Info Corner / Internet-via-Sat, Datendienste / IPTV / Videoportale / Internet TV & Radio > # News & Infos zu div. Events
CCC Hackerkongress / Hacking at Random ...
SiLæncer:
Mit einer "kleinen Geschichte der Technikbegeisterung" eröffnete der Autor Peter Glaser heute Vormittag den 21. Chaos Communication Congress in Berlin. Am Beispiel der Raketenentwicklung in Deutschland vor und während des 2. Weltkriegs zeigte er auf, dass die Technik in Wissenschaft und Forschung meist allein zum Selbstzweck ernannt wird. Sie werde als "Kristallisation von Vernunft und Erfindungsgabe" gefeiert, während die Einsatzmöglichkeiten und Folgen unbedacht blieben. Die Verantwortung werde vielmehr auf die Maschine selbst übertragen, wie sich spätestens mit den "Kill-Boxes" auf den technologisierten Kriegsschauplätzen seit dem Golfkrieg gezeigt habe. Demgegenüber stellte es Glaser als Grundvoraussetzung des Hackens heraus, die Verbindung zwischen Technik und Moral nicht zu kappen.
Die "üblichen Verdächtigen" -- so das diesjährige Motto der größten regelmäßig stattfindenden europäischen Hackerparty -- mussten vor dem Berliner Congress Center lange Schlange stehen. 40 Euro kostet der Dreitagespass für das Treffen der "kreativ-schöpferischen" Techniknutzer. Jenseits der Verwirrung am Eingang bemüht sich der einladende Chaos Computer Club (CCC) dieses Jahr allerdings um eine bessere Organisation der Großveranstaltung.
Erstmals gibt es ein offizielles Weblog sowie ein öffentliches Wiki-System für den Chaotentreff. Besonderen Wert legt das Organisationsteam auf "Internationalität": Zwei Drittel der Vorträge sind in Englisch. "Es riecht professioneller", merkte ein langjähriger Congress-Besucher an. Ob sich das mittelfristig auch auf die maschinell gequirlte Luft im riesigen "Hackcenter" im Untergeschoss beziehen lässt, wird sich noch herausstellen.
Probleme gibt es derweil noch mit dem Netzwerk, einer der unersetzbaren Komponenten des Hackertreffens. Man habe zwar "zufällig" direkt am Heiligen Abend mehr Ausrüstung für die Netzkommunikation erhalten, als ursprünglich geplant, erläuterte Mitorganisator Tim Pritlove. Bis zu 1 GBit/s Upload sei möglich. Die Umgebung auf einem Hackerkongress sei aber "die feindlichste, die man sich vorstellen kann", entschuldigte Pritlove das bis zum Mittag noch nicht funktionierende WLAN und die teils mangelhafte Datenratenversorgung.
"Nur das Chaos lebt", bestätigte Glaser den CCC in seinem Kurs. Die größte Gefahr für die Menschheit sei die Ordnung, deren Vollendung in der Abschaffung des störenden Lebens und der Herrschaft der Maschinen liege. Doch es könne nicht die einzige Aufgabe des Menschen sein, als "Gewürz eine Spur Unordnung in den Kabelsalat zu bringen". Der literarische Althacker zitierte einen Aphorismus von Karl Krauss, dass es nur eine Möglichkeit gebe, sich vor der Maschine zu retten: sie zu benutzen. Glaser erinnerte an die lange und von der kritischen Denkweise der Aufklärung geprägte Tradition der Hacker, auf eine offene Teilnahme aller Interessierter an den Möglichkeiten der Technik und der Vernetzung zu drängen. Dazu gehöre auch der Kampf gegen Systeme zum Digital Rights Management (DRM), das Glaser mit "Entrechtungsmanagement" übersetzte. "Geht es nach dem Willen nach DRM-Falken, wird es ein Eigentumsrecht an digitalen Dateien überhaupt nicht geben", warnte er.
Neben dem eigentlichen Konferenzprogramm locken dieses Jahr zahlreiche Begleitveranstaltung wie die Meisterschaften im Lockpicking, dem nicht-destruktiven Weg zum Öffnen physikalischer Schlösser, und die erste Entwicklerkonferenz der internationalen Wikipedia-Gemeinde.
Quelle : www.heise.de
SiLæncer:
Die Open-Source-Gemeinde geht vermehrt juristisch gegen Firmen vor, die sich nicht an die Spielregeln der GNU General Public License (GPL) halten. "Wir wollen zeigen, dass die GPL nicht irgendeine Erklärung ist, sondern eine Lizenz, die durchgesetzt werden kann", sagte Harald Welte, Mitautor des Open-Source-Projekts netfilter/iptables, heute auf dem 21. Chaos Communication Congress in Berlin. Der Vorreiter der Bewegung hat inzwischen 120 Verletzungen dokumentiert. "Gegen etwa 25 davon sind wir vorgegangen", sagte Welte. Obwohl er selbst kein Anwalt sei, verbringe er inzwischen ein Drittel seiner Zeit mit derlei Verfahren. Vergleichbare Rechtsstreitigkeiten, mit denen Entwickler freier Software vor allem auf die Veröffentlichung des Quellcodes auch kommerzieller Softwareprodukte mit GPL-lizenzierten Programmbestandteilen drängen, dürften sich laut Welte angesichts des Erfolgs von Linux weiter häufen.
Auslöser der Abmahnwelle war ein Streit mit Linksys, einem inzwischen von Cisco aufgekauften Hersteller von WLAN-Routern. "Die haben auf Zeit gespielt", ärgert sich Welte. Zunächst seien nur Teile veröffentlicht worden, erst vier Monate nach der Beschwerde sei die volle Konformität mit der GPL hergestellt worden. Kosten hätten sich daraus für Cisco nicht ergeben, nicht einmal schlechte Presse. Es habe keinen Anreiz zur Änderung des Verhaltens gegeben, klagte Welte. "Die hätten das jederzeit wieder machen können."
Da die Free Software Foundation (FSF), die prinzipiell über die GPL wacht, einen recht zurückhaltenden Ansatz bei der Verfolgung von Lizenzrechten hat, starteten die Entwickler des netfilter/iptables-Projekts eine eigene Durchsetzungskampagne. Die Palette reicht dabei von einer anwaltlichen Warnung über die Aufforderung zur Unterzeichnung einer Unterlassungserklärung bis zum Antrag einer einstweiligen Verfügung gegen einen Lizenzverletzer. Zweimal sei dies bereits nötig gewesen. In der Regel kommt es aber -- wie im Fall Fujitsu-Siemens -- zur rascheren, außergerichtlichen Einigung. "Dafür erwarten wir Spenden", stellt Welte einen der positiven Nebeneffekte seiner Bemühungen für die Open-Source-Gemeinde dar. Als Firmen, gegen die er und seine Unterstützer bereits vorgegangen sind, nannte Welte Größen wie Siemens, Netgear, U.S. Robotics Germany, Sun Microsystems oder D-Link.
Ein Problem bei der stärkeren Rechtsdurchsetzung ist, dass der eigentliche Autor der widerrechtlich verwendeten Programmzeilen gegen den Missbrauch vorgehen muss. Einige Programmierer, die selbst nicht aktiv werden wollen, haben Welte deshalb ihre Rechte an einzelnen kritischen Codebestandteilen wichtiger Open-Source-Projekte überschrieben, sodass er gegen Lizenzverstöße vorgehen kann.
Quelle : www.heise.de
SiLæncer:
Der Chaos Computer Club (CCC) sieht seine prinzipiellen Bedenken gegen Trusted Computing nach wie vor nicht ausgeräumt und legt mit neuer Detailkritik nach. Die von der Industrie vorangetriebene "Sicherheitstechnologie" eröffne weiterhin "Orwellsche Zensurmöglichkeiten", führte der Amsterdamer Kryptoforscher Rüdiger Weis am heutigen Dienstag auf dem 21. Chaos Communication Congress in Berlin aus. "Man kann nicht Musik schützen wollen und dann auf freien Informationsfluss in China drängen." So könnte die chinesische Regierung etwa mithilfe von Trusted-Computing-Komponenten verhindern, dass auf den damit ausgerüsteten Rechnern noch der Begriff "Dalai Lama" auftauche. Eine besondere Aktualität habe diese Befürchtung erhalten, betont Weis, seitdem IBM als einer der Hauptinitiatoren der hinter den Industriebemühungen stehenden Trusted Computing Group (TCG) sein PC-Geschäft an den chinesischern Computerhersteller Lenovo verkauft hat.
Ihre Kritik richten die Hacker so nach wie vor auf die mögliche Koppelung von Systemen zum Digital Rights Management (DRM) – Restriction Management im Hackerjargon – mit Trusted Computing. Diese Kombination kann laut Weis zu "absoluten Albtraumszenarien" führen, da DRM und Zensur für ihn "Siamesische Zwillinge" sind. Bedenklich findet der Verschlüsselungsexperte in diesem Zusammenhang auch, dass IBM seit Kurzem Trusted-Computing-Mechanismen in "hochintegrierte Bausteine" des Rechners einbaut. Zudem seien Trusted-Mode-Schnittstellen zu "sicheren" USB-Eingabegeräten sowie zu sonstiger Peripherie in Arbeit. Der CCC verweist hier auf die von ihm sehr begrüßte Stellungnahme der Bundesregierung zu den Sicherheitsbemühungen der Computerwirtschaft. Demnach sollen die eigentlichen Security-Mechanismen "in einem separaten Baustein", dem Trusted Platform Module (TPM), gebündelt werden. Alles andere erscheint der Regierung als zu intransparent.
Zusammenfassend hat die TCG im vergangenen Jahr laut Weis neben der Beibehaltung der Zensurmöglichkeiten neue Probleme in den Bereichen Patent- und Kartellrecht sowie letztlich zusätzliche Ansätze für eine "neue Blackbox" geschaffen. Völlig unverständlich ist dem Hacker, dass die TCG weiterhin die von der Electronic Frontier Foundation (EFF) ins Spiel gebrachte Funktion des "Owner Override" mit fadenscheinigen Argumenten ablehnt. Mit dem Feature könnte der Besitzer eines Rechners Weis zufolge "auf dumme, unanständige Anfragen" nach dem Motto "Benutzt du einen Internet Explorer?" trotz des Einsatzes eines anderen Webnavigationsmittels "dumme Antworten" geben und den gewünschten Browsertyp gleichsam simulieren. Der Industrie ist das aber zu heikel. Die Funktion könnte es einer Bank ermöglichen, so die Gegenargumentation, ein fehlerhaftes System als korrekt zu attestieren oder gar selbst einen "Owner Override" zu verwenden. Für die Hacker wäre die TCG dagegen mit der Anerkennung der grundsätzlichen Nutzerrechte alle ihre Probleme wie eine befürchtete Marktabschottung und Konkurrenzausschaltung los.
Einige Schritte in richtige Richtung hat die TCG mit ihrer fortschrittlichen und um Datenschutz bemühten Krypto-Implementation allerdings den Hackern zufolge gemacht. Dass man das gesamte Verschlüsselungssystem beispielsweise an einem eigenen Wurzelschlüssel aufhängen kann, ist für Weis unerlässlich für Trusted-Computing-Systeme in einer Zeit "verheerender Sicherheit" in der Informationstechnik. Allerdings hat der Forscher in der Standard-Spezifikation TCG 1.2 noch einige rein handwerkliche mathematische Fehler ausgemacht, die dringend zu verbessern seien. Ferner sollte das Konsortium seiner Ansicht nach "korrupte" Signaturkomponenten wie SHA1 oder MD5 alsbald ersetzen.
Quelle : www.heise.de
SiLæncer:
Sicherheitsexperten der Organisation trifinite haben auf dem 21. Chaos Communication Congress (21C3) in Berlin eine Java-Applikation veröffentlicht, mit der sich erstmals von einem Bluetooth-Mobiltelefon aus zahlreiche Manipulationen an einem anderen Nahfunk-geeigneten Handys bewerkstelligen lassen. Das Werkzeug, das die findigen Mobiltechniknutzer in einer Mischung aus Bluetooth und Hoover (englisch für "Staubsauger") Blooover getauft haben, führt eine so genannte BlueBug-Attacke aus. Der Angreifer kann damit Anrufe von einem anfälligen Bluetooth-Handy aus lancieren, SMS über das Gerät verschicken, Adressbucheinträge lesen und verändern, eine Internetverbindung starten sowie zahlreiche andere möglicherweise kostspielige und in die Privatsphäre des Mobiltelefoneigentümers eingreifende Handstreiche auslösen. Daneben aktiviert Blooover eine Rufumleitung zu einer kostenlosen Servicenummer, die normalerweise Nutzern mit Problemen mit Microsofts Windows XP zur Verfügung steht.
Zahlreiche Bluetooth-Schwachstellen bei Mobiltelefonen sind seit über einem Jahr dokumentiert. Mit am bekanntesten neben dem BlueBug ist BlueSnarf. Mit dieser Angriffsmethode lassen sich Daten wie Adressverzeichnisse, Kalender, Uhrzeit oder auch Visitenkarten manipulieren, ohne dass das Handy die Aktionen anzeigt. Betroffen sind beispielsweise die Nokia-Renner 6310 und 6310i sowie Sony Ericssons Kassenschlager T610 -- jeweils mit unveränderter Firmware. Dass derlei Attacken durch eine Koppelung eines Bluetooth-Adapters mit einer WLAN-Antenne auch weit über die eigentlichen Nahfunkgrenzen in Bereiche über anderthalb Kilometer ausgedehnt werden können, ist ebenfalls kein Geheimnis mehr. Bislang war dafür aber immer ein präpariertes Laptop erforderlich. Blooover saugt die fremden Daten dagegen von Handy zu Handy ab -- kaum noch bemerkbar für den Inhaber des angegriffenen Mobiltelefons mit aktiver Bluetooth-Verbindung.
Es handle sich um eine reine "Nachweisapplikation" der Sicherheitsschwachstelle für "Bildungszwecke", betont Martin Herfurt von trifinite angesichts der leichten Bedienbarkeit der Software denn auch. Den Hackern auf dem 21C3 gab er den Hinweis mit auf den Weg: "Bitte nutzt sie verantwortungsbewusst". Die betroffenen Hersteller seien im Vorfeld gewarnt worden und hätten Firmware-Updates zur Verfügung gestellt. An die Nutzer der BlueBug-anfälligen Mobiltelefone appellierte Herfurt nachdrücklich, ihre Geräte zu Servicepartnern zu bringen und dort auf den neuesten Betriebssystemstand bringen zu lassen. Blooover selbst läuft auf Handys mit der Java-Ausrüstung J2ME MIDP 2.0 und einer implementierten JSR-82-Programmierschnittstelle. Dazu gehören unter anderem die Nokia-Modelle 6600 und 7610, das Sony Ericsson P900 oder das Siemens S65.
Gleichzeitig mit Blooover haben die trifinite-Forscher bislang unbekannte Details über die gängigen Bluetooth-Angriffsmethoden herausgegeben. BlueSnarf nutzt demnach einen gewöhnlichen OBEX-Kanal (Object Exchange) in unbeabsichtigter Weise. Eigentlich ist das Verfahren für den Objektaustausch dafür gedacht, via Infrarot oder Bluetooth digitale Visitenkarten oder Kalendereinträge zwischen Mobiltelefonen auszutauschen. Beim BlueSnarfing wird dabei jedoch ein "Push"- in einen "Pull"-Befehl verwandelt, sodass die anvisierten Objekte abgegriffen oder verändert werden können.
BlueBug macht sich zwei geheime RFCOMM-Kanäle (Radio Frequency Communications) zunutze. Derlei Bluetooth-Funkkontakte sollen serielle Anschlüsse emulieren. Bei den Kanälen 16 und 17 handelt es sich bei den angreifbaren Handys allerdings um klassische Hintertüren, auf denen die Sicherheitsfunktionen von Bluetooth nicht greifen. Über diesen Weg können klassische Terminalbefehle bei den betroffenen Mobiltelefonen ausgeführt werden, sodass der Phantasie des Hackers bei der Nutzung der so gekoppelten Geräte kaum Grenzen gesetzt sind. Ein weiteres Werkzeug, das die trifinite-Crew jetzt zur Verfügung gestellt hat, erlaubt das "Blueprinting" -- die Identifizierung eines Mobiltelefon-Typs aus der Ferne anhand dessen Bluetooth-Schnittstelle. Theoretisch lassen sich damit auch die verletzbaren Handy-Modelle rascher aus einer größeren Nutzermenge herausfinden.
Als vorläufiges Resümee der Forschungsarbeiten trifinites hält Mitgründer Adam Laurie fest: "Bluetooth selbst scheint relativ sicher zu sein". Er kenne nur eine Schwachstelle zum Abhören eines wichtigen Schlüsselaustauschs, die sich aber nur mit einer teuren Ausrüstung in einem günstigen Moment bewerkstelligen lasse. Die Bluetooth-Implementierungen einzelner Handy-Hersteller hält Laurie dagegen für "überraschend locker". Mancher Mobiltelefonbauer habe wohl nicht damit gerechnet, dass ein Teil seiner Modelle schon in einem sehr frühen Stadium den Markt erreichen würde.
Quelle : www.heise.de
SiLæncer:
Für 2005 stehen bei der frei verfügbaren Online-Enzyklopädie einige Neuerungen ins Haus. So soll das exponentielle Wachstum der beliebten Wissens-Site, die am 15. Januar 2005 in ihr fünftes Jahr eintritt, nicht mehr nur mit dem Einschieben weiterer Server aufgefangen werden. Die Inhalte der verstärkt Bildmaterial mit einbeziehenden Datenbank werden künftig größtenteils mit dem freien Algorithmus gzip komprimiert. Dies kündigten Entwickler der MediaWiki-Software, mit der Wikipedia läuft, auf dem 21. Chaos Communication Congress (21C3) in Berlin an. Auf ihrem Treffen am Rande der Hackertagung diskutieren die Wikipedianer zudem über die mögliche Platzierung von Werbung auf der Site und das künftige Vorgehen gegen Raubkopierer.
Das MediaWiki-System, das in PHP geschrieben ist und mit einer MySQL-Datenbank arbeitet, muss gehörige Lasten tragen. Es gestattet eine Volltext-Suche genauso wie spontane Anfragen. Immer mehr Nutzer machen zudem vom traditionellen "Edit"-Button des Wikis Gebrauch, weiß Mitentwickler Brian Vibber. Es gebe inzwischen fast 1000 entsprechende Anfragen an die Datenbank pro Sekunde, die alle immer auf der Server-Seite abgeglichen werden müssten. PHP ist allerdings recht langsam und wendet bei MediaWiki laut Vibber rund 83 Prozent der Laufzeit für die Code-Kompilierung auf. Zudem hatte Wikipedia bereits mit Problemen bei der MySQL-Datenbank zu kämpfen. Optimierungsbedarf tut sich an zahlreichen Stellen auf.
Die Größe der Datenbank hat sich während der vergangenen zwei Jahre alle zwei Monate verdoppelt. "Wir haben über 1,2 Millionen Artikel in mehr als 200 Sprachen", freut sich Wikipedia-Mitgründer Jimmy Wales über die anhaltende Erfolgsgeschichte. Insgesamt stünden über 130 Millionen Wörter in der Wissensdatenbank. Die Wikipedia-Seiten, die auf Englisch derzeit 412.000 und in Deutsch 172.000 Einträge umfassen, sind im Web populärer als etwa die Homepage des US-Senders Fox News oder des Online-Zahlsystems PayPal.
Der Erfolg kommt den Wikipedianern aber auch teuer zu stehen: Mehr als 30 Server bewältigen momentan die schwere Datenbürde. Erst in diesem Jahr ist mit ersten Komprimierungsversuchen begonnen worden. Doch mit dem unbeschwerten Umgang mit Speicherplatz soll Schluss sein. Mit gzip könne eine durchschnittliche Kompressionsrate von 85 Prozent erreicht werden, schwärmt Starling. Zudem haben die MediaWiki-Macher angefangen, "Squid Web Proxy Cache"-Server in das System zu integrieren. Falls es keine Änderungen in der Datenbank gibt, wird mit deren Hilfe das PHP-Procedere umgangen.
Die Vorstände der Wikimedia-Stiftung, die Wikipedia formell trägt, machen sich angesichts der steigenden Systemkosten auch Gedanken über Einkünfte. Wikimedia-Präsident Wales hat mit seinem Kind schließlich noch viel vor: Mit seinen freiwilligen Mitstreitern will er die beste und größte Enzyklopädie der Welt aufbauen und das darin gespeicherte Wissen allen Menschen weltweit frei zugänglich zu machen. Zudem expandiert Wikipedia ständig: So hat der deutsche Ableger etwa im Herbst die Publikation zweier Sammelreader zu den Schwerpunkten "Schweden" und "Internet" unterstützt. Sie werden von den Initiatoren der beiden Bücher in Eigenregie herausgegeben. Nach der Auflage einer CD mit Teilen der Enzyklopädie soll zur Buchmesse 2005 in Leipzig eine DVD folgen. Im Online-Bereich hat Wikimedia im Dezember das Projekt Wikinews gestartet, in dessen Rahmen Freunde der Netzenzyklopädie Nachrichtenartikel im Stil des "Graswurzel-Journalismus" verfassen. Unter dem Titel "Wikimedia Commons" baut Wikimedia zudem eine lizenzfreie Bilddatenbank auf. Geld bringen all die Projekte aber nicht -- die Medienprodukte werden entweder verschenkt oder mit einer Schutzgebühr versehen.
Allein durch Werbeschaltungen auf der Online-Enzyklopädie könnte die Stiftung gut 500.000 US-Dollar im Monat einfahren, schätzt Wales. "Aber wenn es nach mir geht, werden wir nicht-kommerziell bleiben", sagt der frühere Internet-Unternehmer. Online-Anzeigen hätten keinen guten Ruf bei seinen Mitstreitern. Um Wikipedia auf CDs in Entwicklungsländern zu verbreiten, setzt Wales lieber auf Kooperationen mit philanthropischen Organisationen. Auch für Sponsoring-Angebote ist er offen: So will der Suchmaschinenprimus Google einige Server für Wikipedia hosten.
Auf überraschende Probleme sind die Wikipedianer derweil mit Raubkopierern gestoßen. Das hört sich paradox an, weil die Inhalte von jedermann genutzt und verändert werden können. Sie sind allerdings mit der GNU Free Documentation License versehen. Die neu entstehenden Inhalte oder sonstige Übernahmen müssen so unter derselben "Open Content"-Lizenz mit einem Verweis auf die ursprüngliche Quelle veröffentlicht werden, was ein Teil des Erfolgsprinzips von Wikipedia ist. Doch nicht alle halten sich an die Spielregeln: So besteht das Glossar einer kürzlich von T-Online und Sony BMG herausgegebenen Studie weitgehend aus Versatzstücken von Wikipedia -- ohne Achtung der Lizenzbedingungen. Auch die Firma Babylon hat sich nach Angaben eines Wikimedia-Vertreters für ein Glossar zu einem Werk über die Olympischen Spiele in vergleichbarer Weise bei der Wissensdatenbank bedient. Wales will vor dem Einschalten von Gerichten auf Aufklärung setzen. Ein Rechtsgutachten soll dazu auch die Besonderheiten der Lizenz unter deutschen Verhältnissen beleuchten.
Quelle : www.heise.de
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln