7426 lines
276 KiB
Markdown
7426 lines
276 KiB
Markdown
# Pentaradio-Sammelpad
|
||
|
||
Sendezeit: 21:30-23:00 Uhr, jeden vierten Dienstag im Monat
|
||
|
||
**Aufgaben dieses Pads: **
|
||
|
||
- Vorbereiten von Sendungen (Themenvorschläge, News, Kommentare,
|
||
Infosammlung, usw.)
|
||
- Begleiten von Sendungen (Shownotes, TopicPicking)
|
||
- Sendungshistory für vergangene Sendung vorhalten bis diese im
|
||
Anschluss anderweitig abgelegt werden
|
||
|
||
Studio-Telefon (während der Sendung): **0351-32054711,
|
||
Skype:coloradio**
|
||
**Feedback erwünscht unter:**
|
||
[**https://pentamedia.org**](https://pentamedia.org)
|
||
|
||
Es wäre zu überlegen, ob wir die Sendungsvorbereitung gleich so weit
|
||
wie möglich im Open Shownotes Format machen, um dann wärend der Sendung
|
||
nur noch die Timestamps einzufügen.
|
||
-
|
||
<https://github.com/shownotesArchive/OSF-in-a-Nutshell/blob/master/OSF-in-a-Nutshell.de.md>
|
||
- <https://shownot.es/doc/pentaradio-Jan16/>
|
||
|
||
Statistiken: <http://www.hq.c3d2.de/p-Ideenfindungentastats/>
|
||
|
||
## Themenvorschläge
|
||
|
||
Mediawiki, Semantic Wiki, Extensions (honky)
|
||
Arbeiten bei Mozilla (Xyrill, Henrik Skupin)
|
||
MRT (Xyrill, Jens) - siehe unten
|
||
Sailfish OS (honky)
|
||
OpenTechSchool Leipzig wären schöne Interviewgäste
|
||
Politik im Hackerspace: Anarchismus, Liberalismus und der Zahn der
|
||
Zeit
|
||
cryptospass: <https://hedgedoc.c3d2.de/pentaradio-bitcoin>
|
||
update backup: <https://hedgedoc.c3d2.de/pentaradio-backup-nas>
|
||
|
||
## 2022
|
||
|
||
<https://codimd.c3d2.de/pentaradio-2022-01>
|
||
<https://codimd.c3d2.de/pentaradio-2022-02>
|
||
<https://codimd.c3d2.de/pentaradio-2022-03>
|
||
<https://codimd.c3d2.de/pentaradio-2022-04>
|
||
<https://codimd.c3d2.de/pentaradio-2022-05>
|
||
<https://codimd.c3d2.de/pentaradio-2022-06>
|
||
<https://codimd.c3d2.de/pentaradio-2022-07>
|
||
<https://codimd.c3d2.de/pentaradio-2022-08>
|
||
<https://codimd.c3d2.de/pentaradio-2022-09>
|
||
<https://codimd.c3d2.de/pentaradio-2022-10>
|
||
<https://codimd.c3d2.de/pentaradio-2022-11>
|
||
<https://codimd.c3d2.de/pentaradio-2022-12>
|
||
|
||
## 2021
|
||
|
||
<https://codimd.c3d2.de/pentaradio-2021-01>
|
||
<https://codimd.c3d2.de/pentaradio-2021-02>
|
||
<https://codimd.c3d2.de/pentaradio-2021-03>
|
||
<https://codimd.c3d2.de/pentaradio-2021-04>
|
||
<https://codimd.c3d2.de/pentaradio-2021-05>
|
||
<https://codimd.c3d2.de/pentaradio-2021-06>
|
||
<https://codimd.c3d2.de/pentaradio-2021-07>
|
||
<https://codimd.c3d2.de/pentaradio-2021-08>
|
||
<https://codimd.c3d2.de/pentaradio-2021-09>
|
||
<https://codimd.c3d2.de/pentaradio-2021-10>
|
||
<https://codimd.c3d2.de/pentaradio-2021-11>
|
||
<https://codimd.c3d2.de/pentaradio-2021-12>
|
||
|
||
## 2020
|
||
|
||
<https://hackmd.c3d2.de/pentaradio-2020-01>
|
||
<https://codimd.c3d2.de/pentaradio-2020-02>
|
||
<https://codimd.c3d2.de/pentaradio-2020-03>
|
||
<https://codimd.c3d2.de/pentaradio-2020-04>
|
||
<https://codimd.c3d2.de/pentaradio-2020-05>
|
||
<https://codimd.c3d2.de/pentaradio-2020-06>
|
||
<https://codimd.c3d2.de/pentaradio-2020-07>
|
||
<https://codimd.c3d2.de/pentaradio-2020-08>
|
||
<https://codimd.c3d2.de/pentaradio-2020-09>
|
||
<https://codimd.c3d2.de/pentaradio-2020-10>
|
||
<https://codimd.c3d2.de/pentaradio-2020-11>
|
||
<https://codimd.c3d2.de/pentaradio-2020-12>
|
||
|
||
## Seit April 2019
|
||
|
||
<https://hackmd.c3d2.de/pentaradio-2019-04>
|
||
<https://hackmd.c3d2.de/pentaradio-2019-05>
|
||
<https://hackmd.c3d2.de/pentaradio-2019-06>
|
||
<https://hackmd.c3d2.de/pentaradio-2019-07>
|
||
<https://hackmd.c3d2.de/pentaradio-2019-08>
|
||
<https://hackmd.c3d2.de/pentaradio-2019-09>
|
||
<https://codimd.c3d2.de/pentaradio-2019-10>
|
||
<https://codimd.c3d2.de/pentaradio-2019-11>
|
||
<https://codimd.c3d2.de/pentaradio-2019-12>
|
||
und so weiter
|
||
|
||
## März 2019: Wir sind die Bots, Uploadfilter sind zwecklos
|
||
|
||
Pentapad ist ziemlich buggy bei mir (Xyrill). Lasst uns mal HackMD
|
||
probieren: <https://hackmd.c3d2.de/pentaradio-2019-03>
|
||
|
||
## Februar 2019
|
||
"Roboter - machines serving somebody"
|
||
|
||
News:
|
||
- GesellschaftMachtTechnik erwähnen (oder einladen?), siehe
|
||
<https://hackmd.c3d2.de/plenum-2019-2>
|
||
- Verweis auf die Gesprächsrunde beim MDR:
|
||
<https://www.mdr.de/sachsenradio/podcast/audio-956750.html>
|
||
- neuer Podcast von Xyrill:
|
||
<https://xyrillian.de/noises/st/001-eigenbaukombinat-halle/>
|
||
- Apple Is Blocking Linux User-Agent on appleid.apple.com:
|
||
<https://fosstodon.org/@alexbuzzbee/101633318704187857>
|
||
- Aktionstag gegen Uploadfilter am 23. März - (oder am 2. in Berlin) -
|
||
Europaparlament entscheidet März / April
|
||
<https://netzpolitik.org/tag/uploadfilter/> <https://juliareda.eu>
|
||
- viel zu viele stille SMS:
|
||
<https://netzpolitik.org/2019/deutlich-mehr-stille-sms-auch-in-bundeslaendern/>
|
||
Erstmals unter Verschluss
|
||
\* die Bundespolizei im 2. Halbjahr 50.654 „Stille SMS“, vorher
|
||
waren es noch 38.990.
|
||
\* BKA 21.337 „Stille SMS“ versandt, rund ein Drittel weniger als
|
||
im Jahr zuvor.
|
||
\* Bundesamt für Verfassungsschutz (BfV) letztes Jahr 180 000
|
||
\* Zoll ähnlich
|
||
\* Die Zahlen zum Bundesnachrichtendienst waren hingegen schon
|
||
immer geheim.
|
||
- Funkzellenabfragen-Informationssystem in Berlin -\>
|
||
<https://fts.berlin.de/>
|
||
|
||
**Definition Roboter:**
|
||
<https://de.wikipedia.org/wiki/Roboter>
|
||
Ein **Roboter** ist eine technische Apparatur, die üblicherweise dazu
|
||
dient, dem Menschen häufig wiederkehrende mechanische Arbeit abzunehmen.
|
||
Roboter können sowohl ortsfeste als auch mobile Maschinen sein und
|
||
werden von Computerprogrammen gesteuert. Die Wortbedeutung hat sich im
|
||
Laufe der Zeit gewandelt.
|
||
<https://de.wikipedia.org/wiki/Roboter#Definition_nach_VDI-Richtlinie_2860>
|
||
|
||
**Roboter in der Populärkultur:**
|
||
- Maria (Metropolis)
|
||
- Westworld
|
||
- T-800
|
||
- TARS & CASE
|
||
- HAL 9000 (noch Roboter?)
|
||
|
||
Robotwars/Roboteers: <http://forum.roboteers.org/>
|
||
Hebocon!
|
||
|
||
**Beispiele für Roboter im Alltag:**
|
||
Kaffeemaschine
|
||
Geschirrspülmaschine
|
||
Staubsauger
|
||
3D Drucker
|
||
CNC Fräse
|
||
HoverBoards
|
||
Autonome Autos?
|
||
|
||
<https://www.turag.de/>
|
||
<http://www.teamhector.de/>
|
||
<https://github.com/PaulPetring/amosero/> amosero :)
|
||
|
||
**Beispiele militärisch:**
|
||
- Vorläufer Goliath (Leichter Ladungsträger im MhM in Dresden im
|
||
Original zu sehen!)
|
||
<https://de.wikipedia.org/wiki/Goliath_(Panzer)>
|
||
- Samsung SGR-A1 (erster vollautomatischer Kampfroboter)
|
||
<https://de.wikipedia.org/wiki/Samsung_SGR-A1>
|
||
- SWORDS, Gardium, Predator,
|
||
...
|
||
<https://www.youtube.com/watch?v=hMtABzjslXA>
|
||
sand flea
|
||
hexapod
|
||
bigdog
|
||
LS3
|
||
atlas
|
||
spot mini
|
||
|
||
**Beispiele Wissenschaft/Raumfahrt:**
|
||
Robonaut 2 ( <https://de.wikipedia.org/wiki/Robonaut> ) Macht
|
||
Wartungsarbeiten an der ISS
|
||
Cimon ( <https://de.wikipedia.org/wiki/Cimon_(Roboter)> ) Basiert auf
|
||
IBM Watson
|
||
Erkundung von anderen Planeten: Spirit, Opportunity, Curiosity**,
|
||
...**
|
||
PTScientist Lunar-Rover/Asimov:
|
||
<https://de.wikipedia.org/wiki/Part-Time_Scientists#Audi_lunar_quattro>
|
||
Mars Rover Curiosity <https://en.wikipedia.org/wiki/Curiosity_(rover)>
|
||
|
||
**Beispiele Wirtschaft:**
|
||
*Amazon Robotics*, formerly Kiva Systems
|
||
<https://www.youtube.com/watch?v=cLVCGEmkJs0>
|
||
Kuka Robotics <https://www.kuka.com/en-de/products/robot-systems>
|
||
|
||
**Geschichte der Robotik:**
|
||
<https://de.wikipedia.org/wiki/Robotik#Geschichte>
|
||
|
||
Theater und Musikmaschinen aus der Antike
|
||
1205 "Automata" (Buch des Wissens von sinnreichen mechanischen
|
||
Vorrichtungen)
|
||
1495 Leonardo da vinci Pläne für Androiden
|
||
<https://upload.wikimedia.org/wikipedia/commons/4/45/Leonardo-Robot3.jpg>
|
||
1740 Jacques de Vaucanson (Erfinder programmierbarer Webstuhl)
|
||
Ende 19Jh. militärisches Interesse
|
||
Jules Verne schrieb eine Geschichte über eine *Menschmaschine*
|
||
1920 führte der Schriftsteller Karel Čapek den Begriff Roboter für einen
|
||
Androiden ein
|
||
|
||
Erfindung des Transistors 1947
|
||
|
||
1955 kamen erste NC-Maschinen auf den Markt (Geräte zur Steuerung von
|
||
Maschinen)
|
||
1954 meldet George Devol in den USA ein Patent für einen
|
||
programmierbaren Manipulator
|
||
<https://de.wikipedia.org/wiki/Industrieroboter>
|
||
|
||
Um 1970 wurde auch der erste autonome mobile Roboter Shakey (der
|
||
Zittrige) am Stanford Research Institute entwickelt.
|
||
<https://de.wikipedia.org/wiki/Shakey_(Roboter)>
|
||
|
||
1973 KUKA Famulus <https://de.wikipedia.org/wiki/Famulus_(Roboter)>
|
||
|
||
---- Musik? ----
|
||
|
||
Robotik Mischung aus Elektrotechnik, Informatik, Mathematik
|
||
|
||
**Actoren**
|
||
- Motortypen, DC, Stepper, Servo, Getriebevarianten allgemein
|
||
- Motortreiber mit H-Brücken z.B. ln298, VNH2SP30, TMC2130
|
||
- PWM
|
||
|
||
**Accumulatoren:**
|
||
- AAA
|
||
- LiPo
|
||
- NiMh
|
||
- Autobarrerien
|
||
- klassische Flüssigtreibstoffe ala Diesel, Benzin etc.
|
||
|
||
**Sensoren & Prozessoren**
|
||
- Distanzsensoren: HCSR04 (Ultraschall), VL53L0X (ToF mit IR-Pulsen)
|
||
- Sensoren: IMUs, Temperaturfühler, encoder,
|
||
- Xtion, Kinect, Laserscanner, Lidar
|
||
- Arduino, ESP32, Raspberry Pi, Odroid-H2
|
||
|
||
**Mathematik in der Robotik:**
|
||
- Trajektorien <https://de.wikipedia.org/wiki/Trajektorie_(Physik)>
|
||
- Matrizentransformationen
|
||
- Kalman Filter <https://en.wikipedia.org/wiki/Kalman_filter>
|
||
- SLAM (Simultaneous localization and mapping)
|
||
- Richtungsangaben:
|
||
\* <http://wiki.ros.org/Robots/TIAGo/Tutorials/motions/cmd_vel>
|
||
\* <http://docs.ros.org/api/geometry_msgs/html/index-msg.html>
|
||
|
||
**Software**
|
||
- Einzelsystem bis Verteiltes System
|
||
- Wiederbenutzbarkeit von Funktionalität
|
||
- Simulierbarkeit
|
||
- Lizenzen
|
||
- Robot Frameworks Microsoft Robotics Developer Studio, Cyberbotics
|
||
Webbots, Player Project and
|
||
- ROS \[1\] ros.org
|
||
turag.de
|
||
|
||
**Gesellschaftlich**
|
||
|
||
Die Asimov’schen Gesetze lauten:
|
||
<https://de.wikipedia.org/wiki/Robotergesetze>
|
||
|
||
- Ein Roboter darf kein menschliches Wesen (wissentlich) verletzen oder
|
||
durch Untätigkeit (wissentlich\]) zulassen, dass einem menschlichen
|
||
Wesen Schaden zugefügt wird.
|
||
- Ein Roboter muss den ihm von einem Menschen gegebenen Befehlen
|
||
gehorchen – es sei denn, ein solcher Befehl würde mit Regel eins
|
||
kollidieren.
|
||
- Ein Roboter muss seine Existenz beschützen, solange dieser Schutz
|
||
nicht mit Regel eins oder zwei kollidiert.
|
||
|
||
Sources:
|
||
\[1\]
|
||
<https://defendtheplanet.net/wp-content/uploads/2015/03/amosero.pdf>
|
||
|
||
## Januar 2019
|
||
"Boxxing gegen Doxxing"
|
||
|
||
Zum Einspielen: Gar nicht so einfach \#4 -\>
|
||
<https://xyrillian.de/noises/gnse/004-color-spaces/>
|
||
|
||
News:
|
||
|
||
- <https://www.heise.de/newsticker/meldung/Mailbox-org-kritisiert-Formfehler-bei-Datenabfragen-von-Sicherheitsbehoerden-4270258.html>
|
||
- <https://www.heise.de/newsticker/meldung/Polizeigesetz-Brandenburg-Scharfe-Kritik-an-heimlicher-Wohnungsdurchsuchung-4270176.html>
|
||
- <https://www.mdr.de/sachsen/politik/neues-polizeigesetz-kabinett-sachsen-100.html>
|
||
- <https://www.heise.de/newsticker/meldung/DSGVO-Verstoesse-Frankreich-verhaengt-Millionen-Strafe-gegen-Google-4283765.html>
|
||
|
||
35c3:
|
||
- es war kongress, bund, farbe, yeahhhhhhh
|
||
- buehne chaoszone
|
||
- vorträge unter media.ccc.de
|
||
|
||
- <https://media.ccc.de/v/35c3-10011-hackerethik_-_eine_einfuhrung>
|
||
- <https://media.ccc.de/v/35c3-9972-funkzellenabfrage_die_alltagliche_rasterfahndung_unserer_handydaten>
|
||
- <https://media.ccc.de/v/35c3-9858-archaologische_studien_im_datenmull>
|
||
- <https://media.ccc.de/v/35c3-9716-du_kannst_alles_hacken_du_darfst_dich_nur_nicht_erwischen_lassen>
|
||
- <https://media.ccc.de/v/35c3-9486-hebocon>
|
||
- <https://media.ccc.de/v/35c3-34-hebocon-finale>
|
||
|
||
Content:
|
||
- Doxing - veröffentlichung von Dokumenten
|
||
(<https://de.wikipedia.org/wiki/Doxing>
|
||
- Was genau ist passiert.
|
||
|
||
- „@G0D” Adventskalender, veröffentlicht Türchenweise
|
||
- „Es befinden sich liberal positionierte Youtuber und Prominente
|
||
darunter, bei den Parteien wurde einzig die AFD ausgespart. "
|
||
<https://www.mopo.de/hamburg/hackerangriff--chaos-computer-club-gibt-antworten--so-lief-der-daten-raub-ab-31827902>
|
||
- neben Kopien von Ausweisen, privaten Familien-Chats, Handy-Nummern
|
||
und E-Mail-Adressen, Mietverträgen etwa auch eine Tageskarte für
|
||
die Berliner Erotik-Messe "Venus"
|
||
- „Die Angreifer scheinen ein paar Nachlässigkeiten begangen zu
|
||
haben, indem Sie die Zeitpunkte des Zugriffs in den
|
||
veröffentlichten Daten hinterlassen haben, ebenso wie
|
||
charakteristische Grammatikfehler oder persönliche Ansichten zu
|
||
bestimmten Vertretern”
|
||
- <http://www.fr.de/politik/bundestag-hackerangriff-auf-hunderte-politiker-a-1648327>
|
||
- <https://www.mopo.de/hamburg/hackerangriff--chaos-computer-club-gibt-antworten--so-lief-der-daten-raub-ab-31827902>
|
||
- <https://www.rbb24.de/politik/beitrag/2019/01/hackerangriff-btleaks-belin-was-wir-wissen.html>
|
||
- <https://www.huffingtonpost.de/entry/wieso-der-grosse-hackerangriff-auf-politiker-vielleicht-gar-keiner-war_de_5c3077b0e4b0bcb4c25bf66b>
|
||
- <https://www.heise.de/newsticker/meldung/Politiker-und-Promi-Hack-Taeter-hat-sich-wohl-schon-2016-verraten-4271251.html>
|
||
- Promi-Doxxer 0rbit, Nullr0uter in Hessen festgenommen
|
||
- <https://www.heise.de/newsticker/meldung/Gehackte-Daten-Politiker-beklagen-schweren-Angriff-auf-die-Demokratie-4265847.html>
|
||
- 07.01.2019 03:00 Uhr Hausdurchsuchung
|
||
- <https://www.tagesschau.de/inland/datendiebstahl-durchsuchung-hackerangriff-101.html>
|
||
- 19-Jährigen. Jan S. werde derzeit als Zeuge im Verfahren zum
|
||
Hackerangriff geführt
|
||
- kennt 0rbit nur, sagt er sei es selbst nicht
|
||
- <https://www.zdf.de/nachrichten/heute/chaos-computer-club-angreifer-hat-viele-fehler-gemacht-durchsuchungen-in-heilbronn-nach-datenklau-100.html>
|
||
- Es wurden sehr viele Metadaten, Zugriffszeiten und Motivationen,
|
||
Rechtschreibfehler, eigene Gedanken in diesen Daten hinterlassen",
|
||
sagte CCC-Sprecher Linus Neumann
|
||
- "Cyber-Abwehrzentrum plus"
|
||
- <https://www.tagesschau.de/inland/datendiebstahl-115.html>
|
||
- Staatsanwälte ermittelten schon dreimal gegen Tatverdächtigen
|
||
- <http://www.spiegel.de/netzwelt/web/daten-leak-staatsanwaelte-ermittelten-schon-dreimal-gegen-tatverdaechtigen-a-1247544.html>
|
||
- Doxing: Der Kampf um Datensicherheit wird auf unseren Computern
|
||
entschieden
|
||
- <https://netzpolitik.org/2019/doxing-doxing-der-kampf-um-datensicherheit-wird-auf-unseren-computern-entschieden/>
|
||
|
||
Bewertung danach, Reaktion der Politik, Cyber-Polizei,
|
||
|
||
- <https://www.independent.co.uk/life-style/gadgets-and-tech/news/collection-1-data-breach-latest-more-information-cyber-security-a8734736.html>
|
||
- Within a day, Brian Krebs, a cybersecurity journalist, had been in
|
||
contact with one of those selling Collection \#1, and learned there
|
||
were seven additional collections of similar username/password
|
||
combinations, with the total contents of the collections being
|
||
more than 500 GB, compared to the 87 GB from Collection \#1. The
|
||
additional contents of these additional collections is not yet
|
||
known.
|
||
|
||
Doxxing vorbeugen oder gegensteuern:
|
||
- Welche daten könnten weg sein?
|
||
- have i been pawned (<https://haveibeenpwned.com/)>
|
||
- Daten aus Darknet
|
||
- Wie weiter bei datenverlust?
|
||
- incident response management
|
||
(<https://de.wikipedia.org/wiki/Incident_Management)>
|
||
- Wie sollten gute Passwörter aussehen?
|
||
- viele zeichen
|
||
- passwort manager
|
||
- kein passwort recycling
|
||
- Absicherung der eigenen Daten!
|
||
|
||
- Nicht alles zu facebook -\> auch wenn es mir egal ist, kommunikation
|
||
hat immer mehrere partner und dennen muß es nicht egal sein
|
||
- Full disk encryption -\> schon mal einen laptop liegen gelassen? Handy
|
||
weg? etc.
|
||
- E-Mail Passwort ist Zentrallschlüssel
|
||
- Daten signieren und signaturen überprüfen
|
||
|
||
\- Datenschutz für fremde Daten!
|
||
|
||
- DSGVO
|
||
- Offline Datenschutz
|
||
- Adressen auf Papier (Schreddern!)
|
||
|
||
\- Updates Updates Updates
|
||
- Wer heute noch auto updates deaktiviert sollte sich strafbar
|
||
machen
|
||
|
||
## geplant für Januar 2019, aber zurückgestellt wegen Terminkonflikt
|
||
"MRT - Magnet-Resonanztomografie"
|
||
|
||
Vorgeschlagen von unserem Gast Jens, der mehrere Jahre an einem MRT im
|
||
Patientenkontakt gearbeitet hat.
|
||
|
||
*Musik*
|
||
|
||
Note to self: Den physikalischen Teil eher kurz fassen, kann man auch
|
||
bei Wikipedia nachlesen.
|
||
|
||
- physikalisches Prinzip
|
||
- Längsmagnetisierung: Schichtprobe in statischem Magnetfeld -\>
|
||
Protonen-Spins richten sich aus, leichtes Ungleichgewicht zwischen
|
||
Up- und Down-Spins aufgrund Deuteriumanteil im Wasserstoff
|
||
- deuterierte Lösungsmittel erhöhen die Signalstärke
|
||
- Quermagnetisierung: Hochfrequenz-Impuls lässt Spins umklappen und im
|
||
Gleichschritt rotieren
|
||
- pro Gewebe unterschiedliches Verhältnis der Relaxationszeiten
|
||
zwischen Quer- und Längsmagnetisierung -\> Messung mit RF-Antennen
|
||
- Ortskodierung: Gradientenmagnetfeld variiert entlang aller Achsen
|
||
-\> ortsveränderliche Frequenzen
|
||
- Arten der Messung
|
||
- T1-Messung: schaut nur Längsmagn. an -\> Wasser hell, Fett dunkel
|
||
- kontrastmittel-sensitiv
|
||
- T2-Messung: schaut nur Quermagn. an -\> Wasser und Fett hell
|
||
- mit und ohne Fettsättigung: Fettanteile können unterdrückt werden
|
||
- Subtraktion von Bildern in der Nachbearbeitung (z.B. um
|
||
Kontrastmittel zu sehen: Blutgefäße, Tumore, etc.)
|
||
- Angiografie (Gefäßdarstellung) ohne Kontrastmittel: Anregung des
|
||
Blutes in einer Schicht, dann Messung in der nächsten Schicht (denn
|
||
Blut fließt in die nächste Schicht)
|
||
|
||
*Musik*
|
||
|
||
- aus Sicht des Betreibers/Patienten
|
||
- starke Kühlung
|
||
- Quenching in Notfallsituationen; aber manchmal gibt es auch
|
||
Helium-Engpässe
|
||
- Helium verdrängt Luft
|
||
- Fall: aktuelle iPhones haben Timing-Chips, die durch Helium
|
||
verstopfen und aussetzen -\> super Helium-Leck-Detektor
|
||
- Fall: Quench-Rohr von einem nistenden Vogel blockiert
|
||
- starke Magnetfelder
|
||
- bitte nicht mit Kreditkarten, Herzschrittmachern, Schlüssel,
|
||
Taschenmessern
|
||
- Büroklammern reinwerfen: pendeln entlang der Röhrenachse
|
||
- Wirbelströme bremsen Aluminium-Objekte
|
||
- laute Geräusche
|
||
- nicht durch bewegliche Teile
|
||
- Spulen vibrieren durch die stark veränderlichen Magnetfelder,
|
||
trotz Kunstharz-Einschluss
|
||
- Hochspannung
|
||
- TODO: Wieviel?
|
||
|
||
*Musik*
|
||
|
||
## November 2018
|
||
"Auf der Himbeere Arbeiten"
|
||
|
||
News:
|
||
|
||
- IBM kauft Red Hat:
|
||
<https://www.redhat.com/en/blog/red-hat-ibm-creating-leading-hybrid-cloud-provider>
|
||
- Microsoft war gestern kurzzeitig die wertvollste Firma der Welt:
|
||
<https://markets.businessinsider.com/news/stocks/microsoft-dethrones-apple-as-the-most-valuable-us-company-2018-11-1027756092>
|
||
- apropos Microsoft: 3000 Steam games (incl. Windows-only titles)
|
||
reported as working on Linux <https://www.protondb.com/>
|
||
- Hintergrund: Steam für Linux enthält jetzt Wine plus
|
||
Direct-X-11/12-Implementationen auf Vulkan-Basis
|
||
<https://arstechnica.com/gaming/2018/08/valves-steam-play-uses-vulkan-to-bring-more-windows-games-to-linux/>
|
||
- apropos "Microsoft acquires Github": sr.ht, the hacker's forge, now
|
||
open for public beta
|
||
<https://drewdevault.com/2018/11/15/sr.ht-general-availability.html>
|
||
- Facebook-Exodus: 44% der jungen Facebook-Nutzer haben die App gelöscht
|
||
<https://www.cnbc.com/2018/09/05/facebook-exodus-44-percent-of-americans-age-18-29-have-deleted-app.html>
|
||
- apropos Social Media: erste DSGVO-Strafe verhängt gegen Knuddels.de
|
||
<https://www.netzwoche.ch/news/2018-11-27/erste-dsgvo-strafe-in-deutschland-verhaengt>
|
||
- <https://www.heise.de/security/meldung/Instagram-DSGVO-Tool-verraet-Nutzerpasswoerter-im-Klartext-4224308.html>
|
||
- Wissenschafts-News:
|
||
- NASA-Sonde auf Mars gelandet
|
||
<https://www.heise.de/newsticker/meldung/NASA-Sonde-gelandet-InSight-schickt-erstes-Foto-vom-Mars-4233093.html>
|
||
- Wendelstein 7-X erzielt bei Testlauf neue Rekorde in Plasmadichte
|
||
und Energieinhalt:
|
||
<https://www.ipp.mpg.de/de/aktuelles/presse/pi/2018/11_18>
|
||
|
||
Ich höre jetzt einfach mal auf, Nachrichten zu sammeln. Das ist schon
|
||
genug für ne halbe Stunde, und wir wollen ja auch noch ein Thema machen.
|
||
:)
|
||
|
||
----
|
||
|
||
|
||
<https://www.c3d2.de/news/pentaradio24-20130122.html>
|
||
pentaradio24: Raspberry PI -\> Astro @ Montag, 21. Januar
|
||
2013 um 15:23 Uhr
|
||
|
||
===Raspberry Pi Geschichte und Modelle===
|
||
<https://de.wikipedia.org/wiki/Raspberry_Pi>
|
||
|
||
|
||
|
||
Raspberry Pi Foundation:
|
||
- Die ist eine (wohltätige) Stiftung, ihr gehört Raspberry Pi Trading
|
||
(Spaltung 2013)
|
||
- gegründet 5. Mai 2009
|
||
- Ziel: das Studium der Informatik und verwandter Themen zu fördern,
|
||
besonders an Schulen.
|
||
- The Foundation is supported by the University of Cambridge Computer
|
||
Laboratory and Broadcom
|
||
|
||
2006 angefangen mit der Entwicklung "Cambridge’s Computer
|
||
Laboratory"
|
||
Prototyp mit einem Atmel-ATmega644-Mikrocontroller
|
||
<https://www.zdnet.com/pictures/photos-of-the-raspberry-pi-through-the-ages-from-the-prototype-to-pi-3/>
|
||
The board uses an Atmel ATmega644 microcontroller clocked at 22.1MHz,
|
||
and a 512K SRAM. Nineteen of the Atmel's 32 general-purpose
|
||
input/output pin lines are used to drive the SRAM address bus. The
|
||
board could output a 320×240 resolution image to a display.
|
||
|
||
2008 kam der BBC micro game Elite Entwickler David Braben dazu
|
||
|
||
- kam Anfang 2012 auf den Markt
|
||
- Produktion von China nach Wales, in eine Fabrik des Unternehmens
|
||
Sony
|
||
- Am 14. Mai 2013 kam ein Kameramodul für den Raspberry Pi in den
|
||
Handel
|
||
- 9. Juni 2014 lieferbar\[32\] ist das Raspberry Pi Compute Module (Pi
|
||
im DDR2-SODIMM)
|
||
- Am 14. Juli 2014 wurde das Modell B+ (Anzahl der GPIO- und der
|
||
USB-Ports erhöht, die Leistungsaufnahme verringert und die Audioausgabe
|
||
verbessert)
|
||
- 10. November 2014 wurde das Modell A+
|
||
- 2. Februar 2015 wurde der Raspberry Pi 2 Model B (1 GB Arbeitsspeicher
|
||
und einen Vierkernprozessor vom Typ Broadcom BCM2836 auf
|
||
ARM-Cortex-A7-Basis mit einer Taktfrequenz von bis zu 900 MHz)
|
||
- 26. November 2015 wurde der Raspberry Pi Zero (wi A+ nur schmal, mini
|
||
HDMI, mikro usb
|
||
- Raspberry Pi 3A+
|
||
- Bis Ende 2017 wurden mehr als 17 Millionen Geräte verkauft
|
||
|
||
### Raspberry Pi Randwissen
|
||
|
||
HATs (HAT: Hardware attached on top)
|
||
kein SATA Raspberry Pi USB 2.0 \> mSATA Konverter Board
|
||
kein ADC?
|
||
läuft auch bei 3.5V
|
||
Das „Pi“ steht für „Python interpreter“
|
||
Pi-Day 3.14
|
||
the UK's best-selling PC of all time.
|
||
Extrem stromsparend
|
||
|
||
Raspberry Pi 4 mit Google AI \>
|
||
<https://www.bbc.com/news/technology-38742762>
|
||
artificial intelligence and machine learning
|
||
|
||
Made in UK \<\> Made in PRC
|
||
14 million sold, 10 million in UK
|
||
<https://www.raspberrypi.org/forums/viewtopic.php?f=63&t=75996>
|
||
<https://www.zdnet.com/article/14-million-raspberry-pis-sold-10-million-made-in-the-uk/>
|
||
|
||
Raspberry Pi B+ kann Netboot ohne SD-Karte
|
||
|
||
Commodore 64 **Units Sold:** About 17 Million
|
||
had a 1MHz CPU and two big draws: a powerful, programmable sound chip
|
||
and powerful graphics for a 1982 computer. Even better, the Commodore
|
||
64 cost a reasonable \$595 and had 64KB of RAM (hence the name). And
|
||
the Commodore 64 could be plugged into a TV, making it a hybrid
|
||
computer/video game console.
|
||
|
||
Commodore Amiga 500 **Units Sold:** About 6 Million
|
||
NEC PC-98xx series: etwa 15 Millionen
|
||
|
||
Raspberry Pi Bootprocess
|
||
<https://raspberrypi.stackexchange.com/questions/10442/what-is-the-boot-sequence>
|
||
|
||
### Raspberry Pi Shields
|
||
PoE
|
||
StromPi
|
||
Motortreiberboards
|
||
Gertboard - Gert van Loo - an IO expansion board
|
||
Raspberry Pi to Arduino Shields Connection Bridge
|
||
SX1272 LoRa Shield for Raspberry Pi - 868 MHz
|
||
4G + GPS Shield for Raspberry Pi – LE910 - (4G / 3G / GPRS / GSM / GPS /
|
||
LTE / WCDMA / HSPA+)
|
||
RFID 13,56 Mhz shield for Raspberry Pi
|
||
CAN Bus Shield for Raspberry Pi
|
||
RS232 / RS-485 / Modbus Shield for Raspberry
|
||
Pi
|
||
Radiation shield for Raspberry Pi + Geiger Tube
|
||
HVAC IR Remote Shield for Raspberry
|
||
Pi
|
||
WiFi shield for Raspberry Pi
|
||
HiFiBerry AMP2 Verstärker
|
||
Raspberry Pi TV HAT (uHAT) Modul für DVB-T2
|
||
Pi-Top Lautsprecher (Speaker)
|
||
MEGA-IO 8-fach Relais Karte
|
||
PiXtend ePLC Basic V2
|
||
8 x 8 LED Matrix Modul
|
||
Soundkarten
|
||
|
||
### Raspberry-Pi Betriebssysteme
|
||
ArchLinux
|
||
CentOS
|
||
Fedora Workstation
|
||
Raspbian Stretch
|
||
FreeBSD
|
||
NetBSD
|
||
OpenSUSE
|
||
Q4OS
|
||
RaspAND
|
||
Sparky Linux
|
||
Ubuntu Mate
|
||
SliTAZ
|
||
DietPi
|
||
Funtoo
|
||
LibreELEC
|
||
Sabayon Base
|
||
OpenELEC
|
||
OSMC
|
||
Volumino
|
||
Max2Play
|
||
PiMusicbox
|
||
OpenMediaVault
|
||
Ubos
|
||
ZeroShell
|
||
OpenWRT
|
||
YunoHost
|
||
IPFire
|
||
AlpineLinux
|
||
KaliLinux
|
||
ParrotSecurity
|
||
Hypriot
|
||
RetroPie
|
||
Lakka
|
||
PiPlay
|
||
IchigoJam Basic Ppi
|
||
Kano OS
|
||
Windows 10 IoT Core
|
||
openHAB
|
||
Rasplex
|
||
Tizen
|
||
OctoPi
|
||
RiscOS Open
|
||
MagicMirror 2
|
||
Raspberry Slideshow
|
||
|
||
### Raspberry Anwendungen
|
||
\* Heimserver (openHAB)
|
||
\* Adblocker
|
||
\* Webserver
|
||
\* Sensordaten
|
||
\* Anlagensteuerung
|
||
\* IOT
|
||
|
||
### eigene Projekte
|
||
\* Netzwerk eingangspunkt
|
||
\* Torserver
|
||
\* Heizungssteuerung
|
||
\* Küchenradio
|
||
|
||
## Oktober 2018
|
||
|
||
zum Einspielen: Gar nicht so einfach \#3 -\>
|
||
<https://xyrillian.de/dl/gnse-003-power-network-frequency.flac>
|
||
(Laufzeit 00:07:34)
|
||
|
||
"Vermischtes"
|
||
"Chaosausblick, Code, Steuern, Whois DSGVO"
|
||
|
||
Gerade laeuft die Privacy week in Wien - noch bis Sonntag im
|
||
Naturkundemuseum
|
||
<https://privacyweek.at/>
|
||
|
||
Letzte Kongresse
|
||
nächstes Jahr Camp
|
||
|
||
ChaosZone
|
||
<https://hackmd.c3d2.de/ChaosZone35C3>
|
||
<https://c3d2.de/news/35c3-chaos-zone.html>
|
||
<https://chaoszone.cz>
|
||
|
||
<http://www.spiegel.de/panorama/gesellschaft/halle-mann-stirbt-bei-explosion-von-fahrkartenautomat-a-1234310.html>
|
||
<https://www.t-online.de/nachrichten/panorama/kriminalitaet/id_84656650/halle-an-der-saale-fahrkartenautomat-explodiert-mit-todesfall.html>
|
||
|
||
Linus zieht sich zurück?
|
||
<https://www.pro-linux.de/news/1/26306/linus-torvalds-nimmt-auszeit-vom-kernel.html>
|
||
-\> irgendwelche Treffen kollidierten mit FamilienUrlaub, deswegen kurze
|
||
Auszeit und komischerweise neueEigenbaukombinatr Code of Conduct
|
||
|
||
20.09.2018 GitLab streicht 100 Millionen US-Dollar Risikokapital ein
|
||
<https://www.heise.de/developer/meldung/GitLab-streicht-100-Millionen-US-Dollar-Risikokapital-ein-4168549.html>
|
||
- 145 Millionen US-Dollar an Fördermitteln. Sie mögen beim für November
|
||
2020 geplanten Börsengang
|
||
- Wert des Unternehmens jedoch auf 1,1 Milliarden US-Dollar
|
||
geschätzt.
|
||
|
||
Github
|
||
Gruenes Licht fuer Uebernahme
|
||
<https://windowsunited.de/eu-gibt-gruenes-licht-microsoft-darf-github-uebernehmen/>
|
||
Endlich der DOS sourcecode mit freier lizenz
|
||
<https://www.golem.de/news/microsoft-quellcode-von-ms-dos-frei-auf-github-verfuegbar-1810-136872.html>
|
||
lesen konnte man ihn schon
|
||
<https://www.golem.de/news/ms-dos-und-word-for-windows-microsoft-gibt-source-code-frei-1403-105372.html>
|
||
|
||
<https://status.github.com/messages>
|
||
-\> Massive Probleme mit Speichersystem Gists sind verloren gegangen
|
||
usw
|
||
|
||
---------------------
|
||
|
||
Schweizer Steuer-App speicherte alle Daten öffentlich in der
|
||
Cloud
|
||
<https://www.heise.de/newsticker/meldung/Schweizer-Steuer-App-speicherte-alle-Daten-oeffentlich-in-der-Cloud-4167240.html>
|
||
|
||
Apple- Tim Cook mag die DSGVO
|
||
<https://www.heise.de/mac-and-i/meldung/Apple-Boss-in-Deutschland-Grosser-Fan-der-Datenschutzgrundverordnung-4197911.html>
|
||
|
||
DSGVO-Verstoß: Krankenhaus in Portugal soll 400.000 Euro zahlen
|
||
<https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-Krankenhaus-in-Portugal-soll-400-000-Euro-zahlen-4198972.html>
|
||
- Großteil davon ist die Strafe dafür, dass viel zu viele Personen
|
||
Zugriff auf Patientendaten hatten
|
||
- Für einen anderen Verstoß wurden 100.000 Euro Strafe verhängt
|
||
- zuviele Nutzer mit dem Profil "Techniker"
|
||
- 985 aktive Benutzer mit einem Profil "Arzt" -\> lediglich 296 Ärzte
|
||
eingeteilt
|
||
|
||
DSGVO Keine Namen mehr auf Klingeln in Wien
|
||
<https://www.heise.de/newsticker/meldung/Anonymer-Wohnen-mit-DSGVO-Wiener-Mieter-kriegen-Klingelschilder-ohne-Namen-4190060.html>
|
||
|
||
DSGVO: ICANN debattiert zentrales Whois und schon den Zugriff darauf
|
||
<https://www.heise.de/newsticker/meldung/DSGVO-ICANN-debattiert-zentrales-Whois-und-schon-den-Zugriff-darauf-4198916.html>
|
||
Internet Corporation
|
||
fo<https://www.heise.de/mac-and-i/meldung/Apple-Boss-in-Deutschland-Grosser-Fan-der-Datehttps://www.heise.de/mac-and-i/meldung/Apple-Boss-in-Deutschland-Grosser-Fan-der-Datenschutzgrundverordnung-4197911.htmlnschutzgrundverordnung-4197911.htmlrhttps://www.heise.de/mac-and-i/meldung/Apple-Boss-in-Deutschland-Grosser-Fan-der-Datenschutzgrundverordnung-4197911.html>
|
||
Assigned Names and Numbers
|
||
gerade kein richtigen Zugriff auf Whois-Daten
|
||
Schwierigkeiten bei der Strafverfolgung
|
||
Gefahr wegen Abmahnindustrie
|
||
|
||
Vodafone-Kunden in Leipzig in den Genuss von Verbindungen von bis zu
|
||
1000 Megabit pro Sekunde im Download
|
||
<https://www.heise.de/newsticker/meldung/Highspeed-Internet-fuer-Sachsen-Gigabit-Anschluesse-fuer-600-000-Haushalte-4200422.html>
|
||
Leipzig 280.000 Haushalte für diese Geschwindigkeit freigeschaltet. Bis
|
||
Ende 2019 sollen es sachsenweit mehr als 600.000 sein vor allem in den
|
||
drei Großstädten und in Görlitz
|
||
Gegenzug habe Sachsen zugesagt, die Mobilfunknetzbetreiber durch
|
||
Bereitstellung geeigneter BOS (Behördenfunk)-Standorte
|
||
|
||
|
||
Für Weltoffenheit, gegen Pegida: Mehr als 10.000 Bürger demonstrieren in
|
||
Dresden
|
||
<https://www.mdr.de/sachsen/dresden/dresden-radebeul/ticker-dresden-pegida-jahrestag-gegendemos-100.html>
|
||
waren 560 Beamte am Sonntag im Einsatz
|
||
**Überwiegend störungsfreie Demos**
|
||
Gastwirte Sauer weil weniger Verkauf
|
||
Die Forschungsgruppe Durchgezählt aus Sachsen schätzt, dass zwischen
|
||
3.200 bis 4.100 Menschen bei Pegida demonstriert haben. Auf der
|
||
Gegenseite haben die Forscher per Flächenschätzung etwa 5.200 bis 6.300
|
||
Demonstranten festgestellt.
|
||
|
||
Auffällig unauffällig: Das Tor-Netzwerk – Interview mit Jens Kubieziel
|
||
<https://netzpolitik.org/2018/auffaellig-unauffaellig-das-tor-netzwerk-interview-mit-jens-kubieziel/>
|
||
|
||
Brasilien vor der Wahl: Desinformation und Gerüchte millionenfach über
|
||
WhatsApp verbreitet
|
||
<https://netzpolitik.org/2018/brasilien-vor-der-wahl-desinformation-und-geruechte-millionenfach-ueber-whatsapp-verbreitet/>
|
||
-werden millionenfach WhatsApp-Nachrichten mit Verschwörungstheorien
|
||
über Fernando Haddad und seine Arbeiterpartei PT an brasilianische
|
||
Wähler
|
||
- mehrere hunderttausend Chat-Gruppen
|
||
-auch in Bildern (Memes)
|
||
Forderungen der Forscher: **Weiterleitungen von Nachrichten
|
||
einschränken, Sammelnachrichten beschränken, Die Größe von neuen Gruppen
|
||
beschränken**
|
||
|
||
Facebook im Bundestag: Mehr als 300.000 deutsche Nutzer unter erbeuteten
|
||
Profilen bei Daten-Leck
|
||
<https://netzpolitik.org/2018/facebook-im-bundestag-hunderttausende-deutsche-nutzer-unter-erbeuteten-profilen-bei-daten-leck/>
|
||
|
||
führt zu :
|
||
|
||
<https://netzpolitik.org/2018/facebook-datenleck-drei-fehler-30-millionen-erbeutete-profile/>
|
||
Laut Facebook soll eine Kombination aus drei voneinander unabhängigen
|
||
Software-Fehlern zu der Sicherheitslücke geführt haben. Eine wesentliche
|
||
Rolle spielte dabei die Funktion „Anzeigen aus der Sicht von…“, die den
|
||
Zugriff auf sogenannte Access Tokens von Profilen ermöglichte. Solche
|
||
Access Tokens funktionieren praktisch wie Passwörter und ermöglichen die
|
||
Übernahme der entsprechenden Profile. Die Funktion „Anzeigen aus der
|
||
Sicht von…“ wurde nun sicherheitshalber deaktiviert.
|
||
|
||
Für Deutschland 173.229 Nutzer\*innen seien Namen und
|
||
Kontaktinformationen inklusive Handynummern und E-Mail-Adresse
|
||
Bei 142.721 anderen wurden weitere hochsensible Daten erbeutet. Welche
|
||
das sind, weiß man aus früheren Angaben von Facebook: Geschlecht,
|
||
Sprache, Beziehungsstatus, Religion, Herkunftsstadt, Wohnort,
|
||
Geburtsdatum, Bildung und Arbeitsplatz, außerdem eine Liste der Seiten,
|
||
denen die Personen folgen, und ihre fünfzehn letzten Suchanfragen auf
|
||
der Plattform.
|
||
|
||
Fake review factories that run on Facebook and post five-star Amazon
|
||
reviews
|
||
<https://www.theguardian.com/money/2018/oct/20/facebook-fake-amazon-review-factories-uncovered-which-investigation>
|
||
|
||
Britisches Python-Paket klaut Bitcoin
|
||
<https://www.golem.de/news/pypi-malware-britisches-python-paket-klaut-bitcoin-1810-137260.html>
|
||
colourama in PyPi zu finden, eine Abwandlung eines bekannten Pakets
|
||
namens colorama.
|
||
-\> macht Terminalausgaben unter Windows bunt :\|
|
||
|
||
Termine:
|
||
<https://c3d2.de/calendar.html>
|
||
|
||
### News
|
||
|
||
- AMD funtionierender 7nm Prozess im Labor
|
||
- <https://www.fudzilla.com/news/graphics/47435-amd-has-7nm-navi-gpu-up-and-running-in-its-lab>
|
||
- Intel soll 10-nm-Node eingestampft haben
|
||
- <https://www.golem.de/news/fertigungsprozess-intel-soll-10-nm-node-eingestampft-haben-1810-137250.html>
|
||
- Dementi
|
||
- <https://twitter.com/intelnews/status/1054397715071651841>
|
||
- Soyus Fehlstart
|
||
- Eine der meist geflogenen Raketen
|
||
- Rettung per Rettungsrakete
|
||
- Einziger bemannter Zugang zum All derzeit nicht verfuegbar
|
||
- koennte Mission von Alexander Gerst verlaengern
|
||
- verringerte Besatzung auch der ISS
|
||
- Messwerte und Statistik
|
||
- Aktuelles Beispiel Stickoxide
|
||
- Am Auto
|
||
- In der Stadt
|
||
- Messorte bzw. -bedingungen sollten representativ gewaehlt sein
|
||
- Ist das der Fall sollte eine geringfuegige Aenderung dieser wenig
|
||
Aenderung im Ergebnis bewirken
|
||
- Ist das der Fall sind kleinraeumige Fahrverbote nicht representativ
|
||
und daher nicht zielfuehrend
|
||
|
||
## September 2018
|
||
|
||
Ich mache gern per call-in mit, wenn das funktiooniert, mal kurz für 10
|
||
minuten, wir haben heute abend congressmeeting @ c-base, aber da kann
|
||
ichEigenbaukombinat kurz weggehen. Nur falls ihr dazu lust habt. dank
|
||
und grusz, ajuvo 0163 63 61 555
|
||
|
||
"Datenspuren - Hinter den Kulissen".
|
||
|
||
\* zum Einspielen: "Gar nicht so einfach \#2" -\>
|
||
<https://xyrillian.de/dl/gnse-002-time.flac>
|
||
|
||
\* Es waren Datenspuren
|
||
|
||
**Interessante Dinge&Talks:**
|
||
|
||
Talks
|
||
Politik
|
||
Kontrollinstanzen Nachrichtendienste
|
||
DEMOCRACY
|
||
Coding & Hacking
|
||
Spieleentwicklung in Haskell
|
||
Freeing the Binary Format of the reMarkable e-ink Tablet
|
||
Unterhaltung
|
||
Pentanews Gameshow
|
||
Hebocon Finale
|
||
u.a.
|
||
Workshops
|
||
Wie surfe ich sicher im Internet?
|
||
Arduino: 8 Beine für ein kleines Halleluja
|
||
Crimpworkshop
|
||
GNUnet Workshop
|
||
u.a.
|
||
Kunst
|
||
SSID Sniffer
|
||
Tetris (Kazoosh)
|
||
Lion Hofmann (Motorad im Hof)
|
||
Spiegelbild (drehende Scheibe mit LEDs) Sebastian Hempel
|
||
Lion Hoffmann
|
||
Grische Lichtenberger
|
||
Fabien Zocco
|
||
Bauhaus Fm (inkl. Anlage i.V.)
|
||
Kazoosh
|
||
Bilder Kerstin
|
||
Karsten
|
||
|
||
u.a.
|
||
Zentralwerk
|
||
Fabmobil
|
||
Hebocon
|
||
Baozi
|
||
|
||
**Statistiken:**
|
||
|
||
\~X Besucher aus ganz Deutschland
|
||
\~18+1 gestreamte und aufgenommenen Vorträge
|
||
(<https://datenspuren.de/2018/mitschnitte.html)>
|
||
\~\>= 8 Workshops
|
||
\~250m Nähgarn vernäht
|
||
\~200 Unique MAC Adresses
|
||
\~15KG Kartoffeln für Pufferoverflow
|
||
\~100L Mate -\> 0.5 KG Koffein
|
||
zum Vergleich Koffein pro 100 ml
|
||
|
||
- Club Mate 20,0 mg
|
||
- Kaffee 80,0 mg
|
||
- Coca Cola 10,0 mg
|
||
- Schwarzer Tee 35,0 mg
|
||
|
||
\~641 Baozi gesamt, davon:
|
||
184 Hirtentäschelkraut
|
||
256 Gemüse Minis (2x128)
|
||
179 Schwarzer Sesam
|
||
102 Azuki Bohne
|
||
48 Taro
|
||
|
||
**Behind the scences:**
|
||
|
||
ORGA Treffen allgemein
|
||
Poeple behind the scences
|
||
Pentaradio hörer helft nach aufruf intensiv bei DS
|
||
Danke an alle
|
||
Entschuldigung für Chaos (?! Molton !?)
|
||
Corporate Identity
|
||
T-Shirt Auswahl und Bestellprozess
|
||
Plakate drucken und beantragen, auf- und abhängen
|
||
Flyer (1x CFP, 1x Final)
|
||
Speaker organisieren
|
||
Bestellung Hardware Hebocon (aliexpress, yeah)
|
||
Catering - Chinesisch und Indisch (vegan, vegetatrisch etc)
|
||
Versicherung
|
||
Antrag Kunst und Kulturstiftung
|
||
VOC
|
||
VOC erklären
|
||
SD Karte mit Urlaubsfotos
|
||
defektes HDMI Kabel
|
||
Danke VOC
|
||
|
||
**Ausblick**:
|
||
|
||
Next CCC Event
|
||
FIFFCon (httpis://2018.fiffkon.de/)
|
||
Upcomming
|
||
Congress 35c3
|
||
Camp 2019
|
||
nächste Datenspuren
|
||
|
||
### News
|
||
"Clear all cookies" löscht ab Chrome 69 die Google-Cookies nicht
|
||
mehr.
|
||
|
||
## August 2018
|
||
|
||
\* zum Einspielen: "Gar nicht so einfach \#1" -\>
|
||
<https://garnichtsoeinfach-podcast.de>
|
||
\* Simon ist gerade in Liverpool geht danach zum EMF: at Eastnor Castle
|
||
Deer Park, Ledbury.
|
||
\* Pufferoverflow: Sonntag, 5. August 2018 um 19:30 Uhr
|
||
\* Hebocon vorbasteln:
|
||
<https://media.c3d2.de/u/honky/collection/2018-08-05/>
|
||
|
||
### News
|
||
|
||
~~\* Bomben und andere Waffen durch WiFi erkennen:~~
|
||
[~~https://gizmodo.com/a-group-of-engineers-say-theyve-created-a-way-to-detect-1828361739~~](https://gizmodo.com/a-group-of-engineers-say-theyve-created-a-way-to-detect-1828361739)
|
||
~~\* Let's Encrypt Root trusted by all major Root Programs:~~
|
||
[~~https://letsencrypt.org/2018/08/06/trusted-by-all-major-root-programs.html~~](https://letsencrypt.org/2018/08/06/trusted-by-all-major-root-programs.html)
|
||
|
||
\## Browser/Internet
|
||
|
||
~~\* Firefox mag Symatec Certs nicht mehr: Wer nutzt das? bahn.de~~
|
||
[~~https://www.heise.de/security/meldung/Transportverschluesselung-Firefox-misstraut-TLS-Zertifikaten-von-Symantec-4146077.html~~](https://www.heise.de/security/meldung/Transportverschluesselung-Firefox-misstraut-TLS-Zertifikaten-von-Symantec-4146077.html)
|
||
~~\* Demo gegen Uploadfilter:~~
|
||
[~~https://www.heise.de/newsticker/meldung/EU-Urheberrechtsreform-Rund-200-Buerger-demonstrieren-gegen-Upload-Filter-4145948.html~~](https://www.heise.de/newsticker/meldung/EU-Urheberrechtsreform-Rund-200-Buerger-demonstrieren-gegen-Upload-Filter-4145948.html)
|
||
~~\* Twitter macht API für Drittclients kaputt. Mastodon explodiert.~~
|
||
|
||
\## Sprachen
|
||
|
||
~~\* Java wird endlich kostenpflichtig:~~
|
||
[~~https://www.heise.de/developer/artikel/Wird-Java-jetzt-kostenpflichtig-4144533.html~~](https://www.heise.de/developer/artikel/Wird-Java-jetzt-kostenpflichtig-4144533.html)
|
||
\* Go kompiliert zu WebAssembly:
|
||
<https://www.heise.de/developer/meldung/Programmiersprache-Go-1-11-laesst-sich-nach-WebAssembly-kompilieren-4145941.html>
|
||
|
||
\## Boulevard
|
||
|
||
~~\* Melania mahnt mehr Anstand im Netz an:~~
|
||
[~~https://www.heise.de/newsticker/meldung/Trump-beleidigt-Gegner-auf-Twitter-First-Lady-fordert-mehr-Anstand-im-Netz-4142349.html~~](https://www.heise.de/newsticker/meldung/Trump-beleidigt-Gegner-auf-Twitter-First-Lady-fordert-mehr-Anstand-im-Netz-4142349.html)
|
||
|
||
~~\* Twitter sperrte Parodie der Polizei Sachsen für mehrere Stunden
|
||
wegen "der vermeintlich im Namen der Polizei rechtliche Schritte gegen
|
||
Schmähungen ihres Mitarbeiters in den Raum stellte"~~
|
||
[~~https://netzpolitik.org/2018/twitter-sperrte-parodie-der-polizei-sachsen-fuer-mehrere-stunden/~~](https://netzpolitik.org/2018/twitter-sperrte-parodie-der-polizei-sachsen-fuer-mehrere-stunden/)
|
||
|
||
~~\* Twitter geht gegen "Streaming Apps" vor~~
|
||
[~~http://apps-of-a-feather.com/~~](http://apps-of-a-feather.com/)
|
||
~~(und dreht damit third party Apps quasi ab) 15 Nutzer sind frei,
|
||
Pricing for Premium access is \$2,899 per month for 250 users. (was 12\$
|
||
wären pro Nutzer)~~
|
||
|
||
\* Merkel beruft "Digitalrat"
|
||
<https://www.heise.de/newsticker/meldung/Digitalisierung-Merkel-beruft-Digitalrat-4141214.html>
|
||
<https://netzpolitik.org/2018/digitalrat-diese-zehn-sollen-merkels-verkorkste-netzpolitik-retten/>
|
||
zwei Mal im Jahr tagende Gremium
|
||
10 Leute, fehlende Zivilgesellschaft
|
||
|
||
~~\* Firefox entfernt RSS Reader:~~
|
||
[~~https://www.heise.de/newsticker/meldung/Mozilla-entfernt-RSS-Reader-aus-Firefox-4121155.html~~](https://www.heise.de/newsticker/meldung/Mozilla-entfernt-RSS-Reader-aus-Firefox-4121155.html)
|
||
|
||
\* Meanwhile in a different part of the Planet: China überwacht
|
||
Minderheiten mit Dronen
|
||
<https://netzpolitik.org/2018/chinesische-regierung-weitet-ueberwachung-von-religioesen-minderheiten-aus/>
|
||
|
||
\* Japan fügt millionen neuer Nextcloud Instanzen hinzu :
|
||
<https://nextcloud.com/blog/japan-to-add-millions-of-new-nodes-to-federated-nextcloud-network/>
|
||
\* NEC Platforms, Ltd. and Waffle Computer, Ltd.,
|
||
\* weltweit estimated 25 Millionen Nutzer die Daten mit anderen Servern
|
||
teilen können
|
||
\* Nextcloud 14 ist angekündigt und bringt Federation 2.0
|
||
|
||
~~\* Testla Firmware entwickler mit auslaufendem NDA:~~
|
||
[~~https://twitter.com/atomicthumbs/status/1032939617404645376~~](https://twitter.com/atomicthumbs/status/1032939617404645376)
|
||
~~- alles in einem Datencenter, wenig Redundanz~~
|
||
~~- komischer umgang mit den Mitarbeitern~~
|
||
|
||
\## Science
|
||
|
||
\* Mars Rover versandet:
|
||
<https://www.heise.de/newsticker/meldung/Verstummt-fuer-immer-Mars-Rover-Opportunity-nach-Staubsturm-still-4145874.html>
|
||
\*
|
||
|
||
\## Law and Order
|
||
|
||
\* immer wieder Staatstrojaner:
|
||
<https://www.heise.de/newsticker/meldung/Staatstrojaner-Anwaelte-und-Journalisten-ziehen-vors-Bundesverfassungsgericht-4144936.html>
|
||
~~\* Zwiebelfreunde: Hausdurchsuchungen bei Datenschutz-Aktivisten
|
||
rechtswidrig~~
|
||
[~~https://www.heise.de/newsticker/meldung/Zwiebelfreunde-Hausdurchsuchungen-bei-Datenschutz-Aktivisten-rechtswidrig-4144826.html~~](https://www.heise.de/newsticker/meldung/Zwiebelfreunde-Hausdurchsuchungen-bei-Datenschutz-Aktivisten-rechtswidrig-4144826.html)
|
||
|
||
~~\* Reality Winner verurteilt:~~
|
||
[~~https://www.heise.de/newsticker/meldung/NSA-Whistleblowerin-Reality-Winner-verurteilt-4144653.html~~](https://www.heise.de/newsticker/meldung/NSA-Whistleblowerin-Reality-Winner-verurteilt-4144653.html)
|
||
|
||
\* Störerhaftung immer noch unklar:
|
||
<https://www.heise.de/newsticker/meldung/BGH-urteilt-zur-Haftung-fuer-offene-WLAN-Hotspots-4120784.html>
|
||
|
||
~~\* DSGVO: Keine Abmahnwelle aber mehr Selbstanzeigen bei
|
||
Datenverlußt:~~
|
||
[~~https://netzpolitik.org/2018/meldepflicht-bei-datenschutzpannen-deutlich-gestiegene-zahlen/~~](https://netzpolitik.org/2018/meldepflicht-bei-datenschutzpannen-deutlich-gestiegene-zahlen/)
|
||
|
||
~~\* Killerdrohnen kann man bald aus dem Flugzeug sehen:~~
|
||
[~~https://netzpolitik.org/2018/automatisches-ausweichen-militaerische-drohnen-sollen-bald-neben-zivilen-flugzeugen-fliegen/~~](https://netzpolitik.org/2018/automatisches-ausweichen-militaerische-drohnen-sollen-bald-neben-zivilen-flugzeugen-fliegen/)~~ ~~
|
||
|
||
\## Sicherheitslücken
|
||
|
||
\* Windows local root:
|
||
<https://www.heise.de/security/meldung/Zero-Day-Luecke-in-Windows-Microsoft-Statement-steht-noch-aus-4147028.html>
|
||
\*
|
||
Foreshadow:<https://www.heise.de/security/meldung/Spectre-NG-Foreshadow-gefaehrdet-Intel-Prozessoren-4137209.html>
|
||
\* SegmentSmack/FragmentSmack:
|
||
<https://www.heise.de/security/meldung/Jetzt-patchen-Linux-Kernel-anfaellig-fuer-Denial-of-Service-Angriffe-4130697.html>
|
||
\* Intels neue CPUs nur gegen Meltdown+L1TF geschützt:
|
||
<https://www.heise.de/newsticker/meldung/Intel-erklaert-Hardware-Schutz-gegen-Spectre-Meltdown-Luecken-4144368.html>
|
||
\* nach 19 Jahren OpenSSH Lücke zum Nutzer raten:
|
||
<https://www.heise.de/security/meldung/Updates-schliessen-19-Jahre-alte-Sicherheitsluecke-in-Remote-Tool-OpenSSH-4144267.html>
|
||
\* Postscript:
|
||
<https://www.heise.de/security/meldung/Bislang-kein-Patch-Gefaehrliche-Sicherheitsluecken-im-PDF-Postscript-Interpreter-Ghostscript-4143153.html>
|
||
\* Pwnie-Awards: John McAfee erhält Hacker-Oscar
|
||
<https://www.heise.de/security/meldung/Pwnie-Awards-John-McAfee-erhaelt-Hacker-Oscar-4132321.html>
|
||
\* Android AT-Commands:
|
||
<https://www.heise.de/security/meldung/Android-Smartphones-durch-AT-Modembefehle-aus-den-80ern-angreifbar-4147013.html>
|
||
|
||
\## MSFT
|
||
|
||
~~\* Windows 7 noch immer weiter verbreitet als Windows 10:~~
|
||
[~~https://data.firefox.com/dashboard/hardware~~](https://data.firefox.com/dashboard/hardware)
|
||
~~\* Ungepatchte Lücke in Win 10~~
|
||
[~~https://www.heise.de/security/meldung/Zero-Day-Luecke-in-Windows-Microsoft-Statement-steht-noch-aus-4147028.html~~](https://www.heise.de/security/meldung/Zero-Day-Luecke-in-Windows-Microsoft-Statement-steht-noch-aus-4147028.html)
|
||
|
||
=== Datenspuren ===
|
||
22-23. September im Zentralwerk
|
||
gleichzeitig Regiotreffen
|
||
zwei Sääle, Workshops, Fabmobil im Hof,
|
||
erstmalig Kunst mit unterstützung der Kulturstiftung
|
||
|
||
Einblick ins Frabs:
|
||
|
||
Arduino: 8 Beine für ein kleines Halleluja
|
||
Attiny85 Einsteiger Kurs für 10 Leute
|
||
by honky
|
||
|
||
Hebocon Finale
|
||
Zwei Roboter, ein Tisch - Fight!
|
||
by honky
|
||
|
||
Pentalöten bis was bilnkt
|
||
PentaBlink bis PentaStump es wird gelötet
|
||
by honky
|
||
|
||
Hebocon?
|
||
Zwei Roboter, ein Tisch - Fight!
|
||
by honky
|
||
|
||
Spieleentwicklung in Haskell
|
||
oder: Wie verbringt man die Zeit, die man auf den Compiler wartet.
|
||
by nek0
|
||
|
||
live coding music
|
||
Use SonicPi to make your crowd dance!
|
||
by hejn
|
||
|
||
Wie surfe ich sicher im Internet?
|
||
ein Demo-Workshop
|
||
by nek0
|
||
|
||
Hausvernetzung
|
||
Mehr als 1 Wohnung mit mehr als 1 LAN/WLAN
|
||
by Astro
|
||
|
||
Intertech
|
||
live coded music and visuals
|
||
by hejn
|
||
|
||
Wie man in 69 Jahren einen Überwachungsstaat aufbaut
|
||
by Lennart Mühlenmeier
|
||
|
||
NAT Gateways for the Masses
|
||
by Simon Hanisch
|
||
|
||
Augmented Reality in der Gesellschaft: Möglicher Nutzen und Gefahren
|
||
by preip
|
||
|
||
Irgendwas mit Blockhain
|
||
Auf Wunsch von honky
|
||
by vv01f
|
||
|
||
Verfassungsschutz und was er\* uns wissen lassen will
|
||
Ein tiefer Blick in die Verfassungsschutzberichte 2017, im Vergleich.
|
||
by Projekt Seehilfe
|
||
|
||
WPIA - ein Trust Service Provider
|
||
Das Audit kommt - was tun?
|
||
by Reinhard Mutz
|
||
|
||
Autonomes Fahren
|
||
eine Technikfolgenabschätzung
|
||
by Johannes Ritz
|
||
|
||
Der Weg zur eigenen GnuPG Smartcard
|
||
by Volker
|
||
|
||
Freeing the Binary Format of the reMarkable e-ink Tablet
|
||
by ax3l
|
||
|
||
DEMOCRACY
|
||
Vom Weg, alle BundesbürgerInnen zu Bundestagsabegordneten zu machen
|
||
by visionmakery, Ulf Gebhardt
|
||
|
||
netphil-dummy
|
||
Ein Beitrag der Dresdner Technikphilosophie
|
||
by ajuvo
|
||
|
||
Irgendwas
|
||
cooles
|
||
by Martin Christian
|
||
|
||
Dämonenhonig
|
||
Das ist nur zu Ihrer Sicherheit
|
||
by Sebastian Huncke
|
||
|
||
Pentanews Gameshow
|
||
Penta News Game Show
|
||
by klobs
|
||
|
||
Level Up your Monitoring
|
||
ein monitoring-techtree walkthrough
|
||
by André Niemann
|
||
|
||
Lightningtalks
|
||
5 Minuten für Deine Ideen
|
||
by bigalex
|
||
|
||
Program verification with SPARK
|
||
When your code must not fail
|
||
by JK
|
||
|
||
## Juli 2018
|
||
I <20> Unicode
|
||
"insert topic here" Unicode ?! -\> Mojibake!
|
||
ooder I <20> Unicode :)
|
||
|
||
*Vorstellung*
|
||
|
||
### News:
|
||
|
||
\* Datenspuren rücken näher -\> CFP So 29. Juli 2018
|
||
<https://frab.cccv.de/en/DS2018/cfp>
|
||
\* die neue Datenschleuder ist da! (20.Juli.2018)
|
||
\* Hausdurchsuchungen im Chaosumfeld (Zwiebelfreunde)
|
||
|
||
<https://www.ccc.de/de/updates/2018/unrechtmaige-hausdurchsuchung-polizei-reitet-erneut-beim-chaos-computer-club-ein>
|
||
|
||
<https://logbuch-netzpolitik.de/lnp260-eine-hausdurchsuchung-kommt-selten-allein>
|
||
|
||
\* Arbeitseinsatz im Zentralwerk am 28.
|
||
\* 30K fuer heisse Luft erfolgreich
|
||
\* Fast 40k erreicht
|
||
\* weiterer Plan?
|
||
\* Dank an alle Spender
|
||
|
||
\* Upload Filter
|
||
<https://www.heise.de/tp/features/Ein-trauriger-Tag-fuer-das-Internet-und-Europa-4087651.html>
|
||
|
||
\* Google Rant
|
||
|
||
\* Öffi app wird bei google ausgeworfen (jetzt exklusiv bei
|
||
F-Droid) - google monopol problem
|
||
\*
|
||
<https://www.heise.de/newsticker/meldung/Google-entfernt-Nahverkehrs-App-Oeffi-aus-dem-Play-Store-4104626.html>
|
||
\*
|
||
<https://www.heise.de/newsticker/meldung/4-3-Milliarden-Euro-EU-Kommission-verhaengt-Rekordstrafe-gegen-Google-4113754.html>
|
||
|
||
Außerdem untersagt es Google den Herstellern, Geräte mit
|
||
Android zu verkaufen, wenn sie gleichzeitig auch Modelle mit
|
||
abgewandelten Versionen des Betriebssystems im Angebot haben.
|
||
\*
|
||
<https://de.statista.com/infografik/10029/strafen-fuer-wettbewerbsverstoesse-in-der-eu/>
|
||
|
||
<https://bitwarden.com/>
|
||
<https://www.mail-archive.com/python-committers@python.org/msg05628.html>
|
||
|
||
Optional
|
||
// <https://www.theregister.co.uk/2018/07/03/stork_mobile_theft/>
|
||
// Macmoon <http://www.worldofindie.co.uk/?p=682>
|
||
// PeerTube!
|
||
|
||
"Nach der Musik geht es weiter mit..." *Morse-Code vom Wort "Unicode"*
|
||
|
||
*Musik*
|
||
|
||
### Encoding Geschichte
|
||
|
||
**Morse Code**
|
||
<https://de.wikipedia.org/wiki/Morsezeichen> -\> auch mal vorspielen und
|
||
erklären
|
||
-\> konstantes Signal ein- und ausgeschaltet
|
||
-\> Ton Funk, Mechanisch oder Licht
|
||
|
||
Samuel Morse 1833 Der verwendete Code umfasste damals nur die zehn
|
||
Ziffern; die übertragenen Zahlen mussten mit Hilfe einer Tabelle in
|
||
Buchstaben und Wörter übersetzt werden.
|
||
Alfred Lewis Vail, ein Mitarbeiter Morses, entwickelte ab 1838 den
|
||
ersten Code, der auch Buchstaben umfasste. Er bestand aus Zeichen von
|
||
drei verschiedenen Längen und unterschiedlich langen Pausen.
|
||
|
||
Ein Seenotruf wurde erstmals 1909 über Funk gemorst. ... --- ...
|
||
Bis 2003 vorgeschrieben für Amateurfunk für unter 30MHZ
|
||
heute noch für Funkfeuer und UNESCO KulturErbe
|
||
|
||
----- Soundfile morse_A abspielen ----
|
||
A** · −**
|
||
|
||
**binary** - Wie werden Zahlen am Computer dargestellt?
|
||
|
||
A chr(65) 01000001
|
||
|
||
**ASCII**
|
||
<https://de.wikipedia.org/wiki/American_Standard_Code_for_Information_Interchange>
|
||
|
||
**ANSI**
|
||
<https://de.wikipedia.org/wiki/ANSI-Zeichencode>
|
||
Windows Codeseite 1252 auf einem ANSI-Entwurf beruhte, der später
|
||
weitgehend zum ISO Standard 8859-1 wurde
|
||
windows1252 -\> word files
|
||
|
||
**Unicode** (Wikipedia)
|
||
<https://de.wikipedia.org/wiki/Unicode>
|
||
|
||
**UTF-8** (Wikipedia)
|
||
<https://de.wikipedia.org/wiki/UTF-8>
|
||
vorher UCS-2, UTF-16, UTF-32
|
||
|
||
*Musik*
|
||
|
||
**Technical Reports/Annexes**
|
||
<https://www.unicode.org/reports/index.html>
|
||
|
||
\* Normalisierung
|
||
\* Textsegmentierung (Wörter, Zeilen, Absätze)
|
||
\* Collation (Textsortierung)
|
||
|
||
**Herausforderungen beim Rendering**
|
||
\* bidirektionales Textlayout
|
||
\* Ligaturen, Glyphenwahl
|
||
\* Graphem-Cluster
|
||
\* Font-Auswahl
|
||
\* Emoji: <https://unicode.org/emoji/proposals.html>
|
||
|
||
List of Unicode characters (Wikipedia)
|
||
<https://en.wikipedia.org/wiki/List_of_Unicode_characters>
|
||
Search for character(s) in Unicode 10.0.0
|
||
<https://unicode-search.net/>
|
||
|
||
### Sicherheitslücken und Bugs auf Grund von Textencoding
|
||
|
||
Apple Shutdown wenn xy in Nachricht
|
||
effective. Power لُلُصّبُلُلصّبُررً ॣ ॣh ॣ ॣ 冗
|
||
|
||
WhatsApp -\> Schwarzer Punkt -\>
|
||
<https://bgr.com/2018/05/07/whatsapp-emoji-crashes-app-android-fix/>
|
||
|
||
**Mojibake** (文字化け; IPA: \[mod͡ʑibake\]) is the garbled text that is
|
||
the result of text being decoded using an unintended character
|
||
encoding.\[1\] The result is a systematic replacement of symbols with
|
||
completely unrelated ones, often from a different writing system.
|
||
|
||
Rechts nach Links Unicode 202e
|
||
|
||
big list of naughty strings:
|
||
<https://github.com/minimaxir/big-list-of-naughty-strings>
|
||
<https://gojko.net/2017/11/07/five-things-about-unicode.html>
|
||
relevant XKCD <https://xkcd.com/1137/>
|
||
|
||
<https://www.joelonsoftware.com/2003/10/08/the-absolute-minimum-every-software-developer-absolutely-positively-must-know-about-unicode-and-character-sets-no-excuses/>
|
||
|
||
0000 0000 as end of text
|
||
|
||
mysql utf8 types utf8mb4 (four bytes)
|
||
|
||
*Musik*
|
||
|
||
## Juni 2018
|
||
|
||
"Cloud Computing"
|
||
|
||
Vorstellung
|
||
|
||
### News und Nachtrag
|
||
|
||
\* Auch mit DSGVO noch nicht alle gestorben
|
||
\* Aussagen zu Fotos in der letzten Sendung etwas zu generell
|
||
\* Kunsturhebergesetz von WTF 1907 nicht wirklich anwendbar
|
||
\* Aussage nicht wirklich sicher möglich - Praxis muss das zeigen
|
||
\* Weitere Folge Rechtsbelehrung:
|
||
<https://rechtsbelehrung.com/dsgvo-einschraenkungen-fuer-fotografen-rechtsbelehrung-folge-56-jura-podcast/>
|
||
|
||
\* Bundestrojaner wurde freigegeben
|
||
<https://netzpolitik.org/2018/geheime-dokumente-das-bundeskriminalamt-kann-jetzt-drei-staatstrojaner-einsetzen/>
|
||
\* Microsoft kauft github 7.5 Mrd \$
|
||
\* Blender und MIT Open Courseware von Youtube verbannt
|
||
\* LazyFPU
|
||
<http://blog.cyberus-technology.de/posts/2018-06-06-intel-lazyfp-vulnerability.html>
|
||
\* 30k für Heiße Luft:
|
||
<https://www.startnext.com/30000-fuer-heisseluft>
|
||
\* Der Rechtsausschuss des EU-Parlaments entschied sich am Mittwoch für
|
||
die Einführung von Uploadfiltern und Leistungsschutzrecht.
|
||
<https://netzpolitik.org/2018/netzpolitischer-wochenrueckblick-kw-25-uploadfilter-und-ueberwachungsausbau/>
|
||
<https://netzpolitik.org/2018/schlag-gegen-die-netzfreiheit-eu-abgeordnete-treffen-vorentscheid-fuer-uploadfilter-und-leistungsschutzrecht/>
|
||
\* R.I.P. Netzneutralität
|
||
<https://netzpolitik.org/2018/netzneutralitaet-usa-verabschieden-sich-vom-offenen-internet/>
|
||
\* Massenüberwachung am DE-CIX rechtswidrig?: Nein
|
||
<https://netzpolitik.org/2018/bnd-vor-dem-bundesverwaltungsgericht-massenueberwachung-am-de-cix-rechtswidrig/>
|
||
\* Bestandsdatenauskunft 2017: Behörden haben alle zweieinhalb Sekunden
|
||
abgefragt, wem eine Telefonnummer gehört
|
||
<https://netzpolitik.org/2018/bestandsdatenauskunft-2017-behoerden-haben-alle-zweieinhalb-sekunden-abgefragt-wem-eine-telefonnummer-gehoert/>
|
||
\* Barley fordert Offenlegung der Schnittstellen von Messengern
|
||
|
||
*Musik*
|
||
|
||
### Cloud Computing
|
||
|
||
\* The NIST definition of cloud computing:
|
||
<http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf>
|
||
mit fünf Grundanforderungen
|
||
\* on-demand self-service: Nutzer kann selber Ressourcen klicken, ohne
|
||
Support-Mitarbeiter zu involvieren
|
||
\* broad network access: kein anbieterspezifischer Client
|
||
erforderlich, erstmal alle Ports offen
|
||
\* resource pooling: Ressourcen werden unter mehreren/allen Kunden
|
||
nach Bedarf aufgeteilt
|
||
\* rapid elasticity: Ressourcen können kurzfristig zugeteilt und
|
||
zurückgegeben werden
|
||
\* measured service: leider zu vage für eine Kurzzusammenfassung :-)
|
||
|
||
#### Aspekte
|
||
|
||
\* IaaS - Infrastructure as a Service
|
||
\* Compute (Hetzner)
|
||
\* Network (Akamai, Cloudflare)
|
||
\* Storage (Backblaze)
|
||
\* alles aus einer Hand und beliebig viel: Hyperscaler
|
||
\* Amazon Web Services
|
||
\* Google Cloud Platform
|
||
\* Microsoft Azure
|
||
|
||
\* PaaS - Platform as a Service (Heroku)
|
||
\* SaaS - Software as a Service
|
||
\* B2B (Firmensoftware aus der Cloud: Salesforce, SAP)
|
||
\* Build Server (Travis CI)
|
||
\* Website-Hosting (1&1, Strato)
|
||
\* Gaming (NVidia Grid)
|
||
|
||
\* 4 Liefermodelle
|
||
\* Private Cloud: innerhalb einer Organisation für verschiedene
|
||
Teams
|
||
\* Community Cloud: innerhalb einer Gruppe von Organisationen
|
||
\* Public Cloud: für jedermann zugänglich
|
||
\* Hybrid Cloud: mehrere Clouds, die miteinander verknüpft sind
|
||
|
||
\* Auch die meisten der Services die du online nutzt laufen letztendlich
|
||
auf cloud infrastruktur.
|
||
\* Mailprovider
|
||
\* Twitter
|
||
\* Facebook
|
||
\* Github, Gitlab, bitbucket
|
||
\* Je nachdem betreibt die der Anbieter selber oder auch er mietet das
|
||
von einem der großen Anbieter
|
||
|
||
*Musik*
|
||
|
||
#### Effekte von Virtualisierung
|
||
|
||
\* Formal kann der Nutzer Admin des eigenen Systems sein
|
||
\* Läuft partiell Hardwareunabhängig
|
||
\* Direkte Hardwareunterstützung nicht möglich
|
||
\* Einfacher Umzug in eine andere Cloud moeglich
|
||
|
||
#### Cloud zum Selbermachen
|
||
|
||
\* OpenStack
|
||
\* Container (Docker)
|
||
\* Kubernetes
|
||
\* hier noch Ausblick: Serverless Computing
|
||
|
||
#### Vorteile für den Servicebetreiber
|
||
|
||
\* Je nach Bedarf kann die Anzahl der Systeme schnell skalliert
|
||
werden.
|
||
\* Keine Wartezeiten auf Hardware
|
||
\* überschüssige Hardware muss nicht verkauft werden.
|
||
\* weniger eigenes IT-Personal notwendig
|
||
|
||
#### Nachteile
|
||
|
||
\* Hardware steht irgendwo
|
||
\* Teilweise schwer zu kontrollieren wo die eigenen Daten jetzt sind
|
||
\* Nutzung von Cloud braucht andere Konzepte: einfach VM in die Cloud
|
||
schieben bringt nichts (mehr Kosten) -\> skalierende Micro-Services
|
||
\* Abhängigkeit von fremder Infrastruktur
|
||
\* Netz-Ausfälle können ganze Plattformen lahm legen (S3 -\> Netflix,
|
||
Github)
|
||
|
||
#### High perfomance computing
|
||
|
||
\* Im Gegensatz zu den meisten anderen Anwendungen wird im Bereich des
|
||
HPC wenig virtualisiert
|
||
\* Würde zu viel Verzögerung auslösen
|
||
\*
|
||
|
||
#### Ankuendigungen
|
||
|
||
\* cfp for Datenspuren 2018 im Zentralwerk
|
||
<https://datenspuren.de/2018/> 22./23.09.
|
||
\* Funding for Lueftung ?!
|
||
<https://www.startnext.com/30000-fuer-heisseluft>
|
||
|
||
*Verabschiedung*
|
||
|
||
There is no cloud, just someone else's computer.
|
||
|
||
*Musik*
|
||
|
||
## Mai 2018
|
||
|
||
~~"Datenschutz und Bürokratiechaos"~~
|
||
„Datenschutzgrundverordnung“
|
||
<https://programm.coloradio.org/programm/sendung/23535.html#Pentaradio24-EU-DSGVO>
|
||
"EU-DSGVO: die neue europäische Datenschutzgrundverordnung"
|
||
|
||
### News
|
||
|
||
\* Auf Facebook der DSGVO zustimmen schließt Aktivierung der neuen
|
||
Gesichtserkennung ein
|
||
\*\* Gesichtserkennung Dritter?
|
||
\<<https://twitter.com/mueller_andi/status/992445316698959878>\>
|
||
\* Zuckerberg moeglicherweise zu Aussage vor EU Parlament bereit --
|
||
jetzt anscheinend sogar doch oeffentlich
|
||
\* Nein, SMalm und PGP sind nicht kaputt und auch nicht schwer
|
||
\* Google jetzt nicht mehr "nicht boese"
|
||
\<<https://www.golem.de/news/verhaltenskodex-google-verabschiedet-sich-von-don-t-be-evil-1805-134479.html>\>
|
||
\* Max Schremms darf nicht mehr bei Facebook mitmachen, sei denn er
|
||
akzeptiert die neuen Bedingungen "freiwillig"
|
||
<https://mobile.twitter.com/maxschrems/status/998681336427827201?s=21>
|
||
\*\* konnte mit seiner Klage vor dem Europäischen Gerichtshof das
|
||
transnationale Safe-Harbor-Abkommen zwischen der EU und den USA beenden,
|
||
was als starkes Signal für den Grundrechtsschutz in Europa angesehen
|
||
wird.
|
||
\*\*Isn’t this illegal according to GDPR? YES!
|
||
|
||
**Stefan Möller** @**hdoniker** Die CDU Hannover verschickt anlässlich
|
||
der ~~\#~~**DSGVO** eine Mail zwecks weiterem Newsletterbezug. Mit allen
|
||
900 Empfängern in CC.
|
||
|
||
--- ganz kurze Musik?? ---
|
||
|
||
### Einleitung
|
||
|
||
E-Mail Betreffs der letzten Tage:
|
||
|
||
-\[Action Required\] Important updates on Google Analytics Data
|
||
Retention and the General Data Protection Regulation (GDPR)
|
||
- Updates to our Terms of Use and Privacy Policy (Udemy)
|
||
- Would you like to stay or go? (Ryte)
|
||
- Am 25.5 verarbeitet die
|
||
|
||
Umfassendes Thema, hier nur angerissen.
|
||
|
||
Dies ist keine Rechtberatung! Keine Rechtsbelehrung, wir sammeln nur
|
||
Tipps und Hilfen zusammen
|
||
|
||
### Was ist Datenschutz (und warum)?
|
||
|
||
\* Europäische Menschenrechtscharta (Artikel 8)
|
||
\* Volkszählungsurteil (abgeleitet von Artikel 1 GG)
|
||
|
||
\* Warum Daten schützen? -\> Überwachung/Kontrolle vs Demokratie
|
||
|
||
Erwägungsgrund \#1:
|
||
|
||
Der Schutz natürlicher Personen bei der Verarbeitung
|
||
personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1
|
||
der Charta der Grundrechte der Europäischen Union (im Folgenden
|
||
„Charta“) sowie Artikel 16 Absatz 1 des Vertrags über die
|
||
Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht
|
||
auf Schutz der sie betreffenden personenbezogenen Daten.
|
||
|
||
-Informationsgrundverordnung
|
||
|
||
- *Artikel 8* der *Europäischen* Menschenrechtskonvention allgemeinen
|
||
Persönlichkeitsrechts
|
||
- Eingriff nur erlaubt wenn “in einer demokratischen Gesellschaft
|
||
notwendig”
|
||
- der öffentlichen Sicherheit und Ordnung (einschließlich der
|
||
Moral,)
|
||
- der öffentlichen Gesundheit,
|
||
- der nationalen Sicherheit,
|
||
- des wirtschaftlichen Wohls des Staates,
|
||
- der Kriminalprävention oder
|
||
- zum Schutz der Rechte und Freiheiten anderer.
|
||
|
||
\## Historie
|
||
\*\*\* Richtlinie = Handlungsvorschrift einer Institution, jedoch kein
|
||
förmliches Gesetz
|
||
Verordnung = In der EU ist eine Verordnung ein Rechtsakt, der nach
|
||
seiner Verabschiedung in den Mitgliedstaaten unmittelbar Geltung hat, d.
|
||
h. nicht wie eine Richtlinie erst in nationales Recht umgewandelt werden
|
||
muss
|
||
( Gesetz = formelles und materielles Recht, eine Rechtsnorm )
|
||
|
||
Ausgehend von Richtlinie 95/46/EG von 1995
|
||
|
||
Inkrafttreten: 24. Mai 2016 (seitdem hätte man es beachten müssen)
|
||
Anzuwenden ab: 25. Mai 2018
|
||
|
||
- enthält die Verordnung verschiedene Öffnungsklauseln, bestimmte
|
||
Aspekte des Datenschutzes auch im nationalen Alleingang zu regeln.
|
||
Daher wird die Datenschutz-Grundverordnung auch als „Hybrid“ zwischen
|
||
Richtlinie und Verordnung bezeichnet.
|
||
|
||
- ersetzt das alte Bundesdatenschutzgesetz (Gesetz vom 30. Juni 2017),
|
||
es gibt aber auch ein neues Bundesdatenschutzgesetz (quasi Ergänzung
|
||
der EU-DSGVO)
|
||
|
||
- DSGVO - Datenschutz-Grundverordnung
|
||
- GDPR - General Data Protection Regulation
|
||
- *BDSG - Bundesdatenschutzgesetz*
|
||
- ePV - E-privacy-Verdordnung des Bundesverbandes der Digitalen
|
||
Wirtschaft, evtl ab 2019 (es geht um Cookies, OfflineTracking,
|
||
E-Mails als Webseitenbetreiber, OvertheTop-Dienste +Whatsapp, )
|
||
- EMRK - *Europäischen* Menschenrechtskonvention
|
||
- TMG - Telemediengesetz
|
||
|
||
\## Inhalte
|
||
// nur überfliegen...
|
||
Die DSGVO besteht aus:
|
||
|
||
- 99 Artikeln in elf Kapiteln.
|
||
- 173 Erwägungsgründe
|
||
- "Interpretationshilfen" des Gesetzgebers, Absichten
|
||
|
||
\* 3.100 Abänderungsanträge gegenüber dem Entwurf der EU-Kommission
|
||
\* Bits of Freedom + EDRi + Jan Philipp Albrecht + Eva
|
||
Lichtenberger + Amelia Andersdotter vs Amazon, eBay, Apple, Microsoft,
|
||
Cisco, Intel, IBM, Oracle, Texas Instruments, Dell, …
|
||
|
||
- \+ 84§ BDSG (neu)
|
||
|
||
--- MUSIKPAUSE ?
|
||
|
||
\## Worum geht es?
|
||
|
||
- Schutz "der personenbezogenen Daten"?
|
||
- Was sind Daten, was ist Information, was ist Privatsphäre
|
||
|
||
\### Was sind personenbezogene Daten?
|
||
|
||
**Artikel 4** weiterhin weit gefasst:
|
||
|
||
„personenbezogene Daten“ \[sind\]:
|
||
alle Informationen, die sich auf eine identifizierte oder
|
||
identifizierbare natürliche Person (im Folgenden „betroffene Person“)
|
||
beziehen; als identifizierbar wird eine natürliche Person angesehen,
|
||
die direkt oder indirekt, insbesondere mittels Zuordnung zu einer
|
||
Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu
|
||
einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen,
|
||
die Ausdruck der physischen, physiologischen, genetischen, psychischen,
|
||
wirtschaftlichen, kulturellen oder sozialen Identität dieser
|
||
natürlichen Person sind, identifiziert werden kann; …
|
||
|
||
Name in der Regel Personenbezogen?
|
||
Pseudonym personenbezogen? Pseudonym ist nicht anonym!
|
||
IP-Adresse Personenbezogen? (-\> ist eine Onlinekennung)
|
||
Cookies personenbezogen!
|
||
|
||
*Fast alle Daten die einen Bezug zu einer Person haben könnten sind wohl
|
||
personenbezogen.*
|
||
|
||
*- Verbotsvorschrift mit Erlaubnisvorbehalt, d.h. "Alles ist verboten,
|
||
es sei denn es ist erlaubt."*
|
||
|
||
nur Verarbeitung (quasi alles außer Privat) nur erlaubt wenn
|
||
Erlaubnistatbestand aus **Artikel 6**:
|
||
|
||
- Die betroffene Person hat ihre Einwilligung gegeben;
|
||
- \#PP muss ausdrücklich erklärt und nachgewiesen werden (Zeitpunkt,
|
||
IP-Adresse?)
|
||
- Nicht-Mündige -\> z.B. Minderjährige? -\> Nur wenn Eltern zustimmen
|
||
("Dieser Dienst ist erst ab 16. verfügbar")
|
||
- schwer prüfbar
|
||
- verpflichtend bei Newsletter
|
||
- verpflichtend bei besondere Arten personenbezogener Daten: z.B.
|
||
Religion, Biometrik, Genetik, Sexualität, Gesundheit -\> Wie sieht
|
||
es aus mit Fotos? Einwilligung!
|
||
- denkbar schlechteste Zustimmungsform, außer vorgegeben
|
||
- Einwilligung widerrufbar -\> Recht auf Löschung
|
||
- Kopplungsverbot: Einwilligung muss freiwillig sein, darf also nicht
|
||
Vertragsvorraussetzung sein -\> nur wenn man sich gezwungen fühlt.
|
||
- die Verarbeitung ist für die Erfüllung eines Vertrags oder zur
|
||
Durchführung vorvertraglicher Maßnahmen erforderlich;
|
||
- z.B. Onlineshop-Adresse zu Spedition weitergeben wohl drin
|
||
- aber nur "vernünftige" Aspekte der Vertragserfüllung, keine AGB
|
||
Klauseln die überrumpeln
|
||
- Bonussysteme wie Payback, oder Check24 zu Marketingzwecke abgedeckt
|
||
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung
|
||
erforderlich;
|
||
- Steuerdaten müssen 10 Jahre gespeichert werden (z.B. Rechnungen für
|
||
Kunden)
|
||
- brauchen nicht gelöscht werden, selbst wenn es ein Kunde fordert
|
||
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu
|
||
schützen;
|
||
- Krankenhaus?
|
||
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich,
|
||
die im öffentlichen Interesse liegt;
|
||
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des
|
||
Verantwortlichen oder eines Dritten erforderlich
|
||
- z.B. Waage zwischen Marketing und Schutzinteressen der Nutzer
|
||
- Marketing (Tracking und Targeting) steht explizit mit drin
|
||
- Einfallstor?! Die Abwägung hat noch nicht stattgefunden
|
||
- <https://www.pingdigital.de/blog/2017/08/21/berechtigte-interessen-nach-der-dsgvo/1186>
|
||
- Erwägnungsgrund 47, Absatz 7: Die Verarbeitung personenbezogener
|
||
Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten
|
||
Interesse dienende Verarbeitung betrachtet werden.
|
||
|
||
Grundsätze der Verarbeitung personenbezogener Daten **Artikel 5 (bloß
|
||
überfliegen)**
|
||
|
||
- *Rechtmäßigkeit*, Verarbeitung nach Treu und Glauben, Transparenz
|
||
- *Zweckbindung* (Verarbeitung nur für festgelegte, eindeutige und
|
||
legitime Zwecke)
|
||
- *Datenminimierung* („dem Zweck angemessen und erheblich sowie auf das
|
||
\[…\] notwendige Maß beschränkt“)
|
||
- *Richtigkeit* („es sind alle angemessenen Maßnahmen zu treffen, damit
|
||
\[unrichtige\] personenbezogene Daten unverzüglich gelöscht oder
|
||
berichtigt werden“)
|
||
- *Speicherbegrenzung* (Daten müssen „in einer Form gespeichert werden,
|
||
die die Identifizierung der betroffenen Personen nur so lange
|
||
ermöglicht, wie es \[…\] erforderlich ist“)
|
||
- *Integrität und Vertraulichkeit* („angemessene Sicherheit der
|
||
personenbezogenen Daten \[…\], einschließlich Schutz vor unbefugter
|
||
oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust,
|
||
unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)
|
||
|
||
**- MUSIKPAUSE**
|
||
|
||
\## Was sich ändert (müssten wir noch sortieren)
|
||
|
||
- Genaue Erklärung was mit den Daten gemacht werden soll
|
||
- Austausch personenbezogener Daten in der EU nun einfacher (weil
|
||
Verordnung gleich)
|
||
|
||
- ***Marktortprinzip***:
|
||
- Das europäische Datenschutzrecht gilt auch für außereuropäische
|
||
Unternehmen, soweit diese ihre Waren oder Dienstleistungen im
|
||
europäischen Markt anbieten.
|
||
- betrifft vor allem größere Konzerne z.B. Google, Apple, Facebook etc
|
||
- CDNs?
|
||
- **Privacy by Design** - (opt in statt opt out!)
|
||
- Cookies müssen nun auch in Deutschland entsprehend opt-in! ("Diese
|
||
Seite verwendet cookies)
|
||
- in der ePV nochmal verschärft (außer bei
|
||
SessionCookies)-Einwilligung nötig
|
||
- (z.B. alle Cookies zulassen / nur firstParty-Cookies)
|
||
- muss auch bei der Programmierung beachtet werden!
|
||
- **höhere Bußgelder **
|
||
- bis 20Mio bei natürlichen Personen, gilt z.B. bei Geschäftsführern
|
||
- bzw. 4% des weltweiten Umsatzes eines Unternehmens
|
||
- vorher 300 000 also oftmals Peanuts (z.B. im Vergleich zu
|
||
Anwaltskosten)
|
||
- auch bei ADV Partnern / Zertifikate und Audits z.B. bei AWS
|
||
- aber Gefahr durch Abmahnungen für z.B. Webseitenbetreiber
|
||
- Anspruch auf Schadensersatz (nun auch materiell nicht nur
|
||
Anwaltskosten)
|
||
- Höhe noch nicht ganz klar
|
||
- Geschäftsmodell? vor allem gegen kleinere Freiberufler, da weniger
|
||
Anwälte
|
||
- Artikel 17. **Recht auf Vergessenwerden**
|
||
- Personen haben Recht auf Löschung der Daten wenn Erhebungsgründe
|
||
entfallen
|
||
- Verarbeiter müssen dann aktiv löschen
|
||
- **Recht auf Datenübertragbarkeit** (Artikel 20)
|
||
- betreffende Daten in einem „strukturierten, gängigen und
|
||
maschinenlesbaren Format zu erhalten“ (d.h. dessen Format ist nicht
|
||
weiter vorgeschrieben)
|
||
- z.B. Umzug zwischen Apps, Sozialen Netzwerken
|
||
- **Recht auf Information**
|
||
- Verbraucher müssen künftig von Beginn an darüber informiert werden,
|
||
wer ihre persönlichen Daten wie Name, Adresse, Email-Adresse und
|
||
Ausweisnummer aus welchem Grund erhebt - und sie müssen zustimmen.
|
||
Zudem muss klar sein, wie lange die Daten aufbewahrt werden sollen.
|
||
Die Einwilligung muss jederzeit zurückgezogen werden können.
|
||
- <https://selbstauskunft.net/>
|
||
- Daten Dritter? z.B. bei Freundschaftslisten etc.
|
||
- Nachfragender muss sich ausreichend ausweisen (z.B. durch Login oder
|
||
persönlich)
|
||
- Auskunftsperson muss ausreichend kommuniziert sein
|
||
- 1mal pro Jahr?
|
||
- Nein, auch mehr außer missbräuchlich (nicht definiert dann Geld
|
||
verlangen).
|
||
- **~~Datenminimierung~~**
|
||
- ~~nur notwendige Daten sollen erhoben werden~~
|
||
- ~~gabs auch schon vorher~~
|
||
- **Weitergabe der Daten an Dritte: Auftragsdatenverarbeitung**
|
||
- wenn für Nutzer nicht ersichtlich das vertraglich notwendig (oder
|
||
theoretisch selbst ausgeführt)
|
||
- wenn Unternehmen außerhalb EU dann Garantien-nötig
|
||
(Datenschutzniveau muss garantiert sein, Schweiz, Canada Israel etc)
|
||
oder Privacy-Shield (EU/USA)
|
||
- wenn nicht vorhanden haften beide Parteien (Freelancer Consultant
|
||
Webhoster)
|
||
- <https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verfahrensregister/Inhalt/Verarbeitungstaetigkeiten/Muster-Verarbeitungsverzeichnis-Auftragsverarbeiter.pdf>
|
||
- z.B. für Google-Analytics, Buchhalter usw.
|
||
- Google Opt Out Plugin: <https://de.wordpress.org/plugins/goog>...
|
||
- Google Analytics ADV: <https://static.googleusercontent.com/>...
|
||
- Google Analytics Germanized Plugin:
|
||
<https://wordpress.org/plugins/ga-germ>...
|
||
- Aktuelle Übersicht! <https://www.blogmojo.de/av-vertraege/>
|
||
|
||
- **Mehr Sicherheit**
|
||
- Daten müssen so sicher gespeichert werden, dass unbefugter Zugriff,
|
||
aber auch versehentlicher Verlust nicht möglich ist. Über
|
||
Datenschutz-Verstöße müssen die Verbraucher informiert werden. Wenn
|
||
ein Risiko für sie entstanden ist, müssen Unternehmen die Verstöße
|
||
zudem bei nationalen Behörden melden. (Handelsblatt)
|
||
- SSL Zugriff auf der Webseite aktivieren!
|
||
|
||
- **weniger Ausnahmen**
|
||
- keine Außnahme mehr (altes BDSG) für Journalisten oder
|
||
Kleinunternehmer, sobald nicht mehr Privat alle betroffen
|
||
- Pressefreiheit in der neuen BDSG? Bisher keine oder zuwenige
|
||
Regelungen
|
||
- z.B. Fotos, Informanten, Kunden etc
|
||
- Unterscheidet nicht mehr zwischen Öffentlichen und nicht-öffentliche
|
||
Stellen
|
||
|
||
- **Erwägungsgrund 82:**
|
||
- Zum Nachweis der Einhaltung dieser Verordnung sollte der
|
||
Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der
|
||
Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen,
|
||
führen. Jeder Verantwortliche und jeder Auftragsverarbeiter
|
||
sollte verpflichtet sein, mit der Aufsichtsbehörde
|
||
zusammenzuarbeiten und dieser auf Anfrage das entsprechende
|
||
Verzeichnis vorzulegen, damit die betreffenden
|
||
Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert
|
||
werden können.
|
||
- <https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verfahrensregister/Inhalt/Verarbeitungstaetigkeiten/Muster-Verarbeitungsverzeichnis-Verantwortlicher.pdf>
|
||
|
||
- **Datenschutzbeauftragter**
|
||
- nicht viel verändert
|
||
- nicht ganz vorgeschrieben bei Risiko
|
||
- ab mehr als 9 Personen braucht man einen Datenschutzbeauftragten (es
|
||
zählen alle mit Teil der Datenverarbeitung)
|
||
- dieser muss angemeldet werden, sonst Verstoß!
|
||
- es darf kein Mitarbeiter sein mit Interessenkonflikt:
|
||
- kein Geschäftsführer
|
||
- kein leitender Angestellter
|
||
- gern auch externer
|
||
- Prokurist (Handlungsbevollmächtigte)
|
||
- Besondere Fähigkeiten haben:
|
||
- Rechtlich sich auskennen
|
||
- Technisch in der Lage sein
|
||
- kein Zertifikat notwendig, aber empfehlenswert (man lernt dort
|
||
praktischen Datenschutz)
|
||
- keine bestimmte Ausbildung nötig
|
||
- Der muss sicherstellen:
|
||
- Sicherheit der Verarbeitung
|
||
- Stand der Technik muss gewährleistet sein
|
||
- nach möglichkeit Daten psyeudonymisieren
|
||
- Integrität der Daten sicherstellen (Backup)
|
||
- Datenschutzfolgenabschätzung (unklar z.B. Gesundheitsdaten)
|
||
- Personenbezogene Daten auf Schreibtisch für Besucher einsehbar)
|
||
- alles muss nachgewiesen werden, rechenschaftspflicht
|
||
- Verzeichnis von Verarbeitungsbelegen
|
||
- Ausnahmen wenn weniger als 250 Mitarbeitern es sei denn nur
|
||
Gelegentlich
|
||
- E-Mails, Cloud
|
||
- eigentlich immer Verpflichtend, gerade wenn man Mitarbeiter hat
|
||
- Religion für Steuerzwecke
|
||
- Schlösser, Mitarbeiter müssen auch AGVs?
|
||
|
||
--- MUSIKPAUSE
|
||
|
||
\## Was sich nicht ändert
|
||
|
||
- ~~Pflicht zur Transparenz (bisschen erweitert)~~
|
||
- ~~Informationspflicht (bisschen erweitert)~~
|
||
- ~~Rechenschaftspflichen (bisschen erweitert)~~
|
||
|
||
- Bei Fotos ist auch jetzt schon die Zustimmung der Abgebildeten
|
||
notwendig
|
||
- Offensichtlich für die Dienstleistung notwenige Verarbeitung zulässig
|
||
ohne extra Einwilligung
|
||
- für Familäre und Persönliche Verarbeitung ist das weiterhin erlaubt
|
||
- Social Media Profile? Öffentlich / Freunde / "echte Freunde"
|
||
- Online frei zugänglich (eher nicht)
|
||
- Fotos in der Cloud?
|
||
|
||
\## Was habt ihr in Vorbereitung getan? (5-10Min)
|
||
|
||
- Webseiten von Cookies befreit
|
||
- ADV-Verträge gecheckt
|
||
- Weblogs nach 7 Tagen löschen
|
||
- Verarbeitungstätigkeiten dokumentieren (bsp. E-Mail, Webseite)
|
||
- Whatsapp zur Kommunikation von Eltern zustimmen lassen
|
||
- Datenschutzerklärung in den Footer der Webseite gepackt
|
||
- <https://datenschutz-generator.de/> Schwenke
|
||
- \- Auskunftsverantwortlicher muss klar sein
|
||
- \- bei Rückfragen muss Fragender ausreichend nachgewiesen werden
|
||
- <https://www.saechsdsb.de/handlungsbedarf-zur-umsetzung-ds-gvo-fuer-vereine>
|
||
-
|
||
|
||
~~\## Datenschutzerklärung auf Webseite~~
|
||
|
||
~~- Ausnahme für ausschließlich persönliche Webseiten ohne Kommentare,
|
||
Newsletter etc.~~
|
||
|
||
~~- Grundsätzlich bei den meisten nötig. ~~
|
||
*~~ - zb. bei Wordpress (Bei Kommentaren SPAM Schutz)~~*
|
||
*~~ - als Account bei großen Anbietern~~*
|
||
*~~ -\> z.B. Medium und Blogger trotzdem besser eine eigene
|
||
anlegen~~*
|
||
*~~ -\> sobald eigene Domain dann definitiv~~*
|
||
*~~ -\> bei Facebook-Seiten auch (bei nur Profil eher nicht)
|
||
(Verfahren bei EUGH läuft dies zu klären)~~*
|
||
*~~ -\> Gewinnspiele, Kommunikation mit dem Kunden über
|
||
FB~~*
|
||
*~~ -\> Instagramm? -\> wahrscheinlich nicht~~*
|
||
*~~ -\> Twitter eher nicht? -\> nur zur Sicherheit~~*
|
||
|
||
~~- Geld verdienen -\> Datenschutz? Nein. Datenschutz auch nötig wenn
|
||
kein "kommerzielle" Absicht~~
|
||
|
||
~~- Datenschutzverlinkung wo immer es geht z.B. im Datenfooter~~
|
||
~~- beim Impressum reichen zwei Klicks~~
|
||
~~- beim Datenschutz direkt, muss ins Auge fallen, darf nicht nur Teil
|
||
eines "Impressums"-Link sein~~
|
||
~~besser "Impressum/Datenschutz" oder zwei Links~~
|
||
~~- wenn Nutzereingaben z.B. Kommentar und Kontaktformularen besser wenn
|
||
Link zur Datenschutzerklärung~~
|
||
~~- wenn nur Lesen reicht Link im Footer (Achtung Cookies- davon
|
||
Ausgenommen~~
|
||
|
||
\## rundes Ende 10 - 15min.
|
||
\* Bewusstsein für Datenschutz schaffen
|
||
\* BEOBACHTUNG von Menschen/Bürgern durch Daten --\> Nutzung dieser
|
||
Daten für egoistische Zwecke /Missbrauch --\> KONTROLLE von menschlichem
|
||
Verhalten
|
||
\* wer dazu noch keine genauen Vorstellungen hat, wie so eine Kontrolle
|
||
aussehen kann -\> Westworld schauen
|
||
\* Worum geht es in WW?
|
||
1 Was unterscheidet den Mensch von der KI?
|
||
2 Frage nach dem freien Willen und der Möglichkeit von Freiheit
|
||
3 Aktuelle Season von WW wird DS Thema aufgemacht; es geht darum den
|
||
Wesebskern von Menschen sichtbar zu machen, um sie von Außen optimal
|
||
kontollieren zu können
|
||
Dies ist genau die Grenze zwischen Privatheit und Öffentlichkeit, wenn
|
||
der Mensch kein Recht mehr hat Grenzen für sich zu bestimmen, ist er
|
||
auch nicht mehr frei
|
||
--\> Gegen Kontrolle von menschlichem Verhalten durch Daten
|
||
|
||
Datenschutz ist ein Grundrecht
|
||
Verhalten auf Grund von Daten beeinflussbar (Cambridge Analytica)
|
||
Künstliche Intelligenz
|
||
|
||
Speichert nur Daten die ihr wirklich braucht und löscht diese
|
||
anschließend
|
||
\## Quellen
|
||
|
||
grundlegendes zum Recht
|
||
<https://rechtsbelehrung.com/dsgvo-alles-zur-eu-datenschutzgrundverordnung-rechtsbelehrung-folge-54-jura-podcast/>
|
||
tips für Webseitenbetreiber
|
||
<https://rechtsbelehrung.com/dsgvo-datenschutzerklaerung-faq-rechtsbelehrung-folge-55/>
|
||
<https://dsgvo-gesetz.de/>
|
||
<https://datenschutz-generator.de/>
|
||
|
||
Sächsischer Datenschutzbeauftragter:
|
||
<https://www.saechsdsb.de/>
|
||
<https://www.saechsdsb.de/handlungsbedarf-zur-umsetzung-ds-gvo-fuer-vereine>
|
||
|
||
## April 2018
|
||
|
||
Hinweis von Rob: Diese komischen CMS-Leute planen einen VHS Kurs. Der
|
||
Vermutlich auf Debian oder falls es kein Popcorn enthält auch Linux
|
||
Mint (Ubuntu) basieren wird -\>
|
||
<https://hackmd.c3d2.de/gnubie-shaving#>
|
||
<https://wiki.c3d2.de/GNUbie_shaving>
|
||
|
||
"Linux ist mir zu kompliziert - nein ist es nicht"
|
||
"Linux ist nicht kompliziert - versprochen "
|
||
|
||
"Lochkarte, Unix, Linux, Debian, Ubuntu 18.04"
|
||
|
||
**FollowUP** bzw. **News zu den letzten Sendungen**
|
||
|
||
- 1 April 2018, 1.1.1.1 DNS Cloudflare
|
||
- DDos-Protection
|
||
- Privacy TLS Crypto foo
|
||
- DNS-over-TLS
|
||
- DNS-over-HTTPs
|
||
- APNIC's research group held the IP addresses 1.1.1.1 and 1.0.0.1.
|
||
- APNIC is a Regional Internet Registery (RIR) responsible for handing
|
||
out IPs in the Asia Pacific region
|
||
- continuously overwhelmed by a flood of garbage traffic.
|
||
- Cloudflare is sharing DNS query data with APNIC Labs,
|
||
- Zuckerbergs Aussage vor dem Senat
|
||
- neue Datenschutzregelung in sicht
|
||
- Facebook hat die Gesichtserkennung in Europa angeschalten:
|
||
- <https://techcrunch.com/2018/04/20/just-say-no/>
|
||
|
||
**Einleitung: Den Computer anschalten und nun?**
|
||
|
||
- Einschaltknopf und dann?
|
||
- Mainboard
|
||
- Bios Basic input output system / UEFI
|
||
- master boot record (MBR) bzw. GUID Partition Table (GPT) / UEFI
|
||
- Bootloader
|
||
- Betriebssystem (Kernel, Programme)
|
||
|
||
- die meisten bekannten Programme laufen nicht direkt auf der Hardware,
|
||
sondern brauchen andere Programme (z.b. libraries) damit sie mit der
|
||
Hardware interagieren können = Darum kümmert sich das Betriebssystem
|
||
|
||
**kleiner historischer Abriss über Betriebssysteme / Unix / BSD / Linux
|
||
/ Debian / Ubuntu**
|
||
|
||
- ersten Computer kamen ohne echtes Betriebssystem weil Programme über
|
||
Lochkarten etc eingelesen wurden
|
||
- 1956 GM-NAA I/O bei General Motors für die IBM 704 erfundene *resident
|
||
monitor (startete einfach nächsten Lochkartenstapel im Anschluss)*
|
||
- 1959 entstand daraus das SHARE Operating System (SOS)
|
||
- allowed execution of programs written in assembly language.
|
||
- share programms
|
||
- 1961 entstand mit dem Compatible Timesharing System (CTSS) für die IBM
|
||
7094 am MIT das erste Betriebssystem für Mehrbenutzerbetrieb
|
||
- sogar quasi gleichzeitig per Terminal (Mother of all demos.
|
||
<https://www.youtube.com/watch?v=yJDv-zdhzMY)>
|
||
- IBM 1964 OS/360 in verschiedenen Versionen (OS/360 für rein
|
||
lochkartenbasierte Systeme, TOS/360 für Maschinen mit
|
||
Bandlaufwerken, DOS/360 für solche mit Festplatten)
|
||
- das erste Betriebssystem, das modellreihenübergreifend eingesetzt
|
||
wurde,
|
||
- Ab 1963 wurde Multics in Zusammenarbeit von MIT, General Electric und
|
||
den Bell Laboratories (Bell Labs) von AT&T entwickelt, das jedoch erst
|
||
ab 1969 bis 2000 im Einsatz war.
|
||
- setzte den Grundstein für Unix
|
||
- Unix
|
||
- August 1969\[1\] von Bell Laboratories (später AT&T)
|
||
- 1980er Jahre als quelloffenes Betriebssystem
|
||
- Ken Thompson und Dennis Ritchie, die es zunächst in
|
||
Assemblersprache, dann in der von Ritchie entwickelten
|
||
Programmiersprache C geschrieben
|
||
- erstmalig hierarchische, baumartig aufgebaute Dateisystem mit
|
||
Ordnerstruktur
|
||
|
||
- Quellcode / Binaries
|
||
- CPU braucht maschinenlesbaren Code, Programmierer brauchen
|
||
menschenlesbaren Code
|
||
- Hin- und Zurückübersetzung schwierig
|
||
|
||
- ab 1980 kommerzialisiert (fehlender Quellcode), was zu Abspaltungen
|
||
führte (Unix-Wars)
|
||
- Berkley brachte TCP/IP, damit wars für die Darpa interessant
|
||
- 1983 begann Richard Stallman *GNU’s Not Unix* (‚GNU ist Nicht
|
||
Unix‘)-Projekt zu entlwickeln (da fehlte ein freier Kernel)
|
||
- Shell, Coreutils, Compiler wie GCC, Bibliotheken wie glibc, as
|
||
- Anspruch die Funktionalität eines Unixsystems zur Verfügung zu
|
||
stellen
|
||
- Freiheit \#0: Programm ausführen wann und wo man will
|
||
- Freiheit \#1: Quellcode studiern / überprüfen
|
||
- Freiheit \#2: weiterverbreitung des Programmes
|
||
- Freiheit \#3: veränderte version verbreiten dürfen
|
||
- 1985 Open Software-Foundation (Sun, Siemens, HP, IBM etc)
|
||
- 1987 entwickelte der in Amsterdam lehrende amerikanische
|
||
Informatiker Professor Andrew S. Tanenbaum ein unixoides
|
||
Betriebssystem namens Minix
|
||
- Studenten die Grundlagen eines Betriebssystems zu
|
||
veranschaulichen
|
||
- 1989 wurde „UNIX System V Release 4“ angekündigt und
|
||
herausgebracht. Es folgten später noch „Release 4.2“ und „Release
|
||
5“ nach.
|
||
- 1990 erschien „4.3BSD Reno“.
|
||
- - nur kurz -BSD Zweig, welcher später dann auch zu Apple führte
|
||
- - nur kurz -92 386BSD, eine Portierung von 4.3BSD NET/2 auf den
|
||
Intel-i386-Prozessor
|
||
- - nur kurz -1993 erschien die Version „4.4BSD“, und es begann
|
||
die Entwicklung von FreeBSD und NetBSD,
|
||
- - nur kurz - 2000 wurde Darwin, der Unterbau des Mac OS X
|
||
veröffentlicht, mit Mach als Kernel.
|
||
- freies Unix-Betriebssystem des Unternehmens Apple. Es wurde
|
||
als Darwin 0.1 am 16. März 1999\[1\], gemeinsam mit Mac OS X
|
||
Server 1.0, erstmals verfügbar gemacht.
|
||
- 1991 stellte Linus Torvalds am 5. Oktober seinen Kernel Linux mit
|
||
der Versionsnummer 0.02 vor.
|
||
- Finnish computer science student (mittlerweile seit 2010
|
||
Amerikaner)
|
||
- January 5, 1991\[22\] he purchased an Intel 80386-based clone of
|
||
IBM PC\[23\] before receiving his MINIX copy, which in turn
|
||
enabled him to begin work on Linux
|
||
- His M.Sc. thesis was titled *Linux: A Portable Operating
|
||
System*.
|
||
- from scratch, benötigte teilweise von Minix
|
||
- seit Dezember komplett ohne Minix (fsck)
|
||
- 1992 im Januar kam 0.12 benutzte GNU GPL - CopyLeft Lizenz
|
||
- 1993 X11 (und damit erste Distribution, zwei Disketten bestehend
|
||
aus Kernel und GNU Projekt Utilities)
|
||
- erster Grafischer Window Manager
|
||
- 1993 Debian by Ian Murdock, Debian 0.01 was released on September
|
||
15, 1993
|
||
- Freundin Deborah Lynn (Deb + Ian) = Debian
|
||
- reines community Projekt, kein Kommerzieller Hintergrund
|
||
- sehr Gnu-nah
|
||
- Free Software Foundation, which sponsored the project for one
|
||
year from November 1994 to November 1995
|
||
- laufen auch mit andern Kerneln: such as those based on BSD
|
||
kernels and the GNU Hurd microkernel.
|
||
- Ubuntu 2004
|
||
|
||
**--- Potentielle Pause ---**
|
||
|
||
Der Linux-Kernel heute:
|
||
|
||
<https://de.wikipedia.org/wiki/Datei:Linux_Kernel_Struktur.svg>
|
||
|
||
- Betriebssystem: Linux-Kernel (vmlinuz) damalsTM Podcast Folge
|
||
DTM_016_Linuxkernel (7.3MB)
|
||
- 4.15.4 hat 20,3 Millionen Zeilen Code
|
||
<https://www.linuxcounter.net/statistics/kernel>
|
||
- good kommt etwa 4745, nice 1369, love 763 mal vor
|
||
- crap 192, shit 145, fuck 40,
|
||
- Firefox 56 enthalten 31.342.142 Zeilen LibreOffice 5.4 kommen auf
|
||
17.171.162
|
||
- Contributors (ca.) 4.16 by changesets
|
||
- Intel 1424 10.6%
|
||
- Red Hat 971 7.2%
|
||
- (Unknown) 962 7.2%
|
||
- (None) 895 6.7%
|
||
- AMD 677 5.0%
|
||
- IBM 566 4.2%
|
||
- Contributors (ca.) 4.16 by changed lines
|
||
- AMD 97644 14.2%
|
||
- Intel 73566 10.7%
|
||
- (Unknown) 33700 4.9%
|
||
- Red Hat 33027 4.8%
|
||
- (None) 31155 4.5%
|
||
- IBM 26329 3.8%
|
||
- Linaro 25245 3.7%
|
||
- (Consultant) 20772 3.0%
|
||
- 75% Treibercode (/drivers 14.966.279 Zeilen + /arch mit 3.722.764)
|
||
(schwer zu testen ohne Hardware, Deswegen delegation)
|
||
- 20% Netzwerk
|
||
- 2017 Global Stats (Achtung nur Webtraffic!):
|
||
- Windows Kernel 36,8% Geräte,
|
||
- Apple XNU 18,46%
|
||
- Linux Kernel (mit Android) 40,41%
|
||
- 7,21% andere
|
||
- Intel IBM etc stellen ebenfalls Entwickler
|
||
- Interesse der betreibbarkeit ihrer Hardware
|
||
- Bei Intel und IBM oftmals weit im Voraus zur Auslieferung
|
||
- wenn ein Programm den Kernel etwas fragt ist das ein SystemCall
|
||
(Bezug auf Meltdown und Spectre)
|
||
- hat selbst einen geschützten Speicherbereich
|
||
- Kernelspace
|
||
- Modular
|
||
- Userspace
|
||
- Programme
|
||
- andere Kernels: BSD, Unix System DOS (DR-DOS, MS-DOS (auf dem
|
||
Windows 95 bis ME basierte), FreeDos, OpenVMS,
|
||
|
||
- Geht zu tief in den Linux Boot-Prozess, passt wahrscheinlich nicht zu
|
||
Ubuntu
|
||
- ~~Linux ist das weitverbreiteste Betriebssystem ~~
|
||
- ~~Server~~
|
||
- ~~Router~~
|
||
- ~~Banken, Züge, Flugsicherung~~
|
||
- ~~Embedded~~
|
||
- ~~Android~~
|
||
|
||
~~--\> Erinnerung an Bootprozess, wir sind nun nach dem Bootloader:~~
|
||
~~ ~~
|
||
~~ ~~
|
||
|
||
- ~~Einschaltknopf und dann?~~
|
||
- ~~Mainboard~~
|
||
- ~~Bios Basic input output system / UEFI~~
|
||
- **~~master boot record~~**
|
||
(**MBR**
|
||
) **bzw. GUID Partition Table**
|
||
(**GPT**~~) / UEFI~~
|
||
- ~~Bootloader z.B. Grub, PXE oder WindowsBootloader~~
|
||
- ~~Betriebssystem (Kernel, Programme)~~
|
||
|
||
~~ ~~
|
||
~~ ~~
|
||
|
||
- ~~initrd.img (40MB)~~
|
||
- *~~initrd provides the capability to load a RAM disk by the boot
|
||
loader.~~*
|
||
- *~~initrd is mainly designed to allow system startup to occur in two
|
||
phases, where the kernel comes up with a minimum set of compiled-in
|
||
drivers, and where additional modules are loaded from initrd.~~*
|
||
- ~~lädt das richtige / Root File System (z.b. ext4 auf Festplatte)~~
|
||
- ~~und die entsprechenden Kernelmodule~~
|
||
- ~~Login-Manager~~
|
||
- ~~lightdm~~
|
||
- ~~gdm~~
|
||
- ~~Window Manager~~
|
||
- ~~Unity? X11 kompatibilität nicht gegeben~~
|
||
|
||
- ~~Programme~~
|
||
- ~~FireFox, Chrome, Thunderbird, Gimp, Pidgin, LibreOffice, FreeCad,
|
||
KiCad etc.~~
|
||
|
||
**Allgemeine Vorstellung Ubuntu**
|
||
|
||
**Ubuntu** (Zulu pronunciation: \[ùɓúntʼù\])\[1\]\[2\] is a Nguni
|
||
Bantu term meaning "humanity". It is often translated as "I am because
|
||
we are," and also "humanity towards others", but is often used in a
|
||
more philosophical sense to mean "the belief in a universal bond of
|
||
sharing that connects all humanity"
|
||
|
||
- Entwickler: Canonical Ltd.
|
||
- UK-based privately held computer software company founded 5 March
|
||
2004
|
||
- funded by South African entrepreneur <u>Mark Shuttleworth</u> (2.
|
||
Weltraumtourist mit Sojus TM-34/Sojus TM-33 (2002)8 Tage ISS ca 20
|
||
Mill. \$, einzigster Afrikaner im All ??)
|
||
- provided an initial funding of US\$10 million
|
||
- Net worth£160 million (2015)
|
||
- Time in space: 9d 21h 25m
|
||
- He was a member of the crew of Soyuz TM-34, launched from
|
||
Baikonur in Kazakhstan and docked with the International Space
|
||
Station two days later.
|
||
- tendenziell kein Bart (maximal 3 Tage)
|
||
- Shuttleworth founded Thawte Consulting in 1995, a currently
|
||
running company which specialized in digital certificates and
|
||
Internet security. In December 1999, Thawte was acquired by
|
||
VeriSign, earning Shuttleworth R3.5 billion (about US\$575
|
||
(equivalent to \$844.70 in 2017) million).
|
||
- Thawte was one of the first companies to be recognized by both
|
||
Netscape and Microsoft as a trusted third party for web site
|
||
certification,
|
||
- Business Model?
|
||
- Einkommen US \$125.97 million (2017), aber nur US \$2M Profit
|
||
- <https://www.phoronix.com/scan.php?page=news_item&px=Canonical-2009-2017-Fin-Perf>
|
||
- Number of employees 566 (2017)
|
||
- Spenden der Nutzer
|
||
- Shuttleworth "funds it"
|
||
- providing enterprise software services, training, support,
|
||
consultancy, and various other services directly related to Ubuntu
|
||
- Amazon Suche in Unity? Nutzerdaten?
|
||
- ~~Ursprung in Debian (September 1993), Ubuntu cooperates with Debian
|
||
by pushing changes back to Debian~~
|
||
- ~~teilweise kompatibel, aber nicht völlig~~
|
||
- Initial release: 20 October 2004 (13 years ago)
|
||
- Updates ca aller 6 Monate
|
||
- Ab ubuntu 6.06 gerade Versionen .04 LTS
|
||
- Updates for new hardware, security patches and updates to the
|
||
'Ubuntu stack'
|
||
- sonst .10 und ungrade 04 rollend erst 9 nun 18 Monate
|
||
- security fixes, high-impact bug fixes and conservative,
|
||
substantially beneficial low-risk bug fixes
|
||
- Ubuntu Derivate über den Window Manager : Wayland
|
||
- xubuntu (XFCE)
|
||
- kubuntu (KDE)
|
||
- lubuntu (LXDE)
|
||
- Ubuntu Gnome (Gnome)
|
||
- Ubuntu Mate (Mate)
|
||
- Ubuntu Budgie (Budgie)
|
||
- Linux mint etc
|
||
- i3wm
|
||
- awesome
|
||
- \- läuft auf:
|
||
- I386, IA-32, AMD64; ARMhf (ARMv7 + VFPv3-D16), ARM64; Power,
|
||
ppc64le; s390x\[4\]
|
||
- itauch Tablets und Smartphones -\> Ubuntu Touch
|
||
- GPL
|
||
- \+ blob Hardware Treiber
|
||
- Security "out of the box":
|
||
- FullDisk/Folder/HomeDir Encryption
|
||
- sudo
|
||
- Network Ports sind per default geschlossen -\> UFW
|
||
- Ubuntu compiles its packages using GCC features such as PIE and
|
||
buffer overflow protection to harden its software
|
||
- security performance expense of 1% in 32-bit and 0.01% in 64-bit.
|
||
- Abkömmlinge:
|
||
<https://upload.wikimedia.org/wikipedia/commons/7/79/UbuntuFamilyTree1210.svg>
|
||
|
||
Rant Stallman <https://www.youtube.com/watch?v=DXnfa0H30L4>
|
||
<https://arstechnica.com/information-technology/2012/12/richard-stallman-calls-ubuntu-spyware-because-it-tracks-searches/?utm_source=omgubuntu>
|
||
removed in 16.04
|
||
|
||
|
||
|
||
**Änderungen in 18.04**
|
||
|
||
<https://itsfoss.com/ubuntu-18-04-release-features/>
|
||
|
||
|
||
- Bionic Beaver
|
||
- ***26th April: Stable Ubuntu 18.04 LTS release***
|
||
- GNOME 3.28
|
||
- Boot speed boost
|
||
- Using systemd’s features, bottlenecks will be identified and tackled
|
||
to boot Bionic as quickly as possible.
|
||
- A new minimal installation option
|
||
- regular Ubuntu install without most of the regular software. You’ll
|
||
just get a web browser and a handful of utilities.
|
||
- Using PPA is slightly easier now
|
||
- im wesentlichen autoupdate nach dem adden
|
||
- Linux Kernel 4.15
|
||
- Xorg becomes the default display server again
|
||
- Ubuntu 17.10 switched to the newer Wayland
|
||
- viele Probleme
|
||
- Minor changes in the looks of Nautilus File Manager
|
||
- sieht mal wieder ein wenig schicker aus
|
||
- Ubuntu will be collecting system usage data (unless you choose to stop
|
||
that)
|
||
- criticized in the past for including Amazon web app
|
||
- online search by default
|
||
- Ubuntu 18.04 will be collecting some system usage data unless you
|
||
choose to opt out of it.
|
||
- Version and flavor of Ubuntu you’re installing
|
||
- Whether you have network connectivity at install time
|
||
- Hardware statistics such as CPU, RAM, GPU, etc
|
||
- Device manufacturer
|
||
- Your country
|
||
- Time taken to complete the installation
|
||
- Whether you choose auto login, installing third-party codecs,
|
||
downloading updates during install
|
||
- Disk layout
|
||
- Ubuntu Popcon service will track the popularity of applications and
|
||
packages
|
||
- Crash reports
|
||
- New installer for Ubuntu 18.04 Server edition
|
||
- subiquity installer
|
||
- schicker
|
||
- 10\. Native support for color emojis
|
||
- Until now, only monochrome emojis are supported out of the box on
|
||
Ubuntu.
|
||
- same open source emojis that are being used on Android.
|
||
- The proposed brand new theme and icons developed by the community will
|
||
no longer be the default
|
||
- vorher wenig Änderungen im Design, (jetzt ehrlich gesagt auch kein
|
||
riesen Sprung aber egal)
|
||
- 12\. Easier live patching
|
||
- Kernel live patching is an essential feature on Linux server.
|
||
Basically, you install a critical Linux kernel update without
|
||
rebooting the system. This saves downtime on servers.
|
||
- Default wallpapers of Ubuntu 18.04 (for hardcore Ubuntu fans)
|
||
- naja anderere Hintergrundbilder halt
|
||
- Default Applications
|
||
- Category Top Voted Default Application
|
||
- Browser Mozilla Firefox
|
||
- Video Player VLC
|
||
- IDE Visual Studio Code
|
||
- Video Editor Kdenlive
|
||
- Screen Recorder Open Broadcaster Software (OBS)
|
||
- Email Client Thunderbird
|
||
- Text Editor gedit
|
||
- Office Suite LibreOffice
|
||
- Music Player VLC
|
||
- Photo Viewer Shotwell
|
||
- Terminal GNOME Terminal
|
||
- PDF Reader Evince
|
||
- Photo Editor Gimp
|
||
- IRC/IM Pidgin
|
||
- Calendar GNOME Calendar
|
||
|
||
**Fazit **
|
||
|
||
- Ubuntu ist umstritten, weil kommerzielle Verwertung von freier
|
||
Software
|
||
- Geld spenden
|
||
- Maintainer bekommen Geld von Investoren
|
||
- Debian vs. ubuntu
|
||
- Ubuntu Pakete die ich immer runterschmeiße: apport, whoopsie,unity
|
||
|
||
- Mediawiki 1.30, Extensions, Semantic Wiki, Ziele, Einschränkungen,
|
||
Praxistauglichkeit
|
||
- OpenSource Anwender-Software -\> LibreOffice, FreeCad, KiCad,
|
||
Thunderbird, Firefox etc. vorstellen erklären
|
||
- Robot Operating System (ROS) -\> Roboterfunktionen in Paketen,
|
||
OpenSource und verbreitet
|
||
- Mikrocontroller -\> von Arduino über ESP32 zu PSoC und FPGA
|
||
- wir haben natürlich noch die verschollene IoT-Sendung aus dem Februar
|
||
ausgearbeitet da
|
||
|
||
Hinweis auf Podcast zur Geschichte vor Linux / des Linux-Kernels:
|
||
damals(tm) Folge 016 Linuxkernel
|
||
|
||
<https://damals-tm-podcast.de/index.php/2015/10/15/dtm_016_linuxkernel/>
|
||
|
||
<http://damalstm.capella.uberspace.de/episoden/DTM016_Linuxkernel.mp3>
|
||
|
||
## März 2018
|
||
|
||
Wir suchen die Sendung vom Februar. Falls sie jemand ausversehen
|
||
aufgenommen hat, möge er sich bitte bei uns melden.
|
||
honky@c3d2.de
|
||
c3d2@lists.c3d2.de
|
||
|
||
- 2012 erbringt Kosinski (Professor at Stanford University Graduate
|
||
School of Business. Computational Psychologist and Big Data
|
||
Scientist.) den Nachweis, dass man aus durchschnittlich 68
|
||
Facebook-Seiten-Likes eines Users vorhersagen kann:
|
||
- welche Hautfarbe er hat (95-prozentige Treffsicherheit),
|
||
- ob er homosexuell ist (88-prozentige Wahrscheinlichkeit),
|
||
- ob Demokrat oder Republikaner (85 Prozent)
|
||
- Intelligenz, Religionszugehörigkeit, Alkohol-, Zigaretten- und
|
||
Drogenkonsum lassen sich berechnen. Sogar, ob die Eltern einer
|
||
Person bis zu deren 21. Lebensjahr zusammengeblieben sind oder
|
||
nicht
|
||
- Am Tag, als Kosinski diese Erkenntnisse publiziert, erhält er
|
||
zwei Anrufe. Eine Klageandrohung und ein Stellenangebot. Beide
|
||
von Facebook.
|
||
|
||
- 2012 Kosinski baut App " My-Personality" für OCEAN Profile für
|
||
Nutzer
|
||
- **OCEAN-Modell**
|
||
- Offenheit für Erfahrungen (Aufgeschlossenheit),
|
||
- Gewissenhaftigkeit (Perfektionismus),
|
||
- Extraversion (Geselligkeit),
|
||
- Verträglichkeit (Rücksichtnahme, Kooperationsbereitschaft,
|
||
Empathie) und
|
||
- Neurotizismus (emotionale Labilität und Verletzlichkeit)
|
||
|
||
- (als das im institut) Aleksandr Kogan zieht erst einmal nach
|
||
Singapur, heiratet und nennt sich fortan Dr. Spectre. Michal
|
||
Kosinski wechselt an die Stanford University in den USA
|
||
- Kosinski: Persönliches Targeting kann die Klickraten von
|
||
Facebook-Anzeigen um über 60 Prozent steigern und die sogenannte
|
||
Conversion-Rate um bis zu 1400 Prozent
|
||
|
||
\- Cambridge Analytica?!
|
||
|
||
- Cambridge ist eine ostenglische Stadt am Fluss Cam und Heimat der
|
||
renommierten University of Cambridge aus dem Jahr 1209
|
||
- 2012/13 von der britischen SCL Group gegründetes
|
||
Datenanalyse-Unternehmen
|
||
- Als Gründer gelten
|
||
- Robert Mercer (Hauptfinanzier) ist ein amerikanischer
|
||
rechtskonservativer Informatiker, der als erfolgreicher
|
||
Hedgefonds-Manager zum Multimilliardär aufstieg. Er war bei der
|
||
Präsidentschaftswahl 2016 einer der wichtigsten Unterstützer Donald
|
||
Trumps.
|
||
- Steve Bannon: (Vizepräsident) US-amerikanischer Publizist,
|
||
Filmproduzent und politischer Berater. Er leitete von 2012 bis
|
||
August 2016 und von August 2017 bis Anfang 2018 die Website
|
||
Breitbart News Network. (Er gab nach Angaben von Christopher Wylie
|
||
2014 die Million für den Ankauf der Facebookdaten frei.)
|
||
- Alexander Nix. Nix, einer der bisherigen Direktoren von SCL,
|
||
übernahm die Leitung.
|
||
- besuchte das Eton College und studierte an der University of
|
||
Manchester Kunstgeschichte.
|
||
- CA-Slogan: *Data drives all we do.* („Daten treiben alles an, was wir
|
||
tun.“)
|
||
- Zusammenarbeit mit Psychometrikern (*psychologischen Messens*) der
|
||
University of Cambridge -\> daher der Name
|
||
- überwiegend in den USA tätig (Datenschutz)
|
||
- im Vorwahlkampf zur Präsidentschaftswahl in den Vereinigten Staaten
|
||
2016 für Ted Cruz tätig
|
||
- nach dessen Ausscheiden mit der Unterstützung von Donald Trump
|
||
beauftragt.
|
||
|
||
- **SCL Group** (Abkürzung für *Strategic Communication Laboratories
|
||
Group*) ist ein britisch-US-amerikanisches Unternehmen für
|
||
Verhaltensforschung und strategische Kommunikation
|
||
- 1993 in London gegründet
|
||
- New York Times befasste sich SCL im Auftrag der britischen
|
||
Regierung mit pakistanischen Dschihadisten und unterstützte die USA
|
||
bei der militärischen Aufklärung im Iran, in Libyen und in Syrien.
|
||
- Datenbeschaffung:
|
||
- März 2018 wurde durch den Whistleblower Christopher Wylie
|
||
- former Director of Research at Cambridge Analytica
|
||
- giving *The Guardian* documents
|
||
- He left school at 16 without a qualification, but by 17 was
|
||
working for the Canadian opposition leader Michael Ignatieff. He
|
||
taught himself to code at age 19. At 20, he began studying law at
|
||
the London School of Economics.
|
||
- *Global Science Research* (GSR) erworben von Aleksandr Kogan (aus
|
||
Cambrigde)
|
||
|
||
- 320.000 solcher Tests zur Erstellung von psychologischen Profilen
|
||
(100k?! REF)
|
||
- (psychographic profiles)
|
||
- (Nutzer stimmten freiwillig zu)
|
||
- Facebook 160-fachte diese Datensätze wobei Inhaber davon keine
|
||
Kenntnis hatten
|
||
- Nix behauptete Profile von 220 Millionen US-Bürgern erstellt zu haben
|
||
per
|
||
- Kritiker bezweifeln das
|
||
- 32 Persönlichkeitstypen, man konzentriert sich nur auf 17 Staaten.
|
||
- «Cambridge Analytica does not use data from Facebook. It has had no
|
||
dealings with Dr. Michal Kosinski. It does not subcontract research.
|
||
It does not use the same methodology. Psychographics was hardly used
|
||
at all. Cambridge Analytica did not engage in efforts to discourage
|
||
any Americans from casting their vote in the presidential election.
|
||
Its efforts were solely directed towards increasing the number of
|
||
voters in the election.»
|
||
|
||
Auftragsarbeiten in Wahlkämpfen:
|
||
|
||
- Jahr 2014 war Cambridge Analytica (CA) laut Nix an 44
|
||
US-Wahlkampf-Kandidaturen beteiligt.
|
||
- Ted Cruz 2015 (ging auf das Drängen von Rebekah Mercer (Tochter)
|
||
zurück, da millionenschwerer Spender)
|
||
- erhielt mindestens 5,8 Millionen Dollar
|
||
- Brexit-Kampagne in Großbritannien (Leave.eu) nutzten angeblich die
|
||
Dienste
|
||
- wurde aber dementiert
|
||
- danach Mercers für Trump (per SuperPAC)
|
||
- Das Trump-Team überwies laut offiziellen Berichten von Juli bis
|
||
Dezember 2016 insgesamt 5,9 Millionen Dollar an CA
|
||
- Insgesamt, so sagt Nix, habe man etwa 15 Millionen Dollar
|
||
eingenommen.
|
||
- Juli 2016 wird für Trump-Wahlhelfer eine App bereitgestellt, mit
|
||
der sie erkennen können, welche politische Einstellung und welchen
|
||
Persönlichkeitstyp die Bewohner eines Hauses haben.
|
||
- angepasste Gesprächsleitfaden für Hausbesuche
|
||
- (Nix wollte die Hillary Mails für Trumps Wahlkampf, Wikileaks
|
||
verweigerte die Freigabe für ihn)
|
||
|
||
Alexander Nix als CEO Suspendiert 20. März 2018
|
||
Nachdem Channel 4 heimlich mitgeschnittene Gespräche gezeigt hatte, in
|
||
denen Nix geschildert hatte, dass die Firma Politiker unter Druck
|
||
setze, indem sie sie durch Angebote von Bestechungsgeldern oder durch
|
||
den Einsatz von Prostituierten in kompromittierende Situationen bringe,
|
||
suspendierte der Vorstand von Cambridge Analytica ihn als CEO am 20.
|
||
März 2018
|
||
|
||
Kampagne erklären
|
||
microtargeting
|
||
dark adds
|
||
|
||
Medienecho
|
||
- „Daten-Skandal“, „Daten-Leck“ oder „Daten-Diebstahl“
|
||
|
||
- Facebook Geschäftsmodell
|
||
- <https://de.wikipedia.org/wiki/Facebook>
|
||
- Schattenprofile und Like-Buttons
|
||
- etwa 2 Milliarden Accounts
|
||
|
||
- Mark Zuckerberg sagt sorry (CNN)
|
||
- <https://www.youtube.com/watch?v=0fJ3YfcRbp8>
|
||
- This was a major breach of Trust
|
||
- basic responsibility to protect peoples data
|
||
- make sure it doesn't happen again
|
||
- Kogan inproper use
|
||
- restrict amount of access a developer can get
|
||
- make sure there aren't more CAs out there
|
||
- investigate any big dataset app
|
||
-
|
||
|
||
Simon, wirst du Facebook weiter benutzen?
|
||
|
||
Sollten Leute Facebook löschen?
|
||
|
||
Gibt es Alternativen? -\> eigene Sendung gab es vielleicht mal ansonsten
|
||
seid gespannt
|
||
|
||
Hinterfragt geschäftsmodelle,
|
||
|
||
Wenn es nichts kostet seid ihr mind. Teil des Produkt!
|
||
|
||
- Unterschiede zur Online-Kampagne von Obama
|
||
- Änderung der Rechtslage ?
|
||
- Nur Netzwerkabfrage ?!
|
||
- führenden Big-Data-Bude «BlueLabs» und bekam Unterstützung von
|
||
Google und DreamWorks
|
||
- <https://www.npr.org/2018/03/25/596805347/how-does-cambridge-analytica-flap-compare-with-obama-s-campaign-tactics>
|
||
- BETSY HOOVER online organizing director for Barack Obama's 2012
|
||
presidential campaign
|
||
- So in 2008, Facebook was one-tenth the size of what it was in
|
||
2012, for example. But Facebook was a huge part of our digital
|
||
strategy
|
||
- Targeted Sharing
|
||
- fully followed Facebook's terms of service
|
||
- You're giving us access to your friends on Facebook.
|
||
- Facebook changed its terms of service, so that is no longer
|
||
possible
|
||
- So you gave them names of their friends that might be
|
||
persuadable? HOOVER: Yeah.
|
||
- People do not understand how the privacy settings work
|
||
- needs to be legislated
|
||
- <http://www.chicagotribune.com/news/opinion/page/ct-perspec-page-facebook-zuckerberg-obama-20180323-story.html>
|
||
|
||
- Weg der Daten
|
||
- Übermittlung zu Forschungszwecken -\> zulässig?
|
||
- Weitergabe an externe Fima -\> Problem?
|
||
- Screening nach vermuteten politischen Interessen
|
||
- Zielgruppenspezifische Botschaften (microtarget) (dark ads)
|
||
- Vielfalt der Aussagen nicht nachvollziehbar
|
||
|
||
\## Quellen:
|
||
microtargeting
|
||
<https://www.youtube.com/watch?v=bl_Vh9UR5L4>
|
||
<https://www.youtube.com/watch?v=n8Dd5aVXLCc>
|
||
<http://cgvr.informatik.uni-bremen.de/teaching/vr_literatur/Wahlmanipulation%20mittels%20Psychometrik%20und%20Social%20Media%20-%20Das%20Magazin,%202016.pdf>
|
||
<https://motherboard.vice.com/en_us/article/mg9vvn/how-our-likes-helped-trump-win>
|
||
<https://www.tagesanzeiger.ch/ausland/europa/Ich-habe-nur-gezeigt-dass-es-die-Bombe-gibt/story/17474918>
|
||
<http://www.zeit.de/digital/internet/2016-12/us-wahl-donald-trump-facebook-big-data-cambridge-analytica>
|
||
|
||
<http://www.bbc.com/news/uk-43522775>
|
||
<https://www.bloomberg.com/view/articles/2018-03-21/cambridge-analytica-s-real-business-isn-t-data>
|
||
|
||
\## eigene Facebook daten
|
||
<http://www.chip.de/news/Was-weiss-Facebook-Ihre-persoenlichen-Daten-als-ZIP-Datei-herunterladen_136575430.html>
|
||
<https://www.j-berkemeier.de/ShowGPX.html>
|
||
|
||
\## weiterer Skandal:
|
||
\* Alter Cambridge analytica article
|
||
|
||
- “Facebook ist aus jedem Blickwinkel Täter”: IT-Blogger Fefe über die
|
||
Lehren aus dem Cambridge-Analytica-Debakel (meedia)
|
||
- <http://meedia.de/2018/03/22/facebook-ist-aus-jedem-blickwinkel-taeter-it-blogger-fefe-ueber-die-lehren-aus-dem-cambridge-analytica-debakel/>
|
||
- **Die Medien sprechen wahlweise von einem „Daten-Skandal“,
|
||
„Daten-Leck“ oder „Daten-Diebstahl“. Um was handelt es sich beim
|
||
Facebook/Cambridge Analytica-Komplex Ihrer Meinung nach?**
|
||
- **Sascha Lobo schreibt in seiner Spiegel Online-Kolumne, dass der
|
||
eigentliche Skandal im System Facebook liege, weil Facebook selbst
|
||
gar nicht genau wisse, wie es wirklich wirke.**
|
||
- **Was ist Ihre Einschätzung: Konnte eine Firma wie Cambridge
|
||
Analytica überhaupt die US-Wahl beeinflussen?**
|
||
- **Wäre eine solche Beeinflussung von Wählergruppen auch in
|
||
Deutschland möglich?**
|
||
- **Wie sollten die deutschen Medien mit dem Fall Facebook/Cambridge
|
||
Analytica umgehen?**
|
||
- Like Buttons, deren Veröffentlichungen auf FB überdenken
|
||
- **Stichwort \#DeleteFacebook: Sollten die Menschen ihre
|
||
Facebook-Accounts löschen?**
|
||
- What the F\*\*\* Was Facebook Thinking? (medium)
|
||
- <https://medium.com/@jamesallworth/what-the-f-was-facebook-thinking-a1c49dbf29c2>
|
||
- Facebook-Chef über Datenskandal Was Zuckerberg gesagt hat – und was
|
||
nicht (SPON)
|
||
- <http://www.spiegel.de/netzwelt/web/facebook-und-cambridge-analytica-was-mark-zuckerberg-eigentlich-gesagt-hat-a-1199360.html>
|
||
- Mark Zuckerberg: ‘I’m sure someone’s trying’ to disrupt 2018 midterm
|
||
elections (CNN)
|
||
- <http://money.cnn.com/2018/03/21/technology/facebook-and-2018-midterm-elections/index.html>
|
||
- Cambridge Analytica: Warrant sought to inspect company (Channel 4)
|
||
- <http://www.bbc.com/news/technology-43465700>
|
||
|
||
\* Facebook and Brexit
|
||
<https://www.welt.de/politik/ausland/article174906355/Cambridge-Analytica-Christopher-Wylie-bringt-Facebook-ins-Wanken.html>
|
||
\* Facebook sammelt Telefondaten
|
||
<https://www.heise.de/newsticker/meldung/Kontakte-synchronisieren-Facebook-sammelte-jahrelang-Anrufdaten-4003916.html>
|
||
|
||
Kommentar Frank Nord:
|
||
|
||
Inhaltlich ging es um folgendes: Wenn wir von Alternativen sprechen
|
||
wollen, müssen wir mal realistisch herangehen und erheben, welche
|
||
Funktionalität es bräuchte, um FB wirklich Konkurenz zu machen. Ich
|
||
habe darüber öfter mit einem Bekannten Gespräche. Vor allem würde er
|
||
ein "soziales Netz" nicht nutzen, dass
|
||
|
||
a) einen hohen Installationsaufwand hat
|
||
|
||
und b) den anonymen Gedanken zu konsequent zuende denkt. Argument: "Ich
|
||
nutze Facebook doch ganz bewusst, um mit mir bekannten Freunden leicht
|
||
Kontakt zu halten. Dazu gehört auch, persönlich erkennbar zu sein, auch
|
||
für neue Leute, die mich suchen. Diskussionsgruppen sind nicht das
|
||
Hauptanwendungsgebiet. Der Punkt ist, dass ich netten Menschen einfach
|
||
sagen kann 'du findest mich auf Facebook'. Der Punkt ist, dass ich
|
||
leicht meine Einladungsliste für den Geburtstag zusammenklicken und
|
||
alle auf dem aktuellen Stand halten kann. Es ist die Einfachheit und
|
||
die Nähe am Leben, die Facebook stark macht."
|
||
|
||
Hintergrund: Es gab mal ein Webcomic, dass simplifiziert dezentrale,
|
||
anonyme soziale Netze erklären wollte. Sein Kommentar lautete, dass
|
||
diese Idee völlig an der Realität der Nutzer vorbeigeht, die wir
|
||
möglicherweise überzeugen wollen.
|
||
|
||
Kommentar Frank Nord Ende
|
||
|
||
-\> Welche Daten fallen bei der Nutzung von Facebook so an?
|
||
-\> Was kann man daraus so machen?
|
||
-\> Wer bekommt diese Daten wofür?
|
||
-\> Welche Daten kauft Facebook sonst noch?
|
||
|
||
-\> Wer sind andere Player, welche Produkte könnten noch betroffen
|
||
sein?
|
||
|
||
-\> Ähnliches Programm gab es auch in Deutschland (wo war das gleich, wo
|
||
man einen Facebook API Key spenden konnte und dann damit geschaut wird,
|
||
wer welche Wahlwerbung angezeigt bekommt?)
|
||
|
||
Diskussion: Ist Transparenz der Schlüssel zum Erfolg? PostPrivacy vs.
|
||
Datenschutz
|
||
|
||
- Privatperson
|
||
- Kandidat oder Firma
|
||
|
||
"Private Daten schützen, öffentliche Daten nützen"
|
||
|
||
Alternativen zu Facebook?
|
||
|
||
- falsch gehende Uhren und die schwankende Netzfrequenz
|
||
-
|
||
<https://www.theguardian.com/technology/2018/mar/20/child-abuse-imagery-bitcoin-blockchain-illegal-content>
|
||
|
||
**-\> Es gibt auch noch eine fertig vorbereitete IoT-Sendung, welche es
|
||
nicht in den Podcast geschafft hat**
|
||
|
||
## Februar 2018
|
||
|
||
Sendungstitel "Das S in IoT steht für Sicherheit" (Thema IoT
|
||
allgemein).
|
||
|
||
Übersetzung
|
||
Definition: Vision einer globalen Infrastruktur der
|
||
Informationsgesellschaften, die es ermöglicht, physische und virtuelle
|
||
Gegenstände miteinander zu vernetzen und sie durch Informations- und
|
||
Kommunikationstechniken zusammenarbeiten zu lassen
|
||
(<https://de.wikipedia.org/wiki/Internet_der_Dinge> )
|
||
|
||
Beispiele:
|
||
|
||
Eingangsbereich:
|
||
- Videokameras
|
||
- Automatische Schlösser
|
||
- Bewegungsmelder
|
||
- ferngesteuerte Steckdosen z.B. FritzBox
|
||
|
||
**-** Amazon Echo and Echo Dot "Alexa"
|
||
- Apple HomeKit "Siri"
|
||
- Google Home "OK Google"
|
||
|
||
Wohnzimmer:
|
||
- Heizungssteuerung (Nest) Thermostate
|
||
**-** Logitech Harmony Elite
|
||
- Philips Hue (mit deren Batterielosen Schaltern) / MiLight / gibt
|
||
auch ESP Varianten
|
||
- Staubsaugerroboter
|
||
|
||
- Küche:
|
||
- Thermomix(Thermofix), Waagen, Kochtöpfe, Eierkocher/Waagen
|
||
- Kühlschränke mit Internet ---\> unsere Matemat
|
||
- Kaffeemaschinen
|
||
|
||
Bad:
|
||
- intelligente Toilette
|
||
- Amazon Dash Button
|
||
- Smarte Waage (Withings WiFi Body Scale Digitale Personenwaage)
|
||
- <https://www.prolixium.com/mynews?id=915> nichtmal HTTPS!
|
||
- Waschmaschine
|
||
|
||
Garten:
|
||
- Rasenmäherroboter, Poolreinigung, Gartenbewässerung
|
||
- Eierverschenkmaschine
|
||
- Feinstaubmessgeräte
|
||
<https://luftdaten.info/>
|
||
- Temperaturfühler, Wetterstationen
|
||
|
||
- Smartphones mit Geofencing
|
||
- Smarte Spiegel
|
||
- FitBit
|
||
- Autonome Fahrzeuge
|
||
|
||
**Bedeutung für die Gesellschaft**
|
||
- Datenschutz (Wem gehören die Daten? Warum werden sie überhaupt
|
||
gesammelt?)
|
||
- "Wo ein Trog ist, kommen die Schweine"
|
||
- Hoheit über die Privatsphäre in den eigenen vier Wänden
|
||
- Smartphone als eh vorhandene Wanze?
|
||
- Updatebarkeit
|
||
- Laufzeit der Software
|
||
- Sicherheitslücken (z.B UDP Wellen für Denial of Service Attacken)
|
||
- IPv4 vs. IPv6 Adressverbrauch
|
||
- IPv4 (2^32 = 256^4 = 4.294.967.296), von denen 3.707.764.736
|
||
verwendet werden können, um Computer und andere Geräte direkt
|
||
anzusprechen.
|
||
- IPv6 Vergrößerung des Adressraums von IPv4 mit 2^32 (≈ 4,3
|
||
Milliarden = 4,3·10^9) Adressen auf 2^128 (≈ 340 Sextillionen =
|
||
3,4·10^38) Adressen bei IPv6, d. h. Vergrößerung um den Faktor 2^96
|
||
(≈7,9·10^28). (bisher nur bei 30% der Zugriffe auf google.com benutzt)
|
||
<http://www.thomas--schaefer.de/HochschuleninDeutschlandmitinternet.html>
|
||
|
||
***\[Musik\]***
|
||
|
||
**Technik dahinter: 3 Wege: Kaufen und Nutzen, Bestehendes Öffnen oder
|
||
Komplett Selberbauen:**
|
||
|
||
- Original Xiaomi MIJIA Mi Roboter
|
||
- 34c3 "Unleash your smart-home devices: Vacuum Cleaning Robot
|
||
Hacking"
|
||
- Lücke sind schlecht signierte Updates md5 hashes \o/
|
||
- Dustcloud (in /etc/hosts anstatt der "richtigen Cloud"
|
||
- Player Stage Framework (vorläufer von ROS)
|
||
- gute Wegfindung
|
||
- eigene MP3s
|
||
- Abhörbefehl in der Software fürs WLAN
|
||
- Upload der Wohnungskarten auf 5cm genau (+ Log Dateien)
|
||
<https://fahrplan.events.ccc.de/congress/2017/Fahrplan/events/9147.html>
|
||
- Feinstaubsensor:
|
||
|
||
- Matemat
|
||
|
||
- Smartmirror:
|
||
venezianisches Spiegel (wie bei der Polizei)
|
||
- Raspberry Pi Einplatinenkomputer 12,5 Millionen mal verkauft,
|
||
ähnlich viel wie C64
|
||
- Alter Monitor
|
||
- Magic Mirror OS
|
||
|
||
HQ Schalter
|
||
LED Streifen
|
||
|
||
- FitBit
|
||
- Lücke sind schlecht signierte Updates
|
||
- BLE
|
||
- 34c3 "Doping your Fitbit"
|
||
|
||
**DIY-IoT: Was braucht man, wo fängt man an?**
|
||
|
||
-\> Arduino Projekt + Ethernet/Wifi Shield
|
||
- Name: Das erste Board wurde 2005 von Massimo Banzi und David
|
||
Cuartielles entwickelt. Der Name „Arduino“ wurde von einer Bar in Ivrea
|
||
übernommen, in der sich einige der Projektgründer gewöhnlich trafen.
|
||
(Die Bar selbst wurde nach Arduin von Ivrea benannt, der von 1002 bis
|
||
1014 auch König von Italien war.)\[4\] David Mellis entwickelte die auf
|
||
C/C++ basierende Diktion dazu. Das Schema wurde im Netz veröffentlicht
|
||
und unter eine Creative-Commons-Lizenz gestellt. Die erste Auflage
|
||
betrug 200 Stück, davon gingen 50 an eine Schule. Bis 2008 wurden etwa
|
||
50.000 Boards verkauft
|
||
-\> Atmel-AVR-Mikrocontroller aus der megaAVR-Serie wie dem
|
||
ATmega328
|
||
- Programmierung in C-Slang, oder Visuell, oder anderer
|
||
runtercompilter Programmiersprache
|
||
|
||
-\> GPIO erklären (general purpose input output)
|
||
|
||
-\> ESP8266 - ESP32
|
||
|
||
-\> Webcam am PC
|
||
|
||
-\> Raspberry Pi (Zero W) -\>
|
||
|
||
PentaLight
|
||
PentaBug
|
||
Pentablink
|
||
|
||
Great Scott
|
||
Alexander Spieß
|
||
Defendtheplanet.net :)
|
||
|
||
Softwarebrücken:
|
||
If this than that (IFTT)
|
||
MQTT
|
||
Eigener Webserver
|
||
|
||
\#InternetOfThings is when your toaster mines bitcoins to pay off its
|
||
gambling debts to the fridge
|
||
<https://chemnitzer.linux-tage.de/2018/en/programm/vortraege>
|
||
|
||
## Januar 2018
|
||
**Sendungstitel: Prozessor gib mir alle deine Daten! (Meltdown und
|
||
Spectre)**
|
||
Willkommen zur ersten Folge Pentaradio 2018
|
||
|
||
**News**
|
||
|
||
- Es war Congress
|
||
- Danach kamen Spectre und Meltdown
|
||
- Vorstellung Gast
|
||
- Pentaradio übernimmt coloRadio-TKs jeden vierten Dienstag im Monat :P
|
||
|
||
**Thema Meltdown / Spectre**
|
||
|
||
- Geschichte
|
||
- Weg von der Endeckung bis zur Veroeffentlichung
|
||
- Technische Details
|
||
- Seitenkanal attacke Unterschied zum Exploit
|
||
- speculative execution
|
||
- out-of-order execution
|
||
- Prozessor Schutzmechanismen
|
||
- Konkretes Problem im Prozessor und Exploit
|
||
- Wer ist betroffen
|
||
- fast jeder da Hardware-Lücke (Meltdown Intel, Spectre viele mehr)
|
||
- nicht nur x86 auch ARM und Power
|
||
- Exploits
|
||
- schwer zu erkennen
|
||
- Debug von Software auf gehäufte "Syscalls", weil Caching etc
|
||
erforced werden?
|
||
- Gegenmassnahmen
|
||
- KAISER / KPTI - Updated euere Betriebssysteme
|
||
- Updatet Browser und Grafikkartentreiber
|
||
- Virenscanner? (Sollten wir zumindest nennen, falls Laien nicht schon
|
||
verloren wurden)
|
||
- Microcode patches koennen unter Linux zur Laufzeit ausrollen
|
||
- Microsoft und Apple kann das nicht. Da muesste der Nutzen ein BIOS
|
||
Update machen um ein Microcode update zu erhalten.
|
||
- 1000 Usablitiy Sternchen fuer Linux \o/
|
||
- (Oder auch nicht? Einige Updates werden gerade zurückgezogen)
|
||
- <https://www.heise.de/newsticker/meldung/Meltdown-und-Spectre-Intel-zieht-Microcode-Updates-fuer-Prozessoren-zurueck-3948447.html>
|
||
- Schadensbeseitgung
|
||
- Prozessor Patchen
|
||
- Betriebssystem Update
|
||
- Compiler Update
|
||
- Alle Anwendungen neu uebersetzen
|
||
- Performance Implikationen
|
||
- TLB-Flushes durch context switches
|
||
- syscalls
|
||
- IPC
|
||
- I/O
|
||
- reine compute performance ist nicht so betroffen
|
||
- Folgen fuer die Prozessorhersteller und Prozessoren der Zukunft
|
||
- x86 ist end of live
|
||
- Prozessordesign mit Security als Anforderung ist notwendig
|
||
- <http://libresilicon.com/>
|
||
- Zukunft solcher Attacken - mehr Hardware Bugs
|
||
- Das ist erst der Anfang, es wird noch viel mehr side-channels geben
|
||
in der Zukunft
|
||
- Gute Schlussfolgerungen
|
||
|
||
Wir brauchen offene Hardware und offene Software fuer alles und alle!
|
||
|
||
Vorschläge:
|
||
- einem 2017 IT-Jahresrückblick (schlimmste Lücken, Probleme, beste
|
||
Neuigkeiten)
|
||
- Robot Operating System (ROS)
|
||
-
|
||
<https://defendtheplanet.net/2014/11/06/a-short-introduction-into-ros/>
|
||
|
||
- Alles Scheiße - Lass uns ranten…
|
||
- Wikipedia
|
||
- Mobilfunk (Deutschland, andere Länder)
|
||
- Vectoring
|
||
- Netzpolitik
|
||
- Cyber
|
||
|
||
## Dezember 2017
|
||
**Sendungstitel: NEIN.NEIN.NEIN.NEIN. (DNS und quad9)**
|
||
Willkommen zum Pentaradio Folge
|
||
\* Kurze Anmerkung aus der letzten Sendung:Google evtl. nicht alle TOR
|
||
Nodes :)
|
||
\* Einleitung - Wo sind wir: Eigenbaukombinat, denn es ist Congress in
|
||
Leipzig 27.12.
|
||
\* Kühlraum des Fleischkombinats in Halle
|
||
\* Anlass für die heutige Sendung ist das neugegründeten DNS Provider
|
||
Quad9
|
||
DNS Provider?
|
||
\* Wie komme ich zu einer Webseite wenn ich das im Browser eintippe?
|
||
Probleme: Wo im Internet ist <https://eigenbaukombinat.de?> Spreche ich
|
||
wirklich mit C3D2.de ?
|
||
|
||
- Pakete (7-Schichtmodell)
|
||
- Physikal am Bsp. Webseite Kupfer 1500(?), Funk (2,312bytes?),
|
||
CAN-Bus,
|
||
- DataLink am Bsp. Webseite EthernetFrames / Fast Ehternet / PPP
|
||
(danach nur noch 1.492) / FDDI, Token Ring etc
|
||
- Network am Bsp. Webseite IPv4((inkl. ICMP ARP RARP) IPv6 IPSec IPX
|
||
RIP
|
||
- Transport am Bsp. Webseite TCP / UDP -\>
|
||
- ---- Wo ist denn mein Kommunikationspartner im Internet???? --\> DNS
|
||
- (Session am Bsp. Webseite & Transportation am Bsp. Webseite)
|
||
- Application am Bsp. Webseite FTP, HTTP, POP3, IMAP, telnet, SMTP,
|
||
DNS, TFTP
|
||
- Überleitung: in den Paketen stehen dann nur Nummern, keine www.c3d2.de
|
||
- DNS Domain Name System
|
||
- Telefonbuch des Internets
|
||
- Was steht da so drin?
|
||
- A Record 217.197.84.51
|
||
- AAAA Record 2001:67c:1400:2240::3
|
||
- TXT "v=spf1 mx -all"
|
||
- NS (Secondary Nameserver)
|
||
- MX MX 10 mail.c3d2.de.
|
||
- SOA?
|
||
- ISDN :)
|
||
- dig +nocmd defendtheplanet.net any +multiline +noall +answer
|
||
- Anfällig gegen Zensur
|
||
- Normalerweise durch den provider angeboten
|
||
- Telekom Suchseite
|
||
- Kabeldeutschland?
|
||
- manchmal etwas langsam
|
||
- Es gibt auch Alternativen:
|
||
- Telekom (langsam, zensiert)
|
||
- Comodo, Yandex, Verisign, Norton,
|
||
- OpenDNS (Cisco?)
|
||
- 8.8.8.8 (manchmal als Grafitti an der Wand, weil lokale Provider
|
||
zensiert)
|
||
- Google DNS (bzw. 8.8.4.4)
|
||
- Discuss
|
||
- <https://jussiparikka.files.wordpress.com/2014/03/bjpcj1diqaazkgm.jpg>
|
||
|
||
- <https://www.quad9.net> ( 9.9.9.9 )
|
||
- 100+ nodes
|
||
- 2620:fe::fe
|
||
- 9.9.9.9
|
||
- Unsecure Option (No blocklist, no DNSSEC, send EDNS Client-Subnet)
|
||
- 2620:fe::10
|
||
- 9.9.9.10
|
||
- sind schnell
|
||
- soll vor Botnetzattacken, Malware, Download-Seiten schützen
|
||
- Kein-Logging
|
||
- <https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alternative-zum-Google-DNS-3890741.html>
|
||
- <https://www.theinquirer.net/inquirer/news/3021536/ibm-teams-with-global-cyber-alliance-to-launch-quad9-a-free-public-domain-name-service-system>
|
||
- als Collaborationspartner zählen
|
||
- PCH (Packet Clearing House)
|
||
- non profit research institute von 1994
|
||
- steckten 2013 in 1/3 der 350 weltweiten Internet exchange
|
||
Points
|
||
- arbeiten daran ROOT-DNS stabiler, schneller, sicherer zu
|
||
machen
|
||
- geben workshops etc
|
||
- bieten Peerings an 164 Internet Exchange Points
|
||
- Partners und Geldgeber
|
||
- Cisco
|
||
- LevelOne
|
||
- Comcast
|
||
- CBS Interact
|
||
- Verizon
|
||
- VMWare
|
||
- amsix
|
||
- decix
|
||
- amazon
|
||
- Goldman Sachs
|
||
- United Nations Development Programm (UNDP)
|
||
- Global Cyber Alliance
|
||
- Partner
|
||
- United States Secret Service
|
||
- CERT EU (weil BSI usw)
|
||
- Frauenhofer Aisec (Angewandte integrierte Sicherheit)
|
||
- NH-isac
|
||
- Prometeus (wurden kurz vor Quad 9 gegründet)
|
||
- Banken VirginMoney - komisch
|
||
- Sophos
|
||
- industry
|
||
- Lockheed Martin
|
||
- Goverment
|
||
- City of London Police
|
||
- France Ministry of Justice: Division of Criminal Affairs &
|
||
Pardon
|
||
- France National Police
|
||
- Manhattan District Attorney’s Office
|
||
- Multi-State Information Sharing and Analysis Center
|
||
- National Information Technology Authority – Uganda
|
||
- New York City Department of Information Technology and
|
||
Telecommunications (NYC DOITT)
|
||
- Procureur de la Republique Paris
|
||
- Sioux County, Iowa
|
||
- United States Secret Service
|
||
- IBM (International Business Machines)
|
||
- IBM Funding (insgesamt 25 Milllion Dollars)
|
||
- Warum machen die Das?
|
||
- IBM X-Force
|
||
- commercial security research
|
||
- 32 Milliarden Analysed Web Pages and images
|
||
- 8 M Spam and Fishing
|
||
- IBM X-Force Exchange is a threat intelligence sharing platform
|
||
- Kritik:
|
||
- "White- und Gold"-Listen für die Großen
|
||
- Das Versprechen einer DNS Firewall
|
||
- Alternativen
|
||
- Https-everywhere als SSL-Pinning (sobald erster Versuch durch ist)
|
||
- TOR?
|
||
- DNSMasq
|
||
- eigener DNS Server für Organisation / WG / Familie
|
||
|
||
--- optional ---
|
||
|
||
- Congress 34C3
|
||
- Wann und Wo?
|
||
- Vorträge auf die man sich freut
|
||
- Intel Managing Engine
|
||
- KRACK
|
||
- keine FnordNewsShow?!?!
|
||
- Assemblies
|
||
- TUWAT.txt
|
||
|
||
Daß die innere Sicherheit erst durch Komputereinsatz möglich
|
||
wird, glauben die Mächtigen heute alle. Daß Komputer nicht streiken,
|
||
setzt sich als Erkenntnis langsam auch bei mittleren Unternehmen durch.
|
||
Daß durch Komputereinsatz das Telefon noch schöner wird, glaubt die Post
|
||
heute mit ihrem Bildschirmtextsystem in "Feldversuchen" beweisen zu
|
||
müssen. Daß der "personal computer" nun in Deutschland den
|
||
videogesättigten BMW-Fahrer angedreht werden soll, wird durch die nun
|
||
einsetzenden Anzeigenkampagnen klar. Daß sich mit Kleinkomputern
|
||
trotzalledem sinnvolle Sachen machen lassen, die keine zentralisierten
|
||
Großorganisationen erfordern, glauben wir. Damit wir als Komputerfrieks
|
||
nicht länger unkoordiniert vor uns hinwuseln, tun wir wat und treffen
|
||
uns am 12.9.81 in Belin. Wattstr. (TAZ-Hauptgebäude) ab 11:00 Uhr. Wir
|
||
reden über internationale Netzwerke – Kommunikationsrecht – Datenrecht
|
||
(Wem gehören meine Daten(?) – Copyright – Informations- u. Lernsysteme –
|
||
Datenbanken – Encryption – Komputerspiele – Programmiersprachen –
|
||
processcontrol – Hardware – und was auch immer.
|
||
Tom Twiddlebit, Wau Wolf Ungenannt(-2)
|
||
|
||
|
||
## November 2017
|
||
|
||
**\* neue Onion-Services ((Zwiebel)dienste 3.0)**
|
||
|
||
An wen richten wir uns?
|
||
- an die Szene und an die Leute von Außerhalb, beide sollen vom Radio
|
||
nicht verschreckt werden
|
||
|
||
TODO
|
||
|
||
- honky
|
||
- \[x\] kürzbare (z.B. ohne Text) Music raussuchen - so 5 Stück mit
|
||
Autor
|
||
- <https://www.openbsd.org/lyrics.html>
|
||
- freemusicarchive top 100
|
||
- \[x\] Onion Service 5 Satz Erklärung
|
||
- ~~Simon~~
|
||
- ~~Anfänge von Tor wo Navy drauf aufsetzt~~
|
||
- ~~Ich hab nichts gefunden .... lassen wir dann wohl weg~~
|
||
|
||
- Was ist Tor?
|
||
- anonymes Internet im Internet
|
||
- ~~\*hand wave\* Deep web \*still waving\* Dark Web~~
|
||
- ~~Tor kann derzeit theoretisch 200GB/s pushen, effektiv ist es
|
||
weniger als die Hälfte~~
|
||
- ~~davon sind etwa 3% Onion Service Traffic~~
|
||
- ~~in Zahlen: \~1GB/s~~
|
||
- ~~Das ist ein Schneeball vom Eisberg~~
|
||
- ~~Ein Zählung der Onion Adressen
|
||
(~~[~~https://metrics.torproject.org/hidserv-dir-onions-seen.html)~~](https://metrics.torproject.org/hidserv-dir-onions-seen.html))
|
||
~~ergibt ähnliches~~
|
||
- Funktionsweise
|
||
- als Nutzer einfach runterladen, ein Firefox ohne Install
|
||
- Zwiebelschalenprinzip
|
||
- Verteilung von Traffic auf verschiedene Relays
|
||
- Gründe für Tor
|
||
- Politische Systeme / Zensur, Überwachung
|
||
- Werbenetzwerke / Malware
|
||
- Diversität der Nutzerschaft (nicht nur politische Aktivisten!)
|
||
- Geschichte Tors
|
||
- Ausgangspunkt: »Untraceable electronic mail, return addresses, and
|
||
digital pseudonyms« von Chaum
|
||
- Später anon.penet.fi von Julf Helsingius
|
||
- danach Cypherpunks-Remailer und Mixmaster-Remailer als praktische
|
||
Anwendungen
|
||
- Pfitzmann mit ISDN-Mixen
|
||
- Einer der ersten Ideen zu Tor is »Hiding Routing Information« von
|
||
Goldschlag, Reed und Syverson
|
||
- Ursprungsidee aus Slovenien? 87/88 Mailboxen?
|
||
- von ~~Navy Geheimdienst~~ Naval Research Lab (Forschungszweig der
|
||
US Navy und USMC)
|
||
<https://en.wikipedia.org/wiki/United_States_Naval_Research_Laboratory>
|
||
- dann der Community übergeben
|
||
- seit 15 Jahren in freier Hand und
|
||
- überprüft und vertrauenswürdig
|
||
- 200Gbit/s advertised Bandwith / 100 genutzt / 3% davon Onion Service
|
||
- Anzahl der Nutzer
|
||
- Gründe gegen Tor
|
||
- Performance (in Deutschland und USA geringeres Hindernis als in
|
||
Asien/Afrika)
|
||
- Einschränkungen bei der Nutznug
|
||
- Google Captchas --\> <https://privacypass.github.io/>
|
||
- Wikipedia nicht editierbar; Man kann Beantragen, dass der eigene
|
||
Account von den IP-Blockierungen ausgenommen wird
|
||
- weil man was anderes nutzt und das dem Zweck genügt
|
||
- SPAM Lister
|
||
- Tor is not foolproof
|
||
- opsec mistakes
|
||
- browser metadata fingerprints (chrome has proxy bypasses by
|
||
design)
|
||
- browser exploits
|
||
- traffic analysis
|
||
- Mythen über Tor
|
||
- Navy wrote it ("Dingledine did it") ... but partly at NRL
|
||
- NSA runs half the relays (they simply don't and if they don't have
|
||
an incentive)
|
||
- Tor is slow (it was but it's fasten when more happen to use it)
|
||
- 80% of Tor users are doing bad things (normal users at 80% mostly
|
||
facebook und google)
|
||
- Nur 3% des Tor traffics sind onion services (Mai 2017)
|
||
- <https://www.youtube.com/watch?v=AkoyCLAXVsc>
|
||
- doing it, makes NSA watching me (they are watching anything)
|
||
- i heard Tor is broken
|
||
|
||
- Onion Services
|
||
- Beispiele
|
||
- Protokolle (http,https,ssh,irc,mail,…); Tor ist egal, was du
|
||
transportierst (solange es TCP ist)
|
||
- Secure Drop (New Yorker Strongbox, Guardian etc) WhistleBlowing
|
||
Plattforms
|
||
- Ricochet/briar/Tor Messenger, decentralised instant message; Jeder
|
||
Nutzer ist ein onion service sind
|
||
- <https://en.wikipedia.org/wiki/Tor_(anonymity_network)#Tor_Messenger>
|
||
- OnionShare OneTime-Website for Sharing files as e.g. Journalist
|
||
- anonymous Updates (z.B. für Debian-Packete) apt-tor-transport
|
||
- Facebook (largest "deep web" site) 1 Million people use Facebook
|
||
over tor April 2016
|
||
- <https://facebookcorewwwi.onion> will direct tracking canvas
|
||
malen :D
|
||
- Arbeitgeber soll nicht sehen, dass ich den ganzen Tag nur
|
||
Facebook nutze ;-)
|
||
- NYTimes
|
||
- <https://www.nytimes3xbfgragh.onion/>
|
||
- Google
|
||
- Benutzung durch z.B. zensierende Systeme
|
||
- <https://metrics.torproject.org/userstats-relay-table.html>
|
||
- Funktionsweise
|
||
- Step 1: Bob picks some introduction points and builds circuits to
|
||
them
|
||
- Step 2: Bob advertises his hidden service XYZ.onion at the Database
|
||
"in the sky" (HSDIR all 96 hour relays)
|
||
- Step 3: Alice hears that XYZ.onion exists and she requests more info
|
||
at the database. She also sets up a rendevous point at a non IP
|
||
relay.
|
||
- Step 4: Alice writes a message to Bob (encrypted to PK) listing the
|
||
rendevous point and a one-time secret and asks an introduction point
|
||
to deliver it to bob
|
||
- Step 5: Bob connects to the Alice's rendezvous point and provides
|
||
her one-time secret (handshake + encryption)
|
||
- Step 6: Bob and alice proceed to use there tor circuits like
|
||
normal
|
||
|
||
Zusammenfassung der Funktionsweise in wenigen Sätzen:
|
||
|
||
Bob möchte für eine in seinem Land Absurdistan verbotene
|
||
Demo/Partei/Religion eine unsperrbare Webseite anbieten. Hierfür legt er
|
||
auf einem Server einen Onion-Service an, welcher sich eine Adresse
|
||
generiert und es an 3-bzw.6 Relays (den Knotenpunkten des Tor
|
||
Netzwerkes) bekannt gibt - die sogenannten Introduction Points.
|
||
Anschließend druckt er diese Adresse auf einen Zettel und verteilt
|
||
diesen in seiner Gruppe/Partei/Gemeinde.
|
||
|
||
Alice bekommt einen dieser Zettel und tippt die Adresse in ihren
|
||
Tor-Browser. Dieser kann anhand der Adresse und dem HSDir einen der 3.
|
||
bzw. 6 Introduction Points kontaktierten. Außerdem gibt Alice ein
|
||
anderes Relay als Treffpunkt mit (Rendevouz Point) vor und unterschreibt
|
||
alles kryptografisch. Der kontaktierte Introduktionpoint gibt Bobs
|
||
Onion-Service die Information "Da ist jemand, der deine Daten will und
|
||
er wartet übrigends an Rendevouz Point dort drüben". Nun kontaktiert
|
||
Bobs Service den RP und kann durch die Signatur beider Services
|
||
sicherstellen nur mit Alice zu kommunizieren.
|
||
|
||
Vorteile des Systems:
|
||
- Alice kennt die Adresse/Guard von Bob nicht.
|
||
- Bob kennt die Adresse/Guard von Alice nicht.
|
||
- der Introductionpoint weiß nicht ob und welche Daten ausgetauscht
|
||
wurden.
|
||
- der Rendevouz Point weiß nichts von Alice und Bob
|
||
- niemand in Absurdistan kann wissen, was über Bobs Seite ausgetauscht
|
||
wurde, selbst wenn der Geheimdienst tor exit nodes betreibt.
|
||
|
||
|
||
Cool things about it: Rendezvous Point doesn't know who alice or bob is,
|
||
it is beeing used once knows nothing
|
||
|
||
- Neuerungen (am besten auf das Beispiel beziehen)
|
||
- each onion service picks 6 tor relays each day uses HS Directory
|
||
- \#1 old onion keys are weak
|
||
- was first 80 bits of SHA-1 of the 1024-bit RSA key (each word is
|
||
bad news) short 16 chars
|
||
- now: ED25519 long 52 chars (ed25519 public key base32 encoded)
|
||
- \#2 Global shared random value (not predictable)
|
||
- HSDir relays were predictable, and therefore bad guy runs 6 relays
|
||
that would have been picted
|
||
- \#3 new crypto hides the address
|
||
- HSDirs get to learn onion addresses by running relays and learn
|
||
unpublished onion addresses
|
||
- now signing by subkey
|
||
- implizites Signing
|
||
- \#4 Rendevouz single onion services
|
||
- 3hops by alice just one hop for bob (which can be located)
|
||
- e.g. for Facebook, debian, …
|
||
- \#5 Guard discovery is a big deal
|
||
- Tor client uses a single relay (called guard) for the first hop
|
||
- really bad for onion services
|
||
- really good against other attacks -\>
|
||
- Vanguards proposel
|
||
- <https://www.youtube.com/watch?v=AkoyCLAXVsc>
|
||
|
||
|
||
|
||
- Motivation
|
||
- Erreichbarkeit
|
||
- NAT Punching
|
||
- Anonymität != Verschlüsselung
|
||
- "We kill people based on metadata"
|
||
- Anbieter des Service
|
||
- Nutzer des Service
|
||
- Serverzugriff
|
||
- Angriffe auf Onion Services
|
||
|
||
- Tor Adresse vorlesen
|
||
- Wohin soll diese zeigen?
|
||
-
|
||
|
||
\* Warum nutzen wir Tor?
|
||
|
||
\* congress vom 27.-30. in Leipzig
|
||
\* congress everywhere
|
||
\* chaosZone assembly
|
||
|
||
Links:
|
||
Vortrag: <https://www.youtube.com/watch?v=Di7qAVidy1Y>
|
||
auch gut: <https://www.youtube.com/watch?v=AkoyCLAXVsc> (ab Minute 30)
|
||
|
||
<https://metrics.torproject.org/>
|
||
<https://metrics.torproject.org/bandwidth.html?start=2000-01-01&end=2017-11-22>
|
||
\<- 200 GBit/s advertised, 100 GBit/s used)
|
||
<https://metrics.torproject.org/hidserv-dir-onions-seen.html> \<- 1 to 2
|
||
GBit/s used for onion traffic
|
||
<https://www.heise.de/newsticker/meldung/IETF-Streit-ueber-Verschluesselung-Darfs-ein-bisschen-weniger-sein-3889800.html>
|
||
<https://trac.torproject.org/projects/tor/wiki/doc/NextGenOnions>
|
||
<https://blog.torproject.org/tors-fall-harvest-next-generation-onion-services>
|
||
<https://github.com/katmagic/Shallot> \<- onion address (version 2)
|
||
berechnen
|
||
für die Zukunft
|
||
<https://www.anon-next.de/>
|
||
|
||
|
||
## Oktober 2017
|
||
|
||
## September 2017
|
||
\* Entfallen wegen Fnord
|
||
|
||
## August 2017
|
||
\* Lief eine Folge von Damals TM
|
||
\*
|
||
<http://damals-tm-podcast.de/index.php/2017/07/28/dtm044_fernschreiber/>
|
||
|
||
## Juli 2017
|
||
|
||
**\* Was sonst noch in unseren Rechnern steckt**
|
||
|
||
- Block 1:
|
||
- Hardware
|
||
- Einleitung zum Themen-Beispiel: Intel baut noch eine CPU (Intel
|
||
ME) auf seine Mainboards, die man weder auditen noch abschalten
|
||
kann, die aber Netzwerkzugriff hat.
|
||
- Nicht auditierbare Prozessoren in Handys (Baseband etc)
|
||
- Openmoko
|
||
- Trusted-Platfrom-Chips (separater Chip der sagt, was gut und was
|
||
schlecht ist)
|
||
- Hersteller?, unauditierbar
|
||
- Drucker hinterlässt unique Fingerprint beim Drucken
|
||
- Smartphones: Sensoren verraten viele kombinierbare Daten über
|
||
Nutzer
|
||
- Autos: regelmäßige Standortmeldungen (Kundenservice) -\> kann aber
|
||
im Notfall auch helfen
|
||
- Navis loggen die Position, auch wenn sie nicht aktiv sind
|
||
- Versteckte Webinterfaces/Wartungszugänge (Router -\> Telekom!,
|
||
IoT, Webcams…)
|
||
- (Windräder-Steuerungen über unsichere Webinterfaces, Smart Grid
|
||
vgl. IoT) NICHT SICHER
|
||
- Software
|
||
- Kleinweich macht, dass man in Windows10 Cortana nicht mehr
|
||
deaktivieren kann, inkl. Mikrofonzugriff
|
||
- Datensammlung von Handy-Sensoren
|
||
- Secure Boot (nur signierte Sachen starten, aber Fail weil Keys im
|
||
Netz gelandet...) \<\< welcher Key
|
||
- Amazon Alexa und ähnliche
|
||
- Roombas kartieren die eigene Wohnung (Geschäftsidee: API für
|
||
IKEA), Internet of Shit
|
||
- Google recaptcha trainiert Bildererkennungs-Algos
|
||
- Smartphones:
|
||
- OK Google (Now)
|
||
- Smartphones scannen nach Wifi-Netzen, Location durch Wifi-Ortung
|
||
(manche Browser machen das auch) -\> verbessert aber dafür
|
||
Lokalisierung, zusätzlich zu GPS
|
||
- IDEs und Libs bauen Dinge in Software, von denen weder Entwickler
|
||
noch User etwas wissen, teils von Herstellerseite, teils weil
|
||
manipulierte in Umlauf gebracht wurden
|
||
- Libraries, die vllt Open Source sind, aber nicht gecheckt werden
|
||
(Beispiel Javascript/Einbinden fremder Quellen?)
|
||
- Websites, die SaaS-Backends verwenden (Dropbox, hosted in USA)
|
||
- Warum ist das eigentlich schlecht? (Datenschutz, Integrität,
|
||
Zuverlässigkeit, Einfallstor für Malware)
|
||
- Warum wird das eingebaut? Bessere Produkte durch Personalisierung,
|
||
Management von großen Netzwerken
|
||
- Block 2: Beispiel Intel Management Engine
|
||
- Gehört zur vPro-Produktfamilie, ist der Hardware-Chip, welcher von
|
||
anderen Features verwendet wird
|
||
- Coprozessor direkt am NIC, always-on, Mikrokernel, Zugriff auf CPU,
|
||
RAM, NIC
|
||
- Eigene Firmware, root of trust ist eingebrannter Intel-Signierkey
|
||
- Alternativen: AMD Secure Processor, ARM TrustZone
|
||
- TPM, DRM (PAVP, auch mit Cloud-Anbindung, kopiert dann encrypted
|
||
video direkt in GPU), MEI-Treiber für Windows für Java-Applets in
|
||
DAL
|
||
- Probleme:
|
||
- Unverhältnismäßigkeit
|
||
- Erfolgreiche Attacken
|
||
- 2009: „Ring -3“ rootkits by Invisible Things Lab. Targets memory
|
||
remapping in Series 3
|
||
- 2010: „Zero touch“ enforced configuration by Vassilios Ververis.
|
||
Targets unsecured deployment via DHCP in Series 4
|
||
- Mai 2017: „Silent Bob is Silent“ by Maksim Malyutin from Embedi.
|
||
Exploits broken HTTP digest authentication in AMT
|
||
- Juni 2017: Misuse of Serial over LAN (SOL) by the PLATINUM
|
||
group. Redirects malware traffic on compromised host through ME,
|
||
bypassing OS firewall
|
||
- Patching ein Problem
|
||
- Kaufen von gebrauchter Hardware ist ein Problem, AMT könnte
|
||
provisioned sein (CompuTrace)
|
||
- ME könnte missbraucht werden
|
||
- Signaturkey könnte geknackt/gestohlen werden und Malware als
|
||
Applets in der ME landen
|
||
- Schutz
|
||
- Ausschalten der ME meist nicht möglich, wenn dann nur
|
||
Software-„Versprechen“, Funktionalität muss von BIOS implementiert
|
||
werden
|
||
- Hardwarezugriff auf Speicherchip ist nur mit speziellen
|
||
Kenntnissen möglich
|
||
- Gesetze, Regularien…
|
||
- Keine Produkte kaufen, die den Kunden so in Gefahr bringen
|
||
- Pros
|
||
- Management-Features für Firmen
|
||
- Trusted Computing gegen Malware
|
||
- Block 3:
|
||
- Was sind Audits?
|
||
- Warum sind die wichtig? (Admins müssen wissen was bei ihnen läuft)
|
||
- Anwender müssen Quellcode und Binary vergleichen können (was nützt
|
||
AGPL, wenn ich nicht den fremden Server einsehen kann?)
|
||
- Nur freie und offene system sind auditierbar (Verifizierbarkeit)
|
||
|
||
Siehe
|
||
<http://boingboing.net/2016/06/15/intel-x86-processors-ship-with.html>
|
||
<http://www.pcworld.com/article/3100358/windows/you-cant-turn-off-cortana-in-the-windows-10-anniversary-update.html>
|
||
<https://www.heise.de/security/meldung/Linux-Tueftler-wollen-Intels-Management-Engine-abschalten-3596075.html>
|
||
<https://www.scmagazineuk.com/debugging-mechanism-in-intel-cpus-allows-seizing-control-via-usb-port/article/630340/>
|
||
Hersteller der es anders machen will: <https://puri.sm/> bis hin zu RYF
|
||
Zertifizierung durch die FSF
|
||
<http://www.rubos.com/>
|
||
<https://www.heise.de/newsticker/meldung/Roomba-Hersteller-der-Staubsaugerroboter-will-Karten-der-Wohnungen-verkaufen-3782216.html>
|
||
<https://googleprojectzero.blogspot.de/2017/07/trust-issues-exploiting-trustzone-tees.html>
|
||
<https://www.intel.com/content/dam/www/public/us/en/documents/datasheets/9-series-chipset-pch-datasheet.pdf>
|
||
|
||
Musik
|
||
Empfehlung:
|
||
Opening: LukHash (den muss man aber ausspielen ;-) )
|
||
Mitte: Muciojad
|
||
ggf. noch StrangeZero
|
||
Ende: Krazis
|
||
|
||
## Mai 2017
|
||
|
||
### Thema OStatus
|
||
|
||
\* Abgrenzung Topologien verteilter Systeme: Föderiert != P2P
|
||
\* StatusNet als Twitter-Alternative
|
||
\* Linked Data, W3-Bemühungen
|
||
\* Super-erfolgreiches Crowdfunding: Diaspora, the Facebook Killa oder
|
||
halt auch nicht
|
||
\* Inkompatibilitäten
|
||
\* Neuer Hype: Mastodon
|
||
\* Spezielles Umfeld
|
||
\* Caching von Inhalten
|
||
\* Schwäche von federation: Inhalte müssen explizit zugestellt werden,
|
||
sonst nicht sichtbar
|
||
\*\* Hashtags
|
||
\*\* alteToots/ Posts
|
||
\* Pods ohne Aufsicht
|
||
\* die Zukunft: W3C und Activitypub
|
||
|
||
Shownotes:
|
||
|
||
- \[Hugs for Chelsea Sampler\](<https://hugsforchelsea.bandcamp.com/>
|
||
)
|
||
- \[Epicenter.works -aktiv für
|
||
Netzneutralität\](<https://epicenter.works/> )
|
||
- \[Irisscanner im Samsung Galaxy S8
|
||
ausgetrickst\](<https://media.ccc.de/v/biometrie-s8-iris-fun> )
|
||
- Musik: \[Kubbi - Ember\](<https://kubbi.bandcamp.com/album/ember> )
|
||
|
||
## April 2017
|
||
|
||
Musik: ParagonX9 - Chaoz Fantasy (8-bit)
|
||
<https://soundcloud.com/paragonx9/paragonx9-chaoz-fantasy-8-bit>
|
||
|
||
**Thema**
|
||
"Leaking NSA's and CIA's secrets - Shadow Brokers and Vault7"
|
||
|
||
**Begriffserkläungen / "Bingokarte"**
|
||
~~- Vault 7~~
|
||
~~- Confluence~~
|
||
~~- Shadow Brokers~~
|
||
~~- konstruierte Sprache~~
|
||
- ~~Wikileaks~~
|
||
- ~~Leak~~
|
||
~~- NSA~~
|
||
~~- CIA~~
|
||
- ~~Exploit~~
|
||
~~- Zero-Day~~
|
||
~~- Smart TV~~
|
||
~~- Wheeping Angel~~
|
||
- (Project Dark Matter)
|
||
~~- (Marble Framework)~~
|
||
- (Grashopper Framework)
|
||
- (HIVE)
|
||
~~- Snowden~~
|
||
- ~~Doublepulsar~~
|
||
- White Hat
|
||
- Black Hat
|
||
- ~~Solaris~~
|
||
~~- Kriminelle nutzen 0-days aus~~
|
||
- Microsoft patcht im März (vor Release)
|
||
~~- Updaten hilft~~
|
||
- Bezug zueinander
|
||
~~- SWIFT Hack~~
|
||
|
||
Veranstaltungshinweis:
|
||
<https://entropia.de/GPN17>
|
||
|
||
**Was ist was?**
|
||
Vault 7
|
||
- CIA, Wikileaks
|
||
Shadow Brokers
|
||
- NSA, Gruppe,..
|
||
- Anlehnung an...
|
||
|
||
**Einordung**
|
||
|
||
- Shadow Brokers / Vault 7 = Werkzeugkiste
|
||
- Snowden Leaks = Masterplan
|
||
|
||
**Was wurde eigentlich geleakt?**
|
||
|
||
- Vault 7 auf Wikileaks (CIA)
|
||
- Angriffe auf Endgeräte
|
||
- z.B. Samsung Smart TVs
|
||
<https://wikileaks.org/vault7/document/EXTENDING_User_Guide/EXTENDING_User_Guide.pdf>
|
||
- erklärt wie Exploits laufen
|
||
- erklärt wer die Infos kommen (NSA, UK, gekauft), wie lange es lief
|
||
<https://wikileaks.org/ciav7p1/cms/page_13205587.html>
|
||
|
||
- Shadow Brokers
|
||
- sieht nach internen Dokumenten aus .docs Ordner "not for release"
|
||
- keiner Hackergruppe, sondern Konstrukt
|
||
- sehr eigenartige Sprache
|
||
- immer auf komplett anderen Medien publiziert
|
||
- box.com, mega, Medium, Twitter und Github (NSA)
|
||
- vergleichbar mit Snowdenleaks, aber in Presse runter gespielt
|
||
- Welch Leaks gab es (Name, was für ein Angriff ist es)?
|
||
- eher auf Infrastruktur, Unis, Telcos
|
||
|
||
**Blick auf Mainstreampresse**
|
||
|
||
- Spiegel & co, Heise
|
||
|
||
**Reaktion in der Nerdszene**
|
||
|
||
großes Interesse, aber kaum Reflexion in der Nerdpresse, dafür um so
|
||
mehr in kleinen Blogs und Twitter
|
||
|
||
"Pressemitteilung":
|
||
<https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1>
|
||
|
||
Arbeit der Geheimdienste
|
||
NSA - strategische Ausrichtung
|
||
CIA - taktische Spoinage
|
||
|
||
CIA nennt Wikileaks einen "feindlichen Geheimdienst"
|
||
<https://www.heise.de/security/meldung/CIA-Chef-sieht-in-Wikileaks-einen-feindlichen-Geheimdienst-3686088.html>
|
||
|
||
Man sieht an den Exploits schön deren Ausrichtung und Arbeitsweise
|
||
Klar: Agencies horten Exploits, sie tauschen bestimme Dinge aus
|
||
Misstrauen zwischen den Diensten durch die Leaks -\> Hinderlich für die
|
||
Zusammenarbeit -\> Ineffizienz!
|
||
Shadow Brokers:
|
||
Theorie: Whistleblower, russischer Geheimdienst, von Russen engagierte
|
||
Söldnerhacker
|
||
|
||
Beispiel Exploits:
|
||
|
||
Vault7:
|
||
Ausrichtung der Hacks an dem was in Szene (black + white) diskutiert
|
||
wird
|
||
|
||
Shadow Brokers: z.B. Solaris Exploits
|
||
Warum eigentlich Solaris?
|
||
|
||
**Bewertung**
|
||
|
||
Warum kommt beides zur ungefähr gleichen Zeit?
|
||
Hängt es miteinander zusammen, auch wenn unterschiedlich bearbeitet und
|
||
untersch. Quellen?
|
||
|
||
Geheimdienste kochen auch nur mit Wasser, gut aber keine magic
|
||
Schaden für Dienste ähnlich groß wie bei Snowden
|
||
andere Dienste lernen davon
|
||
bisherige Angriffe können dagegen getestet werden
|
||
|
||
Leider wahr: Schwachstellen werden nun gegen Bevölkerung eingesetzt
|
||
(Botnetze, Kriminelle, ...)
|
||
|
||
Egal, wie esoterisch Sicherheitslücke sein mag, sie wird ausgenutzt
|
||
Aber: kein Hexenwerk; Übermächtigkeit beruht teilweise auf Mythos
|
||
|
||
\#Musik: Bajo Calle - Wait
|
||
<https://www.jamendo.com/track/1380782/wait>
|
||
|
||
**Wie kann sich schützen?**
|
||
|
||
- Updaten hilft; immer neustes OS einsetzen
|
||
- Sinnvoll konfigurieren hilft
|
||
- Kryptographie hilft
|
||
|
||
\#Musik: J.O.R.B.I - Thunder and War
|
||
<https://www.jamendo.com/track/1440190/thunder-and-war>
|
||
|
||
Links:
|
||
|
||
Analyse zu Leaks, die nicht von Snowden zu stammen scheinen:
|
||
|
||
- <https://electrospaces.blogspot.com/2015/12/leaked-documents-that-were-not.html>
|
||
|
||
Zu Shadowbrokers
|
||
|
||
- <http://www.zeit.de/digital/internet/2017-04/shadow-brokers-nsa-passwort>
|
||
- <https://www.heise.de/security/meldung/Geleakte-NSA-Hackersoftware-Offenbar-hunderttausende-Windows-Computer-infiziert-3692106.html>
|
||
- <https://zerosum0x0.blogspot.de/2017/04/doublepulsar-initial-smb-backdoor-ring.html>
|
||
- <https://community.rapid7.com/community/infosec/blog/2017/04/18/the-shadow-brokers-leaked-exploits-faq>
|
||
- <https://en.wikipedia.org/wiki/The_Shadow_Brokers>
|
||
- <https://habrahabr.ru/company/infosecurity/blog/327114/>
|
||
|
||
Zu Vault7
|
||
|
||
- <https://wikileaks.org/vault7/document/EXTENDING_User_Guide/page-1/#pagination>
|
||
- <https://www.heise.de/security/meldung/Sicherheitsupdate-Angreifer-koennten-Inhalte-von-Confluence-Wikis-einsehen-3692816.html>
|
||
-
|
||
|
||
Veranstaltungshinweise:
|
||
GPN 25.05. -28.05. Karlsruhe
|
||
|
||
Bitte Feedback unter:
|
||
<https://pentamedia.org/pentaradio>
|
||
[<u>https://twitter.com/pentaradio</u>](https://twitter.com/pentaradio)
|
||
[<u>https://itun.es/i67G7RS</u>](https://itun.es/i67G7RS)
|
||
|
||
## März
|
||
|
||
Thema: 10 Jahre Pentaradio
|
||
Aufzeichnungstermin: 14. März 2017 um 21:00 Uhr (?!)
|
||
|
||
Mit im Studio: Astro, a8, Friedemann, Blastmaster
|
||
|
||
Nachrichten
|
||
|
||
- Release OpenBSD 6.1 zum Ende März (Virtualisierung (vm) und
|
||
Aktualisierung (upgrade) nun möglich (patch))
|
||
|
||
Auswertung CLT: <https://chemnitzer.linux-tage.de/2017>
|
||
|
||
10 Jahre Pentaradio
|
||
|
||
Ausschnitt Sendung vom 26. Januar 2010
|
||
Zitat Tim: Bingokarte bei Themen, nicht zu viel vorbereiten, Gespräch
|
||
muss natürlich bleiben
|
||
Timestamp: ca. 52:30 bis 55:37
|
||
Audiodatei: <http://ftp.c3d2.de/pentaradio/pentaradio-2010-01-26.mp3>
|
||
|
||
Story Apple: Support lässt uns wieder in den iTunes Store
|
||
Let's Encrypt Certs, Apple meldet sich, wenn es wieder geht ;-)
|
||
Feeds wurden getunt, neues Artwork (1400x1400px), wir haben jetzt "Clean
|
||
Lyrics"
|
||
|
||
Ausschnitt aus Sendung von 2006
|
||
Audiodatei:
|
||
<https://c3d2.de/news/pentaradio24-20060608-mitschnitt.html>
|
||
(meine ersten Datenspuren...)
|
||
|
||
Ausschnitt aus Sendung vom 26. Juni 2012
|
||
Skype "könnte Backdoor einbauen" -\> hat sich bewahrheitet
|
||
Audiodatei:
|
||
<http://ftp.c3d2.de/pentaradio/pentaradio-2012-06-26-skype.mp3>
|
||
|
||
Aufruf zu mehr Sendungsfeedback! Schreib uns bitte Kommentare und
|
||
Bewertungen.
|
||
Möglichkeiten:
|
||
Pentamedia: <https://pentamedia.org/>
|
||
iTunes Store (Sternchen und Reviews):
|
||
<https://itunes.apple.com/de/podcast/pentaradio/id350873124?mt=2>
|
||
Twitter: <https://twitter.com/pentaradio>
|
||
|
||
Hörertreffen?
|
||
|
||
## Februar
|
||
|
||
Nächstes Mumble: Mi 22.02.1017 20:00 Uhr
|
||
|
||
Vorstellung
|
||
|
||
\#Musik: Highmas - Hey Jade
|
||
<https://www.jamendo.com/track/1326833/hey-jade-instrumental-version>
|
||
|
||
**<u>\* Heimautomatisierung</u>**
|
||
\* Wozu eigentlich? Aufhänger: Was kann man selber machen?
|
||
\* Protokolle und Techniken
|
||
Was gibt es ? (proprietär/open, Hardware/Software, lokal/Cloud)
|
||
\*\* IOT-Botnet-Welle für Angriffe
|
||
\*\*\* bei billigen Geräten die Gefahr dass es keine Updates
|
||
mehr gibt und dann mit offenen Lücken am Netz
|
||
\*\*\* klappte bei Phillips gut
|
||
Kabel:
|
||
\*\* KNX "professionell" und total veraltet, nicht mal richtiges
|
||
Auth
|
||
\*\* CAN eher im Industriebereich
|
||
Funk:
|
||
\*\* ZigBee, Bluetooth LE, WIFI, DECT
|
||
\*\*\* kaputtes Zigbee, fest implementierte Keys geleakt
|
||
OSRAM Lücken:
|
||
<https://community.rapid7.com/community/infosec/blog/2016/07/26/r7-2016-10-multiple-osram-sylvania-osram-lightify-vulnerabilities-cve-2016-5051-through-5059>
|
||
Hue Wurm: <http://iotworm.eyalro.net>
|
||
\*\* Z-Wave auch kaputt (Keys geleakt) --\> Alex sagt was zu
|
||
Sicherheit
|
||
\*\* Homematic - <http://www.homematic.com>
|
||
\*\* EQ3 - <http://www.eq-3.de>
|
||
\*\* OpenHAB (Java) - <http://www.openhab.org>
|
||
\*\* HomeAssistant (Python) - <https://home-assistant.io>
|
||
\*\* FHEM (Perl) - <https://fhem.de/fhem.html>
|
||
\*\* HomeKit von Apple - <https://www.apple.com/de/ios/home/>
|
||
\*\*\* sah gut aus was Sicherheit betrifft, jemand der keinen
|
||
zweiten Faktor hatte konnte nicht zugreifen trotz Einladung
|
||
\*\*\* funktioniert sehr gut
|
||
\*\*\* Zubehörteile doch recht teuer
|
||
\*\*\* Daten wandern nicht über die Cloud
|
||
|
||
\# Musik: <http://dig.ccmixter.org/files/destinazione_altrove/51585>
|
||
Do I Wanna Go Home ( Remix ) - Dysfunction_AL
|
||
|
||
~~\* Services, Vor- und Nachteile~~
|
||
~~ \*\* oft in der Cloud und damit problematisch~~
|
||
~~ \*\*\* mangelde Sicherheit~~
|
||
~~ \*\*\* no privacy~~
|
||
~~ \*\*\* Anbieter verschwinden, Technik dann nur noch
|
||
Elektroschrott~~
|
||
\* Selber machen
|
||
~~ \*\* Server wird gebraucht, kann meist ein Raspi sein~~
|
||
~~ \*\* freie Implementationen (Calos etc)~~
|
||
~~ \*\* Strom sparen, Komfort (Heizung, Licht)~~
|
||
~~ \*\* Welche Sensoren~~
|
||
~~ \*\* Welche Aktoren~~
|
||
\*\* Friedemann: Erfahrungsbericht HomeAssistant, FHEM (kurz),
|
||
HomeKit (kurz)
|
||
\*\*\* Friedemann hat 2 Lampen mit Temparaturregelung
|
||
und 2 mit hell und dunkel Einstellung + Zigbee hub
|
||
\*\*\*\* mit Apple Homekit --\> geht gut, auch mit Siri
|
||
\*\*\*\* mit App Philips Hue --\> geht gut
|
||
\*\*\*\* geplant Ansteuerung mit HomeAssistent auf Raspi
|
||
\*\*\*2 Steckdosen eine über DECT und Stromesseung
|
||
\*\*\*\* Fritzbox klappt gut, sehr genau
|
||
\*\*\*\* geplant Ansteuerung mit HomeAssistent
|
||
\*\*\* 433 mHz für Funksteckdosen
|
||
\*\*\*\* geplant Ansteuerung mit HomeAssistent,aber nicht so
|
||
smart
|
||
\*\* Alex: Erfahrungsbericht OpenHAB
|
||
\*\*\* Installiert auf Raspi, Raspi 2 zu langsam --\> VM Virtual
|
||
Box
|
||
\*\*\* OpenHAB2 Alex wird damit nicht warm
|
||
\*\*\* wirkt unfertig (Dinge geplant aber nicht implementiert),
|
||
lieber HomeAssistent als selbst gebautes
|
||
\*\*\* man kann damit funkt. SmartHome bauen
|
||
\*\*\* Ersatz für kommerzielle Produkte
|
||
\*\*\* Beschreibungssprache hat unschönen Syntax
|
||
\*\*\* scheint kommerzielles Interesse zu verfolgen, bzgl.
|
||
Cloudservice (erst Mal kostenlos)
|
||
\*\*\*\* jetzt mit Amazon Echo und Push Notifications von
|
||
Smartwatches, OAuth über Facebook
|
||
\*\* HomeAssistant vs OpenHAB auf Reddit:
|
||
<https://www.reddit.com/r/homeautomation/comments/4hs86h/home_assistant_vs_openhab_how_do_they_compare/>
|
||
\*\*\* HA: bessere GUI, flexibler, höhere Hackfaktor
|
||
\*\* Alex Ansatz zum komplett selber bauen
|
||
\* Zukunftsausblick
|
||
\*\* Probleme von Funk --\> vll Überlastung wie bei WLAN
|
||
\*\* vll Wardriving wie bei WLAN mapping
|
||
~~ MQTT:~~
|
||
[~~https://www.heise.de/security/meldung/MQTT-Protokoll-IoT-Kommunikation-von-Reaktoren-und-Gefaengnissen-oeffentlich-einsehbar-3629650.html~~](https://www.heise.de/security/meldung/MQTT-Protokoll-IoT-Kommunikation-von-Reaktoren-und-Gefaengnissen-oeffentlich-einsehbar-3629650.html)
|
||
|
||
Musik: <http://dig.ccmixter.org/files/F_Fact/34749>
|
||
Home - Platinum Butterfly
|
||
|
||
## Januar
|
||
|
||
**Fake News**
|
||
Einleitung
|
||
\# MUSIK: Alan Walker - Fade
|
||
|
||
- Was sind **Fakenews**?
|
||
- schwammiger Begriff, Zusammenfassung von vielen versch. Dingen,
|
||
|
||
erklären wir dann bei den versch. Arten
|
||
wird alles in einen Topf geworfen (Alex)
|
||
Ambitionen und Hintergründe werden nicht hinterfragt, obwohl
|
||
essentiell für Ursachenbekämpfung
|
||
|
||
- Warum machen wir jetzt die Sendung
|
||
- seit November wieder mehr Aufmerksamkeit, gerade wieder mehr
|
||
Konjunktur, Angst wegen Bundestagswahl (Lutz)
|
||
- September 15 Balkanruhe, viele Geflüchtete
|
||
- Silverster 15/16
|
||
- Trump
|
||
- Polizei hat jetzt wichtige Aufgabe, ordentlich zu informieren (z.B.
|
||
Breitscheidplatz)
|
||
|
||
oder Fakenews entgegenzuwirken (...das ist so nie 0passiert)
|
||
|
||
- Seit wann gibt es sie?
|
||
- kein neues Phänomen
|
||
- **Mittelalter: Konstantinische Schenkung **
|
||
- 1994 Microsoft kauft Vatikan und Bibelverfilmung
|
||
|
||
- Beispiele:
|
||
- Migrantenschreck Großbestellung Charite Chefarzt \[1\] (Friedemann)
|
||
- u.a. Renate Künast verklagt jmd wegen Fakenews \[2\] (Friedemann)
|
||
- Brutkastenlüge Irgakrieg (Anne)
|
||
- Kosovokrieg Lüge über angebliche KZs (Alex)
|
||
|
||
- Inwiefern unterscheiden sich die Hoaxmapberichte von Fakenews (Lutz)
|
||
- Beispiele oben sind was anderes
|
||
- kam auch unerwartetes
|
||
|
||
- Was ist Hoaxmap --\> kurze Vorstellung (Lutz)
|
||
- Beispiele von Lutz von Hoaxmap
|
||
-
|
||
|
||
\# MUSIK: Jonathan Mann - Living In The Age of The Hoax
|
||
|
||
- Arten:
|
||
- **Kommerzielles Interesse**
|
||
- Verweis auf Pentaradio zu Werbenetzen, kurze Funktionsweise
|
||
- Soziale Netze, Filterblasen, Social Bots, YouTube
|
||
- Werbebanner -\> Währung des Internets
|
||
- Es geht um Klicks auf ihren Seiten, um Geld zu verdienen (hohe
|
||
Conversion Rate)
|
||
- Worauf klicken Leute gerne? Seichte Stories, Katzenbilder, etc.
|
||
|
||
- **Von Privatpersonen** (-\> Facebook, Twitter, private YouTuber,
|
||
Gerüchte aus Offlinewelt, Lutz)
|
||
- Aufmerksamkeit generieren
|
||
- Politische Agenda
|
||
- Kettenbriefe, Petitionen
|
||
|
||
- Von politischen **Organisation** herausgegeben (Partien, Dienste,
|
||
...)
|
||
- Propaganda
|
||
- Fakenews von Privatpersonen und aus kommerziellem Interesse
|
||
weiterverbreiten
|
||
- Nachrichten werden ggf. immer weiter optimiert
|
||
- Breitbart News deckt alles ab
|
||
|
||
- Genaue Zahlen schwierig:
|
||
- 75-95% Kommerzielles Interesse
|
||
- 5-15% Privatpersonen
|
||
- 1-5% Propaganda
|
||
|
||
- ~~Anknüpfung zu Werbenetzesendung~~
|
||
- ~~z.B. via Facebook zielgerichtet streuen~~
|
||
- ~~Sachen werden nicht runter genommen, weil sie viele Klicks
|
||
generieren~~
|
||
- ~~Verweis: "Build your own NSA" vom 33C3~~
|
||
- ~~Filterblasen in sozialen Netzwerken, Social Bots in sozialen
|
||
Medien~~
|
||
- ~~ Leute teilen das, was sie denken dass es gut passt, was sie
|
||
hören wollen~~
|
||
- ~~Ausflug: Was sind Social Bots, jetzt auch in Messengern (Whatsapp,
|
||
Telegramm,...)~~
|
||
- ~~Was machen die, wie arbeiten die,...?~~
|
||
|
||
- ~~Grenzen fließend in welchen Stufen Leute auf Seiten gezogen werden
|
||
(Alex)~~
|
||
- ~~Ausflug zu Internetrökonomie, zeigt schön wie kaputt alles ist~~
|
||
|
||
- Lösungsvorschlag:
|
||
- in Medien Rufe nach übergeördneter Kontrolle durch Fakebook oder
|
||
Staat
|
||
- man läuft ~~schnell~~ unmittelbar ins alte Zensurproblem
|
||
- Leute, die vom Bloggen leben
|
||
- Werbenetzwerke entkernen, man braucht Alternative, wie man Kontent
|
||
bezahlt
|
||
- alte Idee des CCC Kulturwertmarke, Flattr
|
||
- Medienkompetenz
|
||
|
||
Zukunft der Fakenews
|
||
schon jetzt sind Photoshop etc in der Lage Bilder zu manipulieren,
|
||
AI wird das nochmal verschärfen, insbesondere bei Video
|
||
|
||
\#MUSIK
|
||
urmymuse - i don't believe you (ft. Kaer Trouz)
|
||
|
||
~~auf Weiterführendes verweisen~~
|
||
~~ vll Ausflug in Psychologie, gesellschaftlich-soziale Effekte~~
|
||
~~ Aufbringen von Leuten~~
|
||
~~ Destabilisierung~~
|
||
~~ vll Ausflug in Data Science~~
|
||
|
||
Zur Vorbereitung mal Folgendes anschauen:
|
||
<https://www.dasmagazin.ch/2016/12/03/ich-habe-nur-gezeigt-dass-es-die-bombe-gibt/>
|
||
--\>
|
||
<http://adage.com/article/campaign-trail/cambridge-analytica-toast/305439/>
|
||
<http://jensscholz.com/index.php/2016/12/03/hat-ein-big-data-psychogramm>
|
||
<https://www.youtube.com/watch?v=n8Dd5aVXLCc>
|
||
Logbuch Netzpolitik "Fakebook" hat das thematisiert
|
||
<https://logbuch-netzpolitik.de/lnp203-unglueck-im-glueck-im-unglueck>
|
||
auch vom 33C3 Talks dazu, u.a. Spiegelmining
|
||
Heiseshow gab es auch zum Thema
|
||
heises beispiel des tages:
|
||
<http://www.spiegel.de/netzwelt/web/fake-news-ermittlungen-gegen-55-jaehrige-wegen-erfundener-vergewaltigung-a-1129223.html>
|
||
Fakenews sammel seite: <http://hoaxmap.org/> --\> Karolin Schwarz kann
|
||
man evtl zum Podcast einladen
|
||
<https://theintercept.com/2017/01/04/washpost-is-richly-rewarded-for-false-news-about-russia-threat-while-public-is-deceived/>
|
||
<http://www.theverge.com/2016/12/20/14022958/ai-image-manipulation-creation-fakes-audio-video>
|
||
<http://marginalrevolution.com/marginalrevolution/2017/01/authoritarians-distract-rather-debate.html>
|
||
<http://www.spiegel.de/netzwelt/web/social-bots-entlarven-so-erkennen-sie-meinungsroboter-a-1129539.html>
|
||
<https://www.nytimes.com/2017/01/18/us/fake-news-hillary-clinton-cameron-harris.html?_r=0>
|
||
<https://www.heise.de/newsticker/meldung/Thomson-Reuters-Chefredakteur-Zensur-gefaehrdet-Demokratie-mehr-als-Fake-News-3603080.html?wt_mc=rss.ho.beitrag.rdf>
|
||
<https://consortiumnews.com/2016/12/12/us-intel-vets-dispute-russia-hacking-claims/>
|
||
|
||
Vortrag zu Hoaxmap auf dem 33C3:
|
||
<https://media.ccc.de/v/33c3-8288-bonsai_kitten_waren_mir_lieber_-_rechte_falschmeldungen_in_sozialen_netzwerken#video&t=1042>
|
||
|
||
Vortrag zu Hoaxmap auf der Cryptocon:
|
||
<https://media.ccc.de/v/CC16_-_49_-_de_-_sub_lounge_-_201605221300_-_hoaxmap_org_-_lutz>
|
||
|
||
\[1\]
|
||
<http://motherboard.vice.com/de/read/das-ende-von-migrantenschreck-polizei-ermittelt-gegen-kufer-von-waffenversand>
|
||
\[2\]
|
||
<https://www.heise.de/newsticker/meldung/Fake-News-Kuenast-stellt-Strafanzeige-wegen-Falschnachricht-auf-Facebook-3567961.html>
|
||
|
||
## Dezember
|
||
**Thema: 33C3**
|
||
*Anmerkung*:
|
||
*Achtung! Termin der Sendung (27.12.) fällt genau auf den 1. Tag des
|
||
Kongresses.*
|
||
*Da wird sicherlich keiner Zeit haben, eine Sendung aufzunehmen.*
|
||
*Aufzeichnung am 20.12.2016*
|
||
|
||
Musik:
|
||
<https://media.sixtopia.net/ccc/pausenmusik/>
|
||
<https://soundcloud.com/alec_empire/alec-empire-atari-teenage?in=alec_empire/sets/alec-empire-30c3-music-for>
|
||
<https://www.youtube.com/watch?v=-7jsdj7sqGQ>
|
||
<https://www.youtube.com/watch?v=q5w5VX4tAD4>
|
||
|
||
\* Warum wir besprechen das Thema jetzt?
|
||
\*\* Kongress ausverkauft
|
||
\*\* Leute regen sich auf, dass Vouchers bei Ebay liegen --\> Alex
|
||
\*\* "state of the hacker nation" 33c3, Kartenvorverkauf und
|
||
ausverkaufte
|
||
Congresse, die Szene ist plötzlich hip und der Kommerz ist auch
|
||
angekommen
|
||
usw. --\> Alex
|
||
\*\*\* Anzahl Ebay: 900 Euro teuerste, 6-7 selber gesehen
|
||
\*\*\* andererseits kein neues Phänomen
|
||
\*\* Gegenmeinung: Astro: Ich habe da eine andere Meinung. Ich
|
||
begrüsse die Öffnung
|
||
der Veranstaltungen für ein breiteres Publikum. Zeit zum
|
||
Nichtverpeilen gabs genug
|
||
\*\* Gegenmeinung: Friedemann: man sieht dort keine Firmenlogos,
|
||
Sponsoren bleiben
|
||
ungenannt
|
||
\*\* offizielle Ansage auf dem Congress "Leave your damn business at
|
||
home."
|
||
|
||
\* Entwicklung der Szene / Probleme
|
||
\*\* es beschäftigen sich einfach mehr Leute mit dem Thema
|
||
Computer,
|
||
so fühlt sich Erfolg halt an
|
||
\*\* Öffnung der Szene
|
||
\*\*\* Chaospaten
|
||
\*\* Firmenhackspaces
|
||
\*\* Hipster, Leute mit Profilierungsbedarf
|
||
\*\* Firmen die auf der Trendwelle mitschwimmen, Adafruit, Makerbots
|
||
und ausnutzen
|
||
|
||
\* Entwicklung der Besucherzahlen, Geschichte des Kongress allgemein
|
||
\*\* Geschichte --\> Alex
|
||
|
||
\* Was ist der Kongress?
|
||
\*\* Familientreffen
|
||
\*\* Zerforschen und Ausblicke geben, Helden ehren
|
||
\*\* 6/2/1 Regel
|
||
\*\* Unterschied zu Veranstaltungen in den USA
|
||
\*\*\* Entertainmentcharakter
|
||
\*\*\* keine Firmen / Werbung
|
||
\*\*\* keine Dienste / Behörden
|
||
\*\* Unterschied zum Camp
|
||
\*\* Einfluss auf Mainstream
|
||
|
||
\* Wie muss ich mir einen Congress vorstellen?
|
||
\*\* Engel
|
||
\*\* DECT
|
||
\*\* Kidsspace
|
||
\*\* Tracks
|
||
\*\* Assemblies
|
||
\*\* Self Organized Sessions
|
||
\*\* Lounge
|
||
\*\* Blinkenarea, Sendezentrum
|
||
\*\* CTF
|
||
\*\* Lightning Talks
|
||
|
||
\* andere Treffen des CCC über das Jahr
|
||
\*\* Datenspuren Dresden
|
||
\*\* Gulasch-Programmiernacht Karlsruhe Entropia
|
||
\*\* Easter Hack Netz 39 Magdeburg und Stratum
|
||
|
||
\* Besprechung interessanter Vorträge aus dem Fahrplan,
|
||
\*\* was sollte man sich ansehen, was wird spannend
|
||
|
||
## November
|
||
|
||
**Datenschutz und Datensicherheit im Auto**
|
||
\#Musik: AlexBeroza - Just Drive
|
||
|
||
<http://ccmixter.org/content/AlexBeroza/AlexBeroza_-_Just_Drive.mp3>
|
||
|
||
<u>Hintergrund</u>: Wollte Elektroauto kaufen und habe mich in dem
|
||
Rahmen mal mit dem Kleingedruckten befasst, bzw. erst mal das
|
||
Kleingedruckte überhaupt in die Finger zu bekommen
|
||
und Heiseartikel
|
||
<http://www.heise.de/newsticker/meldung/ADAC-Untersuchung-Autohersteller-sammeln-Daten-in-grossem-Stil-3227102.html>
|
||
|
||
\* Siehe auch: Hinweis auf Pentacast zu CAN-Bus im Auto
|
||
|
||
\* immer schon wichtiges Thema gewesen, aber gerade sehr <u>akutelles
|
||
Thema</u> mit Internet im Auto und conneted car
|
||
\* aktuelles <u>Beispiel</u>:
|
||
\*\* Herausgabe von Bewegungsprofil bei illegalem Straßenrennen /
|
||
fahrlässiger Tötung von Radfahrer: Fall BMW / DriveNow
|
||
|
||
<http://www.manager-magazin.de/unternehmen/autoindustrie/bmw-autobauer-liefert-gericht-kundendaten-fuer-bewegungsprofil-a-1104050.html>
|
||
Daten von BMW die Wegstrecke, gefahrenen Geschwindigkeiten,
|
||
Außentemperatur oder die Position Mobiltelefons
|
||
\*\*\* nicht ganz klar wie BWM an die Daten kam, woher kamen
|
||
Bewegungsdaten
|
||
\*\* Jeep-Hack
|
||
\*\*\* hat viel zur Sensibilisierung der Hersteller
|
||
beigetragen
|
||
\*\* FBI warnt vor ODB-2 Dongles:
|
||
<http://www.darkreading.com/informationweek-home/feds-urge-caution-on-aftermarket-devices-that-plug-into-vehicle-diagnostic-ports/d/d-id/1324759>
|
||
|
||
\* ODB-2 Schnittstelle an K-Leitung / CAN Bus recht <u>altes
|
||
System</u>
|
||
<https://de.wikipedia.org/wiki/On-Board-Diagnose>
|
||
\*\*War ursprünglich standardisierte Schnittstelle für TÜV, vorher
|
||
haben alle so ein bischen ihr eigenes Ding gemacht; ist gesetzlich
|
||
vorgeschrieben (weltweit), muss verbaut werden
|
||
\*\* leicht angreifbar, System rechnet nicht mit Angriffen
|
||
\*\* hat keine Sicherheit wie Authentizität
|
||
\*\* Vollzugriff auf viele Steuergeräte und viele Sensoren
|
||
\*\* jeder OEM kocht sein eigenes Süppchen
|
||
\*\* Protokolle sind alle propietär
|
||
|
||
\* welche <u>Sensoren</u> gibt es im Auto, welche Informationen lassen
|
||
sich darau gewinnen
|
||
\*\* Heise:
|
||
\*\*\* ADAC bei 4 Fahrzeugen von BMW, Mercedes, Renault
|
||
untersucht, welche
|
||
Daten sammeln. Ergebnis: Von Informationen über techn. Zustand
|
||
bis zu
|
||
Nutzungsprofil des Fahrers
|
||
\*\*\* neben , schadstoffbezogenen, Muss-Daten erheben
|
||
Automobilhersteller
|
||
weitere Daten – ohne dass ihre Kunden wissen, was da
|
||
aufgezeichnet wird
|
||
\*\*\* Mercedes: GPS-Position, Kilometerstands,
|
||
Kraftstoffverbrauch, Reifendruck,
|
||
Gurtstraffungen (Indiz für starkes Bremsen)
|
||
\*\*\* Renault: via Mobilfunk beliebige Informationen, im
|
||
Pannenfall
|
||
Ferndiagnosen. Ist der Käufer mit den Leasing-Raten im
|
||
Verzug, wird das
|
||
Aufladen der Batterie verhindert
|
||
\*\*\*BMW: Anzahl der eingelegten CDs + DVDs , 100 letzten
|
||
Abstellpositionen
|
||
\*\* weiterhin: Lenkeinschlag, Gaspedalwinkel, welche Verbraucher
|
||
an
|
||
\*\* Sensoren sollen schnell und einfach Daten rausgeben
|
||
\*\*\* komplexere Berechnungen (z.B. für Verschlüsselung)
|
||
können gefährlich
|
||
werden,
|
||
z.B. Aufgehen des Airbag oder Rückmeldung Abstandsmesser
|
||
\*\* je komplexer eine Software, desto geringer Wahrscheinlichkeit
|
||
alles zu
|
||
überblicken, somit alle Fehler zu finden
|
||
\*\*\* Fahrzeugsteuerungskomponenten deutlich mehr
|
||
Sicherheitsvorschirften
|
||
als für Infotainmentsysteme
|
||
\*\*\*\* Infotainment eigenes System so komplex wie
|
||
Betriebssystem und
|
||
zusätzlich neuer Angriffsvektor aus dem Internet
|
||
|
||
|
||
\#**Musik**: scomber - I Spy (with my little eye)
|
||
|
||
<http://ccmixter.org/content/scomber/scomber_-_I_Spy_(with_my_little_eye).mp3>
|
||
|
||
\* Daten als künftiges <u>Geschäftsmodell</u> für Autohersteller /
|
||
wirtschaftliches Interesse
|
||
\*\* Ablesen von psychischen Zuständen (Lenkeinschlag,
|
||
Gaspedaldruckverhalten)
|
||
\*\* Ablesen von Fehlerverhalten
|
||
\*\* wer sind die <u>Interessenten</u>:
|
||
\*\*\* Hersteller
|
||
\*\*\*\* Cloudinfrastrukturen bei Herstellern vorhanden
|
||
(Mercedes, BMW,...)
|
||
\*\*\* Versicherer (wirklich Garagenwagen?, Fahrverhalten,
|
||
versch. Fahrer?)
|
||
\*\*\* Behörden
|
||
\*\*\*\* Schutz vor "terroristischen Angriffen"
|
||
Fernabschaltung von Autos möglich
|
||
\*\*\*\* Szenario: Verhinderung von Fahrt zu Demo
|
||
\*\*\*\* bei Renault wenn Raten nicht gezahlt,
|
||
Diebstahlschutz bei Opel
|
||
\*\*\*\* Notrufsystem im Auto, gesetzl. vorgeschrieben, aber
|
||
getrennt!
|
||
\*\*\* Mautabrechnung und Fahrtenbuchersatz (über
|
||
Abgasdatenschnittstelle)
|
||
\*\*\*\* Beispiele Vimcar - <https://vimcar.de> und
|
||
Automatic <https://www.automatic.com>
|
||
netter Blogeintrag:
|
||
<https://vimcar.de/blog/spots-fahrtenbuchstecker-connected-car-technologie-zum-selbereinstecken/>
|
||
\*\*\*\*\* Protokoll wurde reverse engeeniert
|
||
\*\*\*\*\* komplette Bewegungsprofile erstellbar
|
||
\*\*\*\*\* sehr unsicher über diese Schnittstelle so
|
||
viele Daten auszulesen
|
||
\*\*\*\* Welche Produkte gibt es heute "einfach zum
|
||
Anstecken" zu kaufen?
|
||
\*\*\*\*\* Head Up Displays
|
||
\*\*\*künftiges Einnahmemodell für Werkstätten?
|
||
\*\*\*\*egal ob selber oder durch Datenweitergabe an
|
||
Interessenten
|
||
\*\*\* Ferndiagnose
|
||
\*\*\* Kriminelle
|
||
\*\*\*\* vll nächste Welle von Verschlüsselungstrojanern
|
||
\*\*\*\* kann wirklich großer Schaden damit angerichtet
|
||
werden
|
||
\*\*\*\* \* Hacks (Multimediasystem aufmachen und
|
||
sehen was leute im Auto machen, Ransomware?)
|
||
\*\*\* Tuner
|
||
\*\*\*\* für Kenner! Zuschaltung weiterer Features möglich
|
||
|
||
\* Wie kann <u>Kunde</u> herausfinden, welche Daten erhoben werden?
|
||
\*\* Peter Schaar:
|
||
"Bewegungsprofile sind ohne ausdrückliche Einwilligung des
|
||
Kunden unzulässig"
|
||
\*\* Datenschutzgrundverordnung
|
||
\*\*\* technische Daten vom Fahrzeug nicht geschützt
|
||
\*\*\* greift nur für persönliche/personenbezogene Daten
|
||
\*\* Erfahrungsbericht Alex
|
||
\*\*\* BMW
|
||
\*\*\*\* nur Auskunft über aktuelles Datenschutzrecht
|
||
\*\*\* Nissan
|
||
\*\*\*\* gab Auskunft, bei Start Zustimmung zu
|
||
Datenweiterleitung erforderlich,
|
||
Ja/Nein-Möglichkeiten
|
||
\*\*\*\* keine Aussage ob Daten später noch irgendwie
|
||
übertragen werden
|
||
\*\*\* Renault
|
||
\*\*\* bei anderen Herstellern
|
||
\*\*\*\* Teilweise keine Datenübertragung über mobiles
|
||
netz
|
||
\*\*\*\*\* Nicht nachprüfbar ob das wirklich erfolgt
|
||
\*\* im eigenen Test Auslesung der Daten der letzten 3 Monate
|
||
bei Subaro auslesbar
|
||
\*\*\* Uhrzeit, Ort, Temparatur- und Luftfeuchtigkeit
|
||
|
||
\* Welche Rechte hat der Kunde seine Daten löschen zu lassen?
|
||
\*\* Man ist Autoeigentümer, aber muss zwangsweise Lizenzbedingungen
|
||
akzeptieren.
|
||
\*\*\* z.B. somit verboten in bestimmte Länder zu fahren
|
||
\*\* Hersteller kann Sachen aus der Ferne, over the air,
|
||
deaktivieren
|
||
\* Zukunftsprognose
|
||
\*\* Kunden ist es egal, wie schon beim Mobiltelefon,
|
||
"Ich hab doch nichts zu verbergen"
|
||
\*\* Effekte bei Carsharing wahrscheinlich besonders
|
||
|
||
\* auch sinnvolle Anwendungen denkbar, wenn dem User die Daten
|
||
unterliegen
|
||
\*\* Messung und Optimierung von Kraftstoffverbrauch
|
||
\*\* Fahrkollonen die Sprit sparen
|
||
\*\* sowas wie ParkNow von BMW
|
||
\*\* Verkehrsoptimierung in Städten
|
||
\*\* Car to X
|
||
|
||
Zapac - Test Drive
|
||
<http://ccmixter.org/content/Zapac/Zapac_-_Test_Drive.mp3>
|
||
Wired Ant - Travel by Night (Border Ride) feat. Javolenus
|
||
|
||
<http://ccmixter.org/content/Wired_Ant/Wired_Ant_-_Travel_by_Night_(Border_Ride)_feat._Javolenus.mp3>
|
||
|
||
Further reading:
|
||
<https://resources.sei.cmu.edu/asset_files/WhitePaper/2016_019_001_453877.pdf>
|
||
|
||
~~\* Hack des Monats: der ZigBee-Wurm
|
||
\<~~[~~http://iotworm.eyalro.net/~~](http://iotworm.eyalro.net/)~~\>~~
|
||
|
||
## Oktober
|
||
**\* FreeBSD und seine Abarten - bewährte Konzepte und aktuelle
|
||
Entwicklungen**:
|
||
\* Was ist BSD?
|
||
\*\* (Haupt-)Unterschied zu Linux
|
||
\*\*\* UNIX und nicht GNU (is) Not UNIX (mit dem Kernel Linux)
|
||
\*\*\* Linenz
|
||
\* heute speziell FreeBSD (Besonderheiten von FreeBSD, gegenüber anderen
|
||
\*BSD, aber auch GNU/Linux)
|
||
\*\*gab schon mal Sendung über BSDs allgemein
|
||
<https://www.c3d2.de/news/pentaradio24-20141125.html>
|
||
\* Warum einsetzen?(ALH)
|
||
\* Welche 4 (Haupt-)Arten?
|
||
\*: siehe auch <https://wiki.c3d2.de/BSD>
|
||
\*\* NetBSD
|
||
\*\* FreeBSD
|
||
\*\* OpenBSD (fork von NetBSD)
|
||
\*\* DragonflyBSD (fork von FreeBSD)
|
||
\* Nutzung auf Endgeräten (Vater)
|
||
\*\* nicht alle alle alle Treiber vorhanden, Zeit für Installation,
|
||
Virtualisierungen die nicht laufen?, ACPI/Suspend to Disk (sucks),
|
||
\* Nutzung auf Servern (ALH)
|
||
\*\* aktueller Anlass
|
||
\*\*\* FreeBSD 11 erschien im Oktober 2016
|
||
\*\*\* Sicherheitszeug
|
||
\*\*\*\*Grundeinstellungen besser
|
||
\*\*\* haufen neue Treiber, 64 bit ARM-Prozessoren
|
||
\*\*\* bhyve kann nativ Grafik wieder geben
|
||
\*\* Konzepte
|
||
\*\*\* Jails (bewährtes Pronzip für Container)
|
||
\*\*\* ZFS
|
||
\*\*\* bhyve (Daniel)
|
||
\*\*\* pkg vs. ports
|
||
\*\*\* Kombatibilität mit Linux
|
||
\*\*\* Docker, Xen, KVM, usw.
|
||
\*\* Abarten
|
||
\*\*\* Vorstellung einzelner einzelne Abarten
|
||
\*\*\*\* FreeNAS
|
||
\*\*\*\*\* FreeNAS 10 erscheint wohl erst im Februar
|
||
2017
|
||
\*\*\*\* TrueOS (bisher auch PC-BSD)
|
||
\*\*\*\*\* basiert nun auf (current) 12
|
||
\*\*\*\* CBSD
|
||
\*\*\*\* CloneBSD
|
||
\*\*\*\* GhostBSD
|
||
\*\*\*\* DesktopBSD
|
||
\*\*\*\* Apple MacOS (entfernt verwandt. die haben sich das
|
||
userland genommen und Darwin draus gebaut) und (Open)Darwin
|
||
\*\*\*\* Tote
|
||
\*\*\* Vorstellung von Ideen von weitren Abarten
|
||
\*\* Software zur Verwaltung
|
||
\*\*\* Verwaltung von Jailsiocage
|
||
\*\*\*\* ezjail
|
||
\*\*\*\* iocage (aktuell rewrite von sh zu go)
|
||
\*\*\* Verwaltung vom system
|
||
\*\*\*\* sysadm (von PC-BSD)
|
||
\*\*\* Provisionierung & Co
|
||
\*\*\*\* BSDploy
|
||
\*\*\*\* Tredly
|
||
\*\*\*\* fractal cells
|
||
|
||
## September
|
||
|
||
News:
|
||
Roaming-Gebühren
|
||
LSR
|
||
DDOS on Brian Krebs
|
||
|
||
**\* Sendung zu den Datenspuren**
|
||
|
||
## August
|
||
|
||
**News:**
|
||
\* Cryptocurrency of the Month:
|
||
<https://tech.slashdot.org/story/16/08/12/2143246/ddoscoin-new-crypto-currency-rewards-users-for-participating-in-ddos-attacks>
|
||
|
||
**<u>\* Apple vs. FBI</u>**
|
||
*Kommentar:*
|
||
*Kein Applebashing, aber von Apple auch nicht uneigennützig, sondern
|
||
Marketing*
|
||
*aber interessante Lösungen*
|
||
*technisch vertieft, aber für Normalos verständlich erklären*
|
||
|
||
*Rollenverteilung:*
|
||
*Experte: Friedemann (eher pro Apple), Alex (eher contra Apple)*
|
||
*Nachfrager/Moderator: Anne*
|
||
\#**Musik**: Mizuki's Last Chance -Holy Bleeb
|
||
<http://mizukislastchance.bandcamp.com/track/holy-bleep>
|
||
|
||
Einleitung/Aufhänger: ...
|
||
Was ist überhaupt passiert? (Anne)
|
||
- genereller Streit, wie Firmen vom Staat gezwungen können (ihre eigene)
|
||
Sicherheit (durch Verschlüsselung) zu brechen
|
||
- Apple sollten helfen Daten über Kriminellen zur Verbrechensaufklärung
|
||
bereit zu stellen
|
||
- ging um Attentäter von San Bernerdino, 14 Leute erschossen, 22
|
||
verletzt, Mann und Frau Attentäter, Telefone vorher zerstört,
|
||
Attentäter
|
||
am Ende von Polizei erschossen
|
||
- ging um Arbeitstelfon des Attentäters
|
||
- haben sie auch gemacht, haben Daten der ICloud, wo alles hin sync.
|
||
rausgegeben
|
||
- aber Sync. war nicht aktuell, FBI wollte an lokale Daten auf dem
|
||
Telefon
|
||
- aber das war PIN geschützt und nach 10 Fehleingaben dauerhaft
|
||
gesperrt
|
||
- haben ICloud Zugangsdaten zurückgesetzt, damit Dritte keinen Zugriff
|
||
haben (z.B. Komplizen es löschen) und sich damit ausversehens
|
||
ausgesperrt
|
||
- Apple hat Mithilfe verweigert eine Version des Betriebssystems zu
|
||
erstellen auf dem ds umgangen werden kann
|
||
- nach eigenen Angaben derzeit keine Möglichkeit von Apple selber an
|
||
die Daten zu kommen
|
||
- Forderung ging nach deren Ansicht und auch die einiger Juristen
|
||
viel weiter als Gesetzesgrundlage
|
||
- FBI hat NSA gefragt, die haben aber nicht helfen wollen/können
|
||
- großes mediales Aufsehen
|
||
- FBI dann Firma für wohl 1,3 Mio für Hack beauftragt
|
||
- viele Leute die sich mit Apple sehr sicher fühlen, wie wollen
|
||
beleuchten, ob das wirklich so ist
|
||
|
||
Wer waren Akteure, wer war auf wessen Seite?
|
||
<https://en.wikipedia.org/wiki/FBI%E2%80%93Apple_encryption_dispute>
|
||
Was ist FBI (interbundesstaatliche Polizei)?
|
||
|
||
Architektur vom Apple Secure Enclave - ab A7-Prozessor im iPhone 5S
|
||
|
||
Was heißt das?
|
||
Geräteindividueller Schlüssel (Hardware), Secure Enclave
|
||
Processor (Software) redet
|
||
mit weiteren Komponenten
|
||
UID --\> Masterkey wird generiert vom Gerät, mit echtem
|
||
Zufall (Osilator)
|
||
physikalisch, einmalilg erzeugt, kennt Apple
|
||
nicht, kriegt man nicht raus
|
||
Was macht denn Masterkey? Grundlage Erstellung
|
||
aller weiteren abgeleiteten Keys...
|
||
Welche Bestandteile? Welche Schlüssel?
|
||
macht, dass nach 10 Fehlversuchen Gerät final gesperrt
|
||
(Schlüssel zum Entschlüsseln Speicher werden verworfen)...
|
||
Welche Auswirkungen auf Bootprocess/ Gesamtsystem?
|
||
Hat eine Art Secure Boot (Was ist Secure Boot?)...
|
||
"Sicherer Startvorgang"
|
||
Signiert sind: Bootloader, Kernel, Kernel-Erweiterungen und
|
||
Baseband-Firmware
|
||
|
||
Wie wird es gespeichert?
|
||
Hätte man es auch aufschleifen können?
|
||
Einfaches Design, unwahrscheinlich, dass Fehler drin aus
|
||
Cryptografen sicht
|
||
|
||
\#**Musik**: Gridline - Astro Infinity
|
||
<https://soundcloud.com/projectgridline/astro-infinity>
|
||
|
||
Was passierte? (technisch detailierter)
|
||
BackUp aus Could rausgeben, FBI wollte aber aktuelle Daten vom Gerät
|
||
--\> Datensparsamkeit
|
||
Am Tatort Prozess eingeleitet, dass PW zurücksetzt, damit keine
|
||
Komplizen Zugriff
|
||
--\> IPhone hat sich mit flaschen Zugangsdaten nicht mehr bei
|
||
ICloud einloggen --\> haben sich selber ausgesperrt
|
||
Apple wehrte sich angepasstes IOS mit Backdoor zu erstellen
|
||
könnte weitere Institutionen fordern, wollen Software sicher
|
||
machen, nicht zahlreiche Sicherheitslückeneinbauen
|
||
~~ juristische Lage (Alex)~~
|
||
~~ national security letters usw., könnten schon gezwungen worden
|
||
sein Sicherheitslücken einzubauen~~
|
||
~~ NSA arbeitet im geheimen, FBI muss vor Gericht was
|
||
beweisen...~~
|
||
~~ Sollte auch nicht raus kommen was Dienste können oder
|
||
nicht...~~
|
||
~~ Wollen nicht Verbrechen aufklären, sondern Lagebild
|
||
vorhersagen~~
|
||
|
||
Warum hat es überhaupt so viel Aufsehen erregt?
|
||
gute PR, viele Applebegeisterte, Unterstützer/Gegner, Rede Tim
|
||
Cook
|
||
Unterstützer: Facebook, Yahoo, Twitter,
|
||
Apple (und andere Silicon Valley Firmen) schlechtes Image durch
|
||
Snowden Veröffentlichungen, Sicherheit jetzt wichtiges Argument
|
||
Warum so ins Zeug gelegt?
|
||
Theorie: gesättigter Mark, wichtig für Zielgruppe (in Security
|
||
auch interessiert), Alleinstellungsmerkmal,
|
||
in manchen Ländern in gewissen öffentl. Berufen verboten
|
||
Was ist Motivation von Apple?
|
||
FBI hat ja gesagt, geht nur um das eine Telefon, Software kann
|
||
danach vernichtet werden
|
||
Nicht Sicherheit, sondern Geheimhaltung, Abschirmung (Wallet
|
||
Garden)
|
||
trotzdem sichere Plattform, liegt aber in der Hand von
|
||
Apple, könnten sie ändern
|
||
keine Gegenwehr bei National Security Letter, möglich
|
||
bei Updates, keine Kontrolle über Geräte
|
||
Diskussionspunkt: Wie sicher ist IOS im Vergleich zu
|
||
anderen Systemen?
|
||
keine Kontrolle welche Apps was backupen --\> ICloud
|
||
Backup besser ausschalten?
|
||
Backdoor ist halt auch hohes Level an Gefährlichkeit
|
||
könnte passieren, dass Leute in abgeschirmten Garten eindrungen,
|
||
auch andere kommen rein durch Backdoor
|
||
aktuelles Beispiel Shadowbrokers
|
||
Raubkopien von kostenpflichtig Apps, ganzes Finanzierungsmodell
|
||
gefährdet...
|
||
Bugbounty lobenswerter Punkt, kaum Exploits und wenn dann teuer
|
||
(Annekdote von Black Hat Vortragsrückfrage)
|
||
|
||
\# **Musik**: Magna -Divide
|
||
<https://soundcloud.com/magna/divide>
|
||
|
||
Was ist iCloud?
|
||
iCloud Drive (= ähnlich wie Dropbox, aber in iOS
|
||
integriert)
|
||
Photos
|
||
Mail (Empfehlung: kann man selbst hosten)
|
||
Contacts (Empfehlung: kann man selbst hosten)
|
||
Calendar (Empfehlung: kann man selbst hosten)
|
||
Reminders (Empfehlung: kann man selbst hosten)
|
||
Safari
|
||
Notes (alt und neu, verschlüsselt)
|
||
Wallet
|
||
Backup (Achtung!)
|
||
problematische Schwachstelle, kann/konnte remote
|
||
angeschaltet werden
|
||
"the Fappening"...Bilder
|
||
Keychain (gutes Konzept, bei allen iCloud Services
|
||
wünschenswert)
|
||
Find my iPhone / Mac (hilfreich bei Diebstahl)
|
||
|
||
Wie haben sie es dann doch geschafft, was vermuted man?
|
||
nie in Gerichtsakten aufgetaucht, was auf Telefon war... vll nie
|
||
wirklich geknackt
|
||
Gerüchte im Netz sagen:
|
||
private isralelische Firma engagiert (Cellebrite -
|
||
<https://en.wikipedia.org/wiki/Cellebrite)>
|
||
auf alten IOS basierende Sicherheitslücke, Nantmirroring in
|
||
Kombination mit...
|
||
Flash rausgelötet, kopiert in Mirror, dann Brutforce
|
||
irgendwie in Kombination mit Zählerrücksetzung mit Keys
|
||
auf dieses Gerät zugeschnitten, wahrscheinlich kurze PIN
|
||
Es gibt aber keine Fakten, nicht mal ob sie es tatsächlich geknackt
|
||
haben oder ob das nur PR ist!
|
||
--\> Empfehlung alphanumerischen Code verwenden
|
||
Exkurs: bei PIN haben es viele nicht verwendet, oder oft einfachen
|
||
Code, bei Touch ID die Mehrheit
|
||
|
||
\# **Musik**: Boogie Belgique - A little while
|
||
<https://www.jamendo.com/track/1190474/a-little-while?language=en>
|
||
|
||
|
||
Pufferthema:
|
||
FBI nutzt 2D Fingerabdrücke zum knacken
|
||
akuteller Fall...
|
||
nicht secure enclave sondern Touch ID, Biometrie und typische
|
||
Biometrieangriffe
|
||
nach 3 mal falsch gegen Abdruck gesperrt, dann nur mit
|
||
Passphrase (auch bei Neustart)
|
||
sagen auch man kann, nicht soll es nutzen, genau richtig, für
|
||
bequeme User
|
||
|
||
iMessage
|
||
gab Brut Force Angriff dagegen, aber dann gefixt
|
||
Apple kann Metadaten rausgeben, Inhalt theoretisch nicht, weil
|
||
Ende zu Ende verschlüsselt
|
||
Apple könnte theoretisch sich Keys holen
|
||
cryptografisch recht weit fortgeschritten
|
||
|
||
Mobiltelefonsicherheit allgemein
|
||
App Sicherheit
|
||
Mikrofonkontrolle
|
||
Standortübermittlung
|
||
|
||
|
||
Quellen:
|
||
|
||
**Vorträge**
|
||
|
||
*Ivan Krstic: Behind the Scenes with iOS Security (Blackhat 2016)*
|
||
Slides:
|
||
<https://www.blackhat.com/docs/us-16/materials/us-16-Krstic.pdf>
|
||
Video: <https://www.youtube.com/watch?v=BLGFriOKz6U>
|
||
|
||
*Ivan Krstic: How iOS Security Really Works (WWDC 2016)*
|
||
Slides:
|
||
<http://devstreaming.apple.com/videos/wwdc/2016/705s57mrvm8so193i8c/705/705_how_ios_security_really_works.pdf>
|
||
Video:
|
||
<http://devstreaming.apple.com/videos/wwdc/2016/705s57mrvm8so193i8c/705/705_hd_how_ios_security_really_works.mp4>
|
||
|
||
Demystifying the Secure Enclave Processor
|
||
Slides:
|
||
<https://www.blackhat.com/docs/us-16/materials/us-16-Mandt-Demystifying-The-Secure-Enclave-Processor.pdf>
|
||
|
||
Pangu 9 Internals
|
||
Slides:
|
||
<https://www.blackhat.com/docs/us-16/materials/us-16-Wang-Pangu-9-Internals.pdf>
|
||
|
||
Discovering & Exploiting Novel Security Vulnerabilities in Apple
|
||
Zeroconf
|
||
Slides:
|
||
<https://www.blackhat.com/docs/us-16/materials/us-16-Bai-Discovering-And-Exploiting-Novel-Security-Vulnerabilities-In-Apple-Zeroconf.pdf>
|
||
|
||
**Technische Dokumentation**
|
||
<https://www.apple.com/business/docs/iOS_Security_Guide.pdf>
|
||
(Englisch)
|
||
<https://www.apple.com/de/business/docs/iOS_Security_Guide.pdf>
|
||
(Deutsch)
|
||
<https://developer.apple.com/security/> (Entwicklerdoku)
|
||
List of available trusted root certificates in iOS 9:
|
||
<https://support.apple.com/en-us/HT205205>
|
||
Corecrypto (Source):
|
||
<https://developer.apple.com/file/?file=security&agree=Yes>
|
||
|
||
Podcast Security Now
|
||
Nachweis BackUp Remote aktivieren - Kontext Big Fappening, IDict...
|
||
Statement von Apple: <http://www.apple.com/customer-letter/> und
|
||
<http://www.apple.com/customer-letter/answers/>
|
||
<https://en.wikipedia.org/wiki/FBI>–Apple_encryption_dispute
|
||
<http://www.chip.de/news/13-Millionen-fuer-nichts-So-macht-sich-das-FBI-vor-Apple-laecherlich_90083607.html>
|
||
|
||
<http://www.teeltech.com/mobile-device-forensic-tools/ip-box-iphone-password-unlock-tool/>
|
||
<http://www.theverge.com/2016/3/9/11186868/apple-fbi-nsa-encryption-exploit-hack>
|
||
|
||
iMessage
|
||
<https://www.washingtonpost.com/world/national-security/johns-hopkins-researchers-discovered-encryption-flaw-in-apples-imessage/2016/03/20/a323f9a0-eca7-11e5-a6f3-21ccdbc5f74e_story.html>
|
||
<https://www.usenix.org/system/files/conference/usenixsecurity16/sec16_paper_garman.pdf>
|
||
<https://www.bishopfox.com/blog/2016/04/if-you-cant-break-crypto-break-the-client-recovery-of-plaintext-imessage-data/>
|
||
|
||
iDict
|
||
<https://github.com/Pr0x13/iDict>
|
||
<http://mashable.com/2014/09/04/i-hacked-my-own-icloud-account/#xFxk9QYunsqK>
|
||
|
||
## Juli
|
||
|
||
News:
|
||
|
||
- Bulgaria macht Ernst mit Open Source
|
||
\<<https://medium.com/@bozhobg/bulgaria-got-a-law-requiring-open-source-98bf626cf70a#.3fy85ehm6>\>
|
||
|
||
\#Musik
|
||
Intro: Klamm - Dragon Fire
|
||
<http://chipmusic.org/klamm/music/dragon-fire>
|
||
|
||
Klamm -Crusing
|
||
<http://chipmusic.org/Klamm/music/cruising>
|
||
|
||
Pornophonique - I want to be a robot
|
||
<https://www.jamendo.com/album/7505/8-bit-lagerfeuer>
|
||
|
||
Pornophonique - Space Invaders
|
||
<https://www.jamendo.com/track/81743/space-invaders>
|
||
|
||
Outro: Kraftfuttermischwerk - Am Wolkenberg (instrumental)
|
||
<http://www.kraftfuttermischwerk.de/wa/am_wolkenberg_instrumental.mp3>
|
||
|
||
Was heißt sicher kommunizieren?
|
||
- Ende zu Ende
|
||
- wichtigste keiner darf dazwischen mithören
|
||
|
||
**--\>** **Abhörsicherheit**
|
||
- Methode:
|
||
- Crypto
|
||
- Stasi Leitung sichern, Leitung in Rohren mit Unterdruck
|
||
--\> Bietet aber auch Whatapp
|
||
- Beispiel Tiefseekabel
|
||
|
||
**--\>** **Authentifizierung**
|
||
- rede ich wirklich mit dem anderen
|
||
- kein man in the middle
|
||
- kann Whatsapp nicht
|
||
|
||
**--\>** **Integrität**
|
||
- einzelne Nachrichten werden nicht gesendet
|
||
- einzelne Nachrichten werden hinzugefügt
|
||
- einzelne Nachrichten werden manipuliert
|
||
|
||
**Beispiele** anhand der Kriterien durchgehen
|
||
- Whatsapp
|
||
- Signal
|
||
- Telefonbuchsyncfoo
|
||
<https://de.wikipedia.org/wiki/Liste_von_mobilen_Instant-Messengern>
|
||
- E-Mail made in Germany --\> Transportverschlüsselung
|
||
- Ziel war: sicher, zuverlässig, vertraulicher Geschäftsverkehr, im
|
||
Internet, für jederman
|
||
- Problem: jeder kann sich Mailadresse, Max Mustermann holen
|
||
--\> DE-Mail: Ausweis vorzeigen
|
||
- Problem: Empfangsbestätigung kann verweigert werden
|
||
--\> Empfang automatisch bestätigt
|
||
- Versand einer DE-Mail kostet 0,39 Cent
|
||
- wenige Anbieter, wegen teurer Zertifizierung
|
||
- Problem: nicht immer Transportverschlüsselung --\> DE-Mail immer
|
||
SSL
|
||
- Problem: nicht jeder hat Verschlüsselung --\> DE-Mail: keine
|
||
Verschlüsselung :-)
|
||
- Problem: Viren, Trojaner --\> Virenscan beim Anbieter
|
||
- Wer schickt denn für 0,39€, auf seinen Namenregistriert
|
||
Malware?
|
||
- andererseits wiegen sich Nutzer in flascher Sicherheit
|
||
--\> Indiv. Angriff möglich
|
||
- Traum für Angreifer: sensible Daten, nur wenige Anbieter,
|
||
unverschlüsselt
|
||
- Traum für Behörden: sensible Daten,nur wenige
|
||
Anbieter,unverschlüsselt,kein Spam
|
||
--\> Ziel: Wirtschaftsförderung und Abhörbarkeit --\> Statt kein
|
||
Interesse an Sicherheit
|
||
- OTR, Omemo
|
||
- PGP
|
||
Achtung Metadaten
|
||
|
||
**--\> Perfect Forward Secrecy**
|
||
- wenn ein Key bekannt wird, bedeutet nicht, dass komplette
|
||
Kommunikation offen liegt
|
||
- in Vergangenheit als auch Zukunft
|
||
|
||
**--\> (plausible) Deniability**
|
||
|
||
**--\> Vertrauenswürdige Basis**
|
||
- Passwörter auf Rechner verschlüsseln
|
||
- OS, z.B. Windows oder Programme - Gefahr Viren, Trojaner, und
|
||
Co.
|
||
- wenn Open Source
|
||
- auch möglich, aber durch Möglichkeit zu Audits
|
||
vertrauenswürdiger
|
||
- Hardware (min. Geheimdienst nötig)
|
||
- kann ich meinem Handy vertrauen?
|
||
- nein
|
||
- warum nicht?
|
||
- Hardware
|
||
- OS / Provider
|
||
- Hersteller (Verzögerung von Updates, eigene Apps)
|
||
- Provider (Verzögerung von Updates, eigene Apps)
|
||
<http://heise.de/-1337858>
|
||
- Bsp Telekom:
|
||
<http://blog.telekom.com/2014/02/05/so-kommt-das-update-auf-mein-smartphone/>
|
||
- Apps
|
||
- GSM /Baseband
|
||
- Passwortzettel nicht rumliegen lassen
|
||
- Trust no one- Ansatz
|
||
|
||
## Juni
|
||
|
||
Koeart - Begrüßung
|
||
|
||
**\#IT Crowd**
|
||
|
||
\* Einleitung / Begriffserklärung
|
||
\*\* Wer ist eigentlich die mächtigste Person im Unternehmen? Der
|
||
CEO?
|
||
Nein, der komische Typ im Keller mit den Wanderschuhen... (Alex)
|
||
\*\* Beispiel Terry Childs (Alex)
|
||
|
||
\*\* Merkt man eigentlich nur wenn was kaputt ist
|
||
--\> Klopapierprinzip
|
||
--\> undankbarer Job, Einschränkungen durch Security,
|
||
Störungen bei der Arbeit wenn was kaputt
|
||
|
||
\*\* gibt verschiedene Typen
|
||
\*\*\* z.B. Systemadministrator, Netzwerkadministrator,
|
||
Systemmanager, Operator,
|
||
Web Administrator, Datenbankadministrator,
|
||
Anwendungsadministrator
|
||
\*\*\* sind für sich spezialisiert
|
||
\*\*\* haben aber auch viele Gemeinsamkeiten, wie im folgenden
|
||
erklärt
|
||
|
||
\*\* Organisation und Technik (alex)
|
||
\*\*\* Admin der nichts zu tun hat macht alles richtig
|
||
\*\*\* kleine IT -\> viel Technik, sehr individuell, breit
|
||
gefächert
|
||
\*\*\* große IT -\> viel Organisation, standardisiert,
|
||
Spezialisierung
|
||
\*\*\*\* weil: je größer die IT um so mehr Standardisierung
|
||
und Normierung
|
||
\*\*\*\* je kleiner kleiner die IT um so mehr Hands on und
|
||
Sonderlösungen
|
||
\*\*\*\* bei großen IT-Umgebungen prozessorientiert
|
||
|
||
**\#Musik - "Ambient Background" soundshrim **
|
||
<https://www.jamendo.com/track/1320383/ambient-background>
|
||
|
||
\*\* aus Sicht aus Usersicht, aus Firmensicht, eines Admins
|
||
\*\* Was machen eigentlich Admins um die IT einer Firma,
|
||
Uni oder ähnlichem am Laufen zu halten?
|
||
\* Konflikte Firmensicht und Adminsicht und Usersicht
|
||
\*\* was kostet Ausfall, was kostet wenn es läuft --\> Optimum
|
||
finden --\> IT-Leiter
|
||
\*\*\*Automatisierungen, Redundanzen, manuelle Tätigkeiten, Back
|
||
Up Strategien
|
||
|
||
\* Strategie und Taktitk (Alex)
|
||
\*\* Vier-Augen-Prinzip
|
||
\*\*\* wichtige Änderungen werden immer nach diesem Prinzip
|
||
gemacht
|
||
\*\*\* schöne Theorie, selten in der Praxis
|
||
\*\* KISS
|
||
\*\*\* keep it simple, stupid (zu deutsch: mach es so einfach
|
||
wie es geht, blödmann!
|
||
<http://catb.org/jargon/html/K/KISS-Principle.html> )
|
||
\*\*\* komplex kann jeder, führt in der Praxis früher oder
|
||
später zu Problemen
|
||
(Upgrades, Migration… )
|
||
\*\*\* Nerds raffen das leider erst viel zu spät
|
||
\*\* Spannungsfeld zwischen sicher und anwenderfreundlich
|
||
\*\*\* die Interessen von Admins und Users sind selten
|
||
deckungsgleich
|
||
\*\*\* letztlich muss der Admin dafür sorgen, dass die User
|
||
arbeiten können, auch wenn es bedeutet sie einzuschränken
|
||
|
||
**Uptime Funk**
|
||
|
||
\* Aufgabenbereiche und Werkzeuge
|
||
\*\* Monitoring - Infrastruktur am laufen halten
|
||
\*\*\*was ist passiert gerade, wie ist akuteller Zustand
|
||
\*\*\*Icinga
|
||
\*\*\* Logserver
|
||
\*\* Dokumentation
|
||
\*\*\* wo ist was, wie ist Konfig, Zuständigkeiten, Change log
|
||
\*\* Incident Mangement
|
||
\*\*\*Ticketsystem (OTRS, Redmine)
|
||
\*\*\* Prioritäten
|
||
\*\*\* Aufgabenverteilung
|
||
\*\* ITLM (IT Livecycle Management) (Alex)
|
||
\*\*\*kaufen, warten, ...
|
||
\*\*\* Lizenzmanagement
|
||
\*\*\* Updatemanagement
|
||
\*\*\*\* Tests und Evaluation
|
||
\*\*\* Softwareverteilung
|
||
\*\*\*\* Tests und Evaluation
|
||
\*\* ITSM (IT Service Management)
|
||
\*\*\*Usermanagement
|
||
\*\*\*\* Rechtemanagement
|
||
\*\*\*\* AD, LDAP
|
||
\*\*\*\* Groupware/Colaboration Tools
|
||
\*\* Testing, Evaluation (Alex)
|
||
\*\*\* Welche Produkte erfüllen die Anforderungen
|
||
\*\*\* Wie müssen sie konfiguriert werden
|
||
\*\* IT-Sicherheit (Alex)
|
||
\*\*\* Datenschutz
|
||
\*\*\* Datensicherheit
|
||
\*\*\* Nur ein sicheres System ist auch ein zuverlässiges
|
||
System
|
||
|
||
**\# Day Routers Died**
|
||
|
||
Wie wird man Admin?
|
||
Welche Voraussetzungen braucht man für den Beruf?
|
||
|
||
\* the dark side (Alex)
|
||
\*\* ITIL (Infrastructure Libary)
|
||
<https://de.wikipedia.org/wiki/IT_Infrastructure_Library>
|
||
\*\*\*Managementtechniken in IT übertragen um messbar zu
|
||
machen,
|
||
\*\*\*\* z.B. Prozesse einführen, Begriffe eindeutig
|
||
bestimmen
|
||
\*\*\*\* nicht als Regel, kein Standard, Kann-Regelungen,
|
||
Best Pratice
|
||
\*\* Zertifikate
|
||
Nachweis von Fähigkeiten
|
||
Firmen mach Schulungsprogramme für ihre Produkte
|
||
--\> daraus erwuchs eigener Industriezweig,
|
||
Firmen wie Microsoft oder Cisco hohe Gewinne damit
|
||
ursprünglich Nachweis von Wissen/Fertigkeiten
|
||
später eher als Marketinglabel um eigene Produkte zu
|
||
vermarkten
|
||
Firmen stellen Leute mit Microsoft zertifikaten ein,
|
||
ist am weitesten verbreitet,
|
||
hoher bedarf an Leuten mit Zertifikaten,
|
||
dafür gesorgt das (teils kostenlos) weit verbreitet
|
||
Schulungsinhalte: nicht nur wissensvermitteln, sondern auch
|
||
meinungsbildend
|
||
auch unabhängige Zertifikate als wirklicher
|
||
Wissensnachweis
|
||
\*\*\* Herstellerzertifizierung
|
||
\*\*\*\* MCSE/MSCDBA/MSCA, Cisco etc
|
||
\*\*\*\* Marketing-Brainwash
|
||
\*\*\*\* manchmal sogar kostelos oder sehr billig um die
|
||
eigenen Produkte im Markt
|
||
zu platzieren
|
||
\*\*\* herstellerunabhängige Zertifikate
|
||
\*\*\*\* LPIC, BSDCG
|
||
\*\* Wartungsverträge
|
||
\*\*\*komplexes Produkt, dass allein nicht verwaltet werden
|
||
kann
|
||
--\> Abhängigkeit von Lieferanten
|
||
\*\*\*\* Das ist das, was große Teile der IT-Industrie am
|
||
Laufen (und Leben) hält
|
||
\*\*\*\*\*sichere über zeit laufende Einnahmen
|
||
\*\*\*\* man schafft sich selber Arbeit, indem man eine
|
||
Ideologie etabliert,
|
||
dass nur das professionell ist, wofür es herstellerseits
|
||
Wartungsverträge gibt
|
||
\*\*\*\* führt dazu, dass in den Organisationen know how
|
||
fehlt
|
||
und mittelfristig zu vendor lock in
|
||
\*\*\*\*\* z.B. Microsoft speichert Office in eigenen
|
||
Formaten statt in freien
|
||
\*\*\*\*\*Venor lock-in:
|
||
Kundenbindung/Herstellerabhängigkeit,
|
||
Wechsel schwer gemacht, hohe Kosten,
|
||
\*\*\*\* Strategie gegen FOSS, weil da gibts sowas ja
|
||
nicht
|
||
und so garantiert ein Unternehmen für das Produkt/Service
|
||
(FUD)
|
||
|
||
|
||
**\# Musik - Intro: "System Administrator Song" von Three Dead Trolls in
|
||
a Baggie**
|
||
<https://chaosradio.ccc.de/ctv056.html#t=0:29.500>
|
||
|
||
Links:
|
||
<http://www.infoworld.com/article/2653004/misadventures/why-san-francisco-s-network-admin-went-rogue.html>
|
||
<https://www.youtube.com/watch?v=rjDSY8LczFw>
|
||
|
||
\* 1 Admin oder Adminteams/Zusammenarbeit mit anderen
|
||
Security
|
||
sich nicht in die quere kommen
|
||
redundanz wenn ein admin ausfällt
|
||
|
||
## May(hem)
|
||
|
||
\#Musik: Intro Broke for Free - At the count
|
||
<http://brokeforfree.bandcamp.com/track/at-the-count>
|
||
|
||
News:
|
||
\* Auch Google lässt Namen durch das Internet erwählen:
|
||
<http://techcrunch.com/2016/05/18/google-asks-the-internet-for-n-words-what-could-possibly-go-wrong/>
|
||
\* <https://twitter.com/nblr/status/725277172655611904>
|
||
\* Zur Auswirkung von Überwachung:
|
||
<http://www.reuters.com/article/us-wikipedia-usage-idUSKCN0XO080>
|
||
\* Windows 10 interrupts a live TV broadcast with an unwanted upgrade
|
||
<http://betanews.com/2016/04/27/windows-10-interrupts-live-tv-broadcast/>
|
||
|
||
\* ImageMagick Br0k3n!1elf
|
||
<https://imagetragick.com/>
|
||
<http://www.heise.de/open/meldung/Boese-Bilder-Akute-Angriffe-auf-Webseiten-ueber-ImageMagick-3200773.html>
|
||
<http://www.heise.de/open/meldung/Webseiten-mit-ImageMagick-Bibliothek-im-Fokus-von-Angreifern-3196901.html>
|
||
\*\*\* wozu dienst dieses Tool und wo wird es eingesetzt
|
||
\*\*\* warum ist es problematisch wenn das kaputt ist?
|
||
|
||
\* Gnu Hurd aktualisiert
|
||
<http://www.heise.de/ix/meldung/Fortschritte-GNU-Projekt-aktualisiert-Hurd-und-Mach-3211287.html>
|
||
\*\*\* Hurd kurz erklären
|
||
\*\*\* totgesagte leben länger
|
||
\*\*\* ein Microkernel-System könnte durchaus die FOSS-Landschaft
|
||
bereichern
|
||
|
||
\* Oracle vs. Google (Java)
|
||
<http://www.heise.de/ix/meldung/Oracle-vs-Google-War-Mobile-Java-schon-vor-Android-im-Niedergang-begriffen-3212056.html>
|
||
\*\*\* der wohl wichtigste IT-Prozess derzeit
|
||
\*\*\* Oracle hat Java mit Sun gekauft
|
||
\*\*\* Sun war eine Firma, die viel auf offene Standards gesetzt
|
||
hat
|
||
\*\*\* Oracle ist einfach nur böse (mehr Anwälte als Entwickler
|
||
etc)
|
||
\*\*\* Google nutzt Java-APIs
|
||
\*\*\* Oracle an das Java im Android ran, auch wenn das nicht ihres
|
||
ist
|
||
\*\*\* Entscheidung kann viele (negative) Auswirkungen auch auf FOSS
|
||
haben, Firmen können Entwickler verklagen, wenn sie ihre APIs nutzen,
|
||
auch wenn sie offen sind wie beim JavaSE
|
||
|
||
# Musik: Broke for free - Nothing like captain crunch
|
||
<http://brokeforfree.bandcamp.com/track/nothing-like-captain-crunch>
|
||
|
||
Es wird zwei Teile geben.
|
||
Im ersten Teil würden wir über Passwörter allgemein sprechen. (ca.
|
||
30min)
|
||
|
||
**\*Arten von Identifikationsverfahren**
|
||
\*\* Wissen/ Etwas das ich weiß
|
||
\*\*\* Eigenschaften: Vergessen,
|
||
Weitergeben/Duplizieren/Verraten, Erraten, Preisgabe erzwingen, schnell,
|
||
einfach
|
||
\*\*\* Beispiele: PIN (z.B. EC_Karte), Passwort, Passphrase
|
||
(länger als PW),Sicherheitsfrage
|
||
\*\* Besitz / Etwas das ich habe
|
||
\*\*\* Eigenschaften: Produktionsaufwand, muss es immer
|
||
rumtragen, kann ich verlieren, kann gestohlen werden
|
||
\*\*\* Beispiele: Schlüssel (phys. oder virt.), Karten
|
||
(Magnetstreifen, RFID, Smart), TAN-Liste, Token
|
||
\*\* Körperliches Merkmal/Biometrie - Etwas das ich bin
|
||
\*\*\* Eigenschaften: immer dabei, dadurch missbrauchbar, z.B.
|
||
Daten Gescihtserkennung auch Nutzung bei Überwachungskameras und
|
||
nicht nur Ausweis, teils leicht abnehmbar (Schäubles
|
||
Fingerabdruck), techn. Aufwand zur Erkennung, immer Brücke
|
||
zwischen fehlerhafte Erkennung ist möglich (False
|
||
Acceptance) und fehlerhafte Zurückweisung ist möglich (False
|
||
Rejection),
|
||
Datenschutz, Auschluss bestimmter Gruppen möglich, z.B.
|
||
Probleme bei Fingerabdruck erkennung asiatische Frauen \[1\]
|
||
\*\*\* Beispiele: Fingerabdruck, Gesichtserkennung,
|
||
Tippverhalten, Stimmerkennung, Iriserkennung, Retinamerkmale,
|
||
Handvenenscannen, DNS
|
||
|
||
**\* Woher kommen Passwörter?**
|
||
\*\* ursprünglich Parolen beim Militär um bei Dunkelheit zu
|
||
entscheiden ob Freund oder Feind
|
||
\*\* Ganz früher gabs einen Pförtner an der Tür, der geregelt hat
|
||
wer reinkam
|
||
\*\* Passwörter sind nicht dafür da Daten freizugeben, sondern den
|
||
User gegenüber dem Computer zu authentizieren. Wer auf was
|
||
zugreifen darf, wird vom Rechtesystem geregelt. (Wird oft
|
||
falsch verstanden)
|
||
|
||
**\* Wie werden Passwörter gehackt?**
|
||
\*\* Nutzer ist Schuld
|
||
\*\*\* zu einfach
|
||
\*\*\*zu kurz, kann man durchprobieren, wie beim
|
||
Fahrradzahlenschloss
|
||
\*\*\*\* gibt auch Sperrmechanismen wie EC-Karten
|
||
\*\*\* überall das gleiche
|
||
\*\*\*\*Problem wenn eins bekannt wird, liegen auch alle
|
||
anderen Zugange offen
|
||
\*\*\* Statistiken zu häufigsten Passwörtern
|
||
\*\*\*\* über Jahre hinweg immer wieder die gleichen
|
||
häufigsten Passwörter
|
||
Rank Password \[2\]
|
||
1 123456
|
||
2 password
|
||
3 12345
|
||
4 12345678
|
||
5 qwerty
|
||
6 123456789
|
||
7 1234
|
||
8 baseball
|
||
10 football
|
||
11 1234567
|
||
13 letmein
|
||
14 abc123
|
||
15 111111
|
||
17 access
|
||
20 michael
|
||
21 superman
|
||
22 696969
|
||
23 123123
|
||
24 batman
|
||
oft auch Seitenname...
|
||
\*\*\*\*linked in: "123456", das über eine Million mal genutzt
|
||
wurde (von 140 Mio)
|
||
"linkedin", "password", "123456789" weit über
|
||
hunderttausend Mal
|
||
\*\*\* Brute Force
|
||
\*\*\* Umgang mit dem Passwort (Post it am Monitor,
|
||
unverschlüsselte Passwortlisten oder Passwortmanager ohne
|
||
Masterpasswort)
|
||
\*\*\*\*ALH: Trojaner suchen nach PW-Datenbanken
|
||
\*\*\*\*ALH: Leute mit Feldstechern vor Firmen
|
||
\*\* Betreiber ist Schuld
|
||
\*\*\* unverschlüsselte Übertragung, kein https,
|
||
Schlüsselsymbol --\> meckert mit dem Betreiber
|
||
\*\*\* Passwörter im Klartext speichern
|
||
\*\*\* Hash, vgl. Prüfsumme, Quersumme,
|
||
\*\*\*\* eindeutig: wenn man das gleiche rein tut, kommt
|
||
das gleiche raus, tut man was anderes rein, kommt was anderes raus
|
||
\*\*\*\* passiert serverseitig
|
||
\*\*\* Passwörter gehasht, aber ohne Salt
|
||
\*\*\*\* aktuelles Beispiel Linked In \[3\] 180 Mio PW 2012
|
||
geklaut, jetzt größtenteils entschlüsselt
|
||
\*\*\* Rainbow Tables \[4\]
|
||
\*\*\* Keylogger oder andere Malware
|
||
|
||
**\* Tipps zum Umgang mit Passwörtern (abgeleitet aus Angriffen)**
|
||
\*\* Was sind starke/schwache Passwörter?
|
||
\*\* Wie erstelle ich mir ein sicheres Passwort, dass ich mir merken
|
||
kann?
|
||
\*\*\* Staple Horse Battery Coorect \[5\]
|
||
\*\*\* Snowden Interview
|
||
\*\* Wie verwalte ich meine Passwörter? (Passwortendatenbanken)
|
||
\*\*\*Keepass(X)
|
||
\*\*\*ALH: Plugins
|
||
\*\*\*Broswer-PW-DB
|
||
\*\*Warum soll ich überall verschiedene Passwörter verwenden?
|
||
\*\* usw.
|
||
|
||
\#Musik: Jonathan Mann - How To Choose A Password
|
||
<https://www.youtube.com/watch?v=oBBk_dpOX7w>
|
||
|
||
|
||
Im zweiten Teil kämen wir dann zu **Alernativen** zu Passwörtern.
|
||
Welche Alternativen zu Passwörtern gibt es, was sind deren Vor- und
|
||
Nachteile? (Ca. 45min)
|
||
\* OAuth/OpenID
|
||
\*\* ursprüngliche Idee
|
||
\*\*\*eigentlich keine wirkliche Alternative zu Passwörtern,
|
||
eher der Versuch Passwörter nicht im ganzen Netz zu verteilen
|
||
\*\* heutige Kritik (OAuth zu komplex, zieht Consulting etc hinter
|
||
sich her)
|
||
\* Zertifikate
|
||
\*\* Statt einfach zu ratender Passwörter wird ein Crypto-Key
|
||
benutzt
|
||
\*\* Problem: Kommt der weg, gibt es keinen zusätzlichen Schutz
|
||
\* Zwei-Faktor-Authentifizierung
|
||
\*\*\* neben dem Passwort muss man auch den Besitz eines
|
||
weiteren Tokens nachweisen
|
||
\*\*\*\* Token kann ein Gerät sein, ein Zertifikat, TAN
|
||
usw.
|
||
\*\*\*\* Weitere Faktoren: Uhrzeit, Lokation, Gerät usw.
|
||
\*\*\* sehr unwahrscheinlich, dass Passwort und Token gemeinsam
|
||
gestohlen werden
|
||
\*\*\* die Token müssen gegen Ausspähen, Kopieren etc geschützt
|
||
sein
|
||
\*\* Trust Scores by Google
|
||
\*\*\* Kombination aus Faktoren (Sprache, Nähe zu WLANs etc)
|
||
errechnet Score
|
||
\*\*\* je nach Dienst muss der höher oder niedriger sein
|
||
|
||
<http://www.theregister.co.uk/2016/05/24/google_smartphone_password_replacement_trust_scores/>
|
||
\*\* Tippverhalten
|
||
\*\* Biometrie
|
||
\*\* Äpps
|
||
\*\*Zertifikate
|
||
\*\*\* als zusätzlicher Faktor, nicht zu verwechseln mit
|
||
Zertifikat als "Login-Passwort"
|
||
\*\* SmartCards / Dongles
|
||
\*\*\* Was SmartCards nicht sind
|
||
\*\*\*\* Transponder- und RFID-Cards
|
||
\*\*\*\* Speicherkarten
|
||
\*\*\*\* Mifare-Karten etc.
|
||
\*\*\* Wie funktioniert so eine Smartcard?
|
||
\*\*\*\* Meist als Chipkarte oder USB-Dongle ausgeführt, es
|
||
gibt aber auch andere Bauarten, zum Beispiel NFC, auf Mainboard oder in
|
||
CPU integriert oder als externes Gerät
|
||
\*\*\*\* Nicht einfach nur ein Speicher für Keys, sondern
|
||
eher ein kleiner Computer, der die Zugriffe auf den eigentlichen
|
||
Speicher regelt
|
||
\*\*\* Warum sind die Keys etc darin sicher?
|
||
\*\*\*\* Das OS und auch der User haben keinen direkten
|
||
Zugriff auf die Geheimnisse
|
||
\*\*\*\* Sicherheitsprobleme auf dem OS beeinflussen nicht
|
||
die Smartcard
|
||
\*\*\*\* Smartcards sind leicht auditierbar und damit
|
||
unwahrscheinlich, dass es Fehler gibt, zumindest in der Theorie
|
||
\*\*\*\* In der Praxis muss man dem Hersteller trauen
|
||
\*\*\* Zeitabhängige Verfahren vs. Challenge-Response
|
||
\*\* Mobile TAN, TAN Generatoren
|
||
\*\* Umsetzungen
|
||
\*\*\* propietäre Lösungen (RSA Security, ID Control, Vasco,
|
||
Kobil etc)
|
||
\*\*\*\* geht dauernd kaputt
|
||
\*\*\*\* benötigt Infrastruktur des Herstellers
|
||
\*\*\*\* zieht meistens Wartungsverträge und Vendor-Lockin
|
||
nach sich
|
||
\*\*\*\* teuer und komplex
|
||
\*\*\* Fido U2F
|
||
\*\*\*\* nicht zu verwechseln mit Fido UAF, einem
|
||
Biometrie-Auth-Protokoll
|
||
\*\*\*\* sehr günstig (ab ca. 5€, war von Anfang an
|
||
Designziel)
|
||
\*\*\*\* herstellerunabhängig
|
||
\*\*\*\* offener Standard (bereits integriert in diverse
|
||
Produkte, zum Beispiel Google, diverse Sachen von Microsoft und auch
|
||
FOSS-Software wie PAM)
|
||
\*\*\*\* kann nicht viel, aber ist perfekt um den Besitz des
|
||
2. Faktors nachzuweisen
|
||
\*\*\* OTP
|
||
\*\*\*\* one time password
|
||
\*\*\*\* nicht zu verwechseln mit "one time pad"
|
||
\*\*\*\* zeitabhängig/zählerabhängig & andere mathematische
|
||
Verfahren, TOTP/HOTP (<https://netknights.it/hotp-oder-totp/)> am
|
||
weitesten verbreitet
|
||
\*\*\*\* sowohl in Hardware (diverse Smartcards) als auch
|
||
Software (Keepass)
|
||
\*\*\* Tan-Generatoren via Chip-Karte (Smartcard oder ePerso)
|
||
\*\*\* OpenPGP-Card (Crypto finden auf Karte statt und
|
||
Kommunkation mit OS über API)
|
||
\*\*\*\* ist eigentlich für GnuPG-Verschlüsselung gedacht,
|
||
kann aber über Umwege zur Authentizierung bzw als Besitzbeweis genutzt
|
||
werden
|
||
\*\* Yubi-Key, NitroKey, Software-Lösungen auf Java-Cards
|
||
|
||
\#Musik: Outro -Triplexity Invited with Jennifer Greer
|
||
<https://www.jamendo.com/track/189568/triplexity-invited-with-jennifer-greer>
|
||
|
||
Quellen:
|
||
\[1\]
|
||
<http://www.spiegel.de/netzwelt/tech/biometrie-pannen-die-probleme-kleiner-asiatischer-frauen-a-288462.html>
|
||
\[2\] <https://www.teamsid.com/worst-passwords-of-2014/>
|
||
\[3\]
|
||
<http://www.heise.de/newsticker/meldung/LinkedIn-Leck-Mehr-als-80-Prozent-der-Passwoerter-bereits-geknackt-3212075.html>
|
||
\[4\] <http://kestas.kuliukas.com/RainbowTables/>
|
||
\[5\] <https://xkcd.com/936/>
|
||
|
||
## April(, April)
|
||
Topic: Werbenetzwerke - Targeted Ad Attacks
|
||
|
||
Aufbau:
|
||
\* Vorstellung Gäste =\> H.A.T.E.O.T.U. ?!
|
||
\* Werbenetze
|
||
\*\*Warum Werbung im Netz?
|
||
\*\*Arten von Werbung im Netz
|
||
\*\*Wie wird man durchs Netz verfolgt?
|
||
\*\*\*Veranschaulichungen: Lightbeam (Firefoxplugin) \[1\],
|
||
Datenblumen \[2\]
|
||
\*\*\*Cookies
|
||
\*\*\*\*HTTP - Cookies, Flash-Cookies, Supercookies,
|
||
Evercookies
|
||
\*\*\*Cache- und Browser-Fingerprinting
|
||
\*\*Was ist das?
|
||
\*\*\*Erklärung
|
||
\*\*\*Beispiele: Google, Doubleclick (inzwischen Google),
|
||
Facebook, Twitter , Yahoo, Adobe, Microsoft
|
||
nicht nur Werbebanner und Cookies tracken, Google etc
|
||
nutzen auch Content wie Youtube, Gmail etc
|
||
Bei Apps was wird getrackt? (auf was sie Zugriff
|
||
bekommen)
|
||
|
||
Browserspezifische optimieren
|
||
Werbenetzwerke sammeln infos
|
||
→ dann kann man zu Google sagen was wird wo angezeigt
|
||
→ nur Gruppe von Leuten wird das angezeigt
|
||
→ dann wird es nicht mitbekommen, es wird zielgerichtet
|
||
angegriffen, deshalb nicht in Virenscannern und Co. auffindbar
|
||
→ Exploit kann auch erst nach gewisser zeit aktiv
|
||
werden
|
||
→ Angriffe auch über normale Seiten, da alle gleiche
|
||
Werbenetze suchen
|
||
--\> wenn man mit Adminrechten arbeitet wie es viele
|
||
machen, dann GAU
|
||
Trackingtechniken
|
||
SSL nützt da nix, weil das Tracking über die Server läuft und
|
||
nicht über die Verbindung
|
||
Identification als Person, nicht nur an einem Gerät
|
||
Google: „egal ob wir deinen Namen kennen, Hauptsache
|
||
können dich identifizieren“
|
||
Targeted Ad attacks
|
||
Warum?
|
||
Wie geht das?
|
||
Was kann man dagegen tun?
|
||
Nicht nur nervig auch Sicherheitsrisiko
|
||
Werbefreie Äpps (aka FOSS) =\>
|
||
\[librejs\](<https://www.gnu.org/software/librejs/)>
|
||
Studie Werbebannerfilter – Effizienz der einzelnen
|
||
Tools
|
||
Empfehlung panopticlick.eff.org --\> Fingerprinting eindämmen
|
||
Tor =\> \[tor-browser\](<http://torproject.org/)>
|
||
Do not track (hier auch Nachteile nennen) §15 III TMG (nur in
|
||
D)
|
||
Ghostery (umstritten, Default-Einstellungen, Firmenzweck)
|
||
Adblock (umstritten, Default-Einstellungen, Firmenzweck)
|
||
Hilft nicht gegen alle Arten,...
|
||
NoScript
|
||
Privacy Badger
|
||
UBlock origin
|
||
|
||
Zeit ca. 1h
|
||
|
||
Veranstaltungshinweis: \[Linux Presentation Day\]
|
||
|
||
- 30.04.2016 in den Räumen der HTW Dresden
|
||
- 27.04.2016 16:00-19:30 Wikipedia-Sprechstunde in der SLUB 0.46
|
||
<https://www.radiodresden.de/nachrichten/lokalnachrichten/erste-wikipedia-sprechstunde-in-der-slub-1218555/>
|
||
- 27.04.2016 ab 19:00 LaTeX Helpdesk in der SLUB -2.115
|
||
<https://fsfw-dresden.de/>
|
||
|
||
Links:
|
||
\[1\] <https://www.mozilla.org/de/lightbeam/>
|
||
\[2\] <http://datenblumen.wired.de/>
|
||
\[Linux Presentation Day\]:
|
||
<https://veranstaltungen.dresden.de/events/6699?from=1462021200000>
|
||
<http://www.theatlantic.com/technology/archive/2015/11/your-phone-is-literally-listening-to-your-tv/416712/>
|
||
<http://www.bbc.com/news/technology-34732514>
|
||
<https://www.rt.com/usa/flashlight-app-spy-users-815/>
|
||
<http://www.gayadnetwork.com/files/GayAdNetwork_Mobile.pdf>
|
||
<https://de.wikipedia.org/wiki/Flash-Cookie>
|
||
<https://de.wikipedia.org/wiki/Cookie>
|
||
<https://de.wikipedia.org/wiki/Web_Storage>
|
||
<https://de.wikipedia.org/wiki/Anonymit%C3%A4t_im_Internet#Techniken_zur_Identifizierung_von_Nutzern_im_Web>
|
||
<https://de.wikipedia.org/wiki/Google-Werbenetzwerk>
|
||
<https://de.wikipedia.org/wiki/Web_Analytics>
|
||
<https://en.wikipedia.org/wiki/Malvertising>
|
||
<https://en.wikipedia.org/wiki/Malvertisement>
|
||
<http://blog.check-and-secure.com/091015-malvertising-up-325-are-adblockers-working/>
|
||
|
||
News:
|
||
\* Microsoft chatbot is taught to swear on Twitter
|
||
\<<http://www.bbc.com/news/technology-35890188>\>
|
||
\* The Internet routes around censorship, this time with Wikipedia Zero
|
||
\<<http://motherboard.vice.com/read/wikipedia-zero-facebook-free-basics-angola-pirates-zero-rating>\>
|
||
\* Linus Neumann benennt große Herausforderungen für Trolle, PremiumCola
|
||
erklärt sein Erfolgsrezept, das Easterhegg war ein Spaß:
|
||
<https://eh16.easterhegg.eu/>, <https://media.ccc.de/c/eh16>
|
||
\* Auch Microsoft macht uns das trollen schwer, seit einiger Zeit schon
|
||
wird dort Open Source (MIT) gebaut (s.a. SQL Server 2016 für Linux
|
||
<http://www.heise.de/newsticker/meldung/Spaete-Freundschaft-Microsoft-plant-SQL-Server-fuer-Linux-3130161.html)>
|
||
und nun basht man dort sein Windows höchstselbst:
|
||
<http://blog.dustinkirkland.com/2016/03/ubuntu-on-windows.html>
|
||
\*
|
||
<http://www.heise.de/newsticker/meldung/Deutsche-Telekom-Smart-Home-System-Qivicon-erneut-ausgefallen-3171968.html>
|
||
\* Dezentrale eBay-Alternative seit 3 Wochen live
|
||
<https://openbazaar.org/>
|
||
\* BKA-Gesetz
|
||
<https://netzpolitik.org/2016/bka-gesetz-urteil-de-maiziere-will-gesetzte-grenzen-vollumfaenglich-ausschoepfen/>
|
||
|
||
## M(ehr H)erz
|
||
|
||
Begrüßung: Heute ist Pinguintag! Alles Gute euch allen! :)
|
||
|
||
Musik:
|
||
Partiion 36 - I Love Penguins
|
||
<https://archive.org/details/jamendo-058962>
|
||
|
||
News:
|
||
\* LibOTR-Implementation kaputt
|
||
<http://www.heise.de/newsticker/meldung/Kritische-Luecke-in-Jabber-Verschluesselung-OTR-3130396.html>
|
||
\* TP-Link blockt custom firmware wg. Regulierung:
|
||
<http://arstechnica.com/information-technology/2016/03/tp-link-blocks-open-source-router-firmware-to-comply-with-new-fcc-rule/>
|
||
\* Mehr "OpenSource" in den Behörden der USA gewünscht:
|
||
<https://www.whitehouse.gov/blog/2016/03/09/leveraging-american-ingenuity-through-reusable-and-open-source-software>
|
||
\* Debian wieder mit Firefox statt Iceweasel
|
||
\*
|
||
<https://netzpolitik.org/2016/gerichtsurteil-social-plugins-duerfen-keine-daten-ohne-zustimmung-erheben/>
|
||
\* StartSSL noch immer kaputt
|
||
<http://oalmanna.blogspot.de/2016/03/startssl-domain-validation.html>
|
||
und CAcert hoffentlich im April wieder geschlichtet, immerhin schonmal
|
||
neue Signaturen
|
||
<https://blog.cacert.org/2016/03/successful-root-re-sign/>
|
||
\* Hack des Monats: <https://github.com/fulldecent/system-bus-radio>
|
||
\* ctypes.sh: <https://github.com/taviso/ctypes.sh>
|
||
|
||
Thema: Verbreitung von Linux und Freier Software
|
||
Chemnitzer Linux Tage: Waren letztes Wochenende.
|
||
|
||
Warum Linux?
|
||
|
||
- Paketverwaltung
|
||
- Vollständig anpassbar / Konfigurierbar
|
||
- verschiedene GUIs
|
||
- Open Source
|
||
- Vielfalt an Distros
|
||
- Updates & upgrades (Stable / Rolling Release)
|
||
- Probleme kann man selbst beheben
|
||
- nachvollziehbarkeit
|
||
- eher für Fortgeschrittene (?)
|
||
- Hardware schränkt ein (Treiber, etc.)
|
||
- aber bringt in der Standardinstallation mehr Treiber als jedes
|
||
anderes Betriebssystem mit
|
||
- Community
|
||
- Events
|
||
- Foren
|
||
- Chats
|
||
- keine "Utilities" / Virenscanner & co. nötig
|
||
- System muss dennoch sicher benutzt/gewartet werden
|
||
- Wie siehts mit Gaming aus?
|
||
|
||
Lug-DD:
|
||
|
||
- Ort und Zeit der lug-Treffen
|
||
- GAG18, 2. und 4. Mittwoch im Monat, 20:00 Uhr
|
||
- WLAN vorhanden
|
||
- Guenstige Getraenke (Studentenclub)
|
||
- (Alters-)Struktur der Mitglieder
|
||
- Zur Zeit wenig Studenten dabei
|
||
- Auch die lug-dd unterliegt dem demografischen Wandel :)
|
||
- Themen/Selbstverstaendnis
|
||
- Kein Verein, jeder kann vorbeikommen
|
||
- Vortraege momentan eher selten
|
||
- Support \#1: Wir helfen gern, aber es muss auch ein \[minimaler\]
|
||
|
||
Lerneffekt sichtbar sein.
|
||
|
||
- Support \#2: Wir helfen gern, haben aber was gegen Anspruchshaltung.
|
||
|
||
"Konfigurier' mir das mal richtig, sonst geh ich zurueck zu
|
||
Windows"
|
||
wird nicht akzeptiert.
|
||
|
||
- Viele Fragen/Antworten laufen auch ueber die Mailingliste
|
||
|
||
(lug-dd@schlittermann.de)
|
||
|
||
fsfw-Dresden
|
||
|
||
- aktiv seit etwas mehr als einem Jahr
|
||
- Ziele:
|
||
- Dokumentation für freie Software zur Verfügung stellen
|
||
- Einsatz für die Verwendung freier Software an der Univeristät
|
||
- sichere Kommunikation an der Uni fördern (E-Mail Verschlüsselung)
|
||
- freien Zugang zu Wissen fördern
|
||
- mehr Details: Programmpapier
|
||
- Aktivitäten:
|
||
- verschiedene Veranstaltungen (z.B. Linux-Install-Parties,
|
||
Cryptoparties), oft in kooperation mit anderen Organisationen (c3d2,
|
||
Datenkollektiv, ifsr, it4r, StuRa der HTW, SLUB)
|
||
- GPG-Gewinnspiel um zum E-Mail verschlüsseln motivieren
|
||
- monatlicher LaTeX-Helpdesk in der SLUB
|
||
- Newsletter (Hinweise auf Veranstaltungen und relevante Neuigkeiten)
|
||
- Interessierte sind beim Plenum in der SLUB willkommen (die Termine
|
||
finden sich auf der Website)
|
||
|
||
Linux Presentation Day
|
||
|
||
- 30.04.2016 in den Räumen der HTW Dresden
|
||
- <https://wiki.fsfw-dresden.de/doku.php/events/linux-presentation-day>
|
||
- Ablauf
|
||
- Vortrag
|
||
- Linux Install Party
|
||
|
||
## Fairbrew
|
||
|
||
Thema Perl6
|
||
|
||
News:
|
||
Bundestrojaner:
|
||
<http://www.dw.com/en/german-government-to-use-trojan-spyware-to-monitor-citizens/a-19066629>
|
||
Anlass: SW des BKA jetzt einsatzbereit und genehmigt, fuer Mobile und
|
||
PCs.
|
||
"According to a 2008 decision by the German Constitutional Court, remote
|
||
access to a citizen's computer is permissible only if there is
|
||
life-threatening danger or suspicion of criminal activity against the
|
||
state." (i.e. "Verfassungsfeinde"). Beschwerde anhaengig, im April in
|
||
Karlsruhe.
|
||
<http://www.deutschlandfunk.de/gerhart-baum-zum-bundestrojaner-der-staat-wird-hier-zum.694.de.html?dram:article_id=346287>
|
||
|
||
glibc resolver luecke, remote attackable!
|
||
glibc: Dramatische Sicherheitslücke in Linux-Netzwerkfunktionen
|
||
\<<http://www.heise.de/newsticker/meldung/glibc-Dramatische-Sicherheitsluecke-in-Linux-Netzwerkfunktionen-3107621.html>\>
|
||
|
||
Tim Cook gegen das FBI, Apple weigert sich Telefone fuer das FBI zu
|
||
entschluesseln.
|
||
Bill Gates steht hinter dem FBI.
|
||
Die Mehrheit des Internet ist dagegen, die Presse veroeffentlicht
|
||
Statistiken, dass die mehrheit der Bevoelkerung hinter dem FBI stehe.
|
||
|
||
Firefox zeigt in Zukunft bei Passwortformularen eine Warnung an, wenn
|
||
diese über http gehen:
|
||
\<<https://hacks.mozilla.org/2016/01/login-forms-over-https-please/>\>
|
||
|
||
Bitcoin
|
||
- Euro-Preis schwankt wiedermal stark
|
||
-
|
||
<http://www.coindesk.com/bitcoin-miners-back-proposed-timeline-for-2017-network-hard-fork/>
|
||
Kein Consens in Sicht
|
||
|
||
Sicherheitslücke in Linux Mint: <http://blog.linuxmint.com/?p=2994>
|
||
|
||
(Optional)
|
||
- Hacker Publishes Personal Info of 20,000 FBI Agents
|
||
\<<http://motherboard.vice.com/read/hacker-publishes-personal-info-of-20000-fbi-agents>\>
|
||
- Elektronische Fahrkarten doch nicht so gut? wieder Papier?
|
||
\<<http://www.golem.de/news/vbb-fahrcard-der-fehler-steckt-im-system-1602-118840-4.html>\>
|
||
|
||
Thema:
|
||
\* Vorstellung Gaeste
|
||
\* Warum Perl?
|
||
Generell wo fuer ist das gut und wo wird es verwendet?
|
||
\* Warum jetzt Perl6?
|
||
Endlich veroeffentlich nach 16 Jahren.
|
||
Features und Unterschiede
|
||
|
||
\* Geschichte
|
||
Milestones, zwischen Versionen
|
||
Warum hat die Entwicklung so lange gedauert?
|
||
\<
|
||
|
||
\* Soll man umsteigen von Perl5
|
||
\* Projekte mir Perl6
|
||
\* Wo faengt man an.
|
||
<http://perl6.org/>
|
||
|
||
\* Wird Perl6 irgendwann noch schnell?
|
||
\* CPAN für Perl5. Pendant für Perl6?
|
||
|
||
## Janvier
|
||
|
||
News:
|
||
|
||
Net neutrality:
|
||
<https://www.eff.org/deeplinks/2016/01/eff-confirms-t-mobiles-bingeon-optimization-just-throttling-applies>
|
||
(Mic92 - hats gelesen)
|
||
|
||
Was duckduckgo und facebook können, können wir doch auch ...
|
||
<http://rvy6qmlqfstv6rlz.onion/> c3d2 ist über einen onion service
|
||
erreichbar
|
||
|
||
Buch über das Vermächtnis von AS:
|
||
<http://thenewpress.com/books/boy-who-could-change-world>
|
||
|
||
TrumpScript: <https://github.com/samshadwell/TrumpScript> (Artikel dazu
|
||
sind am Ende der README verlinkt)
|
||
- Falls seine Reden als Text verfügbar sind, müsste man die mal in den
|
||
Interpreter stopfen und schauen was bei rauskommt :)
|
||
|
||
Niederländische Regierung sponsert OpenSSL \$540,000
|
||
-
|
||
<http://www.theregister.co.uk/2016/01/04/dutch_government_says_no_to_backdoors/>
|
||
- Gegen Spionage und Krimnielle Energien
|
||
|
||
Niederländische Regierung spricht sich gegen Krypto-Hintertüren aus
|
||
-
|
||
<http://www.heise.de/security/meldung/Niederlaendische-Regierung-spricht-sich-gegen-Krypto-Hintertueren-aus-3061159.html>
|
||
|
||
Französische Regierung spricht sich gegen Krypto-Hintertüren aus
|
||
-
|
||
<http://www.pro-linux.de/news/1/23161/frankreich-sagt-non-zu-staatlich-verordneten-hintertueren.html>
|
||
|
||
<https://blog.docker.com/2015/12/ian-murdock/>
|
||
- Ian Murdock: Debian Maintainer, letzter Maintainer Docker
|
||
|
||
<http://www.nytimes.com/2016/01/26/business/marvin-minsky-pioneer-in-artificial-intelligence-dies-at-88.html>
|
||
Marvin Minsky ist tot
|
||
|
||
<https://medium.com/@octskyward/the-resolution-of-the-bitcoin-experiment-dabb30201f7>
|
||
Mit Bitcoin ist es vorbei - sagt Mike Hearn
|
||
<https://bitcoin.org/en/bitcoin-core/capacity-increases-faq> das Core
|
||
Team und die Menschen, die leise echte Lösungen haben verbreiten ihre
|
||
Roadmap
|
||
<http://www.ibtimes.co.uk/r3-connects-11-banks-distributed-ledger-using-ethereum-microsoft-azure-1539044>
|
||
Dafür setzen Banken auf Microsoft und Ethereum
|
||
<http://money.cnn.com/2016/01/21/technology/china-digital-currency/index.html>
|
||
die Chinesische Zentralbank will eine eigene CryptoCurrency
|
||
<https://z.cash/> Zerocoin nimmt Gestalt an
|
||
|
||
Thema: Linuxkernel . community
|
||
|
||
- Erstveröffentlichung:
|
||
-
|
||
<http://www.thelinuxdaily.com/2010/04/the-first-linux-announcement-from-linus-torvalds/>
|
||
- *just a hobby, won’t be big and professional like gnu*
|
||
* - Newsgroups: comp.os.minix*
|
||
- Entwicklung auf seinem 386-PC
|
||
- bash & gcc
|
||
- Tanenbaum–Torvalds debate:
|
||
- 1992 on the Usenet discussion groupcomp.os.minix, arguing that
|
||
microkernels are superior to monolithic kernels and therefore Linux was,
|
||
even in 1992,obsoletee
|
||
- 1991 - 2002:
|
||
- Entwicklung ohne Versionskontrollsystem (Erklären anhand von
|
||
- Tarballs + Patchest
|
||
- 2002 - 2005:
|
||
- Bitkeeper
|
||
- propritäres verteiltes Versionssystem
|
||
- Kostenlos für Kernelentwicklung
|
||
- Andrew Tridgell (Entwickler v. Samba u. rsync) entwickelte
|
||
"SourcePuller" als kompatible Implementierung -\> Larry McVoy: zieht
|
||
Lizenz zurück
|
||
- 2005:
|
||
- Linus Torvalds stellt Kernelenwicklung ein und entwickelt innerhalb
|
||
weniger Wochen git
|
||
- Monotone erfüllte 2/3 Kritieren (Verteiltheit, Sicherheit)
|
||
aber war zu langsam
|
||
|
||
\# Wie reiche ich einen Patch ein?
|
||
- doc/CodingStyle
|
||
- wie setze Klammern, dokumentiere ich, verhindere ich Komplexität
|
||
(Funktionen)
|
||
- scripts/checkpatch.pl
|
||
- Whitespace, Checkt Stil
|
||
- scripts/get_maintainer.pl
|
||
- liefert Maintainer aber auch passende Mailinglisten
|
||
- ist manchmal übereifrig, Liste nachkontrollieren
|
||
- Maintainer (Zu sehen in <https://git.kernel.org/cgit/)>
|
||
- Baumstruktur (hierarisch)
|
||
- Aufgabenteilung
|
||
- Architekturen: 31 an der Zahl
|
||
- ARM (vielleicht weiter ausführen)
|
||
- X86
|
||
- Treibersubsysteme (USB, Block, Bluetooth, Sound)
|
||
- Dateisysteme
|
||
- Grafik (DRM, Nvidea-Rant:
|
||
<https://www.youtube.com/watch?v=MShbP3OpASA)>
|
||
|
||
|
||
- Mailingliste:
|
||
- Linux Kernel Mainlinglist (LKML) als Catchall (wird meißt nur als
|
||
Referenz verwendet, liest aber keiner)
|
||
- einzelne Subsysteme haben eigene Mailinglisten für
|
||
Patches/Diskussionen
|
||
- Ausführliche Commitbeschreibung / kurzer Betreff
|
||
- Patches - werden inline verschickt und vom Maintainer inline
|
||
kommentiert
|
||
- Pull-Request (Unterschied zu Github)
|
||
- Developer Certificate of Origin (Signed-off-by: ... in
|
||
Commitnachricht) ... Einsender bestätigt, dass er berechtig ist die
|
||
Änderung einzubringen
|
||
- Patchversionen im Betreffeld der Email
|
||
- Documentation/SubmittingPatches
|
||
|
||
- Releaseablauf
|
||
- Maintainer sind ein Release weiter (wenn 4.4 released, Arbeiten
|
||
Maintainer an 4.6)
|
||
- Merge-Window: 2 Wochen in denen die Hauptänderungen in den
|
||
Hauptkernel einfliessen
|
||
- 6-8 Wochen Stabilisierung + Aufnahme neuer Features durch
|
||
Maintainer
|
||
- Heise KernelLog als Zusammenfassung
|
||
- <https://lwn.net/>
|
||
|
||
- We don't break Userspace!
|
||
- Betriebssystemschnittstellen müssen kompatible zu alten Versionen
|
||
bleiben
|
||
-\> sonst wird Torvalds böse
|
||
|
||
- Medien
|
||
- Sarah Sharp (USB-3) - Closing a door
|
||
(<http://sarah.thesharps.us/2015/10/05/closing-a-door/)>
|
||
- Generelles Problem unterschiedlicher Kulturen (europäisch,
|
||
asiatisch, amerikanisch, ...)
|
||
- Größte Opensourceprojekt überhaupt (Code + Contributor) \>7.7
|
||
Änderungen pro Stunde 24/7
|
||
(<http://www.linuxfoundation.org/news-media/announcements/2015/02/linux-foundation-releases-linux-development-report)>
|
||
|
||
|
||
- Konferenzen?
|
||
|
||
- LinuxCon + LinuxCon Europe (Docker, Docker, Cloud, Cloud, ...)
|
||
- Fragerunde mit Torvalds
|
||
- embedded Linux Conference (+Europe) ... da wo die Profis sind
|
||
- Leute von der Mailingliste in RL treffen
|
||
- Kernel Summit
|
||
- intern invitation only
|
||
- Kernentwickler/Maintainer
|
||
- Arbeitstreffen -\> Entscheidungsfindung
|
||
- Chemnitzer LinuxTage
|
||
- FrosCon
|
||
- FOSDEM (5000 Menschen)
|
||
- LinuxTag (RIP?)
|
||
- kleinere/größere Konferenzen auf allen Kontinenten (LinuxCon AU,
|
||
Japan)...
|
||
|
||
- Talkempfehlung:
|
||
-
|
||
- Geschichte von Git: Google I/O Talk
|
||
<https://www.youtube.com/watch?v=4XpnKHJAok8>
|
||
|
||
## Schneezember
|
||
|
||
Thema: Letsencrypt
|
||
|
||
NSA to shut down bulk phone surveillance program by Sunday Nov 29
|
||
<http://www.reuters.com/article/2015/11/27/us-usa-nsa-termination-idUSKBN0TG27120151127>
|
||
|
||
Überwachung für alle: Open Source License Plate Reader
|
||
<http://arstechnica.com/business/2015/12/new-open-source-license-plate-reader-software-lets-you-make-your-own-hot-list/>
|
||
|
||
Brazil verbietet Whatsapp, 1.5 Mio. neue Telegram-User an 1 Tag
|
||
<http://www.heise.de/newsticker/meldung/Brasilianisches-Gericht-hebt-WhatsApp-Blockade-auf-3046727.html>
|
||
|
||
<http://www.heise.de/newsticker/meldung/UK-Staatsanwalt-Suchmaschinen-sollen-Verdaechtiges-melden-muessen-3046768.html>
|
||
|
||
Backdoors in Juniper Routern
|
||
\<<http://www.heise.de/newsticker/meldung/Schnueffelcode-in-Juniper-Netzgeraeten-Weitere-Erkenntnisse-und-Spekulationen-3051260.html>\>
|
||
|
||
HTTP 451 jetzt offiziell
|
||
\<<http://www.heise.de/newsticker/meldung/Neuer-Status-Code-451-zeigt-Zensur-an-3052138.html>\>
|
||
|
||
Doubled Paid Traffic (Hetzer)
|
||
- <http://wiki.hetzner.de/index.php/Double_Paid_Traffic>
|
||
|
||
Bash sucht ein neues Logo
|
||
\<<http://www.heise.de/newsticker/meldung/Per-Abstimmung-Bash-sucht-neues-Logo-3054276.html>\>
|
||
|
||
Ha ha, Oracle muss Java löschen (updaten)
|
||
\<<http://www.heise.de/newsticker/meldung/Oracle-muss-Java-Updates-nachbessern-3052761.html>\>
|
||
|
||
Der SAP-Konkurrent Oracle muss nach Ermittlungen der US-Aufsichtsbehörde
|
||
Federal Trade Commission (FTC) das Verfahren beim Stopfen von
|
||
Sicherheitslücken in Java nachbessern. Java soll auf mehr als 850
|
||
Millionen Computern zum Einsatz kommen.
|
||
|
||
Die FTC hatte angeprangert, dass bei Sicherheits-Updates von Java
|
||
jeweils nur die aktuelle Version ausgetauscht worden sei. Ältere
|
||
Varianten seien dabei schlicht ignoriert worden und weiter auf den
|
||
Geräten der Nutzer geblieben; was ein Sicherheitsrisiko ist.
|
||
Auf ältere Java-Versionen hinweisen
|
||
|
||
Joomla CMS nicht sicher gekriegt, PHP-Version ist schuld
|
||
\<<http://www.heise.de/newsticker/meldung/Neues-Sicherheitsupdate-Joomla-immer-noch-verwundbar-3052441.html>\>
|
||
|
||
Seit 18.12. haben wir wieder VDS
|
||
\<<http://www.heise.de/newsticker/meldung/Erste-Verfassungsbeschwerde-gegen-neue-Vorratsdatenspeicherung-3049697.html>\>
|
||
Der Jurist \[Meinhard Starostik\] wies darauf hin, dass Bayern bereits
|
||
dem Landesamt für Verfassungsschutz Zugriff auf die Metadaten geben
|
||
wolle, obwohl die Tinte unter dem Gesetz noch gar nicht getrocknet
|
||
sei.
|
||
|
||
Lücke im Linux-Bootloader: Backspace-Taste umgeht Grub-Passwort \<
|
||
<http://www.heise.de/newsticker/meldung/Luecke-im-Linux-Bootloader-Backspace-Taste-umgeht-Grub-Passwort-3046037.html>\>
|
||
|
||
### Letsencrypt
|
||
|
||
- Einführung:
|
||
-
|
||
- TLS:
|
||
- Häufigster Anwendungsfall von Zertifikaten
|
||
- Verweiß auf Sendung SSL Juni 2010:
|
||
(hier wird die Verschlüsselung erklärt -
|
||
symmetrische/asymmetrische
|
||
Verschlüsselung, Deffi-Helmann)
|
||
<http://www.c3d2.de/news/pentaradio24-20100622.html>
|
||
- TLS
|
||
- Begriffe-Bingo: SSL, TLS, STARTTLS
|
||
- oft im Zusammenhang mit Emailclientkonfiguration
|
||
- SSL, TLS: eigentlich Protokollversionen (keine Varianten)
|
||
- (SSLv1 nie veröffentlicht)
|
||
- SSLv2, SSLv3, TLS 1.0, TLS 1.2
|
||
- SSLv2: 1995, definitiv lange kaputt (MD5, Truncation
|
||
Attacke)
|
||
- SSLv3: 1996, POODLE
|
||
- On Tuesday, October 14, 2014, Google released details on the
|
||
POODLE attack,
|
||
a padding oracle attack that targets CBC-mode ciphers in
|
||
SSLv3.
|
||
The vulnerability allows an active MITM attacker to decrypt
|
||
content transferred an SSLv3 connection.
|
||
While secure connections primarily use TLS (the successor to
|
||
SSL),
|
||
most users were vulnerable because web browsers and servers
|
||
will
|
||
downgrade to SSLv3 if there are problems negotiating a TLS
|
||
session.
|
||
- TLS spezifiert nur das Protokoll des Sitzungsaufbaus,
|
||
die Verschlüsselungsalgorithmen - Cipher genannt, sind
|
||
austauschbar
|
||
- goto fail;
|
||
<https://events.ccc.de/congress/2015/Fahrplan/events/7438.html>
|
||
|
||
- Was CAs sind und wie das Vertrauensmodell aufgebaut ist
|
||
(vielleicht will \$jemand dabei noch ein paar Sätze zu CAcert
|
||
erzählen)
|
||
- "Domain Validation" (DV)
|
||
- "Organization Validation" (OV)
|
||
- "Extended Validation" (EV)
|
||
- PKCS#10 Certificate Signing Request
|
||
- Json Web Security
|
||
- Was Zertifikate sind (X.509) und wie man dazu kommt
|
||
|
||
- Wie letsencrypt und ACME letztendlich funktioniert
|
||
- Anwendungsfall:
|
||
- Häufig sehr zeitaufwendig, Zertifikate zu erstellen, Domains zu
|
||
validieren und Zertifikate zu aktualisieren
|
||
- Ziel Zertifikat ohne Eingriff eines Menschen
|
||
-
|
||
- Acme bietet die Möglichkeit dies zu automatisieren:
|
||
- HTTP basiertapplication/jose+json
|
||
- Austausch von JSON-Nachrichten auf spezifizierten Pfaden
|
||
- Account automatisch erstellbar (durch erzeugung eines
|
||
Schlüsselbundes)
|
||
- Domain-Validierung:
|
||
- HTTP 01:
|
||
- {scheme}://{domain}/.well-known/acme-challenge/{token}
|
||
- http/https
|
||
- application/jose+json
|
||
|
||
- DVSNI: Domain Validation with Server Name Indication
|
||
- dNSName “\<Z\[0:32\]\>.\<Z\[32:64\]\>.acme.invalid
|
||
- auch für nicht webserver interessant
|
||
- DNS: TXT \_acme-challenge.example.com. "gfj9Xq...Rg85nM"
|
||
- IETF-Standard <https://letsencrypt.github.io/acme-spec/>
|
||
|
||
- evtl. noch ein paar Dinge zur Infrastruktur und auf die Talks auf
|
||
dem 32c3 hinweisen:
|
||
- <https://events.ccc.de/congress/2015/Fahrplan/events/7528.html>
|
||
- caddy:
|
||
\$ caddy -agree=true -host "higgsboson.tk"
|
||
|
||
## Movember
|
||
|
||
Thema: Elasticsearch
|
||
|
||
News:
|
||
|
||
(Migration auf shownot.es?)
|
||
|
||
<https://shownot.es/doc/pentaradio-328/edit/>
|
||
|
||
Während Europa im Katastrophenmodus ist, wird die Überwachung
|
||
hochgefahren
|
||
|
||
- VDS
|
||
- <http://www.heise.de/newsticker/meldung/Bericht-Grossbritannien-plant-Vorratsspeicherung-auch-von-Inhaltsdaten-2866494.html>
|
||
- Netzneutralität
|
||
- Zwangsrouter
|
||
- Zwangsentschlüsselungsvorschläge
|
||
- vs .de soll "Verschlüsselungs-Standort Nr. 1 auf der Welt" werden
|
||
<http://www.heise.de/newsticker/meldung/IT-Gipfel-De-Maiziere-macht-sich-fuer-Ende-zu-Ende-Verschluesselung-stark-2923866.html>
|
||
|
||
IT4Refuges:
|
||
-
|
||
|
||
Elaticsearch (ca. 1h)
|
||
|
||
------------ Schnipp - fb, martin, t-lo notizen zur Sendung
|
||
------------
|
||
Vorbereitung Pentaradio 2015-11-24: **Elastic Search**
|
||
|
||
Q: Warum Elastic Search? Warum nicht Dynamic Search oder irgendwas
|
||
search?
|
||
|
||
Geschichte zu Elasticsearch:
|
||
<http://thedudeabides.com/articles/the_future_of_compass/>
|
||
Ich kenne die Geschichte hinter dem Namen nicht, würde search aber auf
|
||
ursprünglich Volltextsuche beziehen, Elastic auf elastisches skalieren,
|
||
ähnlich zu EC2
|
||
|
||
|
||
- Was meint Search?
|
||
- Warum Elastic?
|
||
- Ähnliche Projekte
|
||
- Solr
|
||
- Heliosearch
|
||
- Sphinx
|
||
- vormals: Fast (jetzt M\$ gekauft), Endeca, Blast (neofonie) u.a.
|
||
- Welches Problem wird gelöst?
|
||
- <https://www.elastic.co/guide/en/elasticsearch/guide/current/intro.html>
|
||
- Volltextsuche
|
||
- Realtime Datenanalyse auf Log- und anderen Daten (meist mit
|
||
Aggregationen (siehe Facetten/Drill Downs bei Webshops)
|
||
<https://www.elastic.co/blog/intro-to-aggregations> )
|
||
- Key/Value Store
|
||
|
||
|
||
|
||
- Intro-Beispiel: Suchmaschine Webshop.
|
||
- Recommodation Ding (<https://github.com/MaineC/recsys>, bitte nicht
|
||
als machine learning verkaufen, das sind Ansätze um
|
||
Empfehlungssysteme (im Sinne von "welche Produkte zeige ich in
|
||
meinem Webshop wann an, um potenzielle Käufer zum Kauf zu
|
||
verlocken") zu bauen. Machine learning als Begriff ist IMHO ein Fall
|
||
von "wenn das jemand hört, weiß jeder sofort worum es geht ohne
|
||
Ahnung zu haben was es ist" was insb. außerhalb von Machine Learning
|
||
Akademikerkreisen oft dazu führt, dass die Leute wunderhübsch
|
||
aneinender vorbeireden.)
|
||
|
||
|
||
|
||
- Wie funktioniert 'Suche'?
|
||
- Warum sucht man?
|
||
- Invertierter Index (Was ist das?)
|
||
- so wie z. B. im Index/Stichwortverzeichnis im Buch
|
||
- Lucene vorstellen
|
||
- Wie füttert man ES mit Daten?
|
||
- Dynamisches vs. vorgegebenes Mapping -
|
||
<https://www.elastic.co/blog/found-elasticsearch-mapping-introduction>
|
||
- Was passiert dann?
|
||
- Architektur von ES
|
||
- @Thilo hier
|
||
<http://www.heise.de/ct/ausgabe/2014-10-Verteilte-Suche-mit-Elasticsearch-2172389.html>
|
||
(Artikel solltest Du haben) hab ich mal den ganzen Sharding usw.
|
||
Kram erklärt. Das interne Klassendiagramm von ES (falls das hier
|
||
etwa mit Architektur gemeint ist) will keiner sehen, trust me.
|
||
|
||
- Installation von ES
|
||
- Daten laden
|
||
- PUT API, Bulk API - in den meisten Fällen insb. für Logs aber
|
||
Logstash
|
||
- Was suchen
|
||
- Cluster aufsetzen
|
||
- Anekdote: Wie vermeide ich, dass mein Dev Notebook Elasticsearch von
|
||
meinem Production Cluster Elasticsearch gefunden wird? Hint, hint:
|
||
Man ändere mind. den Namen des Clusters.
|
||
- <https://www.elastic.co/guide/en/found/current/preflight-checklist.html>
|
||
(<http://asquera.de/opensource/2012/11/25/elasticsearch-pre-flight-checklist/>
|
||
oder als Video von offizieller Seite hier:
|
||
<https://www.elastic.co/webinars/elasticsearch-pre-flight-checklist>
|
||
)
|
||
|
||
|
||
|
||
- Verteiltes ES, advanced Features
|
||
- Sharding
|
||
- Unterscheide primary und replica shards.
|
||
- Primary = in wieviele Teile wird der gesamtindex aufgeteilt, default
|
||
= 5, jeder einzelne primary shard muss auf einen hostenden Knoten
|
||
passen; je höher die Anzahl primary shards desto mehr Daten passen
|
||
insg. in den Index, aber über desto mehr shards muss auch gesucht
|
||
werden
|
||
(<https://www.elastic.co/guide/en/elasticsearch/guide/current/kagillion-shards.html>
|
||
); Anzahl primary shards verändert erfordert ein komplettes
|
||
neu-indexieren der Daten im Index.
|
||
- Replica = wieviele Kopien existieren pro Primary shard im Cluster.
|
||
Anzahl kann jederzeit ohne Neuindexierung verändert werden. Cluster
|
||
wird nur mit mind. einem replica shard als healthy angesehen (
|
||
<https://www.elastic.co/guide/en/elasticsearch/reference/current/cluster-health.html>
|
||
)
|
||
- Aggregations
|
||
- Ich fürchte das ist ein komplett eigener Podcast
|
||
- Cluster
|
||
- vielleicht
|
||
<https://www.elastic.co/guide/en/elasticsearch/guide/current/_important_configuration_changes.html#_minimum_master_nodes>
|
||
erwähnen?
|
||
- Plug-ins
|
||
- viele community getriebene Plugins (z.B. kopf zur Visualisierung,
|
||
<https://github.com/lmenezes/elasticsearch-kopf>,
|
||
<https://github.com/jprante/elasticsearch-jdbc>; mit marvel (ES
|
||
monitoring), watcher (alerting/notification), shield (security)
|
||
inzw. auch einige komerzielle Plugins
|
||
|
||
APIs
|
||
|
||
- - stabile REST API, diverse Endpunkte für Java
|
||
Plugin extensions
|
||
|
||
|
||
|
||
Links:
|
||
\* <https://www.elastic.co/products/elasticsearch>
|
||
\* <https://github.com/MaineC/recsys>
|
||
\* <https://en.wikipedia.org/wiki/Elasticsearch>
|
||
\* <https://de.wikipedia.org/wiki/Elasticsearch>
|
||
|
||
------------- Schnapp - fb, martin, t-lo notizen
|
||
----------------------------
|
||
|
||
- Kurze Vorstellung des Themas/ (Gäste?)
|
||
- Wie funktioniert Volltextsuche in Elasticsearch
|
||
(Vom Webbrowser zur Suche und Zurück)
|
||
- Schnittstelle
|
||
- Verarbeitung der Sucheingabe (N-Gramm, Stemming)
|
||
- TF/IDF, Lucene
|
||
- Sortierung/Bewertung der Treffer
|
||
- Elasticsearchterminolgie:
|
||
- Dokumente
|
||
- Typen
|
||
- Indices
|
||
- Verteilte Architektur
|
||
- Clustering, Shards
|
||
- Indexpartionierung
|
||
- Netzwerkdiscovery
|
||
- Andere Anwendungen (Neben Volltextsuche)
|
||
- Zeitreihen
|
||
- Geosuche
|
||
- Coole Projekte/Erweiterungen:
|
||
- Kibana
|
||
- Logstash
|
||
- Marvel
|
||
- Wie kann ich Elasticsearch installieren/ausprobieren?
|
||
- Bibliotheken
|
||
- Percolator:
|
||
<https://www.elastic.co/guide/en/elasticsearch/reference/current/search-percolate.html#search-percolate>
|
||
- Dokumentation mit Volltextsuche:
|
||
<https://www.elastic.co/guide/en/elasticsearch/reference/current/index.html>
|
||
|
||
## Oktober
|
||
|
||
Thema: FPGA
|
||
|
||
Musik-Ideen:
|
||
|
||
- <http://lumenstunde.de/lumenstunde_horchen.xhtml>
|
||
|
||
News
|
||
|
||
- Krasse Statistiken aus .au:
|
||
<http://www.theguardian.com/australia-news/2015/sep/24/nearly-half-of-young-people-say-tracking-partners-using-technology-is-acceptable>
|
||
- Angriff auf CPUs:
|
||
<http://www.heise.de/newsticker/meldung/Boesartige-Software-kann-Prozessoren-schneller-altern-lassen-2853329.html>
|
||
|
||
|
||
<https://drive.google.com/file/d/0B9i8WqXLW451MTIyM2lqR1lpZ3M/view?pli=1>
|
||
\[Paper\]
|
||
|
||
- EU-Parlament beschließt umstrittene Netzneutralitätsregeln
|
||
<https://netzpolitik.org/2015/eu-parlament-beschliesst-umstrittene-netzneutralitaetsregeln/>
|
||
- Wal Markt will Dronen!
|
||
<http://www.reuters.com/article/2015/10/27/us-wal-mart-stores-drones-exclusive-idUSKCN0SK2IQ20151027>
|
||
- Phrack.org hat jetzt paper feed und ist wieder aktiver
|
||
|
||
<http://phrack.org/index.html> \[News\]
|
||
<http://phrack.org/papers/attacking_ruby_on_rails.html>
|
||
\[Paper-Feed\]
|
||
|
||
- SODD The Next Level:
|
||
|
||
<https://github.com/arthurnn/howdoi-emacs> \[Emacs\]
|
||
<https://github.com/azac/sublime-howdoi-direct-paste> \[Sublime
|
||
Text\]
|
||
<https://github.com/laurentgoudet/vim-howdoi> \[Vim\]
|
||
<https://github.com/james9909/stackanswers.vim> \[Vim\]
|
||
<https://github.com/MarounMaroun/SO-Eclipse-Plugin> \[Eclipse\]
|
||
|
||
- Datenspuren:
|
||
- Keynote
|
||
- SDR
|
||
- Podiumsdiskussion (Verfassungsschutz looking at Kollemate)
|
||
- Fenster einschlagen für Dummys
|
||
- Rise of the Machines: Sie beginnen zu lernen.
|
||
- Let's Encrypt Beta:
|
||
|
||
wurde crossigniert:
|
||
<https://letsencrypt.org/2015/10/19/lets-encrypt-is-trusted.html> -\>
|
||
Beta
|
||
<https://community.letsencrypt.org/t/beta-program-announcements/163>
|
||
|
||
- Bild.de verklagt Youtuber:
|
||
<http://www.golem.de/news/streit-ueber-erklaervideo-abgemahnter-youtuber-fordert-bild-de-heraus-1510-117134.html>
|
||
(Urheberrecht §95a)
|
||
- Reaktion auf Content-Filter-Api von Safarie?
|
||
|
||
Thema:
|
||
|
||
- Was ist ein FPGA?
|
||
- field programmable gate array (field=im "Feld"; vom Anwender)
|
||
- Logische Schaltungen können darauf 'programmiert' werden
|
||
- Was war euer 1. Kontakt mit FPGAs
|
||
- Christian: Taschenrechner, 2048
|
||
- Alfred: Prozessor (Uni-Projekt) aus ASIC-Entwurf portiert
|
||
- Poly: Erweiterung des BladeRF Software Defined Rado
|
||
- Funktionsweise
|
||
- Entwicklerboard -\> Bestandteile (Eingänge/Ausgänge/andere Bauteile)
|
||
- LUTS
|
||
- z.B. Bauteil mit 4 Eingängen und einem Ausgang
|
||
- alle möglich Eingänge mit dem richtigen Ausgang belegt.
|
||
- Beispiel am Addierer
|
||
- Platzverbrauch gegenüber fertige Schaltungen
|
||
- Register
|
||
- Verdrahtung
|
||
- Für bestimmte Operationen/Aufgaben sind häufig bereits fertige
|
||
Bauteile auf dem Board / SOC
|
||
- Multiplizierer
|
||
- Speicher (z.B. SDRAM)
|
||
- (ARM-)Prozessor
|
||
- IO:
|
||
GPIOs/VGA/PCI-Express/Analog-Digitalwandler/LEDs/Taster/Switches/Sensoren
|
||
- Wozu braucht man einen FPGA? Welche programmierbare Hardware gibt es
|
||
sonst noch? (CPLDs? weiß jemand was dazu?)
|
||
- Abgrenzung zu Prozessoren
|
||
- Gegensatz zu ASICs:
|
||
- kurze Erläuterung wie Chips entwickelt/hergestellt werden -\>
|
||
Kosten
|
||
- Prototyping:
|
||
- Workflow FPGA \<-\> ASIC praktisch identisch
|
||
- Javaprozessor (Uniprojekt): SHAP (Secure Hardware Agent Platform)
|
||
- 'Echtzeit'-Anforderungen
|
||
- Industrie -\> Bussysteme -\> Timing wichtig
|
||
- Kleinserien
|
||
- siehe Kosten ASICs
|
||
- z.B. bei manchen Fernsehgeräten, Mobilfunk-Basisstationen
|
||
- Flexibilität (Updates!)
|
||
- Konfiguration nicht dauerhaft -\> manche Geräte verfügen über
|
||
Flashspeicher
|
||
- Militär benutzt nicht-auslesbare Speicher (z.B.
|
||
AES-Verschlüsselung mit Keys nicht-lesbar auf FPGA hinterlegt)
|
||
- Parallelität
|
||
- DES-Cracker in den Wolken
|
||
<https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/>
|
||
- Energieeffizienz:
|
||
- <https://www.weusecoins.com/de/mining-guide/>
|
||
- Bitcoin 600 MH/s Grafikkarte -\> 400 Watt, FPGA mit einer Hashrate
|
||
von 826 MH/s nur 80 Watt (5mal höhere Energieeffizienz); Asics: 60
|
||
GH/s bei einem Stromverbrauch von 60 Watt
|
||
- Lightningtalk: letzte Datenspuren: Open Silicon (Aufruf zu einem
|
||
Chaos Projekt): <http://martin.christianix.de/ds15/Open-Silicon.pdf>
|
||
- Zahlen:
|
||
- Taktfrequenz typisch: 20 Mhz - 500 MHz
|
||
- Bis zu 20 Milliarden Transistoren
|
||
-
|
||
- Wie 'programmiert' man einen FPGA?
|
||
- Sprachen (VHDL, Verilog , SystemC, myHDL (python), High Level
|
||
Synthese (z.B. LegUp <http://legup.eecg.utoronto.ca)>, ...), OpenCL
|
||
- Very High Speed Integrated Circuit Hardware Description Language
|
||
- Statemachine (Kaffeeautomat / Drehkreuz)
|
||
- KombinatorikFunktionsweise
|
||
- Synthese -\> Place & Route -\> Bitstream
|
||
- Dauert z.T. recht lang (Erfahrungswerte: 20min+x)
|
||
- vgl. ASIC: Stunden bis Wochen
|
||
- Freie Software
|
||
- Simulatoren (Icarus Verilog, GHDL)
|
||
- GTK-Wave
|
||
- Wesentlich mehr Tests notwendig, durch Simulation (Asserts)
|
||
- IP-Cores: (Soft-Cores/Hard-Cores)
|
||
- <http://opencores.org>
|
||
- github
|
||
- Kommerziell (Altera, Xilinix, ...)
|
||
- Was gibt es für coole Projekte mit FPGAs
|
||
- Novenaboard, Bitcoinminer (legacy)
|
||
- Retrocomputing: mist-board (open hardware,
|
||
<http://harbaum.org/till/mist/index.shtml> )
|
||
- Queens@tud
|
||
(<https://de.wikipedia.org/wiki/Damenproblem#Anzahl_der_L.C3.B6sungen_im_klassischen_Damenproblem>
|
||
)
|
||
- Intel liefert xeons mit Altera-FPGAs aus:
|
||
<http://www.golem.de/news/serverprozessor-intel-zeigt-xeon-e5-mit-altera-fpga-1508-115873.html>
|
||
-\> General Purpose FPGAs (z.B. Datenbankbeschleunigung)
|
||
- Chaoscampvortrag 2015: FPGAs in PC-Architektur integrieren:
|
||
<https://events.ccc.de/camp/2015/Fahrplan/events/6730.html>
|
||
- Wie kann ich einsteigen in das Thema
|
||
- xilinx/Quartus webpack
|
||
- kostenlos
|
||
- Kaufempfehlung ?
|
||
- Retrocomputing: mist-board (ca. 200€)
|
||
- Einsteigerprojekte?
|
||
- <https://www.digikey.com/product-detail/en/410-282P-KIT/1286-1046-ND/4840866>
|
||
69€
|
||
- Cyclone?
|
||
|
||
Termine
|
||
|
||
-
|
||
|
||
## September
|
||
News:
|
||
|
||
- <http://www.latimes.com/nation/la-na-cyber-spy-20150831-story.html>
|
||
- <http://www.spiegel.de/netzwelt/web/mark-zuckerberg-facebook-hat-eine-milliarde-nutzer-pro-tag-a-1050244.html>
|
||
- <http://www.heise.de/newsticker/meldung/Snapchat-zeigt-Fotos-doch-nochmal-und-will-dafuer-Geld-haben-2817978.html>
|
||
- <http://www.theguardian.com/us-news/2015/sep/20/teen-prosecuted-naked-images-himself-phone-selfies>
|
||
- <https://www.eff.org/deeplinks/2015/09/researchers-could-have-uncovered-volkswagens-emissions-cheat-if-not-hindered-dmca>
|
||
- Programm der FSFW zum <http://softwarefreedomday.org/> -\>
|
||
<https://fsfw-dresden.de/programm.html>
|
||
- Bitcoin akzeptieren für jeden, Dev-Edition verfügbar: <https://21.co>
|
||
- VW bescheißt befreundete Nationen
|
||
<https://www.eff.org/deeplinks/2015/09/researchers-could-have-uncovered-volkswagens-emissions-cheat-if-not-hindered-dmca>
|
||
und deutsche Politik weiß es lange <http://welt.de/article146711288>
|
||
- BMVg will die Bundeswehr für Cyberkrieg rüsten
|
||
<http://www.bmvg.de/portal/a/bmvg/>!ut/p/c4/NYuxDsIwDET_yE5gKWwtZWBhYIGypW0UGTVOZZyy8PEkA3fSG-7p8Iml7DYKTimxW_CBw0TH8QNj3AK8UpayQiSmt3qhHPFeP7OHKbHXSvWsVBjEaRJYk-hSTRYpBmjGwdi-M9b8Y7_t7nw9nJpm31-6G64xtj-fkO2W/
|
||
- Steigt der Kurs wg. DDOS 4 BTC:
|
||
<http://www.heise.de/newsticker/meldung/DD4BC-DDoS-Erpresser-drohen-deutschen-Banken-2823597.html>
|
||
-
|
||
- Interfug:
|
||
- **29. & 30.08.2015**
|
||
- Chaostreff Chemnitz
|
||
- lokomov
|
||
- Sichere Kontaktdatenverteilung mit Sm@rtRNS (Tesla42)
|
||
- Suckless.org (Zwansch)
|
||
- Torrenting on the Interwebs (astro)
|
||
- Wir kochen Hagebuttenmarmelade (kusanowsky)
|
||
- Hackerspace -\> Vollgestellt mit Rechner und 3D-Drucker
|
||
|
||
Thema: Datenspuren!
|
||
- Datenspuren
|
||
\* Wann? Wo? Thema?
|
||
- Wann: Oktober
|
||
- Technische Sammlungen: Mehr Platz (3 Räume)
|
||
\* Was ist neu?
|
||
- Workshops
|
||
\* Enigma Bastelworkshop
|
||
\* 2 Kryptoworkshops:
|
||
- PGP-Email
|
||
- Was kommt nach der Email (Datenkollektiv)
|
||
- Party im Turmkaffee am Samstag (min. 2 Dj)
|
||
\* Wobei brauchen wir Hilfe?
|
||
\*
|
||
\* Warum mach ich das?
|
||
\* Motiviation von mc
|
||
\* Astro (A8) erzählt alte Geschichten (?)
|
||
\* Stand:
|
||
\* Erlebnisland Mathematik
|
||
\* Sniffing-Collage
|
||
\* Infostände: Cacert, Freifunk, Openwrt
|
||
\* Vorträge
|
||
\* Netztechnologien, Verschlüsselung, Smartcards
|
||
\* Keynote: Linus Neumann
|
||
\* Podiumsdiskussion: Die Grenzen des Geheimen mit Anna Biselli,
|
||
Constanze Kurz und Gordian Meyer-Plath (Präsident des Landesamt für
|
||
Verfassungsschutz)
|
||
\* E-Call:
|
||
- Gesetzentwurf für automatischen Anruf nach dem Unfall
|
||
\* Ligthning Talks: am Samstag
|
||
\* Kooperation mit Zukunftsstadt
|
||
\* Visionen einreichen und umsetzbar machen
|
||
\* OpenData
|
||
|
||
- T-Shirts
|
||
- Spenden
|
||
- Keynote
|
||
- Party
|
||
- E-Mail
|
||
|
||
- Codeweek:
|
||
\* 24.09. Treffen der FSFW <https://fsfw-dresden.de/>
|
||
\* Erstes Wochenende (10. und 11. Oktober 2015)
|
||
|
||
- Von GeekGirlsCarrots
|
||
- am 10. oder 11. Oktober 2015 erstmalig eine Veranstaltung unter dem
|
||
Motto *Code Carrots*
|
||
- isbesondere programmierbegeisterte Frauen
|
||
|
||
\* Zweites Wochenende (17. und 18. Oktober 2015)
|
||
|
||
- Vom Medienkulturzentrum Dresden und dem OK Lab Dresden
|
||
- am 17. Oktober 2015 Veranstaltungen für Jugendliche
|
||
- Jugend hackt (Ost), was im Juni stattfand, hat gezeigt wie viel Spaß
|
||
junge Menschen im kreativen Umgang mit Technik haben.
|
||
- Workshop mit Mini-Computern (Raspberry Pi)
|
||
- Technik mit elektronischen Schaltkreisen, die sich für den kreativen
|
||
Einsatz als Klanginstrument eignet, soll bearbeitet werden.
|
||
- Von OffenesDresden.de wird es ergänzend Hackathon zu Open Data geben.
|
||
- Als Open Data Dresden möchten wir über den C3D2 hinaus Menschen für
|
||
Code zu Open Data begeistern.
|
||
- <http://offenesdresden.de/codeweek/>
|
||
|
||
\* Debugging-Themenabend am Freitag
|
||
\* strace, ltrace, gdb, sysdig und co
|
||
\* es werden eine Reihe von Programmen vorgestellt mit dem man sein
|
||
System besser verstehen und Fehler finden kann. Es soll dabei weniger
|
||
auf konkrete Programmiersprachen, sondern gezeigt werden wie man
|
||
Programme von außen debuggt.
|
||
\* 15.10. Bitcoin Stammtisch in Leipzig
|
||
|
||
## Juli
|
||
|
||
News:
|
||
|
||
- <http://www.heise.de/netze/meldung/Snowden-Appell-an-die-IETF-Schuetzt-die-Internetnutzer-2753289.html>
|
||
- <http://www.heise.de/newsticker/meldung/Neuer-Bitkom-Chef-haelt-Datensparsamkeit-fuer-veraltet-und-hinderlich-2753840.html>
|
||
- <http://www.gainesville.com/article/20150720/ARTICLES/150729990>
|
||
|
||
- Hacking Team hacked:
|
||
- mailaender "security firma"
|
||
- 400GB daten auf Wikileaks gelandet:
|
||
- Geschäftsberichte, Exceltabellen + 1mio emails
|
||
- deren Passwörter ("passw0rd")
|
||
- aber auch ZeroDays (Flash, Chrome, Windows!)
|
||
- Kaufen ZeroDays hauptsaechlich ein
|
||
- <http://www.heise.de/ct/ausgabe/2015-17-Die-Spionagesoftware-Firma-Hacking-Team-wurde-gehackt-2755600.html>
|
||
- <http://www.heise.de/security/meldung/Super-Spion-Android-Ueberwachungssoftware-von-Hacking-Team-nutzt-allerhand-schmutzige-Tricks-2759365.html>
|
||
- <http://www.heise.de/security/meldung/Hacking-Team-Wir-sind-das-Opfer-2763077.html>
|
||
- <https://www.grc.com/sn/sn-515.htm>
|
||
|
||
- Stagefright
|
||
<http://www.heise.de/security/meldung/Stagefright-Android-Smartphones-ueber-Kurznachrichten-angreifbar-2763764.html>
|
||
- Joshua Drake von Zimperium zLabs gegenüber Forbes erklärt,
|
||
- muss der Angreifer seinem Opfer in spe lediglich eine MMS- oder
|
||
Hangouts-Nachricht schicken, in der sich Exploit-Code befindet.
|
||
- Angriff ohne Spuren
|
||
- Smartphone als Wanze
|
||
- Android 2.2 bis 5.1 verwundbar
|
||
- Hersteller sind gefragt
|
||
- Full Disclosure auf der BlackHat
|
||
- Zumindest das Google-Referenzgerät Nexus 6 und das Blackphone sollen
|
||
bereits gegen einige der Schwachstellen gewappnet sein.
|
||
- Die Entwickler der alternativen Android-Distribution CyanogenMod
|
||
erklären, dass sie die Lücken bereits vor Wochen in CM 12 und der
|
||
Nightly Build von 12.1 geschlossen haben
|
||
- vor allem Android-Versionen, die älter als 4.1 sind. Neuere
|
||
Versionen mit Schutzfunktionen ausgestattet, die das Ausnutzen über
|
||
MMS erschweren
|
||
- Mac OS X Priviledge Escalation in 300 Zeichen
|
||
- echo 'echo "\$(whoami) ALL=(ALL) NOPASSWD:ALL" \>&3' \|
|
||
DYLD_PRINT_TO_FILE=/etc/sudoers newgrp; sudo -s
|
||
- <http://www.theregister.co.uk/2015/07/22/os_x_root_hole/>
|
||
- OS X Yosemite Mac using code that fits in a tweet. (El Capitan)
|
||
- Jeep
|
||
|
||
Thema: Rust
|
||
\* Fmt standards
|
||
\* Pkg registry
|
||
\* Coole Projekte?
|
||
|
||
<https://gist.github.com/hoodie/b175834afa68104aadbb> (WIP)
|
||
|
||
## Juni 2015
|
||
|
||
Ankündigung:
|
||
|
||
Das 21. Jahrhundert liefert neue Herausforderungen für Programmierer:
|
||
Multicore-Prozessoren, immer komplexer werdende Software, verteilte
|
||
Systeme.
|
||
Die Entwickler der Programmiersprache Go verfolgen den Ansatz, es
|
||
einfach zu machen, sichere und effiziente Software zu schreiben. In
|
||
dieser Sendung wollen wir euch die Programmiersprache näher
|
||
vorstellen.
|
||
|
||
Shownotes:
|
||
|
||
Drogenkartell benutzt 39 Straßenkameras
|
||
<http://fusion.net/story/139838/this-drug-cartel-used-39-street-cameras-to-spy-on-everyone/>
|
||
Avast gibt Nutzungsdaten an Analysefimren
|
||
<http://www.heise.de/newsticker/meldung/Avast-gibt-Nutzungsdaten-an-Analysefirma-weiter-2677838.html>
|
||
UN-Beauftragter wirbt für Verschlüsselung
|
||
<http://www.heise.de/newsticker/meldung/UN-Beauftragter-wirbt-fuer-Verschluesselung-und-Anonymitaet-2672561.html>
|
||
<http://www.heise.de/-2678065>
|
||
SSH-Keys auf Github ausgewertet
|
||
<http://www.golem.de/news/ssh-sechs-jahre-alter-bug-bedroht-github-repositories-1506-114449.html>
|
||
Trojaner-Angriff auf den Bundestag
|
||
<http://www.heise.de/newsticker/meldung/Nach-Trojaner-Angriff-Bundestag-soll-neues-Computer-Netzwerk-benoetigen-2687521.html>
|
||
Edward Snowden Platz in Dresden <http://edward-snowden-platz.de/>
|
||
200. Datenbankstammtisch:
|
||
<https://www.htw-dresden.de/index.php?id=23853&vid=240>
|
||
Bibliotheken in Go: <http://awesome-go.com/>
|
||
Gopher Team bei Google <http://www.wired.com/2013/07/gopher/>
|
||
Go-Race Detector: <http://blog.golang.org/race-detector>
|
||
Go 1.5: Go in Go geschrieben
|
||
<http://talks.golang.org/2015/gogo.slide#2>
|
||
Projekte in Go: <http://blog.golang.org/4years>
|
||
|
||
News
|
||
|
||
<http://fusion.net/story/139838/this-drug-cartel-used-39-street-cameras-to-spy-on-everyone/>
|
||
<http://www.heise.de/newsticker/meldung/Avast-gibt-Nutzungsdaten-an-Analysefirma-weiter-2677838.html>
|
||
<http://www.heise.de/newsticker/meldung/Britische-Polizei-ersucht-alle-zwei-Minuten-um-gespeicherte-Vorratsdaten-2677844.html>
|
||
<http://www.heise.de/newsticker/meldung/UN-Beauftragter-wirbt-fuer-Verschluesselung-und-Anonymitaet-2672561.html>
|
||
<http://www.heise.de/-2678065>
|
||
<http://www.heise.de/newsticker/meldung/Computex-Smarte-Windel-DiaperPie-2678100.html>
|
||
<http://www.golem.de/news/ssh-sechs-jahre-alter-bug-bedroht-github-repositories-1506-114449.html>
|
||
<http://www.heise.de/newsticker/meldung/Nach-Trojaner-Angriff-Bundestag-soll-neues-Computer-Netzwerk-benoetigen-2687521.html>
|
||
(BSI) sei zu dem Ergebnis gekommen, dass das Netz nicht mehr gegen den
|
||
Angriff verteidigt werden könne und aufgegeben werden müsse.
|
||
<http://www.heise.de/newsticker/meldung/Buchhandel-Jugendgefaehrdende-E-Books-duerfen-nur-nachts-verkauft-werden-2717530.html>
|
||
2015-06-30T23:59:60
|
||
\* am 17.06. war 200. Datenbankstammtisch, vorgestellt wurden
|
||
Datenbankerweiterungen in ad-hoc vernetzter Hardware. Künftig werden
|
||
Datenbank also nicht nur schon im Hauptspeicher residieren, sondern
|
||
auch schneller rechnen
|
||
\* <http://edward-snowden-platz.de/> Edward Snowden Platz in Dresden,
|
||
auch mit Freifunk
|
||
|
||
### Go
|
||
|
||
- 2007 by Robert Griesemer (V8 Code generation, Java Hotspot),
|
||
Rob Pike (UTF-8, Unix, Plan 9, Limbo), and Ken Thompson (B, Regular
|
||
Expression, ed, UTF-8 encoding, Plan 9) in Google
|
||
-\> generft von C++ (Systemsprache bei Google)
|
||
- Kompilierte, Statisch typisierte Programmiersprache
|
||
-\> statisch gelinkt, keine Libc-Abhängigkeit, nur Syscalls
|
||
- Garbage Collection (parallel/stop the world, mark-and-sweep)
|
||
- Typinterference -\> foo := "string";
|
||
- Objektorientierung durch Interfaces (virtual inheritance) und Types
|
||
- Typen können Methoden haben:
|
||
type ip4addr uint32
|
||
func (ip4addr a) String() {
|
||
....
|
||
}
|
||
- Mixins -\> Objektorientierung?
|
||
- Interface conversions and type assertions (Reflexion)
|
||
type Stringer interface { String() string }
|
||
var value interface{} // Value provided by caller.
|
||
switch str := value.(type) {
|
||
case string:
|
||
return str
|
||
case Stringer:
|
||
return str.String()
|
||
}
|
||
- Lambdas
|
||
- Error as Value -\> Methoden mit mehreren Rückgabewerten
|
||
- Slices, Maps
|
||
- string === UTF-8 Strings (Rob Pike hat UTF-8 mit geprägt)
|
||
- binary data? -\> \[\]byte
|
||
- explizite Typenkonvertierung (int32 -\> int)
|
||
- Goroutinen (Greenthreads)
|
||
- Channels -\> Warteschlange
|
||
kanal := make(chan string)
|
||
go func{ fmt.Print(\<-kanal) }
|
||
kanal \<- "Hallo"
|
||
- Share by communicating
|
||
- Defer
|
||
- Modulekonzept -\> package main
|
||
Methoden/Variablen mit beginnt Großbuchstaben -\> nach außen
|
||
sichtbare Methode
|
||
|
||
- Eingebauter C-Compiler -\> Einbinden in C-Header Files + Linker Flags
|
||
in
|
||
Go-Kommentar
|
||
// \#include \<stdio.h\>
|
||
...
|
||
C.printf
|
||
- Plattformabhängiger Code in eignen Dateien -\> (keine \#ifdef Hölle)
|
||
// +build linux,386 darwin,!cgo
|
||
\<name\>\[\_GOOS\]\[\_GOARCH\].go -\> taskbar_windows.go
|
||
|
||
#### Packetmanagement
|
||
|
||
export GOPATH=\~/go
|
||
\~/go
|
||
├── bin
|
||
│ ├── gore
|
||
├── pkg
|
||
│ └── linux_amd64
|
||
│ └── github.com
|
||
│ ├── Mic92
|
||
│ │ └── lock
|
||
│ │ ├── filter.a
|
||
│ │ └── flag.a
|
||
└── src
|
||
├── github.com
|
||
│ ├── Mic92
|
||
│ │ ├── lock
|
||
|
||
go get github.com/\<User\>/\<Project -\> import
|
||
"github.com.\<User\>.\<Projekt\>
|
||
|
||
### Coole Bibliotheken
|
||
|
||
- Batteries included:
|
||
-\> Webserver, json, xml, template engine, ssl, kompression,
|
||
http/smtp/json rpc
|
||
-\> testing, syscalls, bildformate
|
||
- Standartbibliothek gut lesbar (kurze Methoden, wenige
|
||
Verschachtelungen, verlinkt von der Dokumentation) \<-\> glibc
|
||
- häufig reine Go-Biblioteken (keine C-Wrapper) -\> tls
|
||
- Seit 1.5: Go in Go (<http://talks.golang.org/2015/gogo.slide#2)>
|
||
-\> C verbannt
|
||
|
||
- webanwendungen? -\> Ähnlich Express.js/sinatra/Flask, kleine Modulare
|
||
Frameworks
|
||
|
||
#### Triva
|
||
|
||
- Gopher Team bei Google <http://www.wired.com/2013/07/gopher/>
|
||
- Subject von \#go auf freenode.net: Go, the game (not the silly
|
||
language) -\> \#go-nuts
|
||
- golang als Stichwort in Suchmaschinen
|
||
- keine Stackoverflows -\> continous/resizeable stack
|
||
|
||
Tooling:
|
||
AST-Parser in stdlib + einfache Syntax -\>
|
||
|
||
eingebaut:
|
||
- gofmt -\> Codeformatierung
|
||
- pprof -\> profiler mit Webansicht (CPU, Speicher, Goroutinen Locks
|
||
(- gofix -\> Apirefactoring)
|
||
- gdb -\> debugger
|
||
- godoc -\> Dokumentationsserver, Dokumentation in Kommentaren
|
||
- go test
|
||
- go generate:
|
||
//go:generate stringer -type=Pill
|
||
|
||
- go race detector: <http://blog.golang.org/race-detector>
|
||
(Speicherzugriffe)
|
||
- gocode -\> Codevervollständigung
|
||
- go oracle
|
||
- vet/lint -\> Statische Codeanalyse
|
||
- gorename -\> Refactoring
|
||
- goxc -\> Cross-Compiler + statische gelinkte Standartbibliothek
|
||
-\> einfaches Deployen auf mehreren Plattformen
|
||
- vim-go
|
||
|
||
Projekte in Go:
|
||
|
||
- play.golang.org - Ausführbare Codesnippets
|
||
- <http://blog.golang.org/4years>
|
||
- <https://code.google.com/p/go-wiki/wiki/Projects>
|
||
- <http://imposm.org/>
|
||
- CloudFlare built their distributed DNS service entirely with Go
|
||
- gern für Kommandozeilenprogramme (heroku, hub, direnv) -\> schneller
|
||
Start/wenig Laufzeitabhängigkeiten
|
||
- für Serveranwendungen (Backend) -\> einfach zu Deployen
|
||
- SoundCloud is an audio distribution service that has "dozens of
|
||
systems in Go
|
||
- docker
|
||
- The raft package provides an implementation of the Raft distributed
|
||
consensus protocol. It is the basis of Go projects like etcd and
|
||
SkyDNS.
|
||
- Packer is a tool for automating the creation of machine images for
|
||
deployment to virtual machines or cloud services.
|
||
- Bitly's NSQ is a realtime distributed messaging platform designed
|
||
for fault-tolerance and high-availability, and is used in production
|
||
at bitly and a bunch of other companies.
|
||
- Canonical's JuJu infrastructure automation system was rewritten in
|
||
Go.
|
||
|
||
unterstützte Plattformen:
|
||
Linux, Mac OS X, FreeBSD, NetBSD, OpenBSD, Plan 9, and Microsoft
|
||
Windows
|
||
Architekturen:
|
||
i386, amd64, ARM and IBM POWER
|
||
|
||
(android und ios)
|
||
|
||
### Termine
|
||
|
||
Krypto-Gewinnspiel mit PGP für Anfänger
|
||
<https://wiki.fsfw-dresden.de/doku.php?id=doku:pm_gewinnspiel2015>
|
||
MORGEN
|
||
|
||
- Kryptoparty an der TU Dresden, in der Fakultät für Informatik - mehr
|
||
auf ifsr.de -\> <https://www.ifsr.de/fsr:news:cryptoparty_am_24._juni>
|
||
- Orga-Meeting Datenspuren
|
||
|
||
26-28. Jardin Entropique in Rennes
|
||
03.07. Lange Nacht der Wissenschaften
|
||
10.07. Staat 2.0 an der TU Leipzig: Interdisziplinäres Gespräch: Der
|
||
Staat und seine Bürger im digitalen Zeitalter
|
||
|
||
## Mai 2015
|
||
Opener:
|
||
"Filesharing ist die Nachbarschaftshilfe des Internets"
|
||
|
||
Musik
|
||
|
||
News:
|
||
\* Fedora 22 jetzt mit Wayland Login
|
||
<http://www.heise.de/newsticker/meldung/Linux-Distribution-Fedora-22-nutzt-Wayland-beim-Log-in-2667523.html?hg=1&hgi=12&hgf=false>
|
||
Dnf statt Yum neuer Paketmanager:
|
||
\* Aehnliche Bedienung
|
||
\* Besseres API
|
||
|
||
\* Auch die Mandriva Leute glauben jetzt das Mandriva tot ist!
|
||
<http://www.heise.de/newsticker/meldung/Linux-Distributor-Mandriva-ist-am-Ende-2666744.html>
|
||
|
||
\* JavaScript ist 20 Jahre alt geworden
|
||
|
||
\* Microsoft Launches Visual Studio Code:
|
||
<http://techcrunch.com/2015/04/29/microsoft-shocks-the-world-with-visual-studio-code-a-free-code-editor-for-os-x-linux-and-windows/#.hu0254:vn0U>
|
||
- crossplattform
|
||
- Atom mit Intellisense
|
||
- mehrere Sprachen -\> Schwerpunkt auf Web
|
||
\* <http://internet.org/>
|
||
|
||
\* Die Amis sind sauer!
|
||
Weil die deutsche Regierungsopposition aufklaerung fordert!
|
||
Was sagen dazu Politiker?
|
||
"Die Zusammenarbeit mit den Amerikanern ist wichtig .... blablabla"
|
||
"Die Welt ist in den letzten Jahren doch nicht sicherer geworden ... "
|
||
<http://www.heise.de/newsticker/meldung/Der-grosse-Bruder-reagiert-genervt-2663846.html>
|
||
|
||
\* Rust 1.0: <http://blog.rust-lang.org/2015/05/15/Rust-1.0.html>
|
||
- erste stabile Version (Sprache/Standardlibary)
|
||
- sichere Sprache (Highlevel, abstrakt), kommt ohne Garbage Collection
|
||
und Runtime aus -\> Kernel (viele auf github: rustboot...), Spiele,
|
||
neuer Mozillabrowser (servo)
|
||
|
||
Filesharing:
|
||
|
||
"When you pirate MP3's You're downloading Communism"
|
||
"Filesharing ist die Nachbarschaftshilfe des Internets"
|
||
|
||
Client-Server-Prinzip
|
||
Web
|
||
Usenet:
|
||
- Dienst älter als das Web
|
||
- Hierachische Gruppen
|
||
|
||
- *comp.\*, news.\*, sci.\*, *
|
||
|
||
- Entwicklung: text -\> base64 -\> binary
|
||
- Server die sich untereinander synchen (schnell große Datenmengen
|
||
bei binary -\> gebannt von den meisten Server -\> kommerzielle)
|
||
- Binary grabber/plucker: auf Download spezialisierte
|
||
NewsReader
|
||
- Par2: Herunterladen oft Unzuverlässig, Parchive, parity files,
|
||
index der Dateien mit Checksumme
|
||
Mailboxen
|
||
Sharehoster (Rapidshare, Megaupload, Upload.to)
|
||
Turnschuhlaufwerk (Platten)
|
||
NAS/Windows Dateifreigabe
|
||
Sync (Dropbox, Seafile, Bittorrent Sync)
|
||
Soziale Netzwerke (Flickr)
|
||
IRC
|
||
Peer-to-Peer mit Koordinationsserver
|
||
BitTorrent-Netzwerk
|
||
Peer-to-Peer: vollständig dezentrales Filesharing
|
||
eMule-Kademlia-Netzwerk
|
||
gnutella- und Gnutella2-Netzwerke
|
||
Manolito P2P network (MP2PN)
|
||
FastTrack-Netzwerk
|
||
Multi-Netzwerk-Clients
|
||
Anonymes P2P
|
||
I2P-Netzwerk
|
||
|
||
- Open Source, anonymes und zensurresistentes P2P Mix-Netzwerk für
|
||
diverse Internet-Anwendungen, aktive Weiterentwicklung
|
||
|
||
Andere Netzwerke
|
||
|
||
- Freenet – Open Source, anonyme und zensurresistente Plattform für
|
||
diverse Internet-Anwendungen (aktive Weiterentwicklung)
|
||
- GNUnet – Open Source, anonymer Filesharing-Client mit fakultativem
|
||
Caching von Inhalten (aktive Weiterentwicklung)
|
||
- RetroShare – Open Source, anonymes und zensurresistentes
|
||
Turtle-Routing-Netzwerk für verschiedene Anwendungen (aktive
|
||
Weiterentwicklung)
|
||
|
||
Was lädt man sich über Filesharing?
|
||
- CC-Musik
|
||
- freie Software
|
||
- Bitlove
|
||
- Opendata (größere Datenbanken wie Wikidata, Openstreetmap)
|
||
- Im HQ
|
||
|
||
Ankündigungen:
|
||
Am Samstagabend ist der 100. Wikipedia-Stammtisch in der Gaststätte
|
||
Narrenhäusel \<<https://de.wikipedia.org/wiki/Narrenh%C3%A4usel>\> :
|
||
<https://de.wikipedia.org/wiki/Wikipedia:Dresden>
|
||
|
||
## April 2015
|
||
|
||
News:
|
||
\*
|
||
<http://www.golem.de/news/darknet-korrupte-ermittler-auf-der-silk-road-1504-113291-2.html>
|
||
\*
|
||
<http://www.theguardian.com/technology/2015/apr/22/wi-fi-hack-ios-iphone-ipad-apple>
|
||
\* gitter
|
||
\* HRZ HTW Dresden dreht der KSS die selfhosted cloud ab
|
||
\* Oettinger 4 VDS
|
||
<http://www.heise.de/newsticker/meldung/Oettinger-plaediert-fuer-neuen-Anlauf-zur-Vorratsdatenspeicherung-auf-EU-Ebene-2625967.html>
|
||
\* BND-foo
|
||
<http://www.tagesschau.de/inland/bnd-177.html>
|
||
|
||
<http://www.heise.de/newsticker/meldung/BND-Skandal-Kanzleramt-unter-Druck-2625767.html>
|
||
\* debian updaten, jessie outdated und als stable veröffentlicht
|
||
\* DRM demnächst mit Hardware-Dongelung dank großer Firmen
|
||
|
||
<http://www.golem.de/news/ready-play-3-0-keine-4k-filme-ohne-neues-hardware-drm-fuer-windows-10-1504-113753.html>
|
||
\* eCall:
|
||
<http://www.golem.de/news/auto-hilferuf-ecall-wird-ab-2018-pflicht-1504-113775.html>
|
||
\* ubuntu snappy: <http://developer.ubuntu.com/en/snappy/>
|
||
- ubuntu bekommt transaktionale Updates -\> Zurückrollen
|
||
-\> Familiensupport wird einfacher
|
||
- Kernsystem doppelt installiert (system-a/system-b, nur lesbar)
|
||
- erinnert an systemd
|
||
- Neues Packetformat:
|
||
- differentielle Updates
|
||
- Ports/Services
|
||
Thema: DN42
|
||
Internet im Internet
|
||
Motivation: IPv6-Tunnelbroker eingerichtet, und nun? Weiterlernen!
|
||
technische Hintergründe
|
||
|
||
- lokaler Rechner: einfache Routingtabelle mit Default Gateway zum
|
||
Router
|
||
|
||
-\> ISPs: viele Netze, viele Organsiationen -\> Bedarf für
|
||
Protokoll
|
||
|
||
- BGP:
|
||
- Jeder Teilnehmer paart mit einer Anzahl von anderen Peers und gibt
|
||
seine eigenen Netze (Netz erklären) bekannt und die Netze die er
|
||
erreicht. (Routing by Rumor)
|
||
- dezentral
|
||
- Filter (nicht blind jede Route akzeptieren), Gewichtsparameter
|
||
(unterschiedliche Bandbreiten zwischen den Peers)
|
||
- In die Routingtabellen der Provider schauen
|
||
<http://www.bgp4.as/looking-glasses>
|
||
- VPN-Tunnel:
|
||
- die wenigsten Peers im DN42 haben direkte Verbindung zueinander -\>
|
||
Abhilfe Tunnel über VPN schaffen Verbindungen über das Internet
|
||
- openvpn, ipsec, GRE, fastd, tinc
|
||
- DNS: eigene tld
|
||
|
||
Wie kann ich mitmachen? (wolf)
|
||
|
||
- Wiki öffnen: dn42.net (projektseite)
|
||
- Anmelden auf io.nixnodes.net (interface zur registry)
|
||
- AS-Nummer: 418
|
||
- Subnet: ipv4 172.22.0.0/15, ipv6 fd00/8
|
||
- Domain: .dn42
|
||
- IRC/Peerfinder ...
|
||
- VPN Tunnel aufsetzen
|
||
- BGP Dienst aufsetzen (Bird, Quagga) -\> Filterregeln (wichtig! böse
|
||
Routen)
|
||
- Bonus: DNS integrieren (eigener DNS oder bestehenden verwenden)
|
||
|
||
Dienste:
|
||
|
||
- Howto wiki
|
||
- looking glasses, map
|
||
- Anycast DNS, whois, tor
|
||
- irc-server, hackint
|
||
- suchmaschinen
|
||
- Peering mit einzelnen Freifunk Projekte, ChaosVPN peering
|
||
- Package Mirrors für Linux Distros
|
||
- VCR
|
||
- Free Music Radio (mit CC-Music), Streaming
|
||
- git hosting
|
||
- VMs, shell-accounts
|
||
|
||
- Datenspuren
|
||
- Termine
|
||
|
||
## März 2015
|
||
News:
|
||
|
||
- Chemnitzer Linuxtage:
|
||
- vergangenes Wochenende (21. - 22. März)
|
||
- Vortragsprogramm für breites Publikum (Vom wie man von Windows auf
|
||
Kubuntu wechselt bis zum x86_64 Assembler)
|
||
- Workshops (blastermaster: Debianpaketierungen)
|
||
- Stände für Projekte
|
||
- Linuxnacht: Chipmunkmusik -\> Musik auf dem Taschenrechner/Gameboy
|
||
- Es wird Aufzeichnungen
|
||
- Liest Virtualbox deine Emails?
|
||
<https://hsmr.cc/palinopsia/?utm_content=buffer553dc&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer>:
|
||
- Programm, welches den RAM der Grafikkarte ausliest
|
||
- Vram nicht resettet
|
||
- Virtualboxmaschine konnte bei 3D-Beschleunigung Bildschirminhalte
|
||
vom Host auslesen
|
||
- Berliner Senat kaufen teuren Windows XP Support:
|
||
<http://www.heise.de/open/meldung/Extra-Support-laeuft-aus-Berliner-Senat-klebt-an-Windows-XP-2582739.html>
|
||
- Windows 10 verlangt nicht deaktivierbares Secure Boot von OEMs:
|
||
- <http://arstechnica.com/information-technology/2015/03/windows-10-to-make-the-secure-boot-alt-os-lock-out-a-reality/>
|
||
- Secureboot erklären -\> aktuelle Situation mit Windows 8
|
||
- fuses
|
||
- Vortrag auf den Chemnitzer Linuxtagen: Verified Boot auf Arm mit
|
||
Linux
|
||
<https://chemnitzer.linux-tage.de/2015/en/programm/beitrag/448>
|
||
- nicht mehr deaktivierbar bei Windows 10 zertifizierten OEMs
|
||
- mögliche Lösungen:
|
||
- Shim:
|
||
<http://www.golem.de/news/uefi-secure-boot-shim-mit-integriertem-microsoft-schluessel-veroeffentlicht-1212-96085.html>
|
||
- Keine OEM-Laptop kaufen: System76 <https://system76.com/>
|
||
|
||
<http://www.heise.de/open/meldung/BIOS-Rootkit-LightEater-In-den-dunklen-Ecken-abseits-des-Betriebssystems-2582782.html>
|
||
|
||
Thema: Unicode
|
||
|
||
- Ursprung der Textkodierung: Fernschreiber
|
||
- Morsecode: Mehre Symbole pro Zeichen
|
||
- <http://de.wikipedia.org/wiki/Baudot-Code>
|
||
- 5-Tasten: Ein Symbol pro Zeichen
|
||
|
||
- Ascii (Das Computerzeitalter und die rasch zunehmende Globalisierung
|
||
der Kommunikation)
|
||
- alle programme machen was anderes mit dem ersten bit
|
||
- Latin-1 (Sprachspezifische Varianten), Oktetts
|
||
- dutzende Kodierungen für nichtlateinische Schriften (Big5, MS-874,…)
|
||
- Unicodestandard und Umsetzungen (UTF-8, UTF-16)
|
||
- UCS - Universal Character Set
|
||
- Mojibake und warum alle gefälligst UTF-8 benutzen sollen KTHXBYE
|
||
- -\> Unterschied zwischen
|
||
- UTF-8 (Rob Pike, verwendet für Internetprotokolle)
|
||
- UTF-16 (*High-Surrogate*, *Low-Surrogate, BOM - Byte Order Mark,
|
||
verwendet für programminterne Repräsentation)*
|
||
- Windows Sicherheitslücke: RIGHT-TO-LEFT Over-Character in
|
||
Dateinamen: *CORP_INVOICE_08.14.2011_Pr.phylexe.doc*
|
||
<http://krebsonsecurity.com/2011/09/right-to-left-override-aids-email-attacks/>
|
||
- PUA
|
||
“Private Use Area” **-**
|
||
Klingonisch**,** MUFI (Medieval Unicode Font Initiative)
|
||
|
||
Probleme bei
|
||
|
||
Ankündigungen:
|
||
- CfP f. CryptoCon <http://sublab.org/cryptocon15> - Ideen für den
|
||
7.-10. Mai
|
||
- CfP f. Linux Tage in Tübingen am 13.06.15:
|
||
<http://www.tuebix.org/callforpapers/>
|
||
- Freie Software & Freies Wissen fsfw) morgen 18:30 im Zentralgebäude
|
||
-2.115 (sublevel 2)
|
||
- Samstag ab 09:45 , Electronics OpenSpace & Arduino Day in der CoFab
|
||
- Wikipediastammtisch am Samstag ab 18:00 Uhr: in der BuchBar in der
|
||
Neustadt. <https://de.wikipedia.org/wiki/Wikipedia:Dresden>
|
||
- easterhegg!!! 3.-6.april in Braunschweig
|
||
- DN42 Themenabend im April
|
||
- 18.04. Tag der Offenen Tür an der HTW (u.a. Programmierung von
|
||
Microcontrollern)
|
||
Termine, Ort und ggf. Links bei uns im Kalender auf c3d2.de
|
||
|
||
## Februar 2015
|
||
News:
|
||
\*
|
||
<https://www.eff.org/deeplinks/2015/02/7-things-love-about-reddits-first-transparency-report>
|
||
\*
|
||
<http://www.heise.de/newsticker/meldung/AT-T-macht-Googles-Glasfaserangebot-weiter-Konkurrenz-2550938.html>
|
||
nur dort wo Google Fiber schon ist und mit Tracking-Opt-out für \$29
|
||
\*
|
||
<http://www.heise.de/newsticker/meldung/Wirtschaftsministerium-Weniger-Haftungsrisiko-fuer-WLAN-Betreiber-aber-nicht-fuer-alle-2557129.html>
|
||
Offiziell: CDU/SPD treibt Störerhaftung in die falsche Richtung
|
||
|
||
## Januar 2015
|
||
|
||
News:
|
||
<http://www.heise.de/newsticker/meldung/Europaratsausschuss-Massenverschluesselung-einziger-Schutz-gegen-Massenueberwachung-2529088.html>
|
||
<http://www.heise.de/security/meldung/Sicherheitsluecke-in-Millionen-Android-Geraeten-Google-empfiehlt-Chrome-oder-Firefox-als-Abhilfe-2528130.html>
|
||
die EU reguliert jetzt Dual-Use für Intrusion Software/ip network
|
||
surveillance equipment: “Intrusion-Software” (4) (intrusion software):
|
||
“Software”, besonders entwickelt oder geändert, um die Erkennung
|
||
durch ‘Überwachungsinstrumente’ zu vermeiden, oder ‘Schutzmaßnahmen’
|
||
eines Rechners oder eines netzfähigen Gerä
|
||
tes zu umgehen, und die eine der folgenden Operationen ausführen kann:
|
||
a) Extraktion von Daten oder Informationen aus einem Rechner oder einem
|
||
netzfähigen Gerät oder Veränderung von
|
||
System- oder Benutzerdaten oder
|
||
b) Veränderung des Standard-Ausführungspfades eines Programms oder
|
||
Prozesses, um die Ausführung externer Befehle
|
||
zu ermöglichen.\[09:17:33 PM\] poelzi:
|
||
<http://www.researchgate.net/profile/Stoyan_Sargoytchev/publication/259190910_Theoretical_Feasibility_of_Cold_Fusion_According_to_the_BSM_-_Supergravitation_Unified_Theory/links/0deec52a5c6f45c737000000.pdf?ev=pub_ext_doc_dl&origin=publication_detail&inViewer=true>
|
||
\[09:18:20 PM\] poelzi:
|
||
<http://www.slideshare.net/mobile/stoyansarg/stoyan-sargnanotek4?utm_source=slideshow&utm_medium=ssemail&utm_campaign=post_upload_view_cta>
|
||
\[09:31:27 PM\] Аstrо: for the news:
|
||
<https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability>
|
||
\[09:31:44 PM\] Аstrо: the security ap0calypse continues!
|
||
\[09:36:08 PM\] Аstrо: wow, ein john!
|
||
Anmerkungen:
|
||
1. “Intrusion-Software” erfasst nicht Folgendes:
|
||
a) Hypervisoren, Fehlersuchprogramme oder Tools für Software Reverse
|
||
Engineering (SRE),
|
||
b) “Software” für das digitale Rechtemanagement (DRM) oder
|
||
c) “Software”, entwickelt zur Installation durch Hersteller,
|
||
Administratoren oder Benutzer zu Ortungs- und Wiederauffindungs
|
||
zwecken.
|
||
2. Netzfähige Geräte schließen mobile Geräte und intelligente Zähler
|
||
ein.
|
||
Technische Anmerkungen:
|
||
1. ‘Überwachungsinstrumente’: “Software” oder Hardware-Geräte, die
|
||
Systemverhalten oder auf einem Gerät laufende Prozesse über
|
||
wachen. Dies beinhaltet Antiviren (AV)-Produkte, End Point Security
|
||
Products, Personal Security Products (PSP), Intrusion
|
||
Detection Systems (IDS), Intrusion-Prevention-Systems (IPS) oder
|
||
Firewalls.
|
||
2. ‘Schutzmaßnahmen’: zur Gewährleistung der sicheren Code-Ausführung
|
||
entwickelte Techniken, wie Data Execution Prevention
|
||
(DEP), Address Space Layout Randomisation (ASLR) oder Sandboxing.
|
||
“Isolierte lebende Kulturen” (1) (isolated live cultures): schließen
|
||
lebende Kulturen in gefrorener Form und als Trocken
|
||
präparat ein.
|
||
bzw.
|
||
j) Systeme oder Ausrüstung zur Überwachung der Kommunikation in
|
||
IP-Netzen (Internet-Protokoll) und
|
||
besonders konstruierte Bestandteile hierfür mit allen folgenden
|
||
Eigenschaften:
|
||
1. für die Ausführung aller folgenden Operationen in einem Carrier-Class
|
||
Internet Protocol Network (z.
|
||
B. nationales IP-Backbone):
|
||
a) Analyse auf der Anwendungsschicht (application layer) (z. B. Schicht
|
||
7 des OSI-Modells (Open
|
||
Systems Interconnection) (ISO/IEC 7498-1));
|
||
b) Extraktion ausgewählter Metadaten und Anwendungsinhalte (z.
|
||
B.Sprache, Video, Nachrichten,
|
||
Anhänge) und
|
||
|
||
Ankuendigungen:
|
||
31.1 - 1.2. Fosdem Bruessel
|
||
3. - 6. April Easterhegg in Braunschweig
|
||
|
||
## Dezember 2014
|
||
|
||
News:
|
||
<https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure>
|
||
<https://www.eff.org/deeplinks/2014/11/certificate-authority-encrypt-entire-web>
|
||
<http://www.sciencealert.com/watch-scientists-have-put-a-worm-s-brain-into-a-lego-robot-s-body-and-it-works>
|
||
-- fährt bei Anstupsen vor & zurück
|
||
|
||
<http://www.heise.de/newsticker/meldung/Forscher-identifizieren-GoPro-Filmer-anhand-ihrer-Kamera-Wackler-2497590.html>:
|
||
- Forscher der University of Jerusalem
|
||
- 34 Versuchspersonen
|
||
- 88% richtig bei Zwölf-Sekunden-Videos
|
||
- Polizisten in den USA zukünftig zum Tragen einer Body-Cam
|
||
verpflichtet
|
||
|
||
### Thema
|
||
Nebenläufigkeit
|
||
Asynchrone Programmierung
|
||
Promises
|
||
npm
|
||
modularization
|
||
node forward/io.js
|
||
|
||
## November 2014
|
||
|
||
**<u>News:</u>**
|
||
Github des Monats: (\$Dinge goes github)
|
||
- dotnet <https://github.com/dotnet/corefx>
|
||
- Boldmove von Microsoft, C# besser als Java!
|
||
- Wird mit dem Monoprojekt zusammen geführt
|
||
- Webentwicklung/mobile Plattformen (besser als HTML-Apps) werden
|
||
wieder interssanter
|
||
- awesomewm <https://github.com/awesomeWM/awesome/commits/master>
|
||
- go: <https://groups.google.com/forum/#>!topic/golang-dev/sckirqOWepg
|
||
- Rob Pike (Alter Unix-Hacker und Oberguru von go)
|
||
- von Mercurial zu git
|
||
- Google-hosted instance of <u>Gerrit</u>
|
||
- Anfang December
|
||
- freifunk dresden
|
||
<https://github.com/ddmesh/firmware-freifunk-dresden>
|
||
|
||
-\> Diskussion über Github (zentral)
|
||
|
||
Debian bleibt bei systemd - Entwickler treten zurueck
|
||
<http://www.heise.de/open/meldung/Debian-Noch-ein-Ruecktritt-in-der-Systemd-Debatte-2460450.html>
|
||
|
||
Mozilla stellt auf Yahoo als Standardsuchmaschine um
|
||
<http://www.heise.de/open/meldung/Mozilla-Partnerschaft-mit-Yahoo-fuer-Default-Suchmaschine-in-Firefox-2460746.html>
|
||
|
||
- Regin <https://s3.amazonaws.com/tiregin/regin.zip> (Achtung:
|
||
infiziert)
|
||
- quelle:
|
||
<https://netzpolitik.org/2014/regin-staatstrojaner-enttarnt-mit-denen-nsa-und-gchq-ziele-auch-in-europa-angriffen-haben/>
|
||
- Schadsoftware:
|
||
- Trojaner (back door)
|
||
- Geheimdienste NSA und GCHQ beim belgischen
|
||
Telekommunikations-Anbieter Belgacom eingebrochen
|
||
- Seit September 2013 ist öffentlich belegt
|
||
- seit 2008
|
||
|
||
- Treffen am 08.12.2014 1. Opensource-Initiative Dresden
|
||
|
||
"Latex statt kommerziellen Scheiß"
|
||
Weiterentwicklung von Opensource an der TU Dresden
|
||
|
||
- Ticketsverkauf 31C3, Assembly vom C3D2
|
||
|
||
**<u>Thema:</u>**
|
||
\* BSD
|
||
|
||
- gesamte Quellcode in einem Sourcecodeverwaltung
|
||
- Ports
|
||
- Forken nicht so beliebt
|
||
|
||
\* Geschichte
|
||
- 1970: Unix Timesharing System
|
||
- entwickelt in den Bell Labs bei AT&T
|
||
- Programmiersprache C, statt wie bisher Assembler -\> portable
|
||
- alles ist eine Datei (auch Geräte über Datei ansprechbar)
|
||
- Multiuser fähig (Terminals -\> Rechner) statt Batchverarbeitung
|
||
- 1970 + 7 Jahre: Universität von Kalifornien in Berkeley:
|
||
- AT&T -\> Telekommunikationsmonopol, durfte keine Software
|
||
verkaufen
|
||
- Sofware zum Preis der Datenträger zur Verfügung gestellt
|
||
- Bill Joy (Erfinder von vi) -\> erste
|
||
Berkeley-Software-Distribution
|
||
- Darpa brachte 1. TCP/IP-Implementierung ein
|
||
- Umgeschrieben bis keine einzige Zeile AT&T-Quelltext -\> unter BSD
|
||
Lizenz gestellt (Sparen von Lizenskosten -\> *Networking Release/2*)
|
||
-
|
||
<https://en.wikipedia.org/wiki/BSD_licenses#2-clause_license_.28.22Simplified_BSD_License.22_or_.22FreeBSD_License.22.29>
|
||
(vorlesen)
|
||
- Vererbungsbaum Unix:
|
||
<https://de.wikipedia.org/wiki/Berkeley_Software_Distribution#mediaviewer/File:Unix_timeline.de.svg>
|
||
- 4.3BSD-Lite auf Intel i386 -\> führte zur Entwicklung von NetBSD und
|
||
FreeBSD
|
||
|
||
- FreeBSD
|
||
- verbreitestes BSD-Variante
|
||
- Jails
|
||
- stabilste ZFS-Implementierung
|
||
- Whatsapp: nutzt selber Freebsd, 1 Million Spende an die Foundation
|
||
- pkgng
|
||
- ZFS
|
||
- FreeNAS
|
||
- PC-BSD
|
||
- Werkzeuge
|
||
- Life Preserver
|
||
- Warden
|
||
- pbi
|
||
- AppCafe
|
||
- TrueOS
|
||
- Lumina
|
||
- DesktopBSD/GhostBSD
|
||
- OpenBSD:
|
||
- Aus dem NetBSD-Projekt entstanden
|
||
- Entwickler Theo de Raadt ausgeschlossen
|
||
- Fokus auf Sicherheit und offene Quellen
|
||
- Sicherheitsaudits
|
||
- pf, openssh, libressl
|
||
- gehärtete Libc (static bounds checker)
|
||
- Dragonfly BSD
|
||
- <http://www.dragonflybsd.org/>
|
||
- <https://de.wikipedia.org/wiki/DragonFly_BSD>
|
||
- Entwickler: Matt Dillon und andere
|
||
- fork von FreeBSD
|
||
- features:
|
||
- HAMMER FS
|
||
- schenller zugriffb
|
||
- mit integriertem Spiegelung und Historien zugriff
|
||
- seit 3.6 version 2
|
||
- kompressionsalgorithmen, darunter LZ4 und zlib
|
||
- Hybrid Kernel
|
||
- ausgeprägte nutzung von Synchronizationsmechanismus
|
||
- Deadlock frei
|
||
- leicht zusammensetzbar
|
||
- Lightweight Kernel Threads:
|
||
- jeder Prozessor seinen eigenen Prozess-Scheduler
|
||
- Prozessor wechsel nur durch Inter Prozessor Interrupts (IPI)
|
||
Prozessen
|
||
- Beste Ausnutzung von swap partitionen auf SSDs
|
||
- NetBSD
|
||
- Fokus auf Portierbarkeit: Toaster (2005 von der Firma Technologic
|
||
Systems)
|
||
- Beliebt in Embedded-Systemen -\> Crosskompilieren einfach mit einem
|
||
Befehl
|
||
- Portable Gerätetreiber: PCI-Treiber für ein Gerät muss nicht für
|
||
jede Archtitektur angepasst werden
|
||
- Rumpkernel -\> neue Treiber als Programm laufen lassen und später in
|
||
den Kernel portieren
|
||
- Lua Module im Kernel laufen
|
||
- KGDB: Kernel Zeile für Zeile debuggen
|
||
|
||
- <https://wiki.c3d2.de/BSD>
|
||
|
||
weiterführende Medien:
|
||
- BSD Now <http://bsdnow.tv/>
|
||
|
||
### Ankündigungen
|
||
|
||
- Treffen EDV-Struktur für Solidarische Initiativen in Dresden
|
||
- 27\. November 2014 um 18:30 Uhr
|
||
- HQ
|
||
- OpenSource-Initiative an der TU
|
||
- Ort?
|
||
|
||
## Octobre 2014
|
||
|
||
\* Win10 EULA erlaubt Keylogging:
|
||
<http://thehackernews.com/2014/10/download-Windows-10-keylogger.html>
|
||
\* Sony verkrüppelt mal wieder Produkte:
|
||
<http://www.androidpolice.com/2014/10/02/unlocking-the-bootloader-on-sonys-xperia-z3-and-z3-compact-causes-poor-low-light-camera-performance-thanks-to-drm/>
|
||
\*
|
||
<http://www.heise.de/newsticker/meldung/The-Snappening-Hunderttausende-privater-Snapchat-Fotos-im-Umlauf-2415252.html>
|
||
\*
|
||
<http://www.heise.de/newsticker/meldung/Hewlett-Packard-zieht-bei-WebOS-Geraeten-den-Stecker-2427314.html>
|
||
\*
|
||
<http://www.heise.de/newsticker/meldung/Radikale-Islamisten-bekommen-eigenes-Ausweisdokument-ohne-Chip-2427815.html>
|
||
-- ich will auch einen ohne Chip, muss ich deshalb radikaler
|
||
Islamist\[tm\] werden?
|
||
\*
|
||
<http://www.heise.de/newsticker/meldung/Supercookie-US-Provider-Verizon-verkauft-Daten-ueber-seine-Kunden-2437242.html>
|
||
\*
|
||
<http://www.heise.de/newsticker/meldung/Internet-Steuer-Zehntausend-Ungarn-protestieren-gegen-Regierungsplaene-2432272.html>
|
||
|
||
Themenabend über Systemd, dem neuen Servicemanager für Linux, am
|
||
Donnerstag den 30. Oktober um 19:33 Uhr
|
||
|
||
### Thema
|
||
|
||
Shells: sh, dash, bash, ksh, tcsh, zsh, fish
|
||
|
||
Was ist eine Shell?
|
||
- GUI vs CLI
|
||
|
||
Geschichte:
|
||
- RUNCOM (Multics) / IBM JCL
|
||
- Thompson Shell -\> Redirect, Pipe -\> Bourne Shell
|
||
-\> C-Code durch Shellskripte ersetzt
|
||
<http://www.softpanorama.org/People/Shell_giants/introduction.shtml>
|
||
- C-Shell: History, Aliases, \~, Job Control, Path hashing
|
||
- Posix-Standard
|
||
|
||
Wie funktioniert eine Unixshell?
|
||
- parser -\> fork() -\> execvp() -\> wait()
|
||
- Standarteingabe, Standarausgabe, Fehlerausgabe,
|
||
- Pipe
|
||
- Redirect
|
||
- Umgebungsvariablen (\$PATH/\$HOME)
|
||
- Functions/Aliases
|
||
- coreutils (cp, rm, cat) vs builtins (cd, read)
|
||
- interaktive Shell \<-\> Skripte
|
||
- PROMPT
|
||
- shebang
|
||
- globs
|
||
- Shell history
|
||
- job control (Ctrl-C) fg bg
|
||
- Kontrollstrukturen (If, while)
|
||
- Mathe: \$((2+2)) let expressions
|
||
|
||
sh:
|
||
|
||
bash:
|
||
Standardshell unter Linux
|
||
Entwickelt von Brain Fox 1989
|
||
Seit Version 1.13 Chat Ramey Maintainer bis heute
|
||
angestellt von der FSF: Stallman sagte es sollte nur ein paar Monate
|
||
dauern
|
||
arrays, assziative-arrays im gegensatz zur sh
|
||
|
||
dash:
|
||
- Debian Shell
|
||
- schnell zum booten gedacht (ausfuehren von init scripten)
|
||
- macht Shellskripte kaputt, wenn man sie portiert
|
||
|
||
zsh:
|
||
- Rechtschreibkontrolle
|
||
- loadable modules: zftp, zcalc
|
||
- global aliases
|
||
- prompt themes
|
||
- shell history zwischen shell sharen
|
||
- oh-my-zsh
|
||
- grml
|
||
- zshuery
|
||
|
||
fish:
|
||
- Autovervollständigung (vom Ordner abhängig)
|
||
- Syntaxhighlighting (rot, falls kein gültiger Befehl -\> grün)
|
||
- modernere Shell-Syntax \<-\> Posix-Kompatibiltät
|
||
- Auch ohne lange Konfiguration schon gut benutzbar (ver
|
||
- fishd: verteilt globale Variablen an alle Shells
|
||
- baut Vervollständigung von Commandlineswitchen aus der manpage
|
||
zusammen
|
||
- C++
|
||
- substring search (Ctrl-p)
|
||
|
||
Ausblick:
|
||
Powershell:
|
||
- Module
|
||
- Remote Code ausführen
|
||
- Pipeline -\> Objekte statt Text, exception handling
|
||
- Code signing
|
||
- Events
|
||
- IDE
|
||
- Debugger
|
||
-
|
||
- definitv interessant, da gerade der arme Verwandte, der bei WIndows
|
||
immer helfen muss, damit vieles erreichen kann
|
||
|
||
## September 2014
|
||
|
||
\* NEWS NR \#1 Datenspuren ... die waren glaub ich
|
||
- Pentabug löten
|
||
|
||
\*
|
||
<http://www.golem.de/news/cloud-durchsuchung-microsoft-will-trotz-gerichtsbeschluss-keine-daten-hergeben-1408-108923.html>
|
||
|
||
\*
|
||
<http://www.heise.de/newsticker/meldung/Anwendervertrauen-in-die-Internet-Sicherheit-konsolidiert-sich-2389948.html>
|
||
|
||
\* Google und sichere Passwörter:
|
||
<http://www.golem.de/news/nach-kontodaten-veroeffentlichung-google-raeumt-nutzerdaten-und-passwoerter-auf-1409-109195.html>
|
||
|
||
\*
|
||
<http://www.heise.de/newsticker/meldung/NSA-Ausschuss-Opposition-will-Snowden-Befragung-in-Berlin-einklagen-2390344.html>
|
||
|
||
\*
|
||
<http://www.heise.de/newsticker/meldung/EU-Datenschutzreform-Arbeitnehmer-haben-das-Nachsehen-2390338.html>
|
||
|
||
\*
|
||
<http://www.heise.de/newsticker/meldung/EuGH-Bibliotheken-duerfen-Buecher-digitalisieren-2390212.html>
|
||
|
||
\*
|
||
<http://www.heise.de/newsticker/meldung/NSA-Ausschuss-fordert-von-Bundesregierung-mehr-Offenheit-2390236.html>
|
||
|
||
\*
|
||
<http://www.heise.de/newsticker/meldung/IT-Direktor-im-Innenministerium-wettert-gegen-Outsourcing-2390165.html>
|
||
Innenministerium verwendet FreieSoftware und OpenSource synonym - Sie
|
||
haben es nicht verstanden.
|
||
|
||
\* Apple Watch ist (bisher) ein sehr gut vermarkteter Witz - Nicht
|
||
einmal wasserdicht, trotz Induktionsladung und modularem Design ist auch
|
||
noch eine geringe Akkulaufzeit absehbar - die wirkliche Innivation ist
|
||
ApplePay für Nicht-Digitalgüter
|
||
<http://www.golem.de/news/nfc-apple-pay-koennte-sich-auszahlen-1409-109181.html>,
|
||
endlich etwas privatsphärefreundlicher digitales Bezahlen, leider nur
|
||
mit iPhone und bisher nur in den USA; dennoch: Cash bleibt Trumpf
|
||
|
||
\*
|
||
<http://www.btc-echo.de/paypal-tochter-braintree-bestaetigt-bitcoin-integration_2014090901/>
|
||
Bitcoin: Braintree integriert derzeit für deinen Zahlungsdienst und
|
||
macht die Probe aud's Exempel für PayPal
|
||
|
||
\*
|
||
<http://www.heise.de/newsticker/meldung/Amazon-zieht-sich-aus-P2P-Geldtransfers-zurueck-2390386.html>
|
||
|
||
\* Juristisch komisch:
|
||
<http://www.golem.de/news/urteil-fremde-nackt-selfies-zumailen-ist-nicht-strafbar-1409-109198.html>
|
||
|
||
### NSA
|
||
|
||
\*
|
||
<http://www.heise.de/newsticker/meldung/NSA-Ueberwachungsskandal-Millionenstrafe-fuer-Yahoo-bei-Nicht-Herausgabe-von-Nutzerdaten-2390402.html>
|
||
|
||
(pentacast 48: Dateisysteme)
|
||
|
||
### Thema
|
||
|
||
Containerloesungen: {LXC, Docker, BSD-Jails, systemd-nspawn}
|
||
|
||
\* Was sind Container
|
||
\* Abgrenzung der Betriebsystemvirtualsierung von
|
||
Voll/Para-Virtualisierung (Virtualbox, VMware, KVM)
|
||
|
||
- Normale sytemcall Schnittstelle kann genutzt werden keine emulation
|
||
oder virtuelle Maschine nötig wie bei Voll/Para - Virtualizierung
|
||
|
||
\* Vorteile: Leichtgewichtig und Schnell
|
||
|
||
- Leichtgewichtig und Schnell
|
||
- file-level copy on write
|
||
|
||
\* Nachteile:
|
||
|
||
- Gebunden an das Betriebsystem/Architektur
|
||
|
||
\* Anwendungsfälle:
|
||
|
||
- Desktopanwendungen isolieren
|
||
(<https://www.stgraber.org/2014/02/09/lxc-1-0-gui-in-containers/> )
|
||
- Dienste auf einem Server von einander trennen, z.B. im HQ
|
||
- Ressourcen Verwaltung
|
||
- Migration (Load Balancing)
|
||
|
||
\* Containerlösungen:
|
||
|
||
- chroot
|
||
- Linux: lxc, docker, libvirt-lxc, systemd-nspawn(1), openvz
|
||
- Solaris: zones
|
||
- Freebsd: jails
|
||
- Windows: virtuosso
|
||
|
||
\* Technische Grundlagen Linux:
|
||
|
||
- Linux Namespaces (unshare syscall):
|
||
- mount, UTS, network, SysV IPC, user
|
||
- Kommandozeile: nsenter/unshare
|
||
- <https://en.wikipedia.org/wiki/Cgroups#NAMESPACE-ISOLATION>
|
||
- Cgroups: <https://en.wikipedia.org/wiki/Cgroups>
|
||
- Resourcenzuteilung (RAM, IO, CPU), Priorisierung, Accounting
|
||
- CONFIG_CGROUP_FREEZER
|
||
- Seccomp (Chrome Sandbox, filtern von Syscalls)
|
||
<https://en.wikipedia.org/wiki/Seccomp>
|
||
- chroot (pivot_root) <https://en.wikipedia.org/wiki/Chroot>
|
||
- Kernel capabilities (SYS_ADMIN, NET_ADMIN -\> Netzwerkadapter...)
|
||
<http://linux.die.net/man/7/capabilities>
|
||
- Apparmor and SELinux
|
||
|
||
\* Freebsd: VIMAGE
|
||
\* Solaris: Crossbow
|
||
\* Apple App Sandboxing
|
||
|
||
\* Apple App-Sandboxing
|
||
|
||
- <https://developer.apple.com/app-sandboxing/>
|
||
|
||
\* chroot:
|
||
|
||
- Linuxinstallation, Debian Packetierung, bind
|
||
|
||
\* lxc:
|
||
|
||
- lxc-create -\> Templates für Distributionen
|
||
- Menge von Kommandozeilenprogramme zum Verwalten
|
||
- lxc-start/lxc-stop, lxc-attach/lxc-console
|
||
- lxc-clone (zfs/btrfs)
|
||
- /var/lib/lxc/C1/rootfs (backingstore)
|
||
- macvlan, bridge,...
|
||
- liblxc, Sprachbindings API
|
||
- Auch als Nutzer startbar, Isolierung von Desktopanwendungen
|
||
- eingesetzt bei uberspace.de
|
||
- unprivileged containers
|
||
- failover lxcs mit uCARP
|
||
- guter Blog: <https://www.stgraber.org/tag/containers/> (von lxc
|
||
Entwickler)
|
||
|
||
\* docker:
|
||
|
||
- aus propritären Proktukt von dotcloud entstanden -\> 1. Release
|
||
- microservices: <http://martinfowler.com/articles/microservices.html>
|
||
- Dockerfile, Einzelne Shell-Befehle Schritt für Schritt ausgeführt -\>
|
||
Snapshot basiert (btrfs, zfs, aufs, lvm thin provisioning) -\> docker
|
||
images -t
|
||
- geschrieben in der Programmiersprache Go
|
||
- volatile Container -\> Data-Container
|
||
- Einzelne Container Netzwerkdienste können gelinkt werden -\>
|
||
Umgebungsvariablen
|
||
- Entwicklerfreundlich: Testen auf dem eigenem System, Upload von Deltas
|
||
(git für container)
|
||
- docker registry
|
||
- coreos (systemd, kein Packetmanager, etcd, fleetd, failover, service
|
||
discovery)
|
||
|
||
\* jails:
|
||
|
||
- since FreeBSD 4.X / stable 5.X
|
||
- security police (global/local jail bezogen) sysctls
|
||
- license fuckup bei ezjail / qjail
|
||
- Ressourcenlimitierung (RCTL/RACCT)
|
||
- network alias konzept
|
||
- VIMAGE (virtualized network stack)
|
||
- if_bridge/if_epair entwicklung vs NetGraph vs OpenVSwitch (userland)
|
||
- TrueNAS / PC-BSD Entwicklungsabspaltung von Jails (pbi Warden
|
||
(<http://wiki.pcbsd.org/index.php/Warden/10.0> ) )
|
||
- Massendeployment mit ZFS basierten Jails
|
||
- failover Jails mit CARP
|
||
- **Temporary epair MAC address fix**
|
||
(<https://github.com/plitc/freebsd/commit/9215c5850ff562a44d0347fa03be60bd3cdd4b9c>
|
||
)
|
||
- MAC (Mandatory Access Control)
|
||
|
||
\* systemd-nspawn:
|
||
|
||
- wird zum Entwickeln von systemd genutzt
|
||
- gelinktes journald
|
||
- socket-activation
|
||
- systemd-networkd (dhcp)
|
||
- nsswitch (mymachines) -\> Automatisch Host auflösen
|
||
- momentan noch nicht ausbruchsicher
|
||
|
||
\* Solaris Zones
|
||
|
||
- Crossbow (virtualized network stack)
|
||
- globale / nicht globale zones
|
||
- RessourcePool (Prozesspriorität/CPU Core Zuweisung)
|
||
- RBAC (Role-Based Access Control)
|
||
- sparse/whole/-root/branded zones
|
||
|
||
\* Ankündigung
|
||
|
||
- **Themenabend über Container im HQ vorraussichtlich 10.10**
|
||
|
||
## August 2014
|
||
|
||
wieder im pad oder demnächst im \$portal?!
|
||
\* ist noch kaputt (505 on submitting news)
|
||
\* ggf wird eine neue instanz im hq aufgesetzt und um features für
|
||
shownotes erweitert
|
||
-\> erstmal pad
|
||
|
||
### Thema: Datenspuren
|
||
|
||
### News
|
||
\* Hack des Monats:
|
||
<http://www.heise.de/newsticker/meldung/Hackangriff-auf-Ampeln-2301448.html>
|
||
\* Forscher der University of Michigan veroeffentlichen grosse
|
||
Sicherheitsluecken ueber Ampelanlagen in der USA.
|
||
\* Tor Browser soll sicherer werden:
|
||
<http://www.heise.de/open/meldung/Haertung-des-Tor-Browsers-steht-und-faellt-mit-Firefox-Bugs-2299773.html>
|
||
\* Google Forscher finden Fehler in Glibc
|
||
<http://www.golem.de/news/glibc-fehlerhaftes-null-byte-fuehrt-zu-root-zugriff-1408-108814.html>
|
||
|
||
ALX:
|
||
\* Synology hat ein Trojanerproblem
|
||
\*
|
||
<http://www.heise.de/newsticker/meldung/Verschluesselungstrojaner-attackiert-Synology-Speichersysteme-2282625.html>
|
||
\* und F-Secure hilft bei der Entwanzung, man braucht aber den
|
||
Schlüssel der Erpresser (Pricetag: 0,6 BTC \~ 240€)
|
||
<http://www.heise.de/newsticker/meldung/F-Secure-mit-zweischneidiger-Hilfe-fuer-SynoLocker-Opfer-2301886.html>
|
||
|
||
BM
|
||
\* Saechsische Piraten bringen ersten dauerhaften Online Parteitag:
|
||
<http://www.heise.de/newsticker/meldung/Saechsische-Piraten-installieren-Internet-Parteitag-2301428.html>
|
||
|
||
\* Huawei macht keine Windows Phones mehr:
|
||
<http://www.heise.de/newsticker/meldung/Huawei-legt-Windows-Phone-auf-Eis-2302036.html>
|
||
|
||
\* CCC Ehrenmitglied Snowden (+ Chelsa M.- angefragt) + Spende ans
|
||
Anwaltsteam
|
||
|
||
\*
|
||
<http://www.wired.com/2014/08/how-to-use-your-cat-to-hack-your-neighbors-wi-fi/>
|
||
\* internet.org? Um Zensur routet das Internet herum:
|
||
<http://www.jpginternet.org/>
|
||
\*
|
||
<http://www.independent.co.uk/life-style/gadgets-and-tech/florida-man-accused-of-killing-his-roommate-asked-siri-where-to-hide-the-body-9665437.html>
|
||
|
||
ALX
|
||
\* Globale Handy-Standortüberwachung per SS7
|
||
\*
|
||
<http://www.heise.de/newsticker/meldung/Ueberwachungstechnik-Die-globale-Handy-Standortueberwachung-2301494.html>
|
||
|
||
\* Digitale Agenda & IT-Sicherheitsgesetz
|
||
|
||
- <http://www.heise.de/security/meldung/Innenminister-veroeffentlicht-Entwurf-fuer-IT-Sicherheitsgesetz-2294637.html>
|
||
- <https://netzpolitik.org/2014/gewerkschaft-der-polizei-will-vorratsdatenspeicherung-zurueck/>
|
||
- <http://www.heise.de/newsticker/meldung/Verfassungsschutz-soll-mehr-zur-IT-Sicherheit-beitragen-2294924.html>
|
||
- <http://www.vorratsdatenspeicherung.de/index.php?option=com_content&task=view&id=748&Itemid=55>
|
||
- <http://www.zeit.de/politik/deutschland/2014-08/polizei-bdk-ueberwachung-trolle>
|
||
- höhere it-standarts
|
||
- meldepflicht für betreiber (auch anonym) = an bsi nicht bürger
|
||
- mehr geld und rechte für bka,bnd,vfs
|
||
- gewerkschaft der polizei fordert vds, de maiziere auch
|
||
- anonymität im internet soll angeschaft werden
|
||
- 100 it spezialisten für die sächsische polizei (de maiziere zu
|
||
ulbig)
|
||
|
||
- \* Kripo will endlich mit Mautdaten Verbrecher jagen
|
||
|
||
<http://www.heise.de/newsticker/meldung/Kripo-will-endlich-mit-Mautdaten-Verbrecher-jagen-2290789.html?wt_mc=rss.ho.beitrag.atom>
|
||
bdk & bka wollen zugriff auf mautdaten - dürfen bisher nicht, geforder
|
||
wegen verbrechensaufklärung - fall des autobahnschützen bewiese da
|
||
(gefunden durch kfz scanner & handynr. abgleich)
|
||
|
||
- \* Besser Handyortung für Polizei
|
||
|
||
<http://www.heise.de/newsticker/meldung/Bessere-Handy-Ortung-fuer-die-deutsche-Polizei-2289542.html>
|
||
76 neue Beweissicherungs- und Dokumentationskraftwagen (BeDokW) für 4,2
|
||
millionen zur präzisions-lokalisierung
|
||
bka , antennenbauer, frauenhofer institut und tu ilmenau zusammen an dem
|
||
projekt
|
||
|
||
\* Zensur bei Twitter - Foley Video ---\> demnächst automatische
|
||
erkennung & zensur
|
||
<http://www.washingtonpost.com/blogs/the-switch/wp/2014/08/19/foley-video-photos-being-scrubbed-from-twitter/?hpid=z14>
|
||
|
||
\* Automatische Suche nach Kinderpornos in Google, Twitter, Facebook &
|
||
M\$
|
||
|
||
\* Blogklauerei
|
||
<http://www.heise.de/newsticker/meldung/Aktuelle-Masche-Krimineller-Blog-Klau-veraergert-viele-Betreiber-2297045.html?wt_mc=sm.feed.tw.ho>
|
||
abhilfe <http://niedblog.de/blog-kopiert-name-geklaut/#stopp> - ip
|
||
ranges sperren
|
||
blogs werden gespiegelt um mit werbebannern \$\$\$ zu machen
|
||
|
||
\* FinFisher Hack
|
||
<https://netzpolitik.org/2014/gamma-finfisher-hacked-40-gb-of-internal-documents-and-source-code-of-government-malware-published/>
|
||
|
||
\* Upcoming: Freiheit statt Angst am 30. August in Berlin
|
||
\*\* Reisegruppe <https://wiki.c3d2.de/FSA2014>
|
||
\*\* momentan ist da auch der Link auf <http://c3d2.de/> relativ weit
|
||
vorn (dynamisch!)
|
||
|
||
\* Schneller US-Einreise mit dem IPhone
|
||
\*\*
|
||
<http://www.heise.de/newsticker/meldung/iPhone-App-erlaubt-Umgehen-der-Warteschlange-beim-US-Grenzuebertritt-2302261.html>
|
||
|
||
\* \$75,000-Armprothese nutzlos wenn das gepairte iPad gestohlen wurde
|
||
\*\* <http://beta.slashdot.org/story/206397>
|
||
\*\* Deshalb Open Hardware auch für Prothesen!
|
||
|
||
\* kinko-box
|
||
<https://www.indiegogo.com/projects/kinko-me-pretty-easy-privacy>
|
||
|
||
### 11. DS 2014
|
||
|
||
am Sa+So 13.+14. September, start jeweils 10:00, Samstag mehr oder
|
||
weniger Open End, Sonntag bis ca. 18:00
|
||
ORT: Scheune Dresden (wie gehabt)
|
||
ANREISE: Aufs Bahnticket hinweisen, weitere Infos unter
|
||
|
||
- Reisehilfe <http://c3d2.de/news/ds14-hinreisende.html>
|
||
|
||
VORHER: Warmup im Dings,... Stilbruch - am Freitag (Neustadt)
|
||
(12.09. 20:00)
|
||
bitte Anmelden: Teilnehmerzahlen grob planen!
|
||
eventuell kein Essen, wir geben nochmal Bescheid ob man vorher was
|
||
mampfen muss
|
||
<https://dudle.inf.tu-dresden.de/dswarmup/>
|
||
Link auch in den News auf datenspuren.de
|
||
|
||
Für wen ist die Veranstaltung was? Zielgruppe? - Alle!?
|
||
|
||
Worum geht es, Themen?
|
||
- Open Data, Überwachung , Privatsphäre, Datenschutz
|
||
|
||
Was machen wir so (Überblick)?
|
||
- Vorträge (Details später)
|
||
- Workshops/Diskussionsrunden
|
||
- Lightning Talks!!!!
|
||
- Basteln für JunghackerInnen
|
||
- Info-Stände zu einigen Vorträgen
|
||
- Installationen
|
||
|
||
\*rumnörgeln\* über den Vorbereitungsaufwand, was gehört da alles dazu
|
||
- Termine festmachen, Orga mit Veranstaltungsort (mieten)
|
||
- CfP rumschicken
|
||
- Logos,Website, Flyer, T-Shirts, Versicherung
|
||
- Vorträge einsammeln, bewerten, Fahrplan aufstellen
|
||
- Netzwerk (WLAN-APs, Anschluss mieten)
|
||
- Streaming sicherstellen
|
||
- Detailplanung, Logistik bis zum Essen/Trinken
|
||
|
||
Details zu den Vorträgen:
|
||
**WICHTIG! bei p≡p - pretty Easy privacy nur Titel/Untertitel, keine
|
||
Details**
|
||
Wir haben noch keinen endgültigen Fahrplan: weil: - würde ich so nicht
|
||
sagen. einfach final fahrplan coming soon - lasst euch überraschen
|
||
|
||
Highlights:
|
||
Support aus Berlin: Constanze Kurz:
|
||
Five Eyes - Welche Handlungsoptionen haben wir gegen Überwachung und
|
||
Geheimgerichte
|
||
|
||
Yes we can – monitor you . wie geht das so mit dem Abhören im Internet,
|
||
Live-Demo
|
||
|
||
Wie kannst du wissen wer ich bin?
|
||
"Was verraten deine Daten über mich?"
|
||
|
||
Freifunk in Dresden
|
||
|
||
Open-Data-Stadtrat - Podiumsdiskussion
|
||
|
||
Digitale Selbstverteidigung, Wie schuetze ich mich vor Ueberwachung
|
||
mit Infostand
|
||
Lücken in der Digitalen Selbstverteidigung
|
||
|
||
Workshop zu digitalen Lernmaterialien
|
||
|
||
digitale verbrauchergemeinschaft
|
||
|
||
Pentanews Gameshow!!!
|
||
|
||
Lighning Talks:
|
||
Was ist das?
|
||
Mitmachen!!! submit datenspuren@c3d2.de oder vor ort
|
||
|
||
Basteln? Was geht und für wen?
|
||
|
||
ZUM SCHLUSS:
|
||
Daten nennen
|
||
- Veranstaltung 13+14, ab 1000
|
||
- Warmup 12.9., Anmeldung bis 10.9.
|
||
- Spenden <http://c3d2.de/unterstuetzen.html>
|
||
- finde eine kollemate mit dem seltenen datenspuren-etikett
|
||
|
||
Ankuendigungen:
|
||
FSA
|
||
Landtagswahlen ... Geht waehlen!
|
||
|
||
### Termine
|
||
|
||
**<u>== Juli - 2014 ==</u>**
|
||
|
||
### Themenvorschläge:
|
||
|
||
- VPN
|
||
|
||
### **News Aggegation Juli**
|
||
\* Dresden De-Mail City, mit grosser Marketingkampanie und angeblich
|
||
"sichere Kommunikation" zwischen Buerger und Behoerden will Dresden
|
||
jetzt weitreichend De-Mail Bullshit einfuehren. Wir erinnern uns das
|
||
fuer De-Mail das Gesetz welches beschreibt was "sicher" ist angepasst
|
||
wurde.
|
||
<http://www.heise.de/newsticker/meldung/Dresden-wird-De-Mail-City-2243420.html>
|
||
<http://computer-oiger.de/2014/06/30/dresden-soll-digitale-verwaltung-vormachen/29073>
|
||
|
||
\* Sillicon Saxony:
|
||
<http://www.sz-online.de/nachrichten/ideal-waere-ein-forschungsinstitut-2864707.html>
|
||
|
||
\* Microsoft macht NoIP Platt
|
||
Hier sollten wir vllt. auch alternativen aufzeigen, erklären warum das
|
||
wertvolle Infrastruktur zerstört.
|
||
<http://www.heise.de/newsticker/meldung/Malware-Microsoft-erzwingt-Umleitung-von-Domains-des-DynDNS-Diensts-NoIP-2243605.html>
|
||
|
||
\* NSA deklariert Tor Nutzer als Extremisten - also kennzeichnet euch
|
||
doch einfach direkt:: <https://www.trycelery.com/shop/torrorist>
|
||
Alle ip addressen von Suchanfrage nach Schluesselworten wie "tor" oder
|
||
"tails" werden von der nsa gespeichert und als "Extremist" vermerkt.
|
||
Das geht wohl aus Quellcode teilen (snort-regeln) der
|
||
Ueberwachungssoftware Xkeyscore hervor
|
||
Die Grundsaetzliche Sicherheit von Tor scheint nicht gefaehrdet zu
|
||
sein
|
||
aber anonym == boese ... liebe hacker merkt euch das
|
||
Bundesregierung-\>Reaktion() == NULL // sollten wir garbage
|
||
collecten!
|
||
<http://www.heise.de/newsticker/meldung/XKeyscore-Quellcode-Tor-Nutzer-werden-von-der-NSA-als-Extremisten-markiert-und-ueberwacht-2248328.html>
|
||
|
||
\* Meson neues Buildsystem
|
||
Bekanntlich haben ja alle Buildsysteme eins gemein ... sie suxXxen!!!
|
||
Als technische News und mal was positives könnten wir mal darueber
|
||
Sprechen.
|
||
<https://jpakkane.github.io/meson/>
|
||
<https://archive.fosdem.org/2014/schedule/event/meson/>
|
||
<http://www.reddit.com/r/programming/comments/1cbujx/meson_a_new_build_system_designed_to_optimize/>
|
||
|
||
\* Nach 43 Jahren: Andrew S. Tanenbaum gibt Abschiedsvorlesung - heise
|
||
online
|
||
<http://heise.de/-2256970>
|
||
A. S. Tanenbaum entwickler von Minix, was die Inspiration von Linus war
|
||
als der Linux entwickelte
|
||
Doktorvater von 23 Wissenschaftlern
|
||
zwei Ehrendoktorwuerden
|
||
|
||
\* Open Knowledge Festival für freies Wissen 15.07. - 17.07 in Berlin -
|
||
heise online <http://heise.de/-2258105>
|
||
|
||
==== NSA Skandal / Snowden (die "Snowdens der Woche") ===
|
||
|
||
- Die Teilnehmer auf dem Anwaltstag sorgen sich öffentlichkeitswirksam
|
||
auch wenn noch nicht ernsthafte Bemühungen wie PGP-Schlüssel
|
||
wahrzunehmen sind
|
||
<http://www.heise.de/newsticker/meldung/Anwaelte-wegen-NSA-Spaehaffaere-besorgt-2237782.html>
|
||
s.a.
|
||
<http://www.heise.de/newsticker/meldung/Befragung-Stand-der-E-Mail-Verschluesselung-ist-desastroes-2243124.html>
|
||
- Dt. Dienste lügen nicht wenn sie dementieren, aber die Wahrheit
|
||
verbergen sie dennoch <http://sz.de/1.2016504>
|
||
- <http://www.heise.de/newsticker/meldung/Zu-Guttenberg-ueber-Big-Data-Die-NSA-Affaere-hat-tiefe-Wunden-geschlagen-2238739.html>
|
||
- <http://www.heise.de/newsticker/meldung/NSA-Ausschuss-Experten-fordern-Ende-zu-Ende-Verschluesselung-ein-2239587.html>
|
||
- <http://blog.fefe.de/?ts=ad52ca3a>
|
||
- <https://www.bmi.bund.de/SharedDocs/Kurzmeldungen/DE/2014/06/bund-wechselt-netzbetreiber.html>
|
||
- <http://www.heise.de/newsticker/meldung/NSA-Untersuchungsausschuss-Union-und-SPD-votieren-gegen-Snowden-Befragung-in-Deutschland-2240416.html>
|
||
- <http://www.heise.de/newsticker/meldung/NSA-soll-auch-Merkels-neues-Handy-abgehoert-haben-2242848.html>
|
||
- C3 Klagt gegen GCHQ
|
||
<https://www.ccc.de/de/updates/2014/chaos-computer-club-klagt-gegen-gchq>
|
||
- <http://www.crackajack.de/2014/07/03/xkeyscore-code-speichert-anonyme-user-als-extremisten/>
|
||
- <http://www.tagesschau.de/inland/nsa-xkeyscore-100~magnifier_pos-0.html>
|
||
- <http://www.theguardian.com/world/interactive/2013/oct/04/tor-stinks-nsa-presentation-document>
|
||
- Snowden jetzt Ehrenmitglied der FU Berlin:
|
||
<http://www.tagesschau.de/inland/nsa-xkeyscore-100~magnifier_pos-0.html>
|
||
- ASYL IST KEINE FRAGE VON DANKBARKEIT! -\>
|
||
<http://www.golem.de/news/merkel-zu-snowden-asyl-ist-keine-frage-von-dankbarkeit-1407-107975.html>
|
||
|
||
#### other
|
||
|
||
- Übertragngsprotokoll Kleidung: Arbeiter aus Bangladesch bitten per
|
||
eingenähter Nachricht um Hilfe
|
||
<http://www.n24.de/n24/Nachrichten/Panorama/d/4973364/primark-kunden-finden-eingenaehte-hilferufe-in-kleidung.html>
|
||
-\> Achtung: 2 von 3 Fundstücken waren Quatsch
|
||
- <http://www.heise.de/newsticker/meldung/Internet-Verwaltung-ICANN-schaerfere-Kontrollen-fuer-Domainregistrierung-in-Frage-gestellt-2238863.html>
|
||
- <http://thehackernews.com/2014/06/researchers-uncover-spying-tool-used-by.html>
|
||
- Den Skandal um Passwörter für WLAN versteht man nicht wirklich, aber
|
||
bei Sportveranstaltungen werden Passwörter ja gewissermaßen
|
||
"traditionell" gerne libereal gehandhabt
|
||
<http://thehackernews.com/2014/06/fifa-world-cup-security-team_26.html>
|
||
- Coden ist nicht schwer, (typen)sicher coden aber sehr
|
||
<http://www.golem.de/news/integer-overflow-sicherheitsluecke-in-kompressionsverfahren-lz4-und-lzo-1406-107501.html>
|
||
- Zukunft der ICANN
|
||
<http://www.golem.de/news/internet-governance-das-maerchen-vom-multistakeholderismus-1406-107505.html>
|
||
- Dresden wird De-Mail Brückenkopf
|
||
<http://www.heise.de/newsticker/meldung/Dresden-wird-De-Mail-City-2243420.html>
|
||
- <http://www.heise.de/newsticker/meldung/CERT-Bund-Trojaner-Opfer-aendern-Passwoerter-PCs-bleiben-infiziert-2243405.html>
|
||
- <http://www.heise.de/newsticker/meldung/Bitcoin-ist-in-Kalifornien-legales-Zahlungsmittel-2243407.html>
|
||
- <http://www.heise.de/newsticker/meldung/Verwirrung-um-Microsofts-Sicherheits-Newsletter-2243456.html>
|
||
- Windows 8/8.1 runter, XP rauf:
|
||
<http://www.infoworld.com/t/microsoft-windows/windows-8-usage-declined-in-june-while-xp-usage-increased-245339>
|
||
- MIT + CERN machen Crowdfunding für Webmail mit E2E-Verschlüsselung,
|
||
Paypal sperrt dann mal das Konto:
|
||
<http://www.theregister.co.uk/2014/07/01/proton_mail_caught_by_paypal_processing_freeze/>
|
||
- Polizei NRW schaut jetzt von Berufswegen in die Zukunft:
|
||
<http://www.heise.de/newsticker/meldung/Rheinischer-Minority-Report-Polizei-NRW-will-mit-Predictive-Policing-Einbrueche-aufklaeren-2243936.html>
|
||
- <http://www.heise.de/newsticker/meldung/Unbubble-Suchmaschine-sucht-ausserhalb-der-Filterblase-2244363.html>
|
||
- Nach dem Google-Löschurteil lässt sich ex-Boss von Merrill Lynch
|
||
unliebsame BBC-Stories aus dem Index löschen:
|
||
<http://www.bbc.com/news/business-28130581>
|
||
- Human Rights Watch: FBI züchtet Terroristen
|
||
(<http://www.heise.de/newsticker/meldung/Human-Rights-Watch-FBI-zuechtet-Terroristen-2264070.html)>
|
||
- Experiment to educate people about the danger of posting data online:
|
||
<http://www.pleasedontrobme.com>
|
||
|
||
### **Thema**
|
||
|
||
<u>Juli 2014</u>
|
||
|
||
VPN - Virtual Private Networks
|
||
|
||
Zweck
|
||
\* LAN over WAN for Applications
|
||
\* Privacy
|
||
|
||
Arten
|
||
\* Nach OSI-Layer
|
||
|
||
Protokolle
|
||
\* PPTP
|
||
\* OpenVPN
|
||
\* IPSec
|
||
|
||
Vorteile/Nachteile/Schwerpunkte
|
||
\* Routing
|
||
\* Bandbreite
|
||
\* Vertraulichkeit
|
||
\* Obfuscation
|
||
|
||
Anbieter
|
||
\* \$self
|
||
\* ipredator
|
||
\*
|