… und keiner hat’s gesehen

CR201 Die Lehren aus dem Heartbleed Bug ()

Seit Snowden wird uns gesagt: Verschlüsselt! Gleichzeitig tauchen immer wieder Verschlüsselungslücken bei https-Verbindungen auf, eine der grundlegenden Methoden um Datenverbindungen im Internet zu verschlüsseln. Im aktuellen Chaosradio im Blue Moon sollen zwei Fragen geklärt werden: Warum ist die Technologie hinter dem https:// so häufig kaputt? Und sollte genau diese Software nicht bombensicher sein, weil sie Open Source ist, also jeder den Quellcode anschauen kann? Marcus Richter erwartet den Chaos Computer Club ab 22:00 Uhr in den Fritz-Studios und Euch und Eure Fragen unter 0331/70 97 110.

Intro

00:00:00

(Alec Empire - Music for hacker conference)  — Begrüßung (Heute mit Erdgeist, danimo und Florian)  — Open Source — TrueCrypt (wurde wohl defaced — TrueCrypt ermöglicht die Verschlüsselung von Datenträgern)  — Erdgeist rät davon ab BitLocker zu verwenden, die momentan auf der Seite als Alternative angeboten wird — Chaosradio 200 — Software Audit (von TrueCrypt)  — Kryptografie — Die Schwierigkeit sei die Kommunikation bei der Programmierung — Florian kommt von drausen, vom Walde, von der S-Bahn dazu — "Kaum ist der Chaos Computer Club am Start geht irgendwas kaputt." (monoxyd) — SSL — Goto Fail Lücke (Seite, die testet ob der eigene Mac betroffen ist — Goto)  — Programmier-Syntax, Einrückung — OpenSSL — Common Crypto — "Du möchtest nicht, dass jeder seine eigene Kryptolibrary schreibt." (Erdgeist) — Dreipunktgurt (beim Auto) — Kryptographie benötigt Zufall — Man sollte seinen Zufall nicht nur aus der Uhrzeit zu generieren — Unix-Timestampts — Rausch an einem Mikrophon liefert relativ guten Zufall — Hearbleed — XKCD Comic zu Heartbleed — "Wenn genug Leute drauf glotzen, gehen Fehler kaputt." (Erdgeist übersetzt) ("Betrachten viele Leute das gleiche Problem, werden Fehler unsichtbar." (alt. Ueb.) — "Given enough eyeballs all bugs are shallow.") .

Musik: Gridline – Stol 00:26:36

Fritz Nachrichten

00:31:48

Heute mit Erdgeist, Florian und Danimo — Opensource — Warum — SSH — Google Docs — Denial of Service — OpenSSL war als Programmiergehversuch mit großen Ganzzahlen gestartet — "Natürlich kann man jede Kryptografie brechen, es dauert nur ewig." (Erdgeist) — OpenSSL wurde vor 20 Jahren begonnen — GnuTls — SSL Projekt der belgischen Regierung — "TÜV ist der Dampfkesselüberprüfungsverein" (Erdgeist) — FIPS Zertifizierung ("Ein Stempel von der US amerikanischen Regierung")  — Erdgeist hat selber auch OpenSSL Sourcecode gelesen — Mit Silikon meint Erdgeist Silicium, da im Englischen "Silicon" genannt wird — "Das Problem ist, man muss den Kontext jeder Zeile kennen." (Floran) — Der problematische Heartbleed Code — Statische Codeanalyzer — Verantwortungsdiffusion (Je mehr Menschen theoretisch verantwortlich sind, desto weniger machen es)  — TollCollect — BSI — "Die Idee, Open Source macht das ganze sicherer, ist eigentlich Quatsch." (monoxyd).

Nerd News

00:58:13

(Bundesanwaltschaft will nicht wegen NSA-Affäre ermitteln)  — Apple IDs von iPhones übernommen — BSI warnt von gehackten FTP Servern.

Musik? Musik! Professor Kliq - This 00:59:45

Was macht Opensource Software anders?

01:04:42

Security Audits werden häufig von großen Firmen finanziert — Github — OpenBSD (Flüchtigkeitsfehler beim Abschalten des Heartbeat-Features)  — Rage Commit — Peer Review — "Nur Menschen drauf zu gucken ist mir einfach zu wenig." (Erdgeist) — Linting (Einrückung und Leerzeichensetzung) — Best-Practices beim Programmieren — Test Driven Development ("Es zwingt dich dazu sehr kleinteilig zu schreiben." (Danimo))  — "Man sagt pro 100 000 Zeilen Code, 10 Fehler." (Erdgeist) — MS Office — Open Office — "Es gibt immer Leute, die aus den lustigsten Dingen Spass beziehen." (Erdgeist) — "Auch Open Source Software Entwickler wollen Fame." (Erdgeist) — Open Tracker — PHP — Qt Project (Macht es einfach grafische Benutzeroberflächen für mehrere Betriebssysteme zu entwickeln) .

Martin aus Wien

01:23:33

Handbook of applied cryptography — Programmiersprache C — Hochsprachen — Cryptol — Haskell — Email ans Chaosradio an: chaosradio@ccc.de <mailto:chaosradio@ccc.de> — PolarSSL.

Fritz Nachrichten

01:29:38

Kapitelüberschrift

01:33:22

Es funktioniert bei PolarSSL (Alle Annahmen wurden auf)  — GPL — ocaml-tls (OCaml)  — OCaml nocrypto — Beweisbare Software — Turings Halteproblem — Einen Codereview richtig zu organisieren wäre kompliziert. Empfehlung nur kleine Mengen Geld für Review ausschreiben — Danimo befürwortet die Idee auch an Universitäten Studenten zu beauftragen — "Nimmt ein beliebiges OpenSource Projekt haut mal drauf rum, und schaut was passiert." (Florian) — Bug Bounty — Gemeldete Bugs muessen vom Melder auch gut dokumentiert/belegt werden, da sonst gerne abgewiegelt wird — Fork — Beispiel für Softwarefork: LibreSSL — "Falls ihr programmieren woltle, macht das mal." (monoxyd).

Christoph, Webdesigner

01:49:19

Constanze Kurz (wenn nur 25% der Menschen in DE verschlüsseln würden, würde sich für die Geheimdienste die Entschlüsselung nicht mehr lohnen)  — Linux Foundation — "Die Leute brauchen halt immer 'ne Belohnung." (Christoph) — Chaos Computer Club — Fritz kürzt das Chaosradio auf jeden zweiten Monat — Außerhalb von Fritz wird es auch weiter jeden Monat Chaosradio zu hören geben — "Last euch nicht überwachen und verschlüsselt immer schön eure Backups" (monoxyd) (Musik Dragan Espenscheid - Websiiite) .

Mitwirkende

avatar
Marcus Richter
avatar
Erdgeist
avatar
danimo
avatar
Florian

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert