WEBVTT NOTE Podcast: Logbuch:Netzpolitik Episode: LNP416 Zusammenrottung aus dem Kreise der politischen Gegner mit Hacking-Affinität Publishing Date: 2021-12-20T08:00:42+01:00 Podcast URL: https://logbuch-netzpolitik.de Episode URL: https://logbuch-netzpolitik.de/lnp416-zusammenrottung-aus-dem-kreise-der-politischen-gegner-mit-hacking-affinitaet 00:00:00.005 --> 00:00:01.668 Guten Morgen Linus. 00:00:00.006 --> 00:00:02.986 Guten Morgen. 00:00:03.042 --> 00:00:06.201 Ich glaube, heute geht's endlich mal ums Loggen. 00:00:06.219 --> 00:00:08.592 Und nicht immer nur um Netzpolitik. 00:00:29.709 --> 00:00:43.793 Logbuch oder soll ich sagen Netzpolitik Nummer vierhundertsechzehn äh Sommer? Mal gucken, ist schon fast Weihnachten man. Neunzehnter zwölfter zwanzig einundzwanzig. 00:00:43.638 --> 00:00:53.654 Ist eine super Zahl, weil vier Punkt 16 war ja die erste äh Lok Forjay Version, äh wo man dann davon ausging, dass sie es im Griff hätten. Nee, Quatsch, das war. 00:00:54.280 --> 00:01:02.115 Nee, es nimmt ja gar nicht zwei Punkt sechzehn. Sorry, Unsinn. Aber als sechzehn eins sechs ist all die Magie ist also in den Zahlen. 00:01:01.040 --> 00:01:05.576 Aber lang genug hin und her rechnet, findet man schon irgendwie Magie. 00:01:06.785 --> 00:01:08.647 Der HTP-Code vier sechzehn. 00:01:09.531 --> 00:01:17.967 Oh ja, hast wieder so etwas, was man ähm was eigentlich total technisch ist, aber man sich äh sicherlich auch bemühen kann, einen politischen Witz draus zu machen, 00:01:18.184 --> 00:01:22.774 Der hatte die Picot vier 16, bedeutet nämlich rangenotal. 00:01:23.075 --> 00:01:29.991 Und ähm das hat also sehr viel mit zu tun. Auch die gibt's im Internet nicht äh immer ohne Weiteres, ne. 00:01:29.751 --> 00:01:31.505 Aber es gibt großzügige Angebote. 00:01:31.253 --> 00:01:39.101 Auf jeden Fall, aber wenn man dann in seiner Anfrage äh ein bisschen übers Ziel hinausschießt, so, dann kriegt man halt unter Umständen diesen Fehler, 00:01:39.161 --> 00:01:48.175 vor die Füße. Hintergrund ist der, dass man eben so Dateien ähm in Gänze anfordern kann, aber man kann auch sagen, mich interessiert jetzt nur dieser Teil. 00:01:48.650 --> 00:01:55.307 Gib mal das, gib mal das, gib mal das, was man so, was weiß ich, vorspulen kann zum Beispiel in Videos. 00:01:55.410 --> 00:02:04.645 Dass man sagt so, oh ja, ich muss eh nur bei der Minute zehn und so und dann rechnet der irgendwie aus, wo das so in der Datei sein müsste anhand irgendwelcher zuvor. 00:02:04.478 --> 00:02:16.111 Gelesener Tabellen und sagt so, ich brauche jetzt nur genau von da bis da. Und wenn man sich dabei vertut und diese Ressource, also zum Beispiel der Film, den man da anfragt, so 00:02:15.991 --> 00:02:21.098 hat diesen Bereich gar nicht mehr, weil die Datei viel kleiner ist, dann kriegt man so eine Fehlermeldung. 00:02:22.883 --> 00:02:28.015 Genau, also wenn mal wieder ein Politiker übers Ziel hinausschießt, dann ist das ein klarer vierhundert16. 00:02:28.868 --> 00:02:35.159 Okay. Ich habe auch ein ein eine kleine Art äh äh HTTP-Errorcode gerade. 00:02:35.635 --> 00:02:45.002 Und zwar hat mir offenbar jemand ein Mikrofon schenken wollen ähm welches. 00:02:45.592 --> 00:02:53.721 Vermutlich bei irgendeinem Nachbarn abgegeben wurde und ich kann aber mit den mir verfügbaren Informationen nicht herausfinden. 00:02:53.758 --> 00:03:00.121 Wo das jetzt abgeblieben ist. Also wenn die Person sich angesprochen fühlt, würde ich mich freuen, wenn sie, 00:03:00.122 --> 00:03:06.539 äh unter Linus Bindestrich Neumann Punkt DE Schrägstrich Kontakt mal kurz mit mir in Verbindung treten könnte. 00:03:07.086 --> 00:03:09.417 Das bitte melde dich Syndrom. 00:03:09.640 --> 00:03:19.494 Das kenne ich ja auch, nachdem wir unsere Spendengeschichte jetzt nochmal am Umstellen müssen, ist immer eine gute Gelegenheit, da nochmal so einen genaueren Blick drauf zu werfen. Also vielen, vielen Dank, 00:03:19.699 --> 00:03:21.393 An alle, weil das hat, 00:03:21.598 --> 00:03:35.274 wieder sagenhaft gut funktioniert, muss man sagen. Also bin wirklich äh mächtig beeindruckt. Habe ich natürlich nochmal so ein bisschen geschaut, also ich habe da schon so ein paar Kandidaten, die ähm. 00:03:36.050 --> 00:03:45.856 So gut gemeinte Sachen machen wie so zehn Cent Spenden. Ja ich bin ein großer Freund des Micropayment. Das Problem ist nur, die Banken nicht. 00:03:45.821 --> 00:03:52.809 Und früher war das echt mal anders so, ne, als noch Zinsen gab und so immer noch irgendwie, 00:03:52.863 --> 00:03:59.965 Geld anlegen konnte und Sparbücher und so ne Sachen, das klingt ja heute schon wirklich wie ein Bericht aus der Steinzeit 00:03:59.900 --> 00:04:13.913 Und mittlerweile äh ist das ja sogar äh äh so schlimm, dass wenn man irgendwie zu viel Geld hat, dass dann ähm die Bank dann sogar noch Geld dafür nimmt. Aber vor allem nehmen sie halt jetzt ganz gerne Gebühren, wie das ja so im Internet überall äh der Fall ist. 00:04:13.811 --> 00:04:19.086 Und so bei zehn Cent spenden, spendet man halt einfach der Bank. 00:04:19.964 --> 00:04:25.672 Also das ist sozusagen solche Beträge zu versenden. Macht keinen Sinn. Wenn ihr nur wenig zu geben habt. 00:04:26.244 --> 00:04:32.228 Kein Problem. Ja ich fordere überhaupt nix ein, aber äh 00:04:32.144 --> 00:04:41.218 wenn ihr sozusagen irgendwie so unter zwei Euro oder vielleicht besser sogar unter fünf Euro seid, so macht das Vierteljährlich, macht das halbjährlich, macht es jährlich mir egal. 00:04:41.248 --> 00:04:52.142 Aber so äh gewinnt einfach nur die Bank und das ist ähm für niemanden gut, weil ich glaube, so die Banken brauchen's jetzt grad nicht so dringend. 00:04:52.882 --> 00:04:58.296 Also, weil die werden ja im Zweifelsfall ja vom Staat rausgekauft auf unsere Kosten. 00:04:58.759 --> 00:05:04.833 Aber da wollen wir auch 37 Cent pro ähm pro pro Beihaut. 00:05:04.533 --> 00:05:08.589 7und3 Cent, das ist das ist das PayPal-Problem, ne, also auch 00:05:08.415 --> 00:05:23.996 PayPal ähm ist ja im Angebot und es ist halt so eine Sache mit PayPal, weil die eben für kleine Beträge auch enorm abzieht, ne. Also was du meinst, wenn du siebenunddreißig Cent, das ist oder siebenunddreißig Prozent, das fällt halt bei einem Euro Spenden an. Also wenn ihr irgendwie jemandem, 00:05:24.057 --> 00:05:31.141 per PayPal da so ein Euro schickt so, da bleiben dann halt ähm nur dreiundsechzig, 00:05:31.520 --> 00:05:39.914 Cent übrig. So und ist halt auch ein bisschen doof. Also auch so was lieber dann ähm halbjährlich oder so zusammenfassen. 00:05:40.359 --> 00:05:47.762 Nur mal so als kleiner Hinweis. Aber ansonsten vielen, vielen Dank an alle, die sich beteiligen, auch danke an alle, die ähm 00:05:47.684 --> 00:06:02.406 unsere äh Textilien abgenommen haben. Wir sind sehr motiviert noch äh demnächst eine kleine Überraschung hinterher äh zu schieben. Also es wird an neuen Motiven gearbeitet und ähm da gibt's dann ähm auch bald mehr zu. 00:06:02.851 --> 00:06:10.140 Ja und das war's eigentlich schon und ähm dann können wir gucken, was wir so an Feedback haben diese Woche. 00:06:10.429 --> 00:06:16.792 Ja also, wir hatten's ja in der letzten Sendung schon vorsichtig vermutet, ähm 00:06:16.690 --> 00:06:22.555 dass die Insolvenz dieser einen Finn-Fischer GmbH nicht wirklich das Ende 00:06:22.435 --> 00:06:33.377 der Geschichte sein kann und da scheint sich tatsächlich eine äh Neuumstrukturierung des Firmengeflechts grade anzukündigen. Jetzt gibt es die. 00:06:33.846 --> 00:06:35.781 Holding 00:06:35.697 --> 00:06:44.668 und ähm die wird die alte Tochter Finn Fischer GmbH wird dabei irgendwie unter neuem Namen neu gegründet. Also 00:06:44.530 --> 00:06:54.613 insgesamt Namenskosmetik und die Geschäfte laufen aktuell wohl weiterhin gut, denn Finn Fischer wird laut einem Assessment, dem ich jetzt noch nicht so 00:06:54.517 --> 00:07:00.430 Ganz folgen kann in 33 Ländern eingesetzt. Ähm, 00:07:00.743 --> 00:07:09.924 von denen nur 36 Prozent von diesen 33 Ländern äh die den den Demokratiestempel verdient haben. 00:07:10.526 --> 00:07:20.176 Also das Business läuft weiterhin bei Finn Fischer. Wir hatten das ja schon vermutet, leider hatte der Pingu auf Twitter noch entsprechende ähm, 00:07:20.465 --> 00:07:24.520 Ja so Orsint im weiteren Sinne Recherchen hinzugefügt, 00:07:24.761 --> 00:07:35.631 in der äh sich eben da hier die Sachen hin und her äh hin und her verschoben werden. Lässt sich da erkennen, dass es da eine neue Gründung gibt Anfang zwanzig20. 00:07:35.938 --> 00:07:37.626 Tja. 00:07:37.560 --> 00:07:41.027 Was heißt denn das? 00:07:41.244 --> 00:07:48.112 Das weiß ich nicht. Sitzen, also ich denke, dass das irgendeine Mischung aus äh Willen und Delicious ist oder so was. 00:07:48.755 --> 00:07:57.792 Also ich finde ähm es klingt so lateinisch, aber im Lateinischen gibt's nur wie wie Licus. 00:07:57.991 --> 00:08:03.291 Das ist eine eine Mischung aus Wishes und Villen oder so was, ja. Also auf jeden Fall nix Positives. 00:08:02.991 --> 00:08:05.154 Also wie Licos heißt Villa. 00:08:07.047 --> 00:08:08.885 Wisches. 00:08:08.585 --> 00:08:13.710 Verwalter, Gutsverwalter. Vielleicht haben Sie's daraus abgeleitet. 00:08:13.410 --> 00:08:24.935 Ist mir egal. Es ist genauso wie bei Facebook, die können sich auch umbenennen, die bleibt gleiche Dingen. So und Raider hat das auch schon mal versucht, da sind sie auch nicht mit durchgekommen. So, dann haben wir. 00:08:25.465 --> 00:08:32.639 Messenger Interoperabilität als Thema gehabt. Hm da gab's natürlich viele ähm Antworten zu. 00:08:33.126 --> 00:08:35.866 Einige die äh, 00:08:36.083 --> 00:08:48.996 ja nicht ganz den Kern verstanden haben, was wir was wir tatsächlich als das Problem sehen und einige, die dem Problem äh ähm sinnvoll geantwortet haben, 00:08:49.189 --> 00:08:52.066 davor habe ich mal drei rausgesucht. 00:08:52.001 --> 00:08:53.677 Soll ich mal vorlesen? 00:08:53.924 --> 00:08:58.797 Ja, könntest du den von Maximilian? Das ist ein Ausschnitt aus dem Kommentar von Milli Maximilian. 00:08:59.987 --> 00:09:07.456 Er schreibt. Den Vorwurf von Moxi und anderen, man sehe ja an E-Mail, dass das nicht funktioniert, teile ich nicht. 00:09:07.390 --> 00:09:10.773 Also Förderierung, Förderierung nicht funktioniert, muss man vielleicht noch kurz ergänzend. 00:09:10.491 --> 00:09:18.657 Darauf bezieht es sich in dem Moment, genau. Beispiel, man kann als Mailprovider doch selbst entscheiden, welche Abwärtskompatibilität man zulässt. 00:09:18.747 --> 00:09:27.904 Es ist doch nicht so, dass es da keine Weiterentwicklung gäbe. Man kann auch als Endnutzer jederzeit seine interoperabilität individuell einschränken. 00:09:27.695 --> 00:09:43.186 Etwa Gmailabsender standardmäßig abweisen, weil die noch TLS 2null unterstützen oder einem Kumpel sagen, nö sorry, an deine Yahoo-Adresse schicke ich keine Nachricht von dieser Entscheidungsfreiheit würde doch auch beim interoperablen Messenger niemand entbunden. Wo läge da der Nachteil verglichen mit heute? 00:09:45.439 --> 00:09:53.605 Also da muss ich glaube ich sagen, na ja ähm viel Spaß, wenn du Gmail Absender abweist, also das ist auf jeden Fall das. 00:09:54.038 --> 00:10:05.527 Ist, glaube ich, der beste Weg zur Inbox zero, ja? Ähm und gleichzeitig spezifisch das würde ja dann nicht mehr gehen, ähm wenn es ein Interoperabilitäts, 00:10:05.786 --> 00:10:17.942 Zwang gibt. Aber da haben natürlich einiges schon erkannt, ja, dieser Interoperabilitätszwang, der muss sich zumindest dann irgendwie quasi weiterentwickeln, ja? Nun gab's einen Kommentar von, 00:10:18.207 --> 00:10:30.255 Trolli Schmidtlauch, der der ein spezifischen Punkt betrifft, nämlich, dass wir gesagt haben, na ja, im Moment ist die Schlüsselverwaltung, ne, was weiß ich, bei dem einzelnen Messenger und es wird ungleich problematischer, 00:10:30.435 --> 00:10:39.695 auf einmal zwischen zwei Messengern schreiben muss, ja? Und da hat Trolli denke ich einen sehr guten Punkt zu. 00:10:40.975 --> 00:10:48.961 Ich sehe da ehrlich gesagt das Problem nicht, zumindest nicht im Vergleich zum von mir ohnehin als kaputt empfindenden Status Quo. Beim, 00:10:49.009 --> 00:10:53.047 aktuellen Szenario mit einer zentralen Anbieterin, Vertrauen 00:10:52.969 --> 00:11:03.695 alle derselben Zentralstelle doch bitte den korrekten Initialkie zu vermitteln. Jede Nutzerin vertraut also ihrer Anbieterin. In diesem Fall haben beide die gleiche Anbieterin. 00:11:03.575 --> 00:11:13.724 Wenn wir jetzt in ein Szenario wechseln, bei den Nutzerinnen jeweils verschiedene Anbieterinnen haben, die aber jeweils wechselseitig direkt miteinander kommunizieren, vertraut 00:11:13.580 --> 00:11:21.674 immer noch jede Nutzerin ihrer Anbieterin und zwar wird jeweils darauf vertraut, dass der eigene Key korrekt an die Chatpartnerin 00:11:21.554 --> 00:11:27.509 übermittelt wird sowie der übermittelte Key der Partnerin korrekt zurückgegeben wird. Beide Anbieterinnen, 00:11:27.624 --> 00:11:35.970 haben sich für die Server to Server Kommunikation ohnehin ein vertrauenswürdigen Kanal ausgehandelt. Konkret TLS Zerz. 00:11:36.325 --> 00:11:44.010 Solange also wieder jede Nutzerin der eigenen Anbieterin vertraut und dieses Vertrauen berechtigt ist, funktioniert alles gleichartig gut. 00:11:44.317 --> 00:11:49.941 Was aber, wenn das Vertrauen in einem Fall nicht berechtigt ist? Auch das ist kein, 00:11:49.977 --> 00:12:01.172 nur bei verteilten Messaging, Auftreten des Szenario, denn schließlich kann es auch sein, dass dieselbe zentrale Anbieterin ihre Kundinnen unterschiedlich behandelt, einem der beiden also einen falschen Key gibt. 00:12:01.701 --> 00:12:11.021 Letztendlich kommen wir in meiner Meinung auch schon jetzt nicht um irgendeine Art des zusätzlichen Vertrauensankers aus. Gute Kompromisse sind etwa, 00:12:11.093 --> 00:12:19.217 Beforefication oder die Kombination von Kreuzsignaturen und gegenseitiger Verifikation über Emojis, 00:12:19.218 --> 00:12:21.302 Matrix Punkt ORG Umfeld. 00:12:23.081 --> 00:12:23.994 Letztendlich, 00:12:24.061 --> 00:12:34.414 sagt Trolli hier, okay, die meisten Messenger arbeiten heute mit Tofu, also trust on first use. Beim ersten Mal wo du eine Kommunikation herstellst 00:12:34.408 --> 00:12:40.044 ne, Kontakt oder überhaupt kommunizierst, vertraut einfach jede Partei, 00:12:40.225 --> 00:12:44.479 dem Schlüsselpaar, was sie von der anderen bekommen hat und die, 00:12:44.534 --> 00:12:58.270 Überlegung von Tofu ist zu sagen, na ja, wir sparen uns den Heckmeck beim ersten Mal die Schlüssel auf einem anderen Kanal auszutauschen, weil wir jetzt mal annehmen, dass bevor wir jemals kommuniziert haben, noch niemand da ist, die, 00:12:58.373 --> 00:13:00.175 die Kommunikation abhören will, 00:13:00.494 --> 00:13:11.153 Ja? Ähm und dann bleiben wir einfach bei dem Schlüssel und gucken, ob der sich äh also den speichern wir bei uns und gucken, dass der weiter verwendet wird und wenn davon eine Abweichung stattfindet. 00:13:12.187 --> 00:13:20.179 Dann ähm machen wir diese Warnungen, ja? Wo ja dann auch jetzt immer festgestellt wird, dass die Warnungen natürlich viel öfter, 00:13:20.468 --> 00:13:30.310 Daher rühren, dass jemand sein Telefon verloren hat und ein neues hat, als dass sie jetzt tatsächlich äh auf aufgrund eines Angriffs kommen. So und diesen Schlüssel, 00:13:30.665 --> 00:13:38.441 Integritätssicherheitsmechanismus, Verteidigung gegen MITM würde natürlich auch über Anbieterinnen, Grenzen hinweg funktionieren, 00:13:38.531 --> 00:13:49.065 Ja? Und äh da hat er einfach einen Punkt. Ja, das ist äh grundsätzlich erstmal klar. Man könnte also auf diesem Wege hat er Recht, sagen so wir, 00:13:49.077 --> 00:13:50.729 haben, 00:13:50.778 --> 00:14:03.246 Föderation. Wir können aber, wir haben vorher mussten wir nur einer Anbieterin vertrauen, in diesem Falle zwei, aber da wir sowieso beidseitig verifizieren, ändert sich eigentlich unterm Strich nicht wirklich etwas. 00:14:04.052 --> 00:14:12.133 Hat er einen Punkt. Ähm nur und jetzt kommt der letzte Schluss ist, wir brauchen also auch nicht, 00:14:12.278 --> 00:14:17.698 wir kommen nicht drum herum irgendeine Art zusätzlichen Vertrauensanker zu haben. 00:14:18.167 --> 00:14:26.904 Und da geht's dann eben um Kreuzignaturen ja würde ich jetzt nicht nicht tiefer reingehen, sondern nochmal ein bisschen äh zu, 00:14:27.067 --> 00:14:28.382 Martin kommen. 00:14:29.056 --> 00:14:30.605 Genau und Martin schreibt, 00:14:31.363 --> 00:14:44.510 Das, was man bei der Messenger interobbarilität letztlich haben will, ist eine Föderation zwischen den unterschiedlichen Messaging-Anbietern. Das heißt, nutze auf einem Server müssen reibungslos mit Nutzern auf anderen Servern kommunizieren können 00:14:44.956 --> 00:14:57.965 Standards für föderierte Kommunikation gibt es bereits. Die beiden Großen sind XM, PP und Matrix. Bei Matrix werden Nutzer derzeit ähnlich wie bei E-Mail, per global adressierbaren Benutzernamen, 00:14:58.206 --> 00:15:07.910 Doppelpunkt Server adressiert, wodurch man Nutzer auf anderen Servern erreichen kann. Es wurden dort bereits alle Probleme bezüglich Schlüsselaustausch, 00:15:08.102 --> 00:15:17.344 Gruppenchats, Zugriffskontrollen et cetera, serverübergreifend gelöst. Beim Matrix kommt das gleiche Double Radget Verschlüsselungsprotokoll zum Einsatz, 00:15:17.344 --> 00:15:23.173 Von Single stammt und zum Beispiel auch bei WhatsApp eingesetzt wird. Der Schlüsselaustausch wird bei Matrix Mittel 00:15:23.089 --> 00:15:37.108 Tofu, Trust und First use, beziehungsweise mit einer optionalen, manuellen Verifizierung zwischen den Endgeräten gelöst. Man müsste schauen, inwiefern das bestehende Schlüsselmaterial der Anbieter weiter genutzt werden könnte oder auf den Endgeräten separate Kies für den Austausch 00:15:37.048 --> 00:15:40.257 anderen Anbietern per Matrix angelegt werden müssten. 00:15:40.395 --> 00:15:52.160 Wenn alle Messaging-Anbieter das Server to Serverprotokoll von Matrix implementieren würden, könnte man wahrscheinlich einen Großteil, der von euch angesprochenen Probleme lösen. Bei XMP besteht das Problem, dass Gruppenchats, 00:15:52.281 --> 00:15:54.702 einem zentralen Server gehostet werden. 00:15:54.949 --> 00:16:05.290 Sind somit nicht unabhängig vom jeweiligen Anbieter. Gruppenchats bei Matrix dagegen sind echt dezentral, das heißt sie sind nicht servergebunden und funktionieren auch, wenn der erstellende Server nicht mehr mitspielt, 00:16:05.381 --> 00:16:08.523 Zu Matrix gibt es eine offene Spezifikation. 00:16:08.800 --> 00:16:19.706 Die von einer nicht gewinnorientierten Stiftung verwaltet wird, aus diesen Gründen kommt es inzwischen bereits in diversen deutschen und französischen Behörden im Gesundheitswesen und gar bei der Bundeswehr zum Einsatz. 00:16:19.905 --> 00:16:31.081 Bleibt die Gretchenfrage, welches genaue Features hätte man als Minimalkonsens für eine Messenger, Föderation voraussetzen will. Es bräuchte wohl ein zentrales Gremium, welches darüber entscheidet. 00:16:32.247 --> 00:16:35.240 Ja, also das das ist ja, glaube ich, also meine. 00:16:35.745 --> 00:16:47.810 Das wäre halt meine weitere Sorge, dass man dann einmal etwas festlegt und das muss sich ja dann irgendwie stetig weiterentwickeln und also lassen wir es mal dabei ähm. 00:16:48.388 --> 00:16:58.681 Technisch haben wir jetzt erklärt bekommen, dass man das alles doch irgendwie auch lösen kann, ohne dass sich der Status quo nennenswert verschlechtert aus einer Security-Perspektive? 00:16:59.318 --> 00:17:04.101 Sofern man irgendeine Form von Kiverifikation eben über diese Grenzen auch macht. 00:17:05.147 --> 00:17:14.136 Jetzt wäre meine weitere Frage oder meine Sorge ähm was machst du jetzt, 00:17:14.431 --> 00:17:16.281 also wie sicherst du 00:17:16.246 --> 00:17:26.557 dass diese Weiterentwicklung stattfindet, ja, weil du müsstest jetzt quasi europaweise verordnen, es muss eine Operabilität geben und zwar nach dieser Art, 00:17:26.618 --> 00:17:34.639 dann sagst du auf einmal, übrig, es gibt jetzt ein Update, ne, in einem Jahr oder in zwei Jahren oder wie auch immer. Das sind Dinge, die sich die ich politisch noch nicht, 00:17:34.850 --> 00:17:44.290 gebildet gesehen habe in Verordnungen. Ja, also meine äh vielleicht auch meine Skepsis, mein mein meine Skepsis? Nee. 00:17:44.477 --> 00:17:46.309 Skeptik, wie heißt das Wort. 00:17:46.243 --> 00:17:48.628 Skepsis ist schon richtig. Mhm. 00:17:48.418 --> 00:17:54.842 Okay, meine Skepsis ähm kommt eher so ein bisschen aus dem Bereich. 00:17:55.371 --> 00:18:07.917 Dass äh ich ja mit der IT-Sicherheitsregulierung ähm schon durchaus die eine oder andere Erfahrung hatte mit den IT-Gesetzen, ja mit den IT-Sicherheitsgesetzen und, 00:18:08.140 --> 00:18:17.628 da halte ich das für letztendlich unwahrscheinlich, wenn man da technisch was Gutes umsetzen kann, dass die Politik das dann auch so verordnet. 00:18:18.728 --> 00:18:28.805 Vor allem, was ist, wenn wenn sich dann das gewählte System als fehlerhaft herausstellt, also dann auch da entsprechend schnell nacharbeiten zu können, ist sehr schwierig. Und meine 00:18:28.697 --> 00:18:34.123 Glaube, dass bei den meisten Leuten, die jetzt, als ich diesen Kommentar vorgelesen habe, die jetzt hier zuhören, 00:18:34.166 --> 00:18:39.339 ohnehin äh schon irgendwie so eine so ein leichtes so ein leichter Fiep-Ton entstanden ist. Weißt du? 00:18:39.453 --> 00:18:47.613 Es ist einfach mal hochkomplexer äh Quatsch und äh den in den politischen Prozess äh reinzubringen, sozusagen so als Vorgabe. 00:18:48.846 --> 00:18:54.013 Dann doch schon für sehr schwierig. So also das ist ähm 00:18:53.851 --> 00:19:13.512 Wir erinnern uns auch so hier Urheberrecht und was bedeuten jetzt die beschlossenen Maßnahmen für Filter? Was müssen die dann genau tun, wenn das dann irgendwie so weit reingeht, dass man also hier wirklich bis ins allerletzte Detail Protokolle politisch vorgibt und sich äh des Gesetzesblatt auf einmal liest wie so ein Referenzmangel für irgendwie äh erste, 00:19:13.759 --> 00:19:21.889 fünf Vorlesungen Kryptographie im Informatik. Ich kann mir einfach nicht vorstellen, dass das gut funktionieren wird. 00:19:22.244 --> 00:19:31.870 Also es ist einfach praktisch wird es einfach ein äh Elend sein und es mag ja sein, dass das bei Matrix gelöst ist, aber dieses Matrix redet ja im Wesentlichen auch nur mit sich selbst. 00:19:33.469 --> 00:19:36.834 Und nicht mit allen anderen und alle anderen mit Matrix. 00:19:36.552 --> 00:19:43.173 Nee, nee, nee, nee, nee, nee, nee. Matrix ist schon für eine föderierte Message Infrastruktur. Das ist schon. 00:19:42.921 --> 00:19:45.144 Ja gut, aber wer redet mit Matrix? 00:19:45.583 --> 00:19:48.083 Matrix Messenger über Matrixerver. 00:19:48.251 --> 00:19:52.283 Ja, Matrix redet mit sich selbst genau. Das meine ich. 00:19:51.983 --> 00:19:54.566 Okay, du meinst das Protokoll, aber ich rede jedes Protokoll. 00:19:54.266 --> 00:20:08.634 Es ist so gedacht, dass es mit allem redet so, aber es muss sich auch erstmal beweisen, wirklich mit allen also das Prinzip muss sich auch erstmal beweisen mit allen Dynamiken und Fehlern und Erinnerungen und so weiter. Also es nimmt an der Komplexität wenig raus. 00:20:09.313 --> 00:20:22.004 Ja. Also bleiben wir dabei. Wir wir wurden korrigiert, dass es technische Lösungen gibt. Wir glauben nicht, dass die politisch äh sich durchsetzen werden. Ist das ein gutes Fazit? 00:20:22.870 --> 00:20:26.925 Das und das ähm auch dieser Gradank 00:20:26.806 --> 00:20:36.017 sich bei einfach N zu aufm aufm aufm Markt, die alle ihre eigenen Interessen haben, so durchsetzen lässt. Also 00:20:35.891 --> 00:20:45.818 mag ja sein, dass in so einem föderierten System, was in Open Source entwickelt wird, wo alle dieses Ziel haben und wo das sozusagen der Traum ist genau das hinzubekommen, äh 00:20:45.734 --> 00:20:54.267 funktionieren kann, aber in einem System, wo sich eigentlich alle Spinne feind sind und auf dem Markt äh bittere äh Wettbewerber sind, 00:20:54.279 --> 00:21:05.149 ja, dass die dann die entsprechende Energie drauf werfen, dass das alles gut funktioniert, woran sie eigentlich gar kein Interesse haben. Das äh steht auf einem ganz anderen Blatt Papier. 00:21:06.381 --> 00:21:10.202 Okay, dann haben wir äh darüber gesprochen, dass die, 00:21:10.365 --> 00:21:22.695 verschlüsselten Archive mit dem dokumentierten Kindesmissbrauch weiterhin online sind. Da wurden wir auch in den Kommentaren, ich glaube von André daran erinnert, dass das ja das war damals die große Diskussion. 00:21:23.513 --> 00:21:33.716 Als es um die Stoppschilder von Ursula von der Leyen ging, löschen statt sperren. Ja, also die große politische Forderung war, sperrt nicht den Zugang zu diesen Inhalten, sondern löscht 00:21:33.692 --> 00:21:34.407 diese, 00:21:34.534 --> 00:21:43.841 Inhalte, ne, sorgt für ihre Löschung. Und das ist ja hier nicht passiert. Jetzt haben wir uns darüber unterhalten, woran das wohl liegen mag, ja? Mhm, 00:21:44.088 --> 00:21:50.127 zu sagt dann der ähm Y. 00:21:51.035 --> 00:21:57.266 Kann es sein, dass bei den Kripofiles, die nicht gelöscht werden, einfach der Hintergrund besteht, noch mehr Zugriffe aufzuzeichnen. 00:21:58.047 --> 00:22:03.046 Gute Frage, aber darauf antwortet dann Hilti direkt korrekt. 00:22:04.080 --> 00:22:15.491 Nee, denn dann müsste die Polizei doch bei den jeweiligen Pfeilhostern anfragen, welche IP auf die Dateien zugegriffen hat, aber da die Filehoster teils seit sechs Jahren nichts von der Polizei gehört haben, scheint das nicht passiert zu sein. 00:22:16.916 --> 00:22:23.135 Guter Punkt so ähm relativ klar dargelegt. Dann gibt es noch eine Sache 00:22:22.997 --> 00:22:37.298 einen weiteren Punkt von Hans Wurst, denn Tim hatte vorgeschlagen, man kann ja quasi ähm den den Kuchen haben und ihn essen, indem man einerseits das Material austauscht, 00:22:37.304 --> 00:22:44.701 und zweitens trotzdem die Zugriffe lockt, wovon wir ja jetzt schon wissen, dass das nicht äh sinnvoll stattgefunden hat. Dazu sagt Hans Wurst. 00:22:45.471 --> 00:22:55.602 Das mit dem Austauschen von dem Kripo-Material, sagen wir, durch Katzenbilder, ist insofern ein Problem, das anschließend jeder, der darauf zugreift, behaupten kann, dass er darauf zugegriffen hat 00:22:55.488 --> 00:23:04.080 die Katzenbilder sehen wollte, damit haben die Strafverfolger dann so gar nichts gegen diese Person in der Hand, dann kann man das Ganze auch einfach nur löschen. 00:23:05.577 --> 00:23:15.257 Ja, ist richtig. Also mir bleibt es weiterhin unverständlich, ähm warum man diese Materialien online gelassen hat, weil ähm offensichtlich hier nichts, 00:23:15.558 --> 00:23:24.235 also keine keine sinnvoll erkennbare Strategie da ist. Ähm die sage ich mal sich mit den. 00:23:25.750 --> 00:23:38.891 Ja Selbstverständnis und Zielen der polizeilichen Strafverfolgung und Gefahrenabwehr in Verbindung bringen lassen würden. Dann hatten wir schon über den Assange Fall gesprochen. 00:23:39.781 --> 00:23:50.236 Im ähm in der letzten Sendung, das jetzt äh quasi wieder in die Richtung steht, dass eine Auslieferung an die USA wahrscheinlicher ist. Ähm. 00:23:51.114 --> 00:23:58.312 Es ist weiterhin krass, wie wenig äh Aufmerksamkeit und Aufschreit dieses Thema bekommt. 00:23:58.697 --> 00:24:07.752 Weil wir ja nicht vergessen dürfen, dass es hier am Ende um eine journalistische Tätigkeit geht in der Veröffentlichung und Auswertung. 00:24:08.739 --> 00:24:22.481 Dieser Dokumente und das ist ja ein gefährlicher Präzedenzfall ähm entstehen kann. Da gibt es auch entsprechend strenge Kommentare, von denen wir noch ein paar äh in den. 00:24:23.064 --> 00:24:26.309 Shownotes haben und dann gibt's noch die sehr, 00:24:26.567 --> 00:24:35.647 üble Geschichte, dass er offenbar auch einen äh Schlaganfall erlitten hat in der Gefangenschaft in dem Bellmarsch, 00:24:35.683 --> 00:24:45.351 indem er ja jetzt ja auch schon wieder seit weiß ich nicht wie viel Jahren ist zwei Jahre oder was ähm im Kampf gegen seine Auslieferung. 00:24:45.880 --> 00:24:52.406 Auch wieder dran erinnern muss normalerweise wenn du auf deine Auslieferung wartest. 00:24:52.941 --> 00:25:01.438 Sitze nicht unbedingt in im Hochsicherheitsgefängnis äh Belmarsch, ne? Also wir haben's hier wirklich mit einem sehr äh schwerwiegenden. 00:25:02.496 --> 00:25:13.053 Äh Fall zu tun und das wäre äh es ist irgendwie erstaunlich weiterhin, dass die Medien sich da so zurückhalten, weißt du, das verstehe ich irgendwie nicht. 00:25:14.598 --> 00:25:16.562 Also ich verstehe es wirklich nicht. 00:25:17.158 --> 00:25:29.524 Weil sie ja betrifft, ne, weil es ja sozusagen hier auch um den Journalismus geht an sich und es ist bemerkenswert, dass also äh dem äh Nawalny in Russland da Preise äh verliehen werden. 00:25:30.083 --> 00:25:34.457 Doch dann für äh ein toller Kämpfer für die Freiheit ist, weil er irgendwie das 00:25:34.362 --> 00:25:49.174 böse Regime oft äh deckt so. Aber sowas macht man dann halt immer nur so mit den eigenen Feinden, ne? Aber wenn so das eigene System aufgedeckt wird, dann sieht das schon wieder ganz anders aus und dann wird dieses Spiel auch mitgespielt. Ist jetzt auch nicht so, dass jetzt alle Journalisten. 00:25:50.130 --> 00:25:53.476 Das ignorieren, ja. Ich meine, wir hatten ja hier auch ähm, 00:25:53.675 --> 00:26:06.300 ausführliche äh Gespräche dazu und es gibt natürlich auch viele, die ähm dagegen anschreiben, aber so generell, so ein großer Aufschrei ist da nicht und das ist in der Tat ähm. 00:26:06.901 --> 00:26:12.771 Eine Frage, warum das eigentlich so ist. Also warum steht das nicht im, 00:26:12.790 --> 00:26:26.929 Mittelpunkt. Ist ja jetzt auch nicht so, dass die äh der Journalismus nicht laut aufschreien würde, wenn's generell an die eigenen Interessen geht, aber offensichtlich scheint äh Assange hier ein schwieriges Thema zu sein. 00:26:26.923 --> 00:26:40.016 Also Nils Melzer, der so einer äh Beauftragte für, was heißt denn Folter oder Menschenrechte? Ich weiß gar nicht genau, was ein offizieller Titel ist. Hm der sagt ja auch, dass er anfangs. 00:26:40.480 --> 00:26:47.329 Ähm als er sich dem Fall näherte auch so dachte so komische Figur äh wer weiß und so äh, 00:26:47.612 --> 00:26:52.521 und ähm dann sich ihm die Augen immer mehr geöffnet haben, also, 00:26:52.576 --> 00:27:05.212 da scheint es schon so dieses ah okay Assange Schmuddelknabe äh hier mit der die Sache in Schweden ist irgendwie unklar und dann auch noch diese Trump-Nähe und so und er irgendwie. 00:27:05.916 --> 00:27:15.614 Auf den ersten Blick äh ist das klingt das jetzt nicht nach äh dem dem besten Kampf für die Freiheit, den der Typ da gerade äh in letzter Zeit geführt hat, 00:27:15.819 --> 00:27:23.228 Ähm aber das sind eben erstens äh andere Dinge und äh und ähm, 00:27:23.336 --> 00:27:29.651 andere Themen als die, für die ihr da nämlich gerade verfolgt wird und diese Trennung äh auch einfach im ganz ungeachtet, 00:27:29.802 --> 00:27:34.861 der anderen äh ähm vergehen darf, weil wir mal wirklich jetzt gar nicht beachten, 00:27:35.066 --> 00:27:42.294 ja? Muss man die natürlich trotzdem trennen, für was wird der am Ende verurteilt, ja? Und äh wenn man jetzt der Ansicht wäre, 00:27:42.343 --> 00:27:57.569 was weiß ich, äh diese Sache in Schweden ist irgendwie klar und ähm weil ein Trump-Supporter ist, wollen wir den eh nicht mehr haben. Da müsste man sich eben trotzdem noch anschauen, für was wird der denn gerade verurteilt, ja oder für was sollte denn gerade ausgeliefert werden und was schaffen wir uns hier für eine Präzedenz? Und diese 00:27:57.360 --> 00:28:03.368 ähm und diesen Transfer, der gelingt offenbar nicht in der Breite. 00:28:06.415 --> 00:28:16.113 Nils Mälzer ist übrigens Sonderberichterstatter über Folter. Der Vereinten Nationen wurde vom Menschenrechtsrat dazu ernannt, also steht beides drin. 00:28:17.700 --> 00:28:24.298 Okay, damit kommen wir zu den spannenden Nachrichten der Woche. Ähm. 00:28:25.121 --> 00:28:32.548 Am Freitag, genau vor einer Woche, ist jetzt schon eine Woche, machte eine Sicherheitslücke ihre Runde, 00:28:32.867 --> 00:28:39.657 wirklich also ähm auf eine Weise äh, 00:28:39.964 --> 00:28:45.426 also auf auf viele Weisen faszinierend ist, ja äh, 00:28:45.618 --> 00:28:58.357 meisten wissen wahrscheinlich schon, worum es geht und zwar ist es die äh Sicherheitslücke lock2, die das die Java Bibliothek, Lok for Jay betrifft. 00:28:58.766 --> 00:29:03.621 Mhm. Das ist ein ganz altes Modul, ne? Das gibt schon sehr lange. 00:29:03.369 --> 00:29:05.706 Ende Neunziger ja. 00:29:05.406 --> 00:29:19.587 Genau. Ist von so ein paar Leuten äh entwickelt worden, ist dann irgendwann, weil's von vielen verwendet wurde zu dieser Apache äh Foundation gewechselt, wie das so viele solche Bibliotheken tun mit dem Ziel 00:29:19.461 --> 00:29:28.595 da Konsens orientiert dran weiterzuarbeiten, damit so diese Software, die von vielen genutzt wird, auch in irgendeiner Form am Leben bleibt. 00:29:28.794 --> 00:29:32.194 Aber das heißt nicht, dass das nicht auch. 00:29:32.784 --> 00:29:42.915 Fehler enthalten kann, die dann irgendwann mal äh gefunden werden. Vielleicht hat man ja erstmal kurz auch weil wir ja hier das Logbuch sind, ne? Sollte man vielleicht mal kurz sagen, 00:29:43.023 --> 00:29:52.992 Was ist eigentlich Logging? So, ich meine, wir loggen ja hier die Nachrichten. So, deswegen heißt es Logbuch. Ne, im übertragen aus diesem, 00:29:53.052 --> 00:30:04.920 Begriff. Das Buch, in dem man so alle Vorfälle einträgt und genau das ist so ein bisschen ja sowohl die Idee bei diesem Podcast als eben auch beim Loggen und Loggen ist halt einfach wichtig in der Softwareentwicklung. 00:30:05.467 --> 00:30:17.893 Aus verschiedensten Gründen, also manchmal mag das eben die Aufgabe der Software, die man schreibt, selber sein, ähm aber meistens ist es eben so, dass man damit dem die Fortschritte, 00:30:17.924 --> 00:30:24.527 Software, während sie so ihre Arbeit äh verrichtet, so in einem definierten Format an eine Stelle reinschreibt, 00:30:24.672 --> 00:30:31.516 damit man einerseits so ein bisschen zuschauen kann, ja, man kann dann dieses Locken geschrieben werden. 00:30:31.931 --> 00:30:44.622 Kann man sich über den Bildschirm laufen lassen und guckt so, ah okay, alles klar, hier ist eine Anfrage reingekommen, da ist eine Datei geöffnet worden, da ist eine Datenbank auf- und zugemacht worden und so weiter. Was auch immer es ist, was diese Software tut, steht dann da in irgendeiner 00:30:44.556 --> 00:30:53.918 in irgendeinem Grad der Ausführlichkeit mit drin, aber eben auch Fehlermeldungen ähm oder eben Panik-Attacken, 00:30:54.002 --> 00:31:03.153 die das System hat, weil irgendwas ganz Grundlegendes weg ist, kein Internet mehr da irgendwie alle Festplatten sind weg, äh großes Drama 00:31:03.010 --> 00:31:13.219 und üblicherweise werden solche Einträge dann auch in unterschiedlichen Warnstufen unterschieden, also von leichten Hinweisen, dass irgendwas getan wurde, ganz normal 00:31:13.009 --> 00:31:27.490 bis hin zu hm ja das habe ich jetzt mal irgendwie hinbekommen, aber es was weiß ich, es hat nicht so schnell funktioniert, wie ich das gewohnt bin, so Warnung, guckt mal, vielleicht ist da irgendwas falsch, bis hinzu hat nicht geklappt, die Festplatte war voll, konnte ich nicht wegschreiben, Fehler 00:31:27.280 --> 00:31:43.577 bis hin zu eben so totalen äh Paniksituationen, wie es eben schon angedeutet habe und man benutzt für diesen Vorgang, weil das halt jeder irgendwie braucht, auch gerne Bibliotheken und greift natürlich zu irgendetwas, was im Open Source-Bereich so really Avaleble ist, typischerweise in der eigenen Programmiersprache. 00:31:43.283 --> 00:31:58.203 Da würde ich aber jetzt gerne kurz einhaken, weil tatsächlich ist das so verbreitet nicht, dass man äh sich ähm seine eigenen Login Bibliotheken baut im im Javabereich schon, weil was müssen wir einen kleinen Schritt zurückgehen, was du nämlich gerade schilderst, ist 00:31:58.185 --> 00:32:00.853 Also besonders spannend wird dieses Login, 00:32:01.141 --> 00:32:10.966 weil es ein du hast ein Format. Du definierst dir im Prinzip als Applikation so dein eigenes Format. Üblicherweise fängst du vielleicht mit einem Datum an, ja? 00:32:11.123 --> 00:32:18.471 Mit der Datum-Uhrzeit und sagst dann, was ist hier vorgefallen? Ja und besonders interessant wird das dann. 00:32:19.607 --> 00:32:28.086 Nämlich nicht nur bei einer Applikation, die lockt dann, was weiß ich hier, ich wurde gestartet oder so, aber besonderen Wert bekommt das halt bei Servern. 00:32:28.946 --> 00:32:31.036 Zum Beispiel wenn, 00:32:31.337 --> 00:32:43.841 euer Podcast Client, den äh Metaebene Server zugreift, um dort eine Folge LogBuch Netzpolitik runterzuholen, dann schickt als erstes ein äh Getrickfest an den RSS-Feed, 00:32:44.064 --> 00:32:47.387 stehen dann, ne, da kommt dann eine Datei zurück mit, 00:32:47.640 --> 00:32:54.333 mit den aktuellen Episoden und wenn da was Neues bei ist, dann schickt ihr ein Gatrik-Fest für zum Beispiel eine Audiodatei. 00:32:54.214 --> 00:33:02.728 Ja? Und der metaelbene Server, ich weiß jetzt nicht, ob er's macht, aber der könnte und wird wahrscheinlich dann jeweils einen Lockeintrag schreiben. 00:33:03.257 --> 00:33:06.598 Wie Uhrzeit folgendes ist vorgefallen, 00:33:06.935 --> 00:33:17.835 Und für diese Art Lock, was der sich schreibt, gibt's aber jetzt nicht notwendigerweise ein standardisiertes Format. Wie der das speichert, was weiß ich zum Beispiel, 00:33:17.901 --> 00:33:26.181 in welchem Format das Datum, welche Sachen überhaupt gelockt werden ähm das konfiguriert man eben in dem Webserver. 00:33:26.837 --> 00:33:27.990 Und, 00:33:28.111 --> 00:33:41.877 genauso wenn jetzt deine eine Webation läuft, dann wäre halt die Frage, was lockt die überhaupt? Und eine der großen Probleme ähm ist oder eine der großen Herausforderungen, die man natürlich auch durch wahrscheinlich, 00:33:42.196 --> 00:33:53.306 ein bisschen begegnen wollte. Ist halt eine eine Vereinfachung und auch eine Vereinheitlichung zu finden. Zum Beispiel kannst du in wenn ich das richtig verstanden habe, auch mal mehrere Zeilen locken. 00:33:54.334 --> 00:34:03.534 Nicht nur also jetzt das klassische Unix Ding ist ja, schreibst halt nach Standard Error, landet im ne oder schreibst nach Standard Out oder sonst was ähm. 00:34:04.201 --> 00:34:06.965 Die haben sich quasi schon eine etwas schönere, 00:34:07.128 --> 00:34:21.747 vereinheitlichtere Möglichkeit geschaffen, ähm Loks zu aggregieren und dann da eben paar nette Tools reingebaut, sodass du im Prinzip nämlich dann nicht jedes Mal, wenn du eine Applikation schreibst, sagst, okay, wir werfen das jetzt nach, 00:34:21.958 --> 00:34:27.126 Error oder sonst was raus, ja? Oder wir machen einen Lockfall auf, sondern du sagst einfach, hier, 00:34:27.462 --> 00:34:41.950 Äh äh ich mache ich mache eine Instanz von und jedes Mal, wenn ich was mache, habe ich eine Funktion und sage einfach Lockfolgendes, ja? Und dann den Rest, dass das ordentliche Format hat und so weiter, da kümmert sich dann dieses drum. 00:34:42.034 --> 00:34:49.828 Und spannend wird das dann, wenn du nämlich jetzt zum Beispiel Forensik machst, ja? Wie ich ja äh gerne manchmal muss. 00:34:50.597 --> 00:34:55.452 Dass du dann halt ein Lock hast von mir ist von dem Datenbank-Server und ein Lock von dem, 00:34:55.663 --> 00:35:06.888 Webserver und ein Lock von dem Mailserver. Die haben aber irgendwelche völlig unterschiedlichen Formate und die werden auch nicht an einer Stelle aggregiert und dann ist das alles ein großes Tohuwabohu. 00:35:07.339 --> 00:35:15.504 Dass du die Kiste nicht mehr vereinheitlich, dann läuft der eine Scheißserver in einer anderen Zeit, weil der läuft in UTC, den anderen hat einer irgendwann mal beim Setup 00:35:15.300 --> 00:35:23.833 in GMT plus eins gesetzt und hier der lockt in dem Datumsformat, der in dem anderen, du wirst wahnsinnig die Sachen zu aggregieren, ja? Und dafür, 00:35:23.851 --> 00:35:27.649 quasi diese Idee, machen wir mal Lok vor Jay ähm, 00:35:28.004 --> 00:35:34.499 auf jeden Fall keine schlechte. Ja und jetzt kommt der in meinen Augen entscheidende Punkt, weißt, 00:35:34.878 --> 00:35:44.390 Also als ich diese Sicherheitslücke äh zum ersten Mal geschildert bekommen habe äh oder also mir durchgelesen habe, habe ich gesagt, das ist ja keine Sicherheitslücke, weil, 00:35:44.769 --> 00:35:54.636 was die da gebaut haben, das ist ja in herent unsicher. Also ist eine eine Funktionalität, die einen Locker in meinen Augen niemals hätte haben dürfen. 00:35:55.856 --> 00:36:03.860 Zwar haben die sich gesagt, wir möchten, dass eventuell die lockende Instanz, ja, also, 00:36:04.148 --> 00:36:12.314 Programmteil, der das empfängt ähm darin noch Änderungen vornehmen kann. 00:36:13.330 --> 00:36:20.637 Ja und ich nehme mal ein Beispiel für eine solche Änderung. Man könnte zum Beispiel sagen, okay unser. 00:36:21.322 --> 00:36:30.648 Webserver, der lockt erstmal nur die IP-Adresse. Ja, der von demjenigen oder derjenigen, die zugreift. Und dann gibt er die dem Lockserver. 00:36:31.778 --> 00:36:42.840 Und der Lockserver soll aber jetzt zum Beispiel nochmal sagen, ach okay, da gibt's eine IP-Adresse. Ich gucke mal, ob die ein Reverse äh DNS-Eintrag hat. Ja, also einen Pointer Record, wo man einfach sagt, gibt es die irgendwo noch, 00:36:42.937 --> 00:36:49.486 registriert, dass sie dass sie mir dass sie mir eine Domain dazu sagt, zum Beispiel dass man dann irgendwie sieht ah okay, das ist ein, 00:36:49.643 --> 00:36:55.838 oder sonst was, ne? Also ich mache noch einen weiteren Lookup zu dem, was mir. 00:36:56.590 --> 00:37:06.582 Der loggene Applikationszeit oder die Loggen der Applikation rüberwirft. Und das ja erstmal keine schlechte Funktion. So sowas zu machen. Nur. 00:37:07.123 --> 00:37:16.191 Die haben sich das so gebaut, dass quasi die gelockte Applikation dem lockenden Teil. 00:37:16.798 --> 00:37:25.162 Einen Befehl geben kann und dieser Befehl kann sein geh mal bitte an diese Stelle, lad dir ein Stück Javacode runter und führ das aus. 00:37:25.090 --> 00:37:35.816 Um, weiter damit umzugehen, weil Java äh das das ihn auf flexible Nachladen von äh Codeteilen halt ähm 00:37:35.793 --> 00:37:44.596 grundsätzlich unterstützt und so Java Software funktioniert und so kann's dann irgendwie sagen, okay, hol dir mal bitte hier diesen Code an dieser Stelle und führe den mal aus. 00:37:44.722 --> 00:37:51.596 Und ich glaube ehrlich gesagt, dass das also das hätte man nie machen dürfen. Also niemals. 00:37:53.543 --> 00:37:57.305 Es ist völlig klar, weil hier ähm, 00:37:57.389 --> 00:38:11.775 die das loggende, also es ginge ja also nicht nur dadurch, dass jetzt hier ausführbaren Code gibt und so, ne, aber dass ja auch eine potenzielle Vergiftung deiner Lockfiles, wenn die lockende Instanz dir noch irgendwelche Befehle dazugeben kann. 00:38:12.208 --> 00:38:13.115 Ja 00:38:13.217 --> 00:38:24.658 Anpassungen von mir aus, aber das muss ja der Logger entscheiden und nicht der gelockte, ja? Insofern verstehe ich überhaupt nicht, wie man auf diese Idee kommen konnte. Also mir ist völlig unklar, warum man das macht 00:38:24.550 --> 00:38:33.954 ja? Auf diese Weise, dass halt die loggende Instant sagt, hier ist ein Befehl. Da kommt nämlich ein sehr großes Problem hinzu, was bei den meisten IT-Sicherheitslücken eine Rolle spielt 00:38:34.658 --> 00:38:43.953 oder bei vielen, insbesondere im Webbereich und das ist das Escaping, weil man sich ja irgendwelche Kontrollcharaktere äh Charakters baut, also Kontroll ähm 00:38:45.143 --> 00:38:59.054 äh Zeichen, wo man sagt, aha pass auf in diesem Fall zum Beispiel, wenn dann Dollar und eine geschweifte Klammer kommt, dann für das, was da drin steht mal bitte aus. Ja und jetzt kommt, warum diese Sicherheitslücke so krass ist. 00:39:00.190 --> 00:39:10.050 Ich brauche also nur irgendeine Applikation, die verwendet und diese Funktionalität aktiviert hat. 00:39:10.640 --> 00:39:15.525 Und ich muss die nur dazu bringen irgendwo in irgendeinen Lockeintrag, 00:39:15.868 --> 00:39:24.652 diesen spezifischen Command eine eine Commandsequenz zu schreiben und die lädt sich dann meinen Code dazu herunter und führt den aus. 00:39:25.416 --> 00:39:28.498 So das ist also. 00:39:28.595 --> 00:39:35.036 In diesem String halt einen kompletten Serveradresse angeben kann mit einer Ressource quasi eine URL mitgeben kann 00:39:34.832 --> 00:39:47.421 dann ist das einfach das normale Verhalten so ah ich muss das auflösen oh da ist Dollar äh geschweifte Klammer auf drin, also habe ich den Rest so und so zu interpretieren und dann wird dieses Jahr mal so von sich aus aktiv und sagt einfach okay alles klar 00:39:47.409 --> 00:39:51.489 Da ist Code drin, der muss ausgeführt werden, ist alles total wichtig. 00:39:51.460 --> 00:39:54.734 Jetzt mal auf den Meta-Ebene-Server zurück. Ähm. 00:39:54.800 --> 00:39:55.996 Da läuft kein Java. 00:39:56.327 --> 00:40:08.735 Ein üblicher also man macht auch keine Webserver Indianer, ich weiß, aber ich mache das jetzt mal äh ich bleibe mal bei dem Beispiel. Also eine übliche Information, die so einen Webserver oder so eine Webapplikation mitlockt, 00:40:09.096 --> 00:40:13.987 ist zum Beispiel auch der User-Agent des Browsers. Ja, also euer Browser sagt. 00:40:14.498 --> 00:40:28.217 Ich bin ein Internet Explorer in der Version elf und ich laufe auf einem äh Windows XP oder sowas, ja? So grobe Versionsangaben äh ähm oder vor allem ihre Herkunft, 00:40:28.361 --> 00:40:30.422 machen diese Browser schon. 00:40:31.732 --> 00:40:34.832 Genau, also die Server long das mit, damit sie da eine Statistik auch drüber machen. 00:40:34.532 --> 00:40:43.401 Die Server loggen das mit. So, das heißt, wenn du jetzt lustig bist, setzt du dir einfach einen User Agent in deinem Browser, 00:40:43.720 --> 00:40:50.835 quasi eigentlich diesen machst, surfst im Internet und guckst mal, was du so für Zugriffe bekommst. 00:40:53.089 --> 00:41:01.146 Und jetzt wird hoffentlich auch klar, warum das so ein Problem ist, weil wenn es irgendwo jemanden gäbe, der seine Mails. 00:41:01.633 --> 00:41:10.791 In irgendeiner Form von Java-Software weiter verarbeitet und ich es schaffe, was weiß ich, in einem der Felder, die dieses Logging-Tool lockt, 00:41:11.043 --> 00:41:20.640 diesen eine Kommandsequenz, die äh äh die die auslöst ähm einzuspeisen, dann kann ich eine Mailserver auseinandernehmen, 00:41:20.904 --> 00:41:26.859 ja? Ähm es gibt hier Beispiele von Leuten, die haben halt ihr iPhone so benannt, 00:41:27.154 --> 00:41:33.511 ja und kriegten dann auf einmal Request aus dem ähm aus dem IP-Netzwerk range von Apple, 00:41:33.596 --> 00:41:40.271 mit anderen Worten irgendetwas, was ihren iPhonenamen angeht, wird bei Apple gelockt, 00:41:40.440 --> 00:41:54.272 am Ende durch einen Lock vor Jay geworfen und hat dann quasi gezeigt, dass deren Server darauf angreifbar waren. Du weißt jetzt immer nicht, wer das welcher Server das ist und welche Zugriffsmöglichkeiten der hat, ja? Ähm aber es ist auf jeden Fall nicht gut 00:41:54.189 --> 00:41:59.092 Und das ist das, was diese diese Schwachstelle so krass macht, dass du jetzt ähm. 00:41:59.765 --> 00:42:10.052 Im Prinzip, in jedem Service, in jedem Dienst, der irgendwo da draußen am Ende etwas, was eine Nutzerin bestimmen kann. 00:42:10.588 --> 00:42:19.673 In ein wirft, hast du halt diese Schwachstelle, potenziell wenn dieses Feature aktiviert ist, was es aber eben grundsätzlich ist. 00:42:21.560 --> 00:42:26.313 Ist das wirklich so? Also ist das wirklich überall generell bei Default erstmal an. 00:42:26.415 --> 00:42:40.747 Das weiß man ja nicht. Also ich ich verstehe es so, dass es also es kann ja auch sein, dass Leute es ausgeschaltet haben. Aber der Fix, den die Leute vorgeschlagen haben, war gehen diese XML Datei und und schaltet dieses Feature aus. Aber die die Fixes waren eh alle so ein bisschen ähm. 00:42:41.324 --> 00:42:48.991 In dem in dem offiziellen Bugfix äh stand auch drin. Jetzt ist es nicht mehr die Fault. Also es äh jetzt erinnere ich mich auch grad dran. Also es war halt einfach der Diepf heute. 00:42:48.697 --> 00:42:58.744 So, jetzt ist das also da wo haben wir jetzt Angriffsflächen? So, überall da, wo Java, Software läuft und lockt. Jede Software lockt. Ja? Ähm. 00:42:59.525 --> 00:43:07.883 Und jetzt geht's los auf potenziell Applikationen, die einfach ähm auf deinem Computer laufen, irgendeine Java-Applikation. 00:43:08.449 --> 00:43:13.652 Schreiben dabei diese Bibliothek verwendet, ist angreifbar. 00:43:14.248 --> 00:43:21.080 Unter der Bedingung, dass sie irgendetwas in die Lok schreibt, so was du als Nutzerin oder eine Angreiferin ähm kontrollieren kann. 00:43:21.555 --> 00:43:28.609 Ja? Ähm und da da Programmiererinnen lieber mehr als wenig loggen. 00:43:29.360 --> 00:43:32.971 Ist es jetzt auch gar nicht so unwahrscheinlich, dass dass du irgendetwas, 00:43:33.290 --> 00:43:40.927 Nutzer kontrolliertes oder sogar von externen Angreifern Kontrolliertes findest, was so eine Applikation dann weglockt, 00:43:41.198 --> 00:43:49.328 Was weiß ich, Dateiname, irgendwelche Metadaten in der Datei, ja? Alles, was irgendwie gelockt wird, ähm. 00:43:49.905 --> 00:43:52.495 Ist am Ende eine Angriffsmöglichkeit. 00:43:52.850 --> 00:44:01.052 Also wenn du jetzt nimmst dir irgendein Programmiertool, was in Jawa geschrieben ist, äh das schreibt jetzt, was weiß ich, von mir aus irgendwelche 00:44:01.028 --> 00:44:08.876 Oder irgendwas weg, ja? Egal, was der lockt, wenn du es schaffst, da dort eine solche Befehlskette reinzubringen, zack, 00:44:09.122 --> 00:44:17.661 ist die Wahrscheinlichkeit groß, dass es eben ausgeführt wird. Code nachläd und aus ausgeführt wird. Und ähm. 00:44:18.298 --> 00:44:29.264 Auf deinen Desktop-Applikationen, dann in Geräten, die du hast, ja, was weiß ich, irgendwelche Netzwerk äh WLAN, Controller oder sonst was, ja? 00:44:29.493 --> 00:44:38.344 Also neben diesen ganzen Bereich gibt's dann natürlich auch sehr viel Java und dann eben auch draußen im großen bösen Internet, 00:44:38.537 --> 00:44:47.213 mit ähm mit irgendwelchen Servern, wo dann eben auch zentrales Loging oder so was aktiviert ist. Und alles immer. 00:44:47.833 --> 00:44:54.130 Protokoll unabhängig und das ist das Bittere, dass da nämlich also Escaping ist eh immer eine schlechte Idee und geht sehr viel schief. 00:44:54.737 --> 00:45:09.603 Aber weil diese ganzen Programmierer ja auch immer sagen, ja wir wir versuchen möglichst alle möglichen Charakter Encordings und so weiter zu unterstützen und ähm wenn wir das jetzt in Base 64 bekommen, dann erkennen wir das und bauen uns das selber um. 00:45:09.976 --> 00:45:11.869 Kriegst du. 00:45:12.747 --> 00:45:20.882 Eigentlich keinen du kannst jetzt nicht irgendwohin gehen und sagen, na ja, wenn da äh ähm Prozent. 00:45:21.327 --> 00:45:27.841 Eckige Klammer JNB drin steht, dann machen wir dann dann loggen wir's nicht oder so. Also du kriegst es nicht weg. 00:45:28.460 --> 00:45:36.704 Ja ich war eben erst überrascht, weil ich dachte, ich hab's nicht nicht verstanden, wo jetzt überhaupt die Schwachstelle liegt. 00:45:37.348 --> 00:45:42.527 Aber ähm dann hat Christian Kühntop Isotop auf Twitter auch auf Heise, 00:45:42.696 --> 00:45:51.582 mal äh ähm einen Kommentar geschrieben, wo er sagt, nee, das funktioniert wie spezifiziert. Ja, das ist also das ist exakt nichts, 00:45:51.781 --> 00:46:03.607 ist eine Schwachstelle. So da da gibt's jetzt nicht irgendwie etwas wie äh Go-to-File oder ne oder hier irgendwie Falschspeicher sonst was, nein. Es es macht genau das. 00:46:03.932 --> 00:46:07.392 Es ist natürlich eine Schwachstelle, aber die ist bei Design. 00:46:07.135 --> 00:46:07.741 Genau. 00:46:08.643 --> 00:46:17.470 Also die ist nicht es hat jetzt nicht jemand auch gesagt also hat jetzt jemand einen Fehler gemacht? Es ist kein Programmierfehler in dem Sinne. 00:46:17.506 --> 00:46:18.731 Konzeptfehler. 00:46:18.708 --> 00:46:28.160 Es ist ein Konzeptfehler, ja. Und das ist äh tja dramatisch, ja und äh. 00:46:28.839 --> 00:46:37.528 Eine grundsätzliche Sache, die sich jetzt hier zeigt, ist eben, es gibt Software-Bibliotheken und Software-Bibliotheken sind erstmal auch gut, 00:46:37.853 --> 00:46:46.734 Ja, aber es gibt eben das das Problem, dass sich also grade in so bestimmten Welten einem Python hält es sich noch in Grenzen. 00:46:47.071 --> 00:46:52.977 Du mal so ein NPM-Projekt machst, ja? Da gibt's eine schöne Befehle wie äh. 00:46:53.519 --> 00:47:04.671 NPM Audit, wo der dir dann einfach mal sagt, wie viele Pakete du da überhaupt verwendest und welche davon schon wieder irgendwelche äh Schwachstellen hatten. Also ein grundsätzliches Phänomen. 00:47:05.104 --> 00:47:10.356 Der heutigen Programmierlandschaft ist, dass man mit immer mehr ähm, 00:47:10.572 --> 00:47:19.874 Bibliotheken, Frameworks und sonstigem arbeitet, ja? Also es geht heute keiner mehr hin und schreibt wirklich noch irgendwie CSS, sondern man schreibt SAS. 00:47:20.115 --> 00:47:32.054 Es gibt niemanden mehr, er geht hin und schreibt irgendwie HTML, sondern man benutzt äh, ne, was weiß ich, Django oder so was, was das dann irgendwie rausrandert, ja? Das ist auch erstmal völlig in Ordnung, weil quasi die. 00:47:32.734 --> 00:47:42.198 Unteren Ebenen so ein bisschen weg abstrahiert werden und da quasi ja erstmal Komplexität scheinbar weggenommen wird. 00:47:42.943 --> 00:47:53.092 Für die Programmiererin. Gleichzeitig aber dadrunter ein riesiger Haufen an gegenseitigen Abhängigkeiten und Komplexität entsteht, den niemand mehr überblicken kann. 00:47:53.711 --> 00:48:02.442 Ja? Und ähm da gab es vor einiger Zeit mal so eine wunderschöne äh Story wie äh jemand, der es zwar ähm, 00:48:02.719 --> 00:48:12.141 war so eine äh Fiktion, dass er dann irgendwie ein relativ einfaches NPM Modul entwickelt für irgendwie äh rot-grün, blau. 00:48:12.574 --> 00:48:16.611 Texte ausgeben oder sowas, ja? Und dass das dann irgendwie ähm, 00:48:16.816 --> 00:48:25.505 dass er dann in in beliebtere NPM Module äh quasi das einbaut, ne? Ach guck mal hier farbiges Logging und dann aber eine Dependency, 00:48:25.698 --> 00:48:35.594 auf sein eigenes von ihm kontrolliertes MPM Modul hat, in das er dann irgendwann einmal bösartigen Code einschleust, der dann einfach mitgeladen wird und das ist ein bisschen. 00:48:36.178 --> 00:48:41.285 Quasi die Problematik, in dem sich in der sich die Programmierwelt gerade befindet, ist, dass das. 00:48:41.910 --> 00:48:51.308 Dadurch, dass immer mehr Librarys immer mehr Frameworks immer mehr verwendet wird, man selber gar nicht mehr einen Überblick hat, ähm was die eigenen. 00:48:52.041 --> 00:48:58.813 Angriffsflächen überhaupt angeht und das kritisiert äh Christian hier. 00:48:59.240 --> 00:49:08.752 Dem wichtigen Punkt, ne, Code ist nicht dein Freund. Ja, ganz besonders nicht dynamisch aus dem Internet nachgeladener Code. Äh ich weiß, es klingt komisch, wenn man Entwickler ist 00:49:08.609 --> 00:49:23.120 und den eigenen Lebensunterhalt damit bestreitet, dass man glaubt, man sei mit dem Code befreundet. Aber so ist es. Weniger Code ist besserer Code, am besten so wenig Code, dass man ihn zu gänze und mit all seinen Interaktionen verstehen kann und auch den Code, der notwendig ist, 00:49:23.138 --> 00:49:30.090 den eigenen Code zu betreiben und das ist natürlich jetzt hier nicht mehr der Fall. Ja? Ähm ich denke. 00:49:30.668 --> 00:49:42.187 Ein Großteil der Programmiererinnen und Programmierer, wenn sie denn gewusst hätten, was dieses überhaupt für eine Funktionalität hat, hätten die auf jeden Fall deaktiviert oder nicht verwendet. 00:49:43.107 --> 00:49:48.490 Aber das versteht ja auch keiner äh sofort und dieses Feature ist ja auch nicht erst seit zwei Wochen da drin. 00:49:48.340 --> 00:49:50.798 Nee, nee, das ist aus der ersten Version, ne, wenn man anfangs. 00:49:50.516 --> 00:49:58.044 Nee, aus der ersten ist es nicht. Es ist aus der zweiten. Also aus der Erstzeit jetzt bei Apache ist aus der 20 Version die aller aller allererste hatte es nicht. 00:49:58.484 --> 00:50:02.281 Gelandet und hat's irgendwann dieses Feature ähm bekommen. 00:50:02.804 --> 00:50:12.388 Wir hatten ja übrigens auch vor zwei äh Sendungen hier ähm mit äh unseren äh Gästinnen, Adriana und Katharina, hatten wir ja über, 00:50:12.509 --> 00:50:19.821 souverän Techfand gesprochen und unter anderem halt auch auf diese schöne XKCD die Comic äh verwiesen. 00:50:20.297 --> 00:50:30.746 So Allmodern Digital Infrastruktur und das sieht halt aus wie so ein riesiger Wust an Bauklötzchen, alles steht so aufeinander und dann rechts unten so ein ganz kleines Miniteil auf dem alles lastet, 00:50:30.999 --> 00:50:40.475 Das ist so ein bisschen so dieser äh Blick auf die Sache von so. 00:50:40.896 --> 00:50:46.706 Wirklich bei Individuals äh äh oder eben dann auch nicht. 00:50:47.482 --> 00:50:54.151 Diesem Fall war's ein bisschen anders, weil ja eben bei der Apache Foundation durchaus schon ähm. 00:50:54.981 --> 00:51:01.248 Recht weit oben aufgehangen war. Allerdings haben diese. 00:51:01.843 --> 00:51:14.696 Auch das Problem, dass die dann eben auch mit so einem Konsens arbeiten äh und dann sehr viel Politik äh gemacht wird, bis dann wirklich mal Neuerungen oder Änderungen von alten Sachen auch durchgesetzt werden. Da sind also schnelle Entscheidungen auch nicht mehr so üblich. 00:51:15.472 --> 00:51:24.455 Und inwiefern das dieses Feature jetzt konkret betroffen hat, kann ich nicht sagen, aber es ist auch nicht unbedingt immer einfacher alles selber zu schreiben. 00:51:25.075 --> 00:51:34.063 Weil da macht man natürlich dann auch Fehler, ja, äh wo man dann eben sagt so, na hättest du mal lieber die Bibliothek genommen, da konzentrieren sich Leute drauf. 00:51:34.611 --> 00:51:44.646 Und dann gibt's ja nur noch diesen Mythos der tausend Augen, ja, die da auch alle mal regelmäßig drauf schauen und dann halt potenzielle Schwachstellen auch finden, aber das ist halt eben auch nicht immer so. 00:51:44.700 --> 00:51:53.322 Das ist das, was du grade sagst, ist genau der der richtige Punkt. Warum also warum nutzt man äh Frameworks und Bibliotheken, 00:51:53.570 --> 00:52:03.069 weil da Leute Dinge gelöst haben, ja? Man baut sich nicht mehr seine eigene Datenbankanbindung, 00:52:03.304 --> 00:52:18.194 Indem man was weiß ich, selber sauber zusammengebastelte Datenbankanfragen in ein wirft, ja, sondern man nutzt, was weiß ich, ne, die Bibliothek zur Anwendung von Datenbanken und, 00:52:18.243 --> 00:52:26.367 versucht die dafür zu nutzen, dass sie eben ja saubere prepared Statements hat und dafür sorgt, dass es keine SQA Injections gibt 00:52:26.325 --> 00:52:34.659 ja? Ich denke nicht, dass es mir ohne Weiteres gelingen würde, ja, also wirklich nicht die Hand für ins Feuer legen, 00:52:34.852 --> 00:52:47.723 Also ich trau's mir zu, aber ich würde jetzt mal nicht den Mund zu weit aufmachen, dass ich es schaffe eine komplette Webapplikation zu bauen, ohne eine SGL Injection reinzukriegen, ja? Ich weiß, wie man die prinzipiell vermeidet. Ähm ich weiß 00:52:47.645 --> 00:52:56.766 ähm auch Glaube das noch hinzukriegen, ja, weiß aber auch, dass es ähm eben Bibliotheken dafür gibt, die das Problem, 00:52:57.037 --> 00:52:58.437 gelöst haben, 00:52:58.738 --> 00:53:10.503 und ich möchte es nicht noch einmal lösen, ja? Deswegen würde ich halt die Funktionalität nutzen zur Anbindung einer Mascall-Datenbank, die mir das jeweilige Programmierframework zur Verfügung stellt. Also es gibt schon Gründe. 00:53:11.182 --> 00:53:23.332 Dafür diese solche Bibliotheken zu nutzen. Das wäre dann halt nur schön, wenn die ganz gut abgehangen sind und das ist hier ja auch der Punkt von Christian, wenn du die dann auch verstanden hast, was die machen, 00:53:23.501 --> 00:53:35.783 Ja und ähm in also ein überhaupt Format Strings in einem Logger zu haben, das ist auch eine Funktionalität, die ich von einem Loginsystem nicht erwarte. Ich erwarte, dass es entgegennimmt. 00:53:36.745 --> 00:53:41.684 Und äh nicht Kommandos, ja. 00:53:41.438 --> 00:53:46.672 Man hätte im Prinzip sagen können, okay, schön, dass ihr solche Features einbaut, 00:53:46.786 --> 00:53:57.452 ja? Vielleicht seht ihr irgendwie erstmal da auch kein unmittelbares Problem damit, weil definitiv die Leute haben das eingebaut aus irgendwelchen Gründen und haben erstmal nicht so ein Sicherheitsproblem gesehen. 00:53:57.579 --> 00:54:08.196 Schon mal eine nennenswerte Änderung. Und sie haben dafür auch eine Einstellung, also es gibt so einen Konfigurationsfleck, was man setzen kann, dann ist diese Funktion deaktiviert. 00:54:08.431 --> 00:54:17.222 Nur dass der halt aktiviert war bei Defold und das ist vielleicht so ein bisschen das Problem. Man hätte problemlos dieses Feature einbauen können und sagen können, 00:54:17.360 --> 00:54:29.234 Erst wenn das sozusagen alle sagen, so was muss auch ein Default sein, das ist total sinnvoll und warum ist denn das nicht immer eingeschaltet und wir haben das jetzt auch tausend Mal ausprobiert, ist alles kein Problem. 00:54:29.415 --> 00:54:30.995 Kann man das einschalten. 00:54:31.434 --> 00:54:45.464 Das wäre äh ein Weg gewesen, der diese Katastrophe, die wir jetzt haben, das im Prinzip so jedes IOT-Device, was mit Jawa funktioniert heutzutage so theoretisch exportable ist, was der die totale Hölle ist, ähm schon hätte verhindern können. 00:54:45.777 --> 00:54:57.429 So jetzt und jetzt kommen wir zu der tatsächlichen Katastrophe. Du musst jetzt eigentlich sämtliche also du kannst nur sämtliche Instanzen updaten und ich glaube, sie hatten ja dann erst gesagt, nimmt alle hier die zwei fuffzehn, 00:54:57.555 --> 00:55:01.395 was ausgebaut, da haben sie dann aber direkt den nächsten drin gehabt, weil sie, 00:55:01.557 --> 00:55:08.365 quasi da gab's dann noch ein den man ausführen konnte und dann haben sie in der zwei sechzehn, 00:55:08.468 --> 00:55:21.531 einzig Sinnvolle getan, das komplette Feature rausgeschnitten und zwar mit dem flammenden Schwert, ja und das war das, was man von vornherein hätte machen müssen und ja, wie gesagt, man hätte es von vorneherein gar nicht einbauen dürfen, aber erst recht, 00:55:21.633 --> 00:55:28.195 musste man es dann eben auch nicht nicht dran herumdockern, sondern es muss komplett ausgebaut werden. Ähm. 00:55:29.295 --> 00:55:36.307 Also du musst jetzt äh du hast jetzt die Aufgabe, sämtliche Instanzen zu updaten, 00:55:36.602 --> 00:55:49.768 Nun hast du aber überhaupt keinen Bestand, kein Inventar, wo du weißt, wo das überhaupt drin ist. Ja, also ich weiß zum Beispiel, dass der ähm Hersteller meiner WLAN Access Points in dem Controller, 00:55:49.960 --> 00:56:03.402 Schwachstelle hat. Also muss ich diesen Controller jetzt updaten, ja? Jetzt ist aber die Frage, ähm ich kann jetzt aber nicht selber testen, weil ich weiß ja nicht unbedingt, was der lockt. Ich müsste ja um um sicher zu sagen, ein Gerät hat nicht Look for J, 00:56:03.571 --> 00:56:07.771 muss ich im Prinzip sein Lock-Format-Format mir anschauen, gucken, 00:56:07.981 --> 00:56:18.881 Okay, dann weiß ich aber auch schon, ob's Lock for Jay hat. Das heißt, ne, bei den meisten Diäten sehe ich ja das nicht, ne? Also muss ich dann irgendwie gucken, welche Sachen davon kann ich potenziell? Was lockt der überhaupt alles? 00:56:19.062 --> 00:56:27.703 In allen Zuständen, in denen das Gerät sein kann, in dies ihr aber vielleicht auch gar nicht bringe und in welchem Fall kann ich jetzt da irgendetwas rein tun? Also diese, 00:56:27.860 --> 00:56:33.874 Dieser Weg ist quasi sehr schwierig, also heißt es am Ende musst du wissen. 00:56:34.337 --> 00:56:48.867 Welche Geräte habe ich? Server, Devices, Computer, Software auf irgendwelchen Rechnern, in denen drin ist. Und jetzt muss ich das abdaten, ja? Oder der Hersteller, weil ich es nicht kann, ja? Und das wird ähm, 00:56:49.204 --> 00:56:58.325 nie ganz gefixt sein. Also mit dieser Schwachstelle werden wir noch Jahre Spaß haben. Monate im üblen Bereich, 00:56:58.620 --> 00:56:59.936 dann noch irgendwie 00:56:59.882 --> 00:57:14.417 Das ist so ein Klassiker, weißte, den findest du dann irgendwann noch mal bei so einem Pantast. Vier Jahre später beim Kunden und denkst, ach komm, hier Standard, mach mal eben zack, bum, hast das Ding auf, ne? Das ist so den kriegst du nicht mehr weg, weil das eben auf so vielen Geräten, 00:57:14.472 --> 00:57:22.571 verteilt wurde. Man muss jetzt, da wo es an Servern hängt, ist natürlich höchst kritisch, weil jetzt ähm natürlich die ganzen Scanner automatisierten Angriffe, 00:57:22.728 --> 00:57:28.791 über die über das Internet drüber scannen, ja. Ich habe jetzt auch schon irgendwie deswegen habe ich auch das Beispiel mit den. 00:57:29.639 --> 00:57:41.103 Mit den äh mit dem Webserver genommen, weil ich natürlich erstmal bei mir auf den Webservern in den in den Lock Fights geschaut habe, ja, immer sehr äh sehr ähm interessant, weil da kriegst du nicht nur. 00:57:41.939 --> 00:57:54.606 Angriffsversuche, ja, sondern auch die Varianten, die Leute dann eben spielen, ne? Mit anderen Charakter-Encordings und was nicht alles, um um irgendwie zu versuchen, ob da noch was kommt. Das heißt, du man kann jetzt so in seinen in seinen Lock-Fights ganz gut sehen, 00:57:54.859 --> 00:58:01.042 was da so was da so für Varianten von den Angriffen passieren, wo die sich den Code nachladen wollen und so weiter. 00:58:01.799 --> 00:58:15.079 Ähm jetzt werden natürlich einige, die von den Unternehmen, die betroffen sind, machen jetzt irgendwie groß Forensik. Da werden sie aber dann teilweise unsaubere Arbeiten machen. Ne, das heißt irgendwie ein paar Monate später äh stellen sie dann fest, Shit äh wir haben äh hier, 00:58:15.374 --> 00:58:23.960 nicht hingehört ja und ja ist ein ist ein riesen Problem und. 00:58:25.709 --> 00:58:31.928 Wird uns jetzt noch sehr lange beschäftigen. Ich bin mal gespannt, so so der gleichzeitig gab's ja dann auch so, 00:58:32.193 --> 00:58:41.837 ja irgendwie relativ dramatisierte Beschreibungen von dem, was da jetzt passieren würde, ne, die ich ähm so nicht teile. Also es ist eine hochkritische Schwachstelle auf jeden Fall 00:58:41.771 --> 00:58:44.577 Aber so Internet erst mal funktioniert ja noch, ne 00:58:44.452 --> 00:58:57.719 Und wir machen alle Überstunden, um diese Sachen zu finden und irgendwie zu katalogisieren und überhaupt herauszufinden, was was betreiben wir, ja, also wenn die Zensur in großen Unternehmen bist, kann ich ja nicht sagen, sag mir mal bitte alle Server mit Lok for Jay. 00:58:57.966 --> 00:58:58.831 Kann's ja gar nicht, 00:58:58.970 --> 00:59:09.858 niemand. Das heißt, da wird äh wird halt Unmengen gesucht und versucht irgendwie auf diese neue Version zu gehen und eben diejenigen, wo das nicht stattfindet, die werden dann halt äh. 00:59:10.447 --> 00:59:23.534 Irgendwo blöd landen. So, jetzt kommt die Frage, also solche Sachen passieren, jetzt hattest du erst gesagt, der Mythos der tausend Augen, ne? Äh alle also auch eine frei, die ich für einen Deutschlandfunk verantworten musste oder sollte also nicht weil die die Frage hatten, sondern weil, 00:59:23.595 --> 00:59:28.720 wichtiges Thema ist. Ja, aber ist doch open source, warum ist das denn jetzt unsicher? Und das ist natürlich. 00:59:28.853 --> 00:59:31.124 Da kann doch gar nix passieren. 00:59:30.824 --> 00:59:39.272 Also genau das Ding, das nämlich und das ist ja das, was du auch mit dem Mythos der tausend Augen meintest, dass bei Open Source Software kann. 00:59:40.144 --> 00:59:48.003 Jeder reinschauen in den Code und gucken ob der Code also primär geht's ja auch mal darum, ob der Code das macht, was er macht, 00:59:48.412 --> 00:59:58.020 einen Fehler hat, dass man ihn korrigieren kann und dass man im Zweifelsfall, auch wenn der Fehler eben im Sicherheitsbereich ist, diesen auch korrigieren kann. Nur äh. 00:59:58.586 --> 01:00:03.801 Wenn du sagst, ach das ist jetzt open source, da muss ich dann nicht mehr hingucken, weil da gucken ja andere hin 01:00:03.675 --> 01:00:14.413 Dann denken sich die anderen das im Zweifelsfall auch. Und so war's jetzt hier bei, dass alle dachten, ach ja, da guckt schon irgendjemand hin. Das nehmen wir alle hier, da da sitzen wir dann alle in einem Boot, 01:00:14.666 --> 01:00:24.040 Und äh wird schon wird schon sich wird sich schon äh jemand drum kümmern, ja? Wir sind's nicht und profitieren da jetzt mal einfach mit. 01:00:24.166 --> 01:00:27.128 Und das ist leider bei viel 01:00:26.997 --> 01:00:36.731 Open Source Software durchaus so. Ja, wenn sie nicht eine ähm lebhafte Community hat, die sie pflegt, nur wenn du eine lebhafte Community hast, die sie pflegt, musst du auch wieder darum, 01:00:37.050 --> 01:00:45.378 damit leben das potenziell halt sehr viele Leute da äh Code Committen der vielleicht nicht ähm so so Knüller ist. 01:00:45.510 --> 01:00:57.847 Mal eine Frage so an den Sicherheits äh Experten. Wenn du jetzt ähm angenommen jemand hätte dich jetzt mal so berufsmäßig äh beauftragt, so ein Audi zu machen von dieser Bibliothek. 01:00:58.670 --> 01:01:03.627 Nach dem Motto hier, wir haben hier so die Bibliothek, die wir verwenden, guck, kannst du den mal angucken. 01:01:04.199 --> 01:01:12.935 Meinst du, dir wäre dieses Problem auf jeden Fall aufgefallen oder nur vielleicht oder ähm weiß man nicht. 01:01:12.635 --> 01:01:15.748 Auf jeden Fall. Also auf jeden Fall, 01:01:16.115 --> 01:01:30.103 weil also wenn du dir solche Sachen anschaust, wenn jetzt Sachen auditierst oder äh irgendwie anguckst, dann guckst dir, was sind da, was sind das für Funktionalitäten, die hier umgesetzt werden, ja und dann kannst du ja erkennen, 01:01:31.113 --> 01:01:35.752 sind die äh von kritischer Natur oder nicht? 01:01:37.002 --> 01:01:43.041 Kritische Natur ist immer, keine Ahnung, es gibt irgendwie von Fremden und, 01:01:43.137 --> 01:01:55.251 mit dem intergier ich hier irgendwie, ja? Und genau dann, wenn das quasi seinen eigenen, seinen eigenen Kontext verlässt und in den anderen überführt wird, ne? Ich hatte jetzt eine mySPA Injection genommen, da guckste dann natürlich hin. 01:01:55.576 --> 01:01:58.268 Grade weil es auch ein dokumentiertes Feature ist in dem Fall. 01:01:58.172 --> 01:02:10.737 So und in diesem Fall ist es ja, du hast äh eben diesen gehabt. Du hast die JNDI, das ist dokumentiertes Feature und du kannst jetzt hier im Prinzip in der der Slogan, die Loggen der Instanz kann von der, 01:02:10.833 --> 01:02:12.064 die 01:02:12.023 --> 01:02:25.363 Das lockabgebende Instanz kann der das Lock entgegennehmenden Instanz vorwärts Drinks oder eben bis zu komplett dynamische Inhalte übermitteln, die dann dort ausgeführt werden. Äh das würdest du auf jeden Fall anschauen. Jetzt kommt aber der andere Punkt. 01:02:25.784 --> 01:02:34.310 Wenn mir jemand irgendetwas anderes in Java vorlegen würde und ich sehe ah alles klar, der lädt da oben irgend so ein Logger mit, dann würde ich mir den nämlich nicht angucken. 01:02:35.146 --> 01:02:45.109 Du denkst, na ja, ist ja nur ein Locker. Gehst ja nicht davon aus, dass der dass diese Loginbibliothek jetzt auf einmal anfängt, ein Eigenleben zu ähm zu entwickeln. 01:02:44.809 --> 01:02:48.918 Aber jetzt ist das Ding ja bei der Apache Foundation ein eigenes Projekt, 01:02:49.117 --> 01:02:55.101 Und da frage ich mich halt, ist es nicht Teil oder sollte es nicht Teil einer solchen Projektpflege, 01:02:55.300 --> 01:03:04.458 sein, dass genau diese offiziell gehosteten Dinger auch überhaupt mal einen solchen Audit einfach erhalten, 01:03:04.578 --> 01:03:14.943 Dass man einfach gezielt Leute drauf ansetzt und sagt, so ich gucke dir mal diese Bibliothek an. Die wird von soundso 4000 Programmen auf dieser Welt verwendet. Äh die müssen wir jetzt mal auf sowas checken. 01:03:14.902 --> 01:03:22.317 Wenn du mir sagst, das findet man dann auch sofort, wenn man dahinschaut, heißt das ja, dass dann wirklich auch noch niemand auch drauf angesetzt wurde, da mal hinzuschauen. 01:03:22.113 --> 01:03:26.175 Das äh würde ich jetzt tja, also. 01:03:26.740 --> 01:03:37.964 Auf jeden Fall würde ich ja, also ich kann auf jeden Fall auf jeden Fall würde ich mir genau das angucken, weil was soll so ein Nogger denn noch für Angriffsfläche haben? Ja, also ist ja die und das ist glaube ich auch der Grund, warum sich niemals jemand angeschaut hat. 01:03:38.049 --> 01:03:45.433 Weil sich keiner vorstellen konnte, dass dass ich das noch keiner angeschaut hat. 01:03:45.206 --> 01:03:50.007 Also ich sage das hier mit diesem. 01:03:50.656 --> 01:03:58.287 Als diese Sache dann hier rauskam und sie sich das angeschaut hat, da habe ich mit einem Kumpel war ich an dem Tag unterwegs drüber unterhalten und ich sagte immer so, 01:03:58.492 --> 01:04:06.946 ja der ist doch also die die Funktion ist die Sicherheitslücke, dass sie überhaupt gemacht haben. Und er meinte immer so, ne, ne, da muss noch irgendwo ein anderer Fehler sein 01:04:06.922 --> 01:04:17.576 und na ja am Ende hatte ich halt recht, jetzt hast du diese diese ganze Funktion war halt schon die die die Idee, das kannst du nicht ordentlich bauen, weil eben zu dynamische Inhalte gelockt 01:04:17.390 --> 01:04:27.197 werden, weil du da keinerlei Annahmen über das Format machen kannst, darfst du das nur noch wegschreiben und damit kannst du schon nur mit mit vorsichtigem Gewissen machen, ne. Ähm. 01:04:27.984 --> 01:04:34.365 Jetzt kommen wir zu dem Punkt, den wir gerade schon angesprochen hast mit Adriana und Katharina und Souverän Tech fand und fand nicht alles. 01:04:34.654 --> 01:04:42.844 Wer soll sich jetzt darum kümmern, kritische Komponenten zu identifizieren? Und ne, zu auditieren. 01:04:43.325 --> 01:04:45.626 Jetzt ist erstmal die Sache, 01:04:45.819 --> 01:04:55.343 Ich bin da ganz ehrlich, ne? Ich hätte irgend so eine Logging Bibliothek niemals oder wahrscheinlich nie als kritische Komponente identifiziert. Muss ich ganz ehrlich sagen, 01:04:55.602 --> 01:05:05.378 Ähm ich hätte gleichzeitig, sage ich aber auch, wenn ich mir das angeguckt hätte, hätte ich auf jeden Fall gesagt, das kann nur. Das muss eine Angriffsfläche sein und damit hätte hätte ich ja dann auch, 01:05:05.397 --> 01:05:11.508 recht behalten. Aber ich erkläre ja auch, wie ich den, wie ich den Gedankengang herbeigeführt hätte, weil es eben viel zu, 01:05:11.646 --> 01:05:24.776 unklar ist, was dir die andere Seite entgegenwirft. Solltest du das niemals äh interpretieren, erst recht nicht als äh Stelle, von der du nativen Code nachlädst, den du jetzt ausführst, ne? Das das geht so nicht, 01:05:25.022 --> 01:05:29.018 Das wäre mir aufgefallen. So, jetzt gibt's da zwei Überlegungen, 01:05:29.169 --> 01:05:43.247 Da wird jetzt auch klar gesagt. So es gibt ja irgendwie die ein paar Coder bei der Foundation, die sich irgendwie mit diesem auseinandergesetzt haben und nicht großartig äh Porsche fahren. Ja und dann gibt es, 01:05:43.620 --> 01:05:50.915 tausende Unternehmen oder hunderttausende Unternehmen, die diese Software verwenden. 01:05:52.280 --> 01:05:59.634 In kommerziellen Dienstleistungen, kommerziellen Produkten und wat nicht alles und ähm, 01:05:59.977 --> 01:06:08.900 jetzt natürlich okay. Die kriegen jetzt auch die haben natürlich auch den Schaden und die Verantwortung. Ähm aber die haben natürlich auch jahrelang eben Software genutzt, die irgendjemand geschrieben hat. 01:06:08.870 --> 01:06:19.716 Er stellt sich die Frage, ist es jetzt eine Aufgabe des Staates zu sagen? Gut, wir geben jetzt hier Geld aus, um um das alles mal zu orditieren und versuchen euch irgendwie einen einen sicheren Textdeck 01:06:19.609 --> 01:06:24.584 äh herzuliefern, ist eine Argumentation, die man haben kann oder ist es vielleicht, 01:06:24.759 --> 01:06:36.614 auch eine Aufgabe dieser Unternehmen dafür zu sorgen, äh dass dass diese Software, die sie verwenden, dass sie da halt auch Beiträge leisten und ich sage das nur deshalb, weil es nämlich bei einigen ja funktioniert. 01:06:36.831 --> 01:06:47.136 Ja? Es ist es äh funktioniert ja zum Beispiel beim Linux-Körnel so, dass eben die großen Unternehmen, Google, Facebook auch da signifikant 01:06:47.052 --> 01:06:56.155 leisten ja und dass die da auch quasi sich der Linux-Körnel die Community hm 01:06:56.108 --> 01:07:08.468 anpassen und unterordnen und mit denen gemeinsam entwickeln, ne? Und äh das ist natürlich auch eine Frage. Äh ich habe ja jetzt auch gar keine Antwort drauf. 01:07:08.408 --> 01:07:13.396 Ne? Das das Problem ist, das kann halt in in vielen Software Bibliotheken der Fall sein. 01:07:13.726 --> 01:07:19.693 Das war jetzt hier so ein so ein kleine Ort, von dem eben vorher auch keine Sau wusste oder dass auch niemand im 01:07:19.621 --> 01:07:26.117 meine Thesis, das hatte jetzt niemand im Verdacht, dass ausgerechnet da die neue Remotecode Execution drin ist. Wenn es dir anschaust, 01:07:26.135 --> 01:07:35.671 ist es sonnenklar und denkst dir so, boah alter Vater, so ne, total klar, alles lockt, du hast jetzt auf einmal in allen Services, in allen Applikationen diese Angriffsfläche, Wahnsinn! 01:07:35.648 --> 01:07:43.195 Ne? Absolut Schlimmste, was passieren kann. Totaler Irrsinn, ist auch wirklich ist auch schlimmer als und alles, was du gesehen hast, ist auf jeden Fall das, ne? 01:07:46.458 --> 01:07:56.390 Na ja gut, ich meine man könnte ja jetzt auch andersrum argumentieren und sagen, gerade weil das keiner im Verdacht hat, ist es eigentlich genau das Erste, was man untersuchen müsste, ne. 01:07:56.529 --> 01:08:04.376 Also zur Finanzierung eines solchen Techfahrens. Ich meine, man könnte schon sagen so ein Tech fand, 01:08:04.665 --> 01:08:16.202 Könnte sich auch um solche Sachen kümmern. In dem Fall meine hier liegt natürlich die Verantwortung in gewisser Hinsicht bei dieser Apache Foundation. Ne, muss man einfach mal so sagen, weil das Projekt ist halt jetzt eins von ihnen, die bieten das an. 01:08:16.978 --> 01:08:24.116 Sagen, na ja, ist aber seid ihr ja selber Schuld, aber das kann ja jetzt auch nicht ihr Anspruch sein. Kann ja nicht sein. 01:08:24.411 --> 01:08:35.858 Äh über einen längeren Zeitraum, ich kann Ihnen jetzt leider nicht benennen, aber das ist wie gesagt kein Feature, was erst seit zwei Jahren gibt, sondern was schon sehr, sehr, sehr lange da so äh drin schlummert. 01:08:35.666 --> 01:08:44.998 Dass sie über so einen langen Zeitraum noch nicht mal auf die Idee gekommen sind zu sagen, wir setzen jetzt mal hier ein Pro auf dieses Teil an und zwar nicht nur auf das. 01:08:45.287 --> 01:08:54.769 Sondern auf jedes, was wir haben. Also alles muss irgendwie mal angeschaut werden. Eigentlich sogar regelmäßig und, 01:08:54.907 --> 01:09:01.084 Das hat ja offensichtlich entweder nicht stattgefunden oder wenn's stattgefunden hat von Leuten, die irgendwie offensichtlich, 01:09:01.162 --> 01:09:09.335 nichts wo die notwendigen Grad an Kompetenz an den Tag gelegt haben, zumindest zu dem Zeitpunkt, wo sie's durchgeführt haben. Also hm, 01:09:09.551 --> 01:09:14.262 geht ja jetzt auch nicht dadrum hier das große Problem Game zu machen. Man muss sich natürlich aber schon fragen 01:09:14.136 --> 01:09:22.434 Strukturen in Zukunft aussehen können, um so was zu minimieren, ne? Und da muss man sicherlich nicht nur an einer einzigen Stelle ansetzen 01:09:22.272 --> 01:09:31.922 Finanzierungsfrage, Organisationsfrage, das ist so das eine. Die Motivationsfrage, eine Verpflichtung auch vielleicht für für solche Sicherheitsüberprüfungen 01:09:31.899 --> 01:09:36.297 Andererseits müssen sich natürlich auch Unternehmen jetzt äh mal die Frage stellen, 01:09:36.333 --> 01:09:44.488 Was ist denn mit diesen 999 anderen Open Force Bibliotheken, die noch in irgendwie unserem Javacode äh drinstecken? 01:09:44.386 --> 01:09:48.561 Wie sicher sind wir uns denn da ja und es gibt 01:09:48.376 --> 01:10:01.337 wahrscheinlich bisher noch keine Webseite, wo all diese Pakete gelistet sind nach in wie vielen Programmen steckt das drin und äh wann war der letzte äh offiziell dokumentierte Security Audit bei diesem Tool. 01:10:01.416 --> 01:10:13.469 Das wäre schon mal ganz interessant, wenn man so was hätte, sondern könnte man halt schnell sagen, so, na ja gut hier müssen wir mal gucken. Und natürlich dann eben auch vielleicht im Kontext von dem, was wir schon besprochen haben, dass man eben auch einfach generell sagt. 01:10:13.764 --> 01:10:28.606 Teilfunktionalität, die optional sein kann, sollte auch optional sein und sollte vielleicht optional auch erstmal ausgeschaltet sein, ne, um dann eben, wenn irgendeine Sicherung durchbrennt, dass es eben nicht gleich überall knallt, sondern eben nur an bestimmten Stellen. 01:10:29.123 --> 01:10:35.420 Also genau, diese äh Schlüssel, den schließe ich mich an und jetzt muss man natürlich auch nochmal sagen, die, 01:10:35.679 --> 01:10:45.077 ja klagen über Undank und Stress ja und auch zu Recht ja die die haben natürlich jetzt ich meine die schlafen grade nicht gut 01:10:45.023 --> 01:10:55.010 Ne, ich meine, das ist jetzt, die haben da irgendwie über Jahre irgendwie ihre komischen Logger da so ein bisschen vor sich hingepflegt. Das war jetzt sicherlich auch nicht deren Herz wird das jeden Tag gesagt haben, wir wollen jetzt hier mal neue noch, 01:10:55.052 --> 01:10:58.303 lockerere Looks machen, ja, sondern, 01:10:58.400 --> 01:11:08.380 die wachen halt auf einmal auf und kriegen irgendwie sind verantwortlich für wahrscheinlich eine der schwersten Sicherheitslücken, die so in die Geschichte eingehen wird, ja. 01:11:08.651 --> 01:11:18.289 Die auf jeden Fall die meiste Angriffsfläche nach außen hat und ähm das ist natürlich das ist jetzt kein Zustand dieser dieser 01:11:18.248 --> 01:11:23.541 ist schon auch der richtige äh der richtige Punkt, dass da nämlich die ganzen 01:11:23.481 --> 01:11:33.150 großen Unternehmen haben ihre Sandburgen äh auf Basis dieses dieser Software gebaut und da nichts für bezahlt, ja? Und jetzt die Programmierer sollten 01:11:33.042 --> 01:11:42.151 Andreas Bogt twitterte das glaube ich, ne? Äh die jetzt da gerade die Überstundenschichten äh um irgendwie die Software rauszuhauen und so weiter hat er auch gesagt. Keiner von denen, 01:11:42.314 --> 01:11:46.430 sollte jemals wieder für seine Getränke bezahlen müssen, zumal die ja, 01:11:46.538 --> 01:11:53.557 Im Zweifelsfall alle dieses Feature gar nicht eingebaut haben. Also einer der Developer, ich suche den Tweet nochmal raus, twitterte auch so, ey 01:11:53.550 --> 01:12:02.822 gerade ein Bashing für irgendein Feature, was wir von Anfang an nicht haben wollten, was wir aber nicht selber geschrieben haben und dürfen das jetzt da äh rausschneiden, ne? Das ist. 01:12:04.019 --> 01:12:09.504 Fehler passieren und man muss sich halt überlegen, wie man den Sachen sich strukturell nähern soll, 01:12:09.625 --> 01:12:18.752 ich verbinde das gerne mit der politischen äh Forderung für mehr irgendwie insgesamt und ich, wie gesagt, das ist hat nichts mit. 01:12:19.233 --> 01:12:25.260 Mit irgendwie Hippietum zu tun, sondern mh damit, dass die großen Unternehmen machen das aus guten Gründen auch, 01:12:25.579 --> 01:12:34.141 ähm ja, wenn niemand dieses Lock vor J sich jemals angeschaut hat und es offenbar viele, viele, viele quasi alle benutzen. 01:12:35.380 --> 01:12:41.070 Dann ist hier eben offenbar irgendwas schiefgelaufen, dass da nie jemand mal hingeschaut hat. 01:12:45.890 --> 01:12:57.126 Habe ich gerade gesagt, bei gab es eine Schwachstelle, die so offensichtlich ist, dass ich sie auch gefunden hätte. Kommen wir mal zu einer, die so dermaßen krass ist, dass sie garantiert nicht gefunden hätte. 01:12:57.536 --> 01:13:06.344 Und zwar äh zum NSO Explod, den sie zur Installation von. 01:13:06.771 --> 01:13:13.002 Ihrem Staatstrojaner Pegasus benutzt haben. Kurz zur Vorgeschichte. 01:13:13.357 --> 01:13:20.400 Also jetzt geht's um die Technik, die NSO selber für ihre eigene Software verwendet, um sich woanders zu installieren. 01:13:20.532 --> 01:13:28.283 Kurz zur Vorgeschichte, was wir gerade sagen. Wir wissen äh aus schon seit längerer Zeit aus ähm Erzählungen. 01:13:28.807 --> 01:13:40.704 Oder auch aus Berichten von eben Leuten, die für NSO gearbeitet haben oder dass sie letztendlich eine Infrastruktur haben, wo du eine Telefonnummer angibst ähm und dann ist, 01:13:40.969 --> 01:13:47.615 Handy gehackt, ja? Also wirklich einfach mit hm einer äh SMS. 01:13:47.464 --> 01:13:49.651 Bei Anrufinfekt. 01:13:49.406 --> 01:13:52.361 Anruf, sondern mit einer Nachricht. Ist wichtig. 01:13:52.061 --> 01:13:53.437 Mhm, okay. 01:13:53.156 --> 01:14:02.307 Das sind nämlich ein Klick ähm haben, also einen One-Click Explode. So und das war immer ziemlich ähm. 01:14:03.167 --> 01:14:17.942 Ja übel, weil du natürlich jetzt kommt auch wieder die Frage, jetzt denkst du halt, wo ist die Angriffsfläche, ne? Dann denkst du, okay, ist das jetzt ein Baseband, ähm eine Basebandschwachstelle, ne, also das Baseband das Subsystem in dem Mobiltelefon, das, sage ich mal, den ganzen, 01:14:18.297 --> 01:14:28.284 Die ganzen Mobilfunkprotokolle spricht, ja? Kannst du irgendwie eine eine schief formatierte SMS Nachricht hinsenden und dann kannst du das Spacement übernehmen, 01:14:28.309 --> 01:14:35.873 oder äh gibt's irgendwelche weiteren Probleme in der Verarbeitung der Nachricht auf Apple-Betriebssystem, wo ist 01:14:35.850 --> 01:14:39.809 dann am Ende die Angriffsfläche, ja und, 01:14:39.816 --> 01:14:54.189 Vor allem, weil es so unheimlich, dass es ja so ein Zero-Click ist. Also Zero-Click ist genau ne, also auch so eine Schwachstelle wie, du musst nichts anderes mehr tun. Es gibt keine weitere Interaktion von der Nutzerin oder so, sondern, 01:14:54.213 --> 01:15:02.596 zack, dieses System verarbeitet, die Nachricht, die du schickst und ist instant kompromittiert. Ja, das ist ja bei Lok for J, 01:15:02.789 --> 01:15:10.107 eben auch so, ne? Du hast instant die Kontrolle darüber, weil du eben bestimmst, wo der sein Code äh sich herholt. Ähm. 01:15:11.219 --> 01:15:19.331 Und in den bisherigen ähm hm Berichten über diese Schwachstelle. 01:15:21.560 --> 01:15:27.017 War das immer so ein bisschen war klar, das ist irgendwie in dem PDF Pasa und wir, 01:15:27.125 --> 01:15:35.087 wir haben den jetzt auch gefaket. Das war irgendwie ein relativ kleiner Overflow, ähm aber da wurde nicht so viel drüber erzählt. Ja, also es wurde, 01:15:35.226 --> 01:15:46.829 war so ein bisschen unklar. Insbesondere im Amnesty Bericht sagen sie auch sehr, wir haben nicht mehr wirklich gefunden, wie der Explode funktioniert. Wir wissen nur, da irgendwo kommt daher, ne? Und es war so ein bisschen, 01:15:47.111 --> 01:15:55.890 schwierig die konnten also sagen da ist die Schwachstelle aber die konnten nicht sagen wie das Ding wirklich abgegangen ist ja also wie der Explode wirklich funktioniert hat. 01:15:56.558 --> 01:15:57.933 Und. 01:15:59.148 --> 01:16:12.079 Das also auf eine Weise war es mir dann auch so ein bisschen egal, weil ich mir denke, okay, Hauptsache, die haben die Dinge gefunden und Hauptsache gibt diese Fixes jetzt, ja und die wurden ja dann auch ausgerollt von Apple und dann haben äh aber, 01:16:12.391 --> 01:16:16.417 die hm und die Leute vom Citizen Lab, 01:16:16.742 --> 01:16:24.439 Das jetzt mal dem Google Projekt Zero gegeben, ja? Und zwar ein Bier und Samil Gross. So, die. 01:16:24.980 --> 01:16:39.293 Samuel groß. Ich weiß nicht, ob ihr also schon mit den ausspricht so. Ähm den wurde äh das Ding mal vorgelegt und das sind so, sage ich mal, Leute, die können das mit dem Reverse Engineering aufn aufn Weltklasselevel, ja. 01:16:39.744 --> 01:16:47.153 Und die haben sich das angeschaut äh zusammen mit Apple Security Engineering, Architecture Group. 01:16:47.640 --> 01:17:01.197 Also du hast jetzt, ne? Citizen Lab, die Staatstrainer Expertin, du hast Apple, das Security Engineering and Architecture Team und Google Projekt Zero, Google Projekt Zero, dort eben diese Security Forscher, die sich ja Google eigentlich hält, 01:17:01.431 --> 01:17:06.250 um um Zero Days zu finden, bevor andere die finden und die einfach zu fixen. 01:17:07.669 --> 01:17:22.643 Und die haben sich jetzt mal zusammen angeschaut oder oder zumindest Projekt Zero berichtet jetzt darüber, die haben sich quasi äh diesen ähm Explod mal angeschaut, wie der funktioniert. 01:17:23.545 --> 01:17:33.117 Und genau, gefixt wurde der am dreizehnten September äh einundzwanzig in iOS vierzehn Punkt acht. Ja, das hatten wir schon erklärt. Es geht um den Explode Forst Entry. 01:17:34.163 --> 01:17:39.011 So ähm jetzt haben Sie. 01:17:40.592 --> 01:17:53.001 Und ich muss es, also weil ich selber nur in in so im im vom groben Konzept her verstehe ähm sie haben's also jetzt geschafft, sich das mal zu verengieren und zu gucken, was da genau passiert. 01:17:53.735 --> 01:17:59.395 Letztendlich geht es hier also darum, man schickt eine Nachricht und ich sage ja, irgendwo muss die Angriffsfläche kommen. 01:18:00.572 --> 01:18:05.927 Und die ist hier in diesem äh in der Image IO Library. 01:18:06.233 --> 01:18:18.798 Ja, also das ist eine ja, eine Grafikverarbeitungs Library, die eben mit unterschiedlichen ähm Dateiformaten umgehen kann. Unter anderem GIF, 01:18:19.207 --> 01:18:21.388 und äh PDF. 01:18:21.833 --> 01:18:32.751 Und so weiter, ja? Und was man hier offenbar äh bekommt, ist ein PDF-Datei, in der ein Gift drin ist und dieses dieses GIF, 01:18:32.931 --> 01:18:42.708 fällt irgendwie da verwenden sie dann die JB ähm Kompressions äh Technik so und. 01:18:43.153 --> 01:18:57.784 Jetzt wird es richtig witzig. Es gab mal beim Kongress, ich glaube beim boah ich weiß gar nicht mehr, beim einunddreißig C drei oder sowas. Ein Vortrag von David Griesel, traue keinem Scan, den du nicht selbst gefälscht hast. 01:18:58.657 --> 01:19:00.991 Eine der. 01:18:59.666 --> 01:19:02.862 Erinnerst du dich noch? Einer der meistgesehenen Kongress. 01:19:02.612 --> 01:19:12.910 Einer der unterhaltsamsten und meist gesehenen Vorträge. Das war wirklich äh fantastisch, wo er einfach sich mal angeschaut hat, was so ähm Scanner so machen. 01:19:12.628 --> 01:19:22.512 Die verlinken ihn übrigens auch hier, was so ungefähr die größte Krone ist, die du aufgesetzt bekommen kannst, in dem Blogpost äh verlinkt zu werden, ja. Ähm. 01:19:23.378 --> 01:19:27.902 So. Folgendes, du hast einen Scanner. 01:19:28.461 --> 01:19:40.846 Und Kopierer, ja, Scanner. So der der scannt jetzt, du scannt mit dem ein Dokument und du möchtest das möglichst äh komprimieren, nicht kompromittieren, das kommt später. So, jetzt haben Sie eine einen Kompressionsalgorithmus dafür gebaut, der, 01:19:41.147 --> 01:19:47.396 ähnliche Pixelregionen erkennt und ähm was. 01:19:48.406 --> 01:19:51.740 Ähnlich genug ist, wird einfach ersetzt. 01:19:52.678 --> 01:20:04.491 In diesem Beispiel war das so, dass es also es hatte David auch in seinem Vortrag drin. Das ist ja Zweifel gab, dass Barack Obamas veröffentlichtes Geburtszertifikat. 01:20:05.243 --> 01:20:12.039 Echt ist, weil Leuten aufgefallen ist, dass bestimmte Zeichen darin, 01:20:12.406 --> 01:20:26.292 An anderer Stelle genau exakt pixelgenau gleich sind. Und dann haben sie gesagt, na ja okay, das ist ein Photoshop fake, weil hier hat ja offensichtlich jemand, ne, das E aus dem einen Teil an die andere Stelle kopiert, damit er am Ende, 01:20:26.340 --> 01:20:28.101 American steht oder was auch immer. 01:20:29.195 --> 01:20:37.042 Und David hatte dann in seinem äh Vortrag ging's im Prinzip um zwei Dinge. Einmal dass er damit quasi diese. 01:20:37.860 --> 01:20:48.904 Idee entkräften kann, weil das Ding im Zweifelsfall einfach nur auf einen normalen Scanner gescannt wurde, der eben diese JB äh ähm Ersetzung macht auf Charakters. 01:20:50.047 --> 01:20:57.203 Und er hatte einen anderen Fall, nämlich wo er und das war, glaube ich, der Ursprung für den Vortrag, wo massenhaft Dokumente gescannt wurden. 01:20:57.696 --> 01:21:03.897 Und kleinere Fehler waren zum Beispiel das ähnliche Buchstaben teilweise anders ersetzt wurden, 01:21:04.150 --> 01:21:14.629 Ja, also ähm wo dann in irgendwelchen Architekturskizzen auf einmal statt eine acht eine drei stand, äh weil eben dieser Kompressionsalgorithmus ein bisschen durchgedreht ist. 01:21:16.510 --> 01:21:20.987 Also es war ja wirklich Zahlen sind durch andere Zahlen ersetzt worden. So komplett. 01:21:20.843 --> 01:21:35.012 Genau, weil die aber weil eben dieser Kompressionsalgorithmus gesagt hat, okay, die sind sich hier ähnlich genug. Ich ersetze jetzt. Ich ich habe ja schon eine Drei. Die mache ich da jetzt wieder hin und dann überschreibt der halt bei bei jedem jedem tausendsten Mal halt eine Acht. 01:21:35.740 --> 01:21:40.384 Dann siehst du's auch nicht mehr, dass es ersetzt worden ist, weil's quasi durch eine perfekte Acht ersetzt worden ist. 01:21:40.096 --> 01:21:48.010 Genau und dieser Kompressionsalgorithmus der regelt das und der sagt dann nämlich, der funktioniert eben so, dass du sagst, pass mal auf. Wir haben hier eine Acht, 01:21:48.347 --> 01:22:01.632 so geht eine Acht und die haben wir an diesen zwanzig Stellen auf dieser Din A4 Seite, ne? Jetzt hast du dir schon mal die Pixel für zwanzigachten gespart. So funktioniert dieser äh Kompressionsalgorithmus. 01:22:02.288 --> 01:22:14.942 Außerdem kann der noch äh Refinement incording haben, dass du quasi sagst, okay, wir haben hier einen äh Charakter und ich sage jetzt schon mal, das ist der und du machst aber noch die drei Pixel dazu. Ja? Dadurch, 01:22:15.255 --> 01:22:19.791 kann er und um das zu machen quasi nutzt der, 01:22:20.182 --> 01:22:29.580 den äh X-Ohr-Operator. So und jetzt wenn du das entpackst. 01:22:30.500 --> 01:22:38.972 Da kommt der Moment, wo ich sage, dass jetzt wirklich relativ schwierig wenn du diesen nur diesen Dekodingalgorithmus nutzt. 01:22:39.850 --> 01:22:49.753 Dann kannst du dir daraus, wenn du jetzt unterschiedliche ähm Character vorher definierst. 01:22:51.208 --> 01:22:52.006 Also quasi, 01:22:52.163 --> 01:23:06.975 Dieser also du willst etwas dekoden und das ist jetzt kein Bild mehr, sondern du baust quasi du du du gehst jetzt eigentlich nur noch damit davon aus, dass du du weißt jetzt, dass es jetzt dein Explod, ja? Du definierst jetzt unterschiedliche Dinge mit diesem Stream, der dann dekodiert wird. 01:23:07.456 --> 01:23:09.703 Schaffst es dir dadurch am Ende. 01:23:10.208 --> 01:23:24.112 Einen virtuellen Computer zu bauen, weil du kannst nämlich einen Landgatter bauen in diesem Dekompressionsalgorithmus. Und wenn du ein Land hast, kannst du alles bauen oder alle wichtigen für einen Computer. Das heißt, die. 01:23:24.546 --> 01:23:30.194 Du hast ein Touring Complites ähm Kompressionsform. 01:23:31.234 --> 01:23:40.084 Was bei der Dekompression es dir ermöglicht eine virtuelle Maschine zu bauen, der du dann Befehle geben kannst. 01:23:42.002 --> 01:23:54.542 Und äh jetzt kommt der Punkt, jetzt kommen sie, wie kommen sie dahin? Die Herausforderung war, es gab, du brauchst ja immer noch eine Schwachstelle. Es gab quasi in diesem Image IO einen kleinen viel zu kleinen, 01:23:54.820 --> 01:24:01.363 Bufferoverflow, der jetzt nicht ausreichte, um wirklich ihn ordentlich zu exploten. 01:24:02.007 --> 01:24:06.723 Aber dadurch, dass sie diese Funktionalität, diesen JB2-Decoder hatten, 01:24:06.910 --> 01:24:17.305 konnten sie quasi mit dem bisschen, was sie hatten ähm diese virtuelle Maschine in Gang bringen, die dann irgendwelchen anderen Mist verarbeitet und dann am Ende der Explod ist. 01:24:17.263 --> 01:24:26.402 Das heißt also es ist absoluter Irrsinn. So also wirklich da kommst du nicht drauf, dass das überhaupt gehen würde, ja? Ähm und sie sie schreiben auch, 01:24:26.571 --> 01:24:39.220 dass das der krasseste Explode ist, den sie je gesehen haben ja und das sind Leute, die sich halt also die überhaupt, das sind die Leute, die in der Lage sind, so was zu analysieren, ja und auch nachher zu erklären. Ich wäre also absoluter, 01:24:39.485 --> 01:24:48.018 absoluter Irrsinn, dass du auf äh auf auf so einen Explod kommst. Ja und sagen auch, das ist das wahrscheinlich das Krasseste, was Sie je gesehen haben. 01:24:48.379 --> 01:24:56.442 Okay ich ich versuche das mal mit meinen Worten nochmal nachzuvollziehen und du kannst kannst mir mal äh korrigieren ob ob ich das jetzt richtig, 01:24:56.449 --> 01:25:00.739 habe, soweit du es verstanden hast, ähm so. Also zunächst einmal, 01:25:00.950 --> 01:25:10.708 Die Attacke findet statt, indem einem eine Nachricht zugeschickt wird. Das heißt, die haben eigentlich nur meine Telefonnummer und wissen oder vermuten, dass ich ein iPhone habe. 01:25:11.195 --> 01:25:15.767 Schicken mir jetzt eine Nachricht, also eine SMS. 01:25:16.723 --> 01:25:21.927 Die ein Link ist auf ein Bild auf ein PDF. 01:25:22.642 --> 01:25:29.924 In diesem Beispiel ist es ein Link auf ein Bild, aber mein Verständnis ist eigentlich, dass das Bild auch in die ähm Nachricht einbauen könntest. 01:25:29.739 --> 01:25:31.950 Okay also so was wie eine MMS oder so. 01:25:31.680 --> 01:25:44.707 Und dann würdest, dann würdest du nämlich die Apple-Infrastruktur nutzen, zum Zustellen der äh i-Message und dann macht auch wieder äh die Klage von Apple da sind. 01:25:45.512 --> 01:25:47.940 So würde ich das jetzt weiter interpretieren. 01:25:48.451 --> 01:25:58.834 Okay, die wissen, ich habe ein iPhone, klar, dann können sie mir auch direkt über i Messageprotokoll äh etwas schicken. Es kommt wie von einem anderen iPhone und da ist dann halt ein Bild drin, so. 01:25:59.177 --> 01:26:07.223 Natürlich möchte mein Telefon dann dieses Bild anzeigen und in dem Moment wird diese Bibliothek aktiv in diesem Dokument, was dann, 01:26:07.241 --> 01:26:15.858 ein PDF ist, ein PDF ist ja quasi so eine Art äh Container für alle möglichen Dinge, ne. Da können, 01:26:15.930 --> 01:26:23.483 kann Text drin sein, aber eben auch andere Bilder und die können dann in einem beliebigen Format sein, unter anderem halt auch im, 01:26:23.526 --> 01:26:37.100 ist unglaublich. Gif, ausgerechnet GIF auch noch, wenn also wirklich das Proloformat schlechthin überhaupt das einfachste, simpelste äh in zehn Sekunden erklärbare äh Dateiformat. Ja? 01:26:37.035 --> 01:26:45.885 Sie ja dann machen ist also ein Bild ist ja dann so quasi so eine ähm sagen wir mal so. 01:26:46.409 --> 01:26:55.085 Wenn ich äh dieser Algorithmus bin, dieser Bild auspack äh Algorithmus ja und und du gibst mir ein Buch zum Lesen und da ist dann so ein ähm, 01:26:55.320 --> 01:27:03.396 Fischers Fritze äh frischt frische Fische. So und jetzt habe ich's schon äh falsch gemacht, ne. Also so ein so ein Zungenbrecher drin 01:27:03.276 --> 01:27:15.083 und im Prinzip genauso ist dieses Bild für diese Software so ein so ein Zungenbrecher, weil dann einfach das Ding versucht, dieses Bild zu lesen, so nach dem Motto ja Gif und so weiter kenne ich, weiß ich ganz genau, wie das ist. 01:27:15.011 --> 01:27:22.799 Aber die Software nutzt dann einen Fehler aus und äh schafft es einerseits. 01:27:23.238 --> 01:27:35.220 Und den den Fehler muss ich vielleicht noch ganz kurz noch mal ganz kurz erklären. Da kann ich und zwar einen einfachen Bufferoverflow. Ein Bufferoverflow heißt, irgendwo reserviert die Software ein Stück Speicher. 01:27:36.795 --> 01:27:39.859 Weil sie jetzt etwas entgegennimmt, was sie da reinschreibt. 01:27:39.937 --> 01:27:41.127 Was auspacken will. 01:27:40.827 --> 01:27:53.950 Und jetzt jetzt kommt aber das, was sie kriegt, es ist größer. Das heißt, du schreibst jetzt, du sagst, ich möchte hier in den Speicher schreiben. Ich merke mir davor, ich brauche einen MB Speicher und jetzt kommen aber zwei, 01:27:54.335 --> 01:28:07.435 Was dann passiert ist tatsächlich, dass das Ding halt über die Speichergrenze hinaus schreibt. Das ist im also es ist im einfachsten Fall ein Bufferoverflow mal einfach erklärt. Die Frage ist, wie viel, 01:28:07.778 --> 01:28:15.582 kannst du da noch rüber schreiben ähm in diesen also über deinen dir zugeteilten Speicherbereich. 01:28:16.028 --> 01:28:27.240 Wie viel Platz hast du da, ne? Um dann noch etwas auch gezielt ausführen zu können. Da du hier aber in dem Bereich bist, der dir quasi ähm. 01:28:28.022 --> 01:28:33.159 Ein Bild entpackt, kommst du nicht unbedingt an dem Punkt jetzt auch einfach ein Kommando da hinzuschicken. 01:28:34.770 --> 01:28:41.650 Da nutzen Sie die weiteren Eigenschaften dieser JB zwei Funktionen, dass Sie damit weitermachen und sich dann eine VM bauen. 01:28:41.530 --> 01:28:49.504 In kleinen Schritten gehen. Ich find's ja immer bemerkenswert, dass diese Speicherbereiche, die da angefordert werden, um Bilder auszupacken 01:28:49.354 --> 01:28:53.987 da landen dann die Daten drin, dass die dann auch immer so ohne Weiteres ausführbar sind. 01:28:53.903 --> 01:29:05.692 Wobei ich das jetzt hier so verstehe, als ob das dann gar nicht mal erforderlich ist, also selbst wenn jetzt das Betriebssystem quasi verhindert, dass da unmittelbar direkt ausführender Code 01:29:05.687 --> 01:29:17.110 der so geschrieben ist, wie das für diesen Prozessor gedacht ist, gelandet, ja. Also das ist so ein bisschen mein Verständnis, dass so was nicht sofort ausführbar wäre, aber was Sie jetzt hier wahrscheinlich gemacht haben, ist, dass Sie dort gar nicht 01:29:16.990 --> 01:29:26.856 Code für den Prozessor äh äh reingeschrieben haben, sondern eigentlich mehr Code für diese Bibliothek, dass wenn die dann dadrauf arbeitet quasi, 01:29:27.241 --> 01:29:36.850 wie auf einem Bild sie letzten Endes missbraucht wird wie ein Computer, also dass man so quasi diese Bibliothek fernsteuert dadrüber mit 01:29:36.843 --> 01:29:44.679 Logik und da drin wiederum richtigen virtuellen Code schreiben kann. Also das ist wirklich echt mein blowing. 01:29:46.091 --> 01:29:53.374 Also total krass und der der führt ja dann trotzdem auch noch und da da wird's dann auch wirklich einfach nur noch crazy. 01:29:54.577 --> 01:30:06.840 Der führt ja also dieser Code, den du dir in deiner eigenen laufen lässt, der der übernimmt ja dann trotzdem äh noch Zugriffe auf das äh IOS Betriebssystem dadrunter, ne? Die lesen ja dann Nachrichten aus und so weiter. 01:30:07.298 --> 01:30:08.751 Also das ist äh. 01:30:09.395 --> 01:30:19.471 Wie gesagt, es ist, man kann es, glaube ich, nur auf diesem auf dieser Ebene beschreiben, dass sie halt durch diesen äh also dass sie sich halt Gatter bauen konnten, durch dadurch wie dieser, 01:30:19.664 --> 01:30:28.828 Dekompressionsalgorithmus funktioniert und dadurch, was sie dem dann gefüttert haben, hatten sie irgendwann eine VM und die hat dann einfach irgendwelche Sachen ausgeführt. Völlig crav. 01:30:28.558 --> 01:30:32.668 Was könnte man Gutes in der Welt tun, wenn solch klugen Leute, 01:30:32.999 --> 01:30:46.128 Nicht unbedingt in kriminelle Strukturen eingebunden werden, sondern vielleicht bei arbeiten würden. Also es ist ähm offensichtlich kann man dort wirklich so dermaßen viel Kohle verdienen. 01:30:46.344 --> 01:30:52.299 Dass ich das äh lohnt so sein Leben für so was herzugeben. 01:30:53.201 --> 01:31:06.054 Also der entscheidende Satz hier praktisch heißt das, es ist möglich. Und X nur logische Operatoren, also logische Memory, also Speicherregionen zu machen in freiwählbaren Offsets. 01:31:06.866 --> 01:31:14.539 Und zwar aus dem aktuellen Backing Buffer von dem JB Bitmap. Und weil dieser Speicher anbauend ist. 01:31:15.110 --> 01:31:20.343 Kannst du diese logischen Operationen ähm in Abituriens, 01:31:20.650 --> 01:31:33.546 machen und in dem Moment, wo du halt end-Or, X-Ohr und X-Norr auf Abiture Speicherinhalte ausführen kannst, kannst du halt alles machen. Dann musst du dir nur noch was dafür bauen, was dann am Ende das macht, was du willst. 01:31:34.339 --> 01:31:36.682 Völlig crazy. Also. 01:31:36.971 --> 01:31:45.732 Ist schon echt cool. Also die haben wirklich äh zutiefst verstanden, wie ein Computer funktioniert, aber sie haben ihn wirklich auf der niedrigstmöglichen Ebene auch gebaut. 01:31:45.696 --> 01:31:55.244 Also das ist wirklich so die Kernlogik mit mit der man anfängt so die womit die aller aller aller allerersten Computer überhaupt gebaut wurden und ähm 01:31:55.142 --> 01:32:00.201 auf dem Prinzip eigentlich auch alle normalen nicht Quantencomputer basieren 01:32:00.082 --> 01:32:07.479 Und das ist ja auf jeden Fall verdient Anerkennung. Also jetzt so Anerkennung im Sinne von. 01:32:08.879 --> 01:32:13.391 Habe da geil hinbekommen, auch wenn eure Ziele uns nicht passen. 01:32:15.147 --> 01:32:23.397 Ja, das also ist auf jeden Fall ein krasser Shit und macht einem natürlich auch Sorge, weil wenn man das jetzt mal vergleicht mit, ne, dem Level. 01:32:27.129 --> 01:32:41.622 Ähm gleichzeitig, ja, also muss ich jetzt auch wieder dazu sagen, Kopf fängt wieder Diskussion an. Wenn also kein Angreifer macht sich mehr Mühe, als er muss und äh wer die sich so viel Mühe gegeben haben, 01:32:42.548 --> 01:32:49.386 Dann ist das schon ein relativ gutes ähm Zeichen für das iPhone. Hm. 01:32:51.868 --> 01:33:02.029 Und ich habe jetzt während du äh gesprochen hast, nochmal hier so ein bisschen in den Blockpost vom Citizon Lab vom von vor ein paar Monaten geschaut. Ähm, 01:33:02.330 --> 01:33:11.007 Da ist mir jetzt ein also äh mir ist noch nicht ganz klar, wie die bei den tatsächlichen Einsätzen in the Wild auf wirklich es hingekriegt haben. 01:33:10.941 --> 01:33:14.246 Dass das PDF ohne einen weiteren Klick 01:33:14.161 --> 01:33:24.227 dann gepast wurde. Ich weiß nicht, ob das dieses Preloading ausgenutzt hat oder ob sie eben an anderen Stellen, weil die haben wir zur SMS. Also da bin ich gerade noch ein bisschen unsicher, aber letztendlich, 01:33:24.558 --> 01:33:36.395 So, du öffnest dieses PDF und dein iPhone ist geoend. Fertig. Durch. Und das ist schon ja, also ist krasser Shit. Der äh Jürgen Schmidt hat äh in Heise kommentiert leider geil, 01:33:36.696 --> 01:33:44.730 Seid Arschlöcher, aber das habt ihr halt gut hingekriegt. Und das ist halt echt ähm. 01:33:47.283 --> 01:33:48.918 Ist einfach nur krass. 01:33:48.618 --> 01:34:01.086 Also es ist so ein bisschen um den mal den Vergleich auch zu diesem Lockforjay äh Desaster zu machen, so. Das ist so, äh dem zeigst du irgendwie einen Zettel, der steht drauf, mach hinten die Tür auf. Und dann mach da hinten die Tür auf. 01:34:01.062 --> 01:34:10.827 Hier kommt kommt so der äh DHL-Bote und äh äh zeigt ja irgendwie so das Etikett und du denkst, du liest das, wirst aber in dem Moment hypnotis. 01:34:11.314 --> 01:34:23.086 Genau bis so hypnotisiert und äh äh kannst du in in Trance äh empfängst du Botschaften aus äh fremden Welten Welten und dann tust du irgendwie all diese Dinge. 01:34:25.189 --> 01:34:25.993 Na ja. 01:34:27.557 --> 01:34:28.866 Ja. 01:34:33.433 --> 01:34:46.377 Wir haben letzte Mal schon über die Telegram-Diskussion gesprochen. Die haben ja hier quasi schon aber vor vorerörtert in der sie bevor sie jetzt in der Öffentlichkeit äh geführt wird und jetzt kriegen wir natürlich noch eine weitere. 01:34:47.068 --> 01:34:52.169 Forderungen hinzu, die darf nie lange auf sich warten lassen, wenn irgendwas im Internet nicht gut ist. 01:34:52.951 --> 01:35:00.408 Pflichtdiskussion. Auch spannend, weil wir gerade erst in der letzten Sendung darüber gesprochen haben, dass die Kleinnamenpflicht von Facebook, 01:35:00.732 --> 01:35:08.767 gesetzwidrig ist oder unter Verdacht steht gesetzlich zu sein und vom BGH diskutiert wird. Und jetzt kommt die neue Bundestags, 01:35:09.043 --> 01:35:15.130 Bundestagspräsidentin oder Vizepräsident Präsidentin und sagt ja mit dem Internet. 01:35:15.996 --> 01:35:23.771 Wir brauchen jetzt mal wieder eine Kleinnampfpflicht. Hatten wir lange nicht mehr. Ich würde sagen, so die letzten sechs, acht Monate hatten wir keine kleineren Pflichtdiskussionen mehr. 01:35:25.850 --> 01:35:34.365 Aber jetzt haben wir ja neue neue Regierung als Parlament, neue Bestückung. Da kann man auch wieder die alten Diskussionen wieder äh aufflammen lassen. 01:35:34.516 --> 01:35:42.327 Bärbel Bass heißt die Dame und äh SPD Politikerin und ist halt jetzt die neue Präsidentin des Bundestages. 01:35:43.295 --> 01:35:47.531 So und was ist das Problem an einer Kleinnamenpflicht im Internet hätte? 01:35:47.873 --> 01:36:01.784 Na ja, Pflicht heißt halt doch, dass dass Leute, die einen äh berechtigtes Schutzinteresse ihrer Persönlichkeit haben, dann äh gezwungen werden, diesen äh Schutz ohne Not aufzugeben, ne. Es gibt genug Leute, die, 01:36:01.923 --> 01:36:07.866 urteilt werden, dafür was sie einfach sind und nicht ändern können, ja, 01:36:07.902 --> 01:36:21.398 Sexuelle Orientierung, Geschlecht, alles mögliche und äh haben oft ein berechtigtes Interesse, auch eine Kommunikation zu führen, ohne das sofort ersichtlich ist, welche Identität dahinter steht. 01:36:21.320 --> 01:36:26.241 Und ähm von daher ist das das Problem mit einer klaren Namenpflicht. 01:36:27.306 --> 01:36:39.653 Susan dazusagen, sie hat dann auch gesagt, sie die Diskussion steht noch am Anfang und bisher juristisch noch nicht irgendwie sauber umgesetzt oder sowas, ja, aber äh findet das schon grundsätzlich gut, ne? Ähm. 01:36:40.766 --> 01:36:52.549 Es geht hier am Ende darum, dass dass dass jede einzelne Nutzerin im Internet eben am Ende nicht mehr anonym ist und ähm alles, was du schreibst, tust oder sonst was, 01:36:52.760 --> 01:36:59.898 machst im Internet am Ende auf dich zurückführbar sein wird. Und das ist ähm, 01:37:00.289 --> 01:37:03.810 glaube ich eine eine äußerst schlechte Idee. 01:37:03.510 --> 01:37:06.604 Ein bisschen anders formulieren und sagen. 01:37:07.656 --> 01:37:16.200 Ende, ja? Bist du heutzutage sowieso schon fast immer irgendwie identifizierbar? Die Frage ist nur, wie lang ist dieser Weg dahin und wie viel äh Aufwand technischer 01:37:16.003 --> 01:37:32.912 Aufwand muss äh gefällt werden. So eine so eine totale absolute, knallharte, superanonymität bietet dir fast keinen Ort im Internet wirklich. Klarnamenpflicht heißt aber sofort, dass du quasi äh jegliche Anonymität vom Staat weg vergessen kannst. 01:37:32.870 --> 01:37:34.871 Das schon nochmal eine ganz andere Nummer. 01:37:37.167 --> 01:37:38.710 Also das ist. 01:37:39.312 --> 01:37:53.337 Ne also der gibt ja dann immer unterschiedliche Ideen, was weiß ich, irgendwie äh äh Personalausweispflicht äh sind dann so Seehoferstyle Vorschläge, andere sagen dann, okay na ja äh. 01:37:53.788 --> 01:37:57.242 Machen so Sachen wie okay, wir haben jetzt die wir haben anonyme Sims. 01:37:57.940 --> 01:38:07.722 Mehr oder weniger vor ein paar Jahren verboten, dann versuchen wir jetzt die Klarnamenpflicht durch eine erzwungene Telefonnummernregistrierung irgendwie hinzukriegen, ne. Also irgendwelche Ideen, 01:38:07.915 --> 01:38:17.307 damit immer und es ist jedes Mal eine nicht so gute Idee, ja? Und ich glaube, was man entscheidend da einfach mal sagen muss, ist, ähm. 01:38:18.124 --> 01:38:26.741 Diese Probleme, die wir da haben, was weiß ich, auf Telegram und was nicht alles. Die kommen ja nicht da, die kommen ja nicht aus der Anonymität. 01:38:27.054 --> 01:38:41.313 Ganz im Gegenteil. Äh wir haben ja hier diese äh Frontal 1zwanzig, die dann da einfach ganz normal in eine Telegram-Gruppe gehen und die äh die Arbeit der Polizei machen, indem sie die die halt verfolgen, ne und, 01:38:41.578 --> 01:38:44.937 Ich sehe mhm. 01:38:45.869 --> 01:38:57.406 Ich sehe nicht, dass dass das jetzt die Anonymität, die die treibende Kraft hinter dem Hass im Netz ist. Ganz im Gegenteil, also schau dir die Bildredakteure an, die hat hetzen jeden Tag unter ihrem eigenen Namen. 01:38:58.163 --> 01:39:09.117 In Facebook gibt's eine Klarnamenpflicht, ja, gegen die gerade geklagt wird, weil die nicht den äh den den Gesetz der Bundesrepublik Deutschland entspricht. 01:39:11.743 --> 01:39:22.818 Ich sehe irgendwie nicht, dass jetzt ausgerechnet die Anonymität die Keimzelle äh des Hasses ist, ja, der existiert auch äh so leider weiter. 01:39:22.620 --> 01:39:32.300 Das das ist ein totaler Mythos ist das. Also ich meine, das ist äh erinner dich, das ist jetzt eine Diskussion, die gibt es seit den Anfängen eigentlich des. 01:39:32.920 --> 01:39:41.410 Des Netzes in der öffentlichen Wahrnehmung. Ja, das also am Anfang war die Wahrnehmung des Netzes ähm. 01:39:42.090 --> 01:39:49.180 Durch die Internetausdrucker, also die, die sozusagen nicht damit aufgewachsen sind. 01:39:49.991 --> 01:39:56.390 Und dann eben auch der Politik so oh das böse Internet, wo die Leute anonym unterwegs sind. 01:39:57.190 --> 01:40:06.047 Das Anonyme war in dem Sinne so gar nicht so sichtbar, ja? Also das war immer eine Erfindung in gewisser Hinsicht. Es gab. 01:40:06.510 --> 01:40:10.909 Pseudonyme Kultur, mit der sie so noch nicht vertraut waren, 01:40:11.251 --> 01:40:23.353 Nur dass dieses Pseudonyme ja erstmal nur bedeutet, ich arbeite nicht unbedingt jetzt erstmal mit meinem bürgerlichen eingetragenen Namen, aber ich habe schon einen Namen, an dem ich in irgendeiner Form erkennbar und im Zweifelsfall sogar auch identifizierbar bin. 01:40:23.937 --> 01:40:37.504 Und das hat sich dann schnell in so einer öffentlichen äh Nichtsblicker-Diskussion aufgeschaukelt mit das böse Internet, wo alle anonym unterwegs sind und das ist ja irgendwie die die Gefährdung. Ne, so das die Angst vor dem Unbekannten. 01:40:37.487 --> 01:40:44.415 Das ist das halt das ist da eigentlich so rein codiert. Ohne dass das gestimmt hat so und, 01:40:44.583 --> 01:40:56.698 in gewisser Hinsicht zieht sich diese Debatte bis in diese Diskussion immer noch fort, weil wie du's ja auch schon gesagt hast so, ist nicht so, dass jetzt keiner wusste, wer dieser wer sich hinter dem Namen Attila Hildmann. 01:40:57.184 --> 01:41:08.908 Befindet, ja. Attila Hildmann hatte, war Fernsehkoch oder was weiß ich, was er nicht noch alles gemacht hat. Der Typ äh bei einem Fernsehkoch, ne, der war der hatte einen Laden und hat irgendwie, 01:41:09.107 --> 01:41:21.317 keine Ahnung. Ich habe nehme mir an diesen äh Kulturen nicht teil, aber auf jeden Fall der war sichtbar. Man kannte den, der läuft rum und rennt rum und wie gesagt, ich bin Attila Hildmann mit A und mit H und deswegen bin ich irgendwie der neue Hitler. 01:41:21.660 --> 01:41:28.173 Also ja aber ja also wirklich also darum redet du dann alles ja wie aber wer ist das? 01:41:29.478 --> 01:41:33.930 Ist wirklich schwierig jetzt rauszubekommen wer der ist oder wo der wohnt. 01:41:34.411 --> 01:41:41.369 Das ist nicht das Problem. All diese ganzen Leute, die dort auf Facebook rumhetzen und so weiter ist überhaupt gar kein Problem, die zu identifizieren, 01:41:41.580 --> 01:41:53.009 Es wird noch nichts gemacht. Ich meine, die Leute werden ja noch nicht mal, wenn sie irgendwie vor dem Polizisten stehen und gegen das Gesetz verbrechen, wenn die irgendwie aufgehalten. Das ist ja irgendwie das Absurde. Also es ist äh totale Illusion. 01:41:53.910 --> 01:42:01.710 Das entfaltet sich natürlich jetzt alles im Rahmen dieser Telegram äh Diskussion und ja das äh, 01:42:01.962 --> 01:42:06.036 spitzt sich jetzt zu, ja? Ich habe ja also als wir das letzte, 01:42:06.162 --> 01:42:20.434 Woche besprochen haben, war das noch so ein bisschen theoretisch, wo ich gesagt habe, na ja, die könnten DNS-Sperren machen, die könnten IP-Sperren machen. Die können versuchen Apple und Google irgendwie dazuzubringen. Diese App rauszudrücken und ähm jetzt, 01:42:20.831 --> 01:42:34.609 wird viel letzte Möglichkeit, Geoblocking, das ist ja nicht Geoblocking, das ist ja IP spenden, aber okay. Das äh erkläre ich habe ich einigen Journalistinnen auch schon erklärt, dass was der Unterschied zwischen Geoblocking oder Tischbären ist. Ähm. 01:42:35.042 --> 01:42:39.008 Da spitzt sich jetzt zu und ich bin mal gespannt, das kann echt bitter werden. 01:42:38.900 --> 01:42:50.347 Also ich wirklich, ich meine, üblicherweise blicke ich ja auf diese netzpolitische Geschehen mit so einer Erwartungshaltung, wo ich ungefähr weiß, wie das wahrscheinlich am Ende läuft. 01:42:50.311 --> 01:42:53.880 Ja? Aber ich bin echt mal gespannt, wie. 01:42:54.451 --> 01:43:03.399 Verschärft, sich jetzt ausgerechnet die neue Bundesregierung mit Telegram anlegen will. Ähm und zu welchen Maßnahmen die da greifen werden und ich. 01:43:04.090 --> 01:43:13.301 Ich habe fast die den Eindruck, dass die Bundesregierung einen Kürzeren ziehen wird, weil wenn die jetzt eher also das Zeug ernsthaft zu sperren in einer. 01:43:13.753 --> 01:43:18.782 Wahrscheinlich noch am besten mit Beginn des Lockdowns oder so? 01:43:18.482 --> 01:43:22.790 Na ja gut, die Frage ist äh äh die im Raum stand und immer noch steht, ist ja, 01:43:22.827 --> 01:43:35.403 Wie geht man mit einem Unternehmen vor, was hier ein öffentliche Diskursplattform anbietet? Das geht ja bei Telegram gar nicht mal so sehr um die Person zu Personen oder kleine Gruppenkommunikation. 01:43:35.380 --> 01:43:38.907 Nee, sondern es geht um die Gruppenjahr. Ein wichtiger Punkt, den du auch da gerade bring. 01:43:38.607 --> 01:43:46.351 Sondern es geht geht um die Gruppen, die halt ja beliebig viele Teilnehmer haben können, die also im Prinzip öffentliche Kanäle sind wie Webseiten, 01:43:46.647 --> 01:43:56.207 Funktioniert anders, ne, aber es hat äh ein eine ähnliche äh Reichweite oder kann eine ähnliche Reichweite haben oder sogar weiter darüber hinaus gehen. Und natürlich. 01:43:56.693 --> 01:44:07.420 Äh unterliegt dieses Unternehmen in unserer Vorstellung hier den äh lokalen Regeln. Dazu haben wir diese Regeln ja auch und die gelten ja auch für alle anderen. Also warum sollten sie nicht auch für Telegram gelten? 01:44:07.654 --> 01:44:18.518 Problem ist nur, keiner weiß, wie man irgendwie Telegram habhaft werden kann und dann finde ich's durchaus legitim, dass man äh dokumentiert, okay, alles klar. Wenn ihr äh nicht bereit seid, 01:44:18.711 --> 01:44:27.490 auch nur ansatzweise diesen Regeln Folge zu leisten und eure Verpflichtungen einzugehen, die da heißen, wir müssen mal wissen, wer ihr seid und wie man äh wie man anrufen kann. 01:44:28.007 --> 01:44:34.442 Ne als Minimum. Ich meine, das ist ja wirklich das also das absolute Minimum, 01:44:34.550 --> 01:44:42.416 Sozusagen, da ist ja noch gar nichts passiert. Da weiß man einfach nur mal, mit wem man reden kann. Wenn das halt nicht gewährleistet ist, muss man sich natürlich dann schon fragen. 01:44:43.071 --> 01:44:55.852 Okay, also was ist dann sozusagen eure ähm Überlebensberechtigung? So, was was ist überhaupt eure Existenzberechtigung? Oder inwiefern sollten, 01:44:55.961 --> 01:45:02.517 Unternehmen wie Apple und Google durch ihre App Stores dazu beitragen, dass dass diese Existenz existiert. 01:45:04.572 --> 01:45:14.324 Also ich versuche jetzt nur die die Gedankenwelt ne ein eines juristisch politischen Menschen nachzuvollziehen, die ähm. 01:45:15.016 --> 01:45:19.426 Ich bin kein Jurist, deswegen äh kann ich den Teil ehrlich überhaupt nicht nachvollziehen, aber so 01:45:19.252 --> 01:45:31.041 die Debatte finde ich legitim, dass die geführt wird. So, die Frage ist, was was macht man was macht man damit jetzt so? Geht man dann zu Apple und Google und sagt so, ihr müsst jetzt diese 01:45:30.952 --> 01:45:31.919 App verbieten. 01:45:32.562 --> 01:45:44.802 Weil die einfach sich nicht an die Regeln hält und ihr müsst euch ja auch an die Regeln halten und äh ihr seid letzten Endes die Distributoren dieser Software, die sich nicht an die Regeln hält, also müsst ihr diese Regeln dann äh stattdessen durchsetzen. 01:45:45.416 --> 01:45:54.044 Richtig, du hast aber also das ist absolut richtig, du hast nur jetzt also ähm ich sehe nicht, wie wie also was mich, 01:45:54.406 --> 01:46:08.316 interessiert ist, wie soll die ganze Sache nachher enden? Das geht ja dann bis einer heult. Und am Ende hat halt die Bundesregierung im Zweifelsfall die soundsoviel Millionen Telegram Nutzerinnen gegen sich. 01:46:08.238 --> 01:46:13.543 War gut hat sie ja jetzt auch schon, aber ähm. 01:46:13.617 --> 01:46:20.610 Nee, nee, nee, nee, da gibt's einen entscheidenden Unterschied, Tim. Ähm es gibt eine ganze Menge Leute, die benutzen Telegram einfach als Messenger. 01:46:21.181 --> 01:46:30.730 Ja gut, aber dann äh dann ist das halt, dann muss man halt einen anderen nehmen. Na ja, also sorry, aber das ist ja nun eine einfache Entscheidung. 01:46:30.430 --> 01:46:33.662 Du hast schon, du hast ja schon verstanden, was ich jetzt gerade sagen will, also. 01:46:33.602 --> 01:46:41.852 Ja gut, aber ich meine, es ist ja auch absolut legitim von Telegram zu erwarten, dass sie sich halt an unsere Regeln halten. 01:46:42.652 --> 01:46:51.395 Mitunterregeln übrigens, gegen die wir selber protestiert haben, ne? Weil da ja auch diese mit äh Meldungen direkt ans BKA äh und so weiter. 01:46:51.347 --> 01:46:58.287 Solche Sachen drin sind, ne? Also es sind jetzt auch nicht unbedingt Regeln, die ich alle äh so gut finden würde. 01:46:58.522 --> 01:47:05.829 Nee, aber der es gibt einen Ansprechpartner für das Unternehmen, um mal Sachen zu klären, 01:47:06.171 --> 01:47:09.013 gegen die Regel habe ich jetzt erstmal äh so nix. 01:47:09.735 --> 01:47:24.697 Und dass sie halt jetzt äh äh gut ich meine klar man kann jetzt über die Ausführung dieses Netzwerkdurchsetzungsgesetzes darüber kann man natürlich trefflich äh klagen, ne aber ändert halt nichts an der Tatsache, dass es ja irgendein Weg, 01:47:24.758 --> 01:47:34.083 geben muss. Diese Umtriebe, die manche Kanäle so entwickeln, auch verfolgbar zu machen. 01:47:34.907 --> 01:47:37.490 Auf die eine oder auf die andere Art und Weise. 01:47:38.248 --> 01:47:49.990 Wirklich systemtragender Staatsfunk hier ey. Wir kommen jetzt zum Cyber-Bunker. Ich habe keinen Bock mehr, dir zuzuentrieren. Wir kreuzen Cyber-Bunker. So. 01:47:48.854 --> 01:47:58.000 Okay. Der ist wie gesagt, das ist das ist jetzt so die die Logik dieser Debatte, ne? Die geführt wird so. Na ja, okay. 01:47:55.812 --> 01:48:05.595 Wir kommen zum Cyber-Bunker. Denn hier geht es nämlich de facto ein bisschen um das gleiche äh oder um ein ähnlich gelagertes Problem. 01:48:06.532 --> 01:48:20.371 Äh wir erinnern uns, äh Cyber-Bunker äh hatte, ich weiß gar nicht, wann da die wann die den da äh die Leute verhaftet haben. Ich glaube, das war zwanzig neunzehn oder sowas. Äh Oktober zwanzig zwanzig dann der Prozessbeginn. Cyber Bunker, 01:48:20.473 --> 01:48:28.580 Leute, die ja Bulletproof-Hosting angeboten haben, also die haben eine eine äh, 01:48:28.652 --> 01:48:30.803 Ein Datenzentrum betrieben 01:48:30.695 --> 01:48:44.768 Data-Center und da haben sie irgendwie gesagt bei uns kommt keiner rein und äh um das äh zu unterstreichen, dass bei ihnen keiner reinkommt, haben sie diese Datenzentren in einen Bunker gebaut. Erstmal in, 01:48:45.135 --> 01:48:54.665 Holland irgendwann und dann nach Traben Trabach oder wie das hieß, so ein irgendsoein ähm äh Kaff ähm, 01:48:54.863 --> 01:48:57.129 gezogen und haben dort sich einen Bunker gekauf. 01:48:56.829 --> 01:49:03.810 Heißt et. Ja, Festung Montroyal. 01:49:02.730 --> 01:49:06.257 Genau. So heißt der Bunker oder was? Nein. 01:49:05.987 --> 01:49:10.908 So so hieß dieser ja da also darin haben sie äh den Bunker irgendwie drin gehabt. 01:49:11.370 --> 01:49:26.092 Bunker sind üblicherweise will die keiner haben, weil die relativ kleine Fenster haben und äh irgendwie ja schwer einen Nagel in die Wand zu kloppen, ne? Und die haben den haben sich diesen Bunker gekauft und, 01:49:27.342 --> 01:49:36.344 Ja, dann dort eine relativ homogene und recht eindeutige Kundschaft angezogen offenbar mit ihrem Angebot. 01:49:37.198 --> 01:49:44.600 Und äh da waren also relativ viele hidden Services gehostet und ähm der, 01:49:44.781 --> 01:49:54.047 überwiegende Teil der Inhalte, die dort gehostet waren, waren in irgendeiner Weise ähm illegal. So. Ähm unter anderem, 01:49:54.185 --> 01:50:00.987 glaube ich, mich zu erinnern, dass in den Anfangszeiten auch mal The Pirate Bay und Wiki Leaks bei bei den, 01:50:01.066 --> 01:50:13.636 Cyberbunker Leuten gehostet waren, aber das war noch zu alten Zeiten, als die noch in einem anderen Bunker waren. Ähm wenn ich mich da jetzt, wenn ich kann sein, dass ich mich täusche, aber ich bin mir eigentlich relativ sicher. Ähm dass sie unter anderem auch mal dort waren. 01:50:14.196 --> 01:50:16.821 Jetzt hatten sie die irgendwie, 01:50:16.936 --> 01:50:31.670 äh und und jetzt rechtlich stellt sich die Situation so dar, dass die ja nun mal einen Provider waren, nämlich ein Datenzentrum Provider beziehungsweise ein Server Provider, der sich aber nichts ähm nicht in die Daten, die seine Kundinnen und Kunden dort verarbeiten, eingemischt hat. 01:50:32.481 --> 01:50:41.812 Und jetzt wollten sie dir aber trotzdem irgendwie in den Knast bringen und die Frage ist, wie machst du das? Weil, so haben die sich auch ähm rechtlich 01:50:41.783 --> 01:50:51.902 dargestellt, siehe das Provider-Privileg haben, nämlich dass sie für die Inhalte, die ihre Kundinnen und Kunden auf ihren Geräten, was weiß ich, verarbeiten, bereitstehen und so weiter, 01:50:52.197 --> 01:50:53.963 nicht verantwortlich sind. 01:50:55.935 --> 01:51:10.710 Und jetzt hat die Staatsanwaltschaft, die im Prinzip über zwei ähm Winkel versucht zu also vor Gericht zu verurteilen zu lassen, Beihilfe zu Straftaten. 01:51:11.979 --> 01:51:19.105 Und ähm Bildung einer kriminellen Vereinigung. Und. 01:51:21.004 --> 01:51:27.975 Dieses Urteil war jetzt quasi auf kriminelle Vereinigung, haben sie bekommen als Urteil. 01:51:29.321 --> 01:51:37.450 Aber nicht ähm die den Vorwurf der Beihilfe. Der wurde ihnen nicht ähm zur. 01:51:38.142 --> 01:51:39.734 Äh Last gelegt, 01:51:40.065 --> 01:51:48.303 Das ist also quasi ein ein Schlag für die Staatsanwaltschaft gewissermaßen, weil die versucht haben natürlich über diese 01:51:48.220 --> 01:51:55.724 Beihilfegeschichte, den die zu Mittätern zu machen und das wäre aber eben auch der Teil gewesen, der halt sehr übel ähm, 01:51:56.097 --> 01:52:05.933 in Richtung der Providerhaftung gekommen wäre. Insofern hat das Gericht hier offenbar noch ein bisschen hm ja. 01:52:06.360 --> 01:52:11.000 Vorsicht walten lassen und verstanden, dass es eben gefährlich ist an die Providerhaftung zu. 01:52:11.379 --> 01:52:23.342 Heranzugehen, wenngleich dieses Hyba-Bunker-Vögel halt tatsächlich äh vieles getan haben dafür, dass die schöne Provider-Haftung angegriffen wird, ne, weil die Provider Haftung äh, 01:52:23.709 --> 01:52:29.928 hast du ja eigentlich mit der Begründung, dass du eben sagst, okay der überwiegende Teil dessen, was der Provider macht. 01:52:30.638 --> 01:52:40.401 Hatte erstens keine Kenntnis von, zweitens ist es überwiegend legal, das heißt, wenn man ihm etwas anzeigt, muss er darauf reagieren und diese Sachen dann eben offline nehmen und, 01:52:40.432 --> 01:52:47.006 ansonsten ist er aus der Haftung raus und hat ein Privileg hier obwohl er technisch vielleicht 01:52:46.970 --> 01:52:55.484 einen entscheidenden Beitrag zu der Straftat äh geleistet hat, ist er nicht äh in der Situation. 01:52:56.632 --> 01:53:05.393 Der Beihilfe schuldig zu sein, sonst könnte könnte sie Deutsche Telekom ja auch zumachen. Ja ähm tja. 01:53:05.280 --> 01:53:11.901 Das war dann wahrscheinlich das Hauptbedenken so. Ja eigentlich mussten wir da draufhauen aber dann können wir ja die Telekom, 01:53:12.052 --> 01:53:23.330 stimmt ja auch, ich meine das ist ja genau das Problem, was äh hier darunter äh steckt und vielleicht hat sich an der Stelle äh das äh diese Überlegung beim Gericht auch einfach durchgesetzt, dass sie sagen, 01:53:23.661 --> 01:53:31.064 Klar könnte man jetzt hier einfach mit Beihilfe draufhauen, aber was wäre die generelle hm, 01:53:31.112 --> 01:53:43.611 Auswirkungen davon, weil das würde ja dann bedeuten, dass eigentlich jeder, der in irgendeiner Form kriminelles Gut auf seinen Servern hat und dem nicht unbedingt nachgewiesen werden kann, dass er davon Kenntnis hatte. Ähm, 01:53:43.810 --> 01:53:51.567 sofort. Äh der Strick gedreht wird und damit trifft's natürlich dann irgendwie alle. Ne, weil ich meine, kein Provider weiß, was. 01:53:52.079 --> 01:54:02.155 Auf den Servern ist. Also vielleicht hast du von manchen Kenntnis und wir hatten ja neulich hier den Fall äh mit dem Provider in Berlin, der irgendwie die Server von Attila Hildmann. Hildmann, 01:54:02.306 --> 01:54:06.055 hat so. Der hatte schon Kenntnis davon, dass er sein Kunde war. 01:54:05.996 --> 01:54:13.494 Ist schon nochmal ein bisschen was anderes. So, aber wenn jetzt halt irgendjemand da einen Server macht und da irgendwelche illegalen 01:54:13.362 --> 01:54:26.889 Geschäfte drüber abwickelt, dann ist das ja nicht unbedingt so, dass bei dir sofort die Alarmglocken läuten und von daher äh ist es schon sinnvoll, dass jetzt hier eben konkret nur die kriminelle Struktur als solche nachgewiesen und dann eben auch bestraft wurde. Und ich, 01:54:27.057 --> 01:54:29.208 das Ganze als Providerprojekt. 01:54:29.317 --> 01:54:41.809 Interessant ist die Begründung des Gerichts. Sie sagen also alle hatten positive Kenntnis von den gehosteten Seiten mit illegalen Inhalten. Bis auf äh Bunker, Manager und Buchhalter. 01:54:42.927 --> 01:54:56.513 Diese Kenntnis hätten sie zu unterschiedlichen Zeitpunkten unter anderem über die Bearbeitung von erlangt beziehungsweise über Anfragen seitens der Behörden im Rahmen von Ermittlungsverfahren gegen ihre Kunden, welche von den Angeklagten entweder überhaupt nicht, 01:54:56.598 --> 01:55:04.860 verspätet beantwortet wurden, ja? Äh also die wussten, was da abgeht und ähm. 01:55:05.461 --> 01:55:06.650 Jetzt äh, 01:55:07.036 --> 01:55:18.699 sagen Sie weiterhin die haben also alle einen Tatbeitrag im Rädchen des Getriebes gemacht und somit zum Gesamtziel der Gruppierung beigetragen, 01:55:18.993 --> 01:55:28.860 Und zwar hätten alle gewusst, dass die Kunden generell die Server für strafbare Handlungen nutzen, aber die generelle Kenntnis, dass illegale, 01:55:28.962 --> 01:55:37.831 gehostet werden, reicht nicht für den Gehilfenvorsatz, dass sie nämlich quasi konkret über eine konkrete Haupttat Bescheid gewusst hätten, 01:55:37.982 --> 01:55:39.310 Das wurde ihnen nicht nachge, 01:55:39.419 --> 01:55:51.376 und deswegen haben sie hier jetzt auch eben diese Beihilfe äh nicht bekommen. Der Oberstaatsanwaltschaft hat direkt angekündigt, er wird prüfen, ob er äh Revision einlegt. 01:55:52.590 --> 01:55:57.120 Ähm der Verteidiger des Hauptangeklagten sagt, 01:55:57.463 --> 01:56:09.896 es handelt sich nicht um eine kriminelle Vereinigung denn es gab kein Geschäftsmodell und weil das ohnehin juristisches Neuland sei äh erwartet er, dass man am Ende ohnehin vor dem, 01:56:10.233 --> 01:56:16.200 ähm Bundesgerichtshof steht. Wie gesagt, hier wird es ist. 01:56:16.620 --> 01:56:20.875 Hier ist ein relativ hohes Rechtsgut, diese Provider äh. 01:56:21.512 --> 01:56:30.675 Freistehendes Provider Privileg ist sehr wichtig für das gesamt funktionierendes Internets, wie es gerade ist. Wenn das fällt, haben wir ein Riesenproblem und, 01:56:31.084 --> 01:56:38.535 gleichzeitig ist es und diese Cyber-Bunker-Leute sind halt Arschlöcher, ne? Und man man will jetzt also es ist schon, 01:56:38.818 --> 01:56:41.420 man will mit denen wirklich nicht sympathisieren, 01:56:41.432 --> 01:56:49.219 Sitzt da jetzt eher und zittert, dass weil die Arschlöcher halt das ausgenutzt haben und sich benommen haben im Internet wie eine offene Hose, 01:56:49.454 --> 01:57:02.668 noch dazu, also das haben wir ohnehin schon gemacht, irgendwelche Angriffe und so. Das war halt echt ein bisschen komische Vögel und dann auch noch quasi, ne, das illegale Hosting zum Geschäftsmodell erheben. Das ist am Ende halt ein Angriff auf 01:57:02.493 --> 01:57:07.217 auf dieses Provider Privileg und da muss man natürlich jetzt hoffen, dass die. 01:57:08.250 --> 01:57:20.136 Dass die deutsche Justiz und auch die deutsche Legislative hier den coolen Kopf bewahrt und sagt alles klar, wir holen uns die in den Knast, irgendwie alle so irgendwie zwischen ich glaube fünf und sechs Jahren oder so was, äh über äh über die, 01:57:20.137 --> 01:57:27.941 Möglichkeiten, die wir haben, aber wir kratzen jetzt nicht am äh Provider-Privileg. Tja. 01:57:29.397 --> 01:57:42.273 Fünf fünf Jahre und neun Monate Haft und äh so in vier Jahre drei Monate. Der Rest so zwischen drei Jahren und zwei Jahren und vier Monate, also ja signifikant auf jeden Fall. 01:57:43.992 --> 01:57:47.219 Andererseits interessant. Die haben den ja alle Server rausgetragen, 01:57:47.556 --> 01:58:02.343 und na ja, bei der ganzen Menge an Indizien und Beweisen, die sie, was weiß ich, das Ticketing-System, ne, wo sich dann die die Kunden beschweren, haben sie trotzdem nicht denen die Beihilfe zu den Straftaten nachweisen können. 01:58:02.939 --> 01:58:04.410 Zumindest nicht so, dass es das, 01:58:04.736 --> 01:58:17.763 Gericht überzeugt hat. Jetzt ist halt die Frage, was schreibst du für schreibst du in dein Ticketsystem? Ey sorry, ich kann hier gerade keinen Koks verkaufen, weil der Hiddenservice down ist oder sagst du mein Server ist down, ne? 01:58:17.463 --> 01:58:23.736 Keine Ahnung. Kennen die weiß nicht, was hat denn Attila Hildmann geschrieben? 01:58:24.620 --> 01:58:29.108 Ey Leute, die Kriminellen haben meinen selber wieder. Was ist da los. 01:58:32.101 --> 01:58:36.325 Welche kriminellen Fragen die da nur beim Cyber-Punker. 01:58:36.031 --> 01:58:39.708 Meine Weltrevolution wurde vorübergehend ausgesetzt. 01:58:39.702 --> 01:58:48.740 Okay, kommen wir mal weiter hier. Kommen wir zum Digital Services Act und Digital Markets Act. Und zwar äh. 01:58:49.491 --> 01:58:51.636 Zunächst mal DSA 01:58:51.624 --> 01:59:04.904 Ich zitiere jetzt mal so ein bisschen die Berichte von Patrick Breier, weil das ist jetzt wieder so etwas, ja, da gibt's dann so ein bisschen Berichterstattung, aber das ist so High-Level, weil das ist ja irgendwie so in den Ausschüssen und so, ne und da entstehen ja eigentlich die wichtigen Entscheidungen, 01:59:05.030 --> 01:59:14.500 Aber die werden noch nicht so so breit berichtet und äh da Patrick war ja unser Ansprechpartner für diese Themen ohnehin ist und bin ja auch wieder in die Sendung holen werden dazu. Ähm. 01:59:14.993 --> 01:59:20.912 Ja, der Ausschuss für Binnenmarkt und Verbraucherschutz hat jetzt seinen Bericht ähm, 01:59:21.249 --> 01:59:30.046 verabschiedet beziehungsweise äh angenommen und äh Folgendes sagen Sie. Äh zu den Upload-Filtern. 01:59:30.539 --> 01:59:37.040 Es sollen keine neuen Uploadfilter verpflichtend werden, ja. Ähm aber, 01:59:37.281 --> 01:59:50.921 Das ursprüngliche der ursprüngliche Plan war auch den freiwilligen Einsatz dieser Filter zu verbieten. Das haben sie nicht gemacht. Also es ändert sich in der Praxis nichts. Wer ein Uploadfilter hat, hat ihn, die werden jetzt nicht verboten oder behindert, ähm aber, 01:59:50.970 --> 01:59:58.084 gleichzeitig ähm es kommen keine neuen hinzu. Ne, schon mal halbwegs okay. 01:59:59.816 --> 02:00:11.250 Dann das versprochene Recht auf anonyme Internetnutzung, ja, um den ständigen Datenlex und dem Datenmissbrauch im Netz ein Ende zu setzen, soll nicht kommen. Äh. 02:00:11.773 --> 02:00:18.900 So staatliche Behörden sollen eben potenziell ohne Richterbeschluss umfassende Surfprotokolle der Userinnen anfordern können. 02:00:19.284 --> 02:00:27.847 Aber immerhin soll sichere Verschlüsselung garantiert werden, also Recht auf Verschlüsselung. Ähm na ja. 02:00:28.287 --> 02:00:41.391 Das sieht also nicht ganz so irre aus und eine flächendeckende Vorratsdatenspeicherung auf Internetportalen soll erstmal ausgeschlossen werden. Also hier Recht auf Anonymität wäre natürlich schon mal was Schönes gewesen und ansonsten versuchen sie, 02:00:41.476 --> 02:00:50.646 das klingt mir alles so ein bisschen, dass sie versuchen, dort dann doch am Status quo zu bleiben, ja und nicht irgendwie weit darüber hinauszuschließen, zu schießen, aber eben 02:00:50.532 --> 02:00:52.617 und zwar leider dann auch in keine Richtung. 02:00:52.479 --> 02:00:54.870 Aber kein Recht heißt jetzt auch nicht gleich Verbot. 02:00:55.165 --> 02:00:55.753 Genau. 02:00:56.319 --> 02:01:10.403 Das meine ich, ne? Also es bleibt irgendwie alles so ein bisschen unreguliert dann jetzt in diesen Bereichen. Jetzt gucken wir mal Überwachungswerbung. Die systematische Überwachung und Erstellung von Persönlichkeitsprofilen der Internetuserin für Werbezwecke soll erlaubt bleiben. 02:01:11.318 --> 02:01:16.581 Hier wäre die Möglichkeit gewesen, mal wirklich eine fundamentale Änderung herbeizuführen. 02:01:17.807 --> 02:01:28.503 Aber immerhin soll die Möglichkeit geschaffen werden, sich im Browser generell dagegen entscheiden zu können. Es gab ja schon vor einiger Zeit dieses Donut Track Flag, was aber dann nie, 02:01:28.653 --> 02:01:32.222 wirklich technische Anwendung fand und 02:01:32.175 --> 02:01:40.377 Die Idee wäre jetzt, dass du im Browser einstellst, du Track und dann kriegst du auch diese ganzen Einwilligungsbanner nicht mehr. Das wäre potenziell, 02:01:40.425 --> 02:01:52.250 einen könnte natürlich ein wichtiger Fortschritt bleiben, wenn man wird werden, wenn man das jetzt in irgendeiner Form von, ne, die die EU definiert einen Standard und sagt, pass auf, wenn im Header äh dieses Ding ist, dann darf der Tracker nicht tracken. 02:01:52.576 --> 02:01:54.221 Wäre schon eine schöne Sache, ne. 02:01:54.294 --> 02:01:59.750 Ja und dann darf's auch gar nicht erst so und so weiter, diesen ganzen Scheiß für den ganzen Trekking Kram geben. 02:02:00.616 --> 02:02:07.027 Dann ging es um um diese Löschungsgeschichten ähm und zwar primär ähm. 02:02:07.809 --> 02:02:21.581 Über Grenzen hinweg, selbst wenn sie im Land der Veröffentlichung völlig egal sind, ja, dass da auch darüber hatte der Patrick mit uns gesprochen. Also Viktor Orban kann zukünftig auch in Deutschland löschen auf Grundlage seiner eigenen Gesetze. 02:02:23.991 --> 02:02:27.223 Sollten Netzwerken verboten werden, werden sie aber nicht. 02:02:28.648 --> 02:02:32.710 Und die Internetplattform müssen Userin auch nicht fragen, bevor sie löschen, sondern können einfach löschen. 02:02:33.431 --> 02:02:43.220 Immerhin das Einzige, was äh er hier positiv hervorhebt, ist, eine automatisierte Sperrung von Nutzerinnen, die angeblich wiederholte Urheberrechts- oder Rechtsverstöße begangen haben, 02:02:43.557 --> 02:02:49.631 soll nicht kommen. Ja, das wollten sie auch noch quasi fordern. Hm und er freut sich immerhin. 02:02:50.900 --> 02:03:01.643 Im DMA über die Inter-Operabilitätsforderung, denn im da kommt jetzt schon die Idee vom ähm. 02:03:02.190 --> 02:03:11.949 Dass dass diese Internet äh diese Messengern soll dann eben doch äh von. 02:03:12.448 --> 02:03:21.365 Soll er doch noch herbeigeführt werden. Also da da wäre dann eben genau diese EU äh Bewegung und das Thema hatten wir gerade ähm ausführlich besprochen 02:03:21.293 --> 02:03:34.069 Also so viel von dort. Wir machen dann noch mal, ich wie gesagt, dieses Thema ist so umfassend. Ähm da muss man uns irgendwie Hilfe von Thomas äh und oder Patrick holen, um um das nochmal in Ruhe aufzuarbeiten, entweder Ende dieses oder Anfang nächsten Jahres. 02:03:35.030 --> 02:03:41.303 Und jetzt gibt's hier noch äh ein kleines Schätzchen zum Ende. Zwei Schätzchen kommen noch zum Ende. Und zwar einmal, 02:03:41.658 --> 02:03:50.972 gibt es in Österreich das epidemiologische Meldesystem. Und das ist ein zentrales Register für ansteckende Krankheiten. 02:03:51.609 --> 02:03:59.998 Da kannst du ähm da da sammeln die drin, wer Corona hat. Dadurch hat das jetzt natürlich viel ähm ähm. 02:04:00.629 --> 02:04:11.505 Viel Aufmerksamkeit bekommen oder viel mehr Nutzung, aber auch so Sachen wie äh Syphilis, Aids, Malaria und andere anzeigepflichtige Erkrankungen kannst du da eintragen, 02:04:11.716 --> 02:04:26.576 ja und üblicherweise hast du dann hast du ja weil die nicht äh pandemisch sind diese Krankheiten, hast du halt eine meldepflichtige Krankheit, dann kommt die Person eben in dieses epidemiologische Meldesystem, ja? 02:04:26.769 --> 02:04:32.957 Und jetzt passiert folgendes. Es gibt eine Firma. 02:04:33.379 --> 02:04:39.027 Die macht PCR. Das ist die Firma HG Labruck. 02:04:40.740 --> 02:04:49.993 Und die bekommt, also macht PCR-Tests, ja? Und jetzt werden halt die Zugänge zu diesem EMS-System werden. 02:04:51.195 --> 02:04:57.979 Kriegt nur eine Person und zwar in diesem Fall der Geschäftsführer. 02:04:58.677 --> 02:05:10.033 Ja und dieser Geschäftsführer kriegt jetzt einen Zugang zum EMS. Das ist, wenn ich das richtig verstanden habe, funktioniert das mit Zertifikaten. Ist er jetzt auch äh unerheblich? 02:05:11.391 --> 02:05:18.969 Denn diese Firma EMS, da zieht sich jetzt als erstes mal der Geschäftsführer irgendwann zurück. 02:05:19.468 --> 02:05:26.348 Äh diese Firma HG Laptop, der der äh zieht sich der Geschäftsführer zurück. Die behalten aber quasi diesen EMS-Zugang. 02:05:27.003 --> 02:05:30.590 Und diese Firma HG Laptr. 02:05:31.240 --> 02:05:44.200 Die ja eben PCR-Tests macht und dann im EMS das eintragen muss hat es aber dann nicht selber gemacht sondern das Eintragen an ein steirisches Subunternehmen ausgelagert und den dann quasi wieder dieses Zertifikat gegeben. 02:05:45.079 --> 02:05:52.601 Dieses steirische Subunternehmen erklärt, äh sie hätten diese Tätigkeit an eine weitere Firma Wienerfirma ausgelagert. 02:05:53.179 --> 02:06:05.437 Dieser Zugang, also dieses Zertifikat zum Zugang wurde ähm via unverschlüsselter E-Mail an verschiedene Mitarbeiter verschickt, ebenso wie Excel-Dateien die persönlichen Daten von covid-infizierten, 02:06:05.660 --> 02:06:14.462 die die Mitarbeiter dann von ihrem Privatrechner in dieses EMS eintragen sollten? So 02:06:14.415 --> 02:06:25.921 Mit diesem mit diesem Zugang, den das Labor ursprünglich mal bekommen hatte, konntest du jetzt von jedem beliebigen Gerät im ganzen Land aus Krankheiten für alle Personen mit österreichischer Staatsbürgerschaft eintragen. 02:06:25.784 --> 02:06:34.088 Nicht nur Coronainfektionen, auch Aids, vieles Malaria und so weiter und du kannst Namen und Adressen abfragen, äh wenn die, 02:06:34.215 --> 02:06:37.027 Betroffenen ihren Wohnort in zentralen. 02:06:37.736 --> 02:06:49.928 Melderegister sperren ließen. Also mit anderen Worten, selbst die es gesperrt haben, konnte es trotzdem noch drauf zugreifen. Weiterhin konntest du schauen, ob man in den letzten äh Wochen an Corona erkrankt ist. 02:06:50.560 --> 02:06:53.546 Wenn das so war, konnte man E-Mail-Adresse und Handynummer sehen. 02:06:53.654 --> 02:06:57.119 Oh warte. 02:06:58.770 --> 02:07:02.300 So viel auf einmal falsch, das ist wirklich äh krass. 02:07:02.842 --> 02:07:16.500 Zertifikat, ja mit das den Zugriff äh erlaubt, ja, trägt den EMS-Labor. So, jetzt stellt sich auch echt die Frage, ob dieses Zertifikat jetzt so wirklich. 02:07:16.590 --> 02:07:19.328 Nur für dieses Labor gedacht war. 02:07:19.079 --> 02:07:27.532 Genau, ja. Äh der HG Laptop wurde der Zugang nach Hinweis des Standard äh vom Gesundheitsministerium entzogen. 02:07:28.212 --> 02:07:40.555 Da sagt er ja, aber nur weil du dich da einträgst, kriegst du ja nicht sofort ein Genesungszertifikat, weil das wäre nämlich jetzt auch das Business gewesen, ne, neben dem riesigen äh Misstrauenspotential kannst du halt da irgendwie eintragen, alles klar, 02:07:40.741 --> 02:07:46.521 wir haben dieser Mensch hatte äh Corona kriegt Genesen Zertifikat ne. 02:07:47.315 --> 02:07:55.180 Also das ist äh auch wieder, ich meine, mir mir fällt natürlich auf, das sind klassische ähm, 02:07:55.541 --> 02:08:02.806 IT-Probleme, wenn du jetzt so ein System hast, wahrscheinlich hat ein paar Monate vorher kein Mensch sich um dieses EMS äh für dieses EMS interessiert 02:08:02.680 --> 02:08:11.200 ja? Aber jetzt musst du auf einmal vielen den Zugang dazu geben. Und dann passieren natürlich solche Dinge, dass da dass da nicht auf den ordentlichen, 02:08:11.219 --> 02:08:12.883 Prozess geachtet wird, 02:08:12.901 --> 02:08:27.761 man die ja Nutzermanagement macht und dass das einzelne also das das du da halt ein Zertifikat bekommst, was du dann irgendwie an Subunternehmen und das an Subunternehmen und das an seine Mitarbeiter, die vom Zuhause Rechner diesen Zugriff verteilt, ist ja absoluter Irrsinn. 02:08:27.558 --> 02:08:32.731 Ja? Aber so so laufen die Dinge halt leider, wenn man sie nicht ordentlich regelt. 02:08:33.435 --> 02:08:41.264 Ja und im ich ist jetzt ein sehr weit hergeholter Vergleich aber ähm. 02:08:42.424 --> 02:08:43.500 Ähnliche, 02:08:43.596 --> 02:08:56.659 Probleme haben wir ja hier auch mit den Impfzertifikaten, ne, dass du auf einmal sehr schnell dann doch sehr viele Menschen abfertigen musstest, deswegen sehr viele Leute Zugang auf diese Infrastruktur erhalten und da dann eben schwarze Schafe drunter sind. Also 02:08:56.480 --> 02:09:02.133 gewissermaßen gleiches Problem. Nur hier halt technisch die Grundlage dafür gelegt, 02:09:02.218 --> 02:09:10.468 indem man sagt, okay, alle dürfen darauf zugreifen oder es gibt halt irgendwie nur ein Zertifikat pro Unternehmen und das wird nicht irgendwie sinnvoll gemanagt oder aufbewahrt. 02:09:10.619 --> 02:09:11.940 Klar, ich meine dieses, 02:09:12.296 --> 02:09:22.180 Totale Katastrophe. Jetzt kann man natürlich schnell sagen, ja seht ihr mal, das ist ja das Problem, wenn man so eine zentrale Datenbank hat und das stimmt natürlich insofern, als das so eine zentrale Datenbank natürlich, 02:09:22.432 --> 02:09:24.055 Genau solche, 02:09:24.133 --> 02:09:38.861 möglichen Probleme mit sich bringt, wenn man sie denn nicht von vornherein ordentlich mitdenkt und meine Vermutung wäre äh in diesem Fall, dass diese Zertifikate quasi so gedacht waren für die Mitarbeiter, die 02:09:38.747 --> 02:09:44.426 im Rahmen, also auch in diesem innerhalb dieser rechtlichen Grenze, 02:09:44.462 --> 02:09:49.863 Äh ich weiß gar nicht, wo das aufgehangen ist, wahrscheinlich innerhalb einer Behörde, irgendeines Instituts. 02:09:50.249 --> 02:10:01.485 Ja, also die unmittelbar für dieses EMS zuständig sind und normalerweise eben solche Meldungen über Ärzte erfolgen so ah, hier ist meine aus dem Urlaub zurückgekommen, der hat jetzt irgendwie Cholera, 02:10:01.828 --> 02:10:10.102 Ah okay, dann sagen Sie mir mal wie der heißt. So, da wird in so einem zehn Minuten Telefongespräch ähm von einer ähm, 02:10:10.391 --> 02:10:18.617 autorisierten Mitarbeiterinnen dieses EMS, die dann halt so ein Zertifikat hat an ihrem Arbeitsplatzcomputer, die trägt das dann ein und dann, 02:10:18.660 --> 02:10:33.285 passt das auch schon. Jetzt kam irgendwie Corona und auf einmal hattest du's irgendwie mit 1tausend verschiedenen Unternehmen die PCR-Tests zu tun oder vielleicht auch erstmal nur ein paar hundert. Egal, auf jeden Fall vielen. Also auf einmal entstand eine extrem hoher Datenzugriffsbedarf, 02:10:33.303 --> 02:10:41.211 für Leute außerhalb dieser Struktur, weil zwangsläufig diese Struktur selbst das so nicht machen kann. Da kannst du ja nicht jetzt für jeden Menschen da anrufen. 02:10:41.560 --> 02:10:50.207 Für jeden einzelnen PCR-Test, der da durchgeführt wird, skaliert einfach nicht. Also haben Sie dann einfach die Methode, die Sie bisher hatten, 02:10:50.249 --> 02:11:09.628 Ja, ach ja dann müsst ihr das dann halt eintragen. Nur jetzt natürlich mehrere Sachen problematisch erstmal das, was wir jetzt hier schon unmittelbar gesehen haben, so dieses Weiterreichen des Zertifikats, dass das von Leuten verwendet wird, die das gar nicht haben sollten, ja, dass das irgendwie auch ungeschützt weitergeleitet wird, dass äh keinerlei Begrenzungen äh gab 02:11:09.454 --> 02:11:24.194 und natürlich, wie ich vermute, jetzt anhand dieser Schilderung, was für Datenauswertungen gemacht werden kann, dass natürlich der Zugriff dann mit diesem Zertifikat auch gleich vollständig und total war. Also man könnte dann sofort alles ändern und alles sehen. Was natürlich nicht geht, weil es auch vollkommen ausgereicht hätte 02:11:24.014 --> 02:11:32.564 bei diesem PCR-Test halt, okay, hier ist Personen identifiziert mit was weiß ich, Personalausweis, Nummer was auch immer. 02:11:32.931 --> 02:11:39.841 Ja, hat diesen Test und dann fließt das über eine definierte Schnittstelle äh automatisiert rein, 02:11:40.010 --> 02:11:48.993 und muss dann vielleicht noch irgendwie abgesegnet werden, obwohl sie übernommen werden, aber das ist nicht automatisch eine Erlaubnis damit verbunden ist, alle Daten abzurufen, aber das hat natürlich zu dem Zeitpunkt 02:11:48.850 --> 02:11:58.200 niemand äh gesehen und dann war eben auch niemand in der Lage, das so kurzfristig an die Bedingungen anzupassen und damit man das überhaupt noch bedienen konnte, ist man dann halt diesen Weg gegangen. 02:11:59.191 --> 02:12:07.603 Nachvollziehbar, wie es passiert ist, macht's nicht besser und ähm ist ein generelles Problem, aber das Problem resultiert eben auch einfach, 02:12:07.616 --> 02:12:09.815 aus mangelhafter, 02:12:09.900 --> 02:12:18.383 staatlicher digitalen Planung. Das sind eben genau diese Dinge, von denen wir immer reden, wenn wir sagen, der Staat muss sich einfach auf die digitale Welt 02:12:18.282 --> 02:12:28.335 einstellen, es muss mehr Kompetenz da sein, es muss im Zweifelsfall halt auch ein bisschen Überkapazität sein, um eben, wenn bestimmte äh Systeme 02:12:28.215 --> 02:12:33.557 besonderer Bedeutung zugeführt werden, wie eben in einer Pandemie so eine, 02:12:33.971 --> 02:12:48.483 zentrale Erfassungsstelle, die wir ja so in Deutschland gar nicht haben, aber in Österreich ist es ja dann entsprechend vergleichbar, dass dass man dann eben auch in der Lage ist, hochzuskalieren, dass man sagen kann, oha, okay, gut, wir brauchen jetzt eine Schnittstelle für diese ganzen PCR-Unternehmen. 02:12:48.400 --> 02:12:56.139 Ist ja nicht so, dass so was nicht leistbar wäre innerhalb von äh einem bestimmten Zeitraum. Da muss man dann nicht gleich so äh vorgeben. 02:12:57.906 --> 02:13:06.492 Ja, das ist einfach nur peinlich und wenn wir schon bei peinlichen Dingen sind, ne, weil der Staat mal wieder was peinliches macht, ne. Wir haben ja, 02:13:06.800 --> 02:13:16.570 ID Wallet gehabt in Deutschland. War ein kurzer Moment der Glückseligkeit, wo wir diesen digital hatten wir den äh 02:13:16.474 --> 02:13:27.422 ID Wallet hatten wir, ja, geile Nummer. Irgendwie fünf Minuten gedauert, bis da irgendwie haarsträubende Schwachstellen drin gefunden wurden und dann konnten sie das Ding einklappen, ja? 02:13:27.326 --> 02:13:33.923 Ein lustiger Tag hatten wir einen schönen Nachmittag mit, ja. Jetzt gibt es eine ähm, 02:13:33.948 --> 02:13:39.951 Anfrage an das Bundeskanzleramt bei frag den Staat. Die ähm dort gestellt wurde. 02:13:41.081 --> 02:13:51.422 Und zwar ähm eine ganze Reihe an Fragen und Dokumenten, in denen in denen insbesondere eines sehr interessant ist, nämlich der IT-Sicherheitsbericht, 02:13:51.699 --> 02:13:56.962 GmbH, die Digital NALIN GmbH. 02:13:58.159 --> 02:14:12.286 Ist das Unternehmen, was gegründet wurde, um dieses ID Walleting zu machen, ne? Das war ja E-Satus und IBM zusammen, ja, die dann irgendwie gesagt haben, so und jetzt tatsächlich auch die zitieren hier auch an, 02:14:12.352 --> 02:14:20.320 aus E-Mails, die eben an E-Satus ging, die haben ja quasi für dieses Projekt die Digital and Avling GmbH äh gegründet, 02:14:20.560 --> 02:14:33.510 und hm jetzt schildern sie irgendwie in diesem IT-Sicherheitsbericht, wir mussten sie im Zweifelsfall der Bundesregierung oder den Bundeskanzleramt vorlegen, denn da kommt die IFG-Anfrage Antwort ja her. Mir ist jetzt nicht klar, wen der äh, 02:14:33.775 --> 02:14:41.346 an wen er adressiert ist, aber es ist im Prinzip einfach deren Bericht, was denn da auf aus ihrer Sicht äh passiert ist. 02:14:42.079 --> 02:14:46.904 Erstmal sagen sie wie geil das alles ist, was sie da gebaut haben und dann sagen sie. 02:14:47.343 --> 02:14:57.221 Sie wurden also von zwei Sicherheitsforschern offiziell über zwei Schwachstellen in Systemen informiert, die unabhängig zur ID Wallet und zugehöriger Infrastruktur betrieben werden? 02:14:57.366 --> 02:15:02.521 Ähm einmal unkonfigurierte Wordpress Installation auf ihrer Domain. 02:15:03.099 --> 02:15:17.418 So eine unkonfigurierte Installation auf deiner Dummheit und dann äh Möglichkeit eine Subdomain Takeover wo sie nämlich ähm ähm Supplemades hatten, die auf Microsoft Azure zeigen. 02:15:17.978 --> 02:15:27.243 Dort am anderen Ende eben keine virtuelle Maschine mehr war ähm und da konntest du dann, hättest du jetzt deine eigene hinlegen können, dann wärst du bei denen unter der Subdomain gewesen. 02:15:28.661 --> 02:15:40.655 Jetzt kommt der interessante Teil. Am vierundzwanzigsten, also ich zitiere aus diesem Bericht, ja, was die also schreiben. Am vierundzwanzigsten neunten zwanzig einundzwanzig, um bereits einundzwanzig Uhr vier. 02:15:41.070 --> 02:15:45.937 Erfolgte auf Twitter durch den Account at Flipkeyt der Aufruf Happy Hacking everyone. 02:15:46.424 --> 02:15:58.904 Gleichzeitig wurde unter dem Titel Helge Chain und er dem erneuten Aufruf Happy Hacking everyone auf GitHub eine Liste mit DNS-Auflösungen erstellt durch DNS-Zonentransfer. 02:15:59.735 --> 02:16:03.826 Zu von der AG verwalteten Domains publiziert. 02:16:04.673 --> 02:16:14.799 Der Begriff Helge Chain bezog sich dabei explizit auf Helge Braun, Mitglied des Deutschen Bundestages, Bundesminister für besondere Aufgaben und Chef des Bundeskanzleramtes und dessen, 02:16:14.986 --> 02:16:20.928 begleitenden Twitter-Posts zum Start des digitalen Führerscheinnachweises, sowie. 02:16:21.793 --> 02:16:25.921 Die generelle Abneigung der in Anführungszeichen Community, 02:16:26.168 --> 02:16:35.674 zu allen Technologien im Innovationsbereich Blockchain. Der gezielte Aufruf in eindeutig politischem Kontext mit Polemik und Hasstiraden. 02:16:36.137 --> 02:16:38.630 Indikator für eine Gruppenbildung, 02:16:38.853 --> 02:16:52.403 Zusammenrottung aus dem Kreise der politischen Gegner mit Hacking-Affinität zu gezielten Ausweitung einer negativen, öffentlichen Meinungsmache und Provokation eines sogenannten in Anführungszeichen Shitstorms. 02:16:52.638 --> 02:16:54.524 Klammer auf, konzertierte, 02:16:54.873 --> 02:17:09.517 hier unten, Anti-Aktionszeichen oben von Aktivistinnen der jüngeren Vergangenheit hatten ähnliche Verläufe, Vergleiche Luca App, Ausstellung von Impfzertifikaten in Apotheken, HPI Schulcloud, Klammer zu. 02:17:10.611 --> 02:17:16.890 Schon mal lustig, weil hier ja letztendlich, hä, also die die Veröffentlichen hier eine eindeutige Schrottepp. 02:17:17.564 --> 02:17:21.253 Und werden dafür ähm, 02:17:21.650 --> 02:17:36.131 werden die die wird natürlich einer zynischen Kritik und einem einem gewissen Argwohn unterzogen, ihnen werden aber die Schwachstellen gemeldet, ja? Das ist ja das, also sie sagen hier, das ist ja eine politische Gegner mit Haking-Affinität. 02:17:37.148 --> 02:17:49.922 Sie wollen einen Shitstorm provozieren, ja unglaublich, ja? Also was was für ein Quatsch ist, ja und vor allem also eine eine üble Diskreditierung halt der äh Sicherheitsforscher, die Ihnen ja die Schwachstellen melden. 02:17:50.818 --> 02:17:53.678 Jetzt kommt äh jetzt geht's weiter hm. 02:17:54.580 --> 02:18:05.029 Die Verantwortlichen der Digital Enable GmbH und AG bezogen diese Informationen und unter anderem weitere Parameter, wie nachfolgend aufgelistet, in eine Risikobeurteilung ein. 02:18:05.889 --> 02:18:11.910 Es besteht ein öffentlicher Haking-Aufruf gegen die Systeme der Digital N-Abling GmbH und der Elysatus AG. 02:18:12.733 --> 02:18:20.310 Großer Begriff öffentlicher Haking-Aufruf. Als wenn Hacker irgendwie aufgerufen werden müssten, ne. Ich meine, du hast ja eine du hast ja eine ähm. 02:18:20.803 --> 02:18:27.227 Ausweis-Infrastruktur für eine Bundesrepublik geschaffen und jetzt bist du nervös, weil es einen öffentlichen Haking-Aufruf gibt, ja? 02:18:26.927 --> 02:18:37.712 Das hätte sonst nicht stattgefunden. Oh Mann ey zusammen zusammenro. 02:18:35.357 --> 02:18:47.170 Nächster Spiegelstich. Offenkundig stehen die für die Digital in Abling GmbH im Kontext der ID Wallet betriebenen Systeme nicht isoliert im Fokus, sondern potenziell alle Systeme. Der Elsatos AG. 02:18:48.973 --> 02:19:01.862 Aufgrund der öffentlichen Äußerung einer versierten in Anführungszeichen Hacker-Community sind gezielte, konzertierte Haking-Angriffe auf alle Systeme möglich oder sogar wahrscheinlich. 02:19:05.721 --> 02:19:13.851 Aufgrund der negativen Intensität von Äußerungen und der teilweise politisch motivierten Diskussion besteht ein hohes Bedrohungspotential. 02:19:14.008 --> 02:19:22.870 Nicht weil du eine du nicht weil du eine Ausweisinfrastruktur gebaut hast die der Russe haben will oder so ne. Nein nein nein weil irgendjemand auf Twitter Happy Hacking äh geschrieben hat. 02:19:24.133 --> 02:19:36.109 Die anderen Systeme außerhalb des Kontextes, der ID Wallet werden mit angegriffen, um eine breite Front gegenüber der Digital Eving GmbH und der Elysatus AG aufzubauen. 02:19:38.609 --> 02:19:51.203 Überlegt war, dass akute Bedrohungsszenario lässt sich nicht mit einer einzelnen Maßnahme in kurzer Zeit adressieren, beispielsweise sind die NS Updates technisch beginnt, erst zeitlich verzögert aktiv. 02:19:53.109 --> 02:20:02.988 Und dann abzuwägen sind negative Reputationseffekte durch eine präventive Gesamtabschaltung gegenüber möglichen Seiteneffekten durch Angriffe. 02:20:03.444 --> 02:20:11.033 So, das waren quasi die Risikofaktoren und im letzten, ne, sie haben also jetzt, also um das noch mal zu übersetzen, sie haben ja jetzt gesagt, so oh Shit, 02:20:11.335 --> 02:20:16.376 nicht nur uns, sondern nicht nur all die Wallets, sondern alles, was da dran ist, gucken die sich auch an. 02:20:17.631 --> 02:20:22.204 Und wir müssen jetzt überlegen, was sind Repräsentationseffekte, wenn wir das Ding abschalten. 02:20:22.913 --> 02:20:28.333 Über möglichen Effekten durch Angriffe, ja? Das legen Sie jetzt vor. Jetzt muss ich ja zusagen. 02:20:28.935 --> 02:20:43.140 Also dass Sie denken äh die die wollen die das ganze Unternehmen hacken, ist natürlich Quatsch. Die Angreifer, in diesem Fall Sicherheitsforscher, die ja auch die Mails übrigens geschrieben haben, ja? Diese Supplemain Takeover ist ja die Schwachstelle, die Flüpfke, die den gemeldet hat. 02:20:43.993 --> 02:20:49.262 Ähm also der politische Gegner, der fröhlich und freundlich dir an deine, 02:20:49.336 --> 02:21:01.570 E-Mail-Adresse, die die Meldungen liefert über die Schwachstellen, die ihr findet, ja, dieser gemeine politische Gegner, warum schaut er unter den Subdomas der Unternehmen? Na ja, weil du da üblicherweise die Testinfrastrukturen findest. 02:21:02.195 --> 02:21:13.149 Also du du guckst dir natürlich an, okay die Wallet, was findest du, was gibt's da so? Und dann guckst du an, okay, hat vielleicht die haben die beteiligten Unternehmen nicht, vielleicht auch noch irgendwo was rumfliegen, wo man mal drauf schauen kann, 02:21:13.450 --> 02:21:23.640 Deswegen deswegen suchst du natürlich da, ist ja klar, wär's ja blöd dann aufzuhören und zu sagen, nee, nee, da beginnt ja das Unternehmen, da werden ja bestimmt nicht ihr haben oder weißt du ähm na ja. 02:21:24.284 --> 02:21:34.132 Das nur als kurze äh Erklärung, ja? Also du hast hier den den den den dümmsten politischen Gegner, der dich hacken will, dir gleichzeitig responsibles closers macht. 02:21:34.608 --> 02:21:35.923 Und. 02:21:36.477 --> 02:21:47.262 Jetzt kommt, also jetzt haben sie hier diese äh sieben Punkte und jetzt sagen sie, die Risikobeurteilung erfolgte durch die Verantwortlichen auf Seiten der Digital an GmbH und Ey Satus AG. 02:21:47.761 --> 02:22:00.369 In Abstimmung mit der Bundesdruckerei GmbH demzufolge unter besonderem Zeitdruck eine sich schnell aufbauende Angriffswelle von fachlich höchstversierten Angreifern mit extrem negativen, 02:22:00.500 --> 02:22:04.190 zu dem politisch motivierten Interessen würde, wurde für möglich gehalten, 02:22:04.472 --> 02:22:17.091 gemeinsam mit den Projektverantwortlichen und der Bundesdruckerei GmbH wurden am 2409. gegen 23 Uhr nach sorgfältiger Abwägung unter gegebenem Zeitdruck folgende, präventive Maßnahmen beschlossen und umgesetzt. 02:22:18.323 --> 02:22:19.152 Erstens. 02:22:20.042 --> 02:22:30.593 Offline-Setung, die am Standort langen befindlichen Systeme werden umgehend von der Internetverbindung getrennt, sowie verschiedene in Cloud-Infrastrukturen betriebene Systeme werden umgehend deaktiviert. 02:22:30.822 --> 02:22:34.206 Zweitens, gestaffelte Wiederinbetriebnahme. Es erfolgt 02:22:34.170 --> 02:22:47.142 über die folgende Tage eine prioritätsgeleitete Wiederinbetriebnahme der Systeme. Im Zuge dessen erfolgen zusätzliche Tests vor der erneuten Freigabe für die Online-Anbindung. Langen, 5undzwanzigsterNeun20, ein2und, 02:22:47.383 --> 02:22:50.749 So, warum habe ich den ganzen Kram jetzt noch vorgelesen? 02:22:51.158 --> 02:22:52.660 Sommer. 02:22:52.360 --> 02:23:02.333 Weil öffentlich immer gesagt wurde, die haben das abgeschaltet, ähm weil das System der großen Last nicht widerstehen konnte. 02:23:03.470 --> 02:23:07.238 Und das war ja damals schon lustig, dass das halt, 02:23:07.544 --> 02:23:18.150 einfach nur Quatsch sein kann, ja weil äh ich glaube da hatte ich ja den den Tweet von Henrik Plotz äh zitiert, indem er auch sagt ähm ja hier die haben, 02:23:18.409 --> 02:23:24.526 30 so Führerscheine ausgestellt, nicht pro Sekunde, sondern insgesamt. Und jetzt ist das System platt, ja, 02:23:24.658 --> 02:23:38.875 Und sie haben's halt abgeschaltet. So, das sind also jetzt hier zwei dann doch sehr interessante Fakten, weil diese Behauptung, das wäre unter der großen Last abgeschaltet worden und würde jetzt bald wieder hochgefahren mit größeren Ressourcen, die war eben unwahr. 02:23:39.008 --> 02:23:45.377 Ne und äh das ist natürlich so die Sache da, 02:23:45.558 --> 02:23:56.218 muss man ganz ehrlich sagen. Ich meine, ich kann schon verstehen, dass man ein System Not abschaltet, ja? Aber nicht unbedingt, weil irgendjemand was getwittert hat, ja ähm und vor allem nicht, 02:23:56.253 --> 02:24:05.087 sollte man nicht in einer solchen Situation sein, dass man ein ne, ein eine Ausweisinfrastruktur zusammen mit der Bundesdruckerei, 02:24:05.346 --> 02:24:11.006 Für die Bundesrepublik Deutschland baut? Und dann so nervös sein. 02:24:11.848 --> 02:24:20.927 Und so wenig sich das Ding angeguckt haben, dass wenn man es online nimmt und der Erste sagt, guck mal hier, der hat gar nichts im Griff, dass man's dann direkt wieder offline nehmen muss. 02:24:20.987 --> 02:24:30.781 Ja? Also ich wie gesagt es gibt Notabschaltungen, die sind manchmal nötig, ja? Aber doch nicht also wie ist dieses Projekt gemanagt, dass quasi zwei, drei Tweets, 02:24:31.035 --> 02:24:39.867 denen den Eindruck vermitteln. Sie müssen jetzt alles abschalten. Ja, das heißt ja, dass sie sich, dass sie überhaupt keinem vertrauen in die Sehnfrastruktur hatten. 02:24:40.409 --> 02:24:50.798 Ja? Also wenn du jetzt äh wenn du jetzt sagst, du du betreibst da irgendwas, ja? Jetzt sagt einer hucking, so dann dann hast du ja eigentlich eine eine Risikoabwägung, ein Sicherheitskonzept, dann weißt du, okay. 02:24:51.801 --> 02:24:58.110 Wir haben uns wir haben die wichtigsten Risiken geprüft. Wir wissen, da kann nicht viel kommen. Ähm. 02:24:58.959 --> 02:25:02.022 Wollen wir mal schauen. Wenn die was finden, können wir immer noch abschalten. 02:25:03.069 --> 02:25:15.976 Insbesondere jetzt am Anfang, wo das Scheißding eh noch keiner nutzt, aber dass du quasi äh wie man so schön sagt, äh Selbstmord aus Angst vor dem Tod begehst, das zeigt ja, dass du wirklich halt überhaupt gar kein Verständnis davon hast, äh was da, 02:25:16.006 --> 02:25:23.998 was du da überhaupt äh am Laufen hast. Und schaltest doch direkt alle Server von deiner Firma mit ab. Das ist schon ziemlich äh. 02:25:24.652 --> 02:25:26.112 Bemerkenswert, würde ich sagen. 02:25:25.819 --> 02:25:29.513 Ja und es ist auch auch total bemerkenswert, dass wenn dann, 02:25:29.629 --> 02:25:42.278 Solche Sicherheitsschwankungen von außen gemeldet werden, dass das dann auch einfach so von null auf hundert in so eine politische Lagerbeschimpfung geht, ja. Also Zusammenrottung des politischen Gegners. 02:25:42.752 --> 02:25:56.315 Das ist bei diesen Blockchain-Spackos ja ohnehin ein bisschen so, ne. Also ich habe das ja schon gesagt, dass ich da auch irgendwie habe ich das hier nicht erwähnt, dass es da jemanden, wo man bei Xing LinkedIn und Twitter blocken musste. Der einzige Mensch, den ich jemals per LinkedIn 02:25:56.170 --> 02:26:04.169 bloggen muss. Ich wusste gar nicht, wie das geht. Musste erst mal googeln, wie mal jemand bei Linking Blog. Ey, irgendwie so, die sind halt völlig in diesem Ding drin, ja, 02:26:04.402 --> 02:26:06.704 und und und also. 02:26:07.131 --> 02:26:16.252 Weil sie immer wieder mit der negativen, mit der mit der gemeinen Frage konfrontiert werden, warum eine Blockchain, wenn es auch ohne geht, ja ähm, 02:26:16.583 --> 02:26:28.841 und auf die sie keine sinnvolle Antwort finden, ja? Sind die da teilweise echt krass emotional unterwegs, ja? Mhm. Während ja hier die Schwachstellen in diesem System völlig offensichtlich sind. 02:26:29.262 --> 02:26:38.852 Auch nix mit der Blockchain zu tun haben. Die Blockchain brauchst du halt nur nicht, ne? Also aber da sind die sind ist tatsächlich so, dass ich das da ähm. 02:26:40.673 --> 02:26:49.339 Tja ich weiß auch nicht, wie ich das so wie ich das jetzt irgendwie zusammenfassen soll. Ich meine, die haben da irgendeine fixe Idee gehabt. Die haben das wahrscheinlich auch gut gemeint 02:26:49.284 --> 02:26:54.795 Ne? Aber das ist halt, es ist halt nun mal leider Käse, was sie da gebaut haben und, 02:26:55.198 --> 02:27:01.375 tja dann dann dann kommen sie da in so eine Kriegsrhetorik ja. Das ist schon schon erstaunlich. Also. 02:27:01.087 --> 02:27:09.956 Ja, es macht so ein bisschen den Eindruck, dass ihr Haus, was sie sich da gebaut haben, einfach so ähm auf so Fleischspießchen steht, ja. 02:27:09.871 --> 02:27:12.611 Und die das in gewisser Hinsicht auch wissen, 02:27:12.792 --> 02:27:21.235 dass sie äh völlig verunsichert sind davon, dass es da sozusagen so eine grundsätzliche Kritik daran gibt, die ja auch. 02:27:21.788 --> 02:27:23.615 Fundiert ist, ja 02:27:23.567 --> 02:27:34.802 sozusagen die Legitimation und vielleicht eben auch die politische Legitimation, weil das ja qua Bundesregierung alles gefördert ist und so weiter äh in irgendeiner Form bedroht 02:27:34.623 --> 02:27:41.438 und sie ja genau über diese Versprechen wahrscheinlich das äh Ganze dann auch überhaupt erst in diesen Prozess reinbekommen haben. 02:27:41.311 --> 02:27:53.082 Da das alles technisch dann aber äh nicht nicht wirklich einen festen Anker äh hat, sondern immer auf diesen Fleischspießchen steht, ist dann im Prinzip jeder eine Bedrohung, der irgendwie erstmal auf das Offensichtliche hinweist. 02:27:52.902 --> 02:27:58.382 Und dann wird dann halt gegreift und wird dann irgendwie Art Hominem da irgendwie eingeschüchtert. 02:27:59.135 --> 02:28:08.989 Das finde ich übrigens auch also das ist etwas, was ich jetzt mal so insgesamt dazu noch äh sagen muss, ne, wie, 02:28:09.380 --> 02:28:12.637 Mit Menschen, die Sicherheitslücken melden umgegangen wird. 02:28:13.333 --> 02:28:20.148 Das hat sich in diesem Jahr in meiner Wahrnehmung echt krass verändert. Ja ähm. 02:28:20.749 --> 02:28:29.919 Schauen wir uns an, ja wir haben ja hier mit äh Markus gesprochen, ne, Markus Mengenks, der die Luca-App-Sachen gemeldet hat. Dem haben sie ja auch, 02:28:30.178 --> 02:28:40.477 ziemlich üble Dinge unterstellt, ja? Äh unter anderem äh er hätte nicht ordentlich gemeldet und was nicht alles, ja, was ich ja, was ich ja schon, 02:28:40.500 --> 02:28:48.402 ehrverletzend finde. Schau dir an ähm hier das äh Vorgehen der CDU gegen Littlet Wittmann mit ihrer Connect-App. Ja äh also, 02:28:48.469 --> 02:28:54.543 mit der Connect-App der CDU ist ja nicht die App von Lilly, wird man ja nur gefunden, dass die eine offene ABI ist. Ähm und, 02:28:54.802 --> 02:29:07.650 Und und schau dir auch an, was weiß ich, zu welchen Versuchen dann doch relativ kläglicher Natur, sich die ähm Macher der Luca-App dann auch herablassen, ja? Und die Investoren. Das ist es ist irgendwie so eine ähm, 02:29:07.927 --> 02:29:16.417 Also es war früher so und es nee war auch nicht früher so. Aber du hast, nee, stimmt eigentlich nicht. Aber ich hatte ein paar Jahre den Eindruck. 02:29:17.150 --> 02:29:26.751 Dass man in der Vinolbility Disclower ähm inzwischen so ein bisschen erwachsen ist, ne. Ich mache das ja sehr viel für, 02:29:26.884 --> 02:29:38.872 CCC-Mitglieder, für Leute, die nicht CCC-Mitglied sind, die dann einfach hier sich äh beim CCC melden unter des Closia DE oder direkt bei mir und sagen, pass mal auf, ich habe das. Kannst du mal kurz was zu sagen? Ja und üblicherweise, 02:29:38.927 --> 02:29:42.363 gucke ich kurz über den Bericht, sage pass auf, das nochmal besser erklären 02:29:42.328 --> 02:29:52.429 nicht ganz verstanden und den und den Teil raus, weil das Quatsch oder unnützes Beiwerk, ja? Und dann kriege ich ja auch immer die Antworten mit, wie das so weiter verläuft. Schreiben Sie zurück und 02:29:52.321 --> 02:29:57.890 hier oder manchmal mache ich die Meldung ja auch für die Leute und üblicherweise kriegst du inzwischen schon, 02:29:58.006 --> 02:30:07.897 einfach eine in in in gewissermaßen professionelle Antwort, dass dir gesagt wird, vielen Dank für die Meldung. Äh wir haben folgende Maßnahmen ergriffen. Wir halten sie über weitere Maßnahmen auf dem Laufenden, 02:30:07.999 --> 02:30:21.189 äh danke sehr, ja? Und das ist so ein bisschen immer das, wo ich dann denke, na ja, okay, das ist die das ist die professionelle Antwort, die du bekommen kannst und dann hauen wir da ja auch jetzt nicht irgendwie übel weiter drauf, weil, 02:30:21.375 --> 02:30:28.237 ne Fehler machen und wenn die Leute irgendwie sich des Fehlers bewusst sind und damit ordentlich umgehen. Aber, 02:30:28.423 --> 02:30:36.055 Und es wurde ein gefühlt hatte ich den Eindruck in letzter Zeit seltener, dass so halt an so Leute gerätst, die völlig unsoverän damit umgehen. 02:30:36.566 --> 02:30:43.290 So ein bisschen, was ich erstmal als positiver für die Unterhaltung ein bisschen schade, aber erstmal als eine positive Entwicklung, 02:30:43.500 --> 02:30:53.871 gesehen habe, dass die Gesellschaft sich eben zum ja vernünftigen Umgang mit vernünftigen einerseits und auch aufrichtigen Umgang mit Sicherheitslücken hin entwickelt. 02:30:54.059 --> 02:30:58.217 Aber was du jetzt hier siehst, ist ja dann doch äh ein bisschen was anderes, ne? 02:31:01.791 --> 02:31:16.513 Das ist unangenehm, dass das äh so ist und ähm zeigt aber eigentlich auch nur, wie wichtig die Sicherheitsdebatte auch geworden ist. Ich glaube früher ne wurde dem Ganzen noch nicht so viel Aufmerksamkeit geschenkt, aber jetzt äh zeichnet sich eben auch, 02:31:16.767 --> 02:31:21.080 darüber dann eben auch so die Zukunft solcher Projekte dann auch ähm, 02:31:21.220 --> 02:31:33.164 davon abhängt. Und insofern ähm schade, dass das dann so unangenehm aufstößt bei euch, aber zeigt auf der anderen Seite auch, dass die ganze Sicherheitsdebatte mehr Aufmerksamkeit, 02:31:33.358 --> 02:31:34.710 zuteil wird. 02:31:35.335 --> 02:31:44.558 Ja und aber auch offenbar, dass den also ich finde es dann halt ähm ja, also es ist schon auf eine Weise bedauerlich, weil also, 02:31:44.895 --> 02:31:59.280 okay, warum ich, warum ich das so so schwierig finde, was da passiert. Es gibt Leute, die bauen jetzt irgendwelche sicherheitsrelevanten Dinger, ja und die haben erkennbar keine Ahnung davon. So, dann kommt die Community in ihrer Freizeit hin. 02:32:00.163 --> 02:32:05.511 Und äh reibt dir das unter die Nase, ja? Ähm letztendlich ist das ein, 02:32:05.735 --> 02:32:18.059 sicherlich nicht immer angenehmer Vorfall äh oder Prozess für die Betroffenen, die da ihren Mist in die Welt gesetzt haben. Aber es ist eben auch ein notwendiger und reinigender Prozess, ja? Und es ist immer noch besser 02:32:17.957 --> 02:32:27.324 als wenn diese ID Wallet jetzt Verbreitung gefunden hätte und dann Menschen durch die die verwenden dadurch zu Schaden kommen. Ja? Ähm, 02:32:27.613 --> 02:32:30.833 Aber für die Öffentlichkeit. 02:32:31.711 --> 02:32:39.499 Sind ja quasi diese ganzen Angriffe oft nicht nachvollziehbar. Ja? Also da da ist es dann am Ende geht es darum ja hier, 02:32:39.650 --> 02:32:49.577 Dieser Hacker sagt äh Schwachstelle, die sagen nein Hacker Idiot, ja? Und jetzt geht's so bisher hat die Hackerszene einen tadellosen 02:32:49.564 --> 02:32:54.431 Ruf und den hat sie sicher vor allem dadurch erarbeitet, dass sie halt auch in der Regel 02:32:54.396 --> 02:33:01.383 nur Schwachstellen meldet, die wirklich welche sind, weil sie halt Ahnung haben, ja? Und natürlich auch untereinander checken. Wenn du aber jetzt, 02:33:01.427 --> 02:33:11.095 Wenn sich jetzt quasi die Unternehmen, die in meinen Augen eben völlig verantwortungslos irgendwelchen Mist in die Welt setzen ohne Sicherheitskonzept wer die sich jetzt quasi auf diese. 02:33:11.623 --> 02:33:25.870 Auf diesen Weg begeben sozusagen, ja hier, äh dass der politischer Gegner zusammenraut, Otto und so, ne, dann ähm ist das quasi ein eine Bewegung wieder weg von einem vernünftigen aufgeklärten Umgang mit, 02:33:26.093 --> 02:33:35.984 Technik und IT-Sicherheitsrisiken. Und das finde ich sehr beunruhigend, was wir da in den letzten äh Wochen und Monaten gesehen haben. 02:33:37.552 --> 02:33:49.697 Stimmt dir voll zu, dass es beunruhigend ist. Ich wollte nur den positiven Aspekt unterstreichen als Berufsoptimist, dass das eben letztlich auch davon zeugt, dass es eben auch alles 02:33:49.650 --> 02:33:51.884 mehr Bedeutung erlangt und der Kampf, 02:33:52.077 --> 02:33:59.889 auch mit etwas härteren Bandagen geführt wird und vielleicht eben auch auf eine Art und Weise, wie es überhaupt nicht angemessen ist. 02:34:00.080 --> 02:34:02.640 Sicherlichkeit kein Spaß. 02:34:03.657 --> 02:34:09.179 Brauchen alle Gelassenheit durch Kompetenz. Die fehlt denen. 02:34:07.183 --> 02:34:12.801 Genau. Probiert's mal. Probiert's mal mit Gemütlichkeit, Leute. 02:34:13.428 --> 02:34:15.230 Und Lockfor Jay. 02:34:14.930 --> 02:34:20.746 So lass Schluss machen jetzt. 02:34:19.166 --> 02:34:25.090 Lange Sendung äh wir danken allen und äh bis dahin. 02:34:25.391 --> 02:34:29.344 Nee und das ist wahrscheinlich auch, ist das nicht unsere letzte Sendung in diesem Jahr? 02:34:29.856 --> 02:34:33.683 Weiß ich nicht, mal gucken, vielleicht auch ist ja bald schon Weihnachten. 02:34:33.468 --> 02:34:38.936 Ja äh ja ist denn schon Weihnachten? Also äh ich würde mal meinen, da ich ähm 02:34:38.923 --> 02:34:45.473 Also ich also wenn du noch eine Sendung machen willst, dann vielleicht ohne mich. Ähm, 02:34:45.563 --> 02:34:59.246 Aber äh ich glaube können das Jahresende jetzt schon mal einleiten, es sei denn es kommt noch irgendwas total Wichtiges um die Ecke, was äh unbedingt jetzt über Weihnachten noch geschildert werden muss, aber ich vermute mal, wir machen im nächsten Jahr weiter. 02:34:59.102 --> 02:35:05.891 Ja, okay, dann äh gehen wir mal davon aus, dass äh wenn du wenn es nicht langweilig wird, wäre erstmal keine Sendung mehr machen bisher nur. 02:35:05.610 --> 02:35:20.218 Genau, insofern können wir uns dann auch fürs äh Zuhören in diesem Jahr bedanken und ähm für all die ganze Unterstützung und Teilhabe äh vor allem, die ihr so äh uns gewährt habt, also durch ähm die Kommentare. 02:35:20.489 --> 02:35:25.313 Durch äh wohlwollende äh Kommentierung im, 02:35:25.620 --> 02:35:33.521 auf den äh öffentlicheren Kanälen ähm Tipps per E-Mail, ähm. 02:35:34.062 --> 02:35:41.892 Generelle Unterstützung und äh das Weitersagen und so und das man merkt das und das ist schön. 02:35:43.720 --> 02:35:48.767 Ja, dem kann ich mich nur anschließen. Ja, jetzt auch insbesondere hier bei dieser ähm. 02:35:49.266 --> 02:35:59.217 Messenger Interoperabilitätsdiskussion auch wieder gesehen äh kluge Leute mit äh klugen Antworten und Ergänzungen. Ähm. 02:35:59.728 --> 02:36:02.450 Und auch so, das ist schon immer sehr erfreulich. 02:36:03.099 --> 02:36:13.584 Dass die Qualität an Auseinandersetzungen, die wir uns bewahren konnten in dieser in diesem schönen zweiten Jahr, der war nämlich. 02:36:13.459 --> 02:36:27.741 Und noch besser, ihr erspart uns äh Werbung äh für andere zu machen, indem ihr Werbung für uns macht. Das ist überhaupt einfach das Beste überhaupt so. Habt Spaß mit euren äh neuen Textilien und beim ähm, 02:36:27.766 --> 02:36:30.920 gefragt werden, wann was denn das jetzt äh wieder bedeutet. 02:36:31.563 --> 02:36:41.724 Was ihr da so auf der äh Brust tragt und ja. Wir freuen uns äh aufs nächste Jahr mit euch und äh machen weiter, wie ihr es gewohnt seid. 02:36:42.657 --> 02:36:45.732 Dann hoffentlich auch bald mal wieder irgendwie live irgendwo, aber, 02:36:46.070 --> 02:36:54.398 erstmal noch die Variante aussitzen. Omi Krohn hat gesagt, wir dürfen noch nicht. Leute, bis bald. Tschüss. 02:36:54.387 --> 02:36:56.988 Bis denn, tschau tschau.