Monatliche Radiosendung des Chaos Computer Clubs auf Radio Darmstadt. Jeden 2ten Donnerstag im Monat, 21-23 Uhr. 103,4 MHz UKW / DAB+ / Stream. Tune In!
00:20:48 Nach einem kurzem Wechsel der Technik stellt uns Bella das Projekt OpenSourceSeeds vor. Wie für Quellcode von Computerprogrammen, Kartenmaterial oder Musik können neue Züchtungen von Saatgut geschützt werden. Das ist nicht nur mit Patenten, sondern auch mit einer Lizenz ähnlich der GPL möglich. Die „Open-Source Saatgut Lizenz“ wurde von OpenSourceSeeds entwickelt. Inzwischen gibt es Tomaten, Chilli, Weizen und mehr freies Saatgut. Sie informieren, beraten und bringen Interessierte mit Anbietern von freiem Saatgut zusammen. Aus dem Weizen unter freier Lizenz wird Brot gebacken: Das Open Source Brot. Für freien Roggen läuft ein Crowdfunding.
01:12:15 Jens stellt uns verschiedene Authentifizerungsmethoden vor. In den letzten Jahren werden Zugänge zu Onlineangeboten, insbesondere wenn es um Geld geht, nicht nur mit username+password, sondern auch mit einem weiteren Faktor abgesichert. Man spricht von Multi-Faktor-Authentifzierung (MFA) oder zwei Faktor-Authentifizierung (2FA). Oft wird hierfür eine SMS mit einem Code verschickt, den man als Empfänger der Kurznachricht eingeben muss. In den letzten Jahren hat es professionelle Angriffe auf diesen zusätzlichen Kommunikationsweg gegeben, um diesen Code per SMS abzufangen bzw. auf eine eigene SIM-Karte umzuleiten.
00:09:59 Paolo Ferri früherer Head of Mission Operations Department des European Space Operations Center der ESA ist inzwischen im Ruhestand, langweilig ist ihm aber nicht. Er hat ein Buch geschrieben und sehr viel zu bereichten.
01:27:20 für 20 Jahre C-RadaR hatten wir zur online Party geladen. Mit dabei waren: squ, zem, risktaker, unicorn, Erik, md-, fluxx, dj-spock und weitere. Über 20 Jahre C-RadaR gibt es viel zu bereichten: Wie kam es zur ersten Sendung? Wie hat sich die Studio-Technik entwickelt? Wer hat die Sendung in welchen Jahren moderiert und was wäre diese Sendung ohne unsere Gäste?
Im Studio war benny. (das haben wir schon lange nicht mehr hin geschrieben…)
00:11:20 Enno ist in den letzten Jahren bei einigen internationalen Kriegen als selbststäniger Journalist vor Ort gewesen. Wir sprechen mit ihm unter anderen über diese Tehemen:
Wie sieht es aus mit der Vorbereitung und Ausrütung für solche Einsätze?
Was bedeutet die Neutraliät der Presse?
Was machen die Medien aus den Meldungen und wie sieht das Geschäft aus?
01:12:50 Erik und Jens sprechen über Auswirkungen von Fehlern in der Speicherverwaltung. Sie stellen dabei vor, wie Betriebssysteme den verfügbaren Arbeitsspeicher verwalten und die Programme diesen anfordern können. Dabei kann es auch zu sogenannten Speicherzugriffsfehlern, englisch: „segmentation faults“ kommen. Ebenso ist es unter bestimmten Umständen möglich, dass ein zweites Programm durch geschickte Ausnutzung von besonderen Bedingungen das eigene Programm dazu bringt, dessen Code auszuführen. Dies kann z.B. bei einem Pufferüberlauf, englisch: „buffer overflow“ passieren. Eine Technik, die dies verhindern soll, ist Address Space Layout Randomization (ASLR). Man kann seinen Programmcode aber auch mit Valgrind oder anderen Fuzzing tools auf diese besonderen Bedingungen der Speicherveraltung überprüfen.
01:54:08 Veranstaltungshinweis: Anfang April bringt das Theater Alte Feuerwache, Bad Nauheim, die Protokollen aus dem NSA-Untersuchungsausschuss des Deutschen Bundestages als Szenische Lesung nach Anna Bisellis und Kai Biermann „Nicht öffentlich.“ auf die Bühne. Aufführungen sind Sa. 2. + So. 3. April sowie Fr. 8. + So. 10 April.
00:21:49 Jens Hauslage forscht über Biologie im All. Insbesondere schaut er sich Pflanzen an. Auf der Erde wachsen Wurzeln in die Erde und die Blätter richten sich nach dem Licht aus, aber wie funktioniert dies auf einer Raumstation oder auf anderen Planeten? Reagieren Pflanzen auf mehr oder weniger Graviatation? Für seine Experimente baute er auch schon eigene kleine Satelliten. Auf einer Raumstation möchte er aber nicht leben und erklärt, wie Schwerlosigkeit unsere Sinne beeinträchtigt. Auch verhalten sich Zellen in Schwerelosigkeit anders. Beispielswiese wirken bestimmte Medikamente bei Astronauten nicht mehr so gut.
01:21:56 CK beschäftigt sich mit elektronischen Identitätsnachweisen, kurz e-ID. Eine Herausforderung dabei ist, dass man die Abfrage auf bestimmte Felder/Informationen steuern möchte. Ein elektronischer Nachweis soll also nicht jedem alle Informationen geben, sondern je nach Berechtigung nur eine bestimmte Auswahl. Dabei erklärt er auch, was beim Aufbau schon auf Chipebene wichtig zu beachten ist. In diesem Bereich hat sich in den letzten Jahren einiges getan. In den Systemen wurde die Komplexität durch Schnittstellen abstrahiert, so dass diese nun einfacher für andere Anwendungsfälle genutzt werden können. Auch an der Smart eID war er beteiligt. Diese hatte ihren Anfang auf dem letzten Chaos-Camp.
00:25:32 cr0n hat sich vor Corona mit Freunden gern beim Chaos Darmstadt zum gemeinsamen Computerspielen getroffen. Seitdem das nicht mehr möglich ist, sitzt jede*r für sich zu Hause. Was tun? Über das Internet spielen! Ältere Spiele, die fürs LAN entwickelt wurden, kann man über eine VPN-Lösung miteinander zocken. Spiele der jüngeren Vergangenheit, die man z.B. auf Steam findet, kann man teils auch auf einem eigenen Server in einer geschlossenen Gruppe spielen. Und was braucht man noch? Planung: Einen Termin, Abstimmung, ob mehrere Spiele in kleinen Gruppen oder eine Gruppe ein Spiel gemeinsam bestreiten soll, und natürlich Kommunikation während des Spielens. Dafür wird Mumble genutzt, das auf einem eigenen Server betrieben wird. Mumble kann zwar „nur“ Sprache, dafür können aber bspw. aus bestimmten Spielen die Teams ausgelesen und die Spieler*innen dann automatisch in die entsprechenden Kanäle geschoben werden. Ihre Planungen & Erfahrungen haben sie dokumentiert. Diese bieten sich zum Nachmachen an.
01:08:29 mcfly, Erik und Jens schauen genauer darauf was einen Staatstrojaner ausmacht und welche Firmen da bekannterweise eine Rolle spielen. Konkret geht es um die NSO Group und deren Programm „Pegasus“. Wer hat dies bereits gegen wen eingesetzt? Wie funktioniert es genau und welche Geräte/Dienste konnten damit angegriffen & übernommen werden?
00:07:17 Mullana und psy gehören zu den vielen Freiwilligen die dafür sorgen, dass die Jahresendveranstaltung des Chaos Computer Clubs ein großer Spaß wird. 2020 musste notgetrungen ein Ersatz für die zuletzt mit 17.000 Besucher*innen gefüllten Messehallen Leipzigs gefunden werden. Versucht wurde dies mit dem 2D-Browser-Spiel WorkAdventure. Dort bewegt man seine Spielfigur mit den Pfeiltasten über das Spielfeld mit Räumen und Wegen, welche andere Clubs oder Gruppen gestaltet haben. Kommen sich die Spielfiguren nahe, öffnet sich automatisch ein Videochat und die Beteiligten können miteianander sprechen. Mullana entwirft dabei die Grundsteine für die Hauptkarte. Da steckt einiges an Zeit & Können hinter, aber auch Einsteiger sollen mit überschaubarem Aufwand eine eigene Karte erstellen können. Wie letztes Jahr ist die Infrastruktur begrenzt, noch gibt es kostenfreie Tickets! Die Vorträge werden wie immer unabhängig frei zugänglich sein. Was sich verändern wird und was bleiben wird: hört selbst.
00:52:06 Fraxinas ist beim Repair-Café Aschaffenburg aktiv. Dort kann man mit allen möglichen defekten Gegenständen wie Textilien, kleinen Möbel, Fahrrädern usw. vorbeikommen und nach Möglichkeit wird es wieder in Stand gesetzt. Hier geht es nicht nur um den Spaß, Geräte auseinander und wieder zusammenzusetzen. Reparieren anstatt wegwerfen & neukaufen ist nachhaltig, schont Ressourcen und den Geldbeutel. In den letzten Jahren haben sich in vielen Städten, aber auch auf dem Land Repair-Cafés entwickelt. Wer mag, kann dort ebenso Werkzeug & Anleitung bekommen, um selbst die Ursache zu finden und das Problem zu beheben. Dies ist gleichfalls politisch: Das Recht auf Reperatur findet sich im aktuellen Koalitionsvertrag und in der Debatte auf EU-Ebene wieder.
01:35:07 Jens und Erik beschreiben die Entwicklung von Programmen, insbesondere wireshark, mit denen man Netzwerkverkehr mitschneiden und filtern kann. Worin unterscheiden sich diese Programme? Was muss beachten werden, wenn man tiefer in Kabelnetzwerke, verschlüsselte Verbindungen, WLAN oder auch DECT hineinschauen möchte? Wie bei jeder Software muss auf die Sicherheit geachtet werden, sonst passiert so etwas wie bei CVE-2021-22191. Wie bei freier Software üblich, kann man selbst an der Entwicklung mitwirken, Fehler bereinigen und neue Funktionen/Protokolle einbringen.
00:03:22 Kantorkels Themen sind biometrische Merkmale und wie man diese zur Überwachung verwenden kann. Mit biometrischen Daten ist Überwachung im großen Stil möglich, sei es an Bahnhöfen und Flughäfen. Die USA hatten in Afghanistan mit mobilen Geräten biometrische Merkmale der Bevölkerung erfasst, um diese eindeutig identifizieren zu können. Nach der Machtübernahme der Taliban, fielen diese Geräte und biometrische Daten in deren Hände. Wer sich auf politischer Ebene gegen die Überwachung mittels biometrischer Daten einbringen will, kann die Europäische Bürgerinneninitiative „Reclaim Your Face“ unterstützen.
00:59:25 Joscha beschäftigt sich schon länger damit, Videoarchive besser zugänglich zu machen. So war es nur eine Frage der Zeit, bis er sich Anfang 2018 gemeinsam mit abgeordnetenwatch in einem ersten Test anschaute, wie man die Videomitschnitte von Reden im Deutschen Bundestag durchsuchbar machen kann. Nach dem Test fand sich ein kleines Team, das seine Idee als Förderprojekt bewilligt bekam und so in gut 16 Monaten die Plattform Open Parliament TV als Open Source Projekt schuf. Man kann nun nach jedem Stichwort aus den Reden des Bundestags der letzten Jahre suchen und bekommt die entsprechenden Videos an der genauen Schnittmarke angezeigt. Die Projektveröffentlichung ist kürzlich auf großes Interesse gestossen. Das Team freut sich über weitere Kooperationen und Unterstützung zur Fortsetzung des Projektes.
01:38:45 Jens und Erik stellen die Möglichkeiten von Sicherheitsüberprüfungen von Software vor: die „Audits“. Weiter geht es darum, wie ein Computer Eingaben genau verarbeitet, denn das hat sich über die letzten Jahrezehnte weiterentwickelt, ebenso wie Script- und Programmiersprachen. Nur was macht ein Programm mit Schriftzeichen, für die es nicht wirklich gemacht ist? Worauf muss man achten?
00:09:36 Yannic, Harry und Alejo von Konspiracy Games stellen uns ihr noch in Entwicklung befindliches Browserspiel „Blossom & Decay“ vor. Sie entwickeln seit 2015 an diesem sandbox Massively Multiplayer Onlie (MMO) Spiel. In deren open 2D world geht es primär um soziale und wirtschaftliche Entwicklungen. Ihnen war wichtig, dass auch Spieler*innen mit wenig Zeit am gemeinsamen Spieleleben teilenehmen können. Man kann seinen Figuren Aufgaben geben, die diese während man nicht spielt erledigen, z.B. Freunde beschützen. Mit 5-10 Minuten Spielzeit am Tag kann man bereits am Dorfleben teilnehmen. Die Entwicklung befindet sich auf dem Stand der pre alpha. Wer das Spiel testen mag, kann sich auf der Webseite melden. Die Freiwilligen werden dann der Reihe nach in die zukünftigen Testprozesse eingebunden. Die drei erklären uns, wie sich die Entwicklung von „normaler“ Software zu einem Spiel unterscheidet. Im Hintergrund werkeln übliche Serverkomponenten wie Kubernetes, Node.js und redis. Für die Backend-Engine setzen sie auf keine fertige, bekannte Engine, sondern haben diese komplett neu, speziell für dies Spiel entwickelt. Es soll später kostenfreie und kostenpflichtige Zugänge geben, die das ganze finanzieren. Den Entwicklern ist dabei aber wichtig, dass man sich auch mit Geld nicht zu viele Vorteile gegenüber den anderen Mitspieler*innen erkaufen kann – ihnen geht es um fair play.
00:58:24 Mit mcfly, Erik und Jens geht es in den 2. Teil der Sendung: Insecurity News:
Auch im Jahr 2021 wird kein Chaos Communication Congress in Leipzig veranstaltet – dafür wird es aber wieder eine Remote Chaos Experience geben.
Ende Oktober findet die ebenfalls online Privacyweek statt.
01:08:40 Der verbreitete Webserver Apache hat in der 2.4-er Reihe in seiner jüngsten Version 2.4.49 ein Sicherheitsproblem, genauer Path Traversal. Es war möglich durch relative Pfadangaben wie z.B. „../../..“ aus dem CGI Verzeichnis in alle Verzeichnisse des Servers zu gelangen, sofern die Leserechte des Webservers dafür ausreichten. Darüber ist es möglich gewesen, sich Zugangsdaten zu erschleichen.
Die erste Problembehebung in 2.4.50 war nicht ausreichend, so dass erst mit der Version 2.4.51 das Problem wirklich behoben werden konnte. Apache ist derzeit einer der drei verbreitetsten Webserver auf Windows und Linux.
01:27:34 Von der bekannten Streaming Plattform twitch (Amazon) sind einige Daten geleakt. Darunter Quellcode der Plattform aber auch die Auszahlungen von Streamern mit großer Reichweite.
01:37:52 Montag den 04.10.2021 wird das Unternehmen Facebook so schnell nicht vergessen. Facebooks Server und damit auch Whatsapp und Instagramm waren über 6 Stunden weltweit offline. Recht schnell war klar, dass ihr DNS nicht mehr funktioniert sowie das BGP Routing, womit sich die Provider / Autonomen Systeme im Internet austauschen, kannte keinen Weg mehr zu Facebook. Da auch Facebooks interne Dienste sowie auch Zugangssysteme nicht mehr funktioniert haben, war die Fehleranalyse aufwändiger. Letztlich sind die Rechenzentren wie auch die Serversysteme in den Rechenzentren gegen unbefugte Zugriffe gesichert, was in diesem Falle die Wiederherstellung verzögerte.
00:11:52 Am Sonntag 12.09.2021 wird der Chaos Computer Club e.V. 40 Jahre jung. Darüber sprechen wir mit stb. Anlässlich diesen Jahrestages gibt es einige Veranstaltungen, z.B. in Hamburg. Die „the herald’s news.Show“ veröffentlicht am Sa. 11.09. ein „40 Jahre CCC – Members Greetings Video“ online und in über 10 Städten finden Camps über das Wochenende statt. Freunde der Musik können Bild & Ton Material zum Geburtstagssong des CCChoir beisteuern. stb berichtet wie es in den ersten Club Jahren Mitte der 80’er Jahre für ihn als Jugendlicher in Hamburg war und was sich bis heute nicht geändert hat.
00:46:26 Elham und Mitra informieren & unterhalten in ihrer Sendung „HamAwas“ auf Radio Darmstadt über Afghanistan. Die Sendung läuft seid vielen Jahren direkt vor C-RadaR. Anlässlich der aktuellen Ereignisse in Afghanistan war es uns wichtig unseren Zuhörern persönliche Einsichten vorzustellen.
