Das ganze ist im Grunde eine große Messe mit drei Vorlesungsräumen und den gewohnten Ständen von Firmen und Partnern. Das große Thema ist natürlich die Security, aber in diesem Zusammenhang mehr im Bezug auf Unternehmen bzw Reseller und demnach natürlich auch eher auf Defense – also kein Vergleich zur Blackhat oder CCC ;)

Dennoch wird es auch einige Vorträge geben, die die Hintergrundinfos aufbereiten sollen, allerdings wird das eher im Hintergrund stehen. Viel bedeutender sind Schutzmaßnahmen für wichtige Konzepte: CloudComputing, Virtualisierung, Kommunikation, unternehmensweite Sicherheitskonzepte, Mobile und so weiter. Das wird bei vielen von euch sicher “lame” klingen, aber wie sagt man so schön: “Kenne deinen Feind” ;)

Aber auch sonst wird es denke ich mal recht interessant, denn dort wird auch sicher viel über “neue” Technologien und Konzepte geredet werden und gerade, wenn man die Gegenseite kennt, ist es sicher auch mal spannend zu hören, was die Securityfirmen so alles unternehmen wollen – und auf was sie eventuell gar nicht richtig eingehen.

Es gibt 4 dieser Kongresse, jeweils in anderen Städten, aber mit denselben Vorträgen:

16.09.2010 Frankfurt/Hanau
21.09.2010 Hamburg
23.09.2010 Düsseldorf/Neuss
28.09.2010 München

Hier den Flyer mit netten Nebentexten und dem Programm: amiando.com
Mirror: buntspecht.us

Der Preis für normale Tickets beträgt stolze 289€, aber es gibt verschiedene Möglichkeiten, das billiger oder gar kostenlos zu bekommen.

Ich persönlich werde nach München fahren. Ich würde mich freuen, dort vielleicht ein bekanntes Gesicht zu treffen, auch wenn’s natürlich recht unwahrscheinlich ist ;)

Die betroffene Datei ist die Win32k.sys, ein Gerätetreiber. Dort liegt die anfällige Funktion CreateDIBPalette(), die durch eine große Anzahl von Farbwerten, die in einen bestimmten Buffer geschrieben werden, exploitet werden kann, um Schadcode ausführen zu können.
Noch ist nicht sicher, ob aktuelle Versionen wie Windows 7 und Server 2008R2 ebenfalls direkt betroffen sind, da dort wesentlich mehr Schutzmaßnahmen verbaut wurden (wie zB ASLR und DEP (Datenausführungsverhinderung)).

Ein PoC ist ebenfalls schon aufgetaucht, welches ihr hier begutachten könnt.
Den gesamten Originalartikel findet ihr hier.

Ich bin derweil mal gespannt, inwieweit sich diese Lücke auswirken wird und ob die aktuellen Win-Versionen ebenfalls betroffen sind. Wie ja schon bekannt wurde, sollen am nächsten Patchday (Dienstag) rekordverdächtige 14 Updates für MS-Produkte rausgebracht werden, aber dass kurz davor eine potenziell recht gefährliche Lücke auftaucht, ist natürlich wirklich ätzend – für die Leute aus Redmond ;)

Was einzelne Staaten oder Staatenbünde dagegen vornehmen können, ist ein Thema für sich, welches enorm weit gefächert ist und nahezu alle Bereiche des öffentlichen Lebens abdeckt. In diesem Blogpost jedoch würde ich gerne mit euch darüber nachdenken, was für einen Sinn es haben könnte, eine Art Genfer Konvention für solche Cyberkriege aufzustellen. Dabei berufe ich mich auf einen tecchannel-Artikel, in dem ein ehemaliger CIA-Chef genau so etwas fordert.

Dieser schlägt vor, dass gewisse Praktiken der virtuellen zwischenstaatlichen Konflikte verboten und geahndet werden können. Explizit nennt er dabei die Verwendung von (D)DoS und Angriffe auf die zivile Infrastruktur wie z.B. Stromnetze oder Netzwerke der Finanzbranche. Interessant ist, dass er solche Angriffe mit der Verwendung von Chemiewaffen auf eine Ebene stellt.

Beim Lesen habe ich mich mehrfach gefragt, wofür denn ein internationales Abkommen dieser Art gut sein soll bzw. ob es überhaupt irgendeine Wirkung haben kann.
Zuerst sollten wir uns in aller Kürze das Genfer Abkommen anschauen, wie es momentan mit seinen diversen Erweiterungen existiert. Dieses soll den Nutzen haben, beteiligte Militärakteure und Zivilpersonen (auch Soldaten) in einem Konfliktfall schützen. So werden einheitliche Regeln für Militärgefangene, verwundete und kranke Soldaten aufgestellt und Absprachen getroffen, damit die unbeteiligte Zivilbevölkerung geschützt werden kann.

Ein Beispiel dafür sind die Gefangenen in Guantanamo: Diese sind rein rechtlich “ungesetzliche Kombattanten”, haben also von keinem Staat offiziell den Befehl bekommen, Angriffe auf andere Staaten (in diesem Fall die Afghanistan-Streitkräfte) zu verüben. Wären diese mutmaßlichen Talibankämpfer hingegen offizielle Soldaten einen Staates, so hätten die USA noch viel ärgere Probleme, diese Gefangenen unter solchen Bedingungen einzusperren, da diese unter dem Schutz der Genfer Konvention stehen würden.

Weitere zu den Genfer Konventionen gehörende Abkommen ist etwa die Chemiewaffenonvention. Solche Regelwerke sollen den Einsatz von Waffen verbieten, die mehr oder weniger “schmutzig” sind und zudem die Zivilbevölkerung und das Land als solches (zum Beispiel Ackerland/Wälder/Seen und Flüsse) bedrohen.

Genau an sowas lehnt der Vorschlag des Ex-CIA-Chefs an: Er will bestimmte Waffen – also Methoden im Cyberwar – verbieten lassen. Ein Vorteil liegt auf der Hand: Würde diese Konvention weitläufig angenommen werden und auch umgesetzt werden, so würden drohende Cyberkriege wesentlich reglementierter Ablaufen und enorme Schäden an der internationalen Wirtschaft bzw Bevölkerung vermieden – doch dass das reine Träumerei ist, muss ich sicher nicht erwähnen.

Zum einen ist die Weltbevölkerung viel zu ungebildet in Sachen Cyberwar. Dass eine Bombardierung mit Milzbranderregern ziemlich mies ist und flächendeckenden Schaden anrichten kann, wird sich jeder denken können, spätestens nach 10 Zeilen Zeitungsartikel. Doch dass ein weitflächiger DDoS auf Finanzsysteme (etwa Börsen) oder gar die Infrastruktur (Verkehr, Strom, Flughäfen/Bahnen etc) so bedrohlich wirken könnte, geht sicher nicht jedem so leicht in den Kopf. Und wir wissen, wie das läuft: Im Endeffekt unterschreiben Politiker solche Abkommen, und die sind in solchen Dingen selten weiter informiert als der Durchschnittliche regelmäßige Internetnutzer.

Zum anderen bezweifle ich stark, dass sich so eine Konvention letzendlich durchsetzen kann. Meines Wissens nach wurden alle Cyberwar-ähnliche Angriffe, die oft zusammen mit militärischen Angriffen durchgeführt wurden, von den ausführenden Staaten als Aktionen nicht-staatlichen Personen bezeichnet, mit denen sie nichts zu tun hätten. Wer’s glaubt, wird seelig, doch wie beweist man so etwas? Wer von wo atomwaffenfähiges Material bekommt, das kann heutzutage sehr genau nachgeprüft und überwacht werden, doch in solchen Fällen liegt die Sachlage wesentlich schlechter. Durch die Offenheit des Internets gelangt jeder Staat bzw von ihm beauftragte Personen und Organisationen an die benötigten Mittel, um einen Angriff über das Internet vollziehen zu können – und begabte “Hacker” gibt es überall.

Schaden würde es sicher nicht, aber der Nutzen wäre verglichen mit den Kosten der Aushandlung, dem Zeitaufwand und dem bürokratischen Kleinkram sicher in der nächsten Zeit nicht allzu hoch. Andererseits lieber jetzt solche Konventionen ausarbeiten, bevor in ein paar Jahren die Cyberwarpraktiken innerhalb der Staaten so beliebt sind, dass man ungern auf sie verzichten möchte. Zudem würde es ein paar Staaten brauchen, die politischen Druck auf die anderen Staaten ausüben könnten, etwa im Rahmen der UN bzw des Sicherheitsrates. Doch ohne USA, China und Russland kann ich mir einen solchen Vorstoß nicht wirklich vorstellen…

Meiner Meinung nach würde ein solches Konzept an der Undurchführbarkeit scheitern:

1.) Wird es an staatlichen Institutionen fehlen, um die Einhaltung dieser Abkommen zu überprüfen und
2.) wäre die Nachweisbarkeit enorm erschwert, dass es wirklich ein Staat war, der einen Cyberwar-Angriff beauftragt hat.
3.) Fehlt es momentan sicher vielen Staaten an der Motivation, ein solches Abkommen in die Wege zu leiten

Was meint ihr zu diesem Thema? Haltet ihr eine solche Konvention für sinnvoll oder absoluten Schwachsinn? Wie könnte er realisiert werden? Und hätte er eine reale Chance, eingehalten zu werden?

Ich war es leid, an dem schlecht gecodeten alten Theme immer wieder Bugs ausbügeln zu müssen und nicht zuletzt habe ich mich persönlich satt gesehen. Das neue Theme ist aber vom gleichen Coder (Arcsin) und schon auf den ersten Blick wesentlich ausgeklügelter und erweiterungsfähiger für persönliche Anpassungen.

Ein paar Kleinigkeiten gefallen mir noch nicht so wirklich, aber die werden in den nächsten Tagen und Stunden ausgebessert. Solltet ihr Bugs und Verbesserungsvorschläge haben, so teilt mir diese doch bitte mit – Kontaktmöglichkeiten stehen ja da oben.

Ein Dank geht noch an Schattenbaum, er hat mir quasi die Augen bei einem blöden Fehler geöffnet ;)

Doch weit gefehlt, du Dummerchen! Das tolle am E-Postbrief ist, dass das ganze totaaal sicher ist und deine Privatsphäre schützt! Weiterhin verspricht dir die Post, dass du damit den herkömmlichen Brief komplett ersetzten kannst, also dass diese Briefe auch rechtverbindlich sein können – normalerweise musstest du die meisten Vertäge per Unterschrift besiegeln, was bisher nur per Post oder Fax ging, doch ab jetzt kannst du das (angeblich) auch per Mail inkl digitaler Unterschrift. Klasse, oder?

Und weil sich zuvor jeder erst mit Ausweis anmelden muss, wird dein Postfach natürlich auch nicht vollgespammt werden können, weder von pöhsen Spamkiddies noch von umsatzgeilen Unternehmen. Toll, oder?

Ihr mögt an meiner Schreibweise erkennen, dass natürlich längst nicht alles so heile Welt ist, wie es uns die Deutsche Post vormachen will. Den Verdacht hatte ich persönlich schon bei dem Propaganda Werbeheftchen, bestätigt wurde er jedoch entgültig, als ich auf den tollen lawblog.de gestoßen bin, den ich euch auch weiterhin ans Herz legen will. Dort wird in dem Beitrag “Der supertolle E-Postbrief” auf den gutjahr.biz-Blog gelinkt, wo der Betreiber von lawblog, ein Kollege von ihm und der namensgebende Richard Gutjahr sich hier mal die AGB genauer angeschaut haben:

“Die Deutsche Post bringt das Briefgeheimnis ins Internet”, das verspricht die Deutsche Post AG mit ihrem neuen E-Postbrief. Kompliziert, teuer, nicht besonders sicher, so ein erstes knallhartes Urteil der Stiftung Warentest. Doch es kommt noch schlimmer. Mit den beiden Rechtsanwälten Udo Vetter und Thomas Stadler habe ich mir mal das Kleingedruckte vorgenommen. Soviel vorweg: bei manchen Passagen geht richtig die Post ab.

Ich kann euch nur eindringlich darum bitten, diesen Beitrag genau durchzulesen! Es handelt sich dabei nicht um eine fixe Schnapsidee, sondern eventuell im schlimmsten Fall um das offizielle Kommunikationsmedium von morgen. Auch solltet ihr über die rechtlichen Begebenheiten Bescheid wissen, die euch auch betreffen könnten!

Für alle, die meinen, für sowas doch zu wenig Zeit zu haben oder erstmal einen Anreger brauchen, hier das Video von den beiden – Anschauen lohnt sich defintiv!

Nachtrag:

Quasi gleichzeitig zu meinem Beitrag hat heise.de dazu etwas verfasst. Dort wird auch auf den gutjahr.biz-Blog verwiesen, doch das ganze ist noch etwas detaillierter beschrieben.

Das Organisatorische

Die Festivaltage waren der 17. und 18. Juli, Campen konnte man aber von Freitag bis Montag. Gekostet hat’s mich 69€ für die Festivalkarte und um die 12€ für’s Campen, es gab natürlich auch “kleinere” Tickets. Ansonsten war’s wie bei anderen Festivals, es gab zwei Campingplätze, einen großen Parkplatz, Dixi-Klos…ach, so wie immer halt.
Bühnenmäßig gab es einiges an Auswahl. Zum einen ein riesiges, an der Seite offenes Zelt, dann eine Mainstage-Bühne, wie man sie von Rock am Ring etc kennt und eine Seebühne – eine Art Bühnenfläche in dem Tunisee (ein mittelgroßer Baggersee), bei der die Tanzfläche im See war. D.h. man konnte im Wasser stehen und dabei zu guter Musik abgehen – ein sehr geiles Konzept!
Eines ist vielleicht noch wichtig zu sagen: Es wurde bis maximal um 22 Uhr Musik erlaubt, danach war Sense auf dem Festivalgelände (Bühnen etc).

Die Musik

Headliner waren – wie auf dem Flyer erkennbar – eindeutig Paul Kalkbrenner, Fedde Le Grand, Fanta4, 2ManyDJs und 2Raumwohnung.
Leider konnte (und wollte) ich nicht bei allen gleichzeitig da sein, gerade Fanta4 waren für mich nur ein Anlocker für die Leute, die von elektronischer Musik keine Ahnung haben und sich dann auf dem Festival gelangweilt haben. Deswegen hier mal alle DJs, bei denen ich war.

Paul Kalkbrenner:
War natürlich auch als großer Blickfang gedacht, aber bei diesem Herren kann man sich auf Qualität gefasst machen. Das tolle an Paul ist, dass er nicht nur einfach Platten auflegt, sondern als Liveact quasi einen Track komplett neu performen kann (und es auch tut). Ohne viel Fachgelabere: Er macht jeden Track in seinen Sets selbst, also komplett live. Wer sich für die Auflegemethoden von Paul Kalkbrenner interessiert, dem sei dieses Video ans Herz gelegt.

Auf dem Festival war er auch ziemlich gut, hat klasse Laune gemacht und die Leute mit seinen Tracksa mitgerissen. Definitiv empfehlenswert, aber nur, wenn er auch lang genug auflegen darf (1h mindestens!), sonst kann er seinen Flow nicht wirklich rüberbringen.

Stromae:
Dieser Act ist vor allem bekannt durch “Alors on danse”. Auf dem Festival stand er grad mal lächerliche 20min auf der Bühne, hat dafür aber wenigstens selbst gesungen. Mit kleinen Minispielchen hat er ein bisschen Kasperletheater gemacht, aber sonst war’s recht enttäuschend.

Chris Liebing:
Ein Alteingesessener in der EDM-Szene, der wie gewohnt seinen mitreißenden Deep-House-Style gespielt hat. Kurzum: Die Menge war sowas von am Abgehen bei dieser Musik, die einen einfach nur noch so hart wie möglich raven lässt – genial!

Christian Gimbel:
Dieser gute Junge hat genau da angesetzt, wo Liebing aufgehört hat: Bei knallhartem Techno/Deep House. Meiner Meinung nach war er noch ein Stück besser als sein Vor-DJ Chris, aber er hatte nunmal den Vorteil, dass alle schon auf dem Style “eingetanzt” waren.

Lexy & K-Paul:
Die beiden kannte ich schon aus einem Club bei mir in der Nähe, deswegen war ich vorbereitet. Aber das was ich dort gesehen hab, hat nochmal alles übertroffen! Das besondere ist, dass sie neben der Musik auch noch ordentlich Samples reinhauen. Das heißt, dass der gute K-Paul durchgehend Sound reinspamt, die teils witzig, teils enorm partyluststeigernd wirken! Um einen EIndruck zu gewinnen, könnt ihr bei Interesse ja mal auf YT nach einer Liveshow von Lexy & K-Paul schauen.

Also auf dem Festival war’s richtig genial, die beiden machen Stimmung bis zum Abkrachen und haben selbst dabei riesigen Spaß. Unbedingt anschauen!

Fedde Le Grand:
Kam direkt nach Lexy & K-Paul, wo die Menge absolut abgenutzt war. Deswegen war nicht so viel Stimmung da, aber Fedde Le Grand war immer einer, der einfach nur durch seine Musik überzeugen will. Die war größtenteils auch recht gut, wenn auch nach meinem Geschmack nicht überragend.

Fazit

Sea of Love war bisher mein bestes Festival, was auch an der höchst unterhaltsamen Gruppe lag, mit der ich gefahren bin. Doch auch die Musik war richtig fett, auch wenn die Organisation der Betreiber eher weniger gut war. Es gab einfach ein paar Punkte, die recht ärgerlich waren, doch die Betreiber haben schon zwei Tage danach angekündigt, dass sie die Fehler kennen und beheben werden, weil es eben ein recht junges Festival ist.

Wenn ich nächstes Jahr Zeit und Geld hab und nichts anderes dazwischen kommt, werd ich auf jeden Fall wieder hinfahren – und würd mich freuen, auch ein paar von euch irgendwo in der Menge treffen zu können ;)

Wie auch immer, ich bin froh, endlich mal wieder im eigenen, sicheren und stabilen nicht-öko-Internet online sein zu können.
Momentan wohne ich in einer kleinen 2er WG mit mickriger Küche und winzigem Bad (jeweils ohne Fenster), habe aber ein recht angenehmes Zimmer mit wunderschöner Aussicht auf eine Baustelle. Möbeltechnisch stehe ich momentan noch auf dem Niveau vom Winter 1945 (Ein Bett, sonst lebe ich aus Kartons), aber das wird sich hoffentlich bald mit einem Besuch im nächstbesten Ikea ändern.

In den nächsten Tage gibt’s unter anderem ein Review zu dem Festival “Sea of Love” bei Freiburg und vielleicht noch was in Richtung philosophisches depressives Gelabere.

Ich wünsch euch was!

Nunja, Volkszählungen gab es schon öfters und sie haben ja auch einen gewissen Sinn, allein für statistische Zwecke, die wiederum z.B. für Änderungen im Bundeshaushalt eine Basis darstellen.

Doch wie man auf zensus11.de nachlesen kann, geht diese Volkszählung weit über die EU-Richtlinien hinaus und fügt einige höchst bedenkenswerten Details hinzu. So werden zum Beispiel ein Viertel bis ein Drittel aller in Deutschland ansässigen Personen zu einer Zwangsbefragung aufgefordert und es werden auch Daten von Meldeämtern und anderer Behörden hinzugezogen. Damit geht in meinen Augen (ich habe das Gesetz allerdings noch nicht durchgelesen) diese Volkszählung weit über den eigentlichen Sinn hinaus, sondern stellt eine Art Riesenstatistik für die komplette deutsche Bevölkerung auf, die alles andere als anonym sein wird.

Die Betreiber dieser Seite haben angekündigt, eine Beschwerde beim Bundesverfassungsgericht einzureichen. Für Möglichkeiten, wie ihr diese Initiative unterstützen könnt, gibt es auf der Page einige Hinweise.

Mein Fazit: In meinen Augen eine ziemlich unnötige Aktion, nicht zuletzt, da sie sicher einige Millionen verschlingen wird, die an anderer Stelle sinnvoller zu gebrauchen wäre.

Dabei ziehe ich mich – wie es sich für ein Naturtier wie mich gehört – in eine ruhige Gegend irgendwo zwischen urigen Dörfer zurück, lausche dem Plätschern des nahen Flusses, wandere fliege durch die Umgebung und genieße die frische Luft.

Also ganz nach dem Motto Bunti goes nature wünsch ich euch angenehme und erholsame Tage! Lasst das Carders.cc-Thema bitte endlich hinter euch und genießt das schöne Wetter – es lohnt sich! ;)

(mich als Naturmensch ausgeben – done)