Wer auf dem letzten Congress war, der dürfte sicherlich die Jungs von monochrom mitbekommen haben, die in den Fluren ihr Liedchen zu RFID und anderen Themen angestimmt haben.

Ähnlich viel Spass verbreitet ihre regelmässige Veranstaltung Taugshow, die häufig in Wien, aber eben auch an anderen Orten stattfindet. Und diesen Samstag sind sie in Berlin in der c-base zu Gast: Taugshow 11 ab 21 Uhr. Das ganze hat erstklassigen Unterhaltungswert und ist auf jeden Fall die Empfehlung des Wochenendes.

Was nicht jeder weiß: schon vor einiger Zeit wurde das MP3- und OGG-Streaming des Chaosradio von der Community übernommen (unter anderem, weil wir es einfach regelmäßig verpeilt haben, die Server scharf zu schalten). Informationen zum Streaming gibt es im Chaosradio Wiki.

Richtig schick ist die live aktualisierte Statistik-Seite, wo alle teilnehmenden Server zusammengefasst werden. Sehr löbliche Initiative, großartig ausgeführt. Wir danken.

In Google Earth gibt es ja diesen tollen 3D-Gebäude-Layer, der sich teilweise aus dem 3D Warehouse speist, wo jeder 3D-Modelle hochladen kann. Das Modell von Marten, dass wir auf dem 23C3 für Live-Visualierung Sputnik verwendet haben stand nun Pate für eine entsprechende Version für Google Earth, taucht aber wohl erst automatisch auf, wenn es von Benutzern entsprechend positiv bewertet wurde.

Damit unser Congress- und Blinkenlights-Gebäude auch würdig auftaucht wäre es also hilfreich, wenn das wirklich schicke Modell die entsprechenden Stimmen erhalten würde. Wer nicht zu privatsphärenfixiert ist und einen Google Account hat sei also hiermit aufgefordert mitzustimmen, damit es das derzeit von Google Earth bevorzugte, etwas unvollständige und nicht wirklich korrekt konstruierte Modell überholt. Klickst Du hier.

Marten arbeitet übrigens schon seit vielen Jahren an einem umfassenden 3D-Modell des Berliner Alexanderplatzes. Als einer der Gründer des c-base-Projekts hat er bereits eine Unmenge an Arbeit in die Modelle gesteckt . Übrigens: auch das 3D-Modell der Fairy Dust-Rakete auf dem aktuellen Camp-Poster stammt von Marten und es war auch die Blaupause unserer realen „Aussenraumskulptur“, die jeder, der in den letzten Jahren auf dem Congress war, schon mal gesehen haben dürfte. Wenn das jetzt mit dem HdL-Modell klappt bin ich recht zuversichtlich, dass er auch die anderen Modelle umsetzt, damit der Alex in Google Earth in voller Pracht erstrahlt.

Ach ja: Die Abstimmung funktioniert derzeit offenbar nur mit Gecko-basierten Browsern. Mit Safari habe ich keinen Erfolg gehabt. Seufz.

Da Holgi nun leider andere berufliche Wege eingeschlagen hat und Chaosradio daher verlassen musste wurde es Zeit für einen Nachfolger an den Reglern. Der steht nun fest: künftig wird das Chaosradio von Jakob Kranz begleitet. Wir freuen uns auf Jakob und wir wissen, dass Jakob sich auf Chaosradio freut. Nächsten Mittwoch geht es los: CR123 Biometrische Vollerfassung berichtet über die Zusammenhänge von Fotofahndung, zentraler Fingerabdruckdatei und der Personenkennziffer.

Frank und Constanze vom CCC haben sich im Chat auf tagesschau.de zum Thema Bundestrojaner geäußert. Lesenswert.

Tolle Sache für alle Freunde des gepflegten schwedischen Modularkaufs: der ikea hacker erklärt, wie man mehr draus macht. Tolle Sache.

Für den digitalen Widerständler höchst zu empfehlen: der
Parole Font, das „Carepaket für den politischen Widerstand“. Ein Font mit Schattenriss-„Schäublonen“ unserer aktuellen Ministerriege und anderen Vollüberwachern.

Schon vorher ganz toll und hier wg. Datenunfall ungebloggt: Stasi 2.0.

Letztes Wochenende lief die Woche des Hörspiels 2007 der Akademie der Künste in Berlin an. Dort wird allerlei interessantes Rund um Hörspiel, Klangkunst und Radiomachen geboten. Kommendes Wochenende heißt der Schwerpunkt Medienforum, in dessen Rahmen wiederum die Diskussionsrunde Radio und Internet: Hörspiel mit Netzanschluss stattfindet. An dieser werde ich dann auch teilnehmen, gemeinsam mit François Smitt-Löffler und Markus Heidmeier und Jana Wuttke vom Blogspiel. Moderiert wird das ganze durch Uwe Kammann (Direktor und Geschäftsführer des Adolf-Grimme-Instituts).

Jeder von uns wird kurz einführend sein Thema präsentieren (das sind bei mir Podcasts) und dann soll das ganze in eine unterhaltsame und informative Diskussion münden. Wer Lust hat, dabei zu sehen geht am Freitag, den 27. April um 16.30 (bis 18.00 Uhr) in die Akademie der Künste im Hanseatenweg und dort ins Studiofoyer.

Ich möchte mich noch mal nachträglich zu der Thematik der Netzwerksicherheit und der Geschichte der „mitgeschnittenen Passwörter“ auf der re:publica äußern, die bislang ein wenig out of context reflektiert wurde. Das Thema wurde ja im Nachgang – zu recht – heiß diskutiert.

Auf der re:publica wurde von den Veranstaltern ein freies WLAN mit Internetzugang angeboten. Dieses war offen zugänglich und wurde auch von vielen genutzt. Nun ist es so, dass in einem WLAN alle Teilnehmer gleichzeitig auf dem Netzwerk senden und empfangen können. Und das bedeutet wiederum auch, dass alle Teilnehmer auf dem Netzwerk empfangen können, was andere senden. Ist das Gesendete unverschlüsselt ist auch das Empfangene unverschlüsselt. Mit einfachen Worten: jeder kann den Datenverkehr von jedem anderen vollständig mitlesen ohne einen besonderen technischen Aufwand zu treiben. Und das ist auch nichts neues. weiß bloss nicht jeder.

Auf der re:publica habe ich dann einfach mal zum Testen das Programm dsniff angeworfen, was einem die Datenpakete schön zusammensetzt, nach Protokollen mit unverschlüsselter Authentisierung fahndet und diese Login-Informationen dann herausschneidet und isoliert auf dem Bildschirm anzeigt. Dieses Programm ist keine Rocket Science. Und es ist auch kein böses Hacker-Tool, sondern ein Werkzeug für Sicherheitsexperten, um Schwachstellen zu entdecken. Und das Tool ist auch nicht neu, sondern exisitiert bereits seit über 7 Jahren.

Auf meinem Bildschirm war schön was los. Reihenweise scrollten HTTP-Cookies (von „gemerkten“ Anmeldungen via HTTP), POP3– und FTP-Passwörter und noch so einige andere Dinge durch. Ich habe diese Daten nicht mitgeloggt oder sonstwie gespeichert. Aber ganz artig war ich nicht: in zwei Fällen habe ich mir den Spass erlaubt, den Teilnehmern unter ihrer eigenen Mailadresse eine Sicherheitswarnung zu schicken, in einem anderen Fall habe ich kurz mal geschaut, welche Möglichkeiten mir der FTP-Zugang gegeben hätte (Zugang zu mindestens drei Installationen bekannterer TOP-XXX Blogs in Deutschland). Auch hier habe ich die Kennwörter nur für kurze Zeit via Copy und Paste verwendet und auch mein Browser hat sich nix gemerkt. Das hat mir dann auch gereicht und meine Experimentierphase war damit abgeschlossen.

Solche Dinge will man auch nicht wissen. Und schließlich war das auch nichts Aufregendes: auf nahezu jeder Konferenz sieht es heutzutage ähnlich aus. Einen Unterschied mögen vielleicht CCC-Veranstaltungen machen, wo die Vorsicht der Teilnehmer durch jahrelange öffentliche Besniffung etwas besser trainiert ist: beim Chaos Communication Congress liefen schon vor Jahren die Sniffer auf Beamern (allerdings mit leicht gekürzten Kennwörtern). Aber auch auf einem Congress wird man unter Garantie noch was aus dem Netz ziehen können, machen wir uns nichts vor. Ich wurde auch schon selbst Opfer solcher „Untersuchungen“ und habe meine Lektion gelernt. Hoffe ich zumindest. Wie mein verpeiltes Backup jüngst gezeigt hat schützt auch Erfahrung manchmal wenig. Shit happens. And then you die.

Wobei wir bei einem Kritikpunkt sind, der noch vor Ort diskutiert wurde: beim Datenschutz-Workshop wurde ein dsniff-Output live auf den Beamer geworfen. Die Kennwörter scrollten also schön sichtbar für alle über die Wand (allerdings gab es in den Raum keine Videoaufzeichnung und soweit ich das beurteilen konnte filmte auch sonst niemand mit). Dies sorgte für Aufregung, weil das ja „unverantwortlich“ sei. Nun, darüber kann man natürlich geteilter Meinung sein, aber es ist auch klar: jeder Laptop-Besitzer hätte sich diese Liste jederzeit selbst genererieren können und es ist durchaus vorstellbar, dass irgendein Schwarzhut auch einfach die ganze Zeit alle Kennwörter mitgeloggt hat, um sie danach zum Einsatz zu bringen. Ich habe davon keine Kenntnis, aber man kann es eben auch nicht ausschliessen. Jetzt sich über die Leute aufzuregen, die die schlechte Botschaft überbracht haben, ist Augenwischerei. Letztlich wurde durch die Aktion mit dem Beamer (und wohl auch durch meinen kurzen Kommentar zu Beginn einer Veranstaltung, der dann später im Spreeblick-Heft abgedruckt wurde), das Nachdenken bei den Webworkern erst eingeleitet.

Ich habe extrem viele Leute gesprochen, für die das alles immer noch Neuland war und nicht auch nur geahnt haben, dass das so einfach ist und sie tagelang der Öffentlichkeit die Kennwörter für ihre wichtige und private Infrastruktur mitgeteilt haben. Die waren eigentlich sehr froh, dass das Thema auf den Tisch gebracht wurde und gelobten in der Regel, mindestens ihre Kennwörter zu ändern wenn nicht sogar ihre gesamte Sicherheitsstruktur zu überdenken.

Hier schlummert dann im übrigen das eigentliche Problem: viele ISPs und Hoster bieten sichere Infrastruktur überhaupt nicht an. Dateizugriff via SFTP? Pustekuchen. POP3S für verschlüsselten E-Mail-Abruf? Na wo kommen wir denn dahin? Zusätzliche IP-Adressen für SSL/TLS-Zugang zu Blog-Adminbereichen und Benutzerzugängen? Das wird teuer! Mit Sicherheit scheint derzeit noch kein Markt gemacht werden zu können. Es wird Zeit, dass die Kunden dies hinterfragen!

Wenig Verständnis habe ich allerdings für diverse Startups und Webzwonull-Dienste, die irgendwie immer noch nicht eingesehen haben, dass Verschlüsselung der Kundenzugänge auch in ihrem Interesse ist. Weder z.B. Technorati, Twitter und auch Wikipedia (und diese Liste ist sehr, sehr lang) sehen offensichtlich wenig Sinn darin, die digitalen Identitäten ihrer Benutzer zu schützen und scheuen die notwendigen Mehrausgaben und den technischen Zusatzaufwand. Dabei gibt es auch Gegenbeispiele wie z.B. XING, die den kompletten Zugriff mit HTTPS absichern. Es geht also. Warum nicht alle?

Ich denke, ich werde auf dem nächsten Webworker-Meeting (meine Empfehlung: 9to5 von der ZIA im August) mal einen kleinen Vortrag zu diesem Thema vorbereiten. Es gibt wohl Bedarf :)

Weil es schon Zweifel gibt, weise ich hier kurz mal darauf hin: das nächste Chaosradio fällt nicht aus, es wird lediglich um eine Woche verschoben (auf den 2.5), weil an unserem Stammtermin bei Fritz eine Spezialthemen-Tag ansteht. Später mehr.