============== Page 1/1 ============== Die Datenschleuder Das wissenschaftliche Fachblatt für Datenreisende Ein Organ des Chaos Computer Club ◆ AES, der kommende Krypto Standard ◆ Das BKA und die „Internet Kriminalität“ ◆ Chaos Communication Congress 1998 Nachlese ISSN 0930-1045 Frühjahr 1999, DM 5,00 Postvertriebsstück C11301F #66 Impressum Adressen http://www.ccc.de/ChaosTreffs.html Chaos im Internet: http://www.ccc.de & news:de.org.ccc Die Datenschleuder Nr. 66 I. Quartal, FrŸhjahr 1999 Herausgeber: (Abos, Adressen etc.) Chaos Computer Club e.V., Lokstedter Weg 72, D-20251 Hamburg, Tel. +49 (40) 401801-0, Fax +49 (40) 401801-41, EMail: ofÞce@ccc.de Redaktion: (Artikel, Leserbriefe etc.) Redaktion Datenschleuder, Postfach 640236, D-10048 Berlin, Tel +49 (30) 280 974 70 Fax +49 (30) 285 986 56 EMail: ds@ccc.de Druck: St. Pauli Druckerei Hamburg CvD und ViSdP: dieser Ausgabe: Andy MŸller-Maguhn(andy@ccc.de) Mitarbeiter dieser Ausgabe: Andreas Bogk, RŸdiger Weiss, Cornelia Sollfrank, Alexander Eichler, Chris Vogel, Jockel von Niemann, Jens Ohlig, Migri, H. Ottstedt, D. Steinhauser, Jan Manuel Tosses, Tim Pritlove, u.a. Eigentumsvorbehalt: Diese Zeitschrift ist solange Eigentum des Absenders, bis sie dem Gefangenen persšnlich ausgehŠndigt worden ist. Zur-Habe-Nahme ist keine persšnliche AushŠndigung im Sinne des Vorbehalts. Wird die Zeitschrift dem Gefangenen nicht ausgehŠndigt, so ist sie dem Absender mit dem Grund der NichtaushŠndigung in Form eines rechtsmittelfŠhigen Bescheides zurŸckzusenden. Copyright (C) bei den Autoren Abdruck fŸr nichtgewerbliche Zwecke bei Quellenangabe erlaubt. Die Datenschleuder #63 Erfa-Kreise Hamburg: Lokstedter Weg 72, D-20251 Hamburg, mail@hamburg. ccc.de Web: http://hamburg.ccc.de Phone: +49 (40) 401801-0 Fax: +49 (40)401 801 - 41 Voicemailbox +49 (40) 401801-31. Treffen jeden Dienstag ab ca. 20.00 Uhr in den ClubrŠumen. Der jeweils erste Dienstag im Monat ist Chaos-Orga-Plenum (intern), an allen anderen Dienstagen ist jede(r) Interessierte herzlich willkommen. …ffentliche Workshops im Chaos-Bildungswerk fast jeden Donnerstag. Termine aktuell unter http://www.hamburg.ccc.de/Workshops/index.html Berlin: Club Discordia alle zwei Wochen Donnerstags zwischen 17 und 23 Uhr in den ClubrŠumen in der Marienstr. 11, Hinterhof in Berlin-Mitte. NŠhe U-/S-Friedrichstrasse. Tel. (030) 285986-00, Fax. (030) 285986-56. Briefpost CCC Berlin, Postfach 640236, D-10048 Berlin. Aktuelle Termine unter http://www.ccc.de/berlin Kšln: Der Chaos Computer Club Cologne zieht gerade um. Aktuelle Koordinaten bitte unter mail@koeln.ccc.de bzw. http://www.koeln. ccc.de erfragen. Telefonische Erreichbarkeit erst wieder nach vollstŠndigem Bezug neuer RŠume. Ulm: Kontaktperson: Frank Kargl frank.kargl@rz. uni-ulm.de Electronic Mail: ccc@majordomo.uni-ulm.de Web: http://www.uniulm.de/ccc Treffen Jeden Montag ab 19.00h im 'CafŽ Einstein' in der UniversitŠt Ulm. Bielefeld: Kontakt Sven Klose Phone: +49 (521) 1365797 EMail: mail@bielefeld.ccc.de. Treffen Donnerstags, ab 19.30 Uhr in der GaststŠtte 'Pinte', Rohrteichstr. 28, beim Landgericht in Bielefeld. Interessierte sind herzlich eingeladen. Chaos-Treffs: Aus PlatzgrŸnden kšnnen wir die Details aller Chaos-Treffs hier nicht abdrucken. Es gibt in den folgenden StŠdten Chaos-Treffs, mit Detailinformationen unter http://www.ccc.de/ChaosTreffs.html: Bochum/Essen, Bremen, Burghausen/Obb. und Umgebung, Calw, Dithmarschen/Itzehoe, Dresden, Emden / Ostfriesland, Eisenach, Erlangen/NŸrnberg/FŸrth, Frankfurt a.M., Freiburg, Freudenstadt, Giessen/Marburg, Hanau, Hannover, Ingolstadt, Karlsruhe, Kassel, LŸneburg, Mannheim/Ludwigshafen/Heidelberg, Mšnchengladbach, MŸnchen, MŸnster/Rheine/Coesfeld/Greeven/OsnabrŸck, Rosenheim/Bad Endorf, Neunkirchen/Saarland, WŸrzburg, Schweiz/Dreyeckland: Basel, …sterreich: Wien Herbst 1998 /work/todo/Chaos-Jahr99 Der Congress und Jahr 1998 waren kaum vorbei, schon stehen die nŠchsten Aktionen an, die durchgefŸhrt werden wollen. Der Congress 1998 im Haus am Kšllnischen Park hat dank Bewahrung der AtmosphŠre bei gleichzeitiger Steigerung von Teilnehmerzahlen auf Ÿber 2500 und einer professionelleren Kongressinfrastruktur viel zusammengefŸhrt. Zum Beispiel Menschen. Und nicht zuletzt Ideen, wie man das Leben auf diesem Planeten etwas sinnvoller gestalten kšnnte, als in der Art und Weise, wie es von den herrschenden ZustŠnden derzeit demonstriert wird. Apropos RŸstung: Derzeit rŸsten wir uns fŸr den Beginn des Chaos Communication Congress als Dauerveranstaltung vom 1.1.2000 bis ca. 31.12.2999 (Kaffee- und Kindergeburtstagspausen inklusive). Ein Jahrtausend kunterbunter Vernetzung und friedensstiftender VerstŠndnisssteigerung sollte die notwendige Evolution etwas vorantreiben. Bevor wir dann also den Jahrtausendplan auf dem diesjŠhrigen Chaos Communication Congress Ende Dezember verabschieden, Ÿben wir uns im Aufbau und dem Betrieb entsprechender Infrastruktur durch das Chaos Communication Camp vom 6.-8. August 1999 in der NŠhe von Berlin. Erste Details in dieser Impressum -1 Kontaktadressen -1 Editorial ❏❏❏❏❏ Index ❏❏❏❏❏ Leserbriefe ❏❏❏❏■ CRD: Vermittlungsstelle geklaut ❏❏❏■■ CRD: Nessus Alpha 2 releast ❏❏❏■■ CRD: Terminals der Deutschen Bahn ❏❏❏■■ CRD: Chaos Bildungswerk Hamburg❏❏❏■■ Erfahrungsbericht Zwangs-https ❏❏❏■■ AES - Nachfolge fŸr DES gesucht ❏❏■❏■ Wo sind die HŠcksen von heute ?! ❏■❏■■ Die Datenschleuder #66 Frühjahr 1999 Ausgabe und unter http://www.ccc.de/camp/ Auf diese Datenschleuder habt ihr ein bi§chen lŠnger warten mŸssen; das hat zum einen mit der notwendigen Erholungspause nach dem Congress zu tun, zum anderen mit den noch zu verbessernden Strukturen. Im Web-Bereich des CCC und in den Mailinglisten sind wir gut vorangekommen, eine dezentralere Struktur zur Beteiligung auch unregional AnsŠssiger zu schaffen. Bei anderen Dingen, wie den orga-lastigen Besprechungen und der Erarbeitung von Medienerzeugnissen wie diesen auf Papier haben wir noch ein bi§chen dran zu arbeiten. Insofern haben wir dieses Jahr auch als Kulturgemeinschaft viel zu tun; Open Source KryptoansŠtze werden auf einmal von Bundesministerien gefšrdert, Ermittlungen im Mordfall Tron von der eigentlich zustŠndigen Polizei und Staatsanwaltschaft dafŸr Ÿberhaupt nicht. Chipkarten bleiben ein spannendes Thema und Entzauberung auf breiter Ebene ist angesagt. Die nŠchste Datenschleuder erscheint Ende Juni und dann isses nur noch einen Monat bis zum Camp. Bis dahin hoffen wir auf eure Rege Mitarbeit auf allen Ebenen. In diesem Sinne: weitermachen. Andy M.-M. BKA-Tagung Internet-KriminalitŠt CCC«98: Wilde Sachen bei Nacht CCC«98: MP3-Workshop CCC«98: AnonymitŠt im Netz CCC«98: EinfŸhrung in Dylan CCC«98: Funkamateurkurs Klasse 3 CCC«98: GSM-Unsicherheit CCC«98: Linux Cluster CCC«98: Year 2000 Chaos Chaos Communication Camp 1999 Termine im Jahre 1999 Bestellfetzen ❏■■❏■ ■❏■❏■ ■❏■■❏ ■■❏❏■ ■■❏■❏ ■■❏■■ ■■■❏❏ ■■■❏■ ■■■■❏ ■■■■■ 33 34 ds@ccc.de Leserbriefe (kleine Auswahl) Date: Tue, 12 Jan 1999 23:18:09 +0000 From: acun@ To: ds@ccc.de Subject: Allgemeiner Kommunikator Ich bin ein 14 jŠhriger junge mit einem MAC. Ich will mit dir kontakt aufnehmen,falls du ein allgemeiner kommunikator bist.Ich wŠre dir sehr verbunden wenn,du mir allgemeine kommunikation beibringst. Du dich besser wenden an die nŠchste Chaos-Treff Date: Tue, 5 Jan 1999 16:42:46 +0100 From: "bfw" To: Subject: Du arschloch ich brauche die chaos cd mit der hacker bibel! mail mir zu RE3@gmx.de 0000:A2 13 10 91 46 0B 81 15 44 45 4E 5F 49 A2 1C 00 0010:6E 61 08 4F 06 D2 76 00 00 04 00 FF FF FF FF 39 0020:36 37 32 20 20 20 20 20 30 20 20 20 20 20 30 31 0030:31 30 30 30 30 30 30 30 30 30 30 31 30 30 32 30 0040:31 31 39 39 39 32 32 35 33 33 34 31 30 32 31 30 0050:31 39 39 38 31 39 31 37 32 33 30 4D 65 6E 7A 2C 0060:20 53 74 65 66 61 6E 20 20 20 20 20 20 20 20 20 0070:20 20 20 20 20 20 20 20 20 20 30 31 31 30 30 30 0080:20 30 30 30 30 30 30 20 30 30 30 30 30 30 30 30 0090:30 30 30 30 37 34 39 32 20 20 20 20 20 20 30 20 00A0:20 20 20 20 20 20 20 44 20 44 FF FF FF FF FF FF 00B0:FF FF FF 30 30 30 30 30 30 30 30 30 36 30 30 FF 00C0:FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 00D0:FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 00E0:FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF u. wehe du sendest mir schlaue wšter zu! 00F0:FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF Wir werden uns hŸten. Nach KlŠrung der Rechtslage gips ganz bald die Geldkartendoku auf ftp.ccc.de im PDF Format. Date: Mon, 04 Jan 1999 19:57:10 +0100 From: Dino To: ds@ccc.de Subject: Chipkarten Hi ihr, Kšnnt ihr mit diesem Hex Code etwas anfangen, oder mir sagen wo ich die passende Karte dazu bekomme, meine Chipkarten sind alle zu gro§. Wo wird da der Geldbetrag verschlŸsselt ???? Danke im vorraus - Dino B Aus der Chaos Hotline aufgeschnappt Wau, Chaos Hotline Caller: I have a brand new Internet Computer with toasting processor and... w: Which color? C: Strawberry. w: Then I know your problem c: ??? w: Each color has one problem. And you have an Internet Computer without the @ marked on the Frühjahr 1999 Die Datenschleuder #66 Chaos Realitäts Dienst Kurzmeldungen Telekommunikationsliberalisierung praktisch erfahren ZwischenfŠlle beim Betrieb des Echelon-Systems und der Strukturen drumrum http://jya.com/nsa-40k.htm In Las Vegas Þelen am 1. MŠrz kŸrzlich die TelefonanschlŸsse von rund 75.000 Kunden aus. Ursache waren weniger technische Probleme, als die Tatsache, da§ bewaffnete Einbrecher kurzerhand die in Betrieb beÞndlichen Vermittlungen mitnahmen. Die Polizei hat zwar noch keine direkte Spur, ein Vertreter der Firma vermutete jedoch einen gezielten Diebstahl zum Zwecke des Wiederverkaufs an andere vermittelnde Unternehmen. (Quelle: AP 1.3.1999) ... der Bundesbeauftragte fŸr die Unterlagen des ehemaligen Ministeriums fŸr Staatssicherheit der deutschen demokratischen Republik jetzt unter http://www.snafu.de/~bstu Nessus Alpha2 releast Wissen ...ÒTIP-INFOÒ - Terminals der Deutschen Bahn: laufen unter Windows NT - Applikation heisst tipinf.exe - sind online verbunden (PC Anywhere laeuft im Hintergrund) - und stŸrzen entsprechend oft ab Der mittlerweile etwas in die Jahre gekommene SicherheitslŸckenscanner SATAN hat einen wŸrdigen Nachfolger bekommen. Nessus nimmt es im Funktionsumfang mit kommerziellen Tools wie ISS auf, ist aber im Gegensatz zu diesen Open Source. Der Scanner ist in einen Server zur Datensammlung und einen Client zur Aufbereitung unterteilt, der auch auf einem anderen Rechner laufen kann. Nessus gibtÕs bei http://www.nessus.org. Bildungswerk Chaos Hamburg Bauplankorrekturhinweis Eine Anmeldung zu den Workshops ist derzeit nicht erforderlich, wer Zeit und Lust hat (und die eventuell nštigen Voraussetzungen erfŸllt) kann kommen. FŸr einige Veranstaltungen geben wir Voraussetzungen an. Dies soll helfen, den technischen Level und Schwierigkeitsgrad einzuschŠtzen (Einsteiger in ein bestimmtes Thema oder Details? Technisch oder gesellschaftlicher Schwerpunkt?). Bei der Platine UniProg, DS 61, S. 01111 ist der unter dem 7812 angeordnete Kondensator nicht 220 nF, sondern eher 100 uF 25 V. Beim MAX232 ist bei den fuenf Tantalelkos die Polaritaet zu beachten; sie ist auf der Platine nicht markiert. Quellen im Netz Termine und Themen Þnden sich immer aktuell unter ... Unterhaltsames Interview mit einem ehemaligen NSA-Mitarbeiter Ÿber Ausbildungsformen, technische Strukturen und Die Datenschleuder #66 Der CCC Hamburg eršffnet im Mai das Chaos Bildungswerk. VortrŠge und Workshops zu unterschiedlichsten chaosrelevanten Themen Þnden in der Regel donnerstags um 19:30 Uhr in den ClubrŠumen in Hamburg-Eppendorf, Lokstedter Weg 72, statt, umfangreichere Workshops auch schon einmal am Wochenende. Frühjahr 1999 http://www.hamburg.ccc.de/Workshops/ Erfahrungen mit der zwangsweisen Erfahrungsbericht Zwangs-https Wie in der vorletzten DS verkŸndet, wurden im Herbst '98 fŸr drei Monate alle Browser, die standardmŠ§ig in der Lage sind, per https zu verbinden, zur Benutzung desselben auf www.ccc.de gezwungen. Einige interessante Probleme sind dabei aufgetaucht und einiges Herzleid wurde verursacht. Zwangsma§nahmen sind ja sonst nicht so unsere Sache, auch wenn es schon VorschlŠge gab, Verstš§e gegen ein RFC mit Windowsbenutzung nicht unter zwei Jahren zu bestrafen. In diesem Fall erschien es gerechtfertigt, da AufklŠrung zum Thema Public Key Cryptography und SSL not tat und immer noch tut, denn auch die neue Regierung scheint am SigG festzuhalten und die nštigen Hooks im BGB sollen im Laufe dieses Jahres beschlossen werden, womit eine elektronische Unterschrift auch ohne materielles Vertragsdokument Beweiskraft erlangt. Der zweite und nicht weniger wichtige Grund fŸr mšglichst viel verschlŸsselten TrafÞc zu sorgen ist, um es den den Herren und Damen mit den gro§en Ohren mšglichst schwer zu machen. Allerdings stellt sich die Frage, ob der Kampf gegen Zwang und †berwachung Zwangsma§nahmen rechtfertigt. Nun, es hat mal jemand gesagt, da§ das meiste Unrecht, im Glauben das Richtige zu tun, begangen worden ist. Die Umleitung war als Rewrite der URL in AbhŠngigkeit zum Browser implementiert, d.h. jeder, der mit einem sich als ÈMozilla.*Ç meldenden Browser ankam, wurde auf eine Seite mit ErklŠrungen und einem Link zum Download des CA-Certs (Certifying Authority) geleitet. Von dieser Seite waren auch noch weitere Hilfetexte angelinkt. Wer dies ausprobieren mšchte, gehe zu http://www.ccc.de/~pluto/ssl/. Dort gibt es auch eine sehr Ÿbersichtliche Anleitung zum Einrichten der Umleitung. Weitere SSL-fŠhige Browser in die Umleitung mit einzuschlie§en war geplant, wurde aber nicht durchgefŸhrt. Was es neues gibt, ist ein interner Bereich, der nur mit Vollwertkrypto und einem Client-Cert der cccCA erreichbar ist. Aus den ca. 500-600 Mails, die ich wŠhrend der Umleitung bekommen habe, war herauszulesen, da§ die meisten Surfer diese Umstellung nicht als Zwangsma§nahme empfanden, sondern eher als eine Umstellung vom Default auf eine sinnvollere Alternative. Nur etwa einer von zehn, die die Aktion bewerteten, hat sich beschwert. Selbst User, die gro§e Probleme mit https und dem per Hand nachzuladenden Server- und/oder CA-Cert hatten, waren in der Ÿberwiegenden Mehrheit voll des Lobes und begrŸ§ten es als positiven Beitrag zum Thema. An technischen Problemen sind als erstes zwei Bugs im Internet Explorer zu nennen: Der erste betrifft das Abspeichern des CA-Certs, da hier als Default ÈSave to diskÇ angegeben ist und dies manuell vor dem …ffnen auf Èdirekt šffnenÇ umgestellt werden mus. Der Zweite ist schon gravierender, da der SSL / TLS-Standard regulŠre AusdrŸcke im Namen des Servers vorsieht (z.B. *.ccc.de, als DN), der IE aber in manchen Versionen nicht in der Lage ist, diese zu interpretieren und die Verbindung abbricht. Ein Bug des Netscape Navigators, welcher nach dem Laden des Certs manchmal die Fehlermeldung ÈSite not FoundÇ bringt ist noch unklar, scheint aber in neueren Versionen nicht mehr aufzutreten. Ein recht weit verbreitetes Problem sind PaketFiltering-Firewalls, die den standard https Port (443) nicht durchlassen. Als prominentes Beispiel sei hier das BSI erwŠhnt, aber auch andere Firmen und Institutionen sind oder waren davon betroffen. Im allgemeinen hat eine Mail gereicht, um das KonÞgurationsproblem zu beheben. Am Šrgerlichsten war die Amerika Gedenk- Frühjahr 1999 Die Datenschleuder #66 Einführung verschlüsseltem http Bibliothek, wo der Zugang von den dort aufgestellten šffentlichen Terminals nicht mšglich war. Ein anderes Problem sind InternetcafŽs, da reichte allerdings ein Satz in der Umleitungs-Seite mit dem Hinweis, da§ es reicht, das Cert des Servers ohne vorherigen Download des CA-Certs zu akzeptieren. Ob unsere Seiten auch noch in China gesehen werden konnten, ist nicht bekannt, aus Singapur gab es eine Fehlermeldung, aber mit dem Secure Proxy der stŠdtischen Firewall konnte dann auch auf https zugegriffen werden. Durch die Umleitung wurden ca. 20-30% weniger Visits gezŠhlt, allerdings lassen sich aus dem Vergleich der Zugriffszahlen nur SchŠtzungen herleiten, da hier noch zuviele weitere Faktoren mit im Spiel sind. Von allen Zugriffen benutzten nur ca. 5% einen Client mit waffenfŠhiger Krypto, sprich mit in voller LŠnge verschlŸsselt Ÿbertragenen Session Keys. Aus den Erfahrungen mit diesem ersten Versuch lassen sich 2 hoch 4 mšgliche Umleitungsszenarien herleiten, hier die als Komponenten dargestellt sind: 1. Cert einer unbekannten CA, will hei§en die User brauchen erst das Cert der CA. DafŸr mu§ man einiges erklŠren, das ist aber auch der Vorteil, weil https klicken, ohne was mitzubekommen, kann man auf jeder eCommerce Site. 2. Cert einer bekannten CA. Keinen €rger mit DAU's, keine Hilfe nštig, keine Anforderungen an den Intellekt der Surfer. Aber alles stre§frei verschlŸsselt. 1. Das Cert beachtet bestimmte M$ Bugs (regexp im DN), dann gibt's weniger €rger mit Mac Usern. Sprich kleinster gemeinsamer Nenner. 2. Das Cert ist standardkonform, aber nicht IE tauglich. Die Datenschleuder #66 Frühjahr 1999 I. Jede SchlŸssellŠnge ist OK, also auch mit Exportbrowsern klickbar. Die NSA und ENFOPOL liest jedes Bit, weil nur 40 Bit des Session Keys verschlŸsselt sind. II. Nur Vollwertkrypto wird akzeptiert. Alle schreien, weil man einen Domestic Browser (oder SSL-Proxy) braucht, aber die NSA oder ENFOPOL sehen nichts. Und man beugt sich nicht den amerikanischen Exportregulierungen. O. Alle Seiten kšnnen nur Ÿber https gesehen werden. X. Die Startseite und die FAQ werden unverschlŸsselt Ÿbertragen. Variante 2 A I O/X benštigt keinerlei Hilfe zur Benutzung, ist aber langweilig. Variante 1 B I O war bei uns im Einsatz (ca. 30 G https TrafÞc, ca. 5-600 Mails) und hat imho gut funktioniert. Variante 1 B II X ist mein Liebling, allerdings reduziert diese den TrafÞc wg. nicht Klarkommen der Surfer ganz erheblich. Eignet sich nur fŸr interne Seiten oder ein Publikum mit hohem Niveau / SicherheitsbedŸrfnis. Variante 2 A I O haben wir gerade diskutiert, denke mal ein gangbarer Mittelweg ist 1 A I X. (Das ist Zufall! :) Gru§ pluto@berlin.ccc.de AES Eine schwerwiegende Entscheidung wurde von USamerikanischen Standardinstitut NIST in die Wege geleitet. Nachdem der 1976 standardisierte DESAlgorithmus in die Jahre gekommen ist, wurde mit der Kür eines Nachfolger begonnen. Das NIST spricht zwar „nur“ von einer geplanten Lebensdauer von 20-30 Jahren für den Advanced Encryption Standard (AES), die Erfahrung mit Standards hat jedoch gezeigt, daß sich wahrscheinlich noch unsere Urenkel mit AES auseinandersetzen müssen. DES ist tot Jahrelang hatten Kryptographen gewarnt, da§ der bisherige VerschlŸsselungsstandard DES mit seiner 56 bit SchlŸssellŠnge durch ein komplettes Absuchen des SchlŸsselraumes zu knacken ist. WŠhrend bisher lediglich auf der akademischen Ebene Bauanleitungen fŸr Descracker existierten und jeder ernstzunehmende Sicherheitsberater auf die hohe Wahrscheinlichkeit hinwies, da§ sowohl Geheimdienste, als auch gut organisierte Konzerne und Verbrecherorganisationen solche BauplŠne umsetzten kšnnten, war am 17. Juli die Stunde der ãgood guysÒ gekommen. WŠhrend das unter anderem auf dem HIP Festival vorgestellte CCC Projekt eines DES Crackers leider in der Diskussionsphase stecken blieb, bauten die amerikanische Kollegen von der ãElectronic Frontier Foundation (EFF)Ò fŸr 250.000 $ eine ãHšllenmaschineÒ (Amtsgericht Hannover), welche innerhalb von 56 Stunden DES endgŸltig entzauberte. Unter http://www.eff.org/descracker/ kšnnen ambitioniert Bastler auch gleich eine Bauanleitung bestellen oder direkt Ÿber http://www.replay.com/ eine von den Autoren ausdrŸcklich begrŸ§te gescannte Version downladen. Besonders dramatisch an der Geschichte ist die kryptoanalytische Einfachheit des Angriffes, da dieser nur die Bekanntheit des verschlŸssleten Textes voraussetzt (known-ciphertext Angriff). Der Angreifer hšrt den Geheimtext ab und probiert einfach alle SchlŸssel durch. Falls ein falscher SchlŸssel gewŠhlt wurde entsteht beim EntschlŸsseln ein wunderschšn zufŠlliges Rauschen. Sollte das Ergebnis sich von einer Zufallsausgabe unterscheiden ist mit hoher Wahrscheinlichkeit der richtige SchlŸssel gefunden. Advanced Encryption Standard Aus diesen GrŸnden schrieb das USamerikanische ãNational Institute of Standards and TechnologieÒ am 12. September 1997 einen Wettbewerb fŸr den Advanced Encryption Standard (AES) aus. Im Gegensatz zum DES Verfahren sollten diesmal die DesigngrundsŠtzte veršffentlicht und von der Kryptogemeinde šffentlich analysiert werden kšnnen. Zudem wurden die Entwickler verpßichtet nachzuweisen, da§ keinen geheimen HintertŸren vorhanden sind. Weitere Grundanforderungen waren: * Blockgrš§e von 128 bit * SchlŸssellŠnge 128, 192 und 256 bit * Mindestens so schnell und so sicher wie Triple-DES Die Wahl der Blockgrš§e war wohl eine der schwerwiegensten Entscheidungen. FŸr Produkte, welche die von DES als verwendete Blockgrš§e von 64 bit nutzen, bedeutet dies ein unter UmstŠnden erheblicher Umstellungsbedarf. Allerdings ist eine Blockgrš§e von 64bit angesichts der heutigen Rechnerleistung nicht mehr zeitgemŠ§ (matching ciphertext Angriffe). Weswegen als SchlŸssellŠngen neben 128 bit auch 192 und 256 bit vorgesehen sind, fŸhrte selbst auf Frühjahr 1999 Die Datenschleuder #66 AES wissenschaftlichen Konferenzen zu nicht immer ernsthaften Diskussionen. Jedenfalls sollte eine 256 bit SchlŸssellŠnge auch den Quantencomputer der von der US Regierung gefangengehaltenen Aliens, welche mšglicherweise die KomplexitŠt eines Angriffs auf die Quadratwurzel der ãherkšmmlichenÒ KomplexitŠt reduzieren kšnnen, widerstehen!-) Vom 20.-22. August 1998 fand im kalifornischen Ventura die erste AES Konferenz statt. Im folgenden stellen wir kurz die 15 Kandidaten, welche die Vorauswahl zur ersten AES-Konferenz Ÿberstanden haben vor. Wohl ausgeschiedene Kandiaten DEAL basiert auf einer Idee von Lars Knudsen und wurde von Richard Outerbridge als AESKandidat eingereicht. DEAL verwendet DES als Rundenfunktion in einem 6 rundigen Feistelnetzwerk fŸr SchlŸssellŠngen von 128 und 192 Bit beziehundgsweise 8 Runden fŸr 256 Bit SchlŸssel. †berraschenderweise unterlief Lars Knudsen, der als einer der fŸhrenden Experten fŸr Keyscheduling-Verfahren, mit deren Hilfe aus dem HauptschlŸssel die einzelnen RundenschlŸssel berechnet werden, gilt, gerade hier ein schwerwiegender Fehler. Stefan Luck, der dieses Jahr schon den bisher stŠrksten Angriff gegen Triple-DES gefunden hatte, veršffentlichte einen Angriff welcher nur 270 gewŠhlte Klartexte benštigt. Outerbridge hat Lucks den ausgesetzten Geldpreis fŸr die beste Analyse bereits zugesand. Der DFC Kandidat der franzšsischen Centre National pour la Recherche ScientiÞque Ecole Normale Superieure besitzt eine 8 rŸndige Feistelstruktur und basiert auf der sogenannten Decorrelation Technik von Serge Vaudenay. DFC Die Datenschleuder #66 Frühjahr 1999 ist beweisbar sicher gegen Differentielle und Lineare Kryptanalyse. Allerdings verwendet er eine sehr aufwendige 32bit Multiplikation, was seinen Einsatz auf Smartcard-Systemen erheblich erschwert. Zudem fand Dan Coppersmith zahlreiche schwache SchlŸssel. Frog wurde vom ãfŸhrenden Kryptografen CostRicasÒ fŸr die TecApro Internacional S.A. vorgestellt. Er verwendet 8 Feistelrunden und ein sehr aufwendiges Keysetup. Wagner, Ferguson, und Schneier veršffentlichten eine erfolgreiche Kryptoanalyse (Differential: 258 chosen plaintexts. Linear: 256 known plaintexts). Der 8 rundige Happy Pudding Cipher (HPC) von Richard Schroeppel dŸrfte trotz des schšnen Namens doch nur Aussenseiterchancen besitzten. LOKI 97 ist der Kandidat von Lawrie Brown, Josef Pieprzyk und Jennifer Seberry. Loki benutzt 16 Feistelrunden und ist der Nachfolger von Loki, Loki 91. Loki wurde von Lars Knudsen gebrochen und darauf hin in Loki89 umbenannt. Auch das verbesserte Loki 91 hielt einer Analyse von Lars Knudsen nicht stand. Drei mal dŸrft Ihr raten welches Schicksal Loki97 ereilte. Richtig, diesmal dauerte es nur wenige Tage bis Knudsen und Rijmen ihre Analyse mit den Worten:ÒLoki97 is brokenÒ schliessen konnten.(Die Differentielle Kryptanalyse benštigte 256 chosen plaintexts und die Linear Kryptanalyse 256 known plaintexts.) Telekom sorgt für Heiterkeit GrŸndlich blamierte sich die Deutsche Telekom AG. Ihr 6 beziehungsweise 8 rŸndige Feistelnetzwerk MAGENTA lŠ§t kaum einen AnfŠngerfehler aus. Biham, Biryukov, Ferguson, Knudsen, Schneier und Shamir AES - Der Kryptoalgorithmus für die cryptoanalysiserten Magenta online wŠhrend der Vorstellung (264 chosen plaintexts, 264 Steps oder 233 known plaintexts, 297 Steps). Was allerdings ein wenig ein FlŠchenbombardement auf ein Spatzennest erinnert. Schlie§lich war der Angriff gegen den unglaublich schlechten Keyschedule eine einfache †bertragung des uralten Merkle/Hellmann Angriffes auf 2-Key Triple-DES und diente daher schon als Aufgabe in einer AnfŠngervorlesung fŸr Kryptographie. (http://th.informatik.unimannheim.de/m/lucks/vorl.html, †bungsblatt 6). Die einzelnen SchwŠchen (SŠckeweise Schwache SchlŸssel,...) aufzulisten wŸrde den Rahmen dieses Artikels sprengen. Erst nach mehrstŸndigen Analyse gelang es mir Ÿberhaupt einen kryptographisch starken Baustein im Algorithmus zu Þnden. Als Kršnung dŸrfte Magenta allerdings zumindest den Preis als langsamster Kandidat erhalten. Die ganze Aktion kommt einem fast so vor, als ob Andy Mšller auf einmal versuchen wŸrde, um den Schwergewichtstitel zu boxen. Kandidaten mit guten Chancen für die zweite Runde CAST 256 ist die Weiterentwicklung des bekannten CAST5 Algorithmus von Carlisle Adams und Stafford Tavares. CAST5 wurde von Entrust Technologies zur kostenlosen Verwendung freigegeben und beÞndet sich daher in den Programmen PGP ab Version 5.0 und PGPDisk. CAST256 verwendet ein modiÞziertes Feistelnetzwerk mit 48 Runden (12 Zyklen). Crypton ist ein 12 rundiges SP-Netzwerk der koreanischen Firma Future Systems, Inc und wurde von Chae Hoon Lim vorgestellt. Die Struktur ist von SQUARE Algorithmus beeinßusst und verwendet 8x8 S-Boxen, welche gute Widerstandseigenschaften gegen differentielle und lineare Kryptoanalyse besitzten. Das Keyscheduling soll allerdings noch modiÞziert werden. Der Autor Hoon Lim publiziert seit Jahren auf den besten Krypto-Konferenzen, allerdings Ÿberwiegend im Bereiche von Digitalen Signaturverfahren. E2 ist ein 12 Runden Feistelnetzwerk von NTT Ð Nippon Telegraph and Telephone Corporation. E2 verwendet 8x8 S-Boxen, welche gegen die verschiedenen bekannten Angriffsmethoden gehŠrtet und nach einer veršffentlichten Strategie ausgewŠhlt wurden. Bruce Schneier zŠhlt E2 zu den vier Favoriten. RC6 ist der von Ron Rivest in Zusammenarbeit mir Robshaw, Sidney und Yin fŸr die RSA Laboratories entwickelte Nachfolger von RC5. RC6 ist ein modiÞziertes Feistelnetzwerk mit 20 Runden (10 Cycles). Die Geschwindigkeit von RC6 hŠngt ganz wesentlich davon ab ob der jeweilige Processor variable Rotationen schnell durchfŸhren kann. An der Verwendung von datenabhŠngigen Rotationen entzŸndete sich allerdings Kritik. Zum einen ist die Patentlage unklar, zum anderen sind die kryptograÞschen Eigenschaften von derartigen Rotationen noch nicht grŸndlich genug analysiert. RIJNDAEL ist der Kandidat von Joan Daemen und Vincent Rijmen. Er ist faktisch die 128bit Version des bekannten Square Algorithmus. Rijndael ist ein SP-Netzwerk mit 10 , 12 bzw 16 Runden. Rijndael gehšrt zu den schnellsten Algorithmen im Feld. Safer+ ist wie der Namen schon sagt eine Weiterentwicklung von Safer fŸr die Cylink Corporation. Neben dem Safer-ErÞnder Massey werden auch Khachtrian und Kuregian als CoAutoren genannt. Safer+ ist ein SP-Netzwerk mit 8 , 12 bzw 16 Runden. Frühjahr 1999 Die Datenschleuder #66 nächsten Jahrzente ?! Die Favoriten MARS ist der ofÞzielle IBM Kandidat. Unter den Autoren ist mit Don Coppersmith auch einer der DES VŠter. MARS ist ein modiÞziertes Feistelnetzwerk mit 32 Runden (16 Cycles). Es verwendet Multiplikationen und datenabhŠngige Rotationen. Die KonstruktionsgrundsŠtzte fŸr die verwendeten S-Boxen sind mit veršffentlicht, so da§ die bei DES geŠu§erte Sorge Ÿber geheime HintertŸren stark reduziert werden dŸrfte. Viele Experten sehen MARS als Favoriten. Allerdings wurden Saarien Šquivalente SchlŸssel entdeckt, eine kryptographisch unschšne Eigenschaft und zudem erscheint die Verwendung von Multiplikationen besonders fŸr Smartcards als sehr aufwendig. Weiterhin ist die Verwendung von DatenabhŠngigen Rotationen, wie schon bei RC6 diskutiert, nicht unumstritten. Ross Anderson, Eli Biham und Lars Knudsen schicken SEPENT ins Rennen. Die Autoren zŠhlen zu den weltbesten Kryptoanalytikern. Alle drei haben wohl bereits zahlreiche Algorithmen geknackt und eine Reihe von kryptoanalytischen Angriffsmethoden, unter anderem Bihams Differentielle Kryptoanalyse, gefunden. Serpent ist ein SP-Netzwerk mit 32 Runden. Schon nach 16 Runden ist der Algorithmus sicher gegen alle bekannten Angriffe. Der Algorithmus nutzt zur Verbesserung der Performance die von Eli Biham entwickelte Bitslicing Technik Durch die Verwendung von 4x4 S-Boxen ist der Entwurf ausgesprochen hardwarefreundlich. TWOFISH ist der BlowÞsh-Nachfolger von Bruce Schneier, John Kelsey, Doug Whiting, David Wagner, Chris Hall und Niels Ferguson. Er verwendert Feistel 16 Runden und ãborgtÒ eine Reihe von lange Zeit getesteten und anerkannten Bauelementen. Es kommen unter anderem Withening (DESX), SchlŸsselabhŠngige S-Boxen (CS, BlowÞsh) , MDS-Matrizen (Square), Pseudo Die Datenschleuder #66 Frühjahr 1999 Hadamard Transformationen (Safer) und feste Rotationen zum Einsatz. Das Keyscheduling verwendet die selben Konstruktionsverfahren, wie die Rundenfunktion (BlowÞsh). Durch die Verwendung von relativ kleinen 8x8-S-Boxen ist der Entwurf sehr smartcardfreundlich. TwoÞsh ist sehr schnell und ßexibel an die verwendeten Resourcen anpassbar. Das Design ist ausfŸhrlich dokumentiert und bietet Sicherheit gegen alle bekannten Angriffe. Die Beschreibung des Algorithmus ist sehr schšn zu lesen und vermittelt einen guten Einblick in die aktuellen Entwicklungen bei der Konstruktion von Blockchiffrierern. TwoÞsh ist bereits in einigen Programmen optional integriert z.B. GPG (www.gnupg.org) \begin {schleichwerbung} und im pretty Open PGP kompatiblen Whiteboardsystem der UnivesitŠt Mannheim (http://www.informatik.unimannheim.de/~rweis/research/) \end {Schleichwerbung}. Fahrplan Die šffentliche Evaluierung der verbliebenen 15 Kandidaten erfolgt bis zum 15. April 1999. Die zweite AES-Konferenz in Rom 22.-23. MŠrz 1999. Dort werden ungefŠhr fŸnf Finalisten bestimmt. Nach einer sechs bis neunmoantigen Analyse wird aus den verbleibenden Kandidaten ein Sieger bestimmt. Tip und Ausblick Es ist ein unglaublich spannender Wettkampf entbrannt. Favoriten zu nennen ist relativ schwierig. Beginnen wir mit dem einfachen Teil und tippen welche Algorithmen ausscheiden. ZunŠchst AES - Sicher, bis daß die DPA uns scheidet werden wohl die Algorithmen mit offensichtlichen SchwŠchen ausgesondert, also Magenta, Loki97, DEAL, FROG und wahrscheinlich auch DFC. Von den verbleibenden tippe ich noch auf HPC und Crypton als Ausscheidekandidat. Topfavoriten auf Grund ihrer Autoren sind wohl Mars, Serpent und TwoÞsh. FŸr Mars sprechen trotz zahlreicher Kritikpunkte insbesondere die 3 Buchstaben IBM. Allerdings erinnert die Konstruktion eher an einen Gemischtwarenladen, als an einen sauber konstruierten Cipher. Serpent ist so langweilig konstruiert, dass er einen hohen Sicherheitsgrad bieten muss. Pi modulo Daumen entsprechen die 32 Runden, welche jeweils den ganzen Block bearbeiten, 64 Feistelrunden. DES hat deren 16. ãNicht mal Gott wird Serpent brechen kšnnenÒ meinte einer weltweit fŸhrender Cryptoanalyiker. (FŸr NichtAtheisten fŸhrt diese Aussage sicherlich zu lustigen Logikspielen). URLS: NIST AES-Seite: http://csrc.nist.gov/encryption/aes/aes_home.htm The Block Cipher Lounge - AES: http://www.ii.uib.no/~larsr/aes.html Candidate A E S for Analysis and Reviews: http://www.dice.ucl.ac.be/crypto/CAESAR/caesar.ht ml (Anmerkung der Redaktion: Mittlerweile gibt es bereits die AES2-Review im Netz. Seitenweise, irgendwo. Bitte selber suchen, URL gerade nicht zur Hand. Irgendwo auf jya.) Mein persšnlicher Favorit ist jedoch TwoÞsh. TwoÞsh ist schnell und baut auf gut getesteten Basisbausteinen auf. SchlŸsselabhŠngige S-Boxen sorgen gegen hohe Resitenz auch gegen bisher unbekannte Angriffsformen. TwoÞsh . TwoÞsh ist frei und kostenlos einsetzbar. Und least not last gehšren die Autoren deÞnitiv zu den ãgood guysÒ, so dass auch deshalb nicht mit HintertŸren zu rechnen ist. Alles wird gut! Schon jetzt kann man erfreut feststellen: Der Siegesalgorithmus wird eine weltweit einsetzbare und fŸr lange Zeit sichere symmetrische VerschlŸsslung gewŠhren. ruediger.weis@pi4.informatik.uni-mannheim.de Frühjahr 1999 Die Datenschleuder #66 NMAP Kurzreview Als dieser Artikel geschrieben wurde, war nmap 2.00 gerade erschienen. Beim Druck dieser Ausgabe kšnnte die Version 2.12 schon wieder veraltet sein. passieren. Auch gibt es einen OS-Detection-Mode, der nach der von queso bekannten Methode anhand von im Standard nicht deÞnierten AusnahmefŠllen das Betriebssystem erkennt. nmap ist in erster Linie ein Portscanner. Ein Portscanner ist ein Programm, das dazu dient, herauszuÞnden, welche TCP- oder UDP-Ports auf einem Rechner offen sind, was wiederum ein Hinweis darauf ist, welche Dienste von diesem Rechner angeboten werden, also z.B. HTTP auf Port 80, SMTP fŸr Mailtransfer auf Port 25, ssh auf Port 22, und so weiter. Der klassische Weg ist, einfach fŸr jeden Port zu versuchen, eine Verbindung aufzumachen. Und um das Scannen noch einfacher zu machen, ist es mšglich, eine Liste von Adressen aus einem File zu lesen, oder ein ganzes Subnet mittels Angabe der CIDR-Adresse zu scannen. Einige Beispiele: Ein klassischer Scan eines einzelnen Rechners: $ nmap www.ccc.de Dasselbe, aber mittels Stealth-Scan: strobe von Julian Assange ist der Klassiker, der diese Methode verwendet. Leider ist ein solcher Scan relativ leicht zu entdecken. Eine Mšglichkeit, die Entdeckung zu erschweren, ist es, den fŸr den Aufbau einer TCP-Verbindung notwendigen DreiWege-Handshake[0] nach dem zweiten Schritt abzubrechen, so da§ man zwar wei§, da§ der andere Rechner prinzipiell eine Verbindung auf diesem Port entgegennimmt, diese aber nicht zustande kommen lŠ§t. Dieses Verfahren ist als Stealth-Scan bekannt. Beide Verfahren werden von nmap implementiert. ZusŠtzlich gibt es noch weitere Scanmethoden, die anhand der Antwort auf ungŸltige Pakete auf das Vorhandensein eines offenen Ports schlie§en, die allerdings nur bei RFC-konformen Systemen, also nicht bei Windows oder IRIX, funktionieren. Auch ein UDP-Scanner ist vorhanden, ebenso ein Mode, der lediglich ein ping absetzt, um die Erreichbarkeit des Hosts zu ŸberprŸfen, oder ein Subnetz nach Rechnern zu durchsuchen. Als zusŠtzliche Leckerbissen hat der Autor einen fragment-Mode eingebaut, mit dem sich manche schlecht konÞgurierte Firewalls durchtunneln lassen - das TCP-Paket wird mitten im Header aufgetrennt, und die Firewall lŠsst es deshalb Die Datenschleuder #66 Frühjahr 1999 $ nmap -sS www.ccc.de Durchsuche ein Subnetz nach Rechnern, und ermittle das Betriebssystem: $ nmap -sP -O 23.23.23.0/24 Finde alle Rechner, die bei Snafu Berlin eingewŠhlt sind, und die Back OriÞce auf dem Standardport installiert haben: $ host -l berlin.snafu.de|cut ‘-d ‘ -f 4| sudo nmap -sU -v -p31337 -i - Die nmap-Homepage ist unter http://www.insecure.org/nmap zu Þnden. nmap ist derzeit sicherlich das vollstŠndigste ScanningTool, aber dadurch auch etwas schwieriger zu handhaben als zum Beispiel strobe. [0] Stevens, TCP/IP Illustrated, AddisonWesley andreas@ccc.de Zaubern im Netz – (Anmerkungen zu einem Tag auf der ãnext Cyberfeminist InternationalÒ, Rotterdam, MŠrz 1999) Gibt es weibliche Hacker? Falls nicht, ist dieses PhŠnomen wert, es mal genauer zu betrachten. Falls ja: Wo stecken sie? Wieso kennt sie niemand? Und was treiben sie da so im Geheimen? Hintergrund fŸr die Fragen war mein Interesse, fŸr die Konferenz ãnext Cyberfeminist InternationalÒ, einen Tag zu diesem Thema zu organisieren. Ganz allgemein ist es so, da§ im Cyberfeminismus die Cultural Workers, also KŸnstlerinnen und Theoretikerinnen Ÿberwiegen, und die machen sich in der Regel die Finger nicht schmutzig mit ãhands-on technologyÒ. Aber es genŸgt nicht, in diesem Bereich Ÿber gesellschaftliche UmwŠlzungen und Theorien zu sprechen. Auch ein wirkliches Interesse an der Technik selbst gehšrt dazu, ein kritischer, neugieriger Umgang damit, um neue Mšglichkeit von Aktivismus und Einßu§nahme zu erproben. Deshalb ist eine intensivere Zusammenarbeit mit Technikerinnen/ Informatikerinnen/ Hackerinnen unerlŠ§lich, um unseren Horizont und unsere HandlungsspielrŠume zu erweitern und zum anderen um zu zeigen, da§ es solche Frauen tatsŠchlich gibt und damit einzelne Frauen zu ermuntern, sich selbst aktiver, mutiger und engagierter die Finger schmutzig zu machen. Die Feststellung, da§ Technikbereiche traditionell MŠnnerdomŠne sind, ist nicht neu. Auch da§ die sog. ãneuen TechnologienÒ, die in den 80er und 90er Jahren entstanden sind, also in einer Zeit, in der die Frauen in viele Bereiche der Gesellschaft vorgedrungen sind, nicht wesentlich etwas daran geŠndert haben, ist auch bekannt. (WŠhrend der Cebit z.B., der weltgrš§ten Computermesse, besteht im Vergleich zu anderen Messen ein derart erhšhter Bedarf an Prostituierten, da§ diese ßugzeugweise aus dem Ausland eingeßogen werden mŸssen.) Aber da§ es in diesem Technikbereich eine Enklave gibt, in der sich so gut wie gar keine Frauen tummeln, ist doch erstaunlich. Die Rede ist von den Hackern. Gemeint ist nicht ein erweiterter Hacking-Begriff wie er in den letzten Jahren in Mode gekommen ist. Es geht nicht um Enthusiasten oder Experten fŸr was auch immer, nicht um Personen, die Spa§ daran haben, intellektuelle Herausforderungen kreativ zu meistern, BeschrŠnkungen zu umgehen oder abstrakte Systeme zu knacken. Gemeint sind Computer-Freaks. Diejenigen, die hinter die Monitoroberߊche gehen, die Computersysteme ausspionieren, die leidenschaftlich programmieren, die basteln und denen es wichtiger ist herauszuÞnden, wie es etwas funktioniert als zielgerichtet damit zu arbeiten. Besucht man Hackertreffen, liest die einschlŠgige Literatur oder begibt man sich in Newsgroups oder auf Mailinglisten dieses Genres wird man leider nicht vom Gegenteil seines Vorurteils Ÿberzeugt, da§ da so gut wie keine Frauen sind. Das soll nicht gewertet werden. Egal, ob das gut oder schlecht ist, egal ob man das Šndern will oder nicht, es ist ein interessantes PhŠnomen. FŸr die Vorbereitung der Konferenz habe ich mich auf die Suche nach Hackerinnen begeben, bzw. postuliert, da§ es keine gibt, um mich vom Gegenteil zu Ÿberzeugen lassen. Meine Recherchen haben nicht nur ein paar Hackerinnen zu Tage gebracht, sondern auch einige kuriose BegrŸndungen dafŸr, warum es keine gibt. So schrieb z.B. Bruce Sterling, bekannter amerikanischer Science-Fiction-Autor und Kenner der amerikanischen Hacker-Szene: ã Es stimmt wirklich, da§ es keine Hackerinnen gibt, aber das wundert mich nicht. Hacking ist typisch fŸr mŠnnliche Jugendliche, die voll auf einen voyeuristischen Power-Trip abfahren. Man Þndet nicht mehr Frauen, die in Computer einbrechen, als Frauen, die besessen davon sind einen verstohlenen Blick auf MŠnnerunterwŠsche zu Frühjahr 1999 Die Datenschleuder #66 Wo sind die Häcksen von heute ?! werfen... Es ist sicher nicht so, da§ Frauen zum Hacken physisch oder intellektuell nicht in der Lage wŠren, es ist nur so, da§ sie Ÿberhaupt keinen Grund haben, das zu tun...Ich persšnlich kenne zumindest keine einzige Frau, die das tut. Und ich habe auch nicht einmal von einer gehšrt, die es gemacht hŠtte, ohne da§ ihr Freund daneben gestanden hŠtte und sie immer wieder ungeduldig gedrŠngt hŠtte.Ò Entgegen anders lautender Meinungen kann man als Ergebnis des Tages ãWomen HackerÒ zusammenfassen, da§ Frauen durchaus Motive haben kšnnen, um zu hacken. Berichte Ÿber die Konferenz gibt es bei www.obn.org. Eine ausfŸhrliche Dokumentation mit allen BeitrŠgen wird im Juni erscheinen (zu bestellen ebenfalls Ÿber www.obn.org/reader). Cornelia Sollfrank Eine weitere BegrŸndung wurde mir von Gail Thackeray geliefert, einer bekannten amerikanischen Hacker-JŠgerin, die in der Abteilung fŸr Technology Crimes beim Arizona Attorney GeneralÕs OfÞce arbeitet. Sie hat mir direkt auf ein Posting auf der dc-Liste geantwortet: ãNein, es gibt keine ernsthaften, technichen Hackerinnen. Hacking ist immer noch eine weitgehend wei§e, mŠnnliche Angelegenheit, zumindest hier in den USA. Ich kenne nur einen schwarzen Hacker in Arizona (der sich inzwischen zur Ruhe gesetzt hat) und einen in New York...Es gibt(gab) viele weibliche Phone Phreaks, obwohl auch deren Interessen mehr in den sozialen Aspekten lagen als in den technischen.Ò Die wenigen Exemplare der Spezies ãHackerinÒ die ich gefunden habe, konnte ich auch glŸcklicherweise dafŸr gewinnen, zur Konferenz beizutragen. Barbara Thoens vom CCC Hamburg gab einen †berblick Ÿber die Entwicklung von Free Software und der dahinterstehenden Philosophie, Rena Tangens von FoeBud Bielefeld gab Hinweise dazu ãWie man eine Hackerin wirdÒ, Stephanie Wehner von xs4all aus Amsterdam eršrtete das Problem von ãPrivacy on the NetÒ und gab Tips zur VerschlŸsselung, zum anonymen Publizieren und Versenden von e-mails, und Corrine Petrus und Marieke van Santen von Tech-women Rotterdam gaben PraxisTips und eine Demonstration zu Hacking, Cracking, SpooÞng, SnifÞng und Nuking. Subject: habe gehackt - was nun? From: Igor X. <@>, Date: 1999/02/21, Newsgroups: de.org.ccc Hallo habe meinen ersten hack hintermir (www.hamfair.com -> Frontpage Web -> ist jetzt weg...) kšnnen die meine IP herausÞnden??? Wenn ja, was hat das fŸr Folgen??? Subject: Re: habe gehackt - was nun? From: Sabine Y. <@>, Date: 1999/02/21, Newsgroups: de.org.ccc Igor X. wrote: > Hallo habe meinen ersten hack hinter mir > (www.hamfair.com -> Frontpage > Web -> ist jetzt weg...) Du bist ein Held. Wir bewundern Dich. Willst Du mich Þcken? > kšnnen die meine IP herausÞnden??? Wenn der Admin einigermassen Hirn unter der Matte hat, ja. > Wenn ja, was hat das fŸr Folgen??? Steht im StGB. Die Datenschleuder #66 Frühjahr 1999 S. Bekämpfung der Kriminalität Tagung beim Bundeskriminalamt (BKA) vom 14.-15.12.1998 Tagungsbericht mit Anmerkungen Das Bundeskriminalamt hat ca 170 Internetprovider und Onlinedienste (ca 50 Anwesend) aus Deutschland sowie Vertreter der Strafverfolgungsbehšrden und des Jugendschutzes zu einer Tagung unter dem Titel ãBekŠmpfung der KriminalitŠt im InternetÒ eingeladen. Ziel dieser Tagung sollte der Beginn eines Dialogs zwischen den ISPÕs und den Behšrden sein, dessen Zweck eine gegenseitige AufklŠrung Ÿber das technisch und rechtlich mšgliche und die Abstimmung von Vorgehensweisen (Stichworte: SelbstverpßichtungserklŠrung, Code of Conduct) sein soll. Hintergrund der Tagung ist, da§ seit Herbst 1998 das BKA auch fŸr KriminalitŠt die mit Hilfe von Onlinediensten und / oder Internet begangen wird zustŠndig ist und eine eigene Abteilung dafŸr eingerichtet hat (Bundeskriminalamt, OA 34 - 2 ãIuK - KriminalitŠtÒ, Tel.: 0611/55 -5716, Fax.: 0611/551-5725). e.V. hat in vielen Einzelheiten die Interessen der Provider vertreten, kann aber nicht als Sprecher aller ISPÕs auftreten, weil bei weitem nicht alle ISPÕs im ECO e.V. Mitglied sind und gerade grš§eren ISPÕs dort nicht vertreten sind. Kritisch anzumerken ist auch, da§ kein Vertreter des DENIC teilgenommen (geladen?) hat, der einzigen Organisation in Deutschland, in der wirklich alle ISPÕs Mitglied sind. GŠnzlich unberŸcksichtigt sind die Betreiber von Intranets, d.h. die Industrie, geblieben. Ob Teilnehmer des DFN e.V. und des ZKI e.V. anwesend waren, war nicht ersichtlich. Vorzuschlagen wŠre daher, da§ die Arbeitsgruppe von Seiten der ISPÕs zumindestens aus einem oder mehreren Vertretern der gro§en ISPÕs, einem Vertreter von DE-NIC und Vertretern von kleinen ISPÕs besteht. Hinzukommen sollten Vertreter aus Industrie und Forschung. Eine ãSelbstverpßichtungserklŠrungÒ wurde von den ISPÕs nicht unterschrieben. Eine inhaltliche Diskussion des Textvorschlags des BKA fand nicht statt. Statistisches zu dem Anteil der KriminalitŠt im Internet Zusammenfassender †berblick Der Schwerpunkt der Tagung behandelte Fragen, die sich bei Ermittlungen im Bereich der Kinderpornographie ergaben, andere Delikte und Probleme, die sich bei deren Ermittlung ergeben, sind nur wenig zu Sprache gekommen. Ein Dialog hat stattgefunden und soll in einer Arbeitsgruppe fortgefŸhrt werden. Von Seiten der ISPÕs wurde angeregt, in dieser Arbeitsgruppe an einem Beispielsfall die Vorgehensweisen durchzuspielen und die auftretende Probleme einer Lšsung zuzufŸhren. Unklar ist geblieben, wie sich die Arbeitsgruppe zusammensetzen soll. Der Vorsitzende des ECO. Die von Seiten der Ermittlungsbehšrden getroffenen Aussagen zu der Frage, wieviel Kommunikation im Internet mit kriminellen Inhalten oder zu kriminellen Zwecken stattÞndet gingen weit auseinander. Die SchŠtzungen reichten von 40.000 - 80.000 kinderpornographischen Bildern Ÿber 1% der Gesamtkommunikation zu 1/60 aller Angebote und news Artikel (letztere beiden Zahlen auf alle Delikte bezogen). Eine Dokumentation der hannoveraner Stelle des Kinderschutzbundes wurde kurz erwŠhnt, die auf noch erheblich hšhere Zahlen kommt (10 - 15 kinderpornographische KanŠle im IRC mit mindestens 300 TauschvorgŠngen am Tag), Frühjahr 1999 Die Datenschleuder #66 im Internet ausdrŸcklich von einem der Autoren aber als ÔDokumentationÕ und nicht als ÔStudieÕ verstanden sein wollte, da die Anforderungen an einer Studie nicht erfŸllt seien. Die in einem Vortrag von Seiten des BKA genannten Zahlen wurden sogleich als nicht sehr aussagekrŠftiges statistisches Material eingestuft (der Grund liegt in dem sehr unterschiedlichem Meldeverhalten der einzelnen Polizeidienststellen). Es wurde daher von einem Sprecher des BKA die Feststellung getroffen, da§ man wohl derzeit keine sicheren Zahlen habe. Anerkannt wurde von allen Seiten, da§ die Mehrzahl der kursierenden kinderpornographischen Abbildungen alt, d.h. aus den Ô60iger, Ô70iger Jahren sei und fŸr diese das Internet nur eine weitere Verbreitungsform darstelle, denn all diese Abbildungen seien auch durch Printmedien etc. schon vorher bekannt gewesen. Durch elektronische Bildmontagen kommt das eine oder andere neue Bild hinzu. Die wirklich neuen Abbildungen stellten jedoch nur einen sehr kleinen Teil der kursierenden Bilder dar. Rechtsgrundlagen fŸr Auskunftsersuchen Teilweise sehr umstritten war die Diskussion Ÿber die Rechtsgrundlagen fŸr Auskunftsersuchen der Ermittlungsbehšrden. Es geht um die Frage, wann und in welchem Umfang die Strafverfolgungsbehšrden von den ISPÕs Daten oder AuskŸnfte verlangen dŸrfen. Es bildeten sich zwei Schwerpunkte heraus: Zum einen die Frage, auf welcher Rechtsgrundlage Ÿberhaupt Daten erhoben werden kšnnen und zum anderen, inwieweit eine Datenerhebung im Widerspruch zu verschiedenen Datenschutzgesetzen steht. FŸr die Datenerhebung durch die Strafverfolgungsbehšrden wurden folgende Vorschriften genannt: Inhaltsdaten §§ 100a, 100b StPO Die Datenschleuder #66 Frühjahr 1999 Verbindungsdaten § 12 FAG, § 6 III TDDSG § 7 TDSV, §§ 100a, 100b StPO Bestandsdaten §§ 89 VI, 90 TKG, §§ 100a, 100b StPO BezŸglich ¤ 7 TDSV wurde stark bezweifelt ob dieser fŸr eine Datenerhebung herangezogen werden kšnne, denn diese Vorschrift sei auf technische Stšrungen und Mi§brauch begrenzt. Ob diesen Bedenken zuzustimmen ist, entscheidet sich u.a. anhand der Frage, ob eine Herausgabe der Daten an die Strafverfolgungsbehšrden vorgesehen ist. Dies ist im Verordnungstext nicht der Fall. Hier kšnnte versucht werden zu argumentie-ren, da§ eine Datenerhebung (¤ 7 TDSV) und DatenŸbermittlung (¤ 8 TDSV) fŸr private Zwecke vorgesehen ist und im Wege eines ein Erst Recht Schlusses dann eine DatenŸbermittlung fŸr staatliche Zwecke umfa§t sein mu§. Eine solche Argumentation verkennt jedoch, da§ eine DatenŸbermittlung an die Strafverfolgungsbehšrden einer ausdrŸcklichen gesetzliche Grundlage bedŸrfen, die hier nicht gegeben ist. Selbst wenn diese HŸrde genommen wŸrde, bliebe zu prŸfen, ob eine ãsonstige rechtswidrige Inanspruchnahme der šffentlichen Telekommunikationsnetze und ihrer Einrichtungen sowie der TelekommunikationsdienstleistungenÒ gemŠ§ ¤ 7 Abs. 1 Nr. 2 TDSV dann vorliegt, wenn ein Beschuldigter Mitteilungen mit Hilfe von Telekommunikationsendeinrichtungen vornimmt. Nach der teleologischen Auslegung der Vorschrift, ist mit ÔrechtswidrigÕ in diesem Zusammenhang insbesondere solche VorgŠnge gemeint, die rechtswidrig gegenŸber dem Anbieter von Telekommunikationsdienstleistungen sind (insbesondere Leistungserschleichung). Rechtswidrig gegenŸber der Allgemeinheit ist daher von der Vorschrift nicht erfa§t. Den geŠu§erten Bedenken ist daher zuzustimmen. Tagungsbericht BKA-Tagung Soweit ¤ 12 FAG anwendbar ist, ist eine richterliche Anordnung erforderlich, bei Gefahr im Verzug kann auch eine Anordnung der Staatsanwaltschaft ausreichend sein. GemŠ§ ¤ 28 FAG in der Fassung des Telekommunikationsbegleitgesetzes tritt ¤ 12 FAG am 31.12.1999 au§er Kraft. Aus dem Auditorium wurde geŠu§ert, da§ eine Nachfolgeregelung derzeit noch nicht einmal im Vorentwurf vorhanden sei. Beabsichtigt sei allerdings diese Regelung in die StPO einzustellen und an den Vorschlag des ¤ 99a StPO anzuknŸpfen. Dieser war im BegleitG vorgesehen, ist aber in der endgŸltigen Fassung entfallen, der Wortlaut, des damaligen Vorschlags: § 99a Von denjenigen, die geschäftsmäßig Telekommunikationsdienste erbringen, kann Auskunft über die näheren Umstände der Telekommunikation verlangt werden, wenn bestimmte Tatsachen den Verdacht begründen, daß jemand als Täter oder Teilnehmer eine Straftat begangen hat oder in Fällen, in denen der Versuch strafbar ist, zu begehen versucht oder durch eine Straftat vorbereitet hat, und insoweit dies für die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten erforderlich ist. Betrifft der Verdacht einer Straftat nicht eine mittels Endeinrichtungen (§ 3 Nr. 3 TKG) begangene Straftat, kann Auskunft über die nähe-ren Umstände der Telekommunikation nur verlangt werden, wenn Gegenstand der Untersuchung eine Straftat von nicht unerheblicher Bedeutung ist. Verbindungs-daten zu speichern, so sie diese nicht fŸr Abrechnungen benštigen. Der das TDDSG und die TDSV durchziehende Rechtsgedanke sei, da§ Datenspeicherung vermieden werden solle (vgl. z.B. ¤ 6 Abs. 3 S. 1 TDSV). Die sich aus ¤ 6 Abs. 3 S. 2 TDSV ergebende Frist zur Datenspeicherung von 80 Tagen nach Rechnungsversand ist verschiedentlich von den Strafverfolgungsbehšrden als problematisch angesehen aber als die derzeitige gesetzliche Lage akzeptiert worden. Davon unabhŠngig kšnnen Daten mšglicherweise auch freiwillig an die Strafverfolgungsbehšrden gegeben werden - so vertreten von Seiten der Behšrden, was allerdings auf star-ke datenschutzrechtliche Bedenken auf Seiten der ISPÕs traf. Nach derzeitiger Rechtslage kšnnte mšglicherweise ¤ 28 II Nr. 1.a) BDSG herangezogen werden. Bei der beabsichtigten Novelle des BDSG soll dazu explizit eine Norm vorgesehen werden. Hingewiesen wurde darauf, da§ die in ¤ 90 TKG geregelte Kostentragungspßicht durch den Telekommunikationsdiensteanbieter (soweit TKG anwendbar ist) fŸr AuskŸnfte nur fŸr automatisierte Verfahren greife. Bei manuell erteilten AuskŸnften greift das ZSEG. Die Auskunft darf nur vom Richter, bei Gefahr im Verzuge auch von der Staatsanwaltschaft verlangt werden. FernmeldeŸberwachung (F†V, TK†V, Technische Richtlinie zur TK†V) Die Anordnung ergeht schriftlich. Sie darf sich nur gegen den Beschuldigten oder solche Personen richten, von denen auf Grund bestimmter Tatsachen anzunehmen ist, da§ sie fŸr den Beschuldigten bestimmt oder von ihm herrŸhrende Mitteilungen entgegengenommen oder weitergegeben haben oder das der Beschuldigte ihren Anschlu§ benutzt hat. Die Technische Richtlinie zur TK†V geht insbesondere auf ISPÕs ein, sei aber nur bindend fŸr die Verwaltung. Aus nicht ersichtlichen GrŸnden ist die Technische Richtlinie als vertraulich eingestuft. Neuer Termin fŸr Anhšrung der be-troffenen Kreise zur TK†V ist voraussichtlich im 1. Quartal 1999. Nach einhellig vertretener Meinung gibt es derzeit keine Verpßichtung fŸr die ISPÕs Streitig war, ob die F†V Ÿberhaupt noch gŸltig sei, weil ihre Rechtsgrundlage weggefallen ist. Frühjahr 1999 Die Datenschleuder #66 14.-15. Dezember 1998 Wiesbaden Beide Auffassungen (gŸltig / ungŸltig) wurden vertreten, mit einer Tendenz zu gŸltig. Von Seiten der Staatsanwaltschaft wurde vertreten, da§ ISPÕs nicht berechtigt seien, die rechtlichen Voraussetzungen einer †berwachung der Telekommunikation zu prŸfen, sondern sie deren Anordnung Folge zu leisten hŠtten. Strafrechtliche Verantwortung nach ¤ 5 TDG Eine strafrechtliche Verantwortung kann sich nach einhelliger geŠu§erter Meinung nicht aus ¤ 5 Abs. 4 TDG ergeben. Dies ergibt sich aus dem klaren Willen des Gesetzgebers und dem Wortlaut. Au§erdem hŠtte andernfalls ¤ 5 Abs. 3 TDG entfallen kšnnen. Die einzige Stimme die sich gegenteilig Šu§erte ist rechtsirrig. Vertreten wurde, da§ es fŸr ãKenntnisÒ im ¤ 5 TDG alleine auf die Kenntnis der Tatsachen abzustellen sei. Eine juristische Beurteilung gehšre nicht dazu, eine Anwendung des ¤ 17 StGB sei in der Regel ausgeschlossen. Problematisiert wurde, ob ¤ 9 Abs. 1 StGB hinsichtlich auslŠndischer Inhalte eine Strafbarkeit in Deutschland begrŸnden kšnne hinsichtlich des zur VerfŸgung stellens oder des Verbreitens. Als streitig wurde angesehen, ob der Klick auf ein Angebot den Taterfolg in Deutschland herbeifŸhrt oder ob der Taterfolg nur fŸr solche Angebote gelten kšnne, die auf Deutschland gerichtet seien (was nach dieser Auffassung z.B. zu verneinen wŠre bei einem Angebot in chinesischer Schrift). Im Ÿbrigen ergŠbe sich eine Strafbarkeit fŸr auslŠndische pornographische Inhalte nach ¤ 6 Nr. 6 StGB. Zumutbarkeit im Rahmen ¤ 5 TDG und ¤ 5 MdStV Die Datenschleuder #66 Frühjahr 1999 Folgende - nicht abschlie§enden - Kriterien wurden fŸr die ZumutbarkeitsprŸfung im Rahmen des ¤ 5 TDG, ¤ 5 MdStV angefŸhrt: a. Wenn der Content Provider angegangen werden kšnne, sei der ISP nicht verantwort-lich. b. Welche Bedeutung hat das Rechtsgut? Eine Sperrung sei eher zu bejahen, wenn das Rechtsgut international geschŸtzt ist als wenn dies nicht der Fall ist. c. Unzumutbar sei eine tatsŠchlich unwirksame Sperrung. Sperrung gem. ¤ 5 TDG, ¤ 5 MDStV, Filter Es wurde die Auffassung geŠu§ert, da§ bei einer Sperrung nur eine solche eines ganzen Servers technisch mšglich sei, die Sperrung einer einzelnen Adresse sei technisch noch nicht mšglich. Sollte dies den Tatsachen entsprechen, wŸrde dies die VerhŠltnismŠ§igkeitsprŸfung (Zumutbarkeit) im Rahmen des ¤ 5 TDG, ¤ 5 MDStV beeinßussen. Es mŸ§te bei der PrŸfung berŸcksichtigt werden, welche anderen Inhalte auf dem Server vorhanden sind und ob dieser Inhalte eine Sperrung mšglicherweise auf verfassungrechtliche Bedenken stš§t. Das Problem ist praktisch relevant geworden im Falle eines japanischen Servers, der unter anderem kinderpornographische Inhalte gespeichert hatte. Es wurde versucht die Sperrung dieses Servers u.a. damit zu begrŸnden, da§ die Ÿbrige Inhalte ob der japanischen Sprache nur einer ãverschwindent geringen Minderheit in DeutschlandÒ verstŠndlich sei. Eine derartige Argumentation erscheint unter verfassungsrechtlichen Gesichtspunkten Šu§erst problematisch, wenn nicht gar contra legem. Tagungsbericht BKA-Tagung Berichtet wurde von dem Entstehen der Internet Content Rating Alliance, die auf Basis des PICS Verfahrens Inhalte klassiÞzieren will. Die Einordnung soll durch die Autoren selber vorgenommen werden. Ein sogenanntes ãThird Party RatingÒ sei nicht zu bevorzu-gen. Die bewu§te oder fahrlŠssige FalschklassiÞzierung soll durch Vereinbarungen mit den Autoren ausgeschlossen werden. Der Vorteil dieses Ansatzes sei, da§ er international wirksam sei. Kritisch wurde geŠu§ert, da§ die Erfahrungen des RSACi einbezogen werden sollen, dessen KlassiÞzierungsystem nach europŠischen Ma§stŠben problematisch sei. Ein weiteres Verfahren stelle die PadGeo Software dar, die bekannte, als kinderpornographisch eingestufte Abbildungen, mit im Internet aufgefundenen Bildern vergleiche. Mit derartiger Software wollen die Strafverfolgungsbehšrden und jugendschutz.net Abbildungen Þnden und gegen die Verbreiter vorgehen. Derartige Software ist aber noch so weit in den AnfŠngen der Entwicklung, da§ jedes einzelne Bild, da§ als pornographisch von der Software erkannt wurde, von einem Menschen ŸberprŸft werden mu§. Wie auf dem Chaos Communication Congre§ 1998 (Berlin) berichtet wurde, wŸrde andernfalls z.B. die Abbildung eines kahlen Kopfes aufgrund der Rundung als pornographisch eingestuft; ebensolches gelte fŸr Software, die z.B. Von China oder Saudi Arabien als Filtersoftware eingesetzt wird. Mit ihr werden Texte nach mathematischen Verfahren analysiert. Dabei kann dann z.B. rauskommen, da§ ãAdolf Hilter war ein guter und friedvoller Mensch.Ò nicht beanstandet wird, wŠhrend ãAdolf Hilter war ein dummes Schwein.Ò beanstandet wird. Bereits an diesem einfachen Beispielen wird deutlich, da§ eine automatische Filterung nach dem derzeitigen Stand der Technik nicht mšglich ist, ganz davon abgesehen, ob ein solches Vorgehen rechtspolitisch und gesellschaftlich wŸnschenswert ist. Letzteres beides wurde auf der Veranstaltung des BKA ebenfalls stark bezweifelt bis abgelehnt. Hyperlinks Vereinzelt wurde vertreten, da§ hyperlinks unter ¤ 5 Abs. 1 TDG fallen und das ein zugŠngliche machen nach den ¤¤ 86, 130, 131, 184, 130e StGB bei einem hyperlink auf den entsprechenden Inhalt gegeben sei. Dieser Auffassung ist mehrfach entgegengetreten worden. Im Ÿbrigen wurde zur Haftung fŸr Inhalte, auf die hyplerlinks verweisen, die in der Literatur vertretenen Meinungen der Beurteilung nach ¤ 5 Abs. 2 und ¤ 5 Abs. 3 TDG vertreten. Teilweise wurde vorgetragen, es sei eine Einzelfallbetrachtung vorzunehmen. Vereinzelt wurde vertreten, da§ bei Delikten, fŸr deren Vollendung ein ZugŠnglichmachen ausreichend ist, die Strafbarkeit bereits mit dem Setzen des hyperlinks eintrete, wŠhrend bei Verbreitungsdelikten dies nicht der Fall sei. Diskutiert worden ist die Frage, inwieweit eine Haftung fŸr hyperlinks der zweiten Ebene gegeben ist, d.h. wenn ein link auf einen Text mit weiteren links verweist ist fraglich, ob auch fŸr diese weiteren hyperlinks gehaftet wird, die Ÿberwiegende Meinung hat sich dagegen ausgesprochen, mit der Tendenz eine Haftung nur fŸr selber gesetzte hyperlinks zu aktzeptieren, es sei denn es lŠge ein Fall der Umgehung vor. Da die Inhalte, auf die mit hyperlinks verwiesen wird, sich Šndern kšnnen, empÞehlt es sich, diese in dem Zeitpunkt in dem man erstmalig auf sie verweist, zu dokumentieren. Frühjahr 1999 Die Datenschleuder #66 14.-15. Dezember 1998 Wiesbaden Nationale und Internationale ZustŠndigkeiten und AktivitŠten Auf nationaler Ebene besteht ein schwer zu durchschauendes Geßecht von ZustŠndigkeiten und AktivitŠten. ZustŠndiger Ansprechpartner fŸr jeden ISP ist das jeweils zustŠndige Landeskriminalamt. Beim BKA ist eine zentrale Stelle (siehe EinfŸhrung) eingerichtet worden. von Strafverfolgungsbehšrden eingreifen, gedeckt. Gesetzesverstš§e z.B. im Rahmen von Datenschutzrecht (Herausgabe personenbezogener Daten), sind daher denkbar bei der Beantwortung von Anfragen von jugendschutz.net durch ISPÕs. Berichtet wurde kursorisch Ÿber eine Reihe von internationalen Organisationen, die sich mit dem Problem der Kinderpornographie beschŠftigen. Interpol AktivitŠten entfalten weiterhin die BundesprŸfstelle, die Onlineangebote ÔindiziertÕ und dies in ihrer Zeitschrift veršffentlicht (woraufhin diese bei diversen Nutzern kursiert um die ãinteressantestenÒ Angebote gleich sortiert zusammengestellt zu bekommen). UNICEF, „How to ban childpornography form the Internet“ ICPO / ECPAT , „Ethic Code“ G8, High Tech Crime Subgroup International Champer of Commerce Council of Europe UNAFEI Im Auftrag der Jugendminister der BundeslŠnder durchsucht jugendschutz.net anla§unabhŠngig das Internet mit einem crawler. Dabei sollen pro Nacht ca. 100 ãTrefferÒ gefunden werden, von denen ca 50 nach manueller Sichtung relevant seien. BezŸglich jugendschutz.net kam die bekannte Diskussion Bund - LŠnder auf. Als Organisation der BundeslŠnder kann jugendschutz.net nur im Rahmen des MDStV tŠtig werden, nicht im Rahmen des TDG. Daher interpretieren die Vertreter dieser Stelle den MDStV auch so, da§ alle Onlinedienste / Internetangebote darunter fallen. Dies wird - zu Recht - vom Bund abgelehnt. Soweit jugendschutz.net sich bei ISPÕs meldet, um Gesetzesverstš§e anzumahnen, sollte daher Šu§erst sorgfŠltig geprŸft werden, wieweit Ÿberhaupt eine Mediendienst im Sinne des MDStV vorliegt, in der Regel wird dies zu verneinen sein. Auf der Tagung wurde richtigerweise darauf hingewiesen, da§ jugendschutz.net keinerlei Auskunftsrechte (siehe dazu oben) die den Strafverfolgungsbehšrden zustehen in Anspruch nehmen kann. AuskŸnfte an jugendschutz.net sind freiwillig und daher nicht von ErlaubnistatbestŠnden, die bei Anfragen Die Datenschleuder #66 Frühjahr 1999 EU In den USA ist die Zollfahndungsbehšrde fŸr die Ermittlungen bei strafbaren Inhalten in Onlinemedien zustŠndig. Berichtet wurde Ÿber deren Mšglichkeiten bei Ermittlungen. Probleme der Strafverfolgungsbehšrden Von Seiten der Strafverfolgungsbehšrden wurden u.a. folgende Probleme aufgefŸhrt: * Fake Accounts (Zugänge die unter Angabe von falschen Personalien eingerichtet wurden). * Auslandskunden der Online-Dienste. * langsames Rechtshilfeverfahren. * Löschungsfrist von 80 Tagen. * Newsgroup Artikel seien aufgrund des kurzen expires oft nicht mehr nachvollziehbar und daher nicht verfolgbar. * Anonyme Remailer würden eine Rückverfolgung der Nutzer erschweren. WŸnsche der Strafverfolgungsbehšrden Die Vertreter der Strafverfolgungsbehšrden haben eine Reihe von WŸnschen geŠu§ert: Tagungsbericht BKA-Tagung * Die Provider mögen Beiträge zur Aufklärung schwerer Straftaten leisten und die Strafverfolgungsbehörden mit know how und Computern unterstützen. Nützlich wären in diesem Zusammenhang auch regelmäßige Gespräche (ohne Anlaß) zwischen den Strafverfolgungsbehörden und den ISP’s. Diese dienten der Information der Straverfolgungsbehörden über neue Entwicklungen, die technischen Möglichkeiten der Provider, strafbare Inhalte und der beiderseitigen Vertrauensbildung, damit konkrete Maßnahmen beschleunigt abgefertigt würden und Zwangsmaßnahmen vermieden würden. * Von Seiten jedes ISP’s sollten technische Ansprechpartner und die zuständige Geschäftsleitung benannt werden, die mit entsprechenden Vollmachten ausgestattet sind, damit Maßnahmen ohne Zeitverzögerung durchgeführt werden könnten. Straftaten, insbesondere Kinderpornographie, solle geächtet werden und Werbung für ein „Sauberes Netz“ gemacht werden. * Verantwortliche und deren Praktiken sollten offengelegt werden, sobald die Strafverfolgungsbehörden nachfragten. * Eine schnelle Bearbeitung von Auskunftsersuchen sei aufgrund der Schnellebigkeit des Internets, in der 1 - 2 Stunden schon sehr lange sein könnten, wünschenswert. * Kundendaten sollten verifiziert werden, bevor ein Zugang eröffnet würde. * ISP’s sollten mehr tun als das, was gesetzlich als Minimum gefordert wird. Dies betrifft insbesondere die Speicherung von Bestands- und Verbindungsdaten. Hierzu sei der § 7 TDSV extensiv auszulegen (siehe kritisch dazu oben unter Rechtsgrundlagen für Auskunftsersuchen). * Soweit ein ISP kinderpornographische Abbildungen sperrt oder löscht wurde von Seiten der Strafverfolgungsbhörden der Wunsch geäußert, eingeschaltet zu werden, um nach Möglichkeit die Kinder zu ermitteln und diese Schützen zu können. An den Gesetzgeber wurden die Forderungen gestellt, eine Evaluierung des IuKDG vorzunehmen, einen Ersatz fŸr ¤ 12 FAG zu schaffen und ãRufnummernÒ im 11. Teil des TKG, durch ãNummernÒ zu ersetzen, da nach einhelliger Auffassung Rufnummern keine IP Nummern oder Šhnliche Angaben sind, sondern sich ausschlie§lich auf Rufnummern im Sinne des Sprachtelefondienstes bezieht. GewŸnscht wurde auch, die Speicherfrist von 80 Tagen zu verlŠngern. Tips fŸr die ISPÕs Um zu vermeiden, da§ ISPÕs um die Herausgabe von Bestandsdaten gebeten werden, sollte darauf hingewirkt werden, da§ alle Kunden, die content Anbieter sind, in ihrem Angebot eine Art Impressum mit angeben, in der Ansprechpartner fŸr das Angebot genannt werden (vgl. ¤ 6 TDG, ¤ 6 MDStV). Die Allgemeinen GeschŠftsbedingungen oder auch die individualvertraglichen Bedingungen mit den Kunden, die content Anbieter sind, sollten so gestaltet sein, da§ eine Sperrung von mšglicherweise nicht gesetzeskonformen Inhalten bereits bei Verdacht mšglich ist und insbesondere auch dann, wenn die PrŸfung, ob ein Gesetzesversto§ vorliegt umfangreich ist (Kostenvermeidung). Die eigene Infrastruktur sollte so installiert sein, da§ eine sofortige Sperrung rechtswidriger Inhalte in eigenen Speichern mšglich ist. In der Vergangenheit ist es immer wieder vorgekommen, da§ die Ermittlungsbehšrden ganze EDV Anlagen beschlagnahmt haben, so da§ die betroffenen Privatpersonen oder Unternehmen nicht mehr weiter arbeiten konnten. Soweit ein solches Vorgehen von den Strafverfolgungsbehšrden angestrebt wird, sollte von Seiten der ISPÕs darauf hingewirkt werden, da§ lediglich Sicherungskopieen auf nicht mehr verŠnderbaren Speichermedien erstellt werden, die den Ermittlungsbehšrden Ÿbergeben werden. Vertreter der Strafverfolgungsbehšrden haben geŠu§ert, da§ sie damit im Regelfall ausreichend arbeiten kšnnen. Soweit von den Strafverfolgungsbehšrden der Gedanke einer ãSelbstverpßichtungserklŠrungÒ Frühjahr 1999 Die Datenschleuder #66 oder eines Code of Conduct weiter verfolgt wird, sollten die ISPÕs darauf achten, da§ die ihre Interesssen berŸcksichtigt werden. Der bisher vom BKA zur Diskussion vorgelegte Entwurf mŸ§te dazu verŠndert werden. Zu klŠren wŠre auch, welche rechtliche QualitŠt eine solche Vereinbarung haben wŸrde und welche Rechtsfolgen sich daraus ergeben kšnnten. Ob die Unterzeichnung eines derartigen Papiers sinnvoll sein wird, kann erst bei Vorliegen eines neuen Entwurfs beurteilt werden. Bekannt ist, da§ auch auf internationaler Ebene (z.B. EU) an Codes of Conduct gearbeitet wird. Sinnvoll wird - wenn Ÿberhaupt - nur die Unterzeichnung eines dieser Papiere sein. Au§erhalb der Veranstaltung ist das GrundsŠtzliche Vorgehen des BKAÕs kritisiert worden. Es sei nicht Aufgabe der ISPÕs ãim zunehmenden Ma§e Polizeiaufgaben zu ŸbernehmenÒ. Auf dem Chaos Communication Congre§ Ô98 wurde die Auffassung vertreten, da§ die Vorgehensweise Sperrung / Filterung grundsŠtzlich zu Ÿberdenken sei. Aus neuen medienpŠdagogischen Untersuchungen ergebe sich keinerlei Anhaltspunkt dafŸr, da§ Kinder und Jugendliche durch das Ansehen von erotischen und pornographischen Abbildungen psychologisch geschŠdigt wŸrden. Die Studien die von den entsprechenden Stellen immer wieder zum Beleg des Gegenteils herangezogen wŸrden, seien wissenschaftlich veraltet und inzwischen unhaltbar. Wichtig sei dahingegen, da§ Kinder und Jugendliche an dem Umgang mit dem Medium herangefŸhrt wŸrden. Daher sei der Schwerpunkt stŠrker auf pŠdagogische Ma§nahmen, als auf Sperrung und Filterung zu legen, die erfahrungsgemŠ§ umgangen werden kšnnten oder nicht funktionierten. RA Alexander Eichler, Wiesbaden Die Datenschleuder #66 Frühjahr 1999 Berichte vom 15. Chaos Communication Wilde Sachen bei Nacht Nachdem abends der Congresstag eigentlich beendet ist, gibt es eine bemerkenswert gro§e Gruppe von Leuten, die diese Tatsache schlichtweg ignorieren. Sie sitzen im Hackcenter und scheinen sich vollstŠndig von den anderswo geltenden Ma§stŠben von Zeit und Raum abgekoppelt zu haben. Beim nŠchtlichen Streifzug durch das Hackcenter kann man diese Leute die kuriosesten Sachen machen sehen, die fŸr den Freund des innovativen Technologieeinsatzes spannend und lehrreich sind. Im Untergescho§ des Hackcenters wurde beispielsweise die ganze Nacht Ÿber an Legound Fischertechnik-Robotern und -Maschinen gebastelt. Eine Gruppe verstieg sich durchaus erfolgreich in dem Plan, den Prototyp eines Computers, eine Turing-Maschine, zu bauen. Dabei handelt es sich um eine Maschine, die auf einem Papierstreifen schreiben und lesen kann und auf diesem unendlich langen Band auf- und abfŠhrt und die daraußiegenden Befehle ausfŸhrt, sowie neue Daten auf den Streifen schreibt und liest. An anderer Stelle hatte man einige biometrische Devices zum Testen aufgetrieben und machte sich ernsthaft daran, biometrische IDs zu fŠlschen. WŠhrend man das †berlisten eines InfrarotDurchlicht-Fingerscanners verschieben mu§te, gelang es nach zahlreichen Versuchen mit Stempelkissenfarbe, Wachs, Klebeband und Folie, mittels eines ZigarettenblŠttchens und eines Bleistifts eine ãFingerdubletteÒ herzustellen, mit der man ein rein optisches Fingererkennungssystem Ÿberlisten konnte. Andere Spontan-Workshops beschŠftigten sich mit dem Aufbau und der Technik von Mobilfunkstationen, der Zahl 23, der untersten Netzwerkschicht und dem ARP-Protokoll oder dem Aufbau und der Sicherheit von deutschen UniversitŠtsnetzwerken. Einer der Hšhepunkte des Hackcentertreibens endete am frŸhen Abend in einem Besuch von Beamten der ComputerkriminalitŠtsabteilung des LKA Berlin. Cracker waren in das Netz eines bremischen Internetproviders eingedrungen, hatten dort sŠmtliche Ÿberߟssige Daten entfernt, das hei§t, vor allem nutzlose Werbeinformationen diverser Unternehmen gelšscht und auf den etwa 40 dort betriebenen virtuellen Servern ein Musikarchiv fŸr die Weiterbildung junger Leute angelegt. Der Betreiber des unzureichend gesicherten Servers zeigte fŸr diese Ma§nahmen wenig VerstŠndnis und versprach sich Hilfe vom LKA, bei dem er Anzeige erstattete. Da die Angriffe von einer IP-Adresse innerhalb des Hackcenter-Netzes zu kommen schienen, versprachen sich die Staatsdiener von einem Besuch dort eine Chance, des Crackers habhaft zu werden. Problematisch war allerdings die Frage, ob der Rechner mit der entsprechenden IP dem Cracker gehšrte oder ob die Maschine selber nur als Attack-Proxy verwendet wurde. Der Polizei gelang es allerdings nur, eine einzige ãhei§eÒ Spur sicherzustellen: ein dampfendes chinesisches Essen, das an dem Arbeitsplatz stand, der der fraglichen IP zugeordnet war. Ansonsten fand man nur ein Netzwerkkabel und einen leeren Platz, an dem kurz zuvor der Computer entfernt worden war. Die Polizei bittet den Besitzer des Rechners, sich selbst zu melden - und andere Menschen darum, diesen Besitzer zu melden. Es gibt auch eine TŠterbeschreibung: ãmŠnnlich, ungefŠhr 1,80 gro§ und nicht ganz lange und eher dunkelblonde HaareÒ. NŠchtlicherdings gab es dann noch einige spannende Probleme mit der Internetanbindung, die damit endeten, da§ im Hackcenter der Internetzugang nur noch stark eingeschrŠnkt mšglich war. Alles in allem also eine spannende und lehrreiche Nacht, die zahlreiche Mšglichkeiten zur Weiterbildung bot. doobee@ccc.de Frühjahr 1999 Die Datenschleuder #66 Congress 27.-29.12.1998 in Berlin MP3 Workshop: All rights reversed?! Der Workshop fŸhrte in die Technik der Komprimierung mittels MPEG ein und mŸndete in eine Diskussion um die Auswirkungen der Technologie auf die zukŸnftige Entwicklung der Vermarktung von Musik im und au§erhalb des Internet. Die Technik Musik besteht aus Schallwellen, die mittels eines Mikrofons in elektrische Schwingungen umgewandelt werden kšnnen. Um diese analogen Signale, die auf einem Diagramm der SignalstŠrke, abgetragen gegen die Zeit, komplizierte Wellen ergeben, digital speichern zu kšnnen, werden die analogen Axen des Diagramms in kleine AbstŠnde unterteilt (quantisiert). Die Unterteilung der Zeitachse ergibt eine zeitliche Außšsung, die mit der Sampling-Rate angegeben wird. Die Sampling-Rate gibt in Samples pro Sekunde an, wie hŠuÞg ein Me§wert (der Signalpegel) pro Sekunde erfa§t wird. Die Quantisierung der Amplitude (SignalstŠrke) ergibt eine maximale Anzahl von Werten, in die die zu digitalisierenden Signalpegel einsortiert werden mŸssen. Diese Anzahl der mšglichen Werte ergibt die Audio-außšsung - meist angegeben in Bit. Auf einer handelsŸblichen Musik-CD wird z.B. eine Samplingrate von 44kHz (also 44000 Me§werte pro Sekunde) und eine Audioaußšsung von 16 Bit (65536 mšgliche Signalpegel) verwendet. Speist man die auf diesem Weg erhaltenen Daten in ein normales Komprimierungsprogramm (z.B. Die Datenschleuder #66 Frühjahr 1999 ARJ oder ZIP) ein, so stellt man fest, da§ die Komprimierung nur sehr gering ist. Solche Komprimierungsverfahren versuchen RegelmŠ§igkeiten in den zu komprimierenden Daten zu Þnden, die in digitalisierten Audiodaten kaum vorkommen. Die erste Idee kšnnte nun sein, einfach die Audioaußšsung zu verringern und somit Daten einzusparen. Leider fŸhrt dies zu einem QualitŠtsverlust: Auf je weniger mšgliche Werte die analogen Daten abgebildet werden, um so grš§er werden die dabei auftretenden Rundungsfehler. Diese Rundungsfehler erhšhen ma§geblich den Rauschanteil. FŸr eine mšglichst verlustfreie Komprimierung von Audio-Daten ist dieses Verfahren damit unbefriedigend. Biologen gehen davon aus, da§ vom menschlichen Ohr zum Gehirn ein Datenstrom von ca. 2000-3000 bit/s ßie§t. Die SchŠtzung geht zurŸck auf die Annahme, da§ Informationen mit ca. 60-100km/h in den Nerven Ÿbertragen werden und der Nervenstrang vom Ohr zum Gehirn keinen grš§ere Datenmenge transportieren kann. Eine CD beinhaltet einen Datenstrom von ca. 1.000.000 bit/s. Im Gehirn kommen von den Informationen, die auf einer Audio-CD gespeichert sind, also nur ca. 0,25% an. Die Psychoakustik beschŠftigt sich mit der Frage, welcher Anteil der Informationen, die als Schallwellen auf unser Ohr treffen, tatsŠchlich im Gehirn ankommen. Als Antwort auf diese Frage wurde bisher keine einheitliche Formel gefunden. Verschiedene Forschungsinstitutionen haben in sehr vielen Versuchsreihen mit Testhšrern herausgefunden, was in Audiosignalen weggelassen werden kann, ohne da§ ein Unterschied fŸr die Testpersonen hšrbar war. Das Ohr ist trŠge, und diese TrŠgheit sorgt dafŸr, da§ leise Tšne nach einem lauten Ton nur sehr schlecht oder gar nicht wahrgenommen werden - Berichte vom 15. Chaos Communication ebenso wie vorhergehende leise Tšne fŸr einen kŸrzeren Zeitraum Ÿberschattet werden. €hnliches gilt fŸr einen intensiven Ton auf einer Frequenz, der Tšne auf unmittelbaren Nachbarfrequenzen Ÿberdeckt. Hohe Tšne werden eher wahrgenommen als tiefe Tšne. In Hinblick auf diese Erkenntnisse wurden empirische Daten ausgewertet und genaue mathematische Regeln erstellt, die beschreiben, welche Informationen im Audiosignal eingespart werden kšnnen, ohne da§ die QualitŠt fŸr den Hšrer merklich sinkt. Technisch wird hierfŸr das Audiosignal in 32 FrequenzbŠnder geteilt (z.B. 100Hz, 200Hz, ... , 2kHz, 4kHz...). Dabei teilt sich ohne Komprimierung die Anzahl der mšglichen Werte (Audioaußšsung) durch die Anzahl der FrequenzbŠnder, und jedes Frequenzband erhŠlt einen eigenen, entsprechend kleineren Wertebereich. FŸr die Komprimierung nach den psychoakustischen Kriterien wird nun die Anzahl der mšglichen Werte fŸr durch benachbarte laute Frequenzen Ÿberdeckte Frequenzen gesenkt, da diese Frequenzen schlechter wahrgenommen werden. Dadurch kšnnen Daten eingespart werden. Ein Šhnliches Verfahren wird auf der Zeitachse des Audiosignals verwendet, um Signalen, die einem sehr viel lauterem Signal vorausgehen oder folgen, ebenfalls einen kleineren Wertebereich zuzuweisen. Die entstehenden Ungenauigkeiten (Rauschanteil) bei der verlustbehafteten Komprimierung werden somit auf Signalanteile verteilt, die Ÿber den Hšrapparat das Gehirn nicht oder nur sehr schwach erreichen. Der QualitŠtsverlust ist im VerhŠltnis zur eingesparten Datenmenge sehr gering. Bei einer Komprimierung von 1:12 ist die QualitŠt fŸr die Wiedergabe von Musik mit der QualitŠt von Radio vergleichbar. In der Weiterentwicklung des umrissenen Verfahrens soll 'guessing' - der Versuch die Werte eines Folge-Samples zu raten - zum Einsatz kommen und die Komprimierungsrate nocheinmal erhšhen. Auch hierfŸr werden Versuchsreihen mit Testhšrern durchgefŸhrt, die zeigen sollen, bis zu welchem Ma§ das Verfahren geeignet ist, und an welchen Stellen die Abweichung in den geratenen Samples durch Checksummen korrigiert werden mu§. Die technischen Verfahren zur Dekomprimierung (!) solcher Datenstršme wurden in ISO-Normen von der Motion Picture Encoding Group (MPEG) normiert. Zur Norm gehšren nicht die Kodierungsverfahren, deren QualitŠt ma§geblich von der Forschungsarbeit der einzelnen Anbieter auf dem Gebiet der Psychoakustik abhŠngt. In den Normen der MPEG wird jedoch - wie der Name vermuten lŠ§t - nicht nur Audiodekomprimierung festgelegt, sondern auch die Verfahren zur Videodekomprimierung. Zielsetzung der Gruppe ist es, Normen festzulegen, nach denen Bild und Ton von digitalen DatentrŠgern (CD, DVD) oder aus digitalen Datenstršmen (Fernsehen, Internet) dekodiert und wiedergegeben werden kšnnen. Der erste verabschiedete Standard war MPEG1. In MPEG1 (ISO11172) wurde festgeschrieben, wie von einer normalen CD mit 1-facher Abspielgeschwindigkeit Video und Audio wiedergegeben werden kann. Die Norm teilt den Datenstrom in drei Layer: Auf Layer 1 werden Daten fŸr die Zusammensetzung von Audio und Video Datenstrom transportiert (System Stream), auf Layer 2 werden die Video-Daten als halbes PAL-Bild Ÿbertragen und auf Layer 3 letztendlich die Audio-Daten. Frühjahr 1999 Die Datenschleuder #66 Congress 27.-29.12.1998 in Berlin Da MPEG1 fŸr die CD entwickelt wurde, sind ßexible Bandbreiten fŸr die einzelnen KanŠle nicht vorgesehen. Das technische Verfahren zur Dekomprimierung von Audiodaten im anfŠnglich beschriebenen Format Þndet sich in der Nachfolgenorm MPEG2 Layer 3. Ebenso wie bei MPEG1 ist MPEG2 (ISO13848) in drei Layer fŸr Steuerdaten, Video und Audio getrennt. Mittels der neuen Norm kšnnen Datenstršme mit beliebiger QualitŠt dekodiert werden und die Verfahren wurden optimiert und erweitert um eine †bertragung des Datenstroms Ÿber eine verlustbehaftete Verbindung (z.B. einen Fernsehkanal) zu unterstŸtzen. In einer Erweiterung (MPEG2 Layer3 ACR), die bisher noch nicht zum Einsatz kommt, ist schon festgeschrieben, wie mehrere AudiokanŠle fŸr z.B. Surround Sound Ÿbertragen werden. Das Verfahren zur Komprimierung von Videosignalen funktioniert Šhnlich wie die Komprimierung der Audiodaten (jedoch ist in der Norm auch fŸr Video nur die Dekomprimierung fŸr Video genormt): Das Videobild wird in Quadrate von 8x8 Pixeln zerteilt. Betrachtet man die 64 Pixel eines solchen Ausschnitts aneinandergereiht und fŠhrt mit einer konstanten Geschwindigkeit an ihnen entlang, so ergibt sich eine Signal aus Helligkeitwerten, das sich genauso wie ein Audiosignal in Samples zerlegen lŠ§t. Diese Samples kšnnen wieder in FrequenzbŠnder geteilt und nach Šhnlichen Kriterien wie das Audiosignal komprimiert werden. Die Komprimierung der Videobilder entspricht technisch dem JPEG-Verfahren fŸr Einzelbilder. ZusŠtzlich wird betrachtet, ob sich ein bestimmter Ausschnitt aus 8x8 Pixeln im Folgebild an einer anderen Stelle wiedergefunden werden kann und somit nur dessen Bewegungsvektor und nicht die vollstŠndige Bildinformation Ÿbertragen werden Die Datenschleuder #66 Frühjahr 1999 mu§. Ein Fernsehbild lŠ§t sich so komprimiert in einen 6MBit Datenstrom verpacken. Konkurrierende Verfahren wie z.B. RealAudio, RealVideo oder LiquidAudio weichen vom technischen Verfahren von MPEG2 nur in der Umsetzung ab. Die Grundlagen sind dieselben. Es lŠ§t sich nicht feststellen, da§ eines dieser Verfahren qualitativ besser wŠre als die normierten. FŸr die Komprimierung von Audiodaten nach MPEG2 Layer 3 in Echtzeit wird ein PentiumII 300MHz benštigt. Eine gŸnstige Hardwarelšsung ist von Thomson fŸr ca. 300,- DM angekŸndigt. Zum Abspielen reicht hingegen jeder PentiumPC. Von zwei IC-Herstellern (ITT und Thomson) gibt es Ein-Chip-Lšsungen fŸr die Dekomprimierung, die in entsprechender StŸckzahl fŸr ca. 15$ verkauft wird. Folgen, Utopien Weltweit gibt es bisher 15 Hersteller, die TaschengerŠte zum Abspielen von MPEG2 Layer 3 kodierten Musikdaten anbieten. Der Speicher der GerŠte liegt zwischen 32MB und 64MB und reicht somit fŸr 30-60min Musik in RadioqualitŠt. Im Internet werden Dateien mit MusikstŸcken verteilt und getauscht, die Ÿber eine Computerschnittstelle in die meisten Abspieler Ÿberspielt werden kšnnen. Diese Entwicklung wird von den gro§en Musikproduzenten gebremst, kann jedoch nicht gestoppt werden. In Zukunft kšnnte die Stellung der ProduktionsÞrmen ins Wanken kommen, da der Vertrieb Ÿber das Internet theoretisch direkt von den KŸnstlern zu den Konsumenten mšglich ist. Neben allen damit verbundenen Ideen, Idealen und Utopien wurde jedoch nicht aufgezeigt, da§ es neben einer Untergrundszene, die illegal Musik kopiert und tauscht, ernstzunehmende AnsŠtze Berichte vom 15. Chaos Communication fŸr die Bedienung eines šffentlichen Massenmarktes gibt. Den einzige, von den Anwesenden abgelehnten Vorsto§ in den elektronischen Vertrieb von Audiodaten unternimmt ein Internet-Anbieter in Deutschland: †ber WWW-Seiten kšnnen Titel ausgewŠhlt und gegen eine GebŸhr von 0,10DM in Ausschnitten angehšrt werden. Wird ein Titel zum Kauf gewŠhlt, so wird die Verbindung zum Internet-Anbieter getrennt und ein Server ruft via ISDN den Kunden an und liefert die Datei aus. Die Musikdatei ist allerdings verschlŸsselt und kann nur mit dem Programm der EmpfŠngerin gehšrt werden. FŸr die private Nutzung gibt es kostenlos eine Zweitlizenz fŸr eine zweite Installation. Bei einem Preis von 3-5 DM pro Musiktitel wird an der Akzeptanz gegenŸber dieses Verfahrens zu Recht gezweifelt. Einigkeit bestand in dem Punkt, da§ Musik zu teuer ist und nicht nachvollziehbar ist, wo das Geld bleibt. Der von den ProduktionsÞrmen angestrebte Preis von 50,- DM pro CD dŸrfte angesichts der aktuellen Entwicklungen jedoch nicht haltbar bleiben. Ein philosophischer Ansatz fŸr die freie VerfŸgbarkeit von Musik war, da§ sie - einmal gehšrt - in Fragmenten im Gehirn gespeichert wird. Beim erneuten Hšren werden lediglich Erinnerungen erneuert. Unbeantwortet blieb hierbei jedoch die Frage, warum die Dienstleistung der Auffrischung von Erinnerungen nicht vergŸtet werden sollte. Vortrag: Andreas Bogk <> Bericht: Chris Vogel Anonymität im Netz Welche Daten werden mitgeschickt, wenn eine Website abgerufen wird? Schon bei einem einfachen http-Request werden User- und Systemdaten mitŸbertragen, die zum einen dazu genutzt werden kšnnen, sich ein Bild vom User zu machen (user proÞling), zum anderen kann der Verlauf wŠhrend des Aufenthaltes im Web nachvollzogen werden (user tracing). Aussagen Ÿber den Rechner und seinen Benutzer erhŠlt man z.B. aus Angaben Ÿber den Browser, die Sprache und natŸrlich Ÿber die IP-Adresse. Der erste Weg zu AnonymitŠt im Netz ist daher, fremde LogÞles mit mšglichst wenig Angaben Ÿber sich zu fŸttern. HierfŸr wurde neben dem "Janus-Projekt" http://janus.fernuni-hagen.de und "Mixmaster" auf das Programm "Junkbuster" eingegangen. Anonymicer Þnden sich auf http://www.informatik.tu-muenchen.de/cgibin/ucgi/pircher/ssis/anonymicer/index.html. Am weitesten geht Mixmaster, bei dem die Daten in gleich gro§e Blšcke geteilt werden, so da§ durch eine Analyse des TrafÞcs praktisch keine wertvollen RŸckschlŸsse mšglich sind. Au§erdem werden die Daten fŸr jeden Proxy, Ÿber die das Anonymizing lŠuft, gesondert verschlŸsselt. AnonymitŠt ist nicht nur gegenŸber den Anbietern der Sites notwendig, sondern kann auch innerhalb eines corporate network sinnvoll sein. Als Beispiel wurde ein Angestellter angefŸhrt, der am Arbeitsplatz surft und neue Stellenanzeigen studiert. Durch die Dokumentation aller angewŸhlten Seiten in LogÞles erfuhr der Arbeitgeber frŸhzeitig von seinen PlŠnen, sich berußich zu verŠndern. NŠchster Themenkomplex waren Identifyer wie Cookies, durch die z.B. zur Erstellung von KundenproÞlen auf der Festplatte des Users Daten gespeichert und dieser dadurch Frühjahr 1999 Die Datenschleuder #66 Congress 27.-29.12.1998 in Berlin wiedererkannt werden kann http://www.cookiecentral.com/unofÞcial_cookie _faq.html . Neben dem Aufbau von Cookies wurde auf eine weitere Gefahr hingewiesen, wie die Mail-Adresse des Users herausgefunden werden kann: Ist bei der KonÞguration als Passwort fŸr anonymous-ftp die eigene MailAdresse eingestellt, mu§ nur im Hintergrund einer Website ein anonymous-ftp angesto§en werden und der Server erhŠlt die gewŸnschte Adresse. Zuletzt wurde auf Crowds eingegangen, einen Verband kooperierender Proxies zum Anonymizing [http://www1.informatik.unierlangen.de/crowds/]. Hierbei wird symmetrisch und fŸr alle Proxies mit dem gleichen Key verschlŸsselt, wodurch Crowds wesentlich schneller als Mixmaster arbeitet. Als Ausgleich fŸr die schwŠchere VerschlŸsselung tunnelt Crowds schnell durch viele Proxies. Der Vortrag wurde von drei Erlangener Informatikern vorbereitet und von Matthias Bauer vorgetragen. Bericht: Jockel v. Nieman Einführung in Dylan So etwas wie eine ideale Programmiersprache scheint es nicht zu geben. Nehmen wir zum Beispiel die Typisierung von Variablen. Es gibt im Grunde zwei Konzepte: dynamisches Typing und statisches Typing. Beides hat seine Vor- und Nachteile: Bei Sprachen wie C mu§ ich explizit festlegen, ob ich Ganzzahl-, Flie§komma- oder Zeichendaten verwenden will. In Perl dagegen schreibe ich einfach die Variable, die Sprache kŸmmert sich dann um die Typisierung. Dieses Verfahren ist natŸrlich viel bequemer, wenn ich einfach nur schnell eine Idee hinprogrammieren will, auf der anderen Seite ist es natŸrlich Die Datenschleuder #66 Frühjahr 1999 verstŠndlich, da§ eine solche dynamische Typisierung nicht sehr performant ist. Der Compiler kann den Code nicht zur Compile-Zeit auf den Datentyp hin optimieren. Ein klassisches Dilemma, so scheint es. Vorhang auf: In diese Problematik hinein kommt Dylan (Dynamic Language), eine relativ junge Programmiersprache, die ihre Wurzeln bei Apple hat. In Dylan kann man problemlos einfach so draußosprogrammieren und mu§ sich nicht um Typisierung kŸmmern. Wenn das Programm dann allerdings auf Geschwindigkeit optimiert werden soll, benutzt man einfach statisches Typing. Das beste zweier Welten, sozusagen. €hnliche Konßiktfelder gibt es bei der Art der Sprache: Neben den bekannten imperativen Programmiersprachen wie Pascal und C gibt es noch objektorientierte Sprachen wie Smalltalk, C++ oder Java und zu guter letzt funktionale Sprachen, von denen LISP die bekannteste sein dŸrfte. Dylan ist auch hier wieder hybrid. Komplett objektorientiert hat es trotzdem Mšglichkeiten zur funktionalen Programmierung. Die Syntax von LISP ist ja so eine Geschmackssache. "Es gibt zwei Arten von Leuten: Die einen stehen auf viele Klammern und die anderen hassen es. Die meisten hassen es", fasst Andreas Bogk zusammen. Dylan hat daher eine sehr angenehm zu lesende, Pascal-Šhnliche Syntax. Dylan verfŸgt aber auch noch Ÿber andere Features, die man von einer modernen Programmiersprache erwartet. Garbage collection, das automatische Entsorgen ungenutzter Variablen oder Objekte, kennt man aus Sprachen wie Perl oder Java und natŸrlich gibt es sie in Dylan auch. Eine Sache, die man sich bei der objektorientierten Programmierung immer wŸnscht, ist die Trennung von Methoden und Objekten. "Wenn ich zwei Objekte 'Frau' und 'Mann' habe und die Methode 'Sex' darauf Berichte vom 15. Chaos Communication anwenden will -- soll dann die Methode 'Sex' zum Objekt 'Mann' oder 'Frau gehšren?" machte Andreas Bogk die †berlegungen der DylanDesigner deutlich. Weiterhin bietet Dylan durch sogenannte Slots nette Mšglichkeiten, um Objekten andere Objekte zu Ÿbergeben. WŠhrend man typischerweise unter C++ selbst Methoden schreibt, um Member Variables zu setzen oder sie aus dem Objekt herauszuziehen, kann man in Dylan ganz bequem Slots deÞnieren, und die "Getter"- und "Setter"Methoden stehen automatisch zur VerfŸgung. Soweit kurz zu den Features von Dylan, zu denen es durchaus noch mehr zu sagen gŠbe. Auf der Implementationsseite sieht Dylan auch relativ vielversprechend aus. Das ursprŸngliche Projekt bei Apple kam zwar nie Ÿber den Status einer technologischen Machbarkeitsstudie hinaus, aber es gibt noch andere AnsŠtze. Eine kommerzielle Implementation fŸr Win32 ist fertig (nŠheres unter http://www.harlequin.com/ ) und erzeugt Code, der zu 99% so schnell ist wie C. Eine freie Implementation von Dylan fŸr UnixŠhnliche Betriebsysteme lŠuft unter dem Namen "Gwydion Dylan". Andreas Bogk ist selbst ma§geblich am Gwydion Dylan-Projekt beteiligt. Haufenweise Informationen hierzu gibt es unter http://www.gwydiondylan.org/ . Ganz fertig ist der natŸrlich in Dylan selbst geschriebene Compiler noch nicht, es fehlen noch Details. Auch die Perfomanz des vom Compiler erzeugten Codes kommt bei weitem noch nicht an C heran, aber Andreas Bogk verspricht Programme, die etwa "um den Faktor 10 schneller als Perl laufen". Immerhin, ein Anfang. Dylan wird noch von sich hšren lassen. Vortrag: Andreas Bogk http://www.gwydiondylan.org/ Bericht: Jens Ohlig Funkamateur Lizenzkl. 3 Crashkurs Die Veranstaltung "Funkamateur Lizenzklasse 3 Crashkurs" fand auf dem diesjŠhrigen "15. Chaos Communication Congress" als dreiteilige Veranstaltung, verteilt auf die drei Kongresstage statt. Sie sollte eine allgemeine EinfŸhrung in den PrŸfungsstoff der neu geschaffenen Funkamateur Lizenzklasse 3 geben. Wegen der - relativ zu den hšheren Klassen 2 bzw. 1 - eher geringen Anforderungen in dieser Klasse ist diese PrŸfung auch fŸr interessierte Einsteiger in wenigen Wochen zu erlernen. Die erste Veranstaltung gab einen †berblick Ÿber die derzeitige Situation im €ther. Kurz wurden die verschiedenen Teilnehmer am Funkverkehr (Betriebsfunk, Behšrden / Organisationen / Sicherheitsaufgaben (BOS), Telefonie, CB-Funk, Amateurfunk incl. Packet Radio usw.) ihre verwendete Technik und deren Wellenbereiche besprochen. Anschlie§end folgten Informationen Ÿber das neue Amateurfunkgesetz und die neuen Amateurfunklizenzen, insbesondere die Klasse 3 fŸr den vereinfachten Einstieg. In der folgenden Diskussion wurden unter anderem Fragen zum Stichwort "Experimentiercharakter des Amateurfunk" oder "der Unterschied zwischen einem Amateurfunker und einem Funk Amateur" eingehend eršrtert. Der zweite Teil der Veranstaltung beschŠftigte sich mit allen Belangen der sogenannten Betriebstechnik. Unter diesem Oberbegriff wurden verschiedene Dinge besprochen: - das Internationale Buchstabieralphabet (Nato Alphabet) - die Q-SchlŸssel - also AbkŸrzungen fŸr bestimmte, oft wiederholte AusdrŸcke in der Funkersprache. - Frequenzlisten - Landeskenner Locator Koordinatensystem - Bewertung der Verbindung nach Lesbarkeit, SignalstŠrke und TonqualitŠt - Zulassung als Amateurfunkdienst Bestimmungen zur Sendung der Rufzeichen Aufbau der Rufkennzeichen. Leider mu§te die Frühjahr 1999 Die Datenschleuder #66 Congress 27.-29.12.1998 in Berlin dritte Veranstaltung, die den technischen Teil der PrŸfung behandeln sollte kurzfristig abgesagt werden. Die Referenten entschuldigten sich und boten allen Teilnehmern an sich per EMail bei ihnen zu melden. Sie wŸrden dann eine PrŸfungs-Mailinglist einrichten. Referenzen: Regulierungsbehörde für Telekommunikation und Post Postfach 8001 55003 Mainz Fax: 06131 18-5620 http://www.regtp.de Hier ist auch der Fragen- und Antwortkatalog mit den offiziellen Fragen der Prüfung zur Lizenzklasse 3 erhältlich. Vortrag: Michael Grigutsch , Bericht: Heiner Otterstedt GSM-Unsicherheit Welche Sicherheitsmerkmale sind im GSM Netz implementiert? Wenigstens kann man dort nicht wie im alten analogen C-Netz einfach mit einem Scanner mithšren, denn zwischen Basisstation und Telefon werden die Daten verschlŸsselt. Auch sind die Telefonnummern an sich nicht auf der SIM-Karte gespeichert, sondern nur in einer zentralen Datenbank des Netzbetreibers, wo zu jeder SIM-Nummer die Telefonnummern zugeordnet wird. Wenn sich das Telefon authentiÞzieren will, bekommt es vom AuthentiÞcation Center (AC) eine RAND Challenge, die in der SIM-Karte mit dem GeheimschlŸssel und dem A3-Algorithmus zum SRES verarbeitet wird. Diese SRES geht zurŸck an den AC, der sie mit einer von ihm berechneten SRES vergleicht. Sind beide identisch, gibt das AC grŸnes Licht. Der A3 Algorithmus ist nicht in jedem Netz gleich, aber es gibt einen Referenzstandard dafŸr (COMP128), der bis vor kurzem nicht bekannt war (Security by obscurity). Bis auf die sicherheitsrelevanten Themen ist aber der GSM-Standard unter [1]http://www.etsi.fr/ zu Þnden. Die Datenschleuder #66 Frühjahr 1999 Zur VerschlŸsselung werden 128 Bit RAND und 128 Bit KI 40 mal durchrotiert, allerdings sind das 1. und 8., das 2. und 9. Byte (usw...) miteinander verbunden. Nach 6-18 Stunden und in der Regel 150.000 DurchlŠufen kann man sich den GeheimschlŸssel durch diesen Bug generieren und auf einem Simulator eine echte Karte emulieren. Der A5-Algorithmus ist ein 64 Bit langer Key, von dem allerdings die letzten 10 Bit Nullen sind. Ein weiterer Key (A8) dient der SchlŸsselgenerierung. Lucky Green erzŠhlte von den Begebenheiten, die dazu gefŸhrt haben, da§ er den COMP128 gefunden hat: Er stolperte bei einer †bersetzung eines GSM Manuals Ÿber den Befehl "Run GSM Algorithm" und versuchte, im Netz etwas Ÿber COMP128 herauszuÞnden. Er fand nur eine in Teilen falsche Version und suchte drei Monate, um den richtigen Algorithmus zu Þnden. Den gab er zwei Freunden, die sich an der UC Berkley auf KryptograÞe spezialisiert haben, und innerhalb vor zwei Stunden war er geknackt. Drei Tage vor der Veršffentlichung fand er einen Hersteller, der Chipkarten mit COMP128 und verŠnderbarer SchlŸssel herstellt, und natŸrlich bestellte er alle 8 in Nordamerika verfŸgbaren Exemplare. Mittlerweile wird in etwa 100 Millionen Mobiltelefonen COMP128 eingesetzt, und die Austauschkosten werden sich auf etwa 1,6 Millionen Dollar belaufen. Auch die 12 Provider weltweit, die nicht COMP128 benutzen, setzen aus irgendeinem unerÞndlichen Grund die letzten 10 Bits des A5 auf Null. NatŸrlich war es nicht Sinn des Experiments, GSM zu zerstšren, sondern nur darauf hinzuweisen, da§ es immer ein Problem ist, wenn KryptoschlŸssel nicht šffentlich gemacht werden. †brigens es ist auch kein Problem, eine unechte Basisstation zu bauen, die nur Challenges aussendet um so an die SchlŸssel mehrerer Mobiltelefonen zu kommen. Bei Motorola Telefonen kann man sogar recht einfach die Software Šndern und so aus einem Berichte vom 15. Chaos Communication handelsŸblichen Telefon und mit ein wenig krimineller Energie eine unechte Basisstation bauen. Dies ist mšglich, da sich die Basisstation nicht authentiÞzieren mu§, sondern nur das Telefon. Andreas ist davon Ÿberzeugt, da§ die GSM Standards absichtlich so niedrig gehalten wurden. So werden beispielsweise nur die Daten zwischen Handy und Basisstation mit A5 verschlŸsselt, aber nicht zwischen der Basisstation und dem Netz an sich, wo Funkstrecken benutzt werden. (Richtfunkstrecken). Wenn man sich in einem anderen Netz beÞndet (Ausland), dann werden vom Heimnetz an das Roamingnetz fŸnf Tripplets aus RAND, SRES und KI geschickt aber nur eins davon benutzt. Die restlichen kšnnte theoretisch ein anderer benutzen, um so ohne eigene Selbstkosten zu telefonieren. Die von den Netzbetreibern verbreitete Legende, da§ man sich nicht mit der selben SIM mehrmals in ein Netz einloggen kann, ist nicht wahr. Um GesprŠche abzuhšren genŸgt Ÿbrigens A8, A3 und COMP128. A5 mu§ man nicht unbedingt kennen. Aber nicht nur das GSM-Netz an sich, sondern auch viele Telefone haben Schwachstellen oder ausgeschaltete Features, die man in einem Servicemode aktivieren kann. Durch diesen Servicemode kann man aus seinem Billighandy manchmal ein "Top the line" GerŠt machen. Weitere Informationen zum Thema sind das im Hansa-Verlag erschienene "Handbuch der Chipkartentechnik" von Ranke und EfÞng ISBN 3-496-18893-2 ISO 7816 fŸr Chipkarten an sich der GSM Standard 11.11 [2]http://www.efri.fr/ und das Programm Serprog von Tron, das (wie auch Wafercards) im Archiv zu Þnden ist. References 1. http://www.etsi.fr/ 2. http://www.efri.fr/ Vortrag: Andreas Bohk, Lucky Green, Janus , Bericht: Dirk Steinhauer Linux Cluster Der Vortrag hŠlt sich nicht an allgemeine Cluster mit Linux, sondern an den Paderborner Linux Cluster vom 5/6.12.98 (die spannende FernsehŸbertragung haben sich ja einige angetan ;-) ) Die Referenten haben leider gestern erst von ihrem Vortrag erfahren und konnten deshalb nur unvorbereitet in den Workshop gehen. Die Idee zu einem Linuxcluster kam Ÿber eine Mailingliste Anfang Oktober auf. Sie wurde zunŠchst ausdiskutiert und fŸr nicht realisierbar gehalten. Einige wagten es doch (NŸrnberger Linux Group); es wurde ein Datum gesetzt und man machte sich an die Arbeit. Nach einem Aufruf meldeten sich eine Menge Leute, von denen 120 ausgeÞltert wurden, was nicht ganz einfach war. Es bildeten sich Arbeitsgruppen fŸr Software, Hardware und Orga. FŸr das Projekt gab es einige Probleme: 1. Beschaffung der Hardware, was sich dank Sponsoren als nicht so schwierig erwies (siehe dazu auch die Cluster Sites) 2. Erstellung einer Distribution Es wurde ein Debian System verwendet welches aus eine Diskette pa§t und sich via NFS installiert. Die Diskette enthŠlt einen Kernel (2.0x) und alle Module fŸr Netzkarten. Die Installation beschŠdigt nicht das vorhanden Datei/Betriebsystem, sondern benštigt nur 20Mbyte auf der Festplatte, bei genug RAM (>128Mbyte) ist auch eine RAMdisk mšglich. 3. Software: Es gibt eigentlich keine freie Software, die das Cluster nutzt, ohne soviel NetztrafÞc zu verursachen, da§ es sich lohnt. So wurde ein Lastverteiler geschrieben, der diese Aufgabe Ÿbernimmt. Als Anwendung kam der POV Raytracer zum Einsatz mit dem mehrere Filme erzeugt wurden (siehe den unten genannten ftp Server). Die genau Plazierun unter den Top 500 Rechnern, eine Liste der leistungsfŠhigsten Gro§rechner der Welt, ist noch nicht ganz klar, liegt aber so um Platz 250, genaueres aber unter Frühjahr 1999 Die Datenschleuder #66 Congress 27.-29.12.1998 in Berlin http://www.top500.org/. Für alle die sich, noch mehr mit Thema beschäftigen wollen siehe die unten ausgeführten Links: http://www.linux-magazin.de/cluster/#links (www - Seiten zu dem Linux Cluster) http://www.heise.de/ix/artikel/1999/01/010/ ftp://move.mediaways.net/pub/cluster/filme/ (verwendete Software sowie entstandene Filme) Eine komplette Liste zu dem Cluster ist noch im Aufbau http://www.linux-cluster.org/ Die zur Zeit kompletteste Seite zum Cluster http://www.linux-magazin.de/cluster/ andere Projekte die sich mit dem Thema beschäftigen: http://cnls.lanl.gov/avalon/avalon_bell98/avalon_be ll98.html http://www.th.physik.uni-frankfurt.de/linux/ http://www.cond-mat.physik.unimainz.de/~benneman/Linux_Cluster.html gute Zusammenfassung zu Cluster liefert: http://www.xss.co.at/vortrag.html Vortrag: Ernst Lehman, Florian Lohhoff Kostenvorstellungen bekannt und es wird auch schwierig sein, den Umfang der Kosten zu erfassen. Offenbar basiert ein gro§er Teil eingesetzter Software (OS-unabhŠngig), bei Zeitraumbestimmung auf DatumsgestŸtzen, betroffenen Standardroutinen, wodurch prinzipiell jeder Computer irgendwie betroffen ist. In Deutschland besitzt dieses Problem auf politischer Ebene offenbar wenig Relevanz. Laut BSI ist das Y2k-Problem "kein ITSicherheitsproblem", was nach einer Versuchsanordnung zum Test einer Y2kGefŠhrdung eines Fahrzeugherstellers wŠhrend seiner Betriebsferien eher zweifelhaft scheint. Bei diesem Test nŠmlich reagierte das Sicherheitssystem des Herstellers auf die nach Testbeginn sofort abgelaufenen ZugangsChipkarten, um ausnahmslos alle BeschŠftigten auszuschlie§en und dann pßichtbewu§t die Polizei zu verstŠndigen. Die Firma benštigte 3 Wochen um den entstandenen Schaden zu beheben und seine Anlagen wieder hochzufahren. Year 2000 Chaos In den USA sieht das ganze etwas anders aus, dort wird Aktiengesellschaften per Gesetz vorgeschrieben, den eigenen Y2k-Stand aktuell zu veršffentlichen. Nix genaues wei§ man nicht. Wo liegt eigentlich das Problem im Y2k-Chaos (Y=year, 2=2, k=kilo ... also y2k=year 2000)? FŸr weitere Infos sei hier verwiesen an: news: comp.riscs http://www.border.org, IX Dezember 1998 im Heise Verlag und Spiegel 43/98 Probleme tauchen hier dadurch auf, wenn z.B. Datenbanken sich selbst Ÿberschreiben, da in ihnen verwendete Felder mit Datumserweiterung gespeichert werden und also aus 31.12.99 (+1) dann ein 31.12.100 oder gar ein 31.13.99 wird. Desweiteren kšnnen sich langfristig relevante Daten in Bezug auf Geburtsdaten drastisch Šndern. Die Problemlšsungen werden Geld kosten und da praktisch alle Menschen betroffen sind (zumindest alle nicht 100%igen Alleinversorger), werden auch alle bezahlen mŸssen. Derzeit sind noch keine Als Lšsung des Problems wurde vom Workshop folgendes erarbeitet: - Techno-Verzicht Bšrsenspekulation - dreiwšchige CCC-Party Fragestellung, welches OS sollte nach dem Crash wieder hochgefahren werden? Bericht: Frank Stange Die Datenschleuder #66 Frühjahr 1999 Vortrag: Doobee R. Tzeck drt.ailes.com Bericht: Jan Manuel Tosses Sommer? Sonne? Fragezeichen? Am Anfang stand eine kryptische Nachricht aus dem All. Die intergalaktische Kontaktgruppe des CCC empfing sie vor einiger Zeit und entschlüsselte sie als bald als Hilferuf des Raumschiffs „Herz Aus Gold“. Ein technisches Problem macht eine dringende Reparatur unter Gravitationsbedingungen nötig. Flugs wurde ein Termin vereinbart und im Sommer dieses Jahres erwarten wir die intergalaktische Crew des außergewöhnlichen Raumschiffes auf dem Planeten Erde. A ls Alternative zum dunklen Wintertermin zwischen Weihnachten und Neujahr lŠdt der Club in diesem Jahr zu einer Veranstaltung unter freiem Himmel: dem Chaos Communication Camp. Alle Hacker sind eingeladen, sich an den Rekonstruktionsma§nahmen zu beteiligen. Mit anderen Worten: Hackerzeltlager im Sonnenschein. In entspannter AtmosphŠre bieten wir Strom und Internetanschlu§ fŸr jedes Zelt, Raum fŸr Workshops, ein Hackcenter, Themenzelte, Infrastruktur zum †berleben, einen See zum Baden und alle anderen Annehmlichkeiten, die ein Hacker in freier Wildbahn so braucht inclusive Essen und GetrŠnken. Inhaltlich wird das Camp von dezentraler AktivitŠt geprŠgt sein. Neben einem gro§en Hackcenter-Zelt werden kleinere Zelte bestimmte Themen fokussieren: Kryptographie, Free Software, Lockpicking, Chipkarten und Musik. Zwei Workshopzelte bieten Raum fŸr VortrŠge, Diskussionen und allgemeinen Diskurs. Das Camp Þndet vom 6.Ð8. August 1999 auf einem GelŠnde in der NŠhe von Berlin statt. Als Teilnehmerentgelt steht der Erwerb einer Freiwilligen-Karte (EUR 77, DEM 150 inkl. MwSt) oder ein Business/Government-Ticket (EUR 777, DEM 1500 zzgl. MwSt.) zur Auswahl. Letzteres kommt mit einer fein absetzbaren Rechnung daher. Wir hoffen mit dem Preis einen guten Mittelweg zwischen der notwendigen Deckung der enormen Kosten einer solchen Veranstaltung und dem fŸr einen dreitŠgigen Urlaub zumutbaren Entgelt gefunden zu haben. Weitere Details zum Platz, Anfahrt, Reservierungen usw. in bŠlde auf der Website. Jede Form der UnterstŸtzung ist willkommen. Wir kšnnen alles gebrauchen: Hardware, Personal, Frewillige zum Aufbau, DurchfŸhrung und Abbau der Veranstaltung sowie Spenden und/oder Leihstellungen von sonstigen Infrastruktur und alles, was Euch noch so einfŠllt. Wir hoffen natŸrlich auf eine rege und kreative Teilnahme. Wer ein Projekt auf dem Camp realisieren mšchte oder sonstige Fragen zur Unternehmung hat, sollte sich schleunigst mit der Orgacrew (crew@camp.ccc.de) in Verbindung setzen. tim@ccc.de Frühjahr 1999 Die Datenschleuder #66 Termine Grober Terminkalender 1999 6.-8. August 1999 Chaos Communication Camp, siehe http://www.ccc.de/camp 27.-29. Dezember 1999 Chaos Communication Congress, siehe http://www.ccc.de/congress 31. Dezember 1999 derzeit noch unklar; zentrale oder dezentrale Beobachtung und Verarbeitung der y2k-probleme ? Weltuntergangsvernetzung ? Imanentisierung des Eschatons ? Flucht aufs Land ? Meanwhile... Chaos Bildungswerk Hamburg: Siehe http://www.hamburg.ccc.de/Workshops/index.html Do, 06.05.1999 19.30 h Lambda, Continuations und Beweisbarkeit - EinfŸhrung i.d. Programmiersprache Scheme Do, 13.05.1999 19.30 h TCP/IP Do, 20.05.1999 19.30 h DNS, Nameserver, Domain Registration - Rechnernamen im Internet Do, 27.05.1999 19.30 h Perl Die Datenschleuder #64 Herbst 1998 Bestellungen, MitgliedsantrŠge und Adre§Šnderungen bitte senden an: CCC e.V., Lokstedter Weg 72 D-20251 Hamburg Adre§Šnderungen auch per Mail an ofÞce@ccc.de Der Mitgliedsfetzen o Satzung + Mitgliedsantrag (DM 5,00 in Briefmarken) Mitgliedsanträge und Datenschleuderabonnement Literatur o Datenschleuder-Abo Normalpreis DM 60,00 für 8 Ausgaben DM DM DM DM DM DM DM DM DM Sonstiges _____ _____ _____ _____ _____ _____ _____ _____ _____ 50,00 15,00 15,00 15,00 15,00 15,00 15,00 15,00 15,00 Deutsches PGP-Handbuch, 3. Auflage + CD- Datenschleudern der Jahre 1984-1989 Datenschleudern des Jahres 1990 Datenschleudern des Jahres 1991 Datenschleudern des Jahres 1992 Datenschleudern des Jahres 1993 Datenschleudern des Jahres 1994 Datenschleudern des Jahres 1995 Datenschleudern des Jahres 1996 Datenschleudern des Jahres 1997 Doku zum Tod des „KGB“-Hackers Karl Koch Congressdokumentation CCC ‘93 Congressdokumentation CCC ‘95 Congressdokumentation CCC ‘97 Lockpicking: Über das Öffnen von Alle Alle Alle Alle Alle Alle Alle Alle Alle Alte Datenschleudern _____ DM 29,80 ROM _____ DM 5,00 _____ DM 25,00 _____ DM 25,00 _____ DM 25,00 _____ DM 50,00 Schlössern o Datenschleuder-Abo Ermäßigter Preis DM 30,00 für 8 Ausgaben o Datenschleuder-Abo Gewerblicher Preis DM 100,00 für 8 Ausgaben (Wir schicken eine Rechnung) Die Kohle liegt o als Verrechnungsscheck o in Briefmarken bei bzw. o wurde überwiesen am ___.___.______ auf Chaos Computer Club e.V., Konto 59 90 90-201 Postbank Hamburg, BLZ 200 100 20 5,00 Portopauschale! _____ DM 50,00 Blaue Töne / P O C S A G - D e c o d e r / P C - D E S Verschlüsselung 5,00 1 Bogen „Chaos im Äther“ 5,00 5 Aufkleber „Kabelsalat ist gesund“ _____ DM _____ DM + DM _____ Gesamtbetrag Die Kohle liegt o als Verrechnungsscheck (bevorzugt) o in Briefnarken bei bzw. o wurde überwiesen am ___.___.______ auf Chaos Computer Club e.V., Konto 59 90 90-201 Postbank Hamburg, BLZ 200 100 20 Name ______________________________________________ Frühjahr 1999 Die Datenschleuder #66 Ort/Datum ________________________________________ Unterschrift ________________________________________ Name _______________________________________ Straße _______________________________________ PLZ, Ort _______________________________________ Tel/Fax _______________________________________ Der Bestellfetzen