Fighten statt Angst

Heute findet die Freiheit-statt-Angst-Demo statt.
Gestern erst habe ich mit FreundInnen zaghafte Schätzungen zu den TeilnehmerInnenzahlen gewagt.
Ich habe nicht die geringste Ahnung, wieviele Menschen kommen werden. Ich hoffe, >9000  (no seriously).
Ich wünsche mir über >90 000.

Ich hätte viel früher hier etwas dazu schreiben sollen aber vielleicht ist es noch nicht zu spät, um Einige von euch dazu zu ermutigen.

(Disclaimer: Tatsächlich wollte ich mit einem Kommentar meine vom Nerdtum eher ausgeschlossenen FacebookfreundInnen agitieren, aber die pennen alle noch und das sind auch gar nicht so viele, wie man meinen würde.)

 

Ich weiß, dass die Berichterstattung über die NSA, Snowden und so weiter bisweilen sehr unübersichtlich sein kann. Schlimmer noch: ungreifbar, unverständlich und unzugänglich. Darüber hinaus scheint die Diskussion um Datenschutz, Verschlüsselung und Rechte im Netz manchmal so unheimlich weit entfernt von unserer Lebensrealität, gerade für weniger privilegierte Menschen, die sich eher Gedanken darüber machen müssen, wie sie es schaffen, mit Flaschenpfand ihre mickrige Rente aufzubessern oder wie sie eine Flucht vor einem Regime überleben, um dann in MaHe von Hohlköpfen den Mittelfinger gezeigt zu bekommen.

Ich weiß das. Ich verfolge sogar die Berichterstattung über die NSA und trotzdem fühle ich mich hilflos und bin weit davon entfernt, zu glauben, ich hätte den Kram verstanden. Ich glaube auch nicht, dass das möglich ist und das ist gerade das Problem – wir WISSEN einfach nicht, was gewusst wird.

Dieses vermutlich von den Meisten geteilte Unvermögen, den Diskurs zu verstehen und das Unbehagen mit der Auseinandersetzung eines Problems, das scheinbar nur Nerds und Menschen mit Kohle für einen Computer betrifft kann mitunter sehr lähmend und frustrierend sein. Diese Punkte sind auch relevant und werden vermutlich auch viel zu wenig diskutiert. Aber es gibt trotzdem ein paar Gründe, weswegen die Geschehnisse und entsprechend auch die Demo heute uns alle betrifft.

Dazu muss erst einmal verstanden werden, dass der Grad der Überwachung schon derart weit vorangeschritten ist, dass es harte Arbeit wird, die aktuelle Entwicklung umzukehren und etwas zu ändern. Schritt für Schritt haben wir mehr zu akzeptieren “gelernt”. So finden unliebsame Änderungen eben statt. Ich denke das Beispiel der Vernehmung des Partners von Glenn Greenwald (der Snowden-Vertraute) auf Basis von Anti-Terror-Gesetzen ist ein sehr eindrückliches Beispiel dafür, wie Versprechen für mehr Sicherheit auf Kosten der Freiheit umgesetzt werden. Ist eine gesellschaftspolitische Änderung erst einmal umgesetzt, braucht es so viel mehr Energie, Ressourcen, Sichtbarkeit und Widerspruch um diese Situation zu ändern.

Das löst aber nicht das Problem der scheinbaren Entfernung zur Lebensrealität der Meisten von uns. Und ich stelle mir selber immer wieder die Frage, wie ich Engagement im Netzbereich rechtfertigen kann angesichts von Themen, die mir so viel akuter erscheinen. Aber dann wird mir nach kurzer Überlegung klar, dass es tatsächlich einen wichtigen Zusammenhang gibt: Die Handlungsfähigkeit von Menschen wird durch Überwachung eingeschränkt. Es braucht kein “Weiterspinnen” des Szenarios, um sich zu überlegen, in welche Richtung wir uns begeben, um zu verstehen, dass eine der wichtigsten Voraussetzungen für gesellschaftlichen Wandel die Vernetzung und auch die geheime Absprache ist. Eine nächtliche Aktion zur “Modifizierung” von NPD-Plakaten? Illegal. Ein Treffen mit Hackern, um Maßnahmen gegen die NSA zu planen? Verdächtig. Der Besuch eines linken Podiums gegen Gentrifizierung und Mieterhöhung? Guten Tag Rasterfahndung. Ein Blogpost gegen ein autoritäres Regime? Dafür kommst du in bestimmten Gegenden bereits in den Knast.

Themen, die uns dringlicher erscheinen als die Sicherheit von paranoiden Hackern, sind nicht von Überwachung zu lösen. Überwachung ist tief eingebettet in die Machtverhältnisse und Machtausübungen zwischen ziviler Bevölkerung und Staat. Überwachung zu bekämpfen und uns dagegen zu wehren ist die Grundvoraussetzung für politische Mobilität.

Die Möglichkeit zur klandestinen Aktion muss bestehen bleiben. Und so blöd es klingt, aber Deutschland nimmt dabei eine Vorreiterrolle ein. Es ist wirklich so, dass so einige Menschen weltweit gerade auf uns schauen und von uns ein deutliches Zeichen erwarten. Und wir müssen nicht alle Details des NSA-Skandals verstanden haben, um zu checken, dass hier etwas mächtig schief läuft und dass wir bei den ganzen Versuchen der Bundesregierung, das Thema zu beenden (!) und sich aus der Affäre zu ziehen belogen werden. Von einer, die den ganzen Kram zumindest ansatzweise verstanden hat zu euch:
Es ist wirklich schlimm.

Es gibt diesen Spruch, den ich mal im Radio gehört habe. Ich glaube, von einem amerikanischen Clubbesitzer oder einer Modemacherin. Irgendwie sowas. Der/die meinte: “Wenn du Berlin hast, kriegst du die Welt”. Es wurde sich damit auf die Schwierigkeit, einen Trend im widerspenstigen Berlin zu setzen. Aber wenn das erstmal geschafft sei, wird der Rest der Welt ein Leichtes.

Lasst uns die Bastion sein, die sich gegen Überwachung wehrt und nicht zu kriegen ist.
Lasst uns der Ort sein, wo sich ein Trend GEGEN Überwachung durchsetzt und dem andere Städte und Länder folgen werden.

Wir sehen uns um 13 Uhr am Alex.

How to Wget Hacker Credibility

Sommer, Sonne und Wget! 

Oh Verzeihung, ich meinte natürlich:

Lebenslange Haftstrafe, Cybercrime und Wget!
Es ist nunmehr schon zwei Wochen her, dass in Fort Meade das Urteil für Bradley Manning verkündet wurde. Er ist zwar dem Todesurteil entgangen wurde jedoch in 19 von 21 Anklagepunkten schuldig gesprochen. Das ist nicht nur voll gnädig, sondern auch voll praktisch, weil damit eine Vorlage geboten wurde, mit der sich jeder zweite Unix-Tools-User als krass0r Haxx0r begreifen kann. Denn Hacker ist man, wenn andere einen Hacker nennen.

Manning wurde unter anderem der Computerkriminalität beschuldigt, da er sich nicht die Mühe machte, jede einzelne Diplomaten-Depesche mit Rechtsklick herunterzuladen. Stattdessen verwendete er wget, ein Unix-Tool, um sein Teufelswerk in weniger als 8 Stunden und ohne Sehnenscheidenentzündung zu beenden.

Später Ruhm für Wget” und ein guter Grund, um dieses Tool mal kennenzulernen.

Kleine Disclaimer-Depesche: Wget ist so sehr Hacker wie dieses Hacker-Symbolbild.

Zugegeben, wget ist ein unheimlich vielseitiges Tool, was es auch so nützlich macht. Ein Blick in die manual-Page verrät, wieviele Kommandozeilenparameter das Programm eigentlich parsen kann.

Eine sehr leichte Anwendung, die ich auch häufig verwende, ist das Herunterladen einer einzelnen Audiodatei mit wget. Der Befehl wäre beispiels- und legalerweise

wget http://meta.metaebene.me/media/cre/cre202-hackerfilme.mp3 -O /home/fiona/Music/podcasts/hackerfilme.mp3

Ich gebe an wget die Download-Seite und den Ort und Namen, unter dem die Datei gespeichert werden soll mit (dafür steht das -O da). Probiert es einfach mal aus. Das Ganze geht natürlich auch mit pdfs, Bildern, Film(chen) und allem, was noch so heruntergeladen werden kann.

Solltet ihr einen Teil der Datei heruntergeladen und zwischendurch die Verbindung verloren haben, könnt ihr mit

wget -c http://dateiblabla.mp3 -O /home/user/dateien/dateiblabla.mp3 

den Download fortsetzen. Wget sucht dafür nach der entsprechenden Datei und beginnt dann, den Rest vom Server herunterzuladen.

Gegen Tendovaginitis hilft das jedoch auch nicht. Was wir von unserem Computer wollen ist in der Regel das Ausführen einer dummen Aufgabe,. Dann nochmal. Und nochmal. Und nochmal. Darunter fällt auch das Herunterladen mehrerer Dateien.
Das geht beispielsweise mit -i . Das i steht für input. Der von wget benötigte input ist ganz einfach eine .txt-Datei mit einer Liste von URLs. Entweder schreibt ihr eine Liste mit URLs per Hand oder ihr lasst euch eine schlaue Methode einfallen, wie ihr diese Liste erstellen könnt. Habe ich beispielsweise eine Liste angelegt mit Podcasts, die ich herunterladen möchte, sobald ich wieder W-Lan habe, oder eine entsprechende Liste mit Empfehlungen bekommen, kann ich die Liste einfach auf wget werfen. Das sieht dann so aus:

wget -i /home/fiona/Documents/recommendations.txt

und ab geht die Telegrammpost!

Eine weitere wichtige Funktion von wget ist das Herunterladen ganzer Webseiten. Klingt ersteinmal bescheuert, ist aber durchaus praktisch. Ich stoße selber immer wieder auf hilfreiche Seiten mit Dokumentationen, Verzeichnissen, Erklärungen und Ähnlichem, die ich wie eine Art Buch herunterladen und nachlesen möchte, auch wenn ich gerade nicht online bin.

Hm.

Mir fällt grad auf, dass es wirklich mal keine schlechte Idee wäre, diese Website hier zu wget-r-en. Andererseits soll Linus Torvalds laut Wikipedia mal gesagt haben, dass nur Weicheier eigene Backups machen. Echte Männer (so wie ich) lassen natürlich das Internet die Backups machen!

Wenn ich beispielsweise meine eigene Seite wget-r-e, sähe das so aus:

wget -r -l2 http://fionalerntprogrammieren.wordpress.com

Das -l2 bedeutet, dass der Download zwei Linkebenen tief sein darf. Wenn ihr euch mal mein Blog anschaut und nach ganz unten scrollt, seht ihr das Archiv. Ich brauchte nur einmal Links zu verfolgen, um zu den jeweiligen Monaten zu kommen. Allerdings habe ich beim Anschauen vom Januar gemerkt, dass mir das gar nicht alle Beiträge des Monats ausliefert, sondern maximal fünf. Danach muss ich auf “ältere Beiträge” klicken, um die restlichen zu sehen. Also brauche ich zwei Linkebenen, um wirklich alle Beiträge herunterzuladen. Ich kann mich nicht erinnern, mal mehr als zehn Beiträge in einem Monat geschrieben zu haben, sonst müsste es natürlich -l3 heißen.

Das Ganze kann auch mit dem kompletten Mirrorn (Spiegeln) einer Seite abgekürzt werden:

wget -m http://fionalerntprogrammieren.wordpress.com

Tatsächlich hat sich schonmal jemand damit auseinandergesetzt, wie man eine WordPress-Seite sauber spiegelt. (Danke Linus!)
Es lohnt sich auf jeden Fall, sich einmal durch die manual page zu wühlen, um die vielen Features kennenzulernen. Vielleicht gibt es auch Leute, die für andere LeserInnen hilfreiche und praktische Anwendungsbeispiele in die Kommentare posten möchten. Aber denkt bitte an die Zugänglichkeit für AnfängerInnen. Ansonsten – probiert einfach mal die hier erwähnten Beispiele aus, es kann nichts schief gehen, außer, dass ihr aus Versehen das Internet herunterladet.

Es ist im Grunde genommen so einfach, wie Gmail im Browser aufzurufen.
Es ist im Grunde genommen so einfach, wie Gmail im Browser aufzurufen, ein Hacker zu sein. Zumindest laut Militärgericht.

OHM Workshop Finger Print Spoofing

Kann sein, dass ich mir nur einbilde, eine erfahre Kongressteilnehmerin zu sein, aber wenn ich es mir einbilde, bilde ich mir gleich auch noch ein, als solche behaupten zu können, dass Workshops im Gegensatz zu Talks auch tatsächlich eine Lerngarantie haben. So auch im Falle des Fingerprint Spoofing Workshops im Village von srlabs.

Am zweiten Tag besuchte ich einen Workshop in dem ich lernte, Fingerabdrücke einzuscannen und auf einer Platine nachzubilden. Den Workshop leiteten Ben und Dexter, die beide im IT-Security-Bereich arbeiten. Sinn und Zweck des Workshops war neben Spiel, Spaß und Trollempowerment auch eine Kritik an Fingerabdrucksensoren als Sicherheitsvorrichtung. Die Lehre aus einem zweistündigen Workshop, in dem ich einen Fingerabdruck fälsche ist, dass ich in zwei Stunden einen Fingerabdruck gefälscht habe.
Mit Dexter sprach ich noch ein wenig über die Verbreitung von Fingerabdruckscannern. Die Meisten kennen sie vermutlich von Devices, welche das Einscannen als Alternative oder zusätzlich zum Passwort anbieten. Es gibt verschiedene Sensoren, die unterschiedlich präzise sind, jedoch nie ein zufriedenstellendes Sicherheitslevel erreicht haben. Insofern kann zumindest bei der Verschlüsselung von Laptops von einem Risiko gesprochen werden, sofern keine zusätzliche Verschlüsselung angewandt wird. Andererseits gestand Dexter auch ein, dass es Graubereiche gibt, in denen die Verschlüsselung mittels Fingerabdruck durchaus Sinn ergibt, beispielsweise bei Smartphones. Im Gegensatz zu Passwörtern oder Wischmustern, die per – Achtung, heiterer hipper Anglizismus – Shouldersurf ausgespäht werden können, ist ein Fingerabdruckscanner unter Umständen sicherer. Schwarz-Weiß-Malerei ist also unangebracht, aber trotzdem fand ich es unheimlich lehrreich einmal nachvollziehen zu können wie naheliegend das Fälschen von Fingerabdrücken eigentlich wirklich ist.

image

Unschuldige Glasplatte

Der erste Schritt beim “Cloning” ist natürlich das Erfassen des Fingerabdrucks. Dafür legte ich meinen Finger kurz auf eine kleine Glasplatte. Ihr kennt das vielleicht aus schlechten Dedektivfilmen oder Tatort (haha, implizierend, das wäre kein schlechter…). Danach ließ ich ein wenig Cyanacrylat auf eine Plastikunterlage tropfen. Cyanacrylat steckt in sehr starkem aber frei erhältlichem Sekundenkleber. Über diese paar Tropfen hielt ich für einige Minuten die Glasplatte in wenigen Zentimetern Entfernung. Dabei bedampft der Kleber die Glasplatte und reagiert mit den Proteinen darauf. Das heißt, die Stellen auf der Platte, die mein Finger berührt hat, werden sichtbar. Über den Abdruck legt sich nach einer Weile ein weißer Schleier, der sich als Kontrast abhebt, wenn die Glasplatte auf eine schwarze Unterlage gelegt wird. Dafür hatten Dexter und Ben bereits eine Vorlage vorbereitet. Darauf klebten wir die Glasplatten und legten sie in einen Scanner.

image

Sichtbar gemachter Fingerabdruck wird auf einem schwarzen Hintergrund gescannt

Der Scanner gibt ein Bild aus, das wir mit Photoshop einlasen. Ben verwendete Levels und die Regler für die Schwarz-, Weiß- und Grautöne, um den Kontrast zu verstärken. Ich selber hätte vermutlich mit der Gradationskurve gearbeitet, aber das muss vermutlich von der Scanqualität jedes einzelnen Fingerabdrucks abhängig gemacht werden. Für gewöhnlich käme jetzt noch ein bisschen oder eine Menge Photoshoppen hinzu, um das Abbild zu schärfen. Aber es waren 30°C im Schatten und ich beschloss, aus Zeitgründen den Abdruck von Ben zu verwenden.

image

Kupferplatine und Folie werden übereinander in den UV-Scanner gelegt

image

Bens Fingerabdruck auf Laserfolie

Den Fingerabdruck von Ben invertierten wir und druckten ihn auf einer halbmatten Laserfolie aus. Einen Ausschnitt mit dem Fingerabdruck klebten wir auf eine Kupferplatine. Diese legten wir in einen UV-Scanner und ließen sie eine Weile belichten. Die Belichtung führt dazu, dass die fotoempfindliche Kupferschicht leicht abgetragen wird außer dort, wo Toner ist, also wo die Folie bedruckt war. Wir erhalten also ein Positiv des Fingerabdrucks.

Diese Platine wird dann in einem Bad mit Natriumhydroxid entwickelt und die Schicht, die sich schon gelöst hatte, wird dadurch abgetragen.

image

Mit dem Entwickler wird der Fingerabdruck auch auf der Platine sichtbar

Das nächste Bad enthält Eisen(III)-Chlorid und das ist das sogenannte Ätzen der Platine. Darin werden jetzt die Kupferionen herausgelöst und es entsteht ein Negativ. Leider habe ich davon kein Foto, weil ich zu sehr um mein Leben fürchtete. Die fertig geätzte Platine wird mit Graphit besprüht und danach wird Holzleim aufgetragen. Das Graphit dient dem leichteren Lösen des Holzleimes sobald dieser getrocknet ist.

image

Geätzte Platine mit einem Negativ des Fingerabdrucks.

image

Wildes Graphit in seiner natürlichen Umgebung.

Nach ein paar Stunden kann man diesen abziehen und hat wiederum ein lustig-labberiges Positiv des Fingerabdrucks, das man über einen Fingerabdruckscanner ziehen kann. Der Leim-Lappen hat eine vorteilhafte Flexibilität, das heißt, er bricht nicht wenn man drüber verreibt, aber verformt sich auch nicht.

image

Auftragen des Holzleims auf die Platine. Für das authentisch-verführerische “Ich-tue-etwas-verbotenes-Gefühl” empiehlt sich die Verwendung einer Kreditkarte.

Fertig.

Andererseits: Es gibt natürlich ein paar Variablen, die meine eher stümperhafte Durchführung von der professionellen unterscheiden. Mangelnde Sorgfalt ist auf jeden Fall ein Erfolg limitierender Faktor. Forensiker haben höchstwahrscheinlich bessere Photoshopskills als wir bei 30° im überhitzten Zelt, den Ruf des Sees in den Ohren. Der Scan des Fingerprints müsste eigentlich recht sorgfältig mit Photoshop “gesäubert” werden, wenn der Scan schlecht war.
Und nunja, ich habe zwar einen Sandwichtoaster, aber kein Ätzbad zu Hause. Ich habe Miso-Suppen-Brühwürfel, aber kein Eisen(III)-Chlorid. Wobei es andererseits kein Problem wäre, beide zu besorgen. Das mag für einige besorgniserregend klingen, aber der potentielle Schaden erscheint lächerlich im Vergleich zur ebenfalls frei und legal (!) erhältlichen Frikandel Speciaal.

image

Hier noch die professionell-seriöse Erklärung zum Workshop auf einem Plakat der Firma srlabs

OHM Day 3

Der letzte Tag ist angebrochen und es sinkt immer weiter die Wahrscheinlichkeit, dass sich am Gesamteindruck der OHM noch etwas ändern lässt. Das ist eher ein Thema für einen allerletzten Blogpost aber vorab lässt sich schon sagen, dass ich etwas anderes erwartet hätte. Obwohl ich nur sehr wenige Vorstellungen von der OHM hatte, bin ich doch überrascht, wie sehr sie davon abweicht. Das hat vor allem mit einem von mir empfundenen Spannungsverhältnis zwischen Professionalität und charmanter Amateurhaftigkeit sowie Autonomie zu tun. Was mich am allerersten Tag noch beeindruckte ruft mittlerweile nur noch ein Schulterzucken hervor. Es gibt riesige Veranstaltungszelte, Lasershows, eine utopische Bühnenkonstruktion und meine Güte sogar Toiletten! Aber etwas fehlt. Die Leistung die für den Nebelturm erforderlich war – ich vermute mal, eine Menge Kohle draufzuwerfen – ruft sicherlich auch eine Form der Anerkennung hervor, aber eine andere. Magie und Charme kann man nicht kaufen, eher im Gegenteil. Ich möchte alles andere als der Orga die Mühe und den Aufwand absprechen, den sie investiert haben, aber eine Lasershow hinterlässt einfach keinen so schönen und langanhaltenden Eindruck wie ein Pfannkuchenroboter.

Menschen kann man vielleicht schon kaufen, aber sind merkwürdig wenige da, alles wirkt ein wenig, als würde die OHM bestimmt bald losgehen. Daher sind die vielen Superlative, mit denen die OHM jongliert auch kaum oder gar nicht besucht.
Und dies alles wird begleitet von einer – zumindest in den Kreisen in denen ich mich bewege – omnipräsenten Diskussion über den Sponsoringfoo.
Aber wie gesagt – vielleicht lieber später mehr dazu. Vor allem, wenn ich verschiedene Stimmen dazu gehört habe.

Es soll auch nicht der Eindruck entstehen, es wäre hier nicht schön, lehrreich und spannend. Es gibt ein riesengroßes Angebot an Workshops und Talks und es sind wie immer auf Hackerveranstatlungen ein Haufen toller Menschen zu treffen, die Interessantes zu erzählen haben und noch interessantere Getränke trinken.

Der erste Talk, den ich mir gestern anschaute hatte den charmanten Titel “Programming is Terrible – A Story of a life wasted” von @tef. Der Vortrag entsprach nicht ganz dem, was der Titel versprach, war aber trotzdem ein interessanter Einblick in das in das ProgrammiererInnenleben aus Sicht eines Menschen, der ein beschissener Programmierer ist und Programmieren nicht mag. Tef sprach vor allem über typische Prozesse und Dynamiken zwischen EntwicklerInnen, die an einem Projekt arbeiten. Er sprach beispielsweise über das “Bike Shed” Phänomen. In Diskussionen oder auf Mailinglisten würden immer mal wieder Themen besprochen, die keinerlei Expertise bedürfen und von geringer Relevanz für den Erfolg des Projektes sind. Als Beispiel dient das Fahrradhäuschen als Teil eines großen Gebäudekomplexes. “Whenever there is no expertise necessary for a discussion, threads will be indefinite.” Wenn es um die Tragfähigkeit der Pfeiler geht, werden einige wenige Ingenieure oder Architekten etwas dazu zu sagen haben. Entsprechend groß wird dann das das Bedürfnis, die Farbe des Daches zu diskutieren, denn dazu kann immerhin jede und jeder etwas beitragen.
Die Frage, was das jetzt genau mit Programmieren zu tun hat und wie sich das darin äußert ist eine interessante Frage, ich werde aber zunächst eine andere beantworten! (Ich habe keine Ahnung.)

Interessant fand ich seine Darstellung von Code-Paradigmen in Bezug auf die Frage “How to be good” und wie sehr immer noch die Auffassung, man:good, woman:bad in Programmierkreisen kursiert. Im Endeffekt brach er das Ganze aber auf das altbekannte me:good, you:bad herunter und berief sich auf das Buch “How to be a Hacker” in welchem der Autor eine detaillierte Beschreibung seines eigenen Werdegangs als Pfad der Erleuchtung darstellt.

Gegen Ende des Vortrages sprach tef sehr viel über das Programmierenlernen und -lehren. Tef betrachtet es als Problem, dass immer wieder Fehler weitergegeben werden und zog “Extreme Programming” als Beispiel heran. Weiterhin kritisierte tef die Auffassung von ProgrammiererInnen, dass C unbedingt gelernt werden müsse (“Learning C is character-building”). Da stimme ich ihm zu, Lernende sollten gleich bei Assembler anfangen und einen Computer aus Zahnstochern bauen können.
Ich mochte seine Auffassung sehr, dass Programmieren unheimlich viel mit Kommunikation und Sozialem zu tun hat (“Math actually really is not necessary, but communication is”) wobei ich selber natürlich noch nie in ein größeres Programmierprojekt eingebunden war. Aber ich denke, das ist eine sehr wertvolle Einstellung wenn es um das Programmierenleren geht.

Abschließend sprach tef noch sein Engagement im Code Club an, einem Projekt das mit über eintausend Clubs weltweit Kindern das Programmieren näher bringen will, “before the java people arrive”.
Ich denke, den Coding Club kann man im Auge behalten, neben vielen anderen tollen Initiativen wie der Open Tech School oder Chaos macht Schule. Jedenfalls – wenn so sympathische Leute wie tef mit Kindern über Programmieren sprechen ist schonmal der erste Schritt getan. Wir haben sicher alle sehr unterschiedliche Erfahrungen mit den Menschen gemacht, die uns das erste Mal Computer und Technik und …excel näher bringen wollten. In meinem Falle war es ein muffiger Schulkoordinator ohne Lehrauftrag, der in einem Büro so groß wie ein Schuhkarton saß. Mit 30 anderen Leuten im Klassenzimmer, die alle um die Wette Solitaire spielten, kann man nichtmal besonders erfolgreich vermitteln, wie man gifs zwischenspeichert (warum auch??). Coole Leute, die über Technik reden – davon gibt es eine Menge. Coole Leute, die mit Menschen die programmieren lernen wollen über Technik reden – davon gibt es noch zu wenig.

OHM Day 2

Wenn Menschen weder für “regnerisches, windiges und kaltes Dreckswetter” gemacht sind, noch für “heiße, trockene und hirnschmelzende Kackhitze” – wofür sind wir dann eigentlich gemacht? Hat schonmal jemand Camping bei 3° K ausprobiert?

Der erste Tag mit Workshops, Vorträgen und ein bisschen Mini-Party ist vorbei und ich habe den zweiten Tag bereits angefangen  der zweite Tag ist auch so gut wie vorbei. Gestern stürmte und regnete es noch wie bescheuert, heute überhitzt die Sonne unsere Netzteile. Nichtsdestotrotz wird hier getan, gemacht, gelötet, gesprochen und zugehört.

Um ehrlich zu sein – der Tag gestern war auf verschiedenen Ebenen nicht sonderlich erfolgreich, bis auf das Essen, das mein Camp und ich kochten, das war äußerst erfolgreich. Vor allem in der Abwehr des berüchtigt schlechten Essens das hier für ein Studierenden-Wochengehalt vertickt wird.Ich sammle gerade noch die Dinge, die ich dort gelernt habe, wobei das meiste wie so häufig neue Fragen und keine Antworten sind. Aber so habe ich vermutlich 90% meines Wissens über Computer, Code und Netztechnik seit letztem Jahr gelernt – durch anfängliches Unverständnis, Nachfragen, Hinterherrecherchieren und Biertrinken.

Was und wieviel ich aus den Vorträgen mitnehme ist recht unterschiedlich. Ein Großteil der Technik-Talks – die selber einen Großteil des Programms bilden – sprengt den Rahmen dessen, was ich ohne Weiteres verstehen kann. Darüber hinaus gibt es aber auch eine große Auswahl an Talks, die auch für AnfängerInnen, solche die es werden wollen oder sich nur marginal für Technikkram interessieren.
Der erste Talk, den ich besuchte, war “Trolling the Web of Trust”. Darin erzählte Micah Lee von Möglichkeiten, die Unsicherheiten des Public Key Hostings durch kleine oder größere Trollierungen offenzulegen, bzw. welche Skripte er bereits geschrieben hat, um die Sichereitslücken mit verschiedenen Techniken aufzuzeigen. Ich finde es etwas schwierig, korrekt und trotzdem vereinfacht wiederzugeben, was ich dort gelernt habe. Vereinfacht gesagt für diejenigen, welche sich noch nie mit PGP auseinandergesetzt haben (es aber BESTIMMT bald tun werden):

Die gängige Verschlüsselungsmethode bei E-Mails benötigt die Generierung von zwei Schlüsseln, einem öffentlichen und einem privaten. Beide bestehen aus einer langen Abfolge von Bytes, bzw. Ascii-Charactern. Den privaten Schlüssel sollte ich – nunja – privat halten und niemandem verraten, denn dieser ist so etwas wie der Schlüssel, den ich brauche, um die E-Mails die an mich geschickt und verschlüsselt wurden wieder zu öffnen. Es sind nämlich nur die E-Mails an mich verschlüsselt, die mit meinem Public Key “verschlossen” wurden. Falls mir meine… sagen wir Eltern verschlüsselt schreiben wollen, dass sie die Piercings meines neuen Freundes unseriös finden, gucken sie auf einem Public Key Server, was denn so mein Public Key ist. Aber vermutlich hätte ich meinen Eltern auch direkt meinen Public Key geschickt, wenn sie verschlüsseln würden. Das geht nämlich auch. Diesen Public Key wenden sie sozusagen auf die geheime Email an und können somit sicherstellen, dass nur ich diese Email lesen kann und nicht beispielsweise mein Freund, wenn er einen Angriff auf mein Mailkonto plant. Wäre ja auch echt unangenehm. Das heißt, die Email hat ein Vorhängeschloss verpasst bekommen, das nur ich mit meinem private key wieder öffnen kann. Niemand sonst! Hoffentlich.

Das Blöde daran ist, dass jederzeit irgendein Bernd einen Public Key zu meiner E-Mail-Adresse auf einen Key Server hochladen kann. Wenn er dann auch noch mein geheimes Gmail-Konto hackt und jemand den gefälschten Key statt meines richtigen Keys verwendet, kann der oder die Angreiferin ohne weiteres meine E-Mails entschlüsseln. Damit meine Eltern nicht den falschen Key verwenden, gibt es sogenannte Signaturen unter den Keys. Wenn drei Aluhutkönige den echten Key signieren, den ich gerne (nach einem persönlichen Gespräch) signiert haben möchte, signieren, wirkt dieser natürlich authentischer als der Gefälschte. Wobei auch die Signaturen von den drei Aluhutköniginnen gefälscht sein können. Und so weiter und so fort. Dieses System wird “Web of Trust” genannt.

In dem Vortrag lernte ich dann, dass das Key Signing unverhofft zu sehr viel mehr Kreativität führen kann, als man auf den ersten Blick meinen würde. Es gibt allerdings auch noch größere äh leakende Sicherheitslöcher. Beispielsweise die Praxis, Short Key IDs zu verwenden. Das sind – vereinfacht gesagt – die letzten acht Character des Public Keys, mit denen der komplette Key identifiziert werden kann. Es ist allerdings seit vielen Jahren bekannt, dass diese unsicher sind, da ein anderer Key mit denselben letzten acht Zeichen generiert werden kann. Näheres dazu hier.

Es gibt also noch viel zu lernen in Sachen PGP – aber eigentlich ist alles ganz einfach!!11!!!1!
Nein ehrlich, wenn ihr bis zu diesem Absatz folgen konntet, seid ihr schon gut dabei. Und lasst euch bloß keine Lehrstunde über Elliptische Kurven andrehen. Auch nicht für Geld. Und gegen Geld erst recht nicht!

Nach diesem Vortrag besuchte ich einen Workshop über IPv6, der explizit an AnfängerInnen gerichtet war, jedoch trotzdem noch ein wenig zu viel Vorwissen von den Zuschauenden erwartete. IPv6 ist eine neben vielen anderen Quatsch-Lösungen für das Problem der brenzten IP-Adressen lösen soll. Als in den 70ern IPv4 entwickelt wurde, waren sich die klugen Köpfe aus dem Internet nachvollziehbarer Weise sicher, dass insgesamt 4 Milliarden Adressen für die Menschheit und alle anderen Lebewesen ausreichen müssten. Aber da immer mehr Menschen und Tiere das Internet nutzen und dies nicht unbedingt auf die effizienteste Art und Weise was die IP-Adresse-Vergabe betrifft, wird das nicht ewig halten. Die 4 Milliarden IP-Adresse gibt es, weil IPv4-Adressen auf eine Zeichenlänge von 32 Bits beschränkt ist und dementsprechend viele bzw. wenige Adressen überhaupt haben kann. IPv6-Adressen sind dagegen länger und entsprechend definitiv ausreichen. Wenn ich die Zahl der IPv4-Adressen sechsmal verdoppele kommte ich ungefähr auf die Anzahl von IPv6-Adressen, die es dann theoretisch gäbe. Ziemlich viele also! IPv6 hat noch andere Features, allerdings verläuft die Umstellung trotzdessen nur sehr träge und zieht sich bereits schon über viele Jahre.
Eines dieser Features ist beispielsweise IPsec, was auch immer das ist. Da hab ich dann nicht mehr zugehört und den Workshop verlassen.

Abends gab ich mir auch den Assange-Talk im großen Zelt. Neben einer hypnotisch tropfenden Sanduhr sprach Assange auf einem großen Telescreen zu den Massen. Anfangs verstand ich nur Wortgruppen, da die Soundqualität zu schlecht war. Dann konzentrierte ich mich ein wenig, hörte genauer hin – und verstand wieder nur Wortgruppen. Nach etwa 15 Minuten beschloss ich, dass es für Julian und mich besser wäre, wenn ich ginge und machte mich auf die Suche nach dem Fingerprint-Klonen-Workshop. Der wurde allerdings auf heute verlegt und ich war auch schon dort. Aber so langsam wird es Zeit, sich wieder auf das Camp zu begeben und den *hust* angenehmeren Teil des Abends zu beginnen.

Lichttechnik können sie ja auf der Ohm. Sponsoring allerdings auch. Und wie. Aber auch dazu lieber morgen mehr.

Getaggt mit , ,
Folgen

Erhalte jeden neuen Beitrag in deinen Posteingang.

Schließe dich 104 Followern an