Chaos-Congress – Seite 2

28.12.2008

25C3: T-Shirt contest

Platz zwei geht an den Kollegen dc, dem ich schon fast traditionell jedes Jahr auf dem Kongress mit seiner angetrauten Dame begegne. Wie man sieht, ist sein T-Shirt schon IPv6 fähig:

20081228_there_is_no_place_like_1

Ich habe mir btw. gerade den Symbian-Vortrag angesehen. Inhaltlich hochinteressant, aber leider etwas … äh … monoton vorgetragen. Es gibt aber sehr ausführliche Slides incl. Shellcode für Series 60. Jetzt gibt es keine Ausreden mehr, in den nächsten 12 Monaten will ich einen sich selbst fortpflanzenden mms/bluetooth-Virus für Symbian sehen 🙂

28.12.200828.12.2008

25C3: Morgens halb zehn in ’schland

20081228_morgens_halb_zehn_in_deutschland

Die heiligen Mate-Vorräte zu hause sind alle, musste mir heute ein Pils zum Frühstück mitnehmen. Bin wieder in der Loge anzutreffen…

27.12.2008

25C3: Johns T-Shirt

20081227_johns_tshirt

Die vorlage für das geniale T-Shirt von John Gilmore gibt es übrigens auf seiner website.

27.12.200827.12.2008

25C3: iphone talk

Hm, der Talk war etwas … zäh … Die Jungs haben verdammt gute Arbeit geleistet, aber sie haben das Resultat nicht besonders euphorisch präsentiert. Schade eigentlich. Aber für die Unterhaltung steht ja noch Dan Kaminsky auf dem heutigen Programm 🙂

20081227_iphone_talk1

27.12.2008

25C3: Hunger

Die Preise sind wieder fürstlich. Pizza (dicker Teigberg mit dünner Schicht Tomatensauce) für 3.70 Euro.

20081227_bcc_hunger

Da gehe ich lieber zum freundlichen Dönermann im Bahnhof.

27.12.200828.12.2008

25C3: ausverkauft

Frank hatte wohl recht, als er meinte, dass es heute ziemlich voll ist. ~~Alle 4500~~ 3800 Tickets sind verkauft, das BCC platzt aus allen Nähten und wer kein Ticket hat, sollte sich die Talks besser von der Couch aus ansehen.

27.12.2008

25C3: Duplo hacker

Duplo Hacker

27.12.2008

25C3: Oldschool hacking

20081227_25c1_oldscool_hacking

27.12.2008

25C3: Lustiges T-Shirt

20081227_john_gillmore

„I’m still free – what about you?„

6.1.2008

24C3: Videos

Dank der Arbeit von Felix und dem FEM sind die Videos vom Congress so schnell verfügbar wie noch nie. Der Nerd von Welt saugt sich die Videos natürlich bandbreitenschonend via Bittorrent. Für Leute, die hinter einer restriktiven Firewall sitzen, habe ich einen der vielen HTTP-Mirror aufgesetzt: http://24c3.dysternis.de/. Viel Spaß beim saugen, mal sehen, wie ernst Hetzner das mit der Traffic-Flatrate meint 😉

9.11.2007

24C3 – Webseite online

So, die Seite zum diesjährigen Chaos-Congress ist online 🙂

8.8.20079.8.2007

Sicher bloggen in feindlicher Umgebung

Es kam gerade die Frage auf, wie man auf chaoshaltigen Veranstaltungen sicher bloggt. Die beste Idee ist natürlich ein VPN. Wenn man kein VPN hat, muss man sich mit der Materie auseinander setzen. Punk 😉

Wenn man diese Option jedoch nicht zur Verfügung hat, kann man sich zumindest einen SSH-Tunnel nach draußen bohren.

Ein erster Wurf würde so aussehen:

ssh your.trusted.server.outside.com -L 8080:blog.mellenthin.de:80

Den Browser könnte man jetzt nach http://localhost:8080 lenken. Leider verwendet WordPress massiv absolute URLs (die mit http:// anfangen) und umgeht damit unseren Tunnel. Wir müssen also dafür sorgen, dass alle http-Anfragen an http://blog.mellenthin.de/ durch diesen Tunnel gehen.

Das klappt mit einem ziemlich schmutzigen Trick: in /etc/hosts wird einfach folgender Eintrag hinzugefügt:

127.0.0.1       blog.mellenthin.de

Jetzt wird blog.mellenthin.de mit localhost aufgelöst und alle Anfragen gehen an den eigenen Rechner. Der lokale Port des SSH-Tunnels muss noch von 8080 in 80 geändert werden, weil globale URLs den Suffix :8080 nicht enthalten. Das SSH-Kommando sieht dann so aus:

sudo ssh you@your.trusted.server.outside.com -L 80:blog.mellenthin.de:80

Weil man einen lokalen Port 80 öffnen möchte, muss man sudo benutzen. Das führt dazu, dass ssh eine Verbindung als root@your.trusted.server.outside.com aufbaut, deswegen muss man seinen Useraccount auf dem vertrauenswürdigen Server mit you@ vor den Servernamen setzen.

Sobald man via SSH eingeloggt ist, steht der Tunnel. Aufgrund des Eintrags in /etc/hosts klappt eine Verbindung zum Webserver auch nur, wenn der Tunnel steht. Wenn man der Sache nicht traut, kann man mit traceroute und die Route überprüfen:

melle@euphoria:~$ tracepath blog.mellenthin.de
 1:  localhost (127.0.0.1)                                  0.173ms pmtu 16436
 1:  localhost (127.0.0.1)                                  0.056ms reached
     Resume: pmtu 16436 hops 1 back 1

Obacht: der Webbrowser könnte die IPs cachen, also den Browser beenden und neu starten, bevor man bloggt. Außerdem kann das Bash-Timeout zuschlagen (wenn konfiguriert), man sollte in diesem Fall die Umgebungsvariable TMOUT setzen oder eine Anwendung starten (z.B. top), die ein Timeout der Shell verhindert.

Update: der Hinweis von Michael ist natürlich richtig und bringt wesentlich mehr Komfort. Danke für den Hinweis 🙂 Also wenn man auf dem SSH-Server einen Proxy installieren kann, genügt schon ein simples

ssh your.trusted.server.outside.com -L 3128:localhost:3128

Um sich mit dem Squid seiner Wahl zu verbinden. Am Browser wird als Proxy localhost:3128 eingestellt und fertig ist die Laube. Man sollte aus dem Feld „No proxy for“ alle Einträge löschen.

31.12.200630.7.2010

Sie haben das Recht zu schweigen

Der Vortrag von Udo Vetter zu den Strategien für den Umgang mit Polizei und Staatsanwalt war für mich das Highlight auf dem diesjährigen Kongress. Für alle, die nicht mehr in den Saal gepasst haben, habe ich den Videostream mitgeschnitten. Die offiziellen Videos dauern ja immer ein paar Tage 😉 Leider ist zwei Mal jemand über mein Netzwerkkabel gestolpert, ein paar Sekunden fehlen in der Mitte. Der Vortrag lohnt sich nicht nur für Nerds…

Update: Wer hätte gedacht, dass die Videos so schnell bereitgestellt werden: hier ist die Liste der Mirrors 🙂

Update 2: Offensichtlich funktioniert das Video bei google nicht mehr. Ihr könnt es Euch jedoch hier anschauen und runterladen.

27.12.2006

Stars auf der Kautsch

Hab mich gerade in der Art & Beauty Area auf die Couch gefläzt, um Strom und Netzwerk zu schnorren. Der freundliche Herr neben mir hatte hvoss@dell in seiner Shell stehen. Hm, das wird doch nicht etwa … „Wofür steht das h?“ „Holger.“ „Doch nicht etwa der Holger Voss?„. Tatsächlich.
Wie nett, ich wurde gleich über die Verfassungsklage gegen die Vorratsdatenspeicherung aufgeklärt, eine gute Sache, geht hin und macht mit 🙂

25.12.2006

Welchem Spargel kann man vertrauen?

Who can you trust? Spargel Online besser nicht...

Auch wenn der CCCongress sehr apfellastig ist, diese Unterstellung ist doch recht dreist. Ein Mausklick in die diskordische Mythologie würde das Obst sofort als den goldenen Apfel der Zwietracht identifizieren. Aber Recherche hat man beim großen deutschen Nachrichtenmagazin scheinbar nicht nötig, ist ja online, muss ja schnell gehen.

30.11.2006

23C3: Who can you trust?

Die erste Version des Fahrplans ist draußen 🙂 Auf den ersten Blick verspricht das wieder ein sehr interessanter CCCongress zu werden *freu* 🙂 [ via Beate und Udo ]

26.7.200626.7.2006

Chaotisches für zwischendurch

Harald Welte hat heute einen Gerichtstermin und so wie es aussieht, hat wieder eine größere Firma die GPL ignoriert: „You will all know the company, though. A very popular vendor of embedded networking gear.„
Im Chaosradio geht es heute um die uns alle betreffende elektronische Gesundheitskarte.
In der Jungle World gibt es ein Interview mit Tim Pritlove zum Thema Wahlbetrug mit Wahlcomputern.
Der nächste Chaos-Congress braucht dringend Geld: „talk to your company if it could sponsor 23C3.„

21.4.2006

22C3: Videos

Die meisten Videos vom 22C3 sind jetzt via BitTorrent verfügbar. Danke liebes Chaos!

2.1.20062.1.2006

22C3: Was noch so war

22C3: WiFi Long Shots

WiFi Long Shots gefällt mir sehr gut, weil auf den Folien alles steht, was man für WLAN-Verbindungen über große Distanzen wissen muss. Danach setze ich mich in Bluetooth Hacking – The State of The Art. Die aktuellen Angriffe auf bluetoothfähige Geräte können schon für heitere Momente sorgen. Der Car Whisperer z.B. verbindet sich dank Standard-PINs zu gängigen Bluetooth-Headsets. So kann man interessante Geräusche oder Ansagen im Ohr des Opfers abspielen, sein Gespräch mit anderen Insassen belauschen oder aktiv in die Unterhaltung einsteigen 😉 Mir ist nur nicht ganz klar, ob der Bluetooth-Vibrator ein Fake ist:

22C3: Bluetooth Attacks

In Blackberry: call to arms, some provided geht es neben der BlackBerry-Hardware vor allem um den BlackBerry Enterprise Server. RIM hat sich fleißig an freier Software bedient, das berühmte zlib-Problem gab es gleich kostenlos dazu, es fehlt nur noch ein bisschen Phantasie und ein manipuliertes Bild als Attatchment 😉 Bei heise gibt es alle schmutzigen Details dazu.

Insgesamt fand ich den Congress dieses Jahr sehr entspannend. Vier Tage haben den Fahrplan doch deutlich entzerrt, die vortragsfreien Zeiten waren ebenfalls sehr sinnvoll. Das Hackcenter war super gemütlich: statt irgendwo auf den Kongressfluren, konnte konnte man sich auf einer der vielen Couches niederlassen und loshacken – oder einfach nur den dringend benötigten Schlaf nachholen 🙂

30.12.200530.12.2005

22C3: Modern Disk Encryption Systems

22C3: Jacob Appelbaum

Jacob Appelbaum geht neben der Technik vor allem auf rechtliche Aspekte ein und entwirft ein Gedankenmodell, um Daten verschlüsselt abzulegen, ohne gegen nationale Gesetze zu verstoßen. Es geht dabei um Länder wie Großbritanien, in denen man sich strafbar macht, wenn man z.B. als Angeklagter das Passwort für eine verschlüsselte Festplatte nicht den Behörden übergib (Leider sind die Folien nirgends verlinkt…).