sitzen da irgendwie paar ausgeschlafene leute und, versuchen das jahr revue passieren zu lassen und.
Tim Pritlove
Das zieht sich ewig hin.
Linus Neumann
Alle also alle die daran beteiligt waren in den letzten jahren haben waren sich einig dass das so nicht weiter geht dass es ein format wechsel mal geben muss. Ausprobiert haben wir jetzt mal zu sagen jede für jedes thema was jetzt irgendwie den club, beschäftigt hat trägt dann eben auch die person vor die die, naheliegendste oder beste vortragende dafür ist und wir gehen mal von den großen bereich der politik auch mal, weg und geben halt den garten dem ganz normalen club geschehen. Mal mehr raum um zu zeigen okay was hat denn den club beschäftigt und das ist natürlich daneben irgendwelchen stellungnahmen und hier im bundestag und so auch, ja im weitesten sinne kleinere sachen wie was weiß ich der freiburger c ist ungezogen oder hat einen neuen internetanschluss oder, die hexen haben das und das gemacht in den letzten jahren und folgende kampagnen angestoßen um da halt auch mal viel mehr das club leben auch mal revue passieren zu lassen dafür haben wir ein moderator, angeheuert das war der holger.
Tim Pritlove
Der saß da so rum.
Linus Neumann
Der saß da so am rande also, ich meine wir werden das wir haben das jetzt das format so ausprobiert ich denke wir haben da erstmal einen richtigen weg eingeschlagen und gleichzeitig natürlich auch noch ja möglichkeiten, jetzt sachen gelernt zu haben ja zum beispiel dass es vielleicht cool wäre wenn nicht linus eine stunde vorm vortrag, von irgendwie fünfunddreißig gefühlt hundertfünfunddreißig vortragenden die folien noch morgen muss auf einen computer oder holger halt zum beispiel auch mein tag früher weiß was auf der bühne passieren wird da gibt's also durchaus optimierungsmöglichkeiten die wir auch wahrgenommen haben. Trotzdem denke ich aber dass die die allgemeine richtung jetzt nicht verkehrt war.
Tim Pritlove
Ich fand's insofern auch ganz es war halt erstmal erfrischend weil andere gesichter es war ganz informativ weil es teilweise einfach auch projekte gab wie chaos punkt jetzt wo ich ehrlich gesagt, keine schenkung von hatte dass die überhaupt da sind also das ist auf jeden fall ganz gut aber vom ablauf her ich muss da noch ein bisschen, dran gefeilt werden aber schon mal auf jeden fall deutlich unterhaltsam aber es zeigt zeigt dann eben auch. Dass dieses vorurteil mit naja immer dieselben gesichter et cetera die sowieso schon immer bei jeder fernsehkamera in die fresse.
Linus Neumann
In die fresse kriegen oder was willst du jetzt sein.
Tim Pritlove
Sie haben mir direkt ins gesicht berichtet. Nein das ist einfach auch noch ganz andere personen gibt die eine menge reißen ja und dann auch mal mehr sichtbarkeit erhalten soll.
Linus Neumann
Das war das das war das ziel der aktion und das hier haben wir auf jeden fall erreicht und so die politischen, themen da jetzt mit drunter zu mischen ist glaube ich auch überhaupt gar kein problem ja also wir haben das feedback was wir so bekommen ist super format. Gerne beibehalten.
Tim Pritlove
Aber x.
Linus Neumann
Politischer teil bitte auch wieder mehr da rein aber dieser dieser politische teil ist eben.
Tim Pritlove
Ja
Linus Neumann
Ja also hier sind eben alle mit dieser veranstaltung auch beschäftigt und es ist eben man sieht der dem dem jahresrückblick eben auch an dass wir alle quasi im letzten moment dahin hetzen ein paar folien haben und dann einmal kurz auf das jahr blicken müssen und dann kann jetzt jeder natürlich sagen hier müsste halt früher vorbereiten ja genau da bereiten wir aber andere sachen vor und deswegen glaube ich dass das der richtige weg war jetzt zu sagen okay dann bereitet halt eine person ein thema vor, und dazu fünf minuten und knackig und unterhaltsam und abwechslungsreich und das halte ich für richtig mal gucken welche anpassung wir da jetzt im nächsten jahr vornehmen. Dann gab es einen bisher wie ich finde mit zu wenig aufmerksamkeit versehenen talk. Der auf verschiedene weisen, ja auf besonders ist zwar ist das der hacking media geflüchtete schmuggeln nazis torten pässe fälschen warum wir jetzt wählen ungehorsam und subversion mehr brauchen denn je von conny runner und ronny sommer, das ist das kollektiv was davor trägt und die haben etwas gemacht was ich, eigentlich im bereich der kommunikationskrieger für total falsch halte nämlich ihre aktion erklärt und manöverkritik geübt ja halte ich für vollkommen falsch hat aber super funktioniert ja also ich, auch da ich bin ja mit den meisten vortragenden irgendwie dann mal im laufe der zeit in kontakt weil ich im, im content team bin weil ich die vielleicht auch so kenne und so weiter auch. Hier haben wir vorher nachher drüber gesprochen und das ist tatsächlich mal erfrischend. Lehrreich weil sie halt auch mal sagen so okay diese probleme gibt und das ding ist halt auch mal schief gegangen das haben wir das hat nicht funktioniert. Das ist das was wir daraus gelernt haben und dass das wirkt quasi dem, dem publikation byers entgegen ja dass man sich immer mit den sachen rühmt die geige laufen sind und so tut als wäre das hätte man von vornherein alles so geplant und hier dann auch mal einfach ehrlich sagt okay da hatten wir glück da hatten wir pech das hat gut geklappt das nicht hier war folgende kritik muss man sich überlegen und so weiter ja deswegen denke ich der ist im moment noch in der öffentlichen rezeption weit unterschätzt ja.
Tim Pritlove
Habe ich leider auch noch nicht gesehen wurde aber auch schon von anderen drauf hingewiesen.
Linus Neumann
Ja dann gab's natürlich den ganzen security-bereich den ich jetzt fast mal auslassen würde weil wir ja ein bisschen zeitnot haben und dass ihr auch der, der politik podcast ist insofern würde ich nochmal auf jeden fall empfehlen vom ich zum wir also maha und, kai biermann die beim letzten kongress herrscht schmerzhaft vermisst wurden die ja immer im prinzip so ja weil es ist sicher analysen oder.
Tim Pritlove
Ja da wird.
Linus Neumann
Oder ist das liguistische nee das also semantische analysen was ist denn der mann eigentlich nochmal professor für.
Tim Pritlove
Sprachwissenschaftler ja.
Linus Neumann
Genau also die sich im prinzip. Mit den rhetorischen mitteln formulierungen und inhalten und der metabedeutung von inhalten auseinandersetzen neu sprech das blog und so weiter.
Tim Pritlove
Und hier die.
Linus Neumann
Und die hier eben auch einen sehr schönen unterhaltsamen vortrag gehalten haben. Soviel erstmal für bis nächste woche ja das könnte jetzt erstmal durchgucken.
Tim Pritlove
Dann kommt mehr.
Linus Neumann
Und dann könnt ihr noch kurz ein an edris spenden eddi hat eine neue spendenkampagne. Wie ihr wisst ist edris european digital rights die quasi der zusammen geschlossene. Verband der, digitalen bürgerrechtsorganisationen der da eben wichtige arbeit in brüssel macht wir haben edris vertreterinnen und vertreter regelmäßig bei uns in der sendung john bacon wie war das thomas loipfinger ist im vorstand von edris, und. Braucht spenden hat er jetzt eine kampagne wo man quasi kleidung kaufen kann immer im prinzip so genau wir kämpfen ja gegen den nackten bürger also kannst du jetzt hier socken hüte, winterjacke und so weiter kaufen die natürlich dann eben übersetzt werden in in spenden beträge letztendlich um deren arbeit zu unterstützen, da ist das geld bisher immer gut angelegt gewesen.
Tim Pritlove
Ja
Linus Neumann
Ja sorry für die sorry für die hetze am ende aber wir verbreiten hier gar keine hetze das machen ja andere. Für die hast du hast es nämlich das richtige wort.
Tim Pritlove
Ja die eile.
Linus Neumann
Am ende.
Tim Pritlove
So ist das aber. Wir haben es geschafft jetzt hier ne ist schon ein neues jahrzehnt dann doch. Wir hoffen ihr hattet spaß wenn ihr auf dem kongress waren ich hoffe ihr habt auch spaß wenn ihr am kongress überbleibsel in form der talks und auch der berichte wenn ihr nicht da wart.
Linus Neumann
Man kann es gar nicht oft genug sagen was da für ein fundus an inhalten halt jetzt wieder veröffentlicht wurde und da gibt's so viele talks die auch wieder noch schauen werden das lohnt sich wirklich halt media c d e oder die youtube playlist was auch immer euer präferierte konsum konsum format ist da mal, laufen zu lassen und zu gucken was da so kommt oder.
Tim Pritlove
Was wir jetzt nicht so gewürdigt haben ist was was sonst noch so auf dem kongress alles so passiert ist da verweise ich mal dezent auf die freakshow wo man natürlich jetzt gestern ist noch nicht veröffentlicht kommt alles auch darüber viel gesprochen haben, und ansonsten müssen wir noch ein bisschen danke sagen.
Linus Neumann
Ja ich habe so eine art also es gibt ja immer relativ viel jahresende dank den ich jetzt mal nach beheben möchte und da würde ich gerne sehr besonders den folgenden personen danken das ist micky johann, florian fabian herzlichen dank thomas alexander christoph, simon niklas nils maximilian andreas harald und steffen für besondere unterstützung insbesondere in den letzten, wochen oder monaten.
Tim Pritlove
Genau und da muss ich auch noch hinzufügen wolfgang und markus die auch nochmal ja erwähnenswert beigetragen haben.
Linus Neumann
Ja damit sind wir viele andere auch.
Tim Pritlove
Viele andere auch aber es ist schwierig.
Linus Neumann
Ich versuche das ja immer so zu verteilen dass es regelmäßig kommt also der dank tja das. Lasst uns also in ein neues jahr blicken.
Tim Pritlove
Was machen wir jetzt auch ihr auch.
Linus Neumann
Neues jahrzehnt.
Tim Pritlove
Jahrzehnte genau also tschüss.

Shownotes

Feedback: Universität Gießen

CCC analysiert Münchner Staatstrojaner FinSpy

gematik

Gesichtserkennung

Surveillance Studies Journalistenpreis 2020

36C3

edri Spendenkampagnee

Bonus Track

10 Gedanken zu „LNP325 Besser der Hund bellt einmal zu viel

  1. Ich wollte nur anmerken, dass auf Rezepten die unter das BTMG fallen das Geburtsdatum auch drauf steht – damit haben wir dann ein Dokument auf dem alle Infos für die Beantragung vermerkt sind. Praktischerweise muss man dieses Rezept auch mit sich rumtragen, falls man mal in eine Polizeikontrolle kommt…

  2. Jahrzehnte – Das erste Jahrzehnt unserer Zeitrechnung als Beta-Version zu bezeichnen, hat Tim gut formuliert. Die Wahrheit liegt natürlich darin, dass das Römische Reich keine schriftliche Notation für die Zahl Null kannte. Für etwas, was icht da ist, kann man ja schließlich kein Holzstäbchen in den Sand legen – ist doch klar, oder? Es gab also eine Dissonanz zwischen mathematischer Logik und der Niederschrift (Symbolik) dieser. Wer es historisch aufbereitet genau wissen will liest das Buch „Die Geschichte der Null“ von Robert Kaplan oder schaut sich die vom Monty-Python-Mitglied Terry Jones geführte Dokumentation „The Story of 1“ an. In dieser kommt Jones zwangsläufig (ab ca. der Mitte), auf die Bedeutung der Null zu sprechen. Eine Eins kann nicht ohne eine Null existieren. In Europa setzte sich dieser Gedanke erst seeehr spät durch. Dem klaren Denken, auch Mathematik ganannt, wurden in der Historie durch Religion und sonstiger geistiger Unreife immer wieder Hindernisse in den Weg gelegt (siehe z.B. auch Komplexe Zahlen oder Unendlichkeit).

    Wenn Tim zwar die gut formulierte Benennung „Beta-Version“ benutzt, kann er allerdings nicht gleichzeitig im ersten Satz sagen, dass die „Nerds“ diejenigen sind, die diese Einordnung nicht raffen. Nerds im Sinne von: Wissenschaft, Philosophie, Computer, Star-Trek-Gucker kennen doch oben genannte Einordnung oder können sich dem leicht anschließen. Ich weiß natürlich, dass der Begriff leider seit den 1990ern aus hipsterness-Gründen von Leuten okkupiert wurde, die genau das Gegenteil davon sind.

    Gemäß dem Verständnis eines aufgeklärten Menschen beginnen also die aktuellen Zwanziger mit dem Jahr 2020, und in der Welt von zurückgebliebenen Twitter-Hysterikern oder religiös Verbrämten nicht. Die relativistische Betrachtungsweise, die Linus noch anbrachte, ist eher mit sprachlicher Ungenauigkeit bzw. Mehrdeutigkeit zu erklären. Nunja.

    In diesem Sinne — Live long and prosper _\V/

    • Die Wahrheit liegt natürlich darin, dass das Römische Reich keine schriftliche Notation für die Zahl Null kannte.

      Dir ist aber schon klar, dass der „Nullpunkt“ der heute verwendeten Jahreszählung zu einem Zeitpunkt festgelegt wurde, als es das (West-)Römische Reich nicht mehr gab?

      • Das ich den Begriff „Wahrheit“ hier so verwendet habe stört mich selber, aber wir befinden uns hier auch im Rahmen eines Podcast-Kommentars. Und ich kürze natürlich schroff ab, weil ich hier weder bei der Verteidigung einer Doktorarbeit bin, noch die komplette Genese eines weit über tausendjährigen Staatsgebildes erläutern werde. Möglicherweise hätte ich „…Auswirkungen des Römischen Reiches“ schreiben sollen; ist aber eigentlich egal. Die heutige Kalenderfestlegung hat den Ursprungsfehler methodisch mitgezogen statt zu korrigieren. Das hat ökonomische und logistische Gründe. Verkackt ist verkackt – kennt jeder, der schon einmal eine Datenbank falsch angelegt hat. Man sollte die Verkackung aber immer dazuschreiben und dazu stehen, statt den Leuten im Nachhinein besserwisserisch mit: „…das Jahrzehnt fängt erst ab 2021 an *creepy Lache*“ auf den Keks zu gehen. Over, and out.

    • Ich widerspreche.
      Ein Jahrzehnt ist eine Zeitspanne. Wo die beginnt und endet ist eine Frage der Willkür, d.h. man kann von einem Jahrzehnt der Klapphandys reden, das von 1998 bis 2008 dauerte, mal unabhängig davon, ob die Zahlen passen.

      Die 20er-Jahre sind ein Jahrzehnt, weil sie 10 Jahre dauern, und zwar vom 1.1.2020 bis zum 31.12.2029, sofern wir über dieses Jahrhundert reden – ansonsten aber analog.

      Die 20er-Jahre sind aber nicht das 2. Jahrzehnt des dritten Jahrtausends, denn das 3. Jahrtausend begann am 1.1.2001 und das 21. Jahrhundert begann gleichzeitig und ebenso das 201. Jahrzehnt, von dem aber niemand so spricht.

      tl;dr:
      ====

      Man kann also jederzeit ein neues Jahrzehnt beginnen, hat dann aber idealerweise ein Kriterium, etwa „mein erstes Jahrzehnt als Scalaprogrammierer“. Die zwanziger Jahre sind eine Zeitspanne, in der die dritte Ziffer des Datums eine 2 ist. Das 201. Jahrzehnt beginnt erst nächstes Jahr.

  3. Mir scheint, Linus hat im Enthusiasmus die technischen Details der FinSpy-Provisionierung zu erklären einen wichtigen Punkt den Tim machen wollte etwas abgewürgt. Tim sagt, man würde erwarten, dass eine Androidanwendung nur auf den signierten Teil der eigenen Daten zugreifen kann. Linus sagt, so sei es auch, und was im APK an unsignierten Metadaten steht sei egal, während er gerade an einem Beispiel zeigt, wieso es eben *nicht* egal ist. Technisch ist es in dem Moment egal, und das nutzt FinSpy aus, aber mir schien der Punkt den Tim machen wollte, war, dass das halt eine Sicherheitslücke im Signaturmodell von Android ist. Wäre ja auch vorstellbar (wenn vielleicht auch nicht vorgesehen), dass eine App diese Metadaten legitim nutzt, also blöd, wenn jemand die einfach ändern kann, ohne die Signatur ungültig zu machen. Oder habe ich da noch was falsch verstanden?

    Wie immer danke an euch beide für den super Podcast :)

Schreibe einen Kommentar zu Mark Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.