– 32c3, Tag 4 – 

constanzeKurz

Constanze Kurz, Sprecherin des CCC

Bevor ich weitere Veranstaltungen besenfe hier noch eine Empfehlung, basierend auf Erfahrungen mit den Vorjahren: Security Nightmares 0x10
(de), Hall 1 mit Ron und Frank. Livestream um 18:00 Uhr.

Rückblicke:

  • Methodisch inkorrekt

Wissenschaft als Unterhaltung präsentiert, mit kleinen Verpuffungen, ähnlich bekannt von den Science Busters, von denen dieses Jahr Herr Oberhummer gestorben ist. Im Verpuffungsstakkato ging allerdings die Erklärung teils unter oder verloren – etwa die Funktionsweise des chinesischen Bierkrugs.

oberhummer

  • PQC-Hacks (Post-Quantum-Cryptography), der zweite von 3 Talks zu Quantenphänomenen.

schroedinger.png

Ziemlich trocken und mathematisch.

  • Opening event, Keynote

Eine seltsame Flüchtlingsnummer, die nur notdürftig mit dem Tagungsmotto assoziiert ist. Ein langweiliges, politisches Bekenntnis.

  • Closing event

Ähnlich langweilig wie die Eröffnung. Man feiert sich selbst. Wer keine Zeit totzuschlagen hat und niemand braucht, der ein feierliches Ende verkündet, spart sich das. Das ist eigentlich immer so.

  • 30.12. Predicting Crime in a Big Data World, (en), Whitney Merrill

Eine passende Ergänzung zum gestern besprochenen Prediction and Control

  • Hardsploit – A metasploit like tool for hardware hacking

Ein Vortrag über ein Gerät, mit dem man die Innereien seiner Geräte untersuchen kann, interessant, aber nicht so sehr für mich. Ich werde wahrscheinlich nie meiner Hardware auf den Zahn fühlen, da mir dazu zu viele Grundlagen fehlen. Es kann aber natürlich sinnvoll sein zu wissen, was andere können.

Dabei ist mir aufgefallen, dass Parole, der Mediaplayer, anzeigt, die Tonspur sei Deutsch, dabei ist sie Englisch. Logischerweise müsste es dann auf Englisch Deutsch sein, oder? Und so ist es. Das übersetzte verstehe ich besser als das französische Englisch des Originals. Geprüft, wie gut die Übersetzung ist, habe ich aber nicht.

  • Logjam, Diffie-Hellman discrete logs, the NSA and you

Kein leichter Tobak. Die Mathematik scheint mir weniger das Problem, als die Frage wer wann wie welche Nummern generiert bei dieser Verschlüsselung. Ohne alles zu verstanden zu haben denke ich, das wichtigste mitbekommen zu haben. Es geht um weithin genutzte Verschlüsselungsverfahren und praktische Folgerungen, Fragen der Kosten der Entschlüsselung usw.

Nicht nur bei diesem Vortrag, bei einigen auch nicht, hat die Bildregie viel zu oft auf die Personen fokussiert, obwohl sie die Möglichkeit hatten das Bild des Sprechers an der Seite einzuklinken, und die Folien mit Formeln und Text in der Mitte groß und lesbar zu zeigen, was auch streckenweise, dankenswerterweise gemacht wird. Leider zu selten. Gerade wenn jemand Tabellen vorliest und Werte hier und da vergleicht ist es schön, wenn man mit dem Auge hin und herspringen kann, und nicht drauf angewiesen ist, die Zahlen im Kopf zu behalten.

Bei den Wissenschaftlern ganz oben, ‚Methodisch inkorrekt‘ ist es ihnen gelungen die Pointe, wo der eine eine Feder loslässt, im entscheidenden Moment nicht im Bild zu haben, obwohl er lange mit dem Countdown verbringt und von 3 runterzählt. Es war verschmerzbar, weil es eine Aufzeichnung des gl. Experiments aus dem Labor gab, aber sowas ist doch ärgerlich.

Insgesamt hat sich über die Jahre aber hier viel verbessert. Anfangs gab es keine Bild-im-Bild-Technik und wenn, dann wurden die Folien von der Leinwand abgefilmt. Dabei aber oft aus einem semioptimalen Winkel, der Ausschnitt war zu groß gewählt und so die Schrift zu klein.

Auch bei der jährlichen Fnord-Newsshow hatte das Bild ein paar Pointen nicht im Bild, wobei deren Zeit auf der Leinwand auch schlecht vorhersehbar ist, da Fefe & Frank hier stark variieren. Teils kommt ein Bild und gleich danach das nächste, das Publikum lacht und zum zweiten Lacher sieht man dann auch die 2. Folie auf dem Bildschirm, als wären die Gesichter der zwei jetzt so der Brüller.

  • Gibberish detection

Hier habe ich auch nicht alles verstanden. Es geht um domains, die Gibberisch enthalten, etwa prstkneiow.com, und ein Verfahren solche automatisiert zu erkennen. Dieses wird ziemlich klar dargestellt. Die Domains werden wohl kurzfristig registriert aber schnell wieder vom Netz genommen, nachdem sie auffliegen, und dort hausen Command-&-Control-Server, also wohl Botnetzinfrastruktur.

  • QRtistry

Über QR-Codes wie man sie aus vielen Comics und von Plakaten kennt, etwas zu deren Codierung grundsätzlich, und nicht wie man Kunst drumrum sondern reinmacht, also nicht so:

qr-codes

  • A dozen years of Shellphish

Shellphish ist eine Sicherheitsfirma, so habe ich verstanden, die auch an sportlichen Hackerwettbewerben mit Erfolg teilgenommen hat. Im Laufe der Zeit haben sie ein automatisiertes Hackingprogramm entwickelt, welches z.T. vorgestellt wird. Programmierkenntnisse sind für den Vortrag nötig, Speicherabzug, Segfault sollte man schon mal gehört haben.

Beunruhigend ist, dass sie ihre Kenntnisse bei einem Wettbewerb der darpa, einer US-Militärorganisation diesem auch preisgeben. Andererseits habe ich verstanden, dass sie das Tool per se veröffentlichen wollen. Wenn also jeder Programmierer die eigenen Programme damit auf Schwächen abklopfen kann – wieso nicht?

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s