Ich möchte mich noch mal nachträglich zu der Thematik der Netzwerksicherheit und der Geschichte der „mitgeschnittenen Passwörter“ auf der re:publica äußern, die bislang ein wenig out of context reflektiert wurde. Das Thema wurde ja im Nachgang – zu recht – heiß diskutiert.

Auf der re:publica wurde von den Veranstaltern ein freies WLAN mit Internetzugang angeboten. Dieses war offen zugänglich und wurde auch von vielen genutzt. Nun ist es so, dass in einem WLAN alle Teilnehmer gleichzeitig auf dem Netzwerk senden und empfangen können. Und das bedeutet wiederum auch, dass alle Teilnehmer auf dem Netzwerk empfangen können, was andere senden. Ist das Gesendete unverschlüsselt ist auch das Empfangene unverschlüsselt. Mit einfachen Worten: jeder kann den Datenverkehr von jedem anderen vollständig mitlesen ohne einen besonderen technischen Aufwand zu treiben. Und das ist auch nichts neues. weiß bloss nicht jeder.

Auf der re:publica habe ich dann einfach mal zum Testen das Programm dsniff angeworfen, was einem die Datenpakete schön zusammensetzt, nach Protokollen mit unverschlüsselter Authentisierung fahndet und diese Login-Informationen dann herausschneidet und isoliert auf dem Bildschirm anzeigt. Dieses Programm ist keine Rocket Science. Und es ist auch kein böses Hacker-Tool, sondern ein Werkzeug für Sicherheitsexperten, um Schwachstellen zu entdecken. Und das Tool ist auch nicht neu, sondern exisitiert bereits seit über 7 Jahren.

Auf meinem Bildschirm war schön was los. Reihenweise scrollten HTTP-Cookies (von „gemerkten“ Anmeldungen via HTTP), POP3– und FTP-Passwörter und noch so einige andere Dinge durch. Ich habe diese Daten nicht mitgeloggt oder sonstwie gespeichert. Aber ganz artig war ich nicht: in zwei Fällen habe ich mir den Spass erlaubt, den Teilnehmern unter ihrer eigenen Mailadresse eine Sicherheitswarnung zu schicken, in einem anderen Fall habe ich kurz mal geschaut, welche Möglichkeiten mir der FTP-Zugang gegeben hätte (Zugang zu mindestens drei Installationen bekannterer TOP-XXX Blogs in Deutschland). Auch hier habe ich die Kennwörter nur für kurze Zeit via Copy und Paste verwendet und auch mein Browser hat sich nix gemerkt. Das hat mir dann auch gereicht und meine Experimentierphase war damit abgeschlossen.

Solche Dinge will man auch nicht wissen. Und schließlich war das auch nichts Aufregendes: auf nahezu jeder Konferenz sieht es heutzutage ähnlich aus. Einen Unterschied mögen vielleicht CCC-Veranstaltungen machen, wo die Vorsicht der Teilnehmer durch jahrelange öffentliche Besniffung etwas besser trainiert ist: beim Chaos Communication Congress liefen schon vor Jahren die Sniffer auf Beamern (allerdings mit leicht gekürzten Kennwörtern). Aber auch auf einem Congress wird man unter Garantie noch was aus dem Netz ziehen können, machen wir uns nichts vor. Ich wurde auch schon selbst Opfer solcher „Untersuchungen“ und habe meine Lektion gelernt. Hoffe ich zumindest. Wie mein verpeiltes Backup jüngst gezeigt hat schützt auch Erfahrung manchmal wenig. Shit happens. And then you die.

Wobei wir bei einem Kritikpunkt sind, der noch vor Ort diskutiert wurde: beim Datenschutz-Workshop wurde ein dsniff-Output live auf den Beamer geworfen. Die Kennwörter scrollten also schön sichtbar für alle über die Wand (allerdings gab es in den Raum keine Videoaufzeichnung und soweit ich das beurteilen konnte filmte auch sonst niemand mit). Dies sorgte für Aufregung, weil das ja „unverantwortlich“ sei. Nun, darüber kann man natürlich geteilter Meinung sein, aber es ist auch klar: jeder Laptop-Besitzer hätte sich diese Liste jederzeit selbst genererieren können und es ist durchaus vorstellbar, dass irgendein Schwarzhut auch einfach die ganze Zeit alle Kennwörter mitgeloggt hat, um sie danach zum Einsatz zu bringen. Ich habe davon keine Kenntnis, aber man kann es eben auch nicht ausschliessen. Jetzt sich über die Leute aufzuregen, die die schlechte Botschaft überbracht haben, ist Augenwischerei. Letztlich wurde durch die Aktion mit dem Beamer (und wohl auch durch meinen kurzen Kommentar zu Beginn einer Veranstaltung, der dann später im Spreeblick-Heft abgedruckt wurde), das Nachdenken bei den Webworkern erst eingeleitet.

Ich habe extrem viele Leute gesprochen, für die das alles immer noch Neuland war und nicht auch nur geahnt haben, dass das so einfach ist und sie tagelang der Öffentlichkeit die Kennwörter für ihre wichtige und private Infrastruktur mitgeteilt haben. Die waren eigentlich sehr froh, dass das Thema auf den Tisch gebracht wurde und gelobten in der Regel, mindestens ihre Kennwörter zu ändern wenn nicht sogar ihre gesamte Sicherheitsstruktur zu überdenken.

Hier schlummert dann im übrigen das eigentliche Problem: viele ISPs und Hoster bieten sichere Infrastruktur überhaupt nicht an. Dateizugriff via SFTP? Pustekuchen. POP3S für verschlüsselten E-Mail-Abruf? Na wo kommen wir denn dahin? Zusätzliche IP-Adressen für SSL/TLS-Zugang zu Blog-Adminbereichen und Benutzerzugängen? Das wird teuer! Mit Sicherheit scheint derzeit noch kein Markt gemacht werden zu können. Es wird Zeit, dass die Kunden dies hinterfragen!

Wenig Verständnis habe ich allerdings für diverse Startups und Webzwonull-Dienste, die irgendwie immer noch nicht eingesehen haben, dass Verschlüsselung der Kundenzugänge auch in ihrem Interesse ist. Weder z.B. Technorati, Twitter und auch Wikipedia (und diese Liste ist sehr, sehr lang) sehen offensichtlich wenig Sinn darin, die digitalen Identitäten ihrer Benutzer zu schützen und scheuen die notwendigen Mehrausgaben und den technischen Zusatzaufwand. Dabei gibt es auch Gegenbeispiele wie z.B. XING, die den kompletten Zugriff mit HTTPS absichern. Es geht also. Warum nicht alle?

Ich denke, ich werde auf dem nächsten Webworker-Meeting (meine Empfehlung: 9to5 von der ZIA im August) mal einen kleinen Vortrag zu diesem Thema vorbereiten. Es gibt wohl Bedarf :)

Weil es schon Zweifel gibt, weise ich hier kurz mal darauf hin: das nächste Chaosradio fällt nicht aus, es wird lediglich um eine Woche verschoben (auf den 2.5), weil an unserem Stammtermin bei Fritz eine Spezialthemen-Tag ansteht. Später mehr.

Auf der re:publica gibt es diese schicken Screens von von MacNetix, die permanent das mit Pentabarf erfasste Programm anzeigen. Sehr hübsch.

Kurz nachdem sich die Nachricht vom Knacken von WEP in unter 60 Sekunden wie ein Lauffeuer verbreitete traf ich einen der Autoren der neuen Methode in Hamburg. Er war ein later Bekannter: Erik Tews ist schon lange Mitglied im CCC und ist mir von vielen CCC-Veranstaltungen bekannt. Also haben wir uns zusammengesetzt und ein Gespräch für Chaosradio Express geführt: CRE044 WEP is dead.

Morgen beginnt die re:publica und ich habe mich für ein paar Moderationen und einen Vortrag verpflichten lassen.

Das ganze beginnt morgen (Dienstag 11.4.2007) um 18 Uhr im Hauptsaal mit dem Podiumsgespräch „Generation MashUp„. Hier soll hinterfragt werden, welche Relevanz und Zukunft Mashup-Technologien haben und ob sie die eher die Position der Anbieter oder der Remixer stärkt und wenn ja auf welche Weise. Die Diskutanten sind Gregor Hochmuth, Bernhard Reiter und Joachim Glaubrecht.

Am zweiten Tag (Donnerstag)geht es weiter mit „Programmgestaltung im Podcasting„, ein Panel, was ich selbst zusammengestellt habe. Hier sollen Podcaster aus ihren Erfahrungen berichten und zu ihren Formaten, Hörerbindungen und anderen Aspekten der selbständigen Programmplanung diskutieren. Hier konnte ich Oliver Lysiak (vom Batzcast), Philip Banse (vom Küchenradio), Simon Solaris (vom Neurotainment Podcast) und Laura Dierking (vom J!Cast) gewinnen.

Am dritten Tag (Freitag), schön früh um 10 Uhr (seufz), ist dann das dritte und letzte Panel: „Die Medien(r)evolution“ mit Johnny Haeusler, Thomas Knüwer, Jochen Wegner und Mercedes Bunz. Hier soll ein blickt in die Zukunft gewagt werden, wie sich die Medienentwicklung abzeichnet und welche Ergebnisse und Erfolge bislang eigentlich wirklich schon zu verzeichnen sind.

Vorher biete ich noch einen Einblick in „Das Pentabarf Konferenzplanungssystem„, das ja auch zur re:publica zum Einsatz kam.

In unserer Pipeline sind noch so einige Dokuvideos, die auch bald mal veröffentlicht werden sollen. Für die Doku vom Camp 1999 (!) haben wir im Prinzip schon einen fertigen Film, allerdings muss er noch einmal neu vertont werden, da die aktuelle Version nur mit unfreier Musik unterlegt ist.

Nun überfordert uns die Musiksuche ein wenig, zumal die ursprünglich ausgewählte Musik eigentlich super passt. Wir suchen nun also ein paar kundige Music Scouts, die uns passende Musik, die unter einer freien Lizenz verfügbar sind (alle CC-Lizenzen tun es) heraussuchen und vorschlagen. Das wäre uns eine große Hilfe.

Wer Lust hat, mitzuhelfen, sollte sich bei mir per Mail (tim ett ccc punkt de) melden und dann schicke ich eine Vorabversion von dem Video. Vielen Dank schon mal im voraus. Ach ja: bitte weitersagen.

Update: Ich sollte noch hinzufügen, dass die derzeitige Musikauswahl im sanften elektronischen Bereich angesiedelt ist und wir dementsprechend freies Ersatzmaterial suchen.

Na? Gehört Ihr auch zu den Leuten die ihre leeren CD-Boxen nie wegschmeissen? Jetzt wisst ihr warum: Dual Use at it’s best.

Ich bin aus bestimmten Gründen bis Donnerstag in München. Donnerstag reise ich in Richtung Easterhegg nach Hamburg weiter. Falls jemand noch spannende Tips für Mittwoch hat, bin ich ganz Ohr.

Die Geheimrezepte der Superhacker sprechen sich rum. Jetzt ist auch Bruce Sterling dahintergekommen: Club-Mate, favorite drink of the Chaos Computer Club.

Für den heutigen Tag gebe ich dem geneigten Leser das fünfte diskordische Gebot mit auf den Weg:

A Discordian is Prohibited of Believing What he reads.

Viel Glück.