Dirk Ollmetzer | Sonntag, 28 Dezember 2008 |
MiscZum Ende des Tages gab es soeben einen richtig guten Vortrag zu Schadsoftware, die für Angriffe auf Bankkonten entwickelt wurde. Aus gegebenem Anlaß hatte ich natürlich einiges Interesse an dieser Veranstaltung und wurde auch nicht enttäuscht.
Angriffsszenarien
Der Vortrag begann mit dem schon klassischen Angriff per phishing. Dabei wurde eine fingierte Mail benutzt, die vorgeblich von eBay kam, um den User zur Eingabe seiner Accountdaten auf einer gefakten Seite zu bewegen.
Aus Angreifersicht ist solch ein Vorgehen jedoch ineffizient. Deshalb nehmen Angriffe mit Keyloggern zu, die zunächst nichts anderes tun, als Benutzereingaben nach bestimmten Kriterien zu Filtern und auf speziellen Servern (Dropzones) zu sammeln. Einige der verbreitetsten Tools wurden kurz vorgestellt – geradezu ein Gruselkabinett. Das reichte von Browserplugins, manipulierten Browserplugins und ging bis zu Software, die sich tief in das Betriebssystem eingräbt oder sogar schon vor dem Start des Betriebssystems hochfährt, weil sie im Master Boot Record sitzt.
Angriffsanalyse
Nachdem die verschiedenen Angriffstools vorgestellt wurden, zeigte der Referent, wie man diese Angriffe analysieren kann. Mittels Honeypots wird die Schadsoftware sozusagen „angelockt“ und anschließend in mehreren Stufen analysiert. Sehr interessant.
Datenschwarzmarkt
Neben den technischen Aspekten beleuchtete der Referent auch die ökonomische Seite des dahinterstehenden Schwarzmarktes. Das betraf sowohl die Dimensionen (Anzahl der Geschädigten u.v.m.), als auch die mutmaßlichen Preise der Tools und der erbeuteten Zugangsdaten.
In der anschließenden Diskussion in kleiner Runde fragte ich, welche Möglichkeiten auf Seiten der Bank besteht, herauszufinden, ob Kunden möglicherweise gerade ausspioniert werden. Der Hinweis, daß in Deutschland mit dem mTAN Verfahren bereits ein – im Gegensatz zu Banken in anderen Ländern – relativ hoher Sicherheitsstandard besteht, kann nicht so recht zufriedenstellen. Da sollte man nochmal genauer drüber nachdenken.
Dirk Ollmetzer | Sonntag, 28 Dezember 2008 |
MiscHeute scheinen noch wesentlich mehr Menschen anwesend zu sein, was zwar irgendwie gut ist, die ganze Sache aber leider auch sehr anstrengend macht. Außerhalb der Säle kann man kaum treten und in den Vorträgen ist konzentriertes Zuhören ist sehr schwierig, weil immer irgendjemand raus- oder rein rennt, Türen im 15 Sekunden-Takt laut klappen, Mateflaschen umfallen oder sonstwas nerviges passiert.
Positiv ist dafür, daß heute generell mehr Frauen anwesend sind, was ich sehr begrüße. Eben saß neben mir (Im Gang, auf dem Fußboden in Steckdosennähe) ein nettes, junges Mädel mit seine Macbook. Speziell und ungewöhnlich war, daß sie sehtr konzentriert Nethack gespielt hat. Falls es jemand nicht kennt: Höhlen durchstriefen, Schatz suchen, Monster erschlagen. Alles ohne Grafik – die reinste Buchstabensuppe.
Zwei Vorträge habe ich schon gehört.
Im ersten wurde bewusst provokant eine positive Utopie über die transparente Gesellschaft gezeichnet. Einiges davon ist sicherlich nicht so ganz falsch, aber ob das die „bösen Jungs“ im Zweifelsfall auch so sehen… Ich weiss ja nicht.
Der zweite Vortrag war technischer Natur und hatte mögliche Angriffe auf Web2.0 Applikationen zum Thema. Das hat mir leider nicht soviel gegeben, wie ich mir gewünscht hätte. Zum Einen lag das etwas am Vortragsstil, zum Anderen aber auch daran, daß ich in Javascript nicht so richtig fit bin, wenn es ans Eingemachte geht.
Dirk Ollmetzer | Samstag, 27 Dezember 2008 |
MiscGerade den ersten wirklich technischen Vortrag gehört: „Locating mobile phones using signalling system #7“. Gleich zu Beginn wurde ein ausländischer Zuhörer aufgefordert, seine Telefonnummer in ein Tool einzugeben. Kurz darauf bekam der Saal zu sehen, über welche Netze er in Deutschland geroutet wird und wo er sich ungefähr aufhält. Nach der Praxis folgte die Theorie.
Positiv war, daß sehr anschaulich und verständlich dargelegt wurde, worin die Schwachstelle in GSM Netzwerken (also fast jedem Mobilfunknetz der Welt mit Ausnahme von USA und Japan) besteht. Die Funktion und das ganze Protokoll ist eigentlich nur Mobilfunkprovidern für Roamingzwecke zugänglich. Interessant ist nicht nur die Tatsache, daß es dem Vortragenden überhaupt gelang, sich die entsprechende Information zu beschaffen, sondern auch die Antwort auf seine Frage, weshalb das überhaupt möglich ist. Die Antwort war, daß diese Lücke mutmaßlich von Spam-Versendern genutzt wird und einige daran sehr gut verdienen.
Auf die Frage, wie man sich als normaler Nutzer davor schützen kann, lautet die ernüchternde Antwort: „gar nicht“. Die Carrier arbeiten aber daran, diese Lücke zu schließen. Und das aus zwei Gründen: Erstens geht ihnen über manipuliertes SMS Routing enorm viel Geld verloren und zweitens können bestimmte SMS aufgrund dieser Lücke nicht von den Geheimdiensten des Landes mitgelesen werden, aus der der Mobilfunkkunde kommt.
Ich habe eben eine Menge über die Funktion von GSM Mobilfunknetzen gelernt. Dies war definitiv eines der Highlights des Tages – trotz des gnadenlos überfüllten Vortragssaals und den drei Kaspern vor mir, die sich die ganze Zeit unterhalten mussten und ausserdem noch den Blick zur Leinwand versperrt haben.
Dirk Ollmetzer | Samstag, 27 Dezember 2008 |
MiscSeit heute Mittag bin ich auf dem 25. Chaos Computer Congress – die Jahresabschlussveranstaltung der Deutschen Nerd-Szene. Ich schreibe jetzt absichtlich nicht „Hackerkongress“, weil es das meines Erachtens nach nicht so recht trifft.
Hacker? Bürgerrechtler? Nerds, Bastler?
Natürlich geht es hier auch um Hacking bzw. Computer- und Datensicherheit, aber auch genauso um Bürgerrechte im Informationszeitalter. Das Thema ist natürlich bei den Computerfreaks zuerst angekommen, weil sie sich mit der abstrakten Bedeutung von Daten hervorragend auskennen, während Otto Normalverbraucher nichts versteht, was er nicht sehen und anfassen kann. Das ist auch nach etlichen Datenskandalen leider noch immer so, wie ich neulich an der üblichen unqualifizierten Äußerung („Ich habe doch nichts zu verbergen“) einer Person, die ansonsten wirklich nicht dumm ist, feststellen musste. Insbesondere, weil diese Person ohne eigenes Zutun in einer Sitiation war, die durchaus unangenehm werden kann.
Es gibt aber neben diversen Vorträgen zu Technik, Gesellschaft und Recht auch die üblichen leicht abgedrehten Workshops und Bastelecken. Von Laserharfen, balancierenden Robotern, Musikwettbewerben, selbstgebauten Quadrocoptern (oder wie die Dinger heissen). Insgesamt geht es noch immer um den kreativen Umgang mit Technik; darum, auszuprobieren, was noch so geht und Spass macht.
Ambiente und Stimmung
Das Berliner Congress Center ist extrem cool, stylish und knackvoll. Nerds sehen noch immer wie Nerds aus, die Frauenquote liegt unter 10%. Das Catering ist bemerkenswert preisgünstig, wie auch der Eintritt. €80,- für einen viertägigen Kongress ist extrem wohlfeil, wie ich finde. Deshalb habe ich mir natürlich auch gerade noch das T-Shirt zur Konferenz besorgt. Natürlich in schwarz. Zum Dresscode gehört hier unbedingt auch ein Kapuzenshirt.
Die bevorzugten Computertypen sind ungefähr zu gleichen Teilen Netbooks, Apple, Thinkpads und irgendwas undefinierbares, das von Aufklebern zusammengehalten und mit selbstkompilierten Betriebssystemen angetrieben wird.
Weiteres später
Bilder und Zusammenfassungen von Vorträgen, die ich gehört habe (bis jetzt zum Thema „Hackerparagraf“ §202c StGB und wearable computing) folgen später.
Dirk Ollmetzer | Freitag, 26 Dezember 2008 |
MiscJedes Jahr wird man von Weihnachten überrumpelt – und jedes Jahr stelle ich zum Jahresende fest: „Ach ja, da war ja gerade der Chaos Communication Congress…“.
Im letzten Jahr habe ich mich geärgert, für einen eher flauen Kongress rund um die Welt geflogen zu sein, aber einen hochwertigen Kongress, der erstens viel billiger ist und zweitens direkt vor der Haustür stattfindet verpasst zu haben. Dieses Jahr habe ich endlich mal rechtzeitig dran gedacht. Ich war gerade am Alex um mir ein Ticket Badge zu besorgen.
25C3 Badge
25C3: Sichtbare Zeichen vor dem Berliner Congress Center
Der 25. Chaos Communication Congress, der vom 27. bis zum 30. im BCC am Alexanderplatz stattfindet, steht unter dem Motto „nothing to hide“. Ich freue mich schon auf interessante Vorträge in den Bereichen Technik und Gesellschaft.
Informationen zum Kongress gibt es auf dem 25C3-Wiki.
Weiteres zum Verlauf kann man auf dem 25C3-Blog in Erfahrung bringen.
P.S.: Natürlich war ich 2007 – Gott sei Dank – nicht nur wegen der Web 2.0 Expo in San Francisco. So gesehen hatte es sich unter dem Strich natürlich doch gelohnt ;-)
Dirk Ollmetzer | Donnerstag, 25 Dezember 2008 |
UnterwegsEs ist schön wegzufahren. Aber es ist auch schön, wieder nach Hause zu kommen. Meine kleine Norddeutschlandrundfahrt ist beendet. Jetzt lege ich die Füße hoch und entspanne.
Begonnen hat die Reise Ende letzter Woche mit der Weihnachtsfeier in Hamburg. Es folgten Besuche in Reinfeld, Lübeck, Flensburg und Achtrup. Hier sind einige kleine Eindrücke:
Hamburg: Zollhalle vor der Feier
Lübeck - Salzspeicher
Flensburg: Förde und Altstadt
Dirk Ollmetzer | Donnerstag, 18 Dezember 2008 |
MiscFrüher, kurz nachdem der Strom erfunden war und kleine picklige Nerds noch richtige kleine picklige Nerds waren, da gab es noch Computerspiele. Die hießen wirklich so – nicht „games“. Und sie sahen ungefähr so aus:
Wie geil, daß es immer noch abgefahrene Freaks gibt. Dieses Computerspiel ist nämlich brandneu. :-)
Auf dem Blog von Doomlaser gibt es noch diverses anderes abgefahrene Semi-Retro Zeug zu sehen. Passend dazu noch dieser Lesetip: kokoromi::gamma256.
Dirk Ollmetzer | Mittwoch, 17 Dezember 2008 |
Fundstücke„Es hat wenig Zweck, sich vor der Zukunft zu fürchten – sie kommt trotzdem.„
Gabriele Fischer, Herausgeberin der Brand Eins. Gefunden bei massenpublikum.
Dirk Ollmetzer | Montag, 15 Dezember 2008 |
DevelopmentSpiele waren schon immer die Königsdisziplin der Softwareentwicklung: Man benötigt eine gute Story, tolle Grafik, knackigen Sound, und flüssige Animationen. Die Programmierung geht dabei meistens bis an die Grenze des technisch machbaren. Letzte Woche habe ich mich über den aktuellen Stand bei Browsergames informiert und einen Blick auf einige Projekte von Bigpoint, Gamesforge und Konsorten geworfen. Browsergames – sind Multiuserspiele, die ohne Softwareinstallation gespielt werden können, da sie nur einen aktuellen Webbrowser voraussetzen. Die Rede ist hier aber nicht von irgendwelchen 5min-zwischendurch-Flash-Spielchen, sondern von ausgewachsenen Strategie- oder Simulationsspielen. Das ist übrigens eines der wenigen Felder, wo Deutsche Entwickler seit Beginn an ganz an der Spitze mitmachen.
Das letzte Mal, als ich mir dieses Genre bewusst angesehen habe, war so ungefähr 2002, als ich auf der Suche nach einem neuen Betätigungsfeld war. Damals hatten die Spiele noch ungefähr den Charme einer aufgeborten Excel-Tabelle. Sie waren damals auch fast ohne Ausnahme Hobbyprojekte. Die alten Spiele waren alle rundenbasiert. Das bedeutet, die Spieler geben alle ihre Spielzüge ein und der Server berechnet dann nach einer bestimmten Zeit den neuen Spielzustand. Diese sogenannten „Ticks“ konnten wenige Minuten oder auch mehrere Stunden dauern. Das ist im Vergleich zu normalen Computerspielen zwar sehr ungewöhnlich, für Strategiespiele oder Wirtschaftssimulationen aber völlig O.K.
Mittlerweile sieht man die Professionalisierung der Branche sehr deutlich. Die Spiele, die ich neulich sah, hatten nicht nur gute (2D-) Grafiken und Animationen, sondern verblüfften mich dadurch, daß ich die Raumschiffe mehrerer Spieler gleichzeitig durch das All fliegen sah – ganz wie bei normalen Spielen.
„Ja und? Was ist daran so aussergewöhnlich?“ mag jetzt der Eine oder die Andere fragen.
WOW – oder: Der Ausbruch aus dem HTTP Frage-Antwort-Schema
Die Beschränkung der alten Spiele auf rundenbasierte Spieltypen hatte einen guten Grund: Die Beschränkung der Browser auf das Hyper Text Transfer Protocol (http). Dieses sehr einfache Protokoll wurde Anfang der 90er Jahre ursprünglich nur dazu entwickelt, Dokumente – meist HTML-Seiten – zu übertragen. Dementsprechend simpel funktioniert es. Etwas vereinfacht:
Der Browser öffnet eine Verbindung zum Server, schickt die Anfrage nach einem bestimmten Dokument, der Server schickt das Dokument zurück und schließt die Verbindung – Ende.
An diesem grundlegenden Verfahren ändert auch das in den letzten Jahren gehypte AJAX nichts. Der einzige Unterschied liegt darin, daß nun nicht mehr das gesamte Dokument auf einmal angefragt wird, sondern nur einige zu ändernde Teile quasi im Hintergrund. Das Prinzip „Browser fragt, Server antwortet, Ende der Kommunikation“ bleibt dabei bestehen. Das führt zu einer einfachen Frage:
How to push: „Wie kann der Server den Browser über eine Zustandsänderung unterrichten?“
Wenn Mitspieler Ihre Raumschiffe bewegen, ändert sich der Spielzustand. Darüber müssen nun alle Beteiligten möglichst ohne (spürbare) Verzögerung unterrichtet werden. Wie geht das aber, wenn die Anfragen immer vom Browser ausgehen? Der Browser weiss ja nichts davon, daß eine neue Nachricht für ihn bereitliegt. Eine theoretische Möglichkeit liegt darin, daß die Browser in sehr kurzen Zeitabständen den Spielstand abfragen. Das ist in der Praxis allerdings keine gute Idee. Einerseits würden auf diese Art bereits wenige Spieler ausreichen um den Server in die Knie zu zwingen und zweitens wären die Verzögerungen noch immer deutlich spürbar. Es wird eine Art Server-Push benötigt.
Alte Handwerkerregel: Was nicht passt wird passend gemacht.
In der Spiel-Programmierung gibt es einen alten Trick: Wenn etwas technisch nicht geht, mach etwas anderes, das genauso aussieht. ;-)
Wir wollen, daß der Server den Browser genau zum richtigen Zeitpunkt eine Nachricht sendet. Wenn der Server nun den Browser nicht von sich aus ansprechen kann, machen wir es eben genau andersherum. Der Browser fragt nach dem neuen Spielzustand und der Server lässt sich mit der Antwort genau solange Zeit, bis der neue Spielzustand erreicht ist. Daß das theoretisch möglich ist, wusste ich zwar schon länger, und daß zumindest Bigpoint so etwas bereits programmiert hat auch. Zum ersten Mal die konkrete Umsetzung zu sehen hat aber schon etwas. Und weil ich ein neugieriger interessierter Mensch bin, möchte ich auch wissen, wie man so etwas macht. Dabei bin ich heute über den Befriff „Comet“ für diese Technik gestolpert und musste auch gleich mal ein bischen rumprobieren.
Dem interessierten Leser kann ich zum Einstieg die folgenden Websites empfehlen:
- News rund um Browsergames bei Galaxy-News
- Comet Daily – ein Blog, zu der Pseudo-Push-Technik Comet
- Ein kleines praktisches Beispiel zum Einstieg gibt der Artikel „How to implement COMET with PHP“ auf dem Blog Zeitoun.net – auch wenn ich ehrlichweise zugeben muss, daß ein Java Application Server wesentlich besser für diese Technik geeignet ist, als PHP.
Stichwort Zeitungen und andere alte Medien: In dem Artikel „Von der Unfähigkeit zu lernen“ auf Netzwertig.com zeigt Marcel Weiss wenig Verständnis und Mitgefühl für die alten Medien, die gerade von derben Umsatzeinbrüchen gebeutelt werden. Und womit? Mit Recht!
Der langsame Untergang der baumverarbeitenden Medien
Für aussenstehende Beobachter ist es recht schwer nachzuvollziehen, wie die direkt betroffenen Verleger und Journalisten seit langem nicht verstehen wollen, daß das, was sie bisher gemacht haben in der Zukunft nicht mehr funktionieren wird. Wie sie sich von Veränderungen überrumpelt fühlen, die seit fast 15 Jahren offensichtlich sind. Marcel Weiss zitiert dazu den grandiosen Clay Shirky, der in seinem Artikel „The Newspaper Industry and the Arrival of the Glaciers“ auf BoingBoing nichts von plötzlichen Umwälzungen wissen will. Zum Thema Geschwindigkeit schreibt er:
„This change has been more like seeing oncoming glaciers ten miles off, and then deciding not to move.„
Und zu der oft gehörten These man hätte den Wandel nicht vorhersehen können, zitiert Shirky einen eigenen Artikel aus dem Jahr 1995 in dem er klar darlegt, warum das Geschäftsmodell „Zeitung“ im Internetzeitalter nicht mehr funktionieren kann. 1995 existierten übrigens weder Ebay, Craigslist noch Google. Trotzdem war offensichtlich, daß die Entwicklung langfristig unausweichlich ist und die Verleger hätten es wissen können und wissen müssen.
„And once that became obvious, we said so, over and over again, all the time. We said it in public, we said it in private. We said it when newspapers hired us as designers, we said it when we were brought in as consultants, we said it for free. We were some tiresome motherfuckers with all our talk about the end of news on paper. And you know what? The people who made their living from printing the news listened, and then decided not to believe us.„
Lernverweigerung überall?
Das kommt einem doch irgendwie bekannt vor; Diese Unfähigkeit und der Unwille, zwangsläufige Veränderungen zu sehen, zu akzeptieren und sich darauf einzustellen. Vor 20 Jahren ist an dieser Haltung der Ostblock zerbrochen. Nun ist möglicherweise diese Form der Realitätsverweigerung im Moment das größte Problem in der westlichen Hemisphäre. Es ist eben nicht nur die Zeitungsbranche betroffen. Es ist nicht nur die Medienbranche, die durch das Internet komplett durcheinandergewürfelt wird. Wir stehen vor gewaltigen Umbrüchen in vielen Bereichen. Stichworte?
Energieversorgung, Automobilindustrie, Finanzkrise, Rohstoffknappheit, …
Überall dasselbe: Es soll so bleiben wie es ist, weil die Betroffenen doch bisher so gut davon gelebt haben. Daß es einfach erhebliche Veränderungen geben muss, damit es weiter geht wird komplett ignoriert, ausgeblendet, verächtlich gemacht. Bis es nicht mehr geht und die Strukturen zusammenbrechen. Das liegt offensichlich in der Natur des Menschen. Schade…
« Vorherige Seite — Nächste Seite »