Rückblick zum 37C3

Letztes Jahr war vom 27.12. - 30.12.2023 wieder der alljährliche Chaos Communcation Congress. Nach Corona auch endlich wieder in einer realen Umgebung. Das hat einfach gefehlt. Auch wenn die IT-Nerds oft viel im Cyber Raum machen, vieles geht einfach nach wie vor gut im echten Leben besser. Bei einem Tschunk, beim Gespräch in einer Engelschicht oder bei einer echten Reaktion während einem Vortrag. Es gibt einige Vorträge, die erwähnenswert sind. Die Liste wird noch ausgefüllt:

Allerdings ist es auch immer wieder spannend beim Faxgeräteclub vorbei zu schauen. Leute, die in irgendeiner Form für die öffentliche Verwaltung arbeiten und dabei einen IT-Hintergrund haben. Während die letzten Treffen (auf dem Camp im Sommer) eher so ein grober Austausch war, ging es diesmal etwas mehr zur Sache. Sicher um die 50-80 Leute sind in einem Raum zusammengekommen und so hat man sich mal grob zusammengesetzt. Da waren ganz normale Admins da, dann aber auch Leute, die für Opencode arbeiten und offene Programme entwickeln. Wieder andere machen was OKLabs und entwickeln kleinere Karten mit öffentlichen Daten, die sie über die Informationsfreiheitsanfragen bekommen.

An einem Abend gab es mal einen kleinen Workshop wo man grob weitergesponnen hat, wie man die Verwaltung besser machen kann (aus IT Sicht). Oft entwickeln halt doch irgendwelche Leute ohne technischen Sachverstand Gesetze, die dann realitätsfern sind. Beispielsweise die Registermodernisierung. Eine zentrale Datenstelle mit allen Stammdaten von allen Bürgern wäre nicht gut. Wir hatten da vor 90 Jahren einen Österreicher, welche ganze Gruppen unserer damaligen Gesellschaft ausgelöscht hat. Hätte er damals schon die Datenbanken von heute gehabt, wäre das noch viel einfacher gewesen. Genau deshalb sind zentrale Datenbanken nicht erstrebenswert. Gleichzeitig haben wir eben auch heute schon im Meldewesen standortübergreifend die Möglichkeit Daten einzusehen. Das ist ja auch OK, da sich Bürger auch mal in einem anderen Wohnort anmelden.
Gleichzeitig ist es aber auch erstrebenswert, dass viele staatlichen Anträge nicht mehr umständlich per Papier beantragt werden müssen, sondern vieles digital läuft. Hier kommen wir dann aber auch wieder schnell in die Gegebenheiten, dass die IT-Infrastruktur plötzlich viele Lücken aufweisen kann. Wenn gleichzeitig, dann automatisiert Daten über Bürger von anderen Ämtern abgefragt werden können, wird das vermutlich nicht so leicht auffallen. Es ist also nicht so einfach. Da wir hier von Bürgerdaten (also auch die Daten von dir und mir) reden, müssen wir damit sehr sensibel umgehen.
Die Papierform hat hier definitiv noch den Vorteil, dass immer noch ein Mitarbeiter drüber schaut und zuviele Anfragen einfach länger dauern... Wir hatten eine Stunde angesetzt und eine Lösung war nicht zu erwarten. Aber es ist spannend, was für Fragen wir uns hier alle stellen müssen.
Praktischerweise ist es vermutlich am besten, wenn wir in allen Behörden und Verwaltungen die IT auf einen standardisierten Sicherheitslevel anheben. Dann ist die Grundlage geschaffen um auch mal vertrauliche Vorgänge vernünftig zu digitalisieren. Wenn dann eine einzelne Behörde mal gehackt wird, können keine Datendumps von anderen Behörden mehr abgezogen werden.

Das wird alles noch spannend und hoffen wir, dass die politische Lage die nächsten Jahre noch normal sein wird um solche Projekte angehen zu können. Wenn der braune Rotz (die AfD) weiter an Macht gewinnt, hat sich das Ganze eh erstmal erledigt. :(

Anbei ein paar Bilder vom 37C3 und aus Hamburg. An einem Nachmittag bin ich mal rausgegangen und bin an der Elbe entlang gelaufen.

Der 37C3 findet endlich wieder in Hamburg statt

Nach 3 Jahren Ausfall wegen Corona findet der 37C3 endlich wieder live und in Farbe im neu renovierten CCH in Hamburg statt. Ein paar Infos dazu gibts hier. Tickets gibt es noch nicht, werden aber wohl bald wieder verkauft. ;)
Dazu wurden hier Dinge geschrieben.

Ich freu mich auf den Congress und schaue gespannt auf diese Zeit bis dahin.

Eindrücke vom Chaos Communication Camp 2023

Das alle 4 Jahre stattfindende Chaos Communication Camp war dieses Jahr bereits zum 3. Mal im alten Ziegeleipark in Mildenberg bei Zehdenick. Das Gelände ist wirklich genial. Es gibt eine alte Museumsbahn, die auch im regulären Museumsbetrieb verwendet wird und natürlich allerlei alte interessante Gemäuer die noch aus der Ziegelherstellung stammen. Aber ansonsten auch viel Freifläche, die aufgrund des Camps dann mit allerlei Zelten und Krams zugestellt war.
Ich war ja bereits 2019 das erste Mal mit Monkel und ein paar anderen Bekannten aus Calw und Stuttgart da und fand es einfach gigantisch. Klar die Musik ist nicht so mein Fall, meistens nur Electronic Gedöns. Aber beim Späti läuft meistens noch Punkrock aus der Konserve und ab und an gibt es sogar auch mal Live Bands auf der Bühne. Nachts ist aber auch besonders die vielen Lichtspiele wunderschön. Das Ganze ist einfach gigantisch schön. Tagsüber gibt es ein buntes Programm aus Lötworkshops, man konnte sich mit der Badge beschäftigen, wenn man eine vorbestellt hatte (das hat mir dieses Jahr, weil das mit dem Ticket erst kurz vor knapp noch geklappt hat, nicht mehr gereicht), aber auch natürlich viele Vorträge. Zum Beispiel die Stories von einem Incident Responder oder auch mal über das Entdecken von Social Engineering
Es gab auch einen Workshop als Selbsthilfegruppe für Verwaltungsfachangestellte mit IT-Hintergrund. Als Betroffener war ich natürlich dort. Es war spannend zu hören was die anderen zu sagen haben. Viele sind beim Bund, manche beim Land, andere wiederum bei Gerichten. Am Ende bleibt aber zu sagen: Sie alle haben den Wunsch die IT zu vereinheitlichen und voranzutreiben. Das Blöde ist: Wenn der Bund es nicht macht, das Land auch nicht, dann kann es die Kommune selbst machen. Aber wenn nun alle Kommunen (wenn sie überhaupt mit sinnvoller IT und Personal und Geldern ausgestattet ist) ihre eigene Suppe kochen, dann wird das mit gemeinsamem Datenaustausch auch wieder nichts. Hinzukommt, dass wir als öffentliche Behörden den gesetzlichen Bestimmungen unterliegen und dort sind oftmals noch Begriffe wie "Fax ist sicher" zu finden. Außerdem verarbeiten wir als Behörden zum größten Teil immer Personendaten von Bürgern (alle Geschlechter), weshalb der Datenschutz hier besonders kritisch zu sehen ist. Da müssen also erstmal gesetzliche Grundlagen geschaffen werden.
Als weiterer Nachteil ist unser Förderalismus. Manchmal machen sich einzelne Bundesländer die Arbeit und entwickeln selbst eine tolle Anwendung, aber dann müssen die anderen Länder diese auch erstmal wieder einkaufen (wenn sie überhaupt so angeboten wird). Aus meiner simplen IT-Sicht und Erfahrung aus der freien Wirtschaft wäre es sinnvoll, wenn der Bund die zentralen Dienste bereitstellt und verwaltet. Dann müssten nur noch alle Länder und Kommunen darauf zugreifen und damit arbeiten. Andererseits wehrt sich da mein Geschichtshirn etwas dagegen. Zentrale Datenbanken sind auch gut dafür geeignet, um beispielsweise alle Juden, schwulen oder sonstige aktuell unbeliebte Mitbürger zu identifizieren und ins Lager zu stecken. Sprich es ist es aktuell auch gut, dass wir keine zentralen Dienste beim Bund haben. Da ist es deutlich nützlicher, wenn die Daten einfach bei der Kommune lagern und nicht einfach an weitere Behörden weitergegeben werden.
Aber vielleicht könnte man in den nächsten 5-10 Jahren ja eine einheitliche Schnittstelle schaffen, mit der Anfragen von Behörden mit hoheitlichen Aufgaben (beispielsweise Polizei, Gerichte) endlich elektronisch ausgetauscht werden können. Es gibt da seit Jahren Standards wie XML, was sogar im Elster Verfahren mittlerweile gut eingesetzt wird.
Schauen wir einfach mal was die Zukunft dazu bringt, solange bau ich in Calw mal die IT-Infrastruktur sinnvoll aus. Da gibt es aktuell noch viel grundlegendere Baustellen.
Wie Public Code funktionieren kann, gibt es hier nachzuhören.

Um mal einen Eindruck vom Camp zu bekommen, hier mal ein paar Bilder, die nicht ganz sortiert sind. Aber ich denke, das Ganze gibt einen guten Eindruck was neben dem normalen Programm (Vorträge) noch so da war. Einfach eine gute Umgebung für eine IT-Fortbildung. ;)

Weitere spannende Vorträge:
Bootloader Crimes
Jens Spahns credit score is "very good"
Logbuch Netzpolitik über die Ibiza Affäre
All cops are broadcasting
Disclosure, Hack and Back
Horror Stories from the Automotive Industry
Demystifying eSIM Technology

GPN 20 war wieder schön

Die Gulasch Programmier Nacht in Karlsruhe ist eine sehr coole Nerd Veranstaltung. Das Besondere ist die Nähe zum ZKM, welches direkt mit der "Hochschule für Gulasch äh Gestaltung" verbunden ist. Außerdem wird schon immer keine explizite Anmeldung oder ein Beitrag verlangt. Jeder kann kommen und gehen wann er will. Die Stammgäste melden sich aber vermutlich dann doch an, auch um einen der vielen bzw. wenigen Plätze für ihre Laptops, 3D Drucker, Server oder auch Nähmaschinen zu ergattern. Dieser Platz ist nämlich wirklich begrenzt. Und einige bleiben auch die ganzen 4 Tage vor Ort bzw. gehen nur zum Schlafen mal kurz weg. Kurzum einfach mal ein paar Tage abschalten von der Welt und endlich sich mit normalen Menschen umgeben die ähnlich ticken.
Jetzt war ja seit März 2020 Corona und so sind die letzten Jahre auch die ganzen Chaos Veranstaltungen ausgefallen. Deshalb fand ich es dieses Jahr wieder richtig angenehm nach Karlsruhe zu fahren. Während ich sonst immer mit Laptop und Rucksack unterwegs war bin ich dieses Jahr explizit leicht gereist und habe nichts außer mir dabei gehabt. Also gut ich war nicht nackt, zumindest bis ich vor den Eingang gegangen bin und mich dann gewundert habe warum die alle eine FFP2 Maske anhaben. Drinnen war einfach eine Maskenpflicht. Aber alles kein Problem nochmal kurz zurück zum Auto und die Maske geholt. Dann wollte ich gleich zum Merch, weil ich die Tassen gerne sammel und gut finde. Und während es auf der Anmeldeseite noch hieß, dass man nur eine Tasse mit Reservierung bekam, gab es die dann so. Für ein T-Shirt hat es auch nocht gereicht. Und wenn treffe ich dann am Merchstand: Den Timm. Wir hatten uns nicht verabredet aber scheinbar die gleiche Idee. Einfach mal wieder nach Karlsruhe fahren. Draußen war übrigens richtig schöner Sonnenschein. Deshalb waren die Wiesen drumrum auch fleißig mit Menschen bevölkert. Die Gulaschküche hat alle paar Stunden die Gerichte gewechselt. Mal gab es Pizza, dann Flammkuchen, später Ofenkartoffeln und irgendwann soll es sogar Gulasch gegeben haben. Als ich zur Abendessen Zeit Hunger hatte, gab es aber leider nur die Ofenkartoffeln. Deshalb bin ich dann doch beim Dönerladen gelandet und habe eine leckere Pizza Sucuk gefuttert.
Normalerweise ist so eine Veranstaltung auch immer gut um die Sachen anzuschauen und eher weniger in die Vorträge zu gehen. Aber irgendwie war das Vortragsprogramm an diesem Samstag richtig gut.
Besser Leben mit SSH -> Der Leyrer ist einfach gut. Er war nur genervt, dass er 5 Talks eingereicht hat und alle 5 angenommen wurden, weil es keine Alternativen gab.
Unikernel Security Analysis -> jo interessanter Ansatz und krass, dass es viele Angriffsvektoren gibt.
DDoS kommt aus dem Internet und schmeckt AUA! -> wie der Titel schon sagt. Sehr unterhaltsam und hab was gelernt.
Smartphone Security - how to prevent audio surveillance -> Das war so ein Anzugträger aus der Wirtschaft. Naja spannendes Thema und das Audio ein Problem sein kann. Und mit EMV Koffer eine spannende Gegenmaßnahme, aber für die GPN eher falsch.
Moderne Linux Kommandozeilenwerkzeuge - Edition "Allein zu Haus" -> sehr schöne Sammlung von Tools, die man mal ausprobieren könnte.
Viele machen manches einfacher und vor allem bunt!

Hier mal das was ich mir so mitgeschrieben habe, was man ausprobieren könnte.

Needfont installieren….

Coole Konsolen Tools

Ohmyposh! - bunte Powershell
Crush - coole Shell
Xxh - Konsolen Skripte Konfig auf fremden Systemen
Xonsh - Python Shell
Q - DNS Abfragen in bunt
Gping - bunter Ping
Ioping - Festplatte Ping
Broot - bunte Directory Listing
Dust - directory
Dutree - directoty
LSD - directory
McFly - Shell history seatch
Hyperfine - Benchmark für Konsole speed
Bottom - wie top
Btop - fancy top
Music cube - MP3 player
Googler - Google in der Konsole
Viu - Bilder anschauen
Hexyl - hex viewer
Glow - notes
Falsisign - macht pdf eingescannt und mit Unterschrift.
Fuck - korrigiert fehlerhafte Konsolen Befehle
Usbkill - fährt den Rechner runter wenn usb Status sich ändert.

Die Folien vom Leyrer findet man übrigens hier.

Es war einfach wieder eine sehr coole Veranstaltung und ich bin froh, dass die Nerds scheinbar alle sehr vernünftige Menschen sind. Es ist immer noch Corona und deshalb machen die Masken weiterhin Sinn. Es gab keine Streitigkeiten an der Türe, sondern jeder hat sich drum gekümmert. Das Feeling von "endlich wieder normale Leute" war recht schnell da.
Das war einfach wieder eine geile GPN. Ich hoffe dass im Winter dann auch wieder der große Congress stattfinden kann. Da sind einfach nochmal 15.000 Leute aus aller Welt beisammen. Die letzten Jahre daheim war dann doch eher blöd. Irgendwie fehlt da die Ablenkung und man findet immer genug andere Dinge, die man ja mal machen könnte.

Bundesverdienstcoin

Kantorkel vom CCC hatte in der Corona Zeit ein bisschen Langeweile und hat ein paar offenen Servern gefunden. Diese Geschichte findet sich auch schon hier als Mitteilung beim CCC. Aber besonders schön ist es, wenn dies auch als Podcast erzählt wird.
Besonders interessant finde ich, dass hier eigentlich oft nur die Best Practices nicht beachtet wurden. Das kann also jedem mal passieren. Aber trotzdem erschreckend.