1
00:00:01,010 --> 00:00:08,365
*Vorspann-Musik*

2
00:00:09,305 --> 00:00:11,450
Engel: Ich freue mich besonders

3
00:00:11,450 --> 00:00:14,060
meinen Freund ruedi hier zu präsentieren,

4
00:00:14,060 --> 00:00:16,429
den vielleicht der eine oder andere 
Mensch von euch

5
00:00:16,429 --> 00:00:18,380
ja schon mal auf so 'ner Bühne gesehen hat.

6
00:00:18,380 --> 00:00:21,480
Ich hab den ruedi kennengelernt
bei einem Vortrag,

7
00:00:21,480 --> 00:00:23,089
da kam ein Tiername drin vor,

8
00:00:23,089 --> 00:00:26,109
und vielleicht kennt den noch jemand,
diesen Tiernamen, und zwar

9
00:00:26,109 --> 00:00:28,230
ist der hei… heißen diese Tiere
Longhorn.

10
00:00:28,230 --> 00:00:32,529
Kann sich noch jemand daran erinnern? Ne?

11
00:00:32,529 --> 00:00:36,510
Da hat der ruedi aufm Camp
einen Vortrag drüber gehalten,

12
00:00:36,510 --> 00:00:39,810
ein Jahr später hat Microsoft
das Produkt eingestellt.

13
00:00:39,810 --> 00:00:43,309
*Lachen*

14
00:00:43,309 --> 00:00:48,740
*Applaus*
Danke ruedi!

15
00:00:48,740 --> 00:00:53,010
Es war leider ein Pyrrhussieg;
sie haben dann Vista daraus gemacht.

16
00:00:53,010 --> 00:00:56,789
Aber… ok. Für die, die's nicht wissen,

17
00:00:56,789 --> 00:01:02,260
- Einwurf von außen - 
Engel: …geht? Ja. Ok.

18
00:01:02,260 --> 00:01:03,819
Rüdiger Weis…

19
00:01:03,819 --> 00:01:06,830
- ruedi: Habt ihr den Monitor aus
oder ich den Monitor… ah, alles in Ordnung, gut.

20
00:01:06,830 --> 00:01:09,030
Engel: Sollen wir improvisieren? 
ruedi: Nein.

21
00:01:09,030 --> 00:01:10,920
Engel: Achso. Das gehört nicht zum Vortrag.

22
00:01:10,920 --> 00:01:13,610
ruedi: Gehört nicht zum Vortrag.
Engel: Gehört nicht zum Vortrag.

23
00:01:13,610 --> 00:01:16,490
Engel: Rüdiger Weis, Professor für Krypto…

24
00:01:16,490 --> 00:01:18,700
was soll ich noch über dich sagen…

25
00:01:18,700 --> 00:01:21,779
begeisterter Vortragender. 
Ich geh jetzt von der Bühne,

26
00:01:21,779 --> 00:01:24,660
ok, vielen Dank.
ruedi: Ok.

27
00:01:24,660 --> 00:01:28,380
*Applaus*

28
00:01:29,509 --> 00:01:33,240
Herzlichen Dank, und wie ich von meinem Freund
Markus Beckedahl gelernt habe,

29
00:01:33,240 --> 00:01:35,130
auch einen wunderschönen guten Morgen,

30
00:01:35,130 --> 00:01:39,020
einen Gruß, der hier glaub ich bei allen
Sachen passt,

31
00:01:39,020 --> 00:01:40,560
und Elmar hat ja schon erzählt,

32
00:01:40,560 --> 00:01:43,770
dass das ne ziemlich lange Geschichte ist,

33
00:01:43,770 --> 00:01:49,340
und ich musste dann auch wirklich grinsen,
dass ich irgendwie in einigen Bereichen

34
00:01:49,340 --> 00:01:53,869
offensichtlich in einer Zeitschleife
steckengeblieben bin.

35
00:01:53,869 --> 00:01:59,450
Ganz zentral wird der Punkt sein, dass ein
Großteil der Kryptokatastrophen die wir haben

36
00:01:59,450 --> 00:02:05,170
wirklich Kryptozombies sind die seit etwa
20 Jahren ihr Unwesen treiben,

37
00:02:05,170 --> 00:02:09,810
die seit 20 Jahren ganz klar als
nicht mehr nutzbar bezeichnet werden,

38
00:02:09,810 --> 00:02:15,340
und die heute jetzt von Microsoft
freundlicherweise teilweise ersetzt werden.

39
00:02:15,340 --> 00:02:19,910
Wir werden noch dazu kommen, dass
das leider auch ein nicht nur freundlich

40
00:02:19,910 --> 00:02:22,720
gemeintes Lob darstellt.

41
00:02:22,720 --> 00:02:26,700
Auch der Text zu sagen 
"Haben wir jetzt ein Windows-10-Botnetz

42
00:02:26,700 --> 00:02:29,120
oder ist das noch ne Gated Community?

43
00:02:29,120 --> 00:02:32,650
Will Microsoft schlicht und einfach
ihr eigenes Ökosystem bauen?"

44
00:02:32,650 --> 00:02:35,069
Da ist die Antwort "Ja".

45
00:02:35,069 --> 00:02:39,780
Andererseits, Entschuldigung, ich guck
da immer als Informatiker in die Definition rein,

46
00:02:39,780 --> 00:02:42,180
Botnetz ist ein System wo 
fremde Leute ohne Fragen

47
00:02:42,180 --> 00:02:45,709
Code auf meiner Maschine
ausführen können.

48
00:02:45,709 --> 00:02:51,190
Und das sind genau die Endlizenzer-
bedingungen, die Microsoft im Moment reindrückt.

49
00:02:51,190 --> 00:02:56,900
Und mich haben Leute, die sich damit 
nich beschäftigen, …gedacht, ich nehm' sie hoch,

50
00:02:56,900 --> 00:03:01,989
wo ich gesagt hab: Ja, aber man kann die Updates
nicht verhindern, aber verzögern.

51
00:03:01,989 --> 00:03:04,580
Da guckt er mich erstmal komisch an,
und dann hab ich gesagt: Ja, aber

52
00:03:04,580 --> 00:03:09,420
das kostet relativ viel Geld, wenn man irgendwie
Zeit haben will, um ungefragte Updates

53
00:03:09,420 --> 00:03:11,360
irgendwie zu überprüfen.

54
00:03:11,360 --> 00:03:14,799
Da hat er echt dann angefangen zu lachen
und hat gemeint, ich soll auch

55
00:03:14,799 --> 00:03:19,549
nicht übertreiben und das ist auch irgendwie
ein Eindruck den ich teilweise habe,

56
00:03:19,549 --> 00:03:24,909
wenn man sich die Lizenzen anguckt,
insbesondere die Lizenzen bei der Testversion,

57
00:03:24,909 --> 00:03:29,890
wo Microsoft so außer dem Erstgeborenen
eigentlich alle Rechte gefordert hat,

58
00:03:29,890 --> 00:03:31,720
die man auf Computersystemen vergeben kann.

59
00:03:31,720 --> 00:03:39,440
*Lachen* Und, das ist… 
*Applaus*

60
00:03:39,440 --> 00:03:42,540
…schon ein wenig schräg, muss ich sagen.

61
00:03:42,540 --> 00:03:47,090
Und in meiner hartnäckigen 
Lieblingspublikation c't,

62
00:03:47,090 --> 00:03:50,629
da musste ich auch grinsen,

63
00:03:50,629 --> 00:03:53,629
ist eine Titelstory:
Anderthalb Seiten Beschreibung

64
00:03:53,629 --> 00:03:57,610
wie man das Textadventure des Updates
verhindern kann.

65
00:03:57,610 --> 00:04:03,489
Also es ist kein nötiges Update,
es ist ein nötigendes Update,

66
00:04:03,489 --> 00:04:07,829
so nötigend und so penetrant
dass wenn die Verbraucherverbände

67
00:04:07,829 --> 00:04:10,989
sich darauf stürzen,
und ich weiß nicht,

68
00:04:10,989 --> 00:04:15,769
kam vielleicht mit fortgeschrittenem Alter,
dass man irgendwie ein bisschen Verdacht hat,

69
00:04:15,769 --> 00:04:19,070
wenn irgendjemand sagt,
nimm das, kostet nichts,

70
00:04:19,070 --> 00:04:22,260
kostet wirklich nichts,
und du willst es wirklich nehmen,

71
00:04:22,260 --> 00:04:24,670
ich weiß nicht genau,
also meine Lebenserfahrung

72
00:04:24,670 --> 00:04:27,980
macht mich da immer etwas kritisch,
wenn mir so Leute mit derartigen

73
00:04:27,980 --> 00:04:29,900
Marketingmaßnahmen kommen.

74
00:04:29,900 --> 00:04:35,780
Aber offensichtlich hat Microsoft beschlossen,
dass das eine gute Herangehensweise ist.

75
00:04:35,780 --> 00:04:39,530
Und, um es mal ganz klar zu sagen,
während wir früher diskutiert haben,

76
00:04:39,530 --> 00:04:43,400
ob einige Windows-Probleme missbraucht
werden können,

77
00:04:43,400 --> 00:04:47,980
haben wir es jetzt irgendwie eigentlich
gestempelt, Microsoft entzieht mit Windows 10

78
00:04:47,980 --> 00:04:51,460
den Nutzern weitgehen die Kontrolle über
ihre eigenen Hardware und Software.

79
00:04:51,460 --> 00:04:58,180
Da ist es in der Tat eine Kombination,
dass Microsoft da wirklich auch

80
00:04:58,180 --> 00:05:01,320
diesen Trusted-Computing-Chip, den
man vielleicht auch aus den alten

81
00:05:01,320 --> 00:05:06,740
Zeiten noch kennt, nutzt, um hier eine
zusätzliche Hardware-Verdongelung vorzunehmen,

82
00:05:06,740 --> 00:05:11,780
mit dem Ergebnis, dass praktisch Microsoft
entscheidet ob Systeme sicher sind.

83
00:05:11,780 --> 00:05:17,010
Nun bin ich in der Wissenschaft zuhause,
und da versucht man dann halt auch immer

84
00:05:17,010 --> 00:05:20,440
die anderen Motive zu verstehen. Und
es ist schon durchaus nachvollziehbar

85
00:05:20,440 --> 00:05:24,220
dass Microsoft sagt: Wir patchen das besser
als der Durchschnittsanwender.

86
00:05:24,220 --> 00:05:29,930
Das ist durchaus ne Sache, die
man diskutieren kann, aber

87
00:05:29,930 --> 00:05:32,750
wie immer in der Welt ist es kritisch,
wenn irgendwelche Leute

88
00:05:32,750 --> 00:05:38,090
zu ihrem Glück gezwungen werden sollen,
und sich, das ist was, nicht mehr wehren können.

89
00:05:38,090 --> 00:05:42,080
Also ich hab das wirklich, den c't-Artikel
mir mal irgendwie aus diesem Update-Zyklus

90
00:05:42,080 --> 00:05:46,940
rauskam, mit einigem Amusement gelesen,
und war kurz davor wirklich so eine,

91
00:05:46,940 --> 00:05:50,270
ein Textadventure dazu zu schreiben,
um das mal ein bisschen

92
00:05:50,270 --> 00:05:53,580
nachvollziehbarer zu machen.
Das ist eigentlich keine Art,

93
00:05:53,580 --> 00:06:00,470
wie man mit Endkunden umgeht,
und nochmal, versuchen wir einfach nochmal,

94
00:06:00,470 --> 00:06:04,650
hier in der Webhistorie zurückzugehen.
2002 war die Diskussion

95
00:06:04,650 --> 00:06:07,940
mit dem Trusted-Computing-Chip,
der heute jetzt wirklich

96
00:06:07,940 --> 00:06:12,310
ein zentraler Punkt in dieser
Windows-10-Architektur ist,

97
00:06:12,310 --> 00:06:16,520
war die Stellungname von Ron Rivest,
dem R von RSA,

98
00:06:16,520 --> 00:06:21,850
von 2002, dass es einfach die richtige
Art und Weise, die Sache anzusehen ist,

99
00:06:21,850 --> 00:06:27,490
dass sie hier praktisch ihren personal computer,
ihren persöhnlichen Rechner,

100
00:06:27,490 --> 00:06:31,560
mit einem System tauscht, das
eine Setup-Box ist.

101
00:06:31,560 --> 00:06:35,320
Da wird irgendwie Code ausgeführt,
es ist nicht mehr der persöhnliche Computer,

102
00:06:35,320 --> 00:06:38,680
sondern ich hab ihn irgendwie
von Microsoft scheinbar geleast.

103
00:06:38,680 --> 00:06:43,570
Wer dieses Windows-als-Service-Konzept
ansieht, der wird das auch, sagen wir mal,

104
00:06:43,570 --> 00:06:47,560
schon in dieser betriebswirtschaftlichen
Herangehensweise auch abgebildet sehen.

105
00:06:47,560 --> 00:06:50,130
Das kann man alles angeben,
ist schön und gut,

106
00:06:50,130 --> 00:06:53,250
aber wenn Leute in irgendwas reinzwingt,
ist es kritisch,

107
00:06:53,250 --> 00:06:55,780
und wir sind ja Hacker
und Sicherheitsforscher

108
00:06:55,780 --> 00:06:59,460
und insofern schauen wir uns mal an,
wie sieht das aus?

109
00:06:59,460 --> 00:07:02,380
Wir übergeben jetzt unsere
ganze Sicherheit an Microsoft.

110
00:07:02,380 --> 00:07:05,910
Und die Frage ist:
Können die das?

111
00:07:05,910 --> 00:07:13,330
Und ich hab jetzt die letzten Kongresse
immer irgendwie einen Großteil meiner

112
00:07:13,330 --> 00:07:19,450
Folien mit Microsofts Sicherheitsproblemen,
zum Teil denkenswerterweise zitiert

113
00:07:19,450 --> 00:07:24,110
aus der Heise-Security-Ticker,
damit man was einigermaßen Objektives

114
00:07:24,110 --> 00:07:28,520
jetzt nochmal voransetzt,
und leider haben die wieder

115
00:07:28,520 --> 00:07:34,460
einen großen Teil meiner Folien aufgefressen,
um wirklich aktuelle Probleme zu haben,

116
00:07:34,460 --> 00:07:37,640
die wirklich aus einer anderen Zeit kommen.

117
00:07:37,640 --> 00:07:43,210
Diese Krypto-Zombie-Sache kommt daher,
dass wirklich veralterte Algorithmen drin sind,

118
00:07:43,210 --> 00:07:48,220
wie SHA-1, oder, ein ungeahnter Horror,
der vielleicht,

119
00:07:48,220 --> 00:07:50,850
schön ist vielleicht wirklich ein Kongress,

120
00:07:50,850 --> 00:07:56,970
wo ein beträchtlicher Anteil der Leute
in Jahren geboren ist, wo der Krypto-War,

121
00:07:56,970 --> 00:08:00,270
also die Diskussion ob man Krypto
betreiben kann, schon vorüber war,

122
00:08:00,270 --> 00:08:01,830
oder wir gemeint haben, dass die vorüber,

123
00:08:01,830 --> 00:08:05,970
und die kommen jetzt immer wieder,
und insbesondere sehen wir auch da,

124
00:08:05,970 --> 00:08:09,790
wenn wir Backdoors oder Schwächung einbauen,
dann gefährdet das nicht nur

125
00:08:09,790 --> 00:08:16,130
das aktuelle System, sondern, bissl
hart formuliert, so gut wie alle zukünftigen,

126
00:08:16,130 --> 00:08:21,290
weil dieses Problem der Backward-Compatibility
ist genau das was in diesem Phreak-Attack

127
00:08:21,290 --> 00:08:26,050
irgendwie durchgeführt wurden,
und beim Thema Krypto-Export-Restriction

128
00:08:26,050 --> 00:08:30,900
sei mir auch noch ein Seitenhieb oder
massiver Seitenhieb auf eine andere

129
00:08:30,900 --> 00:08:34,950
Gated-Community-Firma gestattet,
nämlich die Firma Apple, die

130
00:08:34,950 --> 00:08:40,440
wirklich es als gute Idee angesehen hat,
eine App zu sperren,

131
00:08:40,440 --> 00:08:42,570
die aus dem CCC-Umfeld
programmiert wurde,

132
00:08:42,570 --> 00:08:47,490
die anstößige Inhalte präsentiert.
Anstößige Inhalte, habe ich natürlich

133
00:08:47,490 --> 00:08:52,210
als Hacker immer Interesse dran,
und was ich am Anstößigen-Lustigen fand,

134
00:08:52,210 --> 00:08:57,890
war Krypto-Hacking-Export-Restriction.
Ich klick drauf und hab dann wieder so ein

135
00:08:57,890 --> 00:09:02,670
Alt-Internet-Gefühl, dass ich in einer
Zeitschleife da bin, weil das war ein

136
00:09:02,670 --> 00:09:08,360
Vortrag von 1999, der dann von Apple
dazu missbraucht wurde,

137
00:09:08,360 --> 00:09:11,960
als anstößiger Vortrag
für eine Zensur herzuhalten.

138
00:09:11,960 --> 00:09:14,320
Vielleicht um auch mal ganz klar zu sagen,

139
00:09:14,320 --> 00:09:17,130
wenn ich mir die Zensurvorfälle 
von Apple anguck,

140
00:09:17,130 --> 00:09:19,840
ist Microsoft wirklich ein Mitglied
im deutschen Pfadfinderverband.

141
00:09:19,840 --> 00:09:25,310
Das ist wirklich boshaft
an einem Punkt, und nicht nur,

142
00:09:25,310 --> 00:09:29,180
dass ich hier ne Gelegenheit hab,
mal wieder ein Jugendbild von mir aufzulegen,

143
00:09:29,180 --> 00:09:32,920
sondern, *Lachen*
es ist wirklich auch so,

144
00:09:32,920 --> 00:09:37,380
ihr seht, in der Zeit hatten wir nichts,
keine Computer, und keine Beamer,

145
00:09:37,380 --> 00:09:41,530
das ganze, was wir machen mussten,
ist, harmlose Mathematik auf ein Flipboard

146
00:09:41,530 --> 00:09:44,900
zu schreiben mit einem schrecklichen Englisch,
aber ich kann nur Werbung

147
00:09:44,900 --> 00:09:48,270
für den Vortrag machen, den bisher,
bevor Apple sich darum gekümmert hat,

148
00:09:48,270 --> 00:09:52,380
von 280 Leuten in den letzten
15 Jahren angesehen worden ist.

149
00:09:52,380 --> 00:09:55,400
Ich kann da nur Werbung machen.
Selbst das T-Shirt ist lustig, aber

150
00:09:55,400 --> 00:09:58,870
ihr müsst dann schon rauskriegen
was genau da draufgedruckt ist,

151
00:09:58,870 --> 00:10:02,070
aber ich fands damals witzig
und es hat sich niemand drum gekümmert,

152
00:10:02,070 --> 00:10:08,000
aber 15 Jahre später macht sich dann
die größte amerikanische Firma zum Idioten.

153
00:10:08,000 --> 00:10:12,880
Neben dem natürlich gewollten Möglichkeit
Jugendbilder von mir zu präsentieren,

154
00:10:12,880 --> 00:10:15,850
ist das wirklich auch ein Punkt
den man sich mal klar machen muss:

155
00:10:15,850 --> 00:10:19,780
Apple zensiert jetzt harmlose
Diplommathematiker,

156
00:10:19,780 --> 00:10:23,180
die wissenschaftliche Vorträge machen,
nennen das explizit als anrüchige Sache.

157
00:10:23,180 --> 00:10:28,720
Das ist einfach n Ding, wo man sich
irgendwie an den Kopf greift, weil,

158
00:10:28,720 --> 00:10:32,840
kleine Randnotiz, Apple war auch nie
begeistert über die Export-Restriktion.

159
00:10:32,840 --> 00:10:38,170
Was wir auch wieder sehen dass Zensorinnen
und Zensoren schlicht in einfach

160
00:10:38,170 --> 00:10:40,080
in ner bösen Zone sind.

161
00:10:40,080 --> 00:10:43,670
Wenn wir irgendwie anfangen,
irgenwas zu zensieren zu lassen,

162
00:10:43,670 --> 00:10:47,690
ob wir dann irgendwie aus religiösen Gründen
oder pseudo-religiösen Gründen

163
00:10:47,690 --> 00:10:50,290
wie die Kreuzberger Grünen
auf einmal anfangen,

164
00:10:50,290 --> 00:10:55,390
unseren Geschmack allgemeinverantwortlich
zu definieren, anderes zu zensieren,

165
00:10:55,390 --> 00:10:59,170
ist man auf einer Rutsche nach unten,
die nicht aufhaltbar sind,

166
00:10:59,170 --> 00:11:03,000
und diese Leute, die Zensur betreiben,
sollen sich nicht wundern,

167
00:11:03,000 --> 00:11:05,250
dass sie dann nicht nur von den
üblichen Verdächtigen, sondern auch

168
00:11:05,250 --> 00:11:09,120
von der Hackerszene mit entsprechendem
Hohn und Spott bearbeitet werden.

169
00:11:09,120 --> 00:11:11,680
Das sollten wir auch weiterhin tun.

170
00:11:11,680 --> 00:11:18,290
*Applaus*

171
00:11:18,290 --> 00:11:20,650
Aber zurück zur Technik.

172
00:11:20,650 --> 00:11:23,000
Also die Phreak-Attacke
ist schlicht und einfach

173
00:11:23,000 --> 00:11:27,890
ein Rollback zur der alten Sicherheitsproblem
und Microsoft hat das schnell erkannt

174
00:11:27,890 --> 00:11:31,740
und hat gesagt, ok, Update kriegen wir
nicht so hin, aber wir präsentieren

175
00:11:31,740 --> 00:11:34,270
einen Work-around, der
das System sicherer macht.

176
00:11:34,270 --> 00:11:36,130
Was passierte dann?

177
00:11:36,130 --> 00:11:38,730
Naja, es wurde runtergeladen.
Das Problem war, dann ging erstmal

178
00:11:38,730 --> 00:11:41,910
so gut wie nichts mehr.
Also, nach dem Herunterladen

179
00:11:41,910 --> 00:11:44,790
konnte man keine weiteren Updates
irgendwie vernünftig machen,

180
00:11:44,790 --> 00:11:51,850
das war am, nicht am 6., sondern am 7…
Am 13. wurd's aber dann so, dass

181
00:11:51,850 --> 00:11:56,300
ich es immer nimmer weniger lustig fand,
weil, das Problem ist,

182
00:11:56,300 --> 00:12:00,990
Microsoft war dann auch schon dabei,
wenn sie sowieso problematische

183
00:12:00,990 --> 00:12:04,980
Altkryptografie rausschmeißen wollen,
dass sie auch SHA-1 rausschmeißen wollen.

184
00:12:04,980 --> 00:12:07,820
Nach nur 20 Jahren ne gute Entscheidung.

185
00:12:07,820 --> 00:12:12,160
Selbst bei diesem Versuch sind sie dann
hergegangen und haben einfach dann

186
00:12:12,160 --> 00:12:16,110
auch die Dualboot-Einstellung
für Linux zerschossen,

187
00:12:16,110 --> 00:12:22,110
mit dem Ergebnis, das also Systeme, die, 
ja, irgendwie ordentliche Linuxsysteme haben

188
00:12:22,110 --> 00:12:27,050
dann von der Parallelinstallation von Windows
zerschossen werden.

189
00:12:27,050 --> 00:12:29,930
Also, die Sache bootet nicht, 
einfach nicht mehr,

190
00:12:29,930 --> 00:12:31,560
und da möchte ich nochmal drauf hinweisen,

191
00:12:31,560 --> 00:12:34,220
wenn wir dran denken, dass
so gut wie alle unsere Linuxsysteme

192
00:12:34,220 --> 00:12:39,680
umgeschmiedete Windows-Rechner sind,
und wir durchaus diese Linuxsysteme

193
00:12:39,680 --> 00:12:43,279
im Bereich von Steuerung verwenden,
ist es keine schöne Perspektive,

194
00:12:43,279 --> 00:12:46,340
dass wenn irgendwie ein Windows-Update-Mensch,
irgendein Admin, sagt,

195
00:12:46,340 --> 00:12:49,930
ich tue nur mal das System sicherer machen,
und dann ist irgendwie

196
00:12:49,930 --> 00:12:55,570
die parallele Linux-Installation beschädigt,
ist mehr als ärgerlich, und zeigt auch

197
00:12:55,570 --> 00:12:58,720
dass da Microsoft im Moment
die Sache schlicht und einfach

198
00:12:58,720 --> 00:13:01,529
gar nicht im Griff hat.
Harmlosere Sache war auch,

199
00:13:01,529 --> 00:13:05,480
dass die Leute nicht in der Lage sind,
irgendwie eine Änderung im Update zu machen,

200
00:13:05,480 --> 00:13:09,210
ohne Privacy-Einstellungen zu ruinieren.

201
00:13:09,210 --> 00:13:12,550
Und das ist 'n bisschen 'n
schauerlicher Moment.

202
00:13:12,550 --> 00:13:15,770
Wir Hacker lieben es ja wenn man
irgendwelche Verschwörungstheorien

203
00:13:15,770 --> 00:13:20,430
draus triggern können.
Das haut mit den meisten Sicherheitsproblemen,

204
00:13:20,430 --> 00:13:22,940
die ich jetzt hier anschmeiß, 
einfach nicht mehr hin.

205
00:13:22,940 --> 00:13:26,300
Das klingt zwar irgendwie beruhigend,
ist aber nicht beruhigend,

206
00:13:26,300 --> 00:13:30,540
wenn man irgendwie nachvollziehen kann,
dass im Moment einfach Fehler gemacht werden,

207
00:13:30,540 --> 00:13:33,790
die nicht politisch hinterfragt werden müssen,
sondern Fehler gemacht werden,

208
00:13:33,790 --> 00:13:37,850
die einfach schlicht und einfach 
handwerkliche Katastrophen darstellen.

209
00:13:37,850 --> 00:13:46,300
Und eine besonders skurile war dann
kurz bevor ich den Camp-Vortrag gemacht hab,

210
00:13:46,300 --> 00:13:50,600
musste ich dann einbauen:
auf der Blackhat-Konferenz wurde präsentiert,

211
00:13:50,600 --> 00:13:58,270
dass es möglich ist, dieses Updatesystem
von Windows zu verseuchen und ich dachte,

212
00:13:58,270 --> 00:14:01,490
klingt schonmal schlecht,
aber schauen wir mal, wie's weiter läuft.

213
00:14:01,490 --> 00:14:05,410
Und dann kam eine meiner 
absoluten Lieblingsfolien.

214
00:14:05,410 --> 00:14:09,850
Weiß jemand, wer… was das ist?

215
00:14:09,850 --> 00:14:12,960
Eigentlich sollten wir uns 
den Namen merken können,

216
00:14:12,960 --> 00:14:15,210
der ist ja relativ eindeutig.

217
00:14:15,210 --> 00:14:17,020
*Lachen*

218
00:14:17,020 --> 00:14:23,140
So, von euch weiß es niemand.
Kleiner Tipp, also, Sie müssen möglicherweise

219
00:14:23,140 --> 00:14:26,010
oder wir müssen möglicherweise
den Rechner neustarten,

220
00:14:26,010 --> 00:14:31,600
damit das da ist, und Sie sollten das auch
nicht ignorieren, weil Microsoft sagt ja Ihnen:

221
00:14:31,600 --> 00:14:36,800
Update Typ is important und nochmal,
wir sind jetzt etwas verwirrt von der Sache.

222
00:14:36,800 --> 00:14:39,870
Insofern will ich nicht so unfair sein,
nicht den zweiten Teil dieser

223
00:14:39,870 --> 00:14:44,990
Microsoft-Meldung zu präsentieren,
der natürlich ungeheuer hilfreich ist.

224
00:14:44,990 --> 00:14:49,170
*Lachen*

225
00:14:49,170 --> 00:14:52,480
Und… das ist wieder 'ne Phase,
wo ich für dumme Witze doch

226
00:14:52,480 --> 00:14:57,210
durchaus zugänglich bin. Also… *Lachen*
Wenn wir mehr Informationen lesen,

227
00:14:57,210 --> 00:14:59,720
können wir uns immernoch
an die US-Regierung wenden.

228
00:14:59,720 --> 00:15:03,630
Wenn wir der US-Regierung misstrauen,
können wir natürlich auch das edu,

229
00:15:03,630 --> 00:15:07,540
also das Wissenschaftsnetz, machen,
aber wenn's kritisch wird, und wir sagen,

230
00:15:07,540 --> 00:15:10,440
das kommt wir alles komisch vor,
wen ruft man dann,

231
00:15:10,440 --> 00:15:15,630
wenn man Help und Support haben will?
Das US-Militär.

232
00:15:15,630 --> 00:15:19,430
Also, ich hab jetzt mal angezeigt,
die wenigen Buchstaben,

233
00:15:19,430 --> 00:15:22,420
die an der richtigen Stelle waren,
haben es irgendwie noch hingekriegt,

234
00:15:22,420 --> 00:15:25,870
mir mindestens 2 1/2 dumme Witze
möglich zu machen.

235
00:15:25,870 --> 00:15:27,439
*Lachen*

236
00:15:27,439 --> 00:15:31,230
Ich werde noch eine Folie
schlechte Witze darüber machen,

237
00:15:31,230 --> 00:15:33,339
aber dann nachmal erklären,
warum das eigentlich

238
00:15:33,339 --> 00:15:35,349
alles andere als lustig ist.

239
00:15:35,349 --> 00:15:38,660
Zunächst mal der übliche Witz,
das Problem ist,

240
00:15:38,660 --> 00:15:40,970
wenn ich diese Folien mache,
kriege ich schlicht und einfach ein Warning

241
00:15:40,970 --> 00:15:44,320
in meinem Latex-Programm.
*Lachen*

242
00:15:44,320 --> 00:15:48,550
So. Jetzt genug Hacker-Humor.
Was bedeutet das?

243
00:15:48,550 --> 00:15:56,260
Wenn Microsoft so ein Update
mit einem völlig kaputten Namen raussendet,

244
00:15:56,260 --> 00:15:59,470
bedeutet das, dass kein menschliches Wesen
reingeguckt hat, weil jedes

245
00:15:59,470 --> 00:16:02,870
menschliche Wesen würde sagen,
hm, das ist aber ein sehr komischer Name,

246
00:16:02,870 --> 00:16:04,850
seid ihr euch ganz sicher?

247
00:16:04,850 --> 00:16:09,730
Es hat kein elektronisches Wesen reingeguckt,
weil auch dieses elektronische Wesen

248
00:16:09,730 --> 00:16:11,850
hätte eine Warnung gekriegt.

249
00:16:11,850 --> 00:16:15,570
Es war auch kein elektronisches Wesen da,
der gesagt hat, da sind ULRs drin,

250
00:16:15,570 --> 00:16:17,750
können wir einfach mal einen einfach Test
machen,

251
00:16:17,750 --> 00:16:19,339
ob diese URLs richtig geschrieben sind?

252
00:16:19,339 --> 00:16:24,160
Mit anderen Worten, vergessen wir mal
wirklich die ganzen lustigen Witze.

253
00:16:24,160 --> 00:16:29,520
Wir haben jetzt die Situation,
dass da von Microsoft bisher

254
00:16:29,520 --> 00:16:34,300
keine Erklärung kam.
Äh, es kam irgendwie keine Erklärung.

255
00:16:34,300 --> 00:16:37,860
Warum kam eigentlich da keine Erklärung?
Heise hat angekündigt,

256
00:16:37,860 --> 00:16:39,360
dass sie nachfragen,
ist aber auch nichts geworden.

257
00:16:39,360 --> 00:16:49,370
*Lautes Lachen* Ich hab inzwischen… 
*Applaus*

258
00:16:52,440 --> 00:16:57,540
Ich hab inzwischen den Verdacht, also,
dass wie gesagt ein Teil der Antworten

259
00:16:57,540 --> 00:17:00,860
die Bevölkerung verunsichern würden,
insofern hab ich gedacht, naja,

260
00:17:00,860 --> 00:17:04,230
jetzt bin ich aber durch,
jetzt kann ich meine Folien machen,

261
00:17:04,230 --> 00:17:08,809
ohne dass ich irgendwie wenige Tage
im Dezember nochmal eine weitere Sache krieg.

262
00:17:08,809 --> 00:17:12,650
Also, was sollte jetzt noch passieren,
dass es irgendwie nötig ist, nach diesem

263
00:17:12,650 --> 00:17:17,790
lustigen Ding mit diesen randomisierten Sachen
nochmal eine weitere Folie einzupflegen,

264
00:17:17,790 --> 00:17:23,429
und wir haben schon den Verdacht,
das einzige… es klingt zwar ein bissel arrogant,

265
00:17:23,429 --> 00:17:26,740
aber es ist wirklich so,
das wir Kryptographen so 'nen Ethos haben,

266
00:17:26,740 --> 00:17:29,250
zu sagen, wir helfen Leuten.

267
00:17:29,250 --> 00:17:34,250
Und wir sagen, ok. Jetzt könnt ihr überlegen,
was brauchen wir, damit wir euch helfen können,

268
00:17:34,250 --> 00:17:37,900
braucht ihr irgendein Geheimnis,
dass ihr euch von 'nem Angreifer unterscheidet?

269
00:17:37,900 --> 00:17:43,020
Das kriegen wir nicht weg.
Wir optimieren das, das es wenige Bits sind,

270
00:17:43,020 --> 00:17:45,460
aber bitte passt auf die auf,
veröffentlicht die nicht.

271
00:17:45,460 --> 00:17:50,160
Alles alles andere kümmern wir uns.
Und wenn Microsoft jetzt hergeht

272
00:17:50,160 --> 00:17:52,660
und von ihrem X-Box-Live-System 
- ich weiß nicht

273
00:17:52,660 --> 00:17:54,550
wie viel Millionen Rechner daran hängen -

274
00:17:54,550 --> 00:17:58,730
einen Signierschlüssel irgendwie,
wie heißt's so schön,

275
00:17:58,730 --> 00:18:03,400
versehentlich einen privaten Schlüssel weitergeben,
es war einer der wenigen Momente,

276
00:18:03,400 --> 00:18:06,340
wo ich irgendwie beruhigt war,
weil es ist eine gute Nachricht,

277
00:18:06,340 --> 00:18:10,120
dass sowas bei Microsoft
nur versehentlich passiert.

278
00:18:10,120 --> 00:18:14,510
*Lachen und Applaus*

279
00:18:17,180 --> 00:18:21,610
Also insofern würd ich mich jetzt heute
mal aus dem Fenster legen, dass ich,

280
00:18:21,610 --> 00:18:24,350
wenn ich nächstes Jahr wieder
einen Vortrag machen muss,

281
00:18:24,350 --> 00:18:27,860
wahrscheinlich Schwierigkeiten habe
das noch zu toppen,

282
00:18:27,860 --> 00:18:32,660
weil, was soll man noch machen
als einen privaten Schlüssel zu leaken

283
00:18:32,660 --> 00:18:37,559
der irgendwie ein System
aus X-Boxen aus Rechnern,

284
00:18:37,559 --> 00:18:41,309
und ich will ja nicht irgendwie lästern,
sind das nicht die Dingern, die irgendwie

285
00:18:41,309 --> 00:18:44,690
Infrarot, also, die ganze Wohnung checken?

286
00:18:44,690 --> 00:18:46,660
Also die wissen nicht nur,
was wir gucken, sondern was wir

287
00:18:46,660 --> 00:18:49,190
möglicherweise unter 'ner Decke machen, oder…?
*Lachen*

288
00:18:49,190 --> 00:18:53,960
Ok, das sind die. Ok.
Also das bedeutet, da sollten Leute

289
00:18:53,960 --> 00:18:56,350
sich auch mal überlegen,
ob der updated.

290
00:18:56,350 --> 00:18:59,010
Anderseits ist wahrscheinlich
auch nur Zugriff mit einer

291
00:18:59,010 --> 00:19:03,660
ordentlichen signierten Zertifikat
von X-Box Live möglich.

292
00:19:03,660 --> 00:19:07,550
Gut! Kommen wir
zu der zweiten traurigen Sache.

293
00:19:07,550 --> 00:19:13,679
Also ich möchte nochmal betonen,
diese lustigen Witze über die Microsoftupdateprobleme

294
00:19:13,679 --> 00:19:16,950
sind alles andere als lustig,
weil das bedeutet, dass es eine komplette

295
00:19:16,950 --> 00:19:21,280
Scheitern jeglicher Art
von Qualitätskontrolle ist.

296
00:19:21,280 --> 00:19:25,220
Ich hab mich mit genug depressiven
Informatikprofessoren zusammengesetzt

297
00:19:25,220 --> 00:19:30,670
und hab versucht, da 'ne Erklärung zu finden,
wie man irgendwie Tests programmieren könnte,

298
00:19:30,670 --> 00:19:32,990
damit das durchrutscht,
und es ist uns nicht gelungen.

299
00:19:32,990 --> 00:19:37,460
Also noch einmal,
wenn ein Mensch dasitzt, der irgendwie sieht,

300
00:19:37,460 --> 00:19:41,360
da kommt ein Update mit dem Namen,
tschuldigung, der merkt das.

301
00:19:41,360 --> 00:19:45,620
Jedes Script, was man sich vorstellen kann,
was irgendwie Sachen testet und so weiter,

302
00:19:45,620 --> 00:19:46,750
wird das merken.

303
00:19:46,750 --> 00:19:50,670
Das bedeutet, diese ganzen lustigen Witze
wo wir immer gelacht haben,

304
00:19:50,670 --> 00:19:55,040
sind alles andere als witzig,
wenn wir Systeme haben, die wichtig sind.

305
00:19:55,040 --> 00:19:57,460
Und ich muss nochmal sagen,
selbst wenn man kein Windows außer

306
00:19:57,460 --> 00:20:02,040
X-Box verwendet, haben wir das Problem,
dass in den Feuerwach-Zentralen

307
00:20:02,040 --> 00:20:04,090
halt noch Windows-Rechner sitzen.

308
00:20:04,090 --> 00:20:10,380
In Berlin wahrscheinlich noch Windows XP-Rechner,
aber das ist ein Berlin-internes Problem,

309
00:20:10,380 --> 00:20:14,320
das ich jetzt in Hamburg nicht mehr
auf die Tagesordnung bringen kann.

310
00:20:14,320 --> 00:20:20,120
Kommen wir zu der zweiten Problematik.
Also, Microsoft kann es nicht,

311
00:20:20,120 --> 00:20:24,280
hat das Updatesystem nicht im Griff,
hat dieses neue Geschäftsmodell nicht im Griff.

312
00:20:24,280 --> 00:20:27,860
Kann man dann, das ist 
unser Streben als Hacker,

313
00:20:27,860 --> 00:20:29,959
kann man die Situation
selbst irgendwie retten?

314
00:20:29,959 --> 00:20:33,500
Und das ist natürlich der zweite
kritische Punkt.

315
00:20:33,500 --> 00:20:41,150
Microsoft tut seit Windows 8
Microsoft Trusted-Computing-Module…

316
00:20:41,150 --> 00:20:44,420
verlangen.
Einen Ausschalter, dass man irgendwie

317
00:20:44,420 --> 00:20:48,250
sagen kann, wir machen anstatt der
Microsoft-Sicherheitsarchitektur

318
00:20:48,250 --> 00:20:52,620
eine eigene Architektur, war
bei Windows 8 vorgesehen,

319
00:20:52,620 --> 00:20:56,330
also Möglichkeit Systeme ohne
die Sache zu booten.

320
00:20:56,330 --> 00:21:00,049
Das ist aus den Windows-10-Requirements
rausgeflogen.

321
00:21:00,049 --> 00:21:06,600
Unter Windows 10 lassen sich immer
weniger Systeme abschalten.

322
00:21:06,600 --> 00:21:10,059
Schon unter Windows 8 haben sie
das probiert, aber wir haben halt

323
00:21:10,059 --> 00:21:14,700
die Situation, und da muss ich zum
ersten Mal wirklich Heise ein bissl kritisieren,

324
00:21:14,700 --> 00:21:18,700
Heise hat geäußert, dass wir uns
keine Sorgen machen sollen,

325
00:21:18,700 --> 00:21:22,870
denn für alle Linuxdistribitionen, gängige,
gibts doch unterschriebene Bootloader,

326
00:21:22,870 --> 00:21:25,730
die das System zum Starten bringen.

327
00:21:25,730 --> 00:21:28,770
Das ist richtig, aber es gibt natürlich
das erste Argument:

328
00:21:28,770 --> 00:21:34,670
Microsoft unterschreibt einen Windows-Bootloader
und dann booten die Linux-Systeme.

329
00:21:34,670 --> 00:21:38,460
Kann Microsoft den Schlüssel zurückziehen?
Ja.

330
00:21:38,460 --> 00:21:42,730
Hat Microsoft schon Sachen deaktiviert?
Äh, ja.

331
00:21:42,730 --> 00:21:48,520
Hat Microsoft schon Sachen ohne
ordentliche Begründung deaktiviert? Ja.

332
00:21:48,520 --> 00:21:54,410
Ist schonmal ein schlechter Teil.
Der zweite schlechte Teil ist natürlich,

333
00:21:54,410 --> 00:21:58,090
dass es schön und gut ist, dass Microsoft,
und Microsoft ist eine nette Firma,

334
00:21:58,090 --> 00:22:04,179
ist eine der größten Beiträger des Linux-Kernels,
hat auch Interesse,

335
00:22:04,179 --> 00:22:08,840
dass das ökonomisch voran geht,
unterschreibt einzelne Distributionen,

336
00:22:08,840 --> 00:22:11,540
unterschreibt aber nur das,
was irgendwie vorgelegt ist.

337
00:22:11,540 --> 00:22:16,270
Und Entschuldigung, hier geht es nicht um
ältere und exotische Software,

338
00:22:16,270 --> 00:22:20,440
sondern um das gesamte Entwicklungskonzept
von freier Software.

339
00:22:20,440 --> 00:22:23,670
Freie Software bedeutet, dass wir
nicht jeden Schritt vorantreiben müssen.

340
00:22:23,670 --> 00:22:29,559
Das wir uns richtig verstehen, es wird erfolgreiche
Open-Source-Softwareprojekte geben,

341
00:22:29,559 --> 00:22:35,010
aber der eigentliche Entwicklungssache,
das nun jeder dazu beitragen kann,

342
00:22:35,010 --> 00:22:39,720
ist wirklich dann komplett konterkariert,
wenn man wirklich jede Änderung

343
00:22:39,720 --> 00:22:41,809
praktisch von Microsoft
nochmal genehmigen muss.

344
00:22:41,809 --> 00:22:44,950
Und noch einmal, diese Kombination:
Sie haben's nicht drauf,

345
00:22:44,950 --> 00:22:49,990
sie lassen's uns nicht reparieren,
sie zerschießen unsere Booteinstellung,

346
00:22:49,990 --> 00:22:53,070
ist einfach eine Sache, die ich,
obwohl ich in den letzten Jahren

347
00:22:53,070 --> 00:22:56,130
mit Microsoft doch irgendwie
etwas Frieden geschlossen habe,

348
00:22:56,130 --> 00:22:59,990
einfach nicht, in keiner Weise,
bereit bin zu akzeptieren,

349
00:22:59,990 --> 00:23:03,930
und habe mit einem Grinsen festgestellt,
dass sie sich jetzt offensichtlich mit ihrer Sache

350
00:23:03,930 --> 00:23:08,110
da auch mit den baden-württhembergischen
Verbraucherschützern angelegt haben,

351
00:23:08,110 --> 00:23:12,290
was glaub ich auch ein
relevanter Gegner sein könnte.

352
00:23:12,290 --> 00:23:17,750
Hier nochmal 'ne kleine Zeitreise:
2003 dieser Microsoft-Ansatz,

353
00:23:17,750 --> 00:23:23,500
der führt zu einer Markt-Domination,
zu einem Lock-out, dass man

354
00:23:23,500 --> 00:23:27,760
aus einem eigenen System ausgesperrt ist
faktisch, und wir besitzen

355
00:23:27,760 --> 00:23:31,350
unseren Computer nicht mehr richtig,
und das ist eine Sache von Whit Diffie,

356
00:23:31,350 --> 00:23:35,580
ein weiterer Erfinder der Public-Key-Kryptographie.
Und er sagt's halt ganz kurz:

357
00:23:35,580 --> 00:23:40,320
"Es ist einfach notwendig, dass wir von
unseren persönlichen Geräten

358
00:23:40,320 --> 00:23:42,710
die Schlüssel selber unter Kontrolle haben."

359
00:23:42,710 --> 00:23:47,410
Um mal was positives zu sagen,
US-Firmen und auch Apple muss man da loben,

360
00:23:47,410 --> 00:23:51,370
haben durchaus teilweise
diese Probleme adressiert,

361
00:23:51,370 --> 00:23:56,179
das zum Beispiel End-zu-End-Verschlüsselung,
da für viele Systeme

362
00:23:56,179 --> 00:23:58,500
die richtige Entscheidung ist.
Und hier haben wir halt

363
00:23:58,500 --> 00:24:01,279
eine gegenläufige Entwicklung.

364
00:24:01,279 --> 00:24:05,190
Um noch einmal zu sagen,
das ist keine abstrakte Sache.

365
00:24:05,190 --> 00:24:09,240
Ich hab jetzt nur mal eine Sache rausgesucht:
Microsoft hat mehrfach schon,

366
00:24:09,240 --> 00:24:12,929
hier zum ersten mal in 2013,
ist auch schon ein Weilchen her,

367
00:24:12,929 --> 00:24:16,360
ist hergegangen und hat
bootende Systeme deaktiviert,

368
00:24:16,360 --> 00:24:18,270
ohne günstige Begründung.

369
00:24:18,270 --> 00:24:21,559
Ist vielleicht ganz gut, wenn sie
keine Begründungen angeben,

370
00:24:21,559 --> 00:24:23,740
weil sie, als sie das letzte Mal versucht haben,
'ne Begründung anzugeben,

371
00:24:23,740 --> 00:24:26,559
sind die Haare immer grauer geworden,
also, nach dem Motto:

372
00:24:26,559 --> 00:24:28,610
Ey, wir wissen nicht genau,
was wir unterschrieben haben

373
00:24:28,610 --> 00:24:30,780
und ob es raus ist
und hast-du-nicht-gesehen.

374
00:24:30,780 --> 00:24:37,610
Also, noch einmal, das Problem ist Windows
- äh Microsoft ändert seine ganze Strategie,

375
00:24:37,610 --> 00:24:41,410
es ist Windows als Service,
es sagt, wir verdienen nur noch Geld,

376
00:24:41,410 --> 00:24:46,100
indem wir auf eure Daten aufpassen.
Und das ist halt natürlich halt das Problem,

377
00:24:46,100 --> 00:24:49,740
wenn handwerkliche Fehler in diesem
katastrophalen Mensch(?) gemacht werden,

378
00:24:49,740 --> 00:24:53,630
dass Microsoft vielleicht irgendwie
dann zurückommen kann mit den Ideen,

379
00:24:53,630 --> 00:24:56,150
wenn das einigermaßen steht.

380
00:24:56,150 --> 00:24:59,570
Auch 'ne historische Folie.
Was haben wir drin?

381
00:24:59,570 --> 00:25:02,319
Wir haben in diesem TPM-Chip
einen geheimen Schlüssel, den…

382
00:25:02,319 --> 00:25:04,290
auf den man nicht zugreifen kann.

383
00:25:04,290 --> 00:25:06,940
Standardfrage: Wer kann
auf den geheimen Schlüssel zugreifen?

384
00:25:06,940 --> 00:25:08,720
Hoffentlich niemand.

385
00:25:08,720 --> 00:25:15,169
Andererseits werden die Schlüssel außerhalb
erzeugt und dann werden sie eingefügt

386
00:25:15,169 --> 00:25:19,690
in den Produktionsprozess,
das bedeutet, ich mach eine Kopie

387
00:25:19,690 --> 00:25:22,690
einer Schlüsseldatei und habe damit
die Generalschlüssel auf alle Systeme

388
00:25:22,690 --> 00:25:24,640
in einem Land.

389
00:25:24,640 --> 00:25:28,390
Und das ist natürlich eine Sache,
die für die NSA interessant ist.

390
00:25:28,390 --> 00:25:32,400
Wir wissen, dass es Druck auf Hardware-
hersteller gab, Backdoors einzufügen.

391
00:25:32,400 --> 00:25:35,920
Ist ne historische Folie, die hätte 
ich vielleicht sogar streichen können,

392
00:25:35,920 --> 00:25:42,049
vor allem die Realität hat das
in den letzten Tagen wirklich derart überrollt,

393
00:25:42,049 --> 00:25:45,530
dass ich diese Folie eigentlich hätte wirklich
auch schon fast einstampfen sollen,

394
00:25:45,530 --> 00:25:50,860
aber trotzdem, noch einmal der Hinweis:
Das eine Hauptproblem ist:

395
00:25:50,860 --> 00:25:53,730
Die Hersteller der Sachen
sitzen nicht unbedingt in Amerika,

396
00:25:53,730 --> 00:25:55,800
sondern meistens in China.

397
00:25:55,800 --> 00:25:59,820
Und wenn ich kein verschärftes 
Vertrauen mehr hab

398
00:25:59,820 --> 00:26:04,450
auf das ordentliche Vorgehen
in 'ner Demokratie wie Amerika,

399
00:26:04,450 --> 00:26:09,250
ist meine Sorge über Backdoors
in autoritär geführten Ländern natürlich

400
00:26:09,250 --> 00:26:12,200
nochmal deutlich größer.

401
00:26:12,200 --> 00:26:17,110
Und aus dem Grund hier auch
nochmal der Hinweis:

402
00:26:17,110 --> 00:26:20,000
Es kann nicht angehen, dass wir
'ne Infrastruktur haben,

403
00:26:20,000 --> 00:26:22,850
wo jemand, der einfach 'ne Datei
kopieren kann, nachher

404
00:26:22,850 --> 00:26:25,770
Generalschlüssel für alles
zur Verfügung hat.

405
00:26:25,770 --> 00:26:29,030
Ja, letzte Tage,
muss ich auch nicht rumtanzen.

406
00:26:29,030 --> 00:26:33,530
Die ganzen Sachen was wir gesagt haben,
UEFI-Backdoor, also unterhalb des Radars,

407
00:26:33,530 --> 00:26:39,280
also wirklich unter den Virenscannern
und anderer Sicherheitsfolklore,

408
00:26:39,280 --> 00:26:42,140
auf der untersten Ebene.
Ich hab' mit Leuten geredet,

409
00:26:42,140 --> 00:26:44,790
Was kann man machen,
wenn man sich in UEFI was eingefangen hat?

410
00:26:44,790 --> 00:26:48,160
Antwort: Hardware einschmelzen,
neue kaufen.

411
00:26:48,160 --> 00:26:53,570
Das war von jemand, der eine
sehr große Sicherheitsabteilung

412
00:26:53,570 --> 00:26:56,410
einer sehr großen deutschen
Firma geleitet hat,

413
00:26:56,410 --> 00:27:01,590
also insofern finde ich das immer
etwas besorgniserregend,

414
00:27:01,590 --> 00:27:04,030
wenn Leute, die in der Industrie
in hohen Positionen sind,

415
00:27:04,030 --> 00:27:07,990
langsam ähnlichen Zynismus
entwicklen wie hier in der Hackergemeinde

416
00:27:07,990 --> 00:27:11,590
seit Jahren vor sich hingetragen wird.
Wir hatten die Lenovo-Backdoor,

417
00:27:11,590 --> 00:27:15,480
machen wir uns keine Sorgen,
der Hauptaktionär von Lenovo

418
00:27:15,480 --> 00:27:18,840
ist die Universität of Peking,
und ich bin mir sicher,

419
00:27:18,840 --> 00:27:22,590
dass die mit der Regierung
überhaupt keine Kontakte hat.

420
00:27:22,590 --> 00:27:27,380
*Lachen und Applaus*

421
00:27:29,470 --> 00:27:33,450
Wir hatten 'ne Bell, äh, Dell-Backdoor,
die auch irgendwie diese Microsoft-Strategie

422
00:27:33,450 --> 00:27:35,820
über "Wir veröffentlichen mal
unsere privaten Schlüssel,

423
00:27:35,820 --> 00:27:39,000
vielleicht kann ja auch jemand
anders was damit anfangen."

424
00:27:39,000 --> 00:27:41,620
Ist scary, und das einzige,

425
00:27:41,620 --> 00:27:44,630
was mir als Kryptograph 
gute Laune gemacht hat,

426
00:27:44,630 --> 00:27:47,460
war diese Juniper-Backdoor.
Wenn wir uns erinnern, hatte ich ja

427
00:27:47,460 --> 00:27:52,530
letztes Jahr mal elliptische-Kurven-
Randomgenerator vorgestellt und gesagt,

428
00:27:52,530 --> 00:27:57,049
da ist eine NSA-Backdoor da.
Wir Kryptographen haben seit Jahren

429
00:27:57,049 --> 00:28:00,049
paar Stunden nach der Veröffentlichung 
gewarnt, haben gesagt, Leute,

430
00:28:00,049 --> 00:28:03,520
das ist ein System, das ist hundertmal langsamer
und hier ist 'ne offenen Tür,

431
00:28:03,520 --> 00:28:05,910
wo man was reinmachen…
macht das nicht.

432
00:28:05,910 --> 00:28:08,760
Trotzdem haben es halt Firmen gemacht,
unter anderem Juniper,

433
00:28:08,760 --> 00:28:13,440
und was jetzt wirklich schön war,
so 'ne Backdoor in elliptischen Kurven

434
00:28:13,440 --> 00:28:16,610
sind nur ein paar Bytes.
Irgendjemand ist hergegangen und

435
00:28:16,610 --> 00:28:20,830
hat diese Bytes, die für 'ne NSA-Backdoor
da waren, weggeworfen, und hat

436
00:28:20,830 --> 00:28:26,030
seine eigene Backdoor eingebaut.
Und das ist irgendwie großartig.

437
00:28:26,030 --> 00:28:30,830
Also man hat irgendwie das Tür
zu Fort Knox und geht her mit dem Trennschleifer,

438
00:28:30,830 --> 00:28:33,720
zieht die raus und macht
'ne neue Tresortür da vorne dran.

439
00:28:33,720 --> 00:28:37,559
*Lachen*
Eh, ist wirklich scary, und ich möcht

440
00:28:37,559 --> 00:28:41,539
nur mal betonen:
Diese Problematik ist natürlich ganz da,

441
00:28:41,539 --> 00:28:45,289
wenn wir unsere ganze EDV an Microsoft
delegieren und sagen:

442
00:28:45,289 --> 00:28:49,860
Die updaten, die wissen, was läuft,
die machen das, was nötig ist.

443
00:28:49,860 --> 00:28:54,280
Bedeutet das, dass wir, wenn wir da
Druck auf Microsoft haben,

444
00:28:54,280 --> 00:28:58,480
Backdoors oder sonstige Sachen einzubauen,
von jetzt auf nachher völlig hilflos sind.

445
00:28:58,480 --> 00:29:04,160
Und das ist natürlich eine Sache,
die nur wenig erfreulich ist.

446
00:29:04,160 --> 00:29:08,690
Ich komm' zur letzten Folie,
die auch nur zum Teil cut-und-pasted ist.

447
00:29:08,690 --> 00:29:14,320
Es gab das Eckpunktepapier von Trusted Computing
der Bundesregierung, die ganz klar gesagt hat,

448
00:29:14,320 --> 00:29:17,470
wenn irgendjemand ein sicheres
Environment bauen will,

449
00:29:17,470 --> 00:29:21,620
ein geschlossenes Ökosystem,
in Ordnung, darf man,

450
00:29:21,620 --> 00:29:25,000
aber die Leute müssen frei entscheiden können,
ob sie da rein wollen.

451
00:29:25,000 --> 00:29:29,990
Und sie müssen die Möglichkeit haben,
da auch wieder einigermaßen gesund rauszukommen.

452
00:29:29,990 --> 00:29:34,610
Das war schon sehr lange
in dem Forderungskatalog.

453
00:29:34,610 --> 00:29:37,370
Wir haben das Problem:
Wenn wir jetzt Sachen an den Staat bringen,

454
00:29:37,370 --> 00:29:40,150
dass wir jetzt zeitgemäße Kryptographie
verwenden sollen.

455
00:29:40,150 --> 00:29:43,260
Microsoft hat SHA-2 an ein paar
Stellen rausgeworfen.

456
00:29:43,260 --> 00:29:47,920
In der Trusted-Computing-Spezifikation
ist immer noch Hooks für SHA-1 da.

457
00:29:47,920 --> 00:29:51,070
Wir brauchen datenfreundliche Kryptographie.

458
00:29:51,070 --> 00:29:58,039
Da hatten wir direct anonymous attestation
und perfect forward secrecy-Sachen

459
00:29:58,039 --> 00:30:02,760
in alten Normdokumenten schon drin,
die müssten wir halt wieder mal

460
00:30:02,760 --> 00:30:05,060
ein bisschen pflegen und nach vorne stellen.

461
00:30:05,060 --> 00:30:08,600
Wir brauchen eine internationale Kontrolle
und Zertifizierung des TPM-Herstellungskonzepts.

462
00:30:08,600 --> 00:30:12,160
Noch einmal, ich bin eine Firma,
ich stelle TPM her,

463
00:30:12,160 --> 00:30:16,049
ich habe eine Datei mit allen Schlüsseln,
ich kopier die und ich hab

464
00:30:16,049 --> 00:30:19,270
einen Generalschlüssel für alles.
Dat geht net.

465
00:30:19,270 --> 00:30:21,370
Kleine Fußnote:
Wenn ich eine Firma hatten würd,

466
00:30:21,370 --> 00:30:25,289
würd ich das auch gar nicht wollen,
weil ein derartiges Maß an Macht,

467
00:30:25,289 --> 00:30:28,760
das tut irgendwie unangenehme
Mitmenschen glaub ich magisch anziehen.

468
00:30:28,760 --> 00:30:32,789
Also insofern ist es auch ein Schutz
für die Firmen,

469
00:30:32,789 --> 00:30:36,059
dass man hier die Sachen
irgendwie ordentlich offenlegt,

470
00:30:36,059 --> 00:30:40,800
und das Zertifizierungs-Codes,
also dieses Boot-Codes für relevante Software

471
00:30:40,800 --> 00:30:43,020
in Windows-10 und 8-Bereich.

472
00:30:43,020 --> 00:30:47,120
Wir müssen kartellrechtlich prüfen,
nochmal, Microsoft ist nicht mehr

473
00:30:47,120 --> 00:30:53,460
die über… die dominierende Firma.
In der Zeit, wo Elmar grade gesagt hat,

474
00:30:53,460 --> 00:30:56,830
das wir zum ersten Mal die Windows-Talks
angekuckt haben,

475
00:30:56,830 --> 00:31:01,310
da hat man eine 90-prozentige Durchdringung,
heute spielt Microsoft in einigen Bereichen

476
00:31:01,310 --> 00:31:03,320
nicht mehr diese dominante Rolle.

477
00:31:03,320 --> 00:31:08,289
Nichtsdestotrotz ist unsere ganze Hardware,
die wir als normale Personal Computer haben,

478
00:31:08,289 --> 00:31:11,500
naja, Windows-Hardware, im Prinzip,
die wir dann halt

479
00:31:11,500 --> 00:31:14,760
mit vernünftigen Systemen 
hier umgelenkt haben.

480
00:31:14,760 --> 00:31:17,250
Naja, außer ihr macht jetzt
die Apple-Welt, das ist 'ne andere Sache,

481
00:31:17,250 --> 00:31:21,780
aber die wirklich große Menge an
Personal Computern

482
00:31:21,780 --> 00:31:23,970
ist immernoch aus dem Bereich.

483
00:31:23,970 --> 00:31:27,250
Und ich möchte schließen mit was
vielleicht ganz Ãœberraschendem:

484
00:31:27,250 --> 00:31:32,130
Ich werde mich jetzt mal positiv über
die Deutsche Telekom, noch interessanter

485
00:31:32,130 --> 00:31:35,020
T-Systems und Microsoft äußern.

486
00:31:35,020 --> 00:31:38,030
*Lachen*

487
00:31:38,030 --> 00:31:41,110
Es gab 'ne kleine Meldung,
die vielleicht die meisten von euch auch

488
00:31:41,110 --> 00:31:47,870
gar nicht so wahrgenommen haben,
dass Microsoft und T-System 'ne Konstruktion

489
00:31:47,870 --> 00:31:50,919
einer deutschen Cloud gemacht haben.

490
00:31:50,919 --> 00:31:55,830
Und ich zuck ja immer zusammen,
wenn in der Internet-Zeit die Leute

491
00:31:55,830 --> 00:31:58,559
nationale Clouds und so weiter
irgendwie ausrufen.

492
00:31:58,559 --> 00:32:03,110
Allerdings ist halt das für Firmen
natürlich interessant, dass sie sagen,

493
00:32:03,110 --> 00:32:05,110
sie haben einen Serverstandort
in Deutschland.

494
00:32:05,110 --> 00:32:09,940
Es ist nicht ausreichend nach den,
jetzigen Regelungen,

495
00:32:09,940 --> 00:32:13,770
weil irgendwie Firmen, die in Amerika sitzen,
haben dann irgendwie möglicherweise

496
00:32:13,770 --> 00:32:17,120
den Zwang, auch die Daten schlicht und einfach
nach Amerika zu entführen.

497
00:32:17,120 --> 00:32:21,580
Diese Konstruktion, dass da 'ne deutsche Firma
die betreibt, bedeutet auch nicht,

498
00:32:21,580 --> 00:32:24,679
dass der Weltfrieden ausbricht,
aber das bedeutet einfach,

499
00:32:24,679 --> 00:32:27,540
dass für Firmen da 'ne rechtliche 
Sicherheit da ist,

500
00:32:27,540 --> 00:32:29,319
dass sie nur belangt werden,

501
00:32:29,319 --> 00:32:31,320
wenn sie gegen deutsches 
Recht verstoßen, und nicht,

502
00:32:31,320 --> 00:32:33,000
weil irgendwie eine amerikanische Firma

503
00:32:33,000 --> 00:32:36,650
grad mal schlechte Laune hat
oder die NSA alles mitlesen will.

504
00:32:36,650 --> 00:32:42,049
Insofern möchte ich einfach mal fordern,
dass diese Rechtssicherheit

505
00:32:42,049 --> 00:32:46,150
auch für Privatanwender 
stärker geöffnet wird.

506
00:32:46,150 --> 00:32:52,169
Ich glaub es ist nicht zu viel verlangt,
dass man sagt, dass man wirklich die Regeln,

507
00:32:52,169 --> 00:32:55,360
die in der normalen Welt gelten,
dass man Rechtsschutz und Rechtswege hat,

508
00:32:55,360 --> 00:32:59,909
die einigermaßen auch nachvollziebar sind,
wir die in die digitale Welt retten kann.

509
00:32:59,909 --> 00:33:05,860
Und ich glaube auch, dass der… das Urteil
des Europäischen Gerichtshofs

510
00:33:05,860 --> 00:33:10,760
zu sicheren Datenhäfen hier eine Änderung
voranbringen muss,

511
00:33:10,760 --> 00:33:13,880
und in diesem Sinne möcht ich
nochmal Aufforderung,

512
00:33:13,880 --> 00:33:18,789
sorgen wir dafür, dass die erkämpften
datenrechtlichen Standards,

513
00:33:18,789 --> 00:33:22,730
auch diese Migration der
Windows-Geschäftspolitik überleben.

514
00:33:22,730 --> 00:33:25,300
Vielen Dank für eure Aufmerksamkeit.

515
00:33:25,300 --> 00:33:28,130
*Applaus*

516
00:33:28,130 --> 00:33:29,560
Engel: Danke Rudi!

517
00:33:29,560 --> 00:33:31,425
*Applaus*

518
00:33:32,565 --> 00:33:35,965
*Abspann-Musik*