Beitragsbild 35c3

35c3: Hacking, Netzpolitik und jede Menge Reizüberflutung

7. Januar 2019
von

Der Chaos «Communications Congress» ist kein normaler Kongress. Organisiert wird er vom «Chaos Computer Club», einer Hackervereinigung, die vor allem in Deutschland aktiv ist. Wer beim Wort «Hacker» nun zusammenzuckt und sofort an die herunterfallen grünen, kryptischen Zeichen aus den Matrix-Filmen denkt, sollte hier unbedingt weiterlesen. Denn das verbreitete Bild von bösen Computernerds, die im stillen Kämmerlein hocken und nur Verwirrung und Verunsicherung stiften wollen, kann man sofort wieder vergessen. Es ist Hollywood-Blödsinn. Vielmehr ist der CCC eine Vereinigung von sogenannten White-Hat-Hackern, die es sich zum Ziel gesetzt haben, die digitale Welt sicherer zu machen. Das erreichen sie durch die Teilnahme an politischen Kampagnen, der Aufdeckung und Bekanntmachung von Sicherheitslücken und eben durch einen Kongress wie den 35c3. Wie es dort zu und her geht, erfahrt ihr in diesem Artikel.

Dieser Beitrag muss mit sehr wenigen Bildern auskommen. Nicht etwa, weil ich faul bin oder meine Kamera schlecht, sondern schlicht und einfach, weil das Fotografieren von fremden Personen am Kongress, um den es in diesem Artikel geht, ohne deren Einwilligung ausdrücklich verboten ist. Die Rede ist vom 35. Chaos Communications Congress, der dieses Jahr zum zweiten Mal in Leipzig stattgefunden hat. Ein Erlebnisbericht.

26. Dezember 2018

Für einen Wintermonat ist es noch relativ warm, als wir in unserem Hotel in Schkeuditz in der Nähe von Leipzig ankommen. Nach über fünf Stunden Autofahrt stehen wir nun vor dem Check-in-Automaten, da die Rezeption um diese Zeit nicht mehr besetzt ist. Nachdem die richtigen Tasten gedrückt wurden, rollt uns auch schon der Zimmerschlüssel für ein Hotelzimmer entgegen, in dem wir in den kommenden Tagen nicht viel Zeit verbringen werden.

Obwohl der Kongress offiziell erst morgen beginnt, machen wir uns schon auf den Weg zum Messegelände, denn es gibt noch einiges zu tun. Im CCC-Slang ist heute der Day 0. Von aussen erkenne sogar ich als erstmaliger Teilnehmer schon von weitem, dass das hier kein normaler Kongress werden wird. Alle Fenster leuchten bunt, Weisslicht ist wenig zu sehen. Gegen Vorweisung eines digitalen Codes auf einem analogen Medium (QR-Code auf Papier) bekommen wir Einlass gewährt und werden mit einem Kongressbändchen am Arm dekoriert. «Refreshing Memories» steht da drauf – das Motto des diesjährigen Kongresses.

Jetzt heisst es erstmal: Sich eine ruhige Ecke suchen und die DECT-Phones einrichten. Für jeden Kongress wird nämlich ein eigenes, internes Telefonnetzwerk aufgebaut, über das die Teilnehmer miteinander kommunizieren können. Ganz nebenbei läuft auch noch ein eigenes GSM-Netzwerk, über das man zum Beispiel mit einem normalen Smartphone telefonieren kann. Für 3€ gibt es eine SIM-Karte dafür. Zum Glück hat mein Handy einen Dual-SIM-Slot, so muss ich meine Haupt-SIM nicht entfernen.

Lasershow auf dem Kongress-Gelände

Anschliessend brechen wir in den Himmel auf. Das ist die Hauptzentrale der Engel. Als Engel werden alle Helfer bezeichnet, die zu einer erfolgreichen Durchführung des Kongresses beitragen und ohne die eine Durchführung auch nicht möglich wäre. Ich bin erstaunt, wie viele sich hier schon angemeldet haben. Am letzten Tag werden es weit über 4’000 sein, bei einer Gesamtzahl von insgesamt 17’000 Kongressteilnehmern. Für die Koordination wurde sogar eigens ein Tool entwickelt. Open Source, versteht sich. Wir melden uns am Infodesk, um unsere Ankunft zu bestätigen und Zugriff auf das System zu bekommen. Danach geht es zuerst in die Leipziger Innenstadt zum Chinamann und anschliessend zurück ins Hotel.

27. Dezember 2018

Der Kongress beginnt. Am Mittag sind wir vor Ort, pünktlich für das Opening Event. Mit einer 3D-Animation, in der sichtlich hunderte von Arbeitsstunden stecken, und einer kurzen Einführung für alle Neulinge werden die Teilnehmer begrüsst.

Danach geht es ohne Pause weiter in den Raum Borg. Das ist eigentlich eher eine Halle. Hier findet gerade ein Vortrag von Hanno Böck statt: The Rocky Road to TLS 1.3 and better Internet Encryption. TLS ist ein Protokoll zur Verschlüsselung von Inhalten, die zum Beispiel über das Internet übertragen werden. Hanno Böck erklärt sehr anschaulich, was das Problem war mit den früheren Versionen des Protokolls und wie man diese mit TLS 1.3 lösen will. Die Einführung gestaltet sich jedoch schwierig, da für viele Betreiber von Diensten, die über das Internet angeboten werden, die Umsetzung mit sehr viel Aufwand verbunden ist und auch Hersteller von Enterprise-Software, welche oft in Unternehmen eingesetzt wird, solche Anpassungen viel länger aufschieben als nötig. Gerade Banken haben sich wiederholt gegen TLS 1.3 ausgesprochen, da sie Nachteile befürchten, wenn gewisse Bestandteile von älteren Versionen als veraltet («deprecated») markiert werden. Die Antwort eines Kryptographen auf eine entsprechende Anfrage lautet lapidar:

My view concerning your request: no.
Rationale: we’re trying to build a more secure internet.

Nach dem Mittagessen (die Foodsituation auf dem Messegelände lässt leider sehr zu wünschen übrig) steht ein kurzes Geocaching-Event auf dem Plan, welches jedes Jahr am Kongress stattfindet. Wir lernen andere Cacher kennen und tauschen einige Trackable-Nummern aus. Einige Teilnehmer kommen aus Leipzig und Umgebung, andere sind von sehr weit hergereist. Für den Kongress ist das keine Seltenheit, was uns schon bewusst wurde, als wir am Morgen beim Vorbeilaufen an einem Assembly eine schwedische Flagge gesehen haben.

Für den Abend hatten wir geplant, am Talk über das Hacken der Venenerkennung teilzunehmen. Venenerkennung ist bei uns noch nicht so verbreitet, anders sieht es aber zum Beispiel beim Bundesnachrichtendienst in Berlin aus. Angeblich soll Venenerkennung viel sicherer sein als ein Fingerabdruckscanner. Jedes menschliche Venenmuster ist individuell, doch im Gegensatz zu einem Fingerabdruck kann man Venen nicht mal eben einfach so auslesen. Zwei Sicherheitsforscher haben nun aber offenbar doch einen Weg gefunden, welcher so hohe Wellen geschlagen hat, dass sogar der Spiegel darüber berichtet hat. Leider hat die Teilnahme am Vortrag für uns nicht mehr geklappt – zwar fand er im grössten verfügbaren Saal statt, doch es war trotzdem alles randvoll.

Schliesslich sind wir stattdessen ein bisschen durch die Messehallen gewandert und haben uns die einzelnen Assemblys angesehen (ein Assembly ist das CCC-Pendant zu einem Aussteller auf einer «normalen» Messe). Einige Assemblys haben eine LED-Wand aufgebaut (farbige und blinkende LEDs gehören am CCC sowieso zum guten Ton), an anderen kann man mit Robotern interagieren. Auch ein Makerspace ist vor Ort, es gibt einen Bausatz zum Löten von LEDs auf eine Wäscheklammer. Leider sind hier trotz eigenem, mitgebrachten Lötkolben alle Plätze belegt, sodass wir später wiederkommen müssen.

Der Klassiker: Will the DVD logo ever hit the corner?

Kurz nach halb 9 teilen wir uns auf, denn unser erster Einsatz als Engel steht auf dem Plan. Die Schichten hatten wir uns schon im Vorfeld im Engelsystem ausgesucht. Als Neuling pickte ich mir natürlich eher langeweiligere, dafür einfache Jobs heraus. Eine Schicht dauert zwei Stunden und meine erste Aufgabe ist es, eine Seitentür im Raum Adams zu bewachen und darauf zu achten, dass nur Angestellte der Messe oder Teilnehmer mit Bändchen Zutritt bekommen.

Zum Glück ist nicht so viel los und ich kann dem Vortrag zuhören, der gerade stattfindet: All Your Gesundheitsakten Belong To Us. Es geht um die schlampige Programmierung von Gesundheitsapps, die es Arzt und Patient ermöglichen, Dokumente miteinander auszutauschen, wie beispielsweise Befunde, Diagnosen oder Röntgenbilder. Dem Sicherheitsforscher ist es gelungen, mit sehr geringem Aufwand fremde Daten auszulesen und sogar Passwörter anderer Benutzer zu ändern. Schlimm daran ist vor allem die Reaktion der betroffenen Unternehmen: Die Schwachstellen werden oft nur halbherzig behoben, falls überhaupt, und nicht selten wird mit Klage gedroht. Dass man einen gut gemeinten Hinweis annimmt und die Lücke nachhaltig stopft, ist eher die Ausnahme, so zumindest der Eindruck nach diesem Vortrag.

Als die Schicht zu Ende ist, steht bereits die nächste an: Auf dem Kongress gibt es auch eine Disco, die über einen direkten Zugang mit einem Areal verbunden ist, zu dem nur Engel Zutritt haben. Zu zweit sorgen wir dafür, dass keiner reinkommt, der weder zu den Engeln noch zum Messepersonal gehört. Ausserdem müssen wir darauf achten, dass direkt beim Ausgang nicht geraucht wird. Es ist 01:20 Uhr, als wir dann endlich abgelöst werden und zurück ins Hotel fahren.

28. Dezember 2018

Nachdem wir heute bis Mittag ausgeschlafen haben, schaffen wir es gerade noch zu unserer ersten heutigen Schicht: Wir sind als Standby-Engel eingetragen. Das ist ein Pool von Helfern, die einspringen können, falls irgendein anderer Engel aus egal welchen Gründen nicht zu seiner Schicht auftaucht. Die meiste Zeit habe ich hier mit Warten verbracht, nur einmal musste ich für einige Minuten zur Bar und Getränke verkaufen.

Danach geht es direkt weiter zum ersten heutigen Vortrag: Smart Home – Smart Hack von Michael Steigerwald. Er hat sich intensiv mit dem Thema Internet of Things beschäftigt und zeigt anhand einer einfachen fernsteuerbaren Glühbirne, welche über WLAN am Heimnetzwerk angehängt ist, wie einfach sich sensible Daten wie Wifi-Passwörter auslesen lassen. Erschreckender ist aber, welche Daten die Glühbirne sammelt und in die Hauptzentrale schickt. Nur so viel: GPS-Koordinaten gehören dazu.

20 Minuten sind es bis zum nächsten Talk. Ich mache mich auf den Weg und komme an einem Assembly vorbei. In der Ecke stehen neun Monitore. Inhalt: My Little Pony. Aber wohl unterschiedliche Folgen. Ich untersuche die Konstruktion genauer und entdecke, dass sich da wirklich jemand die Mühe gemacht hat, neun Raspberry Pis einzurichten, um «My Little Pony» zu streamen. Tja. Kongressalltag.

Videowall mit etwas ungewöhnlicheren Inhalten

Videowall mit etwas ungewöhnlicheren Inhalten

Nun berichtet Claudio Agosti im Raum Clarke über das Thema Analyze the Facebook algorithm and reclaim data sovereignty . Er hat mit seinem Team mehrere Fakeprofile erstellt, die alle die gleichen Seiten, aber unterschiedliche Beiträge liken, und abstrahiert daraus, wie Facebook entscheidet, welche Beiträge in der Timeline erscheinen und welche nicht. Ein hochaktuelles Thema, vor allem, wenn man sich bewusst macht, wie leicht Facebook ganze Wahlen steuern kann. Nicht wenige Forscher gehen davon aus, dass das Wahlergebnis der US-Präsidentenwahl 2016 gezielt mithilfe von Facebook manipuliert wurde. Gegen Ende stellt er noch ein Browserplugin vor, mit dem man selbst Teil des Experiments werden kann, ganz nach dem Motto: «Don’t delete your Facebook account, donate it to science!»

Mit Datenschutz geht es dann auch gleich weiter, im Talk, der mir vom ganzen Kongress am stärksten in Erinnerung geblieben ist: Schweiz: Netzpolitik zwischen Bodensee und Matterhorn. Vortragende sind drei Mitglieder der Digitalen Gesellschaft, die sich für die Grundrechte der Bevölkerung im digitalen Raum einsetzt. Im Vortrag wird sehr detailliert darauf eingegangen, wie auch in der Schweiz die Grundrechte systematisch und sogar mit demokratischer Legitimation ausgehebelt werden. Auch das E-Voting, das elektronische Abstimmungsverfahren, das in Genf getestet werden sollte, kam gehörig unter die Räder. Nachdem Mitglieder des CCC auf kritische Schwachstellen im System aufmerksam machten, flatterte ihnen eine Abmahnung des Kanton Genf ins Haus mit dem Vorwurf, man habe «das Vertrauen der Wähler in das Endergebnis untergraben». Nach Ende des Talks schaue ich nun sehr kritisch in die digitale Zukunft der Schweiz, nicht nur, weil ein paar wenige Amtsträger offenbar schalten und walten können, wie sie wollen, sondern auch, weil es den Grossteil der Bevölkerung überhaupt nicht zu interessieren scheint.

Zum Schluss übernehme ich noch eine Schicht in der Bottle Collection, also im Sammeln und Zurückbringen von Glasflaschen. Zu viert sammeln wir mithilfe eines Hubwagens an den sogenannten Drop Points, die über das ganze Gelände verteilt sind, die Glasflaschen ein und bringen sie zum Recycling-Center. Hier zeigt sich einmal mehr, dass das Engelsystem ein hervorragender Weg ist, neue Leute kennenzulernen und Kontakte zu knüpfen.

29. Dezember 2018

Es ist schon Nachmittag, als wir heute auf dem Messegelände eintreffen. Nachdem der nächste Talk erst in rund zwei Stunden stattfindet, mache ich mich nochmals auf zum Makerspace, um meine Wäscheklammer zu löten. Es wird auch langsam Zeit, denn inzwischen laufen wirklich viele Kongressbesucher mit so einem blinkenden Teil an ihrem Rucksack herum. Ein Platz ist frei, aber kein Lötkolben. Macht nichts, ich hab ja zum Glück einen dabei. Kann eben nicht schaden auf dem Chaos Congress. Nach etwas mehr als einer Stunde ist die Klammer fertig und blinkt. Eher Pfusch als saubere Arbeit, aber dafür hat es Spass gemacht.

Inoffizielles Erkennungsmerkmal des 35c3: Blinkende Wäscheklammern

Pünktlich um 18:10 Uhr beginnt der nächste Talk: Russia vs. Telegram: technical notes on the battle. Es geht um den ewigen Streit zwischen Russland und dem Messenger Telegram. Telegram ist eine Alternative zu WhatsApp mit Fokus auf Privatsphäre, bietet einen viel grösseren Funktionsumfang und vor allem ein System ausserhalb der Reichweite von Google, Facebook und Co. Der russischen Regierung ist die App jedoch ein Dorn im Auge. Offiziell wirft man ihr vor, dass Terroristen sie zur Planung von Anschlägen verwenden. Ob man dieser Argumentation glauben schenken will, sei jedem selbst überlassen. Im Talk wurde jedenfalls aufgezeigt, wie Russland mit geballter Inkompetenz und technischen Hilfsmitteln wie Zensur und Netzsperren tagelang versucht hat, Telegram zu blockieren, natürlich ohne Erfolg.

Eine Stunde später beginnt die nächste Schicht im Raum Dijkstra. Es läuft gerade der Vortrag einer Software-Aktivistin aus Berlin: Butterbrotdosen-Smartphone. Sie hat ihr DIY-Projekt vorgestellt und aus einer Butterbrotdose und einem Raspberry Pi ein Smartphone gebaut. Wir Helfer sind zuständig dafür, dass die Teilnehmer geordnet zu ihren Sitzplätzen laufen und nicht die Kameraleute (die übrigens auch Freiwillige sind) stören, die im hinteren Teil des Raumes stehen und die Präsentation aufzeichnen. Den Grossteil des Vortrags bekommen wir problemlos mit und sind fasziniert, dass ein Raspberry Pi tatsächlich zu einem Smartphone werden kann.

Nach dem Ende des Vortrags helfe ich nochmals als Hall Angel aus, diesmal im Raum Adams. Normalerweise wäre ich überrascht, wenn ich in einen Raum voller Leute laufe, die gespannt auf einer Leinwand einen Roboterkampf verfolgen. Aber ich bin ja auf dem 35c3 und das ist nichts aussergewöhnliches. Leider ist der Kampf gleich nach unserer Ankunft vorbei und wir helfen den Leuten dabei, zu den Ausgängen zu finden, während andere Teilnehmer bereits die Halle stürmen, um am Chaos Communication Slam dabei sein zu können (ein Poetry Slam), der jeden Moment losgeht. Um ungefähr 3 Uhr nachts ist er dann vorbei und so langsam wird es Zeit, sich auf das Ende des Kongresses einzustellen.

Chaos Communication Slam

30. Dezember 2018

Der letzte Kongresstag ist angebrochen. Direkt nach meiner Ankunft bin ich wieder als Hall Angel eingeteilt, wieder im Raum Adams. Dort bekomme ich einen spannenden Talk mit, der sich sehr kritisch mit den sozialen Netzwerken und vor allem Facebook auseinandersetzt: Microtargeting und Manipulation. Man merkt: Facebook ist im Kongressumfeld nicht sehr beliebt. Was nach den ganzen Lügen und Skandalen aber auch nachvollziehbar ist.

Der letzte Vortrag an diesem Kongress für mich ist Dissecting Broadcom Bluetooth. Er beschäftigt sich mit einem Thema, das wahrscheinlich Auswirkungen hat, die weit über die Hackerszene hinausgehen. Mit einem vergleichsweise wenig aufwendigen Angriff lässt sich Bluetooth auf Geräten, auf denen bestimmte Bluetooth-Chips von Broadcom verbaut sind, durch eine Attacke ausschalten. Zu solchen Geräten zählen unter anderem das MacBook Pro 2016 und das iPhone 6. Die Sicherheitsforscher raten allen Besitzern solcher Geräte, Bluetooth generell auszuschalten.

Um 16 Uhr werden dann schon die Assemblys abgebaut und ich helfe nochmals beim Leeren der Mülleimer mit. Um 20:30 Uhr ist der Kongress für mich definitiv zu Ende und wir machen uns auf den Weg zurück ins Hotel.

Alles in allem waren es extrem spannende fünf Tage, die ich in Leipzig miterleben durfte. Besonders beeindruckt hat mich die sehr gut durchdachte Organisation, die durch ausschliesslich digitale Hilfsmittel (und oft sogar Eigenentwicklungen) unterstützt wird. Man kann sich die Zeit sehr gut vertreiben, es laufen fast immer Vorträge, wo für jeden Geschmack etwas dabei ist. Die Veranstalter beschränken sich hierbei nicht nur auf harte technische Themen, auch Gesellschaft, Ethik und Politik spielen eine Rolle. Und ist ausnahmsweise mal nichts los, was einen interessiert, kann man immer noch an jeder erdenklichen Stelle mithelfen und neue Leute kennenlernen oder sich die zahlreichen Assemblys anschauen. Auch die riesige Anzahl der Helfer hat mich beeindruckt. Fast ein Viertel aller Teilnehmer hat geengelt, es kamen mehrere tausend Arbeitsstunden zusammen. Dass Menschen zu Freiwilligenarbeit an einem Kongress, für den sie Eintritt bezahlen, bereit sind, hat mich sehr positiv überrascht.

Andererseits gibt es auch Stimmen, die meinen, der Kongress sei zu politisch geworden. Da ich das erste Mal teilgenommen habe, kann ich es natürlich nicht vergleichen. Aber wenn das erste, was man sieht, wenn man die Haupthalle betritt, eine riesige Antifa-Fahne ist, hinterlässt das schon einen gewissen Beigeschmack. Auch wenn ich der Meinung bin, dass so ein Kongress grundsätzlich nicht neutral sein muss, gerade wenn es um netzpolitische Themen geht.

Ob ich nächstes Jahr wieder dabei sein werde, kann ich natürlich noch nicht sagen. Das hängt nicht zuletzt auch damit zusammen, dass die Tickets äusserst begehrt sind und man fast keine Chancen auf Erfolg hat, wenn man es über den üblichen Weg versucht. Ich würde mich aber freuen, wenn es klappt.

(lhu)

Kritik
von Pascal Hanimann

Die Idee für diesen Digezz-Beitrag entstand eigentlich erst am Kongress selbst. Ursprünglich wollte ich dorthin, um einige Anstösse für meine Bachelorarbeit zu sammeln, aber auch wegen der interessanten Vorträge. Erst am zweiten oder dritten Tag kam mir die Idee, aus dem Besuch noch einen Digezz-Beitrag zu machen. "Hacker" haben in der Öffentlichkeit leider immer noch ein eher schlechtes Image, was man oft auch an den Reaktionen der Medien erkennt. Ein aktuelles Beispiel: Die Leaks von prominenten Politikern und Personen des öffentlichen Lebens, die gerade in Deutschland publik geworden sind, werden viel mehr aufgebauscht und verurteilt als der Beschluss von neuen Überwachungsgesetzen. Die Bevölkerung gibt aus einer völlig übertriebenen Angst vor Terroranschlägen ihre Grundrechte auf, während sie Politiker schon bemitleiden soll, wenn nur ihre Telefonnummern öffentlich werden.

Dieses schlechte Image will ich mit dem Beitrag ein wenig korrigieren. Sicherheitsforscher leisten eine extrem wichtige Arbeit für die Gesellschaft und bekommen dafür oft keine Anerkennung, im Gegenteil, sie werden mit Klagen und Abmahnungen eingedeckt. Auf dem Kongress erfährt man zu aktuellen Entwicklungen die Hintergründe, die man aus der Presse nicht erfahren würde, weil sie zu wenig Klicks generieren. Und genau darum muss an die Öffentlichkeit, was auf dem Kongress so besprochen wird. Der Vortrag der Digitalen Gesellschaft ist meiner Meinung nach Pflichtprogramm für jeden stimmberechtigten Schweizer Bürger.

Natürlich hätte man einiges am Beitrag besser machen können. Da mir die Idee mit dem Digezz-Beitrag ziemlich spät kam, musste ich erstmal ein Gedächtnisprotokoll des bisher Erlebten anfertigen und nochmals online recherchieren, an welchen Vorträgen ich überhaupt teilgenommen hatte. Es wäre sicher besser gewesen, sich unmittelbar nach jedem Vortrag kurz die Quintessenz zu notieren und zu überlegen, welche Aussage einem am meisten im Gedächtnis geblieben ist.

Das zweite Verbesserungspotenzial liegt natürlich bei den Fotos. Diese sind hier ohne Ausnahme alle mit dem Handy entstanden. Eigentlich hatte ich eine professionelle Fotoausrüstung dabei, diese aber nicht mit auf das Messegelände genommen. Grund: Ich hätte sie den ganzen Tag herumschleppen müssen. Schliessfächer gab es meines Wissens nach nicht und bis zum Autoparkplatz hätte ich fast eine Viertelstunde gebraucht. Unbeaufsichtigt liegen lassen wollte ich sie natürlich auch nicht. Für das nächste Mal würde ich mir vielleicht eine Videokamera mitnehmen, für ein oder zwei Interviews würde sich der Weg zum Auto nämlich schon lohnen. Allzuviele Bilder hätte ich sowieso nicht machen können, wegen der im Beitrag angesprochenen Foto-Policy. Auf einem Kongress mit 17'000 Teilnehmern ist es fast unmöglich, ein Foto zu machen, auf dem man kein einziges Gesicht sieht.

Fazit: Das nächste Mal von Anfang an mitschreiben und nicht erst nach der Hälfte, und die Videokamera mitnehmen. Ausserdem schon eine eigene Website vorbereiten, wo man später nur noch den Text abfüllen muss - ein riesiger, langer Digezz-Beitrag ist nicht optimal.

Keine Kommentare

Schreibe einen Kommentar